KR20180115883A - Method and apparatus for traffic detour for server protection - Google Patents

Method and apparatus for traffic detour for server protection Download PDF

Info

Publication number
KR20180115883A
KR20180115883A KR1020170048322A KR20170048322A KR20180115883A KR 20180115883 A KR20180115883 A KR 20180115883A KR 1020170048322 A KR1020170048322 A KR 1020170048322A KR 20170048322 A KR20170048322 A KR 20170048322A KR 20180115883 A KR20180115883 A KR 20180115883A
Authority
KR
South Korea
Prior art keywords
path
server
traffic
protected
setting
Prior art date
Application number
KR1020170048322A
Other languages
Korean (ko)
Inventor
이현진
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020170048322A priority Critical patent/KR20180115883A/en
Publication of KR20180115883A publication Critical patent/KR20180115883A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/22Alternate routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/70Routing based on monitoring results
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present disclosure relates to a method and an apparatus for detouring a traffic for server security which detour or re-detour a path without a service interruption. According to an embodiment of the present disclosure, a method for detouring a path by a controller in a controller centralized network includes the steps of: setting a first path to a protection target server via a relay server; determining whether an attack suspicious traffic for the protection target server is detected; and setting a second path to a replica server via the relay server when the attack suspicious traffic is detected.

Description

서버 보안을 위한 트래픽 우회 방법 및 장치{METHOD AND APPARATUS FOR TRAFFIC DETOUR FOR SERVER PROTECTION}METHOD AND APPARATUS FOR TRAFFIC DETOUR FOR SERVER PROTECTION FIELD OF THE INVENTION [0001]

본 개시는 서버 보안에 대한 것이며, 구체적으로는 서버 보안을 위한 트래픽 우회 방법 및 장치에 대한 것이다.This disclosure is directed to server security, and specifically to methods and apparatus for traffic bypassing for server security.

종래의 서버 보안 방안에 따르면, 공격 의심 트래픽을 검출한 경우 피공격 서버로 전달되는 트래픽을 차단하거나, 피공격 서버의 복제 서버로 공격 의심 트래픽을 우회시킬 수 있다. 트래픽 우회 방안의 경우, 단순히 라우팅 경로를 변경하게 되면 서비스의 끊김이 발생하는 문제가 있다. According to the conventional server security measures, when the suspicious traffic is detected, the traffic to be transmitted to the attack server can be blocked or the suspicious traffic can be bypassed to the duplicate server of the attack server. In the case of the traffic bypass method, there is a problem that the service is disconnected if the routing path is simply changed.

그러나, 아직까지는 서비스의 끊김 없이 공격 의심 트래픽을 우회시키는 구체적인 방안은 마련되지 않은 실정이다.However, there is no concrete method for bypassing suspicious traffic without service interruption.

본 개시의 기술적 과제는 서비스의 끊김 없이 경로를 우회 또는 재우회하는 방법 및 장치를 제공하는 것이다. SUMMARY OF THE INVENTION It is a technical object of the present disclosure to provide a method and apparatus for bypassing or bypassing a path without interruption of service.

본 개시에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 개시가 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The technical objects to be achieved by the present disclosure are not limited to the above-mentioned technical subjects, and other technical subjects which are not mentioned are to be clearly understood from the following description to those skilled in the art It will be possible.

본 개시의 일 양상에 따른 제어기 집중형 네트워크에서 제어기에 의한 경로 우회 방법은, 중계 서버를 경유하여 보호 대상 서버까지 제 1 경로를 설정하는 단계; 상기 보호 대상 서버에 대한 공격 의심 트래픽이 검출되는지 여부를 판정하는 단계; 및 상기 공격 의심 트래픽이 검출된 경우, 상기 중계 서버를 경유하여 복제 서버까지 제 2 경로를 설정하는 단계를 포함할 수 있다.A method of bypassing a path in a controller centralized network according to an aspect of the present disclosure includes: setting a first path to a protected server via a relay server; Determining whether an attack suspicious traffic to the protected server is detected; And setting the second path to the duplicate server via the relay server when the suspect traffic is detected.

본 개시의 추가적인 양상에 따른 제어기 집중형 네트워크에서 경로 우회를 지원하는 제어기 장치는, 공격 탐지부; 및 경로 제어부를 포함하고, 상기 경로 제어부는 중계 서버를 경유하여 상기 보호 대상 서버까지 제 1 경로를 설정하고; 상기 공격 탐지부는 상기 보호 대상 서버에 대한 공격 의심 트래픽이 검출되는지 여부를 판정하고; 상기 공격 탐지부에 의해서 상기 공격 의심 트래픽이 검출된 경우, 상기 경로 제어부는 상기 중계 서버를 경유하여 상기 복제 서버까지 제 2 경로를 설정할 수 있다.According to a further aspect of the present disclosure, a controller device supporting path diversion in a controller centralized network comprises: an attack detection unit; And a path control unit, wherein the path control unit sets a first path from the relay server to the protection target server; Wherein the attack detection unit determines whether an attack suspicious traffic to the protected server is detected; When the suspicious traffic is detected by the attack detection unit, the path control unit may set the second path from the relay server to the replication server.

본 개시의 추가적인 양상에 따른 중계 서버에 의해서 경로 우회를 지원하는 방법은, 보호 대상 서버까지의 제 1 경로 설정에 따라서, 상기 보호 대상 서버로의 트래픽을 상기 제 1 경로를 통하여 전달하는 단계; 및 복제 서버까지의 제 2 경로 설정에 따라서, 상기 복제 서버로의 트래픽을 상기 제 2 경로를 통하여 전달하는 단계를 포함하고, 상기 제 1 경로 설정 또는 상기 제 2 경로 설정에 있어서, 외부로부터 상기 중계 서버까지의 경로는 유지될 수 있다. According to a further aspect of the present disclosure, a method for supporting a path bypass by a relay server includes: transmitting traffic to the protected server through the first path according to a first path setup to a protected server; And transferring traffic to the replica server through the second path in accordance with a second path setting up to the replica server, wherein in the first path setting or the second path setting, The path to the server can be maintained.

본 개시의 추가적인 양상에 따른 경로 우회를 지원하는 중계기 장치는, 경로 설정 지시 수신부; 트래픽 수신부; 트래픽 송신부를 포함하고, 상기 경로 설정 지시 수신부에서 보호 대상 서버까지의 제 1 경로 설정 지시를 수신하면, 상기 트래픽 수신부 및 상기 트래픽 송신부는 상기 보호 대상 서버로의 트래픽을 상기 제 1 경로를 통하여 전달하고, 상기 경로 설정 지시 수신부에서 복제 서버까지의 제 2 경로 설정 지시를 수신하면, 상기 트래픽 수신부 및 상기 트래픽 송신부는 상기 복제 서버로의 트래픽을 상기 제 2 경로를 통하여 전달하고, 상기 제 1 경로 설정 또는 상기 제 2 경로 설정에 있어서, 외부로부터 상기 중계기 장치까지의 경로는 유지될 수 있다.According to a further aspect of the present disclosure, a repeater apparatus for supporting a path bypass includes a path setting instruction receiver; A traffic receiver; Wherein the traffic receiving unit and the traffic transmitting unit transmit the traffic to the protected server through the first path when receiving the first path setting instruction from the path setting instruction receiving unit to the protection target server Wherein the traffic receiving unit and the traffic transmitting unit transmit traffic to the replica server through the second path when receiving a second path setting instruction from the path setting instruction receiving unit to the replica server, In the second path setting, the path from the outside to the repeater device can be maintained.

본 발명의 다양한 양상에 있어서, 상기 공격 의심 트래픽이 정상 트래픽인 것으로 판정되는 경우, 상기 제 1 경로를 재설정할 수 있다. In various aspects of the present invention, if it is determined that the suspect traffic is normal traffic, the first path may be reset.

본 발명의 다양한 양상에 있어서, 상기 제 2 경로를 설정하는 단계는 상기 제 1 경로를 중단하는 것을 포함할 수 있다. In various aspects of the present invention, the step of setting the second path may comprise stopping the first path.

본 발명의 다양한 양상에 있어서, 상기 제 1 경로를 재설정하는 단계는 상기 제 2 경로를 중단하는 것을 포함할 수 있다. In various aspects of the present invention, resetting the first path may comprise stopping the second path.

본 발명의 다양한 양상에 있어서, 상기 제 1 경로와 상기 제 2 경로에 있어서, 외부로부터 상기 중계 서버까지의 경로는 동일하고, 상기 중계 서버로부터 상기 보호 대상 서버까지의 경로와, 상기 중계 서버로부터 상기 복제 서버까지의 경로는 상이할 수 있다. In another aspect of the present invention, in the first path and the second path, the path from the outside to the relay server is the same, and the path from the relay server to the protection target server, The path to the replica server may be different.

본 발명의 다양한 양상에 있어서, 상기 제 1 경로의 설정 또는 상기 제 2 경로의 설정에 있어서, 외부로부터 상기 중계 서버까지의 경로는 유지될 수 있다. In various aspects of the present invention, in the setting of the first path or the setting of the second path, a path from the outside to the relay server can be maintained.

본 발명의 다양한 양상에 있어서, 상기 공격 의심 트래픽의 검출은 상기 제어기, 상기 보호 대상 서버, 또는 상기 제어기 집중형 네트워크에 포함되는 하나 이상의 스위치에 의해서 수행될 수 있다.In various aspects of the present invention, detection of the suspect traffic may be performed by the controller, the protected server, or one or more switches included in the controller-centric network.

본 발명의 다양한 양상에 있어서, 상기 복제 서버에 의해서 상기 공격 의심 트래픽이 정상 트래픽인 것으로 판정될 수 있다. In various aspects of the present invention, the duplicate server may determine that the suspect traffic is normal traffic.

본 개시에 대하여 위에서 간략하게 요약된 특징들은 후술하는 본 개시의 상세한 설명의 예시적인 양상일 뿐이며, 본 개시의 범위를 제한하는 것은 아니다.The features briefly summarized above for this disclosure are only exemplary aspects of the detailed description of the disclosure which follow, and are not intended to limit the scope of the disclosure.

본 개시에 따르면, 서비스의 끊김 없이 경로를 우회 또는 재우회하는 방법 및 장치가 제공될 수 있다.According to the present disclosure, a method and apparatus for bypassing or re-bypassing a path without interruption of service can be provided.

본 개시에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 개시가 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The effects obtainable from the present disclosure are not limited to the effects mentioned above, and other effects not mentioned can be clearly understood by those skilled in the art from the description below will be.

도 1은 제어기 집중형 네트워크에서 패킷 라우팅을 설명하기 위한 도면이다.
도 2는 본 개시에 따른 공격 의심 트래픽 검출시 경로 우회 방안을 설명하기 위한 도면이다.
도 3은 본 개시에 따른 공격 의심 트래픽의 정상 판단시 경로 재우회 방안을 설명하기 위한 도면이다.
도 4는 본 개시에 따른 SDN 제어기의 동작을 설명하기 위한 흐름도이다.
도 5는 본 개시에 따른 중계 서버의 동작을 설명하기 위한 흐름도이다.
도 6은 본 개시에 따른 제어기 장치의 구성을 나타내는 도면이다.1 is a diagram for explaining packet routing in a controller-intensive network.
FIG. 2 is a diagram for explaining a route bypassing method when an attack suspect traffic is detected according to the present disclosure. FIG.
FIG. 3 is a diagram for explaining a route re-routing scheme in the case of normal determination of attack suspicious traffic according to the present disclosure.
4 is a flow chart illustrating the operation of the SDN controller according to the present disclosure;
5 is a flowchart for explaining the operation of the relay server according to the present disclosure.
6 is a diagram showing a configuration of a controller device according to the present disclosure.

이하에서는 첨부한 도면을 참고로 하여 본 개시의 실시 예에 대하여 본 개시가 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나, 본 개시는 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. Hereinafter, embodiments of the present disclosure will be described in detail with reference to the accompanying drawings, which will be easily understood by those skilled in the art. However, the present disclosure may be embodied in many different forms and is not limited to the embodiments described herein.

본 개시의 실시 예를 설명함에 있어서 공지 구성 또는 기능에 대한 구체적인 설명이 본 개시의 요지를 흐릴 수 있다고 판단되는 경우에는 그에 대한 상세한 설명은 생략한다. 그리고, 도면에서 본 개시에 대한 설명과 관계없는 부분은 생략하였으며, 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.In the following description of the embodiments of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present disclosure rather unclear. Parts not related to the description of the present disclosure in the drawings are omitted, and like parts are denoted by similar reference numerals.

본 개시에 있어서, 어떤 구성요소가 다른 구성요소와 "연결", "결합" 또는 "접속"되어 있다고 할 때, 이는 직접적인 연결관계뿐만 아니라, 그 중간에 또 다른 구성요소가 존재하는 간접적인 연결관계도 포함할 수 있다. 또한 어떤 구성요소가 다른 구성요소를 "포함한다" 또는 "가진다"고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 배제하는 것이 아니라 또 다른 구성요소를 더 포함할 수 있는 것을 의미한다.In the present disclosure, when an element is referred to as being "connected", "coupled", or "connected" to another element, it is understood that not only a direct connection relationship but also an indirect connection relationship May also be included. Also, when an element is referred to as " comprising "or" having "another element, it is meant to include not only excluding another element but also another element .

본 개시에 있어서, 제1, 제2 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용되며, 특별히 언급되지 않는 한 구성요소들간의 순서 또는 중요도 등을 한정하지 않는다. 따라서, 본 개시의 범위 내에서 일 실시 예에서의 제1 구성요소는 다른 실시 예에서 제2 구성요소라고 칭할 수도 있고, 마찬가지로 일 실시 예에서의 제2 구성요소를 다른 실시 예에서 제1 구성요소라고 칭할 수도 있다. In the present disclosure, the terms first, second, etc. are used only for the purpose of distinguishing one element from another, and do not limit the order or importance of elements, etc. unless specifically stated otherwise. Thus, within the scope of this disclosure, a first component in one embodiment may be referred to as a second component in another embodiment, and similarly a second component in one embodiment may be referred to as a first component .

본 개시에 있어서, 서로 구별되는 구성요소들은 각각의 특징을 명확하게 설명하기 위함이며, 구성요소들이 반드시 분리되는 것을 의미하지는 않는다. 즉, 복수의 구성요소가 통합되어 하나의 하드웨어 또는 소프트웨어 단위로 이루어질 수도 있고, 하나의 구성요소가 분산되어 복수의 하드웨어 또는 소프트웨어 단위로 이루어질 수도 있다. 따라서, 별도로 언급하지 않더라도 이와 같이 통합된 또는 분산된 실시 예도 본 개시의 범위에 포함된다. In the present disclosure, the components that are distinguished from each other are intended to clearly illustrate each feature and do not necessarily mean that components are separate. That is, a plurality of components may be integrated into one hardware or software unit, or a single component may be distributed into a plurality of hardware or software units. Thus, unless otherwise noted, such integrated or distributed embodiments are also included within the scope of this disclosure.

본 개시에 있어서, 다양한 실시 예에서 설명하는 구성요소들이 반드시 필수적인 구성요소들은 의미하는 것은 아니며, 일부는 선택적인 구성요소일 수 있다. 따라서, 일 실시 예에서 설명하는 구성요소들의 부분집합으로 구성되는 실시 예도 본 개시의 범위에 포함된다. 또한, 다양한 실시 예에서 설명하는 구성요소들에 추가적으로 다른 구성요소를 포함하는 실시 예도 본 개시의 범위에 포함된다. In the present disclosure, the components described in the various embodiments are not necessarily essential components, and some may be optional components. Thus, embodiments consisting of a subset of the components described in one embodiment are also included within the scope of the present disclosure. Also, embodiments that include other elements in addition to the elements described in the various embodiments are also included in the scope of the present disclosure.

본 개시에서 사용하는 용어에 대한 정의는 다음과 같다.The definitions of the terms used in the present disclosure are as follows.

- 제어기 집중형(centralized) 네트워크 구조: 제어부와 전송부로 역할이 명확하게 구분되는 네트워크 구조. 예를 들어, 제어기 및 스위치를 포함하는 소프트웨어 정의 네트워크(SDN).- Controller centralized network structure: A network structure in which the role is clearly divided into a control unit and a transmission unit. For example, a software defined network (SDN) that includes a controller and a switch.

- 제어기(controller): 제어 평면(control plane)에서 정의되며, 네트워크, 스위치, 플로우를 관리하고, 경로 설정 등의 주요한 제어를 담당하는 블록.- controller: A block defined in the control plane, which is responsible for the main control of the network, switches, flow, and routing.

- 스위치(switch): 데이터 평면(data plane)에서 정의되며, 다른 블록으로부터 데이터를 수신하여 및 또 다른 블록으로 전송하는 블록. 스위치는 라우터, 게이트웨이 등으로 칭할 수도 있으며, 본 개시에서는 스위치, 라우터, 게이트웨이 등을 통칭하여 패킷 처리 장치라고 함.- switch: a block defined in the data plane, which receives data from another block and transfers it to another block. A switch may be referred to as a router, a gateway, or the like. In the present disclosure, a switch, a router, a gateway, and the like are collectively referred to as a packet processing device.

- 경로(path): 네트워크에서 데이터가 전달되는 블록들의 순서 또는 블록들의 집합에 해당하는 단위.- path: The order of the blocks to which data is transferred in the network, or a unit corresponding to a set of blocks.

- 블록(block): 물리적인 노드로서 구성될 수도 있고, 소프트웨어적으로 구현되는 애플리케이션으로서 구성될 수도 있는 단위를 통칭함.- block: collectively referred to as a unit that may be configured as a physical node or as a software-implemented application.

- 서버(server): 데이터 전송 또는 수신의 주체가 되는 블록. 네트워크를 통한 통신의 양 종단점에 해당할 수 있음.- server: A block that is the subject of data transmission or reception. May be both endpoints of communication over the network.

- 보호 대상 서버: 공격 의심 트래픽의 목적지가 되는 서버.- Protected server: A server that is the destination of suspicious traffic.

- 복제 서버: 공격 의심 트래픽을 우회시킨 경우 목적지가 되는 서버. 보호 대상 서버와 동일하게 구성됨.- Replication Server: The server that is the destination when the attack suspicious traffic is bypassed. It is configured the same as the protected server.

- 우회: 목적지의 변경 또는 목적지로의 경로 변경.- Bypass: Change of destination or change of route to destination.

- 중계 서버: 보호 대상 서버 또는 복제 서버로의 트래픽을 중계하는 서버. - Relay server: A server that relays traffic to a protected or replicated server.

전술한 용어들의 정의는 단지 예시적인 것일 뿐, 본 발명의 범위가 이러한 정의에 의해서 제한되는 것은 아니다. 예를 들어, 위와 같은 용어의 정의는, 해당 용어에 대해서 당업자에 의해서 용이하게 이해되는 기본적인 의미를 배제하는 것은 아니다. The definitions of the above terms are merely illustrative, and the scope of the present invention is not limited by these definitions. For example, the definition of such terms does not exclude the basic meaning that is easily understood by those skilled in the art.

이하에서는, 본 개시에 따른 서버 보안을 위한 트래픽 우회 방법 및 장치에 대해서 설명한다.Hereinafter, a method and an apparatus for bypassing traffic for server security according to the present disclosure will be described.

서버 보안을 위해서 공격 의심 트래픽을 차단한 후, 보호 대상 서버로의 접속 권한 여부가 확인된 트래픽을 통과시키는 방식이 적용될 수 있다. 또는, 공격 의심 트래픽을 복제 서버로 우회시켜서, 복제 서버에서 포렌식 검사를 수행할 수도 있다. 이러한 서버 보안 방식을 적용하는 경우에 연결 서비스가 중단되는 문제가 있다. In order to secure the server, it is possible to apply a method of blocking traffic suspected of attack and then passing traffic that has been confirmed as having access right to the protected server. Alternatively, the forensic traffic of the attack may be bypassed to the duplication server, and the forensic check may be performed in the duplication server. There is a problem that the connection service is interrupted when the server security method is applied.

구체적으로, UDP(User Datagram Protocol)와 같이 패킷의 순서를 고려하지 않는 프로토콜에서는, 공격 의심 트래픽을 복제 서버로 우회시키는 경우에, 공격자 또는 보호 대상 서버를 통해 서비스를 받는 정상 사용자가 트래픽 우회를 인식하지 못할 수도 있다. 그러나, TCP(Transmission Control Protocol)와 같이 연결이 확립 및 유지되는 시간(예를 들어, 세션) 동안 패킷을 추적 관리하는 프로토콜에서는, 공격 의심 트래픽을 복제 서버로 우회시키는 경우에 연결이 끊기므로, 공격자 또는 보호 대상 서버를 통해 서비스를 받는 정상 사용자가 트래픽 우회를 인식할 수 있다. 따라서, 트래픽 우회 방식이 적용되는 경우 사용자가 제공받던 연결 서비스가 중단되므로, 이를 재시작해야 하는 문제가 발생한다.Specifically, in a protocol such as UDP (User Datagram Protocol) in which packets are not considered in order, when an attacker suspects traffic to a duplicate server, an attacker or a normal user receiving a service through the protected server recognizes a traffic bypass It may not be possible. However, in protocols such as Transmission Control Protocol (TCP), in which a packet is tracked and managed during a time when a connection is established and maintained (for example, a session), the connection is disconnected when detouring suspicious traffic to the duplication server. Or a normal user receiving the service through the protected server can recognize the traffic bypass. Therefore, when the traffic bypassing method is applied, the connection service provided by the user is interrupted, so that there is a problem that the connection service should be restarted.

본 개시에 따르면, 보호 대상 서버를 향하는 공격 의심 트래픽을 복제 서버로 직접 우회시키지 않고 중계 서버를 거쳐서 서비스 중단 없이 우회시킴으로써, 공격자 또는 정상 사용자에게 트랜스패런트(transparent)한 서버 보안을 제공할 수 있다. According to the present disclosure, it is possible to provide server security that is transparent to an attacker or a normal user by bypassing the suspicious traffic directed to the protected server through the relay server without bypassing the replication server without directly bypassing the service .

또한, 중계 서버를 통하여 복제 서버로 우회된 트래픽은, 복제 서버에서 포렌식 분석 결과 정상 트래픽으로 판정되는 경우에, 다시 중계 서버를 통하여 보호 대상 서버로 트래픽을 우회시킬 수도 있다. In addition, when the duplicated traffic is determined to be normal traffic as a result of a forensic analysis in the duplicate server, the traffic detoured to the duplicate server through the relay server may bypass the traffic to the protected server again via the relay server.

이와 같이, 본 개시의 다양한 예시들에 따르면, 정상 사용자에게 제공되는 서비스의 끊김 없이 보호 대상 서버로부터 복제 서버로의 트래픽 우회 및 복제 서버로부터 보호 대상 서버로의 재우회가 가능하다. 또한, 공격자가 트래픽 우회 및 재우회를 인식할 수 없으므로, 공격자 추적 또는 색출을 지원할 수도 있다.Thus, according to various examples of the present disclosure, it is possible to bypass traffic from a protected server to a replicated server and re-bypass from a replicated server to a protected server without interruption of services provided to normal users. In addition, an attacker may not be aware of traffic bypass and re-bypass, so it may support attacker tracking or detection.

공격 의심 트래픽을 탐지하는 주체는 보호 대상 서버로 제한되는 것은 아니며, 스위치, 제어기 등에서도 공격 의심 트래픽을 탐지할 수도 있다. 예를 들어, 스위치에 탑재된 IDS(Intrusion Detection System)에 의해서 공격 의심 트래픽이 탐지될 수도 있다. 추가적인 예시로서, 제어기가 스위치(들)로부터 수신하는 패킷 통계치에 기초하여 공격 의심 트래픽을 탐지할 수도 있다. Attack suspicious The subject that detects traffic is not limited to the protected server. The switch, the controller, etc. may also detect the suspicious traffic. For example, an attack suspicious traffic may be detected by an IDS (Intrusion Detection System) mounted on the switch. As a further example, the controller may detect suspicious traffic based on packet statistics received from the switch (s).

공격 의심 트래픽 검출은, 예를 들어, 장시간 데이터 송수신이 없는 세션을 공격 의심 트래픽으로 결정할 수도 있고, 의심 사용자 리스트에 포함된 사용자로부터의 트래픽을 공격 의심 트래픽으로 결정할 수도 있고, 스캐닝 시도가 검출되는 경우에 공격 의심 트래픽으로 결정할 수도 있고, 또는 시그니처 기반 공격 탐지가 적용될 수도 있다. 여기서, 스캐닝은 특정 주소 또는 포트 그룹에 속한 목적지로 순차적으로 짧은 메시지를 보내고 응답을 수집하는 방식에 해당할 수 있으며, 스캐닝으로 의심되는 트래픽이 발생하는 경우 공격 의심 트래픽으로 결정할 수 있다. 또한, 시그니처 기반 공격 탐지는 미리 정해진 패턴 또는 값을 가지는 신호를 검출하는 방식을 포함할 수도 있다.The attack suspicious traffic detection may be, for example, a session in which there is no long data transmission / reception, an attack suspicious traffic, a traffic from a user included in the suspicious user list as an attack suspicious traffic, or a scanning attempt is detected May be determined as an attack suspect traffic, or signature-based attack detection may be applied. Here, the scanning may correspond to a method of sending a short message sequentially to a destination belonging to a specific address or a port group and collecting a response, and may be determined as an attack suspicious traffic when suspicious traffic occurs. In addition, the signature-based attack detection may include a method of detecting a signal having a predetermined pattern or value.

도 1은 제어기 집중형 네트워크에서 패킷 라우팅을 설명하기 위한 도면이다.1 is a diagram for explaining packet routing in a controller-intensive network.

도 1의 제어기 집중형 네트워크(100)는 오픈플로우 프로토콜을 사용하는 SDN일 수 있지만, 이는 단지 예시일 뿐 본 개시의 범위가 이에 제한되는 것은 아니다. The controller-centric network 100 of FIG. 1 may be an SDN using an open-flow protocol, but this is merely an example, and the scope of the present disclosure is not limited thereto.

도 1에서는 정상 사용자(110), SDN 제어기(120), 스위치(130), 보호 대상 서버(140), 공격자(150)를 도시한다. 스위치(130)는 하나 이상의 오픈플로우 스위치(131, 132, 133,...)를 포함할 수 있다. FIG. 1 illustrates a normal user 110, an SDN controller 120, a switch 130, a protected server 140, and an attacker 150. The switch 130 may include one or more open flow switches 131, 132, 133, ....

단계 S101에서 정상 사용자(110)는 목적지가 보호 대상 서버(140)로 설정된 패킷을 전송할 수 있다. 정상 사용자(110)에 의해서 전송된 패킷은 인터넷 및 SDN(100)을 통하여 전송될 수 있다. In step S101, the normal user 110 can transmit a packet whose destination is set to the protected server 140. [ Packets transmitted by normal user 110 may be transmitted over the Internet and SDN 100.

단계 S102에서 오픈플로우 스위치(131)는 SDN 제어기(120)에게 보호 대상 서버로의 경로를 문의할 수 있다. SDN(100)에서 경로 상의 첫 번째 스위치를 에지(edge) 스위치라고 할 수 있다. 도 1의 예시에서 에지 스위치는 오픈플로우 스위치(131)일 수 있다. 에지 스위치는 인그레스(ingress) 스위치라고 할 수도 있다.In step S102, the open flow switch 131 can inquire the SDN controller 120 of the path to the protection target server. The first switch on the path in the SDN 100 may be referred to as an edge switch. In the example of FIG. 1, the edge switch may be an open flow switch 131. The edge switch may be referred to as an ingress switch.

단계 S103에서 SDN 제어기(120)는 에지 스위치로부터의 문의에 응답하여, SDN(100)에서의 경로를 설정하고, 경로에 포함되는 스위치(130)에게 경로 설정 메시지를 전송할 수 있다. 예를 들어, SDN 제어기(120)는 경로에 포함되는 하나 이상의 스위치(131, 132, 133, ...) 각각에게 경로 설정 메시지를 전송할 수 있다.In step S103, the SDN controller 120, in response to the inquiry from the edge switch, may establish a path in the SDN 100 and send a routing message to the switch 130 included in the path. For example, the SDN controller 120 may send a routing message to each of the one or more switches 131, 132, 133, ... included in the path.

단계 S104에서 SDN 제어기(120)는 경로 문의를 한 오픈플로우 스위치(131)에게 경로 설정이 완료되었다는 경로 응답 메시지를 전송할 수 있다.In step S104, the SDN controller 120 can transmit a path response message to the open flow switch 131 that made the path inquiry, indicating that the path setting is completed.

단계 S105에서 오픈플로우 스위치(131)는 설정된 경로 상의 다음 블록에 해당하는 오픈플로우 스위치(132)에게 패킷을 전달하고, 오픈플로우 스위치(132)는 설정된 경로 상의 다음 블록에 해당하는 오픈플로우 스위치(133)에게 패킷을 전달하며, 이와 같이 설정된 경로를 통하여 패킷이 보호 대상 서버(140)까지 전달될 수 있다.In step S105, the open flow switch 131 delivers the packet to the open flow switch 132 corresponding to the next block on the set route, and the open flow switch 132 sets the open flow switch 133 And the packet can be transmitted to the protected server 140 through the path thus set.

이와 같이 정상 사용자(110)로부터 보호 대상 서버(140)까지 경로가 설정되고 서비스가 제공되는 경우, 한편으로는 공격자(150)가 보호 대상 서버(140)로의 접근을 시도할 수 있다. In this way, when a path is established from the normal user 110 to the protected server 140 and a service is provided, the attacker 150 may attempt to access the protected server 140 on the other hand.

이하에서는, 공격자(150)로부터의 공격 의심 트래픽이 검출되는 경우에 대한 본 개시의 경로 우회 방안에 대해서 구체적으로 설명한다. Hereinafter, the route bypass method of the present disclosure will be described in detail in the case where suspicious traffic from the attacker 150 is detected.

도 2는 본 개시에 따른 공격 의심 트래픽 검출시 경로 우회 방안을 설명하기 위한 도면이다. FIG. 2 is a diagram for explaining a route bypassing method when an attack suspect traffic is detected according to the present disclosure. FIG.

도 2에서는 정상 사용자(110), SDN 제어기(120), 스위치(130), 보호 대상 서버(140), 공격자(150), 중계 서버(160) 및 복제 서버(170)를 도시한다. 도 2의 예시에서는 도 1의 예시에 비하여 중계 서버(160) 및 복제 서버(170)를 추가적으로 도시한다. 2 illustrates the normal user 110, the SDN controller 120, the switch 130, the protected server 140, the attacker 150, the relay server 160, and the replica server 170. In the example of FIG. 2, the relay server 160 and the replica server 170 are additionally shown in comparison with the example of FIG.

또한, 도 2의 SDN 제어기(120)는 공격 탐지부(122), 보호 대상 서버 관리부(124), 경로 제어부(126) 및 복제 서버 관리부(128)을 포함할 수 있다. 2 may include an attack detection unit 122, a protection target server management unit 124, a path control unit 126, and a replica server management unit 128. The SDN controller 120 of FIG.

또한, 도 2에서는 SDN(100)의 경로 상의 마지막 스위치로부터 전달된 패킷이 바로 보호 대상 서버(140)로 인입되지 않는 것을 나타낸다. 즉, SDN(100)의 이그레스(egress) 스위치에 해당하는 오픈플로우 스위치(133)로부터 전달된 패킷은, 중계 서버(160)를 거쳐 보호 대상 서버(140)로 전달될 수 있다. In addition, FIG. 2 shows that a packet delivered from the last switch on the path of the SDN 100 is not directly transferred to the protection target server 140. That is, the packet transmitted from the open flow switch 133 corresponding to the egress switch of the SDN 100 may be transmitted to the protection target server 140 via the relay server 160.

여기서, 중계 서버(160)는 정상 사용자(110) 및 공격자(150)에게 트랜스패런트하다. 즉, 보호 대상 서버(140)에 접근하는 모든 사용자에게도 중계 서버(160)는 인식되지 않고, 바로 보호 대상 서버(140)에 접근하는 것으로 인식된다. 이를 위하여 중계 서버(160)는 보호 대상 서버(160)를 대신하여 요청 또는 응답을 처리할 수 있다. 또는, 보호 대상 서버(140)에 접근하는 모든 사용자는 실제로는 중계 서버(160)에 접근하는 것이지만, 이를 보호 대상 서버(140)에 접근하는 것으로 인식할 수 있다. 즉, 중계 서버(160)는 보호 대상 서버(140)의 위치를 감출 수도 있다.Here, the relay server 160 is transparent to the normal user 110 and the attacker 150. That is, the relay server 160 is not recognized by all users accessing the protected server 140, but is immediately recognized as accessing the protected server 140. For this purpose, the relay server 160 may process a request or a response on behalf of the protected server 160. Alternatively, all the users who access the protected server 140 actually access the relay server 160, but can recognize that the protected server 140 is accessed. That is, the relay server 160 may hide the location of the protected server 140.

즉, 보호 대상 서버(140) 측에 구비되는 중계 서버(160)는, 보호 대상 서버(140)에 접근하는 모든 트래픽이 경유하는 트랜스패런트 중계기로서 구성될 수 있다. That is, the relay server 160 provided on the protected server 140 side may be configured as a transparent relay through which all traffic accessing the protected server 140 passes.

단계 S201에서 보호 대상 서버(140)는 공격자(150)로부터의 공격 의심 트래픽을 검출할 수 있다. 도 2의 예시에서는 보호 대상 서버(140)가 공격 의심 트래픽을 검출하는 것을 예시적으로 나타내지만, 본 개시의 범위가 이에 제한되는 것은 아니며, 스위치(131, 132, 133, ...) 중의 임의의 하나, 또는 SDN 제어기(120)에서 공격 의심 트래픽을 검출할 수도 있다. In step S201, the protection target server 140 may detect an attack suspicious traffic from the attacker 150. [ 2 exemplarily shows that the protected server 140 detects an attack suspect traffic, the scope of the present disclosure is not limited thereto, and any of the switches 131, 132, 133, ..., Or the SDN controller 120 may detect an attack suspicious traffic.

단계 S202에서 공격 의심 트래픽을 검출한 서버 또는 블록(예를 들어, 보호 대상 서버(140))는 검출 사실을 SDN 제어기(120)에게 알릴 수 있다. 예를 들어, 보호 대상 서버(140)는 공격 의심 트래픽의 송신자에 대한 정보를 포함하는 의심 사용자 알림 메시지를 SDN 제어기(120)로 전송할 수 있다. In step S202, the server or block (for example, the protected server 140) that has detected the suspect traffic can notify the SDN controller 120 of the detection result. For example, the protected server 140 may send a suspicious user notification message to the SDN controller 120 that includes information about the sender of the suspicious attack traffic.

단계 S203에서 SDN 제어기(120)는 의심 사용자 알림 메시지에 포함된 정보를, 보호 대상 서버 리스트에서 해당 보호 대상 서버(140)에 대한 부가 정보로서 등록할 수 있다. 예를 들어, 부가 정보는, 공격 의심 트래픽의 송신자(예를 들어, 공격자(150))의 IP 주소, 공격 의심 트래픽의 특성(예를 들어, 짧은 메시지의 반복 등)을 포함할 수 있다. 또한, 보호 대상 서버로 공격 의심 트래픽이 인입되는 것으로 SDN 제어기(120)가 결정한 경우, 복제 서버(170)를 할당할 수 있다. 여기서, 복제 서버(170)는 보호 대상 서버(140)와 동일하게 구성되며, 공격 의심 트래픽의 목적지가 된다. 복제 서버(170)가 준비되면, SDN 제어기(120)는 공격 의심 트래픽이 중계 서버(160)를 거쳐서 복제 서버(170)로 전달되도록 경로를 설정할 수 있다. In step S203, the SDN controller 120 can register the information included in the suspicious user notification message as additional information for the protected server 140 in the list of protected servers. For example, the side information may include the IP address of the sender of attack suspicious traffic (e.g., attacker 150), the nature of attack suspect traffic (e.g., repetition of short messages, etc.). In addition, when the SDN controller 120 determines that the suspicious attack traffic is inputted to the protection target server, the replication server 170 can be allocated. Here, the replica server 170 is configured in the same manner as the protected server 140, and is a destination of the suspect traffic. When the duplication server 170 is prepared, the SDN controller 120 can set the path so that suspicious traffic of the attack is transmitted to the duplication server 170 via the relay server 160. [

단계 S204에서는, SDN 제어기(120)에 의해서 경로가 복제 서버(170)로 우회된 후, 공격자(150)로부터 후속 공격 의심 트래픽이 전송될 수 있다. In step S204, after the path is bypassed by the SDN controller 120 to the replica server 170, the suspicious traffic of the subsequent attack can be transmitted from the attacker 150. [

단계 S205에서 공격자(150)로부터의 트래픽은 스위치(131, 132, 133)를 거쳐서 중계 서버(160)에 전달될 수 있다. The traffic from the attacker 150 may be transmitted to the relay server 160 via the switches 131, 132, and 133 in step S205.

단계 S206에서는 SDN 제어기(120)의 경로 제어부(126)에 의해서 복제 서버(170)로 설정된 경로로 공격 의심 트래픽이 전달될 수 있다. 이에 따라, 복제 서버(170)에서는 공격 의심 트래픽에 대한 포렌식 분석 등을 수행할 수 있다.In step S206, the path control unit 126 of the SDN controller 120 may transmit the suspect traffic to the path set in the replica server 170. [ Accordingly, the duplication server 170 can perform forensic analysis on suspicious traffic of the attack.

이와 같이, 중계 서버(160)는, 보호 대상 서버(140) 및 복제 서버(170)로 향하는, 또는 보호 대상 서버(140) 및 복제 서버(170)로부터 외부로 향하는 모든 트래픽이 경유하는 트랜스패런트 중계기로서 구성될 수 있다. As described above, the relay server 160 is a relay server that transfers the traffic to the protected server 140 and the replica server 170, or to the protected server 140 and the replica server 170 via the all- And may be configured as a repeater.

즉, 외부로부터 중계 서버(160)까지의 제 1 세션이 유지되는 중에, 중계 서버(160)와 보호 대상 서버(140) 간의 제 2 세션은 중단되고, 중계 서버(160)와 복제 서버(170) 간의 제 3 세션이 생성될 수 있다. 이 경우, 외부(예를 들어, 공격자(150) 또는 정상 사용자(110))의 입장에서는 보호 대상 서버(140)로 인식되는 중계 서버(160)까지의 세션은 끊김 없이 그대로 유지되므로, 복제 서버(170)로 경로가 우회된 것을 인식할 수 없다. That is, while the first session from the outside to the relay server 160 is maintained, the second session between the relay server 160 and the protected server 140 is stopped and the relay server 160 and the replication server 170 are stopped. Lt; / RTI > session can be created. In this case, the session to the relay server 160, which is recognized as the protected server 140, remains uninterrupted in terms of the external (for example, the attacker 150 or the normal user 110) 170). ≪ / RTI >

도 2를 참조하여 설명한 바와 같이, 중계 서버(160)를 거쳐서 보호 대상 서버(140)로 향하는 공격 의심 트래픽이 발생한 경우에 경로를 우회시킴으로써, 이후 발생하는 공격 의심 트래픽은 중계 서버(160)를 거쳐서 복제 서버(170)로 전달된다. 이와 같이 중계 서버(160)를 경유하는 트래픽 경로는, 중계 서버(160) 너머의 경로 우회 또는 경로 변경에도 불구하고 외부와의 연결성을 유지하므로, 정상 사용자(110)가 연결 서비스를 재설정할 필요가 없고 공격자(150)도 경로 우회를 인식할 수 없게 된다. As described with reference to FIG. 2, if an attack suspicious traffic destined for the protected server 140 occurs via the relay server 160, the attack suspicious traffic that occurs thereafter is transmitted through the relay server 160 And is transferred to the duplication server 170. As described above, the traffic path via the relay server 160 maintains connectivity with the outside despite the path bypass or route change over the relay server 160, so that the normal user 110 needs to reset the connection service And the attacker 150 can not recognize the bypass route.

도 3은 본 개시에 따른 공격 의심 트래픽의 정상 판단시 경로 재우회 방안을 설명하기 위한 도면이다. FIG. 3 is a diagram for explaining a route re-routing scheme in the case of normal determination of attack suspicious traffic according to the present disclosure.

도 3을 참조하여, 도 2의 예시에서와 같이 공격 의심 트래픽에 대한 경로 우회가 설정된 후, 복제 서버(170)에서 포렌식 분석 등을 통하여 공격 의심 트래픽이 정상 트래픽(즉, 공격 트래픽이 아님)인 것으로 결정한 경우, 경로를 다시 원래의 보호 대상 서버(140)로 원복하는 방안에 대해서 설명한다.Referring to FIG. 3, after the path detour for attack suspect traffic is set up as in the example of FIG. 2, the duplicate server 170 determines whether the suspect traffic is normal traffic (that is, not attack traffic) , A method of returning the path back to the original protected server 140 will be described.

단계 S301에서 복제 서버(170)는 공격 의심 트래픽의 분석 결과 정상 트래픽인 것을 확인하였음을 SDN 제어기(120)에게 알릴 수 있다. 예를 들어, 복제 서버(170)는 SDN 제어기(120)에게 의심 사용자 해제 알림 메시지를 전송할 수 있다.In step S301, the duplication server 170 can notify the SDN controller 120 that it has confirmed that it is normal traffic as a result of analysis of suspicious attack traffic. For example, the duplication server 170 may send a suspicious user release notification message to the SDN controller 120.

단계 S302에서 SDN 제어기(120)는 의심 사용자 해제 알림 메시지에 포함된 정보에 기초하여, 보호 대상 서버 리스트에 포함된 보호 대상 서버(140)에 대해 등록된 부가 정보(예를 들어, 공격 의심 트래픽의 송신자(예를 들어, 공격자(150))의 IP 주소, 공격 의심 트래픽의 특성(예를 들어, 짧은 메시지의 반복 등))를 삭제할 수 있다. 또한, SDN 제어기(120)는 공격 의심 트래픽이 정상 트래픽인 것으로 결정하면, 정상 사용자로 판단된 공격자(150)로부터의 트래픽이 중계 서버(160)를 거쳐서 보호 대상 서버(140)로 전달되도록 경로를 설정할 수 있다. 또한, SDN 제어기(120)는 복제 서버(170)의 할당을 해제할 수 있다. In step S302, on the basis of the information included in the suspicious user release notification message, the SDN controller 120 transmits the additional information registered for the protected server 140 included in the list of protected servers (for example, The IP address of the sender (e.g., attacker 150), and the nature of the suspect traffic (e. G., Repetition of short messages)). If the SDN controller 120 determines that the suspect traffic is normal traffic, the SDN controller 120 determines that the traffic from the attacker 150 determined as a normal user is transmitted to the protected server 140 via the relay server 160 Can be set. In addition, the SDN controller 120 can deallocate the replica server 170.

단계 S303에서는, SDN 제어기(120)에 의해서 경로가 보호 대상 서버(170)로 재우회된 후, 정상 사용자로 판단된 공격자(150)로부터 후속 트래픽이 전송되어, 스위치(131, 132, 133)를 거쳐서 중계 서버(160)에 전달될 수 있다. In step S303, after the path is re-routed to the protected server 170 by the SDN controller 120, subsequent traffic is transmitted from the attacker 150 determined as a normal user, and the switches 131, 132, 133 And may be transmitted to the relay server 160 via the Internet.

단계 S204에서는 SDN 제어기(120)의 경로 제어부(126)에 의해서 보호 대상 서버(140)로 설정된 경로로 트래픽이 전달될 수 있다. In step S204, the path control unit 126 of the SDN controller 120 may transmit the traffic to the path set in the protected server 140. [

전술한 바와 같이, 중계 서버(160)는, 보호 대상 서버(140) 및 복제 서버(170)로 향하는, 또는 보호 대상 서버(140) 및 복제 서버(170)로부터 외부로 향하는 모든 트래픽이 경유하는 트랜스패런트 중계기로서 구성될 수 있다. As described above, the relay server 160 is a transceiver that passes all the traffic destined for the protected server 140 and the replica server 170, or from the protected server 140 and the replica server 170 to the outside, May be configured as a parent relay.

즉, 외부로부터 중계 서버(160)까지의 제 1 세션이 유지되는 중에, 중계 서버(160)와 복제 서버(170) 간의 제 3 세션은 중단되고, 중계 서버(160)와 보호 대상 서버(140) 간의 제 2 세션이 다시 생성될 수 있다. 이 경우, 외부(예를 들어, 정상 사용자로 판단된 공격자(150) 또는 정상 사용자(110))의 입장에서는 보호 대상 서버(140)로 인식되는 중계 서버(160)까지의 세션은 끊김 없이 그대로 유지되므로, 복제 서버(170)로 경로가 우회되었다가 다시 보호 대상 서버(140)로 경로가 재우회된 것을 인식할 수 없다. That is, the third session between the relay server 160 and the replication server 170 is stopped while the first session from the outside to the relay server 160 is maintained, and the relay server 160 and the protected server 140 are stopped. Lt; / RTI > session can be regenerated. In this case, in the case of the external (for example, the attacker 150 or the normal user 110 judged as the normal user), the session to the relay server 160 recognized as the protected server 140 remains uninterrupted It can not recognize that the path is bypassed to the replica server 170 and then the path is re-bypassed to the protection target server 140 again.

도 3을 참조하여 설명한 바와 같이, 중계 서버(160)를 거쳐서 보호 대상 서버(140)로 향하는 공격 의심 트래픽이 발생한 경우에 복제 서버(170)로 우회된 경로를, 공격 의심 트래픽이 정상 트래픽으로 판정된 경우에 다시 보호 대상 서버(140)로 경로를 재우회시킴으로써, 이후 발생하는 트래픽은 중계 서버(160)를 거쳐서 보호 대상 서버(140)로 전달된다. 이와 같이 중계 서버(160)를 경유하는 트래픽 경로는, 중계 서버(160) 너머의 경로 우회, 재우회 또는 경로 변경에도 불구하고 외부와의 연결성을 유지하므로, 정상 사용자(110)가 연결 서비스를 재설정할 필요가 없고 정상 사용자로 판단된 공격자(150)도 경로 우회를 인식할 수 없게 된다. As described with reference to FIG. 3, when the suspicious traffic destined for the protected server 140 occurs via the relay server 160, the path bypassed to the replica server 170 is determined to be normal traffic The traffic generated thereafter is transmitted to the protected server 140 via the relay server 160. In this case, Since the traffic path via the relay server 160 maintains connectivity with the outside despite the path bypass, re-bypass or route change over the relay server 160, the normal user 110 re-establishes the connection service The attacker 150 determined to be a normal user can not recognize the path bypass.

도 4는 본 개시에 따른 SDN 제어기의 동작을 설명하기 위한 흐름도이다.4 is a flow chart illustrating the operation of the SDN controller according to the present disclosure;

단계 S410에서 SDN 제어기(120)는 중계 서버(160)를 경유하여 보호 대상 서버(140)로 향하는 경로를 설정할 수 있다. 여기서, 경로의 방향은 한 방향으로 제한되는 것이 아니라, 중계 서버(160)를 경유하여 보호 대상 서버(140)로의 경로 및/또는 보호 대상 서버(140)로부터 중계 서버(160)를 경유하는 경로를 포함하는, 양방향 경로로서 설정될 수 있다.In step S410, the SDN controller 120 can establish a path to the protected server 140 via the relay server 160. [ Here, the direction of the path is not limited to one direction but may be a path to the protected server 140 via the relay server 160 and / or a path from the protected server 140 via the relay server 160 Directional path, including the < RTI ID = 0.0 >

단계 S420에서 SDN 제어기(120)는 보호 대상 서버(140)를 타겟으로 하는 공격 의심 트래픽 검출 여부를 판정할 수 있다. 여기서, SDN 제어기(120) 자체가 공격 의심 트래픽을 검출할 수도 있지만, 다른 개체(예를 들어, 보호 대상 서버(140) 또는 스위치(130))에 의해서 공격 의심 트래픽이 검출되고, 공격 의심 트래픽 검출을 지시하는 메시지가 SDN 제어기(120)로 전달되면, SDN 제어기(120)는 수신된 메시지에 기초하여 공격 의심 트래픽 검출 여부를 결정할 수 있다.In step S420, the SDN controller 120 may determine whether or not to detect suspicious traffic targeting the protected server 140. [ Here, the SDN controller 120 itself may detect attack suspicious traffic, but suspicious traffic is detected by another entity (for example, the protected server 140 or the switch 130) The SDN controller 120 may determine whether to detect suspicious traffic based on the received message.

만약 단계 S420에서 공격 의심 트래픽이 검출되지 않은 것으로 판정하는 경우, 단계 S410으로 돌아가서 중계 서버(160)를 경유하는 보호 대상 서버(140)로의 경로를 유지할 수 있다.If it is determined in step S420 that an attack suspicious traffic is not detected, the flow returns to step S410 to maintain the path to the protected server 140 via the relay server 160. [

만약 단계 S420에서 공격 의심 트래픽이 발생한 것으로 결정한 경우, 단계 S430으로 진행하여, SDN 제어기(120)는 중계 서버(160)를 경유하여 복제 서버(170)로 향하는 경로를 설정(즉, 경로 우회)할 수 있다. 여기서, 경로의 방향은 한 방향으로 제한되는 것이 아니라, 중계 서버(160)를 경유하여 복제 서버(170)로의 경로 및/또는 복제 서버(170)로부터 중계 서버(160)를 경유하는 경로를 포함하는, 양방향 경로로서 설정될 수 있다. If it is determined in step S420 that an attack suspicious traffic has occurred, the process proceeds to step S430 where the SDN controller 120 sets a path to the duplicate server 170 via the relay server 160 (i.e., bypasses the path) . Here, the direction of the path is not limited to one direction but may include a path to the replication server 170 via the relay server 160 and / or a path from the replication server 170 to the relay server 160 , And can be set as a bi-directional path.

단계 S440에서 SDN 제어기(120)는 공격 의심 트래픽이 정상 사용자로부터 발생한 트래픽인지 여부를 결정할 수 있다. 예를 들어, 복제 서버(170)에서 공격 의심 트래픽에 대한 포렌식 분석 등을 수행하고, 그 결과를 포함하는 메시지를 SDN 제어기(120)로 전송할 수 있다. SDN 제어기(120)는 복제 서버(170)로부터 수신된 메시지에 기초하여 공격 의심 트래픽이 정상 트래픽인지 여부를 판정할 수 있다. In step S440, the SDN controller 120 may determine whether the suspect traffic is traffic originating from a normal user. For example, the duplication server 170 may perform a forensic analysis or the like on attack suspect traffic, and may transmit a message including the result to the SDN controller 120. The SDN controller 120 may determine whether the suspicious traffic of the attack is normal traffic based on the message received from the replica server 170. [

만약 단계 S440에서 정상 트래픽이 아닌 것으로 결정하는 경우, 단계 S430으로 돌아가서 SDN 제어기(120)는 중계 서버(160)를 경유하는 복제 서버(170)로의 경로를 유지할 수 있다.If it is determined in step S440 that the traffic is not normal, the process returns to step S430, and the SDN controller 120 can maintain the path to the replica server 170 via the relay server 160. [

만약 단계 S440에서 정상 트래픽인 것으로 결정하는 경우, 단계 S430으로 돌아가서 SDN 제어기(120)는 중계 서버(160)를 경유하는 보호 대상 서버(140)로의 경로를 재설정(즉, 경로 재우회)할 수 있다.If it is determined to be the normal traffic in step S440, the process returns to step S430, and the SDN controller 120 can reset (i.e., route back) the path to the protected server 140 via the relay server 160 .

도 5는 본 개시에 따른 중계 서버의 동작을 설명하기 위한 흐름도이다.5 is a flowchart for explaining the operation of the relay server according to the present disclosure.

단계 S510에서 중계 서버(160)는 보호 대상 서버(140)로의 트래픽을 보호 대상 서버(140)에게 전달하거나, 또는 보호 대상 서버(140)로부터의 트래픽을 다른 개체로 전달할 수 있다.In step S510, the relay server 160 may forward the traffic to the protection target server 140 to the protection target server 140 or may forward the traffic from the protection target server 140 to another entity.

단계 S520에서 중계 서버(160)는 복제 서버(170)로의 경로 변경에 대한 지시가 있는지 여부를 결정할 수 있다. In step S520, the relay server 160 can determine whether there is an instruction to change the path to the replica server 170. [

만약 단계 S520에서 경로 변경에 대한 지시가 없다면, 단계 S510으로 돌아가서 중계 서버(160)는 보호 대상 서버(140)로의/로부터의 트래픽을 전달할 수 있다.If there is no instruction to change the route in step S520, the relay server 160 may return to step S510 to forward the traffic to / from the protected server 140. [

만약 단계 S520에서 경로 변경에 대한 지시가 있다면, 단계 S530으로 진행하여 중계 서버(160)는 보호 대상 서버(140)로의 트래픽을 복제 서버(170)에게 전달하거나, 또는 복제 서버(170)로부터의 트래픽을 다른 개체로 전달할 수 있다. 여기서, 중계 서버(160)는, 외부로부터 중계 서버(160)까지의 제 1 세션이 유지되는 중에, 중계 서버(160)와 보호 대상 서버(140) 간의 제 2 세션을 중단하고, 중계 서버(160)와 복제 서버(170) 간의 제 3 세션을 생성할 수 있다.If there is an instruction to change the route in step S520, the relay server 160 proceeds to step S530 and transfers the traffic to the protection server 140 to the replication server 170 or the traffic from the replication server 170 To another entity. Here, the relay server 160 stops the second session between the relay server 160 and the protected server 140 while the first session from the outside to the relay server 160 is maintained, and the relay server 160 And the clone server 170. In this case,

단계 S540에서는 중계 서버(160)는 보호 대상 서버(140)로의 경로 변경에 대한 지시가 있는지 여부를 결정할 수 있다.In step S540, the relay server 160 may determine whether there is an instruction to change the path to the protected server 140. [

만약 단계 S540에서 경로 변경에 대한 지시가 없다면, 단계 S530으로 돌아가서 중계 서버(160)는 복제 서버(170)로의/로부터의 트래픽을 전달할 수 있다.If there is no instruction to change the route in step S540, the relay server 160 may return to step S530 to forward traffic to / from the replica server 170. [

만약 단계 S540에서 경로 변경에 대한 지시가 있다면, 단계 S510으로 진행하여 중계 서버(160)는 보호 대상 서버(140)로의 트래픽을 보호 대상 서버(140)에게 전달하거나, 또는 보호 대상 서버(140)로부터의 트래픽을 다른 개체로 전달할 수 있다. 여기서, 중계 서버(160)는, 외부로부터 중계 서버(160)까지의 제 1 세션이 유지되는 중에, 중계 서버(160)와 복제 서버(170) 간의 제 3 세션을 중단하고, 중계 서버(160)와 보호 대상 서버(140) 간의 제 2 세션을 생성할 수 있다.If there is an instruction to change the route in step S540, the relay server 160 proceeds to step S510 and transfers the traffic to the protection target server 140 to the protection target server 140 or from the protection target server 140 Of traffic to another entity. Here, the relay server 160 stops the third session between the relay server 160 and the replica server 170 while the first session from the outside to the relay server 160 is maintained, and the relay server 160 stops the third session between the relay server 160 and the replica server 170, The second session between the protected server 140 and the protected server 140 can be created.

도 6은 본 개시에 따른 제어기 장치의 구성을 나타내는 도면이다.6 is a diagram showing a configuration of a controller device according to the present disclosure.

제어기 장치(600)는 송수신기(610), 메모리(620) 및 프로세서(630)를 포함할 수 있다. 이러한 제어기 장치(600)의 구성은 예시적인 것일 뿐, 도 6의 예시로 제한되는 것은 아니며, 도 6의 구성요소들 중 일부 또는 전부를 포함할 수도 있고, 추가적인 구성요소를 더 포함할 수도 있다.Controller device 600 may include a transceiver 610, a memory 620, and a processor 630. The configuration of the controller device 600 is only exemplary and is not limited to the example of FIG. 6, and may include some or all of the components of FIG. 6, and may further include additional components.

송수신기(610)는 제어 정보 등을 다른 장치로 전송하거나, 다른 장치로부터 제어 정보 등을 수신할 수 있다. The transceiver 610 can transmit control information or the like to another device or receive control information or the like from another device.

메모리(620)는 제어기 장치(600)의 동작에 필요한 제어 정보, 계산 결과 등을 저장할 수 있다. 예를 들어, 메모리(620)는 보호 대상 서버 리스트 등을 저장할 수 있다. The memory 620 may store control information, calculation results, and the like necessary for the operation of the controller device 600. [ For example, the memory 620 may store a list of protected servers or the like.

프로세서(630)는 제어기 장치(600)의 전반적인 동작을 제어할 수 있다. The processor 630 may control the overall operation of the controller device 600. [

예를 들어, 프로세서(630)는 공격 탐지부(632), 보호 대상 서버 관리부(634), 경로 제어부(636), 복제 서버 관리부(638)를 포함할 수 있다. For example, the processor 630 may include an attack detection unit 632, a protected server management unit 634, a path control unit 636, and a replica server management unit 638.

먼저 제어기 장치(600)의 프로세서(630)가, 보호 대상 서버(140)로부터 복제 서버(170)로 경로를 우회하도록 제어하는 경우에 대해서 설명한다.First, a case where the processor 630 of the controller device 600 performs control to bypass the path from the protected server 140 to the replica server 170 will be described.

보호 대상 서버(140), 스위치(130), 또는 SDN 제어기(120)에서 공격 의심 트래픽을 검출한 경우, 의심 사용자 알림 메시지가 제어기 장치(600)에 수신될 수 있다. When the protection target server 140, the switch 130, or the SDN controller 120 detects an attack suspicious traffic, a suspicious user notification message may be received at the controller device 600. [

제어기 장치(600)의 공격 탐지부(632)는, 의심 사용자 알림 메시지에 포함된 정보를 보호 대상 서버 관리부(634)로 전달할 수 있다. The attack detection unit 632 of the controller device 600 may transmit the information included in the suspicious user notification message to the protection target server management unit 634. [

보호 대상 서버 관리부(634)는, 보호 대상 서버 리스트에 포함된 보호 대상 서버(140)에 대한 부가 정보로서 의심 사용자 정보를 등록할 수 있다. 예를 들어, 부가 정보는, 공격 의심 트래픽의 송신자(예를 들어, 공격자(150))의 IP 주소, 공격 의심 트래픽의 특성(예를 들어, 짧은 메시지의 반복 등)을 포함할 수 있다. The protected server management unit 634 can register the suspicious user information as the additional information for the protected server 140 included in the list of protected servers. For example, the side information may include the IP address of the sender of attack suspicious traffic (e.g., attacker 150), the nature of attack suspect traffic (e.g., repetition of short messages, etc.).

경로 제어부(636)는, 공격 탐지부(632) 또는 보호 대상 서버 관리부(634)로부터, 보호 대상 서버(140)로 공격 의심 트래픽이 인입된다는 사실을 전달받으면, 복제 서버 관리부(638)가 복제 서버(170)를 할당하도록 제어할 수 있다. 여기서, 복제 서버(170)는 보호 대상 서버(140)와 동일하게 구성되며, 공격 의심 트래픽의 목적지가 된다. The path control unit 636 receives from the attack detection unit 632 or the protection target server management unit 634 the fact that the suspect traffic is inputted to the protection target server 140, (170). Here, the replica server 170 is configured in the same manner as the protected server 140, and is a destination of the suspect traffic.

복제 서버(170)가 준비되면, 경로 제어부(636)는 공격 의심 트래픽이 중계 서버(160)를 거쳐서 복제 서버(170)로 전달되도록 경로를 설정할 수 있다. When the replica server 170 is prepared, the path controller 636 can set the path so that suspicious traffic of the attack is transmitted to the replica server 170 via the relay server 160. [

다음으로 제어기 장치(600)의 프로세서(630)가, 복제 서버(170)로부터 보호 대상 서버(140)로 경로를 재우회하도록 제어하는 경우에 대해서 설명한다.Next, a case where the processor 630 of the controller device 600 performs control so as to bypass the path from the replication server 170 to the protection target server 140 will be described.

복제 서버(170)에서 공격 의심 트래픽의 분석 결과 정상 트래픽인 것을 확인한 경우, 의심 사용자 해제 알림 메시지가 제어기 장치(600)에 수신될 수 있다. When the duplication server 170 confirms that it is normal traffic as a result of the analysis of the suspicious traffic, the suspicious user release notification message may be received at the controller device 600.

제어기 장치(600)의 공격 탐지부(632)는, 의심 사용자 해제 알림 메시지에 포함된 정보를 보호 대상 서버 관리부(634)로 전달할 수 있다. The attack detection unit 632 of the controller device 600 may forward the information included in the suspect user release notification message to the protection target server management unit 634. [

보호 대상 서버 관리부(634)는, 보호 대상 서버 리스트에 포함된 보호 대상 서버(140)에 대해 등록된 부가 정보(예를 들어, 공격 의심 트래픽의 송신자(예를 들어, 공격자(150))의 IP 주소, 공격 의심 트래픽의 특성(예를 들어, 짧은 메시지의 반복 등))를 삭제할 수 있다. The protection target server management unit 634 compares the additional information registered with the protected server 140 included in the list of protected servers 140 (for example, the IP address of the sender of attack suspect traffic (for example, attacker 150) Addresses, attributes of suspicious traffic (e.g., repetition of short messages, etc.)).

경로 제어부(636)는, 공격 탐지부(632) 또는 보호 대상 서버 관리부(634)로부터 보호 대상 서버로 향하는 공격 의심 트래픽이 정상 트래픽이라는 사실을 전달받으면, 정상 사용자로 판단된 공격자(150)로부터의 트래픽이 중계 서버(160)를 거쳐서 보호 대상 서버(140)로 전달되도록 경로를 설정할 수 있다. When the attack control unit 636 receives from the attack detection unit 632 or the protection target server management unit 634 that the suspicious traffic destined for the protected server is normal traffic, The path can be set so that the traffic is transmitted to the protection target server 140 via the relay server 160. [

또한, 경로 제어부(636)는, 복제 서버 관리부(638)를 통하여 복제 서버(170)의 할당을 해제하도록 제어할 수 있다. Further, the path control unit 636 can control to cancel the allocation of the replica server 170 through the replica server management unit 638. [

본 개시에 따른 공격 탐지부(632), 보호 대상 서버 관리부(634), 경로 제어부(636), 복제 서버 관리부(638)는 프로세서(630)의 구성요소가 아닌 애플리케이션으로 구성되어 프로세서(630)에 의해서 실행될 수도 있다.The attack detecting unit 632, the protected server managing unit 634, the path controlling unit 636 and the replica server managing unit 638 according to the present disclosure are configured as an application that is not a component of the processor 630, Lt; / RTI >

또한, 본 개시에 따른 공격 탐지부(632), 보호 대상 서버 관리부(634), 경로 제어부(636), 복제 서버 관리부(638)를 포함하는 프로세서(630)를 구비하는 제어기 장치(600)는 SDN 제어기(120)에 포함될 수 있다. The controller device 600 having the processor 630 including the attack detection unit 632, the protection target server management unit 634, the path control unit 636 and the replica server management unit 638 according to the present invention may be an SDN May be included in the controller 120.

추가적으로, 공격 탐지부(632), 보호 대상 서버 관리부(634), 경로 제어부(636), 복제 서버 관리부(638)를 포함하는 프로세서(630)를 구비하는 제어기 장치(600)는 SDN 제어기(120)와 구분되는 외부 서버(예를 들어, SDN 제어기(120)의 상위 애플리케이션 서버 등)에 포함될 수도 있다. 또는, 공격 탐지부(632), 보호 대상 서버 관리부(634), 경로 제어부(636), 복제 서버 관리부(638) 중의 일부는 SDN 제어기(120)에 포함되고, 나머지 일부는 외부 서버(예를 들어, SDN 제어기(120)의 상위 애플리케이션 서버 등)에 포함될 수도 있다. 이 경우, 제어기 장치(600)의 프로세서(630)는 SDN 제어기(120)와 외부 서버의 구성요소 간의 상호 연동 동작을 제어할 수 있다. 예를 들어, 제어기 장치(600)의 프로세서(630)는 송수신기(610)를 통한 REST API 표준 인터페이스를 통하여 외부 서버와 통신을 수행하도록 제어할 수 있다. In addition, the controller device 600 having the processor 630 including the attack detection unit 632, the protected server management unit 634, the path control unit 636, and the replica server management unit 638 is connected to the SDN controller 120, (E.g., an upper application server of the SDN controller 120, etc.) that is different from the external server (e.g., the SDN controller 120). Alternatively, some of the attack detection unit 632, the protected server management unit 634, the path control unit 636, and the replica server management unit 638 may be included in the SDN controller 120 and some of them may be included in an external server An upper application server of the SDN controller 120, etc.). In this case, the processor 630 of the controller device 600 may control the interlocking operation between the SDN controller 120 and the components of the external server. For example, the processor 630 of the controller device 600 may control to communicate with an external server via a REST API standard interface via the transceiver 610.

도 7은 본 개시에 따른 중계기 장치의 구성을 나타내는 도면이다.7 is a diagram showing a configuration of a repeater device according to the present disclosure.

도 7의 중계기 장치(700)는 경로 설정 지시 수신부(710), 트래픽 수신부(720), 트래픽 송신부(730), 메모리(740) 등의 구성을 포함할 수 있다. 이러한 중계기 장치(700)의 구성은 예시적인 것일 뿐, 도 7의 예시로 제한되는 것은 아니며, 도 7의 구성요소들 중 일부 또는 전부를 포함할 수도 있고, 추가적인 구성요소를 더 포함할 수도 있다.The relay apparatus 700 of FIG. 7 may include a path setting instruction receiving unit 710, a traffic receiving unit 720, a traffic transmitting unit 730, a memory 740, and the like. The configuration of this repeater device 700 is only exemplary and is not limited to the example of FIG. 7, and may include some or all of the components of FIG. 7, and may further include additional components.

예를 들어, 경로 설정 지시 수신부(710)에서 보호 대상 서버(140)까지의 제 1 경로 설정에 대한 지시를 수신한 후, 트래픽 수신부(720)에서 보호 대상 서버(140)로의/로부터의 트래픽을 수신하면, 트래픽 송신부(730)는 수신된 트래픽을 보호 대상 서버(140)로 또는 다른 블록으로 전달할 수 있다. For example, after receiving an instruction to set the first path from the path setting instruction receiving unit 710 to the protection target server 140, traffic from / to the protection target server 140 is received from the traffic receiving unit 720 Upon receipt, the traffic transmission unit 730 can forward the received traffic to the protected server 140 or to another block.

예를 들어, 경로 설정 지시 수신부(710)에서 복제 서버(170)까지의 제 2 경로 설정에 대한 지시를 수신한 후, 트래픽 수신부(720)에서 복제 서버(170)로의/로부터의 트래픽을 수신하면, 트래픽 송신부(730)는 수신된 트래픽을 복제 서버(170)로 또는 다른 블록으로 전달할 수 있다. For example, after receiving the instruction for the second path setting from the path setting instruction receiving unit 710 to the replica server 170, the traffic receiving unit 720 receives the traffic from / to the replica server 170 , The traffic transmission unit 730 can forward the received traffic to the replication server 170 or another block.

중계 서버(160)의 메모리(740)는 경로 설정 정보, 트래픽 등을 일시적으로 저장할 수 있다. The memory 740 of the relay server 160 may temporarily store routing information, traffic, and the like.

또한, 본 개시에 따른 경로 설정 지시 수신부(710), 트래픽 수신부(720), 트래픽 송신부(730), 메모리(740)를 포함하는 중계기 장치(700)는 중계기 서버(160)에 포함될 수 있다. The repeater device 700 including the routing instruction receiver 710, the traffic receiver 720, the traffic transmitter 730, and the memory 740 according to the present invention may be included in the repeater server 160.

본 개시의 예시적인 방법들은 설명의 명확성을 위해서 동작의 시리즈로 표현되어 있지만, 이는 단계가 수행되는 순서를 제한하기 위한 것은 아니며, 필요한 경우에는 각각의 단계가 동시에 또는 상이한 순서로 수행될 수도 있다. 본 개시에 따른 방법을 구현하기 위해서, 예시하는 단계에 추가적으로 다른 단계를 포함하거나, 일부의 단계를 제외하고 나머지 단계를 포함하거나, 또는 일부의 단계를 제외하고 추가적인 다른 단계를 포함할 수도 있다.Although the exemplary methods of this disclosure are represented by a series of acts for clarity of explanation, they are not intended to limit the order in which the steps are performed, and if necessary, each step may be performed simultaneously or in a different order. In order to implement the method according to the present disclosure, the illustrative steps may additionally include other steps, include the remaining steps except for some steps, or may include additional steps other than some steps.

본 개시의 다양한 실시 예는 모든 가능한 조합을 나열한 것이 아니고 본 개시의 대표적인 양상을 설명하기 위한 것이며, 다양한 실시 예에서 설명하는 사항들은 독립적으로 적용되거나 또는 둘 이상의 조합으로 적용될 수도 있다.The various embodiments of the disclosure are not intended to be all-inclusive and are intended to illustrate representative aspects of the disclosure, and the features described in the various embodiments may be applied independently or in a combination of two or more.

또한, 본 개시의 다양한 실시 예는 하드웨어, 펌웨어(firmware), 소프트웨어, 또는 그들의 결합 등에 의해 구현될 수 있다. 하드웨어에 의한 구현의 경우, 하나 또는 그 이상의 ASICs(Application Specific Integrated Circuits), DSPs(Digital Signal Processors), DSPDs(Digital Signal Processing Devices), PLDs(Programmable Logic Devices), FPGAs(Field Programmable Gate Arrays), 범용 프로세서(general processor), 컨트롤러, 마이크로 컨트롤러, 마이크로 프로세서 등에 의해 구현될 수 있다. In addition, various embodiments of the present disclosure may be implemented by hardware, firmware, software, or a combination thereof. In the case of hardware implementation, one or more application specific integrated circuits (ASICs), digital signal processors (DSPs), digital signal processing devices (DSPDs), programmable logic devices (PLDs), field programmable gate arrays A general processor, a controller, a microcontroller, a microprocessor, and the like.

본 개시의 범위는 다양한 실시 예의 방법에 따른 동작이 장치 또는 컴퓨터 상에서 실행되도록 하는 소프트웨어 또는 머신-실행가능한 명령들(예를 들어, 운영체제, 애플리케이션, 펌웨어(firmware), 프로그램 등), 및 이러한 소프트웨어 또는 명령 등이 저장되어 장치 또는 컴퓨터 상에서 실행 가능한 비-일시적 컴퓨터-판독가능 매체(non-transitory computer-readable medium)를 포함한다. The scope of the present disclosure is to be accorded the broadest interpretation as understanding of the principles of the invention, as well as software or machine-executable instructions (e.g., operating system, applications, firmware, Instructions, and the like are stored and are non-transitory computer-readable medium executable on the device or computer.

100...제어기 집중형 네트워크
110...정상 사용자
120...SDN 제어기
130...스위치
131, 132, 133...오픈플로우 스위치
140...보호 대상 서버
150...공격자
160...중계 서버
170...복제 서버
600...제어기 장치
610...송수신기
620...메모리
630...프로세서
632...공격 탐지부
634...보호 대상 서버 관리부
636...경로 제어부
638...복제 서버 관리부100 ... controller intensive network
110 ... normal users
120 ... SDN controller
130 ... switch
131, 132, 133 ... open flow switch
140 ... protected server
150 ... Attacker
160 ... relay server
170 ... Replication Server
600 ... controller device
610 ... transceiver
620 ... memory
630 ... processor
632 ... attack detection unit
634 ... Protection target server management section
636 ... path control section
638 ... Replication Server Management Section

Claims (20)

제어기 집중형 네트워크에서 제어기에 의한 경로 우회 방법에 있어서,
중계 서버를 경유하여 보호 대상 서버까지의 제 1 경로를 설정하는 단계;
상기 보호 대상 서버에 대한 공격 의심 트래픽이 검출되는지 여부를 판정하는 단계; 및
상기 공격 의심 트래픽이 검출된 경우, 상기 중계 서버를 경유하여 복제 서버까지의 제 2 경로를 설정하는 단계를 포함하는, 경로 우회 방법.A method of bypassing a path in a controller centralized network by a controller,
Setting a first path to a protected server via a relay server;
Determining whether an attack suspicious traffic to the protected server is detected; And
And setting a second path from the relay server to the replica server when the suspect traffic is detected. 제 1 항에 있어서,
상기 공격 의심 트래픽이 정상 트래픽인 것으로 판정되는 경우, 상기 제 1 경로를 재설정하는 단계를 더 포함하는, 경로 우회 방법.The method according to claim 1,
Further comprising resetting the first path if it is determined that the suspicious traffic is normal traffic. 제 2 항에 있어서,
상기 제 2 경로를 설정하는 단계는 상기 제 1 경로를 중단하는 것을 포함하는, 경로 우회 방법.3. The method of claim 2,
Wherein setting the second path comprises interrupting the first path. 제 3 항에 있어서,
상기 제 1 경로를 재설정하는 단계는 상기 제 2 경로를 중단하는 것을 포함하는, 경로 우회 방법.The method of claim 3,
Wherein resetting the first path comprises interrupting the second path. 제 1 항에 있어서,
상기 제 1 경로와 상기 제 2 경로에 있어서,
외부로부터 상기 중계 서버까지의 경로는 동일하고,
상기 중계 서버로부터 상기 보호 대상 서버까지의 경로와, 상기 중계 서버로부터 상기 복제 서버까지의 경로는 상이한, 경로 우회 방법.The method according to claim 1,
In the first path and the second path,
The path from the outside to the relay server is the same,
Wherein the path from the relay server to the protection target server is different from the path from the relay server to the replication server. 제 1 항에 있어서,
상기 제 1 경로의 설정 또는 상기 제 2 경로의 설정에 있어서, 외부로부터 상기 중계 서버까지의 경로는 유지되는, 경로 우회 방법.The method according to claim 1,
Wherein the route from the outside to the relay server is maintained in the setting of the first route or the setting of the second route. 제 1 항에 있어서,
상기 공격 의심 트래픽의 검출은 상기 제어기, 상기 보호 대상 서버, 또는 상기 제어기 집중형 네트워크에 포함되는 하나 이상의 스위치에 의해서 수행되는, 경로 우회 방법.The method according to claim 1,
Wherein detection of the suspicious traffic is performed by one or more switches included in the controller, the protected server, or the controller-intensive network. 제 2 항에 있어서,
상기 복제 서버에 의해서 상기 공격 의심 트래픽이 정상 트래픽인 것으로 판정되는, 경로 우회 방법.3. The method of claim 2,
And the duplicate server determines that the suspect traffic is normal traffic. 제어기 집중형 네트워크에서 경로 우회를 지원하는 제어기 장치에 있어서,
공격 탐지부; 및
경로 제어부를 포함하고,
상기 경로 제어부는 중계 서버를 경유하여 상기 보호 대상 서버까지의 제 1 경로를 설정하고;
상기 공격 탐지부는 상기 보호 대상 서버에 대한 공격 의심 트래픽이 검출되는지 여부를 판정하고;
상기 공격 탐지부에 의해서 상기 공격 의심 트래픽이 검출된 경우, 상기 경로 제어부는 상기 중계 서버를 경유하여 상기 복제 서버까지의 제 2 경로를 설정하는, 제어기 장치.1. A controller device supporting path bypass in a controller intensive network,
An attack detection unit; And
And a path control unit,
The path control unit sets a first path from the relay server to the protected server;
Wherein the attack detection unit determines whether an attack suspicious traffic to the protected server is detected;
And when the suspicious traffic is detected by the attack detection unit, the path control unit sets a second path from the relay server to the replication server. 제 9 항에 있어서,
상기 공격 탐지부에 의해서 상기 공격 의심 트래픽이 정상 트래픽인 것으로 판정되는 경우, 상기 경로 제어부는 상기 제 1 경로를 재설정하는, 제어기 장치.10. The method of claim 9,
Wherein the path control unit resets the first path when the attack detection unit determines that the suspect traffic is normal traffic. 제 10 항에 있어서,
상기 경로 제어부는 상기 제 2 경로를 설정할 때 상기 제 1 경로를 중단하는, 제어기 장치.11. The method of claim 10,
And the path control unit stops the first path when setting the second path. 제 11 항에 있어서,
상기 경로 제어부는 상기 상기 제 1 경로를 재설정할 때 상기 제 2 경로를 중단하는, 제어기 장치.12. The method of claim 11,
And the path control unit suspends the second path when resetting the first path. 제 9 항에 있어서,
상기 경로 제어부는,
상기 제 1 경로와 상기 제 2 경로에 있어서,
외부로부터 상기 중계 서버까지의 경로는 동일하고,
상기 중계 서버로부터 상기 보호 대상 서버까지의 경로와, 상기 중계 서버로부터 상기 복제 서버까지의 경로는 상이하도록 경로를 설정하는, 제어기 장치.10. The method of claim 9,
The path control unit,
In the first path and the second path,
The path from the outside to the relay server is the same,
And sets a path such that a path from the relay server to the protection target server and a path from the relay server to the replication server are different. 제 9 항에 있어서,
상기 경로 제어부는,
상기 제 1 경로의 설정 또는 상기 제 2 경로의 설정에 있어서, 외부로부터 상기 중계 서버까지의 경로는 유지되도록 경로를 설정하는, 제어기 장치.10. The method of claim 9,
The path control unit,
And sets the path so that the path from the outside to the relay server is maintained in the setting of the first path or the setting of the second path. 제 9 항에 있어서,
상기 공격 탐지부는 상기 공격 의심 트래픽을 직접 검출하거나, 또는
상기 공격 탐지부는, 상기 보호 대상 서버 또는 상기 제어기 집중형 네트워크에 포함되는 하나 이상의 스위치에 의해서 공격 의심 트래픽 검출을 지시하는 메시지를 수신함으로써 상기 공격 의심 트래픽을 검출하는, 제어기 장치.10. The method of claim 9,
The attack detection unit may directly detect the suspect traffic,
Wherein the attack detection unit detects the suspicious traffic by receiving a message indicating an attack suspicious traffic detection by the at least one switch included in the protected server or the controller intensive network. 제 10 항에 있어서,
상기 공격 탐지부는, 상기 복제 서버에 의해서 상기 공격 의심 트래픽이 정상 트래픽인 것을 지시하는 메시지를 수신함으로써, 상기 정상 트래픽 여부를 판정하는, 제어기 장치.11. The method of claim 10,
Wherein the attack detection unit determines whether the normal traffic is received by receiving a message indicating that the suspect traffic is normal traffic by the replication server. 중계 서버에 의해서 경로 우회를 지원하는 방법에 있어서,
보호 대상 서버까지의 제 1 경로 설정에 따라서, 상기 보호 대상 서버로의 트래픽을 상기 제 1 경로를 통하여 전달하는 단계; 및
복제 서버에 대한 제 2 경로 설정에 따라서, 상기 복제 서버로의 트래픽을 상기 제 2 경로를 통하여 전달하는 단계를 포함하고,
상기 제 1 경로 설정 또는 상기 제 2 경로 설정에 있어서, 외부로부터 상기 중계 서버까지의 경로는 유지되는, 경로 우회 지원 방법.A method for supporting a bypass of a path by a relay server,
Delivering traffic to the protected server through the first path according to a first path setup to the protected server; And
And forwarding traffic to the replica server via the second path in accordance with a second path setting to the replica server,
Wherein the path from the outside to the relay server is maintained in the first path setting or the second path setting. 제 17 항에 있어서,
상기 제 1 경로의 재설정에 따라서, 상기 보호 대상 서버로의 트래픽을 상기 제 1 경로를 통하여 전달하는 단계를 더 포함하는, 경로 우회 지원 방법.18. The method of claim 17,
And forwarding the traffic to the protected server through the first path in accordance with the resetting of the first path. 경로 우회를 지원하는 중계기 장치에 있어서,
경로 설정 지시 수신부;
트래픽 수신부;
트래픽 송신부를 포함하고,
상기 경로 설정 지시 수신부에서 보호 대상 서버까지의 제 1 경로 설정 지시를 수신하면, 상기 트래픽 수신부 및 상기 트래픽 송신부는 상기 보호 대상 서버로의 트래픽을 상기 제 1 경로를 통하여 전달하고,
상기 경로 설정 지시 수신부에서 복제 서버까지의 제 2 경로 설정 지시를 수신하면, 상기 트래픽 수신부 및 상기 트래픽 송신부는 상기 복제 서버로의 트래픽을 상기 제 2 경로를 통하여 전달하고,
상기 제 1 경로 설정 또는 상기 제 2 경로 설정에 있어서, 외부로부터 상기 중계기 장치까지의 경로는 유지되는, 중계기 장치.A repeater device supporting path bypass, comprising:
A path setting instruction receiving unit;
A traffic receiver;
And a traffic transmission unit,
Wherein the traffic receiving unit and the traffic transmitting unit transmit traffic to the protected server through the first path when receiving the first path setting instruction from the path setting instruction receiving unit to the protection target server,
Wherein the traffic receiving unit and the traffic transmitting unit transmit traffic to the replica server through the second path when receiving the second path setting instruction from the path setting instruction receiving unit to the replica server,
Wherein in the first path setting or the second path setting, the path from the outside to the repeater device is maintained. 제 19 항에 있어서,
상기 경로 설정 지시 수신부에서 상기 제 1 경로의 재설정 지시를 수신하면, 상기 트래픽 수신부 및 상기 트래픽 송신부는 상기 보호 대상 서버로의 트래픽을 상기 제 1 경로를 통하여 전달하는, 중계기 장치.20. The method of claim 19,
Wherein the traffic receiving unit and the traffic transmitting unit transmit traffic to the protected server through the first path when receiving the reset instruction of the first path from the path setting instruction receiving unit.
KR1020170048322A 2017-04-14 2017-04-14 Method and apparatus for traffic detour for server protection KR20180115883A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170048322A KR20180115883A (en) 2017-04-14 2017-04-14 Method and apparatus for traffic detour for server protection

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170048322A KR20180115883A (en) 2017-04-14 2017-04-14 Method and apparatus for traffic detour for server protection

Publications (1)

Publication Number Publication Date
KR20180115883A true KR20180115883A (en) 2018-10-24

Family

ID=64132480

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170048322A KR20180115883A (en) 2017-04-14 2017-04-14 Method and apparatus for traffic detour for server protection

Country Status (1)

Country Link
KR (1) KR20180115883A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230097834A (en) * 2021-12-24 2023-07-03 주식회사 딥이티 Apparatus and method for preventing abnormal data access based on artificial intelligence

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230097834A (en) * 2021-12-24 2023-07-03 주식회사 딥이티 Apparatus and method for preventing abnormal data access based on artificial intelligence

Similar Documents

Publication Publication Date Title
TWI727059B (en) Method and device for processing network traffic
US20200280514A1 (en) Packet forwarding method, apparatus, and system
KR101270041B1 (en) System and method for detecting arp spoofing
EP2991292B1 (en) Network collaborative defense method, device and system
US20160050182A1 (en) Diverting Traffic for Forensics
US20090172156A1 (en) Address security in a routed access network
KR100807933B1 (en) System and method for detecting arp spoofing and computer readable storage medium storing program for detecting arp spoofing
JP2007036374A (en) Packet transfer apparatus, communication network, and packet transfer method
KR20080090834A (en) Network switch and method for protecting ip address conflict thereof
JP2008177714A (en) Network system, server, ddns server, and packet relay device
JP2008520159A (en) IP management method and apparatus for protecting / blocking a specific IP address on a network or a specific apparatus
US20130191463A1 (en) Managing address validation states in switches snooping ipv6
US8307442B2 (en) Method of preventing infection propagation in a dynamic multipoint virtual private network
WO2013189414A2 (en) Automatic network topology acquisition method and system, and network query and management system
WO2020057445A1 (en) Communication system, method, and device
US8612626B2 (en) Group member detection among nodes of a network
KR20160002269A (en) SDN-based ARP Spoofing Detection apparatus and method therefor
JPWO2012014509A1 (en) Unauthorized access blocking control method
KR101710385B1 (en) Method, apparatus and computer program for managing arp packet
JP2011502432A (en) Network location service
US20190014081A1 (en) Apparatus for supporting communication between separate networks and method for the same
US20050198242A1 (en) System and method for detection/interception of IP collision
CN102546587B (en) Prevent gateway system Session Resources by the method that maliciously exhausts and device
WO2003027858A1 (en) Content server defending system
Bi et al. Source address validation improvement (SAVI) solution for DHCP