KR20180130196A - 네트워크 기기에서의 보안 방법 및 장치 - Google Patents

네트워크 기기에서의 보안 방법 및 장치 Download PDF

Info

Publication number
KR20180130196A
KR20180130196A KR1020170065975A KR20170065975A KR20180130196A KR 20180130196 A KR20180130196 A KR 20180130196A KR 1020170065975 A KR1020170065975 A KR 1020170065975A KR 20170065975 A KR20170065975 A KR 20170065975A KR 20180130196 A KR20180130196 A KR 20180130196A
Authority
KR
South Korea
Prior art keywords
segment
data
segments
information
unit
Prior art date
Application number
KR1020170065975A
Other languages
English (en)
Other versions
KR101993648B1 (ko
Inventor
손태식
권성문
Original Assignee
아주대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아주대학교산학협력단 filed Critical 아주대학교산학협력단
Priority to KR1020170065975A priority Critical patent/KR101993648B1/ko
Publication of KR20180130196A publication Critical patent/KR20180130196A/ko
Application granted granted Critical
Publication of KR101993648B1 publication Critical patent/KR101993648B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

네트워크 기기에서의 보안 방법을 개시한다. 본 발명의 일 실시예에 따른 네트워크 보안 방법은 수신부가 데이터의 전송을 요청하는 신호인 데이터요청신호에 대응하여, 외부기기로부터 복수의 세그먼트로 구성되는 데이터인 수신데이터를 수신하는 단계; 복구부가 상기 복수의 세그먼트 각각에 대한 헤더 정보 및 식별 정보 중 적어도 하나를 포함하는 데이터베이스에 기초하여, 상기 복수의 세그먼트 중 손상된 세그먼트를 복구하는 단계; 및 재조립부가 상기 복수의 세그먼트를 재조립하여 재조립데이터를 생성하는 단계를 포함한다.

