KR101336066B1 - Apparatus for managing software distribution for security hardening - Google Patents
Apparatus for managing software distribution for security hardening Download PDFInfo
- Publication number
- KR101336066B1 KR101336066B1 KR1020130033817A KR20130033817A KR101336066B1 KR 101336066 B1 KR101336066 B1 KR 101336066B1 KR 1020130033817 A KR1020130033817 A KR 1020130033817A KR 20130033817 A KR20130033817 A KR 20130033817A KR 101336066 B1 KR101336066 B1 KR 101336066B1
- Authority
- KR
- South Korea
- Prior art keywords
- agent
- packet
- software
- policy
- unit
- Prior art date
Links
- 238000012544 monitoring process Methods 0.000 claims abstract description 31
- 238000000034 method Methods 0.000 claims abstract description 12
- 230000005540 biological transmission Effects 0.000 claims abstract description 10
- 238000009434 installation Methods 0.000 claims abstract description 5
- 230000000903 blocking effect Effects 0.000 claims description 27
- 238000001514 detection method Methods 0.000 claims description 9
- 238000013475 authorization Methods 0.000 claims description 4
- 238000012790 confirmation Methods 0.000 abstract description 3
- 238000007726 management method Methods 0.000 description 36
- 230000008520 organization Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/61—Installation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/70—Software maintenance or management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Information Transfer Between Computers (AREA)
Abstract
Description
본 발명은 소프트웨어 배포 관리 장치 및 방법에 관한 것으로서, 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치 또는 업데이트하였는지 여부를 확인하여 설치 또는 업데이트 여부에 따라 에이전트의 웹 접속을 실시간으로 허용하거나 차단함으로써, 관공서나 대기업 같은 대형 조직에서 보안 강화를 목적으로 조직원들에게 특정 소프트웨어의 강제 배포가 필요한 경우 이를 용이하게 할 수 있는 소프트웨어 배포 관리 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for managing software distribution, by checking whether an agent has installed or updated software according to the software installation policy, and allowing or blocking the web access of the agent in real time according to whether the agent is installed or updated, The present invention relates to a software distribution management apparatus and method for facilitating the distribution of specific software to employees in a large organization such as a large enterprise for the purpose of strengthening security.
관공서나 대기업 같은 대형 조직에서는 조직원들의 효율적인 업무 및 관리를 위해서는 특정 소프트웨어를 강제로 배포하여야 할 필요가 있다.In large organizations such as government offices and large corporations, it is necessary to forcibly distribute certain software for efficient work and management.
하지만 종래에는 조직원들의 바쁜 업무로 인하여 소프트웨어의 설치를 게을리하거나 추후 설치하기로 마음을 먹었다가 이를 잊어먹어서 설치하지 않는 경우가 많았다. 또한, 소프트웨어의 업데이트도 마찬가지로 조직원에 따라서는 업데이트가 되어 있지 않은 경우가 많이 있었다.However, in the past, due to the busy work of the members of the organization neglected the installation of the software or decided to install later, but often forget to install it. Similarly, software updates have not been updated in some organizations.
따라서, 종래에는 관리 서버 등을 통해서 조직원들의 컴퓨터에 소프트웨어가 설치되었는지 여부를 확인하여 설치되어 있지 않은 경우에 조직원에게 설치를 통보하는 시스템이 존재하였다. 하지만 이러한 종래의 시스템은 웹 차단 해제 시간의 지연 등의 이유로 실용성이 떨어져서 실제 배포에는 크게 도움이 되지 못하고, 해당 소프트웨어의 설치 여부만 확인할 뿐 업데이트 여부는 확인하지 아니하므로 업데이트의 누락 시에는 이를 알 수 없는 문제점이 있었다.Therefore, in the related art, there has been a system for confirming whether or not the software is installed on a computer of an organization through a management server or the like and notifying the installation of the organization when it is not installed. However, such a conventional system is not practically useful due to the lack of practicality due to the delay of web unblocking time, and it is not useful for actual deployment. There was no problem.
