KR101173810B1 - 보안 강화 시스템, 이를 위한 단말 및 서비스 장치, 그리고 이를 위한 방법 - Google Patents

보안 강화 시스템, 이를 위한 단말 및 서비스 장치, 그리고 이를 위한 방법 Download PDF

Info

Publication number
KR101173810B1
KR101173810B1 KR1020110090493A KR20110090493A KR101173810B1 KR 101173810 B1 KR101173810 B1 KR 101173810B1 KR 1020110090493 A KR1020110090493 A KR 1020110090493A KR 20110090493 A KR20110090493 A KR 20110090493A KR 101173810 B1 KR101173810 B1 KR 101173810B1
Authority
KR
South Korea
Prior art keywords
terminal
information
connection
outside
security
Prior art date
Application number
KR1020110090493A
Other languages
English (en)
Inventor
박상철
Original Assignee
(주)멜리타
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)멜리타 filed Critical (주)멜리타
Priority to KR1020110090493A priority Critical patent/KR101173810B1/ko
Application granted granted Critical
Publication of KR101173810B1 publication Critical patent/KR101173810B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 보안 강화 방법에 관한 것으로, 더욱 상세하게는 단말에서 외부로 전송되는 연결정보 중 반복되는 연결정보를 통해 이상상태를 판단하고, 이를 차단할 수 있는 보안 강화 시스템, 이를 위한 단말 및 서비스 장치, 그리고 이를 위한 방법 및 기록매체에 관한 것이다.
이를 위해, 본 발명의 일실시예에 따른 보안 강화 시스템은 단말 외부로의 연결정보가 생성되면, 일정기간 단위로 연결정보를 수집하고, 수집된 상기 연결정보 중 반복적으로 전송되는 연결정보를 추출하여 보안 강화 서비스 장치로 전송하거나, 기설정된 보안정책과 비교하여 이상상태로 판단되면 상기 단말 외부로의 연결을 차단하는 단말 및 적어도 하나의 단말에 대한 보안정책을 설정하며, 상기 단말로부터 연결정보가 수신되면, 기설정된 보안정책과 비교하여 이상상태로 판단될 경우 상기 단말로 단말 외부로의 연결에 대한 연결차단명령을 전송하는 상기 보안 강화 서비스 장치를 포함하여 구성되며, 단말 외부로 반복적으로 전송되는 연결정보를 통계분석 관점으로 분석함으로써 기존에 알려지지 않은 새로운 형태의 악성 봇까지 탐지하고 차단할 수 있다는 장점이 있다.

Description

보안 강화 시스템, 이를 위한 단말 및 서비스 장치, 그리고 이를 위한 방법 {Security reinforcement system, apparatus for security reinforcement and method thereof}
본 발명은 보안 강화 방법에 관한 것으로, 더욱 상세하게는 단말에서 외부로 전송되는 연결정보 중 반복되는 연결정보를 통해 이상상태를 판단하고, 이를 차단할 수 있는 보안 강화 시스템, 이를 위한 단말 및 서비스 장치, 그리고 이를 위한 방법에 관한 것이다.
정보통신 기술의 급격한 발달은 초고속 인터넷의 확산을 가져왔고, 이에 따라 현재 인터넷은 우리 생활에 없어서는 안될 필수적인 요소로 자리잡아 가고 있다. 인터넷의 보급이 확산됨에 따라, 인터넷의 구조적인 취약성을 공격하는 다양한 불법적인 행위도 증가되어 가고 있는데, 그 중에서 분산서비스 거부(DDoS; Distribute Denial of Service attack) 공격과 같은 특정 네트워크나 서버로의 접속을 차단시키는 행위는 개인은 물론 서비스 제공자에게 있어 치명적인 피해를 입힐 수 있는 불법적인 행위이다.
분산서비스 거부 공격은 점차 그 발생 횟수는 물론 영향력도 강력해지고 있는데, 이는 악성 봇(bot)에 감염된 단말의 수가 지속적으로 증가하여 강력한 봇넷(botnet)을 형성하고 있기 때문이다.
여기서, 봇은 프로그램 대리자라는 의미로 사용자에 의도에 따라 여러 역할을 수행하나, 악의적인 목적을 가진 사용자에 의해 다른 사용자 단말에 무단으로 침투하여 해당 사용자 단말의 통제권을 획득하고 악의적인 목적으로 사용되는 봇을 악성 봇이라 한다.
이러한 악성 봇은 제어권을 가진 사용자에 의해, 악성 봇에 감염된 단말을 원격 조정하여 해당 단말의 정보를 무단으로 추출하는 것은 물론 특정 네트워크나 특정 서버에 대량의 트래픽을 보내 장애를 유발시킴으로써, 서비스 불능(denial of service) 상태로 만들어 버리게 된다.
현재 악성 봇에 감염된 단말을 이용한 분산서비스 거부 공격을 방지하기 위해, 분산서비스 거부 공격 발생 시 이를 방어하는 방법, 우회 서비스를 이용하는 수동적인 해결 방법 등이 사용되고 있으나, 분산서비스 거부 공격에 이용되는 악성 봇에 감염된 사용자 단말을 탐지함으로써, 악성 봇을 이용한 불법적인 행위를 차단할 수 있는 악성 봇 탐지 및 차단 기술에 대한 요구가 점차 증가되고 있다.
또한, 악성 봇은 그 형태가 고정적이지 않고 지속적으로 변형되어 가고 있어, 이미 널리 알려진 악성 봇 이외에도 알려지지 않은 새로운 악성 봇까지 탐지하고 차단할 수 있는 시스템에 대한 요구가 증가되고 있다.
본 발명은 상기한 종래의 문제점을 해결하기 위해 제안된 것으로서, 악성 봇에 감염된 단말을 사전에 감지하고 제거함으로써, 악성 봇을 이용한 불법적인 행위를 사전에 차단할 수 있는 보안 강화 시스템, 이를 위한 단말 및 서비스 장치, 그리고 이를 위한 방법을 제공한다.
본 발명의 다른 목적은 지속적으로 변형되어 가는 새로운 악성 봇까지 탐지하고 차단할 수 있는 보안 강화 시스템, 이를 위한 단말 및 서비스 장치, 그리고 이를 위한 방법을 제공한다.
상술한 바와 같은 목적을 달성하기 위한 본 발명의 보안 강화 시스템은 단말 외부로의 연결정보가 생성되면, 일정기간 단위로 연결정보를 수집하고, 수집된 상기 연결정보 중 반복적으로 전송되는 연결정보를 추출하여 보안 강화 서비스 장치로 전송하거나, 기설정된 보안정책과 비교하여 이상상태로 판단되면 상기 단말 외부로의 연결을 차단하는 단말 및 적어도 하나의 단말에 대한 보안정책을 설정하며, 상기 단말로부터 연결정보가 수신되면, 기설정된 보안정책과 비교하여 이상상태로 판단될 경우 상기 단말로 단말 외부로의 연결에 대한 연결차단명령을 전송하는 상기 보안 강화 서비스 장치를 포함하여 구성된다.
상술한 바와 같은 목적을 달성하기 위한 본 발명의 단말은 통신망을 통해 정보를 송수신하는 단말 통신부 및 단말 외부로의 연결정보가 생성되면, 일정기간 단위로 상기 연결정보를 수집하고, 수집된 상기 연결정보 중 반복적으로 전송되는 연결정보를 추출하여 보안 강화 서비스 장치로 전송하는 단말 제어부를 포함하여 구성된다.
이때, 상기 단말 제어부는 상기 보안 강화 서비스 장치로부터 상기 단말 외부로의 연결에 대한 연결차단명령이 수신되면 상기 단말 외부로의 연결을 차단할 수도 있다.
또한, 상기 단말 제어부는 상기 단말 외부로의 연결이 차단된 이후에, 자동 재연결이 이뤄지면 상기 단말 외부로의 연결을 영구적으로 차단할 수도 있다.
여기서, 상기 단말 제어부는 일정기간 단위로 단말 외부로의 연결정보를 수집하는 정보수집모듈 및 수집된 상기 연결정보 중 반복적으로 전송되는 연결정보를 추출하는 정보추출모듈을 포함하여 구성된다.
이때, 상기 단말 제어부는 기설정된 필터정보에 따라 불필요한 연결정보를 제거하는 정보필터모듈, 상기 연결정보를 보안 강화 서비스 장치로 전송하기 위한 로그 포맷으로 변환하는 로그 포맷 변환 모듈 및 상기 보안 강화 서비스 장치로부터 상기 단말 외부로의 연결에 대한 연결차단명령이 수신되면, 상기 단말 외부로의 연결을 차단하는 정보차단모듈을 더 포함하여 구성될 수도 있다.
또한, 본 발명의 실시예에 따른 단말은 일정기간 단위로 보안 강화 서비스 장치로부터 보안정책 또는 필터정보 중 어느 하나의 정보를 수신하여 저장하고, 수집된 상기 연결정보를 저장하고 관리하는 단말 저장부를 더 포함하여 구성될 수도 있다.
또한, 상기 단말 제어부는 수집된 상기 연결정보 중 반복적으로 전송되는 연결정보를 추출하여, 보안 강화 서비스 장치로 전송하기 이전에 기설정된 보안정책과 비교하여 이상상태로 판단되면, 상기 단말 외부로의 연결을 차단할 수도 있으며, 이때, 상기 단말 제어부는 상기 보안 강화 서비스 장치로 활동 상황에 대한 정보를 전송하게 된다.
또한, 상기 단말 제어부는 수집된 상기 연결정보 중 특정 상태가 기설정된 임계 값 이상 발생되면 이상상태로 판단하여, 상기 단말 외부로의 연결을 차단할 수도 있다.
상술한 바와 같은 목적을 달성하기 위한 본 발명의 보안 강화 서비스 장치는 적어도 하나의 단말로부터 단말 외부로의 연결정보가 수신되면, 수신된 상기 연결정보를 저장하고 관리하는 정보 수집부, 적어도 하나의 단말 보안정책을 저장하고 관리하는 보안정책 관리부 및 수신된 상기 연결정보를 기설정된 보안정책에 따라 이상상태 여부를 판단하는 정보 분석부를 포함하여 구성될 수 있다.
이때, 상기 보안정책 관리부는 이상상태의 유형별 특성정보, 시스템 설정에 의한 기본 필터정보, 사용자 설정에 의한 필터정보 중 적어도 어느 하나의 정보를 포함할 수 있다.
여기서, 상기 사용자 설정에 의한 필터정보는 네트워크 정보, 프로세스 정보, 서비스 포트 정보, 에이전트 로그 정보 중 적어도 어느 하나의 정보일 수 있다.
또한, 본 발명의 실시예에 따른 보안 강화 서비스 장치는 통신망을 통해 단말과 정보를 송수신하는 통신부 및 상기 단말로부터 단말 외부로의 연결정보를 수신하고, 상기 단말로 보안정책 및 상기 정보 분석부에 의해 이상상태로 판단되면, 단말 외부로의 연결에 대한 연결차단명령을 전송하는 서비스 제어부를 더 포함하여 구성될 수 있다.
또한, 본 발명의 실시예에 따른 보안 강화 서비스 장치는 상기 단말의 보안 상태에 대한 보고서를 생성하는 보고서 생성부를 더 포함하여 구성될 수 있다.
상술한 바와 같은 목적을 달성하기 위한 본 발명의 보안 강화를 위한 악성정보 감지 방법은 단말 외부로의 연결정보를 생성하는 단계, 일정기간 단위로 상기 연결정보를 수집하는 단계 및 수집된 상기 연결정보 중 반복적으로 전송되는 연결정보를 추출하는 단계의 순으로 이뤄진다.
이때, 추출된 상기 연결정보 중에서 기설정된 필터정보에 따라 불필요한 연결정보를 제거하는 단계, 상기 연결정보를 보안 강화 서비스 장치로 전송하기 위한 포맷으로 변환하는 단계, 변환된 상기 연결정보를 보안 강화 서비스 장치로 전송하는 단계 및 상기 보안 강화 서비스 장치로부터 상기 단말 외부로의 연결에 대한 연결차단명령이 수신되면 상기 단말 외부로의 연결을 차단하는 단계를 더 포함하여 이뤄질 수도 있다.
또한, 상기 단말 외부로의 연결을 차단된 이후, 자동 재연결이 이뤄지면 상기 단말 외부로의 연결을 영구적으로 차단하는 단계를 더 포함할 수도 있다.
또한, 수집된 상기 연결정보 중 반복적으로 전송되는 연결정보를 추출한 후 기설정된 보안정책과 비교하여 이상상태로 판단되면, 상기 단말 외부로의 연결을 차단하는 단계를 더 포함할 수도 있다.
이때, 활동 상황에 대한 정보를 상기 보안 강화 서비스 장치로 전송하는 단계를 더 포함할 수도 있다.
상술한 바와 같은 목적을 달성하기 위한 본 발명의 보안 강화 방법은 적어도 하나의 단말로부터 단말 외부로의 연결정보를 수신하는 단계, 수신된 상기 연결정보를 기설정된 보안정책에 따라 이상상태 여부를 판단하는 단계 및 이상상태로 판단되면, 상기 단말로 단말 외부로의 연결에 대한 연결차단명령을 전송하는 단계의 순으로 이뤄질 수 있다.
삭제
삭제
본 발명에 의하면, 악성 봇에 감염된 단말 외부로 전송되는 연결정보를 탐지함으로써, 악성 봇을 이용한 불법적인 행위를 사전에 차단할 수 있다는 장점이 있다.
본 발명에 의하면, 패턴 분석 기법이 아닌 단말 외부로 전송되는 연결정보를 통계분석 관점으로 분석함으로써 기존에 알려지지 않은 새로운 형태의 악성 봇까지 탐지하고 차단할 수 있으며, 이를 통해 분산서비스 거부 공격과 같은 불법적인 행위에 신속한 대응이 가능하다는 장점이 있다.
본 발명에 의하면, 사용자 단말의 사용 환경에 따라 보안 정책을 다르게 적용함으로써, 관리 및 운영의 유동성을 확보할 수 있다는 장점이 있다.
도 1은 본 발명의 실시예에 따른 보안 강화 시스템의 주요 구성을 나타내는 예시도이다.
도 2는 도 1에 도시된 단말의 주요 구성을 나타내는 블록도이다.
도 3은 정상적인 형태의 TCP/IP 기반의 연결방법을 나타내는 데이터 흐름도이다.
도 4는 도 1에 도시된 보안 강화 서비스 장치의 주요 구성을 나타내는 블록도이다.
도 5는 본 발명의 제 1 실시예에 따른 보안 강화를 위한 악성정보 감지 방법을 나타내는 흐름도이다.
도 6은 본 발명의 실시예에 따른 단말 외부로의 연결을 영구적으로 차단하는 방법을 나타내는 흐름도이다.
도 7은 본 발명의 제 2 실시예에 따른 보안 강화를 위한 악성정보 감지 방법을 나타내는 흐름도이다.
도 8은 본 발명의 실시예에 따른 보안 강화 서비스 장치에서의 보안 강화 방법에 대한 흐름도이다.
이하 첨부된 도면을 참조하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있는 바람직한 실시예를 상세히 설명한다. 다만, 본 발명의 바람직한 실시예에 대한 동작 원리를 상세하게 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다. 이는 불필요한 설명을 생략함으로써 본 발명의 핵심을 흐리지 않고 더욱 명확히 전달하기 위함이다.
또한, 도면 전체에 걸쳐 유사한 기능 및 작용을 하는 부분에 대해서는 동일한 도면 부호를 사용한다.
이하, 도 1을 참조하여 본 발명의 실시예에 따른 보안 강화 시스템에 대해 설명한다.
도 1은 본 발명의 실시예에 따른 보안 강화 시스템의 주요 구성을 나타내는 예시도이다.
도 1을 참조하면, 본 발명의 실시예에 따른 보안 강화 시스템(500)은 단말(100), 보안 강화 서비스 장치(200) 및 통신망(300)을 포함하여 구성된다.
단말(100)은 단말 외부, 예컨대 특정한 웹 서비스를 제공하는 웹서버(400)로의 연결정보가 생성되면, 일정기간 단위로 연결정보를 수집하고, 수집된 상기 연결정보 중 반복적으로 전송되는 연결정보를 추출하여 보안 강화 서비스 장치(200)로 전송하게 된다.
보안 강화 서비스 장치(200)는 적어도 하나의 단말(100)별로 보안정책을 설정하며 관리하는 것으로, 특히 단말(100)로부터 추출된 연결정보가 수신되면, 수신된 상기 연결정보를 기설정된 보안정책과 비교하여 이상상태로 판단되면, 상기 단말(100)로 단말 외부로의 연결에 대한 연결차단명령을 전송한다.
이후, 보안 강화 서비스 장치(200)로부터 연결차단명령을 수신한 단말(100)은 단말(100)과 웹서버(400) 간의 비정상적인 연결을 차단할 수 있다.
또한, 단말(100)은 보안 강화 서비스 장치(200)로부터 미리 보안정책을 수신하여 저장할 수 있으며, 기설정된 보안정책이 단말(100) 내 존재할 경우, 이를 비교하여 이상상태로 판단되면, 단말(100)과 웹서버(400) 간의 비정상적인 연결을 차단할 수도 있다.
또한 본 발명의 보안 강화 시스템(500)은 보안 강화 서비스 장치(200)에 접근하여 단말별 보안정책을 수립하는 관리장치(미도시)를 더 포함할 수도 있다.
상술한 단말(100)과 보안 강화 서비스 장치(200)는 통신망(300)을 통해 관련 정보를 송수신한다. 이때의 통신망(300)은 다양한 형태의 통신망을 이용할 수 있으며, 예컨대, 인터넷 프로토콜(IP)를 기반으로 대용량 데이터 송수신이 가능한 IP망, 인터넷 프로토콜을 기반으로 서로 다른 망이 통합된 구조를 갖는 ALL-IP망을 비롯하여, Wibro(Wireless Broadband)와 Wi-Fi와 같은 무선망(Wireless LAN), WPAN(Wireless Personal Area Network), 이동통신망 및 유선통신망, 그리고 위성통신망 등과 같이 다양한 형태의 통신망 사용이 가능하다.
또한, 본 발명의 통신망(300)은 기타 널리 공지되었거나 향후 개발될 모든 형태의 통신망을 포함할 수 있다.
보다 구체적인 단말(100) 및 보안 강화 서비스 장치(200)의 주요 구성 및 동작 방법에 대해서는 도 2 내지 도 4를 참조하여 후술하도록 한다.
여기서, 본 발명의 실시예에 따른 보안 강화 서비스를 이용하기 위해서는 단말(100)에 미리 보안 강화 서비스 장치(200)가 제공하는 보안 프로그램이 탑재되는 것이 바람직하다.
상술한 보안 프로그램은 단말(100)에 탑재 가능한 별도의 프로그램 형태로 존재하거나 또는 내장된 프로그램 형태일 수 있으며, 보안 프로그램이 별도의 프로그램 형태로 존재하는 경우, 보안 강화 서비스를 제공하는 보안 강화 서비스 장치(200)로부터 다운받아 단말(100)에 설치하거나, 별도의 패키지 프로그램을 구매하여 단말(100)에 설치할 수 있다.
또한, 상술한 보안 프로그램은 소프트웨어 형태로 존재할 뿐 아니라 단말(100)에 내장 가능한 모듈 또는 독립된 네트워크 장치 형태로 존재할 수도 있다.
이하, 본 발명의 실시예에 따른 단말(100)에 대해 도 2를 참조하여 설명한다.
도 2는 도 1에 도시된 단말의 주요 구성을 나타내는 블록도이다.
도 1 또는 도 2를 참조하면, 본 발명의 실시예에 따른 단말(100)은 단말 통신부(110) 및 단말 제어부(120)를 포함하여 구성된다.
단말 통신부(110)는 통신망(300)을 통해 정보를 송수신하는 것으로, 더 구체적으로 단말 통신부(110)는 후술할 단말 제어부(120)의 제어에 의해 보안 강화 서비스 장치(200)로 연결정보를 전송하고, 보안 강화 서비스 장치(200)로부터 보안정책 또는 특정 단말 외부로의 연결에 대한 연결차단명령 등을 비롯한 다양한 정보를 수신하게 된다.
또한, 보안 강화 서비스 장치(200)뿐 아니라 특정 웹 서비스를 제공하는 웹서버(400)와 같은 통신망(300)에 연결된 다양한 장치와 정보를 송수신할 수도 있다.
단말 제어부(120)는 단말(100)의 전반적인 제어를 담당하는 것으로, 예컨대, 중앙처리장치(Central Processing Unit; CPU)가 될 수 있다.
특히, 본 발명의 단말 제어부(120)는 단말 외부로의 연결, 예컨대 웹서버(400)로의 연결정보가 생성되면, 일정기간 단위로 상기 연결정보를 수집하고, 수집된 상기 연결정보 중 반복적으로 전송되는 연결정보를 추출하여 보안 강화 서비스 장치(200)로 전송하게 된다.
여기서 연결정보는 웹서버(400) 간의 연결이 수립된 후 주고받는 모든 정보가 될 수 있으며, 연결이 수립되기 이전, 연결 수립을 위해 주고받는 정보까지 포함될 수 있다.
예컨대, 신뢰성 있는 연결을 수행하는 TCP/IP(Transmission Control Protocol/Internet Protocol) 기반으로 웹서버(400)에 접속하고자 할 경우, 연결요청(Synchronous, SYN), 연결요청응답(Synchronous/Acknowledge, SYN/ACK) 및 응답확인(Acknowledge, ACK) 패킷을 주고받는 과정이 반드시 필요하다.
이를 3웨이 핸드쉐이킹(3-way handshaking) 과정이라 하며, 이때 주고받는 모든 패킷 정보가 연결정보에 포함될 수 있다.
상술한 TCP 기반의 연결방법은 공지 기술이므로, 구체적인 설명은 생략하도록 한다.
단말 제어부(120)는 일정기간 단위, 예컨대 30초 또는 1분 단위로 연결정보를 수집하고, 수집된 연결정보 중 반복적으로 전송되는 연결정보를 추출한 후, 기설정된 필터정보에 따라 불필요한 연결정보를 제거한 후 보안 강화 서비스 장치(200)로 전송할 수도 있다.
예컨대, 상술한 연결정보에 로컬 호스트(127.0.0.1)로 연결되는 정보, HTTP 기반으로 웹 연결된 상태(PORT 80, STATE ESTABLISHED) 정보는 불법적인 상태가 아니므로, 상술한 필터정보에 따라 이를 제거한 후 보안 강화 서비스 장치(200)로 전송할 수 있다.
이러한 과정을 거쳐, 이후, 단말 제어부(120)는 단말 외부로 반복되어 전송되는 연결정보를 보안 강화 서비스 장치(200)로 전송하고, 보안 강화 서비스 장치(200)로부터 해당 연결을 차단하라는 연결차단명령이 수신되면, 단말(100)은 해당 웹서버(400) 간의 연결을 차단하게 된다.
상술한 3웨이 핸드쉐이킹을 다시 예로 들어, 보다 구체적으로 설명하면, 단말(100)은 웹 서비스를 제공하는 웹서버(400)와 정보를 송수신하기 위해서는 도 3에 도시된 바와 같이 먼저, 웹서버(400)로 연결접속을 요청하는 SYN 패킷을 전송하고(S101), 이후 웹서버(400)로부터 단말(100)의 연결접속요청을 수락하는 SYN/ACK 패킷이 수신되면(S103), 단말(100)은 ACK 패킷(S105)을 전송함으로써, 단말(100)과 웹서버(400) 사이의 연결이 수립되게 된다.
이는 웹서버(400)가 단말(100)과의 통신을 위해 TCP 통신포트가 열려 있는 상태를 의미하며, 단말(100)과 웹서버(400)의 TCP 상태는 ESTABLISHED 세션 상태가 된다.
그러나, 악성 봇에 감염된 단말의 경우, 상술한 과정에서 S103 단계, 즉 웹서버(400)로부터 SYN/ACK 패킷을 수신한 후 이에 대한 응답 확인 패킷인 ACK 패킷을 전송하지 않게되고, 웹서버(400)는 단말(100)로부터 응답이 올 것으로 기대하고, 반쯤 열려있는 하프 오픈(half open) 상태인 대기 상태에 머무르게 된다.
이후, 일정시간, 예컨대 75초 동안 단말(100)로부터 ACK 패킷이 오지 않으면, 해당 연결은 초기화되기 전까지 메모리 공간인 백로그 큐(backlog queue)에 계속 존재하게 되고, 만약 단시간에 위조된 SYN 패킷이 대량으로 전달되어 백로그 큐가 포화되면, 더 이상 웹서버(400)는 단말로부터 연결을 받아들일 수 없는 서비스 거부 상태(DoS; Denial of Service)가 되게 된다.
본 발명의 실시예에 따른 단말 제어부(120)는 상술한 것과 같이 웹서버(400)로의 연결정보를 일정기간 단위로 수집하고, 반복적으로 동일한 SYN 패킷을 전송하는 연결정보를 추출하여, 보안 강화 서비스 장치(200)로 전송하게 된다.
이후, 보안 강화 서비스 장치(200)는 반복적으로 동일한 SYN 패킷을 웹서버(400)로 전송되고 있는 상황이라면, 비정상적인 이상상태로 판단하고 단말(100)로 연결차단명령을 전송하게 된다.
보다 구체적인 보안 강화 서비스 장치(200)의 동작 과정에 대해서는 후술하도록 하며, 이를 수신한 단말(100)은 웹서버(400)로 더 이상의 SYN 패킷이 전송되지 않도록 웹서버(400)로의 연결을 차단하게 된다.
이때, 웹서버(400)로의 연결이 차단된 이후에, 자동 재연결이 이뤄지면 상기 웹서버(400)로의 연결은 비정상적인 상태가 확실하므로 상기 단말 외부로의 연결, 프로세스를 영구적으로 차단할 수도 있다.
또한, 악성 봇에 감염된 단말 외부로 전송되는 연결정보를 사전에 탐지함으로써, 악성 봇을 이용한 불법적인 행위를 사전에 차단할 수 있게 된다.
또한, 단말(100)은 보안 강화 서비스 장치(200)로부터 단말(100)의 현재 보안 상태에 대한 정보를 더 수신할 수 있으며, 단말(100) 사용자는 단말(100) 내 존재하는 악성 정보를 직접 삭제하거나, 단말 제어부(120)에 의해 해당 악성 정보가 삭제될 수도 있다.
상술한 과정은 TCP/IP 기반의 연결 방식을 예로 들어 설명하였으나, 이에 한정되는 것은 아니며, 본 발명의 실시예에 따른 단말(100)은 단말 외부로의 연결정보 중 반복적으로 발생되는 동일한 연결정보가 존재하면 어떠한 방식의 연결정보라도 감지할 수 있다.
예컨대, 반복적으로 UDP(User Datagram Protocol) 패킷이 전송되는 과정, 반복적으로 ICMP(Internet Control Message Protocol) 패킷이 전송되는 과정, 정상적인 3웨이 핸드쉐이킹 이후 로그인, 상품 조회와 같은 동일한 요청정보를 반복적으로 웹서버(400)로 전송하는 과정 등 일정기간 내 반복적으로 발생되는 동일한 연결정보가 존재하면, 단말 제어부(120)는 이를 감지하고, 기설정된 필터정보에 따라 불필요한 연결정보를 제거한 후 보안 강화 서비스 장치(100)로 전송할 수 있다.
이를 위해, 단말 제어부(120)는 일정기간 단위로 단말 외부로의 연결정보를 수집하는 정보수집모듈(121) 및 수집된 상기 연결정보 중 반복적인 연결정보를 추출하는 정보추출모듈(122)을 포함하여 구성할 수 있다.
또한 단말 제어부(120)는 기설정된 필터정보에 따라 불필요한 연결정보를 제거하는 정보필터모듈(123), 보안 강화 서비스 장치(200)로부터 단말 외부로의 연결에 대한 연결차단명령이 수신되면, 단말 외부로의 연결을 차단하는 정보차단모듈(124), 연결정보를 보안 강화 서비스 장치(200)가 지원하는 로그 포맷으로 변환하는 로그 포맷 변환 모듈(125)을 더 포함하여 구성할 수도 있다.
본 발명의 실시예에 따른 단말 제어부(120)는 일정기간 단위로 연결정보를 수집하고, 수집된 연결정보 중 반복적으로 전송되는 연결정보를 추출하여 보안 강화 서비스 장치(200)로 전송한 후 보안 강화 서비스 장치(200)로부터 연결차단명령이 수신되면, 단말 외부로의 연결을 차단하는 것을 예로 들어 설명하였으나, 본 발명의 다른 실시예에 따른 단말 제어부(120)는 수집된 연결정보 중 반복적으로 전송되는 연결정보를 추출하여, 보안 강화 서비스 장치(200)로 전송하기 이전에 후술할 단말 저장부(130)에 저장된 보안정책과 비교하여 이상상태로 판단되면, 해당되는 단말 외부로의 연결을 차단할 수도 있다.
또한, 본 발명의 또 다른 실시예에 따른 단말 제어부(120)는 수집된 연결정보 중 특정 상태가 기설정된 임계 값 이상 발생되면 이상상태로 판단하여, 해당되는 단말 외부로의 연결을 차단할 수도 있다.
보다 구체적으로 설명하면, TCP/IP 기반의 연결 방식에서 3웨이 핸드쉐이킹을 마친 단말(100)은 일반적으로 웹서버(400)로 전송하고자 하는 데이터의 길이를 POST 메시지를 통해 전송하게 된다. 이때, Content Length 필드에 값, 예컨대 '20000'으로 지정하여 웹서버(400)로 전송하면, 웹서버(400)는 단말(100)에서 20000byte의 정보가 송신될 때까지 해당 세션을 유지하게 된다. 그러나 악성 봇에 감염된 단말(100)은 1초에 1byte씩 정보를 전송하게 되고, 단말(100)과 웹서버(400)는 20000초, 즉 5시간 30분 동안 해당 세션을 유지하게 된다. 이때, 악성 봇에 감연된 다수의 단말이 세션을 장시간 점유하게 될 경우 해당 웹서버(400)의 모든 세션이 점유 당하고, 신규 서비스 불가 상태가 되어 서비스 장애가 발생되게 된다.
따라서, 서로 다른 패킷 정보를 전송하더라도 동일 목적지로 전송되는 특정 상태 정보, 예컨대 동일 목적지로 ESTABLISHED 세션 상태가 기설정된 임계 값 이상 또는 기설정된 임계 시간 이상 지속적으로 발생되면, 이를 이상상태로 판단하여 상기 단말 외부로의 연결을 차단할 수도 있다.
또한, 본 발명의 단말(100)은 단말 저장부(130), 단말 입력부(140) 및 단말 표시부(150)를 더 포함하여 구성할 수도 있다.
단말 저장부(130)는 단말(100) 운용에 필요한 다양한 데이터를 저장하고 관리하는 것으로, 단말 운영체제를 저장할 수 있으며, 각종 응용 프로그램을 저장할 수도 있다. 특히, 본 발명에 따른 단말 저장부(130)는 주기적으로, 예컨대 1시간 단위 또는 1일 단위 또는 새로운 악성정보 생성 시 보안 강화 서비스 장치(200)로부터 보안 정책 및 필터정보를 수신하여 저장하며, 수집된 연결정보를 일시적으로 저장하고 관리하게 된다.
이러한, 단말 저장부(130)에 저장되는 데이터는 사용자의 조작에 따라 삭제, 변경, 추가될 수 있으며, 플래시 메모리(flash memory), 하드디스크(hard disk), 멀티미디어 카드 마이크로(multimedia card micro) 타입의 메모리(예컨대, SD 또는 XD 메모리 등), 램(RAM), 롬(ROM) 등의 저장매체를 포함하여 구성될 수 있다.
단말 입력부(110)는 단말(100)의 동작 제어를 위한 사용자 입력에 따른 전기적 신호를 단말 제어부(120)로 전달하는 역할을 수행하는 것으로, 이러한 단말 입력부(110)는 다양한 종류의 입력 수단으로 구현될 수 있으며, 예컨대, 키보드나 키패드와 같은 키 입력 수단, 터치센서나 터치 패드와 같은 터치 입력 수단, 자이로 센서, 지자기 센서, 가속도 센서와 근접 센서, 그리고 카메라 중 적어도 하나 이상을 포함하여 이루어지는 제스처 입력 수단 또는 음성 입력 수단 중 하나 이상을 포함할 수 있다. 이 외에도 현재 개발 중이거나 향후 개발될 수 있는 모든 형태의 입력 수단이 포함될 수 있다.
단말 표시부(150)는 단말(100)에서 실행되는 여러 기능들을 단말 화면을 통해 표시하는 역할을 수행하는 것으로, 이때의 단말 표시부(150)는 LCD(Liquid Crystal Display), LED(Light Emitting Diodes), OLED(Organic Light Emitting Diodes), AMOLED(Active Matrix Organic Light Emitting Diodes), 플렉시블 디스플레이(flexible display), 3차원 디스플레이(3D display) 등의 표현 수단으로 구현될 수 있으며, 표현 수단이 터치스크린(touchscreen)으로 이루어진 단말 표시부(150)의 경우, 단말 입력부(140)에 해당하는 기능을 동시에 수행할 수 있다.
또한, 본 발명의 실시예에 따른 단말(100)은 개인용 컴퓨터(Personal Computer), 노트북(notebook)을 비롯하여, 스마트폰(smart phone), 타블렛 PC(Tablet PC), PMP(Portable Media Player), PDA(Personal Digital Assistant), 위성 전화기 등의 휴대 단말, 또는 디지털방송 수신기와 같이 통신망(300)을 통해 단말 외부로의 연결이 가능한 단말이라면, 그 어느 것도 본 발명의 단말(100)로 적용 가능하다.
이하, 본 발명의 실시예에 따른 보안 강화 서비스 장치(200)의 주요 구성에 대해 설명하도록 한다.
도 4는 도 1에 도시된 보안 강화 서비스 장치의 주요 구성을 나타내는 블록도이다.
도 1 및 도 4를 참조하면, 본 발명의 실시예에 따른 보안 강화 서비스 장치(200)는 정보 수집부(210), 보안정책 관리부(220) 및 정보 분석부(230)를 포함하여 구성된다.
정보 수집부(210)는 단말(100)로부터 단말 외부로의 연결정보가 수신되면, 수신된 상기 연결정보를 수집하여 저장하고 관리한다.
보안정책 관리부(220)는 단말(100)별로 보안정책을 수립한 후 저장하고 관리하는 것으로, 이때 보안정책 관리부(220)는 이상상태의 유형별 특성을 더 저장할 수 있다. 예컨대, 반복적으로 단말(100)로부터 웹서버(400)로 동일한 SYN 패킷이 전송되고 있을 경우, 이는 TCP SYN Flooding 공격이므로 이를 차단할 수 있도록 하는 보안정책을 미리 설정하여 저장할 수 있다.
또한, 서비스 관리자 또는 사용자의 설정에 의해 단말 외부로의 반복되는 연결정보가 1분 동안 3회 이상 발생되었다면, 이는 이상상태로 감지할 것을 명령하는 보안정책을 설정하여 저장할 수도 있다.
또한, 보안정책 관리부(220)는 시스템 설정에 의한 기본 필터정보 또는 사용자 설정에 의한 사용자 필터정보를 더 포함할 수 있으며, 단말(100)로부터 수신된 연결정보 중 설정된 필터정보에 따라 특정 연결정보를 이상상태로 감지하지 않도록 설정할 수도 있다.
예컨대, 전술한 로컬 호스트(127.0.0.1)로 연결되는 정보, HTTP 기반으로 웹 연결된 상태(PORT: 80, STATE: ESTABLISHED) 정보와 같은 시스템 설정에 의한 기본 필터정보 또는 사용자 설정에 의해, 다시 말해 신뢰성 있는 목적지 네트워크, 신뢰성 있는 프로세스, 신뢰성 있는 서비스 포트, 신뢰성 있는 에이전트 로그는 이상상태로 감지하지 않도록 하는 사용자 필터정보를 포함할 수도 있다.
또한, 상술한 정보 수집부(210) 및 보안정책 관리부(220)는 데이터를 저장하고 관리하는 데이터베이스로, 램, 롬, 하드디스크, 플래시 메모리, CD-ROM, DVD 뿐만 아니라, 네트워크 접근 스토리지와 같이 모든 종류의 저장 매체를 포함할 수 있다.
또한, 본 발명의 실시예에 따른 보안 강화 서비스 장치(200)는 통신부(240), 서비스 제어부(250) 및 보고서 생성부(260)를 더 포함하여 구성할 수도 있다.
통신부(240)는 통신망(300)을 통해 단말(100)과 정보를 송수신하며, 서비스 제어부(250)는 단말(100)로부터 단말 외부로의 연결정보를 수신하고, 상기 단말(100)로 보안정책 및 상기 정보 분석부에 의해 이상상태로 판단되면, 단말 외부로의 연결에 대한 연결차단명령을 생성하여 전송할 수도 있다.
보고서 생성부(260)는 단말(100)로부터 수신된 연결정보의 통계분석 결과정보 및 처리 결과 정보를 포함하는 다양한 형태의 보고서 생성을 지원하게 된다.
이와 같이, 패턴 분석 기법이 아닌 단말 외부로 전송되는 연결정보를 통계분석 관점으로 분석함으로써 기존에 알려지지 않은 새로운 형태의 악성 봇까지 탐지하고 차단할 수 있으며, 이를 통해 분산서비스 거부 공격과 같은 불법적인 행위에 신속한 대응이 가능하다는 장점이 있다.
또한, 사용자 단말의 사용 환경에 따라 보안 정책을 다르게 적용함으로써, 관리 및 운영의 유동성을 확보할 수 있다는 장점이 있다.
상술한 본 발명의 보안 강화 서비스 장치(200)는 서버 기반 컴퓨팅 방식 또는 클라우드 방식으로 동작하는 하나 이상의 서버로 구현될 수 있다. 특히, 보안 강화 시스템을 통해 송수신되는 정보는 인터넷 상의 클라우드 컴퓨팅 장치에 영구적으로 저장될 수 있는 클라우드 컴퓨팅(Cloud Computing) 기능을 통해 제공될 수 있다. 여기서, 클라우드 컴퓨팅은 데스크톱, 태블릿 컴퓨터, 노트북, 넷북 및 스마트폰 등의 디지털 단말기에 인터넷 기술을 활용하여 가상화된 IT(Information Technology) 자원, 예를 들어, 하드웨어(서버, 스토리지, 네트워크 등), 소프트웨어(데이터베이스, 보안, 웹 서버 등), 서비스, 데이터 등을 온 디맨드(On demand) 방식으로 서비스하는 기술을 의미한다. 본 발명에 있어서, 보안 강화 서비스 장치(200)와 단말(100) 사이에 송수신되는 모든 정보는 인터넷 상의 클라우드 컴퓨팅 장치에 저장될 수 있으며, 단말(100)로 언제 어디서든 전송될 수 있다.
이하, 보안 강화를 위한 단말에서의 악성정보 감지 방법에 대해 설명하도록 한다.
도 5는 본 발명의 제 1 실시예에 따른 보안 강화를 위한 악성정보 감지 방법을 나타내는 흐름도이다.
도 5를 참조하면, 단말(100)과 웹서버(400)의 연결정보가 생성되면(S201), 단말(100)은 일정기간, 예컨대 30초 또는 1분 단위로 연결정보를 수집하고(S203), 수집된 연결정보 중에서 반복적으로 이뤄지는 연결정보를 추출하게 된다(S205).
이때의 연결정보는 연결 수립을 위해 정보를 주고받는 과정 및 연결 수립 후의 정보를 주고받는 과정 모두를 포함한다.
이후, 추출한 연결정보를 보안 강화 서비스 장치(200)가 지원하는 로그 포맷 변환한 후(S207), 보안 강화 서비스 장치(200)로 변환된 연결정보를 전송하게 된다(S209).
이때, 로그 포맷으로 변환하기 이전에, 전술한 로컬 호스트로 연결되는 정보와 같은 기본 필터정보에 따라 특정 연결정보는 제거한 연결정보만을 전송할 수도 있으며, S211 단계에서 동시에 진행할 수도 있다.
S211 단계는 단말(100)로부터 연결정보를 수신한 보안 강화 서비스 장치(200)가 기설정된 필터정보에 따라 신뢰성있는 연결정보는 제외하는 필터링 과정을 수행하는 단계이며, 이후 기설정된 보안정책에 따라 연결정보가 이상상태인지를 판단하게 된다(S213).
판단결과, 이상상태로 판단되면, 해당되는 단말 외부로의 연결을 차단하라는 연결차단명령령을 생성하여 단말(100)로 전송하고(S215), 이를 수신한 단말(100)은 보안 강화 서비스 장치(200)의 명령에 따라 웹서버(400)와의 연결을 종료하게 된다(S217).
이때, 도 6의 S319 ~ S321 과정으로 도시된 바와 같이 단말(100)과 웹서버(400) 사이의 연결이 자동적으로 재연결되면, 해당 프로세스는 비정상적인 프로세스이므로, 영구적으로 연결을 차단하게 설정할 수도 있다.
본 발명의 제 1 실시예에 따른 보안 강화를 위한 악성정보 감지 방법은 연결정보를 수신한 보안 강화 서비스 장치(200)가 이상상태를 판단한 후 보안 강화 서비스 장치(200)의 명령을 통해 단말 외부로의 연결을 차단하는 것을 예로 들어 설명하였으나, 단말(100)이 보안 강화 서비스 장치(200)로부터 미리 보안정책을 수신하여 저장한 후 기설정된 보안정책에 따라 악성정보를 감지할 수도 있다.
이하, 본 발명의 제 2 실시예에 따른 보안 강화를 위한 악성정보 감지 방법에 대해 설명한다.
도 7은 본 발명의 제 2 실시예에 따른 보안 강화를 위한 악성정보 감지 방법을 나타내는 흐름도이다.
여기서, 단말에서의 악성정보 감지를 위한 제 2 실시예에 있어서, 단말(100)과 웹서버(400)간의 연결정보 생성(S401)부터 수집된 연결정보 중 반복적으로 전송되는 연결정보를 추출하는 과정(S405)은 도 5를 통해 상술한 본 발명의 제 1 실시예의 S201 ~ S205과정과 동일하므로, 구체적인 설명은 생략하도록 하며, 그 이후의 과정을 중심으로 설명한다.
단말(100) 외부로의 연결정보 중 반복적으로 전송되는 연결정보를 추출한 후, 추출된 연결정보에서 기설정된 필터 정보에 따라 필터링 과정을 수행하게 된다(S407).
이후의 연결정보를 기준으로 단말(100) 내 저장된 보안정책에 따라 이상상태를 판단하고(S409), 판단결과 이상상태로 판단되면, 웹서버(400)와의 연결을 종료하게 된다(S411).
이후, 처리 결과에 대해 보안 강화 서비스 장치(200)가 지원하는 로그 포맷에 따라 변환(S413)한 후 보안 강화 서비스 장치(200)로 전송할 수도 있다(S415).
이와 같이, 악성 봇에 감염된 단말 외부로 전송되는 연결정보를 탐지함으로써, 악성 봇을 이용한 불법적인 행위를 사전에 차단할 수 있다는 장점이 있다.
이하, 보안 강화 서비스 장치(200)에서의 동작 과정에 대해 설명한다.
도 8은 본 발명의 실시예에 따른 보안 강화 서비스 장치에서의 보안 강화 방법에 대한 흐름도이다.
도 1 및 도 8을 참조하면, 적어도 하나의 단말(100)과 통신을 수행하는 보안 강화 서비스 장치(200)는 먼저 단말별로 보안정책을 설정하여 저장하는 것이 바람직하다(S501). 여기서 보안정책은 단말 외부로의 연결을 차단하기 위한 기준 정책으로, 예컨대, 단말(100)에서 웹서버(400)로 반복적으로 SYN 패킷을 전송하고 있는 연결정보(SYN_RECV) 상태가 일정기간 내 예컨대, 1분 이내 3회 이상 존재할 경우, 단말(100)과 웹서버(400) 간의 연결을 차단할 것을 규정하는 보안정책을 미리 설정할 수 있다. 이때의 보안정책은 사용자에 의해 설정될 수 있으며, 서비스 관리자에 의해 설정될 수도 있다.
또한, 보안정책 수립 시 특정 연결정보는 제외하라는 필터정보를 더 설정할 수도 있다.
이후, 단말(100)로부터 연결정보가 수신되면(S503), 수신된 연결정보를 기설정된 보안정책에 따라 이상상태 여부를 판단하게 된다(S505).
이때, 상술한 S501 단계에서 설정된 필터정보가 있을 경우, 상기 필터정보에 따라 특정한 연결정보를 제외한 나머지 연결정보를 기준으로 이상상태 여부를 판단한다.
판단 결과, 이상상태일 경우, 보안 강화 서비스 장치(200)는 단말(100)로 해당되는 단말 외부와의 연결을 차단하라는 연결차단명령을 전송하고(S507), 분석된 결과에 대한 보고서를 생성할 수도 있다(S509).
이때 생성된 보고서를 단말(100)로 전송하여, 현재 사용자의 단말(100) 상태에 대한 정보를 제공할 수 있으며, 악성 봇에 감염된 단말일 경우, 해당 악성 봇을 제거할 수 있는 처리 방법을 포함하는 보고서를 생성하여 제공할 수도 있다.
또한, 생성된 보고서를 기초로, 다른 단말의 보안정책 수립 시의 자료로도 활용될 수 있어, 기존의 알려지지 않은 새로운 형태의 악성 봇까지 신속하게 탐지할 수 있다는 장점이 있다.
또한, 본 발명의 실시예에 따른 보안 강화 방법은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있으며, 컴퓨터 시스템에 의해 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(Magnetic Media), CD-ROM(Compact Disk Read Only Memory), DVD(Digital Video Disk)와 같은 광기록 매체(Optical Media), 플롭티컬 디스크(Floptical Disk)와 같은 자기-광 매체(Magneto-Optical Media) 및 롬(ROM, Read Only Memory), 램(RAM, Random Access Memory), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치를 포함한다.
또한, 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고, 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있다.
이상으로 본 발명의 기술적 사상을 예시하기 위한 바람직한 실시예와 관련하여 설명하고 도시하였지만, 본 발명은 이와 같이 도시되고 설명된 그대로의 구성 및 작용에만 국한되는 것은 아니며, 기술적 사상의 범주를 이탈함없이 본 발명에 대해 다수의 변경 및 수정이 가능함을 당업자들은 잘 이해할 수 있을 것이다. 따라서 그러한 모든 적절한 변경 및 수정과 균등물들도 본 발명의 범위에 속하는 것으로 간주되어야 할 것이다.
100: 단말 110: 단말 통신부
120: 단말 제어부 130: 단말 저장부
140: 단말 입력부 150: 단말 표시부
200: 보안 강화 서비스 장치 210: 정보 수집부
220: 보안정책 관리부 230: 정보 분석부
240: 통신부 250: 서비스 제어부
260: 보고서 생성부 300: 통신망
400: 웹서버 500: 보안 강화 시스템

Claims (23)

  1. 단말 외부로의 연결정보가 생성되면, 일정기간 단위로 연결정보를 수집하고, 수집된 상기 연결정보 중 반복적으로 전송되는 연결정보를 추출하여 보안 강화 서비스 장치로 전송하거나, 기설정된 보안정책과 비교하여 이상상태로 판단되면 상기 단말 외부로의 연결을 차단하는 단말; 및
    적어도 하나의 단말에 대한 보안정책을 설정하며, 상기 단말로부터 연결정보가 수신되면, 기설정된 보안정책과 비교하여 이상상태로 판단될 경우 상기 단말로 단말 외부로의 연결에 대한 연결차단명령을 전송하는 상기 보안 강화 서비스 장치;
    를 포함하고,
    상기 단말은 통신망을 통해 정보를 송수신하는 단말 통신부; 및 단말 외부로의 연결정보가 생성되면, 일정기간 단위로 상기 연결정보를 수집하고, 수집된 상기 연결정보 중 반복적으로 전송되는 연결정보를 추출하여 보안 강화 서비스 장치로 전송하는 단말 제어부;를 포함하고,
    상기 단말 제어부는 상기 보안 강화 서비스 장치로부터 상기 단말 외부로의 연결에 대한 연결차단명령이 수신되면 상기 단말 외부로의 연결을 차단하고, 상기 단말 외부로의 연결이 차단된 이후에, 자동 재연결이 이뤄지면 상기 단말 외부로의 연결을 영구적으로 차단하는 것을 특징으로 하는 보안 강화 시스템.
  2. 통신망을 통해 정보를 송수신하는 단말 통신부; 및
    단말 외부로의 연결정보가 생성되면, 일정기간 단위로 상기 연결정보를 수집하고, 수집된 상기 연결정보 중 반복적으로 전송되는 연결정보를 추출하여 보안 강화 서비스 장치로 전송하는 단말 제어부;를 포함하고,
    상기 단말 제어부는 상기 보안 강화 서비스 장치로부터 상기 단말 외부로의 연결에 대한 연결차단명령이 수신되면 상기 단말 외부로의 연결을 차단하고, 상기 단말 외부로의 연결이 차단된 이후에, 자동 재연결이 이뤄지면 상기 단말 외부로의 연결을 영구적으로 차단하는 것을 특징으로 하는 단말.
  3. 삭제
  4. 삭제
  5. 제 2항에 있어서,
    상기 단말 제어부는
    일정기간 단위로 단말 외부로의 연결정보를 수집하는 정보수집모듈; 및
    수집된 상기 연결정보 중 반복적으로 전송되는 연결정보를 추출하는 정보추출모듈;
    을 포함하는 것을 특징으로 하는 단말.
  6. 제 5항에 있어서,
    상기 단말 제어부는
    기설정된 필터정보에 따라 불필요한 연결정보를 제거하는 정보필터모듈;
    상기 연결정보를 보안 강화 서비스 장치로 전송하기 위한 로그 포맷으로 변환하는 로그 포맷 변환 모듈; 및
    상기 보안 강화 서비스 장치로부터 상기 단말 외부로의 연결에 대한 연결차단명령이 수신되면, 상기 단말 외부로의 연결을 차단하는 정보차단모듈;
    을 더 포함하는 것을 특징으로 하는 단말.
  7. 제 2항에 있어서,
    일정기간 단위로 보안 강화 서비스 장치로부터 보안정책 또는 필터정보 중 어느 하나의 정보를 수신하여 저장하고, 수집된 상기 연결정보를 저장하고 관리하는 단말 저장부;
    를 더 포함하는 것을 특징으로 하는 단말.
  8. 제 2항에 있어서,
    상기 단말 제어부는
    수집된 상기 연결정보 중 반복적으로 전송되는 연결정보를 추출하여, 보안 강화 서비스 장치로 전송하기 이전에 기설정된 보안정책과 비교하여 이상상태로 판단되면, 상기 단말 외부로의 연결을 차단하는 것을 특징으로 하는 단말.
  9. 삭제
  10. 제 2항에 있어서,
    상기 단말 제어부는
    수집된 상기 연결정보 중 특정 상태가 기설정된 임계 값 이상 발생되면 이상상태로 판단하여, 상기 단말 외부로의 연결을 차단하는 것을 특징으로 하는 단말.
  11. 적어도 하나의 단말로부터 단말 외부로의 연결정보가 수신되면, 수신된 상기 연결정보를 저장하고 관리하는 정보 수집부;
    적어도 하나의 단말 보안정책을 저장하고 관리하는 보안정책 관리부; 및
    수신된 상기 연결정보를 기설정된 보안정책에 따라 이상상태 여부를 판단하는 정보 분석부;를 포함하고,
    상기 보안정책 관리부는
    이상상태의 유형별 특성정보, 시스템 설정에 의한 기본 필터정보, 사용자 설정에 의한 필터정보 중 적어도 어느 하나의 정보를 포함하고, 상기 사용자 설정에 의한 필터정보는 네트워크 정보, 프로세스 정보, 서비스 포트 정보, 에이전트 로그 정보 중 적어도 어느 하나의 정보인 것을 특징으로 하는 보안 강화 서비스 장치.
  12. 삭제
  13. 삭제
  14. 제 11항에 있어서,
    통신망을 통해 단말과 정보를 송수신하는 통신부; 및
    상기 단말로부터 단말 외부로의 연결정보를 수신하고, 상기 단말로 보안정책 및 상기 정보 분석부에 의해 이상상태로 판단되면, 단말 외부로의 연결에 대한 연결차단명령을 전송하는 서비스 제어부;
    를 더 포함하는 것을 특징으로 하는 보안 강화 서비스 장치.
  15. 제 11항에 있어서,
    상기 단말의 보안 상태에 대한 보고서를 생성하는 보고서 생성부;
    를 더 포함하는 것을 특징으로 하는 보안 강화 서비스 장치.
  16. 통신망을 통해 정보를 송수신하는 단말 통신부; 및 단말 외부로의 연결정보가 생성되면, 일정기간 단위로 상기 연결정보를 수집하고, 수집된 상기 연결정보 중 반복적으로 전송되는 연결정보를 추출하여 보안 강화 서비스 장치로 전송하며, 상기 보안 강화 서비스 장치로부터 상기 단말 외부로의 연결에 대한 연결차단명령이 수신되면 상기 단말 외부로의 연결을 차단하고, 상기 단말 외부로의 연결이 차단된 이후에, 자동 재연이 이뤄지면 상기 단말 외부로의 연결을 영구적으로 차단하는 단말 제어부;를 포함하는 단말에 있어서,
    단말 외부로의 연결정보를 생성하는 단계;
    일정기간 단위로 상기 연결정보를 수집하는 단계; 및
    수집된 상기 연결정보 중 반복적으로 전송되는 연결정보를 추출하는 단계;
    를 포함하는 것을 특징으로 하는 보안 강화를 위한 악성정보 감지 방법.
  17. 제 16항에 있어서,
    추출된 상기 연결정보 중에서 기설정된 필터정보에 따라 불필요한 연결정보를 제거하는 단계;
    상기 연결정보를 보안 강화 서비스 장치로 전송하기 위한 포맷으로 변환하는 단계;
    변환된 상기 연결정보를 보안 강화 서비스 장치로 전송하는 단계; 및
    상기 보안 강화 서비스 장치로부터 상기 단말 외부로의 연결에 대한 연결차단명령이 수신되면 상기 단말 외부로의 연결을 차단하는 단계;
    를 더 포함하는 것을 특징으로 하는 보안 강화를 위한 악성정보 감지 방법.
  18. 제 17항에 있어서,
    상기 단말 외부로의 연결을 차단된 이후, 자동 재연결이 이뤄지면 상기 단말 외부로의 연결을 영구적으로 차단하는 단계;
    를 더 포함하는 것을 특징으로 하는 보안 강화를 위한 악성정보 감지 방법.
  19. 제 16항에 있어서,
    수집된 상기 연결정보 중 반복적으로 전송되는 연결정보를 추출한 후 기설정된 보안정책과 비교하여 이상상태로 판단되면, 상기 단말 외부로의 연결을 차단하는 단계;
    를 더 포함하는 것을 특징으로 하는 보안 강화를 위한 악성정보 감지 방법.
  20. 삭제
  21. 적어도 하나의 단말로부터 단말 외부로의 연결정보가 수신되면, 수신된 상기 연결정보를 저장하고 관리하는 정보 수집부; 적어도 하나의 단말 보안정책을 저장하고 관리하며 이상상태의 유형별 특성정보, 시스템 설정에 의한 기본 필터정보, 사용자 설정에 의한 필터정보 중 적어도 어느 하나의 정보를 포함하고, 상기 사용자 설정에 의한 필터정보는 네트워크 정보, 프로세스 정보, 서비스 포트 정보, 에이전트 로그 정보 중 적어도 어느 하나를 포함하여 이루어지는 보안정책 관리부; 및 수신된 상기 연결정보를 기설정된 보안정책에 따라 이상상태 여부를 판단하는 정보 분석부;를 포함하는 보안강화서비스 장치에 있어서,
    적어도 하나의 단말로부터 단말 외부로의 연결정보를 수신하는 단계;
    수신된 상기 연결정보를 기설정된 보안정책에 따라 이상상태 여부를 판단하는 단계; 및
    이상상태로 판단되면, 상기 단말로 단말 외부로의 연결에 대한 연결차단명령을 전송하는 단계;
    를 포함하는 것을 특징으로 하는 보안 강화 방법.
  22. 삭제
  23. 삭제
KR1020110090493A 2011-09-07 2011-09-07 보안 강화 시스템, 이를 위한 단말 및 서비스 장치, 그리고 이를 위한 방법 KR101173810B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110090493A KR101173810B1 (ko) 2011-09-07 2011-09-07 보안 강화 시스템, 이를 위한 단말 및 서비스 장치, 그리고 이를 위한 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110090493A KR101173810B1 (ko) 2011-09-07 2011-09-07 보안 강화 시스템, 이를 위한 단말 및 서비스 장치, 그리고 이를 위한 방법

Publications (1)

Publication Number Publication Date
KR101173810B1 true KR101173810B1 (ko) 2012-08-16

Family

ID=46887233

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110090493A KR101173810B1 (ko) 2011-09-07 2011-09-07 보안 강화 시스템, 이를 위한 단말 및 서비스 장치, 그리고 이를 위한 방법

Country Status (1)

Country Link
KR (1) KR101173810B1 (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101429180B1 (ko) 2012-11-30 2014-08-12 유넷시스템주식회사 무선 네트워크 보안 시스템의 제어 센서
KR20160073209A (ko) * 2014-12-16 2016-06-24 주식회사 윈스 IoT 보안을 위한 인증 서비스 제공 시스템 및 방법
KR101765200B1 (ko) * 2015-11-25 2017-08-04 서일대학교산학협력단 시스템 보안관리장치 및 그 방법
KR102082889B1 (ko) 2018-10-24 2020-04-23 국방과학연구소 프로토콜 분석 장치 및 방법
KR20210115874A (ko) * 2020-03-16 2021-09-27 주식회사 티앤디소프트 머신 러닝 기반의 클라우드 서비스 보안 시스템
WO2022119286A1 (ko) * 2020-12-03 2022-06-09 (주)모니터랩 지능형 봇 탐지 방법 및 장치

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004355450A (ja) * 2003-05-30 2004-12-16 Kyocera Communication Systems Co Ltd 端末状態監視システムおよびその方法
JP2005293007A (ja) 2004-03-31 2005-10-20 Nec Corp セキュリティチェックシステムおよびセキュリティチェック方法
JP2006134259A (ja) 2004-11-09 2006-05-25 Canon Electronics Inc ネットワーク制御方式、管理サーバ及びクライアント端末、並びに、それらの制御方法
JP2006148296A (ja) 2004-11-17 2006-06-08 Matsushita Electric Ind Co Ltd 情報処理システム、情報処理装置、サーバ装置、及び情報処理方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004355450A (ja) * 2003-05-30 2004-12-16 Kyocera Communication Systems Co Ltd 端末状態監視システムおよびその方法
JP2005293007A (ja) 2004-03-31 2005-10-20 Nec Corp セキュリティチェックシステムおよびセキュリティチェック方法
JP2006134259A (ja) 2004-11-09 2006-05-25 Canon Electronics Inc ネットワーク制御方式、管理サーバ及びクライアント端末、並びに、それらの制御方法
JP2006148296A (ja) 2004-11-17 2006-06-08 Matsushita Electric Ind Co Ltd 情報処理システム、情報処理装置、サーバ装置、及び情報処理方法

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101429180B1 (ko) 2012-11-30 2014-08-12 유넷시스템주식회사 무선 네트워크 보안 시스템의 제어 센서
KR20160073209A (ko) * 2014-12-16 2016-06-24 주식회사 윈스 IoT 보안을 위한 인증 서비스 제공 시스템 및 방법
KR101634295B1 (ko) * 2014-12-16 2016-06-30 주식회사 윈스 IoT 보안을 위한 인증 서비스 제공 시스템 및 방법
US9882912B2 (en) 2014-12-16 2018-01-30 Wins Co., Ltd. System and method for providing authentication service for internet of things security
KR101765200B1 (ko) * 2015-11-25 2017-08-04 서일대학교산학협력단 시스템 보안관리장치 및 그 방법
KR102082889B1 (ko) 2018-10-24 2020-04-23 국방과학연구소 프로토콜 분석 장치 및 방법
KR20210115874A (ko) * 2020-03-16 2021-09-27 주식회사 티앤디소프트 머신 러닝 기반의 클라우드 서비스 보안 시스템
KR102343501B1 (ko) * 2020-03-16 2021-12-27 주식회사 티앤디소프트 머신 러닝 기반의 클라우드 서비스 보안 시스템
WO2022119286A1 (ko) * 2020-12-03 2022-06-09 (주)모니터랩 지능형 봇 탐지 방법 및 장치

Similar Documents

Publication Publication Date Title
KR101173810B1 (ko) 보안 강화 시스템, 이를 위한 단말 및 서비스 장치, 그리고 이를 위한 방법
US10630784B2 (en) Facilitating a secure 3 party network session by a network device
US8935419B2 (en) Filtering device for detecting HTTP request and disconnecting TCP connection
EP2904539B1 (en) Server with mechanism for reducing internal resources associated with a selected client connection
US9730075B1 (en) Systems and methods for detecting illegitimate devices on wireless networks
US20140115705A1 (en) Method for detecting illegal connection and network monitoring apparatus
JP2013183458A (ja) ネットワーク攻撃を感知する移動通信端末機およびその感知方法
CN103346972A (zh) 基于用户终端的流量控制装置和方法
JP2009044664A (ja) 通信装置を制御するプログラム及び通信装置
KR20130017333A (ko) 응용 계층 기반의 슬로우 분산서비스거부 공격판단 시스템 및 방법
US9325685B2 (en) Authentication switch and network system
KR20130058853A (ko) 사용자 단말의 접속 네트워크 식별 장치, 방법 및 컴퓨터 판독 가능한 기록 매체
JP4877145B2 (ja) 通信装置を制御するプログラム及び通信装置
KR101658450B1 (ko) 웹 애플리케이션 서버로부터 수집된 트랜잭션 정보 및 고유세션 id 통한 사용자 식별을 이용한 보안장치.
US8972543B1 (en) Managing clients utilizing reverse transactions
KR101494329B1 (ko) 악성 프로세스 검출을 위한 시스템 및 방법
CN107395550B (zh) 一种网络攻击的防御方法及服务器
CN111726328B (zh) 用于对第一设备进行远程访问的方法、系统以及相关设备
WO2015018200A1 (zh) 防火墙设备中检测引擎的升级方法及装置
CN114244610B (zh) 一种文件传输方法、装置,网络安全设备及存储介质
KR20130006912A (ko) 모니터링 및 필터링 정책을 이용한 네트워크 트래픽 관리 시스템 및 그 방법
CN115603974A (zh) 一种网络安全防护方法、装置、设备及介质
Vaccari et al. Perpetrate cyber-attacks using IoT devices as attack vector: the ESP8266 use case
CN112929357A (zh) 一种虚拟机数据的分析方法、装置、设备及存储介质
EP2922338A1 (en) Method and apparatus for providing content according to type of communication network

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee