KR100862194B1 - 침해사건 공유 장치 및 방법, 그리고 이를 포함하는네트워크 보안 시스템 - Google Patents

침해사건 공유 장치 및 방법, 그리고 이를 포함하는네트워크 보안 시스템 Download PDF

Info

Publication number
KR100862194B1
KR100862194B1 KR1020070034102A KR20070034102A KR100862194B1 KR 100862194 B1 KR100862194 B1 KR 100862194B1 KR 1020070034102 A KR1020070034102 A KR 1020070034102A KR 20070034102 A KR20070034102 A KR 20070034102A KR 100862194 B1 KR100862194 B1 KR 100862194B1
Authority
KR
South Korea
Prior art keywords
infringement
message
domain
information
tracking
Prior art date
Application number
KR1020070034102A
Other languages
English (en)
Inventor
김현주
장범환
이수형
김건량
방효찬
손선경
정치윤
김종현
박원주
유종호
나중찬
장종수
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020070034102A priority Critical patent/KR100862194B1/ko
Application granted granted Critical
Publication of KR100862194B1 publication Critical patent/KR100862194B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems

Abstract

본 발명은 침해사건 공유 장치 및 방법, 그리고 이를 포함하는 네트워크 보안 시스템에 관한 것으로, 서로 상이한 도메인들이 침해사건에 관련된 정보를 범용적으로 공유할 수 있도록 하기 위하여, 관리 도메인내에서 침해사건의 발생을 탐지하면, 상기 탐지결과를 반영하는 리포트 메시지를 생성하여 외부 도메인으로 송신하는 리포팅 단계와, 상기 외부 도메인이 상기 리포트 메시지를 수신 및 분석하여, 상기 관리 도메인내에서 발생한 침해사건에 대한 대응동작을 수행하는 리포팅 분석 단계와, 상기 관리 도메인이 상기 침해사건의 추적을 요청하는 추적 요청 메시지를 생성하여 상기 외부 도메인으로 송신하는 추적 요청 단계와, 상기 외부 도메인은 상기 추적 요청 메시지를 수신 및 분석하여, 자신의 도메인내에서 상기 침해 사건을 발생한 침입자의 흔적을 추적한 후, 추적 결과를 반영하는 추적 결과 메시지를 송신하는 추적 실행 단계를 구비하고, 상기 관리 도메인과 상기 외부 도메인은 표준화된 데이터 포맷 및 인터넷 전송 프로토콜을 이용하여 메시지를 생성하고 송수신하는 것을 특징으로 하며, 이에 의하여 인터넷을 이용하는 도메인 모두는 침해사건에 관련된 모든 정보를 공유할 수 있다.

Description

침해사건 공유 장치 및 방법, 그리고 이를 포함하는 네트워크 보안 시스템{Apparatus and method for sharing accident of infringement, and network security system comprising it}
도1은 본 발명의 일실시예에 따른 네트워크 보안 시스템의 개념도를 도시한 도면,
도2는 본 발명의 일실시예에 따른 침해사건 공유 장치의 상세 구성도를 도시한 도면,
도3은 본 발명의 일실시예에 따른 침해사건 공유 장치의 메시지 송수신 방법을 설명하기 위한 도면,
도4a는 본 발명의 일실시예에 따른 침해사건 공유 장치의 침해사건 정보 송신 방법을 설명하기 위한 도면,
도4b는 본 발명의 일실시예에 따른 침해사건 공유 장치의 침해사건 정보 수신 방법을 설명하기 위한 도면,
도5a는 본 발명에 일실시예에 따른 침해사건 공유 장치의 추적 요청 방법을 설명하기 위한 도면, 그리고
도5b는 본 발명에 일실시예에 따른 침해사건 공유 장치의 추적 실행 방법을 설명하기 위한 도면이다.
본 발명은 네트워크 보안 시스템에 관한 것으로, 특히 도메인들내에서 발생하는 침해사건 정보를 공유하여, 침해사건을 보다 신속하고 효율적으로 대응할 수 있도록 하는 침해사건 공유 장치 및 방법, 그리고 이를 포함하는 네트워크 보안 시스템에 관한 것이다.
현재에는 침해사건 정보 공유를 위해, 각 도메인내에서 발생된 침해사건을 대응할 수 있는 기능을 구비한 침해사건 대응팀(Computer Emergency Response Team, 이하 CERT)이 구축하고, 기업 보안 관리 시스템(Enterprise Security Management System; 이하 ESM)을 이용하여 침해사건 정보를 공유하도록 하고 있으나, 이는 아직 관리자의 전적인 개입이 필요한 수동적인 수준에 머물고 있다.
그리고 각 ESM에서 보고되는 침해사건 정보는 그 내용도 각기 다를 뿐 만 아니라, 서로 상이한 데이터 포맷을 가지는 정보를 서로 상이한 전송 방식(예를 들어, 메일, 전화, 또는 웹서버)을 통해 제공되는 형태로 이루어진다.
또한 침해사건 정보에 응답하여 발생되는 취약성 패치나 대응된 정보도 관리자가 수동으로 메일이나 웹서버를 통해 제공해야 하기 때문에 방대한 양의 침해사건 정보를 처리하는 큰 어려움이 있었다.
간혹, 도메인들간의 협력을 통해 침입자를 추적하고 침해사건 정보를 보고하는 사설 ESM이 존재하나, 이러한 사설 ESM은 해당 제품사에서 임의로 정의한 정보, 데이터 포맷, 및 프로토콜을 사용함으로써 동일한 제품사의 사설 ESM만이 침해사건 정보를 공유하도록 한다.
따라서 현재에는 서로 상이한 도메인들 특히, 이기종 시스템이나 언어를 달리하는 국가의 도메인들이 침해사건 정보를 범용적으로 공유하는 데에는 한계가 있었다.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은 표준화된 인터넷 포맷 및 표준 인터넷 전송 프로토콜을 사용하여 도메인들이 침해사건에 관련된 정보를 범용적으로 공유할 수 있도록 하는 침해사건 공유 장치 및 방법, 그리고 이를 포함하는 네트워크 보안 시스템을 제공하는데 있다.
상기와 같은 본 발명의 목적을 달성하기 위하여, 본 발명의 침해사건 공유 방법 은 관리 도메인내에서 침해사건의 발생을 탐지하면, 상기 탐지결과를 반영하는 리포트 메시지를 생성하여 외부 도메인으로 송신하는 리포팅 단계와, 상기 외부 도메인이 상기 리포트 메시지를 수신 및 분석하여, 상기 관리 도메인내에서 발생한 침해사건에 대한 대응동작을 수행하는 리포팅 분석 단계와, 상기 관리 도메인이 상기 침해사건의 추적을 요청하는 추적 요청 메시지를 생성하여 상기 외부 도메인으로 송신하는 추적 요청 단계와, 상기 외부 도메인은 상기 추적 요청 메시지를 수신 및 분석하여, 자신의 도메인내에서 상기 침해 사건을 발생한 침입자의 흔적을 추적한 후, 추적 결과를 반영하는 추적 결과 메시지를 송신하는 추적 실행 단계를 구비 하고, 상기 관리 도메인과 상기 외부 도메인은 표준화된 데이터 포맷 및 인터넷 전송 프로토콜을 이용하여 메시지를 생성하고 송수신하는 것을 특징으로 한다.
상기와 같은 본 발명의 목적을 달성하기 위하여, 본 발명의 네트워크 보안 시스템은 관리 도메인내에서 발생된 침해사건을 탐지하거나, 상기 침해 사건을 발생한 침입자의 흔적을 추적하는 보안 관리 장치와, 동일한 관리 도메인에 위치되는 상기 보안 관리 장치의 동작 결과를 반영하는 메시지를 상기 외부 도메인에 제공하고, 상기 외부 도메인이 제공하는 메시지를 분석하여 상기 보안 관리 장치의 동작을 제어하는 침해 사건 공유 장치를 구비하고, 상기 침해 사건 공유 장치는 표준화된 데이터 포맷 및 인터넷 전송 프로토콜을 이용하여 상기 외부 도메인내에 위치되는 침해 사건 공유 장치와 메시지를 송수신하는 것을 공유하는 것을 특징으로 한다.
이하 첨부된 도면을 참조하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있는 바람직한 실시 예를 상세히 설명한다. 다만, 본 발명의 바람직한 실시 예에 대한 동작 원리를 상세하게 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다.
또한, 도면 전체에 걸쳐 유사한 기능 및 작용을 하는 부분에 대해서는 동일한 도면 부호를 사용한다.
도1은 본 발명의 일실시예에 따른 네트워크 보안 시스템의 개념도를 도시한 도면이다.
도1에 도시된 바와 같이, 본 발명이 적용되는 네트워크 시스템은 다수의 도메인들(100~300)로 이루어지며, 각 도메인별로 침해사건 공유 장치(110,210,310), 보안 관리 장치(120,220,320)로 이루어진 네트워크 보안 시스템과 스위칭 장치(130,230,330)를 구비한다.
각 침해사건 공유 장치(예를 들어, 110)는 표준화된 데이터 포맷 및 인터넷 전송 프로토콜을 사용하여, 외부 도메인에 위치되는 침해사건 공유 장치(예를 들어, 210,310)들과 메시지를 송수신하여 침해사건 발생에 관련된 정보 및 침해사건 추적에 관련된 정보를 공유한다.
이때, 표준화된 데이터 포맷의 일례로는 ITFT(Internet Engineering Task Force)의 표준화로 진행 중인 IODEF 와 RID 데이터 포맷(이하, IODEF/RID 데이터 포맷)이 있으며, 표준화된 인터넷 전송 프로토콜의 일례로는 HTTPS(hypertext transfer protocol over Secure Sockets Layer, HTTP over SSL) 와 SOAP(Simple Object Access Protocol) 프로토콜(이하, SOAP/HTTPS 프로토콜)있다.
즉, 침해사건 공유 장치(110)는 상기와 같은 표준화된 데이터 포맷과 인터넷 전송 프로토콜을 사용하여 자신이 관리하는 도메인(이하, 관리 도메인)(100)에 위치되는 보안 관리 장치(120)의 탐지 동작 및 추적 동작에 관련된 정보를 외부 도메인(200,300)에 위치되는 다른 침해사건 공유 장치(210,310)에게 제공하거나, 외부 도메인(200,300)에 위치되는 다른 침해사건 공유 장치(210,310)로부터 제공되는 정보를 수신 및 분석하고, 분석 결과를 통해 보안 관리 장치(120)의 동작을 제어한다.
각 보안 관리 장치(예를 들어, 120)는 관리 도메인(100)에서 발생되는 침해사건을 탐지하고 침해사건 공유 장치(110)로 통보하거나, 침해사건 공유 장치(110)의 분석 결과에 응답하여 자신의 도메인(100) 또는 외부 도메인(200,300)에 발생된 침해사건에 대한 여러 가지 대응동작(예를 들어, 정보 저장 동작, 통보 동작, 및 추적 동작등)을 수행한다.
각 스위칭 장치(130, 230, 330)는 메시지의 송수신 경로를 결정한 후, 실질적인 메시지 송수신을 실행한다.
이와 같이, 본 발명의 침해사건 공유 장치는 인터넷 서비스를 위해 이미 표준화되어 널리 사용되고 있는 표준화된 데이터 포맷 및 인터넷 전송 프로토콜을 이용하여 메시지를 송수신한다. 이에 별도의 장치 또는 프로그램 없이도 기존의 인터넷망을 통해 용이하게 메시지를 송수신하고, 이를 통해 다양한 정보를 공유할 수 있다.
도2는 본 발명의 일실시예에 따른 침해사건 공유 장치(110)의 상세 구성도를 도시한 도면이다.
도2를 참조하면, 침해사건 공유 장치는 제어부(111), 메시지 변환부(112), 메시지 송수신부(113), 및 외부 시스템 통신부(114)를 구비하고, 제어부(111)는 리포팅부(111-1), 리포팅 분석부(111-2), 추적 요청부(111-3), 및 추적 실행부(111-4)를 구비한다.
제어부(111)의 리포팅부(111-1)는 침해사건의 심각도별로 침해사건 정보를 공유할 도메인(또는 다른 침해사건 공유 장치)의 신뢰도 등급을 사전에 설정한다. 그리고 대응되는 보안 관리 장치(120)에서 침해사건을 탐지하면, 침해사건 정보를 생성한 후 침해 사건의 심각도를 참조하여 정보를 공유할 외부 도메인들에게 전송한다.
리포팅 분석부(111-3)는 리포팅 등급별 공유 정보 처리 방식을 사전에 설정한다. 그리고 외부 도메인내에 위치되는 침해사건 공유 장치로부터 전송되는 침해사건 정보를 분석하여 리포팅 등급을 확인하고, 확인된 리포팅 등급에 가장 적합한 대응 행위(expectation)를 파악하여 보안 관리 장치(120)에 통보한다.
이때의 리포팅 등급은 침해사건이 발생한 도메인의 신뢰도(또는 침해사건 공유 장치의 신뢰도), 침해 사건의 심각도, 및 대응행위의 우선순위에 따라 결정되며, 이러한 리포팅 등급의 판단 기준은 도메인 관리자(또는 침해사건 공유 장치의 관리자)에 의해 임의로 설정 및 변경 가능하다. 또한 리포팅 분석부(111-3)는 대응행위를 IODEF/RID의 표준화 방안으로 제시된 "The Incident Objection Description Exchange Format(draft-ietf-inch-10.txt)"의 문서에 따라 IODEF의 대응행위(expectation) 클래스의 동작(action)으로 정의된 16개 값에 따라 분석 및 선택한다.
추적 요청부(111-3)는 추적 등급별 공유 정보 처리 방식을 사전에 설정하고, 대응되는 보안 관리 장치(120)가 탐지한 침해사건을 분석하여 추적 등급을 확인한다. 확인 결과, 추적 등급이 낮으면 추적 정보에 대한 저장 및 통보동작만 수행하고, 추적 등급이 높으면 추적 정보를 침입 트래픽이 유입된 경로 상에서 자신과 가장 인접한 도메인에게 침해사건의 추적을 요청한다.
이때의 추적 등급은 침해사건이 발생한 도메인의 신뢰도 및 침해 사건의 심각도에 따라 결정되며, 이러한 추적 등급의 판단 기준도 도메인 관리자(또는 침해사건 공유 장치의 관리자)에 의해 임의로 설정 및 변경 가능하다.
추적 실행부(111-4)는 외부 도메인내에 위치되는 침해사건 공유 장치에 의해 추적 동작이 요청되면, 대응되는 보안 관리 장치(120)를 이용하여 관리 도메인내에서 침입사건을 일으킨 침입자를 추적한 후, 추적 결과를 피드백한다.
이때, 추적 요청부(111-3) 및 추적 실행부(111-4)는 IODEF/RID의 표준화 방안으로 제시된 "Incident handling:Real-time Inter-network Defence(draft-ietf-inch-rid-08.txt)"의 문서에 따라 메시지 송수신을 송수신한다.
메시지 변환부(112)는 제어부(111)로부터 출력되는 정보를 XML(Extensible Markup Language) 인코딩하여 IODEF/RID 데이터 포맷으로 변환하거나, 메시지 송수신부(113)로부터 출력되는 신호를 XML 디코딩하여 제어부(111)가 인식할 수 있는 데이터 형태로 변환한다.
메시지 송수신부(113)는 메시지 변환부(112)로부터 출력되는 신호를 SOAP/HTTPS 프로토콜에 따라 외부 도메인으로 전송하거나, 외부 도메인으로부터 전송되는 신호를 SOAP/HTTPS 프로토콜에 수신하여 메시지 변환부(112)로 전달한다.
도3은 본 발명의 일실시예에 따른 침해사건 공유 장치의 메시지 송수신 방법을 설명하기 위한 도면이다.
먼저, 특정 관리 도메인(100)내에 위치되는 보안 관리 장치(120)에 의해 외부 도메인(200)과 공유할 정보가 발생하면(S101), 침해 공유 장치는 공유하고자 하 는 정보를 XML 인코딩하여(S102), IODEF/RID 데이터 포맷을 가지는 메시지를 생성한 후(S103), SOAP/HTTPS 프로토콜에 따라 외부 도메인(200)으로 전송한다(S104).
이에 외부 도메인(200)내에 위치되는 침해 공유 장치(210)는 SOAP/HTTPS 프로토콜을 이용하여 IODEF/RID 데이터 포맷을 가지는 메시지를 수신하고(S105), XML 디코딩하여 침해 공유 장치(210)가 인식할 수 있는 정보를 추출한다(S106).
도4a, 도4b는 본 발명의 일실시예에 따른 침해사건 공유 장치의 침해사건 정보 공유 방법을 설명하기 위한 것이다.
먼저, 도4a를 참조하여 침해사건 정보 송신 방법을 설명하면 다음과 같다.
특정 도메인(100)내에 위치되는 보안 관리 장치(120)에 의해 침해사건이 탐지되면(S201), 특정 도메인(100)내에 위치되는 침해사건 공유 장치(110)는 단계S201을 통해 탐지된 침해사건을 분석하여 침해사건의 심각도를 확인한다(S202).
단계S202의 확인 결과, 침해사건의 심각도가 낮으면(Low), 침해 공유 장치(110)는 자신의 관리자에게 침해사건의 발생을 통보하고, 자신이 관리하는 도메인의 신뢰도, 탐지된 침해사건의 심각도, 그리고 필요한 대응 행위 및 이의 우선순위에 대한 정보 등을 수집하여 침해사건 정보를 생성하여 데이터베이스(115)에 저장한다(S203). 즉, 외부 도메인들과의 정보 공유 동작을 수행하지 않는다.
반면, 침해사건의 심각도가 보통이면(Medium), 상기의 침해사건 정보를 XML 인코딩하여 IODEF/RID 데이터 포맷을 가지는 리포트 메시지를 생성한 후(S204), SOAP/HTTPS 프로토콜을 이용하여 디폴트(default) 도메인내에 위치하는 침해사건 공유 장치로 전송한다(S205). 그리고 단계S203로 진입하여 저장 및 통보 동작을 수 행한다.
그리고 침해사건의 심각도가 높으면(High), 상기의 침해사건 정보를 XML 인코딩하여 IODEF/RID 데이터 포맷을 가지는 리포트 메시지를 생성한 후(S206), 높은 신뢰도(Trusted, Very Trusted)를 가지는 외부 도메인내에 위치하는 침해사건 공유 장치 모두에 전송한 후(S207), 단계S203로 진입하여 저장 및 통보 동작을 수행한다.
상기의 과정에 의해 생성 및 전송되는 리포팅 메시지를 수신한 침해 공유 장치(예를 들어, 210)는 외부 도메인(100)에서 침해사건이 발생하였음을 확인하고, 도4b의 침해사건 리포팅 수신 방법을 수행한다.
계속하여 도4b를 참조하면, SOAP/HTTPS 프로토콜을 이용하여 리포팅 메시지를 수신한 침해사건 공유 장치(210)는 수신한 리포팅 메시지를 XML 디코딩하여(S301), 침해사건 정보를 추출한다(S302).
그리고 추출된 침해사건 정보를 분석하여 송신 도메인의 신뢰도를 확인하고(S303), 송신 도메인이 네트워크 보안 시스템에 미등록된(Not Registered) 도메인이거나 낮은 신뢰도(Untrusted)를 가지면, 현재에 추출된 침해사건 정보는 믿을 수 없다고 판단하고 단계S308로 진입하여 통보 및 저장 동작만을 수행하고(S308), 높은 신뢰도(Trusted, Very Trusted)를 가지면 침해사건의 심각도를 더 확인한다(S304).
단계S304의 확인결과, 침해사건의 심각도가 낮으면(Low), 다시 단계S308로 진입해 저장 및 통보 동작만을 수행하고, 침해사건의 심각도가 높으면(High), 매우 위험한 침해사건이 발생하였다고 판단하고 즉각적으로 침해사건에 대한 대응 행위를 수행하고(S307), 침해사건의 심각도가 보통이면(Medium), 대응 행위의 우선순위를 더 확인한다(S305).
단계S305의 확인결과, 대응 행위의 우선순위가 낮으면(Low) 단계S308로 진입해 통보 및 저장 동작을 수행하고, 높으면(High) 단계S307의 대응 행위를 수행하고, 보통이면(Medium) 다시 한 번 더 침해사건이 발생한 도메인의 신뢰도를 확인한다(S306).
단계S306의 확인 결과, 침해사건이 발생한 도메인의 신뢰도가 높으면(Trusted), 단계S308로 진입하여 통보 및 저장 동작을 수행하고, 매우 높으면(Very Trusted) 단계S307로 진입하여 침해사건에 대한 대응 행위를 수행한다.
즉, 리포팅 메시지를 수신 및 분석하여, 송신 도메인에서 발생한 침해 사건의 리포팅 등급을 파악하고, 이에 따라 침해 사건의 처리 방식을 달리하여 준다.
도5는 본 발명에 일실시예에 따른 네트워크 보안 시스템의 추적 방법을 설명하기 위한 것이다.
먼저, 도5a를 참조하여 추적 요청 방법을 설명하면 다음과 같다.
침해 공유 장치(110)는 상기의 리포팅 송신 동작이 완료되면, 대응되는 보완 관리 시스템(120)을 통해 침입자 추적을 위한 정보를 수신하여 추적 정보를 생성한 후(S401), 생성된 추적 정보가 일정 시간이내에 중복 생성된 것인지를 확인한다(S402).
단계S402의 확인 결과, 생성된 추적 정보가 중복된 것이 아니면, 침해 공유 장치(110)는 침해사건을 일으킨 침입자의 침입 경로 상에서 자신과 가장 인접한 도메인을 수신 도메인으로 획득한 후(S403), 수신 도메인(200)의 신뢰도를 분석한다(S404).
단계S404의 분석 결과, 수신 도메인(200)이 네트워크 보안 시스템에 미등록된(Not Registered) 도메인이거나 낮은 신뢰도(Untrusted)를 가지면, 추적 요청 동작은 중지하고 단계S401을 통해 생성된 추적 정보를 저장하면서 자신의 관리자에게 추적이 종료되었음을 통보한다(S408).
반면 수신 도메인(200)의 신뢰도가 높으면(Trusted, Very Trusted), 침해사건의 심각도를 더 확인한다(S405).
단계S405의 확인 결과, 침해사건의 심각도가 낮으면(Low), 단계S408로 진입하여 통보 및 저장 동작만 수행하고, 보통이상이면(Medium, High), 단계S401을 통해 생성된 추적 정보를 XML인코딩하여 추적 요청 메시지를 생성한 후, 수신 도메인(200)으로 전송한다(S407). 그리고 단계 S408로 진입하여 정보 및 통보 동작을 수행한다(S408).
상기의 과정을 통해 추적 요청 메시지를 수신한 수신 도메인(200)내의 침해 공유 장치(210)는 도5b의 추적 실행 방법을 이용하여 침입자를 추적하여 준다.
계속하여 도5b를 참조하면, SOAP/HTTPS 프로토콜을 이용하여 추적 요청 메시지를 수신한 침해사건 공유 장치(210)는 수신한 추적 요청 메시지를 XML 디코딩하여(S501), 추적 요청 메시지로부터 추적 정보를 추출한 후 중복 수신 여부를 확인한다(S502).
단계S502의 확인 결과, 추적 정보가 중복 수신된 것이 아니면, 추적 요청 메시지를 분석하여 송신 도메인의 신뢰도를 확인한다(S503).
단계S503의 확인 결과, 송신 도메인이 네트워크 보안 시스템에 미등록된(Not Registered) 도메인이거나 낮은 신뢰도(Untrusted)를 가지면, 현재에 추출된 추적 정보는 무시하고 추적 거부 메시지를 생성하여(S504) 송신 시스템으로 전송한 후(S505), 추출된 추적 정보를 저장하면서 자신의 관리자에게 통보한다(S506).
반면 단계S503의 확인 결과, 송신 도메인이 높은 신뢰도(Trusted, Very Trusted)를 가지면 침해사건의 심각도를 더 확인한다(S507).
침해사건의 심각도가 보통 이상이면(Medium, High), 추적 승인 메시지를 생성하여(S508) 송신 시스템으로 전송한 후(S509), 보안 관리 장치를 이용하여 자신의 도메인내에서 상기의 침해사건을 발생한 침입자의 흔적을 추적한다(S510).
그리고 추적 결과를 반영하는 추적 결과 메시지를 생성하여 송신 시스템으로 전송한 뒤(S511), 추적 결과를 저장하고 관리자에 통보한다(S512).
상기의 실시예에서는 보안 관리 장치와 침해사건 공유 장치를 분리되도록 구현하였지만, 필요에 따라서는 통합 구현할 수 있음은 물론 당연하다.
이상에서 설명한 본 발명은 전술한 실시 예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경할 수 있다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 당업자에게 있어 명백할 것이다.
이와 같이 본 발명의 침해사건 공유 장치 및 방법, 그리고 이를 포함하는 네트워크 보안 시스템은 표준화된 데이터 포맷 및 인터넷 전송 프로토콜을 이용하여 도메인간의 정보를 공유하므로, 인터넷을 이용하는 도메인 모두는 침해사건에 관련된 정보를 범용적으로 공유할 수 있다.

Claims (17)

  1. 관리 도메인내에서 발생하는 침해사건을 탐지하고, 상기 탐지 결과에 따라 상기 관리 도메인의 신뢰도, 상기 발생한 침해사건의 심각도 및 대응행위의 우선순위에 대한 정보를 포함하는 침해사건 정보를 생성하는 단계;
    상기 침해사건의 심각도가 낮으면, 상기 침해 사건 정보를 저장하고 상기 관리 도메인내에서 침해사건이 발생하였음을 통보하는 단계; 및
    상기 침해사건의 심각도가 보통이거나 혹은 높은 경우에, 상기 침해사건 정보를 IODEF/RID 데이터 포맷의 리포트 메시지로 생성한 후, SOAP/HTTPS 프로토콜을 이용하여 전송하는 단계를 포함하고,
    상기 침해사건의 심각도가 보통이면, 디폴트 도메인으로 상기 리포트 메시지를 전송하고, 상기 침해사건의 심각도가 높으면 높은 신뢰도를 가지는 외부 도메인으로 상기 리포트 메시지를 전송하는 것을 특징으로 하는 침해사건 공유 방법.
  2. 외부 도메인으로부터 SOAP/HTTPS 프로토콜을 이용해 수신된 리포트 메시지를 디코딩하여 침해사건 정보를 추출하고, 상기 침해사건 정보로부터 리포트 메시지를 송신한 외부 도메인의 신뢰도, 상기 침해사건의 심각도 및 대응행위의 우선순위에 대한 정보를 분석하여 리포트 등급을 결정하는 단계;
    상기 결정된 리포트 등급이 낮으면, 상기 침해 사건 정보를 저장하면서 상기 침해사건이 발생하였음을 통보하는 단계; 및
    상기 리포트 등급이 높으면, 상기 침해 사건 정보를 저장하고, 상기 침해사건에 대응하는 대응행위를 수행하는 단계를 포함하는 것을 특징으로 하는 침해사건 공유 방법.
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 침해사건의 추적을 요청하는 추적 요청 메시지를 생성하여, 외부 도메인으로 송신하는 추적 요청 단계; 및
    상기 추적 요청 메시지를 수신한 외부 도메인에 의해 상기 침해사건을 발생한 침해자를 추적한 실행 결과를 포함하는 추적 결과 메시지를 수신하는 단계를 더 포함하는 침해사건 공유 방법.
  4. 제3항에 있어서, 상기 추적 요청 단계는
    상기 침해사건이 탐지되면, 상기 침해 사건을 추적하기 위한 정보를 수집하여 추적 정보를 생성하는 단계;
    상기 침해 사건의 침입 경로 상에 있는 외부 도메인을 수신 도메인으로 획득한 후, 상기 수신 도메인의 신뢰도를 확인하는 단계;
    상기 수신 도메인의 신뢰도 및 상기 침해 사건의 심각도가 높으면, 상기 추적 정보를 인코딩하여 추적 요청 메시지를 생성한 후, 상기 SOAP/HTTPS 프로토콜에 따라 상기 수신 도메인으로 송신하는 단계를 포함하는 것을 특징으로 하는 침해사건 공유 방법.
  5. 제4항에 있어서, 상기 추적 요청 메시지를 수신한 외부 도메인은
    상기 SOAP/HTTPS 프로토콜에 따라 상기 추적 요청 메시지를 수신한 후 디코딩하여 상기 추적 정보를 추출하고, 상기 추적 정보를 분석하여 추적 등급을 파악하는 단계;
    상기 추적 등급이 낮으면, 상기 추적 정보를 저장하고 상기 관리 도메인으로부터 추적 요청이 있었음을 통보하는 단계;
    상기 추적 등급이 높으면, 자신의 도메인내에서 침해사건을 발생한 침입자를 추적하고, 추적 결과를 인코딩하여 상기 IODEF/RID 데이터 포맷을 가지는 상기 추적 결과 메시지를 생성한 후, 상기 SOAP/HTTPS 프로토콜에 따라 송신 도메인으로 송신하는 단계를 실행하는 것을 특징으로 하는 침해사건 공유 방법.
  6. 제 5 항에 있어서, 상기 추적 등급은
    괸리 도메인의 신뢰도 및 침해 사건의 심각도에 따라 결정되며, 상기 추적 등급의 판단 기준은 설정 및 변경 가능한 것을 특징으로 하는 침해사건 공유 방법.
  7. 삭제
  8. 삭제
  9. 삭제
  10. 삭제
  11. 관리 도메인내에서 발생하는 침해사건을 탐지하고, 상기 탐지 결과에 따라 상기 관리 도메인의 신뢰도, 상기 발생한 침해사건의 심각도 및 대응행위의 우선순위에 대한 정보를 포함하는 침해사건 정보를 생성하거나, 외부 도메인으로부터 수신되는 침해사건 정보를 분석하여 보안 관리 장치의 동작을 제어하는 제어부; 및
    상기 침해사건 정보를 IODEF/RID 데이터 포맷에 따라 인코딩하여 메시지를 생성하고, 상기 외부 도메인으로부터 전송되는 메시지를 IODEF/RID 데이터 포맷에 따라 디코딩하여 상기 침해사건 정보를 추출하는 메시지 변환부; 및
    상기 메시지 변환부가 생성한 메시지를 SOAP/HTTPS 프로토콜을 이용하여 상기 외부 도메인으로 송신하고, 상기 외부 도메인으로부터 전송되는 메시지를 SOAP/HTTPS 프로토콜을 통해 수신한 후 상기 메시지 변환부로 전달하는 메시지 송수신부를 포함하는 침해 사건 공유 장치.
  12. 삭제
  13. 제11항에 있어서, 상기 제어부는
    상기 탐지한 침해사건에 대한 정보를 수집하여 리포팅 메시지를 생성한 후, 상기 외부 도메인으로 송신하는 리포팅부;
    상기 외부 도메인으로부터 전송되는 리포팅 메시지를 분석하여, 상기 외부 도메인에서 발생한 침해사건에 대한 대응동작을 파악하고 상기 보안 관리 장치에 통보하는 리포팅 분석부;
    상기 보안 관리 장치에서 탐지한 침해사건을 추적하기 위한 정보를 수집하여 추적 요청 메시지를 생성한 후, 상기 침해 사건이 유입된 경로 상에 위치하는 외부 도메인에 송신하는 추적 요청부; 및
    외부 도메인으로부터 전송되는 추적 요청 메시지를 응답하여 자신의 도메인내에서 상기 침해 사건을 발생한 침입자의 흔적을 추적한 후, 추적 결과를 반영하는 추적 결과 메시지를 상기 관리 도메인으로 송신하는 추적 실행부를 포함하는 것을 특징으로 하는 침해 사건 공유 장치.
  14. 관리 도메인내에서 발생하는 침해사건을 탐지하고, 상기 탐지 결과에 따라 상기 관리 도메인의 신뢰도, 상기 발생한 침해사건의 심각도 및 대응행위의 우선순위에 대한 정보를 포함하는 침해사건 정보를 생성하거나, 상기 침해 사건을 발생한 침입자의 흔적을 추적하는 보안 관리 장치; 및
    상기 관리 도메인에 위치되는 상기 보안 관리 장치의 동작 결과를 공유하기 위한 메시지를 생성하여 외부 도메인으로 송신하고, 상기 외부 도메인으로부터 전송되는 메시지를 수신 및 분석하여 상기 보안 관리 장치의 동작을 제어하는 침해 사건 공유 장치를 구비하고,
    상기 침해 사건 공유 장치는
    표준화된 데이터 포맷에 따라 메시지를 인코딩 또는 디코딩하며, 상기 표준화된 데이터 인터넷 전송 프로토콜에 따라 상기 메시지를 송신 또는 수신하는 것을 특징으로 하는 네트워크 보안 시스템.
  15. 제14항에 있어서,
    상기 표준화된 데이터 포맷은 IODEF/RID 데이터 포맷이며,
    상기 표준화된 인터넷 전송 프로토콜은 SOAP/HTTPS 프로토콜인 것을 특징으로 하는 네트워크 보안 시스템.
  16. 제15항에 있어서, 상기 침해 사건 공유 장치는
    공유할 정보를 생성하거나, 상기 외부 도메인에 의해 공유되는 정보를 분석하여 상기 보안 관리 장치의 동작을 제어하는 제어부; 및
    상기 공유할 정보를 상기 IODEF/RID 데이터 포맷에 따라 인코딩하여 메시지를 생성하고, 상기 외부 도메인으로부터 전송되는 메시지를 상기 IODEF/RID 데이터 포맷에 따라 디코딩하여 상기 공유되는 정보를 추출하는 메시지 변환부; 및
    상기 메시지 변환부가 생성한 메시지를 상기 SOAP/HTTPS 프로토콜을 이용하여 상기 외부 도메인으로 송신하고, 상기 외부 도메인으로부터 전송되는 메시지를 상기 SOAP/HTTPS 프로토콜을 통해 수신한 후 상기 메시지 변환부로 전달하는 메시지 송수신부를 포함하는 것을 특징으로 하는 네트워크 보안 시스템.
  17. 제16항에 있어서, 상기 제어부는
    상기 보안 관리 장치에서 탐지한 침해사건에 대한 정보를 수집하여 리포팅 메시지를 생성한 후, 상기 외부 도메인으로 송신하는 리포팅부;
    상기 외부 도메인으로부터 전송되는 상기 리포팅 메시지를 분석하여, 상기 외부 도메인에서 발생한 침해사건에 대한 대응동작을 파악하고 상기 보안 관리 장치에 통보하는 리포팅 분석부;
    상기 보안 관리 장치에서 탐지한 침해사건을 추적하기 위한 정보를 수집하여 추적 요청 메시지를 생성한 후, 상기 침해 사건이 유입된 경로 상에 위치하는 상기 외부 도메인에 송신하는 추적 요청부; 및
    상기 외부 도메인으로부터 전송되는 추적 요청 메시지를 응답하여 자신의 도메인내에서 상기 침해 사건을 발생한 침입자의 흔적을 추적한 후, 추적 결과를 반영하는 추적 결과 메시지를 상기 관리 도메인으로 송신하는 추적 실행부를 포함하는 것을 특징으로 하는 네트워크 보안 시스템.
KR1020070034102A 2007-04-06 2007-04-06 침해사건 공유 장치 및 방법, 그리고 이를 포함하는네트워크 보안 시스템 KR100862194B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070034102A KR100862194B1 (ko) 2007-04-06 2007-04-06 침해사건 공유 장치 및 방법, 그리고 이를 포함하는네트워크 보안 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070034102A KR100862194B1 (ko) 2007-04-06 2007-04-06 침해사건 공유 장치 및 방법, 그리고 이를 포함하는네트워크 보안 시스템

Publications (1)

Publication Number Publication Date
KR100862194B1 true KR100862194B1 (ko) 2008-10-09

Family

ID=40152908

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070034102A KR100862194B1 (ko) 2007-04-06 2007-04-06 침해사건 공유 장치 및 방법, 그리고 이를 포함하는네트워크 보안 시스템

Country Status (1)

Country Link
KR (1) KR100862194B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017052971A1 (en) * 2015-09-25 2017-03-30 Intel Corporation Technologies for anonymous context attestation and threat analytics
KR101964592B1 (ko) 2018-04-25 2019-04-02 한국전자통신연구원 보안위협 정보 공유 장치 및 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030021338A (ko) * 2001-09-05 2003-03-15 한국전자통신연구원 네트워크간의 침입에 대응하기 위한 보안 시스템 및 그 방법
KR20040035572A (ko) * 2002-10-22 2004-04-29 최운호 정보 인프라에서의 종합 침해사고 대응시스템 및 그운영방법
KR20040042064A (ko) * 2002-11-12 2004-05-20 학교법인 성균관대학 블랙보드기반의 네트워크 보안 시스템 및 이의 운용방법
US7028338B1 (en) 2001-12-18 2006-04-11 Sprint Spectrum L.P. System, computer program, and method of cooperative response to threat to domain security

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030021338A (ko) * 2001-09-05 2003-03-15 한국전자통신연구원 네트워크간의 침입에 대응하기 위한 보안 시스템 및 그 방법
US7028338B1 (en) 2001-12-18 2006-04-11 Sprint Spectrum L.P. System, computer program, and method of cooperative response to threat to domain security
KR20040035572A (ko) * 2002-10-22 2004-04-29 최운호 정보 인프라에서의 종합 침해사고 대응시스템 및 그운영방법
KR20040042064A (ko) * 2002-11-12 2004-05-20 학교법인 성균관대학 블랙보드기반의 네트워크 보안 시스템 및 이의 운용방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017052971A1 (en) * 2015-09-25 2017-03-30 Intel Corporation Technologies for anonymous context attestation and threat analytics
US10440046B2 (en) 2015-09-25 2019-10-08 Intel Corporation Technologies for anonymous context attestation and threat analytics
KR101964592B1 (ko) 2018-04-25 2019-04-02 한국전자통신연구원 보안위협 정보 공유 장치 및 방법
US11064026B2 (en) 2018-04-25 2021-07-13 Electronics And Telecommunications Research Institute Apparatus and method for sharing security threat information

Similar Documents

Publication Publication Date Title
Zhu et al. SCADA-specific intrusion detection/prevention systems: a survey and taxonomy
US6353385B1 (en) Method and system for interfacing an intrusion detection system to a central alarm system
KR100838799B1 (ko) 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법
CN110188018B (zh) 一种数据同步复制软件运维监控系统
CN111770108A (zh) 基于人工智能的网络安全系统
AU2015205906B2 (en) Released offender geospatial location information clearinghouse
CN111314296A (zh) 一种基于旁路技术的网络流量分析安全服务系统
KR20020000225A (ko) 컴퓨터 시스템의 통합적인 원격 보안 관리를 수행하는시스템 및 방법
KR100862194B1 (ko) 침해사건 공유 장치 및 방법, 그리고 이를 포함하는네트워크 보안 시스템
KR100984282B1 (ko) 메모리캐쉬를 이용한 통합보안관리시스템
CN106533542B (zh) 一种大数据网络传输保护系统
KR101871406B1 (ko) 화이트리스트를 이용한 제어시스템의 보안관제 방법 및 이를 위한 시스템
KR20120016732A (ko) 멀티테넌시 환경에서 테넌트 별 보안 관제를 위한 클라우드 컴퓨팅 시스템 및 그 방법
US9614860B2 (en) Equipment and network health monitoring using security systems
KR102384672B1 (ko) 보안 장비, 보안 위협 분석 장치 및 방법
CN107294998A (zh) 一种智能电力二次系统的安全防护系统
Masduki et al. Leverage intrusion detection system framework for cyber situational awareness system
KR102145421B1 (ko) 스마트 게이트웨이를 구비한 디지털변전소
CN112564982A (zh) 安全风险自动通报方法及系统
KR101804565B1 (ko) 통합 이벤트 처리 방법 및 이를 실행하는 시스템
KR100959099B1 (ko) 빌딩 자동 제어 시스템에서 알람 전송 방법 및 제어 장치
CN1349164A (zh) 主机性能监测及自动反应系统
CN114221787B (zh) 基于时间策略的网络安全处理方法、系统和存储介质
KR102229613B1 (ko) 머신러닝 자가점검 기능을 이용하는 비대면 인증 기반 웹방화벽 유지보수 방법 및 장치
Teixeira et al. A Water Security Plan to Enhance Resilience of Drinking Water Systems

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120928

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20130923

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20140926

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20150925

Year of fee payment: 8

LAPS Lapse due to unpaid annual fee