KR101336066B1 - Apparatus for managing software distribution for security hardening - Google Patents

Apparatus for managing software distribution for security hardening Download PDF

Info

Publication number
KR101336066B1
KR101336066B1 KR1020130033817A KR20130033817A KR101336066B1 KR 101336066 B1 KR101336066 B1 KR 101336066B1 KR 1020130033817 A KR1020130033817 A KR 1020130033817A KR 20130033817 A KR20130033817 A KR 20130033817A KR 101336066 B1 KR101336066 B1 KR 101336066B1
Authority
KR
South Korea
Prior art keywords
agent
packet
software
policy
unit
Prior art date
Application number
KR1020130033817A
Other languages
Korean (ko)
Inventor
배우정
이장규
Original Assignee
주식회사 아이티스테이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 아이티스테이션 filed Critical 주식회사 아이티스테이션
Priority to KR1020130033817A priority Critical patent/KR101336066B1/en
Application granted granted Critical
Publication of KR101336066B1 publication Critical patent/KR101336066B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/61Installation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/70Software maintenance or management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

A software distribution management apparatus and a method thereof are disclosed. The present invention relates to the software distribution management apparatus comprising: a policy setting unit for setting a software installation policy; an agent confirmation unit for confirming the update condition or installation of the software according to the software installation policy; and a packet transmission and reception unit for transmitting and receiving packets with a monitoring server which manages the web connection of the agent. The packet transmission and reception unit transmits the packet which allows the agent to connect to a web when the agent updates the software according to the software installation policy. [Reference numerals] (400) Internet

Description

보안 강화를 위한 소프트웨어 배포 관리 장치 {Apparatus for managing software distribution for security hardening }Apparatus for managing software distribution for security hardening}

본 발명은 소프트웨어 배포 관리 장치 및 방법에 관한 것으로서, 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치 또는 업데이트하였는지 여부를 확인하여 설치 또는 업데이트 여부에 따라 에이전트의 웹 접속을 실시간으로 허용하거나 차단함으로써, 관공서나 대기업 같은 대형 조직에서 보안 강화를 목적으로 조직원들에게 특정 소프트웨어의 강제 배포가 필요한 경우 이를 용이하게 할 수 있는 소프트웨어 배포 관리 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for managing software distribution, by checking whether an agent has installed or updated software according to the software installation policy, and allowing or blocking the web access of the agent in real time according to whether the agent is installed or updated, The present invention relates to a software distribution management apparatus and method for facilitating the distribution of specific software to employees in a large organization such as a large enterprise for the purpose of strengthening security.

관공서나 대기업 같은 대형 조직에서는 조직원들의 효율적인 업무 및 관리를 위해서는 특정 소프트웨어를 강제로 배포하여야 할 필요가 있다.In large organizations such as government offices and large corporations, it is necessary to forcibly distribute certain software for efficient work and management.

하지만 종래에는 조직원들의 바쁜 업무로 인하여 소프트웨어의 설치를 게을리하거나 추후 설치하기로 마음을 먹었다가 이를 잊어먹어서 설치하지 않는 경우가 많았다. 또한, 소프트웨어의 업데이트도 마찬가지로 조직원에 따라서는 업데이트가 되어 있지 않은 경우가 많이 있었다.However, in the past, due to the busy work of the members of the organization neglected the installation of the software or decided to install later, but often forget to install it. Similarly, software updates have not been updated in some organizations.

따라서, 종래에는 관리 서버 등을 통해서 조직원들의 컴퓨터에 소프트웨어가 설치되었는지 여부를 확인하여 설치되어 있지 않은 경우에 조직원에게 설치를 통보하는 시스템이 존재하였다. 하지만 이러한 종래의 시스템은 웹 차단 해제 시간의 지연 등의 이유로 실용성이 떨어져서 실제 배포에는 크게 도움이 되지 못하고, 해당 소프트웨어의 설치 여부만 확인할 뿐 업데이트 여부는 확인하지 아니하므로 업데이트의 누락 시에는 이를 알 수 없는 문제점이 있었다.Therefore, in the related art, there has been a system for confirming whether or not the software is installed on a computer of an organization through a management server or the like and notifying the installation of the organization when it is not installed. However, such a conventional system is not practically useful due to the lack of practicality due to the delay of web unblocking time, and it is not useful for actual deployment. There was no problem.

본 발명의 목적은, 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치 또는 업데이트하였는지 여부를 확인하여 설치 또는 업데이트 여부에 따라 에이전트의 웹 접속을 실시간으로 허용하거나 차단함으로써, 관공서나 대기업 같은 대형 조직에서 조직원들에게 특정 소프트웨어의 강제 배포가 필요한 경우 이를 용이하게 할 수 있는 소프트웨어 배포 관리 장치 및 방법을 제공하는 것이다.An object of the present invention is to determine whether the agent has installed or updated the software in accordance with the software installation policy, and to allow or block the agent's web access in real time according to whether the agent is installed or updated, thereby providing a member of the organization in a large organization such as a public office or a large enterprise. It is to provide a software distribution management apparatus and method that can facilitate this if the forced distribution of specific software.

본 발명의 일 실시예에 따른 소프트웨어 배포 관리 장치는, 소프트웨어 설치 정책을 설정하는 정책 설정부; 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치 또는 업데이트하였는지 여부를 확인하는 에이전트 확인부; 및 상기 에이전트 및 상기 에이전트의 웹 접속을 관리하는 감시 서버와 패킷을 서로 송수신하는 패킷 송수신부를 포함하되, 상기 패킷 송수신부는, 상기 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치 또는 업데이트한 경우에는, 상기 에이전트의 웹 접속을 허용하는 허가 패킷을 상기 감시 서버에 송신하도록 구성된다.Software distribution management apparatus according to an embodiment of the present invention, the policy setting unit for setting a software installation policy; An agent checking unit for checking whether an agent has installed or updated the software according to the software installation policy; And a packet transceiver configured to transmit and receive a packet to and from the agent and a monitoring server managing the web connection of the agent, wherein the packet transceiver includes, when the agent installs or updates software according to the software installation policy, And send an authorization packet to the monitoring server allowing an agent's web connection.

상기 패킷 송수신부는, 상기 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치 또는 업데이트하지 않은 경우에는, 상기 에이전트의 웹 접속을 차단하는 차단 패킷을 상기 감시 서버에 송신할 수 있다.When the agent does not install or update the software according to the software installation policy, the packet transceiver may transmit a blocking packet to block the web connection of the agent to the monitoring server.

상기 패킷 송수신부는, UDP(User Datagram Protocol) 통신을 통하여 UDP 패킷을 서로 송수신할 수 있다.The packet transceiving unit may transmit and receive UDP packets to each other through UDP (User Datagram Protocol).

상기 패킷 송수신부는, 상기 UDP 패킷을 암호화하여 송수신할 수 있다.The packet transceiver may encrypt and transmit the UDP packet.

상기 소프트웨어 배포 관리 장치는, 상기 패킷 송수신부를 통해 수신되는 패킷을 분석하여 분산서비스거부(DDoS: Distributed Denial-of-Service) 공격인지 여부를 확인하는 공격 탐지부를 더 포함할 수 있다.The apparatus for managing software distribution may further include an attack detection unit for analyzing a packet received through the packet transmission / reception unit to determine whether a distributed denial-of-service (DDoS) attack is performed.

상기 공격 탐지부는, DDoS 공격으로 판단되는 경우, 해당 패킷을 송신하는 에이전트를 차단하는 차단 패킷을 송신하라는 명령을 상기 패킷 송수신부로 보낼 수 있다.When it is determined that the attack detection unit is a DDoS attack, the attack detection unit may send a command to the packet transmission / reception unit to transmit a blocking packet that blocks an agent transmitting the packet.

본 발명의 일 실시예에 따른 소프트웨어 배포 관리 방법은, 소프트웨어 설치 정책을 설정하는 단계; 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치 또는 업데이트하였는지 여부를 확인하는 단계; 및 상기 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치 또는 업데이트한 경우에는 상기 에이전트의 웹 접속을 허용하는 허가 패킷을 상기 에이전트의 웹 접속을 관리하는 감시 서버에 송신하는 단계를 포함하여 구성된다.Software distribution management method according to an embodiment of the present invention, the step of setting the software installation policy; Checking whether an agent has installed or updated the software according to the software installation policy; And when the agent installs or updates the software according to the software installation policy, transmitting an authorization packet allowing the agent's web access to the monitoring server managing the agent's web connection.

상기 소프트웨어 배포 관리 방법은, 상기 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치 또는 업데이트하지 않은 경우에는, 상기 에이전트의 웹 접속을 차단하는 차단 패킷을 상기 감시 서버에 송신하는 단계를 더 포함할 수 있다.The software distribution management method may further include transmitting, to the monitoring server, a blocking packet that blocks web access of the agent when the agent does not install or update software according to the software installation policy. .

상기 허가 패킷 및 상기 차단 패킷은, UDP(User Datagram Protocol) 패킷이고, UDP 통신을 통하여 송신될 수 있다.The permission packet and the blocking packet are UDP (User Datagram Protocol) packets, and may be transmitted through UDP communication.

상기 UDP 패킷은, 암호화되어 송수신될 수 있다.The UDP packet may be encrypted and transmitted and received.

상기 소프트웨어 배포 관리 방법은, 수신되는 패킷을 분석하여 분산서비스거부(DDoS: Distributed Denial-of-Service) 공격인지 여부를 확인하는 단계를 더 포함할 수 있다.The software distribution management method may further include analyzing a received packet to determine whether a distributed denial-of-service (DDoS) attack is present.

상기 소프트웨어 배포 관리 방법은, DDoS 공격으로 판단되는 경우, 해당 패킷을 송신하는 에이전트를 차단하는 차단 패킷을 상기 감시 서버에 송신하는 단계를 더 포함할 수 있다.The software distribution management method may further include transmitting, to the monitoring server, a blocking packet that blocks an agent transmitting the packet when it is determined that the DDoS attack is performed.

본 발명의 일 측면에 따르면, 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치 또는 업데이트하였는지 여부를 확인하여 설치 또는 업데이트 여부에 따라 에이전트의 웹 접속을 즉각적으로 허용하거나 차단하여 웹 사용의 지연이 일어나지 않도록 함으로써, 관공서나 대기업 같은 대형 조직에서 조직원들에게 특정 소프트웨어의 강제 배포가 필요한 경우 사용자의 인터넷 사용에 대한 불편 없이 이를 용이하게 할 수 있는 소프트웨어 배포 관리 장치 및 방법을 제공할 수 있다.According to an aspect of the present invention, by checking whether the agent has installed or updated the software according to the software installation policy to immediately allow or block the web access of the agent according to whether or not installed or updated so that there is no delay in using the web. By doing so, in a large organization such as a government office or a large company, it is possible to provide an organization and a method for managing software distribution that can facilitate the user's use of the Internet when a forced distribution of specific software is required.

도 1은 본 발명의 일 실시예에 따른 소프트웨어 배포 관리 장치를 포함한 소프트웨어 배포 관리 시스템의 구성을 개략적으로 도시한 도면이다.
도 2는 본 발명의 일 실시예에 따른 소프트웨어 배포 관리 장치를 개략적으로 도시한 도면이다.
도 3은 본 발명의 일 실시예에 따른 소프트웨어 배포 관리 방법을 설명하기 위한 순서도이다.1 is a diagram schematically illustrating a configuration of a software distribution management system including a software distribution management apparatus according to an embodiment of the present invention.
2 is a diagram schematically illustrating an apparatus for managing software distribution according to an embodiment of the present invention.
3 is a flowchart illustrating a software distribution management method according to an embodiment of the present invention.

본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.The present invention will now be described in detail with reference to the accompanying drawings. Hereinafter, a repeated description, a known function that may obscure the gist of the present invention, and a detailed description of the configuration will be omitted. Embodiments of the present invention are provided to more fully describe the present invention to those skilled in the art. Accordingly, the shapes and sizes of the elements in the drawings and the like can be exaggerated for clarity.

명세서 전체에서, 어떤 부분이 어떤 구성 요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when an element is referred to as "comprising ", it means that it can include other elements as well, without excluding other elements unless specifically stated otherwise.

또한, 명세서에 기재된 "...부"의 용어는 하나 이상의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
Further, the term "part" in the description means a unit for processing one or more functions or operations, which may be implemented by hardware, software, or a combination of hardware and software.

도 1은 본 발명의 일 실시예에 따른 소프트웨어 배포 관리 장치를 포함한 소프트웨어 배포 관리 시스템의 구성을 개략적으로 도시한 도면이다.1 is a diagram schematically illustrating a configuration of a software distribution management system including a software distribution management apparatus according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 일 실시예에 따른 소프트웨어 배포 관리 장치(100)를 포함한 소프트웨어 배포 관리 시스템에서 소프트웨어 배포 관리 장치(100)는 에이전트(200) 및 감시 서버(300)와 연결되어 동작할 수 있다. 소프트웨어 배포 관리 장치(100), 에이전트(200) 및 감시 서버(300)는 유선 또는 무선으로 인터넷을 통하여 연결될 수 있다.Referring to FIG. 1, in a software distribution management system including a software distribution management apparatus 100 according to an embodiment of the present invention, the software distribution management apparatus 100 is connected to an agent 200 and a monitoring server 300 to operate. can do. The software distribution management apparatus 100, the agent 200, and the monitoring server 300 may be connected via wired or wirelessly through the Internet.

소프트웨어 배포 관리 장치(100)는 에이전트(200)의 소프트웨어 배포를 관리하고, 감시 서버(300)에 에이전트(200)의 인터넷(400) 접속을 허용하거나 차단하기 위한 패킷을 송신하여 에이전트(200)의 웹 접속을 제어한다. 일 실시예에서, 소프트웨어 배포 관리 장치(100)는 서버의 형태이거나, 서버에 포함된 형태일 수 있다.The software distribution management apparatus 100 manages software distribution of the agent 200, and transmits a packet for allowing or blocking the access of the agent 400 to the Internet 400 to the monitoring server 300 to transmit the packet of the agent 200. Control web access. In one embodiment, the software distribution management apparatus 100 may be in the form of a server or included in the server.

에이전트(200)는 소프트웨어를 설치하는 장치로서, 소프트웨어 배포 관리 장치(100)가 소프트웨어를 강제 배포하는 대상이 된다. 일 실시예에서, 에이전트(200)는 구성원의 개인용 컴퓨터(PC; Personal Computer)일 수 있다. 에이전트(200)는 인터넷(400)에 연결되어 있으며, 소프트웨어 배포 관리 장치(100) 및 감시 서버(300)의 제어에 따라 인터넷(400) 접속이 허용되거나 차단될 수 있다.The agent 200 is a device for installing software, and the software distribution management device 100 becomes a target for forcibly distributing the software. In one embodiment, the agent 200 may be a member's personal computer (PC). The agent 200 is connected to the Internet 400, and access to the Internet 400 may be allowed or blocked under the control of the software distribution management apparatus 100 and the monitoring server 300.

감시 서버(300)는 소프트웨어 배포 관리 장치(100)로부터 에이전트(200)를 제어하는 허가 패킷 또는 차단 패킷을 받아서, 에이전트(200)의 웹 접속을 허가하거나 차단하는 신호를 에이전트(200)에 송신한다.
The monitoring server 300 receives a permission packet or a blocking packet for controlling the agent 200 from the software distribution management apparatus 100, and transmits a signal for allowing or blocking the web connection of the agent 200 to the agent 200. .

도 2는 본 발명의 일 실시예에 따른 소프트웨어 배포 관리 장치를 개략적으로 도시한 도면이다.2 is a diagram schematically illustrating an apparatus for managing software distribution according to an embodiment of the present invention.

도 2를 참조하면, 본 발명의 일 실시예에 따른 소프트웨어 배포 관리 장치(100)는 정책 설정부(110), 에이전트 확인부(120), 패킷 송수신부(130) 및 공격 탐지부(140)를 포함하여 구성될 수 있다. 도 2에 도시된 소프트웨어 배포 관리 장치(100)는 일 실시예에 따른 것이고, 그 구성요소들이 도 2에 도시된 실시예에 한정되는 것은 아니며, 필요에 따라 일부 구성요소가 부가, 변경 또는 삭제될 수 있다.2, the software distribution management apparatus 100 according to an embodiment of the present invention may include a policy setting unit 110, an agent checking unit 120, a packet transmitting and receiving unit 130, and an attack detection unit 140. It can be configured to include. The software distribution management apparatus 100 shown in FIG. 2 is according to an embodiment, and its components are not limited to the embodiment shown in FIG. 2, and some components may be added, changed, or deleted as necessary. Can be.

정책 설정부(110)는 소프트웨어 설치 정책을 설정한다. 소프트웨어 설치 정책은 설치 배포 설정 파일의 형태로 구성될 수 있으며, 생성되는 파일의 버전, 파일 크기 정보 및 레지스트리 정보 중 하나 이상을 포함할 수 있다. 소프트웨어 설치 정책은 사용자의 입력을 받아 설정될 수 있다. 정책 설정부(110)는 소프트웨어 설치 정책이 설정되면, 에이전트(200)의 확인 요청을 받아 새로운 소프트웨어 설치 정책을 패킷 송수신부(130)를 통하여 에이전트(200)에 통보한다. 소프트웨어 설치 정책을 통보 받은 에이전트(200)는 해당 소프트웨어를 설치할 수 있다. 또한, 정책 설정부(110)는 소프트웨어 설치 정책에 변경 사항이 발생할 경우에, 정책 설정부(110)는 패킷 송수신부(130)를 통하여 해당 변경 사항을 실시간으로 감시 서버(300)로 송신할 수 있다.The policy setting unit 110 sets a software installation policy. The software installation policy may be configured in the form of an installation distribution configuration file, and may include one or more of a version of a generated file, file size information, and registry information. The software installation policy may be set by receiving input from a user. When the software installation policy is set, the policy setting unit 110 receives the confirmation request from the agent 200 and notifies the agent 200 of the new software installation policy through the packet transceiver 130. The agent 200 notified of the software installation policy may install the corresponding software. In addition, when a change occurs in the software installation policy, the policy setting unit 110 may transmit the change to the monitoring server 300 in real time through the packet transceiver 130. have.

에이전트 확인부(120)는 에이전트(200)가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치 또는 업데이트하였는지 여부를 확인한다.The agent verification unit 120 checks whether the agent 200 has installed or updated the software according to the software installation policy.

패킷 송수신부(130)는 에이전트(200) 및 감시 서버(300)와 패킷을 서로 송수신한다. 일 실시예에서, 패킷 송수신부(130)는 에이전트(200)가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치 또는 업데이트한 경우에는, 에이전트(200)의 웹 접속을 허용하는 허가 패킷을 감시 서버(300)에 송신할 수 있다. 감시 서버(300)는 허가 패킷을 수신하면, 더 이상 해당 에이전트의 웹 접속 패킷을 차단하지 않고, 에이전트(200)의 웹 접속이 가능해 진다. 에이전트(200)는 사용자 PC에 설치될 수 있고, 실제로는 사용자 PC의 웹접속이 차단되거나 가능해질 수 있다.The packet transceiver 130 transmits and receives a packet to and from the agent 200 and the monitoring server 300. In one embodiment, when the agent 200 is installed or updated in accordance with the software installation policy, the packet transmission and reception unit 130 monitors the permission packet for allowing the web connection of the agent 200, the monitoring server 300 Can be sent to When the monitoring server 300 receives the permission packet, the monitoring server 300 no longer blocks the web access packet of the agent, and enables the web connection of the agent 200. The agent 200 may be installed in the user PC, and in reality, the web connection of the user PC may be blocked or enabled.

또는, 패킷 송수신부(130)는 에이전트(200)가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치 또는 업데이트하지 않은 경우에는, 에이전트(200)의 웹 접속을 차단하는 차단 패킷을 감시 서버(300)에 송신할 수 있다. 감시 서버(300)는 차단 패킷을 수신하면, 에이전트(200)의 웹 접속을 차단하는 신호를 에이전트(200)에 송신하게 되고, 에이전트(200)의 웹 접속은 차단된다.Alternatively, when the agent 200 does not install or update the software according to the software installation policy, the packet transceiver 130 transmits a blocking packet to the monitoring server 300 to block web access of the agent 200. can do. When the monitoring server 300 receives the blocking packet, the monitoring server 300 transmits a signal for blocking the web connection of the agent 200 to the agent 200, and the web connection of the agent 200 is blocked.

일 실시예에서, 패킷 송수신부(130)는 UDP(User Datagram Protocol) 통신을 통하여 UDP 패킷을 서로 송수신할 수 있다. 이 때, 패킷 송수신부(130)는 통신 포트(port)를 열지 않고 통신을 수행함으로써, 포트 스캐닝(scanning)을 예방하여 기밀성을 유지할 수 있게 된다. In one embodiment, the packet transceiver 130 may transmit and receive UDP packets to each other through User Datagram Protocol (UDP) communication. In this case, the packet transceiver 130 may perform communication without opening a communication port, thereby preventing port scanning and maintaining confidentiality.

또한, 패킷 송수신부(130)는 상기 UDP 패킷을 암호화하여 송수신할 수 있다. 이와 같이 UDP 패킷을 암호화하여 송수신함으로써, 에이전트(200)가 속임수로 소프트웨어 설치를 보고하는 행위를 방지할 수 있다.In addition, the packet transceiver 130 may encrypt and transmit the UDP packet. By encrypting and transmitting the UDP packet in this manner, it is possible to prevent the agent 200 from reporting the software installation in a deceptive manner.

이처럼, 본 발명의 일 실시예에 따른 소프트웨어 배포 관리 장치(100)는 사용자의 에이전트(200)의 소프트웨어 설치 여부를 확인하여 배포된 소프트웨어가 삭제되면 다시 웹 차단을 수행함으로써, 특정 소프트웨어의 강제 배포가 필요한 경우 이를 용이하게 할 수 있게 된다.As such, the software distribution management apparatus 100 according to an embodiment of the present invention checks whether the user's agent 200 installs the software and if the distributed software is deleted, performs web blocking again, thereby forcing the distribution of specific software. This can be done easily if necessary.

본 발명의 일 실시예에 따른 소프트웨어 배포 관리 장치(100)는 관공서 또는 대기업과 같은 대형 조직에 구비된 서버의 형태일 수 있으므로, 에이전트(200)를 통한 분산서비스거부(DDoS: Distributed Denial-of-Service) 공격과 같은 공격의 대상이 될 수 있다. 이에, 본 발명의 일 실시예에 따른 소프트웨어 배포 관리 장치(100)는 DDoS 공격을 방지하기 위하여 공격 탐지부(140)를 더 포함할 수 있다.Software distribution management apparatus 100 according to an embodiment of the present invention may be in the form of a server provided in a large organization, such as a public office or a large company, Distributed Denial-of-Drop (DDoS) through the agent (200) Service) can be the target of attacks. Thus, the software distribution management apparatus 100 according to an embodiment of the present invention may further include an attack detector 140 to prevent a DDoS attack.

공격 탐지부(140)는 패킷 송수신부(130)를 통해 수신되는 패킷을 분석하여 DDoS 공격인지 여부를 확인한다. 일 실시예에서, DDoS 공격은 패킷 송수신부(130)가 UDP 통신을 이용하는 경우에는, UDP 플러딩(flooding) 공격일 수 있다.The attack detector 140 analyzes the packet received through the packet transceiver 130 and checks whether the attack is a DDoS attack. In one embodiment, the DDoS attack may be a UDP flooding attack when the packet transceiver 130 uses UDP communication.

공격 탐지부(140)는 패킷 송수신부(130)를 통해 수신되는 패킷을 분석한 결과, DDoS 공격으로 판단되는 경우, 해당 패킷을 송신하는 에이전트를 차단하는 차단 패킷을 송신하라는 명령을 패킷 송수신부(130)로 보낸다. 이러한 명령을 받은 패킷 송수신부(130)는 해당 패킷을 송신하는 에이전트를 차단하는 차단 패킷을 감시 서버(300)로 송신하게 된다. 그리고 이러한 차단 패킷을 수신한 감시 서버(300)는 해당 패킷을 송신하는 에이전트를 차단한다.
When the attack detection unit 140 analyzes the packet received through the packet transceiver unit 130 and determines that it is a DDoS attack, the attack detection unit 140 transmits a command to transmit a blocking packet to block an agent transmitting the packet. 130). The packet transmission / reception unit 130 receiving the command transmits a blocking packet to the monitoring server 300 to block an agent transmitting the packet. The monitoring server 300 receiving the blocking packet blocks the agent transmitting the packet.

도 3은 본 발명의 일 실시예에 따른 소프트웨어 배포 관리 방법을 설명하기 위한 순서도이다.3 is a flowchart illustrating a software distribution management method according to an embodiment of the present invention.

도 3을 참조하면, 본 발명의 일 실시예에 따른 소프트웨어 배포 관리 방법이 시작되면, 먼저 소프트웨어 설치 정책을 설정하고(S11), 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치하였는지 여부를 확인한다(S12). 단계(S12)에서 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치하지 않은 경우에는, 상기 에이전트의 웹 접속을 차단하는 차단 패킷을 상기 감시 서버에 송신한다(S13).Referring to FIG. 3, when a software distribution management method according to an embodiment of the present invention starts, first, a software installation policy is set (S11), and an agent checks whether software is installed according to the software installation policy (S11). S12). If the agent does not install the software according to the software installation policy in step S12, a blocking packet for blocking web access of the agent is transmitted to the monitoring server (S13).

또는, 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치한 경우에는 단계(S14)로 넘어가서, 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 업데이트하였는지 여부를 확인한다(S14). 단계(S14)에서 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 업데이트하지 않은 경우에는, 상기 에이전트의 웹 접속을 차단하는 차단 패킷을 상기 감시 서버에 송신한다(S13).Or, if the agent installs the software according to the software installation policy, the process proceeds to step S14 to check whether the agent has updated the software according to the software installation policy (S14). If the agent does not update the software according to the software installation policy in step S14, a blocking packet for blocking web access of the agent is transmitted to the monitoring server (S13).

또는, 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 업데이트한 경우에는 단계(S15)로 넘어가서, 상기 에이전트의 웹 접속을 허용하는 허가 패킷을 상기 감시 서버에 송신한다(S15).Or, if the agent updates the software according to the software installation policy, the process proceeds to step S15 and transmits an authorization packet allowing the agent's web connection to the monitoring server (S15).

이 때, 단계(S13) 및 단계(S15)에서 상기 허가 패킷 및 상기 차단 패킷은 UDP 패킷일 수 있고, UDP 통신을 통하여 송신될 수 있다. 그리고 상기 UDP 패킷은 암호화되어 송수신될 수 있다.At this time, the permission packet and the blocking packet in step S13 and step S15 may be a UDP packet, and may be transmitted through UDP communication. The UDP packet may be encrypted and transmitted and received.

일 실시예에서, 본 발명의 일 실시예에 따른 소프트웨어 배포 관리 방법은, 수신되는 패킷을 분석하여 DDoS 공격인지 여부를 확인하고, DDoS 공격으로 판단되는 경우, 해당 패킷을 송신하는 에이전트를 차단하는 차단 패킷을 상기 감시 서버에 송신하는 과정을 더 포함할 수 있다.In one embodiment, the software distribution management method according to an embodiment of the present invention, by analyzing the received packet to determine whether or not the DDoS attack, if it is determined that the DDoS attack, blocking blocking the agent sending the packet The method may further include transmitting a packet to the monitoring server.

도 3에 도시된 소프트웨어 배포 관리 방법은 도 1 및 도 2에 도시된 본 발명의 일 실시예에 따른 소프트웨어 배포 관리 장치와 유사하게 소프트웨어 배포 관리 과정이 진행되므로 특별한 언급이 없는 한 도 1 및 도 2에의 설명이 그대로 적용되므로 상세한 설명은 생략하도록 한다. 도 3에서도 도 1 및 도 2에서와 마찬가지로 도 3에 도시된 순서도의 각 단계들은 모든 단계가 필수 단계는 아니며, 다른 실시예에서 일부 단계가 추가, 변경 또는 삭제될 수 있다.In the software distribution management method illustrated in FIG. 3, the software distribution management process proceeds similarly to the software distribution management apparatus according to one embodiment of the present invention illustrated in FIGS. 1 and 2. Since the description of the above is applied as it is, the detailed description will be omitted. In FIG. 3, as in FIGS. 1 and 2, each step of the flowchart illustrated in FIG. 3 is not mandatory, and in some embodiments, some steps may be added, changed, or deleted.

전술한 소프트웨어 배포 관리 방법은 도면에 제시된 순서도를 참조로 하여 설명되었다. 간단히 설명하기 위하여 상기 방법은 일련의 블록들로 도시되고 설명되었으나, 본 발명은 상기 블록들의 순서에 한정되지 않고, 몇몇 블록들은 다른 블록들과 본 명세서에서 도시되고 기술된 것과 상이한 순서로 또는 동시에 일어날 수도 있으며, 동일한 또는 유사한 결과를 달성하는 다양한 다른 분기, 흐름 경로, 및 블록의 순서들이 구현될 수 있다. 또한, 본 명세서에서 기술되는 방법의 구현을 위하여 도시된 모든 블록들이 요구되지 않을 수도 있다.
The aforementioned software distribution management method has been described with reference to the flowchart shown in the drawings. While the above method has been shown and described as a series of blocks for purposes of simplicity, it is to be understood that the invention is not limited to the order of the blocks, and that some blocks may be present in different orders and in different orders from that shown and described herein And various other branches, flow paths, and sequences of blocks that achieve the same or similar results may be implemented. Also, not all illustrated blocks may be required for implementation of the methods described herein.

이상 본 발명의 특정 실시예를 도시하고 설명하였으나, 본 발명의 기술사상은 첨부된 도면과 상기한 설명내용에 한정하지 않으며 본 발명의 사상을 벗어나지 않는 범위 내에서 다양한 형태의 변형이 가능함은 이 분야의 통상의 지식을 가진 자에게는 자명한 사실이며, 이러한 형태의 변형은, 본 발명의 정신에 위배되지 않는 범위 내에서 본 발명의 특허청구범위에 속한다고 볼 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is clearly understood that the same is by way of illustration and example only and is not to be taken as limitations. It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims.

100: 소프트웨어 배포 관리 장치
110: 정책 설정부
120: 에이전트 확인부
130: 패킷 송수신부
140: 공격 탐지부
200: 에이전트
300: 감시 서버100: software distribution management device
110: policy setting unit
120: agent confirmation unit
130: packet transceiver
140: attack detection unit
200: agent
300: Surveillance Server

Claims (12)

소프트웨어 배포 관리 장치에 있어서,
소프트웨어 설치 정책을 설정하는 정책 설정부;
에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치 또는 업데이트하였는지 여부를 확인하는 에이전트 확인부;
상기 에이전트 및 상기 에이전트의 웹 접속을 관리하는 감시 서버와 패킷을 서로 송수신하는 패킷 송수신부; 및
상기 패킷 송수신부를 통해 수신되는 패킷을 분석하여 분산서비스거부(DDoS: Distributed Denial-of-Service) 공격인지 여부를 확인하는 공격 탐지부를 포함하되,
상기 패킷 송수신부는,
상기 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치 또는 업데이트한 경우에는, 상기 에이전트의 웹 접속을 허용하는 허가 패킷을 사용하여 실시간으로 상기 감시서버를 제어하고,
상기 패킷 송수신부는,
상기 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치 또는 업데이트하지 않은 경우에는, 상기 에이전트의 웹 접속을 차단하는 차단 패킷을 상기 감시 서버에 송신하고,
상기 공격 탐지부는,
DDoS 공격으로 판단되는 경우, 해당 패킷을 송신하는 에이전트를 차단하는 차단 패킷을 송신하라는 명령을 상기 패킷 송수신부로 보내고, 상기 패킷 송수신부는 해당 패킷을 송신하는 에이전트를 차단하는 차단 패킷을 감시서버로 송신하고, 상기 차단 패킷을 수신한 상기 감시서버는 해당 패킷을 송신하는 에이전트를 차단하고,
상기 정책 설정부는,
소프트웨어 설치 정책을 설치 배포 설정 파일의 형태로 구성하고, 상기 배포 설정 파일은 생성되는 파일의 버전, 파일 크기 정보 및 레지스트리 정보를 포함하고,
상기 정책 설정부는 상기 소프트웨어 설치 정책을 사용자로부터 입력을 받아 설정하고, 상기 정책 설정부는 소프트웨어 설치 정책이 설정되면, 새로운 소프트웨어 설치 정책을 상기 패킷 송수신부를 통하여 에이전트에 통보하고,
상기 정책 설정부는 소프트웨어 설치 정책에 변경 사항이 발생할 경우, 상기 정책 설정부는 상기 패킷 송수신부를 통하여 변경 사항을 실시간으로 상기 감시 서버로 송신하고,
상기 패킷 송수신부는,
UDP(User Datagram Protocol) 통신을 통하여 UDP 패킷을 서로 송수신하고,
상기 소프트웨어 배포 관리 장치는,
상기 에이전트의 소프트웨어 설치 여부를 확인하여 배포된 소프트웨어가 삭제되면 다시 웹 차단을 수행하여 특정 소프트웨어의 강제 배포를 수행하는 것을 특징으로 하는 소프트웨어 배포 관리 장치.In the software distribution management device,
A policy setting unit for setting a software installation policy;
An agent checking unit for checking whether an agent has installed or updated the software according to the software installation policy;
A packet transmission / reception unit configured to transmit and receive packets to and from the agent and the monitoring server managing the web connection of the agent; And
Including an attack detection unit for determining whether or not a distributed denial-of-service (DDoS) attack by analyzing the packet received through the packet transmission and reception unit,
The packet transceiver unit,
When the agent installs or updates the software according to the software installation policy, the monitoring server is controlled in real time using an authorization packet that allows the agent to access the web.
The packet transceiver unit,
If the agent does not install or update the software according to the software installation policy, it sends a blocking packet to the monitoring server to block the web access of the agent,
The attack detection unit detects,
If it is determined that the DDoS attack, and sends a command to the packet transmitting and receiving unit to block the agent sending the packet, the packet transmission and reception unit transmits a blocking packet blocking the agent sending the packet to the monitoring server. The surveillance server receiving the blocking packet blocks the agent transmitting the packet.
The policy setting unit,
Configure a software installation policy in the form of an installation deployment configuration file, the deployment configuration file including the version of the file being created, file size information and registry information,
The policy setting unit receives and sets the software installation policy from a user, and when the software setting policy is set, the policy setting unit notifies an agent of a new software installation policy to the agent through the packet transmission and reception unit.
When the policy setting unit changes the software installation policy, the policy setting unit transmits the change to the monitoring server in real time through the packet transceiver unit.
The packet transceiver unit,
Send and receive UDP packets to each other through UDP (User Datagram Protocol),
The software distribution management device,
When the distributed software is deleted by checking whether the agent is installed or not, the web distribution is again performed to force distribution of specific software. 삭제delete 삭제delete 제1항에 있어서,
상기 패킷 송수신부는,
상기 UDP 패킷을 암호화하여 송수신하는 것을 특징으로 하는 소프트웨어 배포 관리 장치.The method of claim 1,
The packet transceiver unit,
Software distribution management device, characterized in that for transmitting and receiving the encrypted UDP packet. 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete
KR1020130033817A 2013-03-28 2013-03-28 Apparatus for managing software distribution for security hardening KR101336066B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130033817A KR101336066B1 (en) 2013-03-28 2013-03-28 Apparatus for managing software distribution for security hardening

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130033817A KR101336066B1 (en) 2013-03-28 2013-03-28 Apparatus for managing software distribution for security hardening

Publications (1)

Publication Number Publication Date
KR101336066B1 true KR101336066B1 (en) 2013-12-03

Family

ID=49987070

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130033817A KR101336066B1 (en) 2013-03-28 2013-03-28 Apparatus for managing software distribution for security hardening

Country Status (1)

Country Link
KR (1) KR101336066B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110002947A (en) * 2009-07-03 2011-01-11 (주)넷맨 Network access control system using install information of mandatory program and method thereof
KR101147483B1 (en) * 2011-11-25 2012-05-22 주식회사 엑스엔시스템즈 Hybrid distributed denial of service prevention system and method thereof

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110002947A (en) * 2009-07-03 2011-01-11 (주)넷맨 Network access control system using install information of mandatory program and method thereof
KR101147483B1 (en) * 2011-11-25 2012-05-22 주식회사 엑스엔시스템즈 Hybrid distributed denial of service prevention system and method thereof

Similar Documents

Publication Publication Date Title
US11936619B2 (en) Combined security and QOS coordination among devices
US10824736B2 (en) Industrial security agent platform
KR101143847B1 (en) Network security apparatus and method thereof
KR101503813B1 (en) Mobile device management system and method using device to device communication
US11263342B2 (en) Context-based access control and revocation for data governance and loss mitigation
US9210128B2 (en) Filtering of applications for access to an enterprise network
AU2015200416A1 (en) Method and system for extrusion and intrusion detection in a cloud computing environment
CN101188851B (en) Access control method for mobile terminal
Kravets et al. Mobile security solution for enterprise network
KR101534566B1 (en) Apparatus and method for security control of cloud virtual desktop
KR20190048587A (en) METHOD FOR SECURITING REMOTELY INTERNET OF THINGS(IoT) AND APPARATUS USING THE SAME
WO2015169003A1 (en) Account assignment method and apparatus
JP2006260027A (en) Quarantine system, and quarantine method using vpn and firewall
EP3001639B1 (en) Industrial security agent platform
KR102219018B1 (en) Blockchain based data transmission method in internet of things
KR101336066B1 (en) Apparatus for managing software distribution for security hardening
Choi et al. Corporate wireless LAN security: threats and an effective security assessment framework for wireless information assurance
KR101591053B1 (en) Remote control method and system using push service
Bilski New challenges in network security
GB2574334A (en) Combined security and QOS coordination among devices
KR100507761B1 (en) System and method for harmful traffic detection and response
Frantti et al. A risk-driven security analysis for a bluetooth low energy based microdata ecosystem
KR20190097555A (en) Method and apparatus for e-mail service
GB2574339A (en) Combined security and QOS coordination among devices
KR20130021853A (en) Seamless encryption and decryption service system and method thereof

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20161013

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20171109

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180927

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20191104

Year of fee payment: 9