KR102571147B1 - 스마트워크 환경을 위한 보안 장치 및 그를 수행하도록 컴퓨터 판독 가능한 기록 매체에 저장된 프로그램 - Google Patents

스마트워크 환경을 위한 보안 장치 및 그를 수행하도록 컴퓨터 판독 가능한 기록 매체에 저장된 프로그램 Download PDF

Info

Publication number
KR102571147B1
KR102571147B1 KR1020210076769A KR20210076769A KR102571147B1 KR 102571147 B1 KR102571147 B1 KR 102571147B1 KR 1020210076769 A KR1020210076769 A KR 1020210076769A KR 20210076769 A KR20210076769 A KR 20210076769A KR 102571147 B1 KR102571147 B1 KR 102571147B1
Authority
KR
South Korea
Prior art keywords
packet
sip
packets
list
information
Prior art date
Application number
KR1020210076769A
Other languages
English (en)
Other versions
KR20220167605A (ko
Inventor
김준태
Original Assignee
주식회사 이지스텍
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 이지스텍 filed Critical 주식회사 이지스텍
Priority to KR1020210076769A priority Critical patent/KR102571147B1/ko
Publication of KR20220167605A publication Critical patent/KR20220167605A/ko
Application granted granted Critical
Publication of KR102571147B1 publication Critical patent/KR102571147B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/302Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Evolutionary Computation (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

스마트워크 환경을 위한 보안 장치 및 방법과, 그를 수행하도록 컴퓨터 판독 가능한 기록 매체에 저장된 프로그램이 제공된다. 네트워크 보안 장치는, 인증된 서버들의 IP(Internet Protocol) 주소 정보를 포함하는 서버 리스트를 수신하고, 서버 리스트를 이용하여 수신되는 패킷에 대하여 정상 패킷과 비정상 패킷을 판별하며, 인증된 단말들의 IP 주소 정보, 포트 정보, 유효 기간 정보 및 단말의 종류 정보를 포함하는 단말 리스트를 수신하고, 단말 리스트를 이용하여 비정상 패킷을 심층 패킷 분석 방법을 통하여 유효 패킷과 비유효 패킷을 판별하며, 비유효 패킷을 차단하고, 유효 패킷을 대상 단말로 전송한다.

Description

스마트워크 환경을 위한 보안 장치 및 그를 수행하도록 컴퓨터 판독 가능한 기록 매체에 저장된 프로그램{SECURITY APPARATUS AND METHOD FOR SMARTWORK ENVIRONMENT}
본 발명은 스마트워크 환경을 위한 네트워크 보안 장치에 관련된 것으로, 보다 구체적으로는 스마트워크 서비스를 위한 UC&C(Unified communications & Collaboration) 시스템과 인터넷망의 접점 구간에 위치하여 스마트워크를 위한 업무의 핵심인 음성통화, 영상통화, 채팅, 파일 공유를 위해 사용되는 프로토콜에 대한 침해 여부를 탐지하고 차단하는 네트워크 보안 장치 및 방법과, 그를 저장하는 컴퓨터 판독 가능한 기록매체에 관련된 것이다.
주 52시간 근무 및 코로나19로 인한 유연근무제 시행 기업들이 급격히 증가함에 따라, UC&C(Unified communications & Collaboration) 솔루션을 통한 스마트워크 서비스 환경이 증가하고 있다. 또한, 재택 근무 및 원격 근무 같은 스마트워크 서비스가 인터넷 환경에서 운영되므로, 다양한 인터넷 네트워크 및 서비스 보안 취약성에 그대로 노출되어 있다.
하지만, 현재 대부분의 스마트워크 서비스 기업에서는 데이터 방화벽의 보안 체계에 의존하고 있는 실정이지만, 데이터 방화벽의 IP/Port 기반의 보안 정책으로는 UC&C에 사용되는 프로토콜의 취약성에 기인한 도청, 해킹, 업무방해 등의 공격에는 무방비한 문제점이 있다. 즉, 스마트워크 서비스를 위한 UC&C 시스템에 특화된 보안 솔루션이 필요한 상태이다.
본 발명이 해결하고자 하는 일 기술적 과제는, 스마트워크 서비스를 위한 UC&C(Unified communications & Collaboration) 시스템과 인터넷망의 접점 구간에 위치하여 스마트워크를 위한 프로토콜에 대한 침해 여부를 탐지하고 차단하는 네트워크 보안 장치 및 방법과, 그를 저장하는 컴퓨터 판독 가능한 기록매체를 제공하는데 있다.
본 발명이 해결하고자 하는 다른 기술적 과제는, DPI(Deep Packet Inspection) 기술 및 상태(State) 기반 서비스 플로우(flow) 감시 기술을 이용한 네트워크 보안 장치 및 방법과, 그를 저장하는 컴퓨터 판독 가능한 기록매체를 제공하는데 있다.
본 발명이 해결하고자 하는 기술적 과제는 상술된 것에 제한되지 않는다.
본 발명의 일 실시 예에 따른 스마트워크 환경을 위한 보안 장치는, 하나 이상의 프로세서; 및 상기 하나 이상의 프로세서에 의한 실행 시, 상기 하나 이상의 프로세서가 연산을 수행하도록 하는 명령들이 저장된 하나 이상의 메모리를 포함하며, 상기 하나 이상의 프로세서는, 인증된 서버들의 IP(Internet Protocol) 주소 정보를 포함하는 서버 리스트를 수신하고, 상기 서버 리스트를 이용하여 수신되는 패킷에 대하여 정상 패킷과 비정상 패킷을 판별하며, 인증된 단말들의 IP 주소 정보, 포트 정보, 유효 기간 정보 및 단말의 종류 정보를 포함하는 단말 리스트를 수신하고, 상기 단말 리스트를 이용하여 상기 비정상 패킷을 심층 패킷 분석 방법을 통하여 유효 패킷과 비유효 패킷을 판별하며, 상기 비유효 패킷을 차단하고, 상기 유효 패킷을 대상 단말로 전송할 수 있다.
일 실시예로서, 상기 하나 이상의 프로세서는, 상기 정상 패킷과 상기 비정상 패킷의 판별 결과에 기초하여 상기 서버 리스트를 업데이트하고, 상기 유효 패킷과 상기 비유효 패킷의 판별 결과에 기초하여 상기 단말 리스트를 업데이트할 수 있다.
일 실시예로서, 상기 수신되는 패킷은, SIP(Session Initiation Protocol) 패킷, MSRP(Message Session Relay Protocol) 패킷 및 HTTP(Hypertext Transfer Protocol) 패킷 중 적어도 하나의 패킷을 포함할 수 있다.
일 실시예로서, 상기 하나 이상의 프로세서는, 상기 정상 패킷과 상기 비정상 패킷의 판별 과정에서의 분석 정보에 기초하여 분석 데이터를 형성하고, 상기 분석 데이터에 기초하여 소정 주기별로 통계 데이터를 형성하며, 기계학습 알고리즘을 이용하여 상기 분석 데이터 및 상기 통계 데이터로부터 학습 데이터를 형성하고, 상기 학습 데이터를 이용하여 상기 서버 리스트를 주기적으로 업데이트 할 수 있다.
일 실시예로서, 상기 하나 이상의 프로세서는, 상기 유효 패킷과 상기 비유효 패킷의 판별 과정에서의 분석 정보에 기초하여 분석 데이터를 형성하고, 상기 분석 데이터에 기초하여 소정 주기별로 통계 데이터를 형성하며, 기계학습 알고리즘을 이용하여 상기 분석 데이터 및 상기 통계 데이터로부터 학습 데이터를 형성하고, 상기 학습 데이터를 이용하여 상기 단말 리스트를 주기적으로 업데이트 할 수 있다.
본 발명의 일 실시 예에 따른 하나 이상의 프로세서; 및 상기 하나 이상의 프로세서에 의한 실행 시, 상기 하나 이상의 프로세서가 연산을 수행하도록 하는 명령들이 저장된 하나 이상의 메모리를 포함하는 네트워크 보안 장치를 이용한 네트워크 보안 방법은, 인증된 서버들의 IP(Internet Protocol) 주소 정보를 포함하는 서버 리스트를 수신하는 단계; 상기 서버 리스트를 이용하여 수신되는 패킷에 대하여 정상 패킷과 비정상 패킷을 판별하는 단계; 인증된 단말들의 IP 주소 정보, 포트 정보, 유효 기간 정보 및 단말의 종류 정보를 포함하는 단말 리스트를 수신하는 단계; 상기 단말 리스트를 이용하여 상기 비정상 패킷을 심층 패킷 분석 방법을 통하여 유효 패킷과 비유효 패킷을 판별하는 단계; 및 상기 비유효 패킷을 차단하고, 상기 유효 패킷을 대상 단말로 전송하는 단계를 포함할 수 있다.
본 발명의 일 실시 예에 따른 하나 이상의 프로세서; 및 상기 하나 이상의 프로세서에 의한 실행 시, 상기 하나 이상의 프로세서가 연산을 수행하도록 하는 명령들이 저장된 하나 이상의 메모리를 포함하는 컴퓨터에서 수행 가능하도록 컴퓨터 판독 가능한 기록매체에 저장된 컴퓨터 프로그램은, 인증된 서버들의 IP(Internet Protocol) 주소 정보를 포함하는 서버 리스트를 수신하는 단계; 상기 서버 리스트를 이용하여 수신되는 패킷에 대하여 정상 패킷과 비정상 패킷을 판별하는 단계; 인증된 단말들의 IP 주소 정보, 포트 정보, 유효 기간 정보 및 단말의 종류 정보를 포함하는 단말 리스트를 수신하는 단계; 상기 단말 리스트를 이용하여 상기 비정상 패킷을 심층 패킷 분석 방법을 통하여 유효 패킷과 비유효 패킷을 판별하는 단계; 및 상기 비유효 패킷을 차단하고, 상기 유효 패킷을 대상 단말로 전송하는 단계를 수행 가능하도록 컴퓨터 판독 가능한 기록매체에 저장될 수 있다.
본 발명의 일 실시 예에 따른 스마트워크 환경을 위한 보안 장치 및 방법과, 그를 저장하는 컴퓨터 판독 가능한 기록매체는, 네트워크 보안을 위하여 서버 리스트(화이트 리스트) 기반의 탐지 방법과 단말 리스트 기반의 탐지 방법을 융합하여 비정상 공격 메시지에 대한 탐지 및 차단 기능을 수행할 수 있다. 이로써, UC&C 시스템과 인터넷망 간에 송수신되는 패킷의 기밀성과 보안성을 보장하고, 외부로부터의 네트워크 공격으로부터 UC&C 시스템을 보호할 수 있다.
또한, 본 발명의 일 실시 예에 따른 네트워크 보안 장치 및 방법은, 정상 패킷과 비정상 패킷/유효 패킷과 비유효 패킷 판별 과정에서의 분석 정보에 기초하여 보안 프로파일을 주기적으로 업데이트할 수 있다. 이로써, 계절별, 시간대별, 날씨별로 변화하는 판별 기준에 따른 오 탐지율을 최소화할 수 있다.
또한, 본 발명의 일 실시 예에 따른 네트워크 보안 장치 및 방법은, DPI 기술 및 상태 기반 서비스 플로우 감시 기술을 이용하여 유효하지 않은 패킷에 대한 탐지 및 차단 기능을 수행할 수 있다. 이로써, 유효하지 않은 패킷을 다각적으로 탐지할 수 있어서 유효하지 않은 패킷에 대한 탐지율을 향상시킬 수 있다.
도 1은 본 발명의 실시 예에 따른 스마트워크 환경을 위한 네트워크 보안 환경의 구성을 보이는 예시도이다.
도 2는 본 발명의 실시 예에 따른 통합 어플리케이션 보안솔루션 개발 개념도이다.
도 3은 본 발명의 실시예에 따른 UC&C 프로토콜 취약점 분석 개념도이다.
도 4는 본 발명의 실시 예에 따른 UC&C 서비스별 보안 알고리즘 개발을 위한 주요 공통 기술의 개념도이다.
도 5는 본 발명의 실시 예에 따른 네트워크 보안 장치의 구성을 보이는 예시도이다.
도 6은 본 발명의 실시 예에 따른 보안 알고리즘 구현을 위한 패킷 필터링 플로우의 개념도이다.
도 7은 본 발명의 실시 예에 따른 SIP 패킷의 보안 알고리즘 흐름도이다.
도 8은 본 발명의 실시 예에 따른 SIP 패킷의 필터링 흐름도이다.
도 9는 본 발명의 실시 예에 따른 SIP 패킷의 ACL 알고리즘 흐름도이다.
도 10은 본 발명의 실시예에 따른 SIP 패킷의 플로딩 알고리즘을 보이는 흐름도이다.
도 11은 본 발명의 실시 예에 따른 SIP 패킷의 콜 갭핑 알고리즘을 보이는 흐름도이다.
도 12는 본 발명의 실시 예에 따른 SIP 처리 과정 중 SRTP 알고리즘을 보이는 흐름도이다.
도 13은 본 발명의 실시 예에 따른 MSRP 패킷 보안 알고리즘을 보이는 흐름도이다.
도 14는 본 발명의 실시 예에 따른 MSRP 패킷 필터링 플로우를 보이는 흐름도이다.
도 15는 본 발명의 실시 예에 따른 MSRP 패킷의 ACL 보안을 보이는 흐름도이다.
도 16은 본 발명의 실시 예에 따른 MSRP 패킷의 DDoS 보안을 보이는 흐름도이다.
도 17은 본 발명의 실시 예에 따른 HTTP 패킷 보안 알고리즘을 보이는 흐름도이다.
도 18은 본 발명의 실시 예에 따른 HTTP 패킷의 필터링 플로우를 보이는 흐름도이다.
도 19는 본 발명의 실시 예에 따른 HTTP 패킷의 ACL 보안을 보이는 흐름도이다.
도 20은 본 발명의 실시 예에 따른 HTTP 패킷의 DDoS 보안을 보이는 흐름도이다.
도 21은 본 발명의 실시 예에 따른 HTTP 패킷의 헤더 보안을 보이는 흐름도이다.
도 22는 본 발명의 실시 예에 따른 패킷 수신부터 전송까지의 흐름도이다.
도 23은 본 발명의 실시 예에 따른 패킷 처리 과정의 ACL 보안을 보이는 흐름도이다.
도 24는 본 발명의 실시 예에 따른 패킷 처리 과정의 DDoS 보안을 보이는 흐름도이다.
도 25는 본 발명의 실시 예에 따른 패킷 처리 과정의 전달/차단 절차를 보이는 흐름도이다.
도 26은 본 발명의 실시 예에 따른 UC&C 통합 보안 시스템을 블록도이다.
도 27은 본 발명의 실시 예에 따른 UC&C 프로토콜 통합보안 플랫폼의 개념도이다.
도 28은 본 발명의 실시 예에 따른 PFM 블록의 개념도이다.
도 29는 본 발명의 실시 예에 따른 SIPSB 블록의 개념도이다.
도 30은 본 발명의 실시 예에 따른 MSRPSB 블록의 개념도이다.
도 31은 본 발명의 실시 예에 따른 HTTPSB 블록의 개념도이다.
도 32는 본 발명의 실시 예에 따른 라이브러리 구성 예시도이다.
도 33은 본 발명의 실시 예에 따른 이클립스 기반 개발 프레임워크의 구조도이다.
도 34는 본 발명의 실시 예에 따른 스프링 프레임워크 기반 개발 개념도이다.
도 35는 본 발명의 실시 예에 따른 관리자용 웹 GUI의 예시도이다.
도 36은 본 발명의 실시 예에 따른 관리자용 운영관리 기능의 구성도이다.
도 37은 본 발명의 실시 예에 따른 네트워크 보안 방법의 절차를 보이는 흐름도이다.
Figure 112021068275049-pat00001
Figure 112021068275049-pat00002
Figure 112021068275049-pat00003
Figure 112021068275049-pat00004
Figure 112021068275049-pat00005
Figure 112021068275049-pat00006
Figure 112021068275049-pat00007
Figure 112021068275049-pat00008
Figure 112021068275049-pat00009
Figure 112021068275049-pat00010
Figure 112021068275049-pat00011
Figure 112021068275049-pat00012
Figure 112021068275049-pat00013
Figure 112021068275049-pat00014
Figure 112021068275049-pat00015
Figure 112021068275049-pat00016
Figure 112021068275049-pat00017
Figure 112021068275049-pat00018
이하, 첨부된 도면들을 참조하여 본 발명의 바람직한 실시 예를 상세히 설명할 것이다. 그러나 본 발명의 기술적 사상은 여기서 설명되는 실시 예에 한정되지 않고 다른 형태로 구체화될 수도 있다. 오히려, 여기서 소개되는 실시 예는 개시된 내용이 철저하고 완전해질 수 있도록 그리고 당업자에게 본 발명의 사상이 충분히 전달될 수 있도록 하기 위해 제공되는 것이다.
본 명세서에서, 어떤 구성요소가 다른 구성요소 상에 있다고 언급되는 경우에 그것은 다른 구성요소 상에 직접 형성될 수 있거나 또는 그들 사이에 제 3의 구성요소가 개재될 수도 있다는 것을 의미한다.
또한, 본 명세서의 다양한 실시 예 들에서 제1, 제2, 제3 등의 용어가 다양한 구성요소들을 기술하기 위해서 사용되었지만, 이들 구성요소들이 이 같은 용어들에 의해서 한정되어서는 안 된다. 이들 용어들은 단지 어느 구성요소를 다른 구성요소와 구별시키기 위해서 사용되었을 뿐이다. 따라서, 어느 한 실시 예에 제 1 구성요소로 언급된 것이 다른 실시 예에서는 제 2 구성요소로 언급될 수도 있다. 여기에 설명되고 예시되는 각 실시 예는 그것의 상보적인 실시 예도 포함한다. 또한, 본 명세서에서 '및/또는'은 전후에 나열한 구성요소들 중 적어도 하나를 포함하는 의미로 사용되었다.
명세서에서 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함한다. 또한, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 구성요소 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 구성요소 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 배제하는 것으로 이해되어서는 안 된다.
또한, 본 명세서에서 "연결"은 복수의 구성 요소를 간접적으로 연결하는 것, 및 직접적으로 연결하는 것을 모두 포함하는 의미로 사용된다. 또한, "연결"이라 함은 물리적인 연결은 물론 전기적인 연결을 포함하는 개념이다.
또한, 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략할 것이다.
본 발명의 일 실시 예에 따른 스마트워크 환경을 위한 보안 장치는 네트워크 보안 장치로도 호칭될 수 있다.
도 1은 본 발명의 실시 예에 따른 네트워크 보안 환경의 구성을 보이는 예시도이다.
도 1에 도시한 바와 같이, 네트워크 보안 환경(100)은 보호 대상 영역(PA), 보안 영역(SZ) 및 서비스/공격 영역(SA)을 포함할 수 있다.
스마트워크를 위한 UC&C(Unified communications & Collaboration) 구축 시 외부 공격으로부터 UC&C 서버(110) 및 서비스를 보호하기 위해 소프트웨어 방식의 통합 어플리케이션(Unified Application) 보안솔루션 개발을 목표로 할 수 있다.
도 2는 본 발명의 실시 예에 따른 통합 어플리케이션 보안솔루션 개발 개념도이다.
도 2에 도시한 바와 같이, UC&C 서비스 프로토콜(SIP, MSRP, HTTP 등) 보안 취약점을 분석하고, UC&C 서비스별 최적의 보안 알고리즘을 개발할 수 있다. 심층 패킷 분석(DPI: Deep Packet Inspection) 기반의 UC&C 프로토콜 통합 보안 플랫폼을 개발하고, 관리자용 운영 관리 기능을 개발할 수 있다.
일 실시 예에 따르면, 서비스별 보안 취약점을 분석하고(S210), 서비스별 보안 알고리즘을 개발하며(S220), 통합 보안 플랫폼을 개발하고(S230), 관리자용 운영 관리 기능을 개발(S240)할 수 있다.
서비스별 보안 취약점 분석 단계(S210)에서는, 서비스 거부, 통화내용 도청, 호 가로채기 등과 같은 VoIP(Voice over Internet Protocol) 취약점을 분석하고, 버퍼 오버플로우, 재전송(replay attack), 원격코드 실행 등과 같은 MSRP(Message Session Relay Protocol) 취약점을 분석하며, 비정상적인 웹 요청, 콘텐츠 변조, 비인가된 서비스 접근 등과 같은 HTTP(Hypertext Transfer Protocol) 취약점을 분석할 수 있다.
서비스별 보안 알고리즘 개발 단계(S220)에서는, SIP 표준 보안 알고리즘, SIP Flooding 보안 알고리즘, 통화 유형별 보안 알고리즘 등과 같은 통화 서비스 보안 알고리즘을 개발하고, MSRP 표준 보안 알고리즘, MSRP Flooding 보안 알고리즘, 채팅/파일 세션 보안 알고리즘 등과 같은 채팅/파일 서비스 보안 알고리즘을 개발하며, HTTP 표준 보안 알고리즘, HTTP Flooding 보안 알고리즘, 메시지 스팸 보안 알고리즘 등과 같은 게시판/공지서비스 보안 알고리즘을 개발할 수 있다.
통합 보안 플랫폼 개발 단계(S230)에서는, SIP/SDP(Session Description Protocol) 보안 플랫폼, RTP(Real-Time Transport Protocol) 보안 플랫폼, SIP 세션 보안 플랫폼 등과 같은 SIP/RTP 보안 플랫폼을 개발하고, MSRP 보안 플랫폼, XML(eXtensible Markup Language) 보안 플랫폼, MSRP 세션 보안 플랫폼 등과 같은 MSRP 보안 플랫폼을 개발하며, HTTP 보안 플랫폼, XML 보안 플랫폼, HTTP 세션 보안 플랫폼을 개발할 수 있다.
관리자용 운영 관리 기능 개발 단계(S240)에서는, 보안 정책 설정 기능, 공격 탐지/차단 확인 기능 등을 개발할 수 있다.
도 3은 본 발명의 실시예에 따른 UC&C 프로토콜 취약점 분석 개념도이다.
도 3에 도시한 바와 같이, 스캐닝 툴(311), 감지 툴(312), 공격 툴(313) 등과 같은 취약점 분석 툴(310)을 이용하여 VoIP(321), HTTP(322), MSRP(323) 등과 같은 서비스 프로토콜(320)의 취약점 분석을 수행할 수 있다.
취약점 분석 툴로서, 아큐네틱스(Acunetix), 레티나 CS 커뮤니티, SiVuS(SiP Vulnerability Scanner), SIPP, 통화 서비스를 위한 SIP(VoIP) 프로토콜 취약점 분석, 채팅, 파일 공유를 위한 MSRP 취약점 분석, 게시판, 공지 서비스를 위한 HTTP 취약점 분석 등을 이용할 수 있다.
아큐네틱스는 오픈소스 소프트웨어로서, 숨은 취약성, 보안 결함에 대한 맞춤형 어플리케이션을 비롯하여 웹 사이트와 웹 어플리케이션 검사를 지원할 수 있다.
레티나 CS 커뮤니티는 모바일 장치, 웹 어플리케이션, 가상화 어플리케이션, 서버, 프라이빗 클라우드의 취약점 검사를 지원하고, 취약점, 설정 관련 문제, 누락된 패치 등을 조사할 수 있다.
SiVuS는 SIP 프로토콜을 지원하며 SIP Component 스캐닝 및 취약점 검사/공격을 지원할 수 있다.
SIPP는 SIP 기반 트래픽 생성기로, 각종 SIP 서버 등의 성능을 테스트하는데 주로 사용될 수 있다.
통화 서비스를 위한 SIP(VoIP) 프로토콜 취약점 분석에서는 서비스 거부, 통화 내용 도청, 서비스 오용, 호 가로채기, 인터넷 전화 스팸 공격 등의 취약점을 분석할 수 있다.
채팅, 파일 공유를 위한 MSRP 취약점 분석에서는, 버퍼 오버플로우, 재전송(replay attack), 원격코드 실행, 서비스 거부 공격 등의 취약점을 분석할 수 있다.
게시판, 공지 서비스를 위한 HTTP 취약점 분석에서는 비정상적인 웹 요청, 콘텐츠 변조, 비인가된 서비스 접근, 연속인증 시도, 서비스 거부 공격 등의 취약점을 분석할 수 있다.
도 4는 본 발명의 실시 예에 따른 UC&C 서비스별 보안 알고리즘 개발을 위한 주요 공통 기술의 개념도이다.
도 4에 도시한 바와 같이, UC&C 서비스별 보안 알고리즘 개발에서는 심층 패킷 분석 기술 및 상태 기반 서비스 플로우 감시 기술을 이용할 수 있다.
심층 패킷 분석 기술은 패킷의 프로토콜 헤더 및 페이로드를 실시간으로 분석하고, 프로토콜별 패킷 구조, 파라미터값, 타입 오류 및 유효성을 확인하며, 서비스 키를 통한 네트워크 트래픽을 식별하고, 송수신 패킷의 네트워크 주소 기반의 헤쉬(hash) 관리로 트래픽 식별 및 연동 서비스 엔트리를 관리하며, 서비스 엔트리별 프로토콜 DPI 맵 관리로 송수신 패킷을 감시할 수 있다.
상태 기반 서비스 플로우 감시 기술은 송수신 프로토콜 메시지 분석을 통한 서비스 상태를 감시하고, 상태 기반의 서비스 프로토콜 플로우를 감시하며, 비정상 서비스 플로우에 대한 탐지 및 차단을 수행할 수 있다.
도 5는 본 발명의 실시 예에 따른 네트워크 보안 장치의 구성을 보이는 예시도이다.
도 5에 도시한 바와 같이, 네트워크 보안 장치(500)는, 하나 이상의 프로세서(510), 하나 이상의 메모리(520) 및 송수신기(530)를 포함할 수 있다.  일 실시예로서, 네트워크 보안 장치(500)의 이 구성요소들 중 적어도 하나가 생략되거나, 다른 구성요소가 네트워크 보안 장치(500)에 추가될 수 있다.  추가적으로(additionally) 또는 대체적으로(alternatively), 일부의 구성요소들이 통합되어 구현되거나, 단수 또는 복수의 개체로 구현될 수 있다. 네트워크 보안 장치(500) 내, 외부의 구성요소들 중 적어도 일부의 구성요소들은 시스템 버스(system bus), GPIO(general purpose input/output), SPI(serial peripheral interface) 또는 MIPI(mobile industry processor interface) 등을 통해 서로 연결되어, 데이터 및/또는 시그널을 주고 받을 수 있다.  일 실시예로서, 네트워크 보안 장치(500)는 기계학습(machine learning) 특히, 딥러닝(deep learning)과 같은 심층 강화 학습 알고리즘을 이용하여 정상 패킷과 비정상 패킷을 판별하고, 비정상 패킷 중 유효 패킷과 비유효 패킷을 판별할 수 있다.
하나 이상의 프로세서(510)는, 소프트웨어(예: 명령, 프로그램 등)를 구동하여 프로세서(510)에 연결된 네트워크 보안 장치(500)의 적어도 하나의 구성요소를 제어할 수 있다.  또한, 프로세서(510)는 본 발명과 관련된 다양한 연산, 처리, 데이터 생성, 가공 등의 동작을 수행할 수 있다.  또한, 프로세서(510)는 데이터 등을 하나 이상의 메모리(520)로부터 로드하거나, 하나 이상의 메모리(520)에 저장할 수 있다. 
하나 이상의 프로세서(510)는, 인증된 서버들의 IP(Internet Protocol) 주소 정보를 포함하는 서버 리스트를 수신할 수 있다.  일 실시 예에 따르면, 서버 리스트는, 유효성이 검증된(인증된) 외부 서버들의 IP 주소 정보를 포함하는 화이트 리스트(White List)일 수 있다.
하나 이상의 프로세서(510)는, 서버 리스트를 이용하여 수신되는 패킷에 대하여 정상 패킷과 비정상 패킷을 판별할 수 있다.  일 실시 예에 따르면, 하나 이상의 프로세서(510)는, 수신된 패킷이 송신된 IP 주소 정보가 서버 리스트에 포함되어 있으며 해당 패킷을 정상 패킷으로 판별하고, 수신된 패킷이 송신된 IP 주소 정보가 서버 리스트에 포함되어 있지 않으면 해당 패킷을 비정상 패킷으로 판별할 수 있다.  예를 들어, 수신되는 패킷은, SIP(Session Initiation Protocol) 패킷, MSRP(Message Session Relay Protocol) 패킷 및 HTTP(Hypertext Transfer Protocol) 패킷 중 적어도 하나의 패킷을 포함할 수 있지만, 이에 한정되지 않는다.
하나 이상의 프로세서(510)는, 인증된 단말들의 IP 주소 정보, 포트 정보, 유효 기간 정보 및 단말의 종류 정보를 포함하는 단말 리스트를 수신할 수 있다.  일 실시 예에 따르면, 하나 이상의 프로세서(510)는, 네트워크 보안 장치(500)를 포함하는 시스템 내부 단말들의 IP 주소 정보, 포트 정보, 유효 기간 정보 및 단말의 종류 정보를 포함하는 단말 리스트를 수신할 수 있다.  예를 들어, 단말의 종류 정보는 특정 단말이 전화만 수신할 수 있는 단말인지, 전화 및 메시지를 수신할 수 있는 단말인지와 같은 단말이 처리할 수 있는 패킷의 종류를 나타내는 능력 정보일 수 있다.
하나 이상의 프로세서(510)는, 단말 리스트를 이용하여 비정상 패킷을 심층 패킷 분석 방법을 통하여 유효 패킷과 비유효 패킷으로 판별할 수 있다.  일 실시 예에 따르면, 하나 이상의 프로세서(510)는, 비정상 패킷을 심층 패킷 분석 방법을 통하여 분석하여 목적지 정보 즉, 패킷 목적지의 IP 주소 정보, 목적지의 포트 정보, 목적지 IP 주소의 유효 기간 정보, 목적지 단말의 종류 정보를 획득할 수 있고, 목적지 정보를 단말 리스트와 비교하여 목적지 정보가 단말 리스트에 포함된 경우 유효 패킷으로 판별하고, 목적지 정보가 단말 리스트에 포함되지 않은 경우 비유효 패킷으로 판별할 수 있다.
또한, 하나 이상의 프로세서(510)는, 정상 패킷과 비정상 패킷의 판별 결과에 기초하여 서버 리스트를 주기적/비주기적으로 업데이트하고, 유효 패킷과 비유효 패킷의 판별 결과에 기초하여 단말 리스트를 주기적/비주기적으로 업데이트할 수 있다.  또한, 하나 이상의 프로세서(510)는, 유효 패킷과 비유효 패킷의 판별 과정에서의 분석 정보에 기초하여 분석 데이터를 형성하고, 분석 데이터에 기초하여 소정 주기별로 통계 데이터를 형성하며, 기계학습 알고리즘을 이용하여 분석 데이터 및 통계 데이터로부터 학습 데이터를 형성하고, 학습 데이터를 이용하여 단말 리스트를 주기적으로 업데이트할 수 있다.
하나 이상의 프로세서(510)는, 비유효 패킷을 차단하고, 유효 패킷을 대상 단말로 전송할 수 있다.  일 실시 예에 따르면, 하나 이상의 프로세서(510)는, 비유효 패킷으로 판별되면 해당 패킷을 삭제하여 더 이상 전송되지 못하도록 차단하고, 유효 패킷으로 판별되면 해당 패킷을 목적지의 IP 주소 정보, 목적지의 포트 정보 등을 이용하여 목적지 단말로 전송할 수 있다. 
하나 이상의 메모리(520)는, 다양한 데이터를 저장할 수 있다.  메모리(520)에 저장되는 데이터는, 네트워크 보안 장치(500)의 적어도 하나의 구성요소에 의해 획득되거나, 처리되거나, 사용되는 데이터로서, 소프트웨어(예: 명령, 프로그램 등)를 포함할 수 있다.  메모리(520)는 휘발성 및/또는 비휘발성 메모리를 포함할 수 있다.  본 발명에서, 명령 내지 프로그램은 메모리(520)에 저장되는 소프트웨어로서, 네트워크 보안 장치(500)의 리소스를 제어하기 위한 운영체제, 어플리케이션 및/또는 어플리케이션이 네트워크 보안 장치(500)의 리소스들을 활용할 수 있도록 다양한 기능을 어플리케이션에 제공하는 미들 웨어 등을 포함할 수 있다.  일 실시 예에 따르면, 하나 이상의 메모리(520)는, 상술한 서버 리스트, 단말 리스트, 수신되는 패킷, 분석 데이터, 통계 데이터, 학습 데이터 등을 저장할 수 있다.
또한 하나 이상의 메모리(520)는, 하나 이상의 프로세서(510)에 의한 실행 시, 하나 이상의 프로세서(510)가 연산을 수행하도록 하는 명령들을 저장할 수 있다.
일 실시 예에 따르면, 네트워크 보안 장치(500)는 송수신기(530)를 더 포함할 수 있다.  송수신기(530)는, 네트워크 보안 장치(500) 및/또는 기타 다른 장치 간의 무선 또는 유선 통신을 수행할 수 있다.  예를 들어, 송수신기(530)는 eMBB(enhanced Mobile Broadband), URLLC(Ultra Reliable Low-Latency Communications), MMTC(Massive Machine Type Communications), LTE(long-term evolution), LTE-A(LTE Advance), UMTS(Universal Mobile Telecommunications System), GSM(Global System for Mobile communications), CDMA(code division multiple access), WCDMA(wideband CDMA), WiBro(Wireless Broadband), WiFi(wireless fidelity), 블루투스(Bluetooth), NFC(near field communication), GPS(Global Positioning System) 또는 GNSS(global navigation satellite system) 등의 방식에 따른 무선 통신을 수행할 수 있다.  예를 들어, 송수신기(530)는 USB(universal serial bus), HDMI(high definition multimedia interface), RS-232(recommended standard232) 또는 POTS(plain old telephone service) 등의 방식에 따른 유선 통신을 수행할 수 있다. 
일 실시 예에 따르면, 네트워크 보안 장치(500)는, 다양한 형태의 장치가 될 수 있다.  예를 들어, 네트워크 보안 장치(500)는 휴대용 통신 장치, 컴퓨터 장치, 또는 상술한 장치들 중 하나 또는 그 이상의 조합에 따른 장치일 수 있다.  본 발명의 네트워크 보안 장치(500)는 전술한 장치들에 한정되지 않는다.
본 발명에 따른 네트워크 보안 장치(500)의 다양한 실시예들은 서로 조합될 수 있다.  각 실시예들은 경우의 수에 따라 조합될 수 있으며, 조합되어 만들어진 네트워크 보안 장치(500)의 실시예 역시 본 발명의 범위에 속한다.  또한 전술한 본 발명에 따른 네트워크 보안 장치(500)의 내/외부 구성 요소들은 실시예에 따라 추가, 변경, 대체 또는 삭제될 수 있다. 또한 전술한 네트워크 보안 장치(500)의 내/외부 구성 요소들은 하드웨어 컴포넌트로 구현될 수 있다.
도 6은 본 발명의 실시 예에 따른 보안 알고리즘 구현을 위한 패킷 필터링 플로우의 개념도이다.
도 6에 도시한 바와 같이, 네트워크 보안 장치(500)는 보안 알고리즘의 구현을 위해서 심층 패킷 분석(DPI) 방식을 이용할 수 있다.  이를 위하여 서비스 엑세스 필터링 엔진(Service Access Filtering Engine), 서비스 플로딩 필터링 엔진(Service Flooding Filtering Engine), 프로토콜 변칙 필터링 엔진(Protocol Anomaly Filtering Engine), 시그니처 매칭 엔진(Signature Matching Engine), 정책 필터링 엔진(Policy Filtering Engine), 콘텐츠 필터링 엔진(Contents Filtering Engine), 세션 필터링 엔진(Session Filtering Engine), 서비스 플로우 필터링 엔진(Service Flow Filtering Engine) 등을 이용할 수 있다.  상기한 엔진들을 이용하여 수신된 패킷을 필터링하여 이상 상황 감지 시 경고(Alarm)를 발생시키고, 이상 상황에 대한 정보(History)를 기록하고, 통계 정보(Statistics)를 형성할 수 있다. 
도 7은 본 발명의 실시 예에 따른 SIP 패킷의 보안 알고리즘 흐름도이다.
도 7에 도시한 바와 같이, 네트워크 보안 장치(500)는 SIP 패킷(SP)이 수신되면 ACL(Access Control List), DoS(Denial of Service)/DDoS(Distributed Denial of Service), SIP(Session Initiation Protocol), RTP(Real-time Transport Protocol), VoIP(Voice over Internet Protocol)을 순차적으로 이용하여 패킷 검증을 수행하고, 어느 하나의 검증이라도 통과하지 못할 경우 해당 패킷을 차단하며, 모든 검증을 통과한 패킷에 대해서만 목적지로 전송하게 된다.
도 8은 본 발명의 실시 예에 따른 SIP 패킷의 필터링 흐름도이다.
도 8에 도시한 바와 같이, 네트워크 보안 장치(500)는 인증된 서버/단말의 IP/포트에 대한 ACL 알고리즘을 개발할 수 있다.  인증된 서버의 ACL은 관리자가 IP 주소와 포트 등을 이용해 미리 설정하며, SIP 레지스터(REGISTER) 트랜잭션(Transaction)을 통해 인증된 단말의 ACL은 전화번호와 IP 주소 정보, 포트 정보, 유효 기간 정보, 단말의 종류 정보 등으로 구성될 수 있다. 
도 9는 본 발명의 실시 예에 따른 SIP 패킷의 ACL 알고리즘 흐름도이다.
도 9에 도시한 바와 같이, 네트워크 보안 장치(500)는 SIP 메시지(패킷) 처리 과정 중 다이나믹(Dynamic) ACL 제어(Control) 과정에서 메시지 분석을 통해, 메시지를 수신한 IP 주소를 통해 서버 리스트를 체크할 수 있다.  메시지를 수신한 IP 주소가 서버 리스트에 있을 경우 인증된 서버이므로 SIP 메시지를 통과시킬 수 있다.  메시지를 수신한 IP 주소가 서버 리스트에 없을 경우 메시지 내의 전화번호를 이용하여 단말 리스트를 체크하고, 전화번호가 단말 리스트에 없으면 메시지를 버리고 리스트에 있으면 메시지의 IP 주소 정보/포트 정보를 단말 리스트의 IP 주소 정보/포트 정보와 비교할 수 있다.
도 10은 본 발명의 실시예에 따른 SIP 패킷의 플로딩 알고리즘을 보이는 흐름도이다.
도 10에 도시한 바와 같이, 네트워크 보안 장치(500)는 SIP 메시지 처리 과정 중에 메시지 타입(Method)별로 설정된 플로딩 보안 정책(Flooding Security Policy)을 통해 공격을 탐지하고 차단할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 1초마다 SIP 메시지 타입별로 카운트를 하여, 설정된 값(예를 들어, 50, 100, 1000 등)보다 높으면 해당 메시지를 1초 내 기간 동안 드랍(Drop)할 수 있다.
네트워크 보안 장치(500)는 SIP 표준 및 다양한 VoIP 공격에 대한 보안 알고리즘을 적용할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 SIP 메시지 처리 과정 중에 특정 수신번호에 대해 설정된 수신호의 최대 개수를 통해 SIP 콜(Call) 갭핑(Gapping) 공격을 탐지하고 차단할 수 있다. 예를 들어, 네트워크 보안 장치(500)는 수신된 SIP 메시지를 통해, Call Gapping hash를 찾고 없을 경우 hash에 추가하고, 있을 경우 Drop 상태인지 체크한다. Drop 상태가 아니면 선정된 조건을 체크할 수 있다. 네트워크 보안 장치(500)는 만약에 Call Gapping max 값일 경우, 상태를 Drop으로 바꾸고, 설정된 시간만큼 Drop Timer를 시작할 수 있다.
도 11은 본 발명의 실시 예에 따른 SIP 패킷의 콜 갭핑 알고리즘을 보이는 흐름도이다.
도 11에 도시한 바와 같이, 네트워크 보안 장치(500)는 도청 방지를 위한 SRTP(Secure-RTP) 보안 알고리즘을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 SIP 메시지 처리 과정 중에 특정 서비스 영역에 대해 설정된 SRTP 보안 설정을 통해 도청을 방지할 수 있다. 예를 들어, 네트워크 보안 장치(500)는 수신된 SIP 메시지 내 SDP(Session Description Protocol) 파싱 및 SDP Offer, Answer 과정을 통해 협상된 미디어 능력에 따라 4가지 미디어 릴레이 방식이 결정될 수 있다. 협상된 미디어 릴레이 방식은 RTP를 그대로 바이패스 하는 경우, RTP를 SRTP로 Encryption하는 방식, SRTP를 Decryption해서 RTP로 전달하는 방식, SRTP를 바이패스 하는 방식, SRTP를 Encryption/Decryption하는 방식 등이 있다.
도 12는 본 발명의 실시 예에 따른 SIP 처리 과정 중 SRTP 알고리즘을 보이는 흐름도이다.
도 12에 도시한 바와 같이, 네트워크 보안 장치(500)는 VoIP 서비스 구성 및 유형 별 보안 알고리즘을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 TRUNK, REALM 등의 VoIP 서비스 구성과 착신호, 국제호 등의 VoIP 서비스 유형 별로 각각 설정된 Security Policy를 이용해 VoIP 서비스 공격을 탐지 및 차단할 수 있다.
도 13은 본 발명의 실시 예에 따른 MSRP 패킷 보안 알고리즘을 보이는 흐름도이고, 도 14는 본 발명의 실시 예에 따른 MSRP 패킷 필터링 플로우를 보이는 흐름도이다.
네트워크 보안 장치(500)는 등록된 단말 IP 주소 및 포트로부터 수신된 MSRP ACL 알고리즘을 설정할 수 있다. 일 실시 예에 따르면, 단말의 Provisioning 과정을 통해 등록된 단말의 ACL 리스트는 전화번호와 IP 주소 정보, 포트 정보, 유효 기간 정보, 단말의 종류 정보 등을 포함할 수 있다. 예를 들어, 네트워크 보안 장치(500)는 MSRP 메시지 처리 과정 중 ACL Control 과정에서 메시지 분석을 통해, 메시지가 수신된 IP 주소를 통해 서버 리스트를 체크할 수 있다. 메시지가 수신된 IP 주소가 서버 리스트에 있을 경우 인증된 서버이므로 통과시킬 수 있고, 메시지가 수신된 IP 주소가 서버 리스트에 없을 경우 메시지 내의 전화 번호를 통해 단말 리스트를 체크하여 없으면 버리고 있으면 다시 단말의 IP 주소 정보, 포트 정보와 해당 단말 리스트의 IP 주소 정보, 포트 정보를 비교할 수 있다.
도 15는 본 발명의 실시 예에 따른 MSRP 패킷의 ACL 보안을 보이는 흐름도이다.
도 15에 도시한 바와 같이, 네트워크 보안 장치(500)는 DoS/DDoS 공격 탐지 및 차단을 위한 MSRP 보안 알고리즘을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 MSRP 메시지 처리 과정 중에 시스템/단말/IP 별로 설정된 Flooding Security Policy를 통해 공격을 탐지하고 차단할 수 있다. 네트워크 보안 장치(500)는 체크 시간마다 MSRP 메시지 별로 카운트를 하여, 미리 설정된 값(예를 들어, 10, 100, 1000 등) 보다 높으면 해당 메시지를 체크 시간 내 기간 동안 Drop 할 수 있다.
도 16은 본 발명의 실시 예에 따른 MSRP 패킷의 DDoS 보안을 보이는 흐름도이다.
도 16에 도시한 바와 같이, 네트워크 보안 장치(500)는 MSRP 표준 및 다양한 채팅/파일 서비스 공격에 대한 보안 알고리즘을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 MSRP 메시지 처리 과정 중에 메시지 파싱 과정에서 MSRP 표준에 부합하지 않을 경우 공격 탐지 및 차단을 수행할 수 있다. 또한, 네트워크 보안 장치(500)는 채팅이나 파일 서비스 설정과 단말의 등록 정보와 능력을 기준으로 설정된 Security Policy를 이용해 채팅/파일 서비스 공격을 탐지 및 차단할 수 있다.
네트워크 보안 장치(500)는 비표준 XML 및 금칙어 기반의 스팸 보안 알고리즘을 설정할 수 있다. 일 실시 예에 따르면, MSRP 메시지 처리 과정 중에 MSRP의 컨텐츠인 XML 파싱 과정에서 표준에 부합하지 않을 경우 공격 탐지 및 차단을 수행할 수 있다. 또한, 네트워크 보안 장치(500)는 Security Policy에 등록된 금칙어를 이용해 채팅 스팸 공격을 탐지 및 차단할 수 있다.
네트워크 보안 장치(500)는 MSRP Session 서비스 구성 및 유형 별 보안 알고리즘을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 MSRP 서비스 구성과 파일 전송, 파일 공유, 채팅 등의 MSRP 서비스 유형 별로 각각 설정된 Security Policy를 이용해 MSRP Service 공격을 탐지 및 차단할 수 있다.
도 17은 본 발명의 실시 예에 따른 HTTP 패킷 보안 알고리즘을 보이는 흐름도이고, 도 18은 본 발명의 실시 예에 따른 HTTP 패킷의 필터링 플로우를 보이는 흐름도이다.
네트워크 보안 장치(500)는 게시판(공지)/프로파일/파일 다운로드 서비스 보안 알고리즘을 설정할 수 있다.
도 19는 본 발명의 실시 예에 따른 HTTP 패킷의 ACL 보안을 보이는 흐름도이다.
도 19에 도시한 바와 같이, 네트워크 보안 장치(500)는 인증 서버 및 단말 IP 주소 정보 및 포트 정보로부터 수신된 HTTP ACL 알고리즘을 설정할 수 있다. 일 실시 예에 따르면, 단말의 Provisioning 과정을 통해 등록된 단말의 화이트 리스트는 전화번호 정보, IP 주소 정보, 포트 정보, 유효 기간 정보, 단말의 종류 정보 등을 포함할 수 있다.
도 20은 본 발명의 실시 예에 따른 HTTP 패킷의 DDoS 보안을 보이는 흐름도이다.
도 20에 도시한 바와 같이, 네트워크 보안 장치(500)는 DoS/DDoS 공격 탐지 및 차단을 위해 HTTP 보안 알고리즘을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 HTTP 메시지 처리 과정 중에 시스템/단말 별로 설정된 Flooding Security Policy를 통해 공격을 탐지하고 차단할 수 있다. 네트워크 보안 장치(500)는 체크 시간 마다 HTTP 메시지 별로 카운트를 하여, 미리 설정된 값(예를 들어, 10, 100, 1000 등) 보다 높으면 해당 메시지를 체크 시간 내 기간 동안 Drop 할 수 있다.
도 21은 본 발명의 실시 예에 따른 HTTP 패킷의 헤더 보안을 보이는 흐름도이다.
도 21에 도시한 바와 같이, 네트워크 보안 장치(500)는 비표준 XML 및 금칙어 기반의 스팸 메시지 보안 알고리즘을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 HTTP 메시지 처리 과정 중에 HTTP의 컨텐츠인 XML 파싱 과정에서 표준에 부합하지 않을 경우 공격 탐지 및 차단할 수 있다. 또한, 네트워크 보안 장치(500)는 Security Policy에 등록된 금칙어를 이용해 스팸 공격을 탐지 및 차단할 수 있다.
네트워크 보안 장치(500)는 HTTP 세션 서비스 구성 및 유형별 보안 알고리즘을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 HTTP 서비스 구성과 게시판, 공지사항, 파일 다운로드 등의 HTTP 서비스 유형별로 각각 설정된 Security Policy를 이용해 HTTP Service 공격을 탐지 및 차단할 수 있다.
도 22는 본 발명의 실시 예에 따른 패킷 수신부터 전송까지의 흐름도이다.
도 22에 도시한 바와 같이, 네트워크 보안 장치(500)는 시스템 커널 레이어 보안 알고리즘을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 수신된 패킷의 송신 IP 주소 정보, 포트 정보, 프로토콜 기준 커널(Kernel) 단계 필터링 알고리즘을 설정할 수 있다. 단말의 Provisioning 과정과 SIP Register 과정을 통해 등록된 화이트 리스트는 리모트 IP 주소 정보, 포트 정보, 로컬 IP 주소 정보, 포트 정보, 프로토콜 정보 등을 포함할 수 있다.
도 23은 본 발명의 실시 예에 따른 패킷 처리 과정의 ACL 보안을 보이는 흐름도이다.
도 23에 도시한 바와 같이, 네트워크 보안 장치(500)는 커널 레이어에서 수신된 패킷 처리 과정 중 ACL Control 과정에서 패킷 분석을 통해, 패킷을 수신한 IP 주소를 통해 리모트 IP 주소 정보, 포트 정보를 체크할 수 있다. 리모트 IP 주소 정보, 포트 정보가 화이트 리스트에 없을 경우 수신된 패킷을 차단시키고, 화이트 리스트에 있을 경우 프로토콜을 비교하고 리모트 IP 주소 정보, 포트 정보와 비교할 수 있다.
도 24는 본 발명의 실시 예에 따른 패킷 처리 과정의 DDoS 보안을 보이는 흐름도이다.
도 24에 도시한 바와 같이, 네트워크 보안 장치(500)는 DoS/DDoS 공격 탐지 및 차단을 위한 보안 알고리즘을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 커널 레이어에서 수신 패킷 처리 과정 중 시스템/서비스 별로 설정된 Flooding Security Policy를 통해 공격을 탐지하고 차단할 수 있다. 네트워크 보안 장치(500)는 체크 시간 마다 패킷 별로 카운트를 하여, 미리 설정된 값(예를 들어, 100, 200, 300 등)보다 높으면 해당 메시지를 체크 시간 내 기간 동안 Drop 할 수 있다.
도 25는 본 발명의 실시 예에 따른 패킷 처리 과정의 전달/차단 절차를 보이는 흐름도이다.
도 25에 도시한 바와 같이, 네트워크 보안 장치(500)는 서비스 프로토콜(SIP, MSRP, HTTP) 별로 구분한 후 상위 전달 기능을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 수신된 패킷을 분석하여 SIP, MSRP, HTTP 프로토콜 별로 구분한 후 각 프로토콜 별 처리 프로세스로 전달할 수 있다.
네트워크 보안 장치(500)는 패킷 처리(전달(Forward)/차단(Drop)) 결정전까지 패킷 큐에 저장하는 기능을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 수신된 패킷을 복사하여 상위 프로세스로 전달하고, 원본 패킷은 패킷 큐에 저장한 후 상위 프로세스가 처리한 결과를 받았을 때 큐를 참조할 수 있다.
네트워크 보안 장치(500)는 서비스별 보안 정책을 통해 패킷 처리(포워드/드랍) 결정 알고리즘을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 SIP, MSRP, HTTP 프로토콜 패킷 처리 프로세스에서, 서비스 유형 별로 각각 설정된 Service Security Policy를 이용해 각 패킷의 처리 결과를 커널에 있는 PFM 모듈로 전달하고, 이를 이용해 해당 패킷의 처리(전달/차단)를 결정할 수 있다.
도 26은 본 발명의 실시 예에 따른 UC&C 통합 보안 시스템을 블록도이다.
도 26에 도시한 바와 같이, 네트워크 보안 장치(500)는 어플리케이션 레이어의 웹 서버(Web Server), 데이터베이스(Database), 보안 블록(Security Block), 캐릭터 디바이스 드라이버(Character Device Driver)를 포함하고, 커널 레이어의 리눅스 커널을 포함할 수 있다.
일 실시 예에 따르면, PFM(Packet Filter Module)은 커널 모듈로서 ACL 플로딩 필터링을 수행하고, 패킷 큐를 수행할 수 있다.
일 실시 예에 따르면, IPC는 미들웨어의 커널 모듈로서 블록 간 통신을 수행할 수 있다.
일 실시 예에 따르면, MCB(Module Communicate Block)는 PFM과 연동하여 설정 정보 전달 및 통계/알람 정보를 받아서 데이터베이스에 저장할 수 있다.
일 실시 예에 따르면, SIPSB(SIP Security Block)는 SIP 패킷 필터링 블록이고, MSRPSB(MSRP Security Block)는 MSRP 패킷 필터링 블록이며, HTTPSB((HTTP Security Block)는 HTTP 패킷 필터링 블록이다.
일 실시 예에 따르면, DMB(Data Management Block)는 주기적 통계를 작성하고, 히스토리 관리를 수행할 수 있다.
일 실시 예에 따르면, PMB(Process Management Block)는 프로세스 감시 및 시동을 수행할 수 있다.
일 실시 예에 따르면, 웹 서버는 관리자용 운영관리 웹 서버이고, DBMS(MariaDB)는 각종 데이터를 저장할 수 있다.
도 27은 본 발명의 실시 예에 따른 UC&C 프로토콜 통합보안 플랫폼의 개념도이고, 도 28은 본 발명의 실시 예에 따른 PFM 블록의 개념도이다.
네트워크 보안 장치(500)는 패킷 수신 및 전달 기능을 설정하고, ACL을 통한 접근 제어 기능을 설정하며, TCP SYN, ICMP, PING 등의 DDoS 공격 탐지 및 차단 기능을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 시스템 전체 패킷 처리 용량 flooding 탐지 및 차단 기능을 설정하고, 프로토콜 별 패킷 분리 처리 기능을 설정할 수 있다.
도 29는 본 발명의 실시 예에 따른 SIPSB 블록의 개념도이다.
도 29에 도시한 바와 같이, 네트워크 보안 장치(500)는 SIP 표준 메시지 처리를 위한 SIP 보안 플랫폼을 설정하고, SDP/RTP 표준 메시지 처리를 위한 SDP 보안 플랫폼을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 콜 관리를 위한 세션 보안 플랫폼을 설정하고, 다양한 통화 서비스를 위한 VoIP 서비스 보안 플랫폼을 설정할 수 있다.
도 30은 본 발명의 실시 예에 따른 MSRPSB 블록의 개념도이다.
도 30에 도시한 바와 같이, 네트워크 보안 장치(500)는 MSRP 표준 메시지 처리를 위한 MSRP 보안 플랫폼을 설정하고, 세션 관리를 위한 MSRP 세션 보안 플랫폼을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 XML 컨텐츠 처리를 위한 XML 보안 플랫폼을 설정하고, 다양한 채팅 및 파일 공유 서비스를 위한 MSRP Service 보안 플랫폼을 설정할 수 있다.
도 31은 본 발명의 실시 예에 따른 HTTPSB 블록의 개념도이다.
도 31에 도시한 바와 같이, 네트워크 보안 장치(500)는 HTTP 표준 메시지 처리를 위한 HTTP 보안 플랫폼을 설정하고, HTTP 세션 관리를 위한 HTTP 세션 보안 플랫폼을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 XML 컨텐츠 처리를 위한 XML 보안 플랫폼을 설정하고, 다양한 게시판 공지 등 서비스를 위한 HTTP Service 보안 플랫폼을 설정할 수 있다.
네트워크 보안 장치(500)는 매니지먼트 플랫폼을 설정할 수 있는데, 블록들간 연동을 위한 IPC 및 매니지먼트 플랫폼을 설정하고, 시스템, 서비스, 보안정책 설정을 위한 Config 기능을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 알람, 히스토리, 통계 관리 및 저장을 위한 Report 기능을 설정하고, 설정, 가입자, 알람, 통계 등을 저장하기 위한 DBMS 관리 기능을 설정할 수 있다.
도 32는 본 발명의 실시 예에 따른 라이브러리 구성 예시도이다.
도 32에 도시한 바와 같이, 네트워크 보안 장치(500)는 관리자용 운영관리 기능 개발을 위하여 개발 환경 및 프레임워크 구조를 규정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 오픈소스 기반의 라이브러리를 이용한 웹 어플리케이션을 설정할 수 있다.
도 33은 본 발명의 실시 예에 따른 이클립스 기반 개발 프레임워크의 구조도이다.
도 33에 도시한 바와 같이, 네트워크 보안 장치(500)는 웹 어플리케이션 개발 툴인 Eclipse를 이용한 로컬 개발환경에서 설계/개발 및 테스트 후 개발서버에 실제 서비스 환경을 세팅한 후 테스트 및 개발을 진행할 수 있다.
도 34는 본 발명의 실시 예에 따른 스프링 프레임워크 기반 개발 개념도이다.
도 34에 도시한 바와 같이, 네트워크 보안 장치(500)는 스프링 프레임워크 기반의 웹 어플리케이션 레이어 별 프로세싱 플로우를 구성할 수 있고, 레이어 별 개발대상과 설정대상과 스프링 부분으로 구분할 수 있다.
도 35는 본 발명의 실시 예에 따른 관리자용 웹 GUI의 예시도이다.
도 35에 도시한 바와 같이, 네트워크 보안 장치(500)는 관리자용 운영관리 기능 구성을 위하여 관리자용 웹 GUI를 구성할 수 있다.
도 36은 본 발명의 실시 예에 따른 관리자용 운영관리 기능의 구성도이다.
도 36에 도시한 바와 같이, 네트워크 보안 장치(500)는 관리자용 운영관리 기능으로 Dashboard 기능을 구현 가능하도록 설정할 수 있다. 일 실시 예에 따르면, Dashboard 기능은, SIP, RTP, MSRP, HTTP 세션 정보 확인 기능, 시스템 리소스, 공격 탐지 알람 정보 확인 기능, 통계, 알람, 세션 정보 실시간 차트(Realtime chart) 기능 등을 포함할 수 있다.
또한, 네트워크 보안 장치(500)는 관리자용 운영관리 기능으로 Security 기능을 구현 가능하도록 설정할 수 있다. 일 실시 예에 따르면, Security 기능은, IP, Port, Protocol 별 ACL 정책 관리 기능, 프로토콜 별 DoS/DDoS 정책 관리 기능, Service 별 보안 정책 관리 기능 등을 포함할 수 있다.
또한, 네트워크 보안 장치(500)는 Report 기능을 구현 가능하도록 설정할 수 있다. 일 실시 예에 따르면, Report 기능은, 서비스, 알람 통계(Statistics) 정보 검색 및 관리 기능, 서비스, 알람 History 정보 검색 및 관리 기능, 통계, 이력 정보 파일 출력 기능 등을 포함할 수 있다.
또한, 네트워크 보안 장치(500)는 Configuration 기능을 구현 가능하도록 설정할 수 있다. 일 실시 예에 따르면, Configuration 기능은, 서비스 별 설정 및 관리 기능, 관리자 정보, 이력 관리 기능, 시스템 설정 및 관리 기능, DB 데이터, 로그 파일 백업 관리 기능 등을 포함할 수 있다.
본 발명의 주관기관 기술개발 목표 및 내용으로는 UC&C 서비스 프로토콜(SIP, MSRP, HTTP 등)의 보안 취약점을 분석하고, UC&C 서비스별 최적의 보안 알고리즘을 개발하며, DPI 기반의 UC&C 프로토콜 통합 보안 플랫폼을 개발하고, UC&C 서비스용 Unified Application 보안 솔루션 시제품을 제작할 수 있다.
UC&C 서비스 프로토콜 보안 취약점 분석 방법으로는, 통화 서비스를 위한 SIP(VoIP)의 취약점을 분석하고, 채팅, 파일 공유를 위한 MSRP(Message Session Relay Protocol)의 취약점을 분석하며, 게시판, 공지 서비스를 위한 HTTP 취약점을 분석할 수 있다.
UC&C 서비스별 최적의 보안 알고리즘을 개발 방법으로는, 인터넷 전화 보안 알고리즘을 개발하고, 채팅 및 파일(사진) 서비스 보안 알고리즘을 개발하며, 게시판(공지)/프로파일/파일 다운로드 서비스 보안 알고리즘을 개발하고, 시스템 커널 레이어 보안 알고리즘을 개발할 수 있다
DPI 기반의 UC&C 프로토콜 통합 보안 플랫폼 개발 방법으로는, 커널 보안 플랫폼(Packet Filter Module)을 개발하고, SIP Security 플랫폼을 개발하며, MSRP Security 플랫폼을 개발하고, HTTP Security 플랫폼을 개발하며, Management 플랫폼을 개발할 수 있다.
UC&C 서비스용 Unified Application 보안 솔루션 시제품 제작 방법으로는, 참여기관의 관리자용 운영관리 기능과 정합 및 테스트를 수행하고, UC&C 서비스용 Unified Application 보안솔루션 기능을 테스트하며, UC&C 서비스용 Unified Application 보안솔루션 시제품을 제작할 수 있다.
본 발명의 참여기관 기술개발 목표 및 내용으로는, 관리자용 운영관리 기능을 개발하고, UC&C 서비스용 Unified Application 보안솔루션 시제품을 제작할 수 있다.
관리자용 운영관리 기능 개발 방법으로는, Dashboard 기능을 개발하고, Security 기능을 개발하며, Report 기능을 개발하고, Configuration 기능을 개발할 수 있다.
UC&C 서비스용 Unified Application 보안솔루션 시제품 제작 방법으로는, 주관기관의 UC&C 프로토콜 통합 보안 플랫폼과 정합 및 테스트를 수행하고, UC&C 서비스용 Unified Application 보안솔루션 기능을 테스트하며, UC&C 서비스용 Unified Application 보안솔루션 시제품을 제작할 수 있다.
도 37은 본 발명의 실시 예에 따른 네트워크 보안 방법의 절차를 보이는 흐름도이다. 도 37의 흐름도에서 프로세스 단계들, 방법 단계들, 알고리즘들 등이 순차적인 순서로 설명되었지만, 그러한 프로세스들, 방법들 및 알고리즘들은 임의의 적합한 순서로 작동하도록 구성될 수 있다. 다시 말하면, 본 발명의 다양한 실시예들에서 설명되는 프로세스들, 방법들 및 알고리즘들의 단계들이 본 발명에서 기술된 순서로 수행될 필요는 없다. 또한, 일부 단계들이 비동시적으로 수행되는 것으로서 설명되더라도, 다른 실시예에서는 이러한 일부 단계들이 동시에 수행될 수 있다. 또한, 도면에서의 묘사에 의한 프로세스의 예시는 예시된 프로세스가 그에 대한 다른 변화들 및 수정들을 제외하는 것을 의미하지 않으며, 예시된 프로세스 또는 그의 단계들 중 임의의 것이 본 발명의 다양한 실시예들 중 하나 이상에 필수적임을 의미하지 않으며, 예시된 프로세스가 바람직하다는 것을 의미하지 않는다.
도 37에 도시한 바와 같이, 단계(S3710)에서, 서버 리스트가 수신된다. 예를 들어, 도 1 내지 도 36을 참조하면, 네트워크 보안 장치(500)의 하나 이상의 프로세서(510)는, 관리자 등의 요청에 따라서 인증된 서버들의 IP 주소 정보를 포함하는 서버 리스트를 하나 이상의 메모리(520)로부터 수신할 수 있다.
단계(S3720)에서, 정상 패킷과 비정상 패킷이 판별된다. 예를 들어, 도 1 내지 도 36을 참조하면, 네트워크 보안 장치(500)의 하나 이상의 프로세서(510)는, S3710 단계에서 수신된 서버 리스트를 이용하여 송수신기(530)로 수신되는 패킷들에 대하여 정상 패킷과 비정상 패킷을 판별할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 수신되는 패킷들의 IP 주소 정보를 이용하여 서버 리스트에 IP 주소가 포함되어 있을 경우 정상 패킷으로 판별하고, 서버 리스트에 IP 주소가 포함되어 있지 않을 경우 비정상 패킷으로 판별할 수 있다.
단계(S3730)에서, 단말 리스트가 수신된다. 예를 들어, 도 1 내지 도 36을 참조하면, 네트워크 보안 장치(500)의 하나 이상의 프로세서(510)는, 관리자 등의 요청에 따라서 인증된 단말들의 IP 주소 정보, 포트 정보, 유효 기간 정보 및 단말의 종류 정보를 포함하는 단말 리스트를 하나 이상의 메모리(520)로부터 수신할 수 있다.
단계(S3740)에서, 유효 패킷과 비유효 패킷이 판별된다. 예를 들어, 도 1 내지 도 36을 참조하면, 네트워크 보안 장치(500)의 하나 이상의 프로세서(510)는, S3720 단계에서 비정상 패킷으로 판별된 패킷들에 대하여 S3730 단계에서 수신된 단말 리스트를 이용하여 심층 패킷 분석 방법을 통하여 유효 패킷과 비유효 패킷을 판별할 수 있다.
단계(S3750)에서, 비유효 패킷이 차단되고, 유효 패킷이 대상 단말로 전송된다. 예를 들어, 도 1 내지 도 36을 참조하면, 네트워크 보안 장치(500)의 하나 이상의 프로세서(510)는, S3740 단계에서 비유효 패킷으로 판별된 패킷들을 차단하고, S3740 단계에서 유효 패킷으로 판별된 패킷들을 패킷이 포함하는 IP 주소 정보 및 포트 정보를 이용하여 대상 단말로 전송할 수 있다.
본 발명의 다양한 실시예들은 기기(machine)가 읽을 수 있는 저장매체(machine-readable storage medium)에 소프트웨어로 구현될 수 있다. 소프트웨어는 본 발명의 다양한 실시예들을 구현하기 위한 소프트웨어일 수 있다. 소프트웨어는 본 발명이 속하는 기술분야의 프로그래머들에 의해 본 발명의 다양한 실시예들로부터 추론될 수 있다. 예를 들어 소프트웨어는 기기가 읽을 수 있는 명령어(예: 코드 또는 코드 세그먼트)를 포함하는 프로그램일 수 있다. 기기는 저장 매체로부터 호출된 명령어에 따라 동작이 가능한 장치로서, 예를 들어 컴퓨터일 수 있다. 일 실시예로서, 기기는 본 발명의 실시예들에 따른 네트워크 보안 장치(500)일 수 있다. 일 실시예로서, 기기의 프로세서는 호출된 명령어를 실행하여, 기기의 구성요소들이 해당 명령어에 해당하는 기능을 수행하게 할 수 있다. 일 실시예로서, 프로세서는 본 발명의 실시예들에 따른 하나 이상의 프로세서(510)일 수 있다. 저장 매체는 기기에 의해 읽혀질 수 있는, 데이터가 저장되는 모든 종류의 기록 매체(recording medium)를 의미할 수 있다. 저장 매체는, 예를 들어 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광데이터 저장 장치 등을 포함할 수 있다. 일 실시예로서, 저장 매체는 하나 이상의 메모리(124)일 수 있다. 일 실시예로서, 저장 매체는 네트워크로 연결된 컴퓨터 시스템 등에 분산된 형태로서 구현될 수도 있다. 소프트웨어는 컴퓨터 시스템 등에 분산되어 저장되고, 실행될 수 있다. 저장 매체는 비일시적(non-transitory) 저장 매체일 수 있다. 비일시적 저장 매체는, 데이터가 반영구적 또는 임시적으로 저장되는 것과 무관하게 실재하는 매체(tangible medium)를 의미하며, 일시적(transitory)으로 전파되는 신호(signal)를 포함하지 않는다.
이상, 본 발명을 바람직한 실시 예를 사용하여 상세히 설명하였으나, 본 발명의 범위는 특정 실시 예에 한정되는 것은 아니며, 첨부된 특허청구범위에 의하여 해석되어야 할 것이다. 또한, 이 기술분야에서 통상의 지식을 습득한 자라면, 본 발명의 범위에서 벗어나지 않으면서도 많은 수정과 변형이 가능함을 이해하여야 할 것이다.
100: 네트워크 보안 환경 110: UC&C 서버                    
310: 분석 툴 311: 스캐닝 툴
312: 감지 툴 313: 공격 툴
320: 서비스 프로토콜 321: VoIP
322: HTTP 323: MSRP
500: 네트워크 보안 장치 510: 프로세서
520: 메모리 530: 송수신기
PA: 보호 대상 영역 SZ: 보안 영역
SA: 서비스/공격 영역 SP: SIP 패킷

Claims (7)

  1. 네트워크 보안 장치에 있어서,
    하나 이상의 프로세서; 및
    상기 하나 이상의 프로세서에 의한 실행 시, 상기 하나 이상의 프로세서가 연산을 수행하도록 하는 명령들이 저장된 하나 이상의 메모리를 포함하며,
    상기 하나 이상의 프로세서는,
    인증된 서버들의 IP(Internet Protocol) 주소 정보를 포함하는 서버 리스트를 수신하고,
    상기 서버 리스트를 이용하여 수신되는 패킷에 대하여 정상 패킷과 비정상 패킷을 판별하며,
    인증된 단말들의 IP 주소 정보, 포트 정보, 유효 기간 정보 및 단말의 종류 정보를 포함하는 단말 리스트를 수신하고,
    상기 단말 리스트를 이용하여 상기 비정상 패킷을 심층 패킷 분석 방법을 통하여 유효 패킷과 비유효 패킷을 판별하며,
    상기 비유효 패킷을 차단하고, 상기 유효 패킷을 대상 단말로 전송하며,
    상기 수신되는 패킷은,
    SIP(Session Initiation Protocol) 패킷, MSRP(Message Session Relay Protocol) 패킷 및 HTTP(Hypertext Transfer Protocol) 패킷 중 적어도 하나의 패킷을 포함하고,
    상기 SIP 패킷이 수신되면, ACL(Access Control List), DoS(Denial of Service)/DDoS(Distributed Denial of Service), SIP(Session Initiation Protocol), RTP(Real-time Transport Protocol), VoIP(Voice over Internet Protocol)을 순차적으로 이용하여 상기 SIP 패킷 검증을 수행하고, 어느 하나의 검증이라도 통과하지 못할 경우 상기 SIP 패킷을 차단하며, 모든 검증을 통과한 SIP 패킷에 대해서만 목적지로 전송하되,
    상기 SIP 패킷을 수신한 IP 주소가 상기 서버 리스트에 있는 경우, 상기 SIP 패킷을 통과시키고, 상기 SIP 패킷을 수신한 IP 주소가 상기 서버 리스트에 없는 경우, 상기 SIP 패킷 내의 전화번호를 이용하여 상기 단말 리스트를 체크하며,
    상기 전화번호가 상기 단말 리스트에 없으면, 상기 SIP 패킷을 버리고, 상기 전화번호가 상기 단말 리스트에 있으며, 상기 SIP 패킷의 IP 주소 정보 및 포트 정보를 상기 단말 리스트의 IP 주소 정보 및 포트 정보와 비교하는,
    스마트워크 환경을 위한 보안 장치.
  2. 제1 항에 있어서,
    상기 하나 이상의 프로세서는,
    상기 정상 패킷과 상기 비정상 패킷의 판별 결과에 기초하여 상기 서버 리스트를 업데이트하고, 상기 유효 패킷과 상기 비유효 패킷의 판별 결과에 기초하여 상기 단말 리스트를 업데이트하는,
    스마트워크 환경을 위한 보안 장치.
  3. 삭제
  4. 제1 항에 있어서,
    상기 하나 이상의 프로세서는,
    상기 정상 패킷과 상기 비정상 패킷의 판별 과정에서의 분석 정보에 기초하여 분석 데이터를 형성하고,
    상기 분석 데이터에 기초하여 소정 주기별로 통계 데이터를 형성하며,
    기계학습 알고리즘을 이용하여 상기 분석 데이터 및 상기 통계 데이터로부터 학습 데이터를 형성하고,
    상기 학습 데이터를 이용하여 상기 서버 리스트를 주기적으로 업데이트 하는,
    스마트워크 환경을 위한 보안 장치.
  5. 제1 항에 있어서,
    상기 하나 이상의 프로세서는,
    상기 유효 패킷과 상기 비유효 패킷의 판별 과정에서의 분석 정보에 기초하여 분석 데이터를 형성하고,
    상기 분석 데이터에 기초하여 소정 주기별로 통계 데이터를 형성하며,
    기계학습 알고리즘을 이용하여 상기 분석 데이터 및 상기 통계 데이터로부터 학습 데이터를 형성하고,
    상기 학습 데이터를 이용하여 상기 단말 리스트를 주기적으로 업데이트 하는,
    스마트워크 환경을 위한 보안 장치.
  6. 하나 이상의 프로세서; 및
    상기 하나 이상의 프로세서에 의한 실행 시, 상기 하나 이상의 프로세서가 연산을 수행하도록 하는 명령들이 저장된 하나 이상의 메모리를 포함하는 네트워크 보안 장치를 이용한 네트워크 보안 방법으로서,
    인증된 서버들의 IP(Internet Protocol) 주소 정보를 포함하는 서버 리스트를 수신하는 단계;
    상기 서버 리스트를 이용하여 수신되는 패킷에 대하여 정상 패킷과 비정상 패킷을 판별하는 단계;
    인증된 단말들의 IP 주소 정보, 포트 정보, 유효 기간 정보 및 단말의 종류 정보를 포함하는 단말 리스트를 수신하는 단계;
    상기 단말 리스트를 이용하여 상기 비정상 패킷을 심층 패킷 분석 방법을 통하여 유효 패킷과 비유효 패킷을 판별하는 단계; 및
    상기 비유효 패킷을 차단하고, 상기 유효 패킷을 대상 단말로 전송하는 단계를 포함하며,
    상기 수신되는 패킷은,
    SIP(Session Initiation Protocol) 패킷, MSRP(Message Session Relay Protocol) 패킷 및 HTTP(Hypertext Transfer Protocol) 패킷 중 적어도 하나의 패킷을 포함하고,
    상기 SIP 패킷이 수신되면, ACL(Access Control List), DoS(Denial of Service)/DDoS(Distributed Denial of Service), SIP(Session Initiation Protocol), RTP(Real-time Transport Protocol), VoIP(Voice over Internet Protocol)을 순차적으로 이용하여 상기 SIP 패킷 검증을 수행하고, 어느 하나의 검증이라도 통과하지 못할 경우 상기 SIP 패킷을 차단하며, 모든 검증을 통과한 SIP 패킷에 대해서만 목적지로 전송하되,
    상기 SIP 패킷을 수신한 IP 주소가 상기 서버 리스트에 있는 경우, 상기 SIP 패킷을 통과시키고, 상기 SIP 패킷을 수신한 IP 주소가 상기 서버 리스트에 없는 경우, 상기 SIP 패킷 내의 전화번호를 이용하여 상기 단말 리스트를 체크하며,
    상기 전화번호가 상기 단말 리스트에 없으면, 상기 SIP 패킷을 버리고, 상기 전화번호가 상기 단말 리스트에 있으며, 상기 SIP 패킷의 IP 주소 정보 및 포트 정보를 상기 단말 리스트의 IP 주소 정보 및 포트 정보와 비교하는,
    스마트워크 환경을 위한 보안 방법.
  7. 하나 이상의 프로세서; 및 상기 하나 이상의 프로세서에 의한 실행 시, 상기 하나 이상의 프로세서가 연산을 수행하도록 하는 명령들이 저장된 하나 이상의 메모리를 포함하는 컴퓨터에서 수행 가능하도록 컴퓨터 판독 가능한 기록매체에 저장된 컴퓨터 프로그램으로서,
    인증된 서버들의 IP(Internet Protocol) 주소 정보를 포함하는 서버 리스트를 수신하는 단계;
    상기 서버 리스트를 이용하여 수신되는 패킷에 대하여 정상 패킷과 비정상 패킷을 판별하는 단계;
    인증된 단말들의 IP 주소 정보, 포트 정보, 유효 기간 정보 및 단말의 종류 정보를 포함하는 단말 리스트를 수신하는 단계;
    상기 단말 리스트를 이용하여 상기 비정상 패킷을 심층 패킷 분석 방법을 통하여 유효 패킷과 비유효 패킷을 판별하는 단계; 및
    상기 비유효 패킷을 차단하고, 상기 유효 패킷을 대상 단말로 전송하는 단계를 수행 가능하도록 컴퓨터 판독 가능한 기록매체에 저장되되,
    상기 수신되는 패킷은,
    SIP(Session Initiation Protocol) 패킷, MSRP(Message Session Relay Protocol) 패킷 및 HTTP(Hypertext Transfer Protocol) 패킷 중 적어도 하나의 패킷을 포함하고,
    상기 SIP 패킷이 수신되면, ACL(Access Control List), DoS(Denial of Service)/DDoS(Distributed Denial of Service), SIP(Session Initiation Protocol), RTP(Real-time Transport Protocol), VoIP(Voice over Internet Protocol)을 순차적으로 이용하여 상기 SIP 패킷 검증을 수행하고, 어느 하나의 검증이라도 통과하지 못할 경우 상기 SIP 패킷을 차단하며, 모든 검증을 통과한 SIP 패킷에 대해서만 목적지로 전송하되,
    상기 SIP 패킷을 수신한 IP 주소가 상기 서버 리스트에 있는 경우, 상기 SIP 패킷을 통과시키고, 상기 SIP 패킷을 수신한 IP 주소가 상기 서버 리스트에 없는 경우, 상기 SIP 패킷 내의 전화번호를 이용하여 상기 단말 리스트를 체크하며,
    상기 전화번호가 상기 단말 리스트에 없으면, 상기 SIP 패킷을 버리고, 상기 전화번호가 상기 단말 리스트에 있으며, 상기 SIP 패킷의 IP 주소 정보 및 포트 정보를 상기 단말 리스트의 IP 주소 정보 및 포트 정보와 비교하는, 스마트워크 환경을 위한 컴퓨터 프로그램.
KR1020210076769A 2021-06-14 2021-06-14 스마트워크 환경을 위한 보안 장치 및 그를 수행하도록 컴퓨터 판독 가능한 기록 매체에 저장된 프로그램 KR102571147B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210076769A KR102571147B1 (ko) 2021-06-14 2021-06-14 스마트워크 환경을 위한 보안 장치 및 그를 수행하도록 컴퓨터 판독 가능한 기록 매체에 저장된 프로그램

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210076769A KR102571147B1 (ko) 2021-06-14 2021-06-14 스마트워크 환경을 위한 보안 장치 및 그를 수행하도록 컴퓨터 판독 가능한 기록 매체에 저장된 프로그램

Publications (2)

Publication Number Publication Date
KR20220167605A KR20220167605A (ko) 2022-12-21
KR102571147B1 true KR102571147B1 (ko) 2023-08-25

Family

ID=84536574

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210076769A KR102571147B1 (ko) 2021-06-14 2021-06-14 스마트워크 환경을 위한 보안 장치 및 그를 수행하도록 컴퓨터 판독 가능한 기록 매체에 저장된 프로그램

Country Status (1)

Country Link
KR (1) KR102571147B1 (ko)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101811121B1 (ko) * 2016-01-13 2018-01-25 민정곤 인증된 릴레이 서버를 통한 서버 보호 방법
KR101852506B1 (ko) * 2016-08-12 2018-04-27 주식회사 케이티 단말 정보 식별 시스템 및 그 방법

Also Published As

Publication number Publication date
KR20220167605A (ko) 2022-12-21

Similar Documents

Publication Publication Date Title
US11082436B1 (en) System and method for offloading packet processing and static analysis operations
US11050786B2 (en) Coordinated detection and differentiation of denial of service attacks
US10757134B1 (en) System and method for detecting and remediating a cybersecurity attack
US10542006B2 (en) Network security based on redirection of questionable network access
US9954873B2 (en) Mobile device-based intrusion prevention system
Scarfone et al. Guide to intrusion detection and prevention systems (idps)
US8997201B2 (en) Integrity monitoring to detect changes at network device for use in secure network access
US20140289855A1 (en) Detecting web browser based attacks using browser digest compute tests using digest code provided by a remote source
US20040088409A1 (en) Network architecture using firewalls
MX2010009441A (es) Deteccion y notificacion de intrusion mejoradas.
US20200358817A1 (en) Systems and methods for automated intrusion detection
US20160127316A1 (en) Highly secure firewall system
Schepers et al. On the robustness of Wi-Fi deauthentication countermeasures
US12003537B2 (en) Mitigating phishing attempts
Scarfone et al. Sp 800-94. guide to intrusion detection and prevention systems (idps)
KR102571147B1 (ko) 스마트워크 환경을 위한 보안 장치 및 그를 수행하도록 컴퓨터 판독 가능한 기록 매체에 저장된 프로그램
Patel et al. A Snort-based secure edge router for smart home
JP2006099590A (ja) アクセス制御装置、アクセス制御方法およびアクセス制御プログラム
CN115426654A (zh) 一种构建面向5g通信系统的网元异常检测模型的方法
Saifan et al. A Lightweight Log-Monitoring-Based Mitigation Tool Against WLAN Attacks
US11451584B2 (en) Detecting a remote exploitation attack
US20220337488A1 (en) Network device type classification
US20190319970A1 (en) Network communications protocol for machine-to-machine self orchestration
CN115801318A (zh) 会话建立方法及装置、电子设备及可读存储介质
KR20100027829A (ko) 가상 프록시 서버를 이용한 에스아이피 공격탐지 시스템 및방법

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant