KR102318686B1 - 개선된 네트워크 보안 방법 - Google Patents

개선된 네트워크 보안 방법 Download PDF

Info

Publication number
KR102318686B1
KR102318686B1 KR1020200135976A KR20200135976A KR102318686B1 KR 102318686 B1 KR102318686 B1 KR 102318686B1 KR 1020200135976 A KR1020200135976 A KR 1020200135976A KR 20200135976 A KR20200135976 A KR 20200135976A KR 102318686 B1 KR102318686 B1 KR 102318686B1
Authority
KR
South Korea
Prior art keywords
address
switch
identification code
icmp
network security
Prior art date
Application number
KR1020200135976A
Other languages
English (en)
Inventor
전소미
방성수
Original Assignee
전소미
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 전소미 filed Critical 전소미
Priority to KR1020200135976A priority Critical patent/KR102318686B1/ko
Application granted granted Critical
Publication of KR102318686B1 publication Critical patent/KR102318686B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • H04L61/2007
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

실시예는 개선된 네트워크 보안 방법에 관한 것이다.
구체적으로, 이러한 개선된 네트워크 보안 방법은 기존의 ICMP를 이용하여 분류된 IP 그룹을 지속적으로 모니터링하여 관리함으로써, 소규모의 사업장에서 필요한 기능만을 활용하여 저비용으로 IP모니터링을 운영 관리하는데 용이하다.

Description

개선된 네트워크 보안 방법{Improved method for sequrity employing network}
본 명세서에 개시된 내용은 네트워크 보안 기술 분야에 관한 것으로, 보다 상세하게는 다수의 사용자가 네트워크에 접속할 경우, ICMP(Internet Control Message Protocol)를 이용하여 IP를 모니터링하는 기술에 관한 것이다.
본 명세서에서 달리 표시되지 않는 한, 이 섹션에 설명되는 내용들은 이 출원의 청구항들에 대한 종래 기술이 아니며, 이 섹션에 포함된다고 하여 종래 기술이라고 인정되는 것은 아니다.
일반적으로, 정보 통신 기술의 발달로 정보화 사회가 됨에 따라 사회, 문화 및 경제 등 전 분야에서 인터넷이 중요한 매체가 되고 있다. 이처럼 기업 내에서 모든 업무를 인트라넷으로 처리하게 됨에 따라 네트워크의 관리가 매우 중요한 문제로 등장하게 되었다. 일반적으로 네트워크 관리는 구성 관리, 장애 관리, 성능 관리, 보안 관리, 계정 관리 및 자동 분석 등으로 구분할 수 있는데, 이를 위한 다양한 네트워크 관리 프로토콜들이 국제 표준 기구에 의해 제정되어 권고되고 있으며, IP 기반 네트워크 관리 시스템도 다수 개발되고 있다.
그리고, 이러한 IP 기반 네트워크 관리 시스템에서 활용될 수 있는 기존의 IP모니터링 방식은 고가의 NMS 관리프로그램을 사용하기에, 이에 따른 비용으로 큰 규모의 사업장에서 운영되어야 한다,
그러나, 소규모의 사업장에서도 필요한 기능만을 활용하여 저비용으로 운영 관리하는데 용이할 필요성이 있다.
이러한 배경의 선행기술문헌은 아래의 특허문헌 정도이며, 직접적으로 관련된 선행기술문헌은 상당히 적은 편이다.
(특허문헌 0001) KR1020030050677 A
참고적으로, 상기 특허문헌 1의 기술은 본 명세서에 개시된 내용인 IP모니터링 기술과 관련하여 IP 루트를 주기적으로 감시하여 패킷의 전송 처리 지연 등을 하는 기술 정도이다.
예를 들어, 이와 관련하여 부가적으로 이더넷 구조의 로컬 네트워크는 브로드캐스팅 기반의 네트워크이다. 로컬 네트워크에서 동작하는 하나의 시스템이 다른 시스템에 전송한 패킷은 동일한 로컬 네트워크에 존재하는 모든 시스템에 전달된다. 그러나, 패킷의 수신 IP 주소와 동일한 시스템만이 패킷을 수신하고 다른 시스템은 전달된 패킷을 무시하는 방식으로 동작한다. 네트워크 패킷 감시 도구는 이러한 이더넷 구조의 특징을 이용하는 것으로 주로 특정한 패턴을 가지는 패킷을 감시하는 목적으로 사용된다. 패킷이 검출되면 네트워크 패킷 감시 도구는 패킷에 기록된 IP 주소를 이용하여 송신 시스템과 수신 시스템에 대한 정보를 제공한다.
다른 한편으로는, 오늘날, 인터넷의 급속한 확산과 네트워크의 발전으로 다양한 서비스들이 네트워크를 통하여 고객에게 지원되고 있다. 이와 같은 네트워크의 안정적인 운용 및 이상 상황을 빠르게 감지하여 고객에게 양질의 서비스 품질을 보장하기 위하여, 현재 다수의 네트워크 운용관리 지원 시스템들이 개발되어 운용중에 있으며, 그 중에 특정 목적지 주소에의 도달 가능성 및 경로를 추적하는 기술은 망 운용관리 측면에서 중요한 위치를 차지하고 있다.
그러나, 방대한 네트워크를 구성하는 네트워크 경로 상에서 이상 상황이 발생한 경우 네트워크 지연구간 및 이상구간을 빠르게 파악하여 대처해야 함에도 불구하고, 지금까지의 대처 형태는 운용자 접속 클라이언트 기반의 추적루트 명령을 통한 IP 정보를 운용자들이 수작업으로 검색하여 대처하는 형태를 취해왔다. 따라서 비교적 긴(약 30분 정도) 분석 시간이 소요되고, 이에 따라 실시간으로 이상 상황에 대처하는데에 어려움이 있으며, 출발지 즉 클라이언트의 위치 및 접속 네트워크에 따라 ICMP를 이용한 추적이 막혀 있어(보안정책상 막혀 있음), 네트워크 지연구간 및 이상구간에 대한 파악이 힘든 문제점이 있다.
개시된 내용은, IP모니터링을 할 경우에 기존에 고가의 NMS 관리프로그램 비용으로 큰 규모의 사업장에서 운영되어야 하나 소규모의 사업장에서 필요한 기능만을 활용하여 저비용으로 운영 관리하는데 용이하도록 하는 개선된 네트워크 보안 방법을 제공하고자 한다.
실시예에 따른 개선된 네트워크 보안 방법은,
기존의 ICMP를 이용하여 분류된 IP 그룹을 지속적으로 모니터링하여 관리하는 것을 특징으로 한다.
구체적으로는, 이러한 개선된 네트워크 보안 방법은,
IP모니터링장치의 네트워크 보안 방법에 있어서,
사용자 단말 또는 IP 에지 노드(edge node)의 ICMP IP 어드레스 프리픽스(address prefix)와 홈게이트웨이의 IP 어드레스 프리픽스의 차이에 해당하는 제 1 구분자 필드 값(discriminator field value)을 포함하는 BFD(Bidirectional Forwarding Detection) 메시지를 수신하는 제 1 단계;
상기 BFD 메시지 내의 제1 구분자 필드 값에 따라 사용자 단말 또는 IP 에지 노드 간의 IP 세션이 킵얼라이브(keepalive) 상태인지 여부를 확인하는 제 2 단계;
상기 확인결과, 킵얼라이브 상태인 경우 ICMP의 HELLO 메시지에 의해 스위치 인접지 연결 관계 리스트를 업데이트하고, 킵얼라이브 상태가 아닌 경우에는 스위치 인접지 연결 관계 리스트를 업데이트하지 않는 제 3 단계;
상기 스위치 인접지 연결 관계 리스트를 업데이트한 경우에 ICMP의 JOIN/PRUNE 메시지에 의해 IP 포워딩 테이블(forwarding table)을 ICMP정보에 따라 미리 IP그룹으로 분류하여 업데이트하는 제 4 단계;
상기 업데이트 된 IP 포워딩 테이블에 따라 실시간으로 2계층 네트워크 접속과 관련된 주소록을 업데이트하는 제 5 단계;
2계층 교환 VLAN 영역에서 ICMP의 HELLO 메시지를 송신하고 ICMP의 JOIN/PRUNE 메시지의 다음 홉 (next hop) 스위치 IP 주소를 추출하는 제 6 단계;
상기 추출된 다음 홉 스위치 IP 주소와 동일한 스위치 IP 주소를 상기 스위치 인접지 연결 관계 리스트에서 확인하는 제 7 단계; 및
상기 확인 결과, 상기 추출된 다음 홉 스위치 IP 주소와 동일한 스위치 IP 주소가 있는 경우, ICMP JOIN/PRUNE 메시지를 라우터에 송신하며, 없는 경우에는 상기 IP 포워딩 테이블을 기반으로 2계층 교환 VLAN 내에서 ICMP JOIN/PRUNE 메시지를 송신하는 제 8 단계; 를 포함하는 것을 특징으로 한다.
실시예들에 의하면, 기존의 고가의 NMS 관리프로그램의 비용으로 큰 규모의 사업장에서 IP모니터링이 운영되어야 하나 소규모의 사업장에서 필요한 기능만을 활용하여 저비용으로 운영 관리하는데 용이하다.
그리고, 비인가 IP의 접속시 알람 발생 및 로그 기록 등을 쉽게 확인하고, 이를 통해 전체적으로 운용의 편의성을 제공한다.
또한 같은 IP대역의 PC 등에 해당 프로그램을 설치하여 IP테이블 관리를 하고, 이를 통해 별도의 관리서버가 필요없는 등의 효과를 얻는다.
또한, 비인가자 접속시 해당 IP의 경로추적을 사용하여 해당 IP대역의 경로를 확인한다.
도 1은 일실시예에 따른 개선된 네트워크 보안 방법이 적용된 시스템을 개념적으로 설명하기 위한 도면
도 2는 일실시예에 따른 개선된 네트워크 보안 방법이 적용된 시스템을 전체적으로 도시한 도면
도 3은 도 2의 시스템에 적용된 IP모니터링 장치의 구성을 도시한 블록도
도 4는 일실시예에 따른 개선된 네트워크 보안 방법을 순서대로 도시한 플로우 차트
도 1은 일실시예에 따른 개선된 네트워크 보안 방법이 적용된 시스템을 개념적으로 설명하기 위한 도면이다.
도 1에 도시된 바와 같이, 일실시예에 따른 개선된 네트워크 보안 방법이 적용된 시스템은 ICMP 기능을 활용하여 IP를 모니터링하는 것이다.
구체적으로는, 이러한 시스템은 기존의 ICMP를 이용하여 분류된 IP 그룹을 지속적으로 모니터링하여 관리한다.
이러한 관리 동작은 개략적으로 예를 들어, 사용자 단말 등에 의해 네트워크를 접속할 경우에 무선AP와 여러 스위치 등에 관한 네트워크정보를 수집하고, 이를 통해 네트워크 감시와 관리자 알람 및 IP추적을 수행한다.
그래서, 이를 통해 기존의 고가의 NMS 관리프로그램의 비용으로 큰 규모의 사업장에서 운영되어야 하나 소규모의 사업장에서 필요한 기능만을 활용하여 저비용으로 운영 관리하는데 용이하다.
추가적으로, 상기 시스템은 IP테이블관리를 하는 것으로, 등록된 IP테이블을 이용하여 등록된 IP의 감시 및 비인가자의 접속에 따른 모니터링 및 로그를 관리한다.
그래서, 이를 통해 비인가 IP의 접속시 알람 발생 및 로그 기록 등을 쉽게 확인하고, 이를 통해 전체적으로 운용의 편의성을 제공한다.
또한 같은 IP대역의 PC 등에 해당 프로그램을 설치하여 IP테이블 관리를 하고, 이를 통해 별도의 관리서버가 필요없는 등의 효과를 얻는다.
그리고 이에 더하여, 상기 시스템은 TRACERT 기능을 수행하는 것으로, 비인가자 접속시 해당 IP의 경로추적을 사용하여 해당 IP대역의 경로를 확인한다.
도 2는 일실시예에 따른 개선된 네트워크 보안 방법이 적용된 시스템을 전체적으로 도시한 도면이다.
도 2에 도시된 바와 같이, 일실시예에 따른 시스템은 다수의 사용자 측에 해당하는 여러 사용자 단말(100-1, 100-2, ... )과 IP 공유사설 네트워크(110), 이러한 사용자 측의 ICMP 패킷을 활용하여 IP를 모니터링해서 무선 네트워크로 원활히 해당 정보를 전달하는 IP모니터링 장치(200)를 포함한다.
상기 사용자 단말(100-1, 100-2, ... )은 일반적인 네트워크 접속을 하는 사용자 측의 단말로서, 여기에서는 협의로 IP공유를 하지 않는 클라이언트의 단말을 일컫기도 한다.
상기 IP 공유사설 네트워크(110)는 IP 공유를 하는 소속된 클라이언트로서, 다수의 IP 공유사설 네트쿼크로서 이루어진다.
상기 IP모니터링 장치(200)는 IP 공유 사설 네트워크에 소속된 클라이언트와 IP 공유를 하지 않는 사용자의 클라이언트가 ICMP에 기반하여 IP모니터링을 받아 정상 인가자만 예를 들어, 광역 무선 네트워크에서 통신을 할 수 있도록 한다. 이러한 경우, 상기 IP모니터링 장치는 IP를 모니터링할 수 있도록 설계된 프로그램이 탑재된 일종의 컴퓨터 시스템이다.
도 3은 도 2의 시스템에 적용된 IP모니터링 장치(200)의 구성을 도시한 블록도이다.
도 3에 도시된 바와 같이, 일실시예의 장치(200)는 각 클라이언트의 ICMP 패킷을 수신하고 정상 클라이언트의 통신 정보를 무선 네트워크로 전달하는 인터페이스부(201)와, 상기 ICMP 패킷을 분석하는 프로토콜 분석부(202), 상기 분석결과로 IP를 모니터링하는 제어부(203), 관련된 모니터링 등의 정보를 저장하는 데이터베이스(204)를 포함한다.
그리고, 추가적으로 이러한 IP모니터링 장치(200)는 IP모니터링을 할 경우, 관리자의 키 조작에 따라 각종 설정 명령 등을 입력받는 키신호 입력부(205)를 포함한다.
상기 인터페이스부(201)는 IP 어드레스를 공유하는 사설 네트워크 및 일반 사용자의 클라이언트 등이 네트워크에 접속할 경우, 네트워크 선로에서 각 클라이언트로부터 출력되는 ICMP 패킷을 수신한다. 그리고, 상기 인터페이스부(201)는 상기 제어부(203)에 의해 IP모니터링을 할 경우, 정상적인 인가자만의 통신 정보를 무선 네트워크로 전달한다.
상기 프로토콜 분석부(202)는 상기 각 클라이언트의 ICMP 패킷을 미리 설정된 ICMP 데이터 전송포맷에 따라 분석한다. 이러한 통신 패킷의 분석은 종래 기술에 속하는 것으로 여기에서는 그에 대한 상세한 설명을 생략하기로 한다.
상기 제어부(203)는 이러한 분석결과를 기반으로 즉, ICMP를 이용하여 분류된 IP 그룹을 지속적으로 모니터링한다. 그리고, 상기 제어부(203)는 등록된 IP테이블을 이용하여 등록된 IP의 감시 및 비인가자의 접속에 따른 모니터링 및 로그를 관리한다. 또한, 이러한 제어부(203)는 비인가자 접속시 해당 IP의 경로추적을 사용하여 해당 IP대역의 경로를 확인한다. 이러한 각각의 동작은 아래의 도 4를 참조하여 보다 상세히 설명한다.
상기 데이터베이스(204)는 전술한 IP모니터링과 관련된 IP 그룹정보와, IP의 모니터링 및 로그 정보 등을 저장한다.
도 4는 일실시예에 따른 개선된 네트워크 보안 방법을 순서대로 도시한 플로우 차트이다.
도 4에 도시된 바와 같이, 일실시예에 따른 개선된 네트워크 보안 방법은 먼저 ICMP 기능을 활용하여 IP를 모니터링한다.
이러한 모니터링 동작은 아래와 같이 이루어진다.
먼저 상기 모니터링 동작은 사용자 단말 또는 IP 에지 노드의 ICMP IP 어드레스 프리픽스(address prefix)와 홈게이트웨이의 IP 어드레스 프리픽스의 차이에 해당하는 제 1 구분자 필드 값(discriminator field value)을 포함하는 BFD(Bidirectional Forwarding Detection) 메시지를 수신한다(S401).
이러한 경우, 상기 BFD 메시지의 "Discriminator" 필드는 동일한 "Prefix Yn" 하에서의 "IP Session" 그룹을 나타낼 수 있어서, 제1 구분자 필드 값은 UE의 동일한 IP 어드레스 프리픽스 하에서 의 하나의 IP 세션 또는 다수의 IP 세션을 식별하도록 구성된다.
그리고 나서, 상기 BFD 메시지 내의 제1 구분자 필드 값에 따라 사용자 단말 또는 IP 에지 노드 간의 IP 세션이 킵얼라이브(keepalive) 상태인지 여부를 확인한다(S402).
참고적으로, IP 세션 킵얼라이브 모니터링 시스템에서, "IPv6 Session Keepalive Proxy"는 HGW에 위치하기 때문에, "IPv6 Session"이 HGW를 따르는 UE와 IP 에지 노드 사이에 확립될 수 있으며, "Single hop IPSession"이 "Multihop IP Session"까지 확장될 수 있어서, "Multiple hop IPv6 Session"의 킵얼라이브 모니터링을 구현할 수 있다.
그래서, 상기 확인결과, 킵얼라이브 상태인 경우 ICMP의 HELLO 메시지에 의해 스위치 인접지 연결 관계 리스트를 업데이트하고, 킵얼라이브 상태가 아닌 경우에는 스위치 인접지 연결 관계 리스트를 업데이트하지 않는다(S403).
이러한 경우, 상기 스위치 인접지 연결 관계 리스트는 다음의 스위치 IP 주소와, 스위치 인접 포트 번호, 스위치 2계층 교환 영역의 VLAN ID를 포함한다.
다음, 상기 스위치 인접지 연결 관계 리스트를 업데이트한 경우에 ICMP의 JOIN/PRUNE 메시지에 의해 IP 포워딩 테이블(forwarding table)을 ICMP정보에 따라 미리 IP그룹으로 분류하여 업데이트한다(S404).
이러한 경우에, 상기 IP 포워딩 테이블은 IP 주소와, IP 주소 소속 2계층 교환 영역의 VLAN ID, JOIN/PRUNE 메시지 소스 포트 리스트, 각 포트 유지 시간을 포함한다.
그리고, 상기 업데이트 된 IP 포워딩 테이블에 따라 실시간으로 2계층 네트워크 접속과 관련된 주소록을 업데이트한다(S405).
그리고 나서, 2계층 교환 VLAN 영역에서 ICMP의 HELLO 메시지를 송신하고 ICMP의 JOIN/PRUNE 메시지의 다음 홉 (next hop) 스위치 IP 주소를 추출한다(S406).
다음, 이렇게 추출된 다음 홉 스위치 IP 주소와 동일한 스위치 IP 주소를 상기 스위치 인접지 연결 관계 리스트에서 확인한다(S407).
그래서 상기 확인 결과, 상기 추출된 다음 홉 스위치 IP 주소와 동일한 스위치 IP 주소가 있는 경우, ICMP JOIN/PRUNE 메시지를 라우터에 송신하며(S408), 없는 경우에는 상기 IP 포워딩 테이블을 기반으로 2계층 교환 VLAN 내에서 ICMP JOIN/PRUNE 메시지를 송신한다(S409).
따라서, 이를 통해 기존의 ICMP를 이용하여 분류된 IP 그룹을 지속적으로 모니터링하여 관리함으로써, 소규모의 사업장에서 필요한 기능만을 활용하여 저비용으로 IP모니터링을 운영 관리하는데 용이하다.
이상과 같이, 일실시예는 기존의 ICMP를 이용하여 분류된 IP 그룹을 지속적으로 모니터링하여 관리한다.
따라서, 이를 통해 기존의 고가의 NMS 관리프로그램의 비용으로 큰 규모의 사업장에서 운영되어야 하나 소규모의 사업장에서 필요한 기능만을 활용하여 저비용으로 운영 관리하는데 용이하다.
한편, 추가적으로 이러한 개선된 네트워크 보안 방법은 IP테이블을 이용하여 등록된 IP의 감시 및 비인가자의 접속에 따른 모니터링 및 로그를 관리한다.
이러한 관리 동작은 구체적으로 아래와 같다.
먼저, 상기 관리 동작은 관리자가 원하는 모니터링할 대상 IP 정보를 등록하는 IP테이블을 구성한다.
이러한 상태에서, 상기한 바와 같이 스위치 연결 관계 리스트와, IP 포워딩 테이블을 업데이트 한 후, 해당 다음 홉 스위치 IP 주소와 동일한 스위치 IP 주소가 있는 경우, 해당 IP 주소가 상기 IP테이블에도 있는지 확인한다.
그래서, 상기 확인결과, 해당 IP 주소가 상기 IP테이블에도 있는 경우에 상기 송신된 ICMP JOIN/PRUNE 메시지의 응답결과로부터 비인가자의 접속 여부를 확인해서 모니터링한다.
따라서, 이를 통해 IP테이블을 이용하여 등록된 IP의 감시 및 비인가자의 접속에 따른 모니터링 및 로그를 관리한다.
따라서, 이에 따라 비인가 IP의 접속시 알람 발생 및 로그 기록 등을 쉽게 확인하고, 이를 통해 전체적으로 운용의 편의성을 제공한다.
그리고, 또한 같은 IP대역의 PC 등에 해당 프로그램을 설치하여 IP테이블 관리를 하고, 이를 통해 별도의 관리서버가 필요없는 등의 효과를 얻는다.
다른 한편으로, 상기 개선된 네트워크 보안 방법은 비인가자 접속시 해당 IP의 경로추적을 사용하여 해당 IP대역의 경로를 확인한다.
이를 위해, 상기 개선된 네트워크 보안 방법은 먼저 네트워크 접속에 따른 발신지 IP와 링크된 고유 시그니처를 포함한 시그니처 정보를 세션별로 저장한다.
다음, 각각의 접속시 발생한 접속 세션을 수집하고, 상기 접속 세션으로부터 상기 시그니처 정보를 확인해서 저장한다.
이러한 상태에서, 전술한 모니터링결과, 비인가자가 접속한 것으로 확인된 경우에 상기 저장된 결과로부터 해당 시그니처 정보의 시그니처와 동일한 시그니처를 포함한 동일 또는 해당 시간대로부터 미리 설정된 인접시간대만큼 인접된 시그니처 정보를 추출한다.
그래서, 이러한 시그니처 정보와 링크된 최선 발신지 IP로 비인가자의 경로 추적을 한다.
따라서, 이를 통해 비인가자 접속시 해당 IP의 경로추적을 사용하여 해당 IP대역의 경로를 확인한다.
또 다른 한편으로는, 추가적으로 상기 개선된 네트워크 보안 방법은 이러한 경우, 전술한 네트워크 보안과 관련해서 보안을 수행할 특정 사용자 단말 등의 네트워크 정보를 인식할 수 있도록 하기도 한다.
구체적으로는, 이를 위해 상기 개선된 네트워크 보안 방법은 전술한 바대로 ICMP JOIN/PRUNE 메시지의 응답을 받은 경우, 즉, 연결 승인을 획득한 경우, 관련된 권한을 부여받아 해당 IP의 사용자 단말 또는 IP 에지 노드로부터의 이름(사용자 단말 이름 포함 예를 들어, PC 이름)과 맥 주소를 요청해서 확인함으로써, 네트워크 정보를 인식한다.
또 다른 한편으로는, 상기 개선된 네트워크 보안 방법은 IP공유모니터링 즉, IP를 공유하는 클라이언트의 수도 모니터링을 수행한다.
구체적으로는, 이러한 IP공유모니터링 동작은 입력되는 IP 패킷 내의 IP 패킷 식별코드를 검출하고, 상기 IP그룹별로 각각의 IP 어드레스마다 시간의 선후를 두고 연속되는 IP 패킷 식별코드를 서로 비교하여 식별코드 증가세트의 수를 산출한다.
예를 들어, 상기 산출 동작은 아래와 같이 이루어진다.
먼저 상기 IP 그룹 내의 IP 어드레스 별로 연속되는 식별코드를 서로 비교하여 식별코드 감소 이벤트가 발생될 때마다 해당 발생 시점을 기준으로 현재 식별코드와 직전 식별코드를 각각의 IP 어드레스에 할당된 IP 공유 리스트에 반영하여 식별코드 증가세트의 수를 산출한다.
상기 식별코드 증가세트의 수가 산출될 경우, 상기 IP 공유 리스트가 비어 있는 경우에는 상기 현재 식별코드 및/또는 직전의 식별코드를 신규 등록하고, 비어 있지 않는 경우에는 미리 수록된 각각의 식별코드와 비교한다.
상기 비교결과를 기반으로 값이 큰 식별코드 바로 직전의 식별코드를 현재 식별코드 및/또는 직전 식별코드로 갱신한다.
따라서, 이를 통해 IP를 공유하는 클라이언트의 수를 모니터링도 한다.
100 : 사용자 단말
110 : IP 공유사설 네트워크
200 : IP모니터링 장치
201 : 인터페이스부 202 : 프로토콜 분석부
203 : 제어부 204 : 데이터베이스
205 : 키신호 입력부

Claims (8)

  1. IP모니터링장치의 네트워크 보안 방법에 있어서,
    사용자 단말 또는 IP 에지 노드(edge node)의 ICMP IP 어드레스 프리픽스(address prefix)와 홈게이트웨이의 IP 어드레스 프리픽스의 차이에 해당하는 제 1 구분자 필드 값(discriminator field value)을 포함하는 BFD(Bidirectional Forwarding Detection) 메시지를 수신하는 제 1 단계;
    상기 BFD 메시지 내의 제1 구분자 필드 값에 따라 사용자 단말 또는 IP 에지 노드 간의 IP 세션이 킵얼라이브(keepalive) 상태인지 여부를 확인하는 제 2 단계;
    상기 확인결과, 킵얼라이브 상태인 경우 ICMP의 HELLO 메시지에 의해 스위치 인접지 연결 관계 리스트를 업데이트하고, 킵얼라이브 상태가 아닌 경우에는 스위치 인접지 연결 관계 리스트를 업데이트하지 않는 제 3 단계;
    상기 스위치 인접지 연결 관계 리스트를 업데이트한 경우에 ICMP의 JOIN/PRUNE 메시지에 의해 IP 포워딩 테이블(forwarding table)을 ICMP정보에 따라 미리 IP그룹으로 분류하여 업데이트하는 제 4 단계;
    상기 업데이트 된 IP 포워딩 테이블에 따라 실시간으로 2계층 네트워크 접속과 관련된 주소록을 업데이트하는 제 5 단계;
    2계층 교환 VLAN 영역에서 ICMP의 HELLO 메시지를 송신하고 ICMP의 JOIN/PRUNE 메시지의 다음 홉 (next hop) 스위치 IP 주소를 추출하는 제 6 단계;
    상기 추출된 다음 홉 스위치 IP 주소와 동일한 스위치 IP 주소를 상기 스위치 인접지 연결 관계 리스트에서 확인하는 제 7 단계; 및
    상기 확인 결과, 상기 추출된 다음 홉 스위치 IP 주소와 동일한 스위치 IP 주소가 있는 경우, ICMP JOIN/PRUNE 메시지를 라우터에 송신하며, 없는 경우에는 상기 IP 포워딩 테이블을 기반으로 2계층 교환 VLAN 내에서 ICMP JOIN/PRUNE 메시지를 송신하는 제 8 단계; 를 포함하는 것을 특징으로 하는 개선된 네트워크 보안 방법.
  2. 청구항 1에 있어서,
    상기 제 1 단계와는 별도로,
    관리자가 원하는 모니터링할 대상 IP 정보를 등록하는 IP테이블을 구성하는 제 1‘ 단계; 를 더 포함하고,

    상기 제 8 단계는,
    상기 추출된 다음 홉 스위치 IP 주소와 동일한 스위치 IP 주소가 있는 경우, 해당 IP 주소가 상기 IP테이블에도 있는지 확인하는 제 8-1 단계; 및
    상기 확인결과, 해당 IP 주소가 상기 IP테이블에도 있는 경우에 상기 송신된 ICMP JOIN/PRUNE 메시지의 응답결과로부터 비인가자의 접속 여부를 확인해서 모니터링하는 제 8-2 단계; 를 포함하는 것을 특징으로 하는 개선된 네트워크 보안 방법.
  3. 청구항 2에 있어서,
    상기 제 1‘ 단계 후에,
    네트워크 접속에 따른 발신지 IP와 링크된 고유 시그니처를 포함한 시그니처 정보를 세션별로 저장하는 제 1‘-1 단계; 및
    각각의 접속시 발생한 접속 세션을 수집하고, 상기 접속 세션으로부터 상기 시그니처 정보를 확인해서 저장하는 제 1‘-2 단계; 를 포함하고,

    상기 제 8-2 단계 후에,
    상기 모니터링결과, 비인가자가 접속한 것으로 확인된 경우에 상기 저장된 결과로부터 해당 시그니처 정보의 시그니처와 동일한 시그니처를 포함한 동일 또는 해당 시간대로부터 미리 설정된 인접시간대만큼 인접된 시그니처 정보를 추출하는 제 8-2-1 단계; 및
    상기 추출된 시그니처 정보와 링크된 최선 발신지 IP로 비인가자의 경로 추적을 하는 제 8-2-2 단계; 를 포함하는 것을 특징으로 하는 개선된 네트워크 보안 방법.
  4. 청구항 1에 있어서,
    상기 제 8 단계 후에,
    상기 송신된 ICMP JOIN/PRUNE 메시지의 응답을 받은 경우, 해당 IP의 사용자 단말 또는 IP 에지 노드로부터의 이름(사용자 단말 이름 포함)과 맥 주소를 요청해서 확인함으로써, 네트워크 정보를 인식하는 제 9 단계; 를 더 포함하는 것을 특징으로 하는 개선된 네트워크 보안 방법.
  5. 청구항 1에 있어서,
    상기 제 5 단계 후에,
    입력되는 IP 패킷 내의 IP 패킷 식별코드를 검출하고, 상기 IP그룹별로 각각의 IP 어드레스마다 시간의 선후를 두고 연속되는 IP 패킷 식별코드를 서로 비교하여 식별코드 증가세트의 수를 산출하는 제 6‘ 단계; 를 더 포함하는 것을 특징으로 하는 개선된 네트워크 보안 방법.
  6. 청구항 5에 있어서,
    상기 제 6‘ 단계는
    상기 IP 그룹 내의 IP 어드레스 별로 연속되는 식별코드를 서로 비교하여 식별코드 감소 이벤트가 발생될 때마다 해당 발생 시점을 기준으로 현재 식별코드와 직전 식별코드를 각각의 IP 어드레스에 할당된 IP 공유 리스트에 반영하여 식별코드 증가세트의 수를 산출하는 제 6‘-1 단계;
    상기 식별코드 증가세트의 수가 산출될 경우, 상기 IP 공유 리스트가 비어 있는 경우에는 상기 현재 식별코드 및/또는 직전의 식별코드를 신규 등록하고, 비어 있지 않는 경우에는 미리 수록된 각각의 식별코드와 비교하는 제 6‘-2 단계; 및
    상기 비교결과를 기반으로 값이 큰 식별코드 바로 직전의 식별코드를 현재 식별코드 및/또는 직전 식별코드로 갱신하는 제 6‘-3 단계; 를 포함하는 것을 특징으로 하는 개선된 네트워크 보안 방법.
  7. 청구항 1에 있어서,
    상기 스위치 인접지 연결 관계 리스트는
    다음의 스위치 IP 주소와, 스위치 인접 포트 번호, 스위치 2계층 교환 영역의 VLAN ID; 를 포함하는 것을 특징으로 하는 개선된 네트워크 보안 방법.
  8. 청구항 1에 있어서,
    상기 IP 포워딩 테이블은
    IP 주소와, IP 주소 소속 2계층 교환 영역의 VLAN ID, JOIN/PRUNE 메시지 소스 포트 리스트, 각 포트 유지 시간; 을 포함하는 것을 특징으로 하는 개선된 네트워크 보안 방법.
KR1020200135976A 2020-10-20 2020-10-20 개선된 네트워크 보안 방법 KR102318686B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200135976A KR102318686B1 (ko) 2020-10-20 2020-10-20 개선된 네트워크 보안 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200135976A KR102318686B1 (ko) 2020-10-20 2020-10-20 개선된 네트워크 보안 방법

Publications (1)

Publication Number Publication Date
KR102318686B1 true KR102318686B1 (ko) 2021-10-27

Family

ID=78287075

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200135976A KR102318686B1 (ko) 2020-10-20 2020-10-20 개선된 네트워크 보안 방법

Country Status (1)

Country Link
KR (1) KR102318686B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102518050B1 (ko) * 2021-12-14 2023-04-06 (주)에이치씨엔씨 마그네틱 센서를 이용한 용접부 결함 검출 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200033092A (ko) * 2018-09-19 2020-03-27 주식회사맥데이타 엣지 컴퓨팅 기반 네트워크 모니터링 방법, 장치 및 시스템
KR102123831B1 (ko) * 2018-12-31 2020-06-17 주식회사 케이아이씨텍 킵 얼라이브 트렁킹을 통한 외부망에서의 내부망 접속 방법 및 그 장치

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200033092A (ko) * 2018-09-19 2020-03-27 주식회사맥데이타 엣지 컴퓨팅 기반 네트워크 모니터링 방법, 장치 및 시스템
KR102123831B1 (ko) * 2018-12-31 2020-06-17 주식회사 케이아이씨텍 킵 얼라이브 트렁킹을 통한 외부망에서의 내부망 접속 방법 및 그 장치

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
자바를 사랑하는 lugi, High Availability 를 위한 VRRP와 keepalived (2) - keepalived. 2019.05.02. pp.1-11 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102518050B1 (ko) * 2021-12-14 2023-04-06 (주)에이치씨엔씨 마그네틱 센서를 이용한 용접부 결함 검출 방법

Similar Documents

Publication Publication Date Title
US10565001B2 (en) Distributed virtual network controller
DK2241058T3 (en) A method for configuring the ACLS on a network device on the basis of the flow information
EP2033370B1 (en) Service-centric communication network monitoring
EP2518940B1 (en) Automatic network topology detection and modeling
EP1999890B1 (en) Automated network congestion and trouble locator and corrector
CN105207853B (zh) 一种局域网监控管理方法
CN103314557A (zh) 网络系统、控制器、交换机和业务监控方法
EP2451125B1 (en) Method and system for realizing network topology discovery
CN109995582B (zh) 基于实时状态的资产设备管理系统及方法
CN102857388A (zh) 云探安全管理审计系统
US11343143B2 (en) Using a flow database to automatically configure network traffic visibility systems
CN102984031A (zh) 一种使编码设备安全接入监控网络的方法和装置
KR102318686B1 (ko) 개선된 네트워크 보안 방법
WO2020132949A1 (zh) 用于工业控制系统的监测方法、装置、系统和计算机可读介质
JP6151827B2 (ja) 監視制御装置、監視装置、監視システム、および監視プログラム
JP2006157313A (ja) 経路作成システム、経路作成装置及び経路作成プログラム
KR102092015B1 (ko) 소프트웨어 정의 네트워크에서 네트워크 장비를 인식하는 방법, 장치 및 컴퓨터 프로그램
JP2023500958A (ja) ネットワークサービス処理方法、システム及びゲートウェイデバイス
CN110896403A (zh) 一种应用防火墙架构
EP4213457A1 (en) Determining an organizational level network topology
JP5955720B2 (ja) 監視装置、監視方法および監視プログラム
KR101047152B1 (ko) 데이터 기반의 트래픽 관리 시스템 및 트래픽 관리 방법
EP3474489B1 (en) A method and a system to enable a (re-)configuration of a telecommunications network
CN115221020A (zh) 一种日志规则判定方法、系统、存储介质以及设备
KR20230086154A (ko) 네트워크 보안 모니터링 장치 및 방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant