KR100490728B1 - Information model for security policy in policy-based network security system - Google Patents
Information model for security policy in policy-based network security system Download PDFInfo
- Publication number
- KR100490728B1 KR100490728B1 KR10-2002-0082207A KR20020082207A KR100490728B1 KR 100490728 B1 KR100490728 B1 KR 100490728B1 KR 20020082207 A KR20020082207 A KR 20020082207A KR 100490728 B1 KR100490728 B1 KR 100490728B1
- Authority
- KR
- South Korea
- Prior art keywords
- policy
- condition
- variable
- rule
- security
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
다양한 종류의 정책 클라이언트 시스템들에서 사용되는 탐지 정책, 차단 정책, 센싱 정책, IP 보안 정책, 경보 제어 정책을 수용할 수 있는 본 발명에 따른 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델은 네트워크를 통해 유입되는 패킷을 분석하여 침입을 탐지하는 탐지 규칙과, 보안 시스템의 방화벽에서 패킷을 차단하거나 허용하는 차단 허용 규칙, 네트워크를 통해 유입되는 패킷들 중에서 특정 패킷들만을 분석하기 위한 센싱 규칙과, 정책 클라이언트에서 정책 서버로 전송되는 여러 경보 메시지들을 축약하거나 결합하는 경보 제어 규칙과, 정책 서버와 클라이언트간의 연결 보안을 위한 IP 보안 규칙을 포함한다.The information model for the security policy of the policy-based network security system according to the present invention that can accommodate detection policy, blocking policy, sensing policy, IP security policy, and alarm control policy used in various types of policy client systems Detection rules for detecting intrusions by analyzing packets flowing through the network, blocking allow rules for blocking or allowing packets at the firewall of the security system, sensing rules for analyzing only specific packets among packets flowing through the network, It includes alarm control rules that abbreviate or combine the various alert messages sent from the policy client to the policy server, and IP security rules for securing the connection between the policy server and the client.
또한, 본 발명은 정책 정보 모델을 통해 정책 전달을 위한 PIB 구조, 정책 저장을 위한 정책 데이터베이스의 스키마, 정책 제어 및 관리를 위한 정책 관리 도구의 동작 구조를 정의하는 작업의 효율성을 높일 수 있다.In addition, the present invention can improve the efficiency of the operation of defining the PIB structure for policy delivery, the schema of the policy database for policy storage, the operation structure of the policy management tool for policy control and management through the policy information model.
Description
본 발명은 네트워크 보안 시스템에서 사용되는 네트워크 정책 정보에 관한 것으로, 특히 이질 정책 클라이언트들이 포함된 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델에 관한 것이다.The present invention relates to network policy information used in a network security system, and more particularly, to an information model for a security policy of a policy-based network security system including heterogeneous policy clients.
최근 네트워크 사용자가 급증하면서 네트워크 기반 시스템의 침입이 증가하고 있으며, 이러한 공격을 감소시키기 위해 보안의 필요성이 중요시되고 있다. 네트워크 기반 시스템을 보호하기 위한 방법 중의 하나로 정책 제어 서버를 구축하여 네트워크를 관리하는 PBNM(Policy Based Network Management)이 있으며, 이는 IETF에서 활발히 연구 중에 있다. IETF의 Policy Framework Working Group에서는 정책 기반 시스템에서 사용되는 정책에 대한 정책 정보 모델인 PCIM(Policy Core Information Model)을 제시하여 RFC3060으로 표준화시켰으며, 수정 보안판도 준비 중에 있다. 또한 QoS(Quality of Service), IPsec(IP security protocol)과 같은 구체적인 응용 분야에서 이용할 수 있도록 PCIM을 확장한 정책 정보 모텔을 정의하고 있다.Recently, as network users are proliferating, intrusions of network-based systems are increasing, and the necessity of security is important to reduce such attacks. One of the methods for protecting network-based systems is PBNM (Policy Based Network Management), which manages a network by establishing a policy control server, which is being actively researched by the IETF. The IETF's Policy Framework Working Group proposed the PCIM (Policy Core Information Model), a policy information model for policies used in policy-based systems, and standardized it into RFC3060. A revised security version is also being prepared. It also defines a policy information motel that extends PCIM for use in specific applications such as quality of service (QoS) and IP security protocol (IPsec).
네트워크 보안 분야에서도 효율적인 정책 관리를 위해 네트워크 보안 정책을 위한 정책 정보 모델의 정의가 진행되고 있는데, 이 정책 정보 모델은 침입을 탐지하기 위해 패킷을 분석하는 정책을 위한 것이며, 또한 하나의 클라이언트에서 사용되는 탐지 정책만을 모델링하였다.In the field of network security, a policy information model for network security policy is being defined for efficient policy management. This policy information model is for a policy that analyzes packets to detect intrusions. Only detection policies were modeled.
정책 기반 네트워크 보안 시스템에서 사용되는 보안 정책은 패킷을 분석하고 침입을 탐지하는 탐지 정책뿐만 아니라, 여러 기능 모듈에서 사용되는 정책들을 위한 정책 정보 모델이 필요하다. 또한 정책 기반 네트워크 보안 시스템에서는 하나의 정책 서버와 여러 정책 클라이언트들로 구성되어 있는데, 하나의 클라이언트만이 아닌 다른 이기종 클라이언트에서 사용되는 정책들을 수용할 수 있는 정책 정보 모델이 필요하다.Security policies used in policy-based network security systems require a policy information model for policies used in various functional modules, as well as detection policies that analyze packets and detect intrusions. In addition, the policy-based network security system is composed of a single policy server and multiple policy clients. A policy information model is needed to accommodate the policies used by heterogeneous clients instead of just one client.
본 발명의 목적은 이와 같은 필요성에 의한 결과물로써, 이질 정책 클라이언트 시스템들을 포함하는 정책 기반의 네트워크 시스템에서 사용되는 정책들에 대한 정책 정보 모델을 정의함으로써, 다양한 종류의 정책 클라이언트 시스템들에서 사용되는 탐지 정책, 차단 정책, 센싱 정책, IP 보안 정책, 경보 제어 정책을 수용할 수 있는 정책 기반의 네트워크 보안 시스템의 보안 정책을 위한 정보 모델을 제공하고자 한다.An object of the present invention is the result of this necessity, by defining a policy information model for policies used in policy-based network systems, including heterogeneous policy client systems, thereby detecting detection used in various types of policy client systems. To provide an information model for security policy of policy-based network security system that can accommodate policy, blocking policy, sensing policy, IP security policy, and alarm control policy.
상기와 같은 목적을 달성하기 위하여 본 발명은, 이질 정책 클라이언트 시스템들을 포함하는 정책 기반 네트워크 보안 시스템의 보안 정책에 있어서, 상기 네트워크를 통해 유입되는 패킷을 분석하여 침입을 탐지하는 탐지 규칙과, 상기 보안 시스템의 방화벽에서 패킷을 차단하거나 허용하는 차단 허용 규칙, 상기 네트워크를 통해 유입되는 패킷들 중에서 특정 패킷들만을 분석하기 위한 센싱 규칙과, 상기 정책 클라이언트에서 정책 서버로 전송되는 여러 경보 메시지들을 축약하거나 결합하는 경보 제어 규칙과, 상기 정책 서버와 클라이언트간의 연결 보안을 위한 IP 보안 규칙을 포함한다.In order to achieve the above object, the present invention, in the security policy of the policy-based network security system including heterogeneous policy client systems, the detection rules for detecting intrusion by analyzing the packets flowing through the network, and the security Block or allow blocking rules to block or allow packets at the system's firewall, sensing rules to analyze only specific packets among packets flowing through the network, and reduce or combine multiple alert messages sent from the policy client to the policy server. An alarm control rule and an IP security rule for securing a connection between the policy server and the client.
본 발명의 실시 예는 다수개가 존재할 수 있으며, 이하에서 첨부한 도면을 참조하여 바람직한 실시 예에 대하여 상세히 설명하기로 한다. 이 기술 분야의 숙련자라면 이 실시 예를 통해 본 발명의 목적, 특징 및 이점들을 잘 이해할 수 있을 것이다.There may be a plurality of embodiments of the present invention, and a preferred embodiment will be described in detail below with reference to the accompanying drawings. Those skilled in the art will be able to better understand the objects, features and advantages of the present invention through this embodiment.
도 1은 본 발명에 따른 보안 정책 정보 모델이 표현하는 정책이 사용되는 정책 기반 네트워크 보안 시스템의 정책 서버와 정책 클라이언트의 세부 기능을 도시한 모듈 구성도이다.1 is a module configuration diagram showing detailed functions of a policy server and a policy client of a policy-based network security system using a policy represented by a security policy information model according to the present invention.
도 1에 도시된 바와 같이, 정책 기반의 네트워크 보안 시스템은 정책 서버(110), 정책 클라이언트 시스템(120), 클라이언트 데이터베이스(130), 정책 저장소(140), 경보 데이터베이스(150) 및 뷰어(160)를 포함하며, 정책 서버(110)는 정책 관리 모듈(111), 정책 결정 모듈(112), 상위 레벨 분석 모듈(113), 경보 관리 모듈(114)을 포함하며, 정책 클라이언트 시스템(120)은 차단 모듈(121), 센서 모듈(122), 사이버 순찰 에이전트 모듈(123), 분석 모듈(124)로 구성된다.As shown in FIG. 1, a policy-based network security system includes a policy server 110, a policy client system 120, a client database 130, a policy store 140, an alert database 150, and a viewer 160. The policy server 110 includes a policy management module 111, a policy decision module 112, a high level analysis module 113, and an alarm management module 114, and the policy client system 120 is blocked. Module 121, sensor module 122, cyber patrol agent module 123, and analysis module 124.
정책 클라이언트 시스템(120)은 내부 네트워크로 접근하는 패킷들을 분석하고 공격을 탐지하여 정책 서버(110)로 경보 메시지를 전송하고, 정책 서버(110)가 정책을 생성하는데 기반이 되는 트래픽 정보와 로그 정보를 정책 서버(110)에 제공한다. The policy client system 120 analyzes packets approaching the internal network, detects an attack, sends an alert message to the policy server 110, and traffic information and log information based on the policy server 110 generating a policy. To the policy server 110.
정책 서버(110)는 다수의 정책 클라이언트 시스템(120)으로부터 전송된 트래픽 정보, 로그 정보, 경보 정보를 이용하여 통계 분석, 이상 행위 분석 등의 종합적인 분석을 통해 앞으로 발생할 공격에 대한 체계적인 대응 정책을 생성한다. 정책 저장소(140)에는 정책 서버(110)에 의해서 생성된 정책들이 저장되어 있으며, 이렇게 저장된 정책들과 정책 클라이언트 시스템(110)에서 탐지되어 정책 서버(110)에 전송되는 경보 메시지는 정책 서버(110)와 정책 클라이언트 시스템(120)과의 연결인 IPSec(Internet Protocol Security Protocol)을 이용하여 안전한 경로를 통해 송수신된다. The policy server 110 uses the traffic information, log information, and alarm information transmitted from a plurality of policy client systems 120 to provide a systematic response policy for future attacks through comprehensive analysis such as statistical analysis and abnormal behavior analysis. Create The policy store 140 stores the policies generated by the policy server 110. The stored policies and the alarm message detected by the policy client system 110 and transmitted to the policy server 110 are transmitted to the policy server 110. And IPSec (Internet Protocol Security Protocol), which is a connection between the policy client system 120 and the policy client system 120.
정책 서버(110)의 정책 관리 모듈(111)은 정책 저장소(140)를 초기화하고 정정책 저장소(140)에 저장된 정책을 변경시키는 기능과 정책이 변경될 때마다 정책 결정 모듈(112)에 변경되었음을 알려주는 기능을 수행하며, 정책을 LDIF 형식으로 변환하고 LDAP(115)을 이용하여 정책을 정책 저장소(140)에 저장시키고, 이러한 정책들을 관리, 제어하는 역할을 한다. The policy management module 111 of the policy server 110 initializes the policy store 140 and changes the policy stored in the policy store 140 and the policy decision module 112 whenever the policy is changed. Informs, converts the policy to LDIF format, stores the policy in the policy store 140 using the LDAP 115, and manages and controls these policies.
정책 결정 모듈(112)은 정책을 결정하고 정책 저장소(140)의 정책들을 PIB의 형태로 COPS(116) 프로토콜을 이용하여 정책 클라이언트 시스템(120)에 전달하며, 정책 수행 시 문제점이 발생하였을 때 뷰어(160)에 전달하는 기능을 한다. The policy determination module 112 determines the policy and delivers the policies of the policy store 140 to the policy client system 120 using the COPS 116 protocol in the form of a PIB. It functions to transmit to 160.
경보 관리 모듈(114)은 정책 클라이언트 시스템(120)에서 전달된 경보 데이터를 경보 데이터베이스(150)에 저장시키고, 경보 데이터와 경보 데이터를 분석한 결과를 뷰어(160)에 전달하는 기능을 한다. The alarm management module 114 stores the alarm data transmitted from the policy client system 120 in the alarm database 150, and transmits the alarm data and the result of analyzing the alarm data to the viewer 160.
상위 레벨 분석 모듈(113)은 정책 클라이언트 시스템(120)의 기능을 보완하기 위한 것으로 여러 정책 클라이언트 시스템(120)의 트래픽 정보와 로그 정보를 이용하여 분산된 공격을 탐지하거나 여러 정책 클라이언트 시스템(120)의 데이터들 간의 연관 관계를 분석하여 새로운 정책을 생성하는 기능을 한다.The high level analysis module 113 is to supplement the function of the policy client system 120 and detects a distributed attack by using the traffic information and log information of the various policy client systems 120, or the multiple policy client systems 120. It creates a new policy by analyzing the relationships among the data in the database.
정책 클라이언트 시스템(120)의 차단 모듈(121)은 정책 서버(110)로부터 수신한 정책 중 차단 정책에 따라 조건에 만족하는 패킷들을 차단시키거나 허용한다.The blocking module 121 of the policy client system 120 blocks or allows packets satisfying a condition according to a blocking policy among the policies received from the policy server 110.
센서 모듈(122)은 차단 모듈(121)에서 유입되는 패킷들 중에서 센싱 정책에 따라 패킷을 캡쳐한 후에 이를 외부로 송출하고, 패킷을 수집하거나 분석을 위해 필요한 데이터들을 저장한다.The sensor module 122 captures a packet from among the packets coming from the blocking module 121 according to a sensing policy and sends the packet to the outside, and stores data necessary for collecting or analyzing the packet.
분석 모듈(124)은 센서 모듈(122)에서 수집된 데이터들과 클라이언트 데이터베이스(130)에 저장된 탐지 정책을 비교하여 침입을 탐지하는 기능을 한다.The analysis module 124 compares the data collected by the sensor module 122 with a detection policy stored in the client database 130 to detect an intrusion.
사이버 순찰 에이전트 모듈(123)은 정책 서버(110)에서 전달된 정책들을 정책 클라이언트 시스템(120)에 맞는 형태로 변환시킨 후에 이를 클라이언트 데이터베이스에 저장시키고, 침입이 탐지되었을 경우에 경보 메시지를 정책 서버(110)에 전송하거나 패킷을 차단시키는 등의 대응 행동을 취한다.The cyber patrol agent module 123 converts the policies delivered from the policy server 110 into a form suitable for the policy client system 120 and stores them in the client database, and sends an alert message when an intrusion is detected. 110) or take a countermeasure such as blocking a packet.
정책 서버(110)에서 생성되는 탐지 정책, 차단 허용 정책, 센싱 정책, IP 보안 정책 및 경보 제어 정책을 수용할 수 있는 정책 정보 모델에 대한 설명은 첨부된 도면을 참조하여 설명한다.A description of the policy information model that can accommodate the detection policy, the block permission policy, the sensing policy, the IP security policy, and the alarm control policy generated by the policy server 110 will be described with reference to the accompanying drawings.
도 2a는 본 발명에 따른 탐지 규칙 객체 및 탐지 규칙 객체와 결합 관계를 갖는 패킷 모니터링 조건 객체를 나타내는 도면이고, 도 2b는 본 발명에서 패킷 모니터링 조건 객체들간의 결합 관계를 나타내는 도면이고, 도 2c는 본 발명에서 패킷 모니터링 조건 객체들 중 분열 패킷 조건 객체, 원 패킷 조건 객체 및 그 객체들과 결합 관계를 갖는 하위 조건 객체들을 나타내는 도면이고, 도 2d는 본 발명에서 분열 패킷 조건 객체 및 분열 패킷 조건 객체와 결합 관계를 갖는 조건 객체들을 나타내는 도면이고, 도 2e는 본 발명에서 페이로드 검사 조건 객체 및 페이로드 검사 조건 객체와 결합 관계를 가질 수 있는 객체들을 나타내는 도면이고, 도 2f는 본 발명에서 비교 조건 객체 및 비교 조건 객체와 결합 관계를 가질 수 있는 객체들을 나타내는 도면이고, 도 3은 본 발명에서 탐지 규칙 객체 및 탐지 규칙 객체와 결합 관계를 가질 수 있는 동작 객체들을 나타내는 도면이고, 도 4a는 본 발명에서 차단 허용 규칙 객체, 센싱 규칙 객체 및 그 객체들과 결합 관계를 가질 수 있는 조건 객체, 변수 객체, 값 객체를 나타내는 도면이고, 도 4b는 본 발명에서 차단 허용 규칙 객체 및 차단 허용 규칙 객체와 결합 관계를 가질 수 있는 동작 객체들을 나타내는 도면이고, 도 4c는 본 발명에서 센싱 규칙 객체 및 센싱 규칙 객체와 결합 관계를 가질 수 있는 동작 객체를 나타내는 도면이고, 도 5a는 본 발명에서 경보 제어 규칙 객체 및 경보 제어 규칙 객체와 결합 관계를 가질 수 있는 조건 객체, 변수 객체, 값 객체를 나타내는 도면이고, 도 5b는 본 발명에서 경보 제어 규칙의 비교 조건 객체에서 사용되는 명시적인 변수 객체의 속성 값을 나타내는 도면이고, 도 5c는 본 발명에서 경보 제어 규칙 객체 및 경보 제어 규칙 객체와 결합 관계를 가질 수 있는 동작 객체들을 나타내는 도면이고, 도 6a는 본 발명에서 IP 보안 규칙 객체 및 IP 보안 규칙 객체와 결합 관계를 가질 수 있는 조건 객체, 변수 객체, 값 객체를 나타내는 도면이고, 도 6b는 본 발명에서 IP 보안 규칙 객체 및 IP 보안 규칙 객체와 결합 관계를 가질 수 있는 동작 객체들을 나타내는 도면이고, 도 7은 본 발명에서 모든 규칙 객체 및 모든 규칙 객체들과 결합 관계를 가질 수 있는 시간 조건 객체를 나타내는 도면이다.FIG. 2A is a diagram illustrating a detection rule object and a packet monitoring condition object having a binding relationship with the detection rule object according to the present invention, FIG. 2B is a diagram illustrating a coupling relationship between packet monitoring condition objects in the present invention, and FIG. In the present invention, a fragment packet condition object, an original packet condition object, and subordinate condition objects having a coupling relationship with the objects among the packet monitoring condition objects are shown. FIG. 2D is a fragmented packet condition object and a fragmented packet condition object according to the present invention. 2E is a view showing condition objects having a coupling relationship with FIG. 2E is a diagram showing a payload checking condition object and objects that may have a coupling relationship with a payload checking condition object, and FIG. 2F is a comparison condition in the present invention. FIG. 3 is a diagram illustrating objects that may have a coupling relationship with an object and a comparison condition object. FIG. FIG. 4A is a diagram illustrating a detection rule object and an operation object that may have a binding relationship with the detection rule object, and FIG. 4A illustrates a blocking permission rule object, a sensing rule object, and a condition that may have a binding relationship with the objects in the present invention. FIG. 4B is a diagram illustrating an object, a variable object, and a value object. FIG. 4B is a diagram illustrating an operation object that may have a binding relationship with a block permission rule object and a block permission rule object in the present invention. FIG. 4C is a sensing rule object according to the present invention. And an operation object that may have a binding relationship with a sensing rule object, and FIG. 5A illustrates a condition object, a variable object, and a value object that may have a binding relationship with an alarm control rule object and an alarm control rule object in the present invention. 5B is a diagram of an explicit variable object used in a comparison condition object of an alarm control rule in the present invention. FIG. 5C is a diagram illustrating a surname value, and FIG. 5C is a diagram illustrating an operation object that may have a combined relationship with an alarm control rule object and an alarm control rule object in the present invention, and FIG. 6A is an IP security rule object and an IP security rule in the present invention. FIG. 6B is a diagram illustrating a condition object, a variable object, and a value object that may have a binding relationship with an object. FIG. 6B is a diagram illustrating an IP security rule object and an operation object that may have a binding relationship with an IP security rule object. FIG. 7 is a diagram illustrating all rule objects and time condition objects that may have a combined relationship with all rule objects in the present invention.
본 발명에 따른 정책 정보 모델은 정책 클라이언트 시스템(120)들간 송수신되는 패킷을 분석하여 침입을 탐지하는 탐지 규칙(210)과, 보안 시스템의 방화벽(121)에서 패킷을 차단하거나 허용하는 차단 허용 규칙(410)과, 네트워크를 통해 유입되는 패킷들 중에서 특정 패킷들만을 분석하기 위한 센싱 규칙(420)과, 여러 경보 메시지들을 축약하거나 결합하는 경보 제어 규칙(500)과, 정책 서버(110)와 클라이언트 시스템(120)간의 연결 보안을 위한 IP 보안 규칙(600)을 표현한다.The policy information model according to the present invention includes a detection rule 210 for detecting an intrusion by analyzing packets transmitted and received between the policy client systems 120, and a block permission rule for blocking or allowing a packet at the firewall 121 of the security system. 410, a sensing rule 420 for analyzing only specific packets among the packets flowing through the network, an alarm control rule 500 for shortening or combining various alarm messages, a policy server 110 and a client system. Represents an IP security rule 600 for connection security between 120.
도 2a에 도시된 바와 같이, 공격을 식별하기 위한 "AttackID" 속성을 가지는 탐지 규칙(210)은 패킷 모니터링 조건 객체(220)와 결합관계(211)를 갖으며, 패킷 모니터링 조건 객체(220)는 패킷의 흐름 방향을 표현하는 디렉션(direction) 속성을 가지며, 원 패킷 조건 객체(221), 반복 패킷 조건 객체(222), 리니어 패킷 조건 객체(223), 분열 패킷 조건 객체(224)로 정의된다.As shown in FIG. 2A, the detection rule 210 having the “AttackID” attribute for identifying the attack has a binding relationship 211 with the packet monitoring condition object 220, and the packet monitoring condition object 220 It has a direction attribute representing a flow direction of a packet, and is defined as an original packet condition object 221, a repetitive packet condition object 222, a linear packet condition object 223, and a split packet condition object 224.
도 2b에 도시된 바와 같이, 반복 패킷 조건 객체(222), 리니어 패킷 조건 객체(223) 또는 분열 패킷 조건 객체(224)는 적어도 하나 이상의 원 패킷 조건 객체(221)와 결합 관계(212)를 갖는다.As shown in FIG. 2B, the repeating packet condition object 222, the linear packet condition object 223, or the split packet condition object 224 has a binding relationship 212 with at least one original packet condition object 221. .
도 2c에 도시된 바와 같이, 분열 패킷 조건 객체(224), 원 패킷 조건 객체(221) 또는 복합 조건 객체(225)는 복합 조건 객체(225), 페이로드 검사 조건 객체(240) 및 비교 조건 객체(250)들 중에서 적어도 어느 하나 이상과 결합관계(213)를 갖는다.As shown in FIG. 2C, the split packet condition object 224, the original packet condition object 221, or the compound condition object 225 may be a compound condition object 225, a payload check condition object 240, and a comparison condition object. At least one of the 250 and the associated relationship (213).
분열 패킷 조건 객체(224)는, 도 2d에 도시된 바와 같이, 원 패킷 조건 객체(221), 반복 패킷 조건(222) 객체 또는 리니어 패킷 조건 객체(223)와 결합관계(214)를 갖는다. 페이로드 검사 조건 객체(240)는, 도 2e에 도시된 바와 같이, 페이로드 변수 객체(243) 또는 URI 페이로드 변수 객체(244)와 결합관계(241)를 갖고, 값 객체(245)와 결합 관계(242)를 갖는다.The split packet condition object 224 has a association relationship 214 with the original packet condition object 221, the repetitive packet condition 222 object or the linear packet condition object 223, as shown in FIG. 2D. The payload check condition object 240 has a binding relationship 241 with the payload variable object 243 or the URI payload variable object 244, as shown in FIG. 2E, and is associated with the value object 245. Has a relationship 242.
비교 조건 객체(250)는, 도 2f에 도시된 바와 같이, 변수 객체(260)와 결합관계(251)를 가지며, 변수 객체(260) 또는 값 객체(245)와 결합관계(252)를 갖는다.The comparison condition object 250 has a coupling relationship 251 with the variable object 260 and a coupling relationship 252 with the variable object 260 or the value object 245, as shown in FIG. 2F.
또한, 탐지 규칙(210)은, 도 3에 도시된 바와 같이, 경보 동작 객체(320), 메시지 전송 동작 객체(330), 세션 이벤트 로그 동작 객체(340) 또는 역추적 동작 객체(350)와 결합관계(310)를 갖는다. 경보 동작 객체(320)는 경보 메시지를 표현하는 "ShortDescription" 속성과 동일한 경보 동작이 발생할 수 있는 제한 시간을 표현하는 "BreakTimeInterval" 속성을 가지는 메시지 결합 동작(321), 메시지 저장 동작(322), 메시지 전시 동작(323), 윈도우 팝업 동작(324), 전송할 이메일 주소를 표현하는 "EmailAddresses" 속성을 가지는 이메일 전송 동작(325)으로 정의된다. 전송할 메시지를 표현하는 Message 속성을 가지는 메시지 전송 동작 객체(330)는 경고 메시지 전송 동작(331), TCP 연결 리셋 알림 동작(332), ICMP 도달 불가능 알림 동작(333)으로 정의된다.In addition, the detection rule 210 is combined with the alert action object 320, the message transfer action object 330, the session event log action object 340, or the traceback action object 350, as shown in FIG. 3. Has a relationship 310. The alert action object 320 has a message combining action 321, a message save action 322, a message having a "BreakTimeInterval" attribute representing a timeout for which an alert action may occur, such as the "ShortDescription" attribute representing an alert message. A display operation 323, a window pop-up operation 324, and an email sending operation 325 having an "EmailAddresses" attribute representing the email address to send. The message transmission operation object 330 having a Message attribute representing a message to be transmitted is defined as a warning message transmission operation 331, a TCP connection reset notification operation 332, and an ICMP unreachable notification operation 333.
도 4a에 도시된 바와 같이, 차단 허용 규칙(410)과 센싱 규칙(420)은 다섯 항목 조건 객체(440)와 결합관계(430)를 가지며, 다섯 항목 조건 객체(440)는 비교 조건 객체(250)와 다시 결합관계(450)를 갖는다. 비교 조건 객체(250)는 근원지 주소 변수(261), 목적지 주소 변수(262), 근원지 포트 변수(263), 목적지 포트 변수(264) 및 프로토콜 변수(265)의 다섯 변수 객체들 중에서 하나의 변수 객체와 결합 관계(251)를 가지며, 변수(260) 또는 값(245) 중에 어느 하나와 결합관계(252)를 갖는다.As shown in FIG. 4A, the blocking permission rule 410 and the sensing rule 420 have a relationship 430 with a five item condition object 440, and the five item condition object 440 is a comparison condition object 250. ) And has a coupling relationship 450 again. The comparison condition object 250 is one of five variable objects of the source address variable 261, the destination address variable 262, the source port variable 263, the destination port variable 264, and the protocol variable 265. Has a coupling relationship 251 with a coupling relationship 252 with either the variable 260 or the value 245.
다섯 항목 조건 객체(440)는 복합 조건으로 여러 비교 조건 객체(250)와 결합 관계(450)를 가질 수 있으며, 다섯 항목 조건 객체(440)와 결합되는 비교 조건 객체(250)들의 관계가 “AND” 또는 “OR”인지를 표현하는 “ConditionListType” 속성을 갖는다. 비교 조건 객체(250)는 자신과 결합된 두 객체들의 비교 연산을 의미하는 “Operator” 속성을 갖는다, The five item condition object 440 may have a coupling relationship 450 with several comparison condition objects 250 as a compound condition, and the relationship of the comparison condition objects 250 that are combined with the five item condition object 440 is “AND. It has a "ConditionListType" attribute that indicates whether it is "" or "OR". The comparison condition object 250 has an “Operator” property, which means a comparison operation of two objects associated with it.
도 4b에 도시된 바와 같이, 차단 허용 규칙(410)은 패킷 차단 동작(412), 패킷 허용 동작(413), 세션 차단 동작(414), 세션 허용 동작(415) 중에서 하나의 동작 객체와 결합관계(411)를 갖는다. 또한, 도 4c에 도시된 바와 같이 센싱 규칙(420)은 센싱 동작 객체(422)와 결합관계(421)를 갖는다. As shown in FIG. 4B, the blocking permission rule 410 is associated with one operation object among the packet blocking operation 412, the packet allowing operation 413, the session blocking operation 414, and the session permission operation 415. Has 411. In addition, as illustrated in FIG. 4C, the sensing rule 420 has a coupling relationship 421 with the sensing operation object 422.
도 5a에 도시된 바와 같이, 경보 제어 규칙(500)은 경보 측량 조건 객체(520)와 결합관계(510)를 갖으며, 경보 측량 조건 객체(520)는 비교 조건 객체(250)와 결합관계(530)를 갖는다. 비교 조건 객체(250)는 근원지 주소 변수(261), 목적지 주소 변수(262), 근원지 포트 변수(263), 목적지 포트 변수(264), 프로토콜 변수(265) 및 명시적인 변수(266)와 같은 변수 객체들 중 어느 하나의 변수 객체와 결합관계(251)를 갖고, 변수(260)와 값(245) 중 어느 하나와 또 하나의 결합관계(252)를 갖는다.As shown in FIG. 5A, the alarm control rule 500 has a coupling relationship 510 with an alarm survey condition object 520, and the alarm survey condition object 520 is associated with a comparison condition object 250. 530). Comparison condition object 250 is a variable such as source address variable 261, destination address variable 262, source port variable 263, destination port variable 264, protocol variable 265, and explicit variable 266. One of the objects has a coupling relationship 251 with a variable object, and one of the variables 260 and the value 245 has another coupling relationship 252.
명시적인 변수(266)는, 도 5b에 도시된 바와 같이, “DetectionRule”과 “AttackID”를 속성 값으로 갖는다. 경보 측량 조건(520)은 복합 조건으로써 여러 개의 비교 조건 객체(250)와 결합 관계(530)를 가질 수 있으며, 경보 측량 조건(520)과 결합된 비교 조건 객체(250)들의 관계가 “AND”또는 “OR”인지를 표현하는 “ConditionListType” 속성을 갖는다. The explicit variable 266 has "DetectionRule" and "AttackID" as attribute values, as shown in FIG. 5B. The alarm survey condition 520 may be a complex condition and may have a combination relationship 530 with multiple comparison condition objects 250, and the relationship of the comparison condition objects 250 combined with the alarm survey condition 520 is “AND”. Or a "ConditionListType" attribute that represents "OR".
도 5c에 도시된 바와 같이, 경보 제어 규칙(500)은 경보를 제어할 시간과 경보의 수를 표현하는 “AlertControlTime”, “AlertControlNumber” 속성을 갖는 경보 제어 동작 객체(550)와 결합관계(540)를 갖으며, 경보 제어 동작 객체(550)는 경보 축약 동작 객체(551)나 경보 결합 동작 객체(552)로 정의된다.As shown in FIG. 5C, the alert control rule 500 associates 540 with an alert control action object 550 having attributes "AlertControlTime" and "AlertControlNumber" representing the time and number of alerts to control the alert. The alarm control action object 550 is defined as an alarm abbreviation action object 551 or an alarm combination action object 552.
도 6a에 도시된 바와 같이, SPI를 표현하는 "SecurityPolicyIndex" 속성과 IP 보안 프로토콜을 설정할 시간을 표현하는 "IPsecTime" 속성을 갖는 IP 보안 규칙(600)은 안전한 연결 조건 객체(620)와 결합 관계(610)를 갖고, 안전한 연결 조건 객체(620)는 다수의 비교 조건 객체(250)들과 결합 관계(630)를 갖는다. 비교 조건 객체(250)는 근원지 주소 변수(261)나 목적지 주소 변수(262) 중 하나의 변수 객체와 결합 관계(251)를 갖고, 변수(260)나 값(245) 객체 중 하나의 객체와 결합 관계(252)를 갖는다. As shown in FIG. 6A, an IP security rule 600 having a "SecurityPolicyIndex" attribute representing an SPI and an "IPsecTime" attribute representing a time to set an IP security protocol is associated with a secure connection condition object 620. 610, the secure connection condition object 620 has a coupling relationship 630 with a number of comparison condition objects 250. The comparison condition object 250 has a join relationship 251 with one of the source address variable 261 or the destination address variable 262 and a join with one of the variable 260 or value 245 objects. Has a relationship 252.
도 6b에 도시된 바와 같이, IP 보안 규칙(600)은 전송 모드 동작 객체(651)나 터널 모드 동작 객체(652)와 결합 관계(640)를 갖고, 동작 객체(650)는 다시 IP 보안 제안 객체(670)와 다수의 결합 관계(660)를 가질 수 있다. IP 보안 제안 객체(670)는 AH 암호화 알고리즘을 표현하는 “AHTransformID” 속성을 가지는 AH 암호화 알고리즘 객체(691) 및 ESP 암호화 알고리즘을 표현하는 “IntegrityTransformID”, “CipherTransformID” 속성을 가지는 ESP 암호화 알고리즘 객체(692)들 중 어느 하나의 객체와 결합 관계(680)를 갖거나 두 개의 알고리즘 객체(690)들과 결합 관계(680)를 갖는다. As shown in FIG. 6B, the IP security rule 600 has a binding relationship 640 with the transport mode operation object 651 or the tunnel mode operation object 652, and the operation object 650 is again an IP security proposal object. 670 may have multiple coupling relationships 660. The IP security proposal object 670 is an AH encryption algorithm object 691 having an “AHTransformID” attribute representing an AH encryption algorithm and an ESP encryption algorithm object 692 having “IntegrityTransformID” and “CipherTransformID” attributes representing an ESP encryption algorithm. Have a coupling relationship 680 with any one of the objects, or have a coupling relationship 680 with two algorithm objects 690.
도 7에 도시된 바와 같이, 탐지 규칙(210), 차단 허용 규칙(410), 센싱 규칙(420), 경보 제어 규칙(500) 또는 IP 보안 규칙(600)는 시간 조건 객체(720)와 결합 관계(710)를 갖음으로써, 특정 시간 동안 정책을 활성화시킬 수 있다.As shown in FIG. 7, the detection rule 210, the block allow rule 410, the sensing rule 420, the alarm control rule 500, or the IP security rule 600 are associated with the time condition object 720. By having 710, the policy can be activated for a certain time.
본 발명에 따른 정책 정보 모델을 이용하여 다수의 정책들을 표현하는데 이용할 수 있으며, 첨부한 도면을 통해 정책 정보 모델을 이용한 실시 예를 설명한다. 도 8은 본 발명의 실시 예에 따른 차단 허용 규칙을 구성하는 객체들을 UML로 표현한 도면이고, 도 9는 본 발명의 바람직한 실시 예에 따른 경보 제어 규칙을 구성하는 객체들을 UML로 표현한 도면이고, 도 10은 본 발명의 바람직한 실시 예에 따른 IP 보안 규칙을 구성하는 객체들을 UML로 표현한 도면이다.The policy information model according to the present invention can be used to express a plurality of policies, and an embodiment using the policy information model will be described with reference to the accompanying drawings. FIG. 8 is a diagram illustrating objects configuring a block permission rule according to an embodiment of the present invention in UML, FIG. 9 is a diagram representing objects configuring an alarm control rule according to an embodiment of the present invention, in UML. FIG. 10 is a diagram illustrating objects configuring IP security rules in UML according to an embodiment of the present invention.
도 8에 도시된 바와 같이, 차단 허용 정책(410)은 2002년 10월 1일부터 2002년 10월 2일 까지 9시부터 19시까지 패킷의 근원지 주소가 "129.254.110.23"이고, 목적지 포트 번호가 80이면 패킷을 차단하라는 것을 표현하고 있다. As shown in FIG. 8, the block permission policy 410 has a source address of "129.254.110.23" from 9 o'clock to 19:00 from October 1, 2002 to October 2, 2002, and a destination port number. Is 80 indicates to block the packet.
보다 상세하게 설명하면, 차단 허용 규칙(410)의 속성 “RuleID”가 20005인 것을 포함하여 차단 허용 규칙(410)의 속성들을 가지는 차단 허용 규칙(410)에 대한 클래스는 “BlockPermitRule”이고, 차단 허용 규칙(410)이 동작을 취하게 되는 근거가 되는 조건 객체(440)에 대한 클래스는 “FiveTupleCondition이고, 하위 비교 조건 객체들과의 조합 관계를 표현하는 속성은 “ConditionListType”이고, 변수와 값의 비교 조건 객체(250)에 대한 클래스는“PolicyVariableValueComparisonCondition”이고, 변수와 값의 비교 연산자를 의미하는 속성은 "Operator"이고, 근원지 주소를 의미하는 변수(261)에 대한 클래스는 “PolicySourceIPv4AddressVariable”이고, 근원지 주소의 값(245)에 대한 값 클래스는 “PolicyIPv4AddrValue”이고, 목적지 포트 번호를 의미하는 변수(264)에 대한 클래스는 “PolicyDestinationPortVariable”이고, 목적지 포트 번호의 값을 의미하는 값(245)에 대한 클래스는“PolicyIntegerValue”이며, 패킷을 차단하는 동작을 의미하는 동작(412)에 대한 클래스는 “PolicyPacketBlockAction”이고, 정책의 활성화 시간을 의미하는 시간 조건(720)에 대한 클래스는 “PolicyTimePeriodCondition”이다.More specifically, the class for the block permission rule 410 having the properties of the block permission rule 410 including the property “RuleID” of the block permission rule 410 is 20005 is “BlockPermitRule”, and the block permission is allowed. The class for the condition object 440 on which the rule 410 takes action is “FiveTupleCondition,” and the property representing the associative relationship with the lower comparison condition objects is “ConditionListType”. The class for the condition object 250 is “PolicyVariableValueComparisonCondition”, the property representing the comparison operator of the variable and the value is “Operator”, the class for the variable 261 representing the source address is “PolicySourceIPv4AddressVariable” and the source address The value class for the value of 245 is “PolicyIPv4AddrValue”, and the class for the variable 264 that represents the destination port number is “PolicyDestinationPortVariabl. e ”, the class for the value 245, which represents the value of the destination port number, is“ PolicyIntegerValue ”, and the class for the action 412, meaning the operation of blocking the packet, is“ PolicyPacketBlockAction ”, and the activation time of the policy. The class for the time condition 720 that means "PolicyTimePeriodCondition".
경보 제어 규칙(500)은, 도 9에 도시된 바와 같이, 근원지 주소가 "129.254.110.23"이고, 탐지 규칙의 “AttackID”가 30092번인 경보에 대해 3초 동안 10개의 경보를 축약하라는 것을 표현하고 있다.The alert control rule 500 expresses that 10 alerts should be abbreviated for 3 seconds for an alert whose source address is "129.254.110.23" and the "AttackID" of the detection rule is 30092, as shown in FIG. have.
IP 보안 규칙(600)은, 도 10에 도시된 바와 같이, 근원지 주소가 "129.254.246.123"이고, 목적지 주소가 "129.254.246.124"인 연결에 대해 오퍼레이션 모드를 “Transport”로 설정하고 AH 보안 프로토콜을 사용하며, MD5 알고리즘을 이용하여 암호화함으로써 안전한 연결을 설정하는 것을 표현하고 있다.IP security rule 600, as shown in FIG. 10, sets the operation mode to “Transport” and the AH security protocol for connections with a source address of “129.254.246.123” and a destination address of “129.254.246.124”. It represents the establishment of a secure connection by encrypting using MD5 algorithm.
이상 설명한 바와 같이, 본 발명은 이질 정책 클라이언트 시스템들을 포함하는 정책 기반의 네트워크 시스템에서 사용되는 정책들에 대한 정책 정보 모델을 정의함으로써, 다양한 종류의 정책 클라이언트 시스템들에서 사용되는 탐지 정책, 차단 정책, 센싱 정책, IP 보안 정책, 경보 제어 정책을 수용할 수 있다.As described above, the present invention defines a policy information model for policies used in a policy-based network system including heterogeneous policy client systems, whereby a detection policy, a blocking policy, It can accept sensing policy, IP security policy, and alarm control policy.
또한, 본 발명은 정책 정보 모델을 통해 정책 전달을 위한 PIB 구조, 정책 저장을 위한 정책 데이터베이스의 스키마, 정책 제어 및 관리를 위한 정책 관리 도구의 동작 구조를 정의하는 작업의 효율성을 높일 수 있다.In addition, the present invention can improve the efficiency of the operation of defining the PIB structure for policy delivery, the schema of the policy database for policy storage, the operation structure of the policy management tool for policy control and management through the policy information model.
도 1은 본 발명에 따른 보안 정책 정보 모델이 표현하는 정책이 사용되는 정책 기반 네트워크 보안 시스템의 정책 서버와 정책 클라이언트의 세부 기능을 도시한 모듈 구성도이고,1 is a module configuration diagram illustrating detailed functions of a policy server and a policy client of a policy-based network security system using a policy represented by a security policy information model according to the present invention.
도 2a는 본 발명에 따른 탐지 규칙 객체 및 탐지 규칙 객체와 결합 관계를 갖는 패킷 모니터링 조건 객체를 나타내는 도면이고, 2A illustrates a packet monitoring condition object having a binding relationship with a detection rule object and a detection rule object according to the present invention;
도 2b는 본 발명에서 패킷 모니터링 조건 객체들간의 결합 관계를 나타내는 도면이고, 2B is a diagram illustrating a coupling relationship between packet monitoring condition objects in the present invention.
도 2c는 본 발명에서 패킷 모니터링 조건 객체들 중 분열 패킷 조건 객체, 원 패킷 조건 객체 및 그 객체들과 결합 관계를 갖는 하위 조건 객체들을 나타내는 도면이고, FIG. 2C is a diagram illustrating a fragmented packet condition object, an original packet condition object, and subordinate condition objects having a coupling relationship with the objects among the packet monitoring condition objects in the present invention.
도 2d는 본 발명에서 분열 패킷 조건 객체 및 분열 패킷 조건 객체와 결합 관계를 갖는 조건 객체들을 나타내는 도면이고,FIG. 2D is a diagram illustrating a split packet condition object and condition objects having a coupling relationship with the split packet condition object in the present invention.
도 2e는 본 발명에서 페이로드 검사 조건 객체 및 페이로드 검사 조건 객체와 결합 관계를 가질 수 있는 객체들을 나타내는 도면이고,2E is a diagram illustrating objects that may have a coupling relationship with a payload check condition object and a payload check condition object in the present invention,
도 2f는 본 발명에서 비교 조건 객체 및 비교 조건 객체와 결합 관계를 가질 수 있는 객체들을 나타내는 도면이고,FIG. 2F is a diagram illustrating objects that may have a coupling relationship with a comparison condition object and a comparison condition object in the present invention.
도 3은 본 발명에서 탐지 규칙 객체 및 탐지 규칙 객체와 결합 관계를 가질 수 있는 동작 객체들을 나타내는 도면이고,3 is a diagram illustrating a detection rule object and operation objects that may have a binding relationship with the detection rule object in the present invention,
도 4a는 본 발명에서 차단 허용 규칙 객체, 센싱 규칙 객체 및 그 객체들과 결합 관계를 가질 수 있는 조건 객체, 변수 객체, 값 객체를 나타내는 도면이고, 4A is a view illustrating a block permission rule object, a sensing rule object, and a condition object, a variable object, and a value object that may have a binding relationship with the objects in the present invention.
도 4b는 본 발명에서 차단 허용 규칙 객체 및 차단 허용 규칙 객체와 결합 관계를 가질 수 있는 동작 객체들을 나타내는 도면이고, FIG. 4B is a diagram illustrating operation objects that may have a binding relationship with a block permission rule object and a block permission rule object in the present invention.
도 4c는 본 발명에서 센싱 규칙 객체 및 센싱 규칙 객체와 결합 관계를 가질 수 있는 동작 객체를 나타내는 도면이고, 4C is a diagram illustrating a sensing rule object and an operation object that may have a binding relationship with the sensing rule object.
도 5a는 본 발명에서 경보 제어 규칙 객체 및 경보 제어 규칙 객체와 결합 관계를 가질 수 있는 조건 객체, 변수 객체, 값 객체를 나타내는 도면이고,FIG. 5A illustrates a condition object, a variable object, and a value object that may have a binding relationship with an alarm control rule object and an alarm control rule object in the present invention.
도 5b는 본 발명에서 경보 제어 규칙의 비교 조건 객체에서 사용되는 명시적인 변수 객체의 속성 값을 나타내는 도면이고,FIG. 5B is a diagram illustrating attribute values of explicit variable objects used in comparison condition objects of alarm control rules in the present invention.
도 5c는 본 발명에서 경보 제어 규칙 객체 및 경보 제어 규칙 객체와 결합 관계를 가질 수 있는 동작 객체들을 나타내는 도면이고,FIG. 5C is a diagram illustrating operation objects that may have a binding relationship with an alarm control rule object and an alarm control rule object in the present invention;
도 6a는 본 발명에서 IP 보안 규칙 객체 및 IP 보안 규칙 객체와 결합 관계를 가질 수 있는 조건 객체, 변수 객체, 값 객체를 나타내는 도면이고,6A is a diagram illustrating a condition object, a variable object, and a value object that may have a binding relationship with an IP security rule object and an IP security rule object in the present invention.
도 6b는 본 발명에서 IP 보안 규칙 객체 및 IP 보안 규칙 객체와 결합 관계를 가질 수 있는 동작 객체들을 나타내는 도면이고,FIG. 6B is a diagram illustrating operation objects that may have a binding relationship with an IP security rule object and an IP security rule object in the present invention.
도 7은 본 발명에서 모든 규칙 객체 및 모든 규칙 객체들과 결합 관계를 가질 수 있는 시간 조건 객체를 나타내는 도면이고,7 is a view showing a time condition object that may have a binding relationship with all rule objects and all rule objects in the present invention,
도 8은 본 발명의 실시 예에 따른 차단 허용 규칙을 구성하는 객체들을 UML로 표현한 도면이고,8 is a diagram illustrating objects constituting a block permission rule according to an embodiment of the present invention in UML,
도 9는 본 발명의 바람직한 실시 예에 따른 경보 차단 규칙을 구성하는 객체들을 UML로 표현한 도면이고,9 is a diagram illustrating objects constituting the alarm blocking rule in UML according to an embodiment of the present invention.
도 10은 본 발명의 바람직한 실시 예에 따른 IP 보안 규칙을 구성하는 객체들을 UML로 표현한 도면이다.FIG. 10 is a diagram illustrating objects configuring IP security rules in UML according to an embodiment of the present invention.
<도면의 주요부분에 대한 부호의 설명><Description of the code | symbol about the principal part of drawing>
110 : 정책 서버 111 : 정책 관리 모듈110: Policy Server 111: Policy Management Module
112 : 정책 결정 모듈 113 : 상위 레벨 분석 모듈112: Policy Decision Module 113: High Level Analysis Module
114 : 경보 관리 모듈 115 : LDAP114: alarm management module 115: LDAP
116 : COPS 120 : 정책 클라이언트 시스템116: COPS 120: Policy Client System
121 : 차단 모듈 122 : 센스 모듈121: blocking module 122: sense module
123 : 사이버 순찰 에이전트 124 : 분석 모듈123: Cyber Patrol Agent 124: Analysis Module
130 : 클라이언트 데이터베이스 140 : 정책 저장소130: Client Database 140: Policy Store
150 : 경보 데이터베이스 160 : 뷰어150: alarm database 160: viewer
170 : IPsec 채널170: IPsec channel
Claims (37)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2002-0082207A KR100490728B1 (en) | 2002-12-21 | 2002-12-21 | Information model for security policy in policy-based network security system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2002-0082207A KR100490728B1 (en) | 2002-12-21 | 2002-12-21 | Information model for security policy in policy-based network security system |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20040055513A KR20040055513A (en) | 2004-06-26 |
KR100490728B1 true KR100490728B1 (en) | 2005-05-24 |
Family
ID=37348183
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR10-2002-0082207A KR100490728B1 (en) | 2002-12-21 | 2002-12-21 | Information model for security policy in policy-based network security system |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100490728B1 (en) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100502079B1 (en) * | 2003-08-27 | 2005-07-25 | 한국전자통신연구원 | Alert traffic control approach for security management system in wide area network |
CN100362803C (en) * | 2004-10-15 | 2008-01-16 | 华中科技大学 | Network safety warning system based on cluster and relavance |
KR100785804B1 (en) * | 2005-12-02 | 2007-12-13 | 한국전자통신연구원 | Intrusion blocking policy enforcement apparatus and method in router hardware platform |
KR100833973B1 (en) * | 2006-08-14 | 2008-05-30 | 전남대학교산학협력단 | Meta access control system |
KR101504936B1 (en) * | 2013-12-30 | 2015-03-23 | 주식회사 시큐아이 | Proxy device and packet transmission method thereof |
KR102260273B1 (en) * | 2019-12-12 | 2021-06-03 | 한국과학기술정보연구원 | Apparatus for visualizing security policy information, method thereof, and storage medium for storing a program visualizing security policy information |
-
2002
- 2002-12-21 KR KR10-2002-0082207A patent/KR100490728B1/en not_active IP Right Cessation
Also Published As
Publication number | Publication date |
---|---|
KR20040055513A (en) | 2004-06-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7401145B2 (en) | In-line mode network intrusion detect and prevent system and method thereof | |
US7644151B2 (en) | Network service zone locking | |
US20040146006A1 (en) | System and method for internal network data traffic control | |
US7895326B2 (en) | Network service zone locking | |
CA2470294C (en) | Network service zone locking | |
US6708212B2 (en) | Network surveillance | |
US7512980B2 (en) | Packet sampling flow-based detection of network intrusions | |
US7475426B2 (en) | Flow-based detection of network intrusions | |
US7185368B2 (en) | Flow-based detection of network intrusions | |
US9077692B1 (en) | Blocking unidentified encrypted communication sessions | |
US8046833B2 (en) | Intrusion event correlation with network discovery information | |
US8301771B2 (en) | Methods, systems, and computer program products for transmission control of sensitive application-layer data | |
US8176544B2 (en) | Network security system having a device profiler communicatively coupled to a traffic monitor | |
US7475420B1 (en) | Detecting network proxies through observation of symmetric relationships | |
AU2002230541A1 (en) | Flow-based detection of network intrusions | |
US7099940B2 (en) | System, method and computer program product for processing network accounting information | |
US7596808B1 (en) | Zero hop algorithm for network threat identification and mitigation | |
KR100490728B1 (en) | Information model for security policy in policy-based network security system | |
US9298175B2 (en) | Method for detecting abnormal traffic on control system protocol | |
KR100446816B1 (en) | Network for integrated security management service | |
US10728040B1 (en) | Connection-based network behavioral anomaly detection system and method | |
Mullarkey et al. | Discovering anomalous behavior in large networked systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20110511 Year of fee payment: 7 |
|
LAPS | Lapse due to unpaid annual fee |