KR101218698B1

Movatterモバイル変換

Info

Publication number: KR101218698B1
Application number: KR1020060010748A
Authority: KR
Inventors: 이해진
Original assignee: 주식회사 엘지씨엔에스
Priority date: 2006-02-03
Filing date: 2006-02-03
Publication date: 2013-01-04
Anticipated expiration: 2026-02-03
Also published as: KR20070079787A

Abstract

Translated fromKorean

본 발명은 IP 헤더부분의 버전정보에 근거하여 입력되는 네트워크 패킷을 버전별로 구분하여 처리함으로써 복수의 IP 버전을 지원하는 네트워크 보안솔루션 구현방법에 관한 것이다. 본 발명에 따른 제 1 실시예에서, 네트워크 디바이스 드라이버(201)는 입력되는 네트워크 패킷의 버전을, 20 바이트(byte)의 IP 헤더부분 가운데 최초 4 비트(bit) 버전정보에 근거하여 확인하고(S401), 상기 확인된 버전에 따라 네트워크 패킷을 구분하여 임시저장한다(S402). 이어, 라이브러리(102)는 상기 임시저장된 네트워크 패킷을 각각 로드(load)하여(S403) 해당 엔진(101a,101b)에 송신하고, 패턴 매칭 엑셀레이터(300)는, IPv4 및 IPv6 엔진(101a, 101b), 라이브러리(102) 및 패턴 매칭 엑셀레이터 드라이버(301)를 거쳐 수신된 네트워크 패킷의 페이로드(payload) 부분을, 기 저장된 소정 개수의 침입 패턴(pattern)과 순차적으로 비교한다(S404). 비교결과 동일한 경우(S405의 예), IPv4 및 IPv6 엔진(101a, 101b)은 상기 비교결과를 저장하고(S406) 선택적으로 해당 네트워크 패킷의 입력을 차단하게 된다(S407). 이에 따라, 본 발명은 유동적인 네트워크 보안 관련 시장상황에 보다 능동적으로 대처할 수 있도록 한 매우 유용한 발명인 것이다.The present invention relates to a network security solution implementation method that supports a plurality of IP versions by classifying and processing the input network packet based on the version information of the IP header portion. In the first embodiment according to the present invention, the network device driver 201 checks the version of the input network packet based on the first 4 bit version information among the 20 byte IP header portions (S401). In step S402, network packets are classified and stored according to the checked version. Subsequently, the library 102 loads the temporarily stored network packets (S403) and transmits them to the corresponding engines 101a and 101b, and the pattern matching accelerator 300 receives the IPv4 and IPv6 engines 101a and 101b. In operation S404, the payload portion of the network packet received through the library 102 and the pattern matching accelerator driver 301 is sequentially compared with a predetermined number of intrusion patterns. If the comparison result is the same (YES in S405), the IPv4 and IPv6 engines 101a and 101b store the comparison result (S406) and selectively block the input of the corresponding network packet (S407). Accordingly, the present invention is a very useful invention that can more actively cope with the fluid network security-related market situation.

네트워크 패킷, IP 버전, IPv4, IPv6, IP 헤더Network packet, IP version, IPv4, IPv6, IP header

Description

Translated fromKorean

복수의 ＩＰ 버전을 지원하는 네트워크 보안솔루션 구현방법{Method of realizing network security solution for supporting several IP version}Method of realizing network security solution for supporting several IP version}

도 1은 종래의 IPv4를 지원하는 네트워크 보안솔루션 구현방법이 적용된 시스템의 구성블럭도이다.1 is a block diagram illustrating a system to which a conventional method for implementing a network security solution supporting IPv4 is applied.

도 2는 본 발명에 따른 제 1 실시예에 적용되는 시스템의 구성블럭도이다.2 is a configuration block diagram of a system applied to the first embodiment according to the present invention.

도 3은 네트워크 패킷에서 IP 헤더 부분의 포맷(format)을 도시한 것이다.3 illustrates the format of an IP header portion in a network packet.

도 4는 본 발명에 따른 제 1 실시예에 적용되는 복수의 IP 버전을 지원하는 네트워크 보안솔루션 구현방법의 흐름도이다.4 is a flowchart illustrating a method for implementing a network security solution supporting a plurality of IP versions applied to the first embodiment according to the present invention.

<도면의 주요부분에 대한 부호의 설명> <Description of the symbols for the main parts of the drawings>

10,100 : GUI 관리콘솔11,101a : IPv4 엔진10,100: GUI management console 11,101a: IPv4 engine

12,102 : 라이브러리20,200 : 네트워크 디바이스12,102 library 20,200 network device

21,201 : 네트워크 디바이스 드라이버21,201: Network Device Drivers

22,202a : IPv4 프로토콜(protocol) 스택(stack)22,202a: IPv4 protocol stack

30,300 : 패턴 매칭 엑셀레이터30,300: Pattern Matching Accelerator

31,301 : 패턴 매칭 엑셀레이터 드라이버31,301: Pattern Matching Accelerator Driver

101b : IPv6 엔진202b: IPv6 프로토콜 스택101b:IPv6 engine 202b: IPv6 protocol stack

본 발명은 복수의 IP 버전을 지원하는 네트워크 보안솔루션 구현방법에 관한 것으로서, 보다 상세하게는 IP 헤더 부분의 버전정보에 근거하여 입력되는 네트워크 패킷을 버전별로 구분하여 처리함으로써 복수의 IP 버전을 지원하는 네트워크 보안솔루션 구현방법에 관한 것이다.The present invention relates to a method for implementing a network security solution that supports a plurality of IP versions, and more particularly, to process a plurality of IP versions by classifying and processing an input network packet based on version information of an IP header part. The present invention relates to a network security solution implementation method.

인터넷이 정보화사회에서 정보통신 인프라(infra)로 자리매김함에 따라, 인터넷 사용매체 증가로 인해 인터넷 사용 주소의 부족 현상이 심화되고 있다.As the Internet has become an information and communication infrastructure (infra) in the information society, the shortage of the Internet address is intensifying due to the increase of the Internet use media.

지금까지 통상적으로 이용되어왔던 인터넷 주소인 IPv4는 xxx.xxx.xxx.xxx의 형식이며, 도 1은 종래의 IPv4를 지원하는 네트워크 보안솔루션 구현방법이 적용된 시스템의 구성블럭도로서, 상기 시스템 상단의 네트워크 침입탐지 시스템과 하단의 방화벽 시스템은 연동하여 동작한다.IPv4, which is a conventionally used Internet address, has a format of xxx.xxx.xxx.xxx, and FIG. 1 is a block diagram of a system to which a conventional network security solution implementation method is applied. The network intrusion detection system and the lower firewall system work in conjunction.

도 1에 도시된 바와 같이, 종래의 IPv4를 지원하는 네트워크 보안솔루션 구현방법이 적용된 시스템 상단의 네트워크 침입탐지 시스템에서, GUI(graphical user interface) 관리 콘솔(consol)(10)은 IP 버전이 IPv4인 엔진을 등록하여 관리 할 수 있으며 침입 방지 정책, 방화벽 정책, NAT(network address translation) 정책, QoS 정책을 적용/관리하고 침입 탐지/차단 결과(log)나 방화벽 로그 등을 확인할 수 있는 모니터링 기능을 제공한다.As shown in FIG. 1, in a network intrusion detection system on a system to which a conventional method for implementing a network security solution supporting IPv4 is applied, a graphical user interface (GUI)management console 10 has an IP version of IPv4. The engine can be registered and managed, and it provides monitoring functions to apply / manage intrusion prevention policy, firewall policy, NAT (network address translation) policy, QoS policy, and check intrusion detection / blocking result log or firewall log. do.

상기 네트워크 침입탐지 시스템에서, IPv4 엔진(11)은, IP 버전이 IPv4인 네트워크 패킷을 라이브러리(12)로부터 수신한 후 IP 헤더 부분을 제외한 나머지 부분 즉 페이로드(payload) 부분만 후술되는 방화벽 시스템의 패턴 매칭 엑셀레이터 드라이버(31) 및 패턴 매칭 엑셀레이터(30)로 송신한다. 그리고 IPv4 엔진(11)은, 상기 패턴 매칭 엑셀레이터(30)로부터 침입 패턴 비교결과를 수신받아 상기 수행된 비교결과 즉 로그(log)를 저장하고 상기 비교결과에 따라 선택적으로 해당 네트워크 패킷의 입력을 차단시키는 네트워크 침입 방지 기능, NAT 기능, QoS 기능을 수행한다.In the network intrusion detection system, theIPv4 engine 11 receives a network packet having an IP version of IPv4 from thelibrary 12, and then, except for the IP header portion, that is, only the payload portion of the firewall system is described below. It transmits to the pattern matchingaccelerator driver 31 and the pattern matchingaccelerator 30. TheIPv4 engine 11 receives the intrusion pattern comparison result from the pattern matchingaccelerator 30, stores the comparison result, that is, a log, and selectively blocks the input of the corresponding network packet according to the comparison result. It performs network intrusion prevention function, NAT function, and QoS function.

그리고, 상기 라이브러리(12)는 후술되는 방화벽 시스템의 IPv4 프로토콜 스택(22)에 임시저장된 네트워크 패킷을 로드(load)하여 지정된 형식에 맞게 처리한 후 상기 IPv4 엔진(11)에 송신한다.Thelibrary 12 loads the network packet temporarily stored in theIPv4 protocol stack 22 of the firewall system described later, processes the packet according to a designated format, and transmits the packet to theIPv4 engine 11.

그리고, 종래의 IPv4를 지원하는 네트워크 보안솔루션 구현방법이 적용된 시스템 하단의 방화벽 시스템에서, 네트워크 디바이스(20)는 네트워크 패킷이 입력되는 물리적인 장치이고, 네트워크 디바이스 드라이버(21)는 상기 네트워크 디바이스(20)를 통해 입력되는 네트워크 패킷을 IPv4 프로토콜 스택(22)에 임시저장한다.In addition, in the firewall system at the bottom of the system to which the conventional network security solution implementation method supporting IPv4 is applied, thenetwork device 20 is a physical device to which a network packet is input, and thenetwork device driver 21 is thenetwork device 20. Temporarily stores the network packet input through theIPv4 protocol stack 22.

아울러, 상기 방화벽 시스템에서 패턴 매칭 엑셀레이터(30)는, 상기 네트워크 침입탐지 시스템의 IPv4 엔진(11)으로부터 수신된 IPv4 의 네트워크 패킷을, 기 저장된 소정 개수의 침입 패턴(pattern)과 순차적으로 비교한다. 그리고 패턴 매칭 엑셀레이터(30)는 상기 비교결과를 패턴 매칭 엑셀레이터 드라이버(31)를 통해 상기 IPv4 엔진(11)에 송신한다.In the firewall system, the pattern matchingaccelerator 30 sequentially compares network packets of IPv4 received from theIPv4 engine 11 of the network intrusion detection system with a predetermined number of intrusion patterns stored in advance. The pattern matchingaccelerator 30 transmits the comparison result to theIPv4 engine 11 through the pattern matchingaccelerator driver 31.

상기와 같이 구성되고 동작하는 종래의 IPv4를 지원하는 네트워크 보안솔루션 구현방법이 적용된 시스템은 IP 버전이 IPv4 인 하나의 IP 버전에 대해서만 지원하고 있다.The system to which the conventional network security solution implementation method that supports and configures the above-described IPv4 is applied supports only one IP version whose IP version is IPv4.

그런데, IPv4에 의한 주소 고갈 문제와 더불어 라우팅의 효율성, 보안 기능 이동성 지원, QoS 보장 등을 위해, xxx.xxx.xxx.xxx.xxx.xxx 의 형식을 갖는 새로운 인터넷 주소 IP 버전 IPv6가 개발됨에 따라, 현재는 IPv4가 많이 사용되고 있지만 점차 IPv6가 많이 이용될 예정이며 정부의 IT 839 정책에 따라 우리나라에서도 향후 10년 내에 IPv6로 옮겨갈 전망이다.However, in order to solve the problem of address exhaustion by IPv4, routing efficiency, security feature mobility support, and QoS guarantee, as the new version of the Internet address IP version IPv6 having the format xxx.xxx.xxx.xxx.xxx.xxx has been developed, Currently, IPv4 is widely used, but IPv6 will be gradually used, and according to the government's IT 839 policy, Korea is expected to move to IPv6 within the next 10 years.

따라서, IPv4와 IPv6의 인터넷 주소가 혼용되고 있어 IPv4와 IPv6를 동시에 지원할 수 있는 보안제품이 요구되며, 더 나아가 향후 새롭게 제안될 다양한 IP 버전을 모두 지원할 수 있는 보안제품의 개발이 시급히 요구되고 있는 실정이다.Therefore, because IPv4 and IPv6 internet addresses are mixed, there is a need for a security product capable of supporting both IPv4 and IPv6 simultaneously. Furthermore, there is an urgent need to develop a security product that can support all of the various IP versions to be proposed in the future. to be.

따라서, 본 발명은 상기와 같은 요구를 해결하기 위해 창작된 것으로서, IP 헤더 부분의 버전정보에 근거하여 입력되는 네트워크 패킷을 버전별로 구분하여 처리함으로써 복수의 IP 버전을 지원하는 네트워크 보안솔루션 구현방법을 제공하는 데 그 목적이 있다.Therefore, the present invention was created to solve the above-mentioned requirements, and implements a network security solution method for supporting a plurality of IP versions by processing the network packets inputted by version based on the version information of the IP header part. The purpose is to provide.

상술한 목적을 달성하기 위한 본 발명의 제 1 실시예에 따른 복수의 IP 버전을 지원하는 네트워크 보안솔루션 구현방법은, 입력되는 네트워크 패킷(packet)의 IP(Internet Protocol) 버전(version)을 확인하는 제 1 단계; 상기 확인된 버전에 따라, 상기 네트워크 패킷을 구분하여 임시저장하는 제 2 단계; 상기 임시저장된 각각의 네트워크 패킷에서 IP 헤더(header) 부분을 제외한 나머지 부분을, 기 저장된 소정 개수의 침입 패턴(pattern)과 순차적으로 비교하는 제 3 단계; 그리고 상기 비교결과 동일하면, 해당 네트워크 패킷을 선택적으로 차단하는 제 4 단계를 포함한다.Network security solution implementation method for supporting a plurality of IP version according to the first embodiment of the present invention for achieving the above object, to check the IP (Internet Protocol) version (version) of the network packet (packet) input First step; A second step of classifying and temporarily storing the network packet according to the checked version; A third step of sequentially comparing the remaining portions except for the IP header portion in each of the temporarily stored network packets with a predetermined number of intrusion patterns stored in advance; And if the comparison result is the same, a fourth step of selectively blocking the corresponding network packet.

상기 IP 버전은 IPv4 또는 IPv6일 수 있다.The IP version may be IPv4 or IPv6.

상기 제 1단계는, 상기 네트워크 패킷의 IP 헤더 부분의 최초 4비트 버전정보에 근거할 수 있다.The first step may be based on first 4-bit version information of an IP header portion of the network packet.

이상과 같은 흐름에 의해, 본 발명에 따른 복수의 IP 버전을 지원하는 네트워크 보안솔루션 구현방법은, IP 헤더 부분의 버전정보에 근거하여 입력되는 네트워크 패킷을 버전별로 구분하여 처리함으로써 복수의 IP 버전을 지원하도록 한다.According to the above-described flow, the network security solution implementation method for supporting a plurality of IP versions according to the present invention, the plurality of IP versions by processing the network packet inputted by the version based on the version information of the IP header portion. Support.

이하에서는, 도면을 참조하여 복수의 IP 버전을 지원하는 네트워크 보안솔루 션 구현방법에 대하여 보다 상세히 설명하기로 한다.Hereinafter, a method for implementing a network security solution supporting a plurality of IP versions will be described in detail with reference to the accompanying drawings.

참고로, 본 실시예에서는 네트워크 패킷의 IP 버전이 IPv4 및 IPv6 인 것에 대해서만 언급하였으나, 향후 IPv4 및 IPv6 를 제외한 보다 다양한 IP 버전이 개발 보급되는 경우에도 본 발명의 기본적인 사상을 벗어나지 않는 한도 내에서 동일하게 적용실시될 수 있음을 미리 말해둔다.For reference, in the present embodiment, only the IP version of the network packet is referred to as IPv4 and IPv6, but even if more IP versions except for IPv4 and IPv6 are developed and distributed in the future, the same without departing from the basic spirit of the present invention. It can be said that it can be applied in advance.

도 2는 본 발명에 따른 제 1 실시예에 적용되는 시스템의 구성블럭도로서 상기 시스템 상단의 네트워크 침입탐지 시스템과 하단의 방화벽 시스템은 연동하여 동작하고, 도 3은 네트워크 패킷에서 IP 헤더 부분의 포맷(format)을 도시한 것이다.FIG. 2 is a block diagram illustrating a system applied to the first embodiment of the present invention. The network intrusion detection system at the top of the system and the firewall system at the bottom operate in conjunction with each other. FIG. 3 is a format of an IP header portion of a network packet. (format) is shown.

도 2에 도시된 바와 같이 본 발명에 따른 제 1 실시예에 적용되는 시스템 상단의 네트워크 침입탐지 시스템에서, GUI 관리 콘솔(100)은 IP 버전이 IPv4 및 IPv6인 엔진을 등록하여 관리할 수 있으며 침입 방지 정책, 방화벽 정책, NAT 정책, QoS 정책을 적용/관리하고 침입 탐지/차단 결과(log)나 방화벽 로그 등을 확인할 수 있는 모니터링 기능을 제공한다.In the network intrusion detection system on the top of the system applied to the first embodiment according to the present invention as shown in FIG. 2, theGUI management console 100 may register and manage an engine whose IP versions are IPv4 and IPv6. It provides monitoring function to apply / manage prevention policy, firewall policy, NAT policy, QoS policy, and check intrusion detection / blocking result log or firewall log.

상기 네트워크 침입탐지 시스템에서, IPv4 및 IPv6 엔진(101a, 101b)은, IP 버전이 각각 IPv4 및 IPv6인 네트워크 패킷을 라이브러리(102)로부터 각각 수신한 후 IP 헤더 부분을 제외한 나머지 부분 즉 페이로드(payload) 부분만 후술되는 방화벽 시스템의 패턴 매칭 엑셀레이터 드라이버(301) 및 패턴 매칭 엑셀레이터(300)로 송신한다.In the network intrusion detection system, the IPv4 andIPv6 engines 101a and 101b receive network packets having IP versions of IPv4 and IPv6, respectively, from thelibrary 102, and then pay the rest of the packet except the IP header. ) Is transmitted to the pattern matchingaccelerator driver 301 and the pattern matchingaccelerator 300 of the firewall system which will be described later.

그리고 IPv4 및 IPv6 엔진(101a, 101b)은, 상기 패턴 매칭 엑셀레이터(300)로부터 침입 패턴 비교결과를 수신받아 상기 수행된 비교결과 즉 로그(log)를 저장하고 상기 비교결과에 따라 선택적으로 해당 네트워크 패킷의 입력을 차단시키는 네트워크 침입 방지 기능, NAT 기능, QoS 기능을 수행한다.The IPv4 andIPv6 engines 101a and 101b receive the intrusion pattern comparison result from the pattern matchingaccelerator 300 and store the comparison result, that is, the log, and optionally the corresponding network packet according to the comparison result. Perform network intrusion prevention function, NAT function, QoS function to block input

상기 라이브러리(102)는 후술되는 방화벽 시스템의 IPv4 프로토콜 스택(22)에 임시저장된 네트워크 패킷을 IP 버전별로 각각 로드(load)하여 지정된 형식에 맞게 처리한 후 IP 버전별로 상기 IPv4 및 IPv6 엔진(101a, 101b)에 각각 송신한다.Thelibrary 102 loads the network packets temporarily stored in theIPv4 protocol stack 22 of the firewall system to be described below for each IP version and processes them according to a specified format, and then the IPv4 andIPv6 engines 101a, 101b).

그리고, 본 발명에 따른 제 1 실시예에 적용되는 시스템 하단의 방화벽 시스템에서, 네트워크 디바이스(200)는 일반적인 컴퓨터 시스템에서 랜(LAN) 카드로 예시될 수 있으며 네트워크 패킷이 입력되는 물리적인 장치이다.In the firewall system at the bottom of the system applied to the first embodiment according to the present invention, thenetwork device 200 may be exemplified as a LAN card in a general computer system and is a physical device to which a network packet is input.

그리고 상기 방화벽 시스템에서, 네트워크 디바이스 드라이버(201)는 일반적인 컴퓨터 시스템에서 랜(LAN) 카드 드라이버로 예시될 수 있으며 상기 네트워크 디바이스(200)를 통해 입력되는 네트워크 패킷을 IP 버전에 따라 IPv4 및 IPv6 프로토콜 스택(202a, 202b)에 각각 임시저장한다. 이때, 상기 네트워크 디바이스 드라이버(201)는 상기 네트워크 디바이스(200)를 통해 입력되는 네트워크 패킷의 IP 헤더 부분의 최초 4비트 버전정보(도 3을 참조)에 근거하여 상기 네트워크 패킷을 IPv4 및 IPv6 프로토콜 스택(202a, 202b)에 구분시켜 임시저장하는 것이다.In the firewall system, thenetwork device driver 201 may be exemplified as a LAN card driver in a general computer system, and the network packet inputted through thenetwork device 200 may be configured according to the IP version of the IPv4 and IPv6 protocol stacks. Temporarily stored in 202a and 202b, respectively. At this time, thenetwork device driver 201 stacks the network packet based on the first 4-bit version information (see FIG. 3) of the IP header portion of the network packet inputted through thenetwork device 200. It is divided into 202a and 202b and stored temporarily.

아울러, 상기 방화벽 시스템에서 패턴 매칭 엑셀레이터(300)는, 상기 네트워크 침입탐지 시스템의 IPv4 및 IPv6 엔진(101a, 101b)으로부터 수신된 IPv4 및 IPv6의 네트워크 패킷을, 기 저장된 소정 개수의 침입 패턴(pattern)과 순차적으로 비교한다. 그리고 패턴 매칭 엑셀레이터(300)는 상기 비교결과를 패턴 매칭 엑셀레이터 드라이버(301)를 통해 상기 IPv4 및 IPv6 엔진(101a, 101b)에 각각 송신함으로써, IPv4 및 IPv6 엔진(101a, 101b)는 상기 비교결과 즉 로그(log)를 저장하고 비교결과에 따라 선택적으로 해당 네트워크 패킷의 입력을 차단시키는 네트워크 침입 방지 기능, NAT 기능, QoS 기능을 수행한다.In addition, the pattern matchingaccelerator 300 in the firewall system, the network packet of the IPv4 and IPv6 received from the IPv4 and IPv6 engine (101a, 101b) of the network intrusion detection system, a predetermined number of pre-stored intrusion pattern (pattern) And compare sequentially. The pattern matchingaccelerator 300 transmits the comparison result to the IPv4 andIPv6 engines 101a and 101b through the pattern matchingaccelerator driver 301, so that the IPv4 andIPv6 engines 101a and 101b respectively receive the comparison result. It performs network intrusion prevention function, NAT function, and QoS function to save log and selectively block the input of corresponding network packet according to the comparison result.

이하에서는, 상기와 같이 구성되는 시스템의 동작을 참고하여, 본 발명에 따른 제 1 실시예에 적용되는 복수의 IP 버전을 지원하는 네트워크 보안솔루션 구현방법에 대해 상세히 설명하기로 한다.Hereinafter, a method of implementing a network security solution supporting a plurality of IP versions applied to the first embodiment according to the present invention will be described in detail with reference to the operation of the system configured as described above.

먼저, 방화벽 시스템의 네트워크 디바이스(200)를 통해 네트워크 패킷이 입력되면, 네트워크 디바이스 드라이버(201)는 상기 입력되는 네트워크 패킷의 버전을, 20 바이트(byte)의 IP 헤더 부분 가운데 최초 4 비트(bit) 버전정보(도 3을 참조)에 근거하여 확인한다(S401). 그리고, 네트워크 디바이스 드라이버(201)는, 상기 확인된 버전에 따라 네트워크 패킷을 구분하여 IPv4 및 IPv6 프로토콜 스택(202a, 202b)에 각각 임시저장한다(S402).First, when a network packet is input through thenetwork device 200 of the firewall system, thenetwork device driver 201 uses the first 4 bits of the 20-byte IP header part as the version of the input network packet. Check based on version information (see FIG. 3) (S401). Thenetwork device driver 201 classifies network packets according to the checked versions and temporarily stores them in the IPv4 andIPv6 protocol stacks 202a and 202b (S402).

이와 같이 입력되는 네트워크 패킷이 버전에 따라 방화벽 시스템의 IPv4 및 IPv6 프로토콜 스택(202a, 202b)에 각각 임시저장되고 나면, 네트워크 침입탐지 시스템의 라이브러리(102)는 상기 IPv4 및 IPv6 프로토콜 스택(202a, 202b)으로부터 IPv4 및 IPv6 버전의 네트워크 패킷을 각각 로드(load)한 후(S403), 상기 로드한 각각의 네트워크 패킷을 지정된 형식에 맞게 처리한 후 IPv4 및 IPv6 엔진(101a, 101b)에 각각 송신한다.After the input network packets are temporarily stored in the IPv4 andIPv6 protocol stacks 202a and 202b of the firewall system according to their versions, thelibrary 102 of the network intrusion detection system is configured to store the IPv4 andIPv6 protocol stacks 202a and 202b. IPv4 and IPv6 versions of the network packets are loaded (S403), and each of the loaded network packets is processed according to a specified format and transmitted to the IPv4 andIPv6 engines 101a and 101b, respectively.

이어, IPv4 및 IPv6 엔진(101a, 101b)은, 상기 라이브러리(102)로부터 수신된 IPv4 및 IPv6 버전의 네트워크 패킷에서 IP 헤더 부분을 제외한 나머지 즉 페이로드(payload) 부분을 라이브러리(102)로 다시 송신한다. 그리고, 라이브러리(102)는 수신된 네트워크 패킷의 페이로드(payload) 부분을 방화벽 시스템의 패턴 매칭 엑셀레이터 드라이버(301)로 송신한다.Subsequently, the IPv4 andIPv6 engines 101a and 101b transmit the payload portion to thelibrary 102 except for the IP header portion in the IPv4 and IPv6 version of the network packet received from thelibrary 102. do. Thelibrary 102 then transmits the payload portion of the received network packet to the patternmatching accelerator driver 301 of the firewall system.

상기 패턴 매칭 엑셀레이터 드라이버(301)는 네트워크 패킷의 페이로드(payload) 부분을 패턴 매칭 엑셀레이터(300)로 전송한다. 패턴 매칭 엑셀레이터(300)는, 라이브러리(102) 및 패턴 매칭 엑셀레이터 드라이버(301)로부터 수신된 네트워크 패킷의 페이로드(payload) 부분을, 기 저장된 소정 개수의 침입 패턴(pattern)과 순차적으로 비교하고(S404) 비교결과를 패턴 매칭 엑셀레이터 드라이버(301) 및 라이브러리(102)를 거쳐 IPv4 및 IPv6 엔진(101a, 101b)에 버전별로 구분하여 각각 송신한다.The patternmatching accelerator driver 301 transmits a payload portion of the network packet to thepattern matching accelerator 300. Thepattern matching accelerator 300 sequentially compares the payload portion of the network packet received from thelibrary 102 and the patternmatching accelerator driver 301 with a predetermined number of intrusion patterns previously stored ( S404) The comparison result is transmitted to the IPv4 andIPv6 engines 101a and 101b by the version through the patternmatching accelerator driver 301 and thelibrary 102, respectively.

그러고 나면, IPv4 및 IPv6 엔진(101a, 101b)는 상기 비교결과 동일한 경우(S405의 예) 비교결과에 해당하는 로그(log)를 저장하고(S406), 시스템에 치명적인 침입 패턴에 해당하는 네트워크 패킷의 입력은 차단시키고 시스템에 그다지 해를 끼치지 않는 침입 패턴에 해당하는 네트워크 패킷의 입력은 허용함으로써, 선택적으로 상기 네트워크 패킷의 입력을 차단하게 된다(S407).Then, the IPv4 andIPv6 engines 101a and 101b store a log corresponding to the comparison result when the comparison result is the same (YES in S405) (S406), and the network packet corresponding to the intrusion pattern that is fatal to the system. Blocking the input and allowing the input of the network packet corresponding to the intrusion pattern that does not harm the system so as to selectively block the input of the network packet (S407).

상술한 바와 같이, 본 발명이 도면에 도시된 실시예를 참고하여 설명되었으나, 이는 예시적인 것들에 불과하며, 본 발명이 속하는 기술 분야의 통상의 지식을 가진 자라면 본 발명의 요지 및 범위를 벗어나지 않으면서도 다양한 변형, 변경 및 균등한 타 실시예들이 가능하다는 것을 명백하게 알 수 있을 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.As described above, the present invention has been described with reference to the embodiments shown in the drawings, which are merely exemplary, and those of ordinary skill in the art to which the present invention pertains should not depart from the spirit and scope of the present invention. It will be apparent that various modifications, changes and equivalent other embodiments are possible without departing. Accordingly, the true scope of the present invention should be determined by the technical idea of the appended claims.

상술한 바와 같이, 본 발명에 따른 복수의 IP 버전을 지원하는 네트워크 보안솔루션 구현방법은, IP 헤더 부분의 버전정보에 근거하여 입력되는 네트워크 패킷을 버전별로 구분하여 처리함으로써 복수의 IP 버전을 지원하여, 유동적인 네트워크 보안 관련 시장상황에 보다 능동적으로 대처할 수 있도록 한 매우 유용한 발명인 것이다.As described above, a method for implementing a network security solution supporting a plurality of IP versions according to the present invention supports a plurality of IP versions by classifying and processing a network packet input based on version information of an IP header part. This is a very useful invention that enables us to proactively cope with the market situation related to flexible network security.

Claims

Translated fromKorean

네트워크 침입탐지 시스템에서 실행되는 네트워크 보안솔루션 구현방법에 있어서, 상기 네트워크 보안솔루션 구현방법은In the network security solution implementation method executed in the network intrusion detection system, the network security solution implementation method is

입력되는 네트워크 패킷(packet)에서 IP(Internet Protocol) 헤더 부분에 있는 버전정보에 기초하여 상기 IP의 버전(version)을 확인하는 제 1 단계;A first step of checking a version of the IP based on version information in an IP (Internet Protocol) header portion of an input network packet;

상기 확인된 IP의 버전에 따라, 상기 네트워크 패킷을 구분하여 각각 임시 저장하는 제 2 단계;A second step of classifying and temporarily storing the network packets according to the checked version of the IP;

상기 임시 저장된 각각의 네트워크 패킷을 버전별로 로딩하고, 상기 로딩한 네트워크 패킷에서 상기 IP 헤더(header) 부분을 제외한 페이로드 부분을, 기 저장된 소정 개수의 침입 패턴(pattern)과 순차적으로 비교하는 제 3 단계; 그리고A third step of loading each temporarily stored network packet by version and sequentially comparing a payload portion except for the IP header portion from the loaded network packet with a predetermined number of intrusion patterns stored in advance; step; And

상기 비교 결과에 해당하는 로그(log)를 저장하여 침입 패턴에 해당 네트워크 패킷의 입력을 차단하는 제 4 단계를 포함하는 복수의 IP 버전을 지원하는 네트워크 보안솔루션 구현방법.And a fourth step of storing a log corresponding to the comparison result and blocking input of a corresponding network packet to an intrusion pattern.

제 1항에 있어서,The method of claim 1,

상기 IP 버전은 IPv4 또는 IPv6인 것을 특징으로 하는 복수의 IP 버전을 지원하는 네트워크 보안솔루션 구현방법.The IP version is an IPv4 or IPv6 network security solution implementation method for supporting a plurality of IP versions, characterized in that.

제 1항 또는 제 2항에 있어서,The method according to claim 1 or 2,

상기 제 1단계는, 상기 네트워크 패킷의 IP 헤더 부분의 최초 4비트 버전정 보에 근거하는 것을 특징으로 하는 복수의 IP 버전을 지원하는 네트워크 보안솔루션 구현방법.And the first step is based on the first 4-bit version information of the IP header portion of the network packet.