WO2015088133A1 - Security apparatus for selectively performing security check and operating method therefor - Google Patents

Security apparatus for selectively performing security check and operating method therefor Download PDF

Info

Publication number
WO2015088133A1
WO2015088133A1 PCT/KR2014/009797 KR2014009797W WO2015088133A1 WO 2015088133 A1 WO2015088133 A1 WO 2015088133A1 KR 2014009797 W KR2014009797 W KR 2014009797W WO 2015088133 A1 WO2015088133 A1 WO 2015088133A1
Authority
WO
WIPO (PCT)
Prior art keywords
classification
request packet
url
packet
classification group
Prior art date
Application number
PCT/KR2014/009797
Other languages
French (fr)
Korean (ko)
Inventor
홍기훈
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Publication of WO2015088133A1 publication Critical patent/WO2015088133A1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/951Indexing; Web crawling techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • G06F16/9566URL specific, e.g. using aliases, detecting broken or misspelled links
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links

Definitions

  • the present invention relates to an electronic device, and more particularly, to a security device for selectively performing a security check and a method of operating the same.
  • Web services have exploded with the development of Internet network technology, making it the infrastructure of information that almost everyone using the Internet retrieves and collects information through.
  • its widespread use makes Web services a major route for most attacks, such as viruses, malware and vulnerability attacks.
  • most viruses, malware, and vulnerability attacks spread through specific categories of sites. For example, viruses, malware, and vulnerability attacks can be spread through gambling, adult sites, and the like, which are interesting to people.
  • a security device is a device that inspects the traffic of a web service at the network entry.
  • Unified Threat Management performs a variety of security scan functions, including intrusion prevention system (IPS) scans, virus scans, and malware scans, to scan for viruses or malware, and block and allow packets based on the scan results. can do.
  • IPS intrusion prevention system
  • IPS virus scans
  • malware scans to scan for viruses or malware, and block and allow packets based on the scan results. can do.
  • the web service is an immediate response service that a user terminal requests a specific service from a web server and waits for a response.
  • a security check is performed on all contents, a large delay takes time and the real-time of the web service is impaired. This may cause inconvenience to web services.
  • the security check requires a variety of checks, including HTTP protocol error checks, IPS checks, virus checks, and malware checks on packets. It is difficult to guarantee the immediate response characteristics while performing such checks on packets for all web services.
  • the present invention is to solve the above problems, and to improve the reliability and operation speed of the security check.
  • a security apparatus including a receiving unit receiving a request packet transmitted from a user terminal to a web server, and a response packet transmitted from the web server to the user terminal; Receiving classification information on the URL of the request packet from a web classification database to determine the classification group corresponding to the URL of the request packet, and to update the mapping relationship between the URL of the request packet and the classification group in a classification table.
  • a table management unit configured; And a search engine configured to search for the classification group in the classification table when the response packet of the same session as the request packet is received. The classification group determines whether to perform a security check on the response packet.
  • the security device may further include a controller for requesting the classification information by transmitting the URL of the request packet to the web classification database when the request packet is received.
  • the receiver may receive the classification information from the web classification database through the network and provide the received classification information to the table manager.
  • the table manager may map the URL of the request packet to a first classification group or the URL of the request packet to a second classification group according to the classification information.
  • the security device may further include a packet buffer connected to the receiver and configured to temporarily store the request packet and the response packet transmitted through the receiver.
  • the security device may further include a URL extractor configured to extract a URL of the request packet stored in the packet buffer.
  • the URL extractor may provide the extracted URL of the request packet to the table manager.
  • the search engine may search the classification group in the classification table according to the URL of the request packet, which is the same session as the response packet when the response packet is received.
  • the security apparatus may further include: a security processor configured to selectively perform a security check on the response packet according to the classification group searched by the search engine; And a transmitter configured to transmit the response packet to the outside according to a result of the security check.
  • An operating method of a security device includes the steps of receiving a request packet transmitted from the user terminal to the web server; Receiving classification information for the URL of the request packet from a web classification database via the network; Determining a classification group to which the URL of the request packet belongs according to the classification information, and updating a mapping relationship between the URL of the request packet and the classification group in a classification table; Receiving a response packet of the same session as the request packet transmitted from the web server to the user terminal according to the request packet; Searching for the classification group in the classification table; And determining whether to perform a security check on the response packet according to the classification group.
  • the method may further include extracting a URL from the request packet when the request packet is received.
  • the method may further include requesting the classification information by transmitting the extracted URL of the request packet to the web classification database.
  • the searching may include detecting the request packet of the same session as the response packet when the response packet is received, and searching the classification group in the classification table according to the detected request packet. Can be.
  • the determining of whether to perform the security check may include performing the security check when the classification group is a first classification group and omitting the security check when the classification group is a second classification group. It may include.
  • the reliability and speed of operation of the security device are improved.
  • FIG. 1 is a conceptual diagram illustrating a network system.
  • FIG. 2 is a block diagram illustrating the security device of FIG. 1.
  • FIG. 3 is a diagram illustrating a classification table stored in the classification table of FIG. 2.
  • FIG. 3 is a diagram illustrating a classification table stored in the classification table of FIG. 2.
  • FIG. 4 is a flowchart illustrating a method of operating a security device when a request packet is generated.
  • FIG. 5 is a flowchart illustrating a method of operating a security device when a response packet is generated.
  • FIG. 6 is a diagram conceptually illustrating a method of operating the security apparatus described with reference to FIGS. 4 and 5.
  • FIG. 1 is a conceptual diagram illustrating a network system 100.
  • the network system 100 includes a user terminal 110, first to nth web servers 121 to 12n, a network 130, a security device 140, and a web classification database 150. It includes.
  • the user terminal 110 is connected to the web servers 121-12n through the network 130 via the security device 140.
  • the user terminal 110 may receive various services by transmitting a request packet to each of the web servers 121 ⁇ 12n and receiving a response packet transmitted from the corresponding web server according to the request packet.
  • the user terminal 110 may access a corresponding web page or receive an application while exchanging packets with each of the web servers 121 ⁇ 12n.
  • the user terminal 110 may install an application provided from each of the web servers 121 ⁇ 12n and communicate with the web server using the installed application to receive content such as music and video.
  • the installed application can communicate with the web server to receive services such as animation and games.
  • the first to n th web servers 121 ⁇ 12 n are connected to the user terminal 110 through the security device 140 via the network 130, and communicate various web services while communicating packets with the user terminal 110. Can provide.
  • the security device 140 processes the packets communicated between the web servers 121-12n and the user terminal 110.
  • Security device 140 is configured to monitor packets, perform security checks on some of the packets, and omit security checks on other parts of the packets.
  • Security device 140 is coupled to web classification database 150 via network 130. Security device 140 communicates with web classification database 150 via network 130. The security device 140 classifies the packets communicated between the web servers 121-12n and the user terminal 110 with reference to the information received from the web classification database 150, and thus selectively applies the packets to the packets. Perform a security check on
  • the security device 140 is shown to be connected between the user terminal 110 and the network 130. However, as an example, unlike FIG. 1, the security device 140 may be connected to any other point in the network system 100 and process packets passing through the point. For example, the security device 140 may be connected between the web servers 121-12n and the network 130.
  • FIG. 2 is a block diagram illustrating the security device 140 of FIG. 1.
  • 3 is a diagram illustrating a classification table stored in the classification table 260 of FIG. 2.
  • the security device 140 includes a receiver 210, a controller 220, a packet buffer 230, a URL extractor 240, a table manager 250, a classification table 260, and a search engine ( 270, a security processor 280, and a transmitter 290.
  • the receiver 210 is configured to receive packets communicated between the user terminal 110 and the web servers 121-12n.
  • the reception unit 210 receives a request packet transmitted from the user terminal 110 to an arbitrary web server, and receives a response packet of the same session as the request packet transmitted from the web server to the user terminal 110 according to the request packet. something to do.
  • the controller 220 is configured to control overall operations of the security device 140.
  • the controller 220 includes a receiver 210, a packet buffer 230, a URL extractor 240, a table manager 250, a classification table 260, a search engine 270, a security processor 280, and a transmitter. 290 is configured to control.
  • the control unit 220 controls to transmit the request packet received through the receiving unit 210 and temporarily stored in the packet buffer 230 to the transmitting unit 290 through the security processing unit 280. Alternatively, the controller 220 controls to transfer the request packet temporarily stored in the packet buffer 230 directly to the transmitter 290 without passing through the security processor 280. That is, the security check on the request packet may not be performed.
  • the packet buffer 230 temporarily stores a request packet received through the receiver 210 and a response packet received through the receiver 210.
  • the packet buffer 230 may store packets in a first-in first-out (FIFO) manner.
  • the URL extractor 240 is connected to the packet buffer 230.
  • the URL extractor 240 receives a request packet from the packet buffer 230 and extracts a URL from the request packet.
  • the URL extractor 240 provides the table manager 250 to the URL (RURL) of the extracted request packet.
  • the URL (RURL) of the extracted request packet is provided to the controller 220.
  • the controller 220 passes through the transmission unit 290 to the web classification database 150 (see FIG. 1) through the network 130 (see FIG. 1).
  • Request classification information (CI) for RURL) Accordingly, the web classification database 150 provides the classification information CI to the security device 140.
  • the classification information CI may be received through the receiver 210.
  • the classification information CI is information on what kind of service the URL (RURL) of the request packet provides.
  • the classification information (CI) may be any kind of site such as whether the URL (RURL) of the request packet is an adult site, a crime site, a game site, a gambling site, an education site, a government office site, a medical site, or the like. Contains information about cognition. If the URL (RURL) of the request packet is unknown (or unknown) of the site, the classification information (CI) includes information that does not know what kind of service it provides.
  • the table manager 250 is connected to the receiver 210 and the URL extractor 240.
  • the table manager 250 receives the URL (RURL) of the request packet from the URL extractor 240.
  • the table manager 250 receives the classification information CI from the receiver 210.
  • the table manager 250 determines a classification group according to the classification information CI.
  • the table management unit 250 removes the URL (RURL) of the request packet when the classification information CI indicates a kind of site that is assumed to be a high risk category such as an adult site, a crime promotion site, a game site, or a gambling site. It can be decided by 1 classification group.
  • the table manager 250 sets the URL (RURL) of the request packet to the second classification group. Can be determined.
  • each kind of site known according to the classification information CI corresponds to the first classification group or the second classification group may be preset by the administrator of the security device 140 and may be changed. If the classification information CI includes information for not knowing what kind of site, the classification group corresponding to the URL RURL of the request packet may be determined as the first classification group.
  • the table manager 250 updates the classification table 260 with a mapping relationship between the URL (RURL) of the request packet and the classification group.
  • each URL corresponds to a first classification group Group1 or a second classification group Group2.
  • the first to m th URLs URL1 to URLm correspond to the first classification group Group1, and the m + 1 to k th URLs URLm + 1 to URLk correspond to the second classification group Group2. do.
  • the classification table 260 may be stored in a storage medium.
  • the security device 140 may include one storage medium, and the storage medium may include a storage medium for storing the classification table 260 and a packet buffer 230.
  • the storage medium storing the classification table 260 and the packet buffer 230 may be separate components.
  • the classification table 260 may be stored in a storage medium external to the security device 140.
  • a storage medium external to the security device 140 is connected to the security device 140 via the network 130, and the security device 140 can update the classification table 260 while communicating with the storage medium. Can be.
  • the table manager 250 may access the storage medium through the network 130 through the transmitter 290.
  • the search engine 270 is connected to the classification table 260.
  • the search engine 270 is configured to search in the classification table 260 the classification group corresponding to the request packet of the same session in response to the control of the controller 220.
  • a request packet of the same session as the response packet is extracted from the packet buffer 230 to the URL extractor 240, and the search engine 270 requests from the URL extractor 240.
  • the classification group corresponding to the URL (RURL) of the request packet may be searched by receiving the URL (RURL) of the packet.
  • the search engine 270 will output the first classification group Group1. .
  • the security processor 280 is connected to the packet buffer 230 and the search engine 270.
  • the security processor 280 receives a classification group from the search engine 270 and determines whether to perform a security check on the response packet stored in the packet buffer 230. If the first classification group Group1 is received, the security processing unit 280 may perform a security check on the corresponding response packet stored in the packet buffer 230. If it is determined that the response packet is a malicious packet, the security processing unit 280 will drop the response packet. If the response packet is determined to be an allowed packet, the security processing unit 280 may allow the response packet by providing the response packet to the transmission unit 290.
  • the security processor 280 skips the security check on the response packet stored in the packet buffer 230 and provides the response packet to the transmission unit 290.
  • the transmitter 290 transmits the request packet provided from the security processor 280 to the corresponding web server through the network 130 (see FIG. 1), and transmits the response packet provided from the security processor 280 to the user terminal 110 (FIG. 1). Reference).
  • the URL of the request packet corresponds, and then whether to perform a security check on the response packet when a response packet of the same session as the request packet is received.
  • the security check is performed on the response packet according to the classification group.
  • FIG. 4 is a flowchart illustrating a method of operating the security device 140 when a request packet is generated.
  • a request packet is received by the security device 140.
  • the request packet may be a Hyper Text Transfer Protocol (HTTP) request.
  • HTTP Hyper Text Transfer Protocol
  • the security device 140 transmits a request packet to a corresponding web server.
  • the security device 140 extracts a URL from the request packet.
  • the security device 140 transmits the URL of the extracted request packet to the web classification database 150 and receives classification information corresponding to the URL of the request packet from the web classification database 150.
  • the search engine 270 may search whether the URL of the request packet exists in the classification table 260. If the URL of the request packet already exists in the classification table 260, the controller 220 may not request classification information from the web classification database 150. For example, if the user terminal 110 has previously accessed the web server previously, the URL of the request packet will already exist in the classification table 260. If the URL of the request packet does not exist in the classification table 260, the controller 220 may request classification information by transmitting the URL of the request packet to the web classification database 150.
  • the security device 140 determines a classification group according to the classification information.
  • the security device 140 maps the determined classification group and the URL of the request packet and updates the mapping relationship in the classification table 260.
  • 5 is a flowchart illustrating a method of operating the security device 140 when a response packet is generated.
  • a response packet is received by the security device 140.
  • the response packet may be an HTTP response.
  • the user terminal 110 when such a response packet is received by the user terminal 110 (refer to FIG. 1), a screen of a specific web site may be displayed on the user terminal.
  • the security device 140 searches the classification table 260 to determine a classification group corresponding to the URL of the request packet of the same session as the response packet. For example, the security device 140 may detect a request packet of the same session as the response packet and search for a classification group in the classification table 260 according to the detected request packet.
  • the security device 140 performs operations S250 to S260 according to whether the classification group is a high risk category. For example, when the classification group is the first classification group (Group1, see FIG. 3), step S250 is performed. If the classification group is the second classification group Group2 (see FIG. 3), step S260 is performed.
  • the security device 140 performs a security check.
  • the security device 140 may perform a variety of security checks, such as Unified Threat Management (UTM) scan, intrusion prevention system (IPS) scan, virus scan, and malware scan.
  • UDM Unified Threat Management
  • IPS intrusion prevention system
  • virus scan virus scan
  • malware scan malware scan
  • the security device 140 skips the security check and transmits the response packet to the user terminal 110.
  • the security device 140 may not omit the security check but may perform only the security check simplified than the operation S250.
  • Unified Threat Management UDM can only perform some of the security checks, including intrusion prevention system (IPS) scans, virus scans, and malware scans.
  • the security device 140 performs operation S280 or S290 according to whether the response packet is a malicious packet.
  • the security device 140 blocks the response packet.
  • the security device 140 accepts the response packet and transmits the response packet to the user terminal 110.
  • FIG. 6 is a diagram conceptually illustrating a method of operating the security device 140 described with reference to FIGS. 4 and 5.
  • the user terminal 110 transmits a request packet to a high risk web server.
  • the security device 140 transmits the request packet to the web server, while extracting the URL of the request packet while generating and forwarding the response packet according to the web classification database.
  • Inquiry 150 determines the classification group (S510).
  • the security device 140 recognizes from the determined classification group that the web server that is the destination of the request packet is a high risk category web server (S520).
  • the security device 140 When the corresponding response packet is received, the security device 140 performs a security check on the received response packet (S530).
  • the user terminal 110 transmits a request packet to a web server of a low risk category.
  • the security device 140 transmits the request packet to the web server, while extracting the URL of the request packet while generating and forwarding the response packet according to the web classification database.
  • the searcher determines the classification group (S610).
  • the security device 140 recognizes from the determined classification group that the web server to which the request packet is transmitted is a web server of a low risk category (S620).
  • the security device 140 skips the security check on the response packet.
  • the URL of the request packet corresponds, and then whether to perform a security check on the response packet when a response packet of the same session as the request packet is received.
  • the security check is performed on the response packet according to the classification group.

Abstract

A security apparatus according to an embodiment of the present invention comprises: a table management unit that determines a classification group corresponding to a URL of a request packet by receiving, from a web classification database, classification information on the URL of the request packet, and stores a mapping relation between the URL of the request packet and the classification group; and a search engine that returns the classification group when a response packet of a session identical to a session of the request packet is received. Also, whether a security check is performed on the response packet is determined according to the classification group, for which a search has been made.

Description

선택적으로 보안 검사를 수행하는 보안 장치 및 그것의 동작 방법Security device that selectively performs security check and method of operation thereof
본 발명은 전자 장치에 관한 것으로, 좀 더 구체적으로는 선택적으로 보안 검사를 수행하는 보안 장치 및 그것의 동작 방법에 관한 것이다.The present invention relates to an electronic device, and more particularly, to a security device for selectively performing a security check and a method of operating the same.
웹 서비스는 인터넷 네트워크 기술의 발전과 더불어 폭발적으로 증가하여 인터넷을 사용하는 거의 모든 사람들이 웹 서비스를 통해 정보를 검색하고 수집하는 정보의 기반 시설이 되었다. 그러나 이러한 폭넓은 사용으로 인해 웹 서비스는 대부분의 공격, 예를 들면 바이러스, 멀웨어 및 취약점 공격 등의 주요 경로가 되고 있다. 특히 대부분의 바이러스, 멀웨어 및 취약점 공격 등은 특정 분류의 사이트를 통해 전파된다. 예를 들면, 사람들의 호기심을 자극하는 도박, 성인 사이트 등을 통해 바이러스, 멀웨어 및 취약점 공격 등이 전파될 수 있다.Web services have exploded with the development of Internet network technology, making it the infrastructure of information that almost everyone using the Internet retrieves and collects information through. However, its widespread use makes Web services a major route for most attacks, such as viruses, malware and vulnerability attacks. In particular, most viruses, malware, and vulnerability attacks spread through specific categories of sites. For example, viruses, malware, and vulnerability attacks can be spread through gambling, adult sites, and the like, which are interesting to people.
보안 장치는 네트워크 초입에서 웹 서비스의 트래픽을 검사하는 장치이다. 예를 들면, UTM(Unified Threat Management)은 IPS(Intrusion Prevention System) 검사, 바이러스 검사, 멀웨어 검사 등 다양한 보안 검사 기능을 수행하여 바이러스나 멀웨어 등을 검사하고, 검사 결과에 따라 해당 패킷을 차단 및 허용할 수 있다.A security device is a device that inspects the traffic of a web service at the network entry. For example, Unified Threat Management (UTM) performs a variety of security scan functions, including intrusion prevention system (IPS) scans, virus scans, and malware scans, to scan for viruses or malware, and block and allow packets based on the scan results. can do.
그러나 웹 서비스는 사용자 단말이 웹 서버로 특정 서비스를 요청하고, 그에 대한 응답을 기다리는 즉각적 반응 서비스로, 모든 컨텐츠에 대해 보안 검사를 하면 많은 지연 시간이 소요되어 웹 서비스의 실시간성이 훼손되고, 따라서 웹 서비스에 불편을 초래할 수 있다.However, the web service is an immediate response service that a user terminal requests a specific service from a web server and waits for a response. When a security check is performed on all contents, a large delay takes time and the real-time of the web service is impaired. This may cause inconvenience to web services.
즉 보안 검사를 위해서는 패킷에 대해 HTTP 프로토콜 오류 검사, IPS 검사, 바이러스 검사 및 멀웨어 검사 등 다양한 검사를 거쳐야 하는데, 모든 웹 서비스를 위한 패킷에 대해 이와 같은 검사를 수행하면서 즉각적인 응답 특성을 보장하기 어렵다.In other words, the security check requires a variety of checks, including HTTP protocol error checks, IPS checks, virus checks, and malware checks on packets. It is difficult to guarantee the immediate response characteristics while performing such checks on packets for all web services.
만약 모든 사이트에 해당하는 패킷들에 대해 보안 검사를 수행한다면, 보안 장비의 자원을 너무 많이 소비하면서도 각 사이트에서 제공하는 웹 서비스의 응답 시간을 증가시키는 단점이 있다.If a security check is performed on packets corresponding to all sites, it consumes too many resources of the security equipment and increases the response time of the web service provided by each site.
만약 여러 가지 백신들에 의해 수집된 사이트들의 목록을 참조하여 바이러스가 발견된 사이트들에 해당하는 패킷들에 대해 보안 검사를 수행한다면, 그 목록이 제한적일 수밖에 없어 바이러스를 유발하는 신규 사이트에 대한 초기 대응이 어려운 단점이 있다.If a security check is performed on packets corresponding to sites where a virus is found by referring to the list of sites collected by various vaccines, the list is limited and the initial response to the new site causing the virus is limited. This is a difficult drawback.
본 발명은 위와 같은 문제점을 해결하기 위한 것으로, 보안 검사의 신뢰성 및 동작 속도를 향상시키기 위한 것이다.The present invention is to solve the above problems, and to improve the reliability and operation speed of the security check.
본 발명의 실시 예에 따른 보안 장치는 사용자 단말로부터 웹 서버로 전송되는 요청 패킷, 그리고 상기 웹 서버로부터 상기 사용자 단말로 전송되는 응답 패킷을 수신하는 수신부; 웹 분류 데이터 베이스로부터 상기 요청 패킷의 URL에 대한 분류 정보를 수신함으로써 상기 요청 패킷의 URL에 대응하는 분류 그룹을 결정하고, 상기 요청 패킷의 URL과 상기 분류 그룹 사이의 매핑 관계를 분류 테이블에 업데이트하도록 구성되는 테이블 관리부; 및 상기 요청 패킷과 동일한 세션의 상기 응답 패킷이 수신될 때, 상기 분류 테이블 내에서 상기 분류 그룹을 서치하도록 구성되는 서치 엔진을 포함한다. 상기 분류 그룹에 따라 상기 응답 패킷에 대한 보안 검사의 수행 여부가 결정된다.According to an aspect of the present invention, there is provided a security apparatus including a receiving unit receiving a request packet transmitted from a user terminal to a web server, and a response packet transmitted from the web server to the user terminal; Receiving classification information on the URL of the request packet from a web classification database to determine the classification group corresponding to the URL of the request packet, and to update the mapping relationship between the URL of the request packet and the classification group in a classification table. A table management unit configured; And a search engine configured to search for the classification group in the classification table when the response packet of the same session as the request packet is received. The classification group determines whether to perform a security check on the response packet.
실시 예로서, 상기 보안 장치는 상기 요청 패킷이 수신될 때, 상기 웹 분류 데이터 베이스에 상기 요청 패킷의 URL을 전송하여 상기 분류 정보를 요청하는 제어부를 더 포함할 수 있다.In an embodiment, the security device may further include a controller for requesting the classification information by transmitting the URL of the request packet to the web classification database when the request packet is received.
실시 예로서, 상기 수신부는 상기 웹 분류 데이터 베이스로부터 상기 네트워크를 통해 상기 분류 정보를 수신하고 수신된 상기 분류 정보를 상기 테이블 관리부에 제공할 수 있다.In an embodiment, the receiver may receive the classification information from the web classification database through the network and provide the received classification information to the table manager.
실시 예로서, 상기 테이블 관리부는 상기 분류 정보에 따라 상기 요청 패킷의 URL을 제 1 분류 그룹에 매핑시키거나 상기 요청 패킷의 URL을 제 2 분류 그룹에 매핑시킬 수 있다.In an embodiment, the table manager may map the URL of the request packet to a first classification group or the URL of the request packet to a second classification group according to the classification information.
실시 예로서, 상기 보안 장치는 상기 수신부에 연결되고, 상기 수신부를 통해 전달되는 상기 요청 패킷 및 상기 응답 패킷을 임시 저장하도록 구성된 패킷 버퍼를 더 포함할 수 있다.In an embodiment, the security device may further include a packet buffer connected to the receiver and configured to temporarily store the request packet and the response packet transmitted through the receiver.
실시 예로서, 상기 보안 장치는 상기 패킷 버퍼에 저장된 상기 요청 패킷의 URL을 추출하도록 구성된 URL 추출부를 더 포함할 수 있다.In an embodiment, the security device may further include a URL extractor configured to extract a URL of the request packet stored in the packet buffer.
실시 예로서, 상기 URL 추출부는 추출된 상기 요청 패킷의 URL을 상기 테이블 관리부에 제공할 수 있다.In an embodiment, the URL extractor may provide the extracted URL of the request packet to the table manager.
실시 예로서, 상기 서치 엔진은 상기 응답 패킷이 수신될 때 상기 응답 패킷과 동일한 세션인 상기 요청 패킷의 URL에 따라 상기 분류 테이블 내에서 상기 분류 그룹을 서치할 수 있다.In an embodiment, the search engine may search the classification group in the classification table according to the URL of the request packet, which is the same session as the response packet when the response packet is received.
실시 예로서, 보안 장치는 상기 서치 엔진이 서치한 상기 분류 그룹에 따라 상기 응답 패킷에 대한 보안 검사를 선택적으로 수행하도록 구성되는 보안 처리부; 및 상기 보안 검사의 결과에 따라 상기 응답 패킷을 외부로 전송하는 전송부를 더 포함할 수 있다.In an embodiment, the security apparatus may further include: a security processor configured to selectively perform a security check on the response packet according to the classification group searched by the search engine; And a transmitter configured to transmit the response packet to the outside according to a result of the security check.
본 발명의 다른 일면은 네트워크를 통해 웹 서버와 통신하는 사용자 단말과 연결된 보안 장치의 동작 방법에 관한 것이다. 본 발명의 실시 예에 따른 보안 장치의 동작 방법은 상기 사용자 단말로부터 상기 웹 서버로 전송되는 요청 패킷을 수신하는 단계; 상기 네트워크를 통해 웹 분류 데이터 베이스로부터 상기 요청 패킷의 URL에 대한 분류 정보를 수신하는 단계; 상기 분류 정보에 따라 상기 요청 패킷의 URL이 속하는 분류 그룹을 결정하고, 상기 요청 패킷의 URL과 상기 분류 그룹 사이의 매핑 관계를 분류 테이블에 업데이트하는 단계; 상기 요청 패킷에 따라 상기 웹 서버로부터 상기 사용자 단말로 전송되는 상기 요청 패킷과 동일한 세션의 응답 패킷을 수신하는 단계; 상기 분류 테이블 내에서 상기 분류 그룹을 서치하는 단계; 및 상기 분류 그룹에 따라 상기 응답 패킷에 대한 보안 검사의 수행 여부를 결정하는 단계를 포함한다.Another aspect of the present invention relates to a method of operating a security device connected to a user terminal communicating with a web server via a network. An operating method of a security device according to an embodiment of the present invention includes the steps of receiving a request packet transmitted from the user terminal to the web server; Receiving classification information for the URL of the request packet from a web classification database via the network; Determining a classification group to which the URL of the request packet belongs according to the classification information, and updating a mapping relationship between the URL of the request packet and the classification group in a classification table; Receiving a response packet of the same session as the request packet transmitted from the web server to the user terminal according to the request packet; Searching for the classification group in the classification table; And determining whether to perform a security check on the response packet according to the classification group.
실시 예로서, 상기 요청 패킷이 수신되면 상기 요청 패킷으로부터 URL을 추출하는 단계를 더 포함할 수 있다.In an embodiment, the method may further include extracting a URL from the request packet when the request packet is received.
실시 예로서, 추출된 상기 요청 패킷의 URL을 상기 웹 분류 데이터 베이스에 전송하여 상기 분류 정보를 요청하는 단계를 더 포함할 수 있다.In an embodiment, the method may further include requesting the classification information by transmitting the extracted URL of the request packet to the web classification database.
실시 예로서, 상기 서치하는 단계는 상기 응답 패킷이 수신되면 상기 응답 패킷과 동일한 세션의 상기 요청 패킷을 검출하고 검출된 상기 요청 패킷에 따라 상기 분류 테이블 내에서 상기 분류 그룹을 서치하는 단계를 포함할 수 있다.In an embodiment, the searching may include detecting the request packet of the same session as the response packet when the response packet is received, and searching the classification group in the classification table according to the detected request packet. Can be.
실시 예로서, 상기 보안 검사의 수행 여부를 결정하는 단계는 상기 분류 그룹이 제 1 분류 그룹일 때 상기 보안 검사를 수행하고, 상기 분류 그룹이 제 2 분류 그룹일 때 상기 보안 검사를 생략하는 단계를 포함할 수 있다.In an embodiment, the determining of whether to perform the security check may include performing the security check when the classification group is a first classification group and omitting the security check when the classification group is a second classification group. It may include.
본 발명의 실시 예에 따르면, 보안 장치의 신뢰성 및 동작 속도가 향상된다.According to an embodiment of the present invention, the reliability and speed of operation of the security device are improved.
도 1은 네트워크 시스템을 보여주는 개념도이다.1 is a conceptual diagram illustrating a network system.
도 2는 도 1의 보안 장치를 보여주는 블록도이다.2 is a block diagram illustrating the security device of FIG. 1.
도 3은 도 2의 분류 테이블 내에 저장된 분류 테이블을 보여주는 도면이다.3 is a diagram illustrating a classification table stored in the classification table of FIG. 2.
도 3은 도 2의 분류 테이블 내에 저장된 분류 테이블을 보여주는 도면이다.3 is a diagram illustrating a classification table stored in the classification table of FIG. 2.
도 4는 요청 패킷이 발생될 때 보안 장치의 동작 방법을 보여주는 순서도이다.4 is a flowchart illustrating a method of operating a security device when a request packet is generated.
도 5는 응답 패킷이 발생될 때 보안 장치의 동작 방법을 보여주는 순서도이다.5 is a flowchart illustrating a method of operating a security device when a response packet is generated.
도 6은 도 4 및 도 5를 참조하여 설명된 보안 장치의 동작 방법을 개념적으로 보여주는 도면이다.6 is a diagram conceptually illustrating a method of operating the security apparatus described with reference to FIGS. 4 and 5.
본 발명의 이점 및 특징, 그리고 그것을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 통해 설명될 것이다. 그러나 본 발명은 여기에서 설명되는 실시 예들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 단지, 본 실시 예들은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 본 발명의 기술적 사상을 용이하게 실시할 수 있을 정도로 상세히 설명하기 위하여 제공되는 것이다.Advantages and features of the present invention, and methods for achieving the same will be described with reference to embodiments described below in detail with the accompanying drawings. However, the present invention is not limited to the embodiments described herein and may be embodied in other forms. However, the present embodiments are provided to explain in detail enough to easily implement the technical idea of the present invention to those skilled in the art.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "간접적으로 연결"되어 있는 경우도 포함한다. 명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when a part is "connected" to another part, this includes not only "directly connected" but also "indirectly connected" with another element in between. . Throughout the specification, when a part is said to "include" a certain component, it means that it can further include other components, without excluding other components unless specifically stated otherwise.
도 1은 네트워크 시스템(100)을 보여주는 개념도이다.1 is a conceptual diagram illustrating a network system 100.
도 1을 참조하면, 네트워크 시스템(100)은 사용자 단말(110), 제 1 내지 제 n 웹 서버들(121~12n), 네트워크(130), 보안 장치(140) 및 웹 분류 데이터 베이스(150)를 포함한다.Referring to FIG. 1, the network system 100 includes a user terminal 110, first to nth web servers 121 to 12n, a network 130, a security device 140, and a web classification database 150. It includes.
사용자 단말(110)은 보안 장치(140)를 거쳐 네트워크(130)를 통해 웹 서버들(121~12n)에 연결된다. 사용자 단말(110)은 웹 서버들(121~12n) 각각에 요청 패킷을 전송하고, 요청 패킷에 따라 해당 웹 서버로부터 전송되는 응답 패킷을 수신함으로써 다양한 서비스들을 제공받을 수 있다. 사용자 단말(110)은 웹 서버들(121~12n) 각각과 패킷들을 주고받으면서 해당 웹 페이지에 접속하거나, 애플리케이션을 제공받을 수 있다. 예를 들면 사용자 단말(110)은 웹 서버들(121~12n) 각각으로부터 제공된 애플리케이션을 설치하고, 설치된 애플리케이션으로 해당 웹 서버와 통신하여 음악, 동영상과 같은 콘텐츠를 제공받을 수 있다. 또한 설치된 애플리케이션으로 해당 웹 서버와 통신하여 애니메이션, 게임 등의 서비스를 제공받을 수 있다.The user terminal 110 is connected to the web servers 121-12n through the network 130 via the security device 140. The user terminal 110 may receive various services by transmitting a request packet to each of the web servers 121 ˜ 12n and receiving a response packet transmitted from the corresponding web server according to the request packet. The user terminal 110 may access a corresponding web page or receive an application while exchanging packets with each of the web servers 121 ˜ 12n. For example, the user terminal 110 may install an application provided from each of the web servers 121 ˜ 12n and communicate with the web server using the installed application to receive content such as music and video. In addition, the installed application can communicate with the web server to receive services such as animation and games.
제 1 내지 제 n 웹 서버들(121~12n)은 네트워크(130)를 거쳐 보안 장치(140)를 통해 사용자 단말(110)에 연결되며, 사용자 단말(110)과 패킷들을 통신하면서 다양한 웹 서비스들을 제공할 수 있다.The first to n th web servers 121 ˜ 12 n are connected to the user terminal 110 through the security device 140 via the network 130, and communicate various web services while communicating packets with the user terminal 110. Can provide.
보안 장치(140)는 웹 서버들(121~12n)과 사용자 단말(110) 사이에서 통신되는 패킷들을 처리한다. 보안 장치(140)는 패킷들을 감시하고, 패킷들 중 일부에 대해 보안 검사를 수행하고, 패킷들 중 다른 일부에 대해서는 보안 검사를 생략하도록 구성된다.The security device 140 processes the packets communicated between the web servers 121-12n and the user terminal 110. Security device 140 is configured to monitor packets, perform security checks on some of the packets, and omit security checks on other parts of the packets.
보안 장치(140)는 네트워크(130)를 통해 웹 분류 데이터 베이스(150)에 연결된다. 보안 장치(140)는 네트워크(130)를 통해 웹 분류 데이터 베이스(150)와 통신한다. 보안 장치(140)는 웹 분류 데이터 베이스(150)로부터 수신된 정보를 참조하여 웹 서버들(121~12n)과 사용자 단말(110) 사이에서 통신되는 패킷들을 분류하고, 그에 따라 선택적으로 패킷들에 대해 보안 검사를 수행한다. Security device 140 is coupled to web classification database 150 via network 130. Security device 140 communicates with web classification database 150 via network 130. The security device 140 classifies the packets communicated between the web servers 121-12n and the user terminal 110 with reference to the information received from the web classification database 150, and thus selectively applies the packets to the packets. Perform a security check on
도 1에서, 보안 장치(140)는 사용자 단말(110)과 네트워크(130) 사이에 연결되는 것으로 도시된다. 그러나 이는 예시적인 것으로서, 도 1에 도시된 바와 다르게 보안 장치(140)는 네트워크 시스템(100) 내 다른 임의의 지점에 연결되고, 해당 지점을 통과하는 패킷들을 처리할 수 있다. 예를 들면 보안 장치(140)는 웹 서버들(121~12n)과 네트워크(130)에 사이에 연결될 수 있다.In FIG. 1, the security device 140 is shown to be connected between the user terminal 110 and the network 130. However, as an example, unlike FIG. 1, the security device 140 may be connected to any other point in the network system 100 and process packets passing through the point. For example, the security device 140 may be connected between the web servers 121-12n and the network 130.
도 2는 도 1의 보안 장치(140)를 보여주는 블록도이다. 도 3은 도 2의 분류 테이블(260) 내에 저장된 분류 테이블을 보여주는 도면이다.2 is a block diagram illustrating the security device 140 of FIG. 1. 3 is a diagram illustrating a classification table stored in the classification table 260 of FIG. 2.
도 2를 참조하면, 보안 장치(140)는 수신부(210), 제어부(220), 패킷 버퍼(230), URL 추출부(240), 테이블 관리부(250), 분류 테이블(260), 서치 엔진(270), 보안 처리부(280), 및 전송부(290)를 포함한다.Referring to FIG. 2, the security device 140 includes a receiver 210, a controller 220, a packet buffer 230, a URL extractor 240, a table manager 250, a classification table 260, and a search engine ( 270, a security processor 280, and a transmitter 290.
수신부(210)는 사용자 단말(110)과 웹 서버들(121~12n) 사이에서 통신되는 패킷들을 수신하도록 구성된다. 수신부(210)는 사용자 단말(110)로부터 임의의 웹 서버로 전송되는 요청 패킷을 수신하고, 요청 패킷에 따라 해당 웹 서버로부터 사용자 단말(110)로 전송되는 요청 패킷과 동일한 세션의 응답 패킷을 수신할 것이다.The receiver 210 is configured to receive packets communicated between the user terminal 110 and the web servers 121-12n. The reception unit 210 receives a request packet transmitted from the user terminal 110 to an arbitrary web server, and receives a response packet of the same session as the request packet transmitted from the web server to the user terminal 110 according to the request packet. something to do.
제어부(220)는 보안 장치(140)의 제반 동작을 제어하도록 구성된다. 제어부(220)는 수신부(210), 패킷 버퍼(230), URL 추출부(240), 테이블 관리부(250), 분류 테이블(260), 서치 엔진(270), 보안 처리부(280), 및 전송부(290)를 제어하도록 구성된다.The controller 220 is configured to control overall operations of the security device 140. The controller 220 includes a receiver 210, a packet buffer 230, a URL extractor 240, a table manager 250, a classification table 260, a search engine 270, a security processor 280, and a transmitter. 290 is configured to control.
제어부(220)는 수신부(210)를 통해 수신되어 패킷 버퍼(230)에 임시 저장된 요청 패킷을 보안 처리부(280)를 통해 전송부(290)로 전달하도록 제어한다. 또는, 제어부(220)는 패킷 버퍼(230)에 임시 저장된 요청 패킷을 보안 처리부(280)를 거치지 않고 바로 전송부(290)로 전달하도록 제어한다. 즉 요청 패킷에 대한 보안 검사는 수행되지 않을 수 있다.The control unit 220 controls to transmit the request packet received through the receiving unit 210 and temporarily stored in the packet buffer 230 to the transmitting unit 290 through the security processing unit 280. Alternatively, the controller 220 controls to transfer the request packet temporarily stored in the packet buffer 230 directly to the transmitter 290 without passing through the security processor 280. That is, the security check on the request packet may not be performed.
패킷 버퍼(230)는 수신부(210)를 통해 수신되는 요청 패킷, 그리고 수신부(210)를 통해 수신되는 응답 패킷을 임시 저장한다. 실시 예로서, 패킷 버퍼(230)는 FIFO(First-In First-Out) 방식으로 패킷들을 저장할 수 있다.The packet buffer 230 temporarily stores a request packet received through the receiver 210 and a response packet received through the receiver 210. In an embodiment, the packet buffer 230 may store packets in a first-in first-out (FIFO) manner.
URL 추출부(240)는 패킷 버퍼(230)에 연결된다. URL 추출부(240)는 패킷 버퍼(230)로부터 요청 패킷을 수신하고, 그 요청 패킷으로부터 URL을 추출한다.The URL extractor 240 is connected to the packet buffer 230. The URL extractor 240 receives a request packet from the packet buffer 230 and extracts a URL from the request packet.
그리고, URL 추출부(240)는 추출된 요청 패킷의 URL(RURL)을 테이블 관리부(250)에 제공한다.In addition, the URL extractor 240 provides the table manager 250 to the URL (RURL) of the extracted request packet.
또한, 추출된 요청 패킷의 URL(RURL)은 제어부(220)에 제공된다. 제어부(220)는 요청 패킷의 URL(RURL)이 수신되면, 전송부(290)를 거쳐 네트워크(130, 도 1 참조)를 통해 웹 분류 데이터 베이스(150, 도 1 참조)로 요청 패킷의 URL(RURL)에 대한 분류 정보(CI)를 요청한다. 이에 따라, 웹 분류 데이터 베이스(150)는 분류 정보(CI)를 보안 장치(140)에 제공한다. 분류 정보(CI)는 수신부(210)를 통해 수신될 것이다.In addition, the URL (RURL) of the extracted request packet is provided to the controller 220. When the URL (RURL) of the request packet is received, the controller 220 passes through the transmission unit 290 to the web classification database 150 (see FIG. 1) through the network 130 (see FIG. 1). Request classification information (CI) for RURL). Accordingly, the web classification database 150 provides the classification information CI to the security device 140. The classification information CI may be received through the receiver 210.
실시 예로서, 분류 정보(CI)는 요청 패킷의 URL(RURL)이 어떤 종류의 서비스를 제공하는 사이트인지에 대한 정보이다. 예를 들면, 분류 정보(CI)는 요청 패킷의 URL(RURL)이 성인 사이트인지, 범죄 사이트인지, 게임 사이트인지, 도박 사이트인지, 교육 사이트인지, 관공서 사이트인지, 의료 사이트인지 등 어떤 종류의 사이트인지에 대한 정보를 포함한다. 만약 요청 패킷의 URL(RURL)이 어떤 종류의 사이트인지 알 수 없는 경우(또는 알려지지 않은 경우), 분류 정보(CI)는 어떤 종류의 서비스를 제공하는지 알 수 없다는 취지의 정보를 포함한다.In an embodiment, the classification information CI is information on what kind of service the URL (RURL) of the request packet provides. For example, the classification information (CI) may be any kind of site such as whether the URL (RURL) of the request packet is an adult site, a crime site, a game site, a gambling site, an education site, a government office site, a medical site, or the like. Contains information about cognition. If the URL (RURL) of the request packet is unknown (or unknown) of the site, the classification information (CI) includes information that does not know what kind of service it provides.
한편 테이블 관리부(250)는 수신부(210) 및 URL 추출부(240)에 연결된다. 테이블 관리부(250)는 URL 추출부(240)로부터 요청 패킷의 URL(RURL)을 수신한다.Meanwhile, the table manager 250 is connected to the receiver 210 and the URL extractor 240. The table manager 250 receives the URL (RURL) of the request packet from the URL extractor 240.
테이블 관리부(250)는 수신부(210)로부터 분류 정보(CI)를 수신한다. 테이블 관리부(250)는 분류 정보(CI)에 따라 분류 그룹을 결정하게 된다. 예를 들면, 테이블 관리부(250)는 분류 정보(CI)가 성인 사이트, 범죄 조장 사이트, 게임 사이트, 도박 사이트 등 고위험 범주로 상정된 종류의 사이트를 나타내는 경우, 요청 패킷의 URL(RURL)을 제 1 분류 그룹으로 결정할 수 있다. 예를 들면, 테이블 관리부(250)는 분류 정보(CI)가 교육 사이트, 관공서 사이트, 의료 사이트 등 저위험 범주로 상정된 종류의 사이트를 나타내는 경우, 요청 패킷의 URL(RURL)을 제 2 분류 그룹으로 결정할 수 있다. 분류 정보(CI)에 따라 알 수 있는 각 종류의 사이트가 제 1 분류 그룹에 해당하는지 또는 제 2 분류 그룹에 해당하는지 여부는 보안 장치(140)의 관리자에 의해 미리 설정되고, 변경될 수 있다. 만약 분류 정보(CI)가 어떤 종류의 사이트인지 알 수 없다는 취지의 정보를 포함하는 경우 요청 패킷의 URL(RURL)에 대응하는 분류 그룹을 제 1 분류 그룹으로 결정할 수 있다.The table manager 250 receives the classification information CI from the receiver 210. The table manager 250 determines a classification group according to the classification information CI. For example, the table management unit 250 removes the URL (RURL) of the request packet when the classification information CI indicates a kind of site that is assumed to be a high risk category such as an adult site, a crime promotion site, a game site, or a gambling site. It can be decided by 1 classification group. For example, when the classification information CI indicates a type of site assumed to be a low risk category such as an education site, a public office site, or a medical site, the table manager 250 sets the URL (RURL) of the request packet to the second classification group. Can be determined. Whether each kind of site known according to the classification information CI corresponds to the first classification group or the second classification group may be preset by the administrator of the security device 140 and may be changed. If the classification information CI includes information for not knowing what kind of site, the classification group corresponding to the URL RURL of the request packet may be determined as the first classification group.
그리고, 테이블 관리부(250)는 요청 패킷의 URL(RURL)과 분류 그룹 사이의 매핑 관계를 분류 테이블(260)에 업데이트한다.The table manager 250 updates the classification table 260 with a mapping relationship between the URL (RURL) of the request packet and the classification group.
예를 들면, 테이블 관리부(250)는 도 3과 같은 분류 테이블(260)을 생성할 수 있다. 도 3을 참조하면, 각 URL은 제 1 분류 그룹(Group1) 또는 제 2 분류 그룹(Group2)에 해당한다. 제 1 내지 제 m URL들(URL1~URLm)은 제 1 분류 그룹(Group1)에 대응하며, 제 m+1 내지 제 k URL들(URLm+1~URLk)은 제 2 분류 그룹(Group2)에 대응한다.For example, the table manager 250 may generate a classification table 260 as shown in FIG. 3. Referring to FIG. 3, each URL corresponds to a first classification group Group1 or a second classification group Group2. The first to m th URLs URL1 to URLm correspond to the first classification group Group1, and the m + 1 to k th URLs URLm + 1 to URLk correspond to the second classification group Group2. do.
실시 예로서, 분류 테이블(260)은 저장 매체에 저장될 것이다. 실시 예로서, 보안 장치(140)는 하나의 저장 매체를 포함하고, 그 저장 매체는 분류 테이블(260)을 저장하는 저장 매체와 패킷 버퍼(230)를 포함할 수 있다. 실시 예로서, 분류 테이블(260)을 저장하는 저장 매체와 패킷 버퍼(230)는 각각 별개의 구성들일 수 있다.In an embodiment, the classification table 260 may be stored in a storage medium. In an embodiment, the security device 140 may include one storage medium, and the storage medium may include a storage medium for storing the classification table 260 and a packet buffer 230. In an embodiment, the storage medium storing the classification table 260 and the packet buffer 230 may be separate components.
실시 예로서, 분류 테이블(260)은 보안 장치(140) 외부의 저장 매체에 저장될 수 있다. 예를 들면, 보안 장치(140) 외부의 저장 매체는 네트워크(130)를 통해 보안 장치(140)와 연결되고, 보안 장치(140)는 상기 저장 매체와 통신하면서 상기 분류 테이블(260)을 업데이트할 수 있다. 이러한 경우, 테이블 관리부(250)는 전송부(290)를 통해 네트워크(130)를 거쳐 상기 저장 매체에 접근할 것이다.In an embodiment, the classification table 260 may be stored in a storage medium external to the security device 140. For example, a storage medium external to the security device 140 is connected to the security device 140 via the network 130, and the security device 140 can update the classification table 260 while communicating with the storage medium. Can be. In this case, the table manager 250 may access the storage medium through the network 130 through the transmitter 290.
다시 도 2를 참조하면, 서치 엔진(270)은 분류 테이블(260)에 연결된다. 응답 패킷이 수신되면, 서치 엔진(270)은 제어부(220)의 제어에 응답하여 그것과 동일한 세션의 요청 패킷에 대응하는 분류 그룹을 분류 테이블(260) 내에서 서치하도록 구성된다. 예를 들면, 응답 패킷이 수신될 때 그 응답 패킷과 동일한 세션의 요청 패킷이 패킷 버퍼(230)로부터 URL 추출부(240)에 추출되며, 서치 엔진(270)은 URL 추출부(240)로부터 요청 패킷의 URL(RURL)을 수신하여 요청 패킷의 URL(RURL)에 해당하는 분류 그룹을 서치할 수 있다. 예를 들면, 응답 패킷이 수신될 때 그 응답 패킷과 동일한 세션의 요청 패킷의 URL(RURL)이 만약 도 3의 URL2인 경우, 서치 엔진(270)은 제 1 분류 그룹(Group1)을 출력할 것이다.Referring back to FIG. 2, the search engine 270 is connected to the classification table 260. When the response packet is received, the search engine 270 is configured to search in the classification table 260 the classification group corresponding to the request packet of the same session in response to the control of the controller 220. For example, when a response packet is received, a request packet of the same session as the response packet is extracted from the packet buffer 230 to the URL extractor 240, and the search engine 270 requests from the URL extractor 240. The classification group corresponding to the URL (RURL) of the request packet may be searched by receiving the URL (RURL) of the packet. For example, when the response packet is received and the URL (RURL) of the request packet of the same session as the response packet is URL2 of FIG. 3, the search engine 270 will output the first classification group Group1. .
보안 처리부(280)는 패킷 버퍼(230)와 서치 엔진(270)에 연결된다. 보안 처리부(280)는 서치 엔진(270)으로부터 분류 그룹을 수신하고, 패킷 버퍼(230)에 저장된 응답 패킷에 대해 보안 검사를 수행할지 여부를 결정한다. 만약 제 1 분류 그룹(Group1)을 수신한 경우 보안 처리부(280)는 패킷 버퍼(230)에 저장된 해당 응답 패킷에 대한 보안 검사를 수행할 것이다. 만약 응답 패킷이 악성 패킷으로 판별되는 경우 보안 처리부(280)는 해당 응답 패킷을 드롭(drop)할 것이다. 만약 응답 패킷이 허용 패킷으로 판별되는 경우, 보안 처리부(280)는 응답 패킷을 전송부(290)에 제공함으로써 해당 응답 패킷을 허용할 것이다.The security processor 280 is connected to the packet buffer 230 and the search engine 270. The security processor 280 receives a classification group from the search engine 270 and determines whether to perform a security check on the response packet stored in the packet buffer 230. If the first classification group Group1 is received, the security processing unit 280 may perform a security check on the corresponding response packet stored in the packet buffer 230. If it is determined that the response packet is a malicious packet, the security processing unit 280 will drop the response packet. If the response packet is determined to be an allowed packet, the security processing unit 280 may allow the response packet by providing the response packet to the transmission unit 290.
만약 제 2 분류 그룹(Group2)을 수신한 경우 보안 처리부(280)는 패킷 버퍼(230)에 저장된 해당 응답 패킷에 대한 보안 검사를 생략하고, 응답 패킷을 전송부(290)에 제공할 것이다.If the second classification group Group2 is received, the security processor 280 skips the security check on the response packet stored in the packet buffer 230 and provides the response packet to the transmission unit 290.
전송부(290)는 보안 처리부(280)로부터 제공된 요청 패킷을 네트워크(130, 도 1 참조)를 통해 해당 웹 서버에 전송하고, 보안 처리부(280)로부터 제공된 응답 패킷을 사용자 단말(110, 도 1 참조)에 전송하도록 구성된다.The transmitter 290 transmits the request packet provided from the security processor 280 to the corresponding web server through the network 130 (see FIG. 1), and transmits the response packet provided from the security processor 280 to the user terminal 110 (FIG. 1). Reference).
본 발명의 실시 예에 따르면, 요청 패킷의 URL이 어떤 분류 그룹에 해당하는지 결정하고, 이후 요청 패킷과 동일한 세션의 응답 패킷이 수신될 때 응답 패킷에 대한 보안 검사의 수행 여부를 결정한다. 분류 그룹에 따라 응답 패킷에 대한 보안 검사를 생략함으로써, 웹 서비스의 실시간성이 확보되고 더불어 보안 장치(140)의 동작 속도는 향상될 것이다. 또한 분류 그룹에 따라 응답 패킷에 대한 보안 검사를 수행함으로써, 고위험 범주로 상정된 웹 서버와의 통신에 대해 효율적으로 보안 검사를 수행할 수 있으며, 나아가 알려지지 않은 웹 서버와의 통신에 대해서도 효율적으로 보안 검사를 수행할 수 있다.According to an embodiment of the present invention, it is determined to which classification group the URL of the request packet corresponds, and then whether to perform a security check on the response packet when a response packet of the same session as the request packet is received. By omitting the security check on the response packet according to the classification group, the real-time of the web service is secured and the operation speed of the security device 140 will be improved. In addition, by performing security checks on response packets according to classification groups, it is possible to efficiently perform security checks for communication with web servers that are assumed to be in high risk categories, and more effectively for communication with unknown web servers. The test can be performed.
도 4는 요청 패킷이 발생될 때 보안 장치(140)의 동작 방법을 보여주는 순서도이다.4 is a flowchart illustrating a method of operating the security device 140 when a request packet is generated.
도 4를 참조하면, S110단계에서, 보안 장치(140)에 요청 패킷이 수신된다. 예를 들면, 요청 패킷은 HTTP(Hyper Text Transfer Protocol) 요청일 수 있다.Referring to FIG. 4, in step S110, a request packet is received by the security device 140. For example, the request packet may be a Hyper Text Transfer Protocol (HTTP) request.
S120단계에서, 보안 장치(140)는 요청 패킷을 해당 웹 서버로 전송한다.In operation S120, the security device 140 transmits a request packet to a corresponding web server.
한편, S130단계에서, 보안 장치(140)는 요청 패킷으로부터 URL을 추출한다. 또한, 보안 장치(140)는 추출된 요청 패킷의 URL을 웹 분류 데이터 베이스(150)에 전송하고, 웹 분류 데이터 베이스(150)로부터 요청 패킷의 URL에 대응하는 분류 정보를 수신할 것이다.In operation S130, the security device 140 extracts a URL from the request packet. In addition, the security device 140 transmits the URL of the extracted request packet to the web classification database 150 and receives classification information corresponding to the URL of the request packet from the web classification database 150.
실시 예로서, 추출된 요청 패킷의 URL을 웹 분류 데이터 베이스(150)에 전송하기 전에, 서치 엔진(270)을 통해 요청 패킷의 URL이 분류 테이블(260)에 존재하는지 여부를 서치할 수 있다. 만약 요청 패킷의 URL이 이미 분류 테이블(260)에 존재하는 경우, 제어부(220)는 웹 분류 데이터 베이스(150)에 분류 정보를 요청하지 않을 수 있다. 예를 들면 사용자 단말(110)이 종전에 해당 웹 서버에 이미 접속한 적이 있는 경우 요청 패킷의 URL은 이미 분류 테이블(260)에 존재할 것이다. 만약 요청 패킷의 URL이 분류 테이블(260)에 존재하지 않는 경우, 제어부(220)는 웹 분류 데이터 베이스(150)에 요청 패킷의 URL을 전송하여 분류 정보를 요청할 것이다.In an embodiment, before the URL of the extracted request packet is transmitted to the web classification database 150, the search engine 270 may search whether the URL of the request packet exists in the classification table 260. If the URL of the request packet already exists in the classification table 260, the controller 220 may not request classification information from the web classification database 150. For example, if the user terminal 110 has previously accessed the web server previously, the URL of the request packet will already exist in the classification table 260. If the URL of the request packet does not exist in the classification table 260, the controller 220 may request classification information by transmitting the URL of the request packet to the web classification database 150.
S140단계에서, 보안 장치(140)는 분류 정보에 따라 분류 그룹을 결정한다. S150단계에서, 보안 장치(140)는 결정된 분류 그룹과 요청 패킷의 URL을 매핑하여, 그 매핑 관계를 분류 테이블(260)에 업데이트한다.In operation S140, the security device 140 determines a classification group according to the classification information. In operation S150, the security device 140 maps the determined classification group and the URL of the request packet and updates the mapping relationship in the classification table 260.
도 5는 응답 패킷이 발생될 때 보안 장치(140)의 동작 방법을 보여주는 순서도이다.5 is a flowchart illustrating a method of operating the security device 140 when a response packet is generated.
도 5를 참조하면, S210단계에서, 보안 장치(140)에 응답 패킷이 수신된다. 예를 들면, 응답 패킷은 HTTP 응답일 수 있다. 예를 들면, 이러한 응답 패킷이 사용자 단말(110, 도 1 참조)에 수신되는 경우 사용자 단말에는 특정 웹 사이트의 화면이 디스플레이될 수 있다.Referring to FIG. 5, in step S210, a response packet is received by the security device 140. For example, the response packet may be an HTTP response. For example, when such a response packet is received by the user terminal 110 (refer to FIG. 1), a screen of a specific web site may be displayed on the user terminal.
S230단계에서, 보안 장치(140)는 분류 테이블(260)을 조회하여 응답 패킷과 동일한 세션의 요청 패킷의 URL에 해당하는 분류 그룹을 결정한다. 예를 들면, 보안 장치(140)는 응답 패킷과 동일한 세션의 요청 패킷을 검출하고 검출된 요청 패킷에 따라 분류 테이블(260) 내에서 분류 그룹을 서치할 수 있다.In operation S230, the security device 140 searches the classification table 260 to determine a classification group corresponding to the URL of the request packet of the same session as the response packet. For example, the security device 140 may detect a request packet of the same session as the response packet and search for a classification group in the classification table 260 according to the detected request packet.
S240단계에서, 보안 장치(140)는 분류 그룹이 고위험 범주인지 여부에 따라 S250단계 내지 S260단계를 수행한다. 예를 들면, 분류 그룹이 제 1 분류 그룹(Group1, 도 3 참조)인 경우 S250단계가 수행된다. 분류 그룹이 제 2 분류 그룹(Group2, 도 3 참조)인 경우 S260단계가 수행된다.In operation S240, the security device 140 performs operations S250 to S260 according to whether the classification group is a high risk category. For example, when the classification group is the first classification group (Group1, see FIG. 3), step S250 is performed. If the classification group is the second classification group Group2 (see FIG. 3), step S260 is performed.
S250단계에서, 보안 장치(140)는 보안 검사를 수행한다. 실시 예로서, 보안 장치(140)는 UTM(Unified Threat Management)은 IPS(Intrusion Prevention System) 검사, 바이러스 검사, 멀웨어 검사 등 다양한 보안 검사들을 수행할 수 있다.In operation S250, the security device 140 performs a security check. In an embodiment, the security device 140 may perform a variety of security checks, such as Unified Threat Management (UTM) scan, intrusion prevention system (IPS) scan, virus scan, and malware scan.
S260단계에서, 보안 장치(140)는 보안 검사를 생략하고 해당 응답 패킷을 사용자 단말(110)에 전송한다.In operation S260, the security device 140 skips the security check and transmits the response packet to the user terminal 110.
다른 실시 예로서, 보안 장치(140)는 보안 검사를 생략하지 않지만 S250단계보다 간소화된 보안 검사만을 수행할 수 있다. 예를 들면, UTM(Unified Threat Management)은 IPS(Intrusion Prevention System) 검사, 바이러스 검사, 멀웨어 검사 등 다양한 보안 검사들 중 일부의 보안 검사들만 수행할 수 있다.As another embodiment, the security device 140 may not omit the security check but may perform only the security check simplified than the operation S250. For example, Unified Threat Management (UTM) can only perform some of the security checks, including intrusion prevention system (IPS) scans, virus scans, and malware scans.
S270단계에서, 보안 장치(140)는 응답 패킷이 악성 패킷인지 여부에 따라 S280단계 또는 S290단계를 수행한다.In operation S270, the security device 140 performs operation S280 or S290 according to whether the response packet is a malicious packet.
S280단계에서, 보안 장치(140)는 응답 패킷을 차단한다. S290단계에서, 보안 장치(140)는 응답 패킷을 허용하여 해당 응답 패킷을 사용자 단말(110)에 전송한다.In operation S280, the security device 140 blocks the response packet. In operation S290, the security device 140 accepts the response packet and transmits the response packet to the user terminal 110.
도 6은 도 4 및 도 5를 참조하여 설명된 보안 장치(140)의 동작 방법을 개념적으로 보여주는 도면이다.6 is a diagram conceptually illustrating a method of operating the security device 140 described with reference to FIGS. 4 and 5.
도 6을 참조하면, 사용자 단말(110)이 고 위험 범주의 웹 서버에 요청 패킷을 전송한다고 가정한다. 사용자 단말(110)이 요청 패킷을 전송하면, 보안 장치(140)는 요청 패킷을 웹 서버에 전송하는 한편, 그것에 따른 응답 패킷이 생성 및 전달되는 동안 해당 요청 패킷의 URL을 추출하고 웹 분류 데이터 베이스(150)를 조회하고 해당 분류 그룹을 결정한다(S510).Referring to FIG. 6, it is assumed that the user terminal 110 transmits a request packet to a high risk web server. When the user terminal 110 transmits the request packet, the security device 140 transmits the request packet to the web server, while extracting the URL of the request packet while generating and forwarding the response packet according to the web classification database. Inquiry 150, and determines the classification group (S510).
보안 장치(140)는 결정된 분류 그룹으로부터, 요청 패킷의 목적지가 되는 웹 서버가 고 위험 범주의 웹 서버임을 인지한다(S520).The security device 140 recognizes from the determined classification group that the web server that is the destination of the request packet is a high risk category web server (S520).
그리고 보안 장치(140)는 해당 응답 패킷이 수신되면, 수신된 응답 패킷에 대한 보안 검사를 수행한다(S530).When the corresponding response packet is received, the security device 140 performs a security check on the received response packet (S530).
만약 사용자 단말(110)이 저 위험 범주의 웹 서버에 요청 패킷을 전송한다고 가정한다. 사용자 단말(110)이 요청 패킷을 전송하면, 보안 장치(140)는 요청 패킷을 웹 서버에 전송하는 한편, 그것에 따른 응답 패킷이 생성 및 전달되는 동안 해당 요청 패킷의 URL을 추출하고 웹 분류 데이터 베이스(150)를 조회하고 해당 분류 그룹을 결정한다(S610).It is assumed that the user terminal 110 transmits a request packet to a web server of a low risk category. When the user terminal 110 transmits the request packet, the security device 140 transmits the request packet to the web server, while extracting the URL of the request packet while generating and forwarding the response packet according to the web classification database. In step 150, the searcher determines the classification group (S610).
보안 장치(140)는 결정된 분류 그룹으로부터, 요청 패킷이 전송된 웹 서버가 저 위험 범주의 웹 서버임을 인지한다(S620).The security device 140 recognizes from the determined classification group that the web server to which the request packet is transmitted is a web server of a low risk category (S620).
이어서 응답 패킷이 전송되면, 보안 장치(140)는 해당 응답 패킷에 대한 보안 검사를 생략한다.Subsequently, when the response packet is transmitted, the security device 140 skips the security check on the response packet.
본 발명의 실시 예에 따르면, 요청 패킷의 URL이 어떤 분류 그룹에 해당하는지 결정하고, 이후 요청 패킷과 동일한 세션의 응답 패킷이 수신될 때 응답 패킷에 대한 보안 검사의 수행 여부를 결정한다. 분류 그룹에 따라 응답 패킷에 대한 보안 검사를 생략함으로써, 웹 서비스의 실시간성이 확보되고 더불어 보안 장치(140)의 동작 속도는 향상될 것이다. 또한 분류 그룹에 따라 응답 패킷에 대한 보안 검사를 수행함으로써, 고위험 범주로 상정된 웹 서버와의 통신에 대해 효율적으로 보안 검사를 수행할 수 있으며, 나아가 알려지지 않은 웹 서버와의 통신에 대해서도 효율적으로 보안 검사를 수행할 수 있다.According to an embodiment of the present invention, it is determined to which classification group the URL of the request packet corresponds, and then whether to perform a security check on the response packet when a response packet of the same session as the request packet is received. By omitting the security check on the response packet according to the classification group, the real-time of the web service is secured and the operation speed of the security device 140 will be improved. In addition, by performing security checks on response packets according to classification groups, it is possible to efficiently perform security checks for communication with web servers that are assumed to be in high risk categories, and more effectively for communication with unknown web servers. The test can be performed.
본 발명의 상세한 설명에서는 구체적인 실시 예에 관하여 설명하였으나, 본 발명의 범위와 기술적 사상에서 벗어나지 않는 한도 내에서 다양한 변경이 가능하다. 그러므로 본 발명의 범위는 상술한 실시 예에 국한되어 정해져서는 안되며 후술하는 특허청구범위뿐만 아니라 이 발명의 특허청구범위와 균등한 것들에 의해 정해져야 한다.In the detailed description of the present invention, specific embodiments have been described, but various changes may be made without departing from the scope and spirit of the present invention. Therefore, the scope of the present invention should not be limited to the above-described embodiments, but should be defined by the equivalents of the claims of the present invention as well as the following claims.

Claims (14)

  1. 네트워크를 통해 웹 서버와 통신하는 사용자 단말과 연결된 보안 장치에 있어서:In a security device connected to a user terminal communicating with a web server via a network:
    상기 사용자 단말로부터 상기 웹 서버로 전송되는 요청 패킷, 그리고 상기 웹 서버로부터 상기 사용자 단말로 전송되는 응답 패킷을 수신하는 수신부;A receiving unit for receiving a request packet transmitted from the user terminal to the web server and a response packet transmitted from the web server to the user terminal;
    웹 분류 데이터 베이스로부터 상기 요청 패킷의 URL에 대한 분류 정보를 수신함으로써 상기 요청 패킷의 URL에 대응하는 분류 그룹을 결정하고, 상기 요청 패킷의 URL과 상기 분류 그룹 사이의 매핑 관계를 분류 테이블에 업데이트하도록 구성되는 테이블 관리부; 및Receiving classification information on the URL of the request packet from a web classification database to determine the classification group corresponding to the URL of the request packet, and to update the mapping relationship between the URL of the request packet and the classification group in a classification table. A table management unit configured; And
    상기 요청 패킷과 동일한 세션의 상기 응답 패킷이 수신될 때, 상기 분류 테이블 내에서 상기 분류 그룹을 서치하도록 구성되는 서치 엔진을 포함하되,A search engine configured to search for the classification group in the classification table when the response packet of the same session as the request packet is received,
    상기 분류 그룹에 따라 상기 응답 패킷에 대한 보안 검사의 수행 여부가 결정되는 보안 장치.And determine whether to perform a security check on the response packet according to the classification group.
  2. 제 1 항에 있어서,The method of claim 1,
    상기 요청 패킷이 수신될 때, 상기 웹 분류 데이터 베이스에 상기 요청 패킷의 URL을 전송하여 상기 분류 정보를 요청하는 제어부를 더 포함하는 보안 장치.And a controller for requesting the classification information by transmitting the URL of the request packet to the web classification database when the request packet is received.
  3. 제 2 항에 있어서,The method of claim 2,
    상기 수신부는 상기 웹 분류 데이터 베이스로부터 상기 네트워크를 통해 상기 분류 정보를 수신하고 수신된 상기 분류 정보를 상기 테이블 관리부에 제공하는 보안 장치.And the receiving unit receives the classification information from the web classification database through the network and provides the received classification information to the table manager.
  4. 제 3 항에 있어서,The method of claim 3, wherein
    상기 테이블 관리부는 상기 분류 정보에 따라 상기 요청 패킷의 URL을 제 1 분류 그룹에 매핑시키거나 상기 요청 패킷의 URL을 제 2 분류 그룹에 매핑시키는 보안 장치.And the table manager maps a URL of the request packet to a first classification group or a URL of the request packet to a second classification group according to the classification information.
  5. 제 1 항에 있어서,The method of claim 1,
    상기 수신부에 연결되고, 상기 수신부를 통해 전달되는 상기 요청 패킷 및 상기 응답 패킷을 임시 저장하도록 구성된 패킷 버퍼를 더 포함하는 보안 장치.And a packet buffer coupled to the receiver and configured to temporarily store the request packet and the response packet passed through the receiver.
  6. 제 5 항에 있어서,The method of claim 5,
    상기 패킷 버퍼에 저장된 상기 요청 패킷의 URL을 추출하도록 구성된 URL 추출부를 더 포함하는 보안 장치.And a URL extractor configured to extract a URL of the request packet stored in the packet buffer.
  7. 제 6 항에 있어서,The method of claim 6,
    상기 URL 추출부는 추출된 상기 요청 패킷의 URL을 상기 테이블 관리부에 제공하는 보안 장치.The URL extractor provides the extracted URL of the request packet to the table manager.
  8. 제 1 항에 있어서,The method of claim 1,
    상기 서치 엔진은 상기 응답 패킷이 수신될 때 상기 응답 패킷과 동일한 세션인 상기 요청 패킷의 URL에 따라 상기 분류 테이블 내에서 상기 분류 그룹을 서치하도록 구성되는 보안 장치.The search engine is configured to search for the classification group in the classification table according to the URL of the request packet, which is the same session as the response packet when the response packet is received.
  9. 제 1 항에 있어서,The method of claim 1,
    상기 서치 엔진이 서치한 상기 분류 그룹에 따라 상기 응답 패킷에 대한 보안 검사를 선택적으로 수행하도록 구성되는 보안 처리부; 및A security processor configured to selectively perform a security check on the response packet according to the classification group searched by the search engine; And
    상기 보안 검사의 결과에 따라 상기 응답 패킷을 외부로 전송하는 전송부를 더 포함하는 보안 장치.And a transmitter configured to transmit the response packet to the outside according to a result of the security check.
  10. 네트워크를 통해 웹 서버와 통신하는 사용자 단말과 연결된 보안 장치의 동작 방법에 있어서:In the method of operation of a security device connected to a user terminal communicating with a web server via a network:
    상기 사용자 단말로부터 상기 웹 서버로 전송되는 요청 패킷을 수신하는 단계;Receiving a request packet transmitted from the user terminal to the web server;
    상기 네트워크를 통해 웹 분류 데이터 베이스로부터 상기 요청 패킷의 URL에 대한 분류 정보를 수신하는 단계;Receiving classification information for the URL of the request packet from a web classification database via the network;
    상기 분류 정보에 따라 상기 요청 패킷의 URL이 속하는 분류 그룹을 결정하고, 상기 요청 패킷의 URL과 상기 분류 그룹 사이의 매핑 관계를 분류 테이블에 업데이트하는 단계;Determining a classification group to which the URL of the request packet belongs according to the classification information, and updating a mapping relationship between the URL of the request packet and the classification group in a classification table;
    상기 요청 패킷에 따라 상기 웹 서버로부터 상기 사용자 단말로 전송되는 상기 요청 패킷과 동일한 세션의 응답 패킷을 수신하는 단계;Receiving a response packet of the same session as the request packet transmitted from the web server to the user terminal according to the request packet;
    상기 분류 테이블 내에서 상기 분류 그룹을 서치하는 단계; 및Searching for the classification group in the classification table; And
    상기 분류 그룹에 따라 상기 응답 패킷에 대한 보안 검사의 수행 여부를 결정하는 단계를 포함하는 동작 방법.Determining whether to perform a security check on the response packet according to the classification group.
  11. 제 10 항에 있어서,The method of claim 10,
    상기 요청 패킷이 수신되면 상기 요청 패킷으로부터 URL을 추출하는 단계를 더 포함하는 동작 방법.Extracting a URL from the request packet when the request packet is received.
  12. 제 10 항에 있어서,The method of claim 10,
    추출된 상기 요청 패킷의 URL을 상기 웹 분류 데이터 베이스에 전송하여 상기 분류 정보를 요청하는 단계를 더 포함하는 동작 방법.Requesting the classification information by transmitting the extracted URL of the request packet to the web classification database.
  13. 제 9 항에 있어서,The method of claim 9,
    상기 서치하는 단계는 상기 응답 패킷이 수신되면 상기 응답 패킷과 동일한 세션의 상기 요청 패킷을 검출하고 검출된 상기 요청 패킷에 따라 상기 분류 테이블 내에서 상기 분류 그룹을 서치하는 단계를 포함하는 동작 방법.And wherein the searching comprises detecting the request packet of the same session as the response packet when the response packet is received and searching the classification group in the classification table according to the detected request packet.
  14. 제 9 항에 있어서,The method of claim 9,
    상기 보안 검사의 수행 여부를 결정하는 단계는 상기 분류 그룹이 제 1 분류 그룹일 때 상기 보안 검사를 수행하고, 상기 분류 그룹이 제 2 분류 그룹일 때 상기 보안 검사를 생략하는 단계를 포함하는 동작 방법.The determining of whether to perform the security check includes performing the security check when the classification group is a first classification group and omitting the security check when the classification group is a second classification group. .
PCT/KR2014/009797 2013-12-09 2014-10-17 Security apparatus for selectively performing security check and operating method therefor WO2015088133A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020130152006A KR20150066686A (en) 2013-12-09 2013-12-09 Security device selectively performing security test and operating method thereof
KR10-2013-0152006 2013-12-09

Publications (1)

Publication Number Publication Date
WO2015088133A1 true WO2015088133A1 (en) 2015-06-18

Family

ID=53371405

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2014/009797 WO2015088133A1 (en) 2013-12-09 2014-10-17 Security apparatus for selectively performing security check and operating method therefor

Country Status (2)

Country Link
KR (1) KR20150066686A (en)
WO (1) WO2015088133A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110380932B (en) * 2019-07-17 2021-11-12 中国工商银行股份有限公司 Test method and device for safety equipment and test system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020074344A (en) * 2001-03-20 2002-09-30 (주) 세이프아이 Method and system for restricting access to specific internet sites and LAN card for the same
KR20050107651A (en) * 2004-05-10 2005-11-15 정보통신연구진흥원 System and method for preventing from network virus, and computer-readable storage medium recorded program thereof
KR20060058746A (en) * 2004-11-25 2006-05-30 한국전자통신연구원 Method for selective detecting of harmful information in internet-specific application programs and apparatus thereof
KR101275708B1 (en) * 2011-12-20 2013-06-17 (주)소만사 Network-based data loss prevention system using information of ssl/tls handshaking packet and https access selection block method thereof

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020074344A (en) * 2001-03-20 2002-09-30 (주) 세이프아이 Method and system for restricting access to specific internet sites and LAN card for the same
KR20050107651A (en) * 2004-05-10 2005-11-15 정보통신연구진흥원 System and method for preventing from network virus, and computer-readable storage medium recorded program thereof
KR20060058746A (en) * 2004-11-25 2006-05-30 한국전자통신연구원 Method for selective detecting of harmful information in internet-specific application programs and apparatus thereof
KR101275708B1 (en) * 2011-12-20 2013-06-17 (주)소만사 Network-based data loss prevention system using information of ssl/tls handshaking packet and https access selection block method thereof

Also Published As

Publication number Publication date
KR20150066686A (en) 2015-06-17

Similar Documents

Publication Publication Date Title
WO2013002538A2 (en) Method and apparatus for preventing distributed denial of service attack
WO2010064799A2 (en) Countering against distributed denial-of-service (ddos) attack using content delivery network
WO2011010823A2 (en) Method for detecting and preventing a ddos attack using cloud computing, and server
WO2015152436A1 (en) Sdn-based service chaining system
WO2012077944A9 (en) Shared terminal identification system using a network packet and processing method thereof
WO2016064030A1 (en) Global server load balancer apparatus and method for controlling time-to-live of dynamic cache therein
WO2016028067A2 (en) System and method for detecting malicious code using visualization
WO2015102446A1 (en) Method for detecting bypass connection via anonymous network using changes in round trip times
WO2013012278A2 (en) Method and apparatus for managing device context using an ip address in a communication system
WO2014038737A1 (en) Network traffic management system using monitoring policy and filtering policy, and method thereof
WO2015199271A1 (en) Method and system for sharing files over p2p
EP2583423A2 (en) Apparatus and method for configuring personal network using pn routing table
WO2016013718A1 (en) System and method for providing web-based advertisement by using wi-fi network
WO2017003015A1 (en) Internet advertisement provision device and method
WO2011071265A2 (en) Method and apparatus for using service of plurality of internet service providers
JP2018026747A (en) Aggression detection device, aggression detection system and aggression detection method
EP3241337A1 (en) Method and apparatus for allocating server in wireless communication system
WO2016108415A1 (en) Network security equipment and method for detecting ddos attack by same
WO2011103835A2 (en) User access control method, apparatus and system
WO2015088133A1 (en) Security apparatus for selectively performing security check and operating method therefor
WO2015068929A1 (en) Operation method of node considering packet characteristic in content-centered network and node
CN113992368A (en) Honeypot cluster detection method and system based on directional drainage
WO2014175583A1 (en) Method and apparatus for inspecting malicous message
WO2011065692A2 (en) System for measuring the response time of a server using dummy request tags and method for same
WO2017052210A1 (en) Method and apparatus for providing digital product using user account synchronization

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 14870610

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 14870610

Country of ref document: EP

Kind code of ref document: A1