[go: up one dir, main page]

WO2014038737A1 - Network traffic management system using monitoring policy and filtering policy, and method thereof - Google Patents

Network traffic management system using monitoring policy and filtering policy, and method thereof Download PDF

Info

Publication number
WO2014038737A1
WO2014038737A1 PCT/KR2012/007231 KR2012007231W WO2014038737A1 WO 2014038737 A1 WO2014038737 A1 WO 2014038737A1 KR 2012007231 W KR2012007231 W KR 2012007231W WO 2014038737 A1 WO2014038737 A1 WO 2014038737A1
Authority
WO
WIPO (PCT)
Prior art keywords
packet
monitoring
policy
filtering
application
Prior art date
Application number
PCT/KR2012/007231
Other languages
French (fr)
Korean (ko)
Inventor
김남건
정인장
배성수
한창문
이원준
Original Assignee
에스케이텔레콤 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이텔레콤 주식회사 filed Critical 에스케이텔레콤 주식회사
Priority to CN201280034354.7A priority Critical patent/CN103959711B/en
Priority to PCT/KR2012/007231 priority patent/WO2014038737A1/en
Priority to US14/099,360 priority patent/US9467360B2/en
Publication of WO2014038737A1 publication Critical patent/WO2014038737A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks

Definitions

  • the present invention relates to a network traffic management system and method using a monitoring and filtering policy, and more particularly, to detect a packet of an application at a user terminal according to a monitoring policy, and transmit traffic statistics information on the detected packet.
  • a monitoring and filtering policy By filtering the packets according to the received filtering policy, it is possible to quickly and easily detect the traffic for ancillary data communication (e.g., session maintenance data) or the traffic of a malicious user, which can put a load on the communication network and at the user terminal side.
  • ancillary data communication e.g., session maintenance data
  • the present invention relates to a network traffic management system using a monitoring and filtering policy that can be filtered, and a method thereof.
  • An application in the form of a messenger should always transmit the location of the user terminal equipped with the application to the server for the packet receiving function. That is, the server must know the location of the user terminal for packet transmission. To this end, the session information between the user terminal and the server must be maintained so that the location information of the user terminal can be transmitted to the server periodically or temporarily. In order to maintain such a session, session maintenance data (eg, Keep Alive message, Heart Beat message, etc.) that is not related to actual message transmission must be periodically exchanged between the user terminal and the corresponding server. . Since the operation of transmitting and receiving session data is independently performed for each application, when a large number of messenger applications are installed or driven in one terminal, a load is placed on the network system of the communication service provider.
  • session maintenance data eg, Keep Alive message, Heart Beat message, etc.
  • the present invention was devised to solve the above problems, and detects a packet of an application at a user terminal according to a monitoring policy, transmits traffic statistics information on the detected packet, and filters the packet according to the received filtering policy.
  • a monitoring and filtering policy that can quickly and easily detect and filter on ancillary data communication traffic (e.g., session maintenance data) or malicious user traffic that can add to the load on the network.
  • An object of the present invention is to provide a network traffic management system and method using the same.
  • a network traffic management device for generating a monitoring policy and filtering policy, and transmits the generated monitoring policy and filtering policy to the user terminal to manage network traffic; And classifying and detecting packets generated by an application of the user terminal according to an application or a destination address according to a monitoring policy received from the network traffic management apparatus, and generating traffic statistics information on the detected packets to manage the network traffic. And a traffic control device for transmitting the packet to the device and filtering the packet in the kernel region of the user terminal according to the filtering policy received from the network traffic management device.
  • the device for collecting the packet generated by the application of the user terminal by the port number in the user terminal;
  • a packet monitoring unit for classifying packets corresponding to a monitoring policy among the collected packets by application or destination address and detecting them in the kernel region of the user terminal;
  • a traffic manager configured to generate traffic statistics information through analysis of the detected packets, transmit them to the network traffic management apparatus, and receive a filtering policy from the network traffic management apparatus;
  • a packet filtering unit for filtering a packet of an application corresponding to the received filtering policy or a packet having a blocking destination address included in the filtering policy in a kernel region of the user terminal.
  • the traffic manager may include: a traffic information generator configured to generate traffic statistics information through analysis of the detected packet and transmit the generated traffic statistics information to the network traffic management apparatus; A policy setting unit which sets the monitoring policy and the filtering policy to the packet monitoring unit and the packet filtering unit, respectively; A policy DB for storing the monitoring policy and filtering policy; A traffic information DB for storing the generated traffic statistics information; And a filtering DB for storing packet information about the filtered packet.
  • the packet monitoring unit may classify and monitor packets of an application using a predetermined registered port or an unregistered port among the collected packets by port number.
  • the packet monitoring unit may monitor a packet of an application using the predetermined unregistered port and extract protocol information, a destination address, and a port number.
  • the packet monitoring unit may monitor a packet of an application using the predetermined unregistered port, and extract a destination MAC address, a destination IP address, and a destination port number for the destination address.
  • the packet monitoring unit may extract the protocol information, the destination address, and the port number when the socket is generated by an application using the preset unregistered port.
  • the packet monitoring unit may monitor a packet of an application using the predetermined unregistered port and calculate a packet generation period in which the packet is generated in the application.
  • the packet filtering unit may filter a packet of an application corresponding to the filtering policy or a packet having a blocking destination address of the filtering policy by using a netfilter operating in the kernel region of the user terminal.
  • the packet filtering unit may generate a handler for controlling a filtering policy operating in the kernel region of the user terminal in the user region, and control a net filter for performing filtering using the generated handler.
  • the monitoring policy receiving step of receiving a monitoring policy from the network traffic management apparatus;
  • a packet of an application using a preset registered port or an unregistered port among the collected packets may be classified and monitored for each port number.
  • the packet monitoring step may include extracting protocol information, a destination address, and a port number by monitoring a packet of an application using the predetermined unregistered port.
  • the packet monitoring step may include extracting a destination MAC address, a destination IP address, and a destination port number for the destination address by monitoring a packet of an application using the preset unregistered port.
  • the packet monitoring may include extracting the protocol information, the destination address, and the port number when the socket is generated by an application using the predetermined unregistered port.
  • the packet monitoring step may include calculating a packet generation period in which a packet is generated in the application by monitoring a packet of an application using the predetermined unregistered port.
  • the packet filtering may include filtering a packet of an application corresponding to the filtering policy or a packet having a blocking destination address of the filtering policy by using a netfilter operating in a kernel region of the user terminal. .
  • the packet filtering step may include generating a handler for controlling a filtering policy operating in the kernel region of the user terminal in the user region and controlling a net filter for performing filtering using the generated handler.
  • the present invention can increase the load on a communication network by detecting a packet of an application at a user terminal according to a monitoring policy, transmitting traffic statistics information on the detected packet, and filtering the packet according to a received filtering policy.
  • Ancillary data communication traffic eg, session maintenance data
  • malicious user traffic can be detected quickly and easily and filtered at the user terminal side.
  • the present invention minimizes the traffic required for the process of registering an application for providing a push service, authentication, and keep-alive message transmission, and loads a message that can increase the load on the network in advance. There is a filterable effect.
  • the present invention has the effect of quickly recognizing and filtering packets of an application contrary to a monitoring policy and a filtering policy, an application having a malicious purpose, or an application causing abnormal traffic.
  • the present invention also divides an application of a user terminal into an application using a preset registration port or an unregistered port, monitors and filters packets of an application using an unregistered port, and monitors and filters by passing a packet of an application using a registration port. Since the required packet can be reduced, the amount of computation of the user terminal can be reduced.
  • FIG. 1 is a configuration diagram of an embodiment of a network traffic management system using a monitoring and filtering policy according to the present invention
  • FIG. 2 is a block diagram of an embodiment of a traffic control apparatus using a monitoring and filtering policy according to the present invention
  • FIG. 3 is a detailed configuration diagram of an embodiment of the traffic management unit of FIG. 2 according to the present invention.
  • FIG. 4 is a flowchart illustrating a network traffic management method using a monitoring and filtering policy according to the present invention
  • FIG. 5 is a flowchart illustrating a traffic control method in the traffic control apparatus according to the present invention.
  • FIG. 1 is a configuration diagram of an embodiment of a network traffic management system using a monitoring and filtering policy according to the present invention.
  • the network traffic management system 10 using the monitoring and filtering policy according to the present invention includes a traffic control device 110, a network traffic management device 200, and a service included in the user terminal 100.
  • Providing apparatus 300 is included.
  • the network traffic management apparatus 200 manages network traffic between the user terminal 100 and the service providing apparatus 300. To this end, the network traffic management apparatus 200 generates a monitoring policy and filtering policy and transmits the generated monitoring policy and filtering policy to the traffic control apparatus 110 included in the user terminal 100 to manage traffic.
  • the network traffic management apparatus 200 may receive traffic statistics information from the traffic control apparatus 110 and check the traffic statistics information of each user terminal 100.
  • the network traffic management apparatus 200 generates a filtering policy through analysis of the traffic statistics information of each user terminal 100 and transmits the filtering policy to the traffic control apparatus 110.
  • the network traffic management apparatus 200 may collect traffic information on the traffic to be managed in advance, generate a filtering policy, and transmit the generated filtering policy to the traffic control apparatus 110.
  • the communication network refers to a network that provides a communication service so that the user terminal 100, the network traffic management apparatus 200, and the service providing apparatus 300 communicate with each other by wire or wireless. That is, the communication network may be a wired Internet network, a wireless data network (Internet network, IMS, etc.) connected through a mobile communication network (CDMA, W-CDMA, etc.), or an Internet network connected through short-range communication such as Wi-Fi. It may include.
  • the traffic control apparatus 110 controls the traffic generated through the application 101 installed in the user terminal 100.
  • the user terminal 100 may be applied to any type of terminal capable of performing the traffic control function such as a notebook, a smart phone, a PDA, a navigation, a PMP, an electronic dictionary, and an MP3.
  • the traffic control apparatus 110 may perform a traffic control function through a traffic control program provided through a network-based external system or an external storage medium.
  • the traffic control device 110 for each application in the kernel region of the user terminal 100 according to the monitoring policy received from the network traffic management device 200, the packet generated in the application of the user terminal 100 Or classify and detect by destination address.
  • the traffic control apparatus 110 transmits traffic statistics information on the detected packet to the network traffic management apparatus 200. Thereafter, the traffic control apparatus 110 transmits a packet of an application corresponding to the filtering policy received from the network traffic management apparatus 200 or a packet having a blocking destination included in the filtering policy of the user terminal 100. Filter in the kernel area.
  • FIG. 2 is a block diagram of an embodiment of a traffic control apparatus using a monitoring and filtering policy according to the present invention.
  • the traffic control apparatus 110 includes a packet collector 210, a packet monitor 220, a traffic manager 230, and a packet filter 240.
  • the traffic control device 110 receives a packet generated by the application 101 installed in the user terminal 100.
  • the packet collection unit 210 collects packets generated by the application 101 installed in the user terminal 100 by dividing the packets by the port number in the user terminal 100.
  • the packet monitoring unit 220 classifies packets corresponding to the monitoring policy among the packets collected by the packet collection unit 210 by application or destination address and detects the packets in the kernel region of the user terminal.
  • the packet monitoring unit 220 monitors the packets of the application 101 using a predetermined registration port or unregistered port among the packets collected by the packet collection unit 210 for each transmission and reception port.
  • the application 101 may be divided into an application using a predetermined well-known port or an unknown port.
  • an application using a preset registration port includes an application such as a web browser. Packet transmission and reception of an application using a preset registration port can be basically passed without policy comparison.
  • the packet monitoring unit 220 detects the packet according to the monitoring policy on the assumption that the packet of the application using the unregistered port operates according to its own standard.
  • the port number used by the application 101 of the user terminal 100 is registered in the network traffic management apparatus 200
  • the port number used by the application 101 is referred to as a registration port.
  • the unregistered port refers to a port number that is not registered in the network traffic management apparatus 200.
  • the packet monitoring unit 220 may monitor the packet of the application 101 using the preset unregistered port to extract the protocol information, the destination address and the port number. When the application using the registration port conforms to the filtering policy, the packet monitoring unit 220 may reduce the packet for monitoring and monitoring only packets of the application 101 using the unregistered port.
  • the packet monitoring unit 220 may extract the protocol information, the destination address and the port number only when the packet is generated in the packet of the application 101 using the preset unregistered port. Since the application 101 has the same protocol information, the same destination address and the same port number after the socket creation with the service providing apparatus 300, the packet monitoring load is extracted by extracting the protocol information, the destination address and the port number only when the socket is created. Can be reduced.
  • the packet monitoring unit 220 extracts a destination MAC address, a destination IP address, and a destination port number as a destination address.
  • the packet monitoring unit 220 may calculate a packet generation period by monitoring a packet of the application 101 using a predetermined unregistered port. For example, when a packet generation period is set in the monitoring policy, the packet monitoring unit 220 may detect a packet of the application 101 that exceeds the packet generation period.
  • the packet monitoring unit 220 does not check the payload (Payload) of the application 101, only confirms the presence or absence of incoming / outgoing packets. Through this, the packet monitoring unit 220 may reduce the load on packet monitoring. If necessary, the packet monitoring unit 220 may capture the entire packet data, that is, the header and the packet payload of the packet, and separately analyze or transmit the packet header to the network traffic management apparatus 200.
  • the payload Payload
  • the packet filtering unit 240 filters the packet of the application corresponding to the filtering policy or the packet having the blocking destination address included in the filtering policy in the kernel region of the user terminal 100.
  • the filtering policy is received from the network traffic management apparatus 200.
  • the packet filtering unit 240 filters the packet of the application 101 corresponding to the filtering policy or the packet having the blocking destination address of the filtering policy by using a netfilter operating in the kernel region of the user terminal 101. .
  • the packet filtering unit 240 generates a handler (eg, iptalbes handler, libipq *) for controlling a filtering policy operating in the kernel region of the user terminal 100 in the user region and performs filtering using the generated handler. You can control the net filter.
  • a handler eg, iptalbes handler, libipq *
  • the traffic manager 230 analyzes the packet detected by the packet monitor 220 and generates traffic statistics information.
  • the traffic manager 230 transmits the generated traffic statistics information to the network traffic management apparatus 200.
  • FIG. 3 is a detailed configuration diagram of an embodiment of the traffic management unit of FIG. 2 according to the present invention.
  • the traffic manager 230 includes a traffic information generator 310, a policy setting unit 320, and a data storage unit 330.
  • the data storage unit 330 includes a policy DB 331, a traffic DB 332, and a filtering DB 333.
  • the traffic information generator 310 analyzes the packet detected by the packet monitor 220 for each application or destination address and generates traffic statistics information.
  • the traffic statistics information includes the number or size of packets for each application for a predetermined time, the number or size of packets for each destination address during a predetermined time, and the like.
  • the policy setting unit 320 sets the received monitoring policy and the filtering policy to the packet monitoring unit 220 and the packet filtering unit 240, respectively.
  • Monitoring policies include a list of applications to monitor, protocol information to monitor, port numbers to monitor, packet generation intervals to monitor, and destination addresses to monitor.
  • the filtering policy includes a blocking application list and a blocking destination list.
  • the data storage unit 330 stores the traffic statistics information generated by the traffic information generator 310, the traffic information, and the packet information about the filtered packet.
  • the data storage unit 330 stores the received monitoring policy and filtering policy in the policy 331.
  • the data storage unit 330 stores the traffic statistics information for each application or destination address generated by the traffic information generator 310 in the traffic DB 332.
  • the data storage unit 330 stores the packet information filtered by the packet filtering unit 240 in the filtering DB 333.
  • FIG. 4 is a flowchart illustrating a network traffic management method using a monitoring and filtering policy according to the present invention.
  • the application 101 installed in the user terminal 101 transmits a session maintenance packet or a malicious packet to the service providing apparatus 300 (S402).
  • the traffic control apparatus 110 collects a packet from the application 101 installed in the user terminal 101 (S404).
  • the traffic control apparatus 110 monitors the collected packets according to the monitoring policy (S406).
  • the traffic control apparatus 110 generates traffic statistics information using the monitoring result in the monitoring process "S406" and transmits the traffic statistics information to the network traffic management apparatus 200 (S408).
  • the network traffic management apparatus 200 analyzes the traffic statistics information received from the traffic control apparatus 110 and generates a filtering policy using the analyzed result.
  • the network traffic management apparatus 200 transmits the generated filtering policy to the traffic control apparatus 110.
  • the traffic control device 110 filters the packet of the application 101 according to the filtering policy received from the network traffic management device 200.
  • the traffic control device 110 blocks the packet of the application 101 according to the received filtering policy (S416).
  • step “S416” the process of blocking the packet is described.
  • the traffic control apparatus 110 may block or allow the packet according to the filtering policy.
  • FIG. 5 is a flowchart illustrating a traffic control method in the traffic control apparatus according to the present invention.
  • the network traffic management apparatus 200 transmits a monitoring policy to the traffic control apparatus 110 (S502). Then, the traffic manager 230 receives the monitoring policy (S502).
  • the traffic manager 230 sets the received monitoring policy to the packet monitor 220 (S504).
  • the packet collecting unit 210 classifies and collects packets generated by the application 101 installed in the user terminal 110 by port number, and the packet monitoring unit 220 collects from the application 101 according to a monitoring policy.
  • the packet is monitored (S506).
  • the packet monitoring unit 220 checks in the kernel region of the user terminal 110 whether there is a packet corresponding to the monitoring policy through packet monitoring (S508).
  • the packet monitoring unit 220 may classify and detect a packet by an application or a destination address.
  • the traffic management unit 230 analyzes the packet detected by the packet monitoring unit 220 to generate traffic statistics information (S510).
  • the traffic manager 230 transmits the generated traffic statistics information to the network traffic management apparatus 200 (S512).
  • the network traffic management apparatus 200 analyzes the received traffic statistics information and generates a filtering policy using the analyzed result (S514).
  • the network traffic management apparatus 200 transmits the generated filtering policy to the traffic control apparatus 110 (S516).
  • the packet filtering unit 240 filters the packet of the application 101 according to the filtering policy received from the traffic control device 110 (S518). That is, the packet filtering unit 240 filters the packet of the application corresponding to the filtering policy or the packet having the blocking destination address included in the filtering policy in the kernel region of the user terminal.
  • the present invention can be applied to various reproduction apparatuses by implementing the data traffic control method described above as a software program and recording it on a computer-readable predetermined recording medium.
  • Various playback devices may be PCs, laptops, portable terminals, smart phones, and the like.
  • the recording medium may be a hard disk, a flash memory, a RAM, a ROM, or the like as an internal type of each playback device, or an optical disc such as a CD-R or a CD-RW, a compact flash card, a smart media, a memory stick, or a multimedia card as an external type. have.
  • the program recorded on the computer-readable recording medium includes: a monitoring policy receiving step of receiving a monitoring policy from a network traffic management apparatus; A packet collection process of dividing packets generated by an application of the user terminal by port numbers; A packet monitoring process of classifying packets corresponding to the received monitoring policy by application or by destination address through monitoring of the collected packets and detecting them in a kernel region of the user terminal; A traffic information generation process of analyzing the detected packets to generate traffic statistics information; A filtering policy receiving step of transmitting the generated traffic statistics information to a network traffic management apparatus and receiving a filtering policy from the network traffic management apparatus; And a filtering process for filtering a packet of an application corresponding to the received filtering policy or a packet having a block destination address included in the filtering policy in a kernel region of the user terminal.
  • a packet of an application is detected at a user terminal according to a monitoring policy, and traffic statistics information about the detected packet is filtered to filter the packet according to the received filtering policy, thereby increasing the load on the communication network.
  • In-data communication traffic eg, session maintenance data
  • malicious user traffic can be detected quickly and easily and filtered at the user terminal side.
  • the invention is a commercially available invention because the possibility of marketing or operating the applied device is not only sufficient for the use of the related technology, but also practically evident as it exceeds the limitation of the existing technology.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to a network traffic management system using a monitoring policy and a filtering policy, and a method thereof. Specifically, the present invention can rapidly and easily detect traffic for subsidiary data communication capable of increasing a load to a communication network (for example, data for maintaining sessions) or traffic of a malicious user by enabling a user terminal to detect a packet of an application according to a monitoring policy, transmitting traffic statistic information for the detected packet, and filtering the packet according to the received filtering policy, and enables the user terminal to filter the traffic detected thereby.

