WO2022270893A1

WO2022270893A1 - 단말의 보안 패킷에 기반한 네트워크 보안 모니터링 장치 및 방법

Info

Publication number: WO2022270893A1
Application number: PCT/KR2022/008852
Authority: WO
Inventors: 김종민; 황호정; 신성기
Original assignee: 주식회사맥데이타
Priority date: 2021-06-23
Filing date: 2022-06-22
Publication date: 2022-12-29
Also published as: KR20220170770A; US20240333726A1

Abstract

본 발명은 단말의 보안 패킷에 기반한 네트워크 보안 모니터링 장치 및 방법에 관한 것이다. 본 발명의 일 양태에 의한 네트워크 모니터링 장치에 의해 수행되는 네트워크 보안 모니터링 방법은, 클라이언트 단말의 상태를 모니터링하는 단계, 상기 모니터링의 결과에 기초하여 생성된 보안 검사 패킷을 네트워크로부터 획득하는 단계, 네트워크 스위칭 장치에서 미러링(mirroring)된 미러링 패킷을 네트워크로부터 획득하는 단계, 및 상기 보안 검사 패킷과 상기 미러링 패킷 중 적어도 하나에 기초하여 상기 네트워크에 대한 보안 모니터링을 실행하는 단계를 포함할 수 있다.

Description

단말의 보안 패킷에 기반한 네트워크 보안 모니터링 장치 및 방법

본 발명은 단말의 보안 패킷에 기반한 네트워크 보안 모니터링 장치 및 방법에 관한 것이다.

네트워크는 통신 링크 및 통신 링크에 접속된 통신 능력을 가진 다양한 장치들을 전반적으로 포함한다. 여기서, 네트워크와 관련된 장치들은, 컴퓨터, 주변 장치, 라우터, 저장 장치, 및 프로세서와 통신 인터페이스를 갖는 여러 전기 제품을 포함한다. 여기서, "장치"라는 용어는 전형적으로 논리 장치들 혹은 기능성 및 데이터를 처리 및 교환할 수 있는 다른 장치들을 포함하며, 가정용 장치들뿐만 아니라 일반 목적의 컴퓨터들을 포함할 수 있다.

전통적인 네트워크 시스템들은 사용자가 사용하는 클라이언트 장치와 웹 사이트와 연관된 다양한 서버 장치들을 포함한다. 일반적으로 클라이언트 장치는 웹 사이트를 이용하기 위해, 특정 IP 주소를 갖는 서버에 접속 요청을 하고, 대기 시간을 거쳐 접속한다. 이때, 다수의 사용자에 의해 다수의 클라이언트 장치가 특정 시점에 몰려서 서버에 접속하는 경우, 병목 현상 (bottleneck) 에 의해 서버와 연관된 네트워크 서비스의 성능이 저하될 수 있다. 서비스 성능 또는 품질 문제 발생시 사용자는 지연으로 인해, 대기 시간이 늘게 되어 서비스의 이용률이 떨어지게 되고, 이는 생산성 및 매출의 감소로 이어진다. 또한, IT 운영 비용 증가가 발생하고, 서버의 운영자 및/또는 관련 비즈니스의 경영자는 기업의 경쟁력 하락이라는 좋지 않는 결과를 맞게 될 수 있다.

특히, 5G 통신 네트워크에서는 장치 간의 통신이 5G가 요구하는 성능 범위 내에서 이루어지는 것을 가정하고 5G 네트워크 내의 장치들이 동작하기 때문에, 장치 간의 통신이 얼마나 신속하게 이루어지고 있는지, 만약 통신이 잘 이루어지고 있지 않다면, 성능 저하의 원인이 어디인지에 대한 신속한 파악이 매우 중요하다. 하지만, 이러한 성능 저하의 원인이 어디에 있는지를 명확히 파악하는 데에는 마땅한 서비스가 없어서 적절한 대응이 이루어지지 못하는 실정이다. 이러한 문제점은 결국 성능 저하의 문제에 적절히 대응하지 못하게 하고 성능 개선의 골든 타임(golden time)을 놓치게 되어 전체적인 시스템의 운영을 어렵게 하는 문제점을 야기한다.

따라서, 성능 저하의 원인을 신속히 파악하고 이에 대한 대응이 최대한 빠르게 이루어져야 한다.

도 1 은 종래 네트워크 서비스 관리를 수행하는 과정을 설명하기 위한 개념도이다.

도 1 을 참조하면, IT 관리를 위해 IT 팀장은 품질 관리와 관련된 명령을 네트워크 운영 파트, 서버 운영 파트, 데이터베이스 개발 파트 및 어플리케이션 개발 파트 등에 각각 명령한다.

특정 서비스 문제가 일어났을 때, 각각의 파트의 담당자들은 자신이 관리하는 IT 장치의 문제점을 개별적으로 판단하고, 이에 대한 보고를 한다. 즉, "어플리케이션 문제는 아니다", "네트워크 문제는 아니다" 및/또는 "서버에도 이상이 없다" 등 특정 서비스의 문제에 대해 독립적인 접근으로 인해, 문제의 원인을 신속히 식별하지 못하고, 성능 저하의 문제에 적절히 대응하지 못한다. 즉, 성능 개선의 골든 타임 (golden time) 을 놓치게 되는 문제점이 있다.

한편, 사물 인터넷 (IoT) 의 발달로 전통적인 네트워크의 구조에도 다양한 변화가 발생하였다. 사물 인터넷이 적용된 수많은 디바이스들이 네트워크에 참여하게 되면서 하나의 서버에 접속되는 클라이언트 단말의 개수는 기하급수적으로 증대되는 경향이 뚜렷하고, 각각의 디바이스들을 포함하는 네트워크 전반에 대한 진단은 점점 더 어려워지고 있다. 나아가 각각의 사물 인터넷 디바이스 중 어느 하나에 대한 보안 문제가 발생할 경우 네트워크 전체에 대한 위협이 될 수 있음에도 불구하고, 사물 인터넷 디바이스들은 종래 통상적인 네트워크의 구성요소들에 비해 보안에 취약한 문제점이 있다.

본 발명의 기술적 과제는 단말의 보안 패킷에 기반한 네트워크 보안 모니터링 장치 및 방법을 제공함에 있다.

본 발명의 일 양태에 의한 네트워크 모니터링 장치에 의해 수행되는 네트워크 보안 모니터링 방법은, 클라이언트 단말의 상태를 모니터링하는 단계, 상기 모니터링의 결과에 기초하여 생성된 보안 검사 패킷을 네트워크로부터 획득하는 단계(상기 보안 검사 패킷은 상기 클라이언트 단말의 UID(user ID) 정보, 길이 정보, 및 모니터링 결과 정보를 포함함), 네트워크 스위칭 장치에서 미러링(mirroring)된 미러링 패킷을 네트워크로부터 획득하는 단계, 및 상기 보안 검사 패킷과 상기 미러링 패킷 중 적어도 하나에 기초하여 상기 네트워크에 대한 보안 모니터링을 실행하는 단계를 포함할 수 있다.

상기 네트워크에 대한 보안 모니터링은, 상기 네트워크 상에서 IP 주소를 할당 받은 네트워크 모니터링 장치에 의해 실행되고, 상기 보안 검사 패킷을 네트워크로부터 획득하는 단계는, 상기 네트워크 모니터링 장치가 상기 IP 주소를 이용하여 상기 보안 검사 패킷을 수신하는 단계를 포함할 수 있다.

상기 보안 검사 패킷은, TCP 헤더와 TCP 페이로드를 적어도 포함하는 TCP 패킷 포맷이고, 상기 TCP 페이로드는 UID 필드, 길이 필드, 및 모니터링 결과 필드 중 적어도 하나의 필드 정보를 포함할 수 있다.

상기 네트워크에 대한 보안 모니터링은, 상기 네트워크 상에서 IP 주소를 할당 받지 않은 클라이언트 모니터링 장치에 의해 실행되고, 상기 보안 검사 패킷을 네트워크로부터 획득하는 단계는, 상기 클라이언트 모니터링 장치가 상기 네트워크 상 경로에 대한 감시를 통하여 상기 보안 검사 패킷을 획득하는 단계를 포함할 수 있다.

상기 보안 검사 패킷은, UDP 헤더와 UDP 페이로드를 적어도 포함하는 UDP 패킷 포맷이고, 상기 UDP 페이로드는 UID 필드, 길이 필드, 및 모니터링 결과 필드 중 적어도 하나의 필드 정보를 포함할 수 있다.

상기 UID 정보는 상기 클라이언트 단말 또는 상기 클라이언트 단말의 상태를 모니터링하는 클라이언트 모니터링 장치 중 적어도 하나를 고유하게 식별하기 위한 정보이고, 상기 길이 정보는 상기 모니터링 결과 정보의 길이를 나타내는 정보이고, 상기 모니터링 결과 정보는 상기 클라이언트 단말의 상태를 모니터링한 결과를 나타내는 정보일 수 있다.

상기 보안 검사 패킷은, 상기 클라이언트 단말에 통합된(integrated) 클라이언트 모니터링 장치로부터 생성되는 것을 특징으로 할 수 있다.

상기 네트워크에 대한 보안 모니터링은, 상기 네트워크에 연결된 독립적인 네트워크 노드, 상기 네트워크상 평면의 입력 또는 출력단, 또는 상기 네트워크 상의 패킷의 목적지인 서버 중 적어도 하나에 위치하여 동작하는 네트워크 모니터링 장치에 의하여 실행되는 것을 특징으로 할 수 있다.

상기 네트워크 모니터링 장치는, 상기 네트워크에 둘 이상 위치하여 동작하는 것을 특징으로 할 수 있다.

상기 네트워크 스위치는 OSI 2 계층, OSI 3계층, OSI 4계층, 또는 OSI 7계층 중 어느 하나의 계층에서 패킷을 미러링하도록 구성될 수 있다.

상기 보안 패킷은, 단말의 시스템 로그 파일을 감시하는 동작, 화이트 리스트에 포함된 허용된 IP 이외의 IP로부터 단말에 접근 시도가 발생하는지 판단하는 동작, 단말에 대한 패킷 정보를 분석하는 동작, 및 단말의 상태 정보를 분석하는 동작 및 단말에 대한 연결 가능 여부를 나타내는 얼라이브 정보를 획득하는 동작 중 적어도 하나의 동작에 의해 상기 클라이언트 단말에 보안 문제가 발생한 것으로 판단되어 생성된 것일 수 있다.

상기 네트워크에 대한 보안 모니터링을 실행하는 단계는, HTTP, IP, UDP, TCP, 및 DNS 중 적어도 하나의 프로토콜에 대응하는 패킷 분석 알고리즘을 활용하는 단계를 포함하고, 상기 패킷 분석 알고리즘은, 상기 각 프로토콜에 적응적인 방법으로 상기 미러링된 패킷으로부터 URL, 소스 IP, 목적지 IP, 및 시간정보 중 적어도 하나의 정보를 추출하여 상기 미러링된 패킷을 분석하도록 구성되고, 상기 미러링된 패킷으로부터 사용자 단말에서의 사용자 체감 지연시간, 인터넷을 통한 최초 서버까지의 트래픽, 서버 측의 각 구간별 응답 대기 시간(latency), 웹 응답 대시 시간, 앱 응답 대기 시간, 서버들 간의 응답 지연 시간, 서버별 응답 지연 시간, 서버별 응답 대기 세션수(wait), 어플리케이션 URI별 지표, 및 DB 서버의 쿼리(DB Query)별 지표 중 적어도 하나를 판단하도록 구성될 수 있다.

상기 방법은, 상기 네트워크에 대한 보안 모니터링의 결과를 시각화하여 표시하는 단계를 더 포함하고, 상기 시각화는, 의미 있는 형태의 그래프의 생성, 테이블의 생성, 및 플로우 맵(flow map)의 생성 중 적어도 하나의 시각화 방법을 이용하여 현재 네트워크의 성능에 관련된 지표 중 적어도 하나의 통계를 포함하는 정보를 시각화하는 것을 의미할 수 있다.

본 발명의 일 양태에 의한 클라이언트 단말을 모니터링하는 모니터링 장치는, 클라이언트 단말에 대한 보안 모니터링을 실행하여 모니터링 결과 정보를 생성하고, 상기 보안 모니터링의 결과에 기초하여 상기 클라이언트 단말의 UID(user ID) 정보, 길이 정보, 및 모니터링 결과 정보를 포함하는 보안 검사 패킷을 생성하고, 그리고 상기 보안 검사 패킷을 네트워크를 경유하여 전송하도록 구성될 수 있다.

상기 모니터링 장치는, 단말의 시스템 로그 파일을 감시하는 동작, 화이트 리스트에 포함된 허용된 IP 이외의 IP로부터 단말에 접근 시도가 발생하는지 판단하는 동작, 단말에 대한 패킷 정보를 분석하는 동작, 및 단말의 상태 정보를 분석하는 동작 및 단말에 대한 연결 가능 여부를 나타내는 얼라이브 정보를 획득하는 동작 중 적어도 하나의 동작에 의해 상기 클라이언트 단말에 보안 문제가 발생하였는지 판단하고, 상기 보안 문제가 발생한 것으로 판단되는 경우 상기 보안 검사 패킷을 생성하도록 구성될 수 있다.

상기 보안 검사 패킷은, TCP 헤더와 TCP 페이로드를 적어도 포함하는 TCP 패킷 포맷이고, 상기 TCP 페이로드는 UID 필드, 길이 필드, 및 모니터링 결과 필드 중 적어도 하나의 필드 정보를 포함하도록 구성될 수 있다.

상기 보안 검사 패킷은, UDP 헤더와 UDP 페이로드를 적어도 포함하는 UDP 패킷 포맷이고, 상기 UDP 페이로드는 UID 필드, 길이 필드, 및 모니터링 결과 필드 중 적어도 하나의 필드 정보를 포함하도록 구성될 수 있다.

상기 모니터링 장치는, 상기 클라이언트 단말에 통합되어(integrated) 동작할 수 있다.

본 발명의 일 양태에 의한 네트워크 상의 패킷을 모니터링하는 네트워크 모니터링 장치는, 클라이언트 단말을 모니터링하는 클라이언트 모니터링 장치로부터 송신된 보안 검사 패킷을 획득하고, 패킷을 미러링하는 네트워크 스위칭 장치로부터 미러링 패킷을 획득하고, 그리고 상기 보안 검사 패킷과 상기 미러링 패킷 중 적어도 하나를 분석하여 상기 네트워크에 대한 보안 모니터링을 실행하도록 구성될 수 있다.

상기 네트워크 모니터링 장치는 상기 네트워크 상에서 IP 주소를 할당 받고, 상기 IP 주소에 기초하여 TCP 패킷으로서의 보안 검사 패킷을 수신하도록 구성될 수 있다.

상기 네트워크 모니터링 장치는 상기 네트워크 상에서 IP 주소를 할당 받지 아니하고, 상기 네트워크 상 경로의 패킷을 감시하여 UDP 패킷으로서의 보안 검사 패킷을 획득하도록 구성될 수 있다.

상기 네트워크 모니터링 장치는, HTTP, IP, UDP, TCP, 및 DNS 중 적어도 하나의 프로토콜에 대응하는 패킷 분석 알고리즘을 포함하고, 상기 패킷 분석 알고리즘은, 상기 각 프로토콜에 적응적인 방법으로 상기 미러링된 패킷으로부터 URL, 소스 IP, 목적지 IP, 및 시간정보 중 적어도 하나의 정보를 추출하여 상기 미러링된 패킷을 분석하도록 구성되고, 상기 미러링된 패킷으로부터 사용자 단말에서의 사용자 체감 지연시간, 인터넷을 통한 최초 서버까지의 트래픽, 서버 측의 각 구간별 응답 대기 시간(latency), 웹 응답 대시 시간, 앱 응답 대기 시간, 서버들 간의 응답 지연 시간, 서버별 응답 지연 시간, 서버별 응답 대기 세션수(wait), 어플리케이션 URI별 지표, 및 DB 서버의 쿼리(DB Query)별 지표 중 적어도 하나를 판단하도록 구성될 수 있다.

상기 네트워크 모니터링 장치는, 상기 네트워크 모니터링 장치의 상기 네트워크에 대한 보안 모니터링 결과를 시각화하는 서비스 모듈에 연결되고, 상기 서비스 모듈은, 의미 있는 형태의 그래프의 생성, 테이블의 생성, 및 플로우 맵(flow map)의 생성 중 적어도 하나의 시각화 방법을 이용하여 현재 네트워크의 성능에 관련된 지표 중 적어도 하나의 통계를 포함하는 정보를 시각화하도록 구성될 수 있다.

상기 네트워크 모니터링 장치는, 상기 네트워크에 연결된 독립적인 네트워크 노드, 상기 네트워크상 평면의 입력 또는 출력단, 또는 상기 네트워크 상의 패킷의 목적지인 서버 중 적어도 하나에 위치하여 동작할 수 있다.

상기 네트워크 모니터링 장치는, 상기 네트워크에 둘 이상 위치하여 동작할 수 있다.

본 발명에 따르면, 단말 자체의 보안과 성능의 모니터링 뿐만 아니라 단말이 접속한 네트워크에 대한 보안과 성능의 모니터링이 가능해지며, 네트워크의 전체 영역에 대한 가시성 및 직관성을 확보하여, 네트워크 서비스의 보안 및 성능 문제에 선제적 관리(예방)이 이루어지게 하는 효과가 있다.

도 1은 종래 네트워크 서비스 관리를 수행하는 과정을 설명하기 위한 개념도이다.

도 2는 본 발명이 적용될 수 있는 무선통신 시스템을 예시한 개념도이다.

도 3은 사용자 평면(user plane)에 대한 무선 프로토콜 구조(radio protocol architecture)를 나타낸 블록도이다.

도 4는 제어 평면(control plane)에 대한 무선 프로토콜 구조를 나타낸 블록도이다.

도 5는 NR이 적용되는 차세대 무선 접속 네트워크(New Generation Radio Access Network: NG-RAN)의 시스템 구조를 예시한 개념도이다.

도 6은 NG-RAN과 5GC 간의 기능적 분할을 예시한 블록도이다.

도 7은 본 발명의 기술적 특징이 적용될 수 있는 무선 통신 시스템의 다른 예를 나타낸 도면이다.

도 8은 본 발명의 기술적 특징이 적용될 수 있는 무선 통신 시스템의 또 다른 예를 나타낸 도면이다.

도 9는 본 발명의 기술적 특징이 적용될 수 있는 5G 사용 시나리오의 예를 나타낸 도면이다.

도 10은 제1 시나리오에 따른 실시예에 따른 보안 검사 패킷(security check packet)에 기반하여 네트워크 보안 모니터링을 수행하는 방법을 설명하는 도면이다.

도 11은 제1 시나리오에 따른 보안 패킷 구조이다.

도 12는 제2 시나리오에 따른 실시예에 따른 보안 검사 패킷에 기반하여 네트워크 보안 모니터링을 수행하는 방법을 설명하는 도면이다.

도 13은 제2 시나리오에 따른 보안 패킷 구조이다.

도 14는 본 발명의 기술적 특징이 적용될 수 있는 무선 통신 시스템의 또 다른 예를 나타낸 도면이다.

도 15는 일례에 따른 네트워크 보안 모니터링 기능을 제공하는 5G NPN 보안 아키텍쳐이다.

도 16은 다른 예에 따른 네트워크 보안 모니터링 기능을 제공하는 5G NPN 보안 아키텍쳐이다.

도 17은 또 다른 예에 따른 네트워크 보안 모니터링 기능을 제공하는 5G NPN 보안 아키텍쳐이다.

도 18은 본 발명의 일 실시예에 따른 네트워크 모니터링 장치가 포함된 시스템을 나타낸 개념도이다.

도 19는 본 발명의 일 실시예에 따른 네트워크 모니터링 장치와 네트워크의 다른 장치와의 연결 구성을 나타낸 블록도이다.

도 20은 본 발명의 일 실시예에 따른 네트워크 모니터링 장치의 각 구간별 동작을 설명하기 위한 개념도이다.

도 21은 본 발명의 일 실시예에 따른 네트워크 모니터링 장치를 구체적으로 나타낸 블록도이다.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다.

그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.

제 1, 제 2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제 1 구성요소는 제 2 구성요소로 명명될 수 있고, 유사하게 제 2 구성요소도 제 1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.

이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.

더욱 많은 통신 기기들이 더욱 큰 통신 용량을 요구하게 됨에 따라 기존의 무선 접속 기술(radio access technology; RAT)에 비해 향상된 모바일 브로드밴드(mobile broadband) 통신에 대한 필요성이 대두되고 있다. 또한 다수의 기기 및 사물들을 연결하여 언제 어디서나 다양한 서비스를 제공하는 매시브 MTC(massive Machine Type Communications) 역시 차세대 통신에서 고려될 주요 이슈 중 하나이다. 뿐만 아니라 신뢰도(reliability) 및 지연(latency)에 민감한 서비스/단말을 고려한 통신 시스템 디자인이 논의되고 있다. 이와 같이 확장된 모바일 브로드밴드 커뮤니케이션(enhanced mobile broadband communication), massive MTC, URLLC (Ultra-Reliable and Low Latency Communication) 등을 고려한 차세대 무선 접속 기술의 도입이 논의되고 있으며, 본 발명에서는 편의상 해당 기술(technology)을 new RAT, NR(NEW RADIO) 또는 5G 통신이라고 부른다.

본 명세서에 걸쳐서, 개체(entity)는 네트워크와 연관된 각종 장치들을 포함하고, 이는 사용자 단말("클라이언트 단말"이라고 부를 수 있음) 및/또는 서버 장치를 포함하는 용어이다. IoT 통신 환경에서, 사용자 단말은 IoT 디바이스라 불릴 수 있다.

사용자는 기본적으로 사용자 단말의 사용자를 의미한다. 다만, 경우에 따라 본 발명의 일 실시예에 따른 네트워크 모니터링 장치의 사용자를 의미하기도 한다. 네트워크 운영자 및/또는 네트워크 관리자는 네트워크 모니터링 장치와 관련된 네트워크를 관리하는 자로, 네트워크 모니터링 장치의 사용자를 의미할 수 있다. 이하에서 네트워크 모니터링 장치는 네트워크의 보안 및 성능 관련 지표를 산출하는 장치로서, 패킷 미러링 장치라고 불릴 수도 있다. 또한, 네트워크 모니터링 장치는 네트워크 서비스의 상기 보안 및 성능 관련 지표를 시각화하는 장치로써 구현될 수 있으므로, 네트워크 모니터링 시각화 장치로 불릴 수 있다.

네트워크 모니터링 장치는 독립적인 장치로 존재할 수도 있으나, 네트워크 내의 다른 엔티티에 의해 구현되는 일 기능으로 구비될 수도 있다. 이 경우 네트워크 모니터링 장치는 네트워크 모니터링 기능(network monitoring function: 이하 NMF라 함)이라 불릴 수 있다. 따라서 서버로 입출력되는 패킷들을 모니터링하는 NMF는 네트워크 서버 모니터링 기능(network server monitoring function: NMSF)라 불릴 수 있고, 사용자 단말(또는 클라이언트 단말)을 모니터링하는 NMF는 네트워크 클라이언트 모니터링 기능(network client monitoring function: NMCF)라 불릴 수 있다.

이하에서, 네트워크 보안 및 성능이라는 용어는 서버, 통신망 및 클라이언트에서의 통신 보안 및 성능과 관련하여, 포괄적으로 사용될 수 있다.

LTE 및 5G 기반 통신 시스템

도 2는 본 발명이 적용될 수 있는 무선통신 시스템을 예시한다. 이는 E-UTRAN(Evolved-UMTS Terrestrial Radio Access Network), 또는 LTE(Long Term Evolution)/LTE-A 시스템이라고도 불릴 수 있다.

E-UTRAN은 단말(10: User Equipment, UE)에게 제어 평면(control plane)과 사용자 평면(user plane)을 제공하는 기지국(20: Base Station, BS)을 포함한다. 단말(10)은 고정되거나 이동성을 가질 수 있으며, MS(Mobile station), UT(User Terminal), SS(Subscriber Station), MT(mobile terminal), 무선기기(Wireless Device) 등 다른 용어로 불릴 수 있다. 기지국(20)은 단말(10)과 통신하는 고정된 지점(fixed station)을 말하며, eNB(evolved-NodeB), BTS(Base Transceiver System), 액세스 포인트(Access Point) 등 다른 용어로 불릴 수 있다.

기지국(20)들은 X2 인터페이스를 통하여 서로 연결될 수 있다. 기지국(20)은 S1 인터페이스를 통해 EPC(Evolved Packet Core, 30), 보다 상세하게는 S1-MME를 통해 MME(Mobility Management Entity)와 S1-U를 통해 S-GW(Serving Gateway)와 연결된다.

EPC(30)는 MME, S-GW 및 P-GW(Packet Data Network-Gateway)로 구성된다. MME는 단말의 접속 정보나 단말의 능력에 관한 정보를 가지고 있으며, 이러한 정보는 단말의 이동성 관리에 주로 사용된다. S-GW는 E-UTRAN을 종단점으로 갖는 게이트웨이이며, P-GW는 PDN을 종단점으로 갖는 게이트웨이이다.

단말과 네트워크 사이의 무선인터페이스 프로토콜(Radio Interface Protocol)의 계층들은 통신시스템에서 널리 알려진 개방형 시스템간 상호접속(Open System Interconnection: OSI) 기준 모델의 하위 3개 계층을 바탕으로 L1(제1계층), L2(제2계층), L3(제3계층)로 구분될 수 있는데, 이 중에서 제1계층에 속하는 물리계층은 물리채널(Physical Channel)을 이용한 정보전송서비스(Information Transfer Service)를 제공하며, 제 3계층에 위치하는 RRC(Radio Resource Control) 계층은 단말과 네트워크 간에 무선자원을 제어하는 역할을 수행한다. 이를 위해 RRC 계층은 단말과 기지국간 RRC 메시지를 교환한다.

도 3은 사용자 평면(user plane)에 대한 무선 프로토콜 구조(radio protocol architecture)를 나타낸 블록도이고, 도 4는 제어 평면(control plane)에 대한 무선 프로토콜 구조를 나타낸 블록도이다. 사용자 평면은 사용자 데이터 전송을 위한 프로토콜 스택(protocol stack)이고, 제어 평면은 제어신호 전송을 위한 프로토콜 스택이다.

도 3 및 4를 참조하면, 물리계층(PHY(physical) layer)은 물리채널(physical channel)을 이용하여 상위 계층에게 정보 전송 서비스(information transfer service)를 제공한다. 물리계층은 상위 계층인 MAC(Medium Access Control) 계층과는 전송채널(transport channel)을 통해 연결되어 있다. 전송채널을 통해 MAC 계층과 물리계층 사이로 데이터가 이동한다. 전송채널은 무선 인터페이스를 통해 데이터가 어떻게 어떤 특징으로 전송되는가에 따라 분류된다.

서로 다른 물리계층 사이, 즉 송신기와 수신기의 물리계층 사이는 물리채널을 통해 데이터가 이동한다. 상기 물리채널은 OFDM(Orthogonal Frequency Division Multiplexing) 방식으로 변조될 수 있고, 시간과 주파수를 무선자원으로 활용한다.

MAC 계층의 기능은 논리채널과 전송채널간의 맵핑 및 논리채널에 속하는 MAC SDU(service data unit)의 전송채널 상으로 물리채널로 제공되는 전송블록(transport block)으로의 다중화/역다중화를 포함한다. MAC 계층은 논리채널을 통해 RLC(Radio Link Control) 계층에게 서비스를 제공한다.

RLC 계층의 기능은 RLC SDU의 연결(concatenation), 분할(sEMGentation) 및 재결합(reassembly)를 포함한다. 무선베어러(Radio Bearer: RB)가 요구하는 다양한 QoS(Quality of Service)를 보장하기 위해, RLC 계층은 투명모드(Transparent Mode, TM), 비확인 모드(Unacknowledged Mode, UM) 및 확인모드(Acknowledged Mode, AM)의 세 가지의 동작모드를 제공한다. AM RLC는 ARQ(automatic repeat request)를 통해 오류 정정을 제공한다.

RRC(Radio Resource Control) 계층은 제어 평면에서만 정의된다. RRC 계층은 무선 베어러들의 설정(configuration), 재설정(re-configuration) 및 해제(release)와 관련되어 논리채널, 전송채널 및 물리채널들의 제어를 담당한다. RB는 단말과 네트워크간의 데이터 전달을 위해 제1 계층(PHY 계층) 및 제2 계층(MAC 계층, RLC 계층, PDCP 계층)에 의해 제공되는 논리적 경로를 의미한다.

사용자 평면에서의 PDCP(Packet Data Convergence Protocol) 계층의 기능은 사용자 데이터의 전달, 헤더 압축(header compression) 및 암호화(ciphering)를 포함한다. 제어 평면에서의 PDCP(Packet Data Convergence Protocol) 계층의 기능은 제어 평면 데이터의 전달 및 암호화/무결정 보호(integrity protection)를 포함한다.

RB가 설정된다는 것은 특정 서비스를 제공하기 위해 무선 프로토콜 계층 및 채널의 특성을 규정하고, 각각의 구체적인 파라미터 및 동작 방법을 설정하는 과정을 의미한다. RB는 다시 SRB(Signaling RB)와 DRB(Data RB) 두가지로 나누어 질 수 있다. SRB는 제어 평면에서 RRC 메시지를 전송하는 통로로 사용되며, DRB는 사용자 평면에서 사용자 데이터를 전송하는 통로로 사용된다.

단말의 RRC 계층과 E-UTRAN의 RRC 계층 사이에 RRC 연결(RRC Connection)이 확립되면, 단말은 RRC 연결(RRC connected) 상태에 있게 되고, 그렇지 못할 경우 RRC 아이들(RRC idle) 상태에 있게 된다.

네트워크에서 단말로 데이터를 전송하는 하향링크 전송채널로는 시스템정보를 전송하는 BCH(Broadcast Channel)과 그 이외에 사용자 트래픽이나 제어메시지를 전송하는 하향링크 SCH(Shared Channel)이 있다. 하향링크 멀티캐스트 또는 브로드캐스트 서비스의 트래픽 또는 제어메시지의 경우 하향링크 SCH를 통해 전송될 수도 있고, 또는 별도의 하향링크 MCH(Multicast Channel)을 통해 전송될 수도 있다. 한편, 단말에서 네트워크로 데이터를 전송하는 상향링크 전송채널로는 초기 제어메시지를 전송하는 RACH(Random Access Channel)와 그 이외에 사용자 트래픽이나 제어메시지를 전송하는 상향링크 SCH(Shared Channel)가 있다.

전송채널 상위에 있으며, 전송채널에 매핑되는 논리채널(Logical Channel)로는 BCCH(Broadcast Control Channel), PCCH(Paging Control Channel), CCCH(Common Control Channel), MCCH(Multicast Control Channel), MTCH(Multicast Traffic Channel) 등이 있다.

물리채널(Physical Channel)은 시간 영역에서 여러 개의 OFDM 심벌과 주파수 영역에서 여러 개의 부반송파(Sub-carrier)로 구성된다. 하나의 서브프레임(Sub-frame)은 시간 영역에서 복수의 OFDM 심벌(Symbol)들로 구성된다. 자원블록은 자원 할당 단위로, 복수의 OFDM 심벌들과 복수의 부반송파(sub-carrier)들로 구성된다. 또한 각 서브프레임은 PDCCH(Physical Downlink Control Channel) 즉, L1/L2 제어채널을 위해 해당 서브프레임의 특정 OFDM 심벌들(예, 첫번째 OFDM 심볼)의 특정 부반송파들을 이용할 수 있다. TTI(Transmission Time Interval)는 서브프레임 전송의 단위시간이다.

이하, 새로운 무선 접속 기술(new radio access technology: new RAT, NR)("5G"라고 부를 수 있음)에 대해 설명한다.

더욱 많은 통신 기기들이 더욱 큰 통신 용량을 요구하게 됨에 따라 기존의 무선 접속 기술(radio access technology; RAT)에 비해 향상된 모바일 브로드밴드(mobile broadband) 통신에 대한 필요성이 대두되고 있다. 또한 다수의 기기 및 사물들을 연결하여 언제 어디서나 다양한 서비스를 제공하는 매시브 MTC(massive Machine Type Communications) 역시 차세대 통신에서 고려될 주요 이슈 중 하나이다. 뿐만 아니라 신뢰도(reliability) 및 지연(latency)에 민감한 서비스/단말을 고려한 통신 시스템 디자인이 논의되고 있다. 이와 같이 확장된 모바일 브로드밴드 커뮤니케이션(enhanced mobile broadband communication), massive MTC, URLLC (Ultra-Reliable and Low Latency Communication) 등을 고려한 차세대 무선 접속 기술의 도입이 논의되고 있으며, 본 발명에서는 편의상 해당 기술(technology)을 new RAT, NR 또는 5G라고 부른다.

도 5는 NR이 적용되는 차세대 무선 접속 네트워크(New Generation Radio Access Network: NG-RAN)의 시스템 구조를 예시한다.

도 5를 참조하면, NG-RAN은, 단말에게 사용자 평면 및 제어 평면 프로토콜 종단(termination)을 제공하는 gNB 및/또는 eNB를 포함할 수 있다. 도 4에서는 gNB만을 포함하는 경우를 예시한다. gNB 및 eNB는 상호 간에 Xn 인터페이스로 연결되어 있다. gNB 및 eNB는 5세대 코어 네트워크(5G Core Network: 5GC)와 NG 인터페이스를 통해 연결되어 있다. 보다 구체적으로, AMF(access and mobility management function)과는 NG-C 인터페이스를 통해 연결되고, UPF(user plane function)과는 NG-U 인터페이스를 통해 연결된다.

도 6은 NG-RAN과 5GC 간의 기능적 분할을 예시한다.

도 6을 참조하면, gNB는 인터 셀 간의 무선 자원 관리(Inter Cell RRM), 무선 베어러 관리(RB control), 연결 이동성 제어(Connection Mobility Control), 무선 허용 제어(Radio Admission Control), 측정 설정 및 제공(Measurement configuration & Provision), 동적 자원 할당(dynamic resource allocation) 등의 기능을 제공할 수 있다. AMF는 NAS 보안, 아이들 상태 이동성 처리 등의 기능을 제공할 수 있다. UPF는 이동성 앵커링(Mobility Anchoring), PDU 처리 등의 기능을 제공할 수 있다. SMF(Session Management Function)는 단말 IP 주소 할당, PDU 세션 제어 등의 기능을 제공할 수 있다.

도 7은 본 발명의 기술적 특징이 적용될 수 있는 무선 통신 시스템의 다른 예를 나타낸 도면이다. 구체적으로, 도 7은 5G NR(new radio access technology) 시스템에 기초한 시스템 아키텍처를 도시한다. 5G NR 시스템(이하, 간단히 "NR"이라 칭함)에서 사용되는 개체는 도 2에서 소개된 개체(예를 들어, eNB, MME, S-GW)의 일부 또는 모든 기능을 흡수할 수 있다. NR 시스템에서 사용되는 개체는 LTE와 구별하기 위해 "NG"라는 이름으로 식별될 수 있다.

이하 NR에 대하여, 후술하는 설명의 이해를 돕기 위해, 3GPP TS 38 시리즈(3GPP TS 38.211, 38.212, 38.213, 38.214, 38.331 등)가 참조될 수 있다.

도 7을 참조하면, 무선 통신 시스템은 하나 이상의 UE(11), NG-RAN(next-generation RAN) 및 5세대 코어 네트워크(5GC)를 포함한다. NG-RAN은 적어도 하나의 NG-RAN 노드로 구성된다. NG-RAN 노드는 도 2에 도시된 BS(20)에 대응하는 개체이다. NG-RAN 노드는 적어도 하나의 gNB(21) 및/또는 적어도 하나의 ng-eNB (22)로 구성된다. gNB(21)는 UE(11)를 향한 NR 사용자 평면 및 제어 평면 프로토콜의 종단을 제공한다. Ng-eNB(22)는 UE(11)를 향한 E-UTRA 사용자 평면 및 제어 평면 프로토콜의 종단을 제공한다.

5GC는 AMF(access and mobility management function), UPF(user plane function) 및 SMF(session management function)을 포함한다. AMF는 NAS 보안, 아이들 상태 이동성 처리 등과 같은 기능을 호스트 한다. AMF는 종래 MME의 기능을 포함하는 개체이다. UPF는 이동성 앵커링, PDU(protocol data unit) 처리와 같은 기능을 호스트 한다. UPF는 종래의 S-GW의 기능을 포함하는 개체이다. SMF는 UE IP 주소 할당, PDU 세션 제어와 같은 기능을 호스트 한다.

gNB와 ng-eNB는 Xn 인터페이스를 통해 상호 연결된다. gNB 및 ng-eNB는 또한 NG 인터페이스를 통해 5GC에 연결된다. 보다 구체적으로는, NG-C 인터페이스를 통해 AMF에, 그리고 NG-U 인터페이스를 통해 UPF에 연결된다.

도 8은 본 발명의 기술적 특징이 적용될 수 있는 무선 통신 시스템의 또 다른 예를 나타낸 도면이다. 구체적으로, 도 8은 LTE 시스템에 기초한 시스템 아키텍처를 도시한다. NR에서 사용되는 개체는 도 5에서 소개된 개체(예를 들어, gNB, AMF, UPF)의 일부 또는 모든 기능을 흡수할 수 있다. LTE 시스템에서 사용되는 개체는 NR과 구별하기 위해 "EN"라는 이름으로 식별될 수 있다.

도 8을 참조하면, 무선 통신 시스템은 하나 이상의 UE(11), E-UTRAN 및 EPC를 포함한다. E-UTRAN은 적어도 하나의 E-UTRAN 노드로 구성된다. E-UTRAN 노드는 도 2에 도시된 BS(20)에 대응하는 개체이다. E-UTRAN 노드는 적어도 하나의 en-gNB(23) 및/또는 적어도 하나의 eNB(20)로 구성된다. en-gNB(23)는 UE(11)를 향한 NR 사용자 평면 및 제어 평면 프로토콜의 종단을 제공한다. eNB(20)는 UE(11)를 향한 E-UTRAN 사용자 평면 및 제어 평면 프로토콜의 종단을 제공한다.

EPC는 MME 및 S-GW를 포함한다. en-gNB와 eNB는 X2 인터페이스를 통해 상호 연결된다. en-gNB 및 eNB는 S1 인터페이스를 통해 EPC에 연결된다. 보다 구체적으로는, S1-U 및/또는 S1 인터페이스를 통해 MME 및/또는 S-GW에 연결된다.

도 9는 본 발명의 기술적 특징이 적용될 수 있는 5G 사용 시나리오의 예를 나타낸 도면이다. 도 9에 도시된 5G 사용 시나리오는 단지 예시적인 것이며, 본 발명의 기술적 특징은 도 9에 도시되지 않은 다른 5G 사용 시나리오에도 적용될 수 있다.

도 9를 참조하면, 5G의 세 가지 주요 요구 사항 영역은 (1) 개선된 모바일 광대역(eMBB; enhanced mobile broadband) 영역, (2) 다량의 머신 타입 통신(mMTC; massive machine type communication) 영역 및 (3) 초-신뢰 및 저 지연 통신(URLLC; ultra-reliable and low latency communications) 영역을 포함한다. 일부 사용 예는 최적화를 위해 다수의 영역을 요구할 수 있고, 다른 사용 예는 단지 하나의 핵심 성능 지표(KPI; key performance indicator)에만 포커싱 할 수 있다. 5G는 이러한 다양한 사용 예들을 유연하고 신뢰할 수 있는 방법으로 지원하는 것이다.

eMBB는 데이터 속도, 지연, 사용자 밀도, 모바일 광대역 접속의 용량 및 커버리지의 전반적인 향상에 중점을 둔다. eMBB는 10Gbps 정도의 처리량을 목표로 한다. eMBB는 기본적인 모바일 인터넷 접속을 훨씬 능가하게 하며, 풍부한 양방향 작업, 클라우드 또는 증강 현실에서 미디어 및 엔터테인먼트 애플리케이션을 커버한다. 데이터는 5G의 핵심 동력 중 하나이며, 5G 시대에서 처음으로 전용 음성 서비스를 볼 수 없을 수 있다. 5G에서, 음성은 단순히 통신 시스템에 의해 제공되는 데이터 연결을 사용하여 응용 프로그램으로서 처리될 것으로 기대된다. 증가된 트래픽 양의 주요 원인은 콘텐츠 크기의 증가 및 높은 데이터 전송률을 요구하는 애플리케이션 수의 증가이다. 스트리밍 서비스(오디오 및 비디오), 대화형 비디오 및 모바일 인터넷 연결은 더 많은 장치가 인터넷에 연결될수록 더 널리 사용될 것이다. 이러한 많은 애플리케이션은 사용자에게 실시간 정보 및 알림을 푸쉬하기 위해 항상 켜져 있는 연결성을 필요로 한다. 클라우드 스토리지 및 애플리케이션은 모바일 통신 플랫폼에서 급속히 증가하고 있으며, 이것은 업무 및 엔터테인먼트 모두에 적용될 수 있다. 클라우드 스토리지는 상향링크 데이터 전송률의 성장을 견인하는 특별한 사용 예이다. 5G는 또한 클라우드 상의 원격 업무에도 사용되며, 촉각 인터페이스가 사용될 때 우수한 사용자 경험을 유지하도록 훨씬 더 낮은 단-대-단(end-to-end) 지연을 요구한다. 엔터테인먼트에서 예를 들면, 클라우드 게임 및 비디오 스트리밍은 모바일 광대역 능력에 대한 요구를 증가시키는 또 다른 핵심 요소이다. 엔터테인먼트는 기차, 차 및 비행기와 같은 높은 이동성 환경을 포함하여 어떤 곳에서든지 스마트폰 및 태블릿에서 필수적이다. 또 다른 사용 예는 엔터테인먼트를 위한 증강 현실 및 정보 검색이다. 여기서, 증강 현실은 매우 낮은 지연과 순간적인 데이터 양을 필요로 한다.

mMTC는 배터리에 의해 구동되는 다량의 저비용 장치 간의 통신을 가능하게 하기 위하여 설계되며, 스마트 계량, 물류, 현장 및 신체 센서와 같은 애플리케이션을 지원하기 위한 것이다. mMTC는 10년 정도의 배터리 및/또는 1km² 당 백만 개 정도의 장치를 목표로 한다. mMTC는 모든 분야에서 임베디드 센서를 원활하게 연결할 수 있게 하며, 가장 많이 예상되는 5G 사용 예 중 하나이다. 잠재적으로 2020년까지 IoT 장치들은 204억 개에 이를 것으로 예측된다. 산업 IoT는 5G가 스마트 도시, 자산 추적(asset tracking), 스마트 유틸리티, 농업 및 보안 인프라를 가능하게 하는 주요 역할을 수행하는 영역 중 하나이다.

URLLC는 장치 및 기계가 매우 신뢰성 있고 매우 낮은 지연 및 높은 가용성으로 통신할 수 있도록 함으로써 차량 통신, 산업 제어, 공장 자동화, 원격 수술, 스마트 그리드 및 공공 안전 애플리케이션에 이상적이다. URLLC는 1ms의 정도의 지연을 목표로 한다. URLLC는 주요 인프라의 원격 제어 및 자율 주행 차량과 같은 초 신뢰/지연이 적은 링크를 통해 산업을 변화시킬 새로운 서비스를 포함한다. 신뢰성과 지연의 수준은 스마트 그리드 제어, 산업 자동화, 로봇 공학, 드론 제어 및 조정에 필수적이다.

다음으로, 도 9의 삼각형 안에 포함된 다수의 사용 예에 대해 보다 구체적으로 살펴본다.

5G는 초당 수백 메가 비트에서 초당 기가 비트로 평가되는 스트림을 제공하는 수단으로 FTTH(fiber-to-the-home) 및 케이블 기반 광대역(또는 DOCSIS)을 보완할 수 있다. 이러한 빠른 속도는 가상 현실(VR; virtual reality)과 증강 현실(AR; augmented reality) 뿐 아니라 4K 이상(6K, 8K 및 그 이상)의 해상도로 TV를 전달하는 데에 요구될 수 있다. VR 및 AR 애플리케이션은 거의 몰입형(immersive) 스포츠 경기를 포함한다. 특정 애플리케이션은 특별한 네트워크 설정이 요구될 수 있다. 예를 들어, VR 게임의 경우, 게임 회사가 지연을 최소화하기 위해 코어 서버를 네트워크 오퍼레이터의 에지 네트워크 서버와 통합해야 할 수 있다.

자동차(Automotive)는 차량에 대한 이동 통신을 위한 많은 사용 예와 함께 5G에 있어 중요한 새로운 동력이 될 것으로 예상된다. 예를 들어, 승객을 위한 엔터테인먼트는 높은 용량과 높은 모바일 광대역을 동시에 요구한다. 그 이유는 미래의 사용자는 그들의 위치 및 속도와 관계 없이 고품질의 연결을 계속해서 기대하기 때문이다. 자동차 분야의 다른 사용 예는 증강 현실 대시보드이다. 운전자는 증강 현실 대비보드를 통해 앞면 창을 통해 보고 있는 것 위에 어둠 속에서 물체를 식별할 수 있다. 증강 현실 대시보드는 물체의 거리와 움직임에 대해 운전자에게 알려줄 정보를 겹쳐서 디스플레이 한다. 미래에, 무선 모듈은 차량 간의 통신, 차량과 지원하는 인프라구조 사이에서 정보 교환 및 자동차와 다른 연결된 장치(예를 들어, 보행자에 의해 수반되는 장치) 사이에서 정보 교환을 가능하게 한다. 안전 시스템은 운전자가 보다 안전한 운전을 할 수 있도록 행동의 대체 코스를 안내하여 사고의 위험을 낮출 수 있게 한다. 다음 단계는 원격 조종 차량 또는 자율 주행 차량이 될 것이다. 이는 서로 다른 자율 주행 차량 사이 및/또는 자동차와 인프라 사이에서 매우 신뢰성이 있고 매우 빠른 통신을 요구한다. 미래에, 자율 주행 차량이 모든 운전 활동을 수행하고, 운전자는 차량 자체가 식별할 수 없는 교통 이상에만 집중하도록 할 것이다. 자율 주행 차량의 기술적 요구 사항은 트래픽 안전을 사람이 달성할 수 없을 정도의 수준까지 증가하도록 초 저 지연과 초고속 신뢰성을 요구한다.

스마트 사회로서 언급되는 스마트 도시와 스마트 홈은 고밀도 무선 센서 네트워크로 임베디드 될 것이다. 지능형 센서의 분산 네트워크는 도시 또는 집의 비용 및 에너지 효율적인 유지에 대한 조건을 식별할 것이다. 유사한 설정이 각 가정을 위해 수행될 수 있다. 온도 센서, 창 및 난방 컨트롤러, 도난 경보기 및 가전 제품은 모두 무선으로 연결된다. 이러한 센서 중 많은 것들이 전형적으로 낮은 데이터 전송 속도, 저전력 및 저비용을 요구한다. 하지만, 예를 들어, 실시간 HD 비디오는 감시를 위해 특정 타입의 장치에서 요구될 수 있다.

<인공 지능(AI: Artificial Intelligence)>

인공 지능은 인공적인 지능 또는 이를 만들 수 있는 방법론을 연구하는 분야를 의미하며, 머신 러닝(기계 학습, Machine Learning)은 인공 지능 분야에서 다루는 다양한 문제를 정의하고 그것을 해결하는 방법론을 연구하는 분야를 의미한다. 머신 러닝은 어떠한 작업에 대하여 꾸준한 경험을 통해 그 작업에 대한 성능을 높이는 알고리즘으로 정의하기도 한다.

인공 신경망(ANN: Artificial Neural Network)은 머신 러닝에서 사용되는 모델로써, 시냅스의 결합으로 네트워크를 형성한 인공 뉴런(노드)들로 구성되는, 문제 해결 능력을 가지는 모델 전반을 의미할 수 있다. 인공 신경망은 다른 레이어의 뉴런들 사이의 연결 패턴, 모델 파라미터를 갱신하는 학습 과정, 출력값을 생성하는 활성화 함수(Activation Function)에 의해 정의될 수 있다.

인공 신경망은 입력층(Input Layer), 출력층(Output Layer), 그리고 선택적으로 하나 이상의 은닉층(Hidden Layer)를 포함할 수 있다. 각 층은 하나 이상의 뉴런을 포함하고, 인공 신경망은 뉴런과 뉴런을 연결하는 시냅스를 포함할 수 있다. 인공 신경망에서 각 뉴런은 시냅스를 통해 입력되는 입력 신호들, 가중치, 편향에 대한 활성 함수의 함숫값을 출력할 수 있다.

모델 파라미터는 학습을 통해 결정되는 파라미터를 의미하며, 시냅스 연결의 가중치와 뉴런의 편향 등이 포함된다. 그리고, 하이퍼파라미터는 머신 러닝 알고리즘에서 학습 전에 설정되어야 하는 파라미터를 의미하며, 학습률(Learning Rate), 반복 횟수, 미니 배치 크기, 초기화 함수 등이 포함된다.

인공 신경망의 학습의 목적은 손실 함수를 최소화하는 모델 파라미터를 결정하는 것으로 볼 수 있다. 손실 함수는 인공 신경망의 학습 과정에서 최적의 모델 파라미터를 결정하기 위한 지표로 이용될 수 있다.

머신 러닝은 학습 방식에 따라 지도 학습(Supervised Learning), 비지도 학습(Unsupervised Learning), 강화 학습(Reinforcement Learning)으로 분류할 수 있다.

지도 학습은 학습 데이터에 대한 레이블(label)이 주어진 상태에서 인공 신경망을 학습시키는 방법을 의미하며, 레이블이란 학습 데이터가 인공 신경망에 입력되는 경우 인공 신경망이 추론해 내야 하는 정답(또는 결과 값)을 의미할 수 있다. 비지도 학습은 학습 데이터에 대한 레이블이 주어지지 않는 상태에서 인공 신경망을 학습시키는 방법을 의미할 수 있다. 강화 학습은 어떤 환경 안에서 정의된 에이전트가 각 상태에서 누적 보상을 최대화하는 행동 혹은 행동 순서를 선택하도록 학습시키는 학습 방법을 의미할 수 있다.

인공 신경망 중에서 복수의 은닉층을 포함하는 심층 신경망(DNN: Deep Neural Network)으로 구현되는 머신 러닝을 딥 러닝(심층 학습, Deep Learning)이라 부르기도 하며, 딥 러닝은 머신 러닝의 일부이다. 이하에서, 머신 러닝은 딥 러닝을 포함하는 의미로 사용된다.

<로봇(Robot)>

로봇은 스스로 보유한 능력에 의해 주어진 일을 자동으로 처리하거나 작동하는 기계를 의미할 수 있다. 특히, 환경을 인식하고 스스로 판단하여 동작을 수행하는 기능을 갖는 로봇을 지능형 로봇이라 칭할 수 있다.

로봇은 사용 목적이나 분야에 따라 산업용, 의료용, 가정용, 군사용 등으로 분류할 수 있다.

로봇은 액츄에이터 또는 모터를 포함하는 구동부를 구비하여 로봇 관절을 움직이는 등의 다양한 물리적 동작을 수행할 수 있다. 또한, 이동 가능한 로봇은 구동부에 휠, 브레이크, 프로펠러 등이 포함되어, 구동부를 통해 지상에서 주행하거나 공중에서 비행할 수 있다.

<자율 주행(Self-Driving, Autonomous-Driving)>

자율 주행은 스스로 주행하는 기술을 의미하며, 자율 주행 차량은 사용자의 조작 없이 또는 사용자의 최소한의 조작으로 주행하는 차량(Vehicle)을 의미한다.

예컨대, 자율 주행에는 주행중인 차선을 유지하는 기술, 어댑티브 크루즈 컨트롤과 같이 속도를 자동으로 조절하는 기술, 정해진 경로를 따라 자동으로 주행하는 기술, 목적지가 설정되면 자동으로 경로를 설정하여 주행하는 기술 등이 모두 포함될 수 있다.

차량은 내연 기관만을 구비하는 차량, 내연 기관과 전기 모터를 함께 구비하는 하이브리드 차량, 그리고 전기 모터만을 구비하는 전기 차량을 모두 포괄하며, 자동차뿐만 아니라 기차, 오토바이 등을 포함할 수 있다.

이때, 자율 주행 차량은 자율 주행 기능을 가진 로봇으로 볼 수 있다.

<확장 현실(XR: eXtended Reality)>

확장 현실은 가상 현실(VR: Virtual Reality), 증강 현실(AR: Augmented Reality), 혼합 현실(MR: Mixed Reality)을 총칭한다. VR 기술은 현실 세계의 객체나 배경 등을 CG 영상으로만 제공하고, AR 기술은 실제 사물 영상 위에 가상으로 만들어진 CG 영상을 함께 제공하며, MR 기술은 현실 세계에 가상 객체들을 섞고 결합시켜서 제공하는 컴퓨터 그래픽 기술이다.

MR 기술은 현실 객체와 가상 객체를 함께 보여준다는 점에서 AR 기술과 유사하다. 그러나, AR 기술에서는 가상 객체가 현실 객체를 보완하는 형태로 사용되는 반면, MR 기술에서는 가상 객체와 현실 객체가 동등한 성격으로 사용된다는 점에서 차이점이 있다.

XR 기술은 HMD(Head-Mount Display), HUD(Head-Up Display), 휴대폰, 태블릿 PC, 랩탑, 데스크탑, TV, 디지털 사이니지 등에 적용될 수 있고, XR 기술이 적용된 장치를 XR 장치(XR Device)라 칭할 수 있다.

무선 네트워크에서의 보안 모니터링

본 실시예에 따른 무선 네트워크는 네트워크 보안 아키텍쳐에 의해 구성될 수 있다. 네트워크 보안 아키텍처는 적어도 하나의 NMF(network monitoring function)를 포함할 수 있다. 여기서, NMF는 네트워크 노드에 전개되는(deployed) 딥 패킷 감시(deep packet inspection: DPI) 기능 또는 전용의(dedicated) DPI 네트워크 노드에 의해 구현될 수 있다. NMF는 그 기능이 위치하는 노드에 따라서 NMSF와 NMCF로 구분될 수 있다. 즉, NMSF는 네트워크 노드로서 서버의 일종일 수 있고, 다른 서버 내의 모듈 또는 기능 형태로 구현될 수도 있다. NMCF는 그 자체로 단말 또는 IoT 디바이스의 일종이거나, 다른 단말 또는 IoT 디바이스 내의 모듈 또는 기능 형태로 구현되 수 있다. 예를 들어 NMCF는 소프트웨어로서 단말의 칩 또는 메모리에 저장되고, 단말(또는 클라이언트 노드)의 보안 또는 성능을 모니터링하는 동작을 수행할 수 있다. 이러한 NMSF와 NMCF를 포함하는 네트워크 보안 아키텍처는 본 명세서에 개시된 LTE, 5G, 5G NPN 등 다양한 네트워크에 적용될 수 있다.

네트워크의 보안 및 성능 모니터링을 위해 무선접속망(RAN)내의 개체 또는 코어망 내의 개체에는 NMSF가 구비되고, 사용자 단말에는 NMCF가 구비될 수 있다. 그리고 NMSF와 NMCF간에는 특정한 프로토콜이 정의되어 성능 또는 보안에 관련된 신호를 주고 받을 수 있다. 즉 네트워크에 NMSF와 NMCF가 구비되면, 네트워크 운영자는 네트워크 노드들과 종단 사용자 단말간의 통신 경로상에서 발생하는 다양한 보안 및 성능 상의 문제를 모니터링할 수 있고, 그에 따라 네트워크 종류에 기반하여 제공되는 다양한 서비스(i.e. 5G URLLC 서비스)를 효율적으로 제공할 수 있다. 또한, NMCF가 구비되면, 능동적인(active) RTT 검사가 가능하다. 능동적인 RTT 검사는 RTT 검사를 위해 네트워크에 연결하기 위한 패킷을 강제적으로 전송하는 방식을 의미한다. 즉 NMCF는 주기적으로 또는 비주기적으로 RTT 검사를 위한 패킷을 능동적으로 전송함으로써, NMSF가 해당 패킷에 기반하여 RTT를 검사할 수 있도록 한다.

한편, 본 실시예에 따른 네트워크 보안 아키텍처가 네트워크에 적용되는 시나리오는 2가지이다. 제1 시나리오는 비교적 개방적인 성격의 서비스를 제공하는 네트워크에 대한 것이고, 제2 시나리오는 재난망과 같이 폐쇄적 성격이 강한 네트워크 연결 중심(network connect oriented)의 서비스를 제공하는 네트워크에 대한 것이다. 어느 시나리오에서든 NMCF는 네트워크에 연결된 단말들에 통합되어(integraged) 단말의 보안을 모니터링할 수 있고, NMSF는 네트워크 내에서 별도의 노드로서 존재하며 네트워크 경로에 흐르는 패킷들을 L3 스위칭을 통해 미러링하며 네트워크 보안을 모니터링할 수 있다.

다만, 제1 시나리오에서는 NMSF가 IP를 할당받아 네트워크에 직접 연결 가능하기 때문에 NMCF와 NMSF가 직접적으로 보안 관련 정보를 교환할 수 있는 있는 반면, 제2 시나리오에서는 NMSF가 외부기기에 해당하여 IP를 할당받지 못하므로 네트워크에 직접 연결 가능하지 않다. 따라서 제2 시나리오에서는 NMSF가 NMCF의 보안 관련 패킷을 직접 수신할 수 없고, NMCF에 직접 보안 관련 지시를 할 수 없다.

도 10을 참조하면, NMCF가 통합된 단말은 단말의 보안 모니터링을 수행하고, 보안 모니터링 결과를 지시하는 보안 검사 패킷을 생성하여 네트워크로 전송한다. 여기서, NMSF는 자체적인 IP를 할당받았으므로, 네트워크 내에서 상기 보안 패킷의 목적지는 NMSF일 수 있다. 즉 NMSF는 NMCF로부터 상기 보안 검사 패킷을 직접 수신할 수 있다.

단말의 보안 모니터링은 예시적으로 단말의 시스템 로그 파일을 감시하는 동작, 화이트 리스트 내에 포함된 허용된 IP 이외의 IP로부터 단말에 접근 시도가 발생하는지 판단하는 동작, 단말에 대한 패킷 정보를 분석하는 동작, 단말의 상태 정보를 분석하는 동작 및 단말에 대한 연결 가능 여부를 나타내는 얼라이브 정보를 획득하는 동작의 적어도 일부를 포함할 수 있다.

일례로서, 단말의 시스템 로그 파일을 감시하는 동작은 허용되지 않은 IP 로부터 단말로 로그인 (Login) 시도가 발생하였을 때 보안 문제가 발생한 것으로 판단하는 과정을 포함할 수 있다.

다른 예로서, 단말의 시스템 로그 파일을 감시하는 동작은 단말에서 알려지지 않은 프로세스의 동작이 발생하였을 때 보안 문제가 발생한 것으로 판단하는 과정을 포함할 수 있다.

또 다른 예로서, 단말의 시스템 로그 파일을 감시하는 동작은 단말로 미리 결정된 시간 길이 구간 동안 미리 결정된 횟수 이상의 로그인 실패가 발생하였을 때 보안 문제가 발생한 것으로 판단하는 과정을 포함할 수 있다.

또 다른 예로서, 단말의 상태 정보를 분석하는 동작은 단말의 내부 정보(internal information)가 미리 설정한 임계값 이상일 때 보안 문제가 발생한 것으로 판단하는 과정을 포함할 수 있다. 여기서, 내부 정보는 예를 들어 단말의 CPU 사용량(usage) 또는 메모리 사용량일 수 있다.

또 다른 예로서, 단말의 상태 정보를 분석하는 동작은 단말에 부가 매체가 연결 또는 연결 해제되는 이벤트가 발생한 경우 보안 문제가 발생한 것으로 판단하는 과정을 포함할 수 있다.

또 다른 예로서, 얼라이브 정보를 획득하는 동작은 미리 결정한 임계값의 시간 길이 구간 이상으로 단말에 접속이 불가능하다는 결정, ARP(Address Resolution Protocol) 내에 디바이스 IP 가 존재하지 않는다는 결정 중 적어도 하나를 기반으로 보안 문제가 발생한 것으로 판단하는 과정을 포함할 수 있다.

위와 같이 보안 문제가 발생한 것으로 판단되면, 단말(또는 NMCF)은 보안 모니터링 결과를 지시하는 보안 검사 패킷을 생성한다.

보안 검사 패킷은 주기적으로 또는 비주기적으로 생성 및 전송될 수 있다.

도 11은 제1 시나리오에 따른 보안 패킷 구조이다.

도 11을 참조하면, 보안 검사 패킷은 TCP 패킷 포맷으로서, TCP 헤더와 TCP 페이로드를 포함한다. TCP 페이로드는 UID(user ID) 필드, 길이 필드 및 모니터링 결과 필드를 포함할 수 있다. 일례로서, UID 필드, 길이 필드, 모니터링 결과 필드는 다음의 표 1과 같이 정의될 수 있다.

Field	Byte length	Description
UID	4	This field indicates a user ID of UE
Length	2	This field indicates the byte length of the monitoring result field
Monitoring Result	Variable	This field indicates alive information, CPU usage and memory usage of UE

표 1을 참조하면, UID 필드는 4바이트로서 단말의 사용자 ID 또는 식별정보를 지시하고, 길이 필드는 2바이트로서 길이 필드 다음에 올 모니터링 결과 필드의 바이트 길이를 지시하며, 모니터링 결과 필드는 단말의 보안 모니터링 결과들(단말의 얼라이브 정보, CPU 사용량, 메모리 사용량 등)을 지시한다. 다시 도 10을 참조하면, NMCF로부터 보안 검사 패킷을 수신한 NMSF는 보안 검사 패킷에 기반하여 단말의 보안 모니터링 결과를 확인하고, 보안 검사 패킷이 거쳐온 구간(무선 구간, 네트워크 구간 포함)에 대한 RTT 검사를 수행할 수 있다. 즉, 보안 검사 패킷은 그 자체로서 단말의 보안 모니터링 결과를 제공할 뿐만 아니라, 능동적 RTT 검사의 매개 패킷으로서 네트워크 구간에 대한 보안 모니터링을 수행하는데 사용될 수 있다.

구체적으로, NMCF는 보안 검사 패킷의 전송을 위해 3-way 핸드쉐이킹 절차를 이용하여 TCP 연결을 시도하고, 보안 검사 패킷을 NMSF로 전송한다. NMSF는 보안 검사 패킷의 전송을 위해 이루어지는 3-way 핸드쉐이킹 절차를 이용하여 RTT 검사를 수행한다. 보안 검사 패킷이 전송되는 주기 또는 시점에 관한 정보가 NMSF와 NMCF 간에 미리 규약되어 있는 환경에서, NMSF는 해당 주기 또는 시점마다 RTT 검사를 수행할 수 있다. 즉 NMSF는 적어도 NMCF가 어떠한 주기 또는 시점에 보안 검사 패킷을 전송할지 미리 인지하고, 보안 검사 패킷의 전송에 수반되는 3-way 핸드쉐이킹 절차를 이용하여 RTT 검사를 수행한다. 이때 NMSF는 3-way 핸드쉐이킹 절차에서 교환되는 신호들을 미러링함으로써 RTT 검사를 수행할 수 있다.

그리고 NMSF는 보안 검사 패킷에서 TCP 헤더가 제거된 데이터 부분을 전달받고, UID를 통해 어느 단말(또는 어느 NMCF)로부터 보안 검사 패킷이 전송되었는지 식별하며, 길이 필드에 의해 지시되는 특정 길이에 따른 모니터링 결과 필드를 복호화하며, 복호화된 모니터링 결과 필드로부터 단말의 보안 문제 발생 여부를 확인할 수 있다.

도 12를 참조하면, NMCF가 통합된 단말은 단말의 보안 모니터링을 수행하고, 보안 모니터링 결과를 지시하는 보안 검사 패킷을 생성하여 네트워크로 전송한다. 여기서, NMSF는 자체적인 IP를 할당받지 못한 상태이므로, 네트워크 내에서 상기 보안 패킷의 목적지는 NMSF가 아닌 다른 서버일 수 있다. 즉 NMSF는 NMCF로부터 상기 보안 검사 패킷을 직접 수신할 수 없다.

도 13은 제2 시나리오에 따른 보안 패킷 구조이다.

도 13을 참조하면, 보안 검사 패킷은 UDP 패킷 포맷으로서, UDP 헤더와 UDP 페이로드를 포함한다. UDP 페이로드는 UID(user ID) 필드, 길이 필드 및 모니터링 결과 필드를 포함할 수 있다. 일례로서, UID 필드, 길이 필드, 모니터링 결과 필드는 다음의 표 2와 같이 정의될 수 있다.

표 2를 참조하면, UID 필드는 4바이트로서 단말의 사용자 ID 또는 식별정보를 지시하고, 길이 필드는 2바이트로서 길이 필드 다음에 올 모니터링 결과 필드의 바이트 길이를 지시하며, 모니터링 결과 필드는 단말의 보안 모니터링 결과들(단말의 얼라이브 정보, CPU 사용량, 메모리 사용량 등)을 지시한다. 다시 도 12를 참조하면, NMSF는 보안 검사 패킷을 직접 수신할 수 없으므로, 보안 검사 패킷이 거쳐가는 구간(무선 구간, 네트워크 구간 포함)에 대한 RTT 검사를 수행할 수 있다.

구체적으로, NMCF는 보안 검사 패킷의 전송을 위해 3-way 핸드쉐이킹 절차를 이용하여 TCP 연결을 시도하고, 보안 검사 패킷을 서버로 전송한다. NMSF는 NMCF와 서버간에 보안 검사 패킷의 전송을 위해 이루어지는 3-way 핸드쉐이킹 절차를 이용하여 RTT 검사를 수행한다. 보안 검사 패킷이 전송되는 주기 또는 시점에 관한 정보가 NMSF와 NMCF 간에 미리 규약되어 있는 환경에서, NMSF는 해당 주기 또는 시점마다 RTT 검사를 수행할 수 있다. 즉 NMSF는 적어도 NMCF가 어떠한 주기 또는 시점에 보안 검사 패킷을 전송할지 미리 인지하고, 보안 검사 패킷의 전송에 수반되는 3-way 핸드쉐이킹 절차를 이용하여 RTT 검사를 수행한다. 이때 NMSF는 3-way 핸드쉐이킹 절차에서 교환되는 신호들을 미러링함으로써 RTT 검사를 수행할 수 있다.

본 명세서에 따른 NMCF와 NMSF는 제1 시나리오에 따른 실시예와 제2 시나리오에 따른 실시예 중 어느 하나를 선택적으로 수행하도록 구성될 수도 있고, 두가지를 모두 수행하도록 구성될 수도 있다. NMCF와 NMSF는 제1 시나리오에 따른 실시예로 동작하는 제1 모드와, 제2 시나리오에 따른 실시예로 동작하는 제2 모드를 지원할 수 있다. 또는 NMCF와 NMSF는 네트워크 상황에 따라 적응적으로 모드를 변경할 수도 있다. 예를 들어 NMSF가 IP를 할당 받기 전에는 제2 모드로 동작하다가, IP를 할당 받은 이후부터는 제2 모드로 동작하도록 구성될 수도 있다.

5G NPN과 네트워크 보안 모니터링

도 14는 본 발명의 기술적 특징이 적용될 수 있는 무선 통신 시스템의 또 다른 예를 나타낸 도면이다. 구체적으로, 도 14는 5G NPN(non-public network) 시스템에 기초한 시스템 아키텍처를 도시한다. 3GPP TS 22.261에 따르면, NPN은 사설 네트워크로 불리우며, 기업의 사설망 구축을 위해 사용될 수 있으며 5G 통신 시스템의 가상 및 물리적 요소를 사용하는 다양한 구성(configuration)으로 구현될 수 있다. 여기서, NPN은 완전히 독립적인 네트워크로 존재할 수도 있고, PLMN에 의해 호스팅될 수도 있으며, PLMN의 슬라이스 형태로 제공될 수도 있다. 이 밖에도 NPN은 기업 업무망, 기업 전용망, 기업 사설망, 정부 업무망, 정부 전용망, 정부 사설망, 스마트 팩토리 전용망, 스마트 시티 전용망 등 다양한 다른 명칭으로 불릴 수 있다.

5G NPN은 고품질의 서비스 요구사항, 전용의 보안 크리덴셜(credential)을 사용하는 높은 보안 요구사항, 보안/프라이버시/성능/안전의 보장 및 오동작 방지를 위한 공공 5G 네트워크로부터의 격리(isolation)를 위해 바람직하다.

5G 기술은 5G의 요구사항인 URLLC를 이용하여 스마트 공장과 스마트 시티에서의 실시간 IoT 장치들에 기반한 5G 버티컬(vertical) 서비스를 구축하는데 사용된다. 이러한 5G 버티컬 서비스들이 5G NPN으로 구현되는 경우, 5G NPN은 IoT 장치들의 시간민감(time-sensitive) 데이터를 처리할 때 보안과 성능의 관점에서 5G의 요구사항을 만족해야 한다.

도 14를 참조하면, 5G NPN은 RAN과 5GC를 포함할 수 있다. 5G NPN에는 다른 NPN과의 식별을 위한 ID(NPN ID)가 할당될 수 있다. 여러 서비스 제공자들(service provider: SP) SP#1, SP#2, 쪋 SP#N이 5G NPN에 캠핑(caping) 또는 연결된(connected) 각 단말들 (UE#A, UE#B)에게 URLLC 패킷 서비스를 제공할 수 있다. 5G NPN 보안 아키텍쳐는 네트워크 내부 또는 외부로부터의 위협을 효과적으로 제거하고 그에 따른 위험을 최소화함으로써 URLLC 요구사항을 만족하는 버티컬 서비스를 제공할 수 있다.

이하에서는 도 14를 기초로 NMSF와 NMCF를 포함하는 5G NPN 아키텍쳐를 구성하는 방법에 관하여 개시된다.

도 15를 참조하면, NMCF는 모듈로서 5G NPN을 구성하는 단말(또는 클라이언트 노드)에 융합된 형태(integrated)로서 구성될 수 있다. 예를 들어 NMCF는 소프트웨어로서 단말의 칩 또는 메모리에 저장되고, 단말(또는 클라이언트 노드)의 보안 또는 성능을 모니터링하는 동작을 수행할 수 있다.

NMSF는 5G NPN을 구성하는 컴퓨팅 집합 내의 특정 네트워크 노드에 융합된 형태(integrated)로서 구성될 수 있다. 일례로서, NMSF는 컴퓨팅 집합인 MEC (multiple-access edge computing) 또는 MEC 내의 적어도 하나의 노드(예를 들어 서버 노드)에 융합된 형태로서 구성될 수 있다. 이때 NMSF는 소프트웨어로서 상기 적어도 하나의 노드 내의 칩 또는 메모리에 저장되어, 상기 적어도 하나의 노드에서 입출력되는 N6 인터페이스의 패킷들을 통해 5G NPN의 보안 또는 성능을 모니터링하는 동작을 수행할 수 있다. 여기서 MEC는 분산 클라우드 컴퓨팅 기술을 적용하여 다양한 서비스와 캐싱 콘텐츠를 이용자 단말에 가까이 전개함으로써 코어 네트워크의 혼잡을 완화하고, 새로운 로컬 서비스를 창출하는 기술이다.

NMCF는 사용자 단말, 특히 IoT 장치에 융합되어 gNB와 통신을 수행할 수 있다. NMCF를 IoT 장치에 실장(mounting)하는 것은 5G NPN에서 보안과 URLLC 성능을 보장하기 위한 효과적인 수단들 중에 하나이다. NMCF는 소프트웨어로 구현될 수 있으며, 종단 검출 및 응답(endpoint detection and response : EDR 엔터티 또는 마이크로 엔진(micro engine : ME)라 불릴 수 있다. NMCF 서버는 5G NPN 내에 또는 엣지 클라우드(edge cloud)에 또는 공용 네트워크 도메인 내에 위치할 수 있다. 단말들은 gNB와 무선으로 연결된다. 각 단말은 gNB로 패킷을 전송하거나 gNB로부터 패킷을 수신한다. gNB는 5G 코어망에 연결되거나 N3 인터페이스(또는 GTP 터널)을 통해 로컬 네트워크에 연결될 수 있다. 이때 패킷들은 N3 인터페이스를 통해 흐른다.

도 16을 참조하면, NMCF는 모듈로서 5G NPN을 구성하는 단말(또는 클라이언트 노드)에 융합된 형태로서 구성될 수 있다. 예를 들어 NMCF는 소프트웨어로서 단말의 칩 또는 메모리에 저장되고, 단말(또는 클라이언트 노드)의 보안 또는 성능을 모니터링하는 동작을 수행할 수 있다.

NMSF는 5G NPN을 구성하는 독립적인 네트워크 노드로서, 다른 네트워크 노드 또는 엔터티와 분리되어 구성될 수 있다. 예를 들어, NMSF는 UPF 또는 MEC로부터 분리된 독립적인 네트워크 노드로서 구성될 수 있다.

일 측면에서, NMSF는 UPF의 입력단 또는 출력단(예를 들어 N3 인터페이스)에 커플링되거나 MEC의 입력단 또는 출력단에 커플링되어, N3 인터페이스의 패킷들을 통해 5G NPN의 보안 또는 성능을 모니터링할 수 있다. NMSF가 UPF의 출력단에 커플링되는 경우, 5G NPN 보안 아키텍처는 N3 인터페이스의 패킷들을 미러링하기 위해 N3 인터페이스를 분기시키는 스위치 장치를 더 구비할 수 있다.

NMCF와 NMSF는 상호간에 NMCF에서의 모니터링 결과와 같은 보안 관련 신호를 공유하기 위해 예를 들어 N3 인터페이스를 통해 통신을 수행할 수 있으며, 보안 관련 신호의 공유는 NMSF를 위해 지정된(designated) IP에 기반할 수 있다. 만약 5G NPN이 IPSec과 같은 노드와 노드간 암호화 기능(encryption function)을 사용하는 경우, NMSF는 상기 노드로부터 해독된 패킷이 출력되는 지점에 구성될 수 있다.

도 17은 또 다른 예에 따른 네트워크 보안 모니터링 기능을 제공하는 5G NPN 보안 아키텍쳐이다. 도 17에서는 복수의 NMSF가 하나의 5G NPN 내에 구성되는 점에서 도 15 및 도 16과 다르다.

도 17을 참조하면, NMCF는 모듈로서 5G NPN을 구성하는 단말(또는 클라이언트 노드)에 융합된 형태로서 구성될 수 있다. 예를 들어 NMCF는 소프트웨어로서 단말의 칩 또는 메모리에 저장되고, 단말(또는 클라이언트 노드)의 보안 또는 성능을 모니터링하는 동작을 수행할 수 있다.

복수의 NMSF가 5G NPN 내에서 구성될 수 있다. 제1 NMSF는 5G NPN을 구성하는 컴퓨팅 집합 내의 특정 네트워크 노드에 융합된 형태(integrated)로서 구성될 수 있다. 일례로서, 제1 NMSF는 컴퓨팅 집합인 MEC 또는 MEC 내의 적어도 하나의 노드(예를 들어 서버 노드)에 융합된 형태로서 구성될 수 있다. 이때 제1 NMSF는 소프트웨어로서 상기 적어도 하나의 노드 내의 칩 또는 메모리에 저장되어, 상기 적어도 하나의 노드에서 입출력되는 N6 인터페이스의 패킷들을 통해 5G NPN의 보안 또는 성능을 모니터링하는 동작을 수행할 수 있다.

그리고 제2 NMSF는 5G NPN을 구성하는 독립적인 네트워크 노드로서, 다른 네트워크 노드 또는 엔터티와 분리되어 구성될 수 있다. 예를 들어, 제2 NMSF는 UPF 또는 MEC로부터 분리된 독립적인 네트워크 노드로서 구성될 수 있다. 일 측면에서, 제2 NMSF는 UPF의 입력단 또는 출력단에 커플링되어 N3 인터페이스의 패킷들을 통해 5G NPN의 보안 또는 성능을 모니터링할 수 있다. NMSF가 UPF의 출력단에 커플링되는 경우, 5G NPN 보안 아키텍처는 N3 인터페이스의 패킷들을 미러링하기 위해 N3 인터페이스를 분기시키는 스위치 장치를 더 구비할 수 있다.

NMCF와 제1 NMSF 및/또는 제2 NMSF는 상호간에 NMCF에서의 모니터링 결과와 같은 보안 관련 신호를 공유하기 위해 예를 들어 N3 인터페이스를 통해 통신을 수행할 수 있으며, 보안 관련 신호의 공유는 제1 및/또는 제2 NMSF를 위해 지정된(designated) IP에 기반할 수 있다. 만약 5G NPN이 IPSec과 같은 노드와 노드간 암호화 기능(encryption function)을 사용하는 경우, 제1 및/또는 제2 NMSF는 상기 노드로부터 해독된 패킷이 출력되는 지점에 구성될 수 있다.

전술된 도 15 내지 도 17은 하나 또는 둘 이상의 NMSF와 하나 또는 둘 이상의 NMCF가 5G NPN 내에서 다양한 형태로 배치되는 5G NPN 보안 아키텍쳐의 실시예들이다. 그러나 상기 도 15 내지 도 17에 따른 5G NPN 보안 아키텍쳐들은 상호간에 배타적이지 않으며, 네트워크 특성과 비용에 따라 하나 또는 둘 이상이 조합된 실시예로서 구현될 수도 있다. 또한 NMSF와 NMCF가 5G NPN 내에서 전개되는 실시예는 도 15 내지 도 17 이외에도 다양하게 도출될 수 있으며, 예를 들어 NMSF들이 UPF 및/또는 MEC와는 무관한 다른 네트워크 엔터티 또는 네트워크 노드에 융합될 수도 있음은 물론이다.

본 명세서에 따른 5G NPN 보안 아키텍쳐에 따르면, NMSF와 NMCF에 기반하여 효과적인 5G NPN에서의 보안과 성능 모니터링이 달성될 수 있다.

이하에서는 5G NPN 보안 아키텍쳐를 구성하는 NMSF와 NMCF의 기능에 관하여 보다 상세히 개시된다.

먼저 NMSF는 다음의 기능들 중 적어도 하나의 기능을 수행하도록 구성된다.

일례로서, NMSF는 클라이언트 노드와 서버 노드 사이에서 송수신되는 패킷을 미러링함으로써 적어도 하나의 미러링된 패킷을 획득하는 기능을 수행한다. 여기서 클라이언트 노드는 예를 들어 사용자 단말 또는 IoT 장치일 수 있다. 패킷 미러링은 특정 노드에서 교환되는 패킷을 실시간으로 수집하고 분석하는 기법이다. NMSF는 또한 패킷 미러링을 위해 노드간 연결선로를 분기시키는 스위칭 기능 또는 스위칭 장치를 더 포함할 수 있다.

다른 예로서, NMSF는 상기 미러링된 패킷에 포함된 정보에 기반하여 5G NPN의 보안과 성능을 위협하는 비정상적인 동작이나 보안 문제를 판단하는 기능을 수행한다.

또 다른 예로서, NMSF는 보안 및 성능 모니터링 결과에 기반하여, URLLC 요구사항을 방해하는 비정상적인 동작에 대한 알림(alerting) 기능을 수행한다. 보안 또는 성능을 위협하는 비정상적인 동작이 감지되면, NMSF는 사용자에게 이를 알림으로써 사용자가 상기 비정상적인 동작에 적절히 대응할 수 있도록 한다. NMSF는 또한 보안 컨트롤러에 알림 정보(alerting information)를 전송한다. 알림 정보는 보안 컨트롤러에게 상기 비정상적인 동작에 대해 조치를 취하도록 지시하는 정보로서, 알림 정보를 수신한 보안 컨트롤러는 상기 비정상적인 동작을 복구하는 동작(예를 들어 네트워크의 셧다운)을 수행한다. 알림 정보는 3GPP 시그널링 프로토콜에 의해 제공되는 N3 인터페이스(또는 GTP 터널)을 통해 전송될 수 있다.

다음으로 NMCF는 다음의 기능들 중 적어도 하나의 기능을 수행하도록 구성된다.

일례로서, NMCF는 네트워크상에서 클라이언트 노드에 의해 송수신되는 패킷 또는 내부 정보(internal information)을 수집하는 기능을 수행한다.

다른 예로서, NMCF는 상기 수집된 패킷 또는 내부 정보에 기반하여 클라이언트 노드와 연관된 네트워크 보안 위협을 모니터링하고 판단하는 동작을 수행한다.

또 다른 예로서, NMCF는 네트워크 보안 위협을 모니터링한 결과를 NMSF를 위해 지정된 IP를 이용하여 NMSF로 통지(notify)하는 동작을 수행한다.

또 다른 예로서, NMCF는 비정상적인 단말 동작에 대한 알람(alert)를 IoT 장치의 사용자에게 디스플레이할 수 있다.

또 다른 예로서, 상기 열거된 기능들을 수행함에 있어서, NMCF는 개별 클라이언트 노드 또는 IoT 장치들의 컴퓨팅 자원을 이용하여 동작하며, 개별 클라이언트 노드 또는 IoT 장치의 기본 성능과 기능에 영향을 미치지 않을 정도의 자원의 양을 사용한다.

NMCF는 클라이언트 노드 또는 IoT 장치에서 발생하는 데이터를 통해 비정상적인 동작을 감지할 수 있으므로, NMSF에 비해 클라이언트 노드 또는 IoT 장치의 보안 상태를 보다 정확히 파악할 수 있다. 나아가 5G NPN에 접속한 IoT 단말들의 수가 기하 급수적으로 증가하는 경우 모든 데이터 흐름을 모니터링하는 것은 NMSF에 큰 부담이므로, NMCF와의 협업에 의해 5G NPN의 보안 및 성능을 모니터링하는 것이 효과적이다. 클라이언트 노드 또는 IoT 장치 자체의 문제(예를 들어 파워 셧다운)로 인해 클라이언트 노드 또는 IoT 장치에 융합된 NMCF가 동작을 멈출 수 있기 때문에, NMSF에 의한 보안 및 성능의 모니터링이 필수적이다.

네트워크 모니터링 장치에 의한 패킷 미러링 및 패킷 분석에 따른 네트워크 성능 지표 산출

이하의 실시예는 NMSF에 의한 패킷 미러링 및 패킷 분석에 따른 네트워크 성능 지표를 산출하는 방법에 관한 것이다. 설명의 편의를 위해 NMSF를 네트워크 모니터링 장치라 표현하기로 한다.

도 18은 본 발명의 일 실시예에 따른 네트워크 모니터링 장치가 포함된 시스템을 나타낸 개념도이다. 도 17에 도시된 바와 같이, 본 발명의 일 실시예에 따른 네트워크 보안 및 성능 모니터링 시스템은 사용자 단말(앞선 도면의 UE와 같음)(910-1~910-3), 네트워크(920), 서버단(930~950) 및 네트워크 모니터링 장치(900)를 포함할 수 있다. 본 실시예에서의 네트워크는 5G NPN을 포함할 수 있고, 서버단(930~950)은 MEC를 포함할 수 있다.

도 18을 참조하면, 사용자 단말(910-1~910-3)은 네트워크(920)를 통해 특정 웹 사이트 및/또는 웹 애플리케이션에 접속한다. 여기서, 사용자 단말(910-1~910-3)은 5G 네트워크 상의 휴대용 단말, 로봇, IoT 기기(예컨대, 센서) 등이 될 수 있다. 접속은 상기 웹 사이트 및/또는 웹 애플리케이션과 연관된 서버단(930~950)에서 수행된다.

도 18의 실시예에 따르면, 사용자 단말(910-1~910-3)은 웹 브라우저를 통해 특정 웹 페이지에 접속하여 원하는 페이지 또는 애플리케이션의 실행을 요청한다. 상기 요청은, html 문서와 같은 정적인 콘텐츠뿐만 아니라, 동영상, 오디오와 같은 멀티미디어 콘텐츠, 및/또는 기타 다른 애플리케이션의 실행을 포함할 수 있다.

본 발명의 일 실시예에 따르면, 사용자 단말(910-1~910-3)은 사용자에 의해 동작하고, 통신 기능(인터넷 접속 및 웹 브라우저 실행 기능 포함) 및 데이터 처리 기능을 포함하는 임의의 장치를 포함할 수 있다. 사용자 단말(910-1~910-3)은, 이동국(MS), 사용자 장비(또는 사용자 단말)(UE; User Equipment), 사용자 터미널(UT; User Terminal), 무선 터미널, 액세스 터미널(AT), 터미널, 고정 또는 이동 가입자 유닛(Subscriber Unit), 가입자 스테이션(SS; Subscriber Station), 셀룰러 전화, 무선 기기(wireless device), 무선 통신 디바이스, 무선송수신유닛(WTRU; Wireless Transmit/Receive Unit), 이동 노드, 모바일, 모바일국, 개인 휴대 정보 단말(personal digital assistant; PDA), 스마트폰, 랩톱, 넷북, 개인용 컴퓨터, 무선 센서, 소비자 전자기기(CE), 로봇, IoT 기기 또는 다른 용어들로서 지칭될 수 있다. 사용자 단말(910-1~910-3)의 다양한 실시예들은 셀룰러 전화기, 무선 통신 기능을 가지는 스마트 폰, 무선 통신 기능을 가지는 개인 휴대용 단말기(PDA), 무선 모뎀, 무선 통신 기능을 가지는 휴대용 컴퓨터, 무선 통신 기능을 가지는 디지털 카메라와 같은 촬영장치, 무선 통신 기능을 가지는 게이밍 장치, 무선 통신 기능을 가지는 음악저장 및 재생 가전제품, 무선 인터넷 접속 및 브라우징이 가능한 인터넷 가전제품뿐만 아니라 그러한 기능들의 조합들을 통합하고 있는 휴대형 유닛 또는 단말기들을 포함할 수 있으나, 이에 한정되는 것은 아니다.

각 사용자 단말(910-1~910-3)은 사용자 입력을 수신하기 위한 마우스 및 키보드와 같은 입력 장치들 및 사용자가 네트워킹된 장치들과 상호작용하기 위한 제어 사용자 인터페이스를 제공하기 위한 디스플레이를 포함하는 사용자 통신 인터페이스를 포함할 수 있다. 사용자 인터페이스는 사용자에게 정보를 제공하기 위해 그래픽 사용자 인터페이스(GUI: Graphical User Interface)를 포함할 수 있다.

네트워크(920)는 유선 및/또는 무선 네트워크를 포함한다. 네트워크(920)는 인터넷(internet)을 포함할 수 있고, 5G SA(Stand Alone) 시스템이거나, 5G NSA(Non-Stand Alone) 및/또는 4G 시스템을 포함한다. 네트워크(920)는 다양하게 접속된 사용자 단말(910-1~910-3)과 서버단(930~950) 간에 데이터를 송신하고 수신하기 위해 물리층(매체)을 제공하는 시리얼 버스를 포함할 수 있다. 여기서 시리얼 버스는 1394 시리얼 버스를 포함할 수 있다. 이는 시간-다중송신(Time-multiplexed) 오디오/비디오(A/V) 스트림 및 표준 아이피(IP: Internet Protocol) 통신(예컨대, IETF REC 2734)을 양쪽 모두 지원할 수 있고, 다만 반드시 이에 한정되는 것은 아니다. 네트워크(920)는 비-1394 네트워크(예컨대, 이더넷 등)도 포함할 수 있다. 또한, 네트워크(920)는 홈 네트워크를 포함할 수도 있다. 각 사용자 단말(910-1~910-3)들은 네트워크(920)에서 하나 이상의 서버 장치들(930~950)과 통신할 수 있다.

서버단(930~950)은 사용자에게 서비스들을 제공하기 위해 네트워크(920) 자원을 이용하여 사용자들의 요청에 응답한다. 서버단(930~950)이라고 표현하지만, 반드시 특정 웹 사이트와 관련된 서버일 필요는 없다. 하나의 서버 장치여도 무방하다. 본 명세서 상에서, "서버"라는 용어는 특정 사용자 단말(910-1~910-3)과 통신하는 다른 개체, 상기 사용자 단말(910-1~910-3)이 통신 요청한 대상 개체(entity), 사용자 단말(910-1~910-3)을 제어하는 콘트롤러 장치(로봇 또는 IoT 기기 등을 콘트롤하는 중앙 제어 장치), 및/또는 기지국(eNB, gNB 등) 등을 의미할 수 있다.

서버단(930~950)은 사용자 단말(910-1~910-3)의 요청에 대응하여 정보(데이터)의 리턴(return)을 수행한다. 또한, 기능의 성능(예컨대, 기계적인 기능) 및 상태의 리턴, 데이터 스트림 및 상태의 리턴, 데이터 스트림의 수용 및 상태의 리턴, 또는 각종 행위에 대한 상태의 저장을 포함한다. 서버단(930~950)은 그 자신의 하드웨어의 제어를 구현하기 위해, 주문형, 내장형, 제어 프로그램을 포함할 수 있다.

서버단(930~950)은 특정 웹 사이트 및/또는 웹 애플리케이션과 연관될 수 있고, 각 웹 사이트 및/또는 웹 애플리케이션에서 수행되는 작업과 관련된 연산 및 관리를 수행한다. 서버단(930~950)은 사용자 단말들(910-1~910-3) 및 다른 서버들(930~950)과 상호작용할 수 있다. 예시적인 서비스들은 MPEG 소싱/싱킹(sourcing/sinking), 및 디스플레이 서비스를 포함할 수 있다.

서버단(930~950)은 네트워크(920)를 통해 장치의 명령 및 제어를 위한 인터페이스를 제공하는 인터페이스 데이터(예컨대, HTML, XML, 자바, 자바스크립트, GIF, JPEG, MPEG, 그래픽 파열 또는 의도한 목적에 사용되는 임의의 다른 포맷)와 같은 정보를 처리할 수 있다. 특정 실시예에서, 각 서버들(930~950)은 그 장치의 명령 및 제어를 제공하는 하나 이상의 하이퍼텍스트 마크업 언어(HTML: Hypertext Markup Language)와 같은 정보를 처리할 수 있다. 서버단(930~950)은 브라우저 기법을 이용하여 HTML 페이지를 나타내는 인터넷 표준을 사용할 수 있다.

본 발명의 실시예에 따르면, 서버단(930~950)은 웹 서버(930), 앱 서버(940: APP server), 및 데이터베이스 서버(950: DB 서버)를 포함할 수 있다. 다만, 반드시 서버단이 3개 서버의 조합으로만 구성되어야 하는 것은 아니다. 웹 서버(930)만 존재하고, 앱 서버(940) 및 데이터베이스 서버(950)는 존재하지 않는 것도 유효하고, 또는 앱 서버(940) 하나만 구성되는 것도 가능하고, 기타 다양한 형태 및 계층의 서버 조합도 가능하다.

웹 서버(930)는 웹 클라이언트(Web Client)에게 요청된 컨텐츠를 제공하는 서버이다. 웹 서버(930)는 정적인 HTML이나 JPEG, GIF같은 이미지를 HTTP 프로토콜을 통해 웹 브라우저에 제공할 수 있다. 경우에 따라, 웹 서버(930)도 내부 애플리케이션을 동작시킬 수 있는 컨테이너를 내장할 수 있다.

앱 서버(940)는 WAS(Web Application Server) 서버라고도 불릴 수 있고, 이는 클라이언트/서버 환경에서 트랜잭션 처리 및 관리와 애플리케이션 실행 환경을 제공하는 미들웨어 소프트웨어 서버를 나타낸다. 전형적으로, 서버단(930~950)은 웹 서버, 애플리케이션 서버, 데이터베이스의 3계층 웹 컴퓨팅 환경으로 구축될 수 있는데, 이때, 앱 서버(940)는 클라이언트/서버 환경의 애플리케이션 서버와 같은 역할을 한다. 앱 서버(940)는 애플리케이션 실행 환경과 데이터베이스 접속 기능을 제공하고, 트랜잭션을 관리하며, 업무를 처리하는 비즈니스 로직을 수행하고, 다른 기종 시스템 간의 애플리케이션 연동 등을 수행한다.

본 발명의 실시예에 따르면, 웹 서버(930)와 WAS(940)의 기능적 분류를 통해 효과적인 분산을 유도할 수 있다. 정적인 데이터는 구조적으로 앞에 존재하는 웹 서버(930)에서 처리하고, 동적인 데이터는 뒷단의 WAS(940)가 처리할 수 있다. 예컨대, 사용자의 요청에 대해서 정적 데이터인 HTML과 자바스크립트 파일, CSS, 이미지 등을 앞단의 웹 서버(930)에 위치시켜 처리함으로써 WAS(940)로 서비스 요청이 넘어가지 않게 한다. 또한, 웹 애플리케이션 서비스를 위치적으로 뒤편에 존재하는 WAS(940)에 넘겨줌으로써 WAS(940)는 웹 애플이케이션의 수행에 집중할 수 있다. 웹 서버(930)에서 처리할 것과 WAS(940)에게 넘겨질 것을 처리하는 방식은 웹 서버(930)의 컨피규어레이션(Configuration)을 통해 처리할 수 있다. 특정 확장자나 디렉토리 업무를 WAS(940)로 넘길지 여부는 웹 서버(230)에서 처리한다.

데이터베이스 서버(950)는 웹 서버(930) 및/또는 앱 서버(940)가 취급하는 각종 데이터가 저장되어 있는 저장소이다. 데이터베이스 서버(950)는 웹 서버(930) 및/또는 앱 서버(940)가 처리하는 작업, 웹 사이트, 웹 애플리케이션의 성격에 따라 그와 연관된 엄청난 양의 데이터가 저장될 수 있다. 이는 개인정보, 기관정보, 각종 콘텐츠(예컨대, 멀티미디어 콘텐츠)와 연관된 데이터 등을 포함할 수 있다.

네트워크 모니터링 장치(900)는 네트워크(920)와 웹 서버(930) 사이, 웹 서버(930)와 앱 서버(940) 사이 및 앱 서버(940)와 데이터베이스 서버(950) 사이 중 적어도 하나에 배치될 수 있다. 네트워크 모니터링 장치(900)는 네트워크(920)와 웹 서버(930) 사이, 웹 서버(930)와 앱 서버(940) 사이 및 앱 서버(940)와 데이터베이스 서버(950) 사이 중 적어도 하나에 배치된 스위칭 장치(미도시)와 연결되어 두 개체 간에 송수신되는 패킷을 미러링한 패킷을 기반으로 네트워크 서버스의 성능을 진단한다. 본 발명의 상기 실시예에 따르면, 미러링된 패킷은 실제 송수신되는 패킷(실제 사용되는 사용자 트래픽)을 기반으로 복사에 의해 생성될 수 있으므로, 네트워크 서비스의 성능 진단을 위해 별도의 인위적인 테스트 패킷을 생성할 필요가 없다. 특히, 네트워크 모니터링 장치(900)는 실시간으로 모든 패킷에 대한 모니터링이 가능하다.

네트워크 모니터링 장치(900)는 미러링된 패킷에 포함된 각종 정보들(예컨대, 소스 ID(source id), 목적지 ID(destination id) 및 시간 정보(time), 입력 포트 정보, 출력 포트 정보 등)을 기반으로 네트워크 서비스의 성능을 나타내는 각종 지표들을 실시간으로 산출한다. 지표의 산출은 트랜잭션(transaction) 단위로 이루어질 수 있다. 산출되는 지표는 120가지를 초과할 수 있고, 이는 이하 도 12를 참조하여 보다 상세히 설명한다. 네트워크 모니터링 장치(900)는 산출된 지표들을 기반으로, 어떤 구간에 속도 지연, 대기 지연, 트래픽 초과, 에러 발생과 같은 문제가 있는지 여부를 구간별로 판단하고, 판단결과를 운영자 또는 관리자가 확인할 수 있도록 시각화한다. 즉, 에러 구간을 신속하게 파악하고, 이를 기반으로 에러구간에 대한 대응이 신속하게 이루어질 수 있도록 한다.

더욱이, 네트워크 모니터링 장치(900)는 미러링된 패킷을 분석하여 악의적인 사용자로부터의 접근(보안 이슈 관련)을 추적할 수 있고, 이에 대한 대응도 실시간으로 이루어질 수 있도록 한다.

본 발명의 상기 실시예에 따르면, 네트워크 모니터링 장치(900)는 상기 스위칭 장치에 연결되므로, 서버단(930~950)에 실질적으로 부하를 주는 에이전트(agent) 설치를 요구하지 않을 수 있다. 즉, 서버단(930~950)의 작업속도를 늦추는 등의 부담을 주지 않는다. 다만, 본 발명의 네트워크 모니터링 장치(900)가 반드시 하드웨어적으로 구성되어야 하는 것은 아니고, 소프트웨어적으로, 스위칭 장치나 기타 다른 장치에 설치되어 동작할 수 있다.

도 19를 참조하면, 인터넷(1020)과 같은 네트워크에 라우터(1022)가 연결되어 있고, 라우터(1022)는 스위치(1024)와 연결되어 사용자 단말(미도시)의 요청과 관련된 서버들(1030-1~1030-3)로 상기 요청을 전송하고, 제 1 개체 내지 제 3 개체(1030-1~1030-3)로부터 요청에 대한 응답과 관련된 정보를 사용자 단말로 전송한다. 제 1 개체 내지 제 3 개체(1030-1~1030-3)는 서로 다른 서버일 수 있다. 또는, 제 1 개체 내지 제 3 개체(1030-1~1030-3)는 클라이언트 측에서 바라봤을 때, 서로 다른 사용자 단말일 수 있고, 사용자 단말 간의 통신을 위한 패킷도 스위치(1024)를 통과하기 때문에, 네트워크 모니터링 장치(1000)는 이를 미러링하여 패킷 관련 정보를 분석할 수 있다.

라우터(1022) 또는 라우팅 기능을 갖는 공유기(미도시)는 인터넷(1020)을 통해 사용자 단말로부터 전송된 패킷의 위치 및 수신처를 추출하여, 그 위치에 대한 최적의 경로를 지정하며, 이 경로를 따라 데이터 패킷을 스위치(1024)로 전향시킨다. 라우터(1022)는 IP 주소를 식별하여 데이터를 스위치(1024)로 포워딩한다.

제 1 개체 내지 제 3 개체가 서버인 경우, 스위치(1024)는 각 서버들(1030-1~1030-3)의 고유한 MAC 주소를 기억하고 있다가, 이 주소를 통해 어떤 패킷이 어디로 전송되어야 하는지 판단하여 라우터(1022)로부터 제공받은 패킷을 해당 서버(1030-1~1030-3)로 전송한다. 스위치(1024)는 OSI 2 계층, OSI 3계층, OSI 4계층 및/또는 다른 계층(예컨대, OSI 7계층)의 역할을 하는 스위치를 포함한다. 예컨대, 경로를 설정하는 기능을 수행할 수 있다. 또한, 로드밸런싱이나 포트포워딩, QoS 등의 기능을 수행할 수도 있다. 스위치(1024)는 네트워크 스위치, 스위칭 허브, 포트 스위칭 허브 등으로 불릴 수 있다.

네트워크 모니터링 장치(1000)는 스위치(1024)와 연결되어 스위치(1024)를 통해 서버(1030-1~1030-3)로 제공되는 거의 모든 패킷을 미러링하여 획득한다. 패킷 미러링은, 즉, 패킷의 복제 또는 캡처(capture)는 스위치(1024)에서 수행될 수 있다. 경우에 따라 네트워크 모니터링 장치(1000) 자체에서 이루어질 수도 있다. 스위치(1024)는 서버(1030-1~1030-3)로 제공되는 패킷을 복제한 후, 네트워크 모니터링 장치(1000)와 연결된 포트를 목적지 포트(destination port)로 설정하여 네트워크 모니터링 장치(1000)로 제공할 수 있다. 이때, 해당 포트를 분석용도로 지정하여 제공할 수 있다.

도 20을 참조하면, 도 18 및 도 19에서 설명한 바와 같이, 사용자 단말(1110)은 인터넷(1120)을 통해 패킷들을 서버단(1130, 1140, 1150)으로 전송하고, 이때, 인터넷(1120)과 서버(1130) 사이에는 라우터(1122) 및 스위치(1124)가 존재하며, 스위치(1124)에 네트워크 모니터링 장치(1100)가 연결된다.

네트워크 모니터링 장치(1100)는 미러링된 패킷을 분석하여 사용자 단말(1110)에서의 사용자 체감 지연시간을 확인할 수 있다. 또한, 인터넷(1120)을 통해 최초 서버(1130)까지의 트래픽과 연관된 정보를 파악할 수 있고, 서버단(1130, 1140, 1150)에서의 응답대기시간(latency)도 확인할 수 있다. 특히 서버단(1130, 1140, 1150)의 응답대기시간은 각 구간별로 판단된다. 웹 서버(1130)와 WAS(1140) 구간과 WAS(1140)와 DB 서버(1150) 구간의 응답대기시간은 별도로 산출되고 취급된다. 웹 응답대기시간(Web latency)과 앱 응답대기시간(App latency)은 별도 산출될 수 있다. 여기서, 웹 응답대기시간은 정적 URL(이미지(gif, png, jpg 등), css, js, 텍스트 등)이 웹 서버(1130)로부터 데이터를 받을 때까지의 응답지연시간을 나타내고, 앱 응답대기시간은 동적 URL(Dynamic URL)이나 포스트 URL(POST URL)로부터 생성된 페이지의 첫 번째 패킷을 받을 때까지의 응답지연시간을 의미한다. 앱 응답대기시간은 쿼리 파라미터(query parameter)가 포함된 동적인 컨텐츠, HTML, ASP, JSP, PHP 등 동적컨텐츠(page) 및/또는 HTTP POST 메서드(method)를 사용한 호출과 연관될 수 있다. 즉, 이는 WAS 서버(1140) 및/또는 DB 서버(1150)를 경유하여 리턴되는 작업과 연관된 응답대기시간을 나타낸다.

먼저, 사용자 단말(1110)에서 사용자의 체감 속도는 페이지 로딩 시간으로 파악된다. 이는 각 주요 웹 페이지에 대한 사용자별 체감속도로써 분석되고 시각화된다. 즉, 특정 웹 페이지에 접속하는 사용자가 다수인 경우, 다수의 사용자의 사용자 환경별, 및/또는 지역별 체감시간을 파악할 수 있다. 사용자 환경은 지역, 사용자 단말에 설치된 OS, 웹 브라우저의 종류 및 단말의 종류별로 다르게 파악될 수 있다. 또한, 지역별 접속현황 및 분포 모니터링 환경을 제공할 수 있다. 이때, 지역별 접속현황은 세계지역 전체를 대상으로 하는 글로벌 지역현황과 국내지역을 대상으로 하는 로컬 지역현황으로 구분하여 제공될 수 있다.

서버(1130)까지의 사용자 구간(네트워크 구간)에 대한 실제 트래픽 발생 현황은 네트워크 왕복도달시간(RTT: Round Trip Time)으로 표현될 수 있다. 이는 네트워크 소요시간으로도 불릴 수 있다. 여기에, 사용량과 관련하여, 초당 데이터 전송속도를 나타내는 BPS(Bit Per Second) 정보, 초당 연결되는 사용자의 수를 나타내는 UPS(User Per Second) 정보, 초당 연결되는 새로운 세션의 개수를 나타내는 CPS(Connection Per Second) 정보 및 초당 발생하는 트랜잭션의 개수를 나타내는 TPS(Transaction Per Second) 정보의 현황도 파악가능하다. 또한, 사용자 애플리케이션을 모니터링할 수 있고, 사용자에 의한 비정상 행위도 분석 및 추적가능하다. 이러한 성능관련지표들을 통해 네트워크 트래픽을 점유하고 있는 애플리케이션을 인지할 수 있고, 사용자, 애플리케이션 및 네트워크의 상관관계를 모니터링할 수 있다.

추가적으로, 네트워크 모니터링 장치(1100)는 각 서버들(1130, 1140, 1150) 사이의 응답지연시간도 파악가능하다. 즉, 서버 구간별 응답품질지표을 파악할 수 있는데, 여기에는, 서버별 응답 지연시간, 서버별 응답대기 세션수(wait) 및 어플리케이션 URI별 지표 및/또는 DB 서버의 쿼리(DB Query)별 지표를 파악할 수 있다.

도 21은 본 발명의 일 실시예에 따른 네트워크 모니터링 장치를 구체적으로 나타낸 블록도이다. 도 21에 도시된 바와 같이, 본 발명의 일 실시예에 따른 네트워크 모니터링 장치(1200)는 포트(1210), 패킷 분석 모듈(1220), 서비스 모듈(1230) 및 유저 인터페이스(1240)를 포함할 수 있다. 또한, 패킷분석 데이터베이스(1222) 및 서비스 데이터베이스(1232)를 더 포함할 수 있다.

도 21을 참조하면, 포트(1210)는 적어도 하나 이상 구비될 수 있고, 이는 스위치 장치들(1224-1, 1224-2, ...)과 연결된다. 하나의 포트는 하나의 스위치 장치와 연결될 수 있다. 연결된 포트들은 스위치 장치들(1224-1, 1224-2, ...)로부터 미러링된 패킷 정보를 수신하여 패킷 분석 모듈(1220)로 상기 미러링된 패킷을 전송한다.

패킷 분석 모듈(1220)은 미러링된 패킷을 수집하고, 실질적으로 패킷을 분석한다. 이는 분석 엔진(engine)이라 불릴 수 있다. 패킷 분석 모듈(1220)은 미러링된 패킷에서 1차적으로 패킷의 헤더를 분석한다. 이를 통해, HTTP 패킷인지, DB와 연관된 패킷인지, TCP와 연관된 패킷인지 구분한다. 즉, 어떤 프로토콜과 연관된 패킷인지 구분한다. 이를 통해 "GET/웹 주소/HTTP/1.1"과 같은 요청 정보를 어떤 서버로 전송했는지 확인할 수 있다. 패킷 분석 모듈(1220)은 이러한 패킷 헤더 정보를 파싱하여 구문해석한다. "GET"은 요청 메시지가 되고, "웹 주소"는 요청과 연관된 웹 주소를 나타낸다. 그리고, "HTTP/1.1"은 HTTP 1.1 버전인 것을 의미하며, 이외에 패킷과 연관된 언어 정보(예컨대, ko-kr)도 확인하여 저장할 수 있다. 요청 매소드는 GET 외에도, POST, HEAD, PUT, DELETE 등이 상황에 따라 전송될 수 있고, 패킷 분석 모듈(1220)을 이러한 정보를 시간정보, 관련 IP와 함께 저장한다.

패킷 분석 모듈(1220)은 각각의 패킷의 인덱스를 부여하고, 부여된 인덱스를 기반으로, 어떤 패킷인지, 해당 패킷인 HTTP 기반의 요청 패킷인지, 그에 대한 응답 패킷인지를 확인한다. 이때, 과거 수신했던 패킷들로부터 획득한 정보와의 비교분석도 수행된다. 즉, 제 1 개체로부터 획득된 요청 패킷이 존재하는 경우, 이후 제 2 개체로부터 그에 대한 응답 패킷이 존재할 수 있고, 이때, 시계열적인 적어도 둘 이상의 패킷, 제 1 개체와 제 2 개체로부터 송수신되는 패킷을 기반으로 하나의 세션확립, 트랜잭션의 흐름들을 분석할 수 있다.

또한, 패킷 분석 모듈(1220)은 사용자 단말이 어떤 브라우저를 사용했는지, HOST와 연관된 정보, 이전 URL 주소 정보, 브라우저 지원 언어 정보를 파싱할 수 있다. 이때, 헤더가 어떤 종류의 헤더(general header인지, request header인지, entity header인지)인지 분석할 수 있고, 헤더와 페이로드의 경계선을 나타내는 정보를 파싱할 수 있다.

그리고는, 패킷 분석 모듈(1220)은 2차적으로, 미러링된 패킷의 URL(Uniform Resource Locator)(또는 URI(uniform resource identifier)), 소스 IP(Source_ip), 목적지 IP(Dest_ip) 및 시간정보를 분석한다. 여기서, URL 값을 확인해 보면, "https://www.google.co.kr/?gws_rd=ssl"와 같이, 어떤 주소로 리디렉트(redirect)시켜주는 패킷인지 확인할 수 있다. 또한, 소스 IP는 사용자 단말의 IP 주소를, 목적지 IP는 요청의 최종 목적지 사이트와 연관된 서버의 IP를 나타낼 수 있다. 응답 패킷의 경우 반대의 정보를 나타낼 수 있다. 시간정보는 타임스탬프 형식으로 제공될 수 있다. 이외에 전체 패킷의 길이 정보(length)도 확인할 수 있다.

패킷 분석 모듈(1220)은 각각의 프로토콜, 예컨대, HTTP, IP, UDP, TCP, DNS 등 다양한 프로토콜에 대응한 패킷 분석 알고리즘을 포함하고 있고, 각 프로토콜에 맞게 적응적으로 패킷으로부터 URL, 소스 IP, 목적지 IP 및 시간정보를 추출하여 분석에 이용할 수 있다.

이렇게 2차 분석으로 추출된 패킷 관련 정보를 기반으로 1 트랜잭션당 약 120개 요소의 성능지표 정보를 생성할 수 있다. 바람직하게는, 1초에 6000개의 트랜잭션을 분석한다. 그리고는 상기 추출된 패킷 관련 정보 및 트랜잭션당 생성된 120여 개의 성능지표 정보를 데이터베이스(1222)에 저장한다. 이하, 미러링된 패킷의 패킷 관련 정보를 기반으로 생성되는 성능관련 지표를 보다 상세히 설명한다.

패킷 분석 모듈(1220)은 트랜잭션 단위로, 왕복도달시간 정보(RTT 정보)를 산출한다. 즉, 데이터 신호의 왕복시간 정보를 산출한다.

그리고, 패킷 분석 모듈(1220)은 세션 정보를 생성한다. 이는 초당 확립되어 있는 소켓의 수, 즉, 끊지 않고 연결되어 있는 소켓의 수를 나타낼 수 있다. 또한, 패킷 분석 모듈(1220)은 사용자 단말이 요청을 보내고, 특정 서버로부터 응답을 받기 전까지 걸린 응답대기시간(Latency) 정보를 산출한다. 이는 데이터베이스를 쿼리하거나 애플리케이션이 수행되거나 기타 작업을 하면서 걸리는 대기시간이라고 볼 수 있다. 반대로, 서버 측에서 사용자 단말 측을 바라보는 관점에서는, 서버에서 요청을 보내고, 특정 사용자 단말로부터 응답을 받기 전짜기의 시간을 응답대기시간으로 산출할 수 있다.

패킷 분석 모듈(1220)은 초당 전송 또는 수신되는 비트(bit)의 크기를 나타내는 BPS 정보, 초당 전송 또는 수신되는 패킷의 개수 정보를 나타내는 PPS(Packet Per Second) 정보, 초당 연결되는 사용자의 수(IP 기준)를 나타내는 UPS 정보를 산출한다. 이는 1초에 몇 명의 사용자가 연결되고 있는지를 특정 목적지 IP에 연결되는 소스 IP의 수를 기반으로 산출할 수 있다. 이외에, 초당 연결되는 새로운 세션의 수를 나타내는 CPS 정보(1초에 몇 개의 세션이 새롭게 연결되는지를 나타냄), 초당 발생하는 트랜잭션의 개수를 나타내는 TPS 정보(1초에 몇 개의 트랜잭션이 발생하는지를 나타냄)를 산출한다. 그리고, 패킷 분석 모듈(1220)은 초당 요청하는 URL의 수를 나타내는 HPS(Hit Per Second) 정보를 산출한다. 이때, 패킷 분석 모듈(1220)은 서버 HPS의 경우, 해당 서버에서 초당 몇 개의 URL이 요청되는지를 기반으로 HPS를 산출하고, 클라이언트 HPS의 경우, 해당 클라이언트에서 초당 몇 개의 URL이 요청하고 있는지를 기반으로 HPS를 산출한다. 그리고, 패킷 분석 모듈(1220)은 초당 연결되는 서버의 개수 정보인 SPS(Server Per Second) 정보를 산출한다. 이는 클라이언트가 1초에 몇 개의 서버에 연결되어 있는지를 나타낸다.

서비스 모듈(1230)은 데이터베이스(1222)에 저장된 성능 관련 지표를 기반으로 통계를 낸다. 통계는 특정 서버단위로, 특정 사용자 단위로, URL 단위로, 세션 단위로, 특정 지역에 위치한 서버 그룹, 특정 지역에 위치한 클라이언트 그룹 단위로 및/또는 웹페이지 단위로, 이루어질 수 있다. 서비스 모듈(1230)은 미리 설정된 다양한 형태의 시각화 툴을 이용하여 사용자가 직관적으로 현재 네트워크에 따른 서비스의 성능을 파악할 수 있도록 상기 성능 관련 지표를 적절히 시각화한다. 시각화는 통계를 기반으로 수행된다. 즉, 특정 매개와 연관된 지표를 취합하여 의미있는 형태의 그래프 또는 테이블을 생성할 수 있다. 예컨대, 특정 클라이언트 또는 서버와 연관하여 특정 시간대에 생성된 세션들의 리스트를 생성한다거나, 그때 발생된 데이터베이스 쿼리에 대한 테이블을 생성하는 등의 작업을 수행한다. 즉, 네트워크 서비스와 연관된 상기 성능 관련 지표들은 해당 패킷의 시간 정보(타임스탬프 정보)와 함께 저장되므로, 특정 시간대의 패킷 흐름을 클라이언트 단말 및 서버단과의 관계 속에서 이해할 수 있도록 플로우 맵(flow map)을 생성할 수도 있다. 다양한 통계 및 그에 따른 시각화 방법은 이하의 도면들을 통해 보다 상세히 설명한다.

서비스 모듈(1230)은 사용자로부터의 입력에 대응하여 특정 그래프 또는 특정 테이블/리스트를 생성하기 위해서는, 원하는 시간 또는 원하는 환경(예컨대, 특정 웹 브라우저 타입 또는 특정 사용자 단말 종류(모바일인지, PC인지))과 같은 기준(criteria) 변수를 기반으로 검색 및 조회를 할 수 있다. 서비스 모듈(1230)은 선택된 기준변수를 기반으로 원하는 데이터를 분류하여 적절한 형태의 시각화 정보를 생성할 수 있다.

본 발명의 실시예에 따르면, 서비스 모듈(1230)은 네트워크 서비스에 있어서, 문제가 되는 부분을 찾아서 표시하는 알람 기능을 수행할 수 있다. 예컨대, wait의 수가 임계값 이상인 경우, 해당 구간의 응답속도에 문제가 있다고 판단하여, 해당구간에 문제가 있음을 시각적으로 표시할 수 있다. 문제발생에 따른 경고 수단은 반드시 시각적으로 다르게 표현하는 것 이외에도, 관련된 사용자 단말로 문자 메시지를 전송하거나 경고 신호를 전송하는 형태로 구현될 수 있다. 이는 도 19를 통해, 보다 상세히 설명한다.

서비스 모듈(1230)에서 생성된 각종 통계 데이터, 시각화 정보 데이터, 시각화 툴과 관련된 정보 및 사용자에 의해 설정된는 각종 임계값 정보는 서비스 데이터베이스(1232)에 저장되고, 유저 인터페이스(1240)를 통해 사용자가 임의의 가공된 정보를 요청할 때, 그에 대응되는 정보를 반환할 수 있다.

유저 인터페이스(1240)는 운영자로부터 각종 입력을 받고, 서비스 모듈(1230)에서 생성한 그래프 또는 테이블과 같은 시각화된 정보를 출력하는 장치를 포함한다. 이는 마우스, 키보드, 터치 패드와 같은 입력수단과 모니터, 터치 스크린과 같은 출력수단을 포함할 수 있다. 사용자는 서버에 대한 정보(예컨대, 서버 이름, 서버 IP, 연관된 URL, 포트, 소트 넘버(sort number), 서버의 위치 정보, 처리가능한 IP 영역 등)와 연관된 데이터베이스, 각종 서버단의 연결 관계(링크)와 연관된 플로우(flow) 데이터베이스 및 사용자에게 출력하기 위한 시각화 툴 및/또는 시각화와 연관된 메타데이터를 포함하는 UX/UI 데이터베이스 정보를 입력할 수 있다. 또한, 문제발생 판단을 위한 룰셋 및 룰셋과 연관된 각종 설정값을 입력할 수 있다.

기업 또는 정부 업무망과 NMCF, NMSF

이하의 실시예에서 DTAF(Data Traffic Analysis Function)는 NMSF가 기업 또는 정부 업무망에 특화된 네트워크 구성에 적용되는 경우의 NMSF를 지칭하는 것으로서, 용어의 차이만 있을 뿐 전술된 NMSF와 동일한 기능을 수행할 수 있다. 또한 사용자 단말은 NMCF를 포함할 수 있다. 또한 기업 업무망 또는 정부 업무망은 전술된 5G NPN으로 구현될 수도 있다.

이상에서 설명된 시스템 또는 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 시스템, 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPA(field programmable array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.

실시예들에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.

이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.

그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.

Claims

네트워크 모니터링 장치에 의해 수행되는 네트워크 보안 모니터링 방법에 있어서,

클라이언트 단말의 상태를 모니터링하는 단계;

상기 모니터링의 결과에 기초하여 생성된 보안 검사 패킷을 네트워크로부터 획득하는 단계, 상기 보안 검사 패킷은 상기 클라이언트 단말의 UID(user ID) 정보, 길이 정보, 및 모니터링 결과 정보를 포함함;

네트워크 스위칭 장치에서 미러링(mirroring)된 미러링 패킷을 네트워크로부터 획득하는 단계; 및

상기 보안 검사 패킷과 상기 미러링 패킷 중 적어도 하나에 기초하여 상기 네트워크에 대한 보안 모니터링을 실행하는 단계; 를 포함하는, 방법.
제 1 항에 있어서,

상기 네트워크에 대한 보안 모니터링은, 상기 네트워크 상에서 IP 주소를 할당 받은 네트워크 모니터링 장치에 의해 실행되고,

상기 보안 검사 패킷을 네트워크로부터 획득하는 단계는, 상기 네트워크 모니터링 장치가 상기 IP 주소를 이용하여 상기 보안 검사 패킷을 수신하는 단계를 포함하는, 방법.
제 2 항에 있어서,

상기 보안 검사 패킷은, TCP 헤더와 TCP 페이로드를 적어도 포함하는 TCP 패킷 포맷이고, 상기 TCP 페이로드는 UID 필드, 길이 필드, 및 모니터링 결과 필드 중 적어도 하나의 필드 정보를 포함하는, 방법.
제 1 항에 있어서,

상기 네트워크에 대한 보안 모니터링은, 상기 네트워크 상에서 IP 주소를 할당 받지 않은 네트워크 모니터링 장치에 의해 실행되고,

상기 보안 검사 패킷을 네트워크로부터 획득하는 단계는, 상기 네트워크 모니터링 장치가 상기 네트워크 상 경로에 대한 감시를 통하여 상기 보안 검사 패킷을 획득하는 단계를 포함하는, 방법.
제 4 항에 있어서,

상기 보안 검사 패킷은, UDP 헤더와 UDP 페이로드를 적어도 포함하는 UDP 패킷 포맷이고, 상기 UDP 페이로드는 UID 필드, 길이 필드, 및 모니터링 결과 필드 중 적어도 하나의 필드 정보를 포함하는, 방법.
제 1 항에 있어서,

상기 UID 정보는 상기 클라이언트 단말 또는 상기 클라이언트 단말의 상태를 모니터링하는 클라이언트 모니터링 장치 중 적어도 하나를 고유하게 식별하기 위한 정보이고,

상기 길이 정보는 상기 모니터링 결과 정보의 길이를 나타내는 정보이고,

상기 모니터링 결과 정보는 상기 클라이언트 단말의 상태를 모니터링한 결과를 나타내는 정보인, 방법.
제 1 항에 있어서,

상기 보안 검사 패킷은, 상기 클라이언트 단말에 통합된(integrated) 클라이언트 모니터링 장치로부터 생성되는 것을 특징으로 하는, 방법.
제 1 항에 있어서,

상기 네트워크에 대한 보안 모니터링은, 상기 네트워크에 연결된 독립적인 네트워크 노드, 상기 네트워크상 평면의 입력 또는 출력단, 또는 상기 네트워크 상의 패킷의 목적지인 서버 중 적어도 하나에 위치하여 동작하는 네트워크 모니터링 장치에 의하여 실행되는 것을 특징으로 하는, 방법.
제 8 항에 있어서,

상기 네트워크 모니터링 장치는, 상기 네트워크에 둘 이상 위치하여 동작하는 것을 특징으로 하는, 방법.
제 1 항에 있어서,

상기 네트워크 스위치는 OSI 2 계층, OSI 3계층, OSI 4계층, 또는 OSI 7계층 중 어느 하나의 계층에서 패킷을 미러링하도록 구성되는, 방법.
제 1 항에 있어서,

상기 보안 패킷은, 단말의 시스템 로그 파일을 감시하는 동작, 화이트 리스트에 포함된 허용된 IP 이외의 IP로부터 단말에 접근 시도가 발생하는지 판단하는 동작, 단말에 대한 패킷 정보를 분석하는 동작, 및 단말의 상태 정보를 분석하는 동작 및 단말에 대한 연결 가능 여부를 나타내는 얼라이브 정보를 획득하는 동작 중 적어도 하나의 동작에 의해 상기 클라이언트 단말에 보안 문제가 발생한 것으로 판단되어 생성된 것인, 방법.
제 1 항에 있어서,

상기 네트워크에 대한 보안 모니터링을 실행하는 단계는, HTTP, IP, UDP, TCP, 및 DNS 중 적어도 하나의 프로토콜에 대응하는 패킷 분석 알고리즘을 활용하는 단계를 포함하고,

상기 패킷 분석 알고리즘은, 상기 각 프로토콜에 적응적인 방법으로 상기 미러링된 패킷으로부터 URL, 소스 IP, 목적지 IP, 및 시간정보 중 적어도 하나의 정보를 추출하여 상기 미러링된 패킷을 분석하도록 구성되고, 상기 미러링된 패킷으로부터 사용자 단말에서의 사용자 체감 지연시간, 인터넷을 통한 최초 서버까지의 트래픽, 서버 측의 각 구간별 응답 대기 시간(latency), 웹 응답 대시 시간, 앱 응답 대기 시간, 서버들 간의 응답 지연 시간, 서버별 응답 지연 시간, 서버별 응답 대기 세션수(wait), 어플리케이션 URI별 지표, 및 DB 서버의 쿼리(DB Query)별 지표 중 적어도 하나를 판단하도록 구성되는, 방법.
제 12 항에 있어서,

상기 네트워크에 대한 보안 모니터링의 결과를 시각화하여 표시하는 단계를 더 포함하고,

상기 시각화는, 의미 있는 형태의 그래프의 생성, 테이블의 생성, 및 플로우 맵(flow map)의 생성 중 적어도 하나의 시각화 방법을 이용하여 현재 네트워크의 성능에 관련된 지표 중 적어도 하나의 통계를 포함하는 정보를 시각화하는 것을 의미하는, 방법.
클라이언트 단말을 모니터링하는 모니터링 장치에 있어서,

클라이언트 단말에 대한 보안 모니터링을 실행하여 모니터링 결과 정보를 생성하고;

상기 보안 모니터링의 결과에 기초하여 상기 클라이언트 단말의 UID(user ID) 정보, 길이 정보, 및 모니터링 결과 정보를 포함하는 보안 검사 패킷을 생성하고; 그리고

상기 보안 검사 패킷을 네트워크를 경유하여 전송하도록 구성되는, 장치.
제 14 항에 있어서,

상기 모니터링 장치는, 단말의 시스템 로그 파일을 감시하는 동작, 화이트 리스트에 포함된 허용된 IP 이외의 IP로부터 단말에 접근 시도가 발생하는지 판단하는 동작, 단말에 대한 패킷 정보를 분석하는 동작, 및 단말의 상태 정보를 분석하는 동작 및 단말에 대한 연결 가능 여부를 나타내는 얼라이브 정보를 획득하는 동작 중 적어도 하나의 동작에 의해 상기 클라이언트 단말에 보안 문제가 발생하였는지 판단하고, 상기 보안 문제가 발생한 것으로 판단되는 경우 상기 보안 검사 패킷을 생성하도록 구성되는, 장치.
제 14 항에 있어서,

상기 보안 검사 패킷은, TCP 헤더와 TCP 페이로드를 적어도 포함하는 TCP 패킷 포맷이고, 상기 TCP 페이로드는 UID 필드, 길이 필드, 및 모니터링 결과 필드 중 적어도 하나의 필드 정보를 포함하도록 구성되는, 장치.
제 14 항에 있어서,

상기 보안 검사 패킷은, UDP 헤더와 UDP 페이로드를 적어도 포함하는 UDP 패킷 포맷이고, 상기 UDP 페이로드는 UID 필드, 길이 필드, 및 모니터링 결과 필드 중 적어도 하나의 필드 정보를 포함하도록 구성되는, 장치.
제 14 항에 있어서,

상기 모니터링 장치는, 상기 클라이언트 단말에 통합되어 동작하는, 장치.
네트워크 상의 패킷을 모니터링하는 네트워크 모니터링 장치에 있어서,

클라이언트 단말을 모니터링하는 클라이언트 모니터링 장치로부터 송신된 보안 검사 패킷을 획득하고;

패킷을 미러링하는 네트워크 스위칭 장치로부터 미러링 패킷을 획득하고; 그리고

상기 보안 검사 패킷과 상기 미러링 패킷 중 적어도 하나를 분석하여 상기 네트워크에 대한 보안 모니터링을 실행하도록 구성되는, 장치.
제 19 항에 있어서,

상기 네트워크 모니터링 장치는 상기 네트워크 상에서 IP 주소를 할당 받고, 상기 IP 주소에 기초하여 TCP 패킷으로서의 보안 검사 패킷을 수신하도록 구성되는, 장치.
제 19 항에 있어서,

상기 네트워크 모니터링 장치는 상기 네트워크 상에서 IP 주소를 할당 받지 아니하고, 상기 네트워크 상 경로의 패킷을 감시하여 UDP 패킷으로서의 보안 검사 패킷을 획득하도록 구성되는, 장치.
제 19 항에 있어서,

상기 네트워크 모니터링 장치는, HTTP, IP, UDP, TCP, 및 DNS 중 적어도 하나의 프로토콜에 대응하는 패킷 분석 알고리즘을 포함하고,

상기 패킷 분석 알고리즘은, 상기 각 프로토콜에 적응적인 방법으로 상기 미러링된 패킷으로부터 URL, 소스 IP, 목적지 IP, 및 시간정보 중 적어도 하나의 정보를 추출하여 상기 미러링된 패킷을 분석하도록 구성되고, 상기 미러링된 패킷으로부터 사용자 단말에서의 사용자 체감 지연시간, 인터넷을 통한 최초 서버까지의 트래픽, 서버 측의 각 구간별 응답 대기 시간(latency), 웹 응답 대시 시간, 앱 응답 대기 시간, 서버들 간의 응답 지연 시간, 서버별 응답 지연 시간, 서버별 응답 대기 세션수(wait), 어플리케이션 URI별 지표, 및 DB 서버의 쿼리(DB Query)별 지표 중 적어도 하나를 판단하도록 구성되는, 장치.
제 22 항에 있어서,

상기 네트워크 모니터링 장치는, 상기 네트워크 모니터링 장치의 상기 네트워크에 대한 보안 모니터링 결과를 시각화하는 서비스 모듈에 연결되고,

상기 서비스 모듈은, 의미 있는 형태의 그래프의 생성, 테이블의 생성, 및 플로우 맵(flow map)의 생성 중 적어도 하나의 시각화 방법을 이용하여 현재 네트워크의 성능에 관련된 지표 중 적어도 하나의 통계를 포함하는 정보를 시각화하도록 구성되는, 장치.
제 19 항에 있어서,

상기 네트워크 모니터링 장치는, 상기 네트워크에 연결된 독립적인 네트워크 노드, 상기 네트워크상 평면의 입력 또는 출력단, 또는 상기 네트워크 상의 패킷의 목적지인 서버 중 적어도 하나에 위치하여 동작하는 것을 특징으로 하는, 장치.
제 19 항에 있어서,

상기 네트워크 모니터링 장치는, 상기 네트워크에 둘 이상 위치하여 동작하는 것을 특징으로 하는, 장치.