KR20040042064A - network security system based on black-board, and method for as the same - Google Patents
network security system based on black-board, and method for as the same Download PDFInfo
- Publication number
- KR20040042064A KR20040042064A KR1020020070189A KR20020070189A KR20040042064A KR 20040042064 A KR20040042064 A KR 20040042064A KR 1020020070189 A KR1020020070189 A KR 1020020070189A KR 20020070189 A KR20020070189 A KR 20020070189A KR 20040042064 A KR20040042064 A KR 20040042064A
- Authority
- KR
- South Korea
- Prior art keywords
- intrusion
- level
- host
- blackboard
- information
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
Description
본 발명은 블랙보드기반의 네트워크 보안 시스템 및 이의 운용방법에 관한 것으로, 특히 네트워크 환경에서 분산된 호스트들이 블랙보드의 사용에 따른 외부의 침입정보를 상호 공유하여 침입에 대응할 수 있는 블랙보드기반의 네트워크 보안 시스템 및 이의 운용방법에 관한 것이다.The present invention relates to a blackboard-based network security system and a method of operating the same, and in particular, a board-based network capable of coping with intrusion by sharing the external intrusion information according to the use of the blackboard by distributed hosts in a network environment. It relates to a security system and its operation method.
컴퓨터 및 네트워크 기술이 발전함에 다라 컴퓨터간의 상호 연결성이 증가하고, 이로 인해 컴퓨터 보안 문제가 중요하게 대두되었다. 1981년에 IP프로토콜을 실험적으로 ARPANET(알파넷)에 적용할 때, 불과 210개의 호스트가 ARPANET에 연결되어 있었으나, 오늘날 전 세계적으로 7백만 대 이상의 컴퓨터 시스템이 동일한 IP프로토콜을 사용하여 상호 연결됨에 따라 네트워크에 연결된 모든 컴퓨터가 해커의 침입대상이 되고 있다.As computer and network technology advances, the interconnections between computers increase, which makes computer security a major issue. When the IP protocol was experimentally applied to ARPANET in 1981, only 210 hosts were connected to ARPANET, but today more than 7 million computer systems worldwide are interconnected using the same IP protocol. All computers connected to are hackers.
이러한 위협에 대처하기 위해 정보보호를 필요로 하는 문서나 시스템에 대한불법 침입을 분석하고 탐지하여 문제점을 사전에 방지하는 감사 기술의 발전적 형태인 침입탐지시스템(Intrusion detection system)에 관한 연구가 활발히 진행되고 있다.In order to cope with these threats, research on intrusion detection system, an advanced form of auditing technology that analyzes and detects illegal intrusions on documents or systems requiring information protection and prevents problems in advance, is actively conducted. It is becoming.
한편, 침입탐지시스템은 불법적인 침입으로부터 컴퓨터를 보호하기 위해 침입을 탐지하고 이에 대한 적절한 조치를 취하는 역할을 수행한다.On the other hand, the intrusion detection system detects intrusions and takes appropriate measures to protect the computer from illegal intrusions.
일반적으로 시스템의 안전성과 사용 편리성은 서로 상반되는 개념이고, 안전한 시스템 설계는 엄청난 비용이 소요되므로 어떠한 공격에 대해서도 안전하고 이상적인 시스템을 설계하는 것은 불가능하다. 이와 같은 시스템에서 불법적 행위에 대한 대처방법으로 모든 파일을 암호화하여 저장할 수 있지만 여기에는 암호 알고리즘 선정, 키 관리문제, 시스템 관리자의 역할 조정 등의 새로운 문제점이 발생된다.In general, the safety and ease of use of the systems are contrary to each other, and the design of a secure system is very expensive, making it impossible to design a safe and ideal system against any attack. In such a system, all files can be encrypted and stored as a countermeasure against illegal behavior, but new problems arise such as encryption algorithm selection, key management problem, and system administrator role adjustment.
따라서, 본 발명의 목적은 네트워크 환경에서 서로 분산되어 침입탐지시스템을 운영하는 호스트들이 외부로부터의 침입에 관련된 정보를 침입이 발생과 함께 블랙보드에 게재하고, 이를 다른 호스트들이 열람하는 방법으로 공유함과 동시에 침입정도를 차등적으로 적용하여 침입정도에 따라 해당 호스트 및 전체 네트워크로 유입되는 패킷을 차단하는 대응조치를 수행할 수 있는 블랙보드기반의 네트워크 보안 시스템 및 이의 운용방법을 제공하는데 있다.Therefore, an object of the present invention is to distribute the information related to the intrusion from the outside of the host operating the intrusion detection system in the network environment on the blackboard with the occurrence of the intrusion, and share it in a way that other hosts view At the same time, it provides a blackboard-based network security system and its operation method that can apply the intrusion degree differentially to perform countermeasures to block packets flowing into the host and the entire network according to the intrusion degree.
도 1은 본 발명의 전체적인 구성을 간략히 나타낸 블록도.1 is a block diagram schematically showing the overall configuration of the present invention.
도 2는 본 발명의 실시예에 따른 네트워크상의 호스트와 메인호스트와의 정보흐름을 나타낸 블록도.2 is a block diagram showing information flow between a host and a main host on a network according to an embodiment of the present invention.
도 3은 본 발명의 실시예에 따른 블랙보드기반의 네트워크 보안 시스템의 운용방법을 나타낸 블록도.3 is a block diagram showing a method of operating a blackboard-based network security system according to an embodiment of the present invention.
도 4는 본 발명의 실시예에 따른 호스트침입에 대한 블랙보드기반의 네트워크 보안 시스템의 운용방법을 나타낸 흐름도.4 is a flowchart illustrating a method of operating a blackboard-based network security system for host intrusion according to an embodiment of the present invention.
도 5는 본 발명의 실시예에 따른 호스트 침입레벨 처리단계를 나타낸 흐름도.5 is a flowchart illustrating a host intrusion level processing step according to an embodiment of the present invention.
도 6은 본 발명의 실시예에 따른 네트워크 침입에 대한 블랙보드기반의 네트워크 보안 시스템의 운용방법을 나타낸 흐름도.6 is a flowchart illustrating a method of operating a blackboard-based network security system against network intrusion according to an embodiment of the present invention.
도 7은 본 발명의 실시예에 따른 네트워크 침입레벨 처리단계를 나타낸 흐름도.7 is a flowchart illustrating a network intrusion level processing step according to an embodiment of the present invention.
* 도면의 주요 부분에 대한 부호의 설명 *Explanation of symbols on the main parts of the drawings
10 : 호스트 20 : 메인호스트10: host 20: main host
21 : 호스트제어부 22 : 블랙보드21: host controller 22: the black board
23 : 호스트침입보드 24 : 네트워크침입보드23: Host Intrusion Board 24: Network Intrusion Board
30 : 관리자호스트30: admin host
상기한 본 발명의 목적을 달성하기 위한 블랙보드기반의 네트워크 보안 시스템 및 이의 운용방법은, 네트워크 환경에서 침입탐지시스템을 운영하는 다수의 호스트 및 상기 호스트 중 외부의 침입을 받는 호스트에 의해 작성된 침입 받는 호스트에 의해 공격자의 IP주소 및 패킷 수집시간 등이 포함된 침입정보가 나머지 호스트 상호간에 공유될 수 있도록 게재되고, 상기 침입정보를 근거로 패킷 수집시간에 유입된 공격자의 IP주소의 개수와 미리 설정된 개수와의 비교에 따른 비교값인 침입정도에 따라 침입 받는 호스트에 침입레벨을 차등적으로 적용되는 블랙보드가 탑재된 공유메모리와, 상기 블랙보드에 게재된 침입정보와 침입레벨을 다른 호스트가 열람하게하며, 침입레벨에 따라 해당 호스트 또는 전체 호스트로 유입되는 패킷을 제어하는 호스트제어부가 추가 형성된 메인호스트를 포함하여 이루어진 것을 특징으로 하고, 상기 호스트제어부는 외부에 대한 침입정보에 따라 침입레벨이 전이되는 기준인 임계값이 설정되며, 상기 블랙보드는 외부의 침입이 하나의 호스트에 단독으로 침입된 상태의 호스트침입정보가 게재되어 침입레벨에 따른 호스트의 레벨전이를 발생하는 호스트침입보드 및 외부의 침입이 적어도 2이상의 호스트에 침입된 상태의 네트워크침입정보가 개제되어 침입레벨에 따른 전체호스트의 레벨전이를 발생하는 네트워크침입보드로 구성되고, 호스트침입보드 및 네트워크 침입보드는 5개의 침입레벨로 구분되되, 침입시도레벨, 침입경계레벨, 침입주의레벨, 침입심각레벨, 침입피해레벨로 구분되어 침입정도에 따라 해당 호스트의 레벨이 블랙보드 상에서 전이되는 것을 특징으로 할 뿐만 아니라, 침입심각레벨에서 침입지에서 호스트로 전송되는 패킷을 방화벽에 의해 차단시키고, 2개 이상의 호스트가 침입을 받아 해당 호스트침입레벨이 전이되었을 때, 가장 높은 레벨로 전이된 호스트의 침입레벨로 전체호스트의 침입레벨이 블랙보드 상에서 전이되어 침입주의레벨에서 침입지에서 전송되는 패킷을 방화벽에 의해 차단시키고, 침입심각레벨에서 네트워크로 유입되는 모든 패킷을 방화벽에 의해 차단시키며, 상기 호스트는 외부침입에 대한 침입정보가 누적되어 저장된 침입정보데이터베이스를 더 포함한 것이 바람직하겠다.Blackboard-based network security system and its operation method for achieving the above object of the present invention, the intrusion is created by a plurality of hosts operating the intrusion detection system in a network environment and the host receiving an external intrusion from the host The intrusion information including the attacker's IP address and packet collection time is posted by the host so that the other hosts can be shared with each other, and the number of attacker's IP addresses introduced in the packet collection time based on the intrusion information is set in advance. Other hosts can view the shared memory equipped with a black board that applies the intrusion level to the invading host differentially according to the degree of intrusion according to the comparison with the number, and the intrusion information and the intrusion level posted on the black board. Hose that controls the packets flowing into the host or the whole host according to the intrusion level. The host control unit is configured to include a main host further formed, wherein the host control unit is set to a threshold value that is a criterion to which the intrusion level is transferred according to the intrusion information to the outside, the external board is a single intrusion Host intrusion information of the state invaded by the host alone is displayed, and the host intrusion board which generates the level transition of the host according to the intrusion level, and the network intrusion information in which the intrusion of the outside is invaded by at least two hosts are placed. Network intrusion board that generates the level transition of the entire host according to the host intrusion board and network intrusion board is divided into five intrusion levels, intrusion attempt level, intrusion boundary level, intrusion attention level, intrusion severity level, intrusion It is classified as the damage level, and according to the intrusion level, the level of the corresponding host is transferred on the blackboard. In addition, the firewall blocks packets sent from the intrusion to the host at the intrusion severity level, and when two or more hosts are intruded and the host intrusion level is transitioned, The intrusion level of the entire host is transferred to the intrusion level on the blackboard to block packets transmitted from the intrusion site at the intrusion attention level by the firewall, and to block all packets entering the network at the intrusion serious level by the firewall. It is preferable that the intrusion information database for accumulating intrusion information is further included.
한편, 블랙보드기반의 네트워크 보안 시스템의 운영방법에 있어서, 하나의 호스트로의 침입에 대해서는 외부로부터 상기 호스트중 하나의 호스트로의 침입이 진행되는 호스트침입단계와, 상기 침입에 대한 정보를 해당 호스트에 의해 블랙보드에 게재되는 블랙보드갱신단계와, 상기 호스트제어부는 블랙보드에 게재된 침입정보의 침입수준에 따라 차등적으로 침입레벨을 설정하는 침입레벨적용단계 및 상기 침입레벨에 따라 해당 호스트로 유입되는 패킷을 차단하는 침입레벨대응단계로 이루어진 것을 특징으로 하고, 상기 침입레벨적용단계는 침입시도레벨, 침입경계레벨, 침입주의레벨, 침입심각레벨 및 침입피해레벨로 이루어지며, 상기 블랙보드갱신단계는 상기 호스트는 침입되는 정보를 인지 한 후, 침입정보를 작성하고, 이를 블랙보드에 게재하기 위해 메인 호스트에 블랙보드 갱신요구정보를 전송하는 블랙보드 갱신요구단계와, 상기 블랙보드 갱신요구정보를 전송받은 메인호스트는 등록된 호스트임을 확인하고, 갱신을 승인하는 블록보드 갱신허락정보를 전송하는 블랙보드 갱신허락단계 및 상기 블록보드 갱신허락정보를 수신 받은 호스트는 블랙보드에 접근하여 해당 공격정보를 갱신하는 공격정보게재단계로 진행하고, 상기 침입레벨적용단계는 상기 블랙보드에 게재된 침입정보를 확인하는 침입정보 확인단계와, 상기 침입정보의 침입수준의 수치가 기 설정된 임계치와 비교하는 임계값 확인단계와, 상기 임계값보다 클 경우 해당 호스트의 블랙보도상의 침입레벨을 상향 조정하는 호스트침입보드 레벨전이단계 및 상기 블랙보드의 레벨전이 된 정보를 갖는 정보 검색 및 열람메시지를 전송하여 다른 호스트에게 검색 및 열람할 수 있도록 하는 블랙보드 검색 및 열람단계로 진행하는 것을 특징으로 할 뿐만 아니라, 상기 침입레벨대응단계는 상기 블랙보드의 호스트침입보드를 확인하는 호스트침입보드 확인단계와, 상기 호스트침입보드의 레벨이 침입심각레벨임을 확인하는 침입심각레벨확인단계 및 상기 침입레벨로 판별되면 상기 호스트로 유입되는 패킷을 차단하는 패킷차단계로 진행하는 것을 특징으로 하며,On the other hand, in the operation method of the blackboard-based network security system, for the intrusion into one host, the host intrusion step in which the intrusion into one of the hosts from the outside, and the information about the intrusion host Blackboard update step that is posted on the blackboard by the host control unit, the intrusion level application step of setting the intrusion level differentially in accordance with the intrusion level of the intrusion information posted on the blackboard and to the host in accordance with the intrusion level Characterized in that it comprises an intrusion level corresponding step of blocking the incoming packet, the intrusion level application step is made of intrusion attempt level, intrusion boundary level, intrusion attention level, intrusion severity level and intrusion damage level, the blackboard update In the step, the host recognizes the intruded information, creates the intruded information, and sends it to the blackboard. In order to transmit the blackboard update request information to the main host, the blackboard update request step and the main host receiving the blackboard update request information confirm that the host is a registered host, and transmit blockboard update license information to approve the update. The host receiving the blackboard update permission step and the blockboard update permission information proceed to the attack information publication step of accessing the blackboard to update the corresponding attack information, and the intrusion level application step is an intrusion posted on the blackboard. An intrusion information checking step for confirming information; a threshold value checking step for comparing the intrusion level value of the intrusion information with a preset threshold; and a host for increasing the intrusion level on the black press of the host if the threshold value is larger than the threshold value. Intrusion board level transition step and information retrieval and reading message having the level transition information of the blackboard In addition, the intrusion level correspondence step is a host intrusion board check step for checking the host intrusion board of the blackboard as well as characterized in that it proceeds to the blackboard search and browsing step to transmit and search to other hosts. And an intrusion serious level checking step of confirming that the level of the host intrusion board is an intrusion serious level and a packet difference step of blocking a packet flowing into the host if it is determined as the intrusion level.
2 이상의 호스트로의 침입에 대해서는 외부로부터 상기 호스트 중 적어도 2 이상의 호스트로의 침입이 진행되는 호스트공격단계와, 상기 침입에 대한 정보를 해당 호스트에 의해 블랙보드에 각각 게재되는 블랙보드갱신단계와, 상기 호스트제어부는 블랙보드에 게재된 침입정보의 침입수준에 따라 호스트침입모드 및 네트워크침입모드에 차등적으로 침입레벨을 설정하는 침입레벨적용단계 및 상기 침입레벨에 따라 해당 호스트 또는 네트워크로 유입되는 패킷을 차단하는 침입레벨대응단계로 진행하고, 상기 침입레벨적용단계는 호스트침입레벨 및 네트워크침입레벨이 침입시도레벨, 침입경계레벨, 침입주의레벨, 침입심각레벨 및 침입피해레벨로 이루어지며, 상기 블랙보드 갱신단계는 상기 각각의 침입 받는 호스트는 침입되는 정보를인지 한 후, 침입정보를 작성하고, 이를 블랙보드에 게재하기 위해 메인 호스트에 블랙보드 갱신요구정보를 전송하는 블랙보드 갱신요구단계와, 상기 블랙보드 갱신요구정보를 전송받은 메인호스트는 등록된 호스트임을 확인하고, 갱신을 승인하는 블록보드 갱신허락정보를 전송하는 블랙보드 갱신허락단계 및 상기 블록보드 갱신허락정보를 수신 받은 호스트는 블랙보드에 접근하여 해당 침입정보를 갱신하는 침입정보게재단계로 진행하며, 상기 공격레벨적용단계는 상기 블랙보드에 게재된 침입정보를 확인하는 침입정보 확인단계와, 상기 침입정보의 침입수준의 수치가 기 설정된 임계치와 비교하는 임계값 확인단계와, 상기 임계값보다 클 경우 해당 각 호스트의 블랙보도상의 침입레벨을 상향 조정하는 호스트침입보드 레벨전이단계 및 상기 블랙보드의 호스트침입보드의 레벨전이 된 정보를 갖는 정보 검색 및 열람메시지를 전송하여 다른 호스트에게 검색 및 열람할 수 있도록 하는 블랙보드 검색 및 열람단계로 진행할 뿐만 아니라, 상기 침입레벨대응단계는 상기 블랙보드의 네트워크침입보드를 확인하는 네트워크침입보드 확인단계와, 상기 호스트 각각의 침입레벨 중 가장 높은 침입레벨로 전체호스트의 네트워크 침입레벨을 전이시키는 네트워크침입보드 레벨전이단계와, 상기 블랙보드의 네트워크침입보드의 레벨전이 된 정보를 갖는 정보 검색 및 열람메시지를 전송하여 다른 호스트에게 검색 및 열람할 수 있도록 하는 블랙보드 검색 및 열람단계와, 상기 네트워크침입보드의 레벨이 침입주의레벨 및 침입심각레벨임을 확인하는 침입레벨확인단계 및 상기 침입주의레벨일 경우 상기 침입 받는 호스트로 유입되는 패킷을 차단하거나, 침입심각레벨일 경우 메인호스트를 포함한 전체 네트워크에 유입되는 모든 패킷을 차단하는 패킷차단계로 진행하는 것이 바람직하겠다.In case of intrusion into two or more hosts, a host attack step of invading at least two or more of the hosts from the outside, and a blackboard update step of posting information on the intrusion on the blackboard by the host, respectively; The host control unit applies an intrusion level setting step to differentially set the intrusion level in the host intrusion mode and the network intrusion mode according to the intrusion level of the intrusion information posted on the blackboard, and the packet flowing into the host or the network in accordance with the intrusion level. Proceed to the intrusion level response step of blocking, the intrusion level application step is the host intrusion level and network intrusion level is composed of intrusion attempt level, intrusion boundary level, intrusion attention level, intrusion severity level and intrusion damage level, the black In the board update step, after each intruded host recognizes the intruded information, In order to create the intrusion information and to publish it on the blackboard, the blackboard update request step of transmitting the blackboard update request information to the main host, and confirming that the main host receiving the blackboard update request information is a registered host, The blackboard update permission step of transmitting the blockboard update permission information approving the update and the host receiving the blockboard update permission information proceed to the intrusion information publication step of accessing the blackboard and updating the intrusion information. The level application step includes an intrusion information checking step of confirming intrusion information posted on the blackboard, a threshold value checking step of comparing the intrusion level value of the intrusion information with a preset threshold value, and if the threshold value is larger than the threshold value, Host intrusion board level transition step of increasing the intrusion level on the black sidewalk of the host and the black board In addition to proceeding with the blackboard searching and viewing step of transmitting information retrieval and reading messages having the information of the level of the intrusion board to the other hosts, the intrusion level response step is the network of the blackboard. A network intrusion board identification step of identifying an intrusion board, a network intrusion board level transition step of transitioning a network intrusion level of all hosts to the highest intrusion level of each host intrusion level, and a level of the network intrusion board of the blackboard; Blackboard searching and viewing step to send information search and reading message with transferred information to search and view to other hosts, and intrusion level to confirm that the level of network intrusion board is intrusion level and severity level Confirmation step and the intrusion if the intrusion attention level It is preferable to proceed to the packet difference step of blocking packets flowing into the host or blocking all packets flowing into the entire network including the main host in the case of intrusion seriousness level.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대해 설명한다.Hereinafter, with reference to the accompanying drawings will be described a preferred embodiment of the present invention.
도 1은 본 발명의 전체적인 구성을 간략히 나타낸 블록도이다. 도 1을 참조하여 설명하면, 호스트(10), 메인호스트(20) 및 관리자호스트(30)로 대분되어 구성되며, 상기 호스트(10)는 네트워크 환경에서 침입탐지시스템(IDS)을 운영하되, 외부침입에 대한 침입정보가 누적되어 저장된 침입정보데이터베이스를 더 포함함이 바람직할 것이다. 상기 침입정보는 당 호스트로 유입되는 패킷을 수집한 시간이나, 공격자의 IP 주소등과 같은 내용을 포함한다.1 is a block diagram briefly showing the overall configuration of the present invention. Referring to FIG. 1, the host 10, the main host 20, and the administrator host 30 are largely configured, and the host 10 operates an intrusion detection system (IDS) in a network environment. It may be desirable to further include an intrusion information database in which intrusion information for intrusion is accumulated and stored. The intrusion information includes contents such as the time of collecting the packet flowing into the host or the IP address of the attacker.
한편, 상기 메인호스트(20)는 호스트제어부(21), 블랙보드(22), 호스트침입보드(23) 및 네트워크침입보드(24)를 포함하여 이루어지는데, 상기 메인호스트(20)는 상기 블랙보드(22)에 게재된 침입정보와 침입레벨을 침입 받은 호스트 이외의 다른 호스트가 열람하게 하며, 침입레벨에 따라 해당 호스트 또는 전체 호스트로 유입되는 패킷을 제어하는 호스트제어부(21)가 추가 형성된다.Meanwhile, the main host 20 includes a host controller 21, a black board 22, a host intrusion board 23, and a network intrusion board 24. The main host 20 includes the black board. A host control unit 21 is provided to allow a host other than the intruded host to view the intrusion information and the intrusion level disclosed in (22), and to control packets flowing into the host or the entire host according to the intrusion level.
이때, 상기 호스트제어부(21)는 블랙보드(22)에 게재된 외부에 의한 침입정보에 따라 침입레벨이 전이되는 기준인 임계값이 설정되고, 2개 이상의 호스트가 침입을 받아 해당 호스트침입레벨이 전이되었을 때, 가장 높은 호스트의 호스트 침입레벨로 전체호스트의 침입레벨이 블랙보드(22) 상에서 전이시키며, 침입레벨에 따라 침입지에서 전송되는 패킷을 방화벽에 의해 차단시키거나, 전체 네트워크로 유입되는 모든 패킷을 방화벽에 의해 차단시킨다. 상기 임계값은 호스트 혹은 네트워크에 얼마나 많은 공격이 진행되었나는 반영하는 값으로, 시스템 관리자가 자신의 시스템(본 실시예에서는 메인호스트)에 맞게 또는 전체 네트워크를 보호하기 위한 정책에 맞게 설정하는 것이며 네트워크의 보안을 강화할려면 임계값을 낮은 값으로 하고, 보안적인 부분을 완화하여 적용하려면 임계값을 높게 잡으면 되는 것이 바람직하겠다.At this time, the host control unit 21 is set to a threshold value that is a criterion for the intrusion level is transferred according to the intrusion information from the outside posted on the blackboard 22, the two or more hosts receive the intrusion to increase the corresponding host intrusion level When transitioned, the intrusion level of the entire host is transferred on the blackboard 22 to the host intrusion level of the highest host, and according to the intrusion level, packets transmitted from the intrusion are blocked by the firewall or flowed into the entire network. All packets are blocked by the firewall. The threshold is a value that reflects how many attacks have been performed on the host or network. The threshold is set by the system administrator according to his system (main host in this embodiment) or by the policy for protecting the entire network. To increase the security of the threshold to a lower value, and to mitigate the security part, it is desirable to set the threshold higher.
또한, 상기 블랙보드(22)는 상기 호스트 중 외부의 침입을 받는 호스트에 의해 작성된 침입정보를 나머지 호스트 상호간에 공유될 수 있도록 침입 받는 호스트에 의해 침입정보가 게재되고, 상기 침입정보에 근거한 침입정도에 따라 침입 받는 호스트에 침입레벨을 차등적으로 적용되며, 메인 호스트에 형성된 공유메모리에 탑재된다. 상기 침입정도는 예를 들어 공격자의 IP주소를 로 보다면 임계값은 얼마동안 네트워크에 공격이 진행되었나는 반영하는 값이므로 블랙보드에 게재된 내용 중 패킷 수집시간 과 공격자 IP주소 개수를 계산하여보면 현재 네트워크로 초당 몇 개의 패킷이 들어보는지를 알 수 있고 패킷 수집시간에 유입된 공격자의 IP주소의 개수와 미리 설정된 개수와의 비교에 따른 비교값인 침입정도와, 임계값과 비교하여 침입정도를 산출하는 것이며, 상기 초당 몇 개의 패킷이 들어오는지에 대한 개수도 내부적으로 임계값으로 설정하는 것이 자명할 것이다.In addition, the blackboard 22 is the intrusion information is posted by the intruded host so that the intrusion information created by the externally intruded host among the host can be shared between the other hosts, the intrusion degree based on the intrusion information As a result, the intrusion level is differentially applied to the invading host and mounted in the shared memory formed in the main host. For example, if the intrusion degree is viewed by the attacker's IP address, the threshold is a value that reflects how long the attack has been conducted on the network. You can see how many packets per second are currently entering the network, and compare the number of attacker's IP addresses and the preset number with the number of attackers entering the packet collection time. It will be apparent that the number of packets per second is also internally set as a threshold.
이때, 블랙보드(22)에는 호스트침입보드(23)와 네트워크침입보드(24)가 존재하게 되는데, 상기 호스트침입보드(23)는 외부의 침입이 하나의 호스트에 단독으로 침입된 상태의 호스트침입정보가 게재되어 침입레벨에 따른 호스트의 레벨전이가 발생되며, 상기 침입레벨은 다섯 단계로 구분되되, 침입시도레벨, 침입경계레벨,침입주의레벨, 침입심각레벨, 침입피해레벨로 구분되어 블랙보드 상에서 전이된다.In this case, the black board 22 has a host intrusion board 23 and the network intrusion board 24, the host intrusion board 23 is a host intrusion of the external intrusion into a single host state alone The information is posted and the level transition of the host according to the intrusion level is generated, and the intrusion level is divided into five stages, the intrusion attempt level, the intrusion boundary level, the intrusion attention level, the intrusion seriousness level, and the intrusion damage level. Metastasize in the phase.
또한, 상기 네트워크침입보드(24)는 외부의 침입이 적어도 2이상의 호스트에 침입된 상태의 네트워크침입정보가 개제되어 침입레벨에 따른 전체호스트의 레벨전이가 발생하며, 네트워크침입보드에서 5개의 침입레벨로 구분되되, 침입시도레벨, 침입경계레벨, 침입주의레벨, 침입심각레벨, 침입피해레벨로 구분되어 블랙보드 상에서 전이된다.In addition, the network intrusion board 24 is a network intrusion information in the state that the external intrusion is invaded in at least two or more hosts are interposed to generate a level transition of the entire host according to the intrusion level, five intrusion levels in the network intrusion board It is divided into Intrusion Attempt Level, Intrusion Threshold Level, Intrusion Attention Level, Intrusion Severity Level, and Intrusion Damage Level.
한편, 상기 관리자호스트(30)는 상기 메인호스트(20)의 데이터 처리 과정이나, 임계값의 설정 등을 위해 모니터링 하기 위해 형성된다.On the other hand, the manager host 30 is formed to monitor the data processing of the main host 20, the setting of a threshold value and the like.
도 2는 본 발명의 실시예에 따른 네트워크상의 호스트와 메인호스트와의 정보흐름을 나타낸 블록도이다. 도 2를 참조하여 설명하면, 본 발명은 외부로부터의 침입을 감지하여 이에 대한 대응하기 위한 메시지 전달 과정이 이루어지게 되는데, 먼저, 외부로부터 침입을 받았다는 사실을 감지한 A호스트(11)에서는 침입한 해당 정보를 작성하여 메인호스트(20)에 형성된 블랙보드(22)에 이를 게재하기 위해 메인호스트(20)의 호스트제어부(21)에 블랙보드 갱신 요구 메시지(①)를 전송하고, 이를 전송받은 호스트제어부(21)는 갱신을 승인하는 블랙보드 갱신 허락 메시지(②)를 A호스트(11)에 전송한다.2 is a block diagram illustrating information flow between a host and a main host on a network according to an exemplary embodiment of the present invention. Referring to FIG. 2, the present invention detects an intrusion from the outside and performs a message transfer process for responding to the intrusion. First, in the host A 11 that detects the intrusion from the outside, In order to create the corresponding information and publish it on the blackboard 22 formed on the main host 20, the blackboard update request message ① is transmitted to the host controller 21 of the main host 20, and the host is received. The control unit 21 transmits a blackboard update permission message ② to approve the update to the host A 11.
이에, A호스트(11)는 블랙보드(22)에 접근하여 블랙보드 갱신 수행(③)을 시작하며, 게재를 완료했다는 블랙보드 갱신완료 메시지(④)를 호스트제어부(21)에 전송하게 되면, 호스트제어부(21)는 블랙보드(22)의 게재된 정보를 네트워크에 내의 모든 호스트(12,13)(본 실시예에서는 B호스트와, N호스트로 하였다)에 블랙보드 갱신 완료 방송 메시지(⑤)를 전송하게 되면, 다른 호스트(12,13)는 이를 전송받아 블랙보드(22)에 접근한 후, 블랙보드 정보 검색 및 열람 수행(⑥)을 진행하게 되며, 모든 호스트(12,13)의 검색 및 열람이 끝나게 되면 블랙보드 정보 열람 완료 메시지(⑦)를 각각 메인호스트(20)에 전송한 후 접속을 종료한다.Thus, host A 11 accesses the blackboard 22 and starts to perform a blackboard update (③), and transmits a blackboard update complete message ④ indicating that the posting is completed to the host controller 21, The host controller 21 transmits the posted information of the blackboard 22 to all hosts 12 and 13 (host B and N in this embodiment) in the network. When the other host (12, 13) receives the transmission to access the blackboard 22, and then proceeds to search and read the blackboard information (⑥), all the hosts (12, 13) search And when the reading is finished, and transmits the blackboard information reading completion message (⑦) to the main host 20, respectively, the connection is terminated.
도 3은 본 발명의 실시예에 따른 블랙보드기반의 네트워크 보안 시스템의 운용방법을 나타낸 블록도이다. 도 3을 참조하여 설명하면, 호스트 침입단계(S1), 블랙보드 갱신단계(S2), 침입레벨 적용단계(S3) 및 침입레벨 대응단계(S4)로 대분되어 진행하게 되는데,3 is a block diagram showing a method of operating a blackboard-based network security system according to an embodiment of the present invention. Referring to FIG. 3, the host intrusion step S1, the blackboard update step S2, the intrusion level application step S3, and the intrusion level correspondence step S4 are roughly performed.
상기 호스트 침입단계(S1)는 네트워크 상에 존재하는 다수의 호스트에 외부로부터 침입이 진행되는 과정이며, 이는 네트워크 상에서 위협이 되는 요소로써 방해(DOS : Denial of service), 가로채기(Sniffing), 위조(IP spoofing), 회피(PPP, Source Routing), 기능정지(ICMP)등의 유형이 있을 수 있겠다.The host intrusion step (S1) is a process in which intrusion from the outside to a plurality of hosts existing on the network, which is a threat on the network (DOS: Denial of service), sniffing, forgery (IP spoofing), avoidance (PPP, Source Routing), stop function (ICMP).
상기 블랙보드 갱신단계(S2)는 상기와 같은 위협요소로부터 침입을 받아 이를 감지하게 되면, 침입에 대한 정보를 해당 호스트에 의해 메인호스트(20)에 형성된 블랙보드(22)에 게재하여 기존 침입정보에 대한 갱신이 이루어진다.When the blackboard update step (S2) receives an intrusion from the threats as described above and detects the intrusion, the intrusion information is posted on the blackboard 22 formed on the main host 20 by the host. Updates are made to
상기 침입레벨 적용단계(S3)는 상기 호스트제어부(21)가 블랙보드(22)에 게재된 침입정보를 확인하여 기 설정된 침입으로 판별할 수 있는 기준인 임계값과 비교하고, 이를 침입수준에 따라 차등적으로 침입레벨을 설정한다.In the intrusion level application step (S3), the host controller 21 checks the intrusion information posted on the blackboard 22 and compares it with a threshold value that is a criterion that can be determined as a preset intrusion. Differently set the intrusion level.
상기 침입레벨 대응단계(S4)는 상기 침입레벨의 정도에 따라 해당 호스트로 유입되는 패킷이나 전체 네트워크로 유입되는 패킷을 차단하는 등의 대응조치를 위하게 된다.The intrusion level correspondence step (S4) is for countermeasures such as blocking packets flowing into the host or packets entering the entire network according to the level of the intrusion level.
도 4는 본 발명의 실시예에 따른 호스트침입에 대한 블랙보드기반의 네트워크 보안 시스템의 운용방법을 나타낸 흐름도이다. 도 4를 참조하여 설명하면, 먼저 다수의 호스트 중에서 하나의 호스트가 외부로부터 침입을 받게 되는 것을 기준으로 설명한다.4 is a flowchart illustrating a method of operating a blackboard-based network security system for host intrusion according to an embodiment of the present invention. Referring to FIG. 4, first, one host among a plurality of hosts will be described based on the intrusion from the outside.
외부로부터 A호스트(11)로 침입이 발생되면(S11), 상기 A호스트(11)는 침입된 사실이 발생되어 상기 블랙보드(22)에 이를 갱신하기 위해 호스트제어부(21)로 블랙보드 갱신 요구 메시지를 전송(S12)하는 블랙보드 갱신 요구 단계를 진행하고,When an intrusion occurs to the host A 11 from the outside (S11), the host A 11 is generated to invade the request to update the blackboard to the host controller 21 to update it to the blackboard 22 is generated. Proceed with the blackboard update request step of sending a message (S12),
상기 블랙보드 갱신 요구 메시지를 전송받은(S13) 호스트제어부(21)는 자신과 연계된 호스트임을 확인한 후, 블랙보드(21)에 침입정보를 갱신할 것을 허락하는 블랙보드 갱신 허락 메시지를 A호스트(11)에 전송(S14)하는 블랙보드 갱신 허락 단계를 진행하고,After receiving the blackboard update request message (S13), the host controller 21 confirms that the host is associated with itself, and then sends a blackboard update permission message to allow the blackboard 21 to update the intrusion information. 11) proceeds to the blackboard update permission step of transmitting (S14),
상기 블랙보드 갱신 허락 메시지를 전송받은(S15) A호스트(11)는 해당 침입정보 데이터를 작성하여(S16) 블랙보드(22)에 이를 전송하고(S17), 블랙보드(22)에 침입정보를 게재하게 되면(S18)(S19), A호스트(11)는 블랙보드 갱신 완료 메시지를 작성하여(S20) 이를 호스트제어부(21)에 전송(S21)하는 침입정보 게재 단계를 진행하고,The host 11 receiving the blackboard update permission message (S15) creates the intrusion information data (S16) and transmits it to the blackboard 22 (S17), and sends the intrusion information to the blackboard 22. When it is posted (S18) (S19), Host A 11 creates a blackboard update completion message (S20) and proceeds to intrusion information posting step of transmitting it to the host controller 21 (S21),
상기 블랙보드 게재 완료 메시지를 전달받은(S22) 호스트제어부(21)는 블랙보드(22)에 게재된 침입정보를 확인(S31)하는 침입정보 확인 단계를 진행하고,The host controller 21 receiving the blackboard posting completion message (S22) proceeds with the intrusion information checking step (S31) to confirm the intrusion information posted on the blackboard 22,
상기 블랙보드(22)에 게재된 침입정보 데이터를 수치로 환산한 후, 기 설정된 임계값 즉, 침입이라고 판단될 수 있는 기준값이며, 이는 과거 침입에 대한 누적된 자료들이나, 예상되는 데이터들을 가지고 수치적으로 산출된 것이며, 이 임계값과 비교하여(S32) 임계값보다 큰 값을 가지게 되면 침입이라고 판단되는 임계값 확인 단계를 진행하고, 상기 임계값보다 큰 수치일 경우 이를 침입이라고 판단하여 해당 호스트의 침입 레벨을 전이 시키는 즉, 레벨 수준을 상향 또는 하향 조정하는(S33) 호스트침입보드 레벨전이 단계를 진행하고,After converting the intrusion information data published on the blackboard 22 into a numerical value, it is a predetermined threshold value, that is, a reference value that can be determined as an intrusion, and this value is based on accumulated data on past intrusions or numerical value with expected data. If the value is larger than the threshold (S32), the threshold value determination step is determined to be an intrusion. If the value is larger than the threshold value, the host is determined to be an intrusion. The host intrusion board level transition step of transitioning the level of intrusion, that is, level up or down (S33),
상기의 A호스트(11)에 대한 레벨이 조정되면 이를 A호스트(11)를 제외한 나머지호스트(N호스트(13))에 블랙보드갱신 완료 방송 메시지를 전송하고(S51), N호스트(13)는 이를 수신 받아(S52), 블랙보드(22)에 접근한 후(S53), 블랙보드(22)에 게재된 A호스트(11)에 대한 침입정보를 검색 및 열람한 후(S54)(S55), 블랙보드 정보 검색 및 열람 완료 메시지를 작성하여 상기 호스트제어부(21)에 전송하는(S56) 블랙보드 검색 및 열람 단계를 진행한 후, 상기 블랙보드 열람 완료 메시지를 전송받은(S57) 호스트제어부(21)는 A호스트(11)의 침입정보에 따라 전체 호스트(13)의 레벨도 동일하게 전이시키고(S58), 이에 따른 호스트 침입 레벨을 처리한 후(S70), 메인호스트(20)와 다른 호스트(13)와의 접속을 종료하게 되며(S80), 또한, A호스트(11)에서 계속되는 침입이 발생되면(S81) 상기 (S11)과정을 다시 시작하게 된다.When the level of the host A 11 is adjusted, the blackboard update completion broadcast message is transmitted to the remaining hosts (N host 13) except for the host A 11 (S51). After receiving this (S52), after accessing the blackboard 22 (S53), after searching and reading intrusion information for the host A (11) posted on the blackboard 22 (S54) (S55), After the blackboard information search and reading completion message is created and transmitted to the host control unit 21 (S56), the board searching and viewing step is performed, and the blackboard reading completion message is received (S57). In accordance with the intrusion information of the host A 11, the level of the entire host 13 is also changed in the same manner (S58), and after processing the host intrusion level accordingly (S70), the host other than the main host 20 ( 13 is terminated (S80), and if the intrusion continues in the host A (11) (S81) and (S11) and The will start again.
한편, 상기 내용 중 호스트 침입 레벨의 처리과정(S70)은 다음 도 5에서 설명하겠다.On the other hand, the process of processing the host intrusion level (S70) of the above will be described in FIG.
도 5는 본 발명의 실시예에 따른 호스트 침입레벨 처리단계를 나타낸 흐름도이다. 도 5를 참조하여 설명하면, 상기 호스트제어부(21)는 블랙보드(22)에 형성된 블랙보드 호스트 침입보드(23)를 확인(S71)하는 호스트침입보드 확인 단계를 진행한 후, 상기 호스트 침입 레벨을 확인함 후, 상기 침입 레벨 중 침입심각레벨을 확인하는(S72) 침입심각레벨 확인 단계를 진행하고, 상기 침입 받고 있던 A호스트(11)로 유입되는 모든 패킷을 방화벽에 의해 차단하는(S73) 패킷차단 단계로 진행한다.5 is a flowchart illustrating a host intrusion level processing step according to an embodiment of the present invention. Referring to FIG. 5, the host controller 21 performs a host intrusion board verification step of confirming (S71) the blackboard host intrusion board 23 formed on the black board 22, and then the host intrusion level. After confirming, the intrusion severity level of the intrusion level is checked (S72) and proceeds to the intrusion severity level checking step, and all packets flowing into the host A that was invaded by the firewall (S73). Proceed to the packet blocking step.
도 6은 본 발명의 실시예에 따른 네트워크 침입에 대한 블랙보드기반의 네트워크 보안 시스템의 운용방법을 나타낸 흐름도이다. 도 6을 참조하여 설명하면, 상기 도 4에서 설명한 호스트로의 침입에 대한 과정이 다수의 호스트에 적용되는 경우이기 때문에 상기 도 4의 과정을 일부 과정을 반복적으로 진행하게 된다.6 is a flowchart illustrating a method of operating a blackboard-based network security system against network intrusion according to an embodiment of the present invention. Referring to FIG. 6, since the process of intrusion into the host described with reference to FIG. 4 is applied to a plurality of hosts, the process of FIG. 4 is repeatedly performed.
상기 도 4에서의 (S11)에서부터 (S58)까지의 과정을 도 6에서는 A호스트(11)의 진행과정(S11')에서 (S58')까지 및 B호스트(12)의 진행과정(S11")에서 (S58")까지에 적용되며, 도 6에서는 상기 A호스트(11)의 진행과정 이후에 B호스트(12)의 진행과정이 진행된 것을 나타내었지만 외부로부터의 침입은 불규칙하며, 동시 다발적으로 발생될 수 있기 때문에 A호스트(11)이 진행과정과 B호스트(12) 진행과정은 시간 차이를 두고 진행됨은 너무나도 자명한 일일 것이다.The process from (S11) to (S58) in FIG. 4 is the process (S11 ') to (S58') of host A (11) and the process (S11 ") of host B (12) in FIG. To (S58 "), but in FIG. 6, the progress of the host B 12 is performed after the process of the host A 11, but the intrusion from the outside is irregular and occurs simultaneously. Since the process of host A 11 and the process of host B 12 progress with time difference, it would be too obvious.
도 6에서의 진행과정 중 (S11')에서부터 (S58")까지의 진행과정의 자세한 설명은 생략하였고, 그 다음의 진행과정은 상기 A호스트(11)와 B호스트(12)로 인한 호스트 레벨에 따라 네트워크 레벨을 결정하며, 이에 따른 네트워크 레벨을 바탕으로 침입레벨에 대한 처리과정을 진행 한 후(S100), 상호간의 접속을 종료하며(S200), 이후 또 다른 A호스트로(11)의 침입이나(S201), B호스트로(12)의 침입이 발생하는지를 확인(S202)한 후, 각각 (S11")로 진행 하거나 (S11")로 진행하게 된다. 이때, 상기 네트워크 침입레벨처리과정은 다음의 도 7에서 설명하기로 한다.Detailed description of the process from (S11 ') to (S58 ") is omitted in the process in FIG. 6, and the following process is performed at the host level due to the host A (11) and host B (12). The network level is determined accordingly, and after processing the intrusion level based on the network level accordingly (S100), the connection between them is terminated (S200). In step S201, after checking whether the intrusion of the host B 12 occurs (S202), the process proceeds to (S11 ") or (S11"), respectively. This will be described with reference to FIG. 7.
도 7은 본 발명의 실시예에 따른 네트워크 침입레벨 처리단계를 나타낸 흐름도이다. 도 7을 참조하여 설명하면, 호스트제어부(21)는 네트워크침입레벨이 전이된 상태를 상기 블랙보드(20)의 네트워크침입보드(24)를 확인하는(S101) 네트워크침입보드 확인단계를 진행하고, A호스트(11)와 B호스트(12)의 침입이 발생된 것이라면 즉, 2 이상의 호스트 침입이 발생된 것이라면(S102), A호스트(11)와 B호스트(12)의 침입레벨을 비교하여(S103) 양쪽이 다르면, 상기 A호스트(11) 및 B호스트(12)의 침입레벨 중 가장 높은 침입레벨로 전체호스트(13)의 네트워크 침입레벨을 전이시키거나(S104), 만일 양쪽 침입레벨이 같다면(S103) 해당 침입레벨로 네트워크 침입레벨을 전이시키는(S105) 네트워크침입보드 레벨전이단계로 진행하고,7 is a flowchart illustrating a network intrusion level processing step according to an embodiment of the present invention. Referring to FIG. 7, the host controller 21 checks the network intrusion board 24 of the black board 20 in a state where the network intrusion level is transitioned (S101), and performs a network intrusion board check step. If the intrusion of the host A 11 and the host B 12 occurs, that is, if two or more host intrusions occur (S102), the intrusion level of the host A 11 and the host B 12 is compared (S103). If both sides are different, the network intrusion level of the entire host 13 is transferred to the highest intrusion level among the intrusion levels of the host A 11 and the host B 12 (S104), or if both intrusion levels are the same. (S103) the network intrusion board level transition step of transitioning the network intrusion level to the intrusion level (S105),
상기 블랙보드(22)의 네트워크침입보드(24)의 레벨이 전이 된 정보를 다른 호스트(13)들이 검색 및 열람할 수 있도록 해당 정보 검색 및 열람메시지를 다른 호스트(N호스트(13))에 전송한 후(S110), N호스트(13)는 상기 블랙보드(22)에 접속하여 블랙보드 검색 및 열람을 수행한 후(S111), 상기 호스트제어부(21)에 블랙보드 정보 검색 및 열람 완료 메시지를 전송하는(S112) 블랙보드 정보 검색 및 열람 단계를 진행하고,The corresponding information search and reading message is transmitted to another host (N host 13) so that other hosts 13 can search and read the information whose level of the network intrusion board 24 of the blackboard 22 is transferred. After (S110), the N-host 13 is connected to the blackboard 22 to perform a blackboard search and reading (S111), and then to the host controller 21 retrieves a blackboard information search and reading completion message To proceed (S112) to search and view the blackboard information,
상기 네트워크침입보드(24)의 레벨이 침입주의레벨임이 확인되는(S120) 침입레벨확인단계를 진행하면, 상기 침입 받는 호스트(11,12)로 유입되는 패킷을 차단하는(S121), 패킷차단 단계로 진행할 뿐만 아니라, 상기 네트워크침입보드(24)의 레벨이 침입심각레벨임이 확인되는(S122), 침입레벨확인단계를 진행하면, 상기 메인호스트(20)를 포함한 전체 네트워크(11,12,13)에 유입되는 모든 패킷을 방화벽에 의해 차단하는(S123) 패킷차단 단계로 진행된다.When the level of the network intrusion board 24 is confirmed that the level of intrusion attention (S120) proceeds to the intrusion level checking step, blocking the packets flowing into the host (11, 12) to be invaded (S121), packet blocking step In addition to proceeding to, the network intrusion board 24 is confirmed that the level of the intrusion serious level (S122), when the intrusion level checking step, the entire network (11, 12, 13) including the main host 20 The packet blocking step of blocking all packets introduced into the network by the firewall (S123) is performed.
상술한 바와 같이, 본 발명에 따른 블랙보드기반의 네트워크 보안 시스템 및 이의 운용방법은, 다양한 네트워크 보안 시스템의 평가를 효과적으로 수행 할 수 있는 환경을 제공하고, 본 발명을 통해 보안 시스템 간의 통신을 원활히 수행할 수 있으며, 블랙보드의 레벨에 따른 시스템의 대응이 용이하다는 장점이 존재하며, 또한, 제공되는 시뮬레이션 환경을 통해 다양한 네트워크의 환경 및 반복적인 시뮬레이션을 통해 보안 시스템의 성능을 평가하기에 유리한 장점이 존재할 뿐만 아니라,시뮬레이션을 통해 실제 침입에 대한 감시, 결과 예측 및 대처 방안을 도출하는데 사용될 수 있으므로 실제 네트워크에서 운용되는 보안 시스템의 환경 설정에 적용할 수 있으며, 많은 양의 데이터를 처리하는 보안 시스템의 평가를 시뮬레이션 모델을 통해서 수행하게 되면 많은 시간과 비용의 절감 효과를 가져 올 수 있는 장점이 존재한다.As described above, the blackboard-based network security system and its operation method according to the present invention provides an environment that can effectively evaluate various network security systems, and smoothly performs communication between security systems through the present invention. In addition, there is an advantage that it is easy to respond to the system according to the level of the blackboard. Also, it is advantageous to evaluate the performance of the security system through the environment and iterative simulation of various networks through the provided simulation environment. Not only exists, but it can be used to derive surveillance, predict the result, and cope with the real intrusion through simulation, so that it can be applied to the configuration of the security system operating in the actual network, and it can be applied to the security system that processes a large amount of data. Evaluate via simulation model This advantage can bring savings of time and money if it exists.
본 발명은 상술한 실시예에 한정되지 않으며, 본 발명의 기술적 사상 내에서 당 분야의 통상의 지식을 가진 자에 의하여 많은 변형이 가능함은 명백할 것이다.The present invention is not limited to the above-described embodiments, and it will be apparent that many modifications are possible by those skilled in the art within the technical spirit of the present invention.
Claims (19)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2002-0070189A KR100447896B1 (en) | 2002-11-12 | 2002-11-12 | network security system based on black-board, and method for as the same |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2002-0070189A KR100447896B1 (en) | 2002-11-12 | 2002-11-12 | network security system based on black-board, and method for as the same |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20040042064A true KR20040042064A (en) | 2004-05-20 |
KR100447896B1 KR100447896B1 (en) | 2004-09-10 |
Family
ID=37338892
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR10-2002-0070189A KR100447896B1 (en) | 2002-11-12 | 2002-11-12 | network security system based on black-board, and method for as the same |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100447896B1 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100862194B1 (en) * | 2007-04-06 | 2008-10-09 | 한국전자통신연구원 | Apparatus and method for sharing accident of infringement, and network security system comprising it |
CN101001242B (en) * | 2006-01-10 | 2011-04-20 | 中兴通讯股份有限公司 | Method of network equipment invaded detection |
KR101252812B1 (en) * | 2006-04-25 | 2013-04-12 | 주식회사 엘지씨엔에스 | Network security device and method for controlling of packet data using the same |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20000010253A (en) * | 1998-07-31 | 2000-02-15 | 최종욱 | Trespass detection system and module of trespass detection system using arbitrator agent |
KR100310860B1 (en) * | 1998-12-17 | 2001-11-22 | 이계철 | Method for detecting real-time intrusion using agent structure on real-time intrustion detecting system |
KR20010105490A (en) * | 2000-05-10 | 2001-11-29 | 이영아 | Hacking detection and chase system |
KR20000054538A (en) * | 2000-06-10 | 2000-09-05 | 김주영 | System and method for intrusion detection in network and it's readable record medium by computer |
KR100422802B1 (en) * | 2001-09-05 | 2004-03-12 | 한국전자통신연구원 | Security System against intrusion among networks and the method |
KR100578506B1 (en) * | 2001-12-13 | 2006-05-12 | 주식회사 이글루시큐리티 | Intrusion Detection Method for Inferring Risk Level |
KR20030056652A (en) * | 2001-12-28 | 2003-07-04 | 한국전자통신연구원 | Blacklist management apparatus in a policy-based network security management system and its proceeding method |
-
2002
- 2002-11-12 KR KR10-2002-0070189A patent/KR100447896B1/en not_active IP Right Cessation
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101001242B (en) * | 2006-01-10 | 2011-04-20 | 中兴通讯股份有限公司 | Method of network equipment invaded detection |
KR101252812B1 (en) * | 2006-04-25 | 2013-04-12 | 주식회사 엘지씨엔에스 | Network security device and method for controlling of packet data using the same |
KR100862194B1 (en) * | 2007-04-06 | 2008-10-09 | 한국전자통신연구원 | Apparatus and method for sharing accident of infringement, and network security system comprising it |
Also Published As
Publication number | Publication date |
---|---|
KR100447896B1 (en) | 2004-09-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101369727B1 (en) | Apparatus and method for controlling traffic based on captcha | |
US7549166B2 (en) | Defense mechanism for server farm | |
US20050283831A1 (en) | Security system and method using server security solution and network security solution | |
JP4684802B2 (en) | Enable network devices in a virtual network to communicate while network communication is restricted due to security threats | |
US20020023227A1 (en) | Systems and methods for distributed network protection | |
US20090106838A1 (en) | Blocking Intrusion Attacks at an Offending Host | |
CN101355459B (en) | Method for monitoring network based on credible protocol | |
JP2008152791A (en) | Filtering device, filtering method, and program for making computer execute the method | |
KR100789504B1 (en) | Method of communications and communication network intrusion protection methods and intrusion attempt detection system | |
WO2017034072A1 (en) | Network security system and security method | |
CN108183921B (en) | System and method for information security threat interruption via border gateway | |
JP2004302538A (en) | Network security system and network security management method | |
US20110023088A1 (en) | Flow-based dynamic access control system and method | |
TW201421936A (en) | Method for distinguishing and blocking off network node | |
US7565690B2 (en) | Intrusion detection | |
KR20110131627A (en) | Apparatus for detecting malicious code using structure and characteristic of file, and terminal thereof | |
KR100447896B1 (en) | network security system based on black-board, and method for as the same | |
KR101343693B1 (en) | Network security system and method for process thereof | |
EP1378813A2 (en) | Security policy enforcement systems | |
KR101977612B1 (en) | Apparatus and method for network management | |
KR101663935B1 (en) | System and method for protecting against phishing and pharming | |
CN108768996A (en) | A kind of detection guard system of SQL injection attack | |
KR101997181B1 (en) | Apparatus for managing domain name servide and method thereof | |
Choi | IoT (Internet of Things) based Solution Trend Identification and Analysis Research | |
Xiao | Research on computer network information security based on big data technology |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20080801 Year of fee payment: 5 |
|
LAPS | Lapse due to unpaid annual fee |