KR20130124692A - 유해 트래픽의 필터링 정보 관리 시스템 및 그 방법 - Google Patents

유해 트래픽의 필터링 정보 관리 시스템 및 그 방법 Download PDF

Info

Publication number
KR20130124692A
KR20130124692A KR1020120048001A KR20120048001A KR20130124692A KR 20130124692 A KR20130124692 A KR 20130124692A KR 1020120048001 A KR1020120048001 A KR 1020120048001A KR 20120048001 A KR20120048001 A KR 20120048001A KR 20130124692 A KR20130124692 A KR 20130124692A
Authority
KR
South Korea
Prior art keywords
traffic
filtering information
information
harmful
edge router
Prior art date
Application number
KR1020120048001A
Other languages
English (en)
Inventor
윤현식
강경순
강유화
강현주
김학서
안병준
이경호
전기철
정부금
박혜숙
이순석
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020120048001A priority Critical patent/KR20130124692A/ko
Priority to US13/747,776 priority patent/US20130298220A1/en
Publication of KR20130124692A publication Critical patent/KR20130124692A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/04Interdomain routing, e.g. hierarchical routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 유해 트래픽의 필터링 정보 관리 시스템 및 그 방법에 관한 것으로서, 상세하게는 뒷 단에 위치한 제2 자율 시스템(AS: Autonomous System)의 엣지 라우터에서 유해 트래픽을 검출하여 트래픽 필터링 정보를 설정한 경우, 그 유해 트래픽이 전송된 앞 단의 제1 자율 시스템으로 경계 경로 프로토콜(BGP: Border Gateway Protocol)을 통해 트래픽 필터링 정보를 전송하고, 해당 제1 자율 시스템에서 전송받은 트래픽 필터링 정보를 관련 라우터에 적용함으로써, 유해 트래픽이 전송되는 앞 단에서 유해 트래픽을 사전에 차단할 수 있다.

Description

유해 트래픽의 필터링 정보 관리 시스템 및 그 방법{SYSTEM AND METHOD FOR MANAGING FILTERING INFORMATION OF ATTACK TRAFFIC}
본 발명은 유해 트래픽의 필터링 정보 관리 시스템 및 그 방법에 관한 것으로서, 상세하게는 뒷 단에 위치한 제2 자율 시스템(AS: Autonomous System)의 엣지 라우터 에서 유해 트래픽을 검출하여 트래픽 필터링 정보를 설정한 경우, 그 유해 트래픽이 전송된 앞 단의 제1 자율 시스템으로 경계 경로 프로토콜(BGP: Border Gateway Protocol)을 통해 트래픽 필터링 정보를 전송하고, 해당 제1 자율 시스템에서 전송받은 트래픽 필터링 정보를 관련 라우터에 적용함으로써, 유해 트래픽이 전송되는 앞 단에서 유해 트래픽을 사전에 차단할 수 있는, 유해 트래픽의 필터링 정보 관리 시스템 및 그 방법에 관한 것이다.
최근 급증하고 있는 인터넷의 물결에 편승하여 통신망을 통한 악성 소프트웨어(Malicious Software) 또는 악성 코드(Malicious Code)의 전염 경로가 다양해지고 있다. 이로 인한 피해 정도가 매년 증가하고 있다. 악성 코드란 사용자의 의사와 이익에 반하여 시스템을 파괴하거나 정보를 유출하는 등 악의적 활동을 수행하도록 의도적으로 제작된 소프트웨어를 말한다. 이러한 악성 코드의 종류로는 바이러스(virus), 웜(worm), 트로이얀(trojan), 백도어(backdoor) 등의 해킹툴 및 악의적인 스파이웨어(spyware), 애드웨어(ad-ware) 등이 있다. 이들은 자기 복제나 자동 번식 기능을 구비한 채, 사용자 ID와 암호 등의 개인 정보 유출, 대상 시스템 통제, 파일 삭제 변경/시스템 파괴, 응용 프로그램/시스템의 서비스 거부, 핵심 자료 유출, 다른 해킹 프로그램 설치 등의 문제를 일으켜 그 피해가 매우 다양하고 심각하다.
이러한 악성 소프트웨어 또는 악성 코드로 인한 피해로서 최근에는 디도스(DDoS: Distributed Denial of Service)에 의한 피해가 심각하게 대두되고 있다. 디도스(DDoS) 공격은 해킹 방식의 하나로서 여러 대의 공격자를 분산 배치하여 동시에 서비스 거부 공격을 함으로써 시스템이 더 이상 정상적인 서비스를 제공할 수 없도록 만드는 것을 말한다.
디도스(DDoS) 공격은 통상 분산 서비스 거부 공격이라고도 하는데, 여러 대의 공격자를 분산 배치하여 동시에 동작하게 함으로써 특정 사이트를 공격하는 해킹 방식의 하나이다. 디도스(DDoS) 공격은 서비스 공격을 위한 도구들을 여러 대의 컴퓨터에 심어놓고 공격 목표인 사이트의 컴퓨터 시스템이 처리할 수 없을 정도로 엄청난 분량의 패킷을 동시에 범람시킴으로써, 네트워크의 성능을 저하시키거나 시스템을 마비시키는 방식이다. 이로써 이용자는 정상적으로 접속할 수 없는 것은 물론 심한 경우에는 주 컴퓨터의 기능에 치명적 손상을 입을 수 있다. 또한, 수많은 컴퓨터 시스템이 사용자도 모르는 사이에 해킹의 숙주로 이용될 수도 있다. 공격은 일반적으로 악성 코드나 이메일 등을 통하여 일반 사용자의 PC를 감염시켜 이른바 좀비 PC(Zombie PC)로 만든 다음 봇넷 C&C(Command & Control) 서버의 제어를 통하여 특정한 시간대에 수행된다.
이러한 네트워크 피해에 대비하여, 최근에는 다양한 방식으로 분산 서비스 거부 공격에 대한 방어 조치가 취해지고 있다. 그 중에 대표적인 유해 트래픽 방어 방법은 봇넷 또는 좀비 PC에서 발생하는 유해 트래픽의 IP를 라우터로 입력하여 해당 트래픽을 유해 트래픽 검사 및 차단 장비로 유입되도록 한다. 이후, 정밀한 검사를 통해 유해 트래픽은 차단하고 정상 트래픽은 다시 원래의 목적지로 전송한다.
전술된 바와 같이, 일반적으로 디도스 공격으로 대표되는 유해 트래픽의 검출 시, 해당 시스템 및 네트워크는 관련 유해 트래픽을 필터링하거나 그 유해 트래픽에 대해서 방어 조치를 수행한다.
종래의 유해 트래픽 방어 방법을 통해 해당 네트워크의 안전성은 보장이 된다. 하지만, 해당 네트워크로 상기의 유해 트래픽을 전송하는 앞 단의 네트워크는 해당 유해 트래픽의 존재를 인지하지 못한다. 해당 유해 트래픽의 존재를 인지하지 못하는 앞 단의 자율 시스템(AS)은 차단될 유해 트래픽을 계속 뒷 단의 자율 시스템으로 전송하게 되는 문제점이 있다. 즉, 뒷 단의 자율 시스템은 유해 트래픽을 필터링하는 반면, 계속해서 앞 단의 자율 시스템으로부터 전송의 필요성이 없는 유해 트래픽을 수신하게 되는 문제점이 있다. 이로써, 앞 단의 네트워크는 전송의 의미가 없는 트래픽을 네트워크 자원을 낭비하면서 계속 전송한다.
아울러 종래의 유해 트래픽 방어 방법은 해당 유해 트래픽의 IP 정보만을 이용해서 차단함으로써, 다양한 트래픽 플로우를 제어하지 못하는 문제점이 있다. 또한, 종래의 유해 트래픽 방어 방법은 유해 트래픽의 차단을 위해 해당 트래픽의 IP 정보를 라우팅 테이블에 입력하게 된다. 하지만, 이러한 경우에 라우팅 테이블에 라우팅 정보와 필터링 정보가 혼재되는 문제점도 있다.
본 발명은 상기의 문제점을 해결하기 위해 창안된 것으로서, 뒷 단에 위치한 제2 자율 시스템의 엣지 라우터에서 유해 트래픽을 검출하여 트래픽 필터링 정보를 설정한 경우, 그 유해 트래픽이 전송된 앞 단의 제1 자율 시스템으로 경계 경로 프로토콜을 통해 트래픽 필터링 정보를 전송하고, 해당 제1 자율 시스템에서 전송받은 트래픽 필터링 정보를 관련 라우터에 적용함으로써, 유해 트래픽이 전송되는 앞 단에서 유해 트래픽을 사전에 차단할 수 있으며 불필요한 트래픽의 전송을 위한 망 자원의 낭비를 해소할 수 있는, 유해 트래픽의 필터링 정보 관리 시스템 및 그 방법을 제공하는 것을 그 목적으로 한다.
또한, 본 발명은 IP 주소뿐만 아니라 트래픽을 보다 세밀하게 구분할 수 있는 플로우 정보가 포함된 트래픽 필터링 정보를 전송함으로써 보다 정밀한 트래픽 필터링이 가능하다.
마지막으로 트래픽 필터링 정보를 라우팅 테이블이 아닌 필터링 테이블에 저장함으로써, 라우팅 정보와 필터링 정보를 용이하게 구분할 수 있는, 유해 트래픽의 필터링 정보 관리 시스템 및 그 방법을 제공하는 것을 목적으로 한다.
이를 위하여, 본 발명의 제1 측면에 따른 시스템은, 제2 자율 시스템 내에 위치하고, 입력된 트래픽 중에서 유해 트래픽을 기 설정된 정책에 따라 검출하고, 상기 검출된 유해 트래픽에 해당하는 트래픽 필터링 정보를 설정하여 상기 검출된 유해 트래픽을 차단하고, 상기 설정된 트래픽 필터링 정보를 제1 자율 시스템으로 전송하는 제2 엣지 라우터; 및 상기 제1 자율 시스템 내에 위치하고, 상기 제2 엣지 라우터로부터 수신된 트래픽 필터링 정보를 인터페이스에 설정하고, 상기 설정된 트래픽 필터링 정보를 상기 제1 자율 시스템 내의 다른 엣지 라우터로 전송하는 제1 엣지 라우터를 포함하고, 상기 제1 자율 시스템은 상기 제2 자율 시스템의 앞 단에 위치하는 것을 특징으로 한다.
본 발명의 제2 측면에 따른 방법은, 제2 자율 시스템 내에 위치한 제2 엣지 라우터는 입력된 트래픽 중에서 유해 트래픽을 기 설정된 정책에 따라 검출하는 트래픽 검출 단계; 상기 제2 엣지 라우터는 상기 검출된 유해 트래픽에 해당하는 트래픽 필터링 정보를 설정하여 상기 검출된 유해 트래픽을 차단하는 트래픽 필터링 단계; 상기 제2 엣지 라우터는 상기 설정된 트래픽 필터링 정보를 제1 자율 시스템으로 전송하는 필터링 정보 전송 단계; 상기 제1 자율 시스템에 위치한 제1 엣지 라우터는 상기 제2 엣지 라우터로부터 수신된 트래픽 필터링 정보를 인터페이스에 설정하는 필터링 정보 설정 단계; 및 상기 제1 엣지 라우터는 상기 설정된 트래픽 필터링 정보를 상기 제1 자율 시스템 내의 다른 엣지 라우터로 전달하는 필터링 정보 전달 단계를 포함하는 것을 특징으로 한다.
본 발명은, 뒷 단에 위치한 제2 자율 시스템의 엣지 라우터에서 유해 트래픽을 검출하여 트래픽 필터링 정보를 설정한 경우, 그 유해 트래픽이 전송된 앞 단의 제1 자율 시스템으로 경계 경로 프로토콜을 통해 트래픽 필터링 정보를 전송하고, 해당 제1 자율 시스템에서 전송받은 트래픽 필터링 정보를 관련 라우터에 적용함으로써, 유해 트래픽이 전송되는 앞 단에서 유해 트래픽을 사전에 차단할 수 있으며 불필요한 트래픽의 전송을 위한 망 자원의 낭비를 해소할 수 있는 효과가 있다.
또한, 본 발명은 IP 주소뿐만 아니라 트래픽을 보다 세밀하게 구분할 수 있는 플로우 정보가 포함된 트래픽 필터링 정보를 전송함으로써, 보다 정밀한 트래픽 필터링이 가능하다.
마지막으로 트래픽 필터링 정보를 라우팅 테이블이 아닌 필터링 테이블에 저장함으로써, 라우팅 정보와 필터링 정보를 용이하게 구분할 수 있는 효과가 있다.
도 1은 본 발명에 따른 유해 트래픽의 필터링 정보 관리 시스템의 일실시예 구성도이다.
도 2는 본 발명에 따른 도 1의 엣지 라우터 C의 일실시예 구성도이다.
도 3은 본 발명에 따른 도 1의 엣지 라우터 B의 일실시예 구성도이다.
도 4는 본 발명에 따른 엣지 라우터 C에서의 유해 트래픽의 필터링 정보 관리 방법에 대한 일실시예 예시도이다.
도 5는 본 발명에 따른 엣지 라우터 B에서의 유해 트래픽의 필터링 정보 관리 방법에 대한 일실시예 예시도이다.
이하, 첨부된 도면을 참조하여 본 발명에 따른 실시 예를 상세하게 설명한다. 본 발명의 구성 및 그에 따른 작용 효과는 이하의 상세한 설명을 통해 명확하게 이해될 것이다. 본 발명의 상세한 설명에 앞서, 동일한 구성요소에 대해서는 다른 도면 상에 표시되더라도 가능한 동일한 부호로 표시하며, 공지된 구성에 대해서는 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 구체적인 설명은 생략하기로 함에 유의한다.
도 1은 본 발명에 따른 유해 트래픽의 필터링 정보 관리 시스템의 일실시예 구성도이다.
도 1에 도시된 바와 같이, 유해 트래픽의 필터링 정보 관리 시스템(100)은 제1 자율 시스템(110) 및 제2 자율 시스템(120)을 포함한다. 여기서, 제1 자율 시스템(110)은 엣지 라우터 A(111) 및 엣지 라우터 B(112)를 포함한다. 제2 자율 시스템(120)은 엣지 라우터 C(121), 엣지 라우터 D(122) 및 서버 그룹(123)을 포함한다. 제1 자율 시스템(110)은 제2 자율 시스템(120)의 앞 단에 위치하여 트래픽을 제2 자율 시스템(120)으로 전송한다.
제1 자율 시스템(110)과 제2 자율 시스템(120)은 엣지 라우터 B(112)와 엣지 라우터 C(121)를 통해 연결된다. 제1 자율 시스템(110)과 제2 자율 시스템(120)은 외부 경계 경로 프로토콜(EBGP: External Border Gateway Protocol)을 통해 각 자율 시스템의 라우팅 정보를 교환한다. 또한, 동일 자율 시스템 내의 엣지 라우터들(예컨대, 엣지 라우터 A(111)와 엣지 라우터 B(112), 또는 엣지 라우터 C(121)와 엣지 라우터 D(122)) 간에는 내부 경계 경로 프로토콜(IBGP: Internal Border Gateway Protocol)을 통해 라우팅 정보를 교환한다. 아울러 각각의 자율 시스템 내부의 라우터들은 내부 경로 프로토콜(IGP: Internal Gateway Protocol)인 OSPF(Open Shortest Path First), IS-IS(Intermediate System to Intermediate System), RIP(Routing Information Protocol) 등을 이용해서 라우팅 정보를 교환한다.
이하, 본 발명에 따른 유해 트래픽의 필터링 정보 관리 시스템(100)에 포함된 제2 자율 시스템(120) 및 제1 자율 시스템(110)의 구성요소 각각에 대하여 살펴보기로 한다.
엣지 라우터 C(121)는 제2 자율 시스템(120) 내에 위치한다. 엣지 라우터 C(121)는 제1 자율 시스템(110)으로부터 입력된 트래픽 중에서 유해 트래픽을 기 설정된 정책에 따라 검출하고, 그 검출된 유해 트래픽에 해당하는 트래픽 필터링 정보를 설정하여 유해 트래픽을 차단한다. 그리고 엣지 라우터 C(121)는 설정된 트래픽 필터링 정보를 제1 자율 시스템(110)으로 전송한다.
예를 들어, 엣지 라우터 C(121)는 디도스 공격을 검출하고 디도스 공격에 해당하는 유해 트래픽 정보를 확보한다. 이후, 엣지 라우터 C(121)는 네트워크의 안전성을 확보하기 위해 해당 유해 트래픽이 입력되는 엣지 라우터 C(121)의 인터페이스에 해당 트래픽 필터링 정보를 설정한다.
이때, 트래픽 필터링 정보는 IP 주소 외에 해당 트래픽의 플로우를 구분할 수 있는 프로토콜 ID, 소스 포트 정보, 목적지 포트 정보, 인터넷 제어 메시지 프로토콜(ICMP: Internet Control Message Protocol) 타입 정보, 인터넷 제어 메시지 프로토콜 코드 정보 등을 포함한다. 엣지 라우터 C(121)는 트래픽 필터링 정보를 이웃한 라우터 간에 경계 경로 프로토콜을 통해 전송한다. 일례로, 트래픽 필터링 정보의 전송 방법은 IETF(Internet Engineering Task Force) RFC 5575의 규격을 따를 수 있다.
한편, 엣지 라우터 B(112)는 제1 자율 시스템(110) 내에 위치한다. 엣지 라우터 B(112)는 엣지 라우터 C(121)로부터 수신된 트래픽 필터링 정보를 인터페이스에 설정한다. 즉, 엣지 라우터 C(121)로부터 트래픽 필터링 정보가 전송된 후, 엣지 라우터 B(112)는 관련 트래픽 필터링 정보를 유해 트래픽이 입력되는 입력 인터페이스에 설정한다. 엣지 라우터 B(112)는 그 설정된 트래픽 필터링 정보를 제1 자율 시스템(110) 내의 다른 엣지 라우터로 전송한다. 즉, 엣지 라우터 B(112)는 트래픽 필터링 정보를 입력받은 제2 자율 시스템(120)의 엣지 라우터 C(121)를 제외한 경계 경로 프로토콜 연결이 설정된 모든 라우터로 트래픽 필터링 정보를 전달한다.
도 2는 본 발명에 따른 도 1의 엣지 라우터 C의 일실시예 구성도이다.
도 2에 도시된 바와 같이, 엣지 라우터 C(121)는 공격 검출부(210), 운용자 명령 설정부(220), 경계 경로 프로토콜부(230), 필터링 정보 저장부(240), 트래픽 필터링부(250), 패킷 분석부(260) 및 인터페이스 관리부(270)를 포함한다.
공격 검출부(210)는 엣지 라우터 C(121)로 입력된 트래픽 중에서 유해 트래픽을 기 설정된 정책에 따라 검출하고, 그 검출된 유해 트래픽에 해당하는 트래픽 필터링 정보를 설정한다. 예를 들어, 공격 검출부(210)는 디도스 공격으로 판정된 트래픽 정보를 분석하여 차단해야 할 트래픽 필터링 정보를 설정한다.
운용자 명령 설정부(220)는 라우터 설정 관련 명령어를 입력받아 트래픽 필터링 정보를 설정한다.
경계 경로 프로토콜부(230)는 경계 경로 프로토콜과 관련된 기능을 처리한다. 경계 경로 프로토콜부(230)는 공격 검출부(210) 또는 운용자 명령 설정부(220)에 의해 설정된 트래픽 필터링 정보를 제1 자율 시스템(110) 내에 위치한 엣지 라우터 B(112)로 전송한다. 이때, 경계 경로 프로토콜부(230)는 이웃한 피어 경계 경로(Peer BGP) 모듈이 있는 엣지 라우터 B(112)로 전송한다.
필터링 정보 저장부(240)는 공격 검출부(210) 또는 운용자 명령 설정부(220)에 의해 설정된 트래픽 필터링 정보를 저장한다. 이때, 필터링 정보 저장부(240)는 트래픽 필터링 정보를 라우팅 테이블이 아닌 필터링 테이블에 저장함으로써, 라우팅 정보와 필터링 정보를 용이하게 구분할 수 있다. 그리고 필터링 정보 저장부(240)는 이전에 저장된 트래픽 필터링 정보가 변경되면, 변경된 트래픽 필터링 정보를 갱신하여 저장한다.
트래픽 필터링부(250)는 공격 검출부(210) 또는 운용자 명령 설정부(220)에 의해 설정된 트래픽 필터링 정보에 기초하여 공격 검출부(210)에서 검출된 유해 트래픽을 차단한다.
패킷 분석부(260)는 패킷 상세 분석(Deep Packet Inspection) 기능을 수행한다. 패킷 분석부(260)는 수신된 트래픽 필터링 정보에 해당하는 트래픽을 검출하기 위하여, 트래픽의 IP 주소 정보, 프로토콜 ID, 소스 포트 정보, 목적지 포트 정보, 인터넷 제어 메시지 프로토콜(ICMP) 타입 정보, 인터넷 제어 메시지 프로토콜(ICMP) 코드 정보 중 적어도 하나를 분석한다. 패킷 분석부(260)는 이를 통해 트래픽의 IP 주소 정보뿐만 아니라 트래픽 플로우를 구분할 수 있다.
인터페이스 관리부(270)는 엣지 라우터 C(121)의 물리적 및 논리적 인터페이스 정보를 관리한다.
도 3은 본 발명에 따른 도 1의 엣지 라우터 B의 일실시예 구성도이다.
도 3에 도시된 바와 같이, 엣지 라우터 B(112)는 경계 경로 프로토콜부(310), 인터페이스 관리부(320), 패킷 분석부(330), 트래픽 필터링부(340) 및 필터링 정보 저장부(350)를 포함한다.
경계 경로 프로토콜부(310)는 제2 자율 시스템(120) 내에 위치한 엣지 라우터 C(121)로부터 수신된 트래픽 필터링 정보를 인터페이스에 설정한다. 이를 구체적으로 살펴보면, 경계 경로 프로토콜부(310)는 인터페이스 관리부(320)에 입력 인터페이스 외에 동작 중인 인터페이스의 정보를 요청한다. 그리고 경계 경로 프로토콜부(310)는 동작 중인 인터페이스가 존재하는 경우에 패킷 분석부(330)로 해당 유해 트래픽이 입력되는 인터페이스에 대한 정보를 요청한다.
요청 결과, 경계 경로 프로토콜부(310)는 트래픽 필터링 정보에 해당하는 유해 트래픽이 입력되는 인터페이스가 있으면, 해당 인터페이스로 트래픽 필터링 정보를 설정한다. 반면, 경계 경로 프로토콜부(310)는 현재 유해 트래픽이 입력되는 인터페이스가 없으면, 동작 중인 모든 인터페이스에 트래픽 필터링 정보를 설정한다.
이후, 경계 경로 프로토콜부(310)는 유해 트래픽에 대한 트래픽 필터링 정보를 받은 엣지 라우터 C(121) 외에 다른 피어 경계 경로 프로토콜 모듈이 동작하는 엣지 라우터가 존재하는지를 확인한다.
만약, 경계 경로 프로토콜부(310)는 다른 엣지 라우터가 존재하면 트래픽 필터링 정보를 해당 엣지 라우터로 전달한다. 즉, 경계 경로 프로토콜부(310)는 설정된 트래픽 필터링 정보를 제1 자율 시스템(110) 내의 다른 엣지 라우터인 엣지 라우터 A(111)로 전송한다. 반면, 경계 경로 프로토콜부(310)는 다른 엣지 라우터가 존재하지 않으면, 동작을 종료한다.
여기서, 인터페이스 관리부(320)는 물리적 및 논리적 인터페이스 정보를 관리한다.
패킷 분석부(330)는 수신된 트래픽 필터링 정보에 해당하는 트래픽을 검출하기 위하여, 트래픽의 IP 주소 정보, 프로토콜 ID, 소스 포트 정보, 목적지 포트 정보, 인터넷 제어 메시지 프로토콜(ICMP) 타입 정보, 인터넷 제어 메시지 프로토콜(ICMP) 코드 정보 중 적어도 하나를 분석한다.
트래픽 필터링부(340)는 경계 경로 프로토콜부(310)에 의해 설정된 트래픽 필터링 정보에 기초하여 검출된 유해 트래픽을 차단한다.
필터링 정보 저장부(350)는 트래픽 필터링 정보를 저장한다. 이때, 필터링 정보 저장부(240)는 트래픽 필터링 정보를 라우팅 테이블이 아닌 필터링 테이블에 저장함으로써, 라우팅 정보와 필터링 정보를 용이하게 구분할 수 있다. 그리고 필터링 정보 저장부(350)는 경계 경로 프로토콜부(310)에서 수신된 트래픽 필터링 정보를 갱신하여 저장한다.
도 4는 본 발명에 따른 엣지 라우터 C에서의 유해 트래픽의 필터링 정보 관리 방법에 대한 일실시예 예시도이다.
공격 검출부(210)는 디도스(DDoS) 공격을 감지하고, 디도스 공격에 해당하는 유해 트래픽 정보를 검출한다(S402).
운용자 명령 설정부(220) 또는 공격 검출부(210)에 의해 유해 트래픽 필터링 정보가 설정된다(S404).
필터링 정보 저장부(240)는 해당 트래픽 필터링 정보를 갱신하여 저장한다(S406).
트래픽 필터링부(250)는 트래픽 필터링 정보에 따라 유해 트래픽을 차단한다(S408).
경계 경로 프로토콜부(230)는 엣지 라우터 B(112)로 유해 트래픽 필터링 정보를 전달한다(S410).
도 5는 본 발명에 따른 엣지 라우터 B에서의 유해 트래픽의 필터링 정보 관리 방법에 대한 일실시예 예시도이다.
경계 경로 프로토콜부(310)는 엣지 라우터 C(121)로부터 유해 트래픽 필터링 정보를 수신한다(S502).
경계 경로 프로토콜부(310)는 엣지 라우터 C(121)와 연결된 상기의 입력 인터페이스 외에 동작 인터페이스가 존재하는지 여부를 확인한다(S504).
상기 확인 결과(S504), 동작 인터페이스가 존재하면, 경계 경로 프로토콜부(310)는 패킷 분석부(330)로 해당 유해 트래픽이 입력되는 인터페이스 정보가 있는지 여부를 요청하고, 그 응답을 수신한다(S506). 반면, 동작 인터페이스가 존재하지 않으면, 경계 경로 프로토콜부(310)는 유해 트래픽 관리 과정을 종료한다.
경계 경로 프로토콜부(310)는 상기 수신된 응답(S506)에서 유해 트래픽 입력 인터페이스가 존재하는지 여부를 확인한다(S508),
상기 확인 결과(S508), 유해 트래픽 입력 인터페이스가 존재하면, 경계 경로 프로토콜부(310)는 해당 인터페이스로 트래픽 필터링 정보를 설정한다(S510). 반면, 유해 트래픽 입력 인터페이스가 존재하지 않으면, 경계 경로 프로토콜부(310)는 모든 인터페이스로 트래픽 필터링 정보를 설정한다(S512).
경계 경로 프로토콜부(310)는 다른 엣지 라우터가 존재하는지 여부를 확인한다(S514).
상기 확인 결과(S514), 다른 엣지 라우터가 존재하면, 경계 경로 프로토콜부(310)는 해당 엣지 라우터 A(111)로 유해 트래픽 필터링 정보를 전달한다(S516). 반면, 다른 엣지 라우터가 존재하지 않으면, 경계 경로 프로토콜부(310)는 트래픽 필터링 정보 관리 과정을 종료한다.
이상의 설명은 본 발명을 예시적으로 설명한 것에 불과하며, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 본 발명의 기술적 사상에서 벗어나지 않는 범위에서 다양한 변형이 가능할 것이다. 따라서 본 발명의 명세서에 개시된 실시 예들은 본 발명을 한정하는 것이 아니다. 본 발명의 범위는 아래의 특허청구범위에 의해 해석되어야 하며, 그와 균등한 범위 내에 있는 모든 기술도 본 발명의 범위에 포함되는 것으로 해석해야 할 것이다.
본 발명은 뒷 단에 위치한 제2 자율 시스템의 엣지 라우터에서 유해 트래픽을 검출하여 트래픽 필터링 정보를 설정한 경우, 그 유해 트래픽이 전송된 앞 단의 제1 자율 시스템으로 경계 경로 프로토콜을 통해 트래픽 필터링 정보를 전송하고, 해당 제1 자율 시스템에서 전송받은 트래픽 필터링 정보를 관련 라우터에 적용함으로써, 유해 트래픽이 전송되는 앞 단에서 유해 트래픽을 사전에 차단할 수 있으며 불필요한 트래픽의 전송을 위한 망 자원의 낭비를 해소할 수 있다. 이러한 점에서 기존 기술의 한계를 뛰어 넘음에 따라 관련 기술에 대한 이용만이 아닌 적용되는 장치의 시판 또는 영업의 가능성이 충분할 뿐만 아니라 현실적으로 명백하게 실시할 수 있는 정도이므로 산업상 이용 가능성이 있는 발명이다.
100: 유해 트래픽의 필터링 정보 관리 시스템
110: 제1 자율 시스템 111: 엣지 라우터 A
112: 엣지 라우터 B 120: 제2 자율 시스템
121: 엣지 라우터 C 122: 엣지 라우터 D
123: 서버 그룹

Claims (11)

  1. 제2 자율 시스템 내에 위치하고, 입력된 트래픽 중에서 유해 트래픽을 기 설정된 정책에 따라 검출하고, 상기 검출된 유해 트래픽에 해당하는 트래픽 필터링 정보를 설정하여 상기 검출된 유해 트래픽을 차단하고, 상기 설정된 트래픽 필터링 정보를 제1 자율 시스템으로 전송하는 제2 엣지 라우터; 및
    상기 제1 자율 시스템 내에 위치하고, 상기 제2 엣지 라우터로부터 수신된 트래픽 필터링 정보를 인터페이스에 설정하고, 상기 설정된 트래픽 필터링 정보를 상기 제1 자율 시스템 내의 다른 엣지 라우터로 전송하는 제1 엣지 라우터를 포함하고,
    상기 제1 자율 시스템은 상기 제2 자율 시스템의 앞 단에 위치하는 것을 특징으로 하는 유해 트래픽의 필터링 정보 관리 시스템.
  2. 제 1 항에 있어서,
    상기 제2 엣지 라우터는,
    트래픽 필터링 정보를 저장하는 필터링 정보 저장부;
    물리적 및 논리적 인터페이스 정보를 관리하는 인터페이스 관리부;
    입력된 트래픽 중에서 유해 트래픽을 기 설정된 정책에 따라 검출하고 상기 검출된 유해 트래픽에 해당하는 트래픽 필터링 정보를 설정하는 공격 검출부;
    상기 설정된 트래픽 필터링 정보를 상기 제1 자율 시스템으로 전송하는 경계 경로 프로토콜부; 및
    상기 설정된 트래픽 필터링 정보에 기초하여 상기 검출된 유해 트래픽을 차단하는 트래픽 필터링부
    를 포함하는 것을 특징으로 하는 유해 트래픽의 필터링 정보 관리 시스템.
  3. 제 2 항에 있어서,
    운용자로부터 라우터 설정 관련 명령어를 입력받아 트래픽 필터링 정보를 설정하는 운용자 명령 설정부
    를 더 포함하는 것을 특징으로 하는 유해 트래픽의 필터링 정보 관리 시스템.
  4. 제 1 항에 있어서,
    상기 제1 엣지 라우터는,
    트래픽 필터링 정보를 저장하는 필터링 정보 저장부;
    물리적 및 논리적 인터페이스 정보를 관리하는 인터페이스 관리부;
    상기 제2 엣지 라우터로부터 수신된 트래픽 필터링 정보를 인터페이스에 설정하고, 상기 설정된 트래픽 필터링 정보를 상기 제1 자율 시스템 내의 다른 엣지 라우터로 전송하는 경계 경로 프로토콜부; 및
    상기 설정된 트래픽 필터링 정보에 기초하여 상기 검출된 유해 트래픽을 차단하는 트래픽 필터링부
    를 포함하는 것을 특징으로 하는 유해 트래픽의 필터링 정보 관리 시스템.
  5. 제 4 항에 있어서,
    상기 경계 경로 프로토콜부는,
    동작 중인 인터페이스 중에서 상기 수신된 트래픽 필터링 정보에 해당하는 유해 트래픽이 입력되는 인터페이스가 있으면 해당 입력 인터페이스로 트래픽 필터링 정보를 설정하고, 상기 수신된 트래픽 필터링 정보에 해당하는 유해 트래픽이 입력되는 인터페이스가 없으면 모든 인터페이스에 트래픽 필터링 정보를 설정하는 것을 특징으로 하는 유해 트래픽의 필터링 정보 관리 시스템.
  6. 제 2 항 또는 제 4 항에 있어서,
    상기 수신된 트래픽 필터링 정보에 해당하는 트래픽을 검출하기 위하여, 트래픽의 IP 주소 정보, 프로토콜 ID, 소스 포트 정보, 목적지 포트 정보, 인터넷 제어 메시지 프로토콜(ICMP) 타입 정보, 인터넷 제어 메시지 프로토콜(ICMP) 코드 정보 중 적어도 하나를 분석하는 패킷 분석부
    를 더 포함하는 것을 특징으로 하는 유해 트래픽의 필터링 정보 관리 시스템.
  7. 제 2 항 또는 제 4 항에 있어서,
    상기 필터링 정보 저장부는,
    트래픽 필터링 정보를 라우팅 정보와 필터링 정보를 구분하기 위하여 라우팅 테이블이 아닌 필터링 테이블에 저장하는 것을 특징으로 하는 유해 트래픽의 필터링 정보 관리 시스템.
  8. 제2 자율 시스템 내에 위치한 제2 엣지 라우터는 입력된 트래픽 중에서 유해 트래픽을 기 설정된 정책에 따라 검출하는 트래픽 검출 단계;
    상기 제2 엣지 라우터는 상기 검출된 유해 트래픽에 해당하는 트래픽 필터링 정보를 설정하여 상기 검출된 유해 트래픽을 차단하는 트래픽 필터링 단계;
    상기 제2 엣지 라우터는 상기 설정된 트래픽 필터링 정보를 제1 자율 시스템으로 전송하는 필터링 정보 전송 단계;
    상기 제1 자율 시스템에 위치한 제1 엣지 라우터는 상기 제2 엣지 라우터로부터 수신된 트래픽 필터링 정보를 인터페이스에 설정하는 필터링 정보 설정 단계; 및
    상기 제1 엣지 라우터는 상기 설정된 트래픽 필터링 정보를 상기 제1 자율 시스템 내의 다른 엣지 라우터로 전달하는 필터링 정보 전달 단계
    를 포함하는 것을 특징으로 하는 유해 트래픽의 필터링 정보 관리 방법.
  9. 제 8 항에 있어서,
    운용자로부터 라우터 설정 관련 명령어를 입력받는 운용자 명령 입력 단계를 더 포함하고,
    상기 트래픽 필터링 단계는 상기 입력받은 라우터 설정 관련 명령어에 따라 트래픽 필터링 정보를 설정하는 것을 특징으로 하는 유해 트래픽의 필터링 정보 관리 방법.
  10. 제 8 항에 있어서,
    상기 필터링 정보 설정 단계는,
    동작 중인 인터페이스 중에서 상기 수신된 트래픽 필터링 정보에 해당하는 유해 트래픽이 입력되는 인터페이스가 있으면 해당 입력 인터페이스로 트래픽 필터링 정보를 설정하고, 상기 수신된 트래픽 필터링 정보에 해당하는 유해 트래픽이 입력되는 인터페이스가 없으면 모든 인터페이스에 트래픽 필터링 정보를 설정하는 것을 특징으로 하는 유해 트래픽의 필터링 정보 관리 방법.
  11. 제 8 항에 있어서,
    상기 수신된 트래픽 필터링 정보에 해당하는 트래픽을 검출하기 위하여, 트래픽의 IP 주소 정보, 프로토콜 ID, 소스 포트 정보, 목적지 포트 정보, 인터넷 제어 메시지 프로토콜(ICMP) 타입 정보, 인터넷 제어 메시지 프로토콜(ICMP) 코드 정보 중 적어도 하나를 분석하는 패킷 분석 단계
    를 더 포함하는 것을 특징으로 하는 유해 트래픽의 필터링 정보 관리 방법.
KR1020120048001A 2012-05-07 2012-05-07 유해 트래픽의 필터링 정보 관리 시스템 및 그 방법 KR20130124692A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020120048001A KR20130124692A (ko) 2012-05-07 2012-05-07 유해 트래픽의 필터링 정보 관리 시스템 및 그 방법
US13/747,776 US20130298220A1 (en) 2012-05-07 2013-01-23 System and method for managing filtering information of attack traffic

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120048001A KR20130124692A (ko) 2012-05-07 2012-05-07 유해 트래픽의 필터링 정보 관리 시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR20130124692A true KR20130124692A (ko) 2013-11-15

Family

ID=49513676

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120048001A KR20130124692A (ko) 2012-05-07 2012-05-07 유해 트래픽의 필터링 정보 관리 시스템 및 그 방법

Country Status (2)

Country Link
US (1) US20130298220A1 (ko)
KR (1) KR20130124692A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015084343A1 (en) * 2013-12-04 2015-06-11 Hewlett Packard Development Company, L.P. Policy rule based on a requested behavior

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11838212B2 (en) 2012-10-05 2023-12-05 Aaa Internet Publishing Inc. Method and system for managing, optimizing, and routing internet traffic from a local area network (LAN) to internet based servers
US9985985B2 (en) * 2012-10-05 2018-05-29 Aaa Internet Publishing Inc. Method of distributed denial of service (DDos) and hacking protection for internet-based servers using a private network of internet servers by executing computer-executable instructions stored on a non-transitory computer-readable medium
USRE49392E1 (en) 2012-10-05 2023-01-24 Aaa Internet Publishing, Inc. System and method for monitoring network connection quality by executing computer-executable instructions stored on a non-transitory computer-readable medium
US10917299B2 (en) 2012-10-05 2021-02-09 Aaa Internet Publishing Inc. Method of using a proxy network to normalize online connections by executing computer-executable instructions stored on a non-transitory computer-readable medium
CN105991430B (zh) * 2015-03-05 2022-01-14 李明 跨多个自治网络系统的数据路由
CN104967629B (zh) * 2015-07-16 2018-11-27 网宿科技股份有限公司 网络攻击检测方法及装置
US10075416B2 (en) * 2015-12-30 2018-09-11 Juniper Networks, Inc. Network session data sharing
CN105764095B (zh) * 2016-02-22 2020-08-21 世纪蜗牛通信科技有限公司 基于虚拟专用网络的应用识别与控制系统及方法
US10469511B2 (en) * 2016-03-28 2019-11-05 Cisco Technology, Inc. User assistance coordination in anomaly detection
CN108449314B (zh) * 2018-02-02 2020-12-29 杭州迪普科技股份有限公司 一种流量牵引方法和装置
WO2024120024A1 (zh) * 2022-12-05 2024-06-13 华为云计算技术有限公司 流量过滤方法、装置、设备、系统及存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7062782B1 (en) * 1999-12-22 2006-06-13 Uunet Technologies, Inc. Overlay network for tracking denial-of-service floods in unreliable datagram delivery networks
JP5168230B2 (ja) * 2009-05-26 2013-03-21 富士通株式会社 通信システム、エッジルータ及び信号転送方法
US8281397B2 (en) * 2010-04-29 2012-10-02 Telcordia Technologies, Inc. Method and apparatus for detecting spoofed network traffic
US20130070753A1 (en) * 2010-05-26 2013-03-21 University Of Florida Research Foundation, Inc. Consistent updates for packet classification devices

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015084343A1 (en) * 2013-12-04 2015-06-11 Hewlett Packard Development Company, L.P. Policy rule based on a requested behavior
US10044760B2 (en) 2013-12-04 2018-08-07 Hewlett Packard Enterprise Development Lp Policy rule based on a requested behavior
US10341389B2 (en) 2013-12-04 2019-07-02 Hewlett Packard Enterprise Department LP Policy based on a requested behavior

Also Published As

Publication number Publication date
US20130298220A1 (en) 2013-11-07

Similar Documents

Publication Publication Date Title
US11616761B2 (en) Outbound/inbound lateral traffic punting based on process risk
US11057349B2 (en) Cloud-based multi-function firewall and zero trust private virtual network
KR20130124692A (ko) 유해 트래픽의 필터링 정보 관리 시스템 및 그 방법
US7137145B2 (en) System and method for detecting an infective element in a network environment
EP1817685B1 (en) Intrusion detection in a data center environment
US10855656B2 (en) Fine-grained firewall policy enforcement using session app ID and endpoint process ID correlation
JP4684802B2 (ja) セキュリティの脅威に起因してネットワークの通信が制限されている間に仮想ネットワーク内のネットワークデバイスが通信することを可能にすること
US20060282893A1 (en) Network information security zone joint defense system
TW201738796A (zh) 網路攻擊的防控方法、裝置及系統
US20170250998A1 (en) Systems and methods of preventing infection or data leakage from contact with a malicious host system
US10397225B2 (en) System and method for network access control
CN111295640B (zh) 使用会话app id和端点进程id相关性的精细粒度防火墙策略实施
US20110023088A1 (en) Flow-based dynamic access control system and method
CN114301647A (zh) 态势感知中漏洞信息的预测防御方法、装置及系统
EP1742438A1 (en) Network device for secure packet dispatching via port isolation
KR101006372B1 (ko) 유해 트래픽 격리 시스템 및 방법
JP2006067078A (ja) ネットワークシステムおよび攻撃防御方法
Jhi et al. PWC: A proactive worm containment solution for enterprise networks
Zaraska Ids active response mechanisms: Countermeasure subsytem for prelude ids
Ojo Internet Traffic Monitoring: Case Study: The Network of Granlund Oy

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid