KR100404321B1 - 인터넷 호스트 시스템의 보안 평가 시스템 및 방법 - Google Patents

인터넷 호스트 시스템의 보안 평가 시스템 및 방법 Download PDF

Info

Publication number
KR100404321B1
KR100404321B1 KR10-2000-0082811A KR20000082811A KR100404321B1 KR 100404321 B1 KR100404321 B1 KR 100404321B1 KR 20000082811 A KR20000082811 A KR 20000082811A KR 100404321 B1 KR100404321 B1 KR 100404321B1
Authority
KR
South Korea
Prior art keywords
evaluation
rule
data
agent
security
Prior art date
Application number
KR10-2000-0082811A
Other languages
English (en)
Other versions
KR20020054115A (ko
Inventor
김상춘
이종태
현정식
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2000-0082811A priority Critical patent/KR100404321B1/ko
Publication of KR20020054115A publication Critical patent/KR20020054115A/ko
Application granted granted Critical
Publication of KR100404321B1 publication Critical patent/KR100404321B1/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 인터넷에서 정보 보호 서비스를 제공하기 위하여 IPsec(IP security) 서비스를 제공하는 인터넷 호스트 시스템의 보안성을 평가하기 위한 방법을 구조적으로 모델링하기 위한 보안 평가 시스템 및 방법에 관한 것이다.
본 발명에 따르면, 사용자 인증을 수행하고, 원격지의 호스트에서 수행되는 에이전트(Agent)에 대한 사항 및 평가 규칙에 의하여 수행되는 모듈에 대한 사항을 등록하는 기능을 수행하는 시스템 구성(System configuration) 블록; 상기 에이전트에서 전송한 데이터에 대한 테이블 생성 및 데이터 추가 기능을 수행하고, 규칙 데이터(Rule Data)에 평가 규칙(Evaluation Rule)을 정의하거나 수정 및 삭제하는 기능을 수행하는 데이터베이스 관리(Database Control) 블록; 및 상기 데이터베이스 관리 블록에서 정의된 평가 규칙을 상기 규칙 데이터로부터 읽어 들여 수행 절차에 따른 수행 명령들을 해석하고 실행하는 규칙 해석(Rule Interpreter) 블록;을 포함하여 이루어진 것을 특징으로 하는 보안 평가 시스템이 제공된다.

Description

인터넷 호스트 시스템의 보안 평가 시스템 및 방법 {System and method for security evaluation of internet host system}
본 발명은 인터넷 호스트 시스템의 보안 평가 시스템 및 방법에 관한 것으로서, 보다 상세하게 설명하면 인터넷에서 정보 보호 서비스를 제공하기 위하여 IPsec 서비스를 제공하는 인터넷 호스트 시스템의 보안성을 평가하기 위한 방법을 구조적으로 모델링하기 위한 보안 평가 시스템 및 방법에 관한 것이다.
본 발명은, 인터넷에서 정보보호 서비스를 제공하기 위하여 IPsec(IP Security) 서비스를 제공하는 인터넷 호스트 시스템의 보안성을 평가하기 위한 보안평가 시스템의 구조 및 구현 방법에 관한 것이다.
현재, 인터넷의 활성화로 정보 보호 서비스에 대한 중요성이 점차 증가하면서 인터넷에서 정보 보호 서비스를 제공하기 위한 IPsec에서 패킷 보호 기능을 제공하는 인터넷 호스트 시스템에 대한 연구가 활발히 진행되고 있으며, 일부 특정 도메인에 적합한 상용 제품도 나와 있는 실정이다.
그러나, 전반적으로 인터넷 호스트 시스템에 대한 연구는 초창기에 불과하며, 특히 IPsec에서 패킷 보호 기능을 제공하는 시스템에 대한 연구는 물론 그 시스템의 보안성을 평가하는 방법론 등에 관한 연구도 전무한 실정이다.
따라서, 이러한 분야에 대한 연구가 활성화된다면, 안전성을 고려한 인터넷 호스트 시스템을 개발하는데 많은 도움을 줄 수 있으며, 기존에 개발된 시스템들에 대한 보안성을 평가할 수 있기 때문에 보다 안전성을 고려한 시스템으로 구현시킬 수 있어, 이에 대한 연구가 필수적으로 요구된다.
따라서, 본 발명은 상기와 같은 종래 기술의 문제점을 해결하기 위한 것으로서, 본 발명의 목적은 인터넷에서 정보 보호 서비스를 제공하기 위하여 IPsec 서비스를 제공하는 인터넷 호스트 시스템에서 패킷 보호 기능을 제공하기 위해 생성되는 패킷 정보로부터 보안 평가 방법의 구현에 필요한 여러 가지 정보들을 용이하게 획득하기 위해 사용되는 프로토콜을 식별하여 패킷 정보를 수집 분석하여 위협을 도출할 수 있는 구조적인 모델링을 위한 시스템 구조 및 그 방법을 제공하는데 그 목적이 있다.
도 1은 본 발명에 이용되는 시스템 프레임 워크의 다이어그램간의 관계를 개략적으로 나타낸 구성도이고,
도 2는 도 1에 도시된 시스템 구성(System Configuration) 블록의 상세 구조도이고,
도 3은 도 1에 도시된 데이터베이스 제어 블록의 상세 구조도이고,
도 4는 도 1에 도시된 규칙 해석 블록의 상세 구조도이고,
도 5는 본 발명에서 이용되는 보안 평가 시스템의 전체적인 프레임워크 중 평가 규칙을 저장하는 DBMS의 규칙 데이터의 필드 구조도이다.
※ 도면의 주요 부분에 대한 부호의 설명 ※
201 : 접근 제어부(Access Control)
202 : 에이젼트 등록부(Agent Register)
203 : 모듈 등록부(Module Register)
204 : 평가 제어부(Evaluation Control)
205 : 디렉토리 설정부(Directory Setup)
301 : 규칙 데이터베이스 제어부(Rule Database Control)
302 : 수집 데이터 제어부(Collection Data Control)
401 : 흐름 제어부(Flow Control)
402 : SQL 핸들러부(SQL Handler)
403 : 모듈 핸들러부(Module Handler)
404 : 커맨드 핸들러부(Command Handler)
상기한 목적을 달성하기 위한 본 발명에 따르면, 인터넷에서 정보 보호 서비스를 제공하기 위하여 IPsec(IP security) 서비스를 제공하는 인터넷 호스트 시스템의 보안 평가 시스템에 있어서, 관리 권한을 가진 관리자에 의하여 사용자 인증을 수행하고, 원격지의 호스트에서 수행되는 에이전트(Agent)에 대한 사항 및 평가 규칙에 의하여 수행되는 모듈에 대한 사항을 등록하는 기능을 수행하는 시스템 구성(System configuration) 블록; 상기 에이전트에서 전송한 데이터에 대한 테이블 생성 및 데이터 추가 기능을 수행하고, 규칙 데이터(Rule Data)에 평가 규칙(Evaluation Rule)을 정의하거나 수정 및 삭제하는 기능을 수행하는 데이터베이스 관리(Database Control) 블록; 및 상기 데이터베이스 관리 블록에서 정의된 평가 규칙을 상기 규칙 데이터로부터 읽어 들여 수행 절차에 따른 수행 명령들을 해석하고 실행하는 규칙 해석(Rule Interpreter) 블록;을 포함하여 이루어진 것을 특징으로 하는 보안 평가 시스템이 제공된다.
또한, 시스템 구성(System configuration) 블록, 데이터베이스 관리(Database Control) 블록 및 규칙 해석(Rule Interpreter) 블록을 포함하는 보안 평가 시스템에 있어서, 상기 시스템 구성 블록은, 사용자 인증을 수행하는 접근 제어부(Access Control); 상기 접근 제어부에 의하여 사용자 인증이 수행되면, 에이전트(Agent)에 대한 사항을 등록하고, 현재 에이전트가 설치되어 있는 호스트 IP(Internet Protocol) 등록을 수행하는 에이전트 등록부(Agent Register); 평가 규칙에서 사용하게 될 각각의 모듈에 대한 사항을 등록하는 모듈 등록부(ModuleRegister); 및 현재 에이전트가 설치된 호스트들과 평가 시스템간의 네트워크 지도(Network Map)을 관리자에게 제공하고, 실제 평가를 수행할 호스트를 선택하는 평가 제어부(Evaluation Control);를 포함하여 이루어진 것을 특징으로 하는 보안 평가 시스템이 제공된다.
또한, 시스템 구성(System configuration) 블록, 데이터베이스 관리(Database Control) 블록 및 규칙 해석(Rule Interpreter) 블록을 포함하는 보안 평가 시스템에 있어서, 상기 데이터베이스 관리 블록은, 평가 규칙을 정의하거나 수정 및 삭제하는 기능을 수행하고, 상기 평가 규칙에서 사용하는 패킷 데이터를 생성하는 규칙 데이터베이스 제어부(Rule Database Control); 및 실제 평가 수행시 상기 평가 규칙에 의하여 수행되는 에이전트에 의하여 전송하는 데이터를 수신하는 수집 데이터 제어부(Collection Data Control);를 포함하여 이루어진 것을 특징으로 하는 보안 평가 시스템이 제공된다.
또한, 시스템 구성(System configuration) 블록, 데이터베이스 관리(Database Control) 블록 및 규칙 해석(Rule Interpreter) 블록을 포함하는 보안 평가 시스템에 있어서, 상기 규칙 해석 블록은, 규칙 데이터에서 평가 규칙을 읽어 들여 일정한 순서에 의하여 평가 규칙을 수행하는 흐름 제어부(Flow Control); 상기 평가 규칙에 있는 수집 데이터에 대하여 SQL 명령을 실행하는 SQL 핸들러부(SQL Handler); 현재 등록되어 있는 모듈을 상기 평가 규칙에서 사용할 수 있도록 해주는 모듈 핸들러부(Module Handler); 및 상기 평가 규칙에서 사용하는 명령어들을 실행하는 커맨드 핸들러부(Command Handler);를 포함하여 이루어진 것을 특징으로 하는 보안 평가 시스템이 제공된다.
또한, 인터넷에서 정보 보호 서비스를 제공하기 위하여 IPsec 서비스를 제공하는 인터넷 호스트 시스템의 보안 평가 방법에 있어서, 관리 권한을 가진 관리자에 의하여 사용자 인증을 수행하고, 원격지의 호스트에서 수행되는 에이전트(Agent)에 대한 사항 및 평가 규칙에 의하여 수행되는 모듈에 대한 사항을 등록하고, 규칙 데이터(Rule Data)에 평가 규칙을 정의, 수정 및 삭제하는 제 1 단계; 평가 대상 호스트의 선택 및 평가 적용 범위 선택 등의 실제 평가에 필요한 사항을 입력받아, 상기 에이전트에서 전송한 데이터에 대한 테이블 생성 및 데이터 추가 기능을 수행하는 제 2 단계; 및 상기 평가 규칙을 상기 규칙 데이터로부터 읽어 들여, 수행 절차에 따라 수행 명령을 해석하고 실행하는 제 3 단계;를 포함하여 이루어진 것을 특징으로 하는 보안 평가 방법이 제공된다.
또한, 컴퓨터에, 관리 권한을 가진 관리자에 의하여 사용자 인증을 수행하고, 원격지의 호스트에서 수행되는 에이전트(Agent)에 대한 사항 및 평가 규칙에 의하여 수행되는 모듈에 대한 사항을 등록하고, 규칙 데이터(Rule Data)에 평가 규칙을 정의, 수정 및 삭제하는 제 1 단계; 평가 대상 호스트의 선택 및 평가 적용 범위 선택 등의 실제 평가에 필요한 사항을 입력받아, 상기 에이전트에서 전송한 데이터에 대한 테이블 생성 및 데이터 추가 기능을 수행하는 제 2 단계; 및 상기 평가 규칙을 상기 규칙 데이터로부터 읽어 들여, 수행 절차에 따라 수행 명령을 해석하고 실행하는 제 3 단계;를 포함하여 이루어진 것을 실행시킬 수 있는 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록 매체가 제공된다.
상기 목적을 달성하기 위한 본 발명의 구조 중, 시스템 구성(System Configuration) 블록은 보안 평가 시스템이 관리 권한을 가진 관리자에 의해 사용될 수 있도록 사용자 인증을 수행하고, 원격지의 호스트에서 수행되는 에이전트(Agent)에 대한 사항과 평가 규칙에 의해 수행되는 모듈에 대한 사항을 등록한다. 그리고, 평가 대상 호스트의 선택 및 평가 적용 범위 선택과 같은 실제 평가에 필요한 사항들을 입력받게 된다.
데이터베이스 관리(Database Control) 블록에서는 에이전트에서 전송한 데이터에 대한 테이블 생성 및 데이터 추가 기능을 수행하고, 규칙 데이터(Rule Data)에 평가 규칙을 정의하거나 수정 및 삭제하는 기능을 수행한다.
규칙 해석(Rule Interpreter) 블록에서는 평가 규칙을 규칙 데이터에서 읽고, 수행 절차에 따라 수행 명령들을 해석하고 실행한다.
보안 평가 방법의 시스템 구조 및 그 방법을 개략적으로 살펴보면 다음과 같다.
먼저, 상기 시스템 구성 블록을 구성하는 각 모듈은 다음과 같이 수행한다.
접근 제어(Access Control)부에서는 사용자 인증을 수행하는 부분으로, 관리 패스워드를 입력받아 인증을 거친 후, 보안 평가 시스템 사용을 허가하고, 관리 패스워드의 변경을 수행한다.
에이전트 등록(Agent Register)부에서는 에이전트에 대한 사항을 등록하는 곳으로 에이전트 명, 에이전트 타입, 에이전트 타입에 따른 데이터베이스 이름, 현재 에이전트가 설치되어 있는 호스트 IP 등록을 수행한다. 에이전트 타입에는 에이전트가 설치된 호스트에서 데이터를 수집하여 전송해 주는 'Data Collection' 타입 및 호스트에서 직접 취약점 확인을 수행하는 'Vulnerability Confirmation' 타입이 있다. 이들 중 'Data Collection' 타입만이 데이터베이스 이름을 입력 받는다. 호스트 IP(Internet Protocol) 등록은 에이전트가 설치된 호스트 IP와 설치 경로를 지정하게 된다.
모듈 등록(Module Register)부에서는 평가 규칙에서 사용하게 될 각각의 모듈에 대한 사항을 등록하는 곳으로 모듈 명, 모듈 설치 경로, 모듈에 대한 설명을 등록한다.
평가 제어(Evaluation Control)부에서는 현재 에이전트가 설치된 호스트들과 평가 시스템간의 네트워크 지도(Network Map)를 관리자에게 제시하고, 실제 평가를 수행할 호스트들을 선택한다. 그리고, 현재 규칙 데이터에 등록되어 있는 규칙 중 어떤 평가를 수행할 것인지에 대한 평가 범위를 선택한다. 모든 선택이 종료되면, 관리자에게 평가 수행 여부를 질의하고, 이에 대해 평가를 수행한다.
디렉토리 설정(Directory Setup)부에서는 평가 규칙 수행시 사용되는 임시 데이터와 관리자가 임의적으로 만든 패킷(Packet) 데이터가 저장될 디렉토리 경로(Directory Path)를 정의한다.
데이터베이스 관리(Database Control) 블록을 구성하는 각 모듈은 다음과 같이 수행한다.
규칙 데이터베이스 제어(Rule DB Control)부에서는 관리자가 평가 규칙을 정의하거나 수정 및 삭제하는 기능을 수행하고, 평가 규칙에서 사용하는 패킷 데이터를 생성한다.
수집 데이터 제어(Collection Data Control)부에서는 실제 평가 수행시 평가규칙에 의해 수행되는 에이전트에 의해 전송하는 데이터를 소켓 핸들러(Socket Handler)에 의해 수신한다. 그리고, 수행되는 에이전트와 관련된 데이터베이스 이름에 수행 시간을 추가하여 데이터베이스를 생성하고, 수신된 데이터 형태에 맞는 테이블(Table)을 자동 생성한 후, 데이터들을 수집 데이터(Collection Data)에 저장한다.
규칙 해석(Rule Interpreter) 블록을 구성하는 각 모듈은 다음과 같이 수행한다.
흐름 제어(Flow Control)부에서는 규칙 데이터에서 평가 규칙을 읽고, 일정한 순서에 의해 규칙을 수행한다.
SQL 핸들러(Handler)부에서는 평가 규칙에 있는 Collection Data에 대해 SQL명령을 실행하고, 그 결과를 임시 데이터(Temp Data)에 저장하여 다음 평가 규칙에서 사용하거나 커맨드 핸들러부(Command Handler)를 통해 파일에 저장하여 모듈이 그 파일을 사용할 수 있게 한다.
모듈 핸들러(Module Handler)부에서는 현재 등록되어 있는 모듈을 평가 규칙에서 사용할 수 있도록 해준다. 만약, 등록되어 있지 않은 모듈에 대해 평가 규칙이 모듈 실행을 요구할 경우에는 이에 해당하는 에러 메시지를 출력한다.
커맨드 핸들러(Command Handler)부에서는 평가 규칙에서 사용하는 명령어들을 실행한다. 실행 결과는 파일이나 GUI(Graphic User Interface)화면으로 출력된다.
이하, 첨부된 도면을 참조하면서 본 발명의 일 실시예에 따른 ~~~를 보다 상세하게 설명하기로 한다.
도 1은 본 발명에 이용되는 시스템 프레임 워크의 다이어그램간의 관계를 개략적으로 나타낸 구성도이고, 도 2는 도 1에 도시된 시스템 구성(System Configuration) 블록의 상세 구조도이며, 도 3은 도 1에 도시된 데이터베이스 제어 블록의 상세 구조도이고, 도 4는 도 1에 도시된 규칙 해석 블록의 상세 구조도로서, 이를 상세히 설명하면, 다음과 같다.
도 1은 관리자가 자바(Java) 인터페이스를 통해 평가에 필요한 전반적인 사항을 설정하고 수행하는 GUI 다이어그램, 평가에 필요한 데이터를 저장하고 관리하는 데이터베이스 관리 시스템 (Database Management System 이하 DBMS), 평가 규칙 수행에 필요한 수행 모듈 블록, 에이전트 및 수행 모듈이 네트워크상에 데이터를 송수신할 수 있게 해주는 소켓 핸들러(Socket Handler)간의 관계를 보여주고 있다.
프레임 워크의 수행 과정을 살펴보면, 관리자가 자바 인터페이스를 통해 GUI 다이어그램내의 시스템 구성 블록(도 2)에서 평가와 관련된 전반적인 사항들을 기입하고, 데이터베이스 제어 블록(도 3)에서 평가 규칙을 입력한다. 모든 설정이 종료되면, 상기 시스템 구성 블록(도 2)에서 관리자의 요청에 의해 평가를 시작한다. 일단 평가가 시작되면, GUI 다이어그램내의 상기 규칙 해석 블록(도 4)에서 DBMS에 저장되어있는 규칙 데이터를 가져오고, 일정한 순서에 의거하여 평가 규칙을 해석하고, 그와 관련된 작업을 수행한다. 만일, 평가 규칙이 원격지의 호스트로부터 데이터 수집을 명하면, 상기 규칙 해석 블록(도 4)이 데이터 수집 에이전트의 실행을 명하고, 상기 데이터 수집 에이전트는 데이터를 도 1에 도시된 소켓 핸들러를 통해 상기 데이터베이스 제어 블록(도 3)에 넘겨 준다.
데이터를 넘겨받은 상기 데이터베이스 제어 블록(도 3)은 해당 데이터베이스를 자동 생성하고, 해당 데이터를 DBMS의 수집 데이터에 저장한다. 또한, 평가 규칙이 데이터 분석을 명하면, 상기 규칙 해석 블록(도 4)은 상기 데이터베이스 제어 블록(도 3)을 통해 DBMS의 수집 데이터를 분석하고, 그 결과를 DBMS의 임시 데이터나 파일에 저장한다.
마지막으로 평가 규칙이 수행 모듈의 실행을 요구할 경우에는 상기 규칙 해석 블록(도 4)이 수행 모듈 블록의 모듈을 실행시킨다. 모듈이 통신을 수행할 경우에는 상기 소켓 핸들러를 통해 통신을 수행한다. 그 외 각 평가 규칙의 적용이 종료되면, 상기 규칙 해석 블록(도 4)이 그에 해당되는 결과를 상기 데이터베이스 제어 블록(도 3)을 통해 DBMS의 결과 데이터(Result Data)에 저장한다.
도 2는 본 발명에서 이용되는 보안평가 시스템의 전체적인 프레임 워크 중 시스템 구성(System Configuration) 블록의 기능 구성도로서, 시스템의 사용 권한에 대한 사용자 인증을 수행하고 관리하는 접근 제어부(Access Control, 201), 에이전트의 전반적인 사항을 등록하고 관리하는 에이전트 등록부(Agent Register, 202), 평가 규칙에서 사용될 수행 모듈의 전반적인 사항을 등록하고 관리하는 모듈 등록부(Module Register, 203), 실제 평가를 수행할 호스트와 규칙을 선정하고 평가 수행을 시작하는 평가 제어부(Evaluation Control, 204), 기타 평가와 관련된 디렉토리를 설정하는 디렉토리 설정부(Directory Setup, 205)로 구성된다. 이들 각 부는 상호 독립적으로 수행되므로 서로간의 상관 관계는 존재하지 않는다.
도 3은 본 발명에서 이용되는 보안 평가 시스템의 전체적인 프레임워크 중 데이터베이스 제어(Database Control) 블록의 기능 구성도로서, 관리자가 자바 인터페이스를 통해 평가 규칙을 관리하는 규칙 데이터베이스 제어부(Rule Database Control, 301)와 평가 규칙에 의해 수행된 에이전트로부터 수신된 데이터를 저장하는 수집 데이터 제어(Collection Data Control, 302)부로 구성된다.
각 부의 수행 과정을 살펴보면, 관리자는 자바 인터페이스를 통해 규칙 데이터에 저장되어 있는 평가 규칙을 상기 규칙 데이터베이스 제어부(301)를 통해 생성하거나 수정, 삭제할 수 있다. 이때, 평가 규칙에서 사용하는 모듈과 에이전트는 도 2에 도시되어 있는 상기 시스템 구성 블록에서 미리 등록하여야 한다. 상기 수집 데이터 제어부(302)는 평가 규칙에 의해 수행된 에이전트로부터 전송된 데이터가 상기 소켓 핸들러를 통해 수신되면, 데이터의 타입을 분석하여 이에 해당하는 데이터베이스와 테이블을 자동 생성하여 DBMS의 수집 데이터에 저장한다.
도 4는 본 발명에서 이용되는 보안 평가 시스템의 전체적인 프레임워크 중 규칙 해석(Rule Interpreter) 블록의 기능 구성도로서, 평가 규칙의 수행 순서를 제어하는 흐름 제어부(Flow Control, 401), 평가 규칙의 SQL 명령을 수행하는 SQL 핸들러부(402), 평가 규칙에서 사용되는 모듈 명령을 수행하는 모듈 핸들러부(Module Handler, 403), 평가 규칙에서 사용되는 명령을 해석해서 수행하는 커맨드 핸들러부(Command Handler, 404)로 구성된다.
각 부의 수행 과정을 살펴보면, 상기 흐름 제어부(401)에서는 DBMS의 규칙 데이터로부터 평가 수행을 요청 받은 평가 규칙을 순차적으로 읽고, 이를 평가 규칙 수행 순서에 의거하여 각각의 평가 규칙을 수행한다. 만약, 평가 규칙이 SQL 명령 실행을 요구할 경우에는 상기 SQL 핸드러부(402)를 통해 DBMS의 수집 데이터나 임시 데이터에 접근하여 SQL 명령을 실행하고, 평가 규칙이 모듈 명령 실행을 요구할 경우에는 상기 모듈 핸들러부(403)를 통해 모듈 블록에 있는 모듈을 실행시킨다. 이때, 수행 모듈은 수행 결과를 파일에 저장할 수도 있다.
마지막으로 평가 규칙이 평가 규칙 수행을 위해 정의된 명령어를 실행할 경우, 상기 커맨드 핸들러부(404)는 이 명령어를 해석하고 실행한다. 명령어 실행 결과는 파일에 저장되거나 GUI화면에 디스플레이될 수도 있다.
도 5는 본 발명에서 이용되는 보안 평가 시스템의 전체적인 프레임워크 중 평가 규칙을 저장하는 DBMS의 규칙 데이터의 필드 구조도로서, 도 3에 도시되어 있는 상기 데이터베이스 제어 블록의 규칙 데이터베이스 제어부(301)에서 평가 규칙을 생성하여 각 필드에 저장하거나 수정 또는 삭제하고, 상기 규칙 해석 블록의 흐름 제어부(401)에서 평가 규칙을 DBMS의 규칙 데이터로부터 읽고 순서대로 실행한다.
위에서 양호한 실시예에 근거하여 이 발명을 설명하였지만, 이러한 실시예는 이 발명을 제한하려는 것이 아니라 예시하려는 것이다. 이 발명이 속하는 분야의 숙련자에게는 이 발명의 기술 사상을 벗어남이 없이 위 실시예에 대한 다양한 변화나 변경 또는 조절이 가능함이 자명할 것이다. 그러므로, 이 발명의 보호 범위는 첨부된 청구 범위에 의해서만 한정될 것이며, 위와 같은 변화예나 변경예 또는 조절예를 모두 포함하는 것으로 해석되어야 할 것이다.
이상과 같이 본 발명에 의하면, 인터넷에서 정보 보호 서비스를 제공하기 위하여 IPsec 서비스를 제공하는 인터넷 호스트 시스템에서 패킷 보호 기능을 제공하기 위해 생성되는 패킷 정보로부터 보안 평가 방법의 구현에 필요한 여러 가지 정보들을 용이하게 획득하기 위해 사용되는 프로토콜을 식별하여 패킷 정보를 수집 분석하여 위협을 도출함으로써, 정보 보호 서비스를 제공하는 시스템을 평가하는데 활용한다면, 더욱 안전성을 보장하는 시스템을 개발할 수 있는 많은 장점을 제공할 수 있는 효과가 있다.

Claims (16)

  1. 인터넷에서 정보 보호 서비스를 제공하기 위하여 IPsec(IP security) 서비스를 제공하는 인터넷 호스트 시스템의 보안 평가 시스템에 있어서,
    관리 권한을 가진 관리자에 의하여 사용자 인증을 수행하고, 원격지의 호스트에서 수행되는 에이전트(Agent)에 대한 사항 및 평가 규칙에 의하여 수행되는 모듈에 대한 사항을 등록하는 기능을 수행하는 시스템 구성(System configuration) 블록;
    상기 에이전트에서 전송한 데이터에 대한 테이블 생성 및 데이터 추가 기능을 수행하고, 규칙 데이터(Rule Data)에 평가 규칙(Evaluation Rule)을 정의하거나 수정 및 삭제하는 기능을 수행하는 데이터베이스 관리(Database Control) 블록; 및
    상기 데이터베이스 관리 블록에서 정의된 평가 규칙을 상기 규칙 데이터로부터 읽어 들여 수행 절차에 따른 수행 명령들을 해석하고 실행하는 규칙 해석(Rule Interpreter) 블록;
    을 포함하여 이루어진 것을 특징으로 하는 보안 평가 시스템.
  2. 제 1 항에 있어서,
    관리자가 자바(JAVA) 인터페이스를 통하여 평가에 필요한 전반적인 사항을 설정하고 수행하는 GUI(Graphic User Interface) 다이어그램을 더 포함하여 이루어진 것을 특징으로 하는 보안 평가 시스템.
  3. 제 1 항에 있어서,
    상기 에이전트 및 수행 모듈이 네트워크 상에 데이터를 송수신할 수 있게 해주는 소켓 핸들러(Socket Handler)를 더 포함하여 이루어진 것을 특징으로 하는 보안 평가 시스템.
  4. 시스템 구성(System configuration) 블록, 데이터베이스 관리(Database Control) 블록 및 규칙 해석(Rule Interpreter) 블록을 포함하는 보안 평가 시스템에 있어서,
    상기 시스템 구성 블록은,
    사용자 인증을 수행하는 접근 제어부(Access Control);
    상기 접근 제어부에 의하여 사용자 인증이 수행되면, 에이전트(Agent)에 대한 사항을 등록하고, 현재 에이전트가 설치되어 있는 호스트 IP(Internet Protocol) 등록을 수행하는 에인전트 등록부(Agent Register);
    평가 규칙에서 사용하게 될 각각의 모듈에 대한 사항을 등록하는 모듈 등록부(Module Register); 및
    현재 에이전트가 설치된 호스트들과 평가 시스템간의 네트워크 지도(NetworkMap)을 관리자에게 제공하고, 실제 평가를 수행할 호스트를 선택하는 평가 제어부(Evaluation Control);
    를 포함하여 이루어진 것을 특징으로 하는 보안 평가 시스템.
  5. 제 4 항에 있어서,
    상기 평가 제어부는,
    현재 규칙(Rule Data)에 등록되어 있는 규칙 중 어떠한 평가를 수행할 것인지에 대한 평가 범위를 선택하는 것을 특징으로 하는 보안 평가 시스템.
  6. 제 4 항에 있어서,
    평가 규칙이 수행될 때, 사용되는 임시 저장소와 관리자가 임의적으로 만든 패킷(Packet) 데이터가 저장될 디렉토리 경로를 정의하는 디렉토리 설정부(Directory Setup)를 더 포함하여 이루어진 것을 특징으로 하는 보안 평가 시스템.
  7. 시스템 구성(System configuration) 블록, 데이터베이스 관리(Database Control) 블록 및 규칙 해석(Rule Interpreter) 블록을 포함하는 보안 평가 시스템에 있어서,
    상기 데이터베이스 관리 블록은,
    평가 규칙을 정의하거나 수정 및 삭제하는 기능을 수행하고, 상기 평가 규칙에서 사용하는 패킷 데이터를 생성하는 규칙 데이터베이스 제어부(Rule Database Control); 및
    실제 평가 수행시 상기 평가 규칙에 의하여 수행되는 에이전트에 의하여 전송하는 데이터를 수신하는 수집 데이터 제어부(Collection Data Control);
    를 포함하여 이루어진 것을 특징으로 하는 보안 평가 시스템.
  8. 제 7 항에 있어서,
    상기 수집 데이터 제어부는,
    수행되는 에이전트와 관련된 데이터베이스 이름에 수행 시간을 추가하여 데이터베이스를 생성하고, 수신된 데이터 형태에 맞는 테이블(Table)을 자동 생성한 후, 데이터들을 수집 데이터에 저장하는 것을 특징으로 하는 보안 평가 시스템.
  9. 시스템 구성(System configuration) 블록, 데이터베이스 관리(Database Control) 블록 및 규칙 해석(Rule Interpreter) 블록을 포함하는 보안 평가 시스템에 있어서,
    상기 규칙 해석 블록은,
    규칙 데이터에서 평가 규칙을 읽어 들여 일정한 순서에 의하여 평가 규칙을 수행하는 흐름 제어부(Flow Control);
    상기 평가 규칙에 있는 수집 데이터에 대하여 SQL 명령을 실행하는 SQL 핸들러부(SQL Handler);
    현재 등록되어 있는 모듈을 상기 평가 규칙에서 사용할 수 있도록 해주는 모듈 핸들러부(Module Handler); 및
    상기 평가 규칙에서 사용하는 명령어들을 실행하는 커맨드 핸들러부(Command Handler);
    를 포함하여 이루어진 것을 특징으로 하는 보안 평가 시스템.
  10. 제 9 항에 있어서,
    상기 SQL 핸들러부는,
    SQL 명령을 실행한 결과를 임지 저장소(Temp Data)에 저장하여 다음 평가 규칙에서 사용하거나, 상기 커맨들 핸들러부를 통하여 파일에 저장하여 모듈이 사용할 수 있도록 하는 것을 특징으로 하는 보안 평가 시스템.
  11. 제 9 항에 있어서,
    상기 모듈 핸들러부는,
    등록되어 있지 않은 모듈에 대하여 평가 규칙이 모듈 실행을 요구할 경우에는 이에 해당하는 에러 메시지를 출력하는 것을 특징으로 하는 보안 평가 시스템.
  12. 인터넷에서 정보 보호 서비스를 제공하기 위하여 IPsec 서비스를 제공하는 인터넷 호스트 시스템의 보안 평가 방법에 있어서,
    관리 권한을 가진 관리자에 의하여 사용자 인증을 수행하고, 원격지의 호스트에서 수행되는 에이전트(Agent)에 대한 사항 및 평가 규칙에 의하여 수행되는 모듈에 대한 사항을 등록하고, 규칙 데이터(Rule Data)에 평가 규칙을 정의, 수정 및 삭제하는 제 1 단계;
    평가 대상 호스트의 선택 및 평가 적용 범위 선택 등의 실제 평가에 필요한 사항을 입력받아, 상기 에이전트에서 전송한 데이터에 대한 테이블 생성 및 데이터 추가 기능을 수행하는 제 2 단계; 및
    상기 평가 규칙을 상기 규칙 데이터로부터 읽어 들여, 수행 절차에 따라 수행 명령을 해석하고 실행하는 제 3 단계;
    를 포함하여 이루어진 것을 특징으로 하는 보안 평가 방법.
  13. 제 12 항에 있어서,
    상기 제 1 단계는,
    사용자 인증을 수행하는 제 1 서브 단계;
    상기 제 1 서브 단계에 의하여 사용자 인증이 수행되면, 에이전트(Agent)에 대한 사항을 등록하고, 현재 에이전트가 설치되어 있는 호스트 IP(Internet Protocol) 등록을 수행하는 제 2 서브 단계;
    평가 규칙에서 사용하게 될 각각의 모듈에 대한 사항을 등록하는 제 3 서브 단계; 및
    현재 에이전트가 설치된 호스트들과 평가 시스템간의 네트워크 지도(Network Map)을 관리자에게 제공하고, 실제 평가를 수행할 호스트를 선택하는 제 4 서브 단계를 포함하여 이루어진 것을 특징으로 하는 보안 평가 방법.
  14. 제 12 항에 있어서,
    평가 규칙을 정의하거나 수정 및 삭제하는 기능을 수행하고, 상기 평가 규칙에서 사용하는 패킷 데이터를 생성하는 제 1 서브 단계; 및
    실제 평가 수행시 상기 평가 규칙에 의하여 수행되는 에이전트에 의하여 전송하는 데이터를 수신하는 제 2 서브 단계;
    를 포함하여 이루어진 것을 특징으로 하는 보안 평가 방법.
  15. 제 12 항에 있어서,
    상기 규칙 데이터에서 상기 평가 규칙을 읽어 들여 일정한 순서에 의하여 평가 규칙을 수행하는 제 1 서브 단계;
    상기 평가 규칙에 있는 수집 데이터에 대하여 SQL 명령을 실행하는 제 2 서브 단계;
    현재 등록되어 있는 모듈을 상기 평가 규칙에서 사용할 수 있도록 해주는 제 3 서브 단계; 및
    상기 평가 규칙에서 사용하는 명령어들을 실행하는 제 4 서브 단계;
    를 포함하여 이루어진 것을 특징으로 하는 보안 평가 방법.
  16. 컴퓨터에,
    관리 권한을 가진 관리자에 의하여 사용자 인증을 수행하고, 원격지의 호스트에서 수행되는 에이전트(Agent)에 대한 사항 및 평가 규칙에 의하여 수행되는 모듈에 대한 사항을 등록하고, 규칙 데이터(Rule Data)에 평가 규칙을 정의, 수정 및 삭제하는 제 1 단계;
    평가 대상 호스트의 선택 및 평가 적용 범위 선택 등의 실제 평가에 필요한 사항을 입력받아, 상기 에이전트에서 전송한 데이터에 대한 테이블 생성 및 데이터 추가 기능을 수행하는 제 2 단계; 및
    상기 평가 규칙을 상기 규칙 데이터로부터 읽어 들여, 수행 절차에 따라 수행 명령을 해석하고 실행하는 제 3 단계;
    를 포함하여 이루어진 것을 실행시킬 수 있는 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록 매체.
KR10-2000-0082811A 2000-12-27 2000-12-27 인터넷 호스트 시스템의 보안 평가 시스템 및 방법 KR100404321B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2000-0082811A KR100404321B1 (ko) 2000-12-27 2000-12-27 인터넷 호스트 시스템의 보안 평가 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2000-0082811A KR100404321B1 (ko) 2000-12-27 2000-12-27 인터넷 호스트 시스템의 보안 평가 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20020054115A KR20020054115A (ko) 2002-07-06
KR100404321B1 true KR100404321B1 (ko) 2003-11-01

Family

ID=27686593

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2000-0082811A KR100404321B1 (ko) 2000-12-27 2000-12-27 인터넷 호스트 시스템의 보안 평가 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR100404321B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030027646A (ko) * 2001-09-27 2003-04-07 주식회사 시큐브 하이브리드 방식의 보안 취약성 진단 장치 및 그 방법
KR100474155B1 (ko) * 2002-05-14 2005-03-08 한국전자통신연구원 네트워크의 취약성 분석 시스템 및 방법

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100669240B1 (ko) * 2004-12-07 2007-01-15 한국전자통신연구원 평가규칙표기언어를 이용한 IPv6 네트워크 계층의보안성 평가 시스템 및 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999067930A2 (en) * 1998-06-19 1999-12-29 Ssh Communications Security Ltd. Method and arrangement for implementing ipsec policy management using filter code
KR20000030857A (ko) * 2000-03-22 2000-06-05 엄상진 인터넷보안을 통과하여 원격지의 네트워크 자원을관리하는 관리시스템
JP2000224219A (ja) * 1999-01-29 2000-08-11 Internatl Business Mach Corp <Ibm> 仮想プライベ―ト・ネットワ―クの動作方法およびシステム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999067930A2 (en) * 1998-06-19 1999-12-29 Ssh Communications Security Ltd. Method and arrangement for implementing ipsec policy management using filter code
JP2000224219A (ja) * 1999-01-29 2000-08-11 Internatl Business Mach Corp <Ibm> 仮想プライベ―ト・ネットワ―クの動作方法およびシステム
KR20000030857A (ko) * 2000-03-22 2000-06-05 엄상진 인터넷보안을 통과하여 원격지의 네트워크 자원을관리하는 관리시스템

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030027646A (ko) * 2001-09-27 2003-04-07 주식회사 시큐브 하이브리드 방식의 보안 취약성 진단 장치 및 그 방법
KR100474155B1 (ko) * 2002-05-14 2005-03-08 한국전자통신연구원 네트워크의 취약성 분석 시스템 및 방법

Also Published As

Publication number Publication date
KR20020054115A (ko) 2002-07-06

Similar Documents

Publication Publication Date Title
US8209738B2 (en) Analysis of distributed policy rule-sets for compliance with global policy
US9560067B2 (en) Correlation based security risk identification
KR100817799B1 (ko) 다중 취약점 점검 도구를 활용한 네트워크 취약점 통합분석 시스템 및 방법
KR101883400B1 (ko) 에이전트리스 방식의 보안취약점 점검 방법 및 시스템
US7836483B2 (en) Automatic derivation of access control policies from a choreography
CN110287660A (zh) 访问权限控制方法、装置、设备及存储介质
KR20080111005A (ko) 서비스를 생성, 수행 및 매핑하는 시스템 및 방법
JP2004192650A (ja) コンピュータ制御方法及びその装置
CN112838951B (zh) 一种终端设备的运维方法、装置、系统及存储介质
CN109033857A (zh) 一种访问数据的方法、装置、设备及可读存储介质
CN109660563A (zh) 一种应用访问控制方法、系统和介质
CN110717184A (zh) 一种分布式安全测试系统
CN113868659A (zh) 一种漏洞检测方法及系统
Rak et al. Systematic IoT Penetration Testing: Alexa Case Study.
Marouf et al. SEGrapher: Visualization-based SELinux policy analysis
KR20240023568A (ko) 양방향 보안 적합성 검증을 수행하는 방법 및 그에 대한 장치
KR100404321B1 (ko) 인터넷 호스트 시스템의 보안 평가 시스템 및 방법
Jun et al. Application of mobile scanning agent in the network security
CN117527298A (zh) 一种基于dns解析的恶意域名检测系统
KR20020012855A (ko) 통합로그 분석 및 관리 시스템 및 그 방법
KR20090092699A (ko) 상황 인식 접근 제어 관리 시스템, 그 관리 방법 및 기록 매체
CN113868670A (zh) 一种漏洞检测流程检验方法及系统
KR100844293B1 (ko) 상황인식 보안 서비스의 관리 시스템 및 그 관리 방법
JPH11504145A (ja) アプリケーションまたはアプリケーションユーザによる、通信の下部構造を介する管理情報ベースへのアクセスを管理する方法
KR100906389B1 (ko) 802.1x 인증기반 통합로그 분석 기능을 제공하는통합로그분석시스템, 통합로그 서버, 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20091228

Year of fee payment: 9

LAPS Lapse due to unpaid annual fee