[go: up one dir, main page]

KR20240134094A - Method and Apparatus for Monitoring Network Traffic by Using Virtual Network Function - Google Patents

Method and Apparatus for Monitoring Network Traffic by Using Virtual Network Function Download PDF

Info

Publication number
KR20240134094A
KR20240134094A KR1020240115039A KR20240115039A KR20240134094A KR 20240134094 A KR20240134094 A KR 20240134094A KR 1020240115039 A KR1020240115039 A KR 1020240115039A KR 20240115039 A KR20240115039 A KR 20240115039A KR 20240134094 A KR20240134094 A KR 20240134094A
Authority
KR
South Korea
Prior art keywords
packet
network
traffic
network function
intrusion detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
KR1020240115039A
Other languages
Korean (ko)
Inventor
이지운
Original Assignee
에스케이텔레콤 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이텔레콤 주식회사 filed Critical 에스케이텔레콤 주식회사
Priority to KR1020240115039A priority Critical patent/KR20240134094A/en
Publication of KR20240134094A publication Critical patent/KR20240134094A/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 실시예에 의하면, 네트워크 트래픽 감시장치에 있어서, 스위칭부로부터 제1 패킷을 수신하여 상기 제1 패킷에 대한 제1 침입탐지를 수행하고, 상기 제1 침입탐지의 결과에 따라 상기 제1 패킷의 소스 IP 주소와 관련한 안전트래픽 정보를 생성하는 제1 네트워크 기능; 및 제2 패킷을 수신하여 상기 제2 패킷을 상기 제1 네트워크 기능에게 전송하는 제1 동작을 수행하되, 상기 제2 패킷이 상기 소스 IP 주소를 갖는 경우 상기 제1 동작의 수행을 생략하고 상기 제2 패킷을 로컬 네트워크의 클라이언트에게 전송하는 제2 동작을 수행하고, 상기 제2 동작의 수행 동안에 상기 제2 패킷을 복사하여 제2 네트워크 기능에게 전송하는 스위칭부; 및 상기 스위칭부로부터 상기 제2 패킷을 수신하여 상기 제2 패킷에 대한 제2 침입탐지를 수행하는 제2 네트워크 기능을 포함하는 네트워크 트래픽 감시장치를 제공한다.According to the present embodiment, a network traffic monitoring device is provided, comprising: a first network function which receives a first packet from a switching unit, performs a first intrusion detection on the first packet, and generates safety traffic information related to a source IP address of the first packet according to a result of the first intrusion detection; and a switching unit which performs a first operation of receiving a second packet and transmitting the second packet to the first network function, but if the second packet has the source IP address, performs a second operation of omitting the performance of the first operation and transmitting the second packet to a client of a local network, and copies the second packet and transmits it to the second network function during the performance of the second operation; and a second network function which receives the second packet from the switching unit and performs a second intrusion detection on the second packet.

Description

가상 네트워크 기능을 이용한 네트워크 트래픽 감시 방법 및 장치{Method and Apparatus for Monitoring Network Traffic by Using Virtual Network Function}{Method and Apparatus for Monitoring Network Traffic by Using Virtual Network Function}

본 실시예는 가상 네트워크 기능을 이용한 네트워크 트래픽 감시 방법 및 장치에 관한 것이다.The present embodiment relates to a method and device for monitoring network traffic using a virtual network function.

이하에 기술되는 내용은 단순히 본 실시예와 관련되는 배경 정보만을 제공할 뿐 종래기술을 구성하는 것이 아니다.The content described below merely provides background information related to the present embodiment and does not constitute prior art.

도 1은 IPS(Intrusion Prevention System)가 네트워크 내에 삽입되어 인라인(in-line) 상에서 패킷을 송수신하는 네트워크의 기본적인 구조를 나타낸 도면이다.Figure 1 is a diagram showing the basic structure of a network in which an IPS (Intrusion Prevention System) is inserted into the network and packets are transmitted and received in-line.

도 1에 도시한 바와 같이, 인터넷망(110)으로부터 수신된 패킷은 라우터(120), 방화벽(130), IPS(140) 및 스위치(switch)(150)를 경유하여 네트워크의 말단에 위치하는 클라이언트(160) 또는 IDS(Intrusion Detection System)(170)에게 전달된다.As illustrated in FIG. 1, packets received from the Internet (110) are transmitted to a client (160) or IDS (Intrusion Detection System) (170) located at the end of the network via a router (120), a firewall (130), an IPS (140), and a switch (150).

라우터(120)는 인터넷망(110)으로부터 수신된 패킷에 포함된 공인 IP 주소와 포트(port) 번호에 대해 사설 IP 주소로 변환하여 방화벽(130)으로 전달한다.The router (120) converts the public IP address and port number included in the packet received from the Internet (110) into a private IP address and transmits it to the firewall (130).

방화벽(130)은 라우터(120)로부터 수신된 패킷의 헤더 정보를 기설정된 규칙에 기초하여 검사하고 검사 결과에 따라 패킷을 차단하거나 패킷을 통과시켜 다음 전달지인 IPS(140)에게 전달하는 기능을 한다.The firewall (130) inspects the header information of packets received from the router (120) based on preset rules and blocks the packets or passes them through to the next transmission destination, the IPS (140), based on the inspection results.

IPS(140)는 일반적으로 네트워크 전송 라인 내 중간에 삽입되는 인라인 장비로서 구현된다.IPS (140) is generally implemented as an inline device inserted in the middle of a network transmission line.

IPS(140)는 인입된 패킷을 검사하고 검사결과가 침입(intrusion)인 것으로 탐지된 경우, 그 패킷을 내부 네트워크로 더 이상 진입하지 못하게 함으로써 외부로부터의 공격을 실시간으로 차단한다. IPS(140)는 네트워크 라인 내 중간에 삽입되므로 IPS(140)로 인입되는 패킷을 신속하게 처리하여 통과시켜줘야 전체적인 통신속도가 느려지지 않는다.IPS (140) inspects incoming packets and, if the inspection result is detected as an intrusion, blocks attacks from the outside in real time by preventing the packets from entering the internal network. Since IPS (140) is inserted in the middle of a network line, packets entering IPS (140) must be processed and passed quickly so that the overall communication speed does not slow down.

하지만, IPS(140)에 사용되는 CPU, 메모리 등에 사양이 낮은 제품이 사용되거나, 인입된 패킷을 처리하기 위한 규칙의 개수가 많거나 규칙의 처리가 비효율적인 경우, IPS(140)가 부담하는 계산부하가 높아져서 인입된 패킷에 대한 전체 네트워크 상의 처리 속도가 저하되는 문제가 발생할 수 있다.However, if a product with low specifications, such as a CPU or memory, is used in the IPS (140), or if the number of rules for processing incoming packets is large or the processing of rules is inefficient, the computational load borne by the IPS (140) may increase, causing a problem in that the processing speed of the incoming packets on the entire network may decrease.

본 실시예는 네트워크 보안을 위한 IPS 기능의 동작에 있어서 인입되는 패킷의 처리부담을 최소화하면서도 높은 수준의 침입탐지를 제공하는 데에 주된 목적이 있다.The main purpose of this embodiment is to provide a high level of intrusion detection while minimizing the burden of processing incoming packets in the operation of the IPS function for network security.

본 실시예에 의하면, 네트워크 트래픽 감시장치에 있어서, 스위칭부로부터 제1 패킷을 수신하여 상기 제1 패킷에 대한 제1 침입탐지를 수행하고, 상기 제1 침입탐지의 결과에 따라 상기 제1 패킷의 소스 IP 주소와 관련한 안전트래픽 정보를 생성하는 제1 네트워크 기능; 및 제2 패킷을 수신하여 상기 제2 패킷을 상기 제1 네트워크 기능에게 전송하는 제1 동작을 수행하되, 상기 제2 패킷이 상기 소스 IP 주소를 갖는 경우 상기 제1 동작의 수행을 생략하고 상기 제2 패킷을 로컬 네트워크의 클라이언트에게 전송하는 제2 동작을 수행하고, 상기 제2 동작의 수행 동안에 상기 제2 패킷을 복사하여 제2 네트워크 기능에게 전송하는 스위칭부; 및 상기 스위칭부로부터 상기 제2 패킷을 수신하여 상기 제2 패킷에 대한 제2 침입탐지를 수행하는 제2 네트워크 기능을 포함하는 네트워크 트래픽 감시장치를 제공한다.According to the present embodiment, a network traffic monitoring device is provided, comprising: a first network function which receives a first packet from a switching unit, performs a first intrusion detection on the first packet, and generates safety traffic information related to a source IP address of the first packet according to a result of the first intrusion detection; and a switching unit which performs a first operation of receiving a second packet and transmitting the second packet to the first network function, but if the second packet has the source IP address, performs a second operation of omitting the performance of the first operation and transmitting the second packet to a client of a local network, and copies the second packet and transmits it to the second network function during the performance of the second operation; and a second network function which receives the second packet from the switching unit and performs a second intrusion detection on the second packet.

본 실시예에 의하면, 제1 네트워크 기능, 제2 네트워크 기능 및 스위칭부를 포함하는 네트워크 트래픽 감시장치가 네트워크 트래픽을 감시하는 방법에 있어서, 상기 제1 네트워크 기능이 상기 스위칭부로부터 제1 패킷을 수신하여 상기 제1 패킷에 대한 제1 침입탐지를 수행하고, 상기 제1 침입탐지의 결과에 따라 상기 제1 패킷의 소스 IP 주소와 관련한 안전트래픽 정보를 생성하는 과정; 상기 스위칭부가 제2 패킷을 수신하여 상기 제2 패킷을 상기 제1 네트워크 기능에게 전송하는 제1 동작을 수행하되, 상기 제2 패킷이 상기 소스 IP 주소를 갖는 경우 상기 제1 동작의 수행을 생략하고 상기 제2 패킷을 로컬 네트워크의 클라이언트에게 전송하는 제2 동작을 수행하고, 상기 제2 동작의 수행 동안에 상기 제2 패킷을 복사하여 상기 제2 네트워크 기능에게 전송하는 과정; 및 상기 제2 네트워크 기능이 상기 스위칭부로부터 상기 제2 패킷을 수신하여 상기 제2 패킷에 대한 제2 침입탐지를 수행하는 과정을 포함하는 네트워크 트래픽 감시방법을 제공한다.According to the present embodiment, a method for monitoring network traffic by a network traffic monitoring device including a first network function, a second network function, and a switching unit is provided, the method including: a process in which the first network function receives a first packet from the switching unit and performs a first intrusion detection on the first packet, and generates safety traffic information related to a source IP address of the first packet according to a result of the first intrusion detection; a process in which the switching unit performs a first operation of receiving a second packet and transmitting the second packet to the first network function, wherein if the second packet has the source IP address, performing the first operation is omitted and performing a second operation of transmitting the second packet to a client of a local network, and during the performance of the second operation, copying the second packet and transmitting it to the second network function; and a process in which the second network function receives the second packet from the switching unit and performs a second intrusion detection on the second packet.

본 실시예에 의하면, 네트워크 보안을 위한 IPS 기능의 동작에 있어서 인입되는 패킷의 처리부담을 최소화하면서도 높은 수준의 침입탐지를 제공할 수 있게 한다.According to this embodiment, it is possible to provide a high level of intrusion detection while minimizing the burden of processing incoming packets in the operation of the IPS function for network security.

또한, CPU, 메모리 등에 사양이 높은 제품을 사용하지 않더라도 높은 수준의 침입탐지를 제공하므로 경제성이 높은 효과가 있다.In addition, it is cost-effective because it provides a high level of intrusion detection even without using products with high specifications such as CPU and memory.

도 1은 IPS(Intrusion Prevention System)가 네트워크 내에 삽입되어 인라인(in-line) 상에서 패킷을 송수신하는 네트워크의 기본적인 구조를 나타낸 도면이다.
도 2는 홈네트워크 보안을 위한 네트워크의 인프라 구조를 도시한 도면이다.
도 3은 가상 네트워크를 이용하여 구현된 본 실시예에 따른 네트워크 트래픽 감시장치의 구조를 블록으로 도시한 블록도이다.
도 4는 본 실시예에 따른 네트워크 트래픽 감시장치의 주요 구성요소에 대한 상세구조를 블록으로 도시한 블록도이다.
도 5는 본 실시예에 따른 네트워크 트래픽 감시방법을 도시한 흐름도이다.Figure 1 is a diagram showing the basic structure of a network in which an IPS (Intrusion Prevention System) is inserted into the network and transmits and receives packets in-line.
Figure 2 is a diagram illustrating the network infrastructure structure for home network security.
FIG. 3 is a block diagram illustrating the structure of a network traffic monitoring device according to the present embodiment implemented using a virtual network.
FIG. 4 is a block diagram illustrating a detailed structure of major components of a network traffic monitoring device according to the present embodiment.
Figure 5 is a flow chart illustrating a network traffic monitoring method according to the present embodiment.

이하, 본 발명의 일부 실시예들을 예시적인 도면을 통해 상세하게 설명한다. 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.Hereinafter, some embodiments of the present invention will be described in detail with reference to exemplary drawings. When adding reference numerals to components in each drawing, it should be noted that the same components are given the same numerals as much as possible even if they are shown in different drawings. In addition, when describing the present invention, if it is determined that a specific description of a related known configuration or function may obscure the gist of the present invention, the detailed description thereof will be omitted.

도 2는 네트워크 보안을 위한 네트워크 인프라 구조를 도시한 도면이다.Figure 2 is a diagram illustrating a network infrastructure structure for network security.

네트워크 트래픽 감시장치(210)는 인터넷망(220)에 접속되어 인터넷망(220)으로부터 인커밍 패킷을 수신한다.A network traffic monitoring device (210) is connected to the Internet (220) and receives incoming packets from the Internet (220).

네트워크 트래픽 감시장치(210)는 로컬(local) 네트워크 스위치 기능을 가진다. 즉, 네트워크 트래픽 감시장치(210)는 외부 네트워크로부터 인커밍 패킷을 수신하고 인커밍 패킷에 포함된 목적지 IP 정보를 이용하여 로컬 네트워크 말단에 위치하는 스마트폰(201), 랩탑(202), 프린터(203) 등의 클라이언트들 중 하나에게 인커밍 패킷을 송신한다.The network traffic monitoring device (210) has a local network switch function. That is, the network traffic monitoring device (210) receives an incoming packet from an external network and uses the destination IP information included in the incoming packet to transmit the incoming packet to one of the clients, such as a smartphone (201), laptop (202), or printer (203) located at the end of the local network.

네트워크 트래픽 감시장치(210)는 클라이언트들 중 하나에게 인커밍 패킷을 송신하기 전에 수신된 인커밍 패킷을 검사하여 침입이 발생하였는지 여부를 확인하도록 구현될 수 있다. 네트워크 트래픽 감시장치(210)는 수신한 패킷에 침입이 발생하지 않은 것으로 판단한 경우에는, 구비된 로컬 네트워크 스위치 기능과 연동하는 하나의 클라이언트에게 이 패킷을 송신한다. 반면, 네트워크 트래픽 감시장치(210)는 침입을 탐지한 결과 침입이 발생한 것으로 판단한 경우 발생된 침입과 관련된 탐지결과 정보를 중앙 관제서버(230)에게 송신한다.The network traffic monitoring device (210) may be implemented to check whether an intrusion has occurred by examining the received incoming packet before transmitting the incoming packet to one of the clients. If the network traffic monitoring device (210) determines that an intrusion has not occurred in the received packet, it transmits the packet to one client that is linked with the local network switch function provided. On the other hand, if the network traffic monitoring device (210) determines that an intrusion has occurred as a result of detecting an intrusion, it transmits detection result information related to the intrusion that has occurred to the central control server (230).

중앙 관제서버(230)는 네트워크 트래픽 감시장치(210)로부터 전달된 탐지결과 정보를 분석하여 보안 관련 통계정보의 가시화 결과, 보안 상황에 대한 알림, 보안기능을 제어하기 위한 정책 등을 생성하여 운용자 단말기(미도시) 등에게 전달하는 역할을 한다.The central control server (230) analyzes the detection result information transmitted from the network traffic monitoring device (210) and generates visualization results of security-related statistical information, notifications about security situations, policies for controlling security functions, etc., and transmits them to operator terminals (not shown).

중앙 관제서버(230)의 동작에 대한 자세한 사항은 본 발명의 요지를 벗어나므로 더 이상의 상세한 설명은 생략한다.Since the detailed description of the operation of the central control server (230) is beyond the scope of the present invention, further detailed description is omitted.

도 3은 가상 네트워크를 이용하여 구현된 본 실시예에 따른 네트워크 트래픽 감시장치(210)의 구조를 블록으로 도시한 블록도이다.FIG. 3 is a block diagram illustrating the structure of a network traffic monitoring device (210) according to the present embodiment implemented using a virtual network.

도 3에 도시한 바와 같이, 본 실시예에 따른 네트워크 트래픽 감시장치(210)는 도커/컨테이너(docker/container) 방식의 가상 시스템을 이용하여 구현될 수 있다. 도커/컨테이너 방식이란, 네트워크 트래픽 감시장치(210) 내의 OS(Operating System) 위에 도커 엔진(docker engine)을 설치하고 도커 엔진 내에서 작업영역을 격리하여 실행시키고자 하는 각 애플리케이션마다 하나의 격리된 작업영역(즉, 컨테이너)을 갖도록 구현하는 방법을 의미한다.As illustrated in FIG. 3, the network traffic monitoring device (210) according to the present embodiment can be implemented using a virtual system in the docker/container format. The docker/container format refers to a method of installing a docker engine on an OS (Operating System) in the network traffic monitoring device (210) and isolating the work area within the docker engine so that each application to be run has one isolated work area (i.e., container).

본 실시예에 따른 네트워크 트래픽 감시장치(210)는 소프트웨어 스위치(310), 복수의 가상 네트워크 기능(VNF: Virtual Network Function)(320), 로컬 네트워크 스위치(330) 및 외부망 인터페이스(340)를 포함한다.The network traffic monitoring device (210) according to the present embodiment includes a software switch (310), a plurality of virtual network functions (VNF: Virtual Network Functions) (320), a local network switch (330), and an external network interface (340).

소프트웨어 스위치(310)는 네트워크 트래픽 감시장치(210)에서 도커 엔진의 기능을 갖는 OS 위에 별개의 소프트웨어 레이어(layer)로서 설치되거나 OS의 기능 중 하나로서 설치될 수 있으나, 본 발명이 이에 한정되지 않고 다양한 방식으로 네트워크 트래픽 감시장치(210)에 소프트웨어 스위치(310)가 설치될 수 있다.The software switch (310) may be installed as a separate software layer on top of an OS having the function of a Docker engine in the network traffic monitoring device (210) or as one of the functions of the OS. However, the present invention is not limited thereto, and the software switch (310) may be installed in the network traffic monitoring device (210) in various ways.

각각 컨테이너로서 도커 엔진 상에 탑재된 복수의 가상 네트워크 기능(320)은 DHCP(Dynamic Host Configuration Protocol) 네트워크 기능(321), 방화벽 네트워크 기능(322), IPS 네트워크 기능(323), NAT(Network Address Translation) 네트워크 기능(324), IDS 네트워크 기능(325) 및 에이전트 네트워크 기능(326) 등을 포함한다.The multiple virtual network functions (320) mounted on the Docker engine as containers each include a DHCP (Dynamic Host Configuration Protocol) network function (321), a firewall network function (322), an IPS network function (323), a NAT (Network Address Translation) network function (324), an IDS network function (325), and an agent network function (326).

복수의 가상 네트워크 기능(320)에 포함된 각각의 가상 네트워크 기능은 소프트웨어 스위치(310)와 패킷을 주고받는다.Each virtual network function included in the plurality of virtual network functions (320) sends and receives packets with the software switch (310).

여기서, 복수의 가상 네트워크 기능(320), 로컬 네트워크 스위치(330) 및 외부망 인터페이스(340)가 소프트웨어 스위치(310)와 송수신하는 패킷의 종류는 다음 중 하나일 수 있다.Here, the types of packets transmitted and received by the multiple virtual network functions (320), local network switch (330) and external network interface (340) to and from the software switch (310) may be one of the following.

- 외부망 인터페이스(340)로부터 수신되어 로컬 네트워크로 향하는 인바운드(inbound) 패킷- Inbound packets received from the external network interface (340) and destined for the local network

- 로컬 네트워크 스위치(330)로부터 수신되어 외부 네트워크로 향하는 아웃바운드(outbound) 패킷- Outbound packets received from the local network switch (330) and destined for an external network

- 어느 하나의 가상 네트워크 기능에서 처리된 후 업데이트 없이 전송된 패킷- Packets that are processed by one of the virtual network functions and then transmitted without updates.

- 어느 하나의 가상 네트워크 기능에서 처리된 후 일부 정보가 업데이트되어 전송된 패킷- Packets that are transmitted after some information is updated after being processed by one of the virtual network functions.

- 어느 하나의 가상 네트워크 기능에서 발생한 각종 제어 정보 또는 관리 정보가 포함된 메시지 패킷- Message packets containing various control information or management information generated from a virtual network function

소프트웨어 스위치(310)는 적어도 하나의 스위칭 규칙을 포함하는 스위칭 규칙 테이블을 저장한다.The software switch (310) stores a switching rule table including at least one switching rule.

각 스위칭 규칙은 인커밍 트래픽 패킷을 전송한 전송주체에 대응하여 인커밍 트래픽 패킷을 어느 곳으로 전송할지에 대한 수신전달지를 나타내는 전달지정보를 포함한다. 예를 들어, 트래픽 패킷의 전송주체가 외부망 인터페이스(340)인 경우 트래픽 패킷의 수신전달지는 방화벽 네트워크 기능(322)임을 나타내는 제1 스위칭 규칙이 저장될 수 있다.Each switching rule includes forwarding information indicating a destination for forwarding the incoming traffic packet in response to the transmitting entity that transmitted the incoming traffic packet. For example, if the transmitting entity of the traffic packet is an external network interface (340), a first switching rule indicating that the receiving destination of the traffic packet is a firewall network function (322) may be stored.