Description

네트워크 기기에서의 보안 방법 및 장치{METHOD AND APPARATUS FOR SECURITY IN NETWORK DEVICE}
본 발명은 네트워크 기기에서의 보안 방법 및 장치에 관한 것으로, 보다 상세하게는 네트워크 기기의 가용성을 저하시키는 재조립 공격에 대한 복구를 수행하고, 직접적인 패치의 수행없이 가상의 패치를 통해 네트워크 기기에 대한 외부 공격을 탐지함으로써 보안을 향상시키는 방법 및 장치에 관한 것이다.
산업제어시스템을 비롯한 네트워크 기기는 기존에 폐쇄적으로 운영됨에 따라 소프트웨어 취약점 등 보안에 대한 인식 수준이 미비했으나, IIoT (Industrial Internet of Things)와 같이 산업제어시스템 환경의 연결성이 증대되면서 보안에 대한 필요성도 역시 증대되고 있다.
특히, Automatak사의 Project Robus에서 네트워크 기기에서 사용되는 통신 프로토콜(예: DNP3, IEC 61850, Modbus, etc.)이 구현된 소프트웨어 제품에서 31개의 취약점을 찾아내었으며 조작된 패킷으로 기기의 제어권한을 탈취하거나 정상 동작하지 못하게 하는 결과를 초래하였다.
이를 위해 각 제품 사에서 보안 펌웨어를 제공하였으나 가용성이 중시되는 네트워크 기기의 특징상 장비를 정지 시키기 힘들뿐더러 잠재적 문제가 파악되지 않은 새로운 펌웨어로 패치하기에는 위험 부담이 크므로 장비에 영향을 주지 않는 보안 패치 방안이 필요하게 되었다.
또한, 이외에도 이와 같은 잠재적인 소프트웨어 및 프로토콜 취약성을 이용한 공격에 대한 보안 방안이 필요한 상황이 발생하고 있으며, 특히 재조립 관련 필드의 값을 조작한 공격은 수신된 데이터의 재조립을 불가능하게 하여 네트워크 기기의 가용성을 저하시킬 수 있다.
따라서, 산업제어시스템과 같은 네트워크 기기에 대해 재조립 공격에 대한 복구를 수행하여 가용성을 향상시키고, 직접적인 패치의 수행없이 가상의 패치를 통해 네트워크 기기에 대한 공격을 탐지함으로써 보안을 향상시키는 방법 및 장치에 관한 필요성이 대두되고 있다.
관련 선행기술로는 대한민국 등록특허공보 제10-1383069호(발명의 명칭: 네트워크 이상상태 탐지 장치 및 방법, 공개일자: 2014년 4월 2일)가 있다.
본 발명은 네트워크 기기의 가용성을 저하시키는 재조립 공격에 대한 복구를 수행하고, 직접적인 패치의 수행없이 가상의 패치를 통해 네트워크 기기에 대한 공격을 탐지함으로써 보안을 향상시키는 방법 및 장치를 제공하고자 한다.
본 발명이 해결하고자 하는 과제는 이상에서 언급한 과제(들)로 제한되지 않으며, 언급되지 않은 또 다른 과제(들)은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 실시예에 따른 네트워크 보안 방법은 수신부가 데이터의 전송을 요청하는 신호인 데이터요청신호에 대응하여, 외부기기로부터 복수의 세그먼트로 구성되는 데이터인 수신데이터를 수신하는 단계; 복구부가 상기 복수의 세그먼트 각각에 대한 헤더 정보 및 식별 정보 중 적어도 하나를 포함하는 데이터베이스에 기초하여, 상기 복수의 세그먼트 중 손상된 세그먼트를 복구하는 단계; 및 재조립부가 상기 복수의 세그먼트를 재조립하여 재조립데이터를 생성하는 단계를 포함한다.
바람직하게는, 상기 복수의 세그먼트 중 손상된 세그먼트를 복구하는 단계는 상기 데이터베이스에 포함된 헤더 정보를 이용하여, 상기 복수의 세그먼트 중에서 시작세그먼트를 검출하는 단계; 상기 데이터베이스에 포함된 식별 정보를 이용하여, 상기 복수의 세그먼트 중에서 상기 시작세그먼트와 종료세그먼트를 제외한 나머지 적어도 하나의 세그먼트인 중간세그먼트를 검출하는 단계; 상기 복수의 세그먼트 각각의 크기에 기초하여, 상기 복수의 세그먼트 중에서 상기 종료세그먼트를 검출하는 단계; 및 상기 시작세그먼트, 상기 적어도 하나의 중간세그먼트 및 상기 종료세그먼트에 기초하여, 상기 복수의 세그먼트 각각에 포함된 시작세그먼트 여부(FIR), 종료세그먼트 여부(FIN) 및 일련번호(SEQ) 중 적어도 하나에 대한 정보를 복구하는 단계를 포함할 수 있다.
바람직하게는, 상기 식별 정보는 상기 적어도 하나의 중간세그먼트의 순서를 식별하기 위한 정보일 수 있다.
바람직하게는, 상기 수신데이터를 수신하는 단계는 현재까지 수신된 적어도 하나의 세그먼트의 크기의 총합, 상기 수신데이터의 크기 및 세그먼트당 최대 크기에 기초하여, 종료세그먼트의 수신 여부를 판단할 수 있다.
바람직하게는, 가상패치부가 화이트리스트 규칙 및 블랙리스트 규칙 중 적어도 하나에 기초하여, 상기 재조립데이터가 비정상 데이터인지 판단하는 단계를 더 포함할 수 있다.
바람직하게는, 알람부가 상기 재조립데이터가 비정상 데이터이면, 상기 재조립데이터가 비정상 데이터인 원인에 대한 정보를 포함하는 알람정보를 생성하는 단계를 더 포함할 수 있다.
또한, 본 발명의 일 실시예에 따른 네트워크 보안 장치는 데이터의 전송을 요청하는 신호인 데이터요청신호에 대응하여, 외부기기로부터 복수의 세그먼트로 구성되는 데이터인 수신데이터를 수신하는 수신부; 상기 복수의 세그먼트 각각에 대한 헤더 정보 및 식별 정보 중 적어도 하나를 포함하는 데이터베이스에 기초하여, 상기 복수의 세그먼트 중 손상된 세그먼트를 복구하는 복구부; 및 상기 복수의 세그먼트를 재조립하여 재조립데이터를 생성하는 재조립부를 포함한다.
바람직하게는, 상기 복구부는 상기 데이터베이스에 포함된 헤더 정보를 이용하여, 상기 복수의 세그먼트 중에서 시작세그먼트를 검출하고, 상기 데이터베이스에 포함된 식별 정보를 이용하여, 상기 복수의 세그먼트 중에서 상기 시작세그먼트와 종료세그먼트를 제외한 나머지 적어도 하나의 세그먼트인 중간세그먼트를 검출하고, 상기 복수의 세그먼트 각각의 크기에 기초하여, 상기 복수의 세그먼트 중에서 상기 종료세그먼트를 검출하고, 상기 시작세그먼트, 상기 적어도 하나의 중간세그먼트 및 상기 종료세그먼트에 기초하여, 상기 복수의 세그먼트 각각에 포함된 시작세그먼트 여부(FIR), 종료세그먼트 여부(FIN) 및 일련번호(SEQ) 중 적어도 하나에 대한 정보를 복구할 수 있다.
바람직하게는, 상기 식별 정보는 상기 적어도 하나의 중간세그먼트의 순서를 식별하기 위한 정보일 수 있다.
바람직하게는, 상기 수신부는 현재까지 수신된 적어도 하나의 세그먼트의 크기의 총합, 상기 수신데이터의 크기 및 세그먼트당 최대 크기에 기초하여, 종료세그먼트의 수신 여부를 판단할 수 있다.
바람직하게는, 화이트리스트 규칙 및 블랙리스트 규칙 중 적어도 하나에 기초하여, 상기 재조립데이터가 비정상 데이터인지 판단하는 가상패치부를 더 포함할 수 있다.
바람직하게는, 상기 재조립데이터가 비정상 데이터이면, 상기 재조립데이터가 비정상 데이터인 원인에 대한 정보를 포함하는 알람정보를 생성하는 알람부를 더 포함할 수 있다.
본 발명의 네트워크 보안 방법 및 장치는 네트워크 기기에 대한 직접적인 패치의 수행없이, 가상의 패치를 통해 네트워크 기기의 보안을 향상시킴으로써 네트워크 기기의 가용성을 극대화할 수 있는 효과가 있다.
또한, 본 발명은 복수의 세그먼트로 나뉘어 전송되는 데이터의 순서가 조작 또는 손상되더라도, 그 조작 또는 손상된 세그먼트를 복구할 수 있는 효과가 있다.
또한, 본 발명은 블랙리스트 규칙 및 화이트리스트 규칙을 이용하여, 네트워크 기기에 전송되는 비정상 데이터를 탐지할 수 있는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 네트워크 보안 방법을 설명하기 위한 흐름도이다.
도 2는 본 발명의 다른 실시예에 따른 네트워크 보안 방법을 설명하기 위한 흐름도이다.
도 3은 본 발명의 일 실시예에 따른 손상된 세그먼트를 복구하는 방법을 설명하기 위한 흐름도이다.
도 4는 본 발명의 일 실시예에 따른 네트워크 보안 장치를 설명하기 위한 블록도이다.
도 5 내지 6은 본 발명의 일 실시예에 따른 각각의 세그먼트의 시작세그먼트 여부(FIR), 종료세그먼트 여부(FIN) 및 일련번호(SEQ) 정보에 발생하는 손상에 대하여 설명하기 위한 도면이다.
도 7 내지 9는 본 발명의 일 실시예에 따른 복수의 세그먼트를 재조립하는 과정을 설명하기 위한 도면이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일 실시예에 따른 네트워크 보안 방법을 설명하기 위한 흐름도이다.
가상패치(virtual patch)는 네트워크 기기(예, 산업제어시스템 기기)의 내부에 직접적으로 적용하는 패치가 아니며, 외부 네트워크와 그 네트워크 기기의 사이에서 적용하여 그 네트워크 기기에 대한 외부 공격을 탐지하기 위한 패치이다.
이때, 재조립 공격에 대한 복구 및 가상패치와 같은 네트워크 보안 방법이 적용된 보안 장치는 외부 네트워크와 그 네트워크 기기의 사이에 위치하여 외부 공격을 탐지함으로써, 그 네트워크 기기를 외부 공격으로부터 보호하는 역할을 수행할 수 있다. 이를 위해 보안 장치는 수신부, 복구부 및 재조립부를 포함할 수 있다.
또한, 가상패치가 업데이트되는 경우에도, 그 네트워크 기기의 운영을 중지할 필요 없이 보안 장치만을 업데이트함으로써, 그 네트워크 기기의 가용성을 보장할 수 있다.
단계 S110에서는, 수신부가 데이터의 전송을 요청하는 신호인 데이터요청신호에 대응하여, 외부기기로부터 복수의 세그먼트로 구성되는 데이터인 수신데이터를 수신한다.
이때, 데이터요청신호는 네트워크 기기와 외부기기 간에 정의된 통신 프로토콜에 미리 정의된 신호로써, 네트워크 기기로부터 외부기기에 전송된 신호일 수 있다. 바꾸어 말하면, 네트워크 기기는 외부기기로부터 프로토콜에 정의된 특정한 데이터를 수신하기 위하여, 외부기기에게 데이터요청신호를 전송할 수 있다.
또한, 그 데이터요청신호에 따라, 네트워크 기기는 그 외부기기로부터 수신데이터를 수신할 수 있다. 이때, 그 수신데이터는 네트워크 기기에 도달하기에 앞서 외부 네트워크와 네트워크 기기의 사이에 위치한 수신부에게 먼저 도달할 수 있다.
한편, 세그먼트(segment)는 컴퓨터 간에 데이터를 나누어서 전송하기 위한 단위로서, 그 프로토콜 등에 의해 미리 정의될 수 있다. 또한, 컴퓨터 간에 전송되는 데이터를 정해진 크기(즉, 패킷의 최대 크기)에 따라 분할한 패킷(packet)과 같은 의미일 수 있다.
다른 실시예에서는, 수신부가 수신데이터를 수신할 때, 현재까지 수신된 적어도 하나의 세그먼트의 크기의 총합, 수신데이터의 크기 및 세그먼트당 최대 크기에 기초하여, 종료세그먼트의 수신 여부를 판단할 수 있다.
즉, 수신부는 수학식 1을 이용하여 종료세그먼트의 수신여부를 판단할 수 있다. 보다 구체적으로, 수신부는 수학식 1의 부등식이 성립하는 경우, 이제 수신되는 세그먼트는 종료세그먼트임을 판단할 수 있다.
[수학식 1]
Figure pat00001
여기서, R은 현재까지 수신된 적어도 하나의 세그먼트의 크기의 총합이고, T는 수신데이터의 크기이다.
예컨대, 그 수신데이터의 총 크기는 750바이트이고, 현재까지 수신된 적어도 하나의 세그먼트의 크기의 총합이 700바이트이고, 세그먼트당 최대 크기가 100바이트일 수 있다. 이때, 수신해야 하는 데이터의 크기가 50바이트로 세그먼트당 최대 크기인 100바이트보다 작으므로, 수신부는 이제 수신되는 세그먼트는 종료세그먼트임을 판단할 수 있다.
이때, 그 수신데이터의 총 크기는 전송된 데이터요청신호의 종류에 따라 프로토콜 등에 의하여 미리 결정될 수 있으며, 현재까지 수신된 적어도 하나의 세그먼트의 크기의 총합은 수신된 각각의 세그먼트의 크기를 합하여 결정될 수 있으며, 세그먼트당 최대 크기는 프로토콜 등에 의하여 미리 결정될 수 있다.
단계 S120에서는, 복구부가 그 복수의 세그먼트 각각에 대한 헤더 정보 및 식별 정보 중 적어도 하나를 포함하는 데이터베이스에 기초하여, 그 복수의 세그먼트 중 손상된 세그먼트를 복구한다.
여기서, 데이터베이스는 외부기기로부터 네트워크 기기로 전송되는 정상적인 데이터로 구성된 정상 트래픽으로부터 데이터 재조립에 필요한 정보를 추출하여 생성될 수 있다. 예를 들어, 데이터 재조립에 필요한 정보는 데이터의 헤더에 포함되는 필드값 및 그 필드값의 위치, 세그먼트의 순서를 구분하기 위해 규칙적으로 사용되는 식별값 및 그 식별값의 위치, 데이터의 종류에 따라 전송되는 세그먼트의 총 개수 등이 될 수 있다.
또한, 헤더 정보는 외부기기로부터 네트워크 기기로 전송되는 데이터의 헤더(예, 기능과 관련된 function code, 데이터의 종류에 관한 data type 등)에 포함되는 필드의 값 및 위치에 대한 정보일 수 있다. 또한, 식별 정보는 각각의 세그먼트를 식별하기 위한 식별값 및 그 식별값의 위치에 대한 정보일 수 있다. 또한, 데이터베이스는 외부기기로부터 네트워크 기기로 전송되는 데이터의 종류에 따라 전송되는 세그먼트의 총 개수에 대한 정보를 포함할 수 있다.
이때, 복구부는 데이터베이스에 기초하여 그 복수의 세그먼트를 분석한 결과 손상된 세그먼트가 검출되지 않는 경우, 세그먼트를 복구하는 과정을 거치지 않고, 단계 S130을 바로 수행할 수 있다.
한편, 복구부가 그 손상을 복구하는 자세한 방법에 관하여는 도 3에 대한 설명에서 구체적으로 후술한다.
마지막으로 단계 S130에서는, 재조립부가 그 복수의 세그먼트를 재조립하여 재조립데이터를 생성한다.
예컨대, 재조립부는 시작세그먼트, 종료세그먼트 및 나머지 중간 세그먼트를 이용하여 재조립함으로써, 재조립데이터를 생성할 수 있다. 이때, 재조립부는 단계 S120에서 복구된 세그먼트를 이용하여 재조립데이터를 생성할 수 있다.
그러나, 만일 재조립 과정에서 특정한 세그먼트가 누락된 것이 발견될 경우, 재조립부는 재조립데이터를 생성하지 않을 수 있다. 또한, 재조립부는 그 세그먼트 누락에 대한 알람정보가 생성되도록 하여 네트워크 기기의 관리자에게 전송할 수 있다.
이와 같이, 본 발명의 일 실시예에 따른 네트워크 보안 방법은 복수의 세그먼트로 나뉘어 전송되는 데이터의 순서가 조작 또는 손상되더라도, 조작 또는 손상된 세그먼트를 복구할 수 있는 효과가 있다.
도 2는 본 발명의 다른 실시예에 따른 네트워크 보안 방법을 설명하기 위한 흐름도이다.
단계 S210에서는, 수신부가 데이터의 전송을 요청하는 신호인 데이터요청신호에 대응하여, 외부기기로부터 복수의 세그먼트로 구성되는 데이터인 수신데이터를 수신한다.
단계 S220에서는, 복구부가 그 복수의 세그먼트 각각에 대한 헤더 정보 및 식별 정보 중 적어도 하나를 포함하는 데이터베이스에 기초하여, 그 복수의 세그먼트 중 손상된 세그먼트를 복구한다
단계 S230에서는, 재조립부가 그 복수의 세그먼트를 재조립하여 재조립데이터를 생성한다.
마지막으로 단계 S240에서는, 가상패치부가, 화이트리스트 규칙 및 블랙리스트 규칙 중 적어도 하나에 기초하여, 그 재조립데이터가 비정상 데이터인지 판단한다.
여기서, 화이트리스트 규칙(whitelist rule)은 외부기기로부터 네트워크 기기로 전송되는 정상 데이터에 관련된 정보를 수집하여 구축한 화이트리스트를 기반으로 하여, 그 재조립데이터가 그 화이트리스트에 포함될 경우 그 재조립데이터가 그 규칙에 위반되지 않는 것으로 판단하는 규칙일 수 있다.
반면에, 블랙리스트 규칙(blacklist rule)은 외부기기로부터 네트워크 기기로 전송되는 비정상 데이터에 관련된 정보를 수집하여 구축한 블랙리스트를 기반으로 하여, 그 재조립데이터가 그 블랙리스트에 포함될 경우 그 재조립데이터가 그 규칙에 위반되는 것으로 판단하는 규칙일 수 있다.
즉, 가상패치부는 그 재조립데이터가 화이트리스트에 포함되지 않았거나, 블랙리스트에 포함되는 경우, 비정상 데이터로 판단할 수 있다. 하지만, 가상패치부는 그 재조립데이터가 화이트리스트에 포함되지 않은 경우와 블랙리스트에 포함된 경우를 구분하여 상이하게 처리할 수 있다.
예컨대, 가상패치부는 그 재조립데이터가 블랙리스트에 포함된 경우에는, 그 재조립데이터를 폐기하여 네트워크 기기에 전달되지 않도록 할 수 있다. 이는, 그 재조립데이터는 네트워크 기기에 치명적인 문제를 야기할 수 있는 공격일 수도 있기 때문이다.
반면에, 가상패치부는 그 재조립데이터가 블랙리스트 및 화이트리스트에 포함되지 않은 경우에는, 그 재조립데이터를 네트워크 기기에게 전달할 수 있다. 이는, 비록 그 재조립데이터가 화이트리스트에 포함되지는 않았지만, 블랙리스트에 포함된 것은 아니므로 위험한 데이터는 아닐 수 있기 때문이다.
다른 실시예에서는, 알람부가 그 재조립데이터가 비정상 데이터이면, 그 재조립데이터가 비정상 데이터인 원인에 대한 정보를 포함하는 알람정보를 생성할 수 있다.
한편, 알람부는 그 재조립데이터가 비정상 데이터이면, 비정상 데이터로 판단된 원인에 대한 정보를 포함하는 알람정보를 생성하여, 그 네트워크 기기의 관리자에게 전송할 수 있다. 이때, 비정상 데이터의 원인은 그 재조립데이터가 블랙리스트에 포함되었거나, 화이트리스트에 포함되지 않은 것일 수 있다.
보다 구체적으로, 가상패치부는 그 재조립데이터가 블랙리스트에 포함된 경우에는, 그 재조립데이터를 폐기하여 네트워크 기기에 전달하지 않는 한편, 알람부는 블랙리스트에 포함된 비정상 데이터가 수신된 것을 원인으로 하는 알람정보를 생성할 수 있다.
또한, 가상패치부는 그 재조립데이터가 블랙리스트 및 화이트리스트에 포함되지 않은 경우에는, 그 재조립데이터를 네트워크 기기에게 전달하는 한편, 알람부는 화이트리스트에 포함되지 않은 비정상 데이터가 수신된 것을 원인으로 하여 알람정보를 생성할 수 있다.
이와 같이, 본 발명의 다른 실시예에 따른 네트워크 보안 방법은 블랙리스트 규칙 및 화이트리스트 규칙을 이용하여, 네트워크 기기에 전송되는 데이터가 공격을 위한 비정상 데이터인지 탐지할 수 있는 효과가 있다.
도 3은 본 발명의 일 실시예에 따른 손상된 세그먼트를 복구하는 방법을 설명하기 위한 흐름도이다.
예컨대, 도 6을 참조하면, 총 4개의 세그먼트에 대하여 FIR, FIN 및 Seg#(즉, SEQ)값이 정상적인 경우(Normal)가 나타나 있다. 또한, 각각 FIN 및 FIR 값이 0에서 1로 또는 1에서 0으로 손상된 경우도 역시 나타나 있다.
단계 S310에서는, 복구부가 데이터베이스에 포함된 헤더 정보를 이용하여, 복수의 세그먼트 중에서 시작세그먼트를 검출한다.
예컨대, 도 7을 참조하면, 네트워크 기기는 특정한 수신데이터를 수신하기 위하여 그 특정한 데이터에 대응되는 데이터요청신호를 외부기기에게 전송할 수 있다. 이때, 그 특정한 데이터요청신호에 대응되는 수신데이터의 헤더 정보에 포함된 function code 필드값이 0x81라면, 복구부는 복수의 세그먼트 중에서 function code 필드값이 0x81인 세그먼트를 찾음으로써 시작세그먼트를 검출할 수 있다.
이때, 복구부는 function code 뿐만 아니라 헤더 정보에 포함된 다양한 필드값의 정보를 이용함으로써, 시작세그먼트의 검출 정확성을 향상시킬 수 있다.
한편, 복구부는 request 메시지 전송 이후 수신이 예상되는 response 외에도 자발적 response(즉, 비동기적 response) 등 주요 메시지를 그 예상되는 response 전에 전송 받을 수 있으며, 이 또한 처리할 수 있어야 한다. 이는, 단계 S310에서 function code를 검사하여 특정 처리 하여야 하는 메시지인 경우 메시지를 수용하고 이외의 경우 데이터요청신호에 대응되는 응답이 아닌 것으로 간주하여 그 세그먼트를 무시하는 방법으로 처리될 수 있다.
단계 S320에서는, 복구부가 데이터베이스에 포함된 식별 정보를 이용하여, 복수의 세그먼트 중에서 시작세그먼트와 종료세그먼트를 제외한 나머지 적어도 하나의 세그먼트인 중간세그먼트를 검출한다.
즉, 복구부는 데이터베이스에 저장된 식별 정보를 이용하여, 적어도 하나의 중간세그먼트 각각의 순서를 결정할 수 있다. 또한, 도 8을 참조하면, 복구부는 수신된 시작세그먼트와 중간세그먼트의 총 크기가 수신데이터의 총 크기에서 세그먼트당 최대 크기를 뺀 값보다 작은 동안은 계속하여 중간세그먼트를 검출하고 그 순서를 결정할 수 있다.
한편, 복구부가 적어도 하나의 중간세그먼트 각각의 순서를 결정하는 자세한 방법에 대하여는 아래의 실시예에 대한 설명에서 구체적으로 후술한다.
다른 실시예에서는, 식별 정보는 적어도 하나의 중간세그먼트의 순서를 식별하기 위한 정보일 수 있다.
즉, 시작세그먼트와 종료세그먼트를 제외한 나머지 적어도 하나의 중간세그먼트는 전송되는 데이터를 정해진 크기에 따라 순서대로 나열한 것이기 때문에, 그 적어도 하나의 중간세그먼트 간에는 몇 번째 세그먼트인지 구분을 하기 어려울 수 있다. 따라서, 각각의 중간세그먼트는 이를 구분하기 위하여 규칙적으로 사용되는 특정한 식별값을 포함할 수 있다. 또한, 각각의 중간세그먼트들이 모두 순서를 결정할 수 있는 식별값을 포함하도록 프로토콜을 설계하는 것이 보다 바람직할 수 있다.
예컨대, 각각의 중간세그먼트는 정해진 위치에 순차적으로 증가하는 일련번호의 정보를 포함할 수 있으며, 그 일련번호에 대한 정보가 식별 정보에 포함될 수 있다. 또한, 어떤 중간세그먼트는 세그먼트별로 정해진 규칙에 따라 정해진 위치에 특정값을 포함할 수 있으며, 그 정해진 규칙에 대한 정보가 식별 정보에 포함될 수 있다.
이때, 복구부는 그 데이터베이스에 저장된 식별 정보를 이용하여 적어도 하나의 중간세그먼트의 순서를 식별할 수 있다.
단계 S330에서는, 복구부가 복수의 세그먼트 각각의 크기에 기초하여, 그 복수의 세그먼트 중에서 종료세그먼트를 검출한다.
예컨대, 수신데이터가 총 10개의 세그먼트로 구성되어 있고, 1개 세그먼트의 최대 크기가 100바이트일 때, 9개의 세그먼트의 크기가 100바이트이고, 1개의 세그먼트의 크기가 50바이트일 수 있다. 이때, 복구부는 그 50바이트 크기의 세그먼트를 종료세그먼트로 검출할 수 있다.
이는, 일반적으로 전송되는 세그먼트의 개수를 최소화하기 위하여 최대의 크기를 가지도록 세그먼트를 생성하여 데이터를 전송하는 경우가 많기 때문에, 그 최대의 크기보다 작은 크기의 세그먼트는 종료세그먼트로 볼 수 있기 때문이다.
한편, 도 9를 참조하면, 복구부는 수신데이터의 크기와 수신된 복수의 세그먼트의 크기의 총합이 같아질 경우, 수신데이터의 수신이 완료된 것으로 판단할 수 있다.
마지막으로 단계 S340에서는, 복구부가 시작세그먼트, 적어도 하나의 중간세그먼트 및 종료세그먼트에 기초하여, 복수의 세그먼트 각각에 포함된 시작세그먼트 여부(FIR), 종료세그먼트 여부(FIN) 및 일련번호(SEQ) 중 적어도 하나에 대한 정보를 복구한다.
예컨대, 시작세그먼트 여부(FIR), 종료세그먼트 여부(FIN) 및 일련번호(SEQ)에 대한 정보를 모두 포함하는 1Byte(8bit)의 데이터가 각각의 세그먼트의 정해진 위치에 포함될 수 있다. 이때, FIR는 1일 때 시작세그먼트를 나타내고, 0일 때 시작세그먼트가 아님을 나타낼 수 있다. 또한, FIN는 1일 때 종료세그먼트를 나타내고, 0일 때 종료세그먼트가 아님을 나타낼 수 있다. 또한, SEQ는 전송되는 복수의 세그먼트 중에서 몇 번째 세그먼트인지를 나타낼 수 있다.
또한, 도 5를 참조하면, 일반적인 네트워크 기기가 FIR, FIN 및 SEQ값을 이용하여 데이터를 수신하여 동작하는 방식이 나타나 있다. 즉, 일반적인 네트워크 기기는 FIR, FIN 및 SEQ값에 따라 도 5와 같이 정해진 규칙에 의해 동작하게 되며, 만일 1bit라도 FIR, FIN 및 SEQ값이 조작되거나 손상되면 복수의 세그먼트로 구성되는 수신데이터가 사용할 수 없게 될 수 있다.
그러나, 복구부는 앞서 검출된 시작세그먼트, 중간세그먼트, 종료세그먼트 각각에 대하여 FIR, FIN 및 SEQ값을 분석하여, 만일 FIR, FIN 및 SEQ값이 손상된 경우, 그 손상된 값을 복구할 수 있다.
예컨대, 복구부는 시작세그먼트의 FIR값이 1, FIN값이 0, SEQ값이 1이 아닌 경우, FIR값이 1, FIN값이 0, SEQ값이 1이 되도록 복구할 수 있다. 또한, 복구부는 중간세그먼트의 FIR값이 0, FIN값이 0, SEQ값이 N(N은 자연수)이 아닌 경우, FIR값이 0, FIN값이 0, SEQ값이 N이 되도록 복구할 수 있다. 이때, N은 식별 정보에 따라 결정된 세그먼트의 순서를 나타내는 값일 수 있다. 또한, 복구부는 종료세그먼트의 FIR값이 0, FIN값이 1, SEQ값이 M(M은 세그먼트의 총 개수)이 아닌 경우, FIR값이 0, FIN값이 1, SEQ값이 M이 되도록 복구할 수 있다.
이와 같이, 본 발명의 일 실시예에 따른 네트워크 보안 방법은 복수의 세그먼트로 나뉘어 전송되는 데이터의 순서가 조작 또는 손상되더라도, 조작 또는 손상된 세그먼트를 복구할 수 있는 효과가 있다.
도 4는 본 발명의 일 실시예에 따른 네트워크 보안 장치를 설명하기 위한 블록도이다.
도 4를 참조하면, 본 발명의 일 실시예에 따른 네트워크 보안 장치(400)는 수신부(410), 복구부(420) 및 재조립부(430)를 포함한다. 또한, 선택적으로 가상패치부(미도시) 및 알람부(미도시)를 더 포함할 수 있다.
수신부(410)는 데이터의 전송을 요청하는 신호인 데이터요청신호에 대응하여, 외부기기로부터 복수의 세그먼트로 구성되는 데이터인 수신데이터를 수신한다.
다른 실시예에서는, 수신부(410)는 현재까지 수신된 적어도 하나의 세그먼트의 크기의 총합, 수신데이터의 크기 및 세그먼트당 최대 크기에 기초하여, 종료세그먼트의 수신 여부를 판단할 수 있다.
복구부(420)는 그 복수의 세그먼트 각각에 대한 헤더 정보 및 식별 정보 중 적어도 하나를 포함하는 데이터베이스에 기초하여, 그 복수의 세그먼트 중 손상된 세그먼트를 복구한다.
다른 실시예에서는, 복구부(420)는 데이터베이스에 포함된 헤더 정보를 이용하여, 그 복수의 세그먼트 중에서 시작세그먼트를 검출하고, 데이터베이스에 포함된 식별 정보를 이용하여, 그 복수의 세그먼트 중에서 시작세그먼트와 종료세그먼트를 제외한 나머지 적어도 하나의 세그먼트인 중간세그먼트를 검출하고, 그 복수의 세그먼트 각각의 크기에 기초하여, 그 복수의 세그먼트 중에서 종료세그먼트를 검출하고, 시작세그먼트, 적어도 하나의 중간세그먼트 및 종료세그먼트에 기초하여, 그 복수의 세그먼트 각각에 포함된 시작세그먼트 여부(FIR), 종료세그먼트 여부(FIN) 및 일련번호(SEQ) 중 적어도 하나에 대한 정보를 복구할 수 있다.
또 다른 실시예에서는, 식별 정보는 적어도 하나의 중간세그먼트의 순서를 식별하기 위한 정보일 수 있다.
재조립부(430)는 그 복수의 세그먼트를 재조립하여 재조립데이터를 생성한다.
가상패치부(미도시)는 화이트리스트 규칙 및 블랙리스트 규칙 중 적어도 하나에 기초하여, 그 재조립데이터가 비정상 데이터인지 판단한다.
알람부(미도시)는 그 재조립데이터가 비정상 데이터이면, 그 재조립데이터가 비정상 데이터인 원인에 대한 정보를 포함하는 알람정보를 생성한다.
한편, 상술한 본 발명의 실시예들은 컴퓨터에서 실행될 수 있는 프로그램으로 작성가능하고, 컴퓨터로 읽을 수 있는 기록매체를 이용하여 상기 프로그램을 동작시키는 범용 디지털 컴퓨터에서 구현될 수 있다.
상기 컴퓨터로 읽을 수 있는 기록매체는 마그네틱 저장매체(예를 들면, 롬, 플로피 디스크, 하드디스크 등), 광학적 판독 매체(예를 들면, 시디롬, 디브이디 등) 를 포함한다.
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.

Claims (12)

  1. 수신부가 데이터의 전송을 요청하는 신호인 데이터요청신호에 대응하여, 외부기기로부터 복수의 세그먼트로 구성되는 데이터인 수신데이터를 수신하는 단계;
    복구부가 상기 복수의 세그먼트 각각에 대한 헤더 정보 및 식별 정보 중 적어도 하나를 포함하는 데이터베이스에 기초하여, 상기 복수의 세그먼트 중 손상된 세그먼트를 복구하는 단계; 및
    재조립부가 상기 복수의 세그먼트를 재조립하여 재조립데이터를 생성하는 단계
    를 포함하는 것을 특징으로 하는 네트워크 보안 방법.
  2. 제1항에 있어서,
    상기 복수의 세그먼트 중 손상된 세그먼트를 복구하는 단계는
    상기 데이터베이스에 포함된 헤더 정보를 이용하여, 상기 복수의 세그먼트 중에서 시작세그먼트를 검출하는 단계;
    상기 데이터베이스에 포함된 식별 정보를 이용하여, 상기 복수의 세그먼트 중에서 상기 시작세그먼트와 종료세그먼트를 제외한 나머지 적어도 하나의 세그먼트인 중간세그먼트를 검출하는 단계;
    상기 복수의 세그먼트 각각의 크기에 기초하여, 상기 복수의 세그먼트 중에서 상기 종료세그먼트를 검출하는 단계; 및
    상기 시작세그먼트, 상기 적어도 하나의 중간세그먼트 및 상기 종료세그먼트에 기초하여, 상기 복수의 세그먼트 각각에 포함된 시작세그먼트 여부(FIR), 종료세그먼트 여부(FIN) 및 일련번호(SEQ) 중 적어도 하나에 대한 정보를 복구하는 단계
    를 포함하는 것을 특징으로 하는 네트워크 보안 방법.
  3. 제2항에 있어서,
    상기 식별 정보는
    상기 적어도 하나의 중간세그먼트의 순서를 식별하기 위한 정보인 것을 특징으로 하는 네트워크 보안 방법.
  4. 제1항에 있어서,
    상기 수신데이터를 수신하는 단계는
    현재까지 수신된 적어도 하나의 세그먼트의 크기의 총합, 상기 수신데이터의 크기 및 세그먼트당 최대 크기에 기초하여, 종료세그먼트의 수신 여부를 판단하는 것을 특징으로 하는 네트워크 보안 방법.
  5. 제1항에 있어서,
    가상패치부가 화이트리스트 규칙 및 블랙리스트 규칙 중 적어도 하나에 기초하여, 상기 재조립데이터가 비정상 데이터인지 판단하는 단계
    를 더 포함하는 것을 특징으로 하는 네트워크 보안 방법.
  6. 제5항에 있어서,
    알람부가 상기 재조립데이터가 비정상 데이터이면, 상기 재조립데이터가 비정상 데이터인 원인에 대한 정보를 포함하는 알람정보를 생성하는 단계
    를 더 포함하는 것을 특징으로 하는 네트워크 보안 방법.
  7. 데이터의 전송을 요청하는 신호인 데이터요청신호에 대응하여, 외부기기로부터 복수의 세그먼트로 구성되는 데이터인 수신데이터를 수신하는 수신부;
    상기 복수의 세그먼트 각각에 대한 헤더 정보 및 식별 정보 중 적어도 하나를 포함하는 데이터베이스에 기초하여, 상기 복수의 세그먼트 중 손상된 세그먼트를 복구하는 복구부; 및
    상기 복수의 세그먼트를 재조립하여 재조립데이터를 생성하는 재조립부
    를 포함하는 것을 특징으로 하는 네트워크 보안 장치.
  8. 제7항에 있어서,
    상기 복구부는
    상기 데이터베이스에 포함된 헤더 정보를 이용하여, 상기 복수의 세그먼트 중에서 시작세그먼트를 검출하고,
    상기 데이터베이스에 포함된 식별 정보를 이용하여, 상기 복수의 세그먼트 중에서 상기 시작세그먼트와 종료세그먼트를 제외한 나머지 적어도 하나의 세그먼트인 중간세그먼트를 검출하고,
    상기 복수의 세그먼트 각각의 크기에 기초하여, 상기 복수의 세그먼트 중에서 상기 종료세그먼트를 검출하고,
    상기 시작세그먼트, 상기 적어도 하나의 중간세그먼트 및 상기 종료세그먼트에 기초하여, 상기 복수의 세그먼트 각각에 포함된 시작세그먼트 여부(FIR), 종료세그먼트 여부(FIN) 및 일련번호(SEQ) 중 적어도 하나에 대한 정보를 복구하는 것을 특징으로 하는 네트워크 보안 장치.
  9. 제8항에 있어서,
    상기 식별 정보는
    상기 적어도 하나의 중간세그먼트의 순서를 식별하기 위한 정보인 것을 특징으로 하는 네트워크 보안 장치.
  10. 제7항에 있어서,
    상기 수신부는
    현재까지 수신된 적어도 하나의 세그먼트의 크기의 총합, 상기 수신데이터의 크기 및 세그먼트당 최대 크기에 기초하여, 종료세그먼트의 수신 여부를 판단하는 것을 특징으로 하는 네트워크 보안 장치.
  11. 제7항에 있어서,
    화이트리스트 규칙 및 블랙리스트 규칙 중 적어도 하나에 기초하여, 상기 재조립데이터가 비정상 데이터인지 판단하는 가상패치부
    를 더 포함하는 것을 특징으로 하는 네트워크 보안 장치.
  12. 제11항에 있어서,
    상기 재조립데이터가 비정상 데이터이면, 상기 재조립데이터가 비정상 데이터인 원인에 대한 정보를 포함하는 알람정보를 생성하는 알람부
    를 더 포함하는 것을 특징으로 하는 네트워크 보안 장치.
KR1020170065975A 2017-05-29 2017-05-29 네트워크 기기에서의 보안 방법 및 장치 KR101993648B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170065975A KR101993648B1 (ko) 2017-05-29 2017-05-29 네트워크 기기에서의 보안 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170065975A KR101993648B1 (ko) 2017-05-29 2017-05-29 네트워크 기기에서의 보안 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20180130196A true KR20180130196A (ko) 2018-12-07
KR101993648B1 KR101993648B1 (ko) 2019-06-27

Family

ID=64669490

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170065975A KR101993648B1 (ko) 2017-05-29 2017-05-29 네트워크 기기에서의 보안 방법 및 장치

Country Status (1)

Country Link
KR (1) KR101993648B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113872918A (zh) * 2020-06-30 2021-12-31 苏州三六零智能安全科技有限公司 网络流量分类方法、设备、存储介质及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100913900B1 (ko) * 2005-05-04 2009-08-26 삼성전자주식회사 이동통신 시스템에서 미리 정의된 길이 지시자를 이용해서 패킷 데이터를 송수신하는 방법 및 장치
US20120076148A1 (en) * 2010-09-28 2012-03-29 Hon Hai Precision Industry Co., Ltd. Modem and packet processing method

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100913900B1 (ko) * 2005-05-04 2009-08-26 삼성전자주식회사 이동통신 시스템에서 미리 정의된 길이 지시자를 이용해서 패킷 데이터를 송수신하는 방법 및 장치
US20120076148A1 (en) * 2010-09-28 2012-03-29 Hon Hai Precision Industry Co., Ltd. Modem and packet processing method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113872918A (zh) * 2020-06-30 2021-12-31 苏州三六零智能安全科技有限公司 网络流量分类方法、设备、存储介质及装置

Also Published As

Publication number Publication date
KR101993648B1 (ko) 2019-06-27

Similar Documents

Publication Publication Date Title
US11122061B2 (en) Method and server for determining malicious files in network traffic
CN110475124B (zh) 视频卡顿检测方法及装置
CN104901971A (zh) 对网络行为进行安全分析的方法和装置
US20160277547A1 (en) Packet monitoring device and packet monitoring method for communication packet
CN112134893B (zh) 物联网安全防护方法、装置、电子设备及存储介质
CN109040140B (zh) 一种慢速攻击检测方法及装置
CN115632878B (zh) 基于网络隔离的数据传输方法、装置、设备及存储介质
CN107209834B (zh) 恶意通信模式提取装置及其系统和方法、记录介质
CN106656966B (zh) 一种拦截业务处理请求的方法和装置
US10296746B2 (en) Information processing device, filtering system, and filtering method
CN110740144A (zh) 确定攻击目标的方法、装置、设备及存储介质
CN113364799A (zh) 一种网络威胁行为的处理方法和系统
US11405411B2 (en) Extraction apparatus, extraction method, computer readable medium
KR101993648B1 (ko) 네트워크 기기에서의 보안 방법 및 장치
CN116055214A (zh) 攻击检测方法、装置、设备及可读存储介质
CN111343206B (zh) 一种针对数据流攻击的主动防御方法及装置
CN113162885B (zh) 一种工业控制系统的安全防护方法及装置
KR101927100B1 (ko) 순환 신경망 기반 네트워크 패킷의 위험요소 분석 방법, 이를 수행하는 순환 신경망 기반 네트워크 패킷의 위험요소 분석 장치
CN113704569A (zh) 信息的处理方法、装置及电子设备
US11405358B2 (en) Network security monitoring of network traffic
US9811660B2 (en) Securing a shared serial bus
KR101606090B1 (ko) 네트워크 보호 장치 및 방법
CN114006733A (zh) 一种验证数据传输完整性的方法及系统
KR20070060869A (ko) 비정상 패킷 탐지 방법 및 장치
EP3151147A1 (en) System and method for detection of malicious data encryption programs

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right