KR100599929B1 - Method for Data Process of Agent Layer of ISM System - Google Patents

Method for Data Process of Agent Layer of ISM System Download PDF

Info

Publication number
KR100599929B1
KR100599929B1 KR1020040037477A KR20040037477A KR100599929B1 KR 100599929 B1 KR100599929 B1 KR 100599929B1 KR 1020040037477 A KR1020040037477 A KR 1020040037477A KR 20040037477 A KR20040037477 A KR 20040037477A KR 100599929 B1 KR100599929 B1 KR 100599929B1
Authority
KR
South Korea
Prior art keywords
agent
information
message
resource information
security management
Prior art date
Application number
KR1020040037477A
Other languages
Korean (ko)
Other versions
KR20050112403A (en
Inventor
문재웅
김성배
Original Assignee
주식회사 제이컴정보
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 제이컴정보 filed Critical 주식회사 제이컴정보
Priority to KR1020040037477A priority Critical patent/KR100599929B1/en
Publication of KR20050112403A publication Critical patent/KR20050112403A/en
Application granted granted Critical
Publication of KR100599929B1 publication Critical patent/KR100599929B1/en

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B26HAND CUTTING TOOLS; CUTTING; SEVERING
    • B26BHAND-HELD CUTTING TOOLS NOT OTHERWISE PROVIDED FOR
    • B26B21/00Razors of the open or knife type; Safety razors or other shaving implements of the planing type; Hair-trimming devices involving a razor-blade; Equipment therefor
    • B26B21/08Razors of the open or knife type; Safety razors or other shaving implements of the planing type; Hair-trimming devices involving a razor-blade; Equipment therefor involving changeable blades
    • B26B21/10Safety razors with one or more blades arranged longitudinally to the handle
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B26HAND CUTTING TOOLS; CUTTING; SEVERING
    • B26BHAND-HELD CUTTING TOOLS NOT OTHERWISE PROVIDED FOR
    • B26B21/00Razors of the open or knife type; Safety razors or other shaving implements of the planing type; Hair-trimming devices involving a razor-blade; Equipment therefor
    • B26B21/40Details or accessories
    • B26B21/4012Housing details, e.g. for cartridges
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B26HAND CUTTING TOOLS; CUTTING; SEVERING
    • B26BHAND-HELD CUTTING TOOLS NOT OTHERWISE PROVIDED FOR
    • B26B21/00Razors of the open or knife type; Safety razors or other shaving implements of the planing type; Hair-trimming devices involving a razor-blade; Equipment therefor
    • B26B21/40Details or accessories
    • B26B21/4062Actuating members, e.g. switches or control knobs; Adjustments

Landscapes

  • Life Sciences & Earth Sciences (AREA)
  • Forests & Forestry (AREA)
  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 지능형통합보안관리시스템의 에이전트계층 데이터처리방법에 관한 것으로서, 그 목적은 개별적인 보안시스템 에이전트를 통해 자원정보수집, 로그정보 수집/변환/분석, 경보내역을 발생하여 매니저서버와 관리콘솔로 전송하여 모니터링하는 에이전트에 의한 통합정보 보안관리방법에 있어서, 각 시스템에 자원정보 에이전트 식별개체를 생성하는 과정, 자원정보 에이전트 전송객체를 생성하는 과정, 각 시스템의 자원 호출정보 설정 및 경보발령 정보를 설정하는 과정, 각 시스템으로부터의 전송된 메시지를 수신 대기하는 과정, 메시지 수신대기 중 소정의 시스템의 각 자원정보 객체를 생성 초기화하는 과정, 각 시스템의 전송객체에 의한 로그수집 메시지를 분석하여 매니저서버로 전송하는 과정, 각 시스템의 로그정보 메시지는 신규로그 구분정보를 생성하는 과정, 매니저서버에서 재설정 명령에 따라 변경된 자동실행 명령을 설정하는 과정을 포함하여 이루어진 것을 특징으로 한다.The present invention relates to an agent layer data processing method of an intelligent integrated security management system, the purpose of which is to collect resource information, log information collection / conversion / analysis, alarm history through a separate security system agent manager and management console In the integrated information security management method by the agent transmitting and monitoring, the process of creating a resource information agent identification object in each system, the process of creating a resource information agent transmission object, resource call information setting of each system and alarm alert information Setting, waiting for a message sent from each system, creating and initializing each resource information object of a given system among waiting for receiving a message, and analyzing a log collection message by a sending object of each system. Process, the log information message of each system is newly Generating a sorting information, including a process for setting the automatic execution command is changed according to the reset command from the manager server is characterized in that is made.

ISM, 지능형통합보안관리시스템, 자원정보, 자동실행명령, 파일로그, 에이전트, 매니저서버,ISM, intelligent integrated security management system, resource information, automatic execution command, file log, agent, manager server,

Description

지능형통합보안관리시스템의 에이전트계층 데이터처리방법 {Method for Data Process of Agent Layer of ISM System}Agent layer data processing method of intelligent integrated security management system {Method for Data Process of Agent Layer of ISM System}

도 1은 본 발명을 구현하기 위한 지능형통합보안관리시스템의 에이전트계층 데이터처리 시스템도이고,1 is an agent layer data processing system diagram of an intelligent integrated security management system for implementing the present invention,

도 2는 본 발명의 실시예에 따른 지능형통합보안관리시스템의 자원정보 에이전트 데이터처리 과정의 흐름도이고,2 is a flowchart of a resource information agent data processing process of the intelligent integrated security management system according to an embodiment of the present invention,

도 3은 본 발명의 실시예에 따른 지능형통합보안관리시스템의 자동실행명령 에이전트의 데이터처리 과정의 흐름도이고,3 is a flowchart of a data processing process of an auto-execution command agent of an intelligent integrated security management system according to an embodiment of the present invention,

도 4는 본 발명의 실시예에 따른 지능형통합보안관리시스템의 파일로그 에이전트 데이터처리 과정의 흐름도이다.4 is a flowchart of a filelog agent data processing process of an intelligent integrated security management system according to an embodiment of the present invention.

< 도면의 주요부분에 대한 부호의 설명 ><Description of Symbols for Major Parts of Drawings>

101 : 방화벽시스템 102 : 공개보안도구시스템101: firewall system 102: public security tool system

103 : IDS시스템 110 : 에이전트계층103: IDS system 110: agent layer

121, 122 : 라우터시스템 130 : 프록시에이전트서버121, 122: router system 130: proxy agent server

200 : 매니저서버200: manager server

본 발명은 지능형통합보안관리(Intelligent Enterprise Security Management : 이하 'ISM'이라 약칭함)시스템에 관한 것으로서, 보다 상세하게는 하나의 모듈로 구성되어 각종 보안장비가 탑재되어 있는 시스템으로부터 시스템 자원정보, 사용현황 및 상태정보 및 보안소프트웨어가 발생시키는 로그를 수집하거나, 에이전트 모듈이 탑재되지 않는 라우터나 일체형 장비의 자원정보 및 보안 이벤트 로그를 수집 및 매니저(Manager)와 콘솔(Consol)로 전송하며, 로그수집, 필터, 축약, 경보, 시나리오룰(Rule)을 매니저로부터 전송받는 ISM시스템의 에이전트계층 데이터처리방법 및 장치에 관한 것이다.The present invention relates to an intelligent enterprise security management (hereinafter, referred to as 'ISM') system, and more specifically, system resource information and use from a system in which various security devices are configured by a single module. Collects logs generated by status and status information and security software, collects resource information and security event logs of routers or all-in-one devices that do not have agent modules, and transmits them to Manager and Console, and collects logs. The present invention relates to an agent layer data processing method and apparatus of an ISM system that receives a filter, an abbreviation, an alarm, and a scenario rule from a manager.

