KR20020085053A - 네트워크 트래픽 흐름 제어 시스템 - Google Patents

네트워크 트래픽 흐름 제어 시스템 Download PDF

Info

Publication number
KR20020085053A
KR20020085053A KR1020010024311A KR20010024311A KR20020085053A KR 20020085053 A KR20020085053 A KR 20020085053A KR 1020010024311 A KR1020010024311 A KR 1020010024311A KR 20010024311 A KR20010024311 A KR 20010024311A KR 20020085053 A KR20020085053 A KR 20020085053A
Authority
KR
South Korea
Prior art keywords
packet
rule
network
interface
mirroring
Prior art date
Application number
KR1020010024311A
Other languages
English (en)
Other versions
KR100437169B1 (ko
Inventor
이재형
Original Assignee
이재형
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이재형 filed Critical 이재형
Priority to KR10-2001-0024311A priority Critical patent/KR100437169B1/ko
Priority to US10/362,498 priority patent/US20030182580A1/en
Priority to PCT/KR2002/000599 priority patent/WO2002091674A1/en
Publication of KR20020085053A publication Critical patent/KR20020085053A/ko
Application granted granted Critical
Publication of KR100437169B1 publication Critical patent/KR100437169B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크 트래픽 흐름 제어 시스템에 관한 것으로서, 보다 상세하게는 물리적으로 네트워크를 분리하면서도 기존 네트워크의 구성이나 환경을 변경할 필요 없이 컴퓨터 네트워크 상에서 이동하는 패킷(packet)의 흐름을 데이터 링크 계층에서 제어할 수 있는 네트워크 트래픽 흐름 제어 시스템에 관한 것이다.

Description

네트워크 트래픽 흐름 제어 시스템{Network traffic flow control system}
본 발명은 네트워크 트래픽 흐름 제어 시스템에 관한 것으로서, 보다 상세하게는 물리적으로 네트워크를 분리하면서도 기존 네트워크의 구성이나 환경을 변경할 필요 없이 컴퓨터 네트워크 상에서 이동하는 패킷(packet)의 흐름을 데이터 링크 계층에서 제어할 수 있는 네트워크 트래픽 흐름 제어 시스템에 관한 것이다.
인터넷이 널리 보급됨에 따라 각종 부작용도 점차 증가하고 있다. 예를 들면, 불법적인 사용자가 인터넷을 통해 내부 네트워크로 침입하여 데이터를 조작하거나 자료를 유출하는 이른바 해킹(hacking) 등이 대표적인 사례이다. 또한, 경우에 따라 특정한 웹 사이트 주소(URL)로의 접속을 차단하거나 특정 IP 주소로부터의 접속을 차단할 필요가 있는 경우도 있다. 이러한 목적을 달성하기 위한 각종 하드웨어 또는 소프트웨어 장치를 보통 보안 솔루션이라고 하며, 이러한 보안 솔루션은 기능에 따라 침입 차단 시스템(방화벽(Firewall)이라고도 한다)과 침입 탐지 시스템으로 구분할 수 있다. 여기에서, 침입 차단 시스템이라 함은 외부 네트워크로부터 불법적인 사용자가 내부 네트워크로 침입하는 것을 원천적으로 봉쇄하는 시스템을 말하며, 침입 탐지 시스템이라 함은 네트워크 상에서 불법 침입이 발생하였는가를 모니터링하거나 경고를 할 수 있는 시스템을 말한다.
그러나, 기가 비트 네트워크(Giga-bit Network)와 같이 네트워크의 고속화에 따라 하나의 침입 차단 시스템이나 침입 탐지 시스템만을 가지고서는 더 이상 보안 시스템으로서의 기능을 수행하는 것이 불가능한 경우가 많이 발생하고 있다. 이러한 상황에 따라 많은 트래픽량을 처리할 수 있는 보안 시스템으로서 아래와 같이 여러 가지 방안이 제시되고 있으나 이들은 각각 다음과 같은 문제점을 가지고 있다.
첫째, 보안 시스템 자체를 큰 시스템으로 대치하는 방안이다. 그러나, 이 방법은 네트워크의 규모에 따라서 아주 큰 보안 시스템으로도 다 처리를 할 수 없는 경우도 있으며, 설령 가능하다고 하더라도 하드웨어 및 시스템 전체의 가격이 너무 많이 소요된다는 문제점이 있다.
둘째, 여러 대의 시스템에 의한 부하 분산 방법이다. 그러나, 이러한 방법은 침입 차단 시스템에서 보다 정교한 구성을 해야 할 뿐만 아니라, 네트워크의 변경이 발생함에 따라 기업이나 단체의 모든 시스템에 구성되어 있는 환경을 변경해 주어야 한다는 문제점이 있다. 따라서, 관리자의 업무가 과도하게 되며 내부 시스템의 유지 및 보수의 비용과 시간이 대폭 증가하게 된다.
셋째, 일반적으로 네트워크 기반의 침입 탐지 시스템은 스위칭 기능이 없는 일반 허브(hub)에 연결하는 방법을 통해서 패킷을 읽어 들이고 있다. 그러나, 스위칭 기능이 없는 일반 허브는 트래픽 양이 많은 고속 네트워크 하에서는 패킷간의 충돌현상이 발생하므로 잘 사용되지 않는다. 따라서, 고속 네트워크하에서는 스위칭 허브의 미러링 포트(mirroring port)를 사용하여 네트워크에 부하를 주지 않도록 하고 있다. 그러나, 스위칭 허브의 미러링 포트는 네트워크 장비가 제대로 동작하는지를 확인하기 위한 수단이지 보안 시스템을 위해 제공되고 있는 것은 아니므로 보통 한 개의 미러링 포트를 제공하고 있다. 따라서, 침입 탐지 시스템에 부하가 많이 걸리는 경우에는 여러 개의 시스템을 나누어 부하를 분산하는 방식은 더욱 어렵게 된다.
넷째, 상기 셋째 방안과 관련하여 여러 개의 스위칭 허브를 직렬로 연결하여 한 허브당 한 개씩 침입 탐지 시스템을 연결하는 방식으로 여러 대의 시스템 구성을 하는 방법이 있다. 그러나, 이러한 방식 또한 침입 차단 시스템의 경우와 마찬가지로 시스템 및 네트워크 관리가 어려워지고 유지 및 보수의 시간과 비용이 많이 발생한다.
다섯째, 상기 둘째 방안과 관련하여 침입 차단 시스템에 네트워크 주소 변환기(NAT, Network Address Translation)를 사용하는 경우에는 인터넷을 사용하는 모든 패킷에는 NAT가 적용되게 된다. 이러한 경우에는 순차적으로 NAT를 적용하는 침입 차단 시스템을 경유한 후에 여러 대의 침입 차단 시스템으로 부하를 분산시키기 위한 스위칭을 하여야 한다. 이러한 경우에는 효율적인 부하 분산 정책이라고 할 수 없다.
여섯째, 침입 탐지 시스템은 TCP 세션에 대해서는 어느 정도 세션을 차단할 수 있는 기능이 제공되기는 하지만 근본적인 차단은 불가능하다. 따라서, 침입 탐지 결과 차단할 규칙이 발생하면 침입 차단 시스템과 연계하여 차단 규칙을 지정하여야 한다. 그러나, 침입 차단 시스템과의 연계를 통해 탐지 결과를 침입 차단에 즉시 반영할 수 있는 시스템이 필요하게 된다.
여기에서, 침입 탐지 시스템과 침입 차단 시스템의 차이점을 간단히 설명하면 다음과 같다. 즉, 침입 차단 시스템은 라우터나 시스템의 게이트웨이(gateway) 형으로 만들어져 있다. 따라서, 네트워크 상에 움직이는 모든 패킷들의 처리 과정이 시스템의 게이트웨이 프로그램에서 수행되어 처리되므로 네트워크 병목 현상은항상 침입 차단 시스템에서 발생하게 된다. 또한, 게이트웨이를 네트워크의 가운데로 넣게 되면 필수적으로 네트워크의 구성상의 변경이 초래된다. 따라서, 게이트웨이의 안쪽 IP 주소 체계와 바깥쪽의 IP 주소 체계에 대한 점검을 해야 한다. 한편, 네트워크에 근간한 침입 탐지 시스템은 네트워크에 흘러 다니는 패킷을 스니핑(sniffing)하는 방식을 채택하므로 네트워크의 병목 현상을 유발시키지는 않는다. 또한, 침입 탐지 시스템은 자체만으로는 네트워크의 토폴로지의 변경이 없기 때문에 네트워크 관리가 편리하다는 장점도 있다. 그러나, 흘러 다니는 패킷을 감청하는 방식만으로는 패킷에 대한 차단이나 혹은 다른 필요에 의한 조작을 하는 것이 불가능하다. 일부 TCP 세션의 경우에는 TCP 프로토콜의 특성을 이용하여 세션을 차단하는 것은 가능할지라도 전체적으로 UDP 프로토콜 등 다른 여러 가지 프로토콜에서는 통신을 차단하는 것은 원천적으로 불가능하다.
이러한 점을 감안할 때, 침입 차단 시스템과 같은 게이트웨이형 시스템의 부하 분산을 효율적으로 수행하는 시스템과, 침입 탐지 시스템의 부하 분산을 효율적으로 수행할 수 있는 시스템 그리고 상기 2 종류의 시스템이 혼합된 모델 또는 상기 2 종류의 시스템 중 어느 하나가 지원되는 모델이면서 브리지와 같이 네트워크의 구성이나 환경의 변화를 주지 않는 시스템의 개발이 요망되고 있다.
본 발명은 상기와 같은 문제점을 감안하여 안출된 것으로서, 침입 탐지 시스템과 침입 차단 시스템의 기능을 구비한 부하 분산형 트래픽 흐름 제어 시스템을 제공하는 것을 목적으로 한다. 즉, 물리적으로 네트워크가 분리되게 하면서 물리적으로 분리된 네트워크가 논리적으로는 하나의 네트워크의 주소를 가질 수 있도록 하면서도 기존 네트워크의 구성이나 환경을 변경하지 않아도 되는 트래픽 흐름 제어 시스템을 제공하는 것을 목적으로 한다.
또한, 본 발명은 침입 차단 규칙을 포함함으로써 일부 패킷에 대해서는 자체적으로 처리를 하고 처리가 불가능한 일부 패킷들만 필터링하여 침입 차단 시스템으로 넘겨줌으로써, 침입 차단 시스템의 부하를 덜어 줄 수 있는 트래픽 흐름 제어 시스템을 제공하는 것을 또 다른 목적으로 한다.
또한, 본 발명은 네트워크가 분리된 지점에서 병목현상이 발생하지 않으면서 침입 차단 시스템을 포함한 일반적인 게이트웨이 응용프로그램의 수행이 가능하도록 하는 트래픽 흐름 제어 시스템을 제공하는 것을 또 다른 목적으로 한다.
또한, 본 발명은 복수개의 침입 차단 시스템 및 침입 탐지 시스템과 연동함으로써 부하를 분산시킬 수 있는 트래픽 흐름 제어 시스템을 제공하는 것을 또 다른 목적으로 한다.
또한, 본 발명은 스위칭 장비의 미러링 포트와 연결하여 네트워크 부하를 거의 영으로 유지하면서 복수개의 침입 탐지 시스템과 네트워크 감시 시스템을 연결할 수 있는 트래픽 흐름 제어 시스템을 제공하는 것을 또 다른 목적으로 한다.
또한, 본 발명은 침입 탐지 시스템에서 발견되는 규칙을 즉시 침입 차단 시스템에 반영할 수 있는 트래픽 흐름 제어 시스템을 제공하는 것을 또 다른 목적으로 한다.
또한, 본 발명은 일반 운영체제 커널 내에 탑재할 수 있도록 함으로써 일반운영체제하에서 고속 네트워크를 통해 이동되는 패킷을 고속으로 처리하는 데 문제가 발생하는 것을 해결하여 고속 네트워크에서 네트워크의 속도(wire-speed)로 지원을 할 수 있는 트래픽 흐름 제어 시스템을 제공하는 것을 또 다른 목적으로 한다.
도 1은 본 발명의 일실시예에 의한 네트워크 흐름 제어 시스템의 내부 구성을 나타낸 블록도,
도 2는 내부 인터페이스(110) 및 외부 인터페이스(150)의 구성을 나타낸 블록도,
도 3은 미러링 인터페이스(120)의 구성을 나타낸 블록도,
도 4는 통신/관리 인터페이스(160)의 구성을 나타낸 블록도,
도 5는 본 발명에 의한 트래픽 흐름 제어 시스템(100)이 네트워크 상에서 연결된 상태를 나타낸 블록도,
도 6은 본 발명에 의한 트래픽 흐름 제어 시스템(100)이 네트워크 상에서 연결된 또 다른 상태를 나타낸 블록도,
도 7은 본 발명에 의한 트래픽 흐름 제어 시스템(100)에 의하여 트래픽 흐름이 제어되는 과정을 나타낸 흐름도이다.
상기한 바와 같은 문제점을 해결하기 위한 본 발명은, 브로드캐스팅을 기반으로 하는 적어도 2 이상의 네트워크 사이에 설치되며, 상기 네트워크 사이에서 소정 규칙에 따라 패킷의 송수신을 차단할 것인지를 결정하는 적어도 1 이상의 침입 차단 시스템 및 상기 네트워크 사이에서 소정 규칙에 따라 패킷의 흐름을 감시하는 적어도 1 이상의 침입 탐지 시스템과 연결되는 네트워크 트래픽 흐름 제어 시스템에 있어서, 내부 네트워크와 연결되어 패킷을 송수신하는 내부 인터페이스; 외부 네트워크와 연결되어 패킷을 송수신하는 외부 인터페이스; 상기 내부 인터페이스, 상기 외부 인터페이스 및 상기 침입 차단 시스템과 연결되며, 상기 내부 인터페이스 또는 상기 외부 인터페이스로부터 패킷을 수신받아 미리 설정되어 있는 규칙에 따라 수신된 패킷을 차단할 것인지를 결정하는 규칙 조회 및 필터 모듈; 및 상기 내부 인터페이스, 외부 인터페이스 및 침입 탐지 시스템과 연결되어 상기 내부 인터페이스 또는 상기 외부 인터페이스로부터 패킷을 수신받아 미리 설정되어 있는 규칙에 따라 선택적으로 수신된 패킷을 상기 침입 탐지 시스템으로 미러링하는 미러링 인터페이스를 포함하며, 상기 규칙 조회 및 필터 모듈과 상기 미러링 인터페이스에 있어서의 미리 설정되어 있는 규칙은 데이터링크 계층에서 패킷의 흐름을제어하는 것을 특징으로 한다.
또한, 본 발명에 의한 네트워크 트래픽 흐름 제어 시스템은 브로드캐스팅을 기반으로 하는 적어도 2 이상의 네트워크 사이에 스위칭 장비를 통해 연결되는 네트워크 트래픽 흐름 제어 장치에 있어서, 상기 네트워크 사이에서 소정 규칙에 따라 패킷의 흐름을 감시하는 적어도 1 이상의 침입 탐지 시스템과 연결되어 복수개의 네트워크 인터페이스를 통해 상기 적어도 1 이상의 침입 탐지 시스템으로 복수의 미러링 기능을 수행하는 것을 또 다른 특징으로 한다.
이하, 첨부 도면을 참조하여 본 발명에 의한 실시예를 상세하게 설명한다.
도 1은 본 발명의 일실시예에 의한 네트워크 트래픽 흐름 제어 시스템의 내부 구성을 나타낸 블록도이다. 도 1에 도시한 바와 같이, 본 발명에 의한 일실시예에 따른의한 시스템(100)은 내부 인터페이스(110), 미러링 인터페이스(120), 규칙조회 및 필터 모듈(130), 주소변환기(140), 외부 인터페이스(150) 및 통신/관리 인터페이스(160)로 구성된다.
상기 내부 인터페이스(110)는 내부 네트워크(10), 미러링 인터페이스(120), 규칙조회 및 필터 모듈(130)과 연결되어 내부 네트워크(10)로부터 외부 네트워크(20)로 패킷을 송수신하며, 상기 외부 인터페이스(150)는 미러링 인터페이스(120) 및 주소변환기(140)와 연결되어 외부 네트워크(20)와 연결되어 외부 네트워크(20)로부터 내부 네트워크(10)로 패킷을 송수신하는 기능을 수행한다. 상기 내부 인터페이스(110) 및 외부 인터페이스(150)의 구성을 도 2에 나타내었다.
도 2는 상기 내부 인터페이스(110)와 외부 인터페이스(150)의 상세 구성을나타낸 블록도이다. 도 2에 나타낸 바와 같이, 상기 내부/외부 인터페이스(110,150)는 도 1의 미러링 인터페이스(120), 규칙조회 및 필터 모듈(130) 및 내부 네트워크(10) 또는 외부 네트워크(20)와 연결되며, 내부에 수신 버퍼부(111), 송신 버퍼부(112) 및 흐름제어규칙 데이터베이스(113)를 구비하고 있다. 내부/외부 인터페이스(110,150)는 다음과 같이 동작한다.
우선, 내부/외부 네트워크(10,20)로부터 패킷이 도달하면 일단 수신 버퍼부(111)에 패킷을 저장한 후, 흐름제어규칙 데이터베이스(113)를 참조하여 미러링할 패킷인지 여부를 결정한다. 미러링할 패킷인 경우, 패킷을 다시 스케줄링하여 미러링 인터페이스(120)로 패킷을 전달하고, 규칙조회 및 필터 모듈(130) 또는 주소 변환기(140)로 패킷을 보낸다.
이와 마찬가지 방식으로, 규칙조회 및 필터 모듈(130) 또는 주소 변환기(140)로부터 패킷이 도달하면, 송신 버퍼부(112)로 패킷을 저장하고, 흐름제어규칙 데이터베이스(112)를 참조하여 미러링할 패킷인지 여부를 결정한다. 미러링할 패킷인 경우, 미러링 인터페이스(120)로 패킷을 다시 스케줄링하여 미러링 인터페이스(120)로 패킷을 전달하고 내부/외부 네트워크(10,20)로 패킷을 전송한다.
여기에서, 패킷이 수신되면 프레그멘테이션(fragmentation)이 발생했는지를 확인한다. 프레그멘테이션이 발생한 경우, IP 재조합(reassemble) 과정을 거쳐 완전한 정상 패킷으로 바꾸어 준다. 마찬가지로, 패킷을 송신할 때에는 네트워크 인터페이스의 MTU 크기를 보고 송신할 패킷이 너무 크면 IP 프레그멘테이션을 시킨 후 패킷을 각각 송신한다. 이는 침입 차단 또는 침입 탐지 규칙을 확인하기 위해필요한 과정이다.
또한, 상기 수신 버퍼부(111) 및 송신 버퍼부(112)의 크기는 네트워크 혼잡현상(Network congestion)으로 인한 패킷 유실을 방지할 수 있도록 충분히 큰 크기여야 한다.
다음으로, 도 1의 미러링 인터페이스(120)에 대하여 설명한다. 상기 미러링 인터페이스(120)는 내부 인터페이스(110) 및 침입 탐지 시스템(30)과 각각 연결되어 내부 인터페이스(110)로부터 침입 탐지 시스템(30)으로 필요한 패킷만을 전송할 수 있도록 포트내의 전체 또는 일부 트래픽 흐름의 미러링 기능을 수행한다. 미러링 인터페이스(120)의 상세한 구성을 도 3에 나타내었다. 도 3에 도시한 바와 같이, 미러링 인터페이스(120)는 공유 메모리부(121), 송신 패킷 관리부(122), 수신 패킷 관리부(123) 및 네트워크 인터페이스(124)를 포함한다. 이러한 구성의 미러링 인터페이스(120)는 다음과 같이 동작한다.
상기 공유 메모리부(121)는 내부 인터페이스(110) 및 외부 인터페이스(150)와 각각 연결되어 이들로부터 패킷을 전달받아 임시로 저장한다. 또한, 상기 공유 메모리부(121)는 송신 패킷 관리부(122)와 연결되어 있다. 상기 송신 패킷 관리부(122)는 공유 메모리부(121)에 저장된 패킷을 읽어 들여 네트워크 인터페이스(124)로 패킷을 전달한다. 네트워크 인터페이스(124)는 전달받은 패킷을 침입 탐지 시스템(30)으로 송신한다. 만일, 침입 탐지 시스템(30)으로부터 TCP 세션을 차단하기 위해 위조된 패킷이 수신된 경우에는 수신 패킷 관리부(123)는 수신된 패킷을 규칙조회 및 필터 모듈(130)로 전달한다.
다음으로, 도 1의 규칙조회 및 필터 모듈(130)에 대하여 설명한다. 도 1에 도시한 바와 같이, 규칙조회 및 필터 모듈(130)은 내부 인터페이스(110), 주소 변환기(140), 통신/관리 인터페이스(160) 및 침입 차단 시스템(40)과 각각 연결되어 미리 설정되어 있는 침입 차단 규칙 또는 침입 탐지 규칙들에 따라 트래픽을 침입 차단 시스템으로 재전송(redirect)하는 기능을 수행한다. 규칙조회 및 필터 모듈(130)은 통신/관리 인터페이스(160)에 저장되어 있는 규칙 데이터베이스로부터 차단 규칙을 불러와서 저장해 둔다. 규칙조회 및 필터 모듈(130)에 저장되는 차단 규칙은 침입 차단 시스템에 사용되는 모든 차단 규칙을 저장해 둘 수도 있으나, 침입 차단 시스템의 부하 분산을 위해 사용되는 경우(도 5 참조)에는 OSI 계층 모델의 1계층에서 4계층까지의 차단 규칙만을 저장하도록 하는 것이 바람직하다. 이 때, OSI 계층의 5계층에서 7계층의 차단 규칙을 적용하거나 사용자의 인증 또는 암호화 등의 작업이 필요한 경우에는 패킷을 별도로 필터링하여 침입 차단 시스템(40)으로 패킷을 송신하도록 한다. 이와 같이 하는 이유는, OSI 계층 모델의 1계층에서 4계층까지는 네트워크의 정형화된 포맷으로 이루어진 패킷의 분석에 불과하므로 빠른 시간 내에 차단 규칙을 조회할 수 있기 때문이다. 또한, 많은 차단 규칙들이 보통 IP와 포트(port)에 의한 차단 정책을 위해 존재하므로, 실질적으로 침입 차단 시스템(40)으로 전송되는 패킷의 양은 전체 패킷에 비해 훨씬 줄어들게 되므로, 침입 차단 시스템을 작은 규모의 시스템으로 연동하더라도 시스템 전체에는 전혀 무리가 없게 된다. 규칙조회 및 필터 모듈(130)로부터 패킷이 전달되어 오면, 침입 차단 시스템(40)은 침입 차단 규칙을 통해 침입 차단 여부를 확인하고 기타 보안에 필요한 작업들을 수행한 후, 자신에게 속한 디폴트 라우트 테이블(default route table)을 이용하여 네트워크 인터페이스로 패킷을 넘겨주게 되는데, 이 때 패킷이 나가는 경로는 오직 하나이므로 본 발명에 의한 시스템(100)이 이 패킷을 수신하게 된다. 규칙조회 및 필터 모듈(130)은 침입 차단 시스템(40)으로부터 패킷을 수신받으면 목적지 데이터 링크 주소(MAC address)를 확인하고 내부 인터페이스(110) 또는 주소 변환기(140)로 패킷을 전달한다.
다음으로, 도 1의 주소 변환기(140,NAT(Network Address Translation))에 대하여 설명한다. 주소변환기(140)는 상기 규칙조회 및 필터 모듈(130) 및 외부 인터페이스(150)와 연결되어 내부 네트워크(10)의 주소 체계와 외부 네트워크(20)의 주소 체계를 변환하는 역할을 수행한다. 이러한 주소 변환기(140)는 침입 차단 시스템의 주요 기능 중의 하나로서, 내부 네트워크의 IP 주소 체계와 외부 네트워크의 IP 주소 체계가 다른 경우 IP 주소의 체계를 맞추어 주는 것으로서, 주로 내부 네트워크의 IP 주소 체계가 비공인 IP 주소인 경우에 사용된다. 물론, 주소 변환기를 사용하지 않을 수도 있으며 이 때 패킷은 외부 인터페이스(150)와 규칙조회 및 필터 모듈(130)간에 직접 송수신된다. 다만, 주소 변환기(140)가 없다면 주소 변환기 기능을 이용하는 침입 차단 시스템과의 연동시에 부하를 분산시키는 것이 불가능하게 된다. 즉, 주소 변환기가 없다면, 모든 패킷은 연동되어 있는 침입 차단 시스템으로 전송되어야 하기 때문이다. 주소 변환기(140)를 사용하는 경우에는, 패킷의 송신측 IP 주소와 목적지 IP 주소가 공인 IP 주소로 바뀌어 패킷을 수정한 후 외부 인터페이스(150)로 전달된다. 내부 네트워크가 비공인 IP로 설정되어 있다면 모든패킷은 주소 변환기(140)에 의해 주소를 변환해 주어야 한다.
다음으로, 도 1의 통신/관리 인터페이스(160)에 대하여 도 4를 참조하여 설명한다. 상기 통신/관리 인터페이스(160)는 시스템 관리자가 규칙을 지정하고 시스템을 제어하고 통계 정보를 조회하는 등의 관리를 하고 필요한 경우 로그(log) 통계를 보안 시스템과 교환할 수 있도록 하기 위한 인터페이스로서, 도 4에 도시한 바와 같이 침입 차단 시스템(40), 규칙조회 및 필터 모듈(130) 및 클라이언트와 연결되어 있으며, 내부에 제1 통신 모듈(161), 제2 통신 모듈(162), 규칙 데이터베이스(163), 통계 데이터베이스(164) 및 로그 데이터베이스(165)를 포함한다.
클라이언트는 컴퓨터 등을 통해 시스템(100)에 접속하는 관리자를 말하는 것으로서, 제1 통신 모듈(161)을 통해 규칙 데이터베이스(163)에 각종 규칙을 등록, 수정 또는 삭제 등의 조작을 행할 수 있다. 또한, 침입 차단 시스템(40)도 제2 통신 모듈(162) 및 제1 통신 모듈(161)을 통해 규칙을 공유할 수 있도록 응용 프로그래밍 인터페이스(API)를 제공한다. 이 응용 프로그래밍 인터페이스에서는 프로토콜, 클라이언트 IP, 서버 IP, 서버 포트 등으로 구성된 차단/허용 규칙, 차단 예외 클라이언트 IP 리스트, 차단할 URL, 내부 네트워크와 외부 네트워크의 IP 리스트 등을 지정할 수 있는 기능이 포함된다. 또한, 클라이언트는 제1 통신 모듈(161)을 이용하여 네트워크의 트래픽에 대한 로그 데이터베이스(165)에 접근하여 로그 정보를 조회할 수 있다. 마찬가지로 로그 데이터베이스(165)와 통계 데이터베이스(164)에 있는 정보는 규칙 데이터베이스(163)에 정의한 바에 따라 제2 통신 모듈(162)을 통해 침입 차단 시스템(40)으로 전달될 수 있다. 이 경우 침입 차단 시스템(40)에서는 본 시스템(100)이 차단한 내역 및 통계와 자체적으로 차단한 내역 및 통계를 같이 합쳐서 결과를 조회하고 보고서를 작성할 수 있게 된다.
도 5는 상기 도 1 내지 도 4에서 설명한 바와 같은 본 발명에 의한 트래픽 흐름 제어 시스템(100)이 네트워크 상에서 연결된 상태를 나타낸 블록도로서, 본 발명에 의한 시스템(100)이 브리지(Bridge)로서의 기능을 수행하는 경우에 대한 것이다. 도 5에 나타낸 바와 같이, 본 발명에 의한 네트워크 흐름 제어 시스템(100)은 내부 네트워크(10)와 외부 네트워크(20) 사이에 연결된다. 또한, 도 1에서 설명한 바와 같은 침입 차단 시스템(40)이나 침입 탐지 시스템(30)과 같은 보안 시스템이 복수개 연결되어 있다. 이 때, 내부 네트워크(10) 및 외부 네트워크(20)와 본 발명에 의한 트래픽 제어 시스템(100)의 네트워크 인터페이스와는 같은 네트워크 주소 체계를 갖거나 또는 전혀 상관없는 IP 주소 체계를 갖거나 무방하다.
이더넷(Ethernet)과 같은 브로드캐스팅(broadcasting) 기반의 네트워크는 특정 호스트로 가는 패킷이 전체 서브넷(subnet)으로 브로드캐스팅된다. 네트워크에 연결되어 있는 각 네트워크 인터페이스는 모든 패킷을 읽어 들이는 모드로 변경한다. 네트워크 인터페이스에서는 읽어 들인 패킷으로부터 목적지의 OSI 참조 모델의 계층 중 데이터 링크 계층의 주소(MAC address)를 확인하여 해당 네트워크 인터페이스로 다시 패킷을 송신함으로써, 스위칭 기능을 갖춘 브리지로서의 기능을 수행할 수 있게 된다. 이 때, 패킷을 분석하여 시스템 내에서 처리를 할 수 있는 패킷은 자체적으로 처리를 하고, 보안 시스템에서 처리를 할 부분이 있다면 이 패킷을 보안 시스템으로 보내고, 보안 시스템에서는 이 패킷을 차단할 것인지 또는 인증을할 것인지 등의 여부를 검사한 후 다시 시스템(100)으로 경로를 설정하여 보내게 된다. 본 발명에 의한 트래픽 흐름 제어 시스템(100)은 보안 시스템으로부터 전송되어 온 이 패킷을 다시 목적지 데이터 링크 계층의 주소를 확인하여 해당 네트워크 인터페이스를 통해 패킷을 전송하면 통신이 이루어지게 된다.
