KR20030056652A - Blacklist management apparatus in a policy-based network security management system and its proceeding method - Google Patents

Blacklist management apparatus in a policy-based network security management system and its proceeding method Download PDF

Info

Publication number
KR20030056652A
KR20030056652A KR1020010086926A KR20010086926A KR20030056652A KR 20030056652 A KR20030056652 A KR 20030056652A KR 1020010086926 A KR1020010086926 A KR 1020010086926A KR 20010086926 A KR20010086926 A KR 20010086926A KR 20030056652 A KR20030056652 A KR 20030056652A
Authority
KR
South Korea
Prior art keywords
blacklist
policy
security
address
bad
Prior art date
Application number
KR1020010086926A
Other languages
Korean (ko)
Inventor
방효찬
김명은
김기영
김진오
장종수
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020010086926A priority Critical patent/KR20030056652A/en
Publication of KR20030056652A publication Critical patent/KR20030056652A/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PURPOSE: A device and a method for managing blacklists in a policy-based network security control system are provided to collect and analyze various network information in real time, so as to notify an operator of user addresses and host addresses exceeding a reference value and generate a network packet cutoff policy for a corresponding IP(Internet Protocol) address. CONSTITUTION: An intrusion detection alarm receiver(301) collects network intrusion alarm data from a security gateway(103) in real time. A dangerous IP address generator(302) extracts blacklist-related information from the collected network intrusion alarm data, and records the extracted information in a potential blacklist DB(307). A blacklist analyzer(303) compares and analyzes whether a network intrusion exceeds a preset threshold from the extracted blacklist-related information. An event generator(304) generates event information to record an event log in a dangerous blacklist DB(309), if the network intrusion is decided to exceed the threshold through the blacklist analyzer(303). A blacklist event monitor(305) notifies the event information generated by the event generator(304) to a remote security manager through a network. And a blacklist cut-off policy manager(310) generates and transmits a packet cutoff policy for a specific IP address through the event information and the event log.

Description

정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치 및 관리방법{BLACKLIST MANAGEMENT APPARATUS IN A POLICY-BASED NETWORK SECURITY MANAGEMENT SYSTEM AND ITS PROCEEDING METHOD}BLACKLIST MANAGEMENT APPARATUS IN A POLICY-BASED NETWORK SECURITY MANAGEMENT SYSTEM AND ITS PROCEEDING METHOD}

본 발명은 인터넷과 같은 정보통신망에서의 보안제어 기술에 관한 것으로, 특히, 다양한 네트워크 정보들을 실시간 수집 및 분석하여 기준치를 초과하는 사용자 주소 및 호스트 주소에 대한 실시간 통보 및 해당 IP 주소의 네트워크 패킷 차단 대응정책 생성을 구현하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치 및 관리방법에 관한 것이다.The present invention relates to a security control technology in an information communication network such as the Internet. In particular, real-time notification of user addresses and host addresses exceeding a reference value by collecting and analyzing various network information in real time, and network packet blocking response of the corresponding IP address. The present invention relates to a blacklist management apparatus and management method in a policy-based network security control system for implementing policy generation.

네트워크 관련 기술의 발달과 함께, 그에 따른 보안제어 기술이 다방면에서 연구 개발되고 있는데, 특히, 해킹과 같은 네트워크 침해사고로부터 시스템을 보호하기 위하여 침입차단 시스템(Firewall), 침입탐지 시스템(IDS : Intrusion Detection System)과 같은 보안제어 기술이 널리 이용되고 있다.With the development of network-related technology, security control technology has been researched and developed in various fields. In particular, in order to protect the system from network intrusions such as hacking, a firewall and an intrusion detection system (IDS) are known. Security control technology such as System) is widely used.

여기서, 침입차단 시스템(Firewall)은 패킷 필터링(Packet Filtering)을 통해 IP(Internet Protocol) 주소 또는 특정 세션(session)을 기반으로 외부 네트워크로부터의 패킷 유입 및 접속을 차단하는 시스템을 의미하며, 침입탐지 시스템은 침입 패턴 DB와 침입판단 분석 엔진을 이용하여 네트워크의 사용 상황을 실시간으로 모니터링하고 유해한 패킷을 검출하는 기능을 수행하는 시스템을 일컫는다.Here, an intrusion prevention system (Firewall) refers to a system that blocks packet inflow and access from an external network based on an IP (Internet Protocol) address or a specific session through packet filtering, and intrusion detection. The system refers to a system that monitors network usage in real time and detects harmful packets by using the intrusion pattern DB and intrusion analysis engine.

블랙리스트 관리 방안은 이러한 보안 장비에서 해킹 근원지 주소를 기준으로 DB에 로그를 남겨, 사후 해당 IP 주소로부터의 접속시도 및 패킷에 대해 사전에 지정된 조치를 취하기 위한 방안으로 제안되어 왔다.The blacklist management method has been proposed to leave a log in the DB based on the hacking source address in such security equipment and take pre-specified measures on the connection attempts and packets from the IP address afterwards.

그러나, 이들 보안 장비들은 제조 회사별로 보안기능 및 인터페이스가 서로 상이하기 때문에 주로 단일 장비 레벨의 단순한 불량 IP 주소 관리 정도의 역할만을 수행할 뿐, 광역 네트워크 차원에서의 보안기능 통합 및 운용관리의 일원화를 구현하기에는 여러 가지 제약이 따를 수밖에 없는 실정이다.However, since these security devices differ in their security functions and interfaces from one manufacturer to another, they only play a role of managing simple rogue IP addresses at a single device level, and integrating security functions integration and operation management at the wide-area network level. There are a number of constraints to implement.

또한, 종래의 단일 장비 위주의 블랙리스트 관리로는 대규모 네트워크에서 사이버 테러가 발생하였을 때, 불특정 다수의 공격자 및 피 공격자를 구조적으로 관리할 수 없으며, 전체 네트워크 보안 침해 상황을 IP 주소 단위까지 구체적으로 파악하고 감시할 수 없다는 문제가 있다.In addition, the conventional single device-oriented blacklist management cannot structurally manage an unspecified number of attackers and victims in the event of cyber terrorism in a large network. There is a problem that can not be identified and monitored.

또한, 보안 장비별로 사전에 정의된 탐지 방법에 따라 운용되기 때문에 보안관리자가 원하는 각 네트워크의 보안환경에 적합한 유동적인 블랙리스트(blacklist) 운용관리가 불가능하다는 문제가 제기되었다.In addition, since the security equipment is operated according to a predefined detection method, a problem that a flexible blacklist operation management suitable for the security environment of each network desired by the security manager is impossible is raised.

본 발명은 상술한 문제를 해결하기 위해 안출한 것으로, 침입탐지 에이전트(보안게이트웨이)로부터 송신되는 네트워크 침입 경보로부터 네트워크 침입 근원지 주소 및 목적지 주소, 보안등급, 해킹유형 정보 등을 실시간으로 수집 및 분석하여 사전에 설정한 기준치를 초과하는 사용자 주소 및 호스트 주소 정보를 운용자에게 실시간 통보하도록 하고, 운용자의 선택에 의해 해당 IP 주소의 네트워크 패킷 차단 대응정책을 자동으로 생성시켜 관리 영역내의 보안장비에 적용하도록 한 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치 및 관리방법을 제공하는데 그 목적이 있다.The present invention has been made to solve the above-described problem, by collecting and analyzing the network intrusion source address and destination address, security level, hacking type information, etc. in real time from the network intrusion alert transmitted from the intrusion detection agent (security gateway) Inform the operator of user address and host address information exceeding the preset threshold in real time, and automatically generate network packet blocking response policy of the IP address according to the operator's choice and apply it to the security equipment in the management area. The purpose of the present invention is to provide a blacklist management device and management method in a policy-based network security control system.

이러한 목적을 달성하기 위한 본 발명의 일 실시예에 따르면, 기간 망 내로 유입되는 네트워크 패킷 정보를 분석하여 네트워크 침입 여부를 판단하고 침입 행위에 대한 패킷 정보를 기반으로 네트워크 침입경보 데이터를 생성 및 송신하는 보안게이트웨이와 연동되며, 보안게이트웨이로부터 수신되는 네트워크 침입경보 데이터를 기반으로 불량 사용자 및 불량 호스트 정보를 추출하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치에 있어서, 보안게이트웨이로부터의 네트워크 침입경보 데이터를 실시간 수집하는 침입탐지 경보 수신 수단과; 수집되는 네트워크 침입경보 데이터로부터 블랙리스트 관련 정보를 추출하여 제 1 블랙리스트 DB에 기록하는 불량 IP 주소 생성 수단과; 추출되는 블랙리스트 관련 정보로부터 네트워크 침입 행위가 기설정된 임계수치(threshold)를 초과하는지를 비교 분석하는 블랙리스트 분석 수단과; 블랙리스트 분석 수단을 통해 임계수치가 초과된 것으로 판단되면, 이벤트 정보를 생성하여 제 2 블랙리스트 DB에 이벤트 로그를 기록하는 이벤트 생성 수단과; 이벤트 생성 수단에 의해 발생되는 이벤트 정보를 네트워크를 통해 연결된 원격 보안관리자에게 통보하는 블랙리스트 이벤트 감시 수단과; 이벤트 정보와 상기 이벤트 로그를 통해 특정 IP 주소에 대한 패킷유입 차단대응정책 데이터를 생성 및 송신하는 블랙리스트 차단대응정책 관리 수단을 포함하는 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치를 제공한다.According to an embodiment of the present invention for achieving the above object, by analyzing the network packet information flowing into the main network to determine whether the network intrusion, and generating and transmitting the network intrusion alarm data based on the packet information for the intrusion action A blacklist management device of a policy-based network security control system interworking with a security gateway and extracting bad user and bad host information based on network intrusion alarm data received from the security gateway, wherein the network intrusion alarm data from the security gateway is used. Intrusion detection alert receiving means for collecting the real-time; Bad IP address generation means for extracting blacklist related information from the collected network intrusion alarm data and writing it to the first blacklist DB; Blacklist analysis means for comparing and analyzing whether network intrusion behavior exceeds a predetermined threshold value from the extracted blacklist-related information; Event generation means for generating event information and recording an event log in a second blacklist DB if it is determined that the threshold value has been exceeded by the blacklist analysis means; Blacklist event monitoring means for notifying a remote security manager connected via a network of event information generated by the event generating means; And a blacklist blocking response policy management means for generating and transmitting packet inflow blocking response policy data for a specific IP address through event information and the event log. To provide.

본 발명의 목적을 달성하기 위한 다른 실시예에 따르면, 다수의 보안게이트웨이로부터의 네트워크 침입경보 데이터를 실시간 수집하는 침입탐지경보 수신 수단을 구비하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법에 있어서, 침입탐지경보 수신 수단에 의해 수집되는 네트워크 침입경보 데이터를 경보 DB 스키마(schema) 데이터로 변형하는 제 1 단계와; 기설정된 저장 주기(Scheduled cycle time)가 도래되었는지를 판단하는 제 2 단계와; 제 2 단계의 판단 결과, 기설정된 저장 주기가 아니라고 판단되면 변형 경보데이터를 저장 매체에 저장하는 제 3 단계와; 제 2 단계의 판단 결과, 기설정된 저장 주기가 도래되었으면, 저장 매체에 저장된 변형 경보데이터를 독출하여 원격의 경보 DB에 송신함으로써, 변형 경보데이터를 저장토록 하는 제 4 단계를 포함하는 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법을 제공한다.According to another embodiment for achieving the object of the present invention, in a blacklist management method in a policy-based network security control system having an intrusion detection alarm receiving means for collecting network intrusion alarm data from a plurality of security gateways in real time A first step of transforming network intrusion alert data collected by the intrusion detection alert receiving means into alert DB schema data; A second step of determining whether a predetermined stored cycle time has arrived; A third step of storing the modified alarm data in the storage medium when it is determined that the second step is not a preset storage period; And a fourth step of storing the modified alarm data by reading the modified alarm data stored in the storage medium and transmitting the modified alarm data stored in the storage medium to a remote alarm DB when the determination result of the second step is reached. Provides blacklist management method in policy-based network security control system.

본 발명의 목적을 달성하기 위한 또 다른 실시예에 따르면, 불량 IP 주소 생성 수단, 블랙리스트 분석 수단, 블랙리스트 이벤트 생성 수단, 블랙리스트 이벤트 감시 수단을 각각 구비하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법에 있어서, 불량 IP 주소 생성 수단에서 임의의 저장매체에 저장되어 있는경보데이터를 검색하고, 검색 결과에 따른 블랙리스트 관련 정보를 추출하는 제 1 단계와; 불량 IP 주소 생성 수단에서 제 1 블랙리스트 DB 내에 해당 IP 주소가 존재하는지를 판단하는 제 2 단계와; 제 2 단계의 판단 결과, 해당 IP 주소가 존재하지 않는 것으로 판단되면, 추출된 정보를 데이터 스키마 형태로 DB화하여 신규 등록하는 제 3 단계와; 제 2 단계의 판단 결과, 제 1 블랙리스트 DB 내에 해당 IP 주소가 존재하는 것으로 판단되면, 해당 IP 주소의 각 필드 값을 증가시키고 제 1 블랙리스트 DB 내의 블랙리스트 정보를 현재의 정보로 수정하는 제 4 단계와; 블랙리스트 분석 수단에서 해당 IP 주소가 근원지 주소인지 목적지 주소인지를 판단하는 제 5 단계와; 제 5 단계의 판단 결과, 해당 IP 주소가 근원지 주소인 경우에는, 제 1 블랙리스트 DB 내의 불량 사용자 IP 주소의 전체 보안위반 횟수와 보안등급별 보안위반 횟수가 불량 사용자 보안위반 임계수치를 초과하는지를 판단하는 제 6 단계와; 제 5 단계의 판단 결과, 해당 IP 주소가 목적지 주소인 경우에는, 제 1 블랙리스트 DB 내의 불량 사용자 IP 주소의 전체 보안위반 횟수와 보안등급별 보안위반 횟수가 불량 사용자 보안위반 임계수치를 초과하는지를 각각 판단하는 제 7 단계와; 제 6 단계 및 제 7 단계의 판단 결과, 제 1 블랙리스트 DB 내의 불량 사용자 IP 주소의 전체 보안위반 횟수와 보안등급별 보안위반 횟수가 불량 사용자 보안위반 임계수치를 초과한 것으로 판단되면, 블랙리스트 이벤트 생성 수단에서 이벤트 정보를 생성한 후, 이벤트 정보를 제 2 블랙리스트 DB 내에 저장하는 제 8 단계와; 블랙리스트 이벤트 감시 수단을 통해 이벤트 정보를 보안관리자에게 통보하는 제 9 단계를 포함하는 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법을 제공한다.According to another embodiment for achieving the object of the present invention, a black in a policy-based network security control system having a bad IP address generating means, blacklist analysis means, blacklist event generating means, blacklist event monitoring means respectively; A list management method comprising: a first step of searching for alarm data stored in an arbitrary storage medium by a bad IP address generating means, and extracting blacklist related information according to a search result; A second step of determining, by the bad IP address generating means, whether the corresponding IP address exists in the first blacklist DB; If it is determined that the corresponding IP address does not exist, the third step of converting the extracted information into a DB in a data schema form and newly registering the extracted information; As a result of the determination in the second step, if it is determined that the corresponding IP address exists in the first blacklist DB, increasing the value of each field of the corresponding IP address and modifying the blacklist information in the first blacklist DB to the current information. 4 steps; Determining, by the blacklist analyzing means, whether the corresponding IP address is a source address or a destination address; As a result of the determination in the fifth step, when the corresponding IP address is the source address, it is determined whether the total number of security violations and the number of security violations by security level of the bad user IP address in the first blacklist DB exceed the bad user security violation threshold value. A sixth step; As a result of the determination in the fifth step, when the corresponding IP address is the destination address, it is determined whether the total number of security violations and the number of security violations by security level of the bad user IP addresses in the first blacklist DB exceed the bad user security violation threshold values, respectively. A seventh step; As a result of the determination in the sixth and seventh stages, if it is determined that the total number of security violations and the number of security violations by security level of the rogue user IP addresses in the first blacklist DB exceed the rogue user security violation threshold, a blacklist event is generated. An eighth step of generating the event information in the means, and storing the event information in the second blacklist DB; And a ninth step of notifying the security manager of the event information through the blacklist event monitoring means.

본 발명의 목적을 달성하기 위한 또 다른 실시예에 따르면, 보안정책 전달 수단과 연동되며, 블랙리스트 차단대응정책 관리 수단을 구비하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법에 있어서, 보안관리자에 의해 불량 IP 주소가 선택되면, 블랙리스트 차단대응정책 관리 수단에서 해당 불량 IP 주소에 대한 차단대응정책이 기적용 중인지를 판단하는 제 1 단계와; 제 1 단계의 판단 결과, 해당 불량 IP 주소에 대한 차단대응정책이 기적용 중인 것으로 판단되면, 블랙리스트 차단대응정책 관리 수단에서 현재의 보안정책적용 현황을 보안관리자에게 통보하는 제 2 단계와; 제 1 단계의 판단 결과, 해당 불량 IP 주소에 대한 차단대응정책이 현재 적용되지 않는 것으로 판단되면, 블랙리스트 차단대응정책 관리 수단에서 새로운 차단대응정책을 생성하는 제 3 단계와; 새로운 차단대응정책이 생성되면 해당 불량 IP 주소에 적용되고 있는 타 보안정책의 정책충돌 유무를 판단하는 제 4 단계와; 제 4 단계의 판단 결과, 해당 불량 IP 주소에 적용되고 있는 타 보안정책의 정책충돌이 발생한 것으로 판단되면, 현재의 모든 보안정책적용 현황을 보안관리자에게 통보하는 제 5 단계와; 제 4 단계의 판단 결과, 해당 불량 IP 주소에 적용되고 있는 타 보안정책의 정책충돌이 발생하지 않은 것으로 판단되면, 생성된 차단대응정책을 보안정책 전달 수단으로 전달하는 제 6 단계와; 보안정책 전달 수단으로부터 정책적용 성공 메시지가 수신되면, 해당 차단대응정책을 DB화한 후, 제 1 블랙리스트 DB 및 제 2 블랙리스트 DB 내의 해당 불량 IP 주소의 정책적용 상태를 트루(true)로 변경하는 제 7 단계와; 보안정책 전달 수단으로부터 정책적용 실패 메시지가 수신되면, 차단대응정책 적용 실패 현황을 보안관리자에게 통보하는 제 8 단계를 포함하는 것을 특징으로 하는 네트워크 보안제어시스템에서의 블랙리스트 관리방법을 제공한다.According to another embodiment for achieving the object of the present invention, in the blacklist management method in the policy-based network security control system interlocked with the security policy delivery means, and having a blacklist blocking response policy management means, the security manager If the bad IP address is selected by the first step, the blacklist blocking response policy management means determines whether the blocking response policy for the bad IP address is already applied; A second step of notifying the security manager of the current security policy application status in the blacklist blocking response policy management means when it is determined that the blocking response policy for the bad IP address is being applied; If it is determined that the blocking response policy for the bad IP address is not currently applied, the third step of creating a new blocking response policy in the blacklist blocking response policy management means; A fourth step of determining whether there is a policy conflict with another security policy applied to the bad IP address when a new blocking response policy is generated; A fifth step of notifying the security manager of all current security policy application statuses when it is determined that a policy conflict of another security policy applied to the corresponding bad IP address has occurred; As a result of the fourth step, if it is determined that a policy conflict of another security policy applied to the bad IP address has not occurred, a sixth step of transmitting the generated blocking response policy to the security policy delivery means; When the policy application success message is received from the security policy delivery means, the blocking response policy is DBized, and then the policy application status of the corresponding bad IP address in the first blacklist DB and the second blacklist DB is changed to true. A seventh step; When the policy application failure message is received from the security policy delivery means, it provides a blacklist management method in a network security control system comprising an eighth step of notifying the security manager of the failure to apply the block response policy.

도 1은 본 발명에 따른 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치와 전체 보안 망과의 연동을 도시한 망 구성도,1 is a network diagram showing the interworking between the blacklist management device and the entire security network in a policy-based network security control system according to the present invention;

도 2는 본 발명에 따른 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치와 보안게이트웨이와의 연동을 도시한 블록 구성도,2 is a block diagram showing the interworking between the black list management device and the security gateway in the policy-based network security control system according to the present invention;

도 3은 본 발명에 따른 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치의 상세 블록 구성도,3 is a detailed block diagram of an apparatus for managing a blacklist in a policy-based network security control system according to the present invention;

도 4는 본 발명에 따른 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치내의 침입탐지경보 수신부의 동작 과정을 도시한 흐름도,4 is a flowchart illustrating an operation process of an intrusion detection alarm receiver in a blacklist management apparatus in a policy based network security control system according to the present invention;

도 5는 본 발명에 따른 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치내의 불량 IP 주소 생성부, 블랙리스트 분석부, 블랙리스트 이벤트 생성부, 블랙리스트 이벤트 감시부의 동작 과정을 도시한 흐름도,5 is a flowchart illustrating an operation process of a bad IP address generator, a blacklist analyzer, a blacklist event generator, and a blacklist event monitor in a blacklist management apparatus in a policy based network security control system according to the present invention;

도 6은 본 발명에 따른 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치내의 블랙리스트 차단대응정책 관리부의 동작 과정을 도시한 흐름도,6 is a flowchart illustrating an operation process of a blacklist blocking response policy management unit in a blacklist management apparatus in a policy-based network security control system according to the present invention;

도 7은 도 3의 블랙리스트 관리장치내에 DB화되는 경보데이터 테이블,7 is an alarm data table DBized in the blacklist managing apparatus of FIG. 3;

도 8은 도 3의 블랙리스트 관리장치내에 DB화되는 불량 사용자 및 불량 호스트 데이터 테이블,FIG. 8 illustrates a bad user and bad host data table that is DBized in the blacklist managing apparatus of FIG. 3; FIG.

도 9는 도 3의 블랙리스트 관리장치내에 DB화되는 불량 사용자 및 불량 호스트 보안 위반 임계수치 항목 테이블,9 is a table of rogue users and rogue host security violation threshold values that are DBized in the blacklist management apparatus of FIG. 3;

도 10은 도 3의 블랙리스트 관리장치내에 DB화되는 이벤트 로그 정보 테이블.FIG. 10 is an event log information table DBized in the blacklist management apparatus of FIG. 3; FIG.

<도면의 주요부분에 대한 부호의 설명><Description of the code | symbol about the principal part of drawing>

100 : 네트워크 보안제어시스템100: network security control system

102 : 기간 망102: period network

103 : 보안게이트웨이103: security gateway

104 : 망 접속 점104: network connection point

200 : 블랙리스트 관리장치200: black list management device

201 : 네트워크 침임 탐지부201: network intrusion detection unit

202 : 네트워크 침입차단 대응부202: network intrusion prevention counterpart

301 : 침입탐지경보 수신부301: intrusion detection alarm receiver

302 : 불량 IP주소 생성부302: bad IP address generation unit

303 : 블랙리스트 분석부303: black list analysis unit

304 : 블랙리스트 이벤트 생성부304: blacklist event generator

305 : 블랙리스트 이벤트 감시부305: blacklist event monitor

306 : 침입탐지경보 DB306: Intrusion Detection Alarm DB

307 : 잠재적 불량 사용자 및 불량 호스트 DB(potential blacklist DB)307: Potential rogue user and rogue host DB (potential blacklist DB)

308 : 블랙리스트 임계수치 DB308: blacklist threshold DB

309 : 요주의 불량 사용자 및 불량 호스트 DB(dangerous blacklist DB)309: Bad black user and bad host DB (dangerous blacklist DB)

310 : 블랙리스트 차단대응정책 관리부310: Blacklist Blocking Response Policy Management Department

311 : 보안정책 DB311: security policy DB

312 : 블랙리스트 통계 및 검색부312: blacklist statistics and search

313 : 보안정책 전달부313: security policy delivery unit

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 상세하게 설명한다.Hereinafter, with reference to the accompanying drawings will be described in detail a preferred embodiment of the present invention.

도 1은 본 발명에 따른 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치와 전체 보안 망과의 연동을 도시한 망 구성도로서, 네트워크 보안제어시스템(100), 기간 망(102), 보안게이트웨이(103) 및 망 접속 점(104)을 포함한다.1 is a network diagram showing the interworking between a blacklist management device and an entire security network in a policy-based network security control system according to the present invention, the network security control system 100, the main network 102, and a security gateway. 103 and network connection point 104.

도 1에 도시한 바와 같이, 망 접속 점(104)에 위치하는 보안게이트웨이(103)는 기간 망(102) 내로 유입되는 모든 네트워크 패킷 정보를 분석하여 네트워크 침입 여부를 판단하고 침입 행위에 대한 패킷 정보를 축약하는 기능을 수행한다.As shown in FIG. 1, the security gateway 103 located at the network access point 104 analyzes all network packet information flowing into the network 102 to determine whether or not the network is invaded, and to determine packet information regarding the intrusion behavior. Perform a function to abbreviate.

이러한 침입 행위에 대한 패킷 정보를 기반으로 보안게이트웨이(103)는 도 7에 도시한 바와 같은 네트워크 침입경보 데이터를 생성한 후, 상위 관리 시스템인 네트워크 보안제어시스템(100)으로 침입경보 데이터를 송신한다.Based on the packet information of the intrusion, the security gateway 103 generates the network intrusion alarm data as shown in FIG. 7 and transmits the intrusion alarm data to the network security control system 100 which is a higher management system. .

도 2는 본 발명에 따른 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치(200)와 보안게이트웨이(103)와의 연동을 도시한 블록 구성도이다.2 is a block diagram showing the interworking between the black list management apparatus 200 and the security gateway 103 in the policy-based network security control system according to the present invention.

도 2에 도시한 바와 같이, 네트워크 보안제어시스템(100)내에 설치되는 본 발명에 따른 블랙리스트 관리장치(200)는 보안게이트웨이(103)로부터 수신되는 네트워크 침입경보 데이터(203)(도 7의 테이블)를 기반으로 불량 사용자 및 불량 호스트 정보를 추출하는 기능을 수행한다.As shown in FIG. 2, the blacklist management apparatus 200 according to the present invention installed in the network security control system 100 receives the network intrusion alarm data 203 received from the security gateway 103 (the table of FIG. 7). Extracts bad user and bad host information based on

또한, 블랙리스트 관리장치(200)는 경보데이터 저장, 경보등급 및 해킹 유형 정보 추출, 임계수치(threshold) 비교 분석, 임계수치 초과 항목 통보 등의 일련의 과정을 통해 해당 불량 IP 주소로부터의 패킷 유입을 차단하기 위한 차단대응정책 데이터(204)를 생성하여 보안게이트웨이(103)로 전송하는 기능을 수행한다. 이러한 블랙리스트 관리장치(200)의 상세 구성 및 동작 과정은 하기의 도 3 내지 도 6의 도면을 참조하여 보다 상세히 기술하기로 한다.In addition, the blacklist management apparatus 200 introduces a packet from a corresponding bad IP address through a series of processes such as storing alarm data, extracting alarm level and hacking type information, comparing and analyzing threshold values, and notification of items exceeding threshold values. It generates a blocking response policy data 204 to block the transmission to the security gateway 103. The detailed configuration and operation process of the blacklist management apparatus 200 will be described in more detail with reference to the drawings of FIGS. 3 to 6 below.

한편, 차단대응정책 데이터(204)를 수신한 보안게이트웨이(103)내의 네트워크침입차단 대응부(202)는 불량 사용자 IP 주소(근원지 주소)로부터의 패킷 유입을 차단하거나, 불량 호스트 IP 주소(목적지 주소)로의 패킷 유출을 차단하는 기능을 수행한다.On the other hand, the network intrusion block counter 202 in the security gateway 103 receiving the blocking response policy data 204 blocks the inflow of packets from the rogue user IP address (source address), or the rogue host IP address (destination address). It blocks the outflow of packets to).

도 3은 본 발명에 따른 정책기반 네트워크 보안제어시스템(100)에서의 블랙리스트 관리장치(200)의 상세 블록 구성도로서, 침입탐지경보 수신부(301), 불량 IP 주소 생성부(302), 블랙리스트 분석부(303), 블랙리스트 이벤트 생성부(304), 블랙리스트 이벤트 감시부(305), 침입탐지경보 DB(306), 잠재적 불량 사용자 및 불량 호스트 DB(potential blacklist DB)(307), 블랙리스트 임계수치 DB(308), 요주의 불량 사용자 및 불량 호스트 DB(dangerous blacklist DB)(309), 블랙리스트 차단대응정책 관리부(310), 보안정책 DB(311), 블랙리스트 통계 및 검색부(312) 및 보안정책 전달부(313)를 각각 포함하고 구성된다.3 is a detailed block diagram of the blacklist management apparatus 200 in the policy-based network security control system 100 according to the present invention. The intrusion detection alarm receiver 301, the bad IP address generator 302, and the black are shown in FIG. List analyzer 303, blacklist event generator 304, blacklist event monitor 305, intrusion detection alarm DB 306, potential rogue user and rogue host DB (307), black List critical value DB (308), critical bad user and bad host DB (dangerous blacklist DB) (309), blacklist blocking response policy management unit 310, security policy DB (311), blacklist statistics and search unit (312) And a security policy delivery unit 313, respectively.

도 3에 도시한 바와 같이, 침입탐지경보 수신부(301)는 보안게이트웨이(103)로부터의 경보데이터를 실시간 수집하여 침입탐지경보 DB(306)에 저장하고, 불량 IP 주소 생성부(302)를 통해 수집된 경보 데이터로부터 근원지 IP 주소와 목적지 IP 주소, 보안 등급, 해킹 유형 정보를 추출하여 잠재적 불량 사용자 및 불량 호스트 DB(307)에 저장한다. 이때, 근원지 주소 관련정보는 잠재적 불량 사용자 및 불량 호스트 DB(307) 내의 불량 사용자 DB 영역에, 목적지 주소 관련정보는 불량 호스트 DB 영역에 각각 저장될 수 있으며, 정보 저장 시 이미 불량 IP 주소가 존재하는 경우에는 각 해당 필드의 카운트를 증가시키고 내용을 수정한다.As shown in FIG. 3, the intrusion detection alarm receiver 301 collects the alarm data from the security gateway 103 in real time and stores it in the intrusion detection alarm DB 306, through the bad IP address generator 302. Source IP address, destination IP address, security level, and hacking type information are extracted from the collected alarm data and stored in the potential rogue user and rogue host DB 307. In this case, the source address related information may be stored in the potential bad user and the bad user DB area in the bad host DB 307 and the destination address related information in the bad host DB area, and the bad IP address already exists when the information is stored. In this case, the count of each corresponding field is increased and the contents are corrected.

블랙리스트 분석부(303)는 잠재적 불량 사용자 및 불량 호스트 DB(307)에 기록된 불량 IP 주소에 대한 각 카운트 값이 블랙리스트 임계수치 DB(308)에 정의된 임계수치를 초과하는지를 주기적으로 비교 분석하는 기능을 수행한다. 만일, 해당 카운트 값이 임계수치를 초과하는 경우에는 블랙리스트 이벤트 생성부(304)를 통해 이벤트 데이터를 생성하여 블랙리스트 이벤트 감시부(305)에 실시간으로 통보하고, 요주의 불량 사용자 및 불량 호스트 DB(309)에 이벤트 로그를 기록한다.The blacklist analyzing unit 303 periodically compares and analyzes whether each count value for the bad IP address recorded in the bad rogue user and the bad host DB 307 exceeds the threshold defined in the blacklist threshold DB 308. It performs the function. If the count value exceeds the threshold value, the event data is generated through the blacklist event generator 304 and notified to the blacklist event monitor 305 in real time. Record the event log at 309).

블랙리스트 이벤트 감시부(305)는 네트워크 보안관리자로 하여금 블랙리스트 관리를 실시간 모니터링할 수 있도록 이벤트 데이터를 출력하는 기능을 수행한다.The blacklist event monitoring unit 305 outputs event data so that the network security manager can monitor the blacklist management in real time.

블랙리스트 차단대응정책 관리부(310)는 이러한 이벤트 데이터와 요주의 불량 사용자 및 불량 호스트 DB(309)에 기록되는 이벤트 로그를 통해 특정 IP 주소에 대한 패킷유입 차단대응정책(204)을 자동 생성한다.The blacklist blocking response policy manager 310 automatically generates a packet inflow blocking response policy 204 for a specific IP address through such event data and an event log recorded in the bad user and bad host DB 309 of interest.

이러한 블랙리스트 차단대응정책 관리부(310)에 의해 생성되는 패킷유입 차단대응정책(204)은 보안정책 DB(311)에 기록되는 한편, 네트워크보안제어시스템(100)내의 보안정책 전달부(313)로 전달된다.The packet inflow blocking response policy 204 generated by the blacklist blocking response policy management unit 310 is recorded in the security policy DB 311 and sent to the security policy delivery unit 313 in the network security control system 100. Delivered.

보안정책 전달부(313)는 이러한 패킷유입 차단대응정책(204)을 네트워크를 통해 보안게이트웨이(103)로 전송하는 기능을 수행한다.The security policy delivery unit 313 transmits the packet inflow blocking response policy 204 to the security gateway 103 through the network.

이후, 보안게이트웨이(103)내의 네트워크 침입차단 대응부(202)는 전송된 패킷유입 차단대응정책(204)을 실시간으로 적용하여 후속되는 해당 IP 주소로부터의 모든 패킷 유입을 차단한다.Thereafter, the network intrusion prevention counterpart 202 in the security gateway 103 applies the transmitted packet inflow blocking response policy 204 in real time to block all subsequent packet inflows from the corresponding IP address.

이하, 상술한 구성과 함께, 본 발명의 바람직한 실시예에 따른 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리 과정을 첨부한 도 4 내지 도 6의 흐름도를 참조하여 상세하게 설명한다.Hereinafter, the above-described configuration will be described in detail with reference to the flowcharts of FIGS. 4 to 6 attached to the blacklist management process in the policy-based network security control system according to the preferred embodiment of the present invention.

먼저, 도 4는 본 발명의 일 실시예에 따른 블랙리스트 관리 방법으로서, 정책기반 네트워크 보안제어시스템(100)에서의 블랙리스트 관리장치(200)내의 침입탐지경보 수신부(301)의 동작 과정을 도시한 흐름도이다.First, FIG. 4 is a blacklist management method according to an embodiment of the present invention. The operation of the intrusion detection alarm receiver 301 in the blacklist management apparatus 200 in the policy-based network security control system 100 is illustrated. One flow chart.

도 4에 도시한 바와 같이, 단계(S402)에서 네트워크 보안제어시스템(100)내의 침입탐지경보 수신부(301)는 다수의 보안게이트웨이(103)로부터 수신되는 경보데이터를 실시간으로 수집한다.As shown in FIG. 4, in step S402, the intrusion detection alarm receiver 301 in the network security control system 100 collects alarm data received from a plurality of security gateways 103 in real time.

이때, 보안게이트웨이(103)로부터 송신되는 경보데이터는 일차적으로 네트워크 보안제어시스템(100) 내의 메시지 큐(도시 생략)에 순차적으로 쌓인다. 즉, 다수의 경보데이터를 매번 원격의 DB에 저장하는 방법은 비효율적이기 때문에 본 발명에 의한 침입탐지경보 수신부(301)에서는 메시지 큐로부터 지속적으로 경보데이터를 읽어들이는 것이다.At this time, the alarm data transmitted from the security gateway 103 is first accumulated in a message queue (not shown) in the network security control system 100 first. That is, since the method of storing a plurality of alarm data each time in a remote DB is inefficient, the intrusion detection alarm receiver 301 according to the present invention continuously reads the alarm data from the message queue.

이후, 단계(S403)에서는 이러한 경보데이터를 도 7에 도시한 바와 같은 경보 DB 스키마(schema)로 데이터를 변형하고 단계(S404)로 진행한다.Thereafter, in step S403, the alarm data is transformed into an alarm DB schema as shown in FIG. 7, and the flow proceeds to step S404.

단계(S404)에서는 기설정된 저장 주기(Scheduled cycle time)가 도래되었는지를 판단하고, 설정된 저장 주기가 아니라고 판단되면 침입탐지경보 수신부(301)는 단계(S406)로 진행하여 상술한 단계(S403)에서의 변형 경보데이터를 캐쉬 메모리(도시 생략)에 저장한다.In step S404, it is determined whether a predetermined scheduled cycle time has arrived, and when it is determined that the preset storage cycle is not set, the intrusion detection alarm receiver 301 proceeds to step S406 and in step S403 described above. Is stored in the cache memory (not shown).

만일, 단계(S404)에서의 판단 결과, 기설정된 저장 주기가 도래되었으면, 침입탐지경보 수신부(301)는 단계(S405)로 진행하여 상술한 캐쉬 메모리에 저장된 변형 경보데이터를 독출하여 원격의 경보 DB에 송신함으로써, 이러한 경보데이터를 저장토록 한다.If, as a result of the determination in step S404, the preset storage period has arrived, the intrusion detection alarm receiver 301 proceeds to step S405 to read the modified alarm data stored in the above-described cache memory to remotely alert DB. The alarm data can be stored by sending it to.

도 5는 본 발명의 다른 실시예에 따른 블랙리스트 관리 방법으로서, 정책기반 네트워크 보안제어시스템(100)에서의 블랙리스트 관리장치(200)내의 불량 IP 주소 생성부(302), 블랙리스트 분석부(303), 블랙리스트 이벤트 생성부(304), 블랙리스트 이벤트 감시부(305)의 동작 과정을 도시한 흐름도이다.5 is a blacklist management method according to another embodiment of the present invention. In the policy-based network security control system 100, a bad IP address generation unit 302 and a blacklist analysis unit in the blacklist management device 200 are provided. 303), and a flowchart illustrating an operation process of the blacklist event generator 304 and the blacklist event monitor 305.

도 5에 도시한 바와 같이, 단계(S500)(S501)에서 블랙리스트 관리장치(200)내의 불량 IP 주소 생성부(302)는 경보데이터 캐쉬 메모리내에 저장되어 있는 경보데이터를 검색하고, 검색 결과에 따른 근원지 주소, 목적지 주소, 경보의 보안등급, 해킹유형 정보 등을 추출한다.As shown in Fig. 5, in step S500 and step S501, the bad IP address generation unit 302 in the blacklist management apparatus 200 searches for alarm data stored in the alarm data cache memory and writes to the search result. Source address, destination address, security level of alarm and hacking type information are extracted.

이후, 단계(S502)에서 불량 IP 주소 생성부(302)는 잠재적 불량 사용자 및 불량 호스트 DB(307)내에 해당 IP 주소가 존재하는지를 판단한다.Thereafter, in step S502, the bad IP address generator 302 determines whether there is a corresponding IP address in the potential bad user and the bad host DB 307.

단계(S502)에서의 판단 결과, 해당 IP 주소가 존재하지 않는 것으로 판단되면, 불량 IP 주소 생성부(302)는 단계(S503)로 진행하여 추출된 정보를 도 8에 도시한 바와 같은 불량 사용자 및 불량 호스트 데이터 스키마 형태로 DB화하여 신규 등록한다.If it is determined in step S502 that the corresponding IP address does not exist, the bad IP address generation unit 302 proceeds to step S503 and displays the extracted information as shown in FIG. Register newly by making DB in the form of bad host data schema.

만일, 단계(S502)에서의 판단 결과, 잠재적 불량 사용자 및 불량 호스트 DB(307)내에 해당 IP 주소가 존재하는 것으로 판단되면, 불량 IP 주소 생성부(302)는 단계(S504)로 진행하여 해당 IP 주소의 각 필드 값을 증가시키고 '잠재적 블랙리스트(potential blacklist)' 정보를 현재의 정보로 수정하는 작업을 수행한다.If it is determined in step S502 that the corresponding IP address exists in the potential bad user and the bad host DB 307, the bad IP address generator 302 proceeds to step S504, and the corresponding IP address exists. It increments the value of each field of address and modifies 'potential blacklist' information to current information.

한편, 단계(S505)에서 블랙리스트 분석부(303)는 해당 IP 주소가 근원지 주소인지 목적지 주소인지를 판단한다.Meanwhile, in step S505, the blacklist analyzing unit 303 determines whether the corresponding IP address is a source address or a destination address.

단계(S505)에서의 판단 결과, 해당 IP 주소가 근원지 주소인 경우에는, 블랙리스트 분석부(303)는 단계(S506)로 진행하여 잠재적 불량 사용자 및 불량 호스트 DB(307)내의 불량 사용자 IP 주소의 전체 보안위반 횟수와 보안등급별 보안위반 횟수가 불량 사용자 보안위반 임계수치를 초과하는지를 판단하고, 단계(S507)에서의 판단 결과, 해당 IP 주소가 목적지 주소인 경우에는, 블랙리스트 분석부(303)는 단계(S508)로 진행하여 잠재적 불량 사용자 및 불량 호스트 DB(307)내의 불량 사용자 IP 주소의 전체 보안위반 횟수와 보안등급별 보안위반 횟수가 불량 사용자 보안위반 임계수치를 초과하는지를 각각 판단한다. 이러한 임계수치 데이터는 도 9에 도시한 '블랙리스트 임계수치 DB(blacklist threshold DB)'내에 테이블화되어 있다.As a result of the determination in step S505, if the corresponding IP address is the source address, the blacklist analyzing unit 303 proceeds to step S506 to determine the potential bad user and bad user IP addresses in the bad host DB 307. FIG. It is determined whether the total number of security violations and the number of security violations by security level exceed the bad user security violation threshold value. When the determination result in step S507 is that the corresponding IP address is the destination address, the blacklist analyzing unit 303 In step S508, it is determined whether the total number of security violations and the number of security violations by security level of the potential bad user and the bad user IP address in the bad host DB 307 exceed the bad user security violation threshold value, respectively. Such threshold data is tabled in the 'blacklist threshold DB' shown in FIG.

단계(S506)(S508)에서의 판단 결과, 잠재적 불량 사용자 및 불량 호스트DB(potential blacklist)(307)내의 불량 사용자 IP 주소의 전체 보안위반 횟수와 보안등급별 보안위반 횟수가 불량 사용자 보안위반 임계수치를 초과한 것으로 판단되면, 블랙리스트 이벤트 생성부(304)는 단계(S509)로 진행하여 도 10에 도시한 바와 같은 이벤트 정보를 생성한 후, 단계(S510)로 진행하여 요주의 불량 사용자 및 불량 호스트 DB(309)내에 이러한 이벤트 정보를 저장한다.As a result of the determination in step S506 and S508, the total number of security violations and the number of security violations by security level of the potential bad user and the bad user IP address in the bad host database (307) (307) are bad user security violation threshold values. If it is determined to exceed, the blacklist event generating unit 304 proceeds to step S509 to generate event information as shown in FIG. 10, and then proceeds to step S510 to indicate a bad user and bad host DB of interest. This event information is stored in 309.

이후, 단계(S512)에서는 네트워크를 통해 원격으로 연결된 블랙리스트 이벤트 감시부(305)를 통해 이러한 이벤트 정보가 보안관리자에게 통보된다.Thereafter, in step S512, such event information is notified to the security manager through the blacklist event monitor 305 remotely connected through the network.

도 6은 본 발명의 또 다른 실시예에 따른 블랙리스트 관리 방법으로서, 정책기반 네트워크 보안제어시스템(100)에서의 블랙리스트 관리장치(200)내의 블랙리스트 차단대응정책 관리부(310)의 동작 과정을 도시한 흐름도이다.6 is a blacklist management method according to another embodiment of the present invention, the operation process of the blacklist blocking response policy management unit 310 in the blacklist management apparatus 200 in the policy-based network security control system 100. It is a flowchart shown.

도 6에 도시한 바와 같이 단계(S601)에서 블랙리스트 차단대응정책 관리부(310)는 상술한 블랙리스트 이벤트 감시부(305)를 통해 '요주의 블랙리스트(dangerous blacklist)' 이벤트 통지를 감시하는 보안관리자가 침입대응결정을 내린 불량 IP 주소를 화면상에서 선택하는지를 판단하고, 보안관리자에 의해 불량 IP 주소가 선택되면, 단계(S602)로 진행한다.As shown in FIG. 6, in step S601, the blacklist blocking response policy manager 310 monitors a 'dangerous blacklist' event notification through the blacklist event monitor 305 described above. Determines whether the bad IP address on which the intrusion response determination has been made is selected on the screen, and if a bad IP address is selected by the security administrator, the flow proceeds to step S602.

단계(S602)에서 블랙리스트 차단대응정책 관리부(310)는 해당 불량 IP 주소에 대한 차단대응정책이 이미 적용 중인지를 확인하는 판단 절차를 수행한다.In step S602, the blacklist blocking response policy management unit 310 performs a determination procedure to check whether the blocking response policy for the corresponding bad IP address is already applied.

단계(S602)에서의 판단 결과, 이미 차단대응정책이 적용되고 있는 상태라면 블랙리스트 차단대응정책 관리부(310)는 단계(S609)로 진행하여 현재의 보안정책적용 현황을 보안관리자에게 통보하고, 단계(S602)의 판단 결과, 미 적용 상태라면블랙리스트 차단대응정책 관리부(310)는 단계(S603)로 진행하여 새로운 차단대응정책을 자동으로 생성한다.As a result of the determination in step S602, if the blocking response policy is already applied, the blacklist blocking response policy management unit 310 proceeds to step S609 and notifies the security manager of the current security policy application status. As a result of the determination in S602, the blacklist blocking response policy management unit 310 automatically proceeds to step S603 to automatically generate a new blocking response policy.

단계(S603)에서와 같이 새로운 차단대응정책이 생성되면 블랙리스트 차단대응정책 관리부(310)는 단계(S604)로 진행하여 해당 불량 IP 주소에 적용되고 있는 타 보안정책의 정책충돌 유무를 판단한다.When a new blocking response policy is generated as in step S603, the blacklist blocking response policy management unit 310 proceeds to step S604 to determine whether there is a policy conflict of another security policy applied to the corresponding bad IP address.

단계(S604)에서의 판단 결과, 이상이 발견되는 경우에는 블랙리스트 차단대응정책 관리부(310)는 단계(S609)로 진행하여 현재의 모든 보안정책적용 현황을 보안관리자에게 통보하나, 이상이 발견되지 않는 경우에는 단계(S605)로 진행하여 생성된 차단대응정책을 네트워크 보안제어시스템(100)내의 보안정책 전달부(313)로 전달한다.If an abnormality is found as a result of the determination in step S604, the blacklist blocking response policy management unit 310 proceeds to step S609 and notifies the security manager of all current security policy application statuses, but no abnormality is found. If not, the process proceeds to step S605 and transfers the generated blocking response policy to the security policy delivery unit 313 in the network security control system 100.

보안정책 전달부(313)로 전달된 차단대응정책은 네트워크를 통해 보안게이트웨이(103)내의 네트워크 침입차단 대응부(202)로 전달된다.The blocking response policy transmitted to the security policy transmission unit 313 is transmitted to the network intrusion blocking response unit 202 in the security gateway 103 through the network.

이후, 단계(S606)에서 블랙리스트 차단대응정책 관리부(310)는 상술한 보안정책 전달부(313)로부터 정책적용 성공 메시지가 수신되는지를 판단하고, 정책적용 성공 메시지가 수신되면 블랙리스트 차단대응정책 관리부(310)는 단계(S607) 및 단계(S608)로 진행하여 해당 차단대응정책을 보안정책 DB(311)에 저장한 후, 잠재적 블랙리스트 DB 및 요주의 블랙리스트 DB, 즉, 도 3의 도면부호 (307), (309) 내의 해당 불량 IP 주소의 정책적용 상태를 트루(true)로 변경한다.Thereafter, in step S606, the blacklist blocking response policy management unit 310 determines whether a policy application success message is received from the security policy delivery unit 313 described above, and receives a blacklist blocking response policy when the policy application success message is received. After the management unit 310 proceeds to step S607 and step S608 and stores the blocking response policy in the security policy DB 311, the potential blacklist DB and the blacklist DB of interest, that is, the reference numerals of FIG. 3. The policy application status of the bad IP address in 307 and 309 is changed to true.

단계(S606)에서의 판단 결과, 정책적용 실패 메시지가 수신된 경우에는 블랙리스트 차단대응정책 관리부(310)는 단계(S609)로 진행하여 차단대응정책 적용 실패 현황을 보안관리자에게 통보한다.As a result of the determination in step S606, when the policy application failure message is received, the blacklist blocking response policy management unit 310 proceeds to step S609 to notify the security manager of the failure status of applying the blocking response policy.

이상, 본 발명을 실시예에 근거하여 구체적으로 설명하였지만, 본 발명은 이러한 실시예에 한정되는 것이 아니라, 그 요지를 벗어나지 않는 범위내에서 여러 가지 변형, 예를 들어, PC(personal computer)를 통해 판독할 수 있는 형태로 프로그램화되어 기록매체(예컨대, 시디롬, 램, 롬, 하드디스크, 광자기디스크 등)에 저장되도록 구현 가능한 것은 물론이다.As mentioned above, although this invention was demonstrated concretely based on the Example, this invention is not limited to this Example, A various deformation | transformation, for example, through a personal computer (PC), does not deviate from the summary. Of course, the present invention may be embodied in a readable form and stored in a recording medium (eg, CD-ROM, RAM, ROM, hard disk, magneto-optical disk, etc.).

이상 설명한 바와 같이 본 발명에 따르면, 대규모 네트워크에서 사이버 테러가 발생하였을 때, 불특정 다수의 공격자 및 피 공격자를 구조적으로 관리함으로써 네트워크 보안 침해 상황을 IP 주소 단위까지 구체적으로 파악하고 감시할 수 있으며, 각 네트워크의 보안환경에 적합한 블랙리스트 보안침해 임계수치(threshold)를 네트워크 보안위반 등급별로 세부적으로 운용함으로써 위험수위를 넘는 특정 IP 주소의 보안현황을 자동으로 분석하고 탐지할 수 있는 효과가 있다. 또한, 본 발명은 임계수치를 초과하는 불량 IP 주소를 자동 감지하여 원격의 보안관리자에게 실시간 통보하고, 관리자의 의사결정에 따라 차단대응정책을 자동으로 생성하여 광역 네트워크에 적용함으로써 이후의 해당 불량 IP 주소에 대한 유해 패킷을 차단시키는 네트워크침입 대응의 효과가 있다.As described above, according to the present invention, when cyber terrorism occurs in a large network, the network security breach situation can be specifically identified and monitored up to IP address units by structurally managing unspecified attackers and attackers. By operating the blacklist security thresholds that are appropriate for the network security environment by network security violation level, it is possible to automatically analyze and detect the security status of a specific IP address beyond the risk level. In addition, the present invention automatically detects a bad IP address exceeding a threshold value and notifies the remote security manager in real time, and automatically generates a block response policy according to the administrator's decision and applies it to the wide area network afterwards. It has the effect of network intrusion countermeasures that block harmful packets for addresses.

Claims (16)

기간 망 내로 유입되는 네트워크 패킷 정보를 분석하여 네트워크 침입 여부를 판단하고 침입 행위에 대한 패킷 정보를 기반으로 네트워크 침입경보 데이터를 생성 및 송신하는 보안게이트웨이와 연동되며, 상기 보안게이트웨이로부터 수신되는 네트워크 침입경보 데이터를 기반으로 불량 사용자 및 불량 호스트 정보를 추출하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치에 있어서,It analyzes network packet information flowing into the main network to determine network intrusion and interwork with security gateway that generates and transmits network intrusion alarm data based on packet information on intrusion activity, and receives network intrusion alarm received from the security gateway. A blacklist management apparatus in a policy-based network security control system that extracts rogue user and rogue host information based on data, 상기 보안게이트웨이로부터의 네트워크 침입경보 데이터를 실시간 수집하는 침입탐지 경보 수신 수단과;Intrusion detection alert receiving means for collecting network intrusion alert data from the security gateway in real time; 상기 수집되는 네트워크 침입경보 데이터로부터 블랙리스트 관련 정보를 추출하여 제 1 블랙리스트 DB에 기록하는 불량 IP 주소 생성 수단과;Bad IP address generation means for extracting blacklist related information from the collected network intrusion alert data and writing it to a first blacklist DB; 상기 추출되는 블랙리스트 관련 정보로부터 네트워크 침입 행위가 기설정된 임계수치(threshold)를 초과하는지를 비교 분석하는 블랙리스트 분석 수단과;Blacklist analyzing means for comparing and analyzing whether network intrusion behavior exceeds a predetermined threshold from the extracted blacklist-related information; 상기 블랙리스트 분석 수단을 통해 임계수치가 초과된 것으로 판단되면, 이벤트 정보를 생성하여 제 2 블랙리스트 DB에 이벤트 로그를 기록하는 이벤트 생성 수단과;Event generating means for generating event information and recording an event log in a second blacklist DB if it is determined that the threshold value has been exceeded by the blacklist analyzing means; 상기 이벤트 생성 수단에 의해 발생되는 이벤트 정보를 네트워크를 통해 연결된 원격 보안관리자에게 통보하는 블랙리스트 이벤트 감시 수단과;Blacklist event monitoring means for notifying event information generated by the event generating means to a remote security manager connected through a network; 상기 이벤트 정보와 상기 이벤트 로그를 통해 특정 IP 주소에 대한 패킷유입 차단대응정책 데이터를 생성 및 송신하는 블랙리스트 차단대응정책 관리 수단을 포함하는 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치.Blacklist management in the policy-based network security control system, characterized in that it comprises a blacklist blocking response policy management means for generating and transmitting packet intrusion prevention response policy data for a specific IP address through the event information and the event log. Device. 제 1 항에 있어서,The method of claim 1, 상기 블랙리스트 관련 정보는The blacklist related information 네트워크 침입 근원지 IP 주소와 목적지 IP 주소, 보안등급, 해킹 유형 정보 중 적어도 하나 이상의 정보인 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치.Black list management device in the policy-based network security control system, characterized in that the information of at least one of the network intrusion source IP address, destination IP address, security level, hacking type information. 제 1 항에 있어서,The method of claim 1, 상기 정책기반 네트워크 보안제어시스템은,The policy-based network security control system, 상기 패킷유입 차단대응정책 데이터를 상기 네트워크를 통해 상기 보안게이트웨이로 전송하는 보안정책 전달 수단을 구비하는 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치.And a security policy forwarding means for transmitting the packet inflow blocking response policy data to the security gateway through the network. 제 1 항에 있어서,The method of claim 1, 상기 제 1 블랙리스트 DB는 잠재적 불량 사용자 및 불량 호스트 DB(potential blacklist DB)인 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치.The first blacklist DB is a potential bad user and bad host DB (potential blacklist DB) blacklist management device in a policy-based network security control system, characterized in that. 제 1 항에 있어서,The method of claim 1, 상기 제 2 블랙리스트 DB는 요주의 불량 사용자 및 불량 호스트 DB(dangerous blacklist DB)인 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치.The second blacklist DB is a blacklist management device in a policy-based network security control system, characterized in that the bad user and bad host DB (dangerous blacklist DB). 제 1 항에 있어서,The method of claim 1, 상기 패킷유입 차단대응정책 데이터는 보안정책 DB에 기록되는 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치.The packet inflow blocking response policy data is recorded in a security policy DB, blacklist management device in a policy-based network security control system. 다수의 보안게이트웨이로부터의 네트워크 침입경보 데이터를 실시간 수집하는 침입탐지경보 수신 수단을 구비하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법에 있어서,A blacklist management method in a policy-based network security control system having an intrusion detection alarm receiving means for collecting network intrusion alarm data from a plurality of security gateways in real time, 상기 침입탐지경보 수신 수단에 의해 수집되는 네트워크 침입경보 데이터를 경보 DB 스키마(schema) 데이터로 변형하는 제 1 단계와;A first step of transforming network intrusion alert data collected by the intrusion detection alert receiving means into alert DB schema data; 기설정된 저장 주기(Scheduled cycle time)가 도래되었는지를 판단하는 제 2 단계와;A second step of determining whether a predetermined stored cycle time has arrived; 상기 제 2 단계의 판단 결과, 상기 기설정된 저장 주기가 아니라고 판단되면 상기 변형 경보데이터를 저장 매체에 저장하는 제 3 단계와;A third step of storing the deformation alarm data in a storage medium if it is determined that the preset storage period is not determined; 상기 제 2 단계의 판단 결과, 상기 기설정된 저장 주기가 도래되었으면, 상기 저장 매체에 저장된 변형 경보데이터를 독출하여 원격의 경보 DB에 송신함으로써, 상기 변형 경보데이터를 저장토록 하는 제 4 단계를 포함하는 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법.And a fourth step of storing the modified alarm data by reading the modified alarm data stored in the storage medium and transmitting the modified alarm data stored in the storage medium to a remote alarm DB as a result of the determination of the second step. Blacklist management method in a policy-based network security control system, characterized in that. 제 7 항에 있어서,The method of claim 7, wherein 상기 보안게이트웨이로부터 송신되는 네트워크 침입경보 데이터는,Network intrusion alarm data transmitted from the security gateway, 상기 네트워크 보안제어시스템내의 메시지 큐에 순차적으로 저장되는 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법.Blacklist management method in a policy-based network security control system, characterized in that sequentially stored in the message queue in the network security control system. 불량 IP 주소 생성 수단, 블랙리스트 분석 수단, 블랙리스트 이벤트 생성 수단, 블랙리스트 이벤트 감시 수단을 각각 구비하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법에 있어서,In the blacklist management method in a policy-based network security control system, each having a bad IP address generating means, a blacklist analyzing means, a blacklist event generating means, and a blacklist event monitoring means, 상기 불량 IP 주소 생성 수단에서 임의의 저장매체에 저장되어 있는 경보데이터를 검색하고, 검색 결과에 따른 블랙리스트 관련 정보를 추출하는 제 1 단계와;A first step of searching for alarm data stored in an arbitrary storage medium by the bad IP address generating means and extracting blacklist related information according to a search result; 상기 불량 IP 주소 생성 수단에서 제 1 블랙리스트 DB 내에 해당 IP 주소가 존재하는지를 판단하는 제 2 단계와;A second step of determining, by the bad IP address generating means, whether a corresponding IP address exists in a first blacklist DB; 상기 제 2 단계의 판단 결과, 해당 IP 주소가 존재하지 않는 것으로 판단되면, 상기 추출된 정보를 데이터 스키마 형태로 DB화하여 신규 등록하는 제 3 단계와;If it is determined that the corresponding IP address does not exist, the third step of converting the extracted information into a DB in a data schema form and newly registering it; 상기 제 2 단계의 판단 결과, 상기 제 1 블랙리스트 DB 내에 해당 IP 주소가존재하는 것으로 판단되면, 해당 IP 주소의 각 필드 값을 증가시키고 상기 제 1 블랙리스트 DB 내의 블랙리스트 정보를 현재의 정보로 수정하는 제 4 단계와;If it is determined that the corresponding IP address exists in the first blacklist DB, the value of each field of the corresponding IP address is increased, and the blacklist information in the first blacklist DB is used as the current information. A fourth step of modifying; 상기 블랙리스트 분석 수단에서 해당 IP 주소가 근원지 주소인지 목적지 주소인지를 판단하는 제 5 단계와;A fifth step of determining, by the blacklist analyzing means, whether the corresponding IP address is a source address or a destination address; 상기 제 5 단계의 판단 결과, 해당 IP 주소가 근원지 주소인 경우에는, 상기 제 1 블랙리스트 DB 내의 불량 사용자 IP 주소의 전체 보안위반 횟수와 보안등급별 보안위반 횟수가 불량 사용자 보안위반 임계수치를 초과하는지를 판단하는 제 6 단계와;As a result of the determination in the fifth step, if the corresponding IP address is a source address, it is determined whether the total number of security violations and the number of security violations by security level of the bad user IP address in the first blacklist DB exceed the bad user security violation threshold value. Determining the sixth step; 상기 제 5 단계의 판단 결과, 해당 IP 주소가 목적지 주소인 경우에는, 상기 제 1 블랙리스트 DB 내의 불량 사용자 IP 주소의 전체 보안위반 횟수와 보안등급별 보안위반 횟수가 불량 사용자 보안위반 임계수치를 초과하는지를 각각 판단하는 제 7 단계와;As a result of the determination in the fifth step, if the corresponding IP address is a destination address, it is determined whether the total number of security violations and the number of security violations by security level of the bad user IP address in the first blacklist DB exceed the bad user security violation threshold value. Judging each step; 상기 제 6 단계 및 제 7 단계의 판단 결과, 상기 제 1 블랙리스트 DB 내의 불량 사용자 IP 주소의 전체 보안위반 횟수와 보안등급별 보안위반 횟수가 불량 사용자 보안위반 임계수치를 초과한 것으로 판단되면, 상기 블랙리스트 이벤트 생성 수단에서 이벤트 정보를 생성한 후, 상기 이벤트 정보를 제 2 블랙리스트 DB 내에 저장하는 제 8 단계와;As a result of the determination in the sixth and seventh steps, if it is determined that the total number of security violations and the number of security violations by security level of the bad user IP address in the first blacklist DB exceed the bad user security violation threshold value, the black An eighth step of generating event information in the list event generating means and storing the event information in a second blacklist DB; 상기 블랙리스트 이벤트 감시 수단을 통해 상기 이벤트 정보를 보안관리자에게 통보하는 제 9 단계를 포함하는 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법.And a ninth step of notifying the security manager of the event information through the blacklist event monitoring means. 제 9 항에 있어서,The method of claim 9, 상기 블랙리스트 관련 정보는The blacklist related information 네트워크 침입 근원지 IP 주소와 목적지 IP 주소, 보안등급, 해킹 유형 정보 중 적어도 하나 이상의 정보인 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법.A method for managing a blacklist in a policy-based network security control system, characterized in that the information is at least one of network intrusion source IP address, destination IP address, security level, and hacking type information. 제 9 항에 있어서,The method of claim 9, 상기 제 1 블랙리스트 DB는 잠재적 불량 사용자 및 불량 호스트 DB인 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법.The first blacklist DB is a blacklist management method in a policy-based network security control system, characterized in that the potential rogue user and rogue host DB. 제 9 항에 있어서,The method of claim 9, 상기 제 2 블랙리스트 DB는 요주의 불량 사용자 및 불량 호스트 DB인 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법.The second blacklist DB is a blacklist management method in a policy-based network security control system, characterized in that the bad user and bad host DB of interest. 보안정책 전달 수단과 연동되며, 블랙리스트 차단대응정책 관리 수단을 구비하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법에 있어서,In the blacklist management method in a policy-based network security control system interlocked with a security policy delivery means, and having a blacklist blocking response policy management means, 보안관리자에 의해 불량 IP 주소가 선택되면, 블랙리스트 차단대응정책 관리 수단에서 해당 불량 IP 주소에 대한 차단대응정책이 기적용 중인지를 판단하는 제 1 단계와;If a bad IP address is selected by the security manager, determining, by the blacklist block response policy management means, whether a block response policy for the bad IP address is being applied; 상기 제 1 단계의 판단 결과, 해당 불량 IP 주소에 대한 차단대응정책이 기적용 중인 것으로 판단되면, 상기 블랙리스트 차단대응정책 관리 수단에서 현재의 보안정책적용 현황을 상기 보안관리자에게 통보하는 제 2 단계와;A second step of notifying the security manager of the current security policy application status by the blacklist blocking response policy management means when it is determined that the blocking response policy for the bad IP address is being applied as a result of the determination of the first step; Wow; 상기 제 1 단계의 판단 결과, 해당 불량 IP 주소에 대한 차단대응정책이 현재 적용되지 않는 것으로 판단되면, 상기 블랙리스트 차단대응정책 관리 수단에서 새로운 차단대응정책을 생성하는 제 3 단계와;A third step of generating a new blocking response policy in the blacklist blocking response policy management means when it is determined that the blocking response policy for the corresponding bad IP address is not currently applied; 상기 새로운 차단대응정책이 생성되면 해당 불량 IP 주소에 적용되고 있는 타 보안정책의 정책충돌 유무를 판단하는 제 4 단계와;A fourth step of determining whether or not a policy conflict of another security policy applied to the bad IP address is generated when the new blocking response policy is generated; 상기 제 4 단계의 판단 결과, 해당 불량 IP 주소에 적용되고 있는 타 보안정책의 정책충돌이 발생한 것으로 판단되면, 현재의 모든 보안정책적용 현황을 상기 보안관리자에게 통보하는 제 5 단계와;A fifth step of notifying the security manager of all current security policy application statuses when it is determined that the policy conflict of another security policy applied to the corresponding bad IP address has occurred; 상기 제 4 단계의 판단 결과, 해당 불량 IP 주소에 적용되고 있는 타 보안정책의 정책충돌이 발생하지 않은 것으로 판단되면, 생성된 차단대응정책을 상기 보안정책 전달 수단으로 전달하는 제 6 단계와;A sixth step of transmitting the generated blocking response policy to the security policy delivery means when it is determined that the policy conflict of another security policy applied to the corresponding bad IP address has not occurred; 상기 보안정책 전달 수단으로부터 정책적용 성공 메시지가 수신되면, 해당 차단대응정책을 DB화한 후, 제 1 블랙리스트 DB 및 제 2 블랙리스트 DB 내의 해당 불량 IP 주소의 정책적용 상태를 트루(true)로 변경하는 제 7 단계와;When the policy application success message is received from the security policy delivery means, the DB corresponding blocking response policy is made into DB, and then the policy application status of the corresponding bad IP address in the first blacklist DB and the second blacklist DB is changed to true. A seventh step; 상기 보안정책 전달 수단으로부터 정책적용 실패 메시지가 수신되면, 차단대응정책 적용 실패 현황을 상기 보안관리자에게 통보하는 제 8 단계를 포함하는 것을 특징으로 하는 네트워크 보안제어시스템에서의 블랙리스트 관리방법.And an eighth step of notifying the security manager of a failure response policy application failure status when a policy application failure message is received from the security policy delivery means. 제 13 항에 있어서,The method of claim 13, 상기 보안정책 전달 수단으로 전달되는 차단대응정책은 네트워크를 통해 보안게이트웨이내의 네트워크 침입차단 대응 수단으로 전달되는 것을 특징으로 하는 네트워크 보안제어시스템에서의 블랙리스트 관리방법.The blacklist management method of the network security control system, characterized in that the blocking response policy delivered to the security policy delivery means is transmitted to the network intrusion blocking response means in the security gateway through the network. 제 13 항에 있어서,The method of claim 13, 상기 제 1 블랙리스트 DB는 잠재적 불량 사용자 및 불량 호스트 DB인 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법.The first blacklist DB is a blacklist management method in a policy-based network security control system, characterized in that the potential rogue user and rogue host DB. 제 13 항에 있어서,The method of claim 13, 상기 제 2 블랙리스트 DB는 요주의 불량 사용자 및 불량 호스트 DB인 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법.The second blacklist DB is a blacklist management method in a policy-based network security control system, characterized in that the bad user and bad host DB of interest.
KR1020010086926A 2001-12-28 2001-12-28 Blacklist management apparatus in a policy-based network security management system and its proceeding method KR20030056652A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020010086926A KR20030056652A (en) 2001-12-28 2001-12-28 Blacklist management apparatus in a policy-based network security management system and its proceeding method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020010086926A KR20030056652A (en) 2001-12-28 2001-12-28 Blacklist management apparatus in a policy-based network security management system and its proceeding method

Publications (1)

Publication Number Publication Date
KR20030056652A true KR20030056652A (en) 2003-07-04

Family

ID=32214832

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020010086926A KR20030056652A (en) 2001-12-28 2001-12-28 Blacklist management apparatus in a policy-based network security management system and its proceeding method

Country Status (1)

Country Link
KR (1) KR20030056652A (en)

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100427448B1 (en) * 2001-12-18 2004-04-14 한국전자통신연구원 The mechanism of security policy stores and detection alert generation in Ladon-SGS
KR100439177B1 (en) * 2002-01-16 2004-07-05 한국전자통신연구원 Method for representing, storing and editing network security policy
KR100447896B1 (en) * 2002-11-12 2004-09-10 학교법인 성균관대학 network security system based on black-board, and method for as the same
KR100456637B1 (en) * 2002-12-12 2004-11-10 한국전자통신연구원 Network security service system including a classifier based on blacklist
KR100611741B1 (en) * 2004-10-19 2006-08-11 한국전자통신연구원 Intrusion detection and prevention system and method thereof
KR100740656B1 (en) * 2004-12-30 2007-07-18 주식회사 이너버스 System for classifying a log file
KR100817799B1 (en) * 2006-10-13 2008-03-31 한국정보보호진흥원 System and method for network vulnerability analysis using the multiple heterogeneous scanners
US7457949B2 (en) 2003-10-09 2008-11-25 Electronics And Telecommunications Research Instutute Network correction security system and method
KR100927074B1 (en) * 2008-05-30 2009-11-13 엘지노텔 주식회사 Base station controller and method for prohibiting denial-of-service in mobile communication network
KR101028037B1 (en) * 2008-10-10 2011-04-08 플러스기술주식회사 A system and a method for compulsory redirecting user's connection address by watching the user's connection address
KR101271449B1 (en) * 2011-12-08 2013-06-05 (주)나루씨큐리티 Method, server, and recording medium for providing service for malicious traffic contol and information leak observation based on network address translation of domain name system
KR101292501B1 (en) * 2005-03-31 2013-08-01 마이크로소프트 코포레이션 Aggregating the knowledge base of computer systems to proactively protect a computer from malware
KR101339512B1 (en) * 2011-03-16 2013-12-10 삼성에스디에스 주식회사 Soc-based device for packet filtering and packet filtering method thereof
KR101689296B1 (en) * 2015-10-19 2016-12-23 한국과학기술정보연구원 Automated verification method of security event and automated verification apparatus of security event
KR101695278B1 (en) * 2016-04-26 2017-01-23 (주)시큐레이어 Method for detecting real-time event and server using the same
KR101896267B1 (en) * 2017-09-28 2018-09-10 큐비트시큐리티 주식회사 System and method for detecting attack based on real-time log analysis
CN112039871A (en) * 2020-08-28 2020-12-04 绿盟科技集团股份有限公司 Method and device for determining called network protection equipment
KR102267564B1 (en) * 2020-11-16 2021-06-21 주식회사 케이사인 Method for Actively Detecting Security Threat to Remote Terminal
CN115021999A (en) * 2022-05-27 2022-09-06 武汉云月玲智科技有限公司 Network information security monitoring system and method based on big data management

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000010253A (en) * 1998-07-31 2000-02-15 최종욱 Trespass detection system and module of trespass detection system using arbitrator agent
KR20000054538A (en) * 2000-06-10 2000-09-05 김주영 System and method for intrusion detection in network and it's readable record medium by computer
KR20010105490A (en) * 2000-05-10 2001-11-29 이영아 Hacking detection and chase system
KR20030052511A (en) * 2001-12-21 2003-06-27 한국전자통신연구원 method and recorded media for security grade to measure the network security condition
KR20030054659A (en) * 2001-12-26 2003-07-02 한국전자통신연구원 Hidden-type intrusion detection and blocking control system and control method thereof

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000010253A (en) * 1998-07-31 2000-02-15 최종욱 Trespass detection system and module of trespass detection system using arbitrator agent
KR20010105490A (en) * 2000-05-10 2001-11-29 이영아 Hacking detection and chase system
KR20000054538A (en) * 2000-06-10 2000-09-05 김주영 System and method for intrusion detection in network and it's readable record medium by computer
KR20030052511A (en) * 2001-12-21 2003-06-27 한국전자통신연구원 method and recorded media for security grade to measure the network security condition
KR20030054659A (en) * 2001-12-26 2003-07-02 한국전자통신연구원 Hidden-type intrusion detection and blocking control system and control method thereof

Cited By (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100427448B1 (en) * 2001-12-18 2004-04-14 한국전자통신연구원 The mechanism of security policy stores and detection alert generation in Ladon-SGS
KR100439177B1 (en) * 2002-01-16 2004-07-05 한국전자통신연구원 Method for representing, storing and editing network security policy
KR100447896B1 (en) * 2002-11-12 2004-09-10 학교법인 성균관대학 network security system based on black-board, and method for as the same
KR100456637B1 (en) * 2002-12-12 2004-11-10 한국전자통신연구원 Network security service system including a classifier based on blacklist
US7457949B2 (en) 2003-10-09 2008-11-25 Electronics And Telecommunications Research Instutute Network correction security system and method
USRE45381E1 (en) 2003-10-09 2015-02-17 Electronics And Telecommunications Research Institute Network correction security system and method
KR100611741B1 (en) * 2004-10-19 2006-08-11 한국전자통신연구원 Intrusion detection and prevention system and method thereof
KR100740656B1 (en) * 2004-12-30 2007-07-18 주식회사 이너버스 System for classifying a log file
KR101292501B1 (en) * 2005-03-31 2013-08-01 마이크로소프트 코포레이션 Aggregating the knowledge base of computer systems to proactively protect a computer from malware
KR100817799B1 (en) * 2006-10-13 2008-03-31 한국정보보호진흥원 System and method for network vulnerability analysis using the multiple heterogeneous scanners
KR100927074B1 (en) * 2008-05-30 2009-11-13 엘지노텔 주식회사 Base station controller and method for prohibiting denial-of-service in mobile communication network
KR101028037B1 (en) * 2008-10-10 2011-04-08 플러스기술주식회사 A system and a method for compulsory redirecting user's connection address by watching the user's connection address
KR101339512B1 (en) * 2011-03-16 2013-12-10 삼성에스디에스 주식회사 Soc-based device for packet filtering and packet filtering method thereof
KR101271449B1 (en) * 2011-12-08 2013-06-05 (주)나루씨큐리티 Method, server, and recording medium for providing service for malicious traffic contol and information leak observation based on network address translation of domain name system
KR101689296B1 (en) * 2015-10-19 2016-12-23 한국과학기술정보연구원 Automated verification method of security event and automated verification apparatus of security event
US10721245B2 (en) 2015-10-19 2020-07-21 Korea Institute Of Science And Technology Information Method and device for automatically verifying security event
KR101695278B1 (en) * 2016-04-26 2017-01-23 (주)시큐레이어 Method for detecting real-time event and server using the same
WO2017188535A1 (en) * 2016-04-26 2017-11-02 (주)시큐레이어 Method for detecting real-time event and server using same
US10097570B2 (en) 2016-04-26 2018-10-09 Seculayer Co., Ltd. Method for detecting real-time event and server using the same
KR101896267B1 (en) * 2017-09-28 2018-09-10 큐비트시큐리티 주식회사 System and method for detecting attack based on real-time log analysis
CN112039871A (en) * 2020-08-28 2020-12-04 绿盟科技集团股份有限公司 Method and device for determining called network protection equipment
CN112039871B (en) * 2020-08-28 2022-04-19 绿盟科技集团股份有限公司 Method and device for determining called network protection equipment
KR102267564B1 (en) * 2020-11-16 2021-06-21 주식회사 케이사인 Method for Actively Detecting Security Threat to Remote Terminal
CN115021999A (en) * 2022-05-27 2022-09-06 武汉云月玲智科技有限公司 Network information security monitoring system and method based on big data management

Similar Documents

Publication Publication Date Title
KR20030056652A (en) Blacklist management apparatus in a policy-based network security management system and its proceeding method
Pilli et al. Network forensic frameworks: Survey and research challenges
CN100435513C (en) Method of linking network equipment and invading detection system
EP1999890B1 (en) Automated network congestion and trouble locator and corrector
US7752665B1 (en) Detecting probes and scans over high-bandwidth, long-term, incomplete network traffic information using limited memory
US6775657B1 (en) Multilayered intrusion detection system and method
US7832010B2 (en) Unauthorized access program monitoring method, unauthorized access program detecting apparatus, and unauthorized access program control apparatus
WO2015193647A1 (en) Ineffective network equipment identification
CN111935172A (en) Network abnormal behavior detection method based on network topology, computer device and computer readable storage medium
EP2593896B1 (en) Supervision of the security in a computer system
CN113839935B (en) Network situation awareness method, device and system
KR100401088B1 (en) Union security service system using internet
Tang et al. A simple framework for distributed forensics
CN113660115A (en) Network security data processing method, device and system based on alarm
D’Antonio et al. High-speed intrusion detection in support of critical infrastructure protection
KR101011223B1 (en) SIP-based Enterprise Security Management System
KR20050055996A (en) Security information management and vulnerability analysis system
CN114189361B (en) Situation awareness method, device and system for defending threat
CN113794590B (en) Method, device and system for processing network security situation awareness information
JP2006295232A (en) Security monitoring apparatus, and security monitoring method and program
CN114006719B (en) AI verification method, device and system based on situation awareness
CN114172881A (en) Network security verification method, device and system based on prediction
CN114338110B (en) Method, device and system for predicting and defending threat information in situation awareness
KR20040092314A (en) Real time attack traffic monitoring system based on Intrusion Detection System
KR20040055513A (en) Information model for security policy in policy-based network security system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application