WO2011062342A1 - Method and apparatus for controlling a network by analyzing a personal computer network packet - Google Patents

Method and apparatus for controlling a network by analyzing a personal computer network packet Download PDF

Info

Publication number
WO2011062342A1
WO2011062342A1 PCT/KR2010/003986 KR2010003986W WO2011062342A1 WO 2011062342 A1 WO2011062342 A1 WO 2011062342A1 KR 2010003986 W KR2010003986 W KR 2010003986W WO 2011062342 A1 WO2011062342 A1 WO 2011062342A1
Authority
WO
WIPO (PCT)
Prior art keywords
personal computer
network
packet
connection
communication port
Prior art date
Application number
PCT/KR2010/003986
Other languages
French (fr)
Korean (ko)
Inventor
김광태
안영택
Original Assignee
주식회사 반딧불
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 반딧불 filed Critical 주식회사 반딧불
Publication of WO2011062342A1 publication Critical patent/WO2011062342A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0811Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design

Definitions

  • Embodiments of the present invention relate to a network control method and apparatus through network packet analysis between personal computers.
  • the technology for easily controlling the network connection in the enterprise I would like to suggest.
  • One embodiment of the present invention provides a network control method and apparatus for controlling a network connection of a personal computer through network packet analysis transmitted from the personal computer.
  • a network control apparatus includes a monitoring unit for monitoring a network packet transmitted through a communication port connected to a personal computer, an analysis unit for comparing and analyzing the network packet with a packet pattern, and according to the analysis result, And a connection controller for controlling a network connection with the personal computer.
  • the communication port is a mirror port that sniffs a network packet transmitted from the personal computer and delivers it to the monitoring unit, or a network packet sniffing a network packet transmitted from the personal computer using a promiscuous mode and delivers it to the monitoring unit. It may be one of the ports.
  • the network packet may include at least one of a source IP address, a source port number, a target IP address, or a target port number associated with an essential program.
  • the analyzer may analyze whether the essential program is operated in the personal computer by comparing the network packet with the packet pattern.
  • connection control unit (1) when the required program is operated in the personal computer, the connection control unit allows the connection to the communication port connected to the personal computer to continue the network connection with the personal computer, or (2) If the required program does not operate in the personal computer, the connection to the communication port connected to the personal computer may be blocked to isolate the network connection with the personal computer.
  • the network control apparatus may further include a packet pattern storage for storing application information, communication protocol information, communication port information, and server address information as packet patterns.
  • the analyzer may compare the network packet with the packet pattern to analyze the safety of the network connection with the personal computer, and determine the weight for the analyzed safety.
  • the connection controller (1) when the determined weight is high, allows the connection to the communication port connected to the personal computer to continue the network connection with the personal computer, or (2) the determined weight is low.
  • the network connection with the personal computer can be isolated by blocking the connection to the communication port connected with the personal computer.
  • a network control method includes receiving a network packet through a communication port connected to a personal computer, comparing and analyzing the received network packet with a packet pattern, and according to the analysis result, Controlling a network connection with the personal computer.
  • the security of the personal computer may be determined through a network packet, and the intra-company network access may be easily controlled by allowing or isolating the intra-company network according to the determination result.
  • FIG. 1 is a diagram illustrating an overall network connection relationship between a personal computer and a network control system according to an exemplary embodiment of the present invention.
  • FIG. 2 is a diagram illustrating a configuration of a network control apparatus according to an embodiment of the present invention.
  • FIG. 3 is a diagram showing fields of a communication protocol used in the packet pattern of the present invention.
  • FIG. 4 is a diagram illustrating an example of a packet pattern according to an embodiment of the present invention.
  • FIG. 5 is a flowchart illustrating a procedure of a network control method according to an embodiment of the present invention.
  • FIG. 1 is a diagram illustrating an overall network connection relationship between a personal computer and a network control system according to an exemplary embodiment of the present invention.
  • the network control system 100 may include a network switch device 110, a packet analysis device 120, a packet pattern storage 130, and a management console 140.
  • the network switch device 110 is connected to the personal computers 150 and 160 through a communication port and monitors network packets transmitted from the personal computers 150 and 160.
  • the communication port is a mirror port that sniffs a network packet transmitted from the personal computers 150 and 160 and delivers it to the network switch device 110, or is transmitted from the personal computers 150 and 160 using a promiscuous mode. It may be any one of general ports that sniff network packets and deliver them to the network switch device 110.
  • the packet analysis device 120 compares and analyzes the network packet with a packet pattern. That is, the packet analysis apparatus 120 may analyze whether the essential program is operated in the personal computer 150 or 160 by comparing the packet pattern stored in the packet pattern storage 130 with the network packet.
  • the network packet may include at least one of a source IP address, a source port number, a target IP address, or a target port number associated with the essential program.
  • the packet pattern may include at least one of application information, communication protocol information, communication port information, and server address information.
  • the packet pattern store 130 stores the packet pattern.
  • the packet pattern manager may manage the packet pattern stored in the packet pattern storage 130. That is, the packet pattern manager may register, modify, or delete the packet pattern in the packet pattern storage 130.
  • the network switch controller may control a network connection with the personal computers 150 and 160 according to the comparison analysis result. That is, the network switch controller may control the network switch device 110 to allow the connection with the personal computer 160 or block the connection with the personal computer 150 according to the comparison analysis result.
  • the network switch controller may be configured as software that transmits a command to allow or block the connection with the personal computers 150 and 160 to the network switch device 110.
  • the network switch controller may be connected to the personal computer 160 by allowing access to a communication port connected to the personal computer 160 when the essential program operates in the personal computer 160 as a result of the analysis. Can continue. However, when the required program does not operate in the personal computer 150, the network switch controller may isolate the network connection with the personal computer 150 by blocking the connection to the communication port connected with the personal computer 150. .
  • the packet analyzing apparatus 120 may compare the network packet with the packet pattern, analyze the safety of the network connection with the personal computer, and determine a weight for the analyzed safety. In this case, when the determined weight is high, the network switch controller may allow a connection to a communication port connected to the personal computer 160 to continue a network connection with the personal computer 160. However, when the determined weight is low, the network switch controller may isolate the network connection with the personal computer 150 by blocking the connection to the communication port connected with the personal computer 150.
  • management console 140 manages the state of the network switch device 110, and monitors the analysis status in real time. In addition, the management console 140 may register, modify, or delete a packet pattern to be managed in the packet pattern storage 130.
  • FIG. 2 is a diagram illustrating a configuration of a network control apparatus according to an embodiment of the present invention.
  • the network control apparatus 200 may include a monitoring unit 210, a communication port 211 and 212, an analysis unit 220, a packet pattern storage 230, and a connection control unit 240. have.
  • the monitoring unit 210 monitors network packets transmitted through communication ports 211 and 212 connected to personal computers (first and second personal computers in the drawing).
  • the communication ports 211 and 212 may be 'mirror ports' which sniff network packets transmitted from the personal computer and deliver them to the monitoring unit 210.
  • the mirror port is a port for transmitting a copy of all transmitted network packets to the monitoring unit 210.
  • the communication ports 211 and 212 may be one of 'general ports' that sniff network packets transmitted from the personal computer and transmit them to the monitoring unit 210 using a promiscuous mode.
  • the promiscuous mode is a mode for performing the same role as the mirror port when the mirror port is not present, and may sniff all network traffic of each communication port.
  • the analyzer 220 compares and analyzes the network packet and the packet pattern.
  • the network packet may include at least one of a source IP address, a source port number, a target IP address, or a target port number associated with an essential program.
  • a communication packet on a network is composed of packets in the form of Transmission Control Protocol (TCP) or User Datagram Protocol (UDP) based on an Internet Protocol (IP) packet. That is, a route is formed using a source IP address and a target IP address of an IP packet, and data is transmitted using TCP or UDP.
  • TCP or UDP designates a network session of a host to form a communication session.
  • every application system using IP communication has a unique source IP address and destination IP address, and a source port and a destination port.
  • Such a system is manufactured in the form of a communication program of a server / client structure so that it can be centrally controlled, and each program is connected to each server using a specific server address and communication port at the same time.
  • a program is composed of a TCP-based communication program.
  • the operation of essential programs installed in the personal computer attempts to connect to a specific server, which is delivered in the form of packets on the network, and uses the transmitted packets to control whether the essential programs are running on the personal computer.
  • the network packet may be simply identified using the contents of the network packet (source IP address, source port number, target IP address, and target port number).
  • the analyzer 220 may analyze whether the essential program is operated in the personal computer by comparing the network packet with the packet pattern.
  • FIG. 3 is a diagram illustrating fields of a communication protocol used in the packet pattern of the present invention. That is, FIG. 3 is a color-coded part used for pattern analysis in communication protocols (IP, TCP, UDP).
  • the analyzer 220 may compare and analyze portions of different colors among the IP header 310, the TCP header 320, and the UDP header 330 included in the network packet.
  • the analyzer 220 may include a protocol, a source address, a destination address portion of the IP header 310, a source port and a destination port portion of the TCP header 320, and CWR, ECE, URG, ACK, PSH, RST, Packet flag information such as SYN and FIN, source port, destination port, and data portion of the UDP header 330 are extracted from the network packet and compared with the packet pattern stored in the packet pattern storage 230, thereby making it mandatory on the personal computer. You can determine whether the program is running.
  • the connection controller 240 may allow the connection to the communication port connected to the personal computer to continue the network connection with the personal computer. .
  • the connection controller 240 may isolate the network connection with the personal computer by blocking the connection to the communication port connected to the personal computer. . That is, the connection controller 240 may control the monitoring unit 210 to allow or block the connection between the communication ports 211 and 212 and the personal computer so as to isolate the insecure personal computer from making a network connection. .
  • FIG. 4 is a diagram illustrating an example of a packet pattern according to an embodiment of the present invention.
  • the packet pattern store 230 stores at least one of application information, communication protocol information, communication port information, and server address information as the packet pattern.
  • the application information is a name (antivirus), version (5.5) for the required program
  • the communication protocol is a protocol name used by the required program, such as TCP, UDP, or IP.
  • the communication port information is a communication port number (1010 ⁇ 1050) that the essential program is used to connect to the server
  • the server address information is an IP address (192.168.2.1 ⁇ 192.168.2.10) for the server in the enterprise.
  • the packet pattern storage 230 may store application-specific packet samples or other additional information.
  • the analyzer 220 may compare the network packet with the packet pattern to analyze the safety of the network connection with the personal computer and determine a weight for the analyzed safety. For example, the analysis unit 220 compares a network packet with a packet pattern, and when the version of the required program running on the personal computer is low, determines the weight to be low, and when the version of the required program running on the personal computer is high The weight can be determined high.
  • the network connection with the personal computer can be isolated by blocking the connection to the communication port connected with the personal computer.
  • FIG. 5 is a flowchart illustrating a procedure of a network control method according to an embodiment of the present invention.
  • the network control method receives a network packet through a communication port connected to a personal computer (510).
  • the communication port is a 'mirror port' that delivers a copy of all network packets transmitted from the personal computer, or when there is no mirror port, it uses a promiscuous mode to perform the same role as the mirror port. It may be one of the 'general port' to sniff the network packet transmitted from the personal computer.
  • the network control method compares and analyzes the received network packet with a packet pattern (520).
  • the network packet may include at least one of a source IP address, a source port number, a target IP address, or a target port number associated with an essential program.
  • the network control method may analyze whether the essential program is operated in the personal computer by comparing the network packet with the packet pattern.
  • the network control method controls the network connection with the personal computer by determining whether the analysis result satisfies the safety of the company (530). As a result of the determination, the network control method may perform step 540 when it is satisfied, and may perform step 550 when it is not satisfied.
  • the network control method may continue network connection with the personal computer by allowing access to a communication port connected to the personal computer when the required program is operated in the personal computer as a result of the analysis (540). ).
  • the network control method may isolate the network connection with the personal computer by cutting off the connection to the communication port connected with the personal computer (550). ).
  • the packet pattern store 230 stores at least one of application information, communication protocol information, communication port information, and server address information as the packet pattern.
  • the network control method is an analysis method of step 520, which compares the network packet with the packet pattern, analyzes the safety of the network connection with the personal computer, and determines the weight for the analyzed safety. As a result of the analysis, the network control method may determine whether the security of the enterprise is satisfied (530). Therefore, when the determined weight is high, the network control method may allow connection to the communication port connected to the personal computer and continue the network connection with the personal computer (540). However, when the determined weight is low, the network control method may isolate the network connection with the personal computer by cutting off the connection to the communication port connected with the personal computer (550).
  • the network control method may terminate the network control apparatus 200 performing the network control method (560).
  • embodiments of the present invention include computer-readable media containing program instructions for performing various computer-implemented operations.
  • the computer readable medium may include program instructions, data files, data structures, and the like, alone or in combination.
  • Program instructions recorded on the media may be those specially designed and constructed for the purposes of the present invention, or they may be of the kind well-known and available to those having skill in the computer software arts.
  • Examples of computer readable recording media include magnetic media such as hard disks, floppy disks and magnetic tape, optical media such as CD-ROMs, DVDs, and magnetic disks such as floppy disks.
  • Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

Provided are a method and apparatus for controlling a network by analyzing a personal computer network packet. The apparatus for controlling a network comprises: a monitoring unit, which monitors a network packet transmitted via a communication port connected to a personal computer; an analyzing unit, which analyzes the network pattern by comparing the network pattern with a packet pattern; and a connection control unit which controls the connection of the personal computer to a network in accordance with the result of the analysis. Accordingly, the apparatus for controlling a network analyzes the network packet transmitted from the personal computer, and allows or prevents the connection of the personal computer to a network.

Description

개인 컴퓨터의 네트워크 패킷 분석을 통한 네트워크 제어 방법 및 장치Network control method and device through network packet analysis of personal computer
본 발명의 실시예들은 개인 컴퓨터간의 네트워크 패킷 분석을 통한 네트워크 제어 방법 및 장치에 관한 것이다.Embodiments of the present invention relate to a network control method and apparatus through network packet analysis between personal computers.
IT 기술의 발달로, 기업의 업무 환경은 컴퓨터와 네트워크가 필수인 시대가 되었다. 기업내 임직원은 자신에게 지급된 개인 컴퓨터(PC: Personal Computer)를 통하여 기업내 네트워크에 접속하고, 서버 프로그램(Program)에 접속하여 업무를 수행하고, 동료들과 자료를 공유한다. 이러한 환경변화는 업무수행 능력을 향상시켰고, 그 기술은 더욱더 발전하고 있다. With the development of IT technology, the corporate work environment has become a time when computers and networks are essential. Employees in the company access the corporate network through the personal computer (PC) provided to them, access the server program, perform tasks, and share data with colleagues. These changes in the environment have improved the ability to do business, and the technology is developing more and more.
또한, 업무수행이 컴퓨터와 네트워크를 기반으로 이루어짐에 따라 다루어지는 데이터(기업의 중요정보)에 대한 보안이 사회 이슈(Issue)화 되었고, 이에 대한 보안장치도 발전하고 있다. 최근 들어, 기업내 컴퓨터의 안전도에 따라 업무시스템에 대한 접근(특히, 기업내부 네트워크 사용) 여부를 결정하는 기술도 발전하고 있다. In addition, as business performance is based on computers and networks, the security of data (critical information of the company) handled has become a social issue, and security devices have been developed. In recent years, technology for determining whether to access a work system (particularly, use of an internal corporate network) according to the safety of computers in an enterprise has been developed.
이에 따라, 본 발명의 일실시예에서는 기업내 개인 컴퓨터의 안전도를 네트워크 패킷을 통하여 판단하고, 판단결과에 따라 기업내 네트워크 접근을 허용하거나, 격리함으로써, 기업내 네트워크 접속을 용이하게 통제하는 기술을 제안하고자 한다.Accordingly, in one embodiment of the present invention to determine the security of the personal computer in the enterprise through the network packet, and to allow or isolate the network access to the enterprise in accordance with the determination result, the technology for easily controlling the network connection in the enterprise I would like to suggest.
본 발명의 일실시예는 개인 컴퓨터로부터 전송되는 네트워크 패킷 분석을 통해 개인 컴퓨터의 네트워크 연결을 제어할 수 있는 네트워크 제어 방법 및 장치를 제공한다.One embodiment of the present invention provides a network control method and apparatus for controlling a network connection of a personal computer through network packet analysis transmitted from the personal computer.
본 발명의 일실시예에 따른 네트워크 제어 장치는 개인 컴퓨터와 연결된 통신포트를 통해 전송되는 네트워크 패킷을 모니터링하는 모니터링부, 상기 네트워크 패킷을 패킷패턴과 비교 분석하는 분석부, 및 상기 분석결과에 따라, 상기 개인 컴퓨터와의 네트워크 연결을 제어하는 연결 제어부를 포함한다.According to an embodiment of the present invention, a network control apparatus includes a monitoring unit for monitoring a network packet transmitted through a communication port connected to a personal computer, an analysis unit for comparing and analyzing the network packet with a packet pattern, and according to the analysis result, And a connection controller for controlling a network connection with the personal computer.
이때, 상기 통신포트는 상기 개인 컴퓨터로부터 전송되는 네트워크 패킷을 스니핑하여 모니터링부로 전달하는 미러포트, 또는 프로미스큐어스 모드를 이용하여 상기 개인 컴퓨터로부터 전송되는 네트워크 패킷을 스니핑하여 상기 모니터링부로 전달하는 일반포트 중 하나일 수 있다.In this case, the communication port is a mirror port that sniffs a network packet transmitted from the personal computer and delivers it to the monitoring unit, or a network packet sniffing a network packet transmitted from the personal computer using a promiscuous mode and delivers it to the monitoring unit. It may be one of the ports.
이때, 상기 네트워크 패킷은 필수 프로그램과 연관된 소스 IP주소, 소스 포트번호, 대상 IP주소 또는 대상 포트번호 중 적어도 하나를 포함할 수 있다. 이 경우, 상기 분석부는 상기 네트워크 패킷을 상기 패킷패턴과 비교함으로써, 상기 개인 컴퓨터에서 상기 필수 프로그램이 동작하는지 여부를 분석할 수 있다.In this case, the network packet may include at least one of a source IP address, a source port number, a target IP address, or a target port number associated with an essential program. In this case, the analyzer may analyze whether the essential program is operated in the personal computer by comparing the network packet with the packet pattern.
또한, 상기 연결 제어부는 상기 분석결과, (1)상기 개인 컴퓨터에서 상기 필수 프로그램이 동작하는 경우, 상기 개인 컴퓨터와 연결된 통신포트에 대한 접속을 허용하여 상기 개인 컴퓨터와의 네트워크 연결을 지속하고, 또는 (2)상기 개인 컴퓨터에서 상기 필수 프로그램이 동작하지 않는 경우, 상기 개인 컴퓨터와 연결된 통신포트에 대한 접속을 차단시켜 상기 개인 컴퓨터와의 네트워크 연결을 격리할 수 있다.In addition, the connection control unit, (1) when the required program is operated in the personal computer, the connection control unit allows the connection to the communication port connected to the personal computer to continue the network connection with the personal computer, or (2) If the required program does not operate in the personal computer, the connection to the communication port connected to the personal computer may be blocked to isolate the network connection with the personal computer.
이때, 상기 네트워크 제어 장치는 어플리케이션 정보, 통신 프로토콜 정보, 통신포트 정보, 서버 주소정보를 패킷패턴으로서 저장하는 패킷패턴 저장소를 더 포함할 수 있다.In this case, the network control apparatus may further include a packet pattern storage for storing application information, communication protocol information, communication port information, and server address information as packet patterns.
이때, 상기 분석부는 상기 네트워크 패킷을 상기 패킷패턴과 비교하여 상기 개인 컴퓨터와의 네트워크 연결에 대한 안전도를 분석하고, 상기 분석된 안전도에 대한 가중치를 결정할 수 있다. 이 경우, 상기 연결 제어부는 (1)상기 결정된 가중치가 높은 경우, 상기 개인 컴퓨터와 연결된 통신포트에 대한 접속을 허용하여 상기 개인 컴퓨터와의 네트워크 연결을 지속하거나, 또는 (2)상기 결정된 가중치가 낮은 경우, 상기 개인 컴퓨터와 연결된 통신포트에 대한 접속을 차단시켜 상기 개인 컴퓨터와의 네트워크 연결을 격리할 수 있다.In this case, the analyzer may compare the network packet with the packet pattern to analyze the safety of the network connection with the personal computer, and determine the weight for the analyzed safety. In this case, the connection controller (1) when the determined weight is high, allows the connection to the communication port connected to the personal computer to continue the network connection with the personal computer, or (2) the determined weight is low. In this case, the network connection with the personal computer can be isolated by blocking the connection to the communication port connected with the personal computer.
또한, 본 발명의 일실시예에 따른 네트워크 제어 방법은 개인 컴퓨터와 연결된 통신포트를 통해 네트워크 패킷을 수신하는 단계, 상기 수신된 네트워크 패킷을 패킷패턴과 비교 분석하는 단계, 및 상기 분석결과에 따라, 상기 개인 컴퓨터와의 네트워크 연결을 제어하는 단계를 포함한다.In addition, according to an embodiment of the present invention, a network control method includes receiving a network packet through a communication port connected to a personal computer, comparing and analyzing the received network packet with a packet pattern, and according to the analysis result, Controlling a network connection with the personal computer.
본 발명의 일실시예에 따르면, 개인 컴퓨터의 안전도를 네트워크 패킷을 통하여 판단하고, 판단결과에 따라 기업내 네트워크 접근을 허용하거나, 격리함으로써, 기업내 네트워크 접속을 용이하게 통제할 수 있다.According to an embodiment of the present invention, the security of the personal computer may be determined through a network packet, and the intra-company network access may be easily controlled by allowing or isolating the intra-company network according to the determination result.
도 1은 본 발명의 일실시예에 따른 개인 컴퓨터, 네트워크 제어 시스템 간의 전체적인 네트워크 연결관계를 도시한 도면이다.1 is a diagram illustrating an overall network connection relationship between a personal computer and a network control system according to an exemplary embodiment of the present invention.
도 2는 본 발명의 일실시예에 따른 네트워크 제어 장치의 구성을 도시한 도면이다.2 is a diagram illustrating a configuration of a network control apparatus according to an embodiment of the present invention.
도 3은 본 발명의 패킷패턴에 사용되는 통신 프로토콜의 필드를 도시한 도면이다.3 is a diagram showing fields of a communication protocol used in the packet pattern of the present invention.
도 4는 본 발명의 일실시예에 따른 패킷패턴의 일례를 도시한 도면이다.4 is a diagram illustrating an example of a packet pattern according to an embodiment of the present invention.
도 5는 본 발명의 일실시예에 따른 네트워크 제어 방법의 순서를 도시한 흐름도이다.5 is a flowchart illustrating a procedure of a network control method according to an embodiment of the present invention.
이하에서, 본 발명에 따른 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다. 그러나, 본 발명이 실시예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings. However, the present invention is not limited or limited by the embodiments. Like reference numerals in the drawings denote like elements.
도 1은 본 발명의 일실시예에 따른 개인 컴퓨터, 네트워크 제어 시스템 간의 전체적인 네트워크 연결관계를 도시한 도면이다.1 is a diagram illustrating an overall network connection relationship between a personal computer and a network control system according to an exemplary embodiment of the present invention.
도 1을 참고하면, 네트워크 제어 시스템(100)은 네트워크 스위치 장치(110), 패킷 분석 장치(120), 패킷패턴 저장소(130) 및 관리 콘솔(140)을 포함할 수 있다. Referring to FIG. 1, the network control system 100 may include a network switch device 110, a packet analysis device 120, a packet pattern storage 130, and a management console 140.
네트워크 스위치 장치(110)는 개인 컴퓨터(150, 160)와 통신포트로 연결되어, 개인 컴퓨터(150, 160)로부터 전송되는 네트워크 패킷을 모니터링한다. 상기 통신포트는 개인 컴퓨터(150, 160)로부터 전송되는 네트워크 패킷을 스니핑하여 네트워크 스위치 장치(110)로 전달하는 미러포트, 또는 프로미스큐어스 모드를 이용하여 개인 컴퓨터(150, 160)로부터 전송되는 네트워크 패킷을 스니핑하여 네트워크 스위치 장치(110)로 전달하는 일반포트 중 어느 하나일 수 있다.The network switch device 110 is connected to the personal computers 150 and 160 through a communication port and monitors network packets transmitted from the personal computers 150 and 160. The communication port is a mirror port that sniffs a network packet transmitted from the personal computers 150 and 160 and delivers it to the network switch device 110, or is transmitted from the personal computers 150 and 160 using a promiscuous mode. It may be any one of general ports that sniff network packets and deliver them to the network switch device 110.
패킷 분석 장치(120)는 상기 네트워크 패킷을 패킷패턴과 비교 분석한다. 즉, 패킷 분석 장치(120)는 패킷패턴 저장소(130)에 저장된 패킷패턴을 상기 네트워크 패킷과 비교함으로써, 개인 컴퓨터(150, 160)에서 필수 프로그램이 동작하는지 여부를 분석할 수 있다. The packet analysis device 120 compares and analyzes the network packet with a packet pattern. That is, the packet analysis apparatus 120 may analyze whether the essential program is operated in the personal computer 150 or 160 by comparing the packet pattern stored in the packet pattern storage 130 with the network packet.
예컨대, 상기 네트워크 패킷은 필수 프로그램과 연관된 소스 IP주소, 소스 포트번호, 대상 IP주소 또는 대상 포트번호 중 적어도 하나를 포함할 수 있다. 또한, 패킷패턴은 어플리케이션 정보, 통신 프로토콜 정보, 통신포트 정보, 서버 주소정보 중 적어도 하나를 포함할 수 있다. 실시예로, 패킷패턴 저장소(130)는 상기 패킷패턴을 저장한다. 또한, 패킷패턴 관리기는 패킷패턴 저장소(130)에 저장되는 상기 패킷패턴을 관리할 수 있다. 즉, 패킷패턴 관리기는 패킷패턴 저장소(130)에 상기 패킷패턴을 등록하거나, 수정하거나, 또는 삭제할 수 있다.For example, the network packet may include at least one of a source IP address, a source port number, a target IP address, or a target port number associated with the essential program. The packet pattern may include at least one of application information, communication protocol information, communication port information, and server address information. In an embodiment, the packet pattern store 130 stores the packet pattern. In addition, the packet pattern manager may manage the packet pattern stored in the packet pattern storage 130. That is, the packet pattern manager may register, modify, or delete the packet pattern in the packet pattern storage 130.
네트워크 스위치 제어기는 상기 비교 분석결과에 따라, 개인 컴퓨터(150, 160)와의 네트워크 연결을 제어할 수 있다. 즉, 상기 네트워크 스위치 제어기는 상기 비교 분석 결과에 따라, 네트워크 스위치 장치(110)를 제어하여 개인 컴퓨터(160)와의 연결을 허용하거나, 또는 개인 컴퓨터(150)와의 연결을 차단할 수 있다. 이때, 네트워크 스위치 제어기는 네트워크 스위치 장치(110)에 개인 컴퓨터(150, 160)와의 연결을 허용하거나, 차단하는 명령을 전달하는 소프트웨어로 구성될 수 있다.The network switch controller may control a network connection with the personal computers 150 and 160 according to the comparison analysis result. That is, the network switch controller may control the network switch device 110 to allow the connection with the personal computer 160 or block the connection with the personal computer 150 according to the comparison analysis result. In this case, the network switch controller may be configured as software that transmits a command to allow or block the connection with the personal computers 150 and 160 to the network switch device 110.
실시예로, 상기 네트워크 스위치 제어기는 상기 분석결과, 개인 컴퓨터(160)에서 상기 필수 프로그램이 동작하는 경우, 개인 컴퓨터(160)와 연결된 통신포트에 대한 접속을 허용하여 개인 컴퓨터(160)와의 네트워크 연결을 지속할 수 있다. 그러나, 개인 컴퓨터(150)에서 상기 필수 프로그램이 동작하지 않는 경우, 상기 네트워크 스위치 제어기는 개인 컴퓨터(150)와 연결된 통신포트에 대한 접속을 차단시켜 개인 컴퓨터(150)와의 네트워크 연결을 격리시킬 수 있다.In an embodiment, the network switch controller may be connected to the personal computer 160 by allowing access to a communication port connected to the personal computer 160 when the essential program operates in the personal computer 160 as a result of the analysis. Can continue. However, when the required program does not operate in the personal computer 150, the network switch controller may isolate the network connection with the personal computer 150 by blocking the connection to the communication port connected with the personal computer 150. .
다른 실시예로, 패킷 분석 장치(120)는 상기 네트워크 패킷을 상기 패킷패턴과 비교하여 상기 개인 컴퓨터와의 네트워크 연결에 대한 안전도를 분석하고, 상기 분석된 안전도에 대한 가중치를 결정할 수 있다. 이 경우, 상기 네트워크 스위치 제어기는 상기 결정된 가중치가 높은 경우, 상기 개인 컴퓨터(160)와 연결된 통신포트에 대한 접속을 허용하여 상기 개인 컴퓨터(160)와의 네트워크 연결을 지속할 수 있다. 그러나, 상기 결정된 가중치가 낮은 경우, 상기 네트워크 스위치 제어기는 상기 개인 컴퓨터(150)와 연결된 통신포트에 대한 접속을 차단시켜 상기 개인 컴퓨터(150)와의 네트워크 연결을 격리할 수 있다.In another embodiment, the packet analyzing apparatus 120 may compare the network packet with the packet pattern, analyze the safety of the network connection with the personal computer, and determine a weight for the analyzed safety. In this case, when the determined weight is high, the network switch controller may allow a connection to a communication port connected to the personal computer 160 to continue a network connection with the personal computer 160. However, when the determined weight is low, the network switch controller may isolate the network connection with the personal computer 150 by blocking the connection to the communication port connected with the personal computer 150.
또한, 관리콘솔(140)은 네트워크 스위치 장치(110)의 상태를 관리하고, 실시간으로 상기 분석 상황을 모니터링한다. 또한, 관리콘솔(140)은 패킷패턴 저장소(130)에서 관리 되어져야하는 패킷패턴을 등록하거나, 수정하거나, 또는 삭제할 수 있다.In addition, the management console 140 manages the state of the network switch device 110, and monitors the analysis status in real time. In addition, the management console 140 may register, modify, or delete a packet pattern to be managed in the packet pattern storage 130.
도 2는 본 발명의 일실시예에 따른 네트워크 제어 장치의 구성을 도시한 도면이다.2 is a diagram illustrating a configuration of a network control apparatus according to an embodiment of the present invention.
도 2를 참조하면, 네트워크 제어 장치(200)는 모니터링부(210), 통신포트(211, 212), 분석부(220), 패킷패턴 저장소(230), 및 연결 제어부(240)를 포함할 수 있다.2, the network control apparatus 200 may include a monitoring unit 210, a communication port 211 and 212, an analysis unit 220, a packet pattern storage 230, and a connection control unit 240. have.
모니터링부(210)는 개인 컴퓨터(Personal Computer, 도면에서는 제1, 제2 개인 컴퓨터)와 연결된 통신포트(211, 212)를 통해 전송되는 네트워크 패킷을 모니터링한다. The monitoring unit 210 monitors network packets transmitted through communication ports 211 and 212 connected to personal computers (first and second personal computers in the drawing).
이때, 통신포트(211, 212)는 상기 개인 컴퓨터로부터 전송되는 네트워크 패킷을 스니핑(snipping)하여 모니터링부(210)로 전달하는 '미러포트'일 수 있다. 상기 미러포트는 전송되는 모든 네트워크 패킷의 복사본을 모니터링부(210)로 전달하는 포트이다. In this case, the communication ports 211 and 212 may be 'mirror ports' which sniff network packets transmitted from the personal computer and deliver them to the monitoring unit 210. The mirror port is a port for transmitting a copy of all transmitted network packets to the monitoring unit 210.
또는, 통신포트(211, 212)는 프로미스큐어스 모드를 이용하여 상기 개인 컴퓨터로부터 전송되는 네트워크 패킷을 스니핑하여 모니터링부(210)로 전달하는 '일반포트' 중 하나일 수 있다. 상기 프로미스큐어스 모드는 상기 미러포트가 없는 경우, 미러포트와 동일한 역할을 수행할 수 있도록 하는 모드로서, 각 통신포트의 모든 네트워크 트래픽을 스니핑할 수 있다. Alternatively, the communication ports 211 and 212 may be one of 'general ports' that sniff network packets transmitted from the personal computer and transmit them to the monitoring unit 210 using a promiscuous mode. The promiscuous mode is a mode for performing the same role as the mirror port when the mirror port is not present, and may sniff all network traffic of each communication port.
분석부(220)는 상기 네트워크 패킷과 패킷패턴과 비교 분석한다. 여기서, 네트워크 패킷은 필수 프로그램과 연관된 소스 IP주소, 소스 포트번호, 대상 IP주소 또는 대상 포트번호 중 적어도 하나를 포함할 수 있다. The analyzer 220 compares and analyzes the network packet and the packet pattern. Here, the network packet may include at least one of a source IP address, a source port number, a target IP address, or a target port number associated with an essential program.
일반적으로, 네트워크 상의 통신패킷은 IP(Internet Protocol)패킷을 기반으로, TCP(Transmission Control Protocol) 또는 UDP(User Datagram Protocol) 형태의 패킷으로 구성되어 전달된다. 즉, IP패킷의 소스 IP주소(Source IP Address)와 대상 IP주소(Target IP Address)를 이용하여 경로를 형성하고, TCP 또는 UDP를 이용하여 데이터를 전송하게 된다. 특히, TCP 또는 UDP는 호스트의 네 트워크 포트를 지정하여 통신세션(Session)을 형성한다. 다시 말해서, IP 통신을 이용하는 모든 응용시스템은 소스 IP주소와 대상 IP주소 그리고 소스 포트와 대상 포트를 유니크(Unique)하게 가지게 된다. In general, a communication packet on a network is composed of packets in the form of Transmission Control Protocol (TCP) or User Datagram Protocol (UDP) based on an Internet Protocol (IP) packet. That is, a route is formed using a source IP address and a target IP address of an IP packet, and data is transmitted using TCP or UDP. In particular, TCP or UDP designates a network session of a host to form a communication session. In other words, every application system using IP communication has a unique source IP address and destination IP address, and a source port and a destination port.
따라서, 기업내 안전한 개인 컴퓨터 환경을 제공하기 위해서는 안티바이러스 제품, 매체제어 제품, 기타 PC보안 및 업무시스템 접근을 위한 필수 프로그램을 개인 컴퓨터에 반드시 탑재해야 한다. 이러한 시스템은 중앙에서 제어할 수 있도록 서버/클라이언트 구조의 통신 프로그램 형태로 제작되고, 각 프 로그램은 PC 구동과 동시에 특정 서버 주소 및 통신포트를 이용하여 연결하게 된다. 또한, 상기와 같은 프로그램은 TCP 기반의 통신 프로그램으로 구성된다. Therefore, in order to provide a secure personal computer environment in the enterprise, antivirus products, media control products, and other essential programs for accessing PC security and work systems must be installed on the personal computer. Such a system is manufactured in the form of a communication program of a server / client structure so that it can be centrally controlled, and each program is connected to each server using a specific server address and communication port at the same time. In addition, such a program is composed of a TCP-based communication program.
결론적으로, 개인 컴퓨터에 탑재된 필수 프로그램이 동작하는 것은 특정 해당서버에 연결을 시도하게 되고 이것이 네트워크상 패킷형태로 전달되어, 전달된 패킷을 이용하여 개인 컴퓨터에서 필수 프로그램이 동작하는지를 중간의 네트워크 제어 장치(200)에서 간단히 네트워크 패킷의 내용(소스 IP주소, 소스 포트번호, 대상 IP주소, 대상 포트번호)을 이용하여 확인 할 수 있다.In conclusion, the operation of essential programs installed in the personal computer attempts to connect to a specific server, which is delivered in the form of packets on the network, and uses the transmitted packets to control whether the essential programs are running on the personal computer. In the device 200, the network packet may be simply identified using the contents of the network packet (source IP address, source port number, target IP address, and target port number).
따라서, 분석부(220)는 상기 네트워크 패킷을 상기 패킷패턴과 비교함으로써, 상기 개인 컴퓨터에서 상기 필수 프로그램이 동작하는지 여부를 분석할 수 있다.Accordingly, the analyzer 220 may analyze whether the essential program is operated in the personal computer by comparing the network packet with the packet pattern.
도 3은 본 발명의 패킷패턴에 사용되는 통신 프로토콜(Protocol)의 필드를 도시한 도면이다. 즉, 도 3은 통신 프로토콜(IP, TCP, UDP)에서 패턴분석에 사용되는 부분을 색깔로 구분한 것이다. 3 is a diagram illustrating fields of a communication protocol used in the packet pattern of the present invention. That is, FIG. 3 is a color-coded part used for pattern analysis in communication protocols (IP, TCP, UDP).
도 3을 참고하면, 분석부(220)는 네트워크 패킷에 포함된 IP 헤더(310), TCP 헤더(320), UDP 헤더(330) 중 색깔이 상이하게 구분된 부분을 비교 분석할 수 있다. 예컨대, 분석부(220)는 IP 헤더(310)의 Protocol, Source Address, Destination Address 부분, TCP 헤더(320)의 Source Port, Destination Port 부분, 그리고, CWR, ECE, URG, ACK, PSH, RST, SYN, FIN과 같은 패킷 플래그(Flag) 정보, UDP 헤더(330)의 Source Port, Destination Port, Data 부분을 네트워크 패킷에서 발췌하여 패킷패턴 저장소(230)에 저장된 패킷패턴과 비교함으로써, 개인 컴퓨터 상의 필수 프로그램의 동작여부를 판단할 수 있다.Referring to FIG. 3, the analyzer 220 may compare and analyze portions of different colors among the IP header 310, the TCP header 320, and the UDP header 330 included in the network packet. For example, the analyzer 220 may include a protocol, a source address, a destination address portion of the IP header 310, a source port and a destination port portion of the TCP header 320, and CWR, ECE, URG, ACK, PSH, RST, Packet flag information such as SYN and FIN, source port, destination port, and data portion of the UDP header 330 are extracted from the network packet and compared with the packet pattern stored in the packet pattern storage 230, thereby making it mandatory on the personal computer. You can determine whether the program is running.
이에 따라, 연결 제어부(240)는 상기 분석결과, 상기 개인 컴퓨터에서 상기 필수 프로그램이 동작하는 경우, 상기 개인 컴퓨터와 연결된 통신포트에 대한 접속을 허용하여 상기 개인 컴퓨터와의 네트워크 연결을 지속할 수 있다. 그러나, 상기 분석결과, 상기 개인 컴퓨터에서 상기 필수 프로그램이 동작하지 않는 경우, 연결 제어부(240)는 상기 개인 컴퓨터와 연결된 통신포트에 대한 접속을 차단시켜 상기 개인 컴퓨터와의 네트워크 연결을 격리할 수 있다. 즉, 연결 제어부(240)는 모니터링부(210)를 제어하여, 통신포트(211, 212)와 개인 컴퓨터간의 연결을 허용하거나, 차단시켜 보안이 취약한 개인 컴퓨터가 네트워크 연결을 하지 못하도록 격리시킬 수 있다.Accordingly, as a result of the analysis, when the essential program is operated in the personal computer, the connection controller 240 may allow the connection to the communication port connected to the personal computer to continue the network connection with the personal computer. . However, as a result of the analysis, when the required program does not operate in the personal computer, the connection controller 240 may isolate the network connection with the personal computer by blocking the connection to the communication port connected to the personal computer. . That is, the connection controller 240 may control the monitoring unit 210 to allow or block the connection between the communication ports 211 and 212 and the personal computer so as to isolate the insecure personal computer from making a network connection. .
도 4는 본 발명의 일실시예에 따른 패킷패턴의 일례를 도시한 도면이다.4 is a diagram illustrating an example of a packet pattern according to an embodiment of the present invention.
도 4를 참고하면, 패킷패턴 저장소(230)는 어플리케이션 정보, 통신 프로토콜 정보, 통신포트 정보, 서버 주소정보 중 적어도 하나를 상기 패킷패턴으로서 저장한다. 어플리케이션 정보는 필수 프로그램에 대한 이름(안티바이러스), 버전(5.5)이고, 통신 프로토콜은 TCP, UDP, IP 등 상기 필수 프로그램이 사용하는 프로토콜 이름이다. 통신포트 정보는 상기 필수 프로그램이 서버 연결에 사용하는 통신포트번호(1010~1050)이고, 서버 주소정보는 기업 내 서버에 대한 IP주소(192.168.2.1 ~ 192.168.2.10)이다. 또한, 패킷패턴 저장소(230)는 어플리케이션 특유의 패킷 샘플 또는 기타 부가 정보를 저장할 수도 있다.Referring to FIG. 4, the packet pattern store 230 stores at least one of application information, communication protocol information, communication port information, and server address information as the packet pattern. The application information is a name (antivirus), version (5.5) for the required program, and the communication protocol is a protocol name used by the required program, such as TCP, UDP, or IP. The communication port information is a communication port number (1010 ~ 1050) that the essential program is used to connect to the server, the server address information is an IP address (192.168.2.1 ~ 192.168.2.10) for the server in the enterprise. In addition, the packet pattern storage 230 may store application-specific packet samples or other additional information.
실시예로, 분석부(220)는 상기 네트워크 패킷을 상기 패킷패턴과 비교하여 상기 개인 컴퓨터와의 네트워크 연결에 대한 안전도를 분석하고, 상기 분석된 안전도에 대한 가중치를 결정할 수 있다. 예컨대, 분석부(220)는 네트워크 패킷을 패킷패턴과 비교하여, 상기 개인 컴퓨터에서 구동하는 필수 프로그램의 버전이 낮은 경우, 가중치를 낮게 결정하고, 상기 개인 컴퓨터에서 구동하는 필수 프로그램의 버전이 높은 경우, 가중치를 높게 결정할 수 있다.In an embodiment, the analyzer 220 may compare the network packet with the packet pattern to analyze the safety of the network connection with the personal computer and determine a weight for the analyzed safety. For example, the analysis unit 220 compares a network packet with a packet pattern, and when the version of the required program running on the personal computer is low, determines the weight to be low, and when the version of the required program running on the personal computer is high The weight can be determined high.
이 경우, 연결 제어부는 (1)상기 결정된 가중치가 높은 경우, 상기 개인 컴퓨터와 연결된 통신포트에 대한 접속을 허용하여 상기 개인 컴퓨터와의 네트워크 연결을 지속하거나, 또는 (2)상기 결정된 가중치가 낮은 경우, 상기 개인 컴퓨터와 연결된 통신포트에 대한 접속을 차단시켜 상기 개인 컴퓨터와의 네트워크 연결을 격리할 수 있다.In this case, the connection controller (1) when the determined weight is high, allows the connection to the communication port connected to the personal computer to continue the network connection with the personal computer, or (2) when the determined weight is low. The network connection with the personal computer can be isolated by blocking the connection to the communication port connected with the personal computer.
도 5는 본 발명의 일실시예에 따른 네트워크 제어 방법의 순서를 도시한 흐름도이다.5 is a flowchart illustrating a procedure of a network control method according to an embodiment of the present invention.
네트워크 제어 방법은 개인 컴퓨터와 연결된 통신포트를 통해 네트워크 패킷을 수신한다(510). 이때, 통신포트는 상기 개인 컴퓨터로부터 전송되는 모든 네트워크 패킷의 복사본을 전달하는 '미러포트'이거나, 상기 미러포트가 없는 경우, 미러포트와 동일한 역할을 수행할 수 있도록 하는 프로미스큐어스 모드를 이용하여 상기 개인 컴퓨터로부터 전송되는 네트워크 패킷을 스니핑하는 '일반포트' 중 하나일 수 있다. The network control method receives a network packet through a communication port connected to a personal computer (510). At this time, the communication port is a 'mirror port' that delivers a copy of all network packets transmitted from the personal computer, or when there is no mirror port, it uses a promiscuous mode to perform the same role as the mirror port. It may be one of the 'general port' to sniff the network packet transmitted from the personal computer.
네트워크 제어 방법은 상기 수신된 네트워크 패킷을 패킷패턴과 비교 분석한다(520). 여기서, 네트워크 패킷은 필수 프로그램과 연관된 소스 IP주소, 소스 포트번호, 대상 IP주소 또는 대상 포트번호 중 적어도 하나를 포함할 수 있다. 이때, 네트워크 제어 방법은 상기 네트워크 패킷을 상기 패킷패턴과 비교함으로써, 상기 개인 컴퓨터에서 상기 필수 프로그램이 동작하는지 여부를 분석할 수 있다.The network control method compares and analyzes the received network packet with a packet pattern (520). Here, the network packet may include at least one of a source IP address, a source port number, a target IP address, or a target port number associated with an essential program. In this case, the network control method may analyze whether the essential program is operated in the personal computer by comparing the network packet with the packet pattern.
네트워크 제어 방법은 상기 분석결과, 기업의 안전도를 만족하는지 여부를 판단함으로써, 상기 개인 컴퓨터와의 네트워크 연결을 제어한다(530). 네트워크 제어 방법은 상기 판단결과, 만족하는 경우, 단계 540을 수행하고, 만족하지 않는 경우, 단계 550을 수행할 수 있다.The network control method controls the network connection with the personal computer by determining whether the analysis result satisfies the safety of the company (530). As a result of the determination, the network control method may perform step 540 when it is satisfied, and may perform step 550 when it is not satisfied.
예컨대, 네트워크 제어 방법은 상기 분석결과, 상기 개인 컴퓨터에서 상기 필수 프로그램이 동작하는 경우, 상기 개인 컴퓨터와 연결된 통신포트에 대한 접속을 허용함으로써, 상기 개인 컴퓨터와의 네트워크 연결을 지속할 수 있다(540).For example, the network control method may continue network connection with the personal computer by allowing access to a communication port connected to the personal computer when the required program is operated in the personal computer as a result of the analysis (540). ).
그러나, 상기 분석결과, 상기 개인 컴퓨터에서 상기 필수 프로그램이 동작하지 않는 경우, 네트워크 제어 방법은 상기 개인 컴퓨터와 연결된 통신포트에 대한 접속을 차단시켜 상기 개인 컴퓨터와의 네트워크 연결을 격리시킬 수 있다(550).However, as a result of the analysis, when the required program does not operate in the personal computer, the network control method may isolate the network connection with the personal computer by cutting off the connection to the communication port connected with the personal computer (550). ).
실시예로, 패킷패턴 저장소(230)는 어플리케이션 정보, 통신 프로토콜 정보, 통신포트 정보, 서버 주소정보 중 적어도 하나를 상기 패킷패턴으로서 저장한다. 이 경우, 네트워크 제어 방법은 단계 520의 분석방법으로, 상기 네트워크 패킷을 상기 패킷패턴과 비교하여 상기 개인 컴퓨터와의 네트워크 연결에 대한 안전도를 분석하고, 상기 분석된 안전도에 대한 가중치를 결정할 수 있다. 네트워크 제어 방법은 상기 분석결과, 기업의 안전도를 만족하는지 여부를 판단할 수 있다(530). 따라서, 네트워크 제어 방법은 상기 결정된 가중치가 높은 경우, 상기 개인 컴퓨터와 연결된 통신포트에 대한 접속을 허용하여 상기 개인 컴퓨터와의 네트워크 연결을 지속할 수 있다(540). 그러나, 상기 결정된 가중치가 낮은 경우, 네트워크 제어 방법은 상기 개인 컴퓨터와 연결된 통신포트에 대한 접속을 차단시켜 상기 개인 컴퓨터와의 네트워크 연결을 격리할 수 있다(550).In an embodiment, the packet pattern store 230 stores at least one of application information, communication protocol information, communication port information, and server address information as the packet pattern. In this case, the network control method is an analysis method of step 520, which compares the network packet with the packet pattern, analyzes the safety of the network connection with the personal computer, and determines the weight for the analyzed safety. As a result of the analysis, the network control method may determine whether the security of the enterprise is satisfied (530). Therefore, when the determined weight is high, the network control method may allow connection to the communication port connected to the personal computer and continue the network connection with the personal computer (540). However, when the determined weight is low, the network control method may isolate the network connection with the personal computer by cutting off the connection to the communication port connected with the personal computer (550).
최종적으로, 네트워크 제어 방법은 기업 내 네트워크 연결이 정상적으로 사용되면, 네트워크 제어 방법을 수행하는 네트워크 제어 장치(200)를 종료할 수 있다(560).Finally, when the network connection in the enterprise is normally used, the network control method may terminate the network control apparatus 200 performing the network control method (560).
또한, 본 발명의 실시예들은 다양한 컴퓨터로 구현되는 동작을 수행하기 위한 프로그램 명령을 포함하는 컴퓨터 판독 가능 매체를 포함한다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.In addition, embodiments of the present invention include computer-readable media containing program instructions for performing various computer-implemented operations. The computer readable medium may include program instructions, data files, data structures, and the like, alone or in combination. Program instructions recorded on the media may be those specially designed and constructed for the purposes of the present invention, or they may be of the kind well-known and available to those having skill in the computer software arts. Examples of computer readable recording media include magnetic media such as hard disks, floppy disks and magnetic tape, optical media such as CD-ROMs, DVDs, and magnetic disks such as floppy disks. Magneto-optical media, and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 따라서 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.In the present invention as described above has been described by the specific embodiments, such as specific components and limited embodiments and drawings, but this is provided to help a more general understanding of the present invention, the present invention is not limited to the above embodiments. For those skilled in the art, various modifications and variations are possible from these descriptions. Therefore, the spirit of the present invention should not be limited to the described embodiments, and all of the equivalents or equivalents of the claims as well as the claims to be described later belong to the scope of the present invention.

Claims (15)

  1. 개인 컴퓨터와 연결된 통신포트를 통해 전송되는 네트워크 패킷을 모니터링하는 모니터링부; A monitoring unit for monitoring a network packet transmitted through a communication port connected to a personal computer;
    상기 네트워크 패킷을 설정된 패킷패턴과 비교하여 분석하는 분석부; 및An analysis unit comparing the network packet with a set packet pattern and analyzing the network packet; And
    상기 분석 결과에 따라, 상기 개인 컴퓨터와의 네트워크 연결을 제어하는 연결 제어부A connection controller for controlling a network connection with the personal computer according to the analysis result
    를 포함하는 네트워크 제어 장치.Network control device comprising a.
  2. 제1항에 있어서,The method of claim 1,
    상기 통신포트는,The communication port,
    상기 개인 컴퓨터로부터 전송되는 네트워크 패킷을 스니핑하여 모니터링부로 전달하는 미러포트이거나, 또는Or a mirror port that sniffs a network packet transmitted from the personal computer and delivers it to a monitoring unit,
    프로미스큐어스 모드를 이용하여 상기 개인 컴퓨터로부터 전송되는 네트워크 패킷을 스니핑하여 상기 모니터링부로 전달하는 일반포트인, 네트워크 제어 장치.And a general port that sniffs a network packet transmitted from the personal computer using a promiscuous mode and delivers it to the monitoring unit.
  3. 제1항에 있어서,The method of claim 1,
    상기 네트워크 패킷은, The network packet,
    필수 프로그램과 연관된 소스 IP주소, 소스 포트번호, 대상 IP주소 또는 대상 포트번호 중 적어도 하나를 포함하는, 네트워크 제어 장치.And at least one of a source IP address, a source port number, a target IP address, or a target port number associated with the required program.
  4. 제1항에 있어서,The method of claim 1,
    상기 분석부는,The analysis unit,
    상기 네트워크 패킷을 상기 패킷패턴과 비교하여, 상기 개인 컴퓨터에서 필수 프로그램이 동작하는지 여부를 분석하는, 네트워크 제어 장치.And comparing the network packet with the packet pattern to analyze whether a required program is operated in the personal computer.
  5. 제4항에 있어서, The method of claim 4, wherein
    상기 연결 제어부는,The connection control unit,
    상기 개인 컴퓨터에서 상기 필수 프로그램이 동작하는 것으로 분석되는 경우, 상기 개인 컴퓨터와 연결된 통신포트에 대한 접속을 허용하여 상기 개인 컴퓨터와의 네트워크 연결을 지속하고,If it is determined that the essential program is operated in the personal computer, the connection to the communication port connected with the personal computer is allowed to continue the network connection with the personal computer,
    상기 개인 컴퓨터에서 상기 필수 프로그램이 동작하지 않는 것으로 분석되는 경우, 상기 개인 컴퓨터와 연결된 통신포트에 대한 접속을 차단시켜 상기 개인 컴퓨터와의 네트워크 연결을 격리하는, 네트워크 제어 장치.And if it is determined that the required program does not operate in the personal computer, the network control device is isolated by disconnecting a connection to a communication port connected with the personal computer.
  6. 제1항에 있어서,The method of claim 1,
    상기 패킷패턴으로서, 어플리케이션 정보, 통신 프로토콜 정보, 통신포트 정보, 서버 주소정보 중 적어도 하나를 저장하는 패킷패턴 저장소A packet pattern store for storing at least one of application information, communication protocol information, communication port information, and server address information as the packet pattern.
    를 더 포함하는, 네트워크 제어 장치.Further comprising a network control device.
  7. 제1항에 있어서,The method of claim 1,
    상기 분석부는,The analysis unit,
    상기 네트워크 패킷을 상기 패킷패턴과 비교하여 상기 개인 컴퓨터와의 네트워크 연결에 대한 안전도에 따른 가중치를 분석하는, 네트워크 제어 장치.And comparing the network packet with the packet pattern to analyze a weight value according to a security level for a network connection with the personal computer.
  8. 제7항에 있어서, The method of claim 7, wherein
    상기 연결 제어부는,The connection control unit,
    상기 가중치가 높은 것으로 분석되는 경우, 상기 개인 컴퓨터와 연결된 통신포트에 대한 접속을 허용하여 상기 개인 컴퓨터와의 네트워크 연결을 지속하고,If the weight is analyzed to be high, the connection to the communication port connected with the personal computer is allowed to continue the network connection with the personal computer,
    상기 가중치가 낮은 것으로 분석되는 경우, 상기 개인 컴퓨터와 연결된 통신포트에 대한 접속을 차단시켜 상기 개인 컴퓨터와의 네트워크 연결을 격리하는, 네트워크 제어 장치.And if it is determined that the weight is low, the network control device to isolate the network connection with the personal computer by blocking the connection to the communication port connected with the personal computer.
  9. 개인 컴퓨터와 연결된 통신포트를 통해 네트워크 패킷을 수신하는 단계;Receiving a network packet through a communication port connected to a personal computer;
    상기 수신된 네트워크 패킷을 설정된 패킷패턴과 비교하여 분석하는 단계; 및Comparing the received network packet with a set packet pattern and analyzing the received network packet; And
    상기 분석 결과에 따라, 상기 개인 컴퓨터와의 네트워크 연결을 제어하는 단계Controlling a network connection with the personal computer according to the analysis result
    를 포함하는 네트워크 제어 방법.Network control method comprising a.
  10. 제9항에 있어서,The method of claim 9,
    상기 네트워크 패킷을 수신하는 단계는,Receiving the network packet,
    상기 개인 컴퓨터와 연결된 미러포트를 통해 상기 네트워크 패킷을 스니핑하여 수신하는 단계; 또는Sniffing and receiving the network packet through a mirror port connected to the personal computer; or
    프로미스큐어스 모드를 이용하여 상기 개인 컴퓨터와 연결된 일반포트를 통해 상기 네트워크 패킷을 스니핑하여 수신하는 단계Sniffing and receiving the network packet through a general port connected to the personal computer using a promiscuous mode
    를 포함하는 네트워크 제어 방법.Network control method comprising a.
  11. 제9항에 있어서,The method of claim 9,
    상기 네트워크 패킷은, The network packet,
    필수 프로그램과 연관된 소스 IP주소, 소스 포트번호, 대상 IP주소 또는 대상 포트번호 중 적어도 하나를 포함하고,At least one of a source IP address, a source port number, a target IP address or a target port number associated with the required program,
    상기 패킷패턴과 비교하여 분석하는 단계는,The analyzing by comparing with the packet pattern,
    상기 네트워크 패킷을 상기 패킷패턴과 비교하여, 상기 개인 컴퓨터에서 상기 필수 프로그램이 동작하는지 여부를 분석하는 단계Comparing the network packet with the packet pattern to analyze whether the essential program is operated in the personal computer;
    를 포함하는 네트워크 제어 방법.Network control method comprising a.
  12. 제11항에 있어서, The method of claim 11,
    상기 개인 컴퓨터와의 네트워크 연결을 제어하는 단계는,Controlling the network connection with the personal computer,
    상기 개인 컴퓨터에서 상기 필수 프로그램이 동작하는 것으로 분석되는 경우, 상기 개인 컴퓨터와 연결된 통신포트에 대한 접속을 허용하여 상기 개인 컴퓨터와의 네트워크 연결을 지속하는 단계; 또는If it is determined that the essential program is running in the personal computer, allowing a connection to a communication port connected with the personal computer to maintain a network connection with the personal computer; or
    상기 개인 컴퓨터에서 상기 필수 프로그램이 동작하지 않는 것으로 분석되는 경우, 상기 개인 컴퓨터와 연결된 통신포트에 대한 접속을 차단시켜 상기 개인 컴퓨터와의 네트워크 연결을 격리하는 단계If it is determined that the essential program does not operate on the personal computer, isolating a connection to a communication port connected to the personal computer to isolate a network connection with the personal computer;
    를 포함하는 네트워크 제어 방법.Network control method comprising a.
  13. 제9항에 있어서,The method of claim 9,
    상기 패킷패턴으로서, 어플리케이션 정보, 통신 프로토콜 정보, 통신포트 정보, 서버 주소정보 중 적어도 하나를 패킷패턴 저장소에 저장하는 단계Storing at least one of application information, communication protocol information, communication port information, and server address information as a packet pattern in a packet pattern storage;
    를 더 포함하는, 네트워크 제어 방법.The network control method further comprising.
  14. 제9항에 있어서,The method of claim 9,
    상기 패킷패턴과 비교하여 분석하는 단계는,The analyzing by comparing with the packet pattern,
    상기 네트워크 패킷을 상기 패킷패턴과 비교하여 상기 개인 컴퓨터와의 네트워크 연결에 대한 안전도에 따른 가중치를 분석하는 단계Comparing the network packet with the packet pattern and analyzing a weight value according to a security level for a network connection with the personal computer
    를 포함하는 네트워크 제어 방법.Network control method comprising a.
  15. 제14항에 있어서,The method of claim 14,
    상기 개인 컴퓨터와의 네트워크 연결을 제어하는 단계는,Controlling the network connection with the personal computer,
    상기 가중치가 높은 것으로 분석되는 경우, 상기 개인 컴퓨터와 연결된 통신포트에 대한 접속을 허용하여 상기 개인 컴퓨터와의 네트워크 연결을 지속하는 단계; 또는 If it is determined that the weight is high, allowing a connection to a communication port connected to the personal computer to maintain a network connection with the personal computer; or
    상기 가중치가 낮은 것으로 분석되는 경우, 상기 개인 컴퓨터와 연결된 통신포트에 대한 접속을 차단시켜 상기 개인 컴퓨터와의 네트워크 연결을 격리하는 단계If the weight is analyzed to be low, isolating a connection to a communication port connected to the personal computer to isolate a network connection with the personal computer;
    를 포함하는 네트워크 제어 방법.Network control method comprising a.
PCT/KR2010/003986 2009-11-18 2010-06-21 Method and apparatus for controlling a network by analyzing a personal computer network packet WO2011062342A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020090111334A KR101090630B1 (en) 2009-11-18 2009-11-18 Apparatus and method for controlling network through analysis network packet of personal computer
KR10-2009-0111334 2009-11-18

Publications (1)

Publication Number Publication Date
WO2011062342A1 true WO2011062342A1 (en) 2011-05-26

Family

ID=44059793

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2010/003986 WO2011062342A1 (en) 2009-11-18 2010-06-21 Method and apparatus for controlling a network by analyzing a personal computer network packet

Country Status (2)

Country Link
KR (1) KR101090630B1 (en)
WO (1) WO2011062342A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113836577A (en) * 2021-09-09 2021-12-24 武汉市风奥科技股份有限公司 Intranet and extranet access control method and access control system of confidential computer

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101387626B1 (en) * 2012-04-25 2014-04-21 라이트웍스 주식회사 System for controlling ethernet network remotely
WO2014189224A1 (en) * 2013-05-20 2014-11-27 주식회사 아이디어웨어 Server apparatus for reducing wireless network load, operating method thereof, and recording medium

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010092028A (en) * 2000-03-13 2001-10-24 윤종용 Packet filtering method of network device
KR20040021926A (en) * 2002-09-06 2004-03-11 한국전자통신연구원 A Method for Handling Intrusion Packet of Active Network using Sensor
KR20050066049A (en) * 2003-12-26 2005-06-30 한국전자통신연구원 Apparatus for protecting dos and method thereof
KR20070092806A (en) * 2006-03-09 2007-09-14 주식회사 플랜티넷 The apparatus and method of blocking communication by auto extraction of communication pattern

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010092028A (en) * 2000-03-13 2001-10-24 윤종용 Packet filtering method of network device
KR20040021926A (en) * 2002-09-06 2004-03-11 한국전자통신연구원 A Method for Handling Intrusion Packet of Active Network using Sensor
KR20050066049A (en) * 2003-12-26 2005-06-30 한국전자통신연구원 Apparatus for protecting dos and method thereof
KR20070092806A (en) * 2006-03-09 2007-09-14 주식회사 플랜티넷 The apparatus and method of blocking communication by auto extraction of communication pattern

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113836577A (en) * 2021-09-09 2021-12-24 武汉市风奥科技股份有限公司 Intranet and extranet access control method and access control system of confidential computer

Also Published As

Publication number Publication date
KR101090630B1 (en) 2011-12-08
KR20110054615A (en) 2011-05-25

Similar Documents

Publication Publication Date Title
CN101802837B (en) System and method for providing network and computer firewall protection with dynamic address isolation to a device
KR101010465B1 (en) Network security elements using endpoint resources
US20050229246A1 (en) Programmable context aware firewall with integrated intrusion detection system
US7725932B2 (en) Restricting communication service
WO2011108863A2 (en) Network splitting device, system and method using virtual environments
Kumar et al. Intrusion detection and prevention system for an IoT environment
JP4290198B2 (en) Flexible network security system and network security method permitting reliable processes
KR101553264B1 (en) System and method for preventing network intrusion
WO2009058685A1 (en) Security state aware firewall
KR101290963B1 (en) System and method for separating network based virtual environment
KR20140122044A (en) Apparatus and method for detecting slow read dos
CN110012016B (en) Method and system for controlling resource access in hybrid cloud environment
WO2021112494A1 (en) Endpoint-based managing-type detection and response system and method
WO2011008017A2 (en) Apparatus and method for host-based network separation
WO2011108877A2 (en) System and method for logical separation of a server by using client virtualization
US7401353B2 (en) Detecting and blocking malicious connections
WO2023040303A1 (en) Network traffic control method and related system
WO2011062342A1 (en) Method and apparatus for controlling a network by analyzing a personal computer network packet
EP1742438A1 (en) Network device for secure packet dispatching via port isolation
US8050266B2 (en) Low impact network debugging
KR101977612B1 (en) Apparatus and method for network management
JP2003264595A (en) Packet repeater device, packet repeater system, and decoy guiding system
JP2002318739A (en) Device, method and system for processing intrusion data measures
KR100539760B1 (en) System and method for inducing installing agent using internet access control
KR100860607B1 (en) Network protection total switch and method thereof

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 10831709

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

32PN Ep: public notification in the ep bulletin as address of the adressee cannot be established

Free format text: NOTING OF LOSS OF RIGHTS PURSUANT TO RULE 112(1) EPC (EPO FORM 1205N DATED 27/08/2012)

122 Ep: pct application non-entry in european phase

Ref document number: 10831709

Country of ref document: EP

Kind code of ref document: A1