KR20200116773A - Cyber inspection system - Google Patents

Cyber inspection system Download PDF

Info

Publication number
KR20200116773A
KR20200116773A KR1020190038624A KR20190038624A KR20200116773A KR 20200116773 A KR20200116773 A KR 20200116773A KR 1020190038624 A KR1020190038624 A KR 1020190038624A KR 20190038624 A KR20190038624 A KR 20190038624A KR 20200116773 A KR20200116773 A KR 20200116773A
Authority
KR
South Korea
Prior art keywords
packet
agent
packets
inspection
network
Prior art date
Application number
KR1020190038624A
Other languages
Korean (ko)
Inventor
김종철
Original Assignee
김종철
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 김종철 filed Critical 김종철
Priority to KR1020190038624A priority Critical patent/KR20200116773A/en
Publication of KR20200116773A publication Critical patent/KR20200116773A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • H04L47/125Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/31Flow control; Congestion control by tagging of packets, e.g. using discard eligibility [DE] bits
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications

Abstract

According to the present invention, an inspection system in a unit network is disclosed. The system comprises: a software defined network (SDN) switch which authenticates at least some of packets flowing into or out of the unit network and distributes traffic; a test station which discards harmful packets by checking whether the packets to be inspected are harmful packets among the traffic-distributed packets, and attaches suspicious tags to suspect packets; and an agent which receives a packet that has been inspected or traffic-distributed packets without inspection.

Description

SDN 기반의 검사시스템{CYBER INSPECTION SYSTEM}SN-based inspection system {CYBER INSPECTION SYSTEM}

본 발명은 SDN(Software Defined Network) 기술을 이용한 사이버 검사시스템에 관한 것이다.The present invention relates to a cyber inspection system using SDN (Software Defined Network) technology.

최근 들어 사어버 네트워크 상에서 다량의 정보가 유입되고 유출되는 상황에서 패킷의 통제를 위해 무수히 많은 보안 솔루션들이 시스템에 적용되어 왔다. 다만, 종래 기술을 이용하여 정보를 보호에기에는 다음과 같은 한계가 존재한다.In recent years, numerous security solutions have been applied to the system to control packets in a situation where a large amount of information flows in and out of the saabor network. However, the following limitations exist to protect information using the conventional technology.

먼저, 현재 각종 정보 보호 솔루션이 존재함에도 불구하고 정보침해 사고가 지속적으로 발생하고 있는데, 이는 다양한 정보보호 솔루션에 대한 보안 관리의 복잡성이 증대되었고, 보안 기술의 중복과 취약성이 동시에 존재하기 때문이다. 종래의 개별적인 방어 위주의 방식은 공격자가 주도권을 쥐고 있는 상황을 뒤바꿀 수 없으므로, 사이버 공격을 방어하기에 한계가 있다.First, despite the existence of various information protection solutions, information infringement accidents continue to occur. This is because the complexity of security management for various information protection solutions has increased, and security technologies overlap and vulnerabilities exist at the same time. Since the conventional individual defense-oriented method cannot change the situation in which the attacker is in control, there is a limit to defending against cyber attacks.

또한, 최근들어, 네트워크를 효율적으로 사용하기 위해 SDN과 같은 새로운 네트워크 환경이 구축되고 있으며, SDN을 활용한 보안기술에 대한 필요성이 제기되고 있다. 다만, 통제 방식을 적용한다 해도 100% 완벽한 보안을 보장하기란 불가능하며 네트워크와 시스템 특성을 상호 분석하여 이를 종합적으로 관리하고 동시에 보호할 수 있는 사이버 보안 기술이 필요하다.In addition, in recent years, a new network environment such as SDN is being built in order to use the network efficiently, and the need for a security technology using SDN has been raised. However, even if the control method is applied, it is impossible to guarantee 100% perfect security, and cyber security technology that can comprehensively manage and protect the network and system characteristics by mutual analysis is required.

본 발명의 목적은 사이버 시스템을 운용하는 소프트웨어, 이상 상태/행위탐지 알고리즘 및 SDN 스위치를 확장한 SQN 스위치를 포함하는 사이버 검사시스템에 재공하고자 한다.It is an object of the present invention to provide a cyber inspection system including software for operating a cyber system, an abnormal state/behavior detection algorithm, and an SQN switch extending the SDN switch.

상술한 기술적 과제를 해결하기 위해 본 발명은 단위 네트워크로 유입 또는 다른 단위 네트워크로 유출되는 패킷 중 적어도 일부를 인증하고 트래픽 분배를 수행하는 SDN(Sofrwore Defined Network) 스위치와, 트래픽 분배된 패킷 중 검사 대상 패킷에 대해 유해 패킷인지 검사하여 유해 패킷을 폐기하고 유해 여부가 의심되는 의심 패킷은 의심 태그를 부착하는 검사소 및 검사 완료된 패킷 또는 검사 없이 트래픽 분배된 패킷을 수신하는 에이전트를 포함하는 것을 특징으로 한다.In order to solve the above-described technical problem, the present invention provides a SDN (Sofrwore Defined Network) switch that authenticates at least some of packets flowing into or out of a unit network and distributes traffic, and an inspection target among traffic distributed packets. It is characterized in that the packet is inspected for harmful packets to discard the harmful packets, and the suspicious packets suspected of being harmful include an inspection station that attaches a suspicious tag and an agent that receives the inspected packets or packets distributed with traffic without inspection.

본 발명에 따르면, 패킷의 통제를 위한 보안 솔루션들을 통합 적용하는 새로운 방식을 통해 보안성 개선과 관리 편의성을 향상시켜 현재의 한계를 극복하고 종합 관리 기술을 확보하는 효과가 있다.According to the present invention, there is an effect of overcoming current limitations and securing comprehensive management technology by improving security and improving management convenience through a new method in which security solutions for controlling packets are integrated.

도 1은 본 발명의 일 실시예에 따른 SDN 기반의 검사시스템을 개략적으로 나타낸 블록도,
도 2는 본 발명의 일 실시예에 따른 SDN 기반의 검사시스템의 SDN 스위치를 구체적으로 나타낸 상세블록도,
도 3은 본 발명의 일 실시예에 따른 SDN 기반의 검사시스템의 검사소를 구체적으로 나타낸 상세블록도,
도 4는 본 발명의 일 실시예에 따른 SDN 기반의 검사시스템의 에이전트의 동작을 구체적으로 나타낸 흐름도,
도 5는 본 발명의 일 실시예에 따른SDN 기반의 검사시스템의 에이전트 매니저를 구체적으로 나타낸 상세블록도이다.1 is a block diagram schematically showing an SDN-based inspection system according to an embodiment of the present invention;
2 is a detailed block diagram showing in detail an SDN switch of an SDN-based inspection system according to an embodiment of the present invention;
3 is a detailed block diagram showing in detail an inspection station of an SDN-based inspection system according to an embodiment of the present invention;
4 is a flowchart specifically showing the operation of an agent in the SDN-based inspection system according to an embodiment of the present invention;
5 is a detailed block diagram showing in detail an agent manager of an SDN-based inspection system according to an embodiment of the present invention.

이하, 상기 목적 외에 본 발명의 다른 목적 및 특징들은 첨부 도면을 참조한 실시 예에 대한 설명을 통하여 명백히 드러나게 될 것이며, 다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Hereinafter, other objects and features of the present invention in addition to the above objects will be clearly revealed through the description of the embodiments with reference to the accompanying drawings, and unless otherwise defined, all terms used herein including technical or scientific terms are It has the same meaning as commonly understood by one of ordinary skill in the art to which the invention belongs. Terms such as those defined in a commonly used dictionary should be interpreted as having a meaning consistent with the meaning in the context of the related technology, and should not be interpreted as an ideal or excessively formal meaning unless explicitly defined in this application. Does not.

도 1은 본 발명의 일 실시예에 따른 SDN을 이용한 사이버 검사 시스템을 개략적으로 나타낸 블록도이다. 도 1에 도시된 바와 같이, 본 발명의 일 실시예에 따른 사이버 검사 시스템은 SDN 스위치(110), 검사소(120), 에이전트(130) 및 에이전트 매니저(140)를 포함할 수 있다.1 is a block diagram schematically showing a cyber inspection system using SDN according to an embodiment of the present invention. As shown in FIG. 1, the cyber inspection system according to an embodiment of the present invention may include an SDN switch 110, a inspection station 120, an agent 130, and an agent manager 140.

본 명세서 상에서 SDN 스위치(110), 검사소(120), 에이전트(130) 및 에이전트 매니저(140)로 구성되는 검사 시스템은 하나의 단위 네트워크에 할당될 수 있고, 전체 네트워크는 이러한 단위 네트워크가 복수 개 포함되어 집합적으로 구성될 수 있다. 하나의 단위 네트워크는 특정 기업 또는 특정 기관의 보안 관리를 위해 활용되는 네트워크 단위일 수 있다.In the present specification, the inspection system consisting of the SDN switch 110, the inspection station 120, the agent 130 and the agent manager 140 may be allocated to one unit network, and the entire network includes a plurality of such unit networks. And can be configured collectively. One unit network may be a network unit used for security management of a specific company or a specific organization.

도 1을 참조하면, SDN 스위치(110)는 SQN 스위치 컨트롤러(112) 및 SQN 스위치(114)를 포함할 수 있다. SQN 스위치 컨트롤러(112)는 SQN 스위치(114)에 제어 신호를 제공하여 SQN 스위치(114)가 단위 네트워크로 유입 또는 단위 네트워크에서 유출되는 패킷을 처리하도록 제어한다. 명세서 상에서는 특별한 언급이 없는한, 유입되는 패킷에 관해 설명하고자 한다. 동일한 매카니즘이 유출 패킷에 동일하게 적용될 수 있음은 본 분야의 통상의 기술자라면 자명하게 알 수 있다. Referring to FIG. 1, the SDN switch 110 may include an SQN switch controller 112 and an SQN switch 114. The SQN switch controller 112 provides a control signal to the SQN switch 114 to control the SQN switch 114 to process packets flowing into or out of the unit network. In the specification, unless otherwise specified, an incoming packet will be described. It will be apparent to those of ordinary skill in the art that the same mechanism can be applied equally to outgoing packets.

SQN 스위치 컨트롤러(112)는 해당 단위 네트워크로 유입되는 패킷의 트래픽 분배를 위해, 네트워크 플로우를 관리한다. 즉, 유입되는 플로우를 식별하여 적절한 에이전트(114)로 전달될 수 있도록 분배한다. SQN 스위치 컨트롤러(112)는 유입되는 패킷이 검사 대상인지 식별하여 검사소로 전송한다. 검사 대상 패킷은 현재 단위 네트워크뿐만 아니라 다른 단위 네트워크에서 아직 검사이 한번도 이루어지지 않아 패킷의 상태를 알 수 없는 패킷을 의미할 수 있다. 검사 시스템을 통해 한번 패킷에 대한 검사이 이루어지면, 해당패킷에 대해서는 인증값을 부여하거나, 키 관리 프로토콜을 통해 해당 패킷이 검사이 완료되었고, 그 패킷을 식별할 수 있는 식별자가 부착될 수 있다. The SQN switch controller 112 manages a network flow for traffic distribution of packets flowing into a corresponding unit network. That is, the incoming flow is identified and distributed so that it can be transmitted to the appropriate agent 114. The SQN switch controller 112 identifies whether the incoming packet is an inspection target and transmits it to the inspection station. The inspection target packet may mean a packet in which the state of the packet is unknown because inspection has not yet been performed in not only the current unit network but also another unit network. Once a packet is inspected through the inspection system, an authentication value is assigned to the packet, or the packet has been inspected through a key management protocol, and an identifier capable of identifying the packet may be attached.

이러한 식별자를 통해 SQN 스위치 컨트롤러(112)는 검사 대상 패킷을 식별하고 검사 대상 패킷을 검사소로 전송한다. 또한 패킷의 최종 목적지를 파싱하여 트래픽 분류 및 검사 트래픽을 분산 처리할 수 있다. SQN 스위치(114)는 상기 SQN 스위치 컨트롤러(112)의 지시를 받아 해당 패킷을 검사소(120)로 전송하던지, 아니면 에이전트(130)로 전송한다.Through this identifier, the SQN switch controller 112 identifies the packet to be inspected and transmits the packet to be inspected to the inspection station. In addition, by parsing the final destination of the packet, traffic classification and inspection traffic can be distributedly processed. The SQN switch 114 receives the instruction from the SQN switch controller 112 and transmits the packet to the inspection station 120 or to the agent 130.

검사소(120)는 제 1 검사 컴포넌트(122)와 제 2 검사 컴포넌트(124)를 포함할 수 있다. 제 1 검사 컴포넌트(122)와 제 2 검사 컴포넌트(124)에 대한 자세한 설명은 이하 도 3을 기반으로 한다. 검사소(120)는 유해 패킷을 탐지하여 폐기하고, 의심 패킷에 대해서는 태그를 부착하여 검사 대상 패킷의 안전성을 탐지할 수 있고, 이에 따라 네트워크의 보안 확립을 지원할 수 있다. 검사소(120)는 에이전트(130)에서 다른 단위 네트워크로 유출되는 패킷을 수신하여 이에 대한 검사을 수행하여 SQN 스위치(114)를 통해 외부로 유출되도록 할 수 있다.The inspection station 120 may include a first inspection component 122 and a second inspection component 124. A detailed description of the first inspection component 122 and the second inspection component 124 is based on FIG. 3 below. The inspection station 120 may detect and discard harmful packets, attach tags to suspicious packets, and detect the safety of the inspection target packet, thereby supporting the establishment of network security. The inspection station 120 may receive a packet outflow from the agent 130 to another unit network and perform an inspection thereon so that it is outflowed to the outside through the SQN switch 114.

에이전트(130)는 복수 개의 에이전트 단말(132-1~132-n) 및 VPN(Virtually Partitioned Network)을 포함하는 개념으로, 패킷을 실제 수신하는 단말일 수 있다. VPN은 단말의 물리적 위치와 별도로 단말에 가상의 파티셔닝된 네트워크를 부여할 수 있도록 한다. 즉, 특정 단말이 위치적인 문제로 인해, 원하는 네트워크에 접속할 수 없는 경우, VPN을 이용하여 상기 원하는 네트워크에 임시로 접속할 수 있고 이를 통해 상기 원하는 네트워크의 입출력 포트를 현재 위치의 네트워크의 입출력 포트에 속하도록 설정하여 물리적으로 구획된 네트워크에 위치하는 다수의 단말의 필요에 따라 논리적으로 네트워크가 구획되도록 할 수 있다.The agent 130 is a concept including a plurality of agent terminals 132-1 to 132-n and a virtually partitioned network (VPN), and may be a terminal that actually receives a packet. VPN allows a virtual partitioned network to be assigned to a terminal separately from the physical location of the terminal. That is, if a specific terminal cannot access the desired network due to a locational problem, it is possible to temporarily access the desired network using a VPN, and through this, the input/output port of the desired network belongs to the input/output port of the network at the current location. The network can be logically partitioned according to the needs of a plurality of terminals located in a physically partitioned network.

에이전트(130)는 PC, 휴대용 단말, 스마트 폰, 노트북, 스마트 TV 등 통신 기능이 탑재된 전자기기를 포함할 수 있다. 에이전트(130)는 항상 청정하다고 가정할 수 있고, 청정한 에이전트 단말(132-1~132-n)로 구성된 단위 네트워크도 청정하다고 가정할 수 있다. 청정하다는 의미는 현재 유해 바이러스 등에 감염된 단말이 존재하지 않고 보안 상태도 강건함을 의미한다.The agent 130 may include an electronic device equipped with a communication function such as a PC, a portable terminal, a smart phone, a notebook, and a smart TV. It can be assumed that the agent 130 is always clean, and a unit network composed of the clean agent terminals 132-1 to 132-n can also be assumed to be clean. Clean means that there are no terminals infected with harmful viruses, and the security status is also robust.

에이전트 매니저(140)는 에이전트를 관리하는 서버 장치로, 에이전트에서 생상된 이벤트 신호를 수신하여 이벤트를 분석하고 보안 관리를 위한 정책을 수립하여 에이전트(130)로 할당할 수 있다.The agent manager 140 is a server device that manages an agent, and may receive an event signal generated by the agent, analyze the event, establish a policy for security management, and assign it to the agent 130.

도 2는 본 발명의 일 실시예에 따른 SDN을 이용한 사이버 검사 시스템의 SDN 스위치를 구체적으로 나타낸 상세블록도이다. 도 2를 참조하면, SDN 스위치(210)는 SQN 스위치 콘트롤러(212) 및 스위치(214)를 포함할 수 있다.2 is a detailed block diagram showing a detailed SDN switch of a cyber inspection system using SDN according to an embodiment of the present invention. Referring to FIG. 2, the SDN switch 210 may include an SQN switch controller 212 and a switch 214.

SQN 스위치 콘트롤러(212)는 실제 패킷의 유입 및 유출에 따른 트래픽 분배를 수행하는 SQN 스위치(214)를 제어한다. SQN 스위치(214)는 복수 개의 스위치들(216-1~216-n)을 포함할 수 있다.The SQN switch controller 212 controls the SQN switch 214 that distributes traffic according to the inflow and outflow of an actual packet. The SQN switch 214 may include a plurality of switches 216-1 to 216-n.

SQN 스위치 콘트롤러(212)는 트래픽에 대한 인증값 부여 또는 키를 통한 관리를 통해 유해 패킷에 대한 보안을 강화한다. SQN 스위치 콘트롤러(212)는 관리자에 의해 특정 정보(예컨대, 민감하다고 판단되는 정보)를 감시하여 외부 유출을 방지하고 복잡한 보안 관리를 미연에 방지할 수 있다. 특정 정보의 설정은 사용자 인터페이스(미도시)를 통해 할 수 있다. SQN 스위치 콘트롤러(212)는 상기 복수 개의 스위치들(216-1~216-n)을 개별적으로 관리할 수 있다. The SQN switch controller 212 enhances the security of harmful packets by assigning an authentication value to traffic or managing through a key. The SQN switch controller 212 may prevent external leakage by monitoring specific information (eg, information determined to be sensitive) by an administrator and prevent complex security management in advance. The specific information can be set through a user interface (not shown). The SQN switch controller 212 may individually manage the plurality of switches 216-1 to 216-n.

SQN 스위치 콘트롤러(212)는 인증값을 없는 검사 대상 패킷을 식별하여 검사소(220)로 전달한다. 검사소(220)는 검사 대상 패킷의 유해 여부를 판단하여 유해하다고 판별된 패킷을 폐기하고, 유해 여부가 의심되는 패킷은 의심 태그를 부착하며, 이에 따라 정상 패킷은 특별한 태그 없이 SQN 스위치(214)로 제공될 수 있다. 즉, SQN 스위치 콘트롤러(212)는 검사소(220)로부터 정상 패킷과 의심 패킷을 제공받은 스위치(214)를 제어하여 해당 패킷이 에이전트(230)로 전달될 수 있도록 할 수 있다. 검사이 한번 수행된 패킷에는 인증 값을 부여하여 청정한 지역에서 여러번 동일한 패킷에 대한 검사이 반복되지 않도록 유도할 수 있다.The SQN switch controller 212 identifies a packet to be inspected without an authentication value and transmits it to the inspection station 220. The inspection station 220 determines whether the packet to be inspected is harmful and discards the packet determined to be harmful, and attaches a suspicious tag to the packet suspected of being harmful. Accordingly, the normal packet is sent to the SQN switch 214 without a special tag. Can be provided. That is, the SQN switch controller 212 may control the switch 214 that has received the normal packet and the suspicious packet from the inspection station 220 so that the corresponding packet can be transmitted to the agent 230. By assigning an authentication value to a packet that has been inspected once, it is possible to induce the inspection of the same packet not to be repeated many times in a clean area.

복수 개의 스위치들(216-1~216-n)은 병렬적으로 배치되어 각각 개별적으로 유입되는 패킷을 처리할 수 있다. 복수 개의 스위치들(216-1~216-n)은 기본적인 스위칭 기능을 수행할 수 있다. 복수 개의 스위치들(216-1~216-n)은 수신한 패킷을 플로우로 구분하고, 플로우 테이블에 정의된 규칙에 따라 패킷을 처리한 후, 목적지 포트로 전달할 수 있다. 여기서, 플로우는 TCP 연결, 특정 MAC 또는 IP 어드레스, 그리고 동일한 VPN(Virtual Private Network) 값을 갖는 패킷들을 의미할 수 있다. 복수 개의 스위치들(216-1~216-n)은 개별적으로 SQN 스위치 콘트롤러(212)에 의해 제어될 수 있다. 이때, 하나의 스위치(예컨대, 216-1)에 장애가 발생하는 경우, 최대한 신속하게 다른 스위치(예컨대, 216-2)로 절체한 후, 새로운 경로를 구성하는 포트로 플로우 테이블을 갱신하여 트래픽 전달의 연속성을 보장할 수 있다.The plurality of switches 216-1 to 216-n may be arranged in parallel to each individually process incoming packets. The plurality of switches 216-1 to 216-n may perform a basic switching function. The plurality of switches 216-1 to 216-n may classify a received packet into a flow, process the packet according to a rule defined in a flow table, and transmit the packet to a destination port. Here, the flow may refer to packets having a TCP connection, a specific MAC or IP address, and the same VPN (Virtual Private Network) value. The plurality of switches 216-1 to 216-n may be individually controlled by the SQN switch controller 212. At this time, if a failure occurs in one switch (e.g., 216-1), switch to another switch (e.g., 216-2) as quickly as possible, and then update the flow table to the port configuring the new route to prevent traffic delivery. Continuity can be guaranteed.

복수 개의 스위치들(216-1~216-n)은 검사소(220)로부터 수신되는 정상 또는 의심 패킷을 해당 목적지인 에이전트(230)로 전송할 수 있다. 또한, 복수 개의 스위치들(216-1~216-n)은 검사 인증이 된, 즉, 검사소(220)를 거치지 않은 패킷도 에이전트(230)로 전송할 수 있다.The plurality of switches 216-1 to 216-n may transmit a normal or suspicious packet received from the inspection station 220 to the agent 230 as a corresponding destination. In addition, the plurality of switches 216-1 to 216-n may transmit a packet that has undergone inspection authentication, that is, that has not passed through the inspection station 220, to the agent 230.

도 3은 본 발명의 일 실시예에 따른 SDN을 이용한 사이버 검사 시스템의 검사소를 구체적으로 나타낸 상세블록도이다. 도 3에 도시된 바와 같이, 본 발명의 일 실시예에 따른 검사소(320)는 제 1 검사 컴포넌트(322) 및 제2 검사 컴포넌트(324)를 포함할 수 있다. 검사소(320)는 트래픽 패턴 분석 및 정상 상태 모델링을 통해 네트워크 기반 공격, 서비스 유형별 침해 및 악성코드를 탐지할 수 있다.3 is a detailed block diagram showing in detail an inspection station of a cyber inspection system using SDN according to an embodiment of the present invention. As shown in FIG. 3, the inspection station 320 according to an embodiment of the present invention may include a first inspection component 322 and a second inspection component 324. The inspection station 320 may detect network-based attacks, infringements by service type, and malicious codes through traffic pattern analysis and normal state modeling.

도 3을 참조하면, 검사소(320)는 SDN 스위치(310)로부터 비인증 패킷을 수신하거나 에이전트(330)로부터 타 단위 네트워크로 유출되는 패킷을 수신하여 검사을 수행한다. 검사 결과에 따라 정상 패킷과 의심 패킷은 스위치(310)로 제공되어 타 단위 네트워크로 전송되거나 또는 에이전트(330)로 전송될 수 있다.Referring to FIG. 3, the inspection station 320 performs an inspection by receiving an unauthorized packet from the SDN switch 310 or a packet flowing out from the agent 330 to another unit network. According to the inspection result, the normal packet and the suspicious packet may be provided to the switch 310 and transmitted to another unit network or may be transmitted to the agent 330.

먼저, 제 1 검사 컴포넌트(322)는 네트워크 기반 공격 탐지부(321), 서비스 유형별 침해 탐지부(323) 및 악성코드 탐지부(325)를 포함할 수 있다. 네트워크 기반 공격 탐지부(321)는 전송방해, 도청, 불법 변조 및 위조 등과 같이 네트워크 보안을 위협하는 공격을 탐지할 수 있다. 예컨대, Syn Flooding 공격, SYN/FIN 스캔 공격, IP spoofing 공격, Kenini Mitnick 공격, Switch Jamming 공격, ARP Redirect 공격, ICMP Redirect 공격, 비동기성 공격(Asychronous Attacks) 등이 탐지될 수 있다.First, the first inspection component 322 may include a network-based attack detection unit 321, an infringement detection unit 323 for each service type, and a malicious code detection unit 325. The network-based attack detection unit 321 may detect attacks that threaten network security, such as transmission interference, eavesdropping, illegal alteration, and forgery. For example, Syn Flooding attack, SYN/FIN scan attack, IP spoofing attack, Kenini Mitnick attack, Switch Jamming attack, ARP Redirect attack, ICMP Redirect attack, Asychronous Attacks, etc. can be detected.

서비스 유형별 침해 탐지부(323)는 검사 대상 패킷을 분석하여 서비스 유형별 침해 공격을 정의하고, 정의된 공격 유형에 대응되는 공격을 탐지하여, 유형별 공격에 대응할 수 있다.The infringement detection unit 323 for each service type may analyze a packet to be inspected to define an intrusion attack for each service type, detect an attack corresponding to the defined attack type, and respond to an attack for each type.

악성 코드 탐지부(325)는 검사 대상 패킷을 분석하여 악성 코드인지 여부를 탐지한다. 이에 시그니처 탐지(Signature Detection)가 적용될 수 있고, 제로데이(Zero-day attack) 등과 같은 악성 코드를 탐지할 수 있다.The malicious code detection unit 325 analyzes a packet to be inspected to detect whether it is a malicious code. To this, signature detection can be applied, and malicious codes such as zero-day attacks can be detected.

제 2 검사 컴포넌트(324)는 동적으로 악성 코드 등 패킷에 포함된 공격 요소를 탐지하는 구성요소이다. 제 2 검사 컴포넌트(324)는 가상 환경을 통해, 악성코드를 직접 실행시키고 동작을 살펴봄으로써, 패킷 내에 악성코드가 포함되어 있는지 판단할 수 있다. 악성코드를 실행시키기 위해 에뮬레이터 또는 가상화된 환경을 포함할 수 있다.The second inspection component 324 is a component that dynamically detects an attack element included in a packet such as malicious code. The second inspection component 324 may determine whether the malicious code is included in the packet by directly executing the malicious code and examining the operation through the virtual environment. It may include an emulator or a virtualized environment to execute malicious code.

제 1 검사 컴포넌트(322) 및 제 2 검사 컴포넌트(324)는 공격 및 침해 요소, 및 악성코드가 명확하게 탐지되는 경우 해당 패킷을 폐기하고, 상기 요소들이 의심되는 패킷, 즉 유해 여부가 불분명확 패킷은 경고를 위해 의심태그를 부착할 수 있다. 의심 태그는 해당 패킷의 헤더(header) 부분에 부착될 수 있다.The first inspection component 322 and the second inspection component 324 discards the packet when attack and intrusion elements and malicious codes are clearly detected, and the packets in which the elements are suspected, that is, packets with unclear whether or not they are harmful. Can attach suspicious tags for warning. The suspicious tag may be attached to the header of the packet.

도 4는 본 발명의 일 실시예에 따른 SDN을 이용한 사이버 검사 시스템의 에이전트의 동작을 구체적으로 나타낸 흐름도이다.4 is a flowchart specifically showing the operation of an agent in a cyber inspection system using SDN according to an embodiment of the present invention.

도 4를 참조하면, 에이전트는 SDN 스위치로부터 패킷을 수신할 수 있다(S410) SDN 스위치로부터 에이전트로 수 신되는 패킷은 정상 패킷 아니면 의심 패킷일 수 있다. 따라서, 해당 패킷이 의심 패킷인지 판단한다(S420) 의심 패킷인 경우, 별도의 의심 프로세스를 가동할 수 있다(S430) 의심 프로세스는 의심 패킷이 거쳐가는 모든 프로세스를 정규적으로 감시하는 프로세스로써, 설정된 시간 간격에 따라 의심 패킷이 도달하여 처리되는 프로세스의 악성코드 발생 여부, 해킹 여부를 감시하는 프로세스이다. 감시 시간 간격의 설정 및 특정 악성코드 및 해킹 여부의 판별을 위한 세부적인 정책은 에이전트 매니저로부터 수신할 수 있고, 이에 따라 동작하게 된다.Referring to FIG. 4, the agent may receive a packet from the SDN switch (S410). A packet received from the SDN switch to the agent may be a normal packet or a suspicious packet. Therefore, it is determined whether the corresponding packet is a suspicious packet (S420), in the case of a suspicious packet, a separate suspicious process can be operated (S430). The suspicious process is a process that regularly monitors all processes that the suspicious packet passes, and a set time This is a process that monitors whether a malicious code is generated or hacked in a process that is processed when a suspicious packet arrives at intervals. A detailed policy for setting the monitoring time interval and determining whether a specific malicious code or hacking is performed can be received from the agent manager, and is operated accordingly.

상기 의심 프로세스의 가동에 따라, 에이전트는 해당 의심 패킷과 관련된 프로세스 및 시스템의 이상을 정규적으로 감시할 수 있다(S440) 이는 에이전트 내에서 전체적으로 수행되는 시스템 전체 프로세스 및 상태 감시 동작과 별개로 수행될 수 있다. 의심 프로세스와 별개로, 즉, 정상 패킷에 대해서도, 시스템 전체 프로세스 및 상태 감시가 이루어질 수 있다(S450) 이에 따라, 프로세스의 민감 정보 접근 및 유출 행위를 추적할 수 있고, 감시할 수 있다. 추적된 정보 접근 및 유출 행위에 대해 이벤트 정보를 생성하여 에이전트 매니저로 전송할 수 있다. 이러한 에이전트의 동작은 다수의 운영체제와 기기 내에서 수행될 수 있고, 따라서, 에이전트 매니저는 다수 운영체제와 기기를 지원하기 위해 다양한 정책을 보유하였다가 적절한 정책을 에이전트로 제공할 수 있다.According to the operation of the suspicious process, the agent may regularly monitor the process and system abnormalities related to the suspicious packet (S440). This may be performed independently from the system-wide process and status monitoring operation performed entirely within the agent. have. Apart from the suspicious process, that is, even for a normal packet, the entire system process and state monitoring may be performed (S450). Accordingly, the access and leakage of sensitive information of the process may be tracked and monitored. Event information can be generated and transmitted to the agent manager for access and leakage of tracked information. The operation of such an agent can be performed within a number of operating systems and devices, and therefore, the agent manager can have various policies to support multiple operating systems and devices, and provide appropriate policies to the agent.

도 5는 본 발명의 일 실시예에 따른 SDN을 이용한 사이버 검사 시스템의 에이전트 매니저를 구체적으로 나타낸 상세블록도이다. 도 5에 도시된 바와 같이, 본 발명의 일 실시예에 따른 에이전트 매니저(540)는 이벤트 관리부(542), 에이전트 관리부(544) 및 정책 관리부(546)를 포함할 수 있고, 정책 데이터베이스(548)을 더 포함할 수 있다.5 is a detailed block diagram showing in detail an agent manager of a cyber inspection system using SDN according to an embodiment of the present invention. 5, the agent manager 540 according to an embodiment of the present invention may include an event management unit 542, an agent management unit 544, and a policy management unit 546, and a policy database 548 It may further include.

도 5를 참조하면, 이벤트 관리부(542)는 에이전트(530)로부터 감시 이벤트를 수신하여 수신된 시각별로 이벤트를 관리할 수 있다. 수집된 이번트 정보는 에이전트 관리부(544)를 통해 각 에이전트(530)별로 관리될 수 있고, 에이전트(530)의 이벤트를 수집 및 분석하여 보안 정책을 수립할 수 있다. 보안 정책의 수립은 정책 관리부(546)가 수행할 수 있다. 정책 관리부(546)는 정책 데이터베이스(548)에 포함된 정책 관련 정보를 기반으로 정책을 수립하고 설정 및 관리할 수 있다. 정책 데이터베이스(548)는 상기 에이전트 매니저 장치(540) 내부 또는 외부에 배치될 수 있다. 정책 데이터베이스(548)에는 계정 정책(사용자 계정에 따른 권한 설정 내용 등), 로컬 보안 정책, 공개키 정책 등과 관련된 정보가 각 기간별로, 에이전트별로, 또는 트래픽 플로우 별로 관리될 수 있다. 정책 관리부(546)는 이러한 정책 데이터베이스(548)의 정보와 에이전트(530)로부터 수시로 수신되는 이벤트 정보를 통해 적절한 정책을 동적으로 수립할 수 있고, 설정된 정책을 에이전트(530)로 내려보내줄 수 있다.Referring to FIG. 5, the event management unit 542 may receive a monitoring event from the agent 530 and manage the event for each received time. The collected thist information may be managed for each agent 530 through the agent management unit 544, and a security policy may be established by collecting and analyzing events of the agent 530. The establishment of a security policy may be performed by the policy management unit 546. The policy management unit 546 may establish, set, and manage a policy based on policy-related information included in the policy database 548. The policy database 548 may be disposed inside or outside the agent manager device 540. In the policy database 548, information related to an account policy (permission setting content according to a user account, etc.), a local security policy, a public key policy, and the like may be managed for each period, for each agent, or for each traffic flow. The policy management unit 546 can dynamically establish an appropriate policy through the information in the policy database 548 and event information frequently received from the agent 530, and can send the set policy down to the agent 530. .

이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.As described above, in the present invention, specific matters such as specific components, etc., and limited embodiments and drawings have been described, but this is provided only to help a more general understanding of the present invention, and the present invention is not limited to the above embodiments. , If a person of ordinary skill in the field to which the present invention belongs, various modifications and variations are possible from these descriptions.

따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적인 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.Therefore, the spirit of the present invention is limited to the described embodiments and should not be defined, and all those having variations equivalent or equivalent to the claims, as well as the claims to be described later, will belong to the scope of the inventive concept. .

110: SDN 스위치
120: 검사소
130: 에이전트
140: 에이전트 매니저110: SDN switch
120: inspection office
130: agent
140: agent manager

Claims (1)

단위 네트워크로 유입 또는 다른 단위 네트워크로 유출되는 패킷 중 적어도 일부를 인증하고 트래픽 분배를 수행하는 SDN(Sofrwore Defined Network) 스위치;
트래픽 분배된 패킷 중 검사 대상 패킷에 대해 유해 패킷인지 검사하여 유해 패킷을 폐기하고 유해 여부가 의심되는 의심 패킷은 의심 태그를 부착하는 검사소; 및
검사 완료된 패킷 또는 검사 없이 트래픽 분배된 패킷을 수신하는 에이전트를 포함하는 것을 특징으로 하는 SDN 기반의 검사시스템.
A SDN (Sofrwore Defined Network) switch for authenticating at least some of packets flowing into a unit network or flowing out to another unit network and performing traffic distribution;
A test station that discards the harmful packet by checking whether the packet to be inspected is a harmful packet among traffic-distributed packets, and attaches a suspicious tag to the suspected packet; And
SDN-based inspection system, characterized in that it comprises an agent for receiving a packet that has been inspected or a packet that has been distributed without inspection.
KR1020190038624A 2019-04-02 2019-04-02 Cyber inspection system KR20200116773A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190038624A KR20200116773A (en) 2019-04-02 2019-04-02 Cyber inspection system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190038624A KR20200116773A (en) 2019-04-02 2019-04-02 Cyber inspection system

Publications (1)

Publication Number Publication Date
KR20200116773A true KR20200116773A (en) 2020-10-13

Family

ID=72885202

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190038624A KR20200116773A (en) 2019-04-02 2019-04-02 Cyber inspection system

Country Status (1)

Country Link
KR (1) KR20200116773A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102461482B1 (en) * 2021-07-27 2022-11-03 김민석 The apparatus of harmful contents blocking service platform based on ai agent

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102461482B1 (en) * 2021-07-27 2022-11-03 김민석 The apparatus of harmful contents blocking service platform based on ai agent
WO2023008894A1 (en) * 2021-07-27 2023-02-02 김민석 Harmful content blocking service platform device based on artificial intelligence agent

Similar Documents

Publication Publication Date Title
KR101455167B1 (en) Network switch based on whitelist
EP1905197B1 (en) System and method for detecting abnormal traffic based on early notification
Kene et al. A review on intrusion detection techniques for cloud computing and security challenges
US7539857B2 (en) Cooperative processing and escalation in a multi-node application-layer security system and method
US10116692B2 (en) Scalable DDoS protection of SSL-encrypted services
CN100435513C (en) Method of linking network equipment and invading detection system
Chiba et al. A survey of intrusion detection systems for cloud computing environment
KR101156005B1 (en) System and method for network attack detection and analysis
Mahan et al. Secure data transfer guidance for industrial control and SCADA systems
KR100947211B1 (en) System for active security surveillance
KR20010095337A (en) Firewall system combined with embeded hardware and general-purpose computer
Bera et al. Denial of service attack in software defined network
KR101887544B1 (en) Sdn-based network-attacks blocking system for micro server management system protection
Ruffy et al. A STRIDE-based security architecture for software-defined networking
US20050076236A1 (en) Method and system for responding to network intrusions
KR20200116773A (en) Cyber inspection system
KR101343693B1 (en) Network security system and method for process thereof
Ibrahim et al. Sdn-based intrusion detection system
KR20160143086A (en) Cyber inspection system and method using sdn
KR101358794B1 (en) Distributed denial of service attack protection system and method
Choi IoT (Internet of Things) based Solution Trend Identification and Analysis Research
Prabhu et al. Network intrusion detection system
KR102174507B1 (en) A appratus and method for auto setting firewall of the gateway in network
Choudhary et al. Detection and Isolation of Zombie Attack under Cloud Computing
CN112671783B (en) Host IP scanning prevention method based on VLAN user group