KR100906389B1 - System, Server and Method for Analyzing Integrated Authentication-Logs based on ?????? - Google Patents
System, Server and Method for Analyzing Integrated Authentication-Logs based on ?????? Download PDFInfo
- Publication number
- KR100906389B1 KR100906389B1 KR1020070045338A KR20070045338A KR100906389B1 KR 100906389 B1 KR100906389 B1 KR 100906389B1 KR 1020070045338 A KR1020070045338 A KR 1020070045338A KR 20070045338 A KR20070045338 A KR 20070045338A KR 100906389 B1 KR100906389 B1 KR 100906389B1
- Authority
- KR
- South Korea
- Prior art keywords
- log
- integrated log
- user
- authentication
- server
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Debugging And Monitoring (AREA)
Abstract
본 발명은 802.1x 인증기반 통합로그 분석 기능을 제공하는 통합로그분석시스템, 통합로그 서버, 및 방법에 관한 것으로서, 본 발명은 네트워크 접속시도자인 사용자에 대한 인증관련 정보가 포함된 로그를 취합하여 통합로그를 생성하고 분석하는 802.1x 인증기반 통합로그 분석시스템에 있어서, (a) 사용자에 대한 인증관련 정보가 포함된 상기 로그를 저장하고 있는 복수의 이기종 장치가 포함된 802.1x 인증기반 통합로그 클라이언트; (b) 상기 통합로그 클라이언트로부터 상기 로그를 전송받아 통합로그를 생성하는 802.1x 인증기반 통합로그 서버; 및 (c) 상기 통합로그 서버에 의해 생성된 상기 통합로그를 조회하고 분석하는 통합로그 분석기를 포함하는 것을 특징으로 하는 통합로그 분석시스템이다. The present invention relates to an integrated log analysis system, an integrated log server, and a method for providing an integrated log analysis function based on 802.1x authentication. The present invention collects and integrates a log including authentication related information about a user who is a network access attempter. An 802.1x authentication-based integrated log analysis system for generating and analyzing a log, comprising: (a) an 802.1x authentication-based integrated log client including a plurality of heterogeneous devices storing the log including authentication related information about a user; (b) an 802.1x authentication based integrated log server configured to receive the log from the integrated log client and generate an integrated log; And (c) an integrated log analyzer for querying and analyzing the integrated log generated by the integrated log server.
본 발명에 의하면, 통합로그 분석시스템은 802.1x 인증기반의 네트워크접속제어(Network Access Control: NAC)시스템 내 복수의 이기종 보안장치로부터 인증관련 정보가 포함된 로그를 취합하여 통합로그를 생성할 수 있는 기능을 제공할 수 있다. 또한, 네트워크 보안 문제 및 장애 발생시, 통합로그 분석시스템은 802.1x 인증기반 복수의 이기종 보안장치로부터 취합되어 생성된 통합로그에 대한 분석을 수행하고, 장애발생 위치에 대한 신속한 판단 및 장애발생에 대한 즉각적인 대응을 제공할 수 있다. According to the present invention, the integrated log analysis system can generate an integrated log by collecting logs including authentication-related information from a plurality of heterogeneous security devices in an 802.1x authentication based Network Access Control (NAC) system. Can provide functionality. In addition, when network security problems and failures occur, the integrated log analysis system analyzes the integrated log generated from a plurality of heterogeneous security devices based on 802.1x authentication, and analyzes the location of the failure and promptly determines the location of the failure. Can provide a response.
보안, 로그, 분석 Security, logs, analysis
Description
도 1은 통합로그 클라이언트, 통합로그 서버, 및 통합로그 분석기를 포함하는 통합로그 분석시스템에 대한 기능별 구성도, 1 is a functional diagram of an integrated log analysis system including an integrated log client, an integrated log server, and an integrated log analyzer;
도 2는 통합로그 분석시스템의 운용환경을 예시한 도면,2 is a diagram illustrating an operating environment of an integrated log analysis system;
도 3은 통합로그 생성 및 분석 과정을 개략적으로 나타내는 도면,3 is a view schematically showing a process of generating and analyzing an integrated log;
도 4는 통합로그 서버에서 생성된 통합로그를 예시한 도면,4 is a diagram illustrating an integrated log generated by the integrated log server;
도 5는 통합로그 서버에 대한 내부 구성도이다. 5 is an internal configuration diagram of an integrated log server.
< 도면의 주요 부분에 대한 부호의 설명 ><Description of Symbols for Main Parts of Drawings>
100: 통합로그 분석시스템100: integrated log analysis system
110: 통합로그 클라이언트110: integrated log client
111: 사용자인증 서버111: user authentication server
112: 접속정책결정 서버112: connection decision server
113: 스위치113: switch
120: 통합로그 서버120: integrated log server
130: 통합로그 분석기130: integrated log analyzer
140: 접속정책DB140: access policy DB
150: 사용자DB150: user DB
500: 로그 취합부500: log collector
510: 통합로그 생성부510: integrated log generation unit
520: 통합로그 저장부520: integrated log storage unit
본 발명은 802.1x 인증기반 통합로그 분석 기능을 제공하는 통합로그분석시스템, 통합로그 서버, 및 방법에 관한 것이다. 더욱 상세하게는, 통합로그서버가 사용자단말기의 네트워크 접속시 생성되는 인증관련 정보가 포함된 로그를 복수의 이기종 장치인 통합로그 클라이언트로부터 취합하여 통합로그를 생성하고 분석하는 802.1x 인증기반의 통합로그 분석시스템이다. The present invention relates to an integrated log analysis system, an integrated log server, and a method for providing an integrated log analysis function based on 802.1x authentication. More specifically, an integrated log based on 802.1x authentication, in which an integrated log server collects logs including authentication related information generated when a user terminal accesses a network from an integrated log client, which is a plurality of heterogeneous devices, to generate and analyze an integrated log. It is an analysis system.
근래, 네트워크 인프라 및 사용자의 확대로 인해 네트워크 보안이 큰 이슈가 되어지고 있으며, 이러한 네트워크 보안은 중요한 기술 및 보안 문서를 많이 다루는 기업에 구축된 인트라넷(Intranet)에서는 기업의 사활을 결정할 수 있을 정도의 중요한 문제가 되고 있다. Recently, network security has become a big issue due to the expansion of network infrastructure and users, and this network security is a matter of deciding the life and death of an enterprise in an Intranet that is built on a company that deals with a lot of important technical and security documents. It is an important issue.
하지만, 이러한 인트라넷에서의 종래 보안 관리는 인트라넷 내부 사용자가 자신의 단말기에 보안프로그램을 설치하거나, 인트라넷 액세스 단의 방화벽을 통해서 주로 이루어졌다. 또한, 이러한 종래 보안 관리는 방화벽을 통과하여 인트라넷에 접속한 악의적인 사용자 단말기에 대한 대응이 어렵고, 보안 문제 또는 장애가 발생한 후에 대응을 하는 사후 대응 방식으로 보안 관리가 이루어졌다. However, the conventional security management in such an intranet is mainly performed by an intranet user by installing a security program on his terminal or through a firewall of an intranet access stage. In addition, such a conventional security management is difficult to respond to the malicious user terminal connected to the intranet through the firewall, and the security management is made in a post-response manner to respond after a security problem or failure occurs.
따라서, 사용자가 네트워크에 접속을 시도하는 그 순간부터 사용자단말기의 네트워크 접속을 허용할 것인지 차단할 것인지를 결정을 내려서 악의적인 사용자를 미연에 차단할 수 있는 네트워크접속제어(Network Access Control: NAC)시스템이 선행기술로 나오게 되었다. Therefore, the Network Access Control (NAC) system, which can block malicious users in advance, decides whether to allow or block the network connection of the user terminal from the moment when the user attempts to access the network. It came out with technology.
한편, 유무선 보안 인증을 위한 802.1x 인증 프로토콜이 제안되어졌으며, 이러한 802.1x는 상기 네트워크접속제어(Network Access Control: NAC)시스템에 적용되어지고 있다. 상기 802.1x 인증기반의 네트워크접속제어(Network Access Control: NAC)시스템에는 각기 다른 기능을 수행하는 많은 보안 관련 장치들이 존재한다. Meanwhile, an 802.1x authentication protocol for wired and wireless security authentication has been proposed, and such 802.1x has been applied to the network access control (NAC) system. In the 802.1x authentication based network access control (NAC) system, there are many security related devices that perform different functions.
하지만, 종래의 선행기술인 802.1x 인증기반의 네트워크접속제어(Network Access Control: NAC)시스템에서는 복수의 이기종 보안장치가 저장하고 있는 많은 정보를 통합해서 관리하지 못하는 문제점이 있다. 또한, 장애 발생시에는 장애발생 위치에 대한 파악이 어려워 장애에 대한 즉각적인 판단 및 대응이 어려운 문제점이 있다. However, in the prior art 802.1x authentication-based Network Access Control (NAC) system, there is a problem in that a plurality of heterogeneous security devices do not integrate and manage a lot of information stored therein. In addition, when a failure occurs, it is difficult to identify the location of the failure, which makes it difficult to immediately determine and respond to the failure.
이러한 문제점을 해결하기 위해 본 발명의 목적은, 선행기술인 802.1x 인증기반의 네트워크접속제어(Network Access Control: NAC)시스템 내 복수의 이기종 보안장치가 저장하고 있는 많은 정보가 포함된 로그를 통합해서 관리할 수 있도록 통합로그를 생성하고 분석하는 데 있다. In order to solve this problem, an object of the present invention is to integrate and manage a log containing a lot of information stored in a plurality of heterogeneous security devices in the prior art 802.1x authentication-based Network Access Control (NAC) system To create and analyze the integration log.
본 발명의 다른 목적은, 네트워크 보안 문제 및 장애 발생시, 802.1x 인증기반 복수의 이기종 보안장치로부터 취합되어 생성된 통합로그에 대한 분석을 통해서, 장애발생 위치에 대한 신속한 판단 및 장애발생에 대한 즉각적인 대응을 제공하는 데 있다. Another object of the present invention is to promptly determine the location of a failure and to immediately respond to a failure by analyzing an integrated log generated from a plurality of heterogeneous security devices based on 802.1x authentication when a network security problem and a failure occur. To provide.
이러한 목적을 달성하기 위해, 본 발명의 한 측면에 따르면, (a) 사용자에 대한 인증관련 정보가 포함된 로그를 저장하고 있는 복수의 이기종 장치가 포함된 802.1x 인증기반 통합로그 클라이언트; (b) 상기 통합로그 클라이언트에 포함된 복수의 이기종 장치로부터 상기 로그를 각각 수신하고, 상기 수신된 로그를 취합하여 통합로그로 생성하는 802.1x 인증기반 통합로그 서버; 및 (c) 상기 통합로그 서버에 의해 생성된 상기 통합로그를 조회하고 분석하는 통합로그 분석기를 포함하는 것을 특징으로 하는 통합로그 분석시스템을 제공한다. In order to achieve the above object, according to an aspect of the present invention, (a) 802.1x authentication-based integrated log client including a plurality of heterogeneous devices that stores a log containing the authentication information for the user; (b) an 802.1x authentication-based integrated log server configured to receive the logs from a plurality of heterogeneous devices included in the integrated log client, and collect the received logs into aggregate logs; And (c) an integrated log analyzer for querying and analyzing the integrated logs generated by the integrated log server.
본 발명의 다른 한 측면에 따르면, (a) 802.1x 인증기반 통합로그 클라이언트에 포함된 복수의 이기종 장치로부터 인증관련 정보가 포함된 로그를 각각 수신하는 로그 취합부; (b) 상기 수신된 로그를 취합하여 통합로그로 생성하는 통합로그 생성부; 및 (c) 상기 생성된 통합로그를 저장하는 통합로그 저장부를 포함하는 것을 특징으로 하는 통합로그 서버를 제공한다. According to another aspect of the present invention, (a) a log collecting unit for receiving a log including authentication-related information from a plurality of heterogeneous devices included in the 802.1x authentication-based integrated log client; (b) an integrated log generation unit for collecting the received logs and generating an integrated log; And (c) an integrated log storage unit for storing the generated integrated log.
본 발명의 또 다른 한 측면에 따르면, (a) 통합로그 서버가 802.1x 인증기반 통합로그 클라이언트에 포함된 복수의 이기종 장치로부터 사용자에 대한 인증관련 정보가 포함된 로그를 각각 수신하는 단계; (b) 상기 통합로그 서버가 상기 수신된 로그를 취합하여 통합로그로 생성하는 단계; 및 (c) 통합로그 분석기가 상기 생성된 통합로그를 분석하는 단계를 포함하는 것을 특징으로 하는 통합로그 분석 방법을 제공한다. According to another aspect of the present invention, the method comprising the steps of: (a) receiving a log including authentication-related information about the user from a plurality of heterogeneous devices included in the 802.1x authentication-based integrated log client; (b) collecting, by the integrated log server, the received logs and generating a consolidated log; And (c) an integrated log analyzer analyzing the generated integrated log.
이하, 본 발명의 바람직한 실시예를 첨부된 도면들을 참조하여 상세히 설명한다. 우선 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 당업자에게 자명하거나 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. First of all, in adding reference numerals to the components of each drawing, it should be noted that the same reference numerals are used as much as possible even if displayed on different drawings. In addition, in describing the present invention, when it is determined that the detailed description of the related well-known configuration or function is obvious to those skilled in the art or may obscure the gist of the present invention, the detailed description thereof will be omitted.
도 1은 통합로그 클라이언트, 통합로그 서버, 및 통합로그 분석기를 포함하는 통합로그 분석시스템에 대한 기능별 구성도이다. 상기 통합로그 분석시스템(100)은 사용자단말기가 네트워크 접속하여 접속을 해제하는 전 과정 동안 생성되는 인증관련 정보가 포함된 로그를 취합하여 통합로그를 생성하고 분석하기 위한 시스템이다. 1 is a functional diagram of an integrated log analysis system including an integrated log client, an integrated log server, and an integrated log analyzer. The integrated
도 1을 참조하면, 통합로그 분석시스템(100)은 사용자에 대한 인증관련 정보가 포함된 로그를 저장하고 있는 복수의 이기종 장치(111, 112, 113)가 포함된 802.1x 인증기반 통합로그 클라이언트(110), 복수의 이기종 장치(111, 112, 113)가 포함된 802.1x 인증기반 통합로그 클라이언트(110)로부터 사용자에 대한 인증관련 정보가 포함된 로그를 전송받아 통합로그를 생성하여 저장하고 있는 통합로그 서버(120), 및 네트워크 보안관리자가 통합로그 서버에 저장된 통합로그를 조회하고 분석하기 위한 장치인 통합로그 분석기(130)를 포함하여 구성된다. 상기 통합로그 분석시스템(100)은 네트워크 접속 허용을 인가받은 사용자에 대한 사용자 로그인ID, 사용자 사번, 사용자 로그인 비밀번호를 포함하는 사용자정보를 저장하고 있는 사용자DB(Data Base: DB, 이하 "DB"라 칭함)(140), 및 네트워크 접속 허용 및 차단에 대한 정책정보를 저장하고 있는 접속정책DB(150)를 추가로 포함한다. Referring to FIG. 1, the integrated
도 1을 참조하면, 802.1x 인증기반 통합로그 클라이언트(110)는, 사용자단말기에 대한 네트워크 접속 허용에 대한 사용자인증 여부를 결정하는 사용자인증 서버(111); 상기 사용자인증 서버(111)가 결정 내린 인증결과, 사용자단말기 무결성(Integrity) 검증결과, 및 접속정책DB(140)에 정의된 정책정보를 토대로 접속정책을 결정하여 스위치(113)를 제어하는 인포서(Enforcer) 역할을 수행하는 접속정책결정 서버(112); 상기 접속정책결정 서버(112)로부터의 인포스먼트(Enforcement) 지시에 따라 사용자단말기의 네트워크 접속 허용 및 차단을 실행하는 정책실행 장비인 스위치(113); 등에서 하나 이상을 포함하되, 통합서버(120)가 통합로그 클라이언트(110)로부터 수신하는 사용자에 대한 인증관련 정보가 포함된 로그는 제 1 로그, 제 2 로그 및 제 3 로그 중 하나 이상을 포함할 수 있다. Referring to FIG. 1, the 802.1x authentication-based
상기 사용자인증 서버(111)는 사용자단말기에 대한 네트워크 접속 허용에 대한 사용자인증 여부를 사용자DB 내 저장된 사용자정보를 토대로 결정하고, 그에 따른 사용자인증관련 정보를 포함하는 제 1 로그를 저장하고 있다. The
상기 사용자인증 서버(111)가 저장하고 있는 제 1 로그 내 인증관련 정보는 인증시도시간, 사용자단말기 호스트네임, 사용자단말기 IP주소, 사용자단말기 MAC주소, 사용자 로그인ID, 인포서(Enforcer) IP주소, 작업내용, 및 인증결과에 대한 정보 등을 포함하며, 경우에 따라서는 일부만을 포함할 수 있다. The authentication related information in the first log stored by the
상기 사용자인증 서버(111)는 네트워크 접속 시도자인 사용자에 대한 사용자단말기 인증 수행시 발생하는 이벤트마다 인증관련 정보를 갱신하고, 통합로그 서버(110)로 전송하지 않은 인증관련 정보가 포함된 제 1 로그만을 추출하여 네트워크 보안관리자에 의해서 설정된 주기마다 통합로그 서버(1410)로 전송한다. The
상기 사용자인증 서버(111)는 자체의 사용자DB(140)를 저장하고 있거나, 마이크로소프트의 액티브 디렉토리나 기타 LDAP(Lightweight Directory Access Protocol)데이터베이스와 같은 외부 사용자DB(140)를 이용해 사용자를 인증해주는 RADIUS(Remote Authentication Dial In User Service) 서버가 될 수 있으며, 일반 적으로 사용되는 EAP(Extensible Authentication Protocol) 인증메커니즘을 지원한다. The
접속정책결정 서버(112)는 상기 사용자인증 서버가 결정 내린 인증결과, 사용자단말기 무결성(Integrity) 검증결과, 및 접속정책DB에 정의된 정책정보를 토대로 스위치를 제어하는 인포서(Enforcer) 역할을 수행하고, 그에 따른 사용자에 대한 인증관련 정보가 포함된 제 2 로그를 저장하고 있다. The access
상기 접속정책결정 서버(112)가 저장하고 있는 제 2 로그 내 인증관련 정보는 사용자접속시간, 사용자단말기 호스트네임, 사용자단말기 IP주소, 사용자단말기 MAC주소, 사용자 로그인ID, 사용자 사번, 인포서(Enforcer) 이름, 작업내용, 및 작업결과(정책결과) 등을 포함하며, 경우에 따라서는 일부만을 포함할 수 있다. The authentication related information in the second log stored in the access
상기 접속정책결정 서버(112)는 네트워크 접속 시도자인 사용자에 대한 사용자인증결과 및 접속정책을 토대로 스위치를 제어하는 인포서(Enforcer)역할을 하며, 스위치를 제어하는 이벤트마다 인증관련 정보를 갱신하고, 통합로그 서버(110)로 전송하지 않은 인증관련 정보가 포함된 제 2 로그만을 추출하여 네트워크 보안관리자에 의해서 설정된 주기마다 통합로그 서버(120)로 전송한다.The access
스위치(113)는 상기 접속정책결정 서버(112)로부터의 인포스먼트(Enforcement) 지시에 따라 사용자단말기의 네트워크 접속 허용 및 차단을 실행하는 802.1x 인증기반의 정책실행 장비로서, 그에 따른 사용자에 대한 인증관련 정보가 포함된 제 3 로그를 저장하고 있다. The
상기 스위치(113)가 저장하고 있는 제 3 로그 내 인증관련 정보는 사용자접 속시간, 사용자단말기 호스트네임, 사용자단말기 IP주소, 사용자단말기 MAC주소, 사용자 로그인ID, 스위치 포트 번호, 및 작업내용 등을 포함하며, 경우에 따라서는 일부만을 포함할 수 있다. The authentication information in the third log stored by the
상기 스위치(113)는 네트워크 접속 시도자인 사용자에 대한 사용자인증결과 및 사용자 접속에 관한 정책정보를 토대로 내려진 상기 접속정책결정 서버(112)로부터의 인포스먼트(Enforcement)를 수신하고, 해당 사용자단말기가 접속한 스위치 포트의 허용 또는 차단을 수행하고, 수행된 이벤트마다 인증관련 정보를 갱신하고, 통합로그 서버(110)로 전송하지 않은 인증관련 정보가 포함된 제 3 로그만을 추출하여 네트워크 보안관리자에 의해서 설정된 주기마다 통합로그 서버(120)로 전송한다. The
상기 사용자DB(150) 내 저장된 사용자정보는 사용자인증 서버(111)가 사용자인증 여부를 결정하기 위한 정보가 된다. The user information stored in the
상기 접속정책DB(140) 내 저장되어 정의된 정책정보는 접속정책결정 서버(112)가 사용자단말기의 네트워크 접속 허용 또는 차단을 결정하기 위한 정보가 된다. The policy information stored and defined in the
상기 통합로그 분석기(130)는 통합로그 서버 내 통합로그 저장부에 저장되어 있는 통합로그를 분석하는 기능을 수행하고, 네트워크 보안관리자가 비 인가자의 네트워크 접속차단 현황 파악, 인가자의 보안정책위반 현황파악, 네트워크 접속된 사용자단말기 보안수준진단, 웜 또는 바이러스 유포방지, 장애발생 예측 및 판단 등의 기능을 수행하며, 경우에 따라서는 일부의 기능을 수행할 수 있다. The
상기 통합로그 서버(120)는 사용자인증 서버(111), 접속정책결정 서버(112), 스위치(113)를 포함하는 802.1x 인증기반 통합로그 클라이언트(110)로부터 로그를 전송받는 로그 취합부, 전송받은 로그로부터 통합로그를 생성하는 통합로그 생성부, 생성된 통합로그를 저장하고 있는 통합로그 저장부를 포함하여 구성된다. The
도 2는 통합로그 분석시스템의 운용환경을 예시한 도면이다. 2 is a diagram illustrating an operating environment of an integrated log analysis system.
도 2를 참조하면, 상기 통합로그 분석시스템(100)은 802.1x 인증기반의 네트워크접속제어(Network Access Control: NAC) 시스템(220)에서의 사용자단말기(200)가 네트워크 접속하여 접속을 해제하는 전 과정 동안 생성되는 로그를 취합하여 통합로그를 생성하고 분석하기 위한 시스템이며, 상기 네트워크접속제어(NAC) 시스템(220)은 상기 사용자인증 서버(111), 상기 접속정책 결정 서버(112), 상기 스위치(113), 상기 접속정책DB(140), 및 상기 사용자DB(150)를 포함한다. 2, the integrated
사용자단말기(200)는 사용자단말기 호스트 네임이 "NAC-NOTE"이고, 사용자단말기 IP주소가 "150.23.23.100"이며, 사용자단말기 MAC주소가 "00:11:22:aa:bb:cc"이며, 사번이 "123456"인 사용자의 사용자단말기이고, 스위치 IP주소가 "10.10.10.1"인 스위치(113)의 "1번 포트"를 통해서 네트워크에 접속되어 있다.
사용자단말기(200)가 스위치(113)의 특정 포트에 연결됨으로써 네트워크 접속을 허용할 것인지 차단할 것인지에 대한 최종 정책결정을 내려 스위치(113)가 정책을 시행하도록 하는 인포서(Enforcer)의 역할을 하는 접속정책결정 서버(112)는 인포서 IP주소가 "10.10.10.3"으로 되어있다. The
상기 네트워크(210)는 기업 내 구축되어있는 사설 네트워크의 일종인 인트라넷(Intranet)으로써, 서로 연결되어 있는 여러 개의 근거리통신망으로 구성될 수 있고, 광역통신망 내에서는 전용회선이 사용되기도 한다. 일반적으로 인트라넷은 외부의 인터넷으로 연결된 하나 또는 그 이상의 게이트웨이 컴퓨터를 통한 접속이 포함된다. 인트라넷(Intranet)의 주요 목적은 회사의 정보나 컴퓨팅 자원을 직원들 간에 서로 공유하는 데 있다. 인트라넷은 또한 여러 그룹간의 업무나 화상회의 등을 용이하게 하는 데에도 사용될 수 있다. The
인트라넷(Intranet)인 상기 네트워크(210)는 TCP/IP, HTTP 그 외 다른 인터넷 프로토콜들을 사용하므로, 대개 일반에게는 공개되지 않은 인터넷으로 볼 수도 있다. The
또한, 상기 네트워크(210)는 사용자인증 및 사용자단말기 보안상태를 점검하여 최종적으로 네트워크 접속 허용 및 차단을 실행하는 자체 보안시스템인 네트워크접속제어시스템(220)이 구축되어 있다. In addition, the
도 3은 통합로그 생성 및 분석 과정을 개략적으로 나타내는 도면이다.3 is a diagram schematically illustrating a process of generating and analyzing an integrated log.
도 3을 참조하면, 네트워크 접속시도자인 사용자에 대한 인증관련 정보가 포함된 로그를 취합하여 통합로그를 생성하고 분석하는 방법은, 통합로그 서버(120)가 복수의 이기종 장치인 사용자인증 서버(111), 접속정책결정 서버(112), 스위치(113)가 포함된 802.1x 인증기반 통합로그 클라이언트(110)로부터 사용자에 대한 인증관련 정보가 포함된 로그(311, 312, 313)를 전송받는 단계, 상기 통합로그 서 버(120)가 상기 통합로그 클라이언트(110)로부터 전송받은 로그(311, 312, 313)를 취합하여 통합로그(320)를 생성하는 단계, 및 통합로그 분석기(130)가 상기 통합로그 서버(120)에 의해 생성된 상기 통합로그(320)를 분석하는 단계를 포함하는 것을 특징으로 한다. Referring to FIG. 3, a method of generating and analyzing an integrated log by collecting logs including authentication related information of a user who is a network access attempt, the
상기 통합로그 서버(120)가 상기 사용자인증 서버(111)로부터 전송받는 제 1 로그는 인증시도시간, 사용자단말기 호스트네임, 사용자단말기 IP주소, 사용자단말기 MAC주소, 사용자 로그인ID, 인포서(Enforcer) IP주소, 작업내용, 및 인증결과 등에 대한 인증관련 정보를 포함하며, 경우에 따라서는 일부의 인증관련 정보만을 포함할 수 있다. The first log received by the
상기 통합로그 서버(120)가 상기 사용자인증 서버(111)로부터 인증관련 정보가 포함된 제 1 로그를 전송받는 주기는 네트워크 보안관리자에 의해서 설정되며, 전송 시에는 UDP(User Datagram Protocol)전송 프로토콜이 이용될 수 있으며, 시스템로그(SysLog)에 대한 웰넌(Well-known) 포트번호 514로 설정하여 전송가능하다.The period in which the
상기 통합로그 서버(120)가 상기 접속정책결정 서버(112)로부터 전송받는 제 2 로그는 사용자접속시간, 사용자단말기 호스트네임, 사용자단말기 IP주소, 사용자단말기 MAC주소, 사용자 로그인ID, 사용자 사번, 인포서(Enforcer) 이름, 작업내용, 및 작업결과 등에 대한 인증관련 정보를 포함하며, 경우에 따라서는 일부의 인증관련 정보만을 포함할 수 있다. The second log received by the
상기 통합로그 서버(120)가 상기 접속정책결정 서버(112)로부터 인증관련 정보가 포함된 제 2 로그를 전송받는 주기는 네트워크 보안관리자에 의해서 설정되 며, 전송 시에는 UDP(User Datagram Protocol)전송 프로토콜이 이용될 수 있으며, 시스템로그(SysLog)에 대한 웰넌(Well-known) 포트번호 514로 설정하여 전송가능하다.The period in which the
상기 통합로그 서버(120)가 상기 스위치(113)로부터 전송받는 제 3 로그는 사용자접속시간, 사용자단말기 호스트네임, 사용자단말기 IP주소, 사용자단말기 MAC주소, 사용자 로그인ID, 스위치 포트 번호, 및 작업내용에 대한 인증관련 정보를 포함하며, 경우에 따라서는 일부의 인증관련 정보만을 포함할 수 있다. The third log received by the
상기 통합로그 서버(120)가 상기 스위치(113)로부터 인증관련 정보가 포함된 제 3 로그를 전송받는 주기는 네트워크 보안관리자에 의해서 설정되며, 전송 시에는 UDP(User Datagram Protocol)전송 프로토콜이 이용될 수 있으며, 시스템로그(SysLog)에 대한 웰넌(Well-known) 포트번호 514로 설정하여 전송가능하다.The period in which the
상기 통합로그 분석기(130)는 상기 통합로그 서버(120)에 의해 생성된 상기 통합로그(320)를 웹(Web)방식으로 조회하며, 분석하는 기능을 수행한다. The
네트워크 보안관리자가 상기 통합로그 분석기(130)를 이용하여 통합로그(320) 조회 및 분석 시, 상기 통합로그 분석기(130)에 보이는 내용을 설정할 수 있고, 통합로그(320) 내 정보를 통계를 낼 수도 있다. 상기 통합로그 조회 및 분석을 통하여, 네트워크 보안관리자가 비 인가자의 네트워크 접속차단 현황 파악, 인가자의 보안정책위반 현황파악, 네트워크 접속된 사용자단말기 보안수준진단, 웜 또는 바이러스 유포방지, 장애발생 예측 등을 수행할 수 있으며, 장애 발생 시 복수의 이기종 장치 중에서 어느 장치로부터 장애가 발생했는지 파악이 가능하여 신 속한 장애 대응이 가능하다. When the network security manager uses the
도 4는 통합로그 서버에서 생성된 통합로그를 예시한 도면이다. 4 is a diagram illustrating an integrated log generated by the integrated log server.
도 4는 상기 도 2의 네트워크 환경에서 통합로그 서버(120)가 사용자인증 서버(111), 접속정책결정 서버(112), 및 스위치(113)로부터 인증관련 정보가 포함된 로그를 취합하여 생성된 통합로그(320)를 예시한 도면으로, 통합로그(320) 상의 필드 항목은 취합한 로그의 모든 정보가 될 수 있다. 4 is generated by the
도 4를 참조하면, 통합로그(320)는 사용자 접속시간(401), 사용자단말기 호스트네임(402), 사용자 사번(403), 사용자단말기 IP주소(404), 사용자단말기 MAC주소(405), 스위치 IP주소(406), 스위치 포트번호(407), 인포서(Enforcer) IP주소(408), 인증내용(409), 인증결과(410) 등을 포함하는 필드 항목으로 되어있으며, 경우에 따라서는 일부의 필드 항목만을 가질 수 있다. Referring to FIG. 4, the
도 2 및 도 4를 참조하면, 사용자 접속시간(401), 스위치 IP주소(406), 스위치 포트번호(407)는 상기 스위치(113)로부터 전송받은 제 3 로그로부터 얻어진 정보이다.2 and 4, the
사용자단말기 호스트네임(402), 사용자단말기 IP주소(404), 사용자단말기 MAC주소(405)는 사용자인증 서버(111), 접속정책결정 서버(112), 및 스위치(113)로부터 얻어질 수 있는 정보이다. The
사용자 사번(403)은 접속정책결정 서버(112)로부터 얻어질 수 있는 정보이며, 인포서(Enforcer) IP주소(408), 인증내용(409), 정책결과(410)는 사용자인증 서버(111), 및 접속정책결정 서버(112)로부터 얻을 수 있는 정보이다.
상기 인포서(Enforcer) IP주소(408)란, 상기 사용자인증 서버(111)가 결정 내린 인증결과, 사용자단말기 무결성(Integrity) 검증결과, 및 접속정책DB(140)에 저장된 정책정보를 토대로 스위치(113)를 제어하는 장비에 설정된 IP주소를 의미한다. 본 발명에서의 스위치를 제어하는 인포서(Enforcer)로서는 접속정책결정 서버(112)가 될 수 있다. The
도 4를 참조하면, 사번이 "123456"인 사용자가 네트워크에 접속하려고 하는 것으로서, 호스트 네임이 "NAC-NOTE"이고, IP주소가 "10.10.10.2"이며, MAC주소가 "00:11:22:aa:bb:cc"인 사용자단말기가 "2007년 1월 24일 16시 06분"에 IP주소가 "10.10.10.1"인 스위치의 "1"번 포트(Port)를 통해서 네트워크 접속을 시도했음을 알 수 있다. 또한, 사용자단말기는 사용자인증 서버(111)로부터 인증을 받음("PASS")고, 접속정책결정 서버(112)로부터 스위치의 1번 포트를 열어서 접속을 허용하는 정책결정("OPEN_PORT")을 받음으로써, 실제로 스위치(113)의 1번 포트를 통해 네트워크 접속이 된다. Referring to FIG. 4, a user whose number is "123456" attempts to access a network, the host name is "NAC-NOTE", the IP address is "10.10.10.2", and the MAC address is "00:11:22." User terminal with: aa: bb: cc "attempted to access the network through port" 1 "of the switch with IP address" 10.10.10.1 "on January 24, 2007 16:06. Able to know. In addition, the user terminal receives authentication from the user authentication server 111 ("PASS"), and receives a policy decision ("OPEN_PORT") to allow access by opening
도 5는 통합로그 서버에 대한 내부 구성도이다. 5 is an internal configuration diagram of an integrated log server.
통합로그 서버(120)는 802.1x 인증기반 통합로그 클라이언트와 연동이 되는 서버로서, 사용자인증 서버(111), 접속정책결정 서버(112), 스위치(113)를 포함하는 802.1x 인증기반 통합로그 클라이언트(110)로부터 로그를 전송받는 로그 취합부(500), 전송받은 로그로부터 통합로그를 생성하는 통합로그 생성부(510), 생성된 통합로그를 저장하고 있는 통합로그 저장부(520)를 포함하여 구성되며, 통합로그 서버 내 상기 통합로그 저장부에 저장된 통합로그는 통합로그 분석기(130)에 의해서 분석된다. The
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The above description is merely illustrative of the technical idea of the present invention, and those skilled in the art to which the present invention pertains may make various modifications and changes without departing from the essential characteristics of the present invention. Therefore, the embodiments disclosed in the present invention are not intended to limit the technical idea of the present invention but to describe the present invention, and the scope of the technical idea of the present invention is not limited by these embodiments. The protection scope of the present invention should be interpreted by the following claims, and all technical ideas within the equivalent scope should be interpreted as being included in the scope of the present invention.
이상에서 설명한 바와 같이 본 발명에 의하면, 통합로그 분석시스템은 802.1x 인증기반의 네트워크접속제어(Network Access Control: NAC)시스템 내 복수의 이기종 보안장치로부터 인증관련 정보가 포함된 로그를 취합하여 통합로그를 생성하고 분석할 수 있는 기능을 제공할 수 있다. As described above, according to the present invention, the integrated log analysis system collects logs including authentication-related information from a plurality of heterogeneous security devices in an 802.1x authentication-based network access control (NAC) system, and integrates logs. It can provide the ability to create and analyze.
본 발명을 이용하면, 네트워크 보안 문제 및 장애 발생시, 통합로그 분석시 스템은 802.1x 인증기반 복수의 이기종 보안장치로부터 취합되어 생성된 통합로그에 대한 분석을 수행하고, 장애발생 위치에 대한 신속한 판단 및 장애발생에 대한 즉각적인 대응을 제공할 수 있다. Using the present invention, in the event of network security problems and failures, the integrated log analysis system performs analysis on the integrated logs generated by collecting a plurality of heterogeneous security devices based on 802.1x authentication, and quickly determines the location of the failures. It can provide immediate response to failures.
Claims (16)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070045338A KR100906389B1 (en) | 2007-05-10 | 2007-05-10 | System, Server and Method for Analyzing Integrated Authentication-Logs based on ?????? |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070045338A KR100906389B1 (en) | 2007-05-10 | 2007-05-10 | System, Server and Method for Analyzing Integrated Authentication-Logs based on ?????? |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20080099593A KR20080099593A (en) | 2008-11-13 |
KR100906389B1 true KR100906389B1 (en) | 2009-07-07 |
Family
ID=40286541
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020070045338A KR100906389B1 (en) | 2007-05-10 | 2007-05-10 | System, Server and Method for Analyzing Integrated Authentication-Logs based on ?????? |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100906389B1 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100918272B1 (en) * | 2008-09-18 | 2009-09-21 | 주식회사 이글루시큐리티 | A security control system and method thereof using the identification of a specific person |
KR101268298B1 (en) * | 2011-10-10 | 2013-05-28 | 주식회사 잉카인터넷 | surveillance system and method for authentication procedure based by positioning information |
KR101409348B1 (en) * | 2013-03-26 | 2014-06-20 | (주)아펙스플랫폼 | Method of verifying and managing user based on universal user identification information |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040076134A1 (en) | 2002-05-04 | 2004-04-22 | Instant802 Networks, Inc. | Integrated user and radio management in a wireless network environment |
KR20050007810A (en) * | 2003-07-11 | 2005-01-21 | 삼성전자주식회사 | Apparatus and method for constructing ad-hoc network of heterogeneous terminals |
KR20050116144A (en) * | 2003-03-14 | 2005-12-09 | 톰슨 라이센싱 | A flexible wlan access point architecture capable of accommodating different user devices |
KR20070044707A (en) * | 2005-10-25 | 2007-04-30 | 에스케이 텔레콤주식회사 | System and method for generating integrated packet call log in wireless internet service |
-
2007
- 2007-05-10 KR KR1020070045338A patent/KR100906389B1/en active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040076134A1 (en) | 2002-05-04 | 2004-04-22 | Instant802 Networks, Inc. | Integrated user and radio management in a wireless network environment |
KR20050116144A (en) * | 2003-03-14 | 2005-12-09 | 톰슨 라이센싱 | A flexible wlan access point architecture capable of accommodating different user devices |
KR20050007810A (en) * | 2003-07-11 | 2005-01-21 | 삼성전자주식회사 | Apparatus and method for constructing ad-hoc network of heterogeneous terminals |
KR20070044707A (en) * | 2005-10-25 | 2007-04-30 | 에스케이 텔레콤주식회사 | System and method for generating integrated packet call log in wireless internet service |
Also Published As
Publication number | Publication date |
---|---|
KR20080099593A (en) | 2008-11-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7761918B2 (en) | System and method for scanning a network | |
EP1591868B1 (en) | Method and apparatus for providing network security based on device security status | |
US8171544B2 (en) | Method and system for preventing, auditing and trending unauthorized traffic in network systems | |
KR100502068B1 (en) | Security engine management apparatus and method in network nodes | |
US7150044B2 (en) | Secure self-organizing and self-provisioning anomalous event detection systems | |
EP2715975B1 (en) | Network asset information management | |
CN110493195B (en) | Network access control method and system | |
US8042182B2 (en) | Method and system for network intrusion detection, related network and computer program product | |
US20040193943A1 (en) | Multiparameter network fault detection system using probabilistic and aggregation analysis | |
US20060161816A1 (en) | System and method for managing events | |
US20060149848A1 (en) | System, apparatuses, and method for linking and advising of network events related to resource access | |
WO2001037511A2 (en) | Method and system for remotely configuring and monitoring a communication device | |
Palmieri et al. | Automatic security assessment for next generation wireless mobile networks | |
CN110611682A (en) | Network access system, network access method and related equipment | |
KR102176324B1 (en) | Automatic Target Recognition And Screening System For Security Vulnerability Check and Its Method | |
Al Sukkar et al. | Address resolution protocol (ARP): Spoofing attack and proposed defense | |
KR100906389B1 (en) | System, Server and Method for Analyzing Integrated Authentication-Logs based on ?????? | |
KR101775517B1 (en) | Client for checking security of bigdata system, apparatus and method for checking security of bigdata system | |
CN116996238A (en) | Processing method and related device for network abnormal access | |
Ghaleb et al. | A framework architecture for agentless cloud endpoint security monitoring | |
Mohammed et al. | Enhancing Network Security in Linux Environment | |
Cardoso et al. | Security vulnerabilities and exposures in internet systems and services | |
Siddiqui et al. | SUTMS: Designing a Unified Threat Management System for Home Networks | |
Kim et al. | Design of active honeypot system | |
CN118200016A (en) | Asset monitoring method based on equipment fingerprint |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130403 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20140612 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20150608 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20160608 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20170602 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20190502 Year of fee payment: 11 |