KR20170090125A - 댁내망 관리 장치 및 방법 - Google Patents

댁내망 관리 장치 및 방법 Download PDF

Info

Publication number
KR20170090125A
KR20170090125A KR1020160010616A KR20160010616A KR20170090125A KR 20170090125 A KR20170090125 A KR 20170090125A KR 1020160010616 A KR1020160010616 A KR 1020160010616A KR 20160010616 A KR20160010616 A KR 20160010616A KR 20170090125 A KR20170090125 A KR 20170090125A
Authority
KR
South Korea
Prior art keywords
traffic
gateway
home network
network
policy
Prior art date
Application number
KR1020160010616A
Other languages
English (en)
Inventor
박상길
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020160010616A priority Critical patent/KR20170090125A/ko
Publication of KR20170090125A publication Critical patent/KR20170090125A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 스마트 기기의 보급으로 인한 아파트 등 댁내망내의 트래픽 발생량 증가 및 댁내 존재하는 PC등 전자기기가 침입으로 인해 봇(bot)으로서 동작되고 있는 상황에 대해 대비하여 안정적이고 쉬운 관리가 가능한 댁내망의 제공을 위하여, 인터넷 및 공유 무선 네트워크 등 에지(Edge) 영역에서 SDN 기술과 댁내망에 대한 보안 증대 기술을 통하여 클린 인터넷 환경과 각종 공격 및 봇넷의 위협으로부터 전자기기들을 보호할 수 있는 보안기능을 내재하고, 오픈 플로우(Open flow) 스위치를 내장한 댁내망 게이트웨이의 구조를 통하여, 대량 트래픽 분산 제어 방법으로 트래픽을 모니터링하여 효과적으로 댁내망을 관리할 수 있는 댁내망 관리 장치 및 방법에 관한 것이다.

Description

댁내망 관리 장치 및 방법{Apparatus and Method for Home Network Security Management}
본 발명은 댁내망 관리 장치 및 방법에 관한 것으로, 특히, 스마트폰, 스마트 TV, 기타 각종 전자기기 등 가정내 증대되는 트래픽으로 인해 관리요구가 증대되는 댁내망에서 인터넷 및 공유 무선 네트워크 구간의 공격에 대응하는 SDN(software Defined Network) 기반의 댁내망 관리 장치 및 방법에 관한 것이다.
도 1은 댁내망 사용자가 ISP/CDN 사업자로부터 인터넷을 사용하는 일반적인 환경을 설명하기 위한 도면이다.
모바일 장치의 보급과 더불어 댁내망에서는 외부의 IDC/LAN과의 통신 뿐만 아니라 내부에서의 트래픽 역시 기하급수적으로 증가하고 있다. 이러한 증가흐름에 따라 악의적인 외부의 공격자들은 댁내망의 보안이 허술하다는 점을 노려 가정에 있는 많은 인터넷에 접속된 기기에 숙주 또는 봇넷(botnet) 등을 구성하여 특정사이트를 공격하고 다량의 공격 트래픽이 발생하게 한다. 그러나, 개인의 PC가 이러한 봇넷에 감염되어 외부의 공격이 발생하더라도 각 개인은 자신의 PC가 공격에 사용된 것을 알지 못하는 한계가 존재한다.
또한, 댁내망으로 유입되는 트래픽에 대해 ISP(Internet Service Provider)/CDN(Contents Delivery Network) 사업자들은 보안 어플리케이션을 통해 일반적인 접속 차단만을 제공하고 있으나, 이때 관리망 내부에서만 유통되는 트래픽에 의해 감염되고 공격하는 트래픽에 대해서는 아무런 대처를 하지 못하며, 그 실상 또한 알 수 없다.
따라서, 본 발명은 상술한 문제점을 해결하기 위하여 안출된 것으로, 본 발명의 목적은, 스마트 기기의 보급으로 인한 아파트 등 댁내망내의 트래픽 발생량 증가 및 댁내 존재하는 PC등 전자기기가 침입으로 인해 봇(bot)으로서 동작되고 있는 상황에 대해 대비하여 안정적이고 쉬운 관리가 가능한 댁내망의 제공을 위하여, 인터넷 및 공유 무선 네트워크 등 에지(Edge) 영역에서 SDN 기술과 댁내망에 대한 보안 증대 기술을 통하여 클린 인터넷 환경과 각종 공격 및 봇넷의 위협으로부터 전자기기들을 보호할 수 있는 보안기능을 내재하고, 오픈 플로우(Open flow) 스위치를 내장한 댁내망 게이트웨이의 구조를 통하여, 대량 트래픽 분산 제어 방법으로 트래픽을 모니터링하여 효과적으로 댁내망을 관리할 수 있는 댁내망 관리 장치 및 방법을 제공하는 데 있다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재들로부터 당업자에게 명확하게 이해될 수 있을 것이다.
