KR20060017109A - 네트워크 보호 장치 및 방법 - Google Patents

네트워크 보호 장치 및 방법 Download PDF

Info

Publication number
KR20060017109A
KR20060017109A KR1020040065652A KR20040065652A KR20060017109A KR 20060017109 A KR20060017109 A KR 20060017109A KR 1020040065652 A KR1020040065652 A KR 1020040065652A KR 20040065652 A KR20040065652 A KR 20040065652A KR 20060017109 A KR20060017109 A KR 20060017109A
Authority
KR
South Korea
Prior art keywords
packet
traffic
network
pattern
present
Prior art date
Application number
KR1020040065652A
Other languages
English (en)
Other versions
KR100614775B1 (ko
Inventor
서현원
Original Assignee
(주)한드림넷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)한드림넷 filed Critical (주)한드림넷
Priority to KR1020040065652A priority Critical patent/KR100614775B1/ko
Publication of KR20060017109A publication Critical patent/KR20060017109A/ko
Application granted granted Critical
Publication of KR100614775B1 publication Critical patent/KR100614775B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Abstract

본 발명은 네트워크 보호 장치 및 방법에 관한 것으로서, 특히 내부 네트워크 사용자의 맥 어드레스를 기반으로 폭주하는 유해 트래픽 및 바이러스 등의 공격을 감지 차단하고, 유효한 트래픽에 대한 서비스 품질 정책을 구현하여, 네트워크 가용성을 향상시킬 수 있는 네트워크 보안 장치 및 방법에 관한 것이다.
본 발명은 L2 ∼ L7 기반의 유해 트래픽을 원천적으로 차단하고, 사용자 맥 어드레스 기반의 근본적 차단 정책을 제공함으로써, 서브 네트워크간의 유해 트래픽 확산을 차단하고, 공격 패턴 인식을 통한 공격에 대응하는 것이 가능하게 된다. 더욱이, 본 발명에 따른 시그너쳐 필터를 최상위에 배치함으로써 내부에서 올라오는 공격성 트래픽을 효율적으로 차단할 수 있으며, 정상적 트래픽은 이상적으로 통과시킬 수 있다. 또한, 본 발명은 실시간 QoS 모니터를 통해 트래픽 현황을 파악하고 제어함으로써 특정 사용자 및 애플리케이션에 전용 대역폭을 할당하고, 특정 트래픽의 대역폭 독점을 방지할 수 있다.
유해 트래픽, 방화벽, IDS, 필터링, 바이러스.

Description

네트워크 보호 장치 및 방법{SYSTEM AND METHOD OF PROTECTING NETWORK}
도1은 종래 기술에 따른 외부 해커 침입 차단 시스템의 문제점을 나타낸 도면.
도2는 본 발명에 따른 네트워크 보안 장치의 구성을 나타낸 도면.
도3은 본 발명에 따른 네트워크 보안 장치를 구성하는 커널을 나타낸 도면.
도4는 본 발명에 따른 네트워크 보안장치를 구성하는 패턴 엔진의 일처리 흐름을 나타낸 도면.
도5는 본 발명에 따른 네트워크 보안 장치를 구성하는 시그너쳐 센서의 일처리 흐름을 나타낸 도면.
도5a 내지 도5f는 본 발명에 따른 네트워크 보안 장치가 제공하는 시스템 화면을 나타낸 도면.
도5g는 본 발명에 따른 보안 장치의 QoS 정책 수립을 나타내는 도면.
<도면의 주요 부분에 대한 부호의 설명>
10 : 방화벽
20 : IDS/IPS 시스템
30 : 이동성 매체
40 : 백본 스위치
50 : 세그먼트
86 : 내부 네트워크
100 : 애플리케이션 영역
110 : 사용자 영역
111 : http 프로세스
112 : 텔넷 프로세스
113 : 서브게이트 모듈
114 : QoS 모듈
115 : 트래픽 모듈
120 : 대몬 영역
121 : 시그너쳐 센서
122 : QoS 로그 센서
123 : IP 어카운트 센서
124 : 네트 캡
200 : 커널 영역
212 : 패턴 엔진
213: QoS 엔진
250 : 하드웨어
본 발명은 네트워크 보호 장치 및 방법에 관한 것으로서, 특히 내부 네트워크 사용자의 맥 어드레스(MAC address)를 기반으로 폭주하는 유해 트래픽 및 바이러스 등의 공격을 감지 차단하고, 유효한 트래픽에 대한 서비스 품질(Quality of Service; QoS) 정책을 구현하여, 네트워크 가용성을 향상시킬 수 있는 네트워크 보안 장치 및 방법에 관한 것이다.
최근 들어, 네트워크 통신 환경이 발전함에 따라서 해커의 네트워크 불법 침입, 컴퓨터 바이러스의 유포 등 유해 트래픽이 폭증하는 경우가 빈번히 발생하고 있으며, 이와 같은 유해 트래픽의 폭발적 증가는 내부 네트워크를 구성하는 라우터 또는 백본 스위치 등을 마비시켜서 네트워크를 마비시키게 된다.
그런데, 해킹 기술이 교묘해지고 바이러스의 확산이 내부 네트워크의 노드에서 발생될 수도 있으므로 네트워크 관리자는 이와같은 네트워크의 마비 상태가 왜, 언제부터, 어디서부터, 무엇 때문에 발생하였는지 조차 파악하기 쉽지 않다.
더욱이, 최근 들어 컴퓨터의 성능이 향상되고 네트워크 전송 속도가 수십 기가 BPS 이상으로 고속화되어짐에 따라, 외부 침입을 탐지하는 방화벽이 설치되어 있다 하더라도 내부 네트워크에서 발생하는 유해 트래픽이 초당 수백 메가 BPS 이상 발생될 수 있으며, 그 결과 네트워크를 마비시키게 된다.
더욱이, 유해 트래픽 발생이 더욱 지능화됨에 따라서, 방화벽이 설치되었다 하더라도 방화벽이 허용하는 포트를 이용한 유해 트래픽이 현저히 증가하고 있으며, 더욱 심각한 것은 외부로부터의 침투뿐 아니라 내부 노드에서의 유해 트래픽 발생이 빈번해지고 있다는 점이다.
상기 문제점을 해결하기 위해서 침입 탐지 시스템(IDS; Intrusion Detection System) 또는 바이러스 방화벽 등이 사용하여 패킷을 필터링 하는 기술이 사용되고 있으나 상기 방화벽 시스템은 경계선 상에 설치되는 수단이므로, 패킷의 데이터 영역을 패턴 매칭함으로써 여과하고자 하는 종래 기술은 유해 트래픽 발생 소스가 있는 노트북 등을 모바일 사용자가 내부 네트워크 노드에 자신도 모른 채 연결하면 유해 트래픽을 차단할 방법이 전혀 없다.
따라서, 본 발명의 제1 목적은 종래 기술과 달리 불법 침입으로부터 내부 네트워크를 보호하는 것뿐 아니라, 일단 내부 네트워크에 유해 트래픽 발생 소스가 존재한다는 가정 하에 유해 트래픽을 차단하여 네트워크를 보호할 수 있는 네트워크 보호 기술을 제공하는데 있다.
본 발명의 제2 목적은 상기 제1 목적에 부가하여, 모바일 사용자, 메모리 스틱 또는 웹하드 디스크 사용자가 증대함에 따라 궁극적으로 네트워크는 감염되어 있다는 전제하에 대규모 트래픽이 네트워크에 발생하였을 경우 이의 확산 및 주변 세그먼트로의 감염 등을 방지 보호할 수 있는 네트워크 보호 방법 및 장치를 제공하는데 있다.
본 발명의 제3 목적은 상기 제1 및 제2 목적에 부가하여, 네트워크의 가용성 분석 및 정책 기반의 QoS 방법을 제공하는 네트워크 기술을 제공하는데 있다.
본 발명의 제4 목적은 상기 목적에 부가하여, 단위 네트워크를 보안하고, 유 해 트래픽 발생 시의 확산을 최소화하며 정책 기반의 트래픽 제어를 도모할 수 있는 네트워크 보안 기술을 제공하는데 있다.
상기 목적을 달성하기 위하여, 본 발명은 네트워크 세그먼트 사이에 공격(attack) 또는 바이러스에 의한 유해 트래픽의 확산을 차단하고 밴드 폭 보장을 통해 중요 트래픽을 보호하는 네트워크 보안 장치에 있어서, 상기 네트워크 보안 장치가 구현하는 프로세스는 애플리케이션 영역과 커널 영역으로 구분되고, 상기 애플리케이션 영역은 http 프로세스와 telnet 프로세스를 포함하고, 사용자 또는 관리자가 접근하여 관리, 유지 보수 및 모니터 할 수 있도록 통계 및 자료를 제공하는 사용자 영역과; 상기 사용자 영역과 커널 영역 사이에 위치해서 실시간 패킷을 수집 분석, 명령, 기록, 인터페이스 하는 대몬 영역으로 구성되고, 상기 커널 영역은 모든 네트워크 패킷을 분석하여 패킷의 헤더 정보를 버퍼에 누적하여 기록하는 패킷 디코드 엔진과; 유해 트래픽으로 정의된 패킷을 검사하여 폐기하는 패턴 엔진과; 사용자에 의해 정의된 QoS 정책에 따라 대역폭 조절을 수행하는 QoS 엔진을 포함하는 네트워크 보안 장치를 제공한다.
이하에서는, 첨부 도면 도1 내지 도5를 참조하여 본 발명에 따른 네트워크 보안 기술을 양호한 실시예를 상세히 설명한다.
도1은 종래 기술에 따른 외부 해커 침입 차단 시스템의 문제점을 나타낸 도면이다. 도1을 참조하면, 내부 네트워크를 보호하기 위하여 방화벽(10) 또는 IDS/IPS 시스템(20)을 설치한다 하더라도, 전술한 종래 기술은 접근 제어에 기반한 보안 기술이므로 위장 트래픽에 의한 공격 또는 내부자에 의한 공격에는 노출될 수밖에 없다. 이는 모바일 사용자가 증가하고 플래시 메모리, 메모리 스틱, 포터블 컴퓨터 등과 같은 이동성 매체(30)의 사용이 증가함에 따라서, 단 하나의 웜 바이러스 감염으로 백본 스위치(40)를 비롯한 내부 네트워크 세그먼트(50) 등 전체 네트워크를 마비시킬 수 있다.
따라서, 본 발명은 내부 네트워크가 이미 바이러스 또는 유해 트래픽에 감염되었다는 가정 하에 피해 확산의 최소화, 업무 연속성 보장, 문제 발생과 동시에 차단할 수 있는 수단을 제공한다.
본 발명에 따른 네트워크 보안 장치는 네트워크 장애 및 공격의 원인이 되는 패킷만을 선별적으로 차단하여 업무의 연속성을 보장하여, 상위의 백본 스위치 및 라우터, 서버 등의 장비를 보호한다. 더욱이, 본 발명에 따른 네트워크 보안 장치는 L2 - L7 기반의 유해 트래픽 및 바이러스를 차단하고 사용자의 맥 어드레스(MAC address) 기반의 원천적 차단 정책을 적용한다.
예를 들어, 80 포트가 감염된 경우 본 발명에 따른 네트워크 보안 장치는 인터넷 익스플로러(Internet Explorer) 사용을 불가하게 하고, 80 포트로 들어오는 패킷을 차단한다. 반면에, 80 포트를 사용하지 않는 이메일, ERP 업무 등은 지속적으로 사용하도록 하여 업무의 연속성을 유지시킨다.
도2는 본 발명에 따른 네트워크 보안 장치의 구성을 나타낸 도면이다. 도2를 참조하면, 본 발명에 따른 네트워크 보안 장치가 구현하는 프로세스는 애플리케이션(application) 영역(100)과 커널(kernel) 영역(200)으로 구분될 수 있으며, 애 플리케이션 영역은 다시 사용자(user) 영역(110)과 대몬(daemon) 영역(120)으로 구분될 수 있다.
또한, 커널 영역(200)은 하드웨어(250)를 포함한 모든 네트워크 패킷을 통제 및 관할한다. 본 발명에 따른 네트워크 장치는 구동 OS의 양호한 실시예로서 리눅스 시스템이 이용될 수 있으며, 사용자 영역(110)은 관리자 또는 사용자가 접근하여 관리 및 유지보수와 모니터할 수 있는 http 프로세스(111)와 텔넷(telnet) 프로세스(112)로 구분될 수 있으며, http 프로세스(111)는 서브게이트 모듈(113), QoS 모듈(114), 트래픽 모듈(115)로 구분될 수 있다.
본 발명에 따른 네트워크 보안 장치가 구현하는 프로세스의 대몬 영역(120)은 사용자(110)나 커널 사이(200)에 위치하며, 실시간 패킷(packet)을 수집하고 분석, 명령, 기록 및 인터페이스 하는 업무를 수행한다.
또한, 커널 영역(200)은 네트워크 랜 카드에서 받은 물리적 패킷 신호를 분석하여 대몬 영역(120)에서 분석하기 쉽도록 가공하여 패킷을 버퍼링하여 유해 트래픽 처리에 대한 폐기 결정권을 지니고 있다. 또한, 커널(200)은 최종까지 통과한 패킷에 대하여 등록된 QoS 정책을 적용하는 기능을 수행한다.
도3은 본 발명에 따른 네트워크 보안 장치를 구성하는 커널의 구성을 나타낸 도면이다. 도3을 참조하면, 본 발명에 따른 패킷 디코드 엔진(packet decode engine; 211)은 네트워크 카드에서 들어오는 모든 패킷의 헤더 정보를 버퍼에 누적하여 기록한다. 한편, 유해 트래픽으로 정의된 모든 패킷은 패턴 엔진(pattern engine; 212)에서 검사되어지고 유해 트래픽으로 판정된 경우 곧바로 폐기된다.
본 발명의 양호한 실시예로서, 본 발명에 따른 패턴 엔진(212)은 다이내믹 필터(dynamic filter), IP 스푸핑 필터(spoofing filter) 및 스태틱 필터(static filter) 등을 구비할 수 있으며, 각각의 기능은 다음과 같다. 즉, 다이내믹 필터는 패킷 헤더(packet header) 정보를 기준으로 하여 계속적으로 흐르는 유해 트래픽을 차단하는 기능을 수행하고, 이 때에 차단 기준은 시그너쳐 센서(121)에서 판정된 명령을 기반으로 차단한다.
한편, IP 스푸핑 필터는 내부 네트워크(86)에서 들어오는 통로 C1 통과 패킷을 감시한다. 본 발명의 바람직한 실시예로서 소스 IP를 기준으로 등록되지 않은 내부 네트워크 대역일 경우 해당 패킷을 폐기한다. 이 때에, DHCP 프로토콜 운영 중인 경우에는 0.0.0.0 IP 는 통과시킬 수 있다.
또한, 스태틱 필터(static filter)는 데이터베이스화 된 웜(WORM) 및 바이러스 패턴을 기준으로 상기 다이내믹 필터 스푸핑 필터를 통과한 패킷을 매칭하여 차단하는 필터이다. 예를 들어서, 트래픽 데이터 안에 숨겨진 해킹과 웜 바이러스의 패턴 매칭을 통해 차단할 수 있다.
다시 도3을 참조하면, QoS 엔진(213)은 사용자에 의해 정의된 QoS 클래스 정책에 따라 대역폭을 조절하는 기능을 수행한다. 또한, 도3에 도시된 네트캡(124) 모듈은 패킷 디코드 엔진(211)에서 분석되어진 패킷의 헤더 정보를 커널로부터 받아서 버퍼링하며, 버퍼링된 패킷을 시그너쳐 센서(121), QoS 로그 센서(122) 및 IP 어카운트 센서(123)에게 전달하는 역할을 수행한다.
본 발명의 양호한 실시예로서, 시그너쳐 센서(121)는 계속적으로 흐르는 패 킷의 헤더 정보를 실시간으로 감시하여 유해 트래픽을 판정하고 차단 명령 및 해제 명령을 패턴 엔진(212)에게 전송하고, 해당 패킷 정보를 로그 데이터베이스(129)에 기록한다.
본 발명의 양호한 실시에로서, 시그너쳐 데이터베이스에 등록된 Attacks, DoS/DDoS, SCAN, MAC 기준 IP 스푸핑 감시하며 패턴 엔진(212)에게 차단 명령을 내릴 수 있다. 본 발명의 또 다른 양호한 실시예로서, 시그너쳐 데이터베이스에 등록된 해제 시간을 기준으로 더 이상 공격이 없을 경우 해제 명령을 패턴 엔진(212)에게 보낸다.
한편, 차단 및 해제에 관한 모든 정보는 로그 데이터베이스에 기록된다. 본 발명의 양호한 실시예로서, 통과되는 모든 트래픽에 대한 내부 IP, 목적지 IP 기준으로 로그 데이터베이스에 기록할 수 있다. 본 발명의 또 다른 실시예로서, 현재 연결되어 있는 모든 세션 정보를 로그 데이터베이스에 기록할 수 있다.
다시 도3을 참조하여, 본 발명에 따른 네트워크 보호 장치에서의 패킷 흐름을 설명하기로 한다. 먼저 내부 패킷 흐름(C1)을 살펴보면 다음과 같다. 사용자 영역에서 패킷 발생되면 내부 NIC(86)를 통해서 C1 통로를 거쳐, 패킷 디코드 엔진(211)이 유입된 패킷을 쉽고 빠르게 분석할 수 있도록 분해해서 커널 버터에 누적한 후 통로 C2로 내보낸다. 그리고 나면, 다음 단계인 패턴 엔진(212)이 패킷의 운명을 결정하게 되고, 시그너쳐 필터, 아이피 스푸핑 필터, 스태틱 필터 등 각각의 필터에 의해 차단 또는 통과된다.
본 발명의 양호한 실시예에 따라, 차단된 패킷은 더 이상의 필터 없이 바로 폐기되고, 통과된 패킷은 통로 C3을 지나 QoS 엔진(213)으로 전달되어 큐잉(queuing)되어지고, 마지막에는 통로 C4를 지나 외부 NIC(262)에 전달된다.
한편, 외부 네크워크의 패킷 흐름의 양호한 실시예는 다음과 같다. 즉, 외부 NIC(87)에서 패킷 발생되면, 통로 C5를 거쳐 패킷 디코드 엔진(211)이 유입된 패킷을 쉽고 빠르게 분석하도록 분해하여 커널 버퍼에 누적한 후 통로 C6으로 보낸다.
다음 단계인 패턴 엔진(212)이 패킷 운명을 결정하게 되는데, 여기서는 시그너쳐 필터, 아이피 스푸핑 필터, 스태틱 필터 등 각각의 필터에 의해 차단되거나 통과된다. 이어서, 차단된 패킷은 더 이상의 필터링 없이 곧바로 폐기되며, 통과된 패킷은 통로 C7을 지나서 QoS 엔진(213)으로 전달되어 큐잉(queuing)되어지고, 마지막으로 통로 C8을 지나 내부 NIC(261)에 전달된다.
도4는 본 발명에 따른 네트워크 보안장치를 구성하는 패턴 엔진의 일처리 흐름을 나타낸 도면이다. 도4를 참조하면, 패킷이 유입되면 형태에 따라 프로토콜(protocol), 출발지 MAC, 목적지 MAC, 출발지 IP, 목적지 IP, TCP 또는 UDP 소켓의 경우 출발지 PORT 및 목적지 PORT, 패킷 길이에 대한 정보를 메모리에 적재한다(단계 S410).
이어서, 본 발명에 따른 패턴 엔진은 폴리시(policy)에 등록된 패턴 자료를 참조하여 패킷의 무결점 오류를 검증한다. 본 발명의 양호한 실시예로서, 무결점 오류 검증 단계(단계 S411)는 CRC 오류 검사, LAND ATTACK, 브로드캐스트 체크, 소스 아이피 범위 오류 검사 등을 포함할 수 있다.
여기서, 오류 검사 단계(단계 S411)에서 해당되는 패킷은 폐기된다. 한편, 시그너쳐 센서에서 전달받은 다양한 형태의 패킷 정보를 기준으로 각각의 패킷에 대입하여 시그너쳐 필터 매칭 여부를 검사하며(단계 S412), 일치하는 경우 해당 패킷은 폐기된다.
이어서, 패킷의 이동 방향을 검사하게 되는데, 패킷의 랜 인터페이스 태그(LAN interface TAG)를 검사해서, 내부(사용자) 네트워크에서 올라오는 패킷의 경우는 IP 대역의 검사 단계를 거치고, 외부에서 내부로 유입되는 패킷의 경우는 단계 S415로 이동한다.
전술한 단계 S413에서 내부에서 들어오는 패킷으로 판명된 경우, 출발지 IP를 기준으로 해서, 내부 IP 밴드 데이터베이스에 등록된 자료를 참조하여 검사하고, 출발지 IP가 등록된 IP인 경우에는 다음 검사를 진행하고, 내부 IP가 아닌 경우에는 바로 폐기시킨다(단계 S414). 이어서, L7 기반의 정적 유해 트래픽을 검사하게 되는데(단계 S415), 해당 패킷은 즉시 폐기된다.
스태틱 필터 패턴은 출발지 포트, 목적지 포트, 패킷이 담고 있는 데이터 영역의 문자열 조합으로 검사되어질 수 있다. 본 발명의 양호한 실시예로서, 고속 검사 기법을 적용한 원패스 스캔(one pass scan)이라는 자료 구조 형태를 이용한 알고리즘이 적용될 수 있다.
전술한 단계 S410 내지 단계 S415의 검사 항목을 모두 통과한 패킷에 대해서는 정상 패킷의 정보를 임시 메모리 데이터베이스 버퍼에 기록하고(단계 S416), 해당 패킷은 다음 모듈에 인계된다.
본 발명의 양호한 실시예로서, 폐기(drop)하도록 처분된 패킷은 차단된 패킷 정보를 임시 메모리 데이터베이스 버터에 기록한 후 해당 패킷은 폐기되어질 수 있다.
도5는 본 발명에 따른 네트워크 보안 장치를 구성하는 시그너쳐 센서의 일처리 흐름을 나타낸 도면이다. 도5를 참조하면, 단위 시간(1초) 당 분석 가능한 패킷을 네트 캡(124)으로부터 블록하면서 버퍼링한다(단계 S521). 이어서, 등록된 시그너쳐 패턴(signature pattern)을 모두 대입하면서 아래와 같이 반복 실행한다.
우선, 등록된 패턴과 일치하는 패킷 정보가 있는지 확인하고(단계 S522), 출발지 IP를 기준으로 프로토콜(TCP, UDP, ICAM) 유형별 해당 시그너쳐 패킷이 들어 있는지를 검사하고, 해당 패킷이 있을 경우 단계 S523으로 진행하고, 해당 패킷이 없는 경우 다음 시그너쳐를 검사한다.
본 발명의 양호한 실시예로서, 이미 같은 시그너쳐 패턴으로 탐지 및 차단되고 있는 동일한 시그너쳐가 이미 존재하고 있다면 단계 S522로 진행하고, 존재하지 않는다면 단계 S524로 진행한다.
이어서, 시그너쳐에 탐지된 모든 패킷을 데이터베이스에 기록한다(단계 S524). 환경 설정 변수 중에서 패킷 탐지가 아닌 차단 모드인 경우에는 단계 S526(차단 명령)을 실행하고, 탐지 모드인 경우에는 단계 S522로 이동한다. 한편, 단계 S526에서 본 발명의 양호한 실시예로서 차단할 최적의 명령을 패턴 엔진(212)에 전송한다(단계 S526). 차단된 모든 패턴 정보를 대입하게 되는데, 현재 차단되거나 탐지되고 있는 모든 시그너쳐의 해저 시점을 판단하고, 현재 차단된 패턴 정 보를 읽어 온다(단계 S527).
한편, 현재 차단된 패킷 카운트와 해제 시간을 기준으로 판단하여 차단된 패킷 룰 셋을 해제할 것인가를 판단하여(단계 S528), 해제할 패킷 룰 셋이라면 단계 S529로 이동하고 다음 패턴 정보를 독촉한다.
본 발명의 양호한 실시예로서, 해제 시점에서 총 차단되거나 탐지된 패킷 카운트와 차단된 시간 정보를 기록할 수 있다(단계 S529). 이어서, 차단된 룻 셋의 해제 정보를 패턴 엔진(212)에 명령하고, 분석 작업을 계속할지 여부를 판단하여 시그너쳐 패던 분석 작업 시에 필요하면 단계 S521로 되돌아가 시그너쳐 분석을 계속한다.
도5a 내지 도5f는 본 발명에 따른 네트워크 보안 장치가 제공하는 시스템 화면을 나타낸 도면이다. 도5a를 참조하면, 본 발명에 따른 네트워크 보안 장치의 사용 현황을 나타낸 도면으로서, 서비스 모듈 상태 유해 트래픽 차단정보, 시스템 사용량 등을 제공한다.
도5b는 본 발명의 양호한 실시예로서, 유해 트래픽 정책 리스트를 나타내고 있다. 본 발명은 유해 트래픽 차단 패턴을 제공하며 Layer 2-7 기반으로 Attack 및 바이러스를 완벽히 차단할 수 있다. 도5c는 본 발명의 바람직한 실시예로서 유해 트래픽 실시간 차단 내역을 나타낸 도면이다. 본 발명은 실시간 주요 패킷 분석을 통하여 자동 탐지, 차단 및 해제를 반복적으로 수행하며, MAC 및 IP 주소 기반으로 서비스 포트 및 프로토콜별로 세부 차단을 적용할 수 있다. 도5d를 참조하면, 본 발명에 따른 네트워크 보안 장치는 일일, 주간, 월간, 특정 시간대별 유해 트래픽 차단 로그를 제공할 수 있으며, 위험도 등을 고려하여 해당 서비스 포트에 대한 보안 정책을 설정한다.
도5e는 본 발명의 양호한 실시예로서, QoS 실시간 트래픽 모니터링을 통해 네트워크 자원 현황을 제공한다. 도5f를 참조하면, 본 발명은 QoS 트래픽 분석을 통해 네트워크 능력을 향상시킨다. 도5g는 본 발명에 따른 보안 장치의 QoS 정책 수립을 나타내는 도면으로, 클래스별 컨텐츠 서비스를 정의하고 시간별 스케쥴링을 제공한다.
전술한 내용은 후술할 발명의 특허 청구 범위를 보다 잘 이해할 수 있도록 본 발명의 특징과 기술적 장점을 다소 폭넓게 개설하였다. 본 발명의 특허 청구 범위를 구성하는 부가적인 특징과 장점들은 이하에서 상술될 것이다. 개시된 본 발명의 개념과 특정 실시예는 본 발명과 유사 목적을 수행하기 위한 다른 구조의 설계나 수정의 기본으로 즉시 사용될 수 있음이 당해 기술 분야의 숙련된 사람들에 의해 인식되어야 한다.
또한, 본 발명에서 개시된 발명 개념과 실시예가 본 발명의 동일 목적을 수행하기 위하여 다른 구조로 수정하거나 설계하기 위한 기초로서 당해 기술 분야의 숙련된 사람들에 의해 사용되어질 수 있을 것이다. 또한, 당해 기술 분야의 숙련된 사람에 의한 그와 같은 수정 또는 변경된 등가 구조는 특허 청구 범위에서 기술한 발명의 사상이나 범위를 벗어나지 않는 한도 내에서 다양한 변화, 치환 및 변경이 가능하다.
이상과 같이, 본 발명의 L2-L7 기반의 유해 트래픽을 원천적으로 차단하고, 사용자 맥 어드레스 기반의 근본적 차단 정책을 제공함으로써, 서브 네트워크간의 유해 트래픽 확산을 차단하고, 공격 패턴 인식을 통한 공격에 대응하는 것이 가능하게 된다. 더욱이, 본 발명에 따른 시그너쳐 필터를 최상위에 배치함으로써 내부에서 올라오는 공격성 트래픽을 효율적으로 차단할 수 있으며, 정상적 트래픽은 이상적으로 통과시킬 수 있다.
또한, 본 발명은 실시간 QoS 모니터를 통해 트래픽 현황을 파악하고 제어함으로써 특정 사용자 및 애플리케이션에 전용 대역폭을 할당하고, 특정 트래픽의 대역폭 독점을 방지할 수 있다.

Claims (9)

  1. 네트워크 세그먼트 사이에 공격(attack) 또는 바이러스에 의한 유해 트래픽의 확산을 차단하고 밴드 폭 보장을 통해 중요 트래픽을 보호하는 네트워크 보안 장치에 있어서, 상기 네트워크 보안 장치가 구현하는 프로세스는 애플리케이션 영역과 커널 영역으로 구분되고, 상기 애플리케이션 영역은
    http 프로세스와 telnet 프로세스를 포함하고, 사용자 또는 관리자가 접근하여 관리, 유지 보수 및 모니터 할 수 있도록 통계 및 자료를 제공하는 사용자 영역과;
    상기 사용자 영역과 커널 영역 사이에 위치해서 실시간 패킷을 수집 분석, 명령, 기록, 인터페이스하는 대몬 영역
    으로 구성되고, 상기 커널 영역은
    모든 네트워크 패킷을 분석하여 패킷의 헤더 정보를 버터에 누적하여 기록하는 패킷 디코드 엔진과;
    유해 트래픽으로 정의된 패킷을 검사하여 폐기하는 패턴 엔진과;
    사용자에 의해 정의된 QoS 정책에 따라 대역폭 조절을 수행하는 QoS 엔진
    을 포함하는 네트워크 보안 장치.
  2. 제1항에 있어서, 상기 패턴 엔진은 패킷 헤더 정보를 기준으로 하여 계속 흐르는 유해 트래픽을 차단하여 폐기하는 다이내믹 필터를 구비함을 특징으로 하는 네트워크 보안 장치.
  3. 제1항에 있어서, 상기 패턴 엔진은 내부 네트워크로부터 들어오는 패킷에 대하여, 소스 IP를 기준으로 등록되지 않은 내부 네트워크 대역일 경우 해당 패킷을 폐기하는 IP 스프링 필터를 구비함을 특징으로 하는 네트워크 보안 장치.
  4. 제1항에 있어서, 상기 패던 엔진은 데이터베이스화된 윔(WORM) 및 바이러스 패턴을 기준으로 패턴 매칭하여 차단하는 스태틱 필터를 포함하는 네트워크 보안 장치.
  5. 제1항에 있어서, 시그너쳐 데이터 베이스에 등록된 ATTACK, DoS/DDoS, SCAN, MAC 기준 IP 스프링 감시하여 패킷의 헤더 정보를 감시하여 유해 트래픽 여부를 상기 패턴 엔진에 통보하고, 상기 시그너쳐 데이터 베이스에 등록된 해체 시간을 기준으로 더 이상 공격이 없는 경우 해제 명령을 상기 패턴 엔진에 통보하는 시그너쳐 센서를 포함하는 네트워크 보안 장치.
  6. 제1항에 있어서, 상기 패턴 엔진의 차단 및 해제에 관한 정보를 기록하고, 통과하는 트래픽의 내부 IP, 목적지 IP 등을 기록하며, 현재 연결된 세션 정보를 기록하는 로그 데이터 베이스를 포함하는 네트워크 보안 장치.
  7. 네트워크 노트에 유입되는 패킷을 유해성 트랙픽인지 여부를 판단하는 방법에 있어서,
    (a) 유입되는 패킷의 프로토콜, 출발지 MAC, 목적지 IP, TCP 또는 UDP 소켓의 경우 출발지 PORT 및 목적지, 패킷 길이 정보를 메모리에 적재하는 단계;
    (b) CRC 오류 검사, LAND ATTACK, Broadcast 공격, 소스 IP 범위 오류 검사를 수행하는 단계;
    (c) 시그너쳐 센서로부터 전달받은 패킷 정보를 기준으로 각각의 패킷에 대입하여 패턴 일치 여부를 검사하는 단계;
    (d) 패킷의 LAN 인터페이스 태그를 검사하여 패킷 이동 방향을 검사하는 단계;
    (e) 상기 단계 (d)에서 내부에서 올라오는 패킷의 경우 내부 IP 밴드 데이터베이스에 등록된 자료를 기준으로 출발지 IP가 등록 IP 인지 여부를 판단하는 단계; 및
    (f)출발지 포트, 목적지 포트 및 패킷이 담고 있는 데이터 영역의 문자열 조합을 검사하여 L7 기반 패킷 검사하는 단계를 포함하는 패킷의 패턴 분석 방법을 포함하는 유해 트래픽 차단 방법.
  8. 제7항에 있어서, 상기 통과된 정상 패킷 및 차단 패킷의 정보를 임시 메모리 데이터 베이스 버퍼에 저장하는 단계를 더 포함하는 패턴 분석 방법을 포함하는 유해 트래픽 차단 방법.
  9. 네트워크 노드에 유입되는 패킷을 유해성 트래픽인지 여부를 판단하는 방법에 있어서,
    (a) 단위 시간당 분석 가능한 패킷을 블록하면서 버퍼링하는 단계;
    (b) 프로토콜 유형별로 해당 시그너쳐 패킷이 등록된 패턴과 일치하는 패킷 정보가 있는지 검사하는 단계;
    (c) 패턴 엔진에 등록된 시그너쳐인지 판단하는 단계;
    (d) 시그너쳐에 탐지된 모든 패킷을 데이터베이스에 기록하는 단계;
    (e) 패킷 차단 모드인 경우 패턴 엔진에 전송하는 단계; 및
    (f) 패턴 엔진에 등록되어 차단되어진 패킷 데이터를 독출하고 해제 여부를 판단하는 단계;
    를 포함하는 유해 트래픽 차단 방법.
KR1020040065652A 2004-08-20 2004-08-20 네트워크 보호 장치 및 방법 KR100614775B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040065652A KR100614775B1 (ko) 2004-08-20 2004-08-20 네트워크 보호 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040065652A KR100614775B1 (ko) 2004-08-20 2004-08-20 네트워크 보호 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20060017109A true KR20060017109A (ko) 2006-02-23
KR100614775B1 KR100614775B1 (ko) 2006-08-22

Family

ID=37125234

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040065652A KR100614775B1 (ko) 2004-08-20 2004-08-20 네트워크 보호 장치 및 방법

Country Status (1)

Country Link
KR (1) KR100614775B1 (ko)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007111470A2 (en) * 2006-03-27 2007-10-04 Ara Networks Co., Ltd. Method and system for managing transmission of internet contents
KR100767803B1 (ko) * 2006-03-27 2007-10-18 전덕조 네트워크 이상행위 기반의 네트워크 공격 탐지 방법 및장치
KR100770357B1 (ko) * 2007-06-04 2007-10-25 펌킨네트웍스코리아 (주) 시그너처 해싱을 이용하여 시그너처 매칭 회수를 줄이는고성능 침입 방지 시스템 및 그 방법
KR100809416B1 (ko) * 2006-07-28 2008-03-05 한국전자통신연구원 보안 시스템을 위한 최적 시그니처 자동 생성 장치 및 방법
KR100851509B1 (ko) * 2007-01-24 2008-08-11 (주) 시스메이트 분산 시그니처 매칭을 통한 실시간 패킷 분류 장치 및 방법
KR100863313B1 (ko) * 2007-02-09 2008-10-15 주식회사 코어세스 에이알피 스푸핑 자동 차단 장치 및 방법
WO2009145379A1 (en) * 2008-05-29 2009-12-03 Handreamnet Co., Ltd Access level network securing device and securing system thereof
WO2010087838A1 (en) * 2009-01-29 2010-08-05 Hewlett-Packard Development Company, L.P. Managing security in a network
KR101042291B1 (ko) * 2009-11-04 2011-06-17 주식회사 컴트루테크놀로지 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법
KR101116745B1 (ko) * 2010-12-06 2012-02-22 플러스기술주식회사 비연결형 트래픽 차단 방법
KR101289956B1 (ko) * 2007-09-12 2013-07-26 주식회사 엘지씨엔에스 네트워크 보안시스템의 서비스 안정화 장치 및 방법
KR101359692B1 (ko) * 2013-01-09 2014-02-07 주식회사 유아이넷 입력되는 서명 문자열 부분 정보를 저장하는 메모리 공간을 이용한 서명 탐지 시스템
KR101504936B1 (ko) * 2013-12-30 2015-03-23 주식회사 시큐아이 프락시 장치 및 그 장치의 패킷 전송 방법 및 장치
US10686838B2 (en) 2016-03-07 2020-06-16 Wins Co., Ltd. IPS switch system and processing method

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140021774A (ko) * 2012-08-10 2014-02-20 주식회사 아이디어웨어 애플리케이션 패킷 데이터 패턴 검출 장치

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100767803B1 (ko) * 2006-03-27 2007-10-18 전덕조 네트워크 이상행위 기반의 네트워크 공격 탐지 방법 및장치
WO2007111470A3 (en) * 2006-03-27 2007-12-13 Ara Networks Co Ltd Method and system for managing transmission of internet contents
KR100841737B1 (ko) * 2006-03-27 2008-06-27 주식회사 아라기술 인터넷 컨텐츠의 전송 관리 방법 및 시스템
WO2007111470A2 (en) * 2006-03-27 2007-10-04 Ara Networks Co., Ltd. Method and system for managing transmission of internet contents
KR100809416B1 (ko) * 2006-07-28 2008-03-05 한국전자통신연구원 보안 시스템을 위한 최적 시그니처 자동 생성 장치 및 방법
KR100851509B1 (ko) * 2007-01-24 2008-08-11 (주) 시스메이트 분산 시그니처 매칭을 통한 실시간 패킷 분류 장치 및 방법
KR100863313B1 (ko) * 2007-02-09 2008-10-15 주식회사 코어세스 에이알피 스푸핑 자동 차단 장치 및 방법
KR100770357B1 (ko) * 2007-06-04 2007-10-25 펌킨네트웍스코리아 (주) 시그너처 해싱을 이용하여 시그너처 매칭 회수를 줄이는고성능 침입 방지 시스템 및 그 방법
KR101289956B1 (ko) * 2007-09-12 2013-07-26 주식회사 엘지씨엔에스 네트워크 보안시스템의 서비스 안정화 장치 및 방법
WO2009145379A1 (en) * 2008-05-29 2009-12-03 Handreamnet Co., Ltd Access level network securing device and securing system thereof
CN102369532A (zh) * 2009-01-29 2012-03-07 惠普开发有限公司 管理网络中的安全性
WO2010087838A1 (en) * 2009-01-29 2010-08-05 Hewlett-Packard Development Company, L.P. Managing security in a network
US9032478B2 (en) 2009-01-29 2015-05-12 Hewlett-Packard Development Company, L.P. Managing security in a network
KR101042291B1 (ko) * 2009-11-04 2011-06-17 주식회사 컴트루테크놀로지 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법
KR101116745B1 (ko) * 2010-12-06 2012-02-22 플러스기술주식회사 비연결형 트래픽 차단 방법
KR101359692B1 (ko) * 2013-01-09 2014-02-07 주식회사 유아이넷 입력되는 서명 문자열 부분 정보를 저장하는 메모리 공간을 이용한 서명 탐지 시스템
KR101504936B1 (ko) * 2013-12-30 2015-03-23 주식회사 시큐아이 프락시 장치 및 그 장치의 패킷 전송 방법 및 장치
US10686838B2 (en) 2016-03-07 2020-06-16 Wins Co., Ltd. IPS switch system and processing method

Also Published As

Publication number Publication date
KR100614775B1 (ko) 2006-08-22

Similar Documents

Publication Publication Date Title
US9917857B2 (en) Logging attack context data
KR100614775B1 (ko) 네트워크 보호 장치 및 방법
US7757283B2 (en) System and method for detecting abnormal traffic based on early notification
US7561515B2 (en) Role-based network traffic-flow rate control
US7596807B2 (en) Method and system for reducing scope of self-propagating attack code in network
Artail et al. A hybrid honeypot framework for improving intrusion detection systems in protecting organizational networks
US9060020B2 (en) Adjusting DDoS protection based on traffic type
KR101111433B1 (ko) 능동 네트워크 방어 시스템 및 방법
US9491185B2 (en) Proactive containment of network security attacks
US20050216956A1 (en) Method and system for authentication event security policy generation
US20050071650A1 (en) Method and apparatus for security engine management in network nodes
Mcdaniel et al. Enterprise Security: A Community of Interest Based Approach.
US10469528B2 (en) Algorithmically detecting malicious packets in DDoS attacks
Scarfone et al. Intrusion detection and prevention systems
CN116055163A (zh) 一种基于eBPF XDP的登录信息获取及阻断方法
KR20040057257A (ko) 분산서비스거부 공격 대응 시스템 및 방법과 그프로그램을 기록한 기록매체
Schehlmann et al. COFFEE: a Concept based on OpenFlow to Filter and Erase Events of botnet activity at high-speed nodes
KR100769221B1 (ko) 제로데이 공격 대응 시스템 및 방법
KR20020072618A (ko) 네트워크 기반 침입탐지 시스템
US11330011B2 (en) Avoidance of over-mitigation during automated DDOS filtering
Poongothai et al. Simulation and analysis of DDoS attacks
Xia et al. Effective worm detection for various scan techniques
Gao et al. Software-defined firewall: Enabling malware traffic detection and programmable security control
Tupakula et al. Security techniques for counteracting attacks in mobile healthcare services
Vidya et al. ARP storm detection and prevention measures

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120810

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20130814

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20150810

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20161110

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20170810

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20190812

Year of fee payment: 14