KR101901628B1 - 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템 - Google Patents

트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템 Download PDF

Info

Publication number
KR101901628B1
KR101901628B1 KR1020180087538A KR20180087538A KR101901628B1 KR 101901628 B1 KR101901628 B1 KR 101901628B1 KR 1020180087538 A KR1020180087538 A KR 1020180087538A KR 20180087538 A KR20180087538 A KR 20180087538A KR 101901628 B1 KR101901628 B1 KR 101901628B1
Authority
KR
South Korea
Prior art keywords
address
virtual
private
traffic
server
Prior art date
Application number
KR1020180087538A
Other languages
English (en)
Inventor
박승호
Original Assignee
박승호
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 박승호 filed Critical 박승호
Priority to KR1020180087538A priority Critical patent/KR101901628B1/ko
Application granted granted Critical
Publication of KR101901628B1 publication Critical patent/KR101901628B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • H04L47/125Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0894Packet rate
    • H04L61/2007
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/6022
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템에 관한 것으로서, 더욱 상세하게는 내부 네트워크 또는 외부 네트워크에서 전송되는 트래픽이 설정이상으로 판단되면 가상의 네트워크 그룹으로 트래픽을 분산하여 전송함으로써, 내부 또는 외부에서 송수신되는 트래픽을 분산시킬 수 있는 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템에 관한 것이다.

Description

트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템{INTEGRATED NETWORK SHARING SYSTEM HAVING SECURITY FUNCTION}
본 발명은 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템에 관한 것으로서, 더욱 상세하게는 내부 네트워크 또는 외부 네트워크에서 전송되는 트래픽이 설정이상으로 판단되면 가상의 네트워크 그룹으로 트래픽을 분산하여 전송함으로써, 내부 또는 외부에서 송수신되는 트래픽을 분산시킬 수 있는 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템에 관한 것이다.
다양한 모바일 디바이스의 보급으로 개인 단말기, M2M등 모바일 인터넷 연결수가 폭발적으로 증가하면서 현재 모바일 코어 네트워크의 물리적인 확장으로는 폭증하는 모바일 데이터 트래픽의 처리에 어려운 현실이며 또한 물리적인 확장으로 소요되는 비용, 공간 그리고 관리의 문제점을 가지고 있다.
이러한 문제점을 해결하기 위해, 현재 ITU-R(International Telecommunication Union-Radiocommunication Sector)은 5G 네트워크 기반의 다양한 컨버전스 서비스에 대한 비전을 작성하고 있고, 정부에서도 2014년 1월 미래 이동통신 산업발전전략을 수립하였는바, 그 5대 핵심 서비스로 미래 SNS, 모바일 입체영상, 지능 서비스, 초고속 서비스 및 UHD/홀로그램을 선정한 바 있다.
아울러, 유럽연합, 중국, 일본 및 우리나라 등에서는 5G 네트워크와 서비스를 논의하기 위한 전담기구를 마련하여 사용자에게 기가 비트급 초고속 전송을 제공하는 이동통신 기술의 혁신과 더불어 5G의 상용화 목표 시기인 2020년의 생활상을 반영한 사용자 중심의 5G 서비스에 대한 논의를 진행 중이다.
이러한 추세에 맞추어 사용자 단말로부터의 트래픽을 효율적으로 분산 처리하기 위한 기술로서, 등록특허공보 제10-1600282호에 이동통신 시스템에서 UE 트래픽 분산 처리를 위한 MAC 분배 방법이 개시되었다.
상기 기술은 기지국 셀을 분할하는 하나 이상의 빔 스폿을 커버하는 모뎀 복수개 및 모뎀을 관할하는 MAC 복수개를 구비하고, 복수의 MAC이, 상호 연결되어 있는 2개 이상의 MAC을 포함하는 하나 이상의 MAC 그룹으로 그룹핑된 이동통신 시스템의 기지국에 적용되되, 동일 MAC 그룹에 속한 각 MAC이 자기 관할의 UE의 개수 및 모든 UE의 총 트래픽량을 확인하는 (a) 단계; 상기 (a)확인한 정보에 의거하여 분배 조건 및 피분배 조건을 각각 충족하는 총 트래픽량을 갖는 MAC이 존재하는지를 판단하는 (b) 단계; 상기 (b) 단계에서의 판단 결과, 총 트래픽량이 분배 조건 및 피분배 조건을 각각 충족하는 MAC이 존재하는 경우에 상기 분배 조건을 초과하는 MAC의 트래픽을 상기 피분배 조건을 충족하는 MAC에게 분배하는 (c) 단계로 이루어지는 것을 특징으로 한다.
그러나 기가 비트급 초고속 전송인 5G 서비스는 외부 네트워크 사이의 전송 서비스인 것인 반면, 내부 네트워크 사이의 전송 서비스는 한계에 머물러 있는 실정이다. 즉, 외부 네트워크 사이의 초당 전송속도는 광통신을 이용하여 비약적으로 증가하는 추세이나, IP공유기로 묶여진 내부 네트워크 사이의 전송속도는 IP공유기와 단말기의 처리속도에 결정되는 문제점이 있다.
예를 들어, 서비스 서버로부터 전송된 패킷은 광통신을 통해 모뎀을 거쳐 IP공유기를 통해 전달되는 데, IP공유기와 단말기의 전송 속도는 설정된 유선 또는 무선 전송량 및 데이터 처리 속도에 의해 결정되기 때문에, 내부 네트워크 내에서의 병목 현상이 발생되는 문제점이 있다.
이에 더하여, 악의적인 목적을 가진 제3자가 공중 인터넷망을 통해 단말기에 제공되는 서비스를 변형시키거나 단말기로 제공되는 IP 주소를 변경시키거나, DDos와 같은 IP 주소의 공격, 또는 사용자 그룹 형태로 묶인 단말에 할당된 IP 주소를 가로채는 경우에는, 단말기를 사용하지 못하거나 단말기에 저장된 주요 정보가 유출되는 문제점이 있다.
이를 위해, 트래픽을 암호화하거나 별도의 VPN 장비를 설치하여 서비스를 제공하고 있으나, VPN 헤더나 트래픽 암호화에 따른 통신 속도가 보장되지 않고, 고비용의 별도의 장비 설치에 따른 비용이 부과되는 단점이 있다.
가상머신의 복제를 통해 서비스를 제공하기 위한 기술로서, 등록특허공보 제10-1703491호에 클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템이 개시되었다.
상기 기술은 트래픽이 소정 공격레벨 이상이거나 공격패턴인 경우, 클라우드 시스템 내의 제2서버가 제1가상머신을 복제한 제2가상머신을 생성하고, 클라우드 시스템 내의 제3서버가 상기 제1가상머신을 이주한 제3가상머신을 생성하여, 제1가상머신에서 제공하던 서비스를 제3가상머신이 제공하는 것을 특징으로 한다.
그러나 제3자에 의한 공격패턴은 동시 다발적으로 네트워크 내의 모든 단말기(또는 서버)가 공격대상이 될 수 있으므로, 상기의 기술에 제1 내지 제3 서버가 동시에 외부의 공격을 받으면, 가상서버 복제를 수행할 수 없는 문제점이 있다.
한편, 외부에서 제3자에 의한 악의적인 공격은 Foot Printing, Scanning, Enumeration, Gaining Access, Escalation Privilege, Pilfering, Covering Track 및 Creating Backdoor 순으로 이루어지는데, 제1 단계인 Foot Printing은 공격을 시도할 지역 혹은 사이트에 관한 정보를 수집하는 것이다. 이때, 일반적인 수집정보는 Domain name, IP address, Access control list, 침입탐지·방화벽 구축여부, 시스템 사용자 목록, 시스템 H/W 사양, 사용 중인 Network Protocol, 인증 메커니즘 등으로 이루어진다.
즉, 해킹 공격은 제1 단계인 Foot Printing에서 네트워크 내부에 접속된 단말기의 IP주소에 근거하여 이루어짐에 따라, IP주소의 노출은 신중하게 이루어져야 한다.
KR 10-1600282 B1 (2016. 02. 29.) KR 10-1703491 B1 (2017. 02. 01.)
본 발명은 상기 종래기술이 갖는 문제점을 해소하기 위하여 창출된 것으로서, 본 발명에서 해결하고자 하는 과제는, 외부에서 수신된 대용량의 데이터를 분산하여 신속하게 수신하면서, 내부 네트워크에서 송수신되는 데이터를 분할하여 분산 전송함에 따라 내부 네트워크의 트래픽 부담을 감소시킬 수 있는 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템을 제공하는 데 있다.
또한, 외부 제3자의 침입에 대해 내부 단말기를 보호하면서, 침입자에 대한 해킹 기술을 검출하고, 검출된 해킹 기술을 분석하여 대응계획을 수립할 수 있는 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템을 제공하는 데 있다.
상기의 과제를 해결하기 위하여 본 발명에 따른 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템은 근거리 통신망(LAN)과 광역 통신망(WAN)을 연결하는 IP공유기와 상기 근거리 통신망에 연결되는 가상서버를 포함하고, 상기 IP공유기는 상기 근거리 통신망에 접속된 단말기들의 사설IP주소를 검출하는 사설IP검출부; 상기 사설IP검출부로부터 검출된 사설IP주소에 대응하여 가상IP주소를 생성하고, 생성된 상기 가상IP주소에 대응하는 네트워크 그룹을 생성하는 가상IP생성부; 일정시간 동안 누적된 패킷량에 의한 트래픽 측정 정보를 축적하는 트래픽 측정부; 상기 트래픽 측정부에서 측정된 패킷량이 설정된 패킷량을 초과하는 경우 패킷을 분산시키는 트래픽 분산부; 및 유선처리모듈과 무선처리모듈을 포함하는 송수신부를 포함하여 구성되고, 상기 가상서버는 생성된 상기 가상IP주소에 대응하는 가상사설서버(VPS)를 생성하며, 상기 분산부는 패킷이 송신되는 타겟 단말기의 사설IP주소를 검출하는 타겟사설IP주소검출모듈; 상기 타겟 사설IP주소 검출모듈에서 검출된 사설IP주소에 대응하는 가상IP주소의 가상사설서버로 패킷을 분할하여 전송하는 패킷분할전송모듈; 및 상기 패킷에 포함된 멀웨어(malware)를 검출하고, 검출된 멀웨어에 대해 미리 정해진 알고리즘을 수행하는 멀웨어처리모듈을 포함하는 것을 특징으로 한다.
상기 IP공유기는 상기 근거리 통신망에 접속된 단말기의 사설IP주소를 검출하고, 검출된 사설IP주소와 중복되지 않도록 임의의 가상IP주소를 생성하며, 생성된 상기 가상IP주소에 대응하는 가상 네트워크 그룹을 생성하고, 상기 광역 통신망(WAN)으로부터 상기 단말기의 MAC 주소 응답을 생성된 상기 가상IP주소로 응답하도록 구성되는 것을 특징으로 한다.
또한, 상기 가상서버는 생성된 상기 가상IP주소에 대응하는 가상사설서버(VPS)를 생성하고, 생성된 상기 가상사설서버(VPS)의 할당된 디스크에 상기 단말기의 일부 파일을 복제하여 저장하며, 상기 IP공유기의 상기 트래픽 측정부에서 측정된 트래픽이 소정의 공격레벨 이상이거나 공격패턴인 것으로 판단되면 상기 IP공유기를 통해 공격 대상의 단말기에 대한 로그정보를 검출하여 저장 관리하는 것을 특징으로 한다.
본 발명에 의하면, 내부 네트워크 내에서 발생하는 병목 현상에 의한 트래픽의 과부하를 방지할 수 있고, 내부 네트워크 내에서 단말기 사이에 송수신되는 데이터를 분할하여 송수신함에 따라 트래픽 전송량이 비교적 적은 단말기의 통신 속도를 보장할 수 있는 장점이 있다.
또한, 외부에서 IP주소의 요청에 대해 생성된 가상IP주소로 응답하여 실제 네트워크에 접속된 단말기의 사설IP주소가 블라인드 처리되면서 공격 대상에서 제외됨에 따라 외부로부터의 공격을 최소화할 수 있는 장점이 있다.
도 1은 본 발명에 따른 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템의 전체적인 구성도.
도 2는 본 발명에 따른 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템에 적용된 트래픽 분산부의 구성도.
도 3은 본 발명에 따른 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템에 적용된 트래픽 분산부의 구성도.
도 4는 본 발명에 따른 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템에 적용된 가상서버의 구성도.
도 5는 본 발명에 따른 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템이 적용된 패킷의 송수신 흐름도.
이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예를 더욱 상세하게 설명한다.
본 발명은 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템에 관한 것으로서, 더욱 상세하게는 내부 네트워크 또는 외부 네트워크에서 전송되는 트래픽이 설정이상으로 판단되면 가상의 네트워크 그룹으로 트래픽을 분산하여 전송함으로써, 내부 또는 외부에서 송수신되는 트래픽을 분산시킬 수 있는 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템에 관한 것이다.
도 1은 본 발명에 따른 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템의 전체적인 구성도를 나타낸 도면이다.
첨부된 도 1을 참조하면, 본 발명에 따른 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템은 단말기(10)를 포함하는 사용자 단말기 그룹(10a), 가상사설서버(11, VPS)를 포함하는 가상 단말기 그룹(11a), IP공유기(100), 가상서버(200) 및 모뎀(300)을 포함하여 구성된다.
사용자 단말기 그룹(10a)은 단말기(10)들의 집합체로서, IP공유기(100)에 묶여져 내부 네트워크를 형성한다.
이때, 상기 단말기(10)는 유선 또는 무선으로 상기 IP공유기(100)에 접속되는 사용자 클라이언트로서, 개인 컴퓨터 및 모바일기기 등을 포함한다.
가상 단말기 그룹(11a)은 가상서버(200)의 하이퍼바이저(Hyperviser)에 생성된 가상사설서버(11, VPS)들의 집합체로서, 상기 사용자 그룹(10a)의 단말기(10)와 1:1로 대응한 동일한 네트워크로 이루어지되, 하기에서 설명될 로그정보를 검출하여 저장 관리하는 DB VPS(DB Virtual Private Server)를 더 포함하여 이루어질 수 있다.
IP공유기(100)는 근거리 통신망(LAN, Local area network)과 광역 통신망(WAN, wide area network)을 연결하는 기능을 수행하는 것으로서, 사설IP주소와 공인IP주소를 상호 변환하여 출력하는 기능을 수행한다.
이때, 상기 IP공유기(100)에는 복수의 단말기(10)가 접속되며, 접속되는 단말기에는 사설IP주소가 할당된다. 상기 사설IP주소는 내부 네트워크에 부여된 범위내에서 이루어진다.
이러한 IP공유기(100)에 접속된 단말기에는 사설IP주소가 각각 할당되고, 상기 단말기에 사설IP주소가 할당된 상태에서 외부 네트워크와의 통신은 IP공유기(100)에 설정된 공인IP주소를 통해 연결되게 된다.
즉, 단말기 각각은 IP공유기를 통해 내부 네트워크 안에서는 사설IP주소를 이용하여 공유되나 외부와의 통신은 할당된 공인IP주소를 이용하게 된다. 이에, 할당된 1개의 공인IP주소를 통해 복수의 단말기가 외부 네트워크에 연결될 수 있어, IP주소의 부족 현상을 다소 해소할 수 있게 된다.
도 2는 본 발명에 따른 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템에 적용된 IP공유기의 구성을 나타낸 도면이다.
첨부된 도 2를 참조하면, 본 발명에 따른 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템에 적용된 IP공유기(100)는 사설IP검출부(110), 가상IP생성부(120), 트래픽 측정부(130), 트래픽 분산부(140) 및 송수신부(150)를 포함하여 이루어진다.
사설IP검출부(110)는 근거리 통신망(LAN)에 접속된 단말기들의 사설IP주소를 검출한다.
사설IP주소는 예를 들면, 192.168.0.0 ~ 192.168.255.255의 범위 내에서 할당될 수 있으며, 일반적으로 192.168.0.2 ~ 192.168.0.255의 범위 내에서 이루어진다. 이때, IP공유기(100)의 사설IP주소는 192.168.0.1로 정해질 수 있으며, 공인IP주소는 ISP(Internet Service Provider)에서 할당된 주소로 설정된다.
상기 사설IP검출부(110)에서 검출되는 정보에는 MAC 주소, 사설IP주소 및 포트정보 등으로 구성될 수 있다.
가상IP생성부(120)는 상기 사설IP검출부(110)로부터 검출된 사설IP주소에 대응하여 가상IP주소를 생성하고, 생성된 상기 가상IP주소는 가상 단말기 그룹(11a)을 생성하는 데 사용된다.
상기 가상IP생성부(120)를 통해 생성되는 가상IP주소는 상기 사설IP검출부(110)에서 검출된 사설IP주소와 중복되지 않는 범위 내에서 임의의 IP주소로 이루어진다.
이때, 상기 가상IP생성부(120)에서 생성된 가상IP주소는 가상서버(200)에서 생성되는 가상사설서버(VPS, Virtual Private Server)의 IP주소로 할당된다.
트래픽 측정부(130)는 일정시간 동안 누적된 패킷량에 의한 트래픽 측정 정보를 축적하는 것으로서, 소정의 시간 동안 패킷량을 측정하여 출력한다.
해킹 방식의 하나로서 여러 대의 공격자를 분산 배치하여 동시에 서비스 거부 공격(Denial of Service attack;DoS)을 함으로써 시스템이 더 이상 정상적 서비스를 제공할 수 없도록 만드는 DDoS가 있으며, 이는 서비스 공격을 위한 도구들을 여러 대의 컴퓨터에 심어놓고 공격 목표인 서버(또는 단말기)에서 처리할 수 없을 정도로 엄청난 분량의 패킷을 동시에 범람시킴으로써 네트워크의 성능을 저하시키거나 시스템을 마비시키는 방식이다.
즉, 상기 트래픽 측정부(130)는 DDoS와 같은 패킷을 이용한 해킹을 감지하기 위한 것으로서, 필요에 따라 내부 네트워크에서 요청하지 않은 외부에서의 일방적으로 전송되는 패킷량을 검출하도록 구성될 수 있다.
필요에 따라 상기 트래픽 측정부(130)는 해킹을 탐지할 수 있는 알고리즘을 탑재하여 트래픽 뿐만 아니라 외부 사용자의 악의적인 접근을 검출할 수 있도록 구성될 수 있다.
트래픽 분산부(140)는 상기 트래픽 측정부(130)에서 측정된 패킷량이 설정된 패킷량을 초과하는 경우 패킷을 분산시키는 기능을 수행한다.
부연하면, 상기 트래픽 분산부(140)는 외부에서 전송되는 패킷을 분할하고, 분할된 패킷의 일부는 타겟 단말기로 전송되게 하며, 분할된 나머지 패킷은 가상 단말기 그룹(11a) 내에 위치한 상기 타겟 단말기에 대응하는 가상사설서버(11)로 전송되어 트래픽을 분산시킨다.
도 3은 본 발명에 따른 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템에 적용된 트래픽 분산부의 구성을 나타낸 도면이다.
첨부된 도 3을 참조하면, 본 발명에 따른 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템에 적용된 트래픽 분산부(140)는 패킷이 송신되는 타겟 단말기의 사설IP주소를 검출하는 타겟사설IP주소검출모듈(141), 상기 타겟 사설IP주소 검출모듈에서 검출된 사설IP주소에 대응하는 가상IP주소의 가상사설서버로 패킷을 분할하여 전송하는 패킷분할전송모듈(142) 및 상기 패킷에 포함된 멀웨어(malware)를 검출하고, 검출된 멀웨어에 대해 미리 정해진 알고리즘을 수행하는 멀웨어처리모듈(143)을 포함하여 구성된다.
즉, 상기 트래픽 분산부(140)는 전송되는 패킷을 분할하여 일부는 타겟 단말기로 직접 전송하도록 제어하고, 나머지는 타겟 단말기에 대응되는 가상사설서버로 전송되어 저장되며, 패킷 전송이 완료되면 가상사설서버에 저장된 패킷을 상기 타겟 단말기로 전송하도록 구성된다.
이때, 패킷이 전송된 최종 목적지의 타겟 단말기는 직접 전송된 패킷과 일부가 가상사설서버에 저장되었다가 전송된 패킷을 결합하여 데이터의 무결성 검증을 수행하도록 구성될 수 있다.
전송된 데이터의 무결성 검증을 위해 hash값, hash값이 포함된 파일, 암호, 인증서 중 하나 이상을 추가로 이용할 수 있다. 즉, 서비스 서버(20)에서 정의하는 소정의 프로토콜을 이용하여 상기 단말기(10)의 요청에 의해 상기 서비스 서버(20)로부터 수신되는 응답을 통해 이루어질 수 있다.
또한, 상기 트래픽 분산부(140)의 멀웨어처리모듈(143)은 패킷에 포함된 멀웨어(malware)를 검출하고, 검출된 멀웨어에 대해 미리 정해진 알고리즘을 수행하는 것으로서, 멀웨어의 송수신을 차단하도록 구성될 수 있다.
즉, 상기 멀웨어처리모듈(143)은 응용프로그램별로 소정의 보안 특성을 유지하는 상태에서, 상기 IP공유기(100)를 통해 송수신되는 패킷을 수집하고 수집된 패킷의 특성을 분석하여 해당하는 응용 프로그램을 검색하고, 검색된 응용 프로그램의 보안 특성을 상기 패킷과 비교하여 유해성 여부를 판단하여, 판단 결과 유해하면 폐기하고 무해하면 응용 프로그램으로의 전달을 진행하는 방식으로 이루어질 수 있다.
필요에 따라, 상기 멀웨어처리모듈(143)은 판단 결과 바이러스 또는 유해사이트인 것으로 판단되면, 소정의 보안 특성을 응용 프로그램에 제공하여 독립적으로 치료 또는 복구되도록 구성하거나 송수신되는 패킷을 삭제하도록 구성될 수 있다. 또한, 유해사이트인 것으로 판단되면 해당 사이트의 도메인 주소를 저장 관리하여, 단말기에서 상기 저장된 유해사이트의 접속요청에 대해 유해사이트임을 안내하도록 구성될 수 있다.
송수신부(150)는 근거리 통신망과 광역 통신망 사이의 송수신 데이터를 제어하고, 사설IP주소와 공인IP주소를 상호 변환하는 기능을 수행하는 것으로서, 단말기의 유/무선 접속 형태에 따라 유선처리모듈(151)과 무선처리모듈(152)을 포함하여 구성된다.
상기 유선처리모듈(151)과 무선처리모듈(152)은 LAN 제어유닛, WAN 제어유닛 및 NAT(Network Address Translation) 제어유닛을 포함하여 이루어진다.
LAN 제어유닛은 근거리 통신망을 통해 단말기로부터 수신되는 데이터와 송신되는 데이터를 제어하고, WAN 제어유닛은 광역 통신망을 통해 외부로부터 수신되는 데이터와 송신되는 데이터를 제어한다.
또한, NAT 제어유닛은 사설IP주소를 공인IP주소로 변환하거나 공인IP주소를 사설IP주소로 상호 변환하는 기능을 수행한다. 이때, 본 발명의 가상IP생성부(120)에서는 검출된 사설IP주소를 가상IP주소로 변환하여 외부 요청에 응답하기 때문에, 상기 NAT 제어유닛은 가상IP주소를 공인IP주소로 변환하거나 공인IP주소를 가상IP주소로 상호 변환하는 기능을 수행한다.
이에, 상기 NAT 제어유닛은 제1 NAT와 제2 NAT를 포함한다.
상기 제1 NAT는 사설IP검출부에서 검출된 사설IP주소를 공인IP주소로 변환하거나 공인IP주소를 사설IP주소로 변환한다.
상기 제2 NAT는 가상IP생성부에서 생성된 가상IP주소를 공인IP주소로 변환하거나 공인IP주소를 가상IP주소로 변환한다.
이때, 상기 NAT 제어유닛에는 송수신되는 패킷의 IP주소에 근거하여 상기 제1 NAT와 제2 NAT의 경로를 설정하는 L2 스위치가 구성될 수 있다.
이에, 단말기(10)가 유선으로 IP공유기(100)와 연결된 경우 단말기(10)와 IP공유기(100)는 유선처리모듈(151)의 LAN 제어유닛, WAN 제어유닛 및 NAT 제어유닛을 통해 내부 및 외부와 통신을 수행하고, 단말기(10)가 무선으로 IP공유기(100)와 연결된 경우 단말기(10)와 IP공유기(100)는 무선처리모듈(152)의 LAN 제어유닛, WAN 제어유닛 및 NAT 제어유닛을 통해 내부 및 외부와 통신을 수행하도록 구성된다.
필요에 따라 상기 제2 NAT는 트래픽 측정부(130)의 검출정보 또는 트래픽 분산부(140)의 멀웨어 검출모듈(143)에서 검출된 정보에 근거하여 활성화되도록 구성될 수 있다.
부연하면, 트래픽 측정부(130)의 검출정보 결과 트래픽량이 정상범위에 있거나 패킷에 멀웨어가 포함되지 않은 것으로 판단되면, 제1 NAT를 통해서만 통신되도록 구성될 수 있다.
가상서버(200)는 근거리 통신망에 연결되고 하나의 물리적 서버를 복수 개의 가상사설서버(VPS, Virtual Private Server)로 사용할 수 있도록 가상화된 서버이다.
도 4는 본 발명에 따른 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템에 적용된 가상서버의 구성을 나타낸 것이다.
일반적인 가상서버는 서버 1대에 들어가는 물리적 시스템 자원을 복수 개의 가상사설서버(VPS)로 분할하여 개별적으로 운용될 수 있도록 제공하는 것으로서, 사용자가 직접 권한을 가지고 할당된 자원을 자유롭게 운영할 수 있도록 구성되나, 본 발명에서의 가상서버는 외부 제3자에 의한 공격 대상이 되도록 구성되는 것으로서, 가상사설서버를 생성/삭제하는 전문 소프트웨어인 하이퍼바이저(Hyperviser)에 의해 생성되고 1개의 가상사설서버는 운영체제(OS), 메모리, CPU, 물리적 공간(디스크)을 포함하여 구성된다.
이때, 상기 가상서버(200)에서 분할되어 생성된 가상사설서버 각각의 MAC 주소로는 가상IP생성부(120)에서 생성된 가상IP주소가 이용된다.
또한, 상기 가상서버(200)에서 생성되는 가상사설서버에 할당된 물리적 공간에는 단말기(10)로부터 수신된 소정의 파일들이 복제되어 저장된다.
부연하면, 가상서버(200)에서 생성된 가상사설서버는 하나의 가상 단말기로 외부에 노출된다.
이러한 구성에서, 상기 가상서버(200)에서 생성된 적어도 하나의 가상사설서버는 상기 IP공유기(100)의 트래픽 측정부(130)에서 측정된 트래픽이 소정의 공격레벨 이상이거나 공격패턴인 것으로 판단되면 상기 IP공유기를 통해 공격 대상의 단말기에 대한 로그정보를 검출하여 저장 관리하는 DB VPS(DB Virtual Private Server)로 동작된다.
모뎀(300)은 외부 서비스 서버(20, 예를 들면 인터넷에 연결된 서버 등)와 연결되어 통신을 수행한다.
도 5는 본 발명에 따른 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템이 적용된 패킷의 송수신 흐름을 나타낸 도면이다.
첨부된 도 5를 참조하면, 외부 네트워크에서 전송된 패킷 또는 내부 네트워크에서 송수신되는 패킷량이 설정된 패킷량을 초과하면, 패킷의 일부는 타겟 단말기에 대응되는 가상 단말기 그룹(11a)의 가상사설서버로 전송되고, 나머지 일부는 직접 타겟 단말기로 전송된다. 분할된 패킷이 타겟 단말기와 가상사설서버로 전송이 완료되면, 가상사설서버에 전송된 패킷의 일부는 다시 가상사설서버에서 타겟 단말기로 전송되고, 패킷 전송이 모두 완료되면 타겟 단말기는 수신된 패킷을 결합한 후, 무결성 검증을 통해 수신된 패킷의 진위 여부를 검출한다.
뿐만 아니라, 상기 사용자 단말기 그룹(10a)에 포함된 단말기에서 서비스 서버(20)로의 대용량 패킷 전송시에도 상기 가상 단말기 그룹(11a)의 가상사설서버가 이용될 수 있다.
다음으로, 본 발명에 따른 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템을 이용한 보안 방법에 대해서 설명한다.
IP공유기(100)의 사설IP검출부(110)는 접속된 단말기(10)의 사설IP주소를 검출한다. 필요에 따라 IP공유기(100)는 접속을 요청하는 단말기(10)에 사설IP주소를 할당하도록 구성될 수 있다.
검출된 사설IP주소는 별도의 메모리에 저장관리된다.
가상IP생성부(120)는 상기 사설IP검출부(110)에서 검출된 사설IP주소와 중복되지 않은 가상IP주소를 생성하고, 생성된 가상IP주소를 가상서버(200)에 전송한다.
이에, 가상서버(200)는 가상IP생성부(120)로부터 수신된 가상IP주소에 근거하여 가상사설서버를 생성하고, 생성된 가상사설서버에 상기 단말기의 일부 파일을 복제하여 저장한다.
이 상태에서, IP공유기(100)는 생성된 가상사설서버들을 그룹화하여 가상IP주소에 대응하는 가상 단말기 그룹을 생성하여 저장 관리한다.
트래픽 측정부(130)는 일정시간 동안 누적된 패킷량에 의한 트래픽 측정 정보를 축적하고, 소정의 시간 동안 패킷량을 측정하여 출력한다.
송수신부(150)의 NAT 제어유닛은 상기 트래픽 측정부(130)에서 패킷량의 측정 결과, 측정된 트래픽이 소정의 공격레벨 미만이거나 공격패턴이 아닌 것으로 판단되면 제1 NAT를 활성화시키고, 활성화된 제1 NAT를 통해 단말기(10)의 사설IP주소를 공인IP주소로 변환하거나 외부에서 송신되는 공인IP주소를 사설IP주소로 변환하여 단말기(10)가 외부 서비스 서버(20)와 통신하도록 한다.
또한, 송수신부(150)의 NAT 제어유닛은 상기 트래픽 측정부(130)에서 패킷량의 측정 결과, 측정된 트래픽이 소정의 공격레벨 이상이거나 공격패턴인 것으로 판단되면 제2 NAT를 활성화시키고, 활성화된 제2 NAT를 통해 가상IP생성부에서 생성된 가상IP주소를 공인IP주소로 변환하여 응답하도록 한다.
이에, 외부의 허가되지 않은 트래픽 또는 공격은 가상서버에서 생성된 가상사설서버를 공격하게 되고, 공격에 따른 로그정보는 상기 가상서버에서 생성된 별도의 가상사설서버에 기록되어 저장된다.
이러한 구성에서, IP공유기는 허가되지 않은 외부 사용자의 IP주소 요청에 대해 가상IP주소로 응답하여 외부에서의 네트워크 공격, 의도하지 않은 트래픽 공격 또는 해킹 공격을 가상 네트워크 그룹에 속한 단말기로 유도할 수 있으며, 실제 단말기(10)들의 사설IP주소는 블라인드 처리되어 외부에 노출되지 않기 때문에 해킹 공격 등으로부터 보호할 수 있게 된다.
본 발명에 의하면, 가상 단말기 그룹은 트래픽을 분산하는 기능과 보안 기능을 동시에 수행한다.
부연하면, 가상 단말기 그룹은 허가된 트래픽을 초과하는 경우, 트래픽에 대한 패킷은 분산하여 임시적으로 저장하는 데이터 베이스로 활용되고, 외부의 제3자에 의한 트래픽 공격에 대해서는 공격 대상으로 응답하여 사용자 단말기 그룹의 실제 단말기를 보호하는 기능을 수행한다.
이에 따라, 내부 네트워크의 트래픽에 의한 병목현상을 최소화할 수 있고, 실제 단말기의 사설IP주소가 블라인드 처리됨에 따라 공격 대상에서 제외되어 외부로부터의 공격이 최소화될 수 있는 장점이 있다.
또한, 외부 제3자의 공격은 가상에서 생성된 가상사설서버(VPS)에서 이루어지게 되어 단말기를 외부 공격으로부터 보호할 수 있고, 가상사설서버(VPS)에서 제3자에 의한 해킹 과정이 로그파일로 저장됨에 따라 공격패턴에 대한 대응전략을 수립할 수 있는 자료로 활용할 수 있는 장점이 있다.
이상에서 본 발명의 바람직한 실시 예를 설명하였으나, 본 발명의 권리범위는 이에 한정되지 아니하며 본 발명의 실시 예와 실질적으로 균등한 범위에 있는 것까지 본 발명의 권리범위가 미치는 것으로 이해되어야 하며, 본 발명의 정신을 벗어나지 않는 범위 내에서 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변형 실시가 가능하다.
10: 단말기 10a: 사용자 단말기 그룹
11: 가상사설서버 11a: 가상 단말기 그룹
20: 서비스 서버 100: IP공유기
110: 사설IP검출부 120: 가상IP생성부
130: 트래픽 측정부 140: 트래픽 분산부
150: 송수신부 151: 유선처리모듈
152: 무선처리모듈 200: 가상서버
300: 모뎀

Claims (3)

  1. 근거리 통신망(LAN)과 광역 통신망(WAN)을 연결하는 IP공유기와 상기 근거리 통신망에 연결되는 가상서버를 포함하고,
    상기 IP공유기는,
    상기 근거리 통신망에 접속된 단말기들의 사설IP주소를 검출하는 사설IP검출부;
    상기 사설IP검출부로부터 검출된 사설IP주소에 대응하여 가상IP주소를 생성하고, 생성된 상기 가상IP주소에 대응하는 네트워크 그룹을 생성하는 가상IP생성부;
    일정시간 동안 누적된 패킷량에 의한 트래픽 측정 정보를 축적하는 트래픽 측정부;
    상기 트래픽 측정부에서 측정된 패킷량이 설정된 패킷량을 초과하는 경우 패킷을 분산시키는 트래픽 분산부; 및
    유선처리모듈과 무선처리모듈을 포함하는 송수신부;
    를 포함하여 구성되고,
    상기 가상서버는 생성된 상기 가상IP주소에 대응하는 가상사설서버(VPS)를 생성하며,
    상기 트래픽 분산부는,
    패킷이 송신되는 타겟 단말기의 사설IP주소를 검출하는 타겟사설IP주소검출모듈;
    상기 타겟 사설IP주소 검출모듈에서 검출된 사설IP주소에 대응하는 가상IP주소의 가상사설서버로 패킷을 분할하여 전송하는 패킷분할전송모듈; 및
    상기 패킷에 포함된 멀웨어(malware)를 검출하고, 검출된 멀웨어에 대해 미리 정해진 알고리즘을 수행하는 멀웨어처리모듈;
    을 포함하는 것을 특징으로 하는 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템.
  2. 청구항 1에 있어서,
    상기 IP공유기는 상기 근거리 통신망에 접속된 단말기의 사설IP주소를 검출하고, 검출된 사설IP주소와 중복되지 않도록 임의의 가상IP주소를 생성하며, 생성된 상기 가상IP주소에 대응하는 가상 네트워크 그룹을 생성하고, 상기 광역 통신망(WAN)으로부터 상기 단말기의 MAC 주소 응답을 생성된 상기 가상IP주소로 응답하도록 구성되는 것을 특징으로 하는 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템.
  3. 청구항 1에 있어서,
    상기 가상서버는,
    생성된 상기 가상IP주소에 대응하는 가상사설서버(VPS)를 생성하고, 생성된 상기 가상사설서버(VPS)의 할당된 디스크에 상기 단말기의 일부 파일을 복제하여 저장하며, 상기 IP공유기의 상기 트래픽 측정부에서 측정된 트래픽이 소정의 공격레벨 이상이거나 공격패턴인 것으로 판단되면 상기 IP공유기를 통해 공격 대상의 단말기에 대한 로그정보를 검출하여 저장 관리하는 것을 특징으로 하는 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템.
KR1020180087538A 2018-07-27 2018-07-27 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템 KR101901628B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180087538A KR101901628B1 (ko) 2018-07-27 2018-07-27 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180087538A KR101901628B1 (ko) 2018-07-27 2018-07-27 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템

Publications (1)

Publication Number Publication Date
KR101901628B1 true KR101901628B1 (ko) 2018-11-07

Family

ID=64363031

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180087538A KR101901628B1 (ko) 2018-07-27 2018-07-27 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템

Country Status (1)

Country Link
KR (1) KR101901628B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210157245A (ko) * 2020-06-19 2021-12-28 재단법인대구경북과학기술원 통합보안을 제공하는 시스템 및 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101600282B1 (ko) 2014-12-26 2016-03-07 주식회사 이노와이어리스 이동통신 시스템에서 ue 트래픽 분산 처리를 위한 mac 분배 방법
KR101703491B1 (ko) 2015-03-26 2017-02-22 제노테크주식회사 클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101600282B1 (ko) 2014-12-26 2016-03-07 주식회사 이노와이어리스 이동통신 시스템에서 ue 트래픽 분산 처리를 위한 mac 분배 방법
KR101703491B1 (ko) 2015-03-26 2017-02-22 제노테크주식회사 클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210157245A (ko) * 2020-06-19 2021-12-28 재단법인대구경북과학기술원 통합보안을 제공하는 시스템 및 방법
KR102349858B1 (ko) * 2020-06-19 2022-01-11 재단법인대구경북과학기술원 통합보안을 제공하는 시스템 및 방법

Similar Documents

Publication Publication Date Title
US11888897B2 (en) Implementing decoys in a network environment
Masdari et al. A survey and taxonomy of DoS attacks in cloud computing
JP6965921B2 (ja) ネットワーク機能仮想化システム及び検証方法
JP6175520B2 (ja) コンピュータプログラム、処理方法及びネットワークゲートウェイ
AlSa'deh et al. Secure neighbor discovery: Review, challenges, perspectives, and recommendations
Weaver et al. Very fast containment of scanning worms, revisited
US11297070B2 (en) Communication apparatus, system, method, and non-transitory medium
US20050265351A1 (en) Network administration
CN106572120A (zh) 一种基于混合云的访问控制方法及系统
Aldabbas et al. A novel mechanism to handle address spoofing attacks in SDN based IoT
US11539695B2 (en) Secure controlled access to protected resources
OConnor et al. PivotWall: SDN-based information flow control
KR101911429B1 (ko) 보안 기능을 포함하는 통합 네트워크 공유 시스템
Park et al. Session management for security systems in 5g standalone network
US20230110049A1 (en) Limiting the security impact of compromised endpoint computing devices in a distributed malware detection system
CN115118489A (zh) 用户、设备、IPv6网络地址绑定的网络接入认证系统及方法
Köksal et al. Distributed denial‐of‐service attack mitigation in network functions virtualization‐based 5G networks using management and orchestration
Ahmed et al. Improving security for IPv6 neighbor discovery
KR101901628B1 (ko) 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템
Verma et al. A service governance and isolation based approach to mitigate internal collateral damages in cloud caused by DDoS attack
ElShafee et al. Design and analysis of data link impersonation attack for wired LAN application layer services
Bernardo et al. A pragmatic approach: Achieving acceptable security mechanisms for high speed data transfer protocol-UDT
Mutaher et al. OPENFLOW CONTROLLER-BASED SDN: SECURITY ISSUES AND COUNTERMEASURES.
KR20230139984A (ko) 허니팟을 이용한 악성 파일 탐지 방법 및 이를 이용한 시스템
CN115065548A (zh) 一种增强型网络安全接入区数据管控系统及方法

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant