KR101977612B1 - 네트워크관리장치 및 방법 - Google Patents

네트워크관리장치 및 방법 Download PDF

Info

Publication number
KR101977612B1
KR101977612B1 KR1020170051681A KR20170051681A KR101977612B1 KR 101977612 B1 KR101977612 B1 KR 101977612B1 KR 1020170051681 A KR1020170051681 A KR 1020170051681A KR 20170051681 A KR20170051681 A KR 20170051681A KR 101977612 B1 KR101977612 B1 KR 101977612B1
Authority
KR
South Korea
Prior art keywords
specific
address
terminal
request packet
network management
Prior art date
Application number
KR1020170051681A
Other languages
English (en)
Other versions
KR20180118401A (ko
Inventor
남상철
이경근
정준희
Original Assignee
에스케이브로드밴드주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이브로드밴드주식회사 filed Critical 에스케이브로드밴드주식회사
Priority to KR1020170051681A priority Critical patent/KR101977612B1/ko
Publication of KR20180118401A publication Critical patent/KR20180118401A/ko
Application granted granted Critical
Publication of KR101977612B1 publication Critical patent/KR101977612B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은, 네트워크관리장치 및 방법에 관한 것으로, 특정서버와 관련되어 송수신되는 모든 트래픽에 대한 모니터링이 이루어지도록 양방향 통신 구조를 구현함으로써, 악의적인 모든 공격을 근본적으로 차단하여 네트워크 보안이 강화되도록 하는, 새로운 새로운 네트워크 관리 방안을 개시하고 있다.

