KR101713911B1 - 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 방법 및 시스템 - Google Patents

네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 방법 및 시스템 Download PDF

Info

Publication number
KR101713911B1
KR101713911B1 KR1020150140568A KR20150140568A KR101713911B1 KR 101713911 B1 KR101713911 B1 KR 101713911B1 KR 1020150140568 A KR1020150140568 A KR 1020150140568A KR 20150140568 A KR20150140568 A KR 20150140568A KR 101713911 B1 KR101713911 B1 KR 101713911B1
Authority
KR
South Korea
Prior art keywords
event
data
event log
event data
security device
Prior art date
Application number
KR1020150140568A
Other languages
English (en)
Inventor
김주섭
Original Assignee
주식회사 윈스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스 filed Critical 주식회사 윈스
Priority to KR1020150140568A priority Critical patent/KR101713911B1/ko
Application granted granted Critical
Publication of KR101713911B1 publication Critical patent/KR101713911B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

본 발명은 IDS 혹은 IPS에서 네트워크 유해 트래픽을 탐지하는 보안 장비로부터 네트워크를 위협하는 침입 탐지 이벤트가 버스트(burst)로 발생하는 경우 수집 서버의 물리적 증설 없이 고속의 연속적으로 일시적 대량 발생하는 버스트 이벤트를 처리하고, 다수의 보안 장비가 분산되어 있는 대규모 환경에서 버스트 이벤트를 수집/처리하여 DB에 저장하는 일련의 분산 스트림 데이터 처리 과정에서 데이터의 손실을 방지할 뿐만 아니라, 상기 버스트 이벤트의 흐름을 제어하여 다수의 보안 장비별 수집 서버로 유입되는 데이터를 DB 부하 없이 최적화하여 처리하기 위해보안 장비와 수집 서버 간 생성된 세션에서 기설정된 확인 응답 정책 기반으로 다수 보안 장비별 대응하는 헤더 정보를 통합한 이벤트 데이터 헤더 정보를 이용하여 이벤트 로그 데이터를 처리하고, 처리된 이벤트 로그 데이터를 램(RAM) 메모리에 기설정된 RAM 이벤트 데이터 레코딩(recording) 최대수(max) 범위 내에서 기설정된 타입의 파일로 셋(set)하여 대용량 로드를 위한 서비스 호출을 통해 네트워크 침입 탐지 DB에 인서트(insert)하는 구성을 포함한다.

Description

네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 방법 및 시스템{METHOD AND SYSTEM FOR PROVIDING LOSS PROTECTION SERVICE OF HIGH SPEED CONTINUOUS DATA IN NETWORK}
본 발명은 네트워크 내 보안 장비가 대규모 환경에서 다수의 보안 장비별 네트워크 대역폭 단위로 고속의 연속적인 유해 트래픽 발생 상황을 모니터링하고 대응하는 이벤트 로그 정보 수집에 관한 것이다.
최근 초고속 인터넷을 주로 이용하게 되는 환경이 형성되면서, 해킹, 바이러스 침투, 인터넷 침해 등 인터넷 망을 이용한 사고가 속출하고 있으며, 대형 포털 사이트, 정부 또는 공공기관의 서버 등에 대하여, 네트워크 공격으로 인해 서버가 다운되거나 개인 정보 유출 등의 문제가 발생한다.
특히, 분산 서비스 거부(Distributed Denial of Service, DDoS)의 경우에는 여러 대의 컴퓨터를 일제히 동작하게 하여 특정 사이트에 과도한 부하를 유발하여, 해당 공격받은 서버의 경우 운영이 불가능하게 되는 문제점이 발생 되고 있다.
이에, 네트워크 탐지 이벤트 로그를 수집처리하는 과정에서 대량의 이벤트 로그가 발생하게 되면 이를 처리하기 위해 가용 서버를 추가로 구성하여야 합니다.
이러한 대량의 이벤트 로그가 발생 시 기존의 방식으로는 발생 이벤트를 단건으로 수신 처리하여 수집 성능이 저하되고, 수신에 대한 잦은 ACK는 네트워크의 부하를 증가시켜 수집 성능이 저하될 뿐만 아니라, 버스트 이벤트 로그 상황을 대처하기 위해 증설된 서버는 투자 비용이 상승되며, 유휴 상태에서 증설된 서버는 활용 빈도가 낮아지는 문제가 있다.
또한, 보안 장비로부터 burst Event가 발생 되는 경우 32bit 윈도우 프로세스가 점유 가능한 메모리(2G)의 한계와 64bit 환경에서 가용메모리를 과도하게 점유할 경우 다른 프로세스의 동작 메모리를 점유하게 되어 다른 프로세스의 처리의 지연이 발생되며, 증설 가능한 H/W 메모리 슬롯도 제한적이다.
그리고, 수집 서버와 처리 서버로 분산된 환경에서는 DB의 과부하 상태를 수집 서버가 인지할 수 없어서 처리 서버의 부하가 가중되는 현상이 발생하고, 이로 인해 버스트 이벤트 발생 상황에 대한 인지가 되지 않아 사후 대응만 가능할 뿐만 아니라, HDD full로 인한 수집 서버의 이상 증상으로 인한 이벤트 로그의 유실이 발생하는 문제점이 있다.
대한민국 공개특허 공보 제10-2011-0054537호, 2011. 05. 25
따라서 본 발명은 별도의 서버 증설에 따른 비용을 절감하고, 버스트 이벤트 로그가 발생 되는 상황에 유연하게 대처 가능할 뿐만 아니라, 고속의 연속적인 이벤트 로그 데이터에 대한 유실을 최소화할 수 있는 기술을 제공하고자 한다.
본 발명의 일 견지에 따르면, 네트워크 침입 탐지 시스템(Intrusion Detection System, IDS) 혹은 침입 방지 시스템(Intrusion Protection System, IPS)에서 보안 장비와 상기 보안 장비로부터 이벤트 로그 데이터를 수집하는 이벤트 로그 수집 서버 간 생성된 세션을 통해 기설정된 확인 응답 정책 기반 이벤트 로그 데이터를 처리하는 과정과, 상기 이벤트 로그 데이터를 램(RAM) 메모리에 기설정된 RAM 이벤트 데이터 레코딩(recording) 최대수 범위 내에서 기설정된 타입의 파일로 셋(set)하여 인코딩하는 과정과, 복수의 이벤트 로그 데이터가 셋된 적어도 하나 이상의 기설정된 타입의 파일을 대용량 로드를 위한 서비스 호출을 통해 네트워크 침입 탐지 DB에 인서트(insert)하는 과정을 포함함을 특징으로 한다.
본 발명의 다른 견지에 따르면, 네트워크 침입 탐지 시스템(Intrusion Detection System, IDS) 혹은 침입 방지 시스템(Intrusion Protection System, IPS)에서 보안 장비와 상기 보안 장비로부터 이벤트 로그 데이터를 수집하는 이벤트 로그 수집 서버 간 생성된 세션을 통해 기설정된 확인 응답 정책 기반 이벤트 로그 데이터를 처리하는 이벤트 로그 수집 서버와, 상기 이벤트 로그 수집 서버로부터 전송된 이벤트 로그 데이터를 램(RAM) 메모리에 기설정된 RAM 이벤트 데이터 레코딩(recording) 최대수 범위 내에서 기설정된 타입의 파일로 셋(set)하여 인코딩하고, 복수의 이벤트 로그 데이터가 셋된 적어도 하나의 이상의 기설정된 타입의 파일을 대용량 로드를 위한 서비스 호출을 통해 네트워크 침입 탐지 DB에 인서트(insert)하여 처리하는 처리 서버를 포함함을 특징으로 한다.
본 발명은 IDS 혹은 IPS에서 네트워크 유해 트래픽을 탐지하는 보안 장비로부터 네트워크를 위협하는 침입 탐지 이벤트가 버스트(burst)로 발생하는 경우 수집 서버의 물리적 증설 없이 고속의 연속적인 버스트 이벤트를 처리하고, 다수의 보안 장비가 분산되어 있는 대규모 환경에서 버스트 이벤트를 수집/처리하여 DB에 저장하는 일련의 분산 스트림 데이터 처리 과정에서 데이터의 손실을 방지할 뿐만 아니라, 상기 고속의 연속적인 버스트 이벤트의 흐름을 제어하여 다수의 보안 장비별 수집 서버로 유입되는 데이터를 DB 부하 없이 최적화하여 처리 가능한 효과가 있다.
도 1은 본 발명의 일 실시 예에 따른 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 방법에 대한 전체 흐름도.
도 2는 본 발명의 일 실시 예에 따른 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 방법에 있어서, 보안 장비와 이벤트 로그 수집 서버 간 이벤트 로그 데이터 처리 흐름도.
도 3은 본 발명의 일 실시 예에 따른 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 방법에 있어서, 이벤트 데이터 헤더 정보의 구조.
도 4는 본 발명의 일 실시 예에 따른 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 시스템의 구성도.
도 5는 본 발명의 일 실시 예에 따른 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 방법에 있어서, 이벤트 로그 수집 서버의 동작 흐름도.
도 6은 본 발명의 일 실시 예에 따른 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 방법에 있어서, 처리 서버의 동작 흐름도.
이하 본 발명에 따른 바람직한 실시 예를 첨부한 도면을 참조하여 상세히 설명한다. 하기 설명에서는 구체적인 구성 장치 등과 같은 특정 사항들이 나타나고 있는데 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐 이러한 특정 사항들이 본 발명의 범위 내에서 소정의 변형이나 혹은 변경이 이루어질 수 있음은 이 기술 분야에서 통상의 지식을 가진 자에게는 자명하다 할 것이다.
본 발명은 네트워크 침입 탐지 시스템(Intrusion Detection System, IDS) 혹은 침입 방지 시스템(Intrusion Protection System, IPS)와 같은 네트워크 내 보안 장비가 대규모 환경에서 다수의 보안 장비별 네트워크 대역폭 단위로 고속의 연속적인 유해 트래픽 발생 상황을 모니터링하고 대응하는 이벤트 로그 정보 수집에 관한 것으로, 더욱 상세하게는 IDS 혹은 IPS에서 네트워크 유해 트래픽을 탐지하는 보안 장비로부터 네트워크를 위협하는 침입 탐지 이벤트가 버스트(burst)로 발생하는 경우 수집 서버의 물리적 증설 없이 고속의 연속적으로 일시적 대량 발생하는 버스트 이벤트를 처리하고, 다수의 보안 장비가 분산되어 있는 대규모 환경에서 버스트 이벤트를 수집/처리하여 DB에 저장하는 일련의 분산 스트림 데이터 처리 과정에서 데이터의 손실을 방지할 뿐만 아니라, 상기 고속의 연속적인 버스트 이벤트의 흐름을 제어하여 다수의 보안 장비별 수집 서버로 유입되는 데이터를 DB 부하 없이 최적화하여 처리하기 위한 것이다.
이를 위해 본 발명은 다수의 보안 장비와 수집 서버 간 생성된 세션에서 기설정된 확인 응답 정책 기반으로 다수 보안 장비별 대응하는 헤더 정보를 통합한 이벤트 데이터 헤더 정보를 이용하여 이벤트 로그 데이터를 처리하고, 처리된 이벤트 로그 데이터를 램(RAM) 메모리에 기설정된 RAM 이벤트 데이터 레코딩(recording) 최대수(max) 범위 내에서 기설정된 타입의 파일로 셋(set)하여 대용량 로드를 위한 서비스 호출을 통해 네트워크 침입 탐지 DB에 인서트(insert)함으로써 별도의 서버 증설에 따른 비용을 절감하고, 버스트 이벤트 로그가 발생 되는 상황에 유연하게 대처 가능할 뿐만 아니라, 고속의 연속적인 이벤트 로그 데이터에 대한 유실을 최소화할 수 있는 기술을 제공하고자 한다.
또한, 본 발명에 따른 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 방법 및 시스템은 도 1 내지 6에 도시된 바와 같이, 하나 혹은 복수의 보안 장비로부터 이벤트 로그 데이터를 전송받아 처리하는 일련의 과정에 의해 데이터 손실을 효과적으로 방지하도록 하는 것으로, 특히 본 발명이 적용된 네트워크 침입 탐지 시스템(Intrusion Detection System, IDS) 혹은 침입 방지 시스템(Intrusion Protection System, IPS)에서는 단일의 보안 장비에 의한 버스트 이벤트 발생 여부만 확인하도록 하는 것이 아니라, 다수의 보안 장비들로부터 IEEE 802 표준에 기반하는 전송 데이터별 수신 확인 응답(ACK) 정책을 설정된 최대 이벤트 데이터 수개 기준으로 축소하여 회신함으로써 고속의 연속하는 버스트 이벤트 발생 시 ACK로 인한 시스템의 과부하를 지양하도록 하는 것이다.
이하, 본 발명의 일 실시 예에 따른 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 방법에 대해 도 1을 참조하여 자세히 살펴보기로 한다.
도 1은 본 발명의 일 실시 예에 따른 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 방법에 대한 전체 흐름도이다.
도 1을 참조하면, 먼저 110 과정에서는 네트워크 침입 탐지 시스템(Intrusion Detection System, IDS) 혹은 침입 방지 시스템(Intrusion Protection System, IPS)에서 네트워크 유해 트래픽을 탐지하는 보안 장비와 상기 보안 장비로부터 이벤트 로그 데이터를 수집하는 이벤트 로그 수집 서버 간 세션을 생성하고, 112 과정에서는 생성된 상기 세션 동안 기설정된 확인 응답 정책 기반 이벤트 로그 데이터를 처리한다.
여기서, 상기 기설정된 확인 응답 정책 기반 이벤트 로그 데이터 처리 과정을 도 2를 참조하여 자세히 살펴보도록 한다.
도 2는 본 발명의 일 실시 예에 따른 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 방법에 있어서, 보안 장비와 이벤트 로그 수집 서버 간 이벤트 로그 데이터 처리 흐름을 보인 것으로, 도 2에 도시된 바와 같이 214 과정에서는 보안 장비(210)로부터 세션 개시를 위한 접속 요청 메시지가 이벤트 로그 수집 서버로 전송된다.
216 과정에서는 이벤트 로그 수집 서버(212)에서 보안 장비(210)로부터 이벤트 로그 수집 수신 확인에 대한 응답으로 수신 확인(ACK)과 이벤트 데이터 전송 요청을 동시에 단일 채널을 통해 송신한다.
