KR20060001946A - Method for detecting non-approval roundabout route on network and system therefor - Google Patents

Method for detecting non-approval roundabout route on network and system therefor Download PDF

Info

Publication number
KR20060001946A
KR20060001946A KR1020050125383A KR20050125383A KR20060001946A KR 20060001946 A KR20060001946 A KR 20060001946A KR 1020050125383 A KR1020050125383 A KR 1020050125383A KR 20050125383 A KR20050125383 A KR 20050125383A KR 20060001946 A KR20060001946 A KR 20060001946A
Authority
KR
South Korea
Prior art keywords
network
packet
devices
list
snapshot
Prior art date
Application number
KR1020050125383A
Other languages
Korean (ko)
Other versions
KR100730966B1 (en
Inventor
이동범
김계연
이민상
김용권
박준우
Original Assignee
지니네트웍스(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 지니네트웍스(주) filed Critical 지니네트웍스(주)
Priority to KR1020050125383A priority Critical patent/KR100730966B1/en
Publication of KR20060001946A publication Critical patent/KR20060001946A/en
Application granted granted Critical
Publication of KR100730966B1 publication Critical patent/KR100730966B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0811Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 네트워크상의 불법 또는 네트워크 관리자가 인지하지 못한 네트워크 접속장치의 존재 및 설치를 자동 탐지함으로써, 외부에서의 내부 망 공격이나 내부자에 의한 정보유출을 방지할 수 있도록 한 네트워크상의 비인가 우회경로 탐지 방법 및 그 시스템에 관한 것으로, 네트워크상의 관리시스템에 있어서, 최초 네트워크 내의 장비들의 목록을 검사하는 제1 과정; 상기 제1 과정에서 검사된 장비들 중 다른 네트워크와 연결 경로를 제공하는 장비를 구분하여 주는 제2 과정; 상기 제2 과정에서 검사된 연결 경로를 제공하는 장비들을 네트워크 관리자가 인가 장비로 분류하고, 인가된 장비 목록 및 구성의 스냅샷(Snapshot)을 저장하는 제3 과정; 및 주기적으로 네트워크의 장비를 조사하여 상기 스냅샷과 비교하고, 추가 및 변경 내용을 관리자에게 통보하는 제4 과정을 포함하여 된 특징을 가진다.The present invention automatically detects the presence and installation of a network access device that is not recognized by the network administrator or an illegal network administrator, thereby preventing unauthorized network attack or leakage of information by an insider. And a system, the management system on a network comprising: a first step of inspecting a list of devices in an original network; A second step of identifying a device providing a connection path with another network among the devices checked in the first step; A third step of classifying the devices providing the connection path checked in the second process as authorized devices, and storing a snapshot of a list of authorized devices and a configuration; And a fourth process of periodically examining the equipment of the network, comparing the snapshot with the snapshot, and notifying administrators of additions and changes.

네트워크, 비인가, 우회, 검색, 탐지, 경로 Network, unauthorized, bypass, search, detect, route

Description

네트워크상의 비인가 우회경로 탐지 방법 및 그 시스템{METHOD FOR DETECTING NON-APPROVAL ROUNDABOUT ROUTE ON NETWORK AND SYSTEM THEREFOR}METHODE FOR DETECTING NON-APPROVAL ROUNDABOUT ROUTE ON NETWORK AND SYSTEM THEREFOR}

도 1은 본 발명에 따른 네트워크상의 비인가 우회경로 탐지 방법을 나타내는 순서도,1 is a flowchart illustrating a method for detecting unauthorized bypass paths on a network according to the present invention;

도 2는 본 발명에 따른 전송 패킷의 구성도,2 is a block diagram of a transport packet according to the present invention;

도 3은 본 발명의 제1 실시 예에 따른 네트워크상의 비인가 우회경로 탐지 시스템의 블록도, 3 is a block diagram of an unauthorized bypass path detection system on a network according to a first embodiment of the present invention;

도 4는 본 발명의 제2 실시 예에 따른 네트워크상의 비인가 우회경로 탐지 시스템의 블록도, 4 is a block diagram of an unauthorized bypass path detection system on a network according to a second embodiment of the present invention;

도 5는 본 발명에 따른 네트워크 검색 시스템의 상세 블록도,5 is a detailed block diagram of a network search system according to the present invention;

도 6은 본 발명에 따른 중앙관리시스템의 상세 블록도이다.6 is a detailed block diagram of the central management system according to the present invention.

<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>

10: 응답서버 20: 네트워크(외부망)10: response server 20: network (external network)

30: 모뎀 51,52: 네트워크(내부망) 30: modem 51, 52: network (internal network)

71,72: 게이트웨이 80: 네트워크검색시스템71,72: Gateway 80: Network Search System

90: 관리시스템 90: management system

본 발명은 네트워크상의 불법 또는 네트워크 관리자가 인지하지 못한 네트워크 접속장치의 존재 및 설치를 자동 탐지함으로써, 외부에서의 내부 망 공격이나 내부자에 의한 정보유출을 방지할 수 있도록 한 네트워크상의 비인가 우회경로 탐지 방법 및 그 시스템에 관한 것이다.The present invention automatically detects the presence and installation of a network access device that is not recognized by the network administrator or an illegal network administrator, thereby preventing unauthorized network attack or leakage of information by an insider. And to the system.

주지한 바와 같은 네트워크의 기술적 발전으로 네트워크 내의 구성요소에 대한 구성변경 관리, 장비의 장애 관리, 네트워크장비의 성능관리나 장비의 상태 등을 감시(Monitoring) 할 수 있는 네트워크 관리 시스템(NMS: Network Management System) 기술이 범용화 되어 있다.Network management system (NMS) that can monitor the configuration change management of the components in the network, equipment failure management, network equipment performance management, or equipment status due to the technological development of the network. System) technology is generalized.

그러나 이러한 NMS 기술은 다양한 지능적 서비스를 제공하지만, 불법적인 장비 도입이나 설치로 인한 네트워크 구성변경 등을 감지할 수 없는 기술이다.However, the NMS technology provides various intelligent services but cannot detect network configuration changes due to illegal equipment introduction or installation.

즉 NMS 기술은 관리 영역에 포함되는 장비를 설정하여 관리 모니터링하는 것을 기본으로 하기 때문에 불법적이고 의도적인 장비의 설치운영을 찾아내기 힘들다.In other words, since NMS technology is based on setting and monitoring the equipment included in the management area, it is difficult to find illegal and intentional installation and operation of the equipment.

다시 말하자면, 무선랜이나 xDSL 기술의 대중화로 외부 인터넷 연결에 대한 편의성과 용이성이 높아짐에 따라 사용자들은 임의로 외부 네트워크 경로를 연결할 수 있게 되었다.In other words, with the popularization of wireless LAN or xDSL technology, convenience and ease of connection to the external Internet are increased, allowing users to arbitrarily connect an external network path.

그런데, 네트워크가 분산된 환경에서 수많은 지점들이 존재할 경우에는 각 지점에서의 네트워크변경에 대한 사항을 중앙의 관리자가 인식하기 힘들었다.However, when there are numerous branches in a network distributed environment, it was difficult for the central administrator to recognize the details of network change at each branch.

결과적으로 외부와 내부 네트워크 경로 연결은 내부자의 주요 정보의 외부 유출 경로로 악용될 수 있었고, 중앙의 관리자는 그 피해 사실의 존재 유무도 확인하기 어려웠다.As a result, the connection between the external and internal network paths could be exploited as an external leakage path of the insider's main information, and it was difficult for the central manager to confirm the existence of the damage.

또한, 불법 설치된 네트워크 경로는 외부의 공격자들이 내부 망의 침입경로로 악용될 위험이 있으며, 우회 경로를 통해 접근하는 시스템은 기존에 구성되어 있는 보안 방어막을 통과하지 않기 때문에 위험도가 훨씬 높을 수 있다.In addition, the illegally installed network path may be exploited by outside attackers as an intrusion path of the internal network, and the risk of accessing the system through the bypass path may be much higher because it does not pass through the existing security shield.

본 발명은 상기한 문제점을 해결하기 위하여 창안된 것으로, 본 발명의 목적은 네트워크상의 불법 또는 네트워크 관리자가 인지하지 못한 네트워크 접속장치의 존재 및 설치를 자동 탐지함으로써, 외부에서의 내부 망 공격이나 내부자에 의한 정보유출을 방지할 수 있도록 네트워크상의 비인가 우회경로 탐지 방법 및 그 시스템을 제공하는 것에 있다.The present invention was devised to solve the above problems, and an object of the present invention is to automatically detect the existence and installation of a network connection device that is not recognized by a network administrator or an illegal person on a network, thereby preventing internal network attacks or insiders from outside. The present invention provides a method and system for detecting unauthorized bypass paths on a network so as to prevent information leakage by the network.

이와 같은 목적을 달성하기 위한 본 발명은 네트워크상의 관리시스템에 있어서, 최초 네트워크 내의 장비들의 목록을 검사하는 제1 과정; 상기 제1 과정에서 검사된 장비들 중 다른 네트워크와 연결 경로를 제공하는 장비를 구분하여 주는 제 2 과정; 상기 제2 과정에서 검사된 연결 경로를 제공하는 장비들을 네트워크 관리자가 인가 장비로 분류하고, 인가된 장비 목록 및 구성의 스냅샷(Snapshot)을 저장하는 제3 과정; 및 주기적으로 네트워크의 장비를 조사하여 상기 스냅샷과 비교하고, 추가 및 변경 내용을 관리자에게 통보하는 제4 과정을 포함하여 된 특징을 가진다.In order to achieve the above object, the present invention provides a management system on a network, comprising: a first process of inspecting a list of devices in an initial network; A second step of identifying a device providing a connection path with another network among the devices checked in the first step; A third step of classifying the devices providing the connection path checked in the second process as authorized devices, and storing a snapshot of a list of authorized devices and a configuration; And a fourth process of periodically examining the equipment of the network, comparing the snapshot with the snapshot, and notifying administrators of additions and changes.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예들을 상세히 설명한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명에 따른 네트워크상의 비인가 우회경로 탐지 방법을 나타내는 순서도 이다.1 is a flowchart illustrating a method for detecting an unauthorized bypass path on a network according to the present invention.

도시된 바와 같이, 본 발명에 따른 네트워크상의 비인가 우회경로 탐지 방법은, 최초 네트워크 내의 장비들의 목록을 검사하는 제1과정(S10)과, 상기 제1과정(S10)에서 검사된 장비들 중 다른 네트워크와 연결 경로를 제공하는 장비를 구분하여 주는 제2과정(S20)과, 상기 제2과정(S20)에서 검사된 연결 경로를 제공하는 장비들을 네트워크 관리자가 인가 장비로 분류하고, 인가된 장비 목록 및 구성의 스냅샷(Snapshot)을 저장하는 제3과정(S30)과, 주기적으로 네트워크의 장비를 조사하여 상기 스냅샷과 비교하고, 추가 및 변경 내용을 관리자에게 통보하는 제4과정(S40)을 포함한다.As shown, the unauthorized bypass path detection method on the network according to the present invention, the first step (S10) of examining the list of devices in the first network, and the other network of the devices checked in the first step (S10) The second process (S20) for distinguishing between the equipment providing the connection path and the device providing the connection path checked in the second process (S20) is classified by the network administrator as an authorized device, the list of authorized devices and And a third step (S30) of storing a snapshot of the configuration, and a fourth step (S40) of periodically examining the equipment of the network, comparing the snapshot with the snapshot, and notifying administrators of additions and changes. do.

더욱 상세하게는, 상기 제1과정(S10)은 네트워크 내의 패킷을 모니터링하여 장비 목록을 작성하는 단계(S11)와, 상기 네트워크 내의 패킷을 발송하여 응답 장비의 목록을 작성하는 단계(S12)와, 상기 단계(S11, S12)에 의해 작성된 결과를 저장하는 단계(S13)로 구성된다.More specifically, the first step (S10) comprises the steps of monitoring the packets in the network to create a list of equipment (S11), sending a packet in the network to create a list of responding equipment (S12), And storing the result generated by the above steps S11 and S12 (S13).

상기 제2과정(S20)는 상기 제1과정(S10)에서 작성된 장비 목록들에게 연결 경로를 검사하는 패킷을 발송하는 단계(S21)와, 상기 패킷발송에 따른 응답 패킷을 분석하여 장비특성과 연결 경로를 파악하는 단계(S22)와, 상기 장비의 특성 값과 연결 경로 값을 저장하는 단계(S3)로 구성된다.The second step (S20) is a step (S21) of sending a packet for checking the connection path to the list of devices created in the first step (S10), and analyzes the response packet according to the packet transmission and connected to the equipment characteristics Identifying the path (S22), and storing the characteristic value and the connection path value of the equipment (S3).

상기 제3과정(S30)은 상기 제2과정(S20)에 따른 결과물에 대하여 관리자의 인가 여부를 확인하는 단계(S31)와, 상기 관리자에 의해 인가된 장비의 스냅샷을 저장하는 단계(S32)로 구성된다.The third process (S30) is a step (S31) of checking whether the administrator is authorized for the result of the second process (S20), and storing a snapshot of the equipment authorized by the manager (S32) It consists of.

상기 제4과정(S40)은 상기 제1과정(S10) 및 제2과정(S20)을 수행하여 제3과정(S30)의 결과물인 스냅샷과 비교하는 단계(S40)와, 상기 비교한 결과 변경된 내용이 있으면 이를 관리자에게 통보하는 단계(S42)로 구성된다.The fourth process S40 is performed by comparing the snapshot which is a result of the third process S30 by performing the first process S10 and the second process S20, and the result of the comparison is changed. If there is a content is configured to notify the manager (S42).

본 발명에 따르자면, 네트워크 내의 여러 장비들 중 외부 네트워크와 통신 연결된 장비를 분리하기 위하여 다음과 같은 방법으로 네트워크 연결장비를 구분한다.According to the present invention, the network connection equipment is divided into the following methods in order to separate equipment connected to the external network from among the various equipment in the network.

첫째, 외부 망에 있는 응답가능한 호스트(Host)를 설정한다.First, set up a responsive host in the external network.

둘째, 도 2와 같은 ICMP(Internet Control Message Protocol) 응답 요청 패킷을 만든다.Second, an Internet Control Message Protocol (ICMP) response request packet as shown in FIG. 2 is created.

여기서, Destination Address(목적지 주소)에는 외부 망에 존재하는 응답 가능한 호스트 IP주소로 설정한다.Here, the Destination Address is set to a responsive host IP address existing in the external network.

Source Address(출발지 주소)에는 **감지 장비의 IP 주소를 설정한다.For Source Address, set the ** detector's IP address.

ICMP TYPE과 Code에는 Echo Request에 해당하는 8, 0을 각각 설정한다.Set ICMP TYPE and Code to 8 and 0 corresponding to Echo Request, respectively.

ICMP Message에는 점검 대상 장비의 IP주소와 MAC주소를 데이터 값으로 설정한다.In ICMP Message, set the IP address and MAC address of the device to be checked as data values.

이더넷 프레임 목적지의 주소를 점검대상의 MAC 주소로 설정하여 점검 대상 시스템으로 패킷을 발송한다.The packet is sent to the inspection target system by setting the address of the Ethernet frame destination as the inspection target MAC address.

셋째, ICMP 응답 메시지를 확인하여 다른 네트워크로 연결되어 있는 장비를 구별한다.Third, check the ICMP response message to distinguish equipment connected to other networks.

여기서, ICMP의 메시지에 대한 응답이 없는 장비는 우회 경로가 설정되어 있지 않은 시스템으로 기록한다.Here, the equipment that does not respond to the ICMP message is recorded as a system that does not have a bypass path.

응답 ICMP 메시지가 Echo Reply 메시지가 아닌 경우, 에러 Type과 Code를 저장한다.If the reply ICMP message is not an echo reply message, the error type and code are stored.

ICMP echo 요청에 응답 메시지(Echo Reply message)가 돌아온 경우 해당 응답 메시지를 분석한다.If an echo reply message is returned in an ICMP echo request, the response message is analyzed.

응답패킷의 이더넷 프레임의 출발지 MAC 주소와 ICMP 메시지에 기록되어 있는 IP 주소의 MAC 주소가 일치하면 해당 IP와 MAC 주소를 가진 장비는 외부 망에 연결을 제공하는 경로를 가지고 있는 장비로 분류한다. 외부 망에 연결되는 응답 메시지의 TTL 값과 기타 장비의 특성을 기록하여 저장한다.If the source MAC address of the Ethernet packet of the response packet and the MAC address of the IP address recorded in the ICMP message match, the device with the corresponding IP and MAC address is classified as a device having a path that provides a connection to the external network. Record and store the TTL value of the response message connected to the external network and the characteristics of the other equipment.

응답패킷의 이더넷 프레임의 출발지 MAC 주소와 ICMP 메시지에 기록되어 있는 IP주소의 MAC 주소가 일치하지 않는다면 ICMP 메시지에 기록되어 있는 해당 IP 장비는 Non-routable 장비로 기록한다. If the source MAC address of the Ethernet packet of the response packet and the MAC address of the IP address recorded in the ICMP message do not match, the corresponding IP device recorded in the ICMP message is recorded as a non-routable device.

도 3은 본 발명의 제1 실시 예에 따른 네트워크상의 비인가 우회경로 탐지 시스템의 블록도 이다.3 is a block diagram of an unauthorized bypass path detection system on a network according to a first embodiment of the present invention.

도시된 바와 같이, 본 발명 네트워크상의 비인가 우회경로 탐지 시스템은 외부 네트워크(20)에 연결된 응답서버(10)와, 내부 네트워크(51,52)에 연결된 다수의 일반장비와, 상기 외부 네트워크(20)와 내부 네트워크(51,52) 사이를 연결하는 게이트웨이(71,72)와, 상기 네트워크(51,52)에 연결되는 네트워크 검색시스템(80)을 포함한다.As shown, the unauthorized bypass path detection system on the network of the present invention includes a response server 10 connected to the external network 20, a plurality of general equipment connected to the internal networks 51 and 52, and the external network 20. And a gateway 71 and 72 connecting between the internal network 51 and 52 and a network search system 80 connected to the networks 51 and 52.

이와 같은 구성에 따르자면, 상기 내부 망(51,52)에 연결된 각 네트워크 검색시스템(80)은 상기 외부망(20)에 응답서버(10)를 설정한 후, 도 2와 같은 ICMP 응답 요청 패킷을 만든다.According to this configuration, each network search system 80 connected to the internal network (51, 52) after setting the response server 10 in the external network 20, ICMP response request packet as shown in FIG. Make

그리고 Destination Address(목적지 주소)에는 상기 응답서버(10)의 IP주소로 설정하고, Source Address(출발지 주소)에는 내부망(51,52)에 연결된 네트워크 검색시스템(80)의 IP 주소를 설정한다.The Destination Address is set as the IP address of the response server 10, and the Source Address is set as the IP address of the network search system 80 connected to the internal networks 51 and 52.

ICMP TYPE과 Code에는 Echo Request에 해당하는 8, 0을 각각 설정한 후, ICMP Message에는 상기 점검 대상 장비, 즉 일반장비의 IP주소와 MAC주소를 설정한다.After setting 8 and 0 corresponding to Echo Request for ICMP TYPE and Code, respectively, set IP address and MAC address of the device to be checked, that is, general equipment, in ICMP message.

그리고 네트워크 검색시스템(80)은 이더넷 프레임 목적지의 주소를 점검대상의 MAC 주소로 설정하여 점검 대상 시스템으로 패킷을 발송한다.The network retrieval system 80 sends the packet to the inspection target system by setting the address of the Ethernet frame destination as the MAC address of the inspection target.

상기 발송된 패킷에 대한 ICMP 응답 메시지를 확인하여 외부망(20)으로 연결되어 있는 장비를 구별한다.The ICMP response message for the sent packet is identified to distinguish equipment connected to the external network 20.

여기서, ICMP의 메시지에 대한 응답이 없는 장비는 우회 경로가 설정되어 있지 않은 시스템으로 기록한다. 응답 ICMP 메시지가 Echo Reply 메시지가 아닌 경우, 에러 Type과 Code를 저장한다. ICMP echo 요청에 응답 메시지(Echo Reply message)가 돌아온 경우 해당 응답 메시지를 분석한다.Here, the equipment that does not respond to the ICMP message is recorded as a system that does not have a bypass path. If the reply ICMP message is not an echo reply message, the error type and code are stored. If an echo reply message is returned in an ICMP echo request, the response message is analyzed.

이더넷 프레임의 출발지 MAC과 ICMP 메시지에 기록되어 있는 IP 주소의 MAC 주소가 일치하면 해당 ICMP 메시지에 기록되어 있는 IP와 MAC 주소를 가진 장비는 외부 망에 연결을 제공하는 경로를 가지고 있는 장비로 분류한다. If the MAC address of the source MAC of the Ethernet frame and the IP address recorded in the ICMP message match, the device with the IP and MAC address recorded in the ICMP message is classified as having a path that provides a connection to the external network. .

외부 망에 연결되는 응답 메시지의 TTL 값과 기타 장비의 특성을 기록하여 저장하고, 변경시에는 변경 내용을 관리자가 인식하게 된다.The TTL value of the response message connected to the external network and the characteristics of the other equipment are recorded and stored, and the change is recognized by the administrator.

도 4는 본 발명의 제2 실시 예에 따른 네트워크상의 비인가 우회경로 탐지 시스템의 블록도 이다.4 is a block diagram of an unauthorized bypass path detection system on a network according to a second embodiment of the present invention.

도시된 바와 같이, 본 발명 네트워크상의 비인가 우회경로 탐지 시스템은 외부 네트워크(20)에 연결된 응답 서버(10)와, 상기 네트워크(20)에 연결된 다수의 네트워크 검색시스템(80)과, 상기 외부 네트워크(20)에 연결된 관리시스템(90)을 포함한다.As shown, the unauthorized bypass path detection system on the network of the present invention includes a response server 10 connected to an external network 20, a plurality of network search systems 80 connected to the network 20, and the external network ( 20, a management system 90 connected thereto.

상기 네트워크 검색시스템(80)은 도 5에 도시된 바와 같이, 연결경로를 검사하는 패킷 발송(도 1의 S21 단계)을 수행하는 진단 패킷 생성기(81)와, 네트워크내의 패킷을 모니터링하여 장비목록의 작성(도 1의 S11 단계)을 수행하는 패킷 감시기(82)와, 상기 진단 패킷 생성기(81)가 발생한 패킷의 응답패킷을 분석하는 응답패킷 분석기(83)와, 네트워크내의 패킷을 발송하여 응답 장비목록을 작성(도 1의 S12 단계)하는 네트워크 장비검색기(84)와, 결과저장(도 1의 S13 단계)과 장비특성값과 연결경로값을 저장(S23)하는 데이터 입출력처리기(85)를 포함한다.The network retrieval system 80, as shown in Figure 5, the diagnostic packet generator 81 for performing packet transmission (step S21 of Figure 1) to check the connection path, and monitors the packets in the network of the equipment list Packet monitor 82 which performs creation (step S11 of FIG. 1), response packet analyzer 83 which analyzes the response packet of the packet which the said diagnostic packet generator 81 generated, and sends the packet in a network, A network equipment finder 84 for creating a list (step S12 of FIG. 1), and a data input / output processor 85 for storing a result (step S13 of FIG. 1) and a device characteristic value and a connection path value (S23). do.

또한, 상기 관리시스템(90)은 도 6에 도시된 바와 같이 데이터베이스(DB)를 분석하는 DB분석기(91)와, 검색시스템 통신모듈(92)과, 관리자 이벤트 발생기(93)와, 데이터 입출력기(94)를 포함한다.Also, the management system 90 includes a DB analyzer 91 for analyzing a database DB, a search system communication module 92, an administrator event generator 93, and a data input / output device as shown in FIG. (94).

여기서, 상기 DB 분석기(91)는 도 1의 제1과정 및 제2과정 수행한 후, 제3과정의 스냅삿과 비교(S41)의 스냅삿 비교를 담당한다.Here, after performing the first and second processes of FIG. 1, the DB analyzer 91 is responsible for comparing the snapsets of the snapsets and the comparisons (S41) of the third steps.

상기 검색시스템 통신모듈(92)과 데이터 입출력기(94)는 도 1의 결과저장(S13)과 장비특성값과 연결경로값을 저장(S23)하는 역할을 수행한다.The search system communication module 92 and the data input / output 94 play a role of storing the result storage (S13) of FIG. 1, the device characteristic value and the connection path value (S23).

상기 관리자 이벤트 발생기(93)는 도 1의 결과에 대한 관리자의 인가여부확인(S31)과 변경내용을 관리자에게 통보(S42)의 역할을 수행한다.The manager event generator 93 performs a role of confirming whether the administrator is authorized for the result of FIG. 1 (S31) and notifying the manager of the change (S42).

상기 대비한 바와 같이, 본 발명은 네트워크상의 불법 또는 네트워크 관리자가 인지하지 못한 네트워크 접속장치의 존재 및 설치를 자동 탐지함으로써, 외부에서의 내부 망 공격이나 내부자에 의한 정보유출을 방지할 수 있도록 한 유용한 발명이다.As prepared above, the present invention is useful for automatically detecting the existence and installation of a network access device that is not recognized by the network administrator or the network administrator, thereby preventing external network attacks or information leakage by insiders. Invention.

Claims (9)

네트워크상의 관리시스템에 있어서,In the management system on the network, 최초 네트워크 내의 장비들의 목록을 검사하는 제1 과정;Inspecting a list of devices in the original network; 상기 제1 과정에서 검사된 장비들 중 다른 네트워크와 연결 경로를 제공하는 장비를 구분하여 주는 제2 과정;A second step of identifying a device providing a connection path with another network among the devices checked in the first step; 상기 제2 과정에서 검사된 연결 경로를 제공하는 장비들을 네트워크 관리자가 인가 장비로 분류하고, 인가된 장비 목록 및 구성의 스냅샷(Snapshot)을 저장하는 제3 과정; 및A third step of classifying the devices providing the connection path checked in the second process as authorized devices, and storing a snapshot of a list of authorized devices and a configuration; And 주기적으로 네트워크의 장비를 조사하여 상기 스냅샷과 비교하고, 추가 및 변경 내용을 관리자에게 통보하는 제4 과정을 포함하여 된 것을 특징으로 하는 네트워크상의 비인가 우회경로 탐지 방법.And a fourth step of periodically examining the network equipment, comparing the snapshot with the snapshot, and notifying the administrator of the additions and changes. 제 1 항에 있어서, The method of claim 1, 상기 제1 과정은 네트워크 내의 패킷을 모니터링하여 장비 목록을 작성하는 단계;The first process includes the steps of monitoring a packet in a network and creating a device list; 상기 네트워크 내의 패킷을 발송하여 응답 장비의 목록을 작성하는 단계; 및Sending a packet in the network to create a list of responding devices; And 상기 단계들에 의해 작성된 결과를 저장하는 단계로 구성된 것을 특징으로 하는 네트워크상의 비인가 우회경로 탐지 방법.And storing the result produced by the above steps. 제 1 항에 있어서,The method of claim 1, 상기 제2 과정는 상기 제1 과정에서 작성된 장비 목록들에게 연결 경로를 검사하는 패킷을 발송하는 단계;The second step may include sending a packet for checking a connection path to the list of devices created in the first step; 상기 패킷발송에 따른 응답 패킷을 분석하여 장비특성과 연결 경로를 파악하는 단계; 및 Analyzing a response packet according to the packet transmission to identify equipment characteristics and a connection path; And 상기 장비의 특성 값과 연결 경로 값을 저장하는 단계로 구성된 것을 특징으로 하는 네트워크상의 비인가 우회경로 탐지 방법.And storing the characteristic value and the connection path value of the device. 제 1 항에 있어서, The method of claim 1, 상기 제3 과정은 상기 제2 과정에 따른 결과물에 대하여 관리자의 인가 여부를 확인하는 단계; 및 The third step may include: checking whether an administrator is authorized for the result of the second step; And 상기 관리자에 의해 인가된 장비의 스냅샷을 저장하는 단계로 구성된 것을 특징으로 하는 네트워크상의 비인가 우회경로 탐지 방법.And storing a snapshot of the device authorized by the administrator. 제 1 항에 있어서,The method of claim 1, 상기 제4 과정은 상기 제1 과정 및 제2 과정을 수행하여 제3 과정의 결과물인 스냅샷과 비교하는 단계; 및 상기 비교한 결과 변경된 내용이 있으면 이를 관리자에게 통보하는 단계로 구성된 것을 특징으로 하는 네트워크상의 비인가 우회경로 탐지 방법.The fourth process includes performing a first process and a second process and comparing the snapshot with a snapshot resulting from the third process; And notifying the administrator of any changed contents as a result of the comparison. 네트워크상의 관리시스템에 있어서,In the management system on the network, 외부 네트워크에 연결된 응답서버;A response server connected to an external network; 내부 네트워크에 연결된 일반장비와, General equipment connected to the internal network, 외부 네트워크와 내부 네트워크 사이를 연결하는 게이트웨이; 및 A gateway connecting between the external network and the internal network; And 상기 네트워크에 연결되는 네트워크 검색시스템을 포함하여 된 것을 특징으로 하는 네트워크상의 비인가 우회경로 탐지 시스템.And an unauthorized bypass path detection system on the network, comprising a network search system connected to the network. 제 6 항에 있어서,The method of claim 6, 상기 외부 네트워크에는 네트워크 검색시스템과, 관리시스템이 더 연결되어 구성된 것을 특징으로 하는 네트워크상의 비인가 우회경로 탐지 시스템.And a network retrieval system and a management system further connected to the external network. 제 6 항 및 제 7 항에 있어서,The method according to claim 6 and 7, 상기 네트워크 검색시스템은 연결경로를 검사하는 패킷 발송을 수행하는 진단 패킷 생성기와, 네트워크내의 패킷을 모니터링하여 장비목록의 작성을 수행하는 패킷 감시기와, 상기 진단 패킷 생성기가 발생한 패킷의 응답패킷을 분석하는 응답패킷 분석기와, 네트워크내의 패킷을 발송하여 응답 장비목록을 작성하는 네트워크 장비검색기와, 결과저장과 장비특성값과 연결경로값을 저장하는 데이터 입출력처리기를 포함하여 된 것을 특징으로 하는 네트워크상의 비인가 우회경로 탐지 시스템.The network retrieval system includes a diagnostic packet generator that performs packet sending to check a connection path, a packet monitor that monitors packets in a network, and prepares a list of devices, and analyzes response packets of packets generated by the diagnostic packet generator. A bypass packet analyzer, a network device finder for sending a packet in the network to create a list of response devices, and a data input / output processor for storing result and device characteristic values and connection path values. Route detection system. 제 7 항에 있어서,The method of claim 7, wherein 상기 관리시스템은 제1과정 및 제2과정 수행한 후, 제3과정의 스냅삿과 비교를 수행하는 DB 분석기와, 결과저장과 장비특성값과 연결경로값을 저장하는 검색시스템 통신모듈 및 데이터 입출력기와, 결과에 대한 관리자의 인가여부확인과 변경내용을 관리자에게 통보하는 관리자 이벤트 발생기를 포함하여 된 것을 특징으로 하는 네트워크상의 비인가 우회경로 탐지 시스템.The management system performs a first step and a second step, and then a DB analyzer performing a comparison with the snap step of the third step; And the administrator event generator for notifying the administrator of the result of the authorization and the change of the result.
KR1020050125383A 2005-12-19 2005-12-19 Method for detecting non-approval roundabout route on network and system therefor KR100730966B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050125383A KR100730966B1 (en) 2005-12-19 2005-12-19 Method for detecting non-approval roundabout route on network and system therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050125383A KR100730966B1 (en) 2005-12-19 2005-12-19 Method for detecting non-approval roundabout route on network and system therefor

Publications (2)

Publication Number Publication Date
KR20060001946A true KR20060001946A (en) 2006-01-06
KR100730966B1 KR100730966B1 (en) 2007-08-02

Family

ID=37104994

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050125383A KR100730966B1 (en) 2005-12-19 2005-12-19 Method for detecting non-approval roundabout route on network and system therefor

Country Status (1)

Country Link
KR (1) KR100730966B1 (en)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100893259B1 (en) * 2002-09-09 2009-04-17 주식회사 케이티 Network management system and method
KR100913869B1 (en) * 2002-10-28 2009-08-26 삼성전자주식회사 Terminal and method for creating and changing automatically configuration information in wireless-lan
KR100449015B1 (en) * 2002-11-28 2004-09-16 주식회사 엘지씨엔에스 System and method for automatic management of network interface
KR100533667B1 (en) * 2003-04-15 2005-12-05 삼성전자주식회사 Efficient home network management system and method

Also Published As

Publication number Publication date
KR100730966B1 (en) 2007-08-02

Similar Documents

Publication Publication Date Title
US8020211B2 (en) Network security system having a device profiler communicatively coupled to a traffic monitor
US7761918B2 (en) System and method for scanning a network
US7197762B2 (en) Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits
CN106789935B (en) Terminal abnormity detection method
KR101038387B1 (en) Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis
US20030188189A1 (en) Multi-level and multi-platform intrusion detection and response system
Stiawan et al. The trends of intrusion prevention system network
US20060015715A1 (en) Automatically protecting network service from network attack
US20030097557A1 (en) Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system
US20030084321A1 (en) Node and mobile device for a mobile telecommunications network providing intrusion detection
US20100125663A1 (en) Systems, methods, and devices for detecting security vulnerabilities in ip networks
JP2009516266A (en) Intrusion event correlation method and system using network discovery information
US10484380B2 (en) Untrusted network device identification and removal for access control and information security
US10375076B2 (en) Network device location information validation for access control and information security
US10320804B2 (en) Switch port leasing for access control and information security
Ubaid et al. Mitigating address spoofing attacks in hybrid SDN
US20200067883A1 (en) Port Authentication Control For Access Control and Information Security
US10462141B2 (en) Network device information validation for access control and information security
US20040233849A1 (en) Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture
KR20020075319A (en) Intelligent Security Engine and Intelligent and Integrated Security System Employing the Same
CN113259349A (en) Monitoring method and device for rail transit control network
KR20030057929A (en) Public network and private network combination security system and method thereof
CN116939589A (en) Student internet monitoring system based on campus wireless network
CN114900377B (en) Induction data packet-based illegal external connection monitoring method and system
KR101074198B1 (en) Method and system for isolating the harmful traffic generating host from the network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120615

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20130617

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20140721

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20150713

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20190516

Year of fee payment: 13