KR101564643B1 - 네트워크 장치 및 이를 이용한 선별적 정보 모니터링 방법 - Google Patents

네트워크 장치 및 이를 이용한 선별적 정보 모니터링 방법 Download PDF

Info

Publication number
KR101564643B1
KR101564643B1 KR1020130123776A KR20130123776A KR101564643B1 KR 101564643 B1 KR101564643 B1 KR 101564643B1 KR 1020130123776 A KR1020130123776 A KR 1020130123776A KR 20130123776 A KR20130123776 A KR 20130123776A KR 101564643 B1 KR101564643 B1 KR 101564643B1
Authority
KR
South Korea
Prior art keywords
information
packet
monitoring
network
monitored
Prior art date
Application number
KR1020130123776A
Other languages
English (en)
Other versions
KR20150045016A (ko
Inventor
김희민
윤정한
김경호
김우년
서정택
박응기
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020130123776A priority Critical patent/KR101564643B1/ko
Priority to US14/289,803 priority patent/US9742699B2/en
Priority to JP2014115611A priority patent/JP2015080193A/ja
Publication of KR20150045016A publication Critical patent/KR20150045016A/ko
Application granted granted Critical
Publication of KR101564643B1 publication Critical patent/KR101564643B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/022Capturing of monitoring data by sampling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/14Arrangements for monitoring or testing data switching networks using software, i.e. software packages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification

Abstract

수신되는 모든 패킷에서 필요한 정보(패킷의 필드 정보)만을 사용자가 모니터링 할 수 있는 네트워크 장치 및 이를 이용한 선별적 정보 모니터링 방법을 제시한다. 제시된 네트워크 장치는 모니터링 대상 호스트와 연결되어 모니터링 대상 호스트로부터 네트워크 패킷을 입력받는 하나 이상의 물리 인터페이스, 및 하나 이상의 물리 인터페이스를 통해 수집되는 네트워크 패킷에 대해 선별적인 정보 추출이 가능하게 필터링하는 컨피규러블 모니터링부를 포함하는 스위치 패브릭 모듈을 포함한다.

Description

네트워크 장치 및 이를 이용한 선별적 정보 모니터링 방법{Network apparatus and selective information monitoring method using the same}
본 발명은 네트워크 장치 및 이를 이용한 선별적 정보 모니터링 방법에 관한 것으로, 보다 상세하게는 선별적 정보만을 모니터링할 수 있는 네트워크 장치 및 이를 이용한 선별적 정보 모니터링 방법에 관한 것이다.
오늘날의 네트워크는 많은 서비스로 인해 많은 보안 위협에 노출되어 있다. 이러한 문제를 해결하기 위하여 기존의 네트워크에 보안 장비를 추가하여 운영하고 있다.
외부의 공격을 차단하기 위해서 방화벽을 이용하여 네트워크를 보호하고 IDS(Intrusion Detection System)와 IPS(Intrusion Prevention System)를 이용하여 외부로의 침입 시도 및 해킹 시도를 실시간으로 탐지하고 방어하고 있다.
하지만 오늘날의 네트워크에 대한 공격은 특정 호스트의 해킹 시도뿐만 아니라 네트워크의 장비에 오류를 유발하여 네트워크 불능화를 유발하는 보안위협에도 노출되어 있다. 이런 공격을 방어하기 위하여 네트워크의 패킷을 실시간으로 분석 할 수 있는 기술 및 탐지할 수 있는 기술 개발이 이루어지고 있다.
내부망 감시를 위해서는 네트워크 스위치를 통과하는 모든 트래픽을 모니터링해야 한다. 이를 위해 현재 사용할 수 있는 방법은 네트워크 스위치 미러링 기법과 태핑 기법이 있다.
네트워크 스위치 미러링 기법은 네트워크 스위치 내 소프트웨어가 모니터링 대상 패킷을 복사하여 모니터링하고자 하는 스위치 인터페이스로 전송하는 방식이다. 이는 트래픽이 많을 경우 네트워크 스위치 리소스(CPU 등)를 많이 사용하여 네트워크 스위치 자체 성능에 문제를 일으킬 수 있다.
태핑 기법은 모니터링하고자 하는 스위치 인터페이스마다 탭핑장비를 설치하여 전기적으로 패킷을 복사하는 장비이다. 이 경우, 24개 포트를 모니터링하기 위해서는 24개 장비를 설치해야 한다. 또한, 24개 포트에서 모니터링하고자 하는 트래픽을 하나의 포트로 모아서 모니터링하려면 트래픽 취합기(Aggregator)라는 별도의 장비가 필요하다. 즉, 현실적으로 선연결이 복잡해져 관리가 어렵고 추가 장비들의 가격이 매우 비싸 도입하기 힘들다.
기존 방식의 가장 큰 문제점은 모니터링하고자 하는 트래픽의 양이 많을 경우 패킷 손실(Drop)이 발생할 수 밖에 없다는 점이다.
1G포트 24개에서 모든 패킷들을 하나의 트래픽 분석 시스템이 모니터링하고자 할 경우, 최대 24Gbps를 하나의 포트로 모아서 트래픽 분석 시스템에 전송하여야 한다. 그러나, 스위치 인터페이스가 처리할 수 있는 최대용량은 1Gbps이므로 23개 인터페이스에서 미러링되는 23Gbps 트래픽을 모두 수집할 수 없다.
이와 같은 현상은 트래픽 취합기에서도 비슷하여 가격에 따라 10G포트를 지원하는 등 대용량 포트를 지원하기도 하지만 이러한 물리적 한계 상황은 발생할 수 밖에 없다.
관련 선행기술로는, 통신 데이터를 수집 및 분석하는 내용이, 대한민국등록특허 제10-0814546호(통신 데이터를 수집하여 분석하는 장치 및 방법)에 개시되었다.
다른 관련 선행기술로는, 내부네트워크 상에서의 유해 트래픽을 실시간으로 발견하고 그에 따른 적절한 대응을 수행할 수 있도록 지원하는 내용이, 대한민국등록특허 제10-0671044호(내부네트워크 상의 유해 트래픽 분석 시스템 및 방법)에 개시되었다.
본 발명은 상기한 종래의 문제점을 해결하기 위해 제안된 것으로, 수신되는 모든 패킷에서 필요한 정보(패킷의 필드 정보)만을 사용자가 모니터링 할 수 있는 네트워크 장치 및 이를 이용한 선별적 정보 모니터링 방법을 제공함에 그 목적이 있다.
상기와 같은 목적을 달성하기 위하여 본 발명의 바람직한 실시양태에 따른 네트워크 장치는, 모니터링 대상 호스트와 연결되어 상기 모니터링 대상 호스트로부터 네트워크 패킷을 입력받는 하나 이상의 물리 인터페이스; 및 상기 하나 이상의 물리 인터페이스를 통해 수집되는 네트워크 패킷에 대해 선별적인 정보 추출이 가능하게 필터링하는 컨피규러블 모니터링부를 포함하는 스위치 패브릭 모듈;을 포함한다.
바람직하게는, 상기 컨피규러블 모니터링부는, 입력되는 모니터링 설정 정보를 기반으로 상기 하나 이상의 물리 인터페이스를 통해 수집되는 네트워크 패킷에서 모니터링할 정보만을 추출하는 패킷 정보 필터링부; 및 상기 패킷 정보 필터링부에서 추출한 모니터링 정보를 상기 모니터링 설정 정보내의 전송방식에 따라 전송하는 정보전송부;를 포함할 수 있다.
