KR20090044177A - 블랙리스트 기반의 침입 관리 시스템 및 방법 - Google Patents

블랙리스트 기반의 침입 관리 시스템 및 방법 Download PDF

Info

Publication number
KR20090044177A
KR20090044177A KR1020070110143A KR20070110143A KR20090044177A KR 20090044177 A KR20090044177 A KR 20090044177A KR 1020070110143 A KR1020070110143 A KR 1020070110143A KR 20070110143 A KR20070110143 A KR 20070110143A KR 20090044177 A KR20090044177 A KR 20090044177A
Authority
KR
South Korea
Prior art keywords
blacklist
black list
management system
packets per
based intrusion
Prior art date
Application number
KR1020070110143A
Other languages
English (en)
Inventor
홍기환
Original Assignee
주식회사 다산네트웍스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 다산네트웍스 filed Critical 주식회사 다산네트웍스
Priority to KR1020070110143A priority Critical patent/KR20090044177A/ko
Publication of KR20090044177A publication Critical patent/KR20090044177A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 블랙리스트 기반의 침입 관리 시스템 및 방법에 관한 것으로, 다수의 제1장치와 통신하는 제2장치가 각 제1장치들로부터 수신되는 소정 시간당 패킷수를 검사하여, 소정 시간당 패킷수가 임계치(Threshold)를 넘는다 판단된 제1장치를 블랙리스트(BL : Black List)에 포함시켜 관리하도록 구현하여 네트워크 공격(Attack)에 대해 효율적으로 대처할 수 있도록 한 것이다.
침입 관리, 공격(Attack), 초당 패킷수(PPS), 블랙리스, 체크리스트

Description

블랙리스트 기반의 침입 관리 시스템 및 방법{Attack management system and method using Black List}
본 발명은 블랙리스트 기반의 침입 관리 시스템 및 방법에 관한 것으로, 특히 네트워크 트래픽(Traffic) 관리 기술에 관련한 것이다.
인바운드(Inbound)되는 패킷(Packet)들은 네트워크 장치를 통해 백로그 큐(Backlog Queue)에 쌓여 차례대로 패킷들이 처리되게 된다. 그런데, 네트워크 공격(Attack)에 의해 또는 정상적이지만 많은 트래픽(Traffic)이 올라올 경우에는 해당 패킷뿐만 아니라 다른 패킷들을 처리하는데 장애가 발생하게 된다.
네트워크 공격에 의한 불필요한 패킷 핸들링(Packet Handling)은 해당 장비의 CPU 자원을 낭비하는 원인이 되며, 다른 서비스 제공에 문제를 가져오는 원인이 되기 때문에, 종래의 경우 CFGD(Cpu Flooding Guard Detection) 또는 MFGD(MAC Flooding Guard Detection) 기능을 이용해 패킷의 초당 패킷수(PPS : Packet Per Second)가 특정치 이상일 경우, 해당 패킷이 올라오는 포트(Port)를 차단하거나, 소스 맥(Source MAC)에 필터(Filter)를 걸어 CPU를 보호했다.
CFGD 또는 MFGD 기능은 개별 논리 포트(Logical Port)별로 동작할 수 있다. 개별 로직 포트별로 설정을 저장하고, 이 후 수신되는 패킷이 CFGD 또는 MFGD 정책(Policy)과 일치하는지 검사한다. 이 때, 초당 패킷수(PPS) 보다 많은 패킷이 CPU로 올라온다면, 해당 포트 또는 소스 맥을 차단(Block)하고, 일정 시간 후 주기적으로 차단된 포트 또는 소스 맥들을 검사하여 차단 해제 여부를 결정한다.
그러나, 이러한 종래의 방법은 단순히 초당 패킷수 판별에 의한 무조건적인 차단 방식이므로, 정상적인 패킷이지만 단순히 많은 트래픽이 올라오는 경우에도 차단되게 된다. 그리고, 일정 시간이 지나 차단이 해제된 포트로 올라오는 패킷에 대해 다시 위의 CFGD 또는 MFGD 기능을 이용해 초당 패킷수(PPS) 판별을 계속 반복하기 때문에 지속적인 네트워크 공격(Attack)이 있을 경우, 결국 CPU 부하(Load)를 높이는 이유가 되었다.
따라서, 본 발명자는 소정 시간당 패킷수가 임계치(Threshold)를 넘는다 판단된 경우, 블랙리스트(BL : Black List)를 통해 관리함으로써 네트워크 공격(Attack)에 대해 효율적으로 대처할 수 있으며, 더 나아가 네트워크 공격인지 또는 정상적이지만 단순히 많은 트래픽인지에 따라 구분하여 관리함으로써 네트워크 공격(Attack)에 대해 보다 효율적으로 대처할 수 있는 기술에 대한 연구를 하게 되었다.
본 발명은 상기한 취지하에 발명된 것으로, 소정 시간당 패킷수가 임계치(Threshold)를 넘는다 판단된 장치를 블랙리스트(BL : Black List)에 포함시켜 관리함으로써 네트워크 공격(Attack)에 대해 효율적으로 대처할 수 있는 블랙리스트 기반의 침입 관리 시스템 및 방법을 제공함을 그 목적으로 한다.
본 발명의 또 다른 목적은 특정 시간 경과할 경우, 블랙리스트에 포함된 장치를 블랙리스트로부터 제외시키고 체크리스트(CL : Check List)에 포함시켜 관리함으로써 보다 효율적으로 네트워크 공격(Attack)에 대처할 수 있는 블랙리스트 기반의 침입 관리 시스템 및 방법을 제공하는 것이다.
상기한 목적을 달성하기 위한 본 발명의 일 양상에 따르면, 본 발명은 다수의 제1장치와 통신하는 제2장치가 각 제1장치들로부터 수신되는 소정 시간당 패킷수를 검사하여, 소정 시간당 패킷수가 임계치(Threshold)를 넘는다 판단된 제1장치를 블랙리스트(BL : Black List)에 포함시켜 관리하는 것을 특징으로 한다.
본 발명의 부가적인 양상에 따르면, 본 발명은 제2장치가 특정 시간 경과할 경우, 제1장치를 블랙리스트(BL)에서 제외시키고, 체크리스트(CL : Check List)에 포함시켜 관리하는 것을 특징으로 한다.
본 발명은 소정 시간당 패킷수가 임계치(Threshold)를 넘는다 판단된 장치를 블랙리스트(BL : Black List)를 통해 관리함으로써 네트워크 공격(Attack)에 대해 효율적으로 대처할 수 있으며, 더 나아가 네트워크 공격인지 또는 정상적이지만 단순히 많은 트래픽인지에 따라 구분하여 관리함으로써 네트워크 공격(Attack)에 대해 보다 효율적으로 대처할 수 있는 유용한 효과를 가진다.
이하, 첨부된 도면을 참조하여 기술되는 바람직한 실시예를 통하여 본 발명을 당업자가 용이하게 이해하고 재현할 수 있도록 상세히 기술하기로 한다.
도 1 은 본 발명에 따른 블랙리스트 기반의 침입 관리 시스템의 블랙리스트 관리 개요도이다. 본 발명에 따른 블랙리스트 기반의 침입 관리 시스템은 다수의 제1장치와 통신하는 제2장치에서 시행되는 소프트웨어 또는 하드웨어 또는 이들이 결합된 형태로 존재할 수 있다.
예컨대, 상기 다수의 제1장치는 수동형 광 네트워크(PON : Passive Optical Network) 시스템의 다수의 광망 종단장치(ONU : Optical Network Unit)일 수 있으며, 상기 제2장치는 상기 각 광망 종단장치(ONU)에게 선로를 할당하는 것을 포함하는 각 광망 종단장치(ONU)의 등록 및 해제를 수행하는 광 회선 단말장치(OLT : Optical Line Termination)일 수 있다.
도면에 도시한 바와 같이, 본 발명에 따른 블랙리스트 기반의 침입 관리 시스템은 제2장치로 수신되는 패킷(Packet)의 소정 시간당 패킷수를 검사하여 소정 시간당 패킷수가 임계치(Threshold) 이하인 제1장치의 경우에는 정상(Normal) 상태라 판단하고, 임계치를 넘는 제1장치의 경우에는 이상 상태라 판단하여 블랙리스 트(BL : Black List)에 포함시켜 관리한다.
그리고, 블랙리스트로 관리하는 제1장치들중 특정 시간이 지난 제1장치를 체크리스트(CL :Check List)에 포함시켜 관리한다. 이 때, 체크리스트(CL)에 포함되는 제1장치로부터 수신되는 패킷의 소정 시간당 패킷수를 검사하여 소정 시간당 패킷수가 임계치(Threshold) 이하인 제1장치의 경우에는 정상(Normal) 상태라 판단하여 체크리스트(CL)로부터 제외시키고, 여전히 임계치를 넘는 제1장치의 경우에는 블랙리스트(BL : Black List)에 재포함시켜 관리한다. 이 때, 상기 소정 시간당 패킷수는 초당 패킷수(PPS : Packet Per Second)일 수 있다.
도 2 는 본 발명에 따른 블랙리스트 기반의 침입 관리 시스템의 일 실시예에 따른 블럭도이다. 도면에 도시한 바와 같이, 이 실시예에 따른 블랙리스트 기반의 침입 관리 시스템(100)은 패킷 검사부(110)와, 블랙리스트 관리부(120)를 포함하여 이루어진다.
상기 패킷 검사부(110)는 각 제1장치들로부터 수신되는 소정 시간당 패킷수를 검사한다. 상기 블랙리스트 관리부(120)는 상기 패킷 검사부(110)에 의해 소정 시간당 패킷수가 임계치(Threshold)를 넘는다 판단된 제1장치를 블랙리스트(BL : Black List)에 포함시켜 관리한다. 예컨대, 상기 소정 시간당 패킷수가 초당 패킷수(PPS : Packet Per Second)일 수 있다.
이 때, 상기 블랙리스트 관리부(120)가 블랙리스트(BL)에 포함된 제1장치들 중 정상이라 판단된 제1장치는 블랙리스트에서 제외시켜 정상 상태로 변경하고, 블랙리스트(BL)에 포함된 제1장치들 중 비정상이라 판단된 제1장치의 동작은 제한하 는 것이 바람직하다. 상기 정상 또는 비정상 여부 판단은 예컨대, 블랙리스트(BL)에 포함된 제1장치들의 트래픽(Traffic) 성향을 저장된 트래픽 패턴(Traffic Pattern)과 비교하여 정상 또는 비정상 여부를 판단할 수 있다.
상기 트래픽 패턴은 샘플링 과정(Sampling Process)을 통해 미리 주기적으로 Tx/Rx 트래픽 통계(Traffic Statistics) 정보를 분석하여 프로토콜(Protocol)별, 시간별, 장치별 트래픽의 평균(Average)을 계산하여 일상적인 트래픽 분포를 학습하여 저장함에 얻어질 수 있다.
한편, 상기 제1장치의 동작 제한은 다음과 같이 여러 모드가 가능하다. 예컨대, 제어 패킷만 수신되도록 대역폭을 최소로 제한함에 의해 제1장치의 동작을 제한(제1모드)할 수 있다. 만일, 제1장치가 광망 종단장치(ONU)라면, 제2장치인 광 회선 단말장치(OLT)가 MPCP(Multi-Point Control Protocol)를 이용해 SLA(Service Level Agreement)를 전송하여 대역폭(Bandwidth)을 제어 패킷인 MPCP만 주고받을 수 있도록 최소로 할당함으로써 광망 종단장치(ONU)의 동작을 제한할 수 있다.
이와는 달리, 데이터 트래픽 전송이 가능할 정도로 대역폭을 제한함에 의해 제1장치의 동작을 제한(제2모드)할 수도 있다. 한편, 해당 제1장치의 MAC 개수를 제한함에 의해 제1장치의 동작을 제한(제3모드)할 수도 있다. 이와는 달리, 사용자(User)측과 연결되는 해당 제1장치의 포트를 차단시켜 트래픽 전송이 불가능하도록 함에 의해 제1장치의 동작을 제한(제4모드)할 수도 있다. 또한, 침입 형태(Attack Type)별로 가상랜(VLAN : Virtual LAN)을 설정하여 침입 형태(Attack Type)별로 패킷이 처리되도록 함에 의해 제1장치의 동작을 제한(제5모드)할 수도 있다.
따라서, 위와 같이함에 의해 본 발명에 따른 블랙리스트 기반의 침입 관리 시스템은 소정 시간당 패킷수가 임계치(Threshold)를 넘는다 판단된 장치를 블랙리스트(BL : Black List)를 통해 효율적으로 관리할 수 있으며, 더 나아가 네트워크 공격인지 또는 정상적이지만 단순히 많은 트래픽인지에 따라 구분하여 관리함으로써 네트워크 공격(Attack)에 대해 보다 효율적으로 대처할 수 있게 되어 상기에서 제시한 본 발명의 목적을 달성할 수 있게 된다.
도 3 은 본 발명에 따른 블랙리스트 기반의 침입 관리 시스템의 블랙리스트 관리를 위한 블랙리스트 엔트리(Black List Entry) 구성을 도시한 도면이다. 도면에 도시한 바와 같이 블랙리스트 엔트리(Black List Entry) 정보에는 블랙리스트 엔트리 식별을 위한 고유의 블랙리스트 엔트리 번호(Entry Number)가 포함된다.
또한, 블랙리스트 엔트리(Black List Entry) 정보에는 제1장치 ID, 제1장치 MAC 주소, 제1장치 LLID(Logical Link IDentifier) 및 제2장치 ID를 포함하는 장치식별정보가 포함된다.
또한, 블랙리스트 엔트리(Black List Entry) 정보에는 서비스 거부(DoS : Denial-of-Service), 스푸핑(Spoofing) 등의 공격 형태(Attack Type), 공격 시간(Attack Time) 등의 침입정보가 포함된다.
또한, 블랙리스트 엔트리(Black List Entry) 정보에는 동작 제한 설정이 있는 프로파일명(Profile Name), 정상 상태일 때의 제1장치 프로파일명 등의 동작제한정보가 포함된다.
한편, 부가적으로 블랙리스트 엔트리(Black List Entry) 정보에는 블랙리스트에서 제외되어 체크 리스트로 포함시키기 위한 종료 시간(Expire Time) 정보를 더 포함할 수 있다.
이 외에도, 블랙리스트 엔트리(Black List Entry) 정보에는 사용자 MAC 주소, 사용자 IP 주소 등의 가입자 정보(Subscriber Information)나 플래그(Flag) 비트 등이 더 포함될 수도 있다.
한편, 본 발명의 부가적인 양상에 따르면, 상기 블랙리스트 관리부(120)가 동작 제한 시점으로부터 특정 시간 즉, 종료 시간(Expire Time)이 경과할 경우, 동작 제한된 제1장치를 블랙리스트(BL)에서 제외시키고, 체크리스트(CL : Check List)에 포함시켜 관리할 수 있다.
이 때, 상기 블랙리스트 관리부(120)가 상기 패킷 검사부(110)를 통해 상기 체크리스트(CL)에 포함된 제1장치의 소정 시간당 패킷수가 여전히 임계치(Threshold)를 넘는지 판단하여 넘을 경우에는 다시 블랙리스트(BL)에 편입시키고, 해당 제1장치의 소정 시간당 패킷수가 임계치(Threshold) 이하로 떨어진 경우, 해당 제1장치를 체크리스트(CL)에서 제외시켜 정상 상태로 변경한다. 예컨대, 상기 소정 시간당 패킷수는 초당 패킷수(PPS : Packet Per Second)일 수 있다.
즉, 이 실시예는 블랙리스트(BL)로 관리되는 장치들을 일정시간 후, 블랙리스트에서 삭제시키고, 체크리스트(CL)에 포함시켜 계속 비정상 상태인지 아니면 정상 상태로 복귀되었는지 여부를 판단하고, 여전히 비정상 상태일 경우에는 블랙리스트(BL)에 재편입시키고, 정상 상태로 복귀된 경우에는 체크리스트에서 제외함으 로써 네트워크 공격(Attack)에 대해 보다 효율적으로 대처할 수 있게 한 실시예이다. 상기 체크리스트 엔트리(Check List Entry) 구성 역시 상기 설명한 블랙리스트 엔트리 구성과 동일하다. 단지 블랙리스트라 표현된 부분을 체크리스트로 변경하면 된다.
상기한 바와 같은 구성을 갖는 본 발명에 따른 블랙리스트 기반의 침입 관리 시스템의 블랙리스트 관리 절차를 도 4 를 참조하여 알아본다. 도 4 는 본 발명에 따른 블랙리스트 기반의 침입 관리 방법의 일 실시예에 따른 흐름도이다.
다수의 제1장치와 통신하는 제2장치로 패킷이 수신되면, 먼저, 단계 S110 에서 제2장치가 제1장치로부터 수신되는 패킷의 소정 시간당 패킷수를 검사한다.
그 다음, 단계 S120 에서 제2장치가 상기 단계 S110 에 의해 검사된 제1장치의 소정 시간당 패킷수를 임계치(Threshold)와 비교한다.
만일, 상기 단계 S120 에 의한 비교 결과, 제1장치의 소정 시간당 패킷수가 임계치(Threshold) 이하일 경우에는 정상 상태로 판단하고, 제1장치의 소정 시간당 패킷수가 임계치(Threshold)를 넘는다 판단된 경우, 단계 S130 에서 제2장치가 해당 제1장치를 블랙리스트(BL : Black List)에 포함시켜 관리한다. 예컨대, 상기 소정 시간당 패킷수는 초당 패킷수(PPS : Packet Per Second)일 수 있다.
이 때, 상기 단계 S130 가 블랙리스트(BL)에 포함된 제1장치의 정상 또는 비정상 상태 여부를 판단하는 단계(S131)와, 정상 상태라 판단된 경우에는 블랙리스트로부터 해당 제1장치를 제외시키고, 비정상 상태라 판단된 경우에는 해당 제1장치의 동작을 제한하는 단계(S132)를 포함한다. 이 때, 상기 정상 또는 비정상 여부 판단은 위에서 이미 설명했으므로, 중복 설명은 생략하고자 한다. 한편, 상기 제1장치의 동작 제한에 관련해서도 위에서 이미 설명했으므로, 이 역시 중복 설명은 생략하고자 한다.
따라서, 위와 같이함에 의해 본 발명은 소정 시간당 패킷수가 임계치(Threshold)를 넘는다 판단된 장치를 블랙리스트(BL : Black List)를 통해 효율적으로 관리할 수 있으며, 더 나아가 네트워크 공격인지 또는 정상적이지만 단순히 많은 트래픽인지에 따라 구분하여 관리함으로써 네트워크 공격(Attack)에 대해 보다 효율적으로 대처할 수 있게 되어 상기에서 제시한 본 발명의 목적을 달성할 수 있게 된다.
한편, 동작 제한 시점으로부터 특정 시간 즉, 종료 시간(Expire Time)이 경과할 경우, 동작 제한된 제1장치를 블랙리스트(BL)에서 제외시키고, 체크리스트(CL)에 포함시켜 관리하되, 해당 제1장치가 계속 비정상 상태인지 아니면 정상 상태로 복귀되었는지 여부를 판단하여, 여전히 비정상 상태일 경우에는 블랙리스트(BL)에 재편입 시키고, 정상 상태로 복귀된 경우에는 체크리스트에서 제외하는 것에 관련해서도 위에서 이미 설명했으므로, 이 역시 중복 설명은 생략하고자 한다.
본 발명은 첨부된 도면에 의해 참조되는 바람직한 실시예를 중심으로 기술되었지만, 이러한 기재로부터 후술하는 특허청구범위에 의해 포괄되는 범위 내에서 본 발명의 범주를 벗어남이 없이 다양한 변형이 가능하다는 것은 명백하다.
본 발명은 네트워크 트래픽(Traffic) 관리 분야 또는 네트워크 공격에 대한 대응 분야 및 이의 응용 분야에서 산업상으로 이용 가능하다.
도 1 은 본 발명에 따른 블랙리스트 기반의 침입 관리 시스템의 블랙리스트 관리 개요도
도 2 는 본 발명에 따른 블랙리스트 기반의 침입 관리 시스템의 일 실시예에 따른 블럭도
도 3 은 블랙리스트 엔트리 구성을 도시한 도면
도 4 는 본 발명에 따른 블랙리스트 기반의 침입 관리 방법의 일 실시예에 따른 흐름도
<도면의 주요 부분에 대한 부호의 설명>
100 : 침입 관리 시스템 110 : 패킷 검사부
130 : 블랙리스트 관리부

Claims (10)

  1. 다수의 제1장치와 통신하는 제2장치의 침입 관리 시스템에 있어서,
    상기 각 제1장치들로부터 수신되는 소정 시간당 패킷수를 검사하는 패킷 검사부와;
    상기 패킷 검사부에 의해 소정 시간당 패킷수가 임계치(Threshold)를 넘는다 판단된 제1장치를 블랙리스트(BL : Black List)에 포함시켜 관리하는 블랙리스트 관리부를;
    포함하여 이루어지는 것을 특징으로 하는 블랙리스트 기반의 침입 관리 시스템.
  2. 제 1 항에 있어서,
    상기 블랙리스트 관리부가:
    블랙리스트(BL)에 포함된 제1장치들 중 비정상이라 판단된 제1장치의 동작을 제한하는 것을 특징으로 하는 블랙리스트 기반의 침입 관리 시스템.
  3. 제 2 항에 있어서,
    상기 블랙리스트 관리부가:
    블랙리스트(BL)에 포함된 제1장치들의 트래픽(Traffic) 성향을 저장된 트래픽 패턴과 비교하여 비정상 여부를 판단하는 것을 특징으로 하는 블랙리스트 기반 의 침입 관리 시스템.
  4. 제 2 항에 있어서,
    상기 블랙리스트 관리부가:
    동작 제한 시점으로부터 특정 시간 경과할 경우, 동작 제한된 제1장치를 블랙리스트(BL)에서 제외시키고, 체크리스트(CL : Check List)에 포함시켜 관리하는 것을 특징으로 하는 블랙리스트 기반의 침입 관리 시스템.
  5. 제 4 항에 있어서,
    상기 블랙리스트 관리부가:
    상기 패킷 검사부를 통해 상기 체크리스트(CL)에 포함된 제1장치의 소정 시간당 패킷수가 여전히 임계치(Threshold)를 넘는지 판단하여 넘을 경우, 다시 블랙리스트(BL)에 편입시키는 것을 특징으로 하는 블랙리스트 기반의 침입 관리 시스템.
  6. 제 5 항에 있어서,
    상기 블랙리스트 관리부가:
    해당 제1장치의 소정 시간당 패킷수가 임계치(Threshold) 이하로 떨어진 경우, 해당 제1장치를 체크리스트(CL)에서 제외시켜 정상 상태로 변경하는 것을 특징으로 하는 블랙리스트 기반의 침입 관리 시스템.
  7. 제 1 항에 있어서,
    상기 블랙리스트 관리부가:
    블랙리스트(BL)에 포함된 제1장치들 중 정상이라 판단된 제1장치를 블랙리스트에서 제외시켜 정상 상태로 변경하는 것을 특징으로 하는 블랙리스트 기반의 침입 관리 시스템.
  8. 제 2 항에 있어서,
    상기 블랙리스트 관리부에 의한 동작 제한은:
    제어 패킷만 수신되도록 대역폭을 최소로 제한하는 제1모드, 데이터 트래픽 전송이 가능할 정도로 대역폭을 제한하는 제2모드, 해당 제1장치의 MAC 개수를 제한하는 제3모드, 사용자(User)측과 연결되는 해당 제1장치의 포트를 차단시켜 트래픽 전송이 불가능하도록 하는 제4모드, 침입 형태(Attack Type)별로 가상랜(VLAN : Virtual LAN)을 설정하여 침입 형태(Attack Type)별로 패킷이 처리되도록 하는 제5모드 중 어느 하나인 것을 특징으로 하는 블랙리스트 기반의 침입 관리 시스템.
  9. 제 1 항 내지 제 8 항 중의 어느 한 항에 있어서,
    상기 소정 시간당 패킷수가 초당 패킷수(PPS : Packet Per Second)인 것을 특징으로 하는 블랙리스트 기반의 침입 관리 시스템.
  10. 다수의 제1장치와 통신하는 제2장치의 침입 관리 방법에 있어서,
    a) 상기 제1장치로부터 수신되는 패킷의 소정 시간당 패킷수를 검사하는 단계와;
    b) 상기 단계 a)에 의해 검사된 제1장치의 소정 시간당 패킷수가 임계치(Threshold)를 넘는다 판단된 경우, 해당 제1장치를 블랙리스트(BL : Black List)에 포함시키는 단계와;
    c) 블랙리스트(BL)에 포함된 제1장치가 비정상이라 판단된 경우 동작을 제한하는 단계를;
    포함하여 이루어지는 것을 특징으로 하는 블랙리스트 기반의 침입 관리 방법.
KR1020070110143A 2007-10-31 2007-10-31 블랙리스트 기반의 침입 관리 시스템 및 방법 KR20090044177A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070110143A KR20090044177A (ko) 2007-10-31 2007-10-31 블랙리스트 기반의 침입 관리 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070110143A KR20090044177A (ko) 2007-10-31 2007-10-31 블랙리스트 기반의 침입 관리 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR20090044177A true KR20090044177A (ko) 2009-05-07

Family

ID=40854782

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070110143A KR20090044177A (ko) 2007-10-31 2007-10-31 블랙리스트 기반의 침입 관리 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR20090044177A (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011002119A1 (ko) * 2009-07-02 2011-01-06 충남대학교 산학협력단 패킷검사장치의 부하조절방법 및 장치
KR101482903B1 (ko) * 2014-02-06 2015-01-15 (주)누스코 데이터 유출 방지 방법, 서버 장치, 및 클라이언트 장치
CN115208672A (zh) * 2022-07-15 2022-10-18 北京天融信网络安全技术有限公司 黑名单调整方法、装置、电子设备和计算机可读存储介质

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011002119A1 (ko) * 2009-07-02 2011-01-06 충남대학교 산학협력단 패킷검사장치의 부하조절방법 및 장치
KR101010248B1 (ko) * 2009-07-02 2011-01-21 충남대학교산학협력단 패킷검사장치의 부하조절방법 및 장치
US8719916B2 (en) 2009-07-02 2014-05-06 The Industry & Academic Cooperation In Chungnam National University (Iac) Method and apparatus for controlling loads of a packet inspection apparatus
KR101482903B1 (ko) * 2014-02-06 2015-01-15 (주)누스코 데이터 유출 방지 방법, 서버 장치, 및 클라이언트 장치
CN115208672A (zh) * 2022-07-15 2022-10-18 北京天融信网络安全技术有限公司 黑名单调整方法、装置、电子设备和计算机可读存储介质
CN115208672B (zh) * 2022-07-15 2024-01-23 北京天融信网络安全技术有限公司 黑名单调整方法、装置、电子设备和计算机可读存储介质

Similar Documents

Publication Publication Date Title
CN101136922B (zh) 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统
US7757285B2 (en) Intrusion detection and prevention system
EP1905197B1 (en) System and method for detecting abnormal traffic based on early notification
US7436770B2 (en) Metering packet flows for limiting effects of denial of service attacks
US9038182B2 (en) Method of defending against a spoofing attack by using a blocking server
JP5074314B2 (ja) フレーム転送装置
KR101455167B1 (ko) 화이트리스트 기반의 네트워크 스위치
CN113228591B (zh) 用于动态补救安全系统实体的方法、系统和计算机可读介质
KR100858271B1 (ko) 분산서비스거부공격 차단장치 및 그 방법
JP4961996B2 (ja) 通信管理装置監視システム及び方法
KR20090044177A (ko) 블랙리스트 기반의 침입 관리 시스템 및 방법
US11895146B2 (en) Infection-spreading attack detection system and method, and program
KR20030009887A (ko) 서비스거부 공격 차단시스템 및 방법
KR101065800B1 (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체
KR101230919B1 (ko) 이상 트래픽 자동 차단 시스템 및 방법
KR101358794B1 (ko) 이상 패킷 차단 시스템 및 방법
KR20080040257A (ko) 네트워크 수준의 웜, 바이러스 조기 탐지 방법 및 장치
KR20200116773A (ko) Sdn 기반의 검사시스템
JP2019092039A (ja) 攻撃検知方法、攻撃検知装置及び通信システム
KR100954348B1 (ko) 패킷 감시 시스템 및 그 방법
CN115622754A (zh) 一种检测并防止mqtt漏洞的方法、系统和装置
JP2006229839A (ja) Nw型アプリケーションサービス拒絶防御設定自動解除システム
Lei et al. Active Protection in Wireless Networking

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application