KR20160143086A - Sdn을 이용한 사이버 검역 시스템 및 방법 - Google Patents

Sdn을 이용한 사이버 검역 시스템 및 방법 Download PDF

Info

Publication number
KR20160143086A
KR20160143086A KR1020150079189A KR20150079189A KR20160143086A KR 20160143086 A KR20160143086 A KR 20160143086A KR 1020150079189 A KR1020150079189 A KR 1020150079189A KR 20150079189 A KR20150079189 A KR 20150079189A KR 20160143086 A KR20160143086 A KR 20160143086A
Authority
KR
South Korea
Prior art keywords
agent
packet
quarantine
packets
switch
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
KR1020150079189A
Other languages
English (en)
Inventor
정태명
김형식
김남욱
정준권
조금환
송영배
Original Assignee
성균관대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 성균관대학교산학협력단 filed Critical 성균관대학교산학협력단
Priority to KR1020150079189A priority Critical patent/KR20160143086A/ko
Publication of KR20160143086A publication Critical patent/KR20160143086A/ko
Ceased legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/45Arrangements for providing or supporting expansion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 단위 네트워크에서의 사이버 검역 시스템을 개시하고 있다. 상기 시스템은 단위 네트워크로 유입 또는 다른 단위 네트워크로 유출되는 패킷 중 적어도 일부를 인증하고 트래픽 분배를 수행하는 SDN(Sofrwore Defined Network) 스위치, 트래픽 분배된 패킷 중 검역 대상 패킷에 대해 유해 패킷인지 검역하여 유해 패킷을 폐기하고 유해 여부가 의심되는 의심 패킷은 의심 태그를 부착하는 검역소 및 검역 완료된 패킷 또는 검역 없이 트래픽 분배된 패킷을 수신하는 에이전트를 포함한다.

Description

SDN을 이용한 사이버 검역 시스템 및 방법{CYBER INSPECTION SYSTEM AND METHOD USING SDN}
본 발명은 SDN(Software Defined Network) 기술을 이용한 사이버 검역 시스템 및 방법에 관한 것으로, 보다 상세하게는, 네트워크에서 유입되는 트래픽을 검역하여 청정한 사이버 환경을 제공하는 사이버 검역 시스템 및 방법에 관한 것이다.
최근 들어 사어버 네트워크 상에서 다량의 정보가 유입되고 유출되는 상황에서 패킷의 통제를 위해 무수히 많은 보안 솔루션들이 시스템에 적용되어 왔다. 다만, 종래 기술을 이용하여 정보를 보호에기에는 다음과 같은 한계가 존재한다.
먼저, 현재 각종 정보 보호 솔루션이 존재함에도 불구하고 정보침해 사고가 지속적으로 발생하고 있는데, 이는 다양한 정보보호 솔루션에 대한 보안 관리의 복잡성이 증대되었고, 보안 기술의 중복과 취약성이 동시에 존재하기 때문이다. 종래의 개별적인 방어 위주의 방식은 공격자가 주도권을 쥐고 있는 상황을 뒤바꿀 수 없으므로, 사이버 공격을 방어하기에 한계가 있다.
또한, 최근들어, 네트워크를 효율적으로 사용하기 위해 SDN과 같은 새로운 네트워크 환경이 구축되고 있으며, SDN을 활용한 보안기술에 대한 필요성이 제기되고 있다. 다만, 통제 방식을 적용한다 해도 100% 완벽한 보안을 보장하기란 불가능하며 네트워크와 시스템 특성을 상호 분석하여 이를 종합적으로 관리하고 동시에 보호할 수 있는 사이버 보안 기술이 필요하다.
상술한 문제점을 해결하기 위한 본 발명의 목적은 사이버 검역 시스템을 운용하는 소프트웨어, 이상 상태/행위 탐지 알고리즘 및 SDN 스위치를 확장한 SQN 스위치를 포함하는 사이버 검역 시스템 및 방법을 제공하는 것이다.
상기한 목적을 달성하기 위한 본 발명의 단위 네트워크에서의 사이버 검역 시스템은 단위 네트워크로 유입 또는 다른 단위 네트워크로 유출되는 패킷 중 적어도 일부를 인증하고 트래픽 분배를 수행하는 SDN(Sofrwore Defined Network) 스위치, 트래픽 분배된 패킷 중 검역 대상 패킷에 대해 유해 패킷인지 검역하여 유해 패킷을 폐기하고 유해 여부가 의심되는 의심 패킷은 의심 태그를 부착하는 검역소 및 검역 완료된 패킷 또는 검역 없이 트래픽 분배된 패킷을 수신하는 에이전트를 포함할 수 있다.
상기 SDN 스위치는, 상기 유입 또는 유출되는 패킷을 처리하는 적어도 하나의 스위치 및 상기 적어도 하나의 스위치를 제어하여 패킷 인증 및 트래픽 분배를 관리하는 스위치 컨트롤러를 포함할 수 있다.
상기 스위치 컨트롤러는 상기 유입 또는 유출되는 패킷의 인증값 및 키를 관리하여 패킷을 식별하고, 인증되지 않은 패킷을 상기 검역소로 전달할 수 있다.
상기 검역소는 네트워크 기반 공격 및 악성코드를 탐지하며 서비스 유형별 침해를 탐지하는 제 1 검역 컴포넌트 및 가상 환경을 통한 동적 분석을 수행하는 제 2 검역 컴포넌트를 포함할 수 있다.
상기 에이전트는 상기 단위 네트워크 내에 포함된 단말이고, 상기 에이전트는 복수 개일 수 있다.
상기 에이전트는 상기 에이전트로 전달된 패킷의 의심 태그 부착 여부를 판별하여 의심 태그가 부착된 패킷에 대해서는 별도의 의심 프로세스를 가동할 수 있다.
상기 에이전트와 연동하여 상기 에이전트에서 감시에 의해 생성되는 이벤트를 수집하여 분석을 통한 보안 정책을 수립하고 상기 에이전트를 관리하는 에이전트 매니저를 더 포함할 수 있다.
상기 에이전트는 에이전트 시스템의 프로세스 및 이상 상태를 감시하고, 프로세스의 민감 정보의 접근 및 유출을 추적하여 이벤트를 생성하여 상기 에이전트 매니저로 제공할 수 있다.
상기 에이전트 매니저는 상기 에이전트로부터 이벤트 정보를 수신하고 정책 데이터베이스를 이용하여 보안 정책을 수립하여 상기 에이전트로 정책 정보를 제공할 수 있다.
상기한 목적을 달성하기 위한 본 발명의 단위 네트워크에서의 사이버 검역 방법은 SDN 스위치가 단위 네트워크로 유입 또는 유출되는 패킷 중 적어도 일부를 인증하고 트래픽 분배를 수행하는 트래픽 분배 단계, 검역소가 트래픽 분배된 패킷 중 검역 대상 패킷에 대해 유해 패킷인지 검역하여 유해 패킷을 폐기하고 유해 여부가 의심되는 의심 패킷은 의심 태그를 부착하는 검역 단계 및 에이전트가 검역 완료된 패킷 또는 검역 없이 트래픽 분배된 패킷을 수신하는 패킷 수신 단계를 포함할 수 있다.
상기 트래픽 분배 단계는, 스위치 컨트롤러가 적어도 하나의 스위치를 제어하여 패킷 인증 및 트래픽 분배를 관리하는 단계 및 상기 스위치 컨트롤러의 지시에 따라 상기 유입 또는 유출되는 패킷을 처리하는 단계를 포함할 수 있다.
상기 스위치 컨트롤러가 적어도 하나의 스위치를 제어하여 패킷 인증 및 트래픽 분배를 관리하는 단계는, 상기 스위치 컨트롤러가 상기 유입 또는 유출되는 패킷의 인증값 및 키를 관리하여 패킷을 식별하고, 인증되지 않은 패킷을 상기 검역소로 전달하는 단계를 포함할 수 있다.
상기 검역 단계는 네트워크 기반 공격 및 악성 코드를 탐지하고 서비스 유형별 침해를 탐지하는 단계 및 가상 환경을 통한 동적 분석을 수행하는 단계를 포함할 수 있다.
상기 에이전트는 네트워크 내에 포함된 단말이고, 상기 에이전트는 복수 개일 수 있다.
상기 패킷 수신 단계는 상기 에이전트가 상기 에이전트로 전달된 패킷의 의심 태그 부착 여부를 판별하여 의심 태그가 부착된 패킷에 대해서는 별도의 의심 프로세스를 가동하는 단계를 포함할 수 있다.
상기 사이버 검역 방법은 에이전트 매니저가 상기 에이전트와 연동하여 상기 에이전트에서 감시에 의해 생성되는 이벤트를 수집하여 분석을 통한 보안 정책을 수립하고 상기 에이전트를 관리하는 단계를 더 포함할 수 있다.
상기 에이전트는 에이전트 시스템의 프로세스 및 이상 상태를 감시하고, 프로세스의 민감 정보의 접근 및 유출을 추적하여 이벤트를 생성하여 상기 에이전트 매니저로 제공할 수 있다.
상기 에이전트 매니저는 상기 에이전트로부터 이벤트 정보를 수신하고 정책 데이터베이스를 이용하여 보안 정책을 수립하여 상기 에이전트로 정책 정보를 제공할 수 있다.
본 발명의 사이버 검역 시스템 및 방법에 따르면, 패킷의 통제를 위한 보안 솔루션들을 통합 적용하는 새로운 방식을 통해 보안성 개선과 관리 편의성을 향상시켜 현재의 한계를 극복하고 종합 관리 기술을 확보하는 효과가 있으며, 특히, 이벤트 분석에 의한 자기 진화 기능을 통해 관리자의 부담을 감소시키는 효과가 있다.
또한, 컴포넌트 기반으로 필요와 규모에 따라 시스템을 구성할 수 있는 유연성 있는 보안 모델을 제시하여 관리자가 효율적으로 네트워크를 보호하며, 새로운 SDN 기술을 정보보호에 적용하여 향후 SDN 보안을 위한 원천적인 기술 확보가 가능하며, 종래 보안 기술과 SDN 기술의 동시 적용시 발생가능한 문제들에 대한 해결방안을 제시하여 SDN 보안에도 기여하는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 SDN을 이용한 사이버 검역 시스템을 개략적으로 나타낸 블록도,
도 2는 본 발명의 일 실시예에 따른 SDN을 이용한 사이버 검역 시스템의 SDN 스위치를 구체적으로 나타낸 상세블록도,
도 3은 본 발명의 일 실시예에 따른 SDN을 이용한 사이버 검역 시스템의 검역소를 구체적으로 나타낸 상세블록도,
도 4는 본 발명의 일 실시예에 따른 SDN을 이용한 사이버 검역 시스템의 에이전트의 동작을 구체적으로 나타낸 흐름도,
도 5는 본 발명의 일 실시예에 따른 SDN을 이용한 사이버 검역 시스템의 에이전트 매니저를 구체적으로 나타낸 상세블록도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다.
그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
제 1, 제 2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제 1 구성요소는 제 2 구성요소로 명명될 수 있고, 유사하게 제 2 구성요소도 제 1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
도 1은 본 발명의 일 실시예에 따른 SDN을 이용한 사이버 검역 시스템을 개략적으로 나타낸 블록도이다. 도 1에 도시된 바와 같이, 본 발명의 일 실시예에 따른 사이버 검역 시스템은 SDN 스위치(110), 검역소(120), 에이전트(130) 및 에이전트 매니저(140)를 포함할 수 있다.
본 명세서 상에서 SDN 스위치(110), 검역소(120), 에이전트(130) 및 에이전트 매니저(140)로 구성되는 검역 시스템은 하나의 단위 네트워크에 할당될 수 있고, 전체 네트워크는 이러한 단위 네트워크가 복수 개 포함되어 집합적으로 구성될 수 있다. 하나의 단위 네트워크는 특정 기업 또는 특정 기관의 보안 관리를 위해 활용되는 네트워크 단위일 수 있다.
도 1을 참조하면, SDN 스위치(110)는 SQN 스위치 컨트롤러(112) 및 SQN 스위치(114)를 포함할 수 있다. SQN 스위치 컨트롤러(112)는 SQN 스위치(114)에 제어 신호를 제공하여 SQN 스위치(114)가 단위 네트워크로 유입 또는 단위 네트워크에서 유출되는 패킷을 처리하도록 제어한다. 명세서 상에서는 특별한 언급이 없는한, 유입되는 패킷에 관해 설명하고자 한다. 동일한 매카니즘이 유출 패킷에 동일하게 적용될 수 있음은 본 분야의 통상의 기술자라면 자명하게 알 수 있다. SQN 스위치 컨트롤러(112)는 해당 단위 네트워크로 유입되는 패킷의 트래픽 분배를 위해, 네트워크 플로우를 관리한다. 즉, 유입되는 플로우를 식별하여 적절한 에이전트(114)로 전달될 수 있도록 분배한다. SQN 스위치 컨트롤러(112)는 유입되는 패킷이 검역 대상인지 식별하여 검역소로 전송한다. 검역 대상 패킷은 현재 단위 네트워크뿐만 아니라 다른 단위 네트워크에서 아직 검역이 한번도 이루어지지 않아 패킷의 상태를 알 수 없는 패킷을 의미할 수 있다. 검역 시스템을 통해 한번 패킷에 대한 검역이 이루어지면, 해당 패킷에 대해서는 인증값을 부여하거나, 키 관리 프로토콜을 통해 해당 패킷이 검역이 완료되었고, 그 패킷을 식별할 수 있는 식별자가 부착될 수 있다. 이러한 식별자를 통해 SQN 스위치 컨트롤러(112)는 검역 대상 패킷을 식별하고 검역 대상 패킷을 검역소로 전송한다. 또한 패킷의 최종 목적지를 파싱하여 트래픽 분류 및 검역 트래픽을 분산 처리할 수 있다. SQN 스위치(114)는 상기 SQN 스위치 컨트롤러(112)의 지시를 받아 해당 패킷을 검역소(120)로 전송하던지, 아니면 에이전트(130)로 전송한다.
검역소(120)는 제 1 검역 컴포넌트(122)와 제 2 검역 컴포넌트(124)를 포함할 수 있다. 제 1 검역 컴포넌트(122)와 제 2 검역 컴포넌트(124)에 대한 자세한 설명은 이하 도 3을 기반으로 한다. 검역소(120)는 유해 패킷을 탐지하여 폐기하고, 의심 패킷에 대해서는 태그를 부착하여 검역 대상 패킷의 안전성을 탐지할 수 있고, 이에 따라 네트워크의 보안 확립을 지원할 수 있다. 검역소(120)는 에이전트(130)에서 다른 단위 네트워크로 유출되는 패킷을 수신하여 이에 대한 검역을 수행하여 SQN 스위치(114)를 통해 외부로 유출되도록 할 수 있다.
에이전트(130)는 복수 개의 에이전트 단말(132-1~132-n) 및 VPN(Virtually Partitioned Network)을 포함하는 개념으로, 패킷을 실제 수신하는 단말일 수 있다. VPN은 단말의 물리적 위치와 별도로 단말에 가상의 파티셔닝된 네트워크를 부여할 수 있도록 한다. 즉, 특정 단말이 위치적인 문제로 인해, 원하는 네트워크에 접속할 수 없는 경우, VPN을 이용하여 상기 원하는 네트워크에 임시로 접속할 수 있고 이를 통해 상기 원하는 네트워크의 입출력 포트를 현재 위치의 네트워크의 입출력 포트에 속하도록 설정하여 물리적으로 구획된 네트워크에 위치하는 다수의 단말의 필요에 따라 논리적으로 네트워크가 구획되도록 할 수 있다.
에이전트(130)는 PC, 휴대용 단말, 스마트 폰, 노트북, 스마트 TV 등 통신 기능이 탑재된 전자기기를 포함할 수 있다. 에이전트(130)는 항상 청정하다고 가정할 수 있고, 청정한 에이전트 단말(132-1~132-n)로 구성된 단위 네트워크도 청정하다고 가정할 수 있다. 청정하다는 의미는 현재 유해 바이러스 등에 감염된 단말이 존재하지 않고 보안 상태도 강건함을 의미한다.
에이전트 매니저(140)는 에이전트를 관리하는 서버 장치로, 에이전트에서 생상된 이벤트 신호를 수신하여 이벤트를 분석하고 보안 관리를 위한 정책을 수립하여 에이전트(130)로 할당할 수 있다.
도 2는 본 발명의 일 실시예에 따른 SDN을 이용한 사이버 검역 시스템의 SDN 스위치를 구체적으로 나타낸 상세블록도이다. 도 2를 참조하면, SDN 스위치(210)는 SQN 스위치 콘트롤러(212) 및 스위치(214)를 포함할 수 있다.
SQN 스위치 콘트롤러(212)는 실제 패킷의 유입 및 유출에 따른 트래픽 분배를 수행하는 SQN 스위치(214)를 제어한다. SQN 스위치(214)는 복수 개의 스위치들(216-1~216-n)을 포함할 수 있다.
SQN 스위치 콘트롤러(212)는 트래픽에 대한 인증값 부여 또는 키를 통한 관리를 통해 유해 패킷에 대한 보안을 강화한다. SQN 스위치 콘트롤러(212)는 관리자에 의해 특정 정보(예컨대, 민감하다고 판단되는 정보)를 감시하여 외부 유출을 방지하고 복잡한 보안 관리를 미연에 방지할 수 있다. 특정 정보의 설정은 사용자 인터페이스(미도시)를 통해 할 수 있다. SQN 스위치 콘트롤러(212)는 상기 복수 개의 스위치들(216-1~216-n)을 개별적으로 관리할 수 있다. SQN 스위치 콘트롤러(212)는 인증값을 없는 검역 대상 패킷을 식별하여 검역소(220)로 전달한다. 검역소(220)는 검역 대상 패킷의 유해 여부를 판단하여 유해하다고 판별된 패킷을 폐기하고, 유해 여부가 의심되는 패킷은 의심 태그를 부착하며, 이에 따라 정상 패킷은 특별한 태그 없이 SQN 스위치(214)로 제공될 수 있다. 즉, SQN 스위치 콘트롤러(212)는 검역소(220)로부터 정상 패킷과 의심 패킷을 제공받은 스위치(214)를 제어하여 해당 패킷이 에이전트(230)로 전달될 수 있도록 할 수 있다. 검역이 한번 수행된 패킷에는 인증 값을 부여하여 청정한 지역에서 여러번 동일한 패킷에 대한 검역이 반복되지 않도록 유도할 수 있다.
복수 개의 스위치들(216-1~216-n)은 병렬적으로 배치되어 각각 개별적으로 유입되는 패킷을 처리할 수 있다. 복수 개의 스위치들(216-1~216-n)은 기본적인 스위칭 기능을 수행할 수 있다. 복수 개의 스위치들(216-1~216-n)은 수신한 패킷을 플로우로 구분하고, 플로우 테이블에 정의된 규칙에 따라 패킷을 처리한 후, 목적지 포트로 전달할 수 있다. 여기서, 플로우는 TCP 연결, 특정 MAC 또는 IP 어드레스, 그리고 동일한 VPN(Virtual Private Network) 값을 갖는 패킷들을 의미할 수 있다. 복수 개의 스위치들(216-1~216-n)은 개별적으로 SQN 스위치 콘트롤러(212)에 의해 제어될 수 있다. 이때, 하나의 스위치(예컨대, 216-1)에 장애가 발생하는 경우, 최대한 신속하게 다른 스위치(예컨대, 216-2)로 절체한 후, 새로운 경로를 구성하는 포트로 플로우 테이블을 갱신하여 트래픽 전달의 연속성을 보장할 수 있다. 복수 개의 스위치들(216-1~216-n)은 검역소(220)로부터 수신되는 정상 또는 의심 패킷을 해당 목적지인 에이전트(230)로 전송할 수 있다. 또한, 복수 개의 스위치들(216-1~216-n)은 검역 인증이 된, 즉, 검역소(220)를 거치지 않은 패킷도 에이전트(230)로 전송할 수 있다.
도 3은 본 발명의 일 실시예에 따른 SDN을 이용한 사이버 검역 시스템의 검역소를 구체적으로 나타낸 상세블록도이다. 도 3에 도시된 바와 같이, 본 발명의 일 실시예에 따른 검역소(320)는 제 1 검역 컴포넌트(322) 및 제 2 검역 컴포넌트(324)를 포함할 수 있다. 검역소(320)는 트래픽 패턴 분석 및 정상 상태 모델링을 통해 네트워크 기반 공격, 서비스 유형별 침해 및 악성코드를 탐지할 수 있다.
도 3을 참조하면, 검역소(320)는 SDN 스위치(310)로부터 비인증 패킷을 수신하거나 에이전트(330)로부터 타 단위 네트워크로 유출되는 패킷을 수신하여 검역을 수행한다. 검역 결과에 따라 정상 패킷과 의심 패킷은 스위치(310)로 제공되어 타 단위 네트워크로 전송되거나 또는 에이전트(330)로 전송될 수 있다.
먼저, 제 1 검역 컴포넌트(322)는 네트워크 기반 공격 탐지부(321), 서비스 유형별 침해 탐지부(323) 및 악성코드 탐지부(325)를 포함할 수 있다. 네트워크 기반 공격 탐지부(321)는 전송방해, 도청, 불법 변조 및 위조 등과 같이 네트워크 보안을 위협하는 공격을 탐지할 수 있다. 예컨대, Syn Flooding 공격, SYN/FIN 스캔 공격, IP spoofing 공격, Kenini Mitnick 공격, Switch Jamming 공격, ARP Redirect 공격, ICMP Redirect 공격, 비동기성 공격(Asychronous Attacks) 등이 탐지될 수 있다.
서비스 유형별 침해 탐지부(323)는 검역 대상 패킷을 분석하여 서비스 유형별 침해 공격을 정의하고, 정의된 공격 유형에 대응되는 공격을 탐지하여, 유형별 공격에 대응할 수 있다.
악성 코드 탐지부(325)는 검역 대상 패킷을 분석하여 악성 코드인지 여부를 탐지한다. 이에 시그니처 탐지(Signature Detection)가 적용될 수 있고, 제로데이(Zero-day attack) 등과 같은 악성 코드를 탐지할 수 있다.
제 2 검역 컴포넌트(324)는 동적으로 악성 코드 등 패킷에 포함된 공격 요소를 탐지하는 구성요소이다. 제 2 검역 컴포넌트(324)는 가상 환경을 통해, 악성코드를 직접 실행시키고 동작을 살펴봄으로써, 패킷 내에 악성코드가 포함되어 있는지 판단할 수 있다. 악성코드를 실행시키기 위해 에뮬레이터 또는 가상화된 환경을 포함할 수 있다.
제 1 검역 컴포넌트(322) 및 제 2 검역 컴포넌트(324)는 공격 및 침해 요소, 및 악성코드가 명확하게 탐지되는 경우 해당 패킷을 폐기하고, 상기 요소들이 의심되는 패킷, 즉 유해 여부가 불분명확 패킷은 경고를 위해 의심 태그를 부착할 수 있다. 의심 태그는 해당 패킷의 헤더(header) 부분에 부착될 수 있다.
도 4는 본 발명의 일 실시예에 따른 SDN을 이용한 사이버 검역 시스템의 에이전트의 동작을 구체적으로 나타낸 흐름도이다.
도 4를 참조하면, 에이전트는 SDN 스위치로부터 패킷을 수신할 수 있다(S410). SDN 스위치로부터 에이전트로 수신되는 패킷은 정상 패킷 아니면 의심 패킷일 수 있다. 따라서, 해당 패킷이 의심 패킷인지 판단한다(S420). 의심 패킷인 경우, 별도의 의심 프로세스를 가동할 수 있다(S430). 의심 프로세스는 의심 패킷이 거쳐가는 모든 프로세스를 정규적으로 감시하는 프로세스로써, 설정된 시간 간격에 따라 의심 패킷이 도달하여 처리되는 프로세스의 악성코드 발생 여부, 해킹 여부를 감시하는 프로세스이다. 감시 시간 간격의 설정 및 특정 악성코드 및 해킹 여부의 판별을 위한 세부적인 정책은 에이전트 매니저로부터 수신할 수 있고, 이에 따라 동작하게 된다. 상기 의심 프로세스의 가동에 따라, 에이전트는 해당 의심 패킷과 관련된 프로세스 및 시스템의 이상을 정규적으로 감시할 수 있다(S440). 이는 에이전트 내에서 전체적으로 수행되는 시스템 전체 프로세스 및 상태 감시 동작과 별개로 수행될 수 있다. 의심 프로세스와 별개로, 즉, 정상 패킷에 대해서도, 시스템 전체 프로세스 및 상태 감시가 이루어질 수 있다(S450). 이에 따라, 프로세스의 민감 정보 접근 및 유출 행위를 추적할 수 있고, 감시할 수 있다. 추적된 정보 접근 및 유출 행위에 대해 이벤트 정보를 생성하여 에이전트 매니저로 전송할 수 있다. 이러한 에이전트의 동작은 다수의 운영체제와 기기 내에서 수행될 수 있고, 따라서, 에이전트 매니저는 다수 운영체제와 기기를 지원하기 위해 다양한 정책을 보유하였다가 적절한 정책을 에이전트로 제공할 수 있다.
도 5는 본 발명의 일 실시예에 따른 SDN을 이용한 사이버 검역 시스템의 에이전트 매니저를 구체적으로 나타낸 상세블록도이다. 도 5에 도시된 바와 같이, 본 발명의 일 실시예에 따른 에이전트 매니저(540)는 이벤트 관리부(542), 에이전트 관리부(544) 및 정책 관리부(546)를 포함할 수 있고, 정책 데이터베이스(548)을 더 포함할 수 있다.
도 5를 참조하면, 이벤트 관리부(542)는 에이전트(530)로부터 감시 이벤트를 수신하여 수신된 시각별로 이벤트를 관리할 수 있다. 수집된 이번트 정보는 에이전트 관리부(544)를 통해 각 에이전트(530)별로 관리될 수 있고, 에이전트(530)의 이벤트를 수집 및 분석하여 보안 정책을 수립할 수 있다. 보안 정책의 수립은 정책 관리부(546)가 수행할 수 있다. 정책 관리부(546)는 정책 데이터베이스(548)에 포함된 정책 관련 정보를 기반으로 정책을 수립하고 설정 및 관리할 수 있다. 정책 데이터베이스(548)는 상기 에이전트 매니저 장치(540) 내부 또는 외부에 배치될 수 있다. 정책 데이터베이스(548)에는 계정 정책(사용자 계정에 따른 권한 설정 내용 등), 로컬 보안 정책, 공개키 정책 등과 관련된 정보가 각 기간별로, 에이전트별로, 또는 트래픽 플로우 별로 관리될 수 있다. 정책 관리부(546)는 이러한 정책 데이터베이스(548)의 정보와 에이전트(530)로부터 수시로 수신되는 이벤트 정보를 통해 적절한 정책을 동적으로 수립할 수 있고, 설정된 정책을 에이전트(530)로 내려보내줄 수 있다.
이상 도면 및 실시예를 참조하여 설명하였지만, 본 발명의 보호범위가 상기 도면 또는 실시예에 의해 한정되는 것을 의미하지는 않으며 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.

Claims (18)

  1. 단위 네트워크에서의 사이버 검역 시스템에 있어서,
    단위 네트워크로 유입 또는 다른 단위 네트워크로 유출되는 패킷 중 적어도 일부를 인증하고 트래픽 분배를 수행하는 SDN(Sofrwore Defined Network) 스위치;
    트래픽 분배된 패킷 중 검역 대상 패킷에 대해 유해 패킷인지 검역하여 유해 패킷을 폐기하고 유해 여부가 의심되는 의심 패킷은 의심 태그를 부착하는 검역소; 및
    검역 완료된 패킷 또는 검역 없이 트래픽 분배된 패킷을 수신하는 에이전트를 포함하는 것을 특징으로 하는 사이버 검역 시스템.
  2. 제 1 항에 있어서, 상기 SDN 스위치는,
    상기 유입 또는 유출되는 패킷을 처리하는 적어도 하나의 스위치; 및
    상기 적어도 하나의 스위치를 제어하여 패킷 인증 및 트래픽 분배를 관리하는 스위치 컨트롤러를 포함하는 것을 특징으로 하는 사이버 검역 시스템.
  3. 제 2 항에 있어서,
    상기 스위치 컨트롤러는 상기 유입 또는 유출되는 패킷의 인증값 및 키를 관리하여 패킷을 식별하고, 인증되지 않은 패킷을 상기 검역소로 전달하는 것을 특징으로 하는 사이버 검역 시스템.
  4. 제 1 항에 있어서, 상기 검역소는
    네트워크 기반 공격 및 악성코드를 탐지하며 서비스 유형별 침해를 탐지하는 제 1 검역 컴포넌트; 및
    가상 환경을 통한 동적 분석을 수행하는 제 2 검역 컴포넌트를 포함하는 것을 특징으로 하는 사이버 검역 시스템.
  5. 제 1 항에 있어서,
    상기 에이전트는 상기 단위 네트워크 내에 포함된 단말이고, 상기 에이전트는 복수 개인 것을 특징으로 하는 사이버 검역 시스템.
  6. 제 1 항에 있어서,
    상기 에이전트는 상기 에이전트로 전달된 패킷의 의심 태그 부착 여부를 판별하여 의심 태그가 부착된 패킷에 대해서는 별도의 의심 프로세스를 가동하는 것을 특징으로 하는 사이버 검역 시스템.
  7. 제 1 항에 있어서,
    상기 에이전트와 연동하여 상기 에이전트에서 감시에 의해 생성되는 이벤트를 수집하여 분석을 통한 보안 정책을 수립하고 상기 에이전트를 관리하는 에이전트 매니저를 더 포함하는 것을 특징으로 하는 사이버 검역 시스템.
  8. 제 7 항에 있어서,
    상기 에이전트는 에이전트 시스템의 프로세스 및 이상 상태를 감시하고, 프로세스의 민감 정보의 접근 및 유출을 추적하여 이벤트를 생성하여 상기 에이전트 매니저로 제공하는 것을 특징으로 하는 사이버 검역 시스템.
  9. 제 7 항에 있어서,
    상기 에이전트 매니저는 상기 에이전트로부터 이벤트 정보를 수신하고 정책 데이터베이스를 이용하여 보안 정책을 수립하여 상기 에이전트로 정책 정보를 제공하는 것을 특징으로 하는 사이버 검역 시스템.
  10. 단위 네트워크에서의 사이버 검역 방법에 있어서,
    SDN 스위치가 단위 네트워크로 유입 또는 유출되는 패킷 중 적어도 일부를 인증하고 트래픽 분배를 수행하는 트래픽 분배 단계;
    검역소가 트래픽 분배된 패킷 중 검역 대상 패킷에 대해 유해 패킷인지 검역하여 유해 패킷을 폐기하고 유해 여부가 의심되는 의심 패킷은 의심 태그를 부착하는 검역 단계; 및
    에이전트가 검역 완료된 패킷 또는 검역 없이 트래픽 분배된 패킷을 수신하는 패킷 수신 단계를 포함하는 것을 특징으로 하는 사이버 검역 방법.
  11. 제 10 항에 있어서, 상기 트래픽 분배 단계는,
    스위치 컨트롤러가 적어도 하나의 스위치를 제어하여 패킷 인증 및 트래픽 분배를 관리하는 단계; 및
    상기 스위치 컨트롤러의 지시에 따라 상기 유입 또는 유출되는 패킷을 처리하는 단계를 포함하는 것을 특징으로 하는 사이버 검역 방법.
  12. 제 11 항에 있어서, 상기 스위치 컨트롤러가 적어도 하나의 스위치를 제어하여 패킷 인증 및 트래픽 분배를 관리하는 단계는,
    상기 스위치 컨트롤러가 상기 유입 또는 유출되는 패킷의 인증값 및 키를 관리하여 패킷을 식별하고, 인증되지 않은 패킷을 상기 검역소로 전달하는 단계를 포함하는 것을 특징으로 하는 사이버 검역 방법.
  13. 제 10 항에 있어서, 상기 검역 단계는
    네트워크 기반 공격 및 악성 코드를 탐지하고 서비스 유형별 침해를 탐지하는 단계; 및
    가상 환경을 통한 동적 분석을 수행하는 단계를 포함하는 것을 특징으로 하는 사이버 검역 방법.
  14. 제 10 항에 있어서,
    상기 에이전트는 네트워크 내에 포함된 단말이고, 상기 에이전트는 복수 개인 것을 특징으로 하는 사이버 검역 방법.
  15. 제 10 항에 있어서, 상기 패킷 수신 단계는
    상기 에이전트가 상기 에이전트로 전달된 패킷의 의심 태그 부착 여부를 판별하여 의심 태그가 부착된 패킷에 대해서는 별도의 의심 프로세스를 가동하는 단계를 포함하는 것을 특징으로 하는 사이버 검역 방법.
  16. 제 10 항에 있어서,
    에이전트 매니저가 상기 에이전트와 연동하여 상기 에이전트에서 감시에 의해 생성되는 이벤트를 수집하여 분석을 통한 보안 정책을 수립하고 상기 에이전트를 관리하는 단계를 더 포함하는 것을 특징으로 하는 사이버 검역 방법.
  17. 제 16 항에 있어서,
    상기 에이전트는 에이전트 시스템의 프로세스 및 이상 상태를 감시하고, 프로세스의 민감 정보의 접근 및 유출을 추적하여 이벤트를 생성하여 상기 에이전트 매니저로 제공하는 것을 특징으로 하는 사이버 검역 방법.
  18. 제 16 항에 있어서,
    상기 에이전트 매니저는 상기 에이전트로부터 이벤트 정보를 수신하고 정책 데이터베이스를 이용하여 보안 정책을 수립하여 상기 에이전트로 정책 정보를 제공하는 것을 특징으로 하는 사이버 검역 방법.

KR1020150079189A 2015-06-04 2015-06-04 Sdn을 이용한 사이버 검역 시스템 및 방법 Ceased KR20160143086A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150079189A KR20160143086A (ko) 2015-06-04 2015-06-04 Sdn을 이용한 사이버 검역 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150079189A KR20160143086A (ko) 2015-06-04 2015-06-04 Sdn을 이용한 사이버 검역 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR20160143086A true KR20160143086A (ko) 2016-12-14

Family

ID=57575707

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150079189A Ceased KR20160143086A (ko) 2015-06-04 2015-06-04 Sdn을 이용한 사이버 검역 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR20160143086A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190049323A (ko) * 2017-11-01 2019-05-09 숭실대학교산학협력단 멀웨어 공격을 방지하는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190049323A (ko) * 2017-11-01 2019-05-09 숭실대학교산학협력단 멀웨어 공격을 방지하는 소프트웨어 정의 네트워크 및 이에 포함되는 컨트롤러

Similar Documents

Publication Publication Date Title
EP1905197B1 (en) System and method for detecting abnormal traffic based on early notification
Chi et al. How to detect a compromised SDN switch
EP1895738B1 (en) Intelligent network interface controller
US7137145B2 (en) System and method for detecting an infective element in a network environment
US10116692B2 (en) Scalable DDoS protection of SSL-encrypted services
US9800547B2 (en) Preventing network attacks on baseboard management controllers
US10284599B2 (en) Method for detecting an attack on a working environment connected to a communication network
KR101236822B1 (ko) Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체
US20160352774A1 (en) Mitigation of computer network attacks
JP2010268483A (ja) 能動的ネットワーク防衛システム及び方法
US7617533B1 (en) Self-quarantining network
CN101022360A (zh) 一种基于ieee 802.1x协议的局域网安全管理方法
EP3198828A1 (en) Collaborative deep packet inspection systems and methods
JP2006074760A (ja) セキュリティの脅威に起因してネットワークの通信が制限されている間に仮想ネットワーク内のネットワークデバイスが通信することを可能にすること
CN100435513C (zh) 网络设备与入侵检测系统联动的方法
CN113411296B (zh) 态势感知虚拟链路防御方法、装置及系统
KR101006372B1 (ko) 유해 트래픽 격리 시스템 및 방법
US20050076236A1 (en) Method and system for responding to network intrusions
KR20120000942A (ko) 블랙리스트 접근 통계 기반의 봇 감염 호스트 탐지 장치 및 그 탐지 방법
KR101343693B1 (ko) 네트워크 보안시스템 및 그 처리방법
KR20200116773A (ko) Sdn 기반의 검사시스템
KR20160143086A (ko) Sdn을 이용한 사이버 검역 시스템 및 방법
KR20100048105A (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체
KR102174507B1 (ko) 통신 게이트웨이 방화벽 자동설정장치 및 그 방법
Phan et al. Threat detection and mitigation with MonB5G components in the aLTEr scenario

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20150604

PA0201 Request for examination
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20160523

Patent event code: PE09021S01D

AMND Amendment
PG1501 Laying open of application
E601 Decision to refuse application
PE0601 Decision on rejection of patent

Patent event date: 20161228

Comment text: Decision to Refuse Application

Patent event code: PE06012S01D

Patent event date: 20160523

Comment text: Notification of reason for refusal

Patent event code: PE06011S01I

AMND Amendment
PX0901 Re-examination

Patent event code: PX09011S01I

Patent event date: 20161228

Comment text: Decision to Refuse Application

Patent event code: PX09012R01I

Patent event date: 20160725

Comment text: Amendment to Specification, etc.

PX0601 Decision of rejection after re-examination

Comment text: Decision to Refuse Application

Patent event code: PX06014S01D

Patent event date: 20170220

Comment text: Amendment to Specification, etc.

Patent event code: PX06012R01I

Patent event date: 20170131

Comment text: Decision to Refuse Application

Patent event code: PX06011S01I

Patent event date: 20161228

Comment text: Amendment to Specification, etc.

Patent event code: PX06012R01I

Patent event date: 20160725

Comment text: Notification of reason for refusal

Patent event code: PX06013S01I

Patent event date: 20160523