KR20190110719A - 네트워크 은닉 장치 및 방법 - Google Patents

네트워크 은닉 장치 및 방법 Download PDF

Info

Publication number
KR20190110719A
KR20190110719A KR1020180032510A KR20180032510A KR20190110719A KR 20190110719 A KR20190110719 A KR 20190110719A KR 1020180032510 A KR1020180032510 A KR 1020180032510A KR 20180032510 A KR20180032510 A KR 20180032510A KR 20190110719 A KR20190110719 A KR 20190110719A
Authority
KR
South Korea
Prior art keywords
network
address
virtual
false
sdn
Prior art date
Application number
KR1020180032510A
Other languages
English (en)
Inventor
이현진
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020180032510A priority Critical patent/KR20190110719A/ko
Publication of KR20190110719A publication Critical patent/KR20190110719A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • H04L61/2007
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

상기 네트워크 은닉 장치 및 방법이 개시된다. 상기 네트워크 은닉 장치 및 방법은 네트워크 복제부, 인터페이스부 및 데이터베이스를 포함하는 네트워크 제어부 및 가상머신부를 포함함으로써, 적은 수의 가상서버로도 가상 네트워크 구축이 가능하여 비용이 절감된 고효율의 네트워크 은닉 장치 및 방법을 제공할 수 있다.
또한, 상기 네트워크 은닉 장치 및 방법은 대규모의 가상서버를 생성함으로써, 실제 물리서버로의 네트워크 접근이 어려워 공격자로부터 효과적인 방어가 가능한 고성능의 네트워크 은닉 장치 및 방법을 제공할 수 있다.

Description

네트워크 은닉 장치 및 방법{APPARATUS AND METHOD FOR CONCEALING NETWORK}
본 발명은 네트워크 은닉 장치 및 방법에 관한 것으로, 보다 상세하게는, 소프트웨어 정의 네트워크 기반의 네트워크 은닉 장치 및 방법에 관한 것이다.
최근 네트워크 기술의 발달과 함께, 개인정보 유출 및 대규모 시스템 장애 등 해킹 피해 사례가 급증하고 있다.
종래의 통신 네트워크 모델은 클라이언트가 서버의 주소를 인식하여 접근하면 서버가 클라이언트의 요청을 응답하는 방식으로 제공된다. 예를 들어, IP(Internet Protocol, 이하 IP) 네트워크에서의 웹 서버 및 웹 클라이언트 간의 통신 모델의 경우, 웹 클라이언트가 웹 서버의 IP 주소를 획득한 후 획득한 주소로 HTTP(HyperText Transfer Protocol) 요청 메시지를 보내면, 사용자가 웹 서버의 IP 주소를 웹 클라이언트의 UI를 통해 직접 입력하거나 도메인 네임을 통해 IP로 변환하는 과정을 거쳐 클라이언트는 IP 주소를 획득한 후 서버에 접근하는 방식으로 제공된다.
이에 따라, 종래의 통신 네트워크 모델은 서버의 주소가 클라이언트에게 노출되므로, DDoS(Distributed Denial of Service) 등의 해킹 피해 확률이 증가될 수 있으며, 공격을 피하기 위해 주소를 변경하는 것은 클라이언트에게도 변경되는 주소를 알려야 하기 때문에 서비스의 연속성을 보장하기 어려운 단점이 있다.
이에 최근에는 소프트웨어 정의 네트워크(Software Defined Network, SDN)를 이용하여 공격자의 해킹 공격을 예방하는 기술을 연구하고 있다.
소프트웨어 정의 네트워크(Software Defined Network, SDN)는 인프라스트럭처(infrastructure)로서의 스위치, 라우터 등과 같은 네트워크 장비의 제어 평면(control plane)과 데이터 평면(data plane)을 분리하여 데이터 평면은 네트워크 장비의 하드웨어에 존속시키고, 제어 평면은 SDN 컨트롤러에 소프트웨어 형태로 구비하는 네트워크 구조를 의미한다.
소프트웨어 정의 네트워크(Software Defined Network, SDN)의 인프라스트럭처(infrastructure)를 이용한 네트워크 은닉 방법으로는 가상서버를 할당하는 기술이 있다.
그러나, 종래의 네트워크 은닉 방법은 은닉하려는 실제 네트워크에 대응되는 가상 네트워크를 가상서버로 구현함으로써, 고가의 구축 비용이 요구된다.
또한, 이러한 가상 네트워크 서버들은 공격자를 유인하기 위해 웹 서비스, FTP(File Transfer Protocol) 서비스, SSH(Secure Shell) 서비스 등 다양한 서비스를 제공해야 함으로써, 고가의 유지 비용이 요구된다.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은 저비용 및 고효율의 네트워크 은닉 장치를 제공하는 데 있다.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은 저비용 및 고효율의 네트워크 은닉 방법을 제공하는 데 있다.
상기 목적을 달성하기 위한 본 발명의 실시예에 따라 실제 네트워크를 환경을 관리하는 SDN 제어부를 포함하는 소프트웨어 정의 네트워크(Software Defined Network, SDN)와 연동하여, 실제 네트워크 환경에 대응하는 가상 네트워크 환경을 제공하는 네트워크 은닉 장치는, 가상서버와의 연결을 위한 적어도 하나의 허위 IP 주소를 생성하는 네트워크 제어부 및 상기 네트워크 제어부의 요청에 의해 적어도 하나의 상기 가상서버를 생성하고, 상기 가상서버의 IP 주소와 연동하는 적어도 하나의 허위 IP 주소를 할당하기 위한 매핑 정보를 상기 SDN 제어부로 송신하는 가상머신부를 포함한다.
상기 목적을 달성하기 위한 본 발명의 실시예에 따라 실제 네트워크를 환경을 관리하는 SDN 제어부를 포함하는 소프트웨어 정의 네트워크(Software Defined Network, SDN)와 연동하여, 실제 네트워크 환경에 대응하는 가상 네트워크 환경을 제공하는 네트워크 은닉 장치를 이용한 네트워크 은닉 방법은, 상기 네트워크 은닉 장치의 매핑 정보를 설정하는 단계, 허위 IP 주소를 가진 적어도 하나의 패킷 데이터를 수신하는 단계, 상기 패킷 데이터의 이동 경로를 설정하는 단계, 상기 패킷 데이터를 상기 이동 경로로 송신하는 단계 및 상기 매핑 정보를 기반으로 상기 허위 IP 주소에 대응하는 상기 가상서버 IP 주소로 목적지 주소가 변경되는 단계 및 변경된 상기 가상서버로 상기 패킷 데이터를 송신하는 단계를 포함하되, 상기 매핑 정보를 설정하는 방법은 물리 네트워크 정보를 수신하는 단계, 상기 허위 IP 주소를 생성하는 단계, 상기 가상서버를 생성하는 단계, 상기 허위 IP 주소를 상기 가상서버에 할당하는 단계, 상기 매핑 정보를 생성하는 단계 및 생성된 매핑 정보를 SDN스위치로 송신하는 단계를 포함한다.
본 발명의 실시예에 따른 네트워크 은닉 장치 및 방법은 네트워크 복제부 및 가상머신부에 의해 허위 IP 주소 및 가상서버를 생성하여 대규모의 가상 네트워크 환경을 구축함으로써, 실제 네트워크 접근 확률을 감소시켜 보안성이 향상된 고성능의 네트워크 은닉 장치를 제공할 수 있다.
또한, 상기 네트워크 은닉 장치 및 방법은 가상머신부에 의해 소수의 가상서버(PM) 만으로도 가상 네트워크 환경을 구축함으로써 저비용의 네트워크 은닉 장치를 제공할 수 있다.
도 1은 본 발명의 실시예에 따른 네트워크 은닉 장치의 블록 구성도이다.
도 2는 본 발명의 실시예에 따른 가상서버에 허위 IP 주소를 할당하는 방법을 설명하기 위한 개념도이다.
도 3은 본 발명의 실시예에 따른 네트워크 은닉 방법의 순서도이다.
도 4는 본 발명의 실시예에 따른 네트워크 은닉 방법 중 매핑 정보를 설정하는 단계를 설명하기 위한 순서도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는 데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. "및/또는"이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
본 발명의 명세서에서 패킷(packet)은 데이터의 전송을 위해서 적당한 크기로 나누어진 데이터를 의미할 수 있고, 트래픽(traffic)은 특정 전송 상에서 일정 시간 내에 흐르는 데이터의 양을 의미할 수 있다. 또한, 토폴로지(topology)는 근거리 통신망(Local Area Network, LAN)에 장기간 접속한 형태를 의미할 수 있고, 프로토콜(protocol)은 컴퓨터 간에 정보를 원활하게 교환하기 위한 통신 규칙 및 약속을 의미할 수 있다.
TCP(Transmission Control Protocol)는 통신의 송신측과 수신측의 연결이 이루어진 것을 확인한 다음에 데이터를 전송하여 신뢰성이 요구되는 응용프로그램에서 사용될 수 있고, UDP(User Datagram Protocol)은 송신측과 수신측의 연결을 확인하지 않고 일방적으로 데이터를 전송하여 빠른 속도를 요구하는 응용프로그램에서 사용될 수 있다. 포트 번호는 TCP 또는 UDP에서 응용프로그램이 상호 통신을 위해 사용하는 가상의 논리적 통신 연결단을 의미할 수 있다. 인터넷 상에서의 통신은 포트 번호를 이용하여 수행될 수 있으며, 포트 번호는 IP 주소와 함께 해당하는 프로토콜에 의해 사용될 수 있고, 그 범위는 0부터 65535까지 일 수 있다.
소프트웨어 정의 네트워크(Software Defined Networks, SDN)는 소프트웨어 프로그래밍을 통해 네트워크 경로 설정과 제어 및 복잡한 운용 관리를 편하게 처리할 수 있는 차세대 네트워킹 기술로서 사용자가 소프트웨어로 네트워크를 제어하는 기술을 의미할 수 있다. SDN은 네트워크 제어 기능이 물리적 네트워크와 분리되어 있는 구조로, 물리적인 인프라스트럭처 레이어(infrastructure layer), 제어할 수 있는 컨트롤 레이어(control layer) 및 애플리케이션 레이어(application layer)로 나누어질 수 있다. 다시 말해, 네트워크 제어 기능이 기존의 스위치(switch)나 라우터(router) 등의 하드웨어와 별도로 분리될 수 있고, 또한, 데이터 전달 기능과도 분리될 수 있다.
오픈플로우(OpenFlow)는 SDN을 구성하는 하나의 요소로, 제어 기능을 가진 장비와 네트워킹 스위치 간의 통신을 담당하는 개방형 표준 인터페이스(interface)를 의미할 수 있다. 오픈플로우는 일종의 SDN을 지원하는 프로그래밍 가능한 애플리케이션(application)으로, 컨트롤러로 대두되는 외부에 있는 소프트웨어와 스위치 및 라우터 등의 네트워크 장비에 직접 접속하여 조작할 수 있도록 도와줄 수 있다. 컨트롤러(controller)는 SDN의 컨트롤 레이어에 위치하며, 스위치 및 라우터 등에 플로우 테이블(flow table)을 전송하여 네트워크 상의 트래픽을 제어할 수 있다. 여기서, 플로우 테이블은 어떠한 패킷을 처리할 지를 정의하는 영역인 룰(rule), 룰에 의해 정의된 패킷을 어떻게 처리할 지를 정의하는 영역인 액션(action) 및 해당 플로우 테이블에 얼마나 많은 패킷이 매칭되었고 얼마나 큰 바이트(byte)가 전송되었는 지를 보여주는 영역인 스탯(stats)을 포함할 수 있다. 본 발명의 명세서에서는 플로우 테이블을 플로우 룰(flow rule)이라는 용어를 사용하여 설명할 수 있다. 또한, 플로우 테이블을 스위치 및 라우터 등이 가지고 있는 정보를 의미하는 경우, 오픈플로우 컨트롤러는 플로우 룰을 스위치 및 라우터 등에 설치하여, 플로우 룰이 플로우 테이블에 적용되도록 할 수 있다.
심층 패킷 분석은 IP(Internet Protocol) 네트워크를 통해 전달되거나 교환되는 패킷의 프로토콜 및 응용프로그램을 실시간 분석하고 인증하는데 사용되는 기술로서 패킷 헤더(header)뿐만 아니라 패킷의 페이로드(payload)까지 검사하여 트래픽의 데이터 정보를 확인할 수 있는 기술을 의미할 수 있다. 심층 패킷 분석은 하드웨어(hardware) 형태로 네트워크 링크에 직접적으로 연결되어 수행될 수 있고, 소프트웨어(software) 형태로 응용프로그램으로서 수행될 수도 있다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
도 1은 본 발명의 실시예에 따른 네트워크 은닉 장치의 블록 구성도이다.
도 1을 참조하면, 네트워크 은닉 장치(D)는 소프트웨어 정의 네트워크(Software-defined network, SDN) 시스템과 연동할 수 있다. 이에 따라, 네트워크 은닉 장치(D)는 실제 네트워크 환경에 대응하는 가상 네트워크 환경을 제공할 수 있다.
실시예에 따르면, 네트워크 은닉 장치(D)는 소프트웨어 정의 네트워크(SDN)의 SDN 제어부(C)를 통해 적어도 하나의 SDN 스위치(S)와 연동할 수 있다. 이에 따라, 네트워크 은닉 장치(D)는 SDN 스위치(S)에 허위 IP 주소(FM) 및 상기 허위 IP 주소(FM)에 대응하는 가상서버의 IP 주소 정보를 제공할 수 있다.
보다 구체적으로 설명하면, 네트워크 은닉 장치(D)는 네트워크 제어부(1000) 및 가상머신부(5000)를 포함할 수 있다.
네트워크 제어부(1000)는 네트워크 복제부(1100), 인터페이스부(1300) 및 데이터베이스(1500)를 포함할 수 있다.
네트워크 복제부(1100)는 적어도 하나의 허위 IP 주소(FM)를 생성할 수 있다. 이때, 허위 IP 주소(FM)는 실체가 없는 서버의 IP 주소일 수 있다. 실시예에 따르면, 네트워크 복제부(1100)는 생성 가능한 최대 규모의 허위 IP 주소(FM)를 생성할 수 있다. 이후, 네트워크 복제부(1100)는 생성된 적어도 하나의 임의 IP를 후술될 데이터베이스(1500)에 저장할 수 있다. 데이터베이스(1500)는 하기에서 보다 구체적으로 설명하겠다.
또한, 네트워크 복제부(1100)는 후술될 인터페이스부(1300)를 통해 후술될 가상머신부(5000)에 가상서버(PM)의 생성을 요청할 수 있다. 이때, 가상서버(PM)는 소프트웨어 정의 네트워크(SDN) 기반의 실제 네트워크 내 존재하는 물리서버(미도시)의 정보를 복제한 서버일 수 있다. 가상서버(PM)는 인터페이스부(1300)에서 보다 구체적으로 설명하겠다.
네트워크 복제부(1100)는 가상머신부(5000)의 가상서버 생성 완료 후, 매핑 정보를 생성할 수 있다. 이때, 매핑 정보는 적어도 하나의 허위 IP 주소(FM)와 대응하는 가상서버의 IP 주소 정보를 포함하는 테이블 정보일 수 있다.
본 발명의 실시예에 따른 네트워크 은닉 장치는 허위 IP 주소(FM) 및 가상서버를 생성 및 매핑하여 대규모의 가상 네트워크 환경을 구축함으로써, 해킹을 목적으로 접근한 공격자로부터 실제 네트워크를 보호하여 보안성이 향상된 고성능의 네트워크 은닉 장치를 제공할 수 있다.
인터페이스부(1300)는 제1 인터페이스(1310) 및 제2 인터페이스(1350)를 포함할 수 있다.
제1 인터페이스(1310)는 네트워크 복제부(1100) 및 SDN 제어부(C)와 연동할 수 있다. 이에 따라, 제1 인터페이스(1310)는 상기 구성들(1100, C) 사이에 적어도 하나의 데이터를 송수신할 수 있다.
일 실시예에 따르면, 제1 인터페이스(1310)는 물리 네트워크 정보를 송수신할 수 있다. 이때, 물리 네트워크 정보(I1)는 네트워크 복제부(1100)로부터 SDN 제어부(C)에 요청된 정보일 수 있다. 이에 따라, SDN 제어부(C)는 요청된 적어도 하나의 물리 네트워크 정보(I1)를 네트워크 복제부(1100)로 송신할 수 있다.
여기서, 물리 네트워크 정보(I1)는 앞서 설명한 바와 같이, 소프트웨어 정의 네트워크(SDN) 기반의 실제 네트워크 내 물리서버(미도시)의 정보일 수 있다. 물리 네트워크 정보(I1)는 후술될 가상머신부(5000)의 가상서버(PM) 생성 시 활용될 수 있다.
다른 실시예에 따르면, 제1 인터페이스(1310)는 네트워크 복제부(1100)로부터 생성된 매핑 정보(I2)를 SDN 스위치(S)에 전송할 수 있다. 보다 구체적으로 설명하면, 제1 인터페이스(1310)는 네트워크 복제부(1100)로부터 생성된 매핑 정보(I2)를 SDN 제어부(C)에 전송할 수 있다. 이후, SDN 제어부(C)는 송신된 매핑 정보(I2)를 SDN 스위치(S)에 전달할 수 있다. 이때, 매핑 정보(I2)는 허위 IP 주소(FM)에 대응하는 가상서버 IP 주소 정보일 수 있다. 따라서, SDN 스위치(S)는 외부로부터 수신된 트래픽이 목적지 주소로 허위 IP 주소(FM)를 가질 경우, 매핑 정보(I2)를 바탕으로 상기 트래픽의 목적지 주소를 해당 허위 IP 주소(FM)에 대응하는 가상서버 IP 주소로 변환할 수 있다.
제2 인터페이스(1350)는 네트워크 복제부(1100) 및 가상머신부(5000)와 연동할 수 있다. 이에 따라, 제2 인터페이스(1350)는 상기 구성들(1100, 5000) 사이에 적어도 하나의 데이터를 송수신할 수 있다.
일 실시예에 따르면, 제2 인터페이스(1350)는 네트워크 복제부(1100)로부터 송신된 가상서버 생성 요청 메시지(M1)를 후술될 가상머신부(5000)에 전달할 수 있다. 이에 따라, 후술될 가상머신부(5000)는 적어도 하나의 가상서버(PM)를 생성할 수 있다.
다른 실시예에 따르면, 제2 인터페이스(1350)는 네트워크 복제부(1100)로부터 생성된 복수의 허위 IP 주소(FM) 정보(I3)를 후술될 가상머신부(5000)에 전송할 수 있다. 이에 따라, 후술될 가상머신부(5000)는 수신된 복수의 허위 IP 주소(FM) 정보(I3)를 생성된 적어도 하나의 가상서버(PM)에 할당할 수 있다.
데이터베이스(1500)는 앞서 설명한 바와 같이, 네트워크 복제부(1100)로부터 생성된 복수의 허위 IP 주소(FM)를 저장할 수 있다. 실시예에 따르면, 데이터베이스(1500)는 토폴리지 데이터베이스(Database)로 제공될 수 있다. 이에 따라, 데이터베이스(1500)는 적어도 하나의 노드가 연결된 가상 네트워크에 허위 IP 주소(FM)를 반영할 수 있다.
가상머신부(5000)은 적어도 하나의 가상서버(PM)를 생성할 수 있다. 가상머신부(5000)는 앞서 설명한 바와 같이, 네트워크 복제부(1100)의 요청(M1)에 의해 생성될 수 있다.
이후, 가상머신부(5000)는 제2 인터페이스(1350)에 의해 수신된 적어도 하나의 허위 IP 주소(FM)를 적어도 하나의 가상서버(PM)에 할당할 수 있다. 가상머신부(5000)의 허위 IP 주소(FM) 할당 방법은 도 2를 참조하여 보다 구체적으로 설명하겠다.
도 2는 본 발명의 실시예에 따른 가상서버에 허위 IP 주소(FM)를 할당하는 방법을 설명하기 위한 개념도이다.
도 2를 참조하면, 가상머신부(5000)는 적어도 하나의 가상서버(PM)를 생성할 수 있다. 실시예에 따르면, 가상머신부(5000)는 제1 가상서버(PM0) 및 제2 가상서버(PM1)를 포함할 수 있다.
이후, 가상머신부(5000)는 제2 인터페이스(1350)로부터 수신된 복수의 허위 IP 주소(FM)들(FM0, FM1, … FMM)을 제1 및 제2 가상서버들(PM0, PM1)에 각각 할당할 수 있다.
이때, 개별 가상서버(PM)에는 복수의 허위 IP 주소(FM)들이 할당될 수 있다. 예를 들어, 제1 가상서버(PM0)는 제1 허위 IP 주소(FM)들(FM0, FM1)이 할당될 수 있으며, 제2 가상서버(PM1)는 제2 허위 IP 주소(FM)들(FM2, FM3, … FMM)이 할당될 수 있다.
따라서, 본 발명의 실시예에 따른 네트워크 은닉 장치(D)는 소수의 가상서버(PM) 만으로도 가상 네트워크 구축이 가능함으로써 저비용의 네트워크 은닉 장치를 제공할 수 있다.
이상 본 발명의 실시예에 따른 네트워크 은닉 장치의 구성들을 살펴보았다. 이하에서는 본 발명의 실시예에 따른 상기 네트워크 은닉 장치를 이용한 네트워크 은닉 방법을 설명하겠다.
도 3은 본 발명의 실시예에 따른 네트워크 은닉 방법의 순서도이다.
도 3을 참조하면, 본 발명의 실시예에 따른 네트워크 은닉 장치는 매핑 정보를 생성할 수 있다(S1000). 여기서, 네트워크 은닉 장치는 소프트웨어 정의 네트워크(SDN)과 연동하여 가상 네트워크를 환경을 제공하는 장치일 수 있다.
매핑 정보는 허위 IP 주소(FM)에 대응하는 가상서버 IP 주소 정보를 포함할 수 있다.
네트워크 은닉 장치의 매핑 정보를 생성하는 단계는 도 4를 참조하여 보다 구체적으로 설명하겠다.
도 4는 본 발명의 실시예에 따른 네트워크 은닉 방법 중 매핑 정보를 설정하는 단계를 설명하기 위한 순서도이다.
도 4를 참조하면, 본 발명의 실시예에 따른 네트워크 은닉 장치(D)는 적어도 하나의 물리 네트워크 정보를 SDN 제어부(C)로부터 수신할 수 있다(S1100). 이때, 물리 네트워크 정보는 실제 네트워크 상에 제공되는 적어도 하나의 실제 서버(미도시)의 정보일 수 있다.
이후, 본 발명의 실시예에 따른 네트워크 은닉 장치(D) 내 허위 IP 주소(FM)를 생성할 수 있다(S1200). 실시예에 따르면, 네트워크 복제부(1100)는 적어도 하나의 허위 IP 주소(FM)를 생성할 수 있다.
생성한 허위 IP 주소(FM)는 데이터베이스(1500)에 저장할 수 있다. 여기서, 데이터베이스(1500)는 토폴리지 데이터베이스(Database)일 수 있다. 이에 따라, 데이터베이스(1500)는 적어도 하나의 노드가 연결된 가상 네트워크에 허위 IP 주소(FM)를 반영할 수 있다.
이후, 네트워크 은닉 장치(D)는 가상서버(PM)를 생성할 수 있다(S1300). 실시예에 따르면, 가상서버(PM)는 네트워크 복제부(1100)의 요청에 의해 적어도 하나 이상 생성될 수 있다.
네트워크 은닉 장치(D)는 적어도 하나의 허위 IP 주소(FM)를 적어도 하나의 가상서버(PM)에 할당할 수 있다(S1400). 실시예에 따르면, 네트워크 은닉 장치는 개별 가상서버(PM)에 복수의 허위 IP 주소(FM)들을 할당할 수 있다. 이에 따라, 네트워크 은닉 장치는 적은 수의 가상서버(PM)로도 가상 네트워크를 구축할 수 있다.
네트워크 은닉 장치(D)는 할당된 가상서버(PM) 별 허위 IP 주소(FM) 정보를 매핑하여 매핑 정보를 생성할 수 있다. 다시 말하면, 매핑 정보는 적어도 하나의 허위 IP 주소(FM)와 대응하는 가상서버(PM)의 IP 주소 정보를 포함하는 테이블 정보일 수 있다.
네트워크 은닉 장치는 생성된 매핑 정보를 소프트웨어 정의 네트워크(Software Defined Network, SDN) 내 SDN 제어부(C)로 송신할 수 있다(S1500).
SDN 제어부(C)는 수신된 매핑 정보를 바탕으로, 개별 SDN 스위치(S)마다 가상서버(PM)의 경로를 설정할 수 있다(S1600). 이후, 수신된 매핑 정보를 SDN 스위치(S)에 송신할 수 있다.
다시 도 3을 참조하면, 네트워크 은닉 장치(D)의 매핑 정보가 설정된 후, 공격자의 스캐닝 공격에 의해, 트래픽이 제1 SDN 스위치(S1)로 유입될 수 있다(S2000). 이때, 상기 트래픽은 목적지 주소로 허위 IP 주소(FM)를 가질 수 있다.
제1 SDN 스위치(S1)는 트래픽 내 패킷 데이터의 송신 완료 메시지를 SDN 제어부(C)로 전송할 수 있다(S3000).
SDN 제어부(C)는 매핑 정보를 바탕으로, 상기 패킷 데이터의 이동 경로를 설정할 수 있다(S4000). 실시예에 따라 보다 구체적으로 설명하면, SDN 제어부(C)는 수신된 패킷 데이터의 허위 IP 주소(FM)를 바탕으로, 매핑 정보 상에 상기 허위 IP 주소(FM)에 대응하는 가상서버(PM) 정보를 추출할 수 있다. 이후, 추출된 가상서버(PM)와 접속된 제2 SDN 스위치(S2)를 추출하고, 상기 제1 SDN 스위치(S1) 및 제2 SDN 스위치(S2) 간의 패킷 데이터 이동 경로를 설정할 수 있다.
이후, 제1 SDN 스위치(S1)는 유입된 트래픽 내 패킷 데이터를 SDN 제어부(C)에 의해 설정된 이동 경로로 송신할 수 있다(S5000). 보다 구체적으로 설명하면, 제1 SDN 스위치(S1)는 목적지 주소로 허위 IP 주소(FM)를 갖는 패킷 데이터를 상기 허위 IP 주소(FM)에 대응하는 가상서버(PM)와 접속된 제2 SDN 스위치(S2)로 송신할 수 있다.
제2 SDN 스위치(S2)로 송신된 패킷 데이터는 허위 IP 주소(FM)를 가상서버(PM)의 IP 주소로 변경할 수 있다. 이후 상기 제2 SDN 스위치(S2)와 접속된 가상서버(PM)로 송신할 수 있다(S6000).
이상, 본 발명의 실시예에 따른 네트워크 은닉 장치 및 방법을 살펴보았다. 상기 네트워크 은닉 장치 및 방법은 네트워크 복제부, 인터페이스부 및 저장부를 포함하는 네트워크 제어부 및 가상머신부를 포함함으로써, 적은 수의 가상서버로도 가상 네트워크 구축이 가능하여 비용이 절감된 고효율의 네트워크 은닉 장치 및 방법을 제공할 수 있다.
또한, 상기 네트워크 은닉 장치 및 방법은 대규모의 가상서버를 생성함으로써, 물리 서버로의 네트워크 접근이 어려워 공격자로부터 효과적인 방어가 가능한 고성능의 네트워크 은닉 장치 및 방법을 제공할 수 있다.
본 발명의 실시예에 따른 방법의 동작은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 프로그램 또는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의해 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산 방식으로 컴퓨터로 읽을 수 있는 프로그램 또는 코드가 저장되고 실행될 수 있다.
또한, 컴퓨터가 읽을 수 있는 기록매체는 롬(rom), 램(ram), 플래시 메모리(flash memory) 등과 같이 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치를 포함할 수 있다. 프로그램 명령은 컴파일러(compiler)에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터(interpreter) 등을 사용해서 컴퓨터에 의해 실행될 수 있는 고급 언어 코드를 포함할 수 있다.
본 발명의 일부 측면들은 장치의 문맥에서 설명되었으나, 그것은 상응하는 방법에 따른 설명 또한 나타낼 수 있고, 여기서 블록 또는 장치는 방법 단계 또는 방법 단계의 특징에 상응한다. 유사하게, 방법의 문맥에서 설명된 측면들은 또한 상응하는 블록 또는 아이템 또는 상응하는 장치의 특징으로 나타낼 수 있다. 방법 단계들의 몇몇 또는 전부는 예를 들어, 마이크로프로세서, 프로그램 가능한 컴퓨터 또는 전자 회로와 같은 하드웨어 장치에 의해(또는 이용하여) 수행될 수 있다. 몇몇의 실시예에서, 가장 중요한 방법 단계들의 하나 이상은 이와 같은 장치에 의해 수행될 수 있다.
실시예들에서, 프로그램 가능한 로직 장치(예를 들어, 필드 프로그머블 게이트 어레이)가 여기서 설명된 방법들의 기능의 일부 또는 전부를 수행하기 위해 사용될 수 있다. 실시예들에서, 필드 프로그머블 게이트 어레이는 여기서 설명된 방법들 중 하나를 수행하기 위한 마이크로프로세서와 함께 작동할 수 있다. 일반적으로, 방법들은 어떤 하드웨어 장치에 의해 수행되는 것이 바람직하다.
이상 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
1000: 네트워크 제어부 1100: 네트워크 복제부
1300: 인터페이스부 1310: 제1 인터페이스
1350: 제2 인터페이스 1500: 데이터베이스
5000: 가상머신부 C: SDN 제어부
D: 네트워크 은닉 장치 S: SDN 스위치

Claims (1)

  1. 실제 네트워크를 환경을 관리하는 SDN 제어부를 포함하는 소프트웨어 정의 네트워크(Software Defined Network, SDN)와 연동하여, 실제 네트워크 환경에 대응하는 가상 네트워크 환경을 제공하는 네트워크 은닉 장치에 있어서,
    가상서버와의 연결을 위한 적어도 하나의 허위 IP 주소를 생성하는 네트워크 제어부; 및
    상기 네트워크 제어부의 요청에 의해 적어도 하나의 상기 가상서버를 생성하고, 상기 가상서버의 IP 주소와 연동하는 적어도 하나의 허위 IP 주소를 할당하기 위한 매핑 정보를 상기 SDN 제어부로 송신하는 가상머신부를 포함하는 네트워크 은닉 장치.
KR1020180032510A 2018-03-21 2018-03-21 네트워크 은닉 장치 및 방법 KR20190110719A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180032510A KR20190110719A (ko) 2018-03-21 2018-03-21 네트워크 은닉 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180032510A KR20190110719A (ko) 2018-03-21 2018-03-21 네트워크 은닉 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20190110719A true KR20190110719A (ko) 2019-10-01

Family

ID=68207409

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180032510A KR20190110719A (ko) 2018-03-21 2018-03-21 네트워크 은닉 장치 및 방법

Country Status (1)

Country Link
KR (1) KR20190110719A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102184757B1 (ko) * 2019-11-28 2020-11-30 주식회사 스텔스솔루션 네트워크 은닉 시스템 및 방법
CN112948102A (zh) * 2019-11-26 2021-06-11 中国电信股份有限公司 虚拟机事件处理方法、装置和***

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112948102A (zh) * 2019-11-26 2021-06-11 中国电信股份有限公司 虚拟机事件处理方法、装置和***
CN112948102B (zh) * 2019-11-26 2023-10-13 中国电信股份有限公司 虚拟机事件处理方法、装置和***
KR102184757B1 (ko) * 2019-11-28 2020-11-30 주식회사 스텔스솔루션 네트워크 은닉 시스템 및 방법

Similar Documents

Publication Publication Date Title
TWI489314B (zh) 用於使用影子網路技術以識別、阻斷及/或延遲對一網路之攻擊的系統及方法
US10530903B2 (en) Correlating packets in communications networks
US9912566B1 (en) Method and apparatus for tracing paths in service function chains
TWI514184B (zh) 用於動態地改變網路狀態之系統及方法
US10298616B2 (en) Apparatus and method of securing network communications
JP2018139448A5 (ko)
CN101707617A (zh) 报文过滤方法、装置及网络设备
US10009282B2 (en) Self-protecting computer network router with queue resource manager
US11595305B2 (en) Device information method and apparatus for directing link-layer communication
KR101386809B1 (ko) 다중 mtu를 설정하는 모바일 디바이스 및 이를 이용한 데이터 전송 방법
TW201408023A (zh) 於原有硬體中實施活動目標技術之系統及方法
Nath et al. Tcp-ip model in data communication and networking
Alotaibi et al. Security issues in protocols of TCP/IP model at layers level
US11575577B2 (en) User information method and apparatus for directing link-layer communication
Šimon et al. A study of DDoS reflection attack on Internet of Things in IPv4/IPv6 networks
KR20190110719A (ko) 네트워크 은닉 장치 및 방법
US20230051229A1 (en) Transmission device for transmitting data
Alsmadi et al. Network security
AU2016374990B2 (en) Apparatus and method for forwarding data packets
RU2797264C1 (ru) Способ и система туннелирования трафика в распределенной сети для детонации вредоносного программного обеспечения
Iqbal Towards secure implementations of SDN based firewall
Samta et al. Analysis and mitigation of DDoS flooding attacks in software defined networks
US20230388275A1 (en) Method and a system of tunneling traffic in a distributed network for detecting malware
Zheng et al. LUNAR: A Practical Anonymous Network Simulation Platform
Thielens Master thesis: LISP Privacy: An addressless approach to client-server communication