KR20180046894A - NFV based messaging service security providing method and system for the same - Google Patents
NFV based messaging service security providing method and system for the same Download PDFInfo
- Publication number
- KR20180046894A KR20180046894A KR1020170140918A KR20170140918A KR20180046894A KR 20180046894 A KR20180046894 A KR 20180046894A KR 1020170140918 A KR1020170140918 A KR 1020170140918A KR 20170140918 A KR20170140918 A KR 20170140918A KR 20180046894 A KR20180046894 A KR 20180046894A
- Authority
- KR
- South Korea
- Prior art keywords
- security
- messaging
- policy
- condition
- messaging service
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H04L51/12—
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Abstract
Description
본 발명은 4G/5G 통신 및 VoIP(Voice over IP) 통신에서의 메시징 서비스(messaging service, 예컨대, SMS/MMS/메신저 서비스 등)의 보안을 위한 방법 및 이를 위한 시스템에 관한 것으로서, 더욱 자세하게는 네트워크 기능 가상화(NFV, Network Function Virtualization) 환경에서 IP 기반 메시징 서비스의 악의적인 malware 및 APK(Andriod Application Package)의 설치 방지, 스팸 메시지 발신 방지 등의 보안 기술에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a method and system for securing a messaging service (e.g. SMS / MMS / messenger service) in 4G / 5G communication and Voice over IP The prevention of malicious malware and APK (Andriod Application Package) installation of IP-based messaging service in a network functional virtualization (NFV) environment, and prevention of spam message transmission.
최근 들어, 스위치의 트래픽 포워딩 기능과 스위치의 제어 기능을 분리하여 통신 시스템을 효율적으로 운용하는 기술에 대한 표준화가 ONF(Open Networking Foundation), IETF(Internet Engineering Task Force), ETSI ISG NFV(Network Function Virtualization) 및 ITU-T 등을 중심으로 진행되고 있다.In recent years, the standardization of technology for efficiently operating the communication system by separating the traffic forwarding function of the switch and the control function of the switch has been carried out by the ONF (Open Networking Foundation), IETF (Internet Engineering Task Force), ETSI ISG NFV ) And ITU-T.
SDN(Software Defined Network)은 라우터나 스위치 등의 기본 네트워크 장비에 관계없이 사용자가 통제 권한을 가지며, 별도의 소프트웨어 컨트롤러가 트래픽 흐름을 제어하는 사용자 중심의 네트워크를 의미한다. SDN의 기술 중의 하나인 오픈플로우(OpenFlow) 기술 표준화를 추진하고 있는 표준화 단체들 중 ONF는 하드웨어(스위치)와 컨트롤러(Network OS) 사이를 연결하는 인터페이스를 정의하고 있다. 이는 네트워크를 통해 데이터 패킷을 어떻게 전달할 것인지 제어하기 위한 기능(Control Plane)을 물리적 네트워크와 분리하여 데이터 전달 기능(Data Plane)과 상호작용 하기 위한 프로토콜이다. IETF는 NFV(Network Functions Virtualization)를 기본 인프라로 이용하는 네트워크 환경에서 네트워크 보안 서비스(Network Security Service)를 제공하기 위한 표준 인터페이스를 정의하고 구현하는 워킹 그룹을 만들고, 네트워크 서비스 인프라 구축 및 운영 비용을 절감하기 위한 네트워크 기능 가상화인 NFV 연구 및 표준화를 활발히 진행되고 있다.SDN (Software Defined Network) refers to a user-oriented network in which a user has control authority regardless of basic network equipment such as a router or a switch, and a separate software controller controls traffic flow. Of the SDN standardization organizations that are promoting OpenFlow technology standardization, ONF defines the interface between hardware (switch) and controller (network OS). This is a protocol for interacting with the data transfer function (Data Plane) by separating the control plane from the physical network in order to control how to transmit data packets through the network. The IETF defines a working group that defines and implements a standard interface for providing network security services in a network environment using Network Functions Virtualization (NFV) as a basic infrastructure, and reduces the cost of establishing and operating a network service infrastructure NFV research and standardization, which is a virtualization of network functions, is actively underway.
한편, IP 기반 메시징 서비스에 대해 상기와 같은 SDN/NFV 기반의 환경에서의 유연하고 중앙 집중적인 보안 처리 방법 및 이를 위한 보안 서비스 시스템의 구조에 대해서는 아직 구체화되고 있지 않다.On the other hand, the flexible and centralized security processing method in the SDN / NFV-based environment and the structure of the security service system for the IP-based messaging service have not been specified yet.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, NFV 환경에서의 메시징 서비스에 대한 보안을 제공하는 방법을 제공한다.In order to solve the above problems, the present invention provides a method for providing security for a messaging service in an NFV environment.
상기와 같은 문제점을 해결하기 위한 본 발명의 다른 목적은, NFV 환경에서의 메시징 서비스에 대한 보안을 제공하는 시스템을 제공한다.Another object of the present invention is to provide a system for providing security for a messaging service in an NFV environment.
상기와 같은 문제점을 해결하기 위한 본 발명의 또 다른 목적은, NFV 환경에서의 메시징 서비스에 대한 보안을 제공하는 메시징 보안 컨트롤러의 동작 방법을 제공한다.Yet another object of the present invention is to provide a method of operating a messaging security controller that provides security for a messaging service in an NFV environment.
상술한 본 발명의 목적을 달성하기 위한 본 발명의 일 측면에 따른 네트워크 기능 가상화(NFV; Network Function Virtualization) 기반의 메시징(messaging) 서비스 보안 시스템은 메시징 서비스에 대한 보안 정책을 설정하고 관리하는 메시징 서비스 관리자(MSM; Messaging Service Manager); 상기 메시징 서비스 관리자를 통해 전달받은 보안 정책을 소정의 데이터 모델로 생성하여 네트워크 보안 기능(NSF; Network Security Function)에 전달하는 메시징 보안 컨트롤러(MSC; Messaging Security Controller); 및 상기 메시징 보안 컨트롤러로부터 전달 받은 데이터 모델에 기초하여, 상기 메시징 서비스에 대한 보안을 제공하는 적어도 하나의 네트워크 보안 기능을 포함하여 구성될 수 있다.According to an aspect of the present invention, a network functional virtualization (NFV) -based messaging service security system includes a messaging service for setting and managing a security policy for a messaging service, MSM (Messaging Service Manager); A messaging security controller (MSC) for generating a security policy received through the messaging service manager in a predetermined data model and transmitting the security policy to a network security function (NSF); And at least one network security function that provides security for the messaging service based on a data model received from the messaging security controller.
상기 데이터 모델은, 조건의 충족여부 판단과 동작 수행의 대상이 되는 사건(event); 네트워크 장치를 통해 송수신되는 패킷 또는 특정 플로우에 속하는 패킷에 대해 특정 동작(action)의 적용 여부를 판단하기 위한 조건(condition); 및 상기 조건이 만족되었을 때 수행될 동작(action)을 정의하는 정보를 포함할 수 있다.The data model may include an event to determine whether the condition is satisfied and an operation to be performed; A condition for determining whether a specific action is applied to a packet transmitted or received through a network device or a packet belonging to a specific flow; And information defining an action to be performed when the condition is satisfied.
상기 사건은 소정 상황의 발생 시각과 관련된 시간 이벤트(time event) 및 사용자의 행위에 의해서 유발된 상황과 관련된 사용자 동작(user action)을 포함할 수 있다.The event may include a time event related to the occurrence time of a predetermined situation and a user action related to a situation caused by the user's action.
상기 조건은 단일 패킷의 내용으로부터 판단할 수 있는 패킷 값 조건 및 세션(session) 또는 플로우(flow) 등을 통하여 판단할 수 있는 상황(context) 조건을 포함할 수 있다.The condition may include a packet value condition that can be determined from the contents of a single packet, and a context condition that can be determined through a session or a flow.
상기 동작은 트래픽 인입(ingress) 제어 동작, 트래픽 출력(egress) 제어 동작, 프로파일 또는 시그니춰에 기반한 응용동작(advanced action), 및 통계(statistics) 동작 중 적어도 하나를 포함할 수 있다.The operation may include at least one of a traffic ingress control operation, a traffic output (egress) control operation, a profile or signature based advanced operation, and a statistics operation.
상기 네트워크 보안 기능은, 적어도 하나의 SDN 스위치를 관리하는 적어도 하나의 SDN 컨트롤러에 연결되며, 상기 메시징 보안 컨트롤러로부터 전달받은 데이터 모델을, 상기 적어도 하나의 SDN 컨트롤러의 API 호출 또는 연동 규격에 맞는 메시지 변환에 의하여 상기 적어도 하나의 SDN 컨트롤러로 전달할 수 있다.Wherein the network security function is coupled to at least one SDN controller that manages at least one SDN switch and is operable to transmit a data model received from the messaging security controller to at least one SDN controller, To the at least one SDN controller.
상기 메시징 보안 컨트롤러는, 상기 메시징 서비스 관리자로부터 전달 받은 보안 정책을 상기 소정의 데이터 모델로 생성하여, 상기 네트워크 보안 기능으로 전달하는 정책 관리부(policy manager); 및 상기 정책 관리부로부터 전달받은 이벤트 관련 정보에 기초하여 상기 네트워크 보안 기능으로부터 통보 받아야 하는 이벤트와 통계 정보를 관리하는 이벤트 관리부(event manager)를 포함할 수 있다. Wherein the messaging security controller comprises: a policy manager for generating a security policy received from the messaging service manager in the predetermined data model and delivering the security policy to the network security function; And an event manager for managing events and statistical information to be notified from the network security function based on event related information received from the policy management unit.
상기 네트워크 보안 기능은, 상기 메시징 보안 컨트롤러로부터 전달받은 데이터 모델에 기초하여 유입된 메시지에 대한 동작을 수행하고, 유입된 메시지의 추가 분석이 필요한 경우 유입된 메시지를 상기 메시징 보안 컨트롤러로 전달하는 정책 수행부(policy enforcer); 상기 정책 수행부에서 전달받은 이벤트 관련 정보에 기초하여 이벤트 모니터링을 수행하고, 이벤트의 발생을 상기 정책 수행부로 통보하는 이벤트 통보부(event notifier); 및 상기 이벤트 통보부에서 요청한 조건을 만족하는 이벤트에 대한 통계 생성/관리/통보 기능을 수행하는 통계 처리부(statistics processor)를 포함할 수 있다. The network security function performs an operation on an incoming message based on a data model received from the messaging security controller and transmits a received message to the messaging security controller when a further analysis of the incoming message is required Policy enforcer; An event notifier for performing event monitoring based on event related information received from the policy execution unit and notifying the policy execution unit of the occurrence of an event; And a statistics processor for performing statistics generation / management / notification functions for events that satisfy the conditions requested by the event notification unit.
상기 네트워크 보안 기능은 독립적인 하드웨어 서버로 구현되거나, 클라우드(cloud) 환경의 가상 머신(VM; Virtual Machine) 또는 가상 머신 상에 구현될 수 있다.The network security function may be implemented as an independent hardware server, or may be implemented in a virtual machine (VM) or a virtual machine in a cloud environment.
상술한 본 발명의 다른 목적을 달성하기 위한 본 발명의 일 측면에 따른 네트워크 기능 가상화(NFV; Network Function Virtualization) 기반의 메시징(messaging) 서비스 보안 처리 방법은 메시징 서비스 관리자(MSM; Messaging Service Manager)가 메시징 서비스에 대한 보안 정책을 생성하여 메시징 보안 컨트롤러(MSC; Messaging Security Controller)에 전달하는 단계; 상기 메시징 보안 컨트롤러가 상기 보안 정책을 수신하고, 상기 보안 정책을 소정의 데이터 모델로 생성하여 적어도 하나의 네트워크 보안 기능(NSF; Network Security Function)에 전달하는 단계; 및 상기 적어도 하나의 네트워크 보안 기능이, 상기 전달받은 데이터 모델에 기초하여, 상기 메시징 서비스에 대한 보안을 제공하는 단계를 포함하여 구성될 수 있다.According to another aspect of the present invention, there is provided a network functional virtualization (NFV) -based messaging service security processing method, which includes a messaging service manager (MSM) Creating a security policy for the messaging service and delivering it to the Messaging Security Controller (MSC); Receiving, by the messaging security controller, the security policy, generating the security policy as a predetermined data model and transmitting the security policy to at least one network security function (NSF); And providing at least one network security function to the messaging service based on the delivered data model.
상기 데이터 모델은, 조건의 충족여부 판단과 동작 수행의 대상이 되는 사건(event); 네트워크 장치를 통해 송수신되는 패킷 또는 특정 플로우에 속하는 패킷에 대해 특정 동작(action)의 적용 여부를 판단하기 위한 조건(condition); 및 상기 조건이 만족되었을 때 수행될 동작(action)을 정의하는 정보를 포함할 수 있다.The data model may include an event to determine whether the condition is satisfied and an operation to be performed; A condition for determining whether a specific action is applied to a packet transmitted or received through a network device or a packet belonging to a specific flow; And information defining an action to be performed when the condition is satisfied.
상기 사건은 소정 상황의 발생 시각과 관련된 시간 이벤트(time event) 및 사용자의 행위에 의해서 유발된 상황과 관련된 사용자 동작(user action)을 포함할 수 있다.The event may include a time event related to the occurrence time of a predetermined situation and a user action related to a situation caused by the user's action.
상기 조건은 단일 패킷의 내용으로부터 판단할 수 있는 패킷 값 조건 및 세션(session) 또는 플로우(flow) 등을 통하여 판단할 수 있는 상황(context) 조건을 포함할 수 있다.The condition may include a packet value condition that can be determined from the contents of a single packet, and a context condition that can be determined through a session or a flow.
상기 동작은 트래픽 인입(ingress) 제어 동작, 트래픽 출력(egress) 제어 동작, 프로파일 또는 시그니춰에 기반한 응용동작(advanced action), 및 통계(statistics) 동작 중 적어도 하나를 포함할 수 있다.The operation may include at least one of a traffic ingress control operation, a traffic output (egress) control operation, a profile or signature based advanced operation, and a statistics operation.
상기 네트워크 보안 기능은, 적어도 하나의 SDN 스위치를 관리하는 적어도 하나의 SDN 컨트롤러에 연결되며, 상기 메시징 보안 컨트롤러로부터 전달받은 데이터 모델을, 상기 적어도 하나의 SDN 컨트롤러의 API 호출 또는 연동 규격에 맞는 메시지 변환에 의하여 상기 적어도 하나의 SDN 컨트롤러로 전달할 수 있다.Wherein the network security function is coupled to at least one SDN controller that manages at least one SDN switch and is operable to transmit a data model received from the messaging security controller to at least one SDN controller, To the at least one SDN controller.
상술한 본 발명의 또 다른 목적을 달성하기 위한 본 발명의 일 측면에 따른 네트워크 기능 가상화(NFV; Network Function Virtualization) 기반의 메시징(messaging) 서비스 보안 시스템에서, 메시징 서비스 관리자(MSM; Messaging Service Manager) 및 적어도 하나의 네트워크 보안 기능(NSF; Network Security Function)과 연동하는 메시징 보안 컨트롤러(MSC; Messaging Security Controller)의 동작 방법은 메시징 서비스에 대한 보안 정책을 설정하고 관리하는 상기 메시징 서비스 관리자로부터 상기 보안 정책을 수신하는 단계; 상기 보안 정책을 소정의 데이터 모델로 생성하여 상기 적어도 하나의 네트워크 보안 기능으로 전달하는 단계; 및 상기 적어도 하나의 네트워크 보안 기능으로부터 상기 소정의 데이터 모델에 기초한 동작의 수행 완료를 통보 받는 단계를 포함하여 구성될 수 있다.According to another aspect of the present invention, there is provided a network functional virtualization (NFV) -based messaging service security system, comprising: a messaging service manager (MSM) And a method of operating a messaging security controller (MSC) interworking with at least one network security function (NSF) comprises receiving from the messaging service manager establishing and managing a security policy for a messaging service, ; Generating the security policy in a predetermined data model and transmitting the security policy to the at least one network security function; And notifying completion of an operation based on the predetermined data model from the at least one network security function.
상기 데이터 모델은, 조건의 충족여부 판단과 동작 수행의 대상이 되는 사건(event); 네트워크 장치를 통해 송수신되는 패킷 또는 특정 플로우에 속하는 패킷에 대해 특정 동작(action)의 적용 여부를 판단하기 위한 조건(condition); 및 상기 조건이 만족되었을 때 수행될 동작(action)을 정의하는 정보를 포함할 수 있다.The data model may include an event to determine whether the condition is satisfied and an operation to be performed; A condition for determining whether a specific action is applied to a packet transmitted or received through a network device or a packet belonging to a specific flow; And information defining an action to be performed when the condition is satisfied.
상기 사건은 소정 상황의 발생 시각과 관련된 시간 이벤트(time event) 및 사용자의 행위에 의해서 유발된 상황과 관련된 사용자 동작(user action)을 포함할 수 있다.The event may include a time event related to the occurrence time of a predetermined situation and a user action related to a situation caused by the user's action.
상기 조건은 단일 패킷의 내용으로부터 판단할 수 있는 패킷 값 조건 및 세션(session) 또는 플로우(flow) 등을 통하여 판단할 수 있는 상황(context) 조건을 포함할 수 있다.The condition may include a packet value condition that can be determined from the contents of a single packet, and a context condition that can be determined through a session or a flow.
상기 동작은 트래픽 인입(ingress) 제어 동작, 트래픽 출력(egress) 제어 동작, 프로파일 또는 시그니춰에 기반한 응용동작(advanced action), 및 통계(statistics) 동작 중 적어도 하나를 포함할 수 있다.The operation may include at least one of a traffic ingress control operation, a traffic output (egress) control operation, a profile or signature based advanced operation, and a statistics operation.
상기와 같은 본 발명에 따른 메시징 서비스 보안 제공 방법 및 시스템은 SDN/NFV 기반의 정보/데이터 모델(Information/data model)을 정의하여, 4G/5G EPC(evolved packet network)에서 IP 기반 메시징 서비스가 불법/악의적으로 사용되는 것을 탐지하여 차단할 수 있다.The above method and system for providing messaging service security according to the present invention defines an information / data model based on SDN / NFV, and the IP-based messaging service in the 4G / 5G evolved packet network (EPC) / Detects and blocks malicious use.
또한, 본 발명에 따른 메시징 서비스 보안 제공 방법 및 시스템은 기존의 하드웨어(hardware) 기반 보안 장비가 아닌 소프트웨어(software)기반의 NFV 환경에서 동적으로 구성되는 데이터 모델을 통하여 서비스를 제공하기 때문에, 저비용으로 중앙 집중화된 유연한 서비스 제공이 가능한 효과를 가질 수 있다.In addition, the method and system for providing messaging service security according to the present invention provides a service through a data model dynamically configured in a software-based NFV environment rather than existing hardware-based security equipment, It can have the effect of providing a centralized and flexible service.
도 1은 본 발명의 일 실시예에 따른 NFV 기반 메시징 서비스 보안 시스템의 구성을 나타낸 블록도이다.
도 2는 본 발명의 일 실시예에 따른 NFV 기반 메시징 보안 컨트롤러의 구체적인 구성을 설명하기 위한 블록도이다.
도 3은 본 발명의 일 실시예에 따른 NFV 기반 네트워크 보안 기능의 구체적인 구성을 설명하기 위한 블록도이다.
도 4는 본 발명의 일 실시예에 따른 NFV 기반 메시징 서비스 보안 정책 데이터 모델을 설명하기 위한 개념도이다.
도 5는 도 4에서 예시한 본 발명의 일 실시예에 따른 데이터 모델의 세부적인 요소들의 예시를 설명하기 위한 개념도이다.
도 6은 본 발명의 일 실시예에 따른 메시징 서비스 보안 시스템에서 초기 메시징 보안 정책을 적용하는 절차를 설명하기 위한 순서도이다.
도 7은 본 발명의 일 실시예에 따른 메시징 서비스 보안 시스템에서 스팸 메시지 차단 정책을 설정하는 절차를 설명하기 위한 순서도이다.
도 8은 본 발명의 일 실시예에 따른 메시징 서비스 보안 시스템에서 스팸 메시지 차단 정책 수행 절차의 일 실시예를 설명하기 위한 순서도이다.
도 9는 본 발명의 일 실시예에 따른 메시징 서비스 보안 시스템에서 스팸 메시지 차단 정책 수행 절차의 다른 실시예를 설명하기 위한 순서도이다.1 is a block diagram illustrating a configuration of a NFV-based messaging service security system according to an embodiment of the present invention.
2 is a block diagram illustrating a specific configuration of an NFV-based messaging security controller according to an embodiment of the present invention.
3 is a block diagram illustrating a specific configuration of an NFV-based network security function according to an exemplary embodiment of the present invention.
4 is a conceptual diagram illustrating an NFV-based messaging service security policy data model according to an embodiment of the present invention.
FIG. 5 is a conceptual diagram illustrating an example of detailed elements of a data model according to an embodiment of the present invention illustrated in FIG.
6 is a flowchart illustrating a procedure for applying an initial messaging security policy in a messaging service security system according to an exemplary embodiment of the present invention.
7 is a flowchart illustrating a procedure for setting a spam message blocking policy in a messaging service security system according to an embodiment of the present invention.
FIG. 8 is a flow chart for explaining an embodiment of a spam message blocking policy execution procedure in a messaging service security system according to an embodiment of the present invention.
9 is a flowchart for explaining another embodiment of a spam message blocking policy execution procedure in a messaging service security system according to an embodiment of the present invention.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다. While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will herein be described in detail. It should be understood, however, that the invention is not intended to be limited to the particular embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention. Like reference numerals are used for like elements in describing each drawing.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다. The terms first, second, A, B, etc. may be used to describe various elements, but the elements should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, the first component may be referred to as a second component, and similarly, the second component may also be referred to as a first component. And / or < / RTI > includes any combination of a plurality of related listed items or any of a plurality of related listed items.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. It is to be understood that when an element is referred to as being "connected" or "connected" to another element, it may be directly connected or connected to the other element, . On the other hand, when an element is referred to as being "directly connected" or "directly connected" to another element, it should be understood that there are no other elements in between.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used in this application is used only to describe a specific embodiment and is not intended to limit the invention. The singular expressions include plural expressions unless the context clearly dictates otherwise. In the present application, the terms "comprises" or "having" and the like are used to specify that there is a feature, a number, a step, an operation, an element, a component or a combination thereof described in the specification, But do not preclude the presence or addition of one or more other features, integers, steps, operations, elements, components, or combinations thereof.
또한, 명세서에 기재된 '컨트롤러(controller)'는 트래픽의 흐름을 제어하기 위해 관련 구성 요소(예를 들면, 스위치, 라우터 등)를 제어하는 기능 요소(entity)를 의미하는 것으로, 물리적인 구현 형태나 구현 위치 등에 한정되지 않는다. 예를 들어, 컨트롤러는 ONF나, IETF, ETSI 및/또는 ITU-T 등에서 정의하고 있는 컨트롤러 기능 요소(entity)를 의미할 수 있다. The term 'controller' as used herein refers to a functional entity that controls related components (eg, switches, routers, etc.) to control the flow of traffic. And the like. For example, a controller may refer to a controller functional entity defined by ONF, IETF, ETSI, and / or ITU-T.
또한, 명세서에 기재된 '스위치'는 트래픽(또는 패킷)을 실질적으로 포워딩하거나 스위칭 또는 라우팅하는 기능 요소를 의미하는 것으로, ONF나, IETF, ETSI 및/또는 ITU-T 등에서 정의하고 있는 스위치, 라우터, 스위치 요소, 라우터 요소, 포워딩 요소 등을 의미할 수 있다.The 'switch' described in the specification means a functional element for substantially forwarding, switching, or routing traffic (or packet). The switch may be a switch, a router, a router, or the like defined by ONF, IETF, ETSI and / or ITU- A switch element, a router element, a forwarding element, and the like.
또한, 명세서에 기재한 VoIP 서비스는 상기 유선/Wi-Fi/VoLTE 등 다양한 IP 망 기반의 음성/영상 통화 서비스를 통칭한다.In addition, the VoIP service described in the specification collectively refers to voice / video call services based on various IP networks such as wired / Wi-Fi / VoLTE.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in commonly used dictionaries are to be interpreted as having a meaning consistent with the contextual meaning of the related art and are to be interpreted as either ideal or overly formal in the sense of the present application Do not.
이하, 도면을 참조로 하여 본 발명의 실시예에 대하여 상세히 설명한다. Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
도 1은 본 발명의 일 실시예에 따른 NFV 기반 메시징 서비스 보안 시스템의 구성을 나타낸 블록도이다. 1 is a block diagram illustrating a configuration of a NFV-based messaging service security system according to an embodiment of the present invention.
도 1에 도시된 바와 같이, 본 발명의 일 실시예에 따른 메시징 서비스 보안 시스템(100)은 메시징 서비스 관리자(MSM(Messaging Service Manager), 110), 메시징 보안 컨트롤러(MSC(Messaging Security Controller), 120), 및 적어도 하나의 네트워크 보안 기능(NSF(Network Security Function), 130)을 포함하여 구성될 수 있다. 1, a messaging
메시징 서비스 보안 시스템(100)에는 적어도 하나의 네트워크 보안 기능(NSF)이 포함되므로, 도 1에서는 예시적으로 N(N은 자연수) 개의 네트워크 보안 기능(130-1, ..., 130-N)이 도시되어 있다. 하나의 메시징 보안 컨트롤러는 물리적/지역적/논리적으로 분산되어 있는 적어도 하나의 네트워크 보안 기능과 연동할 수 있다.1, N (N is a natural number) network security functions 130-1, ..., 130-N are illustrated in FIG. 1, since the messaging
이때, 메시징 서비스 보안 시스템(100)은 유선/WiFi VoIP 서비스망(210), 코어 망(core network, 220), 무선 VoLTE 서비스망(230)을 모두 포괄하여 적용될 수 있다. 또한, 각각의 서비스 망은 복수의 스위치(network device)를 포함할 수 있다. 또한, 유선/Wi-Fi VoIP 서비스 망(210)과 무선 VoLTE 서비스 망(230)은 코어 망(220)과 각각 연결된다.At this time, the messaging
한편, 본 발명의 '메시징 서비스'는 4G/5G EPC(evolved packet core) 또는 vEPC(virtualized EPC) 내에 존재하는 MME(Mobility Management Entity), PGW(PDN(Packet Data Network)-gateway), SGW(Serving gateway), HSS(Home Subscriber Server) 등을 통해 제공되는 유선 및 무선 SMS(Short Message Service), MMS(Multimedia Message Service), 메신저(Messenger) 서비스 등을 모두 포괄한다. Meanwhile, the 'messaging service' of the present invention includes MME (Mobility Management Entity), PGW (Packet Data Network) -gateway) existing in a 4G / 5G evolved packet core (EPC) or vEPC (virtualized EPC) wired and wireless Short Message Service (SMS), Multimedia Message Service (MMS), and messenger service, all of which are provided through a home gateway (HSS) and a home subscriber server (HSS).
먼저, 메시징 서비스 관리자(110)는 운용 관리 기능을 제공하는 구성요소로서, 메시징 서비스에 대한 보안 정책을 설정하는 운용자 관리 프로그램이다. First, the
예컨대, 메시징 서비스 관리자(110)는 메시징 서비스 보안을 위해 탐지 및 차단해야 할 메시지 문구, 멀웨어(malware)를 설치하게 하는 URL 등 접속을 차단해야 하는 URL 정보, 블랙리스트(blacklist) 스팸발신번호 등과 같은 메시징 보안 프로파일 정보와, 신규 블랙리스트 스팸 발신번호 및 의심 URL을 추출하기 위한 통계 관련 정책 정보(예컨대, 지정 주기시간 및 문자발송 임계치, 특정발신번호에서 메시지를 보낸 착신번호 누적 개수 등)를 메시징 서비스 컨트롤러(120)로 전달한다.For example, the
상기 메시징 서비스 관리자(110)는 사용자 또는 관리자(administrator)가 메시징 서비스에 대해 필요한 보안 서비스 정책 및/또는 제어 조건을 설정하고 관리하는 어플리케이션 게이트웨이(application gateway)의 역할을 수행할 수 있다. 예를 들어, 사용자 또는 관리자는 사용자 인터페이스(user interface) 화면 또는 커맨드 라인 인터페이스(CLI, command-line interface) 등을 통해 이용하고자 하는 메시징 서비스에 대한 보안 정책을 상기 메시징 서비스 관리자(110)를 통해 설정할 수 있다.The
다음으로, 메시징 보안 컨트롤러(120)는, 메시징 서비스 관리자(110)를 통해 전달받은 보안 정책을 적어도 하나의 네트워크 보안 기능들(130-1, ..., 130-N)이 SDN 컨트롤러들(140-1, ..., 140-M) 및 SDN 컨트롤러들의 제어를 받는 스위치들에 적용될 수 있도록 사전 정의된 데이터 모델(data model)을 생성하여 적어도 하나의 네트워크 보안 기능들로 전달하는 역할을 수행한다.Next, the
이 데이터 모델에는 네트워크 디바이스(스위치 등)를 통해 송수신되는 패킷 및 이 특정 플로우에 속하는 패킷에 대해 특정 동작을 적용하기 위한 비교 조건 및 그 조건이 만족되었을 때 해당 동작을 어떻게 수행할지에 대한 동작 절차가 정의되어 있다. 데이터 모델에 대해서는, 도 4 및 도 5를 참조하여 후술된다.In this data model, a comparison condition for applying a specific operation to a packet transmitted and received through a network device (a switch or the like) and a packet belonging to the specific flow, and an operation procedure for how to perform the operation when the condition is satisfied Is defined. The data model will be described later with reference to Figs. 4 and 5.
마지막으로, 적어도 하나의 네트워크 보안 기능(130)은 4G/5G EPC 또는 vEPC의 메시징 서비스에 대한 실제적인 보안 기능을 제공하는 구성요소이다.Finally, at least one
즉, 네트워크 보안 기능은 메시징 보안 컨트롤러(120)로부터 전달받은 데이터 모델을 해석하여 실제적인 메시징 보안 서비스를 제공한다. 네트워크 보안 기능들 각각은 메시징 보안 컨트롤러(120)로부터 전달 받은 데이터 모델을 SDN 컨트롤러(140-1, ..., 140-M)의 API(application programming interface) 호출 또는 둘 간의 연동 규격에 맞는 메시지 형태로의 변환 등의 방법으로 SDN 컨트롤러(140-1, ..., 140-M)로 전달할 수 있다. That is, the network security function interprets the data model received from the
한편, 네트워크 보안 기능(130)은 독립적인 하드웨어 서버에 구현될 수도 있고, 클라우드(cloud) 환경의 가상 머신(VM, Virtual Machine)으로 또는 가상 머신 상에 구현될 수도 있다. 도 1에서 예시된 바와 같이, 하나의 네트워크 보안 기능은 1개 이상의 SDN 컨트롤러들과 연결될 수 있다. Meanwhile, the
SDN 컨트롤러(140-1, ..., 140-M)는 트래픽의 흐름을 제어하기 위해 관련 구성 요소(예를 들면, 스위치, 라우터 등)를 제어하는 기능 요소(functional element)를 의미하는 것으로, ONF나, IETF, ETSI 및/또는 ITU-T 등에서 정의하고 있는 컨트롤러 기능 요소(controller functional element) 등 다양한 종류의 컨트롤러를 의미할 수 있다.The SDN controllers 140-1 to 140-M are functional elements that control related components (e.g., switches, routers, etc.) to control the flow of traffic. A controller functional element defined by ONF, IETF, ETSI and / or ITU-T, and the like.
스위치(network device)는 트래픽(또는 패킷 또는 플로우)을 실질적으로 포워딩하거나 스위칭 또는 라우팅하는 기능 요소를 의미하는 것으로, ONF나, IETF, ETSI 및/또는 ITU-T 등에서 정의하고 있는 스위치, 라우터, 스위치 요소, 라우터 요소, 포워딩 요소 등을 의미할 수 있다.A network device is a functional element that substantially forwards, switches, or routes traffic (or packet or flow). It may be a switch, router, or switch defined by the ONF, IETF, ETSI and / or ITU- An element, a router element, a forwarding element, and the like.
도 2는 본 발명의 일 실시예에 따른 NFV 기반 메시징 보안 컨트롤러의 구체적인 구성을 설명하기 위한 블록도이다.2 is a block diagram illustrating a specific configuration of an NFV-based messaging security controller according to an embodiment of the present invention.
도 2를 참조하면, 메시징 보안 컨트롤러(120)는 정책 관리부(policy manager; 121)와 이벤트 관리부(event manager; 122)로 구성될 수 있다. Referring to FIG. 2, the
정책 관리부(121)는 메시징 서비스 관리자(110)로부터 전달받은 정책 정보를 네트워크 보안 기능(130)이 이해할 수 있는 이벤트(event), 조건(condition), 동작(action)으로 구분하며, 이들 중 이벤트 관련 정보는 이벤트 관리부(122)로 전달하는 역할을 수행할 수 있다. The
또한, 정책 관리부(121)는 후술될 네트워크 보안 기능의 정책 수행부(131)로 운용자가 정의한(즉, 메시징 서비스 관리자로부터 전달받은) 메시징 보안 정책을 데이터 모델의 형태로 전달한다.In addition, the
이벤트 관리부(122)는 정책 관리부(121)에서 전달받은 이벤트 관련 정보에 따라, 설정된 조건이 만족될 경우 네트워크 보안 기능으로부터 통보 받을 이벤트에 대한 정보와 통계 정보를 관리한다.According to the event related information received from the
도 3은 본 발명의 일 실시예에 따른 NFV 기반 네트워크 보안 기능의 구체적인 구성을 설명하기 위한 블록도이다.3 is a block diagram illustrating a specific configuration of an NFV-based network security function according to an exemplary embodiment of the present invention.
도 3을 참조하면, 네트워크 보안 기능(130)은 정책 수행부(policy enforcer; 131), 이벤트 통보부(event notifier; 132), 및 통계 처리부(statistics processor; 133)로 구성될 수 있다.Referring to FIG. 3, the
정책 수행부(131)는 메시징 보안 컨트롤러(120)로부터 데이터 모델의 형태로 전달받은 정책(예컨대, 스팸 탐지, 통보, 차단 등)에 기초하여, 유입되는 메시지를 차단하거나, 추가적인 분석이 필요한 경우 유입된 메시징 패킷을 메시징 보안 컨트롤러(120)으로 전달하는 기능을 수행한다. The
또한. 메시징 보안 컨트롤러(110)의 정책 관리부(121)로부터 전달한 프로파일(차단될 URL, APK, 또는 탐지할 시그니춰(signature) 문구 등)에 따른 정책을 수행한다. Also. (Such as a URL to be blocked, an APK, or a signature to be detected) transmitted from the
이벤트 통보부(132)는 정책 수행부(131)에서 전달받은 이벤트 관련 정보에 따라, 해당 이벤트에 대한 모니터링을 수행하고, 이벤트의 조건이 충족될 경우(즉, 이벤트가 발생될 경우) 이를 정책 수행부(132)로 통보하는 역할을 수행한다. The
마지막으로, 통계 처리부(133)는 이벤트 통보부(132)에서 요청한 조건을 만족하는 이벤트에 대한 통계 생성/관리 및 통보 기능을 수행한다. Lastly, the
도 4는 본 발명의 일 실시예에 따른 NFV 기반 메시징 서비스 보안 정책 데이터 모델을 설명하기 위한 개념도이다.4 is a conceptual diagram illustrating an NFV-based messaging service security policy data model according to an embodiment of the present invention.
도 4를 참조하면, 메시징 서비스 보안 정책 데이터 모델은 정책(policy; 310), 규칙(rule, 320), 사건(event, 330), 조건(condition, 340), 및 동작(action, 350)의 5가지 정보를 포함하여 구성될 수 있다. Referring to FIG. 4, the messaging service security policy data model includes a
기본적으로는, 상기 5가지 정보를 포함하여 데이터 모델이 구성될 수 있으나, 필요 유무에 따라서는 일부 정보가 생략되어 구성될 수도 있다.Basically, the data model can be constructed by including the above five pieces of information, but some information may be omitted depending on the necessity.
정책(310)은 서비스 레벨에서의 보안 기능을 정의한다. 일반적으로 정책은 IPS(Intrusion Prevention System), IDS(Intrusion Detection System), 웹 필터, IP 통화 보안, 메시징 보안 등 단위 보안 서비스가 해당된다. 본 발명의 일 실시예에서는 유/무선 메시징 서비스에 대한 보안 정책이 이에 해당된다.
규칙(320)은 특정 정책을 탐지하여 적용하기 위한 위한 대상 사건, 비교/판단 조건 및 조건이 만족되었을 때 해당 트래픽, 플로우에 대한 처리 동작을 정의한다. 본 발명의 일 실시예에서는 원격지에서 문자를 발송하게 하는 의심 URL로의 접근 탐지 및 차단, 멀웨어(malware) 또는 랜섬웨어(ransomware) 등이 설치될 위험이 높은 APK(Android application package)의 다운로드 탐지 및 차단, 메시지 과다 발신 스패머(spammer) 단말 탐지 및 차단 등이 규칙이 될 수 있다. 1개의 정책에는 1개 이상의 규칙을 정의할 수 있다. The
규칙(320)은 사건(330), 조건(340), 동작(350)으로 구성될 수 있다. The
사건(330)은 조건의 충족여부 판단과 동작 수행의 대상 또는 상황을 의미한다. 예를 들면, 메시지의 발신과 착신, APK 다운로드 등의 상황의 발생을 의미할 수 있다. 본 발명의 일 실시예에 따른 사건(330)의 구체적인 예시는 도 5를 통하여 후술된다. The event (330) indicates whether or not the condition is satisfied and the object or situation of performing the operation. For example, it may mean the occurrence of a situation such as sending and receiving a message, downloading an APK, and the like. A specific example of the
조건(340)은 특정 이벤트가 발생될 경우 동작을 수행할지를 판단하기 위한 1개 이상의 비교 집합이다. 즉, 조건은 네트워크 보안 기능(130)에 의해서 관리되는 네트워크 장치를 통해 송수신되는 패킷 또는 특정 플로우에 속하는 패킷에 대해 특정 동작(action)의 적용 여부를 판단하기 위한 판단 기준을 의미할 수 있다. 조건은 패킷 값 조건, 상황(context 등) 조건, 통계 조건으로 구분될 수 있으며, 본 발명의 일 실시예에 따른 조건(340)의 구체적인 예시는 도 5를 통하여 후술된다.
동작(350)은 제어 동작으로서, 트래픽 인입(ingress) 제어 동작, 트래픽 출력(egress) 제어 동작, 트래픽 인입/출력 제어 이외의 응용동작(advanced action), 및 통계(statistics) 동작을 포함할 수 있다. 본 발명의 일 실시예에 따른 동작(350)의 구체적인 예시 또한 도 5를 통하여 후술된다.
도 5는 도 4에서 예시한 본 발명의 일 실시예에 따른 데이터 모델의 세부적인 정보 요소들의 예시를 설명하기 위한 개념도이다.5 is a conceptual diagram illustrating an example of detailed information elements of the data model according to an embodiment of the present invention illustrated in FIG.
도 5를 참조하면, 사건(330)은 소정 상황의 발생 시각과 관련된 시간 이벤트(time event, 331)와 사용자의 행위에 의해서 유발된 상황과 관련된 사용자 동작(user action, 332)을 포함할 수 있다. 시간 이벤트(331)의 예시로는 메시지 발신/착신 시각이 포함되며, 사용자 동작(332)의 예시로는 유무선 단말에서의 메시지 발신/착신, 특정 URL에 대한 접근(access), APK 다운로드 등의 동작이 포함된다.5,
또한, 조건(340)은 패킷 값 조건(packet content values, 341) 및 상황 조건(context values, 342)을 포함할 수 있다. 또한, 상기 조건(340)은 통계 조건(statistics, 343)를 추가로 포함할 수 있다.In addition,
패킷 값 조건(341)은 단일 패킷의 내용으로부터 판단할 수 있는 조건을 의미하며, 예를 들어, 단말의 MAC(Medium Access Control) 주소, 가상랜(VLAN) 정보, 소스(source) 및 목적지(destination) IP 주소, 소스(source) 및 목적지(destination) 포트(port) 정보, 패킷 헤더(header)/페이로드(payload) 값 등 패킷에서 추출하여 비교할 수 있는 TCP/IP의 Layer2부터 Layer7까지의 조건들이 해당한다. 본 발명의 일 실시예에서는 메시지 발신/착신 단말 번호, 접근 URL, 다운로드한 APK명, 메시지 내 특정 문구 등이 패킷 값 조건에 포함된다. The
상황 조건(342)은 세션(session) 또는 플로우(flow) 등에서 판단할 수 있는 인증(authentication) 상태, 세션 상태 등의 상황에 관한 조건이다. The
통계 조건(343)은 반복되는 이벤트에 대한 모니터링 및 임계값 초과 발생 이벤트에 대한 동작(action)을 제어하기 위한 조건이다. 본 발명의 실시예에서는 메시지 발신 또는 착신 누적 수 통계, 특정 URL로의 접근 시도, 특정 APK 다운로드 횟수 등의 통계 조건이 사용된다.The
마지막으로, 동작(350)은 트래픽 인입(ingress) 제어 동작(351), 트래픽 출력(egress) 제어 동작(352), 트래픽 인입/출력 제어 이외의 응용동작(advanced action, 353), 및 통계(statistics) 동작(354)을 포함할 수 있다.Finally,
트래픽 인입 제어 동작(351)은 조건이 만족되었을 경우, 해당 패킷을 허용하는 동작, 차단하는 동작, 및 미러링(mirroring)하는 동작을 포함할 수 있다.The traffic pull-in
트래픽 출력 제어 동작(352)는 조건이 만족되었을 경우, 해당 패킷을 출력하거나, 해당 패킷을 복사하여 메시징 보안 컨트롤러(120)로 전달하거나, 원래의 목적지가 아닌 다른 목적지로 우회시키는 동작을 포함할 수 있다. The traffic
응용동작(353)은 트래픽의 인입/출력 제어 이외의 보안 서비스를 제어하는 정책 동작이다. 메시징 보안 프로파일, 시그니춰(signature), Anti-virus file 등에 기반한 동작이 이에 해당된다. 본 발명의 실시예에서 메시징 보안 프로파일에 설정된 정책은 네트워크 보안 기능에 유입되는 모든 트래픽에 대해 가장 우선적으로 적용되는 정책이다. 따라서, 메시징 보안 프로파일에 등록된 접근차단 URL로의 접근 시도, 다운로드 금지 APK의 다운로드 시도시에는 해당 기능을 네트워크 보안 기능에서 차단하게 된다. 또한 시그니춰 프로파일에 지정된 조건을 만족하는 패킷 또는 플로우(flow)가 발생될 경우 해당 패킷 및 플로우(flow)는 차단된다. 프로파일에 의해 제어된 이벤트에 대해서는 메시징 보안 컨트롤러(120) 및 메시징 서비스 관리자(110)으로 통보된다.The
마지막으로, 통계 동작(354)는 특정 이벤트가 반복하여 발생할 경우 제어 정책을 적용하기 위한 임계값 설정 및 모니터링을 위한 통계 관리 기능이다.Lastly, the
이하에서는, 상술된 메시징 서비스 보안 시스템에서, 초기 메시징 서비스 보안 정책을 설정하는 일반적인 절차(도 6), 구체적인 예시로서 스팸 메시지 차단 정책을 설정하는 실시예(도 7), 및 설정된 스팸 메시지 차단 정책에 따라서 스팸 메시지 차단 정책이 실행되는 두 가지 실시예(도 8, 도9)가 설명된다.Hereinafter, in the above-described messaging service security system, a general procedure (FIG. 6) for setting an initial messaging service security policy, an embodiment for setting a spam message blocking policy as a specific example (FIG. 7) Thus, two embodiments (Figs. 8 and 9) in which the spam message blocking policy is executed are described.
도 6은 본 발명의 일 실시예에 따른 메시징 서비스 보안 시스템에서 초기 메시징 보안 정책을 적용하는 절차를 설명하기 위한 순서도이다.6 is a flowchart illustrating a procedure for applying an initial messaging security policy in a messaging service security system according to an exemplary embodiment of the present invention.
도 6을 참조하면, 메시징 서비스에 대한 보안 정책을 적용하는 절차는 아래의 순서에 따라 수행될 수 있다.Referring to FIG. 6, a procedure for applying a security policy for a messaging service may be performed according to the following procedure.
먼저, 메시징 서비스 관리자(110)는 운용자가 설정한 메시징 보안 정책을 메시징 보안 컨트롤러(120)로 전달한다(S610). 메시징 보안 정책은 차단 또는 통보해야 할 프로파일 정보와 향후의 신규 프로파일 추가를 위한 통계 생성 및 모니터링과 관련된 정보를 포함할 수 있다. 하기 표 1은 메시징 서비스에 대한 보안 프로파일에 대한 예시로서, 차단되어야 할 URL과 APK의 파일명에 대한 정보 프로파일의 예시이다.First, the
하기 표 2는 메시징 서비스에 대한 시그니춰 프로파일에 대한 예시로서, 차단되어야 할 메시지 내 문구, 차단 발신 번호와 같이 초기 시그니춰(signature) 프로파일의 예시이다.Table 2 below is an example of a signature profile for a messaging service, an example of an initial signature profile, such as a message in a message to be blocked, a blocked originator number.
하기 표 3은 메시징 서비스에 대한 통계 정책에 대한 예시로서, 발신번호 별 메시지 발신 횟수를 분, 시간, 단위로 모니터링하기 위한 통계 조건을 설정하기 위한 정책 정보의 예시이다.Table 3 below is an example of the statistical policy for the messaging service, and is an example of policy information for setting a statistical condition for monitoring the number of times of message transmission by calling number in minutes, hours, and units.
메시징 보안 컨트롤러(120)의 정책 관리부(121)는 메시징 서비스 관리자(110)로부터 전달받은 메시징 보안 정책을 데이터 모델 형태로 생성하고(S620), 정책 수행을 위해 이벤트 모니터링이 필요한 경우는 모니터링 될 이벤트의 관리를 위한 이벤트 정보를 이벤트 관리부(122)로 전달하여 이벤트 정보의 생성을 요청한다(S630).The
또한, 메시징 보안 컨트롤러(120)의 정책 관리부(121)는 설정된 메시징 보안 정책이 실제로 네트워크 보안 기능(130)에서 수행될 수 있도록 생성된 데이터 모델을 네트워크 보안 기능(130)의 정책 수행부(131)로 전달한다(S640).The
한편, 메시징 보안 컨트롤러(120)의 이벤트 관리부(122)는 메시징 보안 컨트롤러(120)의 정책 관리부(121)에서 전달받은 데이터 모델의 적용을 위한 이벤트를 생성한다(S650). Meanwhile, the
여기에서, 단계(S640)와 단계(S650)는 수행의 우선순위를 가지지 않으며, 단계(S650)는 단계(S630)의 요청에 따라 단계(S640)와는 무관하게 병행적으로 수행될 수 있다.Here, steps S640 and S650 have no priority of execution, and step S650 may be performed concurrently, regardless of step S640, at the request of step S630.
네트워크 보안 기능(130)의 정책 수행부(131)는 메시징 보안 컨트롤러(120)의 정책 관리부(121)에서 전달받은 데이터 모델로부터 통보(notification) 받아야 하는 이벤트 조건을 추출하여 이벤트 통보부(132)로 해당 조건을 전달한다(S660). 본 발명의 실시예에서는 메시지 발/착신지 IP/port, 단말 전화 번호, 접근 URL, APK명, 메시지문구 및 발신번호 별 발착신 메시지 통계 등의 조건이 전달될 수 있다.The
네트워크 보안 기능(130)의 이벤트 통보부(132)는 네트워크 보안 기능(130) 내에서 유출입되는(ingress/egress) 패킷 및 플로우에 대해 메시징 보안 컨트롤러(120)의 이벤트 관리부(122)로부터 정책 수행부(131)를 거쳐 전달된 조건이 만족되는 패킷 및 플로우의 발생 여부를 모니터링하며(S670), 특정 조건을 만족하는 패킷 및 플로우가 발생할 경우 정책 수행부(131)로 통보한다(S671).The
한편, 네트워크 보안 기능(130)의 이벤트 통보부(132)는 정책 수행부(131)에서 전달받은 이벤트 조건 중 통계 조건에 대해 통계 처리부(133)로 해당 통계 생성을 요청한다(S680). 통계 처리부(133)는 이벤트 통보부(132)에서 전달받은 통계 정보를 생성하여(S690), 주기 시간마다 통계 정보를 현행화하여 지정한 조건이 만족되는 경우 이벤트 통보부(132)로 통보한다(S691).In operation S680, the
도 7은 본 발명의 일 실시예에 따른 메시징 서비스 보안 시스템에서 스팸 메시지 차단 정책을 설정하는 절차를 설명하기 위한 순서도이다.7 is a flowchart illustrating a procedure for setting a spam message blocking policy in a messaging service security system according to an embodiment of the present invention.
앞서 설명된 바와 같이, 도 7은 도 6에서 설명된 일반적인 정책 설정 절차를 이용하여, 스팸 메시지를 차단하기 위한 정책을 설정하는 구체적인 절차를 설명하기 위한 순서도이다. 즉, 도 7을 통해 설명되는 실시예는 스팸 메시지를 임의의 단말로 과다 발송하는 스패머 단말을 탐지하거나, 스패머로 판단할 수 있는 특정 문구(또는 문구 조합)를 포함한 문자 메시지를 탐지하여 차단하는 정책을 설정하기 위한 실시예에 해당된다. As described above, FIG. 7 is a flowchart for explaining a specific procedure for setting a policy for blocking spam messages using the general policy setting procedure described in FIG. That is, the embodiment described with reference to FIG. 7 is a policy that detects a spammer terminal that sends a spam message to an arbitrary terminal, or detects and blocks a text message including a specific phrase (or a phrase combination) As shown in FIG.
도 7을 참조하면, 메시징 서비스 관리자(110)는 운용자가 설정한 스패머 탐지 차단 규칙을 포함한 스패머 제어 정책을 설정하고(S705), 메시징 보안 컨트롤러(120)로 전달한다(S710). 여기서, 스패머 탐지 차단 규칙은 스패머로 판단할 수 있는 특정 문자열을 포함하면서(또는 포함하거나), 주기시간(분/시간/일)동안 임계치 이상의 문자 메시지를 발신하는 단말을 탐지하여 차단하고 이를 다시 메시징 서비스 관리자(110)로 통보하게 하는 규칙이다. 하기 표 4은 스패머 제어 정책에 포함되는 보안 프로파일에 대한 예시로서, 차단되어야 할 URL과 APK의 파일명에 대한 정보 프로파일의 예시이다.Referring to FIG. 7, the
하기 표 5는 스패머 제어 장책에 포함되는 시그니춰 프로파일로서, 차단되어야 할 메시지 내 문구, 차단 발신 번호와 같이 초기 시그니춰(signature) 프로파일의 예시이다.Table 5 below is a signature profile included in the spammer control policy, which is an example of an initial signature profile, such as a message in a message to be blocked, a blocked originator number.
하기 표 6은 스패머 제어 정책에 포함되는 통계 정책에 대한 예시로서, 발신번호 별 메시지 발신 횟수와 발신번호 별 착신번호 수를 분, 시간, 단위로 모니터링하기 위한 통계 조건을 설정하기 위한 정책 정보의 예시이다.Table 6 is an example of the statistical policy included in the spammer control policy, and is an example of policy information for setting a statistical condition for monitoring the number of messages sent by calling number and the number of called numbers by calling number in minutes, to be.
메시징 보안 컨트롤러(120)의 정책 관리부(121)는 전달받은 스패머 탐지 차단 규칙을 데이터 모델 형태로 생성하고(S720), 정책 수행 판단을 위한 이벤트 생성이 필요한 경우는 이벤트 관리를 위한 이벤트 정보를 이벤트 관리부(122)로 전달하여 이벤트 생성을 요청한다(S730). 이 규칙에 대한 데이터 모델은 아래와 같이 생성될 수 있다.The
1) 사건: 문자 메시지를 발송하는 사용자 행동(user action)1) Case: User action to send a text message (user action)
2) 조건2) Condition
ㅇ 패킷 값 조건: 메시지 내 특정 악성 스팸 문구(예, 도박사이트명, 성인용품명, 불법대출상품명, 음란물명 등) ㅇ Packet value condition: Specific malicious spam phrase (eg, gambling site name, adult product name, illegal loan product name, pornographic name, etc.)
ㅇ 발신단말 별 주기시간 동안 문자 메시지 발송 횟수(예, 분당 30회 이상, 시간당 1,000회 이상, 일일 20,000건 이상 등), 한 발신번호에서 발송한 문자 메시지를 수신하는 착신번호 개수(예, 분당 20개 이상, 시간당 500개 이상, 일일 10,000개 이상 등) O Number of sending text messages (eg, more than 30 times per minute, more than 1,000 times per day, more than 20,000 per day, etc.) during the cycle time of each calling terminal, the number of called numbers that receive text messages sent from one calling number More than 500, more than 10,000 per day, etc.)
3) 동작3) Operation
ㅇ 출력 트래픽 제어: 메시징 보안 컨트롤러(120)로 해당 문자발송 패킷 전달(스패머 판단 및 스패머로 판단 시 해당 패킷에서 신규 메시징 보안 프로파일 및 시그너처 값 추출하여 추가할 목적) Output traffic control: Forwarding the corresponding text sending packet to the messaging security controller 120 (for spammer judgment and for adding a new messaging security profile and signature value in the corresponding packet when judged as a spammer)
ㅇ 응용 동작 ㅇ Application behavior
-프로파일 적용: 메시징 보안 프로파일에 스패머로 판단된 발송 문자 내 URL 및 APK명이 존재할 경우 해당 URL 및 APK명을 메시징 보안 프로파일에 추가- Apply profile: Add URL and APK name to the messaging security profile if the messaging security profile contains the URL and APK name in the dispatch character that is determined to be a spammer
-시그니춰 적용: 스패머로 판단된 발송 문자에서 스패머 판단을 위한 신규문구(또는 문구 조합)와 스패머의 발신번호를 기존 Signature file에 추가하여 이 후 해당 문구(또는 문구 조합) 및 발신번호에서 발송되는 문자 메시지는 차단- Signature application: Add a new phrase (or combination of phrases) and a spammer's originator number to the existing Signature file for the spammers to determine the spammers, and then send the text (or combination of phrases) Block messages
ㅇ통계 동작: 발신번호에 대한 주기 시간 별 문자 메시지 발신 횟수 통계 생성 및 임계치 초과시 통보ㅇ Statistical operation: Generate the number of outgoing SMS messages per call time and notify when exceeding threshold
메시징 보안 컨트롤러(120)의 정책 관리부(121)는 설정된 규칙이 실제로 네트워크 보안 기능(130)에서 수행될 수 있도록 생성한 데이터 모델을 네트워크 보안 기능(130)의 정책 수행부(131)로 전달한다(S740).The
네트워크 보안 기능(130)의 이벤트 관리부(122)는 메시징 보안 컨트롤러(120)의 정책 관리부(121)에서 전달받은 데이터 모델의 적용을 위한 이벤트를 생성한다(S750). The
여기에서, 단계(S740)와 단계(S750)는 수행의 우선순위를 가지지 않으며, 단계(S750)는 단계(S730)의 요청에 따라 단계(S740)와는 무관하게 수행될 수 있다.. Here, steps S740 and S750 have no priority of execution, and step S750 can be performed independently of step S740 according to the request of step S730.
네트워크 보안 기능(130)의 정책 수행부(131)는 메시징 보안 컨트롤러(120)의 정책 관리부(121)에서 전달받은 데이터 모델로부터 통보 받아야 하는 이벤트 조건을 추출하여 이벤트 통보부(132)로 해당 조건을 전달한다(S760). 본 발명의 실시예에서는 상기 '2)조건'에서 설명된 조건들이 전달된다.The
네트워크 보안 기능(130)의 이벤트 통보부(132)는 네트워크 보안 기능(130) 내에서 유/출입되는 패킷 및 플로우에 대해 메시징 보안 컨트롤러(120)의 이벤트 관리부(122)로부터 정책 수행부(131)를 거쳐 전달된 조건이 만족되는 패킷 및 플로우의 발생 여부를 모니터링하며(S770), 특정 조건을 만족하는 패킷 및 플로우가 발생할 경우 정책 수행부(131)로 통보한다(S771).The
한편, 네트워크 보안 기능(130)의 이벤트 통보부(132)는 정책 수행부(131)에서 전달받은 이벤트 조건 중 통계 조건에 대해 통계 처리부(133)로 해당 통계 생성을 요청한다(S780). 통계 처리부(133)는 이벤트 통보부(132)에서 전달받은 통계 정보를 생성하여(S790), 주기 시간마다 통계 정보를 현행화하여 지정한 조건이 만족되는 경우 이벤트 통보부(132)로 통보한다(S791).In step S780, the
스패머 탐지 차단 규칙의 경우 발신단말 별 주기시간 동안 문자 메시지 발송 횟수, 하나의 발신번호에서 발송한 문자 메시지를 수신하는 착신번호 개수(예, 분당 20개 이상, 시간당 500개 이상, 일일 10,000개 이상 등) 등이 해당된다.In the case of the spammer detection blocking rule, the number of times the text message is sent during the cycle time of each calling terminal, the number of the receiving number that receives the text message sent from one calling number (for example, 20 or more per minute, more than 500 per hour, ).
도 8은 본 발명의 일 실시예에 따른 메시징 서비스 보안 시스템에서 스팸 메시지 차단 정책 수행 절차의 일 실시예를 설명하기 위한 순서도이다.FIG. 8 is a flow chart for explaining an embodiment of a spam message blocking policy execution procedure in a messaging service security system according to an embodiment of the present invention.
도 8을 통하여 예시되는 실시예는, 도 7에서 설명된 절차에 따라서 적용된 스팸 메시지 차단 정책에 기초하여, 스패머 판단 특정 문구(또는 문구 조합)를 포함한 문자 메시지를 탐지하여 차단하는 실시예에 해당된다.8 corresponds to an embodiment of detecting and blocking a text message including a spammer judgment specific phrase (or phrase combination) based on a spam message blocking policy applied according to the procedure described in Fig. 7 .
도 8을 참조하면, 네트워크 보안 기능(130)의 이벤트 통보부(132)는 네트워크 보안 기능(130) 내에서 유/출입되는 문자 메시지 발/착신 패킷 및 플로우에 대해 이벤트 관리부(122)로부터 전달된 조건이 만족되는 패킷 및 플로우의 발생 여부를 모니터링하고, 조건에 명시된 문자(또는 문자 조합)를 포함한 문자 메시지를 발신한 패킷을 탐지한다(S810). 즉, 도 8의 단계(S810)는 도 7의 단계(S770)에 해당된다. 예컨대, "성인용품명1 && 상호명 && 기타 조건"문구가 포함된 문자 메시지를 "010-1111-2222"가 "010-3333-4444"로 발신하는 패킷을 탐지할 수 있다.8, the
네트워크 보안 기능(130)의 이벤트 통보부(132)는 정책 수행부(131)로 만족한 조건 및 패킷/플로우 정보를 통보한다(S811). 즉, 도 8의 단계(S811)는 도 7의 단계(S771)에 해당된다.The
네트워크 보안 기능(130)의 정책 수행부(131)는 데이터 모델을 참고하여 해당 조건 만족 시 실행할 동작을 수행한다(S820). 본 규칙의 실시예에서, 정책 수행부(131)는 해당 패킷/플로우를 차단하고, 패킷/플로우 정보를 MSF로 전달할 수 있다. 또한. 네트워크 보안 기능(130)의 정책 수행부(131)는 데이터 모델의 조건을 만족하는 이벤트 발생 및 동작 수행의 완료를 메시징 보안 컨트롤러(120)의 정책 관리부(121)로 통보할 수 있다(S821). 메시징 보안 컨트롤러(120)의 정책 관리부(121)는 발생 및 처리한 이벤트 정보를 이벤트 관리부(122)로 전달할 수 있다(S822). 또한, 메시징 보안 컨트롤러(120)의 정책 관리부(121)는 발생 및 처리한 이벤트 정보를 메시징 서비스 관리자(110)로 전달할 수 있다(S823).The
메시징 서비스 관리자(110)는 운용자(관리 시스템)에게 발생 및 처리한 이벤트 정보를 통보하여 알린다(S830).The
한편, 운용자가 통보된 이벤트 정보를 기반으로 메시징 보안 프로파일 및 시그니춰 프로파일에 추가할 정보가 있는지 확인한 후 기존 프로파일에 없는 값이 존재할 경우 프로파일에 새롭게 추가될 정보를 추출할 수 있다(S840). 예를 들면, 프로파일의 변경을 위해서, 하기 표 7과 같이 추가될 정보-차단 발신번호 "010-1111-2222"-를 추출할 수 있다.On the other hand, if the operator confirms that there is information to be added to the messaging security profile and the signature profile based on the notified event information, the information to be newly added to the profile can be extracted if there is a value not existing in the existing profile (S840). For example, in order to change the profile, the information-blocking calling number "010-1111-2222" - to be added as shown in Table 7 below can be extracted.
메시징 서비스 관리자(110)는 메시징 보안 컨트롤러(120)의 정책 관리부(121)로 변경된 메시징 보안 프로파일 및 시그니춰 프로파일이 포함된 정책을 재전달할 수 있다(S850). 메시징 보안 컨트롤러(120)의 정책 관리부(121)는 앞서 도 7의 단계(S720) 내지 단계(S740)과 동일한 절차를 통해 변경된 정책을 적용시킬 수 있다.The
도 9는 본 발명의 일 실시예에 따른 메시징 서비스 보안 시스템에서 스팸 메시지 차단 정책 수행 절차의 다른 실시예를 설명하기 위한 순서도이다.9 is a flowchart for explaining another embodiment of a spam message blocking policy execution procedure in a messaging service security system according to an embodiment of the present invention.
도 9를 통하여 예시되는 실시예는, 도 7에서 설명된 절차에 따라서 설정된 스팸 메시지 차단 정책에 기초하여, 스팸 메시지를 임의의 단말로 과다 발송하는 스패머 단말을 탐지하여 차단하는 실시예에 해당된다.The embodiment illustrated in FIG. 9 corresponds to an embodiment of detecting and blocking a spammer terminal that spam a spam message to an arbitrary terminal based on a spam message blocking policy set according to the procedure described in FIG.
도 9를 참조하면, 네트워크 보안 기능(130)의 통계 처리부(133)는 이벤트 통보부(132)에서 통계 생성을 요청(예컨대, 도 7의 단계(S780))한 정보에 대한 통계를 생성 및 관리 중 임계치를 초과하는 통계 이벤트 발생을 탐지할 수 있다(S910). 예컨대, "010-5555-5555"인 단말 번호에서 분당 30회를 초과하여 "성인용품명11 && 상호명11 && 가격11" 문구가 포함되고, 특정 사이트로 이동하는 "URL11"이 포함된 동일 문자 메시지를 분당 20개 이상의 서로 다른 착신번호로 문자 메시지를 전송하는 이벤트가 탐지될 수 있다.9, the
네트워크 보안 기능(130)의 통계 처리부(133)는 조건을 만족하는 패킷/플로우에 대한 통계 정보를 이벤트 통보부(132)로 통보하고(S911), 이벤트 통보부(132)는 이를 정책 수행부(131)로 전달하여 통보한다(S912).The
네트워크 보안 기능(130)의 정책 수행부(131)는 데이터 모델을 참고하여 해당 조건 만족시 실행할 동작을 수행할 수 있다(S920). 본 규칙의 실시예에서, 정책 수행부(131)는 해당 패킷/플로우를 차단하고, 패킷/플로우 정보를 MSF로 전달할 수 있다. The
또한, 네트워크 보안 기능(130)의 정책 수행부(131)는 데이터 모델의 조건을 만족하는 이벤트 발생 및 동작 수행 완료를 메시징 보안 컨트롤러(120)의 정책 관리부(121)로 통보할 수 있다(S921). 또한, 메시징 보안 컨트롤러(120)의 정책 관리부(121)는 발생 및 처리한 이벤트 정보를 이벤트 관리부(122)로 전달할 수 있다. 또한, 정책 관리부(121)는 발생 및 처리한 이벤트 정보를 메시징 서비스 관리자(110)로 전달할 수 있다(S923).The
메시징 서비스 관리자(110)는 운용자(관리 시스템)에게 발생 및 처리한 이벤트 정보를 통보하여 알린다(S930).The
한편, 운용자가 통보된 이벤트 정보를 기반으로 메시징 보안 프로파일 및 시그니춰 프로파일에 추가할 정보가 있는지 확인한 후 기존 프로파일에 없는 값이 존재할 경우 프로파일에 새롭게 추가될 정보를 추출할 수 있다(S940). 예를 들면, 프로파일의 변경을 위해서, 하기 표 8과 같이 추가될 정보-시그니춰 파일의 차단문구: "성인용품명11 && 상호명11 && 가격11", 차단발신번호: "010-5555-5555"-를 추출할 수 있다.On the other hand, if the operator has information to add to the messaging security profile and signature profile based on the notified event information, the information to be newly added to the profile can be extracted (S940). For example, in order to change the profile, the blocking information of the information-signature file to be added as shown in Table 8 below: "Adult Name 11 && Business Name 11 && Price 11", Block Outgoing Number: "010-5555-5555" Can be extracted.
예를 들면, 프로파일의 변경을 위해서, 하기 표 9과 같이, 메시징 보안 프로파일에 추가될 "URL11"을 도출할 수 있다.For example, to change the profile, it is possible to derive "URL11" to be added to the messaging security profile, as shown in Table 9 below.
메시징 서비스 관리자(110)는 메시징 보안 컨트롤러(120)의 정책 관리부(121)로 변경된 메시징 보안 프로파일 및 시그니춰 파일이 포함된 정책을 재전달할 수 있다(S950). 메시징 보안 컨트롤러(120)의 정책 관리부(121)는 앞서 도 7의 단계(S720) 내지 단계(S740)과 동일한 절차를 통해 변경된 정책을 적용시킬 수 있다.The
본 발명에 따른 방법들은 다양한 컴퓨터 수단을 통해 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 컴퓨터 판독 가능 매체에 기록되는 프로그램 명령은 본 발명을 위해 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다.The methods according to the present invention can be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer readable medium. The computer readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions recorded on the computer readable medium may be those specially designed and constructed for the present invention or may be available to those skilled in the computer software.
컴퓨터 판독 가능 매체의 예에는 롬(rom), 램(ram), 플래시 메모리(flash memory) 등과 같이 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러(compiler)에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터(interpreter) 등을 사용해서 컴퓨터에 의해 실행될 수 있는 고급 언어 코드를 포함한다. 상술한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 적어도 하나의 소프트웨어 모듈로 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Examples of computer readable media include hardware devices that are specially configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those generated by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate with at least one software module to perform the operations of the present invention, and vice versa.
이상 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined in the appended claims. It will be possible.
100: NFV 기반 메시징 서비스 보안 시스템
110: 메시징 서비스 관리자
120: 메시징 보안 컨트롤러
121: 정책 관리부
122: 이벤트 관리부
130-1, ..., 130-N: 네트워크 보안 기능
131: 정책 수행부
132: 이벤트 통보부
133: 통계 처리부
140-1, ..., 140-M: SDN 컨트롤러100: NFV-based messaging service security system
110: Messaging Service Manager
120: Messaging Security Controller
121: Policy Management Department
122: Event management unit
130-1, ..., 130-N: Network security function
131:
132: Event notification unit
133:
140-1, ..., 140-M: SDN controller
Claims (20)
메시징 서비스에 대한 보안 정책을 설정하고 관리하는 메시징 서비스 관리자(MSM; Messaging Service Manager);
상기 메시징 서비스 관리자를 통해 전달받은 보안 정책을 소정의 데이터 모델로 생성하여 네트워크 보안 기능(NSF; Network Security Function)에 전달하는 메시징 보안 컨트롤러(MSC; Messaging Security Controller); 및
상기 메시징 보안 컨트롤러로부터 전달 받은 데이터 모델에 기초하여, 상기 메시징 서비스에 대한 보안을 제공하는 적어도 하나의 네트워크 보안 기능을 포함하는,
메시징 서비스 보안 시스템.As a network functional virtualization (NFV) -based messaging service security system,
A Messaging Service Manager (MSM) to set up and manage security policies for messaging services;
A messaging security controller (MSC) for generating a security policy received through the messaging service manager in a predetermined data model and transmitting the security policy to a network security function (NSF); And
And at least one network security function for providing security for the messaging service based on a data model received from the messaging security controller.
Messaging service security system.
상기 데이터 모델은,
조건의 충족여부 판단과 동작 수행의 대상이 되는 사건(event);
네트워크 장치를 통해 송수신되는 패킷 또는 특정 플로우에 속하는 패킷에 대해 특정 동작(action)의 적용 여부를 판단하기 위한 조건(condition); 및
상기 조건이 만족되었을 때 수행될 동작(action)을 정의하는 정보를 포함하는,
메시징 서비스 보안 시스템.The method according to claim 1,
The data model includes:
An event to judge whether the condition is satisfied and to perform the operation;
A condition for determining whether a specific action is applied to a packet transmitted or received through a network device or a packet belonging to a specific flow; And
And information defining an action to be performed when the condition is satisfied.
Messaging service security system.
상기 사건은 소정 상황의 발생 시각과 관련된 시간 이벤트(time event); 및
사용자의 행위에 의해서 유발된 상황과 관련된 사용자 동작(user action)을 포함하는,
메시징 서비스 보안 시스템.The method of claim 2,
Wherein the event is a time event related to the occurrence time of the predetermined situation; And
Comprising a user action associated with a situation triggered by a user action,
Messaging service security system.
상기 조건은 단일 패킷의 내용으로부터 판단할 수 있는 패킷 값 조건; 및
세션(session) 또는 플로우(flow) 등을 통하여 판단할 수 있는 상황(context) 조건을 포함하는,
메시징 서비스 보안 시스템.The method of claim 2,
Said condition being a packet value condition that can be determined from the contents of a single packet; And
Including a context condition that can be determined through a session or a flow,
Messaging service security system.
상기 동작은
트래픽 인입(ingress) 제어 동작;
트래픽 출력(egress) 제어 동작;
프로파일 또는 시그니춰에 기반한 응용동작(advanced action); 및
통계(statistics) 동작 중 적어도 하나를 포함하는,
메시징 서비스 보안 시스템.The method of claim 2,
The operation
Traffic ingress control operation;
A traffic output (egress) control operation;
Advanced action based on profile or signature; And
And at least one of a statistics operation,
Messaging service security system.
상기 네트워크 보안 기능은, 적어도 하나의 SDN 스위치를 관리하는 적어도 하나의 SDN 컨트롤러에 연결되며, 상기 메시징 보안 컨트롤러로부터 전달받은 데이터 모델을, 상기 적어도 하나의 SDN 컨트롤러의 API 호출 또는 연동 규격에 맞는 메시지 변환에 의하여 상기 적어도 하나의 SDN 컨트롤러로 전달하는,
메시징 서비스 보안 시스템.The method according to claim 1,
Wherein the network security function is coupled to at least one SDN controller that manages at least one SDN switch and is operable to transmit a data model received from the messaging security controller to at least one SDN controller, To the at least one SDN controller,
Messaging service security system.
상기 메시징 보안 컨트롤러는,
상기 메시징 서비스 관리자로부터 전달 받은 보안 정책을 상기 소정의 데이터 모델로 생성하여, 상기 네트워크 보안 기능으로 전달하는 정책 관리부(policy manager); 및
상기 정책 관리부로부터 전달받은 이벤트 관련 정보에 기초하여 상기 네트워크 보안 기능으로부터 통보 받아야 하는 이벤트와 통계 정보를 관리하는 이벤트 관리부(event manager)를 포함하는,
메시징 서비스 보안 시스템.The method according to claim 1,
The messaging security controller comprising:
A policy manager for generating a security policy received from the messaging service manager in the predetermined data model and transmitting the generated security policy to the network security function; And
And an event manager for managing events and statistical information to be notified from the network security function based on event related information received from the policy management unit,
Messaging service security system.
상기 네트워크 보안 기능은,
상기 메시징 보안 컨트롤러로부터 전달받은 데이터 모델에 기초하여 유입된 메시지에 대한 동작을 수행하고, 유입된 메시지의 추가 분석이 필요한 경우 유입된 메시지를 상기 메시징 보안 컨트롤러로 전달하는 정책 수행부(policy enforcer);
상기 정책 수행부에서 전달받은 이벤트 관련 정보에 기초하여 이벤트 모니터링을 수행하고, 이벤트의 발생을 상기 정책 수행부로 통보하는 이벤트 통보부(event notifier); 및
상기 이벤트 통보부에서 요청한 조건을 만족하는 이벤트에 대한 통계 생성/관리/통보 기능을 수행하는 통계 처리부(statistics processor)를 포함하는,
메시징 서비스 보안 시스템.The method according to claim 1,
The network security function comprises:
A policy enforcer for performing an operation on an incoming message based on a data model received from the messaging security controller, and for forwarding an incoming message to the messaging security controller when an additional analysis of the incoming message is required;
An event notifier for performing event monitoring based on event related information received from the policy execution unit and notifying the policy execution unit of the occurrence of an event; And
And a statistics processor for performing a statistical generation / management / notification function for an event satisfying a condition requested by the event notification unit.
Messaging service security system.
상기 네트워크 보안 기능은 독립적인 하드웨어 서버로 구현되거나, 클라우드(cloud) 환경의 가상 머신(VM; Virtual Machine) 또는 가상 머신 상에 구현되는,
메시징 서비스 보안 시스템.The method according to claim 1,
The network security function may be implemented as an independent hardware server, or may be implemented in a virtual machine (VM) or virtual machine in a cloud environment,
Messaging service security system.
메시징 서비스 관리자(MSM; Messaging Service Manager)가 메시징 서비스에 대한 보안 정책을 생성하여 메시징 보안 컨트롤러(MSC; Messaging Security Controller)에 전달하는 단계;
상기 메시징 보안 컨트롤러가 상기 보안 정책을 수신하고, 상기 보안 정책을 소정의 데이터 모델로 생성하여 적어도 하나의 네트워크 보안 기능(NSF; Network Security Function)에 전달하는 단계; 및
상기 적어도 하나의 네트워크 보안 기능이, 상기 전달받은 데이터 모델에 기초하여, 상기 메시징 서비스에 대한 보안을 제공하는 단계를 포함하는,
메시징 서비스 보안 처리 방법.A network functional virtualization (NFV) -based messaging service security processing method,
Creating a security policy for the messaging service and forwarding it to the Messaging Security Controller (MSC);
Receiving, by the messaging security controller, the security policy, generating the security policy as a predetermined data model and transmitting the security policy to at least one network security function (NSF); And
Wherein the at least one network security function comprises providing security for the messaging service based on the delivered data model.
How messaging services are handled securely.
상기 데이터 모델은,
조건의 충족여부 판단과 동작 수행의 대상이 되는 사건(event);
네트워크 장치를 통해 송수신되는 패킷 또는 특정 플로우에 속하는 패킷에 대해 특정 동작(action)의 적용 여부를 판단하기 위한 조건(condition); 및
상기 조건이 만족되었을 때 수행될 동작(action)을 정의하는 정보를 포함하는,
메시징 서비스 보안 처리 방법.The method of claim 10,
The data model includes:
An event to judge whether the condition is satisfied and to perform the operation;
A condition for determining whether a specific action is applied to a packet transmitted or received through a network device or a packet belonging to a specific flow; And
And information defining an action to be performed when the condition is satisfied.
How messaging services are handled securely.
상기 사건은 소정 상황의 발생 시각과 관련된 시간 이벤트(time event); 및
사용자의 행위에 의해서 유발된 상황과 관련된 사용자 동작(user action)을 포함하는,
메시징 서비스 보안 처리 방법.The method of claim 11,
Wherein the event is a time event related to the occurrence time of the predetermined situation; And
Comprising a user action associated with a situation triggered by a user action,
How messaging services are handled securely.
상기 조건은 단일 패킷의 내용으로부터 판단할 수 있는 패킷 값 조건; 및
세션(session) 또는 플로우(flow) 등을 통하여 판단할 수 있는 상황(context) 조건을 포함하는,
메시징 서비스 보안 처리 방법.The method of claim 11,
Said condition being a packet value condition that can be determined from the contents of a single packet; And
Including a context condition that can be determined through a session or a flow,
How messaging services are handled securely.
상기 동작은
트래픽 인입(ingress) 제어 동작;
트래픽 출력(egress) 제어 동작;
프로파일 또는 시그니춰에 기반한 응용동작(advanced action); 및
통계(statistics) 동작 중 적어도 하나를 포함하는,
메시징 서비스 보안 처리 방법.The method of claim 11,
The operation
Traffic ingress control operation;
A traffic output (egress) control operation;
Advanced action based on profile or signature; And
And at least one of a statistics operation,
How messaging services are handled securely.
상기 네트워크 보안 기능은, 적어도 하나의 SDN 스위치를 관리하는 적어도 하나의 SDN 컨트롤러에 연결되며, 상기 메시징 보안 컨트롤러로부터 전달받은 데이터 모델을, 상기 적어도 하나의 SDN 컨트롤러의 API 호출 또는 연동 규격에 맞는 메시지 변환에 의하여 상기 적어도 하나의 SDN 컨트롤러로 전달하는,
메시징 서비스 보안 처리 방법.The method of claim 10,
Wherein the network security function is coupled to at least one SDN controller that manages at least one SDN switch and is operable to transmit a data model received from the messaging security controller to at least one SDN controller, To the at least one SDN controller,
How messaging services are handled securely.
메시징 서비스에 대한 보안 정책을 설정하고 관리하는 상기 메시징 서비스 관리자로부터 상기 보안 정책을 수신하는 단계;
상기 보안 정책을 소정의 데이터 모델로 생성하여 상기 적어도 하나의 네트워크 보안 기능으로 전달하는 단계; 및
상기 적어도 하나의 네트워크 보안 기능으로부터 상기 소정의 데이터 모델에 기초한 동작의 수행 완료를 통보 받는 단계를 포함한,
메시징 보안 컨트롤러의 동작 방법.In a network functional virtualization (NFV) -based messaging service security system, messaging security (MSM) interworking with Messaging Service Manager (MSM) and at least one Network Security Function (NSF) A method of operating a Messaging Security Controller (MSC)
Receiving the security policy from the messaging service manager that establishes and manages a security policy for the messaging service;
Generating the security policy in a predetermined data model and transmitting the security policy to the at least one network security function; And
Comprising: receiving from the at least one network security function notification of completion of an operation based on the predetermined data model;
How the messaging security controller works.
상기 데이터 모델은,
조건의 충족여부 판단과 동작 수행의 대상이 되는 사건(event);
네트워크 장치를 통해 송수신되는 패킷 또는 특정 플로우에 속하는 패킷에 대해 특정 동작(action)의 적용 여부를 판단하기 위한 조건(condition); 및
상기 조건이 만족되었을 때 수행될 동작(action)을 정의하는 정보를 포함하는,
메시징 보안 컨트롤러의 동작 방법.18. The method of claim 16,
The data model includes:
An event to judge whether the condition is satisfied and to perform the operation;
A condition for determining whether a specific action is applied to a packet transmitted or received through a network device or a packet belonging to a specific flow; And
And information defining an action to be performed when the condition is satisfied.
How the messaging security controller works.
상기 사건은 소정 상황의 발생 시각과 관련된 시간 이벤트(time event); 및
사용자의 행위에 의해서 유발된 상황과 관련된 사용자 동작(user action)을 포함하는,
메시징 보안 컨트롤러의 동작 방법.18. The method of claim 16,
Wherein the event is a time event related to the occurrence time of the predetermined situation; And
Comprising a user action associated with a situation triggered by a user action,
How the messaging security controller works.
상기 조건은
단일 패킷의 내용으로부터 판단할 수 있는 패킷 값 조건; 및
세션(session) 또는 플로우(flow) 등을 통하여 판단할 수 있는 상황(context) 조건을 포함하는,
메시징 보안 컨트롤러의 동작 방법.18. The method of claim 16,
The condition
A packet value condition that can be determined from the contents of a single packet; And
Including a context condition that can be determined through a session or a flow,
How the messaging security controller works.
상기 동작은
트래픽 인입(ingress) 제어 동작;
트래픽 출력(egress) 제어 동작;
프로파일 또는 시그니춰에 기반한 응용동작(advanced action); 및
통계(statistics) 동작 중 적어도 하나를 포함하는,
메시징 보안 컨트롤러의 동작 방법.18. The method of claim 16,
The operation
Traffic ingress control operation;
A traffic output (egress) control operation;
Advanced action based on profile or signature; And
And at least one of a statistics operation,
How the messaging security controller works.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20160142470 | 2016-10-28 | ||
KR1020160142470 | 2016-10-28 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20180046894A true KR20180046894A (en) | 2018-05-09 |
KR102376493B1 KR102376493B1 (en) | 2022-03-18 |
Family
ID=62200627
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020170140918A KR102376493B1 (en) | 2016-10-28 | 2017-10-27 | NFV based messaging service security providing method and system for the same |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102376493B1 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108809958A (en) * | 2018-05-23 | 2018-11-13 | 郑州云海信息技术有限公司 | A kind of SDN controller architectures managing system based on MDC |
KR20210054439A (en) * | 2019-11-04 | 2021-05-13 | 성균관대학교산학협력단 | Interface yang data model facing i2nsf network security capabilities |
KR102521426B1 (en) * | 2021-10-29 | 2023-04-13 | 에스케이텔레콤 주식회사 | Virtual switch appattus and its traffic processing method |
US11792227B2 (en) | 2019-06-12 | 2023-10-17 | Research & Business Foundation Sungkyunkwan University | I2NSF network security function facing interface YANG data model |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20150032085A (en) * | 2013-09-17 | 2015-03-25 | 김정호 | Method for processing huge data and constructing high performance nfv system |
KR20160083336A (en) * | 2014-12-30 | 2016-07-12 | 주식회사 시큐아이 | Apparatus and method for managing network module based on software defined network |
KR101661743B1 (en) * | 2015-04-07 | 2016-10-11 | 경기대학교 산학협력단 | Network system and method for defensing high volume attack traffic |
-
2017
- 2017-10-27 KR KR1020170140918A patent/KR102376493B1/en active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20150032085A (en) * | 2013-09-17 | 2015-03-25 | 김정호 | Method for processing huge data and constructing high performance nfv system |
KR20160083336A (en) * | 2014-12-30 | 2016-07-12 | 주식회사 시큐아이 | Apparatus and method for managing network module based on software defined network |
KR101661743B1 (en) * | 2015-04-07 | 2016-10-11 | 경기대학교 산학협력단 | Network system and method for defensing high volume attack traffic |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108809958A (en) * | 2018-05-23 | 2018-11-13 | 郑州云海信息技术有限公司 | A kind of SDN controller architectures managing system based on MDC |
US11792227B2 (en) | 2019-06-12 | 2023-10-17 | Research & Business Foundation Sungkyunkwan University | I2NSF network security function facing interface YANG data model |
KR20210054439A (en) * | 2019-11-04 | 2021-05-13 | 성균관대학교산학협력단 | Interface yang data model facing i2nsf network security capabilities |
KR102521426B1 (en) * | 2021-10-29 | 2023-04-13 | 에스케이텔레콤 주식회사 | Virtual switch appattus and its traffic processing method |
Also Published As
Publication number | Publication date |
---|---|
KR102376493B1 (en) | 2022-03-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109565500B (en) | On-demand security architecture | |
JP5880560B2 (en) | Communication system, forwarding node, received packet processing method and program | |
KR102376493B1 (en) | NFV based messaging service security providing method and system for the same | |
US20080101223A1 (en) | Method and apparatus for providing network based end-device protection | |
JP2005525024A (en) | Communication switching architecture | |
KR101863236B1 (en) | An apparatus andmethod for security management in network functions virtualization | |
JP2006339933A (en) | Network access control method and system thereof | |
US9083737B2 (en) | Mitigating threats in a network | |
US9491302B2 (en) | Telephone call processing method and apparatus | |
CN106656648B (en) | Application flow dynamic protection method and system based on home gateway and home gateway | |
KR20180118610A (en) | Network Management | |
WO2017143897A1 (en) | Method, device, and system for handling attacks | |
WO2021135382A1 (en) | Network security protection method and protection device | |
CN107509128B (en) | Method and system for accessing core network | |
Chi et al. | Design and implementation of cloud platform intrusion prevention system based on SDN | |
US8700715B1 (en) | System, method and computer readable medium for processing unsolicited electronic mail | |
KR101859796B1 (en) | Method and device for monitoring a mobile radio interface on mobile terminals | |
KR101887544B1 (en) | Sdn-based network-attacks blocking system for micro server management system protection | |
US11082309B2 (en) | Dynamic and interactive control of a residential gateway connected to a communication network | |
US20240089178A1 (en) | Network service processing method, system, and gateway device | |
KR101088867B1 (en) | Network switch and security notification method therein | |
CN101277302A (en) | Apparatus and method for safety centralized protection of distributed network equipment | |
KR102299225B1 (en) | Service security system for internet protocol calling based on SDN/NFV, and service security method thereof | |
WO2019035488A1 (en) | Control device, communication system, control method, and computer program | |
JP2006023934A (en) | Method and system for protecting against denial-of-service attack |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |