| 1 |
1
네트워크 트래픽에서 사용되고 있는 서버를 추출하는 서버 추출부;상기 서버가 제공하는 서비스를 추출하는 서비스 추출부;추출된 서비스에 접속하는 클라이언트를 추출하는 클라이언트 추출부;상기 서버와 상기 클라이언트에서 사용되는 제어 명령 정보를 추출하는 제어명령 추출부;상기 서버와 상기 클라이언트 간의 통신 특성 정보를 추출하는 통신 특성 추출부; 및상기 서버와 상기 클라이언트 간의 트래픽 통계 정보를 추출하는 통계 정보 추출부;를 포함하고,상기 통신 특성 추출부는,상기 서버와 상기 클라이언트에서 사용되는 상기 제어명령의 프로토콜에 대한 메시지 특성 정보를 추출하며,상기 서버와 상기 클라이언트 간에 주고받는 패킷들을 일정시간을 기준으로 잘라서 메시지를 묶고, 패킷 정보와 패킷 간의 순서 정보를 조합하여 메시지 타입 종류로 나눠서 상기 서버와 상기 클라이언트 간의 통신 특성을 숫자의 나열로 확인하되,상기 패킷 정보는 페이로드 사이즈(payload size), 패킷 사이즈(packetsize)로 사용하고,상기 패킷 간의 순서정보는 세트(set), 멀티세트(multiset), 패킷 전송방향별로 구분한 두 개의 시퀀스, 전체 패킷들의 시퀀스로 사용하는 것을 특징으로 하는 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치
|
| 2 |
2
제1항에 있어서,추출된 상기 서버, 상기 서비스, 상기 클라이언트, 제어 명령 정보, 통신 특성 정보 및 통계 정보를 토대로 화이트 리스트를 생성하는 리스트 생성부를 더 포함하는 것을 특징으로 하는 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치
|
| 3 |
3
제1항에 있어서,상기 서버 추출부는 네트워크 트래픽에서 사용되고 있는 IP 및 MAC 정보를 이용하여 IP 별로 사용이 허가된 MAC 주소를 토대로 다수개의 서버에 대한 서버 정보를 추출하는 것을 특징으로 하는 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치
|
| 4 |
4
제1항에 있어서,상기 서비스 추출부는 서버가 불필요한 서비스를 제공하고 있지 않은지 확인하기 위해 상기 서버가 제공하는 서버 포트 및 프로토콜 정보를 포함하는 서비스에 대한 서비스 정보를 추출하는 것을 특징으로 하는 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치
|
| 5 |
5
제1항에 있어서,상기 클라이언트 추출부는 상기 서버가 제공하는 서비스에 접속이 허용된 클라이언트만 접속하고 있는지 확인하기 위해 IP 정보를 포함하는 클라이언트에 대한 클라이언트 정보를 추출하는 것을 특징으로 하는 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치
|
| 6 |
6
제1항에 있어서,상기 제어명령 추출부는 상기 서버와 상기 클라이언트에서 사용되는 상기 제어명령의 프로토콜이 DNP3 또는 ICCP 인 경우, DNP3 또는 ICCP에서 사용되는 제어 명령 정보를 추출하는 것을 특징으로 하는 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치
|
| 7 |
7
삭제
|
| 8 |
8
제1항에 있어서,상기 통계 정보 추출부는 상기 서버와 상기 클라이언트 간의 서비스 지속 여부를 판단하여 서비스가 지속 되는 경우 기 설정된 감시단위시간에 따른 트래픽 개수를 수집하여 트래픽 통계 정보를 추출하는 것을 특징으로 하는 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치
|
| 9 |
9
제8항에 있어서,기 설정된 감시단위시간은 감시단위시간 내 전송 bytes, 감시단위시간 내 전송 packet 개수 및 감시단위시간 내 동시 세션 개수 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치
|
| 10 |
10
제8항에 있어서,서비스 지속 여부는 기 설정된 단위 시간에 상기 서버와 클라이언트가 지속적으로 통신하는지를 판단하는 것을 특징으로 하는 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치
|
| 11 |
11
서버 추출부에 의해, 네트워크 트래픽에서 사용되고 있는 서버를 추출하는 단계;서비스 추출부에 의해, 상기 서버들이 제공하는 서비스를 추출하는 단계;클라이언트 추출부에 의해, 추출된 서비스에 접속하는 클라이언트를 추출하는 단계;제어명령 추출부에 의해, 상기 서버와 상기 클라이언트에서 사용되는 제어 명령 정보를 추출하는 단계;통신 특성 추출부에 의해, 상기 서버와 상기 클라이언트 간의 통신 특성 정보를 추출하는 단계; 및통계 정보 추출부에 의해, 상기 서버와 상기 클라이언트 간의 트래픽 통계 정보를 추출하는 단계;를 포함하고,상기 서버와 상기 클라이언트 간의 통신 특성 정보를 추출하는 단계는, 추출된 상기 제어명령의 프로토콜이 아닌 프로토콜을 추출하여 해당 프로토콜에 대한 메시지 특성 정보를 추출하며, 상기 서버와 상기 클라이언트 간에 주고받는 패킷들을 일정시간을 기준으로 잘라서 메시지를 묶고, 패킷 정보와 패킷 간의 순서 정보를 조합하여 메시지 타입 종류로 나눠서 상기 서버와 상기 클라이언트 간의 통신 특성을 숫자의 나열로 확인하되,상기 패킷 정보는 페이로드 사이즈(payload size), 패킷 사이즈(packetsize)로 사용하고,상기 패킷 간의 순서정보는 세트(set), 멀티세트(multiset), 패킷 전송방향별로 구분한 두 개의 시퀀스, 전체 패킷들의 시퀀스로 사용하는 것을 특징으로 하는 네트워크 트래픽을 통해 화이트 리스트를 생성하는 방법
|
| 12 |
12
제11항에 있어서,상기 서버와 상기 클라이언트 간의 트래픽 통계 정보를 추출하는 단계 이후에,추출된 서버, 서비스, 클라이언트, 제어 명령 정보, 통신 특성 정보 및 통계 정보를 토대로 화이트 리스트를 생성하는 단계;를 더 포함하는 것을 특징으로 하는 네트워크 트래픽을 통해 화이트 리스트를 생성하는 방법
|
| 13 |
13
제11항에 있어서,상기 서버와 상기 클라이언트에서 사용되는 제어 명령 정보를 추출하는 단계는,상기 서버와 상기 클라이언트에서 사용되는 제어명령의 프로토콜이 DNP3 또는 ICCP 인 경우, DNP3 또는 ICCP에서 사용되는 제어 명령 정보를 추출하는 것을 특징으로 하는 네트워크 트래픽을 통해 화이트 리스트를 생성하는 방법
|
| 14 |
14
삭제
|
| 15 |
15
제11항에 있어서,상기 서버와 상기 클라이언트 간의 트래픽 통계 정보를 추출하는 단계는, 상기 서버와 상기 클라이언트 간의 서비스 지속 여부를 판단하여 서비스가 지속되는 경우 기 설정된 감시단위시간에 따른 트래픽 개수를 수집하여 트래픽 통계 정보를 추출하는 것을 특징으로 하는 네트워크 트래픽을 통해 화이트 리스트를 생성하는 방법
|
| 16 |
16
제15항에 있어서,기 설정된 감시단위시간에 따라 수집되는 트래픽 개수는 감시단위시간 내 전송 bytes, 감시단위시간 내 전송 packet 개수 및 감시단위시간 내 동시 세션 개수 중 적어도 어느 하나를 포함하는 네트워크 트래픽을 통해 화이트 리스트를 생성하는 방법
|
