JP2011030223A - Flow-based dynamic access control system and method - Google Patents

Flow-based dynamic access control system and method Download PDF

Info

Publication number
JP2011030223A
JP2011030223A JP2010165238A JP2010165238A JP2011030223A JP 2011030223 A JP2011030223 A JP 2011030223A JP 2010165238 A JP2010165238 A JP 2010165238A JP 2010165238 A JP2010165238 A JP 2010165238A JP 2011030223 A JP2011030223 A JP 2011030223A
Authority
JP
Japan
Prior art keywords
flow
approach
access
access control
normal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010165238A
Other languages
Japanese (ja)
Inventor
Nam-Seok Ko
コー、ナム‐ソク
Soon-Seok Lee
イ、スーン‐ソク
Jong-Dae Park
パク、ジョン‐テ
Sung-Kee Noh
ノー、スン‐キー
Pyung-Koo Park
パク、ピュン‐クー
Seung-Woo Hong
ホン、スン‐ウー
Sung-Back Hong
ホン、スン‐バク
Seong Moon
ムーン、ソン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electronics and Telecommunications Research Institute ETRI
Original Assignee
Electronics and Telecommunications Research Institute ETRI
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electronics and Telecommunications Research Institute ETRI filed Critical Electronics and Telecommunications Research Institute ETRI
Publication of JP2011030223A publication Critical patent/JP2011030223A/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a traffic analysis and a flow-based dynamic access control system and method. <P>SOLUTION: A flow-based dynamic access control system for controlling a user's access to an internal communication network through an external communication network includes an access control unit operating in an access control mode in which traffic received from a user is basically blocked, generating state information of connection allowance of a flow, which is received from the user, based on a specified packet of the flow, and verifying whether access of the flow is a normal access. As a proactive defense concept of allowing only normal users to access an internal network, a method of blocking attacks from a system contaminated by a worm virus, detecting a cyber attack on a certain system in advance and automatically avoiding the cyber attack, and guaranteeing the quality of normal traffic even under cyber attacks without performance degradation of the internal communication network, is provided. <P>COPYRIGHT: (C)2011,JPO&INPIT

Description

本発明は、ネットワークに対するサイバー攻撃時に、攻撃回避及び正常トラフィックに対する品質保証を提供可能にするシステム及び方法に関する。   The present invention relates to a system and method capable of providing attack avoidance and quality assurance for normal traffic during a cyber attack on a network.

一般的に、サービス拒否(Denial of Service:DoS)攻撃は、その処理容量を超過する多量のトラフィックでウェブサイト、インターネットサービス提供者(Internet Service Provider:ISP)及び他のサーバのようなネットワークノードを壊し、それによって攻撃持続期間中にネットワークで壊されたノードを破壊するものと定義される。   In general, a Denial of Service (DoS) attack can attack network nodes such as websites, Internet Service Providers (ISPs), and other servers with a large amount of traffic that exceeds its processing capacity. It is defined as breaking and thereby destroying the broken node in the network for the duration of the attack.

また、DoSより強い攻撃をする分散型サービス拒否(Distributed DOS:DDoS)攻撃では、攻撃を始めようとする攻撃者が、よく知られた抜け道(loopholes)を経て多くのノードを破壊する。このように損傷されたノードは、必ず攻撃者の従属制御者になり、ネットワークにトラフィックを注入する開始(launch)地点のように行動する。したがって、攻撃者は、多数の開始地点からトラフィックをカスケーディング(cascading)することで、大規模のネットワークに幅広い攻撃を始めることができる。   In a distributed denial-of-service (DDoS) attack, which is a stronger attack than DoS, an attacker who wants to start an attack destroys many nodes through well-known loopholes. Nodes damaged in this way will always be the attacker's subordinate controller, acting like a launch point injecting traffic into the network. Therefore, an attacker can start a wide range of attacks on a large-scale network by cascading traffic from a large number of starting points.

DDoS攻撃は、多数の攻撃エージェントを分散設置して同時に攻撃することで、一つのシステム資源だけではなく、ネットワーク資源までも枯渇させうる簡単でありながらも、非常に強力な攻撃である。実際、ウォームウイルスとともにDDoS攻撃による大量の異常トラフィックによってインターネット使用において、連結失敗や速度低下などの問題を起こす事例が増加しており、これによる被害はますますさらに深刻になっている実情である。特に、多くの近距離通信ネットワーク(Local Area Network:LAN)がツリーのような階層的なネットワーク構造をもっているが、このような場合、特定ルーターが攻撃によって麻痺すれば、その下位ネットワークもインターネットへの連結を失うようになって通信が途絶されてしまい、その被害地域はさらに大きくなりうる。   The DDoS attack is a simple yet extremely powerful attack that can deplete not only one system resource but also a network resource by distributing and installing a large number of attack agents simultaneously. In fact, there are an increasing number of cases that cause problems such as connection failure and speed reduction in the use of the Internet due to a large amount of abnormal traffic caused by a DDoS attack together with a warm virus, and the damage caused by this has become even more serious. In particular, many local area networks (LANs) have a hierarchical network structure such as a tree. In such a case, if a specific router is paralyzed by an attack, its lower-level network is also connected to the Internet. Losing connectivity will disrupt communications, and the damaged area can become even larger.

DDoSのようなサイバー攻撃を防御するための方法としては、防火壁(Firewall)、侵入探知システム(IDS:Intrusion Detection System)、侵入防止システム(IPS:Intrusion Protection System)、DDoS対応システムなどを活用した多様な方法が試みられている。   As a method for protecting cyber attacks such as DDoS, a firewall (Firewall), an intrusion detection system (IDS), an intrusion prevention system (IPS), a DDoS compatible system, etc. were used. Various methods have been tried.

しかし、一般的にDDoSのようなサイバー攻撃の特徴は、個人PCなどに浸透された悪性コードが攻撃対象システムの観点で正常なパケット形態及びサービス要請を行うので、その感知及び統制が容易ではない。   However, in general, the characteristics of cyber attacks such as DDoS are not easy to detect and control because malicious codes that have penetrated personal PCs make normal packet forms and service requests in terms of the attack target system. .

本発明が解決しようとする技術的課題は、DDoSなどのサイバー攻撃に対する解決方法として、トラフィック利用形態の分析及びフロー別の動的接近制御を通じて根本的なサイバー攻撃に対する統制を行うことで、内部網を保護して、正常なサービス利用を保護しようとすることである。   The technical problem to be solved by the present invention is to solve the cyber attack such as DDoS by controlling the fundamental cyber attack through the analysis of traffic usage and the dynamic access control for each flow. Is to try to protect normal service usage.

本発明が解決しようとする他の技術的課題は、正常なパケット形態及びサービス要請形態を有したDDoSのようなサイバー攻撃を含んだ多様な攻撃形態に対する実名確認の方法、暗号及び認証書の認証方法、またはCAPTCHA(Completely Automated Public Turing test to tell Computers and Human Apart)文字入力方法などを利用したフロー別の接近制御を行って、正常な接近要求として受けられたトラフィックフローのみについてネットワークに対する接続を許容することで、多様な形態のサイバー攻撃を遮断できるだけではなく、サイバー攻撃時にも、ネットワーク接続された既存のトラフィックフローや正常利用トラフィックフローに対する持続的なサービスを可能にする。   Another technical problem to be solved by the present invention is a real name confirmation method for various attack forms including a cyber attack such as DDoS having a normal packet form and a service request form, encryption and certificate authentication. Method, or CAPTCHA (Completively Automated Public testing to tell Computers and Human Apart) character-by-flow access control is used to allow connection to the network only for traffic flows received as normal access requests This will not only block various forms of cyber attacks, but also sustain existing network flows and normal use traffic flows during cyber attacks. To enable the service.

本発明のフロー別の動的接近制御システムは、ユーザの外部通信網を通じる内部通信網の接近に対する接近制御システムにおいて、ユーザから受信されたトラフィックが原則的に遮断される接近制御モードで動作し、前記ユーザから受信されたフローに対する特定パケットから前記フローの接続許容の状態情報を生成し、前記フローを通じる接近が正常な接近であるかを検証する接近制御部を含むことを特徴とする。   The flow-based dynamic access control system of the present invention operates in an access control mode in which traffic received from a user is blocked in principle in an access control system for access of an internal communication network through the user's external communication network. And an access control unit that generates connection permission state information of the flow from a specific packet for the flow received from the user, and verifies whether the access through the flow is normal.

本発明のフロー別の動的接近制御システムは、ユーザの外部通信網を通じる内部通信網の接近に対する接近制御システムにおいて、ユーザから受信されたトラフィックが原則的に遮断される接近制御モードで動作し、前記ユーザから受信されたフローに対する特定パケットから前記フローの接近許容の状態情報を生成する接近情報生成部と、前記フローを通じる接近が正常な接近であるかを検証する接近制御判断部と、を含むことを特徴とする。   The flow-based dynamic access control system of the present invention operates in an access control mode in which traffic received from a user is blocked in principle in an access control system for access of an internal communication network through the user's external communication network. An access information generation unit that generates state information indicating that the flow is permitted from a specific packet for the flow received from the user; an access control determination unit that verifies whether the access through the flow is normal access; It is characterized by including.

本発明のフロー別の動的接近制御方法は、ユーザの外部通信網を通じる内部通信網の接近に対する接近制御システムを通じる接近制御方法において、ユーザの接近要求に該当するフローを受信すれば、内部通信網の接近制御システムは、原則的に前記フローを遮断し、前記フローの接続許容の状態情報を生成する段階と、前記フローを通じる接近が正常な接近であるかを検証する段階と、前記検証した結果、正常な接近に該当する場合、前記フローに対する接近を許容し、前記フローの接続許容の状態情報を更新する段階と、を含むことを特徴とする。   According to the flow-based dynamic access control method of the present invention, if a flow corresponding to a user's access request is received in the access control method through the access control system for the access of the internal communication network through the user's external communication network, The access control system of the communication network, in principle, blocks the flow, generates connection permission status information of the flow, verifies whether the access through the flow is normal access, If the result of the verification indicates a normal approach, the approach includes allowing the approach to the flow and updating the connection permission state information of the flow.

前記フローの最初のパケットが入力された場合には、前記パケットがアウトバウンドパケットに該当する時に正常な接近と判断し、前記フローの最初のパケットではないパケットが入力された場合には、前記フローの接続許容の状態情報が接続許容に該当する時に正常な接近と判断することを特徴とする。   When the first packet of the flow is input, it is determined that the packet is a normal approach when the packet corresponds to an outbound packet, and when a packet that is not the first packet of the flow is input, When the connection permission state information corresponds to the connection permission, it is determined that the access is normal.

本発明によるトラフィック利用形態の分析及びフロー別の動的接近制御基盤の内部網保護方法及び装置は、DDoS攻撃などのように正常な形態のパケット形態及びサービス要求の形態を有するサイバー攻撃を含んだ多様な形態のサイバー攻撃に対して根本的な攻撃遮断を可能にして正常なユーザの内部ネットワークに対する持続的な接続を可能にする。   The traffic utilization pattern analysis and flow-based dynamic access control based internal network protection method and apparatus according to the present invention includes a cyber attack having a normal packet form and a service request form such as a DDoS attack. It can fundamentally block attacks against various forms of cyber-attacks and enable a continuous connection to a normal user's internal network.

本発明の望ましい一実施形態によるフロー別の動的接近制御基盤で内部網を保護するための全体的なネットワーク構造図。1 is an overall network structure diagram for protecting an internal network with a flow-based dynamic access control infrastructure according to an exemplary embodiment of the present invention; FIG. 本発明の望ましい一実施形態によるフロー別の動的接近制御ゲートウェイでのデータトラフィック処理過程についてのフローチャート。6 is a flowchart illustrating a data traffic processing process in a flow-based dynamic access control gateway according to an exemplary embodiment of the present invention. 本発明の望ましい一実施形態によるフロー別の動的接近制御ゲートウェイでの制御メッセージ受信処理過程についてのフローチャート。6 is a flowchart illustrating a process of receiving a control message in a dynamic access control gateway according to flow according to an exemplary embodiment of the present invention. 本発明の望ましい一実施形態によるウェブサーバに対するサイバー攻撃を事前に遮断するためのネットワークの構成及び処理過程を示す図。1 is a diagram illustrating a network configuration and a process for blocking a cyber attack on a web server in advance according to an exemplary embodiment of the present invention.

以下、添付した図面を参照して、本発明の一実施形態を詳しく説明する。   Hereinafter, an embodiment of the present invention will be described in detail with reference to the accompanying drawings.

図1は、本発明の望ましい一実施形態によるフロー別の動的接近制御基盤で内部網を保護するための全体的なネットワーク構造図である。   FIG. 1 is an overall network structure diagram for protecting an internal network with a flow-based dynamic access control infrastructure according to an exemplary embodiment of the present invention.

図1では、ネットワークに対するサイバー攻撃時に攻撃回避及び正常トラフィックに対する品質保証を提供可能にするために、本発明による内部網と外部網との境界またはサーバファームの前端などに位置するフロー別の動的接近制御ゲートウェイシステムにおいて外部利用者から入力されるトラフィックに対する全数検査または特定サイトに入力されるトラフィックに対する全数検査を通じて、異常トラフィックの発生有無が監視される。   In FIG. 1, in order to make it possible to provide attack avoidance and quality assurance for normal traffic during a cyber attack on a network, dynamics according to flows located at the boundary between an internal network and an external network or at the front end of a server farm according to the present invention. In the access control gateway system, occurrence of abnormal traffic is monitored through 100% inspection for traffic input from an external user or 100% inspection for traffic input to a specific site.

全数検査は、選択的に指定される。全数検査などを行わない場合には、運用者の静的な設定や外部のトラフィック分析システムの要請による別途の制御が与えられうる。   100% inspection is selectively specified. When 100% inspection is not performed, separate control can be given according to the static setting of the operator or the request of an external traffic analysis system.

異常トラフィック発生が疑われるか、異常トラフィックの発生有無と無関係に運用者による静的な設定や外部のトラフィック分析システムの要請がなされた場合には、フロー別の動的接近制御ゲートウェイシステムは、接近制御モードで動作し、入力トラフィックに対して接近制御サーバと連動してフロー別に接近許容有無を確認し、該許容されたトラフィックに局限してトラフィックを内部ネットワークに伝達させることによって、サイバー攻撃から内部システムを根本的に封鎖する。   When anomalous traffic is suspected or the operator makes a static setting or requests an external traffic analysis system regardless of whether or not anomalous traffic has occurred, the dynamic access control gateway system for each flow It operates in the control mode, checks whether access is allowed for each flow in conjunction with the access control server for the input traffic, limits the traffic to the allowed traffic, and transmits the traffic to the internal network. Fundamentally block the system.

フローは、一般的に5タプル情報(IPソースアドレス、IP目的地アドレス、プロトコル番号、ソーストランスポート階層情報、目的地トランスポート情報)からなることと仮定するが、運用者の設定または応用の特性に応じてIPパケットの他のヘッダ情報が追加されるか、または5タプル情報から一部のフィールドを抜かしてなされうる。これは、一つの極端な例であって、IPソースアドレスのみでフローが定義されるということを内包している。   The flow is generally assumed to be composed of 5 tuple information (IP source address, IP destination address, protocol number, source transport layer information, destination transport information), but the characteristics of the setting or application of the operator Depending on the above, other header information of the IP packet may be added, or some fields may be omitted from the 5-tuple information. This is one extreme example, and includes that a flow is defined only by an IP source address.

フロー別の動的接近制御ゲートウェイシステムは、接近制御モードではない正常モードで動作する場合には、あらゆるトラフィックに対する接近を許容し、接近制御モードで動作する場合には、フローに対する最初のパケットに対してフローの状態管理情報を生成し、接近制御サーバを通じて、フローに対する基本的な検証または認証を行う。   The dynamic access control gateway system for each flow allows access to any traffic when operating in the normal mode that is not the access control mode, and for the first packet for the flow when operating in the access control mode. The flow state management information is generated, and basic verification or authentication for the flow is performed through the access control server.

当該フローに対する接続許容の状態情報には、当該フローに、ネットワーク接続がいまだに許容されていないことを表示し、その後の当該ユーザまたはフローからのパケットは、接近制御サーバからネットワーク接続を許容するための接近制御応答メッセージを受けて、フローについての状態管理情報の更新前に廃棄される。   The connection permission status information for the flow indicates that the network connection is not yet permitted for the flow, and the subsequent packet from the user or flow is for allowing the network connection from the access control server. Upon receipt of the approach control response message, the message is discarded before the state management information for the flow is updated.

図2は、本発明の望ましい一実施形態によるフロー別の動的接近制御ゲートウェイでのデータトラフィック処理過程についてのフローチャートである。   FIG. 2 is a flowchart illustrating a data traffic processing process in a dynamic access control gateway according to flow according to an exemplary embodiment of the present invention.

フローのデータパケットが入力されれば(200)、該入力されたデータパケットがフローの最初のパケットであるか否かを判断する(210)。最初のパケットが到着すると、当該パケットが該当するフローについての情報を最初に構成して状態管理情報を生成し、その状態管理情報を保存し、その後に入ってくる同一フローの他のパケットの場合には、保存されたフローの状態管理情報に基づいてパケットを処理する。   If a flow data packet is input (200), it is determined whether the input data packet is the first packet of the flow (210). When the first packet arrives, information about the flow to which the packet corresponds is first constructed to generate state management information, the state management information is stored, and then other packets of the same flow that enter The packet is processed based on the stored flow state management information.

最初のパケットがインバウンド(外部から内部への方向)パケットの場合(220−はい)には、インバウンドフロー及びアウトバウンド(内部から外部への方向)フローの状態管理情報を原則的に接続拒絶の状態で生成する(221)。   If the first packet is an inbound (external to internal) packet (220-Yes), inbound flow and outbound (internal to external) flow status management information is basically in the state of connection rejection. Generate (221).

次いで、入力されたフローに対する接続拒絶の状態で、ユーザの接近を許容するための接近制御要請メッセージを通じて、システムにユーザの認証を行わせる(222)。   Next, the system authenticates the user through an access control request message for allowing the user to approach in the state of connection rejection for the input flow (222).

フローの最初のパケットがインバウンドパケットではない場合(220−いいえ)には、インバウンドフロー及びアウトバウンドフローの状態管理情報を接続許容の状態で生成する(223)。   When the first packet of the flow is not an inbound packet (220-No), the state management information of the inbound flow and the outbound flow is generated in a connection-permitted state (223).

次いで、ユーザの接近を許容して、パケットの入出力を行う(224)。   Next, packet input / output is performed while allowing the user to approach (224).

インバウンドフローだけではなく、アウトバウンドフローの状態もともに設定することは、内部トラフィックを信頼し、それに対する応答も信頼できるという仮定によるものである。   Setting not only the inbound flow but also the state of the outbound flow is based on the assumption that the internal traffic is trusted and the response to it can be trusted.

入力されたパケットがフローの最初のパケットではない場合(210−いいえ)には、入力されたパケットまたはそのパケットが該当するフローの最初のパケットの状態管理情報を通じて接続許容有無(230)を決定する。入力されたパケットの接近が許容される場合(230−はい)には、ユーザの接近を許容してパケットの入出力を行い(231)、接近が許容されない場合(230−いいえ)には、入力されたパケットを廃棄する(232)。但し、この場合、当該パケットについての状態管理情報が更新されるように接近制御要請メッセージを周期的に伝送してユーザの認証を行うことができる。   When the input packet is not the first packet of the flow (210-No), the connection permission / non-permission (230) is determined through the state management information of the input packet or the first packet of the corresponding flow. . When the approach of the input packet is allowed (230-Yes), the user is allowed to approach and input / output the packet (231). When the approach is not allowed (230-No), the input is made. The received packet is discarded (232). However, in this case, the user can be authenticated by periodically transmitting an access control request message so that the state management information for the packet is updated.

フロー別の動的接近制御システムのフローに対する状態管理のために、運用者や外部のトラフィック分析システムの選択または応用別の特性などに基づいて、入力トラフィックから抽出されたIPヘッダの多様なフィールドを、基盤で一つの状態管理情報を管理するためのエントリーが生成され、状況に応じて当該フローに対する接続許容状態によって当該トラフィックに対する逆方向へのトラフィックに対しても、同時に適用されるために、両方向フローのいずれにも対応するエントリーを生成しうる。   In order to manage the state of the flow of the dynamic access control system for each flow, various fields of the IP header extracted from the input traffic are selected based on the selection of the operator or external traffic analysis system or the characteristics of each application. In both directions, an entry for managing one state management information on the base is generated and applied to the traffic in the reverse direction for the traffic at the same time depending on the connection permission status for the flow depending on the situation. Entries corresponding to any of the flows can be generated.

図3は、本発明の望ましい一実施形態によるフロー別の動的接近制御ゲートウェイでの制御メッセージ受信処理過程についてのフローチャートである。   FIG. 3 is a flowchart illustrating a control message reception process in a dynamic access control gateway for each flow according to an exemplary embodiment of the present invention.

接続が制限される(接続拒絶)パケットが入力されれば(300)、当該パケットを伝送したユーザに対する認証を行って、接続許容有無についての情報を制御応答メッセージを通じて伝達し(310)、入力されたパケットに該当するフローについての状態管理情報を検索(320)して、当該フローの状態管理情報エントリーを更新して接続許容状態に設定されるようにアップデートする(330)。   If a connection-restricted (connection rejection) packet is input (300), the user who transmitted the packet is authenticated, and information on whether or not the connection is allowed is transmitted through a control response message (310) and input. The state management information about the flow corresponding to the received packet is searched (320), and the state management information entry of the flow is updated to be set to the connection allowable state (330).

制御応答メッセージを伝達されることができなければ(330−いいえ)、当該パケットに対する制限を維持する(340)。   If the control response message cannot be transmitted (330-No), the restriction on the packet is maintained (340).

フローに対する検証または認証は、フローに対してシステムの保安レベル及び運用者の選択によって認証書を通じる強い認証方法からコンピュータプログラムで自動的に生成されたサービス要求であるかを判断機能のために使われる、別途の認証書認証システムやCAPTCHA文字入力及び確認システム、ワンタイムパスワード(One Time Password)サーバなど多様な方法がいずれも使用可能である。   The verification or authentication for the flow is used for the judgment function whether the service request is automatically generated by the computer program from the strong authentication method through the certificate according to the security level of the system and the operator's choice for the flow. Various methods such as a separate certificate authentication system, a CAPTCHA character input and confirmation system, and a one-time password (One Time Password) server can be used.

接近制御サーバや接近制御サーバ機能が行うコンピュータプログラムで自動的に生成されたサービス要求であるか、人による正常なサービス要求であるかを判断する機能のために使われる、別途の認証書認証システムやCAPTCHA文字入力及び確認システム、ワンタイムパスワードサーバなどを含んだ認証システムとの連動を通じる動的に行う接近制御方法を含む。   A separate certificate authentication system used for the function of determining whether a service request is automatically generated by a computer program executed by the access control server or the access control server function, or a normal service request by a person. And a CAPTCHA character input and confirmation system, a dynamic access control method through linkage with an authentication system including a one-time password server.

接近制御サーバの判断に応じて合法的なフローと判断された場合、フロー別の動的接近制御システムにフローに対する接近許容命令を伝達する。   When it is determined that the flow is legitimate according to the determination of the access control server, an access permission command for the flow is transmitted to the flow-based dynamic access control system.

図4は、本発明の望ましい一実施形態によるウェブサーバに対するサイバー攻撃を事前に遮断するためのネットワークの構成及び処理過程を示す図である。   FIG. 4 is a diagram illustrating a network configuration and a process for blocking a cyber attack on a web server in advance according to an exemplary embodiment of the present invention.

内部ネットワークのウェブサーバ接続に対するサイバー攻撃の源泉防止のための方法に対する一実施形態として、前述した原則的な方法によって多様な形態で具現が可能である。   As an embodiment of the method for preventing the source of cyber attacks on the web server connection of the internal network, it can be implemented in various forms by the above-described principle method.

図4に示すフロー別の動的接近制御システムが、ウェブリダイレクトサーバと連動してウェブトラフィックに対するフロー別の最初のパケットに対してフロー状態情報を生成し、リダイレクトサーバがCAPTCHA文字入力サーバまたはID/パスワード認証サーバのような接続制御サーバでユーザのトラフィックをリダイレクションさせて認証を受けるようにし、該認証された結果をフロー別の動的接近制御ゲートウェイシステムに伝達してフロー別の動的接近制御ゲートウェイシステムでフローエントリーの接続許容有無を更新することで、当該フローの他のパケットの許容及び拒絶を制御することができる。   The flow-by-flow dynamic access control system shown in FIG. 4 generates flow state information for the first packet by flow for web traffic in conjunction with the web redirect server, and the redirect server receives the CAPTCHA character input server or ID / ID A connection control server such as a password authentication server redirects user traffic to be authenticated, and the authentication result is transmitted to a flow-specific dynamic access control gateway system to provide a flow-specific dynamic access control gateway. By updating the connection permission / non-permission of the flow entry in the system, it is possible to control the permission and rejection of other packets of the flow.

本発明の一態様は、コンピュータで読み取り可能な記録媒体に、コンピュータで読み取り可能なコードとして具現可能である。前記プログラムを具現するコード及びコードセグメントは、当該分野のコンピュータプログラマーによって容易に推論されうる。コンピュータで読み取り可能な記録媒体は、コンピュータシステムによって読み取れるデータが保存されるあらゆる種類の記録装置を含む。コンピュータで読み取り可能な記録媒体の例としては、ROM、RAM、CD−ROM、磁気テープ、フレキシブルディスク、光ディスクなどがある。また、コンピュータで読み取り可能な記録媒体は、ネットワークで連結されたコンピュータシステムに分散されて、分散方式でコンピュータが読み取り可能なコードに保存されて実行可能である。   One embodiment of the present invention can be embodied as a computer-readable code on a computer-readable recording medium. Codes and code segments embodying the program can be easily inferred by computer programmers in the field. Computer-readable recording media include all types of recording devices that can store data that can be read by a computer system. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, flexible disk, optical disk, and the like. The computer-readable recording medium can be distributed to computer systems connected via a network, stored in a computer-readable code in a distributed manner, and executed.

以上、本発明の一実施形態に過ぎず、当業者ならば、本発明の本質的特性から外れない範囲で変形された形態として具現することができる。したがって、本発明の範囲は、前述した実施形態に限定されず、特許請求の範囲に記載の内容と同等な範囲内にある多様な実施形態が含まれるように解析されなければならない。   As mentioned above, it is only one embodiment of the present invention, and those skilled in the art can implement the present invention as a modified form without departing from the essential characteristics of the present invention. Therefore, the scope of the present invention is not limited to the above-described embodiments, but must be analyzed to include various embodiments within the scope equivalent to the contents described in the claims.

本発明は、フロー別の動的接近制御システム及び方法関連の技術分野に適用可能である。   The present invention is applicable to technical fields related to a flow-based dynamic access control system and method.

Claims (12)

ユーザの外部通信網を通じる内部通信網の接近に対する接近制御システムにおいて、
前記ユーザから受信されたフローに対する特定パケットから前記フローの接続許容の状態情報を生成し、前記フローを通じる接近が正常な接近であるかを検証する接近制御部を含むことを特徴とするフロー別の動的接近制御システム。 In the access control system for the access of the internal communication network through the user's external communication network,
Each flow includes an access control unit that generates connection permission state information of the flow from a specific packet for the flow received from the user and verifies whether the access through the flow is normal access Dynamic access control system. ユーザの外部通信網を通じる内部通信網の接近に対する接近制御システムにおいて、
ユーザから受信されたトラフィックが原則的に遮断される接近制御モードで動作し、前記ユーザから受信されたフローに対する特定パケットから前記フローの接近許容の状態情報を生成する接近情報生成部と、
前記フローを通じる接近が正常な接近であるかを検証する接近制御判断部と、
を含むことを特徴とするフロー別の動的接近制御システム。 In the access control system for the access of the internal communication network through the user's external communication network,
An access information generation unit that operates in an access control mode in which traffic received from a user is blocked in principle, and generates access permission state information of the flow from a specific packet for the flow received from the user;
An approach control determination unit that verifies whether the approach through the flow is a normal approach;
A flow-by-flow dynamic access control system characterized by comprising: 前記接近制御部は、
ユーザから受信されたトラフィックが原則的に遮断される接近制御モードで動作し、前記接近制御部が接近制御モードで動作する場合、前記フローの接近許容の状態情報を、内部通信網に対する接近が許容されないように表示することを特徴とする請求項1に記載のフロー別の動的接近制御システム。 The access control unit
When the traffic received from the user operates in the access control mode in which the traffic is blocked in principle, and the access control unit operates in the access control mode, the flow access permission status information is permitted to access the internal communication network. 2. The flow-by-flow dynamic approach control system according to claim 1, wherein display is performed so as not to be performed. 前記接近制御部は、
前記検証した結果、正常な接近に該当する場合、前記フローに対する接近を許容させる正常モードで動作し、前記フローの接続許容の状態情報を前記内部通信網に対する接近が許容されるように更新することを特徴とする請求項1に記載のフロー別の動的接近制御システム。 The access control unit
As a result of the verification, when it corresponds to a normal approach, it operates in a normal mode that allows access to the flow, and updates the connection permission state information of the flow so that access to the internal communication network is allowed. The dynamic approach control system according to flow according to claim 1 characterized by things. 前記接近制御部が前記フローを通じる接近が正常な接近であるかを検証することは、前記ユーザから入力されるトラフィックに対する全数検査または特定通信網を通じて入力されるトラフィックに対する全数検査を通じて行われることを特徴とする請求項1に記載のフロー別の動的接近制御システム。   The approach control unit verifies whether the approach through the flow is a normal approach by performing an exhaustive inspection on the traffic input from the user or an exhaustive inspection on the traffic input through the specific communication network. The flow-based dynamic access control system according to claim 1, wherein 前記全数検査は、選択的に行われ、前記内部通信網の運用政策によって既定の検査のみを行うことを特徴とする請求項5に記載のフロー別の動的接近制御システム。   6. The flow-by-flow dynamic access control system according to claim 5, wherein the exhaustive inspection is selectively performed and only a predetermined inspection is performed according to an operation policy of the internal communication network. 前記全数検査は、選択的に行われ、前記内部通信網の保安レベルまたは運用者の選択のための認証または前記ユーザによる正常な接近要求であるかについての認証を通じて行われることを特徴とする請求項5に記載のフロー別の動的接近制御システム。   The exhaustive inspection is selectively performed, and is performed through authentication for selecting a security level or an operator of the internal communication network or authentication as to whether the user is a normal access request. Item 6. The flow-based dynamic access control system according to item 5. 前記接近制御部は、
前記ユーザから受信されたフローが内部通信網から伝送されたトラフィックに対する応答である場合、前記フローに対する接近を許容させる正常モードで動作することを特徴とする請求項1に記載のフロー別の動的接近制御システム。 The access control unit
2. The flow-specific dynamic according to claim 1, wherein when the flow received from the user is a response to traffic transmitted from an internal communication network, the flow operates in a normal mode that allows access to the flow. Access control system. 前記接近情報生成部は、
前記接近制御モードに該当する接近制御の状態情報を生成した後、前記接近制御判断部に前記フローに接近制御の状態情報の更新有無の確認のための接近制御要請メッセージを伝送することを特徴とする請求項2に記載のフロー別の動的接近制御システム。 The approach information generation unit
After generating the state information of the approach control corresponding to the approach control mode, an approach control request message for confirming whether or not the state information of the approach control is updated is transmitted to the flow to the approach control determining unit. The flow-based dynamic access control system according to claim 2. 前記接近制御判断部で検証した結果、正常な接近に該当する場合、前記接近制御判断部は、前記フローに対する接近が正常な接近であることを知らせる接近制御応答メッセージを前記接近制御部に伝送し、
前記接近制御応答メッセージを伝送された接近制御部は、前記フローに対する接近を許容させる正常モードで動作し、前記正常モードに該当する接近制御の状態情報に更新することを特徴とする請求項9に記載のフロー別の動的接近制御システム。 As a result of verification by the approach control determining unit, when the approach corresponds to normal approach, the approach control determining unit transmits an approach control response message notifying that the approach to the flow is a normal approach to the approach control unit. ,
The approach control unit transmitted with the approach control response message operates in a normal mode allowing access to the flow, and updates the state information of the approach control corresponding to the normal mode. The flow-based dynamic access control system described. ユーザの外部通信網を通じる内部通信網の接近に対する接近制御システムを通じる接近制御方法において、
前記内部通信網の接近制御システムは、
前記ユーザの接近要求に該当するフローを受信した場合に原則的に前記フローを遮断し、前記フローの接続許容の状態情報を生成する段階と、
前記フローを通じる接近が正常な接近であるかを検証する段階と、
前記検証した結果、正常な接近に該当する場合、前記フローに対する接近を許容し、前記フローの接続許容の状態情報を更新する段階と、
を含むことを特徴とするフロー別の動的接近制御方法。 In the access control method through the access control system for the access of the internal communication network through the user's external communication network,
The access control system for the internal communication network is:
In principle, when the flow corresponding to the user's access request is received, the flow is blocked, and the connection permission status information of the flow is generated.
Verifying that the approach through the flow is a normal approach;
As a result of the verification, when it corresponds to a normal approach, allowing the approach to the flow, and updating the connection permission status information of the flow,
A flow-by-flow dynamic approach control method characterized by comprising: 前記検証する段階は、
前記フローの最初のパケットが入力された場合には、前記パケットがアウトバウンドパケットに該当する時に、正常な接近と判断し、
前記フローの最初のパケットではないパケットが入力された場合には、前記フローの接続許容の状態情報が接続許容に該当する時に、正常な接近と判断することを特徴とする請求項11に記載のフロー別の動的接近制御方法。 The verifying step comprises:
When the first packet of the flow is input, when the packet corresponds to an outbound packet, it is determined as a normal approach,
12. The method according to claim 11, wherein when a packet that is not the first packet of the flow is input, it is determined that the access is normal when the flow connection permission state information corresponds to connection permission. Dynamic approach control method for each flow.
JP2010165238A 2009-07-23 2010-07-22 Flow-based dynamic access control system and method Pending JP2011030223A (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20090067516 2009-07-23
KR20100043223A KR20110010050A (en) 2009-07-23 2010-05-07 Method and apparatus for protecting internal network using traffic analysis and dynamic network access control per flow

Publications (1)

Publication Number Publication Date
JP2011030223A true JP2011030223A (en) 2011-02-10

Family

ID=43615578

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010165238A Pending JP2011030223A (en) 2009-07-23 2010-07-22 Flow-based dynamic access control system and method

Country Status (2)

Country Link
JP (1) JP2011030223A (en)
KR (1) KR20110010050A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017121013A (en) * 2015-12-28 2017-07-06 株式会社ナカヨ Gateway device with extension setting change function
JP2020072336A (en) * 2018-10-30 2020-05-07 日本電信電話株式会社 Packet transfer device, method, and program

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005203890A (en) * 2004-01-13 2005-07-28 Victor Co Of Japan Ltd Access control apparatus and access control system

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005203890A (en) * 2004-01-13 2005-07-28 Victor Co Of Japan Ltd Access control apparatus and access control system

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017121013A (en) * 2015-12-28 2017-07-06 株式会社ナカヨ Gateway device with extension setting change function
JP2020072336A (en) * 2018-10-30 2020-05-07 日本電信電話株式会社 Packet transfer device, method, and program

Also Published As

Publication number Publication date
KR20110010050A (en) 2011-01-31

Similar Documents

Publication Publication Date Title
US7653941B2 (en) System and method for detecting an infective element in a network environment
EP2769509B1 (en) System and method for redirected firewall discovery in a network environment
US7984493B2 (en) DNS based enforcement for confinement and detection of network malicious activities
JP2004302956A (en) Improper access handling system and improper access handling processing program
US20110023088A1 (en) Flow-based dynamic access control system and method
JP2006074760A (en) Enabling network device inside virtual network to keep up communication while network communication is restricted due to security threat
US11595385B2 (en) Secure controlled access to protected resources
JP2004302538A (en) Network security system and network security management method
Sahri et al. Protecting DNS services from IP spoofing: SDN collaborative authentication approach
KR101065800B1 (en) Network management apparatus and method thereof, user terminal for managing network and recoding medium thereof
JP2011030223A (en) Flow-based dynamic access control system and method
Alosaimi et al. Mitigation of distributed denial of service attacks in the cloud
Sadiqui Computer network security
Fowler et al. Impact of denial of service solutions on network quality of service
JP2006501527A (en) Method, data carrier, computer system, and computer program for identifying and defending attacks against server systems of network service providers and operators
Singh Verma et al. Hard-coded credentials and web service in iot: Issues and challenges
KR20120107232A (en) Distributed denial of service attack auto protection system and method
JP2016021621A (en) Communication system and communication method
Holik Protecting IoT Devices with Software-Defined Networks
Msaad et al. A Simulation based analysis study for DDoS attacks on Computer Networks
Pandey et al. APTIKOM Journal on Computer Science and Information Technologies
Tian et al. Network Security and Privacy Architecture
Gupta et al. Distributed Denial of Service (DDOS) Attacks in Cloud Computing: A Survey
Floyd The Changing Face of Network Security Threats
Koutepas et al. Detection and Reaction to Denial of Service Attacks

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120301

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120410

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20120907