KR102216061B1 - 가상 머신 간의 통신 보안을 관리하는 장치 및 방법 - Google Patents

가상 머신 간의 통신 보안을 관리하는 장치 및 방법 Download PDF

Info

Publication number
KR102216061B1
KR102216061B1 KR1020150165470A KR20150165470A KR102216061B1 KR 102216061 B1 KR102216061 B1 KR 102216061B1 KR 1020150165470 A KR1020150165470 A KR 1020150165470A KR 20150165470 A KR20150165470 A KR 20150165470A KR 102216061 B1 KR102216061 B1 KR 102216061B1
Authority
KR
South Korea
Prior art keywords
traffic
malicious
received
security
received traffic
Prior art date
Application number
KR1020150165470A
Other languages
English (en)
Other versions
KR20170060814A (ko
Inventor
이동헌
Original Assignee
에스케이텔레콤 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이텔레콤 주식회사 filed Critical 에스케이텔레콤 주식회사
Priority to KR1020150165470A priority Critical patent/KR102216061B1/ko
Publication of KR20170060814A publication Critical patent/KR20170060814A/ko
Application granted granted Critical
Publication of KR102216061B1 publication Critical patent/KR102216061B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45504Abstract machines for programme code execution, e.g. Java virtual machine [JVM], interpreters, emulators
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45545Guest-host, i.e. hypervisor is an application program itself, e.g. VirtualBox
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/70Virtual switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명의 일 양상에 따른 서버에 포함된 복수의 가상 머신 중 어느 하나의 가상 머신으로부터 트래픽을 수신하여 다른 하나의 가상 머신으로 송신하는 가상 스위치에 포함된 보안 관리 장치는 상기 어느 하나의 가상 머신으로부터 수신된 트래픽인 수신 트래픽의 악성 여부를 기 설정된 수준의 정밀도로 판별하는 보안 규칙을 저장하는 저장부, 상기 보안 규칙을 기초로 상기 수신 트래픽의 악성 여부를 판별하는 판별부 및 상기 판별부의 판별 결과 상기 수신 트래픽이 정상으로 판별되면 상기 수신 트래픽이 상기 가상 스위치를 통해 상기 다른 하나의 가상 머신으로 송신되도록 하고, 상기 수신 트래픽이 악성으로 판별되면 상기 수신 트래픽을 차단하며, 상기 정밀도를 기준으로 상기 수신 트래픽의 악성 여부를 판별할 수 없는 경우 상기 서버 외부에 존재하며 상기 정밀도보다 상대적으로 높은 정밀도로 상기 수신 트래픽의 악성 여부를 판별하는 정밀 판별부로 상기 트래픽이 전달되도록 하는 제어부를 포함한다.

Description

가상 머신 간의 통신 보안을 관리하는 장치 및 방법{APPARATUS AND METHOD FOR CONTROLLING SECURITY OF COMMUNICATION BETWEEN VIRTUAL MACHINES}
본 발명은 가상 머신 간의 통신 보안을 관리하는 장치 및 방법에 관한 것이다. 보다 자세하게는 서버에 포함된 복수의 가상 머신 사이에서 트래픽이 가상 스위치를 경유하여 송수신되는 경우, 이러한 가상 스위치에 보안 관리 장치를 배치함으로써 가상 머신 간에 송수신되는 트래픽의 악성 여부를 판별하고 차단하는 보안 관리 장치 및 방법에 관한 것이다.
소프트웨어 정의 네트워크(Software Defined Network, SDN)란 기존의 라우터나 스위치의 제어 평면과 데이터 평면을 분리하여 제어 평면을 중앙의 SDN Controller로 모으고, 데이터 평면의 패킷 전송을 중앙에서 소프트웨어적으로 제어하는 기술을 지칭한다. 이러한 SDN에는, 소프트웨어적으로 구현된 가상 스위치를 이용하여 서버 내부에 존재하는 복수의 가상 머신 간을 연결하고 이러한 가상 머신 간의 트래픽이 송수신되도록 하는 기술이 있다.
가상 스위치가 적용된 서버에 대하여 도 1을 참조하여 보다 구체적으로 살펴보도록 하자. 서버(10)의 게스트 OS(20)에는 복수의 가상 머신(21 내지 24)이 포함된다. 서버(10)의 호스트 OS(30)에는 가상 스위치(31)가 포함된다. 가상 스위치(31)는 복수의 가상 머신(21 내지 24)간을 연결한다. 그리고 복수의 가상 머신(21 내지 24) 간에 송수신되는 트래픽은 이러한 가상 머신(31)을 경유하여 송수신된다.
그런데, 가상 스위치(31)를 경유하여 가상 머신(21 내지 24) 간에 송수신되는 트래픽의 악성 여부를, 기존의 네트워크 보안을 담당하는 방화벽(firewall)이나 침입 판별 시스템(Intrusion Detection System, IDS)을 이용하여 판별하는 것은 용이하지 않다. 왜냐하면, 방화벽이나 침입 판별 시스템은 일반적으로 서버(10) 외부에 존재하는 반면, 가상 머신(21 내지 24) 간에 송수신되는 트래픽은 이러한 방화벽이나 침입 판별 시스템을 경유하지 않고 서버(10) 내부에서 가상 머신(21 내지 24) 간에 송수신되기 때문이다.
이러한 트래픽의 악성 여부를 판별하기 위한 방법에는, 예를 들면, 첫째, 트래픽을 서버(10) 외부의 침입 판별 시스템으로 강제로 로딩하는 방법이 있다. 그러나, 모든 트래픽을 이와 같이 서버(10) 외부로 강제로 로딩하는 과정 자체가 비효율적이라는 문제가 있다. 둘째, 서버(10)의 가상 머신(21 내지 24)이 운영되는 OS 단(20)에서 보안 소프트웨어를 운영함으로써 공격 트래픽을 차단하는 방법이 있다. 그러나, 이는 가상 머신(21 내지 24)의 사용자가 직접 이러한 보안 소프트웨어를 관리해야 된다는 어려움이 있다.
따라서, 전술한 방법보다 효율적으로, 가상 스위치(31)를 경유하여 가상 머신(21 내지 24) 간에 송수신되는 트래픽의 악성 여부를 판별하고 관리하는 기술이 요구된다.
대한민국 공개특허공보 10-0596386, 2015.07.09.
본 발명이 해결하고자 하는 과제는 가상 스위치를 경유하여 가상 머신 간에 송수신되는 트래픽의 악성 여부를 효율적으로 판별하고 관리하는 기술을 제공하는 것이다.
다만, 본 발명의 해결하고자 하는 과제는 이에 한정되지 않는다.
본 발명의 일 양상에 따른 서버에 포함된 복수의 가상 머신 중 어느 하나의 가상 머신으로부터 트래픽을 수신하여 다른 하나의 가상 머신으로 송신하는 가상 스위치에 포함된 보안 관리 장치는 상기 어느 하나의 가상 머신으로부터 수신된 트래픽인 수신 트래픽의 악성 여부를 기 설정된 수준의 정밀도로 판별하는 보안 규칙을 저장하는 저장부, 상기 보안 규칙을 기초로 상기 수신 트래픽의 악성 여부를 판별하는 판별부 및 상기 판별부의 판별 결과 상기 수신 트래픽이 정상으로 판별되면 상기 수신 트래픽이 상기 가상 스위치를 통해 상기 다른 하나의 가상 머신으로 송신되도록 하고, 상기 수신 트래픽이 악성으로 판별되면 상기 수신 트래픽을 차단하며, 상기 정밀도를 갖는 보안 규칙을 기준으로 상기 수신 트래픽의 악성 여부를 판별할 수 없는 경우 상기 서버 외부에 존재하며 상기 정밀도보다 상대적으로 높은 정밀도로 상기 수신 트래픽의 악성 여부를 판별하는 정밀 판별부로 상기 트래픽이 전달되도록 하는 제어부를 포함한다.
본 발명의 다른 양상에 따른 서버에 포함된 복수의 가상 머신 중 어느 하나의 가상 머신으로부터 트래픽을 수신하여 다른 하나의 가상 머신으로 송신하는 가상 스위치에서 상기 트래픽의 보안을 관리하는 방법은 상기 어느 하나의 가상 머신으로부터 수신된 수신 트래픽의 악성 여부를 기 설정된 수준의 정밀도로 판별하는 기 저장된 보안 규칙을 기초로 상기 수신 트래픽의 악성 여부를 판별하는 단계 및 상기 판별 결과 상기 수신 트래픽이 정상으로 판별되면 상기 수신 트래픽이 상기 가상 스위치를 통해 상기 다른 하나의 가상 머신으로 송신되도록 하고, 상기 수신 트래픽이 악성으로 판별되면 상기 수신 트래픽을 차단하며, 상기 정밀도를 갖는 보안 규칙을 기준으로 상기 수신 트래픽의 악성 여부를 판별할 수 없는 경우 상기 서버 외부에 존재하며 상기 정밀도보다 상대적으로 높은 정밀도로 상기 수신 트래픽의 악성 여부를 판별하는 정밀 판별부로 상기 수신 트래픽이 전달되도록 하는 단계를 포함한다.
본 발명의 일 실시예에 따르면 가상 스위치를 경유하여 가상 머신 간에 송수신되는 트래픽의 악성 여부를 가상 스위치에 포함된 보안 관리 장치를 통하여 신속하면서 효율적으로 판단할 수 있다. 또한, 보안 관리 장치에 포함된 판별부에 의해서는 악성 여부가 판별되지 않는 트래픽에 대해서만 선별적으로 서버 외부에 존재하는 정밀 판별부에 의하여 정밀하게 악성 여부가 판별하도록 함으로써, 트래픽의 악성 여부에 대한 정밀 검사가 보다 효율적으로 수행되도록 할 수 있다.
