[go: up one dir, main page]

KR101429107B1 - Security system collecting sub-domain name and operating method thereof - Google Patents

Security system collecting sub-domain name and operating method thereof Download PDF

Info

Publication number
KR101429107B1
KR101429107B1 KR1020120130390A KR20120130390A KR101429107B1 KR 101429107 B1 KR101429107 B1 KR 101429107B1 KR 1020120130390 A KR1020120130390 A KR 1020120130390A KR 20120130390 A KR20120130390 A KR 20120130390A KR 101429107 B1 KR101429107 B1 KR 101429107B1
Authority
KR
South Korea
Prior art keywords
packet
dns
domain name
subdomain
name
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020120130390A
Other languages
Korean (ko)
Other versions
KR20140063245A (en
Inventor
임진우
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020120130390A priority Critical patent/KR101429107B1/en
Publication of KR20140063245A publication Critical patent/KR20140063245A/en
Application granted granted Critical
Publication of KR101429107B1 publication Critical patent/KR101429107B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/30Managing network names, e.g. use of aliases or nicknames
    • H04L61/3015Name registration, generation or assignment
    • H04L61/3025Domain name generation or assignment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 전자 통신에 대한 것으로서, 좀 더 구체적으로는 보안 장치 및 그것의 동작 방법에 관한 것이다. 본 발명의 실시 예에 따른 보안 장치의 동작 방법은 복수의 호스트 컴퓨터들과 인터넷 망 사이에서 통신되는 패킷이 DNS(Domain Named Server) 서버로부터 전송되는 DNS 응답 패킷인지 여부를 판별하고, 해당 패킷이 DNS 응답 패킷일 때 DNS 응답 패킷에 포함된 서브 도메인 네임이 내부 저장된 상위 도메인 네임에 대응하는지 판별하여 해당 서브 도메인 네임을 도메인 네임 테이블에 업데이트하고, 해당 패킷이 DNS 응답 패킷이 아닐 때 해당 패킷에 포함된 서브 도메인 네임이 도메인 네임 테이블 내의 서브 도메인 네임들 중 어느 하나와 일치하는지 여부를 판별하여 해당 패킷을 차단하는 것을 포함한다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to electronic communication, and more particularly to a security device and a method of operation thereof. A method of operating a security device according to an embodiment of the present invention determines whether a packet communicated between a plurality of host computers and an Internet network is a DNS response packet transmitted from a DNS (Domain Named Server) server, It is determined whether the subdomain name included in the DNS response packet corresponds to the internally stored upper domain name, and the corresponding subdomain name is updated in the domain name table. When the corresponding packet is not a DNS response packet, Determining whether the subdomain name matches any of the subdomain names in the domain name table, and blocking the corresponding packet.

Description

서브 도메인 네임을 수집하는 보안 장치 및 그것의 동작 방법{SECURITY SYSTEM COLLECTING SUB-DOMAIN NAME AND OPERATING METHOD THEREOF}TECHNICAL FIELD [0001] The present invention relates to a security device for collecting a subdomain name and a method of operating the security device.

본 발명은 전자 통신에 대한 것으로서, 좀 더 구체적으로는 보안 장치 및 그것의 동작 방법에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to electronic communication, and more particularly to a security device and a method of operation thereof.

인터넷 상에서 도메인 네임(Domain Name)을 관리하는 시스템으로서 도메인 네임 시스템(DNS: Domain Name System)이 이용되고 있다. 이를 이용하면, 도메인 네임과 해당 서버 컴퓨터의 아이피 주소(Internet Protocol Address)를 맵핑(mapping)시켜 DNS 서버(server)에 등록한 상태에서, 호스트 컴퓨터(예를 들면, 클라이언트 컴퓨터)의 사용자는 아이피 주소를 입력할 필요 없이 도메인 네임을 입력하여 도메인 네임에 대응하는 아이피 주소가 무엇인지를 DNS 서버에 먼저 요청하고, DNS 서버로부터 해당 아이피 주소를 제공받아, 아이피 주소가 가리키는 서버 컴퓨터에 접속할 수 있게 된다. 도메인 네임 시스템을 이용함으로써, 기억하기 힘든 아이피 주소 대신에 도메인 네임을 입력함으로써 해당 서버 컴퓨터에 접속할 수 있다.A Domain Name System (DNS) is used as a system for managing a domain name on the Internet. In this case, the domain name and the IP address of the server computer are mapped and registered in the DNS server. In this state, the user of the host computer (for example, client computer) It is possible to input a domain name without first inputting the IP address corresponding to the domain name to the DNS server first and to receive the corresponding IP address from the DNS server and to access the server computer indicated by the IP address. By using the domain name system, you can connect to the server computer by entering the domain name instead of the hard-to-remember IP address.

도메인 네임의 종류로서, 상위(upper) 도메인 네임(또는, 와일드 카드 도메인 네임)과 서브 도메인 네임이 존재한다. 하나의 상위 도메인 네임(예를 들면, *.secui.com)에는 복수의 서브 도메인 네임들(예를 들면, secui.com, cafe.secui.com, mobile.cafe.secui.com 등)이 대응한다. 상위 도메인 네임은 복수의 서브 도메인 네임들에 대응하는 개념적인 도메인 네임을 의미하는 것으로서 해당 웹 페이지를 가지지 않을 수 있다. 서브 도메인 네임들 각각은 실제 사용되는 도메인 네임을 의미하는 것으로서 해당 웹 페이지를 가진다. 도메인 네임을 수집하고자 할 때, 각 상위 도메인 네임에 대응하는 되도록 많은 서브 도메인들을 수집하는 것이 요구된다.As the kind of the domain name, there exists an upper domain name (or a wildcard domain name) and a subdomain name. A plurality of subdomain names (e.g., secui.com, cafe.secui.com, mobile.cafe.secui.com, etc.) correspond to one parent domain name (for example, * .secui.com) . The parent domain name means a conceptual domain name corresponding to a plurality of sub domain names and may not have a corresponding web page. Each of the subdomain names means a domain name actually used and has a corresponding web page. When collecting domain names, it is required to collect as many subdomains as possible corresponding to each higher domain name.

한편, 하나의 서브 도메인 네임에는 복수의 아이피 주소들이 대응할 수 있다. 예를 들면, 하나의 서브 도메인 네임에 대응하는 웹 사이트를 각각 제공하는 복수의 서버 컴퓨터들이 운용될 수 있다. 아이피 주소를 수집하고자 할 때, 하나의 서브 도메인 네임에 대응하는 되도록 많은 아이피 주소들을 수집하는 것이 요구된다.On the other hand, a plurality of IP addresses can correspond to one subdomain name. For example, a plurality of server computers each providing a website corresponding to one subdomain name can be operated. When collecting IP addresses, it is required to collect as many IP addresses as possible corresponding to one subdomain name.

본 발명의 목적은 상위 도메인 네임에 대응하는 서브 도메인 네임들을 효율적으로 수집하고, 수집된 서브 도메인 네임들을 이용하여 인터넷 상에서 통신되는 패킷을 효율적으로 관리하는 보안 장치 및 그것의 동작 방법을 제공하는 것이다.An object of the present invention is to provide a security apparatus and an operation method thereof that efficiently collects subdomain names corresponding to a parent domain name, and efficiently manages packets communicated on the Internet using collected subdomain names.

본 발명의 실시 예에 따른 보안 장치의 동작 방법은 복수의 호스트 컴퓨터들과 인터넷 망 사이에서 통신되는 패킷(packet)이 DNS(Domain Named Server) 서버로부터 상기 인터넷 망을 통해 전송되는 DNS 응답 패킷인지 여부를 판별하는 단계; 상기 패킷이 DNS 응답 패킷일 때, 상기 DNS 응답 패킷에 포함된 서브 도메인 네임을 추출하고 상기 추출된 서브 도메인 네임이 내부 저장된 상위 도메인 네임에 대응하는 경우 상기 서브 도메인 네임을 도메인 네임 테이블에 업데이트하는 단계; 및 상기 패킷이 DNS 응답 패킷이 아닐 때, 상기 패킷에 포함된 서브 도메인 네임이 상기 도메인 네임 테이블 내의 서브 도메인 네임들 중 어느 하나와 일치하는지 여부에 따라 상기 패킷을 차단하는 단계를 포함한다.A method of operating a security device according to an exemplary embodiment of the present invention is a method in which a packet communicated between a plurality of host computers and an Internet network is a DNS response packet transmitted from a Domain Name Server (DNS) server through the Internet network ; Extracting a subdomain name included in the DNS response packet when the packet is a DNS response packet and updating the subdomain name in a domain name table if the extracted subdomain name corresponds to an internally stored upper domain name ; And blocking the packet according to whether the subdomain name included in the packet matches any one of the subdomain names in the domain name table when the packet is not a DNS response packet.

본 발명의 다른 일면은 보안 장치에 관한 것이다. 본 발명의 실시 예에 따른 보안 장치는 인터넷 망에 연결된 복수의 호스트 컴퓨터들을 관리하는 보안 유닛; 상기 복수의 호스트 컴퓨터들과 상기 인터넷 망 사이에서 통신되는 패킷이 DNS 서버로부터 상기 인터넷 망을 통해 전송되는 DNS 응답 패킷인지 여부를 판별하도록 구성되는 스니핑 유닛; 및 상위 도메인 네임이 포함된 도메인 네임 테이블을 저장하는 저장 유닛을 포함한다. 상기 스니핑 유닛은 상기 패킷이 DNS 응답 패킷일 때 상기 패킷에 포함된 서브 도메인 네임이 상기 상위 도메인 네임에 대응하는 경우 상기 서브 도메인 네임을 상기 도메인 네임 테이블에 업데이트하고, 상기 패킷이 DNS 응답 패킷이 아닐 때 상기 서브 도메인 네임이 상기 도메인 네임 테이블 내의 서브 도메인 네임들 중 어느 하나와 일치하는지 여부에 따라 상기 패킷을 차단하도록 구성된다.Another aspect of the present invention relates to a security device. A security device according to an embodiment of the present invention includes a security unit for managing a plurality of host computers connected to the Internet network; A sniffing unit configured to determine whether a packet communicated between the plurality of host computers and the Internet network is a DNS response packet transmitted from the DNS server through the Internet network; And a storage unit for storing a domain name table including a parent domain name. The sniffing unit updates the subdomain name to the domain name table when the subdomain name included in the packet corresponds to the upper domain name when the packet is a DNS response packet, And to block the packet according to whether the subdomain name matches any of the subdomain names in the domain name table.

본 발명의 실시 예에 따르면, 상위 도메인 네임에 대응하는 서브 도메인 네임들을 효율적으로 수집하고, 수집된 서브 도메인 네임들을 이용하여 인터넷 상에서 통신되는 패킷을 효율적으로 관리하는 보안 장치 및 그것의 동작 방법이 제공된다.According to an embodiment of the present invention, there is provided a security apparatus and an operation method thereof, which effectively collects subdomain names corresponding to a parent domain name, efficiently manages packets communicated on the Internet using collected subdomain names do.

도 1은 본 발명의 실시 예에 따른 보안 장치를 포함하는 네트워크를 보여주는 블록도이다.
도 2는 본 발명의 실시 예에 따른 보안 장치의 동작 방법을 보여주는 순서도이다.
도 3은 DNS 응답 패킷의 헤더의 데이터 포맷을 예시적으로 보여주는 도면이다.
도 4는 본 발명의 다른 실시 예에 따른 보안 장치의 동작 방법을 보여주는 순서도이다.
도 5는 저장 유닛에 저장된 도메인 네임 테이블을 보여주는 도면이다.
도 6은 본 발명의 또 다른 실시 예에 따른 보안 장치의 동작 방법을 보여주는 순서도이다.
도 7은 DNS 쿼리 패킷을 획득하는 방법을 보여주는 순서도이다.
도 8은 본 발명의 다른 실시 예에 따른 보안 장치의 동작 방법을 보여주는 순서도이다.
도 9는 노멀 패킷의 데이터 포맷을 개념적으로 보여주는 도면이다.
도 10은 본 발명의 또 다른 실시 예에 따른 보안 장치의 동작 방법을 보여주는 순서도이다.1 is a block diagram illustrating a network including a security device according to an embodiment of the present invention.
2 is a flowchart illustrating an operation method of a security device according to an embodiment of the present invention.
3 is an exemplary diagram showing a data format of a header of a DNS response packet.
4 is a flowchart illustrating an operation method of a security device according to another embodiment of the present invention.
5 is a view showing a domain name table stored in the storage unit.
6 is a flowchart illustrating an operation method of a security apparatus according to another embodiment of the present invention.
Figure 7 is a flow chart illustrating a method for obtaining a DNS query packet.
8 is a flowchart illustrating an operation method of a security device according to another embodiment of the present invention.
FIG. 9 is a diagram conceptually showing a data format of a normal packet.
10 is a flowchart illustrating an operation method of a security device according to another embodiment of the present invention.

본 발명의 이점 및 특징, 그리고 그것을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 통해 설명될 것이다. 그러나 본 발명은 여기에서 설명되는 실시 예들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 단지, 본 실시 예들은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 본 발명의 기술적 사상을 용이하게 실시할 수 있을 정도로 상세히 설명하기 위하여 제공되는 것이다.BRIEF DESCRIPTION OF THE DRAWINGS The advantages and features of the present invention, and how to accomplish it, will be described with reference to the embodiments described in detail below with reference to the accompanying drawings. However, the present invention is not limited to the embodiments described herein but may be embodied in other forms. The embodiments are provided so that those skilled in the art can easily carry out the technical idea of the present invention to those skilled in the art.

명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "간접적으로 연결"되어 있는 경우도 포함한다. 명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when a part is referred to as being "connected" to another part, it includes not only "directly connected" but also "indirectly connected" . Throughout the specification, when an element is referred to as "comprising ", it means that it can include other elements as well, without excluding other elements unless specifically stated otherwise.

도 1은 본 발명의 실시 예에 따른 보안 장치(110)를 포함하는 네트워크(100)를 보여주는 블록도이다.1 is a block diagram illustrating a network 100 including a security device 110 in accordance with an embodiment of the present invention.

도 1을 참조하면, 네트워크(100)는 복수의 호스트 컴퓨터들(PC1~PCk), 보안 장치(110), 인터넷 망(120), DNS(Domain Name System) 서버(130) 및 복수의 서버 컴퓨터들(141~14n)을 포함한다.1, a network 100 includes a plurality of host computers PC1 to PCk, a security device 110, an Internet network 120, a DNS (Domain Name System) server 130, (141 to 14n).

복수의 호스트 컴퓨터들(PC1~PCk)은 보안 장치(110)을 통해 인터넷 망(120)에 연결된다. 복수의 호스트 컴퓨터들(PC1~PCk)은 사용자로부터 서브 도메인 네임을 입력받고, 서브 도메인 네임에 대응하는 아이피 주소를 DNS 서버(130)에 요청하고, DNS 서버(130)로부터 해당 아이피 주소를 제공받고, 복수의 서버 컴퓨터들(141~14n) 중 제공받은 아이피 주소에 대응하는 서버 컴퓨터에 접속할 수 있다.The plurality of host computers PC1 to PCk are connected to the Internet network 120 through the security device 110. [ The plurality of host computers PC1 to PCk receives a subdomain name from a user, requests an IP address corresponding to the subdomain name from the DNS server 130, receives the corresponding IP address from the DNS server 130 , It is possible to connect to the server computer corresponding to the provided IP address of the plurality of server computers 141 to 14n.

먼저, 복수의 호스트 컴퓨터들(PC1~PCk) 중 어느 하나, 예를 들면 제 1 호스트 컴퓨터(PC1)는 서브 도메인 네임에 대응하는 아이피 주소(Internet Protocol Address)를 요청하는 DNS 쿼리 패킷을 DNS 서버(130)에 전송한다. 그리고, 제 1 호스트 컴퓨터(PC1)는 DNS 서버(130)로부터 제공된 DNS 응답 패킷을 수신하고 DNS 응답 패킷에 포함된 아이피 주소를 추출한다. 추출된 아이피 주소는 복수의 서버 컴퓨터들(141~14n) 중 어느 하나를 가리킨다. 제 1 호스트 컴퓨터(PC1)는, 이후에 DNS 응답 패킷으로부터 얻어진 아이피 주소로서 정의된 목적지 아이피 주소 및 제 1 호스트 컴퓨터(PC1)에 대응하는 아이피 주소로서 정의된 출발지 아이피 주소를 포함하는 노멀 패킷을 인터넷 망(120)을 통해 전송하고, 제 1 호스트 컴퓨터(PC1)에 대응하는 아이피 주소로서 정의된 목적지 아이피 주소 및 DNS 응답 패킷으로부터 얻어진 아이피 주소로서 정의된 출발지 아이피 주소를 포함하는 노멀 패킷을 수신함으로써 해당 서버 컴퓨터에 접속할 것이다.First, any one of the plurality of host computers PC1 to PCk, for example, the first host computer PC1, transmits a DNS query packet requesting an IP address corresponding to the subdomain name to the DNS server 130). The first host computer PC1 receives the DNS response packet provided from the DNS server 130 and extracts the IP address included in the DNS response packet. The extracted IP address indicates any one of the plurality of server computers 141 to 14n. The first host computer PC1 transmits a normal packet including a destination IP address defined as an IP address obtained from the DNS response packet and a source IP address defined as an IP address corresponding to the first host computer PC1, Receives the normal packet including the destination IP address defined as the IP address corresponding to the IP address corresponding to the first host computer PC1 and the IP address obtained from the DNS response packet, I will connect to the server computer.

보안 장치(110)는 복수의 호스트 컴퓨터들(PC1~PCk)을 관리하도록 구성된다. 보안 장치(110)는 보안 유닛(111), 스니핑 유닛(112) 및 저장 유닛(113)을 포함한다.The security device 110 is configured to manage a plurality of host computers PC1 to PCk. The security device 110 includes a security unit 111, a sniffing unit 112, and a storage unit 113.

보안 유닛(111)은 기 설정된 보안 정책들에 따라 복수의 호스트 컴퓨터들(PC1~PCk)에 송수신되는 패킷들을 관리하도록 구성될 것이다. 실시 예로서, 보안 유닛(111)은 인터넷 망(120)을 통해 복수의 호스트 컴퓨터들(PC1~PCk)로 전송되는 패킷들을 모니터링하고, 기 설정된 보안 정책들에 따라 패킷들 중 전부 또는 일부를 차단하도록 구성된다. 또한, 보안 유닛(111)은 복수의 호스트 컴퓨터들(PC1~PCk)로부터 인터넷 망(120)으로 전송되는 패킷들을 모니터링하고, 기 설정된 보안 정책들에 따라 패킷들 중 전부 또는 일부를 차단하도록 구성된다.The security unit 111 may be configured to manage packets transmitted to and received from a plurality of host computers PC1 to PCk according to predetermined security policies. The security unit 111 monitors packets transmitted to the plurality of host computers PC1 through PCk through the Internet network 120 and blocks all or a part of the packets according to predetermined security policies . The security unit 111 is also configured to monitor packets transmitted from the plurality of host computers PC1 to PCk to the Internet network 120 and to block all or a part of the packets according to predetermined security policies .

보안 유닛(111)은 저장 유닛(113)에 저장된 테이블(도 4의 T 참조)의 도메인 네임 정보에 기반하여 복수의 호스트 컴퓨터들(PC1~PCk)과 인터넷 망(120) 사이에서 통신되는 패킷들을 관리한다. 예를 들면, 보안 유닛(111)은 복수의 호스트 컴퓨터들(PC1~PCk)과 인터넷 망(120) 사이에서 통신되는 패킷의 서브 도메인 네임이 테이블 내의 서브 도메인 네임과 일치할 때 해당 패킷을 차단하도록 구성된다. 일치하지 않을 때, 해당 패킷은 허용될 것이다.The security unit 111 stores packets communicated between the plurality of host computers PC1 to PCk and the Internet network 120 based on the domain name information of the table stored in the storage unit 113 Management. For example, when the subdomain name of a packet communicated between a plurality of host computers PC1 to PCk and the Internet network 120 matches the subdomain name in the table, the security unit 111 blocks the packet . When they do not match, the packet will be allowed.

스니핑 유닛(112)은 호스트 컴퓨터들(PC1~PCk)과 DNS 서버(130) 사이에서 통신되는 패킷들에 기반하여 상위 도메인 네임에 대응하는 서브 도메인 네임들을 수집하도록 구성된다. 즉, 스니핑 유닛(112)은 해당 패킷이 DNS 서버(130)로부터 인터넷 망(120)을 통해 복수의 호스트 컴퓨터들(PC1~PCk)에 전송되는 DNS 응답 패킷인지 여부를 판별하고, DNS 응답 패킷으로부터 서브 도메인 네임을 추출하도록 구성된다.The sniffing unit 112 is configured to collect subdomain names corresponding to the parent domain names based on packets communicated between the host computers PC1 to PCk and the DNS server 130. [ That is, the sniffing unit 112 determines whether the packet is a DNS response packet transmitted from the DNS server 130 to the plurality of host computers PC1 to PCk through the Internet network 120, And extract the subdomain name.

스니핑 유닛(112)은 해당 서브 도메인 네임이 상위 도메인 네임에 대응하는지 판별한다. 상위 도메인 네임은 저장 유닛(113)에 미리 저장된다. 실시 예로서, 스니핑 유닛(112)은 해당 서브 도메인 네임과 저장 유닛(113)에 저장된 각 상위 도메인 네임에 대한 문자열 비교를 수행함으로써, 서브 도메인 네임에 대응하는 상위 도메인 네임이 존재하는지 판별한다. 판별 결과에 따라, 스니핑 유닛(112)은 추출된 서브 도메인 네임을 저장 유닛(113)에 저장한다.The sniffing unit 112 determines whether the corresponding subdomain name corresponds to the parent domain name. The upper domain name is stored in the storage unit 113 in advance. As an example, the sniffing unit 112 performs a string comparison of the corresponding subdomain name and each higher-level domain name stored in the storage unit 113 to determine whether there is a higher-level domain name corresponding to the subdomain name. In accordance with the determination result, the sniffing unit 112 stores the extracted subdomain name in the storage unit 113. [

저장 유닛(113)은 상위 도메인 네임들 및 각 상위 도메인 네임에 대응하는 서브 도메인 네임들을 저장한다. 저장 유닛(113)은 각 상위 도메인 네임에 대응하 는 서브 도메인 네임들이 리스팅된 테이블을 저장할 수 있다. 이러한 테이블은 위에서 설명된 바와 같이 스니핑 유닛(112)에 의해 업데이트된다.The storage unit 113 stores upper domain names and subdomain names corresponding to each upper domain name. The storage unit 113 may store a table in which subdomain names corresponding to each parent domain name are listed. This table is updated by the sniffing unit 112 as described above.

본 발명의 실시 예에 따르면, 호스트 컴퓨터들(PC1~PCk)과 DNS 서버(130) 사이에서 통신되는 패킷을 스니핑함으로써, 적어도 호스트 컴퓨터들(PC1~PCk)에 의해 사용되는, 하나의 상위 도메인 네임에 대응하는 모든 서브 도메인 네임들이 수집될 수 있다. 수집된 서브 도메인 네임들은 해당 상위 도메인 네임과 관련하여 저장 유닛(113)에 저장되고, 보안 장치(110)에 의해 사용된다.According to the embodiment of the present invention, by sniffing packets communicated between the host computers PC1 to PCk and the DNS server 130, at least one upper domain name, which is used by the host computers PC1 to PCk Lt; / RTI > may be collected. The collected subdomain names are stored in the storage unit 113 in association with the corresponding upper domain name, and are used by the security device 110.

도 1에서, 보안 유닛(111) 및 스니핑 유닛(112)은 복수의 물리적인 장치들에 의해 구현될 수도 있고, 하나의 물리적인 장치에 의해 구현될 수 있음이 이해될 것이다. 예를 들면, 보안 유닛(111) 및 스니핑 유닛(112) 각각은 소프트웨어(software)를 이용하거나 펌웨어(firmware)를 이용하는 등 다양한 방식들을 이용하여 구현될 수 있다.In FIG. 1, it will be appreciated that the security unit 111 and the sniffing unit 112 may be implemented by a plurality of physical devices and by one physical device. For example, each of the security unit 111 and the sniffing unit 112 may be implemented using various methods, such as using software or using firmware.

DNS 서버(130)는 인터넷 망(120)을 통하여 보안 장치(110) 및 복수의 호스트 컴퓨터들(PC1~PCk)에 연결된다. DNS 서버(130)는 각 호스트 컴퓨터로부터 수신된 DNS 쿼리 패킷에 응답하여 DNS 응답 패킷을 해당 호스트 컴퓨터에 제공하도록 구성된다. DNS 서버(130)는 각 서브 도메인 네임에 대응하는 아이피 주소들에 대한 정보를 저장한다. 저장된 정보에 기반하여, DNS 서버(130)는 DNS 쿼리 패킷 내의 서브 도메인 네임이 어떤 아이피 주소에 대응하는지 검색하고, 요청된 서브 도메인 네임 및 검색된 아이피 주소를 포함하는 DNS 응답 패킷을 인터넷 망(120)을 통해 해당 호스트 컴퓨터에 제공한다.The DNS server 130 is connected to the security device 110 and a plurality of host computers PC1 to PCk via the Internet network 120. [ The DNS server 130 is configured to provide a DNS response packet to the host computer in response to the DNS query packet received from each host computer. The DNS server 130 stores information on IP addresses corresponding to each subdomain name. Based on the stored information, the DNS server 130 searches for a sub-domain name in the DNS query packet corresponding to an IP address, and transmits a DNS response packet including the requested sub-domain name and the retrieved IP address to the Internet 120. [ To the host computer.

제 1 내지 제 n 서버 컴퓨터들(141~14n)은 각각 인터넷 망(120)을 통해 웹 사이트들을 제공한다. 제 1 내지 제 n 서버 컴퓨터들(141~14n)은 각각 서로 다른 아이피 주소들을 가진다.The first to nth server computers 141 to 14n provide web sites through the Internet 120, respectively. The first to nth server computers 141 to 14n have different IP addresses.

도 2는 본 발명의 실시 예에 따른 보안 장치(110)의 동작 방법을 보여주는 순서도이다.2 is a flowchart illustrating an operation method of the security device 110 according to an embodiment of the present invention.

도 1 및 도 2를 참조하면, S110단계에서, 스니핑 유닛(112)은 복수의 호스트 컴퓨터들(PC1~PCk)과 인터넷 망(120) 사이에서 통신되는 패킷을 모니터링한다. 복수의 호스트 컴퓨터들(PC1~PCk)과 DNS 서버(130) 사이에서 송수신되는 패킷은 DNS 패킷이라고 정의된다. 이때, 각 호스트 컴퓨터로부터 DNS 서버(130)에 전송되는 패킷은 DNS 쿼리 패킷으로 정의되고, DNS 서버(130)로부터 각 호스트 컴퓨터에 전송되는 패킷은 DNS 응답 패킷으로 정의된다. 복수의 호스트 컴퓨터들(PC1~PCk)은 인터넷 망(120)을 통해 서버 컴퓨터들(141~14n)과 통신할 수 있다. 복수의 호스트 컴퓨터들(PC1~PCk)과 서버 컴퓨터들(141~14n) 사이에서 송수신되는 패킷은 노멀 패킷으로 정의된다.Referring to FIGS. 1 and 2, in step S110, the sniffing unit 112 monitors packets communicated between the plurality of host computers PC1 through PCk and the Internet network 120. FIG. A packet transmitted and received between a plurality of host computers (PC1 to PCk) and a DNS server 130 is defined as a DNS packet. At this time, a packet transmitted from each host computer to the DNS server 130 is defined as a DNS query packet, and a packet transmitted from the DNS server 130 to each host computer is defined as a DNS response packet. The plurality of host computers PC1 to PCk can communicate with the server computers 141 to 14n via the Internet network 120. [ Packets transmitted and received between a plurality of host computers (PC1 to PCk) and server computers (141 to 14n) are defined as normal packets.

이하, 설명의 편의를 위해 도 2를 참조한 설명에서는 제 1 호스트 컴퓨터(PC1)가 DNS 서버(130)와 DNS 패킷을 송수신하는 경우를 일 예로서 설명한다.Hereinafter, for convenience of description, a case where the first host computer PC1 transmits / receives DNS packets to / from the DNS server 130 will be described as an example.

S120단계에서, 스니핑 유닛(112)은 해당 패킷이 DNS 응답 패킷인지 여부를 판별한다. 즉, 스니핑 유닛(112)은 해당 패킷이 DNS 서버(130)로부터 전송되는 DNS 응답 패킷인지 여부를 판별한다.In step S120, the sniffing unit 112 determines whether the packet is a DNS response packet. That is, the sniffing unit 112 determines whether the packet is a DNS response packet transmitted from the DNS server 130. [

실시 예로서, 해당 패킷이 DNS 응답 패킷인지 여부는 해당 패킷의 헤더에 기반하여 판별될 수 있다. 이는 도 3을 참조하여 더 상세히 설명된다.As an embodiment, whether the packet is a DNS response packet can be determined based on the header of the packet. This is described in more detail with reference to FIG.

만약 해당 패킷이 DNS 응답 패킷인 경우, S130단계가 수행된다.If the packet is a DNS response packet, step S130 is performed.

S130단계에서, 스니핑 유닛(112)은 DNS 응답 패킷으로부터 서브 도메인 네임을 추출한다. DNS 응답 패킷에는 서브 도메인 네임 정보 및 해당 아이피 주소 정보가 포함될 수 있다. 좀 더 구체적으로 설명하면, DNS 응답 패킷은 서브 도메인 네임에 대응하는 아이피 주소를 요청하는 DNS 쿼리 패킷에 응답하여 제공되는 것이고, 따라서 DNS 응답 패킷은 요청된 서브 도메인 네임 및 그것에 대응하는 아이피 주소를 포함할 수 있다.In step S130, the sniffing unit 112 extracts a subdomain name from the DNS response packet. The DNS response packet may include the subdomain name information and the corresponding IP address information. More specifically, the DNS response packet is provided in response to a DNS query packet requesting an IP address corresponding to a subdomain name, so that the DNS response packet includes the requested subdomain name and its corresponding IP address can do.

S140단계에서, 스니핑 유닛(112)은 추출된 서브 도메인 네임이 상위 도메인 네임에 대응하는지 판별한다. 스니핑 유닛(112)은 저장 유닛(113)에 저장된 상위 도메인 네임들 중 추출된 서브 도메인 네임에 대응하는 상위 도메인 네임이 존재하는지 판별한다. 실시 예로서, 스니핑 유닛(112)은 서브 도메인 네임과 각 상위 도메인 네임에 대한 문자열 비교를 수행함으로써 서브 도메인 네임과 상위 도메인 네임의 대응 여부를 판별한다.In step S140, the sniffing unit 112 determines whether the extracted subdomain name corresponds to the parent domain name. The sniffing unit 112 determines whether there is a parent domain name corresponding to the extracted subdomain name among the parent domain names stored in the storage unit 113. [ As an embodiment, the sniffing unit 112 performs a string comparison of the subdomain name and each higher-level domain name to determine whether the subdomain name corresponds to the upper-level domain name.

S150단계에서, 스니핑 유닛(112)은 추출된 서브 도메인 네임을 저장 유닛(113)에 저장한다. 서브 도메인 네임은 해당 상위 도메인 네임과 관련하여 저장될 것이다. 실시 예로서, 저장 유닛(113)은 테이블을 저장하고, 테이블 내에는 상위 도메인 네임 별로 서브 도메인 네임들이 리스트될 수 있다.In step S 150, the sniffing unit 112 stores the extracted subdomain name in the storage unit 113. The subdomain name will be stored in association with the corresponding parent domain name. As an example, the storage unit 113 stores a table, and subdomain names can be listed in the table by the upper domain name.

본 발명의 실시 예에 따르면, 상위 도메인 네임 별로 해당 서브 도메인 네임들이 효율적으로 수집될 수 있다.According to the embodiment of the present invention, the sub domain names can be efficiently collected for each upper domain name.

도 3은 DNS 응답 패킷의 헤더(DNS_HD)의 데이터 포맷을 예시적으로 보여주는 도면이다.3 is an exemplary diagram showing the data format of the header (DNS_HD) of the DNS response packet.

도 3을 참조하면, DNS 응답 패킷의 헤더(DNS_HD)는 제 1 내지 제 3 플래그 정보(11~13), 목적지 아이피 주소(DP) 및 서브 도메인 네임(SDN)를 포함한다. 제 1 플래그 정보(11)는 해당 패킷이 DNS 패킷인지 또는 노멀(normal) 패킷인지 여부를 나타낸다.Referring to FIG. 3, the header (DNS_HD) of the DNS response packet includes first to third flag information 11 to 13, a destination IP address DP, and a subdomain name (SDN). The first flag information 11 indicates whether the packet is a DNS packet or a normal packet.

실시 예로서, 제 1 플래그 정보(11)는 해당 패킷의 출발지 포트(source port)의 아이피 주소일 수 있다. 그리고, 제 1 플래그 정보(11)가 DNS 서버(130)를 가리키는지에 따라 해당 패킷이 DNS 패킷인지 판별될 수 있다.As an example, the first flag information 11 may be the IP address of the source port of the packet. Whether the first flag information 11 indicates the DNS server 130 or not can be determined if the packet is a DNS packet.

목적지 아이피 주소(DP)는 DNS 응답 패킷이 전송될 목적지 포트(destination port), 이 실시 예에서는 호스트 컴퓨터들(PC1~PCk) 중 어느 하나의 아이피 주소이다.The destination IP address DP is an IP address of a destination port to which the DNS response packet is to be transmitted, in this embodiment, the host computers PC1 to PCk.

서브 도메인 네임(SDN)은 DNS 쿼리 패킷에 의해 요청된 서브 도메인 네임에 대한 정보를 의미한다.The subdomain name (SDN) means information about the subdomain name requested by the DNS query packet.

실시 예로서, 제 1 플래그 정보(11), 목적지 아이피 주소(DP), 서브 도메인 네임(SDN)은 DNS 응답 패킷의 헤더(DNS_HD) 중 TCP(Transmission Control Protocol) 헤더에 포함될 수 있다.As an embodiment, the first flag information 11, the destination IP address DP, and the subdomain name SDN may be included in a TCP (Transmission Control Protocol) header among DNS_HDs of DNS response packets.

제 2 플래그 정보(12)는 해당 패킷이 DNS 쿼리 패킷인지 또는 DNS 응답 패킷인지 여부를 나타낸다. 예를 들면, 제 2 플래그 정보(12)는 1 데이터 비트로 구성되고, 제 2 플래그 정보(12)가 논리 상태 "1"이면 해당 패킷이 DNS 응답 패킷이고, 제 2 플래그 정보(12)가 논리 상태 "0"이면 해당 패킷이 DNS 쿼리 패킷임을 의미할 수 있다.The second flag information 12 indicates whether the packet is a DNS query packet or a DNS response packet. For example, if the second flag information 12 is composed of one data bit, and the second flag information 12 is a logical state "1 ", the packet is a DNS response packet and the second flag information 12 is a logical state "0" means that the packet is a DNS query packet.

제 3 플래그 정보(13)는 해당 패킷이 DNS 응답 패킷인 경우 해당 아이피 주소가 존재하는지 여부 및 해당 아이피 주소의 개수를 나타낸다. 아이피 주소(IP)는 DNS 쿼리 패킷에 대응하여 제공된다.The third flag information 13 indicates whether the corresponding IP address is present and the number of corresponding IP addresses when the packet is a DNS response packet. An IP address (IP) is provided corresponding to the DNS query packet.

실시 예로서, 제 2 및 제 3 플래그 정보(12, 13), 그리고 아이피 주소(IP)는 DNS 응답 패킷의 헤더(DNS_HD) 중 DNS 헤더에 포함될 수 있다.As an embodiment, the second and third flag information 12 and 13 and the IP address IP may be included in the DNS header of the DNS response header (DNS_HD) of the DNS response packet.

호스트 컴퓨터들(PC1~PCk)과 인터넷 망(120) 사이에서 통신되는 패킷들이 DNS 응답 패킷인지 여부는 제 1 내지 제 3 플래그 정보(11~13)에 기반하여 판별될 수 있다.Whether the packets communicated between the host computers PC1 to PCk and the Internet network 120 are DNS response packets can be discriminated based on the first to third flag information 11 to 13. [

도 4는 본 발명의 다른 실시 예에 따른 보안 장치(110)의 동작 방법을 보여주는 순서도이다.4 is a flowchart illustrating an operation method of the security device 110 according to another embodiment of the present invention.

도 4를 참조하면, S210단계 내지 S240단계는 도 2의 S110단계 내지 S140단계와 마찬가지로 동작한다. 이하, 중복되는 설명은 생략된다.Referring to FIG. 4, steps S210 to S240 operate in the same manner as steps S110 to S140 in FIG. Hereinafter, a duplicate description will be omitted.

S250단계에서, 서브 도메인 네임이 저장될 때 DNS 응답 패킷에 포함된 아이피 주소도 함께 저장된다. DNS 응답 패킷에는 서브 도메인 네임 및 그것에 대응하는 아이피 주소가 포함되고, 스니핑 유닛(112)은 서브 도메인 네임과 함께 아이피 주소를 저장 유닛(113)에 저장할 수 있다. 아이피 주소는 해당 서브 도메인 네임과 관련하여 저장될 것이다.In step S250, when the subdomain name is stored, the IP address included in the DNS response packet is also stored. The DNS response packet includes the subdomain name and the corresponding IP address, and the sniffing unit 112 can store the IP address together with the subdomain name in the storage unit 113. [ The IP address will be stored in association with the corresponding subdomain name.

도 5는 저장 유닛(113)에 저장된 도메인 네임 테이블(T)을 보여주는 도면이다.FIG. 5 is a diagram showing a domain name table T stored in the storage unit 113. FIG.

도 5를 참조하면, 도메인 네임 테이블(T)은 상위 도메인 네임에 대응하는 서브 도메인 네임들을 포함한다. 도 5에는 하나의 상위 도메인 네임에 대응하는 서브 도메인 네임들만 개시되나, 이는 설명의 편의를 위한 것으로서 도메인 네임 테이블(T)에는 복수의 상위 도메인 네임들이 포함되고, 상위 도메인 네임 별로 서브 도메인 네임들이 리스팅될 것이다.Referring to FIG. 5, the domain name table T includes subdomain names corresponding to a parent domain name. In FIG. 5, only the sub domain names corresponding to one upper domain name are disclosed. However, for convenience of explanation, a plurality of upper domain names are included in the domain name table T, and sub domain names are listed Will be.

또한, 도메인 네임 테이블(T)에는 각 서브 도메인 네임에 대응하는 아이피 주소들이 더 포함될 수 있다. 도 4를 참조하여 설명된 바와 같이, 상위 도메인 네임에 대응하는 서브 도메인 네임이 수집될 때마다, 해당 아이피 주소도 함께 수집되어 도메인 네임 테이블(T)에 업데이트될 수 있다. 아이피 주소들에 더 저장됨에 따라, 보안 유닛(111)은 복수의 호스트 컴퓨터들(PC1~PCk)과 인터넷 망(120) 사이에서 통신되는 패킷들을 효율적으로 관리할 수 있다. 예를 들면, 보안 유닛(111)은 복수의 호스트 컴퓨터들(PC1~PCk)과 인터넷 망(120) 사이에서 통신되는 패킷의 출발지 아이피 주소 또는 목적지 아이피 주소가 도메인 네임 테이블 내의 아이피 주소와 일치할 때 해당 패킷을 차단하고, 일치하지 않을 때 해당 패킷을 허용할 수 있다.In addition, the domain name table T may further include IP addresses corresponding to respective subdomain names. As described with reference to FIG. 4, whenever a subdomain name corresponding to a parent domain name is collected, the corresponding IP address may also be collected and updated in the domain name table T. As further stored in the IP addresses, the security unit 111 can efficiently manage the packets communicated between the plurality of host computers PC1 to PCk and the Internet network 120. [ For example, when the source IP address or the destination IP address of the packet communicated between the plurality of host computers PC1 to PCk and the Internet network 120 matches the IP address in the domain name table It can block the packet and allow the packet when it does not match.

도 6은 본 발명의 또 다른 실시 예에 따른 보안 장치(110)의 동작 방법을 보여주는 순서도이다.6 is a flowchart illustrating an operation method of the security device 110 according to another embodiment of the present invention.

도 2 및 도 6을 참조하면, S310단계에서 스니핑 유닛(112)은 복수의 호스트 컴퓨터들(PC1~PCk)과 인터넷 망(120) 사이에서 통신되는 패킷을 모니터링한다. S320단계에서, 스니핑 유닛(112)은 해당 패킷이 DNS 응답 패킷인지 여부를 판별한다.Referring to FIGS. 2 and 6, in step S310, the sniffing unit 112 monitors packets communicated between the plurality of host computers PC1 to PCk and the Internet network 120. FIG. In step S320, the sniffing unit 112 determines whether the packet is a DNS response packet.

이하, 도 6 및 도 7을 참조한 설명에서, 설명의 편의를 위해 제 1 호스트 컴퓨터(PC1)가 DNS 서버(130)와 패킷을 송수신하는 경우가 일 예로서 설명된다.Hereinafter, for convenience of description, a case where the first host computer PC1 transmits / receives a packet to / from the DNS server 130 will be described as an example in the description with reference to FIG. 6 and FIG.

S330단계에서, 스니핑 유닛(112)은 DNS 응답 패킷에 대응하는 DNS 쿼리 패킷이 전송되었는지 여부가 판별된다. 이를 위해, 스니핑 유닛(112)은 제 1 호스트 컴퓨터(PC1)로부터 DNS 서버(130)에 전송되는 DNS 쿼리 패킷에 대한 정보를 수집한다. 이는 도 7을 참조하여 더 상세히 설명된다.In step S330, the sniffing unit 112 determines whether a DNS query packet corresponding to the DNS response packet has been transmitted. To this end, the sniffing unit 112 collects information about the DNS query packet transmitted from the first host computer PC1 to the DNS server 130. [ This will be described in more detail with reference to FIG.

공격 등의 다양한 목적들로서, DNS 쿼리 패킷이 발생하지 않았음에도 인터넷 망(120)을 통해 호스트 컴퓨터들(PC1~PCk) 중 적어도 하나, 예를 들면, 제 1 호스트 컴퓨터(PC1)로 DNS 응답 패킷이 전송될 수 있다. 이러한 DNS 응답 패킷은 DNS 서버(13)에 의해 발생되지 않고 다른 임의의 서버에 의해 발생될 것이다.DNS response packets are transmitted to at least one of the host computers PC1 to PCk, for example, the first host computer PC1 via the Internet network 120, for various purposes, Lt; / RTI > This DNS response packet will not be generated by the DNS server 13 but will be generated by any other server.

이러한 경우, DNS 응답 패킷의 헤더(DNS_HD)의 신뢰성은 매우 낮다. 이러한 DNS 응답 패킷의 헤더(DNS_HD)에도 도 3을 참조하여 설명된 바와 동일한 제 1 내지 제 3 플래그 정보(11~13)가 포함될 수 있다. 스니핑 유닛(112)이 해당 패킷이 DNS 응답 패킷인지 여부를 DNS 응답 패킷의 헤더(DNS_HD)만으로 판단하는 경우, 신뢰성이 낮은 서브 도메인 정보를 수집할 수 있다.In this case, the reliability of the header (DNS_HD) of the DNS response packet is very low. The header (DNS_HD) of the DNS response packet may include the same first to third flag information 11-13 as described with reference to FIG. When the sniffing unit 112 determines whether the packet is a DNS response packet based on only the header (DNS_HD) of the DNS response packet, low-reliability subdomain information can be collected.

이 실시 예에 따르면 스니핑 유닛(112)은 해당 패킷이 DNS 응답 패킷인지 여부를 DNS 응답 패킷의 헤더(HD)에 기반하여 판별하고, 또 제 1 호스트 컴퓨터(PC1)가 DNS 쿼리 패킷을 발생하였는지 여부를 체크한다. DNS 쿼리 패킷이 존재하는 경우에 S340단계가 수행된다. DNS 쿼리 패킷이 존재하지 않는 경우에, 서브 도메인 네임은 저장되지 않는다.According to this embodiment, the sniffing unit 112 determines whether the packet is a DNS response packet based on the header (HD) of the DNS response packet and whether the first host computer PC1 has generated a DNS query packet . If there is a DNS query packet, step S340 is performed. In the absence of a DNS query packet, the subdomain name is not stored.

S340단계에서, 스니핑 유닛(112)은 DNS 응답 패킷으로부터 서브 도메인 네임을 추출한다. S350단계에서, 스니핑 유닛(112)은 서브 도메인 네임이 저장 유닛(113)에 저장된 상위 도메인 네임에 대응하는지 판별한다. S360단계에서, 판별 결과에 따라, 추출된 서브 도메인 네임을 해당 상위 도메인 네임에 관련하여 저장한다.In step S340, the sniffing unit 112 extracts the subdomain name from the DNS response packet. In step S350, the sniffing unit 112 determines whether the subdomain name corresponds to the upper domain name stored in the storage unit 113. [ In step S360, the extracted subdomain name is stored in association with the corresponding upper domain name according to the discrimination result.

이 실시 예에 따르면, 스니핑 유닛(112)에 의해 수집되는 서브 도메인 네임의 신뢰성은 더 향상될 수 있다.According to this embodiment, the reliability of the subdomain name collected by the sniffing unit 112 can be further improved.

도 7은 DNS 쿼리 패킷을 획득하는 방법을 보여주는 순서도이다.Figure 7 is a flow chart illustrating a method for obtaining a DNS query packet.

도 1 및 도 7을 참조하면, 스니핑 유닛(112)은 복수의 호스트 컴퓨터들(PC1~PCk)과 인터넷 망(120) 사이에서 통신되는 패킷을 모니터링하고(S410), 해당 패킷이 DNS 쿼리 패킷인지 여부를 판별한다(S420). DNS 쿼리 패킷은 서브 도메인 네임에 대응하는 아이피 주소를 묻는 패킷으로서, 제 1 호스트 컴퓨터(PC1)로부터 DNS 서버(130)로 전송된다. 실시 예로서, 해당 패킷이 DNS 쿼리 패킷인지 여부는 도 3을 참조한 설명과 같이 해당 패킷의 헤더에 기반하여 판별될 수 있다. 예를 들면, 해당 패킷이 DNS 쿼리 패킷인지 여부는 해당 패킷의 해더의 목적지 아이피 주소에 의해 판별될 수 있다. 해당 패킷이 DNS 쿼리 패킷이면, 스니핑 유닛(112)은 DNS 쿼리 패킷에 대한 정보를 저장 유닛(113)에 저장한다(S430). 이러한 DNS 쿼리 패킷에 대한 정보는 도 6의 S330단계에서 사용될 것이다.1 and 7, the sniffing unit 112 monitors packets communicated between a plurality of host computers PC1 through PCk and the Internet network 120 (S410), and determines whether the packet is a DNS query packet (S420). The DNS query packet is a packet for asking the IP address corresponding to the subdomain name, and is transmitted from the first host computer PC1 to the DNS server 130. [ As an embodiment, whether the packet is a DNS query packet can be determined based on the header of the packet, as described with reference to FIG. For example, whether the packet is a DNS query packet can be determined by the destination IP address of the header of the packet. If the packet is a DNS query packet, the sniffing unit 112 stores information on the DNS query packet in the storage unit 113 (S430). The information on the DNS query packet will be used in step S330 of FIG.

도 8은 본 발명의 다른 실시 예에 따른 보안 장치(110)의 동작 방법을 보여주는 순서도이다. 도 9는 노멀 패킷(NP)의 데이터 포맷을 개념적으로 보여주는 도면이다.FIG. 8 is a flowchart illustrating an operation method of the security device 110 according to another embodiment of the present invention. Fig. 9 is a diagram conceptually showing the data format of the normal packet NP.

도 1 및 도 8를 참조하면, S510단계 내지 S550단계는 각각 도 2를 참조하여 설명된 S110단계 내지 S150단계와 마찬가지로 동작한다. 이하, 중복되는 설명은 생략된다.Referring to FIGS. 1 and 8, steps S510 through S550 operate in the same manner as steps S110 through S150 described with reference to FIG. 2, respectively. Hereinafter, a duplicate description will be omitted.

S560단계에서, 해당 패킷이 노멀 패킷일 때, 보안 유닛(111)은 해당 패킷 내의 서브 도메인 네임이 도메인 네임 테이블(도 5의 T 참조)의 서브 도메인 네임과 일치하는지 판별한다.In step S560, when the packet is a normal packet, the security unit 111 determines whether the subdomain name in the packet matches the subdomain name of the domain name table (see T in FIG. 5).

도 9를 참조하면, 노멀 패킷(NP)은 헤더(HD)와 사용자 데이터(UD)를 포함한다. 헤더(HD)는 사용자 데이터(UD)를 관리하기 위한 데이터이다. 헤더(HD)는 출발지 아이피 주소(SP), 목적지 아이피 주소(DP) 및 서브 도메인 네임(SDN)에 대한 정보를 포함할 수 있다.Referring to FIG. 9, the normal packet NP includes a header HD and user data UD. The header HD is data for managing the user data UD. The header HD may include information about a source IP address SP, a destination IP address DP, and a subdomain name SDN.

본 발명의 실시 예에 따르면, 보안 유닛(111)은 패킷의 헤더(HD) 중 서브 도메인 네임(SDN) 정보를 추출하고, 추출된 서브 도메인 네임(SDN)이 도메인 네임 테이블(도 5의 T 참조)의 서브 도메인 네임들 중 어느 하나와 일치하는지 판별한다. 만약 그렇지 않다면, S570단계가 수행된다. 만약 그렇다면, S580단계가 수행된다.According to the embodiment of the present invention, the security unit 111 extracts the subdomain name (SDN) information from the header HD of the packet and extracts the extracted subdomain name SDN from the domain name table ) Of the sub-domain names. If not, step S570 is performed. If so, step S580 is performed.

S570단계에서, 해당 패킷이 허용된다. S580단계에서, 해당 패킷은 차단된다.In step S570, the packet is allowed. In step S580, the packet is blocked.

본 발명의 실시 예에 따르면, 상위 도메인 네임 별로 해당 서브 도메인 네임들이 효율적으로 수집되고, 수집된 서브 도메인 네임에 기반하여 호스트 컴퓨터들과 인터넷 망 사이의 패킷이 관리될 수 있다.According to the embodiment of the present invention, the subdomain names are efficiently collected for each upper domain name, and the packets between the host computers and the Internet network can be managed based on the collected subdomain names.

도 10은 본 발명의 또 다른 실시 예에 따른 보안 장치(110)의 동작 방법을 보여주는 순서도이다.10 is a flowchart illustrating an operation method of the security device 110 according to another embodiment of the present invention.

도 1 및 도 10을 참조하면, S610단계 내지 S650단계는 각각 도 2를 참조하여 설명된 S110단계 내지 S150단계와 마찬가지로 동작한다. 이하, 중복되는 설명은 생략된다.Referring to FIGS. 1 and 10, steps S610 to S650 operate in the same manner as steps S110 to S150 described with reference to FIG. 2, respectively. Hereinafter, a duplicate description will be omitted.

S660단계에서, 해당 패킷이 노멀 패킷일 때, 보안 유닛(111)은 해당 패킷 내의 서브 도메인 네임이 도메인 네임 테이블(도 5의 T 참조)의 아이피 주소와 일치하는지 판별한다. 만약 그렇지 않다면, S670단계가 수행된다. 만약 그렇다면, S690단계가 수행된다.In step S660, when the packet is a normal packet, the security unit 111 determines whether the subdomain name in the packet matches the IP address of the domain name table (see T in FIG. 5). If not, step S670 is performed. If so, step S690 is performed.

S670단계에서, 보안 유닛(111)은 해당 패킷의 출발지 또는 목적지 아이피 주소가 도메인 네임 테이블 내의 아이피 주소와 일치하는지 판별한다. 해당 패킷의 헤더(HD, 도 9 참조)에는 출발지 아이피 주소(SP) 및 목적지 아이피 주소(DP, 도 9 참조) 정보가 포함된다. 보안 유닛(111)은 패킷의 해더(HD) 중 출발지 및 목적지 아이피 주소(SP, DP)를 추출하고, 추출된 출발지 또는 목적지 아이피 주소(SP, DP)가 도메인 네임 테이블(도 5의 T 참조)의 아이피 주소들 중 어느 하나와 일치하는지 판별한다. 만약 그렇지 않다면, S680단계가 수행된다. 만약 그렇다면, S690단계가 수행된다.In step S670, the security unit 111 determines whether the source or destination IP address of the packet matches the IP address in the domain name table. The header (HD, see Fig. 9) of the packet includes the source IP address SP and the destination IP address DP (see Fig. 9). The security unit 111 extracts the source and destination IP addresses SP and DP among the header HD of the packet and stores the extracted source or destination IP addresses SP and DP in the domain name table Lt; RTI ID = 0.0 > IP < / RTI > If not, step S680 is performed. If so, step S690 is performed.

S680단계에서, 해당 패킷이 허용된다. S690단계에서, 해당 패킷은 차단된다.In step S680, the packet is allowed. In step S690, the packet is blocked.

이 실시 예에 따르면, 서브 도메인 네임이 아닌 아이피 주소를 이용한 서버 접속 또한 효율적으로 관리될 수 있다.According to this embodiment, server access using an IP address other than a subdomain name can also be efficiently managed.

본 발명의 상세한 설명에서는 구체적인 실시 예에 관하여 설명하였으나, 본 발명의 범위와 기술적 사상에서 벗어나지 않는 한도 내에서 다양한 변경이 가능하다. 그러므로 본 발명의 범위는 상술한 실시 예에 국한되어 정해져서는 안되며 후술하는 특허청구범위뿐만 아니라 이 발명의 특허청구범위와 균등한 것들에 의해 정해져야 한다.While the invention has been shown and described with reference to certain preferred embodiments thereof, it will be understood by those skilled in the art that various changes and modifications may be made without departing from the spirit and scope of the invention. Therefore, the scope of the present invention should not be limited to the above-described embodiments, but should be determined by the claims equivalent to the claims of the present invention as well as the claims of the following.

본 발명의 상세한 설명에서는 구체적인 실시 예에 관하여 설명하였으나, 본 발명의 범위와 기술적 사상에서 벗어나지 않는 한도 내에서 다양한 변경이 가능하다. 그러므로 본 발명의 범위는 상술한 실시 예에 국한되어 정해져서는 안되며 후술하는 특허청구범위뿐만 아니라 이 발명의 특허청구범위와 균등한 것들에 의해 정해져야 한다.While the invention has been shown and described with reference to certain preferred embodiments thereof, it will be understood by those skilled in the art that various changes and modifications may be made without departing from the spirit and scope of the invention. Therefore, the scope of the present invention should not be limited to the above-described embodiments, but should be determined by the claims equivalent to the claims of the present invention as well as the claims of the following.

PC1~PCk: 제 1 내지 제 k 호스트 컴퓨터들
110: 보안 장치
120: 인터넷 망
130: DNS 서버
141~14n: 제 1 내지 제 n 서버 컴퓨터들PC1 to PCk: first to kth host computers
110: Security device
120: Internet network
130: DNS server
141 to 14n: first to nth server computers

Claims (14)

인터넷 망에 연결된 복수의 호스트 컴퓨터들을 관리하는 보안 장치의 동작 방법에 있어서:
상기 복수의 호스트 컴퓨터들과 상기 인터넷 망 사이에서 통신되는 패킷(packet)이 DNS(Domain Named Server) 서버로부터 상기 인터넷 망을 통해 전송되는 DNS 응답 패킷인지 여부를 판별하는 단계;
상기 패킷이 DNS 응답 패킷일 때, 상기 DNS 응답 패킷에 포함된 서브 도메인 네임을 추출하고 상기 추출된 서브 도메인 네임이 내부 저장된 상위 도메인 네임에 대응하는 경우 상기 서브 도메인 네임을 도메인 네임 테이블에 업데이트하는 단계; 및
상기 패킷이 DNS 응답 패킷이 아닐 때, 상기 패킷에 포함된 서브 도메인 네임이 상기 도메인 네임 테이블 내의 서브 도메인 네임들 중 어느 하나와 일치하는지 여부에 따라 상기 패킷을 차단하는 단계를 포함하며,
상기 DNS 응답 패킷은 상기 복수의 호스트 컴퓨터들 중 어느 하나에서 발생되는 DNS 쿼리 패킷에 따라, 상기 DNS 서버로부터 상기 복수의 호스트 컴퓨터들 중 어느 하나에 제공되고,
상기 DNS 쿼리 패킷은 상기 서브 도메인 네임에 대응하는 아이피 주소를 요청할 때 발생되는 동작 방법.A method of operating a security device managing a plurality of host computers connected to an Internet network, the method comprising:
Determining whether a packet communicated between the plurality of host computers and the Internet network is a DNS response packet transmitted through the Internet network from a DNS (Domain Named Server) server;
Extracting a subdomain name included in the DNS response packet when the packet is a DNS response packet and updating the subdomain name in a domain name table if the extracted subdomain name corresponds to an internally stored upper domain name ; And
Blocking the packet according to whether the subdomain name contained in the packet matches any one of the subdomain names in the domain name table when the packet is not a DNS response packet,
Wherein the DNS response packet is provided to one of the plurality of host computers from the DNS server according to a DNS query packet generated in any one of the plurality of host computers,
Wherein the DNS query packet is generated when requesting an IP address corresponding to the subdomain name. 삭제delete 제 1 항에 있어서,
상기 DNS 응답 패킷은 상기 서브 도메인 네임 및 상기 아이피 주소 정보를 포함하고,
상기 서브 도메인 네임이 상기 도메인 네임 테이블에 업데이트될 때 상기 아이피 주소를 함께 업데이트하는 단계를 더 포함하는 동작 방법.The method according to claim 1,
Wherein the DNS response packet includes the sub-domain name and the IP address information,
And updating the IP address together when the subdomain name is updated in the domain name table. 제 3 항에 있어서,
상기 아이피 주소는 상기 서브 도메인 네임과 매치되어 상기 도메인 네임 테이블에 리스트되는 동작 방법.The method of claim 3,
Wherein the IP address is matched with the subdomain name and listed in the domain name table. 제 3 항에 있어서,
상기 패킷을 차단하는 단계는 상기 패킷에 포함된 아이피 주소가 상기 도메인 네임 테이블 내의 아이피 주소들 중 어느 하나와 일치할 때 상기 패킷을 차단하는 단계를 포함하는 동작 방법.The method of claim 3,
Wherein blocking the packet comprises blocking the packet when the IP address included in the packet matches any one of the IP addresses in the domain name table. 제 1 항에 있어서,
상기 서브 도메인 네임은 상기 상위 도메인 네임과 매치되어 상기 도메인 네임 테이블에 리스트되는 동작 방법.The method according to claim 1,
Wherein the subdomain name is matched with the parent domain name and listed in the domain name table. 제 1 항에 있어서,
상기 복수의 호스트 컴퓨터들로부터 상기 인터넷 망을 통해 상기 DNS 서버에 전송되는 복수의 DNS 쿼리 패킷들을 검출하고, 상기 복수의 DNS 쿼리 패킷들에 대한 정보를 저장하는 단계를 더 포함하고,
상기 업데이트하는 단계는 상기 복수의 DNS 쿼리 패킷들 중 상기 DNS 응답 패킷에 대응하는 DNS 쿼리 패킷이 존재하는지에 따라 수행되는 동작 방법.The method according to claim 1,
Detecting a plurality of DNS query packets transmitted from the plurality of host computers to the DNS server through the Internet network and storing information on the plurality of DNS query packets,
Wherein the updating is performed according to whether a DNS query packet corresponding to the DNS response packet exists among the plurality of DNS query packets. 인터넷 망에 연결된 복수의 호스트 컴퓨터들을 관리하는 보안 유닛;
상기 복수의 호스트 컴퓨터들과 상기 인터넷 망 사이에서 통신되는 패킷이 DNS 서버로부터 상기 인터넷 망을 통해 전송되는 DNS 응답 패킷인지 여부를 판별하도록 구성되는 스니핑 유닛; 및
상위 도메인 네임이 포함된 도메인 네임 테이블을 저장하는 저장 유닛을 포함하되,
상기 스니핑 유닛은 상기 패킷이 DNS 응답 패킷일 때 상기 패킷에 포함된 서브 도메인 네임이 상기 상위 도메인 네임에 대응하는 경우 상기 서브 도메인 네임을 상기 도메인 네임 테이블에 업데이트하고,
상기 패킷이 DNS 응답 패킷이 아닐 때 상기 서브 도메인 네임이 상기 도메인 네임 테이블 내의 서브 도메인 네임들 중 어느 하나와 일치하는지 여부에 따라 상기 패킷을 차단하도록 구성되며,
상기 DNS 응답 패킷은 상기 복수의 호스트 컴퓨터들 중 어느 하나에서 발생되는 DNS 쿼리 패킷에 따라, 상기 DNS 서버로부터 상기 복수의 호스트 컴퓨터들 중 어느 하나에 제공되고,
상기 DNS 쿼리 패킷은 상기 서브 도메인 네임에 대응하는 아이피 주소를 요청할 때 발생되는 보안 장치.A security unit for managing a plurality of host computers connected to the Internet network;
A sniffing unit configured to determine whether a packet communicated between the plurality of host computers and the Internet network is a DNS response packet transmitted from the DNS server through the Internet network; And
And a storage unit for storing a domain name table including a parent domain name,
The sniffing unit updates the subdomain name in the domain name table when the subdomain name included in the packet corresponds to the upper domain name when the packet is a DNS response packet,
And to block the packet according to whether the subdomain name matches any of the subdomain names in the domain name table when the packet is not a DNS response packet,
Wherein the DNS response packet is provided to one of the plurality of host computers from the DNS server according to a DNS query packet generated in any one of the plurality of host computers,
Wherein the DNS query packet is generated when requesting an IP address corresponding to the subdomain name. 삭제delete 제 8 항에 있어서,
상기 DNS 응답 패킷은 상기 서브 도메인 네임 및 상기 아이피 주소 정보를 포함하고,
상기 스니핑 유닛은 상기 서브 도메인 네임이 상기 도메인 네임 테이블에 업데이트될 때 상기 아이피 주소를 함께 업데이트하는 보안 장치.9. The method of claim 8,
Wherein the DNS response packet includes the sub-domain name and the IP address information,
And the sniffing unit updates the IP address together when the subdomain name is updated in the domain name table. 제 10 항에 있어서,
상기 아이피 주소는 상기 서브 도메인 네임과 매치되어 상기 도메인 네임 테이블에 리스트되는 보안 장치.11. The method of claim 10,
Wherein the IP address matches the subdomain name and is listed in the domain name table. 제 10 항에 있어서,
상기 스니핑 유닛은 상기 패킷에 포함된 아이피 주소가 상기 도메인 네임 테이블 내의 아이피 주소들 중 어느 하나와 일치할 때 상기 패킷을 차단하는 보안 장치.11. The method of claim 10,
Wherein the sniffing unit blocks the packet when the IP address included in the packet matches any one of the IP addresses in the domain name table. 제 8 항에 있어서,
상기 서브 도메인 네임은 상기 상위 도메인 네임과 매치되어 상기 도메인 네임 테이블에 리스트되는 보안 장치.9. The method of claim 8,
Wherein the subdomain name is matched with the parent domain name and listed in the domain name table. 제 8 항에 있어서,
상기 스니핑 유닛은 상기 복수의 호스트 컴퓨터들로부터 상기 인터넷 망을 통해 상기 DNS 서버에 전송되는 복수의 DNS 쿼리 패킷들을 검출하고, 상기 복수의 DNS 쿼리 패킷들에 대한 정보를 상기 저장 유닛에 저장하도록 구성되고,
상기 복수의 DNS 쿼리 패킷들 중 상기 DNS 응답 패킷에 대응하는 DNS 쿼리 패킷이 존재할 때 상기 패킷에 포함된 상기 서브 도메인 네임이 상기 도메인 네임 테이블에 업데이트되는 보안 장치.
9. The method of claim 8,
Wherein the sniffing unit is configured to detect a plurality of DNS query packets transmitted from the plurality of host computers to the DNS server through the Internet network and to store information on the plurality of DNS query packets in the storage unit ,
Wherein when a DNS query packet corresponding to the DNS response packet exists among the plurality of DNS query packets, the subdomain name included in the packet is updated in the domain name table.
KR1020120130390A 2012-11-16 2012-11-16 Security system collecting sub-domain name and operating method thereof Active KR101429107B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120130390A KR101429107B1 (en) 2012-11-16 2012-11-16 Security system collecting sub-domain name and operating method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120130390A KR101429107B1 (en) 2012-11-16 2012-11-16 Security system collecting sub-domain name and operating method thereof

Publications (2)

Publication Number Publication Date
KR20140063245A KR20140063245A (en) 2014-05-27
KR101429107B1 true KR101429107B1 (en) 2014-08-13

Family

ID=50891295

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120130390A Active KR101429107B1 (en) 2012-11-16 2012-11-16 Security system collecting sub-domain name and operating method thereof

Country Status (1)

Country Link
KR (1) KR101429107B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110266684B (en) * 2019-06-19 2022-06-24 北京天融信网络安全技术有限公司 Domain name system safety protection method and device

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050017252A (en) * 2003-08-11 2005-02-22 삼성전자주식회사 Domain name service system and service method thereof
KR100732689B1 (en) * 2005-05-13 2007-06-27 (주)트리니티소프트 Web security method and device

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050017252A (en) * 2003-08-11 2005-02-22 삼성전자주식회사 Domain name service system and service method thereof
KR100732689B1 (en) * 2005-05-13 2007-06-27 (주)트리니티소프트 Web security method and device

Also Published As

Publication number Publication date
KR20140063245A (en) 2014-05-27

Similar Documents

Publication Publication Date Title
US20100138921A1 (en) Countering Against Distributed Denial-Of-Service (DDOS) Attack Using Content Delivery Network
CN101981546B (en) Root cause analysis method targeting information technology (IT) device not to acquire event information, device and program
JP5050781B2 (en) Malware detection device, monitoring device, malware detection program, and malware detection method
KR101416523B1 (en) Security system and operating method thereof
US7733803B2 (en) Systems and methods for modifying network map attributes
US7684339B2 (en) Communication control system
WO2009155453A1 (en) System and method for fast flux detection
EP3306900A1 (en) Dns routing for improved network security
US20060109850A1 (en) IP-SAN network access control list generating method and access control list setup method
KR101380035B1 (en) Automatic protocol switching
CN101771529B (en) Terminal apparatus, relay apparatus and processing method
KR101429107B1 (en) Security system collecting sub-domain name and operating method thereof
KR101429120B1 (en) Security system collecting sub-domain name and operating method thereof
KR101448953B1 (en) Security system and operating method thereof
EP1379027A1 (en) Wireless LAN device
JP5639535B2 (en) Benign domain name exclusion device, benign domain name exclusion method, and program
KR101603692B1 (en) Method of identifying terminals and system thereof
KR101603694B1 (en) Method of identifying terminals and system thereof
KR101645222B1 (en) Advanced domain name system and management method
KR101400136B1 (en) Security system and operating method thereof
CN109714228B (en) A global monitoring system for equipment and workers
JP4965683B2 (en) Retransmission determination apparatus, retransmission determination method, retransmission determination program, and retransmission determination system
JP5668503B2 (en) Hazardous site filtering system and filtering method
KR20150061350A (en) Method of identifying terminals and system thereof
AU2023203129B2 (en) Systems and methods for distributing partial data to subnetworks

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20121116

PA0201 Request for examination
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20131028

Patent event code: PE09021S01D

PG1501 Laying open of application
E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20140729

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20140805

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20140806

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
FPAY Annual fee payment

Payment date: 20180802

Year of fee payment: 5

PR1001 Payment of annual fee

Payment date: 20180802

Start annual number: 5

End annual number: 5

FPAY Annual fee payment

Payment date: 20190801

Year of fee payment: 6

PR1001 Payment of annual fee

Payment date: 20190801

Start annual number: 6

End annual number: 6

PR1001 Payment of annual fee

Payment date: 20200803

Start annual number: 7

End annual number: 7

PR1001 Payment of annual fee

Payment date: 20210802

Start annual number: 8

End annual number: 8

PR1001 Payment of annual fee

Payment date: 20220801

Start annual number: 9

End annual number: 9

PR1001 Payment of annual fee

Payment date: 20230801

Start annual number: 10

End annual number: 10

PR1001 Payment of annual fee

Payment date: 20250625

Start annual number: 12

End annual number: 12