일반적으로 방화벽, 침입탐지시스템, 가상 사설망 등의 보안 솔루션을 하나로 모은 통합 보안 관리 시스템. 최근 기업 보안 관리(ESM : Enterprise Security Management)는 통합 관리 수준에서 벗어나 시스템 자원 관리(SMS : System Management System), 망 관리 시스템(NMS : Network Management System) 등 기업 자원 관리 시스템까지 확대, 개발되고 있다. 상기 ESM은 기업들이 서로 다른 기종의 보안 솔루션 설치에 따른 중복 투자, 자원 낭비를 줄일 수 있으며, 솔루션 간 상호 연동을 통해 전체 정보 통신 시스템에 대한 보안 정책을 수립할 수 있다는 장점이 있다. An integrated security management system that generally combines security solutions such as firewalls, intrusion detection systems, and virtual private networks. Recently, enterprise security management (ESM) has been developed and expanded from the integrated management level to enterprise resource management systems such as system resource management (SMS) and network management system (NMS). The ESM has the advantage that companies can reduce redundant investment and waste of resources due to the installation of different types of security solutions, and can establish a security policy for the entire information communication system through interoperation between the solutions.

상기 보안 솔루션의 하나로 침입탐지시스템은 네트워크 환경에서 침입 또는 허락되지 않은 프로세스를 탐지하는 시스템으로서 탐지되는 패턴에 따라 위험도를 분류하여 탐지결과를 관리자에게 경보하게 된다.As one of the security solutions, the intrusion detection system is a system for detecting intrusion or unauthorized processes in a network environment, and classifies risks according to a detected pattern to alert an administrator to a detection result.

그러나 이러한 침입탐지시스템은 그 제조사별로 탐지 패턴 또는 위험도 정의기준 탐지패턴의 분류 등의 종류가 다양하므로 관리자에게 보고된 탐지결과가 정확하지 않아 혼란을 초래하는 문제점이 있었다.However, these intrusion detection systems have a variety of types of detection patterns or classification of risk definition criteria detection patterns for each manufacturer, so that the detection results reported to the administrator are not accurate and cause confusion.

따라서, 대규모의 전사적 보안관리를 위하여 다양한 종류의 침입탐지시스템이 함께 사용될 경우, 동일한 침입패턴에 대하여 각 침입탐지시스템은 서로 상이한 결과를 보여주며, 이러한 로그를 분석하는 작업을 통해 보안관리를 수행하게 된다. Therefore, when various types of intrusion detection systems are used together for large-scale enterprise-wide security management, each intrusion detection system shows different results for the same intrusion pattern, and the security management is performed by analyzing these logs. do.

다양한 침입탐지시스템에서 생성된 로그의 분석은 먼저 로그별로 카테고리를 나누고 이에 따른 위험도를 재 정의하여 정의된 위험도와 카테고리를 일일이 수작업으로 비교하는 과정을 통해 이루어진다. The analysis of logs generated by various intrusion detection systems is performed by first dividing the categories by logs and redefining the risks, and manually comparing the defined risks and categories.

그러나 짧은 시간에 수 천 내지 수 만개의 이벤트 로그가 발생되는 상황에서 이러한 작업을 수작업으로 하는 것은 거의 불가능하며, 나아가 신속성이 중요한 요소인 보안관리에 있어서 이러한 문제점은 더욱 심각하다. However, it is almost impossible to do these tasks manually in a situation where tens of thousands to tens of thousands of event logs are generated in a short time. Furthermore, this problem is more serious in security management, in which speed is an important factor.

따라서 이러한 문제점으로 인해 실질적으로 다양한 침입탐지시스템을 사용하여 일관된 위험관리를 행하고 통합적인 보안 관리를 수행하는 것은 사실상 불가능하며, 나아가 다양한 고객을 상대로 통합보안관리 서비스를 제공하는 것 또한 불가능한 문제점이 있었다.Therefore, due to these problems, it is virtually impossible to perform consistent risk management and comprehensive security management using various intrusion detection systems, and it is also impossible to provide integrated security management services to various customers.

또한, 종래기술에 따른 ESM은 통합 보안관리를 위한 보안정책을 수립하고 수립된 보안정책에 따라 시스템을 구현하며, 이를 모니터링 하거나 신속하고 효과적인 조치를 위해 각종 경보 기능을 제공하는 등 일련의 워크플로우를 일관되게 지원하도록 한 것이다. In addition, the ESM according to the prior art establishes a security policy for integrated security management, implements a system according to the established security policy, and monitors this or provides a series of workflow functions such as providing various alarm functions for quick and effective actions. It is to be consistently supported.

이와 같은 ESM은 침입차단시스템, 침입탐지시스템, 취약점분석시스템, 안티바이러스 시스템, 서버보안 시스템 등 개별적인 보안 장비들의 모니터링을 위해서 드는 자원 및 인력의 손실을 방지하기 위해, 중앙에서 통합하여 보안 현황을 모니터링 함으로써, 집중화 된 보안 관리를 구현하는 시스템으로, 그 기능은 단위 보안장비에 대한 보안관리, 보안위협에 대한 경보시스템, 3계층구조에 의한 처리 시스템 기능을 구현하게 된다.Such ESM monitors the security status by integrating centrally to prevent loss of resources and manpower for monitoring individual security equipment such as intrusion prevention system, intrusion detection system, vulnerability analysis system, antivirus system, and server security system. By doing so, it is a system that implements centralized security management. Its function is to implement security management for unit security equipment, alarm system for security threat, and processing system function by three-layer structure.

그러나, 이와 같은 종래기술에 따른 ESM은 에이전트 관리시 단순상태관리만 가능하며, 멀티계층, 다중장비(MMD), 자산관리(ISMD) 등의 위협에 대응하는 기능을 지원하지 않으며, 침해에 대한 대응도 실시간으로 자동 대응하는 기능이 없고, 기술적, 관리적 조치사항도 지원하지 못하고 있다. 또한 장애관리(Fault Tolerance)에 대하여 기능을 지원하지 못하는 문제점이 있었다.However, the ESM according to the related art is capable of simple state management only when managing agents, does not support the functions of responding to threats such as multi-layer, multi-device (MMD) and asset management (ISMD), and responds to infringement. Also, there is no automatic response function in real time, and technical and administrative measures are not supported. In addition, there was a problem that can not support the function for the fault management (Fault Tolerance).

