KR101455167B1

KR101455167B1 - 화이트리스트 기반의 네트워크 스위치

Info

Publication number: KR101455167B1
Application number: KR1020130105326A
Authority: KR
Inventors: 김희민; 윤정한; 김경호; 김우년; 서정택; 김춘수
Original assignee: 한국전자통신연구원
Priority date: 2013-09-03
Filing date: 2013-09-03
Publication date: 2014-10-27
Anticipated expiration: 2033-09-03
Also published as: JP2015050767A; US9369434B2; US20150067764A1

Abstract

접근 제어 리스트, 보안 정책 등에 기반하여 화이트리스트(Whitelist)와 대응규칙을 정의하고 이를 기반으로 네트워크 트래픽을 감시 및 차단하도록 하는 화이트리스트 기반의 네트워크 스위치를 제시한다. 제시된 네트워크 스위치는 허용된 통신 규칙을 포함하는 화이트리스트가 기저장되고 화이트리스트를 기반으로 복수의 스위치 인터페이스를 통해 입력받은 하나 이상의 패킷을 감시하여 화이트리스트를 따르는 패킷에 대해서는 통신을 허용하는 화이트리스트 감시부, 및 화이트리스트를 업데이트시켜 화이트리스트 감시부에게로 보내는 화이트리스트 관리부를 포함한다.

Description

화이트리스트 기반의 네트워크 스위치{Network switch based on whitelist}

본 발명은 화이트리스트 기반의 네트워크 스위치에 관한 것으로, 보다 상세하게는 네트워크 스위치에서 허용된 통신 노드 및 허용된 통신 규칙을 화이트리스트(Whitelist)로 정의하고 이를 위배하는 통신 트래픽 발생 시 알람을 발생하거나 차단하는 화이트리스트 기반의 네트워크 스위치에 관한 것이다.

네트워크 스위치는 물리적 링크를 통해서 네트워크 토폴로지 구성, 회선 사용, 오류 검출, 프레임 전달의 역할을 수행한다. 일반 네트워크 스위치는 포트 미러링 보안 문제 및 공격자의 맥(MAC) 주소를 속이는 에이알피 캐시 포이즈닝(ARP cache poisoning) 문제, 스위치에 허브를 연결하여 브로드캐스트 도메인 상에 패킷을 분석할 수 있는 허빙 아웃 문제, 공격자가 맥(MAC) 주소를 속이는 에이알피(ARP) 스푸핑, 게이트웨이를 속이는 아이씨엠피 리다이렉트(ICMP Redirect) 문제, 스위치의 맥(MAC) 테이블을 위한 캐시 공간에 버퍼 오버플로우 공격을 하는 스위치 재밍 공격의 문제를 가지고 있다.

이를 보안하기 위해 출시된 보안 네트워크 스위치는 일반 네트워크 스위치의 보안 문제를 해결하고 네트워크에 접속하는 모든 엔드 포인트(End-point) 노드를 제어하고 네트워크의 상태 분석 및 트래픽 모니터링, 접근제어 기능 및 보안 기능을 제공한다.

하지만 기존 보안 네트워크 스위치는 블랙리스트(Blacklist) 기반으로 공격을 탐지하므로, 블랙리스트에 표현되지 않은 변형된 공격 또는 제로데이 공격 및 에이피티(APT) 공격에 대해 대응하지 못한다.

네트워크에 접속하는 장치의 보안 상태를 점검하여 안전한 기기만 접근을 허용하는 기술인 NAC(Network Access Control) 기술은 사용자의 PC, 서버 혹은 장비에 관리 프로그램을 설치하는 방식인데, 임베디드 시스템, PLC(Programmable Logic Controller) 등이 설치된 시스템에서는 사용이 불가하다.

또한 내부망 트래픽을 모니터링 하기 위해, 별도의 장비(태핑장비)를 사용할 경우 높은 도입가격과 복잡한 선연결에 의해 현실적으로 관리가 어렵고, 스위치 미러링 기능을 활용할 경우 미러링 기능이 네트워크 스위치에 부하를 주어 스위칭 기능 자체의 안정성을 저해할 수 있다. 또한 사이버위협 탐지시 타장비의 안전을 확보하기 위한 위협 차단 등의 대응이 불가능하다는 단점이 있다.

따라서 내부망 트래픽을 추가적인 장비 없이 감시 및 제어할 수 있는 네트워크 보안장비 개발 필요성이 제기되었다.

관련 선행기술로는, 전체 네트워크에 일괄적으로 적용되던 기존 보안정책을 내부 네트워크 내 복수의 최종 클라이언트 PC까지 각각의 보안정책을 적용시킬 수 있으며 문제 발생 클라이언트 PC를 주위 클라이언트 PC와 격리하여 안정적인 망 관리를 할 수 있는 내용이, 대한민국 등록특허 제0722720호(내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안게이트웨이 시스템 및 운용 방법)에 개시되었다.

다른 관련 선행기술로는, IPS의 네트워크 포트를 기준으로 보안 정책을 서로 다르게 적용함으로써 패킷 헤더의 주소를 이용하는 방법과 비교하여 성능 측면에서 상당한 효과를 얻을 수 있고 해당 네트워크 포트별 서로 다른 보안 정책을 적용 운영함으로써 네트워크를 보다 융통성 있게 관리할 수 있는 내용이, 대한민국 공개특허 제10-2007-0073293호(다중 포트를 지원하는 침입 방지 시스템 및 그 침입 방지 방법)에 개시되었다.

또다른 관련 선행기술로는, 패턴 매칭을 위해 조각화된 패킷이 모두 도착하기를 기다려 패턴 매칭을 수행할 필요 없이 조각난 패킷이 수신될 때마다 패턴 매칭이 수행되므로, 조각화된 패킷의 재조립에 따른 부하를 적게 하고 전체 패킷에 대해 패턴 매칭을 수행하는 데 걸리는 시간을 단축시켜 고속의 침임 탐지를 가능하게 하는 내용이, 대한민국 등록특허 제0656403호(네트워크 시스템에서 침입 탐지 방법)에 개시되었다.

본 발명은 상기한 종래의 문제점을 해결하기 위해 제안된 것으로, 접근 제어 리스트, 보안 정책 등에 기반하여 화이트리스트(Whitelist)와 대응규칙을 정의하고 이를 기반으로 네트워크 트래픽을 감시 및 차단하도록 하는 화이트리스트 기반의 네트워크 스위치를 제공함에 그 목적이 있다.

상기와 같은 목적을 달성하기 위하여 본 발명의 바람직한 실시양태에 따른 화이트리스트 기반의 네트워크 스위치는, 허용된 통신 규칙을 포함하는 화이트리스트가 기저장되고, 상기 화이트리스트를 기반으로 상기 복수의 스위치 인터페이스를 통해 입력받은 하나 이상의 패킷을 감시하여 상기 화이트리스트를 따르는 패킷에 대해서는 통신을 허용하는 화이트리스트 감시부; 및 상기 화이트리스트를 업데이트시켜 상기 화이트리스트 감시부에게로 보내는 화이트리스트 관리부;를 포함한다.

바람직하게, 상기 화이트리스트는 상기 복수의 스위치 인터페이스 각각마다 연결이 허용된 아이피 어드레스(IP address), 상기 복수의 스위치 인터페이스 각각마다 연결이 허용된 맥 어드레스(MAC address), 하나의 아이피와 매핑가능한 맥 어드레스, 아이피 또는 스위치 인터페이스를 사용하여 통신을 할 때 지켜야 하는 통신 규칙, 및 맥 어드레스간의 통신에서 지켜야 하는 통신 규칙을 포함할 수 있다.

바람직하게, 상기 아이피 또는 스위치 인터페이스를 사용하여 통신을 할 때 지켜야 하는 통신 규칙은, 패킷 출발지 아이피, 패킷 출발지 포트, 패킷 도착지 아이피, 패킷 도착지 포트, 상기 패킷 출발지 아이피에서 상기 패킷 도착지 아이피로의 세션 연결 요청의 허용 여부 또는 상기 패킷 출발지 포트에서 상기 패킷 도착지 포트로의 세션 연결 요청의 허용 여부, 및 상기 패킷 출발지 아이피에서 상기 패킷 도착지 아이피에게로 또는 상기 패킷 출발지 포트에서 상기 패킷 도착지 포트에게로 패킷을 전달할 때 사용가능한 프로토콜의 집합을 포함할 수 있다.

바람직하게, 상기 아이피 또는 스위치 인터페이스를 사용하여 통신을 할 때 지켜야 하는 통신 규칙은, 상기 패킷 출발지 아이피에서 상기 패킷 도착지 아이피에게로 또는 상기 패킷 출발지 포트에서 상기 패킷 도착지 포트에게로 전달되는 패킷에 대한 추가 규칙을 추가로 포함할 수 있다.

바람직하게, 상기 맥 어드레스간의 통신에서 지켜야 하는 통신 규칙은, 출발지 하드웨어 주소, 도착지 하드웨어 주소, 상기 출발지 하드웨어 주소 및 상기 도착지 하드웨어 주소에서 허용된 프로토콜, 및 상기 출발지 하드웨어 주소 및 상기 도착지 하드웨어 주소에서 패킷 전송시 지켜야 하는 통신 규칙을 포함할 수 있다.

바람직하게, 상기 화이트리스트 감시부는 상기 화이트리스트를 위배하는 패킷 발생시 기설정된 대응규칙에 따라 알람을 발생시키거나 차단을 수행할 수 있다.

바람직하게, 상기 복수의 스위치 인터페이스 각각을 통해 입력받은 패킷에 대한 트래픽 로그를 남기는 트래픽 로깅부를 추가로 포함하고,

상기 화이트리스트 감시부는 상기 화이트리스트를 지키는 패킷에 대해서는 단위 시간마다 발생하는 패킷 수 또는 트래픽 양을 정책 로그에 기록하고, 상기 화이트리스트에 위배하는 패킷에 대해서는 해당하는 트래픽 로그 및 해당 패킷이 들어온 스위치 인터페이스 번호를 기록하여 위배 로그로 기록할 수 있다.

바람직하게, 상기 화이트리스트 관리부는 상기 트래픽 로그와 상기 정책 로그 및 상기 위배 로그를 외부의 감시 시스템에게로 전달할 수 있다.

바람직하게, 상기 복수의 스위치 인터페이스 각각을 통해 입력되는 패킷을 스위칭하여 상기 화이트리스트 감시부에게로 전달하고, 상기 화이트리스트 감시부의 제어신호에 근거하여 차단 동작을 수행하는 스위치 제어부를 추가로 포함할 수 있다.

이러한 구성의 본 발명에 따르면, 화이트리스트 기반으로 네트워크 트래픽을 감시하고 이를 위배하는 트래픽에 대해 알람을 발생하거나 해당 트래픽을 차단할 수 있다.

본 발명은 네트워크 스위치 기능을 가지고 있어 패킷 스위치 기능을 수행하면서 네트워크의 자원 관리 및 내부망 모니터링 기능 및 제어 기능 등을 수행할 수 있다.

본 발명에서 화이트리스트는 허용 기기(물리적 주소 : MAC, IP, 스위치 인터페이스등), 허용 서비스(TCP, UDP, 통신 프로토콜, 서비스 포트 등), 허용 연결(세션)등을 이용하여 네트워크 접근 제어, 호스트 접근 제어, 특정 스위치 인터페이스 제어, 어플리케이션 수준의 통신 규칙 등을 표현할 수 있어서 감시대상 네트워크의 특성을 표현 및 관리할 수 있다.

또한, 화이트리스트 기반 네트워크 감시를 통해 블랙리스트(Blacklist) 정보 없이 사이버공격을 탐지하여 화이트리스트를 위배한 트래픽에 대해서는 조건에 따라 알람 및 차단을 설정할 수 있다.

또한, 네트워크에 연결된 장비들의 상관관계 및 자산 파악도 가능하다.

도 1은 본 발명의 실시예에 따른 화이트리스트 기반의 네트워크 스위치의 구성을 나타낸 도면이다.
도 2는 본 발명의 실시예에 따른 화이트리스트 기반의 네트워크 스위치의 동작을 설명하는 플로우차트이다.
도 3은 도 2에 도시된 알람 발생 및 차단이 발생하였을 경우의 처리 방식을 설명하기 위한 플로우차트이다.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세하게 설명하고자 한다.

그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.

이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.

도 1은 본 발명의 실시예에 따른 화이트리스트 기반의 네트워크 스위치의 구성을 나타낸 도면이다.

본 발명의 실시예에 따른 화이트리스트 기반의 네트워크 스위치(100)는 스위치 제어부(10), 트래픽 로깅부(12), 화이트리스트 감시부(14), 및 화이트리스트 관리부(16)를 포함한다.

스위치 제어부(10)는 각각의 스위치 인터페이스(1)를 통해 입력되는 패킷을 스위칭하기 위한 기능을 담당한다. 네트워크 스위치(100)는 스위치 제어부(10)에 의한 패킷 스위치 기능을 통해 네트워크의 자원 관리 및 내부망 모니터링 기능 및 제어 기능 등을 수행할 수 있다. 특히, 스위치 제어부(10)에 의해 스위치 인터페이스(1)마다 개별적인 정책(통신을 허용할 것인지 아니면 차단할 것인지를 결정한 내용 포함)을 적용할 수 있다.

스위치 제어부(10)는 복수의 스위치 인터페이스(1) 각각을 통해 입력되는 패킷을 스위칭하여 화이트리스트 감시부(14)에게로 전달하고, 화이트리스트 감시부(14)의 제어신호에 근거하여 차단 동작을 수행할 수 있다.

트래픽 로깅부(12)는 스위치 제어부(10)에서 스위칭되어 입력되는 스위치 인터페이스(1)로부터의 패킷들을 전달받아 트래픽 로그(18a)를 남기는 기능을 한다. 트래픽 로그(18a)는 추후 외부 감시시스템으로 전달되어 화이트리스트(Whitelist) 자동생성 및 사고 분석, 네트워크 상태 파악 등에 사용된다. 그러므로, 트래픽 로그(18a)는 사용할 화이트리스트를 추출하기 위해 필요한 정보의 형태를 취해야 한다. 트래픽 로깅부(12)는 입력되는 패킷들에서 화이트리스트에 대응될 정보를 선별하기 위해 예를 들어, 출발지 아이피(IP), 출발지 포트, 목적지 아이피(IP), 목적지 포트, 프로토콜 등의 정보를 추출할 수 있다. 트래픽 로깅부(12)에서 추출된 정보(예컨대, 출발지 아이피(IP), 출발지 포트, 목적지 아이피(IP), 목적지 포트, 프로토콜 등)는 화이트리스트 감시부(14)에 전달되어 화이트리스트를 위배하는지를 판단하는 근거자료로 사용될 것이다.

본 발명의 명세서에 기재된 화이트리스트(Whitelist)는 제3자에 의한 IP 주소 또는 사이트 입증 목록, 스팸 메일, 악성 코드를 유포하는 IP 주소, 피싱을 조장하는 허위 사이트 등을 데이터베이스(DB)로 만드는 블랙리스트(Blacklist)에 반대되는 개념으로 이해할 수 있다.

화이트리스트 감시부(14)는 허용된 통신 노드 및 허용된 통신 규칙이 정의된 화이트리스트가 기저장되어 있다. 화이트리스트 감시부(14)는 화이트리스트를 기반으로 복수의 스위치 인터페이스(1)를 통해 입력받은 하나 이상의 패킷을 감시하여 화이트리스트를 따르는 패킷에 대해서는 통신을 허용한다. 다시 말해서, 화이트리스트 감시부(14)는 스위치 제어부(10)에서 들어오는 패킷들을 전달받아 화이트리스트 기반의 감시를 행하되, 화이트리스트에 해당하는(화이트리스트를 지키는) 패킷에 대해서는 단위 시간마다 발생하는 패킷 수 또는 트래픽 양을 정책 로그(18b)에 기록한다. 또한, 화이트리스트 감시부(14)는 화이트리스트에 위배하는 패킷에 대해서는 트래픽 로그(18a) 및 해당 패킷이 들어온 스위치 인터페이스 번호를 기록하여 위배 로그(18c)로 기록한다. 화이트리스트 감시부(14)는 트래픽 로깅부(12)에서 추출된 정보(예컨대, 출발지 아이피(IP), 출발지 포트, 목적지 아이피(IP), 목적지 포트, 프로토콜 등)를 근거로 해당 패킷이 기설정된 화이트리스트를 위배하는지를 판단할 수 있다.

상기의 화이트리스트는 "Whitelist : = (SP_IP, SP_MAC, IP_MAC, AppRules, NetRules)"로 표현가능하다. 즉, 화이트리스트(Whitelist)는 SP_IP, SP_MAC, IP_MAC, AppRules, NetRules의 5가지 규칙의 집합으로 구성될 수 있다. 여기서, SP_IP는" SP_IP : = Set of (SwitchPort, IPSet)"으로서, 스위치 인터페이스마다 연결이 허용된 아이피 어드레스(IP address)들을 나타낸다. SP_MAC은 "SPMAC : = Set of (SwitchPort, MACSet)"으로서, 스위치 인터페이스마다 연결이 허용된 맥 어드레스(MAC address)들을 나타낸다. 여기서, SwitchPort는 화이트리스트 기반의 네트워크 스위치(100)의 해당 스위치 인터페이스를 의미한다. 한편, IP_MAC은 "IPMAC : = Set of (IP, MAC)"으로서, 하나의 아이피(IP)와 매핑 가능한 맥 어드레스(MAC address)를 나타낸다. 그리고, AppRules는 아이피(IP) 또는 스위치 인터페이스를 사용하여 통신을 할 때 지켜야 하는 통신 규칙이다. 마지막으로, NetRules는 맥 어드레스(MAC address) 간의 통신(네트워크 계층, 예를 들어 ARP)에서 지켜야 하는 통신 규칙이다. ARP(Address Resolution Protocol; 주소 결정 프로토콜)는 네트워크상에서 IP 주소를 물리적 네트워크 주소로 대응시키기 위해 사용되는 프로토콜이다.

그리고, AppRules에 대해 보다 구체적으로 설명하면, AppRules은 "AppRules := Set of AppRule"로 표현할 수 있다. 여기서, AppRule은 "AppRule := (SrcIPs, SrcPorts, DestIPs, DestPorts, SessionRequest, Protocol, ETCs)"로 정의될 수 있다. 즉, AppRule은 SrcIPs, SrcPorts, DestIPs, DestPorts, SessionRequest, Protocol, ETCs의 조합으로 이루어질 수 있다. SrcIPs는 출발지 아이피(Source IP)들을 의미하는 것으로서, 패킷 출발지 아이피(IP)들을 의미한다고 볼 수 있다. SrcPorts는 출발지 포트들을 의미하는 것으로서, 패킷 출발지 포트(Port)들을 의미한다고 볼 수 있다. DestIPs는 목적지 아이피(Destination IP)들을 의미하는 것으로서, 패킷 도착지 아이피(IP)들을 의미한다고 볼 수 있다. DestPORTs는 목적지 포트(Destination Port)들을 의미하는 것으로서, 패킷 도착지 포트(Port)들을 의미한다고 볼 수 있다. SessionRequest는 SrcIP∈SrcIPs, SrcPort∈SrcPorts, DestIP∈DestIPs, DestPort∈Dest에 대해 (SrcIP, SrcPort)에서 (DestIP, DestPort)로 세션 연결 요청 허용 여부를 나타낸다. 다시 말해서, SesssionRequest는 패킷 출발지 아이피(IP)에서 패킷 도착지 아이피(IP)로의 세션 연결 요청의 허용 여부 또는 패킷 출발지 포트에서 패킷 도착지 포트로의 세션 연결 요청의 허용 여부를 나타낸다. 여기서, 허용되지 않은 경우 패킷 출발지 아이피(IP) 또는 패킷 출발지 포트(Port)에서 패킷 도착지 아이피(IP) 또는 패킷 도착지 포트(Port)로의 세션 연결 요청을 하면 안 된다. 그리고, Protocol은 SrcIP∈SrcIPs, SrcPort∈SrcPorts, DestIP∈DestIPs, DestPort∈Dest에 대해 (SrcIP, SrcPort)에서 (DestIP, DestPort)로 패킷 전송시 사용 허가된 프로토콜을 나타낸다. 다시 말해서, Protocol은 패킷 출발지 아이피에서 패킷 도착지 아이피에게로 또는 패킷 출발지 포트에서 패킷 도착지 포트에게로 패킷을 전달할 때 사용가능한 프로토콜의 집합을 포함한다. 허용되지 않은 프로토콜로는 패킷을 전달하면 안 된다. 마지막으로, ETCs는 SrcIP∈SrcIPs, SrcPort∈SrcPorts, DestIP∈DestIPs, DestPort∈Dest에 대해 (SrcIP, SrcPort)에서 (DestIP, DestPort)으로 전송하는 트래픽에 대한 추가적인 규칙들(예컨대, 패킷의 길이, 데이터의 길이, bps, pps, Fragmentation 정보, TCP flag 사용 등)을 나타낸다. 다시 말해서, ETCs는 패킷 출발지 아이피에서 패킷 도착지 아이피에게로 또는 패킷 출발지 포트에서 패킷 도착지 포트에게로 전달되는 패킷에 대한 추가 규칙을 나타낸다. ETCs는 추가 규칙을 기술할 필요가 있을 경우에만 사용하므로 선택적인 사항이다.

그리고, NetRules에 대해 보다 구체적으로 설명하면, NetRules 은 "NetRules := Set of NetRule"로 표현할 수 있다. 여기서, NetRule은 "NetRule := (SrcMACs, DestMACs, Protocol, ETCs)"로 정의될 수 있다. 즉, NetRule은 SrcMACs, DestMACs, Protocol, ETCs의 조합으로 이루어질 수 있다. SrcMACs은 출발지 맥 어드레스(Source MAC address)들을 의미하는 것으로서, 출발지 하드웨어 주소(MAc address)들을 의미한다고 볼 수 있다. DestMACs은 도착지 맥 어드레스(Dest MAC address)들을 의미하는 것으로서, 도착지 하드웨어 주소들을 의미한다고 볼 수 있다. Protocol은 SrcMACs 및 DestMACs에서 허용된 프로토콜(Protocol)이다. ETCs는 SrcMACs 및 DestMACs에서 패킷 전송시 지켜야 하는 통신 규칙(예컨대, 주기성, bps, pps 등)을 나타낸다.

한편, 화이트리스트 감시부(14)는 위배하는 트래픽(즉, 하나 이상의 패킷; 패킷의 묶음)에 대한 차단 규칙을 스위치 제어부(10)에 전달하여 트래픽 차단(패킷 차단으로 볼 수 있음)을 수행하도록 한다. 즉, 화이트리스트 감시부(14)는 화이트리스트를 위배하는 패킷 발생시 기설정된 대응규칙에 따라 알람을 발생시키거나 차단을 수행한다. 여기서, 기설정된 대응규칙은 알람 발생, 특정 스위치 인터페이스 차단, 특정 아이피(IP) 차단, 특정 맥(MAC) 차단, 특정 데이터 흐름 차단(즉, 특정 출발지 아이피에서 특정 도착지 아이피로의 데이터 흐름 차단, 특정 출발지 포트에서 특정 도착지 포트로의 데이터 흐름 차단), 특정 세션 연결 차단(즉, 특정 출발지 아이피에서 특정 도착지 아이피로의 세션 연결 차단, 특정 출발지 포트에서 특정 도착지 포트로의 세션 연결 차단) 등과 같은 내용을 포함한다. 이를 통해 화이트리스트 감시부(14)는 화이트리스트에 포함되는 통신 허용 규칙들 중 어느 것을 위배하는가에 따라 알람 발생, 특정 스위치 인터페이스 차단, 특정 IP 차단 등 세부적인 모니터링 및 통신 제어를 행하게 된다.

이와 같이, 화이트리스트 감시부(14)는 화이트리스트를 위배하는 패킷 발생시 위배한 화이트리스트 규칙(즉, SP_IP, SP_MAC, IP_MAC, AppRules, NetRules의 5가지 규칙의 집합으로 구성될 수 있음) 및 해당 패킷 정보에 따라 별도의 대응규칙을 설정할 수 있다.

도 1에서는 트래픽 로깅부(12)와 화이트리스트 감시부(14)를 별개의 구성요소로 하였으나, 트래픽 로깅부(12)가 화이트리스트 감시부(14)의 내부에 내장되는 것으로 하여도 무방하다. 만약, 트래픽 로깅부(12)가 화이트리스트 감시부(14)의 내부에 내장되는 경우 트래픽 로깅부(12)의 기능은 화이트리스트 감시부(14)에서 행하는 것이 될 것이다.

화이트리스트 관리부(16)는 외부에서 생성 및 변경되는 화이트리스트를 전달받아 화이트리스트 감시부(14)에게로 보낸다. 다시 말해서, 화이트리스트 관리부(16)는 화이트리스트 감시부(14)에 화이트리스트를 전달하는 기능과 트래픽 로그(18a)와 정책 로그(18b) 및 위배 로그(18c)를 외부의 감시 시스템(도시 생략)으로 관리 인터페이스(20)를 통해 전달하는 기능을 담당한다. 외부 감시 시스템은 전달받은 로그들을 사고 분석, 네트워크 상태 파악, 화이트리스트 생성 및 변경 등에 사용한다. 믈론, 화이트리스트 관리부(16)가 로그들을 이용하여 사고 분석, 네트워크 상태 파악, 화이트리스트 생성 및 변경을 행하는 것으로 하여도 무방하다.

로그부(18)의 각 로그(트래픽 로그(18a), 정책 로그(18b), 위배 로그(18c))는 관리 인터페이스(20)에 연결된 외부의 관리 시스템(도시 생략)이 화이트리스트를 생성 및 관리, 사고 분석, 환경 변화 분석 등을 할 수 있도록 사용되고, 외부 관제에 이용된다.

기존 네트워크 스위치는 하드웨어의 성능의 한계로 인해 모든 트래픽에 대해 트래픽 로그를 남길 수 없는 단점을 가지고 있다. 그러나, 상술한 본 발명의 실시예에 의하면, 스위치 인터페이스(1)를 통해 지나가는 패킷들에 대해 정보를 로깅하고 로깅된 정보를 바탕으로 네트워크의 접근 관계에 따라 정책을 결정할 수 있다. 여기서, 정책을 결정한다라 함은 통신을 허용하거나 통신을 차단하는 것을 결정한다라고 볼 수 있다.

도 2는 본 발명의 실시예에 따른 화이트리스트 기반의 네트워크 스위치의 동작을 설명하는 플로우차트이다.

화이트리스트 기반의 네트워크 스위치(100)에 특정 호스트가 접속을 시도하면 트래픽 로깅부(12)는 스위치 제어부(10)를 통해 입력되는 패킷들을 감지한다(S10).

이어, 트래픽 로깅부(12)는 입력되는 패킷들에서 화이트리스트에 대응될 정보(예컨대, 출발지 아이피(IP), 출발지 포트, 목적지 아이피(IP), 목적지 포트, 프로토콜 등)를 추출한다(S12).

이후, 화이트리스트 감시부(14)는 트래픽 로깅부(12)로부터의 정보(예컨대, 출발지 아이피(IP), 출발지 포트, 목적지 아이피(IP), 목적지 포트, 프로토콜 등)를 입력받고, 기저장된 화이트리스트를 근거로 해당 패킷이 화이트리스트를 위배하는지 아니면 허용된 패킷인지를 판단한다(S14).

판단 결과, 허용된 패킷이면 전송을 허용한다(S16).

반대로, 허용된 패킷이 아니면(S14에서 "No") 화이트리스트 감시부(14)는 대응규칙에 따라 차단해야되는지를 판단한다(S18).

판단 결과, 대응규칙에 따라 알람을 발생시켜야 될 경우이면 화이트리스트 감시부(14)는 알람을 발생시킨다(S20). 여기서, 알람 발생에 대해 더 이상의 세부 설명을 하지 않더라도, 동종업계에 종사하는 자라면 알람을 발생시킬 수 있는 주지의 기술로 충분히 이해할 수 있으리라 본다.

한편, 대응규칙에 따라 차단시켜야 할 경우이면 화이트리스트 감시부(14)는 스위치 제어부(10)를 제어하여 차단(예컨대, 스위치 인터페이스 차단, 허용 기기 차단, 서비스 연결 차단 등) 동작을 수행한다(S22).

도 3은 도 2에 도시된 알람 발생 및 차단이 발생하였을 경우의 처리 방식을 설명하기 위한 플로우차트이다.

알람을 발생시킨 후에는 화이트리스트를 수정해야 되는지를 파악한다(S25). 즉, 알람을 발생시키게 된 해당 패킷은 기설정된 화이트리스트에 위배되었기 때문에 화이트리스트 감시부(14)가 알람을 발생시켰으나, 알람을 발생시키게 된 해당 패킷이 기설정된 화이트리스트에는 포함되지 않았지만 화이트리스트에 포함되어야 할 패킷일 수도 있으므로, 화이트리스트에 포함시켜야 할 패킷이면 화이트리스트를 수정해야 된다.

화이트리스트를 수정해야 되는지는 관리자가 판단한다. 관리자가 판단한 결과, 화이트리스트를 수정해야 되는 경우에는 관리자는 그에 상응하는 신호 및 수정할 정보를 화이트리스트 관리부(16)에게로 보낸다.

그에 따라, 화이트리스트 관리부(16)는 입력받은 수정할 정보를 근거로 화이트리스트를 업데이트한다(S26). 이와 같이 업데이트된 화이트리스트는 화이트리스트 감시부(14)에게로 전달된다.

그 이후에, 관리자는 대응규칙을 수정해야 되는지를 판단하게 된다. 판단 결과, 대응규칙을 수정해야 될 경우에는 관리자는 대응규칙을 어떻게 수정해야 되는지를 나타내는 정보들을 화이트리스트 관리부(16)에게로 보낸다.

그에 따라, 화이트리스트 관리부(16)는 입력받은 정보들을 근거로 대응규칙을 수정한다(S28). 이와 같이 수정된 대응규칙은 화이트리스트 감시부(14)에게로 전달된다.

이상에서와 같이 도면과 명세서에서 최적의 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로, 본 기술 분야의 통상의 지식을 가진자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.

1 : 스위치 인터페이스 10 : 스위치 제어부
12 : 트래픽 로깅부 14 : 화이트리스트 감시부
16 : 화이트리스트 관리부 18 : 로그부
18a : 트래픽 로그 18b : 정책 로그
18c : 위배 로그 20 : 관리 인터페이스
100 : 네트워크 스위치

Claims

허용된 통신 규칙을 포함하는 화이트리스트가 기저장되고, 상기 화이트리스트를 기반으로 복수의 스위치 인터페이스를 통해 입력받은 하나 이상의 패킷을 감시하여 상기 화이트리스트를 따르는 패킷에 대해서는 통신을 허용하고, 상기 화이트리스트를 위배하는 패킷 발생시 기설정된 대응규칙에 따른 차단 동작을 위한 제어신호를 출력하는 화이트리스트 감시부;
상기 화이트리스트를 업데이트시켜 상기 화이트리스트 감시부에게로 보내는 화이트리스트 관리부;
상기 복수의 스위치 인터페이스 각각을 통해 입력되는 패킷을 스위칭하여 상기 화이트리스트 감시부에게로 전달하고, 상기 화이트리스트 감시부의 제어신호에 근거하여 차단 동작을 수행하는 스위치 제어부; 및
상기 스위치 제어부에서 스위칭되어 입력되는 패킷에 대한 트래픽 로그를 남기되, 상기 패킷에서 상기 화이트리스트에 대응될 출발지 아이피, 출발지 포트, 목적지 아이피, 목적지 포트, 및 프로토콜을 추출하여 상기 화이트리스트 감시부에게로 전달하는 트래픽 로깅부;를 포함하고,
상기 화이트리스트 감시부는 상기 트래픽 로깅부에서 추출된 정보를 근거로 해당 패킷이 상기 화이트리스트를 위배하는지를 판단하고, 상기 화이트리스트를 지키는 패킷에 대해서는 단위 시간마다 발생하는 패킷 수 또는 트래픽 양을 정책 로그에 기록하고, 상기 화이트리스트에 위배하는 패킷에 대해서는 해당하는 트래픽 로그 및 해당 패킷이 들어온 스위치 인터페이스 번호를 기록하여 위배 로그로 기록하는 것을 특징으로 하는 화이트리스트 기반의 네트워크 스위치.
청구항 1에 있어서,
상기 화이트리스트는 상기 복수의 스위치 인터페이스 각각마다 연결이 허용된 아이피 어드레스(IP address), 상기 복수의 스위치 인터페이스 각각마다 연결이 허용된 맥 어드레스(MAC address), 하나의 아이피와 매핑가능한 맥 어드레스, 아이피 또는 스위치 인터페이스를 사용하여 통신을 할 때 지켜야 하는 통신 규칙, 및 맥 어드레스간의 통신에서 지켜야 하는 통신 규칙을 포함하는 것을 특징으로 하는 화이트리스트 기반의 네트워크 스위치.
청구항 2에 있어서,
상기 아이피 또는 스위치 인터페이스를 사용하여 통신을 할 때 지켜야 하는 통신 규칙은, 패킷 출발지 아이피, 패킷 출발지 포트, 패킷 도착지 아이피, 패킷 도착지 포트, 상기 패킷 출발지 아이피에서 상기 패킷 도착지 아이피로의 세션 연결 요청의 허용 여부 또는 상기 패킷 출발지 포트에서 상기 패킷 도착지 포트로의 세션 연결 요청의 허용 여부, 및 상기 패킷 출발지 아이피에서 상기 패킷 도착지 아이피에게로 또는 상기 패킷 출발지 포트에서 상기 패킷 도착지 포트에게로 패킷을 전달할 때 사용가능한 프로토콜의 집합을 포함하는 것을 특징으로 하는 화이트리스트 기반의 네트워크 스위치.
청구항 3에 있어서,
상기 아이피 또는 스위치 인터페이스를 사용하여 통신을 할 때 지켜야 하는 통신 규칙은, 상기 패킷 출발지 아이피에서 상기 패킷 도착지 아이피에게로 또는 상기 패킷 출발지 포트에서 상기 패킷 도착지 포트에게로 전달되는 패킷에 대한 추가 규칙을 추가로 포함하는 것을 특징으로 하는 화이트리스트 기반의 네트워크 스위치.
청구항 2에 있어서,
상기 맥 어드레스간의 통신에서 지켜야 하는 통신 규칙은, 출발지 하드웨어 주소, 도착지 하드웨어 주소, 상기 출발지 하드웨어 주소 및 상기 도착지 하드웨어 주소에서 허용된 프로토콜, 및 상기 출발지 하드웨어 주소 및 상기 도착지 하드웨어 주소에서 패킷 전송시 지켜야 하는 통신 규칙을 포함하는 것을 특징으로 하는 화이트리스트 기반의 네트워크 스위치.
삭제
삭제
청구항 1에 있어서,
상기 화이트리스트 관리부는 상기 트래픽 로그와 상기 정책 로그 및 상기 위배 로그를 외부의 감시 시스템에게로 전달하는 것을 특징으로 하는 화이트리스트 기반의 네트워크 스위치.
삭제