KR101341451B1 - System for checking firewall using harmful information db - Google Patents

System for checking firewall using harmful information db Download PDF

Info

Publication number
KR101341451B1
KR101341451B1 KR1020130053139A KR20130053139A KR101341451B1 KR 101341451 B1 KR101341451 B1 KR 101341451B1 KR 1020130053139 A KR1020130053139 A KR 1020130053139A KR 20130053139 A KR20130053139 A KR 20130053139A KR 101341451 B1 KR101341451 B1 KR 101341451B1
Authority
KR
South Korea
Prior art keywords
information
policy
firewall
harmful
unit
Prior art date
Application number
KR1020130053139A
Other languages
Korean (ko)
Inventor
이승윤
박시현
전법훈
차수길
Original Assignee
주식회사 이글루시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 이글루시큐리티 filed Critical 주식회사 이글루시큐리티
Priority to KR1020130053139A priority Critical patent/KR101341451B1/en
Application granted granted Critical
Publication of KR101341451B1 publication Critical patent/KR101341451B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to a system which checks a firewall for protecting a network and, more specifically, to a firewall checking system using a harmful information database capable of checking a current security state and rapidly responding to future risks by previously checking weak points of a firewall policy; increasing the utility of a set of information for the weak points and the convenience of risk analysis; evaluating the comprehensive risk of firewall equipment and a network environment by extending the security analysis of an individual policy of the firewall; and increasing the stability and the convenience of a manager by modifying the firewall policy through automatically modifying the firewall policy according to an analysis result for the weak points of the firewall and updating automated harmful information. [Reference numerals] (1) Information collection unit;(11) Harmful information collection unit;(12) Policy information collection unit;(13) Asset information collection unit;(14) Connection information collection unit;(2) Information analysis unit;(21) Policy check unit;(22) Risk calculation unit;(221) Policy risk calculation unit;(222) Equipment risk calculation unit;(223) Site risk calculation unit;(3) Policy calculation unit;(31) Matching information calculation unit;(32) Matching policy calculation unit;(4) Report modification unit;(41) Information provision unit;(42) Policy modification unit;(5) Policy update unit;(51) Connection determination unit;(52) Non-matching information calculation unit;(53) Non-matching policy calculation unit;(54) Update determination unit

Description

유해정보 데이터베이스를 활용한 방화벽 점검시스템{System for checking firewall using harmful information DB}System for checking firewall using harmful information DB}

본 발명은 네트워크를 보호하는 방화벽을 점검하는 시스템에 대한 것으로, 더욱 상세하게는 방화벽 정책의 취약성을 사전점검함으로써 현재의 보안상태를 진단하고 향후의 위험에 대하여 신속하게 대응할 수 있으며, 방화벽의 취약성 분석 결과를 정량적으로 제공함으로써 취약성 정보의 효용성과 위험분석의 편의성을 증대시킬 수 있고, 방화벽의 개별 정책의 안전성 분석을 확장하여 방화벽 장비 및 네트워크 환경의 종합적인 위험도를 평가할 수 있으며, 방화벽 취약성 분석 결과에 따라 방화벽의 정책을 자동으로 수정하는 신속한 대응 및 자동화된 유해정보 갱신을 통해 방화벽의 정책을 수정하므로 안정성과 관리자의 편리성을 증대시킬 수 있는 유해정보 데이터베이스를 활용한 방화벽 점검시스템에 대한 것이다.The present invention relates to a system for inspecting a firewall that protects a network. More specifically, the system can diagnose the current security status and respond quickly to future risks by pre-checking the vulnerability of the firewall policy, and analyze the vulnerability of the firewall. By providing the results quantitatively, the effectiveness of vulnerability information and the convenience of risk analysis can be increased, and the safety analysis of individual policies of the firewall can be extended to assess the overall risk of firewall equipment and network environment. Therefore, it is about firewall inspection system utilizing harmful information database that can improve stability and convenience of administrator because it revises policy of firewall through quick response and automatic update of harmful information.

기업이나 조직의 모든 정보가 컴퓨터에 저장되고 컴퓨팅 환경 또한 다양하고 복잡해지면서, 기업이나 조직의 네트워크와 인터넷 간에 정보보안 대책이 날로 중요해지고 있는데, 일반적으로 네트워크와 인터넷 간의 정보보안은 출발지/도착지/서비스의 조건으로 내/외부 방향의 트래픽을 허용 및 차단을 수행하는 방화벽에 의해 이루어진다. 네트워크를 이용한 불법적인 접근은 다양한 국가에서 다양한 유해 아이피와 포트를 통해 일어나고 있으며, 이메일, 피싱, 파밍 등의 다양한 공격 방법에 의해 선량한 내부사용자가 악의적인 공격의 주체(좀비PC, 봇넷)가 되는 경우가 빈번하고, 이 같은 환경에서 외부로부터 행해지는 공격과, 내부로부터 이루어지는 악의적 행위(유해 IP로의 접속)가 모두 확인되어야 할 필요가 있으며 다양한 기법에 의한 IP변환과, 제로데이 공격에 대응하기 위해 최신의 유해정보를 유지하는 것이 중요하다.As all information of a company or organization is stored on a computer and the computing environment is diverse and complicated, information security measures are increasingly important between the network of the company or organization and the Internet. This is done by a firewall that allows and blocks traffic in and out of the condition. Illegal access through the network takes place through various harmful IPs and ports in various countries, and a good internal user becomes a subject of malicious attacks (zombie PC, botnet) by various attack methods such as email, phishing, pharming, etc. In this environment, both external attacks and malicious actions (access to harmful IP) from the inside need to be identified, and IP conversion by various techniques and zero-day attacks are required. It is important to maintain hazardous information.

아래 특허문헌을 참조하면, 상기 방화벽은 웹서버의 보안 취약점을 점검하여 네트워크를 보호한다.Referring to the patent document below, the firewall checks the security vulnerability of the web server to protect the network.

공개특허공보 10-2009-038683(2009. 04. 21. 공개) "자동 취약점 진단 웹 방화벽 및 이를 이용한 취약점 진단방법"Korean Patent Publication No. 10-2009-038683 (published Apr. 21, 2009) "Automatic Vulnerability Diagnosis Web Firewall and Vulnerability Diagnosis Method Using the Same"

하지만, 상기 방화벽은 개별 방화벽 정책에 대한 경고 및 일람의 형태로 취약점 정보를 제공하여 네트워크를 유해정보로부터 완벽하게 보호할 수 없을 뿐만아니라 사용상 불편함이 따르는 문제가 있다.However, the firewall can not only completely protect the network from harmful information by providing vulnerability information in the form of warnings and lists of individual firewall policies, but also has inconveniences in use.

본 발명은 상기와 같은 문제점을 해결하기 위해 안출된 것으로,SUMMARY OF THE INVENTION The present invention has been made to solve the above problems,

본 발명은 유해정보 데이터베이스를 이용하여 유해한 IP(URL)로부터의 공격, 유해한 IP(URL)로의 접속, 취약한 포트의 오픈 등의 방화벽 정책의 취약성을 사전점검함으로써 현재의 보안상태를 진단하고 향후의 위험에 대하여 신속하게 대응할 수 있는 유해정보 데이터베이스를 활용한 방화벽 점검시스템을 제공하는데 그 목적이 있다.The present invention diagnoses the current security status by checking the vulnerability of the firewall policy such as attack from harmful IP (URL), connection to harmful IP (URL), open of vulnerable port, etc. The purpose is to provide a firewall inspection system that utilizes a harmful information database that can respond quickly to.

또한, 본 발명은 방화벽의 취약성 분석 결과를 정량적으로 제공함으로써, 취약성 정보의 효용성과 위험분석의 편의성을 증대시킬 수 있는 유해정보 데이터베이스를 활용한 방화벽 점검시스템을 제공하는데 그 목적이 있다.In addition, an object of the present invention is to provide a firewall inspection system utilizing a harmful information database that can quantitatively provide the results of vulnerability analysis of the firewall, thereby increasing the utility of vulnerability information and convenience of risk analysis.

또한, 본 발명은 방화벽의 개별 정책의 안전성 분석을 확장하여 방화벽 장비 및 네트워크 환경의 종합적인 위험도를 평가할 수 있는 유해정보 데이터베이스를 활용한 방화벽 점검시스템을 제공하는데 그 목적이 있다.In addition, an object of the present invention is to provide a firewall inspection system utilizing a harmful information database that can evaluate the overall risk of the firewall equipment and network environment by extending the safety analysis of the individual policy of the firewall.

또한, 본 발명은 방화벽 취약성 분석 결과에 따라 방화벽의 정책을 자동으로 수정하는 신속한 대응을 통해 네트워크 안정성을 향상시킬 수 있고 향상된 편리성을 가지는 유해정보 데이터베이스를 활용한 방화벽 점검시스템을 제공하는데 그 목적이 있다.In addition, the present invention can improve the network stability through a quick response to automatically modify the policy of the firewall according to the results of the firewall vulnerability analysis to provide a firewall inspection system using a harmful information database having improved convenience. have.

또한, 본 발명은 자동화된 유해정보 갱신을 통해 방화벽의 정책을 갱신하므로 안정성과 관리자의 편리성을 증대시킬 수 있는 유해정보 데이터베이스를 활용한 방화벽 점검시스템을 제공하는데 그 목적이 있다.In addition, an object of the present invention is to provide a firewall inspection system using a harmful information database that can update the policy of the firewall through automated harmful information update to increase the stability and convenience of the administrator.

본 발명은 앞서 본 목적을 달성하기 위해서 다음과 같은 구성을 가진 실시예에 의해서 구현된다.In order to achieve the above object, the present invention is implemented by the following embodiments.

본 발명의 일 실시예에 따르면, 본 발명에 따른 유해정보 데이터베이스를 활용한 방화벽 점검시스템은 네트워크로부터 보안정보를 수집하는 정보수집부와, 상기 정보수집부가 수집한 유해정보와 보안정보를 비교분석하여 상기 네트워크의 방화벽의 취약성을 점검하는 정보분석부를 포함하며, 상기 정보수집부는 상기 네트워크를 보호하는 방화벽의 정책정보를 수집하는 정책정보수집부를 포함하고, 상기 정보분석부는 상기 정책정보수집부에서 수집된 정책정보를 유해정보와 비교분석하여, 상기 유해정보를 가지는 패킷이 상기 방화벽을 통과하는 경우 취약정책으로 분류하는 정책점검부를 포함하는 것을 특징으로 한다.According to an embodiment of the present invention, the firewall inspection system using the harmful information database according to the present invention compares and analyzes the information collecting unit for collecting security information from the network, and the harmful information and security information collected by the information collecting unit And an information analyzer for checking a vulnerability of the firewall of the network, wherein the information collector includes a policy information collector for collecting policy information of a firewall protecting the network, and the information analyzer is collected by the policy information collector. Comparing and analyzing the policy information to the harmful information, characterized in that it comprises a policy check unit for classifying a weak policy when the packet having the harmful information passes through the firewall.

본 발명의 다른 실시예에 따르면, 본 발명에 따른 유해정보 데이터베이스를 활용한 방화벽 점검시스템에 있어서 상기 정보수집부는 유해정보DB로부터 유해정보를 수집하는 유해정보수집부를 추가로 포함하며, 상기 유해정보는 유해IP, 유해URL, 취약PORT를 포함하고, 상기 정책점검부는 상기 취약정책의 유해정보가 정책의 출발지, 목적지, 서비스 중 어디에 포함되어 있는지를 판정하는 것을 특징으로 한다.According to another embodiment of the present invention, in the firewall inspection system using the harmful information database according to the present invention, the information collecting unit further includes a harmful information collecting unit for collecting harmful information from the harmful information DB, the harmful information is It includes a harmful IP, harmful URL, vulnerable PORT, the policy check unit is characterized in that it is determined whether the harmful information of the vulnerable policy is included in the policy origin, destination, service.

본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 유해정보 데이터베이스를 활용한 방화벽 점검시스템에 있어서 상기 정보분석부는 상기 정책점검부가 상기 방화벽의 정책이 취약정책이라고 판단한 경우, 상기 정책점검부의 분석결과에 따라 방화벽의 각 정책의 위험도를 산출하는 정책위험도산출부를 가지는 위험도산출부를 추가로 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, in the firewall check system using the harmful information database according to the present invention, when the policy check unit determines that the policy of the firewall is a weak policy, the analysis result of the policy check unit According to the characterized in that it further comprises a risk calculation unit having a policy risk calculation unit for calculating the risk of each policy of the firewall.

본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 유해정보 데이터베이스를 활용한 방화벽 점검시스템에 있어서 상기 정보수집부는 네트워크를 구성하는 각 정보자산의 가치에 대한 정보를 수집하는 자산정보수집부를 추가로 포함하며, 상기 정책위험도산출부는 유해정보의 위험정도, 자산정보의 위험정도, 공격방향의 위험정도를 고려하여 하기의 수학식 1에 따라 정책 위험도를 산출하는 것을 특징으로 한다.According to another embodiment of the present invention, in the firewall check system using the harmful information database according to the present invention, the information collecting unit further collects the asset information collecting unit for collecting information on the value of each information asset constituting the network The policy risk calculation unit may include a policy risk calculation according to Equation 1 below in consideration of the degree of risk of harmful information, the degree of risk of asset information, and the degree of risk in the direction of attack.

[수학식 1][Equation 1]

rRule=(rRule_t)/Max(rRule_t)*100, rRule_t=[{Max(SV)+Max(DV)+Max(rP)}*Max(rAs)]*(rTI or rTO or rTInt)rRule = (rRule_t) / Max (rRule_t) * 100, rRule_t = [{Max (SV) + Max (DV) + Max (rP)} * Max (rAs)] * (rTI or rTO or rTInt)

위 수학식 1에서 rRule는 정책 위험도이며, rRule_t는 정책 위험도 중간값이고, Max(rRule-t)는 정책 위험도 중간값이 가질 수 있는 최대값을 의미하며, Max(SV)는 출발지에 포함되어 있는 유해정보(유해 IP, 유해 URL) 중에서 위험정도가 최대인 값을 의미하고, Max(DV)는 목적지에 포함되어 있는 유해정보(유해 IP, 유해 URL) 중에서 위험정도가 최대인 값을 의미하며, Max(rP)는 서비스에 포함되어 있는 유해정보(취약 PORT) 중에서 위험정도가 최대인 값을 의미하고, rTI는 Inbound의 위험정도, rTO는 Outbound의 위험정도, rTInt는 internal의 위험정도를 나타냄In Equation 1 above, rRule is the policy risk, rRule_t is the policy risk medium value, Max (rRule-t) is the maximum value that the policy risk medium value can have, and Max (SV) is included in the origin. Among the harmful information (harmful IP, harmful URL) means the maximum risk level, Max (DV) means the value of the maximum risk among the harmful information (harmful IP, harmful URL) included in the destination, Max (rP) means the maximum risk level among the harmful information (vulnerable port) included in the service, rTI indicates the inbound risk, rTO indicates the outbound risk, and rTInt indicates the internal risk.

본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 유해정보 데이터베이스를 활용한 방화벽 점검시스템에 있어서 상기 위험도산출부는 복수 개의 정책을 가지는 방화벽 위험도를 수치화하여 산출하는 장비위험도산출부와, 복수 개의 방화벽을 가지는 네트워크 위험도를 수치화하여 산출하는 사이트위험도산출부를 추가로 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, in the firewall inspection system using the harmful information database according to the present invention, the risk calculation unit and the equipment risk calculation unit for calculating a numerical value of the firewall risk having a plurality of policies, and a plurality of firewalls It characterized in that it further comprises a site risk calculation unit that calculates and calculates the network risk having a.

본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 유해정보 데이터베이스를 활용한 방화벽 점검시스템에 있어서 상기 방화벽 위험도(rFW)는 정책위험도(rRule)의 합/정책개수(n)에 의해서 정하여지며, 상기 방화벽 위험도(rSite)는 방화벽 위험도(rRW)의 합/방화벽개수(n)에 의해서 정하여지는 것을 특징으로 한다.According to another embodiment of the present invention, the firewall risk system (rFW) in the firewall inspection system using the harmful information database according to the present invention is determined by the sum / policy number (n) of the policy risk (rRule), The firewall risk (rSite) is characterized by the sum / firewall number (n) of the firewall risk (rRW).

본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 유해정보 데이터베이스를 활용한 방화벽 점검시스템은 상기 정보분석부의 분석결과를 토대로 네트워크의 위험도를 경감시키기 위해 유해정보의 차단을 위한 방화벽의 정책정보를 산정하는 정책산정부를 추가로 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, the firewall inspection system using the harmful information database according to the present invention is based on the analysis results of the information analysis unit to reduce the risk of the network policy information of the firewall for blocking harmful information It is characterized in that it further comprises a policy calculation government to calculate.

본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 유해정보 데이터베이스를 활용한 방화벽 점검시스템에 있어서 상기 정책산정부는 상기 정보분석부에서 분류된 취약정책에 매칭되는 유해정보를 출발지, 목적지, 서비스별로 통합하여 출발지 유해정보 오브젝트, 목적지 유해정보 오브젝트, 서비스 유해정보 오브젝트를 산출하는 매칭정보산정부와; 상기 매칭정보산정부에서 산출된 오브젝트들을 이용하여 취약정책을 해소할 수 있도록 방화벽의 정책을 새롭게 생성하는 매칭정책산정부;를 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, in the firewall inspection system using the harmful information database according to the present invention, the policy calculation unit may determine harmful information corresponding to weaknesses classified by the information analysis unit by source, destination, and service. A matching information calculation unit integrated to calculate a source harmful information object, a destination harmful information object, and a service harmful information object; And a matching policy calculation unit for newly generating a policy of the firewall so as to solve the vulnerability policy by using the objects calculated by the matching information calculation unit.

본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 유해정보 데이터베이스를 활용한 방화벽 점검시스템은 상기 정보수집부의 연동정보수집부로부터 연동정보를 파악하여 네트워크를 보호하는 방화벽의 정책을 외부의 시스템이 수정하는 것을 허용한다고 판단한 경우, 상기 매칭정책산정부에서 생성된 방화벽의 정책정보에 따라 상기 방화벽의 정책을 방화벽에 직접 적용하는 정책수정부를 추가로 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, the firewall check system using the harmful information database according to the present invention is to determine the interlocking information from the interlocking information collecting unit of the information collecting unit of the firewall system to protect the network If it is determined that the modification is allowed, the policy correction function for directly applying the policy of the firewall to the firewall according to the policy information of the firewall generated by the matching policy calculation unit is characterized in that it further comprises.

본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 유해정보 데이터베이스를 활용한 방화벽 점검시스템은 일정한 주기로 하여 상기 유해정보DB에서 유해정보를 수집하여 방화벽의 정책정보를 산정하여 상기 방화벽의 정책을 갱신하는 정책갱신부를 추가로 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, the firewall check system utilizing the harmful information database according to the present invention collects harmful information in the harmful information DB at regular intervals, calculates policy information of the firewall, and updates the policy of the firewall. Characterized in that it further comprises a policy updating unit.

본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 유해정보 데이터베이스를 활용한 방화벽 점검시스템에 있어서 상기 정책갱신부는 상기 정보수집부의 연동정보수집부로부터 연동정보를 파악하여 네트워크를 보호하는 방화벽의 정책을 외부의 시스템이 수정하는 것을 허용하는지 판단하는 연연동판단부와; 상기 연동판단부가 방화벽의 정책을 외부의 시스템이 수정하는 것을 허용한다고 판단한 경우, 상기 정보수집부의 유해정보수집부가 수집한 유해정보를 분석하여 유해정보를 통합하여 유해정보 오브젝트를 생성하는 비매칭정보산정부와; 상기 비매칭정보산정부에서 산출된 오브젝트들을 이용하여 방화벽의 정책을 새롭게 생성하고, 생성된 방화벽의 정책을 방화벽에 직접 적용하는 비매칭정책산정부와; 일정 주기로 상기 유해정보수집부를 통해 유해정보DB로부터 유해정보를 수집하여 전 주기에서 수집한 유해정보와 다른 새롭게 갱신된 유해정보가 있다고 판단한 경우, 상기 비매칭정보산정부를 작동시켜 새로운 유해정보 오브젝트를 생성하고, 상기 비매칭정책산정부를 작동시켜 새로운 방화벽을 정책을 생성하여 방화벽에 적용하도록 하는 갱신판단부;를 포함하는 것을 특징으로 한다.According to another embodiment of the present invention, in the firewall check system using the harmful information database according to the present invention, the policy update unit detects the interlocking information from the interlocking information collecting unit of the information collecting unit and protects the network policy. A linkage determination unit determining whether the external system is allowed to be modified; When the interlocking judgment judges that the external system is allowed to modify the policy of the firewall, an unmatched information mountain that analyzes the harmful information collected by the harmful information collector of the information collector and integrates the harmful information to generate a harmful information object With the government; A non-matching policy calculation unit for newly generating a policy of the firewall using the objects calculated by the mismatching information calculation unit, and directly applying the generated policy of the firewall to the firewall; If the harmful information is collected from the harmful information DB through the harmful information collection unit at a predetermined cycle and it is determined that there is a newly updated harmful information different from the harmful information collected in the previous cycle, the mismatching information calculation unit is operated to generate a new harmful information object. And an update determining unit configured to operate the mismatch policy calculation unit to generate a policy and apply the new firewall to the firewall.

본 발명은 앞서 본 실시예와 하기에 설명할 구성과 결합, 사용관계에 의해 다음과 같은 효과를 얻을 수 있다.The present invention can obtain the following effects by the above-described embodiment, the constitution described below, the combination, and the use relationship.

본 발명은 유해정보 데이터베이스를 이용하여 유해한 IP(URL)로부터의 공격, 유해한 IP(URL)로의 접속, 취약한 포트의 오픈 등의 방화벽 정책의 취약성을 사전점검함으로써 현재의 보안상태를 진단하고 향후의 위험에 대하여 신속하게 대응할 수 있는 효과가 있다.The present invention diagnoses the current security status by checking the vulnerability of the firewall policy such as attack from harmful IP (URL), connection to harmful IP (URL), open of vulnerable port, etc. There is an effect that can respond quickly to.

또한, 본 발명은 방화벽의 취약성 분석 결과를 정량적으로 제공함으로써, 취약성 정보의 효용성과 위험분석의 편의성을 증대시킬 수 있는 효과가 있다.In addition, the present invention quantitatively provides a vulnerability analysis result of the firewall, there is an effect that can increase the utility of vulnerability information and convenience of risk analysis.

또한, 본 발명은 방화벽의 개별 정책의 안전성 분석을 확장하여 방화벽 장비 및 네트워크 환경의 종합적인 위험도를 평가할 수 있는 효과가 있다.In addition, the present invention extends the safety analysis of individual policies of the firewall, and has an effect of evaluating the comprehensive risk of the firewall equipment and the network environment.

또한, 본 발명은 방화벽 취약성 분석 결과에 따라 방화벽의 정책을 자동으로 수정하는 신속한 대응을 통해 네트워크 안정성을 향상시킬 수 있고 향상된 편리성을 가지는 효과가 있다.In addition, the present invention can improve the network stability through a quick response to automatically modify the policy of the firewall according to the firewall vulnerability analysis results, there is an effect having improved convenience.

또한, 본 발명은 자동화된 유해정보 갱신을 통해 방화벽의 정책을 갱신하므로 안정성과 관리자의 편리성을 증대시킬 수 있는 효과가 있다.In addition, the present invention has the effect of increasing the stability and convenience of the administrator because the policy of the firewall is updated through automated harmful information update.

도 1은 본 발명의 일 실시예에 따른 방화벽 점검시스템의 구성을 도시한 블럭도.
도 2 내지 4는 본 발명의 일 실시예에 따른 방화벽 점검시스템의 위험도 산정과정을 설명하기 위한 참고도.
도 5는 본 발명의 일 실시예에 따른 방화벽 점검시스템의 방화벽 점검과정을 도시한 흐름도.1 is a block diagram showing the configuration of a firewall inspection system according to an embodiment of the present invention.
2 to 4 is a reference diagram for explaining a risk calculation process of the firewall inspection system according to an embodiment of the present invention.
5 is a flowchart illustrating a firewall check process of the firewall check system according to an embodiment of the present invention.

이하에서는 본 발명에 따른 유해정보 데이터베이스를 활용한 방화벽 점검시스템의 바람직한 실시예들을 첨부된 도면을 참조하여 상세히 설명한다. 하기에서 본 발명을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하도록 한다. 명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미하며, 또한 명세서에 기재된 "...부" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
Hereinafter, with reference to the accompanying drawings, preferred embodiments of the firewall inspection system using a harmful information database according to the present invention will be described in detail. DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear. Throughout the specification, when an element is referred to as "including" an element, it is understood that the element may include other elements as well as other elements, The term "part" or the like means a unit for processing at least one function or operation, which may be implemented by hardware, software, or a combination of hardware and software.

도 1은 본 발명의 일 실시예에 따른 방화벽 점검시스템의 구성을 도시한 블럭도이며, 도 2 내지 4는 본 발명의 일 실시예에 따른 방화벽 점검시스템의 위험도 산정과정을 설명하기 위한 참고도이고, 도 5는 본 발명의 일 실시예에 따른 방화벽 점검시스템의 방화벽 점검과정을 도시한 흐름도이다.
1 is a block diagram showing the configuration of a firewall inspection system according to an embodiment of the present invention, Figures 2 to 4 are reference diagrams for explaining the risk calculation process of the firewall inspection system according to an embodiment of the present invention. 5 is a flowchart illustrating a firewall check process of a firewall check system according to an exemplary embodiment of the present invention.

본 발명의 일 실시예에 따른 유해정보 데이터베이스를 활용한 방화벽 점검시스템을 도 1 내지 4를 참조하여 설명하면, 상기 방화벽 점검시스템은 유해정보DB로부터 유해정보를 수집하고 네트워크로부터 보안정보를 수집하는 정보수집부(1)와, 상기 정보수집부로(1)부터 수집된 유해정보와 보안정보를 비교분석하여 상기 네트워크 방화벽의 취약성을 점검하고 상기 네트워크의 위험도를 수치화하여 산출하는 정보분석부(2)와, 상기 정보분석부(2)의 분석결과를 토대로 네트워크의 위험도를 경감시키기 위해 유해정보의 차단을 위한 방화벽의 정책정보를 산정하는 정책산정부(3)와, 상기 정보분석부(2)와 정책산정부(3)에서 도출된 결과를 네트워크에 보고하고 방화벽의 정책을 수정하는 보고수정부(4)와, 일정한 주기로 하여 상기 유해정보DB에서 유해정보를 수집하여 방화벽의 정책정보를 산정하여 상기 방화벽의 정책을 갱신하는 정책갱신부(5) 등을 포함할 수 있다.
1 to 4, the firewall inspection system collects harmful information from a harmful information DB and collects security information from a network. An information analysis unit (2) for comparing and analyzing the harmful information and security information collected from the collecting unit (1) and the information collecting unit (1) to check the vulnerability of the network firewall and to quantify the risk of the network; Based on the analysis result of the information analysis unit (2), the policy calculation unit (3) for calculating the policy information of the firewall for blocking harmful information in order to reduce the risk of the network, and the information analysis unit (2) and the policy The report correction section (4) reporting the results derived from the mountain government (3) to the network and modifying the policy of the firewall, and the harmful information from the harmful information DB at regular intervals. The policy update unit 5 may collect and calculate policy information of the firewall to update the policy of the firewall.

상기 정보수집부(1)는 유해정보DB로부터 유해정보를 수집하고 네트워크로부터 보안정보를 수집하는 구성으로, 유해정보수집부(11), 정책정보수집부(12), 자산정보수집부(13), 연동정보수집부(14) 등을 포함한다. 상기 보안정보는 네트워크의 보안 관련된 각종 정보를 포괄하는 개념이며, 예컨대, 방화벽의 정책정보, 정보자산의 가치에 대한 정보, 방화벽의 정책을 외부의 시스템이 수정하는 것이 허용되는지에 정보 등을 포함한다.The information collecting unit 1 is configured to collect harmful information from the harmful information DB and collect security information from the network. The harmful information collecting unit 11, the policy information collecting unit 12, and the asset information collecting unit 13. And the interlocking information collecting unit 14. The security information is a concept encompassing various security-related information of the network, and includes, for example, policy information of a firewall, information on the value of an information asset, information on whether an external system is allowed to modify the firewall policy, and the like. .

상기 유해정보수집부(11)는 유해정보DB로부터 유해정보를 수집하는 구성으로, 이때 상기 유해정보수집부(11)가 수집하는 유해정보에는 유해 IP(또는/및 유해 URL), 취약 PORT 등을 포함한다. 상기 유해정보DB는 최신의 유해정보를 제공하는 시스템으로, 관리자에 의해 제공되는 시스템이거나 외부의 공신력이 있는 기관이 제공하는 시스템일 수 있다. 상기 유해정보DB가 외부의 공신력 있는 기관(예컨대, 인터넷진흥원)에서 제공되는 시스템인 경우, 상기 유해정보수집부(11)는 인터넷을 통해 상기 유해정보DB에 접속하여 유해정보를 수집하게 된다. 도 2의 A는 상기 유해정보수집부(11)가 유해정보DB로부터 수집한 유해정보의 일 예를 나타내는데, 상기 유해정보는 위험한 정도에 따라 0부터 10까지의 값(이하, '유해정보의 위험정도'라 칭하기로 한다)으로 표현된다.The harmful information collecting unit 11 is configured to collect harmful information from the harmful information DB. At this time, the harmful information collected by the harmful information collecting unit 11 includes harmful IP (or / and harmful URL), weak port, etc. Include. The harmful information DB is a system for providing up-to-date harmful information, and may be a system provided by an administrator or a system provided by an external public authority. When the harmful information DB is a system provided by an external public authority (eg, the Internet Agency), the harmful information collecting unit 11 accesses the harmful information DB through the Internet and collects harmful information. 2A shows an example of harmful information collected by the harmful information collecting unit 11 from the harmful information DB, and the harmful information has a value ranging from 0 to 10 depending on the degree of danger (hereinafter referred to as 'hazard of harmful information'). Degree ').

상기 정책정보수집부(12)는 네트워크(네트워크를 관리하는 서버)에 접속하여 특정 기업 또는 기관의 네트워크를 보호하는 방화벽의 정책정보를 수집하는 구성으로, 이때 상기 정책정보수집부(12)가 수집하는 방화벽의 정책정보는 복수 개를 포함하며, 각각의 정책정보는 출발지IP(URL)/목적지IP(URL)/서비스PORT/행위 등을 포함한다. 도 2의 B는 상기 정책정보수집부(12)가 수집한 방화벽 정책정보의 일 예를 나타내는데, 상기 방화벽은 4개의 정책을 가지고 있으며, 순서 2의 정책은 특정IP(192.168.10.0/24)의 네트워크 접속을 허용하며, 상기 네트워크가 모든 IP 및 PORT에 대하여 접속하는 것을 허용한다.The policy information collecting unit 12 is configured to collect policy information of a firewall that protects a network of a specific company or institution by accessing a network (server managing a network), wherein the policy information collecting unit 12 collects the policy information. The policy information of the firewall includes a plurality, and each policy information includes a source IP (URL) / destination IP (URL) / service port / action and the like. 2B shows an example of firewall policy information collected by the policy information collecting unit 12. The firewall has four policies, and the policy of step 2 is a specific IP (192.168.10.0/24). Allow network access and allow the network access to all IPs and PORTs.

상기 자산정보수집부(13)는 네트워크(네트워크를 관리하는 서버)에 접속하여 네트워크를 구성하는 각 정보자산(이는 네트워크를 이루는 요소들을 의미하며 각 IP별로 분류될 수 있다)의 가치에 대한 정보를 수집하는 구성으로, 예컨대, 네트워크가 금융기관에 대한 것일 경우 계좌정보DB의 가치는 부가정보DB에 대한 가치보다 높게 평가될 수 있다. 도 2의 C는 상기 자산정보수집부(13)가 수집한 자산정보의 일 예를 나타내는데, 상기 자산정보는 위험한 정도에 따라 1부터 5까지의 값(이하, '자산정보의 위험정도'라 칭하기로 한다)으로 표현된다.The asset information collecting unit 13 accesses a network (server managing a network) to provide information on the value of each information asset constituting the network (which means elements constituting the network and can be classified by IP). In the configuration of collecting, for example, if the network is for a financial institution, the value of the account information DB may be evaluated higher than the value for the additional information DB. 2C shows an example of asset information collected by the asset information collecting unit 13, wherein the asset information has a value from 1 to 5 according to the degree of risk (hereinafter referred to as 'degree of risk of asset information'). ).

상기 연동정보수집부(14)는 네트워크(네트워크를 관리하는 서버)에 접속하여 네트워크를 보호하는 방화벽의 정책을 외부의 시스템(본 발명의 경우 유해정보 데이터베이스를 활용한 방화벽 점검시스템)이 수정하는 것이 허용되는지에 정보를 수집한다.
The interworking information collection unit 14 is connected to the network (server managing the network) to modify the policy of the firewall to protect the network by the external system (firewall inspection system using a harmful information database in the present invention). Collect information as to whether it is allowed.

상기 정보분석부(2)는 상기 정보수집부(1)로부터 수집된 유해정보와 보안정보를 비교분석하여 상기 네트워크의 방화벽의 취약성을 점검하고 상기 네트워크의 위험도를 수치화하여 산출하는 구성으로, 정책점검부(21), 위험도산출부(22) 등을 포함한다.The information analysis unit 2 is a configuration that checks the vulnerability of the firewall of the network by comparing and analyzing the harmful information and security information collected from the information collection unit 1, and calculates by quantifying the risk of the network, policy check The unit 21, the risk calculation unit 22 and the like.

상기 정책점검부(21)는 상기 정보수집부(1)에서 수집된 유해정보와 정책정보를 분석하여 상기 유해정보를 가지는 패킷이 상기 방화벽을 통과할 수 있는지 판단하는 구성으로, 상기 유해정보(유해 IP, 유해 URL, 취약 PORT)를 가지는 패킷이 상기 방화벽을 통과하는 경우 취약정책으로 분류한다. 상기 정책점검부(21)는 취약정책의 유해정보가 정책의 출발지, 목적지, 서비스 중 어디에 포함되어 있는지를 판정하는데, 위 판정결과에 따라 위험정도가 달라지게 된다. 도 2의 D는 방화벽의 취약정책의 공격 가능방향에 따른 위험한 정도(이하, '공격방향의 위험정도'라 함)를 나타내는데, Inbound는 유해 IP가 정책의 출발지에 포함되어 외부에서 네트워크로의 공격이 가능함을 의미하며, Outbound는 유해 IP가 정책의 목적지에 포함되어 네트워크에서 외부로 공격(정보의 유출)이 가능함을 의미하고, Internal은 취약 포트로의 접속이 허용되어 네트워크 내부 사이에서 공격이 가능함을 의미한다.The policy checking unit 21 is configured to analyze the harmful information and policy information collected by the information collecting unit 1 to determine whether a packet having the harmful information can pass through the firewall. When a packet having an IP, a malicious URL, and a weak port passes through the firewall, it is classified as a weak policy. The policy checking unit 21 determines whether harmful information of the vulnerable policy is included in the policy origin, destination, or service, and the degree of risk is changed according to the above determination result. 2D shows the degree of risk (hereinafter referred to as 'the degree of risk of attack direction') according to the attackable direction of the vulnerability policy of the firewall. Inbound indicates that the harmful IP is included in the policy origin and is attacked from the outside to the network. Outbound means that harmful IP is included in the destination of the policy, allowing attack from outside the network (leakage of information), and Internal means that access to the vulnerable port is allowed to attack from inside the network. Means.

상기 위험도산출부(22)는 상기 정책점검부(21)가 상기 방화벽의 정책이 취약정책이라고 판단한 경우, 상기 정책점검부(21)의 분석결과에 따라 정책별, 장치별 및 사이트별 위험도를 산출하는 구성으로, 정책위험도산출부(221), 장비위험도산출부(222), 사이트위험도산출부(223) 등을 포함한다.When the policy check unit 21 determines that the policy of the firewall is a vulnerable policy, the risk calculation unit 22 calculates a risk for each policy, device, and site according to the analysis result of the policy check unit 21. In one configuration, the policy risk calculation unit 221, the equipment risk calculation unit 222, the site risk calculation unit 223 and the like.

상기 정책위험도산출부(221)는 상기 정책점검부(21)가 상기 방화벽의 정책이 취약정책이라고 판단한 경우 상기 정책점검부(21)의 분석결과에 따라, 유해정보의 위험정도, 자산정보의 위험정도, 공격방향의 위험정도를 고려하여 하기의 수학식 1에 따라 정책 위험도가 산출된다. 상기 정책별 위험도는 0 이상 100 이하의 값으로 표현된다. [수학식 1]When the policy check unit 21 determines that the policy of the firewall is a weak policy, the policy risk calculation unit 221 determines the degree of risk of harmful information and risk of asset information according to the analysis result of the policy check unit 21. Policy risk is calculated according to the following equation 1 in consideration of the degree of attack, the degree of danger of the attack direction. The risk for each policy is expressed as a value between 0 and 100. [Equation 1]

rRule=(rRule_t)/Max(rRule_t)*100, rRule_t=[{Max(SV)+Max(DV)+Max(rP)}*Max(rAs)]*(rTI or rTO or rTInt)rRule = (rRule_t) / Max (rRule_t) * 100, rRule_t = [{Max (SV) + Max (DV) + Max (rP)} * Max (rAs)] * (rTI or rTO or rTInt)

위 수학식 1에서 rRule는 정책 위험도이며, rRule_t는 정책 위험도 중간값이고, Max(rRule_t)는 정책 위험도 중간값이 가질 수 있는 최대값을 의미하며, Max(SV)는 출발지에 포함되어 있는 유해정보(유해 IP, 유해 URL) 중에서 위험정도가 최대인 값을 의미하고, Max(DV)는 목적지에 포함되어 있는 유해정보(유해 IP, 유해 URL) 중에서 위험정도가 최대인 값을 의미하며, Max(rP)는 서비스에 포함되어 있는 유해정보(취약 PORT) 중에서 위험정도가 최대인 값을 의미하고, Max(rAs)는 자산정보 중에서 위험정도가 최대인 값을 의미하며, rTI는 Inbound의 위험정도, rTO는 Outbound의 위험정도, rTInt는 internal의 위험정도를 나타낸다.In Equation 1 above, rRule is the policy risk, rRule_t is the median policy risk, Max (rRule_t) is the maximum value that the median policy risk can have, and Max (SV) is the harmful information included in the source. (Hazardous IP, Harmful URL) means the maximum risk level, Max (DV) means the maximum risk level among the harmful information (harmful IP, harmful URL) included in the destination, Max ( rP) means the maximum risk level among harmful information (vulnerable PORT) included in the service, Max (rAs) means the maximum risk level among asset information, and rTI means the risk level of inbound, rTO is the risk of outbound and rTInt is the risk of internal.

도 2에 도시된 바와 같은 유해정보(A), 정책정보(B), 자산정보(C), 공격가능방향에 따른 위험정도(D)를 가지는 경우, 도 3에 도시된 바와 같은 취약정책에 대한 분석결과가 도출되는데, 도 2 및 3을 참조하여 정책의 위험도를 산정하면 하기의 표 1과 같은 값을 가지게 된다. 상기 Max(rRule_t)는 [{10+10+10}*5]*1.5=225의 값을 가지게 된다.In the case of having harmful information (A), policy information (B), asset information (C), and a degree of risk (D) according to the attackable direction, as shown in FIG. An analysis result is derived, and when the risk of the policy is calculated with reference to FIGS. 2 and 3, the result is as shown in Table 1 below. Max (rRule_t) has a value of [{10 + 10 + 10} * 5] * 1.5 = 225.

OrderOrder rRule_trRule_t rRulerRule 1One [{3+0+0}*5]*1.5=22.5[{3 + 0 + 0} * 5] * 1.5 = 22.5 22.5/225*100=1022.5 / 225 * 100 = 10 22 [{0+9+10}*5]*1=95[{0 + 9 + 10} * 5] * 1 = 95 95/225*100=42.295/225 * 100 = 42.2 33 [{0+7+10}*5]*1=85[{0 + 7 + 10} * 5] * 1 = 85 85/225*100=37.885/225 * 100 = 37.8 44 [{9+0+10}*3]*1.5=85.5[{9 + 0 + 10} * 3] * 1.5 = 85.5 85.5/225*100=3885.5 / 225 * 100 = 38

상기 장비위험도산출부(222)는 복수 개의 정책을 가지는 방화벽 위험도를 수치화하여 산출하는 구성으로, 상기 방화벽 위험도(rFW)는 정책위험도(rRule)의 합/정책개수(n)에 의해서 정하여진다. 도 2, 3 및 표 1을 참조하면, 상기 방화벽 위험도는 (10+42.2+37.8+38)/4=32의 값을 가지게 된다.The equipment risk calculation unit 222 is configured to calculate and calculate a firewall risk having a plurality of policies, and the firewall risk rFW is determined by the sum / policy number n of the policy risk rrule. 2, 3 and Table 1, the firewall risk has a value of (10 + 42.2 + 37.8 + 38) / 4 = 32.

상기 사이트위험도산출부(223)는 복수 개의 방화벽을 가지는 네트워크 위험도를 수치화하여 산출하는 구성으로, 상기 네트워크 위험도(rSite)는 방화벽 위험도(rFW)의 합/방화벽개수(n)에 의해서 정하여진다. 예컨대, 도 4에 도시된 바와 같이 네트워크(100)가 네 개의 방화벽(101~104)을 가지고 각각의 방화벽(101~104)의 방화벽 위험도가 32, 40, 35, 33을 가지는 경우 상기 네트워크 위험도(rSite)는 (32+40+35+33)/4=35의 값을 가지게 된다.
The site risk calculation unit 223 is configured to quantify a network risk having a plurality of firewalls, and the network risk rSite is determined by the sum / firewall number n of the firewall risk rFW. For example, as shown in FIG. 4, when the network 100 has four firewalls 101 to 104 and the firewall risk of each of the firewalls 101 to 104 has 32, 40, 35, and 33, the network risk ( rSite) has a value of (32 + 40 + 35 + 33) / 4 = 35.

상기 정책산정부(3)는 상기 정보분석부(2)의 분석결과를 토대로 네트워크의 위험도를 경감시키기 위해 유해정보의 차단을 위한 방화벽의 정책정보를 산정하는 구성으로, 매칭정보산정부(31), 매칭정책산정부(32) 등을 포함한다.The policy calculation unit (3) is configured to calculate the policy information of the firewall for blocking harmful information in order to reduce the risk of the network based on the analysis result of the information analysis unit (2), matching information calculation unit (31) , Matching policy calculation (32), and the like.

상기 매칭정보산정부(31)는 상기 정보분석부(2)에서 분류된 취약정책에 매칭되는 유해정보를 출발지, 목적지, 서비스별로 통합하여 출발지 유해정보 오브젝트, 목적지 유해정보 오브젝트, 서비스 유해정보 오브젝트를 산출하는 구성으로, 상기 출발지 유해정보 오브젝트에는 출발지에 취약정책이 있는 유해 IP와 유해 URL을 포함하며, 상기 목적지 유해정보 오브젝트에는 목적지에 취약정책이 있는 유해 IP와 유해 URL을 포함하고, 상기 서비스 유해정보 오브젝트에는 서비스에 취약정책이 있는 취약 PORT를 포함한다.The matching information calculation unit 31 integrates harmful information matching the vulnerability policy classified by the information analyzing unit 2 by source, destination, and service, and generates a source harmful information object, a destination harmful information object, and a service harmful information object. In a configuration for calculating, the source harmful information object includes a harmful IP and a harmful URL having a weak policy at the source, the destination harmful information object includes a harmful IP and a harmful URL having a weak policy at a destination, and the service harmful The information object contains a vulnerable port with a vulnerable policy in the service.

상기 매칭정책산정부(32)는 상기 매칭정보산정부(31)에서 산출된 오브젝트들을 이용하여 취약정책을 해소할 수 있도록 방화벽의 정책을 새롭게 생성하는 구성으로, 상기 매칭정책산정부(32)에서 생성된 방화벽 정책은 후술할 보고수정부(4)에 의해 네트워크에 보고되고 직접적으로 방화벽에 적용된다. 표 2는 도 3에 도시된 바와 같은 취약정책에 대한 분석결과를 토대로 오브젝트들을 산정하고 상기 오브젝트를 이용하여 새롭게 생성된 방화벽 정책을 나타낸다.The matching policy calculation unit 32 is a configuration for newly generating a policy of the firewall so that the weakness policy can be solved by using the objects calculated by the matching information calculation unit 31, and in the matching policy calculation unit 32. The generated firewall policy is reported to the network by the reporting correction unit 4 described later and applied directly to the firewall. Table 2 calculates the objects based on the analysis result of the vulnerability policy as shown in FIG. 3 and shows the newly created firewall policy using the object.

OrderOrder 출발지Starting point 목적지destination 서비스service 행위Act 1One 69.197.40.43
69.197.40.44
69.197.40.45
http://risk.pe
http://de.ro69.197.40.43
69.197.40.44
69.197.40.45
http://risk.pe
http://de.ro anyany anyany DenyDeny 22 anyany 69.197.40.43
69.197.40.44
69.197.40.45
http://risk.pe
http://de.ro69.197.40.43
69.197.40.44
69.197.40.45
http://risk.pe
http://de.ro anyany DenyDeny 33 anyany anyany DenyDeny

상기 보고수정부(4)는 상기 정보분석부(2)와 정책산정부(3)에서 도출된 결과를 네트워크에 보고하고 방화벽의 정책을 수정하는 구성으로, 정보제공부(41), 정책수정부(42) 등을 포함한다.The report correction unit 4 is configured to report the results derived from the information analysis unit 2 and the policy calculation unit 3 to the network and to modify the policy of the firewall. The information providing unit 41 and the policy correction unit (42) and the like.

상기 정보제공부(41)는 정보분석부(2) 및 정책산정부(3)에서 도출된 결과를 상기 네트워크에 보고하는 구성으로, 상기 정보제공부(41)에 의해 제공되는 정보에는 취약정책, 정책위험도, 방화벽위험도, 사이트위험도, 취약정책에 따라 수정된 정책정보 등을 포함한다.The information providing unit 41 is configured to report the results derived from the information analyzing unit 2 and the policy calculation unit 3 to the network, and the information provided by the information providing unit 41 includes a weak policy, It includes policy risk, firewall risk, site risk, and policy information modified according to vulnerability policy.

상기 정책수정부(42)는 상기 연동정보수집부(14)로부터 연동정보를 파악하여 네트워크를 보호하는 방화벽의 정책을 외부의 시스템이 수정하는 것을 허용한다고 판단한 경우, 상기 매칭정책산정부(32)에서 생성된 방화벽의 정책정보에 따라 상기 방화벽의 정책을 방화벽에 직접 적용한다. 상기 정책수정부(42)는 방화벽의 정책을 자동으로 수정하므로, 신속한 대응을 통해 네트워크 안정성 및 관리자의 편리성을 향상시킬 수 있는 특징이 있다.
When the policy corrector 42 determines that the external system is allowed to modify the policy of the firewall protecting the network by identifying the interlocking information from the interlocking information collecting unit 14, the matching policy calculating unit 32 Apply the firewall policy directly to the firewall according to the policy information of the firewall generated in. Since the policy correction unit 42 automatically modifies the policy of the firewall, the policy correction unit 42 may improve network stability and administrator convenience through a quick response.

상기 정책갱신부(5)는 일정한 주기로 하여 상기 유해정보DB에서 유해정보를 수집하여 방화벽의 정책정보를 산정하여 상기 방화벽의 정책을 갱신하는 구성으로, 연동판단부(51), 비매칭정보산정부(52), 비매칭정책산정부(53), 갱신판단부(54) 등을 포함한다.The policy update unit 5 collects harmful information from the harmful information DB at regular intervals, calculates policy information of the firewall, and updates the policy of the firewall. The interlocking determination unit 51 and the mismatching information calculation unit (52), non-matching policy calculation (53), renewal decision unit (54), and the like.

상기 연동판단부(51)는 상기 연동정보수집부(14)로부터 연동정보를 파악하여 네트워크를 보호하는 방화벽의 정책을 외부의 시스템이 수정하는 것을 허용하는지 판단한다.The interlocking determination unit 51 determines interlocking information from the interlocking information collecting unit 14 and determines whether an external system allows modification of a policy of a firewall protecting the network.

상기 비매칭정보산정부(52)는 상기 연동판단부(51)가 방화벽의 정책을 외부의 시스템이 수정하는 것을 허용한다고 판단한 경우, 상기 유해정보수집부(11)가 수집한 유해정보를 분석하여 유해정보를 통합하여 유해정보 오브젝트를 생성하는 구성으로, 상기 비매칭정보산정부(52)에 의해 유해 IP 오브젝트, 유해 URL 오브젝트, 취약 PORT 오브젝트가 생성되게 된다.The mismatching information calculation unit 52 analyzes the harmful information collected by the harmful information collecting unit 11 when the interlocking determination unit 51 determines that the external system can modify the policy of the firewall. The unmatched information calculation unit 52 generates a harmful IP object, a harmful URL object, and a vulnerable PORT object by integrating harmful information.

상기 비매칭정책산정부(53)는 상기 비매칭정보산정부(52)에서 산출된 오브젝트들을 이용하여 방화벽의 정책을 새롭게 생성하고, 생성된 방화벽의 정책을 방화벽에 직접 적용한다.The mismatch policy calculation unit 53 newly creates a policy of the firewall by using the objects calculated by the mismatching information calculation unit 52, and directly applies the generated policy of the firewall to the firewall.

상기 갱신판단부(54)는 일정 주기로 상기 유해정보수집부(11)를 통해 유해정보DB로부터 유해정보를 수집하여 전 주기에서 수집한 유해정보와 다른, 즉 새롭게 갱신된 유해정보가 있다고 판단한 경우, 상기 비매칭정보산정부(52)를 작동시켜 새로운 유해정보 오브젝트를 생성하고, 상기 비매칭정책산정부(53)를 작동시켜 새로운 방화벽을 정책을 생성하여 방화벽에 적용하도록 한다. 상기 정책갱신부(5)는 자동화된 유해정보 갱신을 통해 방화벽의 정책을 갱신하므로 안정성과 관리자의 편리성을 증대시킬 수 있는 특징이 있다.
When the update determination unit 54 collects harmful information from the harmful information DB through the harmful information collecting unit 11 at regular intervals and determines that there is a different updated information, that is, newly updated harmful information, The mismatch information calculation unit 52 is operated to generate a new harmful information object, and the mismatch policy calculation unit 53 is operated to generate a new firewall and apply the policy to the firewall. The policy updater 5 updates the policy of the firewall through automated harmful information update, so that the policy updater 5 can increase stability and convenience of the administrator.

상기와 같은 구성을 가지는 유해정보 데이터베이스를 활용한 방화벽 점검시스템을 이용하여 방화벽을 점검하는 방법을 도 1 내지 5를 참조하여 살펴보면, 상기 방화벽 점검방법은 정보수집단계(S1), 정보분석단계(S2), 정책산정단계(S3), 보고수정단계(S4), 정책갱신단계(S5) 등을 포함한다.
Looking at the method of inspecting the firewall using the firewall inspection system using the harmful information database having the configuration as described above with reference to Figures 1 to 5, the firewall inspection method is the information collection step (S1), information analysis step (S2) ), Policy calculation step (S3), report correction step (S4), policy update step (S5) and the like.

상기 정보수집단계(S1)는 상기 정보수집부(1)가 유해정보DB로부터 유해정보를 수집하고 네트워크로부터 보안정보를 수집하는 단계로, 상기 정보수집단계(S1)에서 상기 유해정보수집부(11)는 유해정보DB로부터 유해정보를 수집하고, 상기 정책정보수집부(12)는 네트워크에 접속하여 특정 기업 또는 기관의 네트워크를 보호하는 방화벽의 정책정보를 수집하며, 상기 자산정보수집부(13)는 네트워크에 접속하여 네트워크를 구성하는 각 정보자산의 가치에 대한 정보를 수집하고, 상기 연동정보수집부(14)는 네트워크에 접속하여 네트워크를 보호하는 방화벽의 정책을 외부의 시스템이 수정하는 것이 허용되는지에 정보를 수집한다.
The information collecting step S1 is a step in which the information collecting unit 1 collects harmful information from a harmful information DB and collects security information from a network. The harmful information collecting unit 11 in the information collecting step S1. ) Collects harmful information from the harmful information DB, the policy information collection unit 12 collects policy information of a firewall that protects the network of a specific company or organization by accessing a network, and the asset information collection unit 13 Collects information on the value of each information asset constituting the network by accessing the network, and the interlocking information collection unit 14 allows the external system to modify the policy of the firewall that protects the network by accessing the network. Collect information on

상기 정보분석단계(S2)는 상기 정보분석부(2)가 상기 정보수집단계(S1)에서 수집된 유해정보와 보안정보를 비교분석하여 상기 네트워크의 방화벽의 취약성을 점검하고 상기 네트워크의 위험도를 수치화하여 산출하는 단계로, 정책점검단계(S21), 위험도산출단계(S22) 등을 포함한다.In the information analysis step (S2), the information analysis unit 2 compares the harmful information and security information collected in the information collection step (S1) to check the vulnerability of the firewall of the network and quantify the risk of the network. Step of calculating, including the policy check step (S21), risk calculation step (S22) and the like.

상기 정책점검단계(S21)는 상기 정책점검부(21)가 상기 정보수집단계(S1)에서 수집된 유해정보와 정책정보를 분석하여 상기 유해정보를 가지는 패킷이 상기 방화벽을 통과할 수 있는지 판단하는 단계로, 상기 유해정보(유해 IP, 유해 URL, 취약 PORT)를 가지는 패킷이 상기 방화벽을 통과하는 경우 취약정책으로 분류하며, 취약정책의 유해정보가 정책의 출발지, 목적지, 서비스 중 어디에 포함되어 있는지를 판정한다.In the policy checking step S21, the policy checking unit 21 analyzes harmful information and policy information collected in the information collecting step S1 to determine whether a packet having the harmful information can pass through the firewall. In the step, when the packet having the harmful information (harmful IP, harmful URL, vulnerable port) passes through the firewall, it is classified as a vulnerable policy, and whether harmful information of the vulnerable policy is included in the origin, destination, or service of the policy. Determine.

상기 위험도산출단계(S22)는 상기 정책점검단계(S21)에서 상기 방화벽의 정책이 취약정책이라고 판단된 경우, 상기 위험도산출부(22)가 상기 정책점검단계(S21)의 분석결과에 따라 정책별, 장치별 및 사이트별 위험도를 산출하는 단계로, 정책위험도산출단계(S221), 장비위험도산출단계(S222), 사이트위험도산출단계(S223) 등을 포함한다.In the risk calculation step (S22), if it is determined that the policy of the firewall is a weak policy in the policy check step (S21), the risk calculation unit 22 according to the policy according to the analysis result of the policy check step (S21) To calculate the risk per device and site, the policy risk calculation step (S221), the equipment risk calculation step (S222), the site risk calculation step (S223) and the like.

상기 정책위험도산출단계(S221)는 상기 정책점검단계(S21)에서 상기 방화벽의 정책이 취약정책이라고 판단된 경우, 상기 정책위험도산출부(221)가 상기 정책점검단계(S21)의 분석결과에 따라, 유해정보의 위험정도, 자산정보의 위험정도, 공격방향의 위험정도를 고려하여 상기의 수학식 1에 따라 정책 위험도를 산출한다.In the policy risk calculation step (S221), when it is determined that the policy of the firewall is a weak policy in the policy check step (S21), the policy risk calculation unit 221 according to the analysis result of the policy check step (S21) Policy risk is calculated according to Equation 1 above, taking into account the degree of risk of harmful information, the degree of risk of asset information, and the degree of risk of attack direction.

상기 장비위험도산출단계(S222)는 상기 장비위험도산출부(222)가 복수 개의 정책을 가지는 방화벽 위험도를 수치화하여 산출하는 단계로, 상기 방화벽 위험도(rFW)는 정책위험도(rRule)의 합/정책개수(n)에 의해서 정하여진다.The equipment risk calculation step (S222) is a step in which the equipment risk calculation unit 222 numerically calculates a firewall risk having a plurality of policies, and the firewall risk (rFW) is the sum / policy number of policy risks (rRule). It is determined by (n).

상기 사이트위험도산출단계(S223)는 상기 사이트위험도산출부(223)가 복수 개의 방화벽을 가지는 네트워크 위험도를 수치화하여 산출하는 단계로, 상기 방화벽 위험도(rSite)는 방화벽 위험도(rRW)의 합/방화벽개수(n)에 의해서 정하여진다.
The site risk calculation step (S223) is a step in which the site risk calculation unit 223 quantifies the network risk having a plurality of firewalls, and the firewall risk (rSite) is the sum / firewall count of the firewall risk (rRW). It is determined by (n).

상기 정책산정단계(S3)는 상기 정책산정부(3)가 상기 정보분석단계(S2)의 분석결과를 토대로 네트워크의 위험도를 경감시키기 위해 유해정보의 차단을 위한 방화벽의 정책정보를 산정하는 단계로, 매칭정보산정단계(S31), 매칭정책산정단계(S32) 등을 포함한다.The policy calculating step (S3) is a step of calculating the policy information of the firewall for blocking harmful information in order to reduce the risk of the network based on the analysis result of the information analysis step (S2) by the policy calculation unit (3). , Matching information calculation step (S31), matching policy calculation step (S32), and the like.

상기 매칭정보산정단계(S31)은 상기 매칭정보산정부(31)가 상기 정보분석단계(S2)에서 분류된 취약정책에 매칭되는 유해정보를 출발지, 목적지, 서비스별로 통합하여 출발지 유해정보 오브젝트, 목적지 유해정보 오브젝트, 서비스 유해정보 오브젝트를 산출하는 단계이다.In the matching information calculating step S31, the matching information calculating unit 31 integrates harmful information matching the weak policy classified in the information analyzing step S2 for each source, destination, and service, and thus, a source harmful information object and a destination. Computing the harmful information object and the service harmful information object.

상기 매칭정책산정단계(S32)는 상기 매칭정책산정부(32)가 상기 매칭정보산정단계(S31)에서 산출된 오브젝트들을 이용하여 취약정책을 해소할 수 있도록 방화벽의 정책을 새롭게 생성하는 단계이다.
The matching policy calculation step (S32) is a step of newly creating a policy of the firewall so that the matching policy calculation unit 32 can solve the vulnerability policy by using the objects calculated in the matching information calculation step (S31).

상기 보고수정단계(S4)는 상기 보고수정부(4)가 상기 정보분석단계(S2)와 정책산정단계(S3)에서 도출된 결과를 네트워크에 보고하고 방화벽의 정책을 수정하는 단계로, 정보제공단계(41), 정책수정단계(42) 등을 포함한다.The report correction step (S4) is a step in which the report correction unit (4) reports the results derived from the information analysis step (S2) and the policy calculation step (S3) to the network and corrects the policy of the firewall. Step 41, policy modification step 42, and the like.

상기 정보제공단계(S41)은 상기 정보제공부(41)가 정보분석단계(S2) 및 정책산정단계(S3)에서 도출된 결과를 상기 네트워크에 보고하는 단계로, 상기 정보제공단계(S41)에서 제공되는 정보는 취약정책, 정책위험도, 방화벽위험도, 사이트위험도, 취약정책에 따라 수정된 정책정보 등을 포함한다.The information providing step (S41) is a step in which the information providing unit 41 reports the result derived in the information analyzing step (S2) and the policy calculation step (S3) to the network, in the information providing step (S41). Information provided includes vulnerable policies, policy risks, firewall risks, site risks, and policy information modified according to vulnerable policies.

상기 연동판단단계(S42)는 상기 정보제공단계(41) 후에 상기 정책수정부(42)가 상기 정보수집단계(S1)에서 수집한 연동정보를 파악하여 네트워크를 보호하는 방화벽의 정책을 외부의 시스템이 수정하는 것을 허용하는지 판단하는 단계이다.The interlocking determination step (S42) is a policy of the firewall that protects the network by grasping the interlocking information collected by the policy correction unit 42 in the information collection step (S1) after the information providing step (41). This is a step to determine if the modification is allowed.

상기 정책수정단계(S43)는 상기 연동판단단계(42)에서 네트워크를 보호하는 방화벽의 정책을 외부의 시스템이 수정하는 것을 허용한다고 판단된 경우, 상기 정책수정부(42)가 상기 매칭정책산정단계(S32)에서 생성된 방화벽의 정책정보에 따라 상기 방화벽의 정책을 방화벽에 직접 적용하는 단계이다.
In the policy correction step S43, when it is determined in the interlocking decision step 42 that the external system is allowed to modify the policy of the firewall protecting the network, the policy correction step 42 calculates the matching policy. In step S32, the firewall policy is directly applied to the firewall according to the policy information of the firewall.

상기 정책갱신단계(S5)는 상기 정책갱신부(5)가 일정한 주기로 하여 상기 유해정보DB에서 유해정보를 수집하여 방화벽의 정책정보를 산정하여 상기 방화벽의 정책을 갱신하는 단계로, 연동판단단계(S51), 비매칭정보산정단계(S52), 비매칭정책산정단계(S53), 갱신판단단계(S54) 등을 포함한다.The policy update step (S5) is a step in which the policy update unit 5 collects harmful information from the harmful information DB at regular intervals, calculates policy information of the firewall, and updates the policy of the firewall. S51), mismatching information calculation step (S52), mismatching policy calculation step (S53), update determination step (S54), and the like.

상기 연동판단단계(S51)는 상기 연동판단부(51)가 상기 정보수집단계(S1)에서 수집한 연동정보를 파악하여 네트워크를 보호하는 방화벽의 정책을 외부의 시스템이 수정하는 것을 허용하는지 판단하는 단계이다.The interlocking determination step (S51) is to determine whether the interlocking determination unit 51 allows the external system to modify the policy of the firewall to protect the network by grasping the interlocking information collected in the information collection step (S1). Step.

상기 비매칭정보산정단계(S52)는 상기 연동판단단계(S51)에서 방화벽의 정책을 외부의 시스템이 수정하는 것을 허용한다고 판단된 경우, 상기 비매칭정보산정부(52)가 상기 유해정보수집부(11)가 수집한 유해정보를 분석하여 유해정보를 통합하여 유해정보 오브젝트를 생성하는 단계로, 상기 비매칭정보산정부(52)에 의해 유해 IP 오브젝트, 유해 URL 오브젝트, 취약 PORT 오브젝트가 생성되게 된다.The mismatching information calculation step (S52), when it is determined in the interlocking determination step (S51) to allow the external system to modify the policy of the firewall, the mismatching information calculation unit 52 is the harmful information collection unit (11) analyzing the harmful information collected by integrating the harmful information to create a harmful information object, the mismatch information calculation unit 52 to generate a harmful IP object, harmful URL object, vulnerable PORT object do.

상기 비매칭정책산정단계(S53)은 상기 비매칭정책산정부(53)가 상기 비매칭정보산정단계(S52)에서 산출된 오브젝트들을 이용하여 방화벽의 정책을 새롭게 생성하고, 생성된 방화벽의 정책을 방화벽에 직접 적용하는 단계이다.In the mismatching policy calculation step (S53), the mismatching policy calculation unit 53 newly creates a policy of the firewall by using the objects calculated in the mismatching information calculation step S52, and generates the policy of the generated firewall. This step applies directly to the firewall.

상기 갱신판단단계(S54)는 상기 비매칭정보산정단계(S52) 후에 상기 갱신판단부(54)가 일정 주기로 상기 유해정보수집부(11)를 통해 유해정보DB로부터 유해정보를 수집하여 전 주기에서 수집한 유해정보와 다른, 즉 새롭게 갱신된 유해정보가 있다고 판단한 경우, 상기 비매칭정보산정부(52)를 작동시켜 새로운 유해정보 오브젝트를 생성하고, 상기 비매칭정책산정부(53)를 작동시켜 새로운 방화벽을 정책을 생성하여 방화벽에 적용하도록 하는 단계이다.
In the update determination step (S54), after the mismatching information calculation step (S52), the update determination unit 54 collects harmful information from the harmful information DB through the harmful information collecting unit 11 at regular intervals, When it is determined that there is a new updated harmful information that is different from the collected harmful information, the mismatching information calculation unit 52 is operated to generate a new harmful information object, and the mismatching policy calculation unit 53 is operated. This step is to create a new firewall and apply it to the firewall.

이상에서, 출원인은 본 발명의 바람직한 실시예들을 설명하였지만, 이와 같은 실시예들은 본 발명의 기술적 사상을 구현하는 일 실시예일 뿐이며 본 발명의 기술적 사상을 구현하는 한 어떠한 변경예 또는 수정예도 본 발명의 범위에 속하는 것으로 해석되어야 한다.While the present invention has been described in connection with what is presently considered to be practical exemplary embodiments, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, Should be interpreted as belonging to the scope.

1: 정보수집수 2: 정보분석부 3: 정책산정부
4: 보고수정부 5: 정책갱신부 11: 유해정보수집부
12: 정책정보수집부 13: 자산정보수집부 14: 연동정보수집부
21: 정책점검부 22: 위험도산출부 31: 매칭정보산정부
32: 매칭정책산정부 41: 정보제공부 42: 정책수정부
51: 연동판단부 52: 비매칭정보산정부 53: 비매칭정책산정부
54: 갱신판단부 221: 정책위험도산출부 222: 정비위험도산출부
223: 사이트위험도산출부1: Information collection 2: Information analysis department 3: Policy calculation
4: Reporting Ministry 5: Policy and Update Department 11: Harmful Information Collection Department
12: Policy Information Collector 13: Asset Information Collector 14: Linked Information Collector
21: Policy review department 22: Risk calculation section 31: Matching information calculation government
32: matching policy calculation 41: information provision 42: policy correction
51: Interdisciplinary Judgment 52: Mismatched Information Government 53: Mismatched Policy Government
54: Renewal Judgment 221: Policy Risk Calculation Unit 222: Maintenance Risk Calculation Unit
223: site risk calculation

Claims (8)

네트워크로부터 보안정보를 수집하는 정보수집부와; 상기 정보수집부가 수집한 보안정보를 유해정보와 비교분석하여 상기 네트워크의 방화벽의 취약성을 점검하는 정보분석부;를 포함하며,
상기 정보수집부는 상기 네트워크를 보호하는 방화벽의 정책정보를 수집하는 정책정보수집부를 포함하고,
상기 정보분석부는 상기 정책정보수집부에서 수집된 정책정보를 유해정보와 비교분석하여, 상기 유해정보를 가지는 패킷이 상기 방화벽을 통과하는 경우 취약정책으로 분류하는 정책점검부를 포함하는 것을 특징으로 하는 유해정보 데이터베이스를 활용한 방화벽 점검시스템.An information collecting unit for collecting security information from the network; And an information analysis unit for comparing the security information collected by the information collection unit with harmful information to check the vulnerability of the firewall of the network.
The information collecting unit includes a policy information collecting unit for collecting policy information of a firewall protecting the network,
The information analysis unit includes a policy check unit that compares the policy information collected by the policy information collection unit with harmful information, and classifies the packet as a weak policy when the packet having the harmful information passes through the firewall. Firewall inspection system using information database. 제1항에 있어서,
상기 정보수집부는 유해정보DB로부터 유해정보를 수집하는 유해정보수집부를 추가로 포함하며, 상기 유해정보는 유해IP, 유해URL, 취약PORT를 포함하고,
상기 정책점검부는 상기 취약정책의 유해정보가 정책의 출발지, 목적지, 서비스 중 어디에 포함되어 있는지를 판정하며,
상기 정보분석부는 상기 정책점검부가 상기 방화벽의 정책이 취약정책이라고 판단한 경우, 상기 정책점검부의 분석결과에 따라 방화벽의 각 정책의 위험도를 산출하는 정책위험도산출부를 가지는 위험도산출부를 추가로 포함하는 것을 특징으로 하는 유해정보 데이터베이스를 활용한 방화벽 점검시스템.The method of claim 1,
The information collecting unit further includes a harmful information collecting unit for collecting harmful information from the harmful information DB, the harmful information includes harmful IP, harmful URL, vulnerable port,
The policy inspecting unit determines whether harmful information of the vulnerability policy is included in the policy origin, destination, or service.
The information analyzing unit may further include a risk calculating unit having a policy risk calculating unit for calculating a risk of each policy of the firewall according to the analysis result of the policy checking unit when the policy checking unit determines that the policy of the firewall is a weak policy. Firewall inspection system using harmful information database. 제2항에 있어서,
상기 정보수집부는 네트워크를 구성하는 각 정보자산의 가치에 대한 정보를 수집하는 자산정보수집부를 추가로 포함하며,
상기 정책위험도산출부는 유해정보의 위험정도, 자산정보의 위험정도, 공격방향의 위험정도를 고려하여 하기의 수학식 1에 따라 정책 위험도를 산출하는 것을 특징으로 하는 유해정보 데이터베이스를 활용한 방화벽 점검시스템.
[수학식 1]
rRule=(rRule_t)/Max(rRule_t)*100, rRule_t=[{Max(SV)+Max(DV)+Max(rP)}*Max(rAs)]*(rTI or rTO or rTInt)
위 수학식 1에서 rRule는 정책 위험도이며, rRule_t는 정책 위험도 중간값이고, Max(rRule_t)는 정책 위험도 중간값이 가질 수 있는 최대값을 의미하며, Max(SV)는 출발지에 포함되어 있는 유해정보(유해 IP, 유해 URL) 중에서 위험정도가 최대인 값을 의미하고, Max(DV)는 목적지에 포함되어 있는 유해정보(유해 IP, 유해 URL) 중에서 위험정도가 최대인 값을 의미하며, Max(rP)는 서비스에 포함되어 있는 유해정보(취약 PORT) 중에서 위험정도가 최대인 값을 의미하고, Max(rAs)는 자산정보 중에서 위험정도가 최대인 값을 의미하며, rTI는 Inbound의 위험정도, rTO는 Outbound의 위험정도, rTInt는 internal의 위험정도를 나타냄3. The method of claim 2,
The information collecting unit further includes an asset information collecting unit collecting information on the value of each information asset constituting the network,
The policy risk calculator calculates a policy risk according to Equation 1 below by considering the risk of harmful information, the risk of asset information, and the risk of attack direction. .
[Equation 1]
rRule = (rRule_t) / Max (rRule_t) * 100, rRule_t = [{Max (SV) + Max (DV) + Max (rP)} * Max (rAs)] * (rTI or rTO or rTInt)
In Equation 1 above, rRule is the policy risk, rRule_t is the median policy risk, Max (rRule_t) is the maximum value that the median policy risk can have, and Max (SV) is the harmful information included in the source. (Hazardous IP, Harmful URL) means the maximum risk level, Max (DV) means the maximum risk level among the harmful information (harmful IP, harmful URL) included in the destination, Max ( rP) means the maximum risk level among harmful information (vulnerable PORT) included in the service, Max (rAs) means the maximum risk level among asset information, and rTI means the risk level of inbound, rTO is the risk of outbound and rTInt is the risk of internal 제3항에 있어서,
상기 위험도산출부는 복수 개의 정책을 가지는 방화벽 위험도를 수치화하여 산출하는 장비위험도산출부와, 복수 개의 방화벽을 가지는 네트워크 위험도를 수치화하여 산출하는 사이트위험도산출부를 추가로 포함하며,
상기 방화벽 위험도(rFW)는 정책위험도(rRule)의 합/정책개수(n)에 의해서 정하여지며, 상기 네트워크 위험도(rSite)는 상기 방화벽 위험도(rFW)의 합/방화벽개수(n)에 의해서 정하여지는 것을 특징으로 하는 유해정보 데이터베이스를 활용한 방화벽 점검시스템.The method of claim 3,
The risk calculator further includes an equipment risk calculator that quantifies and calculates a firewall risk having a plurality of policies, and a site risk calculator that quantifies and calculates a network risk having a plurality of firewalls.
The firewall risk (rFW) is determined by the sum / policy number (n) of the policy risk (rRule), and the network risk (rSite) is determined by the sum / firewall number (n) of the firewall risk (rFW). Firewall inspection system using the harmful information database, characterized in that. 제1항에 있어서,
상기 방화벽 점검시스템은 상기 정보분석부의 분석결과를 토대로 네트워크의 위험도를 경감시키기 위해 유해정보의 차단을 위한 방화벽의 정책정보를 산정하는 정책산정부;를 추가로 포함하며,
상기 정책산정부는 상기 정보분석부에서 분류된 취약정책에 매칭되는 유해정보를 출발지, 목적지, 서비스별로 통합하여 출발지 유해정보 오브젝트, 목적지 유해정보 오브젝트, 서비스 유해정보 오브젝트를 산출하는 매칭정보산정부와; 상기 매칭정보산정부에서 산출된 오브젝트들을 이용하여 취약정책을 해소할 수 있도록 방화벽의 정책을 새롭게 생성하는 매칭정책산정부;를 포함하는 것을 특징으로 하는 유해정보 데이터베이스를 활용한 방화벽 점검시스템.The method of claim 1,
The firewall inspection system further includes a policy calculation unit that calculates policy information of a firewall for blocking harmful information based on an analysis result of the information analysis unit to reduce the risk of the network.
The policy calculation unit may include: a matching information calculation unit configured to calculate harmful source information objects, harmful destination information objects, and harmful service information objects by integrating harmful information matching the weaknesses classified by the information analysis unit for each source, destination, and service; And a matching policy calculation unit for newly creating a policy of the firewall so that the weakness policy can be solved by using the objects calculated by the matching information calculation unit. 제5항에 있어서, 상기 방화벽 점검시스템은
상기 정보수집부의 연동정보수집부로부터 연동정보를 파악하여 네트워크를 보호하는 방화벽의 정책을 외부의 시스템이 수정하는 것을 허용한다고 판단한 경우, 상기 매칭정책산정부에서 생성된 방화벽의 정책정보에 따라 상기 방화벽의 정책을 방화벽에 직접 적용하는 정책수정부를 추가로 포함하는 것을 특징으로 하는 유해정보 데이터베이스를 활용한 방화벽 점검시스템.The system of claim 5, wherein the firewall check system
If it is determined that the external system can modify the policy of the firewall that protects the network by identifying the interlocking information from the interlocking information collecting unit of the information collecting unit, the firewall according to the policy information of the firewall generated by the matching policy calculation unit. Firewall inspection system using a harmful information database, characterized in that it further comprises a policy correction to apply the policy directly to the firewall. 제1항에 있어서, 상기 방화벽 점검시스템은
일정한 주기로 하여 유해정보DB에서 유해정보를 수집하여 방화벽의 정책정보를 산정하여 상기 방화벽의 정책을 갱신하는 정책갱신부를 추가로 포함하는 것을 특징으로 하는 유해정보 데이터베이스를 활용한 방화벽 점검시스템.The system of claim 1, wherein the firewall inspection system
The firewall inspection system using a harmful information database, characterized in that it further includes a policy update unit for collecting the harmful information in the harmful information DB at regular intervals to calculate the policy information of the firewall to update the policy of the firewall. 제7항에 있어서, 상기 정책갱신부는
상기 정보수집부의 연동정보수집부로부터 연동정보를 파악하여 네트워크를 보호하는 방화벽의 정책을 외부의 시스템이 수정하는 것을 허용하는지 판단하는 연연동판단부와;
상기 연동판단부가 방화벽의 정책을 외부의 시스템이 수정하는 것을 허용한다고 판단한 경우, 상기 정보수집부의 유해정보수집부가 수집한 유해정보를 분석하여 유해정보를 통합하여 유해정보 오브젝트를 생성하는 비매칭정보산정부와;
상기 비매칭정보산정부에서 산출된 오브젝트들을 이용하여 방화벽의 정책을 새롭게 생성하고, 생성된 방화벽의 정책을 방화벽에 직접 적용하는 비매칭정책산정부와;
일정 주기로 상기 유해정보수집부를 통해 유해정보DB로부터 유해정보를 수집하여 전 주기에서 수집한 유해정보와 다른 새롭게 갱신된 유해정보가 있다고 판단한 경우, 상기 비매칭정보산정부를 작동시켜 새로운 유해정보 오브젝트를 생성하고, 상기 비매칭정책산정부를 작동시켜 새로운 방화벽을 정책을 생성하여 방화벽에 적용하도록 하는 갱신판단부;를 포함하는 것을 특징으로 하는 유해정보 데이터베이스를 활용한 방화벽 점검시스템.The method of claim 7, wherein the policy update unit
An interlocking determination unit that determines interlocking information from the interlocking information collecting unit of the information collecting unit and determines whether an external system is allowed to modify a policy of a firewall protecting the network;
When the interlocking judgment judges that the external system is allowed to modify the policy of the firewall, an unmatched information mountain that analyzes the harmful information collected by the harmful information collector of the information collector and integrates the harmful information to generate a harmful information object With the government;
A non-matching policy calculation unit for newly generating a policy of the firewall using the objects calculated by the mismatching information calculation unit, and directly applying the generated policy of the firewall to the firewall;
If the harmful information is collected from the harmful information DB through the harmful information collection unit at a predetermined cycle and it is determined that there is a newly updated harmful information different from the harmful information collected in the previous cycle, the mismatching information calculation unit is operated to generate a new harmful information object. And an update determining unit configured to operate the mismatching policy calculation unit to generate a new firewall policy and apply the new firewall to the firewall.
KR1020130053139A 2013-05-10 2013-05-10 System for checking firewall using harmful information db KR101341451B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130053139A KR101341451B1 (en) 2013-05-10 2013-05-10 System for checking firewall using harmful information db

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130053139A KR101341451B1 (en) 2013-05-10 2013-05-10 System for checking firewall using harmful information db

Publications (1)

Publication Number Publication Date
KR101341451B1 true KR101341451B1 (en) 2013-12-24

Family

ID=49988286

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130053139A KR101341451B1 (en) 2013-05-10 2013-05-10 System for checking firewall using harmful information db

Country Status (1)

Country Link
KR (1) KR101341451B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101059698B1 (en) 2010-07-13 2011-08-29 (주)오디피아 Portable memory unit having a module of api hooking and method for driving personal firewall using thereof
KR101219662B1 (en) 2012-02-13 2013-01-25 주식회사 엘림넷 Security system of cloud service and method thereof

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101059698B1 (en) 2010-07-13 2011-08-29 (주)오디피아 Portable memory unit having a module of api hooking and method for driving personal firewall using thereof
KR101219662B1 (en) 2012-02-13 2013-01-25 주식회사 엘림넷 Security system of cloud service and method thereof

Similar Documents

Publication Publication Date Title
JP5248612B2 (en) Intrusion detection method and system
CN114978584A (en) Network security protection safety method and system based on unit cell
CN111800395A (en) Threat information defense method and system
CN111245793A (en) Method and device for analyzing abnormity of network data
US20100192226A1 (en) Intrusion Event Correlation System
CN106209826A (en) A kind of safety case investigation method of Network Security Device monitoring
Enoch et al. A systematic evaluation of cybersecurity metrics for dynamic networks
KR101310487B1 (en) System for managing risk of customer on-demand and method thereof
CN117081868B (en) Network security operation method based on security policy
KR101788410B1 (en) An analysis system of security breach with analyzing a security event log and an analysis method thereof
US20150358292A1 (en) Network security management
KR20190083458A (en) Network intrusion detection system and method thereof
Fovino et al. Through the description of attacks: A multidimensional view
Naik et al. Application of dynamic fuzzy rule interpolation for intrusion detection: D-FRI-Snort
KR102592868B1 (en) Methods and electronic devices for analyzing cybersecurity threats to organizations
Maglaras et al. Cyber security: From regulations and policies to practice
CN118018300A (en) Terminal network access control system with network asset mapping function
KR20140081071A (en) Method and system for real-time security performance and measurement management
Suryantoro et al. The Analysis of Attacks Against Port 80 Webserver with SIEM Wazuh Using Detection and OSCAR Methods
KR101341451B1 (en) System for checking firewall using harmful information db
Brignoli et al. Combining exposure indicators and predictive analytics for threats detection in real industrial IoT sensor networks
Gheorghică et al. A new framework for enhanced measurable cybersecurity in computer networks
KR102616603B1 (en) Supporting Method of Network Security and device using the same
KR100798755B1 (en) Threats management system and method thereof
Yang et al. True Attacks, Attack Attempts, or Benign Triggers? An Empirical Measurement of Network Alerts in a Security Operations Center

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20161202

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20171206

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20181211

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190515

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20200122

Year of fee payment: 8