맞춤기술찾기

홈으로 가기
맞춤기술찾기
이전대상기술
프린트하기

이전대상기술

네트워크 공격 방어 장치 및 방법, 이를 포함한 패킷 송수신 처리 장치 및 방법

  • 기술번호 : KST2014031658
  • 담당센터 : 부산기술혁신센터
  • 전화번호 : 051-606-6561
상담신청 PDF 받기
요약, Int. CL, CPC, 출원번호/일자, 출원인, 등록번호/일자, 공개번호/일자, 공고번호/일자, 국제출원번호/일자, 국제공개번호/일자, 우선권정보, 법적상태, 심사진행상태, 심판사항, 구분, 원출원번호/일자, 관련 출원번호, 기술이전 희망, 심사청구여부/일자, 심사청구항수의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 서지정보 표입니다.
요약 본 발명은 네트워크 공격 방어 장치 및 방법, 이를 이용한 패킷 송수신 처리 장치 및 방법에 관한 것으로, SYN 플러딩이나 IP 스푸핑 공격 등과 같은 네트워크 공격에 대한 방어 시에 많은 메모리를 사용하지 않고도 공격을 방어할 수 있으며, 최초의 연결 시도를 이용하여 IP 검증만을 하고 다시 새로운 연결을 맺는 방식이므로 TCP 옵션에 무관하게 처리할 수 있고 PSN의 관리도 필요치 않다. 호스트 기반에서 네트워크 카드 등과 같은 하드웨어를 통해 네트워크 공격 방어 장치를 구현하여 고가의 네트워크 보안장비 없이도 네트워크 공격에 대응할 수 있으면서 기존의 소프트웨어를 이용한 방식에 비해 대응할 수 있는 공격의 강도가 향상되며, 하드웨어에서 정상적인 연결여부를 판단하므로 외부로부터의 공격 패킷이 서버로 거의 전달되지 않아 서버에 부담을 주지 않는 이점이 있다.네트워크 공격, SYN 플러딩, SYN 쿠키, 세션 관리, 화이트 리스트, 블랙 리스트
Int. CL H04L 12/22 (2006.01)
CPC
출원번호/일자 1020090118293 (2009.12.02)
출원인 한국전자통신연구원
등록번호/일자 10-1263329-0000 (2013.05.06)
공개번호/일자 10-2011-0061784 (2011.06.10) 문서열기
공고번호/일자 (20130516) 문서열기
국제출원번호/일자
국제공개번호/일자
우선권정보
법적상태 등록
심사진행상태 수리
심판사항
구분 신규
원출원번호/일자
관련 출원번호
심사청구여부/일자 Y (2009.12.02)
심사청구항수 18

출원인

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 출원인 표입니다.
번호 이름 국적 주소
1 한국전자통신연구원 대한민국 대전광역시 유성구

발명자

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 발명자 표입니다.
번호 이름 국적 주소
1 박찬호 대한민국 대전광역시 중구

대리인

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 대리인 표입니다.
번호 이름 국적 주소
1 제일특허법인(유) 대한민국 서울특별시 서초구 마방로 ** (양재동, 동원F&B빌딩)
2 김원준 대한민국 서울특별시 서초구 마방로 ** (양재동, 동원F&B빌딩)(제일특허법인(유))

최종권리자

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 최종권리자 표입니다.
번호 이름 국적 주소
1 (주)팡팡 서울특별시 구
번호, 서류명, 접수/발송일자, 처리상태, 접수/발송일자의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 행정처리 표입니다.
번호 서류명 접수/발송일자 처리상태 접수/발송번호
1 [특허출원]특허출원서
[Patent Application] Patent Application		 2009.12.02 수리 (Accepted) 1-1-2009-0743789-89
2 [출원서등 보정]보정서
[Amendment to Patent Application, etc.] Amendment		 2010.07.05 수리 (Accepted) 1-1-2010-0432763-11
3 의견제출통지서
Notification of reason for refusal		 2012.12.21 발송처리완료 (Completion of Transmission) 9-5-2012-0781372-74
4 [거절이유 등 통지에 따른 의견]의견(답변, 소명)서
[Opinion according to the Notification of Reasons for Refusal] Written Opinion(Written Reply, Written Substantiation)		 2013.02.19 수리 (Accepted) 1-1-2013-0149070-21
5 [명세서등 보정]보정서
[Amendment to Description, etc.] Amendment		 2013.02.19 보정승인간주 (Regarded as an acceptance of amendment) 1-1-2013-0149071-77
6 등록결정서
Decision to grant		 2013.04.29 발송처리완료 (Completion of Transmission) 9-5-2013-0292573-42
7 출원인정보변경(경정)신고서
Notification of change of applicant's information		 2015.02.02 수리 (Accepted) 4-1-2015-0006137-44
번호, 청구항의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 청구항 표입니다.
번호 청구항
1 1
삭제
2 2
네트워크로부터의 수신 패킷을 저장하는 패킷 버퍼와,상기 수신 패킷의 정보와 기 설정된 필터링 정보와의 비교 결과에 따라 유해 패킷의 정보를 필터링하여 상기 필터링을 통과한 수신 패킷의 정보에 따라 UDP 또는 ICMP 플러딩 공격으로 판단한 제 1 필터링 대상 패킷을 선정하는 필터링부와,상기 필터링을 통과한 수신 패킷의 정보에 따라 TCP SYN 플러딩 공격으로 판단된 경우에 SYN 쿠키를 이용해 제 2 필터링 대상 패킷을 선정하는 SYN 쿠키 처리부와,상기 필터링을 통과한 수신 패킷의 정보에 따라 TCP 플래그 플러딩 공격을 판단하여 세션 관리를 통해 제 3 필터링 대상 패킷을 선정하는 세션 관리부와,상기 패킷 버퍼에 저장된 수신 패킷 중에서 상기 제 1 내지 제 3 필터링 대상 패킷을 필터링하여 이외의 수신 패킷을 호스트에게 전달하거나 상기 패킷 버퍼에 저장된 수신 패킷과 함께 상기 제 1 내지 제 3 필터링 대상 패킷의 정보를 상기 호스트에게 전달하는 패킷 처리부를 포함하며,상기 필터링부는, 상기 네트워크로부터 수신한 수신 패킷의 정보와 기 설정된 블랙 리스트의 IP 정보를 비교한 결과에 따라 상기 유해 패킷의 정보를 1차 필터링하며, 상기 1차 필터링을 통과한 수신 패킷의 정보와 기 설정된 프로토콜 정보 및 포트 정보를 비교하는 ACL(Access Control List) 체크의 결과에 따라 상기 유해 패킷의 정보를 2차 필터링하는네트워크 공격 방어 장치
3 3
제 2 항에 있어서,상기 필터링부는, 상기 필터링을 통과한 수신 패킷이 UDP 또는 ICMP 패킷일 때에 상기 UDP 또는 ICMP 패킷의 빈도를 체크한 값과 기 설정값과의 비교 결과에 따라 상기 UDP 또는 ICMP 플러딩 공격을 판단하는네트워크 공격 방어 장치
4 4
제 2 항에 있어서,상기 세션 관리부는, 현재 SYN 응답 패킷을 송신한 후, 응답 대기 상태에 있는 세션의 개수와 기 설정값과의 비교 결과에 따라 상기 TCP SYN 플러딩 공격상황을 판단하여 상기 SYN 쿠키 처리부에게 전달하는네트워크 공격 방어 장치
5 5
제 2 항에 있어서,상기 SYN 쿠키 처리부는, 상기 필터링을 통과한 수신 패킷의 정보가 SYN 패킷 또는 순수 응답 패킷일 경우에 상기 SYN 쿠키에 따른 처리를 수행하는네트워크 공격 방어 장치
6 6
네트워크로부터의 수신 패킷을 저장하는 패킷 버퍼와,상기 수신 패킷의 정보와 기 설정된 필터링 정보와의 비교 결과에 따라 유해 패킷의 정보를 필터링하여 상기 필터링을 통과한 수신 패킷의 정보에 따라 UDP 또는 ICMP 플러딩 공격으로 판단한 제 1 필터링 대상 패킷을 선정하는 필터링부와,상기 필터링을 통과한 수신 패킷의 정보에 따라 TCP SYN 플러딩 공격으로 판단된 경우에 SYN 쿠키를 이용해 제 2 필터링 대상 패킷을 선정하는 SYN 쿠키 처리부와,상기 필터링을 통과한 수신 패킷의 정보에 따라 TCP 플래그 플러딩 공격을 판단하여 세션 관리를 통해 제 3 필터링 대상 패킷을 선정하는 세션 관리부와,상기 패킷 버퍼에 저장된 수신 패킷 중에서 상기 제 1 내지 제 3 필터링 대상 패킷을 필터링하여 이외의 수신 패킷을 호스트에게 전달하거나 상기 패킷 버퍼에 저장된 수신 패킷과 함께 상기 제 1 내지 제 3 필터링 대상 패킷의 정보를 상기 호스트에게 전달하는 패킷 처리부를 포함하며,상기 세션 관리부는, 상기 세션 관리를 위해 세션의 상태를 무효 상태와 유효 상태로 분류하고, 상기 유효 상태를 응답 대기 상태, SYN 응답 대기 상태, 연결해제 대기 상태, 활성 상태로 분류하여 관리하는네트워크 공격 방어 장치
7 7
네트워크로부터의 수신 패킷을 저장하는 패킷 버퍼와,상기 수신 패킷의 정보와 기 설정된 필터링 정보와의 비교 결과에 따라 유해 패킷의 정보를 필터링하여 상기 필터링을 통과한 수신 패킷의 정보에 따라 UDP 또는 ICMP 플러딩 공격으로 판단한 제 1 필터링 대상 패킷을 선정하는 필터링부와,상기 필터링을 통과한 수신 패킷의 정보에 따라 TCP SYN 플러딩 공격으로 판단된 경우에 SYN 쿠키를 이용해 제 2 필터링 대상 패킷을 선정하는 SYN 쿠키 처리부와,상기 필터링을 통과한 수신 패킷의 정보에 따라 TCP 플래그 플러딩 공격을 판단하여 세션 관리를 통해 제 3 필터링 대상 패킷을 선정하는 세션 관리부와,상기 패킷 버퍼에 저장된 수신 패킷 중에서 상기 제 1 내지 제 3 필터링 대상 패킷을 필터링하여 이외의 수신 패킷을 호스트에게 전달하거나 상기 패킷 버퍼에 저장된 수신 패킷과 함께 상기 제 1 내지 제 3 필터링 대상 패킷의 정보를 상기 호스트에게 전달하는 패킷 처리부를 포함하며,상기 세션 관리부는, 상기 세션 관리를 통해 현재의 무효 세션으로 수신되는 패킷을 모두 상기 제 3 필터링 대상 패킷으로 선정하며, 활성 세션에 대해서는 응답 패킷의 빈도를 체크한 값과 기 설정값과의 비교 결과에 따라 응답 플러딩으로 간주하여 상기 제 3 필터링 대상 패킷으로 선정하는네트워크 공격 방어 장치
8 8
네트워크로부터의 수신 패킷을 저장하는 패킷 버퍼와,상기 수신 패킷의 정보와 기 설정된 필터링 정보와의 비교 결과에 따라 유해 패킷의 정보를 필터링하여 상기 필터링을 통과한 수신 패킷의 정보에 따라 UDP 또는 ICMP 플러딩 공격으로 판단한 제 1 필터링 대상 패킷을 선정하는 필터링부와,상기 필터링을 통과한 수신 패킷의 정보에 따라 TCP SYN 플러딩 공격으로 판단된 경우에 SYN 쿠키를 이용해 제 2 필터링 대상 패킷을 선정하는 SYN 쿠키 처리부와,상기 필터링을 통과한 수신 패킷의 정보에 따라 TCP 플래그 플러딩 공격을 판단하여 세션 관리를 통해 제 3 필터링 대상 패킷을 선정하는 세션 관리부와,상기 패킷 버퍼에 저장된 수신 패킷 중에서 상기 제 1 내지 제 3 필터링 대상 패킷을 필터링하여 이외의 수신 패킷을 호스트에게 전달하거나 상기 패킷 버퍼에 저장된 수신 패킷과 함께 상기 제 1 내지 제 3 필터링 대상 패킷의 정보를 상기 호스트에게 전달하는 패킷 처리부와,상기 패킷 버퍼에 저장된 수신 패킷이 동시에 저장되는 DPI(Deep Packet Inspection) 인터페이스 버퍼와,상기 DPI 인터페이스 버퍼에 저장된 수신 패킷이 DPI 로직으로 전달된 후에 그 결과값이 회신되어 저장되는 DPI 결과 큐를 포함하며,상기 패킷 처리부는, 상기 결과값에 따라 유해 패킷을 필터링하는네트워크 공격 방어 장치
9 9
삭제
10 10
클라이언트로부터 수신한 수신 패킷의 정보에 의거하여 TCP SYN 플러딩 공격을 판단하는 단계와,상기 TCP SYN 플러딩 공격으로 판단되면 SYN 쿠키를 이용하여 정상적인 클라이언트를 판단하는 단계와,상기 정상적인 클라이언트의 IP를 화이트 리스트에 기록한 후에 리셋 패킷을 전송하여 연결을 해지하는 단계와,상기 해지의 상태에서 연결요청 패킷이 수신되면 상기 화이트 리스트에 기록된 IP인가를 확인한 결과를 서버로 전달하여 상기 클라이언트와의 연결이 수행되도록 하는 단계와,상기 TCP SYN 플러딩 공격의 상태가 해제되면 상기 화이트 리스트를 초기화하는 단계를 포함하는 네트워크 공격 방어 방법
11 11
호스트와의 패킷 송수신을 위한 경로를 제공하는 제 1 인터페이스부와,상기 호스트의 송신 명령에 따라 상기 제 1 인터페이스부를 통해 상기 호스트로부터 송신 패킷을 읽어오는 송신 처리부와,상기 송신 처리부로부터 전달받은 상기 송신 패킷에 체크섬을 삽입하여 전달하는 체크섬 삽입부와,상기 체크섬 삽입부로부터 전달받은 상기 송신 패킷을 네트워크로 전송하거나 상기 네트워크로부터 패킷을 수신하는 제 2 인터페이스부와,상기 제 2 인터페이스부로부터 전달받은 수신 패킷의 헤더 및 체크섬의 오류를 점검하는 오류 점검부와,상기 오류 점검부로부터 전달받은 상기 수신 패킷의 유해 여부를 판단하는 보안 기능부와,상기 보안 기능부로부터 전달받은 상기 수신 패킷을 상기 제 1 인터페이스부를 통해 상기 호스트에게 전송하는 수신 처리부를 포함하는 패킷 송수신 처리 장치
12 12
제 11 항에 있어서,상기 송신 처리부는, 상기 호스트의 프로세서에 의한 상기 송신 명령에 따라 상기 송신 패킷의 정보를 상기 호스트의 메모리로부터 DMA(Direct Memory Access)를 통하여 읽어오고, 상기 송신 패킷의 정보를 이용하여 실제 패킷을 다시 DMA를 통하여 읽어오는패킷 송수신 처리 장치
13 13
제 11 항에 있어서,상기 체크섬 삽입부는, IP 체크섬과 TCP 체크섬 중에서 적어도 어느 하나의 체크섬을 생성하여 상기 송신 패킷에 삽입하는패킷 송수신 처리 장치
14 14
제 11항에 있어서,상기 체크섬 삽입부는, TCP 세그먼테이션이 필요한 경우에 상기 송신 패킷을 분할하여 분할 패킷을 상기 제 2 인터페이스부에게 전달하는패킷 송수신 처리 장치
15 15
제 11 항에 있어서,상기 오류 점검부는, 상기 헤더의 점검이 완료되면 상기 수신 패킷을 상기 보안 기능부에게 전달하여 상기 체크섬을 점검할 때에 상기 보안 기능부가 상기 수신 패킷의 유해 여부를 판단하도록 하는패킷 송수신 처리 장치
16 16
제 11 항에 있어서,상기 보안 기능부는, IP 필터링 기능, ACL(Access Control List) 체크 기능, 분산 네트워크(Distribute Denial of Service, DDOS) 공격 방어 기능 중에서 적어도 하나 이상의 기능을 수행하는패킷 송수신 처리 장치
17 17
제 11 항에 있어서,상기 보안 기능부는, DPI(Deep Packet Inspection) 기능을 추가할 수 있도록 인터페이스를 제공하는패킷 송수신 처리 장치
18 18
제 11 항에 있어서,상기 보안 기능부는, TCP 연결 패킷을 생성하여 상기 제 2 인터페이스부에게 전달하는패킷 송수신 처리 장치
19 19
제 11 항에 있어서,상기 수신 처리부는, 상기 수신 패킷을 상기 호스트의 메모리에게 DMA(Direct Memory Access)를 사용하여 전송하고, 그 전송 결과를 상기 호스트의 프로세서에게 알려주는패킷 송수신 처리 장치
20 20
호스트의 송신 명령에 따라 상기 호스트로부터 송신 패킷을 읽어오는 단계와,상기 송신 패킷에 체크섬을 삽입하여 네트워크로 전송한 후에 상기 네트워크로부터 패킷을 수신하는 단계와,상기 네트워크로부터 수신한 수신 패킷의 헤더 및 체크섬의 오류를 점검하는 단계와,상기 헤더 및 체크섬의 오류를 점검한 수신 패킷의 유해 여부를 판단하는 단계와,상기 유해 여부를 판단한 수신 패킷을 상기 호스트에게 전송하는 단계를 포함하는 패킷 송수신 처리 방법
지정국 정보가 없습니다
순번, 패밀리번호, 국가코드, 국가명, 종류의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 패밀리정보 - 패밀리정보 표입니다.
순번 패밀리번호 국가코드 국가명 종류
1 US20110131646 US 미국 FAMILY

DOCDB 패밀리 정보

순번, 패밀리번호, 국가코드, 국가명, 종류의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 패밀리정보 - DOCDB 패밀리 정보 표입니다.
순번 패밀리번호 국가코드 국가명 종류
1 US2011131646 US 미국 DOCDBFAMILY
순번, 연구부처, 주관기관, 연구사업, 연구과제의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 국가R&D 연구정보 정보 표입니다.
순번 연구부처 주관기관 연구사업 연구과제
1 지식경제부 한국전자통신연구원 IT성장동력기술개발 저비용 대규모 글로벌 인터넷 서비스 솔루션 개발