본 발명의 목적은, 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치 또는 업데이트하였는지 여부를 확인하여 설치 또는 업데이트 여부에 따라 에이전트의 웹 접속을 실시간으로 허용하거나 차단함으로써, 관공서나 대기업 같은 대형 조직에서 조직원들에게 특정 소프트웨어의 강제 배포가 필요한 경우 이를 용이하게 할 수 있는 소프트웨어 배포 관리 장치 및 방법을 제공하는 것이다.An object of the present invention is to determine whether the agent has installed or updated the software in accordance with the software installation policy, and to allow or block the agent's web access in real time according to whether the agent is installed or updated, thereby providing a member of the organization in a large organization such as a public office or a large enterprise. It is to provide a software distribution management apparatus and method that can facilitate this if the forced distribution of specific software.
본 발명의 일 실시예에 따른 소프트웨어 배포 관리 장치는, 소프트웨어 설치 정책을 설정하는 정책 설정부; 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치 또는 업데이트하였는지 여부를 확인하는 에이전트 확인부; 및 상기 에이전트 및 상기 에이전트의 웹 접속을 관리하는 감시 서버와 패킷을 서로 송수신하는 패킷 송수신부를 포함하되, 상기 패킷 송수신부는, 상기 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치 또는 업데이트한 경우에는, 상기 에이전트의 웹 접속을 허용하는 허가 패킷을 상기 감시 서버에 송신하도록 구성된다.Software distribution management apparatus according to an embodiment of the present invention, the policy setting unit for setting a software installation policy; An agent checking unit for checking whether an agent has installed or updated the software according to the software installation policy; And a packet transceiver configured to transmit and receive a packet to and from the agent and a monitoring server managing the web connection of the agent, wherein the packet transceiver includes, when the agent installs or updates software according to the software installation policy, And send an authorization packet to the monitoring server allowing an agent's web connection.
상기 패킷 송수신부는, 상기 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치 또는 업데이트하지 않은 경우에는, 상기 에이전트의 웹 접속을 차단하는 차단 패킷을 상기 감시 서버에 송신할 수 있다.When the agent does not install or update the software according to the software installation policy, the packet transceiver may transmit a blocking packet to block the web connection of the agent to the monitoring server.
상기 패킷 송수신부는, UDP(User Datagram Protocol) 통신을 통하여 UDP 패킷을 서로 송수신할 수 있다.The packet transceiving unit may transmit and receive UDP packets to each other through UDP (User Datagram Protocol).
상기 패킷 송수신부는, 상기 UDP 패킷을 암호화하여 송수신할 수 있다.The packet transceiver may encrypt and transmit the UDP packet.
상기 소프트웨어 배포 관리 장치는, 상기 패킷 송수신부를 통해 수신되는 패킷을 분석하여 분산서비스거부(DDoS: Distributed Denial-of-Service) 공격인지 여부를 확인하는 공격 탐지부를 더 포함할 수 있다.The apparatus for managing software distribution may further include an attack detection unit for analyzing a packet received through the packet transmission / reception unit to determine whether a distributed denial-of-service (DDoS) attack is performed.
상기 공격 탐지부는, DDoS 공격으로 판단되는 경우, 해당 패킷을 송신하는 에이전트를 차단하는 차단 패킷을 송신하라는 명령을 상기 패킷 송수신부로 보낼 수 있다.When it is determined that the attack detection unit is a DDoS attack, the attack detection unit may send a command to the packet transmission / reception unit to transmit a blocking packet that blocks an agent transmitting the packet.
본 발명의 일 실시예에 따른 소프트웨어 배포 관리 방법은, 소프트웨어 설치 정책을 설정하는 단계; 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치 또는 업데이트하였는지 여부를 확인하는 단계; 및 상기 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치 또는 업데이트한 경우에는 상기 에이전트의 웹 접속을 허용하는 허가 패킷을 상기 에이전트의 웹 접속을 관리하는 감시 서버에 송신하는 단계를 포함하여 구성된다.Software distribution management method according to an embodiment of the present invention, the step of setting the software installation policy; Checking whether an agent has installed or updated the software according to the software installation policy; And when the agent installs or updates the software according to the software installation policy, transmitting an authorization packet allowing the agent's web access to the monitoring server managing the agent's web connection.
상기 소프트웨어 배포 관리 방법은, 상기 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치 또는 업데이트하지 않은 경우에는, 상기 에이전트의 웹 접속을 차단하는 차단 패킷을 상기 감시 서버에 송신하는 단계를 더 포함할 수 있다.The software distribution management method may further include transmitting, to the monitoring server, a blocking packet that blocks web access of the agent when the agent does not install or update software according to the software installation policy. .
상기 허가 패킷 및 상기 차단 패킷은, UDP(User Datagram Protocol) 패킷이고, UDP 통신을 통하여 송신될 수 있다.The permission packet and the blocking packet are UDP (User Datagram Protocol) packets, and may be transmitted through UDP communication.
상기 UDP 패킷은, 암호화되어 송수신될 수 있다.The UDP packet may be encrypted and transmitted and received.
상기 소프트웨어 배포 관리 방법은, 수신되는 패킷을 분석하여 분산서비스거부(DDoS: Distributed Denial-of-Service) 공격인지 여부를 확인하는 단계를 더 포함할 수 있다.The software distribution management method may further include analyzing a received packet to determine whether a distributed denial-of-service (DDoS) attack is present.
상기 소프트웨어 배포 관리 방법은, DDoS 공격으로 판단되는 경우, 해당 패킷을 송신하는 에이전트를 차단하는 차단 패킷을 상기 감시 서버에 송신하는 단계를 더 포함할 수 있다.The software distribution management method may further include transmitting, to the monitoring server, a blocking packet that blocks an agent transmitting the packet when it is determined that the DDoS attack is performed.
본 발명의 일 측면에 따르면, 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치 또는 업데이트하였는지 여부를 확인하여 설치 또는 업데이트 여부에 따라 에이전트의 웹 접속을 즉각적으로 허용하거나 차단하여 웹 사용의 지연이 일어나지 않도록 함으로써, 관공서나 대기업 같은 대형 조직에서 조직원들에게 특정 소프트웨어의 강제 배포가 필요한 경우 사용자의 인터넷 사용에 대한 불편 없이 이를 용이하게 할 수 있는 소프트웨어 배포 관리 장치 및 방법을 제공할 수 있다.According to an aspect of the present invention, by checking whether the agent has installed or updated the software according to the software installation policy to immediately allow or block the web access of the agent according to whether or not installed or updated so that there is no delay in using the web. By doing so, in a large organization such as a government office or a large company, it is possible to provide an organization and a method for managing software distribution that can facilitate the user's use of the Internet when a forced distribution of specific software is required.
도 1은 본 발명의 일 실시예에 따른 소프트웨어 배포 관리 장치를 포함한 소프트웨어 배포 관리 시스템의 구성을 개략적으로 도시한 도면이다.
도 2는 본 발명의 일 실시예에 따른 소프트웨어 배포 관리 장치를 개략적으로 도시한 도면이다.
도 3은 본 발명의 일 실시예에 따른 소프트웨어 배포 관리 방법을 설명하기 위한 순서도이다.1 is a diagram schematically illustrating a configuration of a software distribution management system including a software distribution management apparatus according to an embodiment of the present invention.
2 is a diagram schematically illustrating an apparatus for managing software distribution according to an embodiment of the present invention.
3 is a flowchart illustrating a software distribution management method according to an embodiment of the present invention.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.The present invention will now be described in detail with reference to the accompanying drawings. Hereinafter, a repeated description, a known function that may obscure the gist of the present invention, and a detailed description of the configuration will be omitted. Embodiments of the present invention are provided to more fully describe the present invention to those skilled in the art. Accordingly, the shapes and sizes of the elements in the drawings and the like can be exaggerated for clarity.
명세서 전체에서, 어떤 부분이 어떤 구성 요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when an element is referred to as "comprising ", it means that it can include other elements as well, without excluding other elements unless specifically stated otherwise.
또한, 명세서에 기재된 "...부"의 용어는 하나 이상의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
Further, the term "part" in the description means a unit for processing one or more functions or operations, which may be implemented by hardware, software, or a combination of hardware and software.
도 1은 본 발명의 일 실시예에 따른 소프트웨어 배포 관리 장치를 포함한 소프트웨어 배포 관리 시스템의 구성을 개략적으로 도시한 도면이다.1 is a diagram schematically illustrating a configuration of a software distribution management system including a software distribution management apparatus according to an embodiment of the present invention.
도 1을 참조하면, 본 발명의 일 실시예에 따른 소프트웨어 배포 관리 장치(100)를 포함한 소프트웨어 배포 관리 시스템에서 소프트웨어 배포 관리 장치(100)는 에이전트(200) 및 감시 서버(300)와 연결되어 동작할 수 있다. 소프트웨어 배포 관리 장치(100), 에이전트(200) 및 감시 서버(300)는 유선 또는 무선으로 인터넷을 통하여 연결될 수 있다.Referring to FIG. 1, in a software distribution management system including a software
소프트웨어 배포 관리 장치(100)는 에이전트(200)의 소프트웨어 배포를 관리하고, 감시 서버(300)에 에이전트(200)의 인터넷(400) 접속을 허용하거나 차단하기 위한 패킷을 송신하여 에이전트(200)의 웹 접속을 제어한다. 일 실시예에서, 소프트웨어 배포 관리 장치(100)는 서버의 형태이거나, 서버에 포함된 형태일 수 있다.The software
에이전트(200)는 소프트웨어를 설치하는 장치로서, 소프트웨어 배포 관리 장치(100)가 소프트웨어를 강제 배포하는 대상이 된다. 일 실시예에서, 에이전트(200)는 구성원의 개인용 컴퓨터(PC; Personal Computer)일 수 있다. 에이전트(200)는 인터넷(400)에 연결되어 있으며, 소프트웨어 배포 관리 장치(100) 및 감시 서버(300)의 제어에 따라 인터넷(400) 접속이 허용되거나 차단될 수 있다.The
감시 서버(300)는 소프트웨어 배포 관리 장치(100)로부터 에이전트(200)를 제어하는 허가 패킷 또는 차단 패킷을 받아서, 에이전트(200)의 웹 접속을 허가하거나 차단하는 신호를 에이전트(200)에 송신한다.
The
도 2는 본 발명의 일 실시예에 따른 소프트웨어 배포 관리 장치를 개략적으로 도시한 도면이다.2 is a diagram schematically illustrating an apparatus for managing software distribution according to an embodiment of the present invention.
도 2를 참조하면, 본 발명의 일 실시예에 따른 소프트웨어 배포 관리 장치(100)는 정책 설정부(110), 에이전트 확인부(120), 패킷 송수신부(130) 및 공격 탐지부(140)를 포함하여 구성될 수 있다. 도 2에 도시된 소프트웨어 배포 관리 장치(100)는 일 실시예에 따른 것이고, 그 구성요소들이 도 2에 도시된 실시예에 한정되는 것은 아니며, 필요에 따라 일부 구성요소가 부가, 변경 또는 삭제될 수 있다.2, the software
정책 설정부(110)는 소프트웨어 설치 정책을 설정한다. 소프트웨어 설치 정책은 설치 배포 설정 파일의 형태로 구성될 수 있으며, 생성되는 파일의 버전, 파일 크기 정보 및 레지스트리 정보 중 하나 이상을 포함할 수 있다. 소프트웨어 설치 정책은 사용자의 입력을 받아 설정될 수 있다. 정책 설정부(110)는 소프트웨어 설치 정책이 설정되면, 에이전트(200)의 확인 요청을 받아 새로운 소프트웨어 설치 정책을 패킷 송수신부(130)를 통하여 에이전트(200)에 통보한다. 소프트웨어 설치 정책을 통보 받은 에이전트(200)는 해당 소프트웨어를 설치할 수 있다. 또한, 정책 설정부(110)는 소프트웨어 설치 정책에 변경 사항이 발생할 경우에, 정책 설정부(110)는 패킷 송수신부(130)를 통하여 해당 변경 사항을 실시간으로 감시 서버(300)로 송신할 수 있다.The
에이전트 확인부(120)는 에이전트(200)가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치 또는 업데이트하였는지 여부를 확인한다.The
패킷 송수신부(130)는 에이전트(200) 및 감시 서버(300)와 패킷을 서로 송수신한다. 일 실시예에서, 패킷 송수신부(130)는 에이전트(200)가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치 또는 업데이트한 경우에는, 에이전트(200)의 웹 접속을 허용하는 허가 패킷을 감시 서버(300)에 송신할 수 있다. 감시 서버(300)는 허가 패킷을 수신하면, 더 이상 해당 에이전트의 웹 접속 패킷을 차단하지 않고, 에이전트(200)의 웹 접속이 가능해 진다. 에이전트(200)는 사용자 PC에 설치될 수 있고, 실제로는 사용자 PC의 웹접속이 차단되거나 가능해질 수 있다.The packet transceiver 130 transmits and receives a packet to and from the
또는, 패킷 송수신부(130)는 에이전트(200)가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치 또는 업데이트하지 않은 경우에는, 에이전트(200)의 웹 접속을 차단하는 차단 패킷을 감시 서버(300)에 송신할 수 있다. 감시 서버(300)는 차단 패킷을 수신하면, 에이전트(200)의 웹 접속을 차단하는 신호를 에이전트(200)에 송신하게 되고, 에이전트(200)의 웹 접속은 차단된다.Alternatively, when the
일 실시예에서, 패킷 송수신부(130)는 UDP(User Datagram Protocol) 통신을 통하여 UDP 패킷을 서로 송수신할 수 있다. 이 때, 패킷 송수신부(130)는 통신 포트(port)를 열지 않고 통신을 수행함으로써, 포트 스캐닝(scanning)을 예방하여 기밀성을 유지할 수 있게 된다. In one embodiment, the
또한, 패킷 송수신부(130)는 상기 UDP 패킷을 암호화하여 송수신할 수 있다. 이와 같이 UDP 패킷을 암호화하여 송수신함으로써, 에이전트(200)가 속임수로 소프트웨어 설치를 보고하는 행위를 방지할 수 있다.In addition, the
이처럼, 본 발명의 일 실시예에 따른 소프트웨어 배포 관리 장치(100)는 사용자의 에이전트(200)의 소프트웨어 설치 여부를 확인하여 배포된 소프트웨어가 삭제되면 다시 웹 차단을 수행함으로써, 특정 소프트웨어의 강제 배포가 필요한 경우 이를 용이하게 할 수 있게 된다.As such, the software
본 발명의 일 실시예에 따른 소프트웨어 배포 관리 장치(100)는 관공서 또는 대기업과 같은 대형 조직에 구비된 서버의 형태일 수 있으므로, 에이전트(200)를 통한 분산서비스거부(DDoS: Distributed Denial-of-Service) 공격과 같은 공격의 대상이 될 수 있다. 이에, 본 발명의 일 실시예에 따른 소프트웨어 배포 관리 장치(100)는 DDoS 공격을 방지하기 위하여 공격 탐지부(140)를 더 포함할 수 있다.Software
공격 탐지부(140)는 패킷 송수신부(130)를 통해 수신되는 패킷을 분석하여 DDoS 공격인지 여부를 확인한다. 일 실시예에서, DDoS 공격은 패킷 송수신부(130)가 UDP 통신을 이용하는 경우에는, UDP 플러딩(flooding) 공격일 수 있다.The
공격 탐지부(140)는 패킷 송수신부(130)를 통해 수신되는 패킷을 분석한 결과, DDoS 공격으로 판단되는 경우, 해당 패킷을 송신하는 에이전트를 차단하는 차단 패킷을 송신하라는 명령을 패킷 송수신부(130)로 보낸다. 이러한 명령을 받은 패킷 송수신부(130)는 해당 패킷을 송신하는 에이전트를 차단하는 차단 패킷을 감시 서버(300)로 송신하게 된다. 그리고 이러한 차단 패킷을 수신한 감시 서버(300)는 해당 패킷을 송신하는 에이전트를 차단한다.
When the
도 3은 본 발명의 일 실시예에 따른 소프트웨어 배포 관리 방법을 설명하기 위한 순서도이다.3 is a flowchart illustrating a software distribution management method according to an embodiment of the present invention.
도 3을 참조하면, 본 발명의 일 실시예에 따른 소프트웨어 배포 관리 방법이 시작되면, 먼저 소프트웨어 설치 정책을 설정하고(S11), 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치하였는지 여부를 확인한다(S12). 단계(S12)에서 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치하지 않은 경우에는, 상기 에이전트의 웹 접속을 차단하는 차단 패킷을 상기 감시 서버에 송신한다(S13).Referring to FIG. 3, when a software distribution management method according to an embodiment of the present invention starts, first, a software installation policy is set (S11), and an agent checks whether software is installed according to the software installation policy (S11). S12). If the agent does not install the software according to the software installation policy in step S12, a blocking packet for blocking web access of the agent is transmitted to the monitoring server (S13).
또는, 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치한 경우에는 단계(S14)로 넘어가서, 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 업데이트하였는지 여부를 확인한다(S14). 단계(S14)에서 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 업데이트하지 않은 경우에는, 상기 에이전트의 웹 접속을 차단하는 차단 패킷을 상기 감시 서버에 송신한다(S13).Or, if the agent installs the software according to the software installation policy, the process proceeds to step S14 to check whether the agent has updated the software according to the software installation policy (S14). If the agent does not update the software according to the software installation policy in step S14, a blocking packet for blocking web access of the agent is transmitted to the monitoring server (S13).
또는, 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 업데이트한 경우에는 단계(S15)로 넘어가서, 상기 에이전트의 웹 접속을 허용하는 허가 패킷을 상기 감시 서버에 송신한다(S15).Or, if the agent updates the software according to the software installation policy, the process proceeds to step S15 and transmits an authorization packet allowing the agent's web connection to the monitoring server (S15).
이 때, 단계(S13) 및 단계(S15)에서 상기 허가 패킷 및 상기 차단 패킷은 UDP 패킷일 수 있고, UDP 통신을 통하여 송신될 수 있다. 그리고 상기 UDP 패킷은 암호화되어 송수신될 수 있다.At this time, the permission packet and the blocking packet in step S13 and step S15 may be a UDP packet, and may be transmitted through UDP communication. The UDP packet may be encrypted and transmitted and received.
일 실시예에서, 본 발명의 일 실시예에 따른 소프트웨어 배포 관리 방법은, 수신되는 패킷을 분석하여 DDoS 공격인지 여부를 확인하고, DDoS 공격으로 판단되는 경우, 해당 패킷을 송신하는 에이전트를 차단하는 차단 패킷을 상기 감시 서버에 송신하는 과정을 더 포함할 수 있다.In one embodiment, the software distribution management method according to an embodiment of the present invention, by analyzing the received packet to determine whether or not the DDoS attack, if it is determined that the DDoS attack, blocking blocking the agent sending the packet The method may further include transmitting a packet to the monitoring server.
도 3에 도시된 소프트웨어 배포 관리 방법은 도 1 및 도 2에 도시된 본 발명의 일 실시예에 따른 소프트웨어 배포 관리 장치와 유사하게 소프트웨어 배포 관리 과정이 진행되므로 특별한 언급이 없는 한 도 1 및 도 2에의 설명이 그대로 적용되므로 상세한 설명은 생략하도록 한다. 도 3에서도 도 1 및 도 2에서와 마찬가지로 도 3에 도시된 순서도의 각 단계들은 모든 단계가 필수 단계는 아니며, 다른 실시예에서 일부 단계가 추가, 변경 또는 삭제될 수 있다.In the software distribution management method illustrated in FIG. 3, the software distribution management process proceeds similarly to the software distribution management apparatus according to one embodiment of the present invention illustrated in FIGS. 1 and 2. Since the description of the above is applied as it is, the detailed description will be omitted. In FIG. 3, as in FIGS. 1 and 2, each step of the flowchart illustrated in FIG. 3 is not mandatory, and in some embodiments, some steps may be added, changed, or deleted.
전술한 소프트웨어 배포 관리 방법은 도면에 제시된 순서도를 참조로 하여 설명되었다. 간단히 설명하기 위하여 상기 방법은 일련의 블록들로 도시되고 설명되었으나, 본 발명은 상기 블록들의 순서에 한정되지 않고, 몇몇 블록들은 다른 블록들과 본 명세서에서 도시되고 기술된 것과 상이한 순서로 또는 동시에 일어날 수도 있으며, 동일한 또는 유사한 결과를 달성하는 다양한 다른 분기, 흐름 경로, 및 블록의 순서들이 구현될 수 있다. 또한, 본 명세서에서 기술되는 방법의 구현을 위하여 도시된 모든 블록들이 요구되지 않을 수도 있다.
The aforementioned software distribution management method has been described with reference to the flowchart shown in the drawings. While the above method has been shown and described as a series of blocks for purposes of simplicity, it is to be understood that the invention is not limited to the order of the blocks, and that some blocks may be present in different orders and in different orders from that shown and described herein And various other branches, flow paths, and sequences of blocks that achieve the same or similar results may be implemented. Also, not all illustrated blocks may be required for implementation of the methods described herein.
이상 본 발명의 특정 실시예를 도시하고 설명하였으나, 본 발명의 기술사상은 첨부된 도면과 상기한 설명내용에 한정하지 않으며 본 발명의 사상을 벗어나지 않는 범위 내에서 다양한 형태의 변형이 가능함은 이 분야의 통상의 지식을 가진 자에게는 자명한 사실이며, 이러한 형태의 변형은, 본 발명의 정신에 위배되지 않는 범위 내에서 본 발명의 특허청구범위에 속한다고 볼 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is clearly understood that the same is by way of illustration and example only and is not to be taken as limitations. It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims.
100: 소프트웨어 배포 관리 장치
110: 정책 설정부
120: 에이전트 확인부
130: 패킷 송수신부
140: 공격 탐지부
200: 에이전트
300: 감시 서버100: software distribution management device
110: policy setting unit
120: agent confirmation unit
130: packet transceiver
140: attack detection unit
200: agent
300: Surveillance Server
Claims (12)
소프트웨어 설치 정책을 설정하는 정책 설정부;
에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치 또는 업데이트하였는지 여부를 확인하는 에이전트 확인부;
상기 에이전트 및 상기 에이전트의 웹 접속을 관리하는 감시 서버와 패킷을 서로 송수신하는 패킷 송수신부; 및
상기 패킷 송수신부를 통해 수신되는 패킷을 분석하여 분산서비스거부(DDoS: Distributed Denial-of-Service) 공격인지 여부를 확인하는 공격 탐지부를 포함하되,
상기 패킷 송수신부는,
상기 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치 또는 업데이트한 경우에는, 상기 에이전트의 웹 접속을 허용하는 허가 패킷을 사용하여 실시간으로 상기 감시서버를 제어하고,
상기 패킷 송수신부는,
상기 에이전트가 상기 소프트웨어 설치 정책에 따라 소프트웨어를 설치 또는 업데이트하지 않은 경우에는, 상기 에이전트의 웹 접속을 차단하는 차단 패킷을 상기 감시 서버에 송신하고,
상기 공격 탐지부는,
DDoS 공격으로 판단되는 경우, 해당 패킷을 송신하는 에이전트를 차단하는 차단 패킷을 송신하라는 명령을 상기 패킷 송수신부로 보내고, 상기 패킷 송수신부는 해당 패킷을 송신하는 에이전트를 차단하는 차단 패킷을 감시서버로 송신하고, 상기 차단 패킷을 수신한 상기 감시서버는 해당 패킷을 송신하는 에이전트를 차단하고,
상기 정책 설정부는,
소프트웨어 설치 정책을 설치 배포 설정 파일의 형태로 구성하고, 상기 배포 설정 파일은 생성되는 파일의 버전, 파일 크기 정보 및 레지스트리 정보를 포함하고,
상기 정책 설정부는 상기 소프트웨어 설치 정책을 사용자로부터 입력을 받아 설정하고, 상기 정책 설정부는 소프트웨어 설치 정책이 설정되면, 새로운 소프트웨어 설치 정책을 상기 패킷 송수신부를 통하여 에이전트에 통보하고,
상기 정책 설정부는 소프트웨어 설치 정책에 변경 사항이 발생할 경우, 상기 정책 설정부는 상기 패킷 송수신부를 통하여 변경 사항을 실시간으로 상기 감시 서버로 송신하고,
상기 패킷 송수신부는,
UDP(User Datagram Protocol) 통신을 통하여 UDP 패킷을 서로 송수신하고,
상기 소프트웨어 배포 관리 장치는,
상기 에이전트의 소프트웨어 설치 여부를 확인하여 배포된 소프트웨어가 삭제되면 다시 웹 차단을 수행하여 특정 소프트웨어의 강제 배포를 수행하는 것을 특징으로 하는 소프트웨어 배포 관리 장치.In the software distribution management device,
A policy setting unit for setting a software installation policy;
An agent checking unit for checking whether an agent has installed or updated the software according to the software installation policy;
A packet transmission / reception unit configured to transmit and receive packets to and from the agent and the monitoring server managing the web connection of the agent; And
Including an attack detection unit for determining whether or not a distributed denial-of-service (DDoS) attack by analyzing the packet received through the packet transmission and reception unit,
The packet transceiver unit,
When the agent installs or updates the software according to the software installation policy, the monitoring server is controlled in real time using an authorization packet that allows the agent to access the web.
The packet transceiver unit,
If the agent does not install or update the software according to the software installation policy, it sends a blocking packet to the monitoring server to block the web access of the agent,
The attack detection unit detects,
If it is determined that the DDoS attack, and sends a command to the packet transmitting and receiving unit to block the agent sending the packet, the packet transmission and reception unit transmits a blocking packet blocking the agent sending the packet to the monitoring server. The surveillance server receiving the blocking packet blocks the agent transmitting the packet.
The policy setting unit,
Configure a software installation policy in the form of an installation deployment configuration file, the deployment configuration file including the version of the file being created, file size information and registry information,
The policy setting unit receives and sets the software installation policy from a user, and when the software setting policy is set, the policy setting unit notifies an agent of a new software installation policy to the agent through the packet transmission and reception unit.
When the policy setting unit changes the software installation policy, the policy setting unit transmits the change to the monitoring server in real time through the packet transceiver unit.
The packet transceiver unit,
Send and receive UDP packets to each other through UDP (User Datagram Protocol),
The software distribution management device,
When the distributed software is deleted by checking whether the agent is installed or not, the web distribution is again performed to force distribution of specific software.
상기 패킷 송수신부는,
상기 UDP 패킷을 암호화하여 송수신하는 것을 특징으로 하는 소프트웨어 배포 관리 장치.The method of claim 1,
The packet transceiver unit,
Software distribution management device, characterized in that for transmitting and receiving the encrypted UDP packet.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020130033817A KR101336066B1 (en) | 2013-03-28 | 2013-03-28 | Apparatus for managing software distribution for security hardening |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020130033817A KR101336066B1 (en) | 2013-03-28 | 2013-03-28 | Apparatus for managing software distribution for security hardening |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101336066B1 true KR101336066B1 (en) | 2013-12-03 |
Family
ID=49987070
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020130033817A KR101336066B1 (en) | 2013-03-28 | 2013-03-28 | Apparatus for managing software distribution for security hardening |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101336066B1 (en) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20110002947A (en) * | 2009-07-03 | 2011-01-11 | (주)넷맨 | Network access control system using install information of mandatory program and method thereof |
KR101147483B1 (en) * | 2011-11-25 | 2012-05-22 | 주식회사 엑스엔시스템즈 | Hybrid distributed denial of service prevention system and method thereof |
-
2013
- 2013-03-28 KR KR1020130033817A patent/KR101336066B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20110002947A (en) * | 2009-07-03 | 2011-01-11 | (주)넷맨 | Network access control system using install information of mandatory program and method thereof |
KR101147483B1 (en) * | 2011-11-25 | 2012-05-22 | 주식회사 엑스엔시스템즈 | Hybrid distributed denial of service prevention system and method thereof |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11936619B2 (en) | Combined security and QOS coordination among devices | |
US10824736B2 (en) | Industrial security agent platform | |
KR101143847B1 (en) | Network security apparatus and method thereof | |
KR101503813B1 (en) | Mobile device management system and method using device to device communication | |
US11263342B2 (en) | Context-based access control and revocation for data governance and loss mitigation | |
US9210128B2 (en) | Filtering of applications for access to an enterprise network | |
AU2015200416A1 (en) | Method and system for extrusion and intrusion detection in a cloud computing environment | |
CN101188851B (en) | Access control method for mobile terminal | |
Kravets et al. | Mobile security solution for enterprise network | |
KR101534566B1 (en) | Apparatus and method for security control of cloud virtual desktop | |
KR20190048587A (en) | METHOD FOR SECURITING REMOTELY INTERNET OF THINGS(IoT) AND APPARATUS USING THE SAME | |
WO2015169003A1 (en) | Account assignment method and apparatus | |
JP2006260027A (en) | Quarantine system, and quarantine method using vpn and firewall | |
EP3001639B1 (en) | Industrial security agent platform | |
KR102219018B1 (en) | Blockchain based data transmission method in internet of things | |
KR101336066B1 (en) | Apparatus for managing software distribution for security hardening | |
Choi et al. | Corporate wireless LAN security: threats and an effective security assessment framework for wireless information assurance | |
KR101591053B1 (en) | Remote control method and system using push service | |
Bilski | New challenges in network security | |
GB2574334A (en) | Combined security and QOS coordination among devices | |
KR100507761B1 (en) | System and method for harmful traffic detection and response | |
Frantti et al. | A risk-driven security analysis for a bluetooth low energy based microdata ecosystem | |
KR20190097555A (en) | Method and apparatus for e-mail service | |
GB2574339A (en) | Combined security and QOS coordination among devices | |
KR20130021853A (en) | Seamless encryption and decryption service system and method thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
A302 | Request for accelerated examination | ||
E902 | Notification of reason for refusal | ||
AMND | Amendment | ||
E601 | Decision to refuse application | ||
AMND | Amendment | ||
X701 | Decision to grant (after re-examination) | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20161013 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20171109 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20180927 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20191104 Year of fee payment: 9 |