KR102075003B1 - Security server and managing method thereof - Google Patents

Security server and managing method thereof Download PDF

Info

Publication number
KR102075003B1
KR102075003B1 KR1020180036061A KR20180036061A KR102075003B1 KR 102075003 B1 KR102075003 B1 KR 102075003B1 KR 1020180036061 A KR1020180036061 A KR 1020180036061A KR 20180036061 A KR20180036061 A KR 20180036061A KR 102075003 B1 KR102075003 B1 KR 102075003B1
Authority
KR
South Korea
Prior art keywords
container
traffic
unit
detection information
destination
Prior art date
Application number
KR1020180036061A
Other languages
Korean (ko)
Other versions
KR20190113411A (en
Inventor
정경수
정동수
Original Assignee
정경수
정동수
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 정경수, 정동수 filed Critical 정경수
Priority to KR1020180036061A priority Critical patent/KR102075003B1/en
Publication of KR20190113411A publication Critical patent/KR20190113411A/en
Application granted granted Critical
Publication of KR102075003B1 publication Critical patent/KR102075003B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels

Abstract

본 발명의 일 실시 예에 따른 보안 서버는, 외부로부터 유입된 트래픽을 분석하여 생성한 탐지 정보를 저장하는 엔진부, 상기 엔진부로부터 탐지 정보를 수신하고, 상기 수신한 탐지 정보를 분산 처리 프로세스에 매칭시켜 상기 유입된 트래픽의 송신 경로를 설정하는 분산 처리부 및 상기 분산 처리부가 설정한 송신 경로의 목적지이며, 상기 분산 처리부로부터 상기 유입된 트래픽을 수신하고 처리하는 컨테이너부를 포함한다. The security server according to an embodiment of the present invention includes an engine unit for storing detection information generated by analyzing traffic flowing from the outside, receiving detection information from the engine unit, and transmitting the received detection information to a distributed processing process. A distributed processing unit for matching and setting a transmission path of the inflowed traffic, and a destination of a transmission path set by the distributed processing unit, and a container unit for receiving and processing the incoming traffic from the distributed processing unit.

Description

보안 서버 및 보안 서버의 운영 방법{SECURITY SERVER AND MANAGING METHOD THEREOF}SECURITY SERVER AND MANAGING METHOD THEREOF

본 발명은 보안 서버 및 보안 서버의 운영 방법에 관한 것이다. 보다 자세하게는 악성코드나 해커들의 공격으로부터 자유로운 보안 서버 및 보안 서버의 운영 방법에 관한 것이다. The present invention relates to a security server and a method of operating the security server. More specifically, the present invention relates to a security server and a method of operating a security server free from malicious code or hacker attacks.

전세계적으로 인터넷 사용이 급증함에 따라 서버 또는 PC를 대상으로 하는 악성코드나 랜섬웨어의 감염 경로가 다양해지고 있으며, 그로 인한 피해 역시 매년 증가하고 있다. Due to the rapid increase in the use of the Internet around the world, the path of infection of malware or ransomware targeting servers or PCs is diversified, and the damages are increasing every year.

한편, 서버 또는 PC가 악성코드나 랜섬웨어에 감염되는 경우 외부로부터 조종할 수 있는 상태가 되며, 또 다른 악성코드나 랜섬웨어의 배포, 내부 자료의 유출에 악용될 뿐만 아니라, DDoS(Distributed Denial of Service) 공격까지 수행할 수 있게 되는바, 후속적인 피해가 이로 말할 수 없게 된다. On the other hand, if a server or PC is infected with malware or ransomware, it can be controlled from the outside, and it is not only exploited for distribution of other malware or ransomware, leakage of internal data, but also DDoS (Distributed Denial of Service) attacks can be carried out, so subsequent damage cannot be said.

또한, 서버 또는 PC가 악성코드나 랜섬웨어에 감염되는 경우 봇(Bot)으로 악용될 수도 있는바, 봇은 봇넷(Botnet)이라는 네트워크 집단을 형성하여 봇 마스터(Bot Master)의 명령에 의해 부적법한 정보의 수집, 스팸 메일의 발송, 피싱, 악성코드의 배포 및 DDoS 공격을 수행하며, 이러한 봇넷에 의해 인터넷 이용자 본인의 PC뿐만 아니라 라우터, DNS(Domain Name System) 서버와 같은 네트워크 인프라에게까지 피해를 줄 수 있다. In addition, if a server or PC is infected with malware or ransomware, it may be abused as a bot. A bot forms a network group called botnet, which is illegal by the command of a bot master. It collects information, sends spam mails, phishes, distributes malware, and conducts DDoS attacks. These botnets can damage not only Internet users' own PCs, but also network infrastructure such as routers and Domain Name System (DNS) servers. Can give

이용자들이 악성코드나 랜섬웨어에 감염되는 경로를 살펴보면, 우선 봇 마스터는 이용자들이 빈번하게 사용하는 프로그램의 업데이트 서버나 접속하는 웹사이트를 해킹하여 악성코드나 랜섬웨어를 심어 놓으며, 이후 이용자가 해당 프로그램을 업데이트 서버로부터 업데이트하거나 해당 웹사이트에 접속하는 경우 악성코드나 랜섬웨어가 이용자의 PC에 설치된다. 이후 이용자의 PC에 설치된 봇 에이전트(Bot Agent)가 봇 마스터의 C&C(Command and Control) 서버에 접속하게 되면 봇 마스터는 해당 PC에 대한 조종 권한을 획득하게 되며, 이후의 악용 형태는 위에서 설명한 바와 같다. 즉, 모든 악성코드나 랜섬웨어의 감염은 해킹된 서버로부터 시작되고 봇 마스터가 조종 권한을 획득한 좀비 PC에 의해 수행되는바, 감염의 시작인 서버의 해킹을 근본적으로 차단할 수 있는 새로운 방법이 요구된다. 본 발명은 이와 관련된 것이다. Looking at the path of users infected with malware or ransomware, first, the bot master hacks the update server of a program frequently used by the user or the web site to connect to, and injects the malware or ransomware, and then the user Malware or ransomware is installed on your PC when you update it from an update server or access its website. After that, when the bot agent installed on the user's PC connects to the C & C (C & C) server of the bot master, the bot master acquires the control authority for the corresponding PC. . In other words, all malware or ransomware infections originate from hacked servers and are performed by zombie PCs whose bot masters have gained control, requiring new ways to fundamentally block hacking of servers that are the start of the infection. do. The present invention relates to this.

대한민국 공개특허공보 제10-2016-0028724호(2016.03.14)Republic of Korea Patent Publication No. 10-2016-0028724 (2016.03.14)

본 발명이 해결하고자 하는 기술적 과제는 해킹을 근본적으로 차단할 수 있는 보안 서버 및 보안 서버의 운영 방법을 제공하는 것이다. The technical problem to be solved by the present invention is to provide a security server and a method of operating a security server that can fundamentally block hacking.

본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.The technical problems of the present invention are not limited to the technical problems mentioned above, and other technical problems not mentioned will be clearly understood by those skilled in the art from the following description.

상기 기술적 과제를 달성하기 위한 본 발명의 일 실시 예에 따른 보안 서버는, 외부로부터 유입된 트래픽을 분석하여 생성한 탐지 정보를 저장하는 엔진부, 상기 엔진부로부터 탐지 정보를 수신하고, 상기 수신한 탐지 정보를 분산 처리 프로세스에 매칭시켜 상기 유입된 트래픽의 송신 경로를 설정하는 분산 처리부 및 상기 분산 처리부가 설정한 송신 경로의 목적지이며, 상기 분산 처리부로부터 상기 유입된 트래픽을 수신하고 처리하는 컨테이너부를 포함한다. Security server according to an embodiment of the present invention for achieving the technical problem, the engine unit for storing the detection information generated by analyzing the traffic introduced from the outside, receiving the detection information from the engine unit, A distributed processor configured to set a transmission path of the incoming traffic by matching detection information with a distributed processing process, and a destination of a transmission path set by the distributed processor, and a container unit configured to receive and process the incoming traffic from the distributed processor. do.

일 실시 예에 따르면, 상기 엔진부는, IDS/IPS 엔진이며, 상기 탐지 정보는, 상기 유입된 트래픽의 출발지 IP, 출발지 Mac, 도착지 IP, 도착지 Mac 및 정책(Signature)명 중 어느 하나 이상을 포함할 수 있다. According to an embodiment of the present disclosure, the engine unit is an IDS / IPS engine, and the detection information may include at least one of a source IP, a source Mac, a destination IP, a destination Mac, and a signature name of the incoming traffic. Can be.

일 실시 예에 따르면, 상기 분산 처리 프로세스는, 상기 수신한 탐지 정보에 의해 상기 외부로부터 유입된 트래픽이 정상 트래픽으로 판단된 경우, 제1 경로를 송신 경로로 설정하고, 상기 수신한 탐지 정보에 의해 상기 외부로부터 유입된 트래픽이 비정상 트래픽으로 판단된 경우 제2 경로를 송신 경로로 설정할 수 있다. According to an embodiment of the present disclosure, when it is determined that the traffic introduced from the outside is normal traffic based on the received detection information, the distributed processing process sets a first path as a transmission path and based on the received detection information. When it is determined that the traffic introduced from the outside is abnormal traffic, the second path may be set as a transmission path.

일 실시 예에 따르면, 상기 컨테이너부는, 상기 제1 경로의 목적지는 상기 제1 그룹 컨테이너 및 상기 제2 경로의 목적지는 상기 제2 그룹 컨테이너를 포함할 수 있다. According to an embodiment of the present disclosure, the container unit may include a destination of the first route as the first group container and a destination of the second route as the second group container.

일 실시 예에 따르면, 상기 제2 그룹 컨테이너는, 일정 시간 간격으로 삭제 또는 초기화될 수 있다. According to an embodiment of the present disclosure, the second group container may be deleted or initialized at predetermined time intervals.

일 실시 예에 따르면, 외부 서버로부터 상기 컨테이너부의 생성을 위한 베이스 이미지(Base Image)를 다운로드 받는 통신부를 더 포함하되, 상기 분산 처리부는, 상기 통신부가 다운로드 받은 베이스 이미지를 상기 컨테이너부와 동일한 형식으로 생성하여 배포할 수 있다. According to an embodiment of the present disclosure, the apparatus may further include a communication unit downloading a base image for generating the container unit from an external server, wherein the distribution processor is configured to download the base image downloaded by the communication unit in the same format as the container unit. You can create and distribute it.

일 실시 예에 따르면, 상기 컨테이너부는, 상기 분산 처리부로부터 상기 유입된 트래픽을 수신하는 매니저(Manager) 컨테이너 및 상기 매니저 컨테이너로부터 상기 유입된 트래픽을 수신하여 목적에 부합하는 처리를 수행하는 워커(Worker) 컨테이너를 더 포함할 수 있다. According to an embodiment of the present disclosure, the container unit may include a manager container that receives the inflowed traffic from the distributed processing unit, and a worker that receives the inflowed traffic from the manager container and performs processing corresponding to the purpose. It may further include a container.

한편, 본 발명의 또 다른 실시 예에 따른 보안 서버의 운영 방법은, 엔진부가 외부로부터 유입된 트래픽을 분석하여 생성한 탐지 정보를 저장하는 단계, 분산 처리부가 상기 엔진부로부터 탐지 정보를 수신하고, 상기 수신한 탐지 정보를 분산 처리 프로세스에 매칭시켜 상기 유입된 트래픽의 송신 경로를 설정하는 단계 및 분산 처리부가 설정한 송신 경로의 목적지인 상기 컨테이너부가 상기 분산 처리부로부터 상기 유입된 트래픽을 수신하고 처리하는 단계를 포함한다. On the other hand, operating method of the security server according to another embodiment of the present invention, the engine unit stores the detection information generated by analyzing the traffic flowing from the outside, the distributed processing unit receives the detection information from the engine unit, Matching the received detection information to a distributed processing process to establish a transmission path of the incoming traffic, and wherein the container unit, which is a destination of the transmission path set by the distributed processing unit, receives and processes the incoming traffic from the distributed processing unit. Steps.

일 실시 예에 따르면, 상기 엔진부는, IDS/IPS 엔진이며, 상기 탐지 정보는, 상기 유입된 트래픽의 출발지 IP, 출발지 Mac, 도착지 IP, 도착지 Mac 및 정책(Signature)명 중 어느 하나 이상을 포함할 수 있다.According to an embodiment of the present disclosure, the engine unit is an IDS / IPS engine, and the detection information may include at least one of a source IP, a source Mac, a destination IP, a destination Mac, and a signature name of the incoming traffic. Can be.

일 실시 예에 따르면, 상기 송신 경로를 설정하는 단계는, 상기 수신한 탐지 정보에 의해 상기 외부로부터 유입된 트래픽이 정상 트래픽인지 판단하는 단계, 상기 판단하는 단계에서 상기 외부로부터 유입된 트래픽이 정상 트래픽으로 판단된 경우, 제1 경로를 송신 경로로 설정하는 단계 및 상기 판단하는 단계에서 상기 외부로부터 유입된 트래픽이 비정상 트래픽으로 판단된 경우, 제2 경로를 송신 경로로 설정하는 단계를 더 포함할 수 있다. According to an embodiment of the present disclosure, the setting of the transmission path may include determining whether the traffic flowing from the outside is normal traffic based on the received detection information, and wherein the traffic flowing from the outside is normal traffic in the determining step. If it is determined that the first path as the transmission path and the step of determining that the traffic from the outside is determined to be abnormal traffic, the step may further comprise the step of setting the second path to the transmission path have.

일 실시 예에 따르면, 상기 컨테이너부는, 상기 제1 경로의 목적지는 상기 제1 그룹 컨테이너 및 상기 제2 경로의 목적지는 상기 제2 그룹 컨테이너를 포함할 수 있다. According to an embodiment of the present disclosure, the container unit may include a destination of the first route as the first group container and a destination of the second route as the second group container.

일 실시 예에 따르면, 상기 제2 경로를 송신 경로로 설정하는 단계 이후에, 일정 시간 간격으로 상기 제2 그룹 컨테이너를 삭제 또는 초기화하는 단계를 더 포함할 수 있다. According to an embodiment of the present disclosure, after the setting of the second path as a transmission path, the method may further include deleting or initializing the second group container at a predetermined time interval.

일 실시 예에 따르면, 상기 통신부가 외부 서버로부터 상기 컨테이너부의 생성을 위한 베이스 이미지(Base Image)를 다운로드 받는 단계 및 상기 분산 처리부가 상기 통신부가 다운로드 받은 베이스 이미지를 상기 컨테이너부와 동일한 형식으로 생성하여 배포하는 단계를 더 포함할 수 있다. According to an embodiment of the present disclosure, the communication unit downloads a base image for generating the container unit from an external server, and the distribution processor generates the base image downloaded by the communication unit in the same format as the container unit. The method may further include distributing.

일 실시 예에 따르면, 상기 컨테이너부는, 상기 분산 처리부로부터 상기 유입된 트래픽을 수신하는 매니저(Manager) 컨테이너 및 상기 매니저 컨테이너로부터 상기 유입된 트래픽을 수신하여 목적에 부합하는 처리를 수행하는 워커(Worker) 컨테이너를 더 포함할 수 있다. According to an embodiment of the present disclosure, the container unit may include a manager container that receives the inflowed traffic from the distributed processing unit, and a worker that receives the inflowed traffic from the manager container and performs processing corresponding to the purpose. It may further include a container.

상기와 같은 본 발명에 따르면, 이용자의 특정 지점 선택에 따라 컴퓨터 프로그램이 심장의 섬유질 방향을 자동으로 결정해주므로, 전문가 개개인의 관점에 따른 편차와 입력 실수 등과 같은 오류의 발생 가능성을 제거할 수 있다는 효과가 있다. According to the present invention as described above, since the computer program automatically determines the fiber direction of the heart according to the user's specific point selection, it is possible to eliminate the possibility of errors such as deviations and input mistakes according to the expert's viewpoint. It works.

또한, 심장의 섬유질 방향을 정확하게 결정할 수 있는바, 고주파 전극 도자 절제 시술을 수행할 영역을 정확하게 선택할 수 있다는 효과가 있다. In addition, since the fibrous direction of the heart can be accurately determined, there is an effect of accurately selecting a region to be subjected to a radiofrequency electrode catheter ablation procedure.

본 발명의 효과들은 이상에서 언급한 효과들로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 통상의 기술자에게 명확하게 이해될 수 있을 것이다.Effects of the present invention are not limited to the above-mentioned effects, and other effects not mentioned will be clearly understood by those skilled in the art from the following description.

도 1은 본 발명의 일 실시 예에 따른 보안 서버가 포함하는 전체 구성을 나타낸 도면이다.
도 2는 엔진부가 탐지 정보 내부에 별도의 탐지 정보 그룹을 형성하여 관리하는 모습을 나타낸 도면이다.
도 3은 도커 기술의 실행 모습을 나타낸 도면이다.
도 4 는 종래의 가상 머신을 나타낸 도면이다.
도 5는 도커 기술이 적용된 컨테이너를 나타낸 도면이다.
도 6은 컨테이너부의 세부적인 구성을 나타낸 도면이다.
도 7은 제1 그룹 컨테이너의 세부적인 구성을 나타낸 도면이다.
도 8은 통신부가 다운로드 받은 베이스 이미지를 컨테이너부와 동일한 형식으로 생성하여 배포하는 모습을 나타낸 도면이다.
도 9는 본 발명의 또 다른 실시 예에 따른 보안 서버의 운영 방법의 대표적인 단계를 나타낸 순서도이다.
도 10은 도 9에 도시된 순서도에서 S920 단계가 포함하는 세부적인 단계를 나타낸 도면이다.
도 11은 도 9에 도시된 순서도에서 S930 단계가 포함하는 세부적인 단계를 나타낸 도면이다.
도 12는 외부로부터 유입된 트래픽이 정상 트래픽으로 판단된 경우의 트래픽 처리 흐름도를 나타낸 도면이다.
도 13은 외부로부터 유입된 트래픽이 정상 트래픽으로 판단된 경우의 트래픽 처리 흐름도를 나타낸 도면이다. 1 is a diagram showing the overall configuration included in the security server according to an embodiment of the present invention.
FIG. 2 is a diagram illustrating an engine unit forming and managing a separate detection information group inside detection information.
3 is a view showing an implementation of docker technology.
4 is a diagram illustrating a conventional virtual machine.
5 illustrates a container to which docker technology is applied.
6 is a view showing a detailed configuration of a container unit.
7 is a diagram illustrating a detailed configuration of a first group container.
8 is a diagram illustrating a state in which the communication unit generates and distributes the downloaded base image in the same format as the container unit.
9 is a flowchart illustrating representative steps of a method of operating a security server according to another embodiment of the present invention.
FIG. 10 is a diagram illustrating detailed steps included in step S920 in the flowchart illustrated in FIG. 9.
FIG. 11 is a diagram illustrating detailed steps included in step S930 in the flowchart illustrated in FIG. 9.
12 is a diagram illustrating a traffic processing flowchart when it is determined that traffic introduced from the outside is normal traffic.
FIG. 13 is a diagram illustrating a traffic processing flowchart when it is determined that traffic flowing from the outside is normal traffic.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예를 상세히 설명한다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 게시되는 실시 예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 게시가 완전하도록 하고, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. Advantages and features of the present invention, and methods for achieving them will be apparent with reference to the embodiments described below in detail in conjunction with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but may be implemented in various forms, and only the embodiments are intended to complete the disclosure of the present invention and provide general knowledge in the technical field to which the present invention belongs. It is provided to fully convey the scope of the invention to those skilled in the art, and the present invention is defined only by the scope of the claims. Like reference numerals refer to like elements throughout.

다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다. Unless otherwise defined, all terms used in the present specification (including technical and scientific terms) may be used as meanings that can be commonly understood by those skilled in the art. In addition, terms that are defined in a commonly used dictionary are not ideally or excessively interpreted unless they are specifically defined clearly.

한편, 본 명세서에서 사용된 용어는 실시 예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다.Meanwhile, the terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. In this specification, the singular also includes the plural unless specifically stated otherwise in the phrase.

명세서에서 사용되는 "포함한다 (comprises)" 및/또는 "포함하는 (comprising)"은 언급된 구성 요소, 단계, 동작 및/또는 소자는 하나 이상의 다른 구성 요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.As used herein, “comprises” and / or “comprising” refers to a component, step, operation and / or element that is mentioned in the presence of one or more other components, steps, operations and / or elements. Or does not exclude additions.

도 1은 본 발명의 일 실시 예에 따른 보안 서버(100)가 포함하는 전체 구성을 나타낸 도면이다. 1 is a diagram showing the overall configuration that the security server 100 according to an embodiment of the present invention.

그러나 이는 본 발명의 목적을 달성하기 위한 바람직한 실시 예일 뿐이며, 필요에 따라 일부 구성이 추가되거나 삭제될 수 있고, 어느 한 구성이 수행하는 역할을 다른 구성이 함께 수행할 수도 있음은 물론이다. However, this is only a preferred embodiment for achieving the object of the present invention, some components may be added or deleted as necessary, and the other configuration may also play a role that one configuration performs.

본 발명의 일 실시 예에 따른 보안 서버(100)는 도 1에 도시된 바와 같이 엔진부(10), 분산 처리부(20), 컨테이너부(30) 및 통신부(40)를 포함할 수 있으며, 기타 보안 서버(100)를 구현하는데 요구되는 프로세서(미도시), 네트워크 인터페이스(미도시), 메모리(미도시), 스토리지(미도시) 및 이들을 연결하는 데이터 버스(미도시)를 더 포함할 수 있으나, 설명의 편의를 위해 도 1에 도시하지는 않았다. The security server 100 according to an embodiment of the present invention may include an engine unit 10, a distributed processing unit 20, a container unit 30, and a communication unit 40 as shown in FIG. 1, and the like. Although it may further include a processor (not shown), a network interface (not shown), memory (not shown), storage (not shown), and a data bus (not shown) connecting them required to implement the security server 100. For the convenience of explanation, it is not shown in FIG. 1.

엔진부(10)는 외부로부터 유입된 트래픽(Traffic)을 분석하여 생성한 탐지 정보를 저장한다. The engine unit 10 stores detection information generated by analyzing traffic introduced from the outside.

여기서 외부는 본 발명의 일 실시 예에 따른 보안 서버(100)와 네트워크를 통해 연결된 모든 루트(Route)를 의미하며, 그에 따라 루트의 이용자는 정상적인 보통의 이용자뿐만 아니라 악의적인 해커 역시 포함될 수 있다. 해커 역시 이용자의 지위로서 본 발명의 일 실시 예에 따른 보안 서버(100)에 접속하는 경우가 대부분이기 때문이다. 따라서 외부로부터 유입된 트래픽 역시 정상적인 보통의 이용자에 대한 트래픽뿐만 아니라 악의적인 해커에 대한 트래픽까지 모두 포함될 수 있다. Here, the external means all routes connected to the security server 100 and the network according to an embodiment of the present invention. Accordingly, the user of the route may include not only normal ordinary users but also malicious hackers. This is because the hacker also accesses the security server 100 according to an exemplary embodiment of the present invention as a user. Therefore, traffic from outside may also include traffic for malicious hackers as well as traffic for normal ordinary users.

한편, 트래픽은 본 발명의 일 실시 예에 따른 보안 서버(100)에 전송되는 모든 통신 및 데이터의 양이라는 보편적 의미뿐만 아니라 데이터를 전송하는 과정에서 송신측과 수신측에 의하여 하나의 단위로 취급되어 전송되는 집합체인 패킷(Packet)에 대한 의미까지 포괄하는 최광의의 개념이다. 즉, 이하의 설명에서 사용할 트래픽이란 단어는 패킷으로 대체되어도 무방하다. On the other hand, the traffic is treated as a unit by the sender and the receiver in the process of transmitting data as well as the universal meaning of the amount of all communication and data transmitted to the security server 100 according to an embodiment of the present invention. It is the broadest concept that encompasses the meaning of packet, which is the aggregate that is transmitted. That is, the word traffic to be used in the following description may be replaced by a packet.

엔진부(10)는 외부로부터 유입된 트래픽을 분석하는바, 여기서 분석은 트래픽이 보유하고 있는 다양한 정보, 예를 들어, 출발지 IP, 출발지 Mac, 도착지 IP, 도착지 Mac 및 정책(Signature)명 등과 같은 정보와 해당 트래픽의 속성 등을 검출하여 탐지 정보를 생성하기 위한 전 단계의 프로세스로 볼 수 있다.The engine unit 10 analyzes the traffic introduced from the outside, where the analysis is performed by various information possessed by the traffic, for example, a source IP, a source Mac, a destination IP, a destination Mac, and a signature name. It can be seen as a previous step for generating detection information by detecting information and attributes of the corresponding traffic.

한편, 엔진부(10)는 IDS/IPS 엔진으로 구현할 수 있으며, 새로운 탐지 정보의 생성뿐만 아니라 외부 네트워크를 통해 탐지 정보를 다운로드 받아 기 저장할 수도 있다. 즉, 엔진부(10)는 일종의 데이터베이스의 역할을 수행할 수 있으며, 탐지 정보는 엔진부(10) 자체에 또는 엔진부(10)와 네트워크를 통해 연결 가능한 외부 서버(미도시)와 같은 외부 장치에 저장할 수 있다. Meanwhile, the engine unit 10 may be implemented as an IDS / IPS engine, and may not only generate new detection information but also download and store detection information through an external network. That is, the engine unit 10 may serve as a kind of database, and the detection information may be an external device such as an external server (not shown) that may be connected to the engine unit 10 itself or through the network with the engine unit 10. Can be stored in

엔진부(10)가 생성하는 탐지 정보는 유입된 트래픽의 출발지 IP, 출발지 Mac, 도착지 IP, 도착지 Mac 및 정책(Signature)명 중 어느 하나 이상을 포함할 수 있으며, 이와 더불어 후술할 분산 처리부(10)의 분산 처리 프로세스에 매칭시켜 트래픽의 송신 경로를 설정하는데 이용될 수 있는 다양한 정보를 모두 포함할 수 있다. 더 나아가, 엔진부(10)는 탐지 정보를 생성함에 있어서 트래픽의 출발지 IP, 출발지 Mac, 도착지 IP, 도착지 Mac 및 정책(Signature)명 중 어느 하나 이상을 기 저장된 특정 트래픽에 대한 탐지 정보 출발지 IP, 출발지 Mac, 도착지 IP, 도착지 Mac 및 정책(Signature)명 중 어느 하나 이상과 매칭시켜 병합할 수도 있다. 예를 들어, 엔진부(10)가 새롭게 생성한 탐지 정보의 출발지 IP가 218.237.65.1라면, 엔진부(10)는 기 저장된 특정 트래픽에 대한 탐지 정보에서 출발지 IP가 218.237.65.1인 탐지 정보를 매칭시켜 새롭게 생성한 탐지 정보와 기 저장된 탐지 정보를 병합하여 저장할 수 있다. 한편, 출발지 IP가 동일하다 하여도 도착지 IP가 상이할 수 있는바, 이 경우 엔진부(10)는 탐지 정보 내부에 별도의 탐지 정보 그룹을 형성하여 서로 상이한 도착지 IP 별로 관리할 수도 있다. 예를 들어, 도 2에 도시된 바와 같이 제1 탐지 정보 내부에 제1-1 탐지 정보(11), 제1-2 탐지 정보(12) 등과 같이 도착지 IP 별로 탐지 정보를 별도 관리할 수 있다. 더 나아가 엔진부(10)는 앞서 예를 들어 설명한 도착지 IP가 상이한 경우뿐만 아니라, 출발지 Mac, 도착지 Mac 및 정책(Signature)명 등이 상이한 경우까지 별도 탐지 정보 그룹을 형성하여 관리할 수 있음은 물론이다. 즉, 엔진부(10)는 새롭게 생성한 탐지 정보가 포함하는 어느 하나의 정보가 기 저장된 탐지 정보가 포함하는 어느 하나의 정보와 매칭되기만 한다면, 이를 기준으로 별도의 탐지 정보 그룹을 형성하여 관리할 수 있다. The detection information generated by the engine unit 10 may include any one or more of a source IP, a source Mac, a destination IP, a destination Mac, and a signature name of the incoming traffic, and the distributed processing unit 10 to be described later. It can include all of the various information that can be used to establish the transmission path of the traffic by matching the distributed processing process of the). Further, in generating the detection information, the engine unit 10 may generate at least one of a source IP, a source Mac, a destination IP, a destination Mac, and a signature name of the traffic, and the detection information source IP for the specific traffic. One or more of the source Mac, destination IP, destination Mac, and signature name can be matched and merged. For example, if the source IP of the newly generated detection information of the engine unit is 218.237.65.1, the engine unit 10 matches the detection information having the source IP of 218.237.65.1 in the detection information for the specific traffic previously stored. Newly created detection information and previously stored detection information can be merged and stored. On the other hand, even if the source IP is the same destination IP may be different, in this case, the engine unit 10 may form a separate detection information group inside the detection information to manage for each different destination IP. For example, as shown in FIG. 2, detection information may be separately managed for each destination IP, such as 1-1 detection information 11 and 1-2 detection information 12, within the first detection information. Furthermore, the engine unit 10 may form and manage separate detection information groups not only when the destination IP described above is different, but also when the source Mac, destination Mac, and signature names are different. to be. That is, the engine unit 10 may form and manage a separate detection information group based on this information if any one information included in the newly generated detection information matches only one information included in the previously stored detection information. Can be.

다시 도 1에 대한 설명으로 돌아가도록 한다. Returning to the description of FIG. 1 again.

분산 처리부(20)는 엔진부(10)로부터 탐지 정보를 수신하고, 수신한 탐지 정보를 분산 처리 프로세스에 매칭시켜 유입된 트래픽의 송신 경로를 설정한다. The distributed processing unit 20 receives the detection information from the engine unit 10, sets the transmission path of the incoming traffic by matching the received detection information with the distributed processing process.

여기서 엔진부(10)로부터 수신한 탐지 정보는 엔진부(10)가 새롭게 생성한 탐지 정보뿐만 아니라 기 저장된 탐지 정보와 병합된 탐지 정보, 그룹으로 형성된 탐지 정보 모두를 포함하며, 본 발명의 일 실시 예에 따른 보안 서버(100)의 관리자는 이들 탐지 정보 중 어느 하나의 탐지 정보 또는 어느 하나 이상의 탐지 정보를 모두 수신할 수 있도록 설정할 수 있으며, 우선순위를 설정하여 이들 중 어느 하나의 탐지 정보를 우선적으로 수신하게 설정할 수도 있다. The detection information received from the engine unit 10 includes not only the detection information newly generated by the engine unit 10, but also all of the detection information merged with previously stored detection information and detection information formed in a group, and according to one embodiment of the present invention. The administrator of the security server 100 according to an example may set to receive any one of the detection information or any one or more of the detection information, and set the priority to prioritize any of the detection information. You can also set to receive.

분산 처리 프로세스는 분산 처리부(20)의 수행하는 가장 핵심적인 프로세스로서, 외부로부터 유입된 트래픽을 탐지 정보에 따라 어떠한 송신 경로로 송신할지 결정하는 프로세스이다. 보다 구체적으로 수신한 탐지 정보에 의해 외부로부터 유입된 트래픽이 정상 트래픽으로 판단된 경우 제1 경로로, 비정상 트래픽으로 판단된 경우 제2 경로로 송신 경로를 설정하는 프로세스인바, 따라서 분산 처리 프로세스는 탐지 정보에 따라 외부로부터 유입된 트래픽을 어떠한 송신 경로로 송신할지 결정하는 송신 경로 설정 규칙 또는 알고리즘이 기 설정되어 있다. The distributed processing process is the most essential process performed by the distributed processing unit 20, and is a process of determining which transmission path to send traffic from outside according to detection information. More specifically, when the traffic from the outside is determined to be normal traffic based on the received detection information, the transmission path is set as the first path and when the traffic is determined as abnormal traffic, the distributed path is detected. According to the information, a transmission path setting rule or algorithm for determining which transmission path to send traffic from outside is set in advance.

여기서 송신 경로 설정 규칙 또는 알고리즘은 예를 들어 다음과 같이 설정되어 있을 수 있다. 탐지 정보가 출발지 IP, 출발지 Mac, 도착지 IP, 도착지 Mac 및 정책(Signature)명 중 어느 하나 이상을 포함하는 경우 해당 IP 또는 Mac에 특정 배열의 숫자가 포함된다면 제1 경로로, 특정 정책명을 포함하는 경우 제2 경로로 송신 경로가 설정되어 있을 수 있다. 이러한 송신 경로 설정 규칙 또는 알고리즘은 본 발명의 일 실시 예에 따른 보안 서버(100)의 관리자가 개별적으로 설정할 수 있으며, 일정 시간 간격으로 네트워크를 통해 업데이트 또는 다운로드 받을 수도 있다.  Here, the transmission path setting rule or algorithm may be set as follows, for example. If the detection information includes one or more of Origin IP, Origin Mac, Destination IP, Destination Mac, and Signature name, the first path, if the IP or Mac contains a specific array of numbers, include the specific policy name. In this case, the transmission path may be set as the second path. Such a transmission path setting rule or algorithm may be individually set by an administrator of the security server 100 according to an embodiment of the present disclosure, and may be updated or downloaded through a network at predetermined time intervals.

더 나아가 분산 처리부(20)는 새롭게 외부로부터 유입된 트래픽을 탐지 정보에 따라 송신 경로를 결정하여 송신하고, 해당 송신 내용을 지속적으로 학습하여 빅데이터를 이룸으로써 인공지능 봇으로 구동될 수도 있다. 이 경우 본 발명의 일 실시 예에 따른 보안 서버(100)의 운영자는 송신 경로 설정 규칙 또는 알고리즘을 번거롭게 일일이 설정하거나 업데이트 또는 다운로드 받을 필요가 없을 것이며, 본 발명의 일 실시 예에 따른 보안 서버(100)를 운영하며 지속적으로 성능이 향상될 수 있는 효과를 얻을 수 있을 것이다. Further, the distributed processing unit 20 may be driven by an artificial intelligence bot by newly determining the transmission path of the externally introduced traffic according to the detection information, and continuously learning the transmission contents to achieve big data. In this case, the operator of the security server 100 according to an embodiment of the present invention will not need to set, update or download a transmission path setting rule or algorithm cumbersomely, and the security server 100 according to an embodiment of the present invention. ), And the performance will be improved continuously.

한편, 유입된 트래픽의 송신 경로의 목적지는 후술할 컨테이너부(30)인바, 컨테이너부(30)를 설명하기에 앞서 컨테이너부(30)에 적용된 도커(Docker) 기술에 대하여 간단히 설명하도록 한다. Meanwhile, the destination of the incoming traffic transmission path is the container unit 30 which will be described later, and the docker technique applied to the container unit 30 will be briefly described before describing the container unit 30.

도커는 오픈 소스 컨테이너 가상 서버 기술의 하나로서 Immutable Infrastructure 패러다임, 보다 구체적으로 호스트 OS와 서비스 운영 환경을 분리하고, 한번 설정한 운영 환경은 변경하지 않는다는 개념하에, 도 3에 도시된 바와 같이 서비스 운영 환경을 베이스 이미지(Base Image)로 생성한 뒤 서버에 배포하여 실행하게 되며, 서비스가 업데이트 되면 운영 환경 자체는 변경하지 않고 새로운 베이스 이미지를 생성하여 배포한다. 여기서 서비스 운영에 필요한 모든 요소를 담은 구성이 컨테이너이며, 컨테이너에 담는 요소는 자주 쓰이는 오픈 소스 소프트웨어는 물론이고, 직접 만든 프로그램까지 종류를 불문한다.Docker is an open source container virtual server technology, and the service operating environment as shown in FIG. 3 under the concept that the immutable infrastructure paradigm, more specifically, separates the host OS from the service operating environment and does not change the operating environment once set. After creating a base image and deploying it to a server, it is executed. When a service is updated, a new base image is created and distributed without changing the operating environment itself. Here, a container is a container that contains all the elements necessary to operate a service, and the elements in a container are not only open source software that is frequently used, but also programs of their own.

도 4 에는 종래의 가상 머신을, 도 5에는 도커 기술이 적용된 컨테이너를 도시해 놓은바, 도 5에 따르면 도커 기술이 적용된 컨테이너는 호스트 OS와 OS 커널을 공유하는 방식이기 때문에 종래의 가상 머신과 같은 게스트 OS가 필요하지 않다. 따라서 이용자에게 가벼운 사용 환경을 제공할 수 있다는 장점이 있으며, 호스트 OS와 게스트 OS간의 기능 중복 방지를 위한 프로세스 스케줄링 자체가 요구되지 않는다. 또한 도커 기술이 적용된 컨테이너는 CPU, RAM, HDD 및 네트워크를 가상화 하지 않으며, 그 자체로 호스트 OS와 동일하게 동작하고, 한 개의 베이스 이미지를 가지고 동시에 복수의 가상 머신을 설치할 수 있는바 배치(Deployment)가 용이하다는 장점까지 있다. 4 illustrates a conventional virtual machine, and FIG. 5 illustrates a container to which docker technology is applied. According to FIG. 5, a container to which docker technology is applied shares a host OS and an OS kernel. No guest OS is required. Therefore, there is an advantage of providing a light user environment, and does not require process scheduling itself to prevent duplication of functions between the host OS and the guest OS. In addition, containers with Docker technology do not virtualize CPUs, RAM, HDDs, and networks, operate on the same as the host OS by themselves, and can deploy multiple virtual machines simultaneously with one base image. It also has the advantage of being easy to use.

다시 도 1에 대한 설명으로 돌아가도록 한다. Returning to the description of FIG. 1 again.

컨테이너부(30)는 분산 처리부(20)가 설정한 송신 경로의 목적지이며, 분산 처리부(20)로부터 유입된 트래픽을 수신하고 처리한다. The container unit 30 is a destination of the transmission path set by the distributed processing unit 20, and receives and processes the traffic flowing from the distributed processing unit 20.

컨테이너부(30)는 유입된 트래픽을 수신하고 처리하는바, 이용자의 요청에 따른 실제 서비스를 제공하는 구성으로 볼 수 있으며, 도 6에 컨테이너부(30)의 세부적인 구성이 도시되어 있다. The container unit 30 receives and processes the incoming traffic, and can be seen as a configuration that provides an actual service according to a user's request, and the detailed configuration of the container unit 30 is illustrated in FIG. 6.

컨테이너부(30)는 제1 그룹 컨테이너(31) 및 제2 그룹 컨테이너(32)를 포함하며, 도 6에는 제2 그룹 컨테이너(32)까지 포함하는 것으로 도시되어 있으나, 이는 설명의 편의를 위한 예시적인 도면일 뿐이며, 서비스의 종류에 따라 제N 그룹 컨테이너(미도시, N은 양의 정수)까지 포함할 수 있음은 물론이다. The container unit 30 includes a first group container 31 and a second group container 32, and is illustrated as including the second group container 32 in FIG. 6, but this is illustrated for convenience of description. It is only an exemplary diagram, and of course, it may include an Nth group container (not shown, where N is a positive integer) according to the type of service.

제1 그룹 컨테이너(31)와 제2 그룹 컨테이너(32)는 기본적인 구조는 일응 유사하나, 송신 경로를 통해 수신하는 트래픽이 상이하다는 차이점이 있다. 앞서 분산 처리부(20)에 대한 설명에서 정상 트래픽으로 판단된 경우 제1 경로를, 비정상 트래픽으로 판단된 경우 제2 경로를 송신 경로로 설정한다고 했던바, 제1 경로의 목적지가 제1 그룹 컨테이너(31)이고 제2 경로의 목적지가 제2 그룹 컨테이너(32)다. 즉, 제1 그룹 컨테이너(31)는 정상 트래픽을 수신하여 처리하고 제2 그룹 컨테이너(32)는 비정상 트래픽을 수신하여 처리한다. The basic structure of the first group container 31 and the second group container 32 is similar, but there is a difference that the traffic received through the transmission path is different. In the description of the distributed processing unit 20, the first path is set as a transmission path when it is determined that the traffic is normal and the second path is set as a transmission path when it is determined that the traffic is abnormal. 31), and the destination of the second route is the second group container 32. That is, the first group container 31 receives and processes normal traffic, and the second group container 32 receives and processes abnormal traffic.

한편, 여기서 처리한다는 것은 이용자의 요청에 따른 서비스를 그대로 제공하는 것을 의미하는바, 이는 비정상 트래픽을 수신하여 처리하는 제2 그룹 컨테이너(32) 역시 마찬가지다. 비정상 트래픽이라 하여 서비스를 제공하지 않는다면 해커가 이를 감지하고 또 다른 방법으로 우회하여 공격을 시도할 수 있기 때문이다. 즉, 비정상 트래픽을 수신하여 처리하는 제2 그룹 컨테이너(32) 역시 서비스를 그대로 제공한다면 해커는 자신의 목적이 달성된 것으로 여기고 추가적인 공격을 시도하지 않을 가능성이 높다는 것을 이용한 것이다. On the other hand, processing here means providing the service according to the request of the user as it is, which is also the second group container 32 for receiving and processing abnormal traffic. This is because if the traffic is not provided because of abnormal traffic, the hacker can detect it and try to bypass it in another way. In other words, if the second group container 32 that receives and processes abnormal traffic also provides the service as it is, the hacker considers that his or her purpose has been achieved and is unlikely to attempt an additional attack.

그러나 제2 그룹 컨테이너(32) 역시 일반적인 그룹 컨테이너와 동일하므로 비정상 트래픽을 수신하여 처리하는 경우 악성코드나 랜섬웨어에 감염되게 되며, 본 발명의 일 실시 예에 따른 전체 보안 서버(100)에 악영향을 미칠 수 있다. 이를 방지하기 위해 제2 그룹 컨테이너(32)는 일정 시간 간격으로 초기화 또는 삭제하는바, 예를 들어, 1시간 간격으로 제2 그룹 컨테이너(32)를 초기화 또는 삭제하도록 설정할 수 있고, 더 나아가 제2 그룹 컨테이너(32)가 비정상 트래픽을 수신하여 처리하고 이용자의 요청이 종료되는 즉시 초기화 또는 삭제하도록 설정할 수도 있다. However, since the second group container 32 is also the same as the general group container, when receiving and processing abnormal traffic, the second group container 32 is infected with malware or ransomware, and adversely affects the entire security server 100 according to an embodiment of the present invention. Can be crazy In order to prevent this, the second group container 32 is initialized or deleted at a predetermined time interval. For example, the second group container 32 may be set to initialize or delete the second group container 32 at an interval of one hour. The group container 32 may be configured to receive and process abnormal traffic and to initialize or delete it as soon as the user's request is terminated.

도 7에는 제1 그룹 컨테이너(31)의 세부적인 구성이 도시되어 있는바, 제1 그룹 컨테이너(31)는 분산 처리부(20)로부터 유입된 트래픽을 수신하는 매니저(Manager) 컨테이너(31-1) 및 매니저 컨테이너(31-1)로부터 유입된 트패픽을 수신하여 목적이 부합하는 처리를 수행하는 하나 이상의 워커 컨테이너(31-2)를 포함한다. 7 illustrates a detailed configuration of the first group container 31, in which the first group container 31 receives a manager container 31-1 that receives the traffic flowing from the distributed processing unit 20. And one or more worker containers 31-2 that receive traffic from the manager container 31-1 and perform processing in accordance with the purpose.

여기서 매니저 컨테이너(31-1)는 일종의 제어부와 같은 역할을 수행하는바, 분산 처리부(20)로부터 유입된 트래픽에 포함되는 이용자의 요청에 따라 해당 트래픽을 워커 컨테이너(31-2)로 분산 처리한다. 예를 들어, 제1 그룹 컨테이너(31)가 A라는 요청에 대한 서비스를 제공하는 워커 컨테이너 a, B라는 요청에 대한 서비스를 제공하는 워커 컨테이너 b를 포함하는 경우, 유입된 트래픽에 포함되는 이용자의 요청이 A라면, 매니저 컨테이너(31-1)는 해당 트래픽을 수신하여 워커 컨테이너 a에 분산 처리하는 것이다. In this case, the manager container 31-1 plays a role as a kind of control unit, and distributes the traffic to the worker container 31-2 according to a request of a user included in the traffic flowing from the distributed processing unit 20. . For example, when the first group container 31 includes worker containers a that provide a service for a request A, and worker containers b that provide a service for a B request, If the request is A, the manager container 31-1 receives the traffic and distributes the traffic to worker container a.

한편, 도 7에는 제1 그룹 컨테이너(31)가 4개의 워커 컨테이너(31-2)를 포함하는 것으로 도시되어 있으나, 워커 컨테이너(31-1)는 하나 이상이면 무방하기 때문에 복수 개 포함할 수도 있음은 물론이다. 또한, 제1 그룹 컨테이너(31)를 기준으로 설명하였으나, 제2 그룹 컨테이너(32) 역시 제1 그룹 컨테이너(31)와 동일한 구조를 가질 수 있다 할 것이다. Meanwhile, although the first group container 31 is illustrated as including four worker containers 31-2 in FIG. 7, the worker group 31-1 may include a plurality of worker containers 31-1. Of course. In addition, although described based on the first group container 31, the second group container 32 may also have the same structure as the first group container 31.

한편, 앞선 설명에서 제2 그룹 컨테이너(32)를 일정 시간 간격으로 삭제 또는 초기화한다고 하는바, 이는 하나의 그룹 컨테이너가 제거된 것으로 볼 수 있으며, 동일한 역할을 수행하는 새로운 그룹 컨테이너의 생성이 필요하다. 이는 도커 기술에 관한 것인바, 이하 자세히 설명하도록 한다. Meanwhile, in the above description, the second group container 32 is deleted or initialized at predetermined time intervals, which can be regarded as removing one group container, and requires creation of a new group container that performs the same role. . This relates to docker technology, which will be described in detail below.

통신부(40)는 외부 서버(미도시)로부터 컨테이너부(30) 생성을 위한 베이스 이미지(Base Image)를 다운로드 받는다. The communication unit 40 downloads a base image for generating the container unit 30 from an external server (not shown).

여기서 외부 서버(미도시)는 도커 기술의 적용이 가능한 서버, 예를 들어 도커 허브(Hub)일 수 있으며, 다운로드 받은 베이스 이미지는 본 발명의 일 실시 예에 따른 보안 서버(100)를 통해 이용자가 요청하는 서비스를 제공할 수 있는 형식으로 개량되어야 한다. 이는 분산 처리부(20)가 수행할 수 있는바, 분산 처리부(20)는 통신부(40)가 다운로드 받은 베이스 이미지를 컨테이너부(30)와 동일한 형식으로 생성하여 배포할 수 있다. Here, the external server (not shown) may be a server to which docker technology is applicable, for example, a docker hub, and the downloaded base image is obtained by the user through the security server 100 according to an embodiment of the present invention. It should be reformed into a form that can provide the requested services. This may be performed by the distributed processing unit 20, and the distributed processing unit 20 may generate and distribute the base image downloaded by the communication unit 40 in the same format as the container unit 30.

도 8에는 통신부(40)가 다운로드 받은 베이스 이미지를 컨테이너부(30)와 동일한 형식으로 생성하여 배포하는 모습이 도시되어 있는바, 최초 다운로드 받은 베이스 이미지는 베이스 컨테이너, 설치된 패키지(Package) 및 업로드된 파일(File)을 포함하는 형태로 배포되며, 이를 제1 베이스 이미지로 명명하기로 한다. 8 shows a state in which the communication unit 40 creates and distributes the downloaded base image in the same format as the container unit 30. The downloaded base image is a base container, an installed package, and an uploaded image. It is distributed in a form including a file, which will be referred to as a first base image.

제1 베이스 이미지는 제2 베이스 이미지를 생성하여 배포하는데 이용되는바, 제2 베이스 이미지는 제1 베이스 이미지에서 가장 하단의 "Editing" 부분이 추가된 이미지인바, Editing은 이용자가 요청하는 서비스 제공을 위해 최적화되어 수정된 부분으로 볼 수 있다. The first base image is used to create and distribute a second base image. The second base image is an image added with the bottommost “Editing” portion of the first base image. Editing provides a service requested by the user. Can be viewed as a modified and optimized part.

한편, 제2 베이스 이미지는 앞서 설명한 방식과 마찬가지로 제3 베이스 이미지를 생성하여 배포하는데 이용될 수 있으며, 이 경우 Editing 부분은 이용자가 요청하는 서비스의 종류에 따라 상이해질 수 있다. 그러나 기본적인 과정은 제2 베이스 이미지를 생성하여 배포하는 것과 동일하므로 중복 서술을 방지하기 위해 자세한 설명은 생략하도록 한다. Meanwhile, the second base image may be used to generate and distribute the third base image in the same manner as described above. In this case, the editing part may be different according to the type of service requested by the user. However, since the basic process is the same as creating and distributing the second base image, a detailed description thereof will be omitted to avoid duplication.

앞서 설명에서 제2 그룹 컨테이너(32)가 일정 시간 간격으로 삭제 또는 초기화된다고 했던바, 분산 처리부(20)는 생성한 베이스 이미지가 제2 그룹 컨테이너(32)를 대체하도록 배포한다. 예를 들어, 분산 처리부(20)는 제1 베이스 이미지를 제2 그룹 컨테이너(32)가 삭제 또는 초기화된 자리에 배포할 수 있는바, 이 경우 제1 베이스 이미지는 제2 그룹 컨테이너(32)와 동일한 형식이어야 할 것이다. 제2 그룹 컨테이너(32)가 제공하는 서비스와 동일한 형태의 서비스를 제공해야 하기 때문이다. In the above description, as the second group container 32 is deleted or initialized at predetermined time intervals, the distribution processor 20 distributes the generated base image to replace the second group container 32. For example, the distribution processor 20 may distribute the first base image to a position where the second group container 32 is deleted or initialized. In this case, the first base image may be different from the second group container 32. It should be of the same format. This is because the same type of service as the service provided by the second group container 32 must be provided.

한편, 제1 그룹 컨테이너(31)는 정상 트래픽을 수신하여 처리하는 구성이나, 제2 그룹 컨테이너(32)와 마찬가지로 일정 시간 간격으로 삭제 또는 초기화될 수 있으며, 그에 따라 분산 처리부(20)는 생성한 베이스 이미지가 제1 그룹 컨테이너(31)를 대체하도록 배포할 수도 있다. 이 경우, 제1 그룹 컨테이너(31)는 정상 트래픽을 수신하여 처리하는 구성이기 때문에 서비스 제공 내역에 대한 로그 데이터 등과 같이 삭제 또는 초기화를 방지해야 하는 데이터들을 백업한 상태에서 백업본을 베이스 이미지에 포함시켜야 할 것이다.Meanwhile, the first group container 31 may be configured to receive and process normal traffic, or may be deleted or initialized at regular time intervals as in the second group container 32, and accordingly, the distributed processing unit 20 may generate The base image may be distributed to replace the first group container 31. In this case, since the first group container 31 is configured to receive and process normal traffic, the backup group should be included in the base image in a state of backing up data that should be prevented from being deleted or initialized, such as log data on service provision history. something to do.

지금까지 본 발명의 일 실시 예에 따른 보안 서버(100)에 대하여 설명하였다. 본 발명에 따르면 외부로부터 유입된 비정상 트래픽에 대하여 요청에 따른 서비스를 그대로 제공하고 일정 시간 간격으로 제2 그룹 컨테이너(32)를 삭제 또는 초기화하는바, 공격을 위해 접속한 해커의 관심을 돌릴 수 있으며, 서버 또는 PC가 악성코드나 랜섬웨어에 감염되는 것을 방지할 수 있고, 그에 따른 추가적인 피해 역시 방지할 수 있다.The security server 100 according to an embodiment of the present invention has been described so far. According to the present invention, the service according to the request is provided to the abnormal traffic introduced from the outside as it is, and the second group container 32 is deleted or initialized at a predetermined time interval, thereby turning the attention of the hacker connected for the attack. In addition, it can prevent the server or PC from being infected with malware or ransomware, and can prevent additional damage.

또한, 게스트 OS를 설치할 필요가 없기 때문에 프로세스 처리 속도가 매우 빠르며, CPU, RAM, 디스크 및 네트워크를 가상화하지 않으므로 물리적 자원을 차지하지 않는바, 가벼운 사용이 가능하다.In addition, because the guest OS does not need to be installed, the processing speed is very fast, and since it does not virtualize CPU, RAM, disk, and network, it does not occupy physical resources and thus can be used lightly.

더 나아가, 컨테이너부(30)를 베이스 이미지를 기초로 생성하여 배포하기 때문에 해킹이 원천적으로 불가능하며, 외부로부터 유입되는 트래픽의 양에 따라 분산 처리부(20)에 의해 컨테이너부(30)가 자동으로 증가될 수 있으므로 무중단 서비스 제공이 가능하다. 또한, 개인 단말의 경우 컨테이너부(30)를 네트워크로의 접속이 가능하고, 서비스 제공을 위한 프로그램을 컨테이너부(30)에 마운트하여 사용하므로 취약점이 발생하더라도 호스트에 영향을 주지 않는다. Furthermore, since the container unit 30 is generated and distributed based on the base image, hacking is not possible at all, and the container unit 30 is automatically generated by the distributed processing unit 20 according to the amount of traffic flowing from the outside. Uninterrupted service can be provided because it can be increased. In addition, in the case of a personal terminal, the container unit 30 can be connected to a network, and a program for providing a service is mounted on the container unit 30 and used, so that a vulnerability does not affect the host.

한편, 본 발명의 일 실시 예에 따른 보안 서버(100)는 동일한 기술적 특징을 모두 포함하는 보안 서버(100)의 운영 방법으로 구현할 수 있는바, 이하 도 9 내지 도 13을 참조하여 설명하도록 한다. On the other hand, the security server 100 according to an embodiment of the present invention can be implemented by the operating method of the security server 100 including all the same technical features, it will be described with reference to Figures 9 to 13 below.

도 9는 본 발명의 또 다른 실시 예에 따른 보안 서버(100)의 운영 방법의 대표적인 단계를 나타낸 순서도이다. 9 is a flowchart illustrating representative steps of a method of operating the security server 100 according to another embodiment of the present invention.

그러나 이는 본 발명의 목적을 달성함에 있어서 바람직한 실시 예일 뿐이며, 필요에 따라 일부 단계가 추가되거나 삭제될 수 있음은 물론이다. However, this is only a preferred embodiment in achieving the object of the present invention, of course, some steps may be added or deleted as necessary.

우선, 엔진부(10)가 외부로부터 유입된 트래픽을 분석하여 생성한 탐지 정보를 저장한다(S910). First, the engine unit 10 stores detection information generated by analyzing traffic introduced from the outside (S910).

여기서 엔진부(10)는 IDS/IPS 엔진으로 구현할 수 있으며, 탐지 정보는 유입된 트래픽의 출발지 IP, 출발지 Mac, 도착지 IP, 도착지 Mac 및 정책(Signature)명 중 어느 하나 이상을 포함할 수 있다. The engine unit 10 may be implemented by an IDS / IPS engine, and the detection information may include any one or more of a source IP, a source Mac, a destination IP, a destination Mac, and a signature name of the incoming traffic.

이후, 분산 처리부(20)가 엔진부(10)로부터 탐지 정보를 수신하고, 수신한 탐지 정보를 분산 처리 프로세스에 매칭시켜 유입된 트래픽의 송신 경로를 설정한다(S920). Thereafter, the distributed processing unit 20 receives detection information from the engine unit 10, sets the transmission path of the incoming traffic by matching the received detection information with the distributed processing process (S920).

S920 단계는 도 10에 도시된 바와 같이 세부적인 단계로 구체화될 수 있는바, 수신한 탐지 정보에 의해 외부로부터 유입된 트래픽이 정상 트래픽인지 판단하는 단계(S912), S912 단계에서 외부로부터 유입된 트래픽이 정상 트래픽으로 판단된 경우, 제1 경로를 송신 경로로 설정하는 단계(S914) 및 S912 단계에서 외부로부터 유입된 트래픽이 비정상 트래픽으로 판단된 경우, 제2 경로를 송신 경로로 설정하는 단계(S916)를 더 포함할 수 있으며, S916 단계 이후에 일정 시간 간격으로 제2 그룹 컨테이너(32)를 삭제 또는 초기화하는 단계(S918)를 더 포함할 수 있다. Step S920 may be embodied in a detailed step as shown in FIG. 10. In operation S912, whether the traffic introduced from the outside is normal traffic based on the received detection information, and the traffic introduced from the outside in step S912. If it is determined that the normal traffic, the step of setting the first path to the transmission path (S914) and the step of setting the second path to the transmission path (S916) if the traffic introduced from the outside is determined to be abnormal traffic (S916) The method may further include a step (S918) of deleting or initializing the second group container 32 at a predetermined time interval after the step S916.

이 경우 컨테이너부(30)는 제1 경로의 목적지인 제1 그룹 컨테이너(31) 및 제2 경로의 목적지인 제2 그룹 컨테이너(32)를 포함할 수 있다. In this case, the container unit 30 may include a first group container 31 that is a destination of the first path and a second group container 32 that is a destination of the second path.

트래픽의 송신 경로를 설정했다면, 분산 처리부(20)가 설정한 송신 경로의 목적지인 컨테이너부(30)가 분산 처리부(20)로부터 유입된 트래픽을 수신하고 처리한다(S930). If the transmission path of the traffic has been set, the container unit 30 which is the destination of the transmission path set by the distributed processing unit 20 receives and processes the traffic introduced from the distributed processing unit 20 (S930).

이 경우 컨테이너부(30)는 분산 처리부(20)로부터 유입된 트래픽을 수신하는 매니저 컨테이너(31-1) 및 매니저 컨테이너(31-1)로부터 유입된 트래픽을 수신하여 목적에 부합하는 처리를 수행하는 워커 컨테이너(31-2)를 더 포함할 수 있다. In this case, the container unit 30 receives the traffic from the manager container 31-1 and the manager container 31-1 that receives the traffic flowing from the distributed processing unit 20, and performs the processing according to the purpose. The worker container 31-2 may further include.

한편, S930 단계는 도 11에 도시된 바와 같이 세부적인 단계로 구체화될 수 있는바, 통신부(40)가 외부 서버(미도시)로부터 컨테이너부(30) 생성을 위한 베이스 이미지를 다운로드 받는 단계(S932) 및 분산 처리부(20)가 통신부(40)가 다운로드 받은 베이스 이미지를 컨테이너부(40)와 동일한 형식으로 생성하여 배포하는 단계(S934)를 더 포함할 수 있다. Meanwhile, the step S930 may be embodied in detailed steps as shown in FIG. 11, and the communication unit 40 downloads the base image for generating the container unit 30 from an external server (not shown) (S932). And generating and distributing the base image downloaded by the communication unit 40 in the same format as that of the container unit 40 (S934).

도 12에는 S912 단계에서 외부로부터 유입된 트래픽이 정상 트래픽으로 판단된 경우의 트래픽 처리 흐름도가, 도 13에는 S912 단계에서 외부로부터 유입된 트래픽이 정상 트래픽으로 판단된 경우의 트래픽 처리 흐름도가 도시되어 있는바, 정상 트래픽의 경우 제1 그룹 컨테이너(31)로, 비정상 트래픽의 경우 제2 그룹 컨테이너(32)로 트래픽이 처리되는 것을 확인할 수 있다. FIG. 12 is a flowchart illustrating a traffic processing when the traffic introduced from the outside is determined to be normal traffic in step S912, and FIG. 13 is a flowchart illustrating the traffic processing when the traffic introduced from the outside is determined to be normal traffic in step S912. In the case of normal traffic, the traffic is processed to the first group container 31 and the abnormal traffic to the second group container 32.

중복 서술을 방지하기 위해 자세히 기술하지는 않았지만 본 발명의 또 다른 실시 예에 따른 보안 서버(100)의 운영 방법은 본 발명의 일 실시 예에 따른 보안 서버(100)와 동일한 기술적 특징을 가지며, 앞서 도 1 내지 도 8을 참조하며 설명한 내용 모두가 적용될 수 있음은 물론이다. Although not described in detail in order to avoid duplication, the operating method of the security server 100 according to another embodiment of the present invention has the same technical features as the security server 100 according to an embodiment of the present invention. Of course, all of the contents described with reference to FIGS. 1 to 8 may be applied.

이상 첨부된 도면을 참조하여 본 발명의 실시 예들을 설명하였지만, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시 예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.Although embodiments of the present invention have been described above with reference to the accompanying drawings, those skilled in the art to which the present invention pertains may implement the present invention in other specific forms without changing the technical spirit or essential features thereof. I can understand that. Therefore, it should be understood that the embodiments described above are exemplary in all respects and not restrictive.

100: 보안 서버
10: 엔진부
20: 분산 처리부
30: 컨테이너부
31: 제1 그룹 컨테이너
31-1: 매니저 컨테이너
31-2: 워커 컨테이너
32: 제2 그룹 컨테이너
40: 통신부100: security server
10: engine part
20: distributed processing unit
30: container part
31: First group container
31-1: Manager Container
31-2: Walker container
32: second group container
40: communication unit

Claims (14)

외부로부터 유입된 트래픽을 분석하여 생성한 탐지 정보를 저장하는 엔진부;
상기 엔진부로부터 탐지 정보를 수신하고, 상기 수신한 탐지 정보를 분산 처리 프로세스에 매칭시켜 상기 유입된 트래픽의 송신 경로를 설정하는 분산 처리부; 및
상기 분산 처리부가 설정한 송신 경로의 목적지이며, 상기 분산 처리부로부터 상기 유입된 트래픽을 수신하고 처리하는 컨테이너(Container)부;
를 포함하는 보안 서버에 있어서,
상기 분산 처리 프로세스는,
상기 수신한 탐지 정보에 의해 상기 외부로부터 유입된 트래픽이 정상 트래픽으로 판단된 경우, 제1 경로를 송신 경로로 설정하고,
상기 수신한 탐지 정보에 의해 상기 외부로부터 유입된 트래픽이 비정상 트래픽으로 판단된 경우 제2 경로를 송신 경로로 설정하며,
상기 제1 경로의 목적지는 상기 컨테이너부가 포함하는 제1 그룹 컨테이너이며,
상기 제2 경로의 목적지는 상기 컨테이너부가 포함하는 제2 그룹 컨테이너인,
보안 서버. An engine unit which stores detection information generated by analyzing traffic introduced from the outside;
A distributed processing unit which receives detection information from the engine unit, and sets the transmission path of the incoming traffic by matching the received detection information with a distributed processing process; And
A container unit which is a destination of a transmission path set by the distributed processing unit, and receives and processes the incoming traffic from the distributed processing unit;
In a security server comprising:
The distributed processing process,
If the traffic introduced from the outside is determined to be normal traffic based on the received detection information, set a first path as a transmission path,
When the traffic introduced from the outside is determined to be abnormal traffic by the received detection information, set a second path as a transmission path,
The destination of the first route is a first group container included in the container unit,
The destination of the second route is a second group container included in the container unit.
Security server. 제1항에 있어서,
상기 엔진부는,
IDS/IPS 엔진이며,
상기 탐지 정보는,
상기 유입된 트래픽의 출발지 IP, 출발지 Mac, 도착지 IP, 도착지 Mac 및 정책(Signature)명 중 어느 하나 이상을 포함하는,
보안 서버. The method of claim 1,
The engine unit,
IDS / IPS engine,
The detection information,
At least one of a source IP, a source Mac, a destination IP, a destination Mac, and a signature name of the incoming traffic,
Security server. 삭제delete 삭제delete 제1항에 있어서,
상기 제2 그룹 컨테이너는,
일정 시간 간격으로 삭제 또는 초기화되는,
보안 서버. The method of claim 1,
The second group container,
Deleted or reset at regular intervals,
Security server. 제1항에 있어서,
외부 서버로부터 상기 컨테이너부의 생성을 위한 베이스 이미지(Base Image)를 다운로드 받는 통신부;
를 더 포함하되,
상기 분산 처리부는,
상기 통신부가 다운로드 받은 베이스 이미지를 상기 컨테이너부와 동일한 형식으로 생성하여 배포하는,
보안 서버. The method of claim 1,
A communication unit which downloads a base image for generating the container unit from an external server;
Include more,
The dispersion processing unit,
To generate and distribute the downloaded base image in the same format as the container,
Security server. 제1항에 있어서,
상기 컨테이너부는,
상기 분산 처리부로부터 상기 유입된 트래픽을 수신하는 매니저(Manager) 컨테이너; 및
상기 매니저 컨테이너로부터 상기 유입된 트래픽을 수신하여 목적에 부합하는 처리를 수행하는 워커(Worker) 컨테이너;
를 더 포함하는,
보안 서버. The method of claim 1,
The container unit,
A manager container for receiving the incoming traffic from the distributed processing unit; And
A worker container configured to receive the incoming traffic from the manager container and perform a process corresponding to the purpose;
Further comprising,
Security server. 통신부, 엔진부, 분산 처리부 및 컨테이너부를 포함하는 보안 서버의 운영 방법에 있어서,
상기 엔진부가 외부로부터 유입된 트래픽을 분석하여 생성한 탐지 정보를 저장하는 단계;
상기 분산 처리부가 상기 엔진부로부터 탐지 정보를 수신하고, 상기 수신한 탐지 정보를 분산 처리 프로세스에 매칭시켜 상기 유입된 트래픽의 송신 경로를 설정하는 단계; 및
상기 분산 처리부가 설정한 송신 경로의 목적지인 상기 컨테이너부가 상기 분산 처리부로부터 상기 유입된 트래픽을 수신하고 처리하는 단계;
를 포함하는 보안 서버의 운영 방법에 있어서,
상기 송신 경로를 설정하는 단계는,
상기 수신한 탐지 정보에 의해 상기 외부로부터 유입된 트래픽이 정상 트래픽인지 판단하는 단계;
상기 판단하는 단계에서 상기 외부로부터 유입된 트래픽이 정상 트래픽으로 판단된 경우, 제1 경로를 송신 경로로 설정하는 단계; 및
상기 판단하는 단계에서 상기 외부로부터 유입된 트래픽이 비정상 트래픽으로 판단된 경우, 제2 경로를 송신 경로로 설정하는 단계;
를 더 포함하며,
상기 제1 경로의 목적지는 상기 컨테이너부가 포함하는 제1 그룹 컨테이너이며,
상기 제2 경로의 목적지는 상기 컨테이너부가 포함하는 제2 그룹 컨테이너인,
보안 서버의 운영 방법. In the operating method of the security server including a communication unit, an engine unit, a distributed processing unit and a container unit,
Storing, by the engine unit, detection information generated by analyzing traffic introduced from the outside;
Receiving, by the distributed processor, detection information from the engine unit, and matching the received detection information with a distributed processing process to establish a transmission path of the inflowed traffic; And
Receiving and processing the incoming traffic from the distributed processor by the container, which is a destination of a transmission path set by the distributed processor;
In the operating method of the security server comprising a,
Setting the transmission path,
Determining whether the traffic introduced from the outside is normal traffic based on the received detection information;
Setting the first path as a transmission path when the traffic from the outside is determined to be normal traffic in the determining step; And
Setting a second path as a transmission path when it is determined that the traffic introduced from the outside is abnormal traffic in the determining step;
More,
The destination of the first route is a first group container included in the container unit,
The destination of the second route is a second group container included in the container unit.
How security servers work. 제8항에 있어서,
상기 엔진부는,
IDS/IPS 엔진이며,
상기 탐지 정보는,
상기 유입된 트래픽의 출발지 IP, 출발지 Mac, 도착지 IP, 도착지 Mac 및 정책(Signature)명 중 어느 하나 이상을 포함하는,
보안 서버의 운영 방법. The method of claim 8,
The engine unit,
IDS / IPS engine,
The detection information,
At least one of a source IP, a source Mac, a destination IP, a destination Mac, and a signature name of the incoming traffic,
How security servers work. 삭제delete 삭제delete 제8항에 있어서,
상기 제2 경로를 송신 경로로 설정하는 단계 이후에,
일정 시간 간격으로 상기 제2 그룹 컨테이너를 삭제 또는 초기화하는 단계;
를 더 포함하는,
보안 서버의 운영 방법. The method of claim 8,
After setting the second path as a transmission path,
Deleting or initializing the second group container at regular time intervals;
Further comprising,
How security servers work. 제8항에 있어서,
상기 통신부가 외부 서버로부터 상기 컨테이너부의 생성을 위한 베이스 이미지(Base Image)를 다운로드 받는 단계; 및
상기 분산 처리부가 상기 통신부가 다운로드 받은 베이스 이미지를 상기 컨테이너부와 동일한 형식으로 생성하여 배포하는 단계;
를 더 포함하는,
보안 서버의 운영 방법. The method of claim 8,
Downloading, by the communication unit, a base image for generating the container unit from an external server; And
Generating and distributing, by the distributed processor, the base image downloaded by the communication unit in the same format as that of the container unit;
Further comprising,
How security servers work. 제8항에 있어서,
상기 컨테이너부는,
상기 분산 처리부로부터 상기 유입된 트래픽을 수신하는 매니저(Manager) 컨테이너; 및
상기 매니저 컨테이너로부터 상기 유입된 트래픽을 수신하여 목적에 부합하는 처리를 수행하는 워커(Worker) 컨테이너;
를 더 포함하는,
보안 서버의 운영 방법. The method of claim 8,
The container unit,
A manager container for receiving the incoming traffic from the distributed processing unit; And
A worker container configured to receive the incoming traffic from the manager container and perform a process corresponding to the purpose;
Further comprising,
How security servers work.
KR1020180036061A 2018-03-28 2018-03-28 Security server and managing method thereof KR102075003B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180036061A KR102075003B1 (en) 2018-03-28 2018-03-28 Security server and managing method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180036061A KR102075003B1 (en) 2018-03-28 2018-03-28 Security server and managing method thereof

Publications (2)

Publication Number Publication Date
KR20190113411A KR20190113411A (en) 2019-10-08
KR102075003B1 true KR102075003B1 (en) 2020-02-07

Family

ID=68208472

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180036061A KR102075003B1 (en) 2018-03-28 2018-03-28 Security server and managing method thereof

Country Status (1)

Country Link
KR (1) KR102075003B1 (en)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101620931B1 (en) 2014-09-04 2016-05-13 한국전자통신연구원 Similar malicious code retrieval apparatus and method based on malicious code feature information
KR101753647B1 (en) * 2015-10-27 2017-07-05 제노테크주식회사 Honypot security system based on cloud computing and method therof

Also Published As

Publication number Publication date
KR20190113411A (en) 2019-10-08

Similar Documents

Publication Publication Date Title
JP6106780B2 (en) Malware analysis system
US11102220B2 (en) Detection of botnets in containerized environments
US11902145B2 (en) Generating and deploying security policies for microsegmentation
US10033745B2 (en) Method and system for virtual security isolation
Kuppusamy et al. Diplomat: Using delegations to protect community repositories
US7533413B2 (en) Method and system for processing events
US11290484B2 (en) Bot characteristic detection method and apparatus
US20100031308A1 (en) Safe and secure program execution framework
CN112702300A (en) Security vulnerability defense method and device
AU2012259113A1 (en) Malware analysis system
US11792194B2 (en) Microsegmentation for serverless computing
US11381446B2 (en) Automatic segment naming in microsegmentation
US20220201041A1 (en) Administrative policy override in microsegmentation
US20230094864A1 (en) System and method for end-to-end data trust management with real-time attestation
JP6403803B2 (en) Routing method for transferring task instructions between computer systems, computer network infrastructure, and computer program
US11588859B2 (en) Identity-based enforcement of network communication in serverless workloads
US9705898B2 (en) Applying group policies
KR102075003B1 (en) Security server and managing method thereof
US10542001B1 (en) Content item instance access control
JP7411775B2 (en) Inline malware detection
JP6010672B2 (en) Security setting system, security setting method and program
Spahn et al. Container Orchestration Honeypot: Observing Attacks in the Wild
JP5456636B2 (en) File collection monitoring method, file collection monitoring apparatus, and file collection monitoring program
US20160321211A1 (en) Remote messaging using target memory location
KR20210043904A (en) Detour program auto-detection method and system therefore

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant