KR101160219B1 - 네트워크 보안을 위한 접속 경로 추적시스템과 추적방법 - Google Patents
네트워크 보안을 위한 접속 경로 추적시스템과 추적방법 Download PDFInfo
- Publication number
- KR101160219B1 KR101160219B1 KR1020120001359A KR20120001359A KR101160219B1 KR 101160219 B1 KR101160219 B1 KR 101160219B1 KR 1020120001359 A KR1020120001359 A KR 1020120001359A KR 20120001359 A KR20120001359 A KR 20120001359A KR 101160219 B1 KR101160219 B1 KR 101160219B1
- Authority
- KR
- South Korea
- Prior art keywords
- security
- server
- signature information
- access
- connection
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
Abstract
본 발명은 터미널 사용자의 세션 정보 수집을 통한 접속 경로 추적시스템과 추적방법에 관한 것으로, 단말기, 보안 대상 서버 및 상기 보안 대상 서버에 대한 외부 접속을 제어하는 보안서버를 포함한 접속 경로 추적시스템에 있어서, 상기 보안서버는 보안 대상 서버의 보안정책을 저장하는 대상DB; 발신지 IP와 링크된 고유 시그니처를 포함한 시그니처 정보를 세션별로 저장하는 맵DB; 상기 보안 대상 서버로의 외부 접속시 발생한 접속 세션을 수집하고, 상기 접속 세션으로부터 상기 시그니처 정보를 확인해서 상기 맵DB에 저장하는 정보확인모듈; 및 상기 보안 대상 서버 접속에 대한 해당 시그니처 정보의 시그니처와 동일한 시그니처를 포함한 시그니처 정보를 상기 맵DB에서 검색하고, 검색된 시그니처 정보와 링크된 최선 발신지 IP를 원천 IP로 확인하는 추적모듈;을 포함하는 것이다.
Description
본 발명은 터미널 사용자의 세션 정보 수집을 통한 접속 경로 추적시스템과 추적방법에 관한 것이다.
하나 이상의 서버 또는 단말기가 서로 연결돼 통신하는 네트워크에 설치돼 동작하면서, 허가받지 않은 접속으로부터 특정 서버 또는 단말기를 보호하는 다양한 보안 솔루션과 장치 등이 다수 개발되었고, 이러한 솔루션과 장치는 지금도 계속 새로운 네트워크와 시스템 개발과 발맞춰 발전하고 있다.
네트워크에서 서버 또는 단말기(이하 '서버')로의 접속을 제한하는 방법으로는 접속자의 IP를 확인하는 방법이 가장 일반적이다. 즉, 접속자의 IP가 보안 대상 서버의 접속 허용 IP인지를 보안정책으로 확인해서, 상기 IP가 허용 대상이면 해당 접속을 허용하고, 허용 대상이 아니면 해당 접속을 차단하는 것이다. 이러한 보안방법은 허락되지 않은 접속자가 보안 대상 서버에 무단으로 접속하는 것을 차단함으로써 상기 서버에 저장된 정보를 보호하고, 불필요한 데이터의 유입을 차단해서 상기 서버가 해킹되거나 각종 컴퓨터 바이러스 등에 의해 오염되는 것을 방지한다.
그런데, 이러한 종래 보안방법은 보안을 수행하는 보안서버가 보안 대상 서버에 접속하는 접속자의 원천 IP를 확인하는 것이 아니고 상기 보안 대상 서버에 접속을 시도하는 순간의 신호 발신지점의 IP만을 확인하므로, 접속자가 다른 IP를 우회해 보안 대상 서버로 접속을 시도할 경우 보안서버는 해당 접속이 상기 우회 IP의 접속으로 인식하고 이를 허용하는 문제가 있었다. 접속자의 단말기(10)와 보안서버(100) 및 하나 이상의 제1,2 보안 대상 서버(20, 30)가 통신망을 매개로 연결된 모습을 도시한 도 1(종래 보안 시스템의 동작 신호 흐름을 개략적으로 도시한 도면)을 참조해 좀 더 구체적으로 설명하면, 도 1(a)에 도시한 바와 같이, 접속자는 자신의 단말기(10)를 이용해 제1 보안 대상 서버(20)에 접속을 시도한다. 이때, 해당 제1 보안 대상 서버(20)는 보안서버(100)가 관리하는 보안 대상으로서, 단말기(10)는 제1 보안 대상 서버(20)에 접속하기 위해 프록시(proxy) 방식과 같은 통상적인 중계기술과, 후킹(hooking) 또는 스니핑(sniffing) 등과 같은 통상적인 함수호출기술을 통해 보안서버(100)의 경유가 이루어지도록 한다. 보안서버(100)는 단말기(10)의 IP를 확인해서 해당 단말기(10)의 IP가 보안정책에 허용된 것인지를 확인하고, 보안정책에 허용된 IP이면 제1 보안 대상 서버(20)로의 접속을 허용하고(화살표 방향 참조), 보안정책에 불허된 IP이면 제1 보안 대상 서버(20)로의 접속을 차단한다. 물론 접속이 시도되는 대상 서버가 보안 대상 서버가 아닌 경우 보안서버(100)는 단말기(10)의 IP를 별도로 확인하지 않고 단말기(10)의 서버 접속을 허용할 것이다.
그런데, 도 1(b)에 도시한 바와 같이, 제1 보안 대상 서버(20)의 보안정책은 접속자 단말기(10)의 IP 접속을 허용하고, 제2 보안 대상 서버(30)의 보안정책은 제1 보안 대상 서버(20)의 IP 대역 대의 접속만을 허용하는 경우, 종래에는 접속자가 제2 보안 대상 서버(30)에 접속하기 위해 접속이 허용된 제1 보안 대상 서버(20)에 우선 접속한 후 우회하여 제2 보안 대상 서버(30)에 접속할 수 있었다(화살표 방향 참조). 이는 앞서 언급한 바와 같이 종래 보안서버(100)는 서버 접속 시도시 확인되는 세션 정보로부터 직전 발신지 IP만을 추출할 수 있다는 기술적 한계로 인해서, 접속자의 원천 IP인 단말기(10)의 IP가 아닌 직전 발신지인 제1 보안 대상 서버(20)의 IP만을 확인해 보안정책과 비교하기 때문이다.
결국, 접속자는 종래 보안서버(100)의 기술적 한계로 인해서 전술한 우회 접속을 통해 보안정책상 자신이 접속할 수 없는 제2 보안 대상 서버(30)에도 정상적으로 접속할 수 있는 문제가 있었다.
이에 본 발명은 상기와 같은 문제를 해소하기 위해 발명된 것으로서, 보안 대상 서버에 대한 접속자의 우회 접속을 차단해서 오류 없는 보안시스템을 기초할 수 있는 네트워크 보안을 위한 접속 경로 추적시스템과 추적방법의 제공을 기술적 과제로 한다.
상기의 기술적 과제를 달성하기 위하여 본 발명은,
단말기, 보안 대상 서버 및 상기 보안 대상 서버에 대한 외부 접속을 제어하는 보안서버를 포함한 접속 경로 추적시스템에 있어서, 상기 보안서버는
보안 대상 서버의 보안정책을 저장하는 대상DB;
발신지 IP와 링크된 고유 시그니처를 포함한 시그니처 정보를 세션별로 저장하는 맵DB;
상기 보안 대상 서버로의 외부 접속시 발생한 접속 세션을 수집하고, 상기 접속 세션으로부터 상기 시그니처 정보를 확인해서 상기 맵DB에 저장하는 정보확인모듈; 및
상기 보안 대상 서버 접속에 대한 해당 시그니처 정보의 시그니처와 동일한 시그니처를 포함한 시그니처 정보를 상기 맵DB에서 검색하고, 검색된 시그니처 정보와 링크된 최선 발신지 IP를 원천 IP로 확인하는 추적모듈;
을 포함하는 네트워크 보안을 위한 접속 경로 추적시스템이다.
상기의 본 발명은 보안 대상 서버에 접속을 시도하는 접속자의 원천 IP를 추적해서 해당 접속의 허용 여부를 판단할 수 있고, 이를 통해 보안정책에 따른 정확한 보안을 수행할 수 있도록 하는 효과가 있다.
또한, 이러한 기술을 기초로 한 보안시스템 구축을 통해 다중 우회 접속에 대한 리스트 정보를 수집할 수 있고, 콘솔 접속 보안 장비의 보안 성능 향상과 신뢰성 및 편의성을 높일 수 있는 효과가 있다.
도 1은 종래 보안 시스템의 동작 신호 흐름을 개략적으로 도시한 도면이고,
도 2는 본 발명에 따른 경로 추적시스템의 일 실시 예를 도시한 블록도이고,
도 3은 본 발명에 따른 경로 추적방법의 일 실시 예를 보인 플로차트이고,
도 4는 맵DB에 저장된 시그니처 정보의 형식을 개략적으로 보인 도면이고,
도 5는 본 발명에 따른 경로 추적시스템의 다른 실시 예를 도시한 블록도이다.
도 2는 본 발명에 따른 경로 추적시스템의 일 실시 예를 도시한 블록도이고,
도 3은 본 발명에 따른 경로 추적방법의 일 실시 예를 보인 플로차트이고,
도 4는 맵DB에 저장된 시그니처 정보의 형식을 개략적으로 보인 도면이고,
도 5는 본 발명에 따른 경로 추적시스템의 다른 실시 예를 도시한 블록도이다.
상술한 본 발명의 특징 및 효과는 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 본 발명은 다양한 변경을 가할 수 있고 여러 가지 형태를 가질 수 있는바, 특정 실시 예들을 도면에 예시하고 본문에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 개시형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 출원에서 사용한 용어는 단지 특정한 실시 예들을 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다.
이하, 본 발명을 첨부된 예시도면에 의거해 상세히 설명한다.
도 2는 본 발명에 따른 경로 추적시스템의 일 실시 예를 도시한 블록도이고, 도 3은 본 발명에 따른 경로 추적방법의 일 실시 예를 보인 플로차트인 바, 이를 참조해 설명한다.
본 발명에 따른 경로 추적시스템은 보안 대상 서버(20, 30)에 대한 접속을 제어하는 보안서버(100')를 포함한다. 여기서 보안서버(100')는 접속을 시도하는 접속자가 프록시(proxy) 기술을 통해 상기 보안서버(100')를 의식적으로 경유하도록 할 수도 있고, 후킹(hooking) 또는 스니핑(sniffing)과 같은 호출기술을 통해 접속자가 무의식적으로 경유하도록 할 수도 있다. 하지만, 보안서버(100') 경유에 대한 접속자 의식의 유무에 상관없이 단말기(10)가 보안 대상 서버(20, 30)에 접속하기 위해서는 보안서버(100')로부터 보안정책 대상 IP임을 확인받아야 한다. 여기서, 접속자가 보안 대상 서버(20, 30)에 접속하기 위해 보안서버(100')를 경유한다 함은 서버 접속을 위한 접속신호 발신지의 IP를 포함한 세션 정보가 보안서버(100')로 전송되는 것이다. 참고로, 상기 세션 정보에는 서버 접속시 확인되는 단말기, 접속자 등의 ID, 발신지의 IP, 현재 접속 시간 등에 대한 정보가 포함된다.
단말기(10)가 보안 대상 서버(20, 30)에 접속하기 전, 접속이 허용된 것임을 확인받도록 상기 접속신호가 보안서버(100')에 사전 전송되는 기술은 네트워크 보안기술의 공지,공용 기술이므로, 이를 위한 시스템 구조와 구체적인 알고리즘에 대한 설명은 생략한다.
본 실시 예에서 보안 대상 서버(20, 30)는 제1 보안 대상 서버(20)와 제2 보안 대상 서버(30) 2개로 예시하였으나, 개수가 상기 2개로 한정되지 않으며 이보다 적거나 많을 수도 있음은 물론이다. 본 실시 예를 설명함에 있어서 이하에서는 '보안 대상 서버'를 도면을 참조해 제1,2 보안 대상 서버(20, 30)로 예시하나, 청구범위를 기재함에 있어서는 '보안 대상 서버'로 기재해서 본원발명이 특정 실 예에 한정되지 않음을 분명히 하였다.
보안서버(100')는 접속자가 단말기(10)를 이용해 제1,2 보안 대상 서버(20, 30)로 접속을 시도할 경우, 설정된 보안정책에 따라 해당 단말기(10)의 접속 여부를 제어하는 것으로서, 보안 대상 서버와 보안정책에 대한 각각의 정보를 저장하는 대상DB(110)와, 접속자의 접속 세션으로부터 확인한 시그니처 정보와 세션별 인덱스 값을 저장하는 맵DB(120)와, 제1,2 보안 대상 서버(20, 30)의 접속시도를 감지해서 대상DB(110)에 저장된 보안정책에 따라 해당 접속신호의 처리를 제어하는 보안모듈(130)과, 상기 접속시도에 대응한 접속 세션을 수집하고 상기 접속 세션으로부터 세션 정보와 시그니처 정보를 확인해서 맵DB(120)에 저장하는 정보확인모듈(140)과, 정보확인모듈(140)이 수집한 상기 접속 세션과 맵DB(120)에 저장된 시그니처 정보와 세션별 인덱스 값을 확인해서 해당 접속의 원천 IP를 추적하는 추적모듈(150)을 포함한다.
보안서버(100')를 구성하는 DB(110, 120) 및 모듈(130, 140, 150)에 대한 구체적인 설명은 본 발명에 따른 추적방법을 설명하면서 상세히 한다.
S10; 서버 접속 시도단계
접속자는 자신의 단말기(10)를 이용해서 제1,2 보안 대상 서버(20, 30)로의 접속을 시도할 수 있다. 여기서, 단말기(10)와 제1,2 보안 대상 서버(20, 30)는 통신망을 통해 서로 통신 가능하게 연결되고, 보안서버(100')에 의해 중계될 수 있다.
제1,2 보안 대상 서버(20, 30)에 대한 단말기(10)의 접속은 통상적인 네트워크 검색 방식 등을 통해 이루어질 수 있다.
단말기(10)의 접속 시도시 상기 단말기(10)의 IP와, 단말기(10)의 식별을 위한 ID 등이 포함된 접속 세션이 발생할 수 있고, 필요에 따라 접속자의 개인정보가 상기 접속 세션에 포함될 수 있다.
S20; 보안서버 접속단계
보안서버(100')는 제1,2 보안 대상 서버(20, 30)에 대한 단말기(10)의 접속시도를 확인한다. 단말기(10)는 제1,2 보안 대상 서버(20, 30)로의 접속을 시도할 수도 있으나, 비보안 대상 서버(미도시함)로의 접속을 시도할 수도 있다. 보안서버(100')의 보안모듈(130)은 단말기(10)의 접속 세션 확인시 해당 접속 절차를 중지시킨 후, 상기 단말기(10)의 접속 대상을 확인하고, 대상DB(110)를 검색해서 접속 대상이 보안 대상인지 여부를 판단한다.
보안모듈(130)은 상기 판단 결과 해당 접속 대상이 비보안 대상으로 확인되면 상기 접속 절차를 속행시켜서 단말기(10)의 서버 접속이 정상적으로 이루어지도록 하고, 접속 대상이 보안 대상으로 확인되면 정보 확인단계(S30)를 진행시킨다.
S30; 정보 확인단계
보안서버(100')의 정보확인모듈(140)은 수집한 접속 세션으로부터 시그니처 정보를 검출하고, 이렇게 검출한 시그니처 정보를 각 세션별 인덱스 값과 링크해 맵DB(120)에 저장한다.
상기 시그니처 정보는 TELNET, SSH, Rlogin 등의 접속 시 발생하는 문자열(시그니처, 예; "Last login: Fri Nov.." 등)과 세션 정보의 조합으로 생성되는 고유의 해쉬 값으로서, 정보확인모듈(140)은 상기 시그니처 정보를 시간대별로 맵DB(120)에 저장한다. 앞서 언급한 바와 같이 상기 시그니처 정보를 세션별 인덱스 값과 링크해 저장해서, 추적모듈(150)에 의한 검색이 효과적으로 이루어질 수 있도록 한다. 여기서, 상기 문자열(시그니처)은 보안 대상 서버에 대한 접속신호 발신지 IP와 링크된다. 한편, 상기 문자열(시그니처)에는 접속자의 접속 이력이 누적되므로, 특정 보안 대상 서버로의 접속이 임의 서버를 통한 우회 접속이더라도 상기 특정 보안 대상 서버 접속시 확인된 시그니처 정보의 문자열에는 원천 IP로부터 발신한 상기 임의 서버 접속신호에 대한 시그니처 정보가 포함된다.
결국, 본 발명에 따른 추적시스템은 시그니처 정보의 전술한 특성을 보안에 응용하기 위해서는, 제1,2 보안 대상 서버(20, 30)로의 접속 시도 확인시, 보안서버(100')의 정보확인모듈(140)은 발생된 시그니처 정보를 인덱스 값과 링크돼 맵DB(120)에 저장하고, 상기 시그니처 정보의 순서를 분명히 하기 위해 시간대별로 저장한다.
한편, 특정 제1,2 보안 대상 서버(20, 30)의 경우 보안성을 높일 목적으로 시그니처 정보가 노출되지 않도록 제한될 수 있다. 이 경우 정보확인모듈(140)은 원본 시그니처 정보를 대신한 임의의 특수 문자열(시그니처)을 생성시키고, 상기 특수 문자열을 세션별로 인덱스 값과 링크해 맵DB(120)에 저장한다. 즉, 정보확인모듈(140)은 제1,2 보안 대상 서버(20, 30)로의 접속 시도시 시그니처 정보의 발생이 확인되지 않으면, 보안서버(100')만이 인지할 수 있는 특수 문자열을 임의로 생성시켜서, 자연 발생하는 시그니처 정보를 대신하는 것이다.
S40; 경로 추적단계
보안서버(100')의 추적모듈(150)은 정보 확인단계(S30)에서 확인된 시그니처 정보의 시그니처와 동일한 시그니처를 포함하는 시그니처 정보를 맵DB(120)에서 검색한다.
앞서 언급한 바와 같이 맵DB(120)에는 시그니처 정보가 세션별로 저장되고, 상기 시그니처 정보는 서버 접속시마다 발생하는 고유한 문자열을 포함하므로, 맵DB(120)에 동일한 시그니처 정보의 유무에 따라 당해 서버 접속이 원천 IP로부터 접속하는 것인지, 아니면 다른 IP를 통해 우회 접속하는 것인지를 추적할 수 있다.
도면을 참조해 예를 들어 설명한다.
제1 보안 대상 서버(20)의 보안정책은 IP가 192.168.1.* 대역 대의 단말기 접속이 가능하고, 제2 보안 대상 서버(30)의 보안정책은 IP가 10.1.1.* 대역 대의 단말기 접속이 가능하다.
따라서 접속자가 192.168.1.1을 IP로 하는 단말기(10)를 통해 제1 보안 대상 서버(20)에 접속을 시도할 경우, 보안서버(100')는 제1 보안 대상 서버(20)의 보안정책에 따라 단말기(10)의 제1 보안 대상 서버(20) 접속을 허락할 것이다(① 경우). 반면, 접속자가 단말기(10)를 통해 제2 보안 대상 서버(30)에 접속을 시도할 경우, 보안서버(100')는 제2 보안 대상 서버(30)의 보안정책에 따라 단말기(10)의 제2 보안 대상 서버(30) 접속을 불허할 것이다(② 경우).
한편, 접속자가 단말기(10)를 통해 제1 보안 대상 서버(20)에 우선 접속한 후 우회해서 제2 보안 대상 서버(30)에 접속을 시도할 경우 종래에는 해당 접속이 가능했으나, 본 발명에 따른 추적시스템에서는 맵DB(120)에 저장된 시그니처 정보 검색을 통해 원천 IP인 접속자의 단말기(10) IP가 추적되므로, 해당 접속이 불가능하다(③ 경우).
이는 접속자가 192.168.1.1을 IP로 하는 단말기(10)를 통해 제1 보안 대상 서버(20)에 최초 접속할 때, 정보확인모듈(140)은 제1 보안 대상 서버(20) 접속시 발생한 시그니처 'A'를 맵DB(120)에 저장하고, 접속자가 제1 보안 대상 서버(20)를 시점으로 제2 보안 대상 서버(30)에 우회 접속할 때, 정보확인모듈(140)은 제2 보안 대상 서버(30) 접속시 발생한 시그니처 'B'와 동일한 시그니처를 포함하는 시그니처 정보를 맵DB(120)에서 검색해서, 상기 'A'와 'B'가 일치함을 확인하면 해당 접속의 발신 IP는 제1 보안 대상 서버(20)의 IP인 10.1.1.1이 아니고 단말기(10)의 IP인 192.168.1.1임이 추적 가능하기 때문이다. 물론, 상기 'A'와 'B'가 일치하지 않은 것으로 확인되면, 해당 접속의 발신 IP를 원천 IP로 간주할 것이다.
도 4(맵DB에 저장된 시그니처 정보의 형식을 개략적으로 보인 도면)를 참조해 실 예를 들어 설명하면, 정보확인모듈(140)은 14시 00분 42초 경에 IP가 10.1.1.1인 제1 보안 대상 서버(20)로의 접속에 따른 시그니처 정보를 수집하고 "AAAAA"의 시그니처를 확인한다. 이때, 해당 발신 IP는 단말기(10)의 IP인 192.168.1.1이다. 이러한 방식으로, 정보확인모듈(140)은 192.168.1.1(발신 IP)에서 10.1.1.1(수신 IP)로 접속할 때 발생하는 시그니처 정보를 수집해서 '가 세션'으로 분류한다.
한편, 전술한 방법과 동일한 방법으로, 정보확인모듈(140)은 10.1.1.1(발신 IP)에서 10.1.1.2(수신 IP)로 접속할 때 발생하는 시그니처 정보를 수집해서 '나 세션'으로 분류하고, 10.1.1.2(발신 IP)에서 10.1.1.3(수신 IP)로 접속할 때 발생하는 시그니처 정보를 수집해서 '다 세션'으로 분류한다.
추적모듈(150)은 14:00:42 현재, 192.168.1.1에서 10.1.1.1로 접속 시도되는 시그니처 "AAAAA"를 수집하면, 정보확인모듈(140)은 우선 192.168.1.1에서 10.1.1.1로의 접속 경로를 가 세션으로 분류해 시그니처 정보를 형성하고, 맵DB(120)에서 해당 시그니처 정보와 동일 또는 인접 시간대의 동일 시그니처를 포함하는 시그니처 정보를 검색해서, 동일한 시그니처 정보가 없음을 확인한 후 상기 10.1.1.1로 접속을 시도하는 발신 IP인 192.168.1.1가 원천 IP임을 결정하고, 대상 서버에 대한 보안정책이 반영될 수 있도록 한다.
또한, 추적모듈(150)은 14:02:57 현재, 10.1.1.1에서 10.1.1.2로 접속 시도되는 시그니처 "BBBBB"를 수집하면, 정보확인모듈(140)은 우선 10.1.1.1에서 10.1.1.2로의 접속 경로를 나 세션으로 분류해 시그니처 정보를 형성하고, 맵DB(120)에서 해당 시그니처 정보와 동일 또는 인접 시간대의 동일 시그니처를 포함하는 시그니처 정보를 검색해서, "가 세션/BBBBB(192.168.1.1 -> 10.1.1.1)/14:02:57"을 확인한 후 상기 10.1.1.2로 접속을 시도하는 발신 IP인 10.1.1.1가 원천 IP가 아니고 192.168.1.1이 원천 IP임을 결정하고, 대상 서버에 대한 보안정책이 반영될 수 있도록 한다.
이외에도, 추적모듈(150)은 14:03:28 현재, 10.1.1.2에서 10.1.1.3으로 접속 시도되는 시그니처 "CCCCC"를 수집하면, 정보확인모듈(140)은 우선 10.1.1.2에서 10.1.1.3으로의 접속 경로를 나 세션으로 분류해 시그니처 정보를 형성하고, 맵DB(120)에서 해당 시그니처 정보와 동일 또는 인접 시간대의 동일 시그니처를 포함하는 시그니처 정보를 검색해서, "가 세션/CCCCC(192.168.1.1 -> 10.1.1.1)/14:03:28"과 "나 세션/CCCCC(10.1.1.1 -> 10.1.1.2)/14:03:28"을 확인한 후 상기 10.1.1.3으로 접속을 시도하는 발신 IP인 10.1.1.2가 원천 IP가 아니고 192.168.1.1이 원천 IP임을 결정하고, 대상 서버에 대한 보안정책이 반영될 수 있도록 한다.
참고로, 도 4에서 보인 각 시그니처 정보의 시그니처를 단순히 "AAAAA", "BBBBB", "CCCCC" 등으로 예시하였지만, 상기 시그니처는 예시한 형식에 한정되는 것은 아니다.
한편, 단말기가 최종 보안 대상 서버에 접속하는 시간과 우회하는 서버에 접속하는 시간은 앞서 언급한 바와 같이 동일할 수도 있고, 인접 시간대일 수도 있다. 이론적으로는 신호의 처리속도와 이동속도는 매우 빠르므로 접속시도가 서버를 우회하더라도 최종 보안 대상 서버에 대한 접속 시간과 우회 서버에 대한 접속 시간이 일치할 것이다. 그러나, 현실적으로는 통신 트래픽과 서버의 처리속도에 따라 최종 보안 대상 서버에 대한 접속 시간과 우회 서버에 대한 접속 시간에 다소 차이가 발생할 수 있다. 따라서, 앞서 언급한 바와 같이 추적모듈(150)은 맵DB(120)에서 동일 시그니처를 포함하는 시그니처 정보를 검색할 때 해당 시그니처 정보와 동일 또는 지정된 범위 내 인접 시간대의 시그니처 정보를 검색할 수 있다.
S50; IP 확인단계
이렇게 확인된 해당 접속의 발신 IP가 비차단 대상인 경우 보안모듈(130)은 중지시킨 접속절차를 속행시켜서 상기 접속이 정상적으로 이루어지도록 하고(서버 접속; S61), 상기 발신 IP가 차단 대상인 경우 보안모듈(130)은 세선 종료 시그날을 발송해 접속 상태를 강제 차단하거나 상기 접속을 불허한다(접속 차단; S62).
한편, 전술한 바와 같이 시그니처 정보는 세션별로 인덱스 값과 링크해 저장된다. 여기서 세션이라 함은 접속 경로를 단말기(10) 및/또는 제1,2 보안 대상 서버(20, 30)의 접속 경로별로 분류한 것으로서, 도 2에 예시된 단말기(10)와 제1,2보안 대상 서버(20, 30) 간에는 ① 경우, ② 경우 및 ③ 경우 등의 3가지 세션이 예시된다. 즉, 시그니처 정보는 이러한 세션별로 분류돼 저장되고, 각각의 시그니처 정보의 구분을 분명히 하기 위해 인덱스 값이 링크되는 것이다. 여기서 상기 세션은 정보확인모듈(140)이 시그니처 정보 분석에 의한 원천 IP 확인을 통해서 최종 분류되고, 추적모듈(150)은 이렇게 분류된 세션별 연결 경로 계산을 통해 원천 IP를 효율적으로 검색할 수 있다.
결국, 세션별 시그니처 정보를 통해 보안서버(100')는 다중 경로의 접속 세션이라도 관리가 가능하다.
도 5는 본 발명에 따른 경로 추적시스템의 다른 실시 예를 도시한 블록도인 바, 이를 참조해 설명한다.
본 발명에 따른 경로 추적시스템은 접속자가 비보안 대상 서버(40)를 통해 우회하는 경우에도 원천 IP를 추적해서 해당 보안 대상 서버(20, 30)의 보안정책을 적용할 수 있도록 하는 것으로서, 다음과 같은 실시 예로 진행될 수 있다.
④ 경우
접속자는 IP가 192.168.1.1인 단말기(10)를 이용해 보안서버(100')를 경유 제1 보안 대상 서버(20)에 접속한다. 이때 보안서버(100')의 정보확인모듈(140)은 전술한 바와 같이 해당 접속에 따른 접속 세션을 감지해서 세션 정보와 세션에 대한 시그니처 정보를 수집해 확인하고, 이를 맵DB(120)에 저장한다.
계속해서, 접속자는 제1 보안 대상 서버(20)에서 직접 비보안 대상 서버(40)의 접속을 시도한다. 물론 보안서버(100')는 접속자의 비보안 대상 서버(40) 접속은 보안 관리 대상이 아니므로, 별도의 제어 없이 그 접속을 허용하고 별도의 시그니처 정보 수집도 진행하지 않는다.
이후 접속자는 비보안 대상 서버(40)를 발신 IP로 해 보안서버(100')를 경유해 제2 보안 대상 서버(30)에 우회 접속을 시도한다. 보안서버(100')의 정보확인모듈(140)은 해당 접속에 따른 접속 세션을 감지해서 세션 정보와 세션에 대한 시그니처 정보를 수집해 확인하고, 이를 맵DB(120)에 저장한다. 이때, 보안서버(100')가 수집한 당해 시그니처 정보의 발신 IP는 비보안 대상 서버(40)의 IP인 10.1.1.3이지만, 해당 시그니처는 제1 보안 대상 서버(20)로의 접속 당시 맵DB(120)에 기저장된 시그니처와 일치하므로, 원천 IP인 192.168.1.1이 추적되어서 해당 접속 시도는 보안서버(100')에서 차단된다. 여기서, 단말기(10)가 보안서버(100')를 경유해 제1 보안 대상 서버(20)에 접속하는 형태와, 비보안 대상 서버가 보안서버(100')를 경유해 제2 보안 대상 서버(30)에 접속하는 형태는 프록시 방식의 서버 접속이 적용될 수 있다.
⑤ 경우
접속자는 IP가 192.168.1.1인 단말기(10)를 이용해 보안서버(100')를 경유 제1 보안 대상 서버(20)에 접속한다. 이때 보안서버(100')의 정보확인모듈(140)은 전술한 바와 같이 해당 접속에 따른 접속 세션을 감지해서 세션 정보와 세션에 대한 시그니처 정보를 수집해 확인하고, 이를 맵DB(120)에 저장한다.
계속해서, 접속자는 제1 보안 대상 서버(20)에서 직접 비보안 대상 서버(40)의 접속을 시도한다. 물론 보안서버(100')는 접속자의 비보안 대상 서버(40) 접속은 보안 관리 대상이 아니므로, 별도의 제어 없이 그 접속을 허용하고 별도의 시그니처 정보 수집도 진행하지 않는다.
이후 접속자는 비보안 대상 서버(40)를 발신 IP로 해 제2 보안 대상 서버(30)에 우회 접속을 시도한다. 보안서버(100')의 정보확인모듈(140)은 스니핑 기술을 통해 보안 대상 서버(30)로의 접속을 감지하고 시그니처 정보 수집을 통해 발신 IP인 제1 보안 대상 서버(20)의 IP 10.1.1.1을 확인한다. 여기서, 정보확인모듈(140)이 비보안 대상 서버(40)의 IP가 아닌 제1 보안 대상 서버(20)의 IP를 발신 IP로 확인하는 이유는 비보안 대상 서버(40)에 대한 기록이 맵DB(120)에는 없고, 세션별 저장 기록을 통해 해당 접속의 최종 지점이 제1 보안 대상 서버(20)의 IP임이 확인되기 때문이다.
한편, 보안서버(100')가 수집한 당해 시그니처 정보의 발신 IP는 제1보안 대상 서버(20)의 IP인 10.1.1.1이지만, 해당 시그니처는 제1 보안 대상 서버(20)로의 접속 당시 맵DB(120)에 기저장된 시그니처와 일치하므로, 원천 IP인 192.168.1.1이 추적되어서 해당 접속 시도는 보안서버(100')에서 차단된다.
앞서 설명한 본 발명의 상세한 설명에서는 본 발명의 바람직한 실시 예들을 참조해 설명했지만, 해당 기술분야의 숙련된 당업자 또는 해당 기술분야에 통상의 지식을 갖는 자라면 후술될 특허청구범위에 기재된 본 발명의 사상 및 기술영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
10; 단말기 20; 제1 보안 대상 서버
30; 제2 보안 대상 서버 40; 비보안 대상 서버
100, 100'; 보안서버 110; 대상DB
120; 맵DB 130; 보안모듈
140; 정보확인모듈 150; 추적모듈
30; 제2 보안 대상 서버 40; 비보안 대상 서버
100, 100'; 보안서버 110; 대상DB
120; 맵DB 130; 보안모듈
140; 정보확인모듈 150; 추적모듈
Claims (4)
- 단말기, 보안 대상 서버 및 상기 보안 대상 서버에 대한 외부 접속을 제어하는 보안서버를 포함한 접속 경로 추적시스템에 있어서, 상기 보안서버는
보안 대상 서버의 보안정책을 저장하는 대상DB;
발신지 IP와 링크된 고유 시그니처를 포함한 시그니처 정보를 세션별로 저장하는 맵DB;
상기 보안 대상 서버로의 접속시 발생한 접속 세션을 수집하고, 상기 접속 세션으로부터 상기 시그니처 정보를 확인해서 상기 맵DB에 저장하는 정보확인모듈;
상기 보안 대상 서버 접속에 대한 해당 시그니처 정보의 시그니처와 동일한 시그니처를 포함한 동일 또는 인접시간대의 시그니처 정보를 상기 맵DB에서 검색하고, 검색된 시그니처 정보와 링크된 최선 발신지 IP를 원천 IP로 확인하는 추적모듈;
을 포함하는 것을 특징으로 하는 네트워크 보안을 위한 접속 경로 추적시스템. - 제 1 항에 있어서,
상기 보안 대상 서버에 대한 상기 단말기의 접속 시도를 감지해서 접속을 중지시키고, 상기 추적모듈이 확인한 원천 IP를 상기 보안정책과 비교해서 상기 접속 여부를 제어하는 보안모듈;을 더 포함하는 것을 특징으로 하는 접속 경로 추적시스템. - 제 1 항에 있어서,
상기 보안서버의 상기 접속 세션 수집은 프록시 또는 스니핑을 통해 이루어지는 것을 특징으로 하는 접속 경로 추적시스템. - 제 1 항에 있어서,
상기 정보확인모듈은 수집된 접속 세션에서 해당 시그니처 정보가 미확인되면, 임의의 시그니처 정보를 생성시켜서 상기 맵DB에 저장하는 것을 특징으로 하는 접속 경로 추적시스템.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020120001359A KR101160219B1 (ko) | 2012-01-05 | 2012-01-05 | 네트워크 보안을 위한 접속 경로 추적시스템과 추적방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020120001359A KR101160219B1 (ko) | 2012-01-05 | 2012-01-05 | 네트워크 보안을 위한 접속 경로 추적시스템과 추적방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101160219B1 true KR101160219B1 (ko) | 2012-06-27 |
Family
ID=46689464
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020120001359A KR101160219B1 (ko) | 2012-01-05 | 2012-01-05 | 네트워크 보안을 위한 접속 경로 추적시스템과 추적방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101160219B1 (ko) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101395830B1 (ko) * | 2014-01-13 | 2014-05-16 | 주식회사 피앤피시큐어 | 프록시를 경유한 접속 세션정보 확인시스템과 이를 기반으로 한 세션정보 확인방법 |
| WO2018131802A1 (ko) * | 2017-01-16 | 2018-07-19 | 주식회사 피앤피시큐어 | 프로세스 동작 추적을 통한 ap서버의 보안 게이트웨이 자동 전환 시스템과 전환 방법 |
| KR101980843B1 (ko) | 2018-07-05 | 2019-05-21 | 주식회사 피앤피시큐어 | 프록시를 경유한 접속 세션정보 확인시스템과 확인방법 |
| KR102014807B1 (ko) * | 2019-02-25 | 2019-08-27 | 주식회사 넷앤드 | 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20070104761A (ko) * | 2006-04-24 | 2007-10-29 | 이병관 | 시그니처 그래프를 이용한 하이브리드 기반 침입탐지시스템 |
| KR20100055146A (ko) * | 2008-11-17 | 2010-05-26 | (주)소만사 | 메신저 정보유출 제어방법 및 그를 이용한 네트워크 콘텐츠보안시스템 |
| KR101070184B1 (ko) * | 2011-02-24 | 2011-10-07 | 주식회사 윈스테크넷 | 멀티스레드 사이트 크롤러를 이용한 악성코드 자동수집, 자동분석시스템과 보안장비 연동을 통한 악성코드접근차단시스템 및 방법 |
-
2012
- 2012-01-05 KR KR1020120001359A patent/KR101160219B1/ko active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20070104761A (ko) * | 2006-04-24 | 2007-10-29 | 이병관 | 시그니처 그래프를 이용한 하이브리드 기반 침입탐지시스템 |
| KR20100055146A (ko) * | 2008-11-17 | 2010-05-26 | (주)소만사 | 메신저 정보유출 제어방법 및 그를 이용한 네트워크 콘텐츠보안시스템 |
| KR101070184B1 (ko) * | 2011-02-24 | 2011-10-07 | 주식회사 윈스테크넷 | 멀티스레드 사이트 크롤러를 이용한 악성코드 자동수집, 자동분석시스템과 보안장비 연동을 통한 악성코드접근차단시스템 및 방법 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101395830B1 (ko) * | 2014-01-13 | 2014-05-16 | 주식회사 피앤피시큐어 | 프록시를 경유한 접속 세션정보 확인시스템과 이를 기반으로 한 세션정보 확인방법 |
| WO2018131802A1 (ko) * | 2017-01-16 | 2018-07-19 | 주식회사 피앤피시큐어 | 프로세스 동작 추적을 통한 ap서버의 보안 게이트웨이 자동 전환 시스템과 전환 방법 |
| KR101980843B1 (ko) | 2018-07-05 | 2019-05-21 | 주식회사 피앤피시큐어 | 프록시를 경유한 접속 세션정보 확인시스템과 확인방법 |
| KR102014807B1 (ko) * | 2019-02-25 | 2019-08-27 | 주식회사 넷앤드 | 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11503043B2 (en) | System and method for providing an in-line and sniffer mode network based identity centric firewall | |
| US7756981B2 (en) | Systems and methods for remote rogue protocol enforcement | |
| US20060190997A1 (en) | Method and system for transparent in-line protection of an electronic communications network | |
| JP2005529409A (ja) | プロトコルゲートウェイのためのシステム及び方法 | |
| KR102014807B1 (ko) | 우회 접속 탐지 및 차단 기능을 구비한 접근통제 시스템 | |
| US11895144B2 (en) | Systems and methods for network security | |
| CN114598540A (zh) | 访问控制系统、方法、装置及存储介质 | |
| CN111092910B (zh) | 数据库安全访问方法、装置、设备、系统及可读存储介质 | |
| CN103532912A (zh) | 浏览器业务数据的处理方法和装置 | |
| CN100559763C (zh) | 一种远程网络服务的完整性检验方法 | |
| US9338137B1 (en) | System and methods for protecting confidential data in wireless networks | |
| KR101160219B1 (ko) | 네트워크 보안을 위한 접속 경로 추적시스템과 추적방법 | |
| CN113614718A (zh) | 异常用户会话检测器 | |
| CN111314381A (zh) | 安全隔离网关 | |
| KR20150026587A (ko) | 신규 기기로부터의 로그인 알림 기능 제공 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
| CN102045310B (zh) | 一种工业互联网入侵检测和防御方法及其装置 | |
| KR101087291B1 (ko) | 인터넷을 사용하는 모든 단말을 구분하는 방법 및 시스템 | |
| KR101088084B1 (ko) | 전자상거래 불법 침입 감시 및 차단 방법과 시스템 | |
| RU2601147C2 (ru) | Система и способ выявления целевых атак | |
| EP3738012B1 (en) | Asserting user, app, and device binding in an unmanaged mobile device | |
| RU2684575C1 (ru) | Способ управления потоками данных распределенной информационной системы при ddos атаках | |
| CN113194088B (zh) | 访问拦截方法、装置、日志服务器和计算机可读存储介质 | |
| CN112350939A (zh) | 旁路阻断方法、系统、装置、计算机设备及存储介质 | |
| KR101160903B1 (ko) | 네트워크 식별자 분류 시스템 및 그 방법 | |
| KR101997181B1 (ko) | Dns관리장치 및 그 동작 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| A302 | Request for accelerated examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20150529 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20180403 Year of fee payment: 7 |
|
| FPAY | Annual fee payment |
Payment date: 20190329 Year of fee payment: 8 |