KR102007913B1 - System and method for controlling network at software defined perimeters based on endpoint group label - Google Patents

System and method for controlling network at software defined perimeters based on endpoint group label Download PDF

Info

Publication number
KR102007913B1
KR102007913B1 KR1020180070035A KR20180070035A KR102007913B1 KR 102007913 B1 KR102007913 B1 KR 102007913B1 KR 1020180070035 A KR1020180070035 A KR 1020180070035A KR 20180070035 A KR20180070035 A KR 20180070035A KR 102007913 B1 KR102007913 B1 KR 102007913B1
Authority
KR
South Korea
Prior art keywords
endpoint
network
policy
group label
platform
Prior art date
Application number
KR1020180070035A
Other languages
Korean (ko)
Inventor
차욱재
임복출
이동범
Original Assignee
지니언스(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 지니언스(주) filed Critical 지니언스(주)
Priority to KR1020180070035A priority Critical patent/KR102007913B1/en
Application granted granted Critical
Publication of KR102007913B1 publication Critical patent/KR102007913B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/78Architectures of resource allocation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/82Miscellaneous aspects
    • H04L47/828Allocation of resources per group of connections, e.g. per group of users
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention proposes a network control method and system in an endpoint group label-based software defined boundary. Provided are a method and system for controlling network resources at an endpoint group label-based software defined boundary, in a network resource control system at a software defined boundary based on a group label, comprising: a platform recognition unit for allocating group labels, which are identifiers for classifying endpoints on the network, according to preset conditions, to the endpoints detected in the network; a policy setting unit for setting a policy for the endpoint based on a group label of the endpoint; and an access control unit for performing at least one of resource allocation and control of the network to the endpoint according to the determined policy.

Description

엔드포인트 그룹 라벨 기반 소프트웨어 정의 경계에서의 네트워크 제어 방법 및 시스템{SYSTEM AND METHOD FOR CONTROLLING NETWORK AT SOFTWARE DEFINED PERIMETERS BASED ON ENDPOINT GROUP LABEL}TECHNICAL AND METHOD FOR CONTROLLING NETWORK AT SOFTWARE DEFINED PERIMETERS BASED ON ENDPOINT GROUP LABEL}

본 명세서에서 개시되는 실시예들은 엔드포인트 그룹 라벨 기반 소프트웨어 정의 경계(SOFTWARE DEFINED PERIMETERS)에서의 네트워크 리소스 제어 방법 및 시스템에 관한 것으로, 보다 상세하게는 엔드포인트에 대한 그룹 라벨을 할당하고, 할당된 그룹 라벨에 기초하여 엔드포인트에 대한 네트워크의 리소스 할당 및 제어를 하는 네트워크 제어 방법 및 시스템에 관한 것이다.Embodiments disclosed herein relate to a method and system for controlling network resources at an endpoint group label based software defined boundary, and more particularly to assigning a group label for an endpoint and assigning the assigned group. A network control method and system for resource allocation and control of a network for an endpoint based on a label.

최근 들어 PC, 각종 서버, 프린터, 센서 등 다양한 형태의 IT 장치가 개발되었고, 이러한 장치들은 네트워크에 접속하여 동작하는 것이 일반적이다. Recently, various types of IT devices such as PCs, various servers, printers, and sensors have been developed, and these devices generally operate by connecting to a network.

이러한 네트워크에 접속한 각종 IT기기를 이용하는 기업환경은 편리함을 가져왔으나 네트워크 측면에서는 네트워크에 접속한 IT기기의 안전성 여부를 식별하고 네트워크에 대한 접근을 제어함으로써 네트워크 보안성을 유지할 수 있다. The corporate environment using various IT devices connected to the network has brought convenience, but in terms of the network, it is possible to maintain the security of the network by identifying whether the IT devices connected to the network are safe and controlling access to the network.

하지만, 네트워크에 접속할 수 있는 IT 기기의 종류가 다양해짐으로 인해 네트워크에 접속한 IT기기를 식별하는 것이 어려워져 네트워크의 보안성이 저하되는 문제점이 있다.However, due to the variety of types of IT devices that can access the network, it is difficult to identify the IT devices connected to the network, thereby degrading the security of the network.

또한, 네트워크에 접속한IT 기기 별로 네트워크의 리소스 할당 또는 제어에 대한 정책을 개별적으로 설정해야 하는 문제점이 있다. In addition, there is a problem that a policy for resource allocation or control of the network must be individually set for each IT device connected to the network.

관련하여 선행기술 문헌인 한국등록특허번호 제10-0226781호는 노드 인식방법에 관한 것으로 새로이 추가된 네트워크 인터페이스 카드가 스스로 자신에 대한 정보와 데이터의 수신 수신여부를 알리는 정보를 스위칭허브로 전송함으로써 스위칭허브가 정보테이블을 손쉽게 구성하고, 다수의 네트워크 인터페이스 카드가 추가되더라도 스위칭허브가 정보테이블 손쉽게 구성하여 데이터의 트래픽이 증가하는 것을 방지하는 기술이 기재되어 있으나, 상술된 문제점과 같이 네트워크에 접속한 IT기기를 식별하고, 식별된 IT 기기에 대해 네트워크 리소스를 빠르게 할당하지 못한다. In the related art, Korean Patent No. 10-0226781, which relates to a node recognition method, relates to a node recognition method, and a newly added network interface card switches by transmitting information about itself and information indicating whether or not to receive data to a switching hub. Although a hub easily configures an information table and a plurality of network interface cards are added, a technology has been described in which a switching hub easily configures an information table to prevent an increase in data traffic. Identify devices and do not quickly assign network resources to identified IT devices.

따라서 상술된 문제점을 해결하기 위한 기술이 필요하게 되었다.Therefore, there is a need for a technique for solving the above problems.

한편, 전술한 배경기술은 발명자가 본 발명의 도출을 위해 보유하고 있었거나, 본 발명의 도출 과정에서 습득한 기술 정보로서, 반드시 본 발명의 출원 전에 일반 공중에게 공개된 공지기술이라 할 수는 없다.On the other hand, the background art described above is technical information that the inventors possess for the derivation of the present invention or acquired in the derivation process of the present invention, and is not necessarily a publicly known technique disclosed to the general public before the application of the present invention. .

본 명세서에서 개시되는 실시예들은, 엔드포인트 그룹 라벨 기반 소프트웨어 정의 경계에서의 네트워크 제어 방법 및 시스템을 제시하는데 목적이 있다.Embodiments disclosed herein are directed to presenting a network control method and system at an endpoint group label based software defined boundary.

본 명세서에서 개시되는 실시예들은, 네트워크에 엔드포인트로 새롭게 접근한 엔드포인트에 대한 정보를 획득하여 장치를 식별하는 네트워크 제어 방법 및 시스템을 제시하는데 목적이 있다. Embodiments disclosed herein are aimed at presenting a network control method and system for identifying a device by obtaining information about an endpoint newly accessing the network as an endpoint.

본 명세서에서 개시되는 실시예들은, 그룹라벨에 대응된 정책을 기준으로 엔드포인트에 대한 정책을 학습하는 네트워크 제어 방법 및 시스템을 제시하는데 목적이 있다. Embodiments disclosed herein are intended to provide a network control method and system for learning a policy for an endpoint based on a policy corresponding to a group label.

본 명세서에서 개시되는 실시예들은, 식별된 엔드포인트에 대해 네트워크 리소스의 할당 및 제어하는 정책을 설정하는 네트워크 제어 방법 및 시스템을 제시하는데 목적이 있다. Embodiments disclosed herein are aimed at presenting a network control method and system for setting a policy for allocating and controlling network resources for an identified endpoint.

상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 일 실시예에 따르면, 그룹라벨에 기반한 소프트웨어 정의 경계에서의 네트워크 리소스 제어시스템에 있어서,As a technical means for achieving the above technical problem, according to an embodiment of the present invention, in a network resource control system at a software defined boundary based on a group label,

기 설정된 조건에 따라 상기 네트워크 상의 엔드포인트를 분류하는 식별자인 그룹라벨을 상기 네트워크에서 탐지된 엔드포인트에 할당하는 플랫폼인식부, 상기 엔드포인트의 그룹라벨에 기초하여 상기 엔드포인트에 대한 정책을 설정하는 정책설정부 및 결정된 정책에 따라 상기 엔드포인트에 대해 상기 네트워크의 리소스 할당 및 제어 중 적어도 하나를 수행하는 접근제어부를 포함할 수 있다.A platform recognition unit for assigning a group label, which is an identifier classifying an endpoint on the network, to an endpoint detected in the network according to a preset condition, and setting a policy for the endpoint based on the group label of the endpoint. The network controller may include an access control unit configured to perform at least one of resource allocation and control of the network to the endpoint according to a policy setting unit and the determined policy.

다른 실시예에 따르면, 네트워크제어장치가 그룹라벨에 기반한 소프트웨어 정의 경계에서의 네트워크 리소스 제어 방법에 있어서, 기 설정된 조건에 따라 상기 네트워크 상의 엔드포인트를 분류하는 식별자인 그룹라벨을 상기 네트워크에서 탐지된 엔드포인트에 할당하는 단계, 상기 엔드포인트의 그룹라벨에 기초하여 상기 엔드포인트에 대한 정책을 설정하는 단계 및 결정된 정책에 따라 상기 엔드포인트에 대해 상기 네트워크의 리소스 할당 및 제어 중 적어도 하나를 수행하는 단계를 포함할 수 있다.According to another embodiment, in a method of controlling a network resource at a software defined boundary based on a group label, the network controller detects a group label which is an identifier for classifying an endpoint on the network according to a predetermined condition. Assigning to a point, setting a policy for the endpoint based on the group label of the endpoint, and performing at least one of resource allocation and control of the network for the endpoint in accordance with the determined policy. It may include.

다른 실시예에 따르면, 네트워크제어방법을 수행하는 프로그램이 기록된 컴퓨터 판독이 가능한 기록매체로서, 기 설정된 조건에 따라 상기 네트워크 상의 엔드포인트를 분류하는 식별자인 그룹라벨을 상기 네트워크에서 탐지된 엔드포인트에 할당하는 단계, 상기 엔드포인트의 그룹라벨에 기초하여 상기 엔드포인트에 대한 정책을 설정하는 단계 및 결정된 정책에 따라 상기 엔드포인트에 대해 상기 네트워크의 리소스 할당 및 제어 중 적어도 하나를 수행하는 단계를 포함할 수 있다.According to another embodiment, a computer-readable recording medium in which a program for performing a network control method is recorded, the group label being an identifier for classifying an endpoint on the network according to a predetermined condition, is assigned to an endpoint detected in the network. Assigning, setting a policy for the endpoint based on the group label of the endpoint, and performing at least one of resource allocation and control of the network for the endpoint in accordance with the determined policy. Can be.

다른 실시예에 따르면, 네트워크제어시스템에 의해 수행되며, 네트워크제어방법을 수행하기 위해 기록매체에 저장된 컴퓨터프로그램으로서, 기 설정된 조건에 따라 상기 네트워크 상의 엔드포인트를 분류하는 식별자인 그룹라벨을 상기 네트워크에서 탐지된 엔드포인트에 할당하는 단계, 상기 엔드포인트의 그룹라벨에 기초하여 상기 엔드포인트에 대한 정책을 설정하는 단계 및 결정된 정책에 따라 상기 엔드포인트에 대해 상기 네트워크의 리소스 할당 및 제어 중 적어도 하나를 수행하는 단계를 포함할 수 있다.According to another embodiment of the present invention, a computer program executed by a network control system and stored in a recording medium for performing a network control method, the group label being an identifier for classifying an endpoint on the network according to a predetermined condition, is generated in the network. Assigning to the detected endpoint, setting a policy for the endpoint based on the group label of the endpoint, and performing at least one of resource allocation and control of the network for the endpoint according to the determined policy It may include the step.

전술한 과제 해결 수단 중 어느 하나에 의하면, 그룹라벨을 이용하여 네트워크에 접근한 장치인 엔드포인트를 빠르게 식별할 수 있는 네트워크 제어 방법 및 시스템을 제시할 수 있다. According to any one of the above-described problem solving means, it is possible to provide a network control method and system capable of quickly identifying an endpoint, which is a device that accesses a network using a group label.

전술한 과제 해결 수단 중 어느 하나에 의하면, 그룹라벨에 대응된 정책을 기준으로 엔드포인트에 대한 정책을 학습하는 네트워크 제어 방법 및 시스템을 제시할 수 있다. According to any one of the aforementioned problem solving means, it is possible to provide a network control method and system for learning a policy for an endpoint based on a policy corresponding to a group label.

전술한 과제 해결 수단 중 어느 하나에 의하면, 식별된 장치에 대해 네트워크 리소스의 할당 및 제어하는 정책을 엔드포인트에 할당된 그룹라벨에 따라 자동으로 설정하는 네트워크 리소스 제어 방법 및 시스템을 제시할 수 있다. According to any one of the foregoing problem solving means, it is possible to provide a network resource control method and system for automatically setting a policy for allocating and controlling network resources for an identified device according to a group label assigned to an endpoint.

개시되는 실시예들에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 개시되는 실시예들이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The effects obtainable in the disclosed embodiments are not limited to the effects mentioned above, and other effects not mentioned above are apparent to those skilled in the art to which the embodiments disclosed from the following description belong. Can be understood.

도 1 은 일 실시예에 따른 네트워크제어시스템을 도시한 네트워크 구성도이다.
도 2 는 일 실시예에 따른 네트워크제어시스템의 블록도이다.
도 3 은 일 실시예에 따른 네트워크제어방법을 설명하기 위한 순서도이다. 1 is a network diagram illustrating a network control system according to an exemplary embodiment.
2 is a block diagram of a network control system according to an embodiment.
3 is a flowchart illustrating a network control method according to an embodiment.

아래에서는 첨부한 도면을 참조하여 다양한 실시예들을 상세히 설명한다. 아래에서 설명되는 실시예들은 여러 가지 상이한 형태로 변형되어 실시될 수도 있다. 실시예들의 특징을 보다 명확히 설명하기 위하여, 이하의 실시예들이 속하는 기술분야에서 통상의 지식을 가진 자에게 널리 알려져 있는 사항들에 관해서 자세한 설명은 생략하였다. 그리고, 도면에서 실시예들의 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, various embodiments will be described in detail with reference to the accompanying drawings. The embodiments described below may be embodied in various different forms. In order to more clearly describe the features of the embodiments, detailed descriptions of the matters well known to those skilled in the art to which the following embodiments belong are omitted. In the drawings, parts irrelevant to the description of the embodiments are omitted, and like reference numerals designate like parts throughout the specification.

명세서 전체에서, 어떤 구성이 다른 구성과 "연결"되어 있다고 할 때, 이는 ‘직접적으로 연결’되어 있는 경우뿐 아니라, ‘그 중간에 다른 구성을 사이에 두고 연결’되어 있는 경우도 포함한다. 또한, 어떤 구성이 어떤 구성을 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한, 그 외 다른 구성을 제외하는 것이 아니라 다른 구성들을 더 포함할 수도 있음을 의미한다.Throughout the specification, when a configuration is "connected" to another configuration, this includes not only 'directly connected' but also 'connected' between different configurations. In addition, when a configuration "includes" a certain configuration, this means that, unless specifically stated otherwise, it may further include other configurations other than the other configuration.

이하 첨부된 도면을 참고하여 실시예들을 상세히 설명하기로 한다.Hereinafter, exemplary embodiments will be described in detail with reference to the accompanying drawings.

다만 이를 설명하기에 앞서, 아래에서 사용되는 용어들의 의미를 먼저 정의한다. However, before describing this, the meanings of the terms used below are first defined.

이하에서 ‘엔드포인트’는 가상 네트워크 또는 무선 통신망, 근거리 통신망(LAN) 등을 통해 연결되는 노드로 예를 들어, PC, 모바일, 서버, 네트워크 장비, 무선접속장비, 라우터, 스위치, 보안장비, 프린터, VOIP, 복합기 등과 같은 장치이거나 또는 클라우드일 수 있다.Hereinafter, the 'endpoint' is a node connected through a virtual network or a wireless communication network, a local area network (LAN), etc., for example, PC, mobile, server, network equipment, wireless access equipment, routers, switches, security equipment, printers Or a cloud, such as a VOIP, a multifunction device, or the like.

“엔드포인트 탐지정보”는 노드의 플랫폼을 식별하기 위해 수집되는 정보로, SNMP 쿼리에 대한 SNMP 응답 패킷, MAC 주소 응답 패킷, HTTP 페이지, HTTPS 페이지, TELNET Banner 메시지, NMAP 스캔정보 등을 포함한다. "Endpoint Detection Information" is information collected to identify a node's platform and includes SNMP response packets, MAC address response packets, HTTP pages, HTTPS pages, TELNET Banner messages, and NMAP scan information for SNMP queries.

“개별식별항목”은 엔드포인트의 SNMP OID, MAC 주소, SNMP Description, HTTP Top page, HTTPS Top page, TELNET Banner, Open Port, NMAP OS를 의미한다. 개별식별항목은 삭제, 추가, 편집이 가능하며, 새로운 운영체제 또는 프로토콜을 탑재한 신규의 단말기를 인식하기 위해 사용될 수 있다."Individual Identification" means the SNMP OID, MAC address, SNMP Description, HTTP Top page, HTTPS Top page, TELNET Banner, Open Port, and NMAP OS of the endpoint. Individual identification items can be deleted, added, or edited and can be used to recognize new terminals with new operating systems or protocols.

도 1 은 일 실시예에 따른 네트워크제어시스템(100)을 도시한 네트워크(N) 구성도이다.1 is a diagram illustrating a configuration of a network N showing a network control system 100 according to an embodiment.

도 1 을 참조하면, 네트워크제어시스템(100)은 네트워크(N)에 접근한 엔드포인트(E)를 탐지하는 복수개의 탐지센서(10)와 엔드포인트(E)의 플랫폼을 식별하여 그룹라벨을 할당하는 플랫폼식별장치(20)와 엔드포인트(E)에 대한 네트워크상의 정책을 설정하여 네트워크 리소스의 할당 또는 제어를 하는 접근제어장치(30)를 포함할 수 있다. Referring to FIG. 1, the network control system 100 assigns a group label by identifying a plurality of detection sensors 10 and platforms of an endpoint E that detect an endpoint E that has accessed the network N. FIG. It may include a platform identification device 20 and the access control device 30 for assigning or controlling network resources by setting a policy on the network for the endpoint (E).

우선, 탐지센서(10)는 네트워크에 정당한 접근권한을 갖는 엔드포인트 뿐만 아니라 불법 접속을 시도하는 엔드포인트를 감지할 수 있으며, 탐지센서(10)는 엔드포인트(E)의 탐지 이벤트가 발생하면 플랫폼식별장치(20)로 전송할 수 있다.First, the detection sensor 10 may detect not only endpoints having legitimate access to the network, but also endpoints attempting illegal access, and the detection sensor 10 may detect a platform when a detection event of the endpoint E occurs. It may transmit to the identification device 20.

그리고 플랫폼식별장치(20)는 플랫폼 인식 프로그램 및 플랫폼 식별정보를 저장하며 탐지센서(10)를 통해 엔드포인트(E)에서 개별식별항목을 획득하여 플랫폼 식별정보와 비교하여 엔드포인트(E)의 플랫폼을 식별할 수 있고, 엔드포인트(E)에 대한 그룹라벨을 생성하거나 할당할 수 있다. In addition, the platform identification device 20 stores the platform recognition program and platform identification information, and obtains individual identification items from the endpoint E through the detection sensor 10 and compares the platform identification information with the platform of the endpoint E. Can be identified and a group label can be created or assigned to the endpoint (E).

또한, 접근제어장치(30)는 그룹라벨에 대한 네트워크 리소스 할당 또는 제어하는 정책을 학습할 수 있으며, 엔드포인트(E)의 그룹라벨에 기초하여 엔드포인트(E)에 대한 정책을 자동으로 설정할 수 있다. In addition, the access control device 30 may learn a policy for allocating or controlling network resources for the group label, and automatically sets a policy for the endpoint E based on the group label of the endpoint E. FIG. have.

이러한 네트워크제어시스템(100)은 네트워크(N)를 통해 원격지의 서버에 접속하거나, 타 단말 및 서버와 연결 가능한 컴퓨터로 구현될 수 있으며, 직접 또는 다른 정보처리장치를 통해 네트워크를 경유하여 원격지의 서버에 접속하거나 타 단말과 연결될 수 있다. 여기서, 컴퓨터는 예를 들어, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(desktop), 랩톱(laptop)등을 포함할 수 있다.The network control system 100 may be implemented as a computer that can be connected to a remote server through a network (N), or can be connected to other terminals and servers, and via a network directly or through another information processing device. It may be connected to or connected to another terminal. Here, the computer may include, for example, a laptop, a desktop, a laptop, etc. equipped with a web browser.

한편, 네트워크제어시스템(100)를 구성하는 탐지센서(10), 플랫폼인식장치(20) 및 접근제어장치(30)는 실시예에 따라 물리적으로 분리된 서버가 연결된 하나의 시스템으로 구현되거나 또는 하나의 서버로 구현될 수 있다. Meanwhile, the detection sensor 10, the platform recognition device 20, and the access control device 30 constituting the network control system 100 may be implemented as one system to which a physically separated server is connected, or one according to an embodiment. It can be implemented as a server of.

도 2 는 일 실시예에 따른 네트워크제어시스템(100)의 각 구성을 도시한 블록도이다. 도 2 를 참조하면, 일 실시예에 따른 네트워크제어시스템(100)은, 플랫폼인식부(110), 정책설정부(120) 및 접근제어부(130)를 포함할 수 있다.2 is a block diagram showing each configuration of a network control system 100 according to an embodiment. Referring to FIG. 2, the network control system 100 according to an embodiment may include a platform recognition unit 110, a policy setting unit 120, and an access control unit 130.

우선, 플랫폼인식부(110)는 기 설정된 조건에 따라 네트워크(N) 상의 엔드포인트(E)를 분류하는 식별자인 그룹라벨을 네트워크(N)에서 탐지된 엔드포인트(E)에 할당할 수 있다. First, the platform recognition unit 110 may assign a group label, which is an identifier for classifying the endpoint E on the network N, to the endpoint E detected in the network N, according to a preset condition.

우선, 플랫폼인식부(110)는 네트워크(N)에 접속한 엔드포인트(E)를 탐지할 수 있고, 탐지된 엔드포인트(E)로부터 엔드포인트의 플랫폼 식별에 필요한 개별식별항목정보를 획득할 수 있다. First, the platform recognition unit 110 may detect the endpoint (E) connected to the network (N), and obtain the individual identification item information required for platform identification of the endpoint from the detected endpoint (E). have.

예를 들어, 플랫폼인식부(110)는 탐지센서(10)를 통해 네트워크(N)에 접근을 요청한 엔드포인트(E)를 탐지할 수 있고, 탐지된 엔드포인트(E)로부터 개별식별항목으로 SNMP OID, MAC 주소, SNMP Description, HTTP Top page, HTTPS Top page, TELNET Banner, Open Port, NMAP OS 등을 획득할 수 있다.For example, the platform recognition unit 110 may detect the endpoint (E) requesting access to the network (N) through the detection sensor (10), SNMP from the detected endpoint (E) as an individual identification item OID, MAC address, SNMP Description, HTTP Top page, HTTPS Top page, TELNET Banner, Open Port, NMAP OS, etc. can be obtained.

그리고 플랫폼인식부(110)는 엔드포인트(E)의 개별식별항목정보를 기초로 엔드포인트(E)의 플랫폼을 식별할 수 있고, 식별된 플랫폼에 따라 엔드포인트에 대한 그룹라벨을 할당할 수 있다. The platform recognition unit 110 may identify the platform of the endpoint E based on the individual identification item information of the endpoint E, and may assign a group label for the endpoint according to the identified platform. .

예를 들어, 플랫폼인식부(110)는 개별식별항목정보를 기 저장된 복수개의 플랫폼 식별정보의 개별식별항목정보와 비교하여 엔드포인트(E)의 플랫폼을 식별할 수 있고, 추출된 플랫폼에 기초하여 엔드포인트(E)를 분류하는 식별자인 그룹라벨을 할당할 수 있다. 이와 달리 새로운 플랫폼으로 식별되면, 플랫폼인식부(110)는 엔드포인트(E)에 대해 새로운 그룹라벨을 생성하여 할당할 수 있다.For example, the platform recognition unit 110 may identify the platform of the endpoint E by comparing the individual identification item information with the individual identification item information of the plurality of previously stored platform identification information, based on the extracted platform A group label, which is an identifier for classifying an endpoint E, may be assigned. In contrast, if identified as a new platform, the platform recognition unit 110 may generate and assign a new group label for the endpoint (E).

그리고 정책설정부(120)는 엔드포인트(E)의 그룹라벨에 기초하여 엔드포인트(E)의 그룹라벨에 대응되는 정책에 따라 엔드포인트(E)의 정책을 설정할 수 있다. The policy setting unit 120 may set the policy of the endpoint E according to the policy corresponding to the group label of the endpoint E based on the group label of the endpoint E. FIG.

이에 앞서, 정책설정부(120)는 실시예에 따라, 엔드포인트(E)의 개별식별항목정보를 기초로 엔드포인트(E)에 대한 정책을 머신러닝을 통해 학습할 수 있다. Prior to this, the policy setting unit 120 may learn the policy for the endpoint (E) through machine learning based on the individual identification item information of the endpoint (E) according to the embodiment.

예를 들어, 정책설정부(120)는 지도학습 방법을 이용하여 엔드포인트(E)의 플랫폼에 따라 기 설정된 정책을 학습하거나, 또는 결정트리 앙상블 방법을 이용하여 플랫폼에 대한 적어도 하나의 정책으로부터 결정된 하나의 정책을 학습할 수 있다. For example, the policy setting unit 120 learns a predetermined policy according to the platform of the endpoint E using the supervised learning method, or is determined from at least one policy for the platform using the decision tree ensemble method. You can learn a single policy.

그리고 정책설정부(120)는 엔드포인트(E)의 그룹라벨에 대응되는 정책을 저장할 수 있으며, 기 저장된 정책을 갱신할 수 있다. The policy setting unit 120 may store a policy corresponding to the group label of the endpoint E, and may update a previously stored policy.

예를 들어, 정책설정부(120)는 리눅스 플랫폼을 갖는 엔드포인트(E)에 할당된 제 1 그룹라벨에 대해 제 1 내지 제 4 단계의 네트워크 접근 권한 중 제 1 내지 제 3 단계의 접근 권한을 부여하는 정책을 매칭하여 저장할 수 있다.For example, the policy setting unit 120 assigns the first to third levels of access rights of the first to fourth levels to the first group label assigned to the endpoint E having the Linux platform. You can match and save the policy you assign.

또는 예를 들어, 정책설정부(120)는 리눅스 플랫폼을 갖는 엔드포인트(E)에 대한 보안성이 높아짐에 따라 제 1 그룹라벨에 대해 기 저장된 정책인 제 1 내지 제 3 단계의 접근 권한을 부여하는 정책을 제 1 내지 제 4 단계의 접근 권한을 부여하는 정책으로 갱신할 수 있다.Alternatively, for example, the policy setting unit 120 grants access rights of the first to third levels, which are pre-stored policies, to the first group label as the security of the endpoint E having the Linux platform is increased. The policy may be updated to a policy granting access rights of the first to fourth steps.

이때, 정책은 엔드포인트(E)에 대응되는 노드를 관리하는 정책인 노드정책, 엔드포인트(E)의 접근에 대한 차단 또는 허용하는 정책인 제어정책 그리고 무선네트워크를 사용하는 무선정보사용노드에 대한 정책인 무선랜정책 중 적어도 하나의 정책으로 구성될 수 있다. At this time, the policy is for the node policy, which is a policy for managing the node corresponding to the endpoint (E), the control policy, which is a policy for blocking or allowing access of the endpoint (E), and for the wireless information usage node using the wireless network. The policy may be configured of at least one policy of the WLAN policy.

이러한 정책은 모든 장치의 접근을 차단을 기본으로 설정하되 플랫폼 별로 접근이 허용을 달리하는 방법으로 설정될 수 있거나, 또는 모든 장치의 접근을 허용하는 것을 기본으로 설정하되 플랫폼 별로 접근을 차단하는 방법으로 설정될 수 있다. These policies can be set to block access to all devices by default, but access can be set differently by platform, or set to allow access to all devices by default but block access by platform. Can be set.

