KR102376493B1 - Nfv 기반 메시징 서비스 보안 제공 방법 및 이를 위한 시스템 - Google Patents

Nfv 기반 메시징 서비스 보안 제공 방법 및 이를 위한 시스템 Download PDF

Info

Publication number
KR102376493B1
KR102376493B1 KR1020170140918A KR20170140918A KR102376493B1 KR 102376493 B1 KR102376493 B1 KR 102376493B1 KR 1020170140918 A KR1020170140918 A KR 1020170140918A KR 20170140918 A KR20170140918 A KR 20170140918A KR 102376493 B1 KR102376493 B1 KR 102376493B1
Authority
KR
South Korea
Prior art keywords
security
messaging
event
messaging service
policy
Prior art date
Application number
KR1020170140918A
Other languages
English (en)
Other versions
KR20180046894A (ko
Inventor
안태진
김경열
김우태
이세희
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Publication of KR20180046894A publication Critical patent/KR20180046894A/ko
Application granted granted Critical
Publication of KR102376493B1 publication Critical patent/KR102376493B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • H04L51/12
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

네트워크 기능 가상화(NFV; Network Function Virtualization) 기반의 메시징(messaging) 서비스 보안 시스템은 메시징 서비스에 대한 보안 정책을 설정하고 관리하는 메시징 서비스 관리자(MSM; Messaging Service Manager); 상기 메시징 서비스 관리자를 통해 전달받은 보안 정책을 소정의 데이터 모델로 생성하여 네트워크 보안 기능(NSF; Network Security Function)에 전달하는 메시징 보안 컨트롤러(MSC; Messaging Security Controller); 및 상기 메시징 보안 컨트롤러로부터 전달 받은 데이터 모델에 기초하여, 상기 메시징 서비스에 대한 보안을 제공하는 적어도 하나의 네트워크 보안 기능을 포함할 수 있다.

Description

NFV 기반 메시징 서비스 보안 제공 방법 및 이를 위한 시스템{NFV based messaging service security providing method and system for the same}
본 발명은 4G/5G 통신 및 VoIP(Voice over IP) 통신에서의 메시징 서비스(messaging service, 예컨대, SMS/MMS/메신저 서비스 등)의 보안을 위한 방법 및 이를 위한 시스템에 관한 것으로서, 더욱 자세하게는 네트워크 기능 가상화(NFV, Network Function Virtualization) 환경에서 IP 기반 메시징 서비스의 악의적인 malware 및 APK(Andriod Application Package)의 설치 방지, 스팸 메시지 발신 방지 등의 보안 기술에 관한 것이다.
최근 들어, 스위치의 트래픽 포워딩 기능과 스위치의 제어 기능을 분리하여 통신 시스템을 효율적으로 운용하는 기술에 대한 표준화가 ONF(Open Networking Foundation), IETF(Internet Engineering Task Force), ETSI ISG NFV(Network Function Virtualization) 및 ITU-T 등을 중심으로 진행되고 있다.
SDN(Software Defined Network)은 라우터나 스위치 등의 기본 네트워크 장비에 관계없이 사용자가 통제 권한을 가지며, 별도의 소프트웨어 컨트롤러가 트래픽 흐름을 제어하는 사용자 중심의 네트워크를 의미한다. SDN의 기술 중의 하나인 오픈플로우(OpenFlow) 기술 표준화를 추진하고 있는 표준화 단체들 중 ONF는 하드웨어(스위치)와 컨트롤러(Network OS) 사이를 연결하는 인터페이스를 정의하고 있다. 이는 네트워크를 통해 데이터 패킷을 어떻게 전달할 것인지 제어하기 위한 기능(Control Plane)을 물리적 네트워크와 분리하여 데이터 전달 기능(Data Plane)과 상호작용 하기 위한 프로토콜이다. IETF는 NFV(Network Functions Virtualization)를 기본 인프라로 이용하는 네트워크 환경에서 네트워크 보안 서비스(Network Security Service)를 제공하기 위한 표준 인터페이스를 정의하고 구현하는 워킹 그룹을 만들고, 네트워크 서비스 인프라 구축 및 운영 비용을 절감하기 위한 네트워크 기능 가상화인 NFV 연구 및 표준화를 활발히 진행되고 있다.
한편, IP 기반 메시징 서비스에 대해 상기와 같은 SDN/NFV 기반의 환경에서의 유연하고 중앙 집중적인 보안 처리 방법 및 이를 위한 보안 서비스 시스템의 구조에 대해서는 아직 구체화되고 있지 않다.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, NFV 환경에서의 메시징 서비스에 대한 보안을 제공하는 방법을 제공한다.
상기와 같은 문제점을 해결하기 위한 본 발명의 다른 목적은, NFV 환경에서의 메시징 서비스에 대한 보안을 제공하는 시스템을 제공한다.
상기와 같은 문제점을 해결하기 위한 본 발명의 또 다른 목적은, NFV 환경에서의 메시징 서비스에 대한 보안을 제공하는 메시징 보안 컨트롤러의 동작 방법을 제공한다.
상술한 본 발명의 목적을 달성하기 위한 본 발명의 일 측면에 따른 네트워크 기능 가상화(NFV; Network Function Virtualization) 기반의 메시징(messaging) 서비스 보안 시스템은 메시징 서비스에 대한 보안 정책을 설정하고 관리하는 메시징 서비스 관리자(MSM; Messaging Service Manager); 상기 메시징 서비스 관리자를 통해 전달받은 보안 정책을 소정의 데이터 모델로 생성하여 네트워크 보안 기능(NSF; Network Security Function)에 전달하는 메시징 보안 컨트롤러(MSC; Messaging Security Controller); 및 상기 메시징 보안 컨트롤러로부터 전달 받은 데이터 모델에 기초하여, 상기 메시징 서비스에 대한 보안을 제공하는 적어도 하나의 네트워크 보안 기능을 포함하여 구성될 수 있다.
상기 데이터 모델은, 조건의 충족여부 판단과 동작 수행의 대상이 되는 사건(event); 네트워크 장치를 통해 송수신되는 패킷 또는 특정 플로우에 속하는 패킷에 대해 특정 동작(action)의 적용 여부를 판단하기 위한 조건(condition); 및 상기 조건이 만족되었을 때 수행될 동작(action)을 정의하는 정보를 포함할 수 있다.
상기 사건은 소정 상황의 발생 시각과 관련된 시간 이벤트(time event) 및 사용자의 행위에 의해서 유발된 상황과 관련된 사용자 동작(user action)을 포함할 수 있다.
상기 조건은 단일 패킷의 내용으로부터 판단할 수 있는 패킷 값 조건 및 세션(session) 또는 플로우(flow) 등을 통하여 판단할 수 있는 상황(context) 조건을 포함할 수 있다.
상기 동작은 트래픽 인입(ingress) 제어 동작, 트래픽 출력(egress) 제어 동작, 프로파일 또는 시그니춰에 기반한 응용동작(advanced action), 및 통계(statistics) 동작 중 적어도 하나를 포함할 수 있다.
상기 네트워크 보안 기능은, 적어도 하나의 SDN 스위치를 관리하는 적어도 하나의 SDN 컨트롤러에 연결되며, 상기 메시징 보안 컨트롤러로부터 전달받은 데이터 모델을, 상기 적어도 하나의 SDN 컨트롤러의 API 호출 또는 연동 규격에 맞는 메시지 변환에 의하여 상기 적어도 하나의 SDN 컨트롤러로 전달할 수 있다.
상기 메시징 보안 컨트롤러는, 상기 메시징 서비스 관리자로부터 전달 받은 보안 정책을 상기 소정의 데이터 모델로 생성하여, 상기 네트워크 보안 기능으로 전달하는 정책 관리부(policy manager); 및 상기 정책 관리부로부터 전달받은 이벤트 관련 정보에 기초하여 상기 네트워크 보안 기능으로부터 통보 받아야 하는 이벤트와 통계 정보를 관리하는 이벤트 관리부(event manager)를 포함할 수 있다.
상기 네트워크 보안 기능은, 상기 메시징 보안 컨트롤러로부터 전달받은 데이터 모델에 기초하여 유입된 메시지에 대한 동작을 수행하고, 유입된 메시지의 추가 분석이 필요한 경우 유입된 메시지를 상기 메시징 보안 컨트롤러로 전달하는 정책 수행부(policy enforcer); 상기 정책 수행부에서 전달받은 이벤트 관련 정보에 기초하여 이벤트 모니터링을 수행하고, 이벤트의 발생을 상기 정책 수행부로 통보하는 이벤트 통보부(event notifier); 및 상기 이벤트 통보부에서 요청한 조건을 만족하는 이벤트에 대한 통계 생성/관리/통보 기능을 수행하는 통계 처리부(statistics processor)를 포함할 수 있다.
상기 네트워크 보안 기능은 독립적인 하드웨어 서버로 구현되거나, 클라우드(cloud) 환경의 가상 머신(VM; Virtual Machine) 또는 가상 머신 상에 구현될 수 있다.
상술한 본 발명의 다른 목적을 달성하기 위한 본 발명의 일 측면에 따른 네트워크 기능 가상화(NFV; Network Function Virtualization) 기반의 메시징(messaging) 서비스 보안 처리 방법은 메시징 서비스 관리자(MSM; Messaging Service Manager)가 메시징 서비스에 대한 보안 정책을 생성하여 메시징 보안 컨트롤러(MSC; Messaging Security Controller)에 전달하는 단계; 상기 메시징 보안 컨트롤러가 상기 보안 정책을 수신하고, 상기 보안 정책을 소정의 데이터 모델로 생성하여 적어도 하나의 네트워크 보안 기능(NSF; Network Security Function)에 전달하는 단계; 및 상기 적어도 하나의 네트워크 보안 기능이, 상기 전달받은 데이터 모델에 기초하여, 상기 메시징 서비스에 대한 보안을 제공하는 단계를 포함하여 구성될 수 있다.
상기 데이터 모델은, 조건의 충족여부 판단과 동작 수행의 대상이 되는 사건(event); 네트워크 장치를 통해 송수신되는 패킷 또는 특정 플로우에 속하는 패킷에 대해 특정 동작(action)의 적용 여부를 판단하기 위한 조건(condition); 및 상기 조건이 만족되었을 때 수행될 동작(action)을 정의하는 정보를 포함할 수 있다.
상기 사건은 소정 상황의 발생 시각과 관련된 시간 이벤트(time event) 및 사용자의 행위에 의해서 유발된 상황과 관련된 사용자 동작(user action)을 포함할 수 있다.
상기 조건은 단일 패킷의 내용으로부터 판단할 수 있는 패킷 값 조건 및 세션(session) 또는 플로우(flow) 등을 통하여 판단할 수 있는 상황(context) 조건을 포함할 수 있다.
상기 동작은 트래픽 인입(ingress) 제어 동작, 트래픽 출력(egress) 제어 동작, 프로파일 또는 시그니춰에 기반한 응용동작(advanced action), 및 통계(statistics) 동작 중 적어도 하나를 포함할 수 있다.
상기 네트워크 보안 기능은, 적어도 하나의 SDN 스위치를 관리하는 적어도 하나의 SDN 컨트롤러에 연결되며, 상기 메시징 보안 컨트롤러로부터 전달받은 데이터 모델을, 상기 적어도 하나의 SDN 컨트롤러의 API 호출 또는 연동 규격에 맞는 메시지 변환에 의하여 상기 적어도 하나의 SDN 컨트롤러로 전달할 수 있다.
상술한 본 발명의 또 다른 목적을 달성하기 위한 본 발명의 일 측면에 따른 네트워크 기능 가상화(NFV; Network Function Virtualization) 기반의 메시징(messaging) 서비스 보안 시스템에서, 메시징 서비스 관리자(MSM; Messaging Service Manager) 및 적어도 하나의 네트워크 보안 기능(NSF; Network Security Function)과 연동하는 메시징 보안 컨트롤러(MSC; Messaging Security Controller)의 동작 방법은 메시징 서비스에 대한 보안 정책을 설정하고 관리하는 상기 메시징 서비스 관리자로부터 상기 보안 정책을 수신하는 단계; 상기 보안 정책을 소정의 데이터 모델로 생성하여 상기 적어도 하나의 네트워크 보안 기능으로 전달하는 단계; 및 상기 적어도 하나의 네트워크 보안 기능으로부터 상기 소정의 데이터 모델에 기초한 동작의 수행 완료를 통보 받는 단계를 포함하여 구성될 수 있다.
상기 데이터 모델은, 조건의 충족여부 판단과 동작 수행의 대상이 되는 사건(event); 네트워크 장치를 통해 송수신되는 패킷 또는 특정 플로우에 속하는 패킷에 대해 특정 동작(action)의 적용 여부를 판단하기 위한 조건(condition); 및 상기 조건이 만족되었을 때 수행될 동작(action)을 정의하는 정보를 포함할 수 있다.
상기 사건은 소정 상황의 발생 시각과 관련된 시간 이벤트(time event) 및 사용자의 행위에 의해서 유발된 상황과 관련된 사용자 동작(user action)을 포함할 수 있다.
상기 조건은 단일 패킷의 내용으로부터 판단할 수 있는 패킷 값 조건 및 세션(session) 또는 플로우(flow) 등을 통하여 판단할 수 있는 상황(context) 조건을 포함할 수 있다.
상기 동작은 트래픽 인입(ingress) 제어 동작, 트래픽 출력(egress) 제어 동작, 프로파일 또는 시그니춰에 기반한 응용동작(advanced action), 및 통계(statistics) 동작 중 적어도 하나를 포함할 수 있다.
상기와 같은 본 발명에 따른 메시징 서비스 보안 제공 방법 및 시스템은 SDN/NFV 기반의 정보/데이터 모델(Information/data model)을 정의하여, 4G/5G EPC(evolved packet network)에서 IP 기반 메시징 서비스가 불법/악의적으로 사용되는 것을 탐지하여 차단할 수 있다.
또한, 본 발명에 따른 메시징 서비스 보안 제공 방법 및 시스템은 기존의 하드웨어(hardware) 기반 보안 장비가 아닌 소프트웨어(software)기반의 NFV 환경에서 동적으로 구성되는 데이터 모델을 통하여 서비스를 제공하기 때문에, 저비용으로 중앙 집중화된 유연한 서비스 제공이 가능한 효과를 가질 수 있다.
도 1은 본 발명의 일 실시예에 따른 NFV 기반 메시징 서비스 보안 시스템의 구성을 나타낸 블록도이다.
도 2는 본 발명의 일 실시예에 따른 NFV 기반 메시징 보안 컨트롤러의 구체적인 구성을 설명하기 위한 블록도이다.
도 3은 본 발명의 일 실시예에 따른 NFV 기반 네트워크 보안 기능의 구체적인 구성을 설명하기 위한 블록도이다.
도 4는 본 발명의 일 실시예에 따른 NFV 기반 메시징 서비스 보안 정책 데이터 모델을 설명하기 위한 개념도이다.
도 5는 도 4에서 예시한 본 발명의 일 실시예에 따른 데이터 모델의 세부적인 요소들의 예시를 설명하기 위한 개념도이다.
도 6은 본 발명의 일 실시예에 따른 메시징 서비스 보안 시스템에서 초기 메시징 보안 정책을 적용하는 절차를 설명하기 위한 순서도이다.
도 7은 본 발명의 일 실시예에 따른 메시징 서비스 보안 시스템에서 스팸 메시지 차단 정책을 설정하는 절차를 설명하기 위한 순서도이다.
도 8은 본 발명의 일 실시예에 따른 메시징 서비스 보안 시스템에서 스팸 메시지 차단 정책 수행 절차의 일 실시예를 설명하기 위한 순서도이다.
도 9는 본 발명의 일 실시예에 따른 메시징 서비스 보안 시스템에서 스팸 메시지 차단 정책 수행 절차의 다른 실시예를 설명하기 위한 순서도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
또한, 명세서에 기재된 '컨트롤러(controller)'는 트래픽의 흐름을 제어하기 위해 관련 구성 요소(예를 들면, 스위치, 라우터 등)를 제어하는 기능 요소(entity)를 의미하는 것으로, 물리적인 구현 형태나 구현 위치 등에 한정되지 않는다. 예를 들어, 컨트롤러는 ONF나, IETF, ETSI 및/또는 ITU-T 등에서 정의하고 있는 컨트롤러 기능 요소(entity)를 의미할 수 있다.
또한, 명세서에 기재된 '스위치'는 트래픽(또는 패킷)을 실질적으로 포워딩하거나 스위칭 또는 라우팅하는 기능 요소를 의미하는 것으로, ONF나, IETF, ETSI 및/또는 ITU-T 등에서 정의하고 있는 스위치, 라우터, 스위치 요소, 라우터 요소, 포워딩 요소 등을 의미할 수 있다.
또한, 명세서에 기재한 VoIP 서비스는 상기 유선/Wi-Fi/VoLTE 등 다양한 IP 망 기반의 음성/영상 통화 서비스를 통칭한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 도면을 참조로 하여 본 발명의 실시예에 대하여 상세히 설명한다.
도 1은 본 발명의 일 실시예에 따른 NFV 기반 메시징 서비스 보안 시스템의 구성을 나타낸 블록도이다.
도 1에 도시된 바와 같이, 본 발명의 일 실시예에 따른 메시징 서비스 보안 시스템(100)은 메시징 서비스 관리자(MSM(Messaging Service Manager), 110), 메시징 보안 컨트롤러(MSC(Messaging Security Controller), 120), 및 적어도 하나의 네트워크 보안 기능(NSF(Network Security Function), 130)을 포함하여 구성될 수 있다.
메시징 서비스 보안 시스템(100)에는 적어도 하나의 네트워크 보안 기능(NSF)이 포함되므로, 도 1에서는 예시적으로 N(N은 자연수) 개의 네트워크 보안 기능(130-1, ..., 130-N)이 도시되어 있다. 하나의 메시징 보안 컨트롤러는 물리적/지역적/논리적으로 분산되어 있는 적어도 하나의 네트워크 보안 기능과 연동할 수 있다.
이때, 메시징 서비스 보안 시스템(100)은 유선/WiFi VoIP 서비스망(210), 코어 망(core network, 220), 무선 VoLTE 서비스망(230)을 모두 포괄하여 적용될 수 있다. 또한, 각각의 서비스 망은 복수의 스위치(network device)를 포함할 수 있다. 또한, 유선/Wi-Fi VoIP 서비스 망(210)과 무선 VoLTE 서비스 망(230)은 코어 망(220)과 각각 연결된다.
한편, 본 발명의 '메시징 서비스'는 4G/5G EPC(evolved packet core) 또는 vEPC(virtualized EPC) 내에 존재하는 MME(Mobility Management Entity), PGW(PDN(Packet Data Network)-gateway), SGW(Serving gateway), HSS(Home Subscriber Server) 등을 통해 제공되는 유선 및 무선 SMS(Short Message Service), MMS(Multimedia Message Service), 메신저(Messenger) 서비스 등을 모두 포괄한다.
먼저, 메시징 서비스 관리자(110)는 운용 관리 기능을 제공하는 구성요소로서, 메시징 서비스에 대한 보안 정책을 설정하는 운용자 관리 프로그램이다.
예컨대, 메시징 서비스 관리자(110)는 메시징 서비스 보안을 위해 탐지 및 차단해야 할 메시지 문구, 멀웨어(malware)를 설치하게 하는 URL 등 접속을 차단해야 하는 URL 정보, 블랙리스트(blacklist) 스팸발신번호 등과 같은 메시징 보안 프로파일 정보와, 신규 블랙리스트 스팸 발신번호 및 의심 URL을 추출하기 위한 통계 관련 정책 정보(예컨대, 지정 주기시간 및 문자발송 임계치, 특정발신번호에서 메시지를 보낸 착신번호 누적 개수 등)를 메시징 서비스 컨트롤러(120)로 전달한다.
상기 메시징 서비스 관리자(110)는 사용자 또는 관리자(administrator)가 메시징 서비스에 대해 필요한 보안 서비스 정책 및/또는 제어 조건을 설정하고 관리하는 어플리케이션 게이트웨이(application gateway)의 역할을 수행할 수 있다. 예를 들어, 사용자 또는 관리자는 사용자 인터페이스(user interface) 화면 또는 커맨드 라인 인터페이스(CLI, command-line interface) 등을 통해 이용하고자 하는 메시징 서비스에 대한 보안 정책을 상기 메시징 서비스 관리자(110)를 통해 설정할 수 있다.
다음으로, 메시징 보안 컨트롤러(120)는, 메시징 서비스 관리자(110)를 통해 전달받은 보안 정책을 적어도 하나의 네트워크 보안 기능들(130-1, ..., 130-N)이 SDN 컨트롤러들(140-1, ..., 140-M) 및 SDN 컨트롤러들의 제어를 받는 스위치들에 적용될 수 있도록 사전 정의된 데이터 모델(data model)을 생성하여 적어도 하나의 네트워크 보안 기능들로 전달하는 역할을 수행한다.
이 데이터 모델에는 네트워크 디바이스(스위치 등)를 통해 송수신되는 패킷 및 이 특정 플로우에 속하는 패킷에 대해 특정 동작을 적용하기 위한 비교 조건 및 그 조건이 만족되었을 때 해당 동작을 어떻게 수행할지에 대한 동작 절차가 정의되어 있다. 데이터 모델에 대해서는, 도 4 및 도 5를 참조하여 후술된다.
마지막으로, 적어도 하나의 네트워크 보안 기능(130)은 4G/5G EPC 또는 vEPC의 메시징 서비스에 대한 실제적인 보안 기능을 제공하는 구성요소이다.
즉, 네트워크 보안 기능은 메시징 보안 컨트롤러(120)로부터 전달받은 데이터 모델을 해석하여 실제적인 메시징 보안 서비스를 제공한다. 네트워크 보안 기능들 각각은 메시징 보안 컨트롤러(120)로부터 전달 받은 데이터 모델을 SDN 컨트롤러(140-1, ..., 140-M)의 API(application programming interface) 호출 또는 둘 간의 연동 규격에 맞는 메시지 형태로의 변환 등의 방법으로 SDN 컨트롤러(140-1, ..., 140-M)로 전달할 수 있다.
한편, 네트워크 보안 기능(130)은 독립적인 하드웨어 서버에 구현될 수도 있고, 클라우드(cloud) 환경의 가상 머신(VM, Virtual Machine)으로 또는 가상 머신 상에 구현될 수도 있다. 도 1에서 예시된 바와 같이, 하나의 네트워크 보안 기능은 1개 이상의 SDN 컨트롤러들과 연결될 수 있다.
SDN 컨트롤러(140-1, ..., 140-M)는 트래픽의 흐름을 제어하기 위해 관련 구성 요소(예를 들면, 스위치, 라우터 등)를 제어하는 기능 요소(functional element)를 의미하는 것으로, ONF나, IETF, ETSI 및/또는 ITU-T 등에서 정의하고 있는 컨트롤러 기능 요소(controller functional element) 등 다양한 종류의 컨트롤러를 의미할 수 있다.
스위치(network device)는 트래픽(또는 패킷 또는 플로우)을 실질적으로 포워딩하거나 스위칭 또는 라우팅하는 기능 요소를 의미하는 것으로, ONF나, IETF, ETSI 및/또는 ITU-T 등에서 정의하고 있는 스위치, 라우터, 스위치 요소, 라우터 요소, 포워딩 요소 등을 의미할 수 있다.
도 2는 본 발명의 일 실시예에 따른 NFV 기반 메시징 보안 컨트롤러의 구체적인 구성을 설명하기 위한 블록도이다.
도 2를 참조하면, 메시징 보안 컨트롤러(120)는 정책 관리부(policy manager; 121)와 이벤트 관리부(event manager; 122)로 구성될 수 있다.
정책 관리부(121)는 메시징 서비스 관리자(110)로부터 전달받은 정책 정보를 네트워크 보안 기능(130)이 이해할 수 있는 이벤트(event), 조건(condition), 동작(action)으로 구분하며, 이들 중 이벤트 관련 정보는 이벤트 관리부(122)로 전달하는 역할을 수행할 수 있다.
또한, 정책 관리부(121)는 후술될 네트워크 보안 기능의 정책 수행부(131)로 운용자가 정의한(즉, 메시징 서비스 관리자로부터 전달받은) 메시징 보안 정책을 데이터 모델의 형태로 전달한다.
이벤트 관리부(122)는 정책 관리부(121)에서 전달받은 이벤트 관련 정보에 따라, 설정된 조건이 만족될 경우 네트워크 보안 기능으로부터 통보 받을 이벤트에 대한 정보와 통계 정보를 관리한다.
도 3은 본 발명의 일 실시예에 따른 NFV 기반 네트워크 보안 기능의 구체적인 구성을 설명하기 위한 블록도이다.
도 3을 참조하면, 네트워크 보안 기능(130)은 정책 수행부(policy enforcer; 131), 이벤트 통보부(event notifier; 132), 및 통계 처리부(statistics processor; 133)로 구성될 수 있다.
정책 수행부(131)는 메시징 보안 컨트롤러(120)로부터 데이터 모델의 형태로 전달받은 정책(예컨대, 스팸 탐지, 통보, 차단 등)에 기초하여, 유입되는 메시지를 차단하거나, 추가적인 분석이 필요한 경우 유입된 메시징 패킷을 메시징 보안 컨트롤러(120)으로 전달하는 기능을 수행한다.
또한. 메시징 보안 컨트롤러(110)의 정책 관리부(121)로부터 전달한 프로파일(차단될 URL, APK, 또는 탐지할 시그니춰(signature) 문구 등)에 따른 정책을 수행한다.
이벤트 통보부(132)는 정책 수행부(131)에서 전달받은 이벤트 관련 정보에 따라, 해당 이벤트에 대한 모니터링을 수행하고, 이벤트의 조건이 충족될 경우(즉, 이벤트가 발생될 경우) 이를 정책 수행부(132)로 통보하는 역할을 수행한다.
마지막으로, 통계 처리부(133)는 이벤트 통보부(132)에서 요청한 조건을 만족하는 이벤트에 대한 통계 생성/관리 및 통보 기능을 수행한다.
도 4는 본 발명의 일 실시예에 따른 NFV 기반 메시징 서비스 보안 정책 데이터 모델을 설명하기 위한 개념도이다.
도 4를 참조하면, 메시징 서비스 보안 정책 데이터 모델은 정책(policy; 310), 규칙(rule, 320), 사건(event, 330), 조건(condition, 340), 및 동작(action, 350)의 5가지 정보를 포함하여 구성될 수 있다.
기본적으로는, 상기 5가지 정보를 포함하여 데이터 모델이 구성될 수 있으나, 필요 유무에 따라서는 일부 정보가 생략되어 구성될 수도 있다.
정책(310)은 서비스 레벨에서의 보안 기능을 정의한다. 일반적으로 정책은 IPS(Intrusion Prevention System), IDS(Intrusion Detection System), 웹 필터, IP 통화 보안, 메시징 보안 등 단위 보안 서비스가 해당된다. 본 발명의 일 실시예에서는 유/무선 메시징 서비스에 대한 보안 정책이 이에 해당된다.
규칙(320)은 특정 정책을 탐지하여 적용하기 위한 위한 대상 사건, 비교/판단 조건 및 조건이 만족되었을 때 해당 트래픽, 플로우에 대한 처리 동작을 정의한다. 본 발명의 일 실시예에서는 원격지에서 문자를 발송하게 하는 의심 URL로의 접근 탐지 및 차단, 멀웨어(malware) 또는 랜섬웨어(ransomware) 등이 설치될 위험이 높은 APK(Android application package)의 다운로드 탐지 및 차단, 메시지 과다 발신 스패머(spammer) 단말 탐지 및 차단 등이 규칙이 될 수 있다. 1개의 정책에는 1개 이상의 규칙을 정의할 수 있다.
규칙(320)은 사건(330), 조건(340), 동작(350)으로 구성될 수 있다.
사건(330)은 조건의 충족여부 판단과 동작 수행의 대상 또는 상황을 의미한다. 예를 들면, 메시지의 발신과 착신, APK 다운로드 등의 상황의 발생을 의미할 수 있다. 본 발명의 일 실시예에 따른 사건(330)의 구체적인 예시는 도 5를 통하여 후술된다.
조건(340)은 특정 이벤트가 발생될 경우 동작을 수행할지를 판단하기 위한 1개 이상의 비교 집합이다. 즉, 조건은 네트워크 보안 기능(130)에 의해서 관리되는 네트워크 장치를 통해 송수신되는 패킷 또는 특정 플로우에 속하는 패킷에 대해 특정 동작(action)의 적용 여부를 판단하기 위한 판단 기준을 의미할 수 있다. 조건은 패킷 값 조건, 상황(context 등) 조건, 통계 조건으로 구분될 수 있으며, 본 발명의 일 실시예에 따른 조건(340)의 구체적인 예시는 도 5를 통하여 후술된다.
동작(350)은 제어 동작으로서, 트래픽 인입(ingress) 제어 동작, 트래픽 출력(egress) 제어 동작, 트래픽 인입/출력 제어 이외의 응용동작(advanced action), 및 통계(statistics) 동작을 포함할 수 있다. 본 발명의 일 실시예에 따른 동작(350)의 구체적인 예시 또한 도 5를 통하여 후술된다.
도 5는 도 4에서 예시한 본 발명의 일 실시예에 따른 데이터 모델의 세부적인 정보 요소들의 예시를 설명하기 위한 개념도이다.
도 5를 참조하면, 사건(330)은 소정 상황의 발생 시각과 관련된 시간 이벤트(time event, 331)와 사용자의 행위에 의해서 유발된 상황과 관련된 사용자 동작(user action, 332)을 포함할 수 있다. 시간 이벤트(331)의 예시로는 메시지 발신/착신 시각이 포함되며, 사용자 동작(332)의 예시로는 유무선 단말에서의 메시지 발신/착신, 특정 URL에 대한 접근(access), APK 다운로드 등의 동작이 포함된다.
또한, 조건(340)은 패킷 값 조건(packet content values, 341) 및 상황 조건(context values, 342)을 포함할 수 있다. 또한, 상기 조건(340)은 통계 조건(statistics, 343)를 추가로 포함할 수 있다.
패킷 값 조건(341)은 단일 패킷의 내용으로부터 판단할 수 있는 조건을 의미하며, 예를 들어, 단말의 MAC(Medium Access Control) 주소, 가상랜(VLAN) 정보, 소스(source) 및 목적지(destination) IP 주소, 소스(source) 및 목적지(destination) 포트(port) 정보, 패킷 헤더(header)/페이로드(payload) 값 등 패킷에서 추출하여 비교할 수 있는 TCP/IP의 Layer2부터 Layer7까지의 조건들이 해당한다. 본 발명의 일 실시예에서는 메시지 발신/착신 단말 번호, 접근 URL, 다운로드한 APK명, 메시지 내 특정 문구 등이 패킷 값 조건에 포함된다.
상황 조건(342)은 세션(session) 또는 플로우(flow) 등에서 판단할 수 있는 인증(authentication) 상태, 세션 상태 등의 상황에 관한 조건이다.
통계 조건(343)은 반복되는 이벤트에 대한 모니터링 및 임계값 초과 발생 이벤트에 대한 동작(action)을 제어하기 위한 조건이다. 본 발명의 실시예에서는 메시지 발신 또는 착신 누적 수 통계, 특정 URL로의 접근 시도, 특정 APK 다운로드 횟수 등의 통계 조건이 사용된다.
마지막으로, 동작(350)은 트래픽 인입(ingress) 제어 동작(351), 트래픽 출력(egress) 제어 동작(352), 트래픽 인입/출력 제어 이외의 응용동작(advanced action, 353), 및 통계(statistics) 동작(354)을 포함할 수 있다.
트래픽 인입 제어 동작(351)은 조건이 만족되었을 경우, 해당 패킷을 허용하는 동작, 차단하는 동작, 및 미러링(mirroring)하는 동작을 포함할 수 있다.
트래픽 출력 제어 동작(352)는 조건이 만족되었을 경우, 해당 패킷을 출력하거나, 해당 패킷을 복사하여 메시징 보안 컨트롤러(120)로 전달하거나, 원래의 목적지가 아닌 다른 목적지로 우회시키는 동작을 포함할 수 있다.
응용동작(353)은 트래픽의 인입/출력 제어 이외의 보안 서비스를 제어하는 정책 동작이다. 메시징 보안 프로파일, 시그니춰(signature), Anti-virus file 등에 기반한 동작이 이에 해당된다. 본 발명의 실시예에서 메시징 보안 프로파일에 설정된 정책은 네트워크 보안 기능에 유입되는 모든 트래픽에 대해 가장 우선적으로 적용되는 정책이다. 따라서, 메시징 보안 프로파일에 등록된 접근차단 URL로의 접근 시도, 다운로드 금지 APK의 다운로드 시도시에는 해당 기능을 네트워크 보안 기능에서 차단하게 된다. 또한 시그니춰 프로파일에 지정된 조건을 만족하는 패킷 또는 플로우(flow)가 발생될 경우 해당 패킷 및 플로우(flow)는 차단된다. 프로파일에 의해 제어된 이벤트에 대해서는 메시징 보안 컨트롤러(120) 및 메시징 서비스 관리자(110)으로 통보된다.
마지막으로, 통계 동작(354)는 특정 이벤트가 반복하여 발생할 경우 제어 정책을 적용하기 위한 임계값 설정 및 모니터링을 위한 통계 관리 기능이다.
이하에서는, 상술된 메시징 서비스 보안 시스템에서, 초기 메시징 서비스 보안 정책을 설정하는 일반적인 절차(도 6), 구체적인 예시로서 스팸 메시지 차단 정책을 설정하는 실시예(도 7), 및 설정된 스팸 메시지 차단 정책에 따라서 스팸 메시지 차단 정책이 실행되는 두 가지 실시예(도 8, 도9)가 설명된다.
도 6은 본 발명의 일 실시예에 따른 메시징 서비스 보안 시스템에서 초기 메시징 보안 정책을 적용하는 절차를 설명하기 위한 순서도이다.
도 6을 참조하면, 메시징 서비스에 대한 보안 정책을 적용하는 절차는 아래의 순서에 따라 수행될 수 있다.
먼저, 메시징 서비스 관리자(110)는 운용자가 설정한 메시징 보안 정책을 메시징 보안 컨트롤러(120)로 전달한다(S610). 메시징 보안 정책은 차단 또는 통보해야 할 프로파일 정보와 향후의 신규 프로파일 추가를 위한 통계 생성 및 모니터링과 관련된 정보를 포함할 수 있다. 하기 표 1은 메시징 서비스에 대한 보안 프로파일에 대한 예시로서, 차단되어야 할 URL과 APK의 파일명에 대한 정보 프로파일의 예시이다.
구분 비고
URL http://mmsget.org/9560.html
hxxp://mmsrus.ru/9560.html
hxxp://mmscom.ru/9560.html
Download APK APK1
APK2
APK3
APK4
...
하기 표 2는 메시징 서비스에 대한 시그니춰 프로파일에 대한 예시로서, 차단되어야 할 메시지 내 문구, 차단 발신 번호와 같이 초기 시그니춰(signature) 프로파일의 예시이다.
구분 패킷 내 위치 지정
메시지 내 문구 성인용품명1 70byte~100byte
성인용품명2 100 byte ~
도박사이트명1 ~100byte
도박사이트명2 100byte~150byte
차단 발신 번호 010-1234-5678 From or Calling Party No.
010-2345-6789 From or Calling Party No.
...
하기 표 3은 메시징 서비스에 대한 통계 정책에 대한 예시로서, 발신번호 별 메시지 발신 횟수를 분, 시간, 단위로 모니터링하기 위한 통계 조건을 설정하기 위한 정책 정보의 예시이다.
구분 임계치
발신번호 별 분당 메시지 발신 횟수 30
발신번호 별 시간당 메시지 발신 횟수 1000
발신번호 별 일일 메시지 발신 횟수 20000
메시징 보안 컨트롤러(120)의 정책 관리부(121)는 메시징 서비스 관리자(110)로부터 전달받은 메시징 보안 정책을 데이터 모델 형태로 생성하고(S620), 정책 수행을 위해 이벤트 모니터링이 필요한 경우는 모니터링 될 이벤트의 관리를 위한 이벤트 정보를 이벤트 관리부(122)로 전달하여 이벤트 정보의 생성을 요청한다(S630).
또한, 메시징 보안 컨트롤러(120)의 정책 관리부(121)는 설정된 메시징 보안 정책이 실제로 네트워크 보안 기능(130)에서 수행될 수 있도록 생성된 데이터 모델을 네트워크 보안 기능(130)의 정책 수행부(131)로 전달한다(S640).
한편, 메시징 보안 컨트롤러(120)의 이벤트 관리부(122)는 메시징 보안 컨트롤러(120)의 정책 관리부(121)에서 전달받은 데이터 모델의 적용을 위한 이벤트를 생성한다(S650).
여기에서, 단계(S640)와 단계(S650)는 수행의 우선순위를 가지지 않으며, 단계(S650)는 단계(S630)의 요청에 따라 단계(S640)와는 무관하게 병행적으로 수행될 수 있다.
네트워크 보안 기능(130)의 정책 수행부(131)는 메시징 보안 컨트롤러(120)의 정책 관리부(121)에서 전달받은 데이터 모델로부터 통보(notification) 받아야 하는 이벤트 조건을 추출하여 이벤트 통보부(132)로 해당 조건을 전달한다(S660). 본 발명의 실시예에서는 메시지 발/착신지 IP/port, 단말 전화 번호, 접근 URL, APK명, 메시지문구 및 발신번호 별 발착신 메시지 통계 등의 조건이 전달될 수 있다.
네트워크 보안 기능(130)의 이벤트 통보부(132)는 네트워크 보안 기능(130) 내에서 유출입되는(ingress/egress) 패킷 및 플로우에 대해 메시징 보안 컨트롤러(120)의 이벤트 관리부(122)로부터 정책 수행부(131)를 거쳐 전달된 조건이 만족되는 패킷 및 플로우의 발생 여부를 모니터링하며(S670), 특정 조건을 만족하는 패킷 및 플로우가 발생할 경우 정책 수행부(131)로 통보한다(S671).
한편, 네트워크 보안 기능(130)의 이벤트 통보부(132)는 정책 수행부(131)에서 전달받은 이벤트 조건 중 통계 조건에 대해 통계 처리부(133)로 해당 통계 생성을 요청한다(S680). 통계 처리부(133)는 이벤트 통보부(132)에서 전달받은 통계 정보를 생성하여(S690), 주기 시간마다 통계 정보를 현행화하여 지정한 조건이 만족되는 경우 이벤트 통보부(132)로 통보한다(S691).
도 7은 본 발명의 일 실시예에 따른 메시징 서비스 보안 시스템에서 스팸 메시지 차단 정책을 설정하는 절차를 설명하기 위한 순서도이다.
앞서 설명된 바와 같이, 도 7은 도 6에서 설명된 일반적인 정책 설정 절차를 이용하여, 스팸 메시지를 차단하기 위한 정책을 설정하는 구체적인 절차를 설명하기 위한 순서도이다. 즉, 도 7을 통해 설명되는 실시예는 스팸 메시지를 임의의 단말로 과다 발송하는 스패머 단말을 탐지하거나, 스패머로 판단할 수 있는 특정 문구(또는 문구 조합)를 포함한 문자 메시지를 탐지하여 차단하는 정책을 설정하기 위한 실시예에 해당된다.
도 7을 참조하면, 메시징 서비스 관리자(110)는 운용자가 설정한 스패머 탐지 차단 규칙을 포함한 스패머 제어 정책을 설정하고(S705), 메시징 보안 컨트롤러(120)로 전달한다(S710). 여기서, 스패머 탐지 차단 규칙은 스패머로 판단할 수 있는 특정 문자열을 포함하면서(또는 포함하거나), 주기시간(분/시간/일)동안 임계치 이상의 문자 메시지를 발신하는 단말을 탐지하여 차단하고 이를 다시 메시징 서비스 관리자(110)로 통보하게 하는 규칙이다. 하기 표 4은 스패머 제어 정책에 포함되는 보안 프로파일에 대한 예시로서, 차단되어야 할 URL과 APK의 파일명에 대한 정보 프로파일의 예시이다.
구분 비고
URL http://mmsget.org/9560.html
hxxp://mmsrus.ru/9560.html
hxxp://mmscom.ru/9560.html
Download APK APK1
APK2
APK3
APK4
...
하기 표 5는 스패머 제어 장책에 포함되는 시그니춰 프로파일로서, 차단되어야 할 메시지 내 문구, 차단 발신 번호와 같이 초기 시그니춰(signature) 프로파일의 예시이다.
구분 패킷 내 검사 위치
메시지 내 문구 성인용품명1 && 상호명 && 기타 조건 70byte~100byte
성인용품명2 && 수량 && 기타 조건 100 byte ~
도박사이트명1 && 금액 && 기타 조건 ~100byte
도박사이트명2 && 상금 && 기타 조건 100byte~150byte
차단 발신 번호 010-1234-5678 From or Calling Party No.
010-2345-6789 From or Calling Party No.
...
하기 표 6은 스패머 제어 정책에 포함되는 통계 정책에 대한 예시로서, 발신번호 별 메시지 발신 횟수와 발신번호 별 착신번호 수를 분, 시간, 단위로 모니터링하기 위한 통계 조건을 설정하기 위한 정책 정보의 예시이다.
구분 임계치
발신번호 별 분당 메시지 발신 횟수 30
발신번호 별 시간당 메시지 발신 횟수 1000
발신번호 별 일일 메시지 발신 횟수 20000
발신번호 별 분당 메시지 착신번호 수 20
발신번호 별 시간당 메시지 착신번호 수 500
발신번호 별 일일 메시지 착신번호 수 10000
메시징 보안 컨트롤러(120)의 정책 관리부(121)는 전달받은 스패머 탐지 차단 규칙을 데이터 모델 형태로 생성하고(S720), 정책 수행 판단을 위한 이벤트 생성이 필요한 경우는 이벤트 관리를 위한 이벤트 정보를 이벤트 관리부(122)로 전달하여 이벤트 생성을 요청한다(S730). 이 규칙에 대한 데이터 모델은 아래와 같이 생성될 수 있다.
1) 사건: 문자 메시지를 발송하는 사용자 행동(user action)
2) 조건
ㅇ 패킷 값 조건: 메시지 내 특정 악성 스팸 문구(예, 도박사이트명, 성인용품명, 불법대출상품명, 음란물명 등)
ㅇ 발신단말 별 주기시간 동안 문자 메시지 발송 횟수(예, 분당 30회 이상, 시간당 1,000회 이상, 일일 20,000건 이상 등), 한 발신번호에서 발송한 문자 메시지를 수신하는 착신번호 개수(예, 분당 20개 이상, 시간당 500개 이상, 일일 10,000개 이상 등)
3) 동작
ㅇ 출력 트래픽 제어: 메시징 보안 컨트롤러(120)로 해당 문자발송 패킷 전달(스패머 판단 및 스패머로 판단 시 해당 패킷에서 신규 메시징 보안 프로파일 및 시그너처 값 추출하여 추가할 목적)
ㅇ 응용 동작
-프로파일 적용: 메시징 보안 프로파일에 스패머로 판단된 발송 문자 내 URL 및 APK명이 존재할 경우 해당 URL 및 APK명을 메시징 보안 프로파일에 추가
-시그니춰 적용: 스패머로 판단된 발송 문자에서 스패머 판단을 위한 신규문구(또는 문구 조합)와 스패머의 발신번호를 기존 Signature file에 추가하여 이 후 해당 문구(또는 문구 조합) 및 발신번호에서 발송되는 문자 메시지는 차단
ㅇ통계 동작: 발신번호에 대한 주기 시간 별 문자 메시지 발신 횟수 통계 생성 및 임계치 초과시 통보
메시징 보안 컨트롤러(120)의 정책 관리부(121)는 설정된 규칙이 실제로 네트워크 보안 기능(130)에서 수행될 수 있도록 생성한 데이터 모델을 네트워크 보안 기능(130)의 정책 수행부(131)로 전달한다(S740).
네트워크 보안 기능(130)의 이벤트 관리부(122)는 메시징 보안 컨트롤러(120)의 정책 관리부(121)에서 전달받은 데이터 모델의 적용을 위한 이벤트를 생성한다(S750).
여기에서, 단계(S740)와 단계(S750)는 수행의 우선순위를 가지지 않으며, 단계(S750)는 단계(S730)의 요청에 따라 단계(S740)와는 무관하게 수행될 수 있다..
네트워크 보안 기능(130)의 정책 수행부(131)는 메시징 보안 컨트롤러(120)의 정책 관리부(121)에서 전달받은 데이터 모델로부터 통보 받아야 하는 이벤트 조건을 추출하여 이벤트 통보부(132)로 해당 조건을 전달한다(S760). 본 발명의 실시예에서는 상기 '2)조건'에서 설명된 조건들이 전달된다.
네트워크 보안 기능(130)의 이벤트 통보부(132)는 네트워크 보안 기능(130) 내에서 유/출입되는 패킷 및 플로우에 대해 메시징 보안 컨트롤러(120)의 이벤트 관리부(122)로부터 정책 수행부(131)를 거쳐 전달된 조건이 만족되는 패킷 및 플로우의 발생 여부를 모니터링하며(S770), 특정 조건을 만족하는 패킷 및 플로우가 발생할 경우 정책 수행부(131)로 통보한다(S771).
한편, 네트워크 보안 기능(130)의 이벤트 통보부(132)는 정책 수행부(131)에서 전달받은 이벤트 조건 중 통계 조건에 대해 통계 처리부(133)로 해당 통계 생성을 요청한다(S780). 통계 처리부(133)는 이벤트 통보부(132)에서 전달받은 통계 정보를 생성하여(S790), 주기 시간마다 통계 정보를 현행화하여 지정한 조건이 만족되는 경우 이벤트 통보부(132)로 통보한다(S791).
스패머 탐지 차단 규칙의 경우 발신단말 별 주기시간 동안 문자 메시지 발송 횟수, 하나의 발신번호에서 발송한 문자 메시지를 수신하는 착신번호 개수(예, 분당 20개 이상, 시간당 500개 이상, 일일 10,000개 이상 등) 등이 해당된다.
도 8은 본 발명의 일 실시예에 따른 메시징 서비스 보안 시스템에서 스팸 메시지 차단 정책 수행 절차의 일 실시예를 설명하기 위한 순서도이다.
도 8을 통하여 예시되는 실시예는, 도 7에서 설명된 절차에 따라서 적용된 스팸 메시지 차단 정책에 기초하여, 스패머 판단 특정 문구(또는 문구 조합)를 포함한 문자 메시지를 탐지하여 차단하는 실시예에 해당된다.
도 8을 참조하면, 네트워크 보안 기능(130)의 이벤트 통보부(132)는 네트워크 보안 기능(130) 내에서 유/출입되는 문자 메시지 발/착신 패킷 및 플로우에 대해 이벤트 관리부(122)로부터 전달된 조건이 만족되는 패킷 및 플로우의 발생 여부를 모니터링하고, 조건에 명시된 문자(또는 문자 조합)를 포함한 문자 메시지를 발신한 패킷을 탐지한다(S810). 즉, 도 8의 단계(S810)는 도 7의 단계(S770)에 해당된다. 예컨대, "성인용품명1 && 상호명 && 기타 조건"문구가 포함된 문자 메시지를 "010-1111-2222"가 "010-3333-4444"로 발신하는 패킷을 탐지할 수 있다.
네트워크 보안 기능(130)의 이벤트 통보부(132)는 정책 수행부(131)로 만족한 조건 및 패킷/플로우 정보를 통보한다(S811). 즉, 도 8의 단계(S811)는 도 7의 단계(S771)에 해당된다.
네트워크 보안 기능(130)의 정책 수행부(131)는 데이터 모델을 참고하여 해당 조건 만족 시 실행할 동작을 수행한다(S820). 본 규칙의 실시예에서, 정책 수행부(131)는 해당 패킷/플로우를 차단하고, 패킷/플로우 정보를 MSF로 전달할 수 있다. 또한. 네트워크 보안 기능(130)의 정책 수행부(131)는 데이터 모델의 조건을 만족하는 이벤트 발생 및 동작 수행의 완료를 메시징 보안 컨트롤러(120)의 정책 관리부(121)로 통보할 수 있다(S821). 메시징 보안 컨트롤러(120)의 정책 관리부(121)는 발생 및 처리한 이벤트 정보를 이벤트 관리부(122)로 전달할 수 있다(S822). 또한, 메시징 보안 컨트롤러(120)의 정책 관리부(121)는 발생 및 처리한 이벤트 정보를 메시징 서비스 관리자(110)로 전달할 수 있다(S823).
메시징 서비스 관리자(110)는 운용자(관리 시스템)에게 발생 및 처리한 이벤트 정보를 통보하여 알린다(S830).
한편, 운용자가 통보된 이벤트 정보를 기반으로 메시징 보안 프로파일 및 시그니춰 프로파일에 추가할 정보가 있는지 확인한 후 기존 프로파일에 없는 값이 존재할 경우 프로파일에 새롭게 추가될 정보를 추출할 수 있다(S840). 예를 들면, 프로파일의 변경을 위해서, 하기 표 7과 같이 추가될 정보-차단 발신번호 "010-1111-2222"-를 추출할 수 있다.
구분 패킷 내 검사 위치
메시지 내 문구 성인용품명1 && 상호명 &&기타 조건 70byte~100byte
성인용품명2 && 수량 &&기타 조건 100 byte ~
도박사이트명1&& 금액 &&기타 조건 ~100byte
도박사이트명2&& 상금 &&기타 조건 100byte~150byte
차단 발신 번호 010-1234-5678 From or Calling Party No.
010-2345-6789 From or Calling Party No.
010-1111-2222 From or Calling Party
...
메시징 서비스 관리자(110)는 메시징 보안 컨트롤러(120)의 정책 관리부(121)로 변경된 메시징 보안 프로파일 및 시그니춰 프로파일이 포함된 정책을 재전달할 수 있다(S850). 메시징 보안 컨트롤러(120)의 정책 관리부(121)는 앞서 도 7의 단계(S720) 내지 단계(S740)과 동일한 절차를 통해 변경된 정책을 적용시킬 수 있다.
도 9는 본 발명의 일 실시예에 따른 메시징 서비스 보안 시스템에서 스팸 메시지 차단 정책 수행 절차의 다른 실시예를 설명하기 위한 순서도이다.
도 9를 통하여 예시되는 실시예는, 도 7에서 설명된 절차에 따라서 설정된 스팸 메시지 차단 정책에 기초하여, 스팸 메시지를 임의의 단말로 과다 발송하는 스패머 단말을 탐지하여 차단하는 실시예에 해당된다.
도 9를 참조하면, 네트워크 보안 기능(130)의 통계 처리부(133)는 이벤트 통보부(132)에서 통계 생성을 요청(예컨대, 도 7의 단계(S780))한 정보에 대한 통계를 생성 및 관리 중 임계치를 초과하는 통계 이벤트 발생을 탐지할 수 있다(S910). 예컨대, "010-5555-5555"인 단말 번호에서 분당 30회를 초과하여 "성인용품명11 && 상호명11 && 가격11" 문구가 포함되고, 특정 사이트로 이동하는 "URL11"이 포함된 동일 문자 메시지를 분당 20개 이상의 서로 다른 착신번호로 문자 메시지를 전송하는 이벤트가 탐지될 수 있다.
네트워크 보안 기능(130)의 통계 처리부(133)는 조건을 만족하는 패킷/플로우에 대한 통계 정보를 이벤트 통보부(132)로 통보하고(S911), 이벤트 통보부(132)는 이를 정책 수행부(131)로 전달하여 통보한다(S912).
네트워크 보안 기능(130)의 정책 수행부(131)는 데이터 모델을 참고하여 해당 조건 만족시 실행할 동작을 수행할 수 있다(S920). 본 규칙의 실시예에서, 정책 수행부(131)는 해당 패킷/플로우를 차단하고, 패킷/플로우 정보를 MSF로 전달할 수 있다.
또한, 네트워크 보안 기능(130)의 정책 수행부(131)는 데이터 모델의 조건을 만족하는 이벤트 발생 및 동작 수행 완료를 메시징 보안 컨트롤러(120)의 정책 관리부(121)로 통보할 수 있다(S921). 또한, 메시징 보안 컨트롤러(120)의 정책 관리부(121)는 발생 및 처리한 이벤트 정보를 이벤트 관리부(122)로 전달할 수 있다. 또한, 정책 관리부(121)는 발생 및 처리한 이벤트 정보를 메시징 서비스 관리자(110)로 전달할 수 있다(S923).
메시징 서비스 관리자(110)는 운용자(관리 시스템)에게 발생 및 처리한 이벤트 정보를 통보하여 알린다(S930).
한편, 운용자가 통보된 이벤트 정보를 기반으로 메시징 보안 프로파일 및 시그니춰 프로파일에 추가할 정보가 있는지 확인한 후 기존 프로파일에 없는 값이 존재할 경우 프로파일에 새롭게 추가될 정보를 추출할 수 있다(S940). 예를 들면, 프로파일의 변경을 위해서, 하기 표 8과 같이 추가될 정보-시그니춰 파일의 차단문구: "성인용품명11 && 상호명11 && 가격11", 차단발신번호: "010-5555-5555"-를 추출할 수 있다.
구분 패킷 내 검사 위치
메시지 내 문구 성인용품명1 && 상호명 && 기타 조건 70byte~100byte
성인용품명2 && 수량 && 기타 조건 100 byte ~
도박사이트명1 && 금액 && 기타 조건 ~100byte
도박사이트명2 && 상금 && 기타 조건 100byte~150byte
성인용품명11 && 상호명11 && 가격11 100 byte ~
차단 발신 번호 010-1234-5678 From or Calling Party No.
010-2345-6789 From or Calling Party No.
010-1111-2222 From or Calling Party
010-5555-5555 From or Calling Party
...
예를 들면, 프로파일의 변경을 위해서, 하기 표 9과 같이, 메시징 보안 프로파일에 추가될 "URL11"을 도출할 수 있다.
구분 비고
URL http://mmsget.org/9560.html
hxxp://mmsrus.ru/9560.html
hxxp://mmscom.ru/9560.html
URL11
Download APK APK1
APK2
APK3
APK4
...
메시징 서비스 관리자(110)는 메시징 보안 컨트롤러(120)의 정책 관리부(121)로 변경된 메시징 보안 프로파일 및 시그니춰 파일이 포함된 정책을 재전달할 수 있다(S950). 메시징 보안 컨트롤러(120)의 정책 관리부(121)는 앞서 도 7의 단계(S720) 내지 단계(S740)과 동일한 절차를 통해 변경된 정책을 적용시킬 수 있다.
본 발명에 따른 방법들은 다양한 컴퓨터 수단을 통해 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 컴퓨터 판독 가능 매체에 기록되는 프로그램 명령은 본 발명을 위해 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다.
컴퓨터 판독 가능 매체의 예에는 롬(rom), 램(ram), 플래시 메모리(flash memory) 등과 같이 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러(compiler)에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터(interpreter) 등을 사용해서 컴퓨터에 의해 실행될 수 있는 고급 언어 코드를 포함한다. 상술한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 적어도 하나의 소프트웨어 모듈로 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
100: NFV 기반 메시징 서비스 보안 시스템
110: 메시징 서비스 관리자
120: 메시징 보안 컨트롤러
121: 정책 관리부
122: 이벤트 관리부
130-1, ..., 130-N: 네트워크 보안 기능
131: 정책 수행부
132: 이벤트 통보부
133: 통계 처리부
140-1, ..., 140-M: SDN 컨트롤러

Claims (20)

  1. 네트워크 기능 가상화(NFV; Network Function Virtualization) 기반의 메시징(messaging) 서비스 보안 시스템으로서,
    메시징 서비스에 대한 보안 정책을 설정하고 관리하는 메시징 서비스 관리자(MSM; Messaging Service Manager);
    상기 메시징 서비스 관리자를 통해 전달받은 보안 정책을 소정의 데이터 모델로 생성하여 네트워크 보안 기능(NSF; Network Security Function)에 전달하는 메시징 보안 컨트롤러(MSC; Messaging Security Controller); 및
    상기 메시징 보안 컨트롤러로부터 전달 받은 데이터 모델에 기초하여, 상기 메시징 서비스에 대한 보안을 제공하는 적어도 하나의 네트워크 보안 기능을 포함하고,
    상기 메시징 보안 컨트롤러는,
    상기 메시징 서비스 관리자로부터 전달 받은 보안 정책을 상기 소정의 데이터 모델로 생성하여, 상기 네트워크 보안 기능으로 전달하는 정책 관리부(policy manager); 및
    상기 정책 관리부로부터 전달받은 이벤트 관련 정보에 기초하여 상기 네트워크 보안 기능으로부터 통보 받아야 하는 이벤트와 통계 정보를 관리하는 이벤트 관리부(event manager)를 포함하는,
    메시징 서비스 보안 시스템.
  2. 청구항 1에 있어서,
    상기 데이터 모델은,
    조건의 충족여부 판단과 동작 수행의 대상이 되는 사건(event);
    네트워크 장치를 통해 송수신되는 패킷 또는 특정 플로우에 속하는 패킷에 대해 특정 동작(action)의 적용 여부를 판단하기 위한 조건(condition); 및
    상기 조건이 만족되었을 때 수행될 동작(action)을 정의하는 정보를 포함하는,
    메시징 서비스 보안 시스템.
  3. 청구항 2에 있어서,
    상기 사건은 소정 상황의 발생 시각과 관련된 시간 이벤트(time event); 및
    사용자의 행위에 의해서 유발된 상황과 관련된 사용자 동작(user action)을 포함하는,
    메시징 서비스 보안 시스템.
  4. 청구항 2에 있어서,
    상기 조건은 단일 패킷의 내용으로부터 판단할 수 있는 패킷 값 조건; 및
    세션(session) 또는 플로우(flow) 등을 통하여 판단할 수 있는 상황(context) 조건을 포함하는,
    메시징 서비스 보안 시스템.
  5. 청구항 2에 있어서,
    상기 동작은
    트래픽 인입(ingress) 제어 동작;
    트래픽 출력(egress) 제어 동작;
    프로파일 또는 시그니춰에 기반한 응용동작(advanced action); 및
    통계(statistics) 동작 중 적어도 하나를 포함하는,
    메시징 서비스 보안 시스템.
  6. 청구항 1에 있어서,
    상기 네트워크 보안 기능은, 적어도 하나의 SDN 스위치를 관리하는 적어도 하나의 SDN 컨트롤러에 연결되며, 상기 메시징 보안 컨트롤러로부터 전달받은 데이터 모델을, 상기 적어도 하나의 SDN 컨트롤러의 API 호출 또는 연동 규격에 맞는 메시지 변환에 의하여 상기 적어도 하나의 SDN 컨트롤러로 전달하는,
    메시징 서비스 보안 시스템.
  7. 삭제
  8. 청구항 1에 있어서,
    상기 네트워크 보안 기능은,
    상기 메시징 보안 컨트롤러로부터 전달받은 데이터 모델에 기초하여 유입된 메시지에 대한 동작을 수행하고, 유입된 메시지의 추가 분석이 필요한 경우 유입된 메시지를 상기 메시징 보안 컨트롤러로 전달하는 정책 수행부(policy enforcer);
    상기 정책 수행부에서 전달받은 이벤트 관련 정보에 기초하여 이벤트 모니터링을 수행하고, 이벤트의 발생을 상기 정책 수행부로 통보하는 이벤트 통보부(event notifier); 및
    상기 이벤트 통보부에서 요청한 조건을 만족하는 이벤트에 대한 통계 생성/관리/통보 기능을 수행하는 통계 처리부(statistics processor)를 포함하는,
    메시징 서비스 보안 시스템.
  9. 청구항 1에 있어서,
    상기 네트워크 보안 기능은 독립적인 하드웨어 서버로 구현되거나, 클라우드(cloud) 환경의 가상 머신(VM; Virtual Machine) 또는 가상 머신 상에 구현되는,
    메시징 서비스 보안 시스템.
  10. 네트워크 기능 가상화(NFV; Network Function Virtualization) 기반의 메시징(messaging) 서비스 보안 처리 방법으로서,
    메시징 서비스 관리자(MSM; Messaging Service Manager)가 메시징 서비스에 대한 보안 정책을 생성하여 메시징 보안 컨트롤러(MSC; Messaging Security Controller)에 전달하는 단계;
    상기 메시징 보안 컨트롤러가 상기 보안 정책을 수신하고, 상기 보안 정책을 소정의 데이터 모델로 생성하여 적어도 하나의 네트워크 보안 기능(NSF; Network Security Function)에 전달하는 단계; 및
    상기 적어도 하나의 네트워크 보안 기능이, 상기 전달받은 데이터 모델에 기초하여, 상기 메시징 서비스에 대한 보안을 제공하는 단계를 포함하고,
    상기 메시징 보안 컨트롤러는,
    상기 메시징 서비스 관리자로부터 전달 받은 보안 정책을 상기 소정의 데이터 모델로 생성하여, 상기 네트워크 보안 기능으로 전달하는 정책 관리부(policy manager); 및
    상기 정책 관리부로부터 전달받은 이벤트 관련 정보에 기초하여 상기 네트워크 보안 기능으로부터 통보 받아야 하는 이벤트와 통계 정보를 관리하는 이벤트 관리부(event manager)를 포함하는,
    메시징 서비스 보안 처리 방법.
  11. 청구항 10에 있어서,
    상기 데이터 모델은,
    조건의 충족여부 판단과 동작 수행의 대상이 되는 사건(event);
    네트워크 장치를 통해 송수신되는 패킷 또는 특정 플로우에 속하는 패킷에 대해 특정 동작(action)의 적용 여부를 판단하기 위한 조건(condition); 및
    상기 조건이 만족되었을 때 수행될 동작(action)을 정의하는 정보를 포함하는,
    메시징 서비스 보안 처리 방법.
  12. 청구항 11에 있어서,
    상기 사건은 소정 상황의 발생 시각과 관련된 시간 이벤트(time event); 및
    사용자의 행위에 의해서 유발된 상황과 관련된 사용자 동작(user action)을 포함하는,
    메시징 서비스 보안 처리 방법.
  13. 청구항 11에 있어서,
    상기 조건은 단일 패킷의 내용으로부터 판단할 수 있는 패킷 값 조건; 및
    세션(session) 또는 플로우(flow) 등을 통하여 판단할 수 있는 상황(context) 조건을 포함하는,
    메시징 서비스 보안 처리 방법.
  14. 청구항 11에 있어서,
    상기 동작은
    트래픽 인입(ingress) 제어 동작;
    트래픽 출력(egress) 제어 동작;
    프로파일 또는 시그니춰에 기반한 응용동작(advanced action); 및
    통계(statistics) 동작 중 적어도 하나를 포함하는,
    메시징 서비스 보안 처리 방법.
  15. 청구항 10에 있어서,
    상기 네트워크 보안 기능은, 적어도 하나의 SDN 스위치를 관리하는 적어도 하나의 SDN 컨트롤러에 연결되며, 상기 메시징 보안 컨트롤러로부터 전달받은 데이터 모델을, 상기 적어도 하나의 SDN 컨트롤러의 API 호출 또는 연동 규격에 맞는 메시지 변환에 의하여 상기 적어도 하나의 SDN 컨트롤러로 전달하는,
    메시징 서비스 보안 처리 방법.
  16. 네트워크 기능 가상화(NFV; Network Function Virtualization) 기반의 메시징(messaging) 서비스 보안 시스템에서, 메시징 서비스 관리자(MSM; Messaging Service Manager) 및 적어도 하나의 네트워크 보안 기능(NSF; Network Security Function)과 연동하는 메시징 보안 컨트롤러(MSC; Messaging Security Controller)의 동작 방법으로서,
    메시징 서비스에 대한 보안 정책을 설정하고 관리하는 상기 메시징 서비스 관리자로부터 상기 보안 정책을 수신하는 단계;
    상기 보안 정책을 소정의 데이터 모델로 생성하여 상기 적어도 하나의 네트워크 보안 기능으로 전달하는 단계; 및
    상기 적어도 하나의 네트워크 보안 기능으로부터 상기 소정의 데이터 모델에 기초한 동작의 수행 완료를 통보 받는 단계를 포함하고,
    상기 메시징 보안 컨트롤러는,
    상기 메시징 서비스 관리자로부터 전달 받은 보안 정책을 상기 소정의 데이터 모델로 생성하여, 상기 네트워크 보안 기능으로 전달하는 정책 관리부(policy manager); 및
    상기 정책 관리부로부터 전달받은 이벤트 관련 정보에 기초하여 상기 네트워크 보안 기능으로부터 통보 받아야 하는 이벤트와 통계 정보를 관리하는 이벤트 관리부(event manager)를 포함하는,
    메시징 보안 컨트롤러의 동작 방법.
  17. 청구항 16에 있어서,
    상기 데이터 모델은,
    조건의 충족여부 판단과 동작 수행의 대상이 되는 사건(event);
    네트워크 장치를 통해 송수신되는 패킷 또는 특정 플로우에 속하는 패킷에 대해 특정 동작(action)의 적용 여부를 판단하기 위한 조건(condition); 및
    상기 조건이 만족되었을 때 수행될 동작(action)을 정의하는 정보를 포함하는,
    메시징 보안 컨트롤러의 동작 방법.
  18. 청구항 17에 있어서,
    상기 사건은 소정 상황의 발생 시각과 관련된 시간 이벤트(time event); 및
    사용자의 행위에 의해서 유발된 상황과 관련된 사용자 동작(user action)을 포함하는,
    메시징 보안 컨트롤러의 동작 방법.
  19. 청구항 17에 있어서,
    상기 조건은
    단일 패킷의 내용으로부터 판단할 수 있는 패킷 값 조건; 및
    세션(session) 또는 플로우(flow) 등을 통하여 판단할 수 있는 상황(context) 조건을 포함하는,
    메시징 보안 컨트롤러의 동작 방법.
  20. 청구항 16에 있어서,
    상기 동작은
    트래픽 인입(ingress) 제어 동작;
    트래픽 출력(egress) 제어 동작;
    프로파일 또는 시그니춰에 기반한 응용동작(advanced action); 및
    통계(statistics) 동작 중 적어도 하나를 포함하는,
    메시징 보안 컨트롤러의 동작 방법.
KR1020170140918A 2016-10-28 2017-10-27 Nfv 기반 메시징 서비스 보안 제공 방법 및 이를 위한 시스템 KR102376493B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20160142470 2016-10-28
KR1020160142470 2016-10-28

Publications (2)

Publication Number Publication Date
KR20180046894A KR20180046894A (ko) 2018-05-09
KR102376493B1 true KR102376493B1 (ko) 2022-03-18

Family

ID=62200627

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170140918A KR102376493B1 (ko) 2016-10-28 2017-10-27 Nfv 기반 메시징 서비스 보안 제공 방법 및 이를 위한 시스템

Country Status (1)

Country Link
KR (1) KR102376493B1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108809958A (zh) * 2018-05-23 2018-11-13 郑州云海信息技术有限公司 一种基于mdc管理系统的sdn控制器架构
US11792227B2 (en) 2019-06-12 2023-10-17 Research & Business Foundation Sungkyunkwan University I2NSF network security function facing interface YANG data model
KR102335012B1 (ko) * 2019-11-04 2021-12-07 성균관대학교산학협력단 I2nsf 네트워크 보안 능력에 직면한 인터페이스 yang 데이터 모델
KR102521426B1 (ko) * 2021-10-29 2023-04-13 에스케이텔레콤 주식회사 가상 스위치 장치 및 그 트래픽 처리 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101661743B1 (ko) * 2015-04-07 2016-10-11 경기대학교 산학협력단 대용량 트래픽 방어를 위한 소프트웨어 정의 네트워크 시스템 및 방법

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150032085A (ko) * 2013-09-17 2015-03-25 김정호 대용량 데이터 처리 및 고성능 nfv 시스템 구축 방법
KR101669518B1 (ko) * 2014-12-30 2016-10-27 주식회사 시큐아이 Sdn 기반의 네트워크 모듈 관리 장치 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101661743B1 (ko) * 2015-04-07 2016-10-11 경기대학교 산학협력단 대용량 트래픽 방어를 위한 소프트웨어 정의 네트워크 시스템 및 방법

Also Published As

Publication number Publication date
KR20180046894A (ko) 2018-05-09

Similar Documents

Publication Publication Date Title
KR102376493B1 (ko) Nfv 기반 메시징 서비스 보안 제공 방법 및 이를 위한 시스템
CN109565500B (zh) 按需安全性架构
US8832820B2 (en) Isolation and security hardening among workloads in a multi-tenant networked environment
JP5880560B2 (ja) 通信システム、転送ノード、受信パケット処理方法およびプログラム
US20160337372A1 (en) Network system, controller and packet authenticating method
US8255465B2 (en) Network communications
EP3231153B1 (en) Distributing a network access policy
US20080101223A1 (en) Method and apparatus for providing network based end-device protection
KR101863236B1 (ko) 네트워크 가상화 환경에서 보안 관리를 위한 장치 및 방법
JP2006339933A (ja) ネットワークアクセス制御方法、およびシステム
JP2008501269A (ja) 無線通信システムにおける不要メッセージのフィルタリング
US9742786B2 (en) System, method and computer readable medium for processing unsolicited electronic mail
US10536379B2 (en) System and method for control traffic reduction between SDN controller and switch
CN106656648B (zh) 基于家庭网关的应用流量动态保护方法、系统及家庭网关
Wu et al. Fmd: A DoS mitigation scheme based on flow migration in software‐defined networking
Chi et al. Design and implementation of cloud platform intrusion prevention system based on SDN
CN113132308B (zh) 一种网络安全防护方法及防护设备
CN107509128B (zh) 一种接入核心网的方法及系统
KR101887544B1 (ko) Sdn 기반의 마이크로 서버 관리 시스템에 대한 네트워크 공격 차단 시스템
KR101859796B1 (ko) 이동 단말 상의 이동 무선 인터페이스를 모니터링하는 방법 및 장치
EP1938548A1 (en) Network communications
US20240089178A1 (en) Network service processing method, system, and gateway device
KR101088867B1 (ko) 네트워크 스위치 및 그 네트워크 스위치의 보안공지방법
CN101277302A (zh) 一种分布式网络设备安全集中防护的装置与方法
WO2019035488A1 (ja) 制御装置、通信システム、制御方法及びコンピュータプログラム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant