KR101911429B1 - 보안 기능을 포함하는 통합 네트워크 공유 시스템 - Google Patents

보안 기능을 포함하는 통합 네트워크 공유 시스템 Download PDF

Info

Publication number
KR101911429B1
KR101911429B1 KR1020180087537A KR20180087537A KR101911429B1 KR 101911429 B1 KR101911429 B1 KR 101911429B1 KR 1020180087537 A KR1020180087537 A KR 1020180087537A KR 20180087537 A KR20180087537 A KR 20180087537A KR 101911429 B1 KR101911429 B1 KR 101911429B1
Authority
KR
South Korea
Prior art keywords
address
virtual
private
unit
terminal
Prior art date
Application number
KR1020180087537A
Other languages
English (en)
Inventor
김영홍
Original Assignee
김영홍
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 김영홍 filed Critical 김영홍
Priority to KR1020180087537A priority Critical patent/KR101911429B1/ko
Application granted granted Critical
Publication of KR101911429B1 publication Critical patent/KR101911429B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L61/2007
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/6022
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 내부 네트워크 또는 외부 네트워크로부터 허용되지 않은 데이터로의 접근, 공격 또는 멀웨어(malware)의 다운로드 또는 측정된 트래픽이 소정의 공격레벨 이상이거나 공격패턴에 대하여 가상의 네트워크 IP주소로 응답하여 사설IP주소를 가지는 실제 네트워크 그룹의 IP주소 노출을 방지할 수 있는 보안 기능을 포함하는 통합 네트워크 공유 시스템에 관한 것이다.

Description

보안 기능을 포함하는 통합 네트워크 공유 시스템{INTEGRATED NETWORK SHARING SYSTEM HAVING SECURITY FUNCTION}
본 발명은 보안 기능을 포함하는 통합 네트워크 공유 시스템에 관한 것으로서, 더욱 상세하게는 내부 네트워크 또는 외부 네트워크로부터 허용되지 않은 데이터로의 접근, 공격 또는 멀웨어(malware)의 다운로드 또는 측정된 트래픽이 소정의 공격레벨 이상이거나 공격패턴에 대하여 가상의 네트워크 IP주소로 응답하여 사설IP주소를 가지는 실제 네트워크 그룹의 IP주소 노출을 방지할 수 있는 보안 기능을 포함하는 통합 네트워크 공유 시스템에 관한 것이다.
일반적으로 인터넷 서비스를 이용하고자 하는 단말기들은 공중 IP 주소를 할당 받은 후 공중 인터넷망에 접속하여 서비스를 이용한다. 인터넷 서비스를 이용하는 단말기들은 다양한 형태가 있으며, 개인용 컴퓨터와 휴대폰을 포함하여, 노트북, POS, IoT장치 등 다양한 형태가 있으며, 이들 단말기들은 개인이 사용할 수도 있으나 사용자 그룹 형태로 묶여 기업 내에 설치될 수도 있다.
이때, 악의적인 목적을 가진 제3자가 공중 인터넷망을 통해 단말기에 제공되는 서비스를 변형시키거나 단말기로 제공되는 IP 주소를 변경시키거나, DDos와 같은 IP 주소의 공격, 또는 사용자 그룹 형태로 묶인 단말에 할당된 IP 주소를 가로채는 경우에는, 달말기를 사용하지 못하거나 단말기에 저장된 주요 정보가 유출되는 문제점이 있다.
이를 위해, 트래픽을 암호화하거나 별도의 VPN 장비를 설치하여 서비스를 제공하고 있으나, VPN 헤더나 트래픽 암호화에 따른 통신 속도가 보장되지 않고, 고비용의 별도의 장비 설치에 따른 비용이 부과되는 단점이 있다.
네트워크 보안과 관련된 기술로서, 등록특허공보 제10-0765340호에 가상의 인라인 네트워크 보안방법이 개시되었다.
상기 기술은 물리적으로 인라인(In-Line) 구조를 설치하지 않으면서도, 네트워크 세그먼트 또는 동일 VLAN 상에 존재하는 단말기 중 통제가 필요한 단말기들의 MAC 주소 요청 응답을 보안장비의 MAC 주소로 변조하여 응답함으로써, 단말기들의 통신 내용이 보안장비를 경유하게 한 후, 보안 정책의 적합 여부를 판단하여 접근 제어를 수행할 수 있도록 하는 가상의 인라인 네트워크 보안 방법에 관한 것이다.
그러나 상기 기술은 통제가 필요한 단말기들의 IP주소가 여전히 외부에 노출되게 되고, 제3자에 의한 공격 대상이 되는 문제점이 있다.
이에, 가상머신의 복제를 통해 서비스를 제공하기 위한 기술로서, 등록특허공보 제10-1703491호에 클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템이 개시되었다.
상기 기술은 트래픽이 소정 공격레벨 이상이거나 공격패턴인 경우, 클라우드 시스템 내의 제2서버가 제1가상머신을 복제한 제2가상머신을 생성하고, 클라우드 시스템 내의 제3서버가 상기 제1가상머신을 이주한 제3가상머신을 생성하여, 제1가상머신에서 제공하던 서비스를 제3가상머신이 제공하는 것을 특징으로 한다.
그러나 제3자에 의한 공격패턴은 동시 다발적으로 네트워크 내의 모든 단말기(또는 서버)가 공격대상이 될 수 있으므로, 상기의 기술에 제1 내지 제3 서버가 동시에 외부의 공격을 받으면, 가상서버 복제를 수행할 수 없는 문제점이 있다.
한편, 외부에서 제3자에 의한 악의적인 공격은 Foot Printing, Scanning, Enumeration, Gaining Access, Escalation Privilege, Pilfering, Covering Track 및 Creating Backdoor 순으로 이루어지는데, 제1 단계인 Foot Printing은 공격을 시도할 지역 혹은 사이트에 관한 정보를 수집하는 것이다. 이때, 일반적인 수집정보는 Domain name, IP address, Access control list, 침입탐지·방화벽 구축여부, 시스템 사용자 목록, 시스템 H/W 사양, 사용 중인 Network Protocol, 인증 메커니즘 등으로 이루어진다.
즉, 해킹 공격은 제1 단계인 Foot Printing에서 네트워크 내부에 접속된 단말기의 IP주소에 근거하여 이루어짐에 따라, IP주소의 노출은 신중하게 이루어져야 한다.
KR 10-0765340 B1 (2007. 10. 02.) KR 10-1703491 B1 (2017. 02. 01.)
본 발명은 상기 종래기술이 갖는 문제점을 해소하기 위하여 창출된 것으로서, 본 발명에서 해결하고자 하는 과제는, 외부에서 IP주소의 요청에 대해 가상IP주소로 응답하여 근거리 통신만을 통해 네트워크에 접속된 단말기의 사설IP주소의 노출을 방지하여 외부 공격으로부터 보호할 수 있는 보안 기능을 포함하는 통합 네트워크 공유 시스템을 제공하는 데 있다.
또한, 외부 제3자의 침입에 대해 내부 단말기를 보호하면서, 침입자에 대한 해킹 기술을 검출하고, 검출된 해킹 기술을 분석하여 대응계획을 수립할 수 있는 보안 기능을 포함하는 통합 네트워크 공유 시스템을 제공하는 데 있다.
상기의 과제를 해결하기 위하여 본 발명에 따른 보안 기능을 포함하는 통합 네트워크 공유 시스템은 근거리 통신망(LAN)과 광역 통신망(WAN)을 연결하는 IP공유기와 상기 근거리 통신망에 연결되는 가상서버를 포함하고, 상기 IP공유기는 상기 근거리 통신망에 접속된 단말기들의 사설IP주소를 검출하는 사설IP검출부; 상기 사설IP검출부로부터 검출된 사설IP주소에 대응하여 가상IP주소를 생성하고, 생성된 상기 가상IP주소에 대응하는 네트워크 그룹을 생성하는 가상IP생성부; 일정시간 동안 누적된 패킷량에 의한 트래픽 측정 정보를 축적하는 트래픽 측정부; 메일 또는 정보를 통해 전달되는 바이러스 및 유해사이트의 접속 정보를 검출하여 차단하는 바이러스/유해사이트 차단부; 및 유선처리모듈과 무선처리모듈을 포함하는 송수신부를 포함하여 구성되고, 상기 IP공유기는 상기 근거리 통신망에 접속된 단말기의 사설IP주소를 검출하고, 검출된 사설IP주소와 중복되지 않도록 임의의 가상IP주소를 생성하며, 생성된 상기 가상IP주소에 대응하는 가상 네트워크 그룹을 생성하고, 상기 광역 통신망(WAN)으로부터 상기 단말기의 MAC 주소 응답을 생성된 상기 가상IP주소로 응답하도록 구성되고, 상기 가상서버는 생성된 상기 가상IP주소에 대응하는 가상사설서버(VPS)를 생성하고, 생성된 상기 가상사설서버(VPS)의 할당된 디스크에 상기 단말기의 일부 파일을 복제하여 저장하며, 상기 IP공유기의 상기 트래픽 측정부에서 측정된 트래픽이 소정의 공격레벨 이상이거나 공격패턴인 것으로 판단되면 상기 IP공유기를 통해 공격 대상의 단말기에 대한 로그정보를 검출하여 저장 관리하는 것을 특징으로 한다.
여기서, 상기 송수신부는 상기 근거리 통신망을 통해 단말기로부터 수신되는 데이터와 송신되는 데이터를 제어하는 LAN 제어유닛; 상기 광역 통신망을 통해 외부로부터 수신되는 데이터와 송신되는 데이터를 제어하는 WAN 제어유닛; 및 상기 사설IP검출부에서 검출된 사설IP주소를 공인IP주소로 변환하거나 공인IP주소를 사설IP주소로 변환하는 제1 NAT 및 상기 가상IP생성부에서 생성된 상기 가상IP주소를 공인IP주소로 변환하거나 공인IP주소를 가상IP주소로 변환하는 제2 NAT를 포함하여 구성되는 NAT 제어유닛을 포함하여 구성되는 것을 특징으로 한다.
또한, 상기 NAT 제어유닛은 상기 트래픽 측정부의 측정결과 측정된 트래픽이 소정의 공격레벨 미만이거나 공격패턴이 아닌 것으로 판단되면 제1 NAT가 활성화되고, 상기 트래픽 측정부의 측정결과 측정된 트래픽이 소정의 공격레벨 이상이거나 공격패턴인 것으로 판단되면 제2 NAT가 활성화되는 것을 특징으로 한다.
본 발명에 의하면, 외부에서 IP주소의 요청에 대해 생성된 가상IP주소로 응답하여 실제 네트워크에 접속된 단말기의 사설IP주소가 블라인드 처리되면서 공격 대상에서 제외됨에 따라 외부로부터의 공격을 최소화할 수 있는 장점이 있다.
또한, 외부 제3자의 공격은 가상에서 생성된 가상사설서버(VPS)에서 이루어지게 되어 단말기를 외부 공격으로부터 보호할 수 있고, 가상사설서버(VPS)에서 제3자에 의한 해킹 과정이 로그파일로 저장됨에 따라 공격패턴에 대한 대응전략을 수립할 수 있는 자료로 활용될 수 있는 장점이 있다.
도 1은 본 발명에 따른 보안 기능을 포함하는 통합 네트워크 공유 시스템의 전체적인 구성도.
도 2는 본 발명에 따른 보안 기능을 포함하는 통합 네트워크 공유 시스템에 적용된 IP공유기의 구성도.
도 3은 본 발명에 따른 보안 기능을 포함하는 통합 네트워크 공유 시스템에 적용된 가상서버의 구성도.
도 4는 본 발명에 따른 보안 기능을 포함하는 통합 네트워크 공유 시스템이 적용된 가상 네트워크 그룹을 포함하는 구성도.
이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예를 더욱 상세하게 설명한다.
본 발명은 내부 네트워크 또는 외부 네트워크로부터 허용되지 않은 데이터로의 접근, 공격 또는 멀웨어(malware)의 다운로드 또는 측정된 트래픽이 소정의 공격레벨 이상이거나 공격패턴에 대하여 가상의 네트워크 IP주소로 응답하여 사설IP주소를 가지는 실제 네트워크 그룹의 IP주소 노출을 방지할 수 있는 보안 기능을 포함하는 통합 네트워크 공유 시스템에 관한 것이다.
도 1은 본 발명에 따른 보안 기능을 포함하는 통합 네트워크 공유 시스템의 전체적인 구성도를 나타낸 도면이다.
첨부된 도 1을 참조하면, 본 발명에 따른 보안 기능을 포함하는 통합 네트워크 공유 시스템은 IP공유기(100), 가상서버(200) 및 모뎀(300)을 포함하여 구성된다.
IP공유기(100)는 근거리 통신망(LAN, Local area network)과 광역 통신망(WAN, wide area network)을 연결하는 기능을 수행하는 것으로서, 사설IP주소와 공인IP주소를 상호 변환하여 출력하는 기능을 수행한다.
이때, 상기 IP공유기(100)에는 복수의 단말기(10)가 접속되며, 접속되는 단말기에는 사설IP주소가 할당된다. 상기 사설IP주소는 내부 네트워크에 부여된 범위내에서 이루어진다.
이러한 IP공유기(100)에 접속된 단말기에는 사설IP주소가 각각 할당되고, 상기 단말기에 사설IP주소가 할당된 상태에서 외부 네트워크와의 통신은 IP공유기(100)에 설정된 공인IP주소를 통해 연결되게 된다.
즉, 단말기 각각은 IP공유기를 통해 내부 네트워크 안에서는 사설IP주소를 이용하여 공유되나 외부와의 통신은 할당된 공인IP주소를 이용하게 된다. 이에, 할당된 1개의 공인IP주소를 통해 복수의 단말기가 외부 네트워크에 연결될 수 있어, IP주소의 부족 현상을 다소 해소할 수 있게 된다.
도 2는 본 발명에 따른 보안 기능을 포함하는 통합 네트워크 공유 시스템에 적용된 IP공유기의 구성을 나타낸 도면이다.
첨부된 도 2를 참조하면, 본 발명에 따른 보안 기능을 포함하는 통합 네트워크 공유 시스템에 적용된 IP공유기(100)는 사설IP검출부(110), 가상IP생성부(120), 트래픽 측정부(130), 바이러스/유해사이트 차단부(140) 및 송수신부(150)를 포함하여 이루어진다.
사설IP검출부(110)는 근거리 통신망(LAN)에 접속된 단말기들의 사설IP주소를 검출한다.
사설IP주소는 예를 들면, 192.168.0.0 ~ 192.168.255.255의 범위 내에서 할당될 수 있으며, 일반적으로 192.168.0.2 ~ 192.168.0.255의 범위 내에서 이루어진다. 이때, IP공유기(100)의 사설IP주소는 192.168.0.1로 정해질 수 있으며, 공인IP주소는 ISP(Internet Service Provider)에서 할당된 주소로 설정된다.
상기 사설IP검출부(110)에서 검출되는 정보에는 MAC 주소, 사설IP주소 및 포트정보 등으로 구성될 수 있다.
가상IP생성부(120)는 상기 사설IP검출부(110)로부터 검출된 사설IP주소에 대응하여 가상IP주소를 생성하고, 생성된 상기 가상IP주소는 가상 네트워크 그룹을 생성하는 데 사용된다.
상기 가상IP생성부(120)를 통해 생성되는 가상IP주소는 상기 사설IP검출부(110)에서 검출된 사설IP주소와 중복되지 않는 범위 내에서 임의의 IP주소로 이루어진다.
이때, 상기 가상IP생성부(120)에서 생성된 가상IP주소는 가상서버(200)에서 생성되는 가상사설서버(VPS, Virtual Private Server)의 IP주소로 할당된다.
트래픽 측정부(130)는 일정시간 동안 누적된 패킷량에 의한 트래픽 측정 정보를 축적하는 것으로서, 소정의 시간 동안 패킷량을 측정하여 출력한다.
해킹 방식의 하나로서 여러 대의 공격자를 분산 배치하여 동시에 서비스 거부 공격(Denial of Service attack;DoS)을 함으로써 시스템이 더 이상 정상적 서비스를 제공할 수 없도록 만드는 DDoS가 있으며, 이는 서비스 공격을 위한 도구들을 여러 대의 컴퓨터에 심어놓고 공격 목표인 서버(또는 단말기)에서 처리할 수 없을 정도로 엄청난 분량의 패킷을 동시에 범람시킴으로써 네트워크의 성능을 저하시키거나 시스템을 마비시키는 방식이다.
즉, 상기 트래픽 측정부(130)는 DDoS와 같은 패킷을 이용한 해킹을 감지하기 위한 것으로서, 필요에 따라 내부 네트워크에서 요청하지 않은 외부에서의 일방적으로 전송되는 패킷량을 검출하도록 구성될 수 있다.
필요에 따라 상기 트래픽 측정부(130)는 해킹을 탐지할 수 있는 알고리즘을 탑재하여 트래픽 뿐만 아니라 외부 사용자의 악의적인 접근을 검출할 수 있도록 구성될 수 있다.
바이러스/유해사이트 차단부(140)는 메일 또는 정보를 통해 전달되는 바이러스 및 유해사이트의 접속 정보를 검출하여 차단한다.
즉, 상기 바이러스/유해사이트 차단부(140)는 응용프로그램별로 소정의 보안 특성을 유지하는 상태에서, 상기 IP공유기(100)를 통해 송수신되는 패킷을 수집하고 수집된 패킷의 특성을 분석하여 해당하는 응용 프로그램을 검색하고, 검색된 응용 프로그램의 보안 특성을 상기 패킷과 비교하여 유해성 여부를 판단하여, 판단 결과 유해하면 폐기하고 무해하면 응용 프로그램으로의 전달을 진행하는 방식으로 이루어질 수 있다.
이때, 상기 응용 프로그램은 단말기에서 실행되는 프로그램이다.
필요에 따라, 상기 바이러스/유해사이트 차단부(140)의 판단 결과 바이러스 또는 유해사이트인 것으로 판단되면, 소정의 보안 특성을 응용 프로그램에 제공하여 독립적으로 치료 또는 복구되도록 구성하거나 송수신되는 패킷을 삭제하도록 구성될 수 있다. 또한, 유해사이트인 것으로 판단되면 해당 사이트의 도메인 주소를 저장 관리하여, 단말기에서 상기 저장된 유해사이트의 접속요청에 대해 유해사이트임을 안내하도록 구성될 수 있다.
송수신부(150)는 근거리 통신망과 광역 통신망 사이의 송수신 데이터를 제어하고, 사설IP주소와 공인IP주소를 상호 변환하는 기능을 수행하는 것으로서, 단말기의 유/무선 접속 형태에 따라 유선처리모듈(151)과 무선처리모듈(152)을 포함하여 구성된다.
상기 유선처리모듈(151)과 무선처리모듈(152)은 LAN 제어유닛, WAN 제어유닛 및 NAT(Network Address Translation) 제어유닛을 포함하여 이루어진다.
LAN 제어유닛은 근거리 통신망을 통해 단말기로부터 수신되는 데이터와 송신되는 데이터를 제어하고, WAN 제어유닛은 광역 통신망을 통해 외부로부터 수신되는 데이터와 송신되는 데이터를 제어한다.
또한, NAT 제어유닛은 사설IP주소를 공인IP주소로 변환하거나 공인IP주소를 사설IP주소로 상호 변환하는 기능을 수행한다. 이때, 본 발명의 가상IP생성부(120)에서는 검출된 사설IP주소를 가상IP주소로 변환하여 외부 요청에 응답하기 때문에, 상기 NAT 제어유닛은 가상IP주소를 공인IP주소로 변환하거나 공인IP주소를 가상IP주소로 상호 변환하는 기능을 수행한다.
이에, 상기 NAT 제어유닛은 제1 NAT와 제2 NAT를 포함한다.
상기 제1 NAT는 사설IP검출부에서 검출된 사설IP주소를 공인IP주소로 변환하거나 공인IP주소를 사설IP주소로 변환한다.
상기 제2 NAT는 가상IP생성부에서 생성된 가상IP주소를 공인IP주소로 변환하거나 공인IP주소를 가상IP주소로 변환한다.
이때, 상기 NAT 제어유닛에는 송수신되는 패킷의 IP주소에 근거하여 상기 제1 NAT와 제2 NAT의 경로를 설정하는 L2 스위치가 구성될 수 있다.
이에, 단말기(10)가 유선으로 IP공유기(100)와 연결된 경우 단말기(10)와 IP공유기(100)는 유선처리모듈(151)의 LAN 제어유닛, WAN 제어유닛 및 NAT 제어유닛을 통해 내부 및 외부와 통신을 수행하고, 단말기(10)가 무선으로 IP공유기(100)와 연결된 경우 단말기(10)와 IP공유기(100)는 무선처리모듈(152)의 LAN 제어유닛, WAN 제어유닛 및 NAT 제어유닛을 통해 내부 및 외부와 통신을 수행하도록 구성된다.
필요에 따라 상기 제2 NAT는 트래픽 측정부(130)의 검출정보 또는 바이러스/유해사이트 차단부(140)의 차단정보에 근거하여 활성화되도록 구성될 수 있다.
부연하면, 트래픽 측정부(130)의 검출정보 결과 트래픽량이 정상범위에 있거나 패킷에 포함된 정보가 바이러스/유해사이트 차단부(140)에 저장된 바이러스/유해사이트 정보를 가지고 있지 않은 경우에는 제1 NAT를 통해서만 통신되도록 구성될 수 있다.
이에 더하여, 상기 IP공유기(100)에 접속된 단말기가 모바일기기(예를 들면, 스마트 폰, PAD 등)로 이루어지고 상기 단말기를 통해 접속되는 외부 서비스 장치가 웹서버인 경우, 상기 IP공유기에는 웹 페이지의 로딩 속도를 개선하기 위한 웹 가속부(160)가 더 구성될 수 있다.
상기 웹 가속부(160)는 상기 단말기로부터 웹 페이지에 대한 요청신호가 수신되면, 상기 단말기로부터 수신된 요청신호에 기초하여 상기 단말기의 기종 및 상기 단말기에 탑재된 브라우저의 종류를 검출하고, 상기 요청신호에 대응하는 웹서버에 접속하여 상기 웹서버로부터 상기 요청신호에 대응하는 웹 페이지 데이터를 수신하고, 수신된 상기 웹 페이지 데이터를 상기 단말기의 기종 및 풀 브라우저의 종류에 따라 파싱(parsing)하여 돔 트리(DOM Tree)를 생성한 후 상기 웹 페이지 데이터와 함께 상기 단말기로 전송한다.
여기서, 상기 돔(Document Object Model) 트리는 웹페이지의 각 부분들을 객체로 표현한 API(application programming interface)로서, 넓은 의미로는 웹 브라우저가 HTML 페이지를 인식하는 방식을 의미하고, 조금 좁은 의미로는 문서(document) 객체와 관련된 객체의 집합으로 볼 수 있다. 예를 들면, 웹페이지 내를 파싱하면 <html>이나 <body> 같은 html문서의 태그들을 JavaScript가 이용할 수 있는 객체(object)로 생성한 것을 문서 객체라고 한다.
구체적으로, 상기 웹 가속부(160)는 풀 브라우저를 탑재하고 있는 단말기로부터 웹 페이지에 대한 요청신호를 수신하는 요청신호 수신모듈과 상기 단말기로부터 수신된 요청신호에 기초하여 상기 단말기의 기종 및 상기 단말기에 탑재된 풀 브라우저의 종류를 판단하는 판단모듈; 상기 요청신호 수신모듈을 통해 수신한 상기 요청신호에 대응하는 웹 서버에 접속하며, 접속된 상기 웹 서버로부터 상기 요청신호에 대응하는 웹 페이지 데이터를 수신하는 데이터 수신모듈; 상기 판단모듈에 의해 판단된 상기 단말기의 기종 및 상기 풀 브라우저의 종류에 대응하여 수신된 상기 웹 페이지를 파싱하고 돔 트리를 생성하는 돔 트리 생성모듈 및 생성된 상기 돔 트리를 상기 웹 페이지 데이터와 함께 상기 단말기로 전송하는 전송모듈을 포함하여 구성될 수 있다.
이러한 상기 웹 가속부(160)에 의해서, IP공유기에 접속된 단말기가 모바일기기인 경우 웹 페이지의 로딩 속도를 개선할 수 있으므로 단말기의 메모리 사용 효율을 향상시킬 수 있는 장점이 있다.
가상서버(200)는 근거리 통신망에 연결되고 하나의 물리적 서버를 복수 개의 가상사설서버(VPS, Virtual Private Server)로 사용할 수 있도록 가상화된 서버이다.
도 3은 본 발명에 따른 보안 기능을 포함하는 통합 네트워크 공유 시스템에 적용된 가상서버의 구성을 나타낸 것이다.
일반적인 가상서버는 서버 1대에 들어가는 물리적 시스템 자원을 복수 개의 가상사설서버(VPS)로 분할하여 개별적으로 운용될 수 있도록 제공하는 것으로서, 사용자가 직접 권한을 가지고 할당된 자원을 자유롭게 운영할 수 있도록 구성되나, 본 발명에서의 가상서버는 외부 제3자에 의한 공격 대상이 되도록 구성되는 것으로서, 가상사설서버의 생성/삭제하는 전문 소프트웨어인 하이퍼바이저(Hyperviser)에 의해 생성되고 1개의 가상사설서버는 운영체제(OS), 메모리, CPU, 물리적 공간(디스크)을 포함하여 구성된다.
이때, 상기 가상서버(200)에서 분할되어 생성된 가상사설서버 각각의 MAC 주소로는 가상IP생성부(120)에서 생성된 가상IP주소가 이용된다.
또한, 상기 가상서버(200)에서 생성되는 가상사설서버에 할당된 물리적 공간에는 단말기(10)로부터 수신된 소정의 파일들이 복제되어 저장된다.
부연하면, 가상서버(200)에서 생성된 가상사설서버는 하나의 가상 단말기로 외부에 노출된다.
이러한 구성에서, 상기 가상서버(200)에서 생성된 적어도 하나의 가상사설서버는 상기 IP공유기(100)의 트래픽 측정부(130)에서 측정된 트래픽이 소정의 공격레벨 이상이거나 공격패턴인 것으로 판단되면 상기 IP공유기를 통해 공격 대상의 단말기에 대한 로그정보를 검출하여 저장 관리하는 DB VPS(DB Virtual Private Server)로 동작된다.
모뎀(300)은 외부 서비스 장치(20, 예를 들면 인터넷에 연결된 서버 등)와 연결되어 통신을 수행한다.
도 4는 본 발명에 따른 보안 기능을 포함하는 통합 네트워크 공유 시스템이 적용된 가상 네트워크 그룹을 포함하는 구성도를 나타낸 것이다.
첨부된 도 4를 참조하면, 생성된 가상 네트워크 그룹(11a)은 실제 단말기(10)들로 이루어진 사용자 그룹(10a)과 동일한 구조로 이루어지는 것으로서, 가상 네트워크 그룹의 각 단말기들은 가상서버(200)에 의해 생성된 가상사설서버(11)들로 이루어진다.
이러한 구성에서, IP공유기는 허가되지 않은 외부 사용자의 IP주소 요청에 대해 가상IP주소로 응답하여 외부에서의 네트워크 공격, 의도하지 않은 트래픽 공격 또는 해킹 공격은 가상 네트워크 그룹에 속한 단말기로 유도할 수 있으며, 실제 단말기(10)들의 사설IP주소는 블라인드 처리되어 외부에 노출되지 않기 때문에 해킹 공격 등으로부터 보호할 수 있게 된다.
다음으로, 본 발명에 따른 보안 기능을 포함하는 통합 네트워크 공유 시스템을 이용한 서비스 방법에 대해서 설명한다.
IP공유기(100)의 사설IP검출부(110)는 접속된 단말기(10)의 사설IP주소를 검출한다. 필요에 따라 IP공유기(100)는 접속을 요청하는 단말기(10)에 사설IP주소를 할당하도록 구성될 수 있다.
검출된 사설IP주소는 별도의 메모리에 저장관리된다.
가상IP생성부(120)는 상기 사설IP검출부(110)에서 검출된 사설IP주소와 중복되지 않은 가상IP주소를 생성하고, 생성된 가상IP주소를 가상서버(200)에 전송한다.
이에, 가상서버(200)는 가상IP생성부(120)로부터 수신된 가상IP주소에 근거하여 가상사설서버를 생성하고, 생성된 가상사설서버에 상기 단말기의 일부 파일을 복제하여 저장한다.
이 상태에서, IP공유기(100)는 생성된 가상사설서버들을 그룹화하여 가상IP주소에 대응하는 가상의 네트워크 그룹을 생성하여 저장 관리한다.
트래픽 측정부(130)는 일정시간 동안 누적된 패킷량에 의한 트래픽 측정 정보를 축적하고, 소정의 시간 동안 패킷량을 측정하여 출력한다.
송수신부(150)의 NAT 제어유닛은 상기 트래픽 측정부(130)에서 패킷량의 측정 결과, 측정된 트래픽이 소정의 공격레벨 미만이거나 공격패턴이 아닌 것으로 판단되면 제1 NAT를 활성화시키고, 활성화된 제1 NAT를 통해 단말기(10)의 사설IP주소를 공인IP주소를 변환하거나 외부에서 송신되는 공인IP주소를 사설IP주소로 변환하여 단말기(10)가 외부 서비스 장치(20)와 통신하도록 한다.
또한, 송수신부(150)의 NAT 제어유닛은 상기 트래픽 측정부(130)에서 패킷량의 측정 결과, 측정된 트래픽이 소정의 공격레벨 이상이거나 공격패턴인 것으로 판단되면 제2 NAT를 활성화시키고, 활성화된 제2 NAT를 통해 가상IP생성부에서 생성된 가상IP주소를 공인IP주소로 변환하여 응답하도록 한다.
이에, 외부의 허가되지 않은 트래픽 또는 공격은 가상서버에서 생성된 가상사설서버를 공격하게 되고, 공격에 따른 로그정보는 상기 가상서버에서 생성된 별도의 가상사설서버에 기록되어 저장된다.
본 발명에 의하면, 외부에서 IP주소의 요청에 대해 생성된 가상IP주소로 응답하여 실제 네트워크에 접속된 단말기의 사설IP주소가 블라인드 처리되면서 공격 대상에서 제외됨에 따라 외부로부터의 공격을 최소화할 수 있는 장점이 있다.
또한, 외부 제3자의 공격은 가상에서 생성된 가상사설서버(VPS)에서 이루어지게 되어 단말기를 외부 공격으로부터 보호할 수 있고, 가상사설서버(VPS)에서 제3자에 의한 해킹 과정이 로그파일로 저장됨에 따라 공격패턴에 대한 대응전략을 수립할 수 있는 자료로 활용될 수 있는 장점이 있다.
이상에서 본 발명의 바람직한 실시 예를 설명하였으나, 본 발명의 권리범위는 이에 한정되지 아니하며 본 발명의 실시 예와 실질적으로 균등한 범위에 있는 것까지 본 발명의 권리범위가 미치는 것으로 이해되어야 하며, 본 발명의 정신을 벗어나지 않는 범위 내에서 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변형 실시가 가능하다.
10: 단말기 20: 외부 서비스 장치
100: IP공유기 110: 사설IP검출부
120: 가상IP생성부 130: 트래픽 측정부
140: 바이러스/유해사이트 차단부 150: 송수신부
151: 유선처리모듈 152: 무선처리모듈
160: 웹가속부 200: 가상서버
300: 모뎀

Claims (3)

  1. 근거리 통신망(LAN)과 광역 통신망(WAN)을 연결하는 IP공유기와 상기 근거리 통신망에 연결되는 가상서버를 포함하고,
    상기 IP공유기는,
    상기 근거리 통신망에 접속된 단말기들의 사설IP주소를 검출하는 사설IP검출부;
    상기 사설IP검출부로부터 검출된 사설IP주소에 대응하여 가상IP주소를 생성하고, 생성된 상기 가상IP주소에 대응하는 네트워크 그룹을 생성하는 가상IP생성부;
    일정시간 동안 누적된 패킷량에 의한 트래픽 측정 정보를 축적하는 트래픽 측정부;
    메일 또는 정보를 통해 전달되는 바이러스 및 유해사이트의 접속 정보를 검출하여 차단하는 바이러스/유해사이트 차단부; 및
    유선처리모듈과 무선처리모듈을 포함하는 송수신부;
    를 포함하여 구성되고,
    상기 IP공유기는 상기 근거리 통신망에 접속된 단말기의 사설IP주소를 검출하고, 검출된 사설IP주소와 중복되지 않도록 임의의 가상IP주소를 생성하며, 생성된 상기 가상IP주소에 대응하는 가상 네트워크 그룹을 생성하고, 상기 광역 통신망(WAN)으로부터 상기 단말기의 MAC 주소 응답을 생성된 상기 가상IP주소로 응답하도록 구성되고,
    상기 가상서버는,
    생성된 상기 가상IP주소에 대응하는 가상사설서버(VPS)를 생성하고, 생성된 상기 가상사설서버(VPS)의 할당된 디스크에 상기 단말기의 일부 파일을 복제하여 저장하며, 상기 IP공유기의 상기 트래픽 측정부에서 측정된 트래픽이 소정의 공격레벨 이상이거나 공격패턴인 것으로 판단되면 상기 IP공유기를 통해 공격 대상의 단말기에 대한 로그정보를 검출하여 저장 관리하며,
    상기 송수신부는,
    상기 근거리 통신망을 통해 단말기로부터 수신되는 데이터와 송신되는 데이터를 제어하는 LAN 제어유닛;
    상기 광역 통신망을 통해 외부로부터 수신되는 데이터와 송신되는 데이터를 제어하는 WAN 제어유닛; 및
    상기 사설IP검출부에서 검출된 사설IP주소를 공인IP주소로 변환하거나 공인IP주소를 사설IP주소로 변환하는 제1 NAT 및 상기 가상IP생성부에서 생성된 상기 가상IP주소를 공인IP주소로 변환하거나 공인IP주소를 가상IP주소로 변환하는 제2 NAT를 포함하여 구성되는 NAT 제어유닛;
    을 포함하여 구성되고,
    상기 NAT 제어유닛은,
    상기 트래픽 측정부의 측정결과 측정된 트래픽이 소정의 공격레벨 미만이거나 공격패턴이 아닌 것으로 판단되면 제1 NAT가 활성화되고,
    상기 트래픽 측정부의 측정결과 측정된 트래픽이 소정의 공격레벨 이상이거나 공격패턴인 것으로 판단되면 제2 NAT가 활성화되는 것을 특징으로 하는 보안 기능을 포함하는 통합 네트워크 공유 시스템.
  2. 삭제
  3. 삭제
KR1020180087537A 2018-07-27 2018-07-27 보안 기능을 포함하는 통합 네트워크 공유 시스템 KR101911429B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180087537A KR101911429B1 (ko) 2018-07-27 2018-07-27 보안 기능을 포함하는 통합 네트워크 공유 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180087537A KR101911429B1 (ko) 2018-07-27 2018-07-27 보안 기능을 포함하는 통합 네트워크 공유 시스템

Publications (1)

Publication Number Publication Date
KR101911429B1 true KR101911429B1 (ko) 2018-10-24

Family

ID=64132387

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180087537A KR101911429B1 (ko) 2018-07-27 2018-07-27 보안 기능을 포함하는 통합 네트워크 공유 시스템

Country Status (1)

Country Link
KR (1) KR101911429B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210105253A1 (en) * 2019-10-07 2021-04-08 Cameron International Corporation Security system and method for pressure control equipment
CN112631899A (zh) * 2020-12-09 2021-04-09 福州智永信息科技有限公司 一种支持资源包本地预览测试的方法及系统
KR20220059098A (ko) * 2020-11-02 2022-05-10 아토리서치(주) 가상 플랫폼 환경에서의 통신 대상 ip를 기반으로 공공 ip를 공유하는 방법 및 호스트 장치

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210105253A1 (en) * 2019-10-07 2021-04-08 Cameron International Corporation Security system and method for pressure control equipment
US11765131B2 (en) * 2019-10-07 2023-09-19 Schlumberger Technology Corporation Security system and method for pressure control equipment
KR20220059098A (ko) * 2020-11-02 2022-05-10 아토리서치(주) 가상 플랫폼 환경에서의 통신 대상 ip를 기반으로 공공 ip를 공유하는 방법 및 호스트 장치
KR102409272B1 (ko) * 2020-11-02 2022-06-20 아토리서치(주) 가상 플랫폼 환경에서의 통신 대상 ip를 기반으로 공공 ip를 공유하는 방법 및 호스트 장치
CN112631899A (zh) * 2020-12-09 2021-04-09 福州智永信息科技有限公司 一种支持资源包本地预览测试的方法及系统

Similar Documents

Publication Publication Date Title
US11616761B2 (en) Outbound/inbound lateral traffic punting based on process risk
US20050265351A1 (en) Network administration
Aldabbas et al. A novel mechanism to handle address spoofing attacks in SDN based IoT
KR20050120875A (ko) 서버 보안 솔루션과 네트워크 보안 솔루션을 이용한시스템 보안 방법 및 이를 구현하는 보안시스템
KR101911429B1 (ko) 보안 기능을 포함하는 통합 네트워크 공유 시스템
CN109688153B (zh) 使用主机应用/程序到用户代理的映射的零日威胁检测
Tomar et al. Docker security: A threat model, attack taxonomy and real-time attack scenario of dos
KR100926456B1 (ko) 클라이언트 단말장치를 이용한 침입 탐지 장치 및 그방법과 네트워크 보안 시스템 및 네트워크 보안 방법
US11539695B2 (en) Secure controlled access to protected resources
CN111295640A (zh) 使用会话app id和端点进程id相关性的精细粒度防火墙策略实施
KR101487476B1 (ko) 악성도메인을 검출하기 위한 방법 및 장치
Cabaj et al. Network threats mitigation using software-defined networking for the 5G internet of radio light system
Mohammed et al. Honeypots and Routers: Collecting internet attacks
Conti et al. Know your enemy: Stealth configuration-information gathering in SDN
Dutta et al. Intrusion detection systems fundamentals
KR101901628B1 (ko) 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템
KR101910496B1 (ko) 광역망 인터넷 프로토콜(wan ip) 검증을 통한 네트워크 기반 프록시 설정 탐지 시스템 및 그를 이용한 유해 사이트 접속 차단 방법
KR20230139984A (ko) 허니팟을 이용한 악성 파일 탐지 방법 및 이를 이용한 시스템
JP7411775B2 (ja) インラインマルウェア検出
Durairaj et al. A study on securing cloud environment from DDoS attack to preserve data availability
Bhumika et al. Use of honeypots to increase awareness regarding network security
Alsaleem et al. Cloud computing-based attacks and countermeasures: A survey
Sharma et al. Detection of ARP Spoofing: A command line execution method
Johnson et al. Studying naïve users and the insider threat with SimpleFlow
Kalil Policy Creation and Bootstrapping System for Customer Edge Switching

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant