KR101099083B1 - Network resource management system and method - Google Patents
Network resource management system and method Download PDFInfo
- Publication number
- KR101099083B1 KR101099083B1 KR1020060023191A KR20060023191A KR101099083B1 KR 101099083 B1 KR101099083 B1 KR 101099083B1 KR 1020060023191 A KR1020060023191 A KR 1020060023191A KR 20060023191 A KR20060023191 A KR 20060023191A KR 101099083 B1 KR101099083 B1 KR 101099083B1
- Authority
- KR
- South Korea
- Prior art keywords
- agent
- host
- arp
- group
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 19
- 230000000903 blocking effect Effects 0.000 claims abstract description 33
- 238000013507 mapping Methods 0.000 claims description 6
- 230000005856 abnormality Effects 0.000 claims description 3
- 238000007726 management method Methods 0.000 abstract description 45
- 238000010586 diagram Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 230000007423 decrease Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
- 
        - H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
 
- 
        - H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
 
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 네트워크 자원을 효율적으로 관리할 수 있는 네트워크 자원 관리 시스템 및 그 관리 방법을 개시한다.The present invention discloses a network resource management system and a management method thereof capable of efficiently managing network resources.
본 발명의 네트워크 자원 관리 시스템은 네트워크 자원에 대한 허용 목록을 저장하는 관리 서버; 및 에이전트 그룹별로 구비되며, 상기 관리 서버로부터 상기 허용 목록을 제공받아 이를 자신이 속한 에이전트 그룹에서 수집된 네트워크 정보와 비교하여 차단 대상 호스트들을 검출하고 검출된 상기 차단 대상 호스트의 통신을 통제하는 적어도 하나의 PM 에이전트를 구비하여, 현재의 네트워크 설정을 변경하지 않으면서도 임의의 호스트가 허가받지 않고 네트워크 자원을 무단으로 사용하는 것을 방지한다.The network resource management system of the present invention includes a management server that stores a whitelist for network resources; And at least one provided by the agent group, receiving the allow list from the management server, comparing the information with the network information collected from the agent group to which the management server belongs, and detecting the blocking target hosts and controlling the communication of the detected blocking target hosts. A PM agent is provided to prevent unauthorized use of network resources without unauthorized access by any host without changing the current network settings.
Description
도 1은 본 발명에 따른 네트워크 자원 관리 시스템의 구성을 나타내는 구성도.1 is a block diagram showing the configuration of a network resource management system according to the present invention.
도 2는 도 1의 네트워크 자원 관리 시스템의 네트워크 자원 관리 방법을 설명하기 위한 순서도.2 is a flowchart illustrating a network resource management method of the network resource management system of FIG. 1.
도 3은 PM 에이전트와 관리 서버 사이에서 사용되는 메시지 포맷의 일예를 보여주는 도면.3 illustrates an example of a message format used between a PM agent and a management server.
도 4는 PM 에이전트와 SM 에이전트 사이의 동작을 설명하기 위한 순서도.4 is a flowchart for explaining an operation between a PM agent and an SM agent.
도 5는 PM 에이전트와 SM 에이전트 사이에서 사용되는 통신 메시지 포맷을 나타내는 도면.5 is a diagram illustrating a communication message format used between a PM agent and an SM agent.
본 발명은 IP 주소 관리 시스템 및 그 관리 방법에 관한 것으로서, 보다 상세하게는 현재의 네트워크 설정을 변경하지 않으면서 관리자에 의해 지정된 네트워크 자원(IP 주소 및/또는 MAC 주소)을 갖는 호스트들 사이에서만 통신이 가능하도 록 통제하여 임의의 호스트가 허가받지 않고 네트워크 자원을 무단으로 사용하는 것을 방지할 수 있는 IP 관리 시스템 및 그 관리 방법에 관한 것이다.The present invention relates to an IP address management system and a management method thereof, and more particularly, communication only between hosts having a network resource (IP address and / or MAC address) designated by an administrator without changing the current network configuration. The present invention relates to an IP management system and a method of managing the same, which can be controlled to prevent any host from unauthorized use of network resources without permission.
대규모의 네트워크를 사용하는 기업, 학교 또는 기관에서는 제한된 인적 자원을 활용해 방대한 네트워크를 효율적이고 통합적으로 관리하고 제어하고자 하나 복잡하고 다양해져 가는 네트워크 환경하에서는 이러한 일이 쉽지 않은 것이 사실이다.Companies, schools, or institutions with large networks want to use limited human resources to efficiently and integratedly manage and control large networks, but this is not easy under complex and diverse network environments.
특히, 고정(Static) IP를 사용하는 네트워크에서 IP 주소의 중복 사용이 자주 발생하게 되는데, 이때 중복 사용되는 IP 주소가 주요 서버이거나 라우터, 게이트웨이의 IP 주소일 경우 서비스 장애가 발생될 수 있다. 그러나, 이처럼 허가받지 않고 IP를 도용하여 임의로 사용하는 경우 이를 찾아내어 방지할 수 있는 방법이 아직까지는 마땅히 없는 실정이다.In particular, duplicated use of IP addresses frequently occurs in a network using static IP. At this time, if the duplicated IP address is a main server, or an IP address of a router or a gateway, service failure may occur. However, there is no way to find and prevent the use of IP by stealing IP without permission.
이를 위해, IP 어드레스, MAC(Media Access Control) 어드레스, 호스트 ID 등과 같은 네트워크 자원을 일일이 수작업으로 관리하게 되면 인적 자원의 낭비를 가져올 뿐만 아니라 업무능력을 저하시키는 원인이 된다.To this end, manual management of network resources such as IP addresses, media access control (MAC) addresses, host IDs, etc., not only results in waste of human resources but also causes a decline in work capacity.
따라서, LAN 환경을 기반으로 하는 네트워크에서는 필요에 따라 네트워크에 연결된 장비들 각각에 대하여 다른 장비들과의 통신을 적절히 제한할 필요가 있으며, 이를 위해서는 네트워크 내부 자원들 간의 통신권능을 통제할 수 있는 수단이 필요하다.Therefore, in a network based on a LAN environment, it is necessary to appropriately restrict communication with other devices for each device connected to the network as necessary, and for this purpose, a means for controlling communication power between resources in the network. This is necessary.
상술된 문제를 해결하기 위한 본 발명의 목적은 네트워크 상에서 사용되고 있는 네트워크 자원을 사용자의 개입없이 자동으로 모니터링하여 효율적으로 관리하는데 있다.An object of the present invention for solving the above problems is to automatically monitor and efficiently manage network resources being used on a network without user intervention.
위와 같은 목적을 달성하기 위한 본 발명의 네트워크 자원 관리 시스템은 네트워크 자원에 대한 허용 목록을 저장하는 관리 서버; 및 에이전트 그룹별로 구비되며, 상기 관리 서버로부터 상기 허용 목록을 제공받아 이를 자신이 속한 에이전트 그룹에서 수집된 네트워크 정보와 비교하여 차단 대상 호스트들을 검출하고 검출된 상기 차단 대상 호스트의 통신을 통제하는 적어도 하나의 PM 에이전트를 구비한다.Network resource management system of the present invention for achieving the above object is a management server for storing the allow list for network resources; And at least one provided by the agent group, receiving the allow list from the management server, comparing the information with the network information collected from the agent group to which the management server belongs, and detecting the blocking target hosts and controlling the communication of the detected blocking target hosts. Equipped with a PM agent.
본 발명의 네트워크 자원 관리 방법은 자신이 속한 에이전트 그룹의 네트워크 정보를 수집하는 제 1 단계; 상기 수집된 네트워크 정보를 기 지정된 허용 목록과 비교하여 차단 대상 호스트를 검출하는 제 2 단계; 상기 검출된 차단 대상 호스트의 상태를 판단하는 제 3 단계; 및 상기 상태 정보에 따라 상기 차단 대상 호스트의 통신을 선택적으로 통제하는 제 4 단계를 포함한다.The network resource management method of the present invention includes a first step of collecting network information of an agent group to which it belongs; A second step of detecting the blocking target host by comparing the collected network information with a predetermined allow list; Determining a state of the detected blocking target host; And a fourth step of selectively controlling communication of the blocking target host according to the state information.
이하, 첨부된 도면들을 참조하여 본 발명의 바람직한 실시예들을 보다 상세하게 설명한다.Hereinafter, with reference to the accompanying drawings will be described in detail preferred embodiments of the present invention.
도 1은 본 발명에 따른 네트워크 자원 관리 시스템의 구성을 나타내는 구성도이다.1 is a block diagram showing the configuration of a network resource management system according to the present invention.
           본 발명의 네트워크 자원 관리 시스템은 관리서버(10), 적어도 하나의 프라임 마스터(Prime Master)(이하, 'PM' 이라 함) 에이전트(21, 31, … ) 및 적어도  하나의 세컨더리 마스터(Secondary Master)(이하, 'SM' 이라 함) 에이전트(22, 32, … )를 구비한다.The network resource management system of the present invention includes a 
           관리 서버(10)는 관리대상 네트워크 전체에서 사용되는 네트워크 자원(예컨대 IP 주소, MAC 주소 및 호스트 ID 등)에 대한 맵핑(mapping) 정보를 수집하여 관리자에게 제공한다.  이때, 관리 서버(10)는 PM 에이전트(21, 31, … )와 주기적으로 통신하여 PM 에이전트(21, 31, … )로부터 네트워크 정보를 제공받아 이를 근거로 기 저장된 맵핑 정보를 갱신함으로써 관리자에게 가장 최근의 네트워크 정보를 제공해준다.  그리고, 관리 서버(10)는 동일 레벨의 네트워크 즉 도 1에서와 같이 동일한 라우터에 수용되어 있는 네트워크 영역(도 1에서 점선 안의 영역)(이하, '에이전트 그룹'이라 함) 별로 해당 에이전트 그룹에서 사용이 허용된 네트워크 자원에 대한 목록(예컨대, IP 주소, MAC 주소, IP-MAC 맵핑 목록 중 적어도 어느 하나)(이하, '허용 목록'이라 함)을 가지고 있는다.  이러한 허용 목록은 관리자에 의해 선별적으로 지정되며, 관리 서버(10)는 각 에이전트 그룹의 허용 목록을 해당 PM 에이전트(21, 31, … )에게 각각 제공해준다.  이때, 각 PM 에이전트(21, 31, … )로의 허용 목록 제공은 PM 에이전트(21, 31, … )로부터 제공 요청을 수신하거나 허용 목록이 새롭게 갱신된 때 이루어진다.  물론, 이외 다른 여러 가지 경우로 그 제공 시점을 조절할 수 있음은 자명한다.  예컨대, 관리 서버(10)는 허용 목록의 변경 여부와 상관없이 일정 주기로 허용 목록을 해당 PM 에이전트(21, 31, … )에게 제공해줄 수 있다.  이러한 관리 서버(10)는 관리대상 네트워크 전체에 하나만 존재한다.The 
           PM 에이전트(21, 31, … )는 각 에이전트 그룹별로 하나씩 존재하며, 어느 한 호스트가 PM 에이전트(21, 31, … )로 동작하게 되면 해당 PM 에이전트(21, 31, … )는 자신이 PM 에이전트로 동작하고 있음을 알리는 메시지를 자신이 속하는 에이전트 그룹에 브로드캐스팅한다.  그리고, PM 에이전트(21, 31, … )는 자신이 속하는 에이전트 그룹에 있는 임의의 호스트를 선택하여 SM 에이전트를 지정하고 해당 호스트로 SM 에이전트로 지정되었음을 알리는 메시지를 전송한다.  그리고, PM 에이전트(21, 31, … )는 자신이 속한 에이전트 그룹의 호스트들에 대한 네트워크 정보(IP 주소 및/또는 MAC 주소)를 수집하여 관리 서버(10)에게 제공해주고 관리 서버(10)로부터 허용 목록을 제공받는다.  이때, PM 에이전트(21, 31, … )는 PM 에이전트로서 초기 구동시 관리 서버(10)에게 허용 목록을 요청하여 제공받고 이후로는 허용 목록이 변경되었을 때 관리 서버(10)로부터 일방적으로 제공받는다.  PM 에이전트(21, 31, … )는 관리 서버(10)로부터 제공받은 허용 목록 및 자신이 수집한 네트워크 정보에 따라 허용 목록에 포함된 네트워크 자원들 사이에서만 통신이 가능하도록 호스트들의 네트워크 접속 및 통신을 선별적으로 통제한다.  특정 네트워크에 연결된 호스트들 간의 통신은 ARP를 이용하여 이루어지는데, PM 에이전트(21, 31, … )는 자신이 속한 에이전트 그룹 내에 브로드캐스트되는 ARP(Address Resource Protocol) 패킷을 캡쳐하여 관련 호스트들이 사용하고 있는 IP 주소와 MAC 주소를 수집한다.  그리고, PM 에이전트(21, 31, … )는 수집된 네트워크 정보에 근거하여 관리 서버(10)로부터 제공받은 허용 목록에 포함되어 있지 않은 자원을 사용하고자 하는 또는 사용하고 있는 호스트(이하, '차단 대상 호스트'라 함)를  검출한다.  차단 대상 호스트가 검출되면, PM 에이전트(21, 31, … )는 차단 대상 호스트의 상태를 판단하여 그 상태에 따라 차단 대상 호스트가 네트워크에 접속하는 것 자체를 차단하거나 스푸핑(spoofing)된 임의의 ARP 패킷을 이용하여 차단 대상 호스트가 정상적인 다른 호스트들과 통신할 수 없도록 통제한다.  이에 대한 설명은 상세하게 후술된다.One 
           SM 에이전트(22, 32, … )는 주기적으로 자신이 속한 에이전트 그룹에 PM 에이전트(21, 31, … )가 존재하는지 확인하여 PM 에이전트(21, 31, … )가 존재하지 않는 경우 PM 에이전트로서 동작한다.  즉, SM 에이전트(22, 32, … )는 PM 에이전트(21, 31, … )와 동일한 기능을 가지나, 이미 PM 에이전트로서 동작하고 있는 호스트가 존재하면 대기 모드로 작동하고 PM 에이전트가 존재하지 않으면 자신이 PM 에이전트로 전환하여 동작한다.  이를 위해, SM 에이전트(22, 32, … )는 주기적으로 PM 에이전트(21, 31, … )와 통신하여 PM 에이전트(21, 31, … )가 정상적으로 동작되고 있는지 확인하고 PM 에이전트(21, 31, … )가 가지고 있는 정보(허용 목록 및 수집된 네트워크 정보)를 PM 에이전트(21, 31, … )로부터 모두 제공받아 저장하고 있는다.  이러한 SM 에이전트(22, 32, … )는 PM 에이전트(21, 31, … )에 의해 임의로 지정되는데, PM 에이전트(21, 31, … )는 초기 구동시 자신이 수집한 IP 리스트들 중 랜덤하게 한 호스트를 지정하여 해당 호스트에게 SM 에이전트로 동작하라는 메시지를 전달한다.  즉, 도 1에서 네트워크에 연결된 모든 호스트들에는 상술된 PM 에이전트 또는 SM 에이전트로서 동작할 수 있는 에이전트가 설치되어 있어 어느 호스트든지 필요시 PM 에이전트 또는 SM 에이전트로서 동작할 수 있다.
           도 2는 도 1의 네트워크 자원 관리 시스템의 네트워크 자원 관리 방법을 설명하기 위한 순서도로, PM 에이전트(21)의 기능을 설명한다.FIG. 2 is a flowchart for explaining a network resource management method of the network resource management system of FIG. 1. The function of the 
           시스템 동작 초기에 처음으로 호스트가 PM 에이전트(21)로 지정되거나 SM 에이전트로 지정되었던 호스트가 PM 에이전트(21)로 전환되면, PM 에이전트(21)는 자신이 현재 PM 에이전트로 동작하고 있음을 알리는 메시지를 자신이 속하는 에이전트 그룹에 브로드캐스팅한다.  그리고, PM 에이전트(21)는 자신이 속하는 에이전트 그룹에 있는 임의의 한 호스트를 선택하여 SM 에이전트로 지정하고 해당 호스트로 SM 에이전트로 지정되었음을 알리는 메시지를 전송한다(단계 210).When the host is designated as the 
           다음에, PM 에이전트(21)는 관리 서버(10)에 접속하여 관리 서버(10)로부터 자신이 속한 에이전트 그룹에 대한 허용 목록을 제공받는다(단계 220).Next, the 
           허용 목록을 제공받은 PM 에이전트(21)는 이를 SM 에이전트(22)에게 전송해주고, 자신이 속한 에이전트 그룹에 브로드캐스팅되는 ARP 패킷들을 캡쳐하여 네트워크 정보를 수집한다(단계 230).The 
           다음에, PM 에이전트(21)는 수집된 정보를 관리 서버(10)로부터 제공받은 허용 목록과 비교하여 허용 목록에서 허용하고 있지 않은 네트워크 자원을 무단으로 사용하는 또는 사용하고자 하는 차단 대상 호스트가 있는지를 모니터링한다(단계 240).Next, the 
           즉, PM 에이전트(21)는 수집된 ARP 패킷의 발신자 정보(IP 주소, MAC 주소)와 수신자 정보(IP 주소, MAC 주소)가 허용 목록에 포함되어 있는 것인지 여부를 조사하여, 포함되어 있지 않은 IP 주소를 사용하고자 하는 호스트 또는 사용하고  있는 호스트를 차단 대상 호스트로 판단한다.That is, the 
           그리고, PM 에이전트(21)는 수집된 네트워크 정보를 주기적으로 관리 서버(10)에게 전송해준다.  도 3은 PM 에이전트(21)와 관리 서버(10) 사이에서 사용되는 메시지 포맷의 일예를 보여주는 도면으로, 도 3과 같은 메시지 포맷을 이용하여 PM 에이전트(21)와 관리 서버(10)는 허용 목록 및 네트워크 정보 전송을 수행한다.The 
           단계 240에서 차단 대상 호스트가 검출되면, PM 에이전트(21)는 해당 ARP 패킷이 Gratuitous ARP 패킷인지 여부를 먼저 확인한다(단계 250).If the blocking target host is detected in 
           본 발명에서는 차단 대상 호스트의 현재 상태에 따라 통제 방법을 달리한다. 즉, PM 에이전트(21)는 차단 대상 호스트가 아직 네트워크에 접속되어 있지 않은 상태에서 네트워크에 접속하기 위해 네트워크 설정을 시도하는 단계인지 아니면 이미 네트워크에 연결되어 있는 경우인지를 구분하여 그 상태에 따른 통제 방법을 달리한다.  이를 위해, PM 에이전트(21)는 차단 대상 호스트의 정보가 포함된 ARP 패킷이 "Gratuitous ARP" 패킷인지를 먼저 확인한다.In the present invention, the control method is changed according to the current state of the blocking target host. In other words, the 
Gratuitous ARP는 호스트가 온라인(부팅) 상태가 될 때나 IP 소프트웨어가 초기화될 때(IP 주소를 바꿨을 경우) 동일 네트워크(에이전트 그룹) 상에 같은 IP 주소를 사용하는 호스트가 존재하는지 확인하기 위해 사용되는 프로토콜이다.Gratuitous ARP is a protocol used to verify that a host with the same IP address exists on the same network (agent group) when the host is online (booted) or when the IP software is initialized (if the IP address is changed). to be.
           따라서, 단계 250에서 해당 패킷이 Gratuitous ARP 패킷인 경우, 차단 대상 호스트는 현재 네트워크 접속을 위한 네트워크 초기 설정 중이라 할 수 있다.  이러한 경우, PM 에이전트(21)는 차단 대상 호스트가 네트워크 초기 설정을 하지 못하도록 하는 임의의 ARP 응답 메시지(이미 해당 IP를 사용하고 있다는 ARP 응답 메 시지)를 생성하여 해당 Gratuitous ARP 패킷에 포함된 발신자 주소로 유니캐스트한다(단계 260).  이로써, PM 에이전트(21)는 차단 대상 호스트의 네트워크 접속 자체를 차단하는 효과를 얻게 된다.Therefore, when the packet is a Gratuitous ARP packet in 
           반면에, 단계 250에서 해당 ARP 패킷이 Gratuitous ARP 패킷이 아닌 상대방(수신자) 호스트의 MAC 주소를 요청하는 ARP 요청 메시지인 경우, PM 에이전트(21)는 차단 대상 호스트가 발신자 호스트인지 수신자 호스트인지를 확인하여 해당 호스트로 스푸핑(spoofing) 된 ARP 응답 메시지를 유니캐스트하여 해당 호스트의 ARP 캐시 테이블에 스푸핑 된 가짜 정보가 기록되도록 한다(단계 270).On the other hand, if the corresponding ARP packet in 
           즉, PM 에이전트(21)는 허용 목록에 없는 IP 주소(또는 MAC 주소)가 발신자 정보에서 발견된 경우 즉 차단 대상 호스트가 정상적인 다른 호스트로 통신을 하고자 하는 경우, 수신자 호스트에 대한 가짜 정보(가짜 수신자 MAC 주소)를 입력한 ARP 응답 메시지를 발신자 호스트(차단 대상 호스트)로 유니캐스트한다.  따라서, 차단 대상 호스트의 ARP 캐시 테이블에는 수신자 IP 주소에 대해 가짜 MAC 주소가 맵핑되어 차단 대상 호스트는 실제 수신자 호스트와 통신할 수 없게 된다.That is, the 
           그런데, PM 에이전트(21)가 스푸핑 된 ARP 응답 메시지를 차단 대상 호스트로 유니캐스트한 이후에 원래의 수신자 호스트에 의한 정상적인 ARP 응답 메시지가 차단 대상 호스트로 유니캐스트될 수 있다.  이러한 경우, 차단 대상 호스트의 ARP 캐시 테이블은 다시 실제 수신자 호스트 정보에 맞게 갱신되게 되므로 이전에 행해진 PM 에이전트(21)의 차단 행위는 아무런 소용이 없게 된다.  따라서, 이러한 문제를 방지하기 위해 PM 에이전트(21)는 스푸핑 된 ARP 응답 메시지를 복수회(예컨 대, 3회)에 걸쳐 차단 대상 호스트로 유니캐스트한다.However, after the 
           반면에, 허용 목록에 없는 IP 주소(또는 MAC 주소)가 수신자 정보에서 발견된 경우 즉 정상적인 호스트가 차단 대상 호스트로 통신을 하고자 하는 경우, PM 에이전트(21)는 수신자 호스트(차단 대상 호스트)에 대한 가짜 정보(가짜 수신자 MAC 주소)를 입력한 스푸핑 된 ARP 응답 메시지를 발신자 호스트로 유니캐스트한다.  따라서, 발신자 호스트의 ARP 캐시 테이블에는 차단 대상 호스트의 IP 주소에 대해 가짜 MAC 주소가 맵핑되어 기록됨으로써 차단 대상 호스트와의 통신이 차단된다.  이 경우에도, 상술한 것과 동일한 이유로 PM 에이전트(21)는 스푸핑 된 ARP 응답 메시지를 복수회(예컨대, 3회)에 걸쳐 발신자 호스트로 유니캐스트한다.On the other hand, if an IP address (or MAC address) that is not in the allow list is found in the receiver information, that is, if a normal host wants to communicate with the blocked target host, the 
           이러한 PM 에이전트(21)의 동작은 PM 에이전트(21)에 이상이 발생되어 PM 에이전트(21)로서의 동작이 종료될 때까지 계속 반복 수행된다(단계 280).The operation of the 
           도 4는 PM 에이전트(21)와 SM 에이전트(22)의 사이의 동작을 설명하기 위한 순서도로, SM 에이전트의 기능을 중심으로 설명한다.FIG. 4 is a flowchart for explaining the operation between the 
           PM 에이전트(21)에 의해 동일 에이전트 그룹에 속해 있는 호스트들 중 어느 하나가 SM 에이전트(22)로 지정되면(단계 410), SM 에이전트(22)는 PM 에이전트(21)가 관리 서버(10)로부터 제공받은 허용 목록을 PM 에이전트(21)로부터 제공받아 저장한다(단계 420).  즉, SM 에이전트(22)는 PM 에이전트(21)와 동일하게 정보를 공유하면서 언제든지 PM 에이전트로서 기능을 수행할 수 있도록 준비된다.  이때, SM 에이전트로의 허용 목록 전송은 반드시 해당 호스트가 SM 에이전트(22)로서 동작하는 초기에만 이루어지는 것이 아니라 정기적으로 또는 필요시마다 비 정기적 으로 이루어질 수 있다.If one of the hosts belonging to the same agent group by the 
           이러한 SM 에이전트(22)는 주기적으로 PM 에이전트(21)와 통신하여 PM 에이전트(21)가 정상적으로 동작하고 있는지를 확인한다(단계 430).The 
           도 5는 PM 에이전트(21)와 SM 에이전트(22) 사이에서 사용되는 통신 메시지 포맷을 나타내는 도면으로, 도 5와 같은 메시지 포맷을 이용하여 SM 에이전트(22)는 PM 에이전트(21)와 통신하여 필요한 정보를 제공받고 PM 에이전트(21)의 정상동작 여부를 확인하게 된다.5 is a diagram illustrating a communication message format used between the 
           PM 에이전트(21)와의 주기적인 통신이 정상적으로 이루어지면(단계 430), SM 에이전트(22)는 대기 모드 상태를 유지하며 단계 420 및 단계 430의 동작을 반복 수행한다(단계 440).When periodic communication with the 
           그러나, 단계 430에서 PM 에이전트(21)와의 주기적인 통신이 정상적으로 이루어지지 않으면 즉 PM 에이전트(21)로부터 일정 시간 동안 응답이 없는 경우, SM 에이전트(22)는 PM 에이전트(21)에 이상이 발생했다고 판단하여 자신이 PM 에이전트로 모드 전환한 후 PM 에이전트로서 동작한다(단계 450).However, if the periodic communication with the 
           이때, PM 에이전트로 전환된 SM 에이전트(이하, '새 PM 에이전트'라 함)(22)는 먼저 자신이 새로운 PM 에이전트가 되었음을 알리는 메시지를 에이전트 그룹에 브로드캐스트하고 관리 서버(10)에게 통보한다.  그리고, 새 PM 에이전트(22)는 다시 다른 호스트들 중 어느 하나를 새로운 SM 에이전트로 지정한 후 자신이 가지고 있는 정보(허용 목록)를 지정된 SM 에이전트로 전송해준다.At this time, the SM agent (hereinafter referred to as a "new PM agent") 22 converted to the PM agent first broadcasts a message indicating that it is a new PM agent to the agent group and notifies the 
           이 후 새 PM 에이전트(22)의 동작들은 상술된 도 2에서의 PM 에이전트(21)의  동작들과 동일하다.The operations of the 
           단계 410에서 SM 에이전트로 지정되지 않은 다른 호스트들은 SM 에이전트로 지정되었음을 알리는 메시지를 수신할 때까지 통상적인 호스트로서 동작하게 된다(단계 460).Other hosts not designated as SM agents in 
상술된 실시예에서는 허용 목록으로 특정 IP 주소들을 지정하여 해당 IP 주소들만 사용이 가능하도록 하고 있으나, 허용 목록으로 IP-MAC 맵핑 정보를 지정하는 경우 특정 MAC 주소를 갖는 호스트만이 특정 IP 주소를 사용할 수 있도록 통제할 수도 있다. 이러한 경우, 중요한 서버에 할당된 IP 주소는 지정된 MAC 주소를 갖는 특정 컴퓨터만이 사용 가능하도록 한정시킴으로써 안정된 서비스 제공이 가능해진다.In the above-described embodiment, specific IP addresses are designated as allow lists so that only those IP addresses can be used. However, when IP-MAC mapping information is specified as allow lists, only hosts with specific MAC addresses can use specific IP addresses. It can also be controlled. In such a case, the IP address assigned to the critical server can be provided with a stable service by restricting it to only a specific computer having a designated MAC address.
상술한 바와 같이, 본 발명의 네트워크 자원 관리 시스템은 현재의 네트워크 설정을 변경하지 않으면서 임의의 호스트가 허가받지 않고 네트워크 자원을 무단으로 사용하는 것을 방지할 수 있다.As described above, the network resource management system of the present invention can prevent unauthorized use of network resources without unauthorized access by any host without changing the current network settings.
Claims (21)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title | 
|---|---|---|---|
| KR1020060023191A KR101099083B1 (en) | 2006-03-13 | 2006-03-13 | Network resource management system and method | 
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title | 
|---|---|---|---|
| KR1020060023191A KR101099083B1 (en) | 2006-03-13 | 2006-03-13 | Network resource management system and method | 
Publications (2)
| Publication Number | Publication Date | 
|---|---|
| KR20070093257A KR20070093257A (en) | 2007-09-18 | 
| KR101099083B1 true KR101099083B1 (en) | 2011-12-26 | 
Family
ID=38687592
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date | 
|---|---|---|---|
| KR1020060023191A Active KR101099083B1 (en) | 2006-03-13 | 2006-03-13 | Network resource management system and method | 
Country Status (1)
| Country | Link | 
|---|---|
| KR (1) | KR101099083B1 (en) | 
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title | 
|---|---|---|---|---|
| KR101018029B1 (en) * | 2010-10-18 | 2011-03-02 | 스콥정보통신 주식회사 | How to block and release communication between network devices | 
| KR101270041B1 (en) | 2011-10-28 | 2013-05-31 | 삼성에스디에스 주식회사 | System and method for detecting arp spoofing | 
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title | 
|---|---|---|---|---|
| KR100478910B1 (en) | 2002-07-05 | 2005-03-28 | 스콥정보통신 주식회사 | IP collision detection/ Interseption method thereof | 
| KR100528171B1 (en) * | 2005-04-06 | 2005-11-15 | 스콥정보통신 주식회사 | Ip management method and apparatus for protecting/blocking specific ip address or specific device on network | 
| KR100839941B1 (en) | 2007-01-08 | 2008-06-20 | 성균관대학교산학협력단 | Abnormal ISP traffic control system using IP setting information and session information and control method thereof | 
- 
        2006
        - 2006-03-13 KR KR1020060023191A patent/KR101099083B1/en active Active
 
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title | 
|---|---|---|---|---|
| KR100478910B1 (en) | 2002-07-05 | 2005-03-28 | 스콥정보통신 주식회사 | IP collision detection/ Interseption method thereof | 
| KR100528171B1 (en) * | 2005-04-06 | 2005-11-15 | 스콥정보통신 주식회사 | Ip management method and apparatus for protecting/blocking specific ip address or specific device on network | 
| KR100839941B1 (en) | 2007-01-08 | 2008-06-20 | 성균관대학교산학협력단 | Abnormal ISP traffic control system using IP setting information and session information and control method thereof | 
Also Published As
| Publication number | Publication date | 
|---|---|
| KR20070093257A (en) | 2007-09-18 | 
Similar Documents
| Publication | Publication Date | Title | 
|---|---|---|
| US7636775B2 (en) | Digital network modem with an integrated DHCP server | |
| US7890658B2 (en) | Dynamic address assignment for access control on DHCP networks | |
| JP4664143B2 (en) | Packet transfer apparatus, communication network, and packet transfer method | |
| KR20080090834A (en) | Network switch and address conflict prevention method | |
| CN101611608A (en) | Method and system for restricting communication of one node with other nodes in broadcast domain of IP (Internet protocol) network | |
| CN105959282A (en) | Protection method and device for DHCP attack | |
| CN103595638B (en) | A kind of MAC address learning method and device | |
| JP4636345B2 (en) | Security policy control system, security policy control method, and program | |
| EP2218214B1 (en) | Network location service | |
| KR20110008311A (en) | Methods and Devices for Managing a Network | |
| US20050198242A1 (en) | System and method for detection/interception of IP collision | |
| US8379514B2 (en) | Route reflector for a communication system | |
| Alasadi et al. | SSED: Servers under software-defined network architectures to eliminate discovery messages | |
| KR101099083B1 (en) | Network resource management system and method | |
| WO2017028391A1 (en) | Virtual network communication method and apparatus | |
| KR100920739B1 (en) | Denial of Service / Distributed Denial of Service Attack Systems | |
| KR20110059919A (en) | Method and apparatus for managing network access for limiting abnormal behavior terminal using web redirect | |
| CN105610619B (en) | A kind of network element managing method and apparatus | |
| KR100478910B1 (en) | IP collision detection/ Interseption method thereof | |
| Cisco | Mobile IP MIB Support for SNMP | |
| KR100591554B1 (en) | Communication Control Method According to Network Resource Management Policy | |
| KR101993875B1 (en) | Method, system and computer program for host secretion in software defined networking environment | |
| JP4274380B2 (en) | Area information management server device, SIP server device, area information management method | |
| JP7702889B2 (en) | Multicast relay device, multicast relay system, and multicast relay method | |
| KR20050029800A (en) | Network connection control method | 
Legal Events
| Date | Code | Title | Description | 
|---|---|---|---|
| PA0109 | Patent application | Patent event code: PA01091R01D Comment text: Patent Application Patent event date: 20060313 | |
| PG1501 | Laying open of application | ||
| A201 | Request for examination | ||
| PA0201 | Request for examination | Patent event code: PA02012R01D Patent event date: 20100318 Comment text: Request for Examination of Application Patent event code: PA02011R01I Patent event date: 20060313 Comment text: Patent Application | |
| E902 | Notification of reason for refusal | ||
| PE0902 | Notice of grounds for rejection | Comment text: Notification of reason for refusal Patent event date: 20110322 Patent event code: PE09021S01D | |
| E701 | Decision to grant or registration of patent right | ||
| PE0701 | Decision of registration | Patent event code: PE07011S01D Comment text: Decision to Grant Registration Patent event date: 20111128 | |
| GRNT | Written decision to grant | ||
| PR0701 | Registration of establishment | Comment text: Registration of Establishment Patent event date: 20111220 Patent event code: PR07011E01D | |
| PR1002 | Payment of registration fee | Payment date: 20111221 End annual number: 3 Start annual number: 1 | |
| PG1601 | Publication of registration | ||
| FPAY | Annual fee payment | Payment date: 20151210 Year of fee payment: 5 | |
| PR1001 | Payment of annual fee | Payment date: 20151210 Start annual number: 5 End annual number: 5 | |
| FPAY | Annual fee payment | Payment date: 20171213 Year of fee payment: 7 | |
| PR1001 | Payment of annual fee | Payment date: 20171213 Start annual number: 7 End annual number: 7 | |
| FPAY | Annual fee payment | Payment date: 20181212 Year of fee payment: 8 | |
| PR1001 | Payment of annual fee | Payment date: 20181212 Start annual number: 8 End annual number: 8 | |
| FPAY | Annual fee payment | Payment date: 20191220 Year of fee payment: 9 | |
| PR1001 | Payment of annual fee | Payment date: 20191220 Start annual number: 9 End annual number: 9 | |
| PR1001 | Payment of annual fee | Payment date: 20201217 Start annual number: 10 End annual number: 10 | |
| PR1001 | Payment of annual fee | Payment date: 20211216 Start annual number: 11 End annual number: 11 | |
| PR1001 | Payment of annual fee | Payment date: 20221219 Start annual number: 12 End annual number: 12 | |
| PR1001 | Payment of annual fee | Payment date: 20231219 Start annual number: 13 End annual number: 13 | |
| PR1001 | Payment of annual fee | Payment date: 20241219 Start annual number: 14 End annual number: 14 |