KR100617314B1 - 보안 라우터 시스템에서의 보안 정책 관리 방법 및 장치 - Google Patents

보안 라우터 시스템에서의 보안 정책 관리 방법 및 장치 Download PDF

Info

Publication number
KR100617314B1
KR100617314B1 KR1020040091839A KR20040091839A KR100617314B1 KR 100617314 B1 KR100617314 B1 KR 100617314B1 KR 1020040091839 A KR1020040091839 A KR 1020040091839A KR 20040091839 A KR20040091839 A KR 20040091839A KR 100617314 B1 KR100617314 B1 KR 100617314B1
Authority
KR
South Korea
Prior art keywords
security policy
security
router system
determined
policy
Prior art date
Application number
KR1020040091839A
Other languages
English (en)
Other versions
KR20060044050A (ko
Inventor
조수형
김정녀
장종수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020040091839A priority Critical patent/KR100617314B1/ko
Publication of KR20060044050A publication Critical patent/KR20060044050A/ko
Application granted granted Critical
Publication of KR100617314B1 publication Critical patent/KR100617314B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 보안 라우터 시스템에서의 보안 정책 관리 방법 및 장치에 관한 것으로, 보안 라우터 시스템의 보안 정책 관리 방법에 있어서, (a) 상기 보안 라우터 시스템에 요구되는 보안 정책을 결정하는 단계; (b) 상기 (a)단계에서 결정된 보안 정책을 보안 정책 데이터베이스에 저장하는 단계; (c) 상기 보안 정책 데이터베이스에 저장된 보안 정책의 시간 정보를 검사하여 상기 보안 라우터 시스템에 적용할 상태인지 해제할 상태인지 여부를 판단하는 단계; 및 (d) 상기 (c)단계의 판단결과 상기 보안 정책이 상기 보안 라우터 시스템에 적용할 상태라고 판단되는 경우에 상기 보안 정책을 상기 보안 라우터 시스템에 적용하고, 상기 보안 정책이 상기 보안 라우터 시스템에서 해제할 상태라고 판단되는 경우에 상기 보안 정책을 상기 보안 라우터 시스템에서 해제하는 단계;로 구성된다. 따라서, 침입 탐지에서 대응까지 통합적인 보안 정책을 관리 할 수 있는 보안 라우터 시스템의 보안 정책 관리 장치 및 방법을 제공할 수 있다.

Description

보안 라우터 시스템에서의 보안 정책 관리 방법 및 장치{Security policy management method and apparatus of secure router system}
도 1은 본 발명의 일실시예에 따른 보안 라우터 시스템을 나타내는 블럭도이다.
도 2는 도 1의 보안 정책 관리부를 보다 상세히 나타낸 블럭도이다.
도 3은 도 2의 보안 정책 결정부를 보다 상세히 나타낸 블럭도이다.
도 4는 본 발명의 일실시예에 따른 보안 라우터 시스템에서의 보안 정책 관리 방법에 대한 흐름도이다.
본 발명은 보안 라우터 시스템에서의 보안 정책 관리 방법 및 장치에 관한 것으로, 더욱 상세하게는 라우터의 보안을 위해 보안 기능을 추가한 보안 라우터 시스템을 보안 정책에 따라 관리하고자 하는 장치 및 방법에 관한 것이다.
라우터(Router)는 네트워크의 구성 요소들을 연결하여 데이터 전송을 담당하는 장비로 최적경로를 설정하고 네트워크의 데이터 패킷흐름을 제어한다. 라우터는 내부와 외부를 연결하는 네트워크의 중요한 장비로 바이러스, 라우팅 프로토콜 공 격, 서비스 거부 공격, 분산 서비스 거부 공격과 같은 네트워크 공격의 위협을 받고 있다. 이러한 네트워크 공격에 대응하기 위해 라우터에 대한 접근 제어, 방화벽, 침입 탐지 등의 보안 기술이 필요하게 된다.
또한, 정책은 네트워크의 자원을 어떻게 제어할 것인가에 대한 규칙을 의미하는데, 보안 라우터 시스템의 보안 정책은 라우터의 보안을 제공하기 위하여 침입 패킷을 제거하거나 정상 패킷을 통과시키는 패킷 필터링 보안 정책, 네트워크 공격을 탐지하는 침입 탐지에 대한 보안 정책, 라우터의 통신채널에 안전한 통신을 보장하는 신뢰 채널 보안 정책, 사용자의 역할에 따라 라우터의 접근을 통제하는 접근 제어 보안 정책으로 분류할 수 있다.
그러나, 종래에는 이와 같은 보안 정책에 의한 보안 라우터 시스템을 통하여 침입 탐지에서 대응까지 통합적으로 보안 정책을 관리하지 못하고 있다는 문제점이 있다.
본 발명은 상기 종래 기술의 문제점을 해결하기 위한 것으로, 패킷 필터링 보안 정책을 적용하여 네트워크의 침입 패킷을 제거하거나 정상 패킷을 통과시키고, 침입 탐지 보안 정책을 적용하여 라우터의 네트워크 공격을 탐지하고, 신뢰 채널 보안 정책을 적용하여 라우터의 통신채널에 기밀성과 무결성을 제공하여 안전한 통신을 보장하며, 접근 제어 보안 정책을 적용하여 사용자의 역할에 따라 라우터의 접근을 통제하여 침입 탐지에서 대응까지 통합적인 보안 정책을 관리 할 수 있는 보안 라우터 시스템의 보안 정책 관리 장치 및 방법을 제공함에 있다.
본 발명에 의한 보안 라우터 시스템에서의 보안 정책 관리 방법은, 보안 라우터 시스템의 보안 정책 관리 방법에 있어서, (a) 상기 보안 라우터 시스템에 요구되는 보안 정책을 결정하는 단계; (b) 상기 (a)단계에서 결정된 보안 정책을 보안 정책 데이터베이스에 저장하는 단계; (c) 상기 보안 정책 데이터베이스에 저장된 보안 정책의 시간 정보를 이용하여 상기 보안 라우터 시스템에 적용할 상태인지 해제할 상태인지 여부를 판단하는 단계; 및 (d) 상기 (c)단계의 판단결과 상기 보안 정책이 상기 보안 라우터 시스템에 적용할 상태라고 판단되는 경우에 상기 보안 정책을 상기 보안 라우터 시스템에 적용하고, 상기 보안 정책이 상기 보안 라우터 시스템에서 해제할 상태라고 판단되는 경우에 상기 보안 정책을 상기 보안 라우터 시스템에서 해제하는 단계;를 포함하는 것을 특징으로 가진다.
본 발명에 의한 보안 라우터 시스템에서의 보안 정책 관리 장치는, 패킷 필터링 보안 정책 알고리즘에 의하여 상기 보안 라우터 시스템에 침입 패킷을 제거하거나 정상 패킷을 통과시키는 패킷 필터링부; 침입 탐지 보안 정책 알고리즘에 의하여 상기 보안 라우터 시스템에 네크워크 공격을 탐지하는 침입 탐지부; 신뢰 채널 보안 정책 알고리즘에 의하여 상기 보안 라우터 시스템의 통신채널에 기밀성과 무결성을 제공하는 신뢰 채널부; 접근 제어 보안 정책 알고리즘에 의하여 상기 보안 라우터 시스템에의 접근을 통제하는 접근 제어부; 및 상기 패킷 필터링 보안 정책 알고리즘, 침입 탐지 보안 정책 알고리즘, 신뢰 채널 보안 정책 알고리즘 및 접근 제어 보안 정책 알고리즘을 결정하고 적용하는 보안 정책 관리부;를 포함하는 것을 특징으로 가진다.
이하, 첨부된 도면을 참조하여 본 발명에 따른 실시예를 상세하게 설명하기로 한다.
도 1은 본 발명의 일실시예에 따른 보안 라우터 시스템을 나타내는 블럭도이다.
도 1을 참조하면, 보안 라우터 시스템(100)은 접근 제어부(110), 보안 정책 관리부(120), 감사 추적부(130), 침입 탐지부(140)과, 신뢰 채널부(150) 및 패킷 필터링부(160)로 구성된다.
접근 제어부(110)는 인증된 사용자가 보안 라우터 시스템(100)에 접근한 경우에 접근 권한을 가지지 않은 객체에 대해서 접근할 수 없도록 제어한다. 망 관리자, 보안 관리자, 성능 관리자의 권한에 따른 접근 제어 보안 정책을 참조하여 모든 주체는 객체에 접근할 수 있는 권한을 가진 경우에만 접근할 수 있도록 한다.
보안 정책 관리부(120)는 보안 라우터 시스템(100)의 침입 탐지, 패킷 필터링, 신뢰 채널 및 접근 제어에 대한 보안 정책을 결정 및 적용하고, 보안 라우터 시스템(100)에 발생한 침입 정보를 가공하여 경보 데이터로 처리하며, 발생한 침입을 분석하고 차단한다. 그리고, 보안 라우터의 구성요소 정보와 상태 정보를 설정 및 검색하고, 사용자 인터페이스(GUI)를 이용하여 보안 라우터 시스템(100)을 관리한다.
감사 추적부(130)는 보안 라우터 시스템의 설정 및 운용시에 발생하는 각종 사건을 기록하고 추적한다. 즉, 감사 추적부(130)는 접근 제어부(110), 침입 탐지 부(140), 신뢰 채널부(150) 및 패킷 필터링부(160)에서 발생하는 각종 사건이나 보안 위반 사항에 대하여 기록하고 추적한다.
침입 탐지부(140)는 보안 정책 관리부(120)를 통하여 DoS 공격과 특정 바이러스 패턴을 탐지하는 침입 탐지 보안 정책을 참조하여 네트워크의 침입을 분석하고 탐지한다. 침입 탐지부(140)는 기본 탐지모드에서 각각의 탐지대상에 대한 최소한의 정보를 이용하여 공격 가능성에 대한 탐지를 수행하고, 확장 탐지모드에서 기본 탐지모드를 통하여 공격 가능성이 높다고 생각되는 것에 대하여 추가적으로 자세한 탐지를 수행한다.
신뢰 채널부(150)는 보안 라우터 시스템(100)의 네트워크 계층에서 IPSec 프로토콜을 이용하여 보안 라우터 시스템(100)과 다른 보안 라우터 시스템(100) 사이에서 전달되는 데이터에 대한 기밀성 및 무결성 등의 보안 기능을 제공한다. 신뢰 채널부(150)는 보안협상을 통해 형성된 인증 및 암호 알고리즘을 이용하여 패킷 전송시 인증 및 암호화를 수행하는 기능을 제공하고, 보안 노드로부터 암호화된 패킷을 수신할 경우에도 보안협상을 통해 형성된 동일한 암호 알고리즘을 이용하여 암호화된 패킷의 인증 및 복호화를 수행한다.
패킷 필터링부(160)는 보안 라우터 시스템(100)에서 입력되는 패킷을 통과 시킬 것인지 여부를 가장 먼저 판단하여 외부로부터의 공격을 차단하고 보안 라우터 시스템(100)내의 다른 구성요소들의 부하를 줄여주는 역할을 수행한다. 패킷 필터링부(160)는 IP 주소, 프로토콜, 포트 번호 및 TCP 헤더를 이용하여 패킷을 통과시키거나 차단한다.
도 2는 도 1의 보안 정책 관리부를 보다 상세히 나타낸 블럭도이다.
도 2를 참조하면, 보안 정책 관리부(120)는 보안 정책 결정부(200), 네트워크 관리부(210), 사용자 인터페이스 관리부(220), 경보 관리부(230) 및 대응 관리부(240)로 구성되어 있다.
보안 정책 결정부(200)는 침입 탐지, 신뢰 채널, 패킷 필터링 및 접근 제어에 대한 보안 정책을 결정하고 보안 라우터 시스템(100)에 보안 정책을 적용한다.
경보 관리부(230)는 침입 탐지부(140)로부터 침입 정보를 전달 받아 IDMEF-XML 메시지 형태로 변환하여 경보 메시지를 생성한다.
대응 관리부(240)는 보안 라우터 시스템(100)에 발생한 침입을 분석하여 차단한다.
네트워크 관리부(210)는 SNMP(Simple Network Management Protocol)를 통해서 주기적으로 상태를 보고하고 제어하며, 기존 일반 라우터가 제공하는 MIB(Management Information Base) 이외에 보안 라우터 시스템(100)이 추가적으로 가져야 할 MIB를 정의한다. 또한, 보안 라우터 시스템(100)의 구성 정보와 상태 정보를 설정 및 검색한다.
사용자 인터페이스 관리부(220)는 사용자 인터페이스(GUI)를 이용하여 보안 라우터 시스템(100)을 관리한다.
도 3은 도 2의 보안 정책 결정부를 보다 상세히 나타낸 블럭도이다.
도 3을 참조하면, 보안 정책 결정부(200)는 보안 정책 서버(300), 시간 제어부(320) 및 보안 정책 데이터베이스(340)로 구성되어 있다.
보안 정책 서버(300)는 보안 라우터 시스템(100)에 필요한 보안 정책을 결정하고, 결정된 보안 정책을 보안 정책 데이터베이스(340)에 저장한다.
시간 제어부(320)는 각각의 보안 정책에 대한 시간 정보를 검사하여 보안 정책 적용 또는 해제 상태를 보안 정책 서버(300)에게 알려주고, 보안 정책 서버(300)는 보안 정책 적용 또는 해제 상태에 따라 보안 정책을 보안 라우터 시스템(100)의 다른 구성요소에 적용 또는 해제하게 된다.
도 4는 본 발명의 일실시예에 따른 보안 라우터 시스템의 보안 정책 관리 방법에 대한 흐름도이다. 도 1 내지 도 3에서의 구성을 바탕으로, 본 발명에 따른 보안 라우터 시스템(100)의 보안 정책을 시간을 통하여 제어하는 과정에 대하여 상세히 설명한다.
도 4를 참조하면, 먼저, 시간 제어부(320)는 보안 정책 서버(300)가 저장한 보안 정책 데이터베이스(340)를 검색하여 보안 정책의 시간 정보를 메모리 리스트로 구성한다(S400).
다음으로, 메모리 리스트로 구성된 보안 정책의 시간 정보를 현재 시간과 비교하여 보안 정책이 유효한지 여부를 판단한다(S410). 여기에서, 현재 시간과 비교하여 보안 정책이 유효한지 여부는 현재 시간이 보안 정책의 시간 정보의 범위에 속하는지 여부를 통하여 판단하게 된다. 단계S410에서의 판단결과, 현재 시간이 보안 정책의 시간 정보의 범위에 속하는 경우이면 단계S420으로 진행한다. 한편, 단계S410에서의 판단결과, 현재 시간이 보안 정책의 시간 정보의 범위에 속하지 않는 경우이면 단계S430으로 진행한다.
단계S420에서는 보안 정책이 적용되지 않은 상태인지 여부를 판단한다. 여기에서, 보안 정책이 적용되지 않은 상태인지 여부는 시간 제어 플래그가 0인지 여부를 통하여 판단한다. 즉, 시간 제어 플래그가 0이면 보안 정책이 적용되지 않은 상태를 나타내고, 시간 제어 플래그가 1이면 보안 정책이 적용된 상태를 나타낸다.
단계S420에서의 판단결과, 보안 정책이 적용된 상태인 경우에는 종료한다. 이와 같이 보안 정책이 적용된 상태인 경우는 시간은 유효하나 보안 정책이 이미 적용된 상태이므로 종료하게 되는 것이다.
한편, 단계S420에서의 판단결과, 보안 정책이 적용된 상태인 경우에는 단계S440으로 진행한다.
단계S440에서는 보안 정책이 적용된 상태로 변경한다. 여기에서, 보안 정책이 적용된 상태로 변경하는 것은 시간 제어 플래그를 1로 변경하는 것이다.
단계S440 다음으로 보안 정책 서버(100)에 보안 정책을 설정할 시간이라는 것을 알려주어 보안 정책을 각각의 구성요소에 적용한다(S460).
한편, 단계S430에서는 보안 정책이 적용된 상태인지 여부를 판단한다. 여기에서, 보안 정책이 적용된 상태인지 여부는 시간 제어 플래그가 1인지 여부를 통하여 판단한다. 즉, 시간 제어 플래그가 1이면 보안 정책이 적용된 상태를 나타내고, 시간 제어 플래그가 0이면 보안 정책이 적용되지 않은 상태를 나타낸다. 단계S430은 현재 시간이 보안 정책의 시간 정보의 범위에 속하지 않으면 유효하지 않은 시간으로 이미 보안 정책이 적용되어 있는지 여부를 확인하기 위한 것이다.
단계S430에서의 판단결과, 보안 정책이 적용되지 않은 상태인 경우에는 종료 한다. 이와 같이 보안 정책이 적용되지 않은 상태인 경우는 시간 정보도 유효하지 않고 보안 정책도 적용되지 않은 상태이므로 종료하게 되는 것이다.
한편, 단계S430에서의 판단결과, 보안 정책이 적용된 상태인 경우에는 단계S450으로 진행한다.
단계S450에서는 보안 정책의 적용이 해제된 상태로 변경한다. 여기에서, 보안 정책의 적용이 해제된 상태로 변경하는 것은 시간 제어 플래그를 0으로 변경하는 것이다. 단계S450은 이미 보안 정책이 적용되어 있는데 시간은 유효하지 않으므로 시간 제어 플래그를 0으로 변경하는 것이다.
단계S450 다음으로 보안 정책 서버(100)에 보안 정책을 해제할 시간이라는 것을 알려주어 보안 정책을 각각의 구성요소에서 해제한다(S470).
상기 단계S460과 단계S470에서 메모리 리스트는 도 3에서 도시한 바와 같이 보안 정책이 보안 정책 데이터베이스(340)에 추가되거나 삭제될 때마다 갱신되어 진다.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD_ROM, 자기테이프, 플로피디스크 및 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽 을 수 있는 코드로 저장되고 실행될 수 있다.
이상에서와 같이 도면과 명세서에서 최적 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
본 발명은 보안 라우터 시스템에서의 보안 정책 관리 방법 및 장치에 관한 것으로, 패킷 필터링, 침입 탐지, 신뢰 채널 및 접근 제어의 보안 기능이 추가된 보안 라우터 시스템에 패킷 필터링 보안 정책을 적용하여 침입 패킷을 제거하거나 정상 패킷을 통과시키고, 침입 탐지 보안 정책을 적용하여 라우터의 네트워크 공격을 탐지하고, 신뢰 채널 보안 정책을 적용하여 라우터의 통신채널에 기밀성과 무결성을 제공하여 안전한 통신을 보장하며, 접근 제어 보안 정책을 적용하여 사용자의 역할에 따라 라우터의 접근을 통제하여 침입 탐지에서 대응까지 통합적인 보안 보안 정책 관리를 제공하는 효과가 있다.

Claims (8)

  1. 삭제
  2. 보안 라우터 시스템상의 보안 정책 관리 장치에 의한 보안 정책 관리 방법에 있어서,
    (a) 상기 보안 라우터 시스템에 요구되는 보안 정책을 결정하는 단계;
    (b) 상기 (a)단계에서 결정된 보안 정책을 보안 정책 데이터베이스에 저장하는 단계;
    (c-1) 상기 보안 정책 데이터베이스에 저장된 보안 정책의 시간 정보를 메모리 리스트로 구성하는 단계;
    (c-2) 상기 보안 정책의 시간 정보와 현재 시간을 비교하여 상기 보안 정책의 시간 정보가 유효한지 여부를 판단하는 단계;
    (c-3) 상기 보안 정책이 상기 보안 라우터 시스템에 이미 적용된 상태인지 여부를 판단하는 단계; 및
    (d) 상기 (c-2) 및 (c-3)단계의 판단결과 상기 보안 정책이 상기 보안 라우터 시스템에 적용할 상태라고 판단되는 경우에 상기 보안 정책을 상기 보안 라우터 시스템에 적용하고, 상기 보안 정책이 상기 보안 라우터 시스템에서 해제할 상태라고 판단되는 경우에 상기 보안 정책을 상기 보안 라우터 시스템에서 해제하는 단계;를 포함하는 것을 특징으로 하는 보안 라우터 시스템의 보안 정책 관리 방법.
  3. 제 2 항에 있어서,
    상기 (c-2)단계에서 상기 보안 정책의 시간 정보가 유효하고, 상기 (c-3)단계에서 상기 보안 정책이 적용된 상태라고 판단되면 상기 보안 정책을 상기 보안 라우터 시스템에 적용하고,
    상기 (c-2)단계에서 상기 보안 정책의 시간 정보가 유효하지 않고, 상기 (c-3)단계에서 상기 보안 정책이 적용된 상태라고 판단되면 상기 보안 정책을 상기 보안 라우터 시스템에서 해제하는 것을 특징으로 하는 보안 라우터 시스템의 보안 정책 관리 방법.
  4. 제 2 항에 있어서,
    상기 (c-2)단계에서 상기 보안 정책의 시간 정보가 유효하고, 상기 (c-3)단계에서 상기 보안 정책이 적용되었다고 판단되거나,
    상기 (c-2)단계에서 상기 보안 정책의 시간 정보가 유효하지 않고, 상기 (c-3)단계에서 상기 보안 정책이 적용되지 않은 상태라고 판단되면 소정의 시간동안 대기하다가 상기 (c-1)단계로 복귀하는 것을 특징으로 하는 보안 라우터 시스템의 보안 정책 관리 방법.
  5. 제 2 항에 있어서,
    상기 메모리 리스트는 상기 보안 정책이 보안 정책 데이터베이스에 추가되거나 삭제 될 때마다 갱신되는 것을 특징으로 하는 보안 라우터 시스템의 보안 정책 관리 방법.
  6. 삭제
  7. 패킷 필터링 보안 정책 알고리즘에 의하여 상기 보안 라우터 시스템에 침입 패킷을 제거하거나 정상 패킷을 통과시키는 패킷 필터링부;
    침입 탐지 보안 정책 알고리즘에 의하여 상기 보안 라우터 시스템에 네크워크 공격을 탐지하는 침입 탐지부;
    신뢰 채널 보안 정책 알고리즘에 의하여 상기 보안 라우터 시스템의 통신채널에 기밀성과 무결성을 제공하는 신뢰 채널부;
    접근 제어 보안 정책 알고리즘에 의하여 상기 보안 라우터 시스템에의 접근을 통제하는 접근 제어부; 및
    상기 패킷 필터링 보안 정책 알고리즘, 침입 탐지 보안 정책 알고리즘, 신뢰 채널 보안 정책 알고리즘 및 접근 제어 보안 정책 알고리즘을 결정하고 적용하는 보안 정책 결정부;
    상기 침입 탐지부에서 발생한 침입정보를 통하여 경보 데이터를 처리하는 경보 관리부;
    상기 침입정보를 분석하여 상기 보안 라우터 시스템에 침입한 네트워크 공격을 차단하는 대응 관리부;
    SNMP를 통해서 주기적으로 상기 보안 라우터 시스템 상태를 보고하고 제어하는 네트워크 관리부; 및
    사용자 인터페이스(GUI)를 이용하여 보안 라우터 시스템을 관리하는 사용자 인터페이스 관리부;로 이루어지는 보안 정책 관리부;를 포함하는 것을 특징으로 하는 보안 라우터 시스템에서의 보안 정책 관리 장치.
  8. 제 7 항에 있어서, 상기 보안 정책 결정부는
    상기 보안 라우터 시스템에 요구되는 보안 정책을 결정하고 상기 결정된 보안 정책을 상기 보안 라우터 시스템에 적용하는 보안 정책 서버;
    상기 결정된 보안 정책의 시간 정보를 검사하여 보안 정책을 적용할 상태인지 해제할 상태인지 여부를 알려주는 시간 제어부; 및
    상기 결정된 보안 정책을 저장하는 보안 정책 데이터베이스;를 포함하여 이루어지는 것을 특징으로 하는 보안 라우터 시스템에서의 보안 정책 관리 장치.
KR1020040091839A 2004-11-11 2004-11-11 보안 라우터 시스템에서의 보안 정책 관리 방법 및 장치 KR100617314B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040091839A KR100617314B1 (ko) 2004-11-11 2004-11-11 보안 라우터 시스템에서의 보안 정책 관리 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040091839A KR100617314B1 (ko) 2004-11-11 2004-11-11 보안 라우터 시스템에서의 보안 정책 관리 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20060044050A KR20060044050A (ko) 2006-05-16
KR100617314B1 true KR100617314B1 (ko) 2006-08-30

Family

ID=37148910

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040091839A KR100617314B1 (ko) 2004-11-11 2004-11-11 보안 라우터 시스템에서의 보안 정책 관리 방법 및 장치

Country Status (1)

Country Link
KR (1) KR100617314B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101226693B1 (ko) * 2010-12-03 2013-01-25 주식회사 웨어밸리 접근 제어 시스템으로 가상 패치하여 공개된 보안 취약점을 제거하는 데이터베이스 보안 관리 방법

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100839050B1 (ko) * 2006-07-14 2008-06-19 경북대학교 산학협력단 이동 단말 보안 관리 시스템 및 그 방법
US9467360B2 (en) 2011-06-27 2016-10-11 Sk Telecom Co., Ltd. System, device and method for managing network traffic by using monitoring and filtering policies
WO2014038737A1 (ko) * 2012-09-07 2014-03-13 에스케이텔레콤 주식회사 모니터링 및 필터링 정책을 이용한 네트워크 트래픽 관리 시스템 및 그 방법
KR101230254B1 (ko) * 2011-12-29 2013-02-06 시큐아이닷컴 주식회사 객체 참조 정보를 관리하기 위한 장치 및 방법
KR101655224B1 (ko) * 2014-12-30 2016-09-22 주식회사 시큐아이 정책 관리 방법 및 그 정책 관리 방법을 적용한 패킷 처리 장치
KR101859988B1 (ko) * 2017-12-22 2018-05-23 주식회사 아론네트웍 네트워크 패킷을 선택적으로 수집하는 장치 및 방법
KR102250147B1 (ko) * 2018-10-22 2021-05-10 성균관대학교산학협력단 네트워크 보안 기능 인터페이스를 위한 보안 정책 번역

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030003593A (ko) * 2001-07-03 2003-01-10 (주) 해커스랩 제한조건 동안 특정 보안정책을 적용할 수 있는 네트워크보안장치 및 네트워크 보안방법
KR20040065674A (ko) * 2003-01-15 2004-07-23 권창훈 통합형 호스트 기반의 보안 시스템 및 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030003593A (ko) * 2001-07-03 2003-01-10 (주) 해커스랩 제한조건 동안 특정 보안정책을 적용할 수 있는 네트워크보안장치 및 네트워크 보안방법
KR20040065674A (ko) * 2003-01-15 2004-07-23 권창훈 통합형 호스트 기반의 보안 시스템 및 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101226693B1 (ko) * 2010-12-03 2013-01-25 주식회사 웨어밸리 접근 제어 시스템으로 가상 패치하여 공개된 보안 취약점을 제거하는 데이터베이스 보안 관리 방법

Also Published As

Publication number Publication date
KR20060044050A (ko) 2006-05-16

Similar Documents

Publication Publication Date Title
Alabady et al. A novel security model for cooperative virtual networks in the IoT era
US7596807B2 (en) Method and system for reducing scope of self-propagating attack code in network
Karmakar et al. Mitigating attacks in software defined networks
US7757283B2 (en) System and method for detecting abnormal traffic based on early notification
Schnackengerg et al. Cooperative intrusion traceback and response architecture (CITRA)
US7539857B2 (en) Cooperative processing and escalation in a multi-node application-layer security system and method
US20050071650A1 (en) Method and apparatus for security engine management in network nodes
JP4684802B2 (ja) セキュリティの脅威に起因してネットワークの通信が制限されている間に仮想ネットワーク内のネットワークデバイスが通信することを可能にすること
US20050216956A1 (en) Method and system for authentication event security policy generation
US7039950B2 (en) System and method for network quality of service protection on security breach detection
US20060282893A1 (en) Network information security zone joint defense system
US20050246767A1 (en) Method and apparatus for network security based on device security status
Chang et al. Deciduous: Decentralized source identification for network-based intrusions
JP2004280724A (ja) 不正アクセス対処システム、及び不正アクセス対処処理プログラム
KR100523483B1 (ko) 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법
OConnor et al. PivotWall: SDN-based information flow control
US20110023088A1 (en) Flow-based dynamic access control system and method
Almaini et al. Lightweight edge authentication for software defined networks
KR100617314B1 (ko) 보안 라우터 시스템에서의 보안 정책 관리 방법 및 장치
Gomez et al. Controller-oblivious dynamic access control in software-defined networks
KR20020075319A (ko) 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템
Khosravifar et al. An experience improving intrusion detection systems false alarm ratio by using honeypot
Kfouri et al. Design of a Distributed HIDS for IoT Backbone Components.
KR20100048105A (ko) 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체
Kumar et al. IPv6 network security using Snort

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee