KR20070073293A - 다중 포트를 지원하는 침입 방지 시스템 및 그 침입 방지 방법 - Google Patents

다중 포트를 지원하는 침입 방지 시스템 및 그 침입 방지 방법 Download PDF

Info

Publication number
KR20070073293A
KR20070073293A KR1020060001025A KR20060001025A KR20070073293A KR 20070073293 A KR20070073293 A KR 20070073293A KR 1020060001025 A KR1020060001025 A KR 1020060001025A KR 20060001025 A KR20060001025 A KR 20060001025A KR 20070073293 A KR20070073293 A KR 20070073293A
Authority
KR
South Korea
Prior art keywords
network
port
packet
policy
intrusion prevention
Prior art date
Application number
KR1020060001025A
Other languages
English (en)
Inventor
이상우
유연식
손소라
표승종
Original Assignee
엘지엔시스(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지엔시스(주) filed Critical 엘지엔시스(주)
Priority to KR1020060001025A priority Critical patent/KR20070073293A/ko
Publication of KR20070073293A publication Critical patent/KR20070073293A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

물리적으로 입력되는 포트정보에 관리자가 설정한 정책을 적용하여 수신 패킷에 대한 유해 트래픽 여부를 검사하는 다중 포트 지원 IPS에서의 유연한 보안 정책 적용 장치 및 그 방법이 개시된다. 상기의 보안 정책 적용 장치는 통신 네트워크와, 상기 통신 네트워크에 접속된 백본 스위치와 데이터를 송수신할 수 있는 적어도 하나 이상의 컴퓨터 및 패킷의 정책을 설정하고 관리하는 관리콘솔과, 다수의 네트워크 포트를 가지고 상기 백본 스위치와 상기 컴퓨터 및 관리콘솔의 사이에 투과 모드로 연결되어 두개의 네트워크 포트가 한 쌍을 이루어 하나의 네트워크 세그먼트를 담당하며 상기 관리콘솔의 제어에 의해 상기 다수의 네트워크 포트 각각에 대한 네트워크 포트 구분자 및 정책 구분자 정보를 설정하고, 패킷 수신 시 수신된 패킷에 수신 포트 정보와 적용할 보안정책 구분자 정보를 패딩하며 상기 수신 패킷에 패딩된 정책 구분자 정보를 이용하여 해당보안 정책으로 수신 패킷을 검사하여 유해 트래픽 여부를 검사하는 침입 방지 시스템을 포함하여 구성된다.
침입 방지 시스템, IPS, 유해 트래픽, 보안정책, 네트워크 세그먼트,

Description

다중 포트를 지원하는 침입 방지 시스템에서의 유연한 보안 정책 적용 장치 및 그 방법{APPRATUS FOR OPERATING OF FLEXIBLE SECURITY POLICY IN INTRUSION PREVENTION SYSTEM FOR SUPPORTING MULTI-PORT AND METHOD THEREOF}
도 1은 본 발명의 바람직한 실시 예에 따른 다중 포트를 지원하는 침입 방지 시스템에서의 유연한 정책 적용 장치의 네트워크 구성도.
도 2는 본 발명의 바람직한 실시 예에 따른 포트별 보안정책 정보 데이터 포맷.
도 3은 본 발명의 바람직한 실시 예에 따른 정보 추가 후의 패킷 포맷.
도 4는 본 발명의 바람직한 실시 예에 따른 침입 방지를 위한 패킷 데이터의 처리 흐름도.
도 5는 본 발명의 바람직한 실시 예에 따른 로그 메시지의 포맷.
《도면의 주요부분에 대한 부호의 설명》
10 : 인터넷, 12 : 백본 스위치
14 : 호스트, 16 : 관리 콘솔,
18 : 침입 방지 시스템
본 발명은 침입 방지 시스템(Intrusion Prevention System : 이하 "IPS"라 칭함)에서 유해 트래픽(traffic)을 효과적으로 차단하기 위한 보안 정책 적용 방법에 관한 것으로, 특히 물리적으로 입력되는 포트정보에 관리자가 설정한 정책을 적용하여 패킷에 대한 유해 트래픽 여부를 검사하는 다중 포트 지원 IPS(Multi-port supporting IPS)에서의 유연한 보안 정책 적용 장치 및 그 방법에 관한 것이다.
IPS는 잠재적 위협을 인지한 후 이에 즉각적인 대응을 하기 위한 네트워크 보안 기술 중 예방적 차원의 접근방식에 해당한다. IPS 역시, 침입 탐지 시스템인 IDS(Intrusion Detecting System)와 마찬가지로 네트워크 트래픽을 감시한다. 공격자가 일단 내부의 권한을 획득하고 나면 시스템의 악의적인 이용이 매우 빠르게 진행될 수 있기 때문에, IPS 역시 네트워크 관리자가 설정해 놓은 일련의 규칙에 기반을 두고 즉각적인 행동을 취할 수 있는 능력을 가지고 있어야 한다. 이를 위하여, IPS는 어떤 한 패킷을 검사하여 그것이 부당한 패킷이라고 판단되면, 해당 IP주소 또는 포트에서 들어오는 모든 트래픽을 봉쇄하는 한편, 합법적인 트래픽에 대해서는 아무런 방해나 서비스 지연 없이 수신측에 전달한다.
효과적인 침입 방지 시스템이 되려면 개별 패킷은 물론 트래픽 패턴을 감시하고 대응하는 등보다 복잡한 감시와 분석을 수행할 수 있어야 한다. 탐지 기법으 로는 IP주소 대조, HTTP(Hypertext Transfer Protocol) 스트링과 서브스트링 대조, 일반 패턴 대조, TCP(Transmission Control Protocol) 접속 분석, 변칙적인 패킷 탐지, 비정상적인 트래픽 탐지 및 TCP/UDP(User Datagram Protocol) 포트 대조 등이 있다.
통상적인 IPS는 두개의 포트가 한 쌍(one pair)으로 동작하는 방식으로 하나의 IPS에서 제공되는 포트는 그리 많지 않다. 그러나 한 쌍의 포트를 통과하는 트래픽에 대하여 가상 IDS(virtual IDS) 혹은 가상 IPS라는 이름으로 통과되는 패킷의 헤더정보를 이용하여 미리 구분지어 놓은 네트워크별로 재분류한 다음 해당 네트워크에 적용하도록 설정된 보안정책을 이용하여 패킷을 검사함으로써 네트워크 별로 서로 다른 보안 정책을 적용할 수 있다.
IPS는 두 개의 네트워크 포트를 이용하여 물리적으로 하나의 라인 사이에 설치 연결됨으로써 상기 두개의 네트워크 포트를 통과하는 패킷에 대한 유해 트래픽 여부를 검사한 후 해당 규칙의 결정에 따라 패킷을 처리하게 된다.
네트워크 포트를 통과하는 패킷을 검사함에 있어서는 미리 네트워크별로 서로 다른 보안 정책(policy)이 적용되도록 정의되어 있는 상태이며, 해당 네트워크 포트를 통과하는 패킷의 헤더정보를 이용하여 해당 패킷이 어떤 네트워크에 속하는 것인지를 파악하고, 그에 적합한 보안정책을 이용하여 패킷을 검사한다.
종래에는 상기와 같이 패킷을 하나의 물리적인 라인에서 네트워크별로 가상의 논리적인 라인으로 구분하여 각 논리적인 라인 당 서로 다른 보안정책을 적용할 수 있는 기능을 제공함으로써 보안정책의 유연성을 제공하여 왔다.
그러나 종래의 IPS의 기술은 네트워크 포트를 통과하는 패킷의 헤더정보를 이용하여 네트워크를 구별하므로 하드웨어 기반의 제품일 경우 성능 상 문제가 없지만 대부분의 제품들이 소프트웨어 제품을 감안할 때 등록된 네트워크의 주소가 많을 경우 매 패킷 당 등록된 네트워크 정보와 비교 하여야 하므로 상당한 오버헤드(over head)가 발생한다. 따라서 처리하여야 할 패킷의 개수가 많으면 많을수록 시스템에 걸리는 부하가 늘어나고 성능(throughput) 저하 등의 문제를 초래하게 된다.
따라서 본 발명의 목적은 다중 포트를 지원하는 IPS에서 각 네크워크 세그먼트 별로 서로 다른 정책(policy) 적용이 필요한 환경을 용이하게 구축하여 관리자가 설정한 규칙에 따라 패킷의 정보를 분석하여 패킷을 송수신할 수 있도록 한 다중 포트를 지원하는 IPS에서의 유연한 규칙 적용 장치 및 그 방법을 제공함에 있다.
본 발명의 다른 목적은 웹 브라우저(web browser)를 이용한 웹 콘솔(console) 또는 전용 콘솔을 이용하여 IPS의 네트워크 세그먼트 별로 보안 정책 및 환경설정 등의 정보를 변경하여 로그 검색을 할 수 있도록 한 다중 포트를 지원하는 IPS에서의 유연한 규칙 적용 장치 및 그 방법을 제공함에 있다.
본 발명은 스위치(switch)나 허브(hub) 등과 같은 다른 네트워크 장비들과 비슷하게 여러 포트를 지원하는 IPS에서 패킷 검사(packet filtering)를 함에 있어 물리적으로 입력되는 포트 정보를 이용하여 여러 보안 정책들 중 관리자가 지정한 정책을 상기 포트를 통과하는 데이터에 적용하여 패킷에 대한 유해 트래픽 여부를 검사할 수 있도록 한 다중 포트 지원 IPS에서의 유연한 정책 규칙 적용 장치 및 그 방법을 제공함에 있다.
상기와 같은 목적을 달성하기 위한 본 발명은 통신 네트워크와, 상기 통신 네트워크에 접속된 백본 스위치(backbone switch)와 데이터를 송수신할 수 있는 적어도 하나 이상의 컴퓨터 및 패킷의 정책을 설정하고 관리하는 관리콘솔과, 다수의 네트워크 포트를 가지고 상기 백본 스위치와 상기 컴퓨터 및 관리콘솔의 사이에 투과 모드(transparent mode)로 연결되어 두개의 네트워크 포트가 한 쌍을 이루어 하나의 네트워크 세그먼트를 담당하며 상기 관리콘솔의 제어에 의해 상기 다수의 네트워크 포트 각각에 대한 네트워크 포트 구분자 및 정책 구분자 정보를 설정하고, 패킷 수신 시 수신된 패킷에 수신 포트 정보와 적용할 보안정책 구분자 정보를 패딩(padding)하며 상기 수신 패킷에 패딩된 정책 구분자 정보를 이용하여 해당보안 정책으로 수신 패킷을 검사하여 유해 트래픽 여부를 검사하는 침입 방지 시스템으로 구성함을 특징으로 한다.
상기 침입 방지 시스템은 상기 수신된 패킷이 유해 트래픽인 경우 상기 유해 트래픽의 소스 IP(Source IP), 소스 포트, 목적지(destination) 주소, 목적지 포트, 유해 트래픽 탐지 시간, 해당 패킷이 속하는 IP 상위 프로토콜(TCP,UDP, ICMP), 공격명(attack name) 등의 정보를 포함하는 로그 메시지를 상기 관리콘솔로 전송함을 특징으로 한다.
본 발명의 다른 견지에 따른 다중 포트를 지원하는 칩입 방지 시스템에서의 유연한 정책 적용 방법은 두 개의 네트워크 포트가 한 쌍을 이루어 네트워크 세그먼트를 담당하는 다중 포트 지원 침입 방지 시스템의 유연한 정책 적용 방법에 있어서, 네트워크의 세그먼트 별로 보안 기능을 수행할 수 있도록 물리적인 포트에 대하여 네트워크 포트 구분자 및 어떠한 보안 정책을 적용할 것인지를 결정하는 정책구분자를 설정하는 정책 정보 설정 단계와, 상기 네트워크 포트로 패킷이 수신 시에 응답하여 패킷이 수신된 물리적인 포트 정보를 이용하여 해당 패킷에 네트워크 포트 구분자 및 정책 구분자를 패딩하고 상기 패딩된 정책 구분자를 이용하여 해당 패킷을 검사여 패킷의 전송유무를 결정하는 정책 결정 단계를 구비하여 유입되는 패킷별로 서로 다른 보안 정책을 적용하여 유해 트래픽 여부를 탐지하는 것을 특징으로 한다.
상기 다중 포트를 지원하는 침입 방지 시스템에서의 유연한 정책 적용 방법은 상기 수신된 패킷이 유해 트래픽이라고 판단하는 경우 유해 트래칙의 소스 IP주소, 소스 포트, 목적지 IP주소, 목적지 포트, 유해 트래픽 탐지 시간, 해당 패킷이 속하는 IP 상위 프로토콜(TCP,UDP, ICMP), 공격명 등의 정보를 포함하는 로그 메시지를 생성하는 로그 메시지 생성단계를 더 포함한다.
상기 목적을 달성하기 위한 다른 견지(aspect)에 따른 본 발명은 네트워크에 접속되어 데이터를 송수신하는 백본 스위치(backbone switch)와, 상기 백본 스위치와 호스트 컴퓨터 및 관리콘솔(Management Console)의 사이에 연결되어 두개의 네트워크 포트가 한 쌍을 이루어 한 쌍의 포트가 하나의 네트워크 세그먼트를 담당하 여 그로 수신되는 패킷을 미리 설정된 정책에 따라 검사하여 유해 트래픽을 차단하는 침입 방지 시스템을 구비하여 상기 관리콘솔을 이용하여 상기 네트워크 세그먼트 별로 보안기능을 수행할 수 있도록 다수의 네트워크 포트를 가지는 침입 방지 시스템의 네트워크 포트별 정책구분자를 설정하는 단계와, 상기 침입 방지 시스템으로 패킷이 수신될 때 상기 수신된 패킷에 수신포트의 정보와 해당 포트에 적용할 보안 정책 구분자를 추가하고, 상기 패킷에 패딩(padding)된 보안 정책구분자의 정보를 이용하여 해당 네트워크 포트의 패킷을 검사하여 유해 트래픽 여부를 검사하는 단계와, 상기 검사결과 해당 패킷이 네트워크 포트에 대하여 설정된 보안 정책의 규칙내의 것인 경우 해당 패킷을 한 쌍의 네트워크 포트 중 다른 포트를 통해 목적지로 전송하고, 상기 설정된 보안 정책의 규칙을 벗어난 유해 트래픽인 경우 해당 패킷의 송신을 차단함과 동시에 로그 메시지를 생성 저장하는 정책 결정 단계를 포함하여 이루어짐을 특징으로 한다.
상기 로그 메시지는 상기 탐지된 유해 트래픽의 소스 IP 주소, 소스포트, 목적지 IP 주소, 목적지 포트 및 유해 트래픽 탐지 시간 등의 정보를 포함하는 로그 메시지를 생성하는 로그 메시지 생성단계를 더 포함한다.
위 살핀 바와 같이 네트워크 세그먼트를 별로 보안 기능을 수행할 수 있도록 다수의 네트워크 포트를 가지고 있는 본 발명의 칩입 방지 시스템은 두개의 네트워크 포트가 한 쌍으로 이뤄 하나의 네트워크 세그먼트를 담당하되 각 네트워크 포트마다 네트워크 포트를 구분하는 포트 구분자 및 규칙을 설정하는 정책 구분자를 설정하고, 상기 네트워크 포트로 패킷이 수신 시 네트워크 포트 구분자 및 정책 구분 자를 수신 패킷에 패딩하여 그 정보로서 패킷의 유해 트래픽 여부를 검사함으로써 네트워크 세그먼트별로 서로 다른 규칙을 적용할 수 있어 유연한 규칙 적용이 가능하게 된다.
이하 본 발명의 바람직한 실시예가 도시된 첨부 도면을 참조하여 보다 상세하게 설명된다. 그러나 본 발명은 다수의 상이한 형태로 구현될 수 있고, 기술된 실시 예에 제한되지 않음을 이해하여야 한다. 하기에 설명되는 본 발명의 실시 예는 당업자에게 본 발명의 사상을 충분하게 전달하기 위한 것임에 유의하여야 한다. 또한 본 발명의 요지를 불필요하게 흐릴 수 있는 당 업계의 공지 기능 및 구성에 대한 상세한 설명이 생략됨에 유의하여야 한다.
도 1은 본 발명의 바람직한 실시 예에 따른 다중 포트를 지원하는 침입 방지 시스템에서의 유연한 정책 적용 장치의 네트워크 구성도이다.
도 1을 참조하면, 인터넷(Internet) 또는 광대역 네트워크(Wide area network) 등과 같은 네트워크(10)에는 백본 스위치(backbone switch)(12)가 접속되어 있으며, 상기 백본 스위치(12)에는 다중 포트를 지원하는 IPS(18)이 연결되어 있다.
상기 IPS(18)은 네트워크의 세그먼트별로 보안 기능을 수행할 수 있도록 다수의 네트워크 포트를 가지고 있으며, 두개의 네트워크 포트가 한 쌍을 이루어 한 쌍이 하나의 네트워크 세그먼트를 담당하여 각각의 물리적인 네트워크 포트마다 미 리 설정된 정책(policy)에 따라 해당 네트워크 포트로 수신되는 패킷의 유해 트래픽 여부를 검사한다.
상기와 같은 IPS(18)는 하나의 네트워크 라인 중간이 실시간 모드(Inline mode)로 설치됨으로써 두개의 네트워크 포트가 한 쌍으로 동작되며, 한쪽 네트워크 포트로부터 입력된 패킷은 유해 트래픽 여부를 검사 후 한 쌍을 형성하는 다른 네트워크 포트를 통해 목적지로 송신된다. 이러한 IPS(18)는 데이터 링크 레이어(Layer 2)에서 동작되므로 기존 네트워크의 환경 변화 없이 설치가 가능하다. 따라서 사용자 입장에서는 IPS(18) 자체의 존재 여부를 인식하지 못하게 되여 투과(transparent)한 운영환경을 제공한다.
상기 IPS(18)의 다수의 네트워크 포트 중 백본 스위치(12)의 대향면측의 네트워크 포트에는 데이터를 송수신할 수 있는 적어도 하나 이상의 호스트 컴퓨터(14) 및 상기 IPS(18)의 네트워크 세그먼트로 송수신되는 패킷의 정책을 설정하고 관리하는 관리콘솔(16)이 연결되어 있다.
상기와 같이 구성된 본 발명에 따른 다중 포트를 지원하는 IPS(18)의 유연한 규칙 적용 장치의 IPS(18)는 네트워크 세그먼트가 상이한 내부 호스트(14)들과의 통신 및 내부 호스트(14)들과 네트워크(10)에 연결된 다른 호스트들과의 모든 통신 트래픽에 대하여 실시간 유해 트래픽 여부를 검사하며, 그 결과를 관리 콘솔(16)로 전송하게 된다. 또한 관리콘솔(16)은 IPS(18)에 접속하여 실시간으로 보안 규칙을 생성(정의), 변경 및 적용할 수 있다.
도 2는 본 발명의 바람직한 실시 예에 따른 포트별 보안정책 정보 데이터 포 맷으로, IPS(18)에서 제공하는 각 네트워크 포트에 대하여 어떠한 보안 정책을 적용할 것인지를 관리하기 위한 데이터 구조로서, 각 프레임은 네트워크 구분자(Network port Identifier/Network port number)와 정책 구분자(policy identifier/policy index)로 구성된다. 상기 네트워크 구분자는 IPS(18)에서 제공하는 네트워크 포트들에 대한 구분자로서, 01~31의 값으로 총 32개 포트를 구분할 수 있고, 정책 구분자는 각각의 네트워크 포트들로부터 수신되는 패킷에 대하여 적용할 보안 정책에 대한 구분자이다.
상기 각 네트워크 포트에 대하여 설정된 정책 구분자의 내용은 관리 콘솔(16)을 이용하여 그 내용을 설정하거나 변경할 수 있다.
도 3은 본 발명의 바람직한 실시 예에 따른 정보 추가 후의 패킷 포맷으로, IPS(18)에서 네트워크 포트로 수신된 패킷(packet data)에 대하여 어떤 보안 정책을 적용할 것인지에 대한 정보가 패딩된 후의 패킷 정보에 대한 데이터 구조를 나타낸다. 이때 패킷에 패딩된 정보는 패킷이 수신된 네트워크 포트에 대한 정보와 해당 네트워크 포트(network port number)에 적용할 보안정책 정보(policy index)이다.
네트워크 포트 번호는 IPS(18)에서 제공하는 네트워크 포트들 중에서 어떤 포트로 패킷이 수신되었는지에 대한 정보이며, 보안정책 정보는 해당 패킷이 수신된 포트 정보를 기반으로 도 2의 정보로부터 어떤 보안 정책을 적용해야 할지에 대한 정보이다. 추후 유해 트래픽의 여부를 검사하는 루틴에서는 상기 보안 정책 정보(policy index)를 기반으로 해당 보안정책으로 패킷을 검사하게 된다.
도 4는 본 발명의 바람직한 실시 예에 따른 침입 방지를 위한 패킷 데이터의 처리 흐름도로서, IPS(18)에서 네트워크 포트로 패킷을 수신하여 유해 트래픽 여부를 검사하는 과정을 나타낸 것이다.
도 5는 본 발명의 바람직한 실시 예에 따른 로그 메시지의 포맷으로, IPS(18)에서 유해 트래픽을 탐지시 관리콘솔(16)로 전송하는 로그 메시지이다. 도 5에서 "src ip, src port, dst port"는 소스 IP, 소스 포트, 목적지 IP를 나타내며, "time"은 유해 트래픽이 탐지된 시간, "protocol"은 해당 패킷이 속하는 IP상위 프로토콜(TCP,UDP, ICMP)을 나타내며, "attack name"은 공격 명, "packet data"는 보안규칙의 로그 저장방식이 패킷 전체일 경우 해당되며 패킷의 전체 데이터이다. 패킷의 전체 데이터를 로깅(logging)할 경에는 추후 유해 트래픽의 내용을 분석 시 유용하게 사용될 수 있다.
상기 도 1 내지 도 5를 참조하여 본 발명의 실시예에 따른 다중 포트를 지원하는 IPS에서의 유연한 규칙 적용 방법을 상세하게 설명한다.
도 1과 같이 구성된 네트워크 장치가 동작되면 IPS(18)는 네트워크 세그먼트가 틀진 내부 호스트(14)들과의 통신 및 내부호스트(14)들과 네트워크(10)를 통해 연결된 외부 호스트과의 모든 통신 트래픽에 대하여 실시간 유해 트래픽 여부를 검사한다.
예를 들어, 다중 네트워크 포트 중 내부 호스트(14)가 접속된 네트워크 포트 또는 백본 스위치(12)가 연결된 네트워크 포트로 패킷 데이터가 도 4의 S1과정에서 수신되면, ISP(18)은 S2과정에서 상기 네트워크 포트로 수신된 패킷에 도 2와 같은 수신포트정보와 적용할 보안정책정보를 도 3과 같이 패딩 한다.
이후, 상기 ISP(18)는 S3과정에서 수신된 패킷에 패딩된 정보 중 적용할 보안 정책 정보를 이용하여 해당 보안 정책으로 수신된 패킷 데이터를 검사한 후 유해 트래픽 여부를 검사한다.
상기 S3과정의 검사결과 수신된 패킷이 유해 트래픽이 아닐 경우 상기 IPS(18)는 S4과정에서 수신된 패킷 데이터를 해당 목적지 IP가 접속된 네트워크의 포트로 송신하고, 유해 트래픽일 경우 S5과정에서 수신된 패킷의 전송을 차단한다. 이후, 상기 IPS(18)는 S6과정에서 해당 패킷에 대한 로그 메시지를 도 5와 같이 생성하여 관리콘솔(16)로 전송한다.
이때, 상기 IPS(18)에 접속된 관리콘솔(16)은 상기 IPS(18)로부터 전송된 도 5와 같은 로그 메시지를 분석하여 유해 트래픽에 유연하게 대처할 수 있다.
상술한 바와 같이 본 발명의 실시 예에 따른 다중 포트를 지원하는 침입 방지 시스템에서의 유연한 정책 적용 장치는 IPS의 네트워크 포트를 기준으로 보안 정책을 서로 다르게 적용함으로써 패킷 헤더의 주소를 이용하는 방법과 비교하여 성능(throughput)측면에서 상당한 효과를 얻을 수 있고, 해당 네트워크 포트별 서로 다른 보안 정책을 적용 운영함으로써 네트워크를 보다 융통성 있게 관리할 수 있다.

Claims (6)

  1. 다중 포트를 지원하는 침입 방지 시스템에서의 유연한 정책 적용 장치에 있어서,
    네트워크와,
    상기 통신 네트워크에 접속된 백본 스위치와,
    데이터를 송수신할 수 있는 적어도 하나 이상의 컴퓨터 및 네트워크의 보안정책을 설정하고 관리하는 관리콘솔과,
    다수의 네트워크 포트를 가지고 상기 백본 스위치와 상기 컴퓨터 및 관리콘솔의 사이에 투과 모드로 연결되어 두개의 네트워크 포트가 한 쌍을 이루어 하나의 네트워크 세그먼트를 담당하며 상기 관리콘솔의 제어에 의해 상기 다수의 네트워크 포트 각각에 대한 네트워크 포트 구분자 및 정책 구분자 정보를 설정하고, 패킷 수신 시 수신된 패킷에 수신 포트 정보와 그에 대응하여 미리 설정된 보안정책 구분자 정보를 패딩하며 상기 수신 패킷에 패딩된 정책 구분자 정보를 이용하여 해당보안 정책으로 수신 패킷을 검사하여 유해 트래픽 여부를 검사하는 침입 방지 시스템으로 구성함을 특징으로 한다.
  2. 청구항 1에 있어서, 상기 침입 방지 시스템은 상기 수신된 패킷이 유해 트래픽인 경우 상기 유해 트래픽의 소스 IP, 소스 포트, 목적지 IP주소, 목적지 포트, 유해 트래픽 탐지 시간, 해당 패킷이 속하는 IP 상위 프로토콜, 공격명 등의 정보를 포함하는 로그 메시지를 상기 관리콘솔로 전송함을 특징으로 하는 다중 포트를 지원하는 침입 방지 시스템에서의 유연한 정책 적용 장치.
  3. 본 발명의 다른 견지에 따른 다중 포트를 지원하는 칩입 방지 시스템에서의 유연한 정책 적용 방법은 두 개의 네트워크 포트가 한 쌍을 이루어 네트워크 세그먼트를 담당하는 다중 포트 지원 침입 방지 시스템의 유연한 정책 적용 방법에 있어서,
    네트워크의 세그먼트 별로 보안 기능을 수행할 수 있도록 물리적인 포트에 대하여 네트워크 포트 구분자 및 어떠한 보안 정책을 적용할 것인지를 결정하는 정책구분자를 설정하는 정책 정보 설정 단계와,
    상기 네트워크 포트로 패킷이 수신 시에 응답하여 패킷이 수신된 물리적인 포트 정보를 이용하여 해당 패킷에 네트워크 포트에 대한 네트워크 포트 구분자 및 정책 구분자를 패딩하고 상기 패딩된 정책 구분자를 이용하여 해당 패킷을 검사여 패킷의 전송유무를 결정하는 정책 결정 단계를 구비하여 유입되는 패킷별로 서로 다른 보안 정책을 적용하여 유해 트래픽 여부를 탐지하는 유해 트래픽 검사 단계로 이우어짐을 특징으로 하는 다중 포트를 지원하는 침입 방지 시스템에서의 유연한 정책 적용 방법.
  4. 청구항 3에 있어서, 상기 유해 트래픽 검사 단계는 상기 수신된 패킷이 유해 트래픽이라고 판단하는 경우 유해 트래칙의 소스 IP주소, 소스 포트, 목적지 IP주소, 목적지 포트, 유해 트래픽 탐지 시간, 해당 패킷이 속하는 IP 상위 프로토콜, 공격명 등의 정보를 포함하는 로그 메시지를 생성하는 로그 메시지 생성단계를 더 포함함을 특징으로 하는 다중 포트를 지원하는 침입 방지 시스템에서의 유연한 정책 적용 방법.
  5. 네트워크에 접속되어 데이터를 송수신하는 백본 스위치와, 상기 백본 스위치와 호스트 컴퓨터 및 관리콘솔의 사이에 연결되어 두개의 네트워크 포트가 한 쌍을 이루어 한 쌍의 포트가 하나의 네트워크 세그먼트를 담당하여 그로 수신되는 패킷을 미리 설정된 정책에 따라 검사하여 유해 트래픽을 차단하는 침입 방지 시스템을 구비한 다중 포트를 지원하는 침입 방지 시스템에서의 유연한 정책 적용 방법에 있어서,
    상기 관리콘솔을 이용하여 상기 네트워크 세그먼트 별로 보안기능을 수행할 수 있도록 다수의 네트워크 포트를 가지는 침입 방지 시스템의 네트워크 포트별 정책구분자를 설정하는 단계와,
    상기 침입 방지 시스템으로 패킷이 수신될 때 상기 수신된 패킷에 수신포트의 정보와 해당 포트에 적용할 보안 정책 구분자를 추가하고, 상기 패킷에 패딩된 보안 정책구분자의 정보를 이용하여 해당 네트워크 포트의 패킷을 검사하여 유해 트래픽 여부를 검사하는 단계와,
    상기 검사결과 해당 패킷이 네트워크 포트에 대하여 설정된 보안 정책의 규칙내의 것인 경우 해당 패킷을 한 쌍의 네트워크 포트 중 다른 포트를 통해 목적지로 전송하고, 상기 설정된 보안 정책의 규칙을 벗어난 유해 트래픽인 경우 해당 패킷의 송신을 차단함과 동시에 로그 메시지를 생성 저장하는 정책 결정 단계를 포함하여 이루어짐을 특징으로 다중 포트를 지원하는 침입 방지 시스템에서의 유연한 정책 적용 방법.
  6. 청구항 5에 있어서, 상기 로그 메시지는 상기 탐지된 유해 트래픽의 소스 IP 주소, 소스포트, 목적지 IP 주소, 목적지 포트 및 유해 트래픽 탐지 시간 등의 정보를 포함하는 로그 메시지를 생성하여 상기 관리콘솔로 전송하는 로그 메시지 생성단계를 더 포함함을 특징으로 하는 다중 포트를 지원하는 침입 방지 시스템에서의 유연한 정책 적용 방법.
KR1020060001025A 2006-01-04 2006-01-04 다중 포트를 지원하는 침입 방지 시스템 및 그 침입 방지 방법 KR20070073293A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060001025A KR20070073293A (ko) 2006-01-04 2006-01-04 다중 포트를 지원하는 침입 방지 시스템 및 그 침입 방지 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060001025A KR20070073293A (ko) 2006-01-04 2006-01-04 다중 포트를 지원하는 침입 방지 시스템 및 그 침입 방지 방법

Publications (1)

Publication Number Publication Date
KR20070073293A true KR20070073293A (ko) 2007-07-10

Family

ID=38507918

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060001025A KR20070073293A (ko) 2006-01-04 2006-01-04 다중 포트를 지원하는 침입 방지 시스템 및 그 침입 방지 방법

Country Status (1)

Country Link
KR (1) KR20070073293A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9369434B2 (en) 2013-09-03 2016-06-14 Electronics And Telecommunications Research Institute Whitelist-based network switch
CN115225340A (zh) * 2022-06-28 2022-10-21 杭州安恒信息技术股份有限公司 一种网站自动防护方法、装置、设备及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9369434B2 (en) 2013-09-03 2016-06-14 Electronics And Telecommunications Research Institute Whitelist-based network switch
CN115225340A (zh) * 2022-06-28 2022-10-21 杭州安恒信息技术股份有限公司 一种网站自动防护方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
Alsmadi et al. Security of software defined networks: A survey
EP2555486B1 (en) Multi-method gateway-based network security systems and methods
EP1817685B1 (en) Intrusion detection in a data center environment
US7234168B2 (en) Hierarchy-based method and apparatus for detecting attacks on a computer system
WO2015129934A1 (ko) 명령제어채널 탐지장치 및 방법
KR20130068631A (ko) 고속 패킷 처리를 위한 네트워크 프로세서 기반 2단계 침입탐지장치 및 방법
Manna et al. Review of syn-flooding attack detection mechanism
Neu et al. Lightweight IPS for port scan in OpenFlow SDN networks
JP4259183B2 (ja) 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法
Unal et al. Towards prediction of security attacks on software defined networks: A big data analytic approach
EP1754348B1 (en) Using address ranges to detect malicious activity
CN100380336C (zh) 用于过滤和分析基于分组的通信流量的方法和装置
JP3790486B2 (ja) パケット中継装置、パケット中継システムおよびオトリ誘導システム
KR20070073293A (ko) 다중 포트를 지원하는 침입 방지 시스템 및 그 침입 방지 방법
Praptodiyono et al. Development of hybrid intrusion detection system based on Suricata with pfSense method for high reduction of DDoS attacks on IPv6 networks.
JP2009005122A (ja) 不正アクセス検知装置、セキュリティ管理装置およびこれを用いた不正アクセス検知システム
KR100983549B1 (ko) 클라이언트 ddos 방어 시스템 및 그 방법
KR100862321B1 (ko) 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치
GB2586044A (en) Intrusion protection
KR101177704B1 (ko) 유해 url 차단 방법, 장치, 및 컴퓨터 판독 가능한 기록 매체
US20190379693A1 (en) Detecting a Remote Exploitation Attack
Line et al. Penetration testing of OPC as part of process control systems
Aleem et al. A review of the security architecture for SDN in light of its security issues
KR20030087583A (ko) 개인용 컴퓨터의 침입탐지시스템
KR100471636B1 (ko) 브리지방식을 이용한 네트워크상의 패킷처리시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
N231 Notification of change of applicant
NORF Unpaid initial registration fee