KR101622874B1 - 데이터 유출 방지를 위해 심층 패킷 검사와 심층 컨텐츠 검사를 연동하여 네트워크 패킷을 처리하는 방법 및 시스템 - Google Patents

데이터 유출 방지를 위해 심층 패킷 검사와 심층 컨텐츠 검사를 연동하여 네트워크 패킷을 처리하는 방법 및 시스템 Download PDF

Info

Publication number
KR101622874B1
KR101622874B1 KR1020150025752A KR20150025752A KR101622874B1 KR 101622874 B1 KR101622874 B1 KR 101622874B1 KR 1020150025752 A KR1020150025752 A KR 1020150025752A KR 20150025752 A KR20150025752 A KR 20150025752A KR 101622874 B1 KR101622874 B1 KR 101622874B1
Authority
KR
South Korea
Prior art keywords
packet
port
protocol
deep
received
Prior art date
Application number
KR1020150025752A
Other languages
English (en)
Inventor
박동훈
구자진
이래욱
강경준
Original Assignee
닉스테크 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 닉스테크 주식회사 filed Critical 닉스테크 주식회사
Priority to KR1020150025752A priority Critical patent/KR101622874B1/ko
Application granted granted Critical
Publication of KR101622874B1 publication Critical patent/KR101622874B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

데이터 유출 방지를 위한 패킷 처리 방법이 개시된다. 일실시예는 클라이언트로부터 수신한 패킷 중 심층적으로 컨텐츠를 검사할 패킷을 선별하는 심층 패킷 검사하고, 상기 클라이언트로부터 수신한 패킷의 프로토콜 분석을 통해 미리 정해진 포트에 부합하는지 여부를 판단하여, 미리 정해진 포트에 부합하는 경우, 목적지 포트를 대응하는 포트로 변경하고, 상기 선별된 패킷의 페이로드(Payload)를 검사하여 미리 정의된 정책에 위반되는지 여부를 검사하는 단계를 포함한다.

Description

데이터 유출 방지를 위해 심층 패킷 검사와 심층 컨텐츠 검사를 연동하여 네트워크 패킷을 처리하는 방법 및 시스템{METHOD AND SYSTEM TO PROCESS NETWORK PACKET BY INTERWORKING BETWEEN DEEP CONTENT INSPECTION AND DEEP PACKET INSPECTION FOR DATA LOSS PREVENTION}
아래 실시예들은 네트워크에서 데이터 유출 방지(Data Loss Preventation, DLP)를 위한 네트워크 패킷 처리 시스템 및 방법에 관한 것이다.
데이터 유출 방지(Data Loss Preventation, DLP)는 내부 네트워크 상에 존재하는 기밀 데이터가 외부 네트워크로 나가는 것을 탐지하여 데이터의 유출을 방지하는 것을 말한다. 이러한 데이터 유출 방지를 구현하기 위해서, 외부 네트워크로 나가는 모든 패킷을 탐지하여 파악할 수 있어야 한다. 이를 위해서, 외부 네트워크로 나가는 모든 패킷들에 대한 분석이 이루어져서 외부로 나가도 되는 패킷인지에 대한 판단이 이루어져야 하는데, 모든 패킷에 대해서 이러한 분석 과정을 거치게 되면, 네트워크의 부하가 심해지게 된다.
실시예들은 심층 패킷 검사(Deep Packet Inspection, DPI) 장치와 심층 컨텐츠 검사(Deep Content Inspection, DCI) 장치를 연동하여 데이터 유출을 방지하는 네트워크 패킷 처리 기술을 제공할 수 있다.
또한, 실시예들은 심층 패킷 검사 장치에서 패킷을 분석하여, 검사해야 하는 패킷을 선별하여 심층 컨텐츠 검사 장치로 우회시키고, 심층 컨텐츠 검사 장치에서 검사 대상 패킷에 대해 정책 준수 여부를 판단하도록 하여 집중되었던 부하를 분산시키는 기술을 제공할 수 있다.
또한, 실시예들은 심층 패킷 검사 장치에서 전달 받은 패킷의 페이로드(Payload) 내 특정 패턴을 검출하여 해당 패킷이 업로드를 위한 패킷인지 여부를 판단하여 심층 컨텐츠 검사 장치로 우회하는 패킷의 수를 최소화하는 기술을 제공할 수 있다.
일실시예에 따르면, 데이터 유출 방지를 위한 패킷 처리 시스템이 제공된다. 데이터 유출 방지를 위한 패킷 처리 시스템은, 클라이언트로부터 수신한 패킷 중 심층적으로 컨텐츠를 검사할 패킷을 선별하는 심층 패킷 검사(Deep Packet Inspection) 장치 및 선별된 패킷의 페이로드(Payload)를 검사하는 심층 컨텐츠 검사(Deep Content Inspection) 장치를 포함할 수 있다.
이 때, 심층 패킷 검사 장치는, 클라이언트로부터 수신한 패킷의 프로토콜 분석을 통해 미리 정해진 포트에 부합하는 프로토콜을 포함하는지 여부를 판단하여, 미리 정해진 포트에 부합하는 프로토콜을 포함하는 경우, 목적지 포트를 프로토콜에 대응하는 포트로 변경하여 심층 컨텐츠 검사 장치로 전달하는 우회 판단부를 포함할 수 있다.
우회 판단부는, 클라이언트로부터 수신한 패킷 내의 프로토콜 형식 및 스트링(String)과 미리 데이터베이스에 저장된 프로토콜 형식 및 스트링을 비교하여 클라이언트로부터 수신한 패킷의 프로토콜을 분석할 수 있다.
또한, 우회 판단부는, 클라이언트로부터 수신한 패킷의 특정 패턴을 검출하여 수신한 패킷이 업로드를 위한 패킷인지 여부를 판단하고, 수신한 패킷이 업로드를 위한 패킷인 경우, 심층 컨텐츠 검사 장치로 전달할 수 있다.
우회 판단부는, 클라이언트로부터 수신한 패킷의 헤더 내 특정 텍스트 입력 폼 부분 판단 방법, 멀티파트(multi-part)를 통한 파일 업로드 시 특정 업로드 값 부분의 추출 방법 및 HTTP에서 요청 방법 중 POST를 포함하는 패킷의 추출 방법 중 적어도 한 방법을 통해 수신한 패킷이 업로드를 위한 패킷인지 여부를 판단할 수 있다.
심층 패킷 검사 장치는, 심층 컨텐츠 검사 장치로 전달하는 패킷이 첫 세션 연결인 경우, 출발지 IP, 출발지 포트, 목적지 IP, 목적지 포트를 세션 테이블에 저장하는 제1 세션 등록부를 포함할 수 있다.
제1 세션 등록부는, 포트 변경이 있었던 경우, 목적지 IP, 변경 전 목적지 포트 및 변경 후 목적지 포트를 세션 테이블에 더 저장할 수 있다.
심층 패킷 검사 장치는, 클라이언트로부터 수신한 패킷의 프로토콜 분석을 통해 미리 정해진 포트에 부합하는 프로토콜을 포함하는지 여부를 판단하여, 미리 정해진 포트에 부합하는 프로토콜을 포함하는 경우, 수신한 패킷의 IP, 포트 및 프로토콜 명칭을 테이블에 저장할 수 있다.
심층 패킷 검사 장치는, 테이블에 저장된 IP 및 포트에 대응하는 패킷이 수신된 경우, 패킷이 상기 테이블에 저장된 프로토콜 명칭에 해당하는 프로토콜을 포함하는 것으로 판단하고, 목적지 포트를 프로토콜에 대응하는 포트로 변경하여 심층 컨텐츠 검사 장치로 전달할 수 있다.
심층 컨텐츠 검사 장치는, 선별된 패킷의 페이로드(Payload)를 검사하여 미리 정의된 정책에 위반되는지 여부를 검사하는 정책 기반 검사부를 포함할 수 있다.
정책 기반 검사부는, 미리 정의된 정책에 위반되지 않는 경우, 선별된 패킷의 출발지 IP와 유휴상태에 있는 임의 포트를 출발지 포트로 바인드(Bind) 설정한 뒤 심층 패킷 검사 장치로 전송하여 서버와 연결할 수 있다.
심층 컨텐츠 검사 장치는, 서버로부터 수신한 응답 패킷을 심층 패킷 검사 장치에서 선별된 패킷에 응답으로 전달하여 중계하는 투명성 보장부를 더 포함할 수 있다.
심층 패킷 검사 장치는, 심층 컨텐츠 검사 장치에서 수신한 패킷의 출발지 IP, 출발지 포트, 목적지 IP 및 목적지 포트를 세션 테이블에 등록하고, 제1 세션 등록부에서 등록한 세션 테이블을 참고하여 포트 변경이 일어난 경우, 원래의 포트로 변경 후에 서버로 전달하는 제2 세션 등록부를 포함할 수 있다.
일실시예에 따른 데이터 유출 방지를 위한 패킷 처리 방법은, 클라이언트로부터 수신한 패킷 중 심층적으로 컨텐츠를 검사할 패킷을 선별하는 심층 패킷 검사 단계 및 선별된 패킷의 페이로드(Payload)를 심층 컨텐츠 검사하는 단계를 포함하고, 심층 패킷 검사 단계는, 클라이언트로부터 수신한 패킷의 프로토콜 분석을 통해 미리 정해진 포트에 부합하는 프로토콜을 포함하는지 여부를 판단하여, 미리 정해진 포트에 부합하는 프로토콜을 포함하는 경우, 목적지 포트를 프로토콜에 대응하는 포트로 변경하는 단계를 포함할 수 있다.
심층 패킷 검사 단계는, 클라이언트로부터 수신한 패킷 내의 프로토콜 형식, 스트링(String)과 미리 데이터베이스에 저장된 프로토콜 형식, 스트링을 비교하여 클라이언트로부터 수신한 패킷의 프로토콜을 분석하는 단계를 더 포함할 수 있다.
심층 패킷 검사 단계는, 클라이언트로부터 수신한 패킷의 특정 패턴을 검출하여 업로드를 위한 패킷인지 여부를 판단하는 단계를 더 포함할 수 있다.
심층 패킷 검사 단계는, 클라이언트로부터 수신한 패킷의 헤더 내 특정 텍스트 입력 폼 부분 판단 방법, 멀티파트(multi-part)를 통한 파일 업로드 시 특정 업로드 값 부분의 추출 방법 및 HTTP에서 요청 방법 중 POST를 포함하는 패킷의 추출 방법 중 적어도 한 방법을 통해 업로드를 위한 패킷인지 여부를 판단하는 단계를 더 포함할 수 있다.
심층 패킷 검사 단계는, 선별된 패킷이 서버와의 첫 세션 연결인 경우, 출발지 IP, 출발지 포트, 목적지 IP 및 목적지 포트를 세션 테이블에 저장하는 단계를 포함할 수 있다.
세션 테이블에 저장하는 단계는, 포트 변경이 있었던 경우, 목적지 IP, 변경 전 목적지 포트 및 변경 후 목적지 포트를 세션 테이블에 저장하는 단계를 더 포함할 수 있다.
심층 컨텐츠 검사 단계는, 선별된 패킷의 페이로드(Payload)를 검사하여 미리 정의된 정책에 위반되는지 여부를 검사하는 단계를 포함할 수 있다.
심층 컨텐츠 검사 단계는, 미리 정의된 정책에 위반되지 않는 경우, 선별된 패킷의 출발지 IP와 유휴상태에 있는 임의 포트를 출발지 포트로 바인드(Bind) 설정한 뒤 심층 패킷 검사 장치로 전송하여 서버와 연결하는 단계를 더 포함할 수 있다.
심층 컨텐츠 검사 단계는, 서버로부터 수신한 응답 패킷을 상기 선별된 패킷에 대한 응답으로 전달하여 중계하는 단계를 더 포함할 수 있다.
일실시예에 따른 데이터 유출 방지를 위한 패킷 처리 방법은, 클라이언트로부터 수신한 패킷 중 심층적으로 컨텐츠를 검사할 패킷을 선별하는 심층 패킷 검사 단계 및 선별된 패킷의 페이로드(Payload)를 심층 컨텐츠 검사하는 단계를 포함하고, 심층 패킷 검사 단계는, 클라이언트로부터 수신한 패킷의 프로토콜 분석을 통해 미리 정해진 포트에 부합하는 프로토콜을 포함하는지 여부를 판단하여, 미리 정해진 포트에 부합하는 프로토콜을 포함하는 경우 수신한 패킷의 IP, 포트 및 프로토콜 명칭을 저장하는 단계를 포함할 수 있다.
이때, 심층 패킷 검사 단계는, 테이블에 저장된 IP 및 포트에 대응하는 패킷이 수신된 경우, 패킷이 테이블에 저장된 프로토콜 명칭에 해당하는 프로토콜을 포함하는 것으로 판단하고, 목적지 포트를 프로토콜에 대응하는 포트로 변경하여 심층 컨텐츠 검사 장치로 전달하는 단계를 포함할 수 있다.
도 1은 일실시예에 따른 DPI와 DCI를 연동하여 데이터의 유출을 방지하기 위한 패킷 처리 시스템을 설명하기 위한 도면이다.
도 2는 일실시예에 따른 패킷 처리 시스템의 DPI에서, 클라이언트로부터 수신한 요청 패킷을 처리하는 과정을 설명하기 위한 흐름도이다.
도 3은 일실시예에 따른 패킷 처리 시스템의 DCI 장치에서, DPI 장치로부터 수신한 패킷을 처리하는 과정을 설명하기 위한 흐름도이다.
도 4는 일실시예에 따른 패킷 처리 시스템의 DPI 장치에서, DCI 장치로부터 수신한 패킷을 처리하는 과정을 설명하기 위한 흐름도이다.
도 5는 일실시예에 따른 패킷 처리 시스템에서, 서버로부터 수신한 응답 패킷을 처리하는 과정을 설명하기 위한 흐름도이다.
도 6은 일실시예에 따른 패킷 처리 시스템에서, 클라이언트로부터 서버로 요청 패킷을 전달할 때, 패킷의 변화를 설명하기 위한 도면이다.
도 7은 일실시예에 따른 패킷 처리 시스템에서, 서버로부터 클라이언트로 응답 패킷을 전달할 때, 패킷의 변화를 설명하기 위한 도면이다.
본 명세서에 개시되어 있는 본 발명의 개념에 따른 실시예들에 대해서 특정한 구조적 또는 기능적 설명들은 단지 본 발명의 개념에 따른 실시예들을 설명하기 위한 목적으로 예시된 것으로서, 본 발명의 개념에 따른 실시예들은 다양한 형태로 실시될 수 있으며 본 명세서에 설명된 실시예들에 한정되지 않는다.
본 발명의 개념에 따른 실시예들은 다양한 변경들을 가할 수 있고 여러 가지 형태들을 가질 수 있으므로 실시예들을 도면에 예시하고 본 명세서에 상세하게 설명하고자 한다. 그러나, 이는 본 발명의 개념에 따른 실시예들을 특정한 개시형태들에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물, 또는 대체물을 포함한다.
제1 또는 제2 등의 용어를 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만, 예를 들어 본 발명의 개념에 따른 권리 범위로부터 이탈되지 않은 채, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소는 제1 구성요소로도 명명될 수 있다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 구성요소들 간의 관계를 설명하는 표현들, 예를 들어 "~사이에"와 "바로~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.
본 명세서에서 사용한 용어는 단지 특정한 실시예들을 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 설시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 일실시예에 따른 DPI와 DCI를 연동하여 데이터의 유출을 방지하기 위한 패킷 처리 시스템을 설명하기 위한 도면이다.
도 1을 참조하면, 클라이언트(110)와 서버(140)를 연결하는 패킷 처리 시스템은 심층 패킷 검사 장치(120) 및 심층 컨텐츠 검사 장치(130)를 포함할 수 있다.
일실시예에 따른 심층 패킷 검사(Deep Packet Inspection, DPI) 장치(120)는 우회 판단부(121), 제1 세션 등록부(122) 및 제2 세션 등록부(123)를 포함할 수 있다.
클라이언트(110)가 서버(140)와의 통신을 위해 요청 패킷을 보내면, DPI 장치(120)는 인터페이스 A(111)를 통해 요청 패킷을 수신할 수 있다. 이때, DPI 장치(120)의 우회 판단부(121)는, 요청 패킷이 특정 프로토콜의 형식, 헤더를 갖추었는지에 대한 분석을 통해 특정 포트에 부합하는 프로토콜인지 판단할 수 있다. 예를 들면, 프로토콜 상 형식이나 헤더로는 HTTP이지만, 포트는 80포트 외 임의로 사용하는 경우에, 특정 포트에 부합하는 프로토콜로 판단할 수 있다. 이때, 프로토콜의 분석 방법으로는 패킷의 내용으로 판단할 수 있다. 일실시예에 따르면, 패킷 내의 스트링(String)과 데이터베이스화 되어 있는 프로토콜 별 형식, 스트링과의 비교를 통해 프로토콜을 분석할 수 있다. 만약, 수신한 패깃이 특정 포트에 부합하는 프로토콜을 포함하는 경우, 목적지 포트를 해당 프로토콜에 부합하는 포트로 변경할 수 있다.
일실시예에 따르면, 수신한 패킷이 특정 포트에 부합하는 프로토콜을 포함하는 경우, 우회 판단부(121)는 IP, 포트 및 프로토콜 명칭을 매칭하여 테이블에 저장할 수 있다. 이후, 우회 판단부(121)는 수신된 패킷의 IP 및 포트를 확인하여 수신한 패킷의 프로토콜을 확인할 수 있고, 수신한 패킷이 특정 포트에 부합하는 프로토콜을 포함하는지 여부를 확인할 수 있다. 즉, 프로토콜 형식 등의 분석 단계를 거치지 않고, 우회 판단부(121)는 IP 및 포트 만으로 특정 프로토콜에 해당함을 확인할 수 있다. 따라서, 우회 판단부(121)는 프로토콜 분석 단계를 생략하고, 목적지 포트를 상태 프로토콜에 대응하는 포트로 변경 하거나, 업로드 패턴 검사를 수행할 수 있다. 이때, IP는 출발지 IP 및 목적지 IP를 포함하고, 포트는 출발지 포트 및 목적지 포트를 포함할 수 있다.
일실시예에 따르면, IP, 포트 및 프로토콜 명칭이 저장된 테이블은 주기적으로 초기화될 수 있다. 일실시예에 따르면, 특정 프로토콜에는 HTTP, HTTPS, FTP, SMTP, Unknown 등이 포함될 수 있다.
일실시예에 따르면, DPI 장치(120)의 우회 판단부(121)는, 요청 패킷의 패킷이 업로드 패킷인지 여부를 검사할 수 있다. 이때, 업로드 패킷인지 여부는 업로드 패턴 검사를 통해 이루어질 수 있다. 일실시예에 따른 업로드 패턴 검사는 미리 정의된 업로드 패턴을 기반으로 해당 패킷을 분석하여 업로드를 위한 패킷인지 여부를 판단할 수 있다. 예를 들면, 업로드 패턴은, 헤더 내의 특정 텍스트 입력 폼 부분 판단, 멀티 파트(multi-part)를 통한 파일 업로드 시 특정 업로드 값 부분의 추출, HTTP에서 요청 방법(METHODE) 중 포스트(POST)를 포함하는 패킷 판단 등이 있다. 여기서, 멀티 파트란 패킷 중 파일을 구분한 뒤 특정 부분을 체크하여 업로드 여부를 판단하는 방법을 말한다.
우회 판단부(121)에서 우회되어야 하는 패킷으로 판단되면, 제1 세션 등록부(122)에서 처음 세션 연결된 패킷인지 여부를 판단할 수 있다. 여기서 세션은 클라이언트와 서버 간의 논리적 연결을 의미한다.
일실시예에 따르면, 요청 패킷이 첫 세션 연결일 경우 제1 세션 등록부(122)는 출발지 IP, 출발지 포트, 목적지 IP, 목적지 포트를 세션 테이블에 등록할 수 있다. 만일, 포트 변경이 일어난 경우라면, 목적지 IP, 변경 전 목적지 포트, 변경 후 목적지 포트도 세션 테이블에 등록할 수 있다. 세션 등록을 마친 후에 DPI 장치(120)는 DCI 장치(130)에 요청 패킷을 전달할 수 있다. 여기서, 요청 패킷의 전달은 DPI 장치의 인터페이스 B(152)와 DCI 장치의 인터페이스 C(153)를 통해 이루어질 수 있다.
다른 일실시예에 따르면, 요청 패킷이 첫 세션 연결이 아닐 경우에는, 세션 테이블에 등록하지 않고 바로 DCI 장치로 요청 패킷을 전달할 수 있다.
또 다른 일실시예에 따르면, 요청 패킷이 특정 프로토콜에 부합하지 않거나, 업로드 패턴 검사에서 우회될 패킷이 아니라고 판단되면, DPI 장치의 인터페이스 F(156)를 통해 서버(140)에 요청 패킷을 전달할 수 있다.
일실시예에 따른 심층 컨텐츠 검사(Deep Content Inspection, DCI) 장치(130)는 정책 기반 검사부(131) 및 투명성 보장부(132)를 포함할 수 있다.
정책 기반 검사부(131)는 DPI 장치(120)로부터 전달 받은 요청 패킷에 대해 페이로드(Payload) 검사를 수행할 수 있다. 일실시예에 따르면, 정책 기반 검사부(131)는 정책을 기반으로 해당 패킷을 판단하여 허용하거나 차단할 수 있다. 만약, 요청 패킷이 허용된 패킷인 경우, 기존 DPI 장치로부터 수신한 패킷 정보 내 출발지 IP와 유휴상태에 있는 임의의 포트로 바인드(Bind)를 설정하고, 별도의 목적지 IP와 포트를 가지고 서버(140)와 연결을 맺을 수 있다. 이때, 출발지 IP와 바인드를 설정하였기에 서버(140)에게는 출발지와 연결된 것처럼 보일 수 있다.
DPI 장치(120)는 DCI 장치에서 허용된 패킷을 수신할 수 있다. 이때, 제2 세션 등록부(123)는 DCI 장치로부터 수신한 패킷이 세션 테이블에 등록된 것인지 여부를 판단할 수 있다. 예를 들면, 만일, 세션 테이블에 등록되지 않은 첫 세션 연결인 경우, 세션 테이블에 출발지 IP, 출발지 포트, 목적지 IP, 목적지 포트를 기재할 수 있다. 또한, 제2 세션 등록부(123)는 제1 세션 등록부(122)에서 등록했던 포트 변경 부분을 참고하여 포트가 변경되었는지 여부를 판단할 수 있다. 이때, 포트 변경이 일어난 패킷인 경우, 원래 포트로 변경하고 목적지인 서버(140)로 전송할 수 있다. 다른 예를 들면, 세션 테이블에 등록되어, 첫 세션 연결이 아닌 경우, 제1 세션 등록부(122)에서 등록했던 포트 변경 부분을 참고하여 포트가 변경되었는지 여부를 판단할 수 있다. 이때, 마찬가지로 포트 변경이 일어난 패킷인 경우, 원래 포트로 변경하고 목적지인 서버(140)로 전송할 수 있다.
DPI 장치(120)는 인터페이스 F(156)를 통해 서버(140)로부터 응답 패킷을 수신할 수 있다. 서버로부터 수신한 응답 패킷은 세션 테이블을 참고하여 세션 테이블에 기재되어 있지 않은 경우, 바로 클라이언트로 전송할 수 있다. 만일, 세션 테이블에 응답 패킷이 기재되어 있는 경우, 해당 테이블을 참고하여 이전에 포트 변경이 일어났는지 여부를 확인할 수 있다. 이때, 포트 변경이 일어난 경우, 포트를 변경하여 DCI 장치로 전송할 수 있다. 이때, 응답 패킷의 전송은 DPI 장치(120)의 인터페이스 E(155)와 DCI 장치(130)의 인터페이스 D(154)를 통해 수행될 수 있다.
DCI 장치(130)의 투명성 보장부(132)에 DPI 측에서 보낸 요청 패킷이 대기하고 있는 상태이기 때문에, 서버(140)의 응답 패킷을 그대로 중계하여 클라이언트(110)와 연결이 된 것처럼 보일 수 있다. 투명성 보장부(132)는 서버(140)에서 전송된 응답 패킷을, 대기중인 DPI 장치로부터 수신한 패킷에 응답으로 보내어 중계되도록 할 수 있다. 따라서, 클라이언트(110)에서 별도의 설정 없이 클라이언트 IP 그대로 DPI 장치와 DCI 장치를 거쳐 서버(140)와 연결될 수 있다.
DPI 장치(120)의 제1 세션 등록부(122)는 DCI 장치(130)로부터 수신한 응답 패킷이 포트 변경이 이루어진 세션인지 여부를 판단할 수 있다. 세션 테이블의 목적지 IP, 변경 전 포트, 변경 후 포트와 출발지 IP, 출발지 포트, 목적지 IP, 목적지 포트를 참고하여, 만일 포트 변경이 이루어진 세션이라면, 원래대로 되돌린 후에 세션 테이블에 기재되어 있는 내용을 참고하여 클라이언트에 전송할 수 있다.
도 2는 일실시예에 따른 패킷 처리 시스템의 DPI에서, 클라이언트로부터 수신한 요청 패킷을 처리하는 과정을 설명하기 위한 흐름도이다.
도 2를 참조하면, 단계(210)에서,DPI 장치(210)는 클라이언트로부터 요청 패킷을 수신할 수 있다. 클라이언트가 서버와의 통신을 위해 요청 패킷을 보내면, DPI 장치는 요청 패킷을 수신할 수 있다. 여기서, DPI(Deep Packet Inspection)는 패킷의 출발지와 목적지 정보 뿐 아니라, 패킷의 내용까지 검사하는 방식으로, 일실시예에 따른 DPI 장치는 클라이언트로부터 수신된 모든 패킷에 대해서 패킷 분석하여 DCI 장치로 우회해야 하는 패킷에 대해 선별할 수 있다.
단계(221)에서, DPI 장치의 우회 판단부는, 요청 패킷이 특정 프로토콜의 형식, 헤더를 갖추었는지에 대한 분석을 통해 특정 포트에 부합하는 프로토콜인지 판단할 수 있다. 예를 들면, 프로토콜 상 형식이나 헤더로는 HTTP이지만, 포트는 80포트 외 임의로 사용하는 경우에 특정 포트에 부합하는 프로토콜로 판단할 수 있다. 이때, 프로토콜의 분석 방법으로는 패킷의 내용으로 판단할 수 있다. 일실시예에 따르면, 패킷 내의 스트링(String)과 데이터베이스화 되어 있는 프로토콜 별 형식, 스트링과의 비교를 통해 프로토콜을 분석할 수 있다. 만약, 특정 포트에 부합하는 프로토콜이 아닌 경우, 단계(223)으로 갈 수 있다. 아니면, 특정 포트에 부합하는 프로토콜인 경우, 단계(222)로 갈 수 있다.
단계(222)에서, 목적지 포트를 해당 프로토콜에 부합하는 포트를 선택하여 변경할 수 있다.
단계(223)에서, DPI 장치는 요청 패킷을 바로 서버로 전송할 수 있다.
단계(230)에서, DPI 장치의 우회 판단부는, 요청 패킷의 패킷이 업로드 패킷인지 여부를 검사할 수 있다. 이때, 업로드 패킷인지 여부는 업로드 패턴 검사를 통해 이루어질 수 있다. 일실시예에 따른 업로드 패턴 검사는 미리 정의된 업로드 패턴을 기반으로 해당 패킷을 분석하여 업로드를 위한 패킷인지 여부를 판단할 수 있다. 예를 들면, 업로드 패턴은, 헤더 내의 특정 텍스트 입력 폼 부분 판단, 멀티 파트(multi-part)를 통한 파일 업로드 시 특정 업로드 값 부분의 추출, HTTP에서 요청 방법(METHODE) 중 포스트(POST)를 포함하는 패킷 판단 등이 있다. 이때, 업로드 패킷인 경우 단계(240)으로 갈 수 있다. 아니면, 업로드 패킷이 아닌 경우, 단계(223)으로 갈 수 있다.
단계(240)에서, DPI 장치의 제1 세션 등록부는 업로드 요청 패킷이 세션 테이블에 존재하는지 여부를 판단할 수 있다. 만일 세션 테이블에 요청 패킷이 존재하는 경우 단계(260)으로 갈 수 있다. 아니면, 세션 테이블에 요청 패킷이 존재하지 않는 경우 단계(250)으로 갈 수 있다.
단계(250)에서, DPI 장치의 제1 세션 등록부는 요청 패킷이 처음으로 세션 연결된 패킷인지 여부를 판단할 수 있다. 만일 요청 패킷이 서버와 처음으로 세션 연결된 패킷인 경우에는 단계(252)로 갈 수 있다. 아니면, 처음 세션 연결하는 패킷이 아닌 경우 단계(251)로 갈 수 있다.
단계(251)에서, DPI 장치의 제1 세션 등록부는 패킷을 드랍시킬 수 있다. 첫 세션 연결이 아니면서 세션 테이블이 존재하지 않는 패킷은 이상한 패킷으로 분류되어 드랍될 수 있다.
단계(252)에서, DPI 장치의 제1 세션 등록부는 세션 테이블에 등록할 수 있다. 이때, 출발지 IP, 출발지 포트, 목적지 IP, 목적지 포트를 세션 테이블에 등록할 수 있다.
단계(270)에서, 제1 세션 등록부는 변경할 포트를 선택할지 판단할 수 있다. 만일 변경할 포트를 선택하지 않을 경우 바로 DCI 장치로 요청 패킷을 전달할 수 있다. 아니면, 변경할 포트를 선택할 경우, 변경된 포트를 세션 테이블에 등록하기 위해 단계(271)로 갈 수 있다.
단계(271)에서, DPI 장치의 제1 세션 등록부는 세션 테이블에 변경할 포트를 세션 테이블에 등록할 수 있다. 이때, 목적지 IP, 변경 전 목적지 포트, 변경 후 목적지 포트도 세션 테이블에 등록할 수 있다.
단계(260)에서, DPI 장치의 제1 세션 등록부는 변경할 포트를 선택할지 여부를 판단할 수 있다. 이때, 변경할 포트를 선택한 경우, 단계(280)으로 갈 수 있다. 아니면, 변경할 포트를 선택하지 않은 경우 단계(290)으로 갈 수 있다.
단계(280)에서, DPI 장치의 제1 세션 등록부는 선택된 포트로 변경을 할 수 있다.
단계(290)에서, DPI 장치는 DCI 장치로 요청 패킷을 전달할 수 있다. 여기서, 요청 패킷의 전달은 DPI 장치의 인터페이스 B와 DCI 장치의 인터페이스 C를 통해 이루어질 수 있다.
일실시예에 따르면, HTTP 프로토콜, POST 헤더, 2240 포트인 패킷이 클라이언트로부터 수신될 수 있다(단계 210). DPI 장치는 HTTP 프로토콜에서 지니는 특정 스트링(String)들을 알고 있으므로, 수신된 패킷이 HTTP 프로토콜임을 확인할 수 있다(단계 221). 다음으로, 포트를 확인하여 HTTP 프로토콜의 웹 서버는 80 포트를 이용하므로, 2240 포트를 80 포트로 변경할 수 있다(단계 222). 단계(230)에서, 업로드 패킷인지 여부를 판단하기 위해 요청 메소드를 확인할 수 있다. 이때, POST 및 GET 메소드 중 POST 메소드이므로 업로드를 위한 패킷임을 확인할 수 있다. 이후 세션 테이블에 존재 여부를 확인하여 세션 테이블에 등록을 할 수 있다.
다른 일실시예에 따르면, 단계(210)에서, 비표준 프로토콜, 80 포트를 이용하는 메신저에서 보낸 패킷이 클라이언트로부터 수신될 수 있다. 단계(221)에서, DPI 장치는 해당 패킷이 특정 프로토콜에 부합하는 스트링들을 지니고 있지 않음을 확인할 수 있다. 단계(221)에서, 임의로 지정한 비 표준 프로토콜에 부합하는지 확인할 수 있다. 이때, 네이트온 메신저의 경우, 메신저 프로토콜에서 지니는 특정 스트링들을 지니고 있음을 확인할 수 있다. 단계(222)에서, 포트를 확인하여 메신저 프로토콜인데 80 포트로 들어왔으므로 포트의 변경이 필요함을 확인할 수 있다. 이때, 미리 정해진 메신저 프로토콜 포트로 지정한 임의의 포트로 변경할 수 있다. 단계(230)에서, 특정텍스트 입력 폼 부분을 확인하여 업로드 패킷인지 여부를 확인할 수 있다. 업로드 패킷에 해당하는 부분의 존재를 확인한 뒤 DPI 장치의 세션 등록부에서 세션 테이블 등록을 진행할 수 있다.
또 다른 일실시예에 따르면, 단계(210)에서, DPI 장치에 SMTP 프로토콜, 25 포트를 이용하는 패킷이 클라이언트로부터 수신될 수 있다. 단계(221)에서, SMTP 프로토콜로 확인하여, SMTP 프로토콜에 부합하는 25 포트로 들어왔으므로, 변경이 불필요함을 확인할 수 있다. 단계(230)에서, 특정 텍스트 입력 폼 부분을 확인하여, 업로드 패킷인지 여부를 확인할 수 있다. 업로드 패킷 여부가 확인되면 제1 세션 등록부를 통해 세션 테이블에 등록 여부를 판단하여 진행할 수 있다.
도 3은 일실시예에 따른 패킷 처리 시스템의 DCI 장치에서, DPI 장치로부터 수신한 패킷을 처리하는 과정을 설명하기 위한 흐름도이다.
도 3을 참조하면, 단계(310)에서, DCI 장치의 정책 기반 검사부는 요청 패킷이 정책상 허용 패킷인지 여부를 판단할 수 있다. 이때, 정책상 허용 패킷인지 여부를 판단하는 과정은, 허용 또는 차단 정책을 적용할 패킷을 가려내는 작업과 가려낸 패킷에 대해 검사를 수행하여 허용할지 차단할 지를 판단하는 과정을 모두 수행할 수 있다. 만일, 정책상 허용되는 패킷이 아니라면, 단계(311)로 갈 수 있다. 아니면, 정책상 허용되는 패킷이라면, 단계(320)으로 갈 수 있다.
단계(311)에서, DCI 장치는 정책상 허용되는 패킷이 아닌 패킷에 대해 패킷 드랍을 수행할 수 있다.
단계(320)에서, DCI 장치의 투명성 보장부는, 정책상 허용되는 패킷의 정보를 추출할 수 있다. 여기서 패킷의 정보는 출발지 IP, 출발지 포트를 포함할 수 있다.
단계(330)에서, DCI 장치의 투명성 보장부는, 해당 패킷 정보로 바인드 설정을 할 수 있다. 정책상 허용된 패킷의 경우, 기존 DPI 장치로부터 수신한 패킷의 출발지 IP와 유휴 상태에 있는 임의의 포트로 바인드(Bind)를 설정하고, DCI 스스로 별도의 목적지 IP와 목적지 포트를 가지도록 하여 서버와 연결할 수 있다.
단계(340)에서, 출발지 IP와 임의의 포트를 바인드하였기에, 서버는 클라이언트와 연결된 것처럼 보일 수 있다. 이후 서버에서 응답 패킷을 보내면 투명성 보장부에 대기하고 있던 수신 패킷에 응답으로 보내어 중계할 수 있다. 따라서, 클라이언트에서 별도의 설정 없이 클라이언트 IP 그대로 DPI 장치와 DCI 장치를 거쳐 서버와 연결될 수 있다.
도 4는 일실시예에 따른 패킷 처리 시스템의 DPI 장치에서, DCI 장치로부터 수신한 패킷을 처리하는 과정을 설명하기 위한 흐름도이다.
도 4를 참조하면, 단계(410)에서, DPI 장치는 DCI 장치에서 허용된 패킷을 수신할 수 있다. 이때, DCI 장치의 인터페이스 D와 DPI 장치의 인터페이스 E를 통해 패킷을 주고 받을 수 있다.
단계(420)에서, DPI 장치의 제2 세션 등록부는 수신된 요청 패킷이 세션 테이블에 존재하는지 여부를 판단할 수 있다. 만일, 세션 테이블에 요청 패킷이 존재하는 경우 단계(440)으로 갈 수 있다. 아니면, 세션 테이블에 요청 패킷이 존재하지 않는 경우, 단계(430)으로 갈 수 있다.
단계(430)에서, 제2 세션 등록부는 세션 테이블에 패킷의 출발지 IP, 출발지 포트, 목적지 IP 및 목적지 포트를 등록할 수 있다.
단계(440)에서, 제2 세션 등록부는 제1 세션 등록부에서 등록했던 포트 변경 부분을 참고하여 포트가 변경되었는지 여부를 판단할 수 있다. 예를 들면, 세션 테이블에 등록되어, 첫 세션 연결이 아닌 경우, 제1 세션 등록부에서 등록했던 포트 변경 부분을 참고하여 포트가 변경되었는지 여부를 판단할 수 있다. 이때, 포트 변경이 있는 경우, 단계(450)으로 갈 수 있다. 아니면, 포트 변경이 없는 경우, 단계(460)으로 갈 수 있다.
단계(450)에서, 포트 변경이 일어난 패킷인 경우, 원래 포트로 변경하고 목적지인 서버로 전송할 수 있다.
단계(460)에서, DCI 장치는 서버에 요청 패킷을 전송할 수 있다.
도 5는 일실시예에 따른 패킷 처리 시스템에서, 서버로부터 수신한 응답 패킷을 처리하는 과정을 설명하기 위한 흐름도이다.
도 5를 참조하면, 단계(510)에서, DPI 장치는 서버로부터 응답 패킷을 수신할 수 있다. 이때, 패킷의 수신은 DPI 장치의 인터페이스 F를 통해 수신될 수 있다.
단계(520)에서, DPI 장치의 제2 세션 등록부는 세션 테이블에 응답 패킷이 존재하는지 여부를 판단할 수 있다. 만일 세션 테이블에 응답 패킷이 존재하는 경우, 단계(530)으로 갈 수 있다. 아니면, 세션 테이블에 응답 패킷이 존재하지 않는 경우, 단계(521)로 갈 수 있다.
단계(521)에서, DPI 장치는 응답 패킷을 클라이언트에게 전송할 수 있다. 이때 패킷의 전송은 DPI 장치의 인터페이스 A를 이용할 수 있다.
단계(530)에서, DPI 장치는 세션 테이블을 참조하여 DCI 장치로 패킷을 전달할 수 있다. 이때, 패킷의 교환은 DPI 장치의 인터페이스 E와 DCI 장치의 인터페이스 D를 통해 수행될 수 있다.
단계(540)에서, DCI 장치의 투명성 보장부는 대기 중인 요청 패킷에 응답 패킷을 그대로 중계할 수 있다.
단계(550)에서, DCI 장치는 DPI 장치로 패킷을 전송할 수 있다. 이때, 패킷의 교환은 DCI 장치의 인터페이스 C와 DPI 장치의 인터페이스 B를 통해 수행될 수 있다.
단계(560)에서, DPI 장치의 제1 세션 등록부는, 세션 테이블을 참조하고, 단계(570)에서 포트의 변경 여부를 판단할 수 있다. 만일 포트가 변경된 경우, 단계(571)로 갈 수 있다. 아니면, 포트가 변경되지 않은 경우, 단계(580)으로 갈 수 있다.
단계(571)에서, DPI 장치는 변경된 포트를 변경 전 포트로 되돌릴 수 있다.
