KR101996471B1 - 네트워크 보안장치 및 보안방법 - Google Patents
네트워크 보안장치 및 보안방법 Download PDFInfo
- Publication number
- KR101996471B1 KR101996471B1 KR1020190007731A KR20190007731A KR101996471B1 KR 101996471 B1 KR101996471 B1 KR 101996471B1 KR 1020190007731 A KR1020190007731 A KR 1020190007731A KR 20190007731 A KR20190007731 A KR 20190007731A KR 101996471 B1 KR101996471 B1 KR 101996471B1
- Authority
- KR
- South Korea
- Prior art keywords
- dns server
- address
- secure
- domain name
- website
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H04L61/1511—
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명에 따른 네트워크 보안방법은 사용자의 단말기로부터 인터넷 네트워크를 통해 웹사이트 접속을 위한 도메인 네임이 입력되는 것을 감지하는 단계와, 상기 도메인 네임과 연관된 호스트 파일을 상기 사용자의 단말기로부터 추출하는 단계와, 상기 도메인 네임과 연관된 DNS쿼리패킷을 안전DNS서버와 복수의 예비DNS서버로 전송하는 단계와, 상기 안전DNS서버와 예비DNS서버로부터 웹사이트 IP주소를 수신하는 단계와, 상기 사용자 단말기로부터 추출된 호스트 파일과 상기 안전DNS서버와 예비DNS서버로부터 수신된 IP주소를 비교하는 단계와, 상기 안전DNS서버로부터 수신된 웹사이트 IP주소와 상기 호스트 파일에 포함된 IP주소가 다른 경우 상기 웹사이트 접속을 차단하도록 구성되는 것을 특징으로 한다.
본 발명에 의해, 사용자가 PC 등의 단말기를 이용하여 네트워크를 통해 목적 사이트에 접속하고자 하는 경우에 DNS스푸핑(spoofing) 공격, 파밍(pharming) 공격 및 유해 사이트 접속을 차단할 수 있다.
또한, DNS서버 관리 강화 정도를 선별적이고도 확률적으로 수행함으로써, DNS서버 관리 효율을 높일 수 있다.
본 발명에 의해, 사용자가 PC 등의 단말기를 이용하여 네트워크를 통해 목적 사이트에 접속하고자 하는 경우에 DNS스푸핑(spoofing) 공격, 파밍(pharming) 공격 및 유해 사이트 접속을 차단할 수 있다.
또한, DNS서버 관리 강화 정도를 선별적이고도 확률적으로 수행함으로써, DNS서버 관리 효율을 높일 수 있다.
Description
본 발명은 네트워크 보안장치 및 보안방법에 관한 것으로서, 보다 상세하게는 사용자가 단말기를 이용하여 네트워크를 통해 원하는 사이트에 접속하고자 하는 경우에 DNS 스푸핑(spoofing) 공격, 파밍(pharming) 공격 및 유해사이트 접속을 차단할 수 있는 네트워크 보안장치 및 보안방법에 관한 것이다.
인터넷의 편리함으로 말미암아 개인과 기업들의 경제활동에서 전자메일, 파일 전송과 같이 간단한 업무 처리뿐 아니라, 전자결재, 웹 서버를 통한 기업 광고, 전자상거래에 이르기까지 일상생활의 전반적인 영역에 걸쳐 인터넷이 활용되고 있다.
이와 같이 인터넷 이용이 일반화되면서, 인터넷 상에서 사용자의 개인 정보 등을 탈취하기 위한 인터넷 상의 각종 공격들이 성행하고 있다.
이러한 인터넷 네트워크 상의 공격은 예를 들어 파밍(pharming) 공격 또는 DNS 스푸핑(DNS spoofing) 공격 등을 들 수 있다.
인터넷 사용자들은 특정 웹사이트에 접속할 때, 해당 웹사이트의 IP주소 대신 도메인 네임을 입력하여 접속할 수 있는데, DNS(domain name server 또는 domain name system, 이하 DNS)란 특정 사이트에 접속하는 경우에 도메인 네임을 IP 주소로 전환시켜 주는 시스템을 뜻한다.
그런데, 컴퓨터와 같은 단말기는 도메인 네임을 IP주소로 변환할 때, 처음부터 DNS를 검색하는 것은 아니고, 컴퓨터 내부에 있는 호스트 파일을 먼저 참조한다.
사용자들이 사용하는 컴퓨터에는 일반적으로 호스트 파일이 존재하는데, 이 파일은 IP주소와 도메인 네임을 매칭 시켜주는 파일에 해당한다.
따라서 호스트파일에서 원하는 도메인 네임을 찾는다면 더 이상 DNS에 IP주소를 요청하지 않는다.
도 1의 (a)는 컴퓨터 또는 스마트폰과 같은 단말기(100)가 자체 장치 내의 호스트(hosts) 파일을 통해서나 공유기(110)에 저장된 호스트 파일을 통해 해당 웹사이트(150)에 접속하는 과정을 도시한다.
사용자가 특정 웹사이트의 도메인 네임을 입력하는 경우, 단말기(100) 또는 공유기(110)에 기 저장된 호스트 파일(미도시)에 매칭되는 도메인 네임과 IP주소가 있다면, 단말기(100)는 DNS 서버(120)(도 1의 (b) 참조)를 호출하지 않고 호스트 파일에서 직접 찾아낸 IP 주소로 웹사이트(150)에 접속하게 된다.
전술한 파밍 공격은 이러한 호스트 파일의 특성을 악용한 사례에 해당한다.
즉, 해커(hacker)의 직접해킹 또는 악성코드 감염 등으로 인해 사용자 단말기의 호스트 파일이 변조되는 경우 호스트 파일에는 해커가 의도한 가짜 사이트 주소가 기록된다.
따라서, 사용자가 정확한 도메인 주소를 입력하여 인터넷 접속을 시도하더라도 단말기는 호스트 파일을 참조하여 가짜 사이트 주소로 이동되어, 사용자에게 가짜 사이트를 보여주게 된다.
따라서, 사용자는 가짜 사이트에 접속하여 개인 정보 등을 유출할 수 있다.
한편, 단말기는 사용자들이 입력한 도메인 네임이 호스트 파일에 없는 경우에 도 1의 (b)에 도시된 바와 같이 접속하고자 하는 도메인 네임에 해당하는 IP 주소를 DNS 서버(120)에 문의한다(DNS 쿼리 : DNS query)
이 경우, 상기 DNS 서버(120)가 해당 IP 주소를 사용자의 단말기(100)로 전송하게 되며, 단말기(100)는 전송 받은 IP 주소를 사용하여 해당 웹사이트(150)에 접속하게 된다.
그런데, 전술한 DNS 스푸핑(DNS spoofing) 공격은 실제 DNS 서버(120) 보다 빨리 공격 대상인 사용자 단말기(100)에게 DNS Response 패킷을 보내, 단말기(100)가 잘못된 IP 주소의 웹사이트로 접속을 하도록 유도하는 공격이다.
예를 들어, 사용자가 단말기(100)를 통해 DNS 서버(120)로 DNS Query 패킷을 보내는 것을 확인한 경우, 해커는 DNS 서버(120)가 올바른 DNS Response 패킷을 보내기 전에 사용자에게 위조된 DNS Response 패킷을 보낼 수 있다.
이때, 사용자의 단말기(100)는 해커가 보낸 DNS Response 패킷을 올바른 패킷으로 인식하고 웹사이트에 접속하게 되며, 이 경우 사용자가 접속한 사이트는 정상 사이트가 아니라 해커가 만든 가짜 사이트에 해당한다.
