KR20190036662A - 네트워크 보안장치 및 보안방법 - Google Patents

네트워크 보안장치 및 보안방법 Download PDF

Info

Publication number
KR20190036662A
KR20190036662A KR1020170125822A KR20170125822A KR20190036662A KR 20190036662 A KR20190036662 A KR 20190036662A KR 1020170125822 A KR1020170125822 A KR 1020170125822A KR 20170125822 A KR20170125822 A KR 20170125822A KR 20190036662 A KR20190036662 A KR 20190036662A
Authority
KR
South Korea
Prior art keywords
address
domain name
module
stored
site
Prior art date
Application number
KR1020170125822A
Other languages
English (en)
Inventor
남궁규정
이형수
손기조
Original Assignee
(주)휴먼스타
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)휴먼스타 filed Critical (주)휴먼스타
Priority to KR1020170125822A priority Critical patent/KR20190036662A/ko
Publication of KR20190036662A publication Critical patent/KR20190036662A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • H04L61/1511
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크 보안장치 및 보안방법에 관한 것으로서, 보다 상세하게는 사용자가 단말기를 이용하여 원하는 사이트에 접속하고자 하는 경우에 DNS 스푸핑(spoofing) 공격, 파밍(pharming) 공격 및 유해 사이트 접속을 차단할 수 있는 네트워크 보안장치 및 보안방법에 관한 것이다.

Description

네트워크 보안장치 및 보안방법{Network Securing Device and Securing method Using The Same}
본 발명은 단말기 네트워크 보안장치 및 보안방법에 관한 것으로서, 보다 상세하게는 사용자가 단말기를 이용하여 네트워크를 통해 원하는 사이트에 접속하고자 하는 경우에 DNS 스푸핑(spoofing) 공격, 파밍(pharming) 공격 및 유해 사이트 접속을 차단할 수 있는 네트워크 보안장치 및 보안방법에 관한 것이다.
인터넷의 편리함으로 말미암아 개인과 기업들의 경제활동에서 전자메일, 파일 전송과 같이 간단한 업무 처리뿐 아니라, 전자결재, 웹 서버를 통한 기업 광고, 전자상거래에 이르기까지 일상생활의 전반적인 영역에 걸쳐 인터넷이 활용되고 있다. 이와 같이 인터넷 이용이 일반화되면서, 인터넷 상에서 사용자의 개인 정보 등을 탈취하기 위한 인터넷 상의 각종 공격이 성행하고 있다.
이러한 인터넷 네트워크 상의 공격은 예를 들어 파밍(pharming) 공격 또는 DNS 스푸핑(DNS spoofing) 공격 등을 들 수 있다.
DNS(domain name server 또는 domain name system, 이하 DNS)란 특정 사이트에 접속하는 경우에 도메인 네임을 IP 주소로 전환시켜 주는 시스템을 뜻한다. 따라서 사용자들은 특정 웹사이트에 접속할 때, 해당 웹사이트의 IP주소 대신 도메인 네임을 입력하여 접속할 수 있다.
그런데 컴퓨터 등의 단말기는 도메인 네임을 IP주소로 변환할 때, 처음부터 DNS를 검색하는 것은 아니고, 컴퓨터 내부에 있는 호스트 파일을 먼저 참조한다. 사용자들이 사용하는 컴퓨터에는 일반적으로 호스트 파일이 존재하는데, 이 파일은 IP주소와 도메인 네임을 매핑 시켜주는 파일에 해당한다. 따라서 호스트 파일에서 원하는 도메인 네임을 찾는다면 더이상 DNS에 IP주소를 요청하지 않는다.
도 1의 (A)는 컴퓨터와 같은 단말기(100)의 호스트(hosts) 파일을 통해 해당 웹사이트(150)에 접속하는 과정을 도시한다.
사용자가 특정 웹사이트의 도메인 네임을 입력하나 경우, 단말기(100)의 호스트 파일(미도시)에 매칭되는 도메인 네임과 IP주소가 있다면, 단말기(100)는 DNS 서버(120)(도 1의 (B) 참조)를 호출하지 않고 호스트 파일에서 직접 찾아낸 IP 주소로 웹사이트(150)에 접속하게 된다.
전술한 파밍 공격은 이러한 호스트 파일의 특성을 악용한 사례에 해당한다. 즉, 해커(hacker)의 직접해킹 또는 악성코드 감염 등으로 인해 사용자 단말기의 호스트 파일이 변조되는 경우 호스트 파일에는 해커가 의도한 가짜 사이트 주소가 기록된다. 따라서, 사용자가 정확한 도메인 주소를 입력하여 인터넷 접속을 시도하더라도 단말기는 호스트 파일을 참조하여 가짜 사이트 주소로 이동시켜 사용자에게 가짜 사이트를 보여주게 된다. 따라서, 사용자는 가짜 사이트에 접속하여 개인 정보 등을 유출할 수 있다.
한편, 단말기는 사용자들이 입력한 도메인 네임이 호스트 파일에 없는 경우에 도 1의 (B)에 도시된 바와 같이 접속하고자 하는 도메인 네임에 해당하는 IP 주소를 DNS 서버(120)에 문의한다(DNS 쿼리 : DNS query). 이 경우, 상기 DNS 서버(120)가 해당 IP 주소를 사용자의 단말기(100)로 전송하게 되며, 단말기(100)는 전송 받은 IP 주소를 사용하여 해당 웹사이트(150)에 접속하게 된다.
그런데, 전술한 DNS 스푸핑(DNS spoofing) 공격은 실제 DNS 서버(120)보다 빨리 공격 대상인 사용자 단말기(100)에게 DNS Response 패킷을 보내, 단말기(100)가 잘못된 IP 주소의 웹사이트로 접속을 하도록 유도하는 공격이다.
예를 들어, 사용자가 단말기(100)를 통해 DNS 서버(120)로 DNS Query 패킷을 보내는 것을 확인한 경우, 해커는 DNS 서버(120)가 올바른 DNS Response 패킷을 보내주기 전에 사용자에게 위조된 DNS Response 패킷을 보낼 수 있다.
이때, 사용자의 단말기(100)는 해커가 보낸 DNS Response 패킷을 올바른 패킷으로 인식하고 웹사이트에 접속하게 되며, 이 경우 사용자가 접속한 사이트는 정상 사이트가 아니라 해커가 만든 가짜 사이트에 해당한다.
그런데, 종래에는 인터넷과 같은 네트워크에 연결된 단말기를 감시하는 경우에 파밍 공격 또는 DNS 스푸핑 공격과 같이 어느 하나의 공격에 최적화된 감시시스템을 제공하였으며, 파밍 공격 또는 DNS 스푸핑 공격과 같이 모든 공격에 대한 전반적인 감시가 가능한 네트워크 보안장치 및 보안방법을 제공하지 못하였다.
본 발명은 사용자가 PC 등의 단말기를 이용하여 인터넷 네트워크를 통해 목적 사이트에 접속하고자 하는 경우에 DNS 스푸핑(spoofing) 공격, 파밍(pharming) 공격 및 유해 사이트 접속을 차단할 수 있는 네트워크 보안장치 및 보안방법을 제공하는 것을 목적으로 한다.
상기 과제를 해결하기 위하여, 본 발명은 네트워크 보안장치를 이용한 네트워크 보안방법에 있어서, 사용자의 단말기가 인터넷 네트워크를 통해 어느 하나의 웹사이트에 접속을 시도하는 경우, 사용자의 단말기가 접속을 시도하는 웹사이트의 IP주소와 도메인 네임을 추출하는 단계; 및 상기 네트워크 보안장치를 구성하고 사용자의 단말기를 통해 접속 이력이 있는 웹사이트의 IP주소와 상기 IP주소에 대응하는 도메인 네임을 저장하는 DB모듈에 저장된 IP주소 및 도메인 네임과 상기 추출된 IP주소 및 도메인 네임을 비교하여 일치하는지 여부를 판단하여 사이트 접속허용 여부를 결정하는 단계;를 포함하는 것을 특징으로 하는 네트워크 보안방법을 제공할 수 있다.
또한, 상기 웹 사이트의 IP주소와 도메인 네임을 추출하는 단계에서 상기 단말기의 호스트 파일을 통해 접속하고자 하는 사이트 또는 DNS 서버를 통해 접속하고자 하는 사이트의 IP주소와 도메인 네임을 추출할 수 있다.
나아가, 상기 웹 사이트의 IP주소와 도메인 네임을 추출하는 단계에서 HTTP 프로토콜 또는 HTTPS 프로토콜을 이용하여 상기 단말기가 접속을 시도하는 사이트의 IP주소와 도메인 네임을 추출할 수 있다.
그리고, 상기 추출된 IP주소 및 도메인 네임이 상기 DB 모듈에 이미 저장된 IP주소 및 도메인 네임과 일치하는 경우에, 상기 추출된 IP주소 및 도메인 네임이 상기 DB 모듈에 구비되는 유해사이트 DB에 저장된 IP주소 및 도메인 네임과 일치하는 경우 사이트 접속을 차단하고, 상기 유해사이트DB에 저장되지 않은 경우에 사이트 접속을 허용할 수 있다.
여기서, 상기 추출된 IP주소 및 도메인 네임이 상기 DB 모듈에 저장되어 있지 않거나 이미 저장된 IP주소 및 도메인 네임과 일치하지 않는 경우에, 자체 DNS 서버와 외부의 DNS 서버로 구성되는 복수개의 DNS 서버군을 통해 전송된 상기 웹 사이트의 IP주소 및 도메인 네임을 상기 추출된 IP주소 및 도메인 네임과 비교하는 단계; 및, 상기 비교 결과에 따라 상기 DB 모듈에 정보를 저장 또는 수정하거나, 상기 추출된 IP주소 및 도메인 네임의 웹사이트에 대한 접속에 대하여 경고 또는 접속을 차단하는 단계를 포함할 수 있다.
한편, 상기 단말기가 시도하는 웹사이트에 대한 접속에 대하여 경고 또는 접속을 차단하는 경우에 HTTP 프로토콜 및 HTTPS 프로토콜을 이용할 수 있다.
이 경우, 상기 복수개의 DNS 서버군을 통해 전송된 상기 웹 사이트의 IP주소 및 도메인 네임이 미리 결정된 비율 이상으로 서로 일치하는 경우에, 상기 미리 결정된 비율 이상으로 일치하는 IP주소 및 도메인 네임을 상기 추출된 IP주소 및 도메인 네임과 비교할 수 있다.
그리고, 상기 복수개의 DNS 서버군을 통해 전송되어 미리 결정된 비율 이상으로 일치하는 IP주소 및 도메인 네임이 상기 추출된 IP주소 및 도메인 네임과 일치하는 경우에 상기 미리 결정된 비율 이상 일치된 IP주소 및 도메인 네임을 상기 DB모듈에 저장하거나 이미 저장된 정보를 수정하고 저장 또는 수정된 IP주소 및 도메인 네임의 웹사이트 접속을 허용할 수 있다.
또한, 상기 복수개의 DNS 서버군을 통해 전송된 상기 웹 사이트의 IP주소 및 도메인 네임이 미리 결정된 비율 미만으로 일치하는 경우 상기 추출된 IP주소 및 도메인 네임의 웹사이트 접속에 대하여 사용자에게 경고하거나 상기 추출된 IP주소 및 도메인 네임의 웹사이트 접속을 차단할 수 있다.
또한, 상기 외부의 DNS 서버는 미리 지정된 복수개의 DNS 서버로 구성되거나 또는 무작위로 지정된 복수개의 DNS 서버로 구성될 수 있다.
그리고, 상기 DB 모듈에 저장된 IP주소 및 도메인 네임을 소정 주기로 업데이트하는 단계를 더 포함할 수 있다.
여기서, 상기 업데이트 하는 단계는 자체 DNS 서버와 외부의 DNS 서버로 구성되는 복수개의 DNS 서버군을 통해 전송된 웹 사이트의 IP주소 및 도메인 네임을 미리 저장된 IP주소 및 도메인 네임과 비교하는 단계; 및 상기 복수개의 DNS 서버군을 통해 전송된 상기 웹 사이트의 IP주소 및 도메인 네임이 미리 저장된 IP주소 및 도메인 네임과 상이한 경우에 상기 DB모듈에 저장된 웹 사이트의 IP주소 및 도메인 네임을 수정하는 단계;를 포함할 수 있다.
또한, 상기 과제를 해결하기 위하여, 본 발명은 사용자의 단말기가 인터넷 네트워크를 통해 어느 하나의 웹 사이트에 접속을 시도하는 경우에 사용자가 접속하고자 하는 웹 사이트의 IP주소와 도메인 네임을 추출하는 추출모듈; 자체 DNS 서버와 외부의 DNS 서버로 구성되는 복수개의 DNS 서버군을 통해 웹 사이트의 IP주소와 도메인 네임을 전송받는 DNS모듈; 접속 이력이 있는 웹사이트의 IP주소와 상기 웹 사이트의 IP주소에 대응하는 도메인 네임을 저장하며, 상기 저장된 IP주소와 도메인 네임을 소정 주기로 업데이트하는 DB모듈; 및 상기 추출된 IP주소 및 도메인 네임을 상기 DB모듈에 저장된 IP주소 및 도메인 네임과 비교하여 일치하는지 여부를 판단하여 사이트 접속허용 여부를 결정하는 제어모듈;을 포함하는 것을 특징으로 하는 네트워크 보안장치를 제공할 수 있다.
또한, 상기 추출모듈은 상기 단말기의 호스트 파일을 통해 접속하고자 하는 사이트 또는 DNS 서버를 통해 접속하고자 하는 사이트의 IP주소와 도메인 네임을 추출할 수 있다.
나아가, 상기 추출모듈은 HTTP프로토콜 및 HTTPS프로토콜을 이용하여 상기 단말기가 접속을 시도하는 사이트의 IP주소와 도메인 네임을 추출할 수 있다.
그리고, 상기 제어모듈은 상기 추출된 IP주소 및 도메인 네임이 상기 DB 모듈에 이미 저장된 IP주소 및 도메인 네임과 일치하는 경우에, 상기 추출된 IP주소 및 도메인 네임이 상기 DB 모듈에 구비되는 유해사이트 DB에 저장된 IP주소 및 도메인 네임과 일치하는 경우 사이트 접속을 차단하고, 상기 유해사이트DB에 저장되지 않은 경우에 사이트 접속을 허용할 수 있다.
여기서, 상기 제어모듈은 상기 추출된 IP주소 및 도메인 네임이 상기 DB모듈에 저장되어 있지 않거나 이미 저장된 IP주소 및 도메인 네임과 일치하지 않는 경우에, 상기 DNS 모듈을 통해 전송된 상기 웹 사이트의 IP주소 및 도메인 네임을 상기 추출된 IP주소 및 도메인 네임과 비교하며, 상기 비교 결과에 따라 상기 DB 모듈에 정보를 저장 또는 수정하거나, 상기 추출된 IP주소 및 도메인 네임의 웹사이트에 대한 접속에 대하여 경고 또는 접속을 차단할 수 있다.
이 때, 상기 제어모듈은 HTTP프로토콜 및 HTTPS프로토콜을 이용하여 상기 단말기가 시도하는 웹사이트에 대한 접속에 대하여 경고 또는 접속을 차단할 수 있다.
이 경우, 상기 제어모듈은 상기 복수개의 DNS 서버군을 통해 전송된 상기 웹 사이트의 IP주소 및 도메인 네임이 미리 결정된 비율 이상으로 서로 일치하는 경우에 상기 미리 결정된 비율 이상으로 일치하는 IP주소 및 도메인 네임을 상기 추출된 IP주소 및 도메인 네임과 비교할 수 있다.
그리고, 상기 제어모듈은 상기 복수개의 DNS 서버군을 통해 전송되어 미리 결정된 비율 이상으로 일치하는 IP주소 및 도메인 네임이 상기 추출된 IP주소 및 도메인 네임과 일치하는 경우에 상기 미리 결정된 비율 이상 일치된 IP주소 및 도메인 네임을 상기 DB모듈에 저장하거나 이미 저장된 정보를 수정하고 저장 또는 수정된 IP주소 및 도메인 네임의 웹사이트 접속을 허용할 수 있다.
또한, 상기 제어모듈은 상기 복수개의 DNS 서버군을 통해 전송된 상기 웹 사이트의 IP주소 및 도메인 네임이 미리 결정된 비율 미만으로 일치하는 경우 상기 추출된 IP주소 및 도메인 네임의 웹사이트 접속에 대하여 사용자에게 경고하거나 상기 추출된 IP주소 및 도메인 네임의 웹사이트 접속을 차단할 수 있다.
그리고, 상기 DNS 모듈은 자체 DNS 서버와 미리 지정된 복수개의 외부 DNS 서버 또는 무작위로 지정된 복수개의 외부 DNS 서버에서 웹 사이트의 IP주소와 도메인 네임을 전송받을 수 있다.
상기 제어모듈은 상기 DB 모듈에 저장된 IP주소 및 도메인 네임을 소정 주기로 업데이트할 수 있다.
상기 제어모듈은 자체 DNS 서버와 외부의 DNS 서버로 구성되는 복수개의 DNS 서버군을 통해 전송된 웹 사이트의 IP주소 및 도메인 네임을 미리 저장된 IP주소 및 도메인 네임과 비교하며, 상기 복수개의 DNS 서버군을 통해 전송된 상기 웹 사이트의 IP주소 및 도메인 네임이 미리 저장된 IP주소 및 도메인 네임과 상이한 경우에 상기 DB모듈에 저장된 웹 사이트의 IP주소 및 도메인 네임을 수정할 수 있다.
상기 제어모듈은 상기 복수개의 DNS 서버군을 통해 전송된 상기 웹 사이트의 IP주소 및 도메인 네임이 미리 결정된 비율 이상으로 서로 일치하는 경우에 상기 미리 결정된 비율 이상으로 일치하는 IP주소 및 도메인 네임을 상기 미리 저장된 IP주소 및 도메인 네임과 비교하며, 상기 복수개의 DNS 서버군을 통해 전송된 상기 웹 사이트의 IP주소 및 도메인 네임이 미리 결정된 비율 미만으로 일치하는 경우 상기 미리 저장된 IP주소 및 도메인 네임과 비교하지 않고 상기 DB모듈에 저장된 웹 사이트의 IP주소 및 도메인 네임을 수정하지 않을 수 있다.
본 발명의 네트워크 보안장치 및 보안방법에 따르면 사용자가 PC 등의 단말기를 이용하여 네트워크를 통해 목적 사이트에 접속하고자 하는 경우에 DNS 스푸핑(spoofing) 공격, 파밍(pharming) 공격 및 유해 사이트 접속을 차단할 수 있다.
도 1은 단말기를 통해 웹 사이트에 접속하는 종래 과정을 도시한 개략도,
도 2는 본 발명에 따른 보안장치가 사용자 단말기의 네트워크 환경에 연결된 상태를 도시한 개략도,
도 3은 상기 보안장치의 구성을 도시한 블럭도,
도 4 및 도 5는 본 발명에 따른 보안방법을 순차적으로 도시한 순서도이다.
이하, 첨부된 도면을 참조하여 본 명세서에 개시된 실시 예를 상세히 설명한다. 본 명세서는, 서로 다른 실시예라도 동일·유사한 구성에 대해서는 동일·유사한 참조번호를 부여하고, 그 설명은 처음 설명으로 갈음한다. 본 명세서에서 사용되는 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 또한, 본 명세서에 개시된 실시 예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 명세서에 개시된 실시 예의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 첨부된 도면은 본 명세서에 개시된 실시 예를 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 명세서에 개시된 기술적 사상이 제한되는 것으로 해석되어서는 아니 됨을 유의해야 한다.
도 2는 본 발명에 따른 보안장치(1000)가 사용자 단말기(100)의 네트워크 환경에 연결된 상태를 도시한 개략도이다.
도 2를 참조하면, 상기 보안장치(1000)는 사용자의 단말기(100)가 인터넷에 접속하는 네트워크 스위치(미도시) 등을 통해 물리적으로 접속할 수 있다.
도 2의 (A)는 사용자의 단말기(100)에 저장된 호스트 파일을 통해 웹사이트(150)에 접속하는 경우를 도시하며, 도 2의 (B)는 사용자의 단말기(100)가 DNS 서버(120)를 통해 도메인 네임에 해당하는 IP 주소를 전송받아 해당 웹사이트(150)에 접속하는 경우를 도시한다.
즉, 본 발명에 따른 보안장치(1000)는 사용자의 단말기(100)가 호스트 파일의 IP 주소를 통해 웹사이트(150)에 접속하는 경우 또는 DNS 서버(120)를 통해 수신된 IP 주소를 통해 웹사이트(150)에 접속하는 모든 경우에 대해서 단말기(100)가 정상적인 웹사이트에 접속하는지를 감시할 수 있다.
이하, 도면을 참조하여 보안장치(1000)의 구성에 대해서 먼저 살펴보고 이어서 보안방법에 대해서 상세히 살펴보기로 한다.
도 3은 상기 보안장치(1000)의 구성을 도시한 블록도이다.
도 3을 참조하면, 상기 보안장치(1000)는 사용자의 단말기(100)(도 2 참조)가 인터넷 네트워크를 통해 어느 하나의 웹 사이트에 접속을 시도하는 경우에 사용자의 단말기(100)가 접속하고자 하는 웹사이트의 IP주소와 도메인 네임을 추출하는 추출모듈(1100), 자체 DNS 서버(210)와 복수개의 외부 DNS 서버(220)로 구성되는 복수개의 DNS 서버군(200)을 통해 웹사이트의 IP주소와 도메인 네임을 전송받는 DNS모듈(1300), 접속 이력이 있는 웹사이트의 IP주소와 상기 IP주소에 대응하는 도메인 네임을 저장하며, 상기 저장된 IP주소와 도메인 네임을 미리 결정된 주기로 업데이트하는 DB모듈(1400) 및 상기 추출된 IP주소 및 도메인 네임을 DB모듈(1400)에 저장된 IP주소 및 도메인 네임과 비교하여 일치하는지 여부를 판단하여 사이트 접속허용 여부를 결정하는 제어모듈(1200)을 포함한다.
상기 추출모듈(1100)은 사용자의 단말기(100)가 인터넷에 접속하는 네트워크 스위치(미도시) 등에 포트 미러링(port mirroring)을 통해 접속하고자 하는 웹사이트의 IP 주소와 도메인 네임을 추출한다.
구체적으로, 상기 추출모듈(1100)은 전술한 포트 미러링 기법을 통해 접속하고자 하는 웹사이트에 대한 출발지 IP, 목적지 IP, HTTP method, HTTP 헤더 정보 등을 분석하여 접속하고자 하는 웹사이트의 IP 주소와 도메인 네임을 추출한다.
이 경우, 상기 추출모듈(1100)은 상기 단말기(100)가 접속을 시도하는 웹사이트의 IP주소와 도메인 네임을 추출하는 경우에 HTTP 프로토콜 및 HTTPS 프로토콜을 이용하게 된다.
한편, DB모듈(1400)은 사용자가 단말기(100)를 통해 접속한 웹사이트의 IP 주소와 상기 IP 주소에 대응하는 도메인 네임을 저장하는 데이터베이스에 해당한다. 이 경우, 상기 DB 모듈(1400)은 정상적인 사이트에 대한 IP 주소와 도메인 네임을 저장하는 정상사이트 DB(1410)와 유해사이트에 대한 IP 주소와 도메인 네임을 저장하는 유해사이트 DB(1430)를 포함할 수 있다.
또한, 상기 DB 모듈(1400)은 저장하고 있는 정보에 대한 무결성을 유지하기 위하여 미리 결정된 주기로 또는 실시간으로 저장하고 있는 정보에 대한 비교작업 및 업데이트 작업을 수행하게 된다. 이에 대한 구체적인 설명은 후술하는 보안방법에 대한 설명에서 상세히 살펴보기로 한다.
한편 DNS 모듈(1300)은 전술한 추출모듈(1100)에서 추출된 웹사이트의 IP 주소와 도메인 네임이 상기 DB 모듈(1400)에 저장되어 있지 않거나 또는 상기 추출된 웹사이트의 IP 주소와 도메인 네임이 상기 DB 모듈(1400)에 저장된 정보와 상이한 경우에 자체 DNS 서버(210)와 외부 DNS 서버(220)로 구성되는 복수개의 DNS 서버군(200)을 통해 상기 추출된 웹사이트의 IP 주소와 도메인 네임을 검증하는 역할을 하게 된다.
전술한 추출모듈(1100), DB 모듈(1400) 및 DNS 모듈(1300)은 제어모듈(1200)에 의해 제어되며, 상기 제어모듈(1200)은 상기 추출모듈(1100)에서 추출된 IP주소 및 도메인 네임을 상기 DB모듈(1400)에 저장된 IP주소 및 도메인 네임과 비교하여 일치하는지 여부를 판단하여 사이트 접속허용 여부를 결정하게 된다. 한편, 상기 제어모듈(1200)이 사이트 접속을 차단하고 사용자에게 경고를 하는 경우에 상기 제어모듈(1200)은 HTTP프로토콜 및 HTTPS프로토콜을 이용하여 상기 단말기가 시도하는 웹사이트에 대한 접속에 대하여 경고 또는 접속을 차단하게 된다.
이하, 도 4 및 도 5를 참조하여 전술한 보안장치(1000)에 의한 보안방법을 상세히 살펴보기로 한다.
도 4 및 도 5는 본 발명에 따른 보안방법을 순차적으로 도시한 순서도이다.
도 4를 참조하면, 상기 보안방법은 사용자의 단말기(100)가 인터넷 네트워크를 통해 어느 하나의 웹사이트에 접속을 시도하는 경우, 사용자의 단말기(100)가 접속을 시도하는 웹사이트의 IP주소와 도메인 네임을 추출하는 단계(S410) 및 상기 네트워크 보안장치를 구성하고 사용자의 단말기(100)를 통해 접속 이력이 있는 웹사이트의 IP주소와 상기 IP주소에 대응하는 도메인 네임을 저장하는 DB모듈(1400)에 저장된 IP주소 및 도메인 네임과 상기 추출된 IP주소 및 도메인 네임을 비교하여 일치하는지 여부를 판단하여 사이트 접속허용 여부를 결정하는 단계(S420)를 포함한다.
본 발명에 따른 네트워크 보안방법은 DNS 스푸핑 공격, 파밍 공격 등과 같은 어느 하나의 특정 공격에 대한 보안방법이 아니라 사용자의 단말기가 정상적인 웹사이트가 아닌 가짜 사이트로 접속하게 하는 모든 공격방법에 대한 보안방법을 제공한다.
먼저, 전술한 추출모듈(1100)에 의해 접속하고자 하는 웹사이트의 IP주소와 도메인 네임을 추출하게 된다. 이 경우, 상기 추출모듈(1100)은 사용자의 단말기(100)가 인터넷에 접속하는 네트워크 스위치(미도시) 등에 포트 미러링(port mirroring)을 통해 접속하고자 하는 웹사이트의 IP 주소와 도메인 네임을 추출한다.
구체적으로, 상기 추출모듈(1100)은 전술한 바와 같이, 포트 미러링 기법을 통해 접속하고자 하는 웹사이트에 대한 출발지 IP, 목적지 IP, HTTP method, HTTP 헤더 정보 등을 분석하여 접속하고자 하는 웹사이트의 IP 주소와 도메인 네임을 추출한다.
또한, 상기 추출모듈(1100)은 전술한 바와 같이 상기 단말기(100)의 호스트 파일을 통해 접속하고자 하는 경우뿐만 아니라 DNS 서버를 통해 접속하고자 하는 경우를 포함하여 접속하고자 하는 사이트의 IP주소와 도메인 네임을 추출하게 된다.
한편, 상기 웹 사이트의 IP주소와 도메인 네임을 추출하는 단계에서 상기 추출모듈(1100)은 HTTP 프로토콜 또는 HTTPS 프로토콜을 이용하여 상기 단말기가 접속을 시도하는 웹사이트의 IP주소와 도메인 네임을 추출하게 된다.
이어서, 상기 제어모듈(1200)은 상기 추출된 IP주소 및 도메인 네임을 상기 DB 모듈(1400)에 저장된 IP주소 및 도메인 네임과 비교하여 일치하는지 여부를 판단하여 사이트 접속허용 여부를 결정하게 된다.
먼저 상기 제어모듈(1200)은 상기 추출된 IP주소 및 도메인 네임이 상기 DB 모듈(1400)에 이미 저장된 IP주소 및 도메인 네임과 일치하는지를 판단한다(S430).
만약 상기 추출된 IP주소 및 도메인 네임이 상기 DB 모듈(1400)에 이미 저장된 IP주소 및 도메인 네임과 일치는 경우, 상기 제어모듈(1200)은 상기 추출된 IP주소 및 도메인 네임이 정상사이트 DB(1410) 또는 유해사이트 DB(1430) 중에 어느 DB에 포함된 정보와 일치하는지를 판단한다(S450).
이때, 상기 추출된 IP주소 및 도메인 네임이 상기 DB 모듈(1400)의 유해사이트 DB(1430)에 저장된 IP주소 및 도메인 네임과 일치하는 경우에는 정상적인 목적지 웹사이트로 접속하는 것이 아니라 유해 사이트로 접속하는 것으로 판단하여 상기 제어모듈(1200)은 사이트 접속을 차단하고 사용자에게 경고(S470)를 하게 된다.
이때, 상기 제어모듈(1200)은 HTTP 프로토콜 및 HTTPS 프로토콜을 이용하여 상기 단말기(100)가 시도하는 웹사이트에 대한 접속에 대하여 경고 또는 접속을 차단하게 된다.
한편, 상기 추출된 IP주소 및 도메인 네임이 상기 DB 모듈(1400)의 유해사이트 DB(1430)에 저장된 IP주소 및 도메인 네임과 일치하지 않고 정상사이트 DB(1410)에 저장된 정보와 일치하는 경우에는 정상 웹사이트에 접속하는 것으로 판단하여 상기 제어모듈(1200)은 웹사이트 접속을 허용한다(S452).
한편, 상기 추출모듈(1100)에 의해 추출된 IP주소 및 도메인 네임이 상기 DB 모듈(1400)에 저장되어 있지 않거나 이미 저장된 IP주소 및 도메인 네임과 일치하지 않을 수 있다.
이 경우(A) 상기 제어모듈(1200)은 상기 추출된 IP주소 및 도메인 네임과 전술한 DNS 모듈(1300)을 통해 전송된 웹사이트의 IP주소 및 도메인 네임을 비교하게 된다(도 5의 S431).
즉, 상기 추출모듈(1100)에 의해 추출된 IP주소 및 도메인 네임이 상기 DB 모듈(1400)에 저장되어 있지 않은 경우에는 사용자가 새로이 접속하고자 하는 웹사이트에 해당되거나, 또는 정상 사이트이지만 IP주소가 변경된 경우에 해당되므로, 상기 제어모듈(1200)은 상기 추출된 IP주소 및 도메인 네임이 정상적인 웹사이트에 해당하는지 확인하게 된다.
이때, 상기 DNS 모듈(1300)은 자체 DNS 서버(210)와 외부 DNS 서버(220)로 구성된 복수개의 DNS 서버군(200)을 이용하여 해당 웹사이트의 IP 주소와 도메인 네임을 수신할 수 있다.
이 경우, 외부의 DNS 서버(220)는 제어모듈(1200)에 의해 미리 지정된 복수개의 DNS 서버로 구성되거나 또는 램덤함수(random function)를 사용하여 무작위로 지정된 복수개의 DNS 서버로 구성될 수 있다. 해당 웹사이트의 IP 주소와 도메인 네임을 보다 정확하게 확인하기 위해서는 무작위로 선택된 복수개의 외부 DNS 서버를 활용하는 것이 유리할 수 있다. 한편, 상기 외부 DNS 서버의 개수는 본 명세서에서 한정하지 않는데, 10개 내지 20개 정도로 적절하게 변형할 수 있다.
상기 제어모듈(1200)은 DNS 모듈(1300)을 통해 해당 웹사이트의 IP 주소와 도메인 네임에 대한 정보를 수신한다. 이 경우, 상기 복수개의 DNS 서버군(200)에서 전송된 상기 웹사이트의 IP주소 및 도메인 네임이 모두 동일한 경우 또는 미리 결정된 비율 이상으로 일치하는 경우에 상기 제어모듈(1200)은 상기 DNS 모듈(1300)을 통해 수신된 IP주소 및 도메인 네임이 정상적인 웹사이트에 대한 정보인 것으로 판단하고, 상기 추출된 IP주소 및 도메인 네임과 비교하게 된다.
상기 DNS 모듈(1300)의 복수개의 DNS 서버군(200)을 통해 해당 웹사이트의 IP 주소 및 도메인 네임을 전송받는 경우에 상기 복수개의 DNS 서버군(200)에서 전송된 상기 웹사이트의 IP주소 및 도메인 네임이 모두 동일하지 않아도, IP 주소 및 도메인 네임의 일치비율이 미리 결정된 비율(예를 들면, 80%) 이상인 경우에는 상기 제어모듈(1200)은 정상적인 목적지 웹사이트에 접속하는 것으로 판단하도록 구성될 수 있다.
복수개의 외부 DNS 서버(220)와 자체 DNS 서버(210) 중 일부는 해킹되었거나, 최신 IP주소 및 도메인 네임으로 업데이트 되지 않은 DNS 서버가 존재할 수 있기 때문이다. 예를 들어, DNS 서버 등을 공격 또는 해킹하는 특정 바이러스 프로그램 등이 유행하고 있는 경우, 모든 복수 개의 외부 DNS 서버(220)와 자체 DNS 서버(210)의 무결성이 보장될 수 없는 경우, 통계적 접근에 의하여 복수 개의 DNS 서버군의 IP 주소 및 도메인 네임의 일치비율을 탄력적으로 설정할 수 있도록 구성되는 것이 바람직하다.
상기 DNS 모듈(1300)을 통해 전송된 상기 웹사이트의 IP주소 및 도메인 네임이 상기 추출된 IP주소 및 도메인 네임과 일치하는 경우에 상기 제어모듈(1200)은 정상적인 목적지 웹사이트에 접속하는 것으로 판단한다. 따라서, 상기 제어모듈(1200)은 상기 DB 모듈(1400)의 정상사이트 DB(1410)에 상기 웹사이트의 IP주소 및 도메인 네임을 저장하거나 이미 저장된 정보를 수정(S433)하고 웹사이트 접속을 허용(S435)한다.
또한, 상기 DNS 모듈(1300)의 복수개의 DNS 서버군(200)을 통해 전송된 상기 웹사이트의 IP주소 및 도메인 네임이 완전히 일치되는 경우, 또는 위 경우와 마찬가지로 일치비율이 미리 결정된 비율 이상인 경우 상기 제어모듈(1200)은 상기 DB 모듈(1400)의 정상사이트 DB(1410)에 미리 결정된 비율 이상의 일치도로 수집된 상기 웹사이트의 IP주소 및 도메인 네임을 저장하거나 이미 저장된 정보를 수정(S433)하고 웹사이트 접속을 허용(S435)할 수 있다.
한편, 상기 DNS 모듈(1300)의 복수개의 DNS 서버군(200)에서 전송된 상기 웹사이트의 IP주소 및 도메인 네임이 모두 동일 또는 미리 결정된 비율로 일치하는 경우, 상기 전송된 웹사이트의 IP 주소 및 도메인 네임이 상기 추출된 IP주소 및 도메인 네임과 일치하지 않을 수 있다. 이 경우, 상기 제어모듈(1200)은 정상적인 웹사이트가 아닌 유해 사이트에 접속하는 것으로 판단하여 상기 추출된 IP주소 및 도메인 네임을 유해사이트 DB에 저장(S437)하고, 접속을 차단(S439)할 수 있다.
한편, 상기 DNS 모듈(1300)을 통해 해당 웹사이트의 IP 주소 및 도메인 네임을 전송받는 경우에 상기 복수개의 DNS 서버군(200)에서 전송된 상기 웹사이트의 IP주소 및 도메인 네임이 모두 동일하지 않거나 미리 결정된 비율 이하로 일치되지 않을 수 있다. 이 경우에 상기 제어모듈(1200)은 정상적인 사이트가 아니라 유해 사이트라고 판단하여 사이트 접속을 차단(S439)하도록 설정될 수 있다.
한편, 본 발명에 따른 보안방법은 전술한 DB 모듈(1400)에 저장된 IP주소 및 도메인 네임을 미리 결정된 주기로 업데이트 하는 단계를 더 포함할 수 있다.
상기 업데이트 단계는 사용자가 특정 웹사이트에 접속을 시도하는지와 무관하게 DB 모듈(1400)에 저장된 IP 주소와 도메인 네임의 무결성 또는 최신성 등을 담보하기 위한 절차이다.
본 발명은 네트워크 보안장치의 DB 모듈(1400)에는 해당 네트워크의 사용자의 인터넷 사이트 접속기록 또는 이력이 저장되어 있으며, 기록이 저장된 인터넷 사이트들은 재접속 가능성이 상당히 높으므로, 사용자의 접속 시도와 무관하게 정기적으로 DB 모듈(1400)에 저장된 IP 주소와 도메인 네임의 무결성 또는 최신성을 유지하는 업데이트 하는 단계를 더 포함할 수 있다.
상기 업데이트 단계는 전술한 DNS 모듈(1300)을 통해 수행될 수 있다. 즉, 상기 제어모듈(1200)은 전술한 업데이트 단계를 수행하는 경우에 상기 DNS 모듈(1300)에서 자체 DNS 서버(210)와 외부의 DNS 서버(220)의 복수개의 DNS 서버군(200)을 통해 전송된 웹사이트의 IP주소 및 도메인 네임을 상기 DB 모듈(1400)에 미리 저장된 IP주소 및 도메인 네임과 비교할 수 있다.
즉, 이러한 업데이트 단계는 사용자가 단말기(100)를 통해 특정 웹 사이트에 접속하고자 하는 경우뿐만 아니라 인터넷 네트워크 환경에 단말기(100)가 연결되어 있는 경우에 전술한 DB 모듈(1400)에 저장되어 있는 접속이력이 있는 웹 사이트의 IP 주소와 도메인 네임을 검증하기 위함이다.
이 경우, 상기 제어모듈(1200)은 상기 DNS 모듈(1300)의 복수개의 DNS 서버군(200)을 통해 해당 웹사이트의 IP 주소와 도메인 네임을 전송받는 경우에 상기 DNS 모듈(1300)의 복수개의 DNS 서버군(200)에서 전송된 상기 웹사이트의 IP주소 및 도메인 네임이 모두 동일한 경우 또는 미리 결정된 비율 이상으로 일치하는 경우 상기 DB 모듈(1400)에 미리 저장된 IP주소 및 도메인 네임과 비교하게 된다.
반면에, 상기 DNS 모듈(1300)을 통해 해당 웹사이트의 IP 주소와 도메인 네임을 전송받는 경우에 상기 DNS 모듈(1300)의 복수개의 DNS 서버군(200)에서 전송된 상기 웹사이트의 IP주소 및 도메인 네임이 동일하지 않은 경우 또는 미리 결정된 비율 이하로 일치하는 경우에는 수신된 정보가 정확하지 않는 것으로 판단하여 상기 DB 모듈(1400)에 미리 저장된 IP주소 및 도메인 네임과 비교하지 않도록 구성될 수 있다.
한편, 상기 DNS 모듈(1300)의 복수개의 DNS 서버군(200)에서 전송된 상기 웹사이트의 IP주소 및 도메인 네임이 모두 동일 또는 미리 결정된 비율로 일치하고, 상기 DNS 모듈(1300)에서 전송(결정)된 상기 웹사이트의 IP주소 및 도메인 네임이 상기 DB 모듈(1400)에 미리 저장된 IP주소 및 도메인 네임과 상이한 경우에 상기 DB 모듈(1400)의 정보가 변경, 오류 또는 변조된 것으로 판단하여 상기 DB 모듈(1400)에 저장된 웹사이트의 IP주소 및 도메인 네임을 수정하여 업데이트할 수 있도록 구성될 수 있다.
본 발명은 다양한 형태로 변형되어 실시될 수 있을 것 인바 상술한 실시예에 그 권리범위가 한정되지 않는다. 따라서 변형된 실시예가 본 발명 특허청구범위의 구성요소를 포함하고 있다면 본 발명의 권리범위에 속하는 것으로 보아야 할 것이다.
100 : 단말기
120 : DNS 서버
150 : 웹 사이트
1000 : 감시시스템
1100 : 추출모듈
1200 : 제어모듈
1300 : DNS 모듈
1400 : DB 모듈
1410 : 정상사이트 DB
1430 : 유해사이트 DB

Claims (22)

  1. 네트워크 보안장치를 이용한 네트워크 보안방법에 있어서,
    사용자의 단말기가 인터넷 네트워크를 통해 어느 하나의 웹사이트에 접속을 시도하는 경우, 사용자의 단말기가 접속을 시도하는 웹사이트의 IP주소와 도메인 네임을 추출하는 단계; 및
    상기 네트워크 보안장치를 구성하고 사용자의 단말기를 통해 접속 이력이 있는 웹사이트의 IP주소와 상기 IP주소에 대응하는 도메인 네임을 저장하는 DB모듈에 저장된 IP주소 및 도메인 네임과 상기 추출된 IP주소 및 도메인 네임을 비교하여 일치하는지 여부를 판단하여 사이트 접속허용 여부를 결정하는 단계;를 포함하는 것을 특징으로 하는 네트워크 보안방법.
  2. 제1항에 있어서,
    상기 웹 사이트의 IP주소와 도메인 네임을 추출하는 단계에서
    상기 단말기의 호스트 파일을 통해 접속하고자 하는 사이트 또는 DNS 서버를 통해 접속하고자 하는 사이트의 IP주소와 도메인 네임을 추출하는 것을 특징으로 하는 네트워크 보안방법.
  3. 제1항에 있어서,
    상기 웹 사이트의 IP주소와 도메인 네임을 추출하는 단계에서 HTTP 프로토콜 또는 HTTPS 프로토콜을 이용하여 상기 단말기가 접속을 시도하는 사이트의 IP주소와 도메인 네임을 추출하는 것을 특징으로 하는 네트워크 보안방법.
  4. 제1항에 있어서,
    상기 추출된 IP주소 및 도메인 네임이 상기 DB 모듈에 이미 저장된 IP주소 및 도메인 네임과 일치하는 경우에,
    상기 추출된 IP주소 및 도메인 네임이 상기 DB 모듈에 구비되는 유해사이트 DB에 저장된 IP주소 및 도메인 네임과 일치하는 경우 사이트 접속을 차단하고, 상기 유해사이트DB에 저장되지 않은 경우에 사이트 접속을 허용하는 것을 특징으로 하는 네트워크 보안방법.
  5. 제1항에 있어서,
    상기 추출된 IP주소 및 도메인 네임이 상기 DB 모듈에 저장되어 있지 않거나 이미 저장된 IP주소 및 도메인 네임과 일치하지 않는 경우에,
    자체 DNS 서버와 외부의 DNS 서버로 구성되는 복수개의 DNS 서버군을 통해 전송된 상기 웹 사이트의 IP주소 및 도메인 네임을 상기 추출된 IP주소 및 도메인 네임과 비교하는 단계; 및,
    상기 비교 결과에 따라 상기 DB 모듈에 정보를 저장 또는 수정하거나, 상기 추출된 IP주소 및 도메인 네임의 웹사이트에 대한 접속에 대하여 경고 또는 접속을 차단하는 단계를 포함하는 것을 특징으로 하는 네트워크 보안방법.
  6. 제5항에 있어서,
    상기 복수개의 DNS 서버군을 통해 전송된 상기 웹 사이트의 IP주소 및 도메인 네임이 미리 결정된 비율 이상으로 서로 일치하는 경우에, 상기 미리 결정된 비율 이상으로 일치하는 IP주소 및 도메인 네임을 상기 추출된 IP주소 및 도메인 네임과 비교하는 것을 특징으로 하는 네트워크 보안방법.
  7. 제6항에 있어서,
    상기 복수개의 DNS 서버군을 통해 전송되어 미리 결정된 비율 이상으로 일치하는 IP주소 및 도메인 네임이 상기 추출된 IP주소 및 도메인 네임과 일치하는 경우에 상기 미리 결정된 비율 이상 일치된 IP주소 및 도메인 네임을 상기 DB모듈에 저장하거나 이미 저장된 정보를 수정하고 저장 또는 수정된 IP주소 및 도메인 네임의 웹사이트 접속을 허용하는 것을 특징으로 하는 네트워크 보안방법.
  8. 제6항에 있어서,
    상기 복수개의 DNS 서버군을 통해 전송된 상기 웹 사이트의 IP주소 및 도메인 네임이 미리 결정된 비율 미만으로 일치하는 경우 상기 추출된 IP주소 및 도메인 네임의 웹사이트 접속에 대하여 사용자에게 경고하거나 상기 추출된 IP주소 및 도메인 네임의 웹사이트 접속을 차단하는 것을 특징으로 하는 네트워크 보안방법.
  9. 제5항에 있어서,
    상기 외부의 DNS 서버는 미리 지정된 복수개의 DNS 서버로 구성되거나 또는 무작위로 지정된 복수개의 DNS 서버로 구성되는 것을 특징으로 하는 네트워크 보안방법.
  10. 제1항에 있어서,
    상기 DB 모듈에 저장된 IP주소 및 도메인 네임을 소정 주기로 업데이트하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 보안방법.
  11. 제10항에 있어서,
    상기 업데이트 하는 단계는
    자체 DNS 서버와 외부의 DNS 서버로 구성되는 복수개의 DNS 서버군을 통해 전송된 웹 사이트의 IP주소 및 도메인 네임을 미리 저장된 IP주소 및 도메인 네임과 비교하는 단계; 및
    상기 복수개의 DNS 서버군을 통해 전송된 상기 웹 사이트의 IP주소 및 도메인 네임이 미리 저장된 IP주소 및 도메인 네임과 상이한 경우에 상기 DB모듈에 저장된 웹 사이트의 IP주소 및 도메인 네임을 수정하는 단계;를 포함하는 것을 특징으로 하는 네트워크 보안방법.
  12. 사용자의 단말기가 인터넷 네트워크를 통해 어느 하나의 웹 사이트에 접속을 시도하는 경우에 사용자가 접속하고자 하는 웹 사이트의 IP주소와 도메인 네임을 추출하는 추출모듈;
    자체 DNS 서버와 외부의 DNS 서버로 구성되는 복수개의 DNS 서버군을 통해 웹 사이트의 IP주소와 도메인 네임을 전송받는 DNS모듈;
    접속 이력이 있는 웹사이트의 IP주소와 상기 웹 사이트의 IP주소에 대응하는 도메인 네임을 저장하며, 상기 저장된 IP주소와 도메인 네임을 소정 주기로 업데이트하는 DB모듈; 및
    상기 추출된 IP주소 및 도메인 네임을 상기 DB모듈에 저장된 IP주소 및 도메인 네임과 비교하여 일치하는지 여부를 판단하여 사이트 접속허용 여부를 결정하는 제어모듈;을 포함하는 것을 특징으로 하는 네트워크 보안장치.
  13. 제12항에 있어서,
    상기 추출모듈은 상기 단말기의 호스트 파일을 통해 접속하고자 하는 사이트 또는 DNS 서버를 통해 접속하고자 하는 사이트의 IP주소와 도메인 네임을 추출하는 것을 특징으로 하는 네트워크 보안장치.
  14. 제12항에 있어서,
    상기 추출모듈은 HTTP프로토콜 및 HTTPS프로토콜을 이용하여 상기 단말기가 접속을 시도하는 사이트의 IP주소와 도메인 네임을 추출하는 것을 특징으로 하는 네트워크 보안장치.
  15. 제12항에 있어서,
    상기 제어모듈은
    상기 추출된 IP주소 및 도메인 네임이 상기 DB 모듈에 이미 저장된 IP주소 및 도메인 네임과 일치하는 경우에, 상기 추출된 IP주소 및 도메인 네임이 상기 DB 모듈에 구비되는 유해사이트 DB에 저장된 IP주소 및 도메인 네임과 일치하는 경우 사이트 접속을 차단하고, 상기 유해사이트DB에 저장되지 않은 경우에 사이트 접속을 허용하는 것을 특징으로 하는 네트워크 보안장치.
  16. 제12항에 있어서,
    상기 제어모듈은
    상기 추출된 IP주소 및 도메인 네임이 상기 DB모듈에 저장되어 있지 않거나 이미 저장된 IP주소 및 도메인 네임과 일치하지 않는 경우에,
    상기 DNS 모듈을 통해 전송된 상기 웹 사이트의 IP주소 및 도메인 네임을 상기 추출된 IP주소 및 도메인 네임과 비교하며,
    상기 비교 결과에 따라 상기 DB 모듈에 정보를 저장 또는 수정하거나, 상기 추출된 IP주소 및 도메인 네임의 웹사이트에 대한 접속에 대하여 경고 또는 접속을 차단하는 것을 특징으로 하는 네트워크 보안장치.
  17. 제16항에 있어서,
    상기 제어모듈은
    상기 복수개의 DNS 서버군을 통해 전송된 상기 웹 사이트의 IP주소 및 도메인 네임이 미리 결정된 비율 이상으로 서로 일치하는 경우에 상기 미리 결정된 비율 이상으로 일치하는 IP주소 및 도메인 네임을 상기 추출된 IP주소 및 도메인 네임과 비교하는 것을 특징으로 하는 네트워크 보안장치.
  18. 제17항에 있어서,
    상기 제어모듈은
    상기 복수개의 DNS 서버군을 통해 전송되어 미리 결정된 비율 이상으로 일치하는 IP주소 및 도메인 네임이 상기 추출된 IP주소 및 도메인 네임과 일치하는 경우에
    상기 미리 결정된 비율 이상 일치된 IP주소 및 도메인 네임을 상기 DB모듈에 저장하거나 이미 저장된 정보를 수정하고 저장 또는 수정된 IP주소 및 도메인 네임의 웹사이트 접속을 허용하는 것을 특징으로 하는 네트워크 보안장치.
  19. 제17항에 있어서,
    상기 제어모듈은
    상기 복수개의 DNS 서버군을 통해 전송된 상기 웹 사이트의 IP주소 및 도메인 네임이 미리 결정된 비율 미만으로 일치하는 경우 상기 추출된 IP주소 및 도메인 네임의 웹사이트 접속에 대하여 사용자에게 경고하거나 상기 추출된 IP주소 및 도메인 네임의 웹사이트 접속을 차단하는 것을 특징으로 하는 네트워크 보안장치.
  20. 제12항에 있어서,
    상기 DNS 모듈은 자체 DNS 서버와 미리 지정된 복수개의 외부 DNS 서버 또는 무작위로 지정된 복수개의 외부 DNS 서버에서 웹 사이트의 IP주소와 도메인 네임을 전송받는 것을 특징으로 하는 네트워크 보안장치.
  21. 제12항에 있어서,
    상기 제어모듈은
    상기 DB 모듈에 저장된 IP주소 및 도메인 네임을 소정 주기로 업데이트하는 것을 특징으로 하는 네트워크 보안장치.
  22. 제20항에 있어서,
    상기 제어모듈은
    자체 DNS 서버와 외부의 DNS 서버로 구성되는 복수개의 DNS 서버군을 통해 전송된 웹 사이트의 IP주소 및 도메인 네임을 미리 저장된 IP주소 및 도메인 네임과 비교하며,
    상기 복수개의 DNS 서버군을 통해 전송된 상기 웹 사이트의 IP주소 및 도메인 네임이 미리 저장된 IP주소 및 도메인 네임과 상이한 경우에 상기 DB모듈에 저장된 웹 사이트의 IP주소 및 도메인 네임을 수정하는 것을 특징으로 하는 네트워크 보안장치.
KR1020170125822A 2017-09-28 2017-09-28 네트워크 보안장치 및 보안방법 KR20190036662A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170125822A KR20190036662A (ko) 2017-09-28 2017-09-28 네트워크 보안장치 및 보안방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170125822A KR20190036662A (ko) 2017-09-28 2017-09-28 네트워크 보안장치 및 보안방법

Publications (1)

Publication Number Publication Date
KR20190036662A true KR20190036662A (ko) 2019-04-05

Family

ID=66103829

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170125822A KR20190036662A (ko) 2017-09-28 2017-09-28 네트워크 보안장치 및 보안방법

Country Status (1)

Country Link
KR (1) KR20190036662A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021014239A1 (en) * 2019-07-25 2021-01-28 Coupang Corp. Dynamic ip address categorization systems and methods

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021014239A1 (en) * 2019-07-25 2021-01-28 Coupang Corp. Dynamic ip address categorization systems and methods
US11218443B2 (en) 2019-07-25 2022-01-04 Coupang Corp. Dynamic IP address categorization systems and methods

Similar Documents

Publication Publication Date Title
EP3462698B1 (en) System and method of cloud detection, investigation and elimination of targeted attacks
JP6894003B2 (ja) Apt攻撃に対する防御
US9985989B2 (en) Managing dynamic deceptive environments
CN109347830B (zh) 一种网络动态防御系统及方法
US20200252429A1 (en) Deceiving Attackers Accessing Network Data
CN111737696A (zh) 一种恶意文件检测的方法、系统、设备及可读存储介质
US8955123B2 (en) Method and system for preventing malicious communication
US20150207812A1 (en) Systems and methods for identifying and performing an action in response to identified malicious network traffic
RU2726032C2 (ru) Системы и способы обнаружения вредоносных программ с алгоритмом генерации доменов (dga)
US20230388344A1 (en) Deceiving attackers accessing active directory data
CN103634786A (zh) 一种无线网络的安全检测和修复的方法与系统
KR101996471B1 (ko) 네트워크 보안장치 및 보안방법
KR20000054538A (ko) 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체
US20100306184A1 (en) Method and device for processing webpage data
CN107770198A (zh) 一种基于区块链的dns反劫持系统及方法
CN105939326A (zh) 处理报文的方法及装置
WO2014032619A1 (zh) 网址访问方法及系统
KR100985049B1 (ko) 파밍감지 시스템 및 이를 제어하는 방법
US20150312211A1 (en) Method and system for generating durable host identifiers using network artifacts
CN108156270B (zh) 域名请求处理方法和装置
KR20130006924A (ko) 도메인의 신뢰 ip 주소를 이용한 업데이트 서버 접속 장치 및 방법
US10320784B1 (en) Methods for utilizing fingerprinting to manage network security and devices thereof
KR20190036662A (ko) 네트워크 보안장치 및 보안방법
KR102514214B1 (ko) 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법 및 시스템
KR20180051806A (ko) 도메인 네임 시스템 화이트리스트 데이터베이스를 이용한 파밍 공격 차단 시스템 및 그 방법

Legal Events

Date Code Title Description
A201 Request for examination
WITB Written withdrawal of application