바람직하게는, 상기 모니터링 설정 정보는 모니터링할 패킷의 조건을 포함하는 모니터링 대상, 상기 수집된 네트워크 패킷에서 어느 정보만을 모니터링할 것인지를 결정하는 모니터링 정보, 및 상기 모니터링 정보를 어느 인터페이스로 전송할 것인지 및 모니터링 정보 전송 방식을 결정하는 모니터링 방식을 포함할 수 있다.
바람직하게는, 상기 모니터링 대상은 모니터링할 상기 물리 인터페이스의 이름과 각각의 물리 인터페이스에서 상기 모니터링할 패킷이 안바운드인지 아웃바운드인지를 명시한 정보를 포함할 수 있다.
바람직하게는, 상기 모니터링 정보는 레이어 2 패킷의 정보 추출의 경우 프림엠블, 시작 필드, 목적지 MAC, 출발지 MAC, 및 길이 타입을 포함할 수 있다.
바람직하게는, 상기 모니터링 정보는 레이어 3 패킷의 정보 추출의 경우 출발지 IP주소, 도착지 IP주소, 헤더길이, 프로토콜 번호, 및 TTL을 포함할 수 있다.
바람직하게는, 상기 모니터링 정보는 레이어 4 패킷의 정보 추출의 경우 출발지 포트, 도착지 포트, 시퀀스 넘버, ACK 넘버, 및 플래그를 포함할 수 있다.
바람직하게는, 상기 모니터링 정보 전송 방식은, 상기 네트워크 패킷의 형태를 그대로 유지하는 단일패킷복사 방식, 상기 단일패킷복사 방식에서 복사한 부분을 사용자가 원하는 프로토콜을 이용하여 모니터링 정보 수신 장비에게 전송하는 단일패킷복사원격전송 방식, 상기 모니터링 정보 수신 장비에게 특정 프로토콜을 이용하여 상기 네트워크 패킷의 모니터링 정보만을 모니터링 대상 패킷이 발생할 때마다 전송하는 단일패킷정보원격전송 방식, 및 여러 개의 패킷의 모니터링 정보를 하나의 패킷에 모아서 전송하는 복수패킷정보원격전송 방식중에서 하나일 수 있다.
바람직하게는, 상기 모니터링 정보는 상기 하나 이상의 물리 인터페이스를 통해 수집되는 네트워크 패킷의 타임스탬프, 및 어느 물리 인터페이스를 통해 들어온 네트워크 패킷인지를 나타내는 인터페이스 이름을 포함할 수 있다.
본 발명의 바람직한 실시양태에 따른 선별적 정보 모니터링 방법은, 모니터링 대상 호스트와 연결된 하나 이상의 물리 인터페이스가, 상기 모니터링 대상 호스트로부터의 네트워크 패킷을 입력받는 단계; 및 컨피규러블 모니터링부가, 상기 하나 이상의 물리 인터페이스를 통해 수집되는 네트워크 패킷에 대해 선별적인 정보 추출이 가능하게 필터링하는 단계;를 포함한다.
바람직하게는, 상기 선별적인 정보 추출이 가능하게 필터링하는 단계는, 입력되는 모니터링 설정 정보를 기반으로 상기 하나 이상의 물리 인터페이스를 통해 수집되는 네트워크 패킷에서 모니터링할 정보만을 추출하는 단계; 및 상기 추출한 모니터링 정보를 상기 모니터링 설정 정보내의 전송방식에 따라 전송하는 단계;를 포함할 수 있다.
이러한 구성의 본 발명에 따르면, 정확한 트래픽 분석을 위해 패킷 드랍(packet drop) 없이 모든 패킷에서 특정 정보를 모니터링할 수 있으므로 패킷에서 트래픽 분석 시스템이 원하는(즉, 사용자가 원하는) 정보만을 모니터링 할 수 있도록 해 준다.
이에 의해, 모니터링을 위해 전송하는 트래픽의 양이 줄어들어 모든 패킷의 정보를 모니터링할 수 있도록 도와줄 수 있다.
도 1은 본 발명의 실시예에 따른 네트워크 장치의 구성도이다.
도 2는 도 1에 도시된 컨피규러블 모니터링부의 내부 구성도이다.
도 3은 본 발명의 실시예에 채용되는 패킷의 모니터링 대상 정보를 예시한 도면이다.
도 4는 모니터링 대상 정보들 중에서 일부만을 모니터링 정보로 결정하는 방식을 설명하는 도면이다.
도 5는 단일패킷복사 방식과 단일패킷복사원격전송 방식의 비교를 나타낸 도면이다.
도 6은 단일패킷정보원격전송의 예를 나타낸 도면이다.
도 7은 복수패킷정보원격전송의 예를 나타낸 도면이다.
도 8은 본 발명의 실시예에 따른 선별적 정보 모니터링 방법을 설명하는 플로우차트이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세하게 설명하고자 한다.
그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
도 1은 본 발명의 실시예에 따른 네트워크 장치의 구성도이고, 도 2는 도 1에 도시된 컨피규러블 모니터링부의 내부 구성도이고, 도 3은 본 발명의 실시예에 채용되는 패킷의 모니터링 대상 정보를 예시한 도면이고, 도 4는 모니터링 대상 정보들 중에서 일부만을 모니터링 정보로 결정하는 방식을 설명하는 도면이고, 도 5는 단일패킷복사 방식과 단일패킷복사원격전송 방식의 비교를 나타낸 도면이고, 도 6은 단일패킷정보원격전송의 예를 나타낸 도면이고, 도 7은 복수패킷정보원격전송의 예를 나타낸 도면이다.
도 1에서, 본 발명의 실시예에 따른 네트워크 장치는, 물리 인터페이스(10), 관리 인터페이스(12), 관리부(14), 중앙처리장치(16), 메모리(18), 전원부(20), 및 스위치 패브릭 모듈(22)을 포함한다.