도 5의 보안 시스템이 도 1에서 설명한 바와 같은 침입 탐지 시스템(30)인 경우, 패킷이 수신되면 특정 규칙에 따라 해당 패킷을 보안 시스템(침입 탐지 시스템)에 복사한 후, 패킷의 목적지 데이터 링크 계층의 주소(MAC address)를 확인하여 해당 네트워크 인터페이스로 전송한다. 이 기능이 포트내의 전체 트래픽 또는 일부 트래픽의 플로우 미러링(flow mirroring) 기능으로서, 도 1에서 설명한 바와 같이 미러링 인터페이스(120)를 통해 이루어진다. 이 때, 플로우 미러링을 위한 네트워크 인터페이스는 복수개를 선택할 수 있도록 하여 여러 개의 시스템과 연동이 가능하도록 할 수 있다.
도 6은 상기 도 1 내지 도 4에서 설명한 바와 같은 본 발명에 의한 트래픽 흐름 제어 시스템(100)이 네트워크 상에서 연결된 또 다른 상태를 나타낸 블록도로서, 브리지로서의 기능은 없이 패킷 수집 엔진 형태인 경우에 대한 것이다. 도 6에 도시한 바와 같이, 트래픽 흐름 제어 시스템(100)은 스위칭 장비(50)에 연결되며, 트래픽 흐름 제어 시스템(100)에는 복수 개의 침입 탐지 시스템(30) 또는 네트워크 감시 시스템(60)이 연결된다. 도 6의 시스템은 도 1의 경우와는 달리 패킷의 경로 재지정(redirect) 전송 기능은 없고 단순히 패킷을 복사하는 기능만을 수행한다. 이 경우, 침입 차단 시스템과의 연동은 불가능하지만 네트워크의 부하는 전혀 없이복수개의 침입 탐지 시스템 또는 네트워크 감시 시스템을 연결할 수 있다. 이 때 스위칭 장비(50)가 트래픽 흐름 제어 시스템(100)에 연결되는 스위칭 장비의 네트워크 인터페이스는 미러링 포트로 정의되어 있어야 한다.
도 7은 상기 설명한 바와 같은 시스템 구성하에서 본 발명에 의한 방법이 구현되는 절차를 상세하게 나타낸 흐름도이다.
우선, 패킷이 시스템(100)으로 들어오면 그 패킷이 ARP 프로토콜(Address Resolution Protocol)이 탑재된 패킷인지 여부를 확인한다(S100).
만일 ARP 프로토콜이면 출발지 데이터 링크 계층의 주소(MAC)를 ARP 캐쉬에 갱신한다(S110). 이 때 갱신의 내용은 몇 번째 네트워크 인터페이스에 해당 데이터 링크 계층의 주소가 속해 있는가에 대한 것이다.
다음으로, 패킷이 ARP 요구 패킷인지를 확인한다(S120). 만일 ARP 요구 패킷이면 시스템이 가지고 있는 모든 네트워크 인터페이스로 브로드캐스팅한다(S130).
패킷이 ARP 요구 패킷이 아니고 ARP 응답 패킷이면 도착지 데이터 링크 계층의 주소를 이용하여 ARP 캐쉬에서 그 주소가 속하는 네트워크 인터페이스를 찾아 내어 패킷을 해당 인터페이스로 송신한다(S140). 이와 같이 함으로써, ARP 요구/응답 패킷의 처리는 종료된다.
한편, 패킷이 로컬 TCP/IP 스택에서 온 패킷이거나 네트워크 인터페이스에서 읽어 들인 패킷이면서 ARP 패킷이 아닌 경우에는, 도착지 IP가 로컬인지를 확인한다(S200). 만일 도착지 IP가 로컬이라면, 로컬 TCP/IP 스택으로 패킷을 넘겨준다(S210).
만일 도착지 IP가 로컬이 아니라면, 흐름 제어 규칙 데이터베이스에 있는 흐름 제어 리스트(flow control list)에서 해당 인터페이스의 정의한 값을 차례로 읽어 들이면서 비교한다(S300). 흐름 제어 리스트에는 일반 모드인지 재경로 설정 모드인지 혹은 미러링 모드인지가 리스트로 구성되어 있다. 흐름 제어 리스트에는 미러링이 복수 개 존재할 수 있고 혹은 재경로 설정이 복수 개 설정되어 있을 수 있다. 따라서, 패킷마다 흐름제어 리스트를 모두 차례로 처리되어야 그 패킷에 대한 동작을 종료할 수 있는 것이다.
상기 단계(S300)에서 미러링 모드인 경우에는, 패킷을 해당 네트워크 인터페이스로 패킷을 송신하고(S400), 그렇지 않다면 다시 흐름 제어 리스트에서 다음 리스트의 값을 비교한다.
상기 단계(S300)에서 일반 모드이면 정상적인 패킷의 전송을 의미하는 것으로서, 내부에서 들어온 패킷인지를 확인한다(S500). 만일 내부에서 들어온 패킷이면 규칙 조회 및 필터 모듈로 패킷을 전달하여 해당 패킷을 차단할 것인지 여부를 확인하고(S510), 만일 차단할 패킷이면 패킷을 차단하며, 통과를 할 패킷이면 주소변환기로 패킷을 전달한다(S520).
주소 변환기는 만일 주소를 변환하라는 규칙이 설정되어 있다면, 패킷의 출발지 IP와 목적지 IP를 변경하여 패킷을 재조립한 후에, 패킷을 패킷 송신 모듈로 보내어 ARP 캐쉬로부터 송신할 네트워크 인터페이스를 찾아서 패킷을 송신하게 된다(S530).
상기 단계(S500)에서, 내부에서 들어온 패킷이 아닌 경우에는 우선 주소 변환기를 통과하여(S540) 규칙 조회 및 필터 모듈로 해당 패킷을 전달하여 차단 여부를 확인하고(S550), 만일 차단할 패킷이면 패킷을 차단하며, 통과를 할 패킷이면 해당 네트워크 인터페이스를 찾아서 패킷을 송신한다(S560). 여기에서, 내부에서 들어온 패킷인지 외부에서 들어온 패킷인지에 따라 순서가 바뀌는 이유는 차단 규칙은 네트워크의 주소가 일관성이 있어야 관리가 편하기 때문이다. 만일 차단 규칙이 비공인 IP와 공인 IP가 혼재된 상황에서 차단규칙을 만들려면 시스템의 관리가 매우 어려워 지게 된다.
상기 단계(S300)에서 경로 재지정으로 되어 있는 경우에는 우선 그 패킷이 내부에서 왔는지를 확인한다(S600). 그 이하 과정은 앞에서 설명한 일반모드에서의 과정과 동일하다. 다만, 패킷을 송신하는 부분에 있어서 차이가 있는데 이는 경로를 재지정할 때 이미 패킷을 송신할 네트워크 인터페이스가 지정되어 있기 때문이다.
참고로 패킷을 차단하는 방식에는 두 가지 방식이 있다. 즉, 위조 RST(reset) 패킷을 송신하는 방식과 패킷을 폐기(DROP)하는 방식 두 가지이다. 만일 도 5에서와 같이 스위칭형으로 시스템을 구성한 경우에는 차단되었다는 메시지가 들어 있는 위조 패킷과 FIN(finish) 플래그를 세팅한 위조 패킷을 보내거나 혹은 차단되었다는 메시지가 없을 경우에는 RST(reset) 패킷을 보내는 방식 혹은 단순히 패킷을 폐기(DROP)하는 방식 등 세 가지 방식 중에서 선택하게 된다. 이 세 가지 방식은 프로토콜 서비스 별로 혹은 관리자의 선택에 따라 결정되어 진다. 도 6과 같이 패킷 감시형으로 연결된 네트워크의 구조에서는 위의 세 가지 방식 중 패킷을 폐기하는 방식은 사용할 수 없다.
이상에서, 본 발명의 바람직한 실시예를 참조하여 본 발명의 구성을 설명하였다. 그러나, 본 발명의 진정한 범위는 이러한 실시예들에 한정되는 것이 아님은 물론이다. 예컨대, 본 발명에 의한 네트워크 트래픽 흐름 제어 시스템은 약간의 수정 및 변형을 통해 브리지로서뿐만 아니라 각종 스위칭 장비, 라우터(router) 또는 컴퓨터 등에 응용할 수 있다.
본 발명에 의하면, 물리적으로 네트워크를 분리를 하면서도 논리적으로는 분리되어 있는 네트워크들이 하나의 주소를 가질 수 있도록 함으로써 기존 네트워크의 구성이나 환경 등은 전혀 변경할 필요가 없는 브리지 기능을 구비한 네트워크 트래픽 흐름 제어 시스템을 제공할 수 있다. 또한, 브리지 기능을 구비한 상태에서 고속 네트워크상의 트래픽 처리를 위해 여러 대의 시스템과 연결하여 부하를 분산시킬 수 있다.
또한, 본 발명에 의하면, 한 개의 네트워크에서 패킷을 수집하면서 여러 대의 침입 탐지 시스템이나 네트워크 감시 시스템 등에 패킷을 모두 혹은 필요한 부분만 필터링하여 트래픽 양을 감소시킴으로써, 보안 시스템의 부하를 감소시킬 수 있다.
또한, 본 발명에 의하면, 주소 변환기를 내장함으로써 모든 패킷을 침입 차단 시스템으로 보내 주는 것을 방지하여 침입 차단 시스템에서의 병목현상을 없앨 수 있다. 또한, 고속 패킷을 실시간으로 처리할 수 있으므로 실질적으로 네트워크의 속도(wire speed)를 제공할 수 있다.
또한, 본 발명에 의하면, 침입 탐지 시스템에서 발견되는 침입 현상에 대한 규칙을 차단 정책으로 바꾸어 이를 차단 규칙에 반영하는 관리자의 업무 편의성을 제공할 수 있다.

Claims (12)

  1. 브로드캐스팅을 기반으로 하는 적어도 2 이상의 네트워크 사이에 설치되며, 상기 네트워크 사이에서 소정 규칙에 따라 패킷의 송수신을 차단할 것인지를 결정하는 적어도 1 이상의 침입 차단 시스템 및 상기 네트워크 사이에서 소정 규칙에 따라 패킷의 흐름을 감시하는 적어도 1 이상의 침입 탐지 시스템과 연결되는 네트워크 트래픽 흐름 제어 시스템에 있어서,
    내부 네트워크와 연결되어 패킷을 송수신하는 내부 인터페이스;
    외부 네트워크와 연결되어 패킷을 송수신하는 외부 인터페이스;
    상기 내부 인터페이스, 상기 외부 인터페이스 및 상기 침입 차단 시스템과 연결되며, 상기 내부 인터페이스 또는 상기 외부 인터페이스로부터 패킷을 수신받아 미리 설정되어 있는 규칙에 따라 수신된 패킷을 차단할 것인지를 결정하는 규칙 조회 및 필터 모듈; 및
    상기 내부 인터페이스, 외부 인터페이스 및 침입 탐지 시스템과 연결되어 상기 내부 인터페이스 또는 상기 외부 인터페이스로부터 패킷을 수신받아 미리 설정되어 있는 규칙에 따라 선택적으로 수신된 패킷을 상기 침입 탐지 시스템으로 미러링하는 미러링 인터페이스
    를 포함하며,
    상기 규칙 조회 및 필터 모듈과 상기 미러링 인터페이스에 있어서의 미리 설정되어 있는 규칙은 데이터링크 계층에서 패킷의 흐름을 제어하는 것을 특징으로하는 네트워크 트래픽 흐름 제어 시스템.
  2. 제1항에 있어서,
    상기 규칙 조회 및 필터 모듈과 상기 외부 인터페이스 사이에 삽입되어, 상기 내부 네트워크의 주소 체계와 외부 네트워크의 주소 체계를 서로 변환하는 주소 변환기를 더 포함하는 것을 특징으로 하는 네트워크 트래픽 흐름 제어 시스템.
  3. 제1항 또는 제2항에 있어서,
    상기 내부 인터페이스 및 상기 외부 인터페이스는,
    내부 네트워크 또는 외부 네트워크로부터 패킷을 수신받아 일시적으로 저장하는 수신 버퍼부;
    내부 네트워크 또는 외부 네트워크로 전송할 패킷을 일시적으로 저장하는 송신 버퍼부; 및
    상기 수신 버퍼부에 저장된 패킷에 대하여 상기 미러링 인터페이스로 미러링할 것인지에 대한 규칙을 저장하는 흐름 제어 규칙 데이터베이스
    를 포함하며,
    상기 수신 버퍼부는 상기 내부 네트워크 또는 상기 외부 네트워크로부터 수신된 패킷을 상기 흐름 제어 규칙 데이터베이스를 참조하여 미러링 여부를 결정하고, 미러링 규칙이 선언되어 있는 경우 해당 패킷을 상기 미러링 인터페이스로 전송하고, 미러링 규칙이 선언되어 있지 않은 경우 해당 패킷을 상기 규칙 조회 및필터 모듈 또는 상기 주소 변환기로 전송하고,
    상기 송신 버퍼부는 상기 규칙 조회 및 필터 모듈 또는 상기 주소 변환기로부터 수신된 패킷을 상기 흐름 제어 규칙 데이터베이스를 참조하여 미러링 여부를 결정하고, 미러링 규칙이 선언되어 있는 경우 해당 패킷을 상기 미러링 인터페이스로 전송하고, 미러링 규칙이 선언되어 있지 않은 경우 해당 패킷을 상기 내부 네트워크 또는 상기 외부 네트워크로 전송하는 것을 특징으로 하는 네트워크 트래픽 흐름 제어 시스템.
  4. 제3항에 있어서,
    상기 미러링 인터페이스는,
    상기 내부 인터페이스 또는 상기 외부 인터페이스로부터 미러링되는 패킷을 일시 저장하는 공유 메모리부;
    상기 공유 메모리부로부터 패킷을 읽어 들여 네트워크 인터페이스로 전달하는 송신패킷 관리부;
    상기 송신패킷 관리부로부터 패킷을 수신받아 상기 침입 탐지 시스템으로 전송하는 네트워크 인터페이스; 및
    상기 네트워크 인터페이스를 통해 상기 침입 탐지 시스템으로부터 패킷이 수신된 경우 수신된 패킷을 상기 규칙 조회 및 필터 모듈로 전송하는 수신패킷 관리부
    를 포함하는 것을 특징으로 하는 네트워크 트래픽 흐름 제어 시스템.
  5. 제1항 또는 제2항에 있어서,
    클라이언트가 접속할 수 있도록 하는 제1 통신 모듈;
    침입 차단 시스템과 접속할 수 있도록 하는 제 2 통신 모듈;
    미리 설정된 침입 차단 규칙 및 침입 탐지 규칙을 저장하여 상기 규칙 조회 및 필터로 규칙을 전송하는 규칙 데이터베이스;
    네트워크를 통과하는 모든 패킷에 대한 기록을 저장하는 로그 데이터베이스; 및
    네트워크상의 패킷에 대한 각종 통계 정보를 저장하는 통계 데이터베이스;
    를 구비하는 통신/관리 인터페이스를 더 포함하는 것을 특징으로 하는 네트워크 트래픽 흐름 제어 시스템.
  6. 제4항에 있어서,
    클라이언트가 접속할 수 있도록 하는 제1 통신 모듈;
    침입 차단 시스템과 접속할 수 있도록 하는 제 2 통신 모듈;
    미리 설정된 침입 차단 규칙 및 침입 탐지 규칙을 저장하여 상기 규칙 조회 및 필터로 규칙을 전송하는 규칙 데이터베이스;
    네트워크를 통과하는 모든 패킷에 대한 기록을 저장하는 로그 데이터베이스; 및
    네트워크상의 패킷에 대한 각종 통계 정보를 저장하는 통계 데이터베이스;
    를 구비하는 통신/관리 인터페이스를 더 포함하는 것을 특징으로 하는 네트워크 트래픽 흐름 제어 시스템.
  7. 제5항에 있어서,
    상기 패킷을 차단하는 규칙은 상기 규칙 데이터베이스, 상기 규칙 조회 및 필터 모듈 및 상기 침입 차단 시스템간에 소정 기준에 의하여 분배되어 있는 것을 특징으로 하는 네트워크 트래픽 흐름 제어 시스템.
  8. 제6항에 있어서,
    상기 패킷을 차단하는 규칙은 상기 규칙 데이터베이스, 상기 규칙 조회 및 필터 모듈 및 상기 침입 차단 시스템간에 소정 기준에 의하여 분배되어 있는 것을 특징으로 하는 네트워크 트래픽 흐름 제어 시스템.
  9. 제8항에 있어서,
    상기 침입 탐지 시스템으로부터 탐지되는 결과에 의한 차단 규칙을 상기 규칙 데이터베이스, 상기 규칙 조회 및 필터 모듈 및 상기 침입 차단 시스템에 즉시 전송하여 해당 데이터를 수정하는 것을 특징으로 하는 네트워크 트래픽 흐름 제어 시스템.
  10. 브로드캐스팅을 기반으로 하는 적어도 2 이상의 네트워크 사이에 스위칭 장비를 통해 연결되는 네트워크 트래픽 흐름 제어 장치에 있어서,
    상기 네트워크 사이에서 소정 규칙에 따라 패킷의 흐름을 감시하는 적어도 1 이상의 침입 탐지 시스템과 연결되어 복수개의 네트워크 인터페이스를 통해 상기 적어도 1 이상의 침입 탐지 시스템으로 복수의 미러링 기능을 수행하는 것을 특징으로 하는 네트워크 트래픽 흐름 제어 시스템.
  11. 제10항에 있어서,
    상기 침입 탐지 시스템과 연결되며, 상기 스위칭 장비를 통해 수신되는 패킷을 미리 설정되어 있는 규칙에 따라 선택적으로 상기 침입 탐지 시스템으로 미러링하는 미러링 인터페이스를 포함하며,
    상기 미러링 인터페이스를 통해 상기 침입 탐지 시스템으로부터 위조된 패킷이 수신되는 경우 이에 대응하는 실질적인 네트워크로 전송하는 것을 특징으로 하는 네트워크 트래픽 흐름 제어 시스템.
  12. 제10항 또는 제11항에 있어서,
    수신되는 패킷을 차단할 것인지에 대한 소정 규칙을 저장하는 규칙 조회 및 필터 모듈을 더 포함하며,
    차단할 세션에 대해 차단 메시지가 들어 있는 위조 패킷과 FIN(finish) 또는 RST(reset) 플래그를 포함하는 패킷을 송신하여 실제 세션을 차단하는 것을 특징으로 하는 네트워크 트래픽 흐름 제어 시스템.
KR10-2001-0024311A 2001-05-04 2001-05-04 네트워크 트래픽 흐름 제어 시스템 KR100437169B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR10-2001-0024311A KR100437169B1 (ko) 2001-05-04 2001-05-04 네트워크 트래픽 흐름 제어 시스템
US10/362,498 US20030182580A1 (en) 2001-05-04 2002-04-04 Network traffic flow control system
PCT/KR2002/000599 WO2002091674A1 (en) 2001-05-04 2002-04-04 Network traffic flow control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0024311A KR100437169B1 (ko) 2001-05-04 2001-05-04 네트워크 트래픽 흐름 제어 시스템

Publications (2)

Publication Number Publication Date
KR20020085053A true KR20020085053A (ko) 2002-11-16
KR100437169B1 KR100437169B1 (ko) 2004-06-25

Family

ID=19709066

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0024311A KR100437169B1 (ko) 2001-05-04 2001-05-04 네트워크 트래픽 흐름 제어 시스템

Country Status (3)

Country Link
US (1) US20030182580A1 (ko)
KR (1) KR100437169B1 (ko)
WO (1) WO2002091674A1 (ko)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100717635B1 (ko) * 2005-07-21 2007-05-15 김대환 패킷 내용 기반 인터넷 트래픽 제어 방법 및 시스템
KR100728277B1 (ko) * 2005-05-17 2007-06-13 삼성전자주식회사 동적 네트워크 보안 시스템 및 방법
KR100728446B1 (ko) * 2005-07-21 2007-06-13 엘지엔시스(주) 하드웨어 기반의 침입방지장치, 시스템 및 방법
KR100956498B1 (ko) * 2008-01-09 2010-05-07 한양대학교 산학협력단 상호 협력적인 다중 서버를 통한 침입 탐지 시스템 및 방법그리고 침입 탐지 통제 시스템 및 방법
KR100969455B1 (ko) * 2007-12-28 2010-07-14 주식회사 케이티 네트워크 이용경향 관리를 위한 홈게이트웨이 장치 및 그동작 방법과, 그를 이용한 네트워크 이용경향 관리 방법
KR101028101B1 (ko) * 2009-03-03 2011-04-08 시큐아이닷컴 주식회사 분산 서비스 거부 공격 방어 보안장치 및 그 방법
KR101217684B1 (ko) * 2011-04-04 2013-01-02 주식회사 마린디지텍 다중 캔 네트워크에서의 캔 통신을 위한 캔 커플러 및 캔 커플링 방법
KR101252812B1 (ko) * 2006-04-25 2013-04-12 주식회사 엘지씨엔에스 네트워크 보안 장치 및 그를 이용한 패킷 데이터 처리방법
KR20160131475A (ko) * 2015-05-07 2016-11-16 주식회사 퓨쳐시스템 네트워크에서의 침입 차단 장치 및 방법
WO2020076508A1 (en) * 2018-10-11 2020-04-16 Mcafee, Llc Methods and apparatus to detect and prevent host firewall bypass threats through a data link layer
KR20200066129A (ko) * 2018-11-29 2020-06-09 주식회사우경정보기술 영상 감지 장치 및 영상 감지 방법

Families Citing this family (50)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7904454B2 (en) * 2001-07-16 2011-03-08 International Business Machines Corporation Database access security
US7734752B2 (en) * 2002-02-08 2010-06-08 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US8209756B1 (en) 2002-02-08 2012-06-26 Juniper Networks, Inc. Compound attack detection in a computer network
US8819285B1 (en) 2002-10-01 2014-08-26 Trustwave Holdings, Inc. System and method for managing network communications
US7469418B1 (en) 2002-10-01 2008-12-23 Mirage Networks, Inc. Deterring network incursion
US8260961B1 (en) 2002-10-01 2012-09-04 Trustwave Holdings, Inc. Logical / physical address state lifecycle management
US7483972B2 (en) * 2003-01-08 2009-01-27 Cisco Technology, Inc. Network security monitoring system
US20040196841A1 (en) * 2003-04-04 2004-10-07 Tudor Alexander L. Assisted port monitoring with distributed filtering
US6985920B2 (en) * 2003-06-23 2006-01-10 Protego Networks Inc. Method and system for determining intra-session event correlation across network address translation devices
US7565690B2 (en) * 2003-08-04 2009-07-21 At&T Intellectual Property I, L.P. Intrusion detection
US7644365B2 (en) 2003-09-12 2010-01-05 Cisco Technology, Inc. Method and system for displaying network security incidents
FR2862399B3 (fr) * 2003-11-18 2006-01-06 Sagem Dispositif de liaison unidirectionnelle dans un reseau ethernet
FR2862398A1 (fr) * 2003-11-18 2005-05-20 Sagem Dispositif de liaison unidirectionnelle dans un reseau ethernet
US7426512B1 (en) * 2004-02-17 2008-09-16 Guardium, Inc. System and methods for tracking local database access
US10887212B2 (en) 2004-08-20 2021-01-05 Extreme Networks, Inc. System, method and apparatus for traffic mirror setup, service and security in communication networks
US7490235B2 (en) 2004-10-08 2009-02-10 International Business Machines Corporation Offline analysis of packets
US7849506B1 (en) * 2004-10-12 2010-12-07 Avaya Inc. Switching device, method, and computer program for efficient intrusion detection
JP2006126894A (ja) * 2004-10-26 2006-05-18 Sony Corp コンテンツ配信方法、プログラムおよび情報処理装置
US7810151B1 (en) 2005-01-27 2010-10-05 Juniper Networks, Inc. Automated change detection within a network environment
US7809826B1 (en) 2005-01-27 2010-10-05 Juniper Networks, Inc. Remote aggregation of network traffic profiling data
US7937755B1 (en) * 2005-01-27 2011-05-03 Juniper Networks, Inc. Identification of network policy violations
US7769851B1 (en) 2005-01-27 2010-08-03 Juniper Networks, Inc. Application-layer monitoring and profiling network traffic
US7797411B1 (en) 2005-02-02 2010-09-14 Juniper Networks, Inc. Detection and prevention of encapsulated network attacks using an intermediate device
US9055088B2 (en) * 2005-03-15 2015-06-09 International Business Machines Corporation Managing a communication session with improved session establishment
US7930739B1 (en) * 2005-05-24 2011-04-19 Symantec Corporation Scaled scanning parameterization
US7970788B2 (en) 2005-08-02 2011-06-28 International Business Machines Corporation Selective local database access restriction
US7882262B2 (en) 2005-08-18 2011-02-01 Cisco Technology, Inc. Method and system for inline top N query computation
US7933923B2 (en) 2005-11-04 2011-04-26 International Business Machines Corporation Tracking and reconciling database commands
US20070195776A1 (en) * 2006-02-23 2007-08-23 Zheng Danyang R System and method for channeling network traffic
KR100748246B1 (ko) * 2006-03-29 2007-08-10 한국전자통신연구원 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한다단계 통합보안 관리 시스템 및 방법
US8233388B2 (en) 2006-05-30 2012-07-31 Cisco Technology, Inc. System and method for controlling and tracking network content flow
US8141100B2 (en) 2006-12-20 2012-03-20 International Business Machines Corporation Identifying attribute propagation for multi-tier processing
US20080196104A1 (en) * 2007-02-09 2008-08-14 George Tuvell Off-line mms malware scanning system and method
US8495367B2 (en) 2007-02-22 2013-07-23 International Business Machines Corporation Nondestructive interception of secure data in transit
US20080232359A1 (en) * 2007-03-23 2008-09-25 Taeho Kim Fast packet filtering algorithm
JP4569649B2 (ja) * 2008-03-19 2010-10-27 ソニー株式会社 情報処理装置、情報再生装置、情報処理方法、情報再生方法、情報処理システムおよびプログラム
US8261326B2 (en) 2008-04-25 2012-09-04 International Business Machines Corporation Network intrusion blocking security overlay
US8856926B2 (en) * 2008-06-27 2014-10-07 Juniper Networks, Inc. Dynamic policy provisioning within network security devices
CN101854340B (zh) 2009-04-03 2015-04-01 瞻博网络公司 基于访问控制信息进行的基于行为的通信剖析
US8769665B2 (en) * 2009-09-29 2014-07-01 Broadcom Corporation IP communication device as firewall between network and computer system
CN101674312B (zh) * 2009-10-19 2012-12-19 中兴通讯股份有限公司 一种在网络传输中防止源地址欺骗的方法及装置
US8151341B1 (en) * 2011-05-23 2012-04-03 Kaspersky Lab Zao System and method for reducing false positives during detection of network attacks
CN104205727B (zh) 2012-01-27 2019-08-30 诺基亚通信公司 移动分组核心网络中的会话终止
KR101455167B1 (ko) * 2013-09-03 2014-10-27 한국전자통신연구원 화이트리스트 기반의 네트워크 스위치
CN103546326B (zh) * 2013-11-04 2017-01-11 北京中搜网络技术股份有限公司 一种网站流量统计的方法
US9088544B1 (en) * 2014-09-11 2015-07-21 Fortinet, Inc. Interface groups for rule-based network security
CN106506538A (zh) * 2016-12-15 2017-03-15 汉柏科技有限公司 一种入侵防御设备性能的优化方法和系统
US10979390B2 (en) * 2017-08-25 2021-04-13 Panasonic Intellectual Property Corporation Of America Communication security apparatus, control method, and storage medium storing a program
KR102163280B1 (ko) 2018-09-19 2020-10-08 주식회사 맥데이타 엣지 컴퓨팅 기반 네트워크 모니터링 방법, 장치 및 시스템
US10992585B1 (en) 2019-05-09 2021-04-27 Amazon Technologies, Inc. Unified network traffic controllers for multi-service environments

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5802320A (en) * 1995-05-18 1998-09-01 Sun Microsystems, Inc. System for packet filtering of data packets at a computer network interface
US5774660A (en) * 1996-08-05 1998-06-30 Resonate, Inc. World-wide-web server with delayed resource-binding for resource-based load balancing on a distributed resource multi-node network
US5991881A (en) * 1996-11-08 1999-11-23 Harris Corporation Network surveillance system
US6212635B1 (en) * 1997-07-18 2001-04-03 David C. Reardon Network security system allowing access and modification to a security subsystem after initial installation when a master token is in place
JP3599552B2 (ja) * 1998-01-19 2004-12-08 株式会社日立製作所 パケットフィルタ装置、認証サーバ、パケットフィルタリング方法及び記憶媒体
US6230271B1 (en) * 1998-01-20 2001-05-08 Pilot Network Services, Inc. Dynamic policy-based apparatus for wide-range configurable network service authentication and access control using a fixed-path hardware configuration
US6182226B1 (en) * 1998-03-18 2001-01-30 Secure Computing Corporation System and method for controlling interactions between networks
US6154839A (en) * 1998-04-23 2000-11-28 Vpnet Technologies, Inc. Translating packet addresses based upon a user identifier
JP2000216830A (ja) * 1999-01-22 2000-08-04 Hitachi Ltd 多段ファイアウォ―ルシステム
US6584508B1 (en) * 1999-07-13 2003-06-24 Networks Associates Technology, Inc. Advanced data guard having independently wrapped components
US20020069356A1 (en) * 2000-06-12 2002-06-06 Kwang Tae Kim Integrated security gateway apparatus
KR20000063950A (ko) * 2000-08-12 2000-11-06 주진용 네트워크 서버 보안 시스템 및 방법

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100728277B1 (ko) * 2005-05-17 2007-06-13 삼성전자주식회사 동적 네트워크 보안 시스템 및 방법
KR100717635B1 (ko) * 2005-07-21 2007-05-15 김대환 패킷 내용 기반 인터넷 트래픽 제어 방법 및 시스템
KR100728446B1 (ko) * 2005-07-21 2007-06-13 엘지엔시스(주) 하드웨어 기반의 침입방지장치, 시스템 및 방법
KR101252812B1 (ko) * 2006-04-25 2013-04-12 주식회사 엘지씨엔에스 네트워크 보안 장치 및 그를 이용한 패킷 데이터 처리방법
KR100969455B1 (ko) * 2007-12-28 2010-07-14 주식회사 케이티 네트워크 이용경향 관리를 위한 홈게이트웨이 장치 및 그동작 방법과, 그를 이용한 네트워크 이용경향 관리 방법
KR100956498B1 (ko) * 2008-01-09 2010-05-07 한양대학교 산학협력단 상호 협력적인 다중 서버를 통한 침입 탐지 시스템 및 방법그리고 침입 탐지 통제 시스템 및 방법
KR101028101B1 (ko) * 2009-03-03 2011-04-08 시큐아이닷컴 주식회사 분산 서비스 거부 공격 방어 보안장치 및 그 방법
KR101217684B1 (ko) * 2011-04-04 2013-01-02 주식회사 마린디지텍 다중 캔 네트워크에서의 캔 통신을 위한 캔 커플러 및 캔 커플링 방법
KR20160131475A (ko) * 2015-05-07 2016-11-16 주식회사 퓨쳐시스템 네트워크에서의 침입 차단 장치 및 방법
WO2020076508A1 (en) * 2018-10-11 2020-04-16 Mcafee, Llc Methods and apparatus to detect and prevent host firewall bypass threats through a data link layer
US11290469B2 (en) 2018-10-11 2022-03-29 Mcafee, Llc Methods and apparatus to detect and prevent host firewall bypass threats through a data link layer
KR20200066129A (ko) * 2018-11-29 2020-06-09 주식회사우경정보기술 영상 감지 장치 및 영상 감지 방법

Also Published As

Publication number Publication date
KR100437169B1 (ko) 2004-06-25
US20030182580A1 (en) 2003-09-25
WO2002091674A1 (en) 2002-11-14

Similar Documents

Publication Publication Date Title
KR100437169B1 (ko) 네트워크 트래픽 흐름 제어 시스템
US10972437B2 (en) Applications and integrated firewall design in an adaptive private network (APN)
US6219786B1 (en) Method and system for monitoring and controlling network access
US6836462B1 (en) Distributed, rule based packet redirection
US6321336B1 (en) System and method for redirecting network traffic to provide secure communication
US8291114B2 (en) Routing a packet by a device
US6628654B1 (en) Dispatching packets from a forwarding agent using tag switching
US6633560B1 (en) Distribution of network services among multiple service managers without client involvement
US6742045B1 (en) Handling packet fragments in a distributed network service environment
US6606316B1 (en) Gathering network statistics in a distributed network service environment
US7474655B2 (en) Restricting communication service
US20040131059A1 (en) Single-pass packet scan
US20060253903A1 (en) Real time firewall/data protection systems and methods
JP2008523735A (ja) ネットワーク装置を有する電子メッセージ配信システム
CA2333495A1 (en) Internet protocol-based computer network service
GB2318031A (en) Network firewall with proxy
US20070156898A1 (en) Method, apparatus and computer program for access control
US20080104688A1 (en) System and method for blocking anonymous proxy traffic
US20040030765A1 (en) Local network natification
WO2004047402A1 (en) Management of network security domains
EP1952604B1 (en) Method, apparatus and computer program for access control
US20040243843A1 (en) Content server defending system
Cisco Appendix B: Web Cache Communication Protocol Version 2
Cisco Appendix B : Web Cache Communication Protocol Version 2
Cisco Chapter 4: Web Cache Communication Protocol Version 2

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130610

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20140610

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20150424

Year of fee payment: 12

LAPS Lapse due to unpaid annual fee