[go: up one dir, main page]

KR20110027386A - Apparatus, System and Method for Blocking Harmful Packets Outgoing from User Terminal - Google Patents

Apparatus, System and Method for Blocking Harmful Packets Outgoing from User Terminal Download PDF

Info

Publication number
KR20110027386A
KR20110027386A KR1020090085455A KR20090085455A KR20110027386A KR 20110027386 A KR20110027386 A KR 20110027386A KR 1020090085455 A KR1020090085455 A KR 1020090085455A KR 20090085455 A KR20090085455 A KR 20090085455A KR 20110027386 A KR20110027386 A KR 20110027386A
Authority
KR
South Korea
Prior art keywords
packet
threshold
harmful
tcp
fragment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
KR1020090085455A
Other languages
Korean (ko)
Inventor
노철희
Original Assignee
모젠소프트 (주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 모젠소프트 (주) filed Critical 모젠소프트 (주)
Priority to KR1020090085455A priority Critical patent/KR20110027386A/en
Publication of KR20110027386A publication Critical patent/KR20110027386A/en
Ceased legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치, 시스템 및 방법이 제공된다. An apparatus, system, and method are provided for blocking harmful packets outgoing from a user terminal.

본 발명의 실시예에 따른 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치는, 사용자 단말로부터 나가는 패킷의 출발지 인터넷 프로토콜 주소가 변조되었는지 여부를 판단하는 변조 판단 수단; 상기 변조 판단 수단의 판단 결과 상기 출발지 인터넷 프로토콜 주소가 변조된 경우에는 상기 패킷을 차단하는 패킷 차단 수단을 포함한다. An apparatus for blocking harmful packets outgoing from a user terminal according to an embodiment of the present invention, comprising: modulation determination means for determining whether or not the source Internet protocol address of a packet outgoing from the user terminal is modulated; And a packet blocking means for blocking the packet when the source Internet protocol address is modified as a result of the determination by the modulation determining means.

Description

사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치, 시스템 및 방법{Apparatus, system and method for protecting malicious packets transmitted outside from user terminal} Apparatus, system and method for protecting malicious packets transmitted outside from user terminal}

본 발명은 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치, 시스템 및 방법에 관한 것으로서, 더욱 상세하게는, 사용자 단말로부터 나가는 패킷의 출발지 IP 주소가 변조되었는지 여부를 판단하여 출발지 IP 주소가 변조된 패킷을 차단하며, 변조되지 않은 패킷의 프로토콜을 확인하여 프로토콜 별로 유해성 여부를 판단하여 패킷을 차단할 수 있는, 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치, 시스템 및 방법에 관한 것이다. The present invention relates to an apparatus, a system, and a method for blocking harmful packets outgoing from a user terminal. More particularly, the present invention relates to a method of determining a source IP address of a packet outgoing from a user terminal. The present invention relates to a device, a system, and a method for blocking a packet from a user terminal that blocks the packet, and checks the protocol of the unmodulated packet to determine whether the packet is harmful by protocol.

서비스 거부 공격(Denial of Service Attack, 이하 'DoS 공격'이라 한다)이란 외부 공격자가 특정 컴퓨터 시스템과 그 시스템이 속한 네트워크에 과다한 데이터를 보냄으로써 시스템과 네트워크의 성능을 급격히 저하시켜 정상적인 운영을 방해하여 그 컴퓨터 시스템이 사용자에 대한 서비스의 제공을 거부하도록 하는 공격 방법이다. Denial of Service Attack (“DoS Attack”) is an external attacker sending excessive data to a specific computer system and the network to which the system belongs. It is an attack method that causes the computer system to refuse to provide a service to a user.

또한, 분산 서비스 거부 공격(Distributed Denial of Service Attack, 이하 'DDoS 공격'이라 한다)이란 많은 수의 호스트들에 패킷을 범람시킬 수 있는 서비스 거부 공격용 프로그램들이 분산 설치되어 이들이 서로 통합된 형태로 어느 목표의 컴퓨터 시스템이나 네트워크의 성능을 저하시키거나 시스템을 마비시키는 것을 말한다. In addition, a distributed denial of service attack (DDoS attack) is a distributed denial-of-service program that can flood packets to a large number of hosts. Degrading the performance of your computer system or network or paralyzing your system.

이러한 DoS 및 DDoS 공격은 TCP SYN 플러딩 공격, UDP 플러딩 공격, ICMP(Internet Control Message Protocol) 반향 요구(echo requesting) 공격, ICMP 동보(broadcasting) 공격의 형태로 나뉘어 진다. 이를 다시 크게 분류하면 플러딩 공격, IP 패킷의 부적절한 단편화를 기반으로 하는 공격, 부적절한 패킷 헤더 포맷 기반 공격으로 나눌 수 있다. These DoS and DDoS attacks are divided into TCP SYN flooding attacks, UDP flooding attacks, Internet Control Message Protocol (ICMP) echo requesting attacks, and ICMP broadcasting attacks. This can be further divided into flooding attacks, attacks based on inappropriate fragmentation of IP packets, and attacks based on inappropriate packet header format.

일반적으로, DoS 공격이 이루어지는 과정을 살펴보면, DoS 에이전트(Agent)가 심어진 컴퓨터(공격자)에서 대량의 패킷을 발생시켜 호스트 컴퓨터를 공격함으로써, 호스트 컴퓨터가 정당한 다른 사용자들에게 서비스를 제대로 제공하지 못하도록 하여 서비스 거부 공격이 이루어진다. In general, when a DoS attack is performed, a DoS agent generates a large amount of packets from a planted attacker to attack the host computer, thereby preventing the host computer from properly providing services to other legitimate users. Denial of service attacks are made.

이러한 서비스 거부 공격은 공격자 컴퓨터가 IP 주소를 위장하면서 공격 목표 호스트 컴퓨터에 TCP 접속을 위한 동기 신호를 무한으로 되풀이하여 보냄으로써 이루어지는데, 이 경우 호스트 컴퓨터는 이 위장된 IP 주소에 접속을 위한 신호를 응답하여 접속 준비가 되었음을 무한으로 되풀이하여 알리는 동작을 수행하므로 호스트 컴퓨터에 과부하가 걸려서 정당 사용자에게 서비스를 제공할 수 없게 된다. Such a denial of service attack is made by an attacker's computer spoofing an IP address and repeatedly sending an infinite number of synchronization signals for a TCP connection to an attacking host computer. In response to repeating an infinite notification that the connection is ready, the host computer is overloaded so that a service cannot be provided to a party user.

그런데, 기존의 DoS 또는 DDoS 방어 시스템 기술은 외부에서 내부 서버 또는 Victim 네트워크로 유입되는 공격을 차단하는 방향으로 개발되었다. 또한, IPS 시 스템들도 외부에서 유입되는 Worm 바이러스 유입을 차단하도록 네트워크 경계선 상에서 방어를 한다. 하지만, 다양한 경로를 통해 Worm 바이러스에 감염되거나 부트 프로그램이 감염되어 대량의 좀비 PC가 양산되고 각 좀비 PC 단에서 공격이 시작되는 경우에는 효율적으로 대처하지 못하였다. However, the existing DoS or DDoS defense system technology was developed to block attacks from the outside into the internal server or the Victim network. In addition, IPS systems also defend on network boundaries to block outbound Worm virus ingress. However, it could not be effectively dealt with when a large number of zombies were mass produced and an attack was started at each zombie PC stage due to the infection of the Worm virus or the boot program through various paths.

이를 게이트웨이 보안의 측면에서 살펴보면, 변조된 IP 주소를 이용한 내부 사용자의 DoS 또는 DDoS 공격이나 웜 바이러스 확산을 원천적으로 탐지 및 차단하지 못하며, 이로 인하여 내부 네트워크의 안정성 확보가 어렵게 된다. 또한, 변조된 IP 주소를 이용한 내부 네트워크에서의 좀비 PC의 활동을 막기가 어렵다는 문제가 있었다. In terms of gateway security, it cannot detect and block DoS or DDoS attacks or the spread of worm viruses by internal users using modified IP addresses, which makes it difficult to secure the stability of the internal network. In addition, there was a problem that it is difficult to prevent the operation of the zombie PC in the internal network using the modified IP address.

또한, 사용자 PC의 보안의 측면에서 살펴보면, 첫째, 기존의 백신 프로그램의 경우 DDoS 공격이나 웜 바이러스 공격이 발생한 후 활동 내역을 분석하여 백신이 개발되는 바, 이는 공격이 발생한 이후의 사후 처리를 위한 해결책은 되지만 사전에 DoS/DDoS나 웜 바이러스의 활동을 제한하거나 예방하는 역할은 못하였다. 둘째, 기존의 PC 방화벽의 경우 사용자 PC로부터 나가는 패킷에 대해서는 웹 서비스에 대한 접속을 무제한으로 허용하기 때문에 DoS/DDoS 공격에 가담하는 좀비 PC를 구분해 내지 못하였다. In addition, in terms of security of the user's PC, first, in case of the existing vaccine program, the vaccine is developed by analyzing the activity history after the DDoS attack or the worm virus attack, which is a solution for post-processing after the attack occurs. However, it did not play a role in limiting or preventing DoS / DDoS or worm virus activity in advance. Second, the existing PC firewall does not distinguish zombie PCs participating in DoS / DDoS attacks because it allows unlimited access to web services for outgoing packets from user PCs.

따라서, 상술한 문제점을 해결하기 위하여 본 발명이 해결하고자 하는 과제는, 게이트웨이 단에서 방어하는 기존의 백신 프로그램의 한계를 극복하기 위해 공 격에 가담하는 사용자 PC 단에서 원천적으로 DoS/DDoS나 웜 바이러스의 공격을 차단하고자 하는, 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치, 시스템 및 방법을 제공하는 것이다. Therefore, the problem to be solved by the present invention in order to solve the above-mentioned problems, the DoS / DDoS or worm virus inherently in the user PC stage to join the attack to overcome the limitations of the existing vaccine program defended at the gateway stage It is to provide an apparatus, system and method for blocking harmful packets outgoing from the user terminal to block the attack.

또한, 본 발명이 해결하고자 하는 다른 기술적 과제는, 자기 복제 기능을 통해 다른 컴퓨터나 내부 네트워크의 전산 시스템 등을 감염시키는 유해 트래픽의 확산을 사전에 감염된 PC에서 탐지하여 차단할 수 있는, 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치, 시스템 및 방법을 제공하는 것이다. In addition, another technical problem to be solved by the present invention is the external from the user terminal, which can detect and block the proliferation of harmful traffic that infects other computers or computer systems of the internal network through the self-replicating function in the previously infected PC. It is to provide an apparatus, system and method for blocking outgoing harmful packets.

본 발명이 해결하고자 하는 과제들은 이상에서 언급한 과제들로 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다. Problems to be solved by the present invention are not limited to the above-mentioned problems, and other problems not mentioned will be clearly understood by those skilled in the art from the following description.

전술한 기술적 과제를 달성하기 위한 본 발명의 실시예에 따른 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치는, 사용자 단말로부터 나가는 패킷의 출발지 인터넷 프로토콜 주소가 변조되었는지 여부를 판단하는 변조 판단 수단; 상기 변조 판단 수단의 판단 결과 상기 출발지 인터넷 프로토콜 주소가 변조된 경우에는 상기 패킷을 차단하는 패킷 차단 수단을 포함한다. An apparatus for blocking harmful packets outgoing from a user terminal according to an embodiment of the present invention for achieving the above technical problem comprises: modulation determination means for determining whether or not the source Internet protocol address of the packet outgoing from the user terminal; And a packet blocking means for blocking the packet when the source Internet protocol address is modified as a result of the determination by the modulation determining means.

또한, 전술한 기술적 과제를 달성하기 위한 본 발명의 다른 실시예에 따른 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 시스템은, 외부로 전송되는 패킷의 출발지 인터넷 프로토콜 주소의 변조 여부를 파악하여 변조된 패킷을 차단하고, 변조되지 않은 패킷의 전송 개수와 임계치의 비교 결과에 따라 유해한 패 킷을 차단하는 유해 패킷 차단 장치가 설치된 사용자 단말; 복수의 사용자 단말에 각각 설치되어 있는 상기 유해 패킷 차단 장치를 관리하며, 상기 사용자 단말의 보안 정책을 설정하고, 상기 사용자 단말의 로그 정보를 수집하는 중앙 관리 서버; 상기 수집된 로그 정보를 저장하고, 상기 저장된 로그 정보를 이용하여 통계를 산출하는 로그 저장 데이터베이스를 포함한다. In addition, the system for blocking harmful packets outgoing from the user terminal according to another embodiment of the present invention for achieving the above-described technical problem, is modulated by grasping the source Internet protocol address of the packet transmitted to the outside A user terminal provided with a harmful packet blocking device for blocking the packet and blocking the harmful packet according to a comparison result of the number of transmissions of the unmodulated packet and a threshold value; A central management server that manages the harmful packet blocking apparatus installed in each of a plurality of user terminals, sets a security policy of the user terminal, and collects log information of the user terminal; And a log storage database that stores the collected log information and calculates statistics using the stored log information.

또한, 전술한 기술적 과제를 달성하기 위한 본 발명의 또 다른 실시예에 따른 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 방법은, 사용자 단말로부터 나가는 패킷의 출발지 인터넷 프로토콜 주소가 변조되었는지 여부를 판단하는 단계; 상기 판단 결과 상기 출발지 인터넷 프로토콜 주소가 변조된 경우에는 상기 패킷을 차단하는 단계를 포함한다. In addition, the method for blocking harmful packets outgoing from the user terminal according to another embodiment of the present invention for achieving the above technical problem, to determine whether the source Internet protocol address of the outgoing packet from the user terminal is modulated step; Blocking the packet if the source Internet protocol address is modified as a result of the determination.

기타 실시예들의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다.Specific details of other embodiments are included in the detailed description and the drawings.

상기한 바와 같은 본 발명의 실시예에 따른 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치, 시스템 및 방법에 의하면, 다음과 같은 효과가 하나 이상 존재한다. According to the apparatus, system and method for blocking harmful packets outgoing from the user terminal according to the embodiment of the present invention as described above, there are one or more of the following effects.

첫째, 게이트웨이 단에서 방어하는 기존의 백신 프로그램의 한계를 극복하여 사용자 PC 단에서 원천적으로 DoS/DDoS나 웜 바이러스의 공격을 차단할 수 있다. First, by overcoming the limitations of the existing anti-virus program defended at the gateway stage, it is possible to block DoS / DDoS or worm virus attacks on the user's PC.

둘째, 자기 복제 기능을 통해 다른 컴퓨터나 내부 네트워크의 전산 시스템 등을 감염시키는 유해 트래픽의 확산을 사전에 감염된 PC에서 탐지하여 차단할 수 있다. Second, the self-replicating function can detect and block the spread of harmful traffic from previously infected PCs that infect other computers or computer systems of internal networks.

본 발명의 효과들은 이상에서 언급한 효과들로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 청구범위의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다. The effects of the present invention are not limited to the above-mentioned effects, and other effects not mentioned will be clearly understood by those skilled in the art from the description of the claims.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.Advantages and features of the present invention and methods for achieving them will be apparent with reference to the embodiments described below in detail with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but can be implemented in various different forms, and only the embodiments make the disclosure of the present invention complete, and the general knowledge in the art to which the present invention belongs. It is provided to fully inform the person having the scope of the invention, which is defined only by the scope of the claims. Like reference numerals refer to like elements throughout.

본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다. 다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되 어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다. The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. In the present specification, the singular form includes plural forms unless otherwise specified in the specification. As used herein, “comprises” and / or “comprising” refers to the presence of one or more other components, steps, operations and / or elements. Or does not exclude additions. Unless otherwise defined, all terms (including technical and scientific terms) used in the present specification may be used in a sense that can be commonly understood by those skilled in the art. Also, the terms defined in the commonly used dictionaries are not to be interpreted ideally or excessively unless they are clearly specifically defined.

이하, 본 발명을 보다 구체적으로 설명하기 위하여 본 발명에 따른 실시예들을 첨부 도면을 참조하면서 보다 상세하게 설명하고자 한다. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings in order to describe the present invention in more detail.

도 1은 본 발명의 일 실시예에 따른 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 시스템의 전체 구성도를 나타내는 도면이다. 1 is a view showing the overall configuration of a system for blocking harmful packets outgoing from the user terminal according to an embodiment of the present invention.

도 1을 참조하면, 상기 시스템은 사용자 단말(100), 중앙 관리 서버(200), 관리 콘솔(300), 로그 저장 데이터베이스(400)을 포함하여 구성된다. Referring to FIG. 1, the system includes a user terminal 100, a central management server 200, a management console 300, and a log storage database 400.

사용자 단말(100)은 본 발명의 실시예에서의 유해 패킷 차단 장치가 구비된 단말로서, 네트워크의 종단에 위치한 개인용 컴퓨터나 네트워크 내부의 서버 등 네트워크에 연결되어 있는 전산 장치이기만 하면 되고, 연결 방식이 유선이든 무선이든 무관하다. The user terminal 100 is a terminal equipped with a harmful packet blocking device according to an embodiment of the present invention, and may be a computer device connected to a network such as a personal computer located at an end of the network or a server inside the network. It doesn't matter whether it's wired or wireless.

본 발명에서 유해 패킷 차단 장치가 구비된 사용자 단말(100)은 자신에게서 외부로 나가는 패킷의 출발지 IP(Internet Protocol) 주소의 변조 여부를 파악하여 변조된 패킷에 대해서는 외부로 내보내지 않고 차단하며, 변조되지 않은 패킷에 대해서는 변조되지 않은 패킷의 분당 전송수가 소정의 임계치를 초과하는 경우에는 유해한 트래픽이 존재한다고 보아 차단하는 역할을 한다. 사용자 단말(100)에 구비된 유해 패킷 차단 장치의 구성과 역할에 대해서는 후술할 도 2에서 설명하기로 한다. In the present invention, the user terminal 100 equipped with a harmful packet blocking device detects whether or not the source IP (Internet Protocol) address of the packet going out from the outside, and blocks the modified packet without sending out to the outside, and modulates If the number of untransmitted packets exceeds the predetermined threshold, the unmodified packet is considered to block harmful traffic. The configuration and role of the harmful packet blocking device provided in the user terminal 100 will be described with reference to FIG. 2.

그 밖에도 사용자 단말(100)은 자신의 네트워크 활동 상황을 모니터링하여 중앙 관리 서버(200)로 보고하며, 변조되지 않은 패킷의 전송에 대해서는 정상적인 연결을 보장하며, 보안 감사 기록을 중앙 관리 서버(200)로 전송할 수 있다. In addition, the user terminal 100 monitors its network activity and reports it to the central management server 200, guarantees normal connection for transmission of unmodulated packets, and records the security audit record in the central management server 200. Can be sent to.

중앙 관리 서버(200)는 전술한 사용자 단말(100)에 각각 설치되어 있는 상기 유해 패킷 차단 장치를 관리하는 서버로서, 사용자 단말(100)의 보안 정책을 설정하여 제어하고, 사용자 단말(100)의 개별적인 로그 정보를 수집하여 통계를 산출할 수 있다. 또한, 사용자 단말(100)의 보안 상태를 실시간으로 모니터링하여 각 사용자 단말(100) 별 보고서를 작성할 수 있으며, 전사적으로 DDoS나 웜 바이러스와 같은 유해 트래픽의 활동을 기간별로 분석하여 기간별 보고서를 생성할 수도 있다. The central management server 200 is a server that manages the harmful packet blocking apparatus installed in the user terminal 100 described above, and sets and controls a security policy of the user terminal 100 to control the user terminal 100. Statistics can be generated by collecting individual log information. In addition, it is possible to generate a report for each user terminal 100 by monitoring the security status of the user terminal 100 in real time, and generate a period-by-period report by analyzing the activity of harmful traffic such as DDoS or worm virus by period. It may be.

또한, 중앙 관리 서버(200)는 출발지 IP 주소가 변조된 패킷 또는 IP 주소가 변조되지 않았으나 유해하다고 판단된 패킷의 활동 통계를 산출하고, 상기 산출된 활동 통계의 분석 결과 위험하다고 판단되는 경우 사용자 단말(100)에게 실시간으로 통지할 수 있다. In addition, the central management server 200 calculates activity statistics of a packet whose source IP address is modulated or a packet which is determined to be harmful but not harmful, and is determined to be dangerous as a result of analysis of the calculated activity statistics. 100 may be notified in real time.

관리 콘솔(300)은 중앙 관리 서버(200)에 접근하기 위한 장치로서, 사용자 단말(100) 내부에 설치된 유해 패킷 차단 장치의 정책을 수립하는 역할을 할 수 있다. The management console 300 is a device for accessing the central management server 200 and may serve to establish a policy of a harmful packet blocking device installed in the user terminal 100.

로그 저장 데이터베이스(400)는 중앙 관리 서버(200)에 의해 수집된 사용자 단말(100)의 로그 정보를 저장하고, 상기 저장된 로그 정보를 이용하여 통계를 산출하는 역할을 한다. The log storage database 400 stores log information of the user terminal 100 collected by the central management server 200 and calculates statistics using the stored log information.

도 2는 본 발명의 실시예에 따른 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치의 구성을 나타내는 도면이다. 2 is a view showing the configuration of a device for blocking harmful packets outgoing from the user terminal according to an embodiment of the present invention.

상기 도 2를 참조하면, 유해 패킷을 차단하는 장치는 변조 판단 수단(110), 프로토콜 확인 수단(120), 유해성 판단 수단(130), 패킷 차단 수단(140), 패킷 전송 수단(150) 및 제어 수단(160)을 포함하여 구성된다. Referring to FIG. 2, the apparatus for blocking a harmful packet includes a modulation determining means 110, a protocol checking means 120, a harmfulness determining means 130, a packet blocking means 140, a packet transmitting means 150, and a control. It comprises a means (160).

변조 판단 수단(110)은 사용자 단말(100)로부터 나가는 패킷의 출발지 IP 주소가 변조되었는지 여부를 판단하는 역할을 한다. 여기서, 패킷의 출발지 IP 주소의 변조 여부는 도 5를 참조하여 설명하기로 한다. The modulation determining means 110 determines whether the source IP address of the packet leaving the user terminal 100 has been modulated. Here, whether the source IP address of the packet is modulated will be described with reference to FIG. 5.

도 5는 본 발명의 실시예에 따른 사용자 단말로부터 나가는 패킷의 출발지 IP 주소의 변조 여부를 판단하는 원리를 나타내는 도면이다. 즉, 도 5에서 알 수 있듯이, 사용자 단말로부터 나가는 패킷의 헤더 영역에는 출발지(Source) IP, 출발지 포트 번호, 목적지(Destination) IP, 및 목적지 포트 번호에 대한 정보가 기재되어 있는데, 이 중 출발지 IP 주소와 상기 사용자 단말에 설정되어 있는 IP 주소(도 5에서는 192.168.2.7)를 비교함으로써 변조되었는지 여부를 판단하게 된다. 5 is a diagram illustrating a principle of determining whether a source IP address of a packet sent from a user terminal is modulated according to an embodiment of the present invention. That is, as shown in Figure 5, in the header area of the packet outgoing from the user terminal information about the source (Source), source port number, destination IP, and destination port number is described, among which source IP By comparing the address with the IP address set in the user terminal (192.168.2.7 in Figure 5), it is determined whether or not the modulation.

일반적으로, DDoS 공격이나 웜 바이러스의 확산시 발생하는 유해 트래픽의 내용 중 거의 대부분이 출발지 IP 주소를 변조하여 공격하므로 출발지 IP 주소가 변조되었는지 여부를 탐지하여 차단하는 것은 DDoS 공격이나 웜 바이러스의 확산에 대한 초기 대응에서 매우 중요하다고 할 수 있다. In general, since most of the harmful traffic generated during the DDoS attack or the spread of the worm virus attacks by modulating the source IP address, detecting and blocking whether the source IP address has been tampered with is necessary for the DDoS attack or the spread of the worm virus. This is very important in the initial response.

다시 도 2를 참조하면, 프로토콜 확인 수단(120)은 변조 판단 수단(110)의 확인 결과 상기 출발지 IP 주소가 변조되지 않은 경우에는 상기 패킷의 프로토콜을 확인하는 역할을 한다. Referring back to FIG. 2, if the source IP address is not modulated as a result of the determination of the modulation determining unit 110, the protocol checking unit 120 may check the protocol of the packet.

유해성 판단 수단(130)은 프로토콜 확인 수단(120)에 의해 확인된 프로토콜 별로 유해성 여부를 판단하는 역할을 한다. Hazard determination means 130 serves to determine the hazard for each protocol identified by the protocol identification means 120.

유해성 판단 수단의 구성을 나타내는 도 3을 참조하면, 유해성 판단 수단(130)은 임계치 초과 판단 수단(131) 및 프래그먼트 검사 수단(132)를 포함하여 구성됨을 알 수 있다. Referring to FIG. 3 showing the configuration of the hazard determination means, it can be seen that the hazard determination means 130 includes a threshold exceeding determination means 131 and a fragment inspection means 132.

임계치 초과 판단 수단(131)은 사용자 단말로부터 분당 전송되는 패킷의 수가 임계치를 초과하는지 여부를 판단하여 상기 임계치를 초과하는 경우에는 상기 패킷이 유해하다고 판단하고, 상기 임계치 이하인 경우에는 상기 패킷이 유해하지 않는 것으로 판단하게 된다. 여기서, 상기 임계치는 프로토콜 확인 수단(120)에 의해 확인된 프로토콜에 따른 통신에 대해 중앙 관리 서버(200)로부터 내려받은 정책을 기반으로 설정할 수 있다. The threshold exceeding judging means 131 determines whether the number of packets transmitted per minute from the user terminal exceeds a threshold value, and determines that the packet is harmful when the threshold value is exceeded, and when the threshold value is less than the threshold value, the packet is not harmful. Will be judged not. Here, the threshold may be set based on a policy downloaded from the central management server 200 for the communication according to the protocol confirmed by the protocol checking means 120.

프래그먼트 검사 수단(132)은 상기 임계치 초과 판단 수단(131)의 판단 결과 상기 임계치 이하인 경우 상기 패킷의 프래그먼트를 검사하여 프래그먼트 공격이 있는지를 탐지하는 역할을 하는데, 상기 프래그먼트 공격이 있는 경우에는 상기 패킷이 유해하다고 판단하고, 상기 프래그먼트 공격이 없는 경우에는 상기 패킷이 유해하지 않는 것으로 판단하게 된다. The fragment inspection means 132 detects whether there is a fragment attack by inspecting the fragment of the packet when the threshold value exceeding determination means 131 is less than or equal to the threshold value. In the case of the fragment attack, the packet is detected. If it is determined to be harmful and there is no fragment attack, it is determined that the packet is not harmful.

여기서, 유해성 판단 수단(130)이 프로토콜 별로 유해성 여부를 판단하는 것을 좀 더 구체적으로 살펴보기로 한다. Here, the hazard determination means 130 will be described in more detail to determine whether the hazard for each protocol.

첫째, 프로토콜 확인 수단(120)의 확인 결과 사용자 단말(100)에서 나가는 패킷이 UDP(User Datagram Protocol) 패킷인 경우에는, 임계치 초과 판단 수단(131)은, 분당 전송되어 나가는 UDP 패킷의 수가 UDP 임계치를 초과하는지 여부 를 판단하여 상기 UDP 임계치를 초과하는 경우 상기 UDP 패킷이 유해하다고 판단한다. 여기서, 상기 UDP 임계치는 UDP 통신에 대해 중앙 관리 서버(200)로부터 내려받은 정책을 기반으로 설정할 수 있다.First, in the case where the packet outgoing from the user terminal 100 is a UDP packet (User Datagram Protocol) as a result of checking by the protocol checking unit 120, the threshold exceeding determination unit 131 determines that the number of UDP packets transmitted per minute is the UDP threshold. It is determined whether or not to exceed the UDP threshold is determined that the UDP packet is harmful. Here, the UDP threshold may be set based on a policy downloaded from the central management server 200 for UDP communication.

또한, 프래그먼트 검사 수단(132)은, 임계치 초과 판단 수단(131)의 판단 결과 상기 UDP 임계치 이하인 경우에는 상기 UDP 패킷의 프래그먼트를 검사하여 상기 프래그먼트 공격이 있는 경우에는 상기 UDP 패킷이 유해하다고 판단하고, 상기 프래그먼트 공격이 없는 경우에는 상기 UDP 패킷이 유해하지 않는 것으로 판단하게 된다. In addition, the fragment inspection means 132 checks the fragment of the UDP packet when the threshold value exceeding determination means 131 is less than the UDP threshold value, and determines that the UDP packet is harmful when there is the fragment attack, If there is no fragment attack, it is determined that the UDP packet is not harmful.

둘째, 프로토콜 확인 수단(120)의 확인 결과 사용자 단말(100)에서 나가는 패킷이 TCP 패킷인 경우에는, 임계치 초과 판단 수단(131)은, 분당 전송되어 나가는 TCP Syn/Ack 패킷의 수가 TCP Syn/Ack 임계치를 초과하는지 여부를 판단하여 상기 TCP Syn/Ack 임계치를 초과하는 경우 상기 TCP Syn/Ack 패킷이 유해하다고 판단한다. 또한, 상기 TCP Syn/Ack 임계치 이하인 경우에는 분당 전송되어 나가는 TCP Get 패킷의 수가 TCP Get 임계치를 초과하는지 여부를 판단하여 상기 TCP Get 임계치를 초과하는 경우 상기 TCP Get 패킷이 유해하다고 판단한다. 또한, 상기 TCP Get 임계치 이하인 경우에는 분당 전송되어 나가는 TCP RST/FIN 패킷의 수가 TCP RST/FIN 임계치를 초과하는지 여부를 판단하여 상기 TCP RST/FIN 임계치를 초과하는 경우 상기 TCP RST/FIN 패킷이 유해하다고 판단한다. Second, when the packet outgoing from the user terminal 100 is a TCP packet as a result of the protocol checking means 120, the threshold exceeding determination means 131 determines that the number of TCP Syn / Ack packets transmitted per minute is TCP Syn / Ack. It is determined whether the threshold is exceeded, and when the TCP Syn / Ack threshold is exceeded, it is determined that the TCP Syn / Ack packet is harmful. In addition, when the TCP Syn / Ack threshold is less than or equal to the number of TCP Get packets transmitted per minute, the TCP Get threshold is exceeded. When the TCP Get threshold is exceeded, the TCP Get packet is determined to be harmful. In addition, when the TCP Get threshold is less than or equal to the TCP RST / FIN threshold, the number of TCP RST / FIN packets transmitted per minute exceeds the TCP RST / FIN threshold. I judge it.

이 경우, 상기 임계치 초과 판단 수단(131)의 판단 결과 상기 TCP RST/FIN 임계치 이하인 경우에는, 프래그먼트 검사 수단(132)이 상기 TCP RST/FIN 패킷의 프래그먼트를 검사하여 상기 프래그먼트 공격이 있는 경우에는 상기 TCP RST/FIN 패킷이 유해하다고 판단하고, 상기 프래그먼트 공격이 없는 경우에는 상기 TCP RST/FIN 패킷이 유해하지 않는 것으로 판단한다. In this case, when it is determined that the threshold exceeded determination means 131 is less than or equal to the TCP RST / FIN threshold, the fragment inspection means 132 examines the fragment of the TCP RST / FIN packet and the fragment is attacked. If it is determined that the TCP RST / FIN packet is harmful and there is no fragment attack, it is determined that the TCP RST / FIN packet is not harmful.

셋째, 프로토콜 확인 수단(120)의 확인 결과 사용자 단말(100)에서 나가는 패킷이 ICMP(Internet Control Message Protocol) 패킷인 경우에는, 임계치 초과 판단 수단(131)은 분당 전송되어 나가는 ICMP 패킷의 수가 ICMP 임계치를 초과하는지 여부를 판단하여 상기 ICMP 임계치를 초과하는 경우 상기 ICMP 패킷이 유해하다고 판단한다. 여기서, 상기 ICMP 임계치는 ICMP 통신에 대해 중앙 관리 서버(200)로부터 내려받은 정책을 기반으로 설정할 수 있다. Third, in the case where the packet outgoing from the user terminal 100 is an ICMP (Internet Control Message Protocol) packet as a result of checking by the protocol confirming means 120, the threshold exceeding determination means 131 transmits the ICMP threshold number of ICMP packets transmitted per minute. If the ICMP threshold is exceeded, it is determined that the ICMP packet is harmful. Here, the ICMP threshold may be set based on a policy downloaded from the central management server 200 for ICMP communication.

또한, 프래그먼트 검사 수단(132)은, 상기 임계치 초과 판단 수단(131)의 판단 결과 상기 ICMP 임계치 이하인 경우에는 상기 ICMP 패킷의 프래그먼트를 검사하여 상기 프래그먼트 공격이 있는 경우에는 상기 ICMP 패킷이 유해하다고 판단하고, 상기 프래그먼트 공격이 없는 경우에는 상기 ICMP 패킷이 유해하지 않는 것으로 판단하게 된다. In addition, the fragment inspection means 132 examines the fragment of the ICMP packet when the threshold value exceeding determination means 131 is less than the ICMP threshold, and determines that the ICMP packet is harmful when there is the fragment attack. If there is no fragment attack, it is determined that the ICMP packet is not harmful.

다시 도 2로 돌아오면, 패킷 차단 수단(140)은 변조 판단 수단(110)의 판단 결과 상기 출발지 IP 주소가 변조된 경우 또는 상기 유해성 판단 수단(130)의 판단 결과 유해한 패킷이라고 판단된 경우에는 그 패킷을 차단하는 역할을 할 수 있다. 2, if the source IP address is modified as a result of the determination by the modulation determining unit 110 or when it is determined that the packet is harmful as a result of the determination by the harmfulness determination unit 130, It can serve to block packets.

패킷 전송 수단(150)은 유해성 판단 수단(130)의 판단 결과 유해하지 않다고 판단된 경우에는 상기 패킷을 외부로 전송하는 역할을 한다. If it is determined that the harmfulness means 130 is not harmful, the packet transmitting means 150 transmits the packet to the outside.

제어 수단(160)은 전술한 각 수단들을 제어하고 각 수단들 간에 상호 작용할 수 있도록 신호를 전달하는 역할을 한다. The control means 160 controls each of the aforementioned means and transmits a signal to interact with each other.

도 4는 본 발명의 실시예에 따른 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 방법의 전체 흐름을 나타내는 도면이다. 4 is a view showing the overall flow of a method for blocking harmful packets outgoing from the user terminal according to an embodiment of the present invention.

먼저, 사용자 단말(100)로부터 나가는 패킷의 출발지 IP 주소가 변조되었는지 여부를 판단한다(S110). First, it is determined whether the source IP address of the packet outgoing from the user terminal 100 is modulated (S110).

상기 판단 결과 변조된 경우에는 상기 패킷을 차단하고(S170), 변조되지 않은 경우에는 상기 패킷의 프로토콜을 확인하여 프로토콜 별로 유해성 여부를 판단한다(S120). If the result of the determination is modulated, the packet is blocked (S170). If the packet is not modulated, the protocol of the packet is checked to determine whether the packet is harmful for each protocol (S120).

여기서, 패킷의 프로토콜로는 크게 3가지로 나눌 수 있는 바, UDP, TCP 및 ICMP로 분류할 수 있다. Here, the packet protocols can be broadly classified into three types, which can be classified into UDP, TCP, and ICMP.

먼저, 상기 패킷이 UDP(User Datagram Protocol) 패킷인 경우에는, 분당 전송되는 UDP 패킷의 수가 UDP 임계치를 초과하는지 여부를 판단한다(S132). 상기 UDP 임계치를 초과하는 경우에는 상기 UDP 패킷이 유해하다고 판단하고(S170), 상기 UDP 임계치 이하인 경우에는 상기 UDP 패킷의 프래그먼트를 검사하여 프래그먼트 공격이 있는지를 탐지한다(S134). 상기 프래그먼트 공격이 있는 경우에는 상기 UDP 패킷이 유해하다고 판단하고(S170), 상기 프래그먼트 공격이 없는 경우에는 상기 UDP 패킷이 유해하지 않는 것으로 판단하여 패킷을 외부로 전송한다(S160). First, when the packet is a UDP (User Datagram Protocol) packet, it is determined whether the number of UDP packets transmitted per minute exceeds the UDP threshold (S132). If the UDP threshold is exceeded, it is determined that the UDP packet is harmful (S170). If the UDP threshold is less than the UDP threshold, the fragment of the UDP packet is examined to detect whether there is a fragment attack (S134). If there is the fragment attack, it is determined that the UDP packet is harmful (S170). If there is no fragment attack, it is determined that the UDP packet is not harmful and transmits the packet to the outside (S160).

둘째, 상기 패킷이 TCP 패킷인 경우에는, 분당 전송되는 TCP Syn/Ack 패킷의 수가 TCP Syn/Ack 임계치를 초과하는지 여부를 판단한다(S142). 여기서, TCP Syn/Ack 패킷의 정상적인 통신 과정에서는 도 6a에서와 같이, 사용자 PC와 서버가 통신을 위해 TCP 연결을 위해 서로의 응답을 확인하고 다음 연결 단계를 거쳐 안전하게 통신을 하게 된다. 하지만, 비정상적인 통신 과정에서는 도 6b에서와 같이, Victim 서버로의 연결 시도 후 응답 확인 과정을 거치지 않고 대량의 연결 시도를 반복적으로 수행함으로써, Victim 서버의 대기 큐를 고갈시키는 피해가 발생된다. Second, if the packet is a TCP packet, it is determined whether the number of TCP Syn / Ack packets transmitted per minute exceeds the TCP Syn / Ack threshold (S142). Here, in the normal communication process of the TCP Syn / Ack packet, as shown in FIG. 6A, the user PC and the server confirm each other's response for TCP connection for communication, and communicate safely through the next connection step. However, in an abnormal communication process, as shown in FIG. 6B, after repeatedly attempting to connect to the Victim server, a large amount of connection attempts are repeatedly performed, thereby damaging the exhaust queue.

이러한 Syn/Ack 공격은 중앙 관리 서버(200)로부터 내려받은 임계치 정책을 기반으로 대량의 단 방향성 연결시도를 차단 할 수 있다. 즉, 상기 TCP Syn/Ack 임계치를 초과하는 경우에는 상기 TCP Syn/Ack 패킷이 유해하다고 판단하고(S170), 상기 TCP Syn/Ack 임계치 이하인 경우에는 분당 전송되는 TCP Get 패킷의 수가 TCP Get 임계치를 초과하는지 여부를 판단한다(S144). Such a Syn / Ack attack can block a large number of unidirectional connection attempts based on the threshold policy downloaded from the central management server 200. That is, if the TCP Syn / Ack threshold is exceeded, the TCP Syn / Ack packet is determined to be harmful (S170). If the TCP Syn / Ack threshold is less than the TCP Syn / Ack threshold, the number of TCP Get packets transmitted per minute exceeds the TCP Get threshold. It is determined whether or not (S144).

여기서, TCP Get 패킷의 정상적인 통신 과정에서는 도 7a에서와 같이, 사용자 PC와 서버가 통신을 위해 서로의 응답을 확인하고 다음 연결 단계를 거쳐 안전하게 통신을 하게 된다. 하지만, 비정상적인 통신 과정에서는 도 7b에서와 같이, Victim 서버로의 연결 시도 후 응답 확인 과정을 거치지 않고 데이터 요청을 반복적으로 수행함으로써 Victim 자원을 고갈시키게 된다. Here, in the normal communication process of the TCP Get packet, as shown in FIG. 7A, the user PC and the server confirm each other's response for communication and communicate safely through the next connection step. However, in an abnormal communication process, as shown in FIG. 7B, Victim resources are depleted by repeatedly performing a data request without going through a response confirmation process after attempting to connect to a Victim server.

이러한 서버 부하 유발 공격에 대해 중앙 관리 서버(200)로부터 내려받은 Get 패킷에 대한 임계치 정책을 기반으로 대량의 데이터 요청 공격인 Get 플러딩 공격을 차단할 수 있다. 즉, 상기 TCP Get 임계치를 초과하는 경우에는 상기 TCP Get 패킷이 유해하다고 판단하고(S170), 상기 TCP Get 임계치 이하인 경우에는 분당 전송되는 TCP RST/FIN 패킷의 수가 TCP RST/FIN 임계치를 초과하는지 여부를 판단한다(S146). In response to the server load-induced attack, the Get flooding attack, which is a large data request attack, may be blocked based on the threshold policy for the Get packet downloaded from the central management server 200. That is, if the TCP Get threshold is exceeded, it is determined that the TCP Get packet is harmful (S170). If the TCP Get threshold is less than the TCP Get threshold, whether the number of TCP RST / FIN packets transmitted per minute exceeds the TCP RST / FIN threshold. Determine (S146).

상기 TCP RST/FIN 임계치를 초과하는 경우에는 상기 TCP RST/FIN 패킷이 유해하다고 판단하고(S170), 상기 TCP RST/FIN 임계치 이하인 경우에는 상기 TCP RST/FIN 패킷의 프래그먼트를 검사하여 프래그먼트 공격이 있는지 여부를 탐지한다(S148). 상기 프래그먼트 공격이 있는 경우에는 상기 TCP RST/FIN 패킷이 유해하다고 판단하고(S170), 상기 프래그먼트 공격이 없는 경우에는 상기 TCP RST/FIN 패킷이 유해하지 않는 것으로 판단하여 패킷을 외부로 전송한다(S160).If the TCP RST / FIN threshold is exceeded, it is determined that the TCP RST / FIN packet is harmful (S170). If the TCP RST / FIN threshold is less than the TCP RST / FIN threshold, the fragment of the TCP RST / FIN packet is examined to determine whether there is a fragment attack. Whether it is detected (S148). If there is the fragment attack, it is determined that the TCP RST / FIN packet is harmful (S170). If there is no fragment attack, it is determined that the TCP RST / FIN packet is not harmful and transmits the packet to the outside (S160). ).

셋째, 상기 패킷이 ICMP(Internet Control Message Protocol) 패킷인 경우에는, 분당 전송되는 ICMP 패킷의 수가 ICMP 임계치를 초과하는지 여부를 판단한다(S152). 상기 ICMP 임계치를 초과하는 경우에는 상기 ICMP 패킷이 유해하다고 판단하고(S170), 상기 ICMP 임계치 이하인 경우에는 상기 ICMP 패킷의 프래그먼트를 검사하여 프래그먼트 공격이 있는지를 탐지한다(S154). 상기 프래그먼트 공격이 있는 경우에는 상기 ICMP 패킷이 유해하다고 판단하고(S170), 상기 프래그먼트 공격이 없는 경우에는 상기 ICMP 패킷이 유해하지 않는 것으로 판단하여 패킷을 외부로 전송한다(S160).Third, if the packet is an Internet Control Message Protocol (ICMP) packet, it is determined whether the number of ICMP packets transmitted per minute exceeds the ICMP threshold (S152). If the ICMP threshold is exceeded, the ICMP packet is determined to be harmful (S170). If the ICMP threshold is less than the ICMP threshold, the fragment of the ICMP packet is inspected to detect whether there is a fragment attack (S154). If there is the fragment attack, it is determined that the ICMP packet is harmful (S170). If there is no fragment attack, it is determined that the ICMP packet is not harmful and transmits the packet to the outside (S160).

한편, 본 발명의 실시예에 따른 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 방법은 이 방법을 실행하기 위한 프로그램을 기록한 컴퓨터로 판독 가능한 기록매체에 저장되어 구현 가능하다. On the other hand, the method for blocking harmful packets outgoing from the user terminal according to an embodiment of the present invention can be implemented by being stored in a computer-readable recording medium recording a program for executing the method.

이상과 같이 본 발명을 도면에 도시한 실시예를 참고하여 설명하였으나, 이는 발명을 설명하기 위한 것일 뿐이며, 본 발명이 속하는 기술 분야의 통상의 지식을 가진 자라면 발명의 상세한 설명으로부터 다양한 변형 또는 균등한 실시예가 가 능하다는 것을 이해할 수 있을 것이다. 따라서 본 발명의 진정한 권리범위는 특허청구범위의 기술적 사상에 의해 결정되어야 한다. As described above, the present invention has been described with reference to the embodiments shown in the drawings, but it is only for the purpose of describing the present invention. It will be appreciated that one embodiment is possible. Accordingly, the true scope of the present invention should be determined by the technical idea of the claims.

도 1은 본 발명의 일 실시예에 따른 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 시스템의 전체 구성도를 나타내는 도면이다. 1 is a view showing the overall configuration of a system for blocking harmful packets outgoing from the user terminal according to an embodiment of the present invention.

도 2는 본 발명의 실시예에 따른 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치의 구성을 나타내는 도면이다. 2 is a view showing the configuration of a device for blocking harmful packets outgoing from the user terminal according to an embodiment of the present invention.

도 3은 상기 도 2에 도시된 유해성 판단 수단의 구성을 나타내는 도면이다. 3 is a diagram showing the configuration of the hazard determination means shown in FIG.

도 4는 본 발명의 실시예에 따른 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 방법의 전체 흐름을 나타내는 도면이다. 4 is a view showing the overall flow of a method for blocking harmful packets outgoing from the user terminal according to an embodiment of the present invention.

도 5는 본 발명의 실시예에 따른 사용자 단말로부터 나가는 패킷의 출발지 IP 주소의 변조 여부를 판단하는 원리를 나타내는 도면이다. 5 is a diagram illustrating a principle of determining whether a source IP address of a packet sent from a user terminal is modulated according to an embodiment of the present invention.

도 6a는 TCP Syn/Ack 패킷의 정상적인 통신 과정을 나타내는 도면이다. 6A is a diagram illustrating a normal communication process of a TCP Syn / Ack packet.

도 6b는 TCP Syn/Ack 패킷의 공격 과정을 나타내는 도면이다. 6B is a diagram illustrating an attack process of a TCP Syn / Ack packet.

도 7a는 TCP Get 패킷의 정상적인 통신 과정을 나타내는 도면이다. 7A is a diagram illustrating a normal communication process of a TCP Get packet.

도 7b는 TCP Get 패킷의 공격 과정을 나타내는 도면이다. 7B is a diagram illustrating an attack process of a TCP Get packet.

Claims (17)

사용자 단말로부터 나가는 패킷의 출발지 인터넷 프로토콜 주소가 변조되었는지 여부를 판단하는 변조 판단 수단; Modulation determination means for determining whether or not the source Internet protocol address of the outgoing packet from the user terminal has been modulated; 상기 변조 판단 수단의 판단 결과 상기 출발지 인터넷 프로토콜 주소가 변조된 경우에는 상기 패킷을 차단하는 패킷 차단 수단을 포함하는, 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치. And a packet blocking means for blocking the packet when the source Internet protocol address is modified as a result of the determination by the modulation determining means. 제 1 항에 있어서, The method of claim 1, 상기 변조 판단 수단의 판단 결과 상기 출발지 인터넷 프로토콜 주소가 변조되지 않은 경우에는 상기 패킷의 프로토콜을 확인하는 프로토콜 확인 수단; Protocol confirmation means for confirming a protocol of the packet when the source Internet protocol address is not modulated as a result of the determination by the modulation determination means; 상기 확인된 프로토콜 별로 유해성 여부를 판단하는 유해성 판단 수단;Hazard determination means for determining the hazard for each identified protocol; 상기 유해성 판단 수단의 판단 결과 유해하지 않은 경우에는 상기 패킷을 외부로 전송하는 패킷 전송 수단을 더 포함하며, If it is not harmful as a result of the determination of the harmfulness determining means further comprises a packet transmitting means for transmitting the packet to the outside, 상기 유해성 판단 수단의 판단 결과 유해한 경우에는 상기 패킷 차단 수단이 상기 패킷을 차단하는, 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치. And the packet blocking means blocks the harmful packet outgoing from the user terminal when the harmfulness determination means is harmful. 제 2 항에 있어서, The method of claim 2, 상기 변조 판단 수단은, The modulation determination means, 상기 사용자 단말로부터 나가는 패킷의 헤더 영역의 인터넷 프로토콜 주소와 상기 사용자 단말에 설정되어 있는 인터넷 프로토콜 주소를 비교함으로써 변조되었는지 여부를 판단하는, 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치.And determining whether the packet has been tampered with by comparing the Internet protocol address in the header area of the packet outgoing from the user terminal with the Internet protocol address set in the user terminal. 제 2 항 또는 제 3 항에 있어서, The method according to claim 2 or 3, 상기 유해성 판단 수단은, The hazard determination means, 상기 사용자 단말로부터 분당 전송되는 패킷의 수가 임계치를 초과하는지 여부를 판단하여 상기 임계치를 초과하는 경우에는 상기 패킷이 유해하다고 판단하고, 상기 임계치 이하인 경우에는 상기 패킷이 유해하지 않는 것으로 판단하는 임계치 초과 판단 수단; It is determined whether the number of packets transmitted per minute from the user terminal exceeds a threshold value. If the threshold value is exceeded, the packet is determined to be harmful, and when the threshold value is less than the threshold value, the threshold is exceeded to determine that the packet is not harmful. Way; 상기 임계치 초과 판단 수단의 판단 결과 상기 임계치 이하인 경우 상기 패킷의 프래그먼트를 검사하여 프래그먼트 공격이 있는지를 탐지하여 상기 프래그먼트 공격이 있는 경우에는 상기 패킷이 유해하다고 판단하고, 상기 프래그먼트 공격이 없는 경우에는 상기 패킷이 유해하지 않는 것으로 판단하는 프래그먼트 검사 수단을 포함하는, 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치.If it is less than the threshold as a result of the determination of the threshold exceeding means, the fragment of the packet is examined to detect whether there is a fragment attack. If there is the fragment attack, the packet is determined to be harmful, and if there is no fragment attack, the packet is detected. An apparatus for blocking harmful packets outgoing from the user terminal, comprising fragment inspection means for determining that the harmful signals are not harmful. 제 4 항에 있어서, The method of claim 4, wherein 상기 프로토콜 확인 수단의 확인 결과 상기 패킷이 UDP(User Datagram Protocol) 패킷인 경우에, When the packet is a UDP (User Datagram Protocol) packet as a result of confirming the protocol checking means, 상기 임계치 초과 판단 수단은, 분당 전송되는 UDP 패킷의 수가 UDP 임계치를 초과하는지 여부를 판단하여 상기 UDP 임계치를 초과하는 경우 상기 UDP 패킷이 유해하다고 판단하며, The threshold exceeding determination means determines whether the number of UDP packets transmitted per minute exceeds a UDP threshold, and determines that the UDP packet is harmful when the UDP threshold is exceeded. 상기 프래그먼트 검사 수단은, 상기 임계치 초과 판단 수단의 판단 결과 상기 UDP 임계치 이하인 경우에는 상기 UDP 패킷의 프래그먼트를 검사하여 상기 프래그먼트 공격이 있는 경우에는 상기 UDP 패킷이 유해하다고 판단하고, 상기 프래그먼트 공격이 없는 경우에는 상기 UDP 패킷이 유해하지 않는 것으로 판단하는, 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치.When the fragment inspection means determines that the UDP threshold is less than the UDP threshold as a result of the determination by the threshold exceeding means, the fragment inspection means determines that the UDP packet is harmful when the fragment attack exists, and when the fragment attack does not exist. The apparatus for blocking harmful packets outgoing from the user terminal to determine that the UDP packet is not harmful. 제 4 항에 있어서,The method of claim 4, wherein 상기 프로토콜 확인 수단의 확인 결과 상기 패킷이 TCP 패킷인 경우에, When the packet is a TCP packet as a result of confirming the protocol checking means, 상기 임계치 초과 판단 수단은,The threshold exceeding determination means, 분당 전송되는 TCP Syn/Ack 패킷의 수가 TCP Syn/Ack 임계치를 초과하는지 여부를 판단하여 상기 TCP Syn/Ack 임계치를 초과하는 경우 상기 TCP Syn/Ack 패킷이 유해하다고 판단하며, 상기 TCP Syn/Ack 임계치 이하인 경우에는 분당 전송되는 TCP Get 패킷의 수가 TCP Get 임계치를 초과하는지 여부를 판단하여 상기 TCP Get 임계치를 초과하는 경우 상기 TCP Get 패킷이 유해하다고 판단하며, 상기 TCP Get 임계치 이하인 경우에는 분당 전송되는 TCP RST/FIN 패킷의 수가 TCP RST/FIN 임계치를 초과하는지 여부를 판단하여 상기 TCP RST/FIN 임계치를 초과하는 경우 상기 TCP RST/FIN 패킷이 유해하다고 판단하며, It is determined whether the number of TCP Syn / Ack packets transmitted per minute exceeds the TCP Syn / Ack threshold, and when the TCP Syn / Ack threshold is exceeded, the TCP Syn / Ack packet is determined to be harmful, and the TCP Syn / Ack threshold is determined. If it is less than or equal to the number of TCP Get packets transmitted per minute is determined whether or not exceeds the TCP Get threshold, if the TCP Get threshold is exceeded, it is determined that the TCP Get packet is harmful, if it is less than the TCP Get threshold, TCP transmitted per minute It is determined whether the number of RST / FIN packets exceeds the TCP RST / FIN threshold, and when the TCP RST / FIN threshold is exceeded, the TCP RST / FIN packet is determined to be harmful. 상기 프래그먼트 검사 수단은, 상기 임계치 초과 판단 수단의 판단 결과 상기 TCP RST/FIN 임계치 이하인 경우에는 상기 TCP RST/FIN 패킷의 프래그먼트를 검사하여 상기 프래그먼트 공격이 있는 경우에는 상기 TCP RST/FIN 패킷이 유해하다고 판단하고, 상기 프래그먼트 공격이 없는 경우에는 상기 TCP RST/FIN 패킷이 유해하지 않는 것으로 판단하는, 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치.The fragment checking means checks the fragment of the TCP RST / FIN packet when the TCP RST / FIN threshold is less than the TCP RST / FIN threshold as a result of the determination by the threshold exceeding determination means. And judging that the TCP RST / FIN packet is not harmful when there is no fragment attack. 제 4 항에 있어서,The method of claim 4, wherein 상기 프로토콜 확인 수단의 확인 결과 상기 패킷이 ICMP(Internet Control Message Protocol) 패킷인 경우에, When the packet is an Internet Control Message Protocol (ICMP) packet as a result of confirming the protocol checking means, 상기 임계치 초과 판단 수단은, 분당 전송되는 ICMP 패킷의 수가 ICMP 임계치를 초과하는지 여부를 판단하여 상기 ICMP 임계치를 초과하는 경우 상기 ICMP 패킷이 유해하다고 판단하며, The threshold exceeding judging means determines whether the number of ICMP packets transmitted per minute exceeds an ICMP threshold, and determines that the ICMP packet is harmful when the ICMP threshold is exceeded. 상기 프래그먼트 검사 수단은, 상기 임계치 초과 판단 수단의 판단 결과 상기 ICMP 임계치 이하인 경우에는 상기 ICMP 패킷의 프래그먼트를 검사하여 상기 프래그먼트 공격이 있는 경우에는 상기 ICMP 패킷이 유해하다고 판단하고, 상기 프래그먼트 공격이 없는 경우에는 상기 ICMP 패킷이 유해하지 않는 것으로 판단하는, 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치.If the fragment inspection means determines that the ICMP packet is harmful when the fragment is less than the ICMP threshold as a result of the determination by the threshold determination means, the fragment of the ICMP packet is detected and the fragment attack exists, and the fragment attack is not present. And the harmful packet is blocked from the user terminal to determine that the ICMP packet is not harmful. 외부로 전송되는 패킷의 출발지 인터넷 프로토콜 주소의 변조 여부를 파악하 여 변조된 패킷을 차단하고, 변조되지 않은 패킷의 전송 개수와 임계치의 비교 결과에 따라 유해한 패킷을 차단하는 유해 패킷 차단 장치가 설치된 사용자 단말; User installed with harmful packet blocking device that blocks outgoing packet by understanding whether source Internet protocol address of outgoing packet has been tampered with, and blocks harmful packet according to the result of comparing the number of unmodulated packet and threshold Terminal; 복수의 사용자 단말에 각각 설치되어 있는 상기 유해 패킷 차단 장치를 관리하며, 상기 사용자 단말의 보안 정책을 설정하고, 상기 사용자 단말의 로그 정보를 수집하는 중앙 관리 서버; A central management server that manages the harmful packet blocking apparatus installed in each of a plurality of user terminals, sets a security policy of the user terminal, and collects log information of the user terminal; 상기 수집된 로그 정보를 저장하고, 상기 저장된 로그 정보를 이용하여 통계를 산출하는 로그 저장 데이터베이스를 포함하는, 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 시스템. And a log storage database that stores the collected log information and calculates statistics using the stored log information. 제 8 항에 있어서, The method of claim 8, 상기 유해 패킷 차단 장치는, The harmful packet blocking device, 상기 사용자 단말로부터 나가는 패킷의 출발지 인터넷 프로토콜 주소가 변조되었는지 여부를 판단하는 변조 판단 수단; Modulation determination means for determining whether or not the source Internet protocol address of the outgoing packet from the user terminal has been modulated; 상기 판단 결과 상기 출발지 인터넷 프로토콜 주소가 변조되지 않은 경우에는 상기 패킷의 프로토콜을 확인하는 프로토콜 확인 수단; Protocol confirmation means for confirming a protocol of the packet when the source Internet protocol address is not modified as a result of the determination; 상기 확인된 프로토콜 별로 유해성 여부를 판단하는 유해성 판단 수단; Hazard determination means for determining the hazard for each identified protocol; 상기 변조 판단 수단의 판단 결과 상기 출발지 인터넷 프로토콜 주소가 변조된 경우 또는 상기 유해성 판단 수단의 판단 결과 유해한 경우에는 상기 패킷을 차단하는 패킷 차단 수단; Packet blocking means for blocking the packet when the source Internet protocol address is modified as a result of the determination by the modulation determining means or when it is harmful as a result of the determination by the harmfulness determining means; 상기 유해성 판단 수단의 판단 결과 유해하지 않은 경우에는 상기 패킷을 외 부로 전송하는 패킷 전송 수단을 포함하는, 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 시스템.And a packet transmitting means for transmitting the packet to the outside when it is not harmful as a result of the determination by the harmfulness judging means. 제 8 항에 있어서, The method of claim 8, 상기 변조 판단 수단은, The modulation determination means, 상기 사용자 단말로부터 나가는 패킷의 헤더 영역의 인터넷 프로토콜 주소와 상기 사용자 단말에 설정되어 있는 인터넷 프로토콜 주소를 비교함으로써 변조되었는지 여부를 판단하는, 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 시스템.And determining whether the packet has been tampered with by comparing the Internet protocol address in the header area of the packet outgoing from the user terminal with the Internet protocol address set in the user terminal. 제 8 항에 있어서, The method of claim 8, 상기 중앙 관리 서버는, The central management server, 상기 출발지 인터넷 프로토콜 주소가 변조된 패킷 또는 상기 유해성 판단 수단의 판단 결과 유해하다고 판단된 패킷의 활동 통계를 산출하고, 상기 산출된 활동 통계의 분석 결과 위험하다고 판단되는 경우 상기 사용자 단말에게 실시간으로 통지하는, 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 시스템.Calculating the activity statistics of the packet of which the source Internet protocol address has been modified or the packet determined to be harmful as a result of the determination of the harmfulness means, and notifying the user terminal in real time if it is determined that the risk is a result of the analysis of the calculated activity statistics; System for blocking harmful packets outgoing from the user terminal. 사용자 단말로부터 나가는 패킷의 출발지 인터넷 프로토콜 주소가 변조되었는지 여부를 판단하는 단계; Determining whether the source Internet protocol address of the outgoing packet from the user terminal has been tampered with; 상기 판단 결과 상기 출발지 인터넷 프로토콜 주소가 변조된 경우에는 상기 패킷을 차단하는 단계를 포함하는, 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 방법. Blocking the packet when the source Internet protocol address is modified as a result of the determination. 제 12 항에 있어서, 13. The method of claim 12, 상기 판단 결과 상기 출발지 인터넷 프로토콜 주소가 변조되지 않은 경우에는 상기 패킷의 프로토콜을 확인하는 단계; Confirming a protocol of the packet when the source internet protocol address is not modified as a result of the determination; 상기 확인된 프로토콜 별로 유해성 여부를 판단하는 단계; Determining whether harmfulness is determined for each of the identified protocols; 상기 유해성 여부의 판단 결과 유해한 경우에는 상기 패킷을 차단하고, 유해하지 않은 경우에는 상기 패킷을 외부로 전송하는 단계를 포함하는, 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 방법. And blocking the packet if it is harmful as a result of the determination of the harmfulness, and transmitting the packet to the outside if it is not harmful. 제 12 항 또는 제 13 항에 있어서, The method according to claim 12 or 13, 상기 출발지 인터넷 프로토콜 주소가 변조되었는지 여부를 판단하는 단계는, Determining whether or not the source Internet Protocol address has been modified, 상기 사용자 단말로부터 나가는 패킷의 헤더 영역의 인터넷 프로토콜 주소와 상기 사용자 단말에 설정되어 있는 인터넷 프로토콜 주소를 비교함으로써 변조되었는지 여부를 판단하는 단계인, 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 방법.And determining whether the packet has been tampered with by comparing the Internet protocol address of the header area of the packet outgoing from the user terminal with the Internet protocol address set in the user terminal. 제 13 항에 있어서, The method of claim 13, 상기 유해성 여부를 판단하는 단계는, Determining whether the hazard is, 상기 패킷의 프로토콜을 확인한 결과 상기 패킷이 UDP(User Datagram Protocol) 패킷인 경우에는, After checking the protocol of the packet, if the packet is a UDP (User Datagram Protocol) packet, 분당 전송되는 UDP 패킷의 수가 UDP 임계치를 초과하는지 여부를 판단하는 단계; Determining whether the number of UDP packets transmitted per minute exceeds a UDP threshold; 상기 UDP 임계치를 초과하는 경우에는 상기 UDP 패킷이 유해하다고 판단하고, 상기 UDP 임계치 이하인 경우에는 상기 UDP 패킷의 프래그먼트를 검사하여 프래그먼트 공격이 있는지를 탐지하는 단계; Determining that the UDP packet is harmful when the UDP threshold is exceeded, and detecting a fragment attack by inspecting a fragment of the UDP packet when the UDP packet is less than the UDP threshold; 상기 프래그먼트 공격이 있는 경우에는 상기 UDP 패킷이 유해하다고 판단하고, 상기 프래그먼트 공격이 없는 경우에는 상기 UDP 패킷이 유해하지 않는 것으로 판단하는 단계를 포함하는, 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 방법.And determining that the UDP packet is harmful when there is the fragment attack, and determining that the UDP packet is not harmful when there is no fragment attack. . 제 13 항에 있어서, The method of claim 13, 상기 유해성 여부를 판단하는 단계는, Determining whether the hazard is, 상기 패킷의 프로토콜을 확인한 결과 상기 패킷이 TCP 패킷인 경우에는, If the packet is a TCP packet as a result of checking the protocol of the packet, 분당 전송되는 TCP Syn/Ack 패킷의 수가 TCP Syn/Ack 임계치를 초과하는지 여부를 판단하는 단계; Determining whether the number of TCP Syn / Ack packets transmitted per minute exceeds a TCP Syn / Ack threshold; 상기 TCP Syn/Ack 임계치를 초과하는 경우에는 상기 TCP Syn/Ack 패킷이 유해하다고 판단하고, 상기 TCP Syn/Ack 임계치 이하인 경우에는 분당 전송되는 TCP Get 패킷의 수가 TCP Get 임계치를 초과하는지 여부를 판단하는 단계;When the TCP Syn / Ack threshold is exceeded, it is determined that the TCP Syn / Ack packet is harmful. When the TCP Syn / Ack threshold is less than the TCP Syn / Ack threshold, it is determined whether the number of TCP Get packets transmitted per minute exceeds the TCP Get threshold. step; 상기 TCP Get 임계치를 초과하는 경우에는 상기 TCP Get 패킷이 유해하다고 판단하고, 상기 TCP Get 임계치 이하인 경우에는 분당 전송되는 TCP RST/FIN 패킷의 수가 TCP RST/FIN 임계치를 초과하는지 여부를 판단하는 단계; Determining that the TCP Get packet is harmful when the TCP Get threshold is exceeded, and determining whether the number of TCP RST / FIN packets transmitted per minute exceeds the TCP RST / FIN threshold when the TCP Get threshold is less than the TCP Get threshold; 상기 TCP RST/FIN 임계치를 초과하는 경우에는 상기 TCP RST/FIN 패킷이 유해하다고 판단하고, 상기 TCP RST/FIN 임계치 이하인 경우에는 상기 TCP RST/FIN 패킷의 프래그먼트를 검사하여 프래그먼트 공격이 있는지를 탐지하는 단계; When the TCP RST / FIN threshold is exceeded, it is determined that the TCP RST / FIN packet is harmful, and when the TCP RST / FIN threshold is lower than the TCP RST / FIN threshold, the fragment of the TCP RST / FIN packet is examined to detect whether there is a fragment attack. step; 상기 프래그먼트 공격이 있는 경우에는 상기 TCP RST/FIN 패킷이 유해하다고 판단하고, 상기 프래그먼트 공격이 없는 경우에는 상기 TCP RST/FIN 패킷이 유해하지 않는 것으로 판단하는 단계를 포함하는, 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 방법.Determining that the TCP RST / FIN packet is harmful when there is the fragment attack, and determining that the TCP RST / FIN packet is not harmful when there is no fragment attack. How to block harmful packets. 제 13 항에 있어서, The method of claim 13, 상기 유해성 여부를 판단하는 단계는, Determining whether the hazard is, 상기 패킷의 프로토콜을 확인한 결과 상기 패킷이 ICMP(Internet Control Message Protocol) 패킷인 경우에는, Checking the protocol of the packet, if the packet is an Internet Control Message Protocol (ICMP) packet, 분당 전송되는 ICMP 패킷의 수가 ICMP 임계치를 초과하는지 여부를 판단하는 단계; Determining whether the number of ICMP packets transmitted per minute exceeds an ICMP threshold; 상기 ICMP 임계치를 초과하는 경우에는 상기 ICMP 패킷이 유해하다고 판단하고, 상기 ICMP 임계치 이하인 경우에는 상기 ICMP 패킷의 프래그먼트를 검사하여 프래그먼트 공격이 있는지를 탐지하는 단계; Determining that the ICMP packet is harmful when the ICMP threshold is exceeded, and detecting a fragment attack by inspecting a fragment of the ICMP packet when the ICMP packet is less than the ICMP threshold; 상기 프래그먼트 공격이 있는 경우에는 상기 ICMP 패킷이 유해하다고 판단하고, 상기 프래그먼트 공격이 없는 경우에는 상기 ICMP 패킷이 유해하지 않는 것으로 판단하는 단계를 포함하는, 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 방법.And determining that the ICMP packet is harmful when there is the fragment attack, and determining that the ICMP packet is not harmful when the fragment attack is not present. .
KR1020090085455A 2009-09-10 2009-09-10 Apparatus, System and Method for Blocking Harmful Packets Outgoing from User Terminal Ceased KR20110027386A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090085455A KR20110027386A (en) 2009-09-10 2009-09-10 Apparatus, System and Method for Blocking Harmful Packets Outgoing from User Terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090085455A KR20110027386A (en) 2009-09-10 2009-09-10 Apparatus, System and Method for Blocking Harmful Packets Outgoing from User Terminal

Publications (1)

Publication Number Publication Date
KR20110027386A true KR20110027386A (en) 2011-03-16

Family

ID=43934208

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090085455A Ceased KR20110027386A (en) 2009-09-10 2009-09-10 Apparatus, System and Method for Blocking Harmful Packets Outgoing from User Terminal

Country Status (1)

Country Link
KR (1) KR20110027386A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013166126A1 (en) * 2012-05-01 2013-11-07 Taasera, Inc. Systems and methods for providing mobile security based on dynamic attestation
WO2014038737A1 (en) * 2012-09-07 2014-03-13 에스케이텔레콤 주식회사 Network traffic management system using monitoring policy and filtering policy, and method thereof
US9467360B2 (en) 2011-06-27 2016-10-11 Sk Telecom Co., Ltd. System, device and method for managing network traffic by using monitoring and filtering policies
KR101910496B1 (en) * 2018-01-19 2018-10-26 주식회사 애니아이티 Network based proxy setting detection system through wide area network internet protocol(IP) validation and method of blocking harmful site access using the same
KR20220027929A (en) * 2019-07-03 2022-03-08 넷플릭스, 인크. Attack Mitigation in Packet-Switching Networks

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9467360B2 (en) 2011-06-27 2016-10-11 Sk Telecom Co., Ltd. System, device and method for managing network traffic by using monitoring and filtering policies
WO2013166126A1 (en) * 2012-05-01 2013-11-07 Taasera, Inc. Systems and methods for providing mobile security based on dynamic attestation
US8776180B2 (en) 2012-05-01 2014-07-08 Taasera, Inc. Systems and methods for using reputation scores in network services and transactions to calculate security risks to computer systems and platforms
US8850588B2 (en) 2012-05-01 2014-09-30 Taasera, Inc. Systems and methods for providing mobile security based on dynamic attestation
US8990948B2 (en) 2012-05-01 2015-03-24 Taasera, Inc. Systems and methods for orchestrating runtime operational integrity
US9027125B2 (en) 2012-05-01 2015-05-05 Taasera, Inc. Systems and methods for network flow remediation based on risk correlation
US9092616B2 (en) 2012-05-01 2015-07-28 Taasera, Inc. Systems and methods for threat identification and remediation
WO2014038737A1 (en) * 2012-09-07 2014-03-13 에스케이텔레콤 주식회사 Network traffic management system using monitoring policy and filtering policy, and method thereof
KR101910496B1 (en) * 2018-01-19 2018-10-26 주식회사 애니아이티 Network based proxy setting detection system through wide area network internet protocol(IP) validation and method of blocking harmful site access using the same
KR20220027929A (en) * 2019-07-03 2022-03-08 넷플릭스, 인크. Attack Mitigation in Packet-Switching Networks

Similar Documents

Publication Publication Date Title
US8423645B2 (en) Detection of grid participation in a DDoS attack
Mirkovic et al. A taxonomy of DDoS attack and DDoS defense mechanisms
TWI294726B (en)
US7478429B2 (en) Network overload detection and mitigation system and method
US7356689B2 (en) Method and apparatus for tracing packets in a communications network
US8117657B1 (en) Detection and mitigation of rapidly propagating threats from P2P, IRC and gaming
KR101219796B1 (en) Apparatus and Method for protecting DDoS
TW201738796A (en) Prevention and control method, apparatus and system for network attack
KR102088299B1 (en) Apparatus and method for detecting drdos
KR101042291B1 (en) DDoS detection / blocking system for DDoS attack and its method
JP2006512856A (en) System and method for detecting and tracking DoS attacks
CN101631026A (en) Method and device for defending against denial-of-service attacks
Haris et al. Detecting TCP SYN flood attack based on anomaly detection
US20040250158A1 (en) System and method for protecting an IP transmission network against the denial of service attacks
Gupta et al. Mitigation of dos and port scan attacks using snort
KR20110027386A (en) Apparatus, System and Method for Blocking Harmful Packets Outgoing from User Terminal
Xiao et al. A novel approach to detecting DDoS attacks at an early stage
JP2004140524A (en) Method and apparatus for detecting dos attack, and program
Prabha et al. A survey on IPS methods and techniques
Keshariya et al. DDoS defense mechanisms: A new taxonomy
KR101230919B1 (en) Distributed denial of service attack auto protection system and method
KR20130009130A (en) Apparatus and method for dealing with zombie pc and ddos
EP1754348B1 (en) Using address ranges to detect malicious activity
Singh et al. Analysis of Botnet behavior using Queuing theory
CN104348785A (en) Method for preventing host PMTU attack in IPv6 network and device and system thereof

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20090910

PA0201 Request for examination
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20110105

Patent event code: PE09021S01D

PG1501 Laying open of application
E601 Decision to refuse application
PE0601 Decision on rejection of patent

Patent event date: 20110929

Comment text: Decision to Refuse Application

Patent event code: PE06012S01D

Patent event date: 20110105

Comment text: Notification of reason for refusal

Patent event code: PE06011S01I