KR100490728B1 - Information model for security policy in policy-based network security system - Google Patents

Information model for security policy in policy-based network security system Download PDF

Info

Publication number
KR100490728B1
KR100490728B1 KR10-2002-0082207A KR20020082207A KR100490728B1 KR 100490728 B1 KR100490728 B1 KR 100490728B1 KR 20020082207 A KR20020082207 A KR 20020082207A KR 100490728 B1 KR100490728 B1 KR 100490728B1
Authority
KR
South Korea
Prior art keywords
policy
condition
variable
rule
security
Prior art date
Application number
KR10-2002-0082207A
Other languages
Korean (ko)
Other versions
KR20040055513A (en
Inventor
김건량
장종수
김기영
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2002-0082207A priority Critical patent/KR100490728B1/en
Publication of KR20040055513A publication Critical patent/KR20040055513A/en
Application granted granted Critical
Publication of KR100490728B1 publication Critical patent/KR100490728B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

다양한 종류의 정책 클라이언트 시스템들에서 사용되는 탐지 정책, 차단 정책, 센싱 정책, IP 보안 정책, 경보 제어 정책을 수용할 수 있는 본 발명에 따른 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델은 네트워크를 통해 유입되는 패킷을 분석하여 침입을 탐지하는 탐지 규칙과, 보안 시스템의 방화벽에서 패킷을 차단하거나 허용하는 차단 허용 규칙, 네트워크를 통해 유입되는 패킷들 중에서 특정 패킷들만을 분석하기 위한 센싱 규칙과, 정책 클라이언트에서 정책 서버로 전송되는 여러 경보 메시지들을 축약하거나 결합하는 경보 제어 규칙과, 정책 서버와 클라이언트간의 연결 보안을 위한 IP 보안 규칙을 포함한다.The information model for the security policy of the policy-based network security system according to the present invention that can accommodate detection policy, blocking policy, sensing policy, IP security policy, and alarm control policy used in various types of policy client systems Detection rules for detecting intrusions by analyzing packets flowing through the network, blocking allow rules for blocking or allowing packets at the firewall of the security system, sensing rules for analyzing only specific packets among packets flowing through the network, It includes alarm control rules that abbreviate or combine the various alert messages sent from the policy client to the policy server, and IP security rules for securing the connection between the policy server and the client.

또한, 본 발명은 정책 정보 모델을 통해 정책 전달을 위한 PIB 구조, 정책 저장을 위한 정책 데이터베이스의 스키마, 정책 제어 및 관리를 위한 정책 관리 도구의 동작 구조를 정의하는 작업의 효율성을 높일 수 있다.In addition, the present invention can improve the efficiency of the operation of defining the PIB structure for policy delivery, the schema of the policy database for policy storage, the operation structure of the policy management tool for policy control and management through the policy information model.

Description

정책 기반 네트워크 보안 시스템의 보안 정책을 위한 정보 모델{INFORMATION MODEL FOR SECURITY POLICY IN POLICY-BASED NETWORK SECURITY SYSTEM}Information model for security policy of policy-based network security system {INFORMATION MODEL FOR SECURITY POLICY IN POLICY-BASED NETWORK SECURITY SYSTEM}

본 발명은 네트워크 보안 시스템에서 사용되는 네트워크 정책 정보에 관한 것으로, 특히 이질 정책 클라이언트들이 포함된 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델에 관한 것이다.The present invention relates to network policy information used in a network security system, and more particularly, to an information model for a security policy of a policy-based network security system including heterogeneous policy clients.

최근 네트워크 사용자가 급증하면서 네트워크 기반 시스템의 침입이 증가하고 있으며, 이러한 공격을 감소시키기 위해 보안의 필요성이 중요시되고 있다. 네트워크 기반 시스템을 보호하기 위한 방법 중의 하나로 정책 제어 서버를 구축하여 네트워크를 관리하는 PBNM(Policy Based Network Management)이 있으며, 이는 IETF에서 활발히 연구 중에 있다. IETF의 Policy Framework Working Group에서는 정책 기반 시스템에서 사용되는 정책에 대한 정책 정보 모델인 PCIM(Policy Core Information Model)을 제시하여 RFC3060으로 표준화시켰으며, 수정 보안판도 준비 중에 있다. 또한 QoS(Quality of Service), IPsec(IP security protocol)과 같은 구체적인 응용 분야에서 이용할 수 있도록 PCIM을 확장한 정책 정보 모텔을 정의하고 있다.Recently, as network users are proliferating, intrusions of network-based systems are increasing, and the necessity of security is important to reduce such attacks. One of the methods for protecting network-based systems is PBNM (Policy Based Network Management), which manages a network by establishing a policy control server, which is being actively researched by the IETF. The IETF's Policy Framework Working Group proposed the PCIM (Policy Core Information Model), a policy information model for policies used in policy-based systems, and standardized it into RFC3060. A revised security version is also being prepared. It also defines a policy information motel that extends PCIM for use in specific applications such as quality of service (QoS) and IP security protocol (IPsec).

네트워크 보안 분야에서도 효율적인 정책 관리를 위해 네트워크 보안 정책을 위한 정책 정보 모델의 정의가 진행되고 있는데, 이 정책 정보 모델은 침입을 탐지하기 위해 패킷을 분석하는 정책을 위한 것이며, 또한 하나의 클라이언트에서 사용되는 탐지 정책만을 모델링하였다.In the field of network security, a policy information model for network security policy is being defined for efficient policy management. This policy information model is for a policy that analyzes packets to detect intrusions. Only detection policies were modeled.

정책 기반 네트워크 보안 시스템에서 사용되는 보안 정책은 패킷을 분석하고 침입을 탐지하는 탐지 정책뿐만 아니라, 여러 기능 모듈에서 사용되는 정책들을 위한 정책 정보 모델이 필요하다. 또한 정책 기반 네트워크 보안 시스템에서는 하나의 정책 서버와 여러 정책 클라이언트들로 구성되어 있는데, 하나의 클라이언트만이 아닌 다른 이기종 클라이언트에서 사용되는 정책들을 수용할 수 있는 정책 정보 모델이 필요하다.Security policies used in policy-based network security systems require a policy information model for policies used in various functional modules, as well as detection policies that analyze packets and detect intrusions. In addition, the policy-based network security system is composed of a single policy server and multiple policy clients. A policy information model is needed to accommodate the policies used by heterogeneous clients instead of just one client.

본 발명의 목적은 이와 같은 필요성에 의한 결과물로써, 이질 정책 클라이언트 시스템들을 포함하는 정책 기반의 네트워크 시스템에서 사용되는 정책들에 대한 정책 정보 모델을 정의함으로써, 다양한 종류의 정책 클라이언트 시스템들에서 사용되는 탐지 정책, 차단 정책, 센싱 정책, IP 보안 정책, 경보 제어 정책을 수용할 수 있는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델을 제공하고자 한다.An object of the present invention is the result of this necessity, by defining a policy information model for policies used in policy-based network systems, including heterogeneous policy client systems, thereby detecting detection used in various types of policy client systems. To provide an information model for security policy of policy-based network security system that can accommodate policy, blocking policy, sensing policy, IP security policy, and alarm control policy.

상기와 같은 목적을 달성하기 위하여 본 발명은, 이질 정책 클라이언트 시스템들을 포함하는 정책 기반 네트워크 보안 시스템의 보안 정책에 있어서, 상기 네트워크를 통해 유입되는 패킷을 분석하여 침입을 탐지하는 탐지 규칙과, 상기 보안 시스템의 방화벽에서 패킷을 차단하거나 허용하는 차단 허용 규칙, 상기 네트워크를 통해 유입되는 패킷들 중에서 특정 패킷들만을 분석하기 위한 센싱 규칙과, 상기 정책 클라이언트에서 정책 서버로 전송되는 여러 경보 메시지들을 축약하거나 결합하는 경보 제어 규칙과, 상기 정책 서버와 클라이언트간의 연결 보안을 위한 IP 보안 규칙을 포함한다.In order to achieve the above object, the present invention, in the security policy of the policy-based network security system including heterogeneous policy client systems, the detection rules for detecting intrusion by analyzing the packets flowing through the network, and the security Block or allow blocking rules to block or allow packets at the system's firewall, sensing rules to analyze only specific packets among packets flowing through the network, and reduce or combine multiple alert messages sent from the policy client to the policy server. An alarm control rule and an IP security rule for securing a connection between the policy server and the client.

본 발명의 실시 예는 다수개가 존재할 수 있으며, 이하에서 첨부한 도면을 참조하여 바람직한 실시 예에 대하여 상세히 설명하기로 한다. 이 기술 분야의 숙련자라면 이 실시 예를 통해 본 발명의 목적, 특징 및 이점들을 잘 이해할 수 있을 것이다.There may be a plurality of embodiments of the present invention, and a preferred embodiment will be described in detail below with reference to the accompanying drawings. Those skilled in the art will be able to better understand the objects, features and advantages of the present invention through this embodiment.

도 1은 본 발명에 따른 보안 정책 정보 모델이 표현하는 정책이 사용되는 정책 기반 네트워크 보안 시스템의 정책 서버와 정책 클라이언트의 세부 기능을 도시한 모듈 구성도이다.1 is a module configuration diagram showing detailed functions of a policy server and a policy client of a policy-based network security system using a policy represented by a security policy information model according to the present invention.

도 1에 도시된 바와 같이, 정책 기반의 네트워크 보안 시스템은 정책 서버(110), 정책 클라이언트 시스템(120), 클라이언트 데이터베이스(130), 정책 저장소(140), 경보 데이터베이스(150) 및 뷰어(160)를 포함하며, 정책 서버(110)는 정책 관리 모듈(111), 정책 결정 모듈(112), 상위 레벨 분석 모듈(113), 경보 관리 모듈(114)을 포함하며, 정책 클라이언트 시스템(120)은 차단 모듈(121), 센서 모듈(122), 사이버 순찰 에이전트 모듈(123), 분석 모듈(124)로 구성된다.As shown in FIG. 1, a policy-based network security system includes a policy server 110, a policy client system 120, a client database 130, a policy store 140, an alert database 150, and a viewer 160. The policy server 110 includes a policy management module 111, a policy decision module 112, a high level analysis module 113, and an alarm management module 114, and the policy client system 120 is blocked. Module 121, sensor module 122, cyber patrol agent module 123, and analysis module 124.

정책 클라이언트 시스템(120)은 내부 네트워크로 접근하는 패킷들을 분석하고 공격을 탐지하여 정책 서버(110)로 경보 메시지를 전송하고, 정책 서버(110)가 정책을 생성하는데 기반이 되는 트래픽 정보와 로그 정보를 정책 서버(110)에 제공한다. The policy client system 120 analyzes packets approaching the internal network, detects an attack, sends an alert message to the policy server 110, and traffic information and log information based on the policy server 110 generating a policy. To the policy server 110.

정책 서버(110)는 다수의 정책 클라이언트 시스템(120)으로부터 전송된 트래픽 정보, 로그 정보, 경보 정보를 이용하여 통계 분석, 이상 행위 분석 등의 종합적인 분석을 통해 앞으로 발생할 공격에 대한 체계적인 대응 정책을 생성한다. 정책 저장소(140)에는 정책 서버(110)에 의해서 생성된 정책들이 저장되어 있으며, 이렇게 저장된 정책들과 정책 클라이언트 시스템(110)에서 탐지되어 정책 서버(110)에 전송되는 경보 메시지는 정책 서버(110)와 정책 클라이언트 시스템(120)과의 연결인 IPSec(Internet Protocol Security Protocol)을 이용하여 안전한 경로를 통해 송수신된다. The policy server 110 uses the traffic information, log information, and alarm information transmitted from a plurality of policy client systems 120 to provide a systematic response policy for future attacks through comprehensive analysis such as statistical analysis and abnormal behavior analysis. Create The policy store 140 stores the policies generated by the policy server 110. The stored policies and the alarm message detected by the policy client system 110 and transmitted to the policy server 110 are transmitted to the policy server 110. And IPSec (Internet Protocol Security Protocol), which is a connection between the policy client system 120 and the policy client system 120.

정책 서버(110)의 정책 관리 모듈(111)은 정책 저장소(140)를 초기화하고 정정책 저장소(140)에 저장된 정책을 변경시키는 기능과 정책이 변경될 때마다 정책 결정 모듈(112)에 변경되었음을 알려주는 기능을 수행하며, 정책을 LDIF 형식으로 변환하고 LDAP(115)을 이용하여 정책을 정책 저장소(140)에 저장시키고, 이러한 정책들을 관리, 제어하는 역할을 한다. The policy management module 111 of the policy server 110 initializes the policy store 140 and changes the policy stored in the policy store 140 and the policy decision module 112 whenever the policy is changed. Informs, converts the policy to LDIF format, stores the policy in the policy store 140 using the LDAP 115, and manages and controls these policies.

정책 결정 모듈(112)은 정책을 결정하고 정책 저장소(140)의 정책들을 PIB의 형태로 COPS(116) 프로토콜을 이용하여 정책 클라이언트 시스템(120)에 전달하며, 정책 수행 시 문제점이 발생하였을 때 뷰어(160)에 전달하는 기능을 한다. The policy determination module 112 determines the policy and delivers the policies of the policy store 140 to the policy client system 120 using the COPS 116 protocol in the form of a PIB. It functions to transmit to 160.

경보 관리 모듈(114)은 정책 클라이언트 시스템(120)에서 전달된 경보 데이터를 경보 데이터베이스(150)에 저장시키고, 경보 데이터와 경보 데이터를 분석한 결과를 뷰어(160)에 전달하는 기능을 한다. The alarm management module 114 stores the alarm data transmitted from the policy client system 120 in the alarm database 150, and transmits the alarm data and the result of analyzing the alarm data to the viewer 160.

상위 레벨 분석 모듈(113)은 정책 클라이언트 시스템(120)의 기능을 보완하기 위한 것으로 여러 정책 클라이언트 시스템(120)의 트래픽 정보와 로그 정보를 이용하여 분산된 공격을 탐지하거나 여러 정책 클라이언트 시스템(120)의 데이터들 간의 연관 관계를 분석하여 새로운 정책을 생성하는 기능을 한다.The high level analysis module 113 is to supplement the function of the policy client system 120 and detects a distributed attack by using the traffic information and log information of the various policy client systems 120, or the multiple policy client systems 120. It creates a new policy by analyzing the relationships among the data in the database.

정책 클라이언트 시스템(120)의 차단 모듈(121)은 정책 서버(110)로부터 수신한 정책 중 차단 정책에 따라 조건에 만족하는 패킷들을 차단시키거나 허용한다.The blocking module 121 of the policy client system 120 blocks or allows packets satisfying a condition according to a blocking policy among the policies received from the policy server 110.

센서 모듈(122)은 차단 모듈(121)에서 유입되는 패킷들 중에서 센싱 정책에 따라 패킷을 캡쳐한 후에 이를 외부로 송출하고, 패킷을 수집하거나 분석을 위해 필요한 데이터들을 저장한다.The sensor module 122 captures a packet from among the packets coming from the blocking module 121 according to a sensing policy and sends the packet to the outside, and stores data necessary for collecting or analyzing the packet.

분석 모듈(124)은 센서 모듈(122)에서 수집된 데이터들과 클라이언트 데이터베이스(130)에 저장된 탐지 정책을 비교하여 침입을 탐지하는 기능을 한다.The analysis module 124 compares the data collected by the sensor module 122 with a detection policy stored in the client database 130 to detect an intrusion.

사이버 순찰 에이전트 모듈(123)은 정책 서버(110)에서 전달된 정책들을 정책 클라이언트 시스템(120)에 맞는 형태로 변환시킨 후에 이를 클라이언트 데이터베이스에 저장시키고, 침입이 탐지되었을 경우에 경보 메시지를 정책 서버(110)에 전송하거나 패킷을 차단시키는 등의 대응 행동을 취한다.The cyber patrol agent module 123 converts the policies delivered from the policy server 110 into a form suitable for the policy client system 120 and stores them in the client database, and sends an alert message when an intrusion is detected. 110) or take a countermeasure such as blocking a packet.

정책 서버(110)에서 생성되는 탐지 정책, 차단 허용 정책, 센싱 정책, IP 보안 정책 및 경보 제어 정책을 수용할 수 있는 정책 정보 모델에 대한 설명은 첨부된 도면을 참조하여 설명한다.A description of the policy information model that can accommodate the detection policy, the block permission policy, the sensing policy, the IP security policy, and the alarm control policy generated by the policy server 110 will be described with reference to the accompanying drawings.

도 2a는 본 발명에 따른 탐지 규칙 객체 및 탐지 규칙 객체와 결합 관계를 갖는 패킷 모니터링 조건 객체를 나타내는 도면이고, 도 2b는 본 발명에서 패킷 모니터링 조건 객체들간의 결합 관계를 나타내는 도면이고, 도 2c는 본 발명에서 패킷 모니터링 조건 객체들 중 분열 패킷 조건 객체, 원 패킷 조건 객체 및 그 객체들과 결합 관계를 갖는 하위 조건 객체들을 나타내는 도면이고, 도 2d는 본 발명에서 분열 패킷 조건 객체 및 분열 패킷 조건 객체와 결합 관계를 갖는 조건 객체들을 나타내는 도면이고, 도 2e는 본 발명에서 페이로드 검사 조건 객체 및 페이로드 검사 조건 객체와 결합 관계를 가질 수 있는 객체들을 나타내는 도면이고, 도 2f는 본 발명에서 비교 조건 객체 및 비교 조건 객체와 결합 관계를 가질 수 있는 객체들을 나타내는 도면이고, 도 3은 본 발명에서 탐지 규칙 객체 및 탐지 규칙 객체와 결합 관계를 가질 수 있는 동작 객체들을 나타내는 도면이고, 도 4a는 본 발명에서 차단 허용 규칙 객체, 센싱 규칙 객체 및 그 객체들과 결합 관계를 가질 수 있는 조건 객체, 변수 객체, 값 객체를 나타내는 도면이고, 도 4b는 본 발명에서 차단 허용 규칙 객체 및 차단 허용 규칙 객체와 결합 관계를 가질 수 있는 동작 객체들을 나타내는 도면이고, 도 4c는 본 발명에서 센싱 규칙 객체 및 센싱 규칙 객체와 결합 관계를 가질 수 있는 동작 객체를 나타내는 도면이고, 도 5a는 본 발명에서 경보 제어 규칙 객체 및 경보 제어 규칙 객체와 결합 관계를 가질 수 있는 조건 객체, 변수 객체, 값 객체를 나타내는 도면이고, 도 5b는 본 발명에서 경보 제어 규칙의 비교 조건 객체에서 사용되는 명시적인 변수 객체의 속성 값을 나타내는 도면이고, 도 5c는 본 발명에서 경보 제어 규칙 객체 및 경보 제어 규칙 객체와 결합 관계를 가질 수 있는 동작 객체들을 나타내는 도면이고, 도 6a는 본 발명에서 IP 보안 규칙 객체 및 IP 보안 규칙 객체와 결합 관계를 가질 수 있는 조건 객체, 변수 객체, 값 객체를 나타내는 도면이고, 도 6b는 본 발명에서 IP 보안 규칙 객체 및 IP 보안 규칙 객체와 결합 관계를 가질 수 있는 동작 객체들을 나타내는 도면이고, 도 7은 본 발명에서 모든 규칙 객체 및 모든 규칙 객체들과 결합 관계를 가질 수 있는 시간 조건 객체를 나타내는 도면이다.FIG. 2A is a diagram illustrating a detection rule object and a packet monitoring condition object having a binding relationship with the detection rule object according to the present invention, FIG. 2B is a diagram illustrating a coupling relationship between packet monitoring condition objects in the present invention, and FIG. In the present invention, a fragment packet condition object, an original packet condition object, and subordinate condition objects having a coupling relationship with the objects among the packet monitoring condition objects are shown. FIG. 2D is a fragmented packet condition object and a fragmented packet condition object according to the present invention. 2E is a view showing condition objects having a coupling relationship with FIG. 2E is a diagram showing a payload checking condition object and objects that may have a coupling relationship with a payload checking condition object, and FIG. 2F is a comparison condition in the present invention. FIG. 3 is a diagram illustrating objects that may have a coupling relationship with an object and a comparison condition object. FIG. FIG. 4A is a diagram illustrating a detection rule object and an operation object that may have a binding relationship with the detection rule object, and FIG. 4A illustrates a blocking permission rule object, a sensing rule object, and a condition that may have a binding relationship with the objects in the present invention. FIG. 4B is a diagram illustrating an object, a variable object, and a value object. FIG. 4B is a diagram illustrating an operation object that may have a binding relationship with a block permission rule object and a block permission rule object in the present invention. FIG. 4C is a sensing rule object according to the present invention. And an operation object that may have a binding relationship with a sensing rule object, and FIG. 5A illustrates a condition object, a variable object, and a value object that may have a binding relationship with an alarm control rule object and an alarm control rule object in the present invention. 5B is a diagram of an explicit variable object used in a comparison condition object of an alarm control rule in the present invention. FIG. 5C is a diagram illustrating a surname value, and FIG. 5C is a diagram illustrating an operation object that may have a combined relationship with an alarm control rule object and an alarm control rule object in the present invention, and FIG. 6A is an IP security rule object and an IP security rule in the present invention. FIG. 6B is a diagram illustrating a condition object, a variable object, and a value object that may have a binding relationship with an object. FIG. 6B is a diagram illustrating an IP security rule object and an operation object that may have a binding relationship with an IP security rule object. FIG. 7 is a diagram illustrating all rule objects and time condition objects that may have a combined relationship with all rule objects in the present invention.

본 발명에 따른 정책 정보 모델은 정책 클라이언트 시스템(120)들간 송수신되는 패킷을 분석하여 침입을 탐지하는 탐지 규칙(210)과, 보안 시스템의 방화벽(121)에서 패킷을 차단하거나 허용하는 차단 허용 규칙(410)과, 네트워크를 통해 유입되는 패킷들 중에서 특정 패킷들만을 분석하기 위한 센싱 규칙(420)과, 여러 경보 메시지들을 축약하거나 결합하는 경보 제어 규칙(500)과, 정책 서버(110)와 클라이언트 시스템(120)간의 연결 보안을 위한 IP 보안 규칙(600)을 표현한다.The policy information model according to the present invention includes a detection rule 210 for detecting an intrusion by analyzing packets transmitted and received between the policy client systems 120, and a block permission rule for blocking or allowing a packet at the firewall 121 of the security system. 410, a sensing rule 420 for analyzing only specific packets among the packets flowing through the network, an alarm control rule 500 for shortening or combining various alarm messages, a policy server 110 and a client system. Represents an IP security rule 600 for connection security between 120.

도 2a에 도시된 바와 같이, 공격을 식별하기 위한 "AttackID" 속성을 가지는 탐지 규칙(210)은 패킷 모니터링 조건 객체(220)와 결합관계(211)를 갖으며, 패킷 모니터링 조건 객체(220)는 패킷의 흐름 방향을 표현하는 디렉션(direction) 속성을 가지며, 원 패킷 조건 객체(221), 반복 패킷 조건 객체(222), 리니어 패킷 조건 객체(223), 분열 패킷 조건 객체(224)로 정의된다.As shown in FIG. 2A, the detection rule 210 having the “AttackID” attribute for identifying the attack has a binding relationship 211 with the packet monitoring condition object 220, and the packet monitoring condition object 220 It has a direction attribute representing a flow direction of a packet, and is defined as an original packet condition object 221, a repetitive packet condition object 222, a linear packet condition object 223, and a split packet condition object 224.

도 2b에 도시된 바와 같이, 반복 패킷 조건 객체(222), 리니어 패킷 조건 객체(223) 또는 분열 패킷 조건 객체(224)는 적어도 하나 이상의 원 패킷 조건 객체(221)와 결합 관계(212)를 갖는다.As shown in FIG. 2B, the repeating packet condition object 222, the linear packet condition object 223, or the split packet condition object 224 has a binding relationship 212 with at least one original packet condition object 221. .

도 2c에 도시된 바와 같이, 분열 패킷 조건 객체(224), 원 패킷 조건 객체(221) 또는 복합 조건 객체(225)는 복합 조건 객체(225), 페이로드 검사 조건 객체(240) 및 비교 조건 객체(250)들 중에서 적어도 어느 하나 이상과 결합관계(213)를 갖는다.As shown in FIG. 2C, the split packet condition object 224, the original packet condition object 221, or the compound condition object 225 may be a compound condition object 225, a payload check condition object 240, and a comparison condition object. At least one of the 250 and the associated relationship (213).

분열 패킷 조건 객체(224)는, 도 2d에 도시된 바와 같이, 원 패킷 조건 객체(221), 반복 패킷 조건(222) 객체 또는 리니어 패킷 조건 객체(223)와 결합관계(214)를 갖는다. 페이로드 검사 조건 객체(240)는, 도 2e에 도시된 바와 같이, 페이로드 변수 객체(243) 또는 URI 페이로드 변수 객체(244)와 결합관계(241)를 갖고, 값 객체(245)와 결합 관계(242)를 갖는다.The split packet condition object 224 has a association relationship 214 with the original packet condition object 221, the repetitive packet condition 222 object or the linear packet condition object 223, as shown in FIG. 2D. The payload check condition object 240 has a binding relationship 241 with the payload variable object 243 or the URI payload variable object 244, as shown in FIG. 2E, and is associated with the value object 245. Has a relationship 242.

비교 조건 객체(250)는, 도 2f에 도시된 바와 같이, 변수 객체(260)와 결합관계(251)를 가지며, 변수 객체(260) 또는 값 객체(245)와 결합관계(252)를 갖는다.The comparison condition object 250 has a coupling relationship 251 with the variable object 260 and a coupling relationship 252 with the variable object 260 or the value object 245, as shown in FIG. 2F.

또한, 탐지 규칙(210)은, 도 3에 도시된 바와 같이, 경보 동작 객체(320), 메시지 전송 동작 객체(330), 세션 이벤트 로그 동작 객체(340) 또는 역추적 동작 객체(350)와 결합관계(310)를 갖는다. 경보 동작 객체(320)는 경보 메시지를 표현하는 "ShortDescription" 속성과 동일한 경보 동작이 발생할 수 있는 제한 시간을 표현하는 "BreakTimeInterval" 속성을 가지는 메시지 결합 동작(321), 메시지 저장 동작(322), 메시지 전시 동작(323), 윈도우 팝업 동작(324), 전송할 이메일 주소를 표현하는 "EmailAddresses" 속성을 가지는 이메일 전송 동작(325)으로 정의된다. 전송할 메시지를 표현하는 Message 속성을 가지는 메시지 전송 동작 객체(330)는 경고 메시지 전송 동작(331), TCP 연결 리셋 알림 동작(332), ICMP 도달 불가능 알림 동작(333)으로 정의된다.In addition, the detection rule 210 is combined with the alert action object 320, the message transfer action object 330, the session event log action object 340, or the traceback action object 350, as shown in FIG. 3. Has a relationship 310. The alert action object 320 has a message combining action 321, a message save action 322, a message having a "BreakTimeInterval" attribute representing a timeout for which an alert action may occur, such as the "ShortDescription" attribute representing an alert message. A display operation 323, a window pop-up operation 324, and an email sending operation 325 having an "EmailAddresses" attribute representing the email address to send. The message transmission operation object 330 having a Message attribute representing a message to be transmitted is defined as a warning message transmission operation 331, a TCP connection reset notification operation 332, and an ICMP unreachable notification operation 333.

도 4a에 도시된 바와 같이, 차단 허용 규칙(410)과 센싱 규칙(420)은 다섯 항목 조건 객체(440)와 결합관계(430)를 가지며, 다섯 항목 조건 객체(440)는 비교 조건 객체(250)와 다시 결합관계(450)를 갖는다. 비교 조건 객체(250)는 근원지 주소 변수(261), 목적지 주소 변수(262), 근원지 포트 변수(263), 목적지 포트 변수(264) 및 프로토콜 변수(265)의 다섯 변수 객체들 중에서 하나의 변수 객체와 결합 관계(251)를 가지며, 변수(260) 또는 값(245) 중에 어느 하나와 결합관계(252)를 갖는다.As shown in FIG. 4A, the blocking permission rule 410 and the sensing rule 420 have a relationship 430 with a five item condition object 440, and the five item condition object 440 is a comparison condition object 250. ) And has a coupling relationship 450 again. The comparison condition object 250 is one of five variable objects of the source address variable 261, the destination address variable 262, the source port variable 263, the destination port variable 264, and the protocol variable 265. Has a coupling relationship 251 with a coupling relationship 252 with either the variable 260 or the value 245.

다섯 항목 조건 객체(440)는 복합 조건으로 여러 비교 조건 객체(250)와 결합 관계(450)를 가질 수 있으며, 다섯 항목 조건 객체(440)와 결합되는 비교 조건 객체(250)들의 관계가 “AND” 또는 “OR”인지를 표현하는 “ConditionListType” 속성을 갖는다. 비교 조건 객체(250)는 자신과 결합된 두 객체들의 비교 연산을 의미하는 “Operator” 속성을 갖는다, The five item condition object 440 may have a coupling relationship 450 with several comparison condition objects 250 as a compound condition, and the relationship of the comparison condition objects 250 that are combined with the five item condition object 440 is “AND. It has a "ConditionListType" attribute that indicates whether it is "" or "OR". The comparison condition object 250 has an “Operator” property, which means a comparison operation of two objects associated with it.

도 4b에 도시된 바와 같이, 차단 허용 규칙(410)은 패킷 차단 동작(412), 패킷 허용 동작(413), 세션 차단 동작(414), 세션 허용 동작(415) 중에서 하나의 동작 객체와 결합관계(411)를 갖는다. 또한, 도 4c에 도시된 바와 같이 센싱 규칙(420)은 센싱 동작 객체(422)와 결합관계(421)를 갖는다. As shown in FIG. 4B, the blocking permission rule 410 is associated with one operation object among the packet blocking operation 412, the packet allowing operation 413, the session blocking operation 414, and the session permission operation 415. Has 411. In addition, as illustrated in FIG. 4C, the sensing rule 420 has a coupling relationship 421 with the sensing operation object 422.

도 5a에 도시된 바와 같이, 경보 제어 규칙(500)은 경보 측량 조건 객체(520)와 결합관계(510)를 갖으며, 경보 측량 조건 객체(520)는 비교 조건 객체(250)와 결합관계(530)를 갖는다. 비교 조건 객체(250)는 근원지 주소 변수(261), 목적지 주소 변수(262), 근원지 포트 변수(263), 목적지 포트 변수(264), 프로토콜 변수(265) 및 명시적인 변수(266)와 같은 변수 객체들 중 어느 하나의 변수 객체와 결합관계(251)를 갖고, 변수(260)와 값(245) 중 어느 하나와 또 하나의 결합관계(252)를 갖는다.As shown in FIG. 5A, the alarm control rule 500 has a coupling relationship 510 with an alarm survey condition object 520, and the alarm survey condition object 520 is associated with a comparison condition object 250. 530). Comparison condition object 250 is a variable such as source address variable 261, destination address variable 262, source port variable 263, destination port variable 264, protocol variable 265, and explicit variable 266. One of the objects has a coupling relationship 251 with a variable object, and one of the variables 260 and the value 245 has another coupling relationship 252.

명시적인 변수(266)는, 도 5b에 도시된 바와 같이, “DetectionRule”과 “AttackID”를 속성 값으로 갖는다. 경보 측량 조건(520)은 복합 조건으로써 여러 개의 비교 조건 객체(250)와 결합 관계(530)를 가질 수 있으며, 경보 측량 조건(520)과 결합된 비교 조건 객체(250)들의 관계가 “AND”또는 “OR”인지를 표현하는 “ConditionListType” 속성을 갖는다. The explicit variable 266 has "DetectionRule" and "AttackID" as attribute values, as shown in FIG. 5B. The alarm survey condition 520 may be a complex condition and may have a combination relationship 530 with multiple comparison condition objects 250, and the relationship of the comparison condition objects 250 combined with the alarm survey condition 520 is “AND”. Or a "ConditionListType" attribute that represents "OR".

도 5c에 도시된 바와 같이, 경보 제어 규칙(500)은 경보를 제어할 시간과 경보의 수를 표현하는 “AlertControlTime”, “AlertControlNumber” 속성을 갖는 경보 제어 동작 객체(550)와 결합관계(540)를 갖으며, 경보 제어 동작 객체(550)는 경보 축약 동작 객체(551)나 경보 결합 동작 객체(552)로 정의된다.As shown in FIG. 5C, the alert control rule 500 associates 540 with an alert control action object 550 having attributes "AlertControlTime" and "AlertControlNumber" representing the time and number of alerts to control the alert. The alarm control action object 550 is defined as an alarm abbreviation action object 551 or an alarm combination action object 552.

도 6a에 도시된 바와 같이, SPI를 표현하는 "SecurityPolicyIndex" 속성과 IP 보안 프로토콜을 설정할 시간을 표현하는 "IPsecTime" 속성을 갖는 IP 보안 규칙(600)은 안전한 연결 조건 객체(620)와 결합 관계(610)를 갖고, 안전한 연결 조건 객체(620)는 다수의 비교 조건 객체(250)들과 결합 관계(630)를 갖는다. 비교 조건 객체(250)는 근원지 주소 변수(261)나 목적지 주소 변수(262) 중 하나의 변수 객체와 결합 관계(251)를 갖고, 변수(260)나 값(245) 객체 중 하나의 객체와 결합 관계(252)를 갖는다. As shown in FIG. 6A, an IP security rule 600 having a "SecurityPolicyIndex" attribute representing an SPI and an "IPsecTime" attribute representing a time to set an IP security protocol is associated with a secure connection condition object 620. 610, the secure connection condition object 620 has a coupling relationship 630 with a number of comparison condition objects 250. The comparison condition object 250 has a join relationship 251 with one of the source address variable 261 or the destination address variable 262 and a join with one of the variable 260 or value 245 objects. Has a relationship 252.

도 6b에 도시된 바와 같이, IP 보안 규칙(600)은 전송 모드 동작 객체(651)나 터널 모드 동작 객체(652)와 결합 관계(640)를 갖고, 동작 객체(650)는 다시 IP 보안 제안 객체(670)와 다수의 결합 관계(660)를 가질 수 있다. IP 보안 제안 객체(670)는 AH 암호화 알고리즘을 표현하는 “AHTransformID” 속성을 가지는 AH 암호화 알고리즘 객체(691) 및 ESP 암호화 알고리즘을 표현하는 “IntegrityTransformID”, “CipherTransformID” 속성을 가지는 ESP 암호화 알고리즘 객체(692)들 중 어느 하나의 객체와 결합 관계(680)를 갖거나 두 개의 알고리즘 객체(690)들과 결합 관계(680)를 갖는다. As shown in FIG. 6B, the IP security rule 600 has a binding relationship 640 with the transport mode operation object 651 or the tunnel mode operation object 652, and the operation object 650 is again an IP security proposal object. 670 may have multiple coupling relationships 660. The IP security proposal object 670 is an AH encryption algorithm object 691 having an “AHTransformID” attribute representing an AH encryption algorithm and an ESP encryption algorithm object 692 having “IntegrityTransformID” and “CipherTransformID” attributes representing an ESP encryption algorithm. Have a coupling relationship 680 with any one of the objects, or have a coupling relationship 680 with two algorithm objects 690.

도 7에 도시된 바와 같이, 탐지 규칙(210), 차단 허용 규칙(410), 센싱 규칙(420), 경보 제어 규칙(500) 또는 IP 보안 규칙(600)는 시간 조건 객체(720)와 결합 관계(710)를 갖음으로써, 특정 시간 동안 정책을 활성화시킬 수 있다.As shown in FIG. 7, the detection rule 210, the block allow rule 410, the sensing rule 420, the alarm control rule 500, or the IP security rule 600 are associated with the time condition object 720. By having 710, the policy can be activated for a certain time.

본 발명에 따른 정책 정보 모델을 이용하여 다수의 정책들을 표현하는데 이용할 수 있으며, 첨부한 도면을 통해 정책 정보 모델을 이용한 실시 예를 설명한다. 도 8은 본 발명의 실시 예에 따른 차단 허용 규칙을 구성하는 객체들을 UML로 표현한 도면이고, 도 9는 본 발명의 바람직한 실시 예에 따른 경보 제어 규칙을 구성하는 객체들을 UML로 표현한 도면이고, 도 10은 본 발명의 바람직한 실시 예에 따른 IP 보안 규칙을 구성하는 객체들을 UML로 표현한 도면이다.The policy information model according to the present invention can be used to express a plurality of policies, and an embodiment using the policy information model will be described with reference to the accompanying drawings. FIG. 8 is a diagram illustrating objects configuring a block permission rule according to an embodiment of the present invention in UML, FIG. 9 is a diagram representing objects configuring an alarm control rule according to an embodiment of the present invention, in UML. FIG. 10 is a diagram illustrating objects configuring IP security rules in UML according to an embodiment of the present invention.

도 8에 도시된 바와 같이, 차단 허용 정책(410)은 2002년 10월 1일부터 2002년 10월 2일 까지 9시부터 19시까지 패킷의 근원지 주소가 "129.254.110.23"이고, 목적지 포트 번호가 80이면 패킷을 차단하라는 것을 표현하고 있다. As shown in FIG. 8, the block permission policy 410 has a source address of "129.254.110.23" from 9 o'clock to 19:00 from October 1, 2002 to October 2, 2002, and a destination port number. Is 80 indicates to block the packet.

보다 상세하게 설명하면, 차단 허용 규칙(410)의 속성 “RuleID”가 20005인 것을 포함하여 차단 허용 규칙(410)의 속성들을 가지는 차단 허용 규칙(410)에 대한 클래스는 “BlockPermitRule”이고, 차단 허용 규칙(410)이 동작을 취하게 되는 근거가 되는 조건 객체(440)에 대한 클래스는 “FiveTupleCondition이고, 하위 비교 조건 객체들과의 조합 관계를 표현하는 속성은 “ConditionListType”이고, 변수와 값의 비교 조건 객체(250)에 대한 클래스는“PolicyVariableValueComparisonCondition”이고, 변수와 값의 비교 연산자를 의미하는 속성은 "Operator"이고, 근원지 주소를 의미하는 변수(261)에 대한 클래스는 “PolicySourceIPv4AddressVariable”이고, 근원지 주소의 값(245)에 대한 값 클래스는 “PolicyIPv4AddrValue”이고, 목적지 포트 번호를 의미하는 변수(264)에 대한 클래스는 “PolicyDestinationPortVariable”이고, 목적지 포트 번호의 값을 의미하는 값(245)에 대한 클래스는“PolicyIntegerValue”이며, 패킷을 차단하는 동작을 의미하는 동작(412)에 대한 클래스는 “PolicyPacketBlockAction”이고, 정책의 활성화 시간을 의미하는 시간 조건(720)에 대한 클래스는 “PolicyTimePeriodCondition”이다.More specifically, the class for the block permission rule 410 having the properties of the block permission rule 410 including the property “RuleID” of the block permission rule 410 is 20005 is “BlockPermitRule”, and the block permission is allowed. The class for the condition object 440 on which the rule 410 takes action is “FiveTupleCondition,” and the property representing the associative relationship with the lower comparison condition objects is “ConditionListType”. The class for the condition object 250 is “PolicyVariableValueComparisonCondition”, the property representing the comparison operator of the variable and the value is “Operator”, the class for the variable 261 representing the source address is “PolicySourceIPv4AddressVariable” and the source address The value class for the value of 245 is “PolicyIPv4AddrValue”, and the class for the variable 264 that represents the destination port number is “PolicyDestinationPortVariabl. e ”, the class for the value 245, which represents the value of the destination port number, is“ PolicyIntegerValue ”, and the class for the action 412, meaning the operation of blocking the packet, is“ PolicyPacketBlockAction ”, and the activation time of the policy. The class for the time condition 720 that means "PolicyTimePeriodCondition".

경보 제어 규칙(500)은, 도 9에 도시된 바와 같이, 근원지 주소가 "129.254.110.23"이고, 탐지 규칙의 “AttackID”가 30092번인 경보에 대해 3초 동안 10개의 경보를 축약하라는 것을 표현하고 있다.The alert control rule 500 expresses that 10 alerts should be abbreviated for 3 seconds for an alert whose source address is "129.254.110.23" and the "AttackID" of the detection rule is 30092, as shown in FIG. have.

IP 보안 규칙(600)은, 도 10에 도시된 바와 같이, 근원지 주소가 "129.254.246.123"이고, 목적지 주소가 "129.254.246.124"인 연결에 대해 오퍼레이션 모드를 “Transport”로 설정하고 AH 보안 프로토콜을 사용하며, MD5 알고리즘을 이용하여 암호화함으로써 안전한 연결을 설정하는 것을 표현하고 있다.IP security rule 600, as shown in FIG. 10, sets the operation mode to “Transport” and the AH security protocol for connections with a source address of “129.254.246.123” and a destination address of “129.254.246.124”. It represents the establishment of a secure connection by encrypting using MD5 algorithm.

이상 설명한 바와 같이, 본 발명은 이질 정책 클라이언트 시스템들을 포함하는 정책 기반의 네트워크 시스템에서 사용되는 정책들에 대한 정책 정보 모델을 정의함으로써, 다양한 종류의 정책 클라이언트 시스템들에서 사용되는 탐지 정책, 차단 정책, 센싱 정책, IP 보안 정책, 경보 제어 정책을 수용할 수 있다.As described above, the present invention defines a policy information model for policies used in a policy-based network system including heterogeneous policy client systems, whereby a detection policy, a blocking policy, It can accept sensing policy, IP security policy, and alarm control policy.

또한, 본 발명은 정책 정보 모델을 통해 정책 전달을 위한 PIB 구조, 정책 저장을 위한 정책 데이터베이스의 스키마, 정책 제어 및 관리를 위한 정책 관리 도구의 동작 구조를 정의하는 작업의 효율성을 높일 수 있다.In addition, the present invention can improve the efficiency of the operation of defining the PIB structure for policy delivery, the schema of the policy database for policy storage, the operation structure of the policy management tool for policy control and management through the policy information model.

도 1은 본 발명에 따른 보안 정책 정보 모델이 표현하는 정책이 사용되는 정책 기반 네트워크 보안 시스템의 정책 서버와 정책 클라이언트의 세부 기능을 도시한 모듈 구성도이고,1 is a module configuration diagram illustrating detailed functions of a policy server and a policy client of a policy-based network security system using a policy represented by a security policy information model according to the present invention.

도 2a는 본 발명에 따른 탐지 규칙 객체 및 탐지 규칙 객체와 결합 관계를 갖는 패킷 모니터링 조건 객체를 나타내는 도면이고, 2A illustrates a packet monitoring condition object having a binding relationship with a detection rule object and a detection rule object according to the present invention;

도 2b는 본 발명에서 패킷 모니터링 조건 객체들간의 결합 관계를 나타내는 도면이고, 2B is a diagram illustrating a coupling relationship between packet monitoring condition objects in the present invention.

도 2c는 본 발명에서 패킷 모니터링 조건 객체들 중 분열 패킷 조건 객체, 원 패킷 조건 객체 및 그 객체들과 결합 관계를 갖는 하위 조건 객체들을 나타내는 도면이고, FIG. 2C is a diagram illustrating a fragmented packet condition object, an original packet condition object, and subordinate condition objects having a coupling relationship with the objects among the packet monitoring condition objects in the present invention.

도 2d는 본 발명에서 분열 패킷 조건 객체 및 분열 패킷 조건 객체와 결합 관계를 갖는 조건 객체들을 나타내는 도면이고,FIG. 2D is a diagram illustrating a split packet condition object and condition objects having a coupling relationship with the split packet condition object in the present invention.

도 2e는 본 발명에서 페이로드 검사 조건 객체 및 페이로드 검사 조건 객체와 결합 관계를 가질 수 있는 객체들을 나타내는 도면이고,2E is a diagram illustrating objects that may have a coupling relationship with a payload check condition object and a payload check condition object in the present invention,

도 2f는 본 발명에서 비교 조건 객체 및 비교 조건 객체와 결합 관계를 가질 수 있는 객체들을 나타내는 도면이고,FIG. 2F is a diagram illustrating objects that may have a coupling relationship with a comparison condition object and a comparison condition object in the present invention.

도 3은 본 발명에서 탐지 규칙 객체 및 탐지 규칙 객체와 결합 관계를 가질 수 있는 동작 객체들을 나타내는 도면이고,3 is a diagram illustrating a detection rule object and operation objects that may have a binding relationship with the detection rule object in the present invention,

도 4a는 본 발명에서 차단 허용 규칙 객체, 센싱 규칙 객체 및 그 객체들과 결합 관계를 가질 수 있는 조건 객체, 변수 객체, 값 객체를 나타내는 도면이고, 4A is a view illustrating a block permission rule object, a sensing rule object, and a condition object, a variable object, and a value object that may have a binding relationship with the objects in the present invention.

도 4b는 본 발명에서 차단 허용 규칙 객체 및 차단 허용 규칙 객체와 결합 관계를 가질 수 있는 동작 객체들을 나타내는 도면이고, FIG. 4B is a diagram illustrating operation objects that may have a binding relationship with a block permission rule object and a block permission rule object in the present invention.

도 4c는 본 발명에서 센싱 규칙 객체 및 센싱 규칙 객체와 결합 관계를 가질 수 있는 동작 객체를 나타내는 도면이고, 4C is a diagram illustrating a sensing rule object and an operation object that may have a binding relationship with the sensing rule object.

도 5a는 본 발명에서 경보 제어 규칙 객체 및 경보 제어 규칙 객체와 결합 관계를 가질 수 있는 조건 객체, 변수 객체, 값 객체를 나타내는 도면이고,FIG. 5A illustrates a condition object, a variable object, and a value object that may have a binding relationship with an alarm control rule object and an alarm control rule object in the present invention.

도 5b는 본 발명에서 경보 제어 규칙의 비교 조건 객체에서 사용되는 명시적인 변수 객체의 속성 값을 나타내는 도면이고,FIG. 5B is a diagram illustrating attribute values of explicit variable objects used in comparison condition objects of alarm control rules in the present invention.

도 5c는 본 발명에서 경보 제어 규칙 객체 및 경보 제어 규칙 객체와 결합 관계를 가질 수 있는 동작 객체들을 나타내는 도면이고,FIG. 5C is a diagram illustrating operation objects that may have a binding relationship with an alarm control rule object and an alarm control rule object in the present invention;

도 6a는 본 발명에서 IP 보안 규칙 객체 및 IP 보안 규칙 객체와 결합 관계를 가질 수 있는 조건 객체, 변수 객체, 값 객체를 나타내는 도면이고,6A is a diagram illustrating a condition object, a variable object, and a value object that may have a binding relationship with an IP security rule object and an IP security rule object in the present invention.

도 6b는 본 발명에서 IP 보안 규칙 객체 및 IP 보안 규칙 객체와 결합 관계를 가질 수 있는 동작 객체들을 나타내는 도면이고,FIG. 6B is a diagram illustrating operation objects that may have a binding relationship with an IP security rule object and an IP security rule object in the present invention.

도 7은 본 발명에서 모든 규칙 객체 및 모든 규칙 객체들과 결합 관계를 가질 수 있는 시간 조건 객체를 나타내는 도면이고,7 is a view showing a time condition object that may have a binding relationship with all rule objects and all rule objects in the present invention,

도 8은 본 발명의 실시 예에 따른 차단 허용 규칙을 구성하는 객체들을 UML로 표현한 도면이고,8 is a diagram illustrating objects constituting a block permission rule according to an embodiment of the present invention in UML,

도 9는 본 발명의 바람직한 실시 예에 따른 경보 차단 규칙을 구성하는 객체들을 UML로 표현한 도면이고,9 is a diagram illustrating objects constituting the alarm blocking rule in UML according to an embodiment of the present invention.

도 10은 본 발명의 바람직한 실시 예에 따른 IP 보안 규칙을 구성하는 객체들을 UML로 표현한 도면이다.FIG. 10 is a diagram illustrating objects configuring IP security rules in UML according to an embodiment of the present invention.

<도면의 주요부분에 대한 부호의 설명><Description of the code | symbol about the principal part of drawing>

110 : 정책 서버 111 : 정책 관리 모듈110: Policy Server 111: Policy Management Module

112 : 정책 결정 모듈 113 : 상위 레벨 분석 모듈112: Policy Decision Module 113: High Level Analysis Module

114 : 경보 관리 모듈 115 : LDAP114: alarm management module 115: LDAP

116 : COPS 120 : 정책 클라이언트 시스템116: COPS 120: Policy Client System

121 : 차단 모듈 122 : 센스 모듈121: blocking module 122: sense module

123 : 사이버 순찰 에이전트 124 : 분석 모듈123: Cyber Patrol Agent 124: Analysis Module

130 : 클라이언트 데이터베이스 140 : 정책 저장소130: Client Database 140: Policy Store

150 : 경보 데이터베이스 160 : 뷰어150: alarm database 160: viewer

170 : IPsec 채널170: IPsec channel

Claims (37)

이질 정책 클라이언트 시스템들을 포함하는 정책 기반 네트워크 보안 시스템의 보안 정책에 있어서,In the security policy of a policy-based network security system including heterogeneous policy client systems, 상기 네트워크를 통해 유입되는 패킷을 분석하여 침입을 탐지하는 탐지 규칙과,A detection rule for detecting an intrusion by analyzing a packet flowing through the network; 상기 보안 시스템의 방화벽에서 패킷을 차단하거나 허용하는 차단 허용 규칙,A block allow rule for blocking or allowing a packet at the firewall of the security system; 상기 네트워크를 통해 유입되는 패킷들 중에서 특정 패킷들만을 분석하기 위한 센싱 규칙과,A sensing rule for analyzing only specific packets among packets flowing through the network; 상기 정책 클라이언트에서 정책 서버로 전송되는 여러 경보 메시지들을 축약하거나 결합하는 경보 제어 규칙과,An alarm control rule that abbreviates or combines the various alert messages sent from the policy client to a policy server, 상기 정책 서버와 클라이언트간의 연결 보안을 위한 IP 보안 규칙을 포함하는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.An information model for a security policy of a policy-based network security system including an IP security rule for securing a connection between the policy server and a client. 제 1 항에 있어서,The method of claim 1, 상기 탐지 규칙은,The detection rule is, 탐지 규칙 객체, 조건 객체, 동작 객체, 변수 객체 및 값 객체를 이용하여 표현하되, 상기 객체들간의 연관 또는 결합 관계를 표현하는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.An information model for a security policy of a policy-based network security system, which is expressed using a detection rule object, a condition object, an action object, a variable object, and a value object, and expresses an association or association relationship between the objects. 제 2 항에 있어서,The method of claim 2, 상기 탐지 규칙을 표현하는 조건 객체는,The condition object representing the detection rule, 패킷의 방향을 표현하는 디렉션 속성을 갖는 패킷 모니터링 조건 객체와, 비교 조건 객체, 복합 조건 객체, 페이로드 검사 조건 객체로 정의되는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델Information model for security policy of policy-based network security system defined by packet monitoring condition object with direction attribute expressing packet direction, comparison condition object, compound condition object, payload inspection condition object 제 3 항에 있어서,The method of claim 3, wherein 상기 패킷 모니터링 조건 객체는, The packet monitoring condition object, 하나의 패킷에 대한 조건을 표현하는 원 패킷 조건 객체와,An original packet condition object representing a condition for one packet, 반복되는 패킷에 대한 조건을 표현하고, “FirstTimeInterval", "SecondTimeInterval", "FirstBoundOfNumberPackets", "SecondBoundOfNumberOfPackets”속성을 갖는 반복 패킷 조건 객체와, A repeated packet condition object expressing a condition for repeated packets, having attributes of "FirstTimeInterval", "SecondTimeInterval", "FirstBoundOfNumberPackets", and "SecondBoundOfNumberOfPackets"; 연속되는 패킷에 대한 조건을 표현하고 "NumberOfPackets" 속성을 갖는 리니어 패킷 조건 객체 및A linear packet condition object representing a condition for consecutive packets and having a "NumberOfPackets" attribute; and 분열된 패킷에 대한 조건을 표현하는 분열 패킷 조건 객체를 포함하며;A fragmented packet condition object representing a condition for the fragmented packet; 하위 조건 객체들의 “AND” 또는 “OR” 조합을 표현하는 “ConditionListType” 속성을 가지며, 상기 탐지 규칙과 결합관계를 갖는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.An information model for a security policy of a policy-based network security system having a "ConditionListType" attribute representing a combination of "AND" or "OR" of sub-condition objects and having a binding relationship with the detection rule. 제 4 항에 있어서,The method of claim 4, wherein 상기 반복 패킷 조건 객체, 리니어 패킷 조건 객체 또는 분열 패킷 조건 객체는, 하나 이상의 원 패킷 조건 객체와 결합 관계를 갖는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.The repeating packet condition object, linear packet condition object, or fragment packet condition object is an information model for a security policy of a policy-based network security system having an association relationship with one or more original packet condition objects. 제 4 항에 있어서,The method of claim 4, wherein 상기 분열 패킷 조건 객체, 원 패킷 조건 객체 또는 복합 조건 객체는, 복합 조건 객체, 페이로드 검사 조건 객체 또는 비교 조건 객체와 결합 관계를 갖는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.The split packet condition object, the original packet condition object, or the compound condition object is an information model for a security policy of a policy-based network security system having a combined relationship with a compound condition object, a payload checking condition object, or a comparison condition object. 제 4 항에 있어서,The method of claim 4, wherein 상기 분열 패킷 조건 객체는, 상기 반복 패킷 조건 객체 또는 리니어 패킷 조건 객체와 결합 관계를 갖는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.The split packet condition object is an information model for a security policy of a policy based network security system having a binding relationship with the repeated packet condition object or the linear packet condition object. 제 6 항에 있어서,The method of claim 6, 상기 비교 조건 객체는, 두 변수를 비교하는 조건을 표현하는 두 변수 비교 조건 객체와, 상기 변수와 값을 비교하는 변수값 비교 조건 객체를 포함하는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.The comparison condition object includes an information model for a security policy of a policy-based network security system including two variable comparison condition objects representing a condition for comparing two variables and a variable value comparison condition object for comparing the variable with a value. . 제 8 항에 있어서,The method of claim 8, 상기 변수값 비교 조건 객체에서 변수가 페이로드 변수이고, “PayloadOffset”, “PayloadLength”, “PayloadNocase”, “PayloadRegex”, “PayloadDepth”의 속성을 갖으면 페이로드 매칭 조건으로 정의하고, 상기 변수값 비교 조건 객체에서 변수가 URI 페이로드 변수이고, 상기 페이로드 매칭 조건과 동일 속성을 갖으면 URI 페이로드 매칭 조건으로 정의하는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.In the variable value comparison condition object, if a variable is a payload variable and has attributes of “PayloadOffset”, “PayloadLength”, “PayloadNocase”, “PayloadRegex”, and “PayloadDepth”, the payload matching condition is defined. An information model for a security policy of a policy-based network security system that defines a URI payload matching condition if the variable in the condition object is a URI payload variable and has the same attribute as the payload matching condition. 제 8 항에 있어서,The method of claim 8, 상기 페이로드 검사 조건 객체는, 페이로드 변수 객체 또는 URI 페이로드 변수 객체와 결합관계를 갖으며, 값 객체와 결합 관계를 갖는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.The payload inspection condition object has an association relationship with a payload variable object or a URI payload variable object and has an association relationship with a value object. 제 2 항에 있어서,The method of claim 2, 상기 탐지 규칙을 표현하는 동작 객체는,The action object representing the detection rule, 경보 동작 객체, 메시지 동작 객체, 세션 이벤트 로그 동작 객체 및 역추적 동작 객체로 정의되는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.An information model for the security policy of a policy-based network security system defined by alert action objects, message action objects, session event log action objects, and traceback action objects. 제 11 항에 있어서,The method of claim 11, 상기 경보 동작 객체는, 경보 메시지를 의미하는 “ShortDescription”속성과 동일한 경보 동작이 발생할 수 있는 제한 시간을 표현하는 "BreakTimeInterval" 속성을 갖는 경보 메시지를 결합하는 동작, 경보 메시지를 저장하는 동작, 경보 메시지를 전시하는 동작, 경보 메시지를 윈도우 팝업하는 동작 및 경보 메시지를 전송할 이메일 주소를 의미하는“EmailAddress”속성을 갖는 이메일 동작으로 정의되는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.The alarm action object may be configured to combine an alarm message having a "BreakTimeInterval" attribute representing a time limit at which an alarm action may occur, such as a "ShortDescription" attribute meaning an alarm message, an operation of storing an alarm message, and an alarm message. An information model for the security policy of a policy-based network security system, defined as an action to display a message, to pop up an alarm message, and to have an email action with an attribute of "EmailAddress", which indicates the email address to which the alert message should be sent. 제 11 항에 있어서,The method of claim 11, 상기 메시지 전송 동작 객체는, 전송할 메시지를 의미하는 “Message” 속성을 가지며, 특정 호스트에 차단에 대한 공고 메시지를 전송하는 동작 객체, TCP의 연결을 리셋하라는 메시지를 전송하는 동작 객체 및 ICMP 패킷이 도착 불가능하다는 메시지를 전송하는 동작 객체로 정의되는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.The message transmission action object has a “Message” attribute indicating a message to be transmitted, an action object for transmitting a notification message for blocking to a specific host, an action object for transmitting a message for resetting a TCP connection, and an ICMP packet arrives. Information model for the security policy of a policy-based network security system, defined as an action object that sends a message that it is impossible. 제 1 항에 있어서,The method of claim 1, 상기 차단 허용 규칙을 구성하는 객체들은, 차단 허용 규칙 객체, 조건 객체, 차단 허용 동작 객체, 변수 객체 및 값 객체이며, 상기 객체들간의 연관 또는 결합관계로 표현되는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.The objects constituting the blocking permission rule are a blocking permission rule object, a condition object, a blocking permission action object, a variable object, and a value object, and a security policy of a policy-based network security system expressed as an association or association between the objects. Information model. 제 14 항에 있어서,The method of claim 14, 상기 차단 허용 규칙을 표현하는 조건 객체는, 다섯 항목 조건 객체와 비교 조건 객체로 정의되는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.The condition object representing the blocking permission rule is an information model for a security policy of a policy-based network security system defined by five item condition objects and a comparison condition object. 제 15 항에 있어서,The method of claim 15, 상기 다섯 항목 조건 객체는, 복합 조건 객체에서 상속된 객체로서 결합된 비교 조건들의 “AND” 또는 “OR”조합을 표현하는 “ConditionListType” 속성을 가지고 상기 차단 허용 규칙 객체와 결합 관계를 가지며, 근원지 주소, 목적지 주소, 근원지 포트 번호, 목적지 포트 번호 또는 프로토콜에 관련된 비교 조건들과 결합 관계를 갖는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.The five item condition object has a "ConditionListType" attribute representing an "AND" or "OR" combination of comparison conditions combined as an object inherited from a compound condition object, and has a binding relationship with the blocking permission rule object. Information model for a security policy of a policy-based network security system in association with a destination address, a source port number, a destination port number or a comparison condition relating to a protocol. 제 15 항에 있어서,The method of claim 15, 상기 비교 조건 객체는, 두 객체를 비교하는 조건 객체인 두변수 조건 객체와 변수값 비교 조건 객체가 존재하며, 상기 비교 조건 객체와 결합되는 하나의 변수 객체는 근원지 주소 변수, 목적지 주소 변수, 근원지 포트 번호 변수, 목적지 포트 번호 변수, 프로토콜 변수 중 하나인 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.The comparison condition object includes a two-variable condition object and a variable value comparison condition object, which are condition objects comparing two objects, and one variable object combined with the comparison condition object is a source address variable, a destination address variable, a source port. Information model for the security policy of a policy-based network security system, which is one of a number variable, a destination port number variable, and a protocol variable. 제 14 항에 있어서,The method of claim 14, 상기 차단 허용 규칙을 표현하는 차단 허용 동작 객체는, 페킷을 차단하는 패킷 차단 동작 객체, 패킷 허용하는 패킷 허용 동작 객체, 패킷이 속한 세션을 차단하는 세션 차단 동작 객체 또는 패킷이 속한 세션을 허용하는 패킷 허용 동작 객체로 정의되며, 상기 객체들은 차단 허용 규칙 객체와 결합 관계를 갖는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.The blocking allowed action object expressing the blocking permission rule may include a packet blocking action object for blocking a packet, a packet allowing action object for allowing a packet, a session blocking action object for blocking a session to which a packet belongs, or a packet allowing a session to which a packet belongs. An information model for a security policy of a policy-based network security system defined as an allowed action object, wherein the objects have a binding relationship with a block allow rule object. 제 1 항에 있어서,The method of claim 1, 상기 센싱 규칙을 표현하는 객체들은, 센싱 규칙 객체, 조건 객체, 센싱 동작 객체, 변수 객체 및 값 객체로 정의되며, 상기 객체들 사이의 연관 또는 결합 관계를 표현하는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.The objects representing the sensing rule are defined as a sensing rule object, a condition object, a sensing action object, a variable object, and a value object, and a security policy of a policy-based network security system expressing an association or association relationship between the objects. Information model. 제 19 항에 있어서,The method of claim 19, 상기 센싱 규칙을 표현하는 조건 객체는, 상기 차단 허용 규칙을 구성하는 조건 객체와 동일한 다섯 항목 조건 객체와 비교 조건 객체를 갖으며, 상기 비교 조건 객체와 결합되는 하나의 변수 객체는 근원지 주소 변수, 목적지 주소 변수, 근원지 포트 번호 변수, 목적지 포트 번호 변수, 프로토콜 변수 중 하나인 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.The condition object representing the sensing rule has five item condition objects and a comparison condition object identical to the condition objects constituting the blocking permission rule, and one variable object combined with the comparison condition object is a source address variable and a destination. An information model for the security policy of a policy-based network security system, which is one of address variables, source port number variables, destination port number variables, and protocol variables. 제 19 항에 있어서,The method of claim 19, 상기 센싱 규칙을 표현하는 객체들 중에서 센싱 동작 객체는, 센싱 규칙 객체와 결합관계를 갖는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.Among the objects representing the sensing rule, a sensing operation object is an information model for a security policy of a policy-based network security system having a binding relationship with a sensing rule object. 제 1 항에 있어서,The method of claim 1, 상기 경보 제어 규칙을 표현하는 객체들은, 경보 제어 규칙 객체, 조건 객체, 경보 제어 동작 객체, 변수 객체, 값 객체와 상기 객체들 사이의 연관 또는 결합 관계를 표현하는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.The objects representing the alarm control rule may be a security policy of a policy-based network security system expressing an association or association relationship between an alarm control rule object, a condition object, an alarm control action object, a variable object, a value object and the objects. Information model. 제 22 항에 있어서,The method of claim 22, 상기 경보 제어 규칙을 표현하는 조건 객체는, 경보 측량 조건 객체와 비교 조건 객체로 정의되는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.The condition object representing the alarm control rule is an information model for a security policy of a policy-based network security system defined by an alarm survey condition object and a comparison condition object. 제 23 항에 있어서,The method of claim 23, 상기 경보 측량 조건 객체는, 다수의 비교 조건들의 “AND” 또는 “OR”조합을 표현하는 “ConditionListType” 속성을 가지고, 상기 경보 제어 규칙과 결합 관계를 가지며, 근원지 주소, 목적지 주소, 근원지 포트 번호, 목적지 포트 번호, 프로토콜, 탐지 규칙의 AttackID와 관련된 비교 조건과 결합 관계를 갖는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.The alert survey condition object has a “ConditionListType” attribute representing a “AND” or “OR” combination of a plurality of comparison conditions, has a binding relationship with the alert control rule, and includes a source address, a destination address, a source port number, Information model for the security policy of a policy-based network security system in association with the destination port number, protocol, and comparison criteria related to the AttackID of the detection rule. 제 23 항에 있어서,The method of claim 23, 상기 경보 제어 규칙을 표현하는 비교 조건 객체는, 두 객체를 비교하는 두 변수 비교 객체 및 변수와 값을 비교하는 변수값 비교 조건 객체와 결합 관계를 갖는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.The comparison condition object expressing the alarm control rule is information for security policy of a policy-based network security system having a binding relationship with two variable comparison objects comparing two objects and a variable value comparison condition object comparing a variable and a value. Model. 제 25 항에 있어서,The method of claim 25, 상기 두 변수 비교 객체는, 근원지 주소 변수 객체, 목적지 주소 변수 객체, 근원지 포트 번호 변수 객체, 목적지 포트 번호 변수 객체, 프로토콜 변수 객체 및 명시적 변수 객체들 중 어느 하나인 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.The two variable comparison objects may be any one of a source address variable object, a destination address variable object, a source port number variable object, a destination port number variable object, a protocol variable object, and an explicit variable object. Information model for policy. 제 26 항에 있어서,The method of claim 26, 상기 명시적 변수 객체는, “Model Class”와 “Model Property” 속성을 갖으며, 상기 경보 제어 규칙에서 사용하는 명시적 변수 객체의 속성 “Model Class”와 “Model Property”는 “DetectionRule”와 “AttackID”인 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.The explicit variable object has a "Model Class" and a "Model Property" property, and the properties "Model Class" and "Model Property" of the explicit variable object used in the alarm control rule are "DetectionRule" and "AttackID". Information model for security policy of policy-based network security system. 제 23 항에 있어서,The method of claim 23, 상기 경보 제어 규칙을 표현하는 경보 제어 동작 객체는, 경보를 제어하는 시간 “AlertControlTime” 속성과 경보의 수를 표현하는 “AlertControlNumber”속성을 갖는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.And an alarm control action object expressing the alarm control rule comprises a time “AlertControlTime” attribute for controlling an alert and an “AlertControlNumber” attribute for expressing the number of alerts. 제 28 항에 있어서,The method of claim 28, 상기 경보 제어 동작 객체는, 다수의 경보를 하나의 경보로 축약하여 전송하는 경보 축약 동작 객체와 상기 다수의 경보를 결합시켜 하나의 경보로 전송하는 경보 결합 동작 객체로 정의되며, 상기 경보 제어 동작 객체들은 경보 제어 규칙 객체와 결합 관계를 갖는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.The alarm control operation object is defined as an alarm abbreviation operation object for abbreviating and transmitting a plurality of alarms to one alarm and an alarm combining action object for combining the plurality of alarms and transmitting the same as one alarm. Information model for security policy of policy-based network security system that has association with alarm control rule object. 제 1 항에 있어서,The method of claim 1, 상기 IP 보안 규칙을 표현하는 객체들은, IP 보안 규칙 객체, 조건 객체, 동작 객체, 변수 객체, 값 객체와 상기 객체들 사이의 연관 또는 결합 관계로 정의되는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.The objects representing the IP security rule are for a security policy of a policy-based network security system defined by an IP security rule object, a condition object, an action object, a variable object, an value object and an association or association relationship between the objects. Information model. 제 30 항에 있어서,The method of claim 30, 상기 IP 보안 규칙을 표현하는 조건 객체는, 연결 조건 객체와 비교 조건 객체로 정의되는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.The condition object representing the IP security rule is an information model for a security policy of a policy-based network security system defined as a connection condition object and a comparison condition object. 제 31 항에 있어서,The method of claim 31, wherein 상기 연결 조건 객체는, 다수의 비교 조건들의 “AND” 또는 “OR” 조합을 표현하는 “ConditionListType” 속성을 가지고, 상기 IP 보안 규칙과 결합 관계를 가지며, 근원지 주소 및 목적지 주소에 관련된 비교 조건들과 결합 관계를 갖는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.The connection condition object has a “ConditionListType” attribute representing a “AND” or “OR” combination of a plurality of comparison conditions, is associated with the IP security rule, and compares with the comparison conditions related to the source address and the destination address. Information model for security policy of policy-based network security system with binding relationship. 제 31 항에 있어서,The method of claim 31, wherein 상기 비교 조건 객체에는, 두 객체를 비교하는 두 변수 비교 객체 및 변수와 값을 비교하는 변수값 비교 조건 객체가 존재하며, 상기 비교 조건 객체와 결합되는 하나의 변수 rorc는 근원지 주소 변수, 목적지 주소 변수 중 하나인 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.In the comparison condition object, there are two variable comparison objects comparing two objects and a variable value comparison condition object comparing a variable and a value, and one variable rorc combined with the comparison condition object is a source address variable and a destination address variable. One of the information models for security policies in policy-based network security systems. 제 30 항에 있어서,The method of claim 30, 상기 IP 보안 규칙을 표현하는 동작 객체는, IP 보안 동작 객체, IP 보안 제안 객체 및 암호와 알고리즘 객체로 정의되는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.The action object representing the IP security rule is an information model for a security policy of a policy-based network security system defined by an IP security action object, an IP security proposal object, and a password and algorithm object. 제 34 항에 있어서,The method of claim 34, wherein 상기 IP 보안 동작 객체는, 트랜스포트 모드 동작 객체와 터널 모드 동작 객체로 정의되며, IP 보안 규칙과 결합 관계를 갖는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.The IP security action object is defined as a transport mode action object and a tunnel mode action object, and an information model for a security policy of a policy-based network security system having a binding relationship with an IP security rule. 제 34 항에 있어서,The method of claim 34, wherein 상기 IP 보안 제안 객체는, IP 보안 동작 객체와 결합 관계를 갖는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.The IP security proposal object is an information model for a security policy of a policy-based network security system having a binding relationship with an IP security operation object. 제 34 항에 있어서,The method of claim 34, wherein 상기 암호화 알고리즘 객체는, AH 암호화 알고리즘을 의미하는 “AHTransformID”속성을 가지는 AH 암호화 알고리즘 객체와, ESP 암호화 알고리즘을 의미하는 “IntegrityTransformID”, “CipherTransformID” 속성을 갖는 ESP 암호화 알고리즘 객체로 정의되며, 상기 IP 보안 제안 객체와 결합 관계를 갖는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델.The encryption algorithm object is defined as an AH encryption algorithm object having an “AHTransformID” attribute representing an AH encryption algorithm, and an ESP encryption algorithm object having “IntegrityTransformID” and “CipherTransformID” attributes representing an ESP encryption algorithm. Information model for security policy of policy-based network security system with association with security proposal object.
KR10-2002-0082207A 2002-12-21 2002-12-21 Information model for security policy in policy-based network security system KR100490728B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0082207A KR100490728B1 (en) 2002-12-21 2002-12-21 Information model for security policy in policy-based network security system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0082207A KR100490728B1 (en) 2002-12-21 2002-12-21 Information model for security policy in policy-based network security system

Publications (2)

Publication Number Publication Date
KR20040055513A KR20040055513A (en) 2004-06-26
KR100490728B1 true KR100490728B1 (en) 2005-05-24

Family

ID=37348183

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0082207A KR100490728B1 (en) 2002-12-21 2002-12-21 Information model for security policy in policy-based network security system

Country Status (1)

Country Link
KR (1) KR100490728B1 (en)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100502079B1 (en) * 2003-08-27 2005-07-25 한국전자통신연구원 Alert traffic control approach for security management system in wide area network
CN100362803C (en) * 2004-10-15 2008-01-16 华中科技大学 Network safety warning system based on cluster and relavance
KR100785804B1 (en) * 2005-12-02 2007-12-13 한국전자통신연구원 Intrusion blocking policy enforcement apparatus and method in router hardware platform
KR100833973B1 (en) * 2006-08-14 2008-05-30 전남대학교산학협력단 Meta access control system
KR101504936B1 (en) * 2013-12-30 2015-03-23 주식회사 시큐아이 Proxy device and packet transmission method thereof
KR102260273B1 (en) * 2019-12-12 2021-06-03 한국과학기술정보연구원 Apparatus for visualizing security policy information, method thereof, and storage medium for storing a program visualizing security policy information

Also Published As

Publication number Publication date
KR20040055513A (en) 2004-06-26

Similar Documents

Publication Publication Date Title
US7401145B2 (en) In-line mode network intrusion detect and prevent system and method thereof
US7644151B2 (en) Network service zone locking
US20040146006A1 (en) System and method for internal network data traffic control
US7895326B2 (en) Network service zone locking
CA2470294C (en) Network service zone locking
US6708212B2 (en) Network surveillance
US7512980B2 (en) Packet sampling flow-based detection of network intrusions
US7475426B2 (en) Flow-based detection of network intrusions
US7185368B2 (en) Flow-based detection of network intrusions
US9077692B1 (en) Blocking unidentified encrypted communication sessions
US8046833B2 (en) Intrusion event correlation with network discovery information
US8301771B2 (en) Methods, systems, and computer program products for transmission control of sensitive application-layer data
US8176544B2 (en) Network security system having a device profiler communicatively coupled to a traffic monitor
US7475420B1 (en) Detecting network proxies through observation of symmetric relationships
AU2002230541A1 (en) Flow-based detection of network intrusions
US7099940B2 (en) System, method and computer program product for processing network accounting information
US7596808B1 (en) Zero hop algorithm for network threat identification and mitigation
KR100490728B1 (en) Information model for security policy in policy-based network security system
US9298175B2 (en) Method for detecting abnormal traffic on control system protocol
KR100446816B1 (en) Network for integrated security management service
US10728040B1 (en) Connection-based network behavioral anomaly detection system and method
Mullarkey et al. Discovering anomalous behavior in large networked systems

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20110511

Year of fee payment: 7

LAPS Lapse due to unpaid annual fee