단계(580)에서, DPI 장치는 세션 테이블을 참조하여 클라이언트에게 패킷을 전달할 수 있다. 이때, 패킷의 전달은 DPI 장치의 인터페이스 A를 통해 수행될 수 있다.
도 6은 일실시예에 따른 패킷 처리 시스템에서, 클라이언트로부터 서버로 요청 패킷을 전달할 때, 패킷의 변화를 설명하기 위한 도면이다.
클라이언트(610)는, 요청 패킷(611)을 DPI 장치(620)로 전달할 수 있다. 이때, 요청 패킷(611)은 출발지 IP(S_IP), 출발지 포트(S_PORT), 목적지 IP(D_IP) 및 목적지 포트(D_PORT)를 포함할 수 있다.
DPI 장치(620)는 수신한 요청 패킷이 특정 프로토콜의 형식, 헤더를 갖추었는지에 대한 분석을 통해 특정 포트에 부합하는 프로토콜인지를 판단할 수 있다. 일실시예에 따르면, 프로토콜 상 형식이나 헤더들로는 HTTP이지만, 포트는 80포트 외 임의로 사용할 수 있다. 이때, 특정 포트에 부합하는 프로토콜인 경우, 목적지 포트를 해당 프로토콜에 부합하는 포트로 변경할 수 있다. DPI 장치(620)가 DCI 장치(630)로 우회해야 할 패킷으로 판단한 경우, 첫 세션 연결일 때, DPI 장치의 제1 세션 등록부에서 세션 테이블에 패킷(621)의 출발지 IP(S_IP), 출발지 포트(S_PORT), 목적지 IP(D_IP) 및 목적지 포트(D_PORT)를 등록 할 수 있다. 또한, 포트 변경이 이루어진 경우, 패킷(622)와 같이 목적지 IP(D_IP), 변경 전 목적지 포트(D_PORT), 변경 후 목적지 포트(D_PORT2)를 세션 테이블에 등록할 수 있다.
DCI 장치(630)는 DPI 장치(620)로부터 포트가 변경된 요청 패킷(631)을 수신할 수 있다. 여기서, 패킷(631)은 출발지 IP(S_IP), 출발지 포트(S_PORT), 목적지 IP(D_IP) 및 변경된 목적지 포트(D_PORT2)를 포함할 수 있다. DCI 장치(630)는 패킷의 패이로드(PAYLOAD) 검사를 수행하고, 해당 패킷의 허용 또는 차단을 검토할 수 있다. 만약 허용된 패킷인 경우, 기존 패킷(631)의 출발지 IP(S_IP)와 유휴 상태에 있는 임의 포트(S_PORT2)를 출발지 포트로 바인드(Bind)를 설정하고 서버와 연결을 맺을 수 있다. 이때, DCI 장치(630)에서 변경된 패킷(632)은 출발지 IP(S_IP), 출발지 포트(S_PORT2), 목적지 IP(D_IP) 및 변경된 목적지 포트(D_PORT2)를 포함할 수 있다.
DPI 장치(620)는 DCI 장치(620)로부터 허용된 패킷을 수신하여 해당 패킷(623)이 첫 세션 연결이라면, DPI 장치의 제2 세션 등록부에서 세션 테이블에 출발지 IP(S_IP), 출발지 포트(S_PORT2), 목적지 IP(D_IP) 및 변경된 목적지 포트(D_PORT2)를 기재하고 제1 세션 등록부에서 등록한 포트 변경 부분을 참고하여, 원래 포트(D_PORT)로 변경 후 목적지인 서버로 전달할 수 있다.
서버(640)는 최종적으로 패킷(641)을 수신할 수 있다. 이때, 패킷(641)은 출발지 IP(S_IP), 변경된 출발지 포트(S_PORT2), 목적지 IP(D_IP) 및 목적지 포트(D_PORT)를 포함할 수 있다.
도 7은 일실시예에 따른 패킷 처리 시스템에서, 서버로부터 클라이언트로 응답 패킷을 전달할 때, 패킷의 변화를 설명하기 위한 도면이다.
도 7을 참고하면, 서버(740)에서, 응답 패킷(741)을 클라이언트(710)에게 돌려줄 수 있다. 응답 패킷(741)은 도 6에서 설명했던 목적지(서버)가 출발지가 되고, 출발지(클라이언트)가 목적지가 되므로, 도 6의 요청 패킷(641)에서 출발지와 목적지만 뒤바꾸면 된다. 따라서, 패킷(741)은 출발지 IP(D_IP), 출발지 포트(D_PORT), 목적지 IP(S_IP) 및 목적지 포트(S_PORT2)를 포함할 수 있다.
DPI 장치(720)는 제2 세션 등록부에서 서버로부터 수신한 응답 패킷이 세션 테이블에 기재되어 있지 않다면 바로 클라이언트(710)로 전송할 수 있다. 만일 세션 테이블에 기재되어 있다면, 세션 테이블을 참고하여 포트변경이 일어난 것인지 확인 후 다시 변경하여 DCI 장치(730)로 전송할 수 있다. 즉, 세션 테이블에는 패킷(723)과 같이 출발지 IP(S_IP), 출발지 포트(S_PORT2), 목적지 IP(D_IP) 및 변경된 목적지 포트(D_PORT2)가 기재되어 있으므로, 응답 패킷의 출발지 포트를 세션 테이블에 기재된 목적지 포트(D_PORT2)로 변경하여 DCI 장치로 전달할 수 있다.
DCI 장치(730)는 수신한 패킷(732)을 기존에 DPI 장치(720)가 전송한 요청 패킷(도 6의 631)에 중계할 수 있다. 이때, 수신한 패킷(732)은 출발지 IP(D_IP), 출발지 포트(D_PORT2), 목적지 IP(S_IP) 및 목적지 포트(S_PORT2)를 포함할 수 있다. DCI 장치(730)의 투명성 보장부에 요청 과정에서 DPI 장치에서 보낸 요청 패킷이 대기하고 있으므로, 응답으로 보내어 중계할 수 있다. 중계되는 패킷(731)은 대기하고 있던 요청 패킷(도 6의 631)에 대응하여 출발지 IP(D_IP), 출발지 포트(D_PORT2), 목적지 IP(S_IP) 및 목적지 포트(S_PORT)를 포함할 수 있다.
DPI 장치(720)는 등록된 세션 테이블에서 패킷(721)의 출발지 IP(S_IP), 출발지 포트(S_PORT) 목적지 IP(D_IP) 및 목적지 포트(D_PORT)와 패킷(722)의 목적지 IP(D_IP), 변경 전 목적지 포트(D_PORT) 및 변경 후 목적지 포트(D_PORT2)를 참조하여 포트 변경이 이루어졌는지 확인할 수 있다. 이때, 변경이 이루어진 세션이라면 원래대로 되돌린 후에 클라이언트(710)로 전달할 수 있다.
클라이언트(710)는 최종적으로 응답 패킷(711)을 수신할 수 있다. 이때, 응답 패킷(711)은, 출발지 IP(D_IP), 출발지 포트(D_PORT), 목적지 IP(S_IP) 및 목적지 포트(S_PORT)를 포함할 수 있다.
일실시예에 따르면, DPI 장치는 3 way-hand-shaking을 유지할 수 있다. 3 way-hand-shaking이란, 네트워크의 연결에 있어서, 3단계의 인증 절차를 의미한다. 먼저, 송신측에서 정보를 수신측에 보낸다(1단계). 다음으로, 수신측은 송신측에서 받은 정보를 인증 확인 정보와 함께 송신측에게 다시 보낸다(2단계). 송신측은 수신측에서 받은 정보가 자신이 '1단계'에서 보낸 정보와 일치하는지 확인한다. 마지막으로, 송신측에서 확인한 정보가 정상적이면 인증 완료 정보를 보내게 되면서 인증 작업이 완료된다(3단계).
일실시예에 따르면, 클라이언트와 서버는 SYN(Synchronizing), SYN+ACK(Acknowledgement), ACK로 세션 연결을 할 수 있다. 이때, SYN(Synchronization)은 세션을 설정하는데 사용되며, 초기에 임의적으로 생성된 시퀀스 번호를 보내는 것이다. ACK(Acknowledgement)는 받는 사람이 보낸 사람의 시퀀스 넘버에 TCP 계층에서 길이 또는 데이터 양과 더한 것과 같은 응답을 보내는 것이다. 여기서, DPI 장치는 요청 패킷을 보고 우회되어야 하는 것인지를 판단할 수 있다. 앞서 기재된 방법을 통해 우회되어야 하는 패킷으로 판단되면 DPI 장치가 서버에게 RST(Reset)를 보내어 연결을 끊을 수 있다. 여기서 DPI 장치와 서버와의 연결만 끊은 것이고, 클라이언트와 DPI 장치는 연결된 상태를 유지할 수 있다. 클라이언트는 요청 패킷을 보내고 그에 대한 응답을 기다리고 있는 상태이다. DPI 장치는 기존의 SYN과 요청 패킷은 가지고 있다. DPI 장치가 해당 SYN으로 DCI 장치를 통해 SYN, SYN+ACK, ACK 과정으로 세션 연결을 하게 되고 그 다음 해당 요청 패킷을 보내게 된다. 기존의 SYN으로 세션을 맺었기에 클라이언트는 서버와의 세션 연결을 유지할 수 있다.
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.

Claims (25)

  1. 데이터 유출 방지를 위한 패킷 처리 시스템에 있어서,
    클라이언트로부터 수신한 패킷 중 심층적으로 컨텐츠를 검사할 패킷을 선별하는 심층 패킷 검사(Deep Packet Inspection) 장치; 및
    선별된 패킷의 페이로드(Payload)를 검사하는 심층 컨텐츠 검사(Deep Content Inspection) 장치
    를 포함하고,
    상기 심층 패킷 검사 장치는,
    상기 클라이언트로부터 수신한 패킷의 프로토콜 분석을 통해 미리 정해진 포트에 부합하는 프로토콜을 포함하는지 여부를 판단하여, 미리 정해진 포트에 부합하는 프로토콜을 포함하는 경우, 목적지 포트를 상기 프로토콜에 대응하는 포트로 변경하여 상기 심층 컨텐츠 검사 장치로 전달하는 우회 판단부
    상기 심층 컨텐츠 검사 장치로 전달하는 패킷이 첫 세션 연결인 경우, 출발지 IP, 출발지 포트, 목적지 IP 및 목적지 포트를 세션 테이블에 저장하는 제1 세션 등록부; 및
    상기 제1 세션 등록부에서 등록한 세션 테이블을 참고하여 상기 심층 컨텐츠 검사 장치에서 수신한 패킷의 목적지 포트가 변경되었는지 여부를 판단하고, 상기 심층 컨텐츠 검사 장치에서 수신한 패킷의 목적지 포트가 변경된 경우, 상기 제1 세션 등록부에서 등록한 세션 테이블을 참고하여 원래의 포트로 변경 후에 서버로 전달하는 제2 세션 등록부
    를 포함하고,
    상기 우회 판단부는,
    상기 클라이언트로부터 수신한 패킷의 목적지 포트가 상기 클라이언트로부터 수신한 패킷의 프로토콜에 대응하는 포트가 아닌 경우, 미리 정해진 포트에 부합하는 프로토콜로 판단하며,
    상기 제1 세션 등록부는,
    상기 심층 컨텐츠 검사 장치로 전달하는 패킷이 첫 세션 연결이 아니면서 세션 테이블에 상기 심층 컨텐츠 검사 장치로 전달하는 패킷과 관련된 정보가 존재하지 않는 경우, 상기 심층 컨텐츠 검사 장치로 전달하는 패킷을 드랍시키는 패킷 처리 시스템.
  2. 제1항에 있어서,
    상기 심층 패킷 검사 장치는,
    클라이언트로부터 수신한 패킷이 심층적으로 컨텐츠를 검사할 패킷인 경우, 서버에 리셋(RST) 명령을 보내어 상기 심층 패킷 검사 장치와 상기 서버 간의 연결을 종료하고,
    상기 심층 컨텐츠 검사 장치는,
    상기 심층 패킷 검사 장치로부터 동기(SYN) 명령을 전달받아 서버에 전달하고, 서버로부터 동기 및 응답(SYN+ACK) 명령을 수신하고, 응답(ACK) 명령을 전달함으로써 세션 연결을 맺는
    패킷 처리 시스템.
  3. 삭제
  4. 제1항에 있어서,
    상기 우회 판단부는,
    상기 클라이언트로부터 수신한 패킷 내의 프로토콜 형식 및 스트링(String)과 미리 데이터베이스에 저장된 프로토콜 형식 및 스트링을 비교하여 상기 클라이언트로부터 수신한 패킷의 프로토콜을 분석하는
    패킷 처리 시스템.
  5. 제1항에 있어서,
    상기 우회 판단부는,
    상기 클라이언트로부터 수신한 패킷의 특정 패턴을 검출하여 상기 수신한 패킷이 업로드를 위한 패킷인지 여부를 판단하고, 상기 수신한 패킷이 업로드를 위한 패킷인 경우, 상기 심층 컨텐츠 검사 장치로 전달하는
    패킷 처리 시스템.
  6. 제5항에 있어서,
    상기 우회 판단부는,
    상기 클라이언트로부터 수신한 패킷의 헤더 내 특정 텍스트 입력 폼 부분 판단 방법, 멀티파트(multi-part)를 통한 파일 업로드 시 특정 업로드 값 부분의 추출 방법 및 HTTP에서 요청 방법 중 POST를 포함하는 패킷의 추출 방법 중 적어도 한 방법을 통해 상기 수신한 패킷이 업로드를 위한 패킷인지 여부를 판단하는
    패킷 처리 시스템
  7. 삭제
  8. 제1항에 있어서,
    상기 제1 세션 등록부는,
    포트 변경이 있었던 경우, 목적지 IP, 변경 전 목적지 포트 및 변경 후 목적지 포트를 세션 테이블에 더 저장하는 패킷 처리 시스템.
  9. 제1항에 있어서,
    상기 심층 패킷 검사 장치는,
    상기 클라이언트로부터 수신한 패킷의 프로토콜 분석을 통해 미리 정해진 포트에 부합하는 프로토콜을 포함하는지 여부를 판단하여, 미리 정해진 포트에 부합하는 프로토콜을 포함하는 경우, 상기 수신한 패킷의 IP, 포트 및 프로토콜 명칭을 테이블에 저장하는 패킷 처리 시스템.
  10. 제9항에 있어서,
    상기 심층 패킷 검사 장치는,
    상기 테이블에 저장된 IP 및 포트에 대응하는 패킷이 수신된 경우, 상기 패킷이 상기 테이블에 저장된 프로토콜 명칭에 해당하는 프로토콜을 포함하는 것으로 판단하고, 목적지 포트를 상기 프로토콜에 대응하는 포트로 변경하여 상기 심층 컨텐츠 검사 장치로 전달하는 패킷 처리 시스템.
  11. 제1항에 있어서,
    상기 심층 컨텐츠 검사 장치는,
    상기 선별된 패킷의 페이로드(Payload)를 검사하여 미리 정의된 정책에 위반되는지 여부를 검사하는 정책 기반 검사부
    를 포함하는 패킷 처리 시스템.
  12. 제11항에 있어서,
    상기 정책 기반 검사부는,
    상기 미리 정의된 정책에 위반되지 않는 경우, 상기 선별된 패킷의 출발지 IP와 유휴상태에 있는 임의 포트를 출발지 포트로 바인드(Bind) 설정한 뒤 상기 심층 패킷 검사 장치로 전송하여 서버와 연결하는
    패킷 처리 시스템.
  13. 제12항에 있어서,
    상기 심층 컨텐츠 검사 장치는,
    서버로부터 수신한 응답 패킷을 상기 심층 패킷 검사 장치에서 선별된 패킷에 응답으로 전달하여 중계하는 투명성 보장부
    를 더 포함하는 패킷 처리 시스템.
  14. 제12항에 있어서,
    상기 제2 세션 등록부는,
    상기 심층 컨텐츠 검사 장치에서 수신한 패킷의 출발지 IP, 출발지 포트, 목적지 IP 및 목적지 포트를 세션 테이블에 등록하는 패킷 처리 시스템.
  15. 데이터 유출 방지를 위한 패킷 처리 방법에 있어서,
    클라이언트로부터 수신한 패킷 중 심층적으로 컨텐츠를 검사할 패킷을 선별하는 심층 패킷 검사 단계;
    상기 선별된 패킷이 서버와의 첫 세션 연결인 경우, 출발지 IP, 출발지 포트, 목적지 IP 및 목적지 포트를 세션 테이블에 저장하는 단계;
    상기 선별된 패킷이 첫 세션 연결이 아니면서 세션 테이블에 상기 선별된 패킷과 관련된 정보가 존재하지 않는 경우, 상기 선별된 패킷을 드랍시키는 단계;
    상기 선별된 패킷이 첫 세션 연결이거나, 상기 세션 테이블에 상기 선별된 패킷과 관련된 정보가 존재하는 경우, 선별된 패킷의 페이로드(Payload)를 심층 컨텐츠 검사하는 단계;
    상기 세션 테이블을 참고하여 상기 심층 컨텐츠 검사 결과의 목적지 포트가 변경되었는지 여부를 판단하는 단계; 및
    상기 심층 컨텐츠 검사 결과의 목적지 포트가 변경된 경우, 상기 세션 테이블을 참고하여 원래의 포트로 변경 후에 서버로 전달하는 단계
    를 포함하고,
    상기 심층 패킷 검사 단계는,
    상기 클라이언트로부터 수신한 패킷의 프로토콜 분석을 통해 미리 정해진 포트에 부합하는 프로토콜을 포함하는지 여부를 판단하는 단계;
    미리 정해진 포트에 부합하는 프로토콜을 포함하는 경우, 목적지 포트를 상기 프로토콜에 대응하는 포트로 변경하는 단계;
    를 포함하며,
    상기 프로토콜을 포함하는지 여부를 판단하는 단계는,
    상기 클라이언트로부터 수신한 패킷의 목적지 포트가 상기 클라이언트로부터 수신한 패킷의 프로토콜에 대응하는 포트가 아닌 경우, 미리 정해진 포트에 부합하는 프로토콜로 판단하는 패킷 처리 방법.
  16. 제15항에 있어서,
    상기 심층 패킷 검사 단계는,
    상기 클라이언트로부터 수신한 패킷 내의 프로토콜 형식, 스트링(String)과 미리 데이터베이스에 저장된 프로토콜 형식, 스트링을 비교하여 상기 클라이언트로부터 수신한 패킷의 프로토콜을 분석하는 단계
    를 더 포함하는 패킷 처리 방법.
  17. 제15항에 있어서,
    상기 심층 패킷 검사 단계는,
    상기 클라이언트로부터 수신한 패킷의 특정 패턴을 검출하여 상기 수신한 패킷이 업로드를 위한 패킷인지 여부를 판단하는 단계
    를 더 포함하는 패킷 처리 방법.
  18. 제17항에 있어서,
    상기 심층 패킷 검사 단계는,
    상기 클라이언트로부터 수신한 패킷의 헤더 내 특정 텍스트 입력 폼 부분 판단 방법, 멀티파트(multi-part)를 통한 파일 업로드 시 특정 업로드 값 부분의 추출 방법 및 HTTP에서 요청 방법 중 POST를 포함하는 패킷의 추출 방법 중 적어도 한 방법을 통해 상기 수신한 패킷이 업로드를 위한 패킷인지 여부를 판단하는 단계
    를 더 포함하는 패킷 처리 방법.
  19. 삭제
  20. 제15항에 있어서,
    상기 세션 테이블에 저장하는 단계는,
    포트 변경이 있었던 경우, 목적지 IP, 변경 전 목적지 포트 및 변경 후 목적지 포트를 세션 테이블에 저장하는 단계
    를 더 포함하는 패킷 처리 방법.
  21. 제15항에 있어서,
    상기 심층 컨텐츠 검사 단계는,
    상기 선별된 패킷의 페이로드(Payload)를 검사하여 미리 정의된 정책에 위반되는지 여부를 검사하는 단계
    를 포함하는 패킷 처리 방법.
  22. 제21항에 있어서,
    상기 심층 컨텐츠 검사 단계는,
    상기 미리 정의된 정책에 위반되지 않는 경우, 상기 선별된 패킷의 출발지 IP와 유휴상태에 있는 임의 포트를 출발지 포트로 바인드(Bind) 설정한 뒤 상기 심층 패킷 검사 장치로 전송하여 서버와 연결하는 단계
    를 더 포함하는 패킷 처리 방법.
  23. 제22항에 있어서,
    상기 심층 컨텐츠 검사 단계는,
    서버로부터 수신한 응답 패킷을 상기 선별된 패킷에 대한 응답으로 전달하여 중계하는 단계
    를 더 포함하는 패킷 처리 방법.
  24. 삭제
  25. 삭제
KR1020150025752A 2015-02-24 2015-02-24 데이터 유출 방지를 위해 심층 패킷 검사와 심층 컨텐츠 검사를 연동하여 네트워크 패킷을 처리하는 방법 및 시스템 KR101622874B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150025752A KR101622874B1 (ko) 2015-02-24 2015-02-24 데이터 유출 방지를 위해 심층 패킷 검사와 심층 컨텐츠 검사를 연동하여 네트워크 패킷을 처리하는 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150025752A KR101622874B1 (ko) 2015-02-24 2015-02-24 데이터 유출 방지를 위해 심층 패킷 검사와 심층 컨텐츠 검사를 연동하여 네트워크 패킷을 처리하는 방법 및 시스템

Publications (1)

Publication Number Publication Date
KR101622874B1 true KR101622874B1 (ko) 2016-05-19

Family

ID=56103515

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150025752A KR101622874B1 (ko) 2015-02-24 2015-02-24 데이터 유출 방지를 위해 심층 패킷 검사와 심층 컨텐츠 검사를 연동하여 네트워크 패킷을 처리하는 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR101622874B1 (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106789878A (zh) * 2016-11-17 2017-05-31 任子行网络技术股份有限公司 一种面向大流量环境的文件还原系统以及方法
KR102139140B1 (ko) * 2020-04-27 2020-07-30 (주) 앤앤에스피 비공개 ics 프로토콜에 대한 태그 데이터의 프로파일링 시스템
KR102139138B1 (ko) * 2020-04-27 2020-07-30 (주) 앤앤에스피 그룹 및 주기 기반 비정상행위 탐지를 위한 비공개 ics 프로토콜의 프로파일링 시스템
US20210067561A1 (en) * 2017-04-21 2021-03-04 Netskope, Inc. Selective Deep Inspection in Security Enforcement by a Network Security System (NSS)
US11757908B2 (en) 2017-07-25 2023-09-12 Netskope, Inc. Compact logging for cloud and web security
US11856022B2 (en) 2020-01-27 2023-12-26 Netskope, Inc. Metadata-based detection and prevention of phishing attacks
US11985170B2 (en) 2016-03-11 2024-05-14 Netskope, Inc. Endpoint data loss prevention (DLP)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011002119A1 (ko) * 2009-07-02 2011-01-06 충남대학교 산학협력단 패킷검사장치의 부하조절방법 및 장치

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011002119A1 (ko) * 2009-07-02 2011-01-06 충남대학교 산학협력단 패킷검사장치의 부하조절방법 및 장치

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
강유리. 인터넷 트래픽 관리와 DPI. 정보통신정책연구원, [online], 2013년 5월, [2015년 12월 17일 검색], https://www.kisdi.re.kr/kisdi/common/premium?file=1%7C13142*

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11985170B2 (en) 2016-03-11 2024-05-14 Netskope, Inc. Endpoint data loss prevention (DLP)
CN106789878A (zh) * 2016-11-17 2017-05-31 任子行网络技术股份有限公司 一种面向大流量环境的文件还原系统以及方法
CN106789878B (zh) * 2016-11-17 2019-11-22 任子行网络技术股份有限公司 一种面向大流量环境的文件还原系统以及方法
US20210067561A1 (en) * 2017-04-21 2021-03-04 Netskope, Inc. Selective Deep Inspection in Security Enforcement by a Network Security System (NSS)
US11750658B2 (en) 2017-04-21 2023-09-05 Netskope, Inc. Domain name-based conservation of inspection bandwidth of a data inspection and loss prevention appliance
US11856026B2 (en) * 2017-04-21 2023-12-26 Netskope, Inc. Selective deep inspection in security enforcement by a network security system (NSS)
US11757908B2 (en) 2017-07-25 2023-09-12 Netskope, Inc. Compact logging for cloud and web security
US11856022B2 (en) 2020-01-27 2023-12-26 Netskope, Inc. Metadata-based detection and prevention of phishing attacks
KR102139140B1 (ko) * 2020-04-27 2020-07-30 (주) 앤앤에스피 비공개 ics 프로토콜에 대한 태그 데이터의 프로파일링 시스템
KR102139138B1 (ko) * 2020-04-27 2020-07-30 (주) 앤앤에스피 그룹 및 주기 기반 비정상행위 탐지를 위한 비공개 ics 프로토콜의 프로파일링 시스템

Similar Documents

Publication Publication Date Title
KR101622874B1 (ko) 데이터 유출 방지를 위해 심층 패킷 검사와 심층 컨텐츠 검사를 연동하여 네트워크 패킷을 처리하는 방법 및 시스템
US20050125697A1 (en) Device for checking firewall policy
US11411924B2 (en) Method for performing TLS/SSL inspection based on verified subject name
KR102349038B1 (ko) 분산 게이트웨이 환경에 최적화된 터널링 및 게이트웨이 접속 시스템 및 그에 관한 방법
CN108881158A (zh) 数据交互系统和方法
US9626522B1 (en) Method and apparatus for the network steganographic assessment of a test subject
JP6677251B2 (ja) ネットワーク検証装置、ネットワーク検証方法およびプログラム
US9531670B2 (en) System and method for network virtualization and security using computer systems and software
CN111064755B (zh) 一种数据保护方法、装置、计算机设备和存储介质
CN112954001A (zh) 一种http转https双向透明代理的方法和装置
WO2020033540A1 (en) System and method for covertly transmitting a payload of data
CN111181985B (zh) 数据传输方法、数据传输系统、防火墙设备和存储介质
CN110597706A (zh) 一种用于应用程序接口数据异常测试的方法和装置
CN107040508B (zh) 用于适配终端设备的授权信息的设备和方法
KR101971995B1 (ko) 보안을 위한 보안 소켓 계층 복호화 방법
EP1575236B1 (en) Connectivity confirmation method for network storage device and host computer
CN108076070B (zh) 一种fasp协议阻断方法、装置及分析系统
Amend et al. RobE: Robust connection establishment for multipath TCP
EP4071640A1 (en) Controlling command execution in a computer network
KR101881278B1 (ko) 보안 소켓 계층 통신을 이용하는 패킷을 선택적으로 검사하는 방법
CN104869118A (zh) 一种基于动态隧道技术实现DDoS防御的方法及系统
US9083586B2 (en) Verifying availability and reachability through a network device
KR102357710B1 (ko) 코드 커버리지를 이용하는 sdn에 대한 퍼징방법
CN111221764B (zh) 一种跨链路数据传输方法及系统
KR102027434B1 (ko) 보안 장치 및 이의 동작 방법

Legal Events

Date Code Title Description
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190514

Year of fee payment: 4