KR100422807B1 - 정책기반 네트워크 보안제어를 위한 보안 게이트웨이 장치및 그 동작 방법 - Google Patents

정책기반 네트워크 보안제어를 위한 보안 게이트웨이 장치및 그 동작 방법 Download PDF

Info

Publication number
KR100422807B1
KR100422807B1 KR10-2001-0054399A KR20010054399A KR100422807B1 KR 100422807 B1 KR100422807 B1 KR 100422807B1 KR 20010054399 A KR20010054399 A KR 20010054399A KR 100422807 B1 KR100422807 B1 KR 100422807B1
Authority
KR
South Korea
Prior art keywords
policy
security
cyber
receiving
dynamic
Prior art date
Application number
KR10-2001-0054399A
Other languages
English (en)
Other versions
KR20030021339A (ko
Inventor
박상길
장종수
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2001-0054399A priority Critical patent/KR100422807B1/ko
Publication of KR20030021339A publication Critical patent/KR20030021339A/ko
Application granted granted Critical
Publication of KR100422807B1 publication Critical patent/KR100422807B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 정책기반 네트워크 보안제어를 위한 보안 게이트웨이 장치 및 그의 동작방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이며, 상기 보안 게이트웨이 장치에 있어서, 사이버 테러 탐지신호를 수신하여, 탐지된 신호를 사이버 순찰 제어 시스템으로 송신하는 사이버 테러 탐지수단; 상기 사이버 순찰 제어 시스템으로부터 사이버 테러 탐지 신호에 대응하는 정책을 수신하기 위한 정책 수신수단; 상기 정책 수신수단으로부터 정책을 입력받아, 정책 중 동적 보안정책을 출력하기 위한 보안정책 수행수단; 상기 정책 수신수단으로부터 정책을 입력받아, 정책 중 동적 서비스품질(QoS) 정책을 출력하기 위한 서비스품질 정책 수행수단; 상기 보안정책 수행수단으로부터 동적 보안정책을 입력받아, 사이버 테러의 유형에 따라 스키마 단위로 저장하기 위한 보안정책 저장수단; 및 상기 보안정책 저장수단으로부터 스키마 단위의 동적 보안정책을 입력받고, 상기 서비스품질 정책 수행수단으로부터 동적 서비스품질 정책을 입력받아, 정책정보를 업데이트 시켜 상기 정책 수신수단에 출력함으로써, 이후 사이버 테러에 대해 동적으로 대응하기 위한 정책 저장수단을 포함하며, 보안 시스템 등에 이용됨.

Description

정책기반 네트워크 보안제어를 위한 보안 게이트웨이 장치 및 그 동작 방법{Security gateway apparatus for controlling of policy-based network security and its proceeding method}
본 발명은 인터넷 등과 같은 정보통신망의 보안제어 기술분야에 관한 것으로, 더욱 상세하게는 사이버 테러 발생시 테러유형에 따른 대응정책을 보안 게이트웨이 장치 내부의 정책캐쉬에 업데이트시켜, 이후 발생하는 사이버 테러에 대해 상기 업데이트된 정책을 적용함으로써 사이버 테러에 동적으로 대처하는 정책기반 네트워크 보안제어를 위한 보안 게이트웨이 장치 및 그 동작 방법과, 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다.
일반적으로, 해킹에 대하여 학계 및 보안업체에서는 침입 차단 시스템(Firewall), 침입 탐지 시스템(IDS : Intrusion Detection System), 가상 사설망( VPN : Virtual Private Network) 등의 기술을 이용하여 대처하고 있다.
침입 차단 시스템(Firewall)은 주로 패킷 필터링(Packet Filtering)이나 IP(Internet Protocol) 주소를 기반으로 외부 네트워크로부터의 접속을 차단하는 시스템으로서, 외부의 허가되지 않은 패킷에 대해서 내부 시스템으로의 접근을 봉쇄하지만 정책에 의해 허가받은 패킷은 내부 시스템으로의 접근이 자유로우므로 정책에 의해 허용된 사용자나 서비스의 불법적인 변용에 대하여 대처하지 못할 뿐만 아니라, 내부 사용자들의 불법적인 행동들을 차단할 수 없는 문제점이 있었다.
전통적으로 보안 게이트웨이는 근거리통신망(LAN : Local Area Network) 규모의 네트워크 보안을 위해 패킷 필터링을 위한 방화벽 및 가상 사설망(VPN :Virtual Private Network) 구축을 위한 가상 사설망 서버 중심으로 개발되어 왔으며, 새롭게 개발된 해킹방법으로 망에 침입하였을 때, 그 때마다 사람에 의해 정책이 다시 업데이트 되고 각 보안도구(침입 차단 시스템, 침입 탐지 시스템 등)에 해당 정책이 새롭게 적용되어야 하는 문제점이 있었다.
본 발명은, 상기한 바와 같은 종래의 문제점을 해결하기 위하여 제안된 것으로, 사이버 테러 발생시 테러유형에 따른 대응정책을 보안 게이트웨이 장치 내부의 정책캐쉬에 업데이트 시켜, 이후 발생하는 사이버 테러에 대해 상기 업데이트된 정책을 적용함으로써 사이버 테러에 동적으로 대처하는 정책기반 네트워크 보안제어를 위한 보안 게이트웨이 장치 및 그 방법과, 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 그 목적이 있다.
즉, 본 발명에서 제시하는 보안 게이트웨이 장치에 탑재되는 사이버 테러 탐지부의 일실시예인 사이버 순찰 에이전트(CPA : Cyber Patrol Agent)를 통하여 네트워크 종단으로부터 사이버 테러 탐지신호가 중앙의 사이버 순찰 제어 시스템(CPCS : Cyber Patrol Control System)에 보고되고, 사이버 순찰 제어 시스템의 단말기에서 관리자에 의해 새롭게 정의되는 정책정보와 각각의 보안 게이트웨이 장치 내부에서 각각의 사이버 순찰 제어 시스템이 공유하고 있는 업데이트된 정책정보를 보안 게이트웨이가 할당받아, 할당받은 정책정보에 의해 사이버 테러에 대응하게 된다.
이러한 사이버 테러에 대한 정책 전달과, 사이버 테러의 보고를 무리없이 제공하기 위해서는 정책을 정의하는 CPCS와 보안 게이트웨이와의 보안성 있는 통신을 제공하는 절차가 필요하며, 사이버 순찰 에이전트가 사이버 테러를 탐지하고 중앙의 정책 매니저에게 통보하는 절차가 필요하다.
도 1 은 본 발명에 따른 보안 게이트웨이 장치와 전체 보안망과의 연동을 설명하기 위한 전체 보안 시스템의 일실시예 구성도.
도 2 는 본 발명에 따른 보안 게이트웨이 장치의 일실시예 구성도.
도 3 은 본 발명에 따른 보안 게이트웨이 장치의 동작 방법에 대한 일실시예 흐름도.
* 도면의 주요 부분에 대한 부호의 설명
200 : 보안 게이트웨이 201 : 사이버 테러 탐지부
202 : 정책 수신부 203 : 보안정책 수행엔진
204 : 보안정책 캐쉬 205 : 정책 캐쉬
206 : 서비스품질 수행엔진 207 : 정책신호 변환부
300 : 사이버 순찰 제어 시스템 400 : 사이버 테러 대응장치
500 : 보안성 경로 제어장치
상기 목적을 달성하기 위하여 본 발명에 따른 보안 게이트웨이 장치는, 사이버 테러 탐지신호를 수신하여, 탐지된 신호를 사이버 순찰 제어 시스템으로 송신하는 사이버 테러 탐지수단; 상기 사이버 순찰 제어 시스템으로부터 사이버 테러 탐지 신호에 대응하는 정책을 수신하기 위한 정책 수신수단; 상기 정책 수신수단으로부터 정책을 입력받아, 정책 중 동적 보안정책을 출력하기 위한 보안정책 수행수단; 상기 정책 수신수단으로부터 정책을 입력받아, 정책 중 동적 서비스품질(QoS) 정책을 출력하기 위한 서비스품질 정책 수행수단; 상기 보안정책 수행수단으로부터 동적 보안정책을 입력받아, 사이버 테러의 유형에 따라 스키마 단위로 저장하기 위한 보안정책 저장수단; 및 상기 보안정책 저장수단으로부터 스키마 단위의 동적 보안정책을 입력받고, 상기 서비스품질 정책 수행수단으로부터 동적 서비스품질 정책을 입력받아, 정책정보를 업데이트 시켜 상기 정책 수신수단에 출력함으로써, 이후 사이버 테러에 대해 동적으로 대응하기 위한 정책 저장수단을 포함하여 이루어진 것을 특징으로 한다.
또한, 본 발명은 상기 보안정책 수행수단으로부터 동적 보안정책을 입력받고, 상기 서비스품질 정책 수행수단으로부터 동적 서비스품질 정책을 입력받아, 사이버 테러에 즉시 대응할 수 있도록 상기 사이버 테러 처리 장치에서 인식할 수 있는 정책 신호로 변환하여 출력하는 정책신호 변환수단을 더 포함하여 이루어진 것을 특징으로 한다.
또한, 본 발명은 상기 정책신호 변환수단으로부터 변환된 정책신호를 입력받아, 경보신호를 발생시키거나 세션(Session)을 차단하여 공격자를 보안 게이트웨이로부터 단절시키기 위한 사이버 테러 대응수단을 더 포함하여 이루어진 것을 특징으로 한다.
또한, 본 발명은 상기 정책신호 변환수단으로부터 변환된 정책신호를 입력받아, 보안성 경로를 제공하기 위한 보안성 경로 제어수단을 더 포함하여 이루어진 것을 특징으로 한다.
상기 목적을 달성하기 위한 본 발명은, 정책기반 네트워크 보안제어를 위한 보안 게이트웨이의 동작 방법에 있어서, 사이버 테러를 탐지하여, 탐지된 신호를 사이버 순찰 제어 시스템으로 송신하는 제 1 단계; 상기 사이버 순찰 제어 시스템으로부터 사이버 테러 탐지 신호에 대응하는 정책을 입력받아, 동적 보안정책과 동적 서비스품질 정책을 추출하여, 기 저장된 사이버 테러별 정책을 갱신하는 제 2 단계; 및 상기 제 2 단계에서 사이버 테러별로 갱신된 정책을 이후 사이버 테러 발생시 보안 게이트웨이장치의 정책 수신부에 출력함으로써, 이후 사이버 테러에 동적으로 대응하는 제 3 단계를 포함하여 이루어진 것을 특징으로 한다.
상기 목적을 달성하기 위한 본 발명은, 프로세서를 구비한 보안 게이트웨이장치에, 사이버 테러를 탐지하여, 탐지된 신호를 사이버 순찰 제어 시스템으로 송신하는 제 1 기능; 상기 사이버 순찰 제어 시스템으로부터 사이버 테러 탐지 신호에 대응하는 정책을 입력받아, 동적 보안정책과 동적 서비스품질 정책을 추출하여, 기 저장된 사이버 테러별 정책을 갱신하는 제 2 기능; 상기 제 2 기능에서 사이버 테러별로 갱신된 정책을 이후 사이버 테러 발생시 보안 게이트웨이장치의 정책 수신부에 출력함으로써, 이후 사이버 테러에 동적으로 대응하는 제 3 기능; 상기 제 2 기능에서 추출된 동적 보안정책과 동적 서비스품질 정책을 입력받아, 이 후 사이버 테러에 즉시 대응할 수 있도록 상기 사이버 테러 처리 장치(사이버 테러 대응장치와 보안성경로 제어장치를 통칭함)에서 인식할 수 있는 정책 신호로 변환하는 제 4 기능; 상기 제 4 기능에 의해 변환된 정책신호를 입력받아, 사이버 테러 대응장치가 경보신호를 발생시키거나 세션(Session)을 차단하여, 공격자를 보안 게이트웨이로부터 단절시키는 제 5 기능; 및 상기 제 4 기능에 의해 변환된 정책신호를 입력받아, 보안성경로 제어장치가 보안성 경로를 제공하는 제 6 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
본 발명은 인터넷 망의 침입자들에 의한 공격에 대한 종합적인 광역 사이버 순찰 관리 시스템 중 서브 네트워크의 종단점(진입, 진출)에 설치하는 보안 게이트웨이에 관한 것으로서, 망의 액세스 포인트에 위치하는 보안 게이트웨이내의 사이버 순찰 에이전트 기능을 이용하여 네트워크에 대한 침입을 탐지하고, 보안 게이트웨이에 탑재된 정책기반 침입 방어 메커니즘에 의해 침입방어가 이루어진다.
보안 게이트웨이에서 수행되는 침입 방어 메커니즘은 해킹 유형에 따라 서로다른 대응 방안을 제공하며, 이는 망의 보안 정책에 따라 제어된다. 이를 위해, 보안 게이트웨이와 중앙의 사이버 순찰 제어 시스템(CPCS)간에는 보안성을 가지는 연결을 통하여 자료를 주고받아야 한다.
상술한 목적, 특징들 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명한다.
도 1 은 본 발명에 따른 보안 게이트웨이 장치와 전체 보안망과의 연동을 설명하기 위한 전체 보안 시스템의 일실시예 구성도이다.
사이버 순찰 제어 시스템(300)은 정책 정의부로서의 역할을 담당하며, 보안 게이트웨이 장치(200)는 정책 시행부로서의 기능을 담당한다.
각 사이버 순찰 제어 시스템(300)은 서로간의 정책정보를 보안 게이트웨이(200)의 정책 캐쉬에 저장하고, 해당 정보를 사이버 테러가 발생되는 보안 게이트웨이(200)에 적용한다.
타겟(Target)(100)에서 사이버 테러가 발생하여 중앙의 사이버 순찰 제어 시스템(CPCS)(300-2)에 보안 위규사항이 통보되면, 사이버 순찰 제어 시스템(300-2)은 보안 위규사항을 참조하여 위규사항의 유무를 체크한 후, 보안 게이트웨이(200-1, 200-2)에 해당되는 정책을 시행하도록 한다.
도 2 는 본 발명에 따른 보안 게이트웨이 장치의 일실시예 구성도이다.
도 2에 도시된 바와 같이, 보안 게이트웨이 장치는 사이버 순찰 에이전트(201), 정책 수신부(202), 보안정책 수행엔진(203), 보안정책 캐쉬(204),정책캐쉬(205), 서비스품질 수행엔진(206), 그리고 정책신호 변환부(207)를 포함한다.
사이버 테러 대응장치(400)와 보안성 경로 제어장치(500)는 상기 보안 게이트웨이 장치(200)와 독립된 별개의 장치로서 구동될 수 있으며, 도 2 또한 그러한 일실시예를 도시하고 있으나, 사이버 테러 대응장치(400)와 보안성 경로 제어장치(500)는 보안 게이트웨이 장치 내부에 탑재되어 보안 게이트웨이 장치의 일부로서 구동될 수도 있음은 자명하다.
최초, 사이버 테러가 발생하게 되면, 사이버 테러를 탐지하는 사이버 순찰 에이전트(201)에서 이를 탐지하여 탐지정보를 중앙의 사이버 순찰 제어 시스템(300)에 실시간으로 통보하게 된다.
사이버 순찰 제어 시스템(300)이 정의하여 다운로드 하여 주는 정책은 정책 수신부(202)에서 수신하게 되며, 보안정책 수행 엔진(203)은 정책 수신부(202)로부터 보안정책을 추출하여 사이버 테러 대응장치(400) 또는 보안성 경로 제어장치(500)에서 인식할 수 있는 정책신호로 변환하기 위하여 정책신호 변환부(207)로 출력하고, 또한 보안정책을 저장하는 보안정책 캐쉬(204)로 출력한다.
이후, 보안정책 캐쉬(204)는 보안정책 수행 엔진(203)으로부터 보안정책을 입력받아, 사이버 테러의 유형에 따라 분류하여 스키마 단위로 임시 저장하며, 임시 저장한 유형별 보안정책 정보를 저장하는 정책 캐쉬(205)에 출력한다.
여기서, 정책 캐쉬(205)는 기존의 이미 보유하고 있던 정책정보에 보안정책캐쉬(204)로부터 입력받은 유형별 정책정보를 업데이트시킨 후, 이후 사이버 테러 발생시 업데이트된 정책정보를 정책 수신부(202)로 출력함으로써 보안 게이트웨이 장치(200)가 동적으로 사이버 테러에 대응하게 한다.
서비스품질(QoS : Quality of Service) 수행 엔진(206)은 정책 수신부(202)로부터 서비스품질 정책을 추출하여, 보안정책 수행 엔진(203)에서 추출한 보안정책과 함께 정책신호 변환부(207)로 출력하며, 정책신호 변환부(207)는 외부의 사이버 테러 대응장치(400) 또는 보안성 경로 제어장치(500) 등에서 인식할 수 있는 정책 신호로 변환하여 정책정보를 출력한다.
마지막으로, 사이버 테러 대응장치(400)는 정책신호 변환부(207)로부터 변환된 정책신호를 입력받아 경보신호를 발생시키거나 세션(Session)을 차단하여 공격자를 보안 게이트웨이(200)로부터 단절시키며, 보안성 경로 제어장치(500)는 정책신호 변환부(207)로부터 변환된 정책신호를 입력받아 보안성 경로를 제공한다.
도 3 은 본 발명에 따른 보안 게이트웨이 장치의 동작 방법에 대한 일실시예 흐름도이다.
최초, 사이버 순찰 에이전트에서 사이버 테러정보를 탐지하여(301), 탐지된 신호를 사이버 순찰 제어 시스템에 송신하며(302), 사이버 순찰 제어 시스템으로부터 사이버 테러 탐지 신호에 대응하는 정책을 정책 수신부에서 수신한다(303).
이어서, 정책정보 중 보안정책과 서비스품질 정책을 각각 추출하여(304,305) 추출된 보안정책은 사이버 테러 유형별로 구분하여 스키마 단위로 보안정책 캐쉬에 저장하며(306), 스키마 단위로 분류된 보안정책은 추출된 서비스품질 정책과 함께정책캐쉬에 출력되어 기존의 정책정보를 업데이트한다(307).
정책캐쉬에 업데이트된 정책정보는 이후 사이버 테러 발생시 정책 수신부(202)로 출력되어 동적으로 대응하게 된다(308).
상기 "304" 단계 및 "305" 단계에서 추출된 정책정보는 사이버 테러 대응장치 또는 보안성 경로 제어장치에서 인식할 수 있는 정책정보로 변환되고(309), 경보신호를 발생시키거나 세션(Session)을 차단하여 공격자를 보안 게이트웨이 장치로부터 단절시키거나 보안성 경로를 제공하는 데 이용된다(310).
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(씨디롬, 램, 롬, 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다.
이상에서 설명한 본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형, 및 변경이 가능하다는 것이 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 명백할 것이다.
상기한 바와 같은 본 발명은, 사이버 테러가 발생하였을 때, 보안 게이트웨이를 통하여 사이버 순찰 제어 시스템에 사이버 테러에 대한 정보를 전달하고, 또한 이러한 사이버 테러 정보는 정책에 반영되어 이후 발생되는 사이버 테러에 대하여 업데이트된 보안정책에 따라 보안 게이트웨이 장치가 대응을 하도록 근본적인대비책을 마련하며, 사람에 의해 매번 정책을 설정하는 번거러움 없이 중앙에서 정의되는 정책에 의해 하부 네트워크의 보안 게이트웨이에 정책을 할당하여 해당 도메인이 하나의 보안 정책 하에 동작하도록 하는 효과가 있다.

Claims (10)

  1. 정책기반 네트워크 보안제어를 위한 보안 게이트웨이 장치에 있어서,
    사이버 테러 탐지신호를 수신하여, 탐지된 신호를 사이버 순찰 제어 시스템으로 송신하는 사이버 테러 탐지수단;
    상기 사이버 순찰 제어 시스템으로부터 사이버 테러 탐지 신호에 대응하는 정책을 수신하기 위한 정책 수신수단;
    상기 정책 수신수단으로부터 정책을 입력받아, 상기 정책 중 동적 보안정책을 출력하기 위한 보안정책 수행수단;
    상기 정책 수신수단으로부터 정책을 입력받아, 상기 정책 중 동적 서비스품질(QoS) 정책을 출력하기 위한 서비스품질 정책 수행수단;
    상기 보안정책 수행수단으로부터 동적 보안정책을 입력받아, 사이버 테러의 유형에 따라 스키마 단위로 저장하기 위한 보안정책 저장수단; 및
    상기 보안정책 저장수단으로부터 스키마 단위의 동적 보안정책을 입력받고, 상기 서비스품질 정책 수행수단으로부터 동적 서비스품질 정책을 입력받아, 정책정보를 업데이트 시켜 상기 정책 수신수단에 출력함으로써, 이후 사이버 테러에 대해 동적으로 대응하기 위한 정책 저장수단
    을 포함하는 정책기반 네트워크 보안제어를 위한 보안 게이트웨이 장치.
  2. 제 1 항에 있어서,
    상기 보안정책 수행수단으로부터 동적 보안정책을 입력받고, 상기 서비스품질 정책 수행수단으로부터 동적 서비스품질 정책을 입력받아, 사이버 테러에 즉시 대응할 수 있도록 하기 위하여 사이버 테러 처리 장치(사이버 테러 대응장치와 보안성 경로 제어장치를 통칭함)에서 인식할 수 있는 정책 신호로 변환하여 출력하기 위한 정책신호 변환수단
    을 더 포함하는 정책기반 네트워크 보안제어를 위한 보안 게이트웨이 장치.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 정책신호 변환수단으로부터 변환된 정책신호를 입력받아, 경보신호를 발생시키거나 세션(Session)을 차단하여 공격자를 보안 게이트웨이로부터 단절시키기 위한 사이버 테러 대응수단
    을 더 포함하는 정책기반 네트워크 보안제어를 위한 보안 게이트웨이 장치.
  4. 제 1 항 또는 제 2 항에 있어서,
    상기 정책신호 변환수단으로부터 변환된 정책신호를 입력받아, 보안성이 있는 경로를 제공하기 위한 보안성 경로 제어수단
    을 더 포함하는 정책기반 네트워크 보안제어를 위한 보안 게이트웨이 장치.
  5. 정책기반 네트워크 보안제어를 위한 보안 게이트웨이의 동작 방법에 있어서,
    사이버 테러를 탐지하여, 탐지된 신호를 사이버 순찰 제어 시스템으로 송신하는 제 1 단계;
    상기 사이버 순찰 제어 시스템으로부터 사이버 테러 탐지 신호에 대응하는 정책을 입력받아, 동적 보안정책과 동적 서비스품질 정책을 추출하여, 기 저장된 사이버 테러별 정책을 갱신하는 제 2 단계; 및
    상기 제 2 단계에서 사이버 테러별로 갱신된 정책을 이후 사이버 테러 발생시 보안 게이트웨이장치의 정책 수신부에 출력함으로써, 이후 사이버 테러에 동적으로 대응하는 제 3 단계
    를 포함하는 정책기반 네트워크 보안제어를 위한 보안 게이트웨이 장치의 동작 방법.
  6. 제 5 항에 있어서,
    상기 제 2 단계는,
    상기 사이버 순찰 제어 시스템으로부터 상기 사이버 테러 탐지 신호에 대응하는 정책을 정책 수신부에서 수신하는 제 4 단계;
    상기 제 4 단계에서 상기 정책 수신부에 수신된 상기 정책을 입력받아, 상기정책 중 동적 보안정책을 추출하는 제 5 단계;
    상기 제 5 단계에서 추출한 상기 동적 보안정책을 보안정책 캐쉬에 사이버 테러 유형별로 스키마 단위로 저장하는 제 6 단계;
    상기 제 4 단계에서 상기 정책 수신부에 수신된 상기 정책을 입력받아, 상기 정책 중 동적 서비스품질 정책을 추출하는 제 7 단계; 및
    상기 제 6 단계에서 상기 스키마 단위로 저장된 동적 보안정책과, 상기 제 7 단계에서 추출된 동적 서비스품질 정책을 입력받아, 정책캐쉬내의 정책정보를 업데이트하는 제 8 단계
    를 포함하는 정책기반 네트워크 보안제어를 위한 보안 게이트웨이 장치의 동작 방법.
  7. 제 6 항에 있어서,
    상기 제 5 단계에서 추출한 동적 보안정책과 상기 제 7 단계에서 추출한 동적 서비스품질 정책을 입력받아, 사이버 테러에 즉시 대응할 수 있도록 상기 사이버 테러 처리 장치에서 인식할 수 있는 정책 신호로 변환하는 제 9 단계
    를 더 포함하는 정책기반 네트워크 보안제어를 위한 보안 게이트웨이 장치의 동작 방법.
  8. 제 7 항에 있어서,
    상기 제 9 단계에서 변환된 정책신호를 입력받아, 상기 사이버 테러 대응장치가 경보신호를 발생시키거나 세션(Session)을 차단하여, 공격자를 보안 게이트웨이로부터 단절시키는 제 10 단계
    를 더 포함하는 정책기반 네트워크 보안제어를 위한 보안 게이트웨이 장치의 동작 방법.
  9. 제 7 항 또는 제 8 항에 있어서,
    상기 제 9 단계에서 변환된 정책신호를 입력받아, 상기 보안성경로 제어장치가 보안성 경로를 제공하는 제 11 단계
    를 더 포함하는 정책기반 네트워크 보안제어를 위한 보안 게이트웨이 장치의 동작 방법.
  10. 프로세서를 구비한 보안 게이트웨이 장치에,
    사이버 테러를 탐지하여, 탐지된 신호를 사이버 순찰 제어 시스템으로 송신하는 제 1 기능;
    상기 사이버 순찰 제어 시스템으로부터 사이버 테러 탐지 신호에 대응하는 정책을 입력받아, 동적 보안정책과 동적 서비스품질 정책을 추출하여, 기 저장된사이버 테러별 정책을 갱신하는 제 2 기능; 및
    상기 제 2 기능에서 사이버 테러별로 갱신된 정책을 이후 사이버 테러 발생시 보안 게이트웨이장치의 정책 수신부에 출력함으로써, 이후 사이버 테러에 동적으로 대응하는 제 3 기능
    을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR10-2001-0054399A 2001-09-05 2001-09-05 정책기반 네트워크 보안제어를 위한 보안 게이트웨이 장치및 그 동작 방법 KR100422807B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0054399A KR100422807B1 (ko) 2001-09-05 2001-09-05 정책기반 네트워크 보안제어를 위한 보안 게이트웨이 장치및 그 동작 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0054399A KR100422807B1 (ko) 2001-09-05 2001-09-05 정책기반 네트워크 보안제어를 위한 보안 게이트웨이 장치및 그 동작 방법

Publications (2)

Publication Number Publication Date
KR20030021339A KR20030021339A (ko) 2003-03-15
KR100422807B1 true KR100422807B1 (ko) 2004-03-12

Family

ID=27722567

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0054399A KR100422807B1 (ko) 2001-09-05 2001-09-05 정책기반 네트워크 보안제어를 위한 보안 게이트웨이 장치및 그 동작 방법

Country Status (1)

Country Link
KR (1) KR100422807B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110381088A (zh) * 2019-08-21 2019-10-25 牡丹江师范学院 一种基于物联网的数据安全保障方法

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100427448B1 (ko) * 2001-12-18 2004-04-14 한국전자통신연구원 라돈-보안게이트웨이 시스템 및 그 보안정책 설정방법과유해트래픽 탐지경보생성방법
KR100439177B1 (ko) * 2002-01-16 2004-07-05 한국전자통신연구원 네트워크 보안 정책의 표현,저장 및 편집 방법
KR100432236B1 (ko) * 2002-01-28 2004-05-22 김미희주 객체 기반 통합 관제 및 관리 기능을 갖는 범용 정보보호시스템
KR100473805B1 (ko) * 2002-09-23 2005-03-10 한국전자통신연구원 다수 등급의 네트워크 보안 서비스를 제공하기 위한 연결설정 방법

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5544322A (en) * 1994-05-09 1996-08-06 International Business Machines Corporation System and method for policy-based inter-realm authentication within a distributed processing system
KR20010085056A (ko) * 2001-07-27 2001-09-07 김상욱 미행 메커니즘 기반의 전산망 보안 관리 장치 및 방법
KR20020051599A (ko) * 2000-12-23 2002-06-29 오길록 분산 컴퓨팅 환경에서의 보안 정책 시스템 및 그 방법
KR20020062071A (ko) * 2001-01-19 2002-07-25 주식회사 정보보호기술 접근통제와 연동하는 침입탐지시스템 및 침입대응방법
KR20020062070A (ko) * 2001-01-19 2002-07-25 주식회사 정보보호기술 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법
KR20030016500A (ko) * 2001-08-20 2003-03-03 한국전자통신연구원 정책기반 네트워크 보안 시스템과 그를 이용한 보안 및보안정책 결정 방법

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5544322A (en) * 1994-05-09 1996-08-06 International Business Machines Corporation System and method for policy-based inter-realm authentication within a distributed processing system
KR20020051599A (ko) * 2000-12-23 2002-06-29 오길록 분산 컴퓨팅 환경에서의 보안 정책 시스템 및 그 방법
KR20020062071A (ko) * 2001-01-19 2002-07-25 주식회사 정보보호기술 접근통제와 연동하는 침입탐지시스템 및 침입대응방법
KR20020062070A (ko) * 2001-01-19 2002-07-25 주식회사 정보보호기술 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법
KR20010085056A (ko) * 2001-07-27 2001-09-07 김상욱 미행 메커니즘 기반의 전산망 보안 관리 장치 및 방법
KR20030016500A (ko) * 2001-08-20 2003-03-03 한국전자통신연구원 정책기반 네트워크 보안 시스템과 그를 이용한 보안 및보안정책 결정 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110381088A (zh) * 2019-08-21 2019-10-25 牡丹江师范学院 一种基于物联网的数据安全保障方法

Also Published As

Publication number Publication date
KR20030021339A (ko) 2003-03-15

Similar Documents

Publication Publication Date Title
KR101455167B1 (ko) 화이트리스트 기반의 네트워크 스위치
US7984493B2 (en) DNS based enforcement for confinement and detection of network malicious activities
Wheeler et al. Techniques for cyber attack attribution
Schnackengerg et al. Cooperative intrusion traceback and response architecture (CITRA)
US7207061B2 (en) State machine for accessing a stealth firewall
EP1905197B1 (en) System and method for detecting abnormal traffic based on early notification
CN1968272B (zh) 通信网络中用于缓解拒绝服务攻击的方法和系统
US20060256729A1 (en) Method and apparatus for identifying and disabling worms in communication networks
US20040250114A1 (en) System and method for network quality of service protection on security breach detection
KR20100133398A (ko) 다중 티어 보안 이벤트의 상관 및 완화
GB2427108A (en) Combating network virus attacks, such as DDoS, by automatically instructing a switch to interrupt an attacking computer's access to the network
US20090094691A1 (en) Intranet client protection service
KR100947211B1 (ko) 능동형 보안 감사 시스템
KR100523483B1 (ko) 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법
EP1833227B1 (en) Intrusion detection in an IP connected security system
JP3609382B2 (ja) 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム
JP3699941B2 (ja) 分散型サービス不能攻撃防止方法及びゲート装置、通信装置、分散型サービス不能攻撃防止プログラム及び記録媒体
KR100422807B1 (ko) 정책기반 네트워크 보안제어를 위한 보안 게이트웨이 장치및 그 동작 방법
WO2005026872A2 (en) Internal lan perimeter security appliance composed of a pci card and complementary software
Nasser et al. An Effective Approach to Detect and Prevent ARP Spoofing Attacks on WLAN.
Bouzida et al. Detecting and reacting against distributed denial of service attacks
JP3609381B2 (ja) 分散型サービス不能攻撃防止方法及びゲート装置、通信装置ならびにプログラム
CN100484019C (zh) 一种主动探测病毒防护系统及其防护方法
KR20200116773A (ko) Sdn 기반의 검사시스템
Münz et al. DIADEM firewall: Web server overload attack detection and response

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130304

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20140303

Year of fee payment: 11

LAPS Lapse due to unpaid annual fee