그런데, 종래에는 인터넷과 같은 네트워크에 연결된 단말기를 감시하는 경우, 파밍 공격 또는 DNS 스푸핑 공격과 같이 어느 하나의 공격에 최적화된 감시시스템을 제공하였으며, 파밍 공격 또는 DNS 스푸핑 공격과 같이 모든 공격에 대한 전반적인 감시가 가능한 네트워크 보안장치 및 보안방법을 제공하지는 못하였다.
본 발명은 상기된 바와 같은 문제점을 해결하기 위해 안출된 것으로서, 본 발명의 목적은 사용자가 PC 등의 단말기를 이용하여 인터넷 네트워크를 통해 목적 사이트에 접속하고자 하는 경우에, DNS 스푸핑(spoofing) 공격, 파밍(pharming) 공격 및 유해 사이트 접속을 차단할 수 있는 네트워크 보안장치 및 보안방법을 제공하는 것이다.
본 발명의 다른 목적은, DNS서버의 관리 강화 정도를 선별적이고도 확률적으로 수행함으로써, 관리의 효율을 높이도록 구성되는 네트워크 보안장치 및 보안방법을 제공하는 것이다.
상기 목적을 달성하기 위한 본 발명에 따른 네트워크 보안방법은 사용자의 단말기로부터 인터넷 네트워크를 통해 웹사이트 접속을 위한 도메인 네임이 입력되는 것을 감지하는 단계와, 상기 도메인 네임과 연관된 호스트 파일을 상기 사용자의 단말기로부터 추출하는 단계와, 상기 도메인 네임과 연관된 DNS쿼리패킷을 안전DNS서버와 복수의 예비DNS서버로 전송하는 단계와, 상기 안전DNS서버와 예비DNS서버로부터 웹사이트 IP주소를 수신하는 단계와, 상기 사용자 단말기로부터 추출된 호스트 파일과 상기 안전DNS서버와 예비DNS서버로부터 수신된 IP주소를 비교하는 단계와, 상기 안전DNS서버로부터 수신된 웹사이트 IP주소와 상기 호스트 파일에 포함된 IP주소가 다른 경우 상기 웹사이트 접속을 차단하도록 구성되는 것을 특징으로 한다.
바람직하게는, 상기 DNS쿼리패킷이 감지되는 경우, 상기 DNS쿼리패킷에 포함된 DNS서버 IP주소를 상기 안전DNS서버 IP 주소와 비교하는 단계를 포함한다.
여기서, 상기 사용자의 단말기로부터 안전DNS서버 저장이 요청된 웹사이트 도메인 네임과 IP주소는 상기 안전DNS서버로 저장되며, 사용자 단말기로부터 안전DNS서버 저장이 요청된 도메인 네임에 대해서는 호스트 파일이 상기 단말기에 존재하는지의 여부와 상관없이 상기 안전DNS서버로부터 IP 주소를 전송받도록 구성된다.
그리고, 상기 안전DNS서버와 예비DNS서버로부터 수신된 웹사이트 IP주소를 비교하는 단계와, 상기 안전DNS서버와 예비DNS서버로부터 수신된 웹사이트 IP주소가 서로 상이한 경우, 이를 예비DNS서버로 통지하도록 구성될 수 있다.
또한, 상기 예비DNS서버들로부터 수신된 웹사이트 IP주소가 미리 지정된 비율 이상으로 동일한 상태에서, 상기 미리 지정된 비율로 동일한 IP주소와 상기 안전DNS서버로부터 수신된 웹사이트 IP주소가 서로 상이한 경우, 이를 상기 안전DNS서버로 통지하도록 구성될 수 있다.
한편, 상기 도메인 네임과 연관된 호스트 파일이 유해사이트로서 미리 저장된 경우, 상기 호스트 파일과 연관된 웹사이트 접속을 차단하고 이를 상기 단말기로 통지하도록 구성될 수 있다.
바람직하게는, 상기 안전DNS서버와 예비DNS서버의 업데이트 주기는 서로 다르게 설정되며, 사용자의 단말기로부터 상기 안전DNS서버에 저장이 요청된 웹사이트의 도메인 네임과 IP주소에 대해서는 미리 지정된 주기마다 상기 안전DNS서버와 예비DNS서버의 저장 내용이 동일한지 여부를 검사하도록 구성된다.
그리고, 상기 사용자 단말기로부터 입력된 도메인 네임이 상기 안전DNS서버에 저장된 도메인네임과 미리 지정된 범위만큼 다른 것으로 감지되는 경우, 상기 사용자 단말기로부터 입력된 도메인 네임에 대응되는 웹사이트 IP주소에 대한 접속을 차단하도록 구성될 수 있다.
또한, 사용자 단말기로부터 입력된 도메인 네임이 상기 안전DNS서버에 저장된 도메인네임과 미리 지정된 범위만큼 다른 것으로 감지되는 경우, 이를 상기 사용자 단말기와 안전DNS서버 및 예비DNS서버로 통지하도록 구성될 수 있다.
한편, 본 발명에 따른 네트워크 보안장치는 사용자의 단말기로부터 입력되는 도메인 네임과 연관된 호스트 파일을 상기 사용자의 단말기로부터 추출하는 호스트파일추출모듈과, 상기 도메인 네임과 연관된 DNS쿼리패킷을 DNS서버로 송수신하는 DNS서버관리모듈과, 상기 사용자 단말기로부터 추출된 호스트 파일에 포함된 IP주소와 DNS서버로부터 수신된 IP주소를 비교하는 비교제어모듈과, 유해사이트정보를 저장하기 위한 데이터저장모듈을 포함하며, 상기 DNS서버는 안전DNS서버와 복수의 예비DNS서버를 포함하며, 상기 안전DNS서버로부터 수신된 웹사이트 IP주소와 상기 호스트 파일에 포함된 IP주소가 다른 경우 상기 웹사이트 접속을 차단하도록 구성되는 것을 특징으로 한다.
바람직하게는, 상기 사용자 단말기로부터 입력되는 DNS쿼리패킷이 감지되는 경우, 상기 DNS쿼리패킷에 포함된 DNS서버 IP주소를 상기 안전DNS서버 IP 주소와 비교하여 웹사이트 접속 차단 여부를 판단하도록 구성된다.
그리고, 상기 사용자의 단말기로부터 안전DNS서버 저장이 요청된 웹사이트 도메인 네임과 IP주소는 상기 안전DNS서버로 저장되며, 사용자 단말기로부터 안전DNS서버 저장이 요청된 도메인 네임에 대해서는 호스트 파일이 상기 단말기에 존재하는지의 여부와 상관없이 상기 안전DNS서버로부터 IP 주소를 전송받도록 구성될 수 있다.
또한, 상기 안전DNS서버와 예비DNS서버로부터 수신된 웹사이트 IP주소를 비교하여, 상기 안전DNS서버와 예비DNS서버로부터 수신된 웹사이트 IP주소가 서로 상이한 경우, 이를 예비DNS서버로 통지하도록 구성될 수 있다.
한편, 상기 예비DNS서버들로부터 수신된 웹사이트 IP주소가 미리 지정된 비율 이상으로 동일한 상태에서, 상기 미리 지정된 비율로 동일한 IP주소와 상기 안전DNS서버로부터 수신된 웹사이트 IP주소가 서로 상이한 경우, 이를 상기 안전DNS서버로 통지하도록 구성될 수 있다.
그리고, 상기 도메인 네임과 연관된 호스트 파일이 유해사이트로서 상기 데이터저장모듈에 미리 저장된 경우, 상기 호스트 파일과 연관된 웹사이트 접속을 차단하고 이를 상기 사용자 단말기로 통지하도록 구성될 수 있다.
바람직하게는, 상기 안전DNS서버와 예비DNS서버의 업데이트 주기는 서로 다르게 설정되며, 사용자의 단말기로부터 상기 안전DNS서버에 저장이 요청된 웹사이트의 도메인 네임과 IP주소에 대해서는 미리 지정된 주기마다 상기 안전DNS서버와 예비DNS서버의 저장 내용이 동일한지 여부를 검사하도록 구성된다.