물리(PHY) 인터페이스(10)는 모니터링 대상 호스트(도시 생략)와 연결되는 물리적인 인터페이스이다. 물리 인터페이스(10)는 모니터링 대상 호스트로부터 네트워크 패킷을 입력받을 수 있다. 물리 인터페이스(10)는 복수 개로 구성될 수 있다.
관리 인터페이스(12)는 관리부(14)의 설정 및 관리를 위한 물리적 인터페이스이다.
중앙처리장치(16)는 소프트웨어 명령 등을 처리하고 연산을 담당하는 기능을 한다.
메모리(18)는 소프트웨어 명령 등의 정보를 일시적으로 저장한다.
전원부(20)는 본 발명의 장치를 구동하기 위한 전원을 제공하는 물리적 인터페이스이다.
스위치 패브릭 모듈(22)은 컨피규러블 모니터링부(24; Configurable Monitoring Module)(CMM) 및 스위칭부(26 ; Switching Module)(SM)를 포함한다. 여기서, 컨피규러블 모니터링부(24)는 하나 이상의 물리 인터테이스(10)를 통해 수집되는 네트워크 패킷에 대해 필요한 정보만을 선별적으로 추출이 가능하게 필터링을 해주는 모듈이다. 스위칭부(26)는 물리적으로 연결된 모니터링 대상 호스트들의 네트워크 연결을 위한 스위칭 기능을 담당한다. 컨피규러블 모니터링부(24) 및 스위칭부(26)는 각각 개별적인 모듈 형태로 구성될 수 있다.
한편, 컨피규러블 모니터링부(24)는 도 2에서와 같이, 패킷 정보 필터링부(24a), 및 정보전송부(24b)를 포함한다.
패킷 정보 필터링부(24a)는 관리부(14)를 통해 사용자가 결정한 모니터링 설정 정보를 기반으로 해당 네트워크 장치에서 수집한 패킷에서 모니터링할 정보만을 추출한다. 즉, 패킷 정보 필터링부(24a)는 관리부(14)를 통해 입력되는 패킷 정보 필터링 명령(모니터링 설정 정보 포함)을 기반으로 하나 이상의 물리 인터페이스(10)를 통해 수집되는 네트워크 패킷에서 모니터링할 정보만을 추출한다.
정보전송부(24b)는 패킷 정보 필터링부(24a)에서 추출한 모니터링 정보를 모니터링 설정 정보내의 전송방식에 따라 모니터링 정보 수신 장비(도시 생략)에게로 전송한다.
패킷 정보 필터링부(24a)에게로 입력되는 모니터링 설정 정보를 위해, 사용자가 결정해야 하는 사항은 모니터링 대상, 모니터링 정보, 및 모니터링 방식이다.
모니터링 대상이라 함은 하기의 표 1에서 보여주는 모니터링할 패킷의 조건을 의미한다.
조건 설명
대상 네트워크 장비에서 모니터링할 물리적 인터페이스 이름과 각 인터페이스에서 모니터링할 패킷이 인바운드(inbound)인지 아웃바운드(outbound)인지 명시
(물리적 인터페이스는 복수 개 가능)
모니터링 용량 모니터링할 패킷의 양
모니터링 시간 모니터링을 수행할 시간
모니터링 정보라 함은 패킷에서 어느 정보만을 모니터링할 것인지 결정하는 것이다. 해당 정보에 따라 패킷 전체를 모니터링하거나, 패킷의 일부 정보만을 모니터링한다.
패킷에서 모니터링할 정보는 도 3과 같이 예시할 수 있다. 사용자는 도 4와 같이 모니터링 대상 정보들 중에서 일부만을 모니터링 정보로 설정한다. 도 4를 보면, 모니터링 정보는 하나 이상의 물리 인터페이스를 통해 수집되는 네트워크 패킷의 타임스탬프(timestamp; T), 및 어느 물리 인터페이스를 통해 들어온 네트워크 패킷인지를 나타내는 인터페이스 이름(P)을 포함할 수 있다. 타임스탬프(T)는 패킷이 네트워크 장치에 도착한 시간이라고 볼 수도 있다.
여기서, 모니터링 정보로 설정되어야 할 정보가 레이어 2 패킷의 정보인 경우(즉, 레이어(Layer) 2 패킷 정보 추출의 경우)는, {"프리엠블", "SOF", "목적지 MAC", "출발지 MAC", "길이/타입"}을 기준으로 패킷 선별이 가능하다.
"프리앰블"은 이더넷 프레임이 전송되었는지를 알리는 기능을 담당하는 필드이다.
"SOF(Start of Flame)"는 프레임의 시작을 알리는 역할을 하는 필드이다.
"목적지 MAC"은 목적지 호스트의 하드웨어의 주소이다.
"출발지 MAC"은 출발지 호스트의 하드웨어의 주소이다.
"길이/타입"은 프레임의 데이터 길이와 프로토콜의 이더타입(Ether Type) 값을 나타낸다. 이더타입값은 사용하는 통신프로토콜에 대한 내용으로서, IPv4, ARP, Appletalk, IEEE 802.1Q IPv6 등 통신 프로토콜에 관련된 내용을 포함하고 있다.
한편, 모니터링 정보로 설정되어야 할 정보가 레이어 3 패킷의 정보인 경우(즉, 레이어(Layer) 3 패킷 정보 추출의 경우)는, 네트워크 세션에 대한 추출 정보로 IP 헤더의 필드를 기준으로 선별하는 것이다. 본 발명에서는 통신의 연결성과 모니터링에 필요한 필드를 {"출발지 IP 주소", "도착지 IP 주소", "헤더길이", "프로토콜 번호", "TTL"}을 기준으로 선별이 가능하다.
"출발지 IP 주소"는 패킷의 출발지 IP 주소이다.
"도착지 IP 주소"는 패킷의 도착지 IP 주소이다.
"헤더길이"는 해당 패킷의 IP 헤더의 길이이다.
"프로토콜"은 해당 패킷의 프로토콜 형태에 관한 것으로 TCP, UDP, ICMP 등의 프로토콜이 번호를 나타낸다.
"TTL"은 네트워크의 패킷의 생존 기간을 나타낸다.
한편, 모니터링 정보로 설정되어야 할 정보가 레이어 4 패킷의 정보인 경우(즉, 레이어(Layer) 4 패킷 정보 추출의 경우)는 "출발지 포트", "도착지 포트", "시퀀스 넘버", "ACK 넘버", "플래그" 필드의 정보를 사용한다.
"출발지 포트"는 출발지의 포트 넘버이다.
"도착지 포트"는 도착지의 포트 넘버이다.
"시퀀스 넘버"는 패킷의 응답 번호 및 확인 번호이다.
"ACK 넘버"는 패킷의 응답 번호이다.
"플래그"는 헤더에서 데이터의 흐름 및 연결 제어에 관련된 것으로서, 대략 8Bit를 사용한다. "플래그"필드는 CWR, ECE, URG, ACK, PSH, RST, SYN, FIN으로 분류될 수 있다.
그리고, 모니터링 방식에서는 모니터링 정보를 네트워크 장비의 어느 인터페이스로 전송할 것인가와 모니터링 정보 전송 방식을 결정해야 한다. 여기서, 모니터링 정보 전송 방식은 하기의 표 2와 같이 4가지가 있을 수 있다.
방식 설명
단일패킷복사 - 대상 패킷에서 모니터링 정보를 포함하도록 대상 패킷의 처음부터 일정 byte까지만 복사하여 모니터링 인터페이스로 전송
단일패킷복사원격 전송 - 대상 패킷에서 모니터링 정보를 포함하도록 대상 패킷의 처음부터 일정 byte까지만 복사하여 특정 프로토콜을 이용하여 모니터링 대상에게 전송
- 사용자 결정 사항
- 전송 프로토콜 : TCP, UDP, ICMP, ARP 등
- 수신 장비 정보 : 전송 프로토콜에 따라 MAC, IP, port 등
단일패킷정보원격 전송 - 모니터링 정보를 수신할 장비를 설정하고 특정 프로토콜을 이용하여 모니터링 대상 패킷의 모니터링 정보를 모니터링 대상 패킷마다 매번 전송
- 사용자 결정 사항
- 전송 프로토콜 : TCP, UDP, ICMP, ARP 등
- 수신 장비 정보 : 전송 프로토콜에 따라 MAC, IP, port 등
복수패킷정보원격 전송 - 모니터링 정보를 수신할 장비를 설정하고 특정 프로토콜을 이용하여 모니터링 대상 패킷의 모니터링 정보를 여러 개 모아서 전송
- 사용자 결정 사항
- 전송 프로토콜 : TCP, UDP, ICMP, ARP 등
- 수신 장비 정보 : 전송 프로토콜에 따라 MAC, IP, port 등
표 2에서, "단일패킷복사"는 미러링이나 태핑 장비와 같이 모니터링 대상 패킷의 형태를 그대로 유지하는 방식이다. 관리부(14)의 설정에 따라 모니터링 정보에 따라 모니터링 대상 패킷의 일부분은 제외될 수 있다.
"단일패킷복사원격전송"은 "단일패킷복사"방식에서 복사한 부분을 사용자가 원하는 프로토콜을 이용하여 본 발명에서 제안하는 네트워크 장치가 모니터링 정보를 수신할 장비에게 전송하는 방식이다.
도 5는 "단일패킷복사" 방식과 "단일패킷복사원격전송" 방식(UDP 프로토콜 사용시)을 간단히 비교한 도면이다. 이때, 맥 헤더(MAC header), 아이피 헤더(IP header), 유디피 헤더(UDP header)에서 출발지 맥(src MAC), 출발지 아이피(src IP), 출발지 포트(src port)는 본 발명에서 제안하는 네트워크 장치에 대한 정보이고, 도착지 맥(dst MAC), 도착지 아이피(dst IP), 도착지 포트(dst port)는 모니터링 정보를 수신할 장비에 대한 정보를 뜻한다.
한편, "단일패킷정보원격전송"은 본 발명에서 제안하는 네트워크 장치가 모니터링 정보를 수신할 장비에게 특정 프로토콜을 이용하여 모니터링 대상 패킷의 모니터링 정보만을 모니터링 대상 패킷이 발생할 때마다 전송하는 것이다.
도 6은 "단일패킷정보원격전송"의 예이다. 전송 프로토콜이 UDP이고, 모니터링 정보가 타임스탬프(T), 출발지 아이피(Src IP), 목적지 아이피(Dst IP)일 경우 해당 정보만을 유디피 페이로드(UDP payload) 부분을 이용하여 전송하는 것이다. 이때, 맥 헤더(MAC header), 아이피 헤더(IP header), 유디피 헤더(UDP header)에서 출발지 맥(src MAC), 출발지 아이피(src IP), 출발지 포트(src port)는 본 발명에서 제안하는 네트워크 장치에 대한 정보이고, 도착지 맥(dst MAC), 도착지 아이피(dst IP), 도착지 포트(dst port)는 모니터링 정보를 수신할 장비에 대한 정보를 뜻한다.
이와 같이 할 경우 본 발명에서 제안하는 네트워크 장치와 모니터링 정보를 수신할 장비가 네트워크상에 연결만 되어 있으면 원격으로 전송이 가능하다는 장점이 있다. 또한, 모니터링 정보에 타임스탬프(T)를 포함하여 전송하므로 모니터링 정보 전송에서 발생하는 시간 딜레이와 관계없이 모니터링 대상 패킷이 본 발명에서 제시하는 네트워크 장치에 도착하는 시각 정보를 정확히 알 수 있는 장점이 있다.
그리고, "복수패킷정보원격전송"은 "단일패킷정보원격전송"과 비슷한 방식인데, 여러 개 패킷의 모니터링 정보를 하나의 패킷에 모아서 전송하는 방식이다.
도 7은 "복수패킷정보원격전송"의 예를 보여준다. 모니터링 정보가 결정되어 있고, 하나의 패킷으로 보낼 수 있는 최대 용량을 결정하면 하나의 패킷에 몇 개의 모니터링 패킷의 정보를 보낼 수 있을지 알 수 있다. 이와 같이 하면 하나의 패킷으로 여러 개의 모니터링 대상 패킷의 정보를 전송할 수 있어 모니터링 정보 전송량 및 속도(pps, packet per second)를 크게 줄일 수 있다. 특히, pps의 감소는 모니터링 정보 수신 시스템 성능 한계에 의한 수신 과정에서의 패킷 드랍(packet drop) 등의 문제를 줄일 수 있다.
도 8은 본 발명의 실시예에 따른 선별적 정보 모니터링 방법을 설명하는 플로우차트이다.
먼저, S10에서, 물리(PHY) 인터페이스(10)가 모니터링 대상 호스트(도시 생략)로부터 패킷을 입력받는다. 물리(PHY) 인터페이스(10)는 입력받은 패킷을 스위치 패브릭 모듈(22)의 컨피규러블 모니터링부(24)에게로 보낸다.
S12에서, 컨피규러블 모니터링부(24)는 모니터링 대상 호스트인지 여부를 관리부(14)에서 설정된 정보를 바탕으로 모니터링 대상 호스트의 모니터링 여부를 결정한다.
만약, 모니터링 대상 호스트가 아닌 경우에는 모니터링을 하지 않고(S14), 모니터링 대상 호스트이면 컨피규러블 모니터링부(24)는 도 3 및 도 4의 형태로 모니터링 정보 추출을 행한다(S16).
이어, S18에서, 컨피규러블 모니터링부(24)는 모니터링 정보의 추출이 완료되면 모니터링 전송 방식을 확인한다. 여기서, 모니터링 전송 방식은 표 2와 같은 방식으로 결정하여 처리한다. 이는 모니터링 대상 패킷의 경우 패킷 전체를 모니터링할 것인지 아니면 일부 정보만을 모니터링할 것인지를 결정하여 처리한다.
컨피규러블 모니터링부(24)는 관리부(14)의 패킷 모니터링 설정 정보에 따라 단일패킷복사 전송이 설정되어 있으면, 모니터링 대상 패킷에서 모니터링 정보를 포함하도록 모니터링 대상 패킷의 처음부터 일정 바이트까지만 또는 모니터링 대상 패킷의 전체를 복사하여 전송한다(S20).
컨피규러블 모니터링부(24)는 관리부(14)의 패킷 모니터링 설정 정보에 따라 단일패킷복사원격 전송이 설정되어 있으면, 모니터링 대상 패킷에서 모니터링 정보를 포함하도록 모니터링 대상 패킷의 처음부터 일정 바이트까지만 또는 모니터링 대상 패킷의 전체를 복사하여 특정 프로토콜을 이용하여 전송한다(S22).
컨피규러블 모니터링부(24)는 관리부(14)의 패킷 모니터링 설정 정보에 따라 단일패킷정보원격 전송이 설정되어 있으면, 프로토콜에 따라 헤더를 생성하고 모니터링 정보를 추가하여 전송한다(S24).
컨피규러블 모니터링부(24)는 관리부(14)의 패킷 모니터링 설정 정보에 따라 복수패킷정보원격 전송이 설정되어 있으면 준비된 전송 패킷이 있는지를 확인한다(S26).
S26에서의 확인 결과, 준비된 전송 패킷이 없다면 컨피규러블 모니터링부(24)는 프로토콜에 따라 헤더를 생성하고 모니터링 정보를 추가한 전송 패킷을 생성한다(S28). S28에서는 생성한 전송 패킷을 전송하지는 않는다.
S26에서의 확인 결과, 준비된 전송 패킷이 있다면 전송 패킷에 모니터링 정보가 추가가능한지를 확인한다(S30).
만약, 전송 패킷에 모니터링 정보를 추가할 수 있다면 컨피규러블 모니터링부(24)는 전송 패킷에 모니터링 정보를 추가한다(S32).
반대로, 전송 패킷에 모니터링 정보를 추가할 수 없다면 컨피규러블 모니터링부(24)는 현재까지의 전송 패킷을 전송한다(S34).
이상에서와 같이 도면과 명세서에서 최적의 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로, 본 기술 분야의 통상의 지식을 가진자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
10 : 물리 인터페이스 12 : 관리 인터페이스
14 : 관리부 16 : 중앙처리장치
18 : 메모리 20 : 전원부
22 : 스위치 패브릭 모듈 24 : 컨피규러블 모니터링부
26 : 스위칭부 24a : 패킷 정보 필터링부
24b : 정보전송부

Claims (18)

  1. 모니터링 대상 호스트와 연결되어 상기 모니터링 대상 호스트로부터 네트워크 패킷을 입력받는 하나 이상의 물리 인터페이스; 및
    상기 하나 이상의 물리 인터페이스를 통해 수집되는 네트워크 패킷에 대해 선별적인 정보 추출이 가능하게 필터링하는 컨피규러블 모니터링부를 포함하는 스위치 패브릭 모듈;을 포함하고,
    상기 컨피규러블 모니터링부는, 입력되는 모니터링 설정 정보를 기반으로 상기 하나 이상의 물리 인터페이스를 통해 수집되는 네트워크 패킷에서 모니터링할 정보만을 추출하는 패킷 정보 필터링부; 및 상기 패킷 정보 필터링부에서 추출한 정보를 상기 모니터링 설정 정보내의 전송방식에 따라 전송하는 정보전송부;를 포함하고,
    상기 모니터링 설정 정보는 모니터링할 물리 인터페이스의 이름과 각각의 물리 인터페이스에서 상기 모니터링할 패킷이 인바운드인지 아웃바운드인지를 명시한 정보를 포함하는 모니터링 대상, 상기 수집된 네트워크 패킷에서 어느 정보만을 모니터링할 것인지를 결정하는 모니터링 정보, 및 상기 추출한 정보를 어느 인터페이스로 전송할 것인지 및 모니터링 정보 전송 방식을 결정하는 모니터링 방식을 포함하고,
    상기 모니터링 정보 전송 방식은, 상기 네트워크 패킷의 형태를 그대로 유지하는 단일패킷복사 방식, 상기 단일패킷복사 방식에서 복사한 부분을 사용자가 원하는 프로토콜을 이용하여 모니터링 정보 수신 장비에게 전송하는 단일패킷복사원격전송 방식, 상기 모니터링 정보 수신 장비에게 특정 프로토콜을 이용하여 상기 네트워크 패킷의 모니터링 정보만을 모니터링 대상 패킷이 발생할 때마다 전송하는 단일패킷정보원격전송 방식, 및 여러 개의 패킷의 모니터링 정보를 하나의 패킷에 모아서 전송하는 복수패킷정보원격전송 방식중에서 하나인 것을 특징으로 하는 네트워크 장치.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 청구항 1에 있어서,
    상기 모니터링 정보는 레이어 2 패킷의 정보 추출의 경우 프림엠블, 시작 필드, 목적지 MAC, 출발지 MAC, 및 길이 타입을 포함하는 것을 특징으로 하는 네트워크 장치.
  6. 청구항 1에 있어서,
    상기 모니터링 정보는 레이어 3 패킷의 정보 추출의 경우 출발지 IP주소, 도착지 IP주소, 헤더길이, 프로토콜 번호, 및 TTL을 포함하는 것을 특징으로 하는 네트워크 장치.
  7. 청구항 1에 있어서,
    상기 모니터링 정보는 레이어 4 패킷의 정보 추출의 경우 출발지 포트, 도착지 포트, 시퀀스 넘버, ACK 넘버, 및 플래그를 포함하는 것을 특징으로 하는 네트워크 장치.
  8. 삭제
  9. 청구항 1에 있어서,
    상기 모니터링 정보는 상기 하나 이상의 물리 인터페이스를 통해 수집되는 네트워크 패킷의 타임스탬프, 및 어느 물리 인터페이스를 통해 들어온 네트워크 패킷인지를 나타내는 인터페이스 이름을 포함하는 것을 특징으로 하는 네트워크 장치.
  10. 모니터링 대상 호스트와 연결된 하나 이상의 물리 인터페이스가, 상기 모니터링 대상 호스트로부터의 네트워크 패킷을 입력받는 단계; 및
    컨피규러블 모니터링부가, 상기 하나 이상의 물리 인터페이스를 통해 수집되는 네트워크 패킷에 대해 선별적인 정보 추출이 가능하게 필터링하는 단계;를 포함하고,
    상기 선별적인 정보 추출이 가능하게 필터링하는 단계는, 입력되는 모니터링 설정 정보를 기반으로 상기 하나 이상의 물리 인터페이스를 통해 수집되는 네트워크 패킷에서 모니터링할 정보만을 추출하는 단계; 및 상기 추출한 정보를 상기 모니터링 설정 정보내의 전송방식에 따라 전송하는 단계;를 포함하고,
    상기 모니터링 설정 정보는 모니터링할 물리 인터페이스의 이름과 각각의 물리 인터페이스에서 상기 모니터링할 패킷이 인바운드인지 아웃바운드인지를 명시한 정보를 포함하는 모니터링 대상, 상기 수집된 네트워크 패킷에서 어느 정보만을 모니터링할 것인지를 결정하는 모니터링 정보, 및 상기 추출한 정보를 어느 인터페이스로 전송할 것인지 및 모니터링 정보 전송 방식을 결정하는 모니터링 방식을 포함하고,
    상기 모니터링 정보 전송 방식은, 상기 네트워크 패킷의 형태를 그대로 유지하는 단일패킷복사 방식, 상기 단일패킷복사 방식에서 복사한 부분을 사용자가 원하는 프로토콜을 이용하여 모니터링 정보 수신 장비에게 전송하는 단일패킷복사원격전송 방식, 상기 모니터링 정보 수신 장비에게 특정 프로토콜을 이용하여 상기 네트워크 패킷의 모니터링 정보만을 모니터링 대상 패킷이 발생할 때마다 전송하는 단일패킷정보원격전송 방식, 및 여러 개의 패킷의 모니터링 정보를 하나의 패킷에 모아서 전송하는 복수패킷정보원격전송 방식중에서 하나인 것을 특징으로 하는 선별적 정보 모니터링 방법.
  11. 삭제
  12. 삭제
  13. 삭제
  14. 청구항 10에 있어서,
    상기 모니터링 정보는 레이어 2 패킷의 정보 추출의 경우 프림엠블, 시작 필드, 목적지 MAC, 출발지 MAC, 및 길이 타입을 포함하는 것을 특징으로 하는 선별적 정보 모니터링 방법.
  15. 청구항 10에 있어서,
    상기 모니터링 정보는 레이어 3 패킷의 정보 추출의 경우 출발지 IP주소, 도착지 IP주소, 헤더길이, 프로토콜 번호, 및 TTL을 포함하는 것을 특징으로 하는 선별적 정보 모니터링 방법.
  16. 청구항 10에 있어서,
    상기 모니터링 정보는 레이어 4 패킷의 정보 추출의 경우 출발지 포트, 도착지 포트, 시퀀스 넘버, ACK 넘버, 및 플래그를 포함하는 것을 특징으로 하는 선별적 정보 모니터링 방법.
  17. 삭제
  18. 청구항 10에 있어서,
    상기 모니터링 정보는 상기 하나 이상의 물리 인터페이스를 통해 수집되는 네트워크 패킷의 타임스탬프, 및 어느 물리 인터페이스를 통해 들어온 네트워크 패킷인지를 나타내는 인터페이스 이름을 포함하는 것을 특징으로 하는 선별적 정보 모니터링 방법.
KR1020130123776A 2013-10-17 2013-10-17 네트워크 장치 및 이를 이용한 선별적 정보 모니터링 방법 KR101564643B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020130123776A KR101564643B1 (ko) 2013-10-17 2013-10-17 네트워크 장치 및 이를 이용한 선별적 정보 모니터링 방법
US14/289,803 US9742699B2 (en) 2013-10-17 2014-05-29 Network apparatus and selective information monitoring method using the same
JP2014115611A JP2015080193A (ja) 2013-10-17 2014-06-04 ネットワーク装置およびこれを用いた選別的情報モニタリング方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130123776A KR101564643B1 (ko) 2013-10-17 2013-10-17 네트워크 장치 및 이를 이용한 선별적 정보 모니터링 방법

Publications (2)

Publication Number Publication Date
KR20150045016A KR20150045016A (ko) 2015-04-28
KR101564643B1 true KR101564643B1 (ko) 2015-11-09

Family

ID=52826075

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130123776A KR101564643B1 (ko) 2013-10-17 2013-10-17 네트워크 장치 및 이를 이용한 선별적 정보 모니터링 방법

Country Status (3)

Country Link
US (1) US9742699B2 (ko)
JP (1) JP2015080193A (ko)
KR (1) KR101564643B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022197073A1 (ko) * 2021-03-17 2022-09-22 주식회사맥데이타 네트워크 보안 및 성능 모니터링 장치, 시스템 및 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008042915A (ja) 2006-08-04 2008-02-21 Fujitsu Ltd パケットをフィルタリングする方法、システム及び論理装置
KR100850629B1 (ko) * 2007-02-01 2008-08-05 에스케이 텔레콤주식회사 네트워크에서 전송되는 데이터 패킷을 필터링하는 네트워크인터페이스 카드 및 필터링 방법

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2351175C (en) 1998-11-24 2016-05-03 Niksun, Inc. Apparatus and method for collecting and analyzing communications data
JP2003023464A (ja) * 2001-07-11 2003-01-24 Kddi Corp 時刻情報付パケット収集蓄積システム
JP3803635B2 (ja) 2002-12-25 2006-08-02 日本電気通信システム株式会社 高速ルータ、パケットモニタシステムとパケットモニタ方法
JP2007081938A (ja) 2005-09-15 2007-03-29 Matsushita Electric Ind Co Ltd 装置診断システム
KR100671044B1 (ko) 2005-09-21 2007-01-17 유넷시스템주식회사 내부네트워크 상의 유해 트래픽 분석 시스템 및 방법
JP4519791B2 (ja) 2006-03-07 2010-08-04 日本電信電話株式会社 トラフィック情報収集システムおよびネットワーク機器
US20070245016A1 (en) * 2006-04-18 2007-10-18 Lian Li System and method of single-channel account reporting
JP4774357B2 (ja) 2006-05-18 2011-09-14 アラクサラネットワークス株式会社 統計情報収集システム及び統計情報収集装置
US7656812B2 (en) * 2006-07-27 2010-02-02 Cisco Technology, Inc. Monitoring of data packets in a fabric
JP4988632B2 (ja) 2008-03-19 2012-08-01 アラクサラネットワークス株式会社 パケット中継装置およびトラフィックモニタシステム
JP5625938B2 (ja) 2011-01-19 2014-11-19 沖電気工業株式会社 通信装置、通信システム及び通信プログラム
JP5583038B2 (ja) 2011-01-25 2014-09-03 三菱電機株式会社 パケットキャプチャ装置
JP2012169756A (ja) 2011-02-10 2012-09-06 Hitachi Ltd 暗号化通信検査システム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008042915A (ja) 2006-08-04 2008-02-21 Fujitsu Ltd パケットをフィルタリングする方法、システム及び論理装置
KR100850629B1 (ko) * 2007-02-01 2008-08-05 에스케이 텔레콤주식회사 네트워크에서 전송되는 데이터 패킷을 필터링하는 네트워크인터페이스 카드 및 필터링 방법

Also Published As

Publication number Publication date
KR20150045016A (ko) 2015-04-28
US9742699B2 (en) 2017-08-22
US20150109936A1 (en) 2015-04-23
JP2015080193A (ja) 2015-04-23

Similar Documents

Publication Publication Date Title
CN108040057B (zh) 适于保障网络安全、网络通信质量的sdn系统的工作方法
JP4759389B2 (ja) パケット通信装置
US8724466B2 (en) Packet filtering
US7636305B1 (en) Method and apparatus for monitoring network traffic
US10243862B2 (en) Systems and methods for sampling packets in a network flow
JP5883920B2 (ja) パケット重複排除のためのシステムおよび方法
JP4557815B2 (ja) 中継装置および中継システム
US8966627B2 (en) Method and apparatus for defending distributed denial-of-service (DDoS) attack through abnormally terminated session
KR101442020B1 (ko) 송신 제어 프로토콜 플러딩 공격 방어 방법 및 장치
US7876676B2 (en) Network monitoring system and method capable of reducing processing load on network monitoring apparatus
US10931711B2 (en) System of defending against HTTP DDoS attack based on SDN and method thereof
US20140189867A1 (en) DDoS ATTACK PROCESSING APPARATUS AND METHOD IN OPENFLOW SWITCH
JP6454224B2 (ja) 通信装置
US10834125B2 (en) Method for defending against attack, defense device, and computer readable storage medium
TWI492090B (zh) 分散式阻斷攻擊防護系統及其方法
JP2017216664A (ja) パケット中継装置
US9906438B2 (en) Communication node, control apparatus, communication system, packet processing method, communication node controlling method and program
KR101564643B1 (ko) 네트워크 장치 및 이를 이용한 선별적 정보 모니터링 방법
CN115885502A (zh) 对中间网络节点进行诊断
JP2008278357A (ja) 通信回線切断装置
Wang et al. An approach for protecting the openflow switch from the saturation attack
US7649906B2 (en) Method of reducing buffer usage by detecting missing fragments and idle links for multilink protocols and devices incorporating same
JP2006164038A (ja) DoS攻撃あるいはDDoS攻撃に対処する方法、ネットワーク装置、および分析装置
KR101804633B1 (ko) 패킷 처리를 위한 장치 및 방법
JP6746541B2 (ja) 転送システム、情報処理装置、転送方法及び情報処理方法

Legal Events

Date Code Title Description
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20181002

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190925

Year of fee payment: 5