KR101720702B1 - Security device and driving method thereof - Google Patents
Security device and driving method thereof Download PDFInfo
- Publication number
- KR101720702B1 KR101720702B1 KR1020150178842A KR20150178842A KR101720702B1 KR 101720702 B1 KR101720702 B1 KR 101720702B1 KR 1020150178842 A KR1020150178842 A KR 1020150178842A KR 20150178842 A KR20150178842 A KR 20150178842A KR 101720702 B1 KR101720702 B1 KR 101720702B1
- Authority
- KR
- South Korea
- Prior art keywords
- packet
- information
- packets
- address
- policy
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Abstract
Description
본 발명의 실시예는 보안 장치 및 그의 구동 방법에 관한 것이다.An embodiment of the present invention relates to a security device and a driving method thereof.
정보통신 분야의 발달과 함께, 네트워크도 발달하였다. 네트워크 통신의 안전성을 증가시키기 위해 보안 장치라는 개념이 등장하였다. 보안 장치는 두 네트워크 간의 통신에 개입하여 패킷의 전달을 허용하거나 거부한다. 구체적으로, 두 네트워크 간에 왕래하는 모든 패킷들을 일일이 사용자가 설정한 정책과 대조해 봄으로써, 정책에 어긋나는 패킷은 차단하고, 정책에 합치하는 패킷만을 선별 통과하도록 동작한다.Along with the development of the information and communication field, the network has also developed. In order to increase the security of network communication, the concept of security device has emerged. The security device intervenes in communication between the two networks to allow or deny delivery of the packets. Specifically, by contrasting all the packets passing between the two networks with the policy set by the user, the packet is blocked and the packet matching the policy is selectively passed.
보안 장치는 패킷 내 정보들(시작 IP, 목적 IP, 시작 포트, 목적 포트 및 프로토콜 정보)을 기저장된 정책과 비교하여 패킷의 전달 허용 여부를 판단한다. 그런데 다양한 통신 장비(라우터, 보안 장치, 스위치 등)을 거치면서 최대 크기의 제한으로 인해 조각난 패킷의 경우에는 정보들 중 일부만 포함하므로 보안 장치가 패킷의 전달 허용 여부를 판단하기 어렵다. 따라서, 보안 장치가 정책에 의해 패킷의 전달을 거부하더라도, 거부된 패킷과 동일한 정보들을 가지고 동일한 컨텐츠와 관련된 패킷은 전달 허용 여부를 판단하기 어려워서 전달이 허용될 수 있다.The security device compares the in-packet information (start IP, destination IP, start port, destination port, and protocol information) with the pre-stored policy to determine whether the packet is allowed to be forwarded. However, it is difficult to judge whether the security device allows the packet to be transmitted because fragmented packets include only a part of the information due to the limitation of the maximum size through various communication devices (routers, security devices, switches, etc.). Therefore, even if the security device denies delivery of a packet by a policy, delivery of the packet related to the same content with the same information as the rejected packet is difficult to determine whether or not to allow delivery.
본 발명의 실시예는 패킷의 정책 검사 여부를 판단할 수 없는 경우, 정보들 중 일부만을 비교하여 조각난 패킷이라도 그 전달 허용 여부를 결정할 수 있는 보안 장치 및 그의 구동 방법을 제공하는 것을 그 목적으로 한다.An object of the present invention is to provide a security device and a method of driving the same that can determine whether or not to allow fragmented packets by comparing only a part of information when the policy check of a packet can not be determined .
본 발명의 일 실시예에 따른 보안 장치는, 외부 장치로부터 패킷들을 수신하고, 상기 패킷들의 정책 검사 가능 여부를 판단하는 수신 모듈, 상기 패킷들 중 정책 검사가 가능한 패킷을 수신하고, 상기 정책 검사가 가능한 패킷 중 전달 가능 패킷을 선택하며, 상기 정책 검사가 가능한 패킷에 대한 정보를 생성하는 정책 검사 모듈, 세션 패킷 정보들을 저장하고, 상기 패킷들 중 정책 검사가 불가능한 패킷을 수신하며, 상기 정책 검사가 불가능한 패킷의 정보들 중 일부를 상기 세션 패킷 정보들 중 일부와 비교하고, 상기 정책 검사가 불가능한 패킷에 대한 정보를 생성하는 수신 조각 패킷 정보 저장 모듈 및 상기 전달 가능 패킷을 송신하는 송신 모듈을 포함할 수 있고, 상기 정보들은 상기 패킷들의 시작 아이피 주소, 목적 아이피 주소, 시작 포트 번호, 목적 포트 번호 및 프로토콜 정보를 포함할 수 있다.A security device according to an embodiment of the present invention includes a receiving module for receiving packets from an external device and determining whether policy checking of the packets is possible, receiving a packet which is capable of policy checking among the packets, A policy checking module for selecting a deliverable packet among the possible packets and generating information about the packet that can be checked for the policy; storing session packet information; receiving a packet among the packets that can not be checked for policy; A received fragment packet information storage module that compares part of the information of the impossible packets with a part of the session packet information and generates information about the packet that can not be checked for the policy and a transmission module that transmits the forwardable packet And the information includes a starting IP address, a destination IP address, a starting port number, Destination port number and protocol information.
실시예에 따라, 상기 보안 장치는 상기 패킷들의 상기 정보들 중 적어도 일부를 기반으로 패킷 통계 정보를 생성하는 패킷 정보 관리 모듈을 더 포함할 수 있다.According to an embodiment, the security device may further comprise a packet information management module for generating packet statistical information based on at least a part of the information of the packets.
실시예에 따라, 상기 패킷 통계 정보는 상기 패킷들 중 조각난 패킷의 비율, 아이피 주소별 상기 패킷들 중 조각난 패킷들의 평균 크기 및 아이피 주소별 상기 패킷들 중 조각난 패킷의 비율 중 적어도 하나를 포함할 수 있다.According to an embodiment, the packet statistical information may comprise at least one of a ratio of fragmented packets in the packets, an average size of fragmented packets in the packets by IP address, and a ratio of fragmented packets in the packets by IP address have.
실시예에 따라, 상기 수신 모듈은 상기 패킷들에 상기 정보들이 포함되어 있는지 여부를 판단할 수 있고, 상기 패킷들 중 상기 정보들이 모두 포함된 패킷은 상기 정책 검사가 가능한 패킷으로 판단할 수 있고, 상기 패킷들 중 상기 정보들 중 적어도 일부가 누락된 패킷은 상기 정책 검사가 불가능한 패킷으로 판단할 수 있다.According to an embodiment, the receiving module can determine whether or not the packets include the information, and a packet including all the information among the packets can be determined as a packet capable of policy checking, A packet in which at least a part of the packets is missing can be determined as a packet that can not be checked for the policy.
실시예에 따라, 상기 조각 패킷 정보 저장 모듈은 상기 정책 검사가 불가능한 패킷의 상기 시작 아이피 주소 및 상기 목적 아이피 주소를 상기 세션 패킷 정보들 중 시작 아이피 주소 및 목적 아이피 주소와 비교할 수 있다.According to the embodiment, the fragment packet information storage module may compare the start IP address and the target IP address of the packet that can not be checked with the start IP address and the target IP address of the session packet information.
또한, 본 발명의 다른 실시예는 보안 장치의 구동 방법이라는 다른 측면이 있다. 본 발명의 일 실시예에 따른 보안 장치의 구동 방법은, 수신된 패킷에 대해 정책 검사를 할 수 있는지 판단하는 단계 및 상기 패킷의 정보들 중 일부와 세션 패킷 정보들의 일부를 비교하는 단계를 포함할 수 있고, 상기 패킷의 정보들 중 일부와 상기 세션 패킷 정보들의 일부를 비교하는 단계는 상기 패킷에 대해 정책 검사를 할 수 없는 경우에만 수행될 수 있으며, 상기 정보들은 상기 패킷의 시작 아이피 주소, 목적 아이피 주소, 시작 포트 번호, 목적 포트 번호 및 프로토콜 정보를 포함할 수 있다.In addition, another embodiment of the present invention is a method of driving a security device. The method of driving a security device according to an exemplary embodiment of the present invention includes determining whether policy checking can be performed on a received packet, and comparing a part of information of the packet with a part of session packet information And comparing the portion of the information of the packet with a portion of the session packet information may be performed only when the policy check of the packet is not possible and the information may include a start IP address of the packet, An IP address, a starting port number, a destination port number, and protocol information.
실시예에 따라, 상기 수신된 패킷에 대해 정책 검사를 할 수 있는지 판단하는 단계에서, 상기 패킷에 상기 정보들이 모두 포함되어 있는지 여부를 기반으로 상기 패킷에 대해 정책 검사를 할 수 있는지 여부가 판단될 수 있다.According to an embodiment of the present invention, it is determined whether or not policy checking can be performed on the received packet based on whether the packet includes all of the information .
실시예에 따라, 상기 패킷의 정보들 중 일부과 상기 세션 패킷 정보들의 일부를 비교하는 단계에서, 상기 정책 검사가 불가능한 패킷의 상기 시작 아이피 주소 및 상기 목적 아이피 주소가 상기 세션 패킷 정보들 중 시작 아이피 주소 및 목적 아이피 주소와 비교될 수 있다.According to an embodiment of the present invention, in the step of comparing a part of the information of the packet with a part of the session packet information, the start IP address and the target IP address of the packet that can not be checked for the policy are compared with the start IP address And the destination IP address.
실시예에 따라, 상기 보안 장치의 구동 방법은 상기 패킷에 대해 정책 검사를 하는 단계를 더 포함할 수 있고, 상기 패킷에 대해 정책 검사를 하는 단계에서, 상기 패킷의 상기 정보들을 기반으로 상기 패킷의 전달 허용 여부가 판단될 수 있다.According to an exemplary embodiment of the present invention, the method of driving the security device may further include performing a policy check on the packet. In the policy checking of the packet, based on the information of the packet, It can be judged whether or not the transfer is permitted.
실시예에 따라, 상기 보안 장치의 구동 방법은 상기 패킷의 정보들을 기반으로 패킷 통계 정보를 생성하는 단계를 더 포함할 수 있고, 상기 패킷 통계 정보는 상기 패킷들 중 조각난 패킷의 비율, 상기 패킷들 중 조각난 패킷들의 평균 크기 및 아이피 주소별 상기 패킷들 중 조각난 패킷의 비율 중 적어도 하나를 포함할 수 있다.According to an embodiment of the present invention, the method of driving the security device may further include generating packet statistical information based on the information of the packet, wherein the packet statistical information includes a ratio of fragmented packets in the packets, An average size of the fragmented packets, and a ratio of fragmented packets among the packets by IP address.
본 발명의 실시예는 패킷의 정책 검사 여부를 판단할 수 없는 경우, 정보들 중 일부만을 비교하여 조각난 패킷이라도 그 전달 허용 여부를 결정할 수 있는 보안 장치 및 그의 구동 방법을 제공하는 효과가 있다.The embodiment of the present invention provides a security device and a method of driving the same that can determine whether or not to transmit a fragmented packet by comparing only a part of information when the policy check of the packet can not be determined.
도 1은 본 발명의 일 실시예에 따른 보안 장치가 클라이언트와 외부 서버들을 중개하는 것을 설명하기 위한 도면이다.
도 2는 본 발명의 일 실시예에 따른 보안 장치의 구동 방법을 설명하기 위한 순서도이다.1 is a diagram for explaining a security device according to an embodiment of the present invention mediates between a client and external servers.
2 is a flowchart illustrating a method of driving a security device according to an embodiment of the present invention.
이하 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예들을 상세히 설명한다. 명세서 전체에 걸쳐서 동일한 참조번호들은 실질적으로 동일한 구성요소들을 의미한다. 이하의 설명에서, 본 발명과 관련된 공지 기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우, 그 상세한 설명을 생략한다. 또한, 이하의 설명에서 사용되는 구성요소 명칭은 명세서 작성의 용이함을 고려하여 선택된 것일 수 있는 것으로서, 실제 제품의 부품 명칭과는 상이할 수 있다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Reference will now be made in detail to the preferred embodiments of the present invention, examples of which are illustrated in the accompanying drawings. Like reference numerals throughout the specification denote substantially identical components. In the following description, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear. In addition, the component names used in the following description may be selected in consideration of easiness of specification, and may be different from the parts names of actual products.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 장치를 사이에 두고 "간접적으로 연결"되어 있는 경우도 포함한다. 명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when a part is referred to as being "connected" to another part, it includes not only "directly connected" but also "indirectly connected" between the devices in the middle. Throughout the specification, when an element is referred to as "comprising ", it means that it can include other elements as well, without excluding other elements unless specifically stated otherwise.
도 1은 본 발명의 일 실시예에 따른 보안 장치가 클라이언트와 외부 서버들을 중개하는 것을 설명하기 위한 도면이다. 본 발명에 따른 보안 장치(200)는 외부 서버들(100-1 내지 100-2)와 클라이언트(300) 사이를 중개하고, 수신 모듈(210), 정책 검사 모듈(220), 조각 패킷 정보 저장 모듈(230), 패킷 정보 관리 모듈(240) 및 송신 모듈(250)을 포함한다. 여기서, 클라이언트(300)도 외부 서버일 수 있다. 이하에서, 제1 외부 서버(100-1)로부터 제1 패킷(fp1) 및 제1 패킷(fp1)과 그 컨텐츠가 동일한 제2 패킷(fp2)이 송신되고 제2 외부 서버(100-2)로부터 제3 패킷(fp3) 및 제3 패킷(fp3)과 그 컨텐츠가 동일한 제4 패킷(fp4)이 송신되는 경우를 예로 들어, 모듈들(210 내지 250)의 상세한 기능이 설명될 것이다. 여기서 패킷들(fp1 내지 fp4)은 전달 과정에서 조각이 난 패킷일 수 있고, 제1 패킷(fp1) 및 제3 패킷(fp3)은 정보들을 다 가지고 있어 정책 검사가 가능한 패킷이며, 제2 패킷(fp2) 및 제4 패킷(fp4)은 정보들 중 일부가 없어 정책 검사가 불가능한 패킷이라고 가정할 수 있다. 또한, 제1 패킷(fp1)이 보안 장치(200)에 도달한 이후 제2 패킷(fp2)이 도달하고, 제3 패킷(fp3)이 보안 장치(200)에 도달한 이후 제4 패킷(fp4)이 도달하였다고 가정할 수 있다. TCP/IP 프로토콜의 경우, 모든 패킷들(fp1 내지 fp4)은 시작 아이피 주소 및 도착 아이피 주소를 가지고 있다고 가정할 수 있다.1 is a diagram for explaining a security device according to an embodiment of the present invention mediates between a client and external servers. The
수신 모듈(210)은 제1 외부 서버(100-1) 및 제2 외부 서버(100-2)로부터 패킷들(fp1 내지 fp4)을 수신하고, 제1 패킷(fp1) 및 제3 패킷(fp3)을 정책 검사 모듈(220)로 송신하고 제2 패킷(fp2) 및 제4 패킷(fp4)을 조각 패킷 정보 저장 모듈(230)로 송신한다.The
정책 검사 모듈(220)은 제1 패킷(fp1) 및 제3 패킷(fp3)을 수신하여 정책 검사를 수행한다. 정책 검사를 위해 필요한 정보들은 시작 아이피 주소, 도착 아이피 주소, 시작 포트 번호, 도착 포트 번호 및 프로토콜 정보를 포함한다고 가정할 수 있다. 여기서 제1 패킷(fp1)은 검사 결과 전달이 허용된다고 가정할 수 있고, 제3 패킷(fp3)은 검사 결과 전달이 거부된다고 가정할 수 있다.The
제1 패킷(fp1)은 전달이 허용되었으므로, 정책 검사 모듈(220)은 제1 패킷(fp1)을 송신 모듈(250)에 송신하고 제1 패킷(fp1)의 정보들(i-fp1)을 조각 패킷 정보 저장 모듈(230) 및 패킷 정보 관리 모듈(240)에 송신한다. 제3 패킷(fp3)은 전달이 거부되었으므로, 정책 검사 모듈(220)은 제3 패킷(fp3)을 송신 모듈(250)에 송신하지 않고, 제3 패킷(fp3)의 정보들(i-fp3)을 조각 패킷 정보 저장 모듈(230)에 송신하지 않는다. 다만 정책 검사 모듈(220)은 제3 패킷(fp3)의 정보들(i-fp3)을 패킷 정보 관리 모듈(240)에 송신한다.Since the first packet fp1 is allowed to be transmitted, the
조각 패킷 정보 저장 모듈(230)은 세션 패킷 정보들을 저장하고, 제2 패킷(fp2) 및 제4 패킷(fp4)을 수신한다. 여기서, 세션 패킷 정보들은 이미 전달이 허용된 패킷들의 시작 아이피 주소 및 도착 아이피 주소를 포함할 수 있다. 제2 패킷(fp2) 및 제4 패킷(fp4)도 정보들 중 시작 아이피 주소 및 도착 아이피 주소는 가지고 있으므로, 조각 패킷 정보 저장 모듈(230)은 제2 패킷(fp2) 및 제4 패킷(fp4)의 시작 아이피 주소 및 도착 아이피 주소를 세션 패킷 정보들 중 시작 아이피 주소 및 도착 아이피 주소와 비교한다.The fragment packet
조각 패킷 정보 저장 모듈(230) 내 세션 패킷 정보들에는 제1 패킷(fp1)의 정보들(i-fp1)이 추가되어 있으므로, 조각 패킷 정보 저장 모듈(230)은 전달이 허용된 제1 패킷(fp1)과 시작 아이피 주소 및 도착 아이피 주소가 같은 제2 패킷(fp2)의 전달을 허용한다고 판단할 수 있다. 반대로, 세션 패킷 정보에는 제3 패킷(fp3)의 정보들(i-fp3)이 포함되어 있지 않으므로, 조각 패킷 정보 저장 모듈(230)은 제4 패킷(fp4)의 전달을 거부한다고 판단할 수 있다. 조각 패킷 정보 저장 모듈(230)은 제2 패킷(fp2) 및 제4 패킷(fp4)의 정보들(i-fp2 및 i-fp4)을 패킷 정보 관리 모듈(240)에 송신한다. 조각 패킷 정보 저장 모듈(230)은 송신 모듈(250)에 제2 패킷(fp2)만을 송신한다. Since the information (i-fp1) of the first packet fp1 is added to the session packet information in the fragment packet
패킷 정보 관리 모듈(240)은 모든 패킷들(fp1 내지 fp4)의 정보들(i-fp1 내지 i-fp4)을 수신하고, 통계 처리한다. 여기서 정보들(i-fp1, i-fp3)은 시작 아이피 주소, 도착 아이피 주소, 시작 포트 번호, 도착 포트 번호 및 프로토콜 정보를 모두 가지고 있고, 정보들(i-fp2, i-fp4)은 시작 아이피 주소 및 도착 아이피 주소를 가지고, 시작 포트 번호, 도착 포트 번호 및 프로토콜 정보 중 일부를 더 가질 수 있다. 패킷 정보 관리 모듈(240)은 통계 처리를 통해 패킷 통계 정보(Pi-s)를 생성할 수 있다. 패킷 통계 정보(Pi-s)는 수신된 패킷들 중 조각난 패킷의 비율, 아이피 주소별 조각난 패킷들의 평균 크기 및 아이피 주소별 패킷들 중 조각난 패킷의 비율을 포함할 수 있다.The packet
사용자는 패킷 통계 정보(Pi-s)를 기반으로 문제를 예측하고 이를 해결할 수 있다. 예를 들어, 수신된 패킷들 중 조각난 패킷의 비율이 일정 이상이라면 트래픽 경로 자체에 문제가 있다고 판단하여 라우터, 스위치 등의 설정을 변경할 수 있다. 특정 아이피 주소로부터 송신된 조각난 패킷들의 평균 크기가 매우 작거나 특정 아이피로부터 송신된 패킷들 중 조각난 패킷의 비율만 지나치게 높은 경우, 사용자는 특정 아이피 주소로부터 트래픽 공격이 온다고 판단하여 보안 장치(200)가 특정 아이피 주소로부터 송신되는 모든 패킷의 전달을 거부하도록 설정할 수 있다.The user can predict and solve the problem based on the packet statistical information Pi-s. For example, if the ratio of the fragmented packets among the received packets is more than a predetermined value, it is determined that there is a problem in the traffic route itself, and the settings of routers, switches, and the like can be changed. If the average size of the fragmented packets transmitted from the specific IP address is very small or the fraction of the fragmented packets among the packets transmitted from the specific IP is excessively high, the user determines that a traffic attack is coming from the specific IP address, It can be set to deny delivery of all packets transmitted from a specific IP address.
송신 모듈(250)은 정책 검사 모듈(220) 또는 조각 패킷 정보 저장 모듈(230)에 의해 전달이 허용된다고 판단된 패킷들(fp1, fp2)을 수신하고, 이를 클라이언트(300)에 송신한다.The
다양한 통신 장비(라우터, 보안 장치, 스위치 등)을 거치면서 최대 크기의 제한으로 인해 조각난 패킷의 경우에는 정보들 중 일부만 포함하므로 보안 장치가 패킷의 전달 허용 여부를 판단하기 어렵다. 그러나, TCP/IP 프로토콜의 경우, 조각난 패킷들 중 처음에 도착한 패킷은 전달 허용 여부를 판단하기 위한 정보들을 대부분 포함하고 모든 조각난 패킷들은 시작 아이피 주소 및 도착 아이피 주소를 포함한다. 따라서, 패킷들 중 허용된 패킷들에 대한 정보를 판단하고 그 정보들을 저장한다면, 전달 허용 여부의 판단이 어려운 조각난 패킷에 대해서도 시작 아이피 주소 및 도착 아이피 주소만을 비교하는 것을 통해 전달 여부를 용이하게 판단할 수 있다.It is difficult for the security device to determine whether the packet is allowed to be transmitted because it includes only a part of information in case of fragmented packets due to limitation of the maximum size through various communication devices (router, security device, switch, etc.). However, in the case of the TCP / IP protocol, a packet arriving at the beginning among fragmented packets includes most information for determining whether to allow delivery, and all fragmented packets include a start IP address and an arrival IP address. Therefore, if information on allowed packets among the packets is determined and the information is stored, it is also possible to easily judge whether or not the packet is fragmented by comparing only the start IP address and the arrival IP address with respect to fragmented packets, can do.
도 2는 본 발명의 일 실시예에 따른 보안 장치의 구동 방법을 설명하기 위한 순서도이다. 이하에서, 도 1 및 도 2를 참조하여 보안 장치(200)의 구동 방법이 설명될 것이다.2 is a flowchart illustrating a method of driving a security device according to an embodiment of the present invention. Hereinafter, a method of driving the
S1100 단계에서, 보안 장치(200)는 패킷을 수신할 때까지 대기한다.In step S1100, the
S1200 단계에서, 보안 장치(200) 내 수신 모듈(210)은 패킷들(fp1 내지 fp4) 중 적어도 일부를 수신하고, 수신된 패킷들(fp1 내지 fp4)이 정책 검사를 하기 위해 필요한 정보들을 모두 가지고 있는지 여부를 판단한다. 정책 검사가 가능한 경우, S1300 단계가 수행되고, 정책 검사가 불가능한 경우, S1400 단계가 수행된다. 패킷들(fp1 및 fp3)은 정보들을 모두 가지고 있으므로 정책 검사가 가능하다고 판단되어 정책 검사 모듈(220)에 송신될 수 있고, 패킷들(fp2 및 fp4)은 정보들을 모두 가지고 있지 않으므로 정책 검사가 불가능하다고 판단되어 조각 패킷 정보 저장 모듈(230)에 송신된다.In step S1200, the receiving
S1300 단계에서, 정책 검사 모듈(220)이 정책 검사를 수행한다. 정책 검사 결과, 패킷의 전달이 허용되는 경우 S1500 단계가 수행되고, 패킷의 전달이 거부되는 경우 S1600 단계가 수행된다. 앞에서의 가정과 마찬가지로, 패킷(fp1)의 전달은 허용되고 패킷(fp3)의 전달은 거부된다고 가정할 수 있다.In step S1300, the
S1400 단계에서, 패킷의 정보 중 일부가 세션 패킷 정보들과 비교된다. 패킷의 정보 중 일부가 세션 패킷 정보들의 일부에 대응하는 경우, S1700 단계가 수행된다. 패킷의 정보 중 일부가 세션 패킷 정보들에 대응하지 않는 경우, S1600 단계가 수행된다. 제1 패킷(fp1)의 전달이 허용되었으므로, 조각 패킷 정보 저장 모듈(230) 내 세션 패킷 정보들에는 제1 패킷(fp1)의 정보들(i-fp1)이 추가된다. 따라서, 조각 패킷 정보 저장 모듈(230)은 전달이 허용된 제1 패킷(fp1)과 시작 아이피 주소 및 도착 아이피 주소가 같은 제2 패킷(fp2)의 전달을 허용한다고 판단할 수 있다. 반대로, 세션 패킷 정보들에는 제3 패킷(fp3)의 정보들(i-fp3)이 포함되어 있지 않으므로, 조각 패킷 정보 저장 모듈(230)은 제4 패킷(fp4)의 전달을 거부한다고 판단할 수 있다.In step S1400, a part of the information of the packet is compared with the session packet information. If a part of the information of the packet corresponds to a part of the session packet information, step S1700 is performed. If a part of the information of the packet does not correspond to the session packet information, step S1600 is performed. Since the transfer of the first packet fp1 is allowed, the information (i-fp1) of the first packet fp1 is added to the session packet information in the fragment packet
S1500 단계에서, 조각 패킷 정보 저장 모듈(230)은 수신된 패킷의 정보를 세션 패킷 정보들에 추가한다. 제1 패킷(fp1)의 경우, 정책 검사 모듈(220)에 의해 전달이 허용되었고, 제1 패킷(fp1)의 정보들(i-fp1)이 조각 패킷 정보 저장 모듈(230)로 송신된다. 조각 패킷 정보 저장 모듈(230)은 정보들(i-fp1)을 수신하고, 기저장된 세션 패킷 정보들에 정보들(i-fp1)을 추가한다.In step S1500, the fragment packet
S1600 단계에서, 패킷의 전달이 거부되고, 패킷이 송신 모듈(250)에 도달하지 않는다. 제3 패킷(fp3)의 경우에는 정책 검사 모듈(220)에 의해 전달이 거부되고, 제4 패킷(fp4)의 경우에는 조각 패킷 정보 저장 모듈(230)에 의해 전달이 거부된다.In step S1600, the delivery of the packet is denied and the packet does not reach the sending
S1700 단계에서, 패킷의 전달이 허용되고, 패킷이 송신 모듈(250)에 도달한다. 송신 모듈(250)은 수신한 패킷을 클라이언트(300)에 송신한다. 제1 패킷(fp1)의 경우에는 정책 검사 모듈(220)에 의해 전달이 허용되고, 제2 패킷(fp2)의 경우에는 조각 패킷 정보 저장 모듈(230)에 의해 전달이 허용된다.In step S1700, the transmission of the packet is allowed, and the packet reaches the
S1800 단계에서, 패킷 정보 관리 모듈(240)은 패킷들(fp1 내지 fp4)의 정보들(i-fp1 내지 i-fp4)을 정책 검사 모듈(220) 또는 조각 패킷 정보 저장 모듈(230)로부터 수신하고, 정보들(i-fp1 내지 i-fp4)을 기반으로 패킷 통계 정보(Pi-s)를 생성한다. 사용자는 패킷 정보 관리 모듈(240)로부터의 패킷 통계 정보(Pi-s)를 기반으로 트래픽 경로 자체에 문제가 있는지 여부를 판단하여 라우터, 스위치 등의 설정을 변경할 수 있다. 특정 아이피 주소로부터 송신된 조각난 패킷들의 평균 크기가 매우 작거나 특정 아이피로부터 송신된 패킷들 중 조각난 패킷의 비율만 지나치게 높은 경우, 사용자는 특정 아이피 주소로부터 트래픽 공격이 온다고 판단하여 보안 장치(200)가 특정 아이피 주소로부터 송신되는 모든 패킷의 전달을 거부하도록 설정할 수도 있다.In step S1800, the packet
이상 설명한 내용을 통해 당업자라면 본 발명의 기술사상을 일탈하지 아니하는 범위에서 다양한 변경 및 수정이 가능함을 알 수 있을 것이다. 따라서, 본 발명의 기술적 범위는 명세서의 상세한 설명에 기재된 내용으로 한정되는 것이 아니라 특허 청구의 범위에 의해 정하여져야만 할 것이다.It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the invention. Therefore, the technical scope of the present invention should not be limited to the contents described in the detailed description of the specification, but should be defined by the claims.
220: 정책 검사 모듈 230: 조각 패킷 정보 저장 모듈
240: 패킷 정보 관리 모듈220: policy checking module 230: fragment packet information storing module
240: Packet information management module
Claims (10)
임의의 패킷이 상기 정책 검사에 필요한 정보를 모두 포함하고 있으면, 상기 임의의 패킷에 대한 정책 검사 결과, 상기 임의의 패킷이 전달이 허용된 패킷인 경우에 상기 임의의 패킷의 상기 정책 검사에 필요한 정보를 기저장된 세션 패킷 정보에 추가하는 정책 검사 모듈;
상기 세션 패킷 정보를 저장하고, 상기 임의의 패킷이 상기 정책 검사에 필요한 정보를 일부만 포함하고 있으면, 상기 임의의 패킷의 상기 정책 검사에 필요한 정보의 일부를 상기 세션 패킷 정보와 비교하여 상기 임의의 패킷이 전달이 허용된 패킷인지 판단하는 수신 조각 패킷 정보 저장 모듈; 및
상기 패킷들 중 전달이 허용된 패킷을 송신하는 송신 모듈을 포함하고,
상기 정책 검사에 필요한 정보는 패킷의 시작 아이피 주소, 목적 아이피 주소, 시작 포트 번호, 목적 포트 번호 및 프로토콜 정보를 포함하는 보안 장치.A receiving module for receiving packets from an external device and determining whether the packets include all information necessary for policy checking;
Wherein if a certain packet includes all the information required for the policy check, a result of the policy check on the arbitrary packet, information necessary for the policy check of the arbitrary packet if the arbitrary packet is a packet permitted to be transmitted To the pre-stored session packet information;
The session packet information, and if the certain packet includes only a part of the information necessary for the policy check, a part of the information necessary for the policy check of the arbitrary packet is compared with the session packet information, A received fragment packet information storage module for determining whether the packet is allowed to be transmitted; And
And a transmission module for transmitting a packet which is allowed to be transmitted among the packets,
Wherein the information required for the policy check includes a start IP address, a destination IP address, a start port number, a destination port number, and protocol information of a packet.
상기 보안 장치는 상기 패킷들의 상기 정책 검사에 필요한 정보 중 적어도 일부를 기반으로 패킷 통계 정보를 생성하는 패킷 정보 관리 모듈을 더 포함하는 보안 장치.The method according to claim 1,
Wherein the security device further comprises a packet information management module for generating packet statistical information based on at least a part of the information necessary for the policy check of the packets.
상기 패킷 통계 정보는 상기 패킷들 중 조각난 패킷의 비율, 아이피 주소별 상기 패킷들 중 조각난 패킷들의 평균 크기 및 아이피 주소별 상기 패킷들 중 조각난 패킷의 비율 중 적어도 하나를 포함하는 보안 장치.3. The method of claim 2,
Wherein the packet statistical information includes at least one of a ratio of fragmented packets among the packets, an average size of fragmented packets among the packets by IP address, and a ratio of fragmented packets among the packets by IP address.
상기 수신 모듈은 상기 패킷들 중 상기 정책 검사에 필요한 정보를 모두 포함한 패킷은 상기 정책 검사가 가능한 패킷으로 판단하고, 상기 패킷들 중 상기 정책 검사에 필요한 정보들 중 적어도 일부가 누락된 패킷은 상기 정책 검사가 불가능한 패킷으로 판단하는 보안 장치.The method according to claim 1,
Wherein the receiving module determines that a packet including all the information necessary for the policy check among the packets is a packet that can be checked for the policy and a packet in which at least a part of the information required for the policy check among the packets is missing, A security device that determines packets that can not be scanned.
상기 조각 패킷 정보 저장 모듈은 상기 임의의 패킷이 상기 정책 검사에 필요한 정보를 일부만 포함하고 있으면, 상기 임의의 패킷의 상기 시작 아이피 주소 및 상기 목적 아이피 주소를 상기 세션 패킷 정보에 포함된 시작 아이피 주소들 및 목적 아이피 주소들과 비교하는 보안 장치.The method according to claim 1,
The fragmented packet information storage module stores the start IP address and the target IP address of the arbitrary packet in the start IP addresses included in the session packet information, And destination IP addresses.
상기 수신된 패킷이 상기 정책 검사에 필요한 정보를 모두 포함하고 있으면, 상기 수신된 패킷에 대한 상기 정책 검사 결과, 상기 수신된 패킷이 전달이 허용된 패킷인 경우에 상기 패킷의 정책 검사에 필요한 정보를 기저장된 세션 패킷 정보에 추가하는 단계; 및
상기 수신된 패킷이 상기 정책 검사에 필요한 정보를 일부만 포함하고 있으면, 상기 수신된 패킷의 상기 정책 검사에 필요한 정보의 일부를 상기 기저장된 세션 패킷 정보와 비교하여 상기 수신된 패킷이 전달이 허용된 패킷인지 판단하는 단계를 포함하고,
상기 정책 검사에 필요한 정보는 패킷의 시작 아이피 주소, 목적 아이피 주소, 시작 포트 번호, 목적 포트 번호 및 프로토콜 정보를 포함하는 보안 장치의 구동 방법. Determining whether the received packet includes all information necessary for policy checking;
If the received packet includes all the information required for the policy check, if the received packet is a packet allowed to be transmitted as a result of the policy check on the received packet, To the pre-stored session packet information; And
If the received packet includes only a part of the information required for the policy check, compares a part of the information necessary for the policy check of the received packet with the previously stored session packet information, Judging whether or not there is a difference
Wherein the information required for the policy check includes a start IP address, a destination IP address, a start port number, a destination port number, and protocol information of a packet.
상기 수신된 패킷의 상기 정책 검사에 필요한 정보의 일부를 상기 기저장된 세션 패킷 정보와 비교하여 상기 수신된 패킷이 전달이 허용된 패킷인지 판단하는 단계는,
상기 수신된 패킷의 상기 시작 아이피 주소 및 상기 목적 아이피 주소를 상기 기저장된 세션 패킷 정보의 시작 아이피 주소들 및 목적 아이피 주소들과 비교하는 단계를 포함하는 보안 장치의 구동 방법.The method according to claim 6,
Comparing the part of the information necessary for the policy check of the received packet with the pre-stored session packet information to determine whether the received packet is a packet permitted to be transmitted,
Comparing the start IP address and the target IP address of the received packet with start IP addresses and destination IP addresses of the previously stored session packet information.
상기 패킷의 정책 검사에 필요한 정보를 기저장된 세션 패킷 정보에 추가하는 단계는,
상기 수신된 패킷이 상기 정책 검사에 필요한 정보를 모두 포함하고 있으면, 상기 수신된 패킷에 대해 상기 정책 검사를 하는 단계;
상기 정책 검사 결과, 상기 수신된 패킷이 전달이 허용되지 않은 패킷이면, 상기 수신된 패킷의 전달을 거부하는 단계를 포함하는 보안 장치의 구동 방법.The method according to claim 6,
Wherein the step of adding information necessary for policy checking of the packet to the stored session packet information comprises:
Performing the policy check on the received packet if the received packet includes all information necessary for the policy check;
And refusing delivery of the received packet if the received packet is a packet that is not allowed to be delivered as a result of the policy check.
상기 보안 장치의 구동 방법은 상기 수신된 패킷의 상기 정책 검사에 필요한 정보를 기반으로 패킷 통계 정보를 생성하는 단계를 더 포함하고,
상기 패킷 통계 정보는 수신되는 패킷들 중 조각난 패킷의 비율, 상기 패킷들 중 조각난 패킷들의 평균 크기 및 아이피 주소별 상기 패킷들 중 조각난 패킷의 비율 중 적어도 하나를 포함하는 보안 장치의 구동 방법.The method according to claim 6,
The method further comprises generating packet statistical information based on information required for the policy check of the received packet,
Wherein the packet statistic information includes at least one of a ratio of fragmented packets among received packets, an average size of fragmented packets among the packets, and a ratio of fragmented packets among the packets according to IP address.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020150178842A KR101720702B1 (en) | 2015-12-15 | 2015-12-15 | Security device and driving method thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020150178842A KR101720702B1 (en) | 2015-12-15 | 2015-12-15 | Security device and driving method thereof |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101720702B1 true KR101720702B1 (en) | 2017-04-10 |
Family
ID=58581017
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020150178842A KR101720702B1 (en) | 2015-12-15 | 2015-12-15 | Security device and driving method thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101720702B1 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100641279B1 (en) * | 1998-06-19 | 2006-10-31 | 에스에스에이치 커뮤니케이션즈 시큐러티 코포레이션 | Method and arrangement for implementing IPSEC policy management using filter code |
KR20090001609A (en) * | 2006-11-13 | 2009-01-09 | 한국전자통신연구원 | Cyber threat forecasting system and method therefor |
KR101472523B1 (en) * | 2013-12-31 | 2014-12-16 | 주식회사 시큐아이 | Security device controlling unidentified traffic and operating method thereof |
-
2015
- 2015-12-15 KR KR1020150178842A patent/KR101720702B1/en active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100641279B1 (en) * | 1998-06-19 | 2006-10-31 | 에스에스에이치 커뮤니케이션즈 시큐러티 코포레이션 | Method and arrangement for implementing IPSEC policy management using filter code |
KR20090001609A (en) * | 2006-11-13 | 2009-01-09 | 한국전자통신연구원 | Cyber threat forecasting system and method therefor |
KR101472523B1 (en) * | 2013-12-31 | 2014-12-16 | 주식회사 시큐아이 | Security device controlling unidentified traffic and operating method thereof |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10623309B1 (en) | Rule processing of packets | |
US9118716B2 (en) | Computer system, controller and network monitoring method | |
US11290374B2 (en) | Multi-layer traffic steering for service chaining over software defined networks | |
US9967237B2 (en) | Systems and methods for implementing a layer two tunnel for personalized service functions | |
US9258313B1 (en) | Distributed application awareness | |
US10257091B2 (en) | Pipeline table identification | |
US20200067835A1 (en) | Resilient segment routing service hunting with tcp session stickiness | |
JP7058270B2 (en) | Routing within a hybrid network | |
US10979367B2 (en) | Device and method of forwarding data packets in a virtual switch of a software-defined wide area network environment | |
US10348687B2 (en) | Method and apparatus for using software defined networking and network function virtualization to secure residential networks | |
US9641485B1 (en) | System and method for out-of-band network firewall | |
US20130275620A1 (en) | Communication system, control apparatus, communication method, and program | |
CN104753926B (en) | A kind of gateway admittance control method | |
TW201626759A (en) | Method for detecting a number of the devices of a plurality of client terminals selected by a WEB server with additional non-specified domain name from the internet request traffics sharing the public IP address and system for detecting selectively | |
CN108064441B (en) | Method and system for accelerating network transmission optimization | |
KR101720702B1 (en) | Security device and driving method thereof | |
US10601961B2 (en) | Service function chain dynamic classification | |
US11012413B2 (en) | Device and method for securing a network connection | |
RU2445692C1 (en) | Method to provide information security during user access to external information resources via internet | |
EP3185510B1 (en) | Method for data packet inspection, related device and computer-program product | |
KR101851232B1 (en) | Security device and operating method thereof | |
CN111200505A (en) | Message processing method and device | |
US9521078B2 (en) | Method and apparatus for controlling congestion of network equipment | |
CN104410677A (en) | Server load balancing method and device | |
US20140156845A1 (en) | Mechanism to block web sites using return traffic |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20200303 Year of fee payment: 4 |