그리고 정책설정부(120)는 플랫폼인식부(110)에서 엔드포인트(E)에 대해 할당된 그룹라벨에 기초하여 엔드포인트(E)에 대한 정책을 설정할 수 있다. The policy setting unit 120 may set a policy for the endpoint E based on the group label assigned to the endpoint E by the platform recognition unit 110.

예를 들어, 정책설정부(120)는 리눅스 플랫폼을 갖는 모바일 단말에 할당된 제 1 그룹라벨을 식별할 수 있고, 제 1 그룹라벨에 대응되는 정책으로 엔드포인트(E)의 정책을 설정할 수 있다.For example, the policy setting unit 120 may identify the first group label assigned to the mobile terminal having the Linux platform, and set the policy of the endpoint E as a policy corresponding to the first group label. .

이후, 접근제어부(130)는 결정된 정책에 따라 엔드포인트(E)에 대해 네트워크의 리소스 할당 또는 제어를 할 수 있다. Thereafter, the access control unit 130 may allocate or control resource of the network for the endpoint E according to the determined policy.

예를 들어, 접근제어부(130)는 엔드포인트(E)가 접속한 상기 네트워크의 접속 포인트인 센서를 통해 엔드포인트(E)에 설정된 정책에 따라 엔드포인트(E)에 대한 네트워크 리소스의 할당이 제어되도록 할 수 있다. For example, the access controller 130 controls the allocation of network resources to the endpoint E according to a policy set at the endpoint E through a sensor that is an access point of the network to which the endpoint E is connected. You can do that.

한편, 네트워크제어시스템(100)은 통신부(140)를 더 포함할 수 있고, 통신부(140)는 다른 디바이스 또는 네트워크와 유무선 통신을 수행할 수 있다. 이를 위해, 통신부(140)는 다양한 유무선 통신 방법 중 적어도 하나를 지원하는 통신 모듈을 포함할 수 있다. 예를 들어, 통신 모듈은 칩셋(chipset)의 형태로 구현될 수 있다.Meanwhile, the network control system 100 may further include a communication unit 140, and the communication unit 140 may perform wired or wireless communication with another device or a network. To this end, the communication unit 140 may include a communication module supporting at least one of various wired and wireless communication methods. For example, the communication module may be implemented in the form of a chipset.

통신부(140)가 지원하는 무선 통신은, 예를 들어 Wi-Fi(Wireless Fidelity), Wi-Fi Direct, 블루투스(Bluetooth), UWB(Ultra Wide Band) 또는 NFC(Near Field Communication) 등일 수 있다. 또한, 통신부(140)가 지원하는 유선 통신은, 예를 들어 USB 또는 HDMI(High Definition Multimedia Interface) 등일 수 있다.Wireless communication supported by the communication unit 140 may be, for example, Wi-Fi (Wireless Fidelity), Wi-Fi Direct, Bluetooth, UWB (Ultra Wide Band), or NFC (Near Field Communication). In addition, the wired communication supported by the communication unit 140 may be, for example, USB or High Definition Multimedia Interface (HDMI).

도 3 은 일 실시예에 따른 네트워크제어방법을 설명하기 위한 순서도이다. 3 is a flowchart illustrating a network control method according to an embodiment.

도 3 에 도시된 실시예에 따른 네트워크제어방법은 도 2 에 도시된 네트워크제어시스템(100)에서 시계열적으로 처리되는 단계들을 포함한다. 따라서, 이하에서 생략된 내용이라고 하더라도 도 2 에 도시된 네트워크제어시스템(100)에 관하여 이상에서 기술한 내용은 도 3 에 도시된 실시예에 따른 네트워크제어방법에도 적용될 수 있다.The network control method according to the embodiment shown in FIG. 3 includes steps processed in time series in the network control system 100 shown in FIG. 2. Therefore, even if omitted below, the above description of the network control system 100 shown in FIG. 2 may be applied to the network control method according to the embodiment shown in FIG. 3.

우선, 네트워크제어시스템(100)은 기 설정된 조건에 따라 네트워크 상의 엔드포인트(E)를 분류하는 식별자인 그룹라벨을 네트워크에서 탐지된 엔드포인트(E)에 할당할 수 있다(S3001).First, the network control system 100 may assign a group label, which is an identifier for classifying an endpoint E on the network, to an endpoint E detected in the network according to a preset condition (S3001).

이를 위해, 네트워크제어시스템(100)은 네트워크에 접속한 엔드포인트(E)를 탐지할 수 있고, 탐지된 엔드포인트(E)로부터 엔드포인트(E)의 플랫폼 식별에 필요한 개별식별항목정보를 획득하여 엔드포인트(E)의 플랫폼을 식별할 수 있다.To this end, the network control system 100 can detect the endpoint (E) connected to the network, and obtains individual identification item information necessary for platform identification of the endpoint (E) from the detected endpoint (E) The platform of endpoint E can be identified.

예를 들어, 네트워크제어시스템(100)은 적어도 하나의 플랫폼에 대응되는 개별식별항목정보를 저장할 수 있고, 엔드포인트(E)로부터 획득된 개별식별항목정보를 기초로 엔드포인트(E)의 플랫폼을 식별할 수 있다. For example, the network control system 100 may store the individual identification item information corresponding to the at least one platform, and select the platform of the endpoint E based on the individual identification item information obtained from the endpoint E. FIG. Can be identified.

그리고 네트워크제어시스템(100)은 식별된 플랫폼에 따라 상기 엔드포인트(E)에 대한 그룹라벨을 할당할 수 있다. The network control system 100 may assign a group label for the endpoint E according to the identified platform.

예를 들어, 네트워크제어시스템(100)은 플랫폼 별로 엔드포인트(E)를 분류하기 위한 그룹라벨을 할당할 수 있으며, 그룹라벨이 기 할당된 엔드포인트(E)의 플랫폼과 상이한 플랫폼으로 식별된 경우에는 그룹라벨을 생성하여 할당할 수 있다. For example, the network control system 100 may assign a group label for classifying the endpoint E for each platform, and if the group label is identified as a platform different from that of the endpoint E that is previously assigned. You can create and assign a group label to.

그리고 네트워크제어시스템(100)은 상기 엔드포인트(E)의 그룹라벨에 기초하여 엔드포인트(E)에 대한 네트워크상의 정책을 설정할 수 있다(S3002).The network control system 100 may set a policy on the network for the endpoint E based on the group label of the endpoint E (S3002).

이에 앞서, 네트워크제어시스템(100)은 그룹라벨에 대해 기 설정된 정책을 기초로 그룹라벨이 할당된 엔드포인트(E)에 대응되는 정책을 학습할 수 있다. Prior to this, the network control system 100 may learn a policy corresponding to the endpoint E to which the group label is assigned based on the policy set for the group label.

예를 들어, 네트워크제어시스템(100)은 그룹라벨에 대응되는 플랫폼에 따라 네트워크에 대한 접근권한에 대한 기 설정된 정책을 학습할 수 있다. For example, the network control system 100 may learn a predetermined policy for access authority to a network according to a platform corresponding to a group label.

그리고 실시예에 따라, 네트워크제어시스템(100)은 엔드포인트(E)에 대해 학습된 정책을 기초로 정책을 갱신할 수 있다. And according to the embodiment, the network control system 100 may update the policy based on the learned policy for the endpoint (E).

예를 들어, 기존 그룹라벨에 할당된 엔드포인트(E)에 대해 새로운 정책이 학습되면, 네트워크제어시스템(100)은 기존 그룹라벨에 대해 매칭되어 기 저장된 정책을 새롭게 학습된 정책으로 갱신할 수 있다. For example, when a new policy is learned about the endpoint E assigned to the existing group label, the network control system 100 may update the previously stored policy matched with the existing group label to the newly learned policy. .

그리고 네트워크제어시스템(100)은 결정된 정책에 따라 엔드포인트(E)에 대한 네트워크의 리소스 할당 또는 제어가 되도록 할 수 있다(S3003).The network control system 100 may allow resource allocation or control of the network for the endpoint E according to the determined policy (S3003).

예를 들어, 네트워크제어시스템(100)은 학습결과에 따라 엔드포인트(E)에 할당된 그룹라벨에 대응되는 정책을 설정할 수 있고, 엔드포인트(E)가 접속한 네트워크의 접속 포인트인 센서를 통해 엔드포인트(E)에 대한 정책에 따라 네트워크 리소스 할당이 제어되도록 할 수 있다. For example, the network control system 100 may set a policy corresponding to a group label assigned to the endpoint E according to the learning result, and through a sensor that is an access point of a network to which the endpoint E connects. The network resource allocation can be controlled according to the policy for the endpoint (E).

이상의 실시예들에서 사용되는 '~부'라는 용어는 소프트웨어 또는 FPGA(field programmable gate array) 또는 ASIC 와 같은 하드웨어 구성요소를 의미하며, '~부'는 어떤 역할들을 수행한다. 그렇지만 '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램특허 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들, 및 변수들을 포함한다.The term '~' used in the above embodiments refers to software or a hardware component such as a field programmable gate array (FPGA) or an ASIC, and '~' serves a part. However, '~' is not meant to be limited to software or hardware. '~ Portion' may be configured to be in an addressable storage medium or may be configured to play one or more processors. Thus, as an example, '~' means components such as software components, object-oriented software components, class components, and task components, and processes, functions, properties, procedures, and the like. Subroutines, segments of program patent code, drivers, firmware, microcode, circuits, data, databases, data structures, tables, arrays, and variables.

구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로부터 분리될 수 있다.The functionality provided within the components and 'parts' may be combined into a smaller number of components and 'parts' or separated from additional components and 'parts'.

뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU 들을 재생시키도록 구현될 수도 있다.In addition, the components and '~' may be implemented to play one or more CPUs in the device or secure multimedia card.

도 3 을 통해 설명된 실시예에 따른 네트워크제어방법은 컴퓨터에 의해 실행 가능한 명령어 및 데이터를 저장하는, 컴퓨터로 판독 가능한 매체의 형태로도 구현될 수 있다. 이때, 명령어 및 데이터는 프로그램 코드의 형태로 저장될 수 있으며, 프로세서에 의해 실행되었을 때, 소정의 프로그램 모듈을 생성하여 소정의 동작을 수행할 수 있다. 또한, 컴퓨터로 판독 가능한 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터로 판독 가능한 매체는 컴퓨터 기록 매체일 수 있는데, 컴퓨터 기록 매체는 컴퓨터 판독 가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함할 수 있다.예를 들어, 컴퓨터 기록 매체는 HDD 및 SSD 등과 같은 마그네틱 저장 매체, CD, DVD 및 블루레이 디스크 등과 같은 광학적 기록 매체, 또는 네트워크를 통해 접근 가능한 서버에 포함되는 메모리일 수 있다. The network control method according to the embodiment described with reference to FIG. 3 may also be implemented in the form of a computer readable medium for storing instructions and data executable by a computer. In this case, the command and data may be stored in the form of program code, and when executed by the processor, a predetermined program module may be generated to perform a predetermined operation. In addition, computer readable media can be any available media that can be accessed by a computer and includes both volatile and nonvolatile media, removable and non-removable media. In addition, the computer readable medium may be a computer recording medium, which is volatile and non-implemented in any method or technology for storage of information such as computer readable instructions, data structures, program modules or other data. Both volatile, removable and non-removable media may be included. For example, computer recording media may be provided via magnetic storage media such as HDDs and SSDs, optical recording media such as CDs, DVDs and Blu-ray discs, or via network access. It may be a memory included in the server.

또한 도 3 을 통해 설명된 실시예에 따른 네트워크제어방법은 컴퓨터에 의해 실행 가능한 명령어를 포함하는 컴퓨터 프로그램(또는 컴퓨터 프로그램 제품)으로 구현될 수도 있다. 컴퓨터 프로그램은 프로세서에 의해 처리되는 프로그래밍 가능한 기계 명령어를 포함하고, 고레벨 프로그래밍 언어(High-level Programming Language), 객체 지향 프로그래밍 언어(Object-oriented Programming Language), 어셈블리 언어 또는 기계 언어 등으로 구현될 수 있다. 또한 컴퓨터 프로그램은 유형의 컴퓨터 판독가능 기록매체(예를 들어, 메모리, 하드디스크, 자기/광학 매체 또는 SSD(Solid-State Drive) 등)에 기록될 수 있다. In addition, the network control method according to the embodiment described with reference to FIG. 3 may be implemented as a computer program (or computer program product) including instructions executable by a computer. The computer program includes programmable machine instructions processed by the processor and may be implemented in a high-level programming language, an object-oriented programming language, an assembly language, or a machine language. . The computer program may also be recorded on tangible computer readable media (eg, memory, hard disks, magnetic / optical media or solid-state drives, etc.).

따라서 도 3 을 통해 설명된 실시예에 따른 네트워크제어방법은 상술한 바와 같은 컴퓨터 프로그램이 컴퓨팅 장치에 의해 실행됨으로써 구현될 수 있다. 컴퓨팅 장치는 프로세서와, 메모리와, 저장 장치와, 메모리 및 고속 확장포트에 접속하고 있는 고속 인터페이스와, 저속 버스와 저장 장치에 접속하고 있는 저속 인터페이스 중 적어도 일부를 포함할 수 있다. 이러한 성분들 각각은 다양한 버스를 이용하여 서로 접속되어 있으며, 공통 머더보드에 탑재되거나 다른 적절한 방식으로 장착될 수 있다. Accordingly, the network control method according to the embodiment described with reference to FIG. 3 may be implemented by executing the computer program as described above by the computing device. The computing device may include at least a portion of a processor, a memory, a storage device, a high speed interface connected to the memory and a high speed expansion port, and a low speed interface connected to the low speed bus and the storage device. Each of these components are connected to each other using a variety of buses and may be mounted on a common motherboard or otherwise mounted in a suitable manner.

여기서 프로세서는 컴퓨팅 장치 내에서 명령어를 처리할 수 있는데, 이런 명령어로는, 예컨대 고속 인터페이스에 접속된 디스플레이처럼 외부 입력, 출력 장치상에 GUI(Graphic User Interface)를 제공하기 위한 그래픽 정보를 표시하기 위해 메모리나 저장 장치에 저장된 명령어를 들 수 있다. 다른 실시예로서, 다수의 프로세서 및(또는) 다수의 버스가 적절히 다수의 메모리 및 메모리 형태와 함께 이용될 수 있다. 또한 프로세서는 독립적인 다수의 아날로그 및(또는) 디지털 프로세서를 포함하는 칩들이 이루는 칩셋으로 구현될 수 있다. Here, the processor may process instructions within the computing device, such as to display graphical information for providing a graphical user interface (GUI) on an external input, output device, such as a display connected to a high speed interface. Instructions stored in memory or storage. In other embodiments, multiple processors and / or multiple buses may be used with appropriately multiple memories and memory types. The processor may also be implemented as a chipset consisting of chips comprising a plurality of independent analog and / or digital processors.

또한 메모리는 컴퓨팅 장치 내에서 정보를 저장한다. 일례로, 메모리는 휘발성 메모리 유닛 또는 그들의 집합으로 구성될 수 있다. 다른 예로, 메모리는 비휘발성 메모리 유닛 또는 그들의 집합으로 구성될 수 있다. 또한 메모리는 예컨대, 자기 혹은 광 디스크와 같이 다른 형태의 컴퓨터 판독 가능한 매체일 수도 있다. The memory also stores information within the computing device. In one example, the memory may consist of a volatile memory unit or a collection thereof. As another example, the memory may consist of a nonvolatile memory unit or a collection thereof. The memory may also be other forms of computer readable media, such as, for example, magnetic or optical disks.

그리고 저장장치는 컴퓨팅 장치에게 대용량의 저장공간을 제공할 수 있다. 저장 장치는 컴퓨터 판독 가능한 매체이거나 이런 매체를 포함하는 구성일 수 있으며, 예를 들어 SAN(Storage Area Network) 내의 장치들이나 다른 구성도 포함할 수 있고, 플로피 디스크 장치, 하드 디스크 장치, 광 디스크 장치, 혹은 테이프 장치, 플래시 메모리, 그와 유사한 다른 반도체 메모리 장치 혹은 장치 어레이일 수 있다. In addition, the storage device can provide a large amount of storage space to the computing device. The storage device may be a computer readable medium or a configuration including such a medium, and may include, for example, devices or other configurations within a storage area network (SAN), and may include a floppy disk device, a hard disk device, an optical disk device, Or a tape device, flash memory, or similar other semiconductor memory device or device array.

상술된 실시예들은 예시를 위한 것이며, 상술된 실시예들이 속하는 기술분야의 통상의 지식을 가진 자는 상술된 실시예들이 갖는 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 상술된 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.The above-described embodiments are for illustrative purposes, and those of ordinary skill in the art to which the above-described embodiments belong may easily change to other specific forms without changing the technical spirit or essential features of the above-described embodiments. I can understand. Therefore, it is to be understood that the above-described embodiments are illustrative in all respects and not restrictive. For example, each component described as a single type may be implemented in a distributed manner, and similarly, components described as distributed may be implemented in a combined form.

본 명세서를 통해 보호 받고자 하는 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태를 포함하는 것으로 해석되어야 한다.The scope to be protected by the present specification is represented by the following claims rather than the above description, and should be construed to include all changes or modifications derived from the meaning and scope of the claims and their equivalents. .

100: 네트워크제어시스템
10: 탐지센서
20: 플랫폼식별장치
30: 접근제어장치
110: 플랫폼인식부
120: 정책설정부
130: 접근제어부
140: 통신부100: network control system
10: detection sensor
20: platform identification device
30: access control device
110: platform recognition unit
120: policy setting
130: access control unit
140: communication unit

Claims (13)

그룹라벨에 기반한 소프트웨어 정의 경계에서 네트워크 리소스를 제어하는 네트워크제어시스템에 있어서,
기 설정된 조건에 따라 상기 네트워크상의 엔드포인트를 분류하는 식별자인 그룹라벨을 상기 네트워크에서 탐지된 엔드포인트에 할당하는 플랫폼인식부;
상기 엔드포인트의 그룹라벨에 기초하여 상기 엔드포인트에 대한 정책을 설정하는 정책설정부; 및
결정된 정책에 따라 상기 엔드포인트에 대해 상기 네트워크의 리소스 할당 및 제어 중 적어도 하나를 수행하는 접근제어부를 포함하고,
상기 정책설정부는,
상기 엔드포인트에 대한 개별식별항목정보를 기초로 상기 엔드포인트에 대한 정책을 학습하고, 상기 엔드포인트에 대해 학습된 정책을 기초로 상기 엔드포인트의 그룹라벨에 대한 정책을 갱신하는, 네트워크제어시스템.A network control system for controlling network resources at a software defined boundary based on a group label,
A platform recognition unit for allocating group labels, the identifiers for classifying endpoints on the network, to endpoints detected in the network according to a preset condition;
A policy setting unit for setting a policy for the endpoint based on the group label of the endpoint; And
An access control unit configured to perform at least one of resource allocation and control of the network to the endpoint according to the determined policy;
The policy setting unit,
Learning policy for the endpoint based on the individual identification item information for the endpoint, and updating the policy for the group label of the endpoint based on the learned policy for the endpoint. 제 1 항에 있어서,
상기 플랫폼인식부는,
상기 네트워크에 접속한 엔드포인트를 탐지하고, 탐지된 엔드포인트로부터 상기 엔드포인트의 플랫폼 식별에 필요한 개별식별항목정보를 획득하여 상기 엔드포인트의 플랫폼을 식별하고, 식별된 플랫폼에 따라 상기 엔드포인트에 대한 그룹라벨을 할당하는, 네트워크제어시스템. The method of claim 1,
The platform recognition unit,
Detect the endpoint connected to the network, identify the platform of the endpoint by obtaining the individual identification item information necessary for platform identification of the endpoint from the detected endpoint, and for the endpoint according to the identified platform A network control system that assigns group labels. 제 1 항에 있어서,
상기 정책설정부는,
상기 그룹라벨 별로 대응되는 정책을 저장하는, 네트워크제어시스템.The method of claim 1,
The policy setting unit,
And storing a policy corresponding to each group label. 삭제delete 삭제delete 제 1 항에 있어서,
상기 접근제어부는,
상기 엔드포인트가 접속한 상기 네트워크의 접속 포인트인 센서를 통해 상기 정책에 따라 상기 네트워크의 리소스 할당 및 제어 중 적어도 하나가 수행되도록 하는, 네트워크제어시스템. The method of claim 1,
The access control unit,
And at least one of resource allocation and control of the network in accordance with the policy via a sensor that is an access point of the network to which the endpoint connects. 네트워크제어시스템이 그룹라벨에 기반한 소프트웨어 정의 경계에서 네트워크 리소스를 제어하는 네트워크제어방법에 있어서,
기 설정된 조건에 따라 상기 네트워크 상의 엔드포인트를 분류하는 식별자인 그룹라벨을 상기 네트워크에서 탐지된 엔드포인트에 할당하는 단계;
상기 엔드포인트의 그룹라벨에 기초하여 상기 엔드포인트에 대한 정책을 결정하는 단계; 및
결정된 정책에 따라 상기 엔드포인트에 대해 상기 네트워크의 리소스 할당 및 제어 중 적어도 하나를 수행하는 단계를 포함하고,
상기 네트워크제어방법은,
상기 엔드포인트에 대한 개별식별항목정보를 기초로 상기 엔드포인트에 대한 정책을 학습하는 단계; 및
상기 엔드포인트에 대해 학습된 정책을 기초로 상기 엔드포인트의 그룹라벨에 대한 정책을 갱신하는 단계를 더 포함하는, 네트워크제어방법. A network control method in which a network control system controls network resources at a software defined boundary based on a group label,
Assigning a group label, which is an identifier for classifying an endpoint on the network, to an endpoint detected in the network according to a preset condition;
Determining a policy for the endpoint based on the group label of the endpoint; And
Performing at least one of resource allocation and control of the network for the endpoint in accordance with the determined policy;
The network control method,
Learning a policy for the endpoint based on the individual identification item information for the endpoint; And
Updating the policy for the group label of the endpoint based on the learned policy for the endpoint. 제 7 항에 있어서,
상기 그룹라벨을 상기 네트워크에서 탐지된 엔드포인트에 할당하는 단계는,
상기 네트워크에 접속한 엔드포인트를 탐지하는 단계;
탐지된 엔드포인트로부터 상기 엔드포인트의 플랫폼을 식별에 필요한 개별식별항목정보를 획득하여 상기 엔드포인트의 플랫폼을 식별하는 단계; 및
식별된 플랫폼에 따라 상기 엔드포인트에 대한 그룹라벨을 할당하는 단계를 포함하는, 네트워크제어방법.The method of claim 7, wherein
Assigning the group label to an endpoint detected in the network,
Detecting an endpoint accessing the network;
Identifying the platform of the endpoint by obtaining individual identification information necessary for identifying the platform of the endpoint from the detected endpoint; And
Assigning a group label for the endpoint according to the identified platform. 삭제delete 삭제delete 제 7 항에 있어서,
상기 결정된 정책에 따라 상기 엔드포인트에 대해 상기 네트워크의 리소스 할당 및 제어 중 적어도 하나를 수행하는 단계는,
상기 엔드포인트가 접속한 상기 네트워크의 접속 포인트인 센서를 통해 상기 정책에 따라 상기 네트워크의 리소스 할당 및 제어 중 적어도 하나가 수행되도록 하는 단계를 포함하는, 네트워크제어방법.The method of claim 7, wherein
Performing at least one of resource allocation and control of the network for the endpoint according to the determined policy,
And performing at least one of resource allocation and control of the network according to the policy through a sensor which is an access point of the network to which the endpoint connects. 제 7 항에 기재된 방법을 수행하는 프로그램이 기록된 컴퓨터 판독 가능한 비 일시적 기록 매체.A non-transitory computer-readable recording medium having recorded thereon a program for performing the method of claim 7. 네트워크제어시스템에 의해 수행되며, 제 7 항에 기재된 방법을 수행하기 위해 컴퓨터 판독 가능한 비 일시적 기록 매체에 저장된 컴퓨터 프로그램.
A computer program carried out by a network control system and stored in a computer-readable non-transitory recording medium for carrying out the method of claim 7.
KR1020180070035A 2018-06-19 2018-06-19 System and method for controlling network at software defined perimeters based on endpoint group label KR102007913B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180070035A KR102007913B1 (en) 2018-06-19 2018-06-19 System and method for controlling network at software defined perimeters based on endpoint group label

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180070035A KR102007913B1 (en) 2018-06-19 2018-06-19 System and method for controlling network at software defined perimeters based on endpoint group label

Publications (1)

Publication Number Publication Date
KR102007913B1 true KR102007913B1 (en) 2019-08-06

Family

ID=67612759

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180070035A KR102007913B1 (en) 2018-06-19 2018-06-19 System and method for controlling network at software defined perimeters based on endpoint group label

Country Status (1)

Country Link
KR (1) KR102007913B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102415998B1 (en) 2021-01-13 2022-07-05 한국전자통신연구원 Sdp controller and method capable of load balancing of control channels in software-defined perimeter network system
WO2022143898A1 (en) * 2021-01-04 2022-07-07 中国移动通信有限公司研究院 Blockchain-based sdp access control method and apparatus
CN116546527A (en) * 2023-06-02 2023-08-04 天合光能股份有限公司 ZIGBEE-based photovoltaic subarray communication method, networking system and computer readable medium

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101366622B1 (en) * 2013-09-13 2014-02-25 지니네트웍스(주) Apparatus for recognizing platform to identify a node for the control of unauthorized access
KR20170095281A (en) * 2014-12-09 2017-08-22 마이크로소프트 테크놀로지 라이센싱, 엘엘씨 Multi-endpoint actionable notifications
KR20180042354A (en) * 2015-08-21 2018-04-25 아바야 인코포레이티드 Security Policy Manager

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101366622B1 (en) * 2013-09-13 2014-02-25 지니네트웍스(주) Apparatus for recognizing platform to identify a node for the control of unauthorized access
KR20170095281A (en) * 2014-12-09 2017-08-22 마이크로소프트 테크놀로지 라이센싱, 엘엘씨 Multi-endpoint actionable notifications
KR20180042354A (en) * 2015-08-21 2018-04-25 아바야 인코포레이티드 Security Policy Manager

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022143898A1 (en) * 2021-01-04 2022-07-07 中国移动通信有限公司研究院 Blockchain-based sdp access control method and apparatus
KR102415998B1 (en) 2021-01-13 2022-07-05 한국전자통신연구원 Sdp controller and method capable of load balancing of control channels in software-defined perimeter network system
CN116546527A (en) * 2023-06-02 2023-08-04 天合光能股份有限公司 ZIGBEE-based photovoltaic subarray communication method, networking system and computer readable medium

Similar Documents

Publication Publication Date Title
KR102175193B1 (en) Systems and Methods for Automatic Device Detection
US10944794B2 (en) Real-time policy selection and deployment based on changes in context
US10565373B1 (en) Behavioral analysis of scripting utility usage in an enterprise
US10721264B1 (en) Systems and methods for categorizing security incidents
US9565192B2 (en) Router based securing of internet of things devices on local area networks
US9438560B2 (en) Systems and methods for automatically applying firewall policies within data center applications
KR102007913B1 (en) System and method for controlling network at software defined perimeters based on endpoint group label
US9401925B1 (en) Systems and methods for detecting security threats based on user profiles
US20130219391A1 (en) Server and method for deploying virtual machines in network cluster
US10068089B1 (en) Systems and methods for network security
US20150106812A1 (en) Cloud gateway, cloud gateway management device, and method thereof
US9282115B1 (en) Systems and methods for detecting cache-poisoning attacks in networks using service discovery protocols
US20200356672A1 (en) Method and system for management of secure boot certificates
US10288432B1 (en) Systems and methods for guiding users to network-enabled devices
US9565059B1 (en) Systems and methods for dynamically configuring computing system group assignments based on detected events
US10699014B2 (en) Preventing connecting to a locked device
US20180219973A1 (en) Integrated Management Apparatus and Method for Heterogeneous Devices Using Instances of Vendor Classes
US10437994B1 (en) Systems and methods for determining the reputations of unknown files
US9646157B1 (en) Systems and methods for identifying repackaged files
US10409734B1 (en) Systems and methods for controlling auxiliary device access to computing devices based on device functionality descriptors
US10114944B1 (en) Systems and methods for classifying permissions on mobile devices
US11017071B2 (en) Apparatus and method to protect an information handling system against other devices
KR20230156262A (en) System and method for machine learning based malware detection
US9699140B1 (en) Systems and methods for selecting identifiers for wireless access points
US11588697B2 (en) Network time parameter configuration based on logical host group

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant