KR102585874B1 - Sdn네트워크에서 라우팅 제어 장치 및 방법 - Google Patents

Sdn네트워크에서 라우팅 제어 장치 및 방법 Download PDF

Info

Publication number
KR102585874B1
KR102585874B1 KR1020180080657A KR20180080657A KR102585874B1 KR 102585874 B1 KR102585874 B1 KR 102585874B1 KR 1020180080657 A KR1020180080657 A KR 1020180080657A KR 20180080657 A KR20180080657 A KR 20180080657A KR 102585874 B1 KR102585874 B1 KR 102585874B1
Authority
KR
South Korea
Prior art keywords
data packet
address
network address
risk
transmitted
Prior art date
Application number
KR1020180080657A
Other languages
English (en)
Other versions
KR20200006824A (ko
Inventor
이솔
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020180080657A priority Critical patent/KR102585874B1/ko
Priority to PCT/KR2019/006242 priority patent/WO2020013439A1/ko
Publication of KR20200006824A publication Critical patent/KR20200006824A/ko
Application granted granted Critical
Publication of KR102585874B1 publication Critical patent/KR102585874B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/70Routing based on monitoring results
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/72Routing based on the source address
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 개시는 네트워크 제어 방법 및 네트워크 제어 장치에 관한 것이다. 복수의 라우팅 장치 중에서 적어도 하나의 라우팅 장치를 경유하여 소스 단말로부터 목적지 단말로 전송될 데이터 패킷의 전송 경로를 나타내는 경로 정보를 상기 소스 단말로부터 수신하는 단계; 상기 수신된 경로 정보의 위험 정도를 판단하는 단계; 및 상기 판단된 위험 정도에 따라, 상기 소스 단말로부터 상기 목적지 단말까지 상기 데이터 패킷이 전송될 상기 데이터 패킷의 전송 경로를 제어하는 단계; 를 포함하는 네트워크 제어 방법을 개시한다.

Description

SDN네트워크에서 라우팅 제어 장치 및 방법 {METHOD AND APPARATUS FOR ROUTING CONTROL IN SDN NETWORK}
본 개시는 네트워크 제어 방법 및 장치에 관한 것이다. 보다 상세하게는, 네트워크상에서 데이터 패킷 전송을 제어하는 방법에 관한 것이다.
소프트웨어 정의 네트워크(Software Defined Network, 이하 "SDN")는 제어 평면(Control Plane)과 데이터 평면(Data Plane)을 분리하고, 제어 평면을 하나의 컨트롤러(Controller)에 집중시킴으로써, 데이터 평면은 단순 데이터 포워딩만을 담당하도록 하고, 데이터를 어디로 전송할지 여부는 컨트롤러에서 결정하도록 하는 기술이다.
SDN 기술은 기존 하드웨어 형태의 네트워크 장비가 자체적으로 수행하였던 패킷 제어 동작을 소프트웨어 형태로 제공되는 컨트롤러가 대신하여 처리하기 때문에 기존의 네트워크보다 다양한 기능을 제공할 수 있다. SDN 네트워크는 분산 또는 클라우드 시스템에서 네트워크의 개념을 추상화하여 데이터 전송을 제어 및 관리할 수 있다. SDN 기술은 기존의 라우터나 스위치 등 하드웨어에 의존하는 네트워크 체계에서 속도, 안정성, 에너지 효율, 보안 등을 소프트웨어 적으로 개선하기 위해 개발된 기술로 오픈 플로우(Open Flow)라는 개념을 기초로 한다.
Open Flow는 네트워크 장비의 패킷 포워딩 기능과 컨트롤러 기능을 표준 인터페이스로 분리하여 네트워크의 개방성을 제공하는 기술로 컨트롤러(Controller)와 스위치(Switch)들 사이의 데이터 패킷 전송을 위한 프로토콜을 정의한다.
컨트롤러(Controller)를 중심으로 패킷 처리와 관련된 동작을 제어하는 SDN의 경우에도 DDOS와 같은 보안 문제들이 제기되고 있고, 이를 해결하기 위한 여러 보안 기술들의 개발이 요구되고 있다.
개시된 실시 예에 따르면, SDN 네트워크에서 보안성이 강화된 네트워크 제어 방법 및 네트워크 장치가 제공될 수 있다.
구체적으로, 위험도를 기반으로 자원의 효율적 활용이 가능한 네트워크 제어 방법 및 장치가 제공될 수 있다.
상술한 기술적 과제를 달성하기 위한 본 개시의 일 실시 예에 따라, 네트워크 제어 장치는 소스 단말, 목적지 단말 및 상기 라우팅 장치와 통신하는 통신 인터페이스; 하나 이상의 인스트럭션을 저장하는 저장부; 및 상기 하나 이상의 인스트럭션을 실행하는 프로세서; 를 포함할 수 있다.
상기 프로세서는 상기 하나 이상의 인스트럭션을 실행함으로써, 상기 라우팅 장치를 경유하여 상기 소스 단말로부터 상기 목적지 단말까지 전송될 데이터 패킷의 전송 경로를 나타내는 경로 정보를 상기 소스 단말로부터 수신하고; 상기 수신된 경로 정보의 위험 정도를 판단하고; 상기 판단된 위험 정도에 따라, 상기 소스단말로부터 상기 목적지 단말까지 상기 데이터 패킷이 전송될 상기 데이터 패킷의 전송 경로를 제어할 수 있다.
상기 프로세서는 상기 하나 이상의 인스트럭션을 실행함으로써, 상기 판단된 위험 정도에 기초하여, 상기 소스 단말로부터 상기 목적지 단말로 전송될 상기 데이터 패킷을 검사할지 여부를 결정하고, 상기 결정에 기초하여 상기 데이터 패킷의 전송 경로를 변경할 수 있다.
상기 프로세서는 상기 하나 이상의 인스트럭션을 실행함으로써, 상기 판단된 위험 정도에 기초하여 상기 데이터 패킷을 검사하지 않는 것으로 결정하는 경우, 상기 적어도 하나의 라우팅 장치를 경유하여 상기 소스 단말로부터 상기 목적지 단말까지 상기 데이터 패킷이 전송되도록 상기 데이터 패킷의 전송 경로를 결정할 수 있다.
상기 프로세서는 상기 하나 이상의 인스트럭션을 실행함으로써, 상기 판단된 위험 정도에 기초하여 상기 데이터 패킷을 검사하는 것으로 결정하는 경우, 상기 데이터 패킷을 검사하기 위해 상기 소스 단말로부터 상기 데이터 패킷을 수신하고, 상기 데이터 패킷을 수신함과 함께 상기 적어도 하나의 라우팅 장치를 경유하여 상기 소스 단말로부터 상기 목적지 단말까지 상기 데이터 패킷이 전송되도록 상기 데이터 패킷의 전송 경로를 변경할 수 있다.
상기 프로세서는 상기 하나 이상의 인스트럭션을 실행함으로써, 상기 판단된 위험 정도에 기초하여 상기 데이터 패킷을 검사하는 것으로 결정하는 경우, 상기 소스 단말로부터 상기 데이터 패킷을 수신하고, 상기 수신된 데이터 패킷을 검사하며, 상기 검사된 데이터 패킷이 상기 네트워크 제어장치로부터 상기 목적지 단말까지 전송되도록 상기 데이터 패킷의 전송 경로를 변경할 수 있다.
상기 프로세서는 상기 하나 이상의 인스트럭션을 실행함으로써, 상기 판단된 위험 정도에 기초하여 상기 데이터 패킷을 검사하는 것으로 결정하는 경우, 상기 소스 단말로부터 상기 데이터 패킷을 수신하고, 상기 수신된 데이터 패킷을 검사하며, 상기 검사된 데이터 패킷이 상기 네트워크 제어장치로부터 상기 목적지 단말까지 전송되는 것을 차단할 수 있다.
상기 프로세서는 상기 하나 이상의 인스트럭션을 실행함으로써, 상기 수신된 데이터 패킷을 검사하고, 상기 데이터 패킷의 검사 결과에 기초하여 상기 소스 단말로부터 상기 목적지 단말까지 전송중인 상기 데이터 패킷의 전송을 차단할 수 있다.
상기 경로 정보는 상기 소스 단말의 네트워크 주소를 나타내는 소스 IP주소 및 상기 목적지 단말의 네트워크 주소를 나타내는 목적지 IP주소 중 적어도 하나를 포함하고, 상기 위험 정도는 상기 소스 IP주소에 대응하는 소스 단말로부터 전송될 데이터 패킷 또는 상기 목적지 IP주소에 대응하는 목적지 단말로 전송될 데이터 패킷이 비정상 데이터를 포함할 확률을 나타낼 수 있다.
상기 네트워크 장치는 소프트웨어 정의 네트워킹(Software-defined networking, SDN) 관리 장치를 포함할 수 있다.
상기 기술적 과제를 해결하기 위한 본 개시의 또 다른 실시 예에 따라, 네트워크 제어 방법은 복수의 라우팅 장치 중에서 적어도 하나의 라우팅 장치를 경유하여 소스 단말로부터 목적지 단말로 전송될 데이터 패킷의 전송 경로를 나타내는 경로 정보를 상기 소스 단말로부터 수신하는 단계; 상기 수신된 경로 정보의 위험 정도를 판단하는 단계; 및 상기 판단된 위험 정도에 따라, 상기 소스 단말로부터 상기 목적지 단말까지 상기 데이터 패킷이 전송될 상기 데이터 패킷의 전송 경로를 제어하는 단계; 를 포함한다.
상기 네트워크 제어 방법은 상기 판단된 위험 정도에 기초하여, 상기 소스 단말로부터 상기 목적지 단말로 전송될 상기 데이터 패킷을 검사할지 여부를 결정하는 단계; 를 더 포함하고, 상기 제어하는 단계는 상기 결정에 기초하여 상기 데이터 패킷의 전송 경로를 변경할 수 있다.
상기 제어하는 단계는 상기 판단된 위험 정도에 기초하여 상기 데이터 패킷을 검사하지 않는 것으로 결정하는 경우, 상기 복수의 라우팅 장치 중 적어도 하나의 라우팅 장치를 경유하여 상기 소스 단말로부터 상기 목적지 단말까지 상기 데이터 패킷이 전송되도록 상기 데이터 패킷의 전송 경로를 결정할 수 있다.
상기 제어하는 단계는 상기 판단된 위험 정도에 기초하여 상기 데이터 패킷을 검사하는 것으로 결정하는 경우, 상기 데이터 패킷을 검사하기 위해 상기 소스 단말로부터 상기 데이터 패킷을 수신하고, 상기 데이터 패킷을 수신함과 함께 상기 라우팅 장치 중 적어도 하나를 경유하여 상기 소스 단말로부터 상기 목적지 단말까지 상기 데이터 패킷이 전송되도록 상기 데이터 패킷의 전송 경로를 변경할 수 있다.
상기 제어하는 단계는 상기 판단된 위험 정도에 기초하여 상기 데이터 패킷을 검사하는 것으로 결정하는 경우, 상기 소스 단말로부터 상기 데이터 패킷을 수신하고, 상기 수신된 데이터 패킷을 검사하며, 상기 검사된 데이터 패킷이 상기 네트워크 제어장치로부터 상기 목적지 단말까지 전송되도록 상기 데이터 패킷의 전송 경로를 변경할 수 있다.
상기 제어하는 단계는 상기 판단된 위험 정도에 기초하여 상기 데이터 패킷을 검사하는 것으로 결정하는 경우, 상기 소스 단말로부터 상기 데이터 패킷을 수신하고, 상기 수신된 데이터 패킷을 검사하며, 상기 검사된 데이터 패킷이 상기 네트워크 제어장치로부터 상기 목적지 단말까지 전송되는 것을 차단할 수 있다.
상기 제어하는 단계는 상기 수신된 데이터 패킷을 검사하고, 상기 데이터 패킷의 검사 결과에 기초하여 상기 소스 단말로부터 상기 목적지 단말까지 전송중인 상기 데이터 패킷의 전송을 차단할 수 있다.
상기 판단하는 단계는 상기 소스 IP주소에 대응하는 소스 단말로부터 전송되었던 패킷 전송 이력, 상기 목적지 IP주소에 대응하는 목적지 단말로 전송되었던 패킷 전송 이력, 상기 전송될 데이터 패킷이 상기 소스단말로부터 상기 목적지 단말 사이에 상기 데이터 패킷이 경유하는 적어도 하나의 라우팅 장치의 전송 이력, 상기 소스 IP주소에 관련된 공개 정보, 상기 목적지 IP주소에 관련된 공개정보 중 적어도 하나를 이용하여 상기 위험 정도를 판단할 수 있다.하는 것을 특징으로 하는 네트워크 제어 방법.
상기 네트워크 제어 방법은 상기 판단된 위험 정도에 기초하여 상기 데이터 패킷을 검사하는 것으로 결정하는 경우, 상기 데이터 패킷을 검사하기 위해 상기 소스 단말로부터 상기 데이터 패킷을 수신하고, 상기 수신된 데이터 패킷을 검사하며, 상기 검사 결과에 기초하여 상기 경로 정보의 위험 정도를 업데이트 하는 단계; 를 더 포함하고, 상기 경로 정보의 위험 정도는 상기 소스단말로부터 상기 목적지 단말까지 상기 데이터 패킷이 전송될 전송경로와 매칭하여 저장될 수 있다.
도 1은 본 개시의 일 실시 예에 따른 네트워크 제어 장치가 적어도 하나의 라우팅 장치를 경유하여 소스 단말로부터 목적지 단말까지 데이터 패킷 전송을 제어하는 과정을 나타내는 도면이다.
도 2는 본 개시의 또 다른 실시 예에 따른 네트워크 제어 장치가 복수의 라우팅 장치를 경유하여 소스 단말로부터 목적지 단말까지 데이터 패킷 전송을 제어하는 과정을 나타내는 도면이다.
도 3은 본 개시의 일 실시 예에 따른 네트워크 제어 장치의 블록도이다.
도 4는 본 개시의 다양한 실시 에에 따른 라우팅 경로를 나타내는 도면이다.
도 5는 본 개시의 다양한 실시 에에 따른 라우팅 경로를 나타내는 도면이다.
도 6는 본 개시의 다양한 실시 에에 따른 라우팅 경로를 나타내는 도면이다.
도 7는 본 개시의 다양한 실시 에에 따른 라우팅 경로를 나타내는 도면이다.
도 8은 본 개시의 일 실시 예에 따른 네트워크 제어 방법의 흐름도이다. 차폐부의 구조를 나타내는 도면이다.
본 명세서에서 사용되는 용어에 대해 간략히 설명하고, 본 개시에 대해 구체적으로 설명하기로 한다.
본 개시에서 사용되는 용어는 본 개시에서의 기능을 고려하면서 가능한 현재 널리 사용되는 일반적인 용어들을 선택하였으나, 이는 당 분야에 종사하는 기술자의 의도 또는 판례, 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 발명의 설명 부분에서 상세히 그 의미를 기재할 것이다. 따라서 본 개시에서 사용되는 용어는 단순한 용어의 명칭이 아닌, 그 용어가 가지는 의미와 본 개시의 전반에 걸친 내용을 토대로 정의되어야 한다.
명세서 전체에서 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있음을 의미한다. 또한, 명세서에 기재된 "...부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어 또는 소프트웨어로 구현되거나 하드웨어와 소프트웨어의 결합으로 구현될 수 있다.
아래에서는 첨부한 도면을 참고하여 본 개시의 실시예에 대하여 본 개시가 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 개시는 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 개시를 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
도 1은 본 개시의 일 실시 예에 따른 네트워크 제어 장치(10)가 적어도 하나의 라우팅 장치(30)를 경유하여 소스 단말(800)로부터 목적지 단말(900)까지 데이터 패킷 전송을 제어하는 과정을 나타내는 도면이다.
일 실시 예에 따르면, 네트워크 제어 장치(10)는 적어도 하나의 라우팅 장치(30)를 경유하여 소스 단말(800)로부터 목적지 단말(900)까지 전송될 데이터 패킷의 전송을 제어한다. 예를 들어 네트워크 제어 장치(10)는 소프트웨어 정의 네트워킹(Software-defined networking, SDN) 관리 장치를 포함할 수 있다. 본 발명에서 네트워크 제어 장치(10) 및 적어도 하나의 라우팅 장치(30)들은 SDN 네트워크를 구성할 수 있으나, 이에 한정되는 것은 아니다. 본 발명에서 적어도 하나의 라우팅 장치(30)는 라우터 또는 스위치를 포함할 수 있다.
예를 들어, 네트워크 제어 장치(10)는 소스 단말(800)로부터 소스 단말(800)이 목적지 단말(900)로 전송하고자 하는 데이터 패킷의 소스 IP(Source IP, SRC IP)주소 및 목적지 IP(Destination IP, DST IP)주소 중 적어도 하나를 수신할 수 있다. 네트워크 제어 장치(10)는 소스 단말(800)에 인접한 라우팅 장치(820)를 통하여 소스 IP(Source IP, SRC IP)주소 또는 목적지 IP(Destination IP, DST IP)주소를 수신할 수 있다. 본 발명에서 경로 정보는 소스 IP(Source IP, SRC IP)주소 및 목적지 IP(Destination IP, DST IP)주소 각각을 포함하거나, 소스 IP 및 목적지 IP를 모두 포함할 수 있다.
네트워크 제어 장치(10)는 소스 단말(800)이 목적지 단말(900)로 전송하고자 하는 데이터 패킷의 SRC IP 주소 및 DST IP 주소중 적어도 하나를 수신하고, 수신된 SRC IP 주소 및 DST IP 주소중 적어도 하나를 이용하여 소스 단말(800)로부터 목적지 단말(900)까지 전송될 데이터 패킷의 SRC IP 주소 및/또는 DST IP 주소에 대한 위험 정도를 판단하고, 판단된 위험 정도를 이용하여 전송 경로를 제어할 수 있다.
예를 들어, 네트워크 제어 장치(10)는 소스 단말(800)로부터 수신된 SRC IP 또는 DST IP를 이용하여, 네트워크 제어 장치(10)가 제어하는 적어도 하나의 라우팅 장치(30)들의 라우팅 테이블(Routing Table)을 변경함으로써 데이터 패킷의 전송을 제어할 수 있다.
본 발명의 라우팅 장치(30)는 라우팅 테이블을 포함하고, 라우팅 테이블은 모든 목적지 정보에 대해서, 해당 목적지에 도달하기 위해서 거쳐야 할 라우팅 장치들의 정보를 포함할 수 있다. 예를 들어, 본 발명의 네트워크 제어 장치(10) 및 라우팅 장치(30)들이 SDN 네트워크를 구성하는 경우, 본 발명의 라우팅 장치(30)들은 네트워크 제어 장치(10)의 제어에 의하여, 라우팅 테이블을 갱신할 수 있다.
예를 들어, 네트워크 제어 장치(10)는 소스 단말(800)로부터 SRC IP 및 DST IP 중 적어도 하나를 수신하고, 수신된 적어도 하나의 SRC IP 및 DST IP를 이용하여 라우팅 장치(30)들의 라우팅 테이블을 변경하며, 라우팅 장치(30)들의 라우팅 테이블을 변경함으로써 소스 단말(800)로부터 목적지 단말(900)로 전송될 데이터 패킷의 전송 경로를 제어할 수 있다.
도 2는 본 개시의 또 다른 실시 예에 따른 네트워크 제어 장치가 복수의 라우팅 장치를 경유하여 소스 단말로부터 목적지 단말까지 데이터 패킷 전송을 제어하는 과정을 나타내는 도면이다.
네트워크 제어 장치(10)는 SDN 컨트롤러(400), 분석 서버(Analysis Server, 500), 검사 서버(Inspection Server)를 포함할 수 있다. 하지만, 본원 발명에서 SDN 컨트롤러(400), 분석 서버(Analysis Server, 500), 검사 서버(Inspection Server)각각이 하나의 네트워크 제어 장치를 구성할 수도 있다. 즉, 네트워크 제어 방법은 SDN 컨트롤러(400), 분석 서버(Analysis Server, 500), 검사 서버(Inspection Server)로 구별되는 개별 네트워크 장치에서 각각 수행될 수도 있지만, SDN 컨트롤러(400), 분석 서버(Analysis Server, 500) 및 검사 서버(Inspection Server)를 포함하는 단일의 네트워크 장치에서 수행될 수 있다.
후술하는 네트워크 제어 방법이 SDN 컨트롤러(400), 분석 서버(Analysis Server, 500), 검사 서버(Inspection Server)각각에서 수행되는 경우, SDN 컨트롤러(400), 분석 서버(Analysis Server, 500), 검사 서버(Inspection Server)는 각각 소스 단말, 목적지 단말 및 복수의 라우팅 장치와 통신하기 위한 통신 인터페이스, 하나 이상의 인스트럭션을 저장하는 저장부 및 저장부에 저장된 하나 이상의 인스트럭션을 실행하는 프로세서를 포함할 수 있다.
본 발명에서 저장부는 데이터 베이스(700)로 구현될 수 있고, 저장부는 네트워크 제어 장치(10)를 구성할 수도 있지만, 네트워크 제어 장치(10)외부에서 네트워크 제어 장치(10)와 연결될 수 있다. 본 발명에서 프로세서는 저장부에 저장된 하나 이상의 인스트럭션을 실행함으로써 SDN 컨트롤러(400), 분석 서버(500) 및 검사 서버(600)와 동일한 기능을 수행할 수 있다.
SDN 컨트롤러(400)는 라우팅 규약(Routing Rule)을 이용하여 복수의 라우팅 장치들을 제어한다. SDN 컨트롤러(400)는 라우팅 규약을 이용하여 라우팅 장치간 통신 방식을 규정할 수 있다. 예를 들어, SDN 컨트롤러(400)는 소스 단말(800)로부터 전송될 데이터 패킷의 SRC IP 주소 및 DST IP 주소 중 적어도 하나를 수신하고, 수신된 적어도 하나의 SRC IP 주소 및 DST IP 주소의 위험 정도를 판단하며, 판단된 위험 정도에 따라 라우팅 장치들(820, 920)의 라우팅 규약을 결정하고, 결정된 라우팅 장치들(820, 890)의 라우팅 규약을 이용하여 데이터 패킷이 전송되는 전송 경로를 제어할 수 있다.
구체적으로, SDN 컨트롤러(400)는 라우팅 장치(30)를 경유하여 상기 소스 단말(800)로부터 상기 목적지 단말(900)까지 전송될 데이터 패킷의 전송 경로를 나타내는 경로 정보를 상기 소스 단말로부터 수신할 수 있다. SDN 컨트롤러(400)는 소스 단말(800)에 인접한 라우팅 장치(820)를 통하여 데이터 패킷의 전송 경로를 나타내는 경로 정보를 수신할 수 있다. 경로 정보는 소스 IP 주소 및/또는 목적지 IP 주소를 포함하고, 데이터 패킷이 어디로부터 어디로 전송될 수 있는 지와 관련된 정보를 나타낸다. 본 발명에서 경로 정보는 데이터 패킷이 전송되는 전송 경로를 나타낼 수 있다.
SDN 컨트롤러(400)는 수신된 데이터 패킷의 경로 정보의 위험 정도를 판단할 수 있다. 예를 들어, SDN 컨트롤러(400)는 분석 서버(500)로 소스 단말(800)로부터 수신된 SRC IP 주소 및/또는 DST IP 주소에 대한 Risk Score(위험 점수) 조회 요청을 전송할 수 있다. SDN 컨트롤러(400)는 위험 점수 조회 요청에 응답하여 분석 서버(500)가 전송하는 SRC IP 주소 및/또는 DST IP 주소에 대한 Risk Score(위험 점수)를 수신하고, SRC IP 주소 및/또는 DST IP 주소에 대한 Risk Score(위험 점수)를 이용하여 상기 데이터 패킷의 경로 정보의 위험 정도를 판단할 수 있다.
또한, SDN 컨트롤러(400)는 분석 서버(500)로 수신된 데이터 패킷의 경로 정보의 위험 정도를 판단하기 위하여, SRC IP 주소에 관련된 공개 정보 조회 요청 및/또는 DST IP 주소에 관련된 공개 정보 조회 요청을 전송할 수 있다. SDN 컨트롤러(400)는 SRC IP 주소에 관련된 공개 정보 조회 요청 또는 DST IP 주소에 관련된 공개 정보 조회 요청에 응답하여 분석 서버(500)가 전송하는 SRC IP 주소에 관련된 공개 정보 또는 DST IP 주소에 관련된 공개 정보를 수신하고, 수신된 SRC IP 주소에 관련된 공개 정보 및 DST IP 주소에 관련된 공개 정보 중 적어도 하나를 이용하여 위험 정도를 판단할 수 있다.
예를 들어 SDN 컨트롤러(400)는 분석 서버(500)로부터 수신한 위험 점수를 기 설정된 방법에 따라 범주화하고, 범주화된 위험 점수를 이용하여 수신된 데이터 패킷의 경로 정보의 위험 정도를 판단할 수 있다. 예를 들어, SDN 컨트롤러(400)는 수신한 위험 점수를 제1 임계값으로 구분되는 두개의 구간으로 범주화할 수 있다. SDN 컨트롤러(400)가 분석 서버(500)로부터 수신한 위험 점수가 제1 임계값 보다 작은 경우 수신된 데이터 패킷의 경로 정보의 위험 정도를 낮게 판단할 수 있고, 분석 서버(500)로부터 수신한 위험 점수가 제1 임계값 보다 큰 경우 수신된 데이터 패킷의 경로 정보의 위험 정도를 높게 판단할 수 있다.
또한, SDN 컨트롤러(400)는 수신한 위험 점수를 제1 임계값 및 제2 임계값으로 구분되는 세개의 구간으로 범주화할 수 있다. 여기에서 제1임계값은 제2임계값 보다 작은 값일 수 있다. SDN 컨트롤러(400)가 분석 서버(500)로부터 수신한 위험 점수가 제1 임계값 보다 작은 경우 수신된 데이터 패킷의 경로 정보의 위험 정도를 낮게 판단할 수 있고, 분석 서버(500)로부터 수신한 위험 점수가 제1 임계값 보다 크고, 제2 임계값 보다 작은 경우 수신된 데이터 패킷의 경로 정보의 위험 정도를 중간으로 판단할 수 있으며, 분석 서버(500)로부터 수신한 위험 점수가 제2 임계값 보다 큰 경우 수신된 데이터 패킷의 경로 정보의 위험 정도를 높게 판단할 수 있다. SDN 컨트롤러(400)가 분석 서버(500)로부터 수신한 위험 점수를 범주화하는 방법은 전술한 방법에 한정되지 않으며, 더 세부적으로 범주화된 위험 점수를 이용할 수도 있다.
일 실시 예에 따르면, SDN 컨트롤러(400)는 소스 IP주소에 대응하는 소스 단말로부터 전송되었던 패킷 전송 이력, 상기 목적지 IP주소에 대응하는 목적지 단말로 전송되었던 패킷 전송 이력, 상기 전송될 데이터 패킷이 상기 소스단말로부터 상기 목적지 단말 사이에 상기 데이터 패킷이 경유하는 적어도 하나의 라우팅 장치의 전송 이력, 상기 소스 IP주소에 관련된 공개 정보, 상기 목적지 IP주소에 관련된 공개 정보 중 적어도 하나를 이용하여 소스 단말(800)로부터 상기 목적지 단말(900)까지 전송될 데이터 패킷의 전송 경로를 나타내는 경로 정보의 위험 정도를 판단할 수 있다. 본 발명에서 위험 정도는 상기 소스 IP주소에 대응하는 소스 단말로부터 전송될 데이터 패킷 또는 상기 목적지 IP주소에 대응하는 목적지 단말로 전송될 데이터 패킷이 비정상 데이터를 포함할 확률을 나타낼 수 있다.
SDN 컨트롤러(400)는 판단된 위험 정도에 기초하여 소스 단말로부터 상기 목적지 단말로 전송될 상기 데이터 패킷을 검사할지 여부를 결정하고, 상기 결정에 기초하여 라우팅 규약을 이용함으로써, 상기 데이터 패킷의 전송 경로를 변경할 수 있다. 예를 들어, SDN 컨트롤러(400)는 판단된 위험 정도가 높은 경우 데이터 패킷을 검사하는 것으로 결정할 수 있고, 판단된 위험 정도가 낮은 경우 데이터 패킷을 검사하지 않는 것으로 결정할 수 있다.
예를 들어, SDN 컨트롤러(400)는 수신된 데이터 패킷의 경로 정보가 위험하다고 판단한 경우, 소스 단말(800)로부터 출력된 데이터 패킷이 목적지 단말(900)로 전송되지 않고, 검사 서버(600)로 전송되도록 전송 경로를 제어할 수 있다. 또 다른 실시 예에 따르면, SDN 컨트롤러(400)는 수신된 데이터 패킷의 경로 정보가 위험하지 않다고 판단한 경우, 소스 단말(800)로부터 출력된 데이터 패킷이 목적지 단말(900)로 전송되도록 전송 경로를 제어할 수 있다.
또 다른 실시 예에 따르면, SDN 컨트롤러(400)는 수신된 데이터 패킷의 경로 정보의 위험 정도가 중간인 경우, 데이터 패킷을 소스 단말(800)로부터 목적지 단말(900)로 전송되도록 전송 경로를 제어함과 함과 동시에, 데이터 패킷이 검사 서버(600)로도 전송되도록 전송 경로를 제어할 수 있다. SDN 컨트롤러(400)는 검사 서버(600)가 데이터 패킷을 검사한 결과, 위험하다고 판단되는 경우, 소스 단말(8000로부터 목적지 단말(900)로 전송 중인 데이터 패킷의 전송을 차단할 수 있다.
즉, SDN 컨트롤러(400)는 네트워크 레벨에서 데이터 패킷에 포함될 수 있는 잠재적 위협을 판단할 수 있고, 실제 위협이 될 수 있는 정보를 포함하는 데이터 패킷이 목적지 단말(900)로 전송되지 않도록 할 수 있다. 따라서, 네트워크 제어 장치(10)는 라우팅 단계에서 목적지 단말(900)에 위협이 될 수 있는 데이터 패킷을 미리 처리할 수 있다.
분석 서버(500)는 검사 서버(600)에서 데이터 패킷을 검사한 결과를 수신하고, 수신된 데이터 패킷 검사 결과를 이용하여 해당 데이터 패킷의 SRC IP 주소 및/또는 DST IP 주소에 대한 Risk Score(위험 점수)를 계산할 수 있다. 분석 서버(500)는 상기 계산된 데이터 패킷의 SRC IP 주소 및/또는 DST IP 주소에 대한 Risk Score(위험 점수)를 데이터 베이스(700)에 저장할 수 있다. 분석 서버(500)는 상기 계산된 데이터 패킷의 SRC IP 주소 및/또는 DST IP 주소에 대한 Risk Score(위험 점수)를 분석 서버(500)내 저장부(200)에 저장할 수도 있다.
예를 들어, 분석 서버(500)는 계산된 Risk Score(위험 점수)를 SRC IP 주소 및/또는 DST IP 주소에 매칭하여 데이터 베이스(700)에 저장할 수 있다. 분석 서버(500)는 계산된 SRC IP 주소 및/또는 DST IP 주소에 대한 Risk Score(위험 점수)를 데이터 베이스에 미리 저장된 Risk Score(위험 점수)와 동기화 할 수 있다. 또한, 분석 서버(500)는 SDN 컨트롤러(400)가 위험 점수를 기초로 판단한 경로 정보의 위험 정도를 나타내는 위험 정도 값을 데이터 베이스(700)에 저장할 수도 있다. SDN 컨트롤러(400)가 위험 점수를 기초로 판단한 경로 정보의 위험 정도는 데이터 패킷이 전송될 전송 경로와 매칭되어 데이터 베이스(700)에 저장될 수 있다.
분석 서버(500)는 SDN 컨트롤러(400)로부터 소스 단말(800)로부터 목적지 단말(900)로 전송될 데이터 패킷의 SRC IP 주소 및 DST IP 주소 중 적어도 하나에 대한 Risk Score 조회 요청을 수신하는 경우, 해당 데이터 패킷의 SRC IP 주소 및 DST IP 주소와 동일한 SRC IP 주소 및 DST IP 주소를 검색하고, 검색된 SRC IP 주소 및 DST IP 주소와 매칭되는 Risk Score를 획득하며, 획득된 Risk Score를 SDN 컨트롤러(400)로 전송할 수 있다. SDN 컨트롤러(400)는 분석 서버(500)로부터 수신한 Risk Score를 이용하여 소스 단말(800)이 전송하고자 하는 데이터 패킷의 SRC IP 주소 및 DST IP 주소 중 적어도 하나에 대한 위험 정도를 판단할 수 있다.
또한, 분석 서버(500)는 SRC IP 주소에 관련된 공개 정보 또는 DST IP 주소에 관련된 공개 정보를 SRC IP 주소 및/또는 DST IP 주소에 매칭하여 데이터 베이스(700)에 저장할 수 있다. 분석 서버(500)는 SRC IP 주소에 관련된 공개 정보 또는 DST IP 주소에 관련된 공개 정보를 분석 서버(500)내 저장부(200)에 저장할 수도 있다. 분석 서버(500)는 SRC IP 주소에 관련된 공개 정보, DST IP 주소에 관련된 공개 정보를 데이터 베이스에 미리 저장된 SRC IP 주소에 관련된 공개 정보 및 DST IP 주소에 관련된 공개 정보와 동기화 할 수 있다.
예를 들어, 분석 서버(500)는 SDN 컨트롤러(400)로부터 소스 단말(800)로부터 목적지 단말(900)로 전송될 데이터 패킷의 SRC IP 주소 및 DST IP 주소 중 적어도 하나에 관련된 공개 정보 조회 요청을 수신하는 경우, 해당 데이터 패킷의 SRC IP 주소 및 DST IP 주소와 동일한 SRC IP 주소 및 DST IP 주소를 검색하고, 검색된 SRC IP 주소 및 DST IP 주소와 매칭되는 공개 정보를 획득하며, 획득된 공개 정보를 SDN 컨트롤러(400)로 전송할 수 있다. SDN 컨트롤러(400)는 분석 서버(500)로부터 수신한 공개 정보를 이용하여 소스 단말(800)이 전송하고자 하는 데이터 패킷의 SRC IP 주소 및 DST IP 주소 중 적어도 하나에 대한 위험 정도를 판단할 수 있다.
또한, 분석 서버(500)는 검사 서버(600)로부터 데이터 패킷 검사 결과를 수신하고, 수신한 데이터 패킷 검사 결과에 기초하여, 데이터 베이스(700)에 저장된 Risk Score(위험 점수)를 업데이트 할 수 있다. 또 다른 실시 예에 따르면, 분석 서버(500)는 데이터 베이스(700) 내부에 저장된, SDN 컨트롤러(400)가 판단한 경로 정보의 위험 정도를 나타내는 위험 정도 값을 업데이트할 수도 있다.
검사 서버(600)는 SDN 컨트롤러(400)의 제어에 의해, 데이터 패킷을 수신하고, 수신된 데이터 패킷을 검사할 수 있다. 예를 들어, 검사 서버(600)는 기 설정된 보안 알고리즘을 이용하여 수신된 데이터 패킷을 검사할 수 있다. 검사 서버(600)는 데이터 패킷의 헤더 또는 페이로드를 검사할 수 있고, 응용 계층(Application Layer) 레벨에서 데이터 패킷을 검사할 수 있다.
예를 들어, 검사 서버(600)는 데이터 패킷을 검사함으로써, 데이터 패킷 검사 결과를 생성할 수 있고, 생성된 데이터 패킷 검사 결과를 분석 서버(500)로 전송할 수 있다. 검사 서버(600)는 기 설정된 보안 알고리즘을 이용하여 데이터 패킷을 검사하기 때문에, 악성 코드 또는 멀 웨어에 감염된 데이터 패킷을 검사하여도, 악성 코드 또는 멀웨어는 검사 서버를 제외한 다른 장치에 영향을 주지 않는다. 본 발명에서 보안 알고리즘은 DPI(Deep Packet Inspection) 또는 SAND BOX 알고리즘을 포함할 수 있다.
본 발명에서 위험 정도는 상기 소스 IP 주소에 대응하는 소스 단말(800)로부터 전송될 데이터 패킷 또는 상기 목적지 IP주소에 대응하는 목적지 단말([920]900)로 전송될 데이터 패킷이 비정상 데이터를 포함할 확률을 나타낼 수 있다. 예를 들어, SDN 컨트롤러(400)가 소스 IP 주소에 대응하는 위험 정도가 높다고 판단하는 경우 해당 소스 IP 주소를 가지는 소스 단말(800)로부터 전송될 데이터 패킷들은 비정상 데이터를 포함할 확률이 높을 수 있다. 또한, SDN 컨트롤러(400)가 목적지 IP 주소에 대응하는 위험 정도가 높다고 판단하는 경우 해당 목적지 IP 주소를 가지는 목적지 단말([920]900)로 전송될 데이터 패킷들은 비정상 데이터를 포함할 확률이 높은 것을 의미할 수 있다. 본 발명에서 비정상 데이터는 악성 코드, 멀 웨어 및 악성코드, 멀 웨어의 통신정보, 디도스 공격패킷, 사용자가 전송에 동의하지 않은 정보 등을 포함할 수 있다.
도 3은 본 개시의 일 실시 예에 따른 네트워크 제어 장치(10)의 블록도이다.
일 실시 예에 따른 네트워크 제어 장치(10)는 통신 인터페이스(100), 저장부(200) 및 프로세서(300)를 포함할 수 있다. 도 2에 도시된 SDN 컨트롤러(400), 분석 서버(500) 및 검사 서버(600)의 기능을 단일의 네트워크 장치(10)로 구현하는 경우, 단일의 네트워크 제어 장치에 포함된 프로세서(300)는 SDN 컨트롤러(400), 분석 서버(500) 및 검사 서버(600)의 기능을 모두 수행할 수 있다.
또 다른 실시 예에 따르면, 도 2에 도시된 SDN 컨트롤러(400), 분석 서버(500) 및 검사 서버(600)의 기능을 단일의 네트워크 장치가 아닌 SDN 컨트롤러(400), 분석 서버(500) 및 검사 서버(600) 각각에서 수행하는 경우, SDN 컨트롤러(400), 분석 서버(500) 및 검사 서버(600)는 각각 통신 인터페이스, 저장부 및 프로세서를 포함할 수 있다. 즉, SDN 컨트롤러(400), 분석 서버(500), 검사 서버(600)는 각각 적어도 하나의 프로세서들을 포함하고, 각각에 포함된 프로세서들을 이용하여 위험 점수를 기반으로 하는 네트워크 제어 방법을 수행할 수 있다.
또한, SDN 컨트롤러(400)의 기능 및 분석 서버(500)의 기능을 제1 네트워크 장치에서 수행되도록 하고, 검사 서버(600)의 기능을 제2 네트워크 장치에서 수행되도록 할 수 있다. 즉, 제1 네트워크 장치는 적어도 하나의 프로세서들을 포함하고, 포함된 프로세서들을 이용하여 SDN 컨트롤러(400)의 기능 및 분석 서버(500)의 기능을 수행할 수 있고, 제2 네트워크 장치는 적어도 하나의 프로세서들을 포함하고, 포함된 프로세서들을 이용하여 검사 서버(600)의 기능을 수행할 수 있다.
통신 인터페이스(100)는 소스 단말(800), 목적지 단말(900) 및 라우팅 장치들(30)과 통신할 수 있다. 예를 들어, 통신 인터페이스(100)는 프로세서의 제어에 의하여 소스 단말(800)에 인접한 라우팅 장치(820)를 통하여 SRC IP 주소 및/또는 DST IP 주소를 수신할 수 있다. SDN 네트워크에서 통신 인터페이스(100)는 네트워크 제어 장치(10)가 제어하는 전체 라우팅 장치들(30)과 통신을 수행할 수 있다.
통신 인터페이스(100)는 외부 장치와 통신을 가능하게 하는 하나 이상의 구성 요소를 포함할 수 있으며, 예를 들어 근거리 통신 모듈, 유선 통신 모듈 및 무선 통신 모듈 중 적어도 하나를 포함할 수 있다. 또한, 본 개시의 근거리 통신 모듈(short-range wireless communication module)은 블루투스 통신 모듈, BLE(Bluetooth Low Energy) 통신 모듈, 근거리 무선 통신 모듈(Near Field Communication Module), WLAN(와이파이) 통신 모듈, 지그비(Zigbee) 통신 모듈, 적외선(IrDA, infrared Data Association) 통신 모듈, WFD(Wi-Fi Direct) 통신 모듈, UWB() 통신 모듈, Ant+ 통신 모듈 등을 포함할 수 있으나, 이에 한정되는 것은 아니다.
저장부(200)는 하나 이상의 인스트럭션을 저장할 수 있다. 예를 들어, 저장부(200)가 저장하는 인스트럭션은 SDN 네트워크에서 네트워크 제어 장치(10)가 라우팅 경로를 제어하기 위한 컴퓨터에서 실행 가능한 명령어들의 집합일 수 있다. 일 실시 예에 따르면, 저장부(200)는, 내장 메모리 또는 외장 메모리를 포함할 수 있다.
예를 들어, 내장 메모리는, 휘발성 메모리(예: DRAM(dynamic RAM), SRAM(static RAM), 또는 SDRAM(synchronous dynamic RAM) 등), 비휘발성 메모리(non-volatile Memory)(예: OTPROM(one time programmable ROM), PROM(programmable ROM), EPROM(erasable and programmable ROM), EEPROM(electrically erasable and programmable ROM), mask ROM, flash ROM, 플래시 메모리(예: NAND flash 또는 NOR flash 등), 하드 드라이브, 또는 솔리드 스테이트 드라이브(solid state drive(SSD)) 중 적어도 하나를 포함할 수 있다.
외장 메모리는 플래시 드라이브(flash drive), 예를 들면, CF(compact flash), SD(secure digital), Micro-SD(micro secure digital), Mini-SD(mini secure digital), xD(extreme digital), MMC(multi-media card) 또는 메모리 스틱(memory stick) 등을 포함할 수 있다. 외장 메모리는 다양한 인터페이스를 통하여 네트워크 제어 장치(10)와 기능적으로 및/또는 물리적으로 연결될 수 있다.
프로세서(300)는 저장부(200)에 저장된 하나 이상의 인스트럭션을 실행할 수 있다. 예를 들어, 프로세서(300)는 저장부(200)에 저장된 하나 이상의 인스트럭션을 실행함으로써, 통신 인터페이스(100)를 통하여, 적어도 하나의 라우팅 장치(30)들을 제어하고, 소스 단말(800)로부터 상기 목적지 단말(900)까지 전송될 데이터 패킷의 전송 경로를 나타내는 경로 정보를 상기 소스 단말로부터 수신할 수 있다. 본 발명에서 경로 정보는 소스 IP 주소 및/또는 목적지 IP 주소를 포함하고, 데이터 패킷의 전송 경로를 나타낼 수 있다.
도 3에 도시된 프로세서(300)는 단일의 프로세서일 수 있지만, 복수의 프로세서일 수도 있다. 본 발명에서 네트워크 제어 장치(10)는 복수의 프로세서를 포함할 수 있고, 전술한 SDN 컨트롤러(400), 분석 서버(500) 및 검사 서버(600)의 기능을 복수의 프로세서를 이용하여 수행할 수 있다.
도 4는 본 개시의 다양한 실시 에에 따른 라우팅 경로를 나타내는 도면이다.
예를 들어, SDN 컨트롤러(400)가 소스 단말(800)로부터 수신한 데이터 패킷의 경로 정보의 위험 정도에 기초하여, 데이터 패킷을 검사 서버(600)에서 검사하지 않는 것으로 결정하는 경우, 적어도 하나의 라우팅 장치(820, 920)를 통하여, 상기 소스 단말(800)로부터 목적지 단말(900)까지 데이터 패킷이 전송되도록 데이터 패킷의 전송 경로를 결정할 수 있다.
일 실시 예에 따르면, SDN 컨트롤러(400)는 수신한 데이터 패킷의 경로 정보에 대한 위험 점수를 분석 서버(500)로부터 수신하고, 수신된 위험 점수가 제1 임계값 보다 작은 경우, 경로 정보의 위험 정도가 낮다고 판단할 수 있다. SDN 컨트롤러(400)가 수신한 경로 정보의 위험 정도를 낮다고 판단하는 경우, 데이터 패킷을 검사하지 않는 것으로 결정하고, 소스 단말(800)로부터 목적지 단말(900)까지 데이터 패킷이 전송되도록(경로 702) 데이터 패킷의 전송 경로를 제어할 수 있다.
또 다른 실시 예에 따르면, SDN 컨트롤러(400), 분석 서버(500) 및 검사 서버(600)의 기능이 단일의 네트워크 제어 장치(10)에 포함된 적어도 하나의 프로세서들에 의하여 수행되는 경우, 네트워크 제어 장치(10)는 소스 단말(800)로부터 수신한 데이터 패킷의 경로 정보의 위험 정도에 기초하여, 데이터 패킷을 검사하지 않는 것으로 결정할 수 있다. 네트워크 제어 장치(10)가 데이터 패킷을 검사하지 않는 것으로 결정하는 경우, 네트워크 제어 장치(10)는 소스 단말(800)로부터 목적지 단말(900)까지 데이터 패킷이 전송되도록(경로 702) 데이터 패킷의 전송 경로를 제어할 수 있다.
도 5는 본 개시의 다양한 실시 에에 따른 라우팅 경로를 나타내는 도면이다.
예를 들어, SDN 컨트롤러(400)가 소스 단말(800)로부터 수신한 데이터 패킷의 경로 정보의 위험 정도에 기초하여, 데이터 패킷을 검사 서버(600)에서 검사하는 것으로 결정하는 경우, 적어도 하나의 라우팅 장치(820, 920)를 통하여, 상기 소스 단말(800)로부터 목적지 단말(900)까지 데이터 패킷이 전송되도록 함과 동시에(경로 702), 데이터 패킷을 검사하기 위해 상기 데이터 패킷이 검사 서버(600)로 전송되도록(경로 704) 데이터 패킷의 전송 경로를 변경할 수 있다.
일 실시 예에 따르면, SDN 컨트롤러(400)는 수신한 데이터 패킷의 경로 정보에 대한 위험 점수를 분석 서버(500)로부터 수신하고, 수신된 경로 정보의 위험 점수가 제1 임계값 보다 크고, 제2 임계값 보다 작은 경우, 경로 정보의 위험 정도가 중간 정도로 판단할 수 있다. SDN 컨트롤러(400)가 수신한 경로 정보의 위험 정도를 중간 정도로 판단 시, SDN 컨트롤러(400)는 소스 단말(800)로부터 목적지 단말(900)까지 데이터 패킷이 전송되도록 함과 동시에, 데이터 패킷을 검사하기 위해 상기 데이터 패킷이 검사 서버(600)로 전송되도록 데이터 패킷의 전송 경로를 변경할 수 있다.
SDN 컨트롤러(400)는, 검사 서버(600)가 데이터 패킷을 검사한 결과에 기초하여, 데이터 패킷이 위험하다고 판단되는 경우, 소스 단말로부터 상기 목적지 단말까지 전송중인 상기 데이터 패킷의 전송을 차단할 수 있다. 물론, SDN 컨트롤러(400)는 검사 서버(600)로부터 목적지 단말(900)로 데이터 패킷이 전송되는 것 역시 차단할 수 있다.
또 다른 실시 예에 따르면, SDN 컨트롤러(400), 분석 서버(500) 및 검사 서버(600)의 기능이 단일의 네트워크 제어 장치(10)에 포함된 적어도 하나의 프로세서들에 의하여 수행되는 경우, 네트워크 제어 장치(10)는 소스 단말(800)로부터 수신한 데이터 패킷의 경로 정보의 위험 정도에 기초하여, 데이터 패킷을 검사하는 것으로 결정할 수 있다. 네트워크 제어 장치(10)는 데이터 베이스에 저장된 경로 정보의 위험 점수가 제1 임계값 보다 크고, 제2 임계값 보다 작은 경우, 경로 정보의 위험 정도를 중간 정도로 판단할 수 있다. 네트워크 제어 장치(10)가 수신한 경로 정보의 위험 정도를 중간 정도로 판단하는 경우, 네트워크 제어 장치(10)는 소스 단말(800)로부터 목적지 단말(900)까지 데이터 패킷이 전송되도록 함과 동시에, 데이터 패킷을 검사하기 위해 상기 데이터 패킷을 수신할 수 있다.
네트워크 제어 장치(10)는 수신된 데이터 패킷을 검사하고, 데이터 패킷을 검사한 결과, 데이터 패킷이 위험하다고 판단되는 경우, 소스 단말(800)로부터 상기 목적지 단말(900)까지 전송 중인 상기 데이터 패킷의 전송을 차단할 수 있다. 물론, 네트워크 제어 장치(10)는 데이터 패킷을 검사하기 위해 소스 단말(800)로부터 수신한 데이터 패킷을 목적지 단말(900)로 전송하지 않는다.
도 6는 본 개시의 다양한 실시 예에 따른 라우팅 경로를 나타내는 도면이다.
예를 들어, SDN 컨트롤러(400)가 소스 단말(800)로부터 수신한 데이터 패킷의 경로 정보의 위험 정도에 기초하여, 데이터 패킷을 검사 서버(600)에서 검사하는 것으로 결정하는 경우, SDN 컨트롤러(400)는 데이터 패킷을 검사하기 위해, 데이터 패킷이 소스 단말(800)로부터 검사 서버(600)로 전송되도록 하고(경로 704), 검사된 데이터 패킷이 검사 서버(600)에서 목적지 단말(900)로 전송되도록(경로 706) 데이터 패킷의 전송 경로를 제어할 수 있다.
즉, SDN 컨트롤러(400)가 소스 단말(800)로부터 수신한 데이터 패킷의 경로 정보의 위험 정도에 기초하여, 데이터 패킷을 검사 서버(600)에서 검사하는 것으로 결정하는 경우, 데이터 패킷이 소스 단말(800)로부터 [검사 서버(600)]목적지 단말(900)로 전송되는 것을 차단함과 동시에, 데이터 패킷이 소스 단말(800)로부터 검사 서버(600)로 전송되도록(경로 704) 전송 경로를 제어할 수 있다. SDN 컨트롤러(400)는 검사 서버(600)가 데이터 패킷을 검사한 결과에 기초하여, 데이터 패킷이 위험하지 않다고 판단되는 경우, 데이터 패킷이 검사 서버(600)에서 목적지 단말(900)로 전송되도록(경로 706) 데이터 패킷의 전송 경로를 제어할 수 있다.
일 실시 예에 따르면, SDN 컨트롤러(400)는 수신한 데이터 패킷의 경로 정보에 대한 위험 점수를 분석 서버(500)로부터 수신하고, 수신된 위험 점수가 제2 임계값 보다 큰 경우, 경로 정보의 위험 정도를 높다고 판단할 수 있다. SDN 컨트롤러(400)가 수신한 경로 정보의 위험 정도를 높다고 판단하는 경우, 데이터 패킷을 검사하는 것으로 결정할 수 있다. SDN 컨트롤러(400)가 데이터 패킷을 검사하는 것으로 결정하는 경우, SDN 컨트롤러(400)는 데이터 패킷이 소스 단말(800)로부터 목적지 단말(900)로 전송되는 것을 차단함과 동시에, 데이터 패킷이 소스 단말(800)로부터 검사 서버(600)로 전송되도록(경로 704) 전송 경로를 제어할 수 있다. SDN 컨트롤러(400)는 검사 서버(600)가 데이터 패킷을 검사한 결과, 데이터 패킷이 위험하지 않다고 판단되는 경우, 데이터 패킷이 검사 서버(600)에서 목적지 단말(900)로 전송되도록(경로 706) 데이터 패킷의 전송 경로를 제어할 수 있다.
또 다른 실시 예에 따르면, SDN 컨트롤러(400), 분석 서버(500) 및 검사 서버(600)의 기능이 단일의 네트워크 제어 장치(10)에 포함된 적어도 하나의 프로세서들에 의하여 수행되는 경우, 네트워크 제어 장치(10)는 소스 단말(800)로부터 수신한 데이터 패킷의 경로 정보의 위험 정도에 기초하여, 데이터 패킷을 검사하는 것으로 결정할 수 있다. 예를 들어, 네트워크 제어 장치(10)는 소스 단말(800)로부터 수신한 데이터 패킷의 경로 정보의 위험 정도를 높다고 판단하는 경우, 데이터 패킷을 검사하는 것으로 결정할 수 있다.
네트워크 제어 장치(10)가 데이터 패킷을 검사하는 것으로 결정하는 경우, 네트워크 제어 장치(10)는 소스 단말(800)로부터 목적지 단말(900)까지 데이터 패킷이 전송되는 것을 차단함과 동시에, 데이터 패킷을 소스 단말(800)로부터 수신하고, 수신된 데이터 패킷을 검사할 수 있다. 네트워크 제어 장치(10)가 데이터 패킷을 검사한 결과, 데이터 패킷이 위험하지 않다고 판단되는 경우, 네트워크 제어 장치(10)는 검사된 데이터 패킷이 네트워크 장치(10)에서 목적지 단말([800]900)로 전송 되도록 데이터 패킷의 전송 경로를 변경할 수 있다.
도 7는 본 개시의 다양한 실시 에에 따른 라우팅 경로를 나타내는 도면이다.
예를 들어, SDN 컨트롤러(400)가 소스 단말(800)로부터 수신한 데이터 패킷의 경로 정보의 위험 정도에 기초하여, 데이터 패킷을 검사 서버(600)에서 검사하는 것으로 결정하는 경우, SDN 컨트롤러(400)는 데이터 패킷을 검사하기 위해, 데이터 패킷이 소스 단말(800)로부터 검사 서버(600)로 전송되도록 (경로 704) 데이터 패킷의 전송 경로를 제어할 수 있다.
즉, SDN 컨트롤러(400)가 소스 단말(800)로부터 수신한 데이터 패킷의 경로 정보의 위험 정도에 기초하여, 데이터 패킷을 검사 서버(600)에서 검사하는 것으로 결정하는 경우, 데이터 패킷이 소스 단말(800)로부터 목적지 단말(900)로 전송되는 것을 차단함과 동시에, 데이터 패킷이 소스 단말(800)로부터 검사 서버(600)로 전송되도록(경로 704) 전송 경로를 제어할 수 있다. SDN 컨트롤러(400)는 검사 서버(600)가 데이터 패킷을 검사한 결과에 기초하여, 데이터 패킷이 위험하다고 판단되는 경우, 데이터 패킷이 검사 서버(600)에서 목적지 단말(900)로 전송되는 것을 차단할 수 있다.
일 실시 예에 따르면, SDN 컨트롤러(400)는 수신한 데이터 패킷의 경로 정보에 대한 위험 점수를 분석 서버(500)로부터 수신하고, 수신된 위험 점수가 제2 임계값 보다 큰 경우, 경로 정보의 위험 정도를 높다고 판단할 수 있다. SDN 컨트롤러(400)가 수신한 경로 정보의 위험 정도를 높다고 판단하는 경우, 데이터 패킷을 검사하는 것으로 결정할 수 있다. SDN 컨트롤러(400)가 데이터 패킷을 검사하는 것으로 결정하는 경우, SDN 컨트롤러(400)는 데이터 패킷이 소스 단말(800)로부터 목적지 단말(900)로 전송되는 것을 차단함과 동시에, 데이터 패킷이 소스 단말(800)로부터 검사 서버(600)로 전송되도록(경로 704) 전송 경로를 제어할 수 있다.
SDN 컨트롤러(400)는 검사 서버(600)가 데이터 패킷을 검사한 결과에 기초하여, 데이터 패킷이 위험하다고 판단되는 경우, 데이터 패킷이 검사 서버(600)에서 목적지 단말(900)로 전송되는 것을 차단할 수 있다.
또 다른 실시 예에 따르면, SDN 컨트롤러(400), 분석 서버(500) 및 검사 서버(600)의 기능이 단일의 네트워크 제어 장치(10)에 포함된 적어도 하나의 프로세서들에 의하여 수행되는 경우, 네트워크 제어 장치(10)는 소스 단말(800)로부터 수신한 데이터 패킷의 경로 정보의 위험 정도에 기초하여, 데이터 패킷을 검사하는 것으로 결정할 수 있다. 예를 들어, 네트워크 제어 장치(10)는 소스 단말(800)로부터 수신한 데이터 패킷의 경로 정보의 위험 정도를 높다고 판단하는 경우, 데이터 패킷을 검사하는 것으로 결정할 수 있다.
네트워크 제어 장치(10)가 데이터 패킷을 검사하는 것으로 결정하는 경우, 네트워크 제어 장치(10)는 소스 단말(800)로부터 목적지 단말(900)까지 데이터 패킷이 전송되는 것을 차단함과 동시에, 데이터 패킷을 소스 단말(800)로부터 수신하고, 수신된 데이터 패킷을 검사할 수 있다. 네트워크 제어 장치(10)가 데이터 패킷을 검사한 결과, 데이터 패킷이 위험하다고 판단되는 경우, 네트워크 제어 장치(10)는 검사된 데이터 패킷이 네트워크 장치(10)에서 목적지 단말(800)로 전송 되는 것을 차단할 수 있다.
도 8은 본 개시의 일 실시 예에 따른 네트워크 제어 방법의 흐름도이다.
네트워크 제어 장치(10)가 수행하는 네트워크 제어 방법은 네트워크 장치(10)에서 시계열적으로 수행되는 하기의 단계들을 포함한다. 단계 S100에서, SDN 컨트롤러(400)는 복수의 라우팅 장치 중에서 적어도 하나의 라우팅 장치를 경유하여 소스 단말로부터 목적지 단말로 전송될 데이터 패킷의 전송 경로를 나타내는 경로 정보를 상기 소스 단말(800)로부터 수신할 수 있다. 본 발명에서 경로 정보는 데이터 패킷의 SRC IP 주소 및/또는 DST IP 주소를 포함할 수 있다.
단계 S200에서, SDN 컨트롤러(400)는 수신된 경로 정보의 위험 정도를 판단한다. 예를 들어, SDN 컨트롤러(400)는 분석 서버(500)로 소스 단말(800)로부터 수신된 SRC IP 주소 및/또는 DST IP 주소에 대한 Risk Score(위험 점수) 조회 요청을 전송할 수 있다. SDN 컨트롤러(400)는 위험 점수 조회 요청에 응답하여 분석 서버(500)가 전송하는 SRC IP 주소 및/또는 DST IP 주소에 대한 Risk Score(위험 점수)를 수신하고, SRC IP 주소 및/또는 DST IP 주소에 대한 Risk Score(위험 점수)를 이용하여 상기 데이터 패킷의 경로 정보의 위험 정도를 판단할 수 있다.
또 다른 실시 예에 따르면, SDN 컨트롤러(400)는 분석 서버(500)로 수신된 데이터 패킷의 경로 정보의 위험 정도를 판단하기 위하여, SRC IP 주소에 관련된 공개 정보 조회 요청 및/또는 DST IP 주소에 관련된 공개 정보 조회 요청을 전송할 수 있다. SDN 컨트롤러(400)는 SRC IP 주소에 관련된 공개 정보 조회 요청 또는 DST IP 주소에 관련된 공개 정보 조회 요청에 응답하여 분석 서버(500)가 전송하는 SRC IP 주소에 관련된 공개 정보 또는 DST IP 주소에 관련된 공개 정보를 수신하고, 수신된 SRC IP 주소에 관련된 공개 정보 및 DST IP 주소에 관련된 공개 정보 중 적어도 하나를 이용하여 위험 정도를 판단할 수 있다.
단계 S300에서, SDN 컨트롤러(400)는 판단된 위험 정도에 기초하여 소스 단말로부터 상기 목적지 단말로 전송될 상기 데이터 패킷을 검사할지 여부를 결정한다. SDN 컨트롤러(400)는 데이터 패킷을 검사할지 여부와 관련된 결정에 기초하여, 데이터 패킷의 전송 경로를 변경할 수 있다.
단계 S400에서, SDN 컨트롤러(400)는 판단된 위험 정도에 따라, 상기 소스 단말로부터 상기 목적지 단말까지 상기 데이터 패킷이 전송될 상기 데이터 패킷의 전송 경로를 제어한다.
예를 들어, SDN 컨트롤러(400)는 소스 단말(800)로부터 목적지 단말(900)까지 전송될 데이터 패킷의 경로 정보가 위험하지 않다고 판단하는 경우, 복수의 라우팅 장치 중 적어도 하나의 라우팅 장치를 경유하여 상기 소스 단말(800)로부터 상기 목적지 단말(900)까지 상기 데이터 패킷이 전송되도록 상기 데이터 패킷의 전송 경로를 결정할 수 있다.
또한, SDN 컨트롤러(400)는 소스 단말(800)로부터 목적지 단말(900)까지 전송될 데이터 패킷의 경로 정보의 위험 정도가 중간 정도로 판단되는 경우, 데이터 패킷이 검사 서버(600)로 전송되도록 상기 데이터 패킷의 전송 경로를 제어함과 동시에, 소스 단말(800)로부터 목적지 단말(900)까지 데이터 패킷이 전송되도록 데이터 패킷의 전송 경로를 제어할 수 있다. SDN 컨트롤러(400)는 검사 서버(600)의 데이터 패킷 검사 결과에 기초하여, 상기 소스 단말(800)로부터 목적지 단말(900)까지 전송될 데이터 패킷이 위험하다고 판단되는 경우, 소스 단말(800)로부터 목적지 단말(900)까지 전송중인 데이터 패킷의 전송을 차단할 수 있다.
또 다른 실시 예에 따르면, SDN 컨트롤러(400)는 소스 단말(800)로부터 목적지 단말(900)까지 전송될 데이터 패킷의 경로 정보가 위험하다고 판단되는 경우, 데이터 패킷이 검사 서버(600)로 전송되도록 데이터 패킷의 전송 경로를 제어할 수 있다. 예를 들어, SDN 컨트롤러(400)는 데이터 패킷의 경로 정보가 위험하다고 판단되는 경우, 데이터 패킷이 소스 단말(800)로부터 목적지 단말(900)로 전송되는 것을 차단함과 동시에, 데이터 패킷이 소스 단말(800)로부터 검사 서버(600)로 전송되도록(경로 704) 전송 경로를 제어할 수 있다. SDN 컨트롤러(400)는 검사 서버(600)의 검사 결과에 기초하여, 데이터 패킷이 위험하지 않다고 판단되는 경우, 수신된 데이터 패킷을 검사 서버(600)에서 목적지 단말(900)로 전송되도록 데이터 패킷의 전송 경로를 제어할 수 있다. SDN 컨트롤러(400)는 검사 서버(600)의 검사 결과에 기초하여, 데이터 패킷이 실제로 위험하다고 판단되는 경우에는, 수신된 데이터 패킷을 검사 서버(600)에서 목적지 단말(900)로 전송하지 않는다.
본 발명에서 SDN 컨트롤러(400)는 소스 단말(800)로부터 목적지 단말(900)까지 전송될 데이터 패킷의 경로정보가 위험하지 않은 것으로 판단되는 경우, 데이터 패킷을 검사하지 않는 것으로 결정할 수 있다. 또한, SDN 컨트롤러가 소스 단말(800)로부터 목적지 단말(900)까지 전송될 데이터 패킷의 경로정보의 위험 정도가 높거나, 중간 정도로 판단되는 경우, 데이터 패킷을 검사하는 것으로 결정할 수 있다.
일 실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 개시를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.
이상에서 본 개시의 실시예에 대하여 상세하게 설명하였지만 본 개시의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 개시의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 개시의 권리범위에 속한다.

Claims (20)

  1. 네트워크 제어 장치가 수행하는 방법에 있어서,
    적어도 하나의 네트워크 주소에 대한 위험 정도를 나타내는 정보를 획득하는 단계;
    상기 적어도 하나의 네트워크 주소에 대한 위험 정도를 나타내는 정보에 기초하여 적어도 하나의 라우팅 장치를 위한 라우팅 정보를 식별하는 단계; 및
    상기 라우팅 정보를 상기 적어도 하나의 라우팅 장치로 전송하는 단계를 포함하되,
    상기 네트워크 주소에 대한 위험 정도가 제1 구간에 속하는 경우, 상기 라우팅 정보는 상기 네트워크 주소와 관련된 데이터 패킷이 데이터 패킷 검사 서버를 통하는 경로로 전송되도록 설정되고,
    상기 네트워크 주소에 대한 위험 정도가 제2 구간에 속하는 경우, 상기 라우팅 정보는 상기 네트워크 주소와 관련된 데이터 패킷이 상기 데이터 패킷 검사 서버를 통하지 않는 경로로 전송되도록 설정되고,
    상기 네트워크 주소에 대한 위험 정도가 제3 구간에 속하는 경우, 상기 라우팅 정보는 상기 네트워크 주소와 관련된 데이터 패킷이 상기 데이터 패킷 검사 서버를 통하지 않는 경로 및 상기 데이터 패킷 검사 서버를 통하는 경로로 전송되도록 설정되는, 방법.
  2. 청구항 1에 있어서,
    상기 네트워크 제어 장치는 상기 데이터 패킷 검사 서버를 포함하고,
    상기 방법은:
    상기 적어도 하나의 라우팅 장치로부터 상기 네트워크 주소와 관련된 데이터 패킷을 수신하는 단계; 및
    상기 수신한 데이터 패킷을 검사하는 단계를 더 포함하는, 방법.
  3. 청구항 1에 있어서,
    상기 네트워크 제어 장치는 소프트웨어 정의 네트워킹(Software-Defined Networking, SDN) 제어기를 포함하는, 방법.
  4. 삭제
  5. 삭제
  6. 삭제
  7. 청구항 2에 있어서,
    상기 수신한 데이터 패킷의 검사 결과에 기초하여 상기 네트워크 주소와 관련된 데이터 패킷을 차단하는 단계를 더 포함하는, 방법.
  8. 청구항 1에 있어서,
    상기 적어도 하나의 네트워크 주소는 소스 IP 주소 및 목적지 IP 주소 중 적어도 하나를 포함하고,
    상기 위험 정도는 상기 소스 IP 주소에 대한 위험 점수(risk score) 및 상기 목적지 IP 주소에 대한 위험 점수 중 적어도 하나를 포함하는, 방법.
  9. 청구항 8에 있어서,
    상기 위험 정도는 상기 소스 IP 주소와 관련된 패킷 전송 이력, 상기 목적지 IP 주소와 관련된 패킷 전송 이력, 상기 소스 IP 주소와 상기 목적지 IP 주소 사이에 데이터 패킷이 경유하는 라우팅 장치의 전송 이력, 상기 소스 IP 주소와 관련된 공개 정보, 상기 목적지 IP 주소와 관련된 공개 정보 중 적어도 하나를 이용하여 결정되는, 방법.
  10. 청구항 2에 있어서,
    상기 수신한 데이터 패킷의 검사 결과에 기초하여 상기 적어도 하나의 네트워크 주소에 대한 위험 정도를 나타내는 정보를 업데이트하는 단계를 더 포함하는, 방법.
  11. 네트워크 제어 장치에 있어서,
    하나 이상의 실행가능한 명령어를 저장하는 저장부; 및
    상기 하나 이상의 실행가능한 명령어를 실행하였을 때 상기 네트워크 제어 장치로 하여금 동작을 수행하게 하는 프로세서를 포함하되, 상기 동작은:
    적어도 하나의 네트워크 주소에 대한 위험 정도를 나타내는 정보를 획득하는 것;
    상기 적어도 하나의 네트워크 주소에 대한 위험 정도를 나타내는 정보에 기초하여 적어도 하나의 라우팅 장치를 위한 라우팅 정보를 식별하는 것; 및
    상기 라우팅 정보를 상기 적어도 하나의 라우팅 장치로 전송하는 것을 포함하되,
    상기 네트워크 주소에 대한 위험 정도가 제1 구간에 속하는 경우, 상기 라우팅 정보는 상기 네트워크 주소와 관련된 데이터 패킷이 데이터 패킷 검사 서버를 통하는 경로로 전송되도록 설정되고,
    상기 네트워크 주소에 대한 위험 정도가 제2 구간에 속하는 경우, 상기 라우팅 정보는 상기 네트워크 주소와 관련된 데이터 패킷이 상기 데이터 패킷 검사 서버를 통하지 않는 경로로 전송되도록 설정되고,
    상기 네트워크 주소에 대한 위험 정도가 제3 구간에 속하는 경우, 상기 라우팅 정보는 상기 네트워크 주소와 관련된 데이터 패킷이 상기 데이터 패킷 검사 서버를 통하지 않는 경로 및 상기 데이터 패킷 검사 서버를 통하는 경로로 전송되도록 설정되는, 장치.
  12. 청구항 11에 있어서,
    상기 네트워크 제어 장치는 상기 데이터 패킷 검사 서버를 포함하고,
    상기 동작은:
    상기 적어도 하나의 라우팅 장치로부터 상기 네트워크 주소와 관련된 데이터 패킷을 수신하는 것; 및
    상기 수신한 데이터 패킷을 검사하는 것을 더 포함하는, 장치.
  13. 삭제
  14. 삭제
  15. 삭제
  16. 삭제
  17. 청구항 12에 있어서,
    상기 동작은 상기 수신한 데이터 패킷의 검사 결과에 기초하여 상기 네트워크 주소와 관련된 데이터 패킷을 차단하는 것을 더 포함하는, 장치.
  18. 청구항 11에 있어서,
    상기 적어도 하나의 네트워크 주소는 소스 IP 주소 및 목적지 IP 주소 중 적어도 하나를 포함하고,
    상기 위험 정도는 상기 소스 IP 주소에 대한 위험 점수(risk score) 및 상기 목적지 IP 주소에 대한 위험 점수 중 적어도 하나를 포함하는, 장치.
  19. 청구항 11에 있어서,
    상기 네트워크 제어 장치는 소프트웨어 정의 네트워킹(Software-Defined Networking, SDN) 제어기를 포함하는, 장치.
  20. 네트워크 제어 장치에 의해 실행될 때 상기 네트워크 제어 장치로 하여금 동작을 수행하도록 구성된 프로그램이 저장된 컴퓨터 판독 가능한 비 일시적 기록 매체로서, 상기 동작은:
    적어도 하나의 네트워크 주소에 대한 위험 정도를 나타내는 정보를 획득하는 것;
    상기 적어도 하나의 네트워크 주소에 대한 위험 정도를 나타내는 정보에 기초하여 적어도 하나의 라우팅 장치를 위한 라우팅 정보를 식별하는 것; 및
    상기 라우팅 정보를 상기 적어도 하나의 라우팅 장치로 전송하는 것을 포함하되,
    상기 네트워크 주소에 대한 위험 정도가 제1 구간에 속하는 경우, 상기 라우팅 정보는 상기 네트워크 주소와 관련된 데이터 패킷이 데이터 패킷 검사 서버를 통하는 경로로 전송되도록 설정되고,
    상기 네트워크 주소에 대한 위험 정도가 제2 구간에 속하는 경우, 상기 라우팅 정보는 상기 네트워크 주소와 관련된 데이터 패킷이 상기 데이터 패킷 검사 서버를 통하지 않는 경로로 전송되도록 설정되고,
    상기 네트워크 주소에 대한 위험 정도가 제3 구간에 속하는 경우, 상기 라우팅 정보는 상기 네트워크 주소와 관련된 데이터 패킷이 상기 데이터 패킷 검사 서버를 통하지 않는 경로 및 상기 데이터 패킷 검사 서버를 통하는 경로로 전송되도록 설정되는, 컴퓨터 판독 가능한 비 일시적 기록 매체.
KR1020180080657A 2018-07-11 2018-07-11 Sdn네트워크에서 라우팅 제어 장치 및 방법 KR102585874B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020180080657A KR102585874B1 (ko) 2018-07-11 2018-07-11 Sdn네트워크에서 라우팅 제어 장치 및 방법
PCT/KR2019/006242 WO2020013439A1 (ko) 2018-07-11 2019-05-24 Sdn네트워크에서 라우팅 제어 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180080657A KR102585874B1 (ko) 2018-07-11 2018-07-11 Sdn네트워크에서 라우팅 제어 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20200006824A KR20200006824A (ko) 2020-01-21
KR102585874B1 true KR102585874B1 (ko) 2023-10-06

Family

ID=69142726

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180080657A KR102585874B1 (ko) 2018-07-11 2018-07-11 Sdn네트워크에서 라우팅 제어 장치 및 방법

Country Status (2)

Country Link
KR (1) KR102585874B1 (ko)
WO (1) WO2020013439A1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115150312B (zh) * 2021-03-31 2024-05-17 华为技术有限公司 一种路由方法及设备
KR102439880B1 (ko) * 2022-01-26 2022-09-05 프라이빗테크놀로지 주식회사 애플리케이션의 파일 송신 및 수신을 제어하기 위한 시스템 및 그에 관한 방법
KR102460693B1 (ko) * 2022-02-23 2022-10-31 프라이빗테크놀로지 주식회사 애플리케이션의 파일 송신 및 수신을 제어하기 위한 시스템 및 그에 관한 방법
KR102609368B1 (ko) * 2023-02-22 2023-12-05 프라이빗테크놀로지 주식회사 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120030302A1 (en) * 2004-05-25 2012-02-02 Google Inc. Electronic message source reputation information system

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7251215B1 (en) * 2002-08-26 2007-07-31 Juniper Networks, Inc. Adaptive network router
KR102118687B1 (ko) * 2013-11-15 2020-06-03 삼성전자주식회사 SDN(Software-defined networking)에서 네트워크 장애 해소를 위한 컨트롤러 및 스위치의 동작 방법과, 이를 위한 컨트롤러 및 스위치
US10129293B2 (en) * 2015-02-23 2018-11-13 Level 3 Communications, Llc Managing traffic control in a network mitigating DDOS
US10284595B2 (en) * 2015-05-08 2019-05-07 Citrix Systems, Inc. Combining internet routing information with access logs to assess risk of user exposure
KR20170133790A (ko) * 2016-05-26 2017-12-06 한국전자통신연구원 상황인지 기반 의심 트래픽 대응 장치 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120030302A1 (en) * 2004-05-25 2012-02-02 Google Inc. Electronic message source reputation information system

Also Published As

Publication number Publication date
WO2020013439A1 (ko) 2020-01-16
KR20200006824A (ko) 2020-01-21

Similar Documents

Publication Publication Date Title
KR102585874B1 (ko) Sdn네트워크에서 라우팅 제어 장치 및 방법
US11658861B2 (en) Maps having a high branching factor
JP4906504B2 (ja) インテリジェント統合ネットワークセキュリティ装置
JP4490994B2 (ja) ネットワークセキュリティデバイスにおけるパケット分類
US10693899B2 (en) Traffic enforcement in containerized environments
KR20190017209A (ko) 네트워크 보안 강화 장치 및 그 방법
JP6280236B2 (ja) 最適化装置、最適化方法および最適化プログラム
US20180367431A1 (en) Heavy network flow detection method and software-defined networking switch
US11405319B2 (en) Tool port throttling at a network visibility node
US11863987B2 (en) Method for providing an elastic content filtering security service in a mesh network
US10389757B2 (en) Rule placement in network devices
JP2009296036A (ja) P2p通信制御システム及び制御方法
US11159533B2 (en) Relay apparatus
US11924243B2 (en) Search device, search method, and search program
Islam et al. Building machine learning based firewall on spanning tree protocol over software defined networking
JP2017200152A (ja) 通信制限範囲特定装置、通信制御装置、通信装置、通信システム、通信制限範囲特定方法、及びプログラム
KR101800145B1 (ko) 네트워크 기능을 제공하는 소프트웨어 스위치 및 그 동작 방법
US10659353B2 (en) Dynamic scriptable routing
Zhang et al. A novel method against the firewall bypass threat in OpenFlow networks
JP6721542B2 (ja) トラヒック制御装置、方法、およびプログラム
KR101619371B1 (ko) 패킷 처리 방법 및 장치
JP2019033320A (ja) 攻撃対処システム及び攻撃対処方法
JP6781109B2 (ja) トラヒック制御装置および方法
JP2018207435A (ja) トラヒック制御装置、方法、およびプログラム
JP5937526B2 (ja) トラフィック制御システム及びトラフィック制御方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right