먼저, 본 발명의 특징을 요약하면, 상기의 목적을 달성하기 위한 본 발명의 일면에 따른 대량 트래픽 분산 제어에 기초하여 트래픽 모니터링을 수행하여 유해 트래픽으로부터 전자기기를 보호하도록 댁내망을 관리하기 위한 댁내망 관리 장치는, 네트워크상의 트래픽에 대하여 유해 트래픽의 판단 및 트래픽 분산을 위한 트래픽 할당량의 계산을 포함하는 트래픽 분석을 수행하고, 트래픽 분석 결과에 따른 트래픽 정책을 갱신하는 트래픽 분석부; 상기 유해 트래픽으로 판단된 트래픽을 네트워크 상에서 차단 또는 폐기하는 필터링부; 및 게이트웨이가 상기 갱신된 트래픽 정책에 따라 가상머신을 통해 트래픽의 흐름을 제어하도록 상기 게이트웨이의 트래픽 정책을 업데이트하는 게이트웨이 메니저를 포함하고, 상기 게이트웨이 메니저는, 상기 게이트웨이가 TR-069(Technical Report 069) 기능에 따라 해당 프로그램을 수신하여 이전 트래픽 정책을 업데이트하거나, OSGi(Open Service Gateway Initiative) 서비스를 이용하여 신규 서비스를 구동하도록 제어할 수 있다.
상기 게이트웨이 메니저는, SDN(software Defined Network) 기반의 오픈플로우 환경에서의 오픈플로우 컨트롤러이고, 상기 게이트웨이는 SDN 기반의 오픈플로우 환경의 오픈플로우 스위치일 수 있다.
상기 게이트웨이 메니저는, 상기 게이트웨이가 상기 갱신된 트래픽 정책에 따라 기존의 서비스 변경 및 새로운 서비스를 제공할 수 있는 가상머신을 생성할 수 있도록 상기 게이트웨이의 트래픽 정책을 변경하는 트래픽 정책 변경부; 및 상기 게이트웨이에 원격으로 접근하여 상기 갱신된 트래픽 정책에 따라, 보안기능, 접속 관리 기능, 자원관리 기능, 웹 트랜잭션 관리 기능, 또는 TR-069 관리 기능을 포함하는 Web Interface, 또는 외부의 장치와 연동하여 신규 서비스 구동을 위한 REST(Representational State Transfer) Interface를 지원하는 프레임워크 관리부를 포함할 수 있다.
그리고, 본 발명의 다른 일면에 따른 댁내망 관리 장치에서 대량 트래픽 분산 제어에 기초하여 트래픽 모니터링을 수행하여 유해 트래픽으로부터 전자기기를 보호하도록 댁내망을 관리하기 위한 댁내망 관리 방법은, 네트워크상의 트래픽에 대하여 유해 트래픽의 판단 및 트래픽 분산을 위한 트래픽 할당량의 계산을 포함하는 트래픽 분석을 수행하고, 트래픽 분석 결과에 따른 트래픽 정책을 갱신하는 단계; 상기 유해 트래픽으로 판단된 트래픽을 네트워크 상에서 차단 또는 폐기하는 단계; 및 게이트웨이가 상기 갱신된 트래픽 정책에 따라 가상머신을 통해 트래픽의 흐름을 제어하도록 상기 게이트웨이의 트래픽 정책을 업데이트하는 단계를 포함하고, 상기 게이트웨이의 트래픽 정책을 업데이트하는 단계는, 상기 게이트웨이가 TR-069(Technical Report 069) 기능에 따라 해당 프로그램을 수신하여 이전 트래픽 정책을 업데이트하거나, OSGi(Open Service Gateway Initiative) 서비스를 이용하여 신규 서비스를 구동하는 단계를 포함한다.
본 발명에 따른 댁내망 관리 장치 및 방법에 따르면, 스마트폰, 스마트 TV, 기타 각종 전자기기 등 가정내 증대되는 트래픽으로 인해 관리요구가 증대되는 댁내망 환경에서, 대량 트래픽 분산 제어 시스템으로 보안 분석 및 대응을 수행할 수 있고, 댁내에 설치한 오픈 플로우(Open flow) 가능한 게이트웨이 장치를 이용하여 패킷을 필터링하고, 침입방지 엔진을 이용하여 공격에 대응할 수 있다.
댁내망으로 유입되는 트래픽에 대해 ISP(Internet Service Provider) 사업자들은 일반적인 접속 차단만을 제공하고 있으나, 이때 관리망 내부에서만 유통되는 트래픽에 의해 감염되고 공격하는 트래픽에 대해서는 아무런 대처를 하지 못하며, 그 실상 또한 알 수 없다. 인터넷을 통하여 공격을 유발하는 공격자들은 매번 새로운 방법으로 공격을 시도한다. 본 발명에서는 OSGi와 TR-069 기능을 게이트웨이 메니저와 게이트웨이 장치에 적용하여 중앙의 관리자에 의한 지속적인 모니터링 및 업데이트가 가능하도록 함으로써, 이러한 관리망 내부에서의 공격시도에 빠르게 대응할 수 있도록 하였다.
도 1은 댁내망 사용자가 ISP/CDN 사업자로부터 인터넷을 사용하는 일반적인 환경을 설명하기 위한 도면이다.
도 2는 본 발명의 제1 실시 예에 따른 댁내망 관리장치의 구성도이다.
도 3은 본 발명의 제2 실시 예에 따른 댁내망 관리장치의 구성도이다.
도 4는 도 2에 도시된 게이트웨이 메니저의 세부 구성도이다.
도 5는 본 발명의 제2 실시 예에 따라 실제 구현된 댁내망 관리장치를 나타낸 도면이다.
도 6은 본 발명의 실시 예에 따른 댁내망 관리장치에서의 댁내망 보안관리방법을 나타낸 흐름도이다.
도 7은 본 발명의 실시 예에 따른 댁내망 관리장치(1000/2000)의 구현 방법의 일례를 설명하기 위한 도면이다.
이하, 본 발명의 일부 실시예들을 예시적인 도면을 통해 상세하게 설명한다. 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명의 실시예를 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 실시예에 대한 이해를 방해한다고 판단되는 경우에는 그 상세한 설명은 생략한다.
본 발명의 실시예의 구성 요소를 설명하는 데 있어서, 제 1, 제 2, A, B, (a), (b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등이 한정되지 않는다. 또한, 다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
도 2는 본 발명의 제1 실시 예에 따른 댁내망 관리장치(1000)의 구성도이다.
도 2를 참조하면 댁내망 관리장치(1000)는, 트래픽 분석부(100), 게이트웨이 메니저(200)를 포함할 수 있다.
트래픽 분석부(100)는 네트워크상의 유통되는 모든 트래픽을 대상으로 트래픽 상세 분석을 실시하되 실시간 정보를 기반으로 분석하여 유해 트래픽을 판단 및 트래픽의 분산에 대한 내용을 결정하여 트래픽 분석 결과정보를 생성하고, 트래픽 분석 결과정보를 반영하여 트래픽 정책을 갱신할 수 있다.
여기서 유해 트래픽은 트래픽 중 사용자가 설정한 유해 트래픽 선정 기준에 해당하는 트래픽을 의미한다. 유해 트래픽 선정 기준은 일반적으로 다음과 같을 수 있다.
첫 번째, 수신장치가 트래픽을 수신하였을 때 시스템을 이상 작동하게 만드는 트래픽 또는 공격 정보를 유해 트래픽으로 선정할 수 있다. 두 번째, 네트워크의 작동에 있어서 필수적이지 않은 트래픽 또는 데이터 흐름을 유해 트래픽으로 선정할 수 있다. 세 번째, 패킷을 과도하게 발생하여 수신자의 정상적인 네트워크 소통의 흐름을 방해하거나 네트워크 연결을 중단시키는 행위를 하는 트래픽을 유해 트래픽으로 선정할 수 있다. 네 번째, 수신자의 네트워크 상태나 각종 시스템의 정보를 알아내기 위해서 임의의 트래픽을 생성하여 수신자로 하여금 각종 네트워크 정보를 유출시키는 트래픽을 유해 트래픽으로 선정할 수 있다. 다섯 번째, 각종 어플리케이션에서 생성되어 기타 어플리케이션 또는 운영체제의 동작을 방해하거나 비정상적인 행위를 유도하는 트래픽을 유해 트래픽으로 선정할 수 있다. 이러한 기준으로 유해 트래픽을 선정할 수 있으나 이에 한정되지 아니하고 네트워크에 유해한 결과를 초래하는 트래픽이라면 제한 없이 선정할 수 있다.
여기서 트래픽 분석은 유해 트래픽을 판단하는 것과 사용자가 미리 설정한 기준에 따라 트래픽을 분산하기 위해 트래픽 할당량을 계산하는 것을 의미할 수 있으나 이에 한정되지 아니한다.
트래픽 분석부(100)는 외부로 연결된 네트워크 회선에 인라인(in-line)으로 연결된 네트워크 탭 및 네트워크 탭에 out-of-path 형태로 연결되는 대량 트래픽 분산제어 시스템을 포함하여 그 기능을 구현할 수 있다. 본 발명의 실시 예에 따르면 트래픽 분석부(100)는 네트워크를 흐르는 모든 트래픽에 대해 트래픽 상세 분석을 실시하여 실시간 정보를 기반으로 분석하여 실시간 Top-N 정보 등을 생성하여 게이트웨이 메니저(200)에 해당 정보를 전송할 수 있다. 여기서 Top-N 정보는 Top-N 알고리즘을 이용하여, 수집한 정보 중에 유행성이 가장 높은 값 상위 N(자연수)개를 선정하여 생성한 정보를 의미한다.
또한, 트래픽 분석부(100)는 인터넷 회선을 이용하는 각종 보안위규 공격에 대해 탐지하고 좀비(Zombie)로 인해 발생되는 트래픽을 별도로 관리하여, 스위치 등에 해당 IP 주소에서 발생되는 트래픽을 차단하도록 제어할 수 있다. 즉, 본 발명의 일 실시 예에 따르면 트래픽 분석부(100)는 네트워크 회선을 이용하여 전송되는 트래픽 중 트래픽 정책에 포함된 보안 규칙을 위반하는 공격을 탐지하고 이로 인해 발생되는 트래픽을 별도로 관리하여, 물리적 또는 가상 스위치 등을 통해 해당 IP(Internet Protocol) 주소에서 발생되는 트래픽을 차단하도록 제어할 수 있다.
게이트웨이 메니저(200)는 갱신된 트래픽 정책을 수신하고 (홈)게이트웨이의 트래픽 정책을 갱신된 트래픽 정책으로 변경함으로써 게이트웨이의 가상머신을 통해 게이트웨이가 트래픽의 흐름을 제어하게 할 수 있다. 본 발명의 실시 예에 따르면 게이트웨이 메니저(200)로서 SDN 기반의 오픈플로우 환경에서의 오픈플로우 컨트롤러가 사용될 수 있다. 여기서 오픈플로우 컨트롤러는 제어 평면에서 네트워크의 제어뿐만 아니라 상위 응용이나 정책적인 요구에 따라 차별화된 패킷 처리 규칙을 결정하고 이를 전송 평면의 오픈플로우 스위치에 전달하여 네트워크를 소프트웨어적으로 매우 유연하게 제어 운용하는 것을 의미한다.
예를 들어, 게이트웨이 메니저(200)는 (홈)게이트웨이(도 5의 500 참조)에 대한 기본적인 관리를 위한 OpenFlow Controller 기능과, OSGi Framework을 내재하여 게이트웨이를 관리할 수 있다. 또한, 게이트웨이 메니저(200)는 게이트웨이(500)에 대해 원격에서 관리자가 접근하여 관리를 할 수 있는 Web Interface를 제공하여 보안기능, 접속 관리 기능, 자원관리 기능, 웹 트랜잭션 관리 기능, TR-069 관리 기능 등을 제공할 수 있다. 이외에도, 게이트웨이 메니저(200)는 OpenFlow Controller 기능을 수행 할 수 있으므로, REST(Representational State Transfer) Interface를 제공하여 새로운 신규서비스를 적재하기 위해 외부의 장치와 연동이 가능한 구조를 갖는다.
본 발명의 실시 예에 따르면 게이트웨이(500)로서 SDN 기반의 오픈플로우 환경의 오픈플로우 스위치가 사용될 수도 있다. 여기서 오픈플로우 스위치는 오픈플로우 컨트롤러의 제어를 받아 네트워크 내 전송 평면에서 패킷을 전송하게 하는 것을 의미한다. 게이트웨이는 각각 포함된 트래픽 정책에 따라 가상머신을 구현하여 네트워크에 연결된 각 통신장비로부터 트래픽을 송수신할 수 있다. 또한 게이트웨이는 CPU(Central Processing Unit) 등의 하드웨어를 통해 얻어진 연산능력을 사용하여 트래픽 정책에 따라 패킷을 송수신할 수 있다.
본 발명의 실시 예에 따르면 게이트웨이는 블루투스(Bluetooth), 지그비(Zigbee)등의 통신방법을 통해서 패킷을 송/수신할 수 있으나 이제 한정되지는 아니한다.
도 3은 본 발명의 제2 실시 예에 따른 댁내망 관리장치(2000)의 구성도이다.
도 3을 참조하면 본 발명의 제2 실시 예에 따른 댁내망 관리장치(2000)는 필터링부(300)를 더 포함할 수 있다. 필터링부(300)는 인터넷 및 공유 무선 네트워크 등 네트워크 상의 에지(Edge) 영역에서 에지(Edge) 서비스 네트워크 관리자, 연동되는 스위치(Switch), 또는 라우터 장치 등일 수 있다.
필터링부(300)는 트래픽 분석부(100)에서 트래픽 분석을 통해 유해 트래픽으로 판단된 트래픽을 네트워크 상에서 차단 또는 폐기할 수 있다. 여기서 트래픽을 차단 또는 폐기하는 방법은 물리적 또는 가상 스위치 등을 통해 수행될 수 있으며, 이러한 스위치는 게이트웨이 메니저(200)의 내부에 포함될 수도 있으나 개별적으로 외부에 존재할 수도 있다. 가상 스위치를 통하여 트래픽을 차단 또는 폐기하는 본 발명의 일 실시 예에 따르면 가상 스위치 기능을 구현하는 가상 머신을 생성하여, 생성한 가상머신을 통해 차단 또는 폐기하는 방법을 사용할 수 있다.
도 4는 도 2에 도시된 게이트웨이 메니저(200)의 세부 구성도이다.
도 4를 참조하면 게이트웨이 메니저(200)는 트래픽 정책 변경부(210), 프레임워크 관리부(220)을 포함할 수 있다.
트래픽 정책 변경부(210)는 게이트웨이(500)가 갱신된 트래픽 정책에 따라 기존의 서비스 변경 및 새로운 서비스를 제공할 수 있는 가상머신을 생성할 수 있도록 게이트웨이(500)의 트래픽 정책을 변경할 수 있다. 여기서 기존의 서비스 변경은 트래픽 정책에 따른 트래픽의 분산기준의 변경을 의미할 수 있다. 또한 새로운 서비스란 사용자의 요구사항을 반영한 새로운 전송 서비스를 의미할 수 있다.
이를 위하여, 프레임워크 관리부(220)는 게이트웨이(500)에 대한 기본적인 관리를 위한 OpenFlow Controller 기능과, OSGi Framework을 내재하여 게이트웨이를 관리할 수 있다. 프레임워크 관리부(220)는 게이트웨이(500)에 원격으로 접근하여, 갱신된 트래픽 정책에 따라 Web Interface를 제공하여 보안기능, 접속 관리 기능, 자원관리 기능, 웹 트랜잭션 관리 기능, TR-069 관리 기능 등을 제공할 수 있다. 이외에도, 프레임워크 관리부(220)는 OpenFlow Controller 기능을 수행 할 수 있으므로, REST(Representational State Transfer) Interface를 제공하여 새로운 신규서비스를 적재하기 위해 외부의 장치와 연동이 가능한 구조를 갖는다.
보안관리는 바이러스를 포함한 트래픽 등 네트워크 자체에 문제를 발생할 가능성이 존재하는 트래픽의 존재를 확인하고 그러한 트래픽을 제거 및 차단하는 관리를 의미한다. 접속관리는 악의의 공격자 같은 외부의 권한 없는 자로부터 트래픽이 송신되는 것을 막기 위한 관리를 의미할 수 있다. 웹 트랜잭션 관리에서 트랜잭션은 데이터통신 시스템에서 관리의 대상이 되는 기본적인 정보를 기록한 기본파일(master file)에 대해서 그 내용에 추가, 삭제 및 갱신을 가져오도록 하는 행위를 의미하며, 웹 트랜잭션 관리는 외부로부터 웹을 통해 이러한 추가, 삭제 및 갱신을 가능하게 하는 관리를 의미한다. 자원 관리는 트래픽 정책에 따라 가상머신을 생성하기 위한 물리적 자원의 할당을 변경하는 것을 의미할 수 있다.
예를 들어, TR-069 기능을 지원하는 본 발명의 게이트웨이(500)는, 트래픽 정책 변경부(210)로부터 갱신된 트래픽 정책에 따른 프로그램을 수신하여, 수 초 내에 구동되는 소프트웨어와 그와 관련된 데이터를 업데이트하여 재구동 할 수 있다. 또한, OSGi Framework를 지원하는 본 발명의 게이트웨이는, OSGi 서비스로서 OpenFlow를 적재하여 구동할 수 있으며, 이러한 OSGi 프레임워크를 이용하여 신규보안 서비스가 필요한 경우 적재하여 구동할 수 있다.
도 5는 본 발명의 제2 실시 예에 따라 실제 구현된 댁내망 관리장치(2000)를 나타낸 도면이다.
도 5를 참조하면, 게이트웨이 메니저(200)는 (홈)게이트웨이(500)와 연결되어 네트워크를 구성할 수 있으며, 게이트웨이(500)가 트래픽 정책에 따라 가상머신을 생성하여 기존의 패킷 제공 서비스의 변경 또는 새로운 패킷 제공 서비스를 제공할 수 있도록, 게이트웨이(500)에 포함된 트래픽 정책을 변경할 수 있다.
여기서 게이트웨이(500)란, 한 네트워크에서 다른 네트워크로 들어가는 입구 역할을 하는 장치를 의미하며, 근거리 통신망(LAN)과 같은 하나의 네트워크를 다른 네트워크와 연결할 때 사용된다. 스마트폰, 스마트 TV, 기타 각종 전자기기 또는 통신장치는 게이트웨이(500)에 유무선으로 연결되어, WiFi 등의 프로토콜에 따른 인터넷 또는 공유 무선 네트워크에 접속할 수 있다. 본 발명의 실시 예에 따르면 게이트웨이(500)는 모듈간 동적 관계와 의존을 효과적으로 관리하기 위한 OSGi(Open Service Gateway Initiative), 엔드-유저 디바이스의 원격관리를 위한 TR-069(Technical Report 069) 등의 프로토콜에 따른 기능이 적용될 수 있으며, 이에 따라 중앙의 관리자로서의 지속적인 모니터링 및 업데이트가 가능하도록 함으로써, 댁내 관리망 내부에서의 공격시도에 빠르게 대응할 수 있다.
예를 들어, TR-069 기능을 지원하는 본 발명의 게이트웨이(500)는, 게이트웨이 메니저(200)로부터 갱신된 트래픽 정책에 따라 프로그램을 수신하여, 수 초 내에 구동되는 소프트웨어와 그와 관련된 데이터를 업데이트하여 재구동 할 수 있다. 또한, OSGi Framework를 지원하는 본 발명의 게이트웨이(500)는, OSGi 서비스로서 OpenFlow를 적재하여 구동할 수 있으며, 이러한 OSGi 프레임 워크를 이용하여 신규보안 서비스가 필요한 경우 적재하여 재구동할 수 있다.
도 5에서는 게이트웨이(500)와 게이트웨이 메니저(200)가 연결되어 있는 것으로 도시하였으나, 본 발명의 실시 예에 따르면 이러한 연결은 와이파이(Wi-Fi), 블루투스(Bluetooth) 등의 무선 통신을 사용하는 것은 물론이고 랜(LAN)선 또는 광 케이블 선을 이용한 유선연결도 사용될 수 있다.
필터링부(300)는 게이트웨이 메니저(200) 및 트래픽 분석부(100)와 연결될 수 있다. 필터링부(300)는 물리 스위치를 사용할 수도 있으나 게이트웨이 메니저 (200)의 내부에서 가상머신을 통해 가상 스위치로 구현될 수도 있다.
트래픽 분석부(100)는 외부로 연결된 네트워크 회선에 인라인(in-line)으로 연결된 네트워크 탭 및 네트워크 탭에 out-of-path 형태로 연결되는 대량 트래픽 분산제어 시스템을 포함하여 그 기능을 구현할 수 있다. 여기서 네트워크 탭은 패킷의 손실이 없도록 드롭(Drop)되는 패킷까지 포워딩(Forwarding)할 수 있는 장치를 의미하며, 기존네트워크 변경을 최소화하면서 원하는 네트워크 구간의 정보를 모니터링 할 수 있다. 대량 트래픽 분산제어 시스템은 네트워크 내 트래픽을 대상으로 트래픽 분석을 실시하고, 분석 결과를 연결된 필터링부(300)에 전달하여 지속적인 공격을 유발하는 트래픽을 차단 또는 제거할 수 있다.
본 발명의 또 다른 일 실시 예에 따르면 트래픽 분석 결과를 게이트웨이 메니저(200)로 송신하여, 이를 수신한 게이트웨이 메니저(200)가 트래픽 정책을 변경하고 그에 따라 필터링부(300)를 제어하여 지속적인 공격을 유발하는 트래픽을 차단 또는 제거할 수 있다.
도 6은는 본 발명의 실시 예에 따른 댁내망 관리장치(1000/2000)에서의 댁내망 보안관리방법을 나타낸 흐름도이다.
도 6을 참조하면, 먼저, 트래픽 분석부(100)는 유/무선 통신을 이용하여 외부로부터 네트워크 상에서 흐르고 있는 트래픽을 수신하여(610), 수신한 트래픽에 대해 트래픽 분석을 실시한다(620).
여기서 트래픽 분석은 유해 트래픽을 판단하는 것과 트래픽의 사용자가 미리 설정한 기준에 따라 분산을 위해 트래픽 할당량을 계산하는 것을 의미할 수 있으나 이에 한정되지 아니한다. 분석을 통해 실시간 Top-N 정보 등을 생성할 수 있으며, 여기서 Top-N 정보는 Top-N 알고리즘을 이용하여, 수집한 정보 중에 유해성이 가장 높은 값 상위 N개를 선정하여 생성한 정보를 의미한다. 본 발명의 일 실시 예에 따르면 네트워크 회선을 이용하여 전송되는 트래픽 중 트래픽 정책에 포함된 보안 규칙을 위반하는 공격을 탐지하고 이로 인해 발생되는 트래픽을 별도로 관리하여, 물리적 또는 가상 스위치 등을 통해 해당 IP에서 발생되는 트래픽을 차단하도록 지시 또는 명령할 수 있다.
위와 같은 트래픽 분석부(100)는 트래픽 분석을 통해 유해 트래픽의 존재여부를 판단한다(630). 여기서 유해 트래픽이란 상술한 유해 트래픽 선정기준에 의해 선정된 트래픽을 의미할 수 있다. 유해 트래픽의 존재여부 판단결과, 트래픽 분석부(100) 또는 필터링부(300)는 유해 트래픽으로 분류된 트래픽들은 네트워크 상에서 차단 또는 폐기한다(635).
여기서 트래픽을 차단 또는 폐기하는 방법은 물리적 또는 가상 스위치를 통해 할 수 있으며, 가상 스위치를 통하여 트래픽을 차단 또는 폐기하는 본 발명의 일 실시 예에 따르면 가상 스위치 기능을 구현하는 가상머신을 생성하여, 이를 통해 차단 또는 폐기하는 방법을 사용할 수 있다.
여기서, 정상적인 트래픽의 경우 트래픽 분석부(100)는 트래픽 분석의 결과를 반영하여 실시간으로 트래픽 정책을 갱신할 수 있다(640).
갱신된 트래픽 정책에 따라, 게이트웨이 메니저(200)는 게이트웨이(500)의 트래픽 정책을 변경한다(650). 게이트웨이(500)가 갱신된 정보에 따라 기존의 서비스 변경 및 새로운 서비스를 제공할 수 있는 가상머신을 생성할 수 있도록 트래픽 정책을 변경할 수 있다. 여기서 기존의 서비스 변경은 트래픽 정책에 따라 트래픽의 분산기준의 변경을 의미할 수 있다. 또한 새로운 서비스란 사용자의 요구사항을 반영한 새로운 전송 서비스를 의미할 수 있다.
또한 게이트웨이 메니저(200)는 게이트웨이(500)에 대하여 원격으로 접근하여 상기 갱신된 트래픽 정책에 따라 보안, 접속, 자원, 웹 트랜잭션을 관리할 수 있다.
게이트웨이(500)는 게이트웨이 메니저(200)에서 변경된 트래픽 정책에 따라 가상머신을 생성한다(670). 게이트웨이(500)에서 트래픽 정책에 따라 가상머신을 구현하여 네트워크에 연결된 각 통신장비로부터 트래픽을 송수신할 수 있다(670).
도 7은 본 발명의 실시 예에 따른 댁내망 관리장치(1000/2000)의 구현 방법의 일례를 설명하기 위한 도면이다. 본 발명의 일 실시예에 따른 댁내망 관리장치(1000/2000)는 하드웨어, 소프트웨어, 또는 이들의 결합으로 이루어질 수 있다. 예를 들어, 댁내망 관리장치(1000/2000)는 도 7과 같은 컴퓨팅 시스템(1000)으로 구현될 수 있다.
컴퓨팅 시스템(1000)은 버스(1200)를 통해 연결되는 적어도 하나의 프로세서(1100), 메모리(1300), 사용자 인터페이스 입력 장치(1400), 사용자 인터페이스 출력 장치(1500), 스토리지(1600), 및 네트워크 인터페이스(1700)를 포함할 수 있다. 프로세서(1100)는 중앙 처리 장치(CPU) 또는 메모리(1300) 및/또는 스토리지(1600)에 저장된 명령어들에 대한 처리를 실행하는 반도체 장치일 수 있다. 메모리(1300) 및 스토리지(1600)는 다양한 종류의 휘발성 또는 불휘발성 저장 매체를 포함할 수 있다. 예를 들어, 메모리(1300)는 ROM(Read Only Memory)(1310) 및 RAM(Random Access Memory)(1320)을 포함할 수 있다.
따라서, 본 명세서에 개시된 실시예들과 관련하여 설명된 방법 또는 알고리즘의 단계는 프로세서(1100)에 의해 실행되는 하드웨어, 소프트웨어 모듈, 또는 그 2 개의 결합으로 직접 구현될 수 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터, 하드 디스크, 착탈형 디스크, CD-ROM과 같은 저장 매체(즉, 메모리(1300) 및/또는 스토리지(1600))에 상주할 수도 있다. 예시적인 저장 매체는 프로세서(1100)에 커플링되며, 그 프로세서(1100)는 저장 매체로부터 정보를 판독할 수 있고 저장 매체에 정보를 기입할 수 있다. 다른 방법으로, 저장 매체는 프로세서(1100)와 일체형일 수도 있다. 프로세서 및 저장 매체는 주문형 집적회로(ASIC) 내에 상주할 수도 있다. ASIC는 사용자 단말기 내에 상주할 수도 있다. 다른 방법으로, 프로세서 및 저장 매체는 사용자 단말기 내에 개별 컴포넌트로서 상주할 수도 있다.
상술한 바와 같이, 본 발명에 따른 댁내망 관리장치(1000/2000)에서는, 스마트폰, 스마트 TV, 기타 각종 전자기기 등 가정내 증대되는 트래픽으로 인해 관리요구가 증대되는 댁내망 환경에서, 대량 트래픽 분산 제어 시스템으로 보안 분석 및 대응을 수행할 수 있고, 댁내에 설치한 오픈 플로우(Open flow) 가능한 게이트웨이 장치(500)를 이용하여 패킷을 필터링하고, 침입방지 엔진을 이용하여 공격에 대응할 수 있다.
댁내망으로 유입되는 트래픽에 대해 ISP(Internet Service Provider) 사업자들은 일반적인 접속 차단만을 제공하고 있으나, 이때 관리망 내부에서만 유통되는 트래픽에 의해 감염되고 공격하는 트래픽에 대해서는 아무런 대처를 하지 못하며, 그 실상 또한 알 수 없다. 인터넷을 통하여 공격을 유발하는 공격자들은 매번 새로운 방법으로 공격을 시도한다. 본 발명에서는 OSGi와 TR-069 기능을 게이트웨이 메니저(200)와 게이트웨이 장치(500)에 적용하여 중앙의 관리자에 의한 지속적인 모니터링 및 업데이트가 가능하도록 함으로써, 이러한 관리망 내부에서의 공격시도에 빠르게 대응할 수 있도록 하였다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다.
따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
트래픽 분석부(100)
게이트웨이 메니저(200)
트래픽 정책 변경부(210)
프레임워크 관리부(220)
필터링부(300)
(홈)게이트웨이(장치)(500)

Claims (1)

  1. 대량 트래픽 분산 제어에 기초하여 트래픽 모니터링을 수행하여 유해 트래픽으로부터 전자기기를 보호하도록 댁내망을 관리하기 위한 댁내망 관리 장치에 있어서,
    네트워크상의 트래픽에 대하여 유해 트래픽의 판단 및 트래픽 분산을 위한 트래픽 할당량의 계산을 포함하는 트래픽 분석을 수행하고, 트래픽 분석 결과에 따른 트래픽 정책을 갱신하는 트래픽 분석부;
    상기 유해 트래픽으로 판단된 트래픽을 네트워크 상에서 차단 또는 폐기하는 필터링부; 및
    게이트웨이가 상기 갱신된 트래픽 정책에 따라 가상머신을 통해 트래픽의 흐름을 제어하도록 상기 게이트웨이의 트래픽 정책을 업데이트하는 게이트웨이 메니저 를 포함하고,
    상기 게이트웨이 메니저는, 상기 게이트웨이가 TR-069(Technical Report 069) 기능에 따라 해당 프로그램을 수신하여 이전 트래픽 정책을 업데이트하거나, OSGi(Open Service Gateway Initiative) 서비스를 이용하여 신규 서비스를 구동하도록 제어하는 것을 특징으로 하는 댁내망 관리 장치.
KR1020160010616A 2016-01-28 2016-01-28 댁내망 관리 장치 및 방법 KR20170090125A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160010616A KR20170090125A (ko) 2016-01-28 2016-01-28 댁내망 관리 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160010616A KR20170090125A (ko) 2016-01-28 2016-01-28 댁내망 관리 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20170090125A true KR20170090125A (ko) 2017-08-07

Family

ID=59653909

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160010616A KR20170090125A (ko) 2016-01-28 2016-01-28 댁내망 관리 장치 및 방법

Country Status (1)

Country Link
KR (1) KR20170090125A (ko)

Similar Documents

Publication Publication Date Title
US7561515B2 (en) Role-based network traffic-flow rate control
US10135633B2 (en) Network security analysis for smart appliances
US10708146B2 (en) Data driven intent based networking approach using a light weight distributed SDN controller for delivering intelligent consumer experience
US9369434B2 (en) Whitelist-based network switch
US10116696B2 (en) Network privilege manager for a dynamically programmable computer network
EP3449600B1 (en) A data driven intent based networking approach using a light weight distributed sdn controller for delivering intelligent consumer experiences
US8881281B1 (en) Application and network abuse detection with adaptive mitigation utilizing multi-modal intelligence data
Deng et al. DoS vulnerabilities and mitigation strategies in software-defined networks
US11283831B2 (en) Dynamic device isolation in a network
Serror et al. Towards in-network security for smart homes
US20070140275A1 (en) Method of preventing denial of service attacks in a cellular network
KR101553264B1 (ko) 네트워크 침입방지 시스템 및 방법
US20150150079A1 (en) Methods, systems and devices for network security
US10749894B2 (en) Prefetch intrusion detection system
EP3286650B1 (en) Network security analysis for smart appliances
JP6834768B2 (ja) 攻撃検知方法、攻撃検知プログラムおよび中継装置
Osman et al. Transparent Microsegmentation in Smart Home {IoT} Networks
JP4620070B2 (ja) トラヒック制御システムおよびトラヒック制御方法
US20070140121A1 (en) Method of preventing denial of service attacks in a network
KR101881061B1 (ko) 모드 변경이 가능한 양방향 통신 장치 및 방법
Cisco Tuning Sensor Signatures Using Policy Override Settings
US9154583B2 (en) Methods and devices for implementing network policy mechanisms
KR20170090125A (ko) 댁내망 관리 장치 및 방법
KR101069341B1 (ko) 분산 서비스 거부 공격 생성 방지 장치
Metongnon et al. Distributed middlebox architecture for IoT protection