KR101887544B1 - Sdn 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템 - Google Patents

Abstract

본 발명은 SDN 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템에 대한 것이다.
더 구체적으로 본 발명은, 사용자 원격 단말(마이크로 서버)부; 네트워크 공격 차단부; 및 마이크로 서버 관리 시스템를 포함하되, 상기 사용자 원격 단말(마이크로 서버)부는, 정상트래픽 또는 이상트래픽을 발생시키고, 상기 네트워크 공격 차단부는, 상기 사용자 원격 단말(마이크로 서버)부로부터 유입된 트래픽을 탐지하여 이상트래픽을 차단하며, 상기 마이크로 서버 관리 시스템는, 상기 네트워크 공격 차단부로부터 차단된 이상트래픽을 제외한 정상트래픽만을 유입하여 원격으로 마이크로 서버를 자동 등록하고 관리할 수 있는 것을 특징으로 하는 SDN 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템에 관한 것이다.

Description

SDN 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템{SDN-BASED NETWORK-ATTACKS BLOCKING SYSTEM FOR MICRO SERVER MANAGEMENT SYSTEM PROTECTION}

본 발명은 SDN 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템에 대한 것이다.

더 구체적으로 본 발명은, 사용자 원격 단말(마이크로 서버)부; 네트워크 공격 차단부; 및 마이크로 서버 관리 시스템를 포함하되, 상기 사용자 원격 단말(마이크로 서버)부는, 정상트래픽 또는 이상트래픽을 발생시키고, 상기 네트워크 공격 차단부는, 상기 사용자 원격 단말(마이크로 서버)부로부터 유입된 트래픽을 탐지하여 이상트래픽을 차단하며, 상기 마이크로 서버 관리 시스템는, 상기 네트워크 공격 차단부로부터 차단된 이상트래픽을 제외한 정상트래픽만을 유입하도록 함으로써, 사용자 마이크로 서버를 안전하게 관리할 수 있는 것을 특징으로 하는 SDN 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템에 관한 것이다.

최근 스마트폰 수요 및 이용 증가에 따라 무선 데이터의 폭발적인 증가, 클라우드 컴퓨팅, M2M, 스마트TV 등 방송과 통신산업의 융합, ICT 중심의 융합 산업 등은 네트워크 기술의 고도화를 요구하고 있다.

이에 따라 네트워크 구조의 한계성을 극복하고, 새로운 요구사항들을 수용하기 위한 기술적 대안으로서 개발된 기술이 소프트웨어 정의 네트워크(SDN : software defined network)이다.

소프트웨어 정의 네트워크는 통신 서비스 사업자나 기업의 환경변화에 대응하기 위해, 네트워크 구성을 고정된 하드웨어로부터 가변성을 부여하는 소프트웨어 기반으로 전환시켜 네트워킹의 유연성 및 효과적인 관리 기능을 제공한다.

한편, 최근 들어 고성능 CPU와 멀티코어 CPU, 그리고 대용량 메모리가 등장하면서 하나의 호스트에 여러 개의 가상머신을 구성하고 메모리에서 허용하는 범위에서 각 가상머신에 다수의 운영체제를 설치하여 운영할 수 있게 되었다.

물리적 서버(예: 호스트)의 경우 일반적으로 한 대의 호스트를 한 명의 가입자에게만 임대할 수 있었으나, 가상화 기술을 적용하는 경우 하나의 가상화 시스템에서 여러 개의 가입자 서비스(예를 들어 파일 서버, 메일 서버 및 웹 서버 등)를 운영할 수 있게 되어, 한 대의 물리적 서버를 여러명의 가입자들에게 임대할 수 있다.

그러나, 이러한 가상화 기술을 적용한 물리적 서버의 경우, 설치되는 논리적 서버의 수만큼 여러 개의 운영 체제를 하나의 호스트에 설치해야하기 때문에, 가입자들이 사용하는 각 가상머신에 대한 공격과 정보 유출, 해킹 등의 문제점을 발생시키게 된다.

또한, 수백, 수천 개의 가상머신으로 구성되는 클라우드 환경의 가상화 시스템의 경우, 각 가상머신마다 보안 정책을 수립하고 적용하는 것이 어려운 부분이다.

클라우드 환경에서, 하나의 가상머신이 감염되는 경우에는 시스템 내의 다른 가상머신들도 감염을 일으키고, 결국 전체 클라우드 시스템이 감염되는 큰 문제를 발생시킬 수 있다.

이에 따라, 악성 트래픽이나 유해 패킷들을 실시간으로 전수 조사하고, 탐지된 결과에 따라 실시간 차단할 수 있는 시스템의 개발이 요구된다.

이하, 본 발명과 관련된 선행기술에 대해 간략하게 살펴본다. 공개특허공보 제10-2016-0012660호에는 SDN 환경에서 네트워크를 제어하는 장치 및 그 방법에 대해 기재되어 있다.

상기 기술의 청구항 1을 살펴보면, "사용자의 요청에 대응하는 새로운 서비스 패킷을 전달받아 플로우 테이블에 등록되어 있는지 여부를 확인하는 오픈플로우 스위치부; 및 상기 새로운 서비스 패킷이 상기 플로우 테이블에 존재하지 않는 경우, 상기 새로운 서비스 패킷이 서비스 테이블에 등록되어 있는지 여부를 확인하여, 확인 결과를 토대로 해당 서비스를 활성화하는 제어부를 포함하는 SDN 환경에서 네트워크를 제어하는 장치." 라고 기재되어 있다.

그러나 상기 기술은 등록 패킷 외의 이상 패킷을 실시간으로 탐지하고 분석하여 자동으로 차단하는 기술에 대해서는 기재하지 않고 있다.

또한, 상기 기술은 등록된 패킷에 대해서만 서비스를 활성화시킬 수 있어 다수개의 패킷에 대한 등록을 수행해야만 하는 문제점이 있다.

공개특허공보 제10-2016-0012660호(2016.02.03.)

본 발명의 목적은 SDN 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템을 제공하는 데 있다.

본 발명의 목적은 정상적으로 동작하는 사용자 마이크로 서버, 비정상적으로 동작하는 사용자 마이크로 서버 또는 사용자 마이크로 서버를 가장한 단말로부터 유입되는 정상트래픽 및 이상트래픽에 대하여, 이상 트래픽을 차단함으로써 마이크로 서버 관리 시스템을 안전하게 운영하는 데 있다.

본 발명의 목적은 마이크로 서버 관리 시스템에 대한 네트워크에서 보안에 위협이 되는 이상트래픽을 탐지 및 차단하는 데 있다.

위와 같은 과제를 해결하기 위하여 본 발명에 따른 SDN 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템은, 사용자 원격 단말(마이크로 서버)부; 네트워크 공격 차단부; 및 마이크로 서버 관리 시스템를 포함하되, 상기 사용자 원격 단말(마이크로 서버)부는, 사용자 원격 단말(마이크로 서버)을 가장한 단말부는 정상트래픽 또는 이상트래픽을 발생시키고, 상기 네트워크 공격 차단부는, 상기 사용자 원격 단말(마이크로 서버)부로부터 유입된 트래픽을 탐지하여 이상트래픽을 차단하며, 상기 마이크로 서버 관리 시스템은, 상기 네트워크 공격 차단부로부터 차단된 이상트래픽을 제외한 정상트래픽만을 유입하여 사용자 마이크로 서버를 원격 관리할 수 있는 것을 특징으로 하는 SDN기반 마이크로 서버 관리 시스템 네트워크 공격 차단 시스템을 제공함으로써, 기술적 과제를 해결하고자 한다.

본 발명은 이상트래픽을 탐지하여 트래픽에 조기 대응하여 차단하는 효과를 보유한다.

본 발명은 이상트래픽을 탐지 및 차단하여 네트워크의 보안효과를 극대화 시켜주는 효과를 보유한다.

본 발명은 이상트래픽을 탐지하는 부와 차단하는 부를 분리함으로써 시스템의 복잡성을 단순화하는 효과를 보유한다.

도 1은 본 발명에 따른 SDN 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템을 개략적으로 도시한 도면이다.
도 2는 본 발명에 따른 SDN 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템의 네트워크 공격 차단부의 구성요소를 도시한 도면이다.
도 3은 본 발명에 따른 SDN 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템의 흐름도를 도시한 도면이다.

본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 안 되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다.

따라서 본 명세서에서 기재된 실시예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일실시예에 불과할 뿐이고 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형 예들이 있을 수 있음을 이해하여야 한다.

이하, 도면을 참조하여 설명하기에 앞서, 본 발명의 요지를 드러내기 위해서 필요하지 않은 사항 즉 통상의 지식을 가진 당업자가 자명하게 부가할 수 있는 공지 구성에 대해서는 도시하지 않거나, 구체적으로 기술하지 않았음을 밝혀둔다.

설명에 앞서, 본 출원인은 특허 제10-2015-0069672호(소사업자용 마이크로 서버 관리 시스템)를 통해 소사업자의 마이크로 서버에 대하여 사설망 및 공인망을 포함하는 인터넷망에 원격으로 접속하여 마이크로 서버를 관리할 수 있는 시스템을 구현한바 있다.

설계조건에 따라서, 본 발명은 상기 출원된 소사업자용 마이크로 서버 관리 시스템의 기술적 사항이 적용될 수 있다.

이하, 본 발명에 대하여 첨부된 도면을 통해 아래에서 설명한다.

도 1은 본 발명에 따른 SDN 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템을 개략적으로 도시한 도면이다.

도 1에 따른 본 발명은 사용자 원격 단말(마이크로 서버)부(100), 네트워크 공격 차단부(200) 및 마이크로 서버 관리 시스템(300)를 포함하여 구성될 수 있다.

사용자 원격 단말(마이크로 서버)부(100)는 다수의 마이크로 서버 및 해커 서버로 구성될 수 있다.

본 발명에서 마이크로 서버는 인텔 아톰 프로세서 또는 ARM CPU를 장착하여 소비전력 30Watt 범위 내의 서버로 구성함으로써, 서버 구입비용과 운용비용을 절감하도록 할 수 있다.

또한, 상기 마이크로 서버는 애플리케이션 프레임워크 모듈을 기반으로 운용되도록 설계되는데, 이는 애플리케이션을 동적으로 설치하고 삭제하며 업데이트를 할 수 있도록 하는 기능을 수행한다.

해커 서버는 보안을 위협하는 DDoS(Distributed Denial of Service)와 같은 형태의 공격기법을 사용하는 서버로써 정상적인 서비스를 제공하지 못하게 한다.

상기 DDoS 공격 방식에는 ICMP(Internet Control Message Protocol), 스머프(smurf) 공격, IP 스푸핑(spoofing), TCP(Transmission Control Protocol) SYN 플루딩(flooding) 및 HTTP 커넥션 플루딩 등이 포함될 수 있다.

네트워크 공격 차단부(200)는 오픈플로우 스위치, 침입탐지시스템(IDS) 및 SDN 컨트롤러를 포함하여 구성될 수 있다.

오픈플로우 스위치는 SDN 컨트롤러부(200)와 상호간 정보를 주고받아야 하는데, 이를 위한 프로토콜로 사용되는 것이 오픈플로우(OpenFlow) 프로토콜이다. 즉, 오픈플로우 프로토콜은 SDN 컨트롤러부(200)와 오픈플로우 스위치 간에 서로 통신할 수 있는 표준 규격이다.

또한, 상기 오픈플로우 스위치는 사용자 원격 단말(마이크로 서버)부(100)에서 유입된 트래픽(즉, 마이크로 서버로부터 유입된 정상트래픽 및 해커 서버로부터 유입된 이상트래픽)을 패킷 미러링하여 침입탐지 시스템(IDS)로 전달한다.

여기에서 상기 패킷 미러링은 네트워크를 통해 전송하기 쉽도록 자른 데이터의 전송단위인 패킷을 복제하여 가져오는 것을 의미한다.

침입탐지시스템(IDS)은 Intrusion Detection System의 약자로써 상기 오픈플로우 스위치로부터 전달된 트래픽을 분석하고, 이상트래픽으로부터 탐지정보를 추출하며, 상기 탐지정보를 SDN 컨트롤러로 전달할 수 있다.

SDN 컨트롤러는 상기 침입탐지시스템(IDS)로부터 전달받은 탐지정보를 기반으로 차단 플로우를 생성할 수 있고, 생성된 차단 플로우를 오픈플로우 스위치에 설정할 수 있다.

여기에서 차단 플로우가 설정된 오픈플로우 스위치는 상기 차단 플로우를 기반으로 유입되고 있는 이상트래픽을 차단하도록 구성될 수 있다.

상기 네트워크 공격 차단부(200)의 자세한 설명은 도 2에서 후술한다.

마이크로 서버 관리 시스템(300)은 마이크로 서버에서 필요한 관리 요소에 대하여 관리대상을 정의하고, 정의된 관리대상을 통하여 설정, 상태, 장애 및 제어에 용이하게 대처할 수 있도록 하는 구성으로써, 본 출원인이 출원한 특허 제10-2015-0069672호(소사업자용 마이크로 서버 관리 시스템)의 기술적 사항이 적용될 수 있다.

또한, 상기 마이크로 서버 관리 시스템(300)은 상기 네트워크 공격 차단부(200)로부터 차단된 이상트래픽을 제외한 정상트래픽만을 유입하여 원격으로 마이크로 서버를 자동 등록하고 관리할 수 있도록 한다.

도 2는 본 발명에 따른 SDN 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템의 네트워크 공격 차단부의 구성요소를 도시한 도면이다.

도 2에 따른 본 발명은 플로우등록조회부(210), 모니터링부(220), 침입분석부(230), 침입정보추출부(240), 침입차단부(250) 및 스위치설정부(260)을 포함하여 구성될 수 있다.

플로우등록조회부(210)는 스위치 목록에 플로우가 등록되었는지 확인하는 기능을 수행할 수 있는데, 이는 클라우드 기반 SDN 컨트롤러인 OpenIRIS을 통해 확인할 수 있다.

플로우등록조회부(210)를 통해 오픈플로우 스위치 등록이 확인되면 사용자 원격 단말(마이크로 서버)부(100)로부터 유입되는 2종류의 트래픽(정상트래픽 및 이상트래픽)을 패킷 미러링하여 침입탐지 시스템(IDS)로 전달할 수 있다.

모니터링부(220)는 마이크로 서버 또는 해커 서버로부터 유입된 정상트래픽 또는 이상트래픽을 모니터링하는 기능을 수행할 수 있다.

여기에서 상기 트래픽 유입 확인은 침임탐지시스템(IDS)에 접속하여 확인할 수 있다.

침입분석부(230)는 홈네트워크 침입 및 공격 여부를 분석하기 위한 것으로서, 상기 모니터링부(220)에서 모니터링 된 트래픽의 패턴이 홈네트워크에 대한 침입 및 공격에 해당하는 패턴일 경우 분석을 수행할 수 있다.

일 예로, 모니터링부(220)에서 모니터링 된 트래픽의 IP나 MAC주소가 변경된 것이거나 이상이 있는 경우, 이를 네트워크의 침입이나 공격에 해당하는 트래픽 패턴으로 간주하고, 침입분석부(230)를 활성화시킬 수 있다.

설계조건에 따라서 상기 침입분석부(230)는 전달받은 이상트래픽이 구체적으로 어떠한 침입유형이나 공격유형을 갖는지 분석할 수 있고, 분석이 완료된 침입/공격 패턴의 정보들이 지속적으로 업데이트될 수 있다.

침입정보추출부(240)는 상기 침입분석부(230)에서 침입/공격이라고 분석 완료된 이상트래픽의 정보(즉, 탐지정보)를 추출하여 SDN 컨트롤러로 전송하는 기능을 수행할 수 있다.

여기에서 상기 탐지정보는 트래픽 소스 IP를 포함할 수 있다.

침입차단부(250)는 SDN 컨트롤러로 수신된 탐지정보를 기반으로 차단 플로우를 생성할 수 있다.

스위치설정부(260)는 상기 침입차단부(250)에서 생성된 차단 플로우를 오픈플로우 스위치에 설정하고, 이후에 유입되는 이상트래픽을 모두 차단하도록 설정될 수 있다.

도 3은 본 발명에 따른 SDN 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템의 흐름도를 도시한 도면이다.

마이크로 서버는 정상트래픽을 오픈플로우 스위치로 유입시킬 수 있고, 해커 서버는 이상트래픽을 오픈플로우 스위치로 유입시킨다.

오픈플로우 스위치는 상기 마이크로 서버 및 해커 서버로부터 유입된 정상트래픽 및 이상트래픽을 패킷 미러링하여 침입탐지 시스템(IDS)로 전달한다.

침입탐지 시스템(IDS)는 상기 오픈플로우 스위치로부터 전달된 트래픽을 분석하여 탐지정보를 추출하고, 이를 SDN 컨트롤러로 전달한다.

SDN 컨트롤러는 상기 탐지정보를 기반으로 차단 플로우를 생성하고, 차단 플로우를 오픈플로우 스위치에 설정한다.

오픈플로우 스위치는 차단 플로우를 받아 설정하고, 이후에 유입되는 이상트래픽을 차단한다.

또한, 이상트래픽을 차단시킨 후 정상트래픽만을 유입하여 마이크로 서버 관리 시스템을 운용한다.

참고를 위해, 본 시스템에 대한 차단 성능을 확인하기 위한 절차를 서술하면 다음과 같다.

(1)OpenIRIS(http://xxx.xxx.xx.xxx:xxxx)의 홈(Home) 화면을 오픈하여 SWITCHES 목록에 오픈플로우 스위치가 등록되었는지 확인한다.

(2)트래픽 발생기로 트래픽을 발생한다.

(3)IDS(xxx.xxx.xx.xxx)에 접속(ID:xxxx, PW:xxxxxxxx)하여 트래픽 유입을 확인한다.

$ ssh -p 2022 tile

# mpipe-stat -i 1 xgbe3

(4)비정상 트래픽 발생기로 비정상 트래픽을 발생시킨다.

(5)IDS(xxx.xxx.xx.xxx)에 접속(ID:xxxx, PW:xxxxxxxx)하여 트래픽 유입을 확인한다.

$ ssh -p 2022 tile

# mpipe-stat -i 1 xgbe3

(6)IDS(xxx.xxx.xx.xxx)에 접속(ID:xxxx, PW:xxxxxxxx)하여 비정상 트래픽이 검출되었는지 확인한다.

$ cd /opt/tile-suricata/tile/var/log/backup

$ ls -l alert.json.*

$ wc -l alert.json.*

(7)OpenIRIS의 홈(Home) 화면을 오픈하여 IPS FLOW 목록에 플로우(flow) 별 패킷(packets)을 확인한다.

(8)비정상 트래픽 소스 IP가 차단 목록(IPS FLOW)에 등록되고, 이후 해당 소그 IP로부터 발생하는 패킷(packets)이 차단되면 성공으로 판단한다.

한편, 상기에서 도 1 내지 도 3을 이용하여 서술한 것은, 본 발명의 주요 사항만을 서술한 것으로, 그 기술적 범위 내에서 다양한 설계가 가능한 만큼, 본 발명이 도 1 내지 도 3의 구성에 한정되는 것이 아님은 자명하다.

100 : 사용자 원격 단말(마이크로 서버)부 200 : 네트워크 공격 차단부
210 : 플로우등록조회부 220 : 모니터링부
230 : 침입분석부 240 : 침입정보추출부
250 : 침입차단부 260 : 스위치설정부
300 : 마이크로 서버 관리 시스템

Claims (5)

1. 정상트래픽 또는 이상트래픽을 발생시키는 사용자 원격 단말(마이크로 서버)부, 상기 사용자 원격 단말(마이크로 서버)부로부터 유입된 트래픽을 탐지하여 이상트래픽을 차단하는 네트워크 공격 차단부 및 상기 사용자 원격단말을 관리하는 마이크로 서버 관리 시스템를 포함하는 마이크로 서버 관리 시스템 보호를 위한 SDN(software defined network)기반 네트워크 공격 차단 시스템에 있어서,
   상기 네트워크 공격 차단부는,
   오픈플로우 스위치 등록이 확인되면 상기 사용자 원격단말로부터 유입되는 트래픽을 패킷 미러링하여 침입탐지시스템(IDS : Intrusion Detection System)으로 전달하는 플로우등록조회부;
   상기 침입탐지시스템에 접속하여 상기 트래픽의 유입을 모니터링하며, 모니터링되는 트래픽의 패턴이 침입 및 공격에 해당하는 패턴으로 판단되면, 이상트래픽을 전송하는 모니터링부;
   상기 모니터링부의 이상트래픽 판단시 활성화되어 상기 이상트래픽을 수신받아 침입유형 또는 공격유형을 분석하는 침입분석부;
   상기 침입분석부에서 분석된 이상트래픽의 탐지정보를 추출하여 SDN 컨트롤러로 전송하는 침입정보추출부;
   상기 SDN 컨트롤러로부터 상기 이상트래픽의 탐지정보를 수신하여 차단플로우를 생성하는 침입차단부; 및
   상기 이상트래픽의 탐지정보를 기반으로 생성된 차단플로우를 오픈플로우 스위치에 설정하는 스위치설정부를 포함하고,
   상기 차단플로우가 설정된 오픈플로우 스위치는 이후 트래픽 유입시 차단플로우에 매칭되는 이상트래픽을 차단하고, 매칭되지 않은 트래픽의 경우 트래픽분석을 통해 정상트래픽인 경우에만 유입하여 마이크로서버관리시스템으로 전달하며,
   상기 마이크로 서버 관리 시스템은,
   상기 네트워크 공격 차단부로부터 차단된 이상트래픽을 제외한 정상트래픽만을 유입하여 원격으로 마이크로 서버를 자동 등록하고 관리할 수 있는 것을 특징으로 하는 SDN 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템.
2. 삭제
3. 삭제
4. 삭제
5. 삭제

Images