KR20090132787A - System and method for intercepting and controling source address spoofed abnormal traffic - Google Patents

System and method for intercepting and controling source address spoofed abnormal traffic Download PDF

Info

Publication number
KR20090132787A
KR20090132787A KR1020080058943A KR20080058943A KR20090132787A KR 20090132787 A KR20090132787 A KR 20090132787A KR 1020080058943 A KR1020080058943 A KR 1020080058943A KR 20080058943 A KR20080058943 A KR 20080058943A KR 20090132787 A KR20090132787 A KR 20090132787A
Authority
KR
South Korea
Prior art keywords
packet
address
network
source
traffic
Prior art date
Application number
KR1020080058943A
Other languages
Korean (ko)
Inventor
전덕조
채문창
Original Assignee
전덕조
채문창
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 전덕조, 채문창 filed Critical 전덕조
Priority to KR1020080058943A priority Critical patent/KR20090132787A/en
Publication of KR20090132787A publication Critical patent/KR20090132787A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PURPOSE: A system and a method for intercepting source address spoofed abnormal traffic are provided to intercept effectively abnormal traffic in network traffic and to control a host for generating spoofed traffic. CONSTITUTION: A plurality of network terminals are connected to a terminal network(100). An edge router(300) connects the terminal network with an external communication network in order to perform routing. A traffic control device(200) transfers a packet between the terminal network and the edge router. The traffic control device inquires a source data link address and a source network address of the moving packet to the inside or the outside to a source address matching table. The traffic control device intercepts the moving state of the packet when the source address is spoofed.

Description

소스 주소 이상 트래픽 차단 시스템 및 방법{System and method for intercepting and controling source address spoofed abnormal traffic}System and method for intercepting and controling source address spoofed abnormal traffic

본 발명은 이상 트래픽을 차단하는 시스템 및 방법에 관한 것으로, 보다 상세하게는 단말 네트워크에서 발생하는 위변조된 소스 데이터링크 주소 및 소스 네트워크 주소를 가진 트래픽을 차단하기 위한 이상 트래픽 차단 시스템 및 방법에 관한 것이다. The present invention relates to a system and method for blocking abnormal traffic, and more particularly, to an abnormal traffic blocking system and method for blocking traffic having a forged source datalink address and a source network address occurring in a terminal network. .

현재 인터넷에 사용되고 있는 프로토콜인 TCP/IP는 사용자가 임의로 소스와 목적지 등의 주소 내용을 변경할 수 있도록 되어 있으므로 근본적으로 위변조에 매우 취약하다. 이런 취약점은 인터넷이 처음 등장하고 오늘날까지 계속하여 나타나 있는 문제로써 악의를 가진 해커들에게 종종 악용되어 왔다. TCP / IP, a protocol currently used on the Internet, is fundamentally vulnerable to forgery and alteration since the user can arbitrarily change the contents of addresses such as source and destination. These vulnerabilities have been exploited by malicious hackers since the Internet first appeared and continue to this day.

1997년부터 본격적으로 세상에 알려지기 시작한 서비스 거부 공격, 일명 DoS 공격은 소스 네트워크 주소를 임의로 변조하여 나타났다. 처음에 나타난 서비스 거부 공격은 몇 대 또는 몇십 대의 컴퓨터에 의하여 소스 주소를 위장하여 목적지 서비스 호스트를 공격하였다. Denial-of-service attacks, known as DoS attacks, which began to be known in the world since 1997, appeared as a random alteration of source network addresses. Initially, denial of service attacks attacked the destination service host by spoofing the source address by several or dozens of computers.

이후에도 분산 서비스 거부 공격(DDoS)이 나타났으며 다수의 분산된 형태로 공격한다는 것 이외에는 이것 역시 소스 주소를 변경함으로써, 정확히 어디에서 어떻게 변조되어 흘러왔는지 역추적하는 것을 어렵게 만들고 있으며, 더불어, 바이러스나 웜과는 달리 봇넷이라 불리는 봇에 감염된 집단의 숙주 컴퓨터들이 늘고 있어 인터넷 피해가 속출하고 있는 실정이다.Decentralized Denial of Service (DDoS) attacks have since appeared and, except for multiple distributed forms of attack, it also makes it difficult to trace back exactly where and how it has been tampered with by changing the source address. Unlike worms, the number of host computers infected with bots called botnets is increasing, and the damage to the Internet continues.

따라서, 현재 소스 네트워크 주소가 위변조되지 않도록 하거나 또는 위변조되었는가를 검증하기 위한 여러 가지 방법이 개발되고 있는데, 먼저, '소스 라우팅'이라는 방법을 들 수 있다. Therefore, various methods are currently being developed to prevent or forge a source network address. For example, a method called 'source routing' may be mentioned.

IP의 옵션으로 '소스 라우팅'을 설정하면 네트워크 경로를 일부 또는 전부 미리 지정하여 목적지에서는 경로를 역추적하여 소스 네트워크 주소가 올바른가 확인할 수 있다는 것인데, 이 방법은 해커에 의해 악용될 소지가 발견되었고, 라우팅을 마음대로 결정지을 수 없도록 하기 위하여 현재 대부분의 네트워크 장비 또는 호스트에서는 이 옵션 기능이 동작하지 않도록 제한하고 있다.By setting 'source routing' as an option for IP, you can specify some or all of the network routes in advance so that the destination can trace back the route to verify that the source network address is correct. This method has been found to be exploitable by hackers. To avoid routing decisions, this option is currently disabled on most network devices or hosts.

다음으로, '인그레스 필터링'이라는 방법을 들 수 있다. 이것은 라우터 입장에서 들어오는 모든 패킷에 대하여 반대로 역경로를 추적한 결과 들어온 인터페이스와 동일한 인터페이스로 나가는 경우에는 정상 소스 주소라 가정하고 그 반대는 위변조된 것으로 간주한다. Next, there is a method called 'ingress filtering'. In contrast, for all packets coming from the router, the reverse path is traced, and if it goes to the same interface as the incoming interface, it is assumed to be a normal source address and vice versa.

하지만, 이 경우에도 모든 패킷을 역추적하기 위해서는 그만큼 성능상의 저해를 가져오며 네트워크가 비동기식으로 설계된 경우에는 정상 패킷도 이상하다고 오인할 소지가 발생한다.However, even in this case, there is a performance penalty to trace back all the packets, and if the network is designed asynchronously, there is a possibility that a normal packet may be mistaken as abnormal.

다음으로, 'rp_filter'라는 방법인데, 이는, 인그레스 필터링과 유사한 방법 으로, 호스트 입장에서 모든 인터페이스에서 들어오는 패킷에 대해 응답을 하여 들어왔던 인터페이스로 나가지 못하는 패킷을 거부하는 방법이다. 이 역시 인터페이스를 하나만 사용하거나 하는 경우 별 효과가 없다.Next, there is a method called 'rp_filter', which is similar to ingress filtering, in which the host responds to packets coming from all interfaces and rejects packets that cannot go to the interface. This also has no effect if you use only one interface.

상술한 바와 같이 위변조된 소스 네트워크 주소를 가진 패킷의 이동을 막으려는 시도가 계속되어왔으나 아직은 구체적이고 명확한 해결책을 제시하지 못한 상태이다.As described above, attempts have been made to prevent the movement of a packet having a forged source network address, but have not yet given a concrete and clear solution.

본 발명은 이와 같은 종래의 문제점을 해결하기 위해 안출된 것으로서, 위변조된 소스 네트워크 주소를 가진 패킷의 이동을 찾아내어 네트워크 트래픽에서의 이상 트랙픽을 효과적으로 차단하고, 위변조 트래픽을 발생시키는 호스트를 제어함으로써 네트워크 서비스의 신뢰도를 높이기 위한 이상 트래픽 차단 시스템 및 방법을 제공하는 것을 목적으로 한다. The present invention has been made to solve such a conventional problem, the network by detecting the movement of a packet having a forged source network address, effectively blocking the abnormal traffic in the network traffic, the network by controlling the host generating the forged traffic An object of the present invention is to provide an abnormal traffic blocking system and method for increasing the reliability of a service.

상기 목적을 달성하기 위해 본 발명에 따른 이상 트래픽 차단 시스템은, 단말 네트워크, 에지 라우터, 및 트래픽 제어 장치를 포함한다. To achieve the above object, the abnormal traffic blocking system according to the present invention includes a terminal network, an edge router, and a traffic control device.

단말 네트워크에는 복수의 네트워크 단말들이 연결되어 있고, 에지 라우터는 단말 네트워크와 외부 통신망을 연결하여 라우팅을 수행한다.A plurality of network terminals are connected to the terminal network, and the edge router connects the terminal network to an external communication network to perform routing.

또한, 트래픽 제어 장치는 단말 네트워크와 에지 라우터 사이에서 패킷을 전달하며, 단말 네트워크의 내부 및 외부로 이동하는 패킷의 소스 데이터링크 주소와 소스 네트워크 주소를 주소 매칭 테이블에 조회하여, 소스 주소가 위변조되었다고 판단되는 경우, 패킷의 이동을 차단한다. In addition, the traffic control apparatus forwards the packet between the terminal network and the edge router, and inquires about the source data link address and the source network address of the packet moving into and out of the terminal network in an address matching table, indicating that the source address is forged. If determined, block the movement of the packet.

이러한 구성으로, 위변조된 소스 데이터링크 주소 및 소스 네트워크 주소를 가진 패킷을 검출하여 외부 단말 네트워크에서 외부로 유출되는 이상 트랙픽을 효과적으로 차단하고, 위변조 트래픽을 발생시키는 호스트를 제어함으로써 네트워크 서비스의 신뢰도를 높일 수 있다. With this configuration, by detecting the packets with the forged source data link address and the source network address, effectively block abnormal traffic leaked to the outside from the external terminal network, and control the host generating the forged traffic, increase the reliability of the network service. Can be.

트래픽 제어 장치는 이동하는 패킷이 단말 네트워크의 외부로 나가는 ARP 응답 패킷일 경우, 응답 패킷의 소스 데이터링크 주소와 소스 네트워크 주소가 소스 주소 매칭 테이블에 등록되었는지를 조회하여, 등록되어 있지 않은 소스 주소를 소스 주소 매칭 테이블에 등록할 수 있다. 이로 인해, 정상 트래픽에 해당하는 패킷의 소스 정보를 다량으로 확보할 수 있고, 확보된 정보를 이용하여 타 패킷의 외부로의 이동을 더욱 빠르게 할 수 있다. When the moving packet is an ARP response packet that goes out of the terminal network, the traffic control device inquires whether the source data link address and the source network address of the response packet are registered in the source address matching table, and searches for an unregistered source address. Can be registered in the source address matching table. As a result, a large amount of source information of a packet corresponding to normal traffic can be secured, and movement of other packets can be made faster by using the secured information.

트래픽 제어 장치는 외부로 나가는 패킷이 ARP 응답 패킷이 아니며 목적지 네트워크 주소를 갖는 패킷일 경우, 목적지 네트워크 주소를 갖는 패킷의 소스 데이터링크 주소와 소스 네트워크 주소가 소스 주소 매칭 테이블에 등록되어 있는지를 조회하여, 등록되어 있지 않은 패킷의 이동을 차단할 수 있다. If the outgoing packet is not an ARP response packet but a packet having a destination network address, the traffic control device inquires whether the source data link address and the source network address of the packet having the destination network address are registered in the source address matching table. It can block the movement of unregistered packets.

즉, 주소 매칭 테이블에 소스 주소가 등록되어 있지 않은 패킷을 변경된 패킷으로 간주하므로 이상 트래픽의 소지가 있는 패킷조차 차단하여 이상 트래픽을 완벽하게 차단할 수 있다. In other words, since a packet whose source address is not registered in the address matching table is regarded as a changed packet, even a packet with abnormal traffic may be blocked to completely block the abnormal traffic.

또한, 트래픽 제어 장치는 이동하는 패킷이 단말 네트워크 내부로 들어오는 패킷이며 데이터링크 주소를 갖는 패킷일 경우, 내부로 들어오는 패킷의 소스 데이터링크 주소와 소스 네트워크 주소가 소스 주소 매칭 테이블에 등록되어 있는지를 조회하여, 등록되어 있지 않은 소스 주소를 소스 주소 매칭 테이블에 등록할 수 있다. In addition, if the moving packet is a packet coming into the terminal network and having a data link address, the traffic control device inquires whether the source data link address and the source network address of the incoming packet are registered in the source address matching table. The non-registered source address can be registered in the source address matching table.

이로 인해, 정상 트래픽에 해당하는 패킷의 소스 정보를 다량으로 확보할 수 있고, 확보된 정보를 이용하여 타 패킷의 내부로의 이동을 더욱 빠르게 할 수 있 다. As a result, a large amount of source information of a packet corresponding to normal traffic can be secured, and movement of other packets can be made faster by using the obtained information.

트래픽 제어 장치는, 내부로 들어오는 패킷이 목적지 네트워크 주소를 갖는 패킷일 경우, 목적지 네트워크 주소를 갖는 패킷의 소스 데이터링크 주소와 소스 네트워크 주소가 소스 주소 매칭 테이블에 등록되어 있는지를 조회하여, 등록되어 있는 경우에는 패킷의 이동을 차단할 수 있다.When the incoming packet is a packet having a destination network address, the traffic control device inquires whether the source data link address and the source network address of the packet having the destination network address are registered in the source address matching table, In this case, packet movement can be blocked.

이를 통해, 외부에서 들어오는 패킷의 소스 주소가 목적지의 소스 주소와 같은 이상 트래픽을 효과적으로 차단할 수 있다. Through this, it is possible to effectively block abnormal traffic such that the source address of the incoming packet is the same as the source address of the destination.

또한, 트래픽 제어 장치는 패킷의 이동에 따른 트래픽에 대한 정보를 외부로 전송할 수 있다. 즉, 어떠한 네트워크 단말의 이상 행동 정보를 알려주어 이상 트래픽을 이용한 네트워크 이상 행위를 탐지 및 관리할 수 있도록 할 수 있다. In addition, the traffic control device may transmit information on the traffic according to the movement of the packet to the outside. That is, it can be informed of the abnormal behavior information of any network terminal to be able to detect and manage the network abnormal behavior using the abnormal traffic.

본 발명에 따른 이상 트래픽 차단 시스템은 한 개 이상의 트래픽 제어 장치로부터 전송된 트래픽 정보를 수신하여 분석하고, 통계 정보를 생성하여 트래픽을 관리하는 중앙 관리 서버를 더 포함할 수 있다. The abnormal traffic blocking system according to the present invention may further include a central management server that receives and analyzes traffic information transmitted from one or more traffic control devices, generates statistical information, and manages traffic.

이로 인해, 네트워크에서 발생하는 다양한 이상 트래픽을 파악하고 분석하여 웜이나 봇 등의 출현을 예측하거나, Zero-Day 공격을 최대한 빨리 파악하여 그 피해를 최소화할 수 있고, 공격 목적지 네트워크 또는 호스트에 경고를 할 수 있다. As a result, it is possible to identify and analyze various abnormal traffics occurring in the network to predict the appearance of worms or bots, or to identify zero-day attacks as soon as possible to minimize the damage and to alert the target network or host to the attack. can do.

이와 함께 상기한 위변조된 인터넷 주소 차단 시스템을 방법 형태로 구현한 발명이 개시된다.In addition, the present invention embodies the above-described forged internet address blocking system in the form of a method.

본 발명에 의해 위변조된 소스 데이터링크 주소 및 소스 네트워크 주소를 가 진 패킷을 검출하여 외부 단말 네트워크에서 외부로 유출되는 이상 트랙픽을 효과적으로 차단하고, 위변조 트래픽을 발생시키는 호스트를 제어함으로써 네트워크 서비스의 신뢰도를 높일 수 있다. 또한, 네트워크에서 발생하는 다양한 이상 트래픽을 파악하고 분석하여 웜이나 봇 등의 출현을 예측하거나, 제로데이 공격을 최대한 빨리 파악하여 그 피해를 최소화할 수 있다. According to the present invention, a packet having a forged source data link address and a source network address is detected to effectively block abnormal traffic leaked from an external terminal network, and control a host generating forged traffic to improve reliability of a network service. It can increase. In addition, various abnormal traffic generated in the network can be identified and analyzed to predict the appearance of worms or bots, or zero-day attacks can be identified as soon as possible to minimize the damage.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예를 설명한다. 발명의 이해를 보다 명확하게 하기 위해 동일한 구성요소에 대해서는 상이한 도면에서도 동일한 부호를 사용하도록 한다. Hereinafter, exemplary embodiments of the present invention will be described with reference to the accompanying drawings. In order to more clearly understand the present invention, the same reference numerals are used for the same components in different drawings.

도 1은 본 발명에 따른 이상 트래픽 차단 시스템의 실시 예를 도시한 도면이다. 위변조된 소스 네트워크 주소를 가진 패킷을 차단하기 위한 이상 트래픽 차단 시스템은, 단말 네트워크(100), 에지 라우터(300), 트래픽 제어 장치(200) 및 중앙 관리 서버(500)를 포함한다. 1 is a diagram illustrating an embodiment of an abnormal traffic blocking system according to the present invention. The abnormal traffic blocking system for blocking a packet having a forged source network address includes a terminal network 100, an edge router 300, a traffic control device 200, and a central management server 500.

단말 네트워크(100)에는 복수의 네트워크 단말(110)들이 연결되어 있고, 에지 라우터(300)는 단말 네트워크(100)와 외부 통신망을 연결하여 라우팅을 수행한다.A plurality of network terminals 110 are connected to the terminal network 100, and the edge router 300 connects the terminal network 100 to an external communication network to perform routing.

또한, 트래픽 제어 장치(200)는 데이터링크 주소와 네트워크 주소를 이용하여 이상 트래픽을 차단하는 기법을 사용한 설비 또는 장치를 의미하는데, 단말 네트워크(100)와 에지 라우터(300) 사이에서 패킷을 전달하며, 단말 네트워크(100)의 내부 및 외부로 이동하는 패킷의 소스 데이터링크 주소(L2 주소, MAC 주소)와 소스 네트워크 주소(L3 주소, IP 주소)를 주소 매칭 테이블에 조회하여, 소스 주소가 위변조되었다고 판단되는 경우, 패킷의 이동을 차단한다. In addition, the traffic control device 200 refers to a facility or apparatus using a technique for blocking abnormal traffic using a data link address and a network address, and transmits a packet between the terminal network 100 and the edge router 300. The source data link address (L2 address, MAC address) and source network address (L3 address, IP address) of the packet moving into and out of the terminal network 100 are queried in the address matching table, indicating that the source address is forged. If determined, block the movement of the packet.

패킷의 소스 주소(소스 데이터링크 주소 및 소스 네트워크 주소)를 주소 매칭 테이블에 조회하여 소스 주소의 위변조 여부를 판단하는 방식은 트래픽 제어 장치(200)를 기준으로 패킷이 내부인 단말 네트워크(100)로 들어오는지, 외부인 에지 라우터(300)로 나가는지에 따라 다르다. The method of determining whether the source address is forged or not by querying the source address (source data link address and source network address) of the packet to the address matching table is based on the traffic control apparatus 200 to the terminal network 100 in which the packet is internal. It depends on whether you are coming in or out to the external edge router 300.

외부로 나가는 패킷일 경우에는 패킷의 소스 주소가 트래픽 제어 장치(200)의 소스 주소 매칭 테이블에 등록되어 있지 않을 경우에 패킷의 이동을 차단하게 되고, 내부로 들어오는 패킷일 경우에는 패킷의 소스 주소가 소스 주소 매칭 테이블에 등록되어 있을 경우에 패킷의 이동을 차단하게 된다. In the case of outgoing packets, the packet movement is blocked when the source address of the packet is not registered in the source address matching table of the traffic control apparatus 200. In the case of the incoming packet, the source address of the packet is If it is registered in the source address matching table, the packet movement is blocked.

트래픽 제어 장치(200)는 이동하는 패킷이 단말 네트워크(100)의 외부로 나가는 ARP 응답 패킷일 경우, 응답 패킷의 소스 데이터링크 주소와 소스 네트워크 주소가 소스 주소 매칭 테이블에 등록되었는지를 조회하여, 등록되어 있지 않은 소스 주소를 소스 주소 매칭 테이블에 등록할 수 있다. When the moving packet is an ARP response packet that goes out of the terminal network 100, the traffic control apparatus 200 inquires whether the source data link address and the source network address of the response packet are registered in the source address matching table, and registers it. Source addresses that are not already registered can be registered in the source address matching table.

이때 이동하는 패킷은 에지 라우터(300)를 통하여 외부 네트워크로 이동하는 패킷이 아니라, 단말 네트워크(100)의 네트워크 단말(110)에서 에지 라우터(300)로 이동하는 패킷을 의미한다. 이는 정상 트래픽으로 간주할 수 있고, 이로 인해, 정상 트래픽에 해당하는 패킷의 소스 정보를 다량으로 확보할 수 있으므로, 확보된 정보를 이용하여 타 패킷의 외부로의 이동을 더욱 빠르게 할 수 있다. In this case, the moving packet means a packet moving from the network terminal 110 of the terminal network 100 to the edge router 300, not the packet moving to the external network through the edge router 300. This may be regarded as normal traffic, and as a result, a large amount of source information of a packet corresponding to normal traffic may be secured, and thus, the obtained information may be used to more quickly move out of another packet.

트래픽 제어 장치(200)는 외부로 나가는 패킷이 ARP 응답 패킷이 아니며 목 적지 네트워크 주소를 갖는 패킷일 경우, 목적지 네트워크 주소를 갖는 패킷의 소스 데이터링크 주소와 소스 네트워크 주소가 소스 주소 매칭 테이블에 등록되어 있는지를 조회하여, 등록되어 있지 않은 패킷의 이동을 차단할 수 있다. When the outgoing packet is not an ARP response packet and a packet having a destination network address, the traffic control apparatus 200 registers a source data link address and a source network address of a packet having a destination network address in a source address matching table. By querying whether there are any, it is possible to block the movement of unregistered packets.

이때, 이동하는 패킷은 에지 라우터(300)로 나가는 일반 패킷을 의미하고, 패킷의 소스 주소가 주소 매칭 테이블에 등록되어 있을 경우 정상 트래픽으로 간주할 수 있다. In this case, the moving packet may mean a general packet going to the edge router 300, and may be regarded as normal traffic when the source address of the packet is registered in the address matching table.

상술한 바와 같이 패킷의 소스 주소가 등록되거나 패킷이 차단되는 예를 들어보면, 단말 네트워크(100) 주소가 C class인 '1. 1. 1. 100'이라면, 네트워크 넘버인 '1. 1. 1'은 고정이 되고, 호스트 넘버인 '100'만 변경될 수 있다. 만약, 주소 매칭 테이블에 저장되어 있지 않은 패킷의 네트워크 주소가 '1. 1. 1. 101'이라면 고정된 네트워크 넘버가 동일하므로 이 패킷의 주소는 등록하고, 네트워크 주소가 '1. 2. 1. 100'이라면 고정되어야 할 네트워크 넘버가 변경되었으므로 이상 트래픽으로 간주하여 패킷의 이동을 차단하게 된다. For example, when the source address of the packet is registered or the packet is blocked as described above, the terminal network 100 address is' C. 1. If 100 ', the network number' 1. 1.1 is fixed and only the host number '100' can be changed. If the network address of a packet not stored in the address matching table is' 1. 1. If it is' 101 ', the fixed network number is the same, so the address of this packet is registered, and the network address is' 1. 2. 1. If it is 100 ', the network number to be fixed has changed, so it is regarded as abnormal traffic and blocks the movement of packets.

즉, 상술한 바와 같이 패킷의 소스 주소가 변경됨이 확인될 경우(이상 트래픽으로 간주될 경우), 패킷을 차단할 수 있다. 그러므로 트래픽 제어 장치(200)를 ISP(Internet Service Provider)와 같은 서비스 네트워크에 적용하여 분산 서비스 거부 공격 등과 같은 이상 트래픽을 원천적으로 봉쇄하여 인터넷 피해를 줄일 수 있다.That is, when it is confirmed that the source address of the packet is changed as described above (if it is regarded as abnormal traffic), the packet may be blocked. Therefore, by applying the traffic control device 200 to a service network such as an ISP (Internet Service Provider), it is possible to fundamentally block abnormal traffic such as a distributed denial of service attack to reduce the damage to the Internet.

또한, 트래픽 제어 장치(200)는 이동하는 패킷이 단말 네트워크(100) 내부로 들어오는 패킷이며 데이터링크 주소를 갖는 패킷일 경우, 내부로 들어오는 패킷의 소스 데이터링크 주소와 소스 네트워크 주소가 소스 주소 매칭 테이블에 등록되어 있는지를 조회하여, 등록되어 있지 않은 소스 주소를 주소 매칭 테이블에 등록할 수 있다. In addition, when the moving packet is a packet coming into the terminal network 100 and having a data link address, the traffic control apparatus 200 includes a source data link address and a source network address of the packet coming into the source address matching table. It is possible to inquire whether or not is registered at, and register an unregistered source address in the address matching table.

이때, 이동하는 패킷은 에지 라우터(300)로부터 단말 네트워크(100)로 들어오는 에지 라우터(300)의 ARP 응답 패킷을 의미하고, 정상 트래픽으로 간주할 수 있다. 이로 인해, 정상 트래픽에 해당하는 패킷의 소스 정보를 다량으로 확보할 수 있고, 확보된 정보를 이용하여 타 패킷의 내부로의 이동을 더욱 빠르게 할 수 있다. In this case, the moving packet may mean an ARP response packet of the edge router 300 coming into the terminal network 100 from the edge router 300 and may be regarded as normal traffic. As a result, a large amount of source information of a packet corresponding to normal traffic can be secured, and a movement into another packet can be made faster by using the secured information.

트래픽 제어 장치(200)는, 내부로 들어오는 패킷이 목적지 네트워크 주소를 갖는 패킷일 경우, 목적지 네트워크 주소를 갖는 패킷의 소스 데이터링크 주소와 소스 네트워크 주소가 소스 주소 매칭 테이블에 등록되어 있는지를 조회하여, 등록되어 있는 경우에는 패킷의 이동을 차단할 수 있다.If the incoming packet is a packet having a destination network address, the traffic control apparatus 200 inquires whether the source data link address and the source network address of the packet having the destination network address are registered in the source address matching table. If registered, the movement of the packet can be blocked.

이때, 이동하는 패킷은 에지 라우터(300)를 통해 외부 통신망으로부터 들어오는 일반 패킷을 의미한다. In this case, the moving packet refers to a general packet coming from an external communication network through the edge router 300.

외부 네트워크로부터 유입되는 패킷의 소스 데이터링크 주소와 소스 네트워크 주소가 소스 주소 매칭 테이블에 등록되어 있다는 것은, 외부의 소스 주소와 내부의 소스 주소가 일치한다는 의미이므로 이상 트래픽으로 간주할 수 있다. The fact that the source data link address and the source network address of the packet flowing from the external network are registered in the source address matching table means that the external source address and the internal source address match, and thus may be regarded as abnormal traffic.

또한, 트래픽 제어 장치(200)는 패킷의 이동에 따른 트래픽에 대한 정보를 외부로 전송할 수 있다. 즉, 어떠한 네트워크 단말(110)의 이상 행동 정보를 알려주어 이상 트래픽을 이용한 네트워크 이상 행위를 탐지 및 관리할 수 있도록 할 수 있다. In addition, the traffic control apparatus 200 may transmit information on the traffic according to the movement of the packet to the outside. In other words, it can be informed of the abnormal behavior information of any network terminal 110 to be able to detect and manage the network abnormal behavior using the abnormal traffic.

이러한 구성으로, 위변조된 소스 데이터링크 주소 및 소스 네트워크 주소를 가진 패킷을 검출하여 내부 네트워크에서 외부로 유출되는 이상 트랙픽을 효과적으로 차단하고, 위변조 트래픽을 발생시키는 네트워크 단말(110)을 제어함으로써 네트워크 서비스의 신뢰도를 높일 수 있다. With this configuration, by detecting a packet having a forged source data link address and a source network address, it effectively blocks abnormal traffic leaked from the internal network to the outside, and controls the network terminal 110 to generate forged traffic. It can increase the reliability.

중앙 관리 서버(500)는 한 개 이상의 트래픽 제어 장치(200)로부터 전송된 트래픽 정보를 수신하여 분석하고, 통계 정보를 생성하여 트래픽을 관리할 수 있는데, 분석하는 종류에는 이상 트래픽을 발생시킨 단말 네트워크, 이상 트래픽의 발생 빈도 및 양, 이상 트래픽이 공격하는 단말 네트워크, 이상 트래픽이 공격하는 서비스 종류, 및 동시 다발적으로 발생하는 이상 트래픽의 상관 분석 등이 있을 수 있다. The central management server 500 may receive and analyze traffic information transmitted from one or more traffic control devices 200, generate statistical information, and manage traffic. The type of analysis may include a terminal network generating abnormal traffic. The frequency and amount of abnormal traffic occurrence, the terminal network attacking the abnormal traffic, the type of service attacked by the abnormal traffic, and the correlation analysis of the abnormal traffic occurring simultaneously.

이와 같이, 단말 네트워크(100)에서 발생하는 다양한 이상 트래픽을 파악하고 분석하여 웜이나 봇 등의 출현을 예측하거나, 제로데이(Zero-Day) 공격을 최대한 빨리 파악하여 그 피해를 최소화할 수 있고, 공격 목적지인 단말 네트워크(100) 또는 네트워크 단말(110)에 경고를 할 수 있다. In this way, by identifying and analyzing various abnormal traffic generated in the terminal network 100 to predict the appearance of worms or bots, or to identify the zero-day attack as soon as possible to minimize the damage, The attack destination terminal network 100 or the network terminal 110 may be alerted.

도 2는 단말 네트워크(100)와 트래픽 제어 장치(200)의 데이터링크 주소와 네트워크 주소 변환을 도시한 도면이다. 2 is a diagram illustrating data link address and network address translation of the terminal network 100 and the traffic control apparatus 200.

각각의 네트워크 단말(110)은 소스의 데이터링크 주소 및 네트워크 주소와, 대상(목적지)의 데이터링크 주소 및 네트워크 주소를 포함하고 있고, 데이터링크 주소는 MAC 주소이고, 네트워크 주소는 IP 주소를 의미한다. Each network terminal 110 includes a data link address and a network address of a source, a data link address and a network address of a target (destination), a data link address is a MAC address, and a network address means an IP address. .

도 2에 도시한 테이블은 다수의 네트워크 단말(110) 중 하나를 예로 들었으며, 네트워크 단말(110)이 가지고 있는 대상의 데이터링크 주소 및 네트워크 주소를 저장한 목적지 주소 매칭 테이블(112)과, 트래픽 제어 장치(200)가 가지고 있는 소스 주소 매칭 테이블(210)이다. In the table shown in FIG. 2, one of a plurality of network terminals 110 is taken as an example, a destination address matching table 112 storing a data link address and a network address of a target that the network terminal 110 has, and traffic. A source address matching table 210 that the control device 200 has.

상술한 도 1의 설명에서 언급된 소스 주소 매칭 테이블은 트래픽 제어 장치(200)가 가지고 있는 소스 주소 매칭 테이블(210)을 의미하며, 소스 주소 매칭 테이블(210)은 단말 네트워크(100) 내부에 연결되는 모든 네트워크 단말(110)의 데이터링크 주소 및 네트워크 주소를 저장하고 있다. The source address matching table mentioned in the above description of FIG. 1 refers to the source address matching table 210 of the traffic control apparatus 200, and the source address matching table 210 is connected to the terminal network 100. Data network addresses and network addresses of all network terminals 110 are stored.

도시한 테이블은 후술할 도 3 및 도 4의 설명에서도 인용하여 설명할 것이다. The illustrated table will be described with reference to the description of FIGS. 3 and 4 to be described later.

도 3은 패킷이 단말 네트워크(100)의 외부로 나가는 경우에 있어서 트래픽 제어 장치(200)가 동작하는 실시 예를 나타낸 흐름도이다. 3 is a flowchart illustrating an embodiment in which the traffic control apparatus 200 operates when a packet goes out of the terminal network 100.

내부에서 외부로 나가는 패킷의 경우, 목적지의 데이터링크 주소 및 네트워크 주소는 위변조될 수 없다. 그 이유는 목적지의 데이터링크 주소 및 네트워크 주소가 위변조되면, 아예 외부로 패킷이 나가지 못하거나 나가더라도 목적지 네트워크 단말(110)로 패킷이 정확히 전달되지 않기 때문이다. For outgoing packets from inside to outside, the datalink address and network address of the destination cannot be forged. The reason is that if the data link address and network address of the destination are forged, the packet is not correctly delivered to the destination network terminal 110 even if the packet does not go out or does not go out at all.

따라서, 나쁜 의도를 갖는 해커나 악성 프로그램인 경우 공격할 대상이 되는 목적지 주소는 위변조하지 않고, 추적을 불가능하게 하기 위하여 소스 주소를 변경하게 된다. Therefore, in the case of hackers or malicious programs with bad intentions, the destination address to be attacked is not forged, and the source address is changed to make tracking impossible.

소스 주소가 위변조되는 경우는, 소스 데이터링크 주소만 위변조되는 경우, 소스 네트워크 주소만 위변조되는 경우, 및 소스 데이터링크 주소 및 소스 네트워크 주소 모두가 위변조되는 경우가 있을 수 있다. When the source address is forged, there may be a case where only the source datalink address is forged, only the source network address is forged, and both the source datalink address and the source network address are forged.

이러한 경우 모두 데이터링크 주소 매칭 테이블과 네트워크 주소 매칭 테이블을 별도로 관리함으로써, 소스 위변조 사항을 알 수 있고, 이상 트래픽을 유발하는 상술한 경우의 패킷을 알아내어 차단할 수 있다. In all of these cases, by managing the data link address matching table and the network address matching table separately, the source forgery can be known, and the packet in the above-mentioned case causing abnormal traffic can be detected and blocked.

먼저, 트래픽 제어 장치(200)는 단말 네트워크(100)로부터 외부인 에지 라우터(300)로 나가는 패킷이 에지 라우터(300)로부터 브로드캐스팅된 ARP 요청에 대한 데이터링크 주소를 포함한 ARP 응답 패킷인지를 확인한다(S100).First, the traffic control apparatus 200 checks whether the packet outgoing from the terminal network 100 to the external edge router 300 is an ARP response packet including a data link address for the ARP request broadcast from the edge router 300. (S100).

외부로 전송하는 패킷에는 IP 패킷, PCT/UDP와 같은 IP 패킷, ARP 응답 패킷 등이 있을 수 있는데, 외부로 전송하는 패킷이 ARP 응답 패킷일 경우, 트래픽 제어 장치(200)에서 소스 매칭을 하고, 테이블을 관리한다(S110).  The packet to be transmitted to the outside may be an IP packet, an IP packet such as PCT / UDP, an ARP response packet, and the like. If the packet to be transmitted to the outside is an ARP response packet, the traffic control apparatus 200 performs source matching. Manage the table (S110).

이때, 소스 매칭은 도 2에 도시한 바와 같은 소스 주소 매칭 테이블(210)을 이용하여 소스 주소 매칭 테이블(210)에 저장되어 있는 소스 데이터링크 주소 및 소스 네트워크 주소에 ARP 응답 패킷의 소스 데이터링크 주소 및 소스 네트워크 주소가 포함되어 있는지를 조회하고, 사전에 등록되어 있지 않은 소스 주소인 경우에는 등록하는 것이다. At this time, the source matching is performed by using the source address matching table 210 as shown in FIG. 2. The source data link address of the ARP response packet is stored in the source data link address and the source network address stored in the source address matching table 210. And query whether the source network address is included, and register if the source address is not registered in advance.

즉, 단말 네트워크(100)가 어떤 네트워크 주소 대를 가지고 있으며, 어떤 네트워크 단말(110)이 응답을 하는지 등을 조회할 수 있으며, ARP 응답 패킷의 소스 데이터링크 주소 및 소스 네트워크 주소 중 등록되어 있지 않은 소스 주소를 등록하여 테이블을 관리할 수 있다. That is, the terminal network 100 may inquire which network address range, which network terminal 110 responds, and the like, and is not registered among the source data link address and the source network address of the ARP response packet. You can manage the table by registering the source address.

이 경우, 소스 주소가 등록되어 있지 않은 패킷을 등록해야 하는지, 이상 트래픽으로 간주해야 하는지의 기준은 도 1을 참조하여 설명한 바와 같이 네트워크 주소에서 네트워크 넘버의 변경 유무로 알 수 있다. In this case, the criterion of whether to register a packet for which a source address is not registered or to regard it as abnormal traffic can be known by changing the network number in the network address as described with reference to FIG. 1.

그리고나서, 상술한 바와 같이 새롭게 등록된 소스 주소를 가진 패킷을 외부로 전달한다(S140). Then, as described above, the packet having a newly registered source address is transmitted to the outside (S140).

다음으로, 단말 네트워크(100)에서 외부로 나가는 패킷이 ARP 응답 패킷이 아니라 목적지의 네트워크 주소를 갖는 일반 패킷이라면(S120), 이 패킷은 에지 라우터(300)를 통해 외부 통신망으로 나가는 패킷을 의미한다. Next, if the outgoing packet in the terminal network 100 is not an ARP response packet but a general packet having a network address of the destination (S120), this packet means a packet going out to the external communication network through the edge router 300. .

트래픽 제어 장치(200)에서 소스 주소 매칭 테이블(210)에 목적지 네트워크 주소를 갖는 패킷의 소스 주소가 등록되어 있는지를 비교하여(S130), 등록되어 있다면 패킷을 단말 네트워크(100)의 외부로 전달하고(S140), 등록되어 있지 않다면 패킷을 차단한다(S150). 패킷을 차단하는 이유는 소스 네트워크 주소가 변경되어 위조된 것이라 간주되었기 때문이다. The traffic control apparatus 200 compares whether a source address of a packet having a destination network address is registered in the source address matching table 210 (S130), and if so, delivers the packet to the outside of the terminal network 100. If not registered (S140), the packet is blocked (S150). The reason for blocking the packet is because the source network address has been changed and was considered forged.

제 S120 단계에서 단말 네트워크(100)의 외부로 나가는 패킷이 ARP 응답 패킷이나 목적지 네트워크 주소를 갖는 일반 패킷 모두 아니라면, 예컨대, PCT/UDP와 같은 IP 패킷, RGMP 패킷 등과 같이 레이어 트레이가 2, 3 이외의 다른 트레이인 패킷의 경우는 외부로 바로 전달한다(S140).If the packet going out of the terminal network 100 in step S120 is not both an ARP response packet or a general packet having a destination network address, the layer tray is other than 2, 3, for example, an IP packet such as PCT / UDP, an RGMP packet, or the like. In case of another tray packet, the packet is transferred directly to the outside (S140).

그리고나서, 트래픽 제어 장치(200)는 단말 네트워크(100)의 외부로 전달된 모든 패킷(데이터링크 주소 또는 네트워크 주소를 포함하고 트래픽 제어 장치(200)의 소스 주소 매칭 테이블(210)에 등록되어 있는 패킷, 및 레이어 2, 레이어 3 이 외의 다른 레이어 트레이인 패킷)과 차단된 패킷(네트워크 주소를 포함하였지만 트래픽 제어 장치(200)의 소스 주소 매칭 테이블(210)에 소스 주소가 등록되어 있지 않은 패킷)에 대한 트래픽 정보를 중앙 관리 서버(300)로 전송한다(S300).Then, the traffic control apparatus 200 includes all packets (datalink addresses or network addresses) transmitted to the outside of the terminal network 100 and registered in the source address matching table 210 of the traffic control apparatus 200. Packets, and packets that are layer trays other than Layer 2 and Layer 3, and blocked packets (packets that include the network address but whose source address is not registered in the source address matching table 210 of the traffic control apparatus 200). The traffic information for the central management server 300 is transmitted (S300).

도 4는 패킷이 단말 네트워크(100)의 내부로 들어오는 경우에 있어서 트래픽 제어 장치(200)가 동작하는 실시 예를 나타낸 흐름도이다. 4 is a flowchart illustrating an embodiment in which the traffic control apparatus 200 operates when a packet enters the terminal network 100.

먼저, 단말 네트워크(100)의 내부로 들어오는 패킷이 데이터링크 주소를 포함한 에지 라우터(300)로부터 들어오는 ARP 응답 패킷인지를 확인한다(S200). First, it is checked whether the packet coming into the terminal network 100 is an ARP response packet from the edge router 300 including the data link address (S200).

즉, 단말 네트워크(100)의 네트워크 단말(110) 중 하나가 가지고 있는 목적지 주소 매칭 테이블(112)에 에지 라우터(300)의 데이터링크 주소가 없을 경우, 해당하는 에지 라우터(300)에 데이터링크 주소를 요청하는 ARP 요청 패킷을 전송하면, 내부로 들어오는 패킷이 이 요청에 대한 에지 라우터(300)로부터의 ARP 응답 패킷인지를 확인하는 것이다.That is, when there is no data link address of the edge router 300 in the destination address matching table 112 of one of the network terminals 110 of the terminal network 100, the data link address is included in the corresponding edge router 300. When sending an ARP request packet requesting, it is to check whether the incoming packet is an ARP response packet from the edge router 300 for this request.

내부로 들어오는 패킷이 에지 라우터(300)부터의 ARP 응답 패킷일 경우, 트래픽 제어 장치(200)에서 소스 매칭을 하고, 테이블을 관리한다(S210).  When the incoming packet is an ARP response packet from the edge router 300, the traffic control apparatus 200 performs source matching and manages a table (S210).

소스매칭은 도 2에 도시한 바와 같은 소스 주소 매칭 테이블(210)을 이용하여, 소스 주소 매칭 테이블(210)에 ARP 응답 패킷에 포함된 에지 라우터(300)의 소스 주소가 등록되어 있는지를 조회하는 것이다.Source matching uses the source address matching table 210 as shown in FIG. 2 to query whether the source address of the edge router 300 included in the ARP response packet is registered in the source address matching table 210. will be.

조회 결과, 등록되어 있지 않다면, 등록되어 있지 않은 소스 데이터링크 주소 및 소스 네트워크 주소를 주소 매칭 테이블(210)에 등록하여 테이블을 관리하고, 새롭게 등록된 소스 주소에 해당하는 에지 라우터(300)부터의 ARP 응답 패킷을 단말 네트워크(100)의 내부인 목적지 네트워크 단말(110)로 전달한다(S240).As a result of the inquiry, if it is not registered, the unregistered source data link address and source network address are registered in the address matching table 210 to manage the table, and from the edge router 300 corresponding to the newly registered source address. The ARP response packet is transmitted to the destination network terminal 110 that is inside the terminal network 100 (S240).

다음으로, 에지 라우터(300)로부터 내부인 단말 네트워크(100)로 들어오는 패킷이 목적지(대상)의 네트워크 주소를 갖는 일반 패킷이라면(S220), 트래픽 제어 장치(200)에서 내부로 들어오는 일반 패킷의 소스 주소가 소스 주소 매칭 테이블(210)에 등록되어 있는지를 조회한다(S230). Next, if the packet coming into the terminal network 100 from the edge router 300 to the inside (general packet) having the network address of the destination (destination) (S220), the source of the generic packet coming into the interior from the traffic control device 200 Inquiry is made whether the address is registered in the source address matching table 210 (S230).

외부에서 들어오는데에도 불구하고 내부의 단말 네트워크 주소와 같은 소스 네트워크 주소를 갖는다면 이는 변경된 것이므로 패킷을 차단하며(S250), 내부의 단말 네트워크 주소와 다른 소스 네트워크 주소를 갖는다면 패킷을 목적지 주소에 해당하는 네트워크 단말(110)로 전달한다(S240).If it has a source network address that is the same as the internal terminal network address despite coming in from the outside, it is changed and blocks the packet (S250). If it has a source network address different from the internal terminal network address, the packet corresponds to the destination address. Transfer to the network terminal 110 (S240).

단말 네트워크(100)의 내부로 들어오는 패킷이 데이터링크 주소를 포함하거나 목적지 네트워크 주소를 갖는 패킷 모두 아니라면, 예컨대, 레이어 트레이가 2, 3 이외의 다른 트레이인 패킷의 경우는 단말 네트워크(100)의 내부인 네트워크 단말(110)로 바로 전달한다(S240).If the packet coming into the terminal network 100 is not a packet including a data link address or a destination network address, for example, a packet in which the layer tray is a tray other than 2 and 3, and is inside the terminal network 100. Immediately transfer to the network terminal 110 (S240).

그리고나서, 단말 네트워크(100)의 내부로 전달된 모든 패킷(데이터링크 주소 또는 네트워크 주소를 포함하고 트래픽 제어 장치(200)의 소스 주소 매칭 테이블(210)에 소스 주소가 등록되어 있는 패킷, 및 레이어 2, 레이어 3 이외의 다른 레이어 트레이인 패킷)과 차단된 패킷(네트워크 주소를 포함하였지만 트래픽 제어 장치(200)의 소스 주소 매칭 테이블(210)에 소스 주소가 등록되지 않은 패킷)에 대한 트래픽 정보를 중앙 관리 서버(300)로 전송한다(S300).Then, all packets delivered to the inside of the terminal network 100 (packet including the data link address or the network address and the source address registered in the source address matching table 210 of the traffic control apparatus 200, and the layer). Traffic information about packets that are layer trays other than Layer 2 and Layer 3 and blocked packets (packets including network addresses but whose source addresses are not registered in the source address matching table 210 of the traffic control apparatus 200). Transmission to the central management server 300 (S300).

도 5는 중앙 관리 서버(500)에서 발생하는 트래픽 통계 정보를 생성하는 단 계를 자세히 나타낸 흐름도이다. 도 5에서는 이상 트래픽에 대한 통계 정보의 생성 단계를 중점적으로 설명한다. 5 is a flowchart illustrating in detail a step of generating traffic statistics information generated in the central management server 500. In FIG. 5, a step of generating statistical information on abnormal traffic will be described.

먼저, 트래픽 제어 장치(200)로부터 트래픽 정보를 수신한다(S400).First, the traffic information is received from the traffic control device 200 (S400).

다음으로, 네트워크 단말(110)의 내부 및 외부로 이동하는 패킷에 대한 트래픽 정보가 도 1 내지 도 4를 참조하여 설명한 바에 따라 트래픽 제어 장치(200)의 소스 주소 매칭 테이블(210)에 적합한 정상 트래픽일 경우(S500), 정상 트래픽에 대한 통계 정보를 생성하여 저장한다(S600).Next, normal traffic suitable for the source address matching table 210 of the traffic control apparatus 200 as the traffic information on the packet moving into and out of the network terminal 110 is described with reference to FIGS. 1 to 4. If (S500), and generates and stores statistical information about the normal traffic (S600).

이때, 통계 정보에는 일정 기간 동안 생성된 트래픽의 개수와 해당 트래픽에 대한 소스 주소나 목적지 주소 등이 포함될 수 있다.In this case, the statistical information may include the number of traffic generated during a predetermined period and a source address or a destination address for the corresponding traffic.

반면, 트래픽 정보가 트래픽 제어 장치(200)의 소스 주소 매칭 테이블(210)에 적합하지 않은 이상 트래픽일 경우(S500), 먼저, 이상 트래픽의 생성 위치를 추정하기 위해 트래픽 제어 장치(200)의 소스 주소 매칭 테이블(210)에 이상 트래픽의 데이터링크 주소가 등록되어 있는지 여부를 비교한다(S510). On the other hand, if the traffic information is abnormal traffic that is not suitable for the source address matching table 210 of the traffic control apparatus 200 (S500), first, the source of the traffic control apparatus 200 to estimate the generation location of the abnormal traffic The data link address of the abnormal traffic is registered in the address matching table 210 (S510).

이 경우, 데이터링크 주소가 등록되어 있다면 등록된 데이터링크 주소에 대응되는 네트워크 주소의 네트워크 단말(110)이 이상 트래픽을 생성한 것으로 간주할 수 있고(S520), 데이터링크 주소가 등록되어있지 않다면 데이터링크 주소, 네트워크 주소 모두 위변조된 것으로 간주할 수 있으며(S530), 이상 트래픽이 생성된 위치는 내부에서 외부로 나가는 패킷에 대한 이상 트래픽이므로 단말 네트워크(100) 내부에서 생성된 것으로 간주할 수 있다. In this case, if the data link address is registered, the network terminal 110 of the network address corresponding to the registered data link address may be regarded as generating abnormal traffic (S520), and if the data link address is not registered, the data Both the link address and the network address may be regarded as forged (S530), and the location where the abnormal traffic is generated may be regarded as generated in the terminal network 100 because the abnormal traffic is for the outgoing packet from the inside.

이상 트래픽의 생성 위치를 추정하였다면, 다음으로 반복되는 이상 트래픽이 동일한 목적지의 네트워크 주소인가를 확인한다(S540). 즉, 반복되는 트래픽에 의한 정보가 축적되면 그 정보를 분석하는데, 공격받는 목적지인 네트워크 단말의 네트워크 주소 정보를 누적 갱신하여(S550) 다수의 네트워크 단말(110)이 일정한 네트워크 주소를 갖는 네트워크 장치를 계속 공격할 경우, 공격받는 목적지 네트워크 주소를 찾을 수 있다. If the generation position of the abnormal traffic is estimated, it is checked whether the next abnormal traffic is a network address of the same destination (S540). That is, when information by repeated traffic is accumulated, the information is analyzed. The network address information of the network terminal, which is an attacked destination, is cumulatively updated (S550), whereby a plurality of network terminals 110 provide network devices having a predetermined network address. If you continue to attack, you can find the destination network address that is being attacked.

다음으로, 반복되는 이상 트래픽이 동일한 목적지의 트랜스포트 서비스인가를 확인한다(S560). 즉, 반복되는 트래픽에 의한 정보가 축적되면 그 정보를 분석하는데, 공격받는 목적지 네트워크 장치의 서비스 정보를 누적 갱신하여(S570) 다수의 네트워크 장치가 동일한 목적지 서비스의 네트워크 장치를 계속 공격할 경우, 공격받는 네트워크 단말(110)의 서비스 종류를 찾을 수 있다. Next, it is checked whether repeated abnormal traffic is a transport service of the same destination (S560). That is, when information by repeated traffic is accumulated, the information is analyzed, and when the service information of the target network device under attack is cumulatively updated (S570), when multiple network devices continue to attack the network device of the same destination service, the attack is performed. The service type of the receiving network terminal 110 may be found.

이러한 단계를 거쳐 생성된 이상 트래픽 통계 정보를 저장한다(S600). The abnormal traffic statistics information generated through the above steps is stored (S600).

중앙 관리 서버(500)에서는 저장된 이상 트래픽 통계 정보 및 정상 트래픽 통계 정보를 이용하여 이상 트래픽을 발생시킨 단말 네트워크(100), 이상 트래픽의 발생 빈도 및 양, 이상 트래픽이 공격하는 대상인 네트워크 장치, 이상 트래픽이 공격하는 서비스 종류, 동시 다발적으로 발생하는 이상 트래픽의 상관 관계 등을 알 수 있다.The central management server 500 uses the stored abnormal traffic statistics information and the normal traffic statistics information to the terminal network 100 generating the abnormal traffic, the frequency and amount of occurrence of the abnormal traffic, the network device to which the abnormal traffic is attacked, and the abnormal traffic. The type of the attacking service and the abnormality of traffic occurring simultaneously can be found.

또한, 이러한 통계 정보를 통해 얻은 정보를 이용하여 웜이나 봇의 출현을 예측하거나, 공격 목적지인 네트워크 장치에 경고를 줄 수 있다. In addition, the information obtained through the statistical information can be used to predict the appearance of worms or bots or to warn network devices that are targeted for attack.

이제까지 본 발명에 대하여 그 바람직한 실시 예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본 질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시 예들은 한정적인 점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다. So far I looked at the center of the preferred embodiment for the present invention. Those skilled in the art will appreciate that the present invention can be implemented in a modified form without departing from the essential features of the present invention. Therefore, the disclosed embodiments should be considered in descriptive sense only and not for purposes of limitation. The scope of the present invention is shown in the claims rather than the foregoing description, and all differences within the scope will be construed as being included in the present invention.

도 1은 본 발명에 따른 이상 트래픽 차단 시스템의 실시 예를 도시한 도면. 1 is a view showing an embodiment of an abnormal traffic blocking system according to the present invention.

도 2는 단말 네트워크와 트래픽 제어 장치의 데이터링크 주소와 네트워크 주소 변환을 도시한 도면.2 is a diagram illustrating data link address and network address translation of a terminal network and a traffic control apparatus.

도 3은 패킷이 단말 네트워크의 외부로 나가는 경우에 있어서 트래픽 제어 장치가 동작하는 실시 예를 나타낸 흐름도.3 is a flowchart illustrating an embodiment in which a traffic control apparatus operates when a packet goes out of a terminal network.

도 4는 패킷이 단말 네트워크의 내부로 들어오는 경우에 있어서 트래픽 제어 장치가 동작하는 실시 예를 나타낸 흐름도.4 is a flowchart illustrating an embodiment in which a traffic control apparatus operates when a packet enters a terminal network.

도 5는 중앙 관리 서버에서 발생하는 트래픽 통계 정보를 생성하는 단계를 자세히 나타낸 흐름도.5 is a flow chart illustrating in detail the steps of generating traffic statistics information generated in the central management server.

Claims (13)

복수의 네트워크 단말들이 연결된 단말 네트워크;A terminal network to which a plurality of network terminals are connected; 상기 단말 네트워크와 외부 통신망을 연결하여 라우팅을 수행하는 에지 라우터; 및 An edge router connecting the terminal network and an external communication network to perform routing; And 상기 단말 네트워크와 상기 에지 라우터 사이에서 패킷을 전달하며, 상기 단말 네트워크의 내부 및 외부로 이동하는 패킷의 소스 데이터링크 주소와 소스 네트워크 주소를 소스 주소 매칭 테이블에 조회하여, 소스 주소가 위변조되었다고 판단되는 경우, 패킷의 이동을 차단하는 트래픽 제어 장치; 를 포함하는 이상 트래픽 차단 시스템.It is determined that the source address is forged by transferring a packet between the terminal network and the edge router and querying a source data link address and a source network address of a packet moving into and out of the terminal network. If the traffic control device for blocking the movement of the packet; An ideal traffic blocking system that includes. 제 1항에 있어서,The method of claim 1, 상기 트래픽 제어 장치는,The traffic control device, 이동하는 패킷이 단말 네트워크의 외부로 나가는 ARP 응답 패킷일 경우, 상기 응답 패킷의 소스 데이터링크 주소와 소스 네트워크 주소가 상기 소스 주소 매칭 테이블에 등록되었는지를 조회하여, 등록되어 있지 않은 소스 주소를 상기 소스 주소 매칭 테이블에 등록하는 것을 특징으로 하는 이상 트래픽 차단 시스템.If the moving packet is an ARP response packet that goes out of the terminal network, it is inquired whether the source data link address and the source network address of the response packet are registered in the source address matching table, and the source address is not registered. Abnormal traffic blocking system, characterized in that registered in the address matching table. 제 1항에 있어서,The method of claim 1, 상기 트래픽 제어 장치는,The traffic control device, 외부로 나가는 패킷이 ARP 응답 패킷이 아니며 목적지 네트워크 주소를 포함하는 패킷일 경우, 상기 목적지 네트워크 주소를 갖는 패킷의 소스 데이터링크 주소와 소스 네트워크 주소가 상기 소스 주소 매칭 테이블에 등록되어 있는지를 조회하여, 등록되어 있지 않은 패킷의 이동을 차단하는 것을 특징으로 하는 이상 트래픽 차단 시스템.If the outgoing packet is not an ARP response packet and includes a destination network address, it is checked whether the source data link address and the source network address of the packet having the destination network address are registered in the source address matching table. The abnormal traffic blocking system characterized by blocking the movement of a packet which is not registered. 제 1항에 있어서,The method of claim 1, 상기 트래픽 제어 장치는,The traffic control device, 이동하는 패킷이 단말 네트워크 내부로 들어오는 ARP 응답 패킷일 경우, 상기 ARP 응답 패킷의 소스 데이터링크 주소와 소스 네트워크 주소가 상기 주소 매칭 테이블에 등록되었는지를 조회하여, 등록되어 있지 않은 소스 주소를 상기 소스 주소 매칭 테이블에 등록하는 것을 특징으로 하는 이상 트래픽 차단 시스템.If the moving packet is an ARP response packet coming into the terminal network, it is checked whether the source data link address and the source network address of the ARP response packet are registered in the address matching table, and the unregistered source address is obtained from the source address. Abnormal traffic blocking system, characterized in that registered in the matching table. 제 1항에 있어서,The method of claim 1, 상기 트래픽 제어 장치는,The traffic control device, 내부로 들어오는 패킷이 목적지 네트워크 주소를 갖는 패킷일 경우, 상기 목적지 네트워크 주소를 갖는 패킷의 소스 데이터링크 주소와 소스 네트워크 주소가 상기 소스 주소 매칭 테이블에 등록되어 있는지를 조회하여, 등록되어 있는 경우에는 패킷의 이동을 차단하는 것을 특징으로 하는 이상 트래픽 차단 시스템.If the incoming packet is a packet having a destination network address, it is checked whether the source data link address and the source network address of the packet having the destination network address are registered in the source address matching table. Abnormal traffic blocking system, characterized in that to block the movement of. 제 1항에 있어서, The method of claim 1, 상기 트래픽 제어 장치는,The traffic control device, 상기 패킷의 이동에 따른 트래픽에 대한 정보를 외부로 전송하는 것을 특징으로 하는 이상 트래픽 차단 시스템.Abnormal traffic blocking system, characterized in that for transmitting the information about the traffic according to the movement of the packet to the outside. 제 6항에 있어서,The method of claim 6, 한 개 이상의 상기 트래픽 제어 장치로부터 전송된 트래픽 정보를 수신하여 분석하고, 통계 정보를 생성하여 트래픽을 관리하는 중앙 관리 서버; 를 더 포함하는 것을 특징으로 하는 이상 트래픽 차단 시스템.A central management server that receives and analyzes traffic information transmitted from one or more traffic control devices, generates statistical information, and manages traffic; The abnormal traffic blocking system further comprises. 단말 네트워크와 외부를 연결하는 에지 라우터 사이에 위치한 트래픽 제어 장치에서 이상 트래픽을 차단하는 방법에 있어서, In the method for blocking the abnormal traffic in the traffic control device located between the terminal network and the edge router connecting the outside, (a) 상기 트래픽 제어 장치가 상기 단말 네트워크의 내부 및 외부로 이동하는 패킷의 소스 주소를 이용하여, 상기 단말 네트워크에 포함된 네트워크 단말들의 소스 주소를 등록한 상기 소스 주소 매칭 테이블을 관리하는 단계; 및(a) the traffic control apparatus managing the source address matching table in which source addresses of network terminals included in the terminal network are registered using source addresses of packets moving in and out of the terminal network; And (b) 상기 단말 네트워크의 내부 및 외부로 이동하는 패킷의 소스 주소를 상기 소스 주소 매칭 테이블에 조회하여, 소스 주소가 위변조되었다고 판단되는 경우, 상기 패킷의 이동을 차단하는 단계; 를 포함하는 이상 트래픽 차단 방법.(b) blocking the movement of the packet if it is determined that the source address is forged by querying the source address matching table for the source address of the packet moving into and out of the terminal network; Abnormal traffic blocking method comprising a. 제 8항에 있어서,The method of claim 8, 상기 (a) 단계에서,In the step (a), 상기 패킷이 상기 단말 네트워크의 외부로 나가는 ARP 응답 패킷일 경우, 상기 소스 주소 매칭 테이블에 등록되어 있지 않은 상기 ARP 응답 패킷의 소스 주소를 등록하여 상기 소스 주소 매칭 테이블을 관리하는 것을 특징으로 하는 이상 트래픽 차단 방법.If the packet is an ARP response packet outgoing from the terminal network, the abnormal traffic, wherein the source address of the ARP response packet not registered in the source address matching table is registered to manage the source address matching table. How to block. 제 8항에 있어서,The method of claim 8, 상기 (a) 단계에서,In the step (a), 상기 패킷이 상기 단말 네트워크의 내부로 들어오는 상기 에지 라우터로부터의 ARP 응답 패킷일 경우, 상기 소스 주소 매칭 테이블에 등록되어 있지 않은 상기 에지 라우터로부터의 ARP 응답 패킷의 소스 주소를 등록하여 상기 소스 주소 매칭 테이블을 관리하는 것을 특징으로 하는 이상 트래픽 차단 방법.If the packet is an ARP response packet from the edge router coming into the terminal network, the source address matching table is registered by registering a source address of an ARP response packet from the edge router not registered in the source address matching table. The abnormal traffic blocking method characterized in that the management. 제 8항에 있어서,The method of claim 8, 상기 (b) 단계에서,In step (b), 상기 패킷이 상기 단말 네트워크의 외부로 나가는 네트워크 주소를 포함한 일반 패킷이라면, 상기 일반 패킷의 소스 주소가 상기 소스 주소 매칭 테이블에 등록되어 있는지 조회하여, 등록되어 있지 않을 경우 상기 일반 패킷의 이동을 차단하는 것을 특징으로 하는 이상 트래픽 차단 방법.If the packet is a general packet including a network address going out of the terminal network, it is checked whether the source address of the general packet is registered in the source address matching table, and if it is not registered, blocking the movement of the general packet. The abnormal traffic blocking method, characterized in that. 제 8항에 있어서,The method of claim 8, 상기 (b) 단계에서, In step (b), 상기 패킷이 상기 단말 네트워크의 내부로 들어오는 네트워크 주소를 포함한 일반 패킷이라면, 상기 일반 패킷의 소스 주소가 상기 소스 주소 매칭 테이블에 등록되어 있는지 조회하여, 등록되어 있을 경우 상기 일반 패킷의 이동을 차단하는 것을 특징으로 하는 이상 트래픽 차단 방법.If the packet is a general packet including a network address coming into the terminal network, it is checked whether the source address of the general packet is registered in the source address matching table, and if the packet is registered, blocking the movement of the general packet. An abnormal traffic blocking method characterized by the above. 제 8항에 있어서,The method of claim 8, 상기 (b) 단계 이후,After step (b), (c) 중앙 관리 서버에서 상기 차단된 패킷의 이상 트래픽 정보를 수신하는 단계;(c) receiving abnormal traffic information of the blocked packet at a central management server; (d) 상기 중앙 관리 서버는 상기 이상 트래픽 정보에 대응하는 소스 데이터링크 주소가 상기 소스 주소 매칭 테이블 등록되었는지 여부에 따라 이상 트래픽의 발생지를 검출하는 단계; (d) the central management server detecting a source of abnormal traffic according to whether a source data link address corresponding to the abnormal traffic information is registered in the source address matching table; (e) 상기 중앙 관리 서버가 누적된 상기 이상 트래픽 정보에서 반복되어 나타나는 네트워크 주소를 검사하여 공격받는 목적지의 네트워크 주소를 검출하는 단계; (e) detecting, by the central management server, a network address of an attacked destination by examining a network address repeatedly appearing in the accumulated abnormal traffic information; (f) 상기 중앙 관리 서버가 누적된 상기 이상 트래픽 정보에서 반복되어 나타나는 트랜스포트 서비스를 검사하여 공격받는 목적지의 서비스 종류를 검출하는 단계; (f) detecting, by the central management server, a service type of an attacked destination by examining a transport service repeatedly appearing in the accumulated abnormal traffic information; (g) 상기 중앙 관리 서버가 상기 검출한 결과의 통계 정보를 생성하고, 상기 통계 정보를 이용하여 이상 트래픽을 관리하는 단계; 를 더 포함하는 것을 특징으로 하는 이상 트래픽 차단 방법. (g) generating, by the central management server, statistical information of the detected result, and managing abnormal traffic using the statistical information; The abnormal traffic blocking method further comprises.
KR1020080058943A 2008-06-23 2008-06-23 System and method for intercepting and controling source address spoofed abnormal traffic KR20090132787A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080058943A KR20090132787A (en) 2008-06-23 2008-06-23 System and method for intercepting and controling source address spoofed abnormal traffic

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080058943A KR20090132787A (en) 2008-06-23 2008-06-23 System and method for intercepting and controling source address spoofed abnormal traffic

Publications (1)

Publication Number Publication Date
KR20090132787A true KR20090132787A (en) 2009-12-31

Family

ID=41691725

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080058943A KR20090132787A (en) 2008-06-23 2008-06-23 System and method for intercepting and controling source address spoofed abnormal traffic

Country Status (1)

Country Link
KR (1) KR20090132787A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101468601B1 (en) * 2014-03-13 2014-12-03 한국전자통신연구원 Web server/web application server security management apparatus and method
KR102516194B1 (en) * 2022-06-23 2023-03-30 엔에스원소프트 주식회사 System for monitoring, analyzing, and identifying maritime microwave dataling integrity inhibitors, and control method thereof

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101468601B1 (en) * 2014-03-13 2014-12-03 한국전자통신연구원 Web server/web application server security management apparatus and method
US9444830B2 (en) 2014-03-13 2016-09-13 Electronics And Telecommunications Research Institute Web server/web application server security management apparatus and method
KR102516194B1 (en) * 2022-06-23 2023-03-30 엔에스원소프트 주식회사 System for monitoring, analyzing, and identifying maritime microwave dataling integrity inhibitors, and control method thereof

Similar Documents

Publication Publication Date Title
US7823202B1 (en) Method for detecting internet border gateway protocol prefix hijacking attacks
US20210112091A1 (en) Denial-of-service detection and mitigation solution
US8661544B2 (en) Detecting botnets
Yao et al. Source address validation solution with OpenFlow/NOX architecture
US20180091547A1 (en) Ddos mitigation black/white listing based on target feedback
US12069092B2 (en) Network security attack detection and mitigation solution using honeypots
JP5524737B2 (en) Method and apparatus for detecting spoofed network information
US7596097B1 (en) Methods and apparatus to prevent network mapping
US7854000B2 (en) Method and system for addressing attacks on a computer connected to a network
CN109327426A (en) A kind of firewall attack defense method
US9654493B2 (en) Network accountability among autonomous systems
US7596808B1 (en) Zero hop algorithm for network threat identification and mitigation
JP6737610B2 (en) Communication device
WO2015174100A1 (en) Packet transfer device, packet transfer system, and packet transfer method
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
JP4259183B2 (en) Information processing system, information processing apparatus, program, and method for detecting communication abnormality in communication network
US10771391B2 (en) Policy enforcement based on host value classification
KR20090132787A (en) System and method for intercepting and controling source address spoofed abnormal traffic
KR20170109949A (en) Method and apparatus for enhancing network security in dynamic network environment
KR100571994B1 (en) Method for detecting the source IP address spoofing packet and identifying the origin of the packet
US20060225141A1 (en) Unauthorized access searching method and device
KR101776128B1 (en) Security device and operating method thereof
Mopari et al. Detection of DDoS attack and defense against IP spoofing
Simpson et al. Identifying legitimate clients under distributed denial-of-service attacks
Ohsita et al. Deployable overlay network for defense against distributed SYN flood attacks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application