본 발명은 상기한 종래기술의 제반 문제점을 해결하기 위한 것으로, 그 목적은 하나의 모듈로 구성되어 각종 보안장비가 탑재되어 있는 시스템으로부터 시스템 자원정보, 사용현황 및 상태정보 및 보안소프트웨어가 발생시키는 로그를 수집하거나, 에이전트 모듈이 탑재되지 않는 라우터나 일체형 장비의 자원정보 및 보안 이벤트 로그를 수집 및 매니저(Manager)와 콘솔(Consol)로 전송하며, 로그수집, 필터, 축약, 경보, 시나리오룰(Rule)을 매니저로부터 전송받는 ISM시스템의 에이전트계층 데이터처리방법을 제공함에 있다.The present invention is to solve the above-mentioned problems of the prior art, the purpose of which is composed of a single module, the system resource information, usage status and status information and the log generated by the security software from a system equipped with various security equipment Collect or transmit resource information and security event log of router or all-in-one device that is not equipped with agent module to Manager and Console, and collect log, filter, abbreviation, alarm, scenario rule ) Provides an agent layer data processing method of an ISM system receiving a) from a manager.

본 발명의 목적을 달성하기 위한 본 발명에 따른 ISM시스템의 에이전트계층 데이터처리과정은 침입차단시스템, 침입탐지시스템, 취약점분석시스템, 안티바이러스 시스템, 서버보안시스템을 포함한 개별적인 보안시스템들로부터 에이전트를 통해 자원정보수집, 로그정보 수집/변환/분석, 경보내역을 발생하여 매니저서버와 관리콘솔로 전송하여 모니터링하는 에이전트에 의한 통합정보 보안관리방법에 있어서, 상기 각 시스템에 자원정보 에이전트 식별개체를 생성하는 제 1 과정과, 상기 자원정보 에이전트 전송객체를 생성하는 제 2 과정과, 상기 각 시스템의 자원 호출정보 설정 및 경보발령 정보를 설정하는 제 3 과정과, 상기 각 시스템으로부터의 전송된 메시지를 수신 대기하는 제 4 과정과, 상기 메시지 수신대기 중 소정의 시스템의 각 자원정보 객체를 생성 초기화하는 제 5 과정과, 상기 각 시스템의 전송객체에 의한 로그수집 메시지에서 자원정보를 추출하여 정규화한 후 정규화된 자원정보를 필터링하여 경보발령 정보를 추출하여 매니저서버로 전송하는 제 6 과정과, 상기 각 시스템의 로그정보 메시지는 신규로그 구분정보를 생성하는 제 7 과정과, 상기 매니저서버에서 재설정 명령에 따라 변경된 자동실행 명령을 설정하는 제 8 과정을 포함하여 이루어진 것을 특징으로 한다.Agent layer data processing of the ISM system according to the present invention for achieving the object of the present invention through the agent from the individual security systems, including intrusion prevention system, intrusion detection system, vulnerability analysis system, antivirus system, server security system An integrated information security management method by an agent for collecting resource information, collecting / converting / analyzing log information, generating alarm history, and transmitting the generated alarm information to a manager server and a management console, wherein the resource information agent identification object is generated in each system. A first process, a second process of generating the resource information agent transmission object, a third process of setting resource call information setting and alarm initiation information of each system, and receiving a message transmitted from each system The fourth step of performing the process and each resource information of a predetermined system A fifth step of generating and initializing the object; and extracting and normalizing resource information from log collection messages of the transmission objects of the respective systems, filtering the normalized resource information, and extracting alarm triggering information to transmit to the manager server. And the log information message of each system includes a seventh step of generating new log classification information and an eighth step of setting an automatic execution command changed according to a reset command in the manager server.

본 발명의 목적을 달성하기 위한 다른 방법은 침입차단시스템, 침입탐지시스템, 취약점분석시스템, 안티바이러스 시스템, 서버보안시스템을 포함한 개별적인 보안시스템들로부터 다양한 에이전트 모듈을 통해 자원정보수집, 로그정보 수집/변환/분석, 경보내역을 발생하여 매니저서버와 관리콘솔로 전송하여 모니터링하는 에이전트에 의한 통합정보 보안관리방법에 있어서, 상기 각 시스템에 에이전트를 식별하는 식별개체를 생성하는 제 1 과정과, 상기 매니저서버로부터 이벤트 발생시 각 시스템에 자동실행 명령 메시지를 저장하기 위한 저장객체를 생성하는 제 2 과정과, 상기 자동실행 명령 에이전트의 상태를 전송하는 제 3 과정과, 상기 매니저서버로부터의 메시지 수신 대기상태를 유지하는 제 4 과정과, 상기 메시지 수신대기상태에서 전송객체에 의해 자동실행 명령 변경 메시지를 수신함에 따라 이를 처리하는 제 5 과정과, 상기 메시지 수신대기상태에서 전송객체에 의해 자동실행 명령 메시지가 수신됨에 따라 자동 실행명령을 수행하는 제 6 과정과, 상기 제 5, 제 6 과정 처리 후 메시지 수신대기상태로 리턴하며 사용자에 의한 자동실행명령 에이전트 종료 명령이 입력되면 메모리에 저장된 분산객체 및 전송객체를 삭제한 후 종료하는 제 7과정을 포함하여 이루어진 것을 특징으로 한다.Another method for achieving the object of the present invention is to collect resource information, log information collection / through various agent modules from individual security systems, including intrusion prevention system, intrusion detection system, vulnerability analysis system, antivirus system, server security system In the integrated information security management method by the agent that generates the conversion / analysis, alarm history and transmits it to the manager server and the management console, the first step of creating an identification object for identifying the agent in each system, and the manager A second process of creating a storage object for storing an auto-run command message in each system when an event occurs from a server, a third process of transmitting a state of the auto-run command agent, and a standby state for receiving a message from the manager server; A fourth process of maintaining and the sender in the message reception standby state A fifth process of processing the auto-execution command change message by receiving the automatic execution command change message; a sixth process of performing the auto-execution command according to the reception of the auto-execution command message by the transmitting object in the message reception standby state; 5, the sixth process, and returns to the message receiving standby state, and if the automatic execution command agent termination command by the user is input, the seventh process including deleting the distributed object and the transmission object stored in the memory and terminated do.

본 발명의 목적을 달성하기 위한 또 다른 방법은 침입차단시스템, 침입탐지시스템, 취약점분석시스템, 안티바이러스 시스템, 서버보안시스템을 포함한 개별적인 보안시스템에 로그를 저장하고 있는 파일로부터 정보를 추출해서 매니저서버로 전송하는 파일에이전트를 이용한 통합정보 보안관리방법에 있어서, 상기 각 시스템에 파일 에이전트 식별개체를 생성하는 제 1 과정과, 상기 각 시스템에 파일 에이전트 전송객체를 생성하는 제 2 과정과, 상기 각 시스템의 파일에이전트 저장객체 생성 및 경보발령 정보를 설정하는 제 3 과정과, 상기 각 시스템으로부터의 메시지 수신을 대기하는 제 4 과정과, 상기 메시지 수신대기 중 전송객체 의한 파일에 신규로그가 있을 경우 메시지 정보로부터 메시지 발령시간을 추출하고, 정규화한 후 수집된 로그파일에서 데이터를 필터링하여 메시지 시나리오 경보정보를 추출한 후 메시지 미들웨어로 전송하는 제 5 과정과 상기 메시지 수신 대기 중 전송객체에 의한 신규 및 변경 요청 메시지가 입력되면 신규파일 메시지 설정 및 신규 자동실행명령 룰 설정을 수행하는 제 6 과정을 포함하여 이루어진 것을 특징으로 한다.Another method for achieving the object of the present invention is to extract the information from the file storing the log in the individual security system, including intrusion prevention system, intrusion detection system, vulnerability analysis system, antivirus system, server security system manager server An integrated information security management method using a file agent transmitted to a system, the first process of generating a file agent identification object in each system, the second process of creating a file agent transmission object in each system, and each system A third process of creating a file agent storage object and setting an alarm command information of the file agent, a fourth process of waiting for receiving a message from each system, and message information if there is a new log in a file of a transmission object among the message reception waits. Log file collected after extracting message normalization time from Process to extract the message scenario alarm information by filtering the data and transmit the message scenario alert information to the message middleware, and to set a new file message and a new auto execution command rule when a new and change request message by the transmission object is input while the message is waiting to be received. Characterized in that it comprises a sixth process to perform.

이와 같이 이루어진 본 발명의 실시예를 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다.When described in detail with reference to the accompanying drawings an embodiment of the present invention made as follows.

도 1은 본 발명의 일 실시 예에 따른 ISM시스템의 에이전트계층 데이터처리방법을 구현하기 위한 ISM시스템의 구조도로서, 방화벽시스템 에이전트(101), 공개보안도구 에이전트(102), IDS시스템 에이전트(103)를 포함한 보안시스템 에이전트를 통해 각 보안시스템의 자원정보 수집, 로그정보 수집/변환/분석, 경보내역을 발생하여 통신 미들웨어로 전송하는 에이전트계층(110)과, 라우터시스템(121)(122)을 통해 자원정보수집, 로그정보 수집/변환/분석, 경보내역을 발생하는 프록시에이전트서버(140)와, 상기 각 에이전트계층(110) 및 프록시에이전트서버(140)로부터 발생된 로그를 수집하여 저장 및 각 에이전트의 각종 룰 설정값을 해당 에이전트로 전송하는 매니저서버(200)로 구성된다. 1 is a structural diagram of an ISM system for implementing an agent layer data processing method of an ISM system according to an embodiment of the present invention, and includes a firewall system agent 101, a public security tool agent 102, and an IDS system agent 103. Through the security system agent, including the resource information collection, log information collection / conversion / analysis, alarm history of each security system through the agent layer 110 to transmit to the communication middleware, and through the router system 121, 122 Collect and store resource information, log information collection / transformation / analysis, proxy agent server 140 generating alarm details, and logs generated from the agent layer 110 and proxy agent server 140 and storing each agent. It consists of a manager server 200 for transmitting various rule settings of the agent.

여기서, 상기 보안시스템 에이전트(101∼103)는 OS(Operating System) 탑재형 에이전트로 각종 보안장비가 탑재되어 있는 시스템으로부터 시스템 자원정보, 사용현황 및 상태정보 및 보안 소프트웨어가 발생시키는 로그를 수집한다.Here, the security system agents 101 to 103 are operating system (OS) -mounted agents and collect logs generated by system resource information, usage status and status information, and security software from a system equipped with various security equipment.

상기 프록시에이전트서버(140)는 에이전트 모듈이 탑재되지 않는 라우터나 일체형 장비의 자원정보 및 보안 이벤트 로그를 수집 및 매니저서버(200)로 전송한다. The proxy agent server 140 collects resource information and security event logs of a router or an integrated device on which the agent module is not installed and transmits them to the manager server 200.

이와 같이 구성된 본 발명 실시예에 따른 작용을 첨부된 도 1 내지 도 4를 참조하여 보다 상세히 설명하면 다음과 같다.The operation according to the embodiment of the present invention configured as described above will be described in more detail with reference to FIGS. 1 to 4 as follows.

먼저, 본 발명에 따른 에이전트 계층은 보안시스템의 자원정보 수집, 로그정 보 수집/변환/분석, 경보내역을 발생하여 이를 매니저서버와 콘솔로 전송하는 계층으로, 형태는 일반 에이전트계층 형태와 프록시에이전트로 구분되며, 로그변환기, 자원정보수집, 'SYSLOG'모듈, 파일리드(Read)모듈, 'ASEN'모듈, 'OPSEC'모듈로 구성되어 있다. 특히, 에이전트모듈은 하나의 모듈로 되어 있으며, 관리콘솔에서 해당 에이전트의 설정에 따라 해당 부분만 작동한다.First, the agent layer according to the present invention is a layer for generating resource information collection, log information collection / transformation / analysis, and alarm history of the security system and transmitting them to the manager server and the console. The form is a general agent layer form and a proxy agent. It consists of log converter, resource information collection, 'SYSLOG' module, file read module, 'ASEN' module, and 'OPSEC' module. In particular, the agent module consists of one module, and only the part operates according to the configuration of the agent in the management console.

도 2는 본 발명의 실시예에 따른 ISM시스템의 에이전트계층의 자원정보 에이전트 데이터 흐름도이다.2 is a resource information agent data flow diagram of an agent layer of an ISM system according to an embodiment of the present invention.

이에 도시된 바와 같이, 각 시스템(101∼103)에 자원정보 에이전트 식별개체를 생성하여 해당 에이전트를 식별할 수 있는 기능을 제공한다.(S102)As shown in the drawing, each system 101 to 103 provides a function for identifying a corresponding agent by generating a resource information agent identification object (S102).

상기 자원정보 에이전트 전송객체를 생성한다.(S104)Create the resource information agent transmission object (S104).

상기 자원호출 정보 설정 및 경보발령 정보를 설정한다. 즉, 해당 단위 장비의 CPU, 디스크, 메모리, 프로세서 등의 자원을 호출할 수 있는 정보와 경보발령 정보 관리 기능을 제공한다.(S106)The resource call information setting and alarm command information are set. That is, it provides information and alarm alert information management functions that can call resources such as CPU, disk, memory, and processor of the corresponding unit equipment (S106).

통신 메시지 전송시스템에 의한 메시지 수신대기 상태를 유지하며, 전송객체에 의해 메시지를 수신하며, 자원정보 타이머에 의해서 실시간으로 CPU, 디스크, 메모리, 프로세서 등의 자원정보 객체를 생성하여 초기화한다.(S108∼S118)The message reception system maintains a message reception standby state, receives a message by a transmission object, and generates and initializes a resource information object such as a CPU, a disk, a memory, and a processor in real time by a resource information timer. S118)

여기서, 상기 자원정보 타이머는 전송되어 들어온 메시지의 정보를 분석하여 CPU, 디스크, 메모리, 프로세서의 객체생성을 할 수 있도록 분기해주는 기능을 수행한다. Here, the resource information timer analyzes the information of the transmitted message and performs a function of branching to generate an object of a CPU, a disk, a memory, and a processor.

상기 자원정보객체 생성의 초기화과정 후 메시지타이머에 의해 메시지 수신 대기단계(S108)로 리턴하며, 이때, 자원정보 경보시간을 동기화 시키므로 전체 자원정보의 경보 룰의 기준 시간을 현재 시간을 적용해서 초기화 해주는 기능을 수행한다.(S150)(S152)After the initialization process of the resource information object generation by the message timer to return to the message receiving wait step (S108), at this time, the resource information alarm time is synchronized to initialize the reference time of the alarm rule of the entire resource information by applying the current time Perform the function (S150) (S152).

상기 통신 메시지 전송시스템에 의한 메시지 수신대기 상태(S108)에서 로그 수집하며, 자원정보 메시지가 수신되었을 경우(S120) 자원정보를 추출하고,(S122), 추출된 자원정보를 구문분석 정보를 추출한다.(S124) 즉, 수집된 자원정보를 정규화하며, 정규화된 자원정보를 필터링하며,(S126) 상기 필터링된 자원정보에서 경보발령 정보를 추출하게 된다.(S128) 상기 추출된 경보발령 메시지는 상기 매니저서버(200)로 전송한다.(S129)The log is collected in the message reception standby state (S108) by the communication message transmission system, and when the resource information message is received (S120), resource information is extracted (S122), and the parsed information is extracted from the extracted resource information. That is, the collected resource information is normalized, the normalized resource information is filtered (S126), and the alarm alert information is extracted from the filtered resource information (S128). Transmission to the manager server 200. (S129)

상기 통신 메시지 전송시스템에 의한 메시지 수신대기 상태에서 자원정보 추출 룰이 변경되었을 경우 매니저서버(200)로부터 로그정보 메시지가 신규 로그정보이면, 신규로그 정보를 생성한 후 다시 수신메시지 대기상태(S108)로 리턴하게 된다. (S130)(S132)When the resource information extraction rule is changed in the message reception standby state by the communication message transmission system, if the log information message is the new log information from the manager server 200, the new message is generated and then the reception message is waited again (S108). Will return. (S130) (S132)

상기 통신 메시지 전송 시스템에 의한 메시지 수신단계(S108)에서 수신된 메시지가 매니저서버(200)로부터 소정의 에이전트에 내린 자동실행명령의 기본 설정값에 대한 변경 메시지가 수신되면, 해당 자동실행 명령에 대한 룰을 변경 설정하게 된다.(S140)(S142)When the message received in the message receiving step (S108) by the communication message transmission system receives a change message for the default setting value of the autoexecuting command issued to the predetermined agent from the manager server 200, The rule is changed and set. (S140) (S142)

만약, 상기 매니저서버(200)로부터 사용자가 자원정보 에이전트를 종료하고자 할 경우 메시지타이머(S150)를 통해 분산객체를 삭제 및 전송객체를 삭제한 후 자원정보 에이전트를 종료하게 된다.(S150)(S154)If the user wants to terminate the resource information agent from the manager server 200, the resource information agent is terminated after deleting the distributed object and deleting the transmission object through the message timer S150 (S150) (S154). )

도 3은 본 발명의 실시예에 따른 ISM시스템의 자동실행명령 에이전트의 데이터처리 과정의 흐름도로서, 자동실행명령 에이전트는 시나리오 매니저로부터 이벤트가 발생했을 때 자동적으로 서버에서 해당 명령이 실행되도록 해주는 기능을 담당하는 에이전트이다.3 is a flowchart of a data processing process of an auto execution command agent of an ISM system according to an embodiment of the present invention, wherein the auto execution command agent automatically executes a corresponding command in a server when an event occurs from a scenario manager. The agent in charge.

도면에 도시된 바와 같이, 먼저 해당 에이전트를 식별할 수 있는 식별개체를 생성한다.(S202) 즉, 자동실행명령 에이전트가 어디에 설치되어있는지 식별할 수 있는 식별개체를 생성한 후 자동실행명령을 받을 수 있는 저장장소를 관리하는 저장객체를 생성한다.(S204)As shown in the figure, first, an identification object for identifying a corresponding agent is generated (S202). That is, after generating an identification object for identifying where an auto execution command agent is installed, an auto execution command is received. Create a storage object to manage the storage location can be (S204).

자동실행명령 에이전트의 상태를 관리하며, 정상적인 대기 상태인지를 상기 매니저서버(200)로 전송한 후 통신 메시지전송 시스템에 의한 메시지 수신 대기상태를 유지한다.(S206)(S208)Manages the state of the automatic execution command agent, and maintains the message reception waiting state by the communication message transmission system after transmitting to the manager server 200 whether the normal standby state (S206) (S208).

상기 메시지 수신 대기상태(S208)에서 전송객체 의해 자동실행명령의 초기값에 대한 변경된 내용이 있을 경우 이를 상기 매니저서버(200)로부터 변경 메시지를 수신한다.(S210)If there is a change in the initial value of the automatic execution command by the transmission object in the message reception waiting state (S208), it receives a change message from the manager server 200 (S210).

상기 매니저서버(200)로부터 자동실행명령 에이전트에 대한 기초정보를 요구한다.(S211)The manager server 200 requests basic information on an auto execution command agent.

상기 매니저서버(200)에 경보조건, 즉 어떤 시점에서 해당 명령을 실행시켜야하는지에 대한 정보를 요구하게 된다.(S213)The manager server 200 requests information on an alarm condition, that is, at what point in time the command is to be executed (S213).

상기 매니저서버(200)에 수신 메시지에 대한 정규화, 필터링, 자동실행명령 정보를 요구한다.(S216)The manager server 200 requests normalization, filtering, and automatic execution command information on the received message. (S216)

상기 자동실행명령 변경 메시지를 처리한 후 메시지타이머에 의해 상기 메시지수신 대기상태(S208)로 리턴하게 된다.(S230) After the automatic execution command change message is processed, the message timer returns to the message reception waiting state (S208).

만약, 상기 메시지수신 대기상태(S208)에서 전송객체에 의해 자동실행명령 메시지가 수신될 경우(S220) 메시지 미들웨어로부터 자동명령을 위한 타겟서버를 구별한다.(S221).If the automatic execution command message is received by the transmission object in the message reception waiting state (S208) (S220), the target server for the automatic command is distinguished from the message middleware (S221).

상기 수신된 자동실행명령 메시지에서 명령어를 조합하여 실행 명령어를 처리한다.(S223)The execution command is processed by combining the commands in the received auto-run command message (S223).

상기 실행명령어를 처리한 후 메시지타이머에 의해 다시 메시지 수신대기상태(S208)로 리턴한다.(S230)After processing the execution command, the message timer returns to the message reception standby state (S208) again (S230).

만약, 사용자에 의해 상기 매니저서버(200)로부터 자동실행명령 에이전트 종료 명령이 내릴 경우에는 저정되어 있는 분산객체를 삭제 및 전송객체를 삭제한 후 종료한다.(S231)If the user executes an automatic execution command agent termination command from the manager server 200, the stored distributed object is deleted and the transmission object is deleted after the user terminates the automatic execution command agent (S231).

도 4는 본 발명의 실시예에 따른 ISM시스템의 파일 에이전트 데이터처리과정의 흐름도로서, 각 시스템의 로그를 저장하고 있는 파일로그로부터 생성된 정보를 자동으로 수집하여 상기 매니저서버(200)로 전송하여 감시하고자 하는 프로그램의 상태를 실시간으로 감시할 수 있는 기능을 제공한다.4 is a flowchart of a file agent data processing process of an ISM system according to an embodiment of the present invention, which automatically collects information generated from a file log storing a log of each system and transmits the information to the manager server 200. It provides the function to monitor the status of the program to be monitored in real time.

도 4에 도시된 바와 같이, 먼저 해당 에이전트를 식별할 수 있는 식별개체를 생성한다.(S302) 즉, 파일 에이전트가 어디에 설치되어있는지 식별할 수 있는 식별개체를 생성한 후 파일로그를 받을 수 있는 저장장소를 관리하는 저장객체를 생성한다.(S304) As shown in FIG. 4, first, an identification object for identifying the corresponding agent is generated (S302). That is, after generating an identification object for identifying where the file agent is installed, the file log can be received. Create a storage object to manage the storage location (S304).

상기 각 시스템에 파일 에이전트 정보 및 경보발령 정보를 설정한 후 통신 메시지 전송 시스템에 의한 메시지 수신 대기상태를 유지한다.(S306)(S308)After setting file agent information and alarm command information in each of the systems, a message reception waiting state by the communication message transmission system is maintained. (S306) (S308)

상기 메시지 수신대기상태(S308)에서 전송객체에 의해 수신된 파일로그에 신규로그가 있을 경우에는 메시지 정보를 추출하게 된다.(S312)If there is a new log in the file log received by the transmission object in the message reception standby state (S308), message information is extracted (S312).

상기 추출된 메시지는 정규화, 필터링 한 후 필터링된 메시지에서 경보정보를 추출한 후 메시지타이머에 의하여 상기 메시지 수신단계로 리턴하게 된다.(S310)(S340)After the extracted message is normalized and filtered, alarm information is extracted from the filtered message and returned to the message receiving step by the message timer (S310) (S340).

이때, 로그파일에서 데이터 수집하고, 수집된 데이터를 필터링한 후 메시지를 상기 매니저서버(200)로 전송하게 된다.(S342∼S346)At this time, the data is collected from the log file, the collected data is filtered, and then a message is transmitted to the manager server 200. (S342 to S346).

만약, 신규 상기 메시지 수신대기상태(S308)에서 전송객체의 의해 신규경보 룰(Rule)을 추가하기 위한 경보 룰 변경요청이 있을 경우 신규 경보 룰 메시지를 수신한다.(S320)If there is an alert rule change request for adding a new alert rule by the transmitting object in the new message reception standby state (S308), a new alert rule message is received (S320).

상기 수신된 신규경보 메시지에 따라 신규파일 경보 룰, 신규 자원정보 룰, 신규로그 분석 룰, 신규 자동실행명령 룰을 설정한다.(S322∼S328)According to the received new alarm message, a new file alarm rule, a new resource information rule, a new log analysis rule, and a new auto execution command rule are set. (S322 to S328).

또한, 저장객체 중에서 파일 에이전트 로그에 계속 저장해 놓는데, 이때 로그 타이머에 의해 일정 시간 간격으로 과거 로그정보를 삭제하여 메모리 풀(Full)을 방지하도록 한다.(S330)(S332)In addition, the storage object is continuously stored in the file agent log. At this time, the log timer is used to delete the past log information at a predetermined time interval to prevent the memory pool from being full (S330).

만약, 사용자에 의해 상기 매니저서버(200)로부터 파일 에이전트 종료 명령이 내릴 경우에는 저정되어 있는 분산객체를 삭제 및 전송객체를 삭제한 후 종료한다.(S348)If a file agent termination command is issued from the manager server 200 by the user, the stored distributed object is deleted and the transmission object is deleted after the file agent is terminated (S348).

이상에서 본 발명에 따른 바람직한 실시예에 대해 설명하였으나, 에이전트의 형태에 따라 다양한 방법으로 변형이 가능하며, 본 기술분야에서 통상의 지식을 가진자라면 본 발명의 특허청구범위를 벗어남이 없이 다양한 변형예 및 수정예를 실시할 수 있을 것으로 이해된다.  Although a preferred embodiment according to the present invention has been described above, modifications can be made in various ways depending on the form of the agent, and those skilled in the art can make various modifications without departing from the claims of the present invention. It is understood that examples and modifications may be made.

이상에서 설명한 바와 같이, 본 발명에 따른 ISM시스템의 에이전트계층 데이터처리방법은 각 단위 시스템을 자원정보, 파일로그 및 자동실행명령 에이전트를 이용하여 실시간으로 각 시스템을 모니터링 할 수 있으며, 그에 따라 장애 발생시 신속히 대응할 수 있는 효과가 있으며, 에이전트의 룰 설정을 자동으로 업데이트 관리할 수 있는 효과가 있고, 각 단위 보안 시스템(방화벽, IDS, IPS, VPN, 서버보안시스템)과 네트워크장비, 로그를 가진 응용프로그램, 응용서버들에 대한 통합관리 체계구축이 가능한 효과가 있다.As described above, in the agent layer data processing method of the ISM system according to the present invention, each unit system can be monitored in real time using resource information, a file log, and an automatic execution command agent. It has the effect of quick response and the effect of automatically updating and managing the agent's rule setting, and each unit security system (firewall, IDS, IPS, VPN, server security system), network equipment, and application program with log. As a result, it is possible to establish an integrated management system for application servers.

Claims (17)

침입차단시스템, 침입탐지시스템, 취약점분석시스템, 안티바이러스 시스템, 서버보안시스템을 포함한 개별적인 보안시스템들로부터 에이전트를 통해 자원정보수집, 로그정보 수집/변환/분석, 경보내역을 발생하여 매니저서버와 관리콘솔로 전송하여 모니터링하는 에이전트에 의한 통합정보 보안관리방법에 있어서,It collects resource information, collects / converts / analyzes and analyzes alarm information through the agent from individual security systems including intrusion prevention system, intrusion detection system, vulnerability analysis system, antivirus system and server security system, and manages manager server and management. In the integrated information security management method by the agent to transmit to the console, 상기 각 시스템에 자원정보 에이전트 식별개체를 생성하는 제 1 과정;A first step of generating a resource information agent identifier in each system; 상기 자원정보 에이전트 전송객체를 생성하는 제 2 과정;A second step of generating the resource information agent transmission object; 상기 각 시스템의 자원 호출정보 설정 및 경보발령 정보를 설정하는 제 3 과정;A third step of setting resource call information setting and alarm command information of each system; 상기 각 시스템으로부터의 전송된 메시지를 수신 대기하는 제 4 과정;A fourth step of waiting for a message sent from each system; 상기 메시지 수신대기 중 소정의 시스템의 각 자원정보 객체를 생성 초기화하는 제 5 과정;A fifth step of generating and initializing each resource information object of a predetermined system among the message reception waits; 상기 각 시스템의 전송객체에 의한 로그수집 메시지에서 자원정보를 추출하여 정규화한 후 정규화된 자원정보를 필터링하여 경보발령 정보를 추출하여 매니저서버로 전송하는 제 6 과정;A sixth step of extracting and normalizing resource information from the log collection message by the transmission object of each system, filtering the normalized resource information, and extracting the alarm command information to transmit to the manager server; 상기 각 시스템의 로그정보 메시지는 신규로그 구분정보를 생성하는 제 7 과정; 및A seventh step of generating new log classification information in the log information message of each system; And 상기 매니저서버에서 재설정 명령에 따라 변경된 자동실행 명령을 설정하는 제 8 과정;을 포함하여 이루어진 것을 특징으로 하는 지능형통합보안관리시스템의 에이전트계층 데이터처리방법. And an eighth process of setting the changed auto-execution command according to the reset command in the manager server. 제 1 항에 있어서, The method of claim 1, 상기 에이전트는 일반 OS(Operating System)탑재형 에이전트 및 프록시 에이전트 서버로 구분설정 하는 것을 특징으로 하는 지능형통합보안관리시스템의 에이전트계층 데이터처리방법.The agent is an agent-based data processing method of the intelligent integrated security management system, characterized in that divided into a general operating system (OS) -mounted agent and proxy agent server. 제 1 항에 있어서,The method of claim 1, 상기 제 5 과정에서 자원정보 객체는 중앙처리장치(CPU) 정보객체, 디스크 정보객체, 메모리 정보객체 및 프로세서 자원정보객체를 포함하여 생성 초기화하는 것을 특징으로 하는 지능형통합보안관리시스템의 에이전트계층 데이터처리방법.In the fifth process, the resource information object is created and initialized by including a central processing unit (CPU) information object, a disk information object, a memory information object, and a processor resource information object. Way. 삭제delete 제 1 항에 있어서,The method of claim 1, 상기 자원정보 에이전트는 항상 대기상태를 유지시키며 사용자에 의하여 종료되면 분산객체 삭제 및 전송객체를 삭제하는 단계를 더 포함하여 이루어진 것을 특징으로 하는 지능형통합보안관리시스템의 에이전트계층 데이터처리방법. The resource information agent always maintains a standby state, and when terminated by a user, the agent layer data processing method of the intelligent integrated security management system, characterized in that further comprising the step of deleting the distributed object and the transmission object. 제 1 항에 있어서, The method of claim 1, 상기 자원정보의 실시간 수집을 위해 자원정보 타이머에 의해 시간 동기화 시키는 것을 특징으로 하는 지능형통합보안관리시스템의 에이전트계층 데이터처리방법.Agent layer data processing method of the intelligent integrated security management system, characterized in that the time synchronization by the resource information timer for the real-time collection of the resource information. 침입차단시스템, 침입탐지시스템, 취약점분석시스템, 안티바이러스 시스템, 서버보안시스템을 포함한 개별적인 보안시스템들로부터 다양한 에이전트 모듈을 통해 자원정보수집, 로그정보 수집/변환/분석, 경보내역을 발생하여 매니저서버와 관리콘솔로 전송하여 모니터링하는 에이전트에 의한 통합정보 보안관리방법에 있어서,Manager server by generating resource information, log information collection / conversion / analysis, alarm history through various agent modules from individual security systems including intrusion prevention system, intrusion detection system, vulnerability analysis system, antivirus system, server security system In the integrated information security management method by the agent to monitor and transmit to the management console, 상기 각 시스템에 에이전트를 식별하는 식별개체를 생성하는 제 1 과정;A first step of creating an identifier for identifying an agent in each system; 상기 매니저서버로부터 이벤트 발생시 각 시스템에 자동실행 명령 메시지를 저장하기 위한 저장객체를 생성하는 제 2 과정;A second process of creating a storage object for storing an automatic execution command message in each system when an event occurs from the manager server; 상기 자동실행 명령 에이전트의 상태를 전송하는 제 3 과정;Transmitting a status of the auto-run command agent; 상기 매니저서버로부터의 메시지 수신 대기상태를 유지하는 제 4 과정;A fourth step of maintaining a standby state for receiving a message from the manager server; 상기 메시지 수신대기상태에서 전송객체에 의해 자동실행 명령 변경 메시지를 수신함에 따라 이를 처리하는 제 5 과정; A fifth step of processing the automatic execution command change message by the transmission object in the message reception standby state; 상기 메시지 수신대기상태에서 전송객체에 의해 자동실행 명령 메시지가 수신됨에 따라 자동 실행명령을 수행하는 제 6 과정;및A sixth step of performing an automatic execution command in response to receiving an automatic execution command message by the transmission object in the message reception standby state; and 상기 제 5, 제 6 과정 처리 후 메시지 수신대기상태로 리턴하며 사용자에 의한 자동실행명령 에이전트 종료 명령이 입력되면 메모리에 저장된 분산객체 및 전송객체를 삭제한 후 종료하는 제 7과정;을 포함하여 이루어진 것을 특징으로 하는 지능형통합보안관리시스템의 에이전트계층 데이터처리방법. And a seventh process of returning to the message reception standby state after the fifth and sixth processes and deleting the distributed object and the transfer object stored in the memory and ending when the automatic execution command agent termination command is input by the user. Agent layer data processing method of an intelligent integrated security management system, characterized in that. 제 7 항에 있어서, The method of claim 7, wherein 상기 에이전트는 일반 OS탑재형 에이전트 및 프록시 에이전트서버로 구분설정 하는 것을 특징으로 하는 지능형통합보안관리시스템의 에이전트계층 데이터처리방법.The agent is an agent layer data processing method of the intelligent integrated security management system, characterized in that divided into a general OS-mounted agent and proxy agent server. 제 7 항에 있어서,The method of claim 7, wherein 상기 제 5 과정은 상기 전송객체에 의해 자동실행 명령 변경메시지가 수신되면 상기 매니저서버에 에이전트에 대한 기초정보를 요구하는 하는 단계;The fifth step includes requesting basic information about an agent from the manager server when an automatic execution command change message is received by the transmission object; 상기 매니저서버에 경보조건을 요구하는 단계; 및Requesting an alarm condition from the manager server; And 상기 자동실행 명령 변경메시지의 정규화, 필터링, 축약/경보 단계;를 포함하여 이루어진 것을 특징으로 하는 지능형통합보안관리시스템의 에이전트계층 데이터처리방법.Normalizing, filtering, and abbreviating / alarming the automatic execution command change message. 제 7 항에 있어서,The method of claim 7, wherein 상기 제 6 과정은 상기 전송객체에 의해 자동실행 명령메시지가 수신되면 타 겟 서버의 명령을 추출하는 단계;The sixth step may include extracting a command of a target server when an automatic execution command message is received by the transmission object; 상기 추출된 명령을 실행명령어로 조합하는 단계; 및Combining the extracted instructions into execution instructions; And 상기 조합된 실행 명령을 처리하는 단계를 포함하여 이루어진 것을 특징으로 하는 지능형통합보안관리시스템의 에이전트계층 데이터처리방법.Agent layer data processing method of the intelligent integrated security management system comprising the step of processing the combined execution command. 삭제delete 침입차단시스템, 침입탐지시스템, 취약점분석시스템, 안티바이러스 시스템, 서버보안시스템을 포함한 개별적인 보안시스템에 로그를 저장하고 있는 파일로부터 정보를 추출해서 매니저서버로 전송하는 파일에이전트를 이용한 통합정보 보안관리방법에 있어서,Integrated information security management method using file agent that extracts information from files storing logs in individual security systems including intrusion prevention system, intrusion detection system, vulnerability analysis system, antivirus system and server security system and transmits them to the manager server To 상기 각 시스템에 파일 에이전트 식별개체를 생성하는 제 1 과정;Creating a file agent identifier in each of the systems; 상기 각 시스템에 파일 에이전트 전송객체를 생성하는 제 2 과정;Creating a file agent transfer object in each system; 상기 각 시스템의 파일에이전트 저장객체 생성 및 경보발령 정보를 설정하는 제 3 과정;A third process of creating file agent storage objects and setting alarm trigger information of each system; 상기 각 시스템으로부터의 메시지 수신을 대기하는 제 4 과정;A fourth step of waiting for reception of a message from each system; 상기 메시지 수신대기 중 전송객체 의한 파일에 신규로그가 있을 경우 메시지 정보로부터 메시지 발령시간을 추출하고, 정규화한 후 수집된 로그파일에서 데이터를 필터링하여 메시지 시나리오 경보정보를 추출한 후 메시지 미들웨어로 전송하는 제 5 과정; 및If there is a new log in the file by the transmission object during the message reception wait, extract the message issuing time from the message information, normalize and then filter the data in the collected log file to extract the message scenario alert information and transmit it to the message middleware. 5 courses; And 상기 메시지 수신 대기 중 전송객체에 의한 신규 및 변경 요청 메시지가 입력되면 신규파일 메시지 설정 및 신규 자동실행명령 룰 설정을 수행하는 제 6 과정;을 포함하여 이루어진 것을 특징으로 하는 지능형통합보안관리시스템의 에이전트계층 데이터처리방법.And a sixth process of setting a new file message and setting a new auto-execution command rule when a new and change request message by a transmission object is input while waiting for the message to be received. Agent of an intelligent integrated security management system, comprising: Hierarchical data processing method. 제 12 항에 있어서, The method of claim 12, 상기 에이전트는 일반 OS탑재형 에이전트 및 프록시 에이전트서버로 구분설정 하는 것을 특징으로 하는 지능형통합보안관리시스템의 에이전트계층 데이터처리방법. The agent is an agent layer data processing method of the intelligent integrated security management system, characterized in that divided into a general OS-mounted agent and proxy agent server. 삭제delete 제 12 항에 있어서,The method of claim 12, 상기 제 6 과정은 신규 및 변경요청 메시지가 입력됨에 따라 신규파일 경보 룰을 설정하는 단계;The sixth process may include setting a new file alert rule as new and change request messages are inputted; 신규 자원정보 룰을 설정하는 단계;Setting a new resource information rule; 신규 로그분석 룰을 설정하는 단계; 및Setting a new log analysis rule; And 신규 자동실행명령 룰을 설정하는 단계;를 포함하여 이루어진 것을 특징으로 하는 지능형통합보안관리시스템의 에이전트계층 데이터처리방법. Setting a new automatic execution command rule; agent layer data processing method of an intelligent integrated security management system, characterized in that comprises a. 제 12 항에 있어서,The method of claim 12, 상기 파일 로그정보는 설정된 시간을 넘는 데이터는 삭제하는 단계를 더 포함하여 이루어진 것을 특징으로 하는 지능형통합보안관리시스템의 에이전트계층 데이터처리방법. The file log information is agent layer data processing method of an intelligent integrated security management system, characterized in that further comprising the step of deleting the data over the set time. 제 12 항에 있어서,The method of claim 12, 상기 파일 에이전트는 항상 대기상태를 유지시키며 사용자에 의하여 종료되면 분산객체 삭제 및 전송객체를 삭제하는 단계를 더 포함하여 이루어진 것을 특징으로 하는 지능형통합보안관리시스템의 에이전트계층 데이터처리방법.The file agent always maintains a standby state, and when the user terminates by the user, the distributed object deletion and the agent layer data processing method of the intelligent integrated security management system, characterized in that further comprising the step of deleting the transmission object.
KR1020040037477A 2004-05-25 2004-05-25 Method for Data Process of Agent Layer of ISM System KR100599929B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040037477A KR100599929B1 (en) 2004-05-25 2004-05-25 Method for Data Process of Agent Layer of ISM System

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040037477A KR100599929B1 (en) 2004-05-25 2004-05-25 Method for Data Process of Agent Layer of ISM System

Publications (2)

Publication Number Publication Date
KR20050112403A KR20050112403A (en) 2005-11-30
KR100599929B1 true KR100599929B1 (en) 2006-07-13

Family

ID=37287314

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040037477A KR100599929B1 (en) 2004-05-25 2004-05-25 Method for Data Process of Agent Layer of ISM System

Country Status (1)

Country Link
KR (1) KR100599929B1 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100604063B1 (en) * 2004-05-31 2006-07-31 주식회사 제이컴정보 Method for Data Process of Manager Layer of ISM System
KR100984282B1 (en) * 2010-03-04 2010-09-30 주식회사 이글루시큐리티 An enterprise security management system using an memory cache
KR101237376B1 (en) * 2011-07-14 2013-02-26 주식회사 제이컴정보 Integrated security control System and Method for Smartphones
KR101869282B1 (en) * 2016-10-31 2018-06-21 주식회사 윈스 Apparatus for collecting of the large sale data and processing over flow event, method thereof
CN112364211A (en) * 2020-10-27 2021-02-12 广东凌康科技有限公司 Information release statistical system and method based on cloud platform

Also Published As

Publication number Publication date
KR20050112403A (en) 2005-11-30

Similar Documents

Publication Publication Date Title
Ganame et al. A global security architecture for intrusion detection on computer networks
EP1461927B1 (en) A method and system for modelling, analysis, and display of network security events
US20040117658A1 (en) Security monitoring and intrusion detection system
US20040205689A1 (en) System and method for managing a component-based system
JP2004021549A (en) Network monitoring system and program
CN111212035A (en) Host computer defect confirming and automatic repairing method and system based on same
US20060143717A1 (en) Computer network monitoring method and device
KR20020000225A (en) A system and method for performing remote security management of multiple computer systems
KR100599929B1 (en) Method for Data Process of Agent Layer of ISM System
CN116436668B (en) Information security control method and device, computer equipment and storage medium
EP3205068B1 (en) Method for dynamic adjustment of a level of verbosity of a component of a communications network
WO2004017199A1 (en) Method for monitoring and managing an information system
Patil et al. Analysis of distributed intrusion detection systems using mobile agents
CN111049853A (en) Security authentication system based on computer network
KR20130033161A (en) Intrusion detection system for cloud computing service
CN111258712B (en) Method and system for protecting safety of virtual machine under virtual platform network isolation
CN115208690A (en) Screening processing system based on data classification and classification
CN115118481A (en) Host information acquisition method, device, equipment and medium
KR100604063B1 (en) Method for Data Process of Manager Layer of ISM System
CN111259383A (en) Safety management center system
KR20070008804A (en) Host-based security system and method for providing security service
CN108471428B (en) DDoS attack active defense technology and equipment applied to CDN system
Yongle et al. A cooperative intrusion detection system based on autonomous agents
CN114124459B (en) Cluster server security protection method, device, equipment and storage medium
CN114338175B (en) Data collection management system and data collection management method

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120705

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20130705

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20140804

Year of fee payment: 9

LAPS Lapse due to unpaid annual fee