Description

네트워크관리장치 및 방법{APPARATUS AND METHOD FOR NETWORK MANAGEMENT}
본 발명은 라우팅 기법을 기반으로 네트워크 보안을 강화하는 기술에 관한 것으로, 더욱 상세하게는, 악의적인 모든 공격이 차단되도록 특정서버와 관련되어 송수신되는 모든 트래픽에 대한 모니터링이 이루어지도록 하는, 새로운 네트워크 관리 방안에 관한 것이다.
디도스(DDOS, Distributed Denial of Service) 공격은 다수의 컴퓨터들(이하, 단말)이 일제히 특정서버 또는 사이트에 대량 트래픽을 유발시켜 해당 서버가 정상적인 기능을 수행할 수 없도록 한다. 디도스 공격에 사용되는 단말들은 사용자 몰래 악성코드가 설치된 좀비 PC이며, 사용자의 의지와 상관없이 특정서버나 사이트에 패킷을 무차별적으로 전송하여 단시간 내에 서버에 과부하를 일으켜 보안을 위협한다.
이러한 디도스 공격은, 특정서버로 전달되는 트래픽의 분석을 통해 공격 여부를 판단 및 차단할 수는 있다. 즉, 기존 네트워크관리장치는, 특정서버로 인입되는 모든 트래픽을 모니터링하여 디도스 공격을 예측하고, 디도스 공격이 아닌 정상적인 트래픽 전송인 경우에만 특정서버로 트래픽이 전송되도록 함으로써 디도스 공격을 차단한다.
이처럼 기존에는 특정서버로 전달되어야 하는 모든 요청패킷이 네트워크관리장치로 라우팅되도록 네트워크가 구현되었으므로, 네트워크관리장치에서는 정상적인 트래픽 전송인지의 여부를 모니터링하여 디도스 공격을 예측 및 차단할 수 있었다.
그러나, 이러한 기존 네트워크 구조에서는, 특정서버로부터 생성되는 응답패킷의 경우 네트워크관리장치로 라우팅되지 않고 곧바로 단말로 전송되게 된다. 이에, 네트워크관리장치는 응답패킷을 통해 개인정보 등과 같이 보안을 위협하는 정보들이 유출되더라도 이를 확인할 수 없는 치명적인 문제가 발생한다.
결국, 기존 네트워크 구조에서는, 디도스 공격 이외의 다른 해킹 공격이 발생하는 경우에는 개인정보 등이 모두 해커에게 유출될 수 밖에 없는 심각한 보안위협 상황이 발생하는 한계점이 존재한다.
본 발명은 상기한 사정을 감안하여 창출된 것으로서, 본 발명에서 도달하고자 하는 목적은, 상세하게는 특정서버와 관련되어 송수신되는 모든 트래픽에 대한 모니터링이 이루어지도록 양방향 통신 구조를 구현함으로써, 악의적인 모든 공격을 근본적으로 차단하여 네트워크 보안이 강화되도록 하는 기술에 관한 것이다.
또한, 본 발명의 해결하려는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 네트워크관리장치는, 특정서버를 목적지로 하는 적어도 하나의 특정요청패킷의 IP주소를 확인하는 확인부; 상기 특정요청패킷의 IP주소를 확인한 결과를 기반으로 상기 특정요청패킷을 전송한 단말을 특정검출대상으로 결정할 지의 여부를 판단하는 판단부; 및 상기 단말이 상기 특정검출대상으로 결정된 경우, 상기 특정서버로부터 전송되는 상기 특정요청패킷에 대응하는 특정응답패킷의 목적지가 변경되도록 상기 특정요청패킷의 IP주소를 변경하는 제어부를 포함하는 것을 특징으로 한다.
상기 IP주소는, 상기 단말의 NAT IP주소에 해당하는 소스 IP주소(source IP address) 및 상기 특정서버의 NAT IP주소에 해당하는 목적지 IP주소(destination IP address)를 포함하는 것을 특징으로 한다.
상기 판단부는, 상기 특정요청패킷의 소스 IP주소와 기 저장된 검출대상기준정보를 비교한 결과에 기초하여 상기 단말을 상기 특정검출대상으로 결정하는 것을 특징으로 한다.
상기 검출대상기준정보는, 상기 특정서버로의 접속이 차단되어야 할 IP블랙리스트목록 및 상기 특정검출대상에서 제외되어야 할 IP화이트리스트목록을 포함하며, 상기 판단부는, 상기 특정요청패킷의 소스 IP주소가 상기 IP블랙리스트목록 및 상기 IP화이트리스트목록 중 어디에도 포함되지 않으면 상기 단말을 상기 특정검출대상으로 결정하는 것을 특징으로 한다.
상기 제어부는, 상기 단말이 상기 특정검출대상으로 결정된 경우, 상기 특정응답패킷의 목적지가 상기 네트워크관리장치가 되도록 상기 특정요청패킷의 소스 IP주소를 상기 네트워크관리장치의 NAT IP주소로 변경하는 것을 특징으로 한다.
상기 제어부는, 상기 특정서버로부터 상기 특정응답패킷이 수신되면, 상기 특정응답패킷을 분석한 결과를 기반으로 상기 특정응답패킷을 상기 단말로 전송할 지의 여부를 결정하는 것을 특징으로 한다.
상기 제어부는, 상기 특정응답패킷에 기 설정된 해킹관련정보 및 보안관련정보 중 적어도 하나가 포함되는 경우, 상기 단말이 해킹 공격을 위해 접속한 것으로 판단하여 상기 특정응답패킷이 전송되지 않도록 제어하는 것을 특징으로 한다.
상기 제어부는, 상기 단말이 상기 특정검출대상으로 결정된 경우, 상기 단말이 소정의 시간 동안 접속한 횟수가 기준 이상으로 확인되면, 상기 단말이 디도스(DDoS) 공격을 위해 접속한 것으로 판단하여 상기 특정서버로의 접속이 차단되도록 제어하는 것을 특징으로 한다.
상기 제어부는, 상기 특정요청패킷의 소스 IP주소가 상기 IP블랙리스트목록에만 포함된 경우, 상기 특정서버로의 접속이 차단되도록 제어하며, 상기 특정요청패킷의 소스 IP주소가 상기 IP화이트리스트목록에만 포함된 경우, 상기 특정요청패킷의 IP주소를 변경하는 과정을 수행하지 않고 상기 특정서버로 전송되도록 제어하는 것을 특징으로 한다.
상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 네트워크관리장치의 동작방법은, 특정서버를 목적지로 하는 적어도 하나의 특정요청패킷의 IP주소를 확인하는 확인단계; 상기 특정요청패킷의 IP주소를 확인한 결과를 기반으로 상기 특정요청패킷을 전송한 단말을 특정검출대상으로 결정할 지의 여부를 판단하는 판단단계; 및 상기 단말이 상기 특정검출대상으로 결정된 경우, 상기 특정서버로부터 전송되는 상기 특정요청패킷에 대응하는 특정응답패킷의 목적지가 변경되도록 상기 특정요청패킷의 IP주소를 변경하는 제어단계를 포함하는 것을 특징으로 한다.
상기 IP주소는, 상기 단말의 NAT IP주소에 해당하는 소스 IP주소(source IP address) 및 상기 특정서버의 NAT IP주소에 해당하는 목적지 IP주소(destination IP address)를 포함하는 것을 특징으로 한다.
상기 판단단계는, 상기 특정요청패킷의 소스 IP주소와 기 저장된 검출대상기준정보를 비교한 결과에 기초하여 상기 단말을 상기 특정검출대상으로 결정하는 것을 특징으로 한다.
상기 검출대상기준정보는, 상기 특정서버로의 접속이 차단되어야 할 IP블랙리스트목록 및 상기 특정검출대상에서 제외되어야 할 IP화이트리스트목록을 포함하며, 상기 판단단계는, 상기 특정요청패킷의 소스 IP주소가 상기 IP블랙리스트목록 및 상기 IP화이트리스트목록 중 어디에도 포함되지 않으면 상기 단말을 상기 특정검출대상으로 결정하는 것을 특징으로 한다.
상기 제어단계는, 상기 단말이 상기 특정검출대상으로 결정된 경우, 상기 특정응답패킷의 목적지가 상기 네트워크관리장치가 되도록 상기 특정요청패킷의 소스 IP주소를 상기 네트워크관리장치의 NAT IP주소로 변경하는 것을 특징으로 한다.
상기 제어단계는, 상기 특정서버로부터 상기 특정응답패킷이 수신되면, 상기 특정응답패킷을 분석한 결과를 기반으로 상기 특정응답패킷을 상기 단말로 전송할 지의 여부를 결정하는 것을 특징으로 한다.
상기 제어단계는, 상기 특정응답패킷에 기 설정된 해킹관련정보 및 보안관련정보 중 적어도 하나가 포함되는 경우, 상기 단말이 해킹 공격을 위해 접속한 것으로 판단하여 상기 특정응답패킷이 전송되지 않도록 제어하는 것을 특징으로 한다.
상기 제어단계는, 상기 단말이 상기 특정검출대상으로 결정된 경우, 상기 단말이 소정의 시간 동안 접속한 횟수가 기준 이상으로 확인되면, 상기 단말이 디도스(DDoS) 공격을 위해 접속한 것으로 판단하여 상기 특정서버로의 접속이 차단되도록 제어하는 것을 특징으로 한다.
상기 제어단계는, 상기 특정요청패킷의 소스 IP주소가 상기 IP블랙리스트목록에만 포함된 경우, 상기 특정서버로의 접속이 차단되도록 제어하는 단계; 및 상기 특정요청패킷의 소스 IP주소가 상기 상기 IP화이트리스트목록에만 포함된 경우, 상기 특정요청패킷의 IP주소를 변경하는 과정을 수행하지 않고 상기 특정서버로 전송되도록 제어하는 단계를 포함하는 것을 특징으로 한다.
이에, 본 발명에 따른 네트워크관리장치 및 방법에 의하면, 특정서버와 관련되어 송수신되는 모든 트래픽에 대한 모니터링이 이루어지도록 양방향 통신 구조를 구현함으로써, 악의적인 모든 공격을 근본적으로 차단하여 네트워크 보안을 강화할 수 있어 네트워크 서비스 성능을 향상시키는 효과를 도출한다.
도 1은 기존 네트워크 구조의 일례를 나타내는 도면이다.
도 2는 본 발명의 실시예에 따른 네트워크관리장치가 적용되는 네트워크 구조의 일례를 나타내는 도면이다.
도 3은 도 2에 도시된 네트워크관리장치 내 경로관리부의 구성을 나타내는 블록도이다.
도 4는 본 발명의 소스NAT 처리를 통해 형성되는 양방향 전송경로의 일례를 나타내는 도면이다.
도 5는 본 발명의 실시예에 따른 네트워크관리장치에서 라우팅 기법을 기반으로 네트워크 보안을 강화하는 동작 흐름을 나타내는 순서도이다.
본 명세서에서 사용되는 기술적 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아님을 유의해야 한다. 또한, 본 명세서에서 사용되는 기술적 용어는 본 명세서에서 특별히 다른 의미로 정의되지 않는 한, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 의미로 해석되어야 하며, 과도하게 포괄적인 의미로 해석되거나, 과도하게 축소된 의미로 해석되지 않아야 한다. 또한, 본 명세서에서 사용되는 기술적인 용어가 본 발명의 사상을 정확하게 표현하지 못하는 잘못된 기술적 용어일 때에는, 당업자가 올바르게 이해할 수 있는 기술적 용어로 대체되어 이해되어야 할 것이다. 또한, 본 발명에서 사용되는 일반적인 용어는 사전에 정의되어 있는 바에 따라, 또는 전후 문맥상에 따라 해석되어야 하며, 과도하게 축소된 의미로 해석되지 않아야 한다.
이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성 요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 또한, 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 이하, 첨부된 도면을 참조하여 본 명세서의 실시예에 대하여 설명한다.
이하에서는, 본 발명의 실시예에 따른 네트워크관리장치가 적용되는 네트워크 구조를 설명하기에 앞서, 도 1을 참고하여 기존 네트워크 구조를 간단히 설명하도록 하겠다.
도 1에서는 기존 네트워크 구조에서 단말이 웹서버로 특정패킷을 전달하여 응답패킷을 수신하는 것으로 가정하여 설명하도록 하겠다.
단말(10)이 웹서버(50)로 접속하기 위해 적어도 하나의 요청패킷을 전달하면, 백본 라우터(20)를 통해 요청패킷이 라우팅되어 네트워크관리장치(30)로 전달된다. 그러면, 네트워크관리장치(30)는, 요청패킷을 모니터링한 후 디도스 공격이 아닌 정상적인 트래픽 전송인 경우에만 웹서버(50)로 요청패킷을 전달한다.
즉, 단말(10)로부터 전달된 요청패킷은, 네트워크관리장치(30)로 라우팅되어 패킷분석 과정을 거친 후 정상적인 트래픽 전송인 경우에만 네트워크관리장치(30)를 경유하는 경로(P11)를 통해 웹서버(50)로 전달되게 된다.
결국, 기존 네트워크 구조에서는, 단말(10)로부터 웹서버(50)로 전달되는 모든 요청패킷이 네트워크관리장치(30)로 라우팅되도록 네트워크가 구현되어 있으므로, 네트워크관리장치(30)에서는 정상적인 트래픽 전송인지의 여부를 모니터링하여 디도스 공격을 예측 및 차단할 수 있었다.
한편, 웹서버(50)는, 네트워크관리장치(30)로부터 요청패킷을 수신하면, 요청패킷에 해당하는 적어도 하나의 응답패킷을 생성한다. 이후, 웹서버(50)는, 네트워크관리장치(30)를 경유하지 않는 경로(P12)를 통해 단말(10)로 응답패킷을 전달한다.
결국, 기존 네트워크 구조에서는, 웹서버(50)로부터 단말(10)로 전달되는 모든 응답패킷이 네트워크관리장치(30)로 라우팅되지 않고 곧바로 단말(10)로 전송된다. 이에, 네트워크관리장치(30)는 응답패킷을 통해 개인정보 등과 같이 보안을 위협하는 정보들이 유출되는지를 모니터링할 수 없는 치명적인 문제가 발생한다.
즉, 기존 네트워크 구조에서는, 디도스 공격 이외의 다른 해킹 공격이 발생하는 경우에는 개인정보 등이 모두 해커에게 유출될 수 밖에 없는 심각한 보안위협 상황이 발생하는 한계점이 존재한다.
이에, 본 발명에서는, 웹서버(50)로 전달되는 요청패킷뿐만 아니라 웹서버(50)로부터 전달되는 응답패킷에 대해서도 모니터링이 이루어지도록 양방향 통신 구조를 구현하는, 새로운 네트워크 관리 방안을 제안하고자 한다.
먼저, 이하에서는 도 2를 참조하여 본 발명의 실시예에 따른 네트워크관리장치가 적용되는 네트워크 구조를 구체적으로 설명하겠다.
도 2에 도시된 바와 같이, 본 발명의 실시예에 따른 네트워크 구조는, 사용자의 단말(100)과, 단말(100)로부터 웹서버(500)로 접속하기 위해 적어도 하나의 특정요청패킷이 백본 라우터(200)로 업스트림될 때, 웹서버(500)로 전달되는 특정요청패킷뿐만 아니라 웹서버(500)로부터 전달되는 적어도 하나의 특정응답패킷에 대해서도 모니터링이 이루어지도록 양방향 통신 구조가 구현되도록 하는 네트워크관리장치(300)와, 네트워크관리장치(300)와 논리적 연동하여 네트워크관리장치(300)와 웹서버(500) 사이에서 특정요청패킷 및 응답응답패킷이 전송되도록 하는 인터넷 라우터(400)로 구성된다.
여기서, 웹서버(500)는, 적어도 하나의 서버 중 단말(100)이 접속하려는 특정서버일 수 있다. 이에, 이하에서는 웹서버(500)를 특정서버(500)로 언급하여 설명하도록 하겠다.
이처럼 본 발명의 네트워크 구조에서는, 앞서 언급한 도 1의 기존 네트워크 구조와 달리, 라우팅 기법을 기반으로 단말(100)로부터 전달되는 특정요청패킷과, 특정서버(500)로부터 전달되는 특정응답패킷 각각에 대한 모니터링이 이루어지도록 네트워크관리장치(300)를 경유하는 양방향 전송경로가 형성된다.
이하에서는 이러한 네트워크관리장치(300)의 구성에 대하여 보다 구체적으로 살펴보도록 하겠다.
네트워크관리장치(300)는, 싱크홀 라우터(310), 경로관리부(320), 보안라우터(330), GRE라우터(340)을 포함한다.
싱크홀 라우터(310)는, 단말(100)이 특정서버(500)를 목적지로 하는 적어도 하나의 특정요청패킷을 업스트림하는 경우, 라우팅 기법을 기반으로 백본 라우터(200)를 통해 특정요청패킷과 관련되는 트래픽을 수신한다.
이후, 싱크홀 라우터(310)는, 특정요청패킷과 관련되는 트래픽을 경로관리부(320)로 전달한다.
경로관리부(320)는, 단말(100)과 특정서버(500) 사이에서 송수신되는 모든 패킷에 대한 모니터링이 수행되도록 네트워크관리장치(300)를 경유하는 양방향 전송경로를 형성한다.
이러한 경로관리부(320)는, 도 3에 도시한 바와 같이, 확인부(321), 판단부(322) 및 제어부(323)를 포함한다.
확인부(321)는, 싱크홀 라우터(310)로부터 특정서버(500)를 목적지로 하는 적어도 하나의 특정요청패킷을 수신한다. 이후, 확인부(321)는, 특정요청패킷의 IP주소로부터 소스 IP주소(source IP address) 및 목적지 IP주소(destination IP address)를 확인한다.
즉, 단말(100)이 특정서버(500)를 목적지로 특정요청패킷을 업스트림하였으므로, 특정요청패킷의 IP주소에는, 단말(100)의 NAT(Network Address Translation) IP주소에 해당하는 소스 IP주소 및 특정서버(500)의 NAT IP주소에 해당하는 목적지 IP주소가 포함된다.
이에, 확인부(321)는, 특정요청패킷의 IP주소로부터 소스 IP주소가 단말(100)의 NAT IP주소이며, 목적지 IP주소가 특정서버(500)의 NAT IP주소임을 확인할 수 있게 된다.
판단부(322)는, 단말(100)이 악의적인 공격 목적을 가지고 특정요청패킷을 전송하였는지의 여부를 판단한다.
보다 구체적으로, 판단부(322)는, 특정요청패킷의 IP주소를 확인한 결과를 기반으로 특정요청패킷을 전송한 단말(100)을 특정검출대상으로 결정할 지의 여부를 판단한다.
즉, 판단부(322)는, 확인부(321)로부터 특정요청패킷의 IP주소에 대한 확인이 완료되면, 특정요청패킷의 소스 IP주소와 기 저장된 검출대상기준정보를 비교하여 특정검출대상을 검출한다.
여기서, 검출대상기준정보는, 특정서버(500)로의 접속이 차단되어야 할 IP블랙리스트목록 및 특정검출대상에서 제외되어야 할 IP화이트리스트목록을 포함한다.
이때, IP블랙리스트목록에는, 해킹/디도스(DDoS)/악성 트래픽을 전송한 이력을 가진 IP주소를 누적한 정보이며, 특정요청패킷에 대한 정밀 분석이 수행되지 않더라도 IP주소를 기반으로 접속차단대상인지의 여부를 확인할 수 있도록 상시 관리 및 갱신되는 것이 바람직할 것이다.
한편, IP화이트리스트목록에는, 네트워크관리장치(300)에서 신뢰할 수 있는 기 검증된 IP주소를 누적한 정보이며, 운영자 및 시스템에 의해 수동/자동으로 추가될 수 있다.
즉, 판단부(322)는, 특정요청패킷의 소스 IP주소가 IP블랙리스트목록 및 IP화이트리스트목록 중 어디에도 포함되지 않으면 단말(100)을 특정검출대상으로 결정한다.
여기서, 특정검출대상이라 함은, IP블랙리스트목록에 포함되지 않아 접속 차단대상은 아니지만 IP화이트리스트목록에 포함되지도 않아 신뢰성 역시 보장되지도 않은, 악의적인 공격 가능성이 있어 송수신되는 특정요청패킷/특정응답패킷에 대한 모니터링이 필요한 대상일 수 있다.
이후, 판단부(322)는, 단말(100)이 특정검출대상으로 결정되었음을 제어부(323)로 알린다.
제어부(323)는, 특정검출대상과 관련되는 특정요청패킷/특정응답패킷 각각에 대한 모니터링을 위해 네트워크관리장치(300)를 경유하는 양방향 전송경로가 형성되도록 소스NAT 처리를 수행한다.
보다 구체적으로, 제어부(323)는, 판단부(322)로부터 단말(100)이 특정검출대상으로 결정된 것으로 확인되면, 특정응답패킷의 목적지가 네트워크관리장치(300)가 되도록 특정요청패킷의 소스 IP주소를 네트워크관리장치(300)의 NAT IP주소로 변경한다.
이와 관련하여 도 4에는 본 발명의 양방향 전송경로가 형성된 일례가 도시되어 있다.
도 4에 도시한 바와 같이, 단말(100)이 특정검출대상으로 결정되었다는 것은 단말(100)이 악의적인 공격을 시도할 가능성이 있어 확인이 필요한 것이므로, 단말(100)로부터 전달되는 특정요청패킷과 단말(100)로 전달되어야 할 특정응답패킷에 대한 모니터링이 이루어져야 한다.
이때, 단말(100)이 특정서버(500)를 목적지로 특정요청패킷을 업스트림한 것이므로, 특정요청패킷의 소스 IP주소에는 단말(100)의 NAT IP주소가 매칭되어 있으며, 목적지 IP주소에는 특정서버(500)의 NAT IP주소가 매칭되어 있을 것이다.
이처럼 특정요청패킷의 소스 IP주소에 단말(100)의 NAT IP주소로 매칭되어 있게 되면, 특정서버(500)에서 생성되는 특정응답패킷의 목적지는 기존과 같이 단말(100)이 될 것이다.
이에, 제어부(323)는, 특정응답패킷의 목적지가 네트워크관리장치(300)가 되도록 특정요청패킷의 소스 IP주소에 매칭되어 있던 단말(100)의 NAT IP주소를 네트워크관리장치(300)의 NAT IP주소로 변경한다. 결국, 특정요청패킷의 소스 IP주소에는 네트워크관리장치(300)의 NAT IP주소가 매칭되며, 목적지 IP주소에는 특정서버(500)의 NAT IP주소가 매칭되게 된다.
전술과 같이 특정요청패킷의 소스NAT 처리가 수행된 후 네트워크관리장치(300)를 경유하는 제1 경로(P2)를 따라 특정요청패킷이 특정서버(500)로 전달되면, 특정서버(500)는 특정요청패킷에 대응하는 특정응답패킷을 생성한다.
여기서, 제1 경로(P2)는, 단말(100), 백본 라우터(200), 싱크홀 라우터(310), 경로관리부(320), GRE라우터(340), 인터넷 라우터(400) 및 특정서버(500)에 의해 형성되며, 상기 구성들이 나열된 순서에 대응하여 특정요청패킷이 전송될 수 있다.
이때, 특정서버(500)가 네트워크관리장치(300)를 목적지로 특정응답패킷을 생성할 것이므로, 특정응답패킷의 소스 IP주소에는 특정서버(500)의 NAT IP주소가 매칭되어 있으며, 목적지 IP주소에는 네트워크관리장치(300)의 NAT IP주소가 매칭되어 있을 것이다.
즉, 특정서버(500)는, 특정요청패킷의 소스 IP주소로 매칭되어 있던 네트워크관리장치(300)의 NAT IP주소가 목적지 주소가 되도록, 특정응답패킷의 목적지 IP주소에 네트워크관리장치(300)의 NAT IP주소를 매칭한다. 이에, 특정서버(500)로부터 특정응답패킷이 전송되면, 네트워크관리장치(300)를 경유하는 제2 경로(P3)를 따라 특정응답패킷이 전송될 수 있는 것이다.
여기서, 제2 경로(P3)는, 특정서버(500), 인터넷 라우터(400), 백본 라우터(200), 싱크홀 라우터(310), 보안라우터(330), 경로관리부(320), 싱크홀 라우터(310)에 의해 형성되며, 상기 구성들이 나열된 순서에 대응하여 특정응답패킷이 전송될 수 있다.
전술과 같이 소스NAT 처리에 따라 양방향 전송경로가 형성되면, 제어부(323)는, 제1 경로(P2)를 따라 전달될 특정요청패킷과 제2 경로(P3)를 따라 전달될 특정응답패킷 각각을 모니터링하여 디도스 공격뿐만 아니라 다른 해킹 공격까지 근본적으로 차단할 수 있게 된다.
즉, 제어부(323)는, 제1 경로(P2)를 따라 전달될 특정요청패킷을 모니터링한다. 이때, 단말(100)이 소정의 시간 동안 접속한 횟수가 기준 이상으로 확인되면, 제어부(323)는, 단말(100)이 디도스(DDoS) 공격을 위해 접속한 것으로 판단한다. 이후, 제어부(323)는, 단말(100)이 특정서버(500)로 접속하지 못하도록 접속차단 제어를 수행한다.
한편, 제어부(323)는, 제2 경로(P3)를 따라 전달되는 특정응답패킷을 모니터링한다. 이후, 제어부(323)는, 특정응답패킷을 분석한 결과를 기반으로 특정응답패킷을 단말(100)로 전송할 지의 여부를 결정한다.
즉, 제어부(323)는, 특정응답패킷에 기 설정된 해킹관련정보 및 보안관련정보 중 적어도 하나가 포함되어 있는 지의 여부를 확인한다.
확인결과 특정응답패킷에 기 설정된 해킹관련정보 및 보안관련정보 중 적어도 하나가 포함되어 있으면, 제어부(323)는, 단말(100)이 해킹 공격을 위해 접속한 것으로 판단하여 특정응답패킷이 단말(100)로 전송되지 않도록 제어한다. 한편, 특정응답패킷에 기 설정된 해킹관련정보 및 보안관련정보 중 적어도 하나가 포함되어 있지 않으면, 제어부(323)는, 단말(100)이 일반적인 서비스 요청을 위해 접속한 것으로 판단하여 특정응답패킷이 단말(100)로 전송되도록 제어한다.
여기서, 해킹관련정보는, 해커들이 정보를 유출하기 위해 요구하는 특정 스트링(String)이나 특정필드에 저장된 특정값 등과 같이 트래픽의 정밀분석을 통해 확인 가능한 정보일 수 있다. 개인관련정보는, 주민등록번호 등과 같은 개인보안과 직결되는 주요정보일 수 있다.
이처럼 특정응답패킷에 대한 정밀 분석을 수행하는 것은, 디도스 공격의 경우 인입되는 트래픽에 대한 분석을 수행한다면 디도스 공격을 예측 및 차단할 수 있으나, 해킹 공격의 경우 "주민번호 달라"와 같이 인입 트래픽의 분석만으로 차단할 수 있는 공격이 있는 반면, "달라"와 같이 실제 특정서버(500)에서 전송되는 트래픽을 정밀 분석해야지만 차단할 수 있는 공격도 있으므로, 악의적인 모든 공격이 차단되도록 하기 위해서는 특정응답패킷에 대한 정밀 분석을 수행해야만 하는 것이다.
한편, 전술에서 언급한 것과 달리 특정요청패킷의 소스 IP주소가 IP블랙리스트목록 및 IP화이트리스트목록 중 어느 하나에 포함되면, 제어부(323)는, 단말(100)이 특정검출대상이 아닌 것으로 판단한다.
즉, 제어부(323)는, 특정요청패킷의 소스 IP주소와 IP블랙리스트목록을 비교한 결과, 특정요청패킷의 소스 IP주소가 IP블랙리스트목록에만 포함되면, 단말(100)이 악의적인 공격을 위해 특정요청패킷을 전송한 것이므로, 단말(100)의 접속 자체가 차단되도록 제어한다.
한편, 제어부(323)는, 특정요청패킷의 소스 IP주소와 IP화이트리스트목록을 비교한 결과, 특정요청패킷의 소스 IP주소가 IP화이트리스트목록에만 포함되면, 신뢰성이 검증된 단말(100)이 특정요청패킷을 전송한 것이므로, 전술에서 언급한 특정요청패킷의 IP주소를 변경하는 과정인 소스NAT 처리를 수행하지 않고 특정서버(500)로 특정요청패킷이 전송되도록 제어한다.
즉, 단말(100)이 신뢰할 수 있는 단말인 경우에는 소스NAT 처리가 수행되지 않으므로, 특정서버(500)에서 생성되는 특정응답패킷은 네트워크관리장치(300)를 경유하지 않고 바로 목적지인 단말(100)로 전송되게 된다.
이처럼 단말(100)에 대한 신뢰성이 검증된 경우에는 네트워크관리장치(300)로 특정응답패킷이 경유하는 불필요한 과정이 생략되도록 함으로써, 부하 발생을 감소시켜 전반적인 시스템 운영 효율성이 향상되도록 할 수도 있다.
다시 도 2를 참고하면, 보안라우터(330)는, 제1 경로(P2)를 따라 특정요청패킷이 전달되며, 제2 경로(P3)를 따라 특정응답패킷이 전달될 수 있도록 싱크홀 라우터(310)와 경로관리부(320) 사이에 연결된다.
즉, 보안라우터(330)는, 네트워크관리장치(300)를 경유하는 양방향 전송경로를 형성되도록 싱크홀 라우터(310)에 일단이 연결되며, 경로관리부(320)에 타단이 연결된다.
GRE라우터(340)는, 경로관리부(320)로부터 전달되는 모든 트래픽에 대해 GRE 캡슐화(Capsulation)하여 인터넷 라우터(400)로 전달한다. 이때, GRE라우터(340)는 인터넷 라우터(400)와 논리적으로 GRE 터널(Tunnel) 연동되게 된다.
이하에서는, 도 5을 참조하여, 본 발명의 실시예에 따른 네트워크관리장치에서 라우팅 기법을 기반으로 네트워크 보안을 강화하는 동작 흐름을 보다 구체적으로 설명하겠다. 도 5에서는 설명의 편의를 위해 전술의 도 1 내지 도 4에서 언급한 참조번호를 언급하여 설명하며,
단말(100)은, 특정서버(500)로 접속하기 위해 적어도 하나의 특정요청패킷을 생성하여 백본 라우터(200)로 업스트림한다(S100, S101).
이처럼 특정요청패킷이 단말(100)로부터 백본 라우터(200)로 업스트림되면, 네트워크관리장치(300)는, 라우팅 기법을 기반으로 백본 라우터(200)를 통해 특정요청패킷과 관련되는 트래픽을 수신한다.
이후, 네트워크관리장치(300)는, 단말(100)과 특정서버(500) 사이에서 송수신되는 모든 패킷에 대한 모니터링이 수행되도록 네트워크관리장치(300)를 경유하는 양방향 전송경로를 형성한다.
보다 구체적으로, 네트워크관리장치(300)는, 특정요청패킷의 IP주소로부터 소스 IP주소(source IP address) 및 목적지 IP주소(destination IP address)를 확인한다.
즉, 단말(100)이 특정서버(500)를 목적지로 특정요청패킷을 업스트림하였으므로, 특정요청패킷의 IP주소에는, 단말(100)의 NAT(Network Address Translation) IP주소에 해당하는 소스 IP주소 및 특정서버(500)의 NAT IP주소에 해당하는 목적지 IP주소가 포함된다.
이에, 네트워크관리장치(300)는, 특정요청패킷의 IP주소로부터 소스 IP주소가 단말(100)의 NAT IP주소이며, 목적지 IP주소가 특정서버(500)의 NAT IP주소임을 확인할 수 있게 된다.
이후, 네트워크관리장치(300)는, 단말(100)이 악의적인 공격 목적을 가지고 특정요청패킷을 전송하였는지의 여부를 판단한다.
보다 구체적으로, 네트워크관리장치(300)는, 특정요청패킷의 IP주소를 확인한 결과를 기반으로 특정요청패킷을 전송한 단말(100)을 특정검출대상으로 결정할 지의 여부를 판단한다.
즉, 네트워크관리장치(300)는, 특정요청패킷의 소스 IP주소와 기 저장된 검출대상기준정보를 비교하여 특정검출대상을 검출한다. 여기서, 검출대상기준정보는, 특정서버(500)로의 접속이 차단되어야 할 IP블랙리스트목록 및 특정검출대상에서 제외되어야 할 IP화이트리스트목록을 포함한다.
이때, IP블랙리스트목록에는, 해킹/디도스(DDoS)/악성 트래픽을 전송한 이력을 가진 IP주소를 누적한 정보이며, 특정요청패킷에 대한 정밀 분석이 수행되지 않더라도 IP주소를 기반으로 접속차단대상인지의 여부를 확인할 수 있도록 상시 관리 및 갱신되는 것이 바람직할 것이다.
한편, IP화이트리스트목록에는, 네트워크관리장치(300)에서 신뢰할 수 있는 기 검증된 IP주소를 누적한 정보이며, 운영자 및 시스템에 의해 수동/자동으로 추가될 수 있다.
즉, 네트워크관리장치(300)는, 특정요청패킷의 소스 IP주소와 IP블랙리스트목록을 비교한다(S104).
S104 단계의 비교결과, 특정요청패킷의 소스 IP주소가 IP블랙리스트목록에 포함되면, 네트워크관리장치(300)는, 단말(100)이 악의적인 공격을 위해 특정요청패킷을 전송한 것이므로, 단말(100)의 접속 자체가 차단되도록 제어한다(S105).
한편, S104 단계의 비교결과, 특정요청패킷의 소스 IP주소가 IP블랙리스트목록에 포함되지 않으면, 네트워크관리장치(300)는, 특정요청패킷의 소스 IP주소와 IP화이트리스트목록을 비교한다(S106).
S106 단계의 비교결과, 특정요청패킷의 소스 IP주소가 IP화이트리스트목록에 포함되면, 네트워크관리장치(300)는, 신뢰성이 검증된 단말(100)이 특정요청패킷을 전송한 것이므로, 전술에서 언급한 특정요청패킷의 IP주소를 변경하는 과정인 소스NAT 처리를 수행하지 않고 특정서버(500)로 특정요청패킷이 전송되도록 제어한다(S107).
한편, S106 단계의 비교결과, 특정요청패킷의 소스 IP주소가 IP화이트리스트목록에 포함되지 않으면, 네트워크관리장치(300)는, 특정요청패킷의 소스 IP주소가 IP블랙리스트목록 및 IP화이트리스트목록 중 어디에도 포함되지 않는 것이므로, 단말(100)을 특정검출대상으로 결정한다(S108).
여기서, 특정검출대상이라 함은, IP블랙리스트목록에 포함되지 않아 접속 차단대상은 아니지만 IP화이트리스트목록에 포함되지도 않아 신뢰성 역시 보장되지도 않은, 악의적인 공격 가능성이 있어 송수신되는 특정요청패킷/특정응답패킷에 대한 모니터링이 필요한 대상일 수 있다.
이처럼 단말(100)이 특정검출대상으로 결정되면, 네트워크관리장치(300)는, 단말(100)과 관련되는 특정요청패킷/특정응답패킷 각각에 대한 모니터링을 위해 양방향 전송경로가 형성되도록 소스NAT 처리를 수행한다.
즉, 네트워크관리장치(300)는, 단말(100)로부터 전달되는 특정요청패킷을 모니터링하여 단말(100)이 소정의 시간 동안 접속한 횟수가 기준 이상인지의 여부를 확인한다(S109).
S109 단계의 판단결과, 단말(100)이 소정의 시간 동안 접속한 횟수가 기준 이상인 것으로 확인되면, 네트워크관리장치(300)는, 단말(100)이 디도스(DDoS) 공격을 위해 접속한 것으로 판단한다(S110). 이후, 네트워크관리장치(300)는, 단말(100)이 특정서버(500)로 접속하지 못하도록 접속차단 제어를 수행한다(S111).
한편, S109 단계의 판단결과, 단말(100)이 소정의 시간 동안 접속한 횟수가 기준 보다 작은 것으로 확인되면, 네트워크관리장치(300)는, 단말(100)과 관련되는 특정요청패킷/특정응답패킷 각각에 대한 모니터링을 위해 양방향 전송경로가 형성되도록 소스NAT 처리를 수행한다.
보다 구체적으로, 네트워크관리장치(300)는, 특정응답패킷의 목적지가 네트워크관리장치(300)가 되도록 특정요청패킷의 소스 IP주소를 네트워크관리장치(300)의 NAT IP주소로 변경한다.
이와 관련하여 도 4에는 본 발명의 양방향 전송경로가 형성된 일례가 도시되어 있다.
도 4에 도시한 바와 같이, 단말(100)이 특정검출대상으로 결정되었다는 것은 단말(100)이 악의적인 공격을 시도할 가능성이 있어 확인이 필요한 것이므로, 단말(100)로부터 전달되는 특정요청패킷과 단말(100)로 전달되어야 할 특정응답패킷에 대한 모니터링이 이루어져야 한다.
이때, 단말(100)이 특정서버(500)를 목적지로 특정요청패킷을 업스트림한 것이므로, 특정요청패킷의 소스 IP주소에는 단말(100)의 NAT IP주소가 매칭되어 있으며, 목적지 IP주소에는 특정서버(500)의 NAT IP주소가 매칭되어 있을 것이다.
이처럼 특정요청패킷의 소스 IP주소에 단말(100)의 NAT IP주소로 매칭되어 있게 되면, 특정서버(500)에서 생성되는 특정응답패킷의 목적지는 기존과 같이 단말(100)이 될 것이다.
이에, 네트워크관리장치(300)는, 특정응답패킷의 목적지가 네트워크관리장치(300)가 되도록 특정요청패킷의 소스 IP주소에 매칭되어 있던 단말(100)의 NAT IP주소를 네트워크관리장치(300)의 NAT IP주소로 변경한다(S112). 결국, 특정요청패킷의 소스 IP주소에는 네트워크관리장치(300)의 NAT IP주소가 매칭되며, 목적지 IP주소에는 특정서버(500)의 NAT IP주소가 매칭되게 된다.
전술과 같이 특정요청패킷의 소스NAT 처리가 수행된 후 네트워크관리장치(300)를 경유하는 제1 경로(P2)를 따라 특정요청패킷이 특정서버(500)로 전달되면, 특정서버(500)는 특정요청패킷에 대응하는 특정응답패킷을 생성한다(S113-S115).
여기서, 제1 경로(P2)는, 단말(100), 백본 라우터(200), 싱크홀 라우터(310), 경로관리부(320), GRE라우터(340), 인터넷 라우터(400) 및 특정서버(500)에 의해 형성되며, 상기 구성들이 나열된 순서에 대응하여 특정요청패킷이 전송될 수 있다.
이때, 특정서버(500)가 네트워크관리장치(300)를 목적지로 특정응답패킷을 생성할 것이므로, 특정응답패킷의 소스 IP주소에는 특정서버(500)의 NAT IP주소가 매칭되어 있으며, 목적지 IP주소에는 네트워크관리장치(300)의 NAT IP주소가 매칭되어 있을 것이다.
즉, 특정서버(500)는, 특정요청패킷의 소스 IP주소로 매칭되어 있던 네트워크관리장치(300)의 NAT IP주소가 목적지 주소가 되도록 특정응답패킷의 목적지 IP주소에 네트워크관리장치(300)의 NAT IP주소를 매칭한다. 이에, 특정서버(500)로부터 특정응답패킷이 전송되면, 네트워크관리장치(300)를 경유하는 제2 경로(P3)를 따라 특정응답패킷이 전송될 수 있는 것이다(S116, S117).
여기서, 제2 경로(P3)는, 특정서버(500), 인터넷 라우터(400), 백본 라우터(200), 싱크홀 라우터(310), 보안라우터(330), 경로관리부(320), 싱크홀 라우터(310)에 의해 형성되며, 상기 구성들이 나열된 순서에 대응하여 특정응답패킷이 전송될 수 있다.
이후, 네트워크관리장치(300)는, 제2 경로(P3)를 따라 전달되는 특정응답패킷을 분석한 결과를 기반으로 특정응답패킷을 단말(100)로 전송할 지의 여부를 결정한다.
보다 구체적으로, 네트워크관리장치(300)는, 특정응답패킷에 기 설정된 해킹관련정보 및 보안관련정보 중 적어도 하나가 포함되어 있는 지의 여부를 확인한다(S118, S119).
S119 단계의 판단결과, 특정응답패킷에 기 설정된 해킹관련정보 및 보안관련정보 중 적어도 하나가 포함되어 있지 않으면, 네트워크관리장치(300)는, 단말(100)이 일반적인 서비스 요청을 위해 접속한 것으로 판단하여 특정응답패킷이 단말(100)로 전송되도록 제어한다.
여기서, 해킹관련정보는, 해커들이 정보를 유출하기 위해 요구하는 특정 스트링(String)이나 특정필드에 저장된 특정값 등과 같이 트래픽의 정밀분석을 통해 확인 가능한 정보일 수 있다. 개인관련정보는, 주민등록번호 등과 같은 개인보안과 직결되는 주요정보일 수 있다.
이처럼 특정응답패킷에 대한 정밀 분석을 수행하는 것은, 디도스 공격의 경우 인입되는 트래픽에 대한 분석을 수행한다면 디도스 공격을 예측 및 차단할 수 있으나, 해킹 공격의 경우 "주민번호 달라"와 같이 인입 트래픽의 분석만으로 차단할 수 있는 공격이 있는 반면, "달라"와 같이 실제 특정서버(500)에서 전송되는 트래픽을 정밀 분석해야지만 차단할 수 있는 공격도 있으므로, 악의적인 모든 공격이 차단되도록 하기 위해서는 특정응답패킷에 대한 정밀 분석을 수행해야만 하는 것이다.
전술과 같이 제2 경로(P3)를 따라 특정응답패킷이 네트워크관리장치(300)로 인입되기 위해서는, 특정응답패킷의 소스 IP주소에는 특정서버(500)의 NAT IP주소가 매칭되며, 목적지 IP주소에는 네트워크관리장치(300)의 NAT IP주소가 매칭되어 있을 것이다.
이에, 네트워크관리장치(300)는, 특정응답패킷이 단말(100)로 전송될 수 있도록 특정응답패킷의 목적지 IP주소에 매칭되어 있던 네트워크관리장치(300)의 NAT IP주소를 단말(100)의 NAT IP주소로 변경한다(S120). 결국, 네트워크관리장치(300)를 경유한 특정응답패킷은, 제2 경로(P3)를 따라 단말(100)을 목적지로 하여 전송되게 된다(S121, S122).
한편, S119 단계의 판단결과, 특정응답패킷에 기 설정된 해킹관련정보 및 보안관련정보 중 적어도 하나가 포함되어 있으면, 네트워크관리장치(300)는, 단말(100)이 해킹 공격을 위해 접속한 것으로 판단하여 특정응답패킷이 단말(100)로 전송되지 않도록 제어한다(S123, S124).
이상에서 설명한 바와 같이 본 발명에 따른 네트워크관리장치 및 방법에 의하면, 특정서버와 관련되어 송수신되는 모든 트래픽에 대한 모니터링이 이루어지도록 양방향 통신 구조를 구현함으로써, 악의적인 모든 공격을 근본적으로 차단하여 네트워크 보안을 강화할 수 있어 네트워크 서비스 성능을 향상시킬 수 있게 된다.
본 발명의 실시예들은, 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
지금까지 본 발명을 바람직한 실시 예를 참조하여 상세히 설명하였지만, 본 발명이 상기한 실시 예에 한정되는 것은 아니며, 이하의 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 또는 수정이 가능한 범위까지 본 발명의 기술적 사상이 미친다 할 것이다.
본 발명의 네트워크관리장치 및 방법에 따르면, 특정서버와 관련되어 송수신되는 모든 트래픽에 대한 모니터링이 이루어지도록 양방향 통신 구조를 구현함으로써, 악의적인 모든 공격을 근본적으로 차단하여 네트워크 보안을 강화할 수 있어 네트워크 서비스 성능을 향상시킬 수 있다는 점에서, 기존 기술의 한계를 뛰어 넘음에 따라 관련 기술에 대한 이용만이 아닌 적용되는 장치의 시판 또는 영업의 가능성이 충분할 뿐만 아니라 현실적으로 명백하게 실시할 수 있는 정도이므로 산업상 이용가능성이 있는 발명이다.
100 : 단말 200 : 백본 라우터
300 : 네트워크관리장치
310 : 싱크홀 라우터 320 : 경로관리부
330 : 보안라우터 340 : GRE라우터
400 : 인터넷 라우터 500 : 특정서버

