KR100446816B1 - Network for integrated security management service - Google Patents

Network for integrated security management service Download PDF

Info

Publication number
KR100446816B1
KR100446816B1 KR1020030098647A KR20030098647A KR100446816B1 KR 100446816 B1 KR100446816 B1 KR 100446816B1 KR 1020030098647 A KR1020030098647 A KR 1020030098647A KR 20030098647 A KR20030098647 A KR 20030098647A KR 100446816 B1 KR100446816 B1 KR 100446816B1
Authority
KR
South Korea
Prior art keywords
network
security
customer
server
integrated security
Prior art date
Application number
KR1020030098647A
Other languages
Korean (ko)
Inventor
김호성
구자현
전정훈
장동수
Original Assignee
주식회사데이콤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사데이콤 filed Critical 주식회사데이콤
Priority to KR1020030098647A priority Critical patent/KR100446816B1/en
Application granted granted Critical
Publication of KR100446816B1 publication Critical patent/KR100446816B1/en
Priority to PCT/KR2004/003509 priority patent/WO2005064854A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

PURPOSE: An integrated security management service network is provided to promptly and effectively cope with traffic congestion type security threat by actively performing security policy and grasping a security situation of a whole network. CONSTITUTION: An integrated security system is formed of a VPN(Virtual Private Network), an F/W(Fire Wall), an NAT(Network Address Translator), a QoS(Quality of Service), an IDS(Intrusion Detection System), a VS(Virus Scanner), a CF(Contents Filter) and a VR(Virtual Router) to interrupt and manage security threat or traffic. A threat manager server(230) collects and manages system information from systems(290) of a plurality of clients, and collects and manages security threat or traffic information from the integrated security system. A situation managing console(240) grasps the abnormality of a network(210) while managing the threat manager server(230). A data generating server(250) analyzes the abnormality for generating analyzed data. A web server(260) provides an environment for reading the analyzed data. A message transmitting server(270) generates a message related to the abnormality for transmitting the message to the systems(290) of the plurality of clients. A router(280) relays the integrated security system with the systems(290) of the plurality of clients.

Description

네트워크 기반의 통합 보안 관리 서비스망{NETWORK FOR INTEGRATED SECURITY MANAGEMENT SERVICE}Network-based integrated security management service network {NETWORK FOR INTEGRATED SECURITY MANAGEMENT SERVICE}

본 발명은 통합 보안 관리 서비스망에 관한 것으로서, 특히 통신 사업자의 관리 영역인 광역 통신망(WAN)에서 개별 기업의 근거리 통신망(LAN)에 설치된 다수 고객들의 시스템에 대한 보안 대책을 통합하여 수행할 수 있는 네트워크 기반의 통합 보안 관리 서비스망에 관한 것이다.The present invention relates to an integrated security management service network, and in particular, in a wide area network (WAN), which is a management area of a telecommunications carrier, can integrate security measures for a system of a plurality of customers installed in a local area network (LAN) of an individual company. The present invention relates to a network-based integrated security management service network.

컴퓨터와 정보통신기술의 발전 및 인터넷의 급속한 보급에 따라 네트워크를 통한 정보의 공유와 교환이 이루어지고 있다. 그런데, 이처럼 정보화가 진전될수록 정보자원을 공유하거나 실시간적인 거래가 촉진되는 순기능이 있는 반면에, 해당 네트워크를 통한 온라인 접속이 가능하다는 점을 악용하여 서버나 클라이언트 단말기에 불법적으로 침입하여 정보자원을 파괴하거나 변경 혹은 유출하는 해킹 등과 같은 네트워크 보안 침해 위협이 증가하고 있다.With the development of computers and information and communication technologies and the rapid spread of the Internet, information sharing and exchange through the network is taking place. However, as information progresses, there is a net function of sharing information resources or facilitating real-time transactions, while illegally invading a server or client terminal to destroy information resources by exploiting the possibility of online access through the network. The threat of network security breaches, such as alteration or hacking, is increasing.

더욱이, 최근에는 해킹과 바이러스 기술의 결합, 기업 또는 조직의 개별 시스템(서버, PC 등)에 대한 공격에서 네트워크 및 서비스에 대한 공격으로 공격 대상의 변화, 멀티미디어 컨텐츠에 대한 침해 증가 및 무선 네트워크 서비스 해킹 등장 등 해킹 및 바이러스가 자동화, 지능화, 대중화, 분산화, 대규모화, 및 은닉화 경향 등을 보이면서 그 피해 건수 및 규모가 점점 커지고 있는 실정이다.Moreover, in recent years, the combination of hacking and virus technology, attacks on networks and services from attacks on individual systems (servers, PCs, etc.) of enterprises or organizations have changed the target of attack, increased intrusions on multimedia contents, and hacked wireless network services. As the hacking and viruses such as emergence tend to be automated, intelligent, popularized, decentralized, large-scaled, and concealed, the number and scale of the damages are increasing.

한편, 도 1 은 종래의 개별 보안 시스템을 이용한 개별적인 보안 관리 방법에 관한 개략도로서, 각각의 고객 시스템(140)은 개별적인 라우터(120)와 보안 시스템(130)을 거쳐 인터넷망이나 IP-VPN망(110)에 연결된다. 이처럼, 고객1 시스템(141)에는 고객1 시스템(141)의 보안을 전적으로 담당하기 위한 고객1 보안시스템(131)이 설치되고, 고객2 시스템(142)에는 고객2 시스템(14)의 보안을 전적으로 담당하기 위한 고객2 보안시스템(132)이 설치된다.On the other hand, Figure 1 is a schematic diagram of an individual security management method using a conventional individual security system, each customer system 140 through an individual router 120 and the security system 130, the Internet network or IP-VPN network ( 110). As such, the customer 1 system 141 is installed in the customer 1 security system 131 for the sole responsibility for the security of the customer 1 system 141, the customer 2 system 142 to fully secure the security of the customer 2 system (14). Customer 2 security system 132 to be in charge is installed.

도 1 에 도시된 바와 같이, 개별 보안 시스템(130)은 유해차단시스템, VPN, 방화벽, 스위치, 침입탐지시스템, QoS, 백본 스위치, 및 바이러스 스캐너 등이 개별적으로 존재하여 고객별 보안 기능을 수행한다.As shown in FIG. 1, the individual security system 130 separately includes a malicious system, a VPN, a firewall, a switch, an intrusion detection system, a QoS, a backbone switch, and a virus scanner to perform a customer-specific security function. .

그러나, 이러한 형태로 고객들의 시스템을 보호하기 위하여, 자체의 근거리 통신망(LAN)을 가지고 있는 기업이나 기관들은 기능별로 다양한 보안 시스템들의 설치 및 운용이 필요하며, 최신 침해 기술에 대응하기 위하여 주기적으로 보안 시스템들을 교체해야 한다. 그리고, 최적의 보안 정책을 수립할 수 있는 능력과 보안 시스템들을 운영하면서 24시간 시스템을 감시하기 위해서는 전문적인 보안 인력을보유해야 하는 문제점들이 있다.However, in order to protect the customer's system in this form, companies or organizations that have their own local area network (LAN) need to install and operate various security systems for each function and periodically secure them to cope with the latest infringement technology. The systems must be replaced. In addition, there is a problem in that it is necessary to have a professional security personnel to monitor a 24-hour system while operating the security systems and the ability to establish an optimal security policy.

또한, 오늘날 인터넷을 통해 전세계 어디든지 연결되어 전자상거래 및 정보의 교환이 실시간으로 이루어지고 있는 통신 환경에서 외부의 침입으로부터 시스템들을 보호하기 위하여 자체적인 보안 관련 투자와 인력을 보유한 기업이라 할지라도 통신 사업자의 관리 영역인 광역 통신망(WAN)과 고객이 직접 접속해 있지 않은 타 통신 사업자의 네트워크에서 보안 대책이 동시에 이루어지지 않는다면 개별 기업 또는 기관의 근거리 통신망에서 개별적으로 이러한 보안 위협에 대처하기에는 한계가 있다.In addition, even if a company has its own security-related investments and human resources to protect systems from external intrusions in today's communication environment where e-commerce and information exchange is performed in real time through the Internet. If security measures are not taken simultaneously in a wide area network (WAN), which is a management area of the network, and in a network of another service provider that is not directly connected to a customer, there is a limit in dealing with such a security threat individually in an individual enterprise or an organization's local area network.

이에 본 발명은 상기와 같은 문제점을 해결하기 위하여 안출된 것으로서, 통신 사업자의 관리 영역인 광역 통신망에서 개별적인 근거리 통신망에 설치된 다수고객들의 시스템에 대한 통합된 보안 대책을 수행하여 보안 침해 위협으로부터 안전한 통신 환경을 보장할 수 있는 네트워크 기반의 통합 보안 관리 서비스망을 제공하는데 그 목적이 있다.Accordingly, the present invention has been made to solve the above problems, the communication environment secured from the threat of security breaches by performing integrated security measures for the system of multiple customers installed in the individual local area network in the wide area network that is the management area of the carrier The purpose is to provide a network-based integrated security management service network that can guarantee the security.

상기와 같은 목적을 달성하기 위하여 본 발명에 따른 네트워크 기반의 통합 보안 관리 서비스망은, 인터넷망이나 IP-VPN망 등의 네트워크에 연결된 근거리 통신망(LAN) 상의 다수 고객들의 시스템에 대한 보안을 광역 통신망(WAN)에 접속하는 구역(Edge)에서 통합적으로 관리하되, 가상사설망(내부망)을 구축하기 위한 VPN과, 외부로부터의 불법적인 공격을 차단하기 위한 F/W와, 내부망의 IP 주소를 변환하여 외부 접속을 차단하고 보안을 강화하기 위한 NAT와, 프로토콜별 서비스 특성을 정의하여 회선대역을 효율적으로 사용하기 위한 QoS와, 해킹이 시도될 때 그 패턴이나 트래픽의 변화를 비교하여 이상 징후를 파악하기 위한 IDS와, 메일의 첨부 화일을 통해 전파되는 바이러스 메일을 차단하거나 스팸 메일을 차단하기 위한 VS와, 웹을 통해 전파되는 유해 트래픽을 차단하기 위한 CF와, 다수 고객들의 시스템을 수용하되 개별 고객 단위로 논리적으로 구분하여 타 고객 시스템에 대한 보안 적용과는 독립적으로 통합적인 보안 서비스를 제공하기 위한 VR이 일체로 구성되어 개별 고객 단위로 광역 통신망 혹은 근거리 통신망 상의 해킹이나 인터넷 웜 등의 보안 위협이나 트래픽에 대한 차단 및 관리를 수행하는 통합 보안 시스템; 다수 고객들의 시스템으로부터 시스템 정보를 수집하여 관리하고, 아울러 상기 통합 보안 시스템으로부터 보안 위협이나 트래픽 정보를 수집하여 관리하는 위협 메니저 서버; 상기 위협 메니저 서버를 관리하면서 네트워크의 이상 현상을 파악하는 상황 관리 콘솔; 상기 상황 관리 콘솔에서 파악되는 이상 현상을 분석하여 분석 데이터를 생성하는 데이터 생성 서버; 상기 데이터 생성 서버에서 생성되는 분석 데이터를 열람할 수 있는 환경을 제공하는 웹 서버; 상기 상황 관리 콘솔에서 파악되는 이상 현상에 관한 메시지를 생성하여 다수 고객들의 시스템으로 전송하는 메시지 전송 서버; 및 상기 통합 보안 시스템과 다수 고객들의 시스템을 중계하는 라우터를 포함하여 구성된 것을 특징으로 한다.In order to achieve the above object, the network-based integrated security management service network according to the present invention provides security for a system of a plurality of customers on a local area network (LAN) connected to a network such as an Internet network or an IP-VPN network. Integrated management in the edge connecting to the (WAN), VPN to build a virtual private network (internal network), F / W to prevent illegal attacks from the outside, and IP address of the internal network By comparing the NAT for blocking external access and strengthening security, the service characteristic for each protocol, and the QoS for efficient use of the line band, and the pattern or traffic change when hacking is attempted, IDS for identification, VS for blocking or blocking virus e-mails spread through attachments of mail, and harmful traffic propagating through the web CF to block the system and VR for accommodating a system of multiple customers but logically divided into individual customer units to provide an integrated security service independent of security application to other customer systems. An integrated security system that blocks and manages security threats or traffic such as hacking or Internet worms on a wide area network or a local area network; A threat manager server that collects and manages system information from a system of a plurality of customers, and collects and manages security threats or traffic information from the integrated security system; A situation management console for identifying anomalies in a network while managing the threat manager server; A data generation server analyzing the abnormality detected by the situation management console to generate analysis data; A web server providing an environment for viewing analysis data generated by the data generation server; A message transmission server which generates a message regarding an abnormality detected by the situation management console and transmits the message to a system of a plurality of customers; And a router relaying the integrated security system and a system of a plurality of customers.

도 1 은 종래의 개별 보안 시스템을 이용한 개별적인 보안 관리 방법에 관한 개략도,1 is a schematic diagram of an individual security management method using a conventional individual security system,

도 2 는 본 발명에 따라 통합 보안 시스템을 이용한 통합적인 보안 관리 서비스망의 개략도,2 is a schematic diagram of an integrated security management service network using an integrated security system according to the present invention;

도 3 은 본 발명에 따른 통합 보안 시스템의 블록도,3 is a block diagram of an integrated security system according to the present invention;

도 4 는 본 발명에 따른 통합 보안 관리를 설명하기 위한 블록도,4 is a block diagram illustrating integrated security management according to the present invention;

도 5 는 본 발명에 따른 사이버 공격 차단을 위한 위협 관리 서비스 개념도,5 is a conceptual diagram of a threat management service for blocking cyber attacks according to the present invention;

도 6 은 본 발명에 따른 웹기반 포탈 서비스 실시예이다.6 is an embodiment of a web-based portal service according to the present invention.

*도면의 주요부분에 대한 부호의 설명* Explanation of symbols for main parts of the drawings

210 : 인터넷망/IP VPN망 220 : 통합 보안 시스템210: Internet network / IP VPN network 220: integrated security system

221 : VPN 222 : F/W221: VPN 222: F / W

223 : NAT 224 : QoS223: NAT 224: QoS

225 : IDS 226 : VS225: IDS 226: VS

227 : CE 228 : VR227: CE 228: VR

230 : 위협 메니저 서버 240 : 상황 관리 콘솔230: Threat Manager Server 240: Situation Management Console

250 : 데이터 생성 서버 260 : 웹 서버250: data generation server 260: web server

270 : 메시지 전송 서버 280 : 라우터270: message transfer server 280: router

290 : 고객 시스템290: Customer System

이하, 첨부된 도면을 참조하여 본 발명을 상세히 설명하기로 한다.Hereinafter, with reference to the accompanying drawings will be described in detail the present invention.

도 2 는 본 발명에 따라 통합 보안 시스템을 이용한 통합적인 보안 관리 서비스망의 개략도로서, 통합된 보안을 수행하기 위한 통합 보안 시스템(220), 위협 메니저 서버(230), 상황 관리 콘솔(240), 데이터 생성 서버(250), 웹 서버(260), 및 메시지 전송 서버(270)가 라우터(280)를 거쳐 다수 고객들의 시스템(290)에 연결된다. 이러한 서비스망을 통해 망 서비스를 이용하는 내부망 즉, 근거리 통신망(LAN)에 위치한 다수 고객들의 시스템(290)에 대한 보안을 통합하여 관리할 수 있다. 이 때, 고객1 시스템(291), 고객2 시스템(292), 및 고객n 시스템(293) 등은 개별적으로 구축된 근거리 통신망(LAN) 상의 다수 고객들의 시스템을 의미한다.2 is a schematic diagram of an integrated security management service network using an integrated security system according to the present invention, the integrated security system 220, threat manager server 230, situation management console 240, Data generation server 250, web server 260, and message transfer server 270 are connected to system 290 of multiple customers via router 280. Through such a service network, it is possible to integrate and manage security for the system 290 of a plurality of customers located in an internal network using a network service, that is, a local area network (LAN). In this case, the customer 1 system 291, the customer 2 system 292, the customer n system 293, and the like refer to a system of a plurality of customers on a separately constructed local area network (LAN).

통합 보안 시스템(220)은 종래의 개별적인 보안 시스템들을 통합한 일체형으로서, 개별 고객 단위로 광역 통신망 혹은 근거리 통신망(LAN) 상의 해킹이나 인터넷 웜 등의 보안 위협이나 트래픽에 대한 차단 및 관리를 수행함으로서 네트워크의 보안을 통합하여 관리한다. 이처럼, 하나의 통합 보안 시스템(220)은 네트워크로 연결된 다수 고객들의 시스템(290)에 대해 고객들이 보안 시스템을 개별적으로 보유한 것처럼 고객들 각각에게 논리적으로 분리된 통합보안 시스템을 제공하여 통합 관리할 수 있다.The integrated security system 220 is an integrated type that integrates conventional individual security systems, and blocks and manages security threats or traffic such as hacking or Internet worms on a wide area network or a local area network (LAN) on a per-customer basis. Integrate and manage security. As such, one integrated security system 220 may be integrated and managed by providing a logically separate integrated security system to each of the customers as if the customer has a separate security system for the network 290 of multiple customers connected to the network .

위협 메니저 서버(230)는 다수 고객들의 시스템(290)으로부터 발생한 로그 등과 같이 시스템에 관한 정보를 수집하여 관리하고, 아울러 상기 통합 보안 시스템(220)으로부터 보안 위협이나 트래픽 정보 등을 수집하여 관리한다.The threat manager server 230 collects and manages information about the system, such as logs generated from the system 290 of multiple customers, and collects and manages security threats or traffic information from the integrated security system 220.

그리고, 상황 관리 콘솔(240)은 상기 위협 메니저 서버(230)를 관리하면서 보안 위협이나 트래픽 정보 등을 이용하여 네트워크의 이상 현상을 파악하고, 데이터 생성 서버(250)는 상기 상황 관리 콘솔(240)에서 파악되는 이상 현상을 분석하여 고객에게 제공하기 위한 분석 데이터를 생성한다.In addition, the situation management console 240 manages the threat manager server 230 to identify anomalies in the network using security threats or traffic information, and the data generation server 250 may manage the situation management console 240. Analyze the anomalies identified in the and generate analysis data to provide to the customer.

웹 서버(260)는 고객이 제공받은 계정을 통해 상기 데이터 생성 서버(250)에서 생성되는 분석 데이터를 열람할 수 있는 환경을 제공하며, 메시지 전송 서버(270)는 상기 상황 관리 콘솔(240)에서 파악되는 이상 현상에 관한 메일이나 SMS 등의 메시지를 생성하여 다수 고객들의 시스템(290)으로 전송한다. 라우터(280)는 상기 통합 보안 시스템(220)과 다수 고객들의 시스템(290) 간을 중계하여 최적의 경로를 제공한다.The web server 260 provides an environment for viewing the analysis data generated by the data generation server 250 through the account provided by the customer, the message transmission server 270 in the situation management console 240 A message, such as an e-mail or SMS, is generated and transmitted to the system 290 of a plurality of customers. The router 280 relays between the integrated security system 220 and the system 290 of multiple customers to provide an optimal path.

도 3 은 본 발명에 따른 통합 보안 시스템의 블록도로서, VPN(221), F/W(222), NAT(223), QoS(224), IDS(225), VS(226), CE(227), 및 VR(228) 등으로 이루어진다. 이러한 통합 보안 시스템(220)은 다양한 보안 기능을 구비한 개별적인 시스템들을 하나로 통합하여 운영함으로써 전체적인 보안 상황을 효과적으로 파악할 수 있다.3 is a block diagram of an integrated security system in accordance with the present invention, VPN 221, F / W 222, NAT 223, QoS 224, IDS 225, VS 226, CE 227 ), And VR 228 and the like. The integrated security system 220 can effectively grasp the overall security situation by integrating and operating individual systems having various security functions into one.

도 3 을 참조하면, VPN(221)은 가상사설망(Virtual Private Network)을 구축하기 위한 모듈로서, 공개망을 이용하여 사설망을 구축할 수 있다. 이 때, 이러한 VPN(221)은 인터넷 접속만을 원하는 기업에는 미적용이 가능하다. 그리고, F/W(222)은 방화벽과 같은 침입차단시스템(Firewall)으로서 보안정책에 의거하여 외부로부터의 불법적인 공격을 차단할 수 있다.Referring to FIG. 3, the VPN 221 is a module for establishing a virtual private network and may build a private network using a public network. At this time, the VPN 221 can be applied to companies that only want to access the Internet. The F / W 222 may block an illegal attack from the outside based on a security policy as an intrusion prevention system such as a firewall.

NAT(223)는 주소변환장치(Network Address Translator)로서 내부망의 IP 주소를 변환하여 외부로부터의 접속을 차단하여 보안을 강화하면서 내부주소의 낭비를 줄일 수 있다. 또한, QoS(224)는 서비스 품질(Quality of Service)에 관한 것으로서 프로토콜별 서비스 특성을 정의하여 회선대역을 효율적으로 사용할 수 있다.NAT 223 is an address translator (Network Address Translator) to convert the IP address of the internal network to block the connection from the outside to enhance the security while reducing the waste of the internal address. In addition, the QoS 224 relates to a quality of service and defines a service characteristic for each protocol to efficiently use a line band.

IDS(225)는 침입탐지시스템(Intrusion Detection System)으로서 외부망이나 내부망으로부터 해킹이 시도될 때 그 패턴이나 트래픽의 변화 등을 비교하여 이상 징후를 파악할 수 있다. 그리고, VS(226)는 바이러스 스캐너(Virus Scanner)로서 메일의 첨부 화일을 통해 전파되는 바이러스 메일을 차단하거나 스팸 메일을 차단할 수 있다.IDS 225 is an intrusion detection system (Intrusion Detection System) when the hacking attempts from the external network or the internal network can compare the pattern or the change of traffic, etc. to identify abnormal signs. In addition, the VS 226 may block a virus mail propagated through an attachment file of a mail or a spam mail as a virus scanner.

CF(227)는 컨텐츠 필터(Contents Filter)로서 웹을 통해 전파되는 Codered, Nimda 등과 같은 유해 트래픽을 차단할 수 있다. 또한, VR(228)은 가상 라우터(Virtual Router)로서 다수 고객들의 시스템(290)을 수용하여 통합 보안 기능을 제공하되, 개별 고객 단위의 논리적인 구분을 통해 타 고객 시스템에 대한 보안 적용과는 독립적으로 특정 고객의 시스템(290)에 제공할 수 있다.The CF 227 may block harmful traffic such as Codered, Nimda, or the like that propagates through the web as a content filter. In addition, VR 228 is a virtual router (Virtual Router) to accommodate the system of the multiple customers 290 to provide an integrated security function, through the logical division of individual customer units independent of the application of security to other customer systems May be provided to the system 290 of a particular customer.

도 4 는 본 발명에 따른 통합 보안 관리를 설명하기 위한 블록도로서, 각각의 요소가 상호 연동하여 통합 보안 서비스를 제공한다.4 is a block diagram illustrating integrated security management according to the present invention, in which each element interoperates to provide an integrated security service.

도 4 에 도시된 바와 같이, 위협 메니저 서버(230)는 장애를 대비하여 별도의 슬레이브 서버(231)를 운용하면서 고객 시스템(290)으로부터 시스템 정보를 수집하고, 통합 보안 시스템(220)으로부터 발생하는 보안 이벤트를 수집하여 연동하는 데이터베이스(232)에 저장한다. 즉, TCP/IP 정보를 통해 고객 시스템(290)이 Windows, 혹은 Unix 계열인지 등을 확인하고, UDP/IP, SNMP, SYSLOG 등의 통신 프로토콜을 이용하여 고객 시스템(290)에 대한 이벤트 정보를 수집하여 보안 위협이나 트래픽 정보 등을 확인한다.As shown in FIG. 4, the threat manager server 230 collects system information from the customer system 290 while operating a separate slave server 231 in preparation for a failure, and is generated from the integrated security system 220. The security event is collected and stored in the interworking database 232. That is, it checks whether the customer system 290 is Windows or Unix based on TCP / IP information, and collects event information about the customer system 290 using communication protocols such as UDP / IP, SNMP, SYSLOG, and the like. Check security threats and traffic information.

상황 관리 콘솔(240)은 위협 메니저 서버(230)에 수집된 보안 위협이나 트래픽 등의 보안 이벤트 정보를 통해 이상 현상을 파악할 수 있다. 이 때, 상기 상황 관리 콘솔(240)은, 상기 VPN, F/W, IDS, VS, 및 CF 등을 통해 수집된 보안 위협이나 트래픽 정보를 실시간으로 모니터링한 후, 고객 시스템(290)의 위험을 등급별로 구분하여 해당되는 고객에 경보할 수 있다. 그리고, 모니터링 된 다양한 정보를 상호 분석한 후, 고객 시스템(290)의 자산 가치에 따라 위험도를 종합적으로 산출하여 고객 시스템(290)의 위험 현황에 따라 네트워크의 이상 현상을 파악할 수 있다.The context management console 240 may identify an abnormality through security event information such as security threats or traffic collected in the threat manager server 230. At this time, the situation management console 240 monitors the security threats or traffic information collected through the VPN, F / W, IDS, VS, and CF in real time, and then monitors the risk of the customer system 290 You can alert your customers by classifying them. In addition, after analyzing the various monitored information, the risk may be comprehensively calculated according to the asset value of the customer system 290 to identify an abnormality of the network according to the risk status of the customer system 290.

즉, 수집된 위협이 실제로 고객의 시스템에 의미 있는 위협인지의 여부를 파악하는 방식으로 이상 현상을 파악하는 것이다. 예컨대, 고객 시스템(290)이 Windows 계열의 시스템이라면, 수집된 보안 이벤트가 Windows 시스템에 치명적인가를 파악한 후 위험도를 산출한다. 따라서, 설령 위협 정보가 수집되었더라도 고객의 시스템에 의미없는 위협이라면 위험도가 낮게 산출되므로 이에 적절히 대응할수 있다.In other words, anomalies are identified by determining whether the collected threats are in fact meaningful to the customer's system. For example, if the customer system 290 is a Windows-based system, the risk is calculated after determining whether the collected security event is fatal to the Windows system. Therefore, even if threat information is collected, if the threat is meaningless to the customer's system, the risk is calculated to be low, so that it can respond appropriately.

메시지 전송 서버(270)는 운용자나 고객에게 이상 현상이 발생되었음을 알리는 경고성 메일이나 문자 메시지를 전송할 수 있다. 데이터 생성 서버(250)는 데이터베이스(232)에서 리포팅에 필요한 데이터를 수집하여 가공할 수 있고, 웹 서버(260)는 고객이 원하는 포맷으로 데이터 생성 서버(250)를 통해 가공된 리포트를 볼 수 있는 환경을 제공한다.The message transmission server 270 may transmit an alert mail or a text message informing the operator or the customer that an abnormality has occurred. The data generation server 250 may collect and process data necessary for reporting from the database 232, and the web server 260 may view the processed report through the data generation server 250 in a format desired by the customer. Provide an environment.

도 5 는 본 발명에 따른 사이버 공격 차단을 위한 위협 관리 서비스 개념도로서, 각 요소들간의 연관성을 나타낸다.5 is a conceptual diagram of a threat management service for cyber attack blocking according to the present invention, and shows correlations between elements.

이벤트 분석 및 관리 항목은 네트워크와 통합 보안 시스템으로부터 트래픽과 이벤트 정보를 수집하여 이벤트의 이상 징후나 통계 정보 등을 분석하고 관리한다. 취약성 정보 관리 항목은 해킹이나 바이러스 등과 같은 최신의 보안 정보 동향을 수집하고, 취약성과 관련된 패치정보를 수집하여 관리한다.Event analysis and management item collects traffic and event information from network and integrated security system to analyze and manage anomalies or statistical information of events. Vulnerability information management items collect the latest security information trends such as hacking and viruses, and collect and manage patch information related to vulnerabilities.

한편, 침해사고 관리 항목은 고객으로부터 침해사고를 접수하거나 블랙 리스트를 통해 침해사고 정보를 관리하면서 유사한 사고를 대처한다. 보안이력 관리 항목은 고객 시스템의 OS, 프로세스 등과 같은 보안 정보를 수집하여 관리하면서, 취약성 정보를 이용하여 고객 시스템별로 취약성 보고서를 생성한 후 해당 고객에게 제공한다. 예경보 관리 항목은 위협 관리로부터 발생된 각종 경보성 정보를 메일이나 단문 메시지 형태로 고객들에게 제공한다.On the other hand, the incident management item responds to similar incidents while receiving infringement incidents from customers or managing the incident information through a black list. Security history management item collects and manages security information such as OS, process, etc. of customer system, and generates vulnerability report for each customer system using vulnerability information and provides it to corresponding customer. For example, the alarm management item provides various alarm information generated from threat management to customers in the form of e-mail or short message.

도 6 은 본 발명에 따른 웹기반 포탈 서비스 실시예로서, 웹기반 포탈을 통해 고객에게 제공할 수 있는 서비스를 나타낸다.6 is a web-based portal service embodiment according to the present invention, which shows a service that can be provided to a customer through a web-based portal.

고객으로부터 보안 정책이나 예경보 정책에 관한 설정 요청이 들어오면, 운영자는 이를 검토하여 반영한다. 고객이 취약성 여부를 확인받기 위해 시스템 정보나 네트워크 스캔 등을 요청하면 운영자는 해당 시스템에 대한 취약성 여부를 검진하여 그 결과 및 대응 방안에 관한 보고서를 생성하여 고객에게 제공한다.When a request for a setting regarding a security policy or a preliminary warning policy is received from a customer, the operator reviews and reflects it. When the customer requests system information or network scan to check whether there is a vulnerability, the operator checks whether the system is vulnerable and generates a report on the result and response method and provides it to the customer.

그리고, 통합 보안 시스템으로부터 수집된 이벤트와 취약성을 분석하여 고객 시스템의 위협 여부를 실시간으로 감시한다. 만약에 위협 요소가 발생한다면 위협을 대비할 수 있도록 메일이나 단문 메시지를 고객이나 운용자에게 즉시 제공한다. 고객은 수집된 이벤트나 트래픽 정보 등을 토대로 작성된 보고서를 제공받을 수 있고, 최신의 보안 정보를 열람할 수도 있다.It analyzes the events and vulnerabilities collected from the integrated security system and monitors the threat of the customer system in real time. If a threat occurs, provide a mail or short message to the customer or operator immediately to prepare for the threat. The customer can be provided with a report based on the collected event or traffic information, and can also access the latest security information.

이상에서 설명한 바와 같이, 네트워크 기반의 통합 보안 관리 서비스망은 다양한 보안 기능들을 하나의 통합 시스템 형태로 구현하는 것으로 끝나지 않고 하나의 시스템에 수용되어 있는 여러 고객들의 시스템에 대한 보안 대책을 별도 시스템을 보유한 것처럼 논리적으로 분리하여 독립적으로 수행하며, 개별적인 보안 침해 위협 간 상관 관계 등을 종합적으로 분석함으로써 전체적인 네트워크의 보안 상황을 파악할 수 있으며 아울러 서비스 제공자의 망을 통해 흐르는 유해 트래픽을 탐지하고 관리할 수 있는 능동적인 보안 대책을 수행할 수 있다. 따라서, 네트워크 인프라나 서비스를 마비시키는 트래픽 폭주형 보안 위협에도 신속하게 효과적으로 대처할 수 있다.As described above, the network-based integrated security management service network does not end with implementing various security functions in a single integrated system form, but has a separate system for securing the security measures for the systems of several customers in one system. Logically separate and perform independently, and comprehensively analyze correlations between individual security breaches to understand the overall security status of the network and proactively detect and manage harmful traffic flowing through the service provider's network. Security measures can be performed. As a result, it can respond quickly and effectively to traffic congestion threats that paralyze network infrastructure or services.

Claims (3)

인터넷망이나 IP-VPN망 등의 네트워크에 연결된 근거리 통신망(LAN) 상의 다수 고객들의 시스템에 대한 보안을 광역 통신망(WAN)에 접속하는 구역(Edge)에서 통합적으로 관리하되,Security of multiple customers' systems on a local area network (LAN) connected to a network such as an Internet network or an IP-VPN network is integratedly managed in an edge connected to a wide area network (WAN). 가상사설망(내부망)을 구축하기 위한 VPN과, 외부로부터의 불법적인 공격을 차단하기 위한 F/W와, 내부망의 IP 주소를 변환하여 외부 접속을 차단하고 보안을 강화하기 위한 NAT와, 프로토콜별 서비스 특성을 정의하여 회선대역을 효율적으로 사용하기 위한 QoS와, 해킹이 시도될 때 그 패턴이나 트래픽의 변화를 비교하여 이상 징후를 파악하기 위한 IDS와, 메일의 첨부 화일을 통해 전파되는 바이러스 메일을 차단하거나 스팸 메일을 차단하기 위한 VS와, 웹을 통해 전파되는 유해 트래픽을 차단하기 위한 CF와, 다수 고객들의 시스템을 수용하되 개별 고객 단위로 논리적으로 구분하여 타 고객 시스템에 대한 보안 적용과는 독립적으로 통합적인 보안 서비스를 제공하기 위한 VR이 일체로 구성되어 개별 고객 단위로 광역 통신망 혹은 근거리 통신망 상의 해킹이나 인터넷 웜 등의 보안 위협이나 트래픽에 대한 차단 및 관리를 수행하는 통합 보안 시스템;VPN to build a virtual private network (internal network), F / W to prevent illegal attacks from outside, NAT to block external access and strengthen security by translating IP address of internal network, protocol QoS to use line band efficiently by defining service characteristics by each service, IDS to identify abnormality by comparing pattern or traffic change when hacking is attempted, and virus mail spread through email attachment VS for blocking or blocking spam mail, CF for blocking harmful traffic spreading through the web, and a system of multiple customers, but logically divided into individual customer units, VR is integrated to provide integrated security service independently, and hacking on wide area network or local area network by individual customer And integrated security systems that perform the isolation and management of security threats and Internet traffic such as worms; 다수 고객들의 시스템으로부터 시스템 정보를 수집하여 관리하고, 아울러 상기 통합 보안 시스템으로부터 보안 위협이나 트래픽 정보를 수집하여 관리하는 위협 메니저 서버;A threat manager server that collects and manages system information from a system of a plurality of customers, and collects and manages security threats or traffic information from the integrated security system; 상기 위협 메니저 서버를 관리하면서 네트워크의 이상 현상을 파악하는 상황 관리 콘솔;A situation management console for identifying anomalies in a network while managing the threat manager server; 상기 상황 관리 콘솔에서 파악되는 이상 현상을 분석하여 분석 데이터를 생성하는 데이터 생성 서버;A data generation server analyzing the abnormality detected by the situation management console to generate analysis data; 상기 데이터 생성 서버에서 생성되는 분석 데이터를 열람할 수 있는 환경을 제공하는 웹 서버;A web server providing an environment for viewing analysis data generated by the data generation server; 상기 상황 관리 콘솔에서 파악되는 이상 현상에 관한 메시지를 생성하여 다수 고객들의 시스템으로 전송하는 메시지 전송 서버; 및A message transmission server which generates a message regarding an abnormality detected by the situation management console and transmits the message to a system of a plurality of customers; And 상기 통합 보안 시스템과 다수 고객들의 시스템을 중계하는 라우터를 포함하여 구성된 것을 특징으로 하는 네트워크 기반의 통합 보안 관리 서비스망.Network-based integrated security management service network comprising a router for relaying the integrated security system and the system of a plurality of customers. 삭제delete 제 1 항에 있어서 상기 상황 관리 콘솔은,The situation management console of claim 1, 상기 VPN, F/W, IDS, VS, 및 CF 등을 통해 수집된 보안 위협이나 트래픽 정보를 실시간으로 모니터링하고 고객 시스템의 위험을 등급별로 구분하여 해당 고객에 경보하며, 모니터링 된 다양한 정보를 상호 분석한 후, 고객 시스템의 자산 가치에 따라 위험도를 종합적으로 산출하여 고객 시스템의 위험 현황에 따라 네트워크의 이상 현상을 파악하는 것을 특징으로 하는 네트워크 기반의 통합 보안 관리 서비스망.Real-time monitoring of security threats or traffic information collected through the VPN, F / W, IDS, VS, and CF, and alerting the customer by classifying the risks of the customer's system, and mutually analyzing various monitored information Then, the network-based integrated security management service network, characterized in that to determine the risk of the network according to the risk status of the customer system by comprehensively calculating the risk according to the asset value of the customer system.
KR1020030098647A 2003-12-29 2003-12-29 Network for integrated security management service KR100446816B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020030098647A KR100446816B1 (en) 2003-12-29 2003-12-29 Network for integrated security management service
PCT/KR2004/003509 WO2005064854A1 (en) 2003-12-29 2004-12-29 System for integrated security management based on the network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030098647A KR100446816B1 (en) 2003-12-29 2003-12-29 Network for integrated security management service

Publications (1)

Publication Number Publication Date
KR100446816B1 true KR100446816B1 (en) 2004-09-01

Family

ID=34737915

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030098647A KR100446816B1 (en) 2003-12-29 2003-12-29 Network for integrated security management service

Country Status (2)

Country Link
KR (1) KR100446816B1 (en)
WO (1) WO2005064854A1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100838799B1 (en) 2007-03-09 2008-06-17 에스케이 텔레콤주식회사 System and operating method of detecting hacking happening for complementary security management system
KR100860607B1 (en) 2008-04-21 2008-09-29 주식회사 모보 Network protection total switch and method thereof
CN109768935A (en) * 2019-03-14 2019-05-17 海南梯易易智能科技有限公司 Wireless router and its method for safe operation with intelligent recognition and filtering function

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100464548C (en) * 2005-10-10 2009-02-25 广东省电信有限公司研究院 System and method for blocking worm attack
CN100458615C (en) * 2007-06-06 2009-02-04 中国安全生产科学研究院 Dynamic monitoring system and method for fireworks and firecracks production storage and transportation process
US9836620B2 (en) 2014-12-30 2017-12-05 Samsung Electronic Co., Ltd. Computing system for privacy-aware sharing management and method of operation thereof
WO2016108532A1 (en) * 2014-12-30 2016-07-07 Samsung Electronics Co., Ltd. Computing system for privacy-aware sharing management and method of operation thereof
US10084811B1 (en) * 2015-09-09 2018-09-25 United Services Automobile Association (Usaa) Systems and methods for adaptive security protocols in a managed system
CN112257069A (en) * 2020-10-20 2021-01-22 福建奇点时空数字科技有限公司 Server security event auditing method based on flow data analysis

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10247911A (en) * 1997-03-05 1998-09-14 Mitsubishi Electric Corp System monitor information management equipment in multi-server configuration and system monitor information management method in the multi-server configuration
JP2000132525A (en) * 1998-10-23 2000-05-12 Ntt Communicationware Corp Network cooperation system
US20020069356A1 (en) * 2000-06-12 2002-06-06 Kwang Tae Kim Integrated security gateway apparatus

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100838799B1 (en) 2007-03-09 2008-06-17 에스케이 텔레콤주식회사 System and operating method of detecting hacking happening for complementary security management system
KR100860607B1 (en) 2008-04-21 2008-09-29 주식회사 모보 Network protection total switch and method thereof
CN109768935A (en) * 2019-03-14 2019-05-17 海南梯易易智能科技有限公司 Wireless router and its method for safe operation with intelligent recognition and filtering function
CN109768935B (en) * 2019-03-14 2023-10-10 海南梯易易智能科技有限公司 Wireless router with intelligent recognition and filtering functions and safe operation method thereof

Also Published As

Publication number Publication date
WO2005064854A1 (en) 2005-07-14

Similar Documents

Publication Publication Date Title
US10601844B2 (en) Non-rule based security risk detection
US8640234B2 (en) Method and apparatus for predictive and actual intrusion detection on a network
US20030110392A1 (en) Detecting intrusions
US6775657B1 (en) Multilayered intrusion detection system and method
US7681132B2 (en) System, method and program product for visually presenting data describing network intrusions
US20030188189A1 (en) Multi-level and multi-platform intrusion detection and response system
US7596807B2 (en) Method and system for reducing scope of self-propagating attack code in network
EP1817685B1 (en) Intrusion detection in a data center environment
EP2599276B1 (en) System and method for network level protection against malicious software
US20060031938A1 (en) Integrated emergency response system in information infrastructure and operating method therefor
US20030084349A1 (en) Early warning system for network attacks
US20070192867A1 (en) Security appliances
US20050216956A1 (en) Method and system for authentication event security policy generation
US20050039047A1 (en) Method for configuring a network intrusion detection system
Metzger et al. Integrated security incident management--concepts and real-world experiences
US20030097557A1 (en) Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system
US7475420B1 (en) Detecting network proxies through observation of symmetric relationships
US11856008B2 (en) Facilitating identification of compromised devices by network access control (NAC) or unified threat management (UTM) security services by leveraging context from an endpoint detection and response (EDR) agent
Nitin et al. Intrusion detection and prevention system (idps) technology-network behavior analysis system (nbas)
KR100401088B1 (en) Union security service system using internet
KR100446816B1 (en) Network for integrated security management service
KR100607110B1 (en) Security information management and vulnerability analysis system
Peterson Intrusion detection and cyber security monitoring of SCADA and DCS Networks
Allan Intrusion Detection Systems (IDSs): Perspective
Rao et al. A service oriented architectural design for building intrusion detection systems

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20100714

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20130717

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20160719

Year of fee payment: 15