도 1은 가상 스위치에 의하여 서버에 포함된 복수의 가상 머신 간의 트래픽이 송수신되는 것을 도시한 도면이다.
도 2는 본 발명의 일 실시예에 따른 보안 관리 장치가 적용된 가상 스위치 및 이러한 가상 스위치를 포함하는 서버를 포함하는 시스템을 도시한 도면이다.
도 3은 본 발명의 일 실시예에 따른 보안 규칙을 기초로, 트래픽의 악성 여부를 판별하는 과정을 도시한 도면이다.
도 4는 본 발명의 일 실시예에 따른 보안 규칙을 기초로는 트래픽의 악성 여부를 판별할 수 없을 때, 정밀 판별부에 의하여 트래픽의 악성 여부를 판별하는 과정을 도시한 도면이다.
도 5는 본 발명의 일 실시예에 따른 보안 관리 장치에 의하여 가상 머신 간의 트래픽의 악성 여부가 판별되고 악성 트래픽이 차단되는 것을 도시한 도면이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 2는 본 발명의 일 실시예에 따른 보안 관리 장치가 적용된 가상 스위치 및 이러한 가상 스위치를 포함하는 서버를 포함하는 시스템을 도시한 도면이다
도 2를 참조하면, 시스템(1)은 제1 서버(10), 제2 서버(310) 및 스위칭 제어 장치(200)를 포함하며, 이 때 스위칭 제어 장치(200)는 보안 어플리케이션(210)과 연동하여 동작할 수 있다. 여기서, 시스템(1)은 예를 들면 서버 또는 네트워크를 가상화한 클라우드 환경의 시스템일 수 있다.
제1 서버(10)의 경우, 게스트 OS(20)에 복수의 가상 머신(21 내지 24)이 포함된다. 제1 서버(10)의 호스트 OS(30)에는 가상 스위치(40)가 포함된다. 가상 스위치(40)는 복수의 가상 머신(21 내지 24)간을 연결하며, 소프트웨어적으로 구현될 수 있다. 그리고 복수의 가상 머신(21 내지 24) 간에 송수신되는 트래픽은 이러한 가상 스위치(40)를 경유하여 송수신된다. 가상 스위치(40)는 본 발명의 일 실시예에 따른 보안 관리 장치(100)를 포함하는데, 이러한 보안 관리 장치에 대해서는 후술하기로 한다.
제2 서버(310) 또한 제1 서버(10)와 동일하며, 다만 제1 서버(10)와는 달리 게스트 OS(320)에 정밀 판별부(330)가 더 포함되어 있다. 다만, 정밀 판별부(330)는 도 2에 도시된 것과는 다른 곳에 배치될 수도 있으며, 이러한 정밀 판별부(330)에 대해서는 후술하기로 한다.
스위칭 제어 장치(200)는 제1 서버(10) 및 제2 서버(310)와 연결된다. 스위칭 제어 장치(200)와 제1 서버(10), 그리고 스위칭 제어 장치(200)와 제2 서버(310) 간에는 보안 API(security API)가 정의될 수 있다. 스위칭 제어 장치(200)는 제1 서버(10)의 가상 스위치(40)에게, 가상 스위치(40)가 가상 머신(21 내지 24) 간의 스위칭을 제어하는 기준을 전달할 수 있다. 또한, 스위칭 제어 장치(200)는 제2 서버(310)의 가상 스위치(341)에게, 가상 스위치(341)가 제2 서버(310)의 가상 머신(331 내지 332) 간의 스위칭을 제어하는 기준을 전달할 수 있다. 아울러, 제1 서버(10)와 제2 서버(310)는 도 2에 도시된 것과 같이 서로 간에 연결되어 트래픽과 같은 데이터를 주고 받을 수 있다.
보안 어플리케이션(210)은 스위칭 제어 장치(200)와 연동되어 동작하며, 소프트웨어적으로 구현될 수 있다. 이러한 보안 어플리케이션(210)은 외부로부터 보안 규칙을 입력받을 수 있다. 입력받은 보안 규칙은 스위칭 제어 장치(200)를 통하여 제1 서버(10)의 가상 스위치(40)에 포함된 보안 관리 장치(100)로 전달될 수 있으며, 제2 서버(310)의 정밀 판별부(330)로 전달될 수 있다.
또한, 보안 어플리케이션(210)은 스위칭 제어 장치(200)로부터 트래픽이 악성이라는 경고 또는 트래픽의 악성 여부가 불분명하다는 경고를 수신받아서 이를 시스템의 운용자에게 알릴 수 있다. 이러한 경고에 대응하여, 보안 어플리케이션(210)은 운용자로부터 명령을 수신할 수 있으며 이러한 명령을 스위칭 제어 장치(200)로 전달할 수 있다.
이하에서는 보안 관리 장치(100)에 대하여 보다 자세하게 살펴보기로 한다.
보안 관리 장치(100)는 저장부(110), 판별부(120) 및 제어부(130)를 포함하며, 다만 이에 한정되는 것은 아니다.
먼저, 보안 관리 장치(100)는 이하에서 설명할 기능을 수행하도록 프로그램된 명령어를 포함하는 메모리 및 이러한 명령어에 의하여 구동되는 마이크로프로세서에 의하여 구현될 수 있다.
저장부(110)는 가상 스위치(40)가 어느 하나의 가상 머신으로부터 트래픽을 수신하면, 이러한 수신 트래픽의 악성 여부를 기 설정된 수준의 정밀도로 판별하는 기준인 보안 규칙을 저장한다. 이러한 저장부(110)는 데이터를 저장하는 메모리로 구현될 수 있다.
판별부(120)는 저장부(110)에 저장된 보안 규칙을 기초로 수신 트래픽의 악성 여부를 판별하며, 이하의 기능을 수행하도록 프로그램된 명령어를 저장하는 메모리 및 이러한 명령어를 수행하는 마이크로프로세서에 의하여 구현될 수 있다.
보다 구체적으로 살펴보면, 판별부(120)는 보안 규칙을 기초로 ARP(Address Resolution Protocol) Spoofing 공격을 판별할 수 있다. 예를 들면 판별부(120)는 가상 머신이 감염되어 타 가상 머신을 공격하는지 여부를 판별할 수 있다. 이를 위하여 판별부(120)는 가상 머신이 적어도 하나 이상의 타 가상 머신으로부터 필요 이상의 응답(reply) 패킷을 수신하는지 여부, 가상 머신의 요청(request)이 없었음에도 불구하고 타 가상 머신으로부터 응답 패킷을 수신하는지 여부를 판별할 수 있다. 또한, 판별부(120)는 가상 머신이, 이미 감염된 타 가상 머신으로부터 공격받고 있는지 여부를 판별할 수 있다. 이를 위하여 판별부(120)는 가상 머신이 타 가상 머신으로 정기적으로 ARP 응답 패킷을 발송하는지 여부를 검출할 수 있다.
