WO2015167151A1 - Ip 주소 및 url를 이용한 인터넷 접속 차단 방법 - Google Patents

Abstract

실시예에 따른 인터넷 접속을 차단하는 방법은, 네트워크 주소 및 상기 네트워크 주소에 대응하는 카테고리를 차단 리스트로 유지하는 단계 - 상기 네트워크 주소는 도메인 주소 또는 IP 주소를 포함함 -; 온 고잉 패킷(on-going packet)으로부터 사용자 단말이 통신하려고 하는 상대방의 네트워크 주소를 식별하는 단계; 상기 차단 리스트를 이용하여 상기 상대방의 네트워크 주소에 대응하는 카테고리가 차단 대상 카테고리인지 판단하는 단계; 및 상기 상대방의 네트워크 주소에 대응하는 카테고리가 상기 차단 대상 카테고리인 경우, 상기 온 고잉 패킷을 차단하는 단계를 포함할 수 있다.

Description

IP 주소 및 URL를 이용한 인터넷 접속 차단 방법

아래의 설명은 인터넷 접속을 차단하는 기술에 관한 것으로, IP주소와 URL 관리를 통하여 인터넷 접속을 차단하는 방법에 관한 것이다.

언제 어디서나 인터넷에 접속하여 건전하고 발전적인 정보를 교환할 수 있는 정보통신 환경의 이면에는 비도덕적이고 불건전한 정보를 제공하여, 정보이용자들로 하여금 불건전한 생각과 시간 낭비를 유발하는 유해 사이트들도 매우 많이 존재하고 있다. 이에 따라 유해사이트의 접근을 제한하는 기술들이 개발되고 있다.

한국공개특허 제2012-0112864호는 랜에 연결된 IP기반 인터넷 접속단말기에서 유해사이트로 접근하는 패킷을 네트워크 프로세서가 내장된 스위치 디바이스를 통해 분류, 필터링하여 유해사이트 접근을 원천적으로 차단하는 방법을 제안하고 있지만, IP 주소에 대응하는 도메인 주소가 복수인 경우 우회적으로 접속되는 인터넷 사이트를 차단하는 방법은 제안하고 있지 못하다.

일 실시예에 따른 인터넷 접속 차단 장치는 IP주소와 URL 관리를 통하여 우회 접속에 대한 인터넷 접속을 차단하는 방법을 제공할 수 있다.

일 실시예에 따른 인터넷 접속을 차단하는 방법은, 네트워크 주소 및 상기 네트워크 주소에 대응하는 카테고리를 차단 리스트로 유지하는 단계 - 상기 네트워크 주소는 도메인 주소 또는 IP 주소를 포함함 -; 온 고잉 패킷(on-going packet)으로부터 사용자 단말이 통신하려고 하는 상대방의 네트워크 주소를 식별하는 단계; 상기 차단 리스트를 이용하여 상기 상대방의 네트워크 주소에 대응하는 카테고리가 차단 대상 카테고리인지 판단하는 단계; 및 상기 상대방의 네트워크 주소에 대응하는 카테고리가 상기 차단 대상 카테고리인 경우, 상기 온 고잉 패킷을 차단하는 단계를 포함할 수 있다.

일측에 따르면, 인터넷 접속을 차단하는 방법은, 도메인 주소 및 상기 도메인 주소에 대응하는 카테고리를 제1 카테고리 DB로 유지하는 단계; DNS 응답 패킷으로부터 제1 도메인 주소와 상기 제1 도메인 주소에 대응하는 제1 IP 주소의 쌍을 판독하는 단계; 상기 제1 카테고리 DB를 이용하여 DNS 응답 패킷으로부터 판독된 상기 제1 IP 주소에 대응하는 제1 카테고리를 식별하는 단계; 및 상기 제1 도메인 주소, 상기 제1 IP 주소, 및 상기 제1 카테고리를 제2 카테고리 DB에 저장하는 단계를 더 포함할 수 있다.

또 다른 일측에 따르면, 인터넷 접속을 차단하는 방법은, 상기 제1 IP 주소 및 상기 제1 IP 주소에 대응하는 상기 제1 카테고리를 상기 차단 리스트에 추가하는 단계를 더 포함할 수 있다.

또 다른 일측에 따르면, 인터넷 접속을 차단하는 방법은, 상기 제2 카테고리 DB에서 하나의 IP 주소에 대응하는 도메인 주소가 복수인 경우, 상기 하나의 IP 주소는 상기 차단 리스트에 추가하지 않을 수 있다.

또 다른 일측에 따르면, 인터넷 접속을 차단하는 방법은, 상기 제2 카테고리 DB에서 하나의 IP 주소에 대응하는 도메인 주소가 복수인 경우, 상기 복수의 도메인 주소에 대응하는 카테고리가 동일한지 판단하는 단계; 상기 복수의 도메인 주소에 대응하는 카테고리가 동일한 경우, 상기 하나의 IP 주소 및 상기 하나의 IP 주소에 대응하는 카테고리를 상기 차단 리스트에 추가하는 단계; 및 상기 복수의 도메인 주소에 대응하는 카테고리가 동일하지 않는 경우, 상기 하나의 IP 주소 및 상기 하나의 IP 주소에 대응하는 카테고리를 상기 차단 리스트에 추가하지 않는 단계를 포함할 수 있다.

일 실시예에 따른 인터넷 접속을 차단하는 방법은, DNS 응답 패킷을 이용하여 도메인 주소에 대응하는 IP 주소를 획득하여 차단 리스트를 갱신하는 단계 - 상기 차단 리스트는 도메인 주소 또는 IP 주소를 저장함 -; 온 고잉 패킷에서 상대방의 네트워크 주소로 도메인 주소를 사용하지 않고 IP 주소를 사용하는 경우, 상기 차단 리스트를 이용하여, 상기 상대방의 IP 주소에 대한 차단 여부를 판단하는 단계; 및 상기 판단에 따라 상기 온 고잉 패킷을 차단하는 단계를 포함할 수 있다.

일측에 따르면, 인터넷 접속을 차단하는 방법은, 상기 상대방의 IP 주소에 대응하는 도메인 주소가 복수인 경우, 상기 온 고잉 패킷을 차단할 때 상기 IP 주소에 기초하여 상기 온 고잉 패킷을 차단하지 않고, 상기 도메인 주소에 기초하여 상기 온 고잉 패킷을 차단할 수 있다.

또 다른 일측에 따르면, 인터넷 접속을 차단하는 방법은, 상기 상대방의 IP 주소에 대응하는 도메인 주소가 복수이고, 상기 복수의 도메인 주소의 각각에 대응하는 카테고리가 동일한 경우에는, 상기 IP 주소에 기초한 상기 온 고잉 패킷의 차단을 수행하고, 상기 상대방의 IP 주소에 대응하는 도메인 주소가 복수이고, 상기 복수의 도메인 주소의 각각에 대응하는 카테고리가 동일하지 않은 경우에는, 상기 IP 주소에 기초한 상기 온 고잉 패킷의 차단을 수행하지 않을 수 있다.

일 실시예에 따른 인터넷 접속을 차단하는 장치는, 온 고잉 패킷을 미러링하는 미러링부; 네트워크 주소 및 상기 네트워크 주소에 대응하는 카테고리를 유지하는 차단 리스트 - 상기 네트워크 주소는 도메인 주소 또는 IP 주소를 포함함 -; 및 상기 온 고잉 패킷(on-going packet)으로부터 사용자 단말이 통신하려고 하는 상대방의 네트워크 주소를 식별하고, 상기 차단 리스트를 이용하여 상기 상대방의 네트워크 주소에 대응하는 카테고리가 차단 대상 카테고리인 경우, 상기 온 고잉 패킷을 차단하는 차단부를 포함할 수 있다.

일 측에 따르면 인터넷 접속으르 차단하는 장치는 도메인 주소, 상기 도메인 주소에 대응하는 IP 주소, 및 상기 도메인 주소에 대응하는 카테고리를 저장하는 카테고리 DB; 및 상기 온 고잉 패킷이 DNS 응답 패킷인 경우, 상기 DNS 응답 패킷으로부터 도메인 주소 및 상기 도메인 주소에 대응하는 IP 주소를 식별하여 상기 카테고리 DB에 저장하고, 상기 식별된 IP 주소 및 상기 식별된 IP 주소의 카테고리를 상기 차단 리스트에 저장하는 갱신부를 더 포함할 수 있다.

또 다른 일측에 따르면, 상기 차단부는, 상기 온 고잉 패킷에서 상대방의 네트워크 주소로 도메인 주소를 사용하지 않고 IP 주소를 사용하는 경우, 상기 차단 리스트의 IP 주소를 이용하여, 상기 상대방의 IP 주소에 대한 차단 여부를 판단할 수 있다.

또 다른 일측에 따르면, 상기 차단부는, 상기 상대방의 IP 주소에 대응하는 도메인 주소가 복수인 경우, 상기 온 고잉 패킷을 차단할 때 상기 IP 주소에 기초하여 상기 온 고잉 패킷을 차단하지 않고, 상기 도메인 주소에 기초하여 상기 온 고잉 패킷을 차단할 수 있다.

일 실시예에 따른 인터넷 접속 차단 장치는 IP주소 및 도메인 주소에 대하여 관리함으로써 우회 접속에 대한 인터넷 사이트 접속을 차단할 수 있다.

도 1은 일 실시예에 따른 인터넷 접속 차단 장치의 구성을 나타낸 도면이다.

도 2는 일 실시예에 따른 보안 서버의 구성을 나타낸 블록도이다.

도 3은 일 실시예에 따른 차단 리스트를 나타낸 도면이다.

도 4는 일 실시예에 따른 제1 카테고리 DB를 나타낸 도면이다.

도 5는 일 실시예에 따른 제2 카테고리 DB를 나타낸 도면이다.

도 6은 일 실시예에 따른 인터넷 접속 차단 장치의 인터넷 접속 차단 방법을 나타낸 흐름도이다.

도 7은 일 실시예에 따른 인터넷 접속 차단 장치의 카테고리 DB를 저장하는 방법을 나타낸 흐름도이다.

이하, 실시예를 첨부한 도면을 참조하여 상세히 설명한다.

도 1은 일 실시예에 따른 인터넷 접속 차단 장치의 구성을 나타낸 도면이다.

네트워크 환경에서 클라이언트(140)로부터 인터넷(110)에 접속할 때, 클라이언트(140)는 스위치(130) 또는 라우터에 연결될 수 있다. 클라이언트(140)는 스위치 또는 라우터에 연결됨으로써 네트워크 연결 및 데이터 전송이 가능할 수 있다. 이때, 클라이언트(140)는 적어도 하나 이상의 클라이언트가 인터넷에 접속될 수 있다. 예를 들면, 클라이언트는 PC, 스마트 폰과 같은 단말이 될 수 있다.

클라이언트(140)는 인터넷 사이트에 접속하기 위하여 접속하고자 하는 도메인 주소를 입력할 경우, DNS 서버에 도메인 주소에 대한 IP 주소를 요청할 수 있다. DNS 서버는 도메인 주소에 대한 IP 주소를 클라이언트에게 전달할 수 있다. 예를 들면, 클라이언트(140)가 www.abc.com에 접속하기 위하여 www.abc.com이라는 도메인 주소를 입력할 경우, www.abc.com에 대한 IP 주소를 요청할 수 있다. 이때, DNS 서버로부터 www.abc.com에 대응되는 IP 주소인 111.111.111.111이 추출될 수 있고, 도메인 주소 및 도메인 주소에 대응하는 IP 주소를 클라이언트에게 전달할 수 있다.

차단 서버(120)는 도메인 주소 및 도메인 주소에 대응하는 카테고리를 제1 카테고리DB 로 유지할 수 있다. DNS 응답 패킷으로부터 제1 도메인 주소와 제1 도메인 주소에 대응하는 제1 IP 주소의 쌍을 판독할 수 있고, 제1 카테고리 DB를 이용하여 DNS 응답 패킷으로부터 판독된 제1 IP 주소에 대응하는 제1 카테고리를 식별할 수 있다. 차단 서버(120)는 제1 도메인 주소, 제1 IP 주소 및 제1 카테고리를 제2 카테고리 DB에 저장할 수 있다. 예를 들면, 차단 서버(120)는 www.abc.com, 111.111.111.111, 쇼핑을 제2 카테고리 DB에 저장할 수 있다.

인터넷 접속 차단 장치는 접속에 대한 도메인 주소에 대하여 IP 주소를 별도 관리함으로써 인터넷 접속을 차단할 수 있다. 이때, 차단 서버(120)는 인터넷 접속에 대한 도메인 주소에 대하여 IP 주소를 별도로 관리하기 위하여 차단 리스트를 유지할 수 있다. 차단 리스트는 도메인 주소 또는 IP 주소를 포함할 수 있고, 도메인 주소 또는 IP 주소에 따른 카테고리를 저장할 수 있다. 도 3을 참고하면, 예를 들면, 차단 리스트는 도메인 주소가 www.abc.com 이라면 www.abc.com에 대응하는 카테고리인 쇼핑을 저장할 수 있다. 또한, IP 주소가 123.2.5.7이라면, 123.2.5.7에 대응하는 카테고리인 게임을 저장할 수 있다.

이때, 카테고리 DB에서 하나의 IP 주소에 대응하는 도메인 주소가 복수인 경우, 하나의 IP 주소는 차단 리스트에 추가하지 않을 수 있다. 카테고리 DB에서 하나의 IP 주소에 대응하는 도메인 주소가 복수인 경우, 복수의 도메인 주소에 대응하는 카테고리가 동일한지 판단할 수 있다. 복수의 도메인 주소에 대응하는 카테고리가 동일한 경우, 하나의 IP 주소 및 하나의 IP 주소에 대응하는 카테고리를 차단 리스트에 추가할 수 있고, 복수의 도메인 주소에 대응하는 카테고리가 동일하지 않는 경우, 하나의 IP 주소 및 하나의 IP 주소에 대응하는 카테고리를 차단 리스트에 추가하지 않을 수 있다.

차단 서버(120)는 온 고잉 패킷(on-going packet)으로부터 사용자 단말이 통신하려고 하는 상대방의 네트워크 주소를 식별할 수 있다. 예를 들면, 보안 서버(120)는 온 고잉 패킷을 미러링함으로써 패킷을 조사할 수 있다. 미러링된 패킷의 IP 주소 또는 HTTP 패킷의 목적지 URL 등으로부터 사용자 단말이 통신하려고 하는 상대방의 네트워크 주소를 식별할 수 있다.

차단 서버(120)는 차단 리스트를 이용하여 상대방의 네트워크 주소에 대응하는 카테고리가 차단 대상 카테고리인지 판단할 수 있다. 보안 서버(120)는 상대방의 네트워크 주소에 대응하는 카테고리가 차단 서버 대상 카테고리인 경우, 온 고잉 패킷을 차단할 수 있다. 이때, 상대방의 IP 주소에 대응하는 도메인 주소가 복수인 경우, 온 고잉 패킷을 차단할 때 IP 주소에 기초하여 온 고잉 패킷을 차단하지 않고, 도메인 주소에 기초하여 온 고잉 패킷을 차단할 수 있다. 상대방의 IP 주소에 대응하는 도메인 주소가 복수이고, 복수의 도메인 주소의 각각에 대응하는 카테고리가 동일한 경우에는 IP 주소에 기초한 온 고잉 패킷의 차단을 수행하고, 상대방의 IP 주소에 대응하는 도메인 주소가 복수이고, 복수의 도메인 주소의 각각에 대응하는 카테고리가 동일하지 않은 경우에는, IP 주소에 기초한 온 고잉 패킷의 차단을 수행하지 않을 수 있다.

예를 들면, 관리자가 관리자 PC를 통하여 정책을 입력할 수 있고, 정책 입력이 가능한 해당 PC를 설정하여 해당 PC를 통해서 정책을 입력할 수 있다. 해당 PC에 PC 용 UI를 통해서 정책을 입력할 수 있다. 관리자는 쇼핑 사이트를 차단하는 정책을 입력할 수 있고, 차단 서버는 차단 서버의 차단 리스트를 통해서 쇼핑 카테고리에 있는 도메인 주소 및 IP 주소를 식별할 수 있으며, 식별된 도메인 주소 및 IP 주소가 접속된 경우, 해당 패킷을 차단할 수 있다. 예를 들면, 차단하는 방법은 관리자가 스위치에 명령을 입력함으로써 게임 카테고리에 해당하는 패킷을 차단할 수 있도록 할 수 있고, 가짜 패킷을 생성하여 가짜 패킷을 전송함으로써 해당 패킷을 차단할 수 있다. 예를 들면, 사용자가 www.abc.com에 접속한다면, www.abc.com의 카테고리를 쇼핑이므로 차단되어야 한다. 차단 서버는 사용자가 www.abc.com에 접속하는 것으로 판단되면, www.abc.com에 접속하지 못하도록 차단할 수 있다.

일 실시예에 따른 인터넷 접속 차단 장치는 IP주소 및 도메인 주소에 대하여 관리함으로써 우회 접속에 대한 인터넷 사이트 접속을 차단할 수 있다.

도 2는 일 실시예에 따른 보안 서버의 구성을 나타낸 블록도이다.

보안 서버(200)는 미러링부(210), 차단 리스트(220), 차단부(230), 카테고리 DB(240) 및 갱신부(250)를 포함할 수 있다.

미러링부(210)는 온 고잉 패킷을 미러링할 수 있다. 예를 들면, 온 고잉 패킷을 복사함으로써 사용자 단말이 통신하려고 하는 상대방의 네트워크 주소를 식별할 수 있다. 이때, 네트워크 주소는 도메인 주소 또는 IP 주소를 포함할 수 있다.

차단 리스트(220)는 네트워크 주소 및 네트워크 주소에 대응하는 카테고리를 유지할 수 있다. 이때, 차단 리스트는 도메인 주소 또는 IP 주소에 대응하는 카테고리를 포함할 수 있다. 차단 리스트는 예를 들면, 도 3에 도시된 바와 같이 도메인 주소 및 도메인 주소에 대응하는 카테고리를 포함할 수 있고, IP 주소 및 IP 주소에 대응하는 카테고리를 포함할 수 있다.

차단부(230)는 온 고잉 패킷으로부터 사용자 단말이 통신하려고 하는 상대방의 네트워크 주소를 식별하고, 차단 리스트를 이용하여 상대방의 네트워크 주소에 대응하는 카테고리가 차단 대상 카테고리인 경우, 온 고잉 패킷을 차단할 수 있다. 예를 들면, 차단 대상 카테고리가 “게임” 이라면, 차단 리스트를 이용하여 도메인 주소 또는 IP 주소에 대응하는 카테고리가 게임인 온 고잉 패킷을 차단할 수 있다. 이때, 차단하는 방법은 예를 들면, 관리자가 스위치에 명령을 입력함으로써 게임 카테고리에 해당하는 패킷을 차단할 수 있도록 할 수 있고, 가짜 패킷을 생성하여 가짜 패킷을 전송함으로써 해당 패킷을 차단할 수 있다.

차단부(230)는 온 고잉 패킷에서 상대방의 네트워크 주소로 도메인 주소를 사용하지 않고 IP 주소를 사용하는 경우, 차단 리스트의 IP 주소를 이용하여 상대방의 IP 주소에 대한 차단 여부를 판단할 수 있다.

차단부(230)는 상대방의 IP 주소에 대응하는 도메인 주소가 복수인 경우, 온 고잉 패킷을 차단할 때 IP 주소에 기초하여 온 고잉 패킷을 차단하지 않고, 도메인 주소에 기초하여 온 고잉 패킷을 차단할 수 있다.

카테고리 DB(240)는 도메인 주소, 도메인 주소에 대응하는 IP 주소 및 도메인 주소에 대응하는 카테고리를 저장할 수 있다. 카테고리 DB(240)는 도메인 주소 및 도메인 주소에 대응하는 카테고리를 제1 카테고리 DB로 유지할 수 있고, 제1 도메인 주소, 제1 IP 주소 및 제1 카테고리를 제2 카테고리 DB로 유지할 수 있다.

갱신부(250)는 온 고잉 패킷의 DNS 응답 패킷인 경우, DNS 응답 패킷으로부터 도메인 주소 및 도메인 주소에 대응하는 IP 주소를 식별하여 카테고리 DB에 저장하고, 식별된 IP 주소 및 식별된 IP 주소의 카테고리를 차단 리스트에 저장할 수 있다.

도 3은 일 실시예에 따른 차단 리스트를 나타낸 도면이다.

차단 리스트(300)는 네트워크 주소 및 네트워크 주소에 대응하는 카테고리를 유지할 수 있다. 이때, 네트워크 주소는 도메인 주소(310) 또는 IP 주소(320)를 포함할 수 있다. 차단 리스트(300)는 제1 IP주소 및 제1 IP 주소에 대응하는 제1 카테고리를 추가할 수 있다. 예를 들면, 차단 리스트(300)는 도메인 주소(310)인 www.abc.com, 도메인 주소(310)에 대응하는 IP 주소(320)인 111.111.111.111, 도메인 주소(310) 및 IP 주소(320)에 대응하는 카테고리(330)인 쇼핑을 차단 리스트에 저장할 수 있다.

DNS 응답 패킷을 이용하여 도메인 주소에 대응하는 IP 주소를 획득하여 차단 리스트(300)를 갱신할 수 있다. 온 고잉 패킷에서 상대방의 네트워크 주소로 도메인 주소를 사용하지 않고 IP 주소를 사용하는 경우, 차단 리스트를 이용하여 상대방의 IP 주소에 대한 차단 여부를 판단할 수 있다. 이때, 설정된 정책을 통하여 차단 리스트(300)로부터 차단 정책에 포함되는 카테고리(330)를 식별함으로써 차단 카테고리에 포함되는 도메인 주소(310) 및 IP 주소(320)를 차단할 수 있다. 예를 들면, 정책을 설정하는데 있어서, 관리자가 관리자 PC를 통하여 정책을 입력할 수 있고, 정책 입력이 가능한 해당 PC를 설정하여 해당 PC를 통해서 정책을 입력할 수 있다. 해당 PC에 PC 용 UI를 통해서 정책을 입력할 수 있다.

차단 대상 카테고리를 포함하는 IP 주소 및 도메인 주소에 대응하는 카테고리를 차단 리스트에 저장함으로써 차단 카테고리를 포함하는 IP 주소 또는 도메인 주소 중 적어도 하나를 감지하였을 때 해당 패킷을 차단할 수 있다. 관리자는 쇼핑 사이트를 차단하는 정책을 입력할 수 있고, 차단 서버는 차단 서버의 차단 리스트(300)를 통해서 쇼핑 카테고리에 있는 도메인 주소(310) 및 IP 주소(320)를 식별할 수 있으며, 식별된 도메인 주소(310) 및 IP 주소(320)가 접속된 경우, 해당 패킷을 차단할 수 있다. 예를 들면, 사용자가 www.abc.com에 접속한다면, www.abc.com의 카테고리(330)가 쇼핑이므로 차단되어야 한다.

도 4는 일 실시예에 따른 제1 카테고리 DB를 나타낸 도면이다.

카테고리 DB는 제1 카테고리 DB(400), 제2 카테고리 DB를 분리해서 구현할 수도 있고, 실시예에 따라서는 하나의 카테고리 DB로 구현할 수도 있다. 예를 들면, 제1 카테고리 DB(400)는 제2 카테고리 DB와 같은 모양이나, IP 주소의 필드가 비어있는 형태일 수 있다.

도 4를 참조 하면, 제1 카테고리 DB(400)는 도메인 주소 필드(410) 및 정보 필드로 구성될 수 있으며, 제1 카테고리 DB(400)를 통하여 도메인 주소 및 정보를 유지할 수 있다. 이때, 정보 필드는 도메인 주소 및 IP 주소에 대한 카테고리를 포함할 수 있고, 카테고리 이외의 정보도 포함하고 있을 수 있다.

제1 카테고리 DB(400)는 도메인 주소 및 도메인 주소에 대응하는 카테고리를 에 저장할 수 있다. 예를 들면, 차단 서버는 www.plustech.com에 대응하는 카테고리를 식별할 수 있고, www.abc.com에 대응하는 카테고리를 식별할 수 있다. www.plustech.com에 대응하는 카테고리가 기술이라면, “www.plustech.com, 기술”이라는 도메인 주소 및 도메인 주소에 대응하는 카테고리를 제1 카테고리 DB(400)에 저장할 수 있다.

도 5는 일 실시예에 따른 제2 카테고리 DB를 나타낸 도면이다.

제2 카테고리 DB(500)는 제1 도메인 주소, 제1 IP 주소 및 제1 카테고리를 저장할 수 있다. 제2 카테고리 DB는 도메인 주소 필드(510), IP 주소 필드(520) 및 정보 필드로 구성될 수 있으며, 도메인 주소, IP 주소 및 정보를 유지할 수 있다. 이때, 정보 필드는 도메인 주소 및 IP 주소에 대한 카테고리를 포함할 수 있고, 카테고리 이외의 정보도 포함하고 있을 수 있다.

도 4에서 설명한 바와 같이, 제1 카테고리 DB는 도메인 주소 및 도메인 주소에 대응하는 카테고리를 저장할 수 있다. 예를 들면, 제1 카테고리 DB는 www.plustech.com, 기술 이라는 도메인 주소 및 도메인 주소에 대응하는 카테고리를 저장할 수 있다. 이때, 제2 카테고리 DB도 마찬가지로 도 4와 같은 방법으로 도메인 주소 및 도메인 주소에 대응하는 카테고리를 저장할 수 있다.

차단 서버는 DNS 응답 패킷으로부터 제1 도메인 주소와 제1 도메인 주소에 대응하는 제1 IP 주소의 쌍을 판독할 수 있다. 이때, 사용자가www.plustech.com에 접속한다면, DNS 서버는 www.plustech.com에 대한 IP 주소를 식별하여 사용자 PC로 전달할 수 있다. www.plustech.com에 대한 IP 주소가 10.10.0.2이라면, DNS 쿼리 헤더의 쿼리 필드에 www.plustech.com이 입력될 수 있고, 도메인 네임에 대한 IP주소는 answer 필드에서 10.10.0.2라는 IP 주소 값을 받을 수 있다. DNS 서버는 DNS 응답 패킷에 1 도메인 주소 및 1 도메인 주소에 대응하는 IP 주소의 정보인 www.plustech.com, 10.10.0.2를 포함하여 사용자 PC로 송신할 수 있다. 이때, 차단 서버는 DNS 응답 패킷으로부터 www.plustech.com와 10.10.0.2를 판독할 수 있다.

제1 카테고리 DB를 이용하여 DNS 응답 패킷으로부터 판독된 제1 IP 주소에 대응하는 제1 카테고리를 식별할 수 있다. 예를 들면, DNS 응답 패킷으로부터 판독된 IP 주소가 10.10.0.2 라면, 10.10.0.2에 대응하는 카테고리인 “기술”을 식별할 수 있다. 제2 카테고리 DB는 제1 도메인 주소, 제1 IP 주소 및 제1 카테고리를 저장할 수 있다. 예를 들면, “www.plustech.com, 10.10.0.2, 기술”을 제2 카테고리 DB에 유지할 수 있다.

일 실시예에 따른 카테고리 DB는 IP 주소에 대응하는 도메인 주소가 복수일 수도 있고, 복수의 도메인 주소의 각각에 대응하는 카테고리가 동일할 수도 있고, 동일하지 않을 수도 있다.

도 6은 일 실시예에 따른 인터넷 접속 차단 장치의 인터넷 접속 차단 방법을 나타낸 흐름도이다.

단계(610)에서 인터넷 접속 차단 장치는 네트워크 주소 및 네트워크 주소에 대응하는 카테고리를 차단 리스트로 유지할 수 있다. 이때, 네트워크 주소는 도메인 주소 또는 IP 주소를 포함할 수 있다. 도 3을 참고하면, 인터넷 접속 차단 장치는 도메인 주소와 도메인 주소에 대응하는 카테고리, IP 주소와 IP 주소에 대응하는 카테고리를 차단 리스트로 유지할 수 있다.

단계(620)에서 인터넷 접속 차단 장치는 온 고잉 패킷으로부터 사용자 단말이 통신하려고 하는 상대방의 네트워크 주소를 식별할 수 있다. 예를 들면, 사용자 단말이 www.abc.com에 접속하기 위하여 www.abc.com이라는 도메인 주소를 입력할 경우, www.abc.com에 대한 IP 주소를 요청할 수 있다. 이때, DNS 서버로부터 www.abc.com에 대응되는 IP 주소인 111.111.111.111이 추출될 수 있고, 도메인 주소 및 도메인 주소에 대응하는 IP 주소를 사용자 단말에게 전달할 수 있다. 이때, 인터넷 접속 차단 장치는 사용자 단말이 통신하려고 하는 도메인 주소인 www.abc.com 및 IP 주소인 111.111.111.111을 식별할 수 있다.

단계(630)에서 인터넷 접속 차단 장치는 차단 리스트를 이용하여 상대방의 네트워크 주소에 대응하는 카테고리가 차단 대상 카테고리인지 판단할 수 있다. 예를 들면, 차단 대상 카테고리가 “쇼핑”이라면, 인터넷 접속 차단 장치는 차단 리스트를 이용하여 www.abc.com 또는 111.111.111.111에 대응하는 카테고리가 쇼핑인지 판단할 수 있다.

단계(640)에서 인터넷 접속 차단 장치는 온 고잉 패킷을 차단할 수 있다. 만약, www.abc.com 또는 111.111.111.111의 카테고리가 쇼핑이라는 것이 판단되면, 인터넷 접속 차단 장치는 해당 패킷을 차단함으로써 인터넷 접속을 차단할 수 있다. 예를 들면, 차단하는 방법은 관리자가 스위치에 명령을 입력함으로써 게임 카테고리에 해당하는 패킷을 차단할 수 있도록 할 수 있고, 가짜 패킷을 생성하여 가짜 패킷을 전송함으로써 해당 패킷을 차단할 수 있다. 사용자가 www.abc.com에 접속한다면, www.abc.com의 카테고리를 쇼핑이므로 차단될 수 있다. 인터넷 접속 차단 장치는 사용자가 www.abc.com에 접속하는 것으로 판단되면, www.abc.com에 접속하지 못하도록 차단할 수 있다.

또한, 상대방의 IP 주소에 대응하는 도메인 주소가 복수인 경우, 온 고잉 패킷을 차단할 때 IP 주소에 기초하여 온 고잉 패킷을 차단하지 않고, 도메인 주소에 기초하여 온 고잉 패킷을 차단할 수 있다. 상대방의 IP 주소에 대응하는 도메인 주소가 복수이고, 복수의 도메인 주소의 각각에 대응하는 카테고리가 동일한 경우에는, IP 주소에 기초한 온 고잉 패킷의 차단을 수행할 수 있다. 상대방의 IP 주소에 대응하는 도메인 주소가 복수이고, 복수의 도메인 주소의 각각에 대응하는 카테고리가 동일하지 않은 경우에는, IP 주소에 기초한 온 고잉 패킷의 차단을 수행하지 않을 수 있다.

도 7은 일 실시예에 따른 인터넷 접속 차단 장치의 카테고리 DB를 저장하는 방법을 나타낸 흐름도이다.

차단 서버의 카테고리 DB에 대한 설명은 도 4 및 도 5를 참고하기로 한다. 카테고리 DB는 예를 들면, 온 고잉 패킷을 패킷을 미러링함으로써 차단 서버의 데이터베이스에 저장될 수 있으며, 별도의 카테고리 DB가 저장되어 있는 데이터베이스를 이용할 수 있다. 또한, 카테고리 DB는 주기적으로 업데이트될 수 있다.

단계(710)에서 차단 서버는 도메인 주소 및 도메인 주소에 대응하는 카테고리를 제1 카테고리 DB로 유지할 수 있다. 예를 들면, 차단 서버는 www.plustech.com에 대응하는 카테고리를 식별할 수 있고, www.abc.com에 대응하는 카테고리를 식별할 수 있다. www.plustech.com에 대응하는 카테고리가 기술이라면, “www.plustech.com, 기술”이라는 도메인 주소 및 도메인 주소에 대응하는 카테고리를 제1 카테고리 DB에 저장할 수 있고, www.abc.com에 대응하는 카테고리가 쇼핑이라면, “www.abc.com, 쇼핑”이라는 도메인 주소 및 도메인 주소에 대응하는 카테고리를 제1 카테고리 DB에 저장할 수 있다.

단계(720)에서 차단 서버는 DNS 응답 패킷으로부터 제1 도메인 주소와 제1 도메인 주소에 대응하는 제1 IP 주소의 쌍을 판독할 수 있다. 이때, 사용자가www.plustech.com에 접속한다면, DNS 서버는 www.plustech.com에 대한 IP 주소를 식별하여 사용자 PC로 전달할 수 있다. www.plustech.com에 대한 IP 주소가 10.10.0.2이라면, DNS 쿼리 헤더의 쿼리 필드에 www.plustech.com이 입력될 수 있고, 도메인 네임에 대한 IP주소는 answer 필드에서 10.10.0.2라는 IP 주소 값을 받을 수 있다. DNS 서버는 DNS 응답 패킷에 1 도메인 주소 및 1 도메인 주소에 대응하는 IP 주소의 정보인 www.plustech.com, 10.10.0.2 를 포함하여 사용자 PC로 송신할 수 있다. 이때, 차단 서버는 DNS 응답 패킷으로부터 www.plustech.com와 10.10.0.2를 판독할 수 있다.

단계(730)에서 차단 서버는 제1 카테고리 DB를 이용하여 DNS 응답 패킷으로부터 판독된 제1 IP 주소에 대응하는 제1 카테고리를 식별할 수 있다. 예를 들면, 차단 서버는 DNS 응답 패킷으로부터 10.10.0.2에 대응하는 카테고리인 “기술”을 식별할 수 있다.

단계(740)에서 차단 서버는 제1 도메인 주소, 제1 IP 주소 및 제1 카테고리를 제2 카테고리 DB에 저장할 수 있다. 이때, 차단 서버는 “www.plustech.com, 10.10.0.2, 기술”을 제2 카테고리 DB에 저장할 수 있다. 이때, 카테고리 DB는 제1 카테고리 DB와 제2 카테고리 DB를 분리해서 구현할 수도 있고, 실시예에 따라서는 하나의 카테고리 DB로 구현할 수도 있다. 예를 들면, 제1 카테고리 DB는 제2 카테고리 DB와 같은 모양이나, IP 주소의 필드가 비어있는 형태일 수 있다.

이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPA(field programmable array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.

이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.

그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.

Claims (12)

1. 인터넷 접속을 차단하는 방법에 있어서,

   네트워크 주소 및 상기 네트워크 주소에 대응하는 카테고리를 차단 리스트로 유지하는 단계 - 상기 네트워크 주소는 도메인 주소 또는 IP 주소를 포함함 -;

   온 고잉 패킷(on-going packet)으로부터 사용자 단말이 통신하려고 하는 상대방의 네트워크 주소를 식별하는 단계;

   상기 차단 리스트를 이용하여 상기 상대방의 네트워크 주소에 대응하는 카테고리가 차단 대상 카테고리인지 판단하는 단계; 및

   상기 상대방의 네트워크 주소에 대응하는 카테고리가 상기 차단 대상 카테고리인 경우, 상기 온 고잉 패킷을 차단하는 단계

   를 포함하는 인터넷 접속 차단 방법.
2. 제1항에 있어서,

   도메인 주소 및 상기 도메인 주소에 대응하는 카테고리를 제1 카테고리 DB로 유지하는 단계;

   DNS 응답 패킷으로부터 제1 도메인 주소와 상기 제1 도메인 주소에 대응하는 제1 IP 주소의 쌍을 판독하는 단계;

   상기 제1 카테고리 DB를 이용하여 DNS 응답 패킷으로부터 판독된 상기 제1 IP 주소에 대응하는 제1 카테고리를 식별하는 단계; 및

   상기 제1 도메인 주소, 상기 제1 IP 주소, 및 상기 제1 카테고리를 제2 카테고리 DB에 저장하는 단계

   를 더 포함하는 인터넷 접속 차단 방법.
3. 제2항에 있어서,

   상기 제1 IP 주소 및 상기 제1 IP 주소에 대응하는 상기 제1 카테고리를 상기 차단 리스트에 추가하는 단계

   를 더 포함하는 인터넷 접속 차단 방법.
4. 제3항에 있어서,

   상기 제2 카테고리 DB에서 하나의 IP 주소에 대응하는 도메인 주소가 복수인 경우, 상기 하나의 IP 주소는 상기 차단 리스트에 추가하지 않는

   인터넷 접속 차단 방법.
5. 제3항에 있어서,

   상기 제2 카테고리 DB에서 하나의 IP 주소에 대응하는 도메인 주소가 복수인 경우, 상기 복수의 도메인 주소에 대응하는 카테고리가 동일한지 판단하는 단계;

   상기 복수의 도메인 주소에 대응하는 카테고리가 동일한 경우, 상기 하나의 IP 주소 및 상기 하나의 IP 주소에 대응하는 카테고리를 상기 차단 리스트에 추가하는 단계; 및

   상기 복수의 도메인 주소에 대응하는 카테고리가 동일하지 않는 경우, 상기 하나의 IP 주소 및 상기 하나의 IP 주소에 대응하는 카테고리를 상기 차단 리스트에 추가하지 않는 단계

   를 포함하는 인터넷 접속 차단 방법.
6. 인터넷 접속을 차단하는 방법에 있어서,

   DNS 응답 패킷을 이용하여 도메인 주소에 대응하는 IP 주소를 획득하여 차단 리스트를 갱신하는 단계 - 상기 차단 리스트는 도메인 주소 또는 IP 주소를 저장함 -;

   온 고잉 패킷에서 상대방의 네트워크 주소로 도메인 주소를 사용하지 않고 IP 주소를 사용하는 경우, 상기 차단 리스트를 이용하여, 상기 상대방의 IP 주소에 대한 차단 여부를 판단하는 단계; 및

   상기 판단에 따라 상기 온 고잉 패킷을 차단하는 단계

   를 포함하는 인터넷 접속 차단 방법.
7. 제6항에 있어서,

   상기 상대방의 IP 주소에 대응하는 도메인 주소가 복수인 경우, 상기 온 고잉 패킷을 차단할 때 상기 IP 주소에 기초하여 상기 온 고잉 패킷을 차단하지 않고, 상기 도메인 주소에 기초하여 상기 온 고잉 패킷을 차단하는

   인터넷 접속 차단 방법.
8. 제7항에 있어서,

   상기 상대방의 IP 주소에 대응하는 도메인 주소가 복수이고, 상기 복수의 도메인 주소의 각각에 대응하는 카테고리가 동일한 경우에는, 상기 IP 주소에 기초한 상기 온 고잉 패킷의 차단을 수행하고,

   상기 상대방의 IP 주소에 대응하는 도메인 주소가 복수이고, 상기 복수의 도메인 주소의 각각에 대응하는 카테고리가 동일하지 않은 경우에는, 상기 IP 주소에 기초한 상기 온 고잉 패킷의 차단을 수행하지 않는

   인터넷 접속 차단 방법.
9. 인터넷 접속을 차단하는 장치에 있어서,

   온 고잉 패킷을 미러링하는 미러링부;

   네트워크 주소 및 상기 네트워크 주소에 대응하는 카테고리를 유지하는 차단 리스트 - 상기 네트워크 주소는 도메인 주소 또는 IP 주소를 포함함 -; 및

   상기 온 고잉 패킷(on-going packet)으로부터 사용자 단말이 통신하려고 하는 상대방의 네트워크 주소를 식별하고, 상기 차단 리스트를 이용하여 상기 상대방의 네트워크 주소에 대응하는 카테고리가 차단 대상 카테고리인 경우, 상기 온 고잉 패킷을 차단하는 차단부

   를 포함하는 인터넷 접속 차단 장치.
10. 제9항에 있어서,

    도메인 주소, 상기 도메인 주소에 대응하는 IP 주소, 및 상기 도메인 주소에 대응하는 카테고리를 저장하는 카테고리 DB; 및

    상기 온 고잉 패킷이 DNS 응답 패킷인 경우, 상기 DNS 응답 패킷으로부터 도메인 주소 및 상기 도메인 주소에 대응하는 IP 주소를 식별하여 상기 카테고리 DB에 저장하고, 상기 식별된 IP 주소 및 상기 식별된 IP 주소의 카테고리를 상기 차단 리스트에 저장하는 갱신부

    를 더 포함하는 인터넷 접속 차단 장치.
11. 제10항에 있어서,

    상기 차단부는,

    상기 온 고잉 패킷에서 상대방의 네트워크 주소로 도메인 주소를 사용하지 않고 IP 주소를 사용하는 경우, 상기 차단 리스트의 IP 주소를 이용하여, 상기 상대방의 IP 주소에 대한 차단 여부를 판단하는

    인터넷 접속 차단 장치.
12. 제11항에 있어서,

    상기 차단부는,

    상기 상대방의 IP 주소에 대응하는 도메인 주소가 복수인 경우, 상기 온 고잉 패킷을 차단할 때 상기 IP 주소에 기초하여 상기 온 고잉 패킷을 차단하지 않고, 상기 도메인 주소에 기초하여 상기 온 고잉 패킷을 차단하는

    인터넷 접속 차단 장치.

Images