Description

모니터링 및 필터링 정책을 이용한 네트워크 트래픽 관리 시스템 및 그 방법Network traffic management system and its method using monitoring and filtering policy
본 발명은 모니터링 및 필터링 정책을 이용한 네트워크 트래픽 관리 시스템 및 그 방법에 관한 것으로서, 상세하게는 모니터링 정책에 따라 사용자 단말 측에서 애플리케이션의 패킷을 검출하고, 그 검출된 패킷에 대한 트래픽 통계 정보를 전송하여 수신된 필터링 정책에 따라 패킷을 필터링함으로써, 통신망에 부하를 가중시킬 수 있는 부수적인 데이터 통신용 트래픽(예컨대, 세션 유지용 데이터) 또는 악의적인 사용자의 트래픽을 신속하고 용이하게 검출하고 이를 사용자 단말 측에서 필터링할 수 있는, 모니터링 및 필터링 정책을 이용한 네트워크 트래픽 관리 시스템 및 그 방법에 관한 것이다.The present invention relates to a network traffic management system and method using a monitoring and filtering policy, and more particularly, to detect a packet of an application at a user terminal according to a monitoring policy, and transmit traffic statistics information on the detected packet. By filtering the packets according to the received filtering policy, it is possible to quickly and easily detect the traffic for ancillary data communication (e.g., session maintenance data) or the traffic of a malicious user, which can put a load on the communication network and at the user terminal side. The present invention relates to a network traffic management system using a monitoring and filtering policy that can be filtered, and a method thereof.
최근, 스마트폰, 태블릿 PC 등의 사용자 단말들이 활성화됨에 따라 다양한 애플리케이션(Application)이 출현하고 있다. 그 중에서 메신저와 같이 패킷을 착신하거나 발신하는 기능이 필요한 애플리케이션 및 특정 서버에 데이터를 전송하는 애플리케이션이 증가하고 있다. 하지만, 현재 구조의 통신 사업자의 네트워크에서 모든 애플리케이션에서 발생하는 트래픽(Traffic)을 모니터링하여 불필요하거나 악의적인 트래픽을 차단하는 것은 불가능하다.Recently, as user terminals such as smartphones and tablet PCs are activated, various applications have emerged. Among them, an application that needs a function of receiving or sending a packet such as a messenger and an application of transmitting data to a specific server are increasing. However, it is impossible to block unnecessary or malicious traffic by monitoring the traffic generated by all applications in the network of the current structure.
메신저 형태의 애플리케이션은 패킷 착신 기능을 위해 항상 해당 애플리케이션이 탑재된 사용자 단말의 위치를 해당 서버에 전송해야 한다. 즉, 해당 서버는 패킷 전송을 위해 사용자 단말의 위치를 알고 있어야 한다. 이를 위해, 사용자 단말과 해당 서버 간의 세션이 유지되고 있어야 주기적 또는 임시로 사용자 단말의 위치 정보가 해당 서버로 전송될 수 있다. 이러한 세션 유지를 위해, 사용자 단말과 해당 서버 간에는 주기적으로 실제의 메시지 전달과는 관련 없는 세션 유지용 데이터(예컨대, 킵얼라이브(Keep Alive) 메시지, 하트비트(Heart Beat) 메시지 등)가 교환되어야 한다. 각 애플리케이션별로 독립적으로 세션 유지용 데이터의 송수신 동작이 이루어지므로 하나의 단말에 많은 메신저 애플리케이션이 설치되거나 구동되는 경우 통신사업자의 네트워크 시스템에 부하를 주는 경우가 발생하고 있다.An application in the form of a messenger should always transmit the location of the user terminal equipped with the application to the server for the packet receiving function. That is, the server must know the location of the user terminal for packet transmission. To this end, the session information between the user terminal and the server must be maintained so that the location information of the user terminal can be transmitted to the server periodically or temporarily. In order to maintain such a session, session maintenance data (eg, Keep Alive message, Heart Beat message, etc.) that is not related to actual message transmission must be periodically exchanged between the user terminal and the corresponding server. . Since the operation of transmitting and receiving session data is independently performed for each application, when a large number of messenger applications are installed or driven in one terminal, a load is placed on the network system of the communication service provider.
또한, 사용자 몰래 임의의 사용자 단말에서 데이터를 유출하여 악의적인 사용자의 서버로 데이터를 유출하는 애플리케이션도 있다. 이러한 데이터 트래픽을 사전에 빠르게 찾아내고 필요 시 차단하기 위한 사용자 단말의 데이터 트래픽 검출 및 제어 기술이 필요한 상황이다.In addition, there is an application that leaks data from an arbitrary user terminal without the user's knowledge and leaks the data to a server of a malicious user. There is a need for a data traffic detection and control technique of a user terminal in order to detect such data traffic quickly and block it if necessary.
본 발명은 상기의 문제점을 해결하기 위해 창안된 것으로서, 모니터링 정책에 따라 사용자 단말 측에서 애플리케이션의 패킷을 검출하고, 그 검출된 패킷에 대한 트래픽 통계 정보를 전송하여 수신된 필터링 정책에 따라 패킷을 필터링함으로써, 통신망에 부하를 가중시킬 수 있는 부수적인 데이터 통신용 트래픽(예컨대, 세션 유지용 데이터) 또는 악의적인 사용자의 트래픽을 신속하고 용이하게 검출하고 이를 사용자 단말 측에서 필터링할 수 있는, 모니터링 및 필터링 정책을 이용한 네트워크 트래픽 관리 시스템 및 그 방법을 제공하는 것을 목적으로 한다.The present invention was devised to solve the above problems, and detects a packet of an application at a user terminal according to a monitoring policy, transmits traffic statistics information on the detected packet, and filters the packet according to the received filtering policy. Thus, a monitoring and filtering policy that can quickly and easily detect and filter on ancillary data communication traffic (e.g., session maintenance data) or malicious user traffic that can add to the load on the network. An object of the present invention is to provide a network traffic management system and method using the same.
이를 위하여, 본 발명의 제1 측면에 따른 시스템은, 모니터링 정책 및 필터링 정책을 생성하고 상기 생성된 모니터링 정책 및 필터링 정책을 사용자 단말로 전송하여 네트워크 트래픽을 관리하는 네트워크 트래픽 관리 장치; 및 상기 네트워크 트래픽 관리 장치로부터 수신된 모니터링 정책에 따라 상기 사용자 단말의 애플리케이션에서 발생된 패킷을 애플리케이션별 또는 목적지 주소별로 분류하여 검출하고, 상기 검출된 패킷에 대한 트래픽 통계 정보를 생성하여 상기 네트워크 트래픽 관리 장치로 전송하고, 상기 네트워크 트래픽 관리 장치로부터 수신된 필터링 정책에 따라 패킷을 상기 사용자 단말의 커널 영역에서 필터링하는 트래픽 제어 장치를 포함하는 것을 특징으로 한다.To this end, the system according to the first aspect of the present invention, a network traffic management device for generating a monitoring policy and filtering policy, and transmits the generated monitoring policy and filtering policy to the user terminal to manage network traffic; And classifying and detecting packets generated by an application of the user terminal according to an application or a destination address according to a monitoring policy received from the network traffic management apparatus, and generating traffic statistics information on the detected packets to manage the network traffic. And a traffic control device for transmitting the packet to the device and filtering the packet in the kernel region of the user terminal according to the filtering policy received from the network traffic management device.
한편, 본 발명의 제2 측면에 따른 장치는, 사용자 단말의 애플리케이션에서 발생된 패킷을 상기 사용자 단말에서 포트 번호별로 구분하여 수집하는 패킷 수집부; 상기 수집된 패킷 중에서 모니터링 정책에 부합하는 패킷을 애플리케이션별 또는 목적지 주소별로 분류하여 상기 사용자 단말의 커널 영역에서 검출하는 패킷 모니터링부; 상기 검출된 패킷의 분석을 통해 트래픽 통계 정보를 생성하여 상기 네트워크 트래픽 관리 장치로 전송하고, 상기 네트워크 트래픽 관리 장치로부터 필터링 정책을 수신하는 트래픽 관리부; 및 상기 수신된 필터링 정책에 해당하는 애플리케이션의 패킷 또는 상기 필터링 정책에 포함된 차단 목적지 주소를 가지는 패킷을 상기 사용자 단말의 커널 영역에서 필터링하는 패킷 필터링부를 포함하는 것을 특징으로 한다.On the other hand, the device according to the second aspect of the present invention, a packet collection unit for collecting the packet generated by the application of the user terminal by the port number in the user terminal; A packet monitoring unit for classifying packets corresponding to a monitoring policy among the collected packets by application or destination address and detecting them in the kernel region of the user terminal; A traffic manager configured to generate traffic statistics information through analysis of the detected packets, transmit them to the network traffic management apparatus, and receive a filtering policy from the network traffic management apparatus; And a packet filtering unit for filtering a packet of an application corresponding to the received filtering policy or a packet having a blocking destination address included in the filtering policy in a kernel region of the user terminal.
상기 트래픽 관리부는, 상기 검출된 패킷의 분석을 통해 트래픽 통계 정보를 생성하여 상기 네트워크 트래픽 관리 장치로 전송하는 트래픽 정보 생성부; 상기 모니터링 정책 및 필터링 정책을 상기 패킷 모니터링부 및 상기 패킷 필터링부에 각각 설정하는 정책 설정부; 상기 모니터링 정책 및 필터링 정책을 저장하는 정책 DB; 상기 생성된 트래픽 통계 정보를 저장하는 트래픽 정보 DB; 및 상기 필터링된 패킷에 대한 패킷 정보를 저장하는 필터링 DB를 포함하는 것을 특징으로 한다.The traffic manager may include: a traffic information generator configured to generate traffic statistics information through analysis of the detected packet and transmit the generated traffic statistics information to the network traffic management apparatus; A policy setting unit which sets the monitoring policy and the filtering policy to the packet monitoring unit and the packet filtering unit, respectively; A policy DB for storing the monitoring policy and filtering policy; A traffic information DB for storing the generated traffic statistics information; And a filtering DB for storing packet information about the filtered packet.
상기 패킷 모니터링부는, 상기 수집된 패킷 중에서 기설정된 등록 포트 또는 미등록 포트를 이용하는 애플리케이션의 패킷을 포트 번호별로 구분하여 모니터링하는 것을 특징으로 한다.The packet monitoring unit may classify and monitor packets of an application using a predetermined registered port or an unregistered port among the collected packets by port number.
상기 패킷 모니터링부는, 상기 기설정된 미등록 포트를 이용하는 애플리케이션의 패킷을 모니터링하여 프로토콜 정보, 목적지 주소 및 포트 번호를 추출하는 것을 특징으로 한다.The packet monitoring unit may monitor a packet of an application using the predetermined unregistered port and extract protocol information, a destination address, and a port number.
상기 패킷 모니터링부는, 상기 기설정된 미등록 포트를 이용하는 애플리케이션의 패킷을 모니터링하여 상기 목적지 주소에 대한 목적지 맥(MAC) 주소, 목적지 아이피(IP) 주소, 목적지 포트 번호를 추출하는 것을 특징으로 한다.The packet monitoring unit may monitor a packet of an application using the predetermined unregistered port, and extract a destination MAC address, a destination IP address, and a destination port number for the destination address.
상기 패킷 모니터링부는, 상기 기설정된 미등록 포트를 이용하는 애플리케이션에 의해 소켓이 생성된 경우에 상기 프로토콜 정보, 상기 목적지 주소 및 상기 포트 번호를 추출하는 것을 특징으로 한다.The packet monitoring unit may extract the protocol information, the destination address, and the port number when the socket is generated by an application using the preset unregistered port.
상기 패킷 모니터링부는, 상기 기설정된 미등록 포트를 이용하는 애플리케이션의 패킷을 모니터링하여 애플리케이션에서 패킷이 발생하는 패킷 발생 주기를 산출하는 것을 특징으로 한다.The packet monitoring unit may monitor a packet of an application using the predetermined unregistered port and calculate a packet generation period in which the packet is generated in the application.
상기 패킷 필터링부는, 상기 필터링 정책에 해당하는 애플리케이션의 패킷 또는 상기 필터링 정책의 블로킹 목적지 주소를 가지는 패킷을 상기 사용자 단말의 커널 영역에서 동작하는 넷필터(Netfilter)를 이용하여 필터링하는 것을 특징으로 한다.The packet filtering unit may filter a packet of an application corresponding to the filtering policy or a packet having a blocking destination address of the filtering policy by using a netfilter operating in the kernel region of the user terminal.
상기 패킷 필터링부는, 상기 사용자 단말의 커널 영역에서 동작하는 필터링 정책을 사용자 영역에서 제어하기 위한 핸들러를 생성하고 상기 생성된 핸들러를 이용하여 필터링을 수행하는 넷필터를 제어하는 것을 특징으로 한다.The packet filtering unit may generate a handler for controlling a filtering policy operating in the kernel region of the user terminal in the user region, and control a net filter for performing filtering using the generated handler.
한편, 본 발명의 제3 측면에 따른 방법은, 네트워크 트래픽 관리 장치로부터 모니터링 정책을 수신하는 모니터링 정책 수신 단계; 사용자 단말의 애플리케이션에서 발생된 패킷을 포트 번호별로 구분하여 수집하는 패킷 수집 단계; 상기 수집된 패킷의 모니터링을 통해 상기 수신된 모니터링 정책에 부합하는 패킷을 애플리케이션별 또는 목적지 주소별로 분류하여 상기 사용자 단말의 커널 영역에서 검출하는 패킷 모니터링 단계; 상기 검출된 패킷을 분석하여 트래픽 통계 정보를 생성하는 트래픽 정보 생성 단계; 상기 생성된 트래픽 통계 정보를 네트워크 트래픽 관리 장치로 전송하고, 상기 네트워크 트래픽 관리 장치로부터 필터링 정책을 수신하는 필터링 정책 수신 단계; 및 상기 수신된 필터링 정책에 해당하는 애플리케이션의 패킷 또는 상기 필터링 정책에 포함된 차단 목적지 주소를 가지는 패킷을 상기 사용자 단말의 커널 영역에서 필터링하는 필터링 단계를 포함하는 것을 특징으로 한다.On the other hand, the method according to the third aspect of the invention, the monitoring policy receiving step of receiving a monitoring policy from the network traffic management apparatus; A packet collecting step of dividing a packet generated by an application of the user terminal by port number; A packet monitoring step of classifying packets corresponding to the received monitoring policy by application or destination address through monitoring of the collected packets and detecting them in a kernel region of the user terminal; Generating traffic statistics information by analyzing the detected packets; A filtering policy receiving step of transmitting the generated traffic statistics information to a network traffic management apparatus and receiving a filtering policy from the network traffic management apparatus; And filtering a packet of an application corresponding to the received filtering policy or a packet having a block destination address included in the filtering policy in a kernel region of the user terminal.
상기 패킷 모니터링 단계는, 상기 수집된 패킷 중에서 기설정된 등록 포트 또는 미등록 포트를 이용하는 애플리케이션의 패킷을 포트 번호별로 구분하여 모니터링하는 것을 특징으로 한다.In the packet monitoring step, a packet of an application using a preset registered port or an unregistered port among the collected packets may be classified and monitored for each port number.
상기 패킷 모니터링 단계는, 상기 기설정된 미등록 포트를 이용하는 애플리케이션의 패킷을 모니터링하여 프로토콜 정보, 목적지 주소 및 포트 번호를 추출하는 것을 특징으로 한다.The packet monitoring step may include extracting protocol information, a destination address, and a port number by monitoring a packet of an application using the predetermined unregistered port.
상기 패킷 모니터링 단계는, 상기 기설정된 미등록 포트를 이용하는 애플리케이션의 패킷을 모니터링하여 상기 목적지 주소에 대한 목적지 맥(MAC) 주소, 목적지 아이피(IP) 주소, 목적지 포트 번호를 추출하는 것을 특징으로 한다.The packet monitoring step may include extracting a destination MAC address, a destination IP address, and a destination port number for the destination address by monitoring a packet of an application using the preset unregistered port.
상기 패킷 모니터링 단계는, 상기 기설정된 미등록 포트를 이용하는 애플리케이션에 의해 소켓이 생성된 경우에 상기 프로토콜 정보, 상기 목적지 주소 및 상기 포트 번호를 추출하는 것을 특징으로 한다.The packet monitoring may include extracting the protocol information, the destination address, and the port number when the socket is generated by an application using the predetermined unregistered port.
상기 패킷 모니터링 단계는, 상기 기설정된 미등록 포트를 이용하는 애플리케이션의 패킷을 모니터링하여 애플리케이션에서 패킷이 발생하는 패킷 발생 주기를 산출하는 것을 특징으로 한다.The packet monitoring step may include calculating a packet generation period in which a packet is generated in the application by monitoring a packet of an application using the predetermined unregistered port.
상기 패킷 필터링 단계는, 상기 필터링 정책에 해당하는 애플리케이션의 패킷 또는 상기 필터링 정책의 블로킹 목적지 주소를 가지는 패킷을 상기 사용자 단말의 커널 영역에서 동작하는 넷필터(Netfilter)를 이용하여 필터링하는 것을 특징으로 한다.The packet filtering may include filtering a packet of an application corresponding to the filtering policy or a packet having a blocking destination address of the filtering policy by using a netfilter operating in a kernel region of the user terminal. .
상기 패킷 필터링 단계는, 상기 사용자 단말의 커널 영역에서 동작하는 필터링 정책을 사용자 영역에서 제어하기 위한 핸들러를 생성하고 상기 생성된 핸들러를 이용하여 필터링을 수행하는 넷필터를 제어하는 것을 특징으로 한다.The packet filtering step may include generating a handler for controlling a filtering policy operating in the kernel region of the user terminal in the user region and controlling a net filter for performing filtering using the generated handler.
본 발명은, 모니터링 정책에 따라 사용자 단말 측에서 애플리케이션의 패킷을 검출하고, 그 검출된 패킷에 대한 트래픽 통계 정보를 전송하여 수신된 필터링 정책에 따라 패킷을 필터링함으로써, 통신망에 부하를 가중시킬 수 있는 부수적인 데이터 통신용 트래픽(예컨대, 세션 유지용 데이터) 또는 악의적인 사용자의 트래픽을 신속하고 용이하게 검출하고 이를 사용자 단말 측에서 필터링할 수 있다.The present invention can increase the load on a communication network by detecting a packet of an application at a user terminal according to a monitoring policy, transmitting traffic statistics information on the detected packet, and filtering the packet according to a received filtering policy. Ancillary data communication traffic (eg, session maintenance data) or malicious user traffic can be detected quickly and easily and filtered at the user terminal side.
예를 들어, 본 발명은, 푸시 서비스를 제공하기 위한 애플리케이션의 등록, 인증, 킵 얼라이브(Keep-Alive) 메시지 전송 등의 과정에 필요한 트래픽을 최소화하고 네트워크에 부하를 가중시킬 수 있는 메시지를 사전에 필터링할 수 있는 효과가 있다.For example, the present invention minimizes the traffic required for the process of registering an application for providing a push service, authentication, and keep-alive message transmission, and loads a message that can increase the load on the network in advance. There is a filterable effect.
또한, 본 발명은 모니터링 정책 및 필터링 정책에 반하는 애플리케이션, 악의적인 목적을 가진 애플리케이션 또는 비정상적으로 트래픽을 유발시키는 애플리케이션의 패킷을 신속하게 인지하여 필터링할 수 있는 효과가 있다.In addition, the present invention has the effect of quickly recognizing and filtering packets of an application contrary to a monitoring policy and a filtering policy, an application having a malicious purpose, or an application causing abnormal traffic.
또한, 본 발명은, 사용자 단말의 애플리케이션을 기설정된 등록 포트 또는 미등록 포트를 이용한 애플리케이션으로 나누어 미등록 포트를 이용하는 애플리케이션의 패킷을 모니터링하여 필터링하고, 등록 포트를 이용한 애플리케이션의 패킷을 통과시킴으로써, 모니터링 및 필터링이 필요한 패킷을 줄일 수 있어 사용자 단말의 연산량을 감소시킬 수 있는 효과가 있다.The present invention also divides an application of a user terminal into an application using a preset registration port or an unregistered port, monitors and filters packets of an application using an unregistered port, and monitors and filters by passing a packet of an application using a registration port. Since the required packet can be reduced, the amount of computation of the user terminal can be reduced.
도 1 은 본 발명에 따른 모니터링 및 필터링 정책을 이용한 네트워크 트래픽 관리 시스템의 일실시예 구성도,1 is a configuration diagram of an embodiment of a network traffic management system using a monitoring and filtering policy according to the present invention;
도 2 는 본 발명에 따른 모니터링 및 필터링 정책을 이용한 트래픽 제어 장치의 일실시예 구성도,2 is a block diagram of an embodiment of a traffic control apparatus using a monitoring and filtering policy according to the present invention;
도 3 은 본 발명에 따른 도 2의 트래픽 관리부의 일실시예 상세구성도,3 is a detailed configuration diagram of an embodiment of the traffic management unit of FIG. 2 according to the present invention;
도 4 는 본 발명에 따른 모니터링 및 필터링 정책을 이용한 네트워크 트래픽 관리 방법에 대한 일실시예 흐름도,4 is a flowchart illustrating a network traffic management method using a monitoring and filtering policy according to the present invention;
도 5 는 본 발명에 따른 트래픽 제어 장치에서의 트래픽 제어 방법에 대한 일실시예 흐름도이다.5 is a flowchart illustrating a traffic control method in the traffic control apparatus according to the present invention.
이하, 첨부된 도면을 참조하여 본 발명에 따른 실시 예를 상세하게 설명한다. 본 발명의 구성 및 그에 따른 작용 효과는 이하의 상세한 설명을 통해 명확하게 이해될 것이다. 본 발명의 상세한 설명에 앞서, 동일한 구성요소에 대해서는 다른 도면 상에 표시되더라도 가능한 동일한 부호로 표시하며, 공지된 구성에 대해서는 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 구체적인 설명은 생략하기로 함에 유의한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. The construction of the present invention and the effects thereof will be clearly understood through the following detailed description. Prior to the detailed description of the present invention, the same components will be denoted by the same reference numerals even if they are displayed on different drawings, and the detailed description will be omitted when it is determined that the well-known configuration may obscure the gist of the present invention. do.
도 1 은 본 발명에 따른 모니터링 및 필터링 정책을 이용한 네트워크 트래픽 관리 시스템의 일실시예 구성도이다.1 is a configuration diagram of an embodiment of a network traffic management system using a monitoring and filtering policy according to the present invention.
도 1에 도시된 바와 같이, 본 발명에 따른 모니터링 및 필터링 정책을 이용한 네트워크 트래픽 관리 시스템(10)은 사용자 단말(100)에 포함된 트래픽 제어 장치(110), 네트워크 트래픽 관리 장치(200) 및 서비스 제공 장치(300)를 포함한다.As shown in FIG. 1, the network traffic management system 10 using the monitoring and filtering policy according to the present invention includes a traffic control device 110, a network traffic management device 200, and a service included in the user terminal 100. Providing apparatus 300 is included.
네트워크 트래픽 관리 장치(200)는 사용자 단말(100)과 서비스 제공 장치(300) 간의 네트워크 트래픽을 관리한다. 이를 위해, 네트워크 트래픽 관리 장치(200)는 모니터링 정책 및 필터링 정책을 생성하고 그 생성된 모니터링 정책 및 필터링 정책을 사용자 단말(100)에 포함된 트래픽 제어 장치(110)로 전송하여 트래픽을 관리한다. 여기서, 네트워크 트래픽 관리 장치(200)는 트래픽 제어 장치(110)로부터 트래픽 통계 정보를 수신하여 각 사용자 단말(100)의 트래픽 통계 정보를 확인할 수 있다. 또한, 네트워크 트래픽 관리 장치(200)는 각 사용자 단말(100)의 트래픽 통계 정보의 분석을 통해 필터링 정책을 생성하여 트래픽 제어 장치(110)로 전송한다. 네트워크 트래픽 관리 장치(200)는 관리하고자 하는 트래픽에 대한 트래픽 정보를 미리 수집하여 필터링 정책을 생성하고 그 생성된 필터링 정책을 트래픽 제어 장치(110)로 전송할 수 있다.The network traffic management apparatus 200 manages network traffic between the user terminal 100 and the service providing apparatus 300. To this end, the network traffic management apparatus 200 generates a monitoring policy and filtering policy and transmits the generated monitoring policy and filtering policy to the traffic control apparatus 110 included in the user terminal 100 to manage traffic. Here, the network traffic management apparatus 200 may receive traffic statistics information from the traffic control apparatus 110 and check the traffic statistics information of each user terminal 100. In addition, the network traffic management apparatus 200 generates a filtering policy through analysis of the traffic statistics information of each user terminal 100 and transmits the filtering policy to the traffic control apparatus 110. The network traffic management apparatus 200 may collect traffic information on the traffic to be managed in advance, generate a filtering policy, and transmit the generated filtering policy to the traffic control apparatus 110.
여기서, 통신망은 사용자 단말(100), 네트워크 트래픽 관리 장치(200) 및 서비스 제공 장치(300) 간 상호 유무선으로 통신할 수 있도록 통신 서비스를 제공하는 네트워크를 말한다. 즉, 통신망은 유선 인터넷 망일 수 있으며, 이동 통신망(CDMA, W-CDMA 등)을 통해 연결되는 무선 데이터망(인터넷 망, IMS 등), 또는 Wi-Fi 등의 근거리 통신을 통해 연결되는 인터넷 망 등을 포함할 수 있다.Here, the communication network refers to a network that provides a communication service so that the user terminal 100, the network traffic management apparatus 200, and the service providing apparatus 300 communicate with each other by wire or wireless. That is, the communication network may be a wired Internet network, a wireless data network (Internet network, IMS, etc.) connected through a mobile communication network (CDMA, W-CDMA, etc.), or an Internet network connected through short-range communication such as Wi-Fi. It may include.
트래픽 제어 장치(110)는 사용자 단말(100)에 설치된 애플리케이션(101)을 통해 발생되는 트래픽을 제어한다. 여기서, 사용자 단말(100)은 노트북, 스마트 폰, PDA, 네비게이션, PMP, 전자사전, MP3 등 상기 트래픽 제어 기능을 수행할 수 있는 단말이라면 그 종류에 관계없이 적용 가능하다. 트래픽 제어 장치(110)는 네트워크 기반의 외부 시스템이나 외부 저장매체를 통해 제공받은 트래픽 제어 프로그램을 통해 트래픽 제어 기능을 수행할 수 있다.The traffic control apparatus 110 controls the traffic generated through the application 101 installed in the user terminal 100. Here, the user terminal 100 may be applied to any type of terminal capable of performing the traffic control function such as a notebook, a smart phone, a PDA, a navigation, a PMP, an electronic dictionary, and an MP3. The traffic control apparatus 110 may perform a traffic control function through a traffic control program provided through a network-based external system or an external storage medium.
트래픽 제어 과정을 살펴보면, 트래픽 제어 장치(110)는 사용자 단말(100)의 애플리케이션에서 발생된 패킷을 네트워크 트래픽 관리 장치(200)로부터 수신된 모니터링 정책에 따라 사용자 단말(100)의 커널 영역에서 애플리케이션별 또는 목적지 주소별로 분류하여 검출한다. 그리고 트래픽 제어 장치(110)는 검출된 패킷에 대한 트래픽 통계 정보를 네트워크 트래픽 관리 장치(200)로 전송한다. 이후, 트래픽 제어 장치(110)는 네트워크 트래픽 관리 장치(200)로부터 수신된 필터링 정책에 해당하는 애플리케이션의 패킷 또는 필터링 정책에 포함된 차단 목적지 주소(Blocking Destination)를 가지는 패킷을 사용자 단말(100)의 커널 영역에서 필터링한다.Referring to the traffic control process, the traffic control device 110 for each application in the kernel region of the user terminal 100 according to the monitoring policy received from the network traffic management device 200, the packet generated in the application of the user terminal 100 Or classify and detect by destination address. The traffic control apparatus 110 transmits traffic statistics information on the detected packet to the network traffic management apparatus 200. Thereafter, the traffic control apparatus 110 transmits a packet of an application corresponding to the filtering policy received from the network traffic management apparatus 200 or a packet having a blocking destination included in the filtering policy of the user terminal 100. Filter in the kernel area.
도 2 는 본 발명에 따른 모니터링 및 필터링 정책을 이용한 트래픽 제어 장치의 일실시예 구성도이다.2 is a block diagram of an embodiment of a traffic control apparatus using a monitoring and filtering policy according to the present invention.
이하, 본 발명에 따른 트래픽 제어 장치의 구성 요소 각각에 대하여 살펴보기로 한다.Hereinafter, each component of the traffic control apparatus according to the present invention will be described.
도 2에 도시된 바와 같이, 본 발명에 따른 트래픽 제어 장치(110)는 패킷 수집부(210), 패킷 모니터링부(220), 트래픽 관리부(230) 및 패킷 필터링부(240)를 포함한다. 여기서, 트래픽 제어 장치(110)는 사용자 단말(100)에 설치된 애플리케이션(101)에서 발생되는 패킷을 수신한다.As shown in FIG. 2, the traffic control apparatus 110 according to the present invention includes a packet collector 210, a packet monitor 220, a traffic manager 230, and a packet filter 240. Here, the traffic control device 110 receives a packet generated by the application 101 installed in the user terminal 100.
패킷 수집부(210)는 사용자 단말(100)에 설치된 애플리케이션(101)에서 발생된 패킷을 사용자 단말(100)에서 포트 번호별로 구분하여 수집한다.The packet collection unit 210 collects packets generated by the application 101 installed in the user terminal 100 by dividing the packets by the port number in the user terminal 100.
그리고 패킷 모니터링부(220)는 패킷 수집부(210)에서 수집된 패킷 중에서 모니터링 정책에 부합하는 패킷을 애플리케이션별 또는 목적지 주소별로 분류하여 사용자 단말의 커널 영역에서 검출한다.The packet monitoring unit 220 classifies packets corresponding to the monitoring policy among the packets collected by the packet collection unit 210 by application or destination address and detects the packets in the kernel region of the user terminal.
패킷 모니터링 과정을 구체적으로 살펴보면, 패킷 모니터링부(220)는 패킷 수집부(210)에서 수집된 패킷 중에서 기설정된 등록 포트 또는 미등록 포트를 이용하는 애플리케이션(101)의 패킷을 송수신 포트별로 구분하여 모니터링한다.Looking at the packet monitoring process in detail, the packet monitoring unit 220 monitors the packets of the application 101 using a predetermined registration port or unregistered port among the packets collected by the packet collection unit 210 for each transmission and reception port.
등록 포트 및 미등록 포트를 살펴보면, 애플리케이션(101)은 기설정된 등록 포트(Well-known Port) 또는 미등록 포트(Unknown Port)를 이용하는 애플리케이션으로 나눌 수 있다. 예컨대, 기설정된 등록 포트를 이용한 애플리케이션으로는 웹 브라우저 등의 애플리케이션이 있다. 기설정된 등록 포트를 이용하는 애플리케이션의 패킷 송수신은 기본적으로 정책 비교 없이 통과될 수 있다. 반면, 패킷 모니터링부(220)는 미등록 포트를 이용하는 애플리케이션의 패킷이 자체 규격에 따라 동작하는 것으로 가정하여 모니터링 정책에 따라 패킷을 검출한다. 여기서, 사용자 단말(100)의 애플리케이션(101)이 이용하는 포트 번호가 네트워크 트래픽 관리 장치(200)에 등록된 경우에는 애플리케이션(101)이 이용하는 포트 번호를 등록 포트라 지칭한다. 미등록 포트는 네트워크 트래픽 관리 장치(200)에 등록되지 않은 포트 번호를 지칭한다.Referring to the registered port and the unregistered port, the application 101 may be divided into an application using a predetermined well-known port or an unknown port. For example, an application using a preset registration port includes an application such as a web browser. Packet transmission and reception of an application using a preset registration port can be basically passed without policy comparison. On the other hand, the packet monitoring unit 220 detects the packet according to the monitoring policy on the assumption that the packet of the application using the unregistered port operates according to its own standard. Here, when the port number used by the application 101 of the user terminal 100 is registered in the network traffic management apparatus 200, the port number used by the application 101 is referred to as a registration port. The unregistered port refers to a port number that is not registered in the network traffic management apparatus 200.
패킷 모니터링부(220)는 기설정된 미등록 포트를 이용하는 애플리케이션(101)의 패킷을 모니터링하여 프로토콜 정보, 목적지 주소 및 포트 번호를 추출할 수 있다. 등록 포트를 이용하는 애플리케이션이 필터링 정책을 준수하는 경우, 패킷 모니터링부(220)는 미등록 포트를 이용하는 애플리케이션(101)의 패킷만을 모니터링하여 모니터링하는 패킷을 줄일 수 있다.The packet monitoring unit 220 may monitor the packet of the application 101 using the preset unregistered port to extract the protocol information, the destination address and the port number. When the application using the registration port conforms to the filtering policy, the packet monitoring unit 220 may reduce the packet for monitoring and monitoring only packets of the application 101 using the unregistered port.
이때, 패킷 모니터링부(220)는 기설정된 미등록 포트를 이용하는 애플리케이션(101)의 패킷을 소켓 생성시에만 프로토콜 정보, 목적지 주소 및 포트 번호를 추출할 수 있다. 애플리케이션(101)은 서비스 제공 장치(300)와의 소켓 생성 이후에는 동일한 프로토콜 정보와 동일한 목적지 주소 및 동일한 포트 번호를 가지기 때문에, 소켓 생성시에만 프로토콜 정보, 목적지 주소 및 포트 번호를 추출하여 패킷 모니터링 부하량을 줄일 수 있다. 여기서, 패킷 모니터링부(220)는 목적지 주소로서, 목적지 맥(MAC) 주소, 목적지 아이피 주소, 목적지 포트 번호를 추출한다.In this case, the packet monitoring unit 220 may extract the protocol information, the destination address and the port number only when the packet is generated in the packet of the application 101 using the preset unregistered port. Since the application 101 has the same protocol information, the same destination address and the same port number after the socket creation with the service providing apparatus 300, the packet monitoring load is extracted by extracting the protocol information, the destination address and the port number only when the socket is created. Can be reduced. Here, the packet monitoring unit 220 extracts a destination MAC address, a destination IP address, and a destination port number as a destination address.
또한, 패킷 모니터링부(220)는 기설정된 미등록 포트를 이용하는 애플리케이션(101)의 패킷을 모니터링하여 패킷 발생 주기를 산출할 수 있다. 예컨대, 모니터링 정책에서 패킷 발생 주기가 설정되어 있는 경우, 패킷 모니터링부(220)는 패킷 발생 주기를 초과하는 애플리케이션(101)의 패킷을 검출할 수 있다.In addition, the packet monitoring unit 220 may calculate a packet generation period by monitoring a packet of the application 101 using a predetermined unregistered port. For example, when a packet generation period is set in the monitoring policy, the packet monitoring unit 220 may detect a packet of the application 101 that exceeds the packet generation period.
한편, 패킷 모니터링부(220)는 애플리케이션(101)의 페이로드(Payload)를 검사하지 않고, 착/발신 패킷의 유무만을 확인한다. 이를 통해, 패킷 모니터링부(220)는 패킷 모니터링에 대한 부하량을 줄일 수 있다. 필요시에, 패킷 모니터링부(220)는 패킷 전체 데이터 즉, 패킷의 헤더(Header)와 패킷 페이로드를 캡쳐하여 별도로 분석하거나 네트워크 트래픽 관리 장치(200)로 전송할 수 있다.On the other hand, the packet monitoring unit 220 does not check the payload (Payload) of the application 101, only confirms the presence or absence of incoming / outgoing packets. Through this, the packet monitoring unit 220 may reduce the load on packet monitoring. If necessary, the packet monitoring unit 220 may capture the entire packet data, that is, the header and the packet payload of the packet, and separately analyze or transmit the packet header to the network traffic management apparatus 200.
이후, 패킷 필터링부(240)는 필터링 정책에 해당하는 애플리케이션의 패킷 또는 필터링 정책에 포함된 차단 목적지 주소를 가지는 패킷을 사용자 단말(100)의 커널 영역에서 필터링한다. 여기서, 필터링 정책은 네트워크 트래픽 관리 장치(200)로부터 수신된다. 패킷 필터링부(240)는 필터링 정책에 해당하는 애플리케이션(101)의 패킷 또는 필터링 정책의 블로킹 목적지 주소를 가지는 패킷을 사용자 단말(101)의 커널 영역에서 동작하는 넷필터(Netfilter)를 이용하여 필터링한다. 패킷 필터링부(240)는 사용자 단말(100)의 커널 영역에서 동작하는 필터링 정책을 사용자 영역에서 제어하기 위한 핸들러(예컨대, iptalbes handler, libipq*)를 생성하고 그 생성된 핸들러를 이용하여 필터링을 수행하는 넷필터를 제어할 수 있다.Thereafter, the packet filtering unit 240 filters the packet of the application corresponding to the filtering policy or the packet having the blocking destination address included in the filtering policy in the kernel region of the user terminal 100. Here, the filtering policy is received from the network traffic management apparatus 200. The packet filtering unit 240 filters the packet of the application 101 corresponding to the filtering policy or the packet having the blocking destination address of the filtering policy by using a netfilter operating in the kernel region of the user terminal 101. . The packet filtering unit 240 generates a handler (eg, iptalbes handler, libipq *) for controlling a filtering policy operating in the kernel region of the user terminal 100 in the user region and performs filtering using the generated handler. You can control the net filter.
한편, 트래픽 관리부(230)는 패킷 모니터링부(220)에서 검출된 패킷을 분석하여 트래픽 통계 정보를 생성한다. 그리고 트래픽 관리부(230)는 그 생성된 트래픽 통계 정보를 네트워크 트래픽 관리 장치(200)로 전송한다.Meanwhile, the traffic manager 230 analyzes the packet detected by the packet monitor 220 and generates traffic statistics information. The traffic manager 230 transmits the generated traffic statistics information to the network traffic management apparatus 200.
도 3 은 본 발명에 따른 도 2의 트래픽 관리부의 일실시예 상세구성도이다.3 is a detailed configuration diagram of an embodiment of the traffic management unit of FIG. 2 according to the present invention.
도 3에 도시된 바와 같이, 트래픽 관리부(230)는 트래픽 정보 생성부(310), 정책 설정부(320) 및 데이터 저장부(330)를 포함한다. 여기서, 데이터 저장부(330)는 정책 DB(331), 트래픽 DB(332) 및 필터링 DB(333)를 포함한다.As shown in FIG. 3, the traffic manager 230 includes a traffic information generator 310, a policy setting unit 320, and a data storage unit 330. Here, the data storage unit 330 includes a policy DB 331, a traffic DB 332, and a filtering DB 333.
트래픽 정보 생성부(310)는 패킷 모니터링부(220)에서 검출된 패킷을 애플리케이션별 또는 목적지 주소별로 분석하여 트래픽 통계 정보를 생성한다. 트래픽 통계 정보에는 일정 시간 동안의 애플리케이션별 패킷 개수 또는 크기, 일정 시간 동안의 목적지 주소별 패킷 개수 또는 크기 등이 포함된다.The traffic information generator 310 analyzes the packet detected by the packet monitor 220 for each application or destination address and generates traffic statistics information. The traffic statistics information includes the number or size of packets for each application for a predetermined time, the number or size of packets for each destination address during a predetermined time, and the like.
정책 설정부(320)는 수신된 모니터링 정책 및 필터링 정책을 패킷 모니터링부(220) 및 패킷 필터링부(240)에 각각 설정한다. 모니터링 정책에는 모니터링할 애플리케이션 목록, 모니터링할 프로토콜 정보, 모니터링할 포트 번호, 모니터링할 패킷 발생 주기, 모니터링할 목적지 주소 등이 포함되어 있다. 필터링 정책에는 차단 애플리케이션 목록, 차단 목적지 주소 목록(Blocking Destination List)을 포함한다.The policy setting unit 320 sets the received monitoring policy and the filtering policy to the packet monitoring unit 220 and the packet filtering unit 240, respectively. Monitoring policies include a list of applications to monitor, protocol information to monitor, port numbers to monitor, packet generation intervals to monitor, and destination addresses to monitor. The filtering policy includes a blocking application list and a blocking destination list.
데이터 저장부(330)는 트래픽 정보 생성부(310)에서 생성된 트래픽 통계 정보, 트래픽 정보, 필터링된 패킷에 대한 패킷 정보를 저장한다.The data storage unit 330 stores the traffic statistics information generated by the traffic information generator 310, the traffic information, and the packet information about the filtered packet.
구체적으로 살펴보면, 데이터 저장부(330)는 수신된 모니터링 정책 및 필터링 정책을 정책(331)에 저장한다. 또한, 데이터 저장부(330)는 트래픽 정보 생성부(310)에서 생성된 애플리케이션별 또는 목적지 주소별 트래픽 통계 정보를 트래픽 DB(332)에 저장한다. 또한, 데이터 저장부(330)는 패킷 필터링부(240)에서 필터링된 패킷 정보를 필터링 DB(333)에 저장한다.In detail, the data storage unit 330 stores the received monitoring policy and filtering policy in the policy 331. In addition, the data storage unit 330 stores the traffic statistics information for each application or destination address generated by the traffic information generator 310 in the traffic DB 332. In addition, the data storage unit 330 stores the packet information filtered by the packet filtering unit 240 in the filtering DB 333.
도 4 는 본 발명에 따른 모니터링 및 필터링 정책을 이용한 네트워크 트래픽 관리 방법에 대한 일실시예 흐름도이다.4 is a flowchart illustrating a network traffic management method using a monitoring and filtering policy according to the present invention.
사용자 단말(101)에 설치된 애플리케이션(101)은 서비스 제공 장치(300)와 세션 유지용 패킷을 전송하거나 악의적인 패킷을 전송한다(S402).The application 101 installed in the user terminal 101 transmits a session maintenance packet or a malicious packet to the service providing apparatus 300 (S402).
트래픽 제어 장치(110)는 사용자 단말(101)에 설치된 애플리케이션(101)으로부터 패킷을 수집한다(S404).The traffic control apparatus 110 collects a packet from the application 101 installed in the user terminal 101 (S404).
그리고 트래픽 제어 장치(110)는 수집된 패킷을 모니터링 정책에 따라 모니터링한다(S406).The traffic control apparatus 110 monitors the collected packets according to the monitoring policy (S406).
트래픽 제어 장치(110)는 "S406" 모니터링 과정에서의 모니터링 결과를 이용하여 트래픽 통계 정보를 생성하여 네트워크 트래픽 관리 장치(200)로 전송한다(S408).The traffic control apparatus 110 generates traffic statistics information using the monitoring result in the monitoring process "S406" and transmits the traffic statistics information to the network traffic management apparatus 200 (S408).
네트워크 트래픽 관리 장치(200)는 트래픽 제어 장치(110)로부터 수신된 트래픽 통계 정보를 분석하고, 그 분석된 결과를 이용하여 필터링 정책을 생성한다.The network traffic management apparatus 200 analyzes the traffic statistics information received from the traffic control apparatus 110 and generates a filtering policy using the analyzed result.
네트워크 트래픽 관리 장치(200)는 생성된 필터링 정책을 트래픽 제어 장치(110)로 전송한다.The network traffic management apparatus 200 transmits the generated filtering policy to the traffic control apparatus 110.
그리고 트래픽 제어 장치(110)는 네트워크 트래픽 관리 장치(200)로부터 수신된 필터링 정책에 따라 애플리케이션(101)의 패킷을 필터링한다.The traffic control device 110 filters the packet of the application 101 according to the filtering policy received from the network traffic management device 200.
트래픽 제어 장치(110)는 그 수신된 필터링 정책에 따라 애플리케이션(101)의 패킷을 차단한다(S416). "S416" 과정에서는 패킷을 차단하는 과정이 설명되어 있다. "S416" 과정에서 트래픽 제어 장치(110)는 필터링 정책에 따라 패킷을 차단하거나 허용할 수 있다.The traffic control device 110 blocks the packet of the application 101 according to the received filtering policy (S416). In step "S416", the process of blocking the packet is described. In operation S416, the traffic control apparatus 110 may block or allow the packet according to the filtering policy.
도 5 는 본 발명에 따른 트래픽 제어 장치에서의 트래픽 제어 방법에 대한 일실시예 흐름도이다.5 is a flowchart illustrating a traffic control method in the traffic control apparatus according to the present invention.
네트워크 트래픽 관리 장치(200)는 트래픽 제어 장치(110)로 모니터링 정책을 전송한다(S502). 그러면, 트래픽 관리부(230)는 모니터링 정책을 수신한다(S502).The network traffic management apparatus 200 transmits a monitoring policy to the traffic control apparatus 110 (S502). Then, the traffic manager 230 receives the monitoring policy (S502).
그리고 트래픽 관리부(230)는 수신된 모니터링 정책을 패킷 모니터링부(220)에 설정하게 된다(S504).The traffic manager 230 sets the received monitoring policy to the packet monitor 220 (S504).
이후, 패킷 수집부(210)는 사용자 단말(110)에 설치된 애플리케이션(101)에서 발생된 패킷을 포트 번호별로 구분하여 수집하고, 패킷 모니터링부(220)는 모니터링 정책에 따라 애플리케이션(101)으로부터 수집된 패킷을 모니터링한다(S506).Thereafter, the packet collecting unit 210 classifies and collects packets generated by the application 101 installed in the user terminal 110 by port number, and the packet monitoring unit 220 collects from the application 101 according to a monitoring policy. The packet is monitored (S506).
패킷 모니터링부(220)는 패킷 모니터링을 통해 모니터링 정책에 부합하는 패킷이 있는지 여부를 사용자 단말(110)의 커널 영역에서 확인한다(S508). 패킷 모니터링부(220)는 애플리케이션별 또는 목적지 주소별로 패킷을 분류하여 검출할 수 있다.The packet monitoring unit 220 checks in the kernel region of the user terminal 110 whether there is a packet corresponding to the monitoring policy through packet monitoring (S508). The packet monitoring unit 220 may classify and detect a packet by an application or a destination address.
상기 확인 결과(S508), 모니터링 정책에 부합하는 패킷이 있는 경우, 트래픽 관리부(230)는 패킷 모니터링부(220)에서 검출된 패킷을 분석하여 트래픽 통계 정보를 생성한다(S510).As a result of the check (S508), when there is a packet corresponding to the monitoring policy, the traffic management unit 230 analyzes the packet detected by the packet monitoring unit 220 to generate traffic statistics information (S510).
그리고 트래픽 관리부(230)는 생성된 트래픽 통계 정보를 네트워크 트래픽 관리 장치(200)로 전송한다(S512).The traffic manager 230 transmits the generated traffic statistics information to the network traffic management apparatus 200 (S512).
네트워크 트래픽 관리 장치(200)는 수신된 트래픽 통계 정보를 분석하고 그 분석된 결과를 이용하여 필터링 정책을 생성한다(S514).The network traffic management apparatus 200 analyzes the received traffic statistics information and generates a filtering policy using the analyzed result (S514).
네트워크 트래픽 관리 장치(200)는 생성된 필터링 정책을 트래픽 제어 장치(110)로 전송한다(S516).The network traffic management apparatus 200 transmits the generated filtering policy to the traffic control apparatus 110 (S516).
패킷 필터링부(240)는 트래픽 제어 장치(110)로부터 수신된 필터링 정책에 따라 애플리케이션(101)의 패킷을 필터링한다(S518). 즉, 패킷 필터링부(240)는 필터링 정책에 해당하는 애플리케이션의 패킷 또는 필터링 정책에 포함된 차단 목적지 주소를 가지는 패킷을 사용자 단말의 커널 영역에서 필터링한다.The packet filtering unit 240 filters the packet of the application 101 according to the filtering policy received from the traffic control device 110 (S518). That is, the packet filtering unit 240 filters the packet of the application corresponding to the filtering policy or the packet having the blocking destination address included in the filtering policy in the kernel region of the user terminal.
한편, 본 발명은 이상에서 설명한 데이터 트래픽 제어 방법을 소프트웨어적인 프로그램으로 구현하여 컴퓨터로 읽을 수 있는 소정 기록 매체에 기록해 둠으로써 다양한 재생 장치에 적용할 수 있다.Meanwhile, the present invention can be applied to various reproduction apparatuses by implementing the data traffic control method described above as a software program and recording it on a computer-readable predetermined recording medium.
다양한 재생 장치는 PC, 노트북, 휴대용 단말, 스마트폰 등일 수 있다.Various playback devices may be PCs, laptops, portable terminals, smart phones, and the like.
예컨대, 기록 매체는 각 재생 장치의 내장형으로 하드 디스크, 플래시 메모리, RAM, ROM 등이거나, 외장형으로 CD-R, CD-RW와 같은 광디스크, 콤팩트 플래시 카드, 스마트 미디어, 메모리 스틱, 멀티미디어 카드일 수 있다.For example, the recording medium may be a hard disk, a flash memory, a RAM, a ROM, or the like as an internal type of each playback device, or an optical disc such as a CD-R or a CD-RW, a compact flash card, a smart media, a memory stick, or a multimedia card as an external type. have.
이 경우, 컴퓨터로 읽을 수 있는 기록 매체에 기록한 프로그램은, 네트워크 트래픽 관리 장치로부터 모니터링 정책을 수신하는 모니터링 정책 수신 과정; 사용자 단말의 애플리케이션에서 발생된 패킷을 포트 번호별로 구분하여 수집하는 패킷 수집 과정; 상기 수집된 패킷의 모니터링을 통해 상기 수신된 모니터링 정책에 부합하는 패킷을 애플리케이션별 또는 목적지 주소별로 분류하여 상기 사용자 단말의 커널 영역에서 검출하는 패킷 모니터링 과정; 상기 검출된 패킷을 분석하여 트래픽 통계 정보를 생성하는 트래픽 정보 생성 과정; 상기 생성된 트래픽 통계 정보를 네트워크 트래픽 관리 장치로 전송하고, 상기 네트워크 트래픽 관리 장치로부터 필터링 정책을 수신하는 필터링 정책 수신 과정; 및 상기 수신된 필터링 정책에 해당하는 애플리케이션의 패킷 또는 상기 필터링 정책에 포함된 차단 목적지 주소를 가지는 패킷을 상기 사용자 단말의 커널 영역에서 필터링하는 필터링 과정을 포함하여 실행될 수 있다.In this case, the program recorded on the computer-readable recording medium includes: a monitoring policy receiving step of receiving a monitoring policy from a network traffic management apparatus; A packet collection process of dividing packets generated by an application of the user terminal by port numbers; A packet monitoring process of classifying packets corresponding to the received monitoring policy by application or by destination address through monitoring of the collected packets and detecting them in a kernel region of the user terminal; A traffic information generation process of analyzing the detected packets to generate traffic statistics information; A filtering policy receiving step of transmitting the generated traffic statistics information to a network traffic management apparatus and receiving a filtering policy from the network traffic management apparatus; And a filtering process for filtering a packet of an application corresponding to the received filtering policy or a packet having a block destination address included in the filtering policy in a kernel region of the user terminal.
이상의 설명은 본 발명을 예시적으로 설명한 것에 불과하며, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 본 발명의 기술적 사상에서 벗어나지 않는 범위에서 다양한 변형이 가능할 것이다. 따라서 본 발명의 명세서에 개시된 실시 예들은 본 발명을 한정하는 것이 아니다. 본 발명의 범위는 아래의 특허청구범위에 의해 해석되어야 하며, 그와 균등한 범위 내에 있는 모든 기술도 본 발명의 범위에 포함되는 것으로 해석해야 할 것이다.The above description is merely illustrative of the present invention, and various modifications may be made by those skilled in the art without departing from the technical spirit of the present invention. Therefore, the embodiments disclosed in the specification of the present invention are not intended to limit the present invention. The scope of the present invention should be construed by the claims below, and all techniques within the scope equivalent thereto will be construed as being included in the scope of the present invention.
본 발명은 모니터링 정책에 따라 사용자 단말 측에서 애플리케이션의 패킷을 검출하고, 그 검출된 패킷에 대한 트래픽 통계 정보를 전송하여 수신된 필터링 정책에 따라 패킷을 필터링함으로써, 통신망에 부하를 가중시킬 수 있는 부수적인 데이터 통신용 트래픽(예컨대, 세션 유지용 데이터) 또는 악의적인 사용자의 트래픽을 신속하고 용이하게 검출하고 이를 사용자 단말 측에서 필터링할 수 있다. 이러한 점에서 기존 기술의 한계를 뛰어 넘음에 따라 관련 기술에 대한 이용만이 아닌 적용되는 장치의 시판 또는 영업의 가능성이 충분할 뿐만 아니라 현실적으로 명백하게 실시할 수 있는 정도이므로 산업상 이용 가능성이 있는 발명이다.According to the present invention, a packet of an application is detected at a user terminal according to a monitoring policy, and traffic statistics information about the detected packet is filtered to filter the packet according to the received filtering policy, thereby increasing the load on the communication network. In-data communication traffic (eg, session maintenance data) or malicious user traffic can be detected quickly and easily and filtered at the user terminal side. In this respect, the invention is a commercially available invention because the possibility of marketing or operating the applied device is not only sufficient for the use of the related technology, but also practically evident as it exceeds the limitation of the existing technology.

Claims (18)

  1. 모니터링 정책 및 필터링 정책을 생성하고 상기 생성된 모니터링 정책 및 필터링 정책을 사용자 단말로 전송하여 네트워크 트래픽을 관리하는 네트워크 트래픽 관리 장치; 및A network traffic management apparatus for generating a monitoring policy and a filtering policy and transmitting the generated monitoring policy and filtering policy to a user terminal to manage network traffic; And
    상기 네트워크 트래픽 관리 장치로부터 수신된 모니터링 정책에 따라 상기 사용자 단말의 애플리케이션에서 발생된 패킷을 애플리케이션별 또는 목적지 주소별로 분류하여 검출하고, 상기 검출된 패킷에 대한 트래픽 통계 정보를 생성하여 상기 네트워크 트래픽 관리 장치로 전송하고, 상기 네트워크 트래픽 관리 장치로부터 수신된 필터링 정책에 따라 패킷을 상기 사용자 단말의 커널 영역에서 필터링하는 트래픽 제어 장치According to the monitoring policy received from the network traffic management device, the packet generated in the application of the user terminal is classified and detected for each application or destination address, and the traffic statistics information for the detected packet to generate the network traffic management device And control the packet in the kernel region of the user terminal according to the filtering policy received from the network traffic management apparatus.
    를 포함하는 모니터링 및 필터링 정책을 이용한 네트워크 트래픽 관리 시스템.Network traffic management system using a monitoring and filtering policy comprising a.
  2. 사용자 단말의 애플리케이션에서 발생된 패킷을 상기 사용자 단말에서 포트 번호별로 구분하여 수집하는 패킷 수집부;A packet collector configured to collect packets generated by an application of a user terminal by dividing the packets by port number in the user terminal;
    상기 수집된 패킷 중에서 모니터링 정책에 부합하는 패킷을 애플리케이션별 또는 목적지 주소별로 분류하여 상기 사용자 단말의 커널 영역에서 검출하는 패킷 모니터링부;A packet monitoring unit for classifying packets corresponding to a monitoring policy among the collected packets by application or destination address and detecting them in the kernel region of the user terminal;
    상기 검출된 패킷의 분석을 통해 트래픽 통계 정보를 생성하여 상기 네트워크 트래픽 관리 장치로 전송하고, 상기 네트워크 트래픽 관리 장치로부터 필터링 정책을 수신하는 트래픽 관리부; 및A traffic manager configured to generate traffic statistics information through analysis of the detected packets, transmit them to the network traffic management apparatus, and receive a filtering policy from the network traffic management apparatus; And
    상기 수신된 필터링 정책에 해당하는 애플리케이션의 패킷 또는 상기 필터링 정책에 포함된 차단 목적지 주소를 가지는 패킷을 상기 사용자 단말의 커널 영역에서 필터링하는 패킷 필터링부A packet filtering unit for filtering a packet of an application corresponding to the received filtering policy or a packet having a blocking destination address included in the filtering policy in a kernel region of the user terminal;
    를 포함하는 모니터링 및 필터링 정책을 이용한 트래픽 제어 장치.Traffic control device using a monitoring and filtering policy comprising a.
  3. 제 2 항에 있어서,The method of claim 2,
    상기 트래픽 관리부는,The traffic management unit,
    상기 검출된 패킷의 분석을 통해 트래픽 통계 정보를 생성하여 상기 네트워크 트래픽 관리 장치로 전송하는 트래픽 정보 생성부;A traffic information generator for generating traffic statistics information through analysis of the detected packets and transmitting the generated traffic statistics information to the network traffic management apparatus;
    상기 모니터링 정책 및 필터링 정책을 상기 패킷 모니터링부 및 상기 패킷 필터링부에 각각 설정하는 정책 설정부;A policy setting unit which sets the monitoring policy and the filtering policy to the packet monitoring unit and the packet filtering unit, respectively;
    상기 모니터링 정책 및 필터링 정책을 저장하는 정책 DB;A policy DB for storing the monitoring policy and filtering policy;
    상기 생성된 트래픽 통계 정보를 저장하는 트래픽 정보 DB; 및A traffic information DB for storing the generated traffic statistics information; And
    상기 필터링된 패킷에 대한 패킷 정보를 저장하는 필터링 DBFiltering DB for storing packet information about the filtered packet
    를 포함하는 것을 특징으로 하는 트래픽 제어 장치.Traffic control apparatus comprising a.
  4. 제 2 항에 있어서,The method of claim 2,
    상기 패킷 모니터링부는,The packet monitoring unit,
    상기 수집된 패킷 중에서 기설정된 등록 포트 또는 미등록 포트를 이용하는 애플리케이션의 패킷을 포트 번호별로 구분하여 모니터링하는 것을 특징으로 하는 트래픽 제어 장치.The traffic control device, characterized in that for monitoring the packets of the application using a predetermined registration port or unregistered port among the collected packets by port number.
  5. 제 2 항에 있어서,The method of claim 2,
    상기 패킷 모니터링부는,The packet monitoring unit,
    상기 기설정된 미등록 포트를 이용하는 애플리케이션의 패킷을 모니터링하여 프로토콜 정보, 목적지 주소 및 포트 번호를 추출하는 것을 특징으로 하는 트래픽 제어 장치.And a protocol information, a destination address and a port number are extracted by monitoring a packet of an application using the preset unregistered port.
  6. 제 5 항에 있어서,The method of claim 5,
    상기 패킷 모니터링부는,The packet monitoring unit,
    상기 기설정된 미등록 포트를 이용하는 애플리케이션의 패킷을 모니터링하여 상기 목적지 주소에 대한 목적지 맥(MAC) 주소, 목적지 아이피(IP) 주소, 목적지 포트 번호를 추출하는 것을 특징으로 하는 트래픽 제어 장치.And monitoring a packet of an application using the predetermined unregistered port to extract a destination MAC address, a destination IP address, and a destination port number for the destination address.
  7. 제 2 항에 있어서,The method of claim 2,
    상기 패킷 모니터링부는,The packet monitoring unit,
    상기 기설정된 미등록 포트를 이용하는 애플리케이션에 의해 소켓이 생성된 경우에 상기 프로토콜 정보, 상기 목적지 주소 및 상기 포트 번호를 추출하는 것을 특징으로 하는 트래픽 제어 장치.And extracting the protocol information, the destination address, and the port number when a socket is generated by an application using the preset unregistered port.
  8. 제 2 항에 있어서,The method of claim 2,
    상기 패킷 모니터링부는,The packet monitoring unit,
    상기 기설정된 미등록 포트를 이용하는 애플리케이션의 패킷을 모니터링하여 애플리케이션에서 패킷이 발생하는 패킷 발생 주기를 산출하는 것을 특징으로 하는 트래픽 제어 장치.And monitoring a packet of an application using the predetermined unregistered port to calculate a packet generation period in which the packet occurs in the application.
  9. 제 2 항에 있어서,The method of claim 2,
    상기 패킷 필터링부는,The packet filtering unit,
    상기 필터링 정책에 해당하는 애플리케이션의 패킷 또는 상기 필터링 정책의 블로킹 목적지 주소를 가지는 패킷을 상기 사용자 단말의 커널 영역에서 동작하는 넷필터(Netfilter)를 이용하여 필터링하는 것을 특징으로 하는 트래픽 제어 장치.And a packet of an application corresponding to the filtering policy or a packet having a blocking destination address of the filtering policy using a netfilter operating in a kernel region of the user terminal.
  10. 제 9 항에 있어서,The method of claim 9,
    상기 패킷 필터링부는,The packet filtering unit,
    상기 사용자 단말의 커널 영역에서 동작하는 필터링 정책을 사용자 영역에서 제어하기 위한 핸들러를 생성하고 상기 생성된 핸들러를 이용하여 필터링을 수행하는 넷필터를 제어하는 것을 특징으로 하는 트래픽 제어 장치.And generating a handler for controlling the filtering policy operating in the kernel area of the user terminal in the user area and controlling a net filter for performing filtering using the generated handler.
  11. 네트워크 트래픽 관리 장치로부터 모니터링 정책을 수신하는 모니터링 정책 수신 단계;A monitoring policy receiving step of receiving a monitoring policy from a network traffic management apparatus;
    사용자 단말의 애플리케이션에서 발생된 패킷을 포트 번호별로 구분하여 수집하는 패킷 수집 단계;A packet collecting step of dividing a packet generated by an application of the user terminal by port number;
    상기 수집된 패킷의 모니터링을 통해 상기 수신된 모니터링 정책에 부합하는 패킷을 애플리케이션별 또는 목적지 주소별로 분류하여 상기 사용자 단말의 커널 영역에서 검출하는 패킷 모니터링 단계;A packet monitoring step of classifying packets corresponding to the received monitoring policy by application or destination address through monitoring of the collected packets and detecting them in a kernel region of the user terminal;
    상기 검출된 패킷을 분석하여 트래픽 통계 정보를 생성하는 트래픽 정보 생성 단계;Generating traffic statistics information by analyzing the detected packets;
    상기 생성된 트래픽 통계 정보를 네트워크 트래픽 관리 장치로 전송하고, 상기 네트워크 트래픽 관리 장치로부터 필터링 정책을 수신하는 필터링 정책 수신 단계; 및A filtering policy receiving step of transmitting the generated traffic statistics information to a network traffic management apparatus and receiving a filtering policy from the network traffic management apparatus; And
    상기 수신된 필터링 정책에 해당하는 애플리케이션의 패킷 또는 상기 필터링 정책에 포함된 차단 목적지 주소를 가지는 패킷을 상기 사용자 단말의 커널 영역에서 필터링하는 필터링 단계A filtering step of filtering a packet of an application corresponding to the received filtering policy or a packet having a blocking destination address included in the filtering policy in a kernel region of the user terminal;
    를 포함하는 모니터링 및 필터링 정책을 이용한 데이터 트래픽 제어 방법.Data traffic control method using a monitoring and filtering policy comprising a.
  12. 제 11 항에 있어서,The method of claim 11,
    상기 패킷 모니터링 단계는,The packet monitoring step,
    상기 수집된 패킷 중에서 기설정된 등록 포트 또는 미등록 포트를 이용하는 애플리케이션의 패킷을 포트 번호별로 구분하여 모니터링하는 것을 특징으로 하는 데이터 트래픽 제어 방법.The data traffic control method, characterized in that for monitoring by dividing the packet of the application using a predetermined registration port or unregistered port by the port number among the collected packets.
  13. 제 11 항에 있어서,The method of claim 11,
    상기 패킷 모니터링 단계는,The packet monitoring step,
    상기 기설정된 미등록 포트를 이용하는 애플리케이션의 패킷을 모니터링하여 프로토콜 정보, 목적지 주소 및 포트 번호를 추출하는 것을 특징으로 하는 데이터 트래픽 제어 방법.And extracting protocol information, a destination address and a port number by monitoring a packet of an application using the preset unregistered port.
  14. 제 13 항에 있어서,The method of claim 13,
    상기 패킷 모니터링 단계는,The packet monitoring step,
    상기 기설정된 미등록 포트를 이용하는 애플리케이션의 패킷을 모니터링하여 상기 목적지 주소에 대한 목적지 맥(MAC) 주소, 목적지 아이피(IP) 주소, 목적지 포트 번호를 추출하는 것을 특징으로 하는 데이터 트래픽 제어 방법.And monitoring a packet of an application using the predetermined unregistered port to extract a destination MAC address, a destination IP address, and a destination port number for the destination address.
  15. 제 11 항에 있어서,The method of claim 11,
    상기 패킷 모니터링 단계는,The packet monitoring step,
    상기 기설정된 미등록 포트를 이용하는 애플리케이션에 의해 소켓이 생성된 경우에 상기 프로토콜 정보, 상기 목적지 주소 및 상기 포트 번호를 추출하는 것을 특징으로 하는 데이터 트래픽 제어 방법.And extracting the protocol information, the destination address, and the port number when a socket is generated by an application using the preset unregistered port.
  16. 제 11 항에 있어서,The method of claim 11,
    상기 패킷 모니터링 단계는,The packet monitoring step,
    상기 기설정된 미등록 포트를 이용하는 애플리케이션의 패킷을 모니터링하여 애플리케이션에서 패킷이 발생하는 패킷 발생 주기를 산출하는 것을 특징으로 하는 데이터 트래픽 제어 방법.And monitoring a packet of the application using the predetermined unregistered port to calculate a packet generation period in which the packet occurs in the application.
  17. 제 11 항에 있어서,The method of claim 11,
    상기 패킷 필터링 단계는,The packet filtering step,
    상기 필터링 정책에 해당하는 애플리케이션의 패킷 또는 상기 필터링 정책의 블로킹 목적지 주소를 가지는 패킷을 상기 사용자 단말의 커널 영역에서 동작하는 넷필터(Netfilter)를 이용하여 필터링하는 것을 특징으로 하는 데이터 트래픽 제어 방법.And filtering a packet of an application corresponding to the filtering policy or a packet having a blocking destination address of the filtering policy using a netfilter operating in a kernel region of the user terminal.
  18. 제 17 항에 있어서,The method of claim 17,
    상기 패킷 필터링 단계는,The packet filtering step,
    상기 사용자 단말의 커널 영역에서 동작하는 필터링 정책을 사용자 영역에서 제어하기 위한 핸들러를 생성하고 상기 생성된 핸들러를 이용하여 필터링을 수행하는 넷필터를 제어하는 것을 특징으로 하는 데이터 트래픽 제어 방법.And generating a handler for controlling the filtering policy operating in the kernel area of the user terminal in the user area, and controlling a net filter for performing filtering using the generated handler.
PCT/KR2012/007231 2011-06-27 2012-09-07 Network traffic management system using monitoring policy and filtering policy, and method thereof WO2014038737A1 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201280034354.7A CN103959711B (en) 2012-09-07 2012-09-07 System and method for managing network traffic using monitoring policies and filtering policies
PCT/KR2012/007231 WO2014038737A1 (en) 2012-09-07 2012-09-07 Network traffic management system using monitoring policy and filtering policy, and method thereof
US14/099,360 US9467360B2 (en) 2011-06-27 2013-12-06 System, device and method for managing network traffic by using monitoring and filtering policies

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/KR2012/007231 WO2014038737A1 (en) 2012-09-07 2012-09-07 Network traffic management system using monitoring policy and filtering policy, and method thereof

Related Child Applications (1)

Application Number Title Priority Date Filing Date
US14/099,360 Continuation US9467360B2 (en) 2011-06-27 2013-12-06 System, device and method for managing network traffic by using monitoring and filtering policies

Publications (1)

Publication Number Publication Date
WO2014038737A1 true WO2014038737A1 (en) 2014-03-13

Family

ID=50237330

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2012/007231 WO2014038737A1 (en) 2011-06-27 2012-09-07 Network traffic management system using monitoring policy and filtering policy, and method thereof

Country Status (2)

Country Link
CN (1) CN103959711B (en)
WO (1) WO2014038737A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114124470A (en) * 2021-11-01 2022-03-01 山东顺国电子科技有限公司 Network flow metadata acquisition technical algorithm
CN115658701A (en) * 2022-12-27 2023-01-31 北京仁科互动网络技术有限公司 Database flow control method, device, equipment and storage medium

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10432531B2 (en) * 2016-06-28 2019-10-01 Paypal, Inc. Tapping network data to perform load balancing
CN110213198A (en) * 2018-02-28 2019-09-06 中标软件有限公司 The monitoring method and system of network flow
CN109194700B (en) * 2018-11-28 2021-09-17 深信服科技股份有限公司 Flow control method and related device
CN109587028B (en) * 2018-11-29 2021-11-26 麒麟合盛网络技术股份有限公司 Method and device for controlling flow of client
CN109413675A (en) * 2018-12-05 2019-03-01 斑马网络技术有限公司 Car networking flow control methods, device and car-mounted terminal
CN111355603A (en) * 2018-12-20 2020-06-30 福建雷盾信息安全有限公司 Computer flow analysis method
CN111356166A (en) * 2018-12-20 2020-06-30 福建雷盾信息安全有限公司 Flow monitoring method

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040057257A (en) * 2002-12-26 2004-07-02 한국과학기술정보연구원 System and method for protecting from ddos, and storage media having program thereof
KR20050031215A (en) * 2003-09-29 2005-04-06 한국전자통신연구원 Security engine management apparatus and method in network nodes
KR20060044050A (en) * 2004-11-11 2006-05-16 한국전자통신연구원 Method and device for managing security policy in secure router system
KR100615620B1 (en) * 2005-03-17 2006-08-25 (주)팜미디어 Method for controlling digital content download of mobile terminal through policy management and related system
KR20110027386A (en) * 2009-09-10 2011-03-16 모젠소프트 (주) Apparatus, System and Method for Blocking Harmful Packets Outgoing from User Terminal

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2003015356A1 (en) * 2001-08-08 2004-12-02 富士通株式会社 Server, mobile communication terminal, wireless device, and communication method and communication system in communication system
US7174566B2 (en) * 2002-02-01 2007-02-06 Intel Corporation Integrated network intrusion detection
CN102045197B (en) * 2010-12-14 2014-12-10 中兴通讯股份有限公司 Alarm data synchronization method and network management system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040057257A (en) * 2002-12-26 2004-07-02 한국과학기술정보연구원 System and method for protecting from ddos, and storage media having program thereof
KR20050031215A (en) * 2003-09-29 2005-04-06 한국전자통신연구원 Security engine management apparatus and method in network nodes
KR20060044050A (en) * 2004-11-11 2006-05-16 한국전자통신연구원 Method and device for managing security policy in secure router system
KR100615620B1 (en) * 2005-03-17 2006-08-25 (주)팜미디어 Method for controlling digital content download of mobile terminal through policy management and related system
KR20110027386A (en) * 2009-09-10 2011-03-16 모젠소프트 (주) Apparatus, System and Method for Blocking Harmful Packets Outgoing from User Terminal

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114124470A (en) * 2021-11-01 2022-03-01 山东顺国电子科技有限公司 Network flow metadata acquisition technical algorithm
CN115658701A (en) * 2022-12-27 2023-01-31 北京仁科互动网络技术有限公司 Database flow control method, device, equipment and storage medium
CN115658701B (en) * 2022-12-27 2023-03-14 北京仁科互动网络技术有限公司 Database flow control method, device, equipment and storage medium

Also Published As

Publication number Publication date
CN103959711A (en) 2014-07-30
CN103959711B (en) 2018-02-23

Similar Documents

Publication Publication Date Title
WO2014038737A1 (en) Network traffic management system using monitoring policy and filtering policy, and method thereof
CN108429637B (en) System and method for dynamically detecting process layer network topology of intelligent substation
US9467360B2 (en) System, device and method for managing network traffic by using monitoring and filtering policies
WO2012077944A9 (en) Shared terminal identification system using a network packet and processing method thereof
WO2014081205A1 (en) Illegal ap detection system and detection method therefor
WO2015129934A1 (en) Command control channel detection device and method
WO2012115385A2 (en) Apparatus and method for providing universal plug and play service based on wi-fi direct connection in portable terminal
WO2013122360A1 (en) Method, system and recording medium for analyzing dynamic network pattern of mobile application
WO2016013718A1 (en) System and method for providing web-based advertisement by using wi-fi network
WO2013012278A2 (en) Method and apparatus for managing device context using an ip address in a communication system
WO2016035954A1 (en) Dedicated terminal for measuring internet line quality and operating method therefor
KR20130006912A (en) System and method for managing network traffic using monitoring and filtering policy
WO2016108509A1 (en) Method and apparatus for allocating server in wireless communication system
CN103052094B (en) Method for acquiring service set identifier of wireless mobile terminal
WO2016098997A1 (en) Apparatus, system and method for detecting abnormal volte registration message in 4g mobile network
WO2015083927A1 (en) Apparatus and method for detecting abnormal sdp message in 4g mobile networks
WO2016108415A1 (en) Network security equipment and method for detecting ddos attack by same
WO2019078539A1 (en) Method for selecting packet processing function and device therefor
WO2014175583A1 (en) Method and apparatus for inspecting malicous message
WO2012018190A2 (en) Traffic-based communication system and method
WO2013164660A1 (en) Taxi, taxicab, or vehicle-for-hire, automatic vacancy status and availability detection technique and apparatus
KR20130007246A (en) System and method for managing signaling traffic
WO2013065886A1 (en) Detection method for signaling dos traffic in mobile communication networks
WO2013151376A1 (en) Security system using dual os and method therefor
WO2012002613A1 (en) Network data control device and network data control method for controling network data that generates malicious code in mobile equipment

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 12884111

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 12884111

Country of ref document: EP

Kind code of ref document: A1