KR100439177B1 - 네트워크 보안 정책의 표현,저장 및 편집 방법 - Google Patents

네트워크 보안 정책의 표현,저장 및 편집 방법 Download PDF

Info

Publication number
KR100439177B1
KR100439177B1 KR10-2002-0002465A KR20020002465A KR100439177B1 KR 100439177 B1 KR100439177 B1 KR 100439177B1 KR 20020002465 A KR20020002465 A KR 20020002465A KR 100439177 B1 KR100439177 B1 KR 100439177B1
Authority
KR
South Korea
Prior art keywords
action
condition
packet
representing
rule
Prior art date
Application number
KR10-2002-0002465A
Other languages
English (en)
Other versions
KR20030062055A (ko
Inventor
김숙연
김건량
김명은
김기영
장종수
손승원
방효찬
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2002-0002465A priority Critical patent/KR100439177B1/ko
Priority to US10/234,207 priority patent/US20030135759A1/en
Publication of KR20030062055A publication Critical patent/KR20030062055A/ko
Application granted granted Critical
Publication of KR100439177B1 publication Critical patent/KR100439177B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 네트워크 보안 정책에 대한 표현, 저장 및 편집의 방법에 관한 것으로서, 보안 규칙을 나타내는 규칙 객체, 그러한 규칙 적용의 근거(조건)를 나타내는 조건 객체, 그러한 조건에 해당되는 경우에 대한 대응방법 또는 독립적인 보안 동작을 나타내는 동작 객체, 상기 규칙 객체 및 상기 조건 객체간의 연관관계, 상기 규칙 객체 및 상기 동작 객체간의 연관관계를 포함하는 보안 정책을 표현, 저장 및 편집하는 방법을 제공한다. 상기 조건 객체는 하나의 패킷을 분석하는 조건, 동일한 내용의 패킷이 반복되는 유형을 분석하는 조건, 또는 일련의 패킷들이 일정한 패턴을 가지며 수신되는 유형을 분석하는 조건 중의 하나를 나타내는 조건 객체이거나, 이러한 조건 객체와 연관관계를 갖는 객체이다. 상기 동작 객체는 규칙 적용 상황을 경보하는 동작, 패킷을 차단하는 동작, 패킷을 허용하는 동작, 패킷이 속한 세션을 차단하는 동작, 패킷이 속한 세션을 허용하는 동작, 패킷이 속한 세션의 정보를 저장하는 동작, 패킷의 송신지를 추적하는 동작 또는 패킷의 송신지에 ICMP 도달불가(unreachable) 메시지를 송출하는 동작을 나타내는 동작 객체이거나 이러한 동작 객체와 연관관계를 가지는 객체이다. 본 발명에 따르면, 보안 정책 관리 도구의 동작 구조, 보안 정책 데이터베이스 스키마 또는 보안정책 제공 객체의 구조의 변경 없이 또는 약간의 수정만으로, 수시로 변화하는 보안정책을 유연성 있게 수용할 수 있다.

Description

네트워크 보안 정책의 표현, 저장 및 편집 방법{METHOD FOR REPRESENTING, STORING AND EDITING NETWORK SECURITY POLICY}
본 발명은 네트워크 보안 정책의 표현, 저장 및 편집 방법에 관한 것으로서, 보안 규칙 자체를 나타내는 규칙 객체, 그러한 규칙 적용의 근거(조건)를 나타내는 조건 객체, 그 조건에 해당되는 경우에 대한 대응방법을 나타내는 동작 객체, 상기규칙 객체 및 상기 조건 객체간의 연관관계, 상기 규칙 객체 및 상기 동작 객체간의 연관관계를 포함하는 보안 정책을 표현, 저장 및 편집하는 방법에 관한 것이다.
인터넷의 중요성이 각종 산업에 있어서 갈수록 더욱 증가함에 따라 인터넷 서비스도 다양하게 확대되고 있고 사용자도 폭발적으로 증가하고 있다. 그러나 TCP/IP(Transmission Control Protocol/Internet Protocol)의 구조적인 취약성으로 인한 보안 허점의 노출과 보안 사고의 발생도 기하급수적으로 늘어나고 있는 상황이다.
이에 따라 네트워크 보안에 대한 연구 개발이 활성화되었고, 침입 탐지 시스템 (IDS: Intrusion Detection System)이나 방화벽 같은 네트워크 수준의 보안 시스템들이 각자의 전문성을 자부하며 시장에 선보이고 있다.
그러나, 일반적으로 이러한 보안 시스템들은 서로 다른 동작 구조와 관리 방법을 사용하기 때문에 상호 호환성이 떨어지는 문제점이 있다. 이러한 비호환성은 여러 개의 보안 장비들을 포함하는 네트워크를 통합적으로 관리하는 관리자에게 큰 부담을 주게 된다.
한편, 보안에 국한되지 않는 여러 네트워크 요소들을 쉽게 통합 관리하는 솔루션으로서 PBNM (Policy Based Network Management)이 논의되고 있다. PBNM은 상세 구현과 상관없이 일관성 있고 통합적이면서도 이해하기 쉬운 네트워크의 관리를 가능하게 한다. 이러한 PBNM의 장점은 네트워크가 복잡해지고 다양한 서비스를 제공할수록 더욱 부각될 수밖에 없다.
PBNM는 IETF (Internet Engineering Task Force)에서 활발히 표준화가 이루어지고 있다. IETF의 RAP(Resource Allocation Protocol) 워킹그룹에서는 COPS(Common Open Policy Service)와 COPS-PR(COPS Policy Provisioning)을 통하여 사용할 수 있는 정책 제공 객체들을 정의하고 있다. 또한 IETF의 Policy Framework 워킹그룹에서는 정책을 표현, 관리, 저장, 편집하는데 있어 기반 구조가 되는 정책 정보 모델을 제시하고 있다.
Policy Framework 워킹그룹의 정책 정보 모델 (PCIM: Policy Core Information Model) 은 RFC3060으로 표준화되었으며 그것의 수정 보완판도 준비중이다. PCIM은 확장성 및 유연성이 매우 좋은 장점을 지니고 있으나 모든 응용분야에 적용될 수 있는 추상적 개념들로만 구성되어 있으므로 구체적 응용분야에 PCIM을 활용하기 위해서는 추가적 개념들의 정립이 필요하다. 그러므로 QoS (Quality of Service) 와 IPsec (IP SECurity protocol) 분야에서는 PCIM을 기반으로 구체적으로 필요한 개념들을 추가적으로 정립하여 활용하고 있다.
그러나 앞서 설명한 PCIM을 다른 응용분야에 적용하기 위한 효율적인 방안은 해결되지 않은 문제로 남아 있으며, 특히 네트워크 보안 분야에서 효율적인 네트워크 보안 정책의 관리를 위해 PCIM를 적용하기 위한 방안이 요구되고 있다.
본 발명의 목적은 상기한 종래 기술의 문제점을 해결하기 위한 것으로서, 네트워크 보안 정책을 규칙 객체, 규칙 객체와 연관 관계를 갖는 적어도 하나 이상의 조건 객체 및 동작 객체, 그리고 이들 객체들 간의 연관관계를 이용하여 표현, 저장 및 편집하는 방법에 있어서, 보안 규칙 적용의 조건, 즉, 내부 통신망에 접근하는 패킷의 종류에 따른 조건을 나타내는 조건 객체, 이 조건에 대응하는 방법, 즉, 이러한 보안 상황을 경보하는 방법 등을 나타내는 동작객체 및 이와 연관관계를 갖는 객체들을 새로이 정의하고, 이들 객체들을 이용하여 네트워크 보안 정책을 효율적으로 표현, 저장 및 편집할 수 있는 방법을 제공하는 것이다.
도 1은 본 발명에 따른 네트워크 보안 정책의 표현, 저장 및 편집 방법이 사용되는 정책 기반의 네트워크 보안 관리 시스템의 구조를 나타내는 블록 도이고,
도 2a는 본 발명에 따른 규칙 객체 및 이와 연관 관계를 갖는 조건 객체를 나타내는 블록 도이고,
도 2b 내지 2d는 본 발명에 따른 원 패킷 조건 객체 및 이와 연관관계를 갖는 객체들을 나타내는 블록 도이고,
도 3은 본 발명에 따른 반복 패킷 조건 객체 및 이와 연관 관계를 갖는 객체를 나타내는 블록 도이고,
도 4는 본 발명에 따른 리니어 패킷 조건 객체 및 이와 연관 관계를 갖는 객체들을 나타내는 블록 도이고,
도 5는 본 발명에 따른 규칙 객체 및 이와 연관 관계를 갖는 동작 객체를 나타내는 블록 도이고,
도 6은 본 발명에 따른 알람 동작 객체 및 이와 연관 관계를 갖는 동작 객체를 나타내는 블록도 이고,
도 7 및 8은 본 발명의 실시 예에 따른 객체들 및 객체들간의 연관관계에 의해 표현된 네트워크 보안 정책의 구조를 도시한 도이고,
도 9는 본 발명에 따른 네트워크 보안 정책의 편집 방법 중에서 규칙 삽입과정을 나타내는 흐름 도이고,
도 10은 본 발명에 따른 원 패킷 조건의 삽입 과정을 나타내는 흐름 도이고,
도 11은 본 발명에 따른 리니어 패킷 조건의 삽입 과정을 나타내는 흐름 도이고,
도 12는 본 발명에 따른 반복 패킷 조건의 삽입 과정을 나타내는 흐름 도이고,
도 13은 본 발명에 따른 알람 동작의 삽입 과정을 나타내는 흐름 도이다.
<도면의 주요부분에 대한 부호의 설명>
200 : 규칙 객체 300 : 조건 객체
310 : 원 패킷 조건 객체 320 : 반복 패킷 조건 객체
330 : 리니어 패킷 조건 객체 400 : 동작 객체
410 : 알람 동작 객체
상기와 같은 목적을 달성하기 위해, 본 발명은, 네트워크 보안 정책의 표현 및 저장 방법에 있어서, 규칙 자체의 속성들을 포함하는 규칙 객체, 상기 규칙 적용의 조건을 나타내는 조건 객체, 상기 조건에 대한 대응방법을 나타내는 동작 객체, 상기 규칙 객체와 상기 조건 객체간의 연관관계, 상기 규칙 객체와 상기 동작 객체와의 연관관계를 이용하여 상기 네트워크 보안 정책을 표현하거나 또는 상기 표현된 네트워크 보안 정책을 저장하는 보안 정책 표현 및 저장 단계를 포함하며, 상기 조건 객체는 하나의 패킷을 분석하는 조건을 나타내는 원 패킷 조건 객체, 동일한 내용의 패킷이 반복되는 유형을 분석하는 조건을 나타내는 반복 패킷 조건 객체, 또는 일련의 패킷들이 일정한 패턴을 가지며 수신되는 유형을 분석하는 조건을 나타내는 리니어 패킷 조건 객체 중의 하나이거나, 상기 조건 객체와 연관관계를 갖는 객체인 것을 특징으로 하는 네트워크 보안 정책의 표현 및 저장 방법을 제공한다.
또한, 본 발명은, 네트워크 보안 정책의 표현 및 저장 방법에 있어서, 규칙 자체의 속성들을 포함하는 규칙 객체, 보안 동작을 나타내는 동작 객체, 상기 규칙 객체와 상기 동작 객체간의 연관관계를 이용하여 상기 네트워크 보안 정책을 표현하거나 또는 상기 표현된 네트워크 보안 정책을 저장하는 보안 정책 표현 및 저장 단계를 포함하며, 상기 동작 객체는 규칙 적용 상황을 경보하는 동작을 나타내는 알람 동작 객체, 현재 분석중인 패킷을 차단하는 동작을 나타내는 패킷 차단 동작 객체, 상기 패킷을 허용하는 동작을 나타내는 패킷 허용 동작 객체, 상기 패킷이 속한 세션을 차단하는 동작을 나타내는 세션 차단 동작 객체, 상기 패킷이 속한 세션을 허용하는 동작을 나타내는 세션 허용 동작 객체, 상기 패킷이 속한 세션의 정보를 저장하는 동작을 나타내는 세션 저장 동작 객체, 상기 패킷의 송신지를 추적하는 동작을 나타내는 추적 동작 객체, 또는 상기 패킷의 송신지에 ICMP 도달불가(unreachable) 메시지를 보내는 동작을 나타내는 ICMP 도달불가 메시지 송출 동작 객체 중의 하나이거나 상기 동작객체와 연관관계를 가지는 객체인 것을 특징으로 하는 네트워크 보안 정책의 표현 및 저장 방법을 제공한다.
또한, 본 발명은, 네트워크 보안 정책의 편집 방법에 있어서, 상기 네트워크 보안 정책은 규칙 자체의 속성들을 포함하는 규칙 객체, 상기 규칙 적용의 조건을 나타내는 조건 객체, 상기 조건에 대한 대응방법을 나타내는 동작 객체, 상기 규칙 객체와 상기 조건 객체간의 연관관계, 상기 규칙 객체와 상기 동작 객체와의 연관관계를 이용하여 표현되며, 상기 규칙 객체를 편집하는 단계와, 상기 규칙 객체와 연관관계를 가지는 조건 객체로서 하나의 패킷을 분석하는 조건을 나타내는 원 패킷 조건 객체, 동일한 내용의 패킷이 반복되는 유형을 분석하는 조건을 나타내는 반복 패킷 조건 객체, 또는 일련의 패킷들이 일정한 패턴을 가지며 수신되는 유형을 분석하는 조건을 나타내는 리니어 패킷 조건 객체 중의 하나를 선택하여 편집하는 단계와, 상기 조건 객체와 연관관계를 가지는 제 2 조건 객체를 편집하는 단계와, 상기 규칙 객체와 연관관계를 가지는 동작 객체를 선택하여 편집하는 단계를 포함하는 것을 특징으로 하는 네트워크 보안 정책의 편집 방법을 제공한다.
또한, 본 발명은, 네트워크 보안 정책의 편집 방법에 있어서, 상기 네트워크 보안 정책은 규칙 자체의 속성들을 포함하는 규칙 객체, 보안 동작을 나타내는 동작 객체, 상기 규칙 객체와 상기 동작 객체간의 연관관계를 이용하여 표현되며, 상기 규칙 객체를 편집하는 단계와, 상기 규칙 객체와 연관관계를 가지는 동작 객체로서 규칙 적용 상황을 경보하는 동작을 나타내는 알람 동작 객체, 현재 분석중인 패킷을 차단하는 동작을 나타내는 패킷 차단 동작 객체, 상기 패킷을 허용하는 동작을 나타내는 패킷 허용 동작 객체, 상기 패킷이 속한 세션을 차단하는 동작을 나타내는 세션 차단 동작 객체, 상기 패킷이 속한 세션을 허용하는 동작을 나타내는 세션 허용 동작 객체, 상기 패킷이 속한 세션의 정보를 저장하는 동작을 나타내는 세션 저장 동작 객체, 상기 패킷의 송신지를 추적하는 동작을 나타내는 추적 동작 객체, 또는 상기 패킷의 송신지에 ICMP 도달불가(unreachable) 메시지를 보내는 동작을 나타내는 ICMP 도달불가 메시지 송출 동작 객체 중의 하나를 선택하여 편집하는 단계를 포함하는 것을 특징으로 하는 네트워크 보안 정책의 편집 방법을 제공한다.
상기한 바와 같이 본 발명의 실시 예는 다수개가 존재할 수 있으며, 이하에서 첨부한 도면을 참조하여 바람직한 실시 예에 대하여 상세히 설명하기로 한다. 이 기술 분야의 당업자라면 이 실시 예를 통해 본 발명의 목적, 특징 및 이점들을잘 이해할 수 있을 것이다.
도 1은 본 발명에 따른 네트워크 보안 정책의 표현, 저장 및 편집 방법이 사용되는 정책기반의 네트워크 보안 관리 시스템의 구조를 나타내는 블록 도이다.
본 발명에 따른 네트워크 보안 정책의 표현, 저장 및 편집 방법이 사용되는 보안 관리 시스템은, 도 1에 도시된 바와 같이, 사이버 순찰 제어 시스템(Cyber Patrol Control System : CPCS)(120)과 이에 연결된 적어도 하나 이상의 보안 게이트웨이 시스템(Security Gateway System : SGS)(110)으로 구성될 수 있다. 여기서 사이버 순찰 제어 시스템(120)은 보안 관리 시스템의 네트워크 보안 정책 서버의 역할을 하며, 보안 게이트웨이 시스템(110)은 상기 보안 정책 서버의 클라이언트의 역할을 하게 된다.
각 보안 게이트웨이 시스템(110)은 외부 네트워크에서 내부 네트워크로 전송되는 패킷을 분석하고, 분석된 패킷이 내부 네트워크로의 공격을 목적으로 전송되는 경우를 탐지하여 사이버 순찰 제어 시스템(120)에 알려주며, 사이버 순찰 제어 시스템(120)이 보안 정책을 관리하는데 기초가 되는 트래픽 정보와 로그 정보를 전송한다. 사이버 순찰 제어 시스템(120)은 여러 보안 게이트웨이 시스템(110)이 전달하는 트래픽 정보, 로그 정보, 경보 정보를 이용하여, 각 보안 게이트웨이 시스템(110)이 탐지하지 못하는 보안 상황까지 탐지하여 보안 게이트웨이 시스템(110)에게 이러한 보안 상황에 대처하기 위해 필요한 보안 정책을 지시하는 기능을 가진다.
각 보안 게이트웨이 시스템(110)은 센서(Sensor), 분석기(Analyzer), 사이버순찰 에이전트(Cyber Patrol Agent) 등의 모듈로 구성될 수 있으며, 사이버 순찰 제어 시스템(120)은 정책 관리 도구(Policy Management Tool : PMT)(121), 정책 결정 모듈(Policy Decision Point : PDP)(122), 경보 관리기(Alert Manager : AM)(123), 상위 레벨 분석기(High Level Analyzer : HLA)(124) 등의 모듈로 구성될 수 있다.
각 보안 게이트웨이 시스템(110)의 센서는 외부 네트워크에서 내부 네트워크로 들어오는 패킷들을 복사하고, 복사된 패킷에서 필요한 정보만을 추출하는 기능을 수행한다. 분석기는 사이버 순찰 제어 시스템(120)에서 전송되어 데이터베이스(DB)(130)에 저장된 보안 정책 정보와 센서에 의해 추출된 정보를 비교 분석하여, 전송된 패킷이 내부 네트워크로의 침입을 목적으로 하는가를 결정한다. 사이버 순찰 에이전트는 분석기에 의해 탐지된 침입 정보를 구성하여 사이버 순찰 제어 시스템(120)에 전송하거나, 센서에게 해당 패킷 또는 해당 패킷이 포함된 세션을 차단하는 동작을 하도록 지시한다.
사이버 순찰 제어 시스템(120)의 사용자는 정책 관리 도구(121)를 이용하여 네트워크 보안 정책을 표현하며, 표현된 네트워크 보안 정책을 정책 저장고(Policy Repository : PR)(140)에 저장한다. 또한, 사용자는 정책 관리 도구(121)를 이용하여 필요에 따라 정책 저장고(140)에 저장된 네트워크 보안 정책을 편집할 수도 있다. 정책 관리 도구(121)는 이러한 기능을 수행할 때마다 그 결과를 정책 결정 모듈(122)에게 알려준다. 또한, 정책 결정 모듈(122)은 네트워크 보안 정책을 수행할 때 발생되는 문제점을 뷰어(Viewer)(150)를 통해 사용자에게 전달하는 기능을 수행한다. 정책 결정 모듈(122)은 현재 수행되어야 할 네트워크 보안 정책을 결정하며, 이렇게 결정된 네트워크 보안 정책을 정책 저장고(140)에서 해당 보안 게이트웨이 시스템(110)으로 전달하는 역할을 수행한다. 경보 관리기(123)는 여러 보안 게이트웨이 시스템(110)에서 전송된 경보 데이터를 경보 데이터베이스(160)에 저장하고, 저장된 경보 데이터를 분석하여 그 결과를 뷰어(150)를 통하여 사용자에게 알려준다. 사이버 순찰 제어 시스템(120)의 상위레벨 분석기(124)는 보안 게이트웨이 시스템(110)으로부터 전송된 트래픽 정보와 로그 정보를 이용하여, 각 보안 게이트웨이 시스템(110)에서 탐지할 수 없는 보안 상황을 탐지하는 역할을 수행한다.
상기와 같은 구성을 갖는 사이버 순찰 제어 시스템(120)의 사용자가 정책 관리 도구(121) 등을 이용하여 표현 또는 저장하는 네트워크 보안 정책을 구성하는 객체들과 이 객체들 사이의 연관관계는 도 2a 내지 2d, 도 3 내지 도 6을 참조하여 설명하기로 한다.
도 2a에 도시된 바와 같이, 규칙 객체(200)와 연관 관계(500)를 갖는 조건 객체(300)는, 하나의 패킷을 분석하는 조건을 나타내는 원 패킷 조건 객체(310), 동일한 내용의 패킷이 반복되어 전송되는 경우를 분석하는 조건을 나타내는 반복 패킷 조건 객체(320), 또는 연속적으로 수신되는 다수의 패킷이 특정한 패턴을 이루는 경우를 분석하는 조건을 나타내는 리니어 패킷 조건 객체(330)가 될 수 있다.
도 2b는 원 패킷 조건 객체(310) 및 이와 연관관계를 가지는 객체들을 도시하고 있다. 사용자가 선택한 조건 객체(300) 중에서 원 패킷 조건 객체(310)의 속성은 분석할 각 사항들의 조합 방법(AND/OR)을 나타내는 속성(ConditionListType)또는 그 외의 다른 속성이 될 수 있다. 원 패킷 조건 객체(310)는 분석할 각 사항들을 개별적으로 명시하는 별도의 조건 객체(들)(311)와 연관관계(314)를 갖는다. 분석할 사항들을 개별적으로 명시하는 조건 객체(311)는 외부 통신망으로부터 수신된 패킷의 페이로드에 어떤 내용이 포함되어 있는지 검사하는 조건을 나타내는 페이로드 검사 조건 객체(312)이거나, 패킷 헤더의 어떤 필드를 검사하는 조건을 나타내는 비교 조건 객체(313)이거나, 이러한 조건 객체(312 또는 313)와 연관 관계를 가지는 조건 객체가 될 수 있다.
도 2c에 도시된 바와 같이, 페이로드 검사 조건 객체(312)는, 페이로드를 나타내는 페이로드 변수 객체(316) 뿐만 아니라 변수 객체(316)의 값과 비교될 페이로드 값을 나타내는 값 객체(317)와 연관 관계(318, 319)를 갖는다.
또한 도 2d에 도시된 바와 같이, 비교 조건 객체(313)는, 패킷 헤더의 어떤 필드를 검사할 때 사용될 연산자(Operator)를 속성으로 가지며, 검사할 필드를 나타내는 IP 헤더 변수 객체(340), 검사한 필드와 비교할 값을 나타내는 값 객체(342) 또는 비교할 또 다른 변수를 나타내는 변수 객체(343)와 연관관계(344, 341)를 가진다.
도 3은 반복 패킷 조건 객체(320) 및 이와 연관관계를 가지는 객체들을 도시하고 있다. 도 3에 도시된 바와 같이, 규칙 적용의 근거를 명시하는 조건 객체(300) 중에서 동일한 패킷이 반복되는 유형을 분석하는 조건을 나타내는 반복 패킷 조건 객체(320)는, 동일한 패킷이 반복되는 시간 간격 및 반복 횟수를 나타내는 속성(IntervalOfTime, BoundOfNumberOfPackets)을 갖으며, 또 다른 조건 객체와연관 관계(321)를 갖는다. 이때 연관 관계(321)를 갖는 조건 객체는 하나의 패킷을 분석하는 조건을 나타내는 원 패킷 조건 객체(310)로서 어떤 패킷이 반복되는지를 나타낸다.
도 4는 리니어 패킷 조건 객체 및 이와 연관관계를 가지는 객체들을 나타내고 있다. 규칙 적용의 근거를 명시하는 조건 객체(300) 중에서 일정한 패턴을 가지며 수신되는 일련의 패킷들을 분석하는 조건을 나타내는 리니어 패킷 조건 객체(330)는, 분석할 패킷의 개수를 속성(NumberOfPackets)으로 갖으며, 연속되는 패킷들 중에서 각각 하나의 패킷을 분석하는 다수의 원 패킷 조건 객체(310)와 연관 관계(331)를 갖는다. 여기서 원 패킷 조건 객체(310)는 일정한 패턴을 가지며 연속되어 수신되는 다수의 패킷의 각각을 나타낸다.
도 5는 보안 동작을 나타내는 동작 객체(400)를 도시한다. 도 5에 도시된 바와 같이, 규칙 객체(200)와 연관 관계(600)에 있으며 외부 침입에 대한 대응 방법을 나타내는 동작 객체(400)는, 규칙 적용 상황을 통보하는 동작을 나타내는 알람 동작 객체(410), 외부 통신망에서 전송된 패킷을 차단하는 동작을 나타내는 패킷 차단 동작 객체(420), 해당 패킷이 속한 세션을 차단하는 동작을 나타내는 세션 차단 동작 객체(430), 해당 패킷을 허용하는 동작을 나타내는 패킷 허용 동작 객체(440), 해당 패킷이 속한 세션을 허용하는 동작을 나타내는 세션 허용 동작 객체(450), 해당 패킷이 속해 있는 세션 정보를 저장하는 동작을 나타내는 세션 저장 동작 객체(460), 패킷의 송신지를 추적하는 동작을 나타내는 추적 동작 객체(470), 해당 패킷의 송신지에 ICMP 도달불가(unreachable) 메시지를 송출하는 동작을 나타내는 ICMP 도달불가 메시지 송출 동작 객체(480)이거나 이러한 동작 객체와 연관관계를 갖는 객체이다.
도 6에 도시된 바와 같이, 대응 방법을 나타내는 동작 객체(400) 중에서 알람 동작 객체(410)는, 규칙 적용 상황에 대한 기술을 속성(AlertDescription)으로 가지며, 사용자에게 경보하는 방법을 나타내는 적어도 하나 이상의 알람 방법 동작 객체(510)와 연관 관계(520)를 갖는다.
알람 동작 객체(410)와 연관 관계(520)를 갖는 알람 방법 동작 객체(510)에는, 경보 메시지를 저장하는 동작을 나타내는 메시지 저장 동작 객체(511), 경보 메시지를 출력하는 동작을 나타내는 메시지 출력 동작 객체(512), 경보 메시지를 전자메일로 전송하는 동작을 나타내는 메일 전송 동작 객체(513), 경보 메시지를 위한 새로운 윈도우를 생성하는 동작을 나타내는 윈도우 생성 동작 객체(514), 또는 이러한 동작 객체와 연관관계를 가지는 동작 객체가 포함된다.
도 7 및 8은 앞서 설명한 규칙 객체, 조건 객체 및 동작 객체와 이들 간의 연관관계를 이용하여 표현된 네트워크 보안 정책의 예를 보여주고 있다.
도 7에 나타난 보안 규칙은, 외부 통신망으로부터 전송된 UDP(User Datagram Protocol) 패킷의 목적지가 "129.254.122.00/24"이고 패킷에 포함된 페이로드에 16 진수 “OA 68 65 6c 70 OA 71 75 69 74 OA”를 포함하면, 이 경우에“Access try to WinCrash Backdoor”이라는 메시지를 보안 관리 시스템에 저장함과 아울러 보안 관리자가 인식할 수 있도록 보안 관리 시스템의 표시 장치에 출력하는 경보 동작을 지시하고 있다.
도 7에 나타난 보안 규칙에서, 규칙 자체의 속성들을 포함하는 규칙 객체(200)에 대한 클래스는 SecurityRule이고, 하나의 패킷을 분석하는 조건을 나타내는 조건 객체(310)에 대한 클래스는 OnePacketCondition이고, OnePacketCondition의 분석할 각 사항들의 조합 방법을 나타내는 속성은 ConditionListType이고, 패킷 헤더의 어떤 필드를 값과 비교하는 조건을 나타내는 조건 객체(310a, 310b)에 대한 클래스는 VariableValueComparisonCondition이고, 검사할 때 사용될 연산자를 나타내는 속성은 Operator이고, 패킷의 페이로드에 어떤 내용이 포함되어 있는지 검사하는 조건 객체(310c)에 대한 클래스는 PayloadMatchingCondition이고, 페이로드를 나타내는 변수 객체(310j)에 대한 클래스는 PayloadVariable이다. 또한, 규칙 적용 상황을 경보하는 동작을 나타내는 동작 객체(410a)에 대한 클래스는 AggregatedAlertAction이고, AggregatedAlertAction은 규칙 적용 상황에 대한 기술을 나타내는 AlertDescription을 속성으로 가진다. 경보 메시지를 저장하는 동작 객체(410b)를 나타내는 클래스는 MessageStoreAction이고, 경보 메시지를 출력하는 동작 객체(410c)를 나타내는 클래스는 MessageShowAction이다.
도 8은 반복되는 패킷의 유형을 분석하는 조건을 나타내는 조건 객체를 포함하는 보안 정책을 나타내고 있다. 여기서 사용자가 표현하고자 하는 네트워크 보안 규칙은 목적지가 129.254.122.00이고 ICMP 타입이 8인 ICMP 패킷이 2초 동안 20개 이상 들어오면 "Attack try of Denial of Service using smurf"라는 메시지를 저장하고 출력하는 경보 동작을 하라는 것이다.
도 8에 도시된 보안 정책에서도 도 7에 도시된 것과 같은 클래스 및 속성들을 사용하지만, 여기서는 특히 반복되는 패킷의 유형을 분석하는 조건을 나타내는 조건 객체에 대한 클래스로서 RepeatedPacketCondition을 사용한다. RepeatedPacketCondition은 시간 간격을 나타내는 IntervalOfTime과 반복횟수를 나타내는 BoundOfNumberOfPackets를 속성으로 가지며, 하나의 패킷을 분석하는 조건을 나타내는 조건 객체에 대한 클래스인 OnePacketCondition과 연관되어 있다.
도 2 내지 도 8을 참조하여 설명된 규칙 객체, 조건 객체 또는 동작 객체, 그리고 이들 객체들과 연관관계를 가지는 객체들로 표현된 네트워크 보안 정책은 네트워크 보안 상황이 변동함에 따라 사용자에 의해 편집이 가능한데, 네트워크 보안 정책의 편집은 보안 정책을 나타내는 규칙 객체, 조건 객체 또는 동작 객체, 그리고 이들과 연관관계를 갖는 객체들의 삽입, 삭제, 수정 등의 과정으로 이루어진다.
도 9는 본 발명에 따른 네트워크 보안 정책의 편집 과정 중에서 규칙 삽입 과정을 나타내는 흐름 도이다. 도 9에 도시된 바와 같이, 먼저 사용자는 보안 규칙을 나타내는 규칙 객체의 속성 값을 입력한다(단계 910). 사용자가 그 값을 입력할 수 있는 규칙 객체의 속성은 "PolicyRulename", "Priority", "IntrusionImpact" 등이 있다.
사용자가 규칙 객체의 속성의 값들을 입력한 후에는, 규칙 객체에 의해 표현된 규칙 적용의 근거를 명시한 조건인 원 패킷(one packet) 조건, 리니어 패킷(linear packet) 조건 및 반복 패킷(repeated packet) 조건 중에서 하나를 선택할 수 있다(단계 920).
사용자가 원 패킷 조건, 리니어 패킷 조건 또는 반복 패킷 조건 중의 하나를 선택하여 삽입하는 과정(단계 930 내지 950)은, 선택된 조건을 나타내는 객체의 속성 값을 입력하고, 선택된 조건과 연관관계를 갖는 또 다른 조건들을 삽입하는 과정으로 이루어진다.
예를 들어, 사용자가 원 패킷 조건을 선택하여 삽입하는 경우(단계 930)에는 도 10에 도시된 바와 같은 순서로 조건(또는 조건 객체) 삽입 과정이 이루어진다.
사용자는 먼저 원 패킷 조건을 나타내는 객체의 속성 값을 입력한다(단계 1010). 도 2b에 도시된 바와 같이, 원 패킷 조건 객체(310)의 속성은 분석할 각 사항들의 조합 방법(AND/OR)을 나타내는 속성(ConditionListType) 또는 그 외의 다른 속성이 될 수 있다. 다음으로 사용자는 원 패킷 조건과 연관관계를 가지는 다른 조건을 추가할 것인가를 결정한다(단계 1020). 다른 조건을 추가하는 경우에는 어떤 종류의 조건을 추가할 것인가를 결정한다(단계 1030). 원 패킷 조건과 연관관계를 갖는 것으로서 추가할 수 있는 조건은, 도 2b 내지 도 2d에 도시된 바와 같이, 연산자(Operator)를 속성으로 갖는 비교 조건(313) 또는 페이로드 검사 조건(312)이 될 수 있다. 비교 조건 또는 페이로드 검사 조건 중의 하나를 추가하여 삽입하는 과정(단계 1040 또는 1050)은, 비교 조건 또는 페이로드 검사 조건을 나타내는 객체의 속성 값을 입력하고, 이들 조건 객체에 연관관계를 갖는 또 다른 객체를 삽입하는 과정으로 이루어진다. 이러한 객체에는, 도 2d에 도시된 바와 같이, IP 헤더 변수 객체(340)가 포함될 수 있으며, 여기에 또 다른 변수 객체(343) 또는 값객체(342)가 더 포함될 수 있다. 변수 객체(343)는 외부 통신망에서 전송된 패킷의 헤더 또는 그 이외의 변수를 나타내며, 값 객체(342)는 IP 헤더 변수 객체(340)가 나타내는 것과 비교할 대상인 값 또는 그 이외의 값을 나타낼 수 있다. 사용자가 원 패킷 조건과 연관관계를 갖는 조건의 삽입과정을 마친 후에는(단계 1040 또는 1050), 또 다른 조건을 추가할 것인가를 결정한다(단계 1020). 사용자가 또 다른 조건을 추가하지 않는 경우에는 원 패킷 조건의 삽입 과정(단계 930)이 종료된다.
만약, 사용자가 리니어 패킷 조건을 선택하여 삽입한 경우(단계 940)에는 도 11에 도시된 바와 같은 순서로 조건(또는 조건 객체) 삽입 과정이 이루어진다.
사용자는 먼저 리니어 패킷 조건을 나타내는 객체의 속성 값을 입력한다(단계 1210). 도 4에 도시된 바와 같이, 리니어 패킷 조건 객체(330)의 속성은 "NumberOfPackets" 또는 그 외의 다른 속성들이 될 수 있다. 다음으로 사용자는 리니어 패킷 조건과 연관관계를 가지는 원 패킷 조건을 삽입한다(단계 1220 내지 1240). 이때 삽입되는 원 패킷 조건은 일정한 패턴을 가지며 수신되는 일련의 패킷들의 각각을 분석하는 조건을 나타내며, 그 삽입과정(단계 1240)은 도 10에 도시된 바와 같다.
만약, 사용자가 반복 패킷 조건을 선택하여 삽입한 경우(단계 950)에는 도 12에 도시된 바와 같은 순서로 조건(또는 조건 객체) 삽입 과정이 이루어진다.
사용자는 먼저 반복 패킷 조건을 나타내는 속성 값을 입력한다(단계 1110). 도 3에 도시된 바와 같이, 반복 패킷 조건 객체(320)의 속성은 "IntervalOfTime" 및 "BoundOfNumberOfPackets" 또는 그 외의 다른 속성들이 될 수 있다. 다음으로사용자는 반복 패킷 조건과 연관관계를 가지는 원 패킷 조건을 삽입한다(단계 1120). 이때 삽입되는 원 패킷 조건은 반복되어 수신되는 동일한 내용의 패킷들의 각각을 분석하는 조건을 나타내며, 그 삽입과정은 도 10에 도시된 바와 같다.
다음으로, 사용자는 상기한 조건 객체 및/또는 그와 연관관계를 갖는 객체들에 의해 표현된 조건이 만족될 경우에 행해질 대응 방법 또는 독립적인 보안 동작을 나타내는 동작(또는 동작 객체)을 삽입하게 된다.
도 9에 도시된 바와 같이, 조건(또는 조건 객체)의 삽입 과정과 동작 (또는 동작 객체)의 삽입 과정은 선후관계가 뒤바뀔 수 있으며, 동시에 진행될 수도 있다. 또한, 조건의 삽입과정 없이, 동작의 삽입 과정만 이루어질 수도 있다.
동작 및 이와 연관된 동작의 삽입과정은 다음과 같이 이루어진다.
사용자는 먼저 알람 동작을 삽입한다(단계 960). 알람 동작의 삽입과정은 도 13에 도시되어 있다.
사용자는 알람 동작을 나타내는 객체의 속성 값을 입력한다(단계 1310). 도 6에 도시된 바와 같이, 알람 동작 객체(410)는 경보할 내용을 나타내는 "Alert Description"을 속성으로 가질 수 있다. 다음으로, 사용자는 알람 동작(410)과 연관관계를 갖는 메시지 저장 동작(511)과 메시지 출력 동작(512)을 삽입한다(단계 1320 및 1330). 메시지 저장 동작 및 메시지 출력 동작을 삽입한 후, 사용자는 또 다른 동작을 추가할 것인가를 결정한다(단계 1340). 동작을 추가하기로 결정한 사용자는 어떤 동작을 추가할 것인가를 결정하며(단계 1350), 이렇게 결정된 동작, 즉 윈도우 생성 동작(514) 또는 메일 전송 동작(513) 중의 하나의 동작을삽입한다(단계 1360 또는 1370). 사용자가 더 이상 동작을 추가하지 않기로 결정한 경우에는 알람 동작의 삽입 과정(단계 960)이 종료된다.
사용자가 알람 동작을 삽입한 후에는(단계 960), 또 다른 동작을 추가할 것인지를 결정하게 된다(단계 970). 동작을 추가하는 경우에는, 도 5에 도시된 바와 같이, 패킷 차단 동작(420), 세션 차단 동작(430), 패킷 허용 동작(440), 세션 허용 동작(450), 세션 저장 동작(460), 추적 동작(470) 또는 ICMP 도달불가 메시지 송출 동작(480) 중의 하나의 동작을 선택하여 삽입한다(단계 980, 단계 990 내지 997).
지금까지 설명된 규칙 객체, 이와 연관관계를 갖는 조건 객체 및 동작 객체, 그리고 이들 조건 객체 또는 동작 객체와 연관관계를 갖는 객체들의 삽입과정을 통하여 표현된 네트워크 보안 정책은 정책 저장고(140)에 저장되고, 저장된 네트워크 보안 정책은 필요에 따라 전체적으로 또는 부분적으로 사용자에 의해 편집 가능하다. 네트워크 보안 정책의 편집 과정은 네트워크 보안 정책을 구성하는 동작 및 조건을 나타내는 객체들의 부분적인 삭제, 이들 객체들의 속성 값의 변경, 또는 새로운 객체들의 삽입을 통하여 이루어질 수 있다.
이상 설명한 바와 같이, 본 발명은 정책 기반의 네트워크 보안 관리 시스템에서 네트워크 보안 정책을 확장성 및 유연성 있게 표현, 저장 및 편집하는 방법을 제공함으로써, 정책 기반 네트워크 보안 관리 시스템의 개발비용과 시간을 단축시키는 효과를 갖고 있다.
특히, 본 발명에 의하면, 네트워크 보안 관리 시스템의 설계자는 네트워크 보안 정책을 편집하기 위한 네트워크 보안 정책 관리 도구의 동작 구조, 네트워크 보안 정책을 효과적으로 검색하기 위한 데이터베이스 스키마, 또는 네트워크 보안 정책 서버가 클라이언트에게 네트워크 보안 정책을 제공할 때 사용하는 객체의 구조를 직접적으로 설계할 수 있다.
또한, 본 발명에 따르면, 네트워크 보안 정책 관리 도구의 동작 구조, 네트워크 보안 정책을 위한 데이터베이스 스키마, 또는 네트워크 보안 정책 제공 객체의 구조의 변경 없이 또는 약간의 수정만으로, 수시로 변화하는 보안정책을 유연성 있게 수용할 수 있다.

Claims (22)

  1. 네트워크 보안 정책의 표현 및 저장 방법에 있어서,
    규칙 자체의 속성들을 포함하는 규칙 객체, 상기 규칙 적용의 조건을 나타내는 조건 객체, 상기 조건에 대한 대응방법을 나타내는 동작 객체, 상기 규칙 객체와 상기 조건 객체간의 연관관계, 상기 규칙 객체와 상기 동작 객체와의 연관관계를 이용하여 상기 네트워크 보안 정책을 표현하거나 또는 상기 표현된 네트워크 보안 정책을 저장하는 보안 정책 표현 및 저장 단계를 포함하며,
    상기 조건 객체는 하나의 패킷을 분석하는 조건을 나타내는 원 패킷 조건 객체, 동일한 내용의 패킷이 반복되는 유형을 분석하는 조건을 나타내는 반복 패킷 조건 객체, 또는 일련의 패킷들이 일정한 패턴을 가지며 수신되는 유형을 분석하는 조건을 나타내는 리니어 패킷 조건 객체 중의 하나이거나, 상기 조건 객체와 연관관계를 갖는 객체인 것을 특징으로 하는 네트워크 보안 정책의 표현 및 저장 방법.
  2. 네트워크 보안 정책의 표현 및 저장 방법에 있어서,
    규칙 자체의 속성들을 포함하는 규칙 객체, 보안 동작을 나타내는 동작 객체, 상기 규칙 객체와 상기 동작 객체간의 연관관계를 이용하여 상기 네트워크 보안 정책을 표현하거나 또는 상기 표현된 네트워크 보안 정책을 저장하는 보안 정책 표현 및 저장 단계를 포함하며,
    상기 동작 객체는 규칙 적용 상황을 경보하는 동작을 나타내는 알람 동작 객체, 현재 분석중인 패킷을 차단하는 동작을 나타내는 패킷 차단 동작 객체, 상기 패킷을 허용하는 동작을 나타내는 패킷 허용 동작 객체, 상기 패킷이 속한 세션을 차단하는 동작을 나타내는 세션 차단 동작 객체, 상기 패킷이 속한 세션을 허용하는 동작을 나타내는 세션 허용 동작 객체, 상기 패킷이 속한 세션의 정보를 저장하는 동작을 나타내는 세션 저장 동작 객체, 상기 패킷의 송신지를 추적하는 동작을 나타내는 추적 동작 객체, 또는 상기 패킷의 송신지에 ICMP 도달불가(unreachable) 메시지를 보내는 동작을 나타내는 ICMP 도달불가 메시지 송출 동작 객체 중의 하나이거나 상기 동작객체와 연관관계를 가지는 객체인 것을 특징으로 하는 네트워크 보안 정책의 표현 및 저장 방법.
  3. 제 1 항에 있어서,
    상기 동작 객체는 규칙 적용 상황을 경보하는 동작을 나타내는 알람 동작 객체, 현재 분석중인 패킷을 차단하는 동작을 나타내는 패킷 차단 동작 객체, 상기 패킷을 허용하는 동작을 나타내는 패킷 허용 동작 객체, 상기 패킷이 속한 세션을 차단하는 동작을 나타내는 세션 차단 동작 객체, 상기 패킷이 속한 세션을 허용하는 동작을 나타내는 세션 허용 동작 객체, 상기 패킷이 속한 세션의 정보를 저장하는 동작을 나타내는 세션 저장 동작 객체, 상기 패킷의 송신지를 추적하는 동작을 나타내는 추적 동작 객체, 또는 상기 패킷의 송신지에 ICMP 도달불가(unreachable) 메시지를 보내는 동작을 나타내는 ICMP 도달불가 메시지 송출 동작 객체 중의 하나이거나 상기 동작객체와 연관관계를 가지는 객체인 것을 특징으로 하는 네트워크보안 정책의 표현 및 저장 방법.
  4. 제 1 항에 있어서,
    상기 반복 패킷 조건 객체는, 시간 간격을 나타내는 속성 및 상기 시간 간격 내에서의 패킷의 반복 횟수를 나타내는 속성을 가지며, 상기 반복되는 패킷의 각각을 분석하는 조건을 나타내는 적어도 하나 이상의 상기 원 패킷 조건 객체와 연관관계를 가지는 것을 특징으로 하는 네트워크 보안 정책의 표현 및 저장 방법.
  5. 제 1 항에 있어서,
    상기 리니어 패킷 조건 객체는, 상기 일련의 패킷들의 개수를 나타내는 속성을 가지며, 상기 일련의 패킷들의 각각을 분석하는 조건을 나타내는 적어도 하나 이상의 상기 원 패킷 조건 객체와 연관관계를 가지는 것을 특징으로 하는 네트워크 보안 정책의 표현 및 저장 방법.
  6. 제 1 항, 제 4 항 또는 제 5 항 중의 어느 하나의 항에 있어서,
    상기 원 패킷 조건 객체는, 분석 사항들의 조합방법을 나타내는 속성을 가지며, 상기 분석 사항들의 각각을 명시하는 적어도 하나 이상의 조건 객체와 연관관계를 가지는 것을 특징으로 하는 네트워크 보안 정책의 표현 및 저장 방법.
  7. 제 6 항에 있어서,
    상기 분석 사항을 명시하는 조건 객체는, 상기 패킷의 페이로드(payload)에 어떤 내용이 포함되어 있는지 검사하는 페이로드 검사 조건 객체이며,
    상기 페이로드 검사 조건 객체는, 상기 페이로드를 나타내는 변수 객체 및 상기 페이로드와 비교할 값을 나타내는 값 객체와 연관관계를 가지는 것을 특징으로 하는 네트워크 보안 정책의 표현 및 저장 방법.
  8. 제 6 항에 있어서,
    상기 분석 사항을 명시하는 조건 객체는 상기 패킷의 헤더의 특정 필드를 검사하는 조건을 나타내는 비교 조건 객체이고,
    상기 비교 조건 객체는 상기 필드의 검사에 사용되는 연산자를 나타내는 속성을 가지며, 상기 특정 필드를 나타내는 변수 객체 및 상기 특정 필드와 비교할 대상인 값을 나타내는 값 객체와 연관관계를 가지는 것을 특징으로 하는 네트워크 보안 정책의 표현 및 저장 방법.
  9. 제 6 항에 있어서,
    상기 분석 사항을 명시하는 조건 객체는 상기 패킷의 헤더의 특정 필드를 검사하는 조건을 나타내는 비교 조건 객체이고,
    상기 비교 조건 객체는 상기 필드의 검사에 사용되는 연산자를 나타내는 속성을 가지며, 상기 특정 필드를 나타내는 변수 객체 및 상기 특정 필드와 비교할 대상인 다른 변수를 나타내는 변수 객체와 연관관계를 가지는 것을 특징으로 하는네트워크 보안 정책의 표현 및 저장 방법.
  10. 제 2 항 또는 제 3 항에 있어서,
    상기 알람 동작 객체는, 상기 규칙 적용 상황을 나타내는 속성을 가지며, 상기 경보의 방법을 나타내는 적어도 하나 이상의 알람 방법 동작 객체와 연관관계를 가지는 것을 특징으로 하는 네트워크 보안 정책의 표현 및 저장 방법.
  11. 제 10 항에 있어서,
    상기 알람 방법 동작 객체는,
    경보 메시지를 저장하는 동작을 나타내는 메시지 저장 동작 객체, 경보 메시지를 표시하는 동작을 나타내는 메시지 출력 동작 객체, 경보 메시지를 전자우편으로 보내는 동작을 나타내는 메일 전송 동작 객체, 또는 경보 메시지를 위한 새로운 윈도우를 생성하는 동작을 나타내는 윈도우 생성 동작 객체이거나,
    상기 알람 방법 동작 객체와 연관관계를 가지는 것을 특징으로 하는 네트워크 보안 정책의 표현 및 저장 방법.
  12. 네트워크 보안 정책의 편집 방법에 있어서,
    상기 네트워크 보안 정책은 규칙 자체의 속성들을 포함하는 규칙 객체, 상기 규칙 적용의 조건을 나타내는 조건 객체, 상기 조건에 대한 대응방법을 나타내는 동작 객체, 상기 규칙 객체와 상기 조건 객체간의 연관관계, 상기 규칙 객체와 상기 동작 객체와의 연관관계를 이용하여 표현되며,
    상기 규칙 객체를 편집하는 단계와,
    상기 규칙 객체와 연관관계를 가지는 조건 객체로서 하나의 패킷을 분석하는 조건을 나타내는 원 패킷 조건 객체, 동일한 내용의 패킷이 반복되는 유형을 분석하는 조건을 나타내는 반복 패킷 조건 객체, 또는 일련의 패킷들이 일정한 패턴을 가지며 수신되는 유형을 분석하는 조건을 나타내는 리니어 패킷 조건 객체 중의 하나를 선택하여 편집하는 단계와,
    상기 조건 객체와 연관관계를 가지는 제 2 조건 객체를 편집하는 단계와,
    상기 규칙 객체와 연관관계를 가지는 동작 객체를 선택하여 편집하는 단계를 포함하는 것을 특징으로 하는 네트워크 보안 정책의 편집 방법.
  13. 네트워크 보안 정책의 편집 방법에 있어서,
    상기 네트워크 보안 정책은 규칙 자체의 속성들을 포함하는 규칙 객체, 보안 동작을 나타내는 동작 객체, 상기 규칙 객체와 상기 동작 객체간의 연관관계를 이용하여 표현되며,
    상기 규칙 객체를 편집하는 단계와,
    상기 규칙 객체와 연관관계를 가지는 동작 객체로서 규칙 적용 상황을 경보하는 동작을 나타내는 알람 동작 객체, 현재 분석중인 패킷을 차단하는 동작을 나타내는 패킷 차단 동작 객체, 상기 패킷을 허용하는 동작을 나타내는 패킷 허용 동작 객체, 상기 패킷이 속한 세션을 차단하는 동작을 나타내는 세션 차단 동작 객체, 상기 패킷이 속한 세션을 허용하는 동작을 나타내는 세션 허용 동작 객체, 상기 패킷이 속한 세션의 정보를 저장하는 동작을 나타내는 세션 저장 동작 객체, 상기 패킷의 송신지를 추적하는 동작을 나타내는 추적 동작 객체, 또는 상기 패킷의 송신지에 ICMP 도달불가(unreachable) 메시지를 보내는 동작을 나타내는 ICMP 도달불가 메시지 송출 동작 객체 중의 하나를 선택하여 편집하는 단계를 포함하는 것을 특징으로 하는 네트워크 보안 정책의 편집 방법.
  14. 제 12 항에 있어서,
    상기 동작 객체는 규칙 적용 상황을 경보하는 동작을 나타내는 알람 동작 객체, 현재 분석중인 패킷을 차단하는 동작을 나타내는 패킷 차단 동작 객체, 상기 패킷을 허용하는 동작을 나타내는 패킷 허용 동작 객체, 상기 패킷이 속한 세션을 차단하는 동작을 나타내는 세션 차단 동작 객체, 상기 패킷이 속한 세션을 허용하는 동작을 나타내는 세션 허용 동작 객체, 상기 패킷이 속한 세션의 정보를 저장하는 동작을 나타내는 세션 저장 동작 객체, 상기 패킷의 송신지를 추적하는 동작을 나타내는 추적 동작 객체, 또는 상기 패킷의 송신지에 ICMP 도달불가(unreachable) 메시지를 보내는 동작을 나타내는 ICMP 도달불가 메시지 송출 동작 객체 중의 하나이거나 상기 동작객체와 연관관계를 가지는 객체인 것을 특징으로 하는 네트워크 보안 정책의 편집 방법.
  15. 제 12 항에 있어서,
    상기 반복 패킷 조건 객체는 시간 간격을 나타내는 속성 및 상기 시간 간격 내에서의 패킷의 반복 횟수를 나타내는 속성을 가지며,
    상기 제 2 조건 객체는 상기 반복되는 패킷의 각각을 분석하는 조건을 나타내는 원 패킷 조건 객체인 것을 특징으로 하는 네트워크 보안 정책의 편집 방법.
  16. 제 12 항에 있어서,
    상기 리니어 패킷 조건 객체는 상기 일련의 패킷들의 개수를 나타내는 속성을 가지며,
    상기 제 2 조건 객체는 상기 일련의 패킷들의 각각을 분석하는 조건을 나타내는 원 패킷 조건 객체인 것을 특징으로 하는 네트워크 보안 정책의 편집 방법.
  17. 제 12 항, 제 15 항 또는 제 16 항 중의 어느 하나의 항에 있어서,
    상기 원 패킷 조건 객체는, 분석 사항들의 조합방법을 나타내는 속성을 가지며, 상기 분석 사항들의 각각을 명시하는 적어도 하나 이상의 조건 객체와 연관관계를 가지는 것을 특징으로 하는 네트워크 보안 정책의 편집 방법.
  18. 제 17 항에 있어서,
    상기 분석 사항을 명시하는 조건 객체는, 상기 패킷의 페이로드(payload)에 어떤 내용이 포함되어 있는지 검사하는 페이로드 검사 조건 객체이며,
    상기 페이로드 검사 조건 객체는, 상기 페이로드를 나타내는 변수 객체 및상기 페이로드와 비교할 값을 나타내는 값 객체와 연관관계를 가지는 것을 특징으로 하는 네트워크 보안 정책의 편집 방법.
  19. 제 17 항에 있어서,
    상기 분석 사항을 명시하는 조건 객체는 상기 패킷의 헤더의 특정 필드를 검사하는 조건을 나타내는 비교 조건 객체이고,
    상기 비교 조건 객체는 상기 필드의 검사에 사용되는 연산자를 나타내는 속성을 가지며, 상기 특정 필드를 나타내는 변수 객체 및 상기 특정 필드와 비교할 대상인 값을 나타내는 값 객체와 연관관계를 가지는 것을 특징으로 하는 네트워크 보안 정책의 편집 방법.
  20. 제 17 항에 있어서,
    상기 분석 사항을 명시하는 조건 객체는 상기 패킷의 헤더의 특정 필드를 검사하는 조건을 나타내는 비교 조건 객체이고,
    상기 비교 조건 객체는 상기 필드의 검사에 사용되는 연산자를 나타내는 속성을 가지며, 상기 특정 필드를 나타내는 변수 객체 및 상기 특정 필드와 비교할 대상인 다른 변수를 나타내는 변수 객체와 연관관계를 가지는 것을 특징으로 하는 네트워크 보안 정책의 편집 방법.
  21. 제 13 항 또는 제 14 항에 있어서,
    상기 알람 동작 객체는 상기 규칙 적용 상황을 나타내는 속성을 가지며,
    상기 제 2 동작 객체는 경보의 방법을 나타내는 알람 방법 동작 객체인 것을 특징으로 하는 네트워크 보안 정책의 편집 방법.
  22. 제 21 항에 있어서,
    상기 알람 방법 동작 객체는,
    경보 메시지를 저장하는 동작을 나타내는 메시지 저장 동작 객체, 경보 메시지를 표시하는 동작을 나타내는 메시지 출력 동작 객체, 경보 메시지를 전자우편으로 보내는 동작을 나타내는 메일 전송 동작 객체, 또는 경보 메시지를 위한 새로운 윈도우를 생성하는 동작을 나타내는 윈도우 생성 동작 객체인 것을 특징으로 하는 네트워크 보안 정책의 편집 방법.
KR10-2002-0002465A 2002-01-16 2002-01-16 네트워크 보안 정책의 표현,저장 및 편집 방법 KR100439177B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR10-2002-0002465A KR100439177B1 (ko) 2002-01-16 2002-01-16 네트워크 보안 정책의 표현,저장 및 편집 방법
US10/234,207 US20030135759A1 (en) 2002-01-16 2002-09-05 Method for representing, storing and editing network security policy

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0002465A KR100439177B1 (ko) 2002-01-16 2002-01-16 네트워크 보안 정책의 표현,저장 및 편집 방법

Publications (2)

Publication Number Publication Date
KR20030062055A KR20030062055A (ko) 2003-07-23
KR100439177B1 true KR100439177B1 (ko) 2004-07-05

Family

ID=19718514

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0002465A KR100439177B1 (ko) 2002-01-16 2002-01-16 네트워크 보안 정책의 표현,저장 및 편집 방법

Country Status (2)

Country Link
US (1) US20030135759A1 (ko)
KR (1) KR100439177B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101208642B1 (ko) * 2010-10-12 2012-12-06 단국대학교 산학협력단 악성 패킷 차단 방법 및 시스템

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100432236B1 (ko) * 2002-01-28 2004-05-22 김미희주 객체 기반 통합 관제 및 관리 기능을 갖는 범용 정보보호시스템
US7401360B2 (en) * 2002-12-03 2008-07-15 Tekelec Methods and systems for identifying and mitigating telecommunications network security threats
US20040202197A1 (en) * 2003-04-08 2004-10-14 Docomo Communications Laboratories Usa, Inc. Mobile terminal and method of providing cross layer interaction in a mobile terminal
US20050188222A1 (en) * 2004-02-24 2005-08-25 Covelight Systems, Inc. Methods, systems and computer program products for monitoring user login activity for a server application
US20050187934A1 (en) * 2004-02-24 2005-08-25 Covelight Systems, Inc. Methods, systems and computer program products for geography and time monitoring of a server application user
US7373524B2 (en) * 2004-02-24 2008-05-13 Covelight Systems, Inc. Methods, systems and computer program products for monitoring user behavior for a server application
US20050188080A1 (en) * 2004-02-24 2005-08-25 Covelight Systems, Inc. Methods, systems and computer program products for monitoring user access for a server application
US20050234920A1 (en) * 2004-04-05 2005-10-20 Lee Rhodes System, computer-usable medium and method for monitoring network activity
US7571181B2 (en) * 2004-04-05 2009-08-04 Hewlett-Packard Development Company, L.P. Network usage analysis system and method for detecting network congestion
US7549158B2 (en) * 2004-08-31 2009-06-16 Microsoft Corporation Method and system for customizing a security policy
US7591010B2 (en) * 2005-01-19 2009-09-15 Microsoft Corporation Method and system for separating rules of a security policy from detection criteria
US7707619B2 (en) * 2005-01-28 2010-04-27 Microsoft Corporation Method and system for troubleshooting when a program is adversely impacted by a security policy
EP1970802A1 (en) * 2007-03-14 2008-09-17 Software Ag Registry for managing operational requirements on the objects of a service oriented architecture (SOA)
US8443448B2 (en) 2009-08-20 2013-05-14 Federal Reserve Bank Of New York System and method for detection of non-compliant software installation
CN104270372B (zh) * 2014-10-11 2017-07-14 国家电网公司 一种参数自适应的网络安全态势量化评估方法
US10862866B2 (en) 2018-06-26 2020-12-08 Oracle International Corporation Methods, systems, and computer readable media for multiple transaction capabilities application part (TCAP) operation code (opcode) screening

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010047997A (ko) * 1999-11-24 2001-06-15 이계철 디렉토리 기반의 통합관리를 통한 네트워크 보안 유지 방법
KR20030003593A (ko) * 2001-07-03 2003-01-10 (주) 해커스랩 제한조건 동안 특정 보안정책을 적용할 수 있는 네트워크보안장치 및 네트워크 보안방법
KR20030021339A (ko) * 2001-09-05 2003-03-15 한국전자통신연구원 정책기반 네트워크 보안제어를 위한 보안 게이트웨이 장치및 그 동작 방법
KR100381010B1 (ko) * 2000-12-28 2003-04-26 한국전자통신연구원 보안 서비스 제공을 위한 인터넷 키교환 서버 장치 및그를 이용한 보안 서비스 제공방법
KR20030056652A (ko) * 2001-12-28 2003-07-04 한국전자통신연구원 정책기반 네트워크 보안제어시스템에서의 블랙리스트관리장치 및 관리방법
KR100401064B1 (ko) * 2001-12-19 2003-10-10 한국전자통신연구원 네트워크 보안정책 관리도구에서 정책 편집시 충돌 확인방법

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6321337B1 (en) * 1997-09-09 2001-11-20 Sanctum Ltd. Method and system for protecting operations of trusted internal networks
US6704873B1 (en) * 1999-07-30 2004-03-09 Accenture Llp Secure gateway interconnection in an e-commerce based environment
US6571285B1 (en) * 1999-12-23 2003-05-27 Accenture Llp Providing an integrated service assurance environment for a network
US6985901B1 (en) * 1999-12-23 2006-01-10 Accenture Llp Controlling data collection, manipulation and storage on a network with service assurance capabilities
US6944673B2 (en) * 2000-09-08 2005-09-13 The Regents Of The University Of Michigan Method and system for profiling network flows at a measurement point within a computer network

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010047997A (ko) * 1999-11-24 2001-06-15 이계철 디렉토리 기반의 통합관리를 통한 네트워크 보안 유지 방법
KR100381010B1 (ko) * 2000-12-28 2003-04-26 한국전자통신연구원 보안 서비스 제공을 위한 인터넷 키교환 서버 장치 및그를 이용한 보안 서비스 제공방법
KR20030003593A (ko) * 2001-07-03 2003-01-10 (주) 해커스랩 제한조건 동안 특정 보안정책을 적용할 수 있는 네트워크보안장치 및 네트워크 보안방법
KR20030021339A (ko) * 2001-09-05 2003-03-15 한국전자통신연구원 정책기반 네트워크 보안제어를 위한 보안 게이트웨이 장치및 그 동작 방법
KR100401064B1 (ko) * 2001-12-19 2003-10-10 한국전자통신연구원 네트워크 보안정책 관리도구에서 정책 편집시 충돌 확인방법
KR20030056652A (ko) * 2001-12-28 2003-07-04 한국전자통신연구원 정책기반 네트워크 보안제어시스템에서의 블랙리스트관리장치 및 관리방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101208642B1 (ko) * 2010-10-12 2012-12-06 단국대학교 산학협력단 악성 패킷 차단 방법 및 시스템

Also Published As

Publication number Publication date
US20030135759A1 (en) 2003-07-17
KR20030062055A (ko) 2003-07-23

Similar Documents

Publication Publication Date Title
KR100439177B1 (ko) 네트워크 보안 정책의 표현,저장 및 편집 방법
AU757668B2 (en) Method and system for enforcing a communication security policy
US9553845B1 (en) Methods for validating and testing firewalls and devices thereof
US7463593B2 (en) Network host isolation tool
US8955032B2 (en) Assessing network and device compliance with security policies
CN111327451B (zh) 用于使用隐马尔可夫模型(hmm)标识和协助网络服务配置的创建和实现的系统
US20090276843A1 (en) Security event data normalization
KR20030075574A (ko) 네트워크 보안 시뮬레이션 시스템
MX2010006846A (es) Metodo para configuracion de acls en dispositivo de red basado en informacion de flujo.
Nife et al. Application-aware firewall mechanism for software defined networks
Cuppens-Boulahia et al. An ontology-based approach to react to network attacks
US11711398B2 (en) Distributed network security service
Yoon et al. Minimizing the maximum firewall rule set in a network with multiple firewalls
JP2009105879A (ja) 電子デバイスにおけるセキュリティルールの衝突を管理する方法、コンピュータプログラム、及びセキュリティルールの衝突を管理することが可能な電子デバイス
Shanbhag et al. Automated composition of data-path functionality in the future internet
Lahmadi et al. A framework for automated exploit prevention from known vulnerabilities in voice over IP services
Wang et al. Enabling automatic composition and verification of service function chain
Farea et al. Detections of iot attacks via machine learning-based approaches with cooja
US7971244B1 (en) Method of determining network penetration
KR100456622B1 (ko) 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템함수를 이용한 정책 제공 및 실행방법
Li et al. GolfEngine: Network management system for software defined networking
Anbarsu et al. Software-Defined Networking for the Internet of Things: Securing home networks using SDN
Albadri Development of a network packet sniffing tool for internet protocol generations
Lee et al. NetPiler: Detection of ineffective router configurations
CN115396347B (zh) 一种基于中间人的路由协议模糊测试方法及系统

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120611

Year of fee payment: 9

LAPS Lapse due to unpaid annual fee