소프트웨어 스위치(310)는 외부망 인터페이스(340)로부터 입력되는 트래픽 패킷을 수신하고, 스위칭 규칙 테이블에 저장된 스위칭 규칙을 기반으로 복수의 가상 네트워크 기능(320) 중 적어도 하나의 가상 네트워크 기능, 예컨대, 방화벽 네트워크 기능(322)에게 트래픽 패킷을 송신한다.The software switch (310) receives a traffic packet input from an external network interface (340) and transmits the traffic packet to at least one virtual network function among a plurality of virtual network functions (320), for example, a firewall network function (322), based on a switching rule stored in a switching rule table.

또한, 소프트웨어 스위치(310)는 복수의 가상 네트워크 기능(320) 중 하나인 제1 가상 네트워크 기능으로부터 패킷을 수신하고 제1 가상 네트워크 기능과 관련된 스위칭 규칙, 예컨대 제2 스위칭 규칙에 기초하여 패킷을 다른 가상 네트워크 기능에게 송신할 수 있다.Additionally, the software switch (310) may receive a packet from a first virtual network function, which is one of a plurality of virtual network functions (320), and transmit the packet to another virtual network function based on a switching rule associated with the first virtual network function, such as a second switching rule.

또한, 소프트웨어 스위치(310)는 복수의 가상 네트워크 기능(320) 중 하나인 제2 가상 네트워크 기능으로부터 패킷을 수신하고 제2 가상 네트워크 기능과 관련된 스위칭 규칙, 예컨대 제3 스위칭 규칙에 기초하여 로컬 네트워크 스위치(330)를 이용하여 로컬 네트워크에 존재하는 클라이언트에게 이 패킷을 전송할 수도 있다.Additionally, the software switch (310) may receive a packet from a second virtual network function, which is one of a plurality of virtual network functions (320), and may transmit the packet to a client existing in the local network using the local network switch (330) based on a switching rule associated with the second virtual network function, for example, a third switching rule.

DHCP 네트워크 기능(321)은 ISP(Internet Service Provider)로부터 할당받은 주소블록 내에서 스마트폰(201), 노트북(202), 프린터(203) 등의 클라이언트 장치들에게 사설 IP 주소를 발급하는 기능을 가질 수 있다.The DHCP network function (321) may have a function of issuing private IP addresses to client devices such as smartphones (201), laptops (202), and printers (203) within an address block allocated from an ISP (Internet Service Provider).

DHCP 네트워크 기능(321)은 소프트웨어 스위치(310)를 경유하여 클라이언트로부터 사설 IP 주소 발급 요청을 전달받고 사용 가능한 사설 IP 주소 중에서 클라이언트용 사설 IP 주소를 발급하여 소프트웨어 스위치(310)를 경유하여 클라이언트에게 전달한다.The DHCP network function (321) receives a request for issuing a private IP address from a client via a software switch (310), issues a private IP address for the client from among available private IP addresses, and delivers it to the client via the software switch (310).

스마트폰(201), 노트북(202), 프린터(203) 등의 클라이언트는 DHCP 네트워크 기능(321)으로부터 발급받은 사설 IP 주소를 이용하여 네트워크 서비스를 제공받을 수 있다.Clients such as smartphones (201), laptops (202), and printers (203) can receive network services using private IP addresses issued from the DHCP network function (321).

참고로, DHCP 네트워크 기능(321)이 갖는 DHCP 동작은 당업자에게 자명한 사항이므로 이에 대한 더 이상의 상세한 설명은 생략한다.For reference, the DHCP operation of the DHCP network function (321) is self-evident to those skilled in the art, so further detailed description thereof is omitted.

전술한 바와 같이, 소프트웨어 스위치(310)는 다양한 종류의 패킷을 수신하여 다음 수신전달지로 패킷을 전달한다.As described above, the software switch (310) receives various types of packets and forwards the packets to the next receiving destination.

전술하였듯이, 소프트웨어 스위치(310)는 수신한 패킷을 다음 수신전달지로 전송하기 위하여 스위칭 규칙 테이블에 적어도 하나의 스위칭 규칙을 저장한다.As described above, the software switch (310) stores at least one switching rule in the switching rule table to transmit the received packet to the next receiving destination.

예를 들어, 패킷의 전송주체가 외부망 인터페이스(340)인 경우 패킷의 다음 수신전달지가 방화벽 네트워크 기능(322)임을 나타내는 제1 스위칭 규칙이 저장될 수 있고, 패킷의 전송주체가 방화벽 네트워크 기능(322)인 경우 패킷의 다음 수신전달지가 IPS 네트워크 기능(323)임을 나타내는 제2 스위칭 규칙이 저장될 수 있다.For example, if the transmitter of the packet is an external network interface (340), a first switching rule indicating that the next destination of the packet is a firewall network function (322) may be stored, and if the transmitter of the packet is a firewall network function (322), a second switching rule indicating that the next destination of the packet is an IPS network function (323) may be stored.

또한, 패킷의 전송주체가 IPS 네트워크 기능(323)인 경우, 패킷의 다음 수신전달지가 하나의 특정 클라이언트임을 나타내는 제3 스위칭 규칙이 저장될 수 있고, 로컬 네트워크의 한 클라이언트로부터 외부 네트워크로 향하는 아웃바운드 패킷이 소프트웨어 스위치(310)에게 수신된 경우에는 패킷의 다음 수신전달지는 외부망 인터페이스(340)임을 나타내는 제4 스위칭 규칙이 저장될 수 있다.In addition, if the transmitter of the packet is an IPS network function (323), a third switching rule indicating that the next destination of the packet is a specific client may be stored, and if an outbound packet from a client of the local network to an external network is received by the software switch (310), a fourth switching rule indicating that the next destination of the packet is an external network interface (340) may be stored.

소프트웨어 스위치(310)는 외부망 인터페이스(340)로부터 외부 트래픽 패킷인 제1 패킷을 수신한 경우, 저장하고 있는 제1 스위칭 규칙에 기초하여 이 제1 패킷을 방화벽 네트워크 기능(322)에게 전송한다.When the software switch (310) receives a first packet, which is an external traffic packet, from the external network interface (340), it transmits the first packet to the firewall network function (322) based on the first switching rule it has stored.

방화벽 네트워크 기능(322)은 소프트웨어 스위치(310)로부터 제1 패킷을 수신하고 제1 패킷의 헤더 정보를 기설정된 필터링규칙에 기초하여 검사한다. 예를 들어, 기설정된 필터링규칙은 차단 필요가 있는 패킷의 소스 IP 주소를 포함할 수 있다. The firewall network function (322) receives a first packet from the software switch (310) and examines the header information of the first packet based on preset filtering rules. For example, the preset filtering rules may include the source IP address of the packet that needs to be blocked.

방화벽 네트워크 기능(322)은 제1 패킷의 헤더 정보 검사결과 제1 패킷이 차단할 필요가 있는 패킷인 것으로 판정된 경우에는 해당 패킷에 대해 더 이상 로컬 네트워크로 진입시키지 않고 폐기하도록 구현될 수 있다.The firewall network function (322) may be implemented to discard the packet without allowing it to enter the local network if it is determined as a result of examining the header information of the first packet that the first packet needs to be blocked.

방화벽 네트워크 기능(322)은 제1 패킷의 검사 결과 제1 패킷이 정상 패킷인 것으로 판정되는 경우, 제1 패킷이 다음 수신전달지로 향하도록 소프트웨어 스위치(310)에게 전달한다.If the firewall network function (322) determines that the first packet is a normal packet as a result of the inspection of the first packet, it forwards the first packet to the software switch (310) so that it is directed to the next receiving destination.

소프트웨어 스위치(310)는 방화벽 네트워크 기능(322)으로부터 전달된 제1 패킷을 수신한 경우, 제2 스위칭 규칙에 기초하여 제1 패킷을 다음 수신전달지인 IPS 네트워크 기능(323)에게 전달한다.When the software switch (310) receives the first packet transmitted from the firewall network function (322), it transmits the first packet to the next receiving destination, the IPS network function (323), based on the second switching rule.

IPS 네트워크 기능(323)은 인입된 제1 패킷에 침입이 발생했는지 여부를 검사하고 검사결과가 침입인 것으로 확인된 경우, 소프트웨어 스위치(310)나 다른 가상 네트워크 기능으로 그 패킷을 내보내지 않고 차단시켜 제1 패킷에 의한 외부의 공격을 실시간으로 차단한다.The IPS network function (323) checks whether an intrusion has occurred in the first incoming packet, and if the result of the check confirms an intrusion, blocks the packet without sending it to a software switch (310) or another virtual network function, thereby blocking external attacks by the first packet in real time.

참고로, IPS 네트워크 기능(323)이 수행하는 침입탐지는 일반적으로 시그니처 기반 패턴 매칭 방법을 포함한다. 예컨대, DPI(Deep Packet Inspection)를 이용하여 패킷에 포함된 내용에 대하여 패턴 매칭 방법으로 알려진 공격 패턴 또는 비정상 행위를 감지한다.For reference, intrusion detection performed by the IPS network function (323) generally includes a signature-based pattern matching method. For example, DPI (Deep Packet Inspection) is used to detect known attack patterns or abnormal behaviors using a pattern matching method for the contents included in packets.

IPS 네트워크 기능(323)은, 인입된 제1 패킷에 침입이 발생했는지 여부에 대한 검사결과, 제1 패킷에 침입이 발생하지 않은 것으로 나타난 경우, 제1 패킷이 다음 수신전달지로 향하도록 제1 패킷을 소프트웨어 스위치(310)에게 전송한다.The IPS network function (323) transmits the first packet to the software switch (310) so that the first packet is directed to the next receiving destination if, as a result of the inspection on whether an intrusion has occurred in the first packet, it is determined that no intrusion has occurred in the first packet.

소프트웨어 스위치(310)는 IPS 네트워크 기능(323)을 통과한 제1 패킷을 수신하고 제3 스위칭 규칙에 기초하여 제1 패킷을 로컬 네트워크 스위치(330)에게 전송한다.The software switch (310) receives the first packet passing through the IPS network function (323) and transmits the first packet to the local network switch (330) based on the third switching rule.

한편, 소프트웨어 스위치(310)는 제1 패킷에 포함된 정보 및 제3 스위칭 규칙을 확인하여 제1 패킷의 다음 수신전달지를 확인하고 다음 수신전달지가 로컬 네트워크임이 확인되면 NAT 네트워크 기능(324)에게 제1 패킷에 포함된 공인 목적지 IP 주소 및 포트정보를 전송한다.Meanwhile, the software switch (310) checks the information included in the first packet and the third switching rule to check the next destination of the first packet, and if it is confirmed that the next destination is a local network, it transmits the public destination IP address and port information included in the first packet to the NAT network function (324).

NAT 네트워크 기능(324)은 소프트웨어 스위치(310)로부터 제1 패킷에 포함된 공인 목적지 IP 주소 및 포트 정보를 수신하여 로컬 네트워크의 클라이언트들(201, 202, 203) 중 하나에게 제1 패킷을 스위칭하기 위한 사설 IP 정보를 획득하고 획득한 사설 IP 정보를 제1 패킷과 함께 소프트웨어 스위치(310)에게 전송한다.The NAT network function (324) receives the public destination IP address and port information included in the first packet from the software switch (310), acquires private IP information for switching the first packet to one of the clients (201, 202, 203) of the local network, and transmits the acquired private IP information to the software switch (310) together with the first packet.

공인 목적지 IP 정보가 있는 패킷으로부터 사설 IP 정보를 획득하는 것은 당업자에게 자명하므로 더 이상의 상세한 설명은 생략한다.Obtaining private IP information from a packet with public destination IP information is obvious to those skilled in the art, so further detailed description is omitted.

참고로, 제1 패킷이 사설 IP 정보를 포함하도록 구성되었는지 여부에 따라 사설 IP 정보는 제1 패킷 내에 삽입되어 소프트웨어 스위치(310)에게 전송될 수도 있고 제1 패킷과 별도로 소프트웨어 스위치(310)에게 전송될 수도 있다. 다만, 이하에서는 제1 패킷 내에 사설 IP 정보가 삽입되어 소프트웨어 스위치(310)에게 전송되는 것으로 가정하여 설명한다.For reference, depending on whether the first packet is configured to include private IP information, the private IP information may be inserted into the first packet and transmitted to the software switch (310) or may be transmitted separately from the first packet to the software switch (310). However, the following description assumes that the private IP information is inserted into the first packet and transmitted to the software switch (310).

소프트웨어 스위치(310)는 사설 IP 정보가 포함된 제1 패킷을 수신하고 제1 패킷을 로컬 네트워크 스위치(330)에게 전송한다.The software switch (310) receives a first packet containing private IP information and transmits the first packet to a local network switch (330).

로컬 네트워크 스위치(330)는 소프트웨어 스위치(310)로부터 제1 패킷을 수신하고 제1 패킷에 포함된 사설 IP 정보에 기초하여 로컬 네트워크의 클라이언트들(201, 202, 203) 중 하나에게 제1 패킷을 전송한다.The local network switch (330) receives the first packet from the software switch (310) and transmits the first packet to one of the clients (201, 202, 203) of the local network based on the private IP information included in the first packet.

소프트웨어 스위치(310)는 IPS 네트워크 기능(323)으로부터 전송된 제1 패킷을 로컬 네트워크 스위치(330)에게 전송한 후 패킷을 복사하여 IDS 네트워크 기능(325)에게 전달한다.The software switch (310) transmits the first packet transmitted from the IPS network function (323) to the local network switch (330), then copies the packet and transmits it to the IDS network function (325).

참고로, 소프트웨어 스위치(310)는 NAT 네트워크 기능(324)을 이용하여 제1 패킷을 로컬 네트워크 스위치(330)에게 전송하는 동작을 수행하는 동안에 소프트웨어 제1 패킷을 복사하여 IDS 네트워크 기능(325)에게 전달할 수도 있다.For reference, the software switch (310) may also copy the software first packet and forward it to the IDS network function (325) while performing the operation of transmitting the first packet to the local network switch (330) using the NAT network function (324).

여기서 소프트웨어 스위치(310)가 제1 패킷을 복사하는 방법으로는 소프트웨어 스위치(310)가 미러링(mirroring)을 수행하거나 네트워크 경로 상에서 탭(tap) 장비를 사용하여 복사하는 방법 등 다양한 방법을 사용할 수 있다. 다만, 이하의 설명에서는 미러링 방법을 사용하는 것으로 가정하여 설명한다.Here, the software switch (310) can use various methods to copy the first packet, such as the software switch (310) performing mirroring or copying using tap equipment on the network path. However, the following description assumes that the mirroring method is used.

IDS 네트워크 기능(325)은 소프트웨어 스위치(310)로부터 제1 패킷 복사본을 수신하고 수신한 제1 패킷의 복사본을 이용하여 제1 패킷에 침입이 발생하였는지를 탐지한다.The IDS network function (325) receives a copy of the first packet from the software switch (310) and uses the received copy of the first packet to detect whether an intrusion has occurred in the first packet.

IDS 네트워크 기능(325)의 침입탐지 기능은 IPS 네트워크 기능(323)의 침입탐지 기능과 동일하거나 상이할 수 있다.The intrusion detection function of the IDS network function (325) may be the same as or different from the intrusion detection function of the IPS network function (323).

IDS 네트워크 기능(325)은 제1 패킷 복사본으로부터 침입을 탐지한 후 침입탐지 결과를 중앙 관제서버(230), 에이전트 네트워크 기능(326) 등 다른 장치에게 송신할 수 있다.The IDS network function (325) can detect an intrusion from the first packet copy and then transmit the intrusion detection results to other devices such as the central control server (230) and agent network function (326).

에이전트 네트워크 기능(326)은 IPS 네트워크 기능(323), IDS 네트워크 기능(325) 등으로부터 침입탐지 결과와 관련된 탐지결과 정보를 전달받고 전달받은 탐지결과 정보를 기초로 스위칭 관련정보를 생성하여 저장한다. 여기서, 저장되는 스위칭 관련정보는 접근 허용 또는 차단되는 패킷의 소스(source) IP 주소에 대한 정보일 수 있다.The agent network function (326) receives detection result information related to intrusion detection results from the IPS network function (323), IDS network function (325), etc., and creates and stores switching-related information based on the received detection result information. Here, the stored switching-related information may be information on the source IP address of a packet to which access is permitted or blocked.

에이전트 네트워크 기능(326)은 침입탐지 결과와 관련된 메시지를 IPS 네트워크 기능(323), IDS 네트워크 기능(325) 등으로부터 직접 전달받을 수도 있으나, 소프트웨어 스위치(310)로부터 전달받을 수도 있다.The agent network function (326) may receive messages related to intrusion detection results directly from the IPS network function (323), IDS network function (325), etc., but may also receive them from a software switch (310).

에이전트 네트워크 기능(326)은 생성한 스위칭 관련정보를 소프트웨어 스위치(310)에게 전송하며, 소프트웨어 스위치(310)는 에이전트 네트워크 기능(326)으로부터 수신한 스위칭 관련정보를 기초로 스위칭 규칙을 생성하여 저장한다.The agent network function (326) transmits the generated switching-related information to the software switch (310), and the software switch (310) generates and stores a switching rule based on the switching-related information received from the agent network function (326).

도 4는 본 실시예에 따른 네트워크 트래픽 감시장치(210)의 주요 구성요소에 대한 상세구조를 블록으로 도시한 블록도이다.FIG. 4 is a block diagram illustrating a detailed structure of the main components of a network traffic monitoring device (210) according to the present embodiment.

도 4에 도시한 바와 같이 네트워크 트래픽 감시장치(210)는 스위칭부(410), 제1 침입탐지부(420), 제1 유해트래픽 처리부(430), 안전트래픽 처리부(440), 테이블 관리부(450), 제2 침입탐지부(460) 및 제2 유해트래픽 처리부(470)를 포함한다.As illustrated in FIG. 4, the network traffic monitoring device (210) includes a switching unit (410), a first intrusion detection unit (420), a first harmful traffic processing unit (430), a safety traffic processing unit (440), a table management unit (450), a second intrusion detection unit (460), and a second harmful traffic processing unit (470).

이하, 도 3 및 도 4를 함께 참조하면서 네트워크 트래픽 감시장치(210)를 설명한다.Below, a network traffic monitoring device (210) is described with reference to FIG. 3 and FIG. 4 together.

스위칭부(410)는 소프트웨어 스위치(310)에 포함되어 구현될 수 있으며, 스위칭부(410)의 기능에 대해서는 후술한다.The switching unit (410) can be implemented by being included in the software switch (310), and the function of the switching unit (410) will be described later.

제1 침입탐지부(420), 제1 유해트래픽 처리부(430) 및 안전트래픽 처리부(440)는 IPS 네트워크 기능(323)에 포함되어 구현될 수 있으며, 제1 침입탐지부(420), 제1 유해트래픽 처리부(430) 및 안전트래픽 처리부(440)의 기능에 대해서는 후술한다.The first intrusion detection unit (420), the first harmful traffic processing unit (430), and the safe traffic processing unit (440) can be implemented as included in the IPS network function (323), and the functions of the first intrusion detection unit (420), the first harmful traffic processing unit (430), and the safe traffic processing unit (440) will be described later.

테이블 관리부(450)는 에이전트 네트워크 기능(326)에 포함되어 구현될 수 있으며, 테이블 관리부(450)의 기능에 대해서는 후술한다.The table management unit (450) can be implemented as included in the agent network function (326), and the function of the table management unit (450) will be described later.

제2 침입탐지부(460) 및 제2 유해트래픽 처리부(470)는 IDS 네트워크 기능(325)에 포함되어 구현될 수 있으며, 제2 침입탐지부(460) 및 제2 유해트래픽 처리부(470)의 기능에 대해서는 후술한다.The second intrusion detection unit (460) and the second malicious traffic processing unit (470) can be implemented as included in the IDS network function (325), and the functions of the second intrusion detection unit (460) and the second malicious traffic processing unit (470) will be described later.

스위칭부(410)는 다양한 송신처로부터 다양한 종류의 패킷을 수신하며, 수신한 패킷을 다음 수신전달지로 전송하기 위하여 스위칭 규칙 테이블(411)에 적어도 하나의 스위칭 규칙을 저장한다. 여기서, 각 스위칭 규칙은 패킷을 전송한 전송주체에 대응하여 전송할 다음 수신전달지를 지시하는 전달지정보를 포함한다.The switching unit (410) receives various types of packets from various transmitters and stores at least one switching rule in the switching rule table (411) to transmit the received packets to the next receiving destination. Here, each switching rule includes forwarding destination information that indicates the next receiving destination to be transmitted in response to the transmitting entity that transmitted the packet.

스위칭부(410)는 외부망 인터페이스(340)로부터 외부 트래픽 패킷인 제1 패킷을 수신한 경우, 스위칭 규칙 테이블(411)에 저장되어 있는 제1 스위칭 규칙에 기초하여 이 제1 패킷을 방화벽 네트워크 기능(322)에게 전송한다. 이 경우 제1 스위칭 규칙은 외부망 인터페이스(340)로부터 입력된 패킷에 포함된 IP 주소에 대응하는 다음 수신전달지가 방화벽 네트워크 기능(322)인 것을 나타낸다.When the switching unit (410) receives the first packet, which is an external traffic packet, from the external network interface (340), it transmits the first packet to the firewall network function (322) based on the first switching rule stored in the switching rule table (411). In this case, the first switching rule indicates that the next receiving destination corresponding to the IP address included in the packet input from the external network interface (340) is the firewall network function (322).

방화벽 네트워크 기능(322)은 스위칭부(410)로부터 제1 패킷을 수신하고 기설정된 필터링규칙에 기초하여 제1 패킷의 헤더 정보를 검사하고 검사결과 제1 패킷이 차단할 필요가 있는 패킷인 것으로 판정된 경우에는 해당 패킷에 대해 더 이상 로컬 네트워크로 진입시키지 않고 폐기되도록 구현될 수 있다.The firewall network function (322) may be implemented to receive a first packet from a switching unit (410), examine the header information of the first packet based on a preset filtering rule, and if the first packet is determined to be a packet that needs to be blocked as a result of the examination, discard the packet without allowing it to enter the local network any further.

또한, 방화벽 네트워크 기능(322)은 제1 패킷에 대한 검사 결과 제1 패킷이 정상 패킷인 것으로 판정되는 경우, 제1 패킷이 다음 수신전달지로 향할 수 있도록 스위칭부(410)에게 전달한다.In addition, if the firewall network function (322) determines that the first packet is a normal packet as a result of the inspection of the first packet, it transmits the first packet to the switching unit (410) so that the first packet can be directed to the next receiving destination.

스위칭부(410)는 방화벽 네트워크 기능(322)으로부터 전달된 제1 패킷을 수신하여 스위칭 규칙 테이블(411)에 저장된 제2 스위칭 규칙에 기초하여 제1 패킷을 다음 수신전달지인 IPS 네트워크 기능(323)에 포함된 제1 침입탐지부(420)에게 전달한다. 이 경우 제1 스위칭 규칙은 방화벽 네트워크 기능(322)으로부터 입력된 패킷에 포함된 IP 주소에 대응하는 다음 수신전달지가 IPS 네트워크 기능(323)인 것을 나타낸다. 다시 말해서, 스위칭부(410)는 방화벽 네트워크 기능(322)으로부터 제1 패킷을 수신하는 경우, 저장된 스위칭 규칙에 기초하여 수신한 패킷을 제1 침입탐지부(420) 및 다음 수신전달지 중 하나에게 전송되도록 구현되는 것이다.The switching unit (410) receives the first packet transmitted from the firewall network function (322) and transmits the first packet to the first intrusion detection unit (420) included in the IPS network function (323), which is the next receiving destination, based on the second switching rule stored in the switching rule table (411). In this case, the first switching rule indicates that the next receiving destination corresponding to the IP address included in the packet input from the firewall network function (322) is the IPS network function (323). In other words, the switching unit (410) is implemented so that, when receiving the first packet from the firewall network function (322), the received packet is transmitted to the first intrusion detection unit (420) and one of the next receiving destinations based on the stored switching rule.

제1 침입탐지부(420)는 수신된 제1 패킷에 침입이 발생했는지 여부를 검사하고 제1 탐지결과를 생성한다.The first intrusion detection unit (420) checks whether an intrusion has occurred in the first received packet and generates a first detection result.

제1 침입탐지부(420)에서 생성된 제1 탐지결과가 제1 패킷에 침입이 발생했음을 의미하는 경우, 제1 유해트래픽 처리부(430)는 제1 패킷을 스위칭부(410) 또는 다른 가상 네트워크 기능으로 제1 패킷을 내보내지 않고 제1 패킷을 차단하여 제1 패킷에 의한 외부의 공격을 실시간으로 차단한다.If the first detection result generated by the first intrusion detection unit (420) means that an intrusion has occurred in the first packet, the first malicious traffic processing unit (430) blocks the first packet without sending the first packet to the switching unit (410) or another virtual network function, thereby blocking an external attack by the first packet in real time.

제1 탐지결과가 제1 패킷에 침입이 발생하지 않음을 의미하는 경우, 제1 침입탐지부(420)는 제1 패킷이 다음 수신전달지로 향하도록 제1 패킷을 스위칭부(410)에게 전송한다.If the first detection result means that no intrusion has occurred in the first packet, the first intrusion detection unit (420) transmits the first packet to the switching unit (410) so that the first packet is directed to the next receiving destination.

안전트래픽 처리부(440)는, 제1 탐지결과가 침입 미발생으로 확인된 경우, 기설정 안전트래픽 조건에 기초하여 제1 패킷이 안전한 패킷인지 여부, 즉 안전한 트래픽의 패킷인지 여부를 확인한다. The safe traffic processing unit (440) determines whether the first packet is a safe packet, i.e., a packet of safe traffic, based on preset safe traffic conditions when the first detection result is confirmed as no intrusion has occurred.

제1 패킷이 안전한 트래픽의 패킷인지 여부는 제1 패킷의 소스 IP 주소에 대응하는 트래픽 발생량에 기초하여 확인될 수 있다.Whether the first packet is a packet of safe traffic can be determined based on the amount of traffic generated corresponding to the source IP address of the first packet.

즉, 안전트래픽 처리부(440)는 일자별로 발생한 제1 패킷의 소스 IP 주소의 트래픽 발생량이 제1임계값보다 큰 날이 연속해서 기설정 날짜 이상 발생하는지 여부에 따라 제1 패킷이 안전한 소스 IP 주소로부터 전송된 것인지 여부를 판단한다.That is, the safe traffic processing unit (440) determines whether the first packet was transmitted from a safe source IP address based on whether the traffic volume of the source IP address of the first packet generated on a daily basis is greater than the first threshold value for more than a preset number of consecutive days.

안전트래픽 처리부(440)는 제1 패킷에 대하여 안전한 소스 IP 주소로부터 전송된 것으로 판단한 경우, 제1 패킷이 안전한 트래픽의 패킷임을 의미하는 제1정보 및 제1 패킷의 소스 IP 주소를 포함하는 안전트래픽 정보를 생성한다.If the safe traffic processing unit (440) determines that the first packet was transmitted from a safe source IP address, it generates safe traffic information including first information indicating that the first packet is a packet of safe traffic and the source IP address of the first packet.

안전트래픽 처리부(440)는 안전트래픽 정보를 저장하기 위하여 안전트래픽 정보를 스위칭부(410)에게 전송한다.The safety traffic processing unit (440) transmits safety traffic information to the switching unit (410) to store the safety traffic information.

스위칭부(410)는 안전트래픽 처리부(440)로부터 수신한 안전트래픽 정보를 테이블 관리부(450)에게 전송하며, 테이블 관리부(450)는 수신한 안전트래픽 정보를 안전트래픽 항목으로서 안전트래픽 테이블(451)에 저장한다.The switching unit (410) transmits the safety traffic information received from the safety traffic processing unit (440) to the table management unit (450), and the table management unit (450) stores the received safety traffic information as a safety traffic item in the safety traffic table (451).

스위칭부(410)의 스위칭 규칙 테이블(411)에 저장된 적어도 하나의 스위칭 규칙들은 안전트래픽 테이블(451))에 저장된 안전트래픽 정보에 기초하여 설정될 수 있다.At least one switching rule stored in the switching rule table (411) of the switching unit (410) can be set based on safety traffic information stored in the safety traffic table (451).

예를 들어, 제1 소스 IP 주소를 포함하는 제1 안전트래픽 정보가 안전트래픽 테이블(451)의 항목으로 저장된 경우를 가정하자. 이 경우, 스위칭부(410)는 제1 안전트래픽 정보를 이용하여 제1 스위칭 규칙을 설정할 수 있다. 즉, 외부망 인터페이스(340) 또는 방화벽 네트워크 기능(322)으로부터 제1 소스 IP 주소를 갖는 제1 패킷이 입력되는 경우에 로컬 네트워크의 클라이언트들(201, 202, 203) 중 하나에게 제1 패킷이 스위칭되어 전송되도록 제1 스위칭 규칙을 설정할 수 있다.For example, let's assume that the first safety traffic information including the first source IP address is stored as an entry of the safety traffic table (451). In this case, the switching unit (410) can set the first switching rule using the first safety traffic information. That is, when the first packet having the first source IP address is input from the external network interface (340) or the firewall network function (322), the first switching rule can be set so that the first packet is switched and transmitted to one of the clients (201, 202, 203) of the local network.

제1 스위칭 규칙에 의하면 제1 패킷이 IPS 네트워크 기능(323)에게 전송되는 것은 생략된다.According to the first switching rule, the first packet is omitted from being transmitted to the IPS network function (323).

테이블 관리부(450)는 안전트래픽 정보를 수신하여 새로운 안전트래픽 항목(item)을 안전트래픽 테이블(451)에 업데이트할 때마다 업데이트되는 새로운 안전트래픽 항목에 대한 정보를 스위칭부(410)에게 전송하도록 구현될 수 있다.The table management unit (450) may be implemented to receive safety traffic information and transmit information about new safety traffic items to the switching unit (410) whenever a new safety traffic item is updated in the safety traffic table (451).

안전트래픽 처리부(440)가 제1 패킷이 다음 수신전달지로 향하도록 제1 패킷을 스위칭부(410)에게 전송한 경우, 스위칭부(410)는 기설정된 제3 스위칭 규칙에 기초하여 제1 패킷을 로컬 네트워크 스위치(330)에게 전송한다. 이 경우는, 제3 스위칭 규칙이 IPS 네트워크 기능(323)으로부터 입력된 제1 패킷의 다음 수신전달지가 로컬 네트워크에 연결된 클라이언트들(201, 202, 203) 중 하나인 것을 나타내는 경우에 해당한다.When the safety traffic processing unit (440) transmits the first packet to the switching unit (410) so that the first packet is directed to the next receiving destination, the switching unit (410) transmits the first packet to the local network switch (330) based on the preset third switching rule. In this case, the third switching rule indicates that the next receiving destination of the first packet input from the IPS network function (323) is one of the clients (201, 202, 203) connected to the local network.

스위칭부(410)는 안전트래픽 처리부(440)로부터 제1 패킷을 수신한 후, 제1 패킷에 포함된 정보를 확인하여 제1 패킷의 다음 수신전달지를 확인하고 다음 수신전달지가 로컬 네트워크의 클라이언트들(201, 202, 203) 중 하나인 것임이 확인되면 제1 패킷에 포함된 공인 목적지 IP 주소 및 포트 정보를 NAT 네트워크 기능(324)에게 전송한다.The switching unit (410) receives the first packet from the safety traffic processing unit (440), then verifies the information included in the first packet to determine the next destination of the first packet, and if it is confirmed that the next destination is one of the clients (201, 202, 203) of the local network, it transmits the public destination IP address and port information included in the first packet to the NAT network function (324).

NAT 네트워크 기능(324)은 스위칭부(410)로부터 제1 패킷에 포함된 공인 목적지 IP 주소 및 포트 정보를 수신하여 로컬 네트워크의 클라이언트들(201, 202, 203) 중 하나에게 제1 패킷을 스위칭하기 위한 사설 IP 정보를 획득하고 획득한 사설 IP 정보를 제1 패킷과 함께 스위칭부(410)에게 전송한다.The NAT network function (324) receives the public destination IP address and port information included in the first packet from the switching unit (410), acquires private IP information for switching the first packet to one of the clients (201, 202, 203) of the local network, and transmits the acquired private IP information to the switching unit (410) together with the first packet.

스위칭부(410)는 사설 IP 정보가 포함된 제1 패킷을 수신하고 제1 패킷을 로컬 네트워크 스위치(330)에게 전송한다.The switching unit (410) receives a first packet containing private IP information and transmits the first packet to a local network switch (330).

로컬 네트워크 스위치(330)는 스위칭부(410)로부터 제1 패킷을 수신하고 제1 패킷에 포함된 사설 IP 정보에 기초하여 로컬 네트워크의 클라이언트들(201, 202, 203) 중 하나에게 제1 패킷을 전송한다.The local network switch (330) receives the first packet from the switching unit (410) and transmits the first packet to one of the clients (201, 202, 203) of the local network based on the private IP information included in the first packet.

스위칭부(410)는 IPS 네트워크 기능(323)으로부터 전송된 제1 패킷을 로컬 네트워크 스위치(330)에게 전송한 후, 제1 패킷을 복사하여 IDS 네트워크 기능(325) 내의 제2 침입탐지부(460)에게 전달한다.The switching unit (410) transmits the first packet transmitted from the IPS network function (323) to the local network switch (330), and then copies the first packet and transmits it to the second intrusion detection unit (460) within the IDS network function (325).

변형 실시예로서, 스위칭부(410)는 NAT 네트워크 기능(324)을 이용하여 제1 패킷을 로컬 네트워크 스위치(330)에게 전송하는 동작을 수행하는 동안에 제1 패킷을 복사하여 제2 침입탐지부(460)에게 전달하도록 구현될 수도 있다.As a variant embodiment, the switching unit (410) may be implemented to copy the first packet and transmit it to the second intrusion detection unit (460) while performing an operation of transmitting the first packet to the local network switch (330) using the NAT network function (324).

제2 침입탐지부(460)는 수신된 제1 패킷에 대한 제2 침입탐지를 수행하고 제2 탐지결과를 생성한다.The second intrusion detection unit (460) performs a second intrusion detection on the received first packet and generates a second detection result.

제2 탐지결과가 제1 패킷에 침입이 발생함을 의미하는 정보를 포함하는 경우, 제2 침입탐지부(460)는 제2 탐지결과를 스위칭부(410), 테이블 관리부(450), 중앙 관제서버(230) 등 다른 장치에게 송신할 수 있다.If the second detection result includes information indicating that an intrusion has occurred in the first packet, the second intrusion detection unit (460) can transmit the second detection result to other devices such as a switching unit (410), a table management unit (450), and a central control server (230).

한편, IPS 네트워크 기능(323)에 의하여 제1 패킷에 대한 침입 여부의 탐지결과가 이미 생성된 경우에는 제2 침입탐지부(460)의 제1 패킷에 대한 제2 침입탐지 동작은 생략될 수 있다.Meanwhile, if the detection result of whether there has been an intrusion for the first packet has already been generated by the IPS network function (323), the second intrusion detection operation for the first packet by the second intrusion detection unit (460) may be omitted.

한편, 제2 침입탐지부(460)는 스위칭부(410)로부터 제1 패킷 복사본을 수신하여 제1 패킷에 대한 침입탐지를 수행할 수 있으며, 이 경우 스위칭부(410)는 미러링에 의하여 제1 패킷 복사본을 생성한다.Meanwhile, the second intrusion detection unit (460) can receive a copy of the first packet from the switching unit (410) and perform intrusion detection on the first packet. In this case, the switching unit (410) creates a copy of the first packet by mirroring.

제2 침입탐지부(460)의 제2침입탐지 기능은 제1 침입탐지부(420)의 제1침입탐지 기능과 동일하거나 상이할 수 있다.The second intrusion detection function of the second intrusion detection unit (460) may be the same as or different from the first intrusion detection function of the first intrusion detection unit (420).

제2 유해트래픽 처리부(470)는 제2 침입탐지부(460)로부터 제1 패킷 복사본에 대한 제2침입탐지 결과를 수신하고 제2침입탐지 결과를 테이블 관리부(450)에게 전송하도록 구현될 수 있다. 예를 들어, 제2침입탐지 결과에 제1 패킷에 침입이 탐지되었음을 의미하는 정보가 포함된 경우, 제2 유해트래픽 처리부(470)는 제1 패킷의 소스 IP 주소에 대응하는 안전트래픽 항목을 안전트래픽 테이블(451)로부터 삭제하라는 제1명령을 생성하고 제1명령을 테이블 관리부(450)에게 전송할 수도 있다.The second harmful traffic processing unit (470) may be implemented to receive the second intrusion detection result for the first packet copy from the second intrusion detection unit (460) and transmit the second intrusion detection result to the table management unit (450). For example, if the second intrusion detection result includes information indicating that an intrusion has been detected in the first packet, the second harmful traffic processing unit (470) may generate a first command to delete a safe traffic entry corresponding to the source IP address of the first packet from the safe traffic table (451) and transmit the first command to the table management unit (450).

또한, 제2침입탐지 결과에 제1 패킷에 침입이 탐지되었음을 의미하는 정보가 포함된 경우, 제2 유해트래픽 처리부(470)는 제1 패킷에 대한 차단을 실행하라는 제2명령을 스위칭부(410)에게 전송하도록 구현될 수도 있다.In addition, if the second intrusion detection result includes information indicating that an intrusion was detected in the first packet, the second harmful traffic processing unit (470) may be implemented to transmit a second command to the switching unit (410) to execute blocking on the first packet.

제2 유해트래픽 처리부(470)는 제1명령 및 제2명령을 동시에 생성하거나 어느 하나만 생성하도록 구현될 수 있다.The second harmful traffic processing unit (470) can be implemented to generate the first command and the second command simultaneously or to generate only one of them.

안전트래픽 테이블(451) 내에 최대 허용 개수의 안전트래픽 항목이 저장된 경우, 테이블 관리부(450)는 가장 오래 전에 저장된 안전트래픽 항목을 안전트래픽 테이블(451)로부터 삭제하여 새로운 안전트래픽 항목의 저장을 위한 공간을 확보하도록 구현될 수 있다. 이 경우, 갱신된 안전트래픽 항목에는 해당하는 소스 IP 주소가 저장된 시간에 대한 정보가 추가로 포함된다.When the maximum allowable number of safety traffic entries are stored in the safety traffic table (451), the table management unit (450) may be implemented to delete the oldest stored safety traffic entry from the safety traffic table (451) to secure space for storing new safety traffic entries. In this case, the updated safety traffic entry additionally includes information about the time at which the corresponding source IP address was stored.

또한, 안전트래픽 테이블(451) 내에 최대 허용 개수의 안전트래픽 항목이 저장된 경우, 테이블 관리부(450)는 가장 오래전에 트래픽 발생시간에 대한 정보가 업데이트된 안전트래픽 항목을 안전트래픽 테이블(451)로부터 삭제하여 새로운 안전트래픽 항목의 저장을 위한 공간을 확보하도록 구현될 수 있다. 이 경우, 안전트래픽 항목에는 해당하는 소스 IP 주소에 대응하는 패킷이 발생한 때마다 업데이트되는 트래픽 발생시간에 대한 정보가 포함된다.In addition, when the maximum allowable number of safety traffic items are stored in the safety traffic table (451), the table management unit (450) may be implemented to delete the safety traffic item whose information on traffic occurrence time was updated the longest from the safety traffic table (451) to secure space for storing new safety traffic items. In this case, the safety traffic item includes information on traffic occurrence time that is updated every time a packet corresponding to the corresponding source IP address is generated.

테이블 관리부(450)는 새로운 IP 주소가 포함되는 안전트래픽 정보가 안전트래픽 테이블(451)에 저장되는 빈도에 기초하여 안전트래픽 테이블(451)에 저장 가능한 안전트래픽 항목의 개수를 변화시킬 수도 있다.The table management unit (450) may also change the number of safety traffic items that can be stored in the safety traffic table (451) based on the frequency with which safety traffic information including a new IP address is stored in the safety traffic table (451).

한편, 안전트래픽 테이블(451)이 가득 찬 경우, 테이블 관리부(450)는 안전트래픽 테이블(451)에 저장 가능한 안전트래픽 항목의 개수를 늘릴 수도 있다.Meanwhile, when the safety traffic table (451) is full, the table management unit (450) may increase the number of safety traffic items that can be stored in the safety traffic table (451).

테이블 관리부(450)는 안전트래픽 처리부(440), 제2 유해트래픽 처리부(470) 등으로부터 침입탐지 결과와 관련된 탐지결과 정보를 전달받고 전달받은 탐지결과 정보를 기초로 스위칭 관련정보를 생성하여 저장한다.The table management unit (450) receives detection result information related to the intrusion detection results from the safety traffic processing unit (440), the second harmful traffic processing unit (470), etc., and creates and stores switching-related information based on the received detection result information.

테이블 관리부(450)는 생성한 스위칭 관련정보를 스위칭부(410)에게 전송하며, 스위칭부(410)는 테이블 관리부(450)로부터 수신한 스위칭 관련정보를 기초로 스위칭 규칙을 생성하여 저장한다.The table management unit (450) transmits the generated switching-related information to the switching unit (410), and the switching unit (410) generates and stores a switching rule based on the switching-related information received from the table management unit (450).

한편, 본 실시예에서, 복수의 가상 네트워크 기능(320)이 도커/컨테이너 기반으로 구현되는 것으로 설명하였으나, 복수의 가상 네트워크 기능(320)은 가상 머신(VM: Virtual Machine) 기반으로 구현될 수도 있다.Meanwhile, in this embodiment, it has been described that multiple virtual network functions (320) are implemented based on Docker/container, but multiple virtual network functions (320) may also be implemented based on virtual machines (VMs).

또한, 본 실시예가 인바운드 트래픽에 대해서 적용되는 것으로 설명하였으나, 실시예에 따라서는 아웃바운드 패킷에 대해서도 적용 가능하다.Additionally, although this embodiment has been described as being applicable to inbound traffic, it may also be applied to outbound packets depending on the embodiment.

본 실시예에서, 로컬 네트워크 스위치(330)로부터 인입된 아웃바운드 패킷에 대해서도 인바운드 패킷과 동일하게 하여 인라인으로 IPS 기능을 수행하고, 안전한 트래픽의 패킷인 경우에는 인라인 IPS 기능의 수행을 생략하고 IDS 기능을 동작시킬 수 있다.In this embodiment, the IPS function is performed inline for outbound packets received from the local network switch (330) in the same manner as for inbound packets, and if the packet is a safe traffic packet, the performance of the inline IPS function can be omitted and the IDS function can be operated.

인바운드 패킷이 외부망 인터페이스(340)로 입력되어 IPS 또는 IDS 기능을 수행하고 로컬 네트워크 스위치(330)에게 전달되는 반면에, 아웃바운드 패킷이 인바운드 패킷에 비해 로컬 네트워크 스위치(330)로부터 입력되고 외부망 인터페이스(340)에게 전달된다는 점만 다를 뿐 IPS 또는 IDS 동작은 인바운드 패킷의 경우와 동일한 방법으로 구현될 수 있으므로 아웃바운드 패킷에 대한 네트워크 트래픽 감시장치(210)의 동작에 대한 더 이상의 상세한 설명은 생략한다.The only difference between the inbound packet and the outbound packet is that the inbound packet is input from the local network switch (330) and is input from the external network interface (340) and is then transmitted to the local network switch (330) and is transmitted to the external network interface (340). Therefore, the IPS or IDS operation can be implemented in the same manner as for the inbound packet, and further detailed description of the operation of the network traffic monitoring device (210) for the outbound packet is omitted.

도 5는 본 실시예에 따른 네트워크 트래픽 감시방법을 도시한 흐름도이다.Figure 5 is a flowchart illustrating a network traffic monitoring method according to the present embodiment.

본 실시예에 따른 네트워크 트래픽 감시방법은, 제1 패킷을 네트워크로부터 수신하면서 시작한다. 제1 패킷을 네트워크로부터 수신하면 스위칭부(410)는 기설정 스위칭 규칙에 기초하여 제1 패킷의 다음 수신전달지를 확인한다(S510).The network traffic monitoring method according to the present embodiment starts with receiving the first packet from the network. When the first packet is received from the network, the switching unit (410) checks the next receiving destination of the first packet based on the preset switching rules (S510).

스위칭부(410)는 제1 패킷의 다음 수신전달지를 확인한 결과 IPS 네트워크 기능(323)인지 여부를 확인하고(S520), 제1 패킷의 다음 수신전달지가 IPS 네트워크 기능(323)이면 제1 패킷을 IPS 네트워크 기능(323)에게 전송한다.The switching unit (410) checks whether the next receiving destination of the first packet is an IPS network function (323) (S520), and if the next receiving destination of the first packet is an IPS network function (323), it transmits the first packet to the IPS network function (323).

IPS 네트워크 기능(323) 내의 제1 침입탐지부(420)는 제1 패킷을 스위칭부(410)로부터 수신하고 제1 패킷에 대한 제1 침입탐지를 수행하여 제1 탐지결과를 생성한다(S530).The first intrusion detection unit (420) within the IPS network function (323) receives the first packet from the switching unit (410) and performs the first intrusion detection on the first packet to generate the first detection result (S530).

제1 탐지결과가 침입발생을 의미하는지 여부를 확인하고(S540), 제1 탐지결과가 침입발생을 의미하는 경우에는 제1 유해트래픽 처리부(430)는 제1 패킷을 폐기한다(S542).It is checked whether the first detection result indicates an intrusion has occurred (S540), and if the first detection result indicates an intrusion has occurred, the first harmful traffic processing unit (430) discards the first packet (S542).

만일, 제1 탐지결과가 침입발생이 아님을 의미하는 경우 안전트래픽 처리부(440)는 제1 탐지결과가 제1 패킷이 안전한 패킷, 즉 안전한 트래픽의 패킷임을 의미하는지 여부를 확인한다(S550).If the first detection result means that an intrusion has not occurred, the safe traffic processing unit (440) checks whether the first detection result means that the first packet is a safe packet, i.e., a packet of safe traffic (S550).

제1 탐지결과가 침입발생이 아님을 의미하고 또한 제1 패킷의 소스 IP 주소에 대응하는 트래픽 발생에 대한 일자별 발생량이 제1임계값보다 큰 날이 연속해서 기설정 날짜 이상 발생하는 경우, 제1 패킷이 안전한 트래픽의 패킷인 것으로 판정된다.If the first detection result means that there is no intrusion, and if the daily occurrence amount of traffic corresponding to the source IP address of the first packet is greater than the first threshold for more than a preset number of consecutive days, the first packet is determined to be a packet of safe traffic.

만일, 제1 패킷이 안전한 트래픽의 패킷임이 확인된 경우에, 안전트래픽 처리부(440)는 제1 패킷의 소스 IP 주소를 포함하는 안전트래픽 정보를 생성하고(S560), 제1 패킷이 다음 수신전달지로 향하도록 제1 패킷을 스위칭부(410)에게 전송한다(570).If it is confirmed that the first packet is a packet of safe traffic, the safe traffic processing unit (440) generates safe traffic information including the source IP address of the first packet (S560) and transmits the first packet to the switching unit (410) so that the first packet is directed to the next receiving destination (570).

제1 패킷이 안전한 트래픽의 패킷이 아닌 것으로 확인된 경우에, 안전트래픽 처리부(440)는 안전트래픽 정보의 생성이 없이 제1 패킷이 다음 수신전달지로 향하도록 제1 패킷을 스위칭부(410)에게 전송한다(570).If it is determined that the first packet is not a packet of safe traffic, the safe traffic processing unit (440) transmits the first packet to the switching unit (410) so that the first packet is directed to the next receiving destination without generating safe traffic information (570).

만일, S520 과정에서 제1 패킷의 다음 수신전달지가 IDS 네트워크 기능(325)인 것으로 확인되면 스위칭부(410)는 제1 패킷을 다음 수신전달지로 전송하도록 제어한다(S570). 스위칭부(410)는 제1 패킷을 다음 수신전달지로 전송하도록 제어하면서 제1 패킷을 복사하여 IDS 네트워크 기능(325)에게 전송한다.If, in the S520 process, it is confirmed that the next destination of the first packet is the IDS network function (325), the switching unit (410) controls the first packet to be transmitted to the next destination (S570). The switching unit (410) controls the first packet to be transmitted to the next destination, copies the first packet, and transmits it to the IDS network function (325).

IDS 네트워크 기능(325) 내의 제2 침입탐지부(460)는 제1 패킷 복사본을 스위칭부(410)로부터 수신하고 제1 패킷에 대한 제2 침입탐지를 수행하여 제2 탐지결과를 생성한다(S522).The second intrusion detection unit (460) within the IDS network function (325) receives a copy of the first packet from the switching unit (410) and performs a second intrusion detection on the first packet to generate a second detection result (S522).

제2 탐지결과를 생성하면 제2 결과가 침입발생을 의미하는지 여부를 확인하고(S524), 제2 탐지결과가 침입발생을 의미하는 경우에는 제2 유해트래픽 처리부(470)는 제1 패킷의 소스 IP 주소에 해당하는 안전트래픽 항목이 안전트래픽 테이블(451)로부터 삭제되도록 제어하고 제1 패킷을 폐기한다(S526).When the second detection result is generated, it is checked whether the second result indicates an intrusion (S524), and if the second detection result indicates an intrusion, the second harmful traffic processing unit (470) controls the safe traffic entry corresponding to the source IP address of the first packet to be deleted from the safe traffic table (451) and discards the first packet (S526).

만일, 제2 탐지결과가 침입발생이 아님을 의미하는 경우 제2 유해트래픽 처리부(470)는 제1 패킷에 대한 추가적인 동작이 없이 종료한다.If the second detection result means that there is no intrusion, the second harmful traffic processing unit (470) terminates without taking any additional action on the first packet.

한편, 도 5에 기재된 본 실시예에 따른 방법은 프로그램으로 구현되고 컴퓨터로 읽을 수 있는 기록매체에 기록될 수 있다. 본 실시예에 따른 방법을 구현하기 위한 프로그램이 기록되고 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 즉, 컴퓨터가 읽을 수 있는 기록매체는 마그네틱 저장매체(예를 들면, 롬, 플로피 디스크, 하드디스크 등) 및 광학적 판독 매체(예를 들면, 시디롬, 디브이디 등)와 같은 저장매체를 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.Meanwhile, the method according to the present embodiment described in FIG. 5 may be implemented as a program and recorded on a computer-readable recording medium. The computer-readable recording medium on which the program for implementing the method according to the present embodiment is recorded includes all types of recording devices that store data that can be read by a computer system. That is, the computer-readable recording medium includes storage media such as magnetic storage media (e.g., ROM, floppy disk, hard disk, etc.) and optical reading media (e.g., CD-ROM, DVD, etc.). In addition, the computer-readable recording medium may be distributed to computer systems connected to a network, so that the computer-readable code can be stored and executed in a distributed manner.

또한, 도 5에 기재된 본 실시예에 따른 방법은 모바일 웹이나 단말기에 설치되는 앱 프로그램(application program) 등 프로그램의 형태로 구현될 수도 있다.In addition, the method according to the present embodiment described in FIG. 5 may be implemented in the form of a program such as an application program installed on a mobile web or terminal.

이상의 설명은 본 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 실시예들은 본 실시예의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 실시예의 기술 사상의 범위가 한정되는 것은 아니다. 본 실시예의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 실시예의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The above description is merely an illustrative description of the technical idea of the present embodiment, and those with ordinary skill in the art to which the present embodiment pertains may make various modifications and variations without departing from the essential characteristics of the present embodiment. Therefore, the present embodiments are not intended to limit the technical idea of the present embodiment but to explain it, and the scope of the technical idea of the present embodiment is not limited by these embodiments. The protection scope of the present embodiment should be interpreted by the following claims, and all technical ideas within a scope equivalent thereto should be interpreted as being included in the scope of the rights of the present embodiment.

110: 인터넷망 120: 라우터
130: 방화벽 140: IPS
150: 스위치 160: 클라이언트
170: IDS 201: 스마트폰
202: 노트북 203: 프린터
210: 네트워크 트래픽 감시장치 220: 인터넷망
230: 중앙 관제서버 310: 소프트웨어 스위치
320: 복수의 가상 네트워크 기능 321: DHCP 네트워크 기능
322: 방화벽 네트워크 기능 323: IPS 네트워크 기능
324: NAT 네트워크 기능 325: IDS 네트워크 기능
326: 에이전트 네트워크 기능 330: 로컬 네트워크 스위치
340: 외부망 인터페이스 410: 스위칭부
411: 스위칭 규칙 테이블 420: 제1 침입탐지부
430: 제1 유해트래픽 처리부 440: 안전트래픽 처리부
450: 테이블 관리부 451: 안전트래픽 테이블
460: 제2 침입탐지부 470: 제2 유해트래픽 처리부110: Internet 120: Router
130: Firewall 140: IPS
150: Switch 160: Client
170: IDS 201: Smartphone
202: Laptop 203: Printer
210: Network traffic monitoring device 220: Internet network
230: Central control server 310: Software switch
320: Multiple Virtual Network Functions 321: DHCP Network Functions
322: Firewall network function 323: IPS network function
324: NAT network function 325: IDS network function
326: Agent network function 330: Local network switch
340: External network interface 410: Switching section
411: Switching Rule Table 420: First Intrusion Detection Unit
430: 1st harmful traffic processing unit 440: Safe traffic processing unit
450: Table Management 451: Safety Traffic Table
460: Second intrusion detection unit 470: Second malicious traffic processing unit

Claims (5)

네트워크 트래픽 감시장치에 있어서,
스위칭부로부터 제1 패킷을 수신하여 상기 제1 패킷에 대한 제1 침입탐지를 수행하고, 상기 제1 침입탐지의 결과에 따라 상기 제1 패킷의 소스 IP 주소와 관련한 안전트래픽 정보를 생성하는 제1 네트워크 기능; 및
제2 패킷을 수신하여 상기 제2 패킷을 상기 제1 네트워크 기능에게 전송하는 제1 동작을 수행하되, 상기 제2 패킷이 상기 소스 IP 주소를 갖는 경우 상기 제1 동작의 수행을 생략하고 상기 제2 패킷을 로컬 네트워크의 클라이언트에게 전송하는 제2 동작을 수행하고, 상기 제2 동작의 수행 동안에 상기 제2 패킷을 복사하여 제2 네트워크 기능에게 전송하는 스위칭부; 및
상기 스위칭부로부터 상기 제2 패킷을 수신하여 상기 제2 패킷에 대한 제2 침입탐지를 수행하는 제2 네트워크 기능
을 포함하는 네트워크 트래픽 감시장치.In network traffic monitoring devices,
A first network function that receives a first packet from a switching unit, performs a first intrusion detection on the first packet, and generates safety traffic information related to the source IP address of the first packet based on the result of the first intrusion detection; and
A switching unit that performs a first operation of receiving a second packet and transmitting the second packet to the first network function, but if the second packet has the source IP address, skips performing the first operation and performs a second operation of transmitting the second packet to a client of the local network, and copies the second packet and transmits it to the second network function during the performing of the second operation; and
A second network function that receives the second packet from the switching unit and performs a second intrusion detection on the second packet.
A network traffic monitoring device including: 제1항에 있어서,
상기 제1 네트워크 기능은,
상기 제1 침입탐지를 수행하여 제1 탐지결과를 출력하고, 상기 제1 탐지결과가 침입 미발생인 경우 상기 제1 패킷이 상기 클라이언트에게 출력되도록 제어하는 제1 침입탐지부; 및
상기 소스 IP 주소에 대응하는 트래픽의 발생량에 따라 상기 제1 패킷이 안전한 패킷임을 의미하는 제1정보 및 상기 소스 IP 주소를 포함하는 상기 안전트래픽 정보를 생성하는 안전트래픽 처리부
를 포함하는 네트워크 트래픽 감시장치.In the first paragraph,
The above first network function is,
A first intrusion detection unit that performs the first intrusion detection and outputs the first detection result, and controls the first packet to be output to the client if the first detection result indicates that no intrusion has occurred; and
A safety traffic processing unit that generates the safety traffic information including the first information indicating that the first packet is a safe packet and the source IP address according to the amount of traffic corresponding to the source IP address.
A network traffic monitoring device including: 제2항에 있어서,
상기 안전트래픽 정보를 안전트래픽 테이블의 항목으로서 저장하는 테이블 관리부를 더 포함하되,
상기 테이블 관리부는,
상기 안전트래픽 테이블에 최대 허용 개수의 안전트래픽 정보가 저장된 경우, 가장 오래 전에 저장된 안전트래픽 정보를 상기 안전트래픽 테이블로부터 삭제하여 새로운 안전트래픽 정보의 저장을 위한 공간을 확보하는 것을 특징으로 하는 네트워크 트래픽 감시장치.In the second paragraph,
Further comprising a table management unit that stores the above safety traffic information as an entry in a safety traffic table,
The above table management department,
A network traffic monitoring device characterized in that, when the maximum allowable number of safety traffic information is stored in the safety traffic table, the oldest stored safety traffic information is deleted from the safety traffic table to secure space for storing new safety traffic information. 제2항에 있어서,
상기 안전트래픽 정보를 안전트래픽 테이블의 항목으로서 저장하는 테이블 관리부를 더 포함하되,
상기 테이블 관리부는,
새로운 소스 IP 주소가 포함되는 안전트래픽 정보가 상기 안전트래픽 테이블에 저장되는 빈도에 기초하여 상기 안전트래픽 테이블에 저장 가능한 안전트래픽 정보의 개수를 변화시키는 것을 특징으로 하는 네트워크 트래픽 감시장치.In the second paragraph,
Further comprising a table management unit that stores the above safety traffic information as an entry in a safety traffic table,
The above table management department,
A network traffic monitoring device characterized in that the number of safe traffic information that can be stored in the safe traffic table is changed based on the frequency with which safe traffic information including a new source IP address is stored in the safe traffic table. 제1 네트워크 기능, 제2 네트워크 기능 및 스위칭부를 포함하는 네트워크 트래픽 감시장치가 네트워크 트래픽을 감시하는 방법에 있어서,
상기 제1 네트워크 기능이 상기 스위칭부로부터 제1 패킷을 수신하여 상기 제1 패킷에 대한 제1 침입탐지를 수행하고, 상기 제1 침입탐지의 결과에 따라 상기 제1 패킷의 소스 IP 주소와 관련한 안전트래픽 정보를 생성하는 과정;
상기 스위칭부가 제2 패킷을 수신하여 상기 제2 패킷을 상기 제1 네트워크 기능에게 전송하는 제1 동작을 수행하되, 상기 제2 패킷이 상기 소스 IP 주소를 갖는 경우 상기 제1 동작의 수행을 생략하고 상기 제2 패킷을 로컬 네트워크의 클라이언트에게 전송하는 제2 동작을 수행하고, 상기 제2 동작의 수행 동안에 상기 제2 패킷을 복사하여 상기 제2 네트워크 기능에게 전송하는 과정; 및
상기 제2 네트워크 기능이 상기 스위칭부로부터 상기 제2 패킷을 수신하여 상기 제2 패킷에 대한 제2 침입탐지를 수행하는 과정
을 포함하는 네트워크 트래픽 감시방법.A method for monitoring network traffic by a network traffic monitoring device including a first network function, a second network function, and a switching unit,
A process in which the first network function receives a first packet from the switching unit, performs a first intrusion detection on the first packet, and generates safety traffic information related to the source IP address of the first packet according to the result of the first intrusion detection;
A process in which the switching unit performs a first operation of receiving a second packet and transmitting the second packet to the first network function, but if the second packet has the source IP address, the execution of the first operation is omitted and a second operation of transmitting the second packet to a client of the local network is performed, and the second packet is copied and transmitted to the second network function during the execution of the second operation; and
The process of the second network function receiving the second packet from the switching unit and performing a second intrusion detection on the second packet
A method for monitoring network traffic including:
KR1020240115039A 2019-08-19 2024-08-27 Method and Apparatus for Monitoring Network Traffic by Using Virtual Network Function Pending KR20240134094A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020240115039A KR20240134094A (en) 2019-08-19 2024-08-27 Method and Apparatus for Monitoring Network Traffic by Using Virtual Network Function

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020190101286A KR102718443B1 (en) 2019-08-19 2019-08-19 Method and Apparatus for Monitoring Network Traffic by Using Virtual Network Function
KR1020240115039A KR20240134094A (en) 2019-08-19 2024-08-27 Method and Apparatus for Monitoring Network Traffic by Using Virtual Network Function

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020190101286A Division KR102718443B1 (en) 2019-08-19 2019-08-19 Method and Apparatus for Monitoring Network Traffic by Using Virtual Network Function

Publications (1)

Publication Number Publication Date
KR20240134094A true KR20240134094A (en) 2024-09-06

Family

ID=75169439

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020190101286A Active KR102718443B1 (en) 2019-08-19 2019-08-19 Method and Apparatus for Monitoring Network Traffic by Using Virtual Network Function
KR1020240115039A Pending KR20240134094A (en) 2019-08-19 2024-08-27 Method and Apparatus for Monitoring Network Traffic by Using Virtual Network Function

Family Applications Before (1)

Application Number Title Priority Date Filing Date
KR1020190101286A Active KR102718443B1 (en) 2019-08-19 2019-08-19 Method and Apparatus for Monitoring Network Traffic by Using Virtual Network Function

Country Status (1)

Country Link
KR (2) KR102718443B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113608821B (en) * 2021-06-23 2024-11-29 山石网科通信技术股份有限公司 Data processing method and device of boundary safety equipment

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101219796B1 (en) * 2009-10-07 2013-01-09 한국전자통신연구원 Apparatus and Method for protecting DDoS
KR20130074197A (en) * 2011-12-26 2013-07-04 한국전자통신연구원 Traffic managing device and method thereof
KR101455167B1 (en) * 2013-09-03 2014-10-27 한국전자통신연구원 Network switch based on whitelist
KR101953824B1 (en) * 2017-10-27 2019-03-05 아토리서치(주) Apparatus for network function virtualization using software defined networking and operation method thereof
KR101856185B1 (en) * 2018-01-25 2018-05-09 에이에스 주식회사 A Data Saving Area Assignment System Of Storage Medium Of Black Box

Also Published As

Publication number Publication date
KR102718443B1 (en) 2024-10-15
KR20210021831A (en) 2021-03-02

Similar Documents

Publication Publication Date Title
US10187422B2 (en) Mitigation of computer network attacks
US11252183B1 (en) System and method for ransomware lateral movement protection in on-prem and cloud data center environments
US11303673B1 (en) System and method for preventing lateral propagation of ransomware using a security appliance that functions as a DHCP relay on a shared network
US7617533B1 (en) Self-quarantining network
CN101836212B (en) Information providing method, relay method, information holding device, repeater
JP6256773B2 (en) Security system
CN108156079B (en) Data packet forwarding system and method based on cloud service platform
KR20240134094A (en) Method and Apparatus for Monitoring Network Traffic by Using Virtual Network Function
JP2008054204A (en) Connection device, terminal device, and data confirmation program
US11159533B2 (en) Relay apparatus
CN112383559B (en) Address resolution protocol attack protection method and device
US11916957B1 (en) System and method for utilizing DHCP relay to police DHCP address assignment in ransomware protected network
CN115333853B (en) Network intrusion detection method and device and electronic equipment
JP2009005122A (en) Unauthorized access detection device, security management device, and unauthorized access detection system using the same
JP2008011008A (en) Unauthorized access prevention system
JP6476530B2 (en) Information processing apparatus, method, and program
CN113328976B (en) A security threat event identification method, device and equipment
JP6938205B2 (en) Access control system
JP6851211B2 (en) Network monitoring system
KR102628441B1 (en) Apparatus and method for protecting network
JP7675148B2 (en) Information processing system, information processing method, and information processing program
TWI732708B (en) Network security system and network security method based on multi-access edge computing
JP4710889B2 (en) Attack packet countermeasure system, attack packet countermeasure method, attack packet countermeasure apparatus, and attack packet countermeasure program
JP6476034B2 (en) Control apparatus and control method
JP2007102747A (en) Packet detector, message detection program, shutdown program of unauthorized e-mail

Legal Events

Date Code Title Description
A107 Divisional application of patent
PA0107 Divisional application

Comment text: Divisional Application of Patent

Patent event date: 20240827

Patent event code: PA01071R01D

Filing date: 20190819

Application number text: 1020190101286

PA0201 Request for examination

Patent event code: PA02011R04I

Patent event date: 20240827

Comment text: Divisional Application of Patent

PG1501 Laying open of application