또한, 판별부(120)는 트래픽이 수신될 때의 IP 주소와 MAC 주소를 획득한 뒤, 이를 정상적인 IP 주소와 MAC 주소를 포함하는 기 저장된 ARP 테이블과 비교하여 해당 트래픽의 악성 여부를 판별할 수 있다. 즉, 판별부(120)는 기존의 네트워크 보안을 담당하는 방화벽(firewall)의 기능을 수행할 수 있다.
또한, 판별부(120)는 DDoS 공격을 판별할 수 있다. 보다 구체적으로 살펴보면, 판별부(120)는 문턱값(threshold value) 기반의 통계적 방법 또는 abrupt change detection 방법을 이용하여 DDoS 공격을 판별할 수 있다. 여기서 문턱값 기반의 통계적 방법에는 예를 들면 문턱값 이상의 횟수로 트래픽이 발생하면 이를 DDoS 공격으로 간주하는 것을 포함할 수 있다. 또한, abrupt change detection 방법에는 예를 들면 수신되는 트래픽들의 IP 주소를 획득한 뒤, 획득된 IP를 분석한 결과 기존에는 발견되지 않았던 새로운 IP 주소가 급격하게 늘어나는 경우 이를 DDoS 공격으로 간주하는 것을 포함할 수 있다. 이러한 판별부(120)는 기존의 네트워크 보안을 담당하는 IDS 기능 중 일부를 수행할 수 있으며, lightweight IDS라고 지칭될 수 있다.
제어부(130)는 판별부(120)의 판별 결과에 따른 동작을 제어하며, 이하의 기능을 수행하도록 프로그램된 명령어를 저장하는 메모리 및 이러한 명령어를 수행하는 마이크로프로세서에 의하여 구현될 수 있다.
보다 구체적으로 살펴보면, 제어부(130)는 판별부(120)에 의하여 수신 트래픽이 정상으로 판별되면 수신 트래픽이 가상 스위치(40)를 통해 다른 하나의 가상 머신으로 송신되도록 할 수 있다. 그러나, 수신 트래픽이 악성으로 판별되면 제어부(130)는 수신 트래픽을 차단할 수 있다. 즉, 본 발명의 일 실시예에 따르면 가상 스위치(40) 단에서 트래픽의 악성 여부를 판별한 뒤 트래픽을 차단할 수 있다. 따라서, 트래픽이 기존의 네트워크 보안을 담당하는 방화벽이나 침입 판별 시스템을 경유하지 않는 경우에도 악성 트래픽의 차단이 가능하도록 할 수 있다.
여기서, 저장부(110)에 저장된 보안 규칙은 기 설정된 수준의 정밀도를 갖는 것으로 한정될 수 있다. 기 설정된 수준이란 상대적으로 복잡하지 않은 수준을 지칭한다. 따라서, 수신 트래픽의 악성 여부를 판별함에 있어서 이와 같은 복잡하지 않은 수준의 정밀도를 기초로 트래픽의 악성 여부를 보다 신속하게 판별할 수 있다.
그러나, 트래픽의 악성 여부를 판별함에 있어서 상기 기 설정된 수준 이상의 정밀도가 요구되는 경우, 저장부(110)에 저장된 보안 규칙으로는 수신 트래픽의 악성 여부를 판별할 수 없다. 보안 규칙의 정밀도를 이와 같이 한정하는 이유는, 판별부(120)가 트래픽의 악성 여부를 판별할 때 제1 서버(10)의 CPU 자원을 최대한으로 적게 소모하도록 하기 위해서이다. 즉, 제1 서버(10)의 CPU 자원이 어플리케이션의 구동에 할당되지 않고 수신 트래픽의 악성 여부 판단에 소모되는 것을 최소화하기 위해서이다.
따라서, 본 발명의 일 실시예에 따르면 기 설정된 수준의 비교적 간단한 보안 규칙을 이용하여 수신 트래픽의 악성 여부를 판별하므로 보다 신속하게 수신 트래픽의 악성 여부를 판별할 수 있으며, 제1 서버(10)의 CPU 자원이 트래픽의 악성 여부를 판별하는 데에 소모되는 것을 최소화시킬 수 있다.
아울러, 수신 트래픽의 악성 여부를 보안 규칙으로 판별할 수 없는 경우, 제어부(130)는 정밀 판별부(330)로 수신 트래픽이 전달되도록 하면서 해당 트래픽에 대한 정밀 판별을 요청한다. 정밀 판별부(330)에 대해서는 이하에서 자세하게 살펴보기로 하자.
정밀 판별부(330)는 제1 서버(10) 외부에 존재하며 저장부(110)에 저장된 보안 규칙의 정밀도보다 상대적으로 높은 정밀도로 수신 트래픽의 악성 여부를 판별할 수 있다. 도 2에서는 정밀 판별부(330)가 제2 서버(310)에 포함되는 것으로 도시되어 있으나 이에 한정되는 것은 아니며, 제1 서버(10)의 CPU 자원을 사용하지 않는 외부의 다른 구성이라면 어디에든 존재할 수 있다.
정밀 판별부(330)는 판별부(120)가 저장부(110)에 저장된 보안 규칙으로는 판별할 수 없는 복잡도를 갖는 수신 트래픽의 악성 여부도 판별할 수 있다.
또한, 정밀 판별부(330)가 악성 여부를 판별하는 트래픽은 가상 머신 간에 송수신되는 모든 트래픽이 아니라 일부의 트래픽이다. 이는 정밀 판별부(330)에 의하여 판별되는 트래픽의 개수를 제한함으로써 트래픽의 악성 여부를 판별하는 과정이 신속하면서도 효율적으로 수행되도록 할 수 있다.
한편, 판별부(120)의 판별 결과 수신 트래픽이 악성으로 판별되면, 제어부(130)는 수신 트래픽이 악성으로 판별되었음이 가상 스위치(40)를 통해서 스위칭 제어 장치(200)로 송신되도록 할 수 있다. 이 경우, 스위칭 제어 장치(200)는 그와 연동되어 동작하는 보안 어플리케이션(210)을 통하여 제1 서버(10)의 운용자에게 이를 통지할 수 있다. 이를 통지받은 운용자는 보안 어플리케이션(210)을 통하여 스위칭 제어 장치(200)로 그에 적절한 조치 명령을 전달할 수 있고, 이러한 조치 명령은 가상 스위치(40)로 전달될 수 있으며, 그에 따라 조치 명령에 상응하는 조치가 가상 스위치(40)에서 수행될 수 있다.
또한, 판별부(120)의 판별 결과 수신 트래픽의 악성 여부를 판별할 수 없는 경우, 제어부(130)는 트래픽의 악성 여부가 불분명하다는 것이 가상 스위치(40)를 통해서 스위칭 제어 장치(200)로 송신되도록 할 수 있다. 이 경우, 스위칭 제어 장치(200)는 그와 연동되어 동작하는 보안 어플리케이션(210)을 통하여 제1 서버(10)의 운용자에게 이를 통지할 수 있다. 아울러, 이를 통지받은 운용자는 보안 어플리케이션(210)을 통하여 스위칭 제어 장치(200)로 그에 적절한 조치 명령을 전달할 수 있는데, 이러한 조치 명령은 예를 들면 정밀 판별부(330)에서의 정밀 판별 명령일 수 있다. 조치 명령은 가상 스위치(40)로 전달될 수 있으며, 만약 조치 명령이 정밀 판별부(330)에서의 정밀 판별 명령일 경우, 제어부(130)는 정밀 판별부(330)로 수신 트래픽이 전달되도록 하면서 해당 트래픽에 대한 정밀 판별을 요청할 수 있다.
한편, 보안 규칙은 갱신이 가능하다. 예를 들면, 보안 어플리케이션(210)은 새로운 보안 규칙을 외부로부터 입력받을 수 있다. 입력받은 새로운 보안 규칙은 스위칭 제어 장치(200)를 통해 가상 스위치(40)로 전달될 수 있다. 이 경우, 가상 스위치(40)에 포함된 저장부(110)는 기존의 보안 규칙을 수신받은 새로운 보안 규칙으로 갱신할 수 있다.
아울러, 특정 트래픽의 경우 판별부(120)의 악성 여부에 대한 판별을 거치지 않고 다른 가상 머신으로 송신될 수 있다. 이를 위해서 트래픽은 별도의 보안 판별 플래그를 포함할 수 있다. 트래픽의 보안 판별 플래그가 악성 여부에 대한 판별을 거치지 않는 것으로 나타나면, 판별부(120)는 이러한 보안 판별 플래그를 기초로 해당 트래픽에 대해서는 악성 여부의 판별을 수행하지 않는다.
이상에서 살펴본 바와 같이, 본 발명이 일 실시예에 따르면 가상 스위치(40) 단에서 트래픽의 악성 여부를 판별한 뒤 트래픽을 차단할 수 있다. 따라서, 트래픽이 기존의 네트워크 보안을 담당하는 방화벽이나 침입 판별 시스템을 경유하지 않는 경우에도 악성 트래픽의 차단이 가능하도록 할 수 있다. 아울러, 제1 서버(10)의 CPU 자원을 적게 소모하는 보안 규칙을 이용하여 트래픽의 악성 여부를 신속하게 판별할 수 있다. 또한, 보안 규칙을 이용하여서는 트래픽의 악성 여부를 판별할 수 없는 트래픽에 대해서는, 정밀하게 악성 여부를 판별할 수 있다.
도 3은 본 발명의 일 실시예에 따라 보안 규칙으로 트래픽의 악성 여부를 판별하는 과정을 도시한 도면이다.
도 3을 참조하면, 보안 어플리케이션(210)은 외부로부터 보안 규칙을 입력받는다(S10). 이 때, 보안 규칙은 사용자별로 상이할 수 있으며, 도 3에는 사용자 1 내지 4 각각에 대한 보안 규칙을 입력받는 것으로 도시되어 있다.
보안 어플리케이션(210)은 입력받은 보안 규칙을 스위칭 제어 장치(200)로 전달한다(S11).
스위칭 제어 장치(200)는 보안 규칙을 가상 스위치로 전달한다. 이 때, 각각의 사용자별로 사용하는 가상 머신이 상이할 수 있으며, 그에 따라 해당 가상 머신 간의 트래픽을 스위칭하는 가상 스위치가 상이할 수 있다. 도 3에서 사용자 1과 2는 제1 가상 스위치(100a)를 사용하여 트래픽이 스위칭되는 가상 머신을 사용하고 사용자 3과 4는 제2 가상 스위치(100b)를 사용하여 트래픽이 스위칭되는 가상 머신을 사용한다. 따라서, 스위칭 제어 장치(200)는 사용자 1과 2에 대한 보안 규칙은 제1 가상 스위치(100a)로 전달하고(S13), 사용자 3과 4에 대한 보안 규칙은 제2 가상 스위치(100b)로 전달한다(S12).
다음으로, 제1 가상 스위치(100a)에 사용자 1의 트래픽이 수신될 수 있다(S20). 이 경우, 제1 가상 스위치(100a)는 그에 포함되는 보안 관리 장치(100)를 이용하여 수신된 트래픽(이하 대상 트래픽이라고 지칭)의 악성 여부를 판별한다(S21). 보안 관리 장치(100)는 대상 트래픽이 악성이 아니면 다른 가상 머신으로 송신한다.
그러나, 보안 관리 장치(100)는 대상 트래픽이 악성일 경우 대상 트래픽의 타 가상 머신으로의 송신을 차단(S21)하며, 대상 트래픽이 악성이라는 경고를 스위칭 제어 장치(200)로 전달한다(S22). 스위칭 제어 장치(200)는 경고를 보안 어플리케이션(210)으로 전달하며(S23), 이로써 시스템의 운용자는 보안 어플리케이션(210)을 통해서 악성 트래픽이 발생하였음을 인지할 수 있다(S30).
다음으로, 운용자가 악성 트래픽에 대응하여 보안 어플리케이션(210)을 통하여 조치를 명령하면, 이러한 조치 명령은 스위칭 제어 장치(200)로 전달될 수 있다(S31). 스위칭 제어 장치(200)는 조치 명령을 제1 가상 스위치(100a)로 전달할 수 있으며(S32), 이에 따라 제1 가상 스위치(100a)를 포함하는 서버에서는 악성 트래픽에 대응한 조치가 실행될 수 있다(S33).
도 4는 본 발명의 일 실시예에 따른 보안 규칙으로는 트래픽의 악성 여부를 판별할 수 없을 때 정밀 판별부에 의하여 트래픽의 악성 여부를 판별하는 과정을 도시한 도면이다.
도 4를 참조하면, 보안 어플리케이션(210)은 외부로부터 보안 규칙을 입력받는다(S50). 이 때, 보안 규칙은 사용자별로 상이할 수 있으며, 도 4에서는 사용자 1 내지 2 각각에 대한 보안 규칙을 입력받는 것으로 도시되어 있다.
보안 어플리케이션(210)은 입력받은 보안 규칙을 스위칭 제어 장치(200)로 전달한다(S51).
스위칭 제어 장치(200)는 보안 규칙을 가상 스위치로 전달한다. 이 때, 각각의 사용자별로 사용하는 가상 머신이 상이할 수 있으며, 그에 따라 해당 가상 머신 간의 트래픽을 스위칭하는 가상 스위치가 상이할 수 있다. 도 4에서 사용자 1과 2는 제1 가상 스위치(100a)를 사용하여 가상 머신 간의 트래픽을 스위칭하는 가상 머신을 사용한다. 따라서, 스위칭 제어 장치(200)는 사용자 1과 2에 대한 보안 규칙을 제1 가상 스위치(100a)로 전달한다(S53).
또한, 스위칭 제어 장치(200)는 사용자 1과 2에 대한 보안 규칙을 정밀 판별부(330)로 전달할 수 있다(S52).
다음으로, 제1 가상 스위치(100a)가 연결하는 가상 머신 간에 사용자 1의 트래픽이 수신될 수 있다(S60). 이 경우, 제1 가상 스위치(100a)는 그에 포함되는 보안 관리 장치(100)를 이용하여 수신된 트래픽(이하 대상 트래픽이라고 지칭)의 악성 여부를 판별한다(S61). 보안 관리 장치(100)는 대상 트래픽이 악성이 아니면 다른 가상 머신으로 송신한다.
그러나, 보안 관리 장치(100)가 대상 트래픽이 악성인지 여부가 불분명하다고 판단하는 경우, 대상 트래픽의 악성 여부가 불분명하다는 의심 경고를 스위칭 제어 장치(200)로 전달한다(S62). 스위칭 제어 장치(200)는 의심 경고를 보안 어플리케이션(210)으로 전달한다(S63).
보안 어플리케이션은 대상 트래픽에 대한 정밀 판별 명령을 스위칭 제어 장치로 전달할 수 있다(S70). 이 때, 이러한 정밀 판별 명령은 도면에는 도시되지 않았지만 운용자로부터 지시된 것일 수 있다. 스위칭 제어 장치(200)는 정밀 판별 요청을 제1 가상 스위치(100a)로 전달할 수 있으며(S71), 이에 따라 제1 가상 스위치(100a)에 포함된 보안 관리 장치(100)는 정밀 판별부(330)로 대상 트래픽을 전달하면서 정밀 판별을 요청할 수 있다(S72).
이 경우, 정밀 판별부(330)는 대상 트래픽를 수신한 뒤 대상 트래픽의 악성 여부에 대한 정밀 판별을 수행할 수 있다(S73). 판별 결과 대상 트래픽이 악성이 아닌 경우 판별 결과가 제1 가상 스위치(40)로 전달될 수 있으며, 이 후 제1 가상 스위치(40)는 대상 트래픽을 다른 가상 머신으로 송신할 수 있다.(도면에는 미도시)
그러나, 판별 결과 대상 트래픽이 악성인 경우, 정밀 판별부(330)는 대상 트래픽이 악성이라는 경고를 스위칭 제어 장치(200)로 전달할 수 있으며(S74), 스위칭 제어 장치(200)는 대상 트래픽이 악성이라는 경고를 보안 어플리케이션(210)으로 전달할 수 있다(S75). 이로써 시스템의 운용자는 보안 어플리케이션(210)을 통해서 악성 트래픽이 발생하였음을 인지할 수 있다(S80).
다음으로, 운용자가 악성 트래픽에 대응하여 보안 어플리케이션(210)을 통하여 조치를 명령하면, 이러한 조치 명령은 스위칭 제어 장치(200)로 전달될 수 있다(S81). 스위칭 제어 장치(200)는 조치 명령을 제1 가상 스위치(100a)로 전달할 수 있으며(S82), 이에 따라 제1 가상 스위치(100a)를 포함하는 서버에서는 악성 트래픽에 대응한 조치가 실행될 수 있다(S83).
도 5는 본 발명의 일 실시예에 따른 보안 관리 장치에 의하여 보안이 관리되는 방법의 절차를 도시한 도면이다. 도 5에 도시된 보안 관리 방법은 도 2에 도시된 보안 관리 장치(100)에 의하여 수행될 수 있다. 아울러, 도 5의 방법을 구성하는 각각의 절차는 실시예에 따라서 적어도 하나 이상이 수행되지 않거나 도시되지 않은 절차가 추가로 수행될 수 있으며, 절차가 수행되는 순서가 변경될 수 있다.
도 5를 참조하면, 본 발명의 일 실시예에 따른 보안 관리 방법은 어느 하나의 가상 머신으로부터 트래픽을 수신된 수신 트래픽의 악성 여부를 기 설정된 수준의 정밀도로 판별하는 기 저장된 보안 규칙을 기초로 수신 트래픽의 악성 여부를 판별하는 단계(S100) 및 판별 결과 수신 트래픽이 정상으로 판별되면 수신 트래픽이 가상 스위치를 통해 다른 하나의 가상 머신으로 송신되도록 하고(S130), 수신 트래픽이 악성으로 판별되면 수신 트래픽을 차단하며(S120), 정밀도를 기준으로 수신 트래픽의 악성 여부를 판별할 수 없는 경우 서버 외부에 존재하며 정밀도보다 상대적으로 높은 정밀도로 수신 트래픽의 악성 여부를 판별하는 정밀 판별부로 수신 트래픽이 전달되도록(S140) 하는 단계를 포함한다.
이상에서 살펴본 바와 같이 본 발명이 일 실시예에 따르면 가상 스위치(40) 단에서 트래픽의 악성 여부를 판별한 뒤 트래픽을 차단할 수 있다. 따라서, 트래픽이 기존의 네트워크 보안을 담당하는 방화벽이나 침입 판별 시스템을 경유하지 않는 경우에도 악성 트래픽을 차단할 수 있다. 아울러, 서버(10)의 CPU 자원을 적게 소모하는 보안 규칙을 이용하여 트래픽의 악성 여부를 판별하도록 함으로써 보다 효율적이고 신속하게 트래픽의 악성 여부를 판별할 수 있다. 또한, 보안 규칙을 이용하여서는 트래픽의 악성 여부를 판별할 수 없는 트래픽에 한해서만 정밀하게 악성 여부를 판별하도록 할 수 있다.
한편, 본 발명의 일 실시예에 따른 보안 관리 방법은 이러한 방법에 포함된 각 단계를 수행하도록 프로그램된 컴퓨터 기록매체에 저장된 컴퓨터 프로그램으로 구현될 수 있다.
본 발명에 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 품질에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 균등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
본 발명의 실시예에 따르면 복수의 가상 머신을 포함하는 서버의 통신 속도를 향상시키면서 서버의 성능 열화가 방지되도록 할 수 있다.
100: 보안 관리 장치
110: 저장부 120: 판별부
130: 제어부 330: 정밀 판별부

Claims (7)

  1. 서버에 포함된 복수의 가상 머신 중 어느 하나의 가상 머신으로부터 트래픽을 수신하여 다른 하나의 가상 머신으로 송신하는 가상 스위치에 포함된 보안 관리 장치로서,
    트래픽의 악성 여부를 기 설정된 수준의 정밀도로 판별하는 보안 규칙을 저장하는 저장부;
    상기 보안 규칙을 기초로 상기 어느 하나의 가상 머신으로부터 수신된 트래픽인 수신 트래픽의 악성 여부를 판별하는 판별부; 및
    상기 판별부의 판별 결과 상기 수신 트래픽이 정상으로 판별되면 상기 수신 트래픽이 상기 가상 스위치를 통해 상기 다른 하나의 가상 머신으로 송신되도록 하고, 상기 수신 트래픽이 악성으로 판별되면 상기 수신 트래픽을 차단하며, 상기 보안 규칙을 기준으로 상기 수신 트래픽의 악성 여부를 판별할 수 없는 경우 상기 서버 외부에 존재하며 상기 보안 규칙을 기초로 기 설정된 수준의 정밀도보다 높은 정밀도로 상기 수신 트래픽의 악성 여부를 판별하는 정밀 판별부로 상기 수신 트래픽이 전달되도록 하는 제어부를 포함하며,
    상기 보안 규칙은 스위칭 제어 장치로부터 상기 가상 스위치 및 상기 정밀 판별부에 수신되는
    보안 관리 장치.
  2. 제 1 항에 있어서,
    상기 제어부는,
    상기 판별부에 의해 상기 수신 트래픽이 악성으로 판별되면 상기 수신 트래픽이 악성으로 판별되었음이 상기 스위칭 제어 장치로 송신되도록 하는
    보안 관리 장치.
  3. 제 1 항에 있어서,
    상기 제어부는,
    상기 수신 트래픽의 악성 여부를 판별할 수 없는 경우 상기 수신 트래픽의 악성 여부를 판별할 수 없음이 상기 스위칭 제어 장치로 송신되도록 하며,
    상기 스위칭 제어 장치로부터 상기 악성 여부를 판별할 수 없는 수신 트래픽의 악성 여부에 대한 정밀 판별 요청이 수신되면, 상기 정밀 판별부로 상기 악성 여부를 판별할 수 없는 수신 트래픽을 전달하면서 상기 악성 여부를 판별할 수 없는 수신 트래픽의 악성 여부에 대한 정밀 판별을 요청하는
    보안 관리 장치.
  4. 제 1 항에 있어서,
    상기 판별부는,
    상기 수신 트래픽에 포함된 보안 판별 플래그를 기초로, 상기 수신 트래픽에 대한 악성 여부의 판별 여부를 분류하는
    보안 관리 장치.
  5. 제 1 항에 있어서,
    상기 보안 관리 장치는,
    상기 서버에 포함되는
    보안 관리 장치.
  6. 서버에 포함된 복수의 가상 머신 중 어느 하나의 가상 머신으로부터 트래픽을 수신하여 다른 하나의 가상 머신으로 송신하는 가상 스위치에서 상기 트래픽의 보안을 관리하는 방법으로서,
    상기 어느 하나의 가상 머신으로부터 수신된 수신 트래픽의 악성 여부를 기 설정된 수준의 정밀도로 판별하는 기 저장된 보안 규칙을 기초로 상기 수신 트래픽의 악성 여부를 판별하는 단계; 및
    상기 판별 결과 상기 수신 트래픽이 정상으로 판별되면 상기 수신 트래픽이 상기 가상 스위치를 통해 상기 다른 하나의 가상 머신으로 송신되도록 하고, 상기 수신 트래픽이 악성으로 판별되면 상기 수신 트래픽을 차단하며, 상기 보안 규칙을 기준으로 상기 수신 트래픽의 악성 여부를 판별할 수 없는 경우 상기 서버 외부에 존재하며 상기 보안 규칙을 기초로 기 설정된 수준의 정밀도보다 상대적으로 높은 정밀도로 상기 수신 트래픽의 악성 여부를 판별하는 정밀 판별부로 상기 수신 트래픽이 전달되도록 하는 단계를 포함하고,
    상기 보안 규칙은 스위칭 제어 장치로부터 상기 가상 스위치 및 상기 정밀 판별부에 수신되는 보안 관리 방법.
  7. 제 6 항의 보안 관리 방법에 포함된 각 단계를 수행하도록 프로그램된 컴퓨터 판독 가능한 기록매체에 저장된 컴퓨터 프로그램.
KR1020150165470A 2015-11-25 2015-11-25 가상 머신 간의 통신 보안을 관리하는 장치 및 방법 KR102216061B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150165470A KR102216061B1 (ko) 2015-11-25 2015-11-25 가상 머신 간의 통신 보안을 관리하는 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150165470A KR102216061B1 (ko) 2015-11-25 2015-11-25 가상 머신 간의 통신 보안을 관리하는 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20170060814A KR20170060814A (ko) 2017-06-02
KR102216061B1 true KR102216061B1 (ko) 2021-02-16

Family

ID=59222412

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150165470A KR102216061B1 (ko) 2015-11-25 2015-11-25 가상 머신 간의 통신 보안을 관리하는 장치 및 방법

Country Status (1)

Country Link
KR (1) KR102216061B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102423755B1 (ko) * 2017-12-14 2022-07-21 삼성전자주식회사 패킷 전송을 제어하는 서버 및 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101535502B1 (ko) * 2014-04-22 2015-07-09 한국인터넷진흥원 보안 내재형 가상 네트워크 제어 시스템 및 방법

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100596386B1 (ko) 2003-12-05 2006-07-03 한국전자통신연구원 아이피 프래그먼트 패킷에 대한 동적 필터링 방법
KR101499668B1 (ko) * 2013-01-31 2015-03-06 주식회사 시큐아이 가상 실행 환경에서 네트워크 프레임을 전달하기 위한 장치 및 방법
KR101473658B1 (ko) * 2013-05-31 2014-12-18 주식회사 안랩 필터를 이용한 클라우드 기반 악성코드 진단장치, 시스템 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101535502B1 (ko) * 2014-04-22 2015-07-09 한국인터넷진흥원 보안 내재형 가상 네트워크 제어 시스템 및 방법

Also Published As

Publication number Publication date
KR20170060814A (ko) 2017-06-02

Similar Documents

Publication Publication Date Title
US9110703B2 (en) Virtual machine packet processing
EP3226508B1 (en) Attack packet processing method, apparatus, and system
KR102145935B1 (ko) 네트워크 종점들을 보호하기 위한 시스템들 및 방법들
KR20190004350A (ko) 공격들에 대해 방어하기 위한 네트워크 트래픽 처리
US10263809B2 (en) Selecting an optimal network device for reporting flow table misses upon expiry of a flow in a software defined network
US10313238B2 (en) Communication system, communication method, and non-transitiory computer readable medium storing program
JP6737610B2 (ja) 通信装置
US20150207664A1 (en) Network control software notification with denial of service protection
CN107690004B (zh) 地址解析协议报文的处理方法及装置
CN105812318A (zh) 用于在网络中防止攻击的方法、控制器和系统
US20130275620A1 (en) Communication system, control apparatus, communication method, and program
US11038898B2 (en) Slow protocol packet processing method and related apparatus
US10877951B2 (en) Network control software notification and invalidation of static entries
KR102216061B1 (ko) 가상 머신 간의 통신 보안을 관리하는 장치 및 방법
KR102219270B1 (ko) Sdn 기반의 트래픽 처리 방법
US10999274B2 (en) Determining a device property
WO2016051335A1 (en) Algorithm for faster convergence through affinity override
CN106470193A (zh) 一种DNS递归服务器抗DoS、DDoS攻击的方法及装置
JP2015115794A (ja) 転送装置、転送方法、および、転送プログラム
KR20170109949A (ko) 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치
CN112152972A (zh) 检测iot设备漏洞的方法和装置、路由器
CN102986194B (zh) 网络安全处理方法、系统和网卡
KR101854996B1 (ko) 악성 애플리케이션을 방지할 수 있는 소프트웨어 정의 네트워크 및 이에 포함되는 판단 장치
Sadhasivam et al. Hocs: Host oscommunication service layer
FI126417B (en) Configuration of network security elements

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant