KR100457971B1 - 시뮬레이션 기반 네트워크 보안관리 시스템 - Google Patents

Abstract

본 발명은 시뮬레이션 기반 네트워크 보안관리 시스템에 관한 것으로, 각 네트워크 구성원(Network Component)의 네트워크 상태에 대한 모니터링 정보(Monitoring Information)를 수집하고, 수립된 보안 전략(Security Strategy)을 해당 네트워크 구성원에 적용하는 보안 에이전트(Security Agent)와; 수집된 모니터링 정보에 따라 시뮬레이션 모델(Simulation Model)을 생성하고, 이 시뮬레이션 모델에 가상 공격(Cyber Attack)에 대한 시뮬레이션을 수행하는 시뮬레이터(Simulator)와; 시뮬레이션 결과에 따라 네트워크 구성원들에 대한 취약성(Vulnerability)을 정량적으로 분석하는 분석기(Analyzer)와; 취약성 분석결과에 따라 수립된 방어전략을 상기 시뮬레이터를 통해 상기 시뮬레이션 모델에 적용하여 평가하고, 이 평가결과와 관리자의 보안 정책(Security Policy)에 따라 최적의 방어 전략(Defense Strategy)을 수립하는 계획기(Planner)를 포함하여 구성함으로써 지능적이고 능동적인 보안관리가 가능하며, 보안관리를 위해 필요한 인적 자원 소요가 적고, 이에 따른 비용 절감 효과를 얻을 수 있으며, 보다 안정적이고 신속한 보안관리가 가능하도록 한 것이다.

Description

시뮬레이션 기반 네트워크 보안관리 시스템 {Network Security Management System based the Simulation Technique}

본 발명은 시뮬레이션 기반 네트워크 보안관리 시스템에 관한 것으로, 방화벽(Firewall), 침입탐지시스템(IDS : Intrusion Detection System) 등의 다양한 보안도구와 연계하여 네트워크 보안을 자동으로 운영 및 관리하는 네트워크 보안관리시스템에 관련된 것이다.

정보화의 진전에 따라 사회 시설 전반이 정보통신기반 기술을 이용하여 자동화되고, 이에 따라 정보 시스템 및 통신망에 대한 의존도가 점점 증가하고 있다. 반면, 정보 통신 시스템 자체의 버그, 다양한 서비스 제공에 따른 부적절한 시스템 구성 설정, 접속점 증가와 이로 인한 다양한 접근 경로 제공에 따른 취약성으로 인해 해킹 및 불법접근 등 외부적 위험 요소가 증가하고 있는 실정이다. 이와 같은 위협을 방지하기 위해 다양한 기능을 가진 보안 솔루션들이 개발되었다.

초창기에는 방화벽(Firewall), 암호화(Encrypton), 바이러스 백신(Anti-Virus), 접근통제(Access Control), 인증(Authentication), 침입탐지(Intrusion Detection) 기법을 이용한 개별 보안 솔루션이 등장하였다.

상기 방화벽(Firewall) 시스템은 OSI(Open Systems Interconnection) 참조 모델과 관련하여 방화벽시스템이 동작하는 프로토콜 계층에 따라 분류 될 수 있다. 계층 3인 네트워크 계층과 계층 4인 트랜스포트 계층에서 패킷 필터링 기능을 수행하는 스크리닝 라우터와 응용 계층에서 패킷 필터링 기능과 인증 기능 등을 수행하는 응용 계층의 게이트웨이로 분류할 수 있다.

스크리닝 라우터란 네트워크에서 사용하는 통신 프로토콜의 형태, 근원지 주소와 목적지 주소, 통신 프로토콜의 제어 필드 그리고 통신시 사용하는 포트 번호를 분석해서 내부 네트워크에서 외부 네트워크로 나가는 패킷 트래픽을 허가 및 거절하거나 혹은 외부 네트워크에서 내부 네트워크로 진입하는 패킷 트래픽의 진입 허가 및 거절을 행하는 라우터를 말한다. 이러한 진입 허가 혹은 거절 결정은 패킷필터 규칙에 따른 라우팅 테이블에 의해 결정된다. 일반 패킷과 특수한 프로토콜에 입각한 포트로 전송되는 패킷을 구별하는 능력 때문에 패킷 필터 라우터라고도 한다.

응용 게이트웨이 혹은 프록시(Proxy) 서버는 방화벽 시스템에서 구동되는 응용 소프트웨어를 말하며, 사용자 응용 계층(OSI 참조 모델의 계층 7)에서 트래픽을 분석할 수 있도록 프로그램 된다. 따라서 이것은 사용자 단계와 응용 프로토콜 단계에서 액세스 제어를 제공할 수 있고, 응용 프로그램의 사용에 대한 기록(Log)을 유지하고 감시 추적을 위해서도 사용될 수 있다. 해커 및 불법 침입자를 방어하기 위해서 강력한 인증 기법이 필요하며, 응용 게이트웨이는 사용되는 응용 서비스에 따라 각각 다른 소프트웨어를 구현하여 사용하기 때문에 고수준의 보안을 제공할 수 있다. 즉, 각 서비스별 프록시(Proxy)를 이용하여 패킷 필터링 방식처럼 IP 주소 및 TCP 포트를 이용하여 네트웍 접근제어를 할 수 있으며 추가적으로 사용자 인증 및 파일 전송시 바이러스 검색 기능과 같은 기타 부가적인 서비스를 지원할 수 있다. 프록시(Proxy)는 클라이언트와 서버 사이에 존재하여 그 접속을 관리하며 이미 접속된 연결에 대해서는 데이터 전달을 위한 전달자로서 기능을 한다. 따라서 클라이언트는 프록시(Proxy)를 통해서만 실제 서버로의 데이터를 주고받을 수 있다. 즉, 클라이언트와 서버간에 직접적인 연결을 허용하지 않는다.

상기 암호화(Encrypton) 기술은 보안시스템간의 통신을 위한 필수적인 요소로서, 대칭키, 공개키 방식의 여러 알고리즘이 응용되고 있다. 호스트간, 혹은 네트워크를 통한 시스템간의 통신에서 보호되어야할 패킷 헤더 정보나, 데이터 정보는 암호화를 통한 안정성이 보장되어야 함은 분명한 사실이다. 예를 들어, 인터넷과 같은 개방된 네트워크 상에서의 금융 거래 안전을 보장하기 위한 시스템으로 SET(Secure Electronic Transaction)이 있다. SET을 사용하면, 사용자에게 전자지갑(디지털 인증서)이 주어지며, 구매자와 상인, 그리고 구매자의 거래은행 간에는 기밀을 보장하는 방식으로 디지털 인증서와 전자서명의 조합을 사용함으로써 거래가 이루어지고 검증된다.

상기 바이러스 백신(Anti-Virus) 기술은 바이러스들에 의한 데이터 손실을 최소화하기 위한 것으로, 과거 "CIH"로 인한 피해에서 최근들어 막대한 피해를 주고 있는 "Nimda" 등 신종 바이러스들에 의한 데이터 손실 등의 피해가 날로 증가하는 가운데 이를 치유할 수 있는 바이러스 백신도 수요가 급격히 증가하고 있다. 또한, 국내 백신 소프트업체들은 백신 프로그램과 침입차단시스템 솔루션을 하나로 병합한 별도의 소프트웨어를 개발해 게이트웨이 차원에서 파일과 함께 암호화한 바이러스를 잡아내는 솔루션 개발에 적극 나서고 있다. 이처럼 보안 시스템에서의 바이러스 백신은 더이상 복구 시스템이 아닌, 능동적인 방어와 바이러스 감지, 그에 따른 신속한 대처방안 수립과 이웃 시스템에 전파, 그리고 보안 패치 및 시스템 업그레이드를 포함하여 통합 운영되고 있다.

상기 접근통제(Access Control) 기술은 외부의 불법적인 침입을 막기 위한 방화벽(Firewall) 시스템에 이어 이 방화벽 시스템 안에 있는 사내 비인가자들의 해킹 행위를 방지하기 위한 사내 보안 시스템을 말한다. 시스템 엑세스에 대해 접근 허가 유무를 규정지을 수 있는 정책과 통제 할 수 있는 소프트웨어가 필요하다.

상기 인증(Authentication) 기술은 사이버뱅킹, 전자상거래, 보안정보접근 등 사용자 암호확인이 필요한 모든 곳에 적용된다. 최근 사이버금융고객이 증가하고 전자상거래가 확산되면서 시장잠재력이 엄청나게 커지고 있다. 보안 시스템간 통신에서도 마찬가지로, 인증된 정보 교환이 필수적인 요소라 할 수 있다.

상기 침입탐지 (Intrusion Detection) 시스템은 컴퓨터 시스템이나 컴퓨터 네트워크에 대한 침입(intrusion)을 탐지하는 보안관리 시스템의 일종이다. 여기서 침입은 인가된 사용자나 외부 침입자가 컴퓨터 시스템에 대해 행하는 비인가된 사용, 오용, 남용 등을 의미한다. 이 침입탐지시스템은 사용자의 행동을 관찰하고, 각 사용자와 사용자 그룹에 있어 정상적인 행동 양식의 통계값을 사용자별 속성파일(Profile)로 관리하여 침입 탐지에 사용한다. 각 감사 레코드는 속성파일에 기록되어있는 각 판정요소(measure)에 대응되는 변수의 벡터로 표현되며, 벡터의 값이 속성파일의 통계값과 큰 차이를 보이면, 그 레코드는 비정상적인 것으로 간주된다. 속성파일은 하루 단위로 가장 최근에 관찰한 사용자 정보를 기준으로 매일 갱신되며 새로운 데이터를 기록하기 전에 최근에 발생한 데이터일수록 현재의 속성파일의 통계값 계산에 큰 영향을 미치도록 빈도수, 평균, 분산 등의 이전 정보에 감쇄율을 적용한다. 또한, 시스템에서 침입과 같은 의심스러운 행동들을 실시간(Real Time)으로 감지해내는 것을 목적으로 하며, 감사 대상 호스트로부터 수집된 감사 레코드를 통계적인 비교와, 미리 정의된 규칙과 비교 등의 방법으로 분석하여 그 결과를 GUI(Graphic User Interface)를 통해 시스템 관리자에게 보고한다. 그리고, 네트웍에 독립적으로 분산되어 있는 모니터(Distributed Surveillance Monitor)들을 사용하여 대규모 네트웍에서의 비정상 활동을 감지, 보고한다.

그러나, 상기한 개별 보안 솔루션은 개별 보안 중심으로 개발되어 단기적 대응에는 적합하지만 다양하고 지능적으로 급변하는 불법적 행위에 효과적으로 대처하기에는 한계가 있었다. 따라서, 최근에는 기존의 개별 보안 솔루션들을 체계적으로 통합하여 장기적 대응에 적합한 정책 지향적인 보안 솔루션(이하, 통합보안관리시스템이라 칭한다)들이 속속 등장하고 있다.

대표적인 통합보안관리시스템(ESM : Enterprise Security Management)으로는 다음과 같은 것이 있다.

첫째로는 어울림정보기술의 시큐어웍스 통합보안관리시스템(ESM)으로, 각 보안 제품들(VPN, Firewall, Appliance, Unix/NT Server)에 설치되어 있는 에이전트들과 이를 통합하여 수집하는 ESM 서버(Server), 그리고 이를 관리하는 ESM 매니저(Manager)로 구성되어 있다.

자사 제품군인 SecureWorks Series(Firewall/VPN/Server Security)에 대한 보안정책을 ESM을 통하여 정의하고 관리할 수 있으며, ESM에 등록된 각각의 시스템들은 동일한 보안정책을 가지는 시스템들을 그룹화한 도메인을 설정하고 각각의 도메인에 대해서 광역 정책(Global Policy)을 적용하거나 개별 시스템에 대한 지역 정책(Local Policy)을 적용할 수 있다. 그리고, ESM에 연결된 시스템들에서 발생되는 Error, Warning, Notice, Account 등의 로그 데이터를 ESM 매니저를 통하여 실시간으로 모니터링 할 수 있으며, 전체 시스템로그에 대해서 검색기능을 제공, 필요로 하는 정보를 손쉽게 검색할 수 있다.

둘째로는 이노크래프트의 이존센터(EZONE Center)이다. 이노크래프트사는 미국의 RSA시큐리티와 국내 보안업체인 트러스컴(www.truscom.co.kr)과 제휴를 맺고, 자사의 SMS(Server Management System) 솔루션인 이존센터(EZONE Center)에 공개키 기반 구조(PKI) 등 다양한 보안기능을 접목시킨 S-ESM 솔루션을 개발하였다. 이존센터(Ezone Center)는 장애를 유형별, 시간대별로 수집하여 기록하고 관리하는 장애관리와 서버의 동작을 그래프로 표시해 주고 서버의 성능을 관리하는 이존 SMS와 네트워크의 장애 관리, 성능 향상, 자원 분배, 네트워크 변경 및 확장 등의 지원 기능 Ezone NMS(Network Management System)로부터 시작하여, 정보 자원들을 효과적으로 관리할 수 있도록 시스템과 네트워크를 관리해 주는 Ezone Help Desk, 공개키 기반의 인증기능을 지원하는 Ezone PKI, QoS(Quality of Service) 기능과 로드 밸런싱을 제공하는 Ezone Wall, 호스트와 네트워크의 혼합형 침입탐지시스템인 Ezone IDS와, 사용자들간의 그룹웨어인 Ezone Group과, 고객관리가 가능한 Ezone CRM을 포함한 이존 어플리케이션으로 구성되어 있다.

셋째로는 인젠의 NEO2000 시리즈이다. 인젠(www.inzen.co.kr)의 통합 보안 관리는 호스트의 침입탐지를 담당하는 NeoGuard@ESM과 네트워크 침입 탐지 기능을 수행하는 NeoWatcher@ESM, 보안 정책에 따라 유해한 패킷을 차단하는 방화벽(Firewall) 시스템인 NeoGate@ESM과 이를 통합 관리하는 NeoAdmin@ESM으로 구성되어 있다. NeoWatcher@ESM 패키지는 네트워크 침입탐지 시스템으로 침입탐지시스템과 프록시 서버의 침입차단 기능 후에 네트워크 패킷 분석을 통한 침입 탐지 기능을 제공하게 된다. 대규모 네트워크에 사용될 수 있도록 환경설정이 가능하고,복수의 침입탐지 엔진으로 역할을 분담할 수 있다.

넷째로는 이글루시큐리티의 SPiDER-1 이다. 이글루시큐리티의 SPiDER-1은 보안정책 관리에서부터, 침입차단, 침입탐지, 파일/디렉토리 관리, 실시간 경보(Real-Time Alert) 등을 제공하는 다양한 보안 기능을 갖는 제품들로 구성되어 있다. 보안정책(SecurePolicy)은 보안감사(Audit)를 위한 각종 정책을 지정하거나, 사용자 관련 정보, 로그인 정보, 시스템 관련 정보 및 침입차단 정보, 침입탐지 정보 등 각종 정보에 대한 기본 정책을 수립하여 관리하게 되며, 시스템의 CPU, Memory, Disk, Process, Network 등의 자원을 모니터링하는 SysMon, 지정한 감사(Audit) 정책에 따라 발생되는 각종 시스템 로그, 침입차단시스템 로그, 침입탐지시스템 로그 등을 모니터링하는 LogView, 내부 관리자의 잘못된 조작이나 외부 침입자의 불법적인 접근으로 인해 기업 내의 미션 크리티컬(Mission critical)한 암호나 패스워드 파일, 중요정보가 담긴 파일들이 위험에 노출되거나 변경, 위조되는 경우들을 미연에 방지하여 주요 파일들을 안전하게 관리하는 ChangeMan, 위험 등급에 따른 공지 및 경보를 정의하고 수행하는 RealAlert, 각종 보안관련 자료들을 한눈에 알아 볼 수 있도록 다양한 통계분석을 이용한 보고서를 만들어 주는 LiveReport와, 네트워크 트래픽 모니터링과 특정 조건이나 패턴에 따라 의심스러운 In/Out 데이터를 로깅하여 향후 감사(audit)를 위한 기초 자료를 제공해 줄 수 있는 네트워크 추적 시스템인 NetTrace 등의 다양한 구성요소로 이루어져 있다.

다섯째로는 ISS의 SAFEsuite 이다. 미국 ISS(Internet Security Systems)사의 SAFEsuite Decisions는 의사결정 지원 응용 프로그램으로써 ISS의 InternetScanner, System Scanner, RealSecure나 다른 업체의 방화벽(Firewall), 침입탐지시스템(IDS) 등으로부터 생성된 보안정보를 자동 통합하여 하나의 소스로부터 보안분석 및 정보를 제공함으로써 서버보안 문제를 해결한다. SAFEsuite는 보안을 위하여 다른 네트워크에서 동작되는 제품군의 네트워크 센서와 운영체제를 위한 센서, 그리고 인터넷, 시스템, 데이터베이스를 감시하는 스캐너와 방화벽(Firewall), 다른 여러 침입 탐지 시스템들로부터 수집된 정보를 통합하여 분석자료로 활용하여 중앙에서 이를 분석 처리하는 보안 통합 솔루션이다. 자동화된 형식의 리포팅을 신속하게 작성 및 분배하여 효율성을 높이고, 지속성과 확장성을 갖춘 자체 형식의 관계 데이터베이스를 두어 처리하고 있다.

여섯째로는 CheckPoint의 OPSEC 이다. 체크포인트사에서 내놓은 OPSEC(Open Platform for Security)은 보안 기능을 위한 몇 개의 프로토콜과 API(Application Programming Interface)의 집합으로 구성되어 있으며, 제공하는 SDK(Software Development Toolkit)를 이용한 모든 제품들간의 통합이 가능하다. 현재 많은 업체의 제품들이 지원하고 있으며, OPSEC을 지원하는 제품은 컨텐츠 보안, 웹 자원 관리, 침입 탐지와 차단, 리포팅과 이벤트 정보 분석, 사용자와 IP 주소의 연계, 인증의 통합 등의 기능을 이용하여 통합적인 보안 솔루션을 구성할 수 있다.

일곱번째로는 Network Associates의 Active Security 이다. Active security는 보호 대상 객체들과 이들을 접근/사용하고자 하는 특정 행위, 잠재적인 보안 문제점들을 명세하여 이 행위나 문제점들이 발견되었을 경우 어떻게 대응하여야 하는 것인지에 대한 규칙을 명시한 Security Policy와, 각 감시/탐지 시스템으로부터 전달된 경고와 사건에 대한 내용을 받아 정책에 기술된 규칙에 따라 다음의 행위를 결정하는 Event Orchestra, 잠정적으로 보안 문제를 야기시킬 수 있는 문제점, 보안 구멍, 공격/침입에 쉽게 노출된 지점 등에 대한 검사를 수행하여 그 결과를 Event Orchestra에게 통지하는 역할을 수행하는 Vulnerability Scanner, Event Orchestra의 판단에 따라 결정된 명령이나 정책을 받아 직접적인 보안 대응 활동을 수행하고 문제점이나 사건에 대한 자료의 제공 역할을 수행하는 Actions for security로 구성되어 있다.

여덟번째로는 e-Security의 OeSP 이다. OeSP(Open e-Security Platform)는 전체 네트워크의 보안 상황을 실시간으로 파악할 수 있는 제품으로 방화벽, 침입탐지, 바이러스 백신, 운영체제, 웹서버, 데이터베이스, 인증, 보안관리, 취약점 스캐너 등의 보안도구로부터 이벤트 정보나 상황정보를 수집하여 이를 통합 분석한다. Enterprise IT infrastructure, Communication infrastructure, Enterprise security management의 세 개 계층으로 나누어져 있으며, 이벤트 정보원들이 되는 보안 장비들이나 네트워크 장비들, 각 서버나 데이터베이스에 설치되어 정보들을 수집하는 Agent와 IntellAgents, 모아진 정보들을 분석, 감시하고 이벤트 정보들로부터 false negative(침입이 아닌데도 불구하고 침입으로 간주)나 false positive(침입인데도 판별하지 못하는 경우)를 줄이는 기능을 내포하고 있는 Correlation Engine과 OeSP Processor, 콘솔의 세 부분으로 구성되어 있다. eSAW(e-Security Administrator Workbench)를 통해서 SNMP(Simple Network Management Protocol)를 지원하는 장비들과 여러 곳에 설치된 Agent들을 효과적으로 관리할 수 있다.

따라서, 본 발명자는 실제 대상 네트워크 및 시스템에 대한 분석 및 보안 정책에 따른 통합보안관리를 행하는 상기한 통합보안관리시스템(ESM : Enterprise Security Management)에 대상 네트워크에 대한 예상 가능한 사이버 공격을 가상으로 실시간 시뮬레이션 수행하여 향후 발생할 가능성이 있는 상황에 따른 정량적 취약점을 분석한 후 보안정책을 고려하여 대응전략을 생성하고, 시뮬레이션 기법을 이용하여 이를 평가하여 이를 토대로 최적의 대응전략을 수립하고, 이를 대상 네트워크에 적용함으로써 자동으로 대상 네트워크의 보안관리를 수행할 수 있는 지능적인 통합보안관리시스템(ESM : Enterprise Security Management)에 대한 연구를 하게 되었다.

본 발명은 상기한 취지하에 발명된 것으로, 방화벽(Firewall), 침입탐지시스템(IDS : Intrusion Detection System) 등의 다양한 보안도구와 연동하여 수집된 네트워크 구성원들에 대한 모니터링 정보를 토대로 다양한 가상공격 시나리오에 대한 시뮬레이션을 수행하여 네트워크 취약성을 분석하고 이에 대한 방어전략을 생성하는 시뮬레이션 기반 네트워크 보안관리 시스템을 제공함을 그 목적으로 한다.

본 발명의 또 다른 목적은 생성된 방어전략을 시뮬레이션하여 방어전략을 평가하고 이를 토대로 최적의 방어전략을 수립할 수 있는 시뮬레이션 기반 네트워크 보안관리 시스템을 제공하는 것이다.

본 발명의 또 다른 목적은 수립된 최적의 방어전략을 대상네트워크에 자동으로 적용하여 지능적인 보안관리를 수행할 수 있는 시뮬레이션 기반 네트워크 보안관리 시스템을 제공하는 것이다.

상기한 목적을 달성하기 위한 본 발명의 일 양상에 따르면, 본 발명에 따른 시뮬레이션 기반 네트워크 보안관리 시스템은 각 네트워크 구성원(Network Component)의 네트워크 상태에 대한 모니터링 정보(Monitoring Information)를 수집하고, 수립된 보안 전략(Security Strategy)을 해당 네트워크 구성원에 적용하는 보안 에이전트(Security Agent)와; 수집된 모니터링 정보에 따라 시뮬레이션 모델(Simulation Model)을 생성하고, 이 시뮬레이션 모델에 가상 공격(Cyber Attack)에 대한 시뮬레이션을 수행하는 시뮬레이터(Simulator)와; 시뮬레이션 결과에 따라 네트워크 구성원들에 대한 취약성(Vulnerability)을 정량적으로 분석하는 분석기(Analyzer)와; 취약성 분석결과에 따라 수립된 방어전략을 상기 시뮬레이터를 통해 상기 시뮬레이션 모델에 적용하여 평가하고, 이 평가결과와 관리자의 보안 정책(Security Policy)에 따라 최적의 방어 전략(Defense Strategy)을 수립하는 계획기(Planner)를 포함하는 것을 특징으로 한다.

본 발명의 부가적인 양상에 따르면, 본 발명에 따른 시뮬레이션 기반 네트워크 보안관리 시스템이 네트워크 구성원의 동역학적 모델을 저장하는 모델 베이스(Model Base)를 더 포함하고; 상기 시뮬레이터가 상기 모델 베이스에 저장된 네트워크 구성원의 동역학적 모델로부터 상기 수집된 모니터링 정보에 대응하는 시뮬레이션 모델을 생성하는 것을 특징으로 한다.

본 발명의 부가적인 양상에 따르면, 본 발명에 따른 시뮬레이션 기반 네트워크 보안관리 시스템이 상기 가상 공격에 대한 명령어 모델(Command Model)을 저장하는 명령어 데이타베이스(Command Database)와, 가상공격 시나리오(Cyber Attack Scenario)를 저장하는 가상공격 데이타베이스(Cyber Attack Database)를 더 포함하고; 상기 시뮬레이터가 상기 명령어 데이타베이스와 가상공격 데이타베이스를 이용하여 가상 공격에 대한 시뮬레이션을 수행하는 것을 특징으로 한다.

본 발명의 부가적인 양상에 따르면, 본 발명에 따른 시뮬레이션 기반 네트워크 보안관리 시스템이 노드(Node), 링크(Link), 네트워크(Network) 취약성 메트릭스(Vulnerability Metrix)를 정의하고 모델링(Modeling)하여 저장하는 취약성 데이타베이스(Vulnerability Database)를 더 포함하고; 상기 분석기가 상기 취약성 데이타베이스를 이용하여 취약성 메트릭스를 적용함으로써 네트워크 구성원들에 대한 취약성을 정량적으로 분석하는 것을 특징으로 한다.

본 발명의 부가적인 양상에 따르면, 본 발명에 따른 시뮬레이션 기반 네트워크 보안관리 시스템이 방어 전략 모델을 저장하는 방어전략 데이타베이스(Defense Strategy Database)를 더 포함하고; 상기 계획기가 상기 취약성 분석결과와 관리자의 보안 정책에 따른 방어 전략을 상기 방어전략 데이타베이스로부터 독출하여 수립하는 것을 특징으로 한다.

본 발명의 부가적인 양상에 따르면, 본 발명에 따른 시뮬레이션 기반 네트워크 보안관리 시스템은 상기 보안 에이전트가 방화벽(Firewall)으로부터 모니터링 정보를 수집하고, 수립된 보안 전략을 이 방화벽에 적용하는 방화벽 보안 에이전트(Firewall Security Agent)와; 라우터(Router)로부터 모니터링 정보를 수집하고, 수립된 보안 전략을 이 라우터에 적용하는 라우터 보안 에이전트(RouterSecurity Agent)와; 침입탐지시스템(IDS : Intrusion Detection System)으로부터 모니터링 정보를 수집하고, 수립된 보안 전략을 이 침입탐지시스템에 적용하는 침입탐지시스템 보안 에이전트(IDS Security Agent)를 포함하는 것을 특징으로 한다.

도 1 은 본 발명에 따른 시뮬레이션 기반 네트워크 보안관리 시스템의 구성을 도시한 블럭도

도 2 는 본 발명에 따른 시뮬레이션 기반 네트워크 보안관리 시스템의 보안관리 흐름도

<도면의 주요부분에 대한 부호의 설명>

10 : 보안 에이전트 11 : 방화벽 보안 에이전트

12 : 라우터 보안 에이전트 13 : 침입탐지시스템 보안 에이전트

20 : 시뮬레이터 30 : 분석기

40 : 계획기

이하, 첨부된 도면을 참조하여 기술되는 바람직한 실시예를 통하여 본 발명을 당업자가 용이하게 이해하고 재현할 수 있도록 상세히 기술하기로 한다.

도 1 은 본 발명에 따른 시뮬레이션 기반 네트워크 보안관리 시스템의 구성을 도시한 블럭도이다.

도면에 도시한 바와같이, 본 발명에 따른 시뮬레이션 기반 네트워크 보안관리 시스템은 보안 에이전트(Security Agent)(10)와, 시뮬레이터(Simulator)(20)와, 분석기(Analyzer)(30)와, 계획기(Planner)(40)를 포함한다.

상기 보안 에이전트(10)는 각 네트워크 구성원(Network Component)의 네트워크 상태에 대한 모니터링 정보(Monitoring Information)를 수집하고, 수립된 보안 전략(Security Strategy)을 해당 네트워크 구성원에 적용한다.

상기의 네트워크 구성원(Network Component)은 클라이언트 컴퓨터(Client Computer), 서버(Server), 방화벽(Firewall), 침입탐지시스템(IDS : Intrusion Detection System), 라우터(Router) 등 네트워크를 구성하는 구성요소를 의미한다.

상기 보안 에이전트(10)는 상기 네트워크 구성원들에 설치되어 실행되는 소프트웨어의 형태로 존재할 수 있으며, 상기 네트워크 구성원들에 기설치되어 있는 보안 도구와 연동되어 해당 네트워크 구성원에 대한 네트워크 상태 정보를 모니터링하여 수집하고, 상기 시뮬레이터(20)와, 분석기(30)와, 계획기(40)를 포함하는 보안 매니저(Security Manager)로부터 수립된 최적의 보안 정책을 해당 네트워크 구성원에 자동으로 적용한다.

상기 보안 에이전트(10)는 방화벽(Firewall)으로부터 모니터링 정보를 수집하고, 수립된 보안 전략을 이 방화벽에 적용하는 방화벽 보안 에이전트(Firewall Security Agent)(11)와, 라우터(Router)로부터 모니터링 정보를 수집하고 수립된 보안 전략을 이 라우터에 적용하는 라우터 보안 에이전트(Router Security Agent)(12)와, 침입탐지시스템(IDS : Intrusion Detection System)으로부터 모니터링 정보를 수집하고 수립된 보안 전략을 이 침입탐지시스템에 적용하는 침입탐지시스템 보안 에이전트(IDS Security Agent)(13) 등을 포함하는 기존의 다양한 보안도구들에 대한 보안 에이전트를 의미하는 포괄적 개념이다.

상기 시뮬레이터(20)는 상기 보안 에이전트(10)로부터 수집된 모니터링 정보에 따라 시뮬레이션 모델(Simulation Model)을 생성하고, 이 시뮬레이션 모델에 가상 공격(Cyber Attack)에 대한 시뮬레이션을 수행한다.

상기 시뮬레이션 모델에 관련된 기술로는 다음과 같은 것이 있다.

Cohen은 가상공격과 방어의 원인-결과 모델(Cause-Effect Model)을 제안하여 확률론에 입각한 단순한 모델링을 시도하였다. 원인-결과 모델이라는 것은 원인과 결과 사이의 지연시간 개념을 이용하여 시뮬레이션이 가능하도록 함으로써, 특정 원인에 대한 결과가 출력될 수 있도록 한다. 그러나, 원인-결과 모델을 통한 시뮬레이션은 공격과 방어에 따른 각 노드에서의 구체적인 상태, 동작 등의 변화를 생략하고 공격에 대한 방어의 성공 여부로 추상화함으로써 시뮬레이션 분석을 통하여도 공격과 방어로 인한 지연 시간만을 분석할 수 있다. 따라서, 원인-결과 모델은 정보보호에 있어서 시뮬레이션을 적용한 첫 시도로서 의미가 있으며 이미 알려진 공격과 방어에 대한 정의를 통하여 쉽게 시뮬레이션을 수행하여 통계적인 분석을 제공할 수 있다는 장점이 있지만 공격과 방어에 있어서 대상 노드에서의 구체적인 상태의 변화나 동작 등을 알 수 없는 단점이 있다.

Amoroso는 침입 탐지 모델에 대한 연구를 통하여 침입 모델의 표현 방법을 제시하였다. Amoroso의 접근에서 침입이란, 목표 컴퓨터나 네트워크에 대해 인증 받지 않은 사용자 혹은 악의적인 상대가 행하는 연속적인 행동으로 정의된다. 일반 침입 모델은 침입자에 의한 초기 행동과 침입자에 의한 다음 행동들을 통한 결과로 침입자의 침입이 성공 또는 실패하게 된다. 한편, 침입 연관 및 무관 행동은 침입자에 의한 침입연관행동들과 침입자에 의한 침입무관행동이 섞여있음으로 인해서 현재 활동하고 있는 사용자가 침입자인지 일반 사용자인지에 대한 구별이 더욱 어렵게 된다. Amoroso의 침입 패턴을 통한 모델링 연구는 Cohen의 단순화된 원인-결과 모델에 비해 구체적인 것으로 보이나, 이 모델은 단지 침입행동의 표현방법만을 제시하는데 그치고 있어서, 시뮬레이션 분석 및 활용 방안에 대해서는 아직 미지수이다.

최근에, Nong Ye는 가상 공격 방어를 위한 프로세스 제어 접근에 대한 연구를 통하여 복잡한 가상 공격 모델의 추상화 단계를 제안하고 이러한 단계 중 보안 모델링을 위해서는 기능적 단계의 모델링이 필수적이라고 강조한 바 있다. 가상공격과 방어 모델은 그 범위가 방대하고 그 복잡성이 대단히 높은 것으로 알려져 있으나, Nong Ye의 연구는 이런 가상 공격과 방어 모델 프로세스에 대한 추상화 단계를 정함으로써 어떤 부분에 중점을 두어야 하는지에 대한 좋은 방향을 제시하고 있다.

지금까지의 Cohen, Amoroso, Nong Ye의 연구는 네트워크 보안 모델링에 있어서 나름대로의 연구결과들을 제시하고 있지만 원인-결과 모델에 의한 가상 공격과 방어의 표현을 너무 단순하게 표현했기 때문에 실제 적용을 하는데 어려움이 있으며, 침입 모델에 대한 연속적인 행동은 침입 모델에 대한 행동을 보이는 장점을 가지는 반면, 보안 메커니즘 중심의 표현으로 인해 컴퓨터 시뮬레이션 접근이 분명치 않은 단점을 가진다. 마지막으로 Nong Ye의 접근은 복잡한 시스템에 대한 단계적 접근이 돋보이지만 이러한 단계를 적용한 모델링 및 시뮬레이션 기법에 대한 구체적인 예시가 없는 실정이다. 즉, 제시한 단계별 접근을 통한 시뮬레이션 시스템의 구현과 테스트에 대한 부분이 없다.

본 발명에서는 가상 공격에 대한 명령어 수준의 접근을 통해서 Nong Ye가 가장 바람직한 단계로 제안한 기능단계의 모델링을 적용하였다.

따라서, 본 발명에 따른 시뮬레이션 기반 네트워크 보안관리 시스템에서는 네트워크 구성원의 동역학적 모델을 저장하는 모델 베이스(Model Base)(50)를 더 포함하도록 구성하고, 상기 시뮬레이터(20)가 상기 모델 베이스(50)에 저장된 네트워크 구성원의 동역학적 모델로부터 상기 수집된 모니터링 정보에 대응하는 시뮬레이션 모델을 생성하도록 하였다.

이 때, 본 발명에 따른 시뮬레이션 기반 네트워크 보안관리 시스템이 상기 가상 공격에 대한 명령어 모델(Command Model)을 저장하는 명령어 데이타베이스(Command Database)(60)와, 가상공격 시나리오(Cyber Attack Scenario)를 저장하는 가상공격 데이타베이스(Cyber Attack Database)(70)를 더 포함하는 것이 바람직하며, 상기 시뮬레이터(20)는 상기 명령어 데이타베이스(60)와 가상공격 데이타베이스(70)를 이용하여 가상 공격에 대한 시뮬레이션을 수행하는 것이 바람직하다.

상기 모델 베이스(50)는 절차적 특징을 가지며, 동역학적 그리고 기호적인 표현 수단을 제공하는 모델들로 구성된다. 이 모델 베이스(50)에는 이산 사건 모델링을 위한 대표적인 형식론인 DEVS(Discrete Event System Specification)를 이용하여 표현한 네트워크 구성원들의 동역학적 모델들이 저장된다. DEVS모델은 연속적인 시간상에서 이산적으로 발생하는 사건들에 대하여 시스템의 행위를 측정하는 것으로 다음과 같은 형식론에 의해 모델을 표현한다.

M = < X, S, Y, δint, δext, λ, ta >

여기에서 X : 입력 집합

S : 상태 집합

Y : 출력 집합

δint : S →S, 내부상태 전이함수

δext : Q ×X →S, 외부상태 전이함수,

Q = { (s,e) | s ∈S, 0 ≤e ≤ta(s) }

λ : S →Y, 출력 함수

ta : S →R+0,∞, 시간 진행 함수,

단, R+0,∞는 음수를 제외한 실수 집합

입력 집합 X는 시스템 외부에서 발생하는 사건들의 집합을 의미하고, 출력 집합 Y는 출력 변수들의 집합을 나타낸다. 상태 집합 S는 상태 변수들의 각 정의 구역들의 곱집합을 의미하며 상태 s (∈S)는 시간 진행에 따른 시스템의 순차적인 스냅샷(snap shot) 상태를 의미한다. 사건 진행 함수 ta(s)는 시스템이 외부 사건을 입력받지 않는 한 상태 s에 머물 수 있도록 허용한 시간으로 정의한다. 내부 상태 전이 함수 δint는 외부의 사건이 없는 경우 시간 진행에 따라 모델의 상태변화를 설명해 주는 함수로 정의하고, 외부 상태 전이 함수 δext는 시스템 외부에서 발생한 사건에 의한 모델의 상태변화를 나타내는 함수로 정의한다. 출력 함수 λ는 상태 s에서 시스템의 출력으로 정의한다.

표 1 은 모델베이스에 저장되는 모델의 일예로서 호스트 모델과 공격자 모델에 대한 가상 코드(Pseudo code)를 나타낸다. 호스트 모델은 호스트별로 다양한 서비스, 즉 텔넷(Telnet), E-메일(E-mail), 파일전송 프로토콜(Ftp), 웹(Web), 패킷 필터링(Packet Filtering) 등으로 구성된다. 이러한 호스트 모델의 동적요소(dynamics)는 각각의 상태변수(state variables) 즉, 서비스 타입(servicetype), 하드웨어 타입(H/W type), 운영체제 타입(O/S type) 등에 따라 다양하게 표현될 수 있다. 좌측의 호스트 모델에서 외부전송함수(external transition function)는 in 포트를 통한 외부의 입력에 대하여 phase가 passive일 경우 입력된 명령어를 pre/post-condition으로 표현되는 명령어 데이터베이스를 이용하여 처리하고 처리시간 동안 busy상태를 유지한다. 한편, 내부전송함수(internal transition function)는 phase가 busy일 경우 passive로 변환시키고 출력함수(output function)는 처리된 결과를 out port를 통하여 패킷(packet) 형태로 묶여서 외부로 전달한다. 우측의 공격자 모델의 경우, 외부전송함수(external transition function)는 in 포트를 통한 외부의 입력에 대하여 phase가 passive일 경우 가상 공격 데이터베이스로부터 다음 명령어를 가져오고 공격시간(attacking-time)동안 phrase를 active로 유지한다. 또, 외부전송함수 (internal transition function)는 phase가 active일 경우 passive로 변환시키고 출력함수(output function)는 가상 공격 데이터베이스로부터 가져온 공격 명령어를 out port를 통하여 외부로 전달한다.

상기 명령어 데이터베이스(60)에는 네트워크의 각종 서비스들에서 사용되는 명령어들이 저장되며 표 2 는 텔넷(Telnet) 서비스에서 사용되는 명령어에 대한 일예를 나타낸다. 여기서, pre-condition은 명령어가 실행되기 위한 조건에 대한 내용, output은 명령어의 처리로 얻는 결과 내용, 그리고 post-condition은 명령어를 수행한 후에 변경되는 노드나 서비스의 속성에 대한 내용을 각각 나타낸다. 예를 들어서 rmdir 명령어가 수행되기 위해서는 선행조건으로 삭제하려는 디렉토리가 비어 있는지 여부를 확인하여야 하고 그 결과로 디렉토리 제거라는 결과가 반환이 되며 마지막으로 후행조건으로 디렉토리의 속성을 변경하게 된다.

Command	Pre-condition(current states)	Output	Post-condition(next states)
more	-	Brows of pagethrough a text file	-
pwd	-	Return workingdirectory name	-
rmdir	Check the fileexistance	Remove directoryentries	Change directoryattributes
cd	Check the fileexistance	Chang workingdirectory	Change directoryattributes
vi	Check the fileexistance	Display or edit file	Change file attributes
mv	Check the fileexistance	Move files	Change file attributes
rm	Check the fileexistance	Remove file entries	Change file attributes
chmod	Check the fileexistance	Change thepermission mode	Change permissionattribute

표 3 은 가상공격 데이터베이스(70)의 구성에 대한 일예를 나타낸다. 표에서 'Attack scenario #'는 공격 시나리오의 번호를 나타내고, 'Commands'는 연속적인 명령어들의 순차적 리스트를 나타낸다. 'Exploited vulnerability'는 공격을 위하여 사용된 취약성 항목을 의미하여 'Effected vulnerability'는 공격 성공에 의하여 변화되는 취약성 항목을 나타낸다. 예를 들어, 공격 시나리오-4는 'telnet taget.host', 'User abcxyz 1234', 'umask 000', 'cd /tmp', 'ln -s /.test .status.dce', 그리고 'glance -j l -i l -m l'등의 명령들을 통해 진행되며, 취약성 항목 중 'Vul_glance'를 이용하여 공격이 이루어진다. 또한 공격이 성공되면 'Vul_userfile'에 영향을 미치게 됨을 알 수 있다.

Attackscenario #	Commands	Exploitedvulnerability	Effectedvulnerability
1	telnet taget.hostBrute force passwords	VulPassword	-
2	http://Node-3/cgi-bin/phf.cgiBrute force passwords	VulPhfVulPassword	-
3	showmount -e taget.hostmount target.host:/usr/tmpcd /tmpecho abcxyz:1234:10001:1::: >> passwdlsu abcxyzecho attacker >> .rhosts	VulFilesystemVulUserfile	VulFilesystemVulPasswordVulUserfile
4	telnet taget.hostUser abcxyz 1234umask 000cd /tmpln -s /.test .status.dceglance -j l -i l -m l	Vulglance	VulUserfile
5	telnet taget.hostUser abcxyz 1234telnet taget.hostUser abcxyz 1234cd /tmpmkdir xyzcd xyzvi /tmp/xyz testrm -r /tmp/xyzsave in vi	Vultmps	-

상기 분석기(30)는 시뮬레이션 결과에 따라 네트워크 구성원들에 대한 취약성(Vulnerability)을 정량적으로 분석한다.

본 발명에서는 유닉스 호스트(Unix host), 윈도우즈 엔티(Windows-NT), 윈도우즈98(Windows98), 라우터(Router), 웹서버(Web Server), 엑스-터미널(X-terminal) 등을 포함하는 네트워크를 구성하는 구성원의 구성설정 오류 등에 의한 보안 취약성을 분석하여 시뮬레이션 기반의 취약성 분석을 위한 노드, 링크, 네트워크 취약성 매트릭스를 정의하고 모델링하였다.

따라서, 본 발명에 따른 시뮬레이션 기반 네트워크 보안관리 시스템은 노드(Node), 링크(Link), 네트워크(Network) 취약성 메트릭스(Vulnerability Metrix)를 정의하고 모델링하여 저장하는 취약성 데이타베이스(Vulnerability Database)(80)를 더 포함하고, 상기 분석기(30)가 상기 취약성 데이타베이스(80)를 이용하여 취약성 메트릭스를 적용함으로써 네트워크 구성원들에 대한 취약성을 정량적으로 분석하게 된다.

표 4 는 상기 취약성 데이타베이스의 일예를 나타낸 것으로, 취약성 메트릭스를 적용하여 취약성을 분석할 경우 사용된다. 표에 나타난 바와 같이, 취약성 항목은 O/S 타입 등에 의존적인 'Fixed Vulnerability'와 패스워크 구성 상태와 같은 'Changable Vulnerability'로 나눌 수 있다. 즉, 시뮬레이션 상에서의 다양한 시도와는 무관하게 취약성 값이 고정불변(즉, 네트워크 구성원의 상태변수 중 시간의 변화에 무관한 상태값)인 전자와는 달리 후자의 경우는 시뮬레이션을 통하여 다양한 취약성 값에 대한 분석을 수행할 수 있다. 표에서 'Impact Level'은 해당 취약성을 이용한 공격이 성공했을 때 그 피해량의 정도를 나타내는 것으로, 0 ~ 1 사이 값으로 정의하였다. 끝으로 'Remarks'는 해당 취약성에 대한 설명을 나타낸다. Remarks에 따라 시스템에 예상되는 취약성을 항목을 찾고 그에 대한 Impact Level을 취약성 메트릭스에 적용함으로써 정량적으로 취약성을 분석할 수 있다.

Category	Vul. item	Impact level (wi)	Remarks
Fixedvulnerability	VulPhf	0.75	Phf CGI vulnerability
	Vultmps	1.0	SunOS 4.1.4 tmpfs vulnerability
	Vulglance	1.0	HP-UXB 1.0.2 glance vulnerability
	...	...	...
Changeablevulnerability	VulPassword	0.5	Password vulnerability
	VulUserfile	0.75	User file vulnerability
	VulFilesystem	0.75	Files system vulnerability
	...	...	...

상기 노드 취약성은 네트워크상의 구성원들이 갖는 취약성 항목들에 대한 종합적인 취약성 값을 나타낸다. 이를 위하여 우리는 먼저 취약성 항목별 값의 범위를 0 ~ 1 사이의 값으로 정의하였는데, 이 값은 시뮬레이션 평가를 통하여 얻을 수 있다. 또한, 여기에 각 항목별로 공격 성공시 임팩트 레벨을 고려하여, 산술평균을 구함으로써, 궁극적으로 노드 취약성을 구할 수 있도록 하였다. 네트워크 상의 각 노드 구성원은 자신만의 구성 특성에 따라 모든 취약성 항목들에 대한 부분집합을 갖는다. 따라서 노드 취약성은 해당 취약성 항목별 임펙트 레벨과 취약성 값의 곱에 대한 산술평균에 의하여 구할 수 있다. 즉, i번째 구성원의 노드 취약성인 NV_i를 다음과 같이 정의한다.

여기서, n_i는 i번째 구성원에 대한 취약성 항목의 총 개수를 의미하며 W_j와 vul_j는 j번째 취약성 항목의 임펙트 레벨과 취약성 값을 의미한다.

상기 링크 취약성(Link Vulnerability)은 접속점 증가에 따른 접근 경로의 다양화로 이 링크 취약성 분석이 필수적이므로, 본 발명에서는 노드 취약성과 같이 0 ~ 1 사이의 값을 갖는 링크 취약성에 대한 매트릭스 LV_i를 다음과 같이 정의한다.

여기서, LV_i는 간접 측정(indirect measure) 방법의 노드 취약성과는 달리, 시뮬레이션을 통한 직접 측정(direct measure) 방법으로 접근된다. 위 식에서, n_success는 성공한 공격 시나리오의 갯수를 나타내며 n_trial은 공격자 모델로부터 대상 노드로 전달된 공격 시나리오의 총갯수를 나타낸다. 즉, 모든 알려진 공격 시나리오를 균일분포(uniform distribution)에 따라 발생시킨 뒤 시뮬레이션을 진행하여 해당 노드에 대한 공격의 성공/실패 여부를 누적하고, 다시 초기화하여 다른 공격 시나리오를 생성하여 계속적으로 시뮬레이션하는 방법으로 충분한 통계치를 얻을 때까지 반복 수행한다. 이와 같은 방법으로, 공격이 시도된 링크별로 다양한 취약성을 평가함으로써, 접근 경로상의 취약성 및 대응책을 효과적으로 분석할 수 있다.

상기 네트워크 취약성은 네트워크 단위로 그룹화하여 통합한 취약성 매트릭스를 말하는데, 이는 네트워크의 전반적인 취약성에 대한 종합 평가를 위한 방편으로 사용될 수 있다. 네트워크 취약성은 해당 노드와 링크의 취약성 값들에 대한 산술 평균으로 간단히 얻을 수 있다. 그러나, 이 경우, 단순한 산술평균에 의한 산정보다는, 해당 노드별 역할에 따른 중요도에 대한 가중치를 두어서 종합평가하는 것이 보다 합리적이다. 따라서, 본 발명에서는 i번째 네트워크 취약성 NetV_i를 다음과 같이 정의한다.

여기서, n_i는 해당 네트워크를 구성하는 구성원의 총 개수를 의미하며, W_j는 해당 네트워크에 대한 j번째 노드의 중요도 가중치를 나타낸다.

상기 계획기(40)는 취약성 분석결과에 따라 수립된 방어전략을 상기 시뮬레이터를 통해 상기 시뮬레이션 모델에 적용하여 평가하고, 이 평가결과와 관리자의 보안 정책(Security Policy)에 따라 최적의 방어 전략(Defense Strategy)을 수립한다.

이를 위해, 본 발명에 따른 시뮬레이션 기반 네트워크 보안관리 시스템이 방어 전략 모델을 저장하는 방어전략 데이타베이스(Defense Strategy Database)(90)를 더 포함함이 바람직하고, 이 경우 상기 계획기(40)가 상기 취약성 분석결과와 관리자의 보안 정책에 따른 방어 전략을 상기 방어전략 데이타베이스(90)로부터 독출하여 수립한다.

표 5 는 방어전략 데이터베이스(90)의 구성에 대한 일예를 나타내는 것으로서, 취약성 분석을 통하여 예상되는 취약성 항목에 대한 대응 전략 등을 수립하기 위하여 사용된다. 표에서 'Defense Strategy'는 상기 취약성 데이터베이스(90)의 취약성 항목에 대한 대응방법을 나타낸다. 또, 'Attack Monitoring'은 실제 공격이 진행될 때 이의 탐지를 위한 모니터링 방안을 의미하고 'Consequence Manager'는 공격 성공시 피해파급 효과를 최소화시키기 위한 사후처리에 대한 방안을 의미한다. 예를 들어, 패스워드 취약성 항목인 Vul_password는 인가된 사용자들이 현재 설정한 패스워드들의 판독용이성에 대한 항목으로서, 사용자들의 패스워드 변경 등에 의해 '변경가능'한 특성을 갖는다. 한편, 이러한 취약성을 이용하는 공격에 대한 방어 전략으로는 'periodic password management'를 들 수 있다. 또한, 공격의 실질적인 진행과정은 'password file monitoring'에 의해 감시할 수 있으며, 성공한 공격에 대한 사후조치로는 'deleting illegal user'를 들 수 있다.

Category	Vul. item	Defensestrategy	Attackmonitoring	Consequencemanagement
Fixedvulnerability	VulPhf	web, telnetservice protect	N/A	changingpassword
	Vultmps	O/S patch	N/A	O/S patch
	Vulglance	O/S patch	N/A	O/S patch
	...	...	...	...
Changeablevulnerability	VulPassword	passwordmanagingperiodically	password filemonitoring	deletingillegalaccessuser
	VulUserfile	file permissionmanaging	file accessmonitoring	changing filepermission
	VulFilesystem	mountablefile systemmanaging	N/A	changingmountablefile system
	...	...	...	...

도 2 는 본 발명에 따른 시뮬레이션 기반 네트워크 보안관리 시스템의 보안관리 흐름도이다.

도면에 도시한 바와같이, 본 발명에 따른 시뮬레이션 기반 네트워크 보안관리 시스템은 기존의 방화벽(Firewall), 침입탐지시스템(IDS) 등의 보안도구와 연동되는 상기 보안 에이전트(10)를 통해 수집된 각 네트워크 구성원(Network Component)의 네트워크 상태에 대한 모니터링 정보(Monitoring Information)가 상기 분석기(30)를 통해 상기 시뮬레이터(20)로 전달되면, 이 시뮬레이터(20)가 상기 모델베이스(50)로부터 대상 네트워크에 대한 시뮬레이션 모델을 구축하고 모니터링 정보를 이용하여 모델을 초기화한다. 상기 시뮬레이터(20)는 상기 명령어 데이타베이스(60)와 가상공격 데이타베이스(70)를 이용하여 가상공격에 대한 시뮬레이션을 수행하고, 시뮬레이션 결과를 상기 분석기(30)에 보고한다. 상기 분석기(30)는 시뮬레이션 결과에 대하여 상기 취약성 데이타베이스(80)를 이용하여 취약성 매트릭스를 적용함으로써 네트워크 구성원들에 대한 취약성을 정량적으로 분석한다. 계속해서 상기 계획기(40)는 상기 분석기(30)로부터 전달된 취약성 분석결과와 상기 방어전략 데이타베이스(90)를 이용하여 대응전략들을 생성한 후, 생성된 대응전략들을 다시 상기 시뮬레이터(20)를 통해 상기 시뮬레이션 모델에 적용하여 시뮬레이션하고, 이 시뮬레이션 결과와 관리자로부터 입력된 보안정책을 고려하여 최적의 대응전략을 수립하고, 이 수립된 최적의 방어전략을 상기 보안 에이전트(10)를 통해 해당 네트워크 구성원의 보안 도구에 자동으로 적용함으로써 지능적이고 능동적인 보안관리가 가능하도록 한다.

따라서, 위와같이 함에 의해 본 발명에 따른 시뮬레이션 기반 네트워크 보안관리 시스템은 모델링 된 대상 네트워크 시스템에 가상공격 시나리오 및 대응 전략에 따라 실시간 시뮬레이션을 수행하여 모델링된 네트워크상의 취약점을 탐지하고 방어전략 생성에 따른 보안정책을 평가하여 최적의 방어전략을 구축하고 이를 자동으로 해당 네트워크에 적용함으로써 상기에서 제시한 본 발명의 목적을 달성하게 된다.

이상에서 설명한 바와같은 본 발명에 따른 시뮬레이션 기반 네트워크 보안관리 시스템은 기존의 다양한 보안도구와 연동하여 수집된 네트워크 구성원들에 대한 모니터링 정보를 토대로 다양한 가상공격 시나리오에 대한 시뮬레이션을 수행할 수 있고, 이를 통해 대상 네트워크 취약성을 정략적으로 분석하고 이에 대한 방어전략을 생성하고, 이 생성된 방어전략을 시뮬레이션하여 평가하고 이를 토대로 최적의 방어전략을 수립하여 대상 네트워크에 적용함으로써 지능적이고 능동적인 보안관리가 가능하며, 보안관리를 위해 필요한 인적 자원 소요가 적고, 이에 따른 비용 절감 효과를 얻을 수 있으며, 보다 안정적이고 신속한 보안관리가 가능한 유용한 효과를 가진다.

본 발명은 첨부된 도면을 참조하여 바람직한 실시예를 중심으로 기술되었지만 당업자라면 이러한 기재로부터 후술하는 특허청구범위에 의해 포괄되는 본 발명의 범주를 벗어남이 없이 다양한 변형이 가능하다는 것은 명백하다.

Claims (10)

1. 각 네트워크 구성원(Network Component)의 네트워크 상태에 대한 모니터링 정보(Monitoring Information)를 수집하고, 수립된 보안 전략(Security Strategy)을 해당 네트워크 구성원에 적용하는 보안 에이전트(Security Agent)와;

   수집된 모니터링 정보에 따라 시뮬레이션 모델(Simulation Model)을 생성하고, 이 시뮬레이션 모델에 가상 공격(Cyber Attack)에 대한 시뮬레이션을 수행하는 시뮬레이터(Simulator)와;

   시뮬레이션 결과에 따라 네트워크 구성원들에 대한 취약성(Vulnerability)을 정량적으로 분석하는 분석기(Analyzer)와;

   취약성 분석결과에 따라 수립된 방어전략을 상기 시뮬레이터를 통해 상기 시뮬레이션 모델에 적용하여 평가하고, 이 평가결과와 관리자의 보안 정책(Security Policy)에 따라 최적의 방어 전략(Defense Strategy)을 수립하는 계획기(Planner)를;

   포함하는 것을 특징으로 하는 시뮬레이션 기반 네트워크 보안관리 시스템.
2. 제 1 항에 있어서,

   상기 시뮬레이션 기반 네트워크 보안관리 시스템이:

   네트워크 구성원의 동역학적 모델을 저장하는 모델 베이스(Model Base)를 더 포함하고;

   상기 시뮬레이터가 상기 모델 베이스에 저장된 네트워크 구성원의 동역학적 모델로부터 상기 수집된 모니터링 정보에 대응하는 시뮬레이션 모델을 생성하는 것을 특징으로 하는 시뮬레이션 기반 네트워크 보안관리 시스템.
3. 제 1 항 또는 제 2 항에 있어서,

   상기 시뮬레이션 기반 네트워크 보안관리 시스템이:

   상기 가상 공격에 대한 명령어 모델(Command Model)을 저장하는 명령어 데이타베이스(Command Database)와, 가상공격 시나리오(Cyber Attack Scenario)를 저장하는 가상공격 데이타베이스(Cyber Attack Database)를 더 포함하고;

   상기 시뮬레이터가 상기 명령어 데이타베이스와 가상공격 데이타베이스를 이용하여 가상 공격에 대한 시뮬레이션을 수행하는 것을 특징으로 하는 시뮬레이션 기반 네트워크 보안관리 시스템.
4. 제 1 항 또는 제 2 항에 있어서,

   상기 시뮬레이션 기반 네트워크 보안관리 시스템이:

   노드(Node), 링크(Link), 네트워크(Network) 취약성 메트릭스(Vulnerability Metrix)를 정의하고 모델링하여 저장하는 취약성 데이타베이스(Vulnerability Database)를 더 포함하고;

   상기 분석기가 상기 취약성 데이타베이스를 이용하여 취약성 메트릭스를 적용함으로써 네트워크 구성원들에 대한 취약성을 정량적으로 분석하는 것을 특징으로 하는 시뮬레이션 기반 네트워크 보안관리 시스템.
5. 제 3 항에 있어서,

   상기 시뮬레이션 기반 네트워크 보안관리 시스템이:

   노드(Node), 링크(Link), 네트워크(Network) 취약성 메트릭스(Vulnerability Metrix)를 정의하고 모델링하여 저장하는 취약성 데이타베이스(Vulnerability Database)를 더 포함하고;

   상기 분석기가 상기 취약성 데이타베이스를 이용하여 취약성 메트릭스를 적용함으로써 네트워크 구성원들에 대한 취약성을 정량적으로 분석하는 것을 특징으로 하는 시뮬레이션 기반 네트워크 보안관리 시스템.
6. 제 1 항 또는 제 2 항 또는 제 5 항 중의 어느 한 항에 있어서,

   상기 시뮬레이션 기반 네트워크 보안관리 시스템이:

   방어 전략 모델을 저장하는 방어전략 데이타베이스(Defense Strategy Database)를 더 포함하고;

   상기 계획기가 상기 취약성 분석결과와 관리자의 보안 정책에 따른 방어 전략을 상기 방어전략 데이타베이스로부터 독출하여 수립하는 것을 특징으로 하는 시뮬레이션 기반 네트워크 보안관리 시스템.
7. 제 3 항에 있어서,

   상기 시뮬레이션 기반 네트워크 보안관리 시스템이:

   방어 전략 모델을 저장하는 방어전략 데이타베이스(Defense Strategy Database)를 더 포함하고;

   상기 계획기가 상기 취약성 분석결과와 관리자의 보안 정책에 따른 방어 전략을 상기 방어전략 데이타베이스로부터 독출하여 수립하는 것을 특징으로 하는 시뮬레이션 기반 네트워크 보안관리 시스템.
8. 제 4 항에 있어서,

   상기 시뮬레이션 기반 네트워크 보안관리 시스템이:

   방어 전략 모델을 저장하는 방어전략 데이타베이스(Defense Strategy Database)를 더 포함하고;

   상기 계획기가 상기 취약성 분석결과와 관리자의 보안 정책에 따른 방어 전략을 상기 방어전략 데이타베이스로부터 독출하여 수립하는 것을 특징으로 하는 시뮬레이션 기반 네트워크 보안관리 시스템.
9. 제 6 항에 있어서,

   상기 보안 에이전트가:

   방화벽(Firewall)으로부터 모니터링 정보를 수집하고, 수립된 보안 전략을 이 방화벽에 적용하는 방화벽 보안 에이전트(Firewall Security Agent)와;

   라우터(Router)로부터 모니터링 정보를 수집하고, 수립된 보안 전략을 이 라우터에 적용하는 라우터 보안 에이전트(Router Security Agent)와;

   침입탐지시스템(IDS : Intrusion Detection System)으로부터 모니터링 정보를 수집하고, 수립된 보안 전략을 이 침입탐지시스템에 적용하는 침입탐지시스템 보안 에이전트(IDS Security Agent)를;

   포함하는 것을 특징으로 하는 시뮬레이션 기반 네트워크 보안관리 시스템.
10. 제 7 항 또는 제 8 항에 있어서,

    상기 보안 에이전트가:

    방화벽(Firewall)으로부터 모니터링 정보를 수집하고, 수립된 보안 전략을 이 방화벽에 적용하는 방화벽 보안 에이전트(Firewall Security Agent)와;

    라우터(Router)로부터 모니터링 정보를 수집하고, 수립된 보안 전략을 이 라우터에 적용하는 라우터 보안 에이전트(Router Security Agent)와;

    침입탐지시스템(IDS : Intrusion Detection System)으로부터 모니터링 정보를 수집하고, 수립된 보안 전략을 이 침입탐지시스템에 적용하는 침입탐지시스템 보안 에이전트(IDS Security Agent)를;

    포함하는 것을 특징으로 하는 시뮬레이션 기반 네트워크 보안관리 시스템.