KR101720702B1 - Security device and driving method thereof - Google Patents

Security device and driving method thereof Download PDF

Info

Publication number
KR101720702B1
KR101720702B1 KR1020150178842A KR20150178842A KR101720702B1 KR 101720702 B1 KR101720702 B1 KR 101720702B1 KR 1020150178842 A KR1020150178842 A KR 1020150178842A KR 20150178842 A KR20150178842 A KR 20150178842A KR 101720702 B1 KR101720702 B1 KR 101720702B1
Authority
KR
South Korea
Prior art keywords
packet
information
packets
address
policy
Prior art date
Application number
KR1020150178842A
Other languages
Korean (ko)
Inventor
원규연
박명호
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020150178842A priority Critical patent/KR101720702B1/en
Application granted granted Critical
Publication of KR101720702B1 publication Critical patent/KR101720702B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information

Abstract

The present invention relates to a security device and a method for operating the same. The security device according to an embodiment of the present invention comprises: a reception module which receives packets from an external device and determines whether policy inspection can be performed on each of the packets; a policy inspection module which receives some of the packets on which the policy inspection can be performed, selects a transferrable packet from among the packets on which the policy inspection can be performed, and generates information about the packets on which the policy inspection can be performed; a reception part packet information storage module which stores pieces of session packet information, receives some of the packets on which the policy inspection cannot be performed, compares some of pieces of information about the packets, on which the policy inspection cannot be performed, with some of the pieces of session packet information, and generates information about packets on which the policy inspection cannot be performed; and a transmission module which transmits the transferrable packet. The above-described pieces of information may include start IP addresses, destination IP addresses, start port numbers, destination port numbers and protocol information of the packets.

Description

보안 장치 및 그의 구동 방법{SECURITY DEVICE AND DRIVING METHOD THEREOF}SECURITY DEVICE AND DRIVING METHOD THEREOF

본 발명의 실시예는 보안 장치 및 그의 구동 방법에 관한 것이다.An embodiment of the present invention relates to a security device and a driving method thereof.

정보통신 분야의 발달과 함께, 네트워크도 발달하였다. 네트워크 통신의 안전성을 증가시키기 위해 보안 장치라는 개념이 등장하였다. 보안 장치는 두 네트워크 간의 통신에 개입하여 패킷의 전달을 허용하거나 거부한다. 구체적으로, 두 네트워크 간에 왕래하는 모든 패킷들을 일일이 사용자가 설정한 정책과 대조해 봄으로써, 정책에 어긋나는 패킷은 차단하고, 정책에 합치하는 패킷만을 선별 통과하도록 동작한다.Along with the development of the information and communication field, the network has also developed. In order to increase the security of network communication, the concept of security device has emerged. The security device intervenes in communication between the two networks to allow or deny delivery of the packets. Specifically, by contrasting all the packets passing between the two networks with the policy set by the user, the packet is blocked and the packet matching the policy is selectively passed.

보안 장치는 패킷 내 정보들(시작 IP, 목적 IP, 시작 포트, 목적 포트 및 프로토콜 정보)을 기저장된 정책과 비교하여 패킷의 전달 허용 여부를 판단한다. 그런데 다양한 통신 장비(라우터, 보안 장치, 스위치 등)을 거치면서 최대 크기의 제한으로 인해 조각난 패킷의 경우에는 정보들 중 일부만 포함하므로 보안 장치가 패킷의 전달 허용 여부를 판단하기 어렵다. 따라서, 보안 장치가 정책에 의해 패킷의 전달을 거부하더라도, 거부된 패킷과 동일한 정보들을 가지고 동일한 컨텐츠와 관련된 패킷은 전달 허용 여부를 판단하기 어려워서 전달이 허용될 수 있다.The security device compares the in-packet information (start IP, destination IP, start port, destination port, and protocol information) with the pre-stored policy to determine whether the packet is allowed to be forwarded. However, it is difficult to judge whether the security device allows the packet to be transmitted because fragmented packets include only a part of the information due to the limitation of the maximum size through various communication devices (routers, security devices, switches, etc.). Therefore, even if the security device denies delivery of a packet by a policy, delivery of the packet related to the same content with the same information as the rejected packet is difficult to determine whether or not to allow delivery.

본 발명의 실시예는 패킷의 정책 검사 여부를 판단할 수 없는 경우, 정보들 중 일부만을 비교하여 조각난 패킷이라도 그 전달 허용 여부를 결정할 수 있는 보안 장치 및 그의 구동 방법을 제공하는 것을 그 목적으로 한다.An object of the present invention is to provide a security device and a method of driving the same that can determine whether or not to allow fragmented packets by comparing only a part of information when the policy check of a packet can not be determined .

본 발명의 일 실시예에 따른 보안 장치는, 외부 장치로부터 패킷들을 수신하고, 상기 패킷들의 정책 검사 가능 여부를 판단하는 수신 모듈, 상기 패킷들 중 정책 검사가 가능한 패킷을 수신하고, 상기 정책 검사가 가능한 패킷 중 전달 가능 패킷을 선택하며, 상기 정책 검사가 가능한 패킷에 대한 정보를 생성하는 정책 검사 모듈, 세션 패킷 정보들을 저장하고, 상기 패킷들 중 정책 검사가 불가능한 패킷을 수신하며, 상기 정책 검사가 불가능한 패킷의 정보들 중 일부를 상기 세션 패킷 정보들 중 일부와 비교하고, 상기 정책 검사가 불가능한 패킷에 대한 정보를 생성하는 수신 조각 패킷 정보 저장 모듈 및 상기 전달 가능 패킷을 송신하는 송신 모듈을 포함할 수 있고, 상기 정보들은 상기 패킷들의 시작 아이피 주소, 목적 아이피 주소, 시작 포트 번호, 목적 포트 번호 및 프로토콜 정보를 포함할 수 있다.A security device according to an embodiment of the present invention includes a receiving module for receiving packets from an external device and determining whether policy checking of the packets is possible, receiving a packet which is capable of policy checking among the packets, A policy checking module for selecting a deliverable packet among the possible packets and generating information about the packet that can be checked for the policy; storing session packet information; receiving a packet among the packets that can not be checked for policy; A received fragment packet information storage module that compares part of the information of the impossible packets with a part of the session packet information and generates information about the packet that can not be checked for the policy and a transmission module that transmits the forwardable packet And the information includes a starting IP address, a destination IP address, a starting port number, Destination port number and protocol information.

실시예에 따라, 상기 보안 장치는 상기 패킷들의 상기 정보들 중 적어도 일부를 기반으로 패킷 통계 정보를 생성하는 패킷 정보 관리 모듈을 더 포함할 수 있다.According to an embodiment, the security device may further comprise a packet information management module for generating packet statistical information based on at least a part of the information of the packets.

실시예에 따라, 상기 패킷 통계 정보는 상기 패킷들 중 조각난 패킷의 비율, 아이피 주소별 상기 패킷들 중 조각난 패킷들의 평균 크기 및 아이피 주소별 상기 패킷들 중 조각난 패킷의 비율 중 적어도 하나를 포함할 수 있다.According to an embodiment, the packet statistical information may comprise at least one of a ratio of fragmented packets in the packets, an average size of fragmented packets in the packets by IP address, and a ratio of fragmented packets in the packets by IP address have.

실시예에 따라, 상기 수신 모듈은 상기 패킷들에 상기 정보들이 포함되어 있는지 여부를 판단할 수 있고, 상기 패킷들 중 상기 정보들이 모두 포함된 패킷은 상기 정책 검사가 가능한 패킷으로 판단할 수 있고, 상기 패킷들 중 상기 정보들 중 적어도 일부가 누락된 패킷은 상기 정책 검사가 불가능한 패킷으로 판단할 수 있다.According to an embodiment, the receiving module can determine whether or not the packets include the information, and a packet including all the information among the packets can be determined as a packet capable of policy checking, A packet in which at least a part of the packets is missing can be determined as a packet that can not be checked for the policy.

실시예에 따라, 상기 조각 패킷 정보 저장 모듈은 상기 정책 검사가 불가능한 패킷의 상기 시작 아이피 주소 및 상기 목적 아이피 주소를 상기 세션 패킷 정보들 중 시작 아이피 주소 및 목적 아이피 주소와 비교할 수 있다.According to the embodiment, the fragment packet information storage module may compare the start IP address and the target IP address of the packet that can not be checked with the start IP address and the target IP address of the session packet information.

또한, 본 발명의 다른 실시예는 보안 장치의 구동 방법이라는 다른 측면이 있다. 본 발명의 일 실시예에 따른 보안 장치의 구동 방법은, 수신된 패킷에 대해 정책 검사를 할 수 있는지 판단하는 단계 및 상기 패킷의 정보들 중 일부와 세션 패킷 정보들의 일부를 비교하는 단계를 포함할 수 있고, 상기 패킷의 정보들 중 일부와 상기 세션 패킷 정보들의 일부를 비교하는 단계는 상기 패킷에 대해 정책 검사를 할 수 없는 경우에만 수행될 수 있으며, 상기 정보들은 상기 패킷의 시작 아이피 주소, 목적 아이피 주소, 시작 포트 번호, 목적 포트 번호 및 프로토콜 정보를 포함할 수 있다.In addition, another embodiment of the present invention is a method of driving a security device. The method of driving a security device according to an exemplary embodiment of the present invention includes determining whether policy checking can be performed on a received packet, and comparing a part of information of the packet with a part of session packet information And comparing the portion of the information of the packet with a portion of the session packet information may be performed only when the policy check of the packet is not possible and the information may include a start IP address of the packet, An IP address, a starting port number, a destination port number, and protocol information.

실시예에 따라, 상기 수신된 패킷에 대해 정책 검사를 할 수 있는지 판단하는 단계에서, 상기 패킷에 상기 정보들이 모두 포함되어 있는지 여부를 기반으로 상기 패킷에 대해 정책 검사를 할 수 있는지 여부가 판단될 수 있다.According to an embodiment of the present invention, it is determined whether or not policy checking can be performed on the received packet based on whether the packet includes all of the information .

실시예에 따라, 상기 패킷의 정보들 중 일부과 상기 세션 패킷 정보들의 일부를 비교하는 단계에서, 상기 정책 검사가 불가능한 패킷의 상기 시작 아이피 주소 및 상기 목적 아이피 주소가 상기 세션 패킷 정보들 중 시작 아이피 주소 및 목적 아이피 주소와 비교될 수 있다.According to an embodiment of the present invention, in the step of comparing a part of the information of the packet with a part of the session packet information, the start IP address and the target IP address of the packet that can not be checked for the policy are compared with the start IP address And the destination IP address.

실시예에 따라, 상기 보안 장치의 구동 방법은 상기 패킷에 대해 정책 검사를 하는 단계를 더 포함할 수 있고, 상기 패킷에 대해 정책 검사를 하는 단계에서, 상기 패킷의 상기 정보들을 기반으로 상기 패킷의 전달 허용 여부가 판단될 수 있다.According to an exemplary embodiment of the present invention, the method of driving the security device may further include performing a policy check on the packet. In the policy checking of the packet, based on the information of the packet, It can be judged whether or not the transfer is permitted.

실시예에 따라, 상기 보안 장치의 구동 방법은 상기 패킷의 정보들을 기반으로 패킷 통계 정보를 생성하는 단계를 더 포함할 수 있고, 상기 패킷 통계 정보는 상기 패킷들 중 조각난 패킷의 비율, 상기 패킷들 중 조각난 패킷들의 평균 크기 및 아이피 주소별 상기 패킷들 중 조각난 패킷의 비율 중 적어도 하나를 포함할 수 있다.According to an embodiment of the present invention, the method of driving the security device may further include generating packet statistical information based on the information of the packet, wherein the packet statistical information includes a ratio of fragmented packets in the packets, An average size of the fragmented packets, and a ratio of fragmented packets among the packets by IP address.

본 발명의 실시예는 패킷의 정책 검사 여부를 판단할 수 없는 경우, 정보들 중 일부만을 비교하여 조각난 패킷이라도 그 전달 허용 여부를 결정할 수 있는 보안 장치 및 그의 구동 방법을 제공하는 효과가 있다.The embodiment of the present invention provides a security device and a method of driving the same that can determine whether or not to transmit a fragmented packet by comparing only a part of information when the policy check of the packet can not be determined.

도 1은 본 발명의 일 실시예에 따른 보안 장치가 클라이언트와 외부 서버들을 중개하는 것을 설명하기 위한 도면이다.
도 2는 본 발명의 일 실시예에 따른 보안 장치의 구동 방법을 설명하기 위한 순서도이다.1 is a diagram for explaining a security device according to an embodiment of the present invention mediates between a client and external servers.
2 is a flowchart illustrating a method of driving a security device according to an embodiment of the present invention.

이하 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예들을 상세히 설명한다. 명세서 전체에 걸쳐서 동일한 참조번호들은 실질적으로 동일한 구성요소들을 의미한다. 이하의 설명에서, 본 발명과 관련된 공지 기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우, 그 상세한 설명을 생략한다. 또한, 이하의 설명에서 사용되는 구성요소 명칭은 명세서 작성의 용이함을 고려하여 선택된 것일 수 있는 것으로서, 실제 제품의 부품 명칭과는 상이할 수 있다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Reference will now be made in detail to the preferred embodiments of the present invention, examples of which are illustrated in the accompanying drawings. Like reference numerals throughout the specification denote substantially identical components. In the following description, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear. In addition, the component names used in the following description may be selected in consideration of easiness of specification, and may be different from the parts names of actual products.

명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 장치를 사이에 두고 "간접적으로 연결"되어 있는 경우도 포함한다. 명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when a part is referred to as being "connected" to another part, it includes not only "directly connected" but also "indirectly connected" between the devices in the middle. Throughout the specification, when an element is referred to as "comprising ", it means that it can include other elements as well, without excluding other elements unless specifically stated otherwise.

도 1은 본 발명의 일 실시예에 따른 보안 장치가 클라이언트와 외부 서버들을 중개하는 것을 설명하기 위한 도면이다. 본 발명에 따른 보안 장치(200)는 외부 서버들(100-1 내지 100-2)와 클라이언트(300) 사이를 중개하고, 수신 모듈(210), 정책 검사 모듈(220), 조각 패킷 정보 저장 모듈(230), 패킷 정보 관리 모듈(240) 및 송신 모듈(250)을 포함한다. 여기서, 클라이언트(300)도 외부 서버일 수 있다. 이하에서, 제1 외부 서버(100-1)로부터 제1 패킷(fp1) 및 제1 패킷(fp1)과 그 컨텐츠가 동일한 제2 패킷(fp2)이 송신되고 제2 외부 서버(100-2)로부터 제3 패킷(fp3) 및 제3 패킷(fp3)과 그 컨텐츠가 동일한 제4 패킷(fp4)이 송신되는 경우를 예로 들어, 모듈들(210 내지 250)의 상세한 기능이 설명될 것이다. 여기서 패킷들(fp1 내지 fp4)은 전달 과정에서 조각이 난 패킷일 수 있고, 제1 패킷(fp1) 및 제3 패킷(fp3)은 정보들을 다 가지고 있어 정책 검사가 가능한 패킷이며, 제2 패킷(fp2) 및 제4 패킷(fp4)은 정보들 중 일부가 없어 정책 검사가 불가능한 패킷이라고 가정할 수 있다. 또한, 제1 패킷(fp1)이 보안 장치(200)에 도달한 이후 제2 패킷(fp2)이 도달하고, 제3 패킷(fp3)이 보안 장치(200)에 도달한 이후 제4 패킷(fp4)이 도달하였다고 가정할 수 있다. TCP/IP 프로토콜의 경우, 모든 패킷들(fp1 내지 fp4)은 시작 아이피 주소 및 도착 아이피 주소를 가지고 있다고 가정할 수 있다.1 is a diagram for explaining a security device according to an embodiment of the present invention mediates between a client and external servers. The security device 200 according to the present invention mediates between the external servers 100-1 to 100-2 and the client 300 and includes a receiving module 210, a policy checking module 220, A packet information management module 230, a packet information management module 240, and a transmission module 250. Here, the client 300 may also be an external server. Hereinafter, the first packet fp1 and the second packet fp2 having the same contents as the first packet fp1 are transmitted from the first external server 100-1 and the second packet fp2 is transmitted from the second external server 100-2 The detailed function of the modules 210 to 250 will be described taking as an example the case where a fourth packet fp4 having the same contents as the third packet fp3 and the third packet fp3 is transmitted. Here, the packets fp1 to fp4 may be fragmented packets during the transmission process, and the first packet fp1 and the third packet fp3 may contain policy information, fp2 and the fourth packet fp4 may be assumed to be packets which can not be examined because of a lack of information. The fourth packet fp4 is transmitted after the second packet fp2 arrives after the first packet fp1 reaches the security device 200 and the third packet fp3 reaches the security device 200. [ Can be assumed to have arrived. In the case of the TCP / IP protocol, it can be assumed that all the packets fp1 to fp4 have a start IP address and an arrival IP address.

수신 모듈(210)은 제1 외부 서버(100-1) 및 제2 외부 서버(100-2)로부터 패킷들(fp1 내지 fp4)을 수신하고, 제1 패킷(fp1) 및 제3 패킷(fp3)을 정책 검사 모듈(220)로 송신하고 제2 패킷(fp2) 및 제4 패킷(fp4)을 조각 패킷 정보 저장 모듈(230)로 송신한다.The receiving module 210 receives the packets fp1 to fp4 from the first external server 100-1 and the second external server 100-2 and transmits the first packet fp1 and the third packet fp3, To the policy checking module 220 and transmits the second packet fp2 and the fourth packet fp4 to the fragment packet information storage module 230. [

정책 검사 모듈(220)은 제1 패킷(fp1) 및 제3 패킷(fp3)을 수신하여 정책 검사를 수행한다. 정책 검사를 위해 필요한 정보들은 시작 아이피 주소, 도착 아이피 주소, 시작 포트 번호, 도착 포트 번호 및 프로토콜 정보를 포함한다고 가정할 수 있다. 여기서 제1 패킷(fp1)은 검사 결과 전달이 허용된다고 가정할 수 있고, 제3 패킷(fp3)은 검사 결과 전달이 거부된다고 가정할 수 있다.The policy checking module 220 receives the first packet fp1 and the third packet fp3 and performs a policy check. The information required for policy checking may be assumed to include a starting IP address, an arrival IP address, a starting port number, an arrival port number, and protocol information. Here, it can be assumed that the first packet fp1 is allowed to be transmitted and the third packet fp3 is rejected.

