KR102550813B1 - System and method for network security - Google Patents

System and method for network security Download PDF

Info

Publication number
KR102550813B1
KR102550813B1 KR1020160026451A KR20160026451A KR102550813B1 KR 102550813 B1 KR102550813 B1 KR 102550813B1 KR 1020160026451 A KR1020160026451 A KR 1020160026451A KR 20160026451 A KR20160026451 A KR 20160026451A KR 102550813 B1 KR102550813 B1 KR 102550813B1
Authority
KR
South Korea
Prior art keywords
server
address
attack
web
blocking
Prior art date
Application number
KR1020160026451A
Other languages
Korean (ko)
Other versions
KR20170103481A (en
Inventor
명재찬
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020160026451A priority Critical patent/KR102550813B1/en
Publication of KR20170103481A publication Critical patent/KR20170103481A/en
Application granted granted Critical
Publication of KR102550813B1 publication Critical patent/KR102550813B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Abstract

네트워크 보안 시스템 및 방법이 제공된다. 본 발명의 일 실시예에 따른 네트워크 보안 시스템은, 웹 서버에서 제공되는 복수의 웹 페이지 각각에 대한 도메인 주소 및 상기 도메인 주소에 대응되는 아이피 주소가 저장되는 캐시 서버; 공격자 단말이 상기 웹 서버에서 제공되는 웹 페이지에 접속하고자 하는 경우 DNS(Domain Name Service) 정보를 변경하여 상기 공격자 단말의 트래픽을 공격 차단 서버로 우회시키는 DNS 서버; 및 상기 캐시 서버와 연결되며, 상기 공격자 단말의 트래픽 중 공격 트래픽을 차단하고 정상 트래픽을 상기 캐시 서버로 전달하는 상기 공격 차단 서버를 포함하며, 상기 캐시 서버는, 상기 캐시 서버에 저장된 도메인 주소 및 아이피 주소를 이용하여 상기 정상 트래픽을 상기 웹 서버에 전달한다.Network security systems and methods are provided. A network security system according to an embodiment of the present invention includes a cache server storing a domain address for each of a plurality of web pages provided by a web server and an IP address corresponding to the domain address; a DNS server that redirects traffic of the attacker terminal to an attack blocking server by changing Domain Name Service (DNS) information when an attacker terminal wants to access a web page provided by the web server; and the attack blocking server connected to the cache server, blocking attack traffic among traffic of the attacker terminal and forwarding normal traffic to the cache server, wherein the cache server includes a domain address and an IP address stored in the cache server. The normal traffic is forwarded to the web server using the address.

Description

네트워크 보안 시스템 및 방법 {SYSTEM AND METHOD FOR NETWORK SECURITY}Network security system and method {SYSTEM AND METHOD FOR NETWORK SECURITY}

본 발명의 실시예들은 공격자의 공격에 효율적으로 대처하기 위한 네트워크 보안 기술과 관련된다.
Embodiments of the present invention relate to network security technology for efficiently coping with an attacker's attack.

디도스(DDoS) 공격이란 하나 이상의 공격자 단말이 서버나 네트워크 대역이 감당할 수 없을 만큼 많은 양의 트래픽을 순간적으로 발생시켜 서버를 마비시키거나 네트워크의 성능을 저하시키는 해킹 방식의 하나이다. A DDoS attack is one of the hacking methods in which one or more attacker's terminals instantaneously generate a large amount of traffic that the server or network bandwidth cannot handle, paralyzing the server or degrading the performance of the network.

이러한 공격에 대처하기 위해, 최근 상기 공격에 대한 대규모의 방어존을 구축하고 있는 별도의 공격 차단 서버(예를 들어, 한국인터넷진흥원(KISA)의 사이버대피소)로 공격자 단말의 트래픽을 우회시켜 상기 공격 차단 서버에서 공격 트래픽을 차단하고 정상 트래픽을 웹 서버로 전달하는 네트워크 보안 기법이 활용되고 있다.In order to cope with these attacks, the traffic of the attacker's terminal is diverted to a separate attack blocking server (eg, Korea Internet & Security Agency (KISA)'s cyber shelter) that has recently built a large-scale defense zone against the above attacks. A network security technique that blocks attack traffic on a blocking server and forwards normal traffic to a web server is being used.

도 1은 종래 기술에 따른 네트워크 보안 시스템(10)의 상세 구성을 나타낸 도면이다.1 is a diagram showing the detailed configuration of a network security system 10 according to the prior art.

도 1을 참조하면, 공격자 단말(12)이 사내 인트라넷(40)의 내부에 위치하는 웹 서버(20)에서 제공하는 웹 페이지(예를 들어, “abc.com”)에 접속하고자 하는 경우, 아이피 차단 엔진(14)에서 외부 인터넷 망(30)을 통해 접속 가능한 상기 웹 페이지의 아이피 주소(예를 들어, 1.1.1.1)를 차단하고 DNS 서버(16)에서 상기 웹 페이지에 대한 DNS(Domain Name Service) 정보를 변경하여 공격자 단말(12) 및 사용자 단말(미도시)의 트래픽을 공격 차단 서버(18)로 우회시킨다. 이후, 공격 차단 서버(18)는 DNS 서버(16)의 변경된 아이피 주소(예를 들어, 3.3.3.3)를 참고하여 유입된 트래픽 중 공격 트래픽을 차단하고 상기 웹 페이지에 대한 변경된 아이피 주소(예를 들어, 1.1.1.2)를 갖는 웹 서버(20)로 정상 트래픽을 전달한다. Referring to FIG. 1, when an attacker terminal 12 tries to access a web page (eg, “abc.com”) provided by a web server 20 located inside the company intranet 40, the IP The blocking engine 14 blocks the IP address (for example, 1.1.1.1) of the web page accessible through the external Internet network 30, and the DNS server 16 blocks the DNS (Domain Name Service) for the web page. ) information to divert the traffic of the attacker terminal 12 and the user terminal (not shown) to the attack blocking server 18. Thereafter, the attack blocking server 18 refers to the changed IP address (eg, 3.3.3.3) of the DNS server 16 to block attack traffic among incoming traffic, and the changed IP address for the web page (eg, 3.3.3.3). For example, it forwards normal traffic to the web server 20 with 1.1.1.2.

그러나, 종래 기술에 따르면, 방어 대상이 되는 각 웹 페이지(또는 서비스)별로 아이피 주소를 추가적으로 할당하여야 한다는 점에서 다수의 아이피 주소를 확보하는 데 어려움이 있다. 또한, 일반적으로 변경된 아이피 주소의 대역이 웹 페이지의 원래의 아이피 주소의 대역과 동일하므로, 공격자가 비슷한 대역의 회선들을 공격하는 경우 대역 고갈로 인해 상기 공격에 대한 대응이 어려운 문제점이 있다.However, according to the prior art, it is difficult to secure a plurality of IP addresses in that an IP address must be additionally assigned to each web page (or service) to be defended. In addition, since the band of the changed IP address is generally the same as the band of the original IP address of the web page, when an attacker attacks lines of a similar band, it is difficult to respond to the attack due to band exhaustion.

또한, 종래 기술에 따르면, 공격자 단말(12)의 공격시 아이피 주소 차단, DNS 설정 변경 및 아이피 주소 변경 과정을 거친다는 점에서 상기 공격에 대한 대응 절차가 복잡하며, 아이피 주소의 변경에 따라 네트워크 및 방화벽 설정 변경 작업을 추가적으로 수행하여야 하는 문제점이 있다.
In addition, according to the prior art, when attacking the attacker terminal 12, the procedure for responding to the attack is complicated in that the process of blocking the IP address, changing DNS settings, and changing the IP address is performed, and according to the change of the IP address, the network and There is a problem in that a firewall setting change operation must be additionally performed.

한국등록특허공보 제10-1042291호(2011.06.10)Korea Patent Registration No. 10-1042291 (2011.06.10)

본 발명의 실시예들은 공격 차단 서버(예를 들어, 사이버대피소)의 적용 절차 간소화 및 방어 대상 아이피 주소의 은닉을 통해 네트워크의 보안을 강화하기 위한 것이다.
Embodiments of the present invention are intended to enhance network security by simplifying the application process of an attack blocking server (eg, a cyber shelter) and hiding an IP address to be defended.

본 발명의 예시적인 실시예에 따르면, 웹 서버에서 제공되는 복수의 웹 페이지 각각에 대한 도메인 주소 및 상기 도메인 주소에 대응되는 아이피 주소가 저장되는 캐시 서버; 공격자 단말이 상기 웹 서버에서 제공되는 웹 페이지에 접속하고자 하는 경우 DNS(Domain Name Service) 정보를 변경하여 상기 공격자 단말의 트래픽을 공격 차단 서버로 우회시키는 DNS 서버; 및 상기 캐시 서버와 연결되며, 상기 공격자 단말의 트래픽 중 공격 트래픽을 차단하고 정상 트래픽을 상기 캐시 서버로 전달하는 상기 공격 차단 서버를 포함하며, 상기 캐시 서버는, 상기 캐시 서버에 저장된 도메인 주소 및 아이피 주소를 이용하여 상기 정상 트래픽을 상기 웹 서버에 전달하는, 네트워크 보안 시스템이 제공된다.According to an exemplary embodiment of the present invention, a cache server for storing a domain address for each of a plurality of web pages provided by a web server and an IP address corresponding to the domain address; a DNS server that redirects traffic of the attacker terminal to an attack blocking server by changing Domain Name Service (DNS) information when an attacker terminal wants to access a web page provided by the web server; and the attack blocking server connected to the cache server, blocking attack traffic among traffic of the attacker terminal and forwarding normal traffic to the cache server, wherein the cache server includes a domain address and an IP address stored in the cache server. A network security system is provided that forwards the normal traffic to the web server using an address.

상기 웹 서버 및 상기 캐시 서버는, 사내 인트라넷의 내부에 위치하며, 상기 DNS 서버 및 상기 공격 차단 서버는, 상기 사내 인트라넷의 외부에 위치할 수 있다.The web server and the cache server may be located inside the company intranet, and the DNS server and the attack blocking server may be located outside the company intranet.

상기 웹 서버에서 제공되는 복수의 웹 페이지 각각에 대한 아이피 주소의 대역은, 상기 캐시 서버의 아이피 주소의 대역과 상이할 수 있다.A band of IP addresses for each of the plurality of web pages provided by the web server may be different from a band of IP addresses of the cache server.

상기 공격 차단 서버는, 상기 웹 페이지의 도메인 주소를 상기 캐시 서버로 전송하며, 상기 캐시 서버는, 상기 캐시 서버에 저장된 아이피 주소 중 상기 공격 차단 서버로부터 수신된 도메인 주소에 대응되는 아이피 주소를 갖는 웹 서버로 상기 정상 트래픽을 전달할 수 있다.The attack blocking server transmits the domain address of the web page to the cache server, and the cache server includes a web address having an IP address corresponding to the domain address received from the attack blocking server among IP addresses stored in the cache server. The normal traffic may be forwarded to the server.

상기 네트워크 보안 시스템은, 상기 공격자 단말이 상기 웹 서버에서 제공되는 웹 페이지에 접속하고자 하는 경우, 외부 인터넷망을 통해 접속 가능한 상기 웹 페이지의 아이피 주소를 차단하는 아이피 차단 엔진을 더 포함할 수 있다.The network security system may further include an IP blocking engine that blocks the IP address of the web page accessible through an external Internet network when the attacker terminal tries to access the web page provided by the web server.

본 발명의 다른 예시적인 실시예에 따르면, DNS 서버에서, 공격자 단말이 웹 서버에서 제공되는 웹 페이지에 접속하고자 하는 경우 DNS(Domain Name Service) 정보를 변경하여 상기 공격자 단말의 트래픽을 공격 차단 서버로 우회시키는 단계; 상기 공격 차단 서버에서, 상기 공격자 단말의 트래픽 중 공격 트래픽을 차단하는 단계; 상기 공격 차단 서버에서, 상기 웹 서버에서 제공되는 복수의 웹 페이지 각각에 대한 도메인 주소 및 상기 도메인 주소에 대응되는 아이피 주소가 저장되는 캐시 서버로 정상 트래픽을 전달하는 단계; 및 상기 캐시 서버에서, 상기 캐시 서버에 저장된 도메인 주소 및 아이피 주소를 이용하여 상기 정상 트래픽을 상기 웹 서버에 전달하는 단계를 포함하는, 네트워크 보안 방법이 제공된다.According to another exemplary embodiment of the present invention, in the DNS server, when an attacker terminal wants to access a web page provided by the web server, DNS (Domain Name Service) information is changed to direct traffic of the attacker terminal to the attack blocking server. bypassing; Blocking, in the attack blocking server, attack traffic among traffic of the attacker's terminal; forwarding normal traffic from the attack blocking server to a cache server storing a domain address for each of a plurality of web pages provided by the web server and an IP address corresponding to the domain address; and forwarding, in the cache server, the normal traffic to the web server using the domain address and IP address stored in the cache server.

상기 웹 서버 및 상기 캐시 서버는, 사내 인트라넷의 내부에 위치하며, 상기 DNS 서버 및 상기 공격 차단 서버는, 상기 사내 인트라넷의 외부에 위치할 수 있다.The web server and the cache server may be located inside the company intranet, and the DNS server and the attack blocking server may be located outside the company intranet.

상기 웹 서버에서 제공되는 복수의 웹 페이지 각각에 대한 아이피 주소의 대역은, 상기 캐시 서버의 아이피 주소의 대역과 상이할 수 있다.A band of IP addresses for each of the plurality of web pages provided by the web server may be different from a band of IP addresses of the cache server.

상기 정상 트래픽을 상기 웹 서버에 전달하는 단계는, 상기 공격 차단 서버로부터 상기 웹 페이지의 도메인 주소를 수신하는 단계; 및 상기 캐시 서버에 저장된 아이피 주소 중 상기 공격 차단 서버로부터 수신된 도메인 주소에 대응되는 아이피 주소를 갖는 웹 서버로 상기 정상 트래픽을 전달하는 단계를 포함할 수 있다.The forwarding of the normal traffic to the web server may include receiving a domain address of the web page from the attack blocking server; and forwarding the normal traffic to a web server having an IP address corresponding to a domain address received from the attack blocking server among IP addresses stored in the cache server.

상기 네트워크 보안 방법은, 상기 공격자 단말의 트래픽을 공격 차단 서버로 우회시키는 단계 이전에, 아이피 차단 엔진에서, 외부 인터넷망을 통해 접속 가능한 상기 웹 페이지의 아이피 주소를 차단하는 단계를 더 포함할 수 있다.
The network security method may further include blocking an IP address of the web page accessible through an external Internet network in an IP blocking engine before the step of diverting the traffic of the attacker terminal to the attack blocking server. .

본 발명의 실시예들에 따르면, 캐시 서버에 저장된 도메인 주소-아이피 주소 쌍을 이용하여 공격 차단 서버로부터 전달 받은 정상 트래픽을 웹 서버로 용이하게 전달할 수 있으며, 이에 따라 방어 대상이 되는 각 웹 페이지(또는 서비스)별로 아이피 주소를 추가적으로 할당할 필요가 없게 된다.According to the embodiments of the present invention, it is possible to easily forward the normal traffic received from the attack blocking server to the web server using the domain address-IP address pair stored in the cache server, and accordingly, each web page to be defended ( or service), there is no need to additionally allocate an IP address.

또한, 본 발명의 실시예들에 따르면, 방어 대상이 되는 각 웹 페이지(또는 서비스)별로 아이피 주소를 추가적으로 할당할 필요가 없으므로, 네트워크 및 방화벽 설정 변경 작업을 추가적으로 수행할 필요가 없으며 공격자 단말의 공격에 대한 대응 절차를 간소화할 수 있다.In addition, according to the embodiments of the present invention, since there is no need to additionally allocate an IP address for each web page (or service) to be defended, there is no need to additionally change network and firewall settings, and there is no need to perform an attack by an attacker terminal. The response process can be simplified.

나아가, 본 발명의 실시예들에 따르면, 웹 서버에서 제공되는 복수의 웹 페이지 각각에 대한 아이피 주소의 대역이 캐시 서버의 아이피 주소의 대역과 상이하므로, 외부에 캐시 서버의 아이피 주소가 은닉되는 효과를 가져오게 되며 이에 따라 네트워크 보안이 강화될 수 있다.
Furthermore, according to the embodiments of the present invention, since the range of IP addresses for each of the plurality of web pages provided by the web server is different from the range of IP addresses of the cache server, the effect of hiding the IP address of the cache server to the outside , and thus network security can be strengthened.

도 1은 종래 기술에 따른 네트워크 보안 시스템의 상세 구성을 나타낸 도면
도 2는 본 발명의 일 실시예에 따른 네트워크 보안 시스템의 상세 구성을 나타낸 도면
도 3은 본 발명의 일 실시예에 따른 네트워크 보안 방법을 설명하기 위한 흐름도1 is a diagram showing a detailed configuration of a network security system according to the prior art;
2 is a diagram showing a detailed configuration of a network security system according to an embodiment of the present invention
3 is a flowchart for explaining a network security method according to an embodiment of the present invention

이하, 도면을 참조하여 본 발명의 구체적인 실시형태를 설명하기로 한다. 이하의 상세한 설명은 본 명세서에서 기술된 방법, 장치 및/또는 시스템에 대한 포괄적인 이해를 돕기 위해 제공된다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.Hereinafter, specific embodiments of the present invention will be described with reference to the drawings. The detailed descriptions that follow are provided to provide a comprehensive understanding of the methods, devices and/or systems described herein. However, this is only an example and the present invention is not limited thereto.

본 발명의 실시예들을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. 상세한 설명에서 사용되는 용어는 단지 본 발명의 실시예들을 기술하기 위한 것이며, 결코 제한적이어서는 안 된다. 명확하게 달리 사용되지 않는 한, 단수 형태의 표현은 복수 형태의 의미를 포함한다. 본 설명에서, "포함" 또는 "구비"와 같은 표현은 어떤 특성들, 숫자들, 단계들, 동작들, 요소들, 이들의 일부 또는 조합을 가리키기 위한 것이며, 기술된 것 이외에 하나 또는 그 이상의 다른 특성, 숫자, 단계, 동작, 요소, 이들의 일부 또는 조합의 존재 또는 가능성을 배제하도록 해석되어서는 안 된다.
In describing the embodiments of the present invention, if it is determined that the detailed description of the known technology related to the present invention may unnecessarily obscure the subject matter of the present invention, the detailed description will be omitted. In addition, terms to be described later are terms defined in consideration of functions in the present invention, which may vary according to the intention or custom of a user or operator. Therefore, the definition should be made based on the contents throughout this specification. Terminology used in the detailed description is only for describing the embodiments of the present invention and should in no way be limiting. Unless expressly used otherwise, singular forms of expression include plural forms. In this description, expressions such as "comprising" or "comprising" are intended to indicate any characteristic, number, step, operation, element, portion or combination thereof, one or more other than those described. It should not be construed to exclude the existence or possibility of any other feature, number, step, operation, element, part or combination thereof.

도 2는 본 발명의 일 실시예에 따른 네트워크 보안 시스템(100)의 상세 구성을 나타낸 도면이다. 도 2에 도시된 바와 같이, 본 발명의 일 실시예에 따른 네트워크 보안 시스템(100)은 공격자 단말(102)이 웹 서버(110)에서 제공되는 웹 페이지에 접속하고자 하는 경우(즉, 공격자 단말(102)이 웹 서버(110)를 공격하고자 하는 경우) 상기 공격에 효율적으로 대처하여 네트워크의 보안을 강화하기 위한 것으로, 아이피 차단 엔진(104), DNS 서버(106), 공격 차단 서버(108) 및 캐시 서버(112)를 포함한다. 2 is a diagram showing a detailed configuration of a network security system 100 according to an embodiment of the present invention. As shown in Figure 2, the network security system 100 according to an embodiment of the present invention, when the attacker terminal 102 tries to access the web page provided by the web server 110 (ie, the attacker terminal ( 102) to attack the web server 110) to effectively cope with the above attack and to strengthen the security of the network, the IP blocking engine 104, DNS server 106, attack blocking server 108 and cache server 112.

여기서, 공격자 단말(102)은 공격자가 소지하는 단말, 또는 공격자가 상기 공격을 위해 사용하는 단말로서, 예를 들어 데스크탑, 노트북, 스마트폰, PDA 등과 같은 전자기기일 수 있다. 또한, 도면에서 도시하지는 않았으나 이하에서 언급될 사용자 단말(미도시)은 일반 사용자가 소지하는 단말로서 공격자 단말(102)과 마찬가지로 예를 들어, 데스크탑, 노트북, 스마트폰, PDA 등과 같은 전자기기일 수 있다. 또한, 웹 서버(110)는 하나 이상의 웹 페이지(또는 서비스)를 제공하는 장치로서, 사내 인트라넷(130)의 내부에 위치할 수 있다. 도 2에서는 설명의 편의상 하나의 웹 서버(110)만을 도시하였으나, 웹 서버(110)는 웹 페이지(또는 서비스)의 종류 또는 개수에 따라 사내 인트라넷(130) 내에 다수 개 존재할 수 있다. 또한, 도 2에 도시된 바와 같이, 아이피 차단 엔진(104), 웹 서버(110) 및 캐시 서버(112)는 사내 인트라넷(130)의 내부에 위치하며, 공격자 단말(102), DNS 서버(106) 및 공격 차단 서버(108)는 사내 인트라넷(130)의 외부에 위치하며 인터넷 망(120)을 통해 데이터를 상호 송수신할 수 있다. Here, the attacker terminal 102 is a terminal owned by the attacker or a terminal used by the attacker for the attack, and may be, for example, an electronic device such as a desktop computer, a laptop computer, a smart phone, or a PDA. In addition, although not shown in the drawing, a user terminal (not shown) to be mentioned below is a terminal possessed by a general user and may be an electronic device such as a desktop, a laptop computer, a smartphone, a PDA, and the like, like the attacker terminal 102. there is. In addition, the web server 110 is a device that provides one or more web pages (or services) and may be located inside the company intranet 130 . Although only one web server 110 is shown in FIG. 2 for convenience of description, a plurality of web servers 110 may exist within the company intranet 130 according to the type or number of web pages (or services). In addition, as shown in FIG. 2, the IP blocking engine 104, the web server 110, and the cache server 112 are located inside the company intranet 130, and the attacker terminal 102, DNS server 106 ) and the attack blocking server 108 are located outside the company intranet 130 and can mutually transmit and receive data through the Internet network 120.

본 발명의 실시예들에 있어서, 인터넷 망(120)과 사내 인트라넷(130)은 네트워크 자원을 제공하는 주체에 따라 구분된다. 구체적으로, 사내 인트라넷(130)은 사내 업무 또는 서비스와 밀접하게 연관된 주체에 의하여 제공되는 네트워크를 의미하며, 인터넷 망(120)은 이러한 사내 인트라넷(130)의 제공 주체가 아닌 다른 서비스 제공자, 예를 들어 이동통신 서비스 제공자에 의하여 제공되는 네트워크를 의미한다. 인터넷 망(120)은 예를 들어, 공격자 단말(102) 및 사용자 단말이 가입된 이동통신망 또는 공중 무선 네트워크(Public WiFi) 등이 될 수 있다. In the embodiments of the present invention, the Internet network 120 and the company intranet 130 are classified according to entities that provide network resources. Specifically, the in-house intranet 130 refers to a network provided by an entity closely related to an in-house business or service, and the Internet network 120 is a service provider other than the provider of the in-house intranet 130, for example For example, it refers to a network provided by a mobile communication service provider. The Internet network 120 may be, for example, a mobile communication network or a public wireless network (Public WiFi) to which the attacker terminal 102 and the user terminal are subscribed.

또한, 본 실시예들에 있어서, 공격자 단말(102)의 공격이란 서버를 마비시키거나 네트워크의 성능을 저하시키는 행위로서, 예를 들어, DDoS(Distributed Denial Service) 공격, 웜(Worm) 공격 등이 될 수 있다. 이하에서는, 도 2를 참조하여 네트워크 보안 시스템(100)의 상세 구성에 대해 자세히 살펴보기로 한다.In addition, in the present embodiments, the attack of the attacker terminal 102 is an act of paralyzing a server or degrading network performance, for example, a Distributed Denial Service (DDoS) attack, a worm attack, etc. It can be. Hereinafter, a detailed configuration of the network security system 100 will be described in detail with reference to FIG. 2 .

아이피 차단 엔진(104)은 공격자 단말(102)이 웹 서버(102)에서 제공되는 웹 페이지에 접속하고자 하는 경우 외부 인터넷망(120)을 통해 접속 가능한 웹 페이지의 아이피 주소(예를 들어, “1.1.1.1”)를 차단한다. 아이피 차단 엔진(104)은 디도스 탐지 장비와 같은 공격 탐지 수단(미도시)를 구비할 수 있으며, 상기 공격 탐지 수단을 이용하여 공격자 단말(102)에서 발생되는 공격 트래픽(또는 유해 트래픽)을 탐지할 수 있다. 일 예시로서, 아이피 차단 엔진(104)은 특정 시간대에 웹 서버(110)로 유입되는 트래픽이 설정된 값을 초과하는 경우 공격 트래픽이 발생된 것으로 판단할 수 있다. 상기 공격 탐지 수단을 통해 공격자 단말(102)의 공격이 탐지되는 경우, 아이피 차단 엔진(104)은 방어 대상이 되는 웹 페이지의 아이피 주소를 네트워크 최상단에서 차단할 수 있다. 이때, 아이피 차단 엔진(104)은 공격자 단말(102)에서 발생되는 공격 트래픽뿐 아니라 사용자 단말에서 발생되는 정상 트래픽까지 모두 차단할 수 있다. 이에 따라, 인터넷 망(120)을 통해 사내 인트라넷(130)의 내부로 유입되는 트래픽이 모두 차단될 수 있다.When the attacker terminal 102 tries to access the web page provided by the web server 102, the IP blocking engine 104 uses the IP address of the web page accessible through the external Internet network 120 (for example, “1.1 .1.1”). The IP blocking engine 104 may include an attack detection means (not shown) such as a DDoS detection device, and detects attack traffic (or harmful traffic) generated from the attacker terminal 102 by using the attack detection means. can do. As an example, the IP blocking engine 104 may determine that attack traffic is generated when traffic flowing into the web server 110 exceeds a set value during a specific time period. When an attack by the attacker terminal 102 is detected through the attack detection unit, the IP blocking engine 104 may block the IP address of the web page to be defended at the top of the network. At this time, the IP blocking engine 104 may block all normal traffic generated from the user terminal as well as attack traffic generated from the attacker terminal 102 . Accordingly, all traffic flowing into the company intranet 130 through the Internet network 120 may be blocked.

DNS 서버(106)는 도메인 주소를 아이피 주소로 변환하는 장치로서, 사내 인트라넷(130)의 외부에 위치할 수 있다. DNS 서버(106)는 공격자 단말(102)이 접속하고자 하는 웹 페이지에 대한 DNS(Domain Name Service) 정보를 변경하여 공격자 단말(102) 및 사용자 단말의 트래픽을 공격 차단 서버(108)로 우회시킨다. 구체적으로, DNS 서버(106)는 DNS 서버(106)의 아이피 주소를 공격 차단 서버(108)의 아이피 주소(예를 들어, 3.3.3.3)로 변경함으로써 공격자 단말(102) 및 사용자 단말의 트래픽을 공격 차단 서버(108)로 우회시킬 수 있다. 이에 따라, 상기 웹 페이지에 접속하고자 하는 공격자 단말(102) 및 사용자 단말에서 발생되는 트래픽의 유입 경로가 공격 차단 서버(108)로 변경될 수 있다.The DNS server 106 is a device that converts a domain address into an IP address, and may be located outside the company intranet 130 . The DNS server 106 diverts the traffic of the attacker terminal 102 and the user terminal to the attack blocking server 108 by changing Domain Name Service (DNS) information for a web page that the attacker terminal 102 wants to access. Specifically, the DNS server 106 blocks the traffic of the attacker terminal 102 and the user terminal by changing the IP address of the DNS server 106 to the IP address of the attack blocking server 108 (eg, 3.3.3.3). It can be diverted to the attack blocking server 108. Accordingly, an inflow path of traffic generated from the attacker terminal 102 and the user terminal trying to access the web page may be changed to the attack blocking server 108 .

공격 차단 서버(108)는 공격자 단말(102)에서 발생되는 트래픽 중 공격 트래픽을 차단하는 장치로서, 상기 공격에 대한 대규모의 방어존을 구비하고 있다. 공격 차단 서버(108)는 예를 들어, 디도스 방어 장비를 구비할 수 있으며 상기 디도스 방어 장비를 이용하여 공격 트래픽을 탐지 및 차단할 수 있다. 공격 차단 서버(108)는 예를 들어, 한국인터넷진흥원(KISA)의 사이버대피소와 동일 또는 유사한 기능을 수행하는 서버일 수 있다. 도 2에 도시된 바와 같이, 공격 차단 서버(108)의 아이피 주소는 예를 들어, “3.3.3.3” 일 수 있으며, 사내 인트라넷(130)의 외부에 위치할 수 있다.The attack blocking server 108 is a device that blocks attack traffic among traffic generated from the attacker terminal 102 and has a large-scale defense zone against the attack. The attack blocking server 108 may include, for example, a DDoS protection device, and may detect and block attack traffic using the DDoS protection device. The attack blocking server 108 may be, for example, a server that performs the same or similar function as a cyber shelter of the Korea Internet & Security Agency (KISA). As shown in FIG. 2 , the IP address of the attack blocking server 108 may be, for example, “3.3.3.3” and may be located outside the company intranet 130 .

이때, 공격 차단 서버(108)는 DNS 서버(16)의 변경된 아이피 주소(예를 들어, 3.3.3.3)을 참고하여 유입된 트래픽 중 정상 트래픽(전체 트래픽 중 공격 트래픽이 제거된 트래픽)을 캐시 서버(112)를 통해 웹 서버(110)로 전달할 수 있다. 이를 위해, 공격 차단 서버(108)는 캐시 서버(112)와 1:1로 연결될 수 있다.At this time, the attack blocking server 108 refers to the changed IP address of the DNS server 16 (eg, 3.3.3.3) and transfers normal traffic (traffic from which attack traffic has been removed from all traffic) among the incoming traffic to the cache server. It can be transmitted to the web server 110 through (112). To this end, the attack blocking server 108 may be connected 1:1 with the cache server 112 .

캐시 서버(112)는 웹 서버(110)에서 제공되는 복수의 웹 페이지 각각에 대한 도메인 주소 및 상기 도메인 주소에 대응되는 아이피 주소가 저장되는 저장소로서, 사내 인트라넷(130)의 내부에 위치할 수 있다. 캐시 서버(112)에 저장된 도메인 주소 및 아이피 주소는 예를 들어, “abc.com : 1.1.1.1, def.com : 1.1.1.2, ghi.com : 1.1.1.3 …” 등이 될 수 있다. 도 2에서는 설명의 편의상 3개의 도메인 주소-아이피 주소 쌍만을 도시하였으나, 캐시 서버(112)에 저장된 도메인 주소-아이피 주소 쌍은 수백 내지 수천 개가 될 수 있다. 즉, 캐시 서버(112)는 하나 이상의 웹 서버(110)에서 제공되는 복수의 웹 페이지 각각에 대한 도메인 주소-아이피 주소 쌍을 저장하고 있으며, 저장된 상기 도메인 주소-아이피 주소 쌍을 이용하여 상술한 정상 트래픽을 웹 서버(110)에 전달할 수 있다.The cache server 112 is a storage in which domain addresses for each of a plurality of web pages provided by the web server 110 and IP addresses corresponding to the domain addresses are stored, and may be located inside the company intranet 130. . The domain address and IP address stored in the cache server 112 are, for example, "abc.com: 1.1.1.1, def.com: 1.1.1.2, ghi.com: 1.1.1.3... ” and so on. Although FIG. 2 shows only three domain address-IP address pairs for convenience of description, the number of domain address-IP address pairs stored in the cache server 112 may be hundreds or thousands. That is, the cache server 112 stores a domain address-IP address pair for each of a plurality of web pages provided by one or more web servers 110, and uses the stored domain address-IP address pair to normalize the above-mentioned. Traffic may be forwarded to the web server 110 .

상술한 바와 같이, 캐시 서버(112)는 공격 차단 서버(108)와 1:1로 연결될 수 있으며, 공격 차단 서버(108)로부터 정상 트래픽을 전달 받을 수 있다. 이때, 공격 차단 서버(108)는 공격자 단말(102)이 접속하고자 하는 웹 페이지의 도메인 주소(예를 들어, “abc.com”)를 캐시 서버(112)로 전송할 수 있다. 캐시 서버(112)는 캐시 서버(112)에 저장된 아이피 주소 중 공격 차단 서버(108)로부터 수신된 도메인 주소(즉, “abc.com”)에 대응되는 아이피 주소(즉, “1.1.1.1”)를 갖는 웹 서버(110)로 상기 정상 트래픽을 전달할 수 있다. 즉, 캐시 서버(112)는 정상 트래픽의 접속 아이피 주소를 캐시 서버(112)에 저장된 상기 아이피 주소(즉, “1.1.1.1”)로 변환함으로써 해당 정상 트래픽을 웹 서버(110)로 전달할 수 있다. 상술한 바와 같이, 캐시 서버(112)는 웹 서버(110)와 동일 네트워크 내(즉, 사내 인트라넷(130)의 내부)에 위치하므로, 사내 인트라넷(130)을 통해 상기 정상 트래픽을 웹 서버(110)로 원활하게 전달할 수 있다. As described above, the cache server 112 may be connected 1:1 to the attack blocking server 108 and receive normal traffic from the attack blocking server 108 . At this time, the attack blocking server 108 may transmit the domain address (eg, “abc.com”) of the web page that the attacker terminal 102 wants to access to the cache server 112 . The cache server 112 uses an IP address (ie, “1.1.1.1”) corresponding to the domain address (ie, “abc.com”) received from the attack blocking server 108 among the IP addresses stored in the cache server 112. The normal traffic can be delivered to the web server 110 having That is, the cache server 112 can forward the normal traffic to the web server 110 by converting the access IP address of the normal traffic to the IP address stored in the cache server 112 (ie, “1.1.1.1”). . As described above, since the cache server 112 is located in the same network as the web server 110 (that is, inside the company intranet 130), the normal traffic is transmitted to the web server 110 through the company intranet 130. ) can be smoothly transmitted.

본 발명의 실시예들에 따르면, 캐시 서버(112)에 저장된 도메인 주소-아이피 주소 쌍을 이용하여 공격 차단 서버(108)로부터 전달 받은 정상 트래픽을 웹 서버(110)로 용이하게 전달할 수 있으며, 이에 따라 종래 기술과 달리 방어 대상이 되는 각 웹 페이지(또는 서비스)별로 아이피 주소를 추가적으로 할당할 필요가 없게 된다. 또한, 본 발명의 실시예들에 따르면, 방어 대상이 되는 각 웹 페이지(또는 서비스)별로 아이피 주소를 추가적으로 할당할 필요가 없으므로, 종래 기술과 달리 네트워크 및 방화벽 설정 변경 작업을 추가적으로 수행할 필요가 없으며 공격자 단말(102)의 공격에 대한 대응 절차를 간소화할 수 있다.According to embodiments of the present invention, normal traffic received from the attack blocking server 108 can be easily forwarded to the web server 110 using the domain address-IP address pair stored in the cache server 112. Accordingly, unlike the prior art, there is no need to additionally allocate an IP address for each web page (or service) to be defended. In addition, according to the embodiments of the present invention, since there is no need to additionally allocate an IP address for each web page (or service) to be defended, unlike the prior art, there is no need to additionally change network and firewall settings. A response procedure for an attack by the attacker terminal 102 can be simplified.

또한, 웹 서버(110)에서 제공되는 복수의 웹 페이지 각각에 대한 아이피 주소의 대역은 캐시 서버(112)의 아이피 주소의 대역과 상이할 수 있다. 일 예시로서, 웹 서버(110)에서 제공되는 복수의 웹 페이지 각각에 대한 아이피 주소의 대역은 “1.1.1.1 ~ 1.1.1.255” 일 수 있으나, 캐시 서버(112)의 아이피 주소의 대역은 이와 상이한 “2.2.2.2” 일 수 있다. 즉, 본 발명의 실시예들에 따르면, 웹 서버(110)에서 제공되는 복수의 웹 페이지 각각에 대한 아이피 주소의 대역이 캐시 서버(112)의 아이피 주소의 대역과 상이하므로, 외부에 캐시 서버(112)의 아이피 주소가 은닉되는 효과를 가져오게 되며 이에 따라 네트워크 보안이 강화될 수 있다.
In addition, a range of IP addresses for each of a plurality of web pages provided by the web server 110 may be different from a range of IP addresses of the cache server 112 . As an example, the range of IP addresses for each of the plurality of web pages provided by the web server 110 may be “1.1.1.1 to 1.1.1.255”, but the range of IP addresses of the cache server 112 is different from this. It can be “2.2.2.2”. That is, according to the embodiments of the present invention, since the range of IP addresses for each of the plurality of web pages provided by the web server 110 is different from the range of IP addresses of the cache server 112, the external cache server ( 112) has the effect of hiding the IP address, and thus network security can be strengthened.

도 3은 본 발명의 일 실시예에 따른 네트워크 보안 방법을 설명하기 위한 흐름도이다. 도시된 흐름도에서는 상기 방법을 복수 개의 단계로 나누어 기재하였으나, 적어도 일부의 단계들은 순서를 바꾸어 수행되거나, 다른 단계와 결합되어 함께 수행되거나, 생략되거나, 세부 단계들로 나뉘어 수행되거나, 또는 도시되지 않은 하나 이상의 단계가 부가되어 수행될 수 있다.3 is a flowchart illustrating a network security method according to an embodiment of the present invention. In the illustrated flowchart, the method is divided into a plurality of steps, but at least some of the steps are performed in reverse order, combined with other steps, performed together, omitted, divided into detailed steps, or not shown. One or more steps may be added and performed.

S302 단계에서, 아이피 차단 엔진(104)은 공격자 단말(102)이 웹 서버(110)에서 제공되는 웹 페이지에 접속하고자 하는 경우 외부 인터넷망(120)을 통해 접속 가능한 상기 웹 페이지의 아이피 주소를 차단한다. 아이피 차단 엔진(104)은 디도스 탐지 장비와 같은 공격 탐지 수단(미도시)를 구비할 수 있으며, 상기 공격 탐지 수단을 통해 공격자 단말(102)의 공격이 탐지되는 경우 방어 대상이 되는 웹 페이지의 아이피 주소를 네트워크 최상단에서 차단할 수 있다. 이때, 아이피 차단 엔진(104)은 공격자 단말(102)에서 발생되는 공격 트래픽뿐 아니라 사용자 단말에서 발생되는 정상 트래픽까지 모두 차단할 수 있다. 이에 따라, 인터넷 망(120)을 통해 사내 인트라넷(130)의 내부로 유입되는 트래픽이 모두 차단될 수 있다.In step S302, the IP blocking engine 104 blocks the IP address of the web page accessible through the external internet network 120 when the attacker terminal 102 tries to access the web page provided by the web server 110. do. The IP blocking engine 104 may include an attack detection means (not shown) such as a DDoS detection device, and when an attack of the attacker terminal 102 is detected through the attack detection means, the web page to be defended IP addresses can be blocked at the top of the network. At this time, the IP blocking engine 104 may block all normal traffic generated from the user terminal as well as attack traffic generated from the attacker terminal 102 . Accordingly, all traffic flowing into the company intranet 130 through the Internet network 120 may be blocked.

S304 단계에서, DNS 서버(106)는 공격자 단말(102)이 접속하고자 하는 웹 페이지에 대한 DNS 정보를 변경하여 공격자 단말(102) 및 사용자 단말의 트래픽을 공격 차단 서버(108)로 우회시킨다. 구체적으로, DNS 서버(106)는 DNS 서버(106)의 아이피 주소를 공격 차단 서버(108)의 아이피 주소(예를 들어, 3.3.3.3)로 변경함으로써 공격자 단말(102) 및 사용자 단말의 트래픽을 공격 차단 서버(108)로 우회시킬 수 있다. 이에 따라, 상기 웹 페이지에 접속하고자 하는 공격자 단말(102) 및 사용자 단말에서 발생되는 트래픽의 유입 경로가 공격 차단 서버(108)로 변경될 수 있다.In step S304, the DNS server 106 changes the DNS information of the web page that the attacker terminal 102 wants to access and diverts the traffic of the attacker terminal 102 and the user terminal to the attack blocking server 108. Specifically, the DNS server 106 blocks the traffic of the attacker terminal 102 and the user terminal by changing the IP address of the DNS server 106 to the IP address of the attack blocking server 108 (eg, 3.3.3.3). It can be diverted to the attack blocking server 108. Accordingly, an inflow path of traffic generated from the attacker terminal 102 and the user terminal trying to access the web page may be changed to the attack blocking server 108 .

S306 단계에서, 공격 차단 서버(108)는 DNS 서버(106)의 변경된 아이피 주소(예를 들어, 3.3.3.3)을 참고하여 유입된 트래픽 중 공격 트래픽을 차단한다. 공격 차단 서버(108)는 예를 들어, 디도스 방어 장비를 구비할 수 있으며 상기 디도스 방어 장비를 이용하여 공격 트래픽을 탐지 및 차단할 수 있다. 상술한 바와 같이, 공격 차단 서버(108)는 사내 인트라넷(130)의 외부에 위치할 수 있으며, 캐시 서버(112)와 1:1로 연결될 수 있다. 이에 따라, 공격 차단 서버(108)는 공격 트래픽을 차단하고 남은 정상 트래픽을 캐시 서버(112)로 전달할 수 있다. 이때, 공격 차단 서버(108)는 상기 웹 페이지의 도메인 주소를 캐시 서버(112)로 전송할 수 있다.In step S306, the attack blocking server 108 refers to the changed IP address (eg, 3.3.3.3) of the DNS server 106 and blocks attack traffic among incoming traffic. The attack blocking server 108 may include, for example, a DDoS protection device, and may detect and block attack traffic using the DDoS protection device. As described above, the attack blocking server 108 may be located outside the company intranet 130 and may be connected to the cache server 112 1:1. Accordingly, the attack blocking server 108 may block the attack traffic and deliver the remaining normal traffic to the cache server 112 . At this time, the attack blocking server 108 may transmit the domain address of the web page to the cache server 112 .

S308 단계에서, 캐시 서버(112)는 캐시 서버(112)에 저장된 도메인 주소 및 아이피 주소를 이용하여 상기 정상 트래픽을 웹 서버(110)에 전달한다. 구체적으로, 캐시 서버(112)는 캐시 서버(112)에 저장된 아이피 주소 중 공격 차단 서버(108)로부터 수신된 도메인 주소에 대응되는 아이피 주소를 갖는 웹 서버(100)로 상기 정상 트래픽을 전달할 수 있다. 즉, 캐시 서버(112)는 정상 트래픽의 접속 아이피 주소를 공격 차단 서버(108)로부터 수신된 도메인 주소에 대응되는 아이피 주소로 변환함으로써 해당 정상 트래픽을 웹 서버(110)로 전달할 수 있다.
In step S308, the cache server 112 transfers the normal traffic to the web server 110 using the domain address and IP address stored in the cache server 112. Specifically, the cache server 112 may forward the normal traffic to the web server 100 having an IP address corresponding to the domain address received from the attack blocking server 108 among the IP addresses stored in the cache server 112. . That is, the cache server 112 can forward the normal traffic to the web server 110 by converting the access IP address of the normal traffic into an IP address corresponding to the domain address received from the attack blocking server 108 .

이상에서 대표적인 실시예를 통하여 본 발명에 대하여 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 전술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다. 그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
Although the present invention has been described in detail through representative examples above, those skilled in the art can make various modifications to the above-described embodiments without departing from the scope of the present invention. will understand Therefore, the scope of the present invention should not be limited to the described embodiments and should not be defined, and should be defined by not only the claims to be described later, but also those equivalent to these claims.

10, 100 : 네트워크 보안 시스템
12, 102 : 공격자 단말
14, 104 : 아이피 차단 엔진
16, 106 : DNS 서버
18, 108 : 공격 차단 서버
20, 110 : 웹 서버
112 : 캐시 서버
30, 120 : 인터넷 망
40, 130 : 사내 인트라넷10, 100: network security system
12, 102: attacker terminal
14, 104: IP blocking engine
16, 106: DNS server
18, 108: attack blocking server
20, 110: web server
112: cache server
30, 120: internet network
40, 130: in-house intranet

Claims (10)

웹 서버에서 제공되는 웹 페이지에 대한 DNS(Domain Name Service) 정보의 아이피 주소를 공격 차단 서버의 아이피 주소로 변경하여 상기 웹 페이지에 대한 공격자 단말의 공격 트래픽과 사용자 단말의 정상 트래픽을 공격 차단 서버로 우회시키도록 구성된 DNS 서버;
상기 공격 트래픽을 차단하고 상기 정상 트래픽과 상기 웹 페이지의 도메인 주소를 캐시 서버로 전달하도록 구성된 상기 공격 차단 서버; 및
상기 웹 서버에서 제공되는 복수의 웹 페이지에 대한 도메인 주소-아이피 주소 쌍을 저장하며, 상기 도메인 주소-아이피 주소 쌍을 이용하여 상기 공격 차단 서버로부터 수신한 도메인 주소에 대응하며 상기 공격 차단 서버의 아이피 주소로 변경되지 않은 아이피 주소를 획득하고, 상기 획득한 아이피 주소를 이용하여 상기 정상 트래픽을 상기 웹 서버에 전달하도록 구성된 상기 캐시 서버를 포함하는, 네트워크 보안 시스템.
By changing the IP address of the DNS (Domain Name Service) information for the web page provided by the web server to the IP address of the attack blocking server, the attack traffic of the attacker's terminal and the normal traffic of the user terminal for the web page are transferred to the attack blocking server. DNS servers configured to bypass;
the attack blocking server configured to block the attack traffic and forward the normal traffic and the domain address of the web page to a cache server; and
It stores domain address-IP address pairs for a plurality of web pages provided by the web server, and corresponds to the domain address received from the attack blocking server using the domain address-IP address pair, and the IP address of the attack blocking server and the cache server configured to acquire an IP address that has not been changed as an address, and deliver the normal traffic to the web server using the acquired IP address.
 청구항 1에 있어서,
상기 웹 서버 및 상기 캐시 서버는 사내 인트라넷의 내부에 위치하며,
상기 DNS 서버 및 상기 공격 차단 서버는 상기 사내 인트라넷의 외부에 위치하는, 네트워크 보안 시스템.
The method of claim 1,
The web server and the cache server are located inside the company intranet,
The DNS server and the attack blocking server are located outside the company intranet, the network security system.
 청구항 2에 있어서,
상기 웹 서버에서 제공되는 복수의 웹 페이지에 대한 아이피 주소의 대역은, 상기 캐시 서버의 아이피 주소의 대역과 상이한, 네트워크 보안 시스템.
The method of claim 2,
A band of IP addresses for a plurality of web pages provided by the web server is different from a band of IP addresses of the cache server, the network security system.
 삭제delete 청구항 1에 있어서,
상기 웹 페이지에 대한 공격 트래픽을 탐지한 경우, 외부 인터넷망을 통해 접속 가능한 상기 웹 페이지의 아이피 주소를 차단하도록 구성된 아이피 차단 엔진을 더 포함하는, 네트워크 보안 시스템.
The method of claim 1,
The network security system further comprises an IP blocking engine configured to block an IP address of the web page accessible through an external Internet network when attack traffic to the web page is detected.
 DNS 서버에서, 웹 서버에서 제공되는 웹 페이지에 대한 DNS(Domain Name Service) 정보의 아이피 주소를 공격 차단 서버의 아이피 주소로 변경하여 상기 웹 페이지에 대한 공격자 단말의 공격 트래픽과 사용자 단말의 정상 트래픽을 공격 차단 서버로 우회시키는 단계;
상기 공격 차단 서버에서, 상기 공격 트래픽을 차단하고 상기 정상 트래픽과 상기 웹 페이지의 도메인 주소를 캐시 서버로 전달하는 단계; 및
상기 캐시 서버에서, 상기 웹 서버에서 제공되는 복수의 웹 페이지에 대한 도메인 주소-아이피 주소 쌍을 저장하며, 상기 도메인 주소아이피 주소 쌍을 이용하여 상기 공격 차단 서버로부터 수신한 도메인 주소에 대응하며 상기 공격 차단 서버의 아이피 주소로 변경되지 않은 아이피 주소를 획득하고, 상기 획득한 아이피 주소를 이용하여 상기 정상 트래픽을 상기 웹 서버에 전달하는 단계를 포함하는, 네트워크 보안 방법.
In the DNS server, the IP address of the DNS (Domain Name Service) information for the web page provided by the web server is changed to the IP address of the attack blocking server, so that the attack traffic of the attacker terminal and the normal traffic of the user terminal for the web page are changed. bypassing the attack blocking server;
In the attack blocking server, blocking the attack traffic and forwarding the normal traffic and the domain address of the web page to a cache server; and
The cache server stores domain address-IP address pairs for a plurality of web pages provided by the web server, and corresponds to the domain address received from the attack blocking server using the domain address IP address pair, and the attack A network security method comprising obtaining an IP address that is not changed as an IP address of a blocking server and forwarding the normal traffic to the web server using the obtained IP address.
 청구항 6에 있어서,
상기 웹 서버 및 상기 캐시 서버는 사내 인트라넷의 내부에 위치하며,
상기 DNS 서버 및 상기 공격 차단 서버는 상기 사내 인트라넷의 외부에 위치하는, 네트워크 보안 방법.
The method of claim 6,
The web server and the cache server are located inside the company intranet,
The network security method of claim 1 , wherein the DNS server and the attack blocking server are located outside the company intranet.
 청구항 7에 있어서,
상기 웹 서버에서 제공되는 복수의 웹 페이지에 대한 아이피 주소의 대역은 상기 캐시 서버의 아이피 주소의 대역과 상이한, 네트워크 보안 방법.
The method of claim 7,
Bands of IP addresses for a plurality of web pages provided by the web server are different from bands of IP addresses of the cache server, network security method.
 삭제delete 청구항 6에 있어서,
아이피 차단 엔진에서, 상기 웹 페이지에 대한 공격 트래픽을 탐지한 경우, 외부 인터넷망을 통해 접속 가능한 상기 웹 페이지의 아이피 주소를 차단하는 단계를 더 포함하는, 네트워크 보안 방법.The method of claim 6,
The network security method of claim 1 , further comprising blocking an IP address of the web page accessible through an external internet network when an attack traffic to the web page is detected by an IP blocking engine.
KR1020160026451A 2016-03-04 2016-03-04 System and method for network security KR102550813B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160026451A KR102550813B1 (en) 2016-03-04 2016-03-04 System and method for network security

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160026451A KR102550813B1 (en) 2016-03-04 2016-03-04 System and method for network security

Publications (2)

Publication Number Publication Date
KR20170103481A KR20170103481A (en) 2017-09-13
KR102550813B1 true KR102550813B1 (en) 2023-07-03

Family

ID=59967943

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160026451A KR102550813B1 (en) 2016-03-04 2016-03-04 System and method for network security

Country Status (1)

Country Link
KR (1) KR102550813B1 (en)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110026926A (en) * 2009-09-09 2011-03-16 (주)제이투씨엔에스 (method for blocking distributed denial of service
KR101042291B1 (en) 2009-11-04 2011-06-17 주식회사 컴트루테크놀로지 System and method for detecting and blocking to distributed denial of service attack
KR101379803B1 (en) * 2012-07-04 2014-03-31 주식회사 비씨클라우드 System for distributing abnormal traffic and method of distributing abnormal traffice using the same

Also Published As

Publication number Publication date
KR20170103481A (en) 2017-09-13

Similar Documents

Publication Publication Date Title
US11159486B2 (en) Stream scanner for identifying signature matches
US11277383B2 (en) Cloud-based intrusion prevention system
KR101662605B1 (en) System and method for correlating network information with subscriber information in a mobile network environment
US9838413B2 (en) Zero day threat detection based on fast flux detection and aggregation
Elejla et al. ICMPv6-based DoS and DDoS attacks and defense mechanisms
US8533780B2 (en) Dynamic content-based routing
US20180113807A1 (en) Distributed cloud-based dynamic name server surrogation systems and methods
US10225237B2 (en) Systems and methods for improving HTTPS security
JP2020195141A (en) Secure dynamic communication network and protocol
JP5031826B2 (en) Distributed firewall implementation and control
US20170134957A1 (en) System and method for correlating network information with subscriber information in a mobile network environment
US10230691B2 (en) Systems, devices, and methods for improved domain name system firewall protection
CN102137111A (en) Method and device for preventing CC (Challenge Collapsar) attack and content delivery network server
GB2512954A (en) Detecting and marking client devices
US20160149942A2 (en) Unauthorized/Malicious Redirection
US20150113629A1 (en) Monitoring network traffic
US9338657B2 (en) System and method for correlating security events with subscriber information in a mobile network environment
US10855704B1 (en) Neutralizing malicious locators
Schulz et al. Tetherway: a framework for tethering camouflage
Ahmed et al. A Linux-based IDPS using Snort
KR102550813B1 (en) System and method for network security
Harborth et al. Integrating privacy-enhancing technologies into the internet infrastructure
Ramesh et al. Dynamic Security Architecture among E-Commerce Websites
Chander et al. Detection of DDoS Attack Using Traceback Technique
Chieffalo et al. The Internet of Things-An Engineering Approach to Combating a Potential Skynet

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant