KR20110010050A - 플로우별 동적인 접근제어 시스템 및 방법 - Google Patents

플로우별 동적인 접근제어 시스템 및 방법 Download PDF

Info

Publication number
KR20110010050A
KR20110010050A KR20100043223A KR20100043223A KR20110010050A KR 20110010050 A KR20110010050 A KR 20110010050A KR 20100043223 A KR20100043223 A KR 20100043223A KR 20100043223 A KR20100043223 A KR 20100043223A KR 20110010050 A KR20110010050 A KR 20110010050A
Authority
KR
South Korea
Prior art keywords
access
flow
access control
normal
communication network
Prior art date
Application number
KR20100043223A
Other languages
English (en)
Inventor
고남석
이순석
박종대
노성기
박평구
홍승우
홍성백
문성
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to JP2010165238A priority Critical patent/JP2011030223A/ja
Priority to US12/842,194 priority patent/US20110023088A1/en
Publication of KR20110010050A publication Critical patent/KR20110010050A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

본 발명에 의한 트래픽 분석 및 플로우별 동적인 접근제어 시스템 및 방법에 관한 것으로, 사용자의 외부 통신망을 통한 내부 통신망의 접근에 대한 접근제어 시스템에 있어서, 사용자로부터 수신된 트래픽은 원칙적으로 차단되도록 하는 접근제어 모드에서 동작되며 상기 사용자로부터 수신된 플로우에 대한 특정 패킷으로부터 상기 플로우의 접속허용 상태정보를 생성하고 상기 플로우를 통한 접근이 정상적인 접근인지를 검증하는 접근제어부를 포함하는 것을 특징으로 하며, 정상적인 이용자에 국한하여 내부 네트워크에 접근을 허용하는 능동적 사전 방어 개념으로서, 웜/바이러스에 의한 오염된 시스템으로부터의 공격을 원천 차단하며, 특정 시스템에 대한 사이버 공격을 사전 감지하여 자동적으로 공격을 회피할 수 있도록 하며, 사이버 공격 시에도 내부 망의 성능 저하 없이 정상적인 이용 트래픽에 대한 품질을 보장하는 방법을 제공한다.

Description

플로우별 동적인 접근제어 시스템 및 방법{Method and Apparatus for Protecting Internal Network using Traffic Analysis and Dynamic Network Access Control per Flow}
본 발명은 네트워크에 대한 사이버 공격시 공격 회피 및 정상 트래픽에 대한 품질 보장을 제공할 수 있도록 하는 시스템 및 방법에 관한 것이다.
일반적으로, 서비스 거부(Denial of Service: DoS) 공격은 그 처리 용량을 초과하는 많은 양의 트래픽으로 웹사이트, 인터넷 서비스 제공자(ISP) 및 다른 서버와 같은 네트워크 노드를 망가뜨리고, 그에 따라 공격 지속 기간동안 네트워크에서 망가뜨려진 노드를 파괴하는 것으로 정의된다.
또한, DoS 보다 강한 공격을 하는 분산형 서비스 거부 공격(DDoS)에서는 공격을 시작하고자 하는 공격자가 잘 알려진 보안 허점(loopholes)을 거쳐 많은 노드를 파괴한다. 이렇게 손상된 노드는 반드시 공격자의 종속 제어자가 되고, 네트워크로 트래픽을 주입하는 시작(launch) 지점처럼 행동한다. 따라서, 공격자는 다수의 시작 지점으로부터 트래픽을 캐스캐이딩(cascading)함으로써 대규모 네트워크에 폭 넓은 공격을 시작할 수 있다.
DDoS 공격은 다수의 공격 에이전트를 분산 설치해 두고 동시에 공격함으로써 하나의 시스템 자원뿐 아니라 네트워크 자원까지도 고갈시킬 수 있는 간단하면서도 매우 강력한 공격이다. 실제로 웜 바이러스와 함께 DDoS 공격으로 인한 대량의 이상 트래픽으로 인해 인터넷 사용에 있어서 연결 실패나 속도 저하 등의 문제를 일으키는 사례가 증가하고 있으며, 이로 인한 피해는 점점 더 심각해지고 있는 실정이다. 특히 많은 근거리 통신 네트워크(LAN)가 트리와 같은 계층적인 네트워크 구조를 띄고 있는데, 이러한 경우 특정 라우터가 공격에 의해 마비되면 그 하위 네트워크 또한 인터넷으로의 연결을 잃게 되어 통신이 두절될 수 있어 그 피해 지역은 더욱 커질 수 있다.
DDoS(Distributed Denial of Service)와 같은 사이버 공격을 방어하기 위한 방법으로는 방화벽(Firewall), 침입 탐지 시스템(IDS, Intrusion Detection System), 침입 방지 시스템(IPS, Intrusion Protection System), DDOS 대응시스템 등을 활용한 다양한 방법이 시도되고 있다.
하지만 일반적으로 DDoS와 같은 사이버 공격의 특징은 개인 PC등에 침투된 악성 코드가 공격 대상 시스템의 관점에서는 정상적인 패킷 형태 및 서비스 요청을 수행함으로써 감지 및 통제가 쉽지 않다.
본 발명이 이루고자 하는 기술적 과제는, DDoS등의 사이버 공격에 대한 해결 방법으로서 트래픽 이용형태 분석 및 플로우별 동적인 접근제어를 통한 원천적인 사이버 공격에 대한 통제를 수행함으로써 내부망을 보호하고 정상적인 서비스 이용을 보호하고자 하는 것이다.
본 발명이 이루고자 하는 다른 기술적 과제는, 정상적인 패킷 형태 및 서비스 요청 형태를 가진 DDoS와 같은 사이버 공격을 포함한 다양한 공격 형태에 대하여 실명확인 방법, 암호 및 인증서 인증 방법, 또는 CAPTCHA(Completely Automated Public Turing test to tell Computers and Human Apart) 문자 입력 방법 등을 이용한 플로우별 접근 제어를 수행하여 정상적인 접근 요구로 받아들여진 트래픽 플로우만을 네트워크에 대한 접속을 허용함으로써 다양한 형태의 사이버 공격을 차단할 수 있을 뿐 아니라, 사이버 공격 시에도 네트워크 접속된 기존 트래픽 플로우나 정상 이용 트래픽 플로우에 대한 지속적인 서비스가 가능하도록 한다.
본 발명의 플로우별 동적 접근제어 시스템은 사용자의 외부 통신망을 통한 내부 통신망의 접근에 대한 접근제어 시스템에 있어서, 사용자로부터 수신된 트래픽은 원칙적으로 차단되도록 하는 접근제어 모드에서 동작되며, 상기 사용자로부터 수신된 플로우에 대한 특정 패킷으로부터 상기 플로우의 접속허용 상태정보를 생성하고 상기 플로우를 통한 접근이 정상적인 접근인지를 검증하는 접근제어부를 포함하는 것을 특징으로 한다.
본 발명의 플로우별 동적 접근제어 시스템은 사용자의 외부 통신망을 통한 내부 통신망 접근에 대한 접근제어 시스템에 있어서, 사용자로부터 수신된 트래픽은 원칙적으로 차단되도록 하는 접근제어 모드에서 동작되며, 상기 사용자로부터 수신된 플로우에 대한 특정 패킷으로부터 상기 플로우의 접근허용 상태정보를 생성하는 접근정보 생성부 및 상기 플로우를 통한 접근이 정상적인 접근인지를 검증하는 접근제어 판단부를 포함하는 것을 특징으로 한다.
본 발명의 플로우별 동적 접근제어 방법은 사용자의 외부 통신망을 통한 내부 통신망 접근에 대한 접근제어 시스템을 통한 접근제어 방법에 있어서, 사용자의 접근요구에 해당하는 플로우를 수신하면, 내부 통신망의 접근제어 시스템은 원칙적으로 상기 플로우를 차단하고, 상기 플로우의 접속허용 상태정보를 생성하는 단계, 상기 플로우를 통한 접근이 정상적인 접근인지 검증하는 단계 및 상기 검증한 결과 정상적인 접근에 해당할 경우, 상기 플로우에 대한 접근을 허용하고 상기 플로우의 접속허용 상태정보를 갱신하는 단계를 포함하는 것을 특징으로 한다.
상기 플로우의 첫 번째 패킷을 입력받은 경우에는 상기 패킷이 아웃바운드 패킷에 해당하는 때 정상적인 접근으로 판단하고, 상기 플로우의 첫 번째 패킷이 아닌 패킷을 입력받은 경우에는 상기 플로우의 접속허용 상태정보가 접속허용에 해당하는 때 정상적인 접근으로 판단하는 것을 특징으로 한다.
본 발명에 의한 트래픽 이용 형태 분석 및 플로우별 동적인 접근제어 기반 내부망 보호 방법 및 장치는 DDoS 공격 등과 같이 정상적인 형태의 패킷 형태 및 서비스 요구의 형태를 가지는 사이버 공격을 포함한 다양한 형태의 사이버 공격에 대해서 원천적인 공격 차단이 가능하도록 하여 정상적인 사용자의 내부 네트워크에 대한 지속적인 접속이 가능하도록 한다.
도 1은 본 발명에 바람직한 일 실시예에 따른 플로우별 동적인 접근 제어 기반으로 내부망을 보호하기 위한 전체적인 네트워크 구조도를 나타낸 도면이다.
도 2는 본 발명에 바람직한 일 실시예에 따른 플로우별 동적인 접근 제어 게이트웨이에서의 데이터 트래픽 처리 과정에 대한 흐름도를 나타낸 도면이다.
도 3은 본 발명에 바람직한 일 실시예에 따른 플로우별 동적인 접근 제어 게이트웨이에서의 제어 메시지 수신 처리 과정에 대한 흐름도를 나타낸 도면이다.
도 4는 본 발명에 바람직한 일 실시예에 따른 웹 서버에 사이버 공격을 사전 차단하기 위한 네트워크의 구성 및 처리과정을 나타낸 도면이다.
이하, 첨부된 도면을 참조하여 본 발명의 일 실시예를 상세하게 설명한다.
도 1은 본 발명에 바람직한 일 실시예에 따른 플로우별 동적인 접근 제어 기반으로 내부망을 보호하기 위한 전체적인 네트워크 구조도를 나타낸 도면이다.
도 1에서 네트워크에 대한 사이버 공격시 공격 회피 및 정상 트래픽에 대한 품질 보장을 제공할 수 있도록 하기 위하여 본 발명에 의한 내부망과 외부망의 경계 또는 서버 팜 앞단 등에 위치하는 플로우별 동적인 접근 제어 게이트웨이 시스템에서 외부 이용자로부터의 입력되는 트래픽에 대한 전수검사 또는 특정 사이트로 입력되는 트래픽에 대한 전수검사를 통하여 이상 트래픽의 발생 여부를 감시하도록 한다.
전수 검사는 선택적으로 지정이 될 수 있으며 전수 검사 등을 수행하지 않는 경우에는 운용자의 정적인 설정이나 외부의 트래픽 분석 시스템의 요청에 따른 별도의 제어가 주어질 수 있다.
이상 트래픽 발생이 의심되거나 이상 트래픽의 발생 여부와 무관하게 운용자에 의한 정적인 설정이나 외부의 트래픽 분석 시스템의 요청이 이루어지면 플로우별 동적인 접근 제어 게이트웨이 시스템은 접근 제어 모드로 동작되며 입력 트래픽에 대하여 접근 제어 서버와 연동하여 플로우별로 접근 허용 여부를 확인하고, 허용된 트래픽에 국한하여 트래픽을 내부 네트워크로 전달하도록 함으로써 사이버 공격으로부터 내부 시스템을 원천적으로 봉쇄할 수 있도록 한다.
플로우는 일반적으로 5-튜플 정보(IP 소스 주소, IP 목적지 주소, 프로토콜 번호, 소스 트랜스포트 계층 포트 정보, 목적지 트랜스포트 포트 정보)로 이루어지는 것을 가정하지만 운용자의 설정 또는 응용의 특성에 따라서 IP 패킷의 다른 헤더 정보가 추가 되거나 또는 5-튜플 정보에서 일부 필드를 빼고 이루어질 수 있다. 이는 하나의 극단적인 예로서 IP 소스 주소 하나만으로 플로우가 정의될 수 있음을 내포하고 있다.
플로우별 동적인 접근 제어 게이트웨이 시스템은 접근 제어 모드가 아닌 정상 모드로 동작할 경우에는 모든 트래픽에 대한 접근을 허용하게 되며 접근 제어 모드로 동작할 경우에는 플로우에 대한 첫 번째 패킷에 대하여 플로우의 상태 관리 정보를 생성하고 접근 제어 서버를 통해서 플로우에 대한 기본적인 검증 또는 인증이 이루어질 수 있도록 한다.
해당 플로우에 대한 접속 허용 상태 정보에는 해당 플로우가 아직 네트워크 접속을 위한 허용이 되지 않았음을 표시하게 되고 그 이후의 해당 사용자 또는 플로우로부터의 패킷은 접근 제어 서버로부터 네트워크 접속에 대한 허용을 위한 접근 제어 응답 메시지를 받아 플로우에 대한 상태 관리 정보가 갱신되기 전에는 폐기된다.
도 2는 본 발명에 바람직한 일 실시예에 따른 플로우별 동적인 접근 제어 게이트웨이에서의 데이터 트래픽 처리 과정에 대한 흐름도를 나타낸 도면이다.
플로우의 데이터 패킷을 입력받으면(200) 입력받은 플로우의 첫 번째 패킷인지 여부를 판단한다(210). 첫 번째 패킷이 도착하게 되면 해당 패킷이 해당되는 플로우에 대한 정보를 최초로 구성하여 상태 관리 정보를 생성, 저장하고 있다가 그 이후에 들어오는 동일한 플로우의 다른 패킷의 경우는 저장된 플로우의 상태 관리 정보에 기반하여 패킷을 처리한다.
첫 번째 패킷이 인바운드(외부에서 내부로 들어오는 방향) 패킷의 경우(220)에는 인바운드 플로우 및 아웃바운드(내부에서 외부로 나가는 방향) 플로우의 상태 관리 정보를 원칙적으로 접속거절 상태로 생성한다(221).
입력된 플로우에 대한 접속 거절상태에서 사용자의 접근을 허용되도록 하기 위한 접근제어 요청 메시지를 통하여 시스템에서 사용자의 인증을 수행되도록 한다(222).
플로우의 첫 번째 패킷이 인바운드 패킷이 아닌 경우(220)에는 인바운드 플로우 및 아웃바운드 플로우의 상태 관리 정보를 접속허용 상태로 생성한다(223).
사용자의 접근을 허용하고 패킷의 입출력을 수행되도록 한다(224).
인바운드 플로우뿐 아니라 아웃바운드 플로우의 상태도 함께 설정하는 것은 내부 트래픽을 신뢰하고 그에 대한 응답 역시 신뢰할 수 있다는 가정에 의한 것이다.
입력받은 패킷이 플로우의 첫 번째 패킷이 아닌 경우(210)에는 입력받은 패킷 또는 이 패킷이 해당하는 플로우의 첫 번째 패킷의 상태 관리 정보를 통하여 접속허용 여부(230)를 결정한다. 입력받은 패킷의 접근이 허용될 경우에는 사용자의 접근을 허용하고 패킷의 입출력이 수행되도록 하며(231), 접근이 허용되지 않는 경우에는 입력받은 폐킷을 폐기한다(232). 다만, 이 경우 해당 패킷에 대한 상태 관리 정보가 갱신될 수 있도록 접근제어 요청 메시지를 주기적으로 전송하여 사용자의 인증을 수행할 수 있다.
플로우별 동적인 접근 제어 시스템의 플로우에 대한 상태 관리를 위하여 운용자나 외부의 트래픽 분석 시스템의 선택 또는 응용별 특성 등에 기반하여 입력 트래픽으로부터 추출된 IP 헤더의 다양한 필드를 기반으로 하나의 상태 관리 정보의 관리를 위한 엔트리가 생성되며, 상황에 따라서 해당 플로우에 대한 접속 허용 상태에 따라 해당 트래픽에 대한 반대 방향으로의 트래픽에 대해서도 동시에 적용되도록 하기 위하여 양방향 플로우 모두에 대한 엔트리가 생성되도록 할 수 있다.
도 3은 본 발명에 바람직한 일 실시예에 따른 플로우별 동적인 접근 제어 게이트웨이에서의 제어 메시지 수신 처리 과정에 대한 흐름도를 나타낸 도면이다.
접속이 제한되는(접속거절) 패킷이 입력되면(300), 해당 패킷을 전송한 사용자에 대한 인증을 수행하여 접속허용 여부에 대한 정보를 제어 응답메시지를 통하여 전달받아(310) 입력된 패킷에 해당하는 플로우에 대한 상태 관리 정보를 검색(32)하여 해당 플로우의 상태 관리 정보 엔트리를 갱신하여 접속허용 상태로 설정되도록 업데이트한다(330).
제어 응답메시지를 전달받지 못하면 해당 패킷에 대한 제한을 유지한다(340).
플로우에 대한 검증 또는 인증은 플로우에 대하여 시스템의 보안 레벨 및 운용자의 선택에 의하여 인증서를 통한 강한 인증 방법부터 컴퓨터 프로그램에서 자동적으로 생성된 서비스 요구인지 판단 기능을 위하여 사용되는, 별도의 인증서 인증 시스템이나 CAPTCHA 문자 입력 및 확인 시스템, One Time Password서버 등 다양한 방법이 모두 사용 가능하다.
접근 제어 서버나 접근제어 서버 기능이 수행하는 컴퓨터 프로그램에서 자동적으로 생성된 서비스 요구인지 사람에 의한 정상적인 서비스 요구인지를 판단 기능을 위하여 사용되는, 별도의 인증서 인증 시스템이나 CAPTCHA 문자 입력 및 확인 시스템, One Time Password서버 등을 포함한 인증 시스템과의 연동을 통한 동적으로 수행하는 접근제어 방법을 포함한다.
접근 제어 서버의 판단에 따라서 합법적인 플로우로 판단된 경우 플로우별 동적인 접근 제어 시스템에 플로우에 대한 접근 허용 명령을 전달한다.
도 4는 본 발명에 바람직한 일 실시예에 따른 웹 서버에 사이버 공격을 사전 차단하기 위한 네트워크의 구성 및 처리과정을 나타낸 도면이다.
내부 네트워크의 웹서버 접속에 대한 사이버 공격 원천 방지를 위한 방법에 대한 일 실시예로서 앞서 설명한 원칙적인 방법을 따라서 다양한 형태로 구현이 가능하다.
도 4에서 보이는 플로우별 동적인 접근 제어 시스템이 웹 리다이렉트 서버와 연동하여 웹 트래픽에 대하여 플로우 별로 첫 번째 패킷에 대해서 플로우 상태 정보를 생성하고 리다이렉트 서버가 CAPTCHA 문자 입력 서버 또는 아이디/패스워드 인증 서버와 같은 접속 제어 서버로 사용자의 트래픽을 리다이렉션 시켜 인증을 받도록 하고 인증받은 결과를 플로우별 동적인 접근 제어 게이트웨이 시스템에 전달하여 플로우별 동적인 접근 제어 게이트웨이 시스템에서 플로우 엔트리의 접속 허용여부를 갱신함으로써 해당 플로우의 다른 패킷의 허용 및 거절을 제어할 수 있다.
본 발명의 일 양상은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현될 수 있다. 상기의 프로그램을 구현하는 코드들 및 코드 세그먼트들은 당해 분야의 컴퓨터 프로그래머에 의하여 용이하게 추론될 수 있다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 디스크 등을 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드로 저장되고 실행될 수 있다.
이상의 설명은 본 발명의 일 실시예에 불과할 뿐, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 본질적 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현할 수 있을 것이다. 따라서, 본 발명의 범위는 전술한 실시예에 한정되지 않고 특허 청구범위에 기재된 내용과 동등한 범위 내에 있는 다양한 실시 형태가 포함되도록 해석되어야 할 것이다.

Claims (12)

  1. 사용자의 외부 통신망을 통한 내부 통신망의 접근에 대한 접근제어 시스템에 있어서,
    상기 사용자로부터 수신된 플로우에 대한 특정 패킷으로부터 상기 플로우의 접속허용 상태정보를 생성하고 상기 플로우를 통한 접근이 정상적인 접근인지를 검증하는 접근제어부;를 포함하는 것을 특징으로 하는 플로우별 동적 접근제어 시스템.
  2. 사용자의 외부 통신망을 통한 내부 통신망 접근에 대한 접근제어 시스템에 있어서,
    사용자로부터 수신된 트래픽은 원칙적으로 차단되도록 하는 접근제어 모드에서 동작되며, 상기 사용자로부터 수신된 플로우에 대한 특정 패킷으로부터 상기 플로우의 접근허용 상태정보를 생성하는 접근정보 생성부; 및
    상기 플로우를 통한 접근이 정상적인 접근인지를 검증하는 접근제어 판단부;를 포함하는 것을 특징으로 하는 플로우별 동적 접근제어 시스템.
  3. 제 1 항에 있어서,
    상기 접근제어부는 원칙적으로 차단되도록 하는 접근제어 모드에서 동작되며, 상기 접근제어부가 접근제어 모드에서 동작되는 경우, 상기 플로우의 접근허용 상태정보를 내부 통신망에 대한 접근이 허용되지 않도록 표시하는 것을 특징으로 하는 플로우별 동적 접근제어 시스템.
  4. 제 1 항에 있어서,
    상기 접근제어부는 상기 검증한 결과 정상적인 접근에 해당할 경우 상기 플로우에 대한 접근이 허용되도록 하는 정상모드에서 동작하고, 상기 플로우의 접속허용 상태정보를 내부 통신망에 대한 접근이 허용되도록 갱신하는 것을 특징으로 하는 플로우별 동적 접근제어 시스템.
  5. 제 1 항에 있어서,
    상기 접근제어부에서 상기 플로우를 통한 접근이 정상적인 접근인지를 검증하는 것은 상기 사용자로부터 입력되는 트래픽에 대한 전수검사 또는 특정 통신망을 통하여 입력되는 트래픽에 대한 전수검사를 통하여 수행되는 것을 특징으로 하는 플로우별 동적 접근제어 시스템.
  6. 제 5 항에 있어서,
    상기 전수검사는 선택적으로 수행될 수 있으며, 상기 내부 통신망의 운용정책에 따라 기설정된 검사만을 수행하는 것을 특징으로 하는 플로우별 동적 접근제어 시스템.
  7. 제 5 항에 있어서,
    상기 전수검사는 선택적으로 수행될 수 있으며, 상기 내부 통신망의 보안레벨 또는 운용자의 선택을 위한 인증 또는 상기 사용자에 의한 정상적인 접근요구인지에 대한 인증을 통하여 수행하는 것을 특징으로 하는 플로우별 동적 접근제어 시스템.
  8. 제 1 항에 있어서,
    상기 접근제어부는 상기 사용자로부터 수신된 플로우가 내부 통신망으로부터 전송된 트래픽에 대한 응답인 경우, 상기 플로우에 대한 접근이 허용되도록 하는 정상모드에서 동작하는 것을 특징으로 하는 플로우별 동적 접근제어 시스템.
  9. 제 2 항에 있어서,
    상기 접근정보 생성부는 상기 접근제어 모드에 해당하는 접근제어 상태정보를 생성한 후 상기 접근제어 판단부에 상기 플로우에 접근제어 상태정보 갱신여부 확인을 위한 접근제어 요청메시지를 전송하는 것을 특징으로 하는 플로우별 동적 접근제어 시스템.
  10. 제 9 항에 있어서,
    상기 접근제어 판단부에서 검증한 결과, 정상적인 접근에 해당할 경우 상기 접근제어 판단부는 상기 플로우에 대한 접근이 정상적인 접근임을 알리는 접근제어 응답 메시지를 상기 접근제어부에 전송하고,
    상기 접근제어 응답 메시지를 전송받은 접근제어부는 상기 플로우에 대한 접근이 허용되도록 하는 정상모드에서 동작되며 상기 정상모드에 해당하는 접근제어 상태정보로 갱신하는 것을 특징으로 하는 플로우별 동적 접근제어 시스템.
  11. 사용자의 외부 통신망을 통한 내부 통신망 접근에 대한 접근제어 시스템을 통한 접근제어 방법에 있어서,
    상기 내부 통신망의 접근제어 시스템은 상기 사용자의 접근요구에 해당하는 플로우를 수신하면, 원칙적으로 상기 플로우를 차단하고, 상기 플로우의 접속허용 상태정보를 생성하는 단계;
    상기 접근제어 시스템은 상기 플로우를 통한 접근이 정상적인 접근인지 검증하는 단계; 및
    상기 접근제어 시스템은 상기 검증한 결과 정상적인 접근에 해당할 경우, 상기 플로우에 대한 접근을 허용하고 상기 플로우의 접속허용 상태정보를 갱신하는 단계;를 포함하는 것을 특징으로 하는 플로우별 동적 접근제어 방법.
  12. 제 11 항에 있어서, 상기 검증하는 단계는
    상기 플로우의 첫 번째 패킷을 입력받은 경우에는 상기 패킷이 아웃바운드 패킷에 해당하는 때 정상적인 접근으로 판단하고,
    상기 플로우의 첫 번째 패킷이 아닌 패킷을 입력받은 경우에는 상기 플로우의 접속허용 상태정보가 접속허용에 해당하는 때 정상적인 접근으로 판단하는 것을 특징으로 하는 플로우별 동적 접근제어 방법.
KR20100043223A 2009-07-23 2010-05-07 플로우별 동적인 접근제어 시스템 및 방법 KR20110010050A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2010165238A JP2011030223A (ja) 2009-07-23 2010-07-22 フロー別の動的接近制御システム及び方法
US12/842,194 US20110023088A1 (en) 2009-07-23 2010-07-23 Flow-based dynamic access control system and method

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20090067516 2009-07-23
KR1020090067516 2009-07-23

Publications (1)

Publication Number Publication Date
KR20110010050A true KR20110010050A (ko) 2011-01-31

Family

ID=43615578

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20100043223A KR20110010050A (ko) 2009-07-23 2010-05-07 플로우별 동적인 접근제어 시스템 및 방법

Country Status (2)

Country Link
JP (1) JP2011030223A (ko)
KR (1) KR20110010050A (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6493201B2 (ja) * 2015-12-28 2019-04-03 株式会社ナカヨ 内線設定変更機能を有するゲートウェイ装置
JP7211765B2 (ja) * 2018-10-30 2023-01-24 日本電信電話株式会社 パケット転送装置、方法、及びプログラム

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005203890A (ja) * 2004-01-13 2005-07-28 Victor Co Of Japan Ltd アクセス制御装置及びアクセス制御システム

Also Published As

Publication number Publication date
JP2011030223A (ja) 2011-02-10

Similar Documents

Publication Publication Date Title
Masdari et al. A survey and taxonomy of DoS attacks in cloud computing
US9723019B1 (en) Infected endpoint containment using aggregated security status information
US7735116B1 (en) System and method for unified threat management with a relational rules methodology
EP2769509B1 (en) System and method for redirected firewall discovery in a network environment
US9407602B2 (en) Methods and apparatus for redirecting attacks on a network
US7984493B2 (en) DNS based enforcement for confinement and detection of network malicious activities
KR101568713B1 (ko) 호스트 및 게이트웨이를 인터로킹하기 위한 시스템 및 방법
EP3643001B1 (en) Actively monitoring encrypted traffic by inspecting logs
JP2015050767A (ja) ホワイトリスト基盤のネットワークスイッチ
JP2008508805A (ja) 電子トラフィックを特徴づけ、管理するシステムおよび方法
US20110023088A1 (en) Flow-based dynamic access control system and method
JP6737610B2 (ja) 通信装置
US11595385B2 (en) Secure controlled access to protected resources
US20090094691A1 (en) Intranet client protection service
van Oorschot et al. Intrusion detection and network-based attacks
Amiri et al. Theoretical and experimental methods for defending against DDoS attacks
JP2017212705A (ja) 通信制御装置、通信システム、通信制御方法、及びプログラム
KR20110010050A (ko) 플로우별 동적인 접근제어 시스템 및 방법
Chang A proactive approach to detect IoT based flooding attacks by using software defined networks and manufacturer usage descriptions
JP2006501527A (ja) ネットワーク・サービスプロバイダおよびオペレータのサーバシステムに対する攻撃の確認と防御のための方法、データキャリア、コンピュータシステム、およびコンピュータプログラム
Khirwadkar Defense against network attacks using game theory
Garg et al. Security of Modern Networks and Its Challenges
Holik Protecting IoT Devices with Software-Defined Networks
Pandey et al. APTIKOM Journal on Computer Science and Information Technologies
Lin et al. DAMUP: Practical and privacy-aware cloud-based DDoS mitigation

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application