KR101772681B1 - 방화벽 장치 및 그의 구동방법 - Google Patents

방화벽 장치 및 그의 구동방법 Download PDF

Info

Publication number
KR101772681B1
KR101772681B1 KR1020150182015A KR20150182015A KR101772681B1 KR 101772681 B1 KR101772681 B1 KR 101772681B1 KR 1020150182015 A KR1020150182015 A KR 1020150182015A KR 20150182015 A KR20150182015 A KR 20150182015A KR 101772681 B1 KR101772681 B1 KR 101772681B1
Authority
KR
South Korea
Prior art keywords
storage unit
unidentified
packets
application
packet
Prior art date
Application number
KR1020150182015A
Other languages
English (en)
Other versions
KR20170073289A (ko
Inventor
이종현
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020150182015A priority Critical patent/KR101772681B1/ko
Publication of KR20170073289A publication Critical patent/KR20170073289A/ko
Application granted granted Critical
Publication of KR101772681B1 publication Critical patent/KR101772681B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 보안의 신뢰성을 향상시킬 수 있도록 한 방화벽 장치에 관한 것이다.
본 발명의 실시예에 의한 방화벽 장치는 패킷을 허용 또는 차단하기 위한 방화벽 모듈과; 어플리케이션들의 시그니처 정보들이 저장되는 규칙 저장부와; 상기 방화벽 모듈로부터 상기 패킷을 입력받고, 상기 규칙 저장부를 참조하여 상기 패킷으로부터 추출된 시그니처에 대응하여 어플리케이션을 식별하기 위한 식별엔진과; 상기 식별엔진에서 식별되지 않은 미식별 패킷들이 저장되는 미식별 저장부와; 상기 미식별 패킷들을 공급받고, 상기 미식별 패킷들에 대응하여 어플리케이션을 추가 식별하기 위한 외부 저장부를 구비한다.

Description

방화벽 장치 및 그의 구동방법{Firewall Apparatus and Driving Method Thereof}
본 발명의 실시예는 방화벽 장치 및 그의 구동방법에 관한 것으로, 특히 보안의 신뢰성을 향상시킬 수 있도록 한 방화벽 장치 및 그의 구동방법에 관한 것이다.
방화벽은 내부 네트워크의 앞 단에 설치되어 인터넷상의 악성코드 등이 내부 네트워크로 전파되는 것을 방지한다. 즉, 방화벽은 인터넷망을 포함한 외부 네트워크로부터 내부 네트워크를 보호하기 위한 것이다. 이를 위하여, 방화벽에는 패킷을 통제하기 위한 정책들이 설정되며, 방화벽 운영시 기설정된 정책에 따라 허용된 패킷만을 내부 네트워크로 제공한다.
이와 같은 방화벽은 일반적으로 5 튜플(tuple)(IP주소 및 포트번호 등)을 이용하여 패킷을 차단하거나 허용한다. 하지만, 5 튜플을 이용하여 패킷을 관리하는 경우 방화벽의 활용성이 제한되며, 보안의 신뢰도도 높지 않다.
따라서, 본 발명은 어플리케이션을 추가로 감지하여 활용성 및 보안의 신뢰도를 향상시킬 수 있도록 한 방화벽 장치 및 그의 구동방법을 제공하는 것이다.
또한, 본 발명은 어플리케이션의 식별능력을 향상시킬 수 있도록 한 방화벽 장치 및 그의 구동방법을 제공하는 것이다.
본 발명의 실시예에 의한 방화벽 장치는 패킷을 허용 또는 차단하기 위한 방화벽 모듈과; 어플리케이션들의 시그니처 정보들이 저장되는 규칙 저장부와; 상기 방화벽 모듈로부터 상기 패킷을 입력받고, 상기 규칙 저장부를 참조하여 상기 패킷으로부터 추출된 시그니처에 대응하여 어플리케이션을 식별하기 위한 식별엔진과; 상기 식별엔진에서 식별되지 않은 미식별 패킷들이 저장되는 미식별 저장부와; 상기 미식별 패킷들을 공급받고, 상기 미식별 패킷들에 대응하여 어플리케이션을 추가 식별하기 위한 외부 저장부를 구비한다.
실시 예에 의한, 상기 외부 저장부는 주기적으로 상기 미식별 패킷들을 공급받는다.
실시 예에 의한, 상기 외부 저장부는 다양한 어플리케이션에 대응하는 갱신 시그니처들 및 상기 미식별 패킷들이 저장되는 클라우드 저장부와, 상기 갱신 시그니처들을 이용하여 상기 미식별 패킷들에 대응한 어플리케이션을 추가 식별하기 위한 판별부를 구비한다.
실시 예에 의한, 상기 판별부는 상기 미식별 패킷들에 대응하여 어플리케이션이 식별되는 경우, 해당 시그니처를 상기 규칙 저장부에 저장한다.
실시 예에 의한, 상기 방화벽 모듈로 공급된 상기 패킷이 암호화된 경우, 복호화하여 상기 식별엔진으로 공급하기 위한 SSL 프록시를 더 구비한다.
본 발명의 실시예에 의한 방화벽 장치의 구동방법은 방화벽 모듈로 패킷이 입력되는 단계와; 식별엔진에서 상기 패킷의 시그니처와 규칙 저장부에 저장된 시그니처를 이용하여 어플리케이션을 식별하는 단계와; 상기 어플리케이션이 식별되지 않는 미식별 패킷들을 미식별 저장부에 저장하는 단계와; 상기 미식별 저장부에 저장된 미식별 패킷들을 외부 저장부로 공급하는 단계와; 상기 외부 저장부에 미리 저장된 갱신 시그니처들과 상기 미식별 패킷들을 비교하고, 비교 결과에 대응하여 상기 미식별 패킷들의 어플리케이션을 추가 식별하는 단계를 포함한다.
실시 예에 의한, 상기 외부 저장부는 주기적으로 상기 미식별 패킷들을 공급받는다.
실시 예에 의한, 상기 외부 저장부는 상기 갱신 시그니처들 및 상기 미식별 패킷들이 저장되는 클라우드 저장부 및 상기 미식별 패킷들의 어플리케이션을 추가 판단하기 위한 판별부를 포함한다.
실시 예에 의한, 상기 미식별 패킷들의 어플리케이션이 추가 판별되는 경우, 해당 시그니처를 상기 규칙 저장부에 저장하는 단계를 더 포함한다.
실시 예에 의한, 개발자가 상기 미식별 패킷들을 분석하여 어플리케이션을 식별하고, 식별된 어플리케이션에 대응하여 생성된 시그니처가 상기 규칙 저장부에 저장되는 단계를 더 포함한다.
본 발명의 실시예에 의한 방화벽 장치 및 그의 구동방법에 의하면 방화벽 장치에서 어플리케이션을 식별하고, 식별된 어플리케이션에 대응하여 패킷을 차단 또는 허용할 수 있다. 즉, 본원 발명에서는 각각의 어플리케이션에 대응하여 보안정책을 설정할 수 있고, 이에 따라 방화벽 장치의 활용성 및 보안의 신뢰도를 향상시킬 수 있다.
또한, 본 발명의 실시예에서는 미식별 패킷에 대응하여 시그니처를 갱신(업데이트)할 수 있고, 이에 따라 패킷에 대응한 어플리케이션의 식별능력이 향상된다.
도 1은 본 발명의 실시예에 의한 방화벽 장치를 나타내는 도면이다.
도 2는 본 발명의 실시예에 의한 방화벽 장치의 구성도를 나타내는 도면이다.
도 3은 일반적 패킷의 실시예를 나타내는 도면이다.
도 4는 도 2에 도시된 식별엔진 및 외부 저장소의 실시예를 나타내는 도면이다.
도 5는 규칙 저장부의 시그니처 정보가 갱신되는 과정의 실시예를 나타내는 도면이다.
이하 첨부한 도면을 참고하여 본 발명의 실시예 및 그 밖에 당업자가 본 발명의 내용을 쉽게 이해하기 위하여 필요한 사항에 대하여 상세히 기재한다. 다만, 본 발명은 청구범위에 기재된 범위 안에서 여러 가지 상이한 형태로 구현될 수 있으므로 하기에 설명하는 실시예는 표현 여부에 불구하고 예시적인 것에 불과하다.
즉, 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있다. 또한, 도면에서 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 참조번호 및 부호로 나타내고 있음에 유의해야 한다.
도 1은 본 발명의 실시예에 의한 방화벽 장치를 나타내는 도면이다.
도 1을 참조하면, 본 발명의 실시예에 의한 방화벽 장치(100)는 내부 네트워크와 외부 네트워크 사이에 위치된다. 여기서, 내부 네트워크는 사설 IP(Internet Protocol) 및/또는 공인 IP를 할당받은 다양한 형태의 장치들을 포함할 수 있다. 일례로, 내부 네트워크에는 일반적인 컴퓨터, 운영체제에서 지원하는 가상 머신들을 포함하는 서버, NAT(Network Address Translator) 장치에 의하여 접속되는 서버 등이 포함될 수 있다. 실제로, 본 발명에서 내부 네트워크는 현재 공지된 다양한 형태로 구현될 수 있다.
방화벽 장치(100)는 외부 네트워크와 내부 네트워크 사이의 패킷을 감시하고, 미리 설정된 정책에 대응하여 패킷을 차단하거나 허용한다. 또한, 방화벽 장치(100)는 패킷으로부터 어플리케이션을 추가로 감지한다. 이 경우, 방화벽 장치(100)는 정책에 대응하여 특정 어플리케이션의 패킷을 차단하거나 허용할 수 있다.
일례로, 방화벽 장치(100)는 어플리케이션이 "네이트 온"으로 판단되는 경우 해당 패킷을 차단할 수 있으며, 어플리케이션이 "네이버"로 판단되는 경우 해당 패킷을 허용할 수 있다. 다시 말하여, 본 발명의 방화벽 장치(100)는 어플리케이션을 감지할 수 있고, 이에 따라 활용될 수 있는 영역이 확장된다. 또한, 어플리케이션 각각에 대응하여 패킷의 차단 또는 허용을 설정할 수 있고, 이에 따라 보안의 신뢰도를 향상시킬 수 있다.
도 2는 본 발명의 실시예에 의한 방화벽 장치의 구성도를 나타내는 도면이다. 도 3은 일반적 패킷의 실시예를 나타내는 도면이다. 도 2 및 도 3은 본 발명의 설명에 필요한 부분만을 도시한 것으로, 방화벽 장치의 구성이 이에 한정되지는 않는다.
도 2 및 도 3을 참조하면, 본 발명의 실시예에 의한 방화벽 장치(100)는 방화벽 모듈(110), 식별엔진(120), 규칙 저장부(130), SSL(Secure Sockets Layer) 프록시(140), 미식별 저장부(150) 및 외부 저장부(160)를 구비한다.
방화벽 모듈(110)은 미리 설정된 정책에 대응하여 패킷을 차단하거나 허용한다. 즉, 방화벽 모듈(110)은 미리 설정된 정책에 대응하여 트래픽을 제어하는 역할을 수행한다.
식별엔진(120)은 방화벽 모듈(110) 및/또는 SSL 프록시(140)로부터 패킷을 공급받고, 공급받은 패킷으로부터 데이터를 추출한다. 그리고, 식별엔진(120)은 데이터로부터 시그니처를 추출하고, 추출된 시그니처를 규칙 저장부(130)에 저장된 시그니처들과 비교함으로써 어플리케이션을 식별한다.
상세히 설명하면, 일반적으로 패킷은 소정의 크기, 예를 들면 1460byte의 크기로 설정된다. 이와 같은 패킷은 도 3에 도시된 바와 같이 헤더와 데이터로 구분된다. 여기서, 패킷의 헤더에는 5 튜플(tuple) 정보가 저장된다. 다시 말하여, 헤더에는 소스 IP, 목적지 IP, 소스 포트, 목적지 포트 및 프로토콜 정보가 저장된다. 여기서, 소스 IP는 해당 패킷을 전송한 컴퓨터의 주소, 목적지 IP는 해당 패킷을 전송받는 컴퓨터의 주소, 소스 포트는 해당 패킷이 전송된 포트, 목적지 포트는 해당 패킷이 전송될 포트, 프로토콜은 TCP/IP를 포함한 통신 규약을 의미한다.
패킷의 데이터에는 시그니처를 포함한 전송하고자 하는 정보가 포함된다. 여기서, 시그니처는 어플리케이션을 구분하기 위한 정보로 이용된다. 일례로, 어플리케이션이 "네이트 온"으로 설정되는 경우 패킷의 데이터에는 "REQS"와 같은 시그니처 정보가 포함된다. 또한, 어플리케이션이 웹 사이트, 일례로 "네이버"로 설정되는 경우 패킷의 데이터에는 "Host: www.naver.com"과 같은 시그니처 정보가 포함된다.
시그니처 정보는 연속되는 패킷들 중 초반에 공급되는 패킷들에 포함된다. 실제로, 시그니처 정보는 연속되어 공급되는 패킷들 중 첫 번째 또는 두 번째 패킷에 포함된다.
식별엔진(120)은 패킷의 데이터로부터 시그니처 정보를 추출하고, 추출된 정보를 규칙 저장부(130)에 저장된 정보(즉, 미리 저장된 시그니처들)와 비교한다. 그리고, 식별엔진(120)은 비교결과, 즉 어플리케이션 식별결과를 방화벽 모듈(110)로 공급한다. 일례로, 식별엔진(120)은 어플리케이션 정보로서 "네이트 온" 정보를 방화벽 모듈(110)로 공급할 수 있다. 방화벽 모듈(110)은 정책에 대응하여 "네이트 온"에 해당하는 패킷을 차단하거나 허용할 수 있다.
한편, 어플리케이션이 식별되지 않는 경우, 식별엔진(120)은 미식별 정보를 방화벽 모듈(110)로 공급한다. 그러면, 방화벽 모듈(110)은 정책에 대응하여 미식별 어플리케이션에 해당하는 패킷을 차단하거나 허용할 수 있다.
추가적으로, 미식별 정보에는 미인식(Unknown) 및 불충분 데이터(insufficient-data)가 포함된다. 여기서, 미인식(Unknown)은 해당 패킷에 대응하는 시그니처 정보가 규칙 저장부(130)에 저장되지 않았음을 의미한다. 또한, 불충분 데이터(insufficient-data)는 미인식(Unknwon)으로 판별하기에는 너무 작은 크기의 패킷을 의미한다. 일례로, 특정 세션으로 100byte의 패킷이 전송되는 경우, 해당 패킷은 불충분 데이터로 판단될 수 있다.
규칙 저장부(130)에는 어플리케이션들의 시그니처 정보들이 저장된다. 일례로, 규칙 저장부(130)에는 메신저들(네이트 온, 야후 메신저 등)에 대응하는 시그니처 정보들, 웹 사이트들(네이버, 다음 등)에 대응하는 시그니처 정보들, 클라우드들에 대응하는 시그니처 정보들, 파일 전송 프로그램들에 대응하는 시그니처 정보들이 저장될 수 있다.
SSL 프록시(140)는 SSL로 암호화되어 전송되는 패킷을 복호화하고, 복호화된 패킷을 식별엔진(120)으로 공급한다. 그러면, 식별엔진(120)은 복호화된 패킷으로부터 시그니처를 추출하고, 추출된 시그니처에 대응하여 어플리케이션을 식별한다.
한편, 방화벽 장치(100)에서 어플리케이션에 대응하여 다양한 정책을 적용하기 위해서는, 어플리케이션의 식별능력이 향상되어야 한다. 이를 위하여, 본원 발명에서는 미식별 저장부(150) 및 외부 저장부(160)를 구비한다.
미식별 저장부(150)에는 미식별 정보에 해당하는 패킷들이 저장된다. 일례로, 미식별 저장부(150)에는 미인식(Unknown) 및 불충분 데이터(insufficient-data)에 해당하는 패킷들이 저장될 수 있다.
외부 저장부(160)는 적어도 하나 이상의 방화벽 장치(100)와 접속된다. 이와 같은 외부 저장부(160)에는 다양한 어플리케이션에 대응하는 시그니처들이 저장된다.
상세히 설명하면, 시간이 지남에 따라서 다양한 어플리케이션(웹 사이트들 포함)이 생성된다. 또한, 특정 내부 네트워크에서만 사용되는 어플리케이션(예를 들면, 인증 프로그램, 사내 메신저 등)들이 추가될 수 있다. 외부 저장부(160)에는 다양한 어플리케이션들(웹 사이트들, 인증 프로그램, 사내 메신저 등)에 대응하여 시그니처들이 저장 및 주기적으로 갱신된다. 이후, 설명의 편의성을 위하여 외부 저장부(160)에 저장된 시그니처들을 갱신 시그니처들로 명하기로 한다.
외부 저장부(160)는 미식별 저장부(150)에 저장된 미식별 정보를 주기적으로 전송받는다. 미식별 정보를 전송받은 외부 저장부(160)는 미식별 정보에 포함된 미인식(Unknown) 및 불충분 데이터(insufficient-data)를 분석한다. 즉, 외부 저장부(160)는 갱신 시그니처들을 이용하여 미인식(Unknown) 및/또는 불충분 데이터(insufficient-data)들의 어플리케이션을 식별한다.
갱신 시그니처들에 의하여 미인식(Unknown) 및/또는 불충분 데이터(insufficient-data)들의 어플리케이션이 식별 가능한 경우, 외부 저장부(160)는 해당 어플리케이션에 대응하는 시그니처를 생성하여 규칙 저장부(130)에 저장한다. 이 경우, 해당 어플리케이션에 해당하는 패킷들은 추후 식별엔진(120)에서 소정 어플리케이션으로 판단된다.
즉, 본원 발명에서는 외부 저장부(160)를 이용하여 미식별 정보에 대응하는 어플리케이션을 추가로 식별하고, 이에 따라 패킷에 대응한 어플리케이션의 식별능력을 향상시킬 수 있다. 따라서, 방화벽 장치(100)에서는 어플리케이션 식별정보에 대응하여 다양한 정책을 구현할 수 있고, 이에 따라 방화벽 장치(100)의 활용성 및 보안의 신뢰성을 향상시킬 수 있다.
도 4는 도 2에 도시된 식별엔진 및 외부 저장소의 실시예를 나타내는 도면이다.
도 4를 참조하면, 본 발명의 실시예에 의한 식별엔진(120)은 데이터 추출부(122) 및 규칙 매핑부(124)를 구비한다.
데이터 추출부(122)는 방화벽 모듈(110) 또는 SSL 프록시(140)로부터 패킷을 공급받고, 공급받은 패킷의 데이터로부터 시그니처를 추출한다.
규칙 매핑부(124)는 규칙 저장부(130)에 저장된 시그니처들과 데이터 추출부(122)로부터 추출된 시그니처를 비교하고, 비교 결과에 대응하여 어플리케이션 식별정보 및/또는 미식별 정보(미인식(Unknown), 불충분 데이터(insufficient-data))를 데이터 추출부(122)로 전송한다. 그러면, 데이터 추출부(122)는 규칙 매핑부(124)로부터의 어플리케이션 식별정보 및/또는 미식별 정보를 방화벽 모듈(110)로 공급한다.
어플리케이션 식별정보 및/또는 미식별 정보를 공급받은 방화벽 모듈(110)은 미리 설정된 정책에 대응하여 패킷을 차단 또는 허용한다. 일례로, 방화벽 모듈(110)은 미리 설정된 정책에 대응하여 제 1어플리케이션에 해당하는 패킷을 차단하고, 제 2어플리케이션에 해당하는 패킷을 허용할 수 있다. 한편, 데이터 추출부(122)로 미식별 정보가 전송되는 경우, 데이터 추출부(122)는 미식별 정보에 대응하는 패킷을 미식별 저장부(150)에 저장한다.
본 발명의 실시예에 의한 외부 저장부(160)는 클라우드 저장부(162) 및 판별부(164)를 구비한다.
클라우드 저장부(162)에는 갱신 시그니처들이 저장된다. 또한, 클라우드 저장부(162)는 일정주기 및/또는 개발자의 명령에 대응하여 미식별 저장부(150)에 저장된 미식별 패킷들을 전송받는다.
판별부(164)는 클라우드 저장부(162)에 저장된 미식별 패킷들에 대응하여 어플리케이션을 추가로 판단한다. 일례로, 판별부(164)는 미인식(Unknown) 패킷들로부터 추출된 시그니처와 갱신 시그니처들을 비교하면서 어플리케이션을 추가로 판단할 수 있다.
상세히 설명하면, 개발자는 새로 개발되는 어플리케이션 또는 사내 네트워크에서 사용되는 어플리케이션들에 대응하여 클라우드 저장부(162)에 갱신 시그니처들을 저장한다. 이후, 클라우드 저장부(162)는 미식별 저장부(150)로부터 미식별 패킷들을 공급받는다.
판별부(164)는 클라우드 저장부(162)에 저장된 미식별 정보로부터 추출된 시그니처와 갱신 시그니처를 이용하여 어플리케이션을 추가로 식별하고, 식별 가능한 경우 해당 시그니처를 규칙 저장부(130)에 저장한다. 이 경우, 규칙 저장부(130)에 저장된 시그니처 정보는 주기적으로 갱신(업데이트)되고, 이에 따라 방화벽 장치(100)에서 어플리케이션 식별 정확도를 향상시킬 수 있다.
추가적으로, 판별부(164)는 불충분 데이터(insufficient-data)에 해당하는 패킷들로부터 공통분모를 추출하고, 추출된 공통분모를 이용하여 시그니처를 생성할 수 있다. 판별부(164)에서 생성된 시그니처는 규칙 저장부(130)에 저장된다.
도 5는 규칙 저장부의 시그니처 정보가 갱신되는 과정의 실시예를 나타내는 도면이다.
도 5를 참조하면, 먼저 식별엔진(120)은 방화벽 모듈(110) 및/또는 SSL 프록시(140)로부터 패킷을 입력받는다. 패킷을 입력받은 식별엔진(120)은 패킷으로부터 데이터, 즉 시그니처를 추출한다.(S500)
이후, 식별엔진(120)은 규칙 저장부(130)에 저장된 시그니처를 참조하여 어플리케이션을 식별한다.(S502) S502 단계에서 어플리케이션이 식별되는 경우, 식별엔진(120)은 식별정보를 방화벽 모듈(110)로 전송한다.(S504) 또한, S502 단계에서 어플리케이션이 식별되지 않는 경우, 식별엔진(120)은 미식별 정보를 방화벽 모듈(110)로 전송한다.(S505)
S504 단계에서 식별정보를 공급받은 방화벽 모듈(110)은 해당 어플리케이션 정책에 대응하여 패킷을 허용 또는 차단한다. 또한, S505 단계에서 미식별 정보(미인식(Unknown) 또는 불충분 데이터(insufficient-data))를 공급받은 방화벽 모듈(110)은 해당 어플리케이션 정책에 대응하여 패킷을 허용 또는 차단한다.
추가적으로, S502 단계에서 어플리케이션이 식별되지 않는 경우, 식별엔진(120)은 해당 패킷, 즉 미인식(Unknown) 또는 불충분 데이터(insufficient-data)에 해당하는 미식별 패킷들을 미식별 저장부(150)에 저장한다.(S506)
S506 단계에서 미식별 저장부(150)에 미식별 패킷들이 저장된 후 외부 저장부(160)는 소정 주기마다 미식별 패킷들을 공급받는다.(S508, S510) 이때, 미식별 저장부(150)로부터 공급되는 미식별 패킷들은 클라우드 저장부(162)에 저장된다.
클라우드 저장부(162)에 미식별 패킷들이 저장된 후 판별부(164)는 우선순위에 대응하여 미식별 패킷들을 선발한다.(S512) 예를 들어, 판별부(164)는 빈도수, 패킷 덤프(Packet Dump) 등을 고려하여 미식별 패킷들을 선발할 수 있다.
S512 단계에서 미식별 데이터들이 선발된 후 판별부(164)는 클라우드 저장부(162)에 저장된 갱신 시그니처와 선발된 미식별 데이터들의 시그니처를 비교한다.(S514) S514 단계에서 미식별 패킷들의 시그니처가 생성 가능한 경우, 판별부(164)는 해당 시그니처를 규칙 저장부(130)에 추가로 저장한다.(S516, S518)
그러면, 해당 시그니처를 보유한 패킷들은 식별엔진(120)에서 특정 어플리케이션으로 식별되고, 이에 따라 식별엔진(120)의 식별능력을 향상시킬 수 있다.
추가적으로, S514 단계에서는 개발자(또는 전문가)가 미식별 데이터들을 추가 분석하는 과정을 거칠 수 있다. 개발자는 미식별 데이터들을 분석하고, 분석 결과에 대응하여 어플리케이션을 특정할 수 있다. 어플리케이션이 특정되는 경우, 판별부(164)는 특정된 어플리케이션에 대응하는 시그니처를 생성하고, 생성된 시그니처를 규칙 저장부(130)에 추가로 저장한다.(S516, S518)
본 발명의 기술 사상은 상기 바람직한 실시예에 따라 구체적으로 기술되었으나, 상기한 실시예는 그 설명을 위한 것이며 그 제한을 위한 것이 아님을 주의하여야 한다. 또한, 본 발명의 기술 분야의 통상의 지식을 가진 자라면 본 발명의 기술 사상의 범위 내에서 다양한 변형예가 가능함을 이해할 수 있을 것이다.
전술한 발명에 대한 권리범위는 이하의 특허청구범위에서 정해지는 것으로써, 명세서 본문의 기재에 구속되지 않으며, 청구범위의 균등 범위에 속하는 변형과 변경은 모두 본 발명의 범위에 속할 것이다.
100 : 방화벽 장치 110 : 방화벽 모듈
120 : 식별엔진 122 : 데이터 추출부
124 : 규칙 매핑부 130 : 규칙 저장부
140 : SSL 프록시 150 : 미식별 저장부
160 : 외부 저장부 162 : 클라우드 저장부
164 : 판별부

Claims (10)

  1. 외부 네트워크와 내부 네트워크 사이에서 패킷의 송수신을 허용 또는 차단하기 위한 방화벽 모듈과;
    어플리케이션들의 시그니처 정보들이 저장되는 규칙 저장부와;
    상기 방화벽 모듈로부터 상기 패킷이 수신되면, 상기 패킷에 포함된 데이터로부터 시그니처 정보를 추출하고, 추출된 시그니처 정보와 상기 규칙 저장부에 저장된 시그니처 정보를 비교하여 어플리케이션을 식별하기 위한 식별엔진과;
    상기 식별엔진에서 식별되지 않은 제 1미식별 패킷들과, 상기 식별엔진에 의해 상기 어플리케이션이 식별되기 위해 필요한 패킷의 크기보다 작은 불충분 데이터를 포함하는 제 2미식별 패킷들이 저장되는 미식별 저장부와;
    상기 제 1 및 제 2미식별 패킷들에 대응하여 상기 어플리케이션을 추가로 식별하기 위한 외부 저장부를 구비하고,
    상기 외부 저장부는,
    다양한 어플리케이션에 대응하는 갱신 시그니처들 및 상기 제 1 및 제 2미식별 패킷들이 저장되는 클라우드 저장부와,
    상기 제 1 및 제 2미식별 패킷들에 대응한 어플리케이션을 추가로 식별하기 위한 판별부를 포함하고,
    상기 판별부는,
    갱신 시그니처들과 상기 제 1미식별 패킷들에 포함된 시그니처 정보를 비교하여 상기 어플리케이션을 추가로 식별하거나,
    상기 제 2미식별 패킷들로부터 공통분모를 추출하고, 추출된 공통분모를 이용하여 시그니처 정보를 생성하고, 생성된 시그니처 정보를 상기 규칙 저장부에 저장하는 것을 특징으로 하는 방화벽 장치.
  2. 제 1항에 있어서,
    상기 외부 저장부는 주기적으로 상기 제 1 및 제 2미식별 패킷들을 공급받는 것을 특징으로 하는 방화벽 장치.
  3. 삭제
  4. 제 1항에 있어서,
    상기 판별부는 상기 제 1미식별 패킷들에 대응하여 어플리케이션이 식별되는 경우, 해당 시그니처 정보를 상기 규칙 저장부에 저장하는 것을 특징으로 하는 방화벽 장치.
  5. 제 1항에 있어서,
    상기 방화벽 모듈로 공급된 상기 패킷이 암호화된 경우, 복호화하여 상기 식별엔진으로 공급하기 위한 SSL 프록시를 더 구비하는 것을 특징으로 하는 방화벽 장치.
  6. 방화벽 모듈로 패킷이 입력되는 단계와;
    상기 패킷으로부터 시그니처 정보를 추출하고, 추출된 시그니처 정보와 규칙 저장부에 저장된 시그니처 정보를 비교하여 어플리케이션을 식별하는 단계와;
    상기 어플리케이션이 식별되지 않는 제 1미식별 패킷들과, 상기 어플리케이션을 식별하기 위해 필요한 패킷의 크기보다 작아서 식별할 수 없는 불충분 데이터를 포함하는 제 2미식별 패킷들을 미식별 저장부에 저장하는 단계와;
    상기 제 1미식별 패킷들 및 제2 미식별 패킷들을 외부 저장부로 공급하는 단계와;
    상기 외부 저장부에 미리 저장된 갱신 시그니처 정보와 상기 제 1미식별 패킷들을 비교하여 상기 어플리케이션을 추가로 식별하거나, 상기 제 2미식별 패킷들로부터 공통분모를 추출하고, 추출된 공통분모를 포함하는 시그니처 정보를 생성하는 단계를 포함하는 것을 특징으로 하는 방화벽 장치의 구동방법.
  7. 제 6항에 있어서,
    상기 외부 저장부는 주기적으로 상기 제 1미식별 패킷들 또는 상기 제 2미식별 패킷들을 공급받는 것을 특징으로 하는 방화벽 장치의 구동방법.
  8. 삭제
  9. 제 6항에 있어서,
    상기 제 1미식별 패킷들의 어플리케이션이 추가 판별되는 경우, 해당 시그니처 정보를 상기 규칙 저장부에 저장하는 단계를 더 포함하는 것을 특징으로 하는 방화벽 장치의 구동방법.
  10. 삭제
KR1020150182015A 2015-12-18 2015-12-18 방화벽 장치 및 그의 구동방법 KR101772681B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150182015A KR101772681B1 (ko) 2015-12-18 2015-12-18 방화벽 장치 및 그의 구동방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150182015A KR101772681B1 (ko) 2015-12-18 2015-12-18 방화벽 장치 및 그의 구동방법

Publications (2)

Publication Number Publication Date
KR20170073289A KR20170073289A (ko) 2017-06-28
KR101772681B1 true KR101772681B1 (ko) 2017-09-12

Family

ID=59280784

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150182015A KR101772681B1 (ko) 2015-12-18 2015-12-18 방화벽 장치 및 그의 구동방법

Country Status (1)

Country Link
KR (1) KR101772681B1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102353130B1 (ko) * 2020-07-21 2022-01-18 충북대학교 산학협력단 Nidps 기반 대용량 트래픽 제로데이 공격을 방어하기 위한 방어 시스템 및 방법
KR102353131B1 (ko) * 2020-07-21 2022-01-18 충북대학교 산학협력단 제로데이 공격에 대한 방어 시스템 및 방법
US11616759B2 (en) * 2021-04-09 2023-03-28 Palo Alto Networks, Inc. Increased coverage of application-based traffic classification with local and cloud classification services
JP2024513568A (ja) * 2021-04-09 2024-03-26 パロ アルト ネットワークス,インコーポレイテッド ローカルおよびクラウド分類サービスを用いたアプリケーションベースのトラフィック分類に係るカバレッジの増大

Also Published As

Publication number Publication date
KR20170073289A (ko) 2017-06-28

Similar Documents

Publication Publication Date Title
US10931797B2 (en) Correlating packets in communications networks
US10423774B1 (en) System and method for establishing secure communication channels between virtual machines
US9942050B2 (en) Method and apparatus for bulk authentication and load balancing of networked devices
RU2018132840A (ru) Система и способы для дешифрования сетевого трафика в виртуализированной среде
US20040210754A1 (en) Shared security transform device, system and methods
EP1804461A1 (en) Method and apparatus for secure communication between user device and private network
KR101772681B1 (ko) 방화벽 장치 및 그의 구동방법
JP2020017809A (ja) 通信装置及び通信システム
JP4107213B2 (ja) パケット判定装置
JP6793056B2 (ja) 通信装置及びシステム及び方法
EP3442195A1 (en) Method and device for parsing packet
CN113347198B (zh) Arp报文处理方法、装置、网络设备及存储介质
KR20210045562A (ko) 익명화된 네트워크 트래픽 기반의 사이버 위협 정보 공유 방법 및 이를 이용한 시스템
KR101772683B1 (ko) 방화벽 장치 및 그의 구동방법
JP2008182649A (ja) 暗号化パケット通信システム
JP2019532601A (ja) 指紋を使用するネットワーク・マッピング
KR101404161B1 (ko) 원타임 패스워드를 이용한 망분리 장치, 망분리 시스템 및 그 방법
CN107066874B (zh) 容器系统间交互验证信息的方法及装置
KR101749074B1 (ko) 방화벽 시스템 및 그의 구동방법
KR101490227B1 (ko) 트래픽 제어 방법 및 장치
EP3279800B1 (en) Network communication method and network communication system
KR20180101907A (ko) 로그 데이터 관리 방법 및 장치
JP6721542B2 (ja) トラヒック制御装置、方法、およびプログラム
JP6781109B2 (ja) トラヒック制御装置および方法
CN115622975A (zh) Dns请求转发链获取方法、装置、设备及存储介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant