KR20190029486A - 탄력적 허니넷 시스템 및 그 동작 방법 - Google Patents

탄력적 허니넷 시스템 및 그 동작 방법 Download PDF

Info

Publication number
KR20190029486A
KR20190029486A KR1020180108591A KR20180108591A KR20190029486A KR 20190029486 A KR20190029486 A KR 20190029486A KR 1020180108591 A KR1020180108591 A KR 1020180108591A KR 20180108591 A KR20180108591 A KR 20180108591A KR 20190029486 A KR20190029486 A KR 20190029486A
Authority
KR
South Korea
Prior art keywords
hih
attack
controller
honeypot
honeynet
Prior art date
Application number
KR1020180108591A
Other languages
English (en)
Other versions
KR102155262B1 (ko
Inventor
박민호
안성원
Original Assignee
숭실대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 숭실대학교산학협력단 filed Critical 숭실대학교산학협력단
Publication of KR20190029486A publication Critical patent/KR20190029486A/ko
Application granted granted Critical
Publication of KR102155262B1 publication Critical patent/KR102155262B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

SDN에 기반한 탄력적 허니넷 시스템은, 복수의 사용자 단말 장치로부터 수신된 패킷을 SDN 컨트롤러의 플로우 정책에 따라 처리하는 오픈플로우 스위치, 오픈플로우 스위치를 통해 공격 장치의 공격 트래픽을 수신하면 가상의 HIH를 생성하는 절차를 수행하고 공격 트래픽의 전달 경로를 설정하는 SDN 컨트롤러, SDN 컨트롤러와 연동하여 가상의 HIH를 허니넷 상에 임시로 생성하는 허니팟 컨트롤러, 허니넷 상에서 상시 실행되며 SDN 컨트롤러의 제어에 따라 오픈플로우 스위치를 통해 공격 장치의 초기 공격 트래픽을 포워딩받아 처리하는 LIH, 및 SDN 컨트롤러의 제어에 따라 허니팟 컨트롤러에 의해 허니넷 상에 임시로 생성되되 오픈플로우 스위치로부터 LIH를 통한 초기 공격 트래픽의 처리 절차 이후의 공격 트래픽을 수신하여 대응하는 처리를 수행하는 가상의 HIH를 포함한다.

Description

탄력적 허니넷 시스템 및 그 동작 방법{ELASTIC HONEYNET SYSTEM AND METHOD FOR MANAGING THE SAME}
본 발명은 소프트웨어-정의 네트워크(Software-Defined Networking, SDN) 환경에 클라우드 컴퓨팅의 가상화 기술을 접목하여 허니넷(honeynet)을 탄력적으로 운용하는 허니넷 시스템 및 그 동작 방법에 관한 것이다.
네트워크에서 공격자의 패턴을 미리 파악하여 대처하기 위한 다양한 기술들이 연구되고 있다. 최근에는 사용 결과가 매우 정확하여 효과가 탁월한 허니팟을 이용하여 공격자의 공격 기법 및 패턴을 파악하는 기술이 제안되었다. 허니팟이란, 공격자를 가상의 호스트로 유인하여 공격자가 실제 어떠한 공격(즉, 공격 기법 및 패턴)을 하는지 파악하고 수집하여, 수집한 정보를 바탕으로 이후 네크워트 보안을 강화하는 기법이다.
이러한 허니팟들로 구성된 허니넷(honeynet)은 LIH(Low Interaction Honeypot)와 HIH(High Interaction Honeypot)으로 구분된다. LIH는 HIH 보다 작아 자원을 적게 소모하지만 공격자의 자세한 패턴을 파악할 수 없고, HIH은 LIH 보다 자원을 많이 소모하지만 공격자의 패턴을 자세히 확인할 수 있다. 이에 따라, LIH는 공격이 처음 발생하였을 때 이에 대응하고 제한된 서비스만을 허용하며, HIH는 실제 OS와 응용 프로그램과 관련한 서비스를 제공할 수 있다.
최근 허니넷 기술 분야에서는 LIH 와 HIH를 어떻게 효율적으로 활용하는지에 대한 연구가 활발히 진행되고 있다. 특히, LIH 와 HIH 의 장점을 모두 얻기 위해 LIH 와 HIH를 통합하는 하이브리드 아키텍처(hybrid architecture)에 대한 연구가 진행되고 있다.
예를 들어, 종래의 하이브리드 허니넷 시스템에서는 LIH를 HIH와 공격자 간의 프록시 서버(proxy server)로 사용하는 것을 시도하였다. 그러나 이러한 시도에 따르면, LIH 에 부담이 증가되고, HIH 와 공격자 간의 모든 메시지(message)가 LIH를 통해 전달되기 때문에 시스템의 대기 시간 또한 길어지는 문제가 있었다. 또한, LIH을 프록시 서버로 이용하는 것 외에도 LIH와 HIH의 구분을 없애 한 개의 허니팟으로 운용하는 방식도 제안되었다. 또한, LIH 대신 게이트웨이(gateway)를 이용하거나, 동일한 서비스 만을 제공해주는 HIH의 클론(clone)을 생성하는 방식도 제안되었다. 그러나 이러한 허니팟 시스템은 단지 LIH 와 HIH를 통합하고 각각의 장점만을 취하는데 한정되어 있다. 특히, LIH을 사용하지 않거나 불필요한 게이트웨이를 증설하는 방식 및 제한적인 서비스들 만을 제공할 수 있는 HIH를 이용하는 방식 등을 사용하였다. 또한, HIH는 항상 생성되어 있어 네트워크 자원을 지속적으로 소모하게 되는 비효율적인 허니팟 운용 방식들이었다.
따라서, 종래의 허니팟 시스템은 공격자의 다양한 공격 기법에 모두 대응하기 어려우며, 공격자로 하여금 허니팟이 노출될 위험성이 있고, 네트워크의 안전성이 결여된다는 문제점이 있다. 뿐만 아니라, 종래의 방식에서는 허니팟의 크기가 고정적이며, 이에 따라 공격의 여부와 상관없이 허니팟이 항상 실행되어 전체 허니넷 시스템의 자원을 낭비한다는 문제점도 있다.
대한민국 등록특허 제 10-1753647호(발명의 명칭: 클라우드 컴퓨팅 기반의 허니팟 보안시스템 및 그 실행방법)
본 발명의 일 실시예는 SDN의 패킷(packet)의 경로 설정의 이점을 이용하되 클라우드 컴퓨팅의 가상화를 접목하여 허니넷 상의 허니팟을 탄력적으로 운용함으로써, 보다 효율적이고 안전한 허니넷 운용이 가능한 탄력적 허니넷 시스템 및 그 동작 방법을 제공하고자 한다.
다만, 본 실시예가 이루고자 하는 기술적 과제는 상기된 바와 같은 기술적 과제로 한정되지 않으며, 또 다른 기술적 과제들이 존재할 수 있다.
상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본 발명의 일 측면에 따른 SDN(Software Defined Networks)에 기반한 탄력적 허니넷 시스템은, 복수의 사용자 단말 장치로부터 수신된 패킷을 SDN 컨트롤러의 플로우 정책에 따라 처리하는 오픈플로우 스위치; 상기 오픈플로우 스위치를 통해 공격 장치의 공격 트래픽을 수신하면 가상의 HIH(High-Interaction Honeypot)를 생성하는 절차를 수행하고, 상기 공격 트래픽의 전달 경로를 설정하는 SDN 컨트롤러; 상기 SDN 컨트롤러와 연동하여 상기 가상의 HIH를 허니넷 상에 임시로 생성하는 허니팟 컨트롤러; 허니넷 상에서 상시 실행되며, 상기 SDN 컨트롤러의 제어에 따라 상기 오픈플로우 스위치를 통해 상기 공격 장치의 초기 공격 트래픽을 포워딩받아 처리하는 LIH(Low-Interaction Honeypot); 및 상기 SDN 컨트롤러의 제어에 따라 상기 허니팟 컨트롤러에 의해 상기 허니넷 상에 임시로 생성되되, 상기 오픈플로우 스위치로부터 상기 LIH를 통한 상기 초기 공격 트래픽의 처리 절차 이후의 공격 트래픽을 수신하여 대응하는 처리를 수행하는 가상의 HIH를 포함한다.
또한, 본 발명의 다른 측면에 따른 SDN에 기반한 탄력적 허니넷 시스템의 SDN 컨트롤러는, 보안용 허니넷 관리 프로그램이 저장된 메모리; 및 상기 메모리에 저장된 프로그램을 실행하는 프로세서를 포함하며, 상기 프로세서는 상기 보안용 허니넷 관리 프로그램의 실행에 따라, 오픈플로우 스위치로부터 공격 장치의 임의의 호스트에 대한 공격 트래픽이 수신되면 상기 공격 트래픽의 초기 패킷을 허니넷 상에 상시 실행 중인 LIH로 포워딩하도록 제어하고, 상기 공격 장치에 대해 제공할 가상의 랜덤 서비스를 생성하고, 상기 랜덤 서비스의 정보 및 공격 장치의 식별 정보를 포함하는 HIH생성 요청을 허니팟 컨트롤러로 전송하여 상기 허니넷 상에 가상의 HIH를 임시 생성하도록 하고, 상기 허니팟 컨트롤러로부터 생성된 HIH의 식별 정보를 포함하는 HIH 생성 응답을 수신하면 상기 LIH를 통한 상기 초기 공격 패킷에 대한 처리 절차 이후의 공격 패킷을 상기 HIH로 포워딩하도록 제어한다. 이때, 상기 랜덤 서비스의 정보에는 적어도 하나의 운영 체제 및 포트가 포함된 것이다.
또한, 본 발명의 또 다른 측면에 따른 SDN에 기반한 탄력적 허니넷 시스템의 SDN 컨트롤러의 탄력적 허니넷 동작 방법은, 오픈플로우 스위치를 통해 공격 장치의 공격 트래픽을 수신하는 단계; 상기 공격 트래픽의 초기 패킷을 허니넷 상에 상시 실행 중인 LIH로 포워딩하도록 하는 플로우 정책을 상기 오픈플로우 스위치로 전송하는 단계; 상기 공격 장치에 대해 제공할 가상의 랜덤 서비스를 생성하고, 상기 랜덤 서비스의 정보 및 공격 장치의 식별 정보를 포함하는 HIH 생성 요청을 허니팟 컨트롤러로 전송하여 상기 허니넷 상에 가상의 HIH를 임시 생성하도록 하는 단계; 및 상기 허니팟 컨트롤러로부터 생성된 HIH의 식별 정보를 포함하는 HIH 생성 응답을 수신하면, 상기 오픈플로우 스위치로 상기 LIH를 통한 상기 초기 공격 패킷에 대한 처리 절차 이후의 공격 패킷을 상기 HIH로 포워딩하도록 하는 플로우 정책을 전송하는 단계를 포함한다. 이때, 상기 랜덤 서비스의 정보에는 적어도 하나의 운영 체제 및 포트가 포함된 것이고, 상기 스위치로 상기 LIH를 통한 상기 초기 공격 패킷에 대한 처리 절차 이후의 공격 패킷은 상기 HIH로 전달되어 처리되는 것이다.
전술한 본 발명의 과제 해결 수단 중 어느 하나에 의하면, SDN의 패킷 경로 설정의 이점을 사용하되 SDN 환경에 클라우드 컴퓨팅의 가상화를 접목하여, 허니넷 상의 LIH 및 HIH를 적절하게(즉, 탄력적으로) 통합 운용함으로써, 보다 효율적인 허니넷 운용이 가능할 뿐만 아니라 해당 네트워크 안전성을 향상시킬 수 있고 네트워크 자원을 효율적으로 사용할 수 있다.
또한, 본 발명의 과제 해결 수단 중 어느 하나에 의하면, 기존의 허니넷 기술 분야에서 발생되었던 문제 즉, LIH 와 HIH를 통합할 경우 극복하지 못하였던 문제점들을 해결할 수 있다. 즉, 가상화 기술을 사용하여 HIH와 LIH를 독립적으로 생성하여, 허니넷 상에서 상시 실행되는 허니팟은 LIH 뿐이고 공격이 있을 경우에만 필요에 따라 HIH를 생성 및 제거할 수 있어 편리하다.
또한, 본 발명의 과제 해결 수단 중 어느 하나에 의하면, 공격자의 공격 대상 서비스에 대응하는 HIH를 생성하여 공격자가 원하는 서비스를 제공함으로써, 공격자가 특정 호스트에 접속한 것으로 착각할 수 있도록 하여 공격 기법 및 패턴을 보다 자세히 파악할 수 있으며 이를 이용한 해당 네트워크의 안전성을 크게 향상 시킬 수 있다.
또한, 본 발명의 과제 해결 수단 중 어느 하나에 의하면, 공격자 별로 대응하는 HIH를 임시로 생성하되 HIH 자체의 상태 또는 공격자와의 연결 상태에 따라 해당 HIH를 허니넷에서 제거함으로써, 공격에 의해 손상된 HIH를 복구하거나 또는 공격자와의 연결이 종료된 HIH를 유지할 필요가 없어 자원 효율성을 크게 높일 수 있다.
도 1은 본 발명의 일 실시예에 따른 탄력적 허니넷 시스템의 구성도이다.
도 2는 도 1의 허니넷 시스템의 동작을 설명하기 위한 도면이다.
도 3은 본 발명의 일 실시예에 따른 허니넷을 통해 공격자에게 제공할 서비스를 선택하는 과정을 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시예에 따른 탄력적 허니넷 시스템의 운용 방법을 설명하기 위한 데이터 흐름도이다.
아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미하며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
본 명세서에 있어서 '부(部)' 또는 '모듈'이란, 하드웨어에 의해 실현되는 유닛(unit), 소프트웨어에 의해 실현되는 유닛, 양방을 이용하여 실현되는 유닛을 포함한다. 또한, 1 개의 유닛이 2 개 이상의 하드웨어를 이용하여 실현되어도 되고, 2 개 이상의 유닛이 1 개의 하드웨어에 의해 실현되어도 된다. 한편, '~부' 또는 '~모듈' 은 소프트웨어 또는 하드웨어에 한정되는 의미는 아니며, 어드레싱 할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서, '~부' 또는 '~모듈' 은 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 구성요소들과, '~부'(또는 '~모듈')들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'(또는 '~모듈')들로 결합되거나 추가적인 구성요소들과 '~부'(또는 '~모듈')들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'(또는 '~모듈')들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.
이하, 도면을 참조하여 본 발명의 일 실시예에 따른 탄력적 허니넷 시스템 및 그 동작 방법에 대해서 상세히 설명하도록 한다.
도 1은 본 발명의 일 실시예에 따른 탄력적 허니넷 시스템의 구성도이다.
도 1에 도시된 탄력적 허니넷 시스템(100)(이하, 설명의 편의상 '허니넷 시스템'으로 지칭함)의 각 구성에 대한 설명에 앞서, 허니넷 시스템(100)이 적용되는 네트워크 환경에 대해 간략히 설명하도록 한다.
본 발명의 일 실시예에 따른 허니넷 시스템(100)은, 소프트웨어-정의 네트워크(Software-Defined Networking, SDN) 및 네트워크 기능 가상화(NFV, Network Function Virtualisation) 환경에 구현된다. 즉, 허니넷 시스템(100)은 클라우드 컴퓨팅의 핵심 기술인 가상화를 통하여 SDN과 클라우드 컴퓨팅을 접목함으로써 보다 효율적인 운용이 가능하다.
SDN 네트워크 모델에서는 컨트롤 플랜(control plane)과 데이터 플랜(data plane)을 분리하여 네트워크 모니터링 및 제어를 수행한다. 이러한 SDN에서 중심이 되는 장치로서 SDN 컨트롤러가 구성되며, SDM 컨트롤러는 오픈플로우 스위치(OpenFlow switch)를 통해 플로우에 기반한(flow-based) 트래픽을 제어하고 감시한다. 구체적으로, SDN 컨트롤러는 해당 플로우의 경로를 계산하여 설정한 후 오픈플로우 스위치로 전송하며, 이에 따라 오픈플로우 스위치는 포워딩 동작만 수행한다. 또한, NFV 기술 분야에서 가상화(Virtualisation)란, 네트워크 기능(Network Function)과 NFV인프라의 일부가 소프트웨어로 구현되어 NFV 아키텍쳐와 상호 연동될 수 있도록 하는것이다.
참고로, 도 1에서 공격 장치(200)는 공격자(attacker)가 사용하는 단말 장치로서, 예를 들어 네트워크를 통해 서버나 타 단말에 접속할 수 있는 컴퓨터나 휴대용 단말기로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(desktop), 랩톱(laptop) 등을 포함한다. 그리고 휴대용 단말기는 휴대성과 이동성이 보장되는 무선 통신 장치로서, 모든 종류의 핸드헬드(Handheld) 기반의 무선 통신 장치를 포함할 수 있다. 또한, "네트워크"는 근거리 통신망(Local Area Network; LAN), 광역 통신망(Wide Area Network; WAN) 또는 부가가치 통신망(Value Added Network; VAN) 등과 같은 유선 네트워크나, 이동 통신망(mobile radio communication network) 또는 위성 통신망 등과 같은 모든 종류의 무선 네트워크로 구현될 수 있다.
도 1에 도시한 바와 같이, SDN 기반의 허니넷 시스템(100)은 오픈플로우 스위치(110), SDN 컨트롤러(120), 로우-인터랙션 허니팟(Low-Interaction Honeypot, LIH)(130), 허니팟 컨트롤러(140) 및 하이-인터랙션 허니팟(High-Interaction Honeypot, HIH)(150)을 포함한다.
오픈플로우 스위치(110)는 SDN 컨트롤러(120)와 통신하며 패킷 송/수신을 처리한다. 그리고 SDN 컨트롤러(120)는 SDN 상의 장비들을 기설정된 통신 정책에 따라 제어한다.
구체적으로, SDN 컨트롤러(120)는 오픈플로우 스위치(110)와 오픈플로우 프로토콜(OpenFlow protocol)을 사용하여 통신한다. 오픈플로우 프로토콜은 SDN의 제어 평면(control plane) 및 데이터 평면(data plane) 사이에 정의된 표준 통신 인터페이스로서, 스위치나 라우터 같은 네트워크 장비의 패킷 전달 기능을 직접적으로 제어할 수 있게 한다.
일반적으로, 오픈플로우 스위치는 사용자 단말(즉, 공격 장치(200) 포함)로부터의 패킷이 발생되면 먼저 플로우테이블에 해당 패킷에 대한 정보가 존재하는지 확인하여, 플로우테이블에 해당 패킷의 정보가 존재하는 경우 확인된 정보에 맞게 패킷을 처리하고, 플로우테이블에 해당 패킷에 대해 확인되는 정보가 없는 경우 해당 패킷에 대한 제어 정보를 오픈플로우 컨트롤러(즉, SDN 컨트롤러)에 요청한다. 그러면 오픈플로우 스위치로부터 패킷에 대한 제어 정보를 요청받은 오픈플로우 컨트롤러는, 내부에 존재하는 패킷 제어 정보를 확인하여 해당 결과를 오픈플로우 스위치로 전달한다. 그리고 오픈플로우 스위치에 새로 전달된 제어 정보는 플로우테이블에 저장되어 이후 동일 패킷에 적용된다. 이때, 오픈플로우 컨트롤러 내 패킷 제어 정보는 외부에서 응용프로그램 (Application Programming Interface, API)을 통해 입력할 수 있다.
이러한 SDN에 기반하여, 허니넷 시스템(100)의 오픈플로우 스위치(110)는 공격 장치(200)로부터 특정 호스트 장치에 대한 패킷을 수신할 경우, 해당 패킷을 SDN 컨트롤러(120)로 전달하여 해당 패킷에 대한 제어 정보를 획득하여 적용한다.
이때, SDN 컨트롤러(120)는 사전에 저장되어 있는 공격자 리스트(이하, "블랙리스트"라고 지칭함)에 기반하여 공격자를 탐지한다. 공격 장치(200)의 식별 정보(예: IP)에 기반하여 해당 공격 장치(200)가 유효한 공격자인 것으로 탐지되면, SDN 컨트롤러(120)는 공격 장치(200)의 패킷을 초기에는 LIH(130)로 포워딩하도록 하는 제어 정보를 오픈플로우 스위치(110)로 전송한다.
이와 병렬적으로, SDN 컨트롤러(120)는 SDN의 이점인 자유로운 경로 변경을 통해 HIH(150)에서 공격 장치(200)의 실제 공격이 처리되도록 한다.
구체적으로, SDN 컨트롤러(120)는 허니팟을 관리할 수 있도록 설정된 허니팟 컨트롤러(140)와 연동하여, 공격자가 원하는 특정 서비스를 제공할 수 있도록 가상의 HIH(150)를 허니넷에 생성시킨다. 이에 따라, LIH(130)를 통한 초기 대응 이후의 특정 서비스는 새로 생성된 HIH(150)에 의해 모두 처리되며, 공격자의 패턴 및 활동을 구체적으로 파악할 수 있다.
이러한 SDN 컨트롤러(120)와 허니팟 컨트롤러(140) 간에는 보안 채널(secure channel)이 구축되어 있으며, 이를 통해 HIH 생성 및 삭제에 관련된 정보가 송수신된다.
도 1에 도시된 '허니넷'이란 다수의 '허니팟'으로 구성되며, 공격자(Attacker)를 유인하여 공격 방식 및 활동에 대한 정보를 수집하고 이를 이용하여 네트워크 보안을 강화하는 시스템을 의미한다.
LIH(130)는 일종의 필터(filter)로서의 역할을 수행하되, 침입자 또는 악성 프로그램(즉, 공격 장치(200)를 통해 발생되는 공격)에 대해 제한된 서비스 만을 허용한다. 즉, 공격 장치(200)로 제공할 사전에 설정된 서비스(즉, 제한된 서비스)는 LIH(130)에서 에뮬레이션 되며, 이를 통해 HIH(150)에 비해 공격에 대한 넓은 범위를 지원한다.
HIH(150)는 운영체제(OS)와 응용프로그램(API)과 관련하여 서비스를 처리한다. HIH(150)에서 처리되는 동작들은 LIH(130)의 동작에 비해 상당히 복잡한 것으로서, LIH(130)와는 다르게 처리하는 공격의 범위가 넓지는 않지만 어떠한 공격에 대해서 공격자의 행동(즉, 공격 기법, 패턴 및 활동 등)을 자세히 조사할 수 있다.
본 발명의 일 실시예에 따르면, SDN 컨트롤러(120)의 결정에 따라 허니팟 컨트롤러(140)에 의해 새로 생성된 가상의 HIH(150)는, 추후 SDN 컨트롤러(120)의 결정에 따라 허니팟 컨트롤러(140)에 의해 제거된다. 즉, 허니넷 상에서 상시 실행 중인 허니팟은 LIH(130) 하나뿐이며 HIH(150)의 존재 여부는 탄력적으로 변경된다. 이를 통해, 공격 자의 공격에 대응하는 다양한 서비스를 안정적 및 지속적으로 제공하면서도, 유연하게 허니넷의 크기를 제어할 수 있다.
이하, 도 2 내지 도 4를 참고하여 허니넷 시스템(100)의 동작에 대해서 좀 더 구체적으로 설명하도록 한다.
도 2는 도 1의 허니넷 시스템의 전반적인 동작을 설명하기 위한 도면이다. 또한, 도 3은 본 발명의 일 실시예에 따른 허니넷을 통해 공격자에게 제공할 서비스를 선택하는 과정을 설명하기 위한 도면이다.
도 2에 도시한 바와 같이, SDN 컨트롤러(120)는 메모리(121) 및 프로세서(122)를 포함한다.
메모리(121)에는 SDN 컨트롤러(120)를 제어하기 위한 다양한 프로그램이 저장되어 있으며, 특히 보안용 허니넷 관리 프로그램이 저장되어 있다. 참고로, 메모리(121)는 전원이 공급되지 않아도 저장된 정보를 유지하는 비휘발성(non-volatile) 저장 장치 및 저장된 정보를 유지하기 위하여 전력이 필요한 휘발성 저장 장치를 통칭하는 것일 수 있다.
프로세서(122)는 SDN 컨트롤러(120)의 전체적인 동작을 제어한다. 이를 위해, 프로세서(122)는 적어도 하나의 프로세싱 유닛(CPU, micro-processor, DSP 등), RAM(Random Access Memory), ROM(Read-Only Memory), CPU, GPU(Graphic Processing Unit) 및 버스(bus) 중 적어도 하나를 포함하여 구현될 수 있으며, 메모리(121)에 저장된 프로그램을 RAM으로 독출하여 하나 이상의 프로세싱 유닛을 통해 실행할 수 있다. 한편, 실시예에 따라서 ‘프로세서’라는 용어는 ‘제어부’, ‘컨트롤러’, ‘연산 장치’ 등의 용어와 동일한 의미로 해석될 수 있다.
프로세서(122)는 메모리(121)에 저장된 프로그램을 실행하되, 보안용 허니넷 관리 프로그램을 실행하여 처리되는 동작들은 아래에서 상세히 설명하도록 한다.
또한, 허니팟 컨트롤러(140)는 메모리(141) 및 프로세서(142)를 포함한다.
메모리(141)에는 허니팟 컨트롤러(140)를 제어하기 위한 다양한 프로그램이 저장되어 있으며, 특히 허니팟 제어 프로그램이 저장되어 있다. 참고로, 메모리(141)는 전원이 공급되지 않아도 저장된 정보를 유지하는 비휘발성(non-volatile) 저장 장치 및 저장된 정보를 유지하기 위하여 전력이 필요한 휘발성 저장 장치를 통칭하는 것일 수 있다.
프로세서(142)는 허니팟 컨트롤러(140)의 전체적인 동작을 제어한다. 이를 위해, 프로세서(142)는 적어도 하나의 프로세싱 유닛(CPU, micro-processor, DSP 등), RAM(Random Access Memory), ROM(Read-Only Memory), CPU, GPU(Graphic Processing Unit) 및 버스(bus) 중 적어도 하나를 포함하여 구현될 수 있으며, 메모리(121)에 저장된 프로그램을 RAM으로 독출하여 하나 이상의 프로세싱 유닛을 통해 실행할 수 있다. 한편, 실시예에 따라서 ‘프로세서’라는 용어는 ‘제어부’, ‘컨트롤러’, ‘연산 장치’ 등의 용어와 동일한 의미로 해석될 수 있다.
프로세서(142)는 메모리(141)에 저장된 프로그램을 실행하되, 허니팟 제어 프로그램을 실행하여 처리되는 동작들은 아래에서 상세히 설명하도록 한다.
참고로, 본 발명의 일 실시예에서는, 보안용 허니넷 관리 프로그램의 실행을 통해 복수의 모듈(즉, “서비스 선택 엔진(selecting services engine)”, “포워딩 엔진(forwarding engine)”, “관찰 엔진(observation engine)” 및 “추가/삭제 엔진(adding/removing engine)”)이 동작되는 것을 설명하며, 허니팟 제어 프로그램의 실행을 통해 복수의 모듈(“허니팟 핸들링 엔진(handle honeypot engine)” 및 “응용프로그램(APIs)”)이 동작되는 것을 설명하도록 한다. 이처럼 본 발명의 일 실시예에서는 보안용 허니넷 관리 프로그램 및 허니팟 제어 프로그램의 실행에 따른 동작이 각각 다수의 모듈로 구별되는 것을 설명하나 그 동작 방식은 이에 한정되지 않는다. 또한, 보안용 허니넷 관리 프로그램 및 허니팟 제어 프로그램의 실행에 의해 동작하는 모듈의 개수는 한정적이지 않으며, 모듈 별로 실행되는 동작은 다른 모듈과 구분 또는 통합될 수 있다.
도 2를 참조하면, 먼저 공격 장치(200)가 오픈플로우 스위치(110)를 통해 특정 호스트 장치를 공격하는 패킷을 전송한다(S10).
예를 들어, 공격 장치(200)는 오픈되어 있는 호스트 및 포트들을 확인하는 '스캐닝 공격'을 요청하는 패킷을 오픈플로우 스위치(110)로 전송할 수 있다.
그러면, 오픈플로우 스위치(110)는 공격 장치(200)의 스캐닝 공격 패킷을 SDN 컨트롤러(120)로 전달하며, 이에 따라 SDN 컨트롤러(120)의 서비스 선택 엔진은 공격 장치(200)에 대해 초기 대응으로서 제공할 가상의 서비스(이하, '오픈 서비스'라고 지칭함)의 조건을 생성한다(S20).
구체적으로, SDN 컨트롤러(120)는 공격 장치(200)로 제공할 복수의 서비스 별 가상 환경 조건들(즉, 랜덤 넘버들)을 랜덤하게 생성한다.
도 3을 참조하면, 복수의 서비스 별로 대응하는 이미지 아이디(image ID)가 생성되며, 각 이미지 아이디 별로 가상 호스트에 적용될 운영체제(OS) 및 적어도 하나의 서비스(Servises)(즉, 포트 넘버)가 매칭된다.
이때, 도 3의 (a)에서와 같이 이미지 아이디는 N개의 넘버(즉, 1 내지 N, N은 자연수)가 랜덤하게 설정될 수 있다. 이에 따라, 도 3의 (b)에서와 같이 LIH(130)에는 도 3의 (a)에서와 같은 조건의 NFV에 기반한 복수의 이미지 아이디 별로 대응되는 가상 호스트들이 구현된다.
이처럼, SDN 컨트롤러(120)는 복수의 랜덤 넘버를 생성함으로써 공격 장치(200)로 제공할 가상의 서비스들을 선택한다.
다시 도 2로 돌아가서, SDN 컨트롤러(120)의 포워딩 엔진은, 공격 장치(200)의 식별 정보(예: IP)에 대응하는 패킷은 LIH(130)로 전달되도록 제어한다(S30-1).
즉, SDN 컨트롤러(120)는 오픈플로우 스위치(110)로 공격 장치(200)에 대한 새로운 플로우 정책을 전송하여 플로우테이블에 저장하되, 새로운 플로우 정책에는 공격 장치(200)의 IP 및 포워딩할 LIH(130)의 IP를 포함할 수 있다. 이에, 공격 장치(200)는 해당 LIH(130)로 정보가 전달되는 것은 알 수 없으며, 원래 접근하고자 했던 특정 호스트 장치와 통신하고 있는 것으로 판단한다.
이러한 새로운 플로우 정책에 따라 오픈플로우 스위치(110)를 통해 공격 장치(200)의 스캐닝 공격 패킷이 LIH(130)로 포워딩되면, LIH(130)는 공격 장치(200)의 IP로부터 전송된 스캐닝 공격에 대해 초기 대응으로서 각 가상 호스트의 정보(즉, 오픈된 호스트 및 포트 정보)를 제공한다(S40, S50).
그리고 LIH(130)는 공격 장치(200)와의 초기 대응을 통해 공격 장치(200)가 원하는 구체적인 서비스에 대한 정보를 획득하여 오픈플로우 스위치(110)를 통해 SDN 컨트롤러(120)로 알린다.
이와 병렬적으로, SDN 컨트롤러(120)의 추가/삭제 엔진은 보안 채널을 통해 허니팟 컨트롤러(140)로 새로운 HIH 생성을 요청한다(S30-2). 그러면 허니팟 컨트롤러(140)의 허니팟 핸들링 엔진은 대응하는 API를 구동하여 새로운 가상 HIH를 허니넷 상에 자동 생성한다(S30-3).
구체적으로, SDN 컨트롤러(120)는 앞서 생성한 랜덤 넘버 정보와 공격 장치(200)의 식별 정보(즉, IP)를 포함하는 HIH 생성 요청을 허니팟 컨트롤러(140)로 전송한다. 이에 따라, 허니팟 컨트롤러(140)는 랜덤 넘버 정보와 공격자 식별 정보에 기초하여 새로운 HIH를 허니넷 상에 임시로 생성하고, HIH 생성 요청에 대응하여 새로 생성된 HIH(150)의 식별 정보(예: IP)를 더 포함하는 HIH 생성 응답을 SDN 컨트롤러(120)로 전송한다.
이에 따라, SDN 컨트롤러(120)는 수신된 HIH 생성 응답에 기초하여, 오픈플로우 스위치(110)로 해당 공격 장치(200)의 패킷을 새로 생성된 HIH(150)로 리디렉트시키도록 요청한다.
위와 같은 동작에 따라, 공격 장치(200)는 공격 초기에 LIH(130)로부터 획득한 랜덤 서비스의 정보를 이용하여 특정 서비스 공격을 실행하게 되고(S60), 이러한 공격 장치(200)의 특정 서비스 공격은 오픈플로우 스위치(110)를 통해 허니넷의 HIH(150)로 전달되어 처리된다(S70).
이때, 새로 생성된 HIH(150)는 공격 장치(200)의 공격 기법 및 패턴을 파악한다. 즉, 공격 트래픽(attack traffic)이 수신될 때마다 공격자(attacker)의 활동을 처리함으로써 공격 기법 및 패턴을 수집할 수 있다. 그리고 생성된 HIH(150)는 향후 공격에 대응할 수 있도록 파악된 각종 정보를 허니팟 컨트롤러(140)를 통해 SDN 컨트롤러(120)에 업로드한다.
또한, 공격 장치(200)의 공격이 일정 시간 이상 중단되거나 또는 종료된 경우, SDN 컨트롤러(120)의 추가/삭제 엔진은 생성하였던 해당 HIH(150)를 삭제하는 절차를 수행한다. 이에 따라, 허니팟 컨트롤러(140)의 허니팟 핸들링 엔진은 API를 구동하여 해당 HIH(150)를 자동 삭제한다.
구체적으로, SDN 컨트롤러(120)의 관찰 엔진은 HIH(150)와 공격 장치(200)의 연결을 주기적으로 검사하고, HIH(150)와 공격 장치(200)의 연결이 종료되면 HIH(150)에 기록된 로그(log) 파일을 분석할 수 있다.
예를 들어, HIH(150)가 공격 트래픽(attack traffic)을 모두 처리하게 됨에 따라 HIH(150) 자체에 손상이 발생될 수 있다. 따라서, SDN 컨트롤러(120)는 HIH(150)의 감염을 예방하기 위해서 관찰 엔진을 통해 모든 HIH(150)를 감시한다. 이때, 관찰 엔진은 복수의 HIH에 대한 HIH 리스트를 저장 및 관리할 수 있으며, 리스트에 포함된HIH 별로 다른 내부 호스트 장치(미도시)와의 통신이 발생된 경우 즉시 해제시키고 해당 HIH를 새로 생성하도록 한다.
또한, SDN 컨트롤러(120)의 관찰 엔진은 사전에 연동된 오프라인 분석 서버(미도시)로 해당 공격 장치(200)에 관한 로그 파일을 전달하여 공격 기법, 패턴 및 활동을 분석하도록 할 수 있다.
또한, SDN 컨트롤러(120)의 추가/삭제 엔진은 공격 장치(200)와의 연결이 종료된 HIH(150)를 제거하도록 허니팟 컨트롤러(140)로 해당 HIH 삭제 요청을 전송한다. 이에 따라, 허니팟 컨트롤러(140)의 허니팟 핸들링 엔진은 수신된 HIH 삭제 요청에 대응하는 API를 구동시켜 해당 HIH(150)를 제거한 후 자원을 회수한다. 이를 통해 네트워크 내 자원이 더 이상 소모되지 않아 자원을 효율적으로 사용할 수 있다.
이하, 도 4를 참조하여 본 발명의 일 실시예에 따른 탄력적 허니넷 동작 방법에 대해서 상세히 설명하도록 한다.
도 4는 본 발명의 일 실시예에 따른 탄력적 허니넷 시스템의 운용 방법을 설명하기 위한 데이터 흐름도이다.
먼저, 공격 장치(200)가 호스트에 대한 공격 트래픽을 오픈플로우 스위치(110)로 전송하면(S401), 오픈플로우 스위치(110)는 공격 트래픽을 포함하는 패킷 인 메시지를 SDN 컨트롤러(120)로 전송한다(S402).
다음으로, SDN 컨트롤러(120)는 패킷 인 메시지에 대응하는 공격 장치(200)의 식별 정보(IP)에 기반하여 공격을 감지하고, 해당 공격에 대응하는 가상 서비스를 선택한다(S403).
이때, SDN 컨트롤러(120)는 사전에 구축된 공격 탐지용 블랙리스트로부터 공격 장치(200)의 IP가 검출되면, SDN 컨트롤러(120)는 공격 장치(200)로 제공할 복수의 가상 서비스(즉, 오픈 서비스)에 대한 랜덤 넘버를 생성한다. 이러한 랜덤 넘버는 앞서 도 3을 통해 설명한 바와 동일하므로 상세한 설명은 생략한다. 또한, 허니넷 상에 상시 실행 중인 LIH(130)에는 SDN 컨트롤러(120)가 생성한 랜덤 넘버에 대응하는 가상 호스트들이 구현되어, 추후 공격 장치(200)의 공격에 대한 초기 대응을 처리할 수 있다.
그런 다음, SDN 컨트롤러(120)는 공격 장치(200)의 공격에 대한 초기 대응을 위해, 공격 장치(200)의 공격 트래픽을 LIH(130)로 포워딩시키는 패킷 리디렉션 새규칙을 오픈플로우 스위치(110)로 전송하여 플로우테이블에 저장한다(S404).
이와 병렬적으로, SDN 컨트롤러(120)는 선택된 가상 서비스 정보(즉, 생성된 랜덤 넘버)와 공격 장치(200)의 IP를 포함하는 HIH 생성 요청을 허니팟 컨트롤러(140)로 전송한다(S405).
이에 따라, 허니팟 컨트롤러(140)는 HIH 생성 요청에 대응하여 API를 구동하고(S409), 허니넷 상에 새로운 가상 HIH(150)를 임시로 생성한다(S410).
이때, 허니팟 컨트롤러(140)는 공격 장치(200)에 대응하여 새로 생성된 HIH(150)의 정보(즉, IP)를 SDN 컨트롤러(120)로 전송하며, SDN 컨트롤러(120)는 랜덤 넘버 및 공격자 IP에 새로 생성된 HIH 정보를 매칭하여 저장 관리한다.
한편, 상기 단계(S404) 이후에 오픈플로우 스위치(110)는 새로운 플로우 정책에 따라 랜덤 넘버에 따른 서비스와 관련된 공격 장치(200)의 패킷을 LIH(130)로 전달한다(S406).
참고로, 최초 공격 이후에 공격 장치(200)로부터 설정되지 않은 다른 요청이 수신될 경우, 오픈플로우 스위치(110)는 해당 요청들에 따른 패킷은 실패 처리할 수 있다(S407).
도 4에서는 공격 장치(200)의 초기 공격이 열려있는 호스트 및 포트 정보들을 요구하는 스캐닝 공격인 것을 나타내었다. 이에 따라, LIH(130)는 설정된 오픈 서비스(즉, 랜덤 넘버에 따른 서비스)에 대한 정보를 공격 장치(200)로 응답하는 초기 대응을 수행한다(S408).
LIH(130)로부터 스캐닝 공격에 대한 응답을 수신한 공격 장치(200)는 오픈 플로우 스위치(110)로 랜덤 너버에 따른 서비스 중 특정 서비스에 대한 공격 트래픽을 전송하고(S411), 오픈플로우 스위치(110)는 이러한 특정 공격 트래픽을 포함하는 패킷 인 메시지를 SDN 컨트롤러(120)로 전달한다(S412).
그러면, SDN 컨트롤러(120)는 수신된 패킷 인 메시지로부터 특정 서비스 공격 정보를 검출하고(S413), 오픈플로우 스위치(110)로 공격 장치(200)의 특정 서비스 공격 패킷을 HIH(150)로 전달하도록 하는 리디렉션 새규칙을 전송한다(S414).
이에 따라, 오픈플로우 스위치(110)에는 공격 장치(200)의 트래픽에 대해 HIH(150)로의 전달을 설정하는 플로우 정책이 플로우 테이블에 저장된다.
다음으로, 오픈플로우 스위치(110)는 공격 장치(200)의 특정 서비스 공격(즉, 랜덤 넘버에 따른 서비스 중 특정 서비스에 대한 공격) 패킷을 HIH(150)로 전달한다(S415).
이에 따라, HIH(150)는 공격 장치(200)와 통신하여 해당 공격과 관련된 응답들을 전송한다(S416).
한편, 본 발명의 일 실시예에 따른 탄력적 허니넷 시스템의 동작 방법에서, SDN 컨트롤러(120)는 생성된 HIH(150)들의 내부 호스트와의 통신 상태를 수시로 감시하여 HIH(150)의 삭제 처리를 결정할 수 있으며, HIH(150)에 기록된 공격 장치(200)에 대한 로그 파일을 분석할 수 있다.
이에 따라, HIH(150)가 공격 장치(200)의 특정 서비스들에 대한 공격을 처리하면서 각각의 공격 패턴, 기법 및 활동 정보를 수집하여 SDN 컨트롤러(120)로 보고하는 단계를 더 포함할 수 있다.
또한, HIH(150)를 통한 공격 장치(200)의 공격이 중단 또는 종료된 경우, SDN 컨트롤러(120)는 해당 HIH(150)에 대한 제거 요청을 허니팟 컨트롤러(140)로 전달하는 단계를 더 포함할 수 있다.
이상에서와 같이, 본 발명의 일 실시예에 따른 탄력적 허니넷 시스템 및 그 동작 방법에 따르면, SDN을 통해 허니넷 시스템의 네트워크 관리를 효율적으로 할 수 있다. 이러한 탄력적 허니넷 시스템을 통해서는, 다른 시스템처럼 항상 공격자의 요청 트래픽에만 의존한 보안이 아니라 유연하고 능동적인 보안이 가능하다. 그리고 공격자의 요청에 대한 응답들을 효율적으로 감소시킬 수 있으며, 지정된 서비스와 관련된 일부 공격자의 요청에 대한 플로우 정책(flow rule)을 설정함으로써, 그 외의 모든 다른 요청들은 드롭(drop)시킬 수 있다. 또한, 허니넷 시스템의 효율적인 운용을 위해서는 LIH 의 대역폭 감소가 중요한 문제이나, 본 발명의 일 실시예에 따른 탄력적 허니넷 시스템에서는 대규모의 동시 다발적인 공격이 발생되더라도 LIH의 대역폭 증가는 매우 미비하다.
이상에서 설명한 본 발명의 일 실시예에 따른 SDN에 기반한 탄력적 허니넷 시스템 및 그 동작 방법은, 컴퓨터에 의해 실행되는 프로그램 모듈과 같은 컴퓨터에 의해 실행가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체 및 통신 매체를 모두 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다. 통신 매체는 전형적으로 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈, 또는 반송파와 같은 변조된 데이터 신호의 기타 데이터, 또는 기타 전송 메커니즘을 포함하며, 임의의 정보 전달 매체를 포함한다.
본 발명의 방법 및 시스템은 특정 실시예와 관련하여 설명되었지만, 그것들의 구성 요소 또는 동작의 일부 또는 전부는 범용 하드웨어 아키텍쳐를 갖는 컴퓨터 시스템을 사용하여 구현될 수 있다.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
100: 탄력적 허니넷 시스템
200: 공격 장치
110: 오픈플로우 스위치
120: SDN 컨트롤러
130: 로우-인터랙션 허니팟(LIH)
140: 허니팟 컨트롤러
150: 하이-인터랙션 허니팟(HIH)

Claims (11)

  1. SDN(Software Defined Networks)에 기반한 탄력적 허니넷 시스템에 있어서,
    복수의 사용자 단말 장치로부터 수신된 패킷을 SDN 컨트롤러의 플로우 정책에 따라 처리하는 오픈플로우 스위치;
    상기 오픈플로우 스위치를 통해 공격 장치의 공격 트래픽을 수신하면 가상의 HIH(High-Interaction Honeypot)를 생성하는 절차를 수행하고, 상기 공격 트래픽의 전달 경로를 설정하는 SDN 컨트롤러;
    상기 SDN 컨트롤러와 연동하여 상기 가상의 HIH를 허니넷 상에 임시로 생성하는 허니팟 컨트롤러;
    허니넷 상에서 상시 실행되며, 상기 SDN 컨트롤러의 제어에 따라 상기 오픈플로우 스위치를 통해 상기 공격 장치의 초기 공격 트래픽을 포워딩받아 처리하는 LIH(Low-Interaction Honeypot); 및
    상기 SDN 컨트롤러의 제어에 따라 상기 허니팟 컨트롤러에 의해 상기 허니넷 상에 임시로 생성되되, 상기 오픈플로우 스위치로부터 상기 LIH를 통한 상기 초기 공격 트래픽의 처리 절차 이후의 공격 트래픽을 수신하여 대응하는 처리를 수행하는 가상의 HIH를 포함하는, 탄력적 허니넷 시스템.
  2. 제 1 항에 있어서,
    상기 SDN 컨트롤러는,
    상기 공격 장치의 식별 정보에 기초하여 공격 트래픽을 감지하면 상기 공격 장치로 제공할 랜덤 서비스를 생성하고, 상기 랜덤 서비스 및 공격 장치에 대한 각각의 정보를 상기 LIH 및 HIH로 제공하되,
    상기 랜덤 서비스의 정보에는 적어도 하나의 운영 체제 및 포트가 포함된 것인, 탄력적 허니넷 시스템.
  3. 제 1 항에 있어서,
    상기 SDN 컨트롤러는,
    상기 공격 장치의 임의의 호스트에 대한 공격 트래픽을 감지하면,
    상기 공격 트래픽의 초기 패킷을 상기 LIH로 포워딩하도록 하는 플로우 정책을 상기 오픈플로우 스위치로 전송하고,
    상기 허니팟 컨트롤러로부터 상기 공격 트래픽에 대응하여 생성된 HIH의 식별 정보를 수신한 후, 상기 공격 트래픽의 초기 패킷 이후의 패킷을 상기 생성된 HIH로 포워딩하도록 하는 플로우 정책을 상기 오픈플로우 스위치로 전송하는 것인, 탄력적 허니넷 시스템.
  4. 제 1 항에 있어서,
    상기 SDN 컨트롤러는,
    적어도 하나의 HIH의 정보가 포함된 HIH 리스트의 HIH 별로 동작 상태를 감시하되,
    기설정된 감염 동작이 발생된 HIH, 상기 공격 장치와의 트래픽이 소정 시간 이상 중단된 HIH, 및 상기 공격 장치로부터의 공격이 종료된 HIH 중 적어도 하나에 대한 제거 요청을 상기 허니팟 컨트롤러로 전송하는, 탄력적 허니넷 시스템.
  5. 제 1 항에 있어서,
    상기 HIH는 상기 공격 장치의 공격 트래픽에 관련된 로그 파일을 수집하여 상기 SDN 컨트롤러로 전달하는 것인, 탄력적 허니넷 시스템.
  6. SDN(Software Defined Networks)에 기반한 탄력적 허니넷 시스템의 SDN 컨트롤러에 있어서,
    보안용 허니넷 관리 프로그램이 저장된 메모리; 및
    상기 메모리에 저장된 프로그램을 실행하는 프로세서를 포함하며,
    상기 프로세서는 상기 보안용 허니넷 관리 프로그램의 실행에 따라, 오픈플로우 스위치로부터 공격 장치의 임의의 호스트에 대한 공격 트래픽이 수신되면 상기 공격 트래픽의 초기 패킷을 허니넷 상에 상시 실행 중인 LIH(Low-Interaction Honeypot)로 포워딩하도록 제어하고, 상기 공격 장치에 대해 제공할 가상의 랜덤 서비스를 생성하고, 상기 랜덤 서비스의 정보 및 공격 장치의 식별 정보를 포함하는 HIH(High-Interaction Honeypot) 생성 요청을 허니팟 컨트롤러로 전송하여 상기 허니넷 상에 가상의 HIH를 임시 생성하도록 하고, 상기 허니팟 컨트롤러로부터 생성된 HIH의 식별 정보를 포함하는 HIH 생성 응답을 수신하면 상기 LIH를 통한 상기 초기 공격 패킷에 대한 처리 절차 이후의 공격 패킷을 상기 HIH로 포워딩하도록 제어하며,
    상기 랜덤 서비스의 정보에는 적어도 하나의 운영 체제 및 포트가 포함된 것인, SDN 컨트롤러.
  7. 제 6 항에 있어서,
    상기 프로세서는,
    상기 공격 트래픽의 초기 패킷을 상기 LIH로 포워딩하도록 하는 플로우 정책을 상기 오픈플로우 스위치로 전송하고,
    상기 허니팟 컨트롤러로부터 상기 공격 트래픽에 대응하여 생성된 HIH의 식별 정보를 수신한 후, 상기 공격 트래픽의 초기 패킷 이후의 패킷을 상기 생성된 HIH로 포워딩하도록 하는 플로우 정책을 상기 오픈플로우 스위치로 전송하는 것인, SDN 컨트롤러.
  8. 제 6 항에 있어서,
    상기 프로세서는,
    적어도 하나의 HIH의 정보가 포함된 HIH 리스트의 HIH 별로 동작 상태를 감시하되,
    기설정된 감염 동작이 발생된 HIH, 상기 공격 장치와의 트래픽이 소정 시간 이상 중단된 HIH, 및 상기 공격 장치로부터의 공격이 종료된 HIH 중 적어도 하나에 대한 제거 요청을 상기 허니팟 컨트롤러로 전송하는, SDN 컨트롤러.
  9. 제 6 항에 있어서,
    상기 프로세서는,
    상기 HIH로부터 상기 공격 장치의 공격 트래픽에 관련된 로그 파일을 수신하고, 상기 로그파일에 기초하여 공격 패턴, 기법 및 활동 정보 중 적어도 하나를 분석하는 것인, SDN 컨트롤러.
  10. SDN(Software Defined Networks)에 기반한 탄력적 허니넷 시스템의 SDN 컨트롤러의 탄력적 허니넷 동작 방법에 있어서,
    오픈플로우 스위치를 통해 공격 장치의 공격 트래픽을 수신하는 단계;
    상기 공격 트래픽의 초기 패킷을 허니넷 상에 상시 실행 중인 LIH(Low-Interaction Honeypot)로 포워딩하도록 하는 플로우 정책을 상기 오픈플로우 스위치로 전송하는 단계;
    상기 공격 장치에 대해 제공할 가상의 랜덤 서비스를 생성하고, 상기 랜덤 서비스의 정보 및 공격 장치의 식별 정보를 포함하는 HIH(High-Interaction Honeypot) 생성 요청을 허니팟 컨트롤러로 전송하여 상기 허니넷 상에 가상의 HIH를 임시 생성하도록 하는 단계; 및
    상기 허니팟 컨트롤러로부터 생성된 HIH의 식별 정보를 포함하는 HIH 생성 응답을 수신하면, 상기 오픈플로우 스위치로 상기 LIH를 통한 상기 초기 공격 패킷에 대한 처리 절차 이후의 공격 패킷을 상기 HIH로 포워딩하도록 하는 플로우 정책을 전송하는 단계를 포함하며,
    상기 랜덤 서비스의 정보에는 적어도 하나의 운영 체제 및 포트가 포함된 것이고,
    상기 스위치로 상기 LIH를 통한 상기 초기 공격 패킷에 대한 처리 절차 이후의 공격 패킷은 상기 HIH로 전달되어 처리되는 것인, 탄력적 허니넷 동작 방법.
  11. 제 10 항에 있어서,
    상기 가상의 HIH를 임시 생성하도록 하는 단계 이후에,
    적어도 하나의 HIH의 정보가 포함된 HIH 리스트의 HIH 별로 동작 상태를 감시하는 단계; 및
    기설정된 감염 동작이 발생된 HIH, 상기 공격 장치와의 트래픽이 소정 시간 이상 중단된 HIH, 및 상기 공격 장치로부터의 공격이 종료된 HIH 중 적어도 하나에 대한 제거 요청을 상기 허니팟 컨트롤러로 전송하는 단계를 더 포함하는, 탄력적 허니넷 동작 방법.
KR1020180108591A 2017-09-11 2018-09-11 탄력적 허니넷 시스템 및 그 동작 방법 KR102155262B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20170115940 2017-09-11
KR1020170115940 2017-09-11

Publications (2)

Publication Number Publication Date
KR20190029486A true KR20190029486A (ko) 2019-03-20
KR102155262B1 KR102155262B1 (ko) 2020-09-11

Family

ID=66036194

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180108591A KR102155262B1 (ko) 2017-09-11 2018-09-11 탄력적 허니넷 시스템 및 그 동작 방법

Country Status (1)

Country Link
KR (1) KR102155262B1 (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109088901A (zh) * 2018-10-31 2018-12-25 杭州默安科技有限公司 基于sdn构建动态网络的欺骗防御方法和系统
CN110881052A (zh) * 2019-12-25 2020-03-13 成都知道创宇信息技术有限公司 网络安全的防御方法、装置及系统、可读存储介质
CN111818077A (zh) * 2020-07-21 2020-10-23 北方工业大学 一种基于sdn技术的工控混合蜜罐系统
CN113037731A (zh) * 2021-02-27 2021-06-25 中国人民解放军战略支援部队信息工程大学 基于sdn架构和蜜网的网络流量控制方法及系统
CN115460002A (zh) * 2022-09-13 2022-12-09 北京天融信网络安全技术有限公司 一种蜜网动态部署方法及系统
CN116192495A (zh) * 2023-02-15 2023-05-30 国核自仪系统工程有限公司 电力监控系统蜜场的设计方法、系统、设备和介质
KR102651735B1 (ko) * 2023-05-26 2024-03-28 쿤텍 주식회사 가상 세션을 이용한 허니팟 시스템 및 허니팟 운영 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170055053A (ko) * 2015-11-10 2017-05-19 주식회사 나임네트웍스 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템 및 그 구동 방법
KR101753647B1 (ko) 2015-10-27 2017-07-05 제노테크주식회사 클라우드 컴퓨팅 기반의 허니팟 보안시스템 및 그 실행방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101753647B1 (ko) 2015-10-27 2017-07-05 제노테크주식회사 클라우드 컴퓨팅 기반의 허니팟 보안시스템 및 그 실행방법
KR20170055053A (ko) * 2015-11-10 2017-05-19 주식회사 나임네트웍스 소프트웨어 정의 네트워크를 이용한 유도 방어 시스템 및 그 구동 방법

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109088901A (zh) * 2018-10-31 2018-12-25 杭州默安科技有限公司 基于sdn构建动态网络的欺骗防御方法和系统
CN110881052A (zh) * 2019-12-25 2020-03-13 成都知道创宇信息技术有限公司 网络安全的防御方法、装置及系统、可读存储介质
CN111818077A (zh) * 2020-07-21 2020-10-23 北方工业大学 一种基于sdn技术的工控混合蜜罐系统
CN113037731A (zh) * 2021-02-27 2021-06-25 中国人民解放军战略支援部队信息工程大学 基于sdn架构和蜜网的网络流量控制方法及系统
CN115460002A (zh) * 2022-09-13 2022-12-09 北京天融信网络安全技术有限公司 一种蜜网动态部署方法及系统
CN116192495A (zh) * 2023-02-15 2023-05-30 国核自仪系统工程有限公司 电力监控系统蜜场的设计方法、系统、设备和介质
CN116192495B (zh) * 2023-02-15 2023-11-10 国核自仪系统工程有限公司 电力监控系统蜜场的设计方法、系统、设备和介质
KR102651735B1 (ko) * 2023-05-26 2024-03-28 쿤텍 주식회사 가상 세션을 이용한 허니팟 시스템 및 허니팟 운영 방법

Also Published As

Publication number Publication date
KR102155262B1 (ko) 2020-09-11

Similar Documents

Publication Publication Date Title
KR102155262B1 (ko) 탄력적 허니넷 시스템 및 그 동작 방법
US9729567B2 (en) Network infrastructure obfuscation
Kandoi et al. Denial-of-service attacks in OpenFlow SDN networks
US20190020689A1 (en) Network privilege manager for a dynamically programmable computer network
US10862854B2 (en) Systems and methods for using DNS messages to selectively collect computer forensic data
US20180146008A1 (en) Implementing Decoys in Network Endpoints
CN107135279B (zh) 一种处理长连接建立请求的方法和装置
WO2019237813A1 (zh) 一种服务资源的调度方法及装置
Qian et al. Openflow flow table overflow attacks and countermeasures
JP2015503274A (ja) 仮想レーンの動的割り当てを用いてファットツリートポロジにおける輻輳を緩和するためのシステムおよび方法
WO2013178099A1 (zh) 一种实现远程桌面的系统、方法、客户端和服务中心
US11201915B1 (en) Providing virtual server identity to nodes in a multitenant serverless execution service
US20220255898A1 (en) Systems and methods for monitoring and securing networks using a shared buffer
US11595419B2 (en) Communication monitoring system, communication monitoring apparatus, and communication monitoring method
KR20210016802A (ko) 소프트웨어 정의 네트워킹 환경에서 서버-클라이언트 기반의 네트워크 서비스를 위한 플로우 테이블을 최적화하는 방법 및 이를 위한 sdn 스위치
US11048539B2 (en) Transitioning virtual machines to an inactive state
CN114244610B (zh) 一种文件传输方法、装置,网络安全设备及存储介质
WO2021093510A1 (zh) 网络业务的处理方法、系统和网关设备
KR20190029487A (ko) 탄력적 침입 탐지 시스템 및 그 동작 방법
US11283823B1 (en) Systems and methods for dynamic zone protection of networks
CN107113280A (zh) 一种网络控制方法与虚拟交换机
Petitti Appjudicator: Enhancing Android Network Analysis through UI Monitoring
CN106341344B (zh) 一种多通道流程的流分类方法和装置
Iordache-Sica et al. Seamless Hardware-Accelerated Kubernetes Networking
Srivastava et al. Network Monitoring of Cyber Physical System

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant