WO2016098968A1 - 지능형 보안 네트워킹 시스템 및 그 방법 - Google Patents

Abstract

본 발명은 지능형 보안 네트워킹 시스템에 관한 것으로, 서비스 확장성을 담보하는 가상 통신 네트워크에 이상징후 감지 및 트래픽 감지와 보안 서비스가 제공될 수 있게 최적의 보안 서비스 경로를 도출해내는 서비스 체이닝이 수행되도록 함으로써 가상 통신 네트워크의 보안성능을 강화시킨 지능형 보안 네트워킹 시스템을 제공함에 그 목적이 있다. 본 발명을 적용하면, IDC 센터에서 설정한 보안 서비스 정책을 유연하게 오픈플로우 스위치(또는 노드)의 포트에 적용할 수 있도록 하고, 인터넷에서 유입된 모든 패킷에 대해 실시간 감시하여 장애 발생 시점에서 망 내의 트래픽 흐름 및 침입감지 여부를 분석하여 최적의 보안 서비스 경로를 재구성하여 트래픽 전송의 연속성을 보장할 수 있고, 서비스 품질을 향상시킬 수 있다.

Description

지능형 보안 네트워킹 시스템 및 그 방법

본 발명은 지능형 보안 네트워킹 시스템에 관한 것으로, 보다 상세하게 서비스 확장성을 담보하는 가상 통신 네트워크에 이상징후 감지 및 트래픽 감지와 보안 서비스가 제공될 수 있게 최적의 보안 서비스 경로를 도출해내는 서비스 체이닝이 수행되도록 함으로써 가상 통신 네트워크의 보안성능을 강화시킨 것으로서, SDN(Software Defined Network)/NFV(Network Function Virtualization) 기반의 지능형 네트워크 보안 서비스 체이닝 최적화 기술을 활용하여 DDoS, APT(Advanced Persistent Threat) 등 신규 보안위협을 능동적으로 빠르게 방어/대응하는 신개념 자가 방어 및 자동 확장 가능한 L4/L7+ NFV/SDN 스마트 보안 네트워킹 시스템인 지능형 보안 네트워킹 시스템에 관한 것이다.

주지된 바와 같이, 네트워크 기술은 비즈니스, 가정 및 공공기관 등에서 매우 중요한 인프라의 일부가 되었다. 그러나, 현재의 네트워크는 라우터 또는 스위치 등의 통신 장치들을 포함하고 있으며, 이와 같은 통신 장치들은 복잡한 프로토콜과 기능들을 포함하고 있고 각 제조사에 따라 특성이 서로 다른 경우가 많기 때문에 기능 확장이나 상호 연동 등에 어려움을 겪고 있다.

특히, 기존 네트워크 및 보안장비들은 서비스가 고정되어 있어서 수용하기 어렵다는 문제가 있었다.

상기한 네트워크 기술의 문제점을 해결하기 위해 개방형 인터페이스를 갖는 스위치나 라우터 기술이 연구되었으나, 이러한 개방형 인터페이스를 제공하는 네트워크 기술은 성능 대비 가격이 높아 상용화에 걸림돌이 되었다.

오픈플로우(OpenFlow) 기술은 고비용 문제를 해결하면서 사용자 또는 개발자에게 개방형 표준 인터페이스를 제공하기 위해 출현하였다.

오픈플로우 기술은 네트워크 스위치의 패킷 포워딩 기능과 제어 기능을 분리하고 상기 두 기능간의 통신을 위한 프로토콜을 제공함으로써, 외부 제어장치에 의하여 구동되는 소프트웨어가 장비 제조사에 무관하게 스위치 내의 패킷 경로를 결정할 수 있도록 한다.

오픈플로우 시스템은 오픈플로우 스위치(switch)와 컨트롤러(controller)를 포함하며, 오픈플로우 스위치와 컨트롤러간에는 표준화된 오픈플로우 프로토콜을 사용하도록 구성하여 현재의 네트워크 기능을 수행하도록 구성한 것이 소프트웨어 정의 네트워킹(Software Defined Networking, 이하, SDN이라 약칭함) 망이다.

오픈플로우 스위치는 기본적인 스위칭 기능을 수행하며 플로우 테이블(flow table), 보안채널, 오픈플로우 프로토콜로 구성된다. 컨트롤러는 오픈플로우 프로토콜에 의하여 스위치 내부의 플로우 테이블을 작성하며, 여기에는 새로운 플로우를 등록하거나 삭제하는 기능을 포함한다.

오픈플로우 시스템에서 컨트롤러와 오픈플로우 스위치 노드의 동작을 위한 핵심 기능은 플로우 테이블이며, 플로우 테이블을 이용하여 오픈플로우 노드에 유입되는 패킷에 대하여 지정된 포트(port)로 포워딩(forwarding)하도록 함으로써 패킷을 처리한다.

그러나, 기존의 오픈플로우 시스템은 오픈플로우 스위치에서 포트 장애가 발생하는 경우 컨트롤러에서 장애 상태를 인지한 후 새로운 경로를 구성하는 포트를 설정하고, 설정된 포트에 상응하여 플로우 테이블을 갱신하는 절차를 수행하였기 때문에 장애에 대처하는 시간이 많이 소요되었고, 이로 인하여 장애에 대처하는 시간 동안에는 패킷이 전달되지 못하는 현상이 발생하였다.

또한, 망을 구성하는 노드들 중 하나의 특정 노드에 장애가 발생하는 경우, 경로를 재구성하고 플로우 테이블을 갱신하는 등의 장애 복구 시간 동안 트래픽 전송이 중단되는 문제점이 있었다.

따라서, SDN 망에서 장애가 발생하는 경우 트래픽 전송의 연속성을 보장할 수 있게 한 기술이 공개특허 10-2014-72343호를 통해 개시되어져 있다.

하지만, 이러한 종래의 기술도 역시 SDN환경으로 마이그레이션 하기 위해 콘트롤러나 오픈플로우 스위치들을 지원하는 상용 스위치 또한 인프라 서비스를 위한 서비스 체이닝 지원 성능이 부족하다는 문제가 있었다.

또한, 기존 네트워크 보안시스템(Firewall, IPS, IDS 등)은 특정 기능만 수행하는 전용하드웨어로 시스템마다 최대 처리량 고정되어 있어 DDos나 APT공격을 받는 경우 신속하게 대응이 불가능한 문제점이 있었다. 즉, 기존 네트워크 장비는 제어기능(control plane)과 데이터전달 기능(data plane)을 동시에 수행하는 네트워크 장비로 상황에 따라 신속하게 트래픽 제어가 불가능한 문제점이 있었다.

본 발명은 상기한 종래 기술의 사정을 감안하여 이루어진 것으로, 서비스 확장성을 담보하는 가상 통신 네트워크에 이상징후 감지 및 트래픽 감지와 보안 서비스가 제공될 수 있게 최적의 보안 서비스 경로를 도출해내는 서비스 체이닝이 수행되도록 함으로써 가상 통신 네트워크의 보안성능을 강화시킨 지능형 보안 네트워킹 시스템을 제공함에 그 목적이 있다.

상기한 목적을 달성하기 위해, 본 발명의 바람직한 실시예에 따르면 소프트웨어 정의 네트워킹 망(SDN)의 노드에서 수행되는 지능형 보안 네트워킹 방법에 있어서, a) VTN(Virtual Tenant Network) 정보를 설정하는 과정과; b) VTN별 보안 서비스 정보를 설정하는 과정과; c) 네트워크로 유입된 패킷을 감시하는 과정과; d) 보안 정책 적용여부를 판단하는 과정과; e) 서비스 체이닝을 통한 서비스 재구성 과정을 포함하여 이루어진 것을 특징으로 하는 지능형 보안 네트워킹 방법이 제공된다.

바람직하게, 상기 a) 과정은 OCS(OrChestration system)가 VTN의 이름이나 설명을 입력받는 과정과; OCS(OrChestration system)가 IP 또는 Mac 또는 VLAN과 같은 VTN 식별방식을 입력받는 과정과; OCS(OrChestration system)가 VTN 내의 호스트 서버의 IP나 Mac 또는 VLAN 정보를 입력받는 과정을 포함하여 이루어진 것을 특징으로 하는 지능형 보안 네트워킹 방법이 제공된다.

바람직하게, 상기 b) 과정은 CPS(Chainning Pool System)에 복수의 VTN에 대해 각각 보안 서비스 기능을 할당하는 과정과; CPS(Chainning Pool System)에 보안 이상신호 발생시 대응 정책을 설정하는 과정을 포함하여 이루어진 것을 특징으로 하는 지능형 보안 네트워킹 방법이 제공된다.

바람직하게, 상기 c) 과정은 OCS(OrChestration system)가 SDS(Self-Defending System) 및 SCS(SDN Controller System) 및 CPS(Chainning Pool System)로부터 이벤트 신호를 수신하여 저장하고 침입감지를 판단하며, 침입 감지시 서비스 체이닝 알고리즘을 호출하는 과정과; 트래픽/리소스 정보를 수신하여 임계치 초과여부를 판단하여 초과시 서비스 체이닝 알고리즘을 호출하는 과정과; 보안 서비스 현황정보를 수신하여 보안 서비스 노드정보를 현황화하는 과정을 포함하여 이루어진 것을 특징으로 하는 지능형 보안 네트워킹 방법이 제공된다.

바람직하게, 상기 d) 과정은 OCS(OrChestration system)가 VTN별 보안 서비스 생성을 CPS로 요청하여 가상머신을 생성하는 과정과; 평시에 필요한 보안서비스는 Running 상태로 유지되게 하며, 이상징후 발생시 필요한 보안 서비스는 IDLE 상태로 유지되게 관리하는 과정이 더 포함된 것을 특징으로 하는 지능형 보안 네트워킹 방법이 제공된다.

바람직하게, 상기 e) 과정은 OCS(OrChestration system)가 서비스 체이닝을 통해 최적의 보안 서비스 경로를 도출하는 과정인 것을 특징으로 하는 지능형 보안 네트워킹 방법이 제공된다.

한편, 본 발명은 IDC 센터 관리자의 VTN 및 VTN별 보안 설정값을 인가받아 등록하고, VTN 및 VTN별 보안 설정정보를 CPS 및 SCS 및 SDS에 적용하며, 이상징후 감지신호를 인가받아 서비스 체이닝을 수행하고 보안 서비스 경로를 도출해내는 OCS와; 상기 OCS로부터 VTN 및 VTN별 보안 설정정보를 인가받아 VTN별 경로정보를 오픈 플로우 스위치에 적용시키는 SCS와; 상기 OCS로부터 VTN 및 VTN별 보안 설정정보를 인가받고 보안서비스 생성신호를 인가받아 보안 서비스 가상머신을 생성하고 인터넷을 통해 유입된 패킷을 가상머신을 구동하여 보안서비스 현황을 체크하는 CPS와; 상기 OCS로부터 VTN 및 VTN별 보안 설정정보를 인가받고 유입된 패킷을 미러링받아 감시하는 SDS로 구성된 것을 특징으로 하는 지능형 보안 네트워킹 시스템이 제공된다.

본 발명에 따른 지능형 보안 네트워킹 시스템은 IDC 센터에서 설정한 보안 서비스 정책을 유연하게 오픈플로우 스위치(또는 노드)의 포트에 적용할 수 있도록 하고, 인터넷에서 유입된 모든 패킷에 대해 실시간 감시하여 장애 발생 시점에서 망 내의 트래픽 흐름 및 침입감지 여부를 분석하여 최적의 보안 서비스 경로를 재구성하여 트래픽 전송의 연속성을 보장할 수 있고, 서비스 품질을 향상시킬 수 있다.

본 발명에 의하면, SDN 망에서 제공하는 VTN(Virtual Tenant Network) 별로 사용자 맞춤형 가상 응용 보안 체이닝 서비스 제공 가능하다.

또한, 패쇄망 구조에서 클라우드 연결망에 대한 안전한 네트워크 동적 서비스 보호 환경을 구축 제공함으로써 NFV/SDN 조기 상용화 및 활성화에 기여하게 된다.

또한, 자가방어 능동 대응 기술은 관리자가 망을 자동으로 관리하는 편리함을 제공함과 동시에 사이버 공격이나 장애에 즉각적으로 대응함으로써 운용 비용 절감이 가능하다.

또한, NFV와 SDN의 결합은 정보 보호 응용뿐만 아니라 다양한 모든 네트워크 서비스 분야에 장비 기능 가상화와 서비스 체이닝 기술을 적용할 수 있기 때문에 향후 기술적 파급력이 매우 크다.

따라서, 클라우드 데이터 센터 가상 보안 서비스 분야, 폐쇄망 운영 정부 기관 보안 분야(행정안전부, 기무사, 경찰, 국정원 등 주요 기관망 제공자), 일반 엔터프라이즈 보안 장비, CDN/인터넷 방송 등과 같은 고성능/고강도의 보안 서비스가 요구되는 분야 등에 응용할 수 있다.

도 1은 본 발명의 일실시예에 따른 지능형 보안 네트워킹 시스템의 개략적인 구성을 도시한 모식도,

도 2는 본 발명의 일실시예에 따른 지능형 보안 네트워킹 시스템을 통한 처리과정을 도시한 신호흐름도,

도 3은 본 발명의 일실시예에 따른 지능형 보안 네트워킹 시스템을 통한 VTN 정보설정상태를 도시한 도면,

도 5 및 도 6은 본 발명의 일실시예에 따른 지능형 보안 네트워킹 시스템을 통한 보안서비스 설정상태를 도시한 도면,

도 7은 본 발명의 일실시예에 따른 지능형 보안 네트워킹 시스템의 보안서비스 적용상태를 도시한 도면,

도 8 및 도 9는 본 발명의 일실시예에 따른 지능형 보안 네트워킹 시스템을 통한 침입감지 모니터링상태를 도시한 도면,

도 10, 도 11, 도 12 및 도 13은 본 발명의 일실시예에 따른 지능형 보안 네트워킹 시스템을 통한 보안서비스 적용상태를 구체화한 도면이다.

도 14는 본 발명에 따른 지능형 보안 네트워킹 시스템을 통한 서비스 체이닝 리스트 경로 설정 핵심 알고리즘을 나타낸다.

상기한 목적을 달성하기 위해, 본 발명의 바람직한 실시예에 따르면 소프트웨어 정의 네트워킹 망(SDN)의 노드에서 수행되는 지능형 보안 네트워킹 방법에 있어서, a) VTN(Virtual Tenant Network) 정보를 설정하는 과정과; b) VTN별 보안 서비스 정보를 설정하는 과정과; c) 네트워크로 유입된 패킷을 감시하는 과정과; d) 보안 정책 적용여부를 판단하는 과정과; e) 서비스 체이닝을 통한 서비스 재구성 과정을 포함하여 이루어진 것을 특징으로 하는 지능형 보안 네트워킹 방법이 제공된다.

바람직하게, 상기 a) 과정은 OCS(OrChestration system)가 VTN의 이름이나 설명을 입력받는 과정과; OCS(OrChestration system)가 IP 또는 Mac 또는 VLAN과 같은 VTN 식별방식을 입력받는 과정과; OCS(OrChestration system)가 VTN 내의 호스트 서버의 IP나 Mac 또는 VLAN 정보를 입력받는 과정을 포함하여 이루어진 것을 특징으로 하는 지능형 보안 네트워킹 방법이 제공된다.

바람직하게, 상기 b) 과정은 CPS(Chainning Pool System)에 복수의 VTN에 대해 각각 보안 서비스 기능을 할당하는 과정과; CPS(Chainning Pool System)에 보안 이상신호 발생시 대응 정책을 설정하는 과정을 포함하여 이루어진 것을 특징으로 하는 지능형 보안 네트워킹 방법이 제공된다.

바람직하게, 상기 c) 과정은 OCS(OrChestration system)가 SDS(Self-Defending System) 및 SCS(SDN Controller System) 및 CPS(Chainning Pool System)로부터 이벤트 신호를 수신하여 저장하고 침입감지를 판단하며, 침입 감지시 서비스 체이닝 알고리즘을 호출하는 과정과; 트래픽/리소스 정보를 수신하여 임계치 초과여부를 판단하여 초과시 서비스 체이닝 알고리즘을 호출하는 과정과; 보안 서비스 현황정보를 수신하여 보안 서비스 노드정보를 현황화하는 과정을 포함하여 이루어진 것을 특징으로 하는 지능형 보안 네트워킹 방법이 제공된다.

바람직하게, 상기 d) 과정은 OCS(OrChestration system)가 VTN별 보안 서비스 생성을 CPS로 요청하여 가상머신을 생성하는 과정과; 평시에 필요한 보안서비스는 Running 상태로 유지되게 하며, 이상징후 발생시 필요한 보안 서비스는 IDLE 상태로 유지되게 관리하는 과정이 더 포함된 것을 특징으로 하는 지능형 보안 네트워킹 방법이 제공된다.

바람직하게, 상기 e) 과정은 OCS(OrChestration system)가 서비스 체이닝을 통해 최적의 보안 서비스 경로를 도출하는 과정인 것을 특징으로 하는 지능형 보안 네트워킹 방법이 제공된다.

한편, 본 발명은 IDC 센터 관리자의 VTN 및 VTN별 보안 설정값을 인가받아 등록하고, VTN 및 VTN별 보안 설정정보를 CPS 및 SCS 및 SDS에 적용하며, 이상징후 감지신호를 인가받아 서비스 체이닝을 수행하고 보안 서비스 경로를 도출해내는 OCS와; 상기 OCS로부터 VTN 및 VTN별 보안 설정정보를 인가받아 VTN별 경로정보를 오픈 플로우 스위치에 적용시키는 SCS와; 상기 OCS로부터 VTN 및 VTN별 보안 설정정보를 인가받고 보안서비스 생성신호를 인가받아 보안 서비스 가상머신을 생성하고 인터넷을 통해 유입된 패킷을 가상머신을 구동하여 보안서비스 현황을 체크하는 CPS와; 상기 OCS로부터 VTN 및 VTN별 보안 설정정보를 인가받고 유입된 패킷을 미러링받아 감시하는 SDS로 구성된 것을 특징으로 하는 지능형 보안 네트워킹 시스템이 제공된다.

이하, 본 발명에 대해 도면을 참조하여 상세하게 설명한다.

본 발명은 SDN 기반 고신뢰 자가방어 스마트 보안시스템에 관한 것으로서, 사업자들이 안심하고 쉽게 네트워크를 사용할 수 있게 아래와 같은 기능 제공한다.

-네트워크 자가방어를 위한 SDN 기반 스마트 보안 플랫폼 기술

- Secure NFV 서비스 체이닝 경로 계산 및 플로우 제어용 SDN 기반 통합 보안 제어기 기술

- SDN 기반 스마트 보안 플랫폼 및 서비스 체이닝 정책 관리 및 오케스트레이션 기술

- SDN 기반 스마트 보안 플랫폼 정보보호 응용 서비스 기술

도 1은 본 발명의 일실시예에 따른 지능형 보안 네트워킹 시스템의 개략적인 구성을 도시한 모식도, 도 2는 본 발명의 일실시예에 따른 지능형 보안 네트워킹 시스템을 통한 처리과정을 도시한 신호흐름도이다.

이를 참조하면, 본 발명의 일실시예에 따른 지능형 보안 네트워킹 시스템은 서비스 확장성을 담보하는 가상 통신 네트워크에 이상징후 감지 및 트래픽 감지와 보안 서비스가 제공될 수 있게 최적의 보안 서비스 경로를 도출해내는 서비스 체이닝이 수행되도록 함으로써 가상 통신 네트워크의 보안성능을 강화시킨 시스템이다.

*보다 상세하게, 본 발명의 일실시예에 따른 지능형 보안 네트워킹 시스템은 IDC 센터 관리자의 VTN 및 VTN별 보안 설정값을 인가받아 등록하고, VTN 및 VTN별 보안 설정정보를 CPS(Chainning Pool System:14) 및 SCS(SDN Controller System:12) 및 SDS(Self-Defending System:16)에 적용하며, 이상징후 감지신호를 인가받아 서비스 체이닝을 수행하고 보안 서비스 경로를 도출해내는 OCS(OrChestration system:6)와; 상기 OCS(OrChestration system: 6)로부터 VTN 및 VTN별 보안 설정정보를 인가받아 VTN별 경로정보를 오픈 플로우 스위치에 적용시키는 SCS(SDN Controller System: 12)와; 상기 OCS(OrChestration system: 6)로부터 VTN 및 VTN별 보안 설정정보를 인가받고 보안서비스 생성신호를 인가받아 보안 서비스 가상머신을 생성하고 인터넷을 통해 유입된 패킷을 가상머신을 구동하여 보안서비스 현황을 체크하는 CPS(Chainning Pool System: 14)와; 상기 OCS(OrChestration system: 6)로부터 VTN 및 VTN별 보안 설정정보를 인가받고 유입된 패킷을 미러링받아 감시하는 SDS(Self-Defending System: 16)로 구성된다.

본 발명의 일실시예에 따른 지능형 보안 네트워킹 시스템은 포함된 NFV 오케스트레이션을 수행할 수 있게 하며, 이를 통해 네트워크 기능의 보안 서비스 전환이 빠르게 이루어짐으로써 장비의 운용과 관리가 최적상태로 유지될 수 있도록 하며 매우 다이나믹한 서비스 체이닝이 가능하다.

본 발명의 일실시예에 따른 지능형 보안 네트워킹 시스템은 소프트웨어 정의 네트워킹 망(SDN) 환경의 IDC 센터내 구성으로 이루어지며, IDC 센터는 Argos system(2)과 Legacy system(4)으로 이루어지며, Argos system내에 구성된 오픈플로우 스위치(10)에 SCS(12), CPS(14), SDS(16), firewall(18), IDS(20), IPS(22)가 병렬 구조로 접속되어져 있으며, 상기 SCS, CPS, SDS, firewall, IDS, IPS는 L2를 매개하여 OCS 및 DB와 접속되어져 있다.

즉, 상기 OCS는 상기 SCS, CPS, SDS, firewall, IDS, IPS와 연동되어 네트워크 기능 가상화와 서비스 체이닝을 수행한다.

이를 위해, 본 발명의 일실시예에 따른 지능형 보안 네트워킹 시스템은 소프트웨어 정의 네트워킹 망(SDN)의 노드에서 수행되는 지능형 보안 네트워킹 환경에서,

a) VTN 정보를 설정하는 과정과;

b) VTN별 보안 서비스 정보를 설정하는 과정과;

c) 네트워크로 유입된 패킷을 감시하는 과정과;

d) 보안 정책 적용여부를 판단하는 과정과;

e) 서비스 체이닝을 통한 서비스 재구성 과정을 포함하여 이루어진 처리를 수행한다.

도 3은 본 발명의 일실시예에 따른 지능형 보안 네트워킹 시스템을 통한 VTN 정보설정상태를 도시한 도면이다.

이를 참조하면, 본 발명의 일실시예에 따른 지능형 보안 네트워킹 시스템을 통해 IDC 센터 관리자는 도 2의 a) 과정인 VTN 정보 설정을 수행할 수 있는 바, IDC 센터 관리자가 상기 OCS(OrChestration system)에 VTN 정보 설정을 수행한다.

따라서, 상기 OCS(OrChestration system)가 VTN의 이름이나 설명을 입력받고, OCS(OrChestration system)가 IP 또는 Mac 또는 VLAN과 같은 VTN 식별방식을 입력받고, OCS(OrChestration system)가 VTN 내의 호스트 서버의 IP나 Mac 또는 VLAN 정보를 입력받는 과정을 거친다.

도 4 및 도 5는 본 발명의 일실시예에 따른 지능형 보안 네트워킹 시스템을 통한 보안서비스 설정상태를 도시한 도면이다.

이를 참조하면, 본 발명의 일실시예에 따른 지능형 보안 네트워킹 시스템을 통해 IDC 센터 관리자는 도 2의 b) 과정인 VTN별 보안 서비스 정보 설정을 수행할 수 있는 바, IDC 센터 관리자가 상기 OCS(OrChestration system)에 VTN 보안 서비스 정보 설정을 수행한다.

따라서, IDC 센터 관리자가 상기 OCS(OrChestration system)에 VTN 보안 서비스 정보 설정을 수행하고, 상기 OCS(OrChestration system)는 CPS(Chainning Pool System)에 복수의 VTN에 대해 각각 보안 서비스 기능을 할당한다.

또한, 상기 OCS(OrChestration system)는 상기 CPS(Chainning Pool System)에 보안 이상신호 발생시 대응 정책을 설정한다.

VTN별 보안 서비스의 정책 수립 및 설정은 도 4b에 도시된 바와 같이, 평시에는 “OFS-FW-OFS-목적지”와 같은 보안 서비스 경로 처리를 수행하고, 트래픽이 증가하게 되면 오토 스케일링(auto-scaling)을 통해 “OFS-LB-FW(또는 다른 FW)-OFS-목적지”와 같은 보안 서비스 경로를 추출하도록 설정 가능하다.

또한, 이상 패킷이 감지되면 “OFS1-FW-IPS-OFS3-목적지”와 같은 보안 서비스 경로를 추출하도록 설정 가능하며, 트래픽 증가 및 이상 패킷이 동시에 감지되면 “OFS-LB-FW(또는 다른 FW)-IPS(또는 다른 IPS)-OFS-목적지”와 같은 보안 서비스 경로를 추출하도록 설정 가능하다.

도 6은 본 발명의 일실시예에 따른 지능형 보안 네트워킹 시스템의 보안서비스 적용상태를 도시한 도면이다.

이를 참조하면, 본 발명의 일실시예에 따른 지능형 보안 네트워킹 시스템은 선행 과정에서 IDS 센터 관리자가 OCS(OrChestration system)를 통해 VTN 정보의 설정이후, VTN 정보와 VTN별 보안 서비스 설정정보를 SDS(Self-Defending System) 및 SCS(SDN Controller System) 및 CPS(Chainning Pool System)에 적용한다.

SCS(SDN Controller System)은 보안 서비스를 VTN별 경로정보를 오픈 플로우 스위치에 적용시킬 수 있으며, 인터넷에서 유입된 패킷은 CPS(Chainning Pool System)내의 보안 서비스를 경유하여 목적지 노드의 호스트에 도달하게 된다.

또한, SDS(Self-Defending System)는 인터넷을 통해 유입된 모든 데이터 패킷을 미러링받아서 패킷 감시를 수행하는 수단이다.

도 7 및 도 8은 본 발명의 일실시예에 따른 지능형 보안 네트워킹 시스템을 통한 침입감지 모니터링상태를 도시한 도면이다.

이를 참조하면, 본 발명의 일실시예에 따른 지능형 보안 네트워킹 시스템을 통한 침입감지 모니터링은 SCS(SDN Controller System)은 보안 서비스를 VTN별 경로정보를 오픈 플로우 스위치에 적용시키는 것으로, OCS(OrChestration system)를 통해 침입감지 모니터링이 이루어진다.

OCS(OrChestration system)는 SDS(Self-Defending System) 및 SCS(SDN Controller System) 및 CPS(Chainning Pool System)로부터 트래픽 및 리소스 정보를 수신받아 트래픽과 리소스의 이상유무를 판단한다.

또한, OCS(OrChestration system)는 SDS(Self-Defending System)로부터 패킷데이터를 미러링하여 침입감지에 대한 판단을 수행하는 바, 트래픽이 증가하거나 이상 징후가 포착되면 상기 IDC 센터의 관리자에게 이상 징후 포착신호를 송신한다.

보다 상세하게는, 상기 OCS(OrChestration system)는 SDS(Self-Defending System) 및 SCS(SDN Controller System) 및 CPS(Chainning Pool System)로부터 이벤트 신호를 수신하여 저장하고 침입감지를 판단하며, 침입 감지시 서비스 체이닝 알고리즘을 호출한다.

그리고, 상기 OCS(OrChestration system)는 트래픽/리소스 정보를 수신하여 임계치 초과여부를 판단하여 초과시 서비스 체이닝 알고리즘을 호출하고, 보안 서비스 현황정보를 수신하여 보안 서비스 노드정보를 현황화한다.

도 9, 도 10, 도 11, 도 12 및 도 13은 본 발명의 일실시예에 따른 지능형 보안 네트워킹 시스템을 통한 보안서비스 적용상태를 구체화한 도면이다.

이를 참조하면, 본 발명의 일실시예에 따른 지능형 보안 네트워킹 시스템은 보안서비스가 적용되지 않는 평시와, 보안 서비스 적용시로 구분되고, 보안 서비스가 적용되지 않는 평시에는 “OFS-FW-OFS-목적지”와 같은 보안 서비스 경로 처리를 수행한다.

만약, 보안 서비스 정책을 적용하여 트래픽 증가가 감지된 경우라면, 상기 OCS(OrChestration system)는 트래픽/리소스 정보를 수신하여 임계치 초과여부를 판단하여 초과시 서비스 체이닝 알고리즘을 호출하고, 보안 서비스 현황정보를 수신하여 최적의 보안 서비스 노드정보를 추출한다.

바람직하게, 트래픽 증가시에는 오토 스케일링(auto-scaling)을 통해 “OFS-LB-FW(또는 다른 FW)-OFS-목적지”와 같은 보안 서비스 경로를 추출한다.

한편, 상기 OCS(OrChestration system)는 트래픽/리소스 정보 사용량 및 이상징후 보안 이벤트 신호를 수신하고, 보안 서비스 현황을 체크하여 Flood 유형 또는 Dos 유형, SYN 유형인지, 단순 서비스 트래픽 증가인지 등의 공격 유형을 판단할 수 있다.

이상 징후에 대한 공격 유형을 판단한 후, 상기 OCS(OrChestration system)는 보안 서비스 경로를 도출할 수 있는 바, 예컨대 트래픽 증가 및 이상 패킷이 동시에 감지되면 “OFS-LB-FW(또는 다른 FW)-IPS(또는 다른 IPS)-OFS-목적지”와 같은 보안 서비스 경로를 추출할 수 있다.

한편, 상기 OCS(OrChestration system)는 VTN별 보안 서비스 생성을 CPS로 요청하여 가상머신을 생성하여, 평시에 필요한 보안서비스는 Running 상태로 유지되게 하며, 이상징후 발생시 필요한 보안 서비스는 IDLE 상태로 유지되게 관리한다.

도 14를 참조하면, 서비스 체이닝 리스트 경로 설정 핵심 알고리즘을 나타낸다.

보안공격의 강도나 트랙픽의 강도에 따라 SDN 네트워크의 방어 능력을 향상시키기 위해 동적으로 서비스 체인 리스트를 구성하는 최적화 알고리즘을 개발하였다. 즉, 도 14에서 보여 진 바와 같이, flow 2를 처리하는 서비스 체이닝 도메인 #1에 위치한 가상 보안 응용 서비스들의 처리 용량이 한계에 이른 상황에서 고강도 보안 공격 혹은 트래픽이 flow 1을 통해 SDN으로 유입되는 경우를 가정한다. 이때, flow 1을 서비스 체이닝 도메인 #2에 위치한 가상 보안 응용 서비스(vLB)를 이용하여 처리하도록 서비스 체인 리스트 경로를 설정함(Service Chain Table 참조)으로써 SDN의 서비스 처리율을 최대화하였다.

도 14에서 OFSW_1의 서비스 체인 테이블을 살펴보면, 보안플랫폼 정보에는 이상 트래픽유형과, 물리포트, 송신주소, 착신주소 항목을 포함하며(그러나 이에 제한되지 않음), Count항목과 Actions 항목을 구비하고 있다.

OFSW_2의 서비스 체인 테이블을 살펴보면, 보안플랫폼 정보에는 이상 트래픽유형과, 물리포트, 송신주소, 착신주소 항목을 포함하며(그러나 이에 제한되지 않음), Count항목과 Actions 항목을 구비하고 있다.

도 14에서 고강도 보안 공격 혹은 트래픽 상황에서의 서비스 체인 리스트 경로 설정이 예시로 도시되고 있다. 그러나 이는 예시일 뿐 보안 공격의 강도나 트래픽의 강도에 따라 SDN네트워크의 방어 능력을 향상시키기 위해 공격적으로 서비스 체인 리스트를 구성화하는 최적화 알고리즘을 통해 적절한 처리과정을 수행하여(상기 테이블외에 별도의 항목이 추가될 수 있다. 예를 들면 보안 공격의 강도를 Counts 항목과 별도로 물리포트, 착신주소, 송신주소를 중점적으로 설정하거나(setting) 또는 감지(detect)하여 이후 처리를 수행하도록 최적화 알고리즘이 구성될 수 있다). 또한 최적화 알고리즘은 하나 또는 두 개 이상의 항목을 병행하여 순차적으로 혹은 교차하여 감지한 후 SDN의 서비스 처리율을 최대화 할 수 있다. 물론 이 과정에서 SDN의 서비스 처리율을 향상시키기 위하여 처리후의 비율을 피드백 받아서 시간 전후를 비교하여 비교결과를 통해 다시 서비스 처리율이 높은쪽으로 최적화 알고리즘이 구현될 수 있다. 또한 상기 테이블에서 이상트래픽 유형의 종류를 다양화하고 적절한 다른 세팅을 할 수도 있는데, 이때 도 14에서 도시된 바와 같이, 서비스 체이닝 도메인(service chainging domain)에 따라 각각의 서비스 체이닝 도메인을 감지하여 탄력적으로 서비스 체인 리스트 경로를 설정할 수 있음은 물론 가능하다(즉 flow 1, flow 2외에 flow3 이상 도 가능하다).

본 발명에 의하면, SDN 망에서 제공하는 VTN(Virtual Tenant Network) 별로 사용자 맞춤형 가상 응용 보안 체이닝 서비스 제공 가능하다.

또한, 패쇄망 구조에서 클라우드 연결망에 대한 안전한 네트워크 동적 서비스 보호 환경을 구축 제공함으로써 NFV/SDN 조기 상용화 및 활성화에 기여하게 된다.

또한, 자가방어 능동 대응 기술은 관리자가 망을 자동으로 관리하는 편리함을 제공함과 동시에 사이버 공격이나 장애에 즉각적으로 대응함으로써 운용 비용 절감이 가능하다.

또한, NFV와 SDN의 결합은 정보 보호 응용뿐만 아니라 다양한 모든 네트워크 서비스 분야에 장비 기능 가상화와 서비스 체이닝 기술을 적용할 수 있기 때문에 향후 기술적 파급력이 매우 크다.

따라서, 클라우드 데이터 센터 가상 보안 서비스 분야, 폐쇄망 운영 정부 기관 보안 분야(행정안전부, 기무사, 경찰, 국정원 등 주요 기관망 제공자), 일반 엔터프라이즈 보안 장비, CDN/인터넷 방송 등과 같은 고성능/고강도의 보안 서비스가 요구되는 분야 등에 응용할 수 있다.

한편, 본 발명의 실시예에 따른 지능형 보안 네트워킹 시스템은 단지 상기한 실시예에 한정되는 것이 아니라 그 기술적 요지를 이탈하지 않는 범위내에서 다양한 변경이 가능하다.

Claims (7)

1. 소프트웨어 정의 네트워킹 망(SDN)의 노드에서 수행되는 지능형 보안 네트워킹 방법에 있어서,

   a) VTN(Virtual Tenant Network) 정보를 설정하는 과정과;

   b) VTN별 보안 서비스 정보를 설정하는 과정과;

   c) 네트워크로 유입된 패킷을 감시하는 과정과;

   d) 보안 정책 적용여부를 판단하는 과정과;

   e) 서비스 체이닝을 통한 서비스 재구성 과정을 포함하여 이루어진 것을 특징으로 하는 지능형 보안 네트워킹 방법.
2. 제 1항에 있어서,

   상기 a) 과정은,

   OCS(OrChestration system)가 VTN의 이름이나 설명을 입력받는 과정과;

   OCS(OrChestration system)가 IP 또는 Mac 또는 VLAN과 같은 VTN 식별방식을 입력받는 과정과;

   OCS(OrChestration system)가 VTN 내의 호스트 서버의 IP나 Mac 또는 VLAN 정보를 입력받는 과정을 포함하여 이루어진 것을 특징으로 하는 지능형 보안 네트워킹 방법.
3. 제 1항에 있어서,

   상기 b) 과정은,

   CPS(Chainning Pool System)에 복수의 VTN에 대해 각각 보안 서비스 기능을 할당하는 과정과;

   CPS(Chainning Pool System)에 보안 이상신호 발생시 대응 정책을 설정하는 과정을 포함하여 이루어진 것을 특징으로 하는 지능형 보안 네트워킹 방법.
4. 제 1항에 있어서,

   상기 c) 과정은,

   OCS(OrChestration system)가 SDS(Self-Defending System) 및 SCS(SDN Controller System) 및 CPS(Chainning Pool System)로부터 이벤트 신호를 수신하여 저장하고 침입감지를 판단하며, 침입 감지시 서비스 체이닝 알고리즘을 호출하는 과정과;

   트래픽/리소스 정보를 수신하여 임계치 초과여부를 판단하여 초과시 서비스 체이닝 알고리즘을 호출하는 과정과;

   보안 서비스 현황정보를 수신하여 보안 서비스 노드정보를 현황화하는 과정을 포함하여 이루어진 것을 특징으로 하는 지능형 보안 네트워킹 방법.
5. 제 1항에 있어서,

   상기 d) 과정은,

   OCS(OrChestration system)가 VTN별 보안 서비스 생성을 CPS로 요청하여 가상머신을 생성하는 과정과;

   평시에 필요한 보안서비스는 Running 상태로 유지되게 하며,

   이상징후 발생시 필요한 보안 서비스는 IDLE 상태로 유지되게 관리하는 과정이 더 포함된 것을 특징으로 하는 지능형 보안 네트워킹 방법.
6. 제 1항에 있어서,

   상기 e) 과정은,

   OCS(OrChestration system)가 서비스 체이닝을 통해 최적의 보안 서비스 경로를 도출하는 과정인 것을 특징으로 하는 지능형 보안 네트워킹 방법.
7. IDC 센터 관리자의 VTN 및 VTN별 보안 설정값을 인가받아 등록하고, VTN 및 VTN별 보안 설정정보를 CPS 및 SCS 및 SDS에 적용하며, 이상징후 감지신호를 인가받아 서비스 체이닝을 수행하고 보안 서비스 경로를 도출해내는 OCS와;

   상기 OCS로부터 VTN 및 VTN별 보안 설정정보를 인가받아 VTN별 경로정보를 오픈 플로우 스위치에 적용시키는 SCS와;

   상기 OCS로부터 VTN 및 VTN별 보안 설정정보를 인가받고 보안서비스 생성신호를 인가받아 보안 서비스 가상머신을 생성하고 인터넷을 통해 유입된 패킷을 가상머신을 구동하여 보안서비스 현황을 체크하는 CPS와;

   상기 OCS로부터 VTN 및 VTN별 보안 설정정보를 인가받고 유입된 패킷을 미러링받아 감시하는 SDS로 구성된 것을 특징으로 하는 지능형 보안 네트워킹 시스템.

Images