KR20190110719A - Apparatus and method for concealing network - Google Patents

Apparatus and method for concealing network Download PDF

Info

Publication number
KR20190110719A
KR20190110719A KR1020180032510A KR20180032510A KR20190110719A KR 20190110719 A KR20190110719 A KR 20190110719A KR 1020180032510 A KR1020180032510 A KR 1020180032510A KR 20180032510 A KR20180032510 A KR 20180032510A KR 20190110719 A KR20190110719 A KR 20190110719A
Authority
KR
South Korea
Prior art keywords
network
address
virtual
false
sdn
Prior art date
Application number
KR1020180032510A
Other languages
Korean (ko)
Inventor
이현진
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020180032510A priority Critical patent/KR20190110719A/en
Publication of KR20190110719A publication Critical patent/KR20190110719A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • H04L61/2007
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

A network concealment apparatus and method are disclosed. According to the present invention, the network concealment apparatus comprises: a network control unit including a network replication portion, an interface portion, and a database; and a virtual machine unit. Accordingly, a virtual network can be constructed even with a small number of virtual servers, thereby providing a highly efficient network concealment apparatus and method. In addition, the network concealment apparatus and method can provide a high-performance network concealment apparatus and method capable of effective defense against an attacker by making it difficult to access a network to an actual physical server by creating a large-scale virtual server.

Description

네트워크 은닉 장치 및 방법{APPARATUS AND METHOD FOR CONCEALING NETWORK}Network concealment device and method {APPARATUS AND METHOD FOR CONCEALING NETWORK}

본 발명은 네트워크 은닉 장치 및 방법에 관한 것으로, 보다 상세하게는, 소프트웨어 정의 네트워크 기반의 네트워크 은닉 장치 및 방법에 관한 것이다.The present invention relates to network concealment apparatus and method, and more particularly, to a network concealment apparatus and method based on software defined network.

최근 네트워크 기술의 발달과 함께, 개인정보 유출 및 대규모 시스템 장애 등 해킹 피해 사례가 급증하고 있다.Recently, with the development of network technology, cases of hacking damage such as personal information leakage and large system failure are increasing rapidly.

종래의 통신 네트워크 모델은 클라이언트가 서버의 주소를 인식하여 접근하면 서버가 클라이언트의 요청을 응답하는 방식으로 제공된다. 예를 들어, IP(Internet Protocol, 이하 IP) 네트워크에서의 웹 서버 및 웹 클라이언트 간의 통신 모델의 경우, 웹 클라이언트가 웹 서버의 IP 주소를 획득한 후 획득한 주소로 HTTP(HyperText Transfer Protocol) 요청 메시지를 보내면, 사용자가 웹 서버의 IP 주소를 웹 클라이언트의 UI를 통해 직접 입력하거나 도메인 네임을 통해 IP로 변환하는 과정을 거쳐 클라이언트는 IP 주소를 획득한 후 서버에 접근하는 방식으로 제공된다.The conventional communication network model is provided in such a way that the server responds to the client's request when the client knows and approaches the server's address. For example, in the communication model between a web server and a web client in an Internet Protocol (IP) network, a HyperText Transfer Protocol (HTTP) request message is obtained from an address obtained after the web client obtains the IP address of the web server. After sending, the user enters the IP address of the web server directly through the UI of the web client or converts it to IP using the domain name. Then, the client obtains the IP address and then accesses the server.

이에 따라, 종래의 통신 네트워크 모델은 서버의 주소가 클라이언트에게 노출되므로, DDoS(Distributed Denial of Service) 등의 해킹 피해 확률이 증가될 수 있으며, 공격을 피하기 위해 주소를 변경하는 것은 클라이언트에게도 변경되는 주소를 알려야 하기 때문에 서비스의 연속성을 보장하기 어려운 단점이 있다.Accordingly, in the conventional communication network model, since the address of the server is exposed to the client, the probability of hacking damage such as Distributed Denial of Service (DDoS) may be increased, and changing the address to avoid the attack may also change the address to the client. It is difficult to guarantee the continuity of services because it must be informed.

이에 최근에는 소프트웨어 정의 네트워크(Software Defined Network, SDN)를 이용하여 공격자의 해킹 공격을 예방하는 기술을 연구하고 있다.Recently, he has been researching a technology to prevent hacking attacks by attackers using Software Defined Network (SDN).

소프트웨어 정의 네트워크(Software Defined Network, SDN)는 인프라스트럭처(infrastructure)로서의 스위치, 라우터 등과 같은 네트워크 장비의 제어 평면(control plane)과 데이터 평면(data plane)을 분리하여 데이터 평면은 네트워크 장비의 하드웨어에 존속시키고, 제어 평면은 SDN 컨트롤러에 소프트웨어 형태로 구비하는 네트워크 구조를 의미한다.Software Defined Network (SDN) separates the control plane and data plane of network equipment such as switches and routers as infrastructure, so that the data plane persists in the hardware of the network equipment. The control plane refers to a network structure provided in the form of software in the SDN controller.

소프트웨어 정의 네트워크(Software Defined Network, SDN)의 인프라스트럭처(infrastructure)를 이용한 네트워크 은닉 방법으로는 가상서버를 할당하는 기술이 있다. A network concealment method using an infrastructure of a software defined network (SDN) includes a technique of allocating a virtual server.

그러나, 종래의 네트워크 은닉 방법은 은닉하려는 실제 네트워크에 대응되는 가상 네트워크를 가상서버로 구현함으로써, 고가의 구축 비용이 요구된다. However, the conventional network concealment method requires an expensive construction cost by implementing a virtual network corresponding to the actual network to be concealed as a virtual server.

또한, 이러한 가상 네트워크 서버들은 공격자를 유인하기 위해 웹 서비스, FTP(File Transfer Protocol) 서비스, SSH(Secure Shell) 서비스 등 다양한 서비스를 제공해야 함으로써, 고가의 유지 비용이 요구된다.In addition, these virtual network servers are required to provide a variety of services, such as Web services, File Transfer Protocol (FTP) services, Secure Shell (SSH) services in order to attract the attacker, expensive maintenance costs are required.

상기와 같은 문제점을 해결하기 위한 본 발명의 목적은 저비용 및 고효율의 네트워크 은닉 장치를 제공하는 데 있다.An object of the present invention for solving the above problems is to provide a low cost and high efficiency network concealment device.

상기와 같은 문제점을 해결하기 위한 본 발명의 목적은 저비용 및 고효율의 네트워크 은닉 방법을 제공하는 데 있다.An object of the present invention for solving the above problems is to provide a low cost and high efficiency network concealment method.

상기 목적을 달성하기 위한 본 발명의 실시예에 따라 실제 네트워크를 환경을 관리하는 SDN 제어부를 포함하는 소프트웨어 정의 네트워크(Software Defined Network, SDN)와 연동하여, 실제 네트워크 환경에 대응하는 가상 네트워크 환경을 제공하는 네트워크 은닉 장치는, 가상서버와의 연결을 위한 적어도 하나의 허위 IP 주소를 생성하는 네트워크 제어부 및 상기 네트워크 제어부의 요청에 의해 적어도 하나의 상기 가상서버를 생성하고, 상기 가상서버의 IP 주소와 연동하는 적어도 하나의 허위 IP 주소를 할당하기 위한 매핑 정보를 상기 SDN 제어부로 송신하는 가상머신부를 포함한다.In accordance with an embodiment of the present invention for achieving the above object, in conjunction with a software defined network (SDN) including an SDN control unit for managing the real network environment, provides a virtual network environment corresponding to the real network environment The network concealment apparatus may be configured to generate at least one virtual server at the request of the network controller and the network controller for generating at least one false IP address for connection with the virtual server, and interwork with the IP address of the virtual server. And a virtual machine for transmitting mapping information for allocating at least one false IP address to the SDN controller.

상기 목적을 달성하기 위한 본 발명의 실시예에 따라 실제 네트워크를 환경을 관리하는 SDN 제어부를 포함하는 소프트웨어 정의 네트워크(Software Defined Network, SDN)와 연동하여, 실제 네트워크 환경에 대응하는 가상 네트워크 환경을 제공하는 네트워크 은닉 장치를 이용한 네트워크 은닉 방법은, 상기 네트워크 은닉 장치의 매핑 정보를 설정하는 단계, 허위 IP 주소를 가진 적어도 하나의 패킷 데이터를 수신하는 단계, 상기 패킷 데이터의 이동 경로를 설정하는 단계, 상기 패킷 데이터를 상기 이동 경로로 송신하는 단계 및 상기 매핑 정보를 기반으로 상기 허위 IP 주소에 대응하는 상기 가상서버 IP 주소로 목적지 주소가 변경되는 단계 및 변경된 상기 가상서버로 상기 패킷 데이터를 송신하는 단계를 포함하되, 상기 매핑 정보를 설정하는 방법은 물리 네트워크 정보를 수신하는 단계, 상기 허위 IP 주소를 생성하는 단계, 상기 가상서버를 생성하는 단계, 상기 허위 IP 주소를 상기 가상서버에 할당하는 단계, 상기 매핑 정보를 생성하는 단계 및 생성된 매핑 정보를 SDN스위치로 송신하는 단계를 포함한다.In accordance with an embodiment of the present invention for achieving the above object, in conjunction with a software defined network (SDN) including an SDN control unit for managing the real network environment, provides a virtual network environment corresponding to the real network environment A network hiding method using a network hiding device may include: setting mapping information of the network hiding device, receiving at least one packet data having a false IP address, setting a moving path of the packet data, and Transmitting packet data to the moving path, changing a destination address to the virtual server IP address corresponding to the false IP address based on the mapping information, and transmitting the packet data to the changed virtual server; Including, but the method of setting the mapping information is physical four Receiving walk information, generating the false IP address, generating the virtual server, assigning the false IP address to the virtual server, generating the mapping information, and generating the generated mapping information. Transmitting to the SDN switch.

본 발명의 실시예에 따른 네트워크 은닉 장치 및 방법은 네트워크 복제부 및 가상머신부에 의해 허위 IP 주소 및 가상서버를 생성하여 대규모의 가상 네트워크 환경을 구축함으로써, 실제 네트워크 접근 확률을 감소시켜 보안성이 향상된 고성능의 네트워크 은닉 장치를 제공할 수 있다.The apparatus and method for concealing a network according to an embodiment of the present invention creates a large-scale virtual network environment by creating a false IP address and a virtual server by a network replicating unit and a virtual machine unit, thereby reducing the probability of accessing the actual network, thereby improving security. An improved high performance network concealment device can be provided.

또한, 상기 네트워크 은닉 장치 및 방법은 가상머신부에 의해 소수의 가상서버(PM) 만으로도 가상 네트워크 환경을 구축함으로써 저비용의 네트워크 은닉 장치를 제공할 수 있다.In addition, the network concealment apparatus and method can provide a low-cost network concealment apparatus by establishing a virtual network environment with only a few virtual servers (PM) by the virtual machine unit.

도 1은 본 발명의 실시예에 따른 네트워크 은닉 장치의 블록 구성도이다.
도 2는 본 발명의 실시예에 따른 가상서버에 허위 IP 주소를 할당하는 방법을 설명하기 위한 개념도이다.
도 3은 본 발명의 실시예에 따른 네트워크 은닉 방법의 순서도이다.
도 4는 본 발명의 실시예에 따른 네트워크 은닉 방법 중 매핑 정보를 설정하는 단계를 설명하기 위한 순서도이다.1 is a block diagram of a network concealment apparatus according to an embodiment of the present invention.
2 is a conceptual diagram illustrating a method of allocating a false IP address to a virtual server according to an embodiment of the present invention.
3 is a flowchart of a network concealment method according to an embodiment of the present invention.
4 is a flowchart illustrating a step of setting mapping information in a network concealment method according to an embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다. As the invention allows for various changes and numerous embodiments, particular embodiments will be illustrated in the drawings and described in detail in the written description. However, this is not intended to limit the present invention to specific embodiments, it should be understood to include all modifications, equivalents, and substitutes included in the spirit and scope of the present invention. In describing the drawings, similar reference numerals are used for similar elements.

제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는 데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. "및/또는"이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다. Terms such as first, second, A, and B may be used to describe various components, but the components should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, the first component may be referred to as the second component, and similarly, the second component may also be referred to as the first component. The term “and / or” includes any combination of a plurality of related items or any of a plurality of related items.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. When a component is referred to as being "connected" or "connected" to another component, it may be directly connected to or connected to that other component, but it may be understood that other components may be present in between. Should be. On the other hand, when a component is said to be "directly connected" or "directly connected" to another component, it should be understood that there is no other component in between.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used herein is for the purpose of describing particular example embodiments only and is not intended to be limiting of the present invention. Singular expressions include plural expressions unless the context clearly indicates otherwise. In this application, the terms "comprise" or "have" are intended to indicate that there is a feature, number, step, operation, component, part, or combination thereof described in the specification, and one or more other features. It is to be understood that the present invention does not exclude the possibility of the presence or the addition of numbers, steps, operations, components, components, or a combination thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art. Terms such as those defined in the commonly used dictionaries should be construed as having meanings consistent with the meanings in the context of the related art and shall not be construed in ideal or excessively formal meanings unless expressly defined in this application. Do not.

본 발명의 명세서에서 패킷(packet)은 데이터의 전송을 위해서 적당한 크기로 나누어진 데이터를 의미할 수 있고, 트래픽(traffic)은 특정 전송 상에서 일정 시간 내에 흐르는 데이터의 양을 의미할 수 있다. 또한, 토폴로지(topology)는 근거리 통신망(Local Area Network, LAN)에 장기간 접속한 형태를 의미할 수 있고, 프로토콜(protocol)은 컴퓨터 간에 정보를 원활하게 교환하기 위한 통신 규칙 및 약속을 의미할 수 있다.In the specification of the present invention, a packet may mean data divided into appropriate sizes for data transmission, and traffic may mean an amount of data flowing within a certain time on a specific transmission. In addition, the topology may refer to a form of long-term access to a local area network (LAN), and the protocol may refer to communication rules and appointments for smoothly exchanging information between computers. .

TCP(Transmission Control Protocol)는 통신의 송신측과 수신측의 연결이 이루어진 것을 확인한 다음에 데이터를 전송하여 신뢰성이 요구되는 응용프로그램에서 사용될 수 있고, UDP(User Datagram Protocol)은 송신측과 수신측의 연결을 확인하지 않고 일방적으로 데이터를 전송하여 빠른 속도를 요구하는 응용프로그램에서 사용될 수 있다. 포트 번호는 TCP 또는 UDP에서 응용프로그램이 상호 통신을 위해 사용하는 가상의 논리적 통신 연결단을 의미할 수 있다. 인터넷 상에서의 통신은 포트 번호를 이용하여 수행될 수 있으며, 포트 번호는 IP 주소와 함께 해당하는 프로토콜에 의해 사용될 수 있고, 그 범위는 0부터 65535까지 일 수 있다.Transmission Control Protocol (TCP) can be used in applications that require reliability by transmitting data after confirming that the connection between the sender and the receiver of the communication has been established. User Datagram Protocol (UDP) is used for the sender and receiver. It can be used in applications that require high speed by sending data unilaterally without checking the connection. The port number may mean a virtual logical communication connection that is used for communication between applications in TCP or UDP. Communication on the Internet may be performed using a port number, which may be used by a corresponding protocol with an IP address, and may range from 0 to 65535.

소프트웨어 정의 네트워크(Software Defined Networks, SDN)는 소프트웨어 프로그래밍을 통해 네트워크 경로 설정과 제어 및 복잡한 운용 관리를 편하게 처리할 수 있는 차세대 네트워킹 기술로서 사용자가 소프트웨어로 네트워크를 제어하는 기술을 의미할 수 있다. SDN은 네트워크 제어 기능이 물리적 네트워크와 분리되어 있는 구조로, 물리적인 인프라스트럭처 레이어(infrastructure layer), 제어할 수 있는 컨트롤 레이어(control layer) 및 애플리케이션 레이어(application layer)로 나누어질 수 있다. 다시 말해, 네트워크 제어 기능이 기존의 스위치(switch)나 라우터(router) 등의 하드웨어와 별도로 분리될 수 있고, 또한, 데이터 전달 기능과도 분리될 수 있다.Software Defined Networks (SDN) is a next-generation networking technology that makes it easy to handle network routing, control, and complex operational management through software programming, which can mean the technology that allows users to control the network with software. SDN is a structure in which a network control function is separated from a physical network, and may be divided into a physical infrastructure layer, a controllable control layer, and an application layer. In other words, the network control function may be separated from hardware such as a conventional switch or router, and may also be separated from the data transfer function.

오픈플로우(OpenFlow)는 SDN을 구성하는 하나의 요소로, 제어 기능을 가진 장비와 네트워킹 스위치 간의 통신을 담당하는 개방형 표준 인터페이스(interface)를 의미할 수 있다. 오픈플로우는 일종의 SDN을 지원하는 프로그래밍 가능한 애플리케이션(application)으로, 컨트롤러로 대두되는 외부에 있는 소프트웨어와 스위치 및 라우터 등의 네트워크 장비에 직접 접속하여 조작할 수 있도록 도와줄 수 있다. 컨트롤러(controller)는 SDN의 컨트롤 레이어에 위치하며, 스위치 및 라우터 등에 플로우 테이블(flow table)을 전송하여 네트워크 상의 트래픽을 제어할 수 있다. 여기서, 플로우 테이블은 어떠한 패킷을 처리할 지를 정의하는 영역인 룰(rule), 룰에 의해 정의된 패킷을 어떻게 처리할 지를 정의하는 영역인 액션(action) 및 해당 플로우 테이블에 얼마나 많은 패킷이 매칭되었고 얼마나 큰 바이트(byte)가 전송되었는 지를 보여주는 영역인 스탯(stats)을 포함할 수 있다. 본 발명의 명세서에서는 플로우 테이블을 플로우 룰(flow rule)이라는 용어를 사용하여 설명할 수 있다. 또한, 플로우 테이블을 스위치 및 라우터 등이 가지고 있는 정보를 의미하는 경우, 오픈플로우 컨트롤러는 플로우 룰을 스위치 및 라우터 등에 설치하여, 플로우 룰이 플로우 테이블에 적용되도록 할 수 있다.OpenFlow is an element of SDN and may refer to an open standard interface for communication between a control device and a networking switch. OpenFlow is a programmable application that supports some kind of SDN, allowing you to directly connect to and operate external software, such as controllers, and network equipment such as switches and routers. The controller is located in the control layer of the SDN and transmits a flow table to switches and routers to control traffic on the network. Here, the flow table includes a rule that defines which packet to process, a rule that defines how to process the packet defined by the rule, an action and how many packets are matched in the flow table. It can include stats, an area that shows how big bytes have been sent. In the specification of the present invention, a flow table may be described using the term flow rule. In addition, when the flow table refers to information that the switch and the router have, the open flow controller may install the flow rule on the switch, the router, or the like so that the flow rule may be applied to the flow table.

심층 패킷 분석은 IP(Internet Protocol) 네트워크를 통해 전달되거나 교환되는 패킷의 프로토콜 및 응용프로그램을 실시간 분석하고 인증하는데 사용되는 기술로서 패킷 헤더(header)뿐만 아니라 패킷의 페이로드(payload)까지 검사하여 트래픽의 데이터 정보를 확인할 수 있는 기술을 의미할 수 있다. 심층 패킷 분석은 하드웨어(hardware) 형태로 네트워크 링크에 직접적으로 연결되어 수행될 수 있고, 소프트웨어(software) 형태로 응용프로그램으로서 수행될 수도 있다.In-depth packet analysis is a technique used to analyze and authenticate the protocols and applications of packets transmitted or exchanged through an Internet Protocol (IP) network in real time. It examines the payload of the packet as well as the packet header. It may refer to a technology that can confirm the data information of the. In-depth packet analysis may be performed by directly connecting to a network link in hardware form, or may be performed as an application program in software form.

이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다. Hereinafter, with reference to the accompanying drawings, it will be described in detail a preferred embodiment of the present invention. In the following description of the present invention, the same reference numerals are used for the same elements in the drawings and redundant descriptions of the same elements will be omitted.

도 1은 본 발명의 실시예에 따른 네트워크 은닉 장치의 블록 구성도이다.1 is a block diagram of a network concealment apparatus according to an embodiment of the present invention.

도 1을 참조하면, 네트워크 은닉 장치(D)는 소프트웨어 정의 네트워크(Software-defined network, SDN) 시스템과 연동할 수 있다. 이에 따라, 네트워크 은닉 장치(D)는 실제 네트워크 환경에 대응하는 가상 네트워크 환경을 제공할 수 있다.Referring to FIG. 1, the network concealment apparatus D may interwork with a software-defined network (SDN) system. Accordingly, the network concealment apparatus D may provide a virtual network environment corresponding to the actual network environment.

실시예에 따르면, 네트워크 은닉 장치(D)는 소프트웨어 정의 네트워크(SDN)의 SDN 제어부(C)를 통해 적어도 하나의 SDN 스위치(S)와 연동할 수 있다. 이에 따라, 네트워크 은닉 장치(D)는 SDN 스위치(S)에 허위 IP 주소(FM) 및 상기 허위 IP 주소(FM)에 대응하는 가상서버의 IP 주소 정보를 제공할 수 있다.According to an embodiment, the network hiding apparatus D may interwork with at least one SDN switch S through the SDN controller C of the software defined network SDN. Accordingly, the network hiding apparatus D may provide the SDN switch S with the IP address FM of the virtual server corresponding to the false IP address FM and the fake IP address FM.

보다 구체적으로 설명하면, 네트워크 은닉 장치(D)는 네트워크 제어부(1000) 및 가상머신부(5000)를 포함할 수 있다.In more detail, the network concealment apparatus D may include a network controller 1000 and a virtual machine 5000.

네트워크 제어부(1000)는 네트워크 복제부(1100), 인터페이스부(1300) 및 데이터베이스(1500)를 포함할 수 있다.The network controller 1000 may include a network replication unit 1100, an interface unit 1300, and a database 1500.

네트워크 복제부(1100)는 적어도 하나의 허위 IP 주소(FM)를 생성할 수 있다. 이때, 허위 IP 주소(FM)는 실체가 없는 서버의 IP 주소일 수 있다. 실시예에 따르면, 네트워크 복제부(1100)는 생성 가능한 최대 규모의 허위 IP 주소(FM)를 생성할 수 있다. 이후, 네트워크 복제부(1100)는 생성된 적어도 하나의 임의 IP를 후술될 데이터베이스(1500)에 저장할 수 있다. 데이터베이스(1500)는 하기에서 보다 구체적으로 설명하겠다.The network replicating unit 1100 may generate at least one false IP address FM. In this case, the false IP address FM may be an IP address of a server without an entity. According to an embodiment, the network replicating unit 1100 may generate a false IP address FM of the largest size that can be generated. Thereafter, the network replication unit 1100 may store the generated at least one random IP in the database 1500 to be described later. The database 1500 will be described in more detail below.

또한, 네트워크 복제부(1100)는 후술될 인터페이스부(1300)를 통해 후술될 가상머신부(5000)에 가상서버(PM)의 생성을 요청할 수 있다. 이때, 가상서버(PM)는 소프트웨어 정의 네트워크(SDN) 기반의 실제 네트워크 내 존재하는 물리서버(미도시)의 정보를 복제한 서버일 수 있다. 가상서버(PM)는 인터페이스부(1300)에서 보다 구체적으로 설명하겠다.In addition, the network replication unit 1100 may request the generation of the virtual server PM to the virtual machine 5000 to be described later through the interface unit 1300 to be described later. At this time, the virtual server (PM) may be a server that duplicates the information of the physical server (not shown) existing in the real network of the software-defined network (SDN). The virtual server PM will be described in more detail in the interface unit 1300.

네트워크 복제부(1100)는 가상머신부(5000)의 가상서버 생성 완료 후, 매핑 정보를 생성할 수 있다. 이때, 매핑 정보는 적어도 하나의 허위 IP 주소(FM)와 대응하는 가상서버의 IP 주소 정보를 포함하는 테이블 정보일 수 있다. The network replication unit 1100 may generate mapping information after the virtual server generation of the virtual machine 5000 is completed. In this case, the mapping information may be table information including IP address information of the virtual server corresponding to the at least one false IP address FM.

본 발명의 실시예에 따른 네트워크 은닉 장치는 허위 IP 주소(FM) 및 가상서버를 생성 및 매핑하여 대규모의 가상 네트워크 환경을 구축함으로써, 해킹을 목적으로 접근한 공격자로부터 실제 네트워크를 보호하여 보안성이 향상된 고성능의 네트워크 은닉 장치를 제공할 수 있다.The network concealment apparatus according to the embodiment of the present invention creates a large-scale virtual network environment by creating and mapping a false IP address (FM) and a virtual server, thereby protecting the actual network from attackers who have accessed for hacking purposes. An improved high performance network concealment device can be provided.

인터페이스부(1300)는 제1 인터페이스(1310) 및 제2 인터페이스(1350)를 포함할 수 있다. The interface unit 1300 may include a first interface 1310 and a second interface 1350.

제1 인터페이스(1310)는 네트워크 복제부(1100) 및 SDN 제어부(C)와 연동할 수 있다. 이에 따라, 제1 인터페이스(1310)는 상기 구성들(1100, C) 사이에 적어도 하나의 데이터를 송수신할 수 있다.The first interface 1310 may interwork with the network replication unit 1100 and the SDN control unit C. Accordingly, the first interface 1310 may transmit and receive at least one data between the components 1100 and C.

일 실시예에 따르면, 제1 인터페이스(1310)는 물리 네트워크 정보를 송수신할 수 있다. 이때, 물리 네트워크 정보(I1)는 네트워크 복제부(1100)로부터 SDN 제어부(C)에 요청된 정보일 수 있다. 이에 따라, SDN 제어부(C)는 요청된 적어도 하나의 물리 네트워크 정보(I1)를 네트워크 복제부(1100)로 송신할 수 있다. According to an embodiment, the first interface 1310 may transmit and receive physical network information. In this case, the physical network information I 1 may be information requested from the network replication unit 1100 to the SDN controller C. Accordingly, the SDN controller C may transmit the requested at least one physical network information I 1 to the network replicator 1100.

여기서, 물리 네트워크 정보(I1)는 앞서 설명한 바와 같이, 소프트웨어 정의 네트워크(SDN) 기반의 실제 네트워크 내 물리서버(미도시)의 정보일 수 있다. 물리 네트워크 정보(I1)는 후술될 가상머신부(5000)의 가상서버(PM) 생성 시 활용될 수 있다. As described above, the physical network information I 1 may be information of a physical server (not shown) in a real network based on a software defined network (SDN). The physical network information I 1 may be utilized when generating the virtual server PM of the virtual machine 5000 to be described later.

다른 실시예에 따르면, 제1 인터페이스(1310)는 네트워크 복제부(1100)로부터 생성된 매핑 정보(I2)를 SDN 스위치(S)에 전송할 수 있다. 보다 구체적으로 설명하면, 제1 인터페이스(1310)는 네트워크 복제부(1100)로부터 생성된 매핑 정보(I2)를 SDN 제어부(C)에 전송할 수 있다. 이후, SDN 제어부(C)는 송신된 매핑 정보(I2)를 SDN 스위치(S)에 전달할 수 있다. 이때, 매핑 정보(I2)는 허위 IP 주소(FM)에 대응하는 가상서버 IP 주소 정보일 수 있다. 따라서, SDN 스위치(S)는 외부로부터 수신된 트래픽이 목적지 주소로 허위 IP 주소(FM)를 가질 경우, 매핑 정보(I2)를 바탕으로 상기 트래픽의 목적지 주소를 해당 허위 IP 주소(FM)에 대응하는 가상서버 IP 주소로 변환할 수 있다. According to another embodiment, the first interface 1310 may transmit mapping information I 2 generated from the network replicating unit 1100 to the SDN switch S. FIG. In more detail, the first interface 1310 may transmit mapping information I 2 generated from the network replication unit 1100 to the SDN controller C. Thereafter, the SDN controller C may transmit the transmitted mapping information I 2 to the SDN switch S. FIG. In this case, the mapping information I 2 may be virtual server IP address information corresponding to the false IP address FM. Therefore, when the traffic received from the outside has a false IP address (FM) as a destination address, the SDN switch (S) switches the destination address of the traffic to the corresponding false IP address (FM) based on the mapping information (I 2 ). You can translate to the corresponding virtual server IP address.

제2 인터페이스(1350)는 네트워크 복제부(1100) 및 가상머신부(5000)와 연동할 수 있다. 이에 따라, 제2 인터페이스(1350)는 상기 구성들(1100, 5000) 사이에 적어도 하나의 데이터를 송수신할 수 있다.The second interface 1350 may interwork with the network replication unit 1100 and the virtual machine 5000. Accordingly, the second interface 1350 may transmit and receive at least one data between the components 1100 and 5000.

일 실시예에 따르면, 제2 인터페이스(1350)는 네트워크 복제부(1100)로부터 송신된 가상서버 생성 요청 메시지(M1)를 후술될 가상머신부(5000)에 전달할 수 있다. 이에 따라, 후술될 가상머신부(5000)는 적어도 하나의 가상서버(PM)를 생성할 수 있다. According to an embodiment, the second interface 1350 may transfer the virtual server creation request message M 1 transmitted from the network replicating unit 1100 to the virtual machine 5000 to be described later. Accordingly, the virtual machine 5000 to be described below may generate at least one virtual server PM.

다른 실시예에 따르면, 제2 인터페이스(1350)는 네트워크 복제부(1100)로부터 생성된 복수의 허위 IP 주소(FM) 정보(I3)를 후술될 가상머신부(5000)에 전송할 수 있다. 이에 따라, 후술될 가상머신부(5000)는 수신된 복수의 허위 IP 주소(FM) 정보(I3)를 생성된 적어도 하나의 가상서버(PM)에 할당할 수 있다. According to another embodiment, the second interface 1350 may transmit a plurality of false IP address FM information I 3 generated from the network replicator 1100 to the virtual machine 5000 to be described later. Accordingly, the virtual machine 5000 to be described later may allocate the plurality of received false IP address FM information I 3 to the generated at least one virtual server PM.

데이터베이스(1500)는 앞서 설명한 바와 같이, 네트워크 복제부(1100)로부터 생성된 복수의 허위 IP 주소(FM)를 저장할 수 있다. 실시예에 따르면, 데이터베이스(1500)는 토폴리지 데이터베이스(Database)로 제공될 수 있다. 이에 따라, 데이터베이스(1500)는 적어도 하나의 노드가 연결된 가상 네트워크에 허위 IP 주소(FM)를 반영할 수 있다.As described above, the database 1500 may store a plurality of false IP addresses FM generated from the network replicating unit 1100. According to an embodiment, the database 1500 may be provided as a topology database. Accordingly, the database 1500 may reflect the false IP address FM in the virtual network to which at least one node is connected.

가상머신부(5000)은 적어도 하나의 가상서버(PM)를 생성할 수 있다. 가상머신부(5000)는 앞서 설명한 바와 같이, 네트워크 복제부(1100)의 요청(M1)에 의해 생성될 수 있다. The virtual machine 5000 may generate at least one virtual server PM. As described above, the virtual machine 5000 may be generated by the request M 1 of the network replicator 1100.

이후, 가상머신부(5000)는 제2 인터페이스(1350)에 의해 수신된 적어도 하나의 허위 IP 주소(FM)를 적어도 하나의 가상서버(PM)에 할당할 수 있다. 가상머신부(5000)의 허위 IP 주소(FM) 할당 방법은 도 2를 참조하여 보다 구체적으로 설명하겠다.Thereafter, the virtual machine 5000 may allocate at least one false IP address FM received by the second interface 1350 to at least one virtual server PM. A method of allocating a false IP address (FM) of the virtual machine 5000 will be described in more detail with reference to FIG. 2.

도 2는 본 발명의 실시예에 따른 가상서버에 허위 IP 주소(FM)를 할당하는 방법을 설명하기 위한 개념도이다. 2 is a conceptual diagram illustrating a method of allocating a false IP address (FM) to a virtual server according to an embodiment of the present invention.

도 2를 참조하면, 가상머신부(5000)는 적어도 하나의 가상서버(PM)를 생성할 수 있다. 실시예에 따르면, 가상머신부(5000)는 제1 가상서버(PM0) 및 제2 가상서버(PM1)를 포함할 수 있다. Referring to FIG. 2, the virtual machine 5000 may generate at least one virtual server PM. According to an embodiment, the virtual machine 5000 may include a first virtual server PM 0 and a second virtual server PM 1 .

이후, 가상머신부(5000)는 제2 인터페이스(1350)로부터 수신된 복수의 허위 IP 주소(FM)들(FM0, FM1, … FMM)을 제1 및 제2 가상서버들(PM0, PM1)에 각각 할당할 수 있다. Thereafter, the virtual machine 5000 receives the plurality of false IP addresses FMs FM 0 , FM 1 ,... FM M received from the second interface 1350 and the first and second virtual servers PM 0. , PM 1 ).

이때, 개별 가상서버(PM)에는 복수의 허위 IP 주소(FM)들이 할당될 수 있다. 예를 들어, 제1 가상서버(PM0)는 제1 허위 IP 주소(FM)들(FM0, FM1)이 할당될 수 있으며, 제2 가상서버(PM1)는 제2 허위 IP 주소(FM)들(FM2, FM3, … FMM)이 할당될 수 있다. In this case, a plurality of false IP addresses FM may be allocated to each virtual server PM. For example, the first virtual server PM 0 may be assigned first false IP addresses FM 0 and FM 1 , and the second virtual server PM 1 may be assigned a second false IP address (PM 0 ). FMs FM 2 , FM 3, ... FM M may be assigned.

따라서, 본 발명의 실시예에 따른 네트워크 은닉 장치(D)는 소수의 가상서버(PM) 만으로도 가상 네트워크 구축이 가능함으로써 저비용의 네트워크 은닉 장치를 제공할 수 있다.Therefore, the network concealment apparatus D according to the embodiment of the present invention can provide a virtual network concealment apparatus at low cost by being able to construct a virtual network with only a few virtual servers PM.

이상 본 발명의 실시예에 따른 네트워크 은닉 장치의 구성들을 살펴보았다. 이하에서는 본 발명의 실시예에 따른 상기 네트워크 은닉 장치를 이용한 네트워크 은닉 방법을 설명하겠다.The configuration of the network concealment apparatus according to the embodiment of the present invention has been described above. Hereinafter, a network concealment method using the network concealment apparatus according to an embodiment of the present invention will be described.

도 3은 본 발명의 실시예에 따른 네트워크 은닉 방법의 순서도이다.3 is a flowchart of a network concealment method according to an embodiment of the present invention.

도 3을 참조하면, 본 발명의 실시예에 따른 네트워크 은닉 장치는 매핑 정보를 생성할 수 있다(S1000). 여기서, 네트워크 은닉 장치는 소프트웨어 정의 네트워크(SDN)과 연동하여 가상 네트워크를 환경을 제공하는 장치일 수 있다. Referring to FIG. 3, the network concealment apparatus according to the embodiment of the present invention may generate mapping information (S1000). Here, the network concealment device may be a device for providing a virtual network environment in association with a software defined network (SDN).

매핑 정보는 허위 IP 주소(FM)에 대응하는 가상서버 IP 주소 정보를 포함할 수 있다. The mapping information may include virtual server IP address information corresponding to the false IP address FM.

네트워크 은닉 장치의 매핑 정보를 생성하는 단계는 도 4를 참조하여 보다 구체적으로 설명하겠다. Generating mapping information of the network concealment apparatus will be described in more detail with reference to FIG. 4.

도 4는 본 발명의 실시예에 따른 네트워크 은닉 방법 중 매핑 정보를 설정하는 단계를 설명하기 위한 순서도이다.4 is a flowchart illustrating a step of setting mapping information in a network concealment method according to an embodiment of the present invention.

도 4를 참조하면, 본 발명의 실시예에 따른 네트워크 은닉 장치(D)는 적어도 하나의 물리 네트워크 정보를 SDN 제어부(C)로부터 수신할 수 있다(S1100). 이때, 물리 네트워크 정보는 실제 네트워크 상에 제공되는 적어도 하나의 실제 서버(미도시)의 정보일 수 있다. Referring to FIG. 4, the network concealment apparatus D according to an embodiment of the present invention may receive at least one physical network information from the SDN controller C (S1100). In this case, the physical network information may be information of at least one real server (not shown) provided on the real network.

이후, 본 발명의 실시예에 따른 네트워크 은닉 장치(D) 내 허위 IP 주소(FM)를 생성할 수 있다(S1200). 실시예에 따르면, 네트워크 복제부(1100)는 적어도 하나의 허위 IP 주소(FM)를 생성할 수 있다. Thereafter, a false IP address FM in the network concealment device D according to an embodiment of the present invention may be generated (S1200). According to an embodiment, the network replicating unit 1100 may generate at least one false IP address FM.

생성한 허위 IP 주소(FM)는 데이터베이스(1500)에 저장할 수 있다. 여기서, 데이터베이스(1500)는 토폴리지 데이터베이스(Database)일 수 있다. 이에 따라, 데이터베이스(1500)는 적어도 하나의 노드가 연결된 가상 네트워크에 허위 IP 주소(FM)를 반영할 수 있다. The generated false IP address FM may be stored in the database 1500. Here, the database 1500 may be a topology database. Accordingly, the database 1500 may reflect the false IP address FM in the virtual network to which at least one node is connected.

이후, 네트워크 은닉 장치(D)는 가상서버(PM)를 생성할 수 있다(S1300). 실시예에 따르면, 가상서버(PM)는 네트워크 복제부(1100)의 요청에 의해 적어도 하나 이상 생성될 수 있다. Thereafter, the network concealment apparatus D may generate a virtual server PM (S1300). According to an embodiment, at least one virtual server PM may be generated at the request of the network replicating unit 1100.

네트워크 은닉 장치(D)는 적어도 하나의 허위 IP 주소(FM)를 적어도 하나의 가상서버(PM)에 할당할 수 있다(S1400). 실시예에 따르면, 네트워크 은닉 장치는 개별 가상서버(PM)에 복수의 허위 IP 주소(FM)들을 할당할 수 있다. 이에 따라, 네트워크 은닉 장치는 적은 수의 가상서버(PM)로도 가상 네트워크를 구축할 수 있다. The network hiding apparatus D may allocate at least one false IP address FM to at least one virtual server PM (S1400). According to an embodiment, the network concealment apparatus may assign a plurality of false IP addresses FM to an individual virtual server PM. Accordingly, the network concealment apparatus can establish a virtual network even with a small number of virtual servers (PM).

네트워크 은닉 장치(D)는 할당된 가상서버(PM) 별 허위 IP 주소(FM) 정보를 매핑하여 매핑 정보를 생성할 수 있다. 다시 말하면, 매핑 정보는 적어도 하나의 허위 IP 주소(FM)와 대응하는 가상서버(PM)의 IP 주소 정보를 포함하는 테이블 정보일 수 있다.The network concealment apparatus D may generate mapping information by mapping false IP address (FM) information for each allocated virtual server PM. In other words, the mapping information may be table information including at least one false IP address FM and IP address information of the virtual server PM.

네트워크 은닉 장치는 생성된 매핑 정보를 소프트웨어 정의 네트워크(Software Defined Network, SDN) 내 SDN 제어부(C)로 송신할 수 있다(S1500).The network concealment apparatus may transmit the generated mapping information to the SDN controller C in the software defined network (SDN) (S1500).

SDN 제어부(C)는 수신된 매핑 정보를 바탕으로, 개별 SDN 스위치(S)마다 가상서버(PM)의 경로를 설정할 수 있다(S1600). 이후, 수신된 매핑 정보를 SDN 스위치(S)에 송신할 수 있다.The SDN controller C may set a path of the virtual server PM for each SDN switch S based on the received mapping information (S1600). Thereafter, the received mapping information may be transmitted to the SDN switch S. FIG.

다시 도 3을 참조하면, 네트워크 은닉 장치(D)의 매핑 정보가 설정된 후, 공격자의 스캐닝 공격에 의해, 트래픽이 제1 SDN 스위치(S1)로 유입될 수 있다(S2000). 이때, 상기 트래픽은 목적지 주소로 허위 IP 주소(FM)를 가질 수 있다.Referring back to FIG. 3, after mapping information of the network concealment device D is set, traffic may flow into the first SDN switch S 1 by a scanning attack of an attacker (S2000). In this case, the traffic may have a false IP address (FM) as a destination address.

제1 SDN 스위치(S1)는 트래픽 내 패킷 데이터의 송신 완료 메시지를 SDN 제어부(C)로 전송할 수 있다(S3000). The first SDN switch S 1 may transmit a transmission completion message of packet data in traffic to the SDN controller C (S3000).

SDN 제어부(C)는 매핑 정보를 바탕으로, 상기 패킷 데이터의 이동 경로를 설정할 수 있다(S4000). 실시예에 따라 보다 구체적으로 설명하면, SDN 제어부(C)는 수신된 패킷 데이터의 허위 IP 주소(FM)를 바탕으로, 매핑 정보 상에 상기 허위 IP 주소(FM)에 대응하는 가상서버(PM) 정보를 추출할 수 있다. 이후, 추출된 가상서버(PM)와 접속된 제2 SDN 스위치(S2)를 추출하고, 상기 제1 SDN 스위치(S1) 및 제2 SDN 스위치(S2) 간의 패킷 데이터 이동 경로를 설정할 수 있다.The SDN controller C may set a movement path of the packet data based on the mapping information (S4000). In more detail, according to an embodiment, the SDN controller C may perform a virtual server PM corresponding to the fake IP address FM on mapping information based on the false IP address FM of the received packet data. Information can be extracted. Subsequently, the second SDN switch S 2 connected to the extracted virtual server PM may be extracted, and a packet data movement path may be set between the first SDN switch S 1 and the second SDN switch S 2 . have.

이후, 제1 SDN 스위치(S1)는 유입된 트래픽 내 패킷 데이터를 SDN 제어부(C)에 의해 설정된 이동 경로로 송신할 수 있다(S5000). 보다 구체적으로 설명하면, 제1 SDN 스위치(S1)는 목적지 주소로 허위 IP 주소(FM)를 갖는 패킷 데이터를 상기 허위 IP 주소(FM)에 대응하는 가상서버(PM)와 접속된 제2 SDN 스위치(S2)로 송신할 수 있다.Thereafter, the first SDN switch S 1 may transmit the packet data in the incoming traffic to the movement path set by the SDN controller C (S5000). More specifically, the first SDN switch S 1 is a second SDN connected to the virtual server PM corresponding to the false IP address FM with packet data having a false IP address FM as a destination address. It can be sent to the switch (S 2).

제2 SDN 스위치(S2)로 송신된 패킷 데이터는 허위 IP 주소(FM)를 가상서버(PM)의 IP 주소로 변경할 수 있다. 이후 상기 제2 SDN 스위치(S2)와 접속된 가상서버(PM)로 송신할 수 있다(S6000). The packet data transmitted to the second SDN switch S 2 may change the false IP address FM into an IP address of the virtual server PM. Thereafter, the transmission may be transmitted to the virtual server PM connected to the second SDN switch S 2 (S6000).

이상, 본 발명의 실시예에 따른 네트워크 은닉 장치 및 방법을 살펴보았다. 상기 네트워크 은닉 장치 및 방법은 네트워크 복제부, 인터페이스부 및 저장부를 포함하는 네트워크 제어부 및 가상머신부를 포함함으로써, 적은 수의 가상서버로도 가상 네트워크 구축이 가능하여 비용이 절감된 고효율의 네트워크 은닉 장치 및 방법을 제공할 수 있다.In the above, the network concealment apparatus and method according to an embodiment of the present invention have been described. The network hiding apparatus and method includes a network controller and a virtual machine including a network replication unit, an interface unit, and a storage unit, thereby enabling a virtual network to be constructed with a small number of virtual servers, thereby reducing the cost of a highly efficient network hiding apparatus. It may provide a method.

또한, 상기 네트워크 은닉 장치 및 방법은 대규모의 가상서버를 생성함으로써, 물리 서버로의 네트워크 접근이 어려워 공격자로부터 효과적인 방어가 가능한 고성능의 네트워크 은닉 장치 및 방법을 제공할 수 있다.In addition, the network concealment apparatus and method may provide a high performance network concealment apparatus and method capable of effectively defending from an attacker by making network access to a physical server difficult by creating a large-scale virtual server.

본 발명의 실시예에 따른 방법의 동작은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 프로그램 또는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의해 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산 방식으로 컴퓨터로 읽을 수 있는 프로그램 또는 코드가 저장되고 실행될 수 있다.The operation of the method according to an embodiment of the present invention can be embodied as a computer readable program or code on a computer readable recording medium. Computer-readable recording media include all kinds of recording devices that store data that can be read by a computer system. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable program or code is stored and executed in a distributed fashion.

또한, 컴퓨터가 읽을 수 있는 기록매체는 롬(rom), 램(ram), 플래시 메모리(flash memory) 등과 같이 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치를 포함할 수 있다. 프로그램 명령은 컴파일러(compiler)에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터(interpreter) 등을 사용해서 컴퓨터에 의해 실행될 수 있는 고급 언어 코드를 포함할 수 있다.In addition, the computer-readable recording medium may include a hardware device specifically configured to store and execute program instructions, such as a ROM, a RAM, a flash memory, and the like. Program instructions may include high-level language code that can be executed by a computer using an interpreter, as well as machine code such as produced by a compiler.

본 발명의 일부 측면들은 장치의 문맥에서 설명되었으나, 그것은 상응하는 방법에 따른 설명 또한 나타낼 수 있고, 여기서 블록 또는 장치는 방법 단계 또는 방법 단계의 특징에 상응한다. 유사하게, 방법의 문맥에서 설명된 측면들은 또한 상응하는 블록 또는 아이템 또는 상응하는 장치의 특징으로 나타낼 수 있다. 방법 단계들의 몇몇 또는 전부는 예를 들어, 마이크로프로세서, 프로그램 가능한 컴퓨터 또는 전자 회로와 같은 하드웨어 장치에 의해(또는 이용하여) 수행될 수 있다. 몇몇의 실시예에서, 가장 중요한 방법 단계들의 하나 이상은 이와 같은 장치에 의해 수행될 수 있다. While some aspects of the invention have been described in the context of a device, it may also represent a description according to a corresponding method, wherein the block or device corresponds to a method step or a feature of the method step. Similarly, aspects described in the context of a method may also be indicated by the features of the corresponding block or item or corresponding device. Some or all of the method steps may be performed by (or using) a hardware device such as, for example, a microprocessor, a programmable computer, or an electronic circuit. In some embodiments, one or more of the most important method steps may be performed by such an apparatus.

실시예들에서, 프로그램 가능한 로직 장치(예를 들어, 필드 프로그머블 게이트 어레이)가 여기서 설명된 방법들의 기능의 일부 또는 전부를 수행하기 위해 사용될 수 있다. 실시예들에서, 필드 프로그머블 게이트 어레이는 여기서 설명된 방법들 중 하나를 수행하기 위한 마이크로프로세서와 함께 작동할 수 있다. 일반적으로, 방법들은 어떤 하드웨어 장치에 의해 수행되는 것이 바람직하다.In embodiments, a programmable logic device (eg, a field programmable gate array) may be used to perform some or all of the functionality of the methods described herein. In embodiments, the field programmable gate array may operate in conjunction with a microprocessor to perform one of the methods described herein. In general, the methods are preferably performed by any hardware apparatus.

이상 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although it has been described above with reference to the preferred embodiment of the present invention, those skilled in the art will be able to variously modify and change the present invention without departing from the spirit and scope of the invention described in the claims below. It will be appreciated.

1000: 네트워크 제어부 1100: 네트워크 복제부
1300: 인터페이스부 1310: 제1 인터페이스
1350: 제2 인터페이스 1500: 데이터베이스
5000: 가상머신부 C: SDN 제어부
D: 네트워크 은닉 장치 S: SDN 스위치1000: network control unit 1100: network replication unit
1300: interface unit 1310: first interface
1350: second interface 1500: database
5000: virtual machine C: SDN control unit
D: Network stash device S: SDN switch

Claims (1)

실제 네트워크를 환경을 관리하는 SDN 제어부를 포함하는 소프트웨어 정의 네트워크(Software Defined Network, SDN)와 연동하여, 실제 네트워크 환경에 대응하는 가상 네트워크 환경을 제공하는 네트워크 은닉 장치에 있어서,
가상서버와의 연결을 위한 적어도 하나의 허위 IP 주소를 생성하는 네트워크 제어부; 및
상기 네트워크 제어부의 요청에 의해 적어도 하나의 상기 가상서버를 생성하고, 상기 가상서버의 IP 주소와 연동하는 적어도 하나의 허위 IP 주소를 할당하기 위한 매핑 정보를 상기 SDN 제어부로 송신하는 가상머신부를 포함하는 네트워크 은닉 장치.In the network concealment apparatus that provides a virtual network environment corresponding to the actual network environment by interworking with a software defined network (SDN) including an SDN control unit for managing the actual network environment,
A network controller configured to generate at least one false IP address for connecting to the virtual server; And
A virtual machine unit configured to generate at least one virtual server at the request of the network controller and to transmit mapping information for allocating at least one false IP address interworking with the IP address of the virtual server to the SDN controller; Network concealment device.
KR1020180032510A 2018-03-21 2018-03-21 Apparatus and method for concealing network KR20190110719A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180032510A KR20190110719A (en) 2018-03-21 2018-03-21 Apparatus and method for concealing network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180032510A KR20190110719A (en) 2018-03-21 2018-03-21 Apparatus and method for concealing network

Publications (1)

Publication Number Publication Date
KR20190110719A true KR20190110719A (en) 2019-10-01

Family

ID=68207409

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180032510A KR20190110719A (en) 2018-03-21 2018-03-21 Apparatus and method for concealing network

Country Status (1)

Country Link
KR (1) KR20190110719A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102184757B1 (en) * 2019-11-28 2020-11-30 주식회사 스텔스솔루션 Network hidden system and method
CN112948102A (en) * 2019-11-26 2021-06-11 中国电信股份有限公司 Virtual machine event processing method, device and system

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112948102A (en) * 2019-11-26 2021-06-11 中国电信股份有限公司 Virtual machine event processing method, device and system
CN112948102B (en) * 2019-11-26 2023-10-13 中国电信股份有限公司 Virtual machine event processing method, device and system
KR102184757B1 (en) * 2019-11-28 2020-11-30 주식회사 스텔스솔루션 Network hidden system and method

Similar Documents

Publication Publication Date Title
TWI489314B (en) Systems and methods for identifying, deterring and/or delaying attacks to a network using shadow networking techniques
US10530903B2 (en) Correlating packets in communications networks
US9912566B1 (en) Method and apparatus for tracing paths in service function chains
TWI514184B (en) Systems and methods for dynamically changing network states
US10298616B2 (en) Apparatus and method of securing network communications
JP2018139448A5 (en)
US11595305B2 (en) Device information method and apparatus for directing link-layer communication
CN101707617A (en) Message filtering method, device and network device
US10009282B2 (en) Self-protecting computer network router with queue resource manager
KR101386809B1 (en) Communication Terminal creating Multiple MTU and Data Transferring Method Using The Same
TW201408023A (en) Systems and methods for implementing moving target technology in legacy hardware
Nath et al. Tcp-ip model in data communication and networking
Alotaibi et al. Security issues in protocols of TCP/IP model at layers level
US11575577B2 (en) User information method and apparatus for directing link-layer communication
Šimon et al. A study of DDoS reflection attack on Internet of Things in IPv4/IPv6 networks
KR20190110719A (en) Apparatus and method for concealing network
US20230051229A1 (en) Transmission device for transmitting data
Alsmadi et al. Network security
AU2016374990B2 (en) Apparatus and method for forwarding data packets
RU2797264C1 (en) Method and system for tunnelling traffic in a distributed network to detonate malicious software
Iqbal Towards secure implementations of SDN based firewall
Samta et al. Analysis and mitigation of DDoS flooding attacks in software defined networks
US20230388275A1 (en) Method and a system of tunneling traffic in a distributed network for detecting malware
Zheng et al. LUNAR: A Practical Anonymous Network Simulation Platform
Thielens Master thesis: LISP Privacy: An addressless approach to client-server communication