KR101959440B1 - 네트워크 보안 장치 및 그의 트래픽 처리 방법 - Google Patents

네트워크 보안 장치 및 그의 트래픽 처리 방법 Download PDF

Info

Publication number
KR101959440B1
KR101959440B1 KR1020170070736A KR20170070736A KR101959440B1 KR 101959440 B1 KR101959440 B1 KR 101959440B1 KR 1020170070736 A KR1020170070736 A KR 1020170070736A KR 20170070736 A KR20170070736 A KR 20170070736A KR 101959440 B1 KR101959440 B1 KR 101959440B1
Authority
KR
South Korea
Prior art keywords
traffic
read buffer
control module
address
port number
Prior art date
Application number
KR1020170070736A
Other languages
English (en)
Other versions
KR20180133648A (ko
Inventor
박영만
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020170070736A priority Critical patent/KR101959440B1/ko
Publication of KR20180133648A publication Critical patent/KR20180133648A/ko
Application granted granted Critical
Publication of KR101959440B1 publication Critical patent/KR101959440B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • H04L47/125Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/50Queue scheduling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 적어도 하나의 리드 버퍼 및 분산 처리 모듈을 포함하되, 상기 분산 처리 모듈은 단말로부터 트래픽이 수신되면, 분산 처리를 통하여 상기 적어도 하나의 리드 버퍼 중 상기 트래픽의 트래픽 정보에 대응하는 리드 버퍼에 상기 트래픽을 저장하는 네트워크 인터페이스부 및 상기 적어도 하나의 리드 버퍼 각각에 대응하는 적어도 하나의 트래픽 제어 모듈을 포함하는 제어부를 포함하되, 상기 적어도 하나의 트래픽 제어 모듈은 대응되는 리드 버퍼로부터 트래픽을 수집하고, 상기 트래픽의 트래픽 정보가 블랙리스트 데이터베이스에 저장된 트래픽 정보에 대응되면, 상기 트래픽을 전송한 상기 단말과의 세션 종료를 수행하는 것을 특징으로 하는 네트워크 보안 장치 및 그의 트래픽 처리 방법에 관한 것이다.

Description

네트워크 보안 장치 및 그의 트래픽 처리 방법{Network security apparatus and method for traffic processing thereof}
본 발명은 네트워크 보안 장치 및 그의 트래픽 처리 방법에 관한 것으로, 보다 구체적으로 본 발명은 트래픽을 고속으로 처리하고 제어하기 위한 네트워크 보안 장치 및 그의 트래픽 처리 방법에 관한 것이다.
일반적인 네트워크 보안 장치에서의 트래픽 제어는 트래픽의 HTTP 분석을 통한 URL 매칭 방식을 이용하여 수행된다. 즉, 네트워크 보안 장치는 접속해서는 안 되는 웹 사이트를 블랙리스트 데이터베이스로 저장하고, 수신되는 트래픽의 HTTP 분석을 통해 분석된 트래픽의 URL이 블랙리스트 데이터베이스에 저장된 URL인지 여부를 판단한다. 네트워크 보안 장치는 트래픽의 URL이 블랙리스트 데이터베이스에 저장된 URL인 경우, 해당 트래픽을 차단하여 트래픽 제어를 수행한다.
이러한 방식의 네트워크 보안 장치에 있어서, 많은 양의 트래픽이 유입되어 네트워크 보안 장치가 처리할 수 있는 임계치를 초과하는 경우, 네트워크 보안 장치는 트래픽 검사를 수행할 충분한 시간을 확보하지 못한다. 이 경우, 네트워크 보안 장치는 선택적으로 트래픽 검사를 생략하고, 임계치 이상으로 누적된 트래픽을 목적지로 바이패스하게 된다.
결과적으로 트래픽 양이 증가하는 경우, 네트워크 보안 장치의 트래픽 처리가 정상적으로 이루어지지 않게 되고, 네트워크 보안 장치의 트래픽 제어에 대한 신뢰도가 떨어지게 된다.
본 발명은 상기한 문제점을 해결하기 위한 것으로, 트래픽을 고속으로 처리하고 제어하기 위한 네트워크 보안 장치 및 그의 트래픽 처리 방법에 관한 것이다.
상술한 과제를 해결하기 위한 본 발명에 따른 네트워크 보안 장치는, 적어도 하나의 리드 버퍼 및 분산 처리 모듈을 포함하되, 상기 분산 처리 모듈은 단말로부터 트래픽이 수신되면, 분산 처리를 통하여 상기 적어도 하나의 리드 버퍼 중 상기 트래픽의 트래픽 정보에 대응하는 리드 버퍼에 상기 트래픽을 저장하는 네트워크 인터페이스부 및 상기 적어도 하나의 리드 버퍼 각각에 대응하는 적어도 하나의 트래픽 제어 모듈을 포함하는 제어부를 포함하되, 상기 적어도 하나의 트래픽 제어 모듈은 대응되는 리드 버퍼로부터 트래픽을 수집하고, 상기 트래픽의 트래픽 정보가 블랙리스트 데이터베이스에 저장된 트래픽 정보에 대응되면, 상기 트래픽을 전송한 상기 단말과의 세션 종료를 수행하는 것을 특징으로 한다.
구체적으로, 상기 분산 처리 모듈은, 상기 트래픽의 출발지 IP 주소, 목적지 IP 주소, 출발지 포트 번호 및 목적지 포트 번호 중 적어도 하나를 포함하는 4튜플 정보를 기초로 해쉬값을 연산하고, 상기 연산된 해쉬값에 대응하는 식별 번호를 갖는 리드 버퍼에 상기 트래픽을 저장하는 것을 특징으로 한다.
구체적으로, 상기 네트워크 인터페이스부는, 임의의 리드 버퍼에 트래픽이 저장되면, 상기 임의의 리드 버퍼에 대응되는 트래픽 제어 모듈로 알림 메시지를 전송하는 것을 특징으로 한다.
구체적으로, 상기 적어도 하나의 트래픽 제어 모듈은, 상기 수집된 트래픽의 트래픽 정보가 블랙리스트 데이터베이스에 저장된 트래픽 정보에 대응되면, 상기 수집된 트래픽을 전송한 상기 단말로 연결 종료 메시지를 전송하는 것을 특징으로 한다.
구체적으로, 상기 적어도 하나의 트래픽 제어 모듈은, 상기 수집된 트래픽의 출발지 IP 주소 및 출발지 포트 번호를 각각 목적지 IP 주소 및 목적지 포트 번호로 설정하여 연결 종료 메시지를 전송하는 것을 특징으로 한다.
구체적으로, 상기 적어도 하나의 리드 버퍼 및 상기 적어도 하나의 트래픽 제어 모듈은, 상기 제어부를 구성하는 프로세서 코어의 수에 대응하여 생성되는 것을 특징으로 한다.
또한, 상술한 과제를 해결하기 위한 본 발명에 따른 네트워크 보안 장치의 트래픽 처리 방법은, 네트워크 인터페이스를 구성하는 분산 처리 모듈로 트래픽이 수신되면, 상기 분산 처리 모듈이 상기 네트워크 인터페이스를 구성은 적어도 하나의 리드 버퍼 중 상기 트래픽의 트래픽 정보에 대응하는 리드 버퍼에 상기 트래픽을 저장하는 분산 처리를 수행하는 단계, 제어부를 구성하고, 상기 적어도 하나의 리드 버퍼 각각에 대응하는 적어도 하나의 트래픽 제어 모듈이, 상기 리드 버퍼로부터 트래픽을 수집하는 단계 및 상기 적어도 하나의 트래픽 제어 모듈이, 상기 수집된 트래픽의 트래픽 정보가 블랙리스트 데이터베이스에 저장된 트래픽 정보에 대응되면, 상기 수집된 트래픽을 전송한 상기 단말과의 세션 종료를 수행하는 단계를 포함하는 것을 특징으로 한다.
구체적으로, 상기 분산 처리를 수행하는 단계는, 상기 트래픽의 출발지 IP 주소, 목적지 IP 주소, 출발지 포트 번호 및 목적지 포트 번호 중 적어도 하나를 포함하는 4튜플 정보를 기초로 해쉬값을 연산하는 단계 및 상기 연산된 해쉬값에 대응하는 식별 번호를 갖는 리드 버퍼에 상기 트래픽을 저장하는 것을 특징으로 한다.
구체적으로, 상기 분산 처리를 수행하는 단계는, 임의의 리드 버퍼에 트래픽이 저장되면, 상기 임의의 리드 버퍼에 대응되는 트래픽 제어 모듈로 알림 메시지를 전송하는 단계를 더 포함하는 것을 특징으로 한다.
구체적으로, 상기 세션 종료를 수행하는 단계는, 연결 종료 메시지를 생성하는 단계, 상기 수집된 트래픽의 출발지 IP 주소 및 출발지 포트 번호를 각각 상기 연결 종료 메시지의 목적지 IP 주소 및 목적지 포트 번호로 설정하는 단계 및 상기 단말로 상기 연결 종료 메시지를 전송하는 단계를 포함하는 것을 특징으로 한다.
본 발명에 따른 네트워크 보안 장치 및 그의 트래픽 처리 방법은, 트래픽 고속 제어를 통해 트래픽 처리 지연을 방지함으로써, 트래픽 제어를 올바르게 수행할 수 있도록 한다.
도 1은 본 발명에 따른 네트워크 보안 장치의 구조를 나타낸 블록도이다.
도 2는 본 발명에 따른 네트워크 보안 장치의 트래픽 처리 방법을 나타낸 순서도이다.
도 3은 본 발명에 따른 네트워크 보안 장치의 고속 처리 방법을 나타낸 순서도이다.
본 명세서의 실시 예를 설명함에 있어 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 명세서의 요지를 흐릴 수 있다고 판단되는 경우, 그 상세한 설명은 생략될 수 있다.
본 명세서에서 사용되는 "포함한다," "포함할 수 있다." 등의 표현은 개시된 해당 기능, 동작, 구성요소 등의 존재를 가리키며, 추가적인 하나 이상의 기능, 동작, 구성요소 등을 제한하지 않는다. 또한, 본 명세서에서, "포함하다." 또는 "가지다." 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.  
본 명세서에서 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
이하, 첨부된 도면을 참조하여 본 발명을 설명한다.
도 1은 본 발명에 따른 네트워크 보안 장치의 구조를 나타낸 블록도이다.
본 발명의 다양한 실시 예에서, 네트워크 보안 장치(100)는 IPS, IDS, 방화벽, UTM 등일 수 있다.
도 1을 참조하면, 네트워크 보안 장치(100)는 네트워크 인터페이스부(110), 제어부(120) 및 저장부(130)를 포함하여 구성될 수 있다.
네트워크 인터페이스부(110)는 분산 처리 모듈(111) 및 적어도 하나의 리드 버퍼(112)를 포함할 수 있고, 제어부(120)는 적어도 하나의 트래픽 제어 모듈(121)을 포함하여 구성될 수 있다. 다양한 실시 예에서, 적어도 하나의 리드 버퍼(112) 및 적어도 하나의 트래픽 제어 모듈(121)은 문맥 전환(context switching)의 성능 저하를 고려하여 제어부(120)를 구성하는 프로세서 코어의 수에 대응하여 생성될 수 있다. 프로세서 코어는 네트워크 보안 장치(100)에서 일어나는 동작들을 실제로 처리하고 수행하는 논리적인 수행 주체를 의미할 수 있다.
일 실시 예에서, 적어도 하나의 리드 버퍼(112) 및 적어도 하나의 트래픽 제어 모듈(121)에는 도 1에 도시된 바와 같이 식별 번호(#1, #2, …, #N)가 할당될 수 있다.
분산 처리 모듈(111)은 네트워크로부터 입력되는 트래픽을 적어도 하나의 리드 버퍼(112) 중 어느 하나에 임시로 저장할 수 있다. 다양한 실시 예에서, 분산 처리 모듈(111)은 네트워크로 입력되는 트래픽 자체를 적어도 하나의 리드 버퍼(112)에 저장하거나, 입력된 트래픽을 복사하여 적어도 하나의 리드 버퍼(112)에 저장할 수 있다.
구체적으로, 분산 처리 모듈(111)은 트래픽의 4튜플 정보로써 출발지 IP 주소, 목적지 IP 주소, 출발지 포트 번호, 목적지 포트 번호를 기초로, 트래픽에 대응하는 리드 버퍼를 결정하고, 결정된 리드 버퍼에 트래픽을 저장할 수 있다. 일 예로, 분산 처리 모듈(111)은 임의의 해쉬 함수를 이용하여 4튜플 정보로부터 해쉬값을 연산하고, 연산된 해쉬값에 대응하는 식별 번호를 갖는 리드 버퍼에 트래픽을 저장할 수 있다. 분산 처리 모듈(111)은 4튜플 정보를 기초로 트래픽을 리드 버퍼에 저장함으로써, 동일한 세션으로부터 발생한 트래픽을 동일한 리드 버퍼에 저장할 수 있다.
분산 처리 모듈(111)은 임의의 리드 버퍼(112)에 트래픽이 저장되면, 해당 리드 버퍼(112)에 대응하는 트래픽 제어 모듈(121)로 해당 트래픽 제어 모듈(121)이 리드 버퍼(112)에 저장된 트래픽을 수집해가도록 알림 메시지를 전송한다. 알림 메시지의 형태, 알림 메시지에 포함되는 정보 및 알림 메시지를 전송하는 방식은 제한되지 않는다.
트래픽 제어 모듈(121)는 분산 처리 모듈(111)로부터 수신되는 알림 메시지에 응답하여 트래픽 제어 모듈(121)에 대응하는 리드 버퍼(112)에 저장된 트래픽을 수집할 수 있다. 다양한 실시 예에서, 트래픽 제어 모듈(121)는 리드 버퍼(112)에 저장된 트래픽을 저장부(130)에 옮겨 저장할 수 있다.
트래픽 제어 모듈(121)은 저장부(130)에 기저장된 블랙리스트 데이터베이스를 기초로 리드 버퍼(112)로부터 수집된 트래픽의 전송 허용 여부를 제어할 수 있다. 구체적으로, 트래픽 제어 모듈(121)은 수집된 트래픽의 HTTP 분석을 통하여 출발지 또는 목적지의 URL 주소, 도메인 이름 등 트래픽 정보를 판단할 수 있다. 트래픽 제어 모듈(121)은 판단된 트래픽 정보가 저장부(130)에 기저장된 블랙리스트 데이터베이스에 저장된 정보와 일치하는지 여부를 판단할 수 있다.
블랙리스트 데이터베이스는 네트워크 보안 장치(100)를 통하여 전송을 차단할 트래픽의 트래픽 정보를 포함할 수 있다. 일 예로, 블랙리스트 데이터베이스는 전송을 차단할 트래픽의 출발지 또는 목적지 URL 주소, 도메인 이름 등을 포함할 수 있다.
판단된 트래픽 정보가 저장부(130)에 기저장된 블랙리스트 데이터베이스에 저장된 정보와 일치하면, 트래픽 제어 모듈(121)은 해당 트래픽의 전달을 차단하여 네트워크 보안 동작을 수행할 수 있다.
본 발명의 다양한 실시 예에서, 트래픽 제어 모듈(121)은 블랙리스트 데이터베이스에 등록된 트래픽이 감지됨에 따라 해당 트래픽이 전달된 세션을 종료하기 위하여, 트래픽의 출발지 IP 주소, 출발지 포트 번호를 각각 목적지 IP 주소 및 목적지 포트 번호로 하는 연결 종료 메시지를 전송할 수 있다. 세션 종료는 통상적으로 해당 트래픽을 송수신하는 단말에 의해 요청되는 것이나, 본 발명에서 트래픽 제어 모듈(121)은 차단 트래픽을 전송한 단말로 자신이 직접 세션 종료를 위한 연결 종료 메시지를 전송할 수 있다. 일 실시 예에서, 트래픽 제어 모듈(121)은 차단 트래픽을 전송한 단말로 FIN/RST 메시지를 전송할 수 있다.
트래픽 제어 모듈(121)은 연결 종료 메시지 전송에 따라 차단 트래픽을 전송한 단말과의 세션 종료를 정상적으로 수행할 수 있다.
상술한 본 발명의 실시 예에 따르면, 네트워크 보안 장치(100)는 트래픽의 분산 처리를 통해 네트워크로부터 실시간으로 수신되는 트래픽을 병렬적으로 보다 빠르게 처리할 수 있다. 또한, 본 발명의 실시 예에 따르면, 네트워크 보안 장치(100)는 블랙리스트 데이터베이스에 의한 차단 트래픽이 수신된 경우 차단 트래픽을 전송한 단말과의 세션을 적극적으로 종료함으로써 추가적인 트래픽 수신을 차단하여 신속한 트래픽 제어가 가능하게 한다.
도 2는 본 발명에 따른 네트워크 보안 장치의 트래픽 처리 방법을 나타낸 순서도이다.
도 2를 참조하면, 본 발명에 따른 네트워크 보안 장치(100)는 먼저 대기상태에서 동작할 수 있다(201).
네트워크에서 동작하는 임의의 단말로부터 트래픽이 수신되면(202), 네트워크 보안 장치(100)는 네트워크 인터페이스부(110)의 분산 처리 모듈(111)을 통하여 수신된 트래픽의 분산 처리를 수행할 수 있다(203).
네트워크 보안 장치(100)는 분산 처리 수행을 통하여 트래픽을 처리해야 할 트래픽 제어 모듈(121)로 트래픽이 전달되도록 할 수 있고, 그에 따라 해당 트래픽 제어 모듈(121)이 트래픽 처리를 수행하도록 할 수 있다.
네트워크 보안 장치(100)의 트래픽 분산 처리 과정은 도 3을 통해 보다 구체적으로 설명된다.
이후에, 네트워크 보안 장치(100)는 해당 트래픽이 전달된 트래픽 제어 모듈(121)을 통하여 트래픽 검사를 수행할 수 있다(204).
구체적으로, 네트워크 보안 장치(100)는 저장부(130)에 기저장된 블랙리스트 데이터베이스를 기초로 트래픽의 전송 허용 여부를 제어할 수 있다. 네트워크 보안 장치(100)는 트래픽 제어 모듈(121)을 통하여 트래픽의 HTTP 분석을 통하여 출발지 또는 목적지의 URL 주소, 도메인 이름 등 트래픽 정보를 판단할 수 있다. 네트워크 보안 장치(100)는 판단된 트래픽 정보가 저장부(130)에 기저장된 블랙리스트 데이터베이스에 저장된 정보와 일치하는지 여부를 기초로 트래픽이 차단 트래픽인지 여부를 검사할 수 있다.
트래픽 검사 결과, 트래픽이 차단 트래픽으로 결정되면(205), 네트워크 보안 장치(100)는 차단 트래픽을 전송한 단말과의 세션을 종료할 수 있다(206).
네트워크 보안 장치(100)는 트래픽의 출발지 주소, 출발지 포트로 연결 종료 메시지를 전송할 수 있다. 일 실시 예에서, 네트워크 보안 장치(100)는 차단 트래픽을 전송한 단말로 FIN/RST 메시지를 전송할 수 있다.
추가로, 네트워크 보안 장치(100)는 해당 트래픽의 전달을 차단하거나, 삭제, 폐기하고, 네트워크 보안 장치(100)의 사용자에게 차단 트래픽 발생을 알림하는 등 네트워크 보안 동작을 수행할 수 있다.
트래픽 검사 결과, 트래픽이 차단 트래픽이 아닌 것으로 결정되면(205), 네트워크 보안 장치(100)는 해당 트래픽을 목적지 IP 주소 및 목적지 포트로 전달하는 등 트래픽의 정상 처리 동작을 수행할 수 있다(207).
도 3은 본 발명에 따른 네트워크 보안 장치의 고속 처리 방법을 나타낸 순서도이다.
도 3을 참조하면, 본 발명에 따른 네트워크 보안 장치(100)는 트래픽이 수신되는 경우에, 해당 트래픽의 4튜플 정보를 추출할 수 있다(301).
4튜플 정보는 예를 들어, 출발지 IP 주소, 목적지 IP 주소, 출발지 포트 번호, 목적지 포트 번호 중 적어도 하나를 포함할 수 있다.
다음으로, 네트워크 보안 장치(100)는 추출된 4튜플 정보에 대응하는 리드 버퍼(112)에 트래픽을 임시로 저장할 수 있다(302).
일 예로, 네트워크 보안 장치(100)는 임의의 해쉬 함수를 이용하여 4튜플 정보로부터 해쉬값을 연산하고, 연산된 해쉬값에 대응하는 식별 번호를 갖는 리드 버퍼(112)에 트래픽을 저장할 수 있다.
다음으로, 네트워크 보안 장치(100)는 트래픽이 저장된 리드 버퍼(112)에 대응하는 트래픽 제어 모듈(121)로 트래픽을 전달할 수 있다(303).
일 예로, 네트워크 보안 장치(100)는 트래픽이 저장된 리드 버퍼(112)에 대응하는 트래픽 제어 모듈(121)로 알림 메시지를 전송하여, 저장된 트래픽을 수집해가도록 할 수 있다. 알림 메시지의 형태, 알림 메시지에 포함되는 정보 및 알림 메시지를 전송하는 방식은 제한되지 않는다.
트래픽 제어 모듈(121)는 분산 처리 모듈(111)로부터 수신되는 알림 메시지에 응답하여 트래픽 제어 모듈(121)에 대응하는 리드 버퍼(112)에 저장된 트래픽을 수집할 수 있다. 다양한 실시 예에서, 트래픽 제어 모듈(121)는 리드 버퍼(112)에 저장된 트래픽을 저장부(130)에 옮겨 저장할 수 있다.
본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 그리고 본 명세서와 도면에 개시된 실시 예들은 본 발명의 내용을 쉽게 설명하고, 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 따라서 본 발명의 범위는 여기에 개시된 실시 예들 이외에도 본 발명의 기술적 사상을 바탕으로 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
100: 네트워크 보안 장치
110: 인터페이스부
111: 분산 처리 모듈
112: 리드 버퍼
120: 제어부
121: 트래픽 제어 모듈
130: 저장부

Claims (10)

  1. 적어도 하나의 리드 버퍼 및 분산 처리 모듈을 포함하되, 상기 분산 처리 모듈은 트래픽이 수신되면, 상기 트래픽의 4튜플 정보로부터 연산되는 해쉬값에 기초하여 상기 적어도 하나의 리드 버퍼 중 상기 트래픽의 트래픽 정보에 대응하는 리드 버퍼에 상기 트래픽을 저장하는 네트워크 인터페이스부;
    상기 적어도 하나의 리드 버퍼 각각에 대응하는 적어도 하나의 트래픽 제어 모듈을 포함하는 제어부를 포함하되,
    상기 적어도 하나의 트래픽 제어 모듈은 상기 네트워크 인터페이스부로부터의 알림 메시지에 응답하여 대응되는 리드 버퍼로부터 트래픽을 수집하고, 상기 수집된 트래픽의 트래픽 정보가 블랙리스트 데이터베이스에 저장된 트래픽 정보에 대응되면, 상기 수집된 트래픽을 전송한 단말과의 세션 종료를 수행하는 것을 특징으로 하는 네트워크 보안 장치.
  2. 제1항에 있어서, 상기 분산 처리 모듈은,
    상기 트래픽의 출발지 IP 주소, 목적지 IP 주소, 출발지 포트 번호 및 목적지 포트 번호 중 적어도 하나를 포함하는 상기 4튜플 정보를 기초로 상기 해쉬값을 연산하고,
    상기 연산된 해쉬값에 대응하는 식별 번호를 갖는 리드 버퍼에 상기 트래픽을 저장하는 것을 특징으로 하는 네트워크 보안 장치.
  3. 제2항에 있어서, 상기 네트워크 인터페이스부는,
    임의의 리드 버퍼에 트래픽이 저장되면, 상기 임의의 리드 버퍼에 대응되는 트래픽 제어 모듈로 상기 알림 메시지를 전송하는 것을 특징으로 하는 네트워크 보안 장치.
  4. 제1항에 있어서, 상기 적어도 하나의 트래픽 제어 모듈은,
    상기 수집된 트래픽의 트래픽 정보가 블랙리스트 데이터베이스에 저장된 트래픽 정보에 대응되면, 상기 수집된 트래픽을 전송한 상기 단말로 연결 종료 메시지를 전송하는 것을 특징으로 하는 네트워크 보안 장치.
  5. 제1항에 있어서, 상기 적어도 하나의 트래픽 제어 모듈은,
    상기 수집된 트래픽의 출발지 IP 주소 및 출발지 포트 번호를 각각 목적지 IP 주소 및 목적지 포트 번호로 설정하여 연결 종료 메시지를 전송하는 것을 특징으로 하는 네트워크 보안 장치.
  6. 제1항에 있어서, 상기 적어도 하나의 리드 버퍼 및 상기 적어도 하나의 트래픽 제어 모듈은,
    상기 제어부를 구성하는 프로세서 코어의 수에 대응하여 생성되는 것을 특징으로 하는 네트워크 보안 장치.
  7. 네트워크 인터페이스를 구성하는 분산 처리 모듈로 트래픽이 수신되면, 상기 분산 처리 모듈이 상기 트래픽의 4튜플 정보로부터 연산되는 해쉬값에 기초하여, 상기 네트워크 인터페이스를 구성하는 적어도 하나의 리드 버퍼 중 상기 트래픽의 트래픽 정보에 대응하는 리드 버퍼에 상기 트래픽을 저장하는 분산 처리를 수행하는 단계;
    제어부를 구성하고, 상기 적어도 하나의 리드 버퍼 각각에 대응하는 적어도 하나의 트래픽 제어 모듈이, 상기 네트워크 인터페이스로부터의 알림 메시지에 응답하여 상기 리드 버퍼로부터 트래픽을 수집하는 단계; 및
    상기 적어도 하나의 트래픽 제어 모듈이, 상기 수집된 트래픽의 트래픽 정보가 블랙리스트 데이터베이스에 저장된 트래픽 정보에 대응되면, 상기 수집된 트래픽을 전송한 단말과의 세션 종료를 수행하는 단계를 포함하는 것을 특징으로 하는 네트워크 보안 장치의 트래픽 처리 방법.
  8. 제7항에 있어서, 상기 분산 처리를 수행하는 단계는,
    상기 트래픽의 출발지 IP 주소, 목적지 IP 주소, 출발지 포트 번호 및 목적지 포트 번호 중 적어도 하나를 포함하는 상기 4튜플 정보를 기초로 상기 해쉬값을 연산하는 단계; 및
    상기 연산된 해쉬값에 대응하는 식별 번호를 갖는 리드 버퍼에 상기 트래픽을 저장하는 것을 특징으로 하는 네트워크 보안 장치의 트래픽 처리 방법.
  9. 제7항에 있어서, 상기 분산 처리를 수행하는 단계는,
    임의의 리드 버퍼에 트래픽이 저장되면, 상기 임의의 리드 버퍼에 대응되는 트래픽 제어 모듈로 상기 알림 메시지를 전송하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 보안 장치의 트래픽 처리 방법.
  10. 제7항에 있어서, 상기 세션 종료를 수행하는 단계는,
    연결 종료 메시지를 생성하는 단계;
    상기 수집된 트래픽의 출발지 IP 주소 및 출발지 포트 번호를 각각 상기 연결 종료 메시지의 목적지 IP 주소 및 목적지 포트 번호로 설정하는 단계; 및
    상기 단말로 상기 연결 종료 메시지를 전송하는 단계를 포함하는 것을 특징으로 하는 네트워크 보안 장치의 트래픽 처리 방법.
KR1020170070736A 2017-06-07 2017-06-07 네트워크 보안 장치 및 그의 트래픽 처리 방법 KR101959440B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170070736A KR101959440B1 (ko) 2017-06-07 2017-06-07 네트워크 보안 장치 및 그의 트래픽 처리 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170070736A KR101959440B1 (ko) 2017-06-07 2017-06-07 네트워크 보안 장치 및 그의 트래픽 처리 방법

Publications (2)

Publication Number Publication Date
KR20180133648A KR20180133648A (ko) 2018-12-17
KR101959440B1 true KR101959440B1 (ko) 2019-03-18

Family

ID=65007658

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170070736A KR101959440B1 (ko) 2017-06-07 2017-06-07 네트워크 보안 장치 및 그의 트래픽 처리 방법

Country Status (1)

Country Link
KR (1) KR101959440B1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101275709B1 (ko) * 2011-12-22 2013-07-30 (주)소만사 응용프로토콜별 분산처리기능을 제공하는 네트워크 기반의 ndlp용 패킷 처리 시스템 및 방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100456637B1 (ko) * 2002-12-12 2004-11-10 한국전자통신연구원 블랙리스트 기반의 분류기를 포함하는 네트워크 보안서비스 시스템

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101275709B1 (ko) * 2011-12-22 2013-07-30 (주)소만사 응용프로토콜별 분산처리기능을 제공하는 네트워크 기반의 ndlp용 패킷 처리 시스템 및 방법

Also Published As

Publication number Publication date
KR20180133648A (ko) 2018-12-17

Similar Documents

Publication Publication Date Title
US10122746B1 (en) Correlation and consolidation of analytic data for holistic view of malware attack
KR101715080B1 (ko) 네임 기반의 네트워크 시스템에서 펜딩 테이블의 오버플로우를 방지하는 노드 장치 및 방법
CN108040057B (zh) 适于保障网络安全、网络通信质量的sdn系统的工作方法
US20170142000A1 (en) Packet control method, switch, and controller
JP5050781B2 (ja) マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
EP3119052B1 (en) Method, device and switch for identifying attack flow in a software defined network
CN108353068B (zh) Sdn控制器辅助的入侵防御系统
CN105991412B (zh) 消息推送方法及装置
CN108737447B (zh) 用户数据报协议流量过滤方法、装置、服务器及存储介质
CN106101011B (zh) 一种报文处理方法及装置
US20160173387A1 (en) Network Traffic Accelerator
CN106470136B (zh) 平台测试方法以及平台测试系统
US7506372B2 (en) Method and apparatus for controlling connection rate of network hosts
CN105577669B (zh) 一种识别虚假源攻击的方法及装置
US8161555B2 (en) Progressive wiretap
CN108810008B (zh) 传输控制协议流量过滤方法、装置、服务器及存储介质
CN111224882A (zh) 报文处理方法及装置、存储介质
CN1983955A (zh) 对非法报文的监控方法及监控系统
CN102546587B (zh) 防止网关系统会话资源被恶意耗尽的方法及装置
CN109347810A (zh) 一种处理报文的方法和装置
KR100733830B1 (ko) 광대역 네트워크에서의 분산 서비스 거부 공격 탐지 및대응 방법
CN107241297B (zh) 通信拦截方法及装置、服务器
KR101959440B1 (ko) 네트워크 보안 장치 및 그의 트래픽 처리 방법
CN104734939A (zh) 会话保活方法和设备
WO2017070965A1 (zh) 一种基于软件定义网络的数据处理方法及相关设备

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant