KR101134217B1 - Security policy encycripting method and Intrusion Prevention System for implementing the method - Google Patents

Security policy encycripting method and Intrusion Prevention System for implementing the method Download PDF

Info

Publication number
KR101134217B1
KR101134217B1 KR1020050050184A KR20050050184A KR101134217B1 KR 101134217 B1 KR101134217 B1 KR 101134217B1 KR 1020050050184 A KR1020050050184 A KR 1020050050184A KR 20050050184 A KR20050050184 A KR 20050050184A KR 101134217 B1 KR101134217 B1 KR 101134217B1
Authority
KR
South Korea
Prior art keywords
security policy
policy data
encryption
pattern information
module
Prior art date
Application number
KR1020050050184A
Other languages
Korean (ko)
Other versions
KR20060129618A (en
Inventor
홍오영
Original Assignee
주식회사 엘지씨엔에스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엘지씨엔에스 filed Critical 주식회사 엘지씨엔에스
Priority to KR1020050050184A priority Critical patent/KR101134217B1/en
Publication of KR20060129618A publication Critical patent/KR20060129618A/en
Application granted granted Critical
Publication of KR101134217B1 publication Critical patent/KR101134217B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

시그너처 기반의 침입탐지시스템에서 보안정책이 간파당하지 않도록 보안성을 강화하는 방법 및 이러한 방법을 구현하는 침입탐지시스템이 제공된다. 이를 구현하기 위한 보안정책 암호화 방법은, 업데이트된 보안정책 데이터를 다운로드받는 단계와, 다운로드받은 보안정책 데이터의 특정 항목을 암호화하여 보안정책 데이터베이스에 저장하는 단계로 이루어지는 보안정책 암호화 단계 및 상기 보안정책 데이터베이스로부터 보안정책 데이터를 읽어오는 단계와, 읽어온 보안정책 데이터의 암호화된 특정 항목을 복호화하는 단계와, 복호화된 보안정책 데이터를 통해 유입되는 트래픽을 검사하는 단계로 이루어지는 보안정책 복호화 단계를 포함하여 이루어진다. 이로써, 권한없는 자가 보안정책 데이터베이스의 사용자 인증을 통과하였더라도 인증키 없이는 보안정책의 핵심 내용을 복호화할 수 없도록 하여 2중의 보안성을 유지할 수 있다.In the signature-based intrusion detection system, there is provided a method of strengthening security so that a security policy is not caught and an intrusion detection system implementing the method. The security policy encryption method for implementing the security policy encryption step comprising the step of downloading the updated security policy data, and encrypting a specific item of the downloaded security policy data stored in the security policy database and the security policy database And a security policy decryption step of reading security policy data from the server, decrypting a specific encrypted item of the security policy data read, and inspecting traffic flowing through the decrypted security policy data. . As a result, even if an unauthorized person passes the user authentication of the security policy database, double security can be maintained by not being able to decrypt the core content of the security policy without the authentication key.

침입탐지시스템, IDS, IPS, 보안정책, 암호화, 패턴 정보 Intrusion Detection System, IDS, IPS, Security Policy, Encryption, Pattern Information

Description

보안정책의 암호화 방법 및 그 방법을 구현하는 침입탐지시스템 {Security policy encycripting method and Intrusion Prevention System for implementing the method}Security policy encycripting method and Intrusion Prevention System for implementing the method

도 1은 침입탐지시스템의 일반적인 네트워크 구성도.1 is a general network diagram of an intrusion detection system.

도 2는 본 발명에 의한 침입탐지시스템의 내부 구성을 나타내는 블럭도.Figure 2 is a block diagram showing the internal configuration of the intrusion detection system according to the present invention.

도 3은 본 발명이 적용되는 보안정책 데이터의 각 항목 구성도.Figure 3 is a block diagram of each item of security policy data to which the present invention is applied.

도 4는 본 발명에 의한 보안정책 암호화 방법을 순차적으로 도시한 플로우챠트.4 is a flowchart sequentially illustrating a security policy encryption method according to the present invention.

본 발명은 시그너처(Signature) 기반의 침입탐지시스템(IPS;Intrusion Preventing System/IDS;Instrusion Detecting System)에서 보안정책이 간파당하지 않도록 보안성을 강화하는 방법에 관한 것으로서, 더욱 상세하게는 업데이트된 보안정책 데이터를 다운로드받는 단계와, 다운로드받은 보안정책 데이터의 특정 항목 을 암호화하여 보안정책 데이터베이스에 저장하는 단계로 이루어지는 보안정책 암호화 단계 및 상기 보안정책 데이터베이스로부터 보안정책 데이터를 읽어오는 단계와, 읽어온 보안정책 데이터의 암호화된 특정 항목을 복호화하는 단계와, 복호화된 보안정책 데이터를 통해 유입되는 트래픽을 검사하는 단계로 이루어지는 보안정책 복호화 단계를 포함하여 이루어지는 보안정책 암호화 방법에 관한 것이다.The present invention relates to a method of strengthening security so that a security policy is not caught in a signature-based intrusion prevention system (IPS; Intrusion Prevention System) (IDS), and more particularly, an updated security policy. A security policy encryption step comprising downloading data, encrypting a specific item of the downloaded security policy data, and storing the data in a security policy database; reading security policy data from the security policy database; It relates to a security policy encryption method comprising the step of decrypting a specific encrypted item of data, and the step of decrypting the security policy consisting of inspecting the traffic flowing through the decrypted security policy data.

시그너처(Signature) 기반 침입탐지시스템은 네트워크 트래픽의 유입 통로에 설치되어 해당 침입탐지시스템을 통과하는 모든 네트워크 트래픽을 검사하고, 유해성 여부 내지 침입 여부를 판단한 후, 유해 트래픽으로 판단된 경우 관리자에게 이를 통지하는 동시에 해당 트래픽을 차단한다. 이러한 침입탐지시스템은 탐지 모듈, 관리 모듈, 업데이트 모듈 등 3개의 구성요소를 특히 포함하여 이루어지며, 이 중 탐지 모듈은 네트워크의 트래픽 검사, 공격 여부 판단 및 트래픽 차단의 기능을 담당하고, 관리 모듈은 보안정책을 관리하고 이를 탐지 모듈에 적용토록 하며, 업데이트 모듈은 소정의 보안정책 업데이트 서버로부터 신규 보안정책 데이터를 다운로드 받아 갱신시킨다.The signature-based intrusion detection system is installed in the inflow path of network traffic, inspects all network traffic passing through the intrusion detection system, determines whether it is harmful or invasive, and notifies the administrator when it is determined to be harmful traffic. At the same time, it blocks the traffic. The intrusion detection system includes three components in particular, a detection module, a management module, and an update module. Among these, the detection module is responsible for inspecting network traffic, determining whether to attack, and blocking traffic. The security policy is managed and applied to the detection module. The update module downloads and updates new security policy data from a predetermined security policy update server.

이러한 침입방지시스템의 네트워크 구성은 도 1에서 확인해 볼 수 있으며, 이를 참고하여 종래 침입탐지시스템의 동작을 살펴보면 다음과 같다.The network configuration of such an intrusion prevention system can be seen in FIG. 1. Referring to this, the operation of the conventional intrusion detection system will be described below.

즉, 침입방지시스템(100)의 업데이트 모듈이 인터넷상의 업데이트 서버(110)에 신규 보안정책 데이터를 다운로드 요청하고 이를 전송받아 로컬의 하드 디스크에 임시 저장한다. 이제 관리 모듈은 저장된 보안정책 데이터를 메모리에 읽어들인 후 ADO, DAO, RDO 등의 인터페이스를 통해 소정의 보안정책 데이터베이스(101)를 갱신한다. 이러한 데이터베이스(101)는 물론 하드 디스크 자체에 구비될 수도 있다. 탐지 모듈이 동작함에 따라 관리 모듈은 상기 데이터베이스(101)로부터 보안정책을 추출하여 탐지 모듈에 제공하고, 탐지 모듈은 이를 참고하여 유입되는 트래픽의 공격성 또는 유해성을 검사 및 차단한다.That is, the update module of the intrusion prevention system 100 requests to download new security policy data to the update server 110 on the Internet, receives the data, and temporarily stores them in a local hard disk. The management module now reads the stored security policy data into memory and updates the predetermined security policy database 101 through an interface such as ADO, DAO, RDO, and the like. Such a database 101 may of course be provided in the hard disk itself. As the detection module operates, the management module extracts a security policy from the database 101 and provides the detection module to the detection module, which detects and blocks the aggression or harmfulness of the incoming traffic with reference thereto.

이때, 상기 보안정책 데이터베이스(101)는 DBMS(DataBase Management System)를 통해 유지 관리되는 것이 일반적이며, DBMS에 접근하기 위해서는 소정의 사용자 인증 과정을 거치도록 되어 있으므로 상식적으로는 정당한 패스워드를 모르는 상태에서는 DBMS에 접근할 수 없었고 결국 당해 시스템에 적용된 보안정책 역시 알 수가 없었다. 다만, 그럼에도 불구하고 DBMS의 패스워드 입수는 상대적으로 엄격하지 않은 관계로 보안에 관련한 권한이 없는 자가 용이하게 DBMS에 접근하여 시스템의 보안정책을 열람하거나 이를 유출할 수 있었고, 이로인해 보안상의 헛점이 노출되는 문제가 발생하였다.In this case, the security policy database 101 is generally maintained through a DBMS (DataBase Management System), and in order to access the DBMS, a predetermined user authentication process is performed. Was not accessible, and the security policy applied to the system was not known. Nevertheless, the password acquisition of the DBMS is relatively insignificant. Therefore, a non-security-related person can easily access the DBMS to read or leak the system security policy, thereby exposing security holes. There was a problem.

본 발명은 위와 같은 문제점을 해결하기 위해 제안된 것으로서, 업데이트되는 보안정책 데이터의 핵심 부분을 암호화하여 저장함으로써 권한 없는 자가 보안정책 데이터베이스의 관리자 인증을 통과한 경우라도 보안정책 데이터를 복호화 하지 않는 한 원하는 내용을 파악할 수 없도록 하여 보안성을 강화하는 데에 그 목적이 있다.The present invention has been proposed to solve the above problems, by encrypting and storing the core portion of the security policy data to be updated, even if an unauthorized person passes the administrator authentication of the security policy database, unless desired decrypt the security policy data The purpose is to strengthen the security by not being able to grasp the contents.

위와 같은 목적을 달성하기 위한 본 발명의 침입탐지시스템은, 보안정책 업데이트 서버로부터 신규 보안정책 데이터를 다운로드 받는 업데이트 모듈과, 상기 다운로드 받은 신규 보안정책 데이터의 특정 항목을 암호화하는 암호화 모듈과, 소정의 보안정책 데이터베이스를 유지 관리하며, 상기 암호화된 신규 보안정책 데이터를 전달받아 보안정책 데이터베이스를 갱신하는 관리 모듈과, 상기 관리 모듈을 통해 추출된 보안정책 데이터에 대하여 복호화를 수행하는 복호화 모듈과, 상기 복호화 모듈로부터 보안정책 데이터를 전달받아 시스템에 유입되는 트래픽을 검사하고, 공격성이 있는 트래픽에 대해 이를 차단하는 탐지 모듈을 포함하여 이루어진다. Intrusion detection system of the present invention for achieving the above object, an update module for downloading new security policy data from the security policy update server, an encryption module for encrypting a specific item of the downloaded new security policy data, and a predetermined A management module which maintains a security policy database, receives the encrypted new security policy data, and updates a security policy database, a decryption module which decrypts the security policy data extracted through the management module, and the decryption; It includes a detection module that receives the security policy data from the module, inspects the traffic flowing into the system, and blocks the attack traffic.

여기서, 상기 암호화된 특정 항목은 유해 트래픽의 패턴 정보 항목일 수 있으며, 상기 패턴 정보 항목이 소정의 문자열로 이루어진 경우라면 상기 암호화는 패턴 정보 항목을 소정의 암호화 알고리즘에 의해 16진수 문자열로 변환하는 것일 수 있다.Herein, the encrypted specific item may be a pattern information item of harmful traffic, and if the pattern information item is a predetermined string, the encryption is to convert the pattern information item into a hexadecimal string by a predetermined encryption algorithm. Can be.

또한, 본 발명에 의한 시그너처(Signature) 기반의 침입탐지시스템(IPS/IDS)에서 보안정책에 보안성을 강화하는 방법은, 업데이트된 보안정책 데이터를 다운로드받는 단계와, 다운로드받은 보안정책 데이터의 특정 항목을 암호화하여 보안정책 데이터베이스에 저장하는 단계로 이루어지는 보안정책 암호화 단계 및 상기 보안정책 데이터베이스로부터 보안정책 데이터를 읽어오는 단계와, 읽어온 보안정책 데이터의 암호화된 특정 항목을 복호화하는 단계와, 복호화된 보안정책 데이터를 통해 유입되는 트래픽을 검사하는 단계로 이루어지는 보안정책 복호화 단계를 포함하여 이루어진다. In addition, in the signature-based intrusion detection system (IPS / IDS) according to the present invention, a method for enhancing security of a security policy includes downloading the updated security policy data and specifying the downloaded security policy data. Encrypting an item and storing it in a security policy database; reading security policy data from the security policy database; decrypting an encrypted specific item of the read security policy data; It includes a security policy decryption step consisting of inspecting the traffic flowing through the security policy data.

이하, 본 발명의 명세서에 첨부된 도면을 참고하여 바람직한 실시예에 대해 설명해 보면 다음과 같다.Hereinafter, with reference to the accompanying drawings of the present invention will be described a preferred embodiment as follows.

도 2는 본 발명에 의한 침입탐지시스템의 내부 구성을 나타내는 블럭도이다.2 is a block diagram showing the internal configuration of an intrusion detection system according to the present invention.

업데이트 모듈(201)은 인터넷으로 연결된 보안정책 업데이트 서버(110)로부터 최신 버전의 보안정책 데이터를 다운로드 받는다. 이때, 업데이트 서버(110)에서 보안정책 데이터가 업데이트될 때마다 침입탐지시스템(100)으로 해당 데이터를 푸시해주면 업데이트 모듈(201)이 이를 단순히 수신할 수도 있고, 업데이트 모듈(201)이 소정의 주기에 따라 보안정책 업데이트 서버(110)에 버전 정보를 요청하고 자신의 버전과 비교하여 업데이트 서버(110)의 버전이 상위인 경우에만 보안정책 데이터를 요청하여 다운받을 수도 있다.The update module 201 downloads the latest version of the security policy data from the security policy update server 110 connected to the Internet. At this time, whenever the security policy data is updated in the update server 110, if the data is pushed to the intrusion detection system 100, the update module 201 may simply receive it, and the update module 201 may perform a predetermined cycle. As a result, the security policy update server 110 requests version information and compares it with its own version to request and download the security policy data only when the version of the update server 110 is higher.

이와 같은 보안정책 데이터는 공격성 트래픽 또는 유해 트래픽을 탐지하기 위한 소정의 정보들을 항목별로 포함하고 있으며, 도 3은 이러한 보안정책 데이터의 각 항목에 대한 구성을 도시하고 있다. Such security policy data includes predetermined information for detecting aggressive traffic or harmful traffic by item, and FIG. 3 shows a configuration of each item of the security policy data.

본 발명에 의한 침입탐지시스템은 보안정책 데이터(시그너처; Signature)를 기반으로 하여 서버 단위로 네트워크 접근을 제어하며, 또한 원거리 호스트 ID(IP 주소)에 기반하여 시스템에 대한 접근을 제어한다. The intrusion detection system according to the present invention controls network access on a server basis based on security policy data (signature) and also controls access to the system based on a remote host ID (IP address).

즉, 보안정책 데이터의 소스 IP 어드레스(301), 목적지 IP 어드레스(302) 및 프로토콜 종류(305)를 참고하여 모든 데이터 패킷이 송신자와 수신자의 인터넷 주소를 포함한 표준 인터넷 프로토콜을 준수하여는지를 검사하고, 패턴 정보(307) 또는 룰 셋(Rule Set)을 참고하여 그와 같이 정의된 보안정책에 의해 송신자가 수신자 측으로 흐르는 네트워크 트래픽을 허용할 것인지 아니면 허용하지 않을 것인지를 결정한다. 따라서, 침입차단시스템은 이러한 규칙에 의거해 특정 시스템이나 내부 네트워크로 접근하는 부적절한 패킷을 버린다. 이러한 패턴 정보(307)는 종류에 따라 그 길이가 가변적일 수 있으므로 패턴 정보(307)의 종료점을 명시하기 위해 패턴 정보 길이(306)가 지정된다. In other words, the source IP address 301, the destination IP address 302, and the protocol type 305 of the security policy data are referred to to check whether all data packets conform to the standard Internet protocol including the sender and receiver Internet addresses. By referring to the pattern information 307 or the rule set, it is determined whether or not to allow the network traffic flowing to the receiver by the security policy defined as such. Therefore, intrusion prevention system discards inappropriate packets that reach specific system or internal network based on these rules. Since the length of the pattern information 307 may vary depending on the type, the pattern information length 306 is designated to specify an end point of the pattern information 307.

또한, 소스 포트 번호(303)를 통해 좀 더 세밀하게 네트워크 트래픽을 제어할 수 있는데, 패킷 헤더에는 포트(port)라 불리는 통신채널이 명시되어 있으므로 이 정보를 바탕으로 내부 네트워크에 속한 특정 호스트에의 접근뿐만 아니라, 특정 호스트가 제공하는 서비스(FTP, Telnet 등)의 접근 여부까지도 제어할 수 있다. 물론, 보안정책 데이터에는 위와 같은 항목들(301~307) 외에도 트래픽 제어에 필요한 다른 정보들이 더 포함될 수 있음은 당업자에게 자명하다.In addition, network traffic can be controlled more precisely through the source port number 303. In the packet header, a communication channel called a port is specified. In addition to access, you can also control whether a service provided by a specific host (FTP, Telnet, etc.) is accessible. Of course, it will be apparent to those skilled in the art that the security policy data may further include other information necessary for traffic control in addition to the above items 301 to 307.

암호화 모듈(203)은 보안정책 업데이트 서버(110)로부터 다운로드 받은 신규 보안정책 데이터 중의 특정 항목을 소정의 암호화 알고리즘에 대입하여 암호화한다. 이러한 암호화 알고리즘은 제3자가 자료를 취득하더라도 그 내용을 알 수 없도록 암호화 하는 것을 말하며, 그 종류로는 비밀키(대칭키) 방식인 DES와 공개키(비대칭키) 방식인 RSA 방식이 대표적이나 반드시 이에 한정하는 것은 아니며 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 자명한 암호화 알고리즘이 사 용될 수 있다. 본 발명에서는 보안정책 데이터 중 특히 보안정책에 직접적으로 관련되는 패턴 정보 항목(307)을 암호화하되, 이러한 패턴 정보가 미리 정의된 문자열인 경우라면 이를 16진수의 문자열로 변환하여 데이터베이스(101)에 용이하게 저장할 수 있도록 한다.The encryption module 203 encrypts a specific item in the new security policy data downloaded from the security policy update server 110 by using a predetermined encryption algorithm. This encryption algorithm means that the contents are encrypted even if a third party acquires the data. The types of encryption algorithms are DES, which is a secret key (symmetric key), and an RSA method, which is a public key (asymmetric key) method. The present invention is not limited thereto, and encryption algorithms apparent to those of ordinary skill in the art may be used. According to the present invention, the pattern information item 307, which is directly related to the security policy, is encrypted among the security policy data. However, if the pattern information is a predefined string, the pattern information item 307 is converted into a hexadecimal string to facilitate the database 101. To be stored.

관리 모듈(205)은 허가된 관리자만이 접근할 수 있도록 사용자 인증 기능을 제공하고, 소정의 조건식이 입력됨에 따라 쿼리 기능을 통해 해당하는 데이터를 추출하여 제공하는 등의 유지 관리 역할을 담당한다. 본 발명에서는 특히 상기 암호화된 신규 보안정책 데이터를 전송받아 보안정책 데이터베이스(101)를 갱신한다.The management module 205 provides a user authentication function so that only authorized administrators have access, and performs a maintenance role of extracting and providing corresponding data through a query function as a predetermined conditional expression is input. In the present invention, in particular, the encrypted new security policy data is received to update the security policy database 101.

복호화 모듈(207)은 관리 모듈(205)을 통해 추출된 특정 보안정책 데이터에 대하여 복호화를 수행하며, 이는 암호화 모듈(203)에 의해 암호화된 특정 항목에 대해 수행된다. 여기서, 복화화 과정에 사용되는 비밀키 또는 공개키는 관리자에 의해 손수 입력받을 수도 있으나, 상기 추출된 보안정책 데이터가 탐지 모듈에 전달되는 과정에서 자동으로 입력될 수도 있다. 이때, 데이터베이스(101)에 접근 권한을 가진 자가 보안정책 데이터를 열람 또는 출력하는 경우에는 아직 위와 같은 복호화 과정이 수행되지 않은 단계이므로, 사용자는 해당 보안정책 데이터로부터 어떠한 보안정책도 파악할 수 없게 된다.The decryption module 207 decrypts the specific security policy data extracted through the management module 205, which is performed on the specific item encrypted by the encryption module 203. Here, the secret key or the public key used in the decryption process may be manually input by the administrator, or may be automatically input while the extracted security policy data is transmitted to the detection module. At this time, when a person having access to the database 101 reads or outputs the security policy data, the user cannot grasp any security policy from the corresponding security policy data since the decryption process has not yet been performed.

탐지 모듈(209)은 복호화 모듈(207)로부터 전송된 복호화된 보안정책 데이터를 참고하여 시스템에 유입되는 트래픽을 검사하고, 공격성이 있는 트래픽으로 판단되는 경우에는 해당 트랙픽을 차단한다. 이때, 선택적으로는 사용자에게 해당 트래픽에 대한 차단 사실 및 관련 정보를 통지해주는 기능을 더 포함할 수도 있다.The detection module 209 examines the traffic flowing into the system with reference to the decrypted security policy data transmitted from the decryption module 207, and blocks the traffic if it is determined to be aggressive traffic. At this time, it may optionally further include a function of notifying the user of the fact that the traffic is blocked and related information.

이제 본 발명에 의한 보안정책 암호화 방법을 도 4를 참조하여 순차적으로 살펴보기로 한다.Now, the security policy encryption method according to the present invention will be described sequentially with reference to FIG.

인터넷을 통해 보안정책 업데이트 서버(110)로부터 업데이트된 보안정책 데이터를 다운로드 받은 침입탐지시스템(100)은(S401), 해당 보안정책 데이터를 분석하여 패턴 정보(307)를 포함하고 있는지를 파악한다(S403). 만약 패턴 정보(307)가 포함되지 않은 경우라면 곧바로 보안정책 데이터베이스(101)에 저장하여 이를 갱신할 것이지만(S407), 패턴 정보(307)가 포함된 경우라면 이를 소정의 암호화 알고리즘에 대입하여 암호화한 후(S405) 보안정책 데이터베이스(101)에 저장한다(S407). 이로써, 보안정책 암호화 단계가 마무리된다.The intrusion detection system 100 which has downloaded the updated security policy data from the security policy update server 110 through the Internet (S401) analyzes the security policy data to determine whether the pattern information 307 is included ( S403). If the pattern information 307 is not included, it is immediately stored in the security policy database 101 and updated (S407). If the pattern information 307 is included, the pattern information 307 is encrypted by assigning it to a predetermined encryption algorithm. After (S405) and stored in the security policy database 101 (S407). This concludes the security policy encryption step.

다음으로, 보안정책 데이터베이스(101)로부터 보안정책 데이터를 읽어와서(S409), 현재 암호화되어 있는 패턴 정보(307)를 추출한 후 소정의 복호화 알고리즘에 대입하고(S411), 이어서 해당 항목(307)이 복호화된 정보로 대체된 보안정책 데이터를 참조하여 유입되는 트래픽에 대해 공격성 내지 유해성 여부를 검사한다(S413). 여기까지가 보안정책 복호화 단계이며, 여기에 그 탐지된 유해 트래픽을 차단함과 동시에 사용자에게 차단 사실 및 해당 트래픽에 관련된 정보를 통지하는 단계가 더 포함될 수 있다(S415).Next, the security policy data is read from the security policy database 101 (S409), the pattern information 307 that is currently encrypted is extracted, and then substituted into a predetermined decryption algorithm (S411). The incoming traffic is examined with reference to the security policy data replaced with the decrypted information to check whether it is aggressive or harmful (S413). Up to this point, the security policy decryption step may further include notifying the user of the fact of blocking and information related to the traffic while blocking the detected harmful traffic (S415).

이상, 본 발명의 상세한 설명에서는 구체적인 실시예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시예에 국한되지 않으며, 후술 되는 특허 청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 할 것이다.In the foregoing detailed description of the present invention, specific embodiments have been described, but various modifications are possible without departing from the scope of the present invention. Therefore, the scope of the present invention should not be limited to the described embodiments, but should be defined not only by the appended claims, but also by the equivalents of the claims.

이와 같은 구성 단계를 가지는 본 발명에 의하면 암호화된 보안정책 데이터로 인해, 권한 없는 자가 어떠한 이유로 인해 보안정책 데이터베이스의 관리자 인증 과정을 통과한 경우라 하더라도 복호화를 거치지 않고서는 보안정책 데이터를 파악할 수 없도록 하여 보안정책에 대한 보안성을 한층 강화할 수 있다.According to the present invention having the configuration step as described above, even if an unauthorized person passes the administrator authentication process of the security policy database for some reason, the security policy data cannot be grasped without decryption. The security of the security policy can be further strengthened.

Claims (6)

시그너처(Signature) 기반의 침입탐지시스템(IPS/IDS)에서 보안정책을 암호화하여 보안성을 강화하는 방법에 있어서, 상기 침입탐지시스템이, In the signature-based intrusion detection system (IPS / IDS) to encrypt the security policy to enhance the security, the intrusion detection system, 업데이트된 보안정책 데이터를 다운로드받는 다운로드 단계와, A download step of downloading the updated security policy data; 다운로드받은 상기 보안정책 데이터의 구성 항목에 문자열로 이루어진 패턴 정보를 암호화 알고리즘에 의하여 암호화하는 암호화 단계와,An encryption step of encrypting the pattern information consisting of a string in the configuration item of the security policy data downloaded by an encryption algorithm; 암호화된 상기 패턴 정보가 포함된 보안정책 데이터를 보안정책 데이터베이스에 저장하고 읽어오는 단계와, Storing and reading security policy data including the encrypted pattern information in a security policy database; 읽어온 상기 보안정책 데이터의 암호화된 상기 패턴 정보를 복호화 알고리즘으로 복호화하는 복호화 단계와, Decrypting the encrypted pattern information of the read security policy data with a decryption algorithm; 복호화된 보안정책 데이터를 이용하여 특정 시스템이나 내부 네트워크로 유입되는 트래픽을 검사하는 검사 단계를 포함하는 침입방지시스템에서의 보안정책 암호화 방법. A security policy encryption method in an intrusion prevention system comprising a step of inspecting traffic flowing into a specific system or internal network using decrypted security policy data. 삭제delete 제 1 항에 있어서,The method of claim 1, 상기 암호화 단계는, 상기 패턴 정보를 상기 암호화 알고리즘에 의해 16진수 문자열로 변환하는 것임을 특징으로 하는 침입방지시스템에서의 보안정책 암호화 방법.The encryption step, the security policy encryption method in the intrusion prevention system, characterized in that for converting the pattern information into a hexadecimal string by the encryption algorithm. 시그너처(Signature) 기반의 보안정책 데이터에 대한 보안성을 강화한 침입탐지시스템에 있어서,In the intrusion detection system that enhances the security of signature-based security policy data, 보안정책 업데이트 서버로부터 신규 보안정책 데이터를 다운로드 받는 업데이트 모듈;An update module for downloading new security policy data from the security policy update server; 상기 다운로드 받은 신규 보안정책 데이터의 구성 항목에 포함된 소정의 문자열로 이루어진 패턴정보를 암호화하는 암호화 모듈;An encryption module for encrypting pattern information consisting of a predetermined string included in a configuration item of the downloaded new security policy data; 소정의 보안정책 데이터베이스를 유지 관리하며, 암호화된 패턴 정보가 포함된 신규 보안정책 데이터를 입력받아 보안정책 데이터베이스를 갱신하는 관리 모듈;A management module for maintaining a predetermined security policy database and receiving new security policy data including encrypted pattern information to update the security policy database; 상기 관리 모듈을 통해 갱신된 상기 신규 보안정책 데이터의 패턴 정보에 대하여 복호화를 수행하는 복호화 모듈; 및A decryption module for decrypting the pattern information of the new security policy data updated through the management module; And 상기 복호화 모듈로부터 신규 보안정책 데이터를 전달받아 시스템에 유입되는 트래픽을 검사하고, 공격성이 있는 트래픽에 대해 이를 차단하는 탐지 모듈;을 포함하여 이루어지는 것을 특징으로 하는 침입탐지시스템.And a detection module receiving new security policy data from the decryption module, inspecting traffic flowing into the system, and blocking the traffic against the aggressive traffic. 삭제delete 제 4 항에 있어서,The method of claim 4, wherein 상기 암호화 모듈은, 소정의 문자열로 이루어진 상기 패턴 정보를 16진수 문자열로 변환하는 것임을 특징으로 하는 침입탐지시스템.The encryption module is an intrusion detection system, characterized in that for converting the pattern information consisting of a predetermined string to a hexadecimal string.
KR1020050050184A 2005-06-13 2005-06-13 Security policy encycripting method and Intrusion Prevention System for implementing the method KR101134217B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050050184A KR101134217B1 (en) 2005-06-13 2005-06-13 Security policy encycripting method and Intrusion Prevention System for implementing the method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050050184A KR101134217B1 (en) 2005-06-13 2005-06-13 Security policy encycripting method and Intrusion Prevention System for implementing the method

Publications (2)

Publication Number Publication Date
KR20060129618A KR20060129618A (en) 2006-12-18
KR101134217B1 true KR101134217B1 (en) 2012-04-06

Family

ID=37810407

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050050184A KR101134217B1 (en) 2005-06-13 2005-06-13 Security policy encycripting method and Intrusion Prevention System for implementing the method

Country Status (1)

Country Link
KR (1) KR101134217B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016148472A1 (en) * 2015-03-13 2016-09-22 주식회사 에버스핀 Dynamic security module terminal device and method for operating same
KR101695278B1 (en) * 2016-04-26 2017-01-23 (주)시큐레이어 Method for detecting real-time event and server using the same
US10867049B2 (en) 2015-03-13 2020-12-15 Everspin Corp. Dynamic security module terminal device and method of operating same

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100835820B1 (en) 2006-07-25 2008-06-05 에스케이 텔레콤주식회사 Total internet security system and method the same
US8627060B2 (en) 2008-04-30 2014-01-07 Viasat, Inc. Trusted network interface
US20100071054A1 (en) * 2008-04-30 2010-03-18 Viasat, Inc. Network security appliance
KR101653150B1 (en) * 2009-11-30 2016-09-01 세진전자 주식회사 Remote Automatic Meter Reading System
KR101653148B1 (en) * 2009-11-30 2016-09-01 세진전자 주식회사 Security Apparatus For Remote Automatic Meter Reading System
KR101240311B1 (en) * 2012-01-09 2013-03-06 주식회사 잉카인터넷 Network packet intrusion detection system and method based by linux
KR101413428B1 (en) * 2012-12-18 2014-07-01 주식회사 유라코퍼레이션 Apparatas and method for enhancing a security of vehicle communication network
KR102361079B1 (en) * 2020-12-10 2022-02-14 가온플랫폼 주식회사 One-way security data transmission device and its software management system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020005401A (en) * 2000-07-03 2002-01-17 최승열 Total system for preventing information outflow from inside
KR20030044086A (en) * 2001-11-28 2003-06-09 주식회사 비즈모델라인 System and Method for Providing the Protect-Mail in Mobile Internet
JP2004164468A (en) 2002-11-15 2004-06-10 Nanotech Data Kk Security establishment system
KR20050036528A (en) * 2003-10-16 2005-04-20 (주)한인터네트웍스 Apparatus for isolating and relaying with integration function and method for establishing security policy using the same

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020005401A (en) * 2000-07-03 2002-01-17 최승열 Total system for preventing information outflow from inside
KR20030044086A (en) * 2001-11-28 2003-06-09 주식회사 비즈모델라인 System and Method for Providing the Protect-Mail in Mobile Internet
JP2004164468A (en) 2002-11-15 2004-06-10 Nanotech Data Kk Security establishment system
KR20050036528A (en) * 2003-10-16 2005-04-20 (주)한인터네트웍스 Apparatus for isolating and relaying with integration function and method for establishing security policy using the same

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016148472A1 (en) * 2015-03-13 2016-09-22 주식회사 에버스핀 Dynamic security module terminal device and method for operating same
US10867049B2 (en) 2015-03-13 2020-12-15 Everspin Corp. Dynamic security module terminal device and method of operating same
KR101695278B1 (en) * 2016-04-26 2017-01-23 (주)시큐레이어 Method for detecting real-time event and server using the same
WO2017188535A1 (en) * 2016-04-26 2017-11-02 (주)시큐레이어 Method for detecting real-time event and server using same
US10097570B2 (en) 2016-04-26 2018-10-09 Seculayer Co., Ltd. Method for detecting real-time event and server using the same

Also Published As

Publication number Publication date
KR20060129618A (en) 2006-12-18

Similar Documents

Publication Publication Date Title
KR101134217B1 (en) Security policy encycripting method and Intrusion Prevention System for implementing the method
KR100952350B1 (en) Intelligent network interface controller
US7853783B2 (en) Method and apparatus for secure communication between user equipment and private network
US10657286B2 (en) System, apparatus and method for anonymizing data prior to threat detection analysis
US20190207772A1 (en) Network scan for detecting compromised cloud-identity access information
JP4741255B2 (en) System and method for protecting a computing device from computer exploits delivered in a protected communication over a networked environment
US20030004688A1 (en) Virtual intrusion detection system and method of using same
US20140344933A1 (en) Method and apparatus for detecting an intrusion on a cloud computing service
CN113411190B (en) Key deployment, data communication, key exchange and security reinforcement method and system
US10440038B2 (en) Configuration management for network activity detectors
KR20190048587A (en) METHOD FOR SECURITING REMOTELY INTERNET OF THINGS(IoT) AND APPARATUS USING THE SAME
CN102333068A (en) SSH and SFTP (Secure Shell and Ssh File Transfer Protocol)-based tunnel intelligent management and control system and method
CN113904826B (en) Data transmission method, device, equipment and storage medium
US20110154469A1 (en) Methods, systems, and computer program products for access control services using source port filtering
US10812506B2 (en) Method of enciphered traffic inspection with trapdoors provided
JP2006094258A (en) Terminal device, its policy forcing method, and its program
US20210099875A1 (en) Offloaded sensor authentication for internet of things
Islam et al. Secure IoT data analytics in cloud via Intel SGX
KR20190083498A (en) packet filtering system for preventing DDoS attack
US20090239500A1 (en) Maintaining secure communication of a network device
KR101663935B1 (en) System and method for protecting against phishing and pharming
RU183015U1 (en) Intrusion detection tool
KR20140004703A (en) Controlled security domains
Banoth et al. Modern cryptanalysis methods, advanced network attacks and cloud security
Vinodhini et al. A study on behavioral analysis of specific ransomware and its comparison with DBSCAN-MP

Legal Events

Date Code Title Description
N231 Notification of change of applicant
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20141230

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20151208

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170103

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180102

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20190102

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20200102

Year of fee payment: 9