제1 패킷(fp1)은 전달이 허용되었으므로, 정책 검사 모듈(220)은 제1 패킷(fp1)을 송신 모듈(250)에 송신하고 제1 패킷(fp1)의 정보들(i-fp1)을 조각 패킷 정보 저장 모듈(230) 및 패킷 정보 관리 모듈(240)에 송신한다. 제3 패킷(fp3)은 전달이 거부되었으므로, 정책 검사 모듈(220)은 제3 패킷(fp3)을 송신 모듈(250)에 송신하지 않고, 제3 패킷(fp3)의 정보들(i-fp3)을 조각 패킷 정보 저장 모듈(230)에 송신하지 않는다. 다만 정책 검사 모듈(220)은 제3 패킷(fp3)의 정보들(i-fp3)을 패킷 정보 관리 모듈(240)에 송신한다.Since the first packet fp1 is allowed to be transmitted, the policy checking module 220 transmits the first packet fp1 to the transmission module 250 and transmits the information i-fp1 of the first packet fp1 To the packet information storage module 230 and the packet information management module 240. The policy checking module 220 does not transmit the third packet fp3 to the transmitting module 250 and the information of the third packet fp3 is not transmitted because the third packet fp3 is rejected, To the fragment packet information storage module 230, However, the policy checking module 220 transmits the information (i-fp3) of the third packet fp3 to the packet information management module 240.

조각 패킷 정보 저장 모듈(230)은 세션 패킷 정보들을 저장하고, 제2 패킷(fp2) 및 제4 패킷(fp4)을 수신한다. 여기서, 세션 패킷 정보들은 이미 전달이 허용된 패킷들의 시작 아이피 주소 및 도착 아이피 주소를 포함할 수 있다. 제2 패킷(fp2) 및 제4 패킷(fp4)도 정보들 중 시작 아이피 주소 및 도착 아이피 주소는 가지고 있으므로, 조각 패킷 정보 저장 모듈(230)은 제2 패킷(fp2) 및 제4 패킷(fp4)의 시작 아이피 주소 및 도착 아이피 주소를 세션 패킷 정보들 중 시작 아이피 주소 및 도착 아이피 주소와 비교한다.The fragment packet information storage module 230 stores session packet information, and receives the second packet fp2 and the fourth packet fp4. Here, the session packet information may include a start IP address and an arrival IP address of packets that are already allowed to be transmitted. The second packet fp2 and the fourth packet fp4 also have the start IP address and the arrival IP address of the information, And the start IP address and the arrival IP address of the session packet information with the start IP address and the arrival IP address of the session packet information.

조각 패킷 정보 저장 모듈(230) 내 세션 패킷 정보들에는 제1 패킷(fp1)의 정보들(i-fp1)이 추가되어 있으므로, 조각 패킷 정보 저장 모듈(230)은 전달이 허용된 제1 패킷(fp1)과 시작 아이피 주소 및 도착 아이피 주소가 같은 제2 패킷(fp2)의 전달을 허용한다고 판단할 수 있다. 반대로, 세션 패킷 정보에는 제3 패킷(fp3)의 정보들(i-fp3)이 포함되어 있지 않으므로, 조각 패킷 정보 저장 모듈(230)은 제4 패킷(fp4)의 전달을 거부한다고 판단할 수 있다. 조각 패킷 정보 저장 모듈(230)은 제2 패킷(fp2) 및 제4 패킷(fp4)의 정보들(i-fp2 및 i-fp4)을 패킷 정보 관리 모듈(240)에 송신한다. 조각 패킷 정보 저장 모듈(230)은 송신 모듈(250)에 제2 패킷(fp2)만을 송신한다. Since the information (i-fp1) of the first packet fp1 is added to the session packet information in the fragment packet information storage module 230, the fragment packet information storage module 230 stores the information fp1 and the second packet fp2 having the same start IP address and destination IP address. On the other hand, since the session packet information does not include the information (i-fp3) of the third packet fp3, the fragment packet information storage module 230 may determine that the transfer of the fourth packet fp4 is rejected . The fragment packet information storage module 230 transmits information (i-fp2 and i-fp4) of the second packet fp2 and the fourth packet fp4 to the packet information management module 240. [ The fragment packet information storage module 230 transmits only the second packet fp2 to the transmission module 250. [

패킷 정보 관리 모듈(240)은 모든 패킷들(fp1 내지 fp4)의 정보들(i-fp1 내지 i-fp4)을 수신하고, 통계 처리한다. 여기서 정보들(i-fp1, i-fp3)은 시작 아이피 주소, 도착 아이피 주소, 시작 포트 번호, 도착 포트 번호 및 프로토콜 정보를 모두 가지고 있고, 정보들(i-fp2, i-fp4)은 시작 아이피 주소 및 도착 아이피 주소를 가지고, 시작 포트 번호, 도착 포트 번호 및 프로토콜 정보 중 일부를 더 가질 수 있다. 패킷 정보 관리 모듈(240)은 통계 처리를 통해 패킷 통계 정보(Pi-s)를 생성할 수 있다. 패킷 통계 정보(Pi-s)는 수신된 패킷들 중 조각난 패킷의 비율, 아이피 주소별 조각난 패킷들의 평균 크기 및 아이피 주소별 패킷들 중 조각난 패킷의 비율을 포함할 수 있다.The packet information management module 240 receives the information (i-fp1 to i-fp4) of all the packets fp1 to fp4 and performs statistical processing. Herein, the information (i-fp1, i-fp3) has both the start IP address, the arrival IP address, the start port number, the arrival port number and the protocol information, Address and destination IP address, and may further have some of the starting port number, destination port number, and protocol information. The packet information management module 240 can generate packet statistical information Pi-s through statistical processing. The packet statistical information Pi-s may include a ratio of fragmented packets among received packets, an average size of fragmented packets by IP address, and a ratio of fragmented packets among IP-address-based packets.

사용자는 패킷 통계 정보(Pi-s)를 기반으로 문제를 예측하고 이를 해결할 수 있다. 예를 들어, 수신된 패킷들 중 조각난 패킷의 비율이 일정 이상이라면 트래픽 경로 자체에 문제가 있다고 판단하여 라우터, 스위치 등의 설정을 변경할 수 있다. 특정 아이피 주소로부터 송신된 조각난 패킷들의 평균 크기가 매우 작거나 특정 아이피로부터 송신된 패킷들 중 조각난 패킷의 비율만 지나치게 높은 경우, 사용자는 특정 아이피 주소로부터 트래픽 공격이 온다고 판단하여 보안 장치(200)가 특정 아이피 주소로부터 송신되는 모든 패킷의 전달을 거부하도록 설정할 수 있다.The user can predict and solve the problem based on the packet statistical information Pi-s. For example, if the ratio of the fragmented packets among the received packets is more than a predetermined value, it is determined that there is a problem in the traffic route itself, and the settings of routers, switches, and the like can be changed. If the average size of the fragmented packets transmitted from the specific IP address is very small or the fraction of the fragmented packets among the packets transmitted from the specific IP is excessively high, the user determines that a traffic attack is coming from the specific IP address, It can be set to deny delivery of all packets transmitted from a specific IP address.

송신 모듈(250)은 정책 검사 모듈(220) 또는 조각 패킷 정보 저장 모듈(230)에 의해 전달이 허용된다고 판단된 패킷들(fp1, fp2)을 수신하고, 이를 클라이언트(300)에 송신한다.The transmission module 250 receives the packets fp1 and fp2 determined to be allowed to be transmitted by the policy checking module 220 or the fragmented packet information storing module 230 and transmits the received packets fp1 and fp2 to the client 300. [

다양한 통신 장비(라우터, 보안 장치, 스위치 등)을 거치면서 최대 크기의 제한으로 인해 조각난 패킷의 경우에는 정보들 중 일부만 포함하므로 보안 장치가 패킷의 전달 허용 여부를 판단하기 어렵다. 그러나, TCP/IP 프로토콜의 경우, 조각난 패킷들 중 처음에 도착한 패킷은 전달 허용 여부를 판단하기 위한 정보들을 대부분 포함하고 모든 조각난 패킷들은 시작 아이피 주소 및 도착 아이피 주소를 포함한다. 따라서, 패킷들 중 허용된 패킷들에 대한 정보를 판단하고 그 정보들을 저장한다면, 전달 허용 여부의 판단이 어려운 조각난 패킷에 대해서도 시작 아이피 주소 및 도착 아이피 주소만을 비교하는 것을 통해 전달 여부를 용이하게 판단할 수 있다.It is difficult for the security device to determine whether the packet is allowed to be transmitted because it includes only a part of information in case of fragmented packets due to limitation of the maximum size through various communication devices (router, security device, switch, etc.). However, in the case of the TCP / IP protocol, a packet arriving at the beginning among fragmented packets includes most information for determining whether to allow delivery, and all fragmented packets include a start IP address and an arrival IP address. Therefore, if information on allowed packets among the packets is determined and the information is stored, it is also possible to easily judge whether or not the packet is fragmented by comparing only the start IP address and the arrival IP address with respect to fragmented packets, can do.

도 2는 본 발명의 일 실시예에 따른 보안 장치의 구동 방법을 설명하기 위한 순서도이다. 이하에서, 도 1 및 도 2를 참조하여 보안 장치(200)의 구동 방법이 설명될 것이다.2 is a flowchart illustrating a method of driving a security device according to an embodiment of the present invention. Hereinafter, a method of driving the security device 200 will be described with reference to Figs. 1 and 2. Fig.

S1100 단계에서, 보안 장치(200)는 패킷을 수신할 때까지 대기한다.In step S1100, the secure device 200 waits until it receives a packet.

S1200 단계에서, 보안 장치(200) 내 수신 모듈(210)은 패킷들(fp1 내지 fp4) 중 적어도 일부를 수신하고, 수신된 패킷들(fp1 내지 fp4)이 정책 검사를 하기 위해 필요한 정보들을 모두 가지고 있는지 여부를 판단한다. 정책 검사가 가능한 경우, S1300 단계가 수행되고, 정책 검사가 불가능한 경우, S1400 단계가 수행된다. 패킷들(fp1 및 fp3)은 정보들을 모두 가지고 있으므로 정책 검사가 가능하다고 판단되어 정책 검사 모듈(220)에 송신될 수 있고, 패킷들(fp2 및 fp4)은 정보들을 모두 가지고 있지 않으므로 정책 검사가 불가능하다고 판단되어 조각 패킷 정보 저장 모듈(230)에 송신된다.In step S1200, the receiving module 210 in the security device 200 receives at least a part of the packets fp1 to fp4 and receives all the information necessary for policy checking of the received packets fp1 to fp4 Or not. If the policy check is possible, step S1300 is performed, and if policy check is impossible, step S1400 is performed. Since the packets fp1 and fp3 have all of the information, it is determined that the policy check is possible and can be transmitted to the policy checking module 220. Since the packets fp2 and fp4 do not have all of the information, And is transmitted to the fragment packet information storage module 230.

S1300 단계에서, 정책 검사 모듈(220)이 정책 검사를 수행한다. 정책 검사 결과, 패킷의 전달이 허용되는 경우 S1500 단계가 수행되고, 패킷의 전달이 거부되는 경우 S1600 단계가 수행된다. 앞에서의 가정과 마찬가지로, 패킷(fp1)의 전달은 허용되고 패킷(fp3)의 전달은 거부된다고 가정할 수 있다.In step S1300, the policy checking module 220 performs policy checking. As a result of the policy check, if the delivery of the packet is permitted, the step S1500 is performed, and if the delivery of the packet is denied, the step S1600 is performed. As in the above assumption, it can be assumed that the transfer of the packet fp1 is allowed and the transfer of the packet fp3 is rejected.

S1400 단계에서, 패킷의 정보 중 일부가 세션 패킷 정보들과 비교된다. 패킷의 정보 중 일부가 세션 패킷 정보들의 일부에 대응하는 경우, S1700 단계가 수행된다. 패킷의 정보 중 일부가 세션 패킷 정보들에 대응하지 않는 경우, S1600 단계가 수행된다. 제1 패킷(fp1)의 전달이 허용되었으므로, 조각 패킷 정보 저장 모듈(230) 내 세션 패킷 정보들에는 제1 패킷(fp1)의 정보들(i-fp1)이 추가된다. 따라서, 조각 패킷 정보 저장 모듈(230)은 전달이 허용된 제1 패킷(fp1)과 시작 아이피 주소 및 도착 아이피 주소가 같은 제2 패킷(fp2)의 전달을 허용한다고 판단할 수 있다. 반대로, 세션 패킷 정보들에는 제3 패킷(fp3)의 정보들(i-fp3)이 포함되어 있지 않으므로, 조각 패킷 정보 저장 모듈(230)은 제4 패킷(fp4)의 전달을 거부한다고 판단할 수 있다.In step S1400, a part of the information of the packet is compared with the session packet information. If a part of the information of the packet corresponds to a part of the session packet information, step S1700 is performed. If a part of the information of the packet does not correspond to the session packet information, step S1600 is performed. Since the transfer of the first packet fp1 is allowed, the information (i-fp1) of the first packet fp1 is added to the session packet information in the fragment packet information storage module 230. [ Therefore, the fragment packet information storage module 230 may determine that the first packet fp1 allowed to be forwarded is allowed to be transferred to the second packet fp2 having the same start IP address and the destination IP address. In contrast, since the session packet information does not include the information (i-fp3) of the third packet fp3, the fragment packet information storage module 230 can determine that the fourth packet fp4 is rejected have.

S1500 단계에서, 조각 패킷 정보 저장 모듈(230)은 수신된 패킷의 정보를 세션 패킷 정보들에 추가한다. 제1 패킷(fp1)의 경우, 정책 검사 모듈(220)에 의해 전달이 허용되었고, 제1 패킷(fp1)의 정보들(i-fp1)이 조각 패킷 정보 저장 모듈(230)로 송신된다. 조각 패킷 정보 저장 모듈(230)은 정보들(i-fp1)을 수신하고, 기저장된 세션 패킷 정보들에 정보들(i-fp1)을 추가한다.In step S1500, the fragment packet information storage module 230 adds the information of the received packet to the session packet information. In the case of the first packet fp1, delivery is permitted by the policy checking module 220 and information (i-fp1) of the first packet fp1 is transmitted to the fragment packet information storage module 230. [ The fragment packet information storage module 230 receives the information (i-fp1) and adds information (i-fp1) to the previously stored session packet information.

S1600 단계에서, 패킷의 전달이 거부되고, 패킷이 송신 모듈(250)에 도달하지 않는다. 제3 패킷(fp3)의 경우에는 정책 검사 모듈(220)에 의해 전달이 거부되고, 제4 패킷(fp4)의 경우에는 조각 패킷 정보 저장 모듈(230)에 의해 전달이 거부된다.In step S1600, the delivery of the packet is denied and the packet does not reach the sending module 250. [ The third packet fp3 is rejected by the policy checking module 220 and the fourth packet fp4 is rejected by the fragment packet information storage module 230. [

S1700 단계에서, 패킷의 전달이 허용되고, 패킷이 송신 모듈(250)에 도달한다. 송신 모듈(250)은 수신한 패킷을 클라이언트(300)에 송신한다. 제1 패킷(fp1)의 경우에는 정책 검사 모듈(220)에 의해 전달이 허용되고, 제2 패킷(fp2)의 경우에는 조각 패킷 정보 저장 모듈(230)에 의해 전달이 허용된다.In step S1700, the transmission of the packet is allowed, and the packet reaches the transmission module 250. [ The transmission module 250 transmits the received packet to the client 300. In the case of the first packet fp1, delivery is allowed by the policy checking module 220 and in the case of the second packet fp2, delivery by the fragment packet information storage module 230 is permitted.

S1800 단계에서, 패킷 정보 관리 모듈(240)은 패킷들(fp1 내지 fp4)의 정보들(i-fp1 내지 i-fp4)을 정책 검사 모듈(220) 또는 조각 패킷 정보 저장 모듈(230)로부터 수신하고, 정보들(i-fp1 내지 i-fp4)을 기반으로 패킷 통계 정보(Pi-s)를 생성한다. 사용자는 패킷 정보 관리 모듈(240)로부터의 패킷 통계 정보(Pi-s)를 기반으로 트래픽 경로 자체에 문제가 있는지 여부를 판단하여 라우터, 스위치 등의 설정을 변경할 수 있다. 특정 아이피 주소로부터 송신된 조각난 패킷들의 평균 크기가 매우 작거나 특정 아이피로부터 송신된 패킷들 중 조각난 패킷의 비율만 지나치게 높은 경우, 사용자는 특정 아이피 주소로부터 트래픽 공격이 온다고 판단하여 보안 장치(200)가 특정 아이피 주소로부터 송신되는 모든 패킷의 전달을 거부하도록 설정할 수도 있다.In step S1800, the packet information management module 240 receives information (i-fp1 to i-fp4) of the packets fp1 to fp4 from the policy checking module 220 or the fragmented packet information storing module 230 , And generates packet statistical information Pi-s based on the information (i-fp1 to i-fp4). The user can determine whether there is a problem in the traffic route itself based on the packet statistical information Pi-s from the packet information management module 240 and change settings of the router, the switch, and the like. If the average size of the fragmented packets transmitted from the specific IP address is very small or the fraction of the fragmented packets among the packets transmitted from the specific IP is excessively high, the user determines that a traffic attack is coming from the specific IP address, It may be configured to deny delivery of all packets transmitted from a specific IP address.

이상 설명한 내용을 통해 당업자라면 본 발명의 기술사상을 일탈하지 아니하는 범위에서 다양한 변경 및 수정이 가능함을 알 수 있을 것이다. 따라서, 본 발명의 기술적 범위는 명세서의 상세한 설명에 기재된 내용으로 한정되는 것이 아니라 특허 청구의 범위에 의해 정하여져야만 할 것이다.It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the invention. Therefore, the technical scope of the present invention should not be limited to the contents described in the detailed description of the specification, but should be defined by the claims.

220: 정책 검사 모듈 230: 조각 패킷 정보 저장 모듈
240: 패킷 정보 관리 모듈220: policy checking module 230: fragment packet information storing module
240: Packet information management module

Claims (10)

외부 장치로부터 패킷들을 수신하고, 상기 패킷들이 정책 검사에 필요한 정보를 모두 포함하고 있는지 여부를 판단하는 수신 모듈;
임의의 패킷이 상기 정책 검사에 필요한 정보를 모두 포함하고 있으면, 상기 임의의 패킷에 대한 정책 검사 결과, 상기 임의의 패킷이 전달이 허용된 패킷인 경우에 상기 임의의 패킷의 상기 정책 검사에 필요한 정보를 기저장된 세션 패킷 정보에 추가하는 정책 검사 모듈;
상기 세션 패킷 정보를 저장하고, 상기 임의의 패킷이 상기 정책 검사에 필요한 정보를 일부만 포함하고 있으면, 상기 임의의 패킷의 상기 정책 검사에 필요한 정보의 일부를 상기 세션 패킷 정보와 비교하여 상기 임의의 패킷이 전달이 허용된 패킷인지 판단하는 수신 조각 패킷 정보 저장 모듈; 및
상기 패킷들 중 전달이 허용된 패킷을 송신하는 송신 모듈을 포함하고,
상기 정책 검사에 필요한 정보는 패킷의 시작 아이피 주소, 목적 아이피 주소, 시작 포트 번호, 목적 포트 번호 및 프로토콜 정보를 포함하는 보안 장치.A receiving module for receiving packets from an external device and determining whether the packets include all information necessary for policy checking;
Wherein if a certain packet includes all the information required for the policy check, a result of the policy check on the arbitrary packet, information necessary for the policy check of the arbitrary packet if the arbitrary packet is a packet permitted to be transmitted To the pre-stored session packet information;
The session packet information, and if the certain packet includes only a part of the information necessary for the policy check, a part of the information necessary for the policy check of the arbitrary packet is compared with the session packet information, A received fragment packet information storage module for determining whether the packet is allowed to be transmitted; And
And a transmission module for transmitting a packet which is allowed to be transmitted among the packets,
Wherein the information required for the policy check includes a start IP address, a destination IP address, a start port number, a destination port number, and protocol information of a packet. 제1항에 있어서,
상기 보안 장치는 상기 패킷들의 상기 정책 검사에 필요한 정보 중 적어도 일부를 기반으로 패킷 통계 정보를 생성하는 패킷 정보 관리 모듈을 더 포함하는 보안 장치.The method according to claim 1,
Wherein the security device further comprises a packet information management module for generating packet statistical information based on at least a part of the information necessary for the policy check of the packets. 제2항에 있어서,
상기 패킷 통계 정보는 상기 패킷들 중 조각난 패킷의 비율, 아이피 주소별 상기 패킷들 중 조각난 패킷들의 평균 크기 및 아이피 주소별 상기 패킷들 중 조각난 패킷의 비율 중 적어도 하나를 포함하는 보안 장치.3. The method of claim 2,
Wherein the packet statistical information includes at least one of a ratio of fragmented packets among the packets, an average size of fragmented packets among the packets by IP address, and a ratio of fragmented packets among the packets by IP address. 제1항에 있어서,
상기 수신 모듈은 상기 패킷들 중 상기 정책 검사에 필요한 정보를 모두 포함한 패킷은 상기 정책 검사가 가능한 패킷으로 판단하고, 상기 패킷들 중 상기 정책 검사에 필요한 정보들 중 적어도 일부가 누락된 패킷은 상기 정책 검사가 불가능한 패킷으로 판단하는 보안 장치.The method according to claim 1,
Wherein the receiving module determines that a packet including all the information necessary for the policy check among the packets is a packet that can be checked for the policy and a packet in which at least a part of the information required for the policy check among the packets is missing, A security device that determines packets that can not be scanned. 제1항에 있어서,
상기 조각 패킷 정보 저장 모듈은 상기 임의의 패킷이 상기 정책 검사에 필요한 정보를 일부만 포함하고 있으면, 상기 임의의 패킷의 상기 시작 아이피 주소 및 상기 목적 아이피 주소를 상기 세션 패킷 정보에 포함된 시작 아이피 주소들 및 목적 아이피 주소들과 비교하는 보안 장치.The method according to claim 1,
The fragmented packet information storage module stores the start IP address and the target IP address of the arbitrary packet in the start IP addresses included in the session packet information, And destination IP addresses. 수신된 패킷이 정책 검사에 필요한 정보를 모두 포함하고 있는지 여부를 판단하는 단계;
상기 수신된 패킷이 상기 정책 검사에 필요한 정보를 모두 포함하고 있으면, 상기 수신된 패킷에 대한 상기 정책 검사 결과, 상기 수신된 패킷이 전달이 허용된 패킷인 경우에 상기 패킷의 정책 검사에 필요한 정보를 기저장된 세션 패킷 정보에 추가하는 단계; 및
상기 수신된 패킷이 상기 정책 검사에 필요한 정보를 일부만 포함하고 있으면, 상기 수신된 패킷의 상기 정책 검사에 필요한 정보의 일부를 상기 기저장된 세션 패킷 정보와 비교하여 상기 수신된 패킷이 전달이 허용된 패킷인지 판단하는 단계를 포함하고,
상기 정책 검사에 필요한 정보는 패킷의 시작 아이피 주소, 목적 아이피 주소, 시작 포트 번호, 목적 포트 번호 및 프로토콜 정보를 포함하는 보안 장치의 구동 방법. Determining whether the received packet includes all information necessary for policy checking;
If the received packet includes all the information required for the policy check, if the received packet is a packet allowed to be transmitted as a result of the policy check on the received packet, To the pre-stored session packet information; And
If the received packet includes only a part of the information required for the policy check, compares a part of the information necessary for the policy check of the received packet with the previously stored session packet information, Judging whether or not there is a difference
Wherein the information required for the policy check includes a start IP address, a destination IP address, a start port number, a destination port number, and protocol information of a packet. 삭제delete 제6항에 있어서,
상기 수신된 패킷의 상기 정책 검사에 필요한 정보의 일부를 상기 기저장된 세션 패킷 정보와 비교하여 상기 수신된 패킷이 전달이 허용된 패킷인지 판단하는 단계는,
상기 수신된 패킷의 상기 시작 아이피 주소 및 상기 목적 아이피 주소를 상기 기저장된 세션 패킷 정보의 시작 아이피 주소들 및 목적 아이피 주소들과 비교하는 단계를 포함하는 보안 장치의 구동 방법.The method according to claim 6,
Comparing the part of the information necessary for the policy check of the received packet with the pre-stored session packet information to determine whether the received packet is a packet permitted to be transmitted,
Comparing the start IP address and the target IP address of the received packet with start IP addresses and destination IP addresses of the previously stored session packet information. 제6항에 있어서,
상기 패킷의 정책 검사에 필요한 정보를 기저장된 세션 패킷 정보에 추가하는 단계는,
상기 수신된 패킷이 상기 정책 검사에 필요한 정보를 모두 포함하고 있으면, 상기 수신된 패킷에 대해 상기 정책 검사를 하는 단계;
상기 정책 검사 결과, 상기 수신된 패킷이 전달이 허용되지 않은 패킷이면, 상기 수신된 패킷의 전달을 거부하는 단계를 포함하는 보안 장치의 구동 방법.The method according to claim 6,
Wherein the step of adding information necessary for policy checking of the packet to the stored session packet information comprises:
Performing the policy check on the received packet if the received packet includes all information necessary for the policy check;
And refusing delivery of the received packet if the received packet is a packet that is not allowed to be delivered as a result of the policy check. 제6항에 있어서,
상기 보안 장치의 구동 방법은 상기 수신된 패킷의 상기 정책 검사에 필요한 정보를 기반으로 패킷 통계 정보를 생성하는 단계를 더 포함하고,
상기 패킷 통계 정보는 수신되는 패킷들 중 조각난 패킷의 비율, 상기 패킷들 중 조각난 패킷들의 평균 크기 및 아이피 주소별 상기 패킷들 중 조각난 패킷의 비율 중 적어도 하나를 포함하는 보안 장치의 구동 방법.The method according to claim 6,
The method further comprises generating packet statistical information based on information required for the policy check of the received packet,
Wherein the packet statistic information includes at least one of a ratio of fragmented packets among received packets, an average size of fragmented packets among the packets, and a ratio of fragmented packets among the packets according to IP address.
KR1020150178842A 2015-12-15 2015-12-15 Security device and driving method thereof KR101720702B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150178842A KR101720702B1 (en) 2015-12-15 2015-12-15 Security device and driving method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150178842A KR101720702B1 (en) 2015-12-15 2015-12-15 Security device and driving method thereof

Publications (1)

Publication Number Publication Date
KR101720702B1 true KR101720702B1 (en) 2017-04-10

Family

ID=58581017

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150178842A KR101720702B1 (en) 2015-12-15 2015-12-15 Security device and driving method thereof

Country Status (1)

Country Link
KR (1) KR101720702B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100641279B1 (en) * 1998-06-19 2006-10-31 에스에스에이치 커뮤니케이션즈 시큐러티 코포레이션 Method and arrangement for implementing IPSEC policy management using filter code
KR20090001609A (en) * 2006-11-13 2009-01-09 한국전자통신연구원 Cyber threat forecasting system and method therefor
KR101472523B1 (en) * 2013-12-31 2014-12-16 주식회사 시큐아이 Security device controlling unidentified traffic and operating method thereof

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100641279B1 (en) * 1998-06-19 2006-10-31 에스에스에이치 커뮤니케이션즈 시큐러티 코포레이션 Method and arrangement for implementing IPSEC policy management using filter code
KR20090001609A (en) * 2006-11-13 2009-01-09 한국전자통신연구원 Cyber threat forecasting system and method therefor
KR101472523B1 (en) * 2013-12-31 2014-12-16 주식회사 시큐아이 Security device controlling unidentified traffic and operating method thereof

Similar Documents

Publication Publication Date Title
US10623309B1 (en) Rule processing of packets
US9118716B2 (en) Computer system, controller and network monitoring method
US11290374B2 (en) Multi-layer traffic steering for service chaining over software defined networks
US9967237B2 (en) Systems and methods for implementing a layer two tunnel for personalized service functions
US9258313B1 (en) Distributed application awareness
US10257091B2 (en) Pipeline table identification
US20200067835A1 (en) Resilient segment routing service hunting with tcp session stickiness
JP7058270B2 (en) Routing within a hybrid network
US10979367B2 (en) Device and method of forwarding data packets in a virtual switch of a software-defined wide area network environment
US10348687B2 (en) Method and apparatus for using software defined networking and network function virtualization to secure residential networks
US9641485B1 (en) System and method for out-of-band network firewall
US20130275620A1 (en) Communication system, control apparatus, communication method, and program
CN104753926B (en) A kind of gateway admittance control method
TW201626759A (en) Method for detecting a number of the devices of a plurality of client terminals selected by a WEB server with additional non-specified domain name from the internet request traffics sharing the public IP address and system for detecting selectively
CN108064441B (en) Method and system for accelerating network transmission optimization
KR101720702B1 (en) Security device and driving method thereof
US10601961B2 (en) Service function chain dynamic classification
US11012413B2 (en) Device and method for securing a network connection
RU2445692C1 (en) Method to provide information security during user access to external information resources via internet
EP3185510B1 (en) Method for data packet inspection, related device and computer-program product
KR101851232B1 (en) Security device and operating method thereof
CN111200505A (en) Message processing method and device
US9521078B2 (en) Method and apparatus for controlling congestion of network equipment
CN104410677A (en) Server load balancing method and device
US20140156845A1 (en) Mechanism to block web sites using return traffic

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20200303

Year of fee payment: 4