또한, 상기 사용자 단말기로부터 입력된 도메인 네임이 상기 안전DNS서버에 저장된 도메인네임과 미리 지정된 범위만큼 다른 것으로 감지되는 경우, 상기 사용자 단말기로부터 입력된 도메인 네임에 대응되는 웹사이트 IP주소에 대한 접속을 차단하도록 구성될 수 있다.
그리고, 상기 사용자 단말기로부터 입력된 도메인 네임이 상기 안전DNS서버에 저장된 도메인네임과 미리 지정된 범위만큼 다른 것으로 감지되는 경우, 이를 상기 사용자 단말기와 안전DNS서버 및 예비DNS서버로 통지하도록 구성될 수 있다.
본 발명에 의해, 사용자가 PC 또는 스마트폰 등의 단말기를 이용하여 네트워크를 통해 목적 사이트에 접속하고자 하는 경우에, DNS스푸핑(spoofing) 공격, 파밍(pharming) 공격 및 유해 사이트 접속을 차단할 수 있다.
또한, DNS서버 관리 강화 정도를 선별적이고도 확률적으로 수행함으로써, DNS서버를 효율적으로 관리할 수 있다.
첨부의 하기 도면들은, 발명의 상세한 설명과 함께 본 발명의 기술적 사상을 이해시키기 위한 것이므로, 본 발명은 하기 도면에 도시된 사항에 한정 해석되어서는 아니 된다.
도 1 은 단말기를 통해 웹 사이트에 접속하는 종래 과정을 도시한 개략도이며,
도 2 는 본 발명에 따른 보안장치가 사용자 단말기의 네트워크 환경에 연결된 상태를 도시한 개략도이며,
도 3 은 상기 보안장치의 구성을 도시한 블럭도이며,
도 4 는 본 발명에 따른 보안방법을 나타내는 순서도이다.
도 1 은 단말기를 통해 웹 사이트에 접속하는 종래 과정을 도시한 개략도이며,
도 2 는 본 발명에 따른 보안장치가 사용자 단말기의 네트워크 환경에 연결된 상태를 도시한 개략도이며,
도 3 은 상기 보안장치의 구성을 도시한 블럭도이며,
도 4 는 본 발명에 따른 보안방법을 나타내는 순서도이다.
이하, 첨부된 도면을 참조하여 본 발명의 구성을 상세히 설명하기로 한다.
이에 앞서, 본 명세서 및 청구범위에 사용된 용어는 사전적인 의미로 한정 해석되어서는 아니되며, 발명자는 자신의 발명을 최선의 방법으로 설명하기 위해 용어의 개념을 적절히 정의할 수 있다는 원칙에 입각하여, 본 발명의 기술적 사상에 부합되는 의미와 개념으로 해석되어야 한다.
따라서, 본 명세서에 기재된 실시예 및 도면에 도시된 구성은 본 발명의 바람직한 실시예에 불과할 뿐이고, 본 발명의 기술적 사상을 모두 표현하는 것은 아니므로, 본 출원 시점에 있어 이들을 대체할 수 있는 다양한 균등물과 변형예들이 존재할 수 있음을 이해하여야 한다.
도 1 은 단말기를 통해 웹 사이트에 접속하는 종래 과정을 도시한 개략도이며, 도 2 는 본 발명에 따른 보안장치가 사용자 단말기의 네트워크 환경에 연결된 상태를 도시한 개략도이며, 도 3 은 상기 보안장치의 구성을 도시한 블럭도이며, 도 4 는 본 발명에 따른 보안방법을 나타내는 순서도이다.
도 2를 참조하면, 본 발명에 따른 상기 보안장치(1000)는 사용자의 단말기(100)가 인터넷에 접속하는 네트워크 스위치(미도시) 등을 통해 물리적으로 접속할 수 있다.
도 2의 (a)는 사용자의 단말기(100)가 단말기(100) 또는 공유기(110) 내에 저장된 호스트 파일을 통해 웹사이트(150)에 접속하는 경우를 도시하며, 도 2의 (b)는 사용자의 단말기(100)가 DNS 서버(120)를 통해 도메인 네임에 해당하는 IP 주소를 전송받아 해당 웹사이트(150)에 접속하는 경우를 도시한다.
즉, 본 발명에 따른 보안장치(1000)는 사용자의 단말기(100)가 호스트 파일의 IP 주소를 통해 웹사이트(150)에 접속하는 경우 또는 DNS 서버(120)를 통해 수신된 IP 주소를 통해 웹사이트(150)에 접속하는 모든 경우에 대해서 단말기(100)가 정상적인 웹사이트에 접속하는지를 감시할 수 있다.
이하, 도면을 참조하여 보안장치(1000)의 구성에 대해서 먼저 살펴보고 이어서 보안방법에 대해서 상세히 살펴보기로 한다.
도 3은 상기 보안장치(1000)의 구성을 도시한 블록도이다.
도 3을 참조하면, 본 발명에 따른 네트워크 보안장치(1000)는 사용자의 단말기(100)로부터 입력되는 도메인 네임과 연관된 호스트 파일을 상기 사용자의 단말기(100)로부터 추출하는 호스트파일추출모듈(1100)과, 상기 도메인 네임과 연관된 DNS쿼리패킷을 DNS서버로 송수신하는 DNS서버관리모듈(1300)과, 상기 사용자 단말기(100)로부터 추출된 호스트 파일에 포함된 IP주소와 DNS서버로부터 수신된 IP주소를 비교하는 비교제어모듈(1200)과, 유해사이트정보를 저장하기 위한 데이터저장모듈(1400)을 포함하며, 상기 DNS서버(200)는 안전DNS서버(210)와 복수의 예비DNS서버(220)를 포함하며, 상기 안전DNS서버(210)로부터 수신된 웹사이트 IP주소와 상기 호스트 파일에 포함된 IP주소가 다른 경우 상기 웹사이트 접속을 차단하도록 구성되는 것을 특징으로 한다.
상기 사용자 단말기(100)는 PC 또는 스마트폰 단말기일 수 있으며, 보안 관리를 위해 상기 사용자 단말기(100)에는 본 발명에 따른 네트워크 보안방법을 구현한 프로그램 또는 앱이 저장될 수도 있고, 또는 일반적인 단말기일 수도 있다.
상기 호스트파일추출모듈(1100)은 사용자의 단말기(100)가 인터넷에 접속하는 네트워크 스위치 또는 공유기(110)에 대한 포트 미러링(port mirroring) 방식을 통해 도메인 네임에 대응되는 웹사이트의 IP 주소를 추출한다.
구체적으로, 상기 호스트파일추출모듈(1100)은 포트 미러링 기법을 통해 접속하고자 하는 웹사이트에 대한 출발지 IP, 목적지 IP, HTTP method, HTTP 헤더 정보 등을 분석하여 도메인 네임에 대응되는 웹사이트의 IP 주소를 단말기(100) 또는 공유기(110)로부터 전달받도록 구성된다.
한편, 데이터저장모듈(1400)은 사용자가 단말기(100)를 통해 접속한 웹사이트의 IP 주소와 상기 IP 주소에 대응하는 도메인 네임을 저장하는 데이터베이스에 해당한다.
이 경우, 상기 데이터저장모듈(1400)은 정상적인 사이트에 대한 IP 주소와 도메인 네임을 저장하는 정상사이트데이터저장부(1410)와 유해사이트에 대한 IP 주소와 도메인 네임을 저장하는 유해사이트데이터저장부(1430)를 포함할 수 있다.
또한, 상기 데이터저장모듈(1400)은 저장하고 있는 정보에 대한 무결성을 유지하기 위하여, 미리 결정된 주기로 저장하고 있는 정보에 대한 비교작업 및 업데이트 작업을 수행하게 된다.
상기 DNS서버관리모듈(1300)은 상기 도메인 네임과 연관된 DNS쿼리패킷을 DNS서버로 송신하고 또한 DNS서버로부터 상기 도메인 네임과 연관된 IP 주소를 수신받는 구성이다.
상기 호스트파일추출모듈(1100), 데이터저장모듈(1400) 및 DNS서버관리모듈(1300)은 비교제어모듈(1200)에 의해 제어된다.
또한, 상기 비교제어모듈(1200)은 사용자 단말기(100)로부터 추출된 호스트파일에 포함된 IP 주소와 DNS서버(200)로부터 수신된 IP 주소가 일치하는지의 여부를 비교하는 역할을 한다.
또한, 상기 비교제어모듈(1200)은 상기 호스트파일추출모듈(1100)에서 추출된 IP주소와 상기 데이터저장모듈(1400)에 저장된 IP주소 및 도메인 네임을 비교하여 일치하는지 여부를 판단할 수도 있다.
상기 DNS서버관리모듈(1300)과 연동되는 상기 DNS서버(200)는 안전DNS서버(210)와 복수의 예비DNS서버(220)를 포함한다.
상기 안전DNS서버(210)는 각별히 신경을 기울여 관리하는 DNS서버로서, 상기 예비DNS서버(220)와 비교하여 보다 강한 방화벽을 통해 보호하며, 내부에 저장되는 IP 주소의 업데이트 주기 역시 상기 예비DNS서버(220)에 비해 짧은 주기로 업데이트되고 오류를 체크하도록 구성된다.
상기 업데이트는 사용자가 특정 웹사이트에 접속을 시도하는지와 무관하게 안전DNS서버(210)와 예비DNS서버(220)에 저장된 IP 주소와 도메인 네임의 무결성 또는 최신성을 담보하기 위한 절차이다.
또한, 상기 안전DNS서버(210)로서는 예비DNS서버(220)보다는 서버 사용자 수가 많은 DNS서버를 이용함으로써, 즉 보다 많은 데이터 트래픽이 송수신되는 DNS서버를 안전DNS서버로 설정하여, 많은 사용자들에 의한 감시 효과를 이용하는 것이 바람직하다.
상기 안전DNS서버(210)는 주요 통신사의 DNS서버를 이용할 수도 있고, 본 발명에 따른 네트워크 보안장치 운영자가 자체적으로 구성하는 DNS서버일 수도 있다.
상기 예비DNS서버(220)는 상기 안전DNS서버(210)에 비해서는 보다 덜 엄격히 관리되는 DNS서버로서 복수 개 포함되어 구성된다.
현실적으로 모든 DNS서버를 동일하게 관리할 수는 없기에, 상기 안전DNS서버(210)를 주된 관리 대상 DNS서버로서 엄격히 관리하고, 상기 예비DNS서버(220)는 복수 개의 DNS서버들을 이용하여 확률적으로 관리하도록 구성된다.
그리고, 사용자의 단말기(100)로부터 상기 안전DNS서버(210)에 저장이 요청된 웹사이트의 도메인 네임과 IP주소에 대해서는, 상기 도메인 네임과 IP주소에 대한 상기 안전DNS서버(210)와 예비DNS서버(220)의 저장 내용이 동일한지 여부를 미리 지정된 주기마다 검사하도록 구성된다.
그리하여, 사용자로부터 특별히 저장이 요청된 도메인 네임과 IP주소에 대해서는, 주기적으로 안전DNS서버(210)와 예비DNS서버(220)의 저장 내용을 확인함으로써 보안 정도를 강화할 수 있다.
상기 예비DNS서버(220)는 제어모듈(1200)에 의해 미리 지정된 복수 개의 DNS 서버로 구성되거나 또는 램덤함수(Random Function)를 사용하여 무작위로 지정된 복수 개의 DNS서버로 구성될 수도 있다.
해당 웹사이트의 IP 주소와 도메인 네임을 보다 정확하게 확인하기 위해서는, 무작위로 선택된 복수 개의 예비DNS서버를 활용하는 것이 유리할 수 있다.
상기 예비DNS서버(220)의 갯수는 본 명세서에서 한정하지 않는데, 10개 내지 20개 정도로 적절하게 변형할 수 있다.
모든 복수 개의 예비DNS서버(220)와 안전DNS서버(210)의 무결성이 보장될 수 없는 경우, 통계적 접근에 의하여 복수 개의 예비DNS서버(220)의 IP 주소 및 도메인 네임의 일치비율을 탄력적으로 설정할 수 있도록 구성되는 것이 바람직하다.
상기 DNS서버관리모듈(1300)을 통해 전송된 상기 웹사이트의 IP주소 및 도메인 네임이 상기 추출된 IP주소 및 도메인 네임과 일치하는 경우에, 상기 비교제어모듈(1200)은 정상적인 목적지 웹사이트에 접속하는 것으로 판단한다.
따라서, 상기 비교제어모듈(1200)은 상기 데이터저장모듈(1400)의 정상사이트데이터저장부(1410)에 상기 웹사이트의 IP주소 및 도메인 네임을 저장하고 웹사이트 접속을 허용한다.
한편, 사용자의 단말기(100)로부터 인터넷 네트워크를 통해 접속하고자 하는 웹사이트의 도메인 네임이 입력되는 경우, 상기 도메인 네임과 연관된 호스트 파일을 상기 사용자의 단말기(100)로부터 추출하면서 동시에 상기 DNS서버관리모듈(1300)을 통해 상기 도메인 네임과 연관된 DNS쿼리패킷을 안전DNS서버(210)와 복수의 예비DNS서버(220)로 전송한다.
그리고, 상기 안전DNS서버(210)와 예비DNS서버(220)로부터 웹사이트 IP주소를 수신하여, 상기 사용자 단말기(100)로부터 추출된 호스트 파일과 상기 안전DNS서버(210)와 예비DNS서버(220)로부터 수신된 IP주소를 비교한다.
그리하여, 상기 안전DNS서버(210)로부터 수신된 웹사이트 IP주소와 상기 호스트 파일에 포함된 IP주소가 다른 경우 상기 웹사이트 접속을 차단하도록 구성된다.
그리고, 이러한 사싱를 상기 사용자 단말기(100)로 알리고, 상기 안전DNS서버(210)에 저장된 IP주소와 이에 대응되는 도메인 네임을 상기 사용자 단말기(100)로 전송할 수 있다.
파밍 공격에 의해 사용자 단말기(100)에 저장된 호스트 파일이 변조되는 경우가 있는데, 상기 사용자 단말기(100)로부터 도메인 네임이 입력되는 경우, 호스트 파일의 유무와 무관하게 DNS쿼리패킷을 상기 안전DNS서버(210)로 전송하여 IP주소를 수신 받고 이를 상기 호스트 파일에 저장된 IP주소와 비교함으로써, 파밍 공격에 의해 변조된 IP주소로 사용자 단말기(100)가 접속되는 것을 방지하도록 구성된다.
또한, 상기 사용자 단말기(100)로부터 도메인 네임이 입력되어 DNS쿼리패킷이 감지되는 경우에는, 상기 DNS쿼리패킷에 포함된 DNS서버(200)의 IP주소를 상기 안전DNS서버 IP 주소와 비교하도록 구성된다.
그리하여, 상기 DNS쿼리패킷이 미리 지정된 안전DNS서버로 올바르게 전송되었는지의 여부를 확인할 수 있도록 구성된다.
한편, 상기 사용자의 단말기(100)로부터 안전DNS서버 저장이 별도로 요청된 웹사이트 도메인 네임과 IP주소는 상기 안전DNS서버로 저장되도록 구성된다.
그리고, 사용자 단말기(100)로부터 안전DNS서버 저장이 요청된 도메인 네임에 대해서는, 호스트 파일이 상기 단말기에 존재하는지의 여부와 상관없이 상기 안전DNS서버로부터 IP주소를 전송받도록 구성된다.
예를 들어, 특정 은행 또는 정부기관, 또는 연구소 내부 관리 웹사이트 등과 같은 도메인 네임에 대해 사용자로부터 상기 안전DNS서버에 정확한 매칭 정보가 저장되도록 요청된 경우에는, 상기 도메인 네임과 이에 대응되는 IP주소를 상기 안전DNS서버에 저장하도록 구성된다.
그리하여, 본 발명에 따른 보안장치 운영자에 의해 저장되는 도메인 네임과 IP주소 외에도 사용자로부터 별도 요청된 도메인 네임과 IP주소를 상기 안전DNS서버에 저장할 수 있도록 구성됨으로써, 사용자에 의해 보안 관리가 특별히 요청된 특정 웹사이트의 감시를 강화할 수 있다.
그리고, 상기 안전DNS서버(210)와 복수 개의 예비DNS서버(220)들로부터 수신된 웹사이트 IP주소를 비교하여, 상기 안전DNS서버(210)와 예비DNS서버(220)들로부터 수신된 웹사이트의 IP주소가 서로 상이한 경우, 이를 예비DNS서버(220)로 통지하도록 구성된다.
그리하여, 해킹 공격에 의해 상기 예비DNS서버(220)에 저장된 웹사이트의 IP주소가 변조되는 것을 감시할 수 있다.
그리고, 사용자 단말기(100)로부터 안전DNS서버(210) 저장이 요청된 도메인 네임에 대해서는, 호스트 파일이 상기 단말기(100)에 존재하는지의 여부를 상관없이 상기 안전DNS서버(210)로부터 IP 주소를 전송받도록 구성될 수 있다.
그리하여, 사용자에 의해 지정된 도메인 네임에 대해서는 파밍 공격에 의해 호스트 파일이 변조되는 경우에도, 안전DNS서버(210)로부터 전송받은 IP 주소를 우선하여 상기 안전DNS서버(210)로부터 전송받은 IP 주소로 접속하도록 구성된다.
또한, 상기 복수의 예비DNS서버들(220)로부터 수신된 웹사이트 IP주소가 예를 들어, 80 내지 90 퍼센트와 같이 미리 지정된 비율 동일한 상태에서, 상기 미리 지정된 비율로 동일한 IP주소와 상기 안전DNS서버(210)로부터 수신된 웹사이트 IP주소가 서로 상이한 경우, 이를 상기 안전DNS서버(210)로 통지하도록 구성된다.
상기 안전DNS서버(210)에 비해 예비DNS서버(220)들은 보다 덜 엄격히 관리되지만, 상기 복수 개의 예비DNS서버들(220)로부터 수신된 IP주소가 80 퍼센트 내지 90퍼센트 일치할 경우에는, 그 IP주소를 올바른 IP주소로 판단한다.
그리고, 상기와 같이 일치된 IP주소와 안전DNS서버(210)로부터 수신된 IP주소가 서로 상이한 경우에는, 이를 상기 안전DNS서버(210) 관리자에 통보하여 업데이트를 통해 올바른 IP주소로 변경할 수 있도록 구성된다.
그리하여, 해킹 공격에 의해 안전DNS서버(210)의 IP주소가 변조되는 것을 감시할 수 있다.
또한, 사용자 단말기(100)로부터 입력된 상기 도메인 네임과 연관된 호스트 파일이 유해사이트로서 상기 데이터저장모듈(1400)에 미리 저장된 경우, 상기 도메인 네임과 연관된 웹사이트 접속을 차단하고 이를 상기 단말기(100)로 통지하도록 구성된다.
호스트 파일이 파밍 공격에 의해 변조된 사실이 감지되었을 경우, 상기 호스트 파일은 유해사이트로서 상기 데이터저장모듈(1400)의 유해사이트데이터저장부(1430)에 저장되며, 이러한 상태에서 상기 사용자 단말기(100)로부터 입력되는 도메인 네임과 연관된 호스트 파일이 상기 유해사이트데어터저장부(1430)에 저장된 유해사이트의 IP주소와 동일할 경우, 상기 웹사이트 접속을 차단하고 이를 단말기(100)로 통지함으로써, 파밍 공격에 의해 호스트 파일이 변조되었음을 알린다.
그리고, 상기 사용자 단말기(100)로부터 입력된 도메인 네임이 상기 안전DNS서버(210)에 저장된 도메인네임과 예를 들어, 영문 한 글자와 같이 미리 지정된 범위만큼 다른 것으로 감지되는 경우, 상기 사용자 단말기(100)로부터 입력된 도메인 네임에 대응되는 웹사이트 IP주소에 대한 접속을 차단하도록 구성될 수 있다.
컴퓨터 또는 스마트폰 사용자가 웹사이트 주소 창에 도메인 네임을 직접 입력하지 않고, 인터넷 포털 사이트에서 검색을 통해 특정 도메인 네임을 클릭함으로써 웹사이트 접속을 시도하는 경우가 있다.
포털 사이트에서 제시되는 도메인 네임이 진정한 도메인 네임과 확연히 구분될 정도로 다른 경우에는 혼동을 일으키기 어려우므로, 이러한 경우 단말기 사용자의 혼동을 위해 포털 사이트에서 디스플레이되는 도메인 네임에서 주로 한 글자정도 다른 도메인 네임을 제시하고, 상기 도메인 네임을 클릭하는 경우 유해사이트로 접속되도록 하는 경우도 있다.
이와 같은 과정을 통해 유해사이트에 접속되는 것을 방지하도록, 사용자 단말기(100)로부터 입력된 도메인 네임이 상기 안전DNS서버(210)에 저장된 도메인 네임과 한 글자 다른 것으로 감지되는 경우에, 이를 사용자 단말기(100)로 알려 유해사이트 접속을 방지하도록 구성된다.
안전DNS서버에 저장된 도메인 네임과 다른 정도에 관하여는, 글자 수 또는 글자의 종류 또는 기호의 사용 여부에 따라 미리 지정된 범위로 설정될 수 있다.
또한, 상기 사용자 단말기(100)로부터 입력된 도메인 네임이 상기 안전DNS서버(210)에 저장된 도메인네임과 한 글자 다른 것으로 감지되는 경우, 이를 상기 안전DNS서버(210) 및 예비DNS서버(220)로 통지하여, 변조된 도메인 네임과 이에 연관된 IP주소를 유해사이트데이터저장부(1430)에 저장하도록 구성된다.
이하, 도 4 를 참조하여 전술한 보안장치(1000)에 의한 보안 방법을 상세히 살펴보기로 한다.
도 4 는 본 발명에 따른 보안방법을 순차적으로 도시한 순서도이다.
도 4를 참조하면, 본 발명에 따른 네트워크 보안방법은 사용자의 단말기(100)로부터 인터넷 네트워크를 통해 웹사이트 접속을 위한 도메인 네임이 입력되는 것을 감지하는 단계(단계 10)와, 상기 도메인 네임과 연관된 호스트 파일을 상기 사용자의 단말기(100)로부터 추출하는 단계(단계20)와, 상기 도메인 네임과 연관된 DNS쿼리패킷을 안전DNS서버(210)와 복수의 예비DNS서버(220)로 전송하는 단계(단계 30)와, 상기 안전DNS서버(210)와 예비DNS서버(220)로부터 웹사이트 IP주소를 수신하는 단계(단계 40)와, 상기 사용자 단말기(100)로부터 추출된 호스트 파일과 상기 안전DNS서버(210)와 예비DNS서버(220)로부터 수신된 IP주소를 비교하는 단계(단계 50)와, 상기 안전DNS서버(210)로부터 수신된 웹사이트 IP주소와 상기 호스트 파일에 포함된 IP주소가 다른 경우 상기 웹사이트 접속을 차단(단계 70)하도록 구성되는 것을 특징으로 한다.
본 발명에 따른 네트워크 보안방법은 DNS 스푸핑 공격, 파밍 공격 등과 같은 어느 하나의 특정 공격에 대한 보안방법이 아니라, 사용자의 단말기가 정상적인 웹사이트가 아닌 가짜 사이트(유해사이트)로 접속하게 하는 모든 공격 방법에 대한 보안 방법을 제공한다.
먼저, 사용자의 단말기(100)로부터 인터넷 네트워크를 통해 웹사이트 접속을 위한 도메인 네임이 입력되는 것을 감지하면(단계 10), 상기 호스트파일추출모듈(1100)에 의해 접속하고자 하는 웹사이트의 도메인 네임에 대응되는 호스트파일과 IP주소를 추출하게 된다.
이 경우, 상기 호스트파일추출모듈(1100)은 사용자의 단말기(100)가 인터넷에 접속하는 네트워크 스위치 또는 공유기(110)에 대한 포트 미러링(port mirroring)을 통해 접속하고자 하는 웹사이트의 도메인 네임과 이에 대응되는 호스트파일 및 IP주소를 추출한다.
구체적으로, 상기 호스트파일추출모듈(1100)은 전술한 바와 같이, 포트 미러링 기법을 통해 접속하고자 하는 웹사이트에 대한 출발지 IP, 목적지 IP, HTTP method, HTTP 헤더 정보 등을 분석하여 접속하고자 하는 웹사이트의 도메인 네임과 이에 대응되는 IP주소를 추출한다.
상기 웹 사이트의 도메인 네임에 대응되는 호스트파일을 추출하는 단계에서, 상기 호스트파일추출모듈(1100)은 HTTP 프로토콜 또는 HTTPS 프로토콜을 이용하여 상기 단말기(100)가 접속을 시도하는 웹사이트의 도메인 네임에 대응되는 호스트파일과 IP주소를 추출하게 된다.
그리고, 사용자 단말기(100)를 통해 도메인 네임이 입력되는 경우, 상기 도메인 네임과 연관된 DNS쿼리패킷을 안전DNS서버(210)와 복수의 예비DNS서버(220)로 전송한다.(단계 30)
즉, 상기 도메인 네임에 대응되는 호스트파일의 존재 유무와 무관하게 상기 도메인 네임에 대응되는 DNS쿼리패킷을 안전DNS서버(210)와 복수의 예비DNS서버(220)로 전송한다.
상기와 같이 호스트파일 존재 여부에 무관하게 안전DNS서버(210)와 예비DNS서버(220)로 DNS쿼리패킷을 전송하는 것은 예를 들어, 사용자 단말기(100)에 의해 지정된 은행 또는 정부기관, 연구소 관리 사이트와 같은 특정 도메인 네임에 대해 수행되도록 설정될 수 있다.
이후, 상기 안전DNS서버(210)와 예비DNS서버(220)로부터 도메인 네임에 대한 웹사이트 IP주소를 수신한다.(단계 40)
그리고, 상기 사용자 단말기(100)로부터 추출된 호스트 파일과 상기 안전DNS서버(210)와 예비DNS서버(220)로부터 수신된 IP주소를 비교한다.(단계 50)
만약, 상기 안전DNS서버(210)로부터 수신된 웹사이트 IP주소와 상기 호스트 파일에 포함된 IP주소가 동일한 경우에는, 상기 웹사이트 접속을 허용한다.(단계 60)
그런데 만약, 상기 안전DNS서버(210)로부터 수신된 웹사이트 IP주소와 상기 호스트 파일에 포함된 IP주소가 다른 경우, 상기 웹사이트 접속을 차단한다.(단계 70)
여기서, 상기 안전DNS서버(210)로부터 수신된 웹사이트 IP주소와 상기 호스트 파일에 포함된 IP주소가 다른 경우, 상기 웹사이트 접속을 차단한다는 것은 상기 호스트파일에 포함된 IP주소로 접속을 차단한다는 의미이며, 상기 호스트파일에 포함된 IP주소를 상기 안전DNS서버(210)로부터 수신된 IP주소로 변경하여 접속할 수 있도록 하는 후속적인 조치를 취할 수 있다.
그리고, 상기 사용자 단말기(100)로부터 입력되는 DNS쿼리패킷이 감지되는 경우, 상기 DNS쿼리패킷에 포함된 DNS서버 IP주소를 상기 안전DNS서버(210) IP 주소와 비교하는 단계를 포함할 수 있다.
그리하여, 보다 철저히 관리되는 안전DNS서버(210)의 IP주소와 DNS쿼리패킷에 포함된 DNS IP주소를 비교함으로써, 스푸핑 공격에 의해 DNS서버 IP주소가 변조되는 것을 감시할 수 있다.
또한, 상기 사용자의 단말기(100)로부터 안전DNS서버(210) 저장이 별도로 요청된 웹사이트 도메인 네임과 IP주소는 상기 안전DNS서버(210)로 저장될 수 있다.
이때, 별도 요청된 웹사이트 도메인 네임은 사용자로부터 특별한 보안이 요청되는 웹사이트로서, 예를 들어 은행 또는 정부기관, 연구소 내부 관리 웹사이트 등이며, 상기 도메인 네임에 대응되어 상기 안전DNS서버(210)에 저장되는 IP주소는 상기 도메인 네임에 대응되는 진정한 IP주소이다.
또한, 상기 안전DNS서버(210)와 예비DNS서버(220)로부터 수신된 웹사이트 IP주소를 비교하여, 상기 안전DNS서버(210)와 예비DNS서버(220)로부터 수신된 웹사이트 IP주소가 서로 상이한 경우, 이를 예비DNS서버로 통지하도록 구성된다.
이에 의해, 보다 엄격히 관리되는 안전DNS서버(210)에 저장된 웹사이트 IP주소와, 이에 비해 덜 엄격히 관리되는 예비DNS서버(220)에 저장된 웹사이트 IP주소를 비교함으로써, 예비DNS서버의 해킹을 감시할 수 있다.
또한, 상기 예비DNS서버(220)들로부터 수신된 웹사이트 IP주소가 예를 들어, 80 내지 100% 와 같이 미리 지정된 비율 동일한 상태에서, 상기 미리 지정된 비율로 동일한 IP주소와 상기 안전DNS서버(210)로부터 수신된 웹사이트 IP주소가 서로 상이한 경우, 이를 상기 안전DNS서버(210)로 통지하도록 구성될 수 있다.
그리하여, 안전DNS서버(210)에 비해 덜 엄격히 관리되는 예비DNS서버(220)들에 일정 비율 이상 동일한 웹사이트 IP주소가 저장된 상태에서, 안전DNS서버(210)에 저장된 웹사이트 IP주소가 이와 다를 경우, 안전DNS서버(210)로 이를 통지하여 안전DNS서버가 해킹되는 것을 감시할 수 있다.
한편, 상기 도메인 네임과 연관된 호스트 파일이 유해사이트로서 수회 신고되어 유해사이트데이터저장부(1430)에 미리 저장된 경우, 상기 호스트 파일과 연관된 웹사이트 접속을 차단하고 이를 상기 단말기(100)로 통지하도록 구성될 수 있다.
그리고, 상기 사용자 단말기(100)로부터 입력된 도메인 네임이 상기 안전DNS서버(210)에 저장된 도메인네임과 예를 들어 한 글자와 같이 미리 지정된 범위만큼 다른 것으로 감지되는 경우, 상기 사용자 단말기로부터 입력된 도메인 네임에 대응되는 웹사이트 IP주소에 대한 접속을 차단하도록 구성될 수 있다.
그리하여, 포털 사이트를 통해 웹사이트 도메인 네임을 클릭하여 은행 또는 정부기관 웹사이트에 접속하는 경우, 진정한 도메인 네임과 매우 유사하여 혼동을 일으킬 수 있는 도메인 네임을 통해 유해사이트로 접속되는 것을 방지할 수 있다.
또한, 사용자 단말기(100)로부터 입력된 도메인 네임이 상기 안전DNS서버(210)에 저장된 도메인네임과 미리 지정된 범위만큼 다른 것으로 감지되는 경우, 이를 상기 사용자 단말기(100)와 안전DNS서버(210) 및 예비DNS서버(220)로 통지하도록 구성될 수 있다.
그리하여, 진정한 도메인 네임과 유사하여 혼동을 일으킬 수 있는 도메인 네임을 안전DNS서버(210)와 예비DNS서버(220) 측으로 통지하여 이에 대응할 수 있도록 한다.
이상, 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명의 기술적 사상은 이러한 것에 한정되지 않으며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해, 본 발명의 기술적 사상과 하기 될 특허청구범위의 균등범위 내에서 다양한 수정 및 변형 실시가 가능할 것이다.
100 : 단말기
120 : DNS서버
150 : 웹사이트서버
200: DNS서버부
1000 : 감시시스템
1100 : 호스트파일추출모듈
1200 : 비교제어모듈
1300 : DNS서버관리모듈
1400 : 데이터저장모듈
120 : DNS서버
150 : 웹사이트서버
200: DNS서버부
1000 : 감시시스템
1100 : 호스트파일추출모듈
1200 : 비교제어모듈
1300 : DNS서버관리모듈
1400 : 데이터저장모듈
Claims (18)
- 사용자의 단말기로부터 인터넷 네트워크를 통해 웹사이트 접속을 위한 도메인 네임이 입력되는 것을 감지하는 단계와;
상기 도메인 네임과 연관된 호스트 파일을 상기 사용자의 단말기로부터 추출하는 단계와;
상기 도메인 네임과 연관된 DNS쿼리패킷을 안전DNS서버와 복수의 예비DNS서버로 전송하는 단계와;
상기 안전DNS서버와 예비DNS서버로부터 웹사이트 IP주소를 수신하는 단계와;
상기 사용자 단말기로부터 추출된 호스트 파일과 상기 안전DNS서버와 예비DNS서버로부터 수신된 IP주소를 비교하는 단계와;
상기 안전DNS서버로부터 수신된 웹사이트 IP주소와 상기 호스트 파일에 포함된 IP주소가 다른 경우 상기 웹사이트 접속을 차단하도록 구성되며,
상기 사용자의 단말기로부터 안전DNS서버 저장이 요청된 웹사이트 도메인 네임과 IP주소는 상기 안전DNS서버로 저장되며,
사용자 단말기로부터 안전DNS서버 저장이 요청된 도메인 네임에 대해서는 호스트 파일이 상기 단말기에 존재하는지의 여부와 상관없이 상기 안전DNS서버로부터 IP주소를 전송받도록 구성되되,
상기 사용자의 단말기로부터 안전DNS서버 저장이 요청된 웹사이트 도메인 네임과 IP주소에 대해서는, 안전DNS서버의 저장 내용과 예비DNS서버의 저장 내용이 동일한지 여부를 미리 지정된 주기마다 검사하도록 구성되며,
상기 안전DNS서버와 예비DNS서버로부터 수신된 웹사이트 IP주소를 비교하여, 상기 안전DNS서버와 예비DNS서버로부터 수신된 웹사이트 IP주소가 서로 상이한 경우, 이를 예비DNS서버로 통지하도록 구성되고,
상기 예비DNS서버들로부터 수신된 웹사이트 IP주소가 미리 지정된 비율 이상으로 동일한 상태에서, 상기 미리 지정된 비율 이상으로 동일한 IP주소와 상기 안전DNS서버로부터 수신된 웹사이트 IP주소가 서로 상이한 경우, 이를 상기 안전DNS서버로 통지하도록 구성되며,
상기 안전DNS서버는 상기 예비DNS서버보다 데이터 트래픽이 많은 DNS서버가 설정되며,
상기 예비DNS서버는 상기 안전DNS서버보다 많은 수로 구성되고,
상기 안전DNS서버와 예비DNS서버의 업데이트 주기는 서로 다르게 설정되되,
상기 안전DNS서버의 업데이트 주기가 상기 예비DNS서버의 업데이트 주기보다 짧게 설정되며,
상기 사용자 단말기로부터 입력된 도메인 네임이 상기 안전DNS서버에 저장된 도메인네임과 미리 지정된 범위만큼 다른 것으로 감지되는 경우, 상기 사용자 단말기로부터 입력된 도메인 네임에 대응되는 웹사이트 IP주소에 대한 접속을 차단하도록 구성되되,
사용자 단말기로부터 입력된 도메인 네임이 상기 안전DNS서버에 저장된 도메인네임과 미리 지정된 범위만큼 다른 것으로 감지되는 경우, 이를 상기 사용자 단말기와 안전DNS서버 및 예비DNS서버로 통지하도록 구성되는 것을 특징으로 하는 네트워크 보안방법. - 제 1 항에 있어서,
상기 DNS쿼리패킷이 감지되는 경우, 상기 DNS쿼리패킷에 포함된 DNS서버 IP주소를 상기 안전DNS서버 IP 주소와 비교하는 단계를 포함하는 것을 특징으로 하는 네트워크 보안방법. - 제 2 항에 있어서,
상기 도메인 네임과 연관된 호스트 파일이 유해사이트로서 미리 저장된 경우, 상기 호스트 파일과 연관된 웹사이트 접속을 차단하고 이를 상기 단말기로 통지하도록 구성되는 것을 특징으로 하는 네트워크 보안방법. - 사용자의 단말기로부터 입력되는 도메인 네임과 연관된 호스트 파일을 상기 사용자의 단말기로부터 추출하는 호스트파일추출모듈과;
상기 도메인 네임과 연관된 DNS쿼리패킷을 DNS서버로 송수신하는 DNS서버관리모듈과;
상기 사용자 단말기로부터 추출된 호스트 파일에 포함된 IP주소와 DNS서버로부터 수신된 IP주소를 비교하는 비교제어모듈과;
유해사이트정보를 저장하기 위한 데이터저장모듈을 포함하며,
상기 DNS서버는 안전DNS서버와 복수의 예비DNS서버를 포함하며,
상기 안전DNS서버로부터 수신된 웹사이트 IP주소와 상기 호스트 파일에 포함된 IP주소가 다른 경우 상기 웹사이트 접속을 차단하도록 구성되며,
상기 사용자의 단말기로부터 안전DNS서버 저장이 요청된 웹사이트 도메인 네임과 IP주소는 상기 안전DNS서버로 저장되며,
사용자 단말기로부터 안전DNS서버 저장이 요청된 도메인 네임에 대해서는 호스트 파일이 상기 단말기에 존재하는지의 여부와 상관없이 상기 안전DNS서버로부터 IP주소를 전송받도록 구성되되,
상기 사용자의 단말기로부터 안전DNS서버 저장이 요청된 웹사이트 도메인 네임과 IP주소에 대해서는, 안전DNS서버의 저장 내용과 예비DNS서버의 저장 내용이 동일한지 여부를 미리 지정된 주기마다 검사하도록 구성되며,
상기 안전DNS서버와 예비DNS서버로부터 수신된 웹사이트 IP주소를 비교하여, 상기 안전DNS서버와 예비DNS서버로부터 수신된 웹사이트 IP주소가 서로 상이한 경우, 이를 예비DNS서버로 통지하도록 구성되고,
상기 예비DNS서버들로부터 수신된 웹사이트 IP주소가 미리 지정된 비율 이상으로 동일한 상태에서, 상기 미리 지정된 비율 이상으로 동일한 IP주소와 상기 안전DNS서버로부터 수신된 웹사이트 IP주소가 서로 상이한 경우, 이를 상기 안전DNS서버로 통지하도록 구성되며,
상기 안전DNS서버는 상기 예비DNS서버보다 데이터 트래픽이 많은 DNS서버가 설정되며,
상기 예비DNS서버는 상기 안전DNS서버보다 많은 수로 구성되고,
상기 안전DNS서버와 예비DNS서버의 업데이트 주기는 서로 다르게 설정되되,
상기 안전DNS서버의 업데이트 주기가 상기 예비DNS서버의 업데이트 주기보다 짧게 설정되며,
상기 사용자 단말기로부터 입력된 도메인 네임이 상기 안전DNS서버에 저장된 도메인네임과 미리 지정된 범위만큼 다른 것으로 감지되는 경우, 상기 사용자 단말기로부터 입력된 도메인 네임에 대응되는 웹사이트 IP주소에 대한 접속을 차단하도록 구성되되,
사용자 단말기로부터 입력된 도메인 네임이 상기 안전DNS서버에 저장된 도메인네임과 미리 지정된 범위만큼 다른 것으로 감지되는 경우, 이를 상기 사용자 단말기와 안전DNS서버 및 예비DNS서버로 통지하도록 구성되는 것을 특징으로 하는 네트워크 보안장치. - 제 4 항에 있어서,
상기 사용자 단말기로부터 입력되는 DNS쿼리패킷이 감지되는 경우, 상기 DNS쿼리패킷에 포함된 DNS서버 IP주소를 상기 안전DNS서버 IP 주소와 비교하여 웹사이트 접속 차단 여부를 결정하도록 구성되는 것을 특징으로 하는 네트워크 보안장치. - 제 5 항에 있어서,
상기 도메인 네임과 연관된 호스트 파일이 유해사이트로서 상기 데이터저장모듈에 미리 저장된 경우, 상기 호스트 파일과 연관된 웹사이트 접속을 차단하고 이를 상기 단말기로 통지하도록 구성되는 것을 특징으로 하는 네트워크 보안장치. - 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190007731A KR101996471B1 (ko) | 2019-01-21 | 2019-01-21 | 네트워크 보안장치 및 보안방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190007731A KR101996471B1 (ko) | 2019-01-21 | 2019-01-21 | 네트워크 보안장치 및 보안방법 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101996471B1 true KR101996471B1 (ko) | 2019-07-05 |
Family
ID=67225011
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020190007731A KR101996471B1 (ko) | 2019-01-21 | 2019-01-21 | 네트워크 보안장치 및 보안방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101996471B1 (ko) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112153171A (zh) * | 2020-09-25 | 2020-12-29 | 互联网域名系统北京市工程研究中心有限公司 | 域名的建站情况探测系统和探测方法 |
KR102367545B1 (ko) * | 2021-05-07 | 2022-02-25 | (주) 코아맥스테크놀로지 | 네트워크 파밍 차단 방법 및 시스템 |
KR102479763B1 (ko) * | 2022-04-22 | 2022-12-21 | (주) 코아맥스테크놀로지 | 가상 환경을 이용한 dns 서버 보호 시스템 |
KR20230019664A (ko) * | 2021-08-02 | 2023-02-09 | (주)코아맥스테크놀로지 | 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법 및 시스템 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20090096922A (ko) * | 2008-03-10 | 2009-09-15 | 주식회사 안철수연구소 | 파밍 공격 탐지 및 대응 시스템 및 그 방법 |
KR20090120343A (ko) * | 2008-05-19 | 2009-11-24 | 주식회사 안철수연구소 | 파밍감지 시스템 및 이를 제어하는 방법 |
KR20180051806A (ko) * | 2016-11-09 | 2018-05-17 | 한국정보보호시스템(주) | 도메인 네임 시스템 화이트리스트 데이터베이스를 이용한 파밍 공격 차단 시스템 및 그 방법 |
-
2019
- 2019-01-21 KR KR1020190007731A patent/KR101996471B1/ko active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20090096922A (ko) * | 2008-03-10 | 2009-09-15 | 주식회사 안철수연구소 | 파밍 공격 탐지 및 대응 시스템 및 그 방법 |
KR20090120343A (ko) * | 2008-05-19 | 2009-11-24 | 주식회사 안철수연구소 | 파밍감지 시스템 및 이를 제어하는 방법 |
KR20180051806A (ko) * | 2016-11-09 | 2018-05-17 | 한국정보보호시스템(주) | 도메인 네임 시스템 화이트리스트 데이터베이스를 이용한 파밍 공격 차단 시스템 및 그 방법 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112153171A (zh) * | 2020-09-25 | 2020-12-29 | 互联网域名系统北京市工程研究中心有限公司 | 域名的建站情况探测系统和探测方法 |
CN112153171B (zh) * | 2020-09-25 | 2023-07-25 | 互联网域名系统北京市工程研究中心有限公司 | 域名的建站情况探测系统和探测方法 |
KR102367545B1 (ko) * | 2021-05-07 | 2022-02-25 | (주) 코아맥스테크놀로지 | 네트워크 파밍 차단 방법 및 시스템 |
KR20230019664A (ko) * | 2021-08-02 | 2023-02-09 | (주)코아맥스테크놀로지 | 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법 및 시스템 |
KR102514214B1 (ko) | 2021-08-02 | 2023-03-27 | (주) 코아맥스테크놀로지 | 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법 및 시스템 |
KR102479763B1 (ko) * | 2022-04-22 | 2022-12-21 | (주) 코아맥스테크놀로지 | 가상 환경을 이용한 dns 서버 보호 시스템 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101996471B1 (ko) | 네트워크 보안장치 및 보안방법 | |
US10574698B1 (en) | Configuration and deployment of decoy content over a network | |
US8578481B2 (en) | Method and system for determining a probability of entry of a counterfeit domain in a browser | |
US8495737B2 (en) | Systems and methods for detecting email spam and variants thereof | |
US7752662B2 (en) | Method and apparatus for high-speed detection and blocking of zero day worm attacks | |
US8756697B2 (en) | Systems and methods for determining vulnerability to session stealing | |
US8533581B2 (en) | Optimizing security seals on web pages | |
US8869268B1 (en) | Method and apparatus for disrupting the command and control infrastructure of hostile programs | |
US20130254870A1 (en) | Detecting and Thwarting Browser-Based Network Intrusion Attacks By a Virtual Machine Monitoring System, Apparatus, and Method | |
KR20090019451A (ko) | 피싱 및 파밍 알림 방법 및 장치 | |
CN104811449A (zh) | 检测撞库攻击方法及系统 | |
CN103634786A (zh) | 一种无线网络的安全检测和修复的方法与系统 | |
US20090119745A1 (en) | System and method for preventing private information from leaking out through access context analysis in personal mobile terminal | |
CN108063833B (zh) | Http dns解析报文处理方法及装置 | |
US20060248590A1 (en) | System and method for protecting an information server | |
KR100985049B1 (ko) | 파밍감지 시스템 및 이를 제어하는 방법 | |
CN108156270B (zh) | 域名请求处理方法和装置 | |
US20220191193A1 (en) | Cross site request forgery (csrf) protection for web browsers | |
CN104935551A (zh) | 一种网页篡改防护装置及方法 | |
US20200213856A1 (en) | Method and a device for security monitoring of a wifi network | |
Wang et al. | A cost-effective ocr implementation to prevent phishing on mobile platforms | |
KR101494329B1 (ko) | 악성 프로세스 검출을 위한 시스템 및 방법 | |
Dong et al. | User behaviour based phishing websites detection | |
CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
CN116319074B (zh) | 一种基于多源日志的失陷设备检测方法、装置及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |