KR20180032864A - 사용자 인증을 통한 비정상 네트워크 트래픽 제어 장치 및 방법 - Google Patents

사용자 인증을 통한 비정상 네트워크 트래픽 제어 장치 및 방법 Download PDF

Info

Publication number
KR20180032864A
KR20180032864A KR1020160122074A KR20160122074A KR20180032864A KR 20180032864 A KR20180032864 A KR 20180032864A KR 1020160122074 A KR1020160122074 A KR 1020160122074A KR 20160122074 A KR20160122074 A KR 20160122074A KR 20180032864 A KR20180032864 A KR 20180032864A
Authority
KR
South Korea
Prior art keywords
authentication
packet
user
module
list
Prior art date
Application number
KR1020160122074A
Other languages
English (en)
Inventor
손동식
조용수
황상현
Original Assignee
주식회사 윈스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스 filed Critical 주식회사 윈스
Priority to KR1020160122074A priority Critical patent/KR20180032864A/ko
Publication of KR20180032864A publication Critical patent/KR20180032864A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 사용자 인증을 통한 비정상 네트워크 트래픽 제어 장치 및 방법에 관한 것으로, 패킷을 입력받아 IP 정보를 수집하는 트래픽 분석 모듈; 및 상기 트래픽 분석 모듈에서 수집한 IP 정보를 기반으로 인증 사용자 목록을 검색하여 인증을 받은 사용자인 경우에 패킷을 통과시키는 인증 검사 모듈을 포함하는 사용자 인증을 통한 비정상 네트워크 트래픽 제어 장치 및 방법을 제공하여 별도의 세션 상태 테이블을 사용하지 않고 빠르고 효율적인 사용자 인증을 통하여 인증이 완료된 사용자의 통신만 허용하도록 한다.

Description

사용자 인증을 통한 비정상 네트워크 트래픽 제어 장치 및 방법{Controlling apparatus for abnormally network traffic using user authentication and controlling method for the same}
본 발명은 사용자 인증을 통한 비정상 네트워크 트래픽 제어 장치 및 방법에 관한 것으로, 특히 별도의 세션 상태 테이블을 사용하지 않고 빠르고 효율적인 사용자 인증을 통하여 인증이 완료된 사용자의 통신만 허용하는 사용자 인증을 통한 비정상 네트워크 트래픽 제어 장치 및 방법에 관한 것이다.
TCP(Transmission Control Protocol)는 신뢰성 있는 연결을 체결하기 전에 일반적으로 3-웨이 핸드쉐이킹(3-way handshaking)을 수행한다.
3-웨이 핸드쉐이킹 과정은 클라이언트가 서버로 접속을 요청하는 Syn 패킷을 전송하면, 서버가 클라이언트에게 요청을 수락한다는 Syn/Ack 패킷을 전송하고, 클라이언트가 서버로 Ack 패킷을 전송하는 3단계를 거쳐 클라이언트와 서버 사이의 연결을 설정한다.
그러나, 3-웨이 핸드쉐이킹 과정에서 악의적인 공격자가 연결 요청하고 서버로부터 응답을 받은 후 서버에게 Ack 패킷을 보내지 않으면, 서버는 공격자로부터 응답이 올 것을 기대하고 반쯤 열린 하프 오픈(Half Open) 상태가 되어 대기 상태에 머무르게 된다.
일정 시간 동안 클라이언트로부터 Ack 패킷이 오지 않으면, 해당 연결은 초기화되기 전까지 메모리 공간인 백로그 큐(Backlog Queue)에 계속 존재하게 된다.
이동통신망 내 트래픽은 시간 및 요일에 따라 천차만별로 변화하기 때문에 단순히 트래픽 증감으로 현재 트래픽 상황의 정상 여부를 파악할 수 없다.
따라서, 트래픽 변화가 정상적인 상황인지 비정상 상황으로 인한 트래픽 급증인지를 파악할 필요가 있다.
예컨대, 특정 서버에 장애가 발생한 경우, 클라이언트 단말들은 장애가 발생한 서버에 지속적으로 재전송 패킷(TCP SYN)을 전송하여 망에 부하를 주게 된다.
이런 경우, 신속하게 현재 트래픽 상황이 정상인지 비정상인지를 파악할 필요가 있다.
이와 관련된 종래 기술로 여러 가지 상태 테이블 관리하는 세션 상태 테이블을 사용하여 비정상 트래픽을 파악하여 이를 차단하고 있다.
하지만, 이와 같은 종래 기술은 세션 상태 테이블이 여러 가지 상태 테이블을 관리하고 있어 복잡하며 부하가 가중되는 문제점이 있었다.
또한, 이와 같은 종래 기술은 외부에서 내부로 들어오는 데이터 트래픽만 제어 가능하다는 문제점이 있었다.
국내특허공개번호 10-2016-0010255호 국내특허등록번호 10-1501698호
본 발명은 상기와 같은 문제점을 해결하기 위하여 안출된 것으로, 실제 사용자가 아닌 트래픽 재전송 프로그램 또는 스크립트 등과 같은 비정상적인 사용자에 의한 과도한 트래픽을 제어하기 위하여 상태 테이블 등을 운영하지 않고 사용자에 대한 인증을 진행하여 인증된 IP 리스트만을 가지고 비정상 트래픽을 제어하여 여러가지 상태 테이블 관리로 인한 복잡성 및 부하 발생을 줄일 수 있도록 한 사용자 인증을 통한 비정상 네트워크 트래픽 제어 장치 및 방법을 제공하는 데 있다.
본 발명의 일 측면은 패킷을 입력받아 IP 정보를 수집하는 트래픽 분석 모듈; 및 상기 트래픽 분석 모듈에서 수집한 IP 정보를 기반으로 인증 사용자 목록을 검색하여 인증을 받은 사용자인 경우에 패킷을 통과시키는 인증 검사 모듈을 포함한다.
또한, 본 발명의 일 측면의 상기 트래픽 분석 모듈은 패킷이 내부로 들어오는 패킷인지 외부로 나가는 패킷인지 패킷의 방향을 구분하며, 상기 인증 검사 모듈은 외부에서 내부로 들어오는 패킷의 경우 수집된 IP 정보의 출발지 IP를 인증 사용자 목록에서 검색하여 인증을 받은 사용자인지 판단하고, 내부에서 외부로 나가는 패킷의 경우 수집된 IP 정보에서 목적지 IP를 인증 사용자 목록에서 검색하여 인증을 받은 사용자인지 판단한다.
또한, 본 발명의 일 측면의 상기 트래픽 분석 모듈은 패킷의 TCP 상태 플래그를 획득하며, 인증 사용자 목록을 관리하는 인증 목록 데이터베이스; 인증 승인된 사용자를 상기 인증 목록 데이터베이스의 인증 사용자 목록에 추가하는 인증 목록 관리 모듈; 인증 요청 패킷의 생성을 요청받으면, 인증값을 생성하여 시퀀스(Sequence) 필드에 담아 사용자에게 인증 요청 패킷을 생성하여 전송하는 패킷 생성 모듈; 및 상기 트래픽 분석 모듈에서 획득한 TCP 상태 플래그가 Syn 일 경우에 상기 패킷 생성 모듈에 인증 요청 패킷의 생성을 요청하고, TCP 상태 플래그가 Ack 일 때는 인증 응답 패킷이 유효한 경우에 인증 목록 관리 모듈로 전달하여 인증 사용자 목록에 추가하도록 하는 인증 승인 모듈을 더 포함한다.
또한, 본 발명의 일 측면은 상기 트래픽 분석 모듈에서 획득한 TCP 상태 플래그가 Syn 상태 또는 Ack 상태인 경우에 TCP 상태 플래그의 상태 정보를 상기 인증 승인 모듈로 제공하고, 그 외의 상태인 경우에는 패킷을 차단하는 상태 체크 모듈을 더 포함한다.
또한, 본 발명의 일 측면의 상기 패킷 생성 모듈은 인증 요청 패킷의 생성을 요청받을 경우 Syn 패킷의 출발지 IP, 목적지 IP, 출발지 Port, 목적지 Port를 조합한 값과 타임스탬프를 인증값으로 하여 시퀀스 필드의 시퀀스 넘버에 저장하고 Syn-Ack 플래그를 설정하여 인증 요청 패킷을 생성하여 전송한다.
또한, 본 발명의 일 측면의 상기 인증 승인 모듈은 TCP 상태 플래그가 Ack 일 때는 인증 응답 패킷으로 판단하고 확인 응답(Acknowledgment) 필드의 확인 응답 넘버를 확인하여 해당 패킷이 인증 요청에 대한 인증 응답 패킷인지 유효성을 검증한다.
또한, 본 발명의 일 측면의 상기 인증 승인 모듈은 Ack 패킷의 경우에 확인 응답 넘버에서 1을 뺀 값과 출발지 IP, 목적지 IP, 출발지 Port, 목적지 Port를 조합한 값을 비교하여 값이 동일하고 타임스탬프를 확인하여 사용자가 설정한 시간을 지나지 않았을 경우에 사용자의 IP 정보를 인증 목록 관리 모듈로 전달하여 인증 사용자 목록에 추가한다.
한편, 본 발명의 다른 측면은 (A) 트래픽 분석 모듈은 패킷을 입력받아 IP 정보와 TCP 상태 플래그를 수집하는 단계; 및 (B) 인증 검사 모듈은 상기 트래픽 분석 모듈에서 수집한 IP 정보를 기반으로 인증 사용자 목록을 검색하여 인증을 받은 사용자인 경우에 패킷을 통과시키는 단계를 포함한다.
또한, 본 발명의 다른 측면의 상기 (B) 단계는 (B-1) 상기 인증 검사 모듈은 외부에서 내부로 들어오는 패킷의 경우 수집된 IP 정보의 출발지 IP를 인증 사용자 목록에서 검색하여 인증을 받은 사용자인지 판단하는 단계; 및 (B-2) 상기 인증 검사 모듈은 내부에서 외부로 나가는 패킷의 경우 수집된 IP 정보에서 목적지 IP를 인증 사용자 목록에서 검색하여 인증을 받은 사용자인지 판단하는 단계를 포함한다.
또한, 본 발명의 다른 측면은 (C) 상태 체크 모듈은 상기 트래픽 분석 모듈에서 획득한 TCP 상태 플래그가 Syn 상태 또는 Ack 상태인 경우에 TCP 상태 플래그의 상태 정보를 인증 승인 모듈로 제공하는 단계; (D) 상기 인증 승인 모듈은 상기 트래픽 분석 모듈에서 획득한 TCP 상태 플래그가 Syn 일 경우에 패킷 생성 모듈에 인증 요청 패킷의 생성을 요청하는 단계; (E) 상기 패킷 생성 모듈은 인증 요청 패킷의 생성을 요청받으면, 인증값을 생성하여 시퀀스(Sequence) 필드에 담아 사용자에게 인증 요청 패킷을 생성하여 전송하는 단계; 및 (F) 상기 인증 승인 모듈은 TCP 상태 플래그가 Ack 일 때는 인증 응답 패킷이 유효한 경우에 인증 목록 관리 모듈로 전달하여 인증 사용자 목록에 추가하도록 하는 단계를 더 포함한다.
또한, 본 발명의 다른 측면의 상기 (E) 단계에서 상기 패킷 생성 모듈은 인증 요청 패킷의 생성을 요청받을 경우 Syn 패킷의 출발지 IP, 목적지 IP, 출발지 Port, 목적지 Port를 조합한 값과 타임스탬프를 인증값으로 하여 시퀀스 필드의 시퀀스 넘버에 저장하고 Syn-Ack 플래그를 설정하여 인증 요청 패킷을 생성하여 전송한다.
또한, 본 발명의 다른 측면의 상기 (F) 단계에서 상기 인증 승인 모듈은 TCP 상태 플래그가 Ack 일 때는 인증 응답 패킷으로 판단하고 확인 응답(Acknowledgment) 필드의 확인 응답 넘버를 확인하여 해당 패킷이 인증 요청에 대한 인증 응답 패킷인지 유효성을 검증한다.
또한, 본 발명의 다른 측면의 상기 인증 승인 모듈은 Ack 패킷의 경우에 확인 응답 넘버에서 1을 뺀 값과 출발지 IP, 목적지 IP, 출발지 Port, 목적지 Port를 조합한 값을 비교하여 값이 동일하고 타임스탬프를 확인하여 사용자가 설정한 시간을 지나지 않았을 경우에 사용자의 IP 정보를 인증 목록 관리 모듈로 전달하여 인증 사용자 목록에 추가하도록 한다.
상기와 같은 본 발명에 따르면, 실제 사용자가 아닌 트래픽 재전송 프로그램 또는 스크립트 등과 같은 비정상적인 사용자에 의한 과도한 트래픽을 제어할 수 있다.
특히, 본 발명에 따르면, 여러 가지 상태 테이블 관리로 인한 복잡성 및 부하를 줄이기 위하여 상태 테이블 등을 운영하지 않고 사용자에 대한 인증을 진행하여 인증된 IP 리스트만을 가지고 비정상 트래픽을 제어하기 때문에 성능을 대폭 향상 시킬 수 있으며, 외부에서 내부로 들어오는 트래픽 뿐만 아니라 내부에서 외부로 전달되는 비정상 트래픽 또한 제어가 가능하다.
도 1은 본 발명의 바람직한 일 실시예에 따른 사용자 인증을 통한 비정상 네트워크 트래픽 제어 장치의 구성도이다.
도 2는 트래픽 분석 모듈이 수신한 패킷 구조를 보여주는 도면이다.
도 3은 인증 수행 과정을 보여주는 도면이다.
도 4는 본 발명의 바람직한 일 실시예에 따른 사용자 인증을 통한 비정상 네트워크 트래픽 제어 방법의 흐름도이다.
본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 설명하기 위하여 이하에서는 본 발명의 바람직한 실시예를 예시하고 이를 참조하여 살펴본다.
먼저, 본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로서, 본 발명을 한정하려는 의도가 아니며, 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함할 수 있다. 또한 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
본 발명을 설명함에 있어서, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
도 1은 본 발명의 바람직한 일 실시예에 따른 사용자 인증을 통한 비정상 네트워크 트래픽 제어 장치의 구성도이다.
도 1을 참조하면, 본 발명의 바람직한 일 실시예에 따른 사용자 인증을 통한 비정상 네트워크 트래픽 제어 장치는 트래픽 분석 모듈(100), 인증 검사 모듈(200), 상태 체크 모듈(300), 인증 승인 모듈(400), 패킷 생성 모듈(500), 인증 목록 관리 모듈(600) 및 인증 목록 데이터베이스(700)을 구비하고 있다.
상기 트래픽 분석 모듈(100)은 패킷이 들어오는 방향을 기준으로 내부/외부 패킷의 방향 구분 및 각각의 프로토콜에 맞게 헤더를 분석하여 접속을 시도하는 IP 정보를 수집하고 TCP의 상태 플래그를 얻어온다.
이때, 트래픽 분석 모듈이 수신한 패킷의 구조가 도 2에 도시되어 있는데, 출발지 IP주소(SRC IP(SouRCe IP address))(10), 목적지 IP 주소(DST IP)( DeSTnation IP address)(20), TCP 플래그(TCP Flags)(30) 및 데이터(DATA)(40)를 포함하고 있다.
다음으로, 인증 검사 모듈(200)은 트래픽 분석 모듈(100)로부터 전달받은 프로토콜과 IP 정보(출발지 IP 주소, 목적지 IP 주소)를 기반으로 인증 목록 데이터베이스(700)에 있는 인증 사용자 목록과 비교하여 사전에 인증을 받은 사용자인지 확인을 진행하여 사전에 인증받은 사용자의 경우 해당 패킷을 통과시키며, 사전에 인증받지 못한 사용자의 경우에는 상태 체크 모듈(300)로 이동하게 한다.
상기 인증 검사 모듈(200)은 이때 외부에서 내부로 들어오는 패킷의 경우 출발지 IP를 비교하고 내부에서 외부로 나가는 패킷의 경우 목적지 IP를 비교한다.
비교 결과, 인증 검사 모듈(200)은 인증 사용자 목록에 존재하는 패킷일 경우 인증 목록 데이터베이스(700)의 최종 접속 시간을 갱신하며 패킷을 반대편으로 포워딩하여 통과시킨다.
그리고, 상태 체크 모듈(300)은 트래픽 분석 모듈(100)에서 분석한 정보를 바탕으로 TCP의 상태를 체크하게 된다.
상태 체크 모듈(300)은 TCP의 상태를 체크하여 TCP 플래그가 Syn 또는 Ack일 경우 인증 승인 모듈(400)로 이동하게 하고 그 외의 패킷은 비인증 사용자로 판단하고 차단시킨다(즉, 드롭(drop) 시킨다).
여기에서, Syn은 TCP 플래그 상태 값으로 최초 세션 연결을 설정하는데 사용된다. 그리고, Ack는 TCP 플래그 상태 값으로 확인 응답(Acknowledgment) 넘버 값이 설정되어 있는 것을 의미한다.
이때, 확인 응답(Acknowledgment) 넘버는 수신자가 예상하는 다음 시퀀스 번호로써 이전에 전달받은 시퀀스 넘버에 +1을 더한 값이 된다.
상기 시퀀스(sequence) 넘버는 TCP 데이터의 순서 번호로써 Syn 플래그가 설정된 경우 최초 시퀀스 번호를 초기화하며 이후 값은 전송된 데이터의 누적 값이다.
다음으로, 인증 승인 모듈(400)은 상태 체크 모듈(300)에서 전달받은 패킷의 상태 정보를 기반으로 TCP의 플래그 값이 Syn 일 경우 최초 접속 사용자로 판단하고 패킷 생성 모듈(500)에 인증 요청 패킷의 생성을 요청하고 TCP 플래그가 Ack 일 때는 인증 응답 패킷으로 판단하고 확인 응답(Acknowledgment) 필드의 확인 응답 넘버를 확인하여 해당 패킷이 인증 요청에 대한 인증 응답 패킷인지 유효성을 검증한다.
인증 승인 모듈(400)은 검증 결과에 따라 인증이 유효한 패킷의 경우 목록 관리 모듈(600)로 전달하며 인증이 무효한 패킷의 경우 비 인증 사용자로 판단하고 차단 시킨다.
그리고, 패킷 생성 모듈(500)은 상태 체크 모듈에서 전달받은 정보를 바탕으로 인증값을 생성하여 시퀀스(Sequence) 필드에 담아 사용자에게 인증 요청 패킷을 생성하여 전송하거나 인증이 완료되었을 경우 사용자의 재접속을 유도하기 위한 RST 패킷을 전송한다.
이러한 과정이 도 3에 도시되어 있는데, 사용자 인증을 통한 비정상 네트워크 트래픽 제어 장치의 인증 승인 모듈(400)은 상태 체크 모듈(300)에서 전달받은 패킷의 상태 정보를 기반으로 TCP의 플래그 값이 Syn 일 경우 최초 접속 사용자로 판단하고 패킷 생성 모듈(500)에 인증 요청 패킷의 생성을 요청하고, 이에 따라 패킷 생성 모듈(500)은 인증 요청 패킷을 생성하여 사용자 단말로 전송한다.
이때, 패킷 생성 모듈(500)에서는 인증 요청 패킷의 생성을 요청받을 경우 상태 체크 모듈(300)에서 전송받은 해당 Syn 패킷의 출발지 IP, 목적지 IP, 출발지 Port, 목적지 Port를 조합한 값과 타임스탬프를 인증값으로 하여 시퀀스 필드의 시퀀스 넘버에 저장하고 Syn-Ack 플래그를 설정하여 인증 요청 패킷을 생성하여 전송하게 된다.
그러면, 사용자 단말은 이에 따라 인증 응답 패킷을 생성하여 전송하며 이에 따라 인증은 완료된다.
상기 인증 목록 관리 모듈(600)은 관리자의 추가 명령 또는 인증 승인 모듈(400)에서 인증된 사용자들의 IP 정보를 인증 목록 데이터베이스(700)의 인증 사용자 목록에 추가하거나 관리자의 삭제 명령 또는 인증 접속 시간이 만료된 사용자들에 대해서 IP 정보를 인증 사용자 목록에서 삭제하는 등 전반적인 인증 사용자 목록을 관리한다.
즉, 인증 목록 관리 모듈(600)은 주기적으로 인증 목록 데이터베이스(700)의 인증 사용자 목록을 확인하여 인증 검사 모듈(200)에 의해 최종 접속 시간이 갱신되지 않고 관리자가 설정한 인증 만료 시간이 지난 IP에 대해서는 목록에서 삭제하며, 사용자에 의한 인증 목록 추가, 삭제, 리셋 등 관리 기능을 수행한다.
도 4는 본 발명의 바람직한 일 실시예에 따른 사용자 인증을 통한 비정상 네트워크 트래픽 제어 방법의 흐름도이다.
도 4를 참조하면, 본 발명의 바람직한 일 실시예에 따른 사용자 인증을 통한 비정상 네트워크 트래픽 제어 방법은 먼저 트래픽 분석 모듈이 네트워크 인터페이스 카드(NIC : Network Interface Card)로부터 수신된 패킷의 방향성(내부 또는 외부) 및 정보를 분석하여 해당 패킷의 IP 정보(출발지 IP 주소와 목적지 IP 주소)와 TCP 플래그 정보를 파악한다(S100).
상기 트래픽 분석 모듈의 분석된 정보를 이용하여 인증 검사 모듈은 인증 사용자 목록을 검색하여 해당 IP가 기존에 인증을 받은 사용자 인지 여부를 판단하며(S102), 이때 외부에서 내부로 들어오는 패킷의 경우 출발지 IP를 비교하고 내부에서 외부로 나가는 패킷의 경우 목적지 IP를 비교한다.
이미 인증 검사 모듈은 판단 결과, 인증 사용자 목록에 존재하는 패킷일 경우 인증 목록 데이터베이스의 최종 접속 시간을 갱신하며 패킷을 반대편으로 포워딩하여 통과시킨다(S104).
한편, 상태 체크 모듈은 해당 IP가 기존에 인증을 받은 사용자가 아니라면 TCP 상태 플래그를 확인하여, TCP 상태 플래그의 상태가 Syn 플래그 또는 Ack 플래그인지 확인한다(S110).
상태 체크 모듈은 TCP 상태 플래그의 확인 결과, Syn 플래그가 설정되어 있는 경우 최초 접속을 시도하는 것으로 보고 인증을 위한 인증 승인 모듈로 전달하며, Ack 플래그가 설정되어 있는 경우 인증 요청에 대한 인증 응답 패킷으로 보고 사용자 인증 승인 모듈로 전달하게 된다. 그 외 패킷의 경우 인증되지 않은 패킷으로 판단하고 모두 드롭한다(S112).
이후에, 인증 승인 모듈에서는 해당 Syn 패킷일 경우(S114) 최초 연결 시도로 판단하여 패킷 생성 모듈로 인증 요청 패킷의 생성을 요청하게 된다.
이에 따라, 패킷 생성 모듈에서는 인증 패킷 생성을 요청받을 경우 해당 Syn 패킷의 출발지 IP, 목적지 IP, 출발지 Port, 목적지 Port를 조합한 값과 타임스탬프를 인증값으로 하여 시퀀스 필드의 시퀀스 넘버에 저장하고 Syn-Ack 플래그를 설정하여 응답 요청 패킷을 생성하여 전송하게 된다(S120).
한편, 인증 승인 모듈은 상태 체크 모듈에서 전달받은 패킷의 상태 정보를 기반으로 TCP의 플래그 값이 Ack 일 때는 인증 응답 패킷으로 판단하고 확인 응답(Acknowledgment) 필드의 확인 응답 넘버를 확인하여 해당 패킷이 인증 요청에 대한 인증 응답 패킷인지 유효성을 검증한다(S116).
즉, 인증 승인 모듈에서는 Ack 패킷의 경우 인증 요청에 대한 응답으로 판단하고 확인 응답 필드의 확인 응답(Acknowledgment) 넘버에서 1을 뺀 값과 출발지 IP, 목적지 IP, 출발지 Port, 목적지 Port를 조합한 값을 비교하여 값이 동일하고 타임스탬프를 확인하여 사용자가 설정한 시간을 지나지 않았을 경우 사용자의 IP 정보를 인증 목록 관리 모듈로 전달하여 인증 사용자 목록에 추가하고 패킷 생성 모듈로 재접속 유도 패킷을 요청하게 된다.
상기 패킷 생성 모듈에서는 재접속 유도 패킷 생성을 요청 받을 경우 RST 패킷을 생성하여 전송하여 연결을 종료하게 된다(S122).
이때 해당 패킷의 방향이 외부에서 내부로 들어오는 패킷의 경우 출발지 IP를 추가하며, 내부에서 외부로 나가는 패킷의 경우에는 목적지 IP를 추가하게 된다. 만약 동일하지 않는 값이거나 시간이 지난 경우 인증 승인 모듈은 해당 패킷은 드롭한다(S112).
상기와 같은 본 발명에 따르면, 실제 사용자가 아닌 트래픽 재전송 프로그램 또는 스크립트 등과 같은 비정상적인 사용자에 의한 과도한 트래픽을 제어할 수 있다.
특히, 본 발명에 따르면, 여러 가지 상태 테이블 관리로 인한 복잡성 및 부하를 줄이기 위하여 상태 테이블 등을 운영하지 않고 사용자에 대한 인증을 진행하여 인증된 IP 리스트만을 가지고 비정상 트래픽을 제어하기 때문에 성능을 대폭 향상 시킬 수 있으며, 외부에서 내부로 들어오는 트래픽 뿐만 아니라 내부에서 외부로 전달되는 비정상 트래픽 또한 제어가 가능하다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서 본 발명에 기재된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상이 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의해서 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100 : 트래픽 분석 모듈 200 : 인증 검사 모듈
300 : 상태 체크 모듈 400 : 인증 승인 모듈
500 : 패킷 생성 모듈 600 : 인증 목록 관리 모듈
700 : 인증 목록 데이터베이스

Claims (13)

  1. 패킷을 입력받아 IP 정보를 수집하는 트래픽 분석 모듈; 및
    상기 트래픽 분석 모듈에서 수집한 IP 정보를 기반으로 인증 사용자 목록을 검색하여 인증을 받은 사용자인 경우에 패킷을 통과시키는 인증 검사 모듈을 포함하는 사용자 인증을 통한 비정상 네트워크 트래픽 제어 장치.
  2. 청구항 1항에 있어서,
    상기 트래픽 분석 모듈은 패킷이 내부로 들어오는 패킷인지 외부로 나가는 패킷인지 패킷의 방향을 구분하며,
    상기 인증 검사 모듈은 외부에서 내부로 들어오는 패킷의 경우 수집된 IP 정보의 출발지 IP를 인증 사용자 목록에서 검색하여 인증을 받은 사용자인지 판단하고, 내부에서 외부로 나가는 패킷의 경우 수집된 IP 정보에서 목적지 IP를 인증 사용자 목록에서 검색하여 인증을 받은 사용자인지 판단하는 사용자 인증을 통한 비정상 네트워크 트래픽 제어 장치.
  3. 청구항 1항에 있어서,
    상기 트래픽 분석 모듈은 패킷의 TCP 상태 플래그를 획득하며,
    인증 사용자 목록을 관리하는 인증 목록 데이터베이스;
    인증 승인된 사용자를 상기 인증 목록 데이터베이스의 인증 사용자 목록에 추가하는 인증 목록 관리 모듈;
    인증 요청 패킷의 생성을 요청받으면, 인증값을 생성하여 시퀀스(Sequence) 필드에 담아 사용자에게 인증 요청 패킷을 생성하여 전송하는 패킷 생성 모듈; 및
    상기 트래픽 분석 모듈에서 획득한 TCP 상태 플래그가 Syn 일 경우에 상기 패킷 생성 모듈에 인증 요청 패킷의 생성을 요청하고, TCP 상태 플래그가 Ack 일 때는 인증 응답 패킷이 유효한 경우에 인증 목록 관리 모듈로 전달하여 인증 사용자 목록에 추가하도록 하는 인증 승인 모듈을 더 포함하는 사용자 인증을 통한 비정상 네트워크 트래픽 제어 장치.
  4. 청구항 3항에 있어서,
    상기 트래픽 분석 모듈에서 획득한 TCP 상태 플래그가 Syn 상태 또는 Ack 상태인 경우에 TCP 상태 플래그의 상태 정보를 상기 인증 승인 모듈로 제공하고, 그 외의 상태인 경우에는 패킷을 차단하는 상태 체크 모듈을 더 포함하는 사용자 인증을 통한 비정상 네트워크 트래픽 제어 장치.
  5. 청구항 3항에 있어서,
    상기 패킷 생성 모듈은 인증 요청 패킷의 생성을 요청받을 경우 Syn 패킷의 출발지 IP, 목적지 IP, 출발지 Port, 목적지 Port를 조합한 값과 타임스탬프를 인증값으로 하여 시퀀스 필드의 시퀀스 넘버에 저장하고 Syn-Ack 플래그를 설정하여 인증 요청 패킷을 생성하여 전송하는 사용자 인증을 통한 비정상 네트워크 트래픽 제어 장치.
  6. 청구항 3항에 있어서,
    상기 인증 승인 모듈은 TCP 상태 플래그가 Ack 일 때는 인증 응답 패킷으로 판단하고 확인 응답(Acknowledgment) 필드의 확인 응답 넘버를 확인하여 해당 패킷이 인증 요청에 대한 인증 응답 패킷인지 유효성을 검증하는 사용자 인증을 통한 비정상 네트워크 트래픽 제어 장치.
  7. 청구항 6항에 있어서,
    상기 인증 승인 모듈은 Ack 패킷의 경우에 확인 응답 넘버에서 1을 뺀 값과 출발지 IP, 목적지 IP, 출발지 Port, 목적지 Port를 조합한 값을 비교하여 값이 동일하고 타임스탬프를 확인하여 사용자가 설정한 시간을 지나지 않았을 경우에 사용자의 IP 정보를 인증 목록 관리 모듈로 전달하여 인증 사용자 목록에 추가하는 사용자 인증을 통한 비정상 네트워크 트래픽 제어 장치.
  8. (A) 트래픽 분석 모듈은 패킷을 입력받아 IP 정보와 TCP 상태 플래그를 수집하는 단계; 및
    (B) 인증 검사 모듈은 상기 트래픽 분석 모듈에서 수집한 IP 정보를 기반으로 인증 사용자 목록을 검색하여 인증을 받은 사용자인 경우에 패킷을 통과시키는 단계를 포함하는 사용자 인증을 통한 비정상 네트워크 트래픽 제어 방법.
  9. 청구항 8항에 있어서,
    상기 (B) 단계는
    (B-1) 상기 인증 검사 모듈은 외부에서 내부로 들어오는 패킷의 경우 수집된 IP 정보의 출발지 IP를 인증 사용자 목록에서 검색하여 인증을 받은 사용자인지 판단하는 단계; 및
    (B-2) 상기 인증 검사 모듈은 내부에서 외부로 나가는 패킷의 경우 수집된 IP 정보에서 목적지 IP를 인증 사용자 목록에서 검색하여 인증을 받은 사용자인지 판단하는 단계를 포함하는 사용자 인증을 통한 비정상 네트워크 트래픽 제어 방법.
  10. 청구항 8항에 있어서,
    (C) 상태 체크 모듈은 상기 트래픽 분석 모듈에서 획득한 TCP 상태 플래그가 Syn 상태 또는 Ack 상태인 경우에 TCP 상태 플래그의 상태 정보를 인증 승인 모듈로 제공하는 단계;
    (D) 상기 인증 승인 모듈은 상기 트래픽 분석 모듈에서 획득한 TCP 상태 플래그가 Syn 일 경우에 패킷 생성 모듈에 인증 요청 패킷의 생성을 요청하는 단계;
    (E) 상기 패킷 생성 모듈은 인증 요청 패킷의 생성을 요청받으면, 인증값을 생성하여 시퀀스(Sequence) 필드에 담아 사용자에게 인증 요청 패킷을 생성하여 전송하는 단계; 및
    (F) 상기 인증 승인 모듈은 TCP 상태 플래그가 Ack 일 때는 인증 응답 패킷이 유효한 경우에 인증 목록 관리 모듈로 전달하여 인증 사용자 목록에 추가하도록 하는 단계를 더 포함하는 사용자 인증을 통한 비정상 네트워크 트래픽 제어 방법.
  11. 청구항 10항에 있어서,
    상기 (E) 단계에서 상기 패킷 생성 모듈은 인증 요청 패킷의 생성을 요청받을 경우 Syn 패킷의 출발지 IP, 목적지 IP, 출발지 Port, 목적지 Port를 조합한 값과 타임스탬프를 인증값으로 하여 시퀀스 필드의 시퀀스 넘버에 저장하고 Syn-Ack 플래그를 설정하여 인증 요청 패킷을 생성하여 전송하는 사용자 인증을 통한 비정상 네트워크 트래픽 제어 방법.
  12. 청구항 10항에 있어서,
    상기 (F) 단계에서 상기 인증 승인 모듈은 TCP 상태 플래그가 Ack 일 때는 인증 응답 패킷으로 판단하고 확인 응답(Acknowledgment) 필드의 확인 응답 넘버를 확인하여 해당 패킷이 인증 요청에 대한 인증 응답 패킷인지 유효성을 검증하는 사용자 인증을 통한 비정상 네트워크 트래픽 제어 방법.
  13. 청구항 12항에 있어서,
    상기 인증 승인 모듈은 Ack 패킷의 경우에 확인 응답 넘버에서 1을 뺀 값과 출발지 IP, 목적지 IP, 출발지 Port, 목적지 Port를 조합한 값을 비교하여 값이 동일하고 타임스탬프를 확인하여 사용자가 설정한 시간을 지나지 않았을 경우에 사용자의 IP 정보를 인증 목록 관리 모듈로 전달하여 인증 사용자 목록에 추가하는 사용자 인증을 통한 비정상 네트워크 트래픽 제어 방법.
KR1020160122074A 2016-09-23 2016-09-23 사용자 인증을 통한 비정상 네트워크 트래픽 제어 장치 및 방법 KR20180032864A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160122074A KR20180032864A (ko) 2016-09-23 2016-09-23 사용자 인증을 통한 비정상 네트워크 트래픽 제어 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160122074A KR20180032864A (ko) 2016-09-23 2016-09-23 사용자 인증을 통한 비정상 네트워크 트래픽 제어 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20180032864A true KR20180032864A (ko) 2018-04-02

Family

ID=61976325

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160122074A KR20180032864A (ko) 2016-09-23 2016-09-23 사용자 인증을 통한 비정상 네트워크 트래픽 제어 장치 및 방법

Country Status (1)

Country Link
KR (1) KR20180032864A (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102223827B1 (ko) * 2019-09-24 2021-03-08 프라이빗테크놀로지 주식회사 단말의 네트워크 접속을 인증 및 제어하기 위한 시스템 및 그에 관한 방법
WO2021060859A1 (ko) * 2019-09-24 2021-04-01 프라이빗테크놀로지 주식회사 단말의 네트워크 접속을 인증 및 제어하기 위한 시스템 및 그에 관한 방법
US11082256B2 (en) 2019-09-24 2021-08-03 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11190494B2 (en) 2019-09-24 2021-11-30 Pribit Technology, Inc. Application whitelist using a controlled node flow
US11271777B2 (en) 2019-09-24 2022-03-08 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11381557B2 (en) 2019-09-24 2022-07-05 Pribit Technology, Inc. Secure data transmission using a controlled node flow
US11652801B2 (en) 2019-09-24 2023-05-16 Pribit Technology, Inc. Network access control system and method therefor

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060041123A (ko) * 2004-11-08 2006-05-11 삼성전자주식회사 악성 코드 탐지 장치 및 그 방법
KR20110018528A (ko) * 2009-08-18 2011-02-24 삼성에스디에스 주식회사 네트워크 상에서 tcp syn 플러딩 공격을 차단하는 장치 및 방법
KR20110061784A (ko) * 2009-12-02 2011-06-10 한국전자통신연구원 네트워크 공격 방어 장치 및 방법, 이를 포함한 패킷 송수신 처리 장치 및 방법
US20130263245A1 (en) * 2012-03-12 2013-10-03 Yi Sun Distributed tcp syn flood protection
KR101501698B1 (ko) * 2013-12-12 2015-03-11 한국인터넷진흥원 이동통신망 내 비정상 데이터 플러딩 탐지방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060041123A (ko) * 2004-11-08 2006-05-11 삼성전자주식회사 악성 코드 탐지 장치 및 그 방법
KR20110018528A (ko) * 2009-08-18 2011-02-24 삼성에스디에스 주식회사 네트워크 상에서 tcp syn 플러딩 공격을 차단하는 장치 및 방법
KR20110061784A (ko) * 2009-12-02 2011-06-10 한국전자통신연구원 네트워크 공격 방어 장치 및 방법, 이를 포함한 패킷 송수신 처리 장치 및 방법
US20130263245A1 (en) * 2012-03-12 2013-10-03 Yi Sun Distributed tcp syn flood protection
KR101501698B1 (ko) * 2013-12-12 2015-03-11 한국인터넷진흥원 이동통신망 내 비정상 데이터 플러딩 탐지방법

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102223827B1 (ko) * 2019-09-24 2021-03-08 프라이빗테크놀로지 주식회사 단말의 네트워크 접속을 인증 및 제어하기 위한 시스템 및 그에 관한 방법
WO2021060859A1 (ko) * 2019-09-24 2021-04-01 프라이빗테크놀로지 주식회사 단말의 네트워크 접속을 인증 및 제어하기 위한 시스템 및 그에 관한 방법
US11082256B2 (en) 2019-09-24 2021-08-03 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11190494B2 (en) 2019-09-24 2021-11-30 Pribit Technology, Inc. Application whitelist using a controlled node flow
US11271777B2 (en) 2019-09-24 2022-03-08 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11381557B2 (en) 2019-09-24 2022-07-05 Pribit Technology, Inc. Secure data transmission using a controlled node flow
US11652801B2 (en) 2019-09-24 2023-05-16 Pribit Technology, Inc. Network access control system and method therefor

Similar Documents

Publication Publication Date Title
KR20180032864A (ko) 사용자 인증을 통한 비정상 네트워크 트래픽 제어 장치 및 방법
CN1954545B (zh) 用于认证通信流量的方法和装置
US8015402B2 (en) Address-authentification-information issuing apparatus, address-authentification-information adding apparatus, false-address checking apparatus, and network system
KR101095447B1 (ko) 분산 서비스 거부 공격 차단 장치 및 방법
US20160269421A1 (en) Method for network security using statistical object identification
US8990573B2 (en) System and method for using variable security tag location in network communications
EP2464079A1 (en) Method for authenticating communication traffic, communication system and protection apparatus
US9344417B2 (en) Authentication method and system
US11265167B2 (en) Methods and systems for network security using a cryptographic firewall
US12041136B2 (en) Systems and methods for virtual multiplexed connections
WO2021244449A1 (zh) 一种数据处理方法及装置
WO2023116791A1 (zh) 访问控制方法、访问控制***、终端及存储介质
CN115996122A (zh) 访问控制方法、装置及***
CN115603932A (zh) 一种访问控制方法、访问控制***及相关设备
KR101463873B1 (ko) 정보 유출 차단 장치 및 방법
WO2011041964A1 (zh) 一种网络设备管理的方法、网络***及网络接入节点
CN115664740B (zh) 基于可编程数据平面的数据包转发攻击防御方法及***
US20190289014A1 (en) Methods and Apparatus for Controlling Application-Specific Access to a Secure Network
CN115801347A (zh) 一种基于单包授权技术增强网络安全的方法和***
JP2009187321A (ja) サービス提供システム、サービス提供方法およびサービス提供プログラム
KR102123549B1 (ko) 인터넷 페이지 접속 제어 서버 및 방법
CN112865975A (zh) 消息安全交互方法和***、信令安全网关装置
KR102571147B1 (ko) 스마트워크 환경을 위한 보안 장치 및 그를 수행하도록 컴퓨터 판독 가능한 기록 매체에 저장된 프로그램
KR102027440B1 (ko) Ddos 공격 차단 장치 및 방법
Gong Security threats and countermeasures for connected vehicles

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E601 Decision to refuse application