KR20060035680A - Security method for imaginary in-line network - Google Patents

Security method for imaginary in-line network Download PDF

Info

Publication number
KR20060035680A
KR20060035680A KR1020060028732A KR20060028732A KR20060035680A KR 20060035680 A KR20060035680 A KR 20060035680A KR 1020060028732 A KR1020060028732 A KR 1020060028732A KR 20060028732 A KR20060028732 A KR 20060028732A KR 20060035680 A KR20060035680 A KR 20060035680A
Authority
KR
South Korea
Prior art keywords
packet
virtual path
virtual
network
node
Prior art date
Application number
KR1020060028732A
Other languages
Korean (ko)
Other versions
KR100765340B1 (en
Inventor
이동범
김계연
이민상
김용권
박준우
Original Assignee
지니네트웍스(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 지니네트웍스(주) filed Critical 지니네트웍스(주)
Priority to KR1020060028732A priority Critical patent/KR100765340B1/en
Publication of KR20060035680A publication Critical patent/KR20060035680A/en
Application granted granted Critical
Publication of KR100765340B1 publication Critical patent/KR100765340B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

본 발명은 네트워크 패킷을 분석하여 보안 정책의 적합 여부와 침입 여부의 판단하기 위한 시스템으로, 물리적으로 인라인(In-Line) 구조를 설치하지 않으면서도, 네트워크 세그먼트 또는 동일 VLAN 상에 존재하는 단말기 중 통제가 필요한 단말기들의 MAC 주소 요청 응답을 보안장비의 MAC 주소로 변조하여 응답함으로써, 단말기들의 통신 내용이 보안장비를 경유하게 한 후, 보안 정책의 적합 여부를 판단하여 접근 제어를 수행할 수 있도록 하는 가상의 인라인 네트워크 보안 방법에 관한 것이며, 그 구성은, 특정 장비가 가상 경로 설정의 적용 대상이 되는지의 여부를 판단하는 제1 과정(S100)과, 상기 제1 과정(S100)을 통해 특정장비가 가상 경로 설정대상에 적합하다 판단되면 적용 대상 장비의 가상 경로를 설정하는 제2 과정(S200)과, 상기 설정된 가상 경로의 트래픽이 보안 정책에 적합한가를 검사하는 제3 과정(S300)과, 상기 가상 경로의 트래픽이 유해 트래픽인가를 검사하는 제4 과정(S400)과, 상기 가상 경로의 시스템을 네트워크에서 분리하는 제5 과정(S500)을 포함하여 된 것이다.The present invention is a system for analyzing the network packet to determine whether the security policy is appropriate or intrusion, the control of the terminal existing on the network segment or the same VLAN without the installation of physical in-line structure To respond by modulating the MAC address request response of the required terminals to the MAC address of the security device, allowing the communication contents of the terminals to pass through the security device, and then determining the conformance of the security policy to perform access control. The inline network security method of the configuration, the configuration, the first process (S100) for determining whether a specific device is subject to the application of the virtual path setting, and the specific device is virtual through the first process (S100) If it is determined that the path is suitable for the target setting step (S200) of setting a virtual path of the application target device, and the set of the virtual path A third step (S300) of checking whether the traffic conforms to the security policy, a fourth step (S400) of checking whether the traffic of the virtual path is harmful traffic, and a fifth step of separating the system of the virtual path from the network It is to include (S500).

가상, 인라인, 네트워크, 보안 Virtual, inline, network, security

Description

가상의 인라인 네트워크 보안방법{Security method for Imaginary in-line network}Security method for Imaginary in-line network

도 1은 종래의 네트워크 보안장치의 구성도, 1 is a block diagram of a conventional network security device,

도 2는 본 발명이 적용되는 가상의 인라인 네트워크 보안장치의 구성도,2 is a configuration diagram of a virtual inline network security device to which the present invention is applied;

도 3은 본 발명에 따른 가상의 인라인 네트워크 보안방법의 제어 흐름도,3 is a control flowchart of a virtual inline network security method according to the present invention;

도 4는 상기 도 3의 제1과정을 상세히 나타낸 제어 흐름도, 4 is a control flowchart illustrating in detail the first process of FIG. 3;

도 5는 상기 도 3의 제2과정을 상세히 나타낸 제어 흐름도, 5 is a control flowchart illustrating a second process of FIG. 3 in detail;

도 6은 상기 도 3의 제3과정을 상세히 나타낸 제어 흐름도, 6 is a control flowchart illustrating a third process of FIG. 3 in detail;

도 7은 상기 도 3의 제4과정을 상세히 나타낸 제어 흐름도, 7 is a control flowchart illustrating a fourth process of FIG. 3 in detail;

도 8은 상기 도 3의 제5과정을 상세히 나타낸 제어 흐름도이다.8 is a flowchart illustrating a fifth process of FIG. 3 in detail.

< 도면의 주요부분에 대한 부호의 설명 ><Description of Symbols for Major Parts of Drawings>

100: 제1 내부망 200: 제2 내부망100: first internal network 200: second internal network

16,26,35: 인라인 40: 백본스위치16, 26, 35: Inline 40: Backbone switch

50: 인라인방화벽 60: 라우터50: inline firewall 60: router

본 발명은 네트워크 내의 침입 차단 시스템(Firewall) 및 침입 방지 시스템(Intrusion Prevention System )과 같이 네트워크 패킷을 분석하여 보안 정책의 적합 여부와 침입 여부의 판단하기 위한 시스템에 관한 것으로, 더욱 상세하게는 물리적으로 인라인(In-Line) 구조를 설치하지 않으면서도, 네트워크 세그먼트 또는 동일 VLAN 상에 존재하는 단말기 중 통제가 필요한 단말기들의 MAC 주소 요청 응답을 보안장비의 MAC 주소로 변조하여 응답함으로써, 단말기들의 통신 내용이 보안장비를 경유하게 한 후, 보안 정책의 적합 여부를 판단하여 접근 제어를 수행할 수 있도록 하는 가상의 인라인 네트워크 보안 방법에 관한 것이다.The present invention relates to a system for analyzing the network packet, such as firewall and intrusion prevention system in the network to determine whether the security policy is appropriate and intrusion, and more specifically, physically Without installing the in-line structure, by modifying the MAC address request response of the terminals that need to be controlled among the terminals existing on the network segment or the same VLAN to the MAC address of the security equipment, the communication contents of the terminals are changed. The present invention relates to a virtual inline network security method that allows access control to be performed after determining whether a security policy is met after passing through a security device.

주지한 바와 같은 침입 차단 시스템이나 침입 방지 시스템과 같은 네트워크 보안 장비들은 설치 구성의 형태에 따라 라우터 모드(Router mode)와 브리지 모드(Bridge mode)로 나뉜다.Network security equipment such as intrusion prevention system or intrusion prevention system as described above is divided into router mode and bridge mode according to the type of installation configuration.

상기 라우터 모드(Router mode)는 패킷이 입력되는 네트워크 인터페이스 카드의 IP 주소 대역과 패킷이 출력되는 네트워크 인터페이스 카드의 IP 주소 대역이 서로 상이하게 설치되는 형태이다. In the router mode, the IP address band of the network interface card to which the packet is input and the IP address band of the network interface card to which the packet is output are different from each other.

이러한 방식을 기존에 사용 중인 네트워크에 장비를 설치할 경우 기존 네트워크 IP 주소 형태를 변경해야 하는 작업이 수반된다.If the equipment is installed on an existing network, this involves changing the existing network IP address type.

상기 브리지 모드(Bridge mode)는 상기 라우터 모드(Router mode)와는 달리 입력 네트워크 인터페이스의 카드와 출력 네트워크 인터페이스의 카드의 IP 대역이 동일한 네트워크 주소 대역을 사용하기 때문에 설치 시에 라우터 모드(Router mode)와 같이 네트워크 IP 변경 작업이 필요 없고, 단지 네트워크 라인을 물리적으로 절체 하여 장비를 삽입하면 되는 방식이다.Unlike the router mode, the bridge mode uses the same network address band as the IP bands of the card of the input network interface and the card of the output network interface. Likewise, there is no need to change the network IP, and simply insert the equipment by physically switching the network line.

한편, 일반적인 네트워크 보안 장비들은 상기 라우터 모드(Router mode) 또는 브리지 모드(Bridge mode)에 관계없이 기 설치된 네트워크 선을 단절하여 중간에 보안 장비를 설치하는 인라인(In-Line) 구성의 형태로 이루어진다.On the other hand, the general network security equipment is in the form of an in-line configuration in which the security equipment is installed in the middle by disconnecting the pre-installed network line regardless of the router mode or the bridge mode.

이와 같은 종래의 네트워크 보안 장비 설치는 라우터 모드(Router mode)나 브리지 모드(Bridge mode)가 모두 인라인(In-line) 형태로 구성되어지는 관계로, 물리적 인라인(In-line) 구조는 설치 작업 시에 네트워크의 사용 중단, 정상적인 통신흐름이후에는 설치 후 속도 지연 현상, 설치 장비가 장애 시에는 다른 네트워크의 통신이 모두 두절되는 현상이 불가피 하였다.In the conventional network security equipment installation, both router mode and bridge mode are configured in-line, so the physical in-line structure is used during installation. In this case, it was inevitable that the network was stopped, the speed delay after installation after normal communication flow, and when the installation equipment failed, the communication of other networks would be lost.

결국, 이와 같은 인라인(In-Line) 구성은 네트워크를 통과하는 모든 패킷을 볼 수 있게 됨에 따라 보안성이 높아지는 장점은 있으나, 상기 인라인(In-Line) 구성으로 인하여 모든 단말기들에게 동시에 속도 지연 현상 및 장애 시 전체 네트워크의 통신이 두절되는 문제점이 발생하게 되었다.As a result, such an in-line configuration has an advantage of increasing security by being able to see all the packets passing through the network. However, due to the in-line configuration, a speed delay phenomenon occurs simultaneously to all terminals. In the event of a failure, communication of the entire network is lost.

이와 같은 종래의 시스템을 도 1을 참조하여 설명한다.Such a conventional system will be described with reference to FIG.

도시된 바와 같이 종래의 네트워크 보안장치는 제1내부망(10)의 제1단말기(11)에서 제2내부망(20)의 제4단말기(21)로의 통신을 제한하기 위해서는 제1 L2 스위치(14)과 백본스위치(40) 구간 사이에 제1보안장비(15)를 인라인(In-line)으로 설치하여 통신 트래픽을 제어하게 된다. As shown in the drawing, the conventional network security device includes a first L2 switch in order to restrict communication from the first terminal 11 of the first internal network 10 to the fourth terminal 21 of the second internal network 20. The first security equipment 15 is installed in-line between the section 14) and the backbone switch 40 to control communication traffic.

상기 제1 L2스위치(14)와 백본스위치(40) 구간에 설치된 제1보안장비(15)는 제1내부망(10)에서 다른 망(네트워크)로 연결되는 모든 트래픽이 보안장비를 반드시 경유하도록 되어 있기 때문에 통신 대상 사이의 전달되는 TCP/IP 패킷의 헤더 정보(출발지 주소, 목적지 주소, 목적지 포트 등)를 이용하여 정책에 부합 여부를 판단하여 통과 및 차단 여부를 결정하게 된다.The first security equipment 15 installed in the first L2 switch 14 and the backbone switch 40 is configured such that all traffic connected to the other network (network) from the first internal network 10 must pass through the security equipment. Therefore, the header information (origin address, destination address, destination port, etc.) of the TCP / IP packet transmitted between the communication targets is used to determine whether the policy conforms to the policy to determine whether to pass or block.

이러한 일반적인 인라인(In-line) 네트워크 보안장비 구성은 통신시의 네트워크 속도 지연 현상과 보안장비 장애 시 네트워크가 단절되는 부작용을 유발하게 된다.This general in-line network security device configuration causes network speed delays in communication and network disconnection in the event of a security device failure.

또한, 제1내부망(10)에 있는 제1단말기(11)와 제2단말기(12)간의 통신 시에는 두 단말기간의 전달되는 패킷이 제1보안장비(15)를 경유하지 않기 때문에 접속을 제어할 수 없는 한계점을 지닌다. In addition, when communicating between the first terminal 11 and the second terminal 12 in the first internal network 10, since the packets transmitted between the two terminals do not pass through the first security equipment 15, the connection is controlled. It has a limitation that cannot be done.

본 발명은 상기한 문제점을 해결하고자 창안된 것으로, 본 발명의 목적은 가상의 인라인(In-line) 기술로서, 실제 물리적인 구성은 인라인(in-line) 형태가 아니지만, 통신 당사자들이 보안장비를 경유하여 통신하게끔 함으로써 물리적인 인라인(In-line) 구성에서와 같은 보안 동작을 할 수 있도록 한 가상의 인라인 네트워크 보안 방법을 제공하는 것에 있다.The present invention was devised to solve the above problems, and an object of the present invention is a virtual in-line technology, in which the actual physical configuration is not in-line, but communication parties use security equipment. The idea is to provide a virtual inline network security method that enables communication via a network so that the same security operation as in a physical in-line configuration is possible.

또한, 본 발명의 다른 목적은 네트워크에 보안장비 설치 시, 네트워크 중단 없이 장비를 설치할 수 있게 하며, 장비 장애 시에 종래에 발생하는 네트워크 장애 확산(Single point of failure)이 발생하지 않으며, 인가된 네트워크 장비는 가상의 인라인(in-line) 구성된 장비를 통하지 않고 통신할 수 있게 함으로써 속도 지연 현상을 배제시킨 가상의 인라인 네트워크 보안 방법을 제공하는 것에 있다.In addition, another object of the present invention, when installing the security equipment in the network, it is possible to install the equipment without network interruption, the network failure does not occur in the conventional single point of failure (Single point of failure), the authorized network The device provides a virtual inline network security method that eliminates speed delay by allowing communication without passing through a virtual in-line configured device.

또한, 본 발명의 다른 목적은 보안장비를 경유해서 외부로 나가는 트래픽뿐만 아니라 동일 네트워크 내에 있는 단말기 간의 통신 및 트래픽을 제어하는 가상의 인라인 네트워크 보안 방법을 제공하는 것에 있다.In addition, another object of the present invention is to provide a virtual inline network security method for controlling the communication and traffic between the terminals in the same network as well as traffic to the outside via the security equipment.

또한, 본 발명의 또 다른 목적은 다수의 내부 망에 비인가 시스템의 사용통제 및 이상 트래픽을 발생시키는 시스템을 효과적으로 차단하는 용도에 적합하도록 한 가상의 인라인 네트워크 보안 방법을 제공하는 것에 있다.In addition, another object of the present invention is to provide a virtual inline network security method that is suitable for the use of unauthorized systems to effectively block a number of internal networks and the system that effectively generates the abnormal traffic.

이와 같은 목적을 달성하기 위한 본 발명은 가상의 인라인 네트워크 보안방법에 있어서, 특정 장비가 가상 경로 설정의 적용 대상이 되는지의 여부를 판단하는 제1 과정과; 상기 제1 과정을 통해 특정장비가 가상 경로 설정대상에 적합하다 판단되면 적용 대상 장비의 가상 경로를 설정하는 제2 과정과; 상기 설정된 가상 경로의 트래픽이 보안 정책에 적합한가를 검사하는 제3 과정과; 상기 가상 경로의 트래픽이 유해 트래픽인가를 검사하는 제4 과정과; 상기 가상 경로의 시스템을 네트워크에서 분리하는 제5 과정을 포함하여 된 특징을 가진다.In order to achieve the above object, the present invention provides a virtual inline network security method, comprising: a first process of determining whether a specific device is subject to application of a virtual path setting; A second process of setting a virtual path of the application target device when it is determined that the specific device is suitable for the virtual path setting target through the first process; A third step of checking whether the traffic of the set virtual path conforms to a security policy; A fourth step of checking whether the traffic of the virtual path is harmful traffic; And a fifth process of separating the system of the virtual path from the network.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예들을 보다 상세히 설명한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 2는 본 발명이 적용되는 가상의 인라인 네트워크 보안장치의 구성도이다.2 is a block diagram of a virtual inline network security device to which the present invention is applied.

도시된 바와 같이, 본 발명이 적용되는 가상의 인라인 네트워크 보안장치는 종래의 구성과 다르게 일반 단말기와 같은 형태로 장비를 네트워크에 연결한 후 동작한다. As shown, the virtual in-line network security device to which the present invention is applied operates unlike the conventional configuration after connecting the equipment to the network in the form of a general terminal.

즉, 복수개의 단말기와, 상기 단말기들과 연결되는 L2 스위치(허브)로 이루어지는 내부 망이 복수 개 형성되고, 동시에 DB(데이터베이스) 서버(33)와, APP(Application) 서버(34)와 연결되는 L2 스위치(허브)(32)가 구성되며, 상기 허브들과 연결되는 백본스위치(40)와, 상기 백본스위치(40)에 연결되는 인라인방화벽(50)과, 상기 인라인방화벽(50)에 연결되는 라우터(60) 및 인터넷을 포함하는 네트워크장치에 있어서, 상기 각 내부 망의 허브와, DB서버(33) 및 APP서버(34)가 연결되는 L2 스위치(허브)(32)에 각각 인라인(In-line)(16,26,35) 시스템을 구축하여 구성한 것이다.That is, a plurality of terminals and a plurality of internal networks including L2 switches (hubs) connected to the terminals are formed, and at the same time, the DB (database) server 33 and the APP (application) server 34 are connected. An L2 switch (hub) 32 is configured, and is connected to the backbone switch 40 connected to the hubs, an inline firewall 50 connected to the backbone switch 40, and an inline firewall 50. In a network device including a router (60) and the Internet, each of the internal network hubs and the L2 switch (hub) 32 to which the DB server 33 and the APP server 34 are connected are respectively inline (In-). line) (16,26,35) system was constructed.

이와 같이 구성된 본 발명에 있어서, 제1내부망(100)의 제1단말기(11)의 네트워크 통제를 실시하고자 하면, 상기 제1단말기(11)가 패킷을 통신 상대자나 전달자(gateway)의 하드웨어 주소(MAC 주소)를 요청하게 되는데, 이러한 주소 요청을 가상의 인라인(16,26,35) 시스템이 감지하여 자신의 MAC주소로 제1단말기(11)에 응답을 한다. In the present invention configured as described above, when the network control of the first terminal 11 of the first internal network 100 is to be performed, the first terminal 11 transmits a packet to a hardware address of a communication partner or a gateway. It requests a (MAC address), the virtual inline (16, 26, 35) system detects this address and responds to the first terminal 11 with its own MAC address.

상기 응답 후에는 제1단말기(1)에서 발생하는 패킷이 가상의 인라인 시스템 에 도달하기 때문에 패킷의 정보 및 데이터를 분석하여 접근제어를 수행하게 된다.After the response, since the packet generated in the first terminal 1 reaches the virtual inline system, access control is performed by analyzing the information and data of the packet.

또한, 동일 네트워크상에 있는 단말기들, 즉 제2, 또는 제3단말기가 제1단말기(11)와의 직접 패킷을 전달하는 것을 방지하기 위하여, 네트워크상의 단말기 중에 제1단말기(11)에게 직접 패킷을 전달하고자 하는 특정 단말기(12 또는 13)의 MAC 주소에 요청하는 응답에 대해서도 가상의 인라인 시스템이 자신의 MAC주소로 응답함으로써 제어 대상이 되는 제1단말기(11)와의 통신을 위해 입, 출력되는 모든 패킷은 보안센서를 경유하게 되는 것이다.In addition, in order to prevent the terminals on the same network, that is, the second or third terminal, from transmitting the packet directly with the first terminal 11, the packet is directly sent to the first terminal 11 among the terminals on the network. The virtual in-line system responds to the MAC address of the specific terminal 12 or 13 to be delivered with its own MAC address so that all input and output for communication with the first terminal 11 to be controlled can be performed. The packet passes through the security sensor.

도 3은 본 발명에 따른 가상의 인라인 네트워크 보안방법의 제어 흐름도이다.3 is a control flowchart of a virtual inline network security method according to the present invention.

도시된 바와 같이, 본 발명에 따른 가상의 인라인 네트워크 보안방법은, 특정 장비가 가상 경로 설정의 적용 대상이 되는지의 여부를 판단하는 제1 과정(S100)과, 상기 제1 과정(S100)을 통해 특정장비가 가상 경로 설정대상에 적합하다 판단되면 적용 대상 장비의 가상 경로를 설정하는 제2 과정(S200)과, 상기 설정된 가상 경로의 트래픽이 보안 정책에 적합한가를 검사하는 제3 과정(S300)과, 상기 가상 경로의 트래픽이 유해 트래픽인가를 검사하는 제4 과정(S400)과, 상기 가상 경로의 시스템을 네트워크에서 분리하는 제5 과정(S500)을 포함한다.As shown, the virtual inline network security method according to the present invention, through the first process (S100) and whether the specific equipment is subject to the application of the virtual path setting, and through the first process (S100) When it is determined that the specific device is suitable for the virtual path setting target, the second process (S200) of setting the virtual path of the application target device, the third process (S300) of checking whether the traffic of the set virtual path is suitable for the security policy, and And a fourth step (S400) of checking whether the traffic of the virtual path is harmful traffic and a fifth step (S500) of separating the system of the virtual path from the network.

상기 제1 과정(S100)에서, 상기 보안 장비는 단말기 장비에서 발생하는 MAC address 요청 (Request) 패킷을 분석하여, 출발지 주소와 MAC(Media Access Control) 주소를 추출한다. In the first step (S100), the security device analyzes the MAC address request packet generated from the terminal device, and extracts a source address and a media access control (MAC) address.

상기 출발지 주소와, MAC 주소 및 클라이언트의 운영체제(OS) 및 기타 단말기의 상태를 판단하여 가상 경로 대상 시스템인지를 판별한다.The source address, the MAC address, the operating system (OS) of the client, and the state of the other terminal are determined to determine whether the virtual path target system.

상기 제2 과정(S200)에서, 가상 경로 대상인지가 판별되면 가상 경로를 설정하기 위해 대상 시스템에서 발생하는 MAC 주소 요청에 가상 경로 시스템이 자신의 MAC 주소로 응답한다.In the second step (S200), if it is determined whether the target is a virtual path, the virtual path system responds to the MAC address request generated by the target system with its MAC address in order to set the virtual path.

상기 가상 경로 대상이 되는 시스템의 MAC 주소를 다른 단말기가 요청하는 경우에도 가상 경로 시스템이 자신의 MAC 주소로 ARP 패킷을 발송한다.Even when another terminal requests the MAC address of the system that is the target of the virtual path, the virtual path system sends an ARP packet to its MAC address.

상기 제3 과정(S300)에서는, 상기 대상 시스템에서 발생되는 패킷의 프로토콜, 목적지 주소, 목적지 포트 등을 검사하여 통과 여부를 판단한다.In the third step (S300), the protocol, the destination address, the destination port, etc. of the packet generated in the target system is examined to determine whether or not the pass.

상기 제4 과정(S400)에서는, 대상 시스템에서 발생하는 패킷의 데이터 내용을 점검하여 유해 트래픽이 포함되어 있는지를 판별한다.In the fourth step (S400), the data content of the packet generated in the target system is checked to determine whether harmful traffic is included.

상기 제5 과정(S500)에서는, 상기 제4 과정(S400)에서 유해 트래픽이 발견된 시스템은 해당 시스템에게 거짓(Fake) MAC 주소 응답 패킷을 주기적으로 발송함으로써 유해 시스템의 통신을 완전히 차단한다.In the fifth step (S500), the system that harmful traffic is found in the fourth step (S400) periodically sends a fake MAC address response packet to the system to completely block the communication of the harmful system.

도 4는 상기 도 3의 제1 과정(S100)을 상세히 나타낸 제어 흐름도이다.4 is a control flowchart illustrating in detail the first process S100 of FIG. 3.

도시된 바와 같이, 상기 제1 과정(S100)은 MAC 요청 패킷을 모니터링 하는 단계(S110)와, 상기 ARP 요청(Request) 패킷의 출발지 주소 및 MAC 주소를 추출하는 단계(S120)와, 상기 추출된 ARP 요청(Request) 패킷의 출발지 주소 및 MAC 주소를 노드 테이블(TABLE)에 추가하는 단계(S130)와, 상기 추출한 노드에 대한 운영체 계(OS) 추측(Guessing)하는 단계(S140)로 구성된다.As shown, the first step (S100) comprises the steps of monitoring the MAC request packet (S110), extracting the source address and the MAC address of the ARP Request packet (S120), and the extracted Adding a source address and a MAC address of an ARP request packet to a node table (S130); and estimating an operating system (OS) for the extracted node (S140). .

하기 표 1에는 상기 노드 테이블에 대한 일례가 구성되어 있다.Table 1 below shows an example of the node table.

<표 1>TABLE 1

[적용대상 테이블] [Applicable Table]

MAC 주소MAC address IP 주소IP address OSOS 사용자user 시간time 동작방법How it works 00:13:D4:04:BD:C000: 13: D4: 04: BD: C0 192.168.1.2192.168.1.2 LinuxLinux 허용permit 00:0F:EA:6D:71:2A00: 0F: EA: 6D: 71: 2A 192.168.1.1192.168.1.1 Windows XPWindows XP KimpdKimpd 가상경로Virtual path 00:90:FB:09:0F:1700: 90: FB: 09: 0F: 17 192.168.1.3192.168.1.3 Windows XPWindows XP ANYTIMEANYTIME 격리Isolation

따라서 이를 살펴보면, So if you look at this,

특정 장비가 가상 경로 설정의 적용 대상이 되는지의 여부를 판단하는 제1 과정(S100)은, 네트워크상에서 MAC 요청 패킷을 모니터링 하여, 상기 ARP 요청(Request) 패킷의 출발지 주소와, MAC 주소를 추출하게 된다.The first step (S100) of determining whether a specific device is subject to the application of the virtual path configuration monitors the MAC request packet on the network, and extracts the source address and the MAC address of the ARP request packet. do.

또한, 상기 추출된 ARP 요청(Request) 패킷의 출발지 주소 및 MAC 주소를 노드 테이블(TABLE)에 추가하고, 상기 추출한 노드에 대한 운영체계(OS) 인식할 수 있게 된다.In addition, the source address and MAC address of the extracted ARP request packet are added to the node table, and the operating system (OS) for the extracted node can be recognized.

도 5는 상기 도 3의 제2 과정(S200)을 상세히 나타낸 제어 흐름도이다.FIG. 5 is a control flowchart illustrating the second process S200 of FIG. 3 in detail.

도시된 바와 같이, 상기 제2 과정(S200)은, 노드 테이블의 노드에 동작방법을 설정하는 단계(S210)와, 노드 테이블의 노드에 보안정책을 연결하는 단계(S220)와, 상기 동작방법에 의해 설정된 "가상 경로"노드의 모든 MAC 주소 요청에 대해 가상 경로 시스템의 MAC 주소로 응답하는 단계(S230)로 구성된다.As shown, the second step (S200), the step of setting the operation method to the node of the node table (S210), the step of connecting a security policy to the node of the node table (S220), and the operation method And responding to all MAC address requests of the " virtual path " node with the MAC address of the virtual path system (S230).

하기 표 2에는 상기 보완정책 테이블에 대한 일례가 구성되어 있다. Table 2 below shows an example of the supplementary policy table.

<표 2>TABLE 2

목적지 주소Destination address 목적지 portDestination port 시간대slot ActionAction 192.168.2.1192.168.2.1 TCP/80TCP / 80 ANYTIMEANYTIME ALLOWALLOW 10.10.1.110.10.1.1 TCP/25TCP / 25 ANYTIMEANYTIME ALLOWALLOW 10.10.1.110.10.1.1 UDP/53UDP / 53 ANYTIMEANYTIME ALLOWALLOW

따라서 이를 살펴보면,So if you look at this,

상기 제1 과정(S100)을 통해 특정장비가 가상 경로 설정대상에 적합하다 판단되면 적용 대상 장비의 가상 경로를 설정하는 제2 과정(S200)은, 상기 노드 테이블의 노드에 동작방법을 설정하고, 상기 노드 테이블의 노드에 보안정책을 연결하며, 상기 동작방법에 의해 설정된 "가상 경로"노드의 모든 MAC 주소 요청에 대해 가상 경로 시스템의 MAC 주소로 응답한다.If it is determined through the first step (S100) that the specific device is suitable for the virtual path setting target, the second step (S200) of setting the virtual path of the application target device, the operation method is set to the node of the node table, It attaches a security policy to the nodes in the node table and responds to every MAC address request of the "virtual path" node established by the operation method with the MAC address of the virtual path system.

도 6은 상기 도 3의 제3 과정(S300)을 상세히 나타낸 제어 흐름도이다.FIG. 6 is a control flowchart illustrating the third process S300 of FIG. 3 in detail.

도시된 바와 같이, 상기 제3 과정(S300)은, 상기 가상 경로 시스템으로 유입되는 패킷에서 프로토콜, 목적지 주소 및 목적지 포트 번호 등을 추출하는 단계(S310)와, 보안정책 테이블을 참조하여 대응 여부를 결정하는 단계(S320)로 구성된다.As shown, the third process (S300), the step of extracting a protocol, a destination address and a destination port number, etc. from the packet flowing into the virtual path system (S310), and whether the correspondence with reference to the security policy table Determining step (S320).

상기 보안정책 테이블을 참조하여 대응 여부를 결정하는 단계(S320)는, 대응 여부를 판단하는 단계(S321)와, 상기 판단단계(S321)에서 허용일 경우에는 해당 패킷을 포워딩(forwarding)하는 단계(S322)와, 상기 판단단계(S321)에서 거부일 경우 에는 해당 패킷을 폐기하는 단계(S323)를 더 포함한다.Determining whether or not the correspondence with reference to the security policy table (S320), the step of determining the correspondence (S321), and if the determination step (S321), if it is allowed in the step of forwarding (forwarding) the packet (S322) And, if it is rejected in the determination step (S321) further comprises the step (S323) of discarding the packet.

따라서 이를 살펴보면, So if you look at this,

설정된 가상 경로의 트래픽이 보안 정책에 적합한가를 검사하는 제3 과정(S300)은, 상기 가상 경로 시스템으로 유입되는 패킷에서 프로토콜, 목적지 주소 및 목적지 포트 번호 등을 추출한 후, 상기 보안정책 테이블을 참조하여 대응 여부를 판단한다.The third step (S300) of checking whether the traffic of the established virtual path conforms to the security policy is performed by extracting a protocol, a destination address, a destination port number, etc., from a packet flowing into the virtual path system, and then referring to the security policy table. Determine the response.

그리고 상기 판단 결과, 허용일 경우에는 해당 패킷을 포워딩(forwarding)하고, 상기 판단 결과, 거부일 경우에는 해당 패킷을 폐기하게 되는 것이다.If the result of the determination indicates that the packet is allowed, the packet is forwarded. If the result of the determination indicates that the packet is rejected, the packet is discarded.

도 7은 상기 도 3의 제4 과정(S400)을 상세히 나타낸 제어 흐름도이다.FIG. 7 is a control flowchart illustrating the fourth process S400 of FIG. 3 in detail.

도시된 바와 같이, 상기 제4 과정(S400)은 패킷의 페이로드(payload)를 추출하는 단계(S410)와, 유해/악성 데이터베이스(DB)를 참조하는 단계(S420)와, 상기 패킷의 페이로드(payload)와 유해/악성 데이터베이스(DB)의 일치 여부를 판단하는 단계(S430)와, 상기 판단단계(S430)에서 상기 패킷의 페이로드(payload)와 유해/악성 데이터베이스(DB)가 일치하면 노드 테이블에 동작방법을 변경(차단)하는 단계(S440)와, 상기 판단단계(S430)에서 상기 패킷의 페이로드(payload)와 유해/악성 데이터베이스(DB)가 일치하지 아니하면 해당 패킷을 전송하는 단계(S450)와, 해당 행위에 대한 감사 기록 로그를 작성하는 단계(S460)로 구성된다.As shown, the fourth process (S400) is the step of extracting the payload (payload) of the packet (S410), the step of referring to the malicious / malicious database (DB) (S420), and the payload of the packet (S430) determining whether the payload and the harmful / malignant database (DB) match, and if the payload and the harmful / malignant database (DB) of the packet match in the determination step (S430), the node. Changing (blocking) an operation method to a table (S440); and transmitting the packet if the payload of the packet does not match the malicious / malignant database (DB) in the determination step (S430). (S450), and a step (S460) for creating an audit record log for the action.

이의 동작을 살펴보면, If you look at its behavior,

가상 경로의 트래픽이 유해 트래픽인가를 검사하는 제4 과정(S400)은, 패킷 의 페이로드(payload)를 추출하고, 유해/악성 데이터베이스(DB)를 참조한 후, 상기 패킷의 페이로드(payload)와 유해/악성 데이터베이스(DB)의 일치 여부를 판단한다.The fourth step (S400) of checking whether the traffic of the virtual path is harmful traffic extracts the payload of the packet, refers to the harmful / malignant database, and then checks the payload of the packet. Determine if the harmful / malignant database is consistent.

상기 판단 결과, 상기 패킷의 페이로드(payload)와 유해/악성 데이터베이스(DB)가 일치하면 노드 테이블에 동작방법을 변경(차단)하고, 상기 판단 결과, 상기 패킷의 페이로드(payload)와 유해/악성 데이터베이스(DB)가 일치하지 아니하면 해당 패킷을 전송하는 것이다. 그리고 이의 해당 행위에 대한 검사 기록 로그를 작성한다.As a result of the determination, if the payload of the packet matches the harmful / malignant database (DB), the operation method is changed (blocked) in the node table, and as a result of the determination, the payload and the harmful / If the malicious database does not match, the packet is transmitted. In addition, a test record log of the corresponding action is created.

도 8은 상기 도 3의 제5 과정(S500)을 상세히 나타낸 제어 흐름도이다.FIG. 8 is a control flowchart illustrating the fifth process S500 of FIG. 3 in detail.

도시된 바와 같이, 제5 과정(S500)은 노드 테이블의 동작모드 참조하여 악성 노드를 구분하는 단계(S510)와, 상기 악성 노드로 거짓된 MAC 주소 응답 패킷을 주기적으로 전송하는 단계(S520)와, 상기 악성 노드의 모든 MAC 주소 요청에 대해 거짓된 MAC 주소로 패킷을 발송하는 단계(S530)로 구성된다.As shown, the fifth step (S500) is to identify the malicious node with reference to the operation mode of the node table (S510), and periodically transmitting a false MAC address response packet to the malicious node (S520), Sending a packet to a false MAC address for all MAC address requests of the malicious node (S530).

따라서 이의 동작을 살펴보면, So if you look at its behavior,

가상 경로의 시스템을 네트워크에서 분리하는 제5 과정(S500)은, 노드 테이블의 동작모드 참조하여 악성 노드를 구분하여, 상기 악성 노드로 거짓된 MAC 주소 응답 패킷을 주기적으로 전송한다.In a fifth process S500 of separating the virtual path system from the network, the malicious node is classified by referring to the operation mode of the node table and periodically transmits a false MAC address response packet to the malicious node.

그리고 상기 악성 노드의 모든 MAC 주소 요청에 대해 거짓된 MAC 주소로 패킷을 발송하게 되는 것이다.And for all MAC address requests of the malicious node will send a packet to the false MAC address.

이상에서와 같이 본 발명은 가상의 인라인(In-line) 기술로서, 실제 물리적인 구성은 인라인(in-line) 형태가 아니지만, 통신 당사자들이 보안장비를 경유하여 통신하게끔 함으로써 물리적인 인라인(In-line) 구성에서와 같은 보안 동작을 할 수 있다.As described above, the present invention is a virtual in-line technology, and the actual physical configuration is not in-line, but the physical in-line by allowing communication parties to communicate via security equipment. line) the same security behavior as the configuration.

또한, 본 발명은 네트워크에 보안장비 설치 시, 네트워크 중단 없이 장비를 설치할 수 있게 하며, 장비 장애 시에 종래에 발생하는 네트워크 장애 확산(Single point of failure)이 발생하지 않으며, 인가된 네트워크 장비는 가상의 인라인(in-line) 구성된 장비를 통하지 않고 통신할 수 있게 함으로써 속도 지연 현상을 배제시킨 장점이 있다.In addition, the present invention, when installing the security equipment in the network, it is possible to install the equipment without network interruption, and when the equipment failure does not occur in the conventional network (Single point of failure) occurs, the authorized network equipment is virtual The advantage of eliminating speed lag is that it allows communication without going through in-line configured equipment.

또한, 본 발명은 보안장비를 경유해서 외부로 나가는 트래픽뿐만 아니라 동일 네트워크 내에 있는 단말기 간의 통신 및 트래픽을 제어할 수 있는 이점이 있다.In addition, the present invention has the advantage that can control the communication and traffic between the terminals in the same network as well as outgoing traffic through the security equipment.

또한, 본 발명은 다수의 내부 망에 비인가 시스템의 사용통제 및 이상 트래픽을 발생시키는 시스템을 효과적으로 차단할 수 있는 장점이 있다.In addition, the present invention has the advantage that can effectively block the system that generates the traffic and the use control of unauthorized systems in a plurality of internal networks.

Claims (7)

가상의 인라인 네트워크 보안방법에 있어서,In the virtual inline network security method, 특정 장비가 가상 경로 설정의 적용 대상이 되는지의 여부를 판단하는 제1 과정(S100); A first step (S100) of determining whether a specific device is subject to the application of the virtual path setting; 상기 제1 과정(S100)을 통해 특정장비가 가상 경로 설정대상에 적합하다 판단되면 적용 대상 장비의 가상 경로를 설정하는 제2 과정(S200); A second step (S200) of setting a virtual path of the application target device when it is determined that the specific device is suitable for the virtual path setting target through the first step (S100); 상기 설정된 가상 경로의 트래픽이 보안 정책에 적합한가를 검사하는 제3 과정(S300);A third step (S300) of checking whether the traffic of the set virtual path conforms to a security policy; 상기 가상 경로의 트래픽이 유해 트래픽인가를 검사하는 제4 과정(S400); 및 A fourth step (S400) of checking whether the traffic of the virtual path is harmful traffic; And 상기 가상 경로의 시스템을 네트워크에서 분리하는 제5 과정(S500)을 포함하여 된 것을 특징으로 하는 가상의 인라인 네트워크 보안방법.And a fifth step (S500) of separating the system of the virtual path from the network. 제 1 항에 있어서, The method of claim 1, 상기 제1 과정(S100)은 MAC 요청 패킷을 모니터링 하는 단계(S110)와, 상기 ARP 요청(Request) 패킷의 출발지 주소 및 MAC 주소를 추출하는 단계(S120)와, 상기 추출된 ARP 요청(Request) 패킷의 출발지 주소 및 MAC 주소를 노드 테이블(TABLE)에 추가하는 단계(S130)와, 상기 추출한 노드에 대한 운영체계(OS) 추측(Guessing)하는 단계(S140)로 구성된 것을 특징으로 하는 가상의 인라인 네트워크 보안방법.The first step (S100) comprises the steps of monitoring a MAC request packet (S110), extracting a source address and a MAC address of the ARP Request packet (S120), and the extracted ARP request (Request) Adding a source address and a MAC address of the packet to a node table (TABLE); and a step (S140) of estimating an operating system (OS) for the extracted node (S140). Network security method. 제 1 항에 있어서, The method of claim 1, 상기 제2 과정(S200)은, 노드 테이블의 노드에 동작방법을 설정하는 단계(S210)와, 노드 테이블의 노드에 보안정책을 연결하는 단계(S220)와, 상기 동작방법에 의해 설정된 "가상 경로"노드의 모든 MAC 주소 요청에 대해 가상 경로 시스템의 MAC 주소로 응답하는 단계(S230)로 구성된 것을 특징으로 하는 가상의 인라인 네트워크 보안방법.The second process (S200), the step of setting the operation method to the node of the node table (S210), the step of connecting the security policy to the node of the node table (S220), and the "virtual path set by the operation method; "In response to all the MAC address requests of the node with the MAC address of the virtual path system (S230), characterized in that the virtual inline network security method. 제 1 항에 있어서,The method of claim 1, 상기 제3 과정(S300)은, 상기 가상 경로 시스템으로 유입되는 패킷에서 프로토콜, 목적지 주소 및 목적지 포트 번호 등을 추출하는 단계(S310)와, 보안정책 테이블을 참조하여 대응 여부를 결정하는 단계(S320)로 구성된 것을 특징으로 하는 가상의 인라인 네트워크 보안방법.The third step S300 may include extracting a protocol, a destination address, a destination port number, etc., from a packet flowing into the virtual path system (S310), and determining whether to correspond with reference to a security policy table (S320). Virtual inline network security method, characterized in that consisting of. 제 4 항에 있어서,The method of claim 4, wherein 상기 보안정책 테이블을 참조하여 대응 여부를 결정하는 단계(S320)는, 상기 대응 여부를 판단하는 단계(S321)와, 상기 판단단계(S321)에서 허용일 경우에는 해당 패킷을 포워딩(forwarding)하는 단계(S322)와, 상기 판단단계(S321)에서 거부일 경우에는 해당 패킷을 폐기하는 단계(S323)로 구성된 것을 특징으로 하는 가상의 인라인 네트워크 보안방법.Determining whether or not the correspondence with reference to the security policy table (S320), the step of determining the correspondence (S321), and if the determination step (S321), if it is allowed to forward the packet (forwarding) ( And S322), and discarding the packet (S323) when the determination is made (S321). 제 1 항에 있어서, The method of claim 1, 상기 제4 과정(S400)은 패킷의 페이로드(payload)를 추출하는 단계(S410)와, 유해/악성 데이터베이스(DB)를 참조하는 단계(S420)와, 상기 패킷의 페이로드(payload)와 유해/악성 데이터베이스(DB)의 일치 여부를 판단하는 단계(S430)와, 상기 판단단계(S430)에서 상기 패킷의 페이로드(payload)와 유해/악성 데이터베이스(DB)가 일치하면 노드 테이블에 동작방법을 변경(차단)하는 단계(S440)와, 상기 판단단계(S430)에서 상기 패킷의 페이로드(payload)와 유해/악성 데이터베이스(DB)가 일치하지 아니하면 해당 패킷을 전송하는 단계(S450)와, 해당 행위에 대한 검사 기록 로그를 작성하는 단계(S460)로 구성된 것을 특징으로 하는 가상의 인라인 네트워크 보안방법.The fourth process (S400) comprises the steps of extracting the payload (payload) of the packet (S410), the step of referring to the malicious / malicious database (SDB) (S420), payload (payload) and harmful of the packet Determining whether the malicious database (DB) matches (S430), and if the payload of the packet coincides with the harmful / malignant database (DB) in the determining step (S430), a method of operation is performed in the node table. Changing (blocking) (S440) and transmitting the packet (S450) if the payload of the packet does not match the malicious / malignant database (DB) in the determination step (S430), Virtual in-line network security method comprising the step (S460) of creating a test record log of the action. 제 1 항에 있어서, The method of claim 1, 상기 제5 과정(S500)은 노드 테이블의 동작모드 참조하여 악성 노드를 구분하는 단계(S510)와, 상기 악성 노드로 거짓된 MAC 주소 응답 패킷을 주기적으로 전송하는 단계(S520)와, 상기 악성 노드의 모든 MAC 주소 요청에 대해 거짓된 MAC 주소로 패킷을 발송하는 단계(S530)로 구성된 것을 특징으로 하는 가상의 인라인 네트워크 보안방법.The fifth step (S500) is a step of identifying a malicious node by referring to the operation mode of the node table (S510), periodically transmitting a false MAC address response packet to the malicious node (S520), and And transmitting the packet to the false MAC address for every MAC address request (S530).
KR1020060028732A 2006-03-30 2006-03-30 Security method for Imaginary in-line network KR100765340B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060028732A KR100765340B1 (en) 2006-03-30 2006-03-30 Security method for Imaginary in-line network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060028732A KR100765340B1 (en) 2006-03-30 2006-03-30 Security method for Imaginary in-line network

Publications (2)

Publication Number Publication Date
KR20060035680A true KR20060035680A (en) 2006-04-26
KR100765340B1 KR100765340B1 (en) 2007-10-09

Family

ID=37144137

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060028732A KR100765340B1 (en) 2006-03-30 2006-03-30 Security method for Imaginary in-line network

Country Status (1)

Country Link
KR (1) KR100765340B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8813226B2 (en) 2010-04-28 2014-08-19 Electronics And Telecommunications Research Institute Defense method and device against intelligent bots using masqueraded virtual machine information
KR101502490B1 (en) * 2013-10-18 2015-03-13 주식회사 케이티 Subscibe terminal and security farm node for monitoring network traffic
WO2017078222A1 (en) * 2015-11-03 2017-05-11 Korea Internet & Security Agency System and method for collecting malicious script behavior information based on html5

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101551537B1 (en) * 2013-10-15 2015-09-08 에스2정보 주식회사 Information spill prevention apparatus

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002111732A (en) 2000-10-02 2002-04-12 Nippon Telegr & Teleph Corp <Ntt> Vpn system and vpn setting method
KR20030047958A (en) * 2003-05-28 2003-06-18 이준엽 method and system for Intrusion interception in security network area

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8813226B2 (en) 2010-04-28 2014-08-19 Electronics And Telecommunications Research Institute Defense method and device against intelligent bots using masqueraded virtual machine information
KR101502490B1 (en) * 2013-10-18 2015-03-13 주식회사 케이티 Subscibe terminal and security farm node for monitoring network traffic
US9674142B2 (en) 2013-10-18 2017-06-06 Kt Corporation Monitoring network traffic
WO2017078222A1 (en) * 2015-11-03 2017-05-11 Korea Internet & Security Agency System and method for collecting malicious script behavior information based on html5

Also Published As

Publication number Publication date
KR100765340B1 (en) 2007-10-09

Similar Documents

Publication Publication Date Title
KR100437169B1 (en) Network traffic flow control system
US9118716B2 (en) Computer system, controller and network monitoring method
US20150067764A1 (en) Whitelist-based network switch
EP2512075B1 (en) Method, access equipment and communication system for message processing
CN1855873B (en) Method and system for implementing a high availability vlan
US8959197B2 (en) Intelligent integrated network security device for high-availability applications
EP3823244B1 (en) High availability for network security devices
US7254833B1 (en) Electronic security system and scheme for a communications network
US20040148520A1 (en) Mitigating denial of service attacks
US20070064689A1 (en) Method of controlling communication between devices in a network and apparatus for the same
US20080060067A1 (en) Ip management Method and Apparatus for Protecting/Blocking Specific Ip Address or Specific Device on Network
JP2006339933A (en) Network access control method and system thereof
WO2005036831A1 (en) Frame relay device
CN109510841B (en) Safety isolation gateway of control device and system
US20050207447A1 (en) IP address duplication monitoring device, IP address duplication monitoring method and IP address duplication monitoring program
US20070230370A1 (en) Method for Implementing Multicast in Rapid Spanning Tree Protocol Ring Network
KR101064382B1 (en) Arp attack blocking system in communication network and method thereof
KR100765340B1 (en) Security method for Imaginary in-line network
JP3790486B2 (en) Packet relay device, packet relay system, and story guidance system
US11159533B2 (en) Relay apparatus
KR20180028742A (en) 2-way communication apparatus capable of changing communication mode and method thereof
EP2893674B1 (en) A method of operating a switch or access node in a network and a processing apparatus configured to implement the same
FI120226B (en) Procedure for identifying a terminal equipment
CN110896403A (en) Application firewall architecture
KR20090027050A (en) Apparatus and method for user authentication of network security system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120621

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20131010

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20140721

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20150724

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20180928

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20190930

Year of fee payment: 13