Claims (18)

  1. 네트워크를 관리하기 위한 네트워크관리장치로서,
    특정서버를 목적지로 하는 적어도 하나의 특정요청패킷의 IP주소를 확인하는 확인부;
    상기 특정요청패킷의 IP주소를 확인한 결과를 기반으로 상기 특정요청패킷을 전송한 단말을 특정검출대상으로 결정할 지의 여부를 판단하는 판단부; 및
    상기 단말이 상기 특정검출대상으로 결정된 경우, 상기 특정서버로부터 전송되는 상기 특정요청패킷에 대응하는 특정응답패킷의 목적지가 네트워크관리장치로 변경되도록 상기 특정요청패킷의 IP주소를 변경하는 제어부
    를 포함하며,
    상기 제어부는,
    상기 특정응답패킷에 기 설정된 해킹관련정보 및 보안관련정보 중 적어도 하나가 포함되는 경우, 상기 단말이 해킹 공격을 위해 접속한 것으로 판단하여 상기 특정응답패킷이 상기 단말로 전송되지 않도록 제어하는 것을 특징으로 하는 네트워크관리장치.
  2. 제 1 항에 있어서,
    상기 IP주소는,
    상기 단말의 NAT IP주소에 해당하는 소스 IP주소(source IP address) 및 상기 특정서버의 NAT IP주소에 해당하는 목적지 IP주소(destination IP address)를 포함하는 것을 특징으로 하는 네트워크관리장치.
  3. 제 2 항에 있어서,
    상기 판단부는,
    상기 특정요청패킷의 소스 IP주소와 기 저장된 검출대상기준정보를 비교한 결과에 기초하여 상기 단말을 상기 특정검출대상으로 결정하는 것을 특징으로 하는 네트워크관리장치.
  4. 제 3 항에 있어서,
    상기 검출대상기준정보는, 상기 특정서버로의 접속이 차단되어야 할 IP블랙리스트목록 및 상기 특정검출대상에서 제외되어야 할 IP화이트리스트목록을 포함하며,
    상기 판단부는,
    상기 특정요청패킷의 소스 IP주소가 상기 IP블랙리스트목록 및 상기 IP화이트리스트목록 중 어디에도 포함되지 않으면 상기 단말을 상기 특정검출대상으로 결정하는 것을 특징으로 하는 네트워크관리장치.
  5. 제 4 항에 있어서,
    상기 제어부는,
    상기 단말이 상기 특정검출대상으로 결정된 경우, 상기 특정응답패킷의 목적지가 상기 네트워크관리장치가 되도록 상기 특정요청패킷의 소스 IP주소를 상기 네트워크관리장치의 NAT IP주소로 변경하는 것을 특징으로 하는 네트워크관리장치.
  6. 제 5 항에 있어서,
    상기 제어부는,
    상기 특정서버로부터 상기 특정응답패킷이 수신되면, 상기 특정응답패킷을 분석한 결과를 기반으로 상기 특정응답패킷을 상기 단말로 전송할 지의 여부를 결정하는 것을 특징으로 하는 네트워크관리장치.
  7. 삭제
  8. 제 4 항에 있어서,
    상기 제어부는,
    상기 단말이 상기 특정검출대상으로 결정된 경우, 상기 단말이 소정의 시간 동안 접속한 횟수가 기준 이상으로 확인되면, 상기 단말이 디도스(DDoS) 공격을 위해 접속한 것으로 판단하여 상기 특정서버로의 접속이 차단되도록 제어하는 것을 특징으로 하는 네트워크관리장치.
  9. 제 4 항에 있어서,
    상기 제어부는,
    상기 특정요청패킷의 소스 IP주소가 상기 IP블랙리스트목록에만 포함된 경우, 상기 특정서버로의 접속이 차단되도록 제어하며,
    상기 특정요청패킷의 소스 IP주소가 상기 IP화이트리스트목록에만 포함된 경우, 상기 특정요청패킷의 IP주소를 변경하는 과정을 수행하지 않고 상기 특정서버로 전송되도록 제어하는 것을 특징으로 하는 네트워크관리장치.
  10. 네트워크관리장치의 동작방법으로서,
    특정서버를 목적지로 하는 적어도 하나의 특정요청패킷의 IP주소를 확인하는 확인단계;
    상기 특정요청패킷의 IP주소를 확인한 결과를 기반으로 상기 특정요청패킷을 전송한 단말을 특정검출대상으로 결정할 지의 여부를 판단하는 판단단계; 및
    상기 단말이 상기 특정검출대상으로 결정된 경우, 상기 특정서버로부터 전송되는 상기 특정요청패킷에 대응하는 특정응답패킷의 목적지가 네트워크관리장치로 변경되도록 상기 특정요청패킷의 IP주소를 변경하는 제어단계
    를 포함하며,
    상기 제어단계는,
    상기 특정응답패킷에 기 설정된 해킹관련정보 및 보안관련정보 중 적어도 하나가 포함되는 경우, 상기 단말이 해킹 공격을 위해 접속한 것으로 판단하여 상기 특정응답패킷이 상기 단말로 전송되지 않도록 제어하는 것을 특징으로 하는 네트워크관리장치의 동작방법.
  11. 제 10 항에 있어서,
    상기 IP주소는,
    상기 단말의 NAT IP주소에 해당하는 소스 IP주소(source IP address) 및 상기 특정서버의 NAT IP주소에 해당하는 목적지 IP주소(destination IP address)를 포함하는 것을 특징으로 하는 네트워크관리장치의 동작방법.
  12. 제 11 항에 있어서,
    상기 판단단계는,
    상기 특정요청패킷의 소스 IP주소와 기 저장된 검출대상기준정보를 비교한 결과에 기초하여 상기 단말을 상기 특정검출대상으로 결정하는 것을 특징으로 하는 네트워크관리장치의 동작방법.
  13. 제 12 항에 있어서,
    상기 검출대상기준정보는, 상기 특정서버로의 접속이 차단되어야 할 IP블랙리스트목록 및 상기 특정검출대상에서 제외되어야 할 IP화이트리스트목록을 포함하며,
    상기 판단단계는,
    상기 특정요청패킷의 소스 IP주소가 상기 IP블랙리스트목록 및 상기 IP화이트리스트목록 중 어디에도 포함되지 않으면 상기 단말을 상기 특정검출대상으로 결정하는 것을 특징으로 하는 네트워크관리장치의 동작방법.
  14. 제 13 항에 있어서,
    상기 제어단계는,
    상기 단말이 상기 특정검출대상으로 결정된 경우, 상기 특정응답패킷의 목적지가 상기 네트워크관리장치가 되도록 상기 특정요청패킷의 소스 IP주소를 상기 네트워크관리장치의 NAT IP주소로 변경하는 것을 특징으로 하는 네트워크관리장치의 동작방법.
  15. 제 14 항에 있어서,
    상기 제어단계는,
    상기 특정서버로부터 상기 특정응답패킷이 수신되면, 상기 특정응답패킷을 분석한 결과를 기반으로 상기 특정응답패킷을 상기 단말로 전송할 지의 여부를 결정하는 것을 특징으로 하는 네트워크관리장치의 동작방법.
  16. 삭제
  17. 제 13 항에 있어서,
    상기 제어단계는,
    상기 단말이 상기 특정검출대상으로 결정된 경우, 상기 단말이 소정의 시간 동안 접속한 횟수가 기준 이상으로 확인되면, 상기 단말이 디도스(DDoS) 공격을 위해 접속한 것으로 판단하여 상기 특정서버로의 접속이 차단되도록 제어하는 것을 특징으로 하는 네트워크관리장치의 동작방법.
  18. 제 13 항에 있어서,
    상기 제어단계는,
    상기 특정요청패킷의 소스 IP주소가 상기 IP블랙리스트목록에만 포함된 경우, 상기 특정서버로의 접속이 차단되도록 제어하는 단계; 및
    상기 특정요청패킷의 소스 IP주소가 상기 상기 IP화이트리스트목록에만 포함된 경우, 상기 특정요청패킷의 IP주소를 변경하는 과정을 수행하지 않고 상기 특정서버로 전송되도록 제어하는 단계를 포함하는 것을 특징으로 하는 네트워크관리장치의 동작방법.
KR1020170051681A 2017-04-21 2017-04-21 네트워크관리장치 및 방법 KR101977612B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170051681A KR101977612B1 (ko) 2017-04-21 2017-04-21 네트워크관리장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170051681A KR101977612B1 (ko) 2017-04-21 2017-04-21 네트워크관리장치 및 방법

Publications (2)

Publication Number Publication Date
KR20180118401A KR20180118401A (ko) 2018-10-31
KR101977612B1 true KR101977612B1 (ko) 2019-05-13

Family

ID=64099691

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170051681A KR101977612B1 (ko) 2017-04-21 2017-04-21 네트워크관리장치 및 방법

Country Status (1)

Country Link
KR (1) KR101977612B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7215699B2 (ja) * 2020-04-28 2023-01-31 ロック-イン カンパニー シーオー.,エルティーディー. 脅威使用者の接続遮断方法およびプログラムセキュリティ適用方法
KR102358099B1 (ko) * 2020-04-28 2022-02-08 주식회사 락인컴퍼니 위협 사용자의 접속차단방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100468232B1 (ko) * 2002-02-19 2005-01-26 한국전자통신연구원 분산된 침입탐지 에이전트와 관리자 시스템을 이용한네트워크 기반 침입자 역추적 시스템 및 그 방법
US20150222600A1 (en) * 2014-01-31 2015-08-06 Ntrepid Corporation Method and apparatus for transmitting network traffic via a proxy device
KR101598187B1 (ko) * 2014-12-23 2016-02-26 주식회사 시큐아이 DDoS 공격 차단 방법 및 장치

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100468232B1 (ko) * 2002-02-19 2005-01-26 한국전자통신연구원 분산된 침입탐지 에이전트와 관리자 시스템을 이용한네트워크 기반 침입자 역추적 시스템 및 그 방법
US20150222600A1 (en) * 2014-01-31 2015-08-06 Ntrepid Corporation Method and apparatus for transmitting network traffic via a proxy device
KR101598187B1 (ko) * 2014-12-23 2016-02-26 주식회사 시큐아이 DDoS 공격 차단 방법 및 장치

Also Published As

Publication number Publication date
KR20180118401A (ko) 2018-10-31

Similar Documents

Publication Publication Date Title
US10587636B1 (en) System and method for bot detection
US9118716B2 (en) Computer system, controller and network monitoring method
US10701103B2 (en) Securing devices using network traffic analysis and software-defined networking (SDN)
JP6080910B2 (ja) 悪意のあるソフトウェアに対するネットワーク・レベル保護をするシステム及び方法
US7984493B2 (en) DNS based enforcement for confinement and detection of network malicious activities
US7360242B2 (en) Personal firewall with location detection
US8561177B1 (en) Systems and methods for detecting communication channels of bots
JP4684802B2 (ja) セキュリティの脅威に起因してネットワークの通信が制限されている間に仮想ネットワーク内のネットワークデバイスが通信することを可能にすること
US9203802B2 (en) Secure layered iterative gateway
US20070002838A1 (en) Recording medium recording a network shutdown control program, and network shutdown device
JP2006506853A (ja) 能動的ネットワーク防衛システム及び方法
US11595385B2 (en) Secure controlled access to protected resources
US10397225B2 (en) System and method for network access control
US20110023088A1 (en) Flow-based dynamic access control system and method
KR101977612B1 (ko) 네트워크관리장치 및 방법
EP1742438A1 (en) Network device for secure packet dispatching via port isolation
KR20150114921A (ko) 기업내 보안망 제공시스템 및 그 방법
KR101090630B1 (ko) 개인 컴퓨터의 네트워크 패킷 분석을 통한 네트워크 제어 방법 및 장치
KR101003094B1 (ko) 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법, 및 시스템
KR101997181B1 (ko) Dns관리장치 및 그 동작 방법
KR102628441B1 (ko) 네트워크 보호 장치 및 그 방법
US11451584B2 (en) Detecting a remote exploitation attack
KR102218079B1 (ko) 보안 소켓 계층 복호화 장치에서 접속할 수 없는 사이트를 제외하는 방법
KR20150041613A (ko) 기업내 보안망 제공시스템 및 그 방법
KR20160143086A (ko) Sdn을 이용한 사이버 검역 시스템 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant