KR101282297B1 - The apparatus and method of unity security with transaction pattern analysis and monitoring in network - Google Patents

The apparatus and method of unity security with transaction pattern analysis and monitoring in network Download PDF

Info

Publication number
KR101282297B1
KR101282297B1 KR1020120028043A KR20120028043A KR101282297B1 KR 101282297 B1 KR101282297 B1 KR 101282297B1 KR 1020120028043 A KR1020120028043 A KR 1020120028043A KR 20120028043 A KR20120028043 A KR 20120028043A KR 101282297 B1 KR101282297 B1 KR 101282297B1
Authority
KR
South Korea
Prior art keywords
security
pattern
network
application server
server
Prior art date
Application number
KR1020120028043A
Other languages
Korean (ko)
Inventor
박상현
Original Assignee
박상현
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 박상현 filed Critical 박상현
Priority to KR1020120028043A priority Critical patent/KR101282297B1/en
Application granted granted Critical
Publication of KR101282297B1 publication Critical patent/KR101282297B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

PURPOSE: Service network type integrated security device and method thereof through transaction pattern analysis·monitoring are provided to firstly perform control through compulsory blockage and security path with respect to hacker intrusion and abnormal traffic in a network and to secondarily perform compulsory blockage and security filtering access of web server, web application server, general application server and database management system (DBMS). CONSTITUTION: A security management server SMS (300) is connected to N security pattern modules (SPMs) having a mass network environment base and N agent modules (AMs). The SMS receives normal event, abnormal event and pattern analysis result data and analyzes them. The SMS detects hacker intrusion and traffic abnormality. The SMS sets up defense correspondence element for the detected hacker intrusion and traffic abnormality. The SMS outputs a security filtering mode to the N SPMs. [Reference numerals] (100) Agent module; (300) Security management server; (AA) Web server; (BB,GG) Response policy; (CC) Access / edge network; (DD) Subscriber network; (EE,FF) Emergency sign and invasion alert; (HH) Smartphone application server

Description

트랜젝션 패턴분석·모니터링을 통한 서비스 네트워크형 통합보안장치 및 방법{THE APPARATUS AND METHOD OF UNITY SECURITY WITH TRANSACTION PATTERN ANALYSIS AND MONITORING IN NETWORK}Service network integrated security device and method through transaction pattern analysis and monitoring {THE APPARATUS AND METHOD OF UNITY SECURITY WITH TRANSACTION PATTERN ANALYSIS AND MONITORING IN NETWORK}

본 발명은 기존에 존재하는 클라이언트들의 보안위반 행위에 대하여 네트워크 통로를 단순히 탐지 또는 차단하는 종래의 방식과는 다른 클라이언트들이 요청하는 많은 트랜잭션에 대한 효과적인 패턴 분석을 통해 해당 서비스 취지에 맞는 서비스 요청여부를 판단하는 기준을 만들어 해당 클라이언트 요청 사항이 악의적인 시도를 사전 방지 및 효과적인 운영을 위한 트랜젝션 패턴분석·모니터링을 통한 서비스 네트워크형 통합보안장치 및 방법에 관한 것이다.
According to the present invention, whether a request for a service that meets the purpose of the service is performed through an effective pattern analysis on a large number of transactions requested by clients different from the conventional method of simply detecting or blocking a network path for existing security violations of existing clients. The present invention relates to a service network-type integrated security device and method through transaction pattern analysis and monitoring to prevent malicious attempts and to effectively operate malicious requests by making judgment criteria.

최근 많은 보안사고의 트랜드는 웹시스템을 통한 해킹으로 금정적인 이득을 목표로 한 고객정보 유출이 많다.이러한 사고들을 보면 대부분이 웹서버를 통한 DBMS에 있는 고객 정보, 상품 정보외 다양하고 방대한 자료들을 목표로 하고 있다.Recently, the trend of many security accidents is the leakage of customer information aimed at financial gain by hacking through the web system.These accidents mostly show various and vast data in addition to customer information, product information, etc. in DBMS through web server. Aim.

도 1은 종래 보안시스템의 구성도를 보인 것으로, 복수의 사용자(1.클라이언트)와 악의적인 단말기(2.해커)들이 통신망(3.네트워크)을 통해서 SEVER와 DBMS(5, 6)에 접속하도록 구성되며, 이러한 SEVER와 DBMS(5, 6)에 대한 접속 정보를 로그로 관리하기 위하여 보안 서버나 방화벽(4) 등을 구성하게 된다.1 is a block diagram of a conventional security system, which allows a plurality of users (1. client) and malicious terminals (2. hackers) to access SEVER and DBMS (5, 6) through a communication network (3. network). In order to manage the access information for the SEVER and DBMS (5, 6) as a log, a security server or a firewall (4) is configured.

이러한 보안 구성들은 관리자에 의해 허가된 사용자만 SEVER와 DBMS(5, 6)에 접근할수 있도록 통제 및 사용 내용을 로그로 저장하고 사용자별로 접근 정책을 설정하는 등의 다양한 보안 기능을 제공하고 있다.These security configurations provide various security functions such as storing the control and usage as a log and setting access policies for each user so that only users authorized by the administrator can access SEVER and DBMS (5, 6).

하지만 이러한 정책이나 보안장비들을 갖춘 후에도 계속해서 보안 사고는 계속해서 발생되고 있다.However, security policies continue to occur even after these policies and security devices are in place.

즉, 기존의 보안장치는 프로그램 자체의 취약점으로 인하여 손쉽게 해커침입을 당할 수 있고, 다변하는 유기적인 신규 스마트폰용 어플 및 일반 어플서버들에 유해 패킷이나 해킹모듈이 포함되어 업로드되기 때문에 보안의 헛점을 그대로 노출되고 있어 실시간 보안방어가 어려운 문제점이 있었다.In other words, the existing security devices can be easily hacked by vulnerabilities of the program itself, and the security flaws are uploaded because harmful packets or hacking modules are uploaded to various new organic smartphone applications and general application servers. As it is being exposed, real-time security defense was difficult.

그리고, 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS(Database Management System)가 제각기 별도로 떨어져 있어, 네트워크상에서 하나로 관리해줄 수 있는 장치가 없고, 개별로 보안모듈이 따로 설정되어 있기 때문에 언제 어디서 해커침입되었는지, 그리고, 이상 트래픽 현상이 어디서 발생되었는지 알 수가 없어, 강제차단 및 보안패치로 이루어진 보안 필터링이 어려운 문제점이 있었다.
In addition, since the web server, web application server, general application server, and DBMS (Database Management System) are separated from each other, there is no device that can be managed as one on the network. And it is difficult to know where the abnormal traffic phenomenon occurred, there was a problem that the security filtering consisting of forced blocking and security patch is difficult.

국내등록특허공보 제10-0958250호(2010년05월17일 공고)Domestic Patent Publication No. 10-0958250 (announced May 17, 2010)

상기의 문제점을 해결하기 위해 본 발명에서는 다변하는 어플들에 대한 모순점을 이용한 해커침입으로부터 보호할 수 있으며, 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS(Database Management System)에 연결된 에이전트모듈을 기준으로, 보안패턴모듈과 보안관리서버를 대규모 서비스 관리 네트워크망을 형성시킬 수 있고, 모든 서버에 적용시킬 수 있으며, 보안관리서버를 기준으로 통합보안관리를 할 수가 있어, 네트워크 트래픽 정보와 패턴 수집 및 분석을 통한 통계 분석과 보안 패치 권고를 제공할 수 있고, 모든 데이터를 128bit 암호화처리할 수 있으며, 무엇보다 해커침입 및 이상 트래픽 현상에 대하여 강제차단 및 보안패치를 통해 네트워크상에서 1차로 사전통제할 수 있고, 2차로 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS(Database Management System)의 접근을 강제차단 및 보안필터시킬 수 있는 트랜젝션 패턴분석·모니터링을 통한 서비스 네트워크형 통합보안장치 및 방법을 제공하는데 그 목적이 있다.
In order to solve the above problems, the present invention can protect against hacker intrusion using contradiction points for various applications, and based on an agent module connected to a web server, a web application server, a general application server, and a DBMS (Database Management System). The security pattern module and the security management server can form a large-scale service management network, can be applied to all servers, and integrated security management can be performed based on the security management server to collect network traffic information and patterns. It can provide statistical analysis and security patch recommendation through analysis, 128-bit encryption of all data, and above all, pre-control on network through forced blocking and security patch against hacker intrusion and abnormal traffic phenomenon. Secondly, web server, web application server, general application server, DBMS (Database Management Sys) Its purpose is to provide a service network-type integrated security device and method through transaction pattern analysis and monitoring that can forcibly block and secure the access of the system.

상기의 목적을 달성하기 위해 본 발명에 따른 트랜젝션 패턴분석·모니터링을 통한 서비스 네트워크형 통합보안장치는 Service network-type integrated security device through the transaction pattern analysis and monitoring according to the present invention to achieve the above object

웹서버, 웹어플리케이션서버, 일반어플서버, DBMS(Database Management System), 보안패턴모듈에 각각 설치되어, 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS, 보안패턴모듈의 상태를 모니터링하면서 패킷을 필터링시키고, 모니터링하면서 발생되는 로그인, 리소스 이용 현황데이터, 트래픽 흐름데이터에 관한 정상이벤트와, 해커침입, 바이러스 침투에 관한 이상이벤트를 기록한 후, 보안관리서버로 바로 전송시키는 에이전트모듈(AM : Agent Module)과,It is installed in web server, web application server, general application server, DBMS (Database Management System), and security pattern module respectively to filter packets while monitoring the status of web server, web application server, general application server, DBMS, and security pattern module. Agent module (AM) that records normal events related to login, resource usage data, traffic flow data, abnormal events related to hacker intrusion, virus intrusion, and sends them directly to the security management server. and,

웹서버, 웹어플리케이션서버, 일반어플서버, DBMS와 연결되어 네트워크망을 형성시키고, 네트워크 형성된 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS에 액세스되어 클라이언트가 요청한 URL, 및 URL에 들어가는 파라미터 이름, 값, 그리고, 데이터유형에 관한 패턴을 수집한 후, 기존의 수집된 패턴과 비교분석하고, 그 패턴분석결과데이터를 보안관리서버로 전송시키고, 보안관리서버(SMS : Security Management Server)로부터 전달된 보안필터링모드를 기반으로 대규모 네트워크 환경에서 탐지된 해커침입 및 트래픽 이상에 대하여 강제차단 및 보안패치를 통해 네트워크상에서 실시간으로 방어하는 보안패턴모듈(SPM : Security Pattern Module)과, Web server, web application server, general application server, DBMS connected to form a network, network-formed web server, web application server, general application server, URL requested by the client to access the DBMS, parameter name entered in the URL, After collecting the value and the pattern of the data type, it compares and analyzes with the existing collected pattern, transmits the pattern analysis result data to the security management server, and transmits the data from the security management server (SMS). Security Pattern Module (SPM) to protect in real time on network through forced blocking and security patch against hacker intrusion and traffic abnormality detected in large network environment based on security filtering mode,

대규모 네트워크 환경 기반을 갖는 N개의 보안패턴모듈(SPM : Security Pattern Module) 및 N개의 에이전트모듈(AM : Agent Module)과 연결되어, 정상이벤트, 이상이벤트, 패턴분석결과데이터를 전달받아 분석한 후, 해커침입 및 트래픽 이상 현상을 탐지하고, 이에 대한 방어대응요소를 설정해서 N개의 보안패턴모듈로 보안필터링모드를 출력시키도록 관리하는 보안관리서버(SMS : Security Management Server)로 구성됨으로서 달성된다.
After being connected to N security pattern modules (SPM) and N agent modules (AM) having a large network environment base, the normal event, abnormal event, and pattern analysis result data are received and analyzed, This is achieved by configuring a security management server (SMS) that detects hacker intrusions and traffic anomalies, sets up defense response elements, and outputs the security filtering mode to N security pattern modules.

또한, 본 발명에 따른 트랜젝션 패턴분석·모니터링을 통한 서비스 네트워크형 통합보안방법은In addition, the service network-type integrated security method through the transaction pattern analysis and monitoring according to the present invention

에이전트모듈을 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS(Database Management System), 보안패턴모듈 중 어느 하나에 설치시키는 단계(S100)와,Installing the agent module in any one of a web server, a web application server, a general application server, a DBMS (Database Management System), a security pattern module (S100),

에이전트모듈을 통해 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS, 보안패턴모듈의 상태를 모니터링하면서 패킷을 필터링시키는 단계(S200)와,Filtering the packet while monitoring the status of the web server, the web application server, the general application server, the DBMS, and the security pattern module through the agent module (S200);

에이전트모듈을 통해 로그인, 리소스 이용 현황데이터, 트래픽 흐름데이터에 관한 정상이벤트와, 해커침입, 바이러스 침투에 관한 이상이벤트를 기록한 후, 보안관리서버로 바로 전송시키는 단계(S300)와,Logging through the agent module, the normal event regarding the resource usage status data, traffic flow data, and abnormal events related to hacker intrusion, virus infiltration, and then directly transmitted to the security management server (S300),

보안패턴모듈을 통해 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS와 연결되어 네트워크망을 형성시키는 단계(S400)와,Connecting to a web server, a web application server, a general application server, and a DBMS through a security pattern module to form a network (S400);

보안패턴모듈을 통해 네트워크 형성된 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS에 액세스시켜 클라이언트가 요청한 URL, 및 URL에 들어가는 파라미터 이름, 값, 그리고, 데이터유형에 관한 패턴을 수집하는 단계(S500)와,Accessing a web server, a web application server, a general application server, and a DBMS formed through a security pattern module to collect URLs requested by the client, parameter names, values, and patterns of data types in the URL (S500). Wow,

보안패턴모듈을 통해 기존의 수집된 패턴과 비교분석하고, 그 패턴분석결과데이터를 보안관리서버로 전송시키는 단계(S600)와,Comparing and analyzing the existing collected pattern through the security pattern module, and transmitting the pattern analysis result data to the security management server (S600),

보안관리서버가 대규모 네트워크 환경 기반을 갖는 N개의 보안패턴모듈(SPM : Security Pattern Module) 및 N개의 에이전트모듈(AM : Agent Module)과 연결되어, 정상이벤트, 이상이벤트, 패턴분석결과데이터를 전달받아 분석한 후, 해커침입 및 트래픽 이상 현상을 탐지하는 단계(S700)와,The security management server is connected with N security pattern modules (SPM) and N agent modules (AM) that have a large network environment base, and receives normal event, abnormal event, and pattern analysis result data. After analyzing, detecting the hacker intrusion and traffic abnormality (S700),

보안관리서버의 보안필터링모드출력부를 통해 분석된 해커침입 및 트래픽 이상에 대하여, 방어대응요소로서 강제차단 및 보안패치를 설정한 보안필터링모드를 N개의 보안패턴모듈로 출력시키는 단계(S800)와,Outputting, to the N security pattern modules, the security filtering mode in which forced blocking and security patches are set as defense countermeasures against hacker intrusion and traffic abnormality analyzed through the security filtering mode output unit of the security management server (S800);

보안패턴모듈에서 보안관리서버(SMS : Security Management Server)로부터 전달된 보안필터링모드를 기반으로 대규모 네트워크 환경에서 탐지된 해커침입 및 트래픽 이상에 대하여 강제차단 및 보안패치를 통해 네트워크상에서 실시간으로 방어하는 단계(S900)로 이루어짐으로서 달성된다.
Based on the security filtering mode delivered from the Security Management Server (SMS) in the security pattern module, a step for defending in real time on the network through forced blocking and security patch against hacker intrusion and traffic anomaly detected in a large network environment It is achieved by (S900).

상에서 설명한 바와 같이, 본 발명에서는 다변하는 유기적인 신규 스마트폰용 어플외 많은 어플 및 웹들에 대해 1:1로 실시간 보안방어모드를 제공할 수 있어, 해커침입 및 이상 트래픽 현상에 대하여 강제차단 및 보안패치를 통해 네트워크상에서 1차로 사전통제할 수 있고, 2차로 웹서버, 웹어플리케이션서버, 스마트폰어플서버, DBMS(Database Management System)의 접근을 강제차단 및 보안필터시킬 수 있어, 통합보안서비스를 제공할 수 있는 좋은 효과가 있다.
As described above, the present invention can provide a real-time security defense mode 1: 1 for many applications and webs other than a variety of organic new smartphone applications, forced blocking and security patch against hacker intrusion and abnormal traffic phenomenon Through pre-controlling on the network through the network, and secondly forcibly blocking and securing the access of the web server, web application server, smartphone application server, and DBMS (Database Management System), integrated security services can be provided. That has a good effect.

도 1은 종래 보안시스템의 구성도,
도 2는 본 발명에 따른 트랜젝션 패턴분석·모니터링을 통한 서비스 네트워크형 통합보안장치(1)의 구성요소를 도시한 블럭도,
도 3은 본 발명에 따른 트랜젝션 패턴분석·모니터링을 통한 서비스 네트워크형 통합보안장치(1)의 구성요소를 도시한 구성도,
도 4는 본 발명에 따른 에이전트모듈의 구성요소를 도시한 블럭도,
도 5는 본 발명에 따른 보안패턴모듈의 구성요소를 도시한 블럭도,
도 6은 본 발명에 따른 보안관리서버의 구성요소를 도시한 블럭도,
도 7은 본 발명에 따른 모니터링부의 구성요소를 도시한 블럭도,
도 8은 본 발명에 따른 공인IP대역인 N개의 에이전트모듈(AM : Agent Module)과 내부IP대역인 N개의 에이전트모듈(AM : Agent Module)에 보안패턴모듈이 연결되고, 보안패턴모듈에 보안관리서버가 연결되어 대규모 네트워크 망을 형성시키는 것을 도시한 일실시예도,
도 9는 본 발명에 따른 트랜젝션 패턴분석·모니터링을 통한 서비스 네트워크형 통합보안방법을 도시한 순서도.1 is a block diagram of a conventional security system,
2 is a block diagram showing the components of a service network type integrated security device 1 through transaction pattern analysis and monitoring according to the present invention;
3 is a block diagram showing the components of a service network type integrated security device 1 through transaction pattern analysis and monitoring according to the present invention;
4 is a block diagram showing the components of an agent module according to the present invention;
5 is a block diagram showing the components of the security pattern module according to the present invention;
6 is a block diagram showing the components of the security management server according to the present invention;
7 is a block diagram showing the components of the monitoring unit according to the present invention;
8 is a security pattern module is connected to the N agent module (AM: Agent Module) of the authorized IP band and the N agent module (AM: Agent Module) of the internal IP band according to the present invention, security management to the security pattern module In one embodiment, the server is connected to form a large network,
9 is a flowchart illustrating a service network-type integrated security method through transaction pattern analysis and monitoring according to the present invention.

먼저, 본 발명에서 설명되는 트랜젝션(Transaction), 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS(Database Management System)에 관해 설명한다.
First, a transaction, a web server, a web application server, a general application server, and a database management system (DBMS) described in the present invention will be described.

상기 트랜젝션(Transaction)은 거래함에 있어서 거래하는 양측이 다 원하는 결과물을 얻을 수 있도록 정상적으로 처리되는 과정을 말한다.The transaction refers to a process that is normally processed so that both sides of the transaction can obtain desired results in the transaction.

상기 웹서버는 웹 페이지가 들어 있는 파일을 사용자들에게 제공하는 장치로서, 본 발명에 따른 에이전트모듈이 설치된다.
The web server is a device for providing a file containing a web page to users, the agent module according to the present invention is installed.

상기 웹어플리케이션서버(WAS)는 인터넷 상에서 HTTP를 통해 사용자 컴퓨터나 장치에 애플리케이션을 수행해 주는 미들웨어로서, 본 발명에 따른 에이전트모듈이 설치된다.
The web application server (WAS) is middleware for executing an application to a user computer or a device through HTTP on the Internet, and an agent module according to the present invention is installed.

상기 어플서버는 http 및 tcp/udp 통신으로 이루어져 사내 EAI(Enterprise Application Integration) 시스템과 스마트폰 어플 서비스를 제공하는 서버로서, 본 발명에 따른 에이전트모듈이 설치된다.
The app server is composed of http and tcp / udp communication as a server for providing an enterprise enterprise application integration (EAI) system and a smartphone application service, the agent module is installed in accordance with the present invention.

상기 DBMS(Database Management System)는 다수의 컴퓨터 사용자들이 컴퓨터에 수록한 수많은 자료들을 쉽고 빠르게 추가·수정·삭제할 수 있도록 해주는 장치로서, 본 발명에 따른 에이전트모듈이 설치된다.
The DBMS (Database Management System) is a device that allows a large number of computer users to quickly and easily add, modify, and delete a large number of data contained in a computer, and an agent module according to the present invention is installed.

또한, 본 발명에 따른 에이전트모듈은 모니터링을 하고자 하는 서버의 미러링 포트 구성으로 해당 감시 서버의 트래픽을 분석하는 서버로 전달하며 해당 서버에 설치된다.
In addition, the agent module according to the present invention is delivered to the server analyzing the traffic of the monitoring server as a mirroring port configuration of the server to be monitored and installed in the server.

이하, 본 발명에 따른 바람직한 실시예를 도면을 첨부하여 설명한다.Hereinafter, preferred embodiments of the present invention will be described with reference to the drawings.

도 2는 본 발명에 따른 트랜젝션 패턴분석·모니터링을 통한 서비스 네트워크형 통합보안장치(1)의 구성요소를 도시한 블럭도에 관한 것이고, 도 3은 본 발명에 따른 트랜젝션 패턴분석·모니터링을 통한 서비스 네트워크형 통합보안장치(1)의 구성요소를 도시한 구성도에 관한 것으로, 이는 에이전트모듈(AM : Agent Module)(100), 보안패턴모듈(SPM : Security Pattern Module)(200), 보안관리서버(SMS : Security Management Server)(300)로 구성된다.
2 is a block diagram showing the components of the service network-type integrated security device 1 through the transaction pattern analysis and monitoring according to the present invention, Figure 3 is a service through the transaction pattern analysis and monitoring according to the present invention The configuration diagram showing the components of the network-type integrated security device 1, which is an agent module (AM) (100), a security pattern module (SPM) (200), a security management server (SMS: Security Management Server) (300).

먼저, 본 발명에 따른 에이전트모듈(AM : Agent Module)(100)에 관해 설명한다.First, the agent module (AM) 100 according to the present invention will be described.

상기 에이전트모듈(AM : Agent Module)(100)은 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS(Database Management System), 보안패턴모듈에 각각 설치되어, 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS, 보안패턴모듈의 상태를 모니터링하면서 패킷을 필터링시키고, 모니터링하면서 발생되는 로그인, 리소스 이용 현황데이터, 트래픽 흐름데이터에 관한 정상이벤트와, 해커침입, 바이러스 침투에 관한 이상이벤트를 기록한 후, 보안관리서버로 바로 전송시키는 역할을 한다.The agent module (AM) 100 is installed in a web server, a web application server, a general application server, a database management system (DBMS), a security pattern module, respectively, a web server, a web application server, a general application server, After filtering the packet while monitoring the status of DBMS and security pattern module, it records the normal events related to the login, resource usage data and traffic flow data generated during monitoring, and abnormal events related to hacker intrusion and virus intrusion, and then manages the security. It is used to send directly to the server.

이는 도 4에 도시한 바와 같이, 패킷 필터링부(110), 침입탐지부(120), 접근제어부(130), 트래픽 미터링부(140), 로그부(150)로 구성된다.
As shown in FIG. 4, the packet filtering unit 110, the intrusion detection unit 120, the access control unit 130, the traffic metering unit 140, and the log unit 150 are configured.

상기 패킷 필터링부(110)는 네트워크 패킷을 분류하고, 필터링모드를 통해 패킷을 제거 및 통과시키는 역할을 한다.The packet filtering unit 110 classifies network packets and removes and passes packets through a filtering mode.

여기서, 필터링모드는 패킷에 대한 임계치를 설정한 상태에서 유해한 패킷만을 필터링시키는 모드이다.
Here, the filtering mode is a mode for filtering only harmful packets while setting a threshold for the packet.

상기 침입탐지부(120)는 패킷 필터링부에 의해 분류된 패킷에 대해 공격 여부를 탐지하는 역할을 한다.
The intrusion detection unit 120 detects an attack on the packets classified by the packet filtering unit.

상기 접근제어부(130)는 클라이언트가 객체에 접근할 경우 클라이언트의 역할에 따라 인증허가 여부를 판단하는 역하을 한다.
When the client accesses the object, the access control unit 130 determines whether to permit authentication according to the role of the client.

상기 트래픽 미터링부(140)는 네트워크 트래픽에 대한 통계 정보를 수집하는 역할을 한다.
The traffic metering unit 140 collects statistical information about network traffic.

상기 로그부(150)는 트래픽 미터링부로부터 전달된 로그인, 리소스 이용 현황데이터, 트래픽 흐름데이터에 관한 정상이벤트와, 해커침입, 바이러스 침투에 관한 이상이벤트를 기록하는 역할을 한다.The log unit 150 records a normal event related to the login, resource usage data, and traffic flow data transmitted from the traffic metering unit, and an abnormal event related to hacker intrusion and virus intrusion.

이때, 로그부에 기록된 정상이벤트와 이상이벤트에 관한 모든 데이터는 제1 암호화처리부에 의해 128bit 암호화처리된다.
At this time, all data related to the normal event and the abnormal event recorded in the log unit are 128-bit encrypted by the first encryption processing unit.

또한, 본 발명에 따른 에이전트모듈(AM : Agent Module)은 어플 개발자에 의해 백업파일이 생성되면, 백업파일을 통해 해커가 침입하여 공격할 수 있기 때문에, 백업실행스톱부가 포함되어 구성된다.In addition, the agent module (AM: Agent Module) according to the present invention is configured to include a backup execution stop unit because a hacker can invade and attack through a backup file when a backup file is generated by an application developer.

백업실행스톱부는 백업 실행을 스톱시키는 역할을 하는 것으로, 이는 파일업로드/다운로드의 파일 형태(관리자 선택)외의 파일 업로드/다운로드 보안 적용으로 쉘 등의 실행파일 공격을 차단시키도록 구성된다.
The backup execution stop part plays a role of stopping the backup execution, which is configured to block an executable file attack such as a shell by applying file upload / download security other than the file type (administrator selection) of file upload / download.

다음으로, 본 발명에 따른 보안패턴모듈(SPM : Security Pattern Module)(200)에 관해 설명한다.Next, a security pattern module (SPM) 200 according to the present invention will be described.

상기 보안패턴모듈(SPM : Security Pattern Module)(200)은 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS와 연결되어 네트워크망을 형성시키고, 네트워크 형성된 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS에 액세스되어 클라이언트가 요청한 URL, 및 URL에 들어가는 파라미터 이름, 값, 그리고, 데이터유형에 관한 패턴을 수집한 후, 기존의 수집된 패턴과 비교분석하고, 그 패턴분석결과데이터를 보안관리서버로 전송시키고, 보안관리서버(SMS : Security Management Server)로부터 전달된 보안필터링모드를 기반으로 대규모 네트워크 환경에서 탐지된 해커침입 및 트래픽 이상에 대하여 강제차단 및 보안패치를 통해 네트워크상에서 실시간으로 방어하는 역할을 한다.The security pattern module (SPM) 200 is connected to a web server, a web application server, a general application server, a DBMS to form a network, a networked web server, a web application server, a general application server, a DBMS Accesses and collects the URL requested by the client, the parameter name, the value, and the pattern of the data type in the URL, and compares and analyzes the existing collected pattern with the pattern analysis result data to the security management server. Based on the security filtering mode delivered from the security management server (SMS), it protects the network in real time on the network through forced blocking and security patch against hacker intrusion and traffic anomaly detected in a large network environment. .

이는 도 5에 도시한 바와 같이, 제1 네트워크보안관리부(210), 패턴수집부(220), 사전점검부(230), 패턴분석부(240), 데이터송신부(250), 보안명령수신부(260), 보안필터부(270)로 구성된다.
5, the first network security manager 210, the pattern collector 220, the pre-checker 230, the pattern analyzer 240, the data transmitter 250, and the security command receiver 260. ), And the security filter unit 270.

상기 제1 네트워크보안관리부(210)는 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS, 보안관리서버(SMS)와 연결되어 서비스 네트워크망을 형성시키고, 네트워크망으로 흐르는 유해패킷 및 경보데이터를 생성시키는 역할을 한다.
The first network security management unit 210 is connected to a web server, a web application server, a general application server, a DBMS, a security management server (SMS) to form a service network, and generate harmful packets and alarm data flowing through the network. It plays a role.

상기 패턴수집부(220)는 제1 네트워크보안관리부를 통해 네트워크망으로 형성된 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS와 액세스되어, 클라이언트가 요청한 URL, 및 URL에 들어가는 파라미터 이름, 값, 그리고, 데이터유형에 관한 패턴을 수집하는 역할을 한다.The pattern collecting unit 220 is accessed with a web server, a web application server, a general application server, a DBMS formed in a network through a first network security management unit, a URL requested by a client, a parameter name, a value, and It collects patterns about data types.

이때, 패턴수집부에 수집된, 클라이언트가 요청한 URL, 및 URL에 들어가는 파라미터 이름, 값, 그리고, 데이터유형에 관한 패턴은 제2 암호화처리부에 의해 128bit 암호화처리된다.At this time, the URL collected by the pattern collecting unit, the parameter name, the value, and the data type pattern included in the URL are 128-bit encrypted by the second encryption processing unit.

이하, 패턴수집부의 구체적인 동작과정에 관해 설명한다.Hereinafter, a detailed operation process of the pattern collecting unit will be described.

일예로, 클라이언트가 요청한 URI는 다음의 실시예 1과 같다.In one example, the URI requested by the client is the same as the first embodiment.

http://test.com/member/login.jsp?userid=admin&passwd=test
http://test.com/member/login.jsp?userid=admin&passwd=test

위에 특정 URI test.com/member/lonin.jsp와 뒤에 파라미터 값 userid,passwd가 2개인 것과, 각각의 값 데이터형태가 text인 것을 패턴에 저장된다.The specific URI test.com/member/lonin.jsp above, followed by two parameter values userid and passwd, and each value data type in text are stored in the pattern.

해당 URI에 정상 사용자(user)들이 여러 형태의 파라미터값을 입력할 때 마다 각 패턴정보는 수정 보안이 된다.
Whenever normal users enter various parameter values into the URI, each pattern information is modified and secured.

상기 사전점검부(230)는 패턴수집부에 수집된 패턴 중 보안모듈의 기본 보안 패턴에 문제되는 부분을 체크해서 사전점검시키는 역할을 한다.
The pre-check unit 230 checks a portion of the pattern collected in the pattern collecting unit that is a problem with the basic security pattern of the security module to pre-check.

상기 패턴분석부(240)는 패턴수집부에서 현재 수집된 패턴과 기존에 미리 수집된 패턴을 비교한 후, 정상패턴 및 비정상패턴을 분석하는 역할을 한다.The pattern analyzer 240 analyzes the normal pattern and the abnormal pattern after comparing the pattern currently collected by the pattern collector and the previously collected pattern.

상기 실시예 1에 기재된 현재까지의 login.jsp 요청에 대한 패턴은 파라미터값이 2개와 해당 값이 텍스트(text) 형태이다. The pattern for the login.jsp request so far described in Example 1 has two parameter values and a corresponding value in text form.

똑같은 URI에 요출 파일명과 파라미터 수 값이 아래의 실시예 2와 같이 틀려진 경우가 있다. In the same URI, the outgoing file name and the number of parameters may be wrong as in Example 2 below.

http://test.com/member/login.jsp?userid=admin&passwd=test&jumin=111111http://test.com/member/login.jsp?userid=admin&passwd=test&jumin=111111

http://test.com/member/login.jsp.bak?userid=admin2222&passwd=test&http://test.com/member/login.jsp.bak?userid=admin2222&passwd=test&

http://test.com/member/login.jsp?userid=admin&passwd=!가나다test&
http://test.com/member/login.jsp?userid=admin&passwd=!Canadatest&

상기 실시예 2와 같이 요청 URI에 대한 기존 수집된 패턴과 틀릴 경우 데이터송신부를 통해 각 내용을 보안관리서버로 전송시켜 관리자 및 업무담당자에게 직접 통보하고, 해당 요청 부분에 대하여 적합성을 판단하고, 해당부분을 차단할지 신규 패턴에 등록할지를 결정한다.If it is different from the existing collected pattern for the request URI as in the second embodiment, the respective contents are transmitted to the security management server through the data transmitter to directly notify the manager and the person in charge of the operation, determine the suitability of the request part, and Determine whether to block the part or register it in a new pattern.

또한, 본 발명에 따른 패턴분석부는 단순한 패턴 비교가 아닌 보안필터부가 적용된 순간부터 인입되는 데이터의 패턴을 주기적으로 분석 후 인입되고 있는 데이터의 패턴을 자동으로 업데이트시키고, 삭제, 추가시키도록 구성된다.
In addition, the pattern analysis unit according to the present invention is configured to automatically update, delete, and add the pattern of incoming data after periodically analyzing the pattern of incoming data from the moment of applying the security filter unit, rather than simply comparing the patterns.

상기 데이터송신부(250)는 패턴분석부에서 분석된 패턴분석결과데이터를 보안관리서버로 전송시키는 역할을 한다.
The data transmitter 250 transmits the pattern analysis result data analyzed by the pattern analyzer to the security management server.

상기 보안명령수신부(260)는 보안관리서버(SMS : Security Management Server)로부터 전달된 보안필터링모드를 수신받는 역할을 한다.
The security command receiving unit 260 serves to receive a security filtering mode transmitted from a security management server (SMS).

상기 보안필터부(270)는 보안명령수신부로부터 수신받은 보안필터링모드를 기반으로 대규모 네트워크 환경에서 탐지된 해커침입 및 트래픽 이상에 대하여 강제차단 및 보안패치를 통해 네트워크상에서 실시간으로 방어하는 역할을 한다.The security filter unit 270 acts to defend in real time on the network through forced blocking and security patch against hacker intrusion and traffic abnormality detected in a large network environment based on the security filtering mode received from the security command receiver.

이는 크로스 사이트 스크립팅기능, 인젝션 취약점지원기능, 악성파일실행기능, 크로스 사이트 요청변조기능, 정보유출과 부적절한 에러 처리기능, 취약한 인증 및 세션관리기능, URI 접근통제기능, 다운로드/업로드 파일관리기능, 시스템/DB 명령어에 대한 처리기능이 구성된다.
It is cross site scripting function, injection vulnerability support function, malicious file execution function, cross site request forgery function, information leakage and inappropriate error handling function, weak authentication and session management function, URI access control function, download / upload file management function, system The processing function for the / DB command is configured.

다음으로, 본 발명에 따른 보안관리서버(SMS : Security Management Server)(300)에 관해 설명한다.Next, a security management server (SMS) 300 according to the present invention will be described.

상기 보안관리서버(SMS : Security Management Server)(300)는 대규모 네트워크 환경 기반을 갖는 N개의 보안패턴모듈(SPM : Security Pattern Module) 및 N개의 에이전트모듈(AM : Agent Module)과 연결되어, 정상이벤트, 이상이벤트, 패턴분석결과데이터를 전달받아 분석한 후, 해커침입 및 트래픽 이상 현상을 탐지하고, 이에 대한 방어대응요소를 설정해서 N개의 보안패턴모듈로 보안필터링모드를 출력시키도록 관리하는 역할을 한다.The security management server (SMS) 300 is connected to N security pattern modules (SPM) and N agent modules (AM: Agent Module) having a large network environment base, and is a normal event. After receiving and analyzing abnormal event and pattern analysis result data, it detects hacker intrusion and traffic anomaly, and sets defense response elements to manage security output mode by N security pattern modules. do.

이는 도 6에 도시한 바와 같이, 제2 네트워크보안관리부(310), 모니터링부(320), 추세·로그분석부(330), 보안필터링모드출력부(340)로 구성된다.
As shown in FIG. 6, the second network security management unit 310, the monitoring unit 320, the trend / log analysis unit 330, and the security filtering mode output unit 340 are configured.

상기 제2 네트워크보안관리부(310)는 N개의 보안패턴모듈(SPM : Security Pattern Module) 및 N개의 에이전트모듈(AM : Agent Module), 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS와 네트워크망을 형성시키고, 패턴에 대한 임계치를 설정해서 네트워크망으로 흐르는 유해패킷에 대해 1차로 경보신호를 발생시키고, 강제차단시키는 역할을 한다.
The second network security management unit 310 connects N security pattern modules (SPMs) and N agent modules (AMs), web servers, web application servers, general application servers, DBMSs, and network networks. It forms a threshold for the pattern, and generates an alarm signal for the harmful packets flowing into the network first and forcibly blocks them.

상기 모니터링부(320)는 제2 네트워크보안관리부를 통해 네트워크망으로 연결된 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS, 보안패턴모듈에 액세스되어, 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS, 보안패턴모듈의 상태를 모니터링시키는 역할을 한다.The monitoring unit 320 accesses a web server, a web application server, a general application server, a DBMS, a security pattern module connected to a network through a second network security management unit, a web server, a web application server, a general application server, a DBMS It monitors the status of the security pattern module.

이는 도 7에 도시한 바와 같이, SQL 모니터링부(321), 리포트 빌더(Report Builder)(322), 통신프로토콜 모니터링부(323)로 구성된다.As shown in FIG. 7, the SQL monitoring unit 321, a report builder 322, and a communication protocol monitoring unit 323 are configured.

상기 SQL 모니터링부(321)는 DBMS로 액세스되는 SQL에 대한 실시간 목록 및 상세 내역을 모니터링시키는 역할을 한다.The SQL monitoring unit 321 serves to monitor the real-time list and details of the SQL accessed by the DBMS.

상기 리포트 빌더(Report Builder)(322)는 DB별, 호스트별, 보안관점별로 검색조건을 변경시키면서 보고서를 생성시키는 역할을 한다.The report builder 322 serves to generate a report while changing a search condition for each DB, host, and security viewpoint.

상기 통신프로토콜 모니터링부(323)는 감시 대상인 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS로 접속한 클라이언트의 텔넷, FTP, RCmd 로그를 검색조건을 변경시키면서 실시간 감시하는 역할을 한다.
The communication protocol monitoring unit 323 serves to monitor the web server, the web application server, the general application server, the client connected to the DBMS, Telnet, FTP, RCmd logs in real time while changing the search conditions.

상기 추세·로그분석부(330)는 제2 네트워크보안관리부를 통해 전달된 정상이벤트, 이상이벤트, 패턴분석결과데이터를 세션 카운트(Session Count), 트랜젝션 처리과정(Transaction Usage), 리턴 로우(Return row)에 관한 추세그래프로 1차 분석시킨 후, 로그분석기를 통해 해커침입여부 및 트래픽 이상 현상여부를 2차 분석시키는 역할을 한다.The trend / log analysis unit 330 may include a session count, a transaction usage process, and a return row of normal event, abnormal event, and pattern analysis result data transmitted through the second network security management unit. After the first analysis with the trend graph of), it analyzes whether the hacker invasion and the traffic abnormality are secondary through the log analyzer.

이는 추세분석기, 로그분석기로 구성된다.It consists of a trend analyzer and a log analyzer.

상기 추세분석기는 제2 네트워크보안관리부를 통해 전달된 정상이벤트, 이상이벤트, 패턴분석결과데이터를 기준으로 세션 카운트(Session Count), 트랜젝션 처리과정(Transaction Usage), 리턴 로우(Return row)로 나누어, 추세선이 기준설정값에서 어떻게 변화되었는지 또는 언제 이상변화가 발생되었는지를 추세그래프로 분석하는 역할을 한다.The trend analyzer is divided into a session count, a transaction usage process, and a return row based on normal events, abnormal events, and pattern analysis result data transmitted through the second network security management unit. The trend graph is used to analyze how the trend line is changed from the reference set value or when an abnormal change occurs.

상기 로그분석기는 웹사이트 방문자의 분석을 통한 방문자수와, 페이지 뷰수, 쿠키값 분석을 통한 방문자 정보를 통하여 해커침입여부 및 트래픽 이상 현상여부를 결정하는 역할을 한다.
The log analyzer plays a role of determining whether hackers invade and traffic anomaly through visitor information through analysis of website visitors, visitor information through page views, and cookie value analysis.

상기 보안필터링모드출력부(340)는 추세·로그분석부에 분석된 해커침입 및 트래픽 이상에 대하여, 방어대응요소로서 강제차단 및 보안패치를 설정한 보안필터링모드를 N개의 보안패턴모듈로 출력시키는 역할을 한다.The security filtering mode output unit 340 outputs, to N security pattern modules, a security filtering mode in which forced blocking and security patches are set as defense countermeasures against hacker intrusion and traffic abnormality analyzed by the trend / log analysis unit. Play a role.

여기서, 보안필터링모드는 제3 암호화처리부에 의해 128bit 암호화처리된다.
Here, the security filtering mode is 128-bit encryption processing by the third encryption processing unit.

본 발명에 따른 보안관리서버(SMS : Security Management Server)는 대규모 네트워크 환경 기반을 갖는 N개의 보안패턴모듈(SPM : Security Pattern Module) 및 N개의 에이전트모듈(AM : Agent Module)과 연결되어 구성됨으로서, 현재 서비스별 요청 통계 현황, 총에러 현황 및 상세 에러내용, 보안패턴모듈에 부적한 현황 및 내용, 보안패턴모듈에 탐지된 현황 및 내용, 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS의 상태 점검 및 모니터링, 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS의 자원 상태현황을 제공하도록 구성된다.The security management server (SMS) according to the present invention is configured by being connected to N security pattern modules (SPM) and N agent modules (AM: Agent Module) having a large network environment base. Current status of request statistics by each service, total error status and detailed error contents, status and contents inappropriate to security pattern module, status and contents detected by security pattern module, status of web server, web application server, general application server, DBMS And resource status of the monitoring, web server, web application server, general application server, and DBMS.

또한, 도 8에 도시한 바와 같이, 공인IP대역인 N개의 에이전트모듈(AM : Agent Module)과 내부IP대역인 N개의 에이전트모듈(AM : Agent Module)에 보안패턴모듈이 연결되고, 보안패턴모듈에 보안관리서버가 연결되어 대규모 네트워크 망을 형성시키도록 구성된다.
In addition, as shown in Figure 8, the security pattern module is connected to N agent modules (AM: Agent Module) of the public IP band and N agent modules (AM: Agent Module) of the internal IP band, the security pattern module Security management server is connected to form a large network.

이하, 본 발명에 따른 트랜젝션 패턴분석·모니터링을 통한 네트워크형 통합보안방법의 구체적인 동작과정에 관해 설명한다.
Hereinafter, a detailed operation process of the network-type integrated security method through transaction pattern analysis and monitoring according to the present invention will be described.

먼저, 에이전트모듈을 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS(Database Management System), 보안패턴모듈에 각각 설치시킨다(S100).
First, the agent module is installed in a web server, a web application server, a general application server, a DBMS (Database Management System), and a security pattern module (S100).

다음으로, 에이전트모듈을 통해 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS, 보안패턴모듈의 상태를 모니터링하면서 패킷을 필터링시킨다(S200).
Next, the packet is filtered while monitoring the status of the web server, web application server, general application server, DBMS, security pattern module through the agent module (S200).

다음으로, 에이전트모듈을 통해 로그인, 리소스 이용 현황데이터, 트래픽 흐름데이터에 관한 정상이벤트와, 해커침입, 바이러스 침투에 관한 이상이벤트를 기록한 후, 보안관리서버로 바로 전송시킨다(S300).
Next, after logging the normal event, the hacker intrusion, the virus intrusion abnormal event about the login, resource usage status data, traffic flow data through the agent module, and transmits directly to the security management server (S300).

다음으로, 보안패턴모듈을 통해 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS와 연결되어 네트워크망을 형성시킨다(S400).
Next, through the security pattern module is connected to the web server, web application server, general application server, DBMS to form a network (S400).

다음으로, 보안패턴모듈을 통해 네트워크 형성된 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS에 액세스시켜 클라이언트가 요청한 URL, 및 URL에 들어가는 파라미터 이름, 값, 그리고, 데이터유형에 관한 패턴을 수집한다(S500).
Next, a network pattern web server, a web application server, a general application server, and a DBMS are accessed through a security pattern module to collect a URL requested by a client, a parameter name, a value, and a data type in the URL ( S500).

다음으로, 보안패턴모듈을 통해 기존의 수집된 패턴과 비교분석하고, 그 패턴분석결과데이터를 보안관리서버로 전송시킨다(S600).
Next, a comparative analysis with the existing collected pattern through the security pattern module, and transmits the pattern analysis result data to the security management server (S600).

다음으로, 보안관리서버가 대규모 네트워크 환경 기반을 갖는 N개의 보안패턴모듈(SPM : Security Pattern Module) 및 N개의 에이전트모듈(AM : Agent Module)과 연결되어, 정상이벤트, 이상이벤트, 패턴분석결과데이터를 전달받아 분석한 후, 해커침입 및 트래픽 이상 현상을 탐지한다(S700).Next, the security management server is connected to N security pattern modules (SPM) and N agent modules (AM) having a large network environment base, and includes normal event, abnormal event, and pattern analysis result data. After receiving and analyzing the hacker intrusion and traffic abnormality detection (S700).

여기서, 정상이벤트, 이상이벤트, 패턴분석결과데이터를 전달받아 분석한다는 것은 추세·로그분석부를 통해 정상이벤트, 이상이벤트, 패턴분석결과데이터를 세션 카운트(Session Count), 트랜젝션 처리과정(Transaction Usage), 리턴 로우(Return row)에 관한 추세그래프로 1차 분석시킨 후, 로그분석기를 통해 해커침입여부 및 트래픽 이상 현상여부를 2차 분석시키는 것을 말한다.
In this case, the normal event, abnormal event, and pattern analysis result data are received and analyzed through the trend / log analysis unit to analyze the normal event, abnormal event, and pattern analysis result data in session count, transaction usage process, After the first analysis with the trend graph about the return row, it is the second analysis of hacker intrusion and traffic abnormality through the log analyzer.

다음으로, 보안관리서버의 보안필터링모드출력부를 통해 분석된 해커침입 및 트래픽 이상에 대하여, 방어대응요소로서 강제차단 및 보안패치를 설정한 보안필터링모드를 N개의 보안패턴모듈로 출력시킨다(S800).
Next, in response to the hacker intrusion and traffic abnormality analyzed through the security filtering mode output unit of the security management server, the security filtering mode in which forced blocking and security patches are set as defense countermeasures is output to N security pattern modules (S800). .

끝으로, 보안패턴모듈에서 보안관리서버(SMS : Security Management Server)로부터 전달된 보안필터링모드를 기반으로 대규모 네트워크 환경에서 탐지된 해커침입 및 트래픽 이상에 대하여 강제차단 및 보안패치를 통해 네트워크상에서 실시간으로 방어한다(S900).
Finally, based on the security filtering mode delivered from the Security Management Server (SMS) in the security pattern module, the hacker intrusion and traffic anomaly detected in a large network environment are executed in real time on the network through forced blocking and security patch. Defend (S900).

100 : 에이전트모듈 110 : 패킷 필터링부
120 : 침입탐지부 130 : 접근제어부
140 : 트래픽 미터링부 150 : 로그부
200 : 보안패턴모듈 210 : 제1 네트워크보안관리부
220 : 패턴수집부 230 : 사전점검부
240 : 패턴분석부 250 : 데이터송신부
260 : 보안명령수신부 270 : 보안필터부
300 : 보안관리서버100: agent module 110: packet filtering unit
120: intrusion detection unit 130: access control unit
140: traffic metering unit 150: log unit
200: security pattern module 210: first network security management unit
220: pattern collecting unit 230: pre-checking unit
240: pattern analysis unit 250: data transmission unit
260: security command receiving unit 270: security filter unit
300: security management server

Claims (8)

웹서버, 웹어플리케이션서버, 일반어플서버, DBMS(Database Management System), 보안패턴모듈에 각각 설치되어, 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS, 보안패턴모듈의 상태를 모니터링하면서 패킷을 필터링시키고, 모니터링하면서 발생되는 로그인, 리소스 이용 현황데이터, 트래픽 흐름데이터에 관한 정상이벤트와, 해커침입, 바이러스 침투에 관한 이상이벤트를 기록한 후, 보안관리서버로 바로 전송시키는 에이전트모듈(AM : Agent Module)(100)과,
웹서버, 웹어플리케이션서버, 일반어플서버, DBMS와 연결되어 네트워크망을 형성시키고, 네트워크 형성된 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS에 액세스되어 클라이언트가 요청한 URL, 및 URL에 들어가는 파라미터 이름, 값, 그리고, 데이터유형에 관한 패턴을 수집한 후, 기존의 수집된 패턴과 비교분석하고, 그 패턴분석결과데이터를 보안관리서버로 전송시키고, 보안관리서버(SMS : Security Management Server)로부터 전달된 보안필터링모드를 기반으로 대규모 네트워크 환경에서 탐지된 해커침입 및 트래픽 이상에 대하여 강제차단 및 보안패치를 통해 네트워크상에서 실시간으로 방어하는 보안패턴모듈(SPM : Security Pattern Module)(200)과,
대규모 네트워크 환경 기반을 갖는 N개의 보안패턴모듈(SPM : Security Pattern Module) 및 N개의 에이전트모듈(AM : Agent Module)과 연결되어, 정상이벤트, 이상이벤트, 패턴분석결과데이터를 전달받아 분석한 후, 해커침입 및 트래픽 이상 현상을 탐지하고, 이에 대한 방어대응요소를 설정해서 N개의 보안패턴모듈로 보안필터링모드를 출력시키도록 관리하는 보안관리서버(SMS : Security Management Server)(300)로 구성되는 것을 특징으로 하는 트랜젝션 패턴분석·모니터링을 통한 서비스 네트워크형 통합보안장치.
It is installed in web server, web application server, general application server, DBMS (Database Management System), and security pattern module respectively to filter packets while monitoring the status of web server, web application server, general application server, DBMS, and security pattern module. Agent module (AM) that records normal events related to login, resource usage data, traffic flow data, abnormal events related to hacker intrusion, virus intrusion, and sends them directly to the security management server. 100,
Web server, web application server, general application server, DBMS connected to form a network, network-formed web server, web application server, general application server, URL requested by the client to access the DBMS, parameter name entered in the URL, After collecting the value and the pattern of the data type, it compares and analyzes with the existing collected pattern, transmits the pattern analysis result data to the security management server, and transmits the data from the security management server (SMS). Security Pattern Module (SPM) (200) to defend in real time on the network through forced blocking and security patch against hacker intrusion and traffic anomaly detected in a large network environment based on the security filtering mode,
After being connected to N security pattern modules (SPM) and N agent modules (AM) having a large network environment base, the normal event, abnormal event, and pattern analysis result data are received and analyzed, It consists of a Security Management Server (SMS) 300 that detects hacker intrusions and traffic anomalies, and manages to output security filtering modes with N security pattern modules by setting defense response elements. Service network type integrated security device through transaction pattern analysis and monitoring.
제1항에 있어서, 상기 에이전트모듈(AM : Agent Module)(100)은
네트워크 패킷을 분류하고, 필터링모드를 통해 패킷을 제거 및 통과시키는 패킷 필터링부(110)와,
패킷 필터링부에 의해 분류된 패킷에 대해 공격 여부를 탐지하는 침입탐지부(120)와,
클라이언트가 객체에 접근할 경우 클라이언트의 역할에 따라 인증허가 여부를 판단하는 접근제어부(130)와,
네트워크 트래픽에 대한 통계 정보를 수집하는 트래픽 미터링부(140)와,
트래픽 미터링부로부터 전달된 로그인, 리소스 이용 현황데이터, 트래픽 흐름데이터에 관한 정상이벤트와, 해커침입, 바이러스 침투에 관한 이상이벤트를 기록하는 로그부(150)로 구성되는 것을 특징으로 하는 트랜젝션 패턴분석·모니터링을 통한 서비스 네트워크형 통합보안장치.

The method of claim 1, wherein the agent module (AM) (100)
A packet filtering unit 110 for classifying network packets and removing and passing the packets through a filtering mode;
Intrusion detection unit 120 for detecting whether or not to attack the packet classified by the packet filtering unit,
When the client accesses the object, the access control unit 130 to determine whether or not the authentication permission according to the role of the client,
A traffic metering unit 140 for collecting statistical information on network traffic;
Transaction pattern analysis, comprising: a log unit 150 for recording a normal event related to login, resource usage data, and traffic flow data transmitted from the traffic metering unit, and an abnormal event related to hacker intrusion and virus intrusion. Service network type integrated security device through monitoring.

제1항에 있어서, 상기 에이전트모듈(AM : Agent Module)은
백업 실행을 스톱시키는 백업실행스톱부가 포함되어 구성되는 것을 특징으로 하는 트랜젝션 패턴분석·모니터링을 통한 서비스 네트워크형 통합보안장치.
The method of claim 1, wherein the agent module (AM: Agent Module)
Service network-type integrated security device through the transaction pattern analysis and monitoring, characterized in that it comprises a backup execution stop unit for stopping the backup execution.
제1항에 있어서, 상기 보안패턴모듈(SPM : Security Pattern Module)(200)은
웹서버, 웹어플리케이션서버, 일반어플서버, DBMS, 보안관리서버(SMS)와 연결되어 서비스 네트워크망을 형성시키고, 네트워크망으로 흐르는 유해패킷 및 경보데이터를 생성시키는 제1 네트워크보안관리부(210)와,
제1 네트워크보안관리부를 통해 네트워크망으로 형성된 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS와 액세스되어, 클라이언트가 요청한 URL, 및 URL에 들어가는 파라미터 이름, 값, 그리고, 데이터유형에 관한 패턴을 수집하는 패턴수집부(220)와,
패턴수집부에 수집된 패턴 중 보안모듈의 기본 보안 패턴에 문제되는 부분을 체크해서 사전점검시키는 사전점검부(230)와,
패턴수집부에서 현재 수집된 패턴과 기존에 미리 수집된 패턴을 비교한 후, 정상패턴 및 비정상패턴을 분석하는 패턴분석부(240)와,
패턴분석부에서 분석된 패턴분석결과데이터를 보안관리서버로 전송시키는 데이터송신부(250)와,
보안관리서버(SMS : Security Management Server)로부터 전달된 보안필터링모드를 수신받는 보안명령수신부(260)와,
보안명령수신부로부터 수신받은 보안필터링모드를 기반으로 대규모 네트워크 환경에서 탐지된 해커침입 및 트래픽 이상에 대하여 강제차단 및 보안패치를 통해 네트워크상에서 실시간으로 방어하는 보안필터부(270)로 구성되는 것을 특징으로 하는 트랜젝션 패턴분석·모니터링을 통한 서비스 네트워크형 통합보안장치.
The method of claim 1, wherein the security pattern module (SPM) (200)
A first network security management unit 210 connected to a web server, a web application server, a general application server, a DBMS, and a security management server (SMS) to form a service network network and generate harmful packets and alarm data flowing through the network network; ,
The first network security management unit collects a URL related to a web server, a web application server, a general application server, and a DBMS formed through a network, the URL requested by a client, and the parameter names, values, and data types included in the URL. Pattern collecting unit 220 and
A pre-check unit 230 for checking a portion of the patterns collected in the pattern collecting unit that is problematic for the basic security pattern of the security module;
A pattern analyzer 240 for comparing the patterns currently collected by the pattern collector and previously collected patterns, and analyzing normal and abnormal patterns;
A data transmitter 250 for transmitting the pattern analysis result data analyzed by the pattern analysis unit to the security management server;
A security command receiver 260 receiving a security filtering mode transmitted from a security management server (SMS);
Based on the security filtering mode received from the security command receiving unit, the security filter unit 270 that protects in real time on the network through forced blocking and security patch against hacker intrusion and traffic abnormality detected in a large network environment Service network type integrated security device through transaction pattern analysis and monitoring.
제1항에 있어서, 상기 보안관리서버(SMS : Security Management Server)(300)는
N개의 보안패턴모듈(SPM : Security Pattern Module) 및 N개의 에이전트모듈(AM : Agent Module), 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS와 네트워크망을 형성시키고, 패턴에 대한 임계치를 설정해서 네트워크망으로 흐르는 유해패킷 및 과다 트래픽에 대해 1차로 경보신호를 발생시키고, 강제차단시키는 제2 네트워크보안관리부(310)와,
제2 네트워크보안관리부를 통해 네트워크망으로 연결된 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS, 보안패턴모듈에 액세스되어, 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS, 보안패턴모듈의 상태를 모니터링하는 모니터링부(320)와,
제2 네트워크보안관리부를 통해 전달된 정상이벤트, 이상이벤트, 패턴분석결과데이터를 세션 카운트(Session Count), 트랜젝션 처리과정(Transaction Usage), 리턴 로우(Return row)에 관한 추세그래프로 1차 분석시킨 후, 로그분석기를 통해 해커침입여부 및 트래픽 이상 현상여부를 2차 분석시키는 추세·로그분석부(330)와,
추세·로그분석부에 분석된 해커침입 및 트래픽 이상에 대하여, 방어대응요소로서 강제차단 및 보안패치를 설정한 보안필터링모드를 N개의 보안패턴모듈로 출력시키는 보안필터링모드출력부(340)가 구성되는 것을 특징으로 하는 트랜젝션 패턴분석·모니터링을 통한 서비스 네트워크형 통합보안장치.
The method of claim 1, wherein the Security Management Server (SMS) 300
Form N security pattern module (SPM) and N agent module (AM), web server, web application server, general application server, DBMS and network, and set the threshold for pattern A second network security management unit 310 which first generates an alarm signal for the harmful packet and excessive traffic flowing into the network and forcibly blocks it;
Access to the web server, web application server, general application server, DBMS, security pattern module connected to the network through the second network security management unit, to check the status of the web server, web application server, general application server, DBMS, security pattern module Monitoring unit 320 to monitor,
The primary event, abnormal event, and pattern analysis result data transmitted through the second network security management unit are analyzed first with a trend graph regarding session count, transaction usage, and return row. After that, the trend and log analysis unit 330 for secondary analysis of hacker intrusion and traffic abnormality through a log analyzer,
The security filtering mode output unit 340 is configured to output the security filtering mode in which the forced blocking and the security patch are set as N security pattern modules to the hacker intrusion and traffic abnormality analyzed in the trend and log analysis unit. Service network-type integrated security device through the transaction pattern analysis and monitoring, characterized in that the.
제5항에 있어서, 상기 모니터링부(320)는
웹서버, 웹어플리케이션서버, 일반어플서버, DBMS에 연결되어 있는 세션들에 대한 상태정보를 일괄적으로 모니터링시키는 세션모니터링부(Session Monitoring)(321)와,
DBMS로 액세스되는 SQL에 대한 실시간 목록 및 상세 내역을 모니터링시키는 SQL 모니터링부(322)와,
DB별, 호스트별, 보안관점별로 검색조건을 변경시키면서 보고서를 생성시키는 리포트 빌더(Report Builder)(323)와,
감시 대상인 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS로 접속한 클라이언트의 텔넷, FTP, RCmd 로그를 검색조건을 변경시키면서 실시간 감시하는 통신프로토콜 모니터링부(324)로 구성되는 것을 특징으로 하는 트랜젝션 패턴분석·모니터링을 통한 서비스 네트워크형 통합보안장치.
The method of claim 5, wherein the monitoring unit 320
A session monitoring unit 321 for monitoring status information of sessions connected to a web server, a web application server, a general application server, and a DBMS;
SQL monitoring unit 322 for monitoring the real-time list and details of the SQL accessed by the DBMS,
Report Builder (323) for generating a report while changing the search conditions by DB, host, and security perspective,
Transaction pattern characterized in that it consists of a communication protocol monitoring unit 324 to monitor the real-time monitoring of the telnet, FTP, RCmd log of the client connected to the monitoring target web server, web application server, general application server, DBMS Service network type integrated security device through analysis and monitoring.
에이전트모듈을 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS(Database Management System), 보안패턴모듈에 각각 설치시키는 단계(S100)와,
에이전트모듈을 통해 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS, 보안패턴모듈의 상태를 모니터링하면서 패킷을 필터링시키는 단계(S200)와,
에이전트모듈을 통해 로그인, 리소스 이용 현황데이터, 트래픽 흐름데이터에 관한 정상이벤트와, 해커침입, 바이러스 침투에 관한 이상이벤트를 기록한 후, 보안관리서버로 바로 전송시키는 단계(S300)와,
보안패턴모듈을 통해 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS와 연결되어 네트워크망을 형성시키는 단계(S400)와,
보안패턴모듈을 통해 네트워크 형성된 웹서버, 웹어플리케이션서버, 일반어플서버, DBMS에 액세스시켜 클라이언트가 요청한 URL, 및 URL에 들어가는 파라미터 이름, 값, 그리고, 데이터유형에 관한 패턴을 수집하는 단계(S500)와,
보안패턴모듈을 통해 기존의 수집된 패턴과 비교분석하고, 그 패턴분석결과데이터를 보안관리서버로 전송시키는 단계(S600)와,
보안관리서버가 대규모 네트워크 환경 기반을 갖는 N개의 보안패턴모듈(SPM : Security Pattern Module) 및 N개의 에이전트모듈(AM : Agent Module)과 연결되어, 정상이벤트, 이상이벤트, 패턴분석결과데이터를 전달받아 분석한 후, 해커침입 및 트래픽 이상 현상을 탐지하는 단계(S700)와,
보안관리서버의 보안필터링모드출력부를 통해 분석된 해커침입 및 트래픽 이상에 대하여, 방어대응요소로서 강제차단 및 보안패치를 설정한 보안필터링모드를 N개의 보안패턴모듈로 출력시키는 단계(S800)와,
보안패턴모듈에서 보안관리서버(SMS : Security Management Server)로부터 전달된 보안필터링모드를 기반으로 대규모 네트워크 환경에서 탐지된 해커침입 및 트래픽 이상에 대하여 강제차단 및 보안패치를 통해 네트워크상에서 실시간으로 방어하는 단계(S900)로 이루어지는 것을 특징으로 하는 트랜젝션 패턴분석·모니터링을 통한 서비스 네트워크형 통합보안방법.
Installing an agent module in each of the web server, web application server, general application server, DBMS (Database Management System), security pattern module (S100),
Filtering the packet while monitoring the status of the web server, the web application server, the general application server, the DBMS, and the security pattern module through the agent module (S200);
Logging through the agent module, the normal event regarding the resource usage status data, traffic flow data, and abnormal events related to hacker intrusion, virus infiltration, and then directly transmitted to the security management server (S300),
Connecting to a web server, a web application server, a general application server, and a DBMS through a security pattern module to form a network (S400);
Accessing a web server, a web application server, a general application server, and a DBMS formed through a security pattern module to collect URLs requested by the client, parameter names, values, and patterns of data types in the URL (S500). Wow,
Comparing and analyzing the existing collected pattern through the security pattern module, and transmitting the pattern analysis result data to the security management server (S600),
The security management server is connected with N security pattern modules (SPM) and N agent modules (AM) that have a large network environment base, and receives normal event, abnormal event, and pattern analysis result data. After analyzing, detecting the hacker intrusion and traffic abnormality (S700),
Outputting, to the N security pattern modules, the security filtering mode in which forced blocking and security patches are set as defense countermeasures against hacker intrusion and traffic abnormality analyzed through the security filtering mode output unit of the security management server (S800);
Based on the security filtering mode delivered from the Security Management Server (SMS) in the security pattern module, a step for defending in real time on the network through forced blocking and security patch against hacker intrusion and traffic anomaly detected in a large network environment Service network-type integrated security method through the transaction pattern analysis and monitoring, characterized in that consisting of (S900).
제7항에 있어서, 상기 단계(S500)는
패턴수집부에 수집된, 클라이언트가 요청한 URL, 및 URL에 들어가는 파라미터 이름, 값, 그리고, 데이터유형에 관한 패턴은 제2 암호화처리부에 의해 128bit 암호화처리되는 것을 특징으로 하는 트랜젝션 패턴분석·모니터링을 통한 서비스 네트워크형 통합보안방법.The method of claim 7, wherein the step (S500)
The URL collected by the pattern collecting unit, the parameter name, the value, and the data type pattern included in the URL are 128 bit encrypted by the second encryption processing unit. Integrated security method for service network.
KR1020120028043A 2012-03-20 2012-03-20 The apparatus and method of unity security with transaction pattern analysis and monitoring in network KR101282297B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120028043A KR101282297B1 (en) 2012-03-20 2012-03-20 The apparatus and method of unity security with transaction pattern analysis and monitoring in network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120028043A KR101282297B1 (en) 2012-03-20 2012-03-20 The apparatus and method of unity security with transaction pattern analysis and monitoring in network

Publications (1)

Publication Number Publication Date
KR101282297B1 true KR101282297B1 (en) 2013-07-10

Family

ID=48996571

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120028043A KR101282297B1 (en) 2012-03-20 2012-03-20 The apparatus and method of unity security with transaction pattern analysis and monitoring in network

Country Status (1)

Country Link
KR (1) KR101282297B1 (en)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101315686B1 (en) 2013-07-19 2013-10-08 이니텍(주) Control method for posterior auditing of computer network
KR101490052B1 (en) * 2013-10-14 2015-02-04 케이티비솔루션 주식회사 System and method for monitoring illegal remote access of user's terminal
KR101619414B1 (en) 2015-01-06 2016-05-10 한국인터넷진흥원 System for detecting abnomal behaviors using personalized early use behavior pattern analsis
KR101650475B1 (en) * 2016-04-01 2016-09-05 주식회사 엘리바이저 Security device using transaction information obtained from web server
KR101658450B1 (en) * 2016-04-01 2016-09-21 이석우 Security device using transaction information obtained from web application server and proper session id
WO2017171188A1 (en) * 2016-04-01 2017-10-05 주식회사 엘리바이저 Security device using transaction information collected from web application server or web server
KR101804565B1 (en) * 2017-07-25 2017-12-05 주식회사 이노솔루텍 Method of processing merger event and system performing the same
CN109067772A (en) * 2018-09-10 2018-12-21 四川中电启明星信息技术有限公司 A kind of component and safety protecting method for security protection
CN112559561A (en) * 2019-09-10 2021-03-26 联易软件有限公司 Data processing method and related device

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020075319A (en) * 2002-07-19 2002-10-04 주식회사 싸이버텍홀딩스 Intelligent Security Engine and Intelligent and Integrated Security System Employing the Same
KR20040065674A (en) * 2003-01-15 2004-07-23 권창훈 Host-based security system and method
KR20070072835A (en) * 2007-05-21 2007-07-06 이상훈 Web hacking responses through real time web log collection
KR20110033018A (en) * 2009-09-22 2011-03-30 한국전자통신연구원 Collaborative protection method and apparatus for distributed denial of service

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020075319A (en) * 2002-07-19 2002-10-04 주식회사 싸이버텍홀딩스 Intelligent Security Engine and Intelligent and Integrated Security System Employing the Same
KR20040065674A (en) * 2003-01-15 2004-07-23 권창훈 Host-based security system and method
KR20070072835A (en) * 2007-05-21 2007-07-06 이상훈 Web hacking responses through real time web log collection
KR20110033018A (en) * 2009-09-22 2011-03-30 한국전자통신연구원 Collaborative protection method and apparatus for distributed denial of service

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101315686B1 (en) 2013-07-19 2013-10-08 이니텍(주) Control method for posterior auditing of computer network
KR101490052B1 (en) * 2013-10-14 2015-02-04 케이티비솔루션 주식회사 System and method for monitoring illegal remote access of user's terminal
KR101619414B1 (en) 2015-01-06 2016-05-10 한국인터넷진흥원 System for detecting abnomal behaviors using personalized early use behavior pattern analsis
KR101650475B1 (en) * 2016-04-01 2016-09-05 주식회사 엘리바이저 Security device using transaction information obtained from web server
KR101658450B1 (en) * 2016-04-01 2016-09-21 이석우 Security device using transaction information obtained from web application server and proper session id
WO2017171188A1 (en) * 2016-04-01 2017-10-05 주식회사 엘리바이저 Security device using transaction information collected from web application server or web server
US10728267B2 (en) 2016-04-01 2020-07-28 Elevisor Co., Ltd. Security system using transaction information collected from web application server or web server
KR101804565B1 (en) * 2017-07-25 2017-12-05 주식회사 이노솔루텍 Method of processing merger event and system performing the same
CN109067772A (en) * 2018-09-10 2018-12-21 四川中电启明星信息技术有限公司 A kind of component and safety protecting method for security protection
CN112559561A (en) * 2019-09-10 2021-03-26 联易软件有限公司 Data processing method and related device
CN112559561B (en) * 2019-09-10 2023-12-22 联易软件有限公司 Data processing method and related device

Similar Documents

Publication Publication Date Title
KR101282297B1 (en) The apparatus and method of unity security with transaction pattern analysis and monitoring in network
US11775622B2 (en) Account monitoring
US10530831B2 (en) Threat protection for real-time communications gateways
US7373524B2 (en) Methods, systems and computer program products for monitoring user behavior for a server application
US8079080B2 (en) Method, system and computer program product for detecting security threats in a computer network
US9401924B2 (en) Monitoring operational activities in networks and detecting potential network intrusions and misuses
KR100502068B1 (en) Security engine management apparatus and method in network nodes
US20040193943A1 (en) Multiparameter network fault detection system using probabilistic and aggregation analysis
US20050188080A1 (en) Methods, systems and computer program products for monitoring user access for a server application
US20050188221A1 (en) Methods, systems and computer program products for monitoring a server application
US20050188079A1 (en) Methods, systems and computer program products for monitoring usage of a server application
Ganame et al. A global security architecture for intrusion detection on computer networks
US20050198099A1 (en) Methods, systems and computer program products for monitoring protocol responses for a server application
US20050188222A1 (en) Methods, systems and computer program products for monitoring user login activity for a server application
US20050187934A1 (en) Methods, systems and computer program products for geography and time monitoring of a server application user
US20030188189A1 (en) Multi-level and multi-platform intrusion detection and response system
Ficco et al. Intrusion detection in cloud computing
KR20160110913A (en) Cloud service security broker and proxy
Kim et al. DSS for computer security incident response applying CBR and collaborative response
WO2004051929A1 (en) Audit platform system for application process based on components
KR101658450B1 (en) Security device using transaction information obtained from web application server and proper session id
KR20020075319A (en) Intelligent Security Engine and Intelligent and Integrated Security System Employing the Same
KR20020072618A (en) Network based intrusion detection system
KR101910496B1 (en) Network based proxy setting detection system through wide area network internet protocol(IP) validation and method of blocking harmful site access using the same
KR100983549B1 (en) System for defending client distribute denial of service and method therefor

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160712

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180205

Year of fee payment: 5

R401 Registration of restoration
FPAY Annual fee payment

Payment date: 20190109

Year of fee payment: 6

R401 Registration of restoration
FPAY Annual fee payment

Payment date: 20190409

Year of fee payment: 7