KR20220167605A - Security apparatus and method for smartwork environment - Google Patents
Security apparatus and method for smartwork environment Download PDFInfo
- Publication number
- KR20220167605A KR20220167605A KR1020210076769A KR20210076769A KR20220167605A KR 20220167605 A KR20220167605 A KR 20220167605A KR 1020210076769 A KR1020210076769 A KR 1020210076769A KR 20210076769 A KR20210076769 A KR 20210076769A KR 20220167605 A KR20220167605 A KR 20220167605A
- Authority
- KR
- South Korea
- Prior art keywords
- packet
- packets
- information
- processors
- security device
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 75
- 238000004458 analytical method Methods 0.000 claims abstract description 39
- 230000002159 abnormal effect Effects 0.000 claims abstract description 37
- 238000004422 calculation algorithm Methods 0.000 claims description 68
- 230000008569 process Effects 0.000 claims description 45
- 230000015654 memory Effects 0.000 claims description 20
- 230000000903 blocking effect Effects 0.000 claims description 18
- 238000012546 transfer Methods 0.000 claims description 7
- 238000010801 machine learning Methods 0.000 claims description 5
- 230000000977 initiatory effect Effects 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims description 3
- 230000006870 function Effects 0.000 description 56
- 238000012545 processing Methods 0.000 description 37
- 238000007726 management method Methods 0.000 description 33
- 238000010586 diagram Methods 0.000 description 31
- 238000011161 development Methods 0.000 description 22
- 238000001914 filtration Methods 0.000 description 21
- 238000001514 detection method Methods 0.000 description 14
- 238000004891 communication Methods 0.000 description 12
- 238000012038 vulnerability analysis Methods 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 11
- 238000012360 testing method Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 4
- 238000007689 inspection Methods 0.000 description 3
- 230000014509 gene expression Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 210000001525 retina Anatomy 0.000 description 2
- 208000025721 COVID-19 Diseases 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/302—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/308—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Evolutionary Computation (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
본 발명은 스마트워크 환경을 위한 네트워크 보안 장치에 관련된 것으로, 보다 구체적으로는 스마트워크 서비스를 위한 UC&C(Unified communications & Collaboration) 시스템과 인터넷망의 접점 구간에 위치하여 스마트워크를 위한 업무의 핵심인 음성통화, 영상통화, 채팅, 파일 공유를 위해 사용되는 프로토콜에 대한 침해 여부를 탐지하고 차단하는 네트워크 보안 장치 및 방법과, 그를 저장하는 컴퓨터 판독 가능한 기록매체에 관련된 것이다.The present invention relates to a network security device for a smart work environment, and more specifically, it is located at the junction of a UC&C (Unified communications & Collaboration) system for smart work service and the Internet network, and is located at the interface of the voice, which is the core of work for smart work. It relates to a network security device and method for detecting and blocking violations of protocols used for calls, video calls, chatting, and file sharing, and a computer-readable recording medium for storing them.
주 52시간 근무 및 코로나19로 인한 유연근무제 시행 기업들이 급격히 증가함에 따라, UC&C(Unified communications & Collaboration) 솔루션을 통한 스마트워크 서비스 환경이 증가하고 있다. 또한, 재택 근무 및 원격 근무 같은 스마트워크 서비스가 인터넷 환경에서 운영되므로, 다양한 인터넷 네트워크 및 서비스 보안 취약성에 그대로 노출되어 있다.As the number of companies implementing the 52-hour work week and the flexible work system due to COVID-19 increases rapidly, the smart work service environment through UC&C (Unified Communications & Collaboration) solutions is increasing. In addition, since smart work services such as telework and remote work are operated in the Internet environment, they are exposed to various Internet network and service security vulnerabilities.
하지만, 현재 대부분의 스마트워크 서비스 기업에서는 데이터 방화벽의 보안 체계에 의존하고 있는 실정이지만, 데이터 방화벽의 IP/Port 기반의 보안 정책으로는 UC&C에 사용되는 프로토콜의 취약성에 기인한 도청, 해킹, 업무방해 등의 공격에는 무방비한 문제점이 있다. 즉, 스마트워크 서비스를 위한 UC&C 시스템에 특화된 보안 솔루션이 필요한 상태이다.However, currently most smart work service companies rely on the security system of the data firewall, but the IP/Port-based security policy of the data firewall prevents eavesdropping, hacking, and business disruption due to the vulnerability of the protocol used in UC&C. There is a defenseless problem in the attack of the back. In other words, a security solution specialized for UC&C system for smart work service is required.
본 발명이 해결하고자 하는 일 기술적 과제는, 스마트워크 서비스를 위한 UC&C(Unified communications & Collaboration) 시스템과 인터넷망의 접점 구간에 위치하여 스마트워크를 위한 프로토콜에 대한 침해 여부를 탐지하고 차단하는 네트워크 보안 장치 및 방법과, 그를 저장하는 컴퓨터 판독 가능한 기록매체를 제공하는데 있다.A technical problem to be solved by the present invention is a UC&C (Unified Communications & Collaboration) system for smart work service and a network security device that detects and blocks violations of protocols for smart work located at the junction of the Internet network and a method, and a computer readable recording medium storing the same.
본 발명이 해결하고자 하는 다른 기술적 과제는, DPI(Deep Packet Inspection) 기술 및 상태(State) 기반 서비스 플로우(flow) 감시 기술을 이용한 네트워크 보안 장치 및 방법과, 그를 저장하는 컴퓨터 판독 가능한 기록매체를 제공하는데 있다.Another technical problem to be solved by the present invention is to provide a network security device and method using DPI (Deep Packet Inspection) technology and state-based service flow monitoring technology, and a computer-readable recording medium for storing the same are doing
본 발명이 해결하고자 하는 기술적 과제는 상술된 것에 제한되지 않는다.The technical problem to be solved by the present invention is not limited to the above.
본 발명의 일 실시 예에 따른 스마트워크 환경을 위한 보안 장치는, 하나 이상의 프로세서; 및 상기 하나 이상의 프로세서에 의한 실행 시, 상기 하나 이상의 프로세서가 연산을 수행하도록 하는 명령들이 저장된 하나 이상의 메모리를 포함하며, 상기 하나 이상의 프로세서는, 인증된 서버들의 IP(Internet Protocol) 주소 정보를 포함하는 서버 리스트를 수신하고, 상기 서버 리스트를 이용하여 수신되는 패킷에 대하여 정상 패킷과 비정상 패킷을 판별하며, 인증된 단말들의 IP 주소 정보, 포트 정보, 유효 기간 정보 및 단말의 종류 정보를 포함하는 단말 리스트를 수신하고, 상기 단말 리스트를 이용하여 상기 비정상 패킷을 심층 패킷 분석 방법을 통하여 유효 패킷과 비유효 패킷을 판별하며, 상기 비유효 패킷을 차단하고, 상기 유효 패킷을 대상 단말로 전송할 수 있다.A security device for a smart work environment according to an embodiment of the present invention includes one or more processors; and one or more memories storing instructions for causing the one or more processors to perform operations when executed by the one or more processors, wherein the one or more processors include IP (Internet Protocol) address information of authenticated servers. A terminal list that receives a server list, determines normal packets and abnormal packets for received packets using the server list, and includes IP address information, port information, valid period information, and terminal type information of authenticated terminals. may be received, and a valid packet and an invalid packet may be discriminated from the abnormal packet through a deep packet analysis method using the terminal list, the invalid packet may be blocked, and the valid packet may be transmitted to a target terminal.
일 실시예로서, 상기 하나 이상의 프로세서는, 상기 정상 패킷과 상기 비정상 패킷의 판별 결과에 기초하여 상기 서버 리스트를 업데이트하고, 상기 유효 패킷과 상기 비유효 패킷의 판별 결과에 기초하여 상기 단말 리스트를 업데이트할 수 있다.As an embodiment, the one or more processors update the server list based on the determination result of the normal packet and the abnormal packet, and update the terminal list based on the determination result of the valid packet and the invalid packet. can do.
일 실시예로서, 상기 수신되는 패킷은, SIP(Session Initiation Protocol) 패킷, MSRP(Message Session Relay Protocol) 패킷 및 HTTP(Hypertext Transfer Protocol) 패킷 중 적어도 하나의 패킷을 포함할 수 있다.As an embodiment, the received packet may include at least one of a Session Initiation Protocol (SIP) packet, a Message Session Relay Protocol (MSRP) packet, and a Hypertext Transfer Protocol (HTTP) packet.
일 실시예로서, 상기 하나 이상의 프로세서는, 상기 정상 패킷과 상기 비정상 패킷의 판별 과정에서의 분석 정보에 기초하여 분석 데이터를 형성하고, 상기 분석 데이터에 기초하여 소정 주기별로 통계 데이터를 형성하며, 기계학습 알고리즘을 이용하여 상기 분석 데이터 및 상기 통계 데이터로부터 학습 데이터를 형성하고, 상기 학습 데이터를 이용하여 상기 서버 리스트를 주기적으로 업데이트 할 수 있다.As an embodiment, the one or more processors form analysis data based on analysis information in a process of determining the normal packet and the abnormal packet, form statistical data for each predetermined period based on the analysis data, and Learning data may be formed from the analysis data and the statistical data using a learning algorithm, and the server list may be periodically updated using the learning data.
일 실시예로서, 상기 하나 이상의 프로세서는, 상기 유효 패킷과 상기 비유효 패킷의 판별 과정에서의 분석 정보에 기초하여 분석 데이터를 형성하고, 상기 분석 데이터에 기초하여 소정 주기별로 통계 데이터를 형성하며, 기계학습 알고리즘을 이용하여 상기 분석 데이터 및 상기 통계 데이터로부터 학습 데이터를 형성하고, 상기 학습 데이터를 이용하여 상기 단말 리스트를 주기적으로 업데이트 할 수 있다.As an embodiment, the one or more processors form analysis data based on analysis information in a process of determining the valid packet and the invalid packet, and form statistical data for each predetermined period based on the analysis data; Learning data may be formed from the analysis data and the statistical data using a machine learning algorithm, and the terminal list may be periodically updated using the learning data.
본 발명의 일 실시 예에 따른 하나 이상의 프로세서; 및 상기 하나 이상의 프로세서에 의한 실행 시, 상기 하나 이상의 프로세서가 연산을 수행하도록 하는 명령들이 저장된 하나 이상의 메모리를 포함하는 네트워크 보안 장치를 이용한 네트워크 보안 방법은, 인증된 서버들의 IP(Internet Protocol) 주소 정보를 포함하는 서버 리스트를 수신하는 단계; 상기 서버 리스트를 이용하여 수신되는 패킷에 대하여 정상 패킷과 비정상 패킷을 판별하는 단계; 인증된 단말들의 IP 주소 정보, 포트 정보, 유효 기간 정보 및 단말의 종류 정보를 포함하는 단말 리스트를 수신하는 단계; 상기 단말 리스트를 이용하여 상기 비정상 패킷을 심층 패킷 분석 방법을 통하여 유효 패킷과 비유효 패킷을 판별하는 단계; 및 상기 비유효 패킷을 차단하고, 상기 유효 패킷을 대상 단말로 전송하는 단계를 포함할 수 있다.one or more processors according to an embodiment of the present invention; and one or more memories storing instructions for causing the one or more processors to perform operations when executed by the one or more processors. Receiving a server list including; discriminating between normal packets and abnormal packets with respect to received packets using the server list; Receiving a terminal list including IP address information, port information, valid period information, and terminal type information of authenticated terminals; discriminating valid packets and invalid packets from the abnormal packets using the terminal list through a deep packet analysis method; and blocking the invalid packet and transmitting the valid packet to a target terminal.
본 발명의 일 실시 예에 따른 하나 이상의 프로세서; 및 상기 하나 이상의 프로세서에 의한 실행 시, 상기 하나 이상의 프로세서가 연산을 수행하도록 하는 명령들이 저장된 하나 이상의 메모리를 포함하는 컴퓨터에서 수행 가능하도록 컴퓨터 판독 가능한 기록매체에 저장된 컴퓨터 프로그램은, 인증된 서버들의 IP(Internet Protocol) 주소 정보를 포함하는 서버 리스트를 수신하는 단계; 상기 서버 리스트를 이용하여 수신되는 패킷에 대하여 정상 패킷과 비정상 패킷을 판별하는 단계; 인증된 단말들의 IP 주소 정보, 포트 정보, 유효 기간 정보 및 단말의 종류 정보를 포함하는 단말 리스트를 수신하는 단계; 상기 단말 리스트를 이용하여 상기 비정상 패킷을 심층 패킷 분석 방법을 통하여 유효 패킷과 비유효 패킷을 판별하는 단계; 및 상기 비유효 패킷을 차단하고, 상기 유효 패킷을 대상 단말로 전송하는 단계를 수행 가능하도록 컴퓨터 판독 가능한 기록매체에 저장될 수 있다.one or more processors according to an embodiment of the present invention; And when executed by the one or more processors, a computer program stored in a computer-readable recording medium so as to be executable by a computer including one or more memories in which instructions for causing the one or more processors to perform operations are stored, the IP of the authenticated servers Receiving a server list including (Internet Protocol) address information; discriminating between normal packets and abnormal packets with respect to received packets using the server list; Receiving a terminal list including IP address information, port information, valid period information, and terminal type information of authenticated terminals; discriminating valid packets and invalid packets from the abnormal packets using the terminal list through a deep packet analysis method; and blocking the invalid packets and transmitting the valid packets to a target terminal.
본 발명의 일 실시 예에 따른 스마트워크 환경을 위한 보안 장치 및 방법과, 그를 저장하는 컴퓨터 판독 가능한 기록매체는, 네트워크 보안을 위하여 서버 리스트(화이트 리스트) 기반의 탐지 방법과 단말 리스트 기반의 탐지 방법을 융합하여 비정상 공격 메시지에 대한 탐지 및 차단 기능을 수행할 수 있다. 이로써, UC&C 시스템과 인터넷망 간에 송수신되는 패킷의 기밀성과 보안성을 보장하고, 외부로부터의 네트워크 공격으로부터 UC&C 시스템을 보호할 수 있다.A security device and method for a smart work environment and a computer-readable recording medium storing the same according to an embodiment of the present invention are a server list (white list) based detection method and a terminal list based detection method for network security. can perform detection and blocking functions for abnormal attack messages. Accordingly, confidentiality and security of packets transmitted and received between the UC&C system and the Internet network can be guaranteed, and the UC&C system can be protected from network attacks from the outside.
또한, 본 발명의 일 실시 예에 따른 네트워크 보안 장치 및 방법은, 정상 패킷과 비정상 패킷/유효 패킷과 비유효 패킷 판별 과정에서의 분석 정보에 기초하여 보안 프로파일을 주기적으로 업데이트할 수 있다. 이로써, 계절별, 시간대별, 날씨별로 변화하는 판별 기준에 따른 오 탐지율을 최소화할 수 있다.In addition, the network security apparatus and method according to an embodiment of the present invention may periodically update a security profile based on analysis information in a process of determining normal packets, abnormal packets/valid packets, and invalid packets. In this way, it is possible to minimize the false detection rate according to the discrimination criterion that changes according to the season, time, and weather.
또한, 본 발명의 일 실시 예에 따른 네트워크 보안 장치 및 방법은, DPI 기술 및 상태 기반 서비스 플로우 감시 기술을 이용하여 유효하지 않은 패킷에 대한 탐지 및 차단 기능을 수행할 수 있다. 이로써, 유효하지 않은 패킷을 다각적으로 탐지할 수 있어서 유효하지 않은 패킷에 대한 탐지율을 향상시킬 수 있다.In addition, the network security apparatus and method according to an embodiment of the present invention may perform a function of detecting and blocking invalid packets using DPI technology and state-based service flow monitoring technology. In this way, invalid packets can be detected in various ways, and thus the detection rate for invalid packets can be improved.
도 1은 본 발명의 실시 예에 따른 스마트워크 환경을 위한 네트워크 보안 환경의 구성을 보이는 예시도이다.
도 2는 본 발명의 실시 예에 따른 통합 어플리케이션 보안솔루션 개발 개념도이다.
도 3은 본 발명의 실시예에 따른 UC&C 프로토콜 취약점 분석 개념도이다.
도 4는 본 발명의 실시 예에 따른 UC&C 서비스별 보안 알고리즘 개발을 위한 주요 공통 기술의 개념도이다.
도 5는 본 발명의 실시 예에 따른 네트워크 보안 장치의 구성을 보이는 예시도이다.
도 6은 본 발명의 실시 예에 따른 보안 알고리즘 구현을 위한 패킷 필터링 플로우의 개념도이다.
도 7은 본 발명의 실시 예에 따른 SIP 패킷의 보안 알고리즘 흐름도이다.
도 8은 본 발명의 실시 예에 따른 SIP 패킷의 필터링 흐름도이다.
도 9는 본 발명의 실시 예에 따른 SIP 패킷의 ACL 알고리즘 흐름도이다.
도 10은 본 발명의 실시예에 따른 SIP 패킷의 플로딩 알고리즘을 보이는 흐름도이다.
도 11은 본 발명의 실시 예에 따른 SIP 패킷의 콜 갭핑 알고리즘을 보이는 흐름도이다.
도 12는 본 발명의 실시 예에 따른 SIP 처리 과정 중 SRTP 알고리즘을 보이는 흐름도이다.
도 13은 본 발명의 실시 예에 따른 MSRP 패킷 보안 알고리즘을 보이는 흐름도이다.
도 14는 본 발명의 실시 예에 따른 MSRP 패킷 필터링 플로우를 보이는 흐름도이다.
도 15는 본 발명의 실시 예에 따른 MSRP 패킷의 ACL 보안을 보이는 흐름도이다.
도 16은 본 발명의 실시 예에 따른 MSRP 패킷의 DDoS 보안을 보이는 흐름도이다.
도 17은 본 발명의 실시 예에 따른 HTTP 패킷 보안 알고리즘을 보이는 흐름도이다.
도 18은 본 발명의 실시 예에 따른 HTTP 패킷의 필터링 플로우를 보이는 흐름도이다.
도 19는 본 발명의 실시 예에 따른 HTTP 패킷의 ACL 보안을 보이는 흐름도이다.
도 20은 본 발명의 실시 예에 따른 HTTP 패킷의 DDoS 보안을 보이는 흐름도이다.
도 21은 본 발명의 실시 예에 따른 HTTP 패킷의 헤더 보안을 보이는 흐름도이다.
도 22는 본 발명의 실시 예에 따른 패킷 수신부터 전송까지의 흐름도이다.
도 23은 본 발명의 실시 예에 따른 패킷 처리 과정의 ACL 보안을 보이는 흐름도이다.
도 24는 본 발명의 실시 예에 따른 패킷 처리 과정의 DDoS 보안을 보이는 흐름도이다.
도 25는 본 발명의 실시 예에 따른 패킷 처리 과정의 전달/차단 절차를 보이는 흐름도이다.
도 26은 본 발명의 실시 예에 따른 UC&C 통합 보안 시스템을 블록도이다.
도 27은 본 발명의 실시 예에 따른 UC&C 프로토콜 통합보안 플랫폼의 개념도이다.
도 28은 본 발명의 실시 예에 따른 PFM 블록의 개념도이다.
도 29는 본 발명의 실시 예에 따른 SIPSB 블록의 개념도이다.
도 30은 본 발명의 실시 예에 따른 MSRPSB 블록의 개념도이다.
도 31은 본 발명의 실시 예에 따른 HTTPSB 블록의 개념도이다.
도 32는 본 발명의 실시 예에 따른 라이브러리 구성 예시도이다.
도 33은 본 발명의 실시 예에 따른 이클립스 기반 개발 프레임워크의 구조도이다.
도 34는 본 발명의 실시 예에 따른 스프링 프레임워크 기반 개발 개념도이다.
도 35는 본 발명의 실시 예에 따른 관리자용 웹 GUI의 예시도이다.
도 36은 본 발명의 실시 예에 따른 관리자용 운영관리 기능의 구성도이다.
도 37은 본 발명의 실시 예에 따른 네트워크 보안 방법의 절차를 보이는 흐름도이다.1 is an exemplary diagram showing the configuration of a network security environment for a smart work environment according to an embodiment of the present invention.
2 is a conceptual diagram of developing an integrated application security solution according to an embodiment of the present invention.
3 is a conceptual diagram of UC&C protocol vulnerability analysis according to an embodiment of the present invention.
4 is a conceptual diagram of major common technologies for developing security algorithms for each UC&C service according to an embodiment of the present invention.
5 is an exemplary diagram showing the configuration of a network security device according to an embodiment of the present invention.
6 is a conceptual diagram of a packet filtering flow for implementing a security algorithm according to an embodiment of the present invention.
7 is a flowchart of an SIP packet security algorithm according to an embodiment of the present invention.
8 is a flowchart of SIP packet filtering according to an embodiment of the present invention.
9 is a flowchart of an ACL algorithm of a SIP packet according to an embodiment of the present invention.
10 is a flowchart showing a flooding algorithm of SIP packets according to an embodiment of the present invention.
11 is a flowchart showing a call gapping algorithm for SIP packets according to an embodiment of the present invention.
12 is a flowchart showing an SRTP algorithm during SIP processing according to an embodiment of the present invention.
13 is a flowchart showing an MSRP packet security algorithm according to an embodiment of the present invention.
14 is a flow chart showing an MSRP packet filtering flow according to an embodiment of the present invention.
15 is a flowchart showing ACL security of MSRP packets according to an embodiment of the present invention.
16 is a flowchart showing DDoS security of MSRP packets according to an embodiment of the present invention.
17 is a flowchart showing an HTTP packet security algorithm according to an embodiment of the present invention.
18 is a flowchart showing a filtering flow of HTTP packets according to an embodiment of the present invention.
19 is a flowchart showing ACL security of HTTP packets according to an embodiment of the present invention.
20 is a flowchart showing DDoS security of HTTP packets according to an embodiment of the present invention.
21 is a flowchart showing header security of an HTTP packet according to an embodiment of the present invention.
22 is a flowchart from packet reception to transmission according to an embodiment of the present invention.
23 is a flowchart showing ACL security in a packet processing process according to an embodiment of the present invention.
24 is a flowchart showing DDoS security in a packet processing process according to an embodiment of the present invention.
25 is a flowchart showing a forwarding/blocking procedure of a packet processing process according to an embodiment of the present invention.
26 is a block diagram of a UC&C integrated security system according to an embodiment of the present invention.
27 is a conceptual diagram of a UC&C protocol integrated security platform according to an embodiment of the present invention.
28 is a conceptual diagram of a PFM block according to an embodiment of the present invention.
29 is a conceptual diagram of a SIPSB block according to an embodiment of the present invention.
30 is a conceptual diagram of an MSRPSB block according to an embodiment of the present invention.
31 is a conceptual diagram of an HTTPSB block according to an embodiment of the present invention.
32 is an exemplary view of library configuration according to an embodiment of the present invention.
33 is a structural diagram of an Eclipse-based development framework according to an embodiment of the present invention.
34 is a conceptual diagram of spring framework-based development according to an embodiment of the present invention.
35 is an exemplary diagram of a web GUI for administrators according to an embodiment of the present invention.
36 is a configuration diagram of an operation management function for administrators according to an embodiment of the present invention.
37 is a flowchart showing a procedure of a network security method according to an embodiment of the present invention.
이하, 첨부된 도면들을 참조하여 본 발명의 바람직한 실시 예를 상세히 설명할 것이다. 그러나 본 발명의 기술적 사상은 여기서 설명되는 실시 예에 한정되지 않고 다른 형태로 구체화될 수도 있다. 오히려, 여기서 소개되는 실시 예는 개시된 내용이 철저하고 완전해질 수 있도록 그리고 당업자에게 본 발명의 사상이 충분히 전달될 수 있도록 하기 위해 제공되는 것이다. Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. However, the technical idea of the present invention is not limited to the embodiments described herein and may be embodied in other forms. Rather, the embodiments introduced herein are provided so that the disclosed content will be thorough and complete, and the spirit of the present invention will be sufficiently conveyed to those skilled in the art.
본 명세서에서, 어떤 구성요소가 다른 구성요소 상에 있다고 언급되는 경우에 그것은 다른 구성요소 상에 직접 형성될 수 있거나 또는 그들 사이에 제 3의 구성요소가 개재될 수도 있다는 것을 의미한다.In this specification, when an element is referred to as being on another element, it means that it may be directly formed on the other element or a third element may be interposed therebetween.
또한, 본 명세서의 다양한 실시 예 들에서 제1, 제2, 제3 등의 용어가 다양한 구성요소들을 기술하기 위해서 사용되었지만, 이들 구성요소들이 이 같은 용어들에 의해서 한정되어서는 안 된다. 이들 용어들은 단지 어느 구성요소를 다른 구성요소와 구별시키기 위해서 사용되었을 뿐이다. 따라서, 어느 한 실시 예에 제 1 구성요소로 언급된 것이 다른 실시 예에서는 제 2 구성요소로 언급될 수도 있다. 여기에 설명되고 예시되는 각 실시 예는 그것의 상보적인 실시 예도 포함한다. 또한, 본 명세서에서 '및/또는'은 전후에 나열한 구성요소들 중 적어도 하나를 포함하는 의미로 사용되었다.In addition, although terms such as first, second, and third are used to describe various elements in various embodiments of the present specification, these elements should not be limited by these terms. These terms are only used to distinguish one component from another. Therefore, what is referred to as a first element in one embodiment may be referred to as a second element in another embodiment. Each embodiment described and illustrated herein also includes its complementary embodiments. In addition, in this specification, 'and/or' is used to mean including at least one of the elements listed before and after.
명세서에서 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함한다. 또한, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 구성요소 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 구성요소 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 배제하는 것으로 이해되어서는 안 된다. In the specification, expressions in the singular number include plural expressions unless the context clearly dictates otherwise. In addition, the terms "comprise" or "having" are intended to designate that the features, numbers, steps, components, or combinations thereof described in the specification exist, but one or more other features, numbers, steps, or components. It should not be construed as excluding the possibility of the presence or addition of elements or combinations thereof.
또한, 본 명세서에서 "연결"은 복수의 구성 요소를 간접적으로 연결하는 것, 및 직접적으로 연결하는 것을 모두 포함하는 의미로 사용된다. 또한, "연결"이라 함은 물리적인 연결은 물론 전기적인 연결을 포함하는 개념이다.In addition, in this specification, "connection" is used to mean both indirectly and directly connecting a plurality of components. In addition, "connection" is a concept including physical connection as well as electrical connection.
또한, 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략할 것이다.In addition, in the following description of the present invention, if it is determined that a detailed description of a related known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description will be omitted.
본 발명의 일 실시 예에 따른 스마트워크 환경을 위한 보안 장치는 네트워크 보안 장치로도 호칭될 수 있다.A security device for a smart work environment according to an embodiment of the present invention may also be referred to as a network security device.
도 1은 본 발명의 실시 예에 따른 네트워크 보안 환경의 구성을 보이는 예시도이다.1 is an exemplary view showing the configuration of a network security environment according to an embodiment of the present invention.
도 1에 도시한 바와 같이, 네트워크 보안 환경(100)은 보호 대상 영역(PA), 보안 영역(SZ) 및 서비스/공격 영역(SA)을 포함할 수 있다.As shown in FIG. 1 , the
스마트워크를 위한 UC&C(Unified communications & Collaboration) 구축 시 외부 공격으로부터 UC&C 서버(110) 및 서비스를 보호하기 위해 소프트웨어 방식의 통합 어플리케이션(Unified Application) 보안솔루션 개발을 목표로 할 수 있다.When building Unified Communications & Collaboration (UC&C) for smart work, it may be aimed at developing a software-based Unified Application security solution to protect the
도 2는 본 발명의 실시 예에 따른 통합 어플리케이션 보안솔루션 개발 개념도이다.2 is a conceptual diagram of developing an integrated application security solution according to an embodiment of the present invention.
도 2에 도시한 바와 같이, UC&C 서비스 프로토콜(SIP, MSRP, HTTP 등) 보안 취약점을 분석하고, UC&C 서비스별 최적의 보안 알고리즘을 개발할 수 있다. 심층 패킷 분석(DPI: Deep Packet Inspection) 기반의 UC&C 프로토콜 통합 보안 플랫폼을 개발하고, 관리자용 운영 관리 기능을 개발할 수 있다.As shown in FIG. 2, it is possible to analyze security vulnerabilities of UC&C service protocols (SIP, MSRP, HTTP, etc.) and develop optimal security algorithms for each UC&C service. UC&C protocol integrated security platform based on Deep Packet Inspection (DPI) can be developed, and operation management functions for administrators can be developed.
일 실시 예에 따르면, 서비스별 보안 취약점을 분석하고(S210), 서비스별 보안 알고리즘을 개발하며(S220), 통합 보안 플랫폼을 개발하고(S230), 관리자용 운영 관리 기능을 개발(S240)할 수 있다.According to an embodiment, it is possible to analyze security vulnerabilities for each service (S210), develop a security algorithm for each service (S220), develop an integrated security platform (S230), and develop an operation management function for an administrator (S240). there is.
서비스별 보안 취약점 분석 단계(S210)에서는, 서비스 거부, 통화내용 도청, 호 가로채기 등과 같은 VoIP(Voice over Internet Protocol) 취약점을 분석하고, 버퍼 오버플로우, 재전송(replay attack), 원격코드 실행 등과 같은 MSRP(Message Session Relay Protocol) 취약점을 분석하며, 비정상적인 웹 요청, 콘텐츠 변조, 비인가된 서비스 접근 등과 같은 HTTP(Hypertext Transfer Protocol) 취약점을 분석할 수 있다. In the service-specific security vulnerability analysis step (S210), VoIP (Voice over Internet Protocol) vulnerabilities such as service denial, call eavesdropping, call interception, etc. are analyzed, buffer overflow, replay attack, remote code execution, etc. You can analyze MSRP (Message Session Relay Protocol) vulnerabilities and HTTP (Hypertext Transfer Protocol) vulnerabilities such as abnormal web requests, content tampering, and unauthorized service access.
서비스별 보안 알고리즘 개발 단계(S220)에서는, SIP 표준 보안 알고리즘, SIP Flooding 보안 알고리즘, 통화 유형별 보안 알고리즘 등과 같은 통화 서비스 보안 알고리즘을 개발하고, MSRP 표준 보안 알고리즘, MSRP Flooding 보안 알고리즘, 채팅/파일 세션 보안 알고리즘 등과 같은 채팅/파일 서비스 보안 알고리즘을 개발하며, HTTP 표준 보안 알고리즘, HTTP Flooding 보안 알고리즘, 메시지 스팸 보안 알고리즘 등과 같은 게시판/공지서비스 보안 알고리즘을 개발할 수 있다.In the service-specific security algorithm development step (S220), call service security algorithms such as SIP standard security algorithm, SIP flooding security algorithm, and call type security algorithm are developed, MSRP standard security algorithm, MSRP flooding security algorithm, and chat/file session security. Chatting/file service security algorithms such as algorithms can be developed, and bulletin board/notice service security algorithms such as HTTP standard security algorithms, HTTP Flooding security algorithms, and message spam security algorithms can be developed.
통합 보안 플랫폼 개발 단계(S230)에서는, SIP/SDP(Session Description Protocol) 보안 플랫폼, RTP(Real-Time Transport Protocol) 보안 플랫폼, SIP 세션 보안 플랫폼 등과 같은 SIP/RTP 보안 플랫폼을 개발하고, MSRP 보안 플랫폼, XML(eXtensible Markup Language) 보안 플랫폼, MSRP 세션 보안 플랫폼 등과 같은 MSRP 보안 플랫폼을 개발하며, HTTP 보안 플랫폼, XML 보안 플랫폼, HTTP 세션 보안 플랫폼을 개발할 수 있다.In the integrated security platform development step (S230), SIP/RTP security platforms such as SIP/SDP (Session Description Protocol) security platform, RTP (Real-Time Transport Protocol) security platform, SIP session security platform are developed, and MSRP security platform , XML (eXtensible Markup Language) security platform, MSRP session security platform, etc. can be developed, and HTTP security platform, XML security platform, and HTTP session security platform can be developed.
관리자용 운영 관리 기능 개발 단계(S240)에서는, 보안 정책 설정 기능, 공격 탐지/차단 확인 기능 등을 개발할 수 있다.In the operation management function development step for administrators (S240), a security policy setting function, an attack detection/blocking confirmation function, and the like may be developed.
도 3은 본 발명의 실시예에 따른 UC&C 프로토콜 취약점 분석 개념도이다.3 is a conceptual diagram of UC&C protocol vulnerability analysis according to an embodiment of the present invention.
도 3에 도시한 바와 같이, 스캐닝 툴(311), 감지 툴(312), 공격 툴(313) 등과 같은 취약점 분석 툴(310)을 이용하여 VoIP(321), HTTP(322), MSRP(323) 등과 같은 서비스 프로토콜(320)의 취약점 분석을 수행할 수 있다.As shown in FIG. 3, using a
취약점 분석 툴로서, 아큐네틱스(Acunetix), 레티나 CS 커뮤니티, SiVuS(SiP Vulnerability Scanner), SIPP, 통화 서비스를 위한 SIP(VoIP) 프로토콜 취약점 분석, 채팅, 파일 공유를 위한 MSRP 취약점 분석, 게시판, 공지 서비스를 위한 HTTP 취약점 분석 등을 이용할 수 있다.As a vulnerability analysis tool, Acunetix, Retina CS community, SiVuS (SiP Vulnerability Scanner), SIPP, SIP (VoIP) protocol vulnerability analysis for call service, MSRP vulnerability analysis for chatting and file sharing, bulletin board, HTTP vulnerability analysis for notification service can be used.
아큐네틱스는 오픈소스 소프트웨어로서, 숨은 취약성, 보안 결함에 대한 맞춤형 어플리케이션을 비롯하여 웹 사이트와 웹 어플리케이션 검사를 지원할 수 있다.Acunetix is open-source software that can help scan websites and web applications, including custom applications for hidden vulnerabilities and security flaws.
레티나 CS 커뮤니티는 모바일 장치, 웹 어플리케이션, 가상화 어플리케이션, 서버, 프라이빗 클라우드의 취약점 검사를 지원하고, 취약점, 설정 관련 문제, 누락된 패치 등을 조사할 수 있다.The Retina CS community supports vulnerability scans of mobile devices, web applications, virtualized applications, servers, and private clouds, and can investigate vulnerabilities, configuration issues, and missing patches.
SiVuS는 SIP 프로토콜을 지원하며 SIP Component 스캐닝 및 취약점 검사/공격을 지원할 수 있다.SiVuS supports SIP protocol and can support SIP component scanning and vulnerability inspection/attack.
SIPP는 SIP 기반 트래픽 생성기로, 각종 SIP 서버 등의 성능을 테스트하는데 주로 사용될 수 있다.SIPP is a SIP-based traffic generator, and can be mainly used to test the performance of various SIP servers.
통화 서비스를 위한 SIP(VoIP) 프로토콜 취약점 분석에서는 서비스 거부, 통화 내용 도청, 서비스 오용, 호 가로채기, 인터넷 전화 스팸 공격 등의 취약점을 분석할 수 있다.In the SIP (VoIP) protocol vulnerability analysis for call service, vulnerabilities such as service denial, call eavesdropping, service misuse, call interception, and Internet phone spam attack can be analyzed.
채팅, 파일 공유를 위한 MSRP 취약점 분석에서는, 버퍼 오버플로우, 재전송(replay attack), 원격코드 실행, 서비스 거부 공격 등의 취약점을 분석할 수 있다.In MSRP vulnerability analysis for chatting and file sharing, vulnerabilities such as buffer overflow, replay attack, remote code execution, and denial of service attack can be analyzed.
게시판, 공지 서비스를 위한 HTTP 취약점 분석에서는 비정상적인 웹 요청, 콘텐츠 변조, 비인가된 서비스 접근, 연속인증 시도, 서비스 거부 공격 등의 취약점을 분석할 수 있다.In the HTTP vulnerability analysis for bulletin boards and notice services, vulnerabilities such as abnormal web requests, content tampering, unauthorized service access, continuous authentication attempts, and service denial attacks can be analyzed.
도 4는 본 발명의 실시 예에 따른 UC&C 서비스별 보안 알고리즘 개발을 위한 주요 공통 기술의 개념도이다.4 is a conceptual diagram of major common technologies for developing security algorithms for each UC&C service according to an embodiment of the present invention.
도 4에 도시한 바와 같이, UC&C 서비스별 보안 알고리즘 개발에서는 심층 패킷 분석 기술 및 상태 기반 서비스 플로우 감시 기술을 이용할 수 있다.As shown in FIG. 4, in developing security algorithms for each UC&C service, deep packet analysis technology and state-based service flow monitoring technology can be used.
심층 패킷 분석 기술은 패킷의 프로토콜 헤더 및 페이로드를 실시간으로 분석하고, 프로토콜별 패킷 구조, 파라미터값, 타입 오류 및 유효성을 확인하며, 서비스 키를 통한 네트워크 트래픽을 식별하고, 송수신 패킷의 네트워크 주소 기반의 헤쉬(hash) 관리로 트래픽 식별 및 연동 서비스 엔트리를 관리하며, 서비스 엔트리별 프로토콜 DPI 맵 관리로 송수신 패킷을 감시할 수 있다.Deep packet analysis technology analyzes packet protocol headers and payloads in real time, checks packet structure, parameter values, type errors and validity for each protocol, identifies network traffic through service keys, and based on the network address of transmitted and received packets. It manages traffic identification and interworking service entries through hash management, and can monitor transmission and reception packets through protocol DPI map management for each service entry.
상태 기반 서비스 플로우 감시 기술은 송수신 프로토콜 메시지 분석을 통한 서비스 상태를 감시하고, 상태 기반의 서비스 프로토콜 플로우를 감시하며, 비정상 서비스 플로우에 대한 탐지 및 차단을 수행할 수 있다.The state-based service flow monitoring technology can monitor the service state through the analysis of transmission and reception protocol messages, monitor the state-based service protocol flow, and detect and block abnormal service flows.
도 5는 본 발명의 실시 예에 따른 네트워크 보안 장치의 구성을 보이는 예시도이다.5 is an exemplary diagram showing the configuration of a network security device according to an embodiment of the present invention.
도 5에 도시한 바와 같이, 네트워크 보안 장치(500)는, 하나 이상의 프로세서(510), 하나 이상의 메모리(520) 및 송수신기(530)를 포함할 수 있다. 일 실시예로서, 네트워크 보안 장치(500)의 이 구성요소들 중 적어도 하나가 생략되거나, 다른 구성요소가 네트워크 보안 장치(500)에 추가될 수 있다. 추가적으로(additionally) 또는 대체적으로(alternatively), 일부의 구성요소들이 통합되어 구현되거나, 단수 또는 복수의 개체로 구현될 수 있다. 네트워크 보안 장치(500) 내, 외부의 구성요소들 중 적어도 일부의 구성요소들은 시스템 버스(system bus), GPIO(general purpose input/output), SPI(serial peripheral interface) 또는 MIPI(mobile industry processor interface) 등을 통해 서로 연결되어, 데이터 및/또는 시그널을 주고 받을 수 있다. 일 실시예로서, 네트워크 보안 장치(500)는 기계학습(machine learning) 특히, 딥러닝(deep learning)과 같은 심층 강화 학습 알고리즘을 이용하여 정상 패킷과 비정상 패킷을 판별하고, 비정상 패킷 중 유효 패킷과 비유효 패킷을 판별할 수 있다.As shown in FIG. 5, the
하나 이상의 프로세서(510)는, 소프트웨어(예: 명령, 프로그램 등)를 구동하여 프로세서(510)에 연결된 네트워크 보안 장치(500)의 적어도 하나의 구성요소를 제어할 수 있다. 또한, 프로세서(510)는 본 발명과 관련된 다양한 연산, 처리, 데이터 생성, 가공 등의 동작을 수행할 수 있다. 또한, 프로세서(510)는 데이터 등을 하나 이상의 메모리(520)로부터 로드하거나, 하나 이상의 메모리(520)에 저장할 수 있다. One or
하나 이상의 프로세서(510)는, 인증된 서버들의 IP(Internet Protocol) 주소 정보를 포함하는 서버 리스트를 수신할 수 있다. 일 실시 예에 따르면, 서버 리스트는, 유효성이 검증된(인증된) 외부 서버들의 IP 주소 정보를 포함하는 화이트 리스트(White List)일 수 있다.One or
하나 이상의 프로세서(510)는, 서버 리스트를 이용하여 수신되는 패킷에 대하여 정상 패킷과 비정상 패킷을 판별할 수 있다. 일 실시 예에 따르면, 하나 이상의 프로세서(510)는, 수신된 패킷이 송신된 IP 주소 정보가 서버 리스트에 포함되어 있으며 해당 패킷을 정상 패킷으로 판별하고, 수신된 패킷이 송신된 IP 주소 정보가 서버 리스트에 포함되어 있지 않으면 해당 패킷을 비정상 패킷으로 판별할 수 있다. 예를 들어, 수신되는 패킷은, SIP(Session Initiation Protocol) 패킷, MSRP(Message Session Relay Protocol) 패킷 및 HTTP(Hypertext Transfer Protocol) 패킷 중 적어도 하나의 패킷을 포함할 수 있지만, 이에 한정되지 않는다.One or
하나 이상의 프로세서(510)는, 인증된 단말들의 IP 주소 정보, 포트 정보, 유효 기간 정보 및 단말의 종류 정보를 포함하는 단말 리스트를 수신할 수 있다. 일 실시 예에 따르면, 하나 이상의 프로세서(510)는, 네트워크 보안 장치(500)를 포함하는 시스템 내부 단말들의 IP 주소 정보, 포트 정보, 유효 기간 정보 및 단말의 종류 정보를 포함하는 단말 리스트를 수신할 수 있다. 예를 들어, 단말의 종류 정보는 특정 단말이 전화만 수신할 수 있는 단말인지, 전화 및 메시지를 수신할 수 있는 단말인지와 같은 단말이 처리할 수 있는 패킷의 종류를 나타내는 능력 정보일 수 있다.One or
하나 이상의 프로세서(510)는, 단말 리스트를 이용하여 비정상 패킷을 심층 패킷 분석 방법을 통하여 유효 패킷과 비유효 패킷으로 판별할 수 있다. 일 실시 예에 따르면, 하나 이상의 프로세서(510)는, 비정상 패킷을 심층 패킷 분석 방법을 통하여 분석하여 목적지 정보 즉, 패킷 목적지의 IP 주소 정보, 목적지의 포트 정보, 목적지 IP 주소의 유효 기간 정보, 목적지 단말의 종류 정보를 획득할 수 있고, 목적지 정보를 단말 리스트와 비교하여 목적지 정보가 단말 리스트에 포함된 경우 유효 패킷으로 판별하고, 목적지 정보가 단말 리스트에 포함되지 않은 경우 비유효 패킷으로 판별할 수 있다.One or
또한, 하나 이상의 프로세서(510)는, 정상 패킷과 비정상 패킷의 판별 결과에 기초하여 서버 리스트를 주기적/비주기적으로 업데이트하고, 유효 패킷과 비유효 패킷의 판별 결과에 기초하여 단말 리스트를 주기적/비주기적으로 업데이트할 수 있다. 또한, 하나 이상의 프로세서(510)는, 유효 패킷과 비유효 패킷의 판별 과정에서의 분석 정보에 기초하여 분석 데이터를 형성하고, 분석 데이터에 기초하여 소정 주기별로 통계 데이터를 형성하며, 기계학습 알고리즘을 이용하여 분석 데이터 및 통계 데이터로부터 학습 데이터를 형성하고, 학습 데이터를 이용하여 단말 리스트를 주기적으로 업데이트할 수 있다.In addition, the one or
하나 이상의 프로세서(510)는, 비유효 패킷을 차단하고, 유효 패킷을 대상 단말로 전송할 수 있다. 일 실시 예에 따르면, 하나 이상의 프로세서(510)는, 비유효 패킷으로 판별되면 해당 패킷을 삭제하여 더 이상 전송되지 못하도록 차단하고, 유효 패킷으로 판별되면 해당 패킷을 목적지의 IP 주소 정보, 목적지의 포트 정보 등을 이용하여 목적지 단말로 전송할 수 있다. One or
하나 이상의 메모리(520)는, 다양한 데이터를 저장할 수 있다. 메모리(520)에 저장되는 데이터는, 네트워크 보안 장치(500)의 적어도 하나의 구성요소에 의해 획득되거나, 처리되거나, 사용되는 데이터로서, 소프트웨어(예: 명령, 프로그램 등)를 포함할 수 있다. 메모리(520)는 휘발성 및/또는 비휘발성 메모리를 포함할 수 있다. 본 발명에서, 명령 내지 프로그램은 메모리(520)에 저장되는 소프트웨어로서, 네트워크 보안 장치(500)의 리소스를 제어하기 위한 운영체제, 어플리케이션 및/또는 어플리케이션이 네트워크 보안 장치(500)의 리소스들을 활용할 수 있도록 다양한 기능을 어플리케이션에 제공하는 미들 웨어 등을 포함할 수 있다. 일 실시 예에 따르면, 하나 이상의 메모리(520)는, 상술한 서버 리스트, 단말 리스트, 수신되는 패킷, 분석 데이터, 통계 데이터, 학습 데이터 등을 저장할 수 있다.One or
또한 하나 이상의 메모리(520)는, 하나 이상의 프로세서(510)에 의한 실행 시, 하나 이상의 프로세서(510)가 연산을 수행하도록 하는 명령들을 저장할 수 있다.In addition, the one or
일 실시 예에 따르면, 네트워크 보안 장치(500)는 송수신기(530)를 더 포함할 수 있다. 송수신기(530)는, 네트워크 보안 장치(500) 및/또는 기타 다른 장치 간의 무선 또는 유선 통신을 수행할 수 있다. 예를 들어, 송수신기(530)는 eMBB(enhanced Mobile Broadband), URLLC(Ultra Reliable Low-Latency Communications), MMTC(Massive Machine Type Communications), LTE(long-term evolution), LTE-A(LTE Advance), UMTS(Universal Mobile Telecommunications System), GSM(Global System for Mobile communications), CDMA(code division multiple access), WCDMA(wideband CDMA), WiBro(Wireless Broadband), WiFi(wireless fidelity), 블루투스(Bluetooth), NFC(near field communication), GPS(Global Positioning System) 또는 GNSS(global navigation satellite system) 등의 방식에 따른 무선 통신을 수행할 수 있다. 예를 들어, 송수신기(530)는 USB(universal serial bus), HDMI(high definition multimedia interface), RS-232(recommended standard232) 또는 POTS(plain old telephone service) 등의 방식에 따른 유선 통신을 수행할 수 있다. According to one embodiment, the
일 실시 예에 따르면, 네트워크 보안 장치(500)는, 다양한 형태의 장치가 될 수 있다. 예를 들어, 네트워크 보안 장치(500)는 휴대용 통신 장치, 컴퓨터 장치, 또는 상술한 장치들 중 하나 또는 그 이상의 조합에 따른 장치일 수 있다. 본 발명의 네트워크 보안 장치(500)는 전술한 장치들에 한정되지 않는다.According to an embodiment, the
본 발명에 따른 네트워크 보안 장치(500)의 다양한 실시예들은 서로 조합될 수 있다. 각 실시예들은 경우의 수에 따라 조합될 수 있으며, 조합되어 만들어진 네트워크 보안 장치(500)의 실시예 역시 본 발명의 범위에 속한다. 또한 전술한 본 발명에 따른 네트워크 보안 장치(500)의 내/외부 구성 요소들은 실시예에 따라 추가, 변경, 대체 또는 삭제될 수 있다. 또한 전술한 네트워크 보안 장치(500)의 내/외부 구성 요소들은 하드웨어 컴포넌트로 구현될 수 있다.Various embodiments of the
도 6은 본 발명의 실시 예에 따른 보안 알고리즘 구현을 위한 패킷 필터링 플로우의 개념도이다.6 is a conceptual diagram of a packet filtering flow for implementing a security algorithm according to an embodiment of the present invention.
도 6에 도시한 바와 같이, 네트워크 보안 장치(500)는 보안 알고리즘의 구현을 위해서 심층 패킷 분석(DPI) 방식을 이용할 수 있다. 이를 위하여 서비스 엑세스 필터링 엔진(Service Access Filtering Engine), 서비스 플로딩 필터링 엔진(Service Flooding Filtering Engine), 프로토콜 변칙 필터링 엔진(Protocol Anomaly Filtering Engine), 시그니처 매칭 엔진(Signature Matching Engine), 정책 필터링 엔진(Policy Filtering Engine), 콘텐츠 필터링 엔진(Contents Filtering Engine), 세션 필터링 엔진(Session Filtering Engine), 서비스 플로우 필터링 엔진(Service Flow Filtering Engine) 등을 이용할 수 있다. 상기한 엔진들을 이용하여 수신된 패킷을 필터링하여 이상 상황 감지 시 경고(Alarm)를 발생시키고, 이상 상황에 대한 정보(History)를 기록하고, 통계 정보(Statistics)를 형성할 수 있다. As shown in FIG. 6, the
도 7은 본 발명의 실시 예에 따른 SIP 패킷의 보안 알고리즘 흐름도이다.7 is a flowchart of a security algorithm for a "SIP" packet according to an embodiment of the present invention.
도 7에 도시한 바와 같이, 네트워크 보안 장치(500)는 SIP 패킷(SP)이 수신되면 ACL(Access Control List), DoS(Denial of Service)/DDoS(Distributed Denial of Service), SIP(Session Initiation Protocol), RTP(Real-time Transport Protocol), VoIP(Voice over Internet Protocol)을 순차적으로 이용하여 패킷 검증을 수행하고, 어느 하나의 검증이라도 통과하지 못할 경우 해당 패킷을 차단하며, 모든 검증을 통과한 패킷에 대해서만 목적지로 전송하게 된다.As shown in FIG. 7, when the
도 8은 본 발명의 실시 예에 따른 SIP 패킷의 필터링 흐름도이다.8 is a flowchart of filtering a “SIP” packet according to an embodiment of the present invention.
도 8에 도시한 바와 같이, 네트워크 보안 장치(500)는 인증된 서버/단말의 IP/포트에 대한 ACL 알고리즘을 개발할 수 있다. 인증된 서버의 ACL은 관리자가 IP 주소와 포트 등을 이용해 미리 설정하며, SIP 레지스터(REGISTER) 트랜잭션(Transaction)을 통해 인증된 단말의 ACL은 전화번호와 IP 주소 정보, 포트 정보, 유효 기간 정보, 단말의 종류 정보 등으로 구성될 수 있다. As shown in FIG. 8, the
도 9는 본 발명의 실시 예에 따른 SIP 패킷의 ACL 알고리즘 흐름도이다.9 is a flowchart of an “ACL” algorithm of a “SIP” packet according to an embodiment of the present invention.
도 9에 도시한 바와 같이, 네트워크 보안 장치(500)는 SIP 메시지(패킷) 처리 과정 중 다이나믹(Dynamic) ACL 제어(Control) 과정에서 메시지 분석을 통해, 메시지를 수신한 IP 주소를 통해 서버 리스트를 체크할 수 있다. 메시지를 수신한 IP 주소가 서버 리스트에 있을 경우 인증된 서버이므로 SIP 메시지를 통과시킬 수 있다. 메시지를 수신한 IP 주소가 서버 리스트에 없을 경우 메시지 내의 전화번호를 이용하여 단말 리스트를 체크하고, 전화번호가 단말 리스트에 없으면 메시지를 버리고 리스트에 있으면 메시지의 IP 주소 정보/포트 정보를 단말 리스트의 IP 주소 정보/포트 정보와 비교할 수 있다.As shown in FIG. 9, the
도 10은 본 발명의 실시예에 따른 SIP 패킷의 플로딩 알고리즘을 보이는 흐름도이다.10 is a flowchart showing a flooding algorithm of SIP packets according to an embodiment of the present invention.
도 10에 도시한 바와 같이, 네트워크 보안 장치(500)는 SIP 메시지 처리 과정 중에 메시지 타입(Method)별로 설정된 플로딩 보안 정책(Flooding Security Policy)을 통해 공격을 탐지하고 차단할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 1초마다 SIP 메시지 타입별로 카운트를 하여, 설정된 값(예를 들어, 50, 100, 1000 등)보다 높으면 해당 메시지를 1초 내 기간 동안 드랍(Drop)할 수 있다. As shown in FIG. 10, the
네트워크 보안 장치(500)는 SIP 표준 및 다양한 VoIP 공격에 대한 보안 알고리즘을 적용할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 SIP 메시지 처리 과정 중에 특정 수신번호에 대해 설정된 수신호의 최대 개수를 통해 SIP 콜(Call) 갭핑(Gapping) 공격을 탐지하고 차단할 수 있다. 예를 들어, 네트워크 보안 장치(500)는 수신된 SIP 메시지를 통해, Call Gapping hash를 찾고 없을 경우 hash에 추가하고, 있을 경우 Drop 상태인지 체크한다. Drop 상태가 아니면 선정된 조건을 체크할 수 있다. 네트워크 보안 장치(500)는 만약에 Call Gapping max 값일 경우, 상태를 Drop으로 바꾸고, 설정된 시간만큼 Drop Timer를 시작할 수 있다.The
도 11은 본 발명의 실시 예에 따른 SIP 패킷의 콜 갭핑 알고리즘을 보이는 흐름도이다.11 is a flowchart showing a call gapping algorithm for SIP packets according to an embodiment of the present invention.
도 11에 도시한 바와 같이, 네트워크 보안 장치(500)는 도청 방지를 위한 SRTP(Secure-RTP) 보안 알고리즘을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 SIP 메시지 처리 과정 중에 특정 서비스 영역에 대해 설정된 SRTP 보안 설정을 통해 도청을 방지할 수 있다. 예를 들어, 네트워크 보안 장치(500)는 수신된 SIP 메시지 내 SDP(Session Description Protocol) 파싱 및 SDP Offer, Answer 과정을 통해 협상된 미디어 능력에 따라 4가지 미디어 릴레이 방식이 결정될 수 있다. 협상된 미디어 릴레이 방식은 RTP를 그대로 바이패스 하는 경우, RTP를 SRTP로 Encryption하는 방식, SRTP를 Decryption해서 RTP로 전달하는 방식, SRTP를 바이패스 하는 방식, SRTP를 Encryption/Decryption하는 방식 등이 있다.As shown in FIG. 11, the
도 12는 본 발명의 실시 예에 따른 SIP 처리 과정 중 SRTP 알고리즘을 보이는 흐름도이다.12 is a flowchart showing an SRTP algorithm during SIP processing according to an embodiment of the present invention.
도 12에 도시한 바와 같이, 네트워크 보안 장치(500)는 VoIP 서비스 구성 및 유형 별 보안 알고리즘을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 TRUNK, REALM 등의 VoIP 서비스 구성과 착신호, 국제호 등의 VoIP 서비스 유형 별로 각각 설정된 Security Policy를 이용해 VoIP 서비스 공격을 탐지 및 차단할 수 있다.As shown in FIG. 12, the
도 13은 본 발명의 실시 예에 따른 MSRP 패킷 보안 알고리즘을 보이는 흐름도이고, 도 14는 본 발명의 실시 예에 따른 MSRP 패킷 필터링 플로우를 보이는 흐름도이다.13 is a flow chart showing an MSRP packet security algorithm according to an embodiment of the present invention, and FIG. 14 is a flow chart showing an MSRP packet filtering flow according to an embodiment of the present invention.
네트워크 보안 장치(500)는 등록된 단말 IP 주소 및 포트로부터 수신된 MSRP ACL 알고리즘을 설정할 수 있다. 일 실시 예에 따르면, 단말의 Provisioning 과정을 통해 등록된 단말의 ACL 리스트는 전화번호와 IP 주소 정보, 포트 정보, 유효 기간 정보, 단말의 종류 정보 등을 포함할 수 있다. 예를 들어, 네트워크 보안 장치(500)는 MSRP 메시지 처리 과정 중 ACL Control 과정에서 메시지 분석을 통해, 메시지가 수신된 IP 주소를 통해 서버 리스트를 체크할 수 있다. 메시지가 수신된 IP 주소가 서버 리스트에 있을 경우 인증된 서버이므로 통과시킬 수 있고, 메시지가 수신된 IP 주소가 서버 리스트에 없을 경우 메시지 내의 전화 번호를 통해 단말 리스트를 체크하여 없으면 버리고 있으면 다시 단말의 IP 주소 정보, 포트 정보와 해당 단말 리스트의 IP 주소 정보, 포트 정보를 비교할 수 있다.The
도 15는 본 발명의 실시 예에 따른 MSRP 패킷의 ACL 보안을 보이는 흐름도이다.15 is a flowchart showing ACL security of MSRP packets according to an embodiment of the present invention.
도 15에 도시한 바와 같이, 네트워크 보안 장치(500)는 DoS/DDoS 공격 탐지 및 차단을 위한 MSRP 보안 알고리즘을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 MSRP 메시지 처리 과정 중에 시스템/단말/IP 별로 설정된 Flooding Security Policy를 통해 공격을 탐지하고 차단할 수 있다. 네트워크 보안 장치(500)는 체크 시간마다 MSRP 메시지 별로 카운트를 하여, 미리 설정된 값(예를 들어, 10, 100, 1000 등) 보다 높으면 해당 메시지를 체크 시간 내 기간 동안 Drop 할 수 있다.As shown in Figure 15, the
도 16은 본 발명의 실시 예에 따른 MSRP 패킷의 DDoS 보안을 보이는 흐름도이다.16 is a flowchart showing DDoS security of MSRP packets according to an embodiment of the present invention.
도 16에 도시한 바와 같이, 네트워크 보안 장치(500)는 MSRP 표준 및 다양한 채팅/파일 서비스 공격에 대한 보안 알고리즘을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 MSRP 메시지 처리 과정 중에 메시지 파싱 과정에서 MSRP 표준에 부합하지 않을 경우 공격 탐지 및 차단을 수행할 수 있다. 또한, 네트워크 보안 장치(500)는 채팅이나 파일 서비스 설정과 단말의 등록 정보와 능력을 기준으로 설정된 Security Policy를 이용해 채팅/파일 서비스 공격을 탐지 및 차단할 수 있다. As shown in FIG. 16, the
네트워크 보안 장치(500)는 비표준 XML 및 금칙어 기반의 스팸 보안 알고리즘을 설정할 수 있다. 일 실시 예에 따르면, MSRP 메시지 처리 과정 중에 MSRP의 컨텐츠인 XML 파싱 과정에서 표준에 부합하지 않을 경우 공격 탐지 및 차단을 수행할 수 있다. 또한, 네트워크 보안 장치(500)는 Security Policy에 등록된 금칙어를 이용해 채팅 스팸 공격을 탐지 및 차단할 수 있다. The
네트워크 보안 장치(500)는 MSRP Session 서비스 구성 및 유형 별 보안 알고리즘을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 MSRP 서비스 구성과 파일 전송, 파일 공유, 채팅 등의 MSRP 서비스 유형 별로 각각 설정된 Security Policy를 이용해 MSRP Service 공격을 탐지 및 차단할 수 있다.The
도 17은 본 발명의 실시 예에 따른 HTTP 패킷 보안 알고리즘을 보이는 흐름도이고, 도 18은 본 발명의 실시 예에 따른 HTTP 패킷의 필터링 플로우를 보이는 흐름도이다.17 is a flow chart showing an HTTP packet security algorithm according to an embodiment of the present invention, and FIG. 18 is a flow chart showing a filtering flow of HTTP packets according to an embodiment of the present invention.
네트워크 보안 장치(500)는 게시판(공지)/프로파일/파일 다운로드 서비스 보안 알고리즘을 설정할 수 있다.The
도 19는 본 발명의 실시 예에 따른 HTTP 패킷의 ACL 보안을 보이는 흐름도이다.19 is a flowchart showing ACL security of HTTP packets according to an embodiment of the present invention.
도 19에 도시한 바와 같이, 네트워크 보안 장치(500)는 인증 서버 및 단말 IP 주소 정보 및 포트 정보로부터 수신된 HTTP ACL 알고리즘을 설정할 수 있다. 일 실시 예에 따르면, 단말의 Provisioning 과정을 통해 등록된 단말의 화이트 리스트는 전화번호 정보, IP 주소 정보, 포트 정보, 유효 기간 정보, 단말의 종류 정보 등을 포함할 수 있다.As shown in FIG. 19, the
도 20은 본 발명의 실시 예에 따른 HTTP 패킷의 DDoS 보안을 보이는 흐름도이다.20 is a flowchart showing DDoS security of HTTP packets according to an embodiment of the present invention.
도 20에 도시한 바와 같이, 네트워크 보안 장치(500)는 DoS/DDoS 공격 탐지 및 차단을 위해 HTTP 보안 알고리즘을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 HTTP 메시지 처리 과정 중에 시스템/단말 별로 설정된 Flooding Security Policy를 통해 공격을 탐지하고 차단할 수 있다. 네트워크 보안 장치(500)는 체크 시간 마다 HTTP 메시지 별로 카운트를 하여, 미리 설정된 값(예를 들어, 10, 100, 1000 등) 보다 높으면 해당 메시지를 체크 시간 내 기간 동안 Drop 할 수 있다.As shown in FIG. 20, the
도 21은 본 발명의 실시 예에 따른 HTTP 패킷의 헤더 보안을 보이는 흐름도이다.21 is a flowchart showing header security of an HTTP packet according to an embodiment of the present invention.
도 21에 도시한 바와 같이, 네트워크 보안 장치(500)는 비표준 XML 및 금칙어 기반의 스팸 메시지 보안 알고리즘을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 HTTP 메시지 처리 과정 중에 HTTP의 컨텐츠인 XML 파싱 과정에서 표준에 부합하지 않을 경우 공격 탐지 및 차단할 수 있다. 또한, 네트워크 보안 장치(500)는 Security Policy에 등록된 금칙어를 이용해 스팸 공격을 탐지 및 차단할 수 있다.As shown in FIG. 21, the
네트워크 보안 장치(500)는 HTTP 세션 서비스 구성 및 유형별 보안 알고리즘을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 HTTP 서비스 구성과 게시판, 공지사항, 파일 다운로드 등의 HTTP 서비스 유형별로 각각 설정된 Security Policy를 이용해 HTTP Service 공격을 탐지 및 차단할 수 있다.The
도 22는 본 발명의 실시 예에 따른 패킷 수신부터 전송까지의 흐름도이다.22 is a flowchart from packet reception to transmission according to an embodiment of the present invention.
도 22에 도시한 바와 같이, 네트워크 보안 장치(500)는 시스템 커널 레이어 보안 알고리즘을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 수신된 패킷의 송신 IP 주소 정보, 포트 정보, 프로토콜 기준 커널(Kernel) 단계 필터링 알고리즘을 설정할 수 있다. 단말의 Provisioning 과정과 SIP Register 과정을 통해 등록된 화이트 리스트는 리모트 IP 주소 정보, 포트 정보, 로컬 IP 주소 정보, 포트 정보, 프로토콜 정보 등을 포함할 수 있다.As shown in FIG. 22, the
도 23은 본 발명의 실시 예에 따른 패킷 처리 과정의 ACL 보안을 보이는 흐름도이다.23 is a flowchart showing ACL security in a packet processing process according to an embodiment of the present invention.
도 23에 도시한 바와 같이, 네트워크 보안 장치(500)는 커널 레이어에서 수신된 패킷 처리 과정 중 ACL Control 과정에서 패킷 분석을 통해, 패킷을 수신한 IP 주소를 통해 리모트 IP 주소 정보, 포트 정보를 체크할 수 있다. 리모트 IP 주소 정보, 포트 정보가 화이트 리스트에 없을 경우 수신된 패킷을 차단시키고, 화이트 리스트에 있을 경우 프로토콜을 비교하고 리모트 IP 주소 정보, 포트 정보와 비교할 수 있다.As shown in FIG. 23, the
도 24는 본 발명의 실시 예에 따른 패킷 처리 과정의 DDoS 보안을 보이는 흐름도이다.24 is a flowchart showing DDoS security in a packet processing process according to an embodiment of the present invention.
도 24에 도시한 바와 같이, 네트워크 보안 장치(500)는 DoS/DDoS 공격 탐지 및 차단을 위한 보안 알고리즘을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 커널 레이어에서 수신 패킷 처리 과정 중 시스템/서비스 별로 설정된 Flooding Security Policy를 통해 공격을 탐지하고 차단할 수 있다. 네트워크 보안 장치(500)는 체크 시간 마다 패킷 별로 카운트를 하여, 미리 설정된 값(예를 들어, 100, 200, 300 등)보다 높으면 해당 메시지를 체크 시간 내 기간 동안 Drop 할 수 있다.As shown in FIG. 24, the
도 25는 본 발명의 실시 예에 따른 패킷 처리 과정의 전달/차단 절차를 보이는 흐름도이다.25 is a flowchart showing a forwarding/blocking procedure of a packet processing process according to an embodiment of the present invention.
도 25에 도시한 바와 같이, 네트워크 보안 장치(500)는 서비스 프로토콜(SIP, MSRP, HTTP) 별로 구분한 후 상위 전달 기능을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 수신된 패킷을 분석하여 SIP, MSRP, HTTP 프로토콜 별로 구분한 후 각 프로토콜 별 처리 프로세스로 전달할 수 있다.As shown in FIG. 25, the
네트워크 보안 장치(500)는 패킷 처리(전달(Forward)/차단(Drop)) 결정전까지 패킷 큐에 저장하는 기능을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 수신된 패킷을 복사하여 상위 프로세스로 전달하고, 원본 패킷은 패킷 큐에 저장한 후 상위 프로세스가 처리한 결과를 받았을 때 큐를 참조할 수 있다.The
네트워크 보안 장치(500)는 서비스별 보안 정책을 통해 패킷 처리(포워드/드랍) 결정 알고리즘을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 SIP, MSRP, HTTP 프로토콜 패킷 처리 프로세스에서, 서비스 유형 별로 각각 설정된 Service Security Policy를 이용해 각 패킷의 처리 결과를 커널에 있는 PFM 모듈로 전달하고, 이를 이용해 해당 패킷의 처리(전달/차단)를 결정할 수 있다.The
도 26은 본 발명의 실시 예에 따른 UC&C 통합 보안 시스템을 블록도이다.26 is a block diagram of a UC&C integrated security system according to an embodiment of the present invention.
도 26에 도시한 바와 같이, 네트워크 보안 장치(500)는 어플리케이션 레이어의 웹 서버(Web Server), 데이터베이스(Database), 보안 블록(Security Block), 캐릭터 디바이스 드라이버(Character Device Driver)를 포함하고, 커널 레이어의 리눅스 커널을 포함할 수 있다.As shown in FIG. 26, the
일 실시 예에 따르면, PFM(Packet Filter Module)은 커널 모듈로서 ACL 플로딩 필터링을 수행하고, 패킷 큐를 수행할 수 있다.According to an embodiment, a Packet Filter Module (PFM) is a kernel module and may perform ACL flooding filtering and packet queuing.
일 실시 예에 따르면, IPC는 미들웨어의 커널 모듈로서 블록 간 통신을 수행할 수 있다.According to an embodiment, IPC is a kernel module of middleware and can perform inter-block communication.
일 실시 예에 따르면, MCB(Module Communicate Block)는 PFM과 연동하여 설정 정보 전달 및 통계/알람 정보를 받아서 데이터베이스에 저장할 수 있다.According to an embodiment, a Module Communicate Block (MCB) may transmit setting information and receive statistical/alarm information and store them in a database in conjunction with PFM.
일 실시 예에 따르면, SIPSB(SIP Security Block)는 SIP 패킷 필터링 블록이고, MSRPSB(MSRP Security Block)는 MSRP 패킷 필터링 블록이며, HTTPSB((HTTP Security Block)는 HTTP 패킷 필터링 블록이다.According to one embodiment, the SIP Security Block (SIPSB) is a SIP packet filtering block, the MSRPSB (MSRP Security Block) is an MSRP packet filtering block, and the HTTPSB ((HTTP Security Block) is an HTTP packet filtering block.
일 실시 예에 따르면, DMB(Data Management Block)는 주기적 통계를 작성하고, 히스토리 관리를 수행할 수 있다.According to an embodiment, a data management block (DMB) may create periodic statistics and perform history management.
일 실시 예에 따르면, PMB(Process Management Block)는 프로세스 감시 및 시동을 수행할 수 있다.According to one embodiment, a process management block (PMB) may monitor and start a process.
일 실시 예에 따르면, 웹 서버는 관리자용 운영관리 웹 서버이고, DBMS(MariaDB)는 각종 데이터를 저장할 수 있다.According to one embodiment, the web server is an operation management web server for administrators, and a DBMS (MariaDB) may store various data.
도 27은 본 발명의 실시 예에 따른 UC&C 프로토콜 통합보안 플랫폼의 개념도이고, 도 28은 본 발명의 실시 예에 따른 PFM 블록의 개념도이다.27 is a conceptual diagram of a UC&C protocol integrated security platform according to an embodiment of the present invention, and FIG. 28 is a conceptual diagram of a PFM block according to an embodiment of the present invention.
네트워크 보안 장치(500)는 패킷 수신 및 전달 기능을 설정하고, ACL을 통한 접근 제어 기능을 설정하며, TCP SYN, ICMP, PING 등의 DDoS 공격 탐지 및 차단 기능을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 시스템 전체 패킷 처리 용량 flooding 탐지 및 차단 기능을 설정하고, 프로토콜 별 패킷 분리 처리 기능을 설정할 수 있다.The
도 29는 본 발명의 실시 예에 따른 SIPSB 블록의 개념도이다.29 is a conceptual diagram of a SIPSB block according to an embodiment of the present invention.
도 29에 도시한 바와 같이, 네트워크 보안 장치(500)는 SIP 표준 메시지 처리를 위한 SIP 보안 플랫폼을 설정하고, SDP/RTP 표준 메시지 처리를 위한 SDP 보안 플랫폼을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 콜 관리를 위한 세션 보안 플랫폼을 설정하고, 다양한 통화 서비스를 위한 VoIP 서비스 보안 플랫폼을 설정할 수 있다.As shown in FIG. 29 , the
도 30은 본 발명의 실시 예에 따른 MSRPSB 블록의 개념도이다.30 is a conceptual diagram of an MSRPSB block according to an embodiment of the present invention.
도 30에 도시한 바와 같이, 네트워크 보안 장치(500)는 MSRP 표준 메시지 처리를 위한 MSRP 보안 플랫폼을 설정하고, 세션 관리를 위한 MSRP 세션 보안 플랫폼을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 XML 컨텐츠 처리를 위한 XML 보안 플랫폼을 설정하고, 다양한 채팅 및 파일 공유 서비스를 위한 MSRP Service 보안 플랫폼을 설정할 수 있다.As shown in Figure 30, the
도 31은 본 발명의 실시 예에 따른 HTTPSB 블록의 개념도이다.31 is a conceptual diagram of an HTTPSB block according to an embodiment of the present invention.
도 31에 도시한 바와 같이, 네트워크 보안 장치(500)는 HTTP 표준 메시지 처리를 위한 HTTP 보안 플랫폼을 설정하고, HTTP 세션 관리를 위한 HTTP 세션 보안 플랫폼을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 XML 컨텐츠 처리를 위한 XML 보안 플랫폼을 설정하고, 다양한 게시판 공지 등 서비스를 위한 HTTP Service 보안 플랫폼을 설정할 수 있다.As shown in FIG. 31, the
네트워크 보안 장치(500)는 매니지먼트 플랫폼을 설정할 수 있는데, 블록들간 연동을 위한 IPC 및 매니지먼트 플랫폼을 설정하고, 시스템, 서비스, 보안정책 설정을 위한 Config 기능을 설정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 알람, 히스토리, 통계 관리 및 저장을 위한 Report 기능을 설정하고, 설정, 가입자, 알람, 통계 등을 저장하기 위한 DBMS 관리 기능을 설정할 수 있다.The
도 32는 본 발명의 실시 예에 따른 라이브러리 구성 예시도이다.32 is an exemplary view of library configuration according to an embodiment of the present invention.
도 32에 도시한 바와 같이, 네트워크 보안 장치(500)는 관리자용 운영관리 기능 개발을 위하여 개발 환경 및 프레임워크 구조를 규정할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 오픈소스 기반의 라이브러리를 이용한 웹 어플리케이션을 설정할 수 있다. As shown in FIG. 32, the
도 33은 본 발명의 실시 예에 따른 이클립스 기반 개발 프레임워크의 구조도이다.33 is a structural diagram of an Eclipse-based development framework according to an embodiment of the present invention.
도 33에 도시한 바와 같이, 네트워크 보안 장치(500)는 웹 어플리케이션 개발 툴인 Eclipse를 이용한 로컬 개발환경에서 설계/개발 및 테스트 후 개발서버에 실제 서비스 환경을 세팅한 후 테스트 및 개발을 진행할 수 있다.As shown in FIG. 33, the
도 34는 본 발명의 실시 예에 따른 스프링 프레임워크 기반 개발 개념도이다.34 is a conceptual diagram of spring framework-based development according to an embodiment of the present invention.
도 34에 도시한 바와 같이, 네트워크 보안 장치(500)는 스프링 프레임워크 기반의 웹 어플리케이션 레이어 별 프로세싱 플로우를 구성할 수 있고, 레이어 별 개발대상과 설정대상과 스프링 부분으로 구분할 수 있다.As shown in FIG. 34 , the
도 35는 본 발명의 실시 예에 따른 관리자용 웹 GUI의 예시도이다.35 is an exemplary diagram of a web GUI for administrators according to an embodiment of the present invention.
도 35에 도시한 바와 같이, 네트워크 보안 장치(500)는 관리자용 운영관리 기능 구성을 위하여 관리자용 웹 GUI를 구성할 수 있다.As shown in FIG. 35, the
도 36은 본 발명의 실시 예에 따른 관리자용 운영관리 기능의 구성도이다.36 is a configuration diagram of an operation management function for administrators according to an embodiment of the present invention.
도 36에 도시한 바와 같이, 네트워크 보안 장치(500)는 관리자용 운영관리 기능으로 Dashboard 기능을 구현 가능하도록 설정할 수 있다. 일 실시 예에 따르면, Dashboard 기능은, SIP, RTP, MSRP, HTTP 세션 정보 확인 기능, 시스템 리소스, 공격 탐지 알람 정보 확인 기능, 통계, 알람, 세션 정보 실시간 차트(Realtime chart) 기능 등을 포함할 수 있다.As shown in FIG. 36, the
또한, 네트워크 보안 장치(500)는 관리자용 운영관리 기능으로 Security 기능을 구현 가능하도록 설정할 수 있다. 일 실시 예에 따르면, Security 기능은, IP, Port, Protocol 별 ACL 정책 관리 기능, 프로토콜 별 DoS/DDoS 정책 관리 기능, Service 별 보안 정책 관리 기능 등을 포함할 수 있다.In addition, the
또한, 네트워크 보안 장치(500)는 Report 기능을 구현 가능하도록 설정할 수 있다. 일 실시 예에 따르면, Report 기능은, 서비스, 알람 통계(Statistics) 정보 검색 및 관리 기능, 서비스, 알람 History 정보 검색 및 관리 기능, 통계, 이력 정보 파일 출력 기능 등을 포함할 수 있다.In addition, the
또한, 네트워크 보안 장치(500)는 Configuration 기능을 구현 가능하도록 설정할 수 있다. 일 실시 예에 따르면, Configuration 기능은, 서비스 별 설정 및 관리 기능, 관리자 정보, 이력 관리 기능, 시스템 설정 및 관리 기능, DB 데이터, 로그 파일 백업 관리 기능 등을 포함할 수 있다.In addition, the
본 발명의 주관기관 기술개발 목표 및 내용으로는 UC&C 서비스 프로토콜(SIP, MSRP, HTTP 등)의 보안 취약점을 분석하고, UC&C 서비스별 최적의 보안 알고리즘을 개발하며, DPI 기반의 UC&C 프로토콜 통합 보안 플랫폼을 개발하고, UC&C 서비스용 Unified Application 보안 솔루션 시제품을 제작할 수 있다.The technical development goals and contents of the host organization of the present invention include analyzing security vulnerabilities of UC&C service protocols (SIP, MSRP, HTTP, etc.), developing optimal security algorithms for each UC&C service, and developing a DPI-based UC&C protocol integrated security platform. development and production of Unified Application security solution prototypes for UC&C services.
UC&C 서비스 프로토콜 보안 취약점 분석 방법으로는, 통화 서비스를 위한 SIP(VoIP)의 취약점을 분석하고, 채팅, 파일 공유를 위한 MSRP(Message Session Relay Protocol)의 취약점을 분석하며, 게시판, 공지 서비스를 위한 HTTP 취약점을 분석할 수 있다.As a method for analyzing UC&C service protocol security vulnerabilities, vulnerabilities of SIP (VoIP) for call services are analyzed, vulnerabilities of MSRP (Message Session Relay Protocol) are analyzed for chatting and file sharing, and HTTP for bulletin boards and notice services are analyzed. vulnerabilities can be analyzed.
UC&C 서비스별 최적의 보안 알고리즘을 개발 방법으로는, 인터넷 전화 보안 알고리즘을 개발하고, 채팅 및 파일(사진) 서비스 보안 알고리즘을 개발하며, 게시판(공지)/프로파일/파일 다운로드 서비스 보안 알고리즘을 개발하고, 시스템 커널 레이어 보안 알고리즘을 개발할 수 있다As a method for developing optimal security algorithms for each UC&C service, Internet phone security algorithms are developed, chat and file (photo) service security algorithms are developed, bulletin board (notice)/profile/file download service security algorithms are developed, Develop system kernel layer security algorithms
DPI 기반의 UC&C 프로토콜 통합 보안 플랫폼 개발 방법으로는, 커널 보안 플랫폼(Packet Filter Module)을 개발하고, SIP Security 플랫폼을 개발하며, MSRP Security 플랫폼을 개발하고, HTTP Security 플랫폼을 개발하며, Management 플랫폼을 개발할 수 있다.As a DPI-based UC&C protocol integrated security platform development method, kernel security platform (Packet Filter Module) development, SIP Security platform development, MSRP Security platform development, HTTP Security platform development, Management platform development can
UC&C 서비스용 Unified Application 보안 솔루션 시제품 제작 방법으로는, 참여기관의 관리자용 운영관리 기능과 정합 및 테스트를 수행하고, UC&C 서비스용 Unified Application 보안솔루션 기능을 테스트하며, UC&C 서비스용 Unified Application 보안솔루션 시제품을 제작할 수 있다.As a method for producing a prototype of the Unified Application security solution for UC&C service, the operation management function for administrators of the participating organizations and matching and testing are performed, the Unified Application security solution function for UC&C service is tested, and the Unified Application security solution prototype for UC&C service is tested. can be produced
본 발명의 참여기관 기술개발 목표 및 내용으로는, 관리자용 운영관리 기능을 개발하고, UC&C 서비스용 Unified Application 보안솔루션 시제품을 제작할 수 있다.As for the technology development goals and contents of the participating organizations of the present invention, it is possible to develop operation management functions for administrators and produce prototypes of Unified Application security solutions for UC&C services.
관리자용 운영관리 기능 개발 방법으로는, Dashboard 기능을 개발하고, Security 기능을 개발하며, Report 기능을 개발하고, Configuration 기능을 개발할 수 있다.As a method of developing operation management functions for administrators, Dashboard functions can be developed, Security functions can be developed, Report functions can be developed, and Configuration functions can be developed.
UC&C 서비스용 Unified Application 보안솔루션 시제품 제작 방법으로는, 주관기관의 UC&C 프로토콜 통합 보안 플랫폼과 정합 및 테스트를 수행하고, UC&C 서비스용 Unified Application 보안솔루션 기능을 테스트하며, UC&C 서비스용 Unified Application 보안솔루션 시제품을 제작할 수 있다.As a method of producing a prototype of the Unified Application security solution for UC&C service, it is necessary to perform matching and testing with the host organization's UC&C protocol integrated security platform, test the function of the Unified Application security solution for UC&C service, and test the Unified Application security solution prototype for UC&C service. can be produced
도 37은 본 발명의 실시 예에 따른 네트워크 보안 방법의 절차를 보이는 흐름도이다. 도 37의 흐름도에서 프로세스 단계들, 방법 단계들, 알고리즘들 등이 순차적인 순서로 설명되었지만, 그러한 프로세스들, 방법들 및 알고리즘들은 임의의 적합한 순서로 작동하도록 구성될 수 있다. 다시 말하면, 본 발명의 다양한 실시예들에서 설명되는 프로세스들, 방법들 및 알고리즘들의 단계들이 본 발명에서 기술된 순서로 수행될 필요는 없다. 또한, 일부 단계들이 비동시적으로 수행되는 것으로서 설명되더라도, 다른 실시예에서는 이러한 일부 단계들이 동시에 수행될 수 있다. 또한, 도면에서의 묘사에 의한 프로세스의 예시는 예시된 프로세스가 그에 대한 다른 변화들 및 수정들을 제외하는 것을 의미하지 않으며, 예시된 프로세스 또는 그의 단계들 중 임의의 것이 본 발명의 다양한 실시예들 중 하나 이상에 필수적임을 의미하지 않으며, 예시된 프로세스가 바람직하다는 것을 의미하지 않는다.37 is a flowchart showing a procedure of a network security method according to an embodiment of the present invention. Although process steps, method steps, algorithms, etc. are described in a sequential order in the flowchart of FIG. 37, such processes, methods, and algorithms may be configured to operate in any suitable order. In other words, the steps of the processes, methods and algorithms described in the various embodiments of the invention need not be performed in the order described herein. Also, although some steps are described as being performed asynchronously, in other embodiments some of these steps may be performed concurrently. Further, illustration of a process by depiction in the drawings does not mean that the illustrated process is exclusive of other changes and modifications thereto, and that any of the illustrated process or steps thereof may be one of various embodiments of the present invention. It is not meant to be essential to one or more, and it does not imply that the illustrated process is preferred.
도 37에 도시한 바와 같이, 단계(S3710)에서, 서버 리스트가 수신된다. 예를 들어, 도 1 내지 도 36을 참조하면, 네트워크 보안 장치(500)의 하나 이상의 프로세서(510)는, 관리자 등의 요청에 따라서 인증된 서버들의 IP 주소 정보를 포함하는 서버 리스트를 하나 이상의 메모리(520)로부터 수신할 수 있다.As shown in Fig. 37, in step S3710, a server list is received. For example, referring to FIGS. 1 to 36 , one or
단계(S3720)에서, 정상 패킷과 비정상 패킷이 판별된다. 예를 들어, 도 1 내지 도 36을 참조하면, 네트워크 보안 장치(500)의 하나 이상의 프로세서(510)는, S3710 단계에서 수신된 서버 리스트를 이용하여 송수신기(530)로 수신되는 패킷들에 대하여 정상 패킷과 비정상 패킷을 판별할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(500)는 수신되는 패킷들의 IP 주소 정보를 이용하여 서버 리스트에 IP 주소가 포함되어 있을 경우 정상 패킷으로 판별하고, 서버 리스트에 IP 주소가 포함되어 있지 않을 경우 비정상 패킷으로 판별할 수 있다.In step S3720, normal packets and abnormal packets are discriminated. For example, referring to FIGS. 1 to 36, one or
단계(S3730)에서, 단말 리스트가 수신된다. 예를 들어, 도 1 내지 도 36을 참조하면, 네트워크 보안 장치(500)의 하나 이상의 프로세서(510)는, 관리자 등의 요청에 따라서 인증된 단말들의 IP 주소 정보, 포트 정보, 유효 기간 정보 및 단말의 종류 정보를 포함하는 단말 리스트를 하나 이상의 메모리(520)로부터 수신할 수 있다.In step S3730, a terminal list is received. For example, referring to FIGS. 1 to 36, one or
단계(S3740)에서, 유효 패킷과 비유효 패킷이 판별된다. 예를 들어, 도 1 내지 도 36을 참조하면, 네트워크 보안 장치(500)의 하나 이상의 프로세서(510)는, S3720 단계에서 비정상 패킷으로 판별된 패킷들에 대하여 S3730 단계에서 수신된 단말 리스트를 이용하여 심층 패킷 분석 방법을 통하여 유효 패킷과 비유효 패킷을 판별할 수 있다.In step S3740, valid packets and invalid packets are discriminated. For example, referring to FIGS. 1 to 36, one or
단계(S3750)에서, 비유효 패킷이 차단되고, 유효 패킷이 대상 단말로 전송된다. 예를 들어, 도 1 내지 도 36을 참조하면, 네트워크 보안 장치(500)의 하나 이상의 프로세서(510)는, S3740 단계에서 비유효 패킷으로 판별된 패킷들을 차단하고, S3740 단계에서 유효 패킷으로 판별된 패킷들을 패킷이 포함하는 IP 주소 정보 및 포트 정보를 이용하여 대상 단말로 전송할 수 있다.In step S3750, invalid packets are blocked, and valid packets are transmitted to the target terminal. For example, referring to FIGS. 1 to 36, one or
본 발명의 다양한 실시예들은 기기(machine)가 읽을 수 있는 저장매체(machine-readable storage medium)에 소프트웨어로 구현될 수 있다. 소프트웨어는 본 발명의 다양한 실시예들을 구현하기 위한 소프트웨어일 수 있다. 소프트웨어는 본 발명이 속하는 기술분야의 프로그래머들에 의해 본 발명의 다양한 실시예들로부터 추론될 수 있다. 예를 들어 소프트웨어는 기기가 읽을 수 있는 명령어(예: 코드 또는 코드 세그먼트)를 포함하는 프로그램일 수 있다. 기기는 저장 매체로부터 호출된 명령어에 따라 동작이 가능한 장치로서, 예를 들어 컴퓨터일 수 있다. 일 실시예로서, 기기는 본 발명의 실시예들에 따른 네트워크 보안 장치(500)일 수 있다. 일 실시예로서, 기기의 프로세서는 호출된 명령어를 실행하여, 기기의 구성요소들이 해당 명령어에 해당하는 기능을 수행하게 할 수 있다. 일 실시예로서, 프로세서는 본 발명의 실시예들에 따른 하나 이상의 프로세서(510)일 수 있다. 저장 매체는 기기에 의해 읽혀질 수 있는, 데이터가 저장되는 모든 종류의 기록 매체(recording medium)를 의미할 수 있다. 저장 매체는, 예를 들어 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광데이터 저장 장치 등을 포함할 수 있다. 일 실시예로서, 저장 매체는 하나 이상의 메모리(124)일 수 있다. 일 실시예로서, 저장 매체는 네트워크로 연결된 컴퓨터 시스템 등에 분산된 형태로서 구현될 수도 있다. 소프트웨어는 컴퓨터 시스템 등에 분산되어 저장되고, 실행될 수 있다. 저장 매체는 비일시적(non-transitory) 저장 매체일 수 있다. 비일시적 저장 매체는, 데이터가 반영구적 또는 임시적으로 저장되는 것과 무관하게 실재하는 매체(tangible medium)를 의미하며, 일시적(transitory)으로 전파되는 신호(signal)를 포함하지 않는다.Various embodiments of the present invention may be implemented as software in a machine-readable storage medium. The software may be software for implementing various embodiments of the present invention. Software can be inferred from various embodiments of the present invention by programmers skilled in the art. For example, software may be a program containing machine-readable instructions (eg, code or code segments). A device is a device capable of operating according to a command called from a storage medium, and may be, for example, a computer. As an embodiment, the device may be a
이상, 본 발명을 바람직한 실시 예를 사용하여 상세히 설명하였으나, 본 발명의 범위는 특정 실시 예에 한정되는 것은 아니며, 첨부된 특허청구범위에 의하여 해석되어야 할 것이다. 또한, 이 기술분야에서 통상의 지식을 습득한 자라면, 본 발명의 범위에서 벗어나지 않으면서도 많은 수정과 변형이 가능함을 이해하여야 할 것이다.In the above, the present invention has been described in detail using preferred embodiments, but the scope of the present invention is not limited to specific embodiments, and should be interpreted according to the appended claims. In addition, those skilled in the art should understand that many modifications and variations are possible without departing from the scope of the present invention.
100: 네트워크 보안 환경
110: UC&C 서버
310: 분석 툴
311: 스캐닝 툴
312: 감지 툴
313: 공격 툴
320: 서비스 프로토콜
321: VoIP
322: HTTP
323: MSRP
500: 네트워크 보안 장치
510: 프로세서
520: 메모리
530: 송수신기
PA: 보호 대상 영역
SZ: 보안 영역
SA: 서비스/공격 영역
SP: SIP 패킷100: network security environment 110: UC&C server
310: analysis tool 311: scanning tool
312: detection tool 313: attack tool
320: service protocol 321: VoIP
322: HTTP 323: MSRP
500: network security device 510: processor
520: memory 530: transceiver
PA: Area to be protected SZ: Security area
SA: service/attack area SP: SIP packets
Claims (7)
하나 이상의 프로세서; 및
상기 하나 이상의 프로세서에 의한 실행 시, 상기 하나 이상의 프로세서가 연산을 수행하도록 하는 명령들이 저장된 하나 이상의 메모리를 포함하며,
상기 하나 이상의 프로세서는,
인증된 서버들의 IP(Internet Protocol) 주소 정보를 포함하는 서버 리스트를 수신하고,
상기 서버 리스트를 이용하여 수신되는 패킷에 대하여 정상 패킷과 비정상 패킷을 판별하며,
인증된 단말들의 IP 주소 정보, 포트 정보, 유효 기간 정보 및 단말의 종류 정보를 포함하는 단말 리스트를 수신하고,
상기 단말 리스트를 이용하여 상기 비정상 패킷을 심층 패킷 분석 방법을 통하여 유효 패킷과 비유효 패킷을 판별하며,
상기 비유효 패킷을 차단하고, 상기 유효 패킷을 대상 단말로 전송하는,
스마트워크 환경을 위한 보안 장치.
In the network security device,
one or more processors; and
one or more memories storing instructions that, when executed by the one or more processors, cause the one or more processors to perform operations;
The one or more processors,
Receiving a server list including IP (Internet Protocol) address information of authenticated servers;
Using the server list, a normal packet and an abnormal packet are discriminated for received packets;
Receiving a terminal list including IP address information, port information, valid period information, and terminal type information of authenticated terminals;
Using the terminal list, the abnormal packet is determined as a valid packet and an invalid packet through a deep packet analysis method;
Blocking the invalid packet and transmitting the valid packet to a target terminal;
Security device for smart work environment.
상기 하나 이상의 프로세서는,
상기 정상 패킷과 상기 비정상 패킷의 판별 결과에 기초하여 상기 서버 리스트를 업데이트하고, 상기 유효 패킷과 상기 비유효 패킷의 판별 결과에 기초하여 상기 단말 리스트를 업데이트하는,
스마트워크 환경을 위한 보안 장치.
According to claim 1,
The one or more processors,
Updating the server list based on the determination result of the normal packet and the abnormal packet, and updating the terminal list based on the determination result of the valid packet and the invalid packet.
Security device for smart work environment.
상기 수신되는 패킷은,
SIP(Session Initiation Protocol) 패킷, MSRP(Message Session Relay Protocol) 패킷 및 HTTP(Hypertext Transfer Protocol) 패킷 중 적어도 하나의 패킷을 포함하는,
스마트워크 환경을 위한 보안 장치.
According to claim 1,
The received packet is
Including at least one packet of a Session Initiation Protocol (SIP) packet, a Message Session Relay Protocol (MSRP) packet, and a Hypertext Transfer Protocol (HTTP) packet,
Security device for smart work environment.
상기 하나 이상의 프로세서는,
상기 정상 패킷과 상기 비정상 패킷의 판별 과정에서의 분석 정보에 기초하여 분석 데이터를 형성하고,
상기 분석 데이터에 기초하여 소정 주기별로 통계 데이터를 형성하며,
기계학습 알고리즘을 이용하여 상기 분석 데이터 및 상기 통계 데이터로부터 학습 데이터를 형성하고,
상기 학습 데이터를 이용하여 상기 서버 리스트를 주기적으로 업데이트 하는,
스마트워크 환경을 위한 보안 장치.
According to claim 1,
The one or more processors,
Forming analysis data based on analysis information in a process of determining the normal packet and the abnormal packet;
Forming statistical data for each predetermined period based on the analysis data;
Forming learning data from the analysis data and the statistical data using a machine learning algorithm,
Periodically updating the server list using the learning data,
Security device for smart work environment.
상기 하나 이상의 프로세서는,
상기 유효 패킷과 상기 비유효 패킷의 판별 과정에서의 분석 정보에 기초하여 분석 데이터를 형성하고,
상기 분석 데이터에 기초하여 소정 주기별로 통계 데이터를 형성하며,
기계학습 알고리즘을 이용하여 상기 분석 데이터 및 상기 통계 데이터로부터 학습 데이터를 형성하고,
상기 학습 데이터를 이용하여 상기 단말 리스트를 주기적으로 업데이트 하는,
스마트워크 환경을 위한 보안 장치.
According to claim 1,
The one or more processors,
Forming analysis data based on analysis information in a process of determining the valid packet and the invalid packet;
Forming statistical data for each predetermined period based on the analysis data;
Forming learning data from the analysis data and the statistical data using a machine learning algorithm,
Periodically updating the terminal list using the learning data,
Security device for smart work environment.
상기 하나 이상의 프로세서에 의한 실행 시, 상기 하나 이상의 프로세서가 연산을 수행하도록 하는 명령들이 저장된 하나 이상의 메모리를 포함하는 네트워크 보안 장치를 이용한 네트워크 보안 방법으로서,
인증된 서버들의 IP(Internet Protocol) 주소 정보를 포함하는 서버 리스트를 수신하는 단계;
상기 서버 리스트를 이용하여 수신되는 패킷에 대하여 정상 패킷과 비정상 패킷을 판별하는 단계;
인증된 단말들의 IP 주소 정보, 포트 정보, 유효 기간 정보 및 단말의 종류 정보를 포함하는 단말 리스트를 수신하는 단계;
상기 단말 리스트를 이용하여 상기 비정상 패킷을 심층 패킷 분석 방법을 통하여 유효 패킷과 비유효 패킷을 판별하는 단계; 및
상기 비유효 패킷을 차단하고, 상기 유효 패킷을 대상 단말로 전송하는 단계를 포함하는,
스마트워크 환경을 위한 보안 방법.
one or more processors; and
As a network security method using a network security device including one or more memories storing instructions for causing the one or more processors to perform operations when executed by the one or more processors,
Receiving a server list including IP (Internet Protocol) address information of authenticated servers;
discriminating between normal packets and abnormal packets with respect to received packets using the server list;
Receiving a terminal list including IP address information, port information, valid period information, and terminal type information of authenticated terminals;
discriminating valid packets and invalid packets from the abnormal packets using the terminal list through a deep packet analysis method; and
Blocking the invalid packet and transmitting the valid packet to a target terminal,
Security method for smart work environment.
인증된 서버들의 IP(Internet Protocol) 주소 정보를 포함하는 서버 리스트를 수신하는 단계;
상기 서버 리스트를 이용하여 수신되는 패킷에 대하여 정상 패킷과 비정상 패킷을 판별하는 단계;
인증된 단말들의 IP 주소 정보, 포트 정보, 유효 기간 정보 및 단말의 종류 정보를 포함하는 단말 리스트를 수신하는 단계;
상기 단말 리스트를 이용하여 상기 비정상 패킷을 심층 패킷 분석 방법을 통하여 유효 패킷과 비유효 패킷을 판별하는 단계; 및
상기 비유효 패킷을 차단하고, 상기 유효 패킷을 대상 단말로 전송하는 단계를 수행 가능하도록 컴퓨터 판독 가능한 기록매체에 저장된 스마트워크 환경을 위한 컴퓨터 프로그램.one or more processors; And a computer program stored in a computer-readable recording medium so as to be executable by a computer including one or more memories in which instructions for causing the one or more processors to perform operations when executed by the one or more processors are stored,
Receiving a server list including IP (Internet Protocol) address information of authenticated servers;
discriminating between normal packets and abnormal packets with respect to received packets using the server list;
Receiving a terminal list including IP address information, port information, valid period information, and terminal type information of authenticated terminals;
discriminating valid packets and invalid packets from the abnormal packets using the terminal list through a deep packet analysis method; and
A computer program for a smart work environment stored in a computer-readable recording medium to perform the step of blocking the invalid packet and transmitting the valid packet to the target terminal.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210076769A KR102571147B1 (en) | 2021-06-14 | 2021-06-14 | Security apparatus and method for smartwork environment |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210076769A KR102571147B1 (en) | 2021-06-14 | 2021-06-14 | Security apparatus and method for smartwork environment |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20220167605A true KR20220167605A (en) | 2022-12-21 |
KR102571147B1 KR102571147B1 (en) | 2023-08-25 |
Family
ID=84536574
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020210076769A KR102571147B1 (en) | 2021-06-14 | 2021-06-14 | Security apparatus and method for smartwork environment |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102571147B1 (en) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20170084778A (en) * | 2016-01-13 | 2017-07-21 | 민정곤 | System for Protecting Server using Authenticated Server Relay Server, and Method there of |
KR20180018128A (en) * | 2016-08-12 | 2018-02-21 | 주식회사 케이티 | Apparatus and method for identifying terminal information |
-
2021
- 2021-06-14 KR KR1020210076769A patent/KR102571147B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20170084778A (en) * | 2016-01-13 | 2017-07-21 | 민정곤 | System for Protecting Server using Authenticated Server Relay Server, and Method there of |
KR20180018128A (en) * | 2016-08-12 | 2018-02-21 | 주식회사 케이티 | Apparatus and method for identifying terminal information |
Also Published As
Publication number | Publication date |
---|---|
KR102571147B1 (en) | 2023-08-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11050786B2 (en) | Coordinated detection and differentiation of denial of service attacks | |
US11082436B1 (en) | System and method for offloading packet processing and static analysis operations | |
US10757134B1 (en) | System and method for detecting and remediating a cybersecurity attack | |
US10542006B2 (en) | Network security based on redirection of questionable network access | |
US9954873B2 (en) | Mobile device-based intrusion prevention system | |
Scarfone et al. | Guide to intrusion detection and prevention systems (idps) | |
US7313618B2 (en) | Network architecture using firewalls | |
CN109413060B (en) | Message processing method, device, equipment and storage medium | |
US20150058916A1 (en) | Detecting encrypted tunneling traffic | |
US20140289855A1 (en) | Detecting web browser based attacks using browser digest compute tests using digest code provided by a remote source | |
US20160127316A1 (en) | Highly secure firewall system | |
US11539695B2 (en) | Secure controlled access to protected resources | |
Schepers et al. | On the robustness of Wi-Fi deauthentication countermeasures | |
US20210314355A1 (en) | Mitigating phishing attempts | |
Scarfone et al. | Sp 800-94. guide to intrusion detection and prevention systems (idps) | |
CN113904826B (en) | Data transmission method, device, equipment and storage medium | |
KR102571147B1 (en) | Security apparatus and method for smartwork environment | |
Patel et al. | A Snort-based secure edge router for smart home | |
Albers et al. | An analysis of security threats and tools in SIP-based VoIP Systems | |
US11451584B2 (en) | Detecting a remote exploitation attack | |
US20220337488A1 (en) | Network device type classification | |
US20190319970A1 (en) | Network communications protocol for machine-to-machine self orchestration | |
CN115801318A (en) | Session establishing method and device, electronic equipment and readable storage medium | |
KR20100027829A (en) | Sip attack detection system using virtual proxy server | |
WO2015066996A1 (en) | A method and system for implementing ng-firewall, a ng-firewall client and a ng-firewall server |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |