KR20040051435A - Network security service system including a classifier based on blacklist - Google Patents

Network security service system including a classifier based on blacklist Download PDF

Info

Publication number
KR20040051435A
KR20040051435A KR1020020079364A KR20020079364A KR20040051435A KR 20040051435 A KR20040051435 A KR 20040051435A KR 1020020079364 A KR1020020079364 A KR 1020020079364A KR 20020079364 A KR20020079364 A KR 20020079364A KR 20040051435 A KR20040051435 A KR 20040051435A
Authority
KR
South Korea
Prior art keywords
packet
analyzer
packets
classifier
data processing
Prior art date
Application number
KR1020020079364A
Other languages
Korean (ko)
Other versions
KR100456637B1 (en
Inventor
김숙연
지정훈
남택용
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2002-0079364A priority Critical patent/KR100456637B1/en
Publication of KR20040051435A publication Critical patent/KR20040051435A/en
Application granted granted Critical
Publication of KR100456637B1 publication Critical patent/KR100456637B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PURPOSE: A system for a network security service including a classifier based on a blacklist is provided to promptly confront an intrusion of an attacking packet by detecting the attacking packet from a specified site before intruding into a service provider network. CONSTITUTION: A blacklist table(300) records the danger information for the near sites. The classifier(302) classifies the packets intruding from the near sites based on the danger information of the site registered to the blacklist table by installing to an entering point of the service provider network. The classifier switches the data processing paths in order to transmit the classified packet through the preset data processing path depending on the danger of the site from a parallel/serial connection path between the classifier and a confronting device(306), and the connection path to the confronting device not passing the classifier. An analyzer(304) discriminates the attacking packet by analyzing the packet entered from the classifier. The confronting device blocks the packet judged as the attacking packet or warns the detection of the attacking packet.

Description

블랙리스트 기반의 분류기를 포함하는 네트워크 보안 서비스 시스템{NETWORK SECURITY SERVICE SYSTEM INCLUDING A CLASSIFIER BASED ON BLACKLIST}NETWORK SECURITY SERVICE SYSTEM INCLUDING A CLASSIFIER BASED ON BLACKLIST}

본 발명은 네트워크 보안 서비스 시스템에 관한 것으로, 특히 공중망의 인입점에 설치되는 블랙리스트 기반의 분류기를 포함하는 다수의 고객사이트에 대한 네트워크 보안 서비스 시스템에 관한 것이다.The present invention relates to a network security service system, and more particularly, to a network security service system for a plurality of customer sites including a blacklist based classifier installed at an entry point of a public network.

최근 인터넷의 폭발적 증가에 따라 TCP/IP의 구조적 취약성으로 인한 보안헛점의 노출과 보안 사고의 발생이 급증하고 있다. 이에 따라 침입 탐지 시스템이나 방화벽 및 항바이러스 같은 네트워크 보안 시스템에 대한 연구 개발이 활성화되었을 뿐만 아니라 이들 간의 연동까지 지원하는 다양한 제품들도 출시되고 있다. 상기 종래 침입 탐지 시스템이나 항 바이러스 시스템은 기업망의 내부로 진입하는 패킷을 검사함으로써 침입을 목적으로 하는 패킷 혹은 바이러스 패킷을 색출하는 기능을 가지며, 또한 종래 방화벽도 기업망의 내부로 진입하는 패킷을 검사함으로써 패킷을 선별적으로 수용하는 기능을 한다.Recently, due to the explosive growth of the Internet, the exposure of security holes and the occurrence of security incidents are increasing rapidly due to structural weaknesses of TCP / IP. As a result, research and development on intrusion detection systems and network security systems such as firewalls and antiviruses have been activated, and various products that support interworking among them are also being released. The conventional intrusion detection system or antivirus system has a function of searching for packets entering the enterprise network or virus packets for intrusion, and the conventional firewall also detects packets entering the enterprise network. By inspecting, it functions to selectively accept packets.

그러나 상기와 같은 네트워크 보안 시스템들을 설치함으로써 각 기업 별로 자신의 망을 보호하는 현재의 네트워크 보안 개념에서는 인터넷 차원의 전역적인 네트워크 보안은 불가능하게 된다. 이는 공격 패킷이 최종 목적지 망의 입구에 도달할 때까지 안전하게 공중망을 통과하기 때문인데, 이에 따라 공격 패킷을 실어 나르는 중간 전달망 및 공중망에서는 자원의 낭비, 신뢰성 저하의 문제점이 발생하게 된다.However, global network security at the Internet level becomes impossible in the current network security concept of protecting each network for each enterprise by installing the network security systems as described above. This is because the attack packet safely passes through the public network until it reaches the inlet of the final destination network. Accordingly, there is a problem of waste of resources and deterioration of reliability in the intermediate transport and public networks carrying the attack packet.

한편, 기업들은 장비 구매의 부담이나 최신 기술 도입의 어려움 등의 문제를 해결하기 위하여 자사의 네트워크 보안 관리를 서비스 제공자들에게 아웃소싱하는 추세에 있다. 상기 기업 네트워크의 보안관리를 해주는 서비스 제공자들 중 ISP(Internet Service Provider)는 전달망을 활용할 수 있다는 이점으로 인해 급부상하고 있다. 상기 ISP의 보안관리 서비스는 기존 네트워크 보안관제 서비스와 같이 고객망 내부에 설치된 장비들을 관리해 주는 방식을 취하고 있다.On the other hand, companies are outsourcing their network security management to service providers in order to solve problems such as the burden of purchasing equipment and the difficulty of adopting the latest technology. Among service providers for security management of the corporate network, ISPs (Internet Service Providers) are rapidly emerging due to the advantage of using a delivery network. The security management service of the ISP takes a method of managing the devices installed in the customer network like the existing network security control service.

도 1은 종래 일반적인 네트워크 보안 서비스 예를 도시한 것으로, 상기 도 1을 참조하면, 침입 패킷이 출발지인 고객 사이트 1(100)로부터 목적지인 고객 사이트 2(106)에 도착할 때까지 두 개의 서비스 제공자 ISP망 A(102), ISP망 B(104)을 통과하는 예를 보여주고 있다. 즉, 상기 도 1에서 보여지는 바와 같이 종래에는 공격 패킷이 한 고객 사이트 1(100)에서 출발하여 다른 고객 사이트 2(106)로 진입할 경우 그 공격 패킷의 침입은 고객 사이트 2(106)에 설치된 침입 탐지 시스템에 의해서 검출되게 된다. 이는 공격 패킷이 목적지 고객 사이트 2(106)에 도달하기까지 기다린 후, 탐지 및 대응을 함으로써 공격 패킷에 대한 대응이 지연되도록 하는 결과를 초래한다.FIG. 1 illustrates an example of a conventional general network security service. Referring to FIG. 1, two service provider ISPs are provided until an intrusion packet arrives at a customer site 2 (106) from a customer site 1 (100) of origin. An example of passing through network A 102 and ISP network B 104 is shown. That is, as shown in FIG. 1, when an attack packet starts from one customer site 1 (100) and enters another customer site 2 (106), the attack packet is installed at the customer site 2 (106). Detected by an intrusion detection system. This results in waiting for the attack packet to reach destination customer site 2 106 and then delaying the response to the attack packet by detecting and responding.

이러한 뒤늦은 색출 방식은 침입을 조기에 발견할 수 없게 할 뿐만 아니라 침입에 대한 조속한 대응도 어렵게 한다. 또한 공격자의 패킷이 서비스 제공자의 망을 통과함으로써 서비스 제공자 망의 부하를 증가시키는 문제점도 있다. 특히 수많은 패킷을 보냄으로써 목적지 시스템을 무력화시키는 유형의 공격일 경우 이 문제는 더욱 심각해지며, 또한 공격자의 패킷이 서비스 제공자의 망을 통과한다는 사실은 서비스 제공자의 망에 대한 신뢰성을 저하시키는 문제점이 있다.This late search method not only makes intrusions detected early, but also makes it difficult to respond quickly. In addition, the attacker's packets pass through the service provider's network, thereby increasing the load on the service provider's network. In particular, this problem becomes more serious in the case of an attack that disables the destination system by sending a large number of packets, and the fact that the attacker's packet passes through the service provider's network has a problem of lowering the reliability of the service provider's network. .

따라서, 본 발명의 목적은 특정 사이트로부터의 공격 패킷을 서비스 제공자 망에 진입하기 전에 검출하여 공격 패킷의 침입에 대한 조속한 대응이 가능하도록 하는 서비스 제공자 망의 인입점에 설치되는 네트워크 보안 시스템을 제공함에 있다.Accordingly, an object of the present invention is to provide a network security system that is installed at the entry point of the service provider network to detect the attack packet from a specific site before entering the service provider network to enable rapid response to the attack packet intrusion. have.

상술한 목적을 달성하기 위한 본 발명은 다수의 고객 사이트에 대한 네트워크 보안 서비스 시스템에 있어서, 인접 사이트들에 대한 위험도 정보를 기록한 블랙리스트 테이블과; 서비스 제공자 망의 인입점에 설치되어 상기 블랙리스트 테이블에 등록된 사이트의 위험도 정보를 근거로 인접 사이트들로부터 진입되는 패킷들을 분류하며, 상기 분류된 패킷이 분석기와 대응기의 직/병렬 연결 경로, 분석기를 통하지 않는 대응기로의 연결 경로 중 해당 사이트의 위험도에 따라 미리 설정된 데이터 처리 경로를 통해 목적지 고객 사이트로 전송되도록 다수의 데이터 처리 경로로 스위칭 연결시키는 분류기와; 상기 분류기로부터 진입되는 패킷을 분석하여 고객 사이트에 대한 공격 패킷인지 여부를 판별하는 분석기와; 상기 분석기의 패킷 분석 결과에 따라 공격 패킷으로 판단된 패킷에 대해서는 접근을 차단시키거나 운용자에게 공격 패킷 검출을 경보하는 대응기;를 포함하는 것을 특징으로 한다.In order to achieve the above object, the present invention provides a network security service system for a plurality of customer sites, comprising: a blacklist table that records risk information on adjacent sites; Installed at the entry point of the service provider network and classifies packets entering from neighboring sites based on the risk information of the sites registered in the blacklist table, and the classified packets are serial / parallel connection paths of the analyzer and the counterpart, A classifier for switching to a plurality of data processing paths so as to be transmitted to a destination customer site through a preset data processing path according to the risk of the corresponding site among the connection paths to the counterpart not passing through the analyzer; An analyzer for analyzing the packet entering from the classifier to determine whether the packet is an attack packet against a customer site; And a counterpart that blocks access to a packet determined to be an attack packet according to a packet analysis result of the analyzer or alerts an operator of detection of an attack packet.

도 1은 종래 네트워크 보안 서비스 예를 도시한 도면,1 is a diagram illustrating an example of a conventional network security service;

도 2는 본 발명의 실시 예에 따른 네트워크 보안 서비스 예를 도시한 도면,2 is a diagram illustrating an example of a network security service according to an embodiment of the present invention;

도 3은 본 발명의 실시 예에 따른 네트워크 보안 서비스 시스템의 블록 구성도,3 is a block diagram of a network security service system according to an embodiment of the present invention;

도 4는 본 발명의 실시 예에 따른 네트워크 보안 서비스 망 구성도,4 is a diagram illustrating a network security service network according to an embodiment of the present invention;

도 5는 본 발명의 실시 예에 따른 네트워크 보안 서비스 시스템의 블록 구성도,5 is a block diagram of a network security service system according to an embodiment of the present invention;

도 6은 본 발명의 실시 예에 따른 분류기내에서의 데이터 흐름도.6 is a data flow diagram within a classifier in accordance with an embodiment of the present invention.

이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시 예의 동작을 상세하게 설명한다.Hereinafter, with reference to the accompanying drawings will be described in detail the operation of the preferred embodiment according to the present invention.

도 2는 본 발명의 일 실시 예에 따른 네트워크 보안 서비스 예를 도시한 것으로, 본 발명에서는 고객 사이트 1(100)에 인접한 ISP망 A(102)의 인입점에 네트워크 보안 시스템을 설치하여 침입 패킷에 대한 침입 탐지가 수행되도록 하여 고객 사이트 1(100)에서 발생한 침입 패킷이 ISP망 A(102)에 진입하기 전에 차단될 수 있도록 구현한다.FIG. 2 illustrates an example of a network security service according to an embodiment of the present invention. In the present invention, a network security system is installed at an inlet of an ISP network A 102 adjacent to a customer site 1 (100). Intrusion detection is performed so that intrusion packets generated at the customer site 1 (100) can be blocked before entering the ISP network A (102).

본 발명에서 제공하는 시스템이 활용되는 망의 구조는 다음과 같다. 도 4에서는 다수의 라우터나 스위치를 구비한 서비스 제공자 망에서 인접한 고객 사이트들에게 패킷 전달 서비스와 네트워크 보안 서비스를 제공하는 예를 보여주고 있다.The structure of the network utilizing the system provided by the present invention is as follows. 4 shows an example of providing a packet forwarding service and a network security service to adjacent customer sites in a service provider network having a plurality of routers or switches.

서비스 제공자가 고객 사이트들에게 서비스를 제공함에 있어서 본 시스템은 고객 사이트가 서비스 제공자의 망에 접속하는 접속점에 놓여지게 된다. 본 시스템의 구성요소 중 하나인 상기 블랙리스트는 사이트별로 공격 패킷을 방출한 횟수나 공격의 강도, 공격의 피해 정도 등에 따라 위험의 수준을 정량적으로 나타낸다. 예를 들어 다음 [표 A]는 사이트별 IP 주소에 대해서 위험의 수준을 상중하로 구분하여 블랙리스트를 만들어 놓은 예를 나타내고 있다.In service provider providing services to customer sites, the system is placed at an access point where the customer site connects to the service provider's network. The blacklist, which is one of the components of the system, quantitatively indicates the level of risk according to the number of times the attack packet is released, the intensity of the attack, the damage degree of the attack, and the like. For example, [Table A] shows an example of creating a blacklist by dividing the level of risk for each site's IP address.

[표 A]TABLE A

사이트site 위험도Risk 211.115.217.*211.115.217. * Prize 129.254.129.*129.254.129. * Ha 203.245.15.*203.245.15. * medium 165.132.120.*165.132.120. * Prize

블랙리스트는 본 시스템이 독자적으로 유지 관리할 수도 있지만, 침입 탐지 정보를 외부로부터 추가적으로 얻어 관리할 수도 있다. 원격의 사이트를 목적지로 하는 공격의 결과 및 영향력을 파악하기 위해서 침입 탐지 정보를 외부로부터 추가적으로 얻는 것이 필요하다. 예를 들어 여러 시스템들이 상호간 침입 탐지 정보를 교환하여 위험도가 높은 사이트를 서로 알려주는 방식을 취할 수도 있고, 중앙 블랙리스트 관리자(402)가 따로 있어, 이 중앙 블랙리스트 관리자(402)가 나머지 시스템들의 정보 교환을 매개하는 방식을 취할 수도 있다. 상기 도 4는 중앙 블랙리스트 관리자(402)의 예를 보여주고 있다. 이 예에서는 본 시스템(400)의 블랙리스트가 중앙 블랙리스트 관리자(402)로부터 사이트별로 공격 패킷을 방출한 횟수나 공격의 강도, 공격의 피해 정도 등에 대한 정보를 추가적으로 얻게된다.The blacklist may be maintained independently by the system, but additionally, intrusion detection information may be obtained and managed from the outside. It is necessary to obtain additional intrusion detection information from the outside in order to grasp the result and the impact of the attack targeting the remote site. For example, several systems may exchange intrusion detection information with each other to inform each other of high-risk sites, and there is a separate central blacklist manager 402, which provides a central blacklist manager 402 for the rest of the systems. It may also take the form of mediating the exchange of information. 4 shows an example of a central blacklist manager 402. In this example, the blacklist of the system 400 additionally obtains information about the number of times the attack packet is released from the central blacklist manager 402 for each site, the intensity of the attack, the damage degree of the attack, and the like.

본 발명의 실시 예에 따른 네트워크 보안 서비스 시스템의 블록 구성도인 도 3에서 보여지는 바와 같이, 본 시스템의 또 다른 구성요소인 분석기(304)는 패킷의 Mac 헤더, IP 헤더, TCP 혹은 UDP헤더를 분리하여 탐지해내고, 패킷과 침입 패턴을 비교함으로써 침입 여부를 감별해내는 것을 특징으로 한다. 또한 분석기(304)는 연속된 다수개의 패킷이나 반복되는 유형의 패킷을 함께 분석하는 기능을 가질 수도 있다. 예를 들어, 아래 예 1)에서와 같은 침입 패턴은 하나의 패킷만을 분석하여 침입을 판단할 수 없고 연속된 다수개의 패킷을 분석하여야 만 한다.As shown in FIG. 3, which is a block diagram of a network security service system according to an embodiment of the present invention, another component of the present system, the analyzer 304, analyzes a packet's Mac header, IP header, TCP or UDP header. Detect and detect, and discriminate whether the intrusion by comparing the packet and the intrusion pattern. Also, the analyzer 304 may have a function of analyzing a plurality of consecutive packets or packets of a repeated type together. For example, the intrusion pattern as in Example 1) below cannot analyze the intrusion by analyzing only one packet and must analyze a plurality of consecutive packets.

예 1) IP 식별(IP Identification)이 같은 두 개의 패킷에 대하여, MF 플래그가 '1'인 이전 패킷의 IP 분열 오프셋(IP fragmentation offset)에 IP 길이(IP length)을 합한 값이 MF플래그가 '0'인 현재 패킷의 IP 분열 오프셋 보다 작으면 테어 드롭(Tear Drop)으로 판단한다.Example 1) For two packets with the same IP Identification, the sum of the IP length and the IP fragmentation offset of the previous packet with the MF flag of '1' is equal to the MF flag. If it is smaller than the IP fragmentation offset of the current packet which is 0 ', it is determined as a tear drop.

또한 아래의 예 2)와 같은 예에서는 반복되는 유형의 패킷을 함께 분석하여야만 한다.In addition, in example 2) below, packets of repeated types must be analyzed together.

예 2) ICMP 타입이 '8'이고 똑같은 사이트에 대한 방송주소를 목적지 주소로 하는 ICMP 패킷이 2초 동안 20개 이상 들어오면 'smurf를 이용한 서비스 거부 공격 시도'로 판단한다.Example 2) If the ICMP type is '8' and more than 20 ICMP packets are received for the same address as the destination address for 2 seconds, it is determined as 'a denial of service attack using smurf'.

대응기(306)는 패킷을 선별적으로 통과시키는 차단기를 포함할 수 있다. 이 경우 어떤 패킷은 차단기를 통과하지 못함으로써 버려지게 된다. 즉, 공격 패킷으로 확실시되는 패킷들은 서비스 제공자의 망의 입구에서 차단된다. 상기 대응기(306)는 패킷의 정보를 관리자에게 알리는 경보기를 포함할 수 있다. 경보기는 공격 패킷으로 확실히 판단할 수는 없으나 주의를 요하는 패킷들에 대한 정보를 관리자에게 알리기 위해 사용된다. 여기서 관리자는 도 4에서 보는 바와 같이 중앙 집중적으로 여러 시스템을 관리할 수도 있는데, 도 4의 중앙 관리자(402)는 서비스 제공자 망에 분산되어 있는 여러 시스템이 보내주는 경보를 받아 처리하게 된다.The corresponder 306 may include a blocker for selectively passing packets. In this case, some packets are discarded by not passing through the blocker. That is, packets that are determined to be attack packets are blocked at the entrance of the service provider's network. The corresponder 306 may include an alarm for notifying the manager of the packet information. The alerter cannot be determined to be an attack packet, but is used to inform the administrator of packets that need attention. In this case, the manager may centrally manage several systems as shown in FIG. 4, and the central manager 402 of FIG. 4 receives and processes alarms sent from various systems distributed in a service provider network.

위에서 언급한 바와 같이 상기 분류기에 따라 분류된 데이터 흐름은 세갈래로 나누어 지게된다. 위험도가 높은 제1범위에 속하는 데이터 흐름은 대응기(306)만을 통과하게 된다. 이것은 위험도가 높은 사이트에서 방출된 패킷은 분석할 필요도 없이 차단하기 위함이다. 혹은 차단하지 않더라도 그러한 사이트에서 방출된 패킷에 대한 정보를 무조건 관리자에게 알리기 위함이다.As mentioned above, the data flow classified according to the classifier is divided into three parts. Data flows belonging to the high risk first range pass through only the responder 306. This is to block packets released from high-risk sites without the need for analysis. Or, even if not blocked, to inform the administrator unconditionally about the packets emitted from such sites.

위험도가 상기 제1범위보다 낮은 제2범위에 속하는 데이터 흐름은 상기 분석기(304)와 상기 대응기(306)를 순차적으로 통과한다. 이것은 분석 후 즉각적 대응을 하기 위함이다. 이렇게 분석기(304)와 대응기(306)를 순차적으로 통과할 시의 문제점은 분석기(304)의 데이터 처리 속도가 일반적으로 너무 느려서 하나의 패킷을 분석할 동안 뒷따라 진입하는 패킷들이 손실될 위험이 있다는 것이다. 이러한 문제점을 해결하기 위해서는 분석기(304)의 속도를 올리기 위한 고속 처리 등의 기술이 필요함과 동시에 분석기(304) 앞에 대용량의 버퍼를 장착하여 속도를 조절할 필요가 있다.Data flows belonging to a second range with a lower risk than the first range pass sequentially through the analyzer 304 and the counterpart 306. This is for immediate response after analysis. The problem with sequentially passing through the analyzer 304 and the counterpart 306 is that the data processing speed of the analyzer 304 is generally too slow so that there is a risk that subsequent packets will be lost while analyzing one packet. Is there. In order to solve such a problem, a technique such as a high speed processing for increasing the speed of the analyzer 304 is required, and at the same time, a large capacity buffer is mounted in front of the analyzer 304 to adjust the speed.

도 5에는 데이터 처리하는 속도를 조절하기 위한 버퍼(310)를 통과한 후 분석기(304)와 대응기(306)를 순차적으로 통과하는 도면이 도시되어 있다.5 is a diagram for sequentially passing through the analyzer 304 and the counterpart 306 after passing through the buffer 310 to adjust the data processing speed.

위험도가 상기 제2범위보다 낮은 제3범위에 속하는 데이터 흐름은 패킷을 복사하는 복사기(308)를 통과함으로써 상기 분석기(304)와 상기 대응기(306)를 병렬적으로 통과한다. 여기서 분석기(304)를 통과한다 함은 패킷들이 분석기(304)를 지나 다른 곳으로 전달됨을 의미하는 것이 아니고, 단지 분석기(304)에서 처리됨을 의미한다. 분석기(304)와 상기 대응기(306)를 병렬적으로 통과하는 데이터 흐름에 속한 모든 패킷은 분석되지만 즉각적 대응을 할 수는 없다. 분석 결과를 기반으로 관리자가 차후에 대응기(306)에게 비슷한 종류의 패킷이 다시 왔을 때 어떻게 대응할 것인지를 지시하게 된다. 이러한 데이터 흐름의 처리방법의 문제점은 관리자가 아무리 신속하게 분석 결과를 대응기(306)에 반영하더라도 분석한 패킷은 이미 서비스제공자 망으로 진입하여 버린다는 점이다. 반면, 이러한 데이터 흐름의 처리방법의 장점은 패킷 분석으로 인한 시간 지연이 없다는 점이다.Data flows belonging to a third range with a lower risk than the second range pass through the analyzer 304 and the counterpart 306 in parallel by passing through a copier 308 that copies packets. Passing through the analyzer 304 herein does not mean that the packets are passed through the analyzer 304 to another place, but only processed by the analyzer 304. All packets belonging to the data flow passing in parallel with the analyzer 304 and the corresponder 306 are analyzed but not an immediate response. Based on the analysis result, the manager instructs the responder 306 how to respond when a similar kind of packet comes back later. The problem with this method of processing the data flow is that even if the administrator quickly reflects the analysis result in the counterpart 306, the analyzed packet has already entered the service provider network. On the other hand, the advantage of this data flow method is that there is no time delay due to packet analysis.

그리고 위험도가 상기 제3범위보다 낮은 범위에 속하는 위험도가 전혀 없는 데이터 흐름은 분석기(304)나 대응기(306)를 전혀 통과하지 않고 전달될 수도 있다. 완전히 신뢰할 만한 사이트로부터 방출된 패킷에 대해서는 패킷 분석이나 대응이 필요 없기 때문이다. 이러한 데이터 흐름에 대한 처리과정은 도 3과 도 5에는 도시하지 않았다.In addition, a data flow having no risk belonging to a range lower than the third range may be transmitted without passing through the analyzer 304 or the counterpart 306 at all. This is because no packet analysis or response is required for packets emitted from fully trusted sites. The processing for this data flow is not shown in FIGS. 3 and 5.

상기 분류기(302)는 다양한 방법으로 구현될 수 있으나 유입되는 패킷의 입력 인터페이스와 상기 분류기(302)에 따라 분류되는 데이터 흐름을 연결시켜 놓되, 블랙리스트(300)의 변경시에는 상기 연결 관계를 바꾸는 방식을 취할 수 있다. 도 6은 [표 A]의 예에서와 같은 사이트들에 대한 입력 인터페이스를 세 개의 데이터 흐름과 각기 연결시켜 놓은 예를 보여준다.The classifier 302 may be implemented in various ways. However, the classifier 302 connects an input interface of incoming packets and data flows classified according to the classifier 302, but changes the connection relationship when the blacklist 300 is changed. You can do it. 6 shows an example in which the input interface for the sites as in the example of [Table A] is connected with three data flows respectively.

한편 상술한 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나, 여러 가지 변형이 본 발명의 범위에서 벗어나지 않고 실시될 수 있다. 따라서 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위에 의해 정하여져야 한다.Meanwhile, in the above description of the present invention, specific embodiments have been described, but various modifications may be made without departing from the scope of the present invention. Therefore, the scope of the invention should be determined by the claims rather than by the described embodiments.

이상에서 설명한 바와 같이, 본 발명은 다수의 고객사이트에 대한 네트워크 보안 서비스를 제공함에 있어서, 각 인접 사이트가 서비스 제공자 망에 접속하는 서비스 제공자망의 인입점에 네트워크 보안 시스템을 구현함으로써, 공격 패킷이 서비스 제공자 망에 진입하기 전에 공격자를 색출하므로 공격 패킷의 침입을 조기에 발견할 수 있을 뿐만 아니라 침입에 대한 조속한 대응을 가능하게 하는 이점이 있다.As described above, in the present invention, in providing a network security service for a plurality of customer sites, the attack packet is implemented by implementing a network security system at an entry point of a service provider network where each adjacent site accesses the service provider network. By detecting the attacker before entering the service provider network, it is possible not only to detect an intrusion of an attack packet at an early stage, but also to enable an early response to the intrusion.

또한 공격자의 패킷이 서비스 제공자의 망을 통과하지 못하게 하여 불필요한 패킷의 범람을 방지함으로서 서비스 제공자 망의 부하를 감소시키며, 공격 패킷이 서비스 제공자의 망을 통과하지 못하게 미리 차단함으로서 서비스 제공자의 망을 보호할 수 있을 뿐만 아니라 고객들에게 서비스 제공자 망에 대한 신뢰성을 향상시킬 수 있는 이점이 있다. 또한 서비스 제공자 망의 인입점에 구현되는 네트워크 보안 시스템을 통해 한 공격자가 여러 목적지 사이트를 공격할 경우 여러 목적지 사이트에서 각기 침입을 탐지하는 것과 같은 효과를 적은 비용으로 구현할 수 있는 이점이 있다.It also reduces the load on the service provider network by preventing the attacker's packet from passing through the service provider's network, and protects the service provider's network by blocking the attack packet from passing through the service provider's network. In addition to doing so, there is an advantage to improve the reliability of the service provider network to customers. In addition, through the network security system implemented at the entry point of the service provider network, when an attacker attacks multiple destination sites, it is possible to realize an effect such as detecting intrusion at multiple destination sites at low cost.

Claims (9)

다수의 고객 사이트에 대한 네트워크 보안 서비스 시스템에 있어서,In a network security service system for multiple customer sites, 인접 사이트들에 대한 위험도 정보를 기록한 블랙리스트 테이블과;A blacklist table that records risk information for adjacent sites; 서비스 제공자 망의 인입점에 설치되어 상기 블랙리스트 테이블에 등록된 사이트의 위험도 정보를 근거로 인접 사이트들로부터 진입되는 패킷들을 분류하며, 상기 분류된 패킷이 분석기와 대응기의 직/병렬 연결 경로, 분석기를 통하지 않는 대응기로의 연결 경로 중 해당 사이트의 위험도에 따라 미리 설정된 데이터 처리 경로를 통해 전송되도록 다수의 데이터 처리 경로로 스위칭 연결시키는 분류기와;Installed at the entry point of the service provider network and classifies packets entering from neighboring sites based on the risk information of the sites registered in the blacklist table, and the classified packets are serial / parallel connection paths of the analyzer and the counterpart, A classifier for switching to a plurality of data processing paths so as to be transmitted through a preset data processing path according to a risk of a corresponding site among the connection paths to the counterpart not passing through the analyzer; 상기 분류기로부터 진입되는 패킷을 분석하여 공격 패킷인지 여부를 판별하는 분석기와;An analyzer which analyzes the packet entering from the classifier and determines whether it is an attack packet; 상기 분석기의 패킷 분석 결과에 따라 공격 패킷으로 판단된 패킷에 대해서는 차단시키거나 공격 패킷 검출을 경보하는 대응기;를 포함하는 것을 특징으로 하는 네트워크 보안 서비스 시스템.And a counterpart that blocks a packet determined to be an attack packet according to a packet analysis result of the analyzer, or alerts the detection of an attack packet. 제1항에 있어서,The method of claim 1, 상기 분류기는, 상기 블랙리스트 테이블에 등록된 사이트들 중, 위험도 제1범위에 속한 사이트로부터 진입되는 패킷은 대응기만을 통과하도록 설정된 데이터 처리 경로로 스위칭 연결시키며, 위험도가 상기 제1범위보다 낮은 제2범위에 속한 사이트로부터 진입되는 패킷은 분석기와 대응기를 직렬로 통과하도록 설정된 데이터 처리 경로로 스위칭 연결시키며, 위험도가 상기 제2범위 낮은 제3범위에 속한 사이트로부터 진입된 패킷은 분석기와 대응기를 병렬로 통과하도록 설정된 데이터 처리 경로로 스위칭 연결시키는 것을 특징으로 하는 네트워크 보안 서비스 시스템.The classifier is configured to switch packets from a site belonging to a risk first range among the sites registered in the blacklist table to a data processing path configured to pass only a counterpart, and the risk is lower than the first range. Packets coming from sites within two ranges are switched to a data processing path configured to pass serially through the analyzer and counterpart, and packets from sites belonging to a third range with lower risk are parallel to the analyzer and counterpart. And a switching connection to a data processing path configured to pass through the network. 제2항에 있어서,The method of claim 2, 상기 분류기는, 위험도가 상기 제3범위보다 낮은 사이트로부터 진입되는 패킷은, 분석기와 대응기를 통하지 않고 직접 연결되도록 설정된 데이터 처리 경로로 스위칭 연결시키는 것을 특징으로 하는 네트워크 보안 서비스 시스템.And the classifier switches a packet entering a site having a risk lower than the third range into a data processing path configured to be directly connected to the analyzer without a counterpart. 제2항에 있어서,The method of claim 2, 상기 분석기와 대응기가 병렬로 연결되는 데이터 처리 경로에서는, 상기 진입되는 패킷이 복사기를 통해 복사된 후, 대응기를 통과하면서 분석기에서 병렬적으로 분석되도록 하는 것을 특징으로 하는 네트워크 보안 서비스 시스템.In a data processing path in which the analyzer and the counterpart are connected in parallel, the incoming packet is copied through the copier, and then passed through the counterpart to be analyzed in parallel at the analyzer. 제1항에 있어서,The method of claim 1, 상기 분석기는, 입력된 하나의 패킷을 분석할 동안 후속으로 진입하는 패킷들의 손실 방지를 위한 후속 패킷들의 일시 저장 및 패킷 분석으로 인한 데이터 처리 속도의 지연 방지를 위한 버퍼를 포함하는 것을 특징으로 하는 네트워크 보안 서비스 시스템.The analyzer includes a buffer for temporarily storing subsequent packets to prevent loss of subsequent packets while analyzing one input packet and a buffer for preventing a delay in data processing speed due to packet analysis. Security service system. 제5항에 있어서,The method of claim 5, 상기 분석기는, 패킷의 MAC 헤더, IP 헤더, TCP/UDP 헤더를 분리하여 탐지해내고, 각 패킷에 대해 공격 패킷의 패턴과의 비교를 통해 공격 패킷 여부를 판단하는 것을 특징으로 하는 네트워크 보안 서비스 시스템.The analyzer separates and detects a MAC header, an IP header, and a TCP / UDP header of a packet, and determines whether an attack packet is made by comparing the pattern of the attack packet with respect to each packet. . 제6항에 있어서,The method of claim 6, 상기 분석기는, 상기 공격 패킷 여부의 판단을 위해 진입되는 패킷들에 대해 연속된 다수개의 패킷 또는 반복되는 패킷을 함께 분석하는 것을 특징으로 하는 네트워크 보안 서비스 시스템.The analyzer, the network security service system, characterized in that for analyzing the plurality of packets in a row or repeated packets to enter for the determination of the attack packet. 제1항에 있어서,The method of claim 1, 상기 블랙리스트 테이블은, 네트워크에 연결된 사이트별 공격 패킷을 방출한 횟수, 공격의 강도, 공격의 피해 정도 정보에 따라 사이트별 위험도 정보가 기록된 메모리인 것을 특징으로 하는 네트워크 보안 서비스 시스템.The blacklist table is a network security service system, characterized in that the memory for recording risk information for each site according to the number of attack packets for each site connected to the network, the intensity of the attack, the degree of damage of the attack. 제8항에 있어서,The method of claim 8, 상기 분류기는, 상기 블랙리스트에 등록된 사이트별 위험도의 변경시 각 사이트별로부터 진입되는 패킷들에 대한 미리 설정된 데이터 처리 경로로의 스위칭 연결을 상기 위험도 변경에 대응되게 변경 설정하는 것을 특징으로 하는 네트워크 보안 서비스 시스템.The classifier may change and set a switching connection to a preset data processing path for packets entering from each site when the risk of each site registered in the blacklist is changed to correspond to the risk change. Security service system.
KR10-2002-0079364A 2002-12-12 2002-12-12 Network security service system including a classifier based on blacklist KR100456637B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0079364A KR100456637B1 (en) 2002-12-12 2002-12-12 Network security service system including a classifier based on blacklist

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0079364A KR100456637B1 (en) 2002-12-12 2002-12-12 Network security service system including a classifier based on blacklist

Publications (2)

Publication Number Publication Date
KR20040051435A true KR20040051435A (en) 2004-06-18
KR100456637B1 KR100456637B1 (en) 2004-11-10

Family

ID=37345391

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0079364A KR100456637B1 (en) 2002-12-12 2002-12-12 Network security service system including a classifier based on blacklist

Country Status (1)

Country Link
KR (1) KR100456637B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101252812B1 (en) * 2006-04-25 2013-04-12 주식회사 엘지씨엔에스 Network security device and method for controlling of packet data using the same
KR20180133648A (en) * 2017-06-07 2018-12-17 주식회사 시큐아이 Network security apparatus and method for traffic processing thereof
US10686838B2 (en) 2016-03-07 2020-06-16 Wins Co., Ltd. IPS switch system and processing method

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1630710B1 (en) 2004-07-21 2019-11-06 Microsoft Technology Licensing, LLC Containment of worms

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000010253A (en) * 1998-07-31 2000-02-15 최종욱 Trespass detection system and module of trespass detection system using arbitrator agent
CA2297341A1 (en) * 1999-08-18 2001-02-18 Alma-Baba Technical Research Laboratory Co., Ltd. System for monitoring network for cracker attack
KR20000054538A (en) * 2000-06-10 2000-09-05 김주영 System and method for intrusion detection in network and it's readable record medium by computer
KR20000072707A (en) * 2000-09-20 2000-12-05 홍기융 The Method of Intrusion Detection and Automatical Hacking Prevention
KR100466214B1 (en) * 2001-12-21 2005-01-14 한국전자통신연구원 method and recorded media for security grade to measure the network security condition
KR20030056652A (en) * 2001-12-28 2003-07-04 한국전자통신연구원 Blacklist management apparatus in a policy-based network security management system and its proceeding method

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101252812B1 (en) * 2006-04-25 2013-04-12 주식회사 엘지씨엔에스 Network security device and method for controlling of packet data using the same
US10686838B2 (en) 2016-03-07 2020-06-16 Wins Co., Ltd. IPS switch system and processing method
KR20180133648A (en) * 2017-06-07 2018-12-17 주식회사 시큐아이 Network security apparatus and method for traffic processing thereof

Also Published As

Publication number Publication date
KR100456637B1 (en) 2004-11-10

Similar Documents

Publication Publication Date Title
US7757283B2 (en) System and method for detecting abnormal traffic based on early notification
US7835348B2 (en) Method and apparatus for dynamic anomaly-based updates to traffic selection policies in a switch
EP2171976B1 (en) Method and mechanism for port redirects in a network switch
US20060212572A1 (en) Protecting against malicious traffic
US7624447B1 (en) Using threshold lists for worm detection
US7617533B1 (en) Self-quarantining network
US7937761B1 (en) Differential threat detection processing
US8156557B2 (en) Protection against reflection distributed denial of service attacks
US6654882B1 (en) Network security system protecting against disclosure of information to unauthorized agents
US20030188189A1 (en) Multi-level and multi-platform intrusion detection and response system
US20040078592A1 (en) System and method for deploying honeypot systems in a network
US20060037075A1 (en) Dynamic network detection system and method
KR100479202B1 (en) System and method for protecting from ddos, and storage media having program thereof
JP4259183B2 (en) Information processing system, information processing apparatus, program, and method for detecting communication abnormality in communication network
WO2003050644A2 (en) Protecting against malicious traffic
CA2469885C (en) Protecting against malicious traffic
KR101006372B1 (en) System and method for sifting out the malicious traffic
KR100456637B1 (en) Network security service system including a classifier based on blacklist
US8281400B1 (en) Systems and methods for identifying sources of network attacks
KR101074198B1 (en) Method and system for isolating the harmful traffic generating host from the network
JP2004248185A (en) System for protecting network-based distributed denial of service attack and communication device
JP2009005122A (en) Illegal access detection apparatus, and security management device and illegal access detection system using the device
JP2006325091A (en) Network attach defense system
KR100862321B1 (en) Method and apparatus for detecting and blocking network attack without attack signature
US7725935B1 (en) Detecting worms

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20081104

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee