KR101200055B1 - 합동전력군사지휘소용 지휘통제통신컴퓨터감시정찰 종합운용체계 및 데이터 센터 시스템에 대한 실시간 해킹 및 침입 방지 시스템 - Google Patents
합동전력군사지휘소용 지휘통제통신컴퓨터감시정찰 종합운용체계 및 데이터 센터 시스템에 대한 실시간 해킹 및 침입 방지 시스템 Download PDFInfo
- Publication number
- KR101200055B1 KR101200055B1 KR1020110055980A KR20110055980A KR101200055B1 KR 101200055 B1 KR101200055 B1 KR 101200055B1 KR 1020110055980 A KR1020110055980 A KR 1020110055980A KR 20110055980 A KR20110055980 A KR 20110055980A KR 101200055 B1 KR101200055 B1 KR 101200055B1
- Authority
- KR
- South Korea
- Prior art keywords
- virtual
- router
- firewall
- computer system
- illegal
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명은 합동전력구사지휘소용 지휘통제통신컴퓨터감시정찰 종합운용체계(C4ISR) 및 데이터 센터 시스템에 대한 실시간 해킹 및 침입 방지 시스템에 관한 것으로서, 구체적으로 본 발명에 따른 C4ISR 컴퓨터 시스템 침입 탐지 및 방지 장치는 라우터, 탐지수단, 가상 시스템 및 접근제한 수단을 포함한다.
라우터는 인터넷에 연결되고, 내부 IP가 할당된 적어도 하나 이상의 컴퓨터 시스템으로의 불법 접근을 제한하는 방화벽을 구비할 수 있다. 탐지수단은 상기 방화벽에 연결되어 시스템에 접근한 사용자의 작업내용을 페트리넷 알고리즘을 이용하여 실시간으로 해킹여부를 탐지한다. 가상 시스템은 상기 컴퓨터 시스템의 내부 데이터 구조를 모방한 모방 데이터를 구비한다. 접근 제한 수단은 상기 탐지수단이 해킹을 감지하는 경우 불법 접근자를 상기 가상 시스템으로 연결한다.
본 발명에 따르면 실시간 감시를 통해 해커의 침입을 탐지하고 해커의 침입이 있는 경우에 자동적으로 차단하거나 가상 시스템을 연결시켜 본 시스템으로의 접근을 지연시키거나 해커의 혼동을 유발하는 수단을 제공하는 데 있다.
라우터는 인터넷에 연결되고, 내부 IP가 할당된 적어도 하나 이상의 컴퓨터 시스템으로의 불법 접근을 제한하는 방화벽을 구비할 수 있다. 탐지수단은 상기 방화벽에 연결되어 시스템에 접근한 사용자의 작업내용을 페트리넷 알고리즘을 이용하여 실시간으로 해킹여부를 탐지한다. 가상 시스템은 상기 컴퓨터 시스템의 내부 데이터 구조를 모방한 모방 데이터를 구비한다. 접근 제한 수단은 상기 탐지수단이 해킹을 감지하는 경우 불법 접근자를 상기 가상 시스템으로 연결한다.
본 발명에 따르면 실시간 감시를 통해 해커의 침입을 탐지하고 해커의 침입이 있는 경우에 자동적으로 차단하거나 가상 시스템을 연결시켜 본 시스템으로의 접근을 지연시키거나 해커의 혼동을 유발하는 수단을 제공하는 데 있다.
Description
본 발명은 합동전력구사지휘소용 지휘통제통신컴퓨터감시정찰 종합운용체계(C4ISR) 및 데이터 센터 시스템에 대한 실시간 해킹 및 침입 방지 시스템에 관한 것으로서, 구체적으로는 해킹 및 시스템으로의 침입을 실시간으로 감지하고, 가상 시스템을 통하여 해킹의 피해를 방지하는 시스템에 관한 것이다.
첨단 정보통신기술의 발전에 힘입어 크게 발전된 생산기술, 자동화기술 등의 발전으로 타격체계는 정밀화, 장사정화, 경량화, 고위력화되고, 센서체계는 정밀화, 다양화되고 있다. 이에 따라 현대전은 적보다 먼저 보고 먼저 결심하고 먼저 상대방 전력의 심장부를 정밀 타격해야만 전쟁에서 우위를 확보할 수 있는 시간전, 속도전의 양상으로 발전되고 있다. 이러한 전쟁양상에 대비하기 위하여 선진국들은 초고속, 대용량의 정보고속도로를 이용하여 고정밀 센서체계와 타격체계를 결합한 C4ISR(Command, Control, Communication, Computer, Intelligence, Surveillance and Reconnaissance) / PGM(Precision Guided Missile) 복합체계 개념을 정립하고 미래전의 핵심전력으로 집중 개발하고 있다. C4ISR이란 개략적으로 정보자산(정찰기, 위성, 수색부대 기타 등등)을 통해 정보를 입수하고, 다방면으로 수집된 정보를 취합, 분석하여 적의 의도를 파악하며, 각 부대에 무선/위성망 단말기를 통하여 사령관의 지휘의도를 전달하고, 그에 따른 전투결과를 신속히 피드백하여 실시간으로 정보교환하며, 지원화력 운용과 보급지원 및 나아가 육, 해, 공의 통합운용 전반에 걸치 사령관의 통합지휘가 가능하게 하는 것을 말한다. 이러한 C4ISR은 총, 포 등과 같은 단위 무기체계처럼 단기간에 구축할 수 있는 것이 아니다. 이 체계는 여러 구성체계들이 복합적으로 결합되어 매우 복잡하고 구축비용이 방대하다. 또한 장기간의 구축기간이 필요하고 다양한 전쟁양상들을 효과적으로 지원하기 위한 운용개념 정립이 매우 어렵다. 특히 C4ISR/PGM 복합체계는 구축에 필요한 경제적인 여건을 가지고 있다고 하더라도 복잡 다양한 센서체계 및 타격체계를 네트워크를 이용하여 통합해야 하는 문제가 있어 쉽지 않은 과제이다. 한국의 경제적, 기술적 여건 등을 고려해 볼 때, C4ISR/PGM 복합체계를 선진국의 수준으로 구축하기란 매우 어려운 실정이다. 그러나 C4ISR/PGM 복합체계는 이러한 어려운 여건에도 불구하고 국가의 국방력을 선진국 수준 이상 또는 동등한 수준으로 향상시키기 위해서 반드시 구축해야 하는 핵심전력 사업 및/또는 시스템이라 할 수 있다. 최근 컴퓨터 관련 범죄가 급증하고 있다. 인터넷(Internet)이 급속히 퍼지고 이를 통해 누구나 쉽게 인터넷에 연결된 모든 호스트(Host)에 대해 연결이 가능하게 되고, 인터넷에서 쉽게 구할 수 있는 침입방식들을 이용해 크래킹(Cracking)을 하고, 서비스 거부공격(Denial of Service, DoS)을 통해 서비스를 불가능하게 만들 수 있다. 통계에 의하면 매초마다 한 건 이상씩의 사고가 발생하고 있으므로 그 규모가 엄청나다고 볼 수 있다. 나아가 최근에는 다수의 국가에서 해킹 전문인력을 양성함으로써 장차 발생할 수 있는 정보전에 대응하려는 움직임 또한 활발해지고 있다.
상기와 같은 문제점을 해결하기 위한 것으로서 본 발명의 과제는 실시간 감시를 통해 해커의 침입을 탐지하고 해커의 침입이 있는 경우에 가상 시스템으로 연결할 수 있는 수단을 제공하는 데 있다.
본 발명에 따른 C4ISR 컴퓨터 시스템 침입 탐지 및 방지 장치는 라우터, 방화벽, 탐지수단, 가상 시스템 및 접근제한 수단을 포함한다.
라우터는 인터넷에 연결된다. 방화벽은 상기 라우터에 연결되고, 내부 IP가 할당된 적어도 하나 이상의 컴퓨터 시스템으로의 불법 접근을 제한한다. 탐지수단은 상기 방화벽에 연결되어 시스템에 접근한 사용자의 작업내용을 페트리넷 알고리즘을 이용하여 실시간으로 해킹여부를 탐지한다. 가상 시스템은 상기 컴퓨터 시스템의 내부 데이터 구조를 모방한 모방 데이터를 구비한다. 접근 제한 수단은 상기 탐지수단이 해킹을 감지하는 경우 불법 접근자를 상기 가상 시스템으로 연결한다.
또한 상기 라우터는 하나의 포트에 대하여 정상적인 포트 포워딩 주소와 이에 대응하는 가상의 포트 포워딩 주소를 구비할 수 있다.