214 내지 216 과정의 동작은 IEEE의 표준을 기반으로 강화된 보안을 제공하기 위한 무선 구간에서의 신뢰된 통신 서비스를 위한 정책으로, 다수의 보안 장비(210)와 이벤트 로그 수집 서버(212) 간 데이터 교환의 흐름인 세션을 통해 ACK가 전송되며, 216 과정에서의 ACK는 세션 개시에 대한 응답으로 전송된다.
이하, 후술되는 본 발명에서의 ACK는 이벤트 데이터들의 수신 후에 시간 지연될 수 있으며, 본 발명에 따른 약속된 스케줄을 기반으로 전송될 수 있거나, 미리 정해진 수의 이벤트 데이터들이 수신되고 나면 보안 장비의 요청 없이도 전송되어 진다.
계속해서, 218 과정에서는 기설정된 프로토콜을 기반으로 보안 장비별 다수의 이벤트 데이터 단위별 식별 가능한 넘버가 순차적으로 AckNum으로 부여된 이벤트 데이터 헤더 정보가 보안 장비(210)로부터 이벤트 로그 수집 서버로 보고된다.
이때, 상기 이벤트 데이터 헤더 정보의 구조는 도 3에 도시된 310의 형태로, 이벤트 데이터 단위(312)별 식별 가능한 넘버(0, 1, 2, 3...)가 순차적으로 AckNum으로 부여되어 매칭된다.
본 발명에 있어서, 이벤트 데이터 헤더 정보(310)는 보안 장비(210)에서 이벤트 로그 수집 서버(212) 간의 세션 동안 상기 보안 장비(210)로부터 예상되는 수의 이벤트 데이터를 미리 보고하여 예상 이벤트 데이터 수의 전송 완료 시까지 확인 응답 정책 기반으로 데이터별 ACK 발송을 지연하기 위한 것으로, 후술되는 동작설명에서와 같이 상기 데이터별 ACK들이 집합되었다가 단일 전송으로 전송되며, 이러한 동작은 본 발명의 실시 예에 따른 상기 기설정된 프로토콜에 의한 것이다.
즉, 상기 기설정된 프로토콜은 보안 장비(210)로부터 탐지된 복수의 이벤트 데이터별 상향 보고에 우선하여 상기 탐지된 복수의 이벤트에 대한 데이터별 순차적 넘버링을 통해 AckNum을 각각 설정하여 이벤트 데이터별 전송 넘버가 설정된 AckNum을 통합하여 미리 보고하고, 보고된 AckNum의 넘버를 통해 이벤트 로그 수집 서버(212)에서 보안 장비(210)로의 수신 확인 응답 시기를 제어하여 이벤트 로그의 집중을 분산하여 IDS 기반 발생 이벤트 관련 로그를 보고하기 위한 정책이다.
이때, 이벤트 로그 수집 서버(212)에서 보안 장비로의 수신 확인 응답 시기 제어는, 상기 보안 장비(210)에서 탐지되어 이벤트 로그 수집 서버(212)로 순차 보고되는 복수의 이벤트 데이터에서 해당 이벤트 로그의 종료에 대응하는 종료 AckNum이 설정된 이벤트 데이터 수신 시 상기 이벤트 로그 수집 서버(212)에서 해당 보안 장비(210)로 복수의 이벤트 데이터에 대한 수신 확인 응답을 전달하여 수행된다.
이어서, 220 과정에서는 상기 보안 장비(210)로 상기 이벤트 데이터 헤더 정보에 대한 수신 확인에 대한 ACK와, 이벤트 데이터 전송 요청을 이벤트 로그 수집 서버(212)의 응답으로 해당 보안 장비(210)로 전송한다.
이후, 222 과정에서는 이벤트 로그 수집 서버(212)로 넘버별 AcKNum이 부여된 이벤트 데이터가 단일 전송 채널별로 순차적으로 전송된다. 이때, 본 발명에서는 넘버별 AckNum이 부여된 다수의 이벤트 데이터가 이벤트 로그 수집 서버(212)로 개별 단일 전송 시에도 ACK는 지연되며, 224 과정에서 AckNum이 종료로 부여된 이벤트 데이터가 수신된 경우 상기 이벤트 로그 수집 서버(212)에서 이벤트 로그 수집 수신 확인에 대한 응답으로 수신 확인(ACK)을 단일 전송을 통해 보안 장비로 송신함으로써 222 과정에서 전송된 전체 이벤트 데이터(AckNum 0, AckNum 1, AckNum 2...AckNum 49, AckNum 50)에 대한 수신에 대한 성공을 응답한다.
상기 AckNum이 종료로 부여된 이벤트 데이터가 기설정된 시간 동안 수신되지 않은 경우, 보안 장비(210)와 이벤트 로그 수집 서버(212) 간 해당 세션을 종료하여 상기 보안 장비(210)로부터의 이벤트 로그 데이터 수집을 무효화한다.
다시, 도 1의 흐름도를 돌아가서 114 과정에서는 상기 이벤트 로그 데이터를 램(RAM) 메모리에 기설정된 RAM 이벤트 데이터 레코딩(recording) 최대수 범위를 초과하는지 여부를 체크한다.
본 발명의 실시 예에 따라 예를 들면, 이벤트 로그 수집 서버의 RAM 상에 기록되는 이벤트 데이터가 최대 10, 000(고정치)건으로 설정된 경우 최대 건수 초과 여부를 RAM 로드를 통해 확인하고, 최대 건수가 초과되지 않은 경우, 116 과정으로 이동하여 정상 수신 정보 회신을 보안 장비로 응답하되, 상술한 바와 같이 본 발명에 따른 기설정된 확인 응답 정책을 기반으로 미리 정해진 이벤트 데이터 수에 해당하는 개별 이벤트 데이터 ACK가 집합된 ACK를 송신한다.
상기 최대 건수가 초과된 경우 이벤트 로그 수집 서버에서는 118 과정으로 이동하여 기설정된 타입의 파일로 셋(set)하여 이벤트 처리 서버로의 전송을 위한 인코딩을 수행한다.
여기서, 상기 인코딩 수행은 네트워크 침입 탐지 시스템 정책의 설정 파일에 정의된 dat 확장자에 대응하는 파일의 상한 수를 기반으로 RAM 이벤트 데이터가 셋되어 인코딩되는 것으로, 상기 기설정된 타입의 파일은 *.dat 형식 파일을 의미하는 것으로, 최대 건수(MAX 10, 000건)이 초과된 경우 dat 확장자에 대응하는 데이터 파일에 다수의 RAM 이벤트 데이터를 라이트(write)하며, 1개의 dat 파일에는 약 5, 000건의 이벤트 데이터까지 기록이 가능하다.
이후, 120 과정에서는 상기 이벤트 로그 수집 서버와 연동된 처리 서버를 통해 복수의 이벤트 로그 데이터가 셋된 적어도 하나 이상의 기설정된 타입의 파일을 대용량 로드를 위한 서비스 호출을 통해 네트워트 침입 탐지 DB에 인서트(insert)한다.
상기 침입 탐지 DB 인서트는 상기 RAM 메모리에 레코딩 가능한 RAM 이벤트 데이터 최대수가 초과된 경우 상기 RAM 이벤트 데이터를 dat 확장자에 대응하는 복수의 파일로 분할하여 라이트(write)하고, 복수의 RAM 이벤트 데이터가 라이트된 dat 파일이 기설정된 파일 수에 대응되는 경우 네트워트 침입 탐지 시스템 DB로의 대용량 로드를 위한 BULK_INSERT 서비스 호출을 통해 복수의 dat 파일에 대응하는 RAM 이벤트 데이터를 인서트한다.
여기서, 도 5 및 도 6을 참조하여 상술한 이벤트 로그 수집 서버와 처리 서버에서의 동작 흐름을 각각 살펴보도록 한다.
먼저, 도 5는 본 발명의 일 실시 예에 따른 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 방법에 있어서, 이벤트 로그 수집 서버의 동작 흐름을 보인 것이다.
도 5에 도시된 바와 같이, 이벤트 로그 수집 서버(512)는 보안 장비(510)로부터 이벤트 데이터를 수집하는 수집부(514)와, 상기 이벤트 데이터를 저장하는 RAM 메모리부(516)을 구비한다.
상기 수집부(514)는 518 과정을 통해 RAM 메모리부(516)에 기록 가능한 최대 건수 초과 여부 및 기설정된 데이터 파일 카운트가 최대수 파일 초과 여부를 체크한다(RAM Event Data < MAX RAM and Data File Count < MAX File).
체크 결과 초과 되지 않은 경우 520 과정으로 이동하여 버스트 이벤트 데이터 미발생 상황임을 인식하고, 정상 수신 정보를 기설정된 확인 응답 정책 기반 보안 장비(510)에 회신하고, 초과된 경우 522 과정으로 이동하여 기설정된 ACK Time Out(10초)을 수행한다. 이때, 상기 ACK Time Out은 송신측으로부터의 데이터에 대해서 수신측이 응답 메시지(ACK)를 Timeout 시간(10초)까지 반환하지 않으며, 송신측은 ACK가 수신되지 않아 커넥션을 종료한 후 재송신을 하도록 하는 기설정된 룰이다.
이후 524 과정에서는 기설정된 주기별로 dat 파일 조건 이벤트 데이터 카운트 결과, 복수의 이벤트 데이터가 dat 파일로 작성 가능한 최대수만큼 집합된 경우 즉, 다수의 이벤트 데이터가 상기 dat 파일 조건 카운트 수에 부합되어 기설정된 최대수 보다 크거나 같은지 여부를 확인(Dat File Count >= MAX)하여 해당되는 경우 526 과정으로 이동하여 DAT 파일을 작성한다. 상기 DAT 파일 작성 시 RAM 이벤트 데이터의 1/2을 *.dat 파일에 라이트한다.
한편, 상기 RAM 메모리부(516)에서는 528 과정을 통해 레코딩된 이벤트 데이터의 0 초과 여부를 체크하고, 초과되지 않은 경우 534 과정으로 이동하여 TMS 서버에 전송하고, 초과된 경우 530 과정으로 이동하여 dat 파일 존재 유무를 체크하여 체크 결과, dat 파일이 존재하는 경우 532 과정으로 이동하여 .dat 파일을 읽어들여 RAM에 기록하고, 존재하지 않은 경우 RAM 메모리부(516)를 다시 로드한다.
이어서, 도 6은 본 발명의 일 실시 예에 따른 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 방법에 있어서, 처리 서버의 동작 흐름을 보인 것이다.
도 6에 도시된 바와 같이, 처리 서버(614)는 처리부(615) 및 램 메모리부(616)을 포함하고, 처리부(615)를 통해 이벤트 로그 수집 서버(612)로부터 이벤트 데이터가 전달되면, 620 과정을 통해 RAM 메모리부(616)에 기록 가능한 최대 건수 초과 여부 및 기설정된 데이터 파일 카운트가 최대수 파일 초과 여부를 체크한다(RAM Event Data < MAX RAM and Data File Count < MAX File).
체크 결과 초과 되지 않은 경우 622 과정으로 이동하여 ACK를 수행하고, 626 과정으로 이동하여 *.dat 파일 작성을 통해 Bulk Insert를 이용하여 대용량 로드를 위한 서비스를 수행한다. 그 결과를 628 과정을 통해 체크하여 Bulk Insert가 성공하면 630 과정의 동작을 통해 해당 *.dat 파일을 삭제한다.
상기 체크 결과 초과된 경우 624 과정으로 이동하여 기설정된 ACK Time Out(10초)을 수행한다. 이때, 상기 ACK Time Out은 송신측으로부터의 데이터에 대해서 수신측이 응답 메시지(ACK)를 Timeout 시간(10초)까지 반환하지 않으며, 송신측은 ACK가 수신되지 않아 커넥션을 종료한 후 재송신을 하도록 하는 기설정된 룰이다.
한편, dat 확장자 파일에 대응하는 데이터 파일(618)은 619와 같은 형태로 다수의 데이터 파일을 포함한다. 이때, *.dat 파일의 상한 파일 수는 Config.xml에서 설정 가능하다.
그리고, 628 과정의 동작 결과 Bulk Insert가 실패하면, 632 과정으로 이동하여 Bulk Insert 서비스 호출 재시도가 3을 초과하는지 여부를 체크하여, 초과되지 않은 경우 634 과정으로 이동하여 .dat 파일을 실패 로그(LOG) 폴더에 이동시키고, 초과된 경우 636 과정으로 이동하여 Bulk Insert 실행 및 성공 여부를 체크하여 체크 결과에 따라 638 과정에서 .dat 파일 삭제를 수행하거나, 640 과정에서 Bulk Inser에 대응하는 Retry Count + 1을 수행한다.
이상 본 발명의 일 실시 예에 따른 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 방법에 대해 살펴보았다.
이하에서는, 본 발명의 일 실시 예에 따른 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 시스템에 대해 도 4를 참조하여 자세히 살펴보기로 한다.
도 4는 본 발명의 일 실시 예에 따른 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 시스템의 구성도이다.
도 4를 참조하면, 본 발명이 적용된 시스템은 복수의 보안 장비(40, 41, 42...), 이벤트 로그 수집 서버(410) 및 처리 서버(420), 콘솔(420) 및 DB(422)를 포함한다.
상기 이벤트 로그 수집 서버(410)는 이벤트 로그 데이터 수신부(412), 이벤트 로그 수집 제어부(414), 응답 확인부(416) 및 RAM 이벤트 데이터(46)를 포함하며, 네트워크 침입 탐지 시스템(Intrusion Detection System, IDS) 혹은 침입 방지 시스템(Intrusion Protection System, IPS)에서 보안 장비(40, 41, 42...n)와 상기 보안 장비보안 장비(40, 41, 42...n)로부터 이벤트 로그 데이터를 수집하기 위한 세션 동안 해당 세션에서 기설정된 확인 응답 정책 기반 이벤트 로그 데이터를 처리한다.
상기 이벤트 로그 수집 제어부(414)는 적어도 하나 이상의 보안 장비로부터 세션 개시를 위한 접속 요청 메시지가 수신되면 상기 이벤트 로그 수집 수신 확인에 대한 응답으로 수신 확인(ACK)과 이벤트 데이터 전송 요청을 응답 확인부(416)를 통해 단일 전송을 수행하도록 제어하고, 기설정된 프로토콜을 기반으로 보안 장비(40, 41, 42)별 다수의 이벤트 데이터에 대응하는 이벤트 데이터 헤더 정보를 수신하고, 상기 수신 확인에 대한 수신 확인과 이벤트 데이터 전송 요청을 응답으로 상기 보안 장비(40, 41, 42)에 송신하도록 상기 응답 확인부(416)를 제어하고, 상기 AckNum이 종료로 부여된 이벤트 데이터가 수신된 경우 이벤트 로그 수집 수신 확인에 대한 응답으로 수신 확인(ACK)을 단일 전송을 통해 보안 장비(40, 41, 42)로 송신하도록 제어한다.
이때, 상기 기설정된 프로토콜은, 보안 장비(40, 41, 42)별 탐지된 다수의 이벤트 데이터 단위별 식별 가능한 넘버가 순차적으로 각 이벤트 데이터별 AckNum으로 부여되어 설정된 이벤트 데이터 헤더 정보가 각 이벤트 데이터 전송에 우선하여 상기 각 보안 장비(40, 41, 42)로부터 이벤트 로그 수집 서버(410)로 보고되고, 보고된 이벤트 데이터 헤더 정보에 대한 수신 확인 및 이벤트 데이터 전송 요청이 송신되면 전송 넘버가 AckNum으로 각각 설정된 각 이벤트 데이터별 단일 채널이 생성되어 상기 이벤트 로그 수집 서버(410)로 순차 전달되고, 상기 AckNum이 종료로 부여된 이벤트 데이터 수신 시 이벤트 로그 수집 수신 확인에 대한 응답으로 수신 확인(ACK)이 상기 이벤트 로그 수집 서버(410)에서 해당 보안 장비(40, 41, 42...n)로 송신되도록 제어한다.
상기 이벤트 로그 수집 서버(410)는 이벤트 로그 수집 제어부(414)를 통해 AckNum이 종료로 부여된 이벤트 데이터가 수신된 경우 이벤트 로그 수집 수신 확인에 대한 응답으로 수신 확인(ACK)을 단일 전송을 통해 해당 보안 장비(40, 41, 42...n)로 송신한다.
그리고, 상기 이벤트 데이터 헤더 정보는, 기설정된 주기 동안 전송되는 전체 이벤트 로그 데이터를 AckNum 기반으로 통합하여 각 이벤트 데이터별 헤더와 매칭되어 전체 각 이벤트 데이터 전송에 우선하여 이벤트 로그 데이터의 전송 개시를 가이드하는 중복 이벤트 로그 데이터 및 다중 이벤트 로그 처리를 위한 정보이다.
상기 이벤트 로그 데이터 수신부(412)는 보안 장비(40, 41, 42...n)로부터 넘버별 AckNum이 부여된 이벤트 데이터를 단일 채널별로 대응되게 순차 수신한다.
상기 RAM 이벤트 데이터(46)는 이벤트 로그 수집 서버(410) 내 램 메모리부(미도시)에 기록되는 것으로, 이벤트 데이터가 최대 건수(MAX 10, 000건)이 초과된 경우 dat 확장자에 대응하는 데이터 파일에 다수의 RAM 이벤트 데이터를 라이트(write)하며, 1개의 dat 파일에는 약 5, 000건의 이벤트 데이터까지 기록이 가능하다. 본 발명의 일 실시 예에 따라 다수의 이벤트 데이터는 기설정된 수에 도달하면 418에서와 같은 다수의.dat 파일로 통합되어 저장된다.
다음으로, 상기 처리 서버(420)은 이벤트 로그 수집 서버(410)로부터 전송된 이벤트 로그 데이터를 램(RAM) 메모리에 기설정된 RAM 이벤트 데이터 레코딩(recording) 최대수 범위 내에서 기설정된 타입의 파일로 셋(set)하여 인코딩하고, 복수의 이벤트 로그 데이터가 셋된 적어도 하나의 이상의 기설정된 타입의 파일을 대용량 로드를 위한 서비스 호출을 통해 네트워크 침입 탐지 D(422)B에 인서트(insert)하여 처리한다.
상기와 같이 본 발명에 따른 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 방법 및 시스템에 관한 동작이 이루어질 수 있으며, 한편 상기한 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나 여러 가지 변형이 본 발명의 범위를 벗어나지 않고 실시될 수 있다. 따라서 본 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 청구범위와 청구범위의 균등한 것에 의하여 정하여져야 할 것이다.
40, 41, 42: 보안 장비 410: 이벤트 로그 수집 서버
412: 이벤트 로그 데이터 수신부 414: 이벤트 로그 수집 제어부
416: 응답 확인부 420: 처리 서버
422: DB 424: 콘솔

Claims (12)

  1. 네트워크 침입 탐지 시스템(Intrusion Detection System, IDS) 혹은 침입 방지 시스템(Intrusion Protection System, IPS)에서 보안 장비와 상기 보안 장비로부터 이벤트 로그 데이터를 수집하는 이벤트 로그 수집 서버 간 생성된 세션을 통해 기설정된 확인 응답 정책 기반 이벤트 로그 데이터를 처리하는 과정과,
    상기 이벤트 로그 데이터를 램(RAM) 메모리에 기설정된 RAM 이벤트 데이터 레코딩(recording) 최대수 범위 내에서 기설정된 타입의 파일로 셋(set)하여 인코딩하는 과정과,
    복수의 이벤트 로그 데이터가 셋된 적어도 하나 이상의 기설정된 타입의 파일을 대용량 로드를 위한 서비스 호출을 통해 네트워크 침입 탐지 DB에 인서트(insert)하는 과정을 포함하고,
    상기 기설정된 확인 응답 정책 기반 이벤트 로그 데이터 처리 과정은,
    적어도 하나 이상의 보안 장비로부터 세션 개시를 위한 접속 요청 메시지가 이벤트 로그 수집 서버로 전송되는 제1 과정과,
    상기 이벤트 로그 수집 서버에서 이벤트 로그 수집 수신 확인에 대한 응답으로 수신 확인(ACK)과 이벤트 데이터 전송 요청을 단일 전송을 통해 송신하는 제2 과정과,
    기설정된 프로토콜을 기반으로 보안 장비별 다수의 이벤트 데이터 단위별 식별 가능한 넘버가 순차적으로 AckNum으로 부여된 이벤트 데이터 헤더 정보가 이벤트 로그 수집 서버로 보고되는 제3 과정과,
    상기 보안 장비로 상기 이벤트 데이터 헤더 정보 수신 확인에 대한 수신 확인과 이벤트 데이터 전송 요청을 이벤트 로그 수집 서버의 응답으로 전송하는 제4 과정과,
    상기 이벤트 로그 수집 서버로 넘버별 AcKNum이 부여된 이벤트 데이터가 단일 전송 채널별로 순차적으로 전송되는 제5 과정과,
    상기 AckNum이 종료로 부여된 이벤트 데이터가 수신된 경우 상기 이벤트 로그 수집 서버에서 이벤트 로그 수집 수신 확인에 대한 응답으로 수신 확인(ACK)을 단일 전송을 통해 보안 장비로 송신하는 제6 과정을 포함함을 특징으로 하는 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 방법.
  2. 삭제
  3. 제1항에 있어서, 상기 기설정된 프로토콜은,
    상기 보안 장비로부터 탐지된 복수의 이벤트 데이터별 상향 보고에 우선하여 상기 탐지된 복수의 이벤트에 대한 데이터별 순차적 넘버링을 통해 AckNum을 각각 설정하여 이벤트 데이터별 전송 넘버가 설정된 AckNum을 통합하여 미리 보고하고, 보고된 AckNum의 넘버를 통해 상기 이벤트 로그 수집 서버에서 보안 장비로의 수신 확인 응답 시기를 제어하여 이벤트 로그의 집중을 분산하여 IDS 기반 발생 이벤트 관련 로그를 보고하기 위한 정책임을 특징으로 하는 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 방법.
  4. 제3항에 있어서, 상기 이벤트 로그 수집 서버에서 보안 장비로의 수신 확인 응답 시기 제어는,
    상기 보안 장비에서 탐지되어 이벤트 로그 수집 서버로 순차 보고되는 복수의 이벤트 데이터에서 해당 이벤트 로그의 종료에 대응하는 종료 AckNum이 설정된 이벤트 데이터 수신 시 상기 이벤트 로그 수집 서버에서 해당 보안 장비로 복수의 이벤트 데이터에 대한 수신 확인 응답을 전달하여 수행됨을 특징으로 하는 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 방법.
  5. 제1항에 있어서, 상기 AckNum이 종료로 부여된 이벤트 데이터가 기설정된 시간 동안 수신되지 않은 경우,
    보안 장비와 이벤트 로그 수집 서버 간 해당 세션을 종료하여 상기 보안 장비로부터의 이벤트 로그 데이터 수집을 무효화함을 특징으로 하는 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 방법.
  6. 제1항에 있어서, 상기 침입 탐지 DB에 인서트하는 과정은,
    상기 RAM 메모리에 레코딩 가능한 RAM 이벤트 데이터 최대수가 초과된 경우 상기 RAM 이벤트 데이터를 dat 확장자에 대응하는 복수의 파일로 분할하여 라이트(write)하고, 복수의 RAM 이벤트 데이터가 라이트된 dat 파일이 기설정된 파일 수에 대응되는 경우 네트워트 침입 탐지 시스템 DB로의 대용량 로드를 위한 BULK_INSERT 서비스 호출을 통해 복수의 dat 파일에 대응하는 RAM 이벤트 데이터를 인서트함을 특징으로 하는 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 방법.
  7. 제1항에 있어서, 상기 기설정된 타입의 파일로 셋(set)하여 인코딩하는 과정은,
    네트워크 침입 탐지 시스템 정책의 설정 파일에 정의된 dat 확장자에 대응하는 파일의 상한 수를 기반으로 RAM 이벤트 데이터가 셋되어 인코딩됨을 특징으로 하는 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 방법.
  8. 네트워크 침입 탐지 시스템(Intrusion Detection System, IDS) 혹은 침입 방지 시스템(Intrusion Protection System, IPS)에서 보안 장비와 상기 보안 장비로부터 이벤트 로그 데이터를 수집하는 이벤트 로그 수집 서버 간 생성된 세션을 통해 기설정된 확인 응답 정책 기반 이벤트 로그 데이터를 처리하는 이벤트 로그 수집 서버와,
    상기 이벤트 로그 수집 서버로부터 전송된 이벤트 로그 데이터를 램(RAM) 메모리에 기설정된 RAM 이벤트 데이터 레코딩(recording) 최대수 범위 내에서 기설정된 타입의 파일로 셋(set)하여 인코딩하고, 복수의 이벤트 로그 데이터가 셋된 적어도 하나의 이상의 기설정된 타입의 파일을 대용량 로드를 위한 서비스 호출을 통해 네트워크 침입 탐지 DB에 인서트(insert)하여 처리하는 처리 서버를 포함하고,
    상기 이벤트 로그 수집 서버는,
    적어도 하나 이상의 보안 장비로부터 세션 개시를 위한 접속 요청 메시지가 수신되면 상기 이벤트 로그 수집 수신 확인에 대한 응답으로 수신 확인(ACK)과 이벤트 데이터 전송 요청을 응답 확인부를 통해 단일 전송을 수행하도록 제어하고,
    상기 보안 장비로부터 넘버별 AckNum이 부여된 이벤트 데이터를 단일 채널별로 대응되게 순차 수신하는 이벤트 로그 데이터 수신부와,
    기설정된 프로토콜을 기반으로 보안 장비별 다수의 이벤트 데이터에 대응하는 이벤트 데이터 헤더 정보를 수신하고, 상기 수신 확인에 대한 수신 확인과 이벤트 데이터 전송 요청을 응답으로 상기 보안 장비에 송신하도록 상기 응답 확인부를 제어하고, 상기 AckNum이 종료로 부여된 이벤트 데이터가 수신된 경우 이벤트 로그 수집 수신 확인에 대한 응답으로 수신 확인(ACK)을 단일 전송을 통해 보안 장비로 송신하도록 제어하는 이벤트 로그 수집 제어부를 포함함을 특징으로 하는 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 시스템.
  9. 삭제
  10. 제8항에 있어서, 상기 기설정된 프로토콜은,
    상기 보안 장비별 탐지된 다수의 이벤트 데이터 단위별 식별 가능한 넘버가 순차적으로 각 이벤트 데이터별 AckNum으로 부여되어 설정된 이벤트 데이터 헤더 정보가 각 이벤트 데이터 전송에 우선하여 상기 각 보안 장비로부터 이벤트 로그 수집 서버로 보고되고, 보고된 이벤트 데이터 헤더 정보에 대한 수신 확인 및 이벤트 데이터 전송 요청이 송신되면 전송 넘버가 AckNum으로 각각 설정된 각 이벤트 데이터별 단일 채널이 생성되어 상기 이벤트 로그 수집 서버로 순차 전달되고, 상기 AckNum이 종료로 부여된 이벤트 데이터 수신 시 이벤트 로그 수집 수신 확인에 대한 응답으로 수신 확인(ACK)이 상기 이벤트 로그 수집 서버에서 해당 보안 장비로 송신되도록 제어함을 특징으로 하는 네트워크 고속 연속적 데이터의 손실 방지 서비스 제공 시스템.
  11. 제10항에 있어서, 상기 이벤트 데이터 헤더 정보는,
    기설정된 주기 동안 전송되는 전체 이벤트 로그 데이터를 AckNum 기반으로 통합하여 각 이벤트 데이터별 헤더와 매칭되어 전체 각 이벤트 데이터 전송에 우선하여 이벤트 로그 데이터의 전송 개시를 가이드하는 중복 이벤트 로그 데이터 및 다중 이벤트 로그 처리를 위한 정보임을 특징으로 하는 네트워크 고속 연속적 데이터의 손실 방지 서비스 제공 시스템.
  12. 제8항에 있어서, 상기 이벤트 로그 수집 서버는,
    상기 AckNum이 종료로 부여된 이벤트 데이터가 수신된 경우 이벤트 로그 수집 수신 확인에 대한 응답으로 수신 확인(ACK)을 단일 전송을 통해 해당 보안 장비로 송신함을 특징으로 하는 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 시스템.
KR1020150140568A 2015-10-06 2015-10-06 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 방법 및 시스템 KR101713911B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150140568A KR101713911B1 (ko) 2015-10-06 2015-10-06 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150140568A KR101713911B1 (ko) 2015-10-06 2015-10-06 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 방법 및 시스템

Publications (1)

Publication Number Publication Date
KR101713911B1 true KR101713911B1 (ko) 2017-03-09

Family

ID=58402361

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150140568A KR101713911B1 (ko) 2015-10-06 2015-10-06 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR101713911B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005354334A (ja) * 2004-06-10 2005-12-22 Mitsubishi Electric Corp データ列検索装置、不正侵入検知遮断装置、データ列検索方法およびデータ列検索プログラム
KR20070017582A (ko) * 1999-05-27 2007-02-12 콸콤 인코포레이티드 정보 바이트 스트림을 전송 또는 수신하는 방법, 시스템,송신기 및 수신기
KR20110054537A (ko) 2009-11-18 2011-05-25 한국인터넷진흥원 분포 기반 디도스 공격 탐지 및 대응 장치

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070017582A (ko) * 1999-05-27 2007-02-12 콸콤 인코포레이티드 정보 바이트 스트림을 전송 또는 수신하는 방법, 시스템,송신기 및 수신기
JP2005354334A (ja) * 2004-06-10 2005-12-22 Mitsubishi Electric Corp データ列検索装置、不正侵入検知遮断装置、データ列検索方法およびデータ列検索プログラム
KR20110054537A (ko) 2009-11-18 2011-05-25 한국인터넷진흥원 분포 기반 디도스 공격 탐지 및 대응 장치

Similar Documents

Publication Publication Date Title
KR101593168B1 (ko) 물리적 단방향 통신 장치 및 방법
US10284594B2 (en) Detecting and preventing flooding attacks in a network environment
Mazurczyk et al. Retransmission steganography and its detection
KR102378290B1 (ko) 패킷 손실 허용 송신 제어 프로토콜 혼잡 제어
US8489755B2 (en) Technique of detecting denial of service attacks
CN102624706B (zh) 一种dns隐蔽信道的检测方法
CN110099027B (zh) 业务报文的传输方法和装置、存储介质、电子装置
CN102769549A (zh) 网络安全监控的方法和装置
EP3637847B1 (en) Data packet distribution method, sender device, receiver device, and storage medium
CN106790299B (zh) 一种在无线接入点ap上应用的无线攻击防御方法和装置
CN109525376B (zh) 快速重传方法、装置及终端设备
CN113746788A (zh) 一种数据处理方法及装置
CN110740144A (zh) 确定攻击目标的方法、装置、设备及存储介质
US10382481B2 (en) System and method to spoof a TCP reset for an out-of-band security device
CN117220837A (zh) 一种数据传输方法、存储介质及设备
KR101713911B1 (ko) 네트워크의 고속 연속적 데이터의 손실 방지 서비스 제공 방법 및 시스템
EP2988476B1 (en) Method and apparatus for processing operation on endpoint peripheral
JP4878630B2 (ja) 通信サーバおよびDoS攻撃防御方法
CN111835719A (zh) 基于多终端检验的计算机网络防火墙系统及其工作方法
JP3850841B2 (ja) データパケットの安全送信の監視方法および装置
KR102027434B1 (ko) 보안 장치 및 이의 동작 방법
KR102027438B1 (ko) Ddos 공격 차단 장치 및 방법
WO2019220746A1 (ja) 異常検知装置および異常検知方法
CN110943979A (zh) Sdn网络攻击检测方法、装置、设备和系统
KR101449627B1 (ko) 비정상 세션 탐지 방법 및 장치

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20200302

Year of fee payment: 4