나아가 상기 탐지수단이 해킹을 감지하는 경우 상기 접근 제한수단은 상기 불법 접근자가 접근하는 포트에 대하여 상기 정상적인 포트 포워딩 주소의 컴퓨터 시스템 대신 상기 가상의 포트 포워딩 주소에 대응하는 가상 시스템으로 연결시킬 수 있다.
또한 상기 탐지수단은 상주 프로세서인 어디트 대몬(Audit Daemon)에 의해 생성된 어디트 로그(audit log)를 분석함으로써 침입여부를 탐지할 수 있다.
또한 상기 탐지수단은 불법 접근자를 가상 시스템으로 연결한 후 불법 접근 시간, 경과 시간 및 대상 시스템 정보 중 적어도 어느 하나를 관리자에게 알릴 수 있다.
또한 상기 가상 시스템을 구성하는 가상 파일의 데이터를 시간에 따라 변경시키는 갱신 수단을 포함할 수 있다. 나아가 상기 갱신 수단은 불법 접근자가 가상 시스템으로 연결된 이후에만 데이터를 변경시킬 수 있다.
본 발명에 따르면 실시간 감시를 통해 해커의 침입을 탐지하고 해커의 침입이 있는 경우에 자동적으로 차단하거나 가상 시스템을 연결시켜 본 시스템으로의 접근을 지연시키거나 해커의 혼동을 유발하는 수단을 제공하는 데 있다.
또한 본 발명에 따르면 해킹으로부터 군사기밀 등 주요 정보의 유출을 막을 수 있는 효과가 있다.
도 1은 본 발명에 따른 네트워크 시스템의 모습을 나타내는 블록도이다.
도 2는 다른 실시예에 따른 네트워크 시스템의 모습을 나타내는 블록도이다.
도 3은 본 발명에 따른 침입탐지 프로세스를 나타내는 순서도이다.
도 2는 다른 실시예에 따른 네트워크 시스템의 모습을 나타내는 블록도이다.
도 3은 본 발명에 따른 침입탐지 프로세스를 나타내는 순서도이다.
이하 첨부된 도면을 참조하여 본 발명의 실시예를 설명한다. 특별한 정의나 언급이 없는 경우에 본 설명에 사용하는 방향을 표시하는 용어는 도면에 표시된 상태를 기준으로 한다. 또한 각 실시예를 통하여 동일한 도면부호는 동일한 부재를 가리킨다.
본 발명에 따른 C4ISR 컴퓨터 시스템 침입 탐지 및 방지 장치는 라우터(10), 방화벽(20), 탐지수단(30), 가상 시스템(50) 및 접근제한 수단(40)을 포함한다. 이하에서 각 구성에 대하여 상세히 설명한다.
먼저 도 1을 참조하여 라우터(10)를 설명한다. 도 1은 본 발명의 일 실시예에 따른 네트워크 시스템의 모습을 나타내는 블록도이다.
라우터(10)는 외부 인터넷에 연결된다. 라우터는 서로 다른 네트워크를 연결하여 정보를 주고 받을 때, 송신정보(패킷, packet)에 담긴 수신처의 주소를 읽고 가장 적절한 통신통로를 이용하여 다른 통신망으로 전송하는 장치이다. 예를 들어 서로 다른 근거리통신망(랜;LAN)을 중계하거나 근거리통신망을 광역통신망(WAN)에 연결할 때 주로 사용한다. 인터넷을 접속할 때는 반드시 필요한 장비로서, 서로 다른 프로토콜로 운영하는 통신망에서 정보를 전송하기 위해 경로를 설정하는 역할을 제공하는 핵심적인 통신장비이다. 본 실시예에서의 라우터(10)는 C4ISR 컴퓨터 네트워크와 외부의 인터넷 네트워크를 연결하는 통로의 역할을 하게 된다.
한편, 라우터(10)는 하나의 포트에 대하여 정상적인 포트 포워딩 주소가 설정되어 있는 경우 이에 대응하는 가상의 포트 포워딩 주소를 구비할 수 있다. 가상의 포트 포워딩 주소는 후술할 가상 시스템(50) 중의 하나에 할당된 내부 주소이다. 이에 관하여는 해당 부분에서 상세히 설명한다.
도 1을 참조하여 방화벽(20)을 설명한다.
방화벽(20)은 라우터(10)의 아래에 연결된다. 방화벽(20)은 라우터(10)를 통하여 내부 IP가 할당된 적어도 하나 이상의 컴퓨터 시스템(100)에 불법적으로 접근하는 것을 제한한다. 방화벽(20)은 일반적으로 인터넷과 같은 외부 통신 체제로부터 네트워크를 보호해주는 하드웨어 또는 소프트웨어 체제를 말한다. 즉, 화재가 났을 때 더 이상 불이 번지는 것을 막기위해 차단벽을 만들어 두듯, 허가받지 않은 컴퓨터통신 사용자가 기업이나 개인의 통신망에 뚫고 들어오는 것을 막기위해 설치해 둔 소프트웨어나 장비를 의미한다. 외부로 나가는 정보를 통제하고 외부에서 들어오는 자료를 확인해 해킹방지용으로 사용되는 프로그램으로, 인증되지 않은 인터넷 사용자의 접근을 방지할 수 있으며, 인터넷으로부터 유입되는 바이러스의 공격도 차단할 수 있다. 방화벽의 원리는 허가된 사용자 외에는 접근자체를 차단하는 것으로, 현재까지 정보통신망의 불법접근을 차단할 수 있는 가장 효과적인 대책이다. 방화벽 기술에는 패킷 필터링(Packet Filtering), 애플리케이션 게이트웨이(Application Gateway) 방식, 스테이트풀 인스펙션(Stateful Inspection), 딥 패킷 인스펙션(Deep Packet Inspection) 등이 있다.
도 1 내지 도 3을 참조하여 침입관리장치를 설명한다. 도 2는 다른 실시예에 따른 네트워크 시스템의 모습을 나타내는 블록도이고, 도 3은 침입탐지 프로세스를 나타내는 순서도이다. 한편, 도 1에 도시된 바와 같이 침입관리장치는 탐지 수단(30), 접근제한 수단(40) 및 가상 시스템(50)으로 구성된다.
탐지수단(30)은 방화벽(20)에 연결되어 시스템에 접근한 사용자의 작업내용을 이용하여 실시간으로 해킹여부를 탐지한다. 탐지수단(30)은 침입탐지시스템(IDS : Instrusion Detect System)의 일종이라 할 수 있다. 침입탐지시스템이란 컴퓨터시스템의 무결성, 비밀성, 가용성을 저해하는 행위를 가능한 실시간으로 탐지하고 대응하기 위한 시스템으로서, 각종 침입 행위들을 자동으로 탐지, 대응, 보고 하고, 시스템에 대한 인가되지 않은 행위와 비정상적인 행동을 탐지하고, 탐지된 불법행위를 구분하여 실시간으로 침입을 차단하는 기능을 가진다.
탐지수단(30)의 침입탐지 프로세스는 도 3에 도시된 바와 같이 4단계로 구분된다. 먼저 정보 및 데이터 수집(S10)단계에서는 대상 시스템에서 제공하는 사용 내역 및 네트워크상의 패킷등 탐지 대상에서 생산되는 데이터 수집한다. 다음으로 가공 및 축약단계(S20)에서는 수집된 감시 데이터를 침입 판정에 사용할 수 있도록 의미 있는 정보로 전환한다. 즉, 새로운 침입 패턴의 기록 관리 및 분석 결과에 대한 기록(LOG)하고, 데이터 베이스(DB)를 생성한다. 분석 및 탐지 단계(S30)에서는 가공된 데이터를 이용 침입 여부를 판정한다. 이 때 침입 여부의 판정에는 비정상 행위 탐지 기술과 오용 탐지 기술 등이 사용될 수 있다. 마지막으로 보고 및 대응 단계(S40)이다. 보고 및 대응 단계에서는 침입 판정시 자동으로 적절한 대응을 하거나 관리자에게 보고 하여 조치를 취하도록 한다.
즉, 탐지수단(30)은 적어도 한대 이상의 컴퓨터, 컴퓨터 시스템(100)에 대한 모니터링이 가능하며, 경우에 따라 WAN 환경에서도 모니터링이 가능하다. 탐지수단(30)에 의한 탐지과정은 예를 들어 선마이크로시스템(Sun Microsystems)사의 솔라리스(Solaris) 환경에서 제공되는 BSM(Basic Security Module)에서 생성된 상주 프로세서인 어디트 대몬(Audit Daemon)에 의해 감사기록이 생성되면, 어디트 로그(audit log)를 읽어서 탐지에 필요한 자료를 추출하며, 이와 같이 추출된 자료를 탐지모듈에 적용할 포맷(format)으로 변경한 뒤에 탐지를 하게 된다.
한편, 비정상 침입 탐지 기술은 감시되는 시스템의 일반적인 행위를 분석하여 패턴을 생성하고 이로부터 벗어나는 행위를 침입으로 분류하는 방법이다. 예를 들면 통계적(Statistical) 방법, 전문가 시스템(Expert System), 신경망(Neural Network), 컴퓨터 면역학(Computer Immunology), 데이터 마이닝(Data Mining), HMM(Hidden Markov Model), 기계학습(machine learning) 방법 등이 있다.
오용탐지 기술은 알려진 침입행위를 분석 패턴화 하여 이와 유사하거나 동일한 행위를 침입으로 간주하는 방법이다. 예를 들어 전문가 시스템(Expert System), 시그너처 분석(Signature Analysis), 페트리넷(Petri-net), 상태전이분석(State Transition Analysis), 신경망(Neural Network), 유전 알고리즘(genetic algotithm) 등이 사용될 수 있다. 전문가 시스템은 축약 감사 사건과 일치하는 사건을 명시 공격 패턴을 탐지 하고 이미 설정된 규칙에 따라 처리하는 방법이고, 조건부 확률 이용 방법은 이벤트가 침입일 확률을 조건부 확률을 이용하여 산출하는 방법이며, 상태전이 분석방법은 공격 패턴을 상태전이 순서도로 표현하여 초기 상태에서 최종 상태로 전이 과정을 규칙기반으로 탐지하는 방법이다. 본 실시예에서는 페트리넷 알고리즘을 이용하는 것을 예로서 설명하며, 다음과 같은 6가지 침입패턴을 주로 탐지한다.
먼저 admintool 오류를 이용한 침입패턴을 탐지할 수 있다. Admintool 오류를 이용한 침입패턴은 임의 파일을 /tmp/.group.lock에 연결한 후, /user/bin/admintool 프로그램을 실행함으로써 사용자 그룹 ID를 갖는 임의 파일을 생성하는 경우이다. 또한 kcms_calibrate 오류를 이용한 침입패턴을 탐지할 수 있다. kcms_calibrate 오류를 이용한 침입패턴은 임의 파일을 /tmp/Kp_kcms_sys.sem에 연결한 후, /usr/openwin/bin/kcms_calibrate 프로그램을 실행하고 방해하는 프로그램을 수행함으로써 경쟁상태를 만들어 루트 소유의 임의의 파일을 생성하는 경우이다. 다음으로 automountd 오류를 이용한 침입패턴을 탐지할 수 있다. automountd 오류를 이용한 침입패턴은 AUTOFS_MOUNT를 시키는 프로그램을 만들어 수행하여 오류를 유발하고, 이 결과로 지정한 호스트의 임의 파일의 퍼미션을 변경하는 경우이다. 다음으로 nispopulate 오류를 이용한 침입패턴을 탐지할 수 있다. nispopulate 오류를 이용한 침입패턴은 /usr/lib/nis/nispopulate 프로그램 수행 도중에 생성되는 임시 파일을 이용한다. nispopulate 프로그램을 수행시켜 놓고 생성되는 임시파일을 다른 파일로 링크함으로써 루트 소유의 파일을 생성하는 경우이다. 다음으로 eject, fdformat, ffbconfig, passwd 등의 명령어 매개변수 뒤에 임의의 코드를 넣어 실행시킴으로써 오버플로우를 유도하는 경우이다. 또한 함수를 오용하여 시스템 자원을 고갈시켜 시스템을 마비시키는 서비스 방해 공격의 경우를 탐지할 수 있다.
페트리넷은 이산 현상 시스템을 모델화하고 분석하는데 있어서, 하나의 그림형태로 그 흐름활동을 표현하고 분석할 수 있는 그래픽적이고, 다양한 시스템에 적용할 수 있는 수학적인 유용한 도구로서 잘 알려져 있다. 그래픽한 도구로서 페트리넷은 플로우차트와 비슷한 비쥬얼-커뮤니케이션, 블록 다이어그램, 넷 작업을 이용하고, 수학적 도구로서 페트리넷은 상태 방정식의 작성, 대수 방정식 또는 그외 수학모델을 사용할 수 있다. 이러한 페트리넷은 병행적, 비동기적, 분산적, 병렬적 또는 확률적 성질을 지닌 정보처리 시스템의 성능분석, 통신 프로토콜의 설계 검증 및 FMS 등 다양한 분야에 이 용되고 있다. 페트리넷의 특성은 행위적 속성과 구조적 속성으로 나눌 수 있는데, 페트리넷의 행위적 속성은 페트리넷의 마킹에 관하여 연구하는 것이다. 도달성(reachability), 유한성(boundedness), 생존성(liveness) 등을 대상으로 하여 여러 연구가 진행되어 왔다. 그리고, 상기한 페트리넷의 구조적 속성은 단지 마킹에는 상관없이 페트리넷의 구조만을 고려한다. 페트리넷의 구조적 속성에 관한 연구는 불변(invariant)의 개념과 구조적 유한성(boundedness), 강건성(conservation) 등에 관하여 여러 연구가 진행되어 왔다. 특히, 플레이스의 분석 그리고 상태 부변은 페트리넷의 구조에관하여 여러 유용한 정보를 주고 있다. 페트리넷 알고리즘 기반으로 구현된 탐지모듈에 의해 침입이 있다고 판단되는 경우 도 3에 도시된 바와 같이 보고 및 대응 단계(S40)로 진행하게 된다.
대응 단계에서는 후술할 접근제한 수단(40)에 의하여 정상적인 경로를 비틀어 가상시스템(50)으로 연결하게 되고, 보고 단계에서 탐지수단(30)은 불법 접근자를 가상 시스템으로 연결한 후 불법 접근 시간, 경과 시간 및 대상 시스템 정보 중 적어도 어느 하나를 관리자에게 알릴 수 있다. 상세한 내용에 대하여는 각 구성의 설명 부분에서 상세히 설명한다.
가상 시스템(50)은 상기 컴퓨터 시스템의 내부 데이터 구조를 모방한 모방 데이터를 구비한다. 즉 가상 시스템(50)은 일종의 데이터 베이스로서 다수의 컴퓨터 시스템에 관한 운영체제 파일 및 데이터 파일등을 모방하여 구축하게 된다. 가상 시스템은 도 2에 도시된 바와 같이 관리의 용이성 및 처리 속도의 향상을 위하여 별도의 서버 시스템(50a)으로 구현 할 수도 있다.
또한 상기 가상 시스템을 구성하는 가상 파일의 데이터를 시간에 따라 변경시키는 갱신 수단(미도시)을 포함할 수 있다. 상기 갱신 수단은 불법 접근자가 가상 시스템으로 연결된 이후에만 데이터를 변경시키도록 하는 것이 바람직하며, 불법 접근자를 가상 시스템(50)으로 연결시키는 경우 불법 접근자가 이미 접촉한 정상적인 데이터를 복사하여 불법 접근자를 연결시키려는 가상 시스템에 옮겨놓는 것도 가능하다.
접근 제한 수단(40)은 탐지수단(30)이 해킹을 감지하는 경우 불법 접근자를 가상 시스템으로 연결한다. 즉, 해킹으로 감지되는 경우 해킹을 시도하는 불법 접근자가 특정 데이터 또는 시스템에 접촉시도하는 경우 앞서 설명한 라우터(10)가 정상적인 포트 포워딩 주소 대신 가상의 포트 포워딩 주소로 대체하는 방식 등으로 불법 접근자를 가상 시스템으로 연결하게 된다.
불법 접근자는 가상 시스템(50) 내의 가상 운영체제에 접속하여 실제 컴퓨터 시스템인 것으로 착오를 일으킨 상태에서 지속적인 해킹을 시도하게 된다.
도 2를 참조하여 허브(60)를 설명한다. 허브(60)는 버스 형태로 접속되는 랜(LAN)에서 분기하여 컴퓨터들을 별 형태로 랜에 접속시키는 접속 또는 집선 장치로, 각 노드(연결된 컴퓨터, 컴퓨터 시스템)를 랜에 연결해 주는 것은 물론 각 노드에서 패킷 단위로 발송되는 자료에서 수신 노드의 주소를 판독하여 수신 노드로 자료를 전송하기도 한다. 이렇게 주소에 따라 자료를 연결(스위칭)해 주는 특성 때문에 스위칭 허브(switching hub)라고도 한다.
허브(60)에는 각 컴퓨터 및 컴퓨터 시스템(100)들이 적어도 하나이상 연결되어 내부 내트워크를 구성한다. 각 컴퓨터 시스템(100)은 라우터(10) 또는 허브(60)의 아래에서 내부 네트워크 주소가 적어도 하나 이상 할당되어 있으며, 이러한 내부 주소를 통하여 각 컴퓨터에 연결 및 접속을 할 수 있게 된다.
이상 본 발명의 바람직한 실시예에 대하여 설명하였으나, 본 발명의 기술적 사상이 상술한 바람직한 실시예에 한정되는 것은 아니며, 특허청구범위에 구체화된 본 발명의 기술적 사상을 벗어나지 않는 범주에서 다양한 합동전력구사지휘소용 지휘통제통신컴퓨터감시정찰 종합운용체계(C4ISR) 및 데이터 센터 시스템에 대한 실시간 해킹 및 침입 방지 시스템으로 구현될 수 있다.
10: 라우터 20: 방화벽
30: 탐지수단 40: 접근제한 수단
50, 50a: 가상시스템 60: 허브
100: 컴퓨터 시스템
30: 탐지수단 40: 접근제한 수단
50, 50a: 가상시스템 60: 허브
100: 컴퓨터 시스템
Claims (7)
- 외부 인터넷에 연결되고 하나의 포트에 대하여 정상적인 포트 포워딩 주소와 이에 대응하는 가상의 포트 포워딩 주소를 구비하는 라우터;
상기 라우터에 연결되고, 내부 IP가 할당된 적어도 하나 이상의 컴퓨터 시스템으로의 불법 접근을 제한하는 방화벽;
상기 방화벽에 연결되고, 상기 컴퓨터 시스템에 접근한 사용자의 작업내용을 페트리넷 알고리즘에 기반하여 상주 프로세서인 어디트 대몬(Audit Daemon)에 의해 생성된 어디트 로그(audit log)를 분석함으로써 실시간으로 해킹 여부를 탐지하는 탐지수단;
상기 컴퓨터 시스템의 내부 데이터 구조를 모방한 모방 데이터를 구비하는 가상 시스템;
상기 탐지수단이 해킹을 감지하는 경우 불법 접근자가 접근하는 포트에 대하여 상기 정상적인 포트 포워딩 주소에 해당하는 컴퓨터 시스템에 대응하는 상기 가상의 포트 포워딩 주소에 해당하는 상기 가상 시스템으로 상기 불법 접근자를 연결하는 접근 제한 수단; 및
상기 불법 접근자가 상기 가상 시스템으로 연결된 이후에 상기 가상 시스템을 구성하는 가상 파일의 데이터를 변경시키는 갱신 수단;을 포함하는 C4ISR 컴퓨터 시스템 침입 탐지 및 방지 장치. - 삭제
- 삭제
- 삭제
- 제1항에 있어서,
상기 탐지수단은 불법 접근자를 가상 시스템으로 연결한 후 불법 접근 시간, 경과 시간 및 대상 시스템 정보 중 적어도 어느 하나를 관리자에게 알리는 C4ISR 컴퓨터 시스템 침입 탐지 및 방지 장치. - 삭제
- 삭제
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020110055980A KR101200055B1 (ko) | 2011-06-10 | 2011-06-10 | 합동전력군사지휘소용 지휘통제통신컴퓨터감시정찰 종합운용체계 및 데이터 센터 시스템에 대한 실시간 해킹 및 침입 방지 시스템 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020110055980A KR101200055B1 (ko) | 2011-06-10 | 2011-06-10 | 합동전력군사지휘소용 지휘통제통신컴퓨터감시정찰 종합운용체계 및 데이터 센터 시스템에 대한 실시간 해킹 및 침입 방지 시스템 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101200055B1 true KR101200055B1 (ko) | 2012-11-12 |
Family
ID=47564431
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020110055980A KR101200055B1 (ko) | 2011-06-10 | 2011-06-10 | 합동전력군사지휘소용 지휘통제통신컴퓨터감시정찰 종합운용체계 및 데이터 센터 시스템에 대한 실시간 해킹 및 침입 방지 시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101200055B1 (ko) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101845284B1 (ko) | 2016-02-12 | 2018-05-18 | 주식회사 안랩 | 악성코드탐지시스템 및 악성코드 탐지 방법 |
| KR20190032968A (ko) * | 2017-09-20 | 2019-03-28 | 주식회사 큐인 | Iot를 기반으로 하는 해킹방지 시스템 |
| KR102005376B1 (ko) | 2019-02-19 | 2019-07-30 | 유비웨어 주식회사 | 가상 네트워크 오버레이 기반의 네트워크 보안 시스템 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003036243A (ja) * | 2001-07-24 | 2003-02-07 | Kddi Corp | 不正侵入防止システム |
| JP2006505848A (ja) * | 2002-11-07 | 2006-02-16 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | メインファイルシステム領域及び仮想ファイルシステム領域を有する記録担体 |
-
2011
- 2011-06-10 KR KR1020110055980A patent/KR101200055B1/ko active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003036243A (ja) * | 2001-07-24 | 2003-02-07 | Kddi Corp | 不正侵入防止システム |
| JP2006505848A (ja) * | 2002-11-07 | 2006-02-16 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | メインファイルシステム領域及び仮想ファイルシステム領域を有する記録担体 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101845284B1 (ko) | 2016-02-12 | 2018-05-18 | 주식회사 안랩 | 악성코드탐지시스템 및 악성코드 탐지 방법 |
| KR20190032968A (ko) * | 2017-09-20 | 2019-03-28 | 주식회사 큐인 | Iot를 기반으로 하는 해킹방지 시스템 |
| KR102412490B1 (ko) * | 2017-09-20 | 2022-06-24 | 주식회사 이알마인드 | IoT를 기반으로 하는 해킹방지 시스템 |
| KR102005376B1 (ko) | 2019-02-19 | 2019-07-30 | 유비웨어 주식회사 | 가상 네트워크 오버레이 기반의 네트워크 보안 시스템 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Martins et al. | Host-based IDS: A review and open issues of an anomaly detection system in IoT | |
| Rubio et al. | Analysis of Intrusion Detection Systems in Industrial Ecosystems. | |
| CN112073411A (zh) | 一种网络安全推演方法、装置、设备及存储介质 | |
| Wan et al. | Characteristic insights on industrial cyber security and popular defense mechanisms | |
| Hasan et al. | Artificial intelligence empowered cyber threat detection and protection for power utilities | |
| RU2739864C1 (ru) | Система и способ корреляции событий для выявления инцидента информационной безопасности | |
| KR20170091989A (ko) | 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법 | |
| KR101200055B1 (ko) | 합동전력군사지휘소용 지휘통제통신컴퓨터감시정찰 종합운용체계 및 데이터 센터 시스템에 대한 실시간 해킹 및 침입 방지 시스템 | |
| Meier et al. | Towards an AI-powered Player in Cyber Defence Exercises | |
| LaBar et al. | Honeypots: Security by deceiving threats | |
| Qu et al. | Anomaly-based self protection against network attacks | |
| Zhao et al. | Network security model based on active defense and passive defense hybrid strategy | |
| Pogossian et al. | Effective discovery of intrusion protection strategies | |
| Hasan et al. | Predictive cyber defense remediation against advanced persistent threat in cyber-physical systems | |
| Fritsch et al. | Implications of Privacy & Security Research for the Upcoming Battlefield of Things | |
| Lakhdhar et al. | Proactive security for safety and sustainability of mission critical systems | |
| Fanfara et al. | Autonomous hybrid honeypot as the future of distributed computer systems security | |
| Kishore et al. | Intrusion Detection System a Need | |
| Lau et al. | Securing supervisory control and data acquisition control systems | |
| Guo et al. | Mimic Honeypot Design and Analysis | |
| Rafa et al. | Detecting Intrusion in Cloud using Snort: An Application towards Cyber-Security | |
| Javid et al. | Honeypots vulnerabilities to backdoor attack | |
| Blumbergs | Specialized cyber red team responsive computer network operations | |
| Laszka et al. | Towards high-resolution multi-stage security games | |
| Mihanjo et al. | Isolation of DDoS Attacks and Flash Events in Internet Traffic Using Deep Learning Techniques |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| A302 | Request for accelerated examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20151026 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20171101 Year of fee payment: 6 |
|
| FPAY | Annual fee payment |
Payment date: 20181029 Year of fee payment: 7 |