KR101343693B1 - 네트워크 보안시스템 및 그 처리방법 - Google Patents

네트워크 보안시스템 및 그 처리방법 Download PDF

Info

Publication number
KR101343693B1
KR101343693B1 KR1020070011714A KR20070011714A KR101343693B1 KR 101343693 B1 KR101343693 B1 KR 101343693B1 KR 1020070011714 A KR1020070011714 A KR 1020070011714A KR 20070011714 A KR20070011714 A KR 20070011714A KR 101343693 B1 KR101343693 B1 KR 101343693B1
Authority
KR
South Korea
Prior art keywords
security policy
update
setting command
security
statistical data
Prior art date
Application number
KR1020070011714A
Other languages
English (en)
Other versions
KR20080073112A (ko
Inventor
홍오영
Original Assignee
주식회사 엘지씨엔에스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엘지씨엔에스 filed Critical 주식회사 엘지씨엔에스
Priority to KR1020070011714A priority Critical patent/KR101343693B1/ko
Publication of KR20080073112A publication Critical patent/KR20080073112A/ko
Application granted granted Critical
Publication of KR101343693B1 publication Critical patent/KR101343693B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 네트워크 보안시스템 및 그 처리방법에 관한 것이다. 본 발명은 네트워크로부터 유입되는 공격 패킷 정보를 검사하는 적어도 하나 이상의 에이전트, 상기 공격 패킷 정보에 대한 통계데이터를 생성하고, 이미 저장된 마지막 통계데이터와의 증가율과 기준 임계값과의 비교에 따라 탐지 및 차단을 위한 설정명령을 전송하는 예/경보 서버, 상기 증가율이 상기 기준 임계값보다 클 경우에만 상기 예/경보 서버와 연결되어 상기 설정명령을 수신하고, 업데이트 요청이 수신되면 미리 저장된 보안정책과 상기 설정명령을 전송하는 업데이트 서버, 상기 보안정책을 전송받아 업데이트하고, 상기 설정명령에 따라 상기 업데이트된 보안정책을 적용하여 상기 공격 패킷을 탐지/차단하도록 제어하는 관리부를 포함하여 구성되는 네트워크 보안시스템이 제공된다. 이와 같은 본 발명에 따르면 보안관리자의 부재, 취약한 보안망을 통해 공격하는 제로데이 공격(Zero-DAY Attack)과 같은 각종 공격 패킷 및 바이러스 등에 대해 신속하게 대응할 수 있는 이점이 있다.
보안시스템, 매니저 유닛, GUI, 보안정책, 업데이트.

Description

네트워크 보안시스템 및 그 처리방법{NETWORK SECURITY SYSTEM AND METHOD FOR PROCESS THEREOF}
도 1은 본 발명의 제 1실시 예에 따른 네트워크 보안시스템의 구성도.
도 2는 본 발명의 제 1실시 예에 따라 네트워크 보안시스템에서의 보안처리 흐름도.
도 3은 본 발명의 제 2실시 예에 따라 에이전트와 연결된 네트워크 관리부의 구성도.
도 4는 본 발명의 제 2실시 예에 따라 임의의 에이전트에서 탐지된 공격패킷정보에 대해 모든 에이전트에 자동으로 보안정책을 변경 적용하는 동작 흐름도.
*도면의 주요 부분에 대한 부호의 설명*
10 : 에이전트 20 : 관리부
22 : 로그관리부 24 : 보안정책관리부
26 : 통신부 28 : 데이터베이스부
30 : 경보서버부 40 : 업데이트서버부
본 발명은 네트워크 보안시스템에 관한 것으로서, 특히 보안관리자의 개입 없이 네트워크 보안 위협에 적절하게 대응할 수 있도록 하는 네트워크 보안시스템 및 그 처리방법에 관한 것이다.
네트워크 보호를 위한 보안시스템으로 침입 방지 시스템(Intrusion Prevention System : IPS), 침입 탐지 시스템(Intrusion Detecting System : IDS) 등이 활용되고 있다. 상기 IPS 및 IDS는 네트워크 트래픽을 감시하여 잠재적 위협을 인지한 후 이에 즉각적인 대응을 하기 위한 네트워크 보안 기술 중 예방적 차원의 접근방식에 해당한다.
통상 공격자가 일단 내부의 권한을 획득하고 나면 시스템의 악의적인 이용이 매우 빠르게 진행될 수 있다. 따라서 대다수의 보안시스템은 네트워크 보안 관리자가 설정해 놓은 일련의 규칙에 기반을 두고 즉각적인 행동을 취할 수 있는 능력을 가지도록 설계된다. 이를 위하여 상기 보안시스템은 어떤 한 패킷을 검사하여 그것이 부당한 패킷이라고 판단되면, 해당 IP주소 또는 포트에서 들어오는 모든 트래픽을 봉쇄하는 한편, 합법적인 트래픽에 대해서는 아무런 방해나 서비스 지연 없이 수신측에 전달한다.
이와 같은 보안시스템에 의하여 부당한 공격 패킷에 대처하고 있지만, 현재 보안시스템은 긴급한 보안정책 적용이 필요한 경우에는 이를 바로 적용할 수 없는 문제가 있다.
즉 현재의 보안시스템에는 조기 예보/경보 서버가 구축되어 외부 공격에 대 해 탐지하고 적절한 보안정책을 적용하고 있지만, 슬래머 웜(Slammer Worm)과 같이 단시간내에 전세계로 확산되는 공격에 대해서는 전혀 대응할 수 없는 문제가 있다.
예컨대, 공격이 발생할 경우 위협 정보를 네트워크 보안 관리자에게 문자메시지(SMS) 또는 전자우편(E-mail) 등의 방법으로 전송하고 그에 대하여 대응하도록 하기 때문에 대응 속도가 위협의 확산속도보다 현저히 떨어지며, 특히 보안관리자가 부재할 경우 차단 등과 같은 즉각적인 대응을 실행할 수 없다. 이 경우 제로데이 공격(Zero-day Attack)과 같이 보안패치가 발표되기 전에 공격이 이루어지는 해킹이나 악성코드 공격인 경우 대응불가로 인해 피해가 광범위하게 확산될 수밖에 없다.
따라서 본 발명은 상기한 문제점을 해결하기 위하여 안출된 것으로서, 보안관리자의 개입 없이도 공격 위협에 대해 자동화된 보안정책을 제공하여 네트워크 보안 위협에 대응하도록 하는 네트워크 보안시스템 및 그 처리방법을 제공함에 목적이 있다.
또한 본 발명의 다른 목적은 임의의 에이전트의 위협 로그정보를 기반으로 변경된 보안정책을 다른 에이전트에 적용하고자 함에 있다.
또한 본 발명의 또 다른 목적은 변경된 보안정책을 적용한 다음에 특정 시점 이전의 보안정책으로 복원할 수 있도록 함에 있다.
상기한 목적을 달성하기 위한 본 발명의 특징에 따른 네트워크 보안시스템은, 보안시스템에 있어서, 시스템에 접속하는 공격 패킷 정보의 증가율과 기 설정된 기준 임계값을 비교하여 탐지 및 차단을 위한 설정명령을 전송하는 예/경보 서버, 상기 설정명령을 수신하고 업데이트 요청 발생시 보안정책과 함께 상기 설정명령을 전송하는 업데이트 서버, 상기 보안정책의 업데이트 수행 및 상기 설정명령에 따라 상기 보안정책을 적용하여 상기 공격 패킷을 탐지/차단하도록 제어하는 관리부를 포함하되, 상기 예/경보 서버와 업데이트 서버는 상기 증가율이 상기 기준 임계값보다 클 경우에만 세션(session)이 설정된다.
또한 본 발명의 다른 특징에 따르면, 네트워크로부터 유입되는 공격 패킷 정보를 검사하는 적어도 하나 이상의 에이전트, 상기 공격 패킷 정보에 대한 통계데이터를 생성하고, 이미 저장된 마지막 통계데이터와의 증가율과 기준 임계값과의 비교에 따라 탐지 및 차단을 위한 설정명령을 전송하는 예/경보 서버, 상기 증가율이 상기 기준 임계값보다 클 경우에만 상기 예/경보 서버와 연결되어 상기 설정명령을 수신하고, 업데이트 요청이 수신되면 미리 저장된 보안정책과 상기 설정명령을 전송하는 업데이트 서버, 상기 보안정책을 전송받아 업데이트하고, 상기 설정명령에 따라 상기 업데이트된 보안정책을 적용하여 상기 공격 패킷을 탐지/차단하도록 제어하는 관리부를 포함하여 구성된다.
상기 관리부는, 상기 업데이트 서버에 업데이트 요청하고, 상기 보안정책을 제공받아 업데이트 수행하고, 상기 업데이트 수행시마다 업데이트 종료 시간정보의 타임스탬프 값을 생성하고 다음 업데이트 요청시에 상기 저장된 종료 시간정보의 타임스탬프 값을 상기 업데이트 서버에 전송한다.
또 상기 관리부는 상기 보안정책의 업데이트가 종료되면 상기 설정명령의 전송 여부를 검사하고, 상기 설정명령이 전송된 경우에만 상기 보안정책을 변경하여 상기 공격 패킷을 탐지/차단하는 보안정책관리부를 더 포함하여 구성된다.
또 상기 관리부는 상기 보안정책 적용 시간에 대한 타임스탬프 값을 보안정책 이력정보에 추가 저장하는 것이 바람직하다.
그리고 상기 업데이트 서버는 상기 보안정책 및 설정명령을 저장하는 저장부, 상기 관리부의 업데이트 요청에 따라 수신한 이전 업데이트 시간정보의 타임스탬프 값과 상기 설정명령 수신시의 시간정보에 대한 타임스탬프 값을 비교하는 비교부, 상기 비교결과 상기 설정명령 시간정보의 타임스탬프 값이 더 큰 경우 업데이트 대상인 보안정책과 설정명령을 상기 관리부로 전송하는 전송부를 포함하여 구성된다.
또 상기 업데이트 서버에는 신규 보안정책 및 업데이트 대상 보안정책이 미리 저장되어 있다.
또한 본 발명의 또 다른 특징에 따르면, 적어도 하나 이상의 에이전트 각각에 대하여 보안정책을 적용하기 위한 기준 임계값과 적용여부를 설정하는 설정부, 상기 에이전트별 또는 다른 네트워크로부터 수신되는 공격 패킷 정보를 참조하여 주요 통계데이터를 지속적으로 생성/저장하는 로그관리부, 상기 최종 저장된 통계데이터와 새로 생성된 통계데이터를 참조하여 특정/불특정 공격명에 대한 증가율과 상기 기준 임계값을 비교하는 비교부, 상기 비교결과 상기 증가율이 상기 기준 임계값 이상이면 상기 모든 에이전트에 적용되는 보안정책을 검사하는 검사부, 상기 검사결과 임의의 에이전트에 적용된 보안정책이 상기 공격 패킷에 대한 탐지/차단을 할 수 없도록 설정된 경우 탐지 및 차단을 위한 설정명령을 자동 활성화하여 해당 에이전트에 적용하고 상기 공격 패킷을 탐지/차단하는 제어부를 포함하여 구성된다.
상기 관리부는 상기 기준 임계값과 상기 보안정책 적용여부를 설정할 수 있는 그래픽유저인터페이스(GUI) 환경인 것이 바람직하다.
그리고 상기 공격 패킷 정보는 'Top N 공격명', 'Top 포트 사용량', '소스 IP', '목적 IP' 등이다.
그리고 상기 제어부는 상기 에이전트에 보안정책을 적용하는 경우 상기 보안정책의 적용 및 변경 이력 정보를 모든 에이전트에 대해 반복 수행하게 된다.
또 상기 제어부는 상기 보안정책이 특정 에이전트에만 적용되도록 설정된 경우 상기 설정된 에이전트 이외의 다른 에이전트에 대해서 보안정책을 계속하여 검사한다.
또 상기 제어부는 상기 보안정책이 자동 적용된 다음에 특정 시점의 보안정책으로 복구하도록 제어한다.
또한 본 발명의 다른 특징에 따른 보안정책 처리방법은, (a) 공격 패킷 정보를 검사하고 통계 데이터를 생성하는 단계, (b) 상기 생성된 통계 데이터와 이전 통계 데이터 상호간의 증가율과 미리 설정된 기준 임계값을 비교하는 단계, (c) 상 기 비교 결과, 통계 데이터의 증가율이 더 큰 경우에만 보안정책을 제공하는 서버와 세션을 설정하고, 상기 보안정책을 적용하여 공격 패킷을 탐지 및 차단하는 설정명령을 상기 서버로 전송하는 단계를 포함하여 구성된다.
또한 본 발명의 또 다른 특징에 따르면, (d) 네트워크 관리부로부터 업데이트 요청을 대기하는 단계, (e) 상기 업데이트 요청시 이전 업데이트 수행시의 타임스탬프 값과 공격 패킷의 탐지 및 차단을 위한 설정명령의 타임스탬프 값을 비교하는 단계, (f) 상기 비교 결과, 상기 설정명령의 타임스탬프 값이 더 큰 경우에만, 신규 보안정책 또는 업데이트할 보안정책과 상기 설정명령을 상기 네트워크 관리부에 전송하는 단계, (g) 상기 설정명령에 따라 상기 보안정책을 변경하고 상기 공격 패킷정보를 탐지/차단하는 단계를 포함하여 구성된다.
상기 (e) 단계의 업데이트 요청시마다 업데이트 종료 시각의 타임스탬프 값이 생성/저장되고, 다음 업데이트 요청시에 상기 저장된 타임스탬프 값이 함께 전송되는 것이 바람직하다.
상기 (f) 단계는, 상기 보안정책의 업데이트가 종료된 후에 상기 설정명령의 전송 여부가 검사되고, 상기 설정명령의 적용 여부를 판단하는 단계가 더 포함된다.
또한 본 발명의 또 다른 특징에 따르면, (h) 다수의 에이전트로부터 공격 패킷 정보를 수신하여 통계데이터를 지속적으로 생성/저장하는 단계, (i) 새로 생성된 통계데이터와 저장된 이전 통계데이터를 비교하는 단계, (j) 상기 통계데이터 상호간의 증가율이 미리 설정한 기준 임계값을 초과하는 경우, 모든 에이전트에 적 용된 보안정책을 검사하는 단계, (k) 상기 에이전트에 적용된 보안정책에 대해 탐지/차단상태의 설정 여부를 판단하는 단계, (l) 상기 판단 결과, 탐지/차단설정이 비활성상태인 보안정책인 경우 이를 활성화시키고 에이전트에 적용하여 공격 패킷을 탐지/차단하는 단계가 포함되어 구성된다.
그리고, 상기 보안정책 적용 및 변경 이력 정보를 저장하는 단계(m)가 더 포함될 수 있다.
상기 (j) 단계에서는, 특정 에이전트에만 상기 보안정책이 적용되거나, 상기 보안정책에 탐지/차단명령이 이미 설정된 경우에, 그 에이전트에 대한 보안정책 검사는 미실시된다.
또 상기 변경된 보안정책을 특정 시점 이전의 변경 전 보안정책으로 복원하는 단계(n)를 더 포함하여 구성된다.
그리고 상기 설정명령의 적용여부와 기준 임계값은 그래픽유저인터페이스(GUI) 환경에 의해 조작되어진다.
이와 같은 구성을 갖는 본 발명에 따르면, 보안관리자가 부재한 경우에 갑작스러운 공격 위협에 대해서도 이를 탐지하고 자동화된 보안정책으로 대응할 수 있음을 알 수 있다.
이하, 본 발명에 의한 네트워크 보안시스템 및 그 처리방법을 첨부된 도면에 도시된 바람직한 실시 예를 참고하여 상세하게 설명한다.
도 1에는 본 발명의 바람직한 실시 예에 따른 네트워크 보안시스템의 구성도가 도시되어 있다.
도 1을 참조하면, 외부에서 유입되는 모든 네트워크 패킷 정보를 분석하여 위협정보를 탐지하는 복수의 에이전트(10~10n)가 구비된다. 즉 상기 에이전트(10~10n)는 통과하는 모든 패킷데이터를 검사하고, 상기 패킷데이터가 보안정책에 정의된 위협조건에 부합되면 상기 보안정책에 설정된 로깅(Logging), 차단 등의 대응을 수행한다.
상기 복수의 에이전트(10~10n)에 의해 탐지된 위협 정보를 기반으로 위협 로그정보를 저장하고, 상기 위협 로그정보의 탑(Top) 공격명, 탑 포트(Top port) 사용량, 소스 IP, 목적 IP 등의 주요 통계 데이터를 생성하고, 보안 정책을 적용하여 네트워크 보안 위협의 확산을 차단하도록 하는 관리부(20)가 구비된다. 또 상기 관리부(20)는 안정적인 네트워크 운영을 위하여 자동적으로 변경되는 보안정책 이력을 관리하고, 그 보안정책을 과거 어느 시점의 보안정책으로 복구시킬 수 있는 기능을 제공한다. 이에 관리부(20)는 보안관리자가 기준 임계값 및 보안정책 자동 변경을 용이하게 설정할 수 있도록 그래픽유저인터페이스(GUI) 환경이 지원되는 것이 바람직하다.
상기 관리부(20)는 상기 에이전트(10~10n)로부터 수신한 개별 위협 로그정보를 데이터베이스(28)에 저장하고 상기 위협 로그정보들을 근거로 주요 통계데이터(예컨대 Top 10 공격정보/소스IP/목적IP 등)를 생성하는 로그관리부(22)와, 업데이트서버부(40)의 업데이트 동작에 의해 각종 보안정책을 상기 에이전트(10~10n)들에게 적용하기 위한 보안정책관리부(24)를 구비한다. 상기 위협로그정보는 네트워크의 위협 상태를 측정하기 위한 1차적인 데이터로 활용된다. 그리고 상기 통계데이 터는 탑 공격명(Top N 공격명), 탑 포트 사용량 등을 말한다. 예컨대 갑자기 증가된 공격명, 유입 트래픽이 기준 이상으로 많이 발생되는 소정 포트(port)에 대한 정보 등이다.
또 상기 관리부(20)는 인터넷 연결되어 있는 조기 예보/경보 서버부(이하, '경보 서버부'라 약칭함)(30)에 상기 통계데이터를 전달하는 제1통신부(26a)와, 상기 경보서버부(30)로부터 전달되는 예보/경보에 따라 보안정책과 탐지/차단을 위한 설정명령을 업데이트서버부(40)로부터 전송받는 제2통신부(26b)를 구비한다. 상기 제 1, 제 2통신부(26a)(26b)는 상기 경보서버부(30) 및 상기 업데이트서버부(40)와 데이터를 교환할 경우 암호화된 연결에 의해서 전송되는 데이터의 기밀성이 보장되어야 한다. 그리고 상기 제 1, 제 2통신부(26a)(26b)는 각각 독립적으로 구성되고 있지만, 하나의 통신모듈에 의해 구성될 수 있음은 물론이다.
다음, 상기 경보서버부(30)는 상기 업데이트 서버부(40)와 상호 연동되는 구조를 갖는다. 상기 경보서버부(30)는 관리부(20)로부터 통계데이터를 수신하고 일정시간마다 전체 통계데이터를 생성한다. 즉 상기 경보서버부(30)는 복수의 관리부(즉 각 기업이나 단체에 구성되는 시스템)에서 위협로그정보에 대한 통계데이터를 수신하여 관리자가 확인할 수 있도록 화면 표시하는 것이다.
또 상기 경보서버부(30)에는 상기 업데이트서버부(40)와의 연결을 설정하기 위한 기준 임계값이 제공된다. 상기 기준 임계값은 보안관리자에 의해 임의로 설정가능한 값이고, 이는 상기 관리부(20)로부터 제공받는다. 그리고 상기 기준 임계값은 상기 업데이트서버부(40)의 IP 등과 같은 연동 관련정보 또는 상기 통계데이터 로부터 추출된 특정/불특정 위협로그정보의 증가율을 참조하여 상기 업데이트서버부(40)와의 연결을 설정한다. 통상 상기 증가율이 임계값 이상인 경우에 상기 경보서버부(30)와 상기 업데이트서버부(40)가 연결되고, 상기 위협로그정보에 대한 탐지 여부 적용 및 차단 여부 적용에 대한 탐지/차단 설정명령이 전송된다.
다음, 상기 업데이트서버부(40)는, 보안정책을 제공하는 기능을 하며, 상기 경보서버부(30)로부터 전송받은 탐지/차단 설정명령을 자체 데이터베이스 또는 디스크 등의 스토리지(storage)에 저장한다. 그리고 상기 관리부(20)로부터 보안정책의 업데이트 요구가 발생되는 경우에만 상기 제2통신부(26b)를 매개하여 보안정책과 상기 탐지/차단 설정명령을 상기 보안정책관리부(24)로 전송한다. 이때 상기 업데이트서버부(40)는 상기 관리부(20)에서 전송된 이전 업데이트 요구시의 타임스탬프(Time stamp) 값과 상기 경보서버부(30)로부터 최종적으로 수신한 타임스탬프 값을 비교하고, 비교결과에 따라 업데이트와 탐지/차단 설정명령을 전송하여 상기 관리부(20)에 의해 보안정책이 변경 적용되도록 한다.
따라서, 상기 업데이트서버부(40)는 관리부(20)로부터 전송된 타임스탬프 값과 상기 경보서버부(30)로부터 최종적으로 수신한 타임스탬프 값을 비교하는 비교기능과, 상기 비교결과 상기 경보서버부(30)의 타임스탬프 값이 더 큰 경우 보안정책정보 및 탐지/차단 설정명령을 상기 관리부(20)로 전송하는 전송기능이 제공되는 것이 바람직하다. 또 상기 업데이트서버부(40)는 상기 탐지/차단 설정명령과 타임스탬프 값을 상기 관리부(20)로부터 업데이트 요청이 발생할 때까지 저장하기 위한 데이터베이스를 구비한다.
이어 상기한 바와 같은 구성의 네트워크 보안시스템에 의한 보안처리방법을 단계별로 상세하게 설명한다.
도 2에는 본 발명의 실시 예에 따라 네트워크 보안시스템에서의 보안처리 흐름도가 도시되어 있다.
먼저, 관리부(20)는 로그관리부(22)에 의해 복수의 에이전트(10~10n)에 의해 탐지된 공격패킷의 위협 정보를 기반으로 위협 로그정보를 저장하고, 상기 위협 로그정보의 탑(Top) 공격명, 탑 포트(Top port) 사용량 등의 주요 통계 데이터를 생성한다(S50). 상기 생성된 통계 데이터는 제1통신부(26a)를 매개하여 상기 경보서버부(30)로 전송된다.
상기 경보서버부(30)에는 다수의 관리부가 연결되어 있는바, 그 경보서버부(30)는 상기 관리부들로부터 위협로그정보의 통계데이터를 수신하고, 이를 일정 시간마다 전체적인 통계데이터로서 다시 생성하는 작업을 수행한다.
상기 통계데이터는 매 시각(초/분/시간) 단위로 계속 업데이트가 이루어진다.
상기 경보서버부(30)는 현재 시각 생성된 통계데이터와 이전 시각에 생성된 통계데이터의 증가율을 계속 비교한다(S52). 그리고 상기 증가율과 관리자에 의해 미리 설정한 기준 임계값을 비교하는 동작을 수행한다. 상기 기준 임계값은 네트워크 운영이 원활하게 이루어질 수 있는 값으로서, 예컨대 평상시 10% 내외의 트래픽 증가율로 운영되다가 갑자기 30% 이상의 증가율이 보인다면 이는 네트워크로의 이상 트래픽 등이 유입된다라고 판단하고, 탐지 및 차단정책을 적용하도록 하기 위함 이다.
상기 비교결과, 상기 증가율이 큰 경우(S54에서의 예), 상기 경보서버부(30)는 상기 업데이트 서버부(40)와 암호화된 세션(session)을 설정하고(S56), 현재 시각에 대한 타임스탬프 값 및 상기 증가율의 이상 여부를 탐지하고 이에 대한 대응책인 보안정책을 적용하도록 탐지/차단 설정명령을 상기 업데이트서버부(40)에 전송한다(S58). 이때 상기 증가율뿐만 아니라 웜바이러스(worm virus) 정보나 제로공격 정보가 발생하는 경우에도 이에 대한 보안정책을 적용할 수 있도록 탐지/차단 설정명령을 상기 업데이트서버부(40)에 전송한다.
상기 업데이트서버부(40)는 상기 타임스탬프 값과 탐지/차단 설정명령을 수신하면 이를 내부 DB에 저장한다(S60). 그리고 상기 관리부(20)로부터 업데이트 요청이 발생되기까지 대기상태를 유지한다(S62).
상기 관리부(20)에서 업데이트 요청이 발생한다(S64). 이때, 상기 관리부(20)는 상기 업데이트 요청시마다 업데이트를 종료한 시각의 타임스탬프 값을 저장하고 다음 업데이트 요청시 상기 저장된 타임스탬프 값을 상기 업데이트서버부(40)에 전송한다.
상기 업데이트서버부(40)는 상기 업데이트 요청을 수신하면 우선하여 내부 DB에 저장하고 있는 신규 보안정책 정보 또는 업데이트용 보안정책 정보 등이 업데이트되도록 상기 제2통신부(26b)를 매개하여 관리부(20)로 전송한다.
그리고 상기 업데이트가 완료되면 이를 실제 에이전트(10)에 적용하기 위한 탐지/차단 설정명령을 전송해야한다.
상기 탐지/차단 설정명령은 상기 관리부(20)에서 업데이트 요청때 함께 전송되는 이전 업데이트시의 타임스탬프 값, 즉 최종 업데이트 시간 정보(A)와 상기 경보서버부(30)로부터 최종적으로 수신한 탐지/차단 설정명령의 타임스탬프 값(B)을 비교한다(S66). 그리고 상기 비교결과 상기 경보서버부(30)의 탐지/차단 설정명령의 타임스탬프(B)가 더 큰 경우(즉 시간이 더 늦은 경우)에만(S68), 상기 탐지/차단 설정명령이 상기 관리부(20)로 전송된다(S70). 따라서 보안정책은 업데이트가 수행되었지만 상기 경보서버부(30)에서 이상상태에 대한 탐지 및 경보정보가 전송되지 않았다면 실제 상기 업데이트된 보안정책은 상기 에이전트(10~10n)에 적용되지 않는다. 그리고 상기 업데이트 요청이 발생되었다 하더라도 신규로 제공된 보안정책 또는 업데이트해야할 보안정책이 없다라면 업데이트는 실시되지 않는다.
여기서, 상기 업데이트 요청 발생시에 상기 타임스탬프 값을 비교하고, 상기 경보서버부의 타임스탬프 값이 더 큰 경우에 상기 보안정책 및 탐지/차단 설정명령을 함께 전송할 수도 있다.
그리고, 전술한 상기 업데이트 요청은 관리자에 의해 미리 설정되며 이는 주기적 또는 랜덤하게 상기 업데이트서버부(40)로 전달된다.
다음, 상기 관리부(20)는 상기 업데이트서버부(40)에서 전송된 보안정책을 데이터베이스(28)에 저장하고, 아울러 상기 탐지/차단 설정명령의 전송여부와 함께 그 탐지/차단 설정명령의 적용여부를 검사한다. 상기 설정명령 전송/적용여부는 관리자에 의해 미리 설정되어있다. 이러한 설정과정은 관리자가 용이하게 할 수 있도록 그래픽유저인터페이스 형태로 지원된다.
상기 관리부(20)는 상기 탐지/차단 설정명령이 전송된 경우, 상기 관리부(20)는 상기 탐지/차단 설정명령이 보안관리자에 의해 적용되었는지를 판단한다. 그리고 판단 결과 적용되어 있으면(S80), 상기 보안정책관리부(24)는 상기 설정명령에 의해 보안정책을 변경하고(S82), 그 변경된 보안정책을 에이전트(10~10n)에 적용한다(S84). 따라서 에이전트(10~10n)는 상기 적용된 보안정책에 의해 특정 공격명을 탐지 및 차단하거나, 바이러스를 치료한다. 이때 상기 관리부(20)는 상기 보안정책을 에이전트(10~10n)에 적용한 경우 그 적용한 시각에 대한 타임스탬프 값을 보안정책 이력정보에 추가/저장한다(S86). 이는 앞서 설명한 바와 같이 관리부(20)에서 업데이트 요청발생시에 동일한 보안정책이 업데이트되고 적용되는 것을 방지하기 위함이다.
다음, 도 3에는 본 발명의 제 2실시 예에 따라 에이전트와 연결된 네트워크 관리부의 구성도가 도시되어 있고, 도 4에는 본 발명의 제 2실시 예에 따라 임의의 에이전트에서 탐지된 공격패킷정보에 대해 모든 에이전트에 자동으로 보안정책을 변경 적용하는 동작 흐름도가 도시되어 있다. 이는 네트워크 관리부(100)(이하 '관리부'라 약칭함)내에서 처리되는 동작이다.
도 3을 참조하면, 상기 관리부(100)내에서는 적어도 하나 이상의 에이전트 상호(10~10n)간에 보안정책을 적용하기 위한 기준 임계값과 탐지/차단 설정명령을 설정하는 설정부(102)가 구비된다. 상기 설정동작은 그래픽유저인터페이스 환경에 의해 용이하게 조작 가능하도록 한다.
그리고 상기 에이전트별 또는 다른 네트워크로부터 수신되는 공격/위협정보 를 참조하여 주요 통계데이터를 지속적으로 생성/저장하는 로그관리부(104)가 구비된다. 그리고 상기 최종 저장된 통계데이터와 새로 생성된 통계데이터를 참조하여 특정/불특정 공격명에 대한 증가율과 상기 기준 임계값을 비교하는 비교부(106)와, 상기 비교결과 상기 증가율이 상기 기준 임계값 이상이면 제어부(110)의 제어동작에 따라 상기 모든 에이전트(10~10n)에 적용되는 보안정책을 검사하는 검사부(108)가 구비된다.
그리고 상기 검사결과에 따라 상기 적용된 보안정책에 대해 탐지/차단 설정명령을 선택적으로 설정하여 그 보안정책을 에이전트(10~10n)에 적용하고 상기 보안정책의 변경 이력을 처리하는 제어부(110)가 구비된다.
또 상기 각종 정보를 저장하는 데이터베이스(DB)(120)가 제공된다.
이와 같은 구성에서의 상기 관리부(100)는 복수의 에이전트(10~10n)를 관리하고 있으며, 어느 임의의 에이전트에서 발생되는 위협로그정보에 대해 다른 에이전트에 보안정책을 적용하기 위함이다.
따라서 먼저 보안관리자는 상기 설정부(102)에서 그래픽유저인터페이스를 이용하여 보안정책을 적용할 기준 임계값과 그 탐지/차단 여부를 설정한다.
상기 기준 임계값과 탐지/차단 여부가 설정된 상태에서 상기 로그관리부(104)는 복수의 에이전트(10~10n)에서 탐지된 위협 로그정보를 참조하여 탑(Top) 공격명, 탑 포트(Top port) 사용량 등의 주요 통계 데이터를 주기적으로 생성하고 DB(120)에 저장한다(S130).
이후, 상기 비교부(106)는 새로운 통계데이터가 생성되면 현재 시각 생성된 통계데이터와 이전 시각에 생성된 마지막 통계데이터와 비교하고, 특정/불특정 공격명에 대한 증가율(C)을 상기 기준 임계값(D)과 비교한다(S132).
상기 비교결과, 상기 증가율(C)이 상기 기준 임계값(D)보다 큰 경우(S134의 예), 상기 검사부(108)는 상기 관리부(100)에서 관리되는 모든 에이전트(10~10n)에 적용된 보안정책을 검사한다(S136).
그리고, 상기 검사된 보안정책이 임의의 에이전트에 유입되는 심각한 공격정보를 탐지할 수 없도록 비활성 되어있거나, 또는 공격정보를 차단할 수 없도록 설정되어 있는 경우, 상기 제어부(110)는 상기 관리자에 의해 설정된 탐지/차단 여부를 활성화하고 변경된 보안정책을 에이전트(10~10n)에 적용한다.
즉 모든 에이전트(10~10n)의 보안정책을 순차적 또는 랜덤하게 조회하고, 탐지여부가 설정되지 않은 경우 탐지설정을 하고(S138)(S149), 차단여부가 설정되지 않은 경우 차단설정을 한다(S140)(S142). 이에 보안정책은 변경되고 에이전트(10~10n)에 적용되어 심각한 공격정보를 탐지함은 물론 그 탐지된 공격정보에 의해 네트워크 서비스되는 것을 차단한다(S142)(S144).
상기 변경된 보안정책 이력은 DB(120)에 저장된다(S146).
만일, 상기 관리부(100)에 의해 보안정책이 특정 에이전트에만 적용되도록 설정되었거나 또는 적용할 필요 없는 에이전트의 보안정책이거나 또는 이미 보안정책에 탐지 및 차단이 설정된 경우에는, 해당 에이전트에 대한 보안정책 검사과정은 스킵(Skip)되고 다음 에이전트의 보안정책을 검사한다.
한편, 상기와 같이 특정/불특정 공격에 대하여 변경된 보안정책을 적용한 다 음, 그 변경된 보안정책의 적용이 필요하지 않은 경우에는 관리자에 의해 소정 시점의 보안정책으로 복원한다(S148)(S150). 이는 공격정보를 탐지하고 차단한 다음, 그 보안정책이 미적용되어질 환경으로 복귀한 경우, 상기 변경된 보안정책이 그대로 적용된다라면 오탐의 가능성이 존재하고, 따라서 네트워크 장애가 발생되는바, 이를 방지하기 위함이다.
이와 같이 본 발명에서는 에이전트에서 발생되는 위협로그정보에 대하여 탐지 및 그에 대한 보안정책을 신속하게 적용할 수 있다.
이상과 같이, 본 발명의 도시된 실시 예를 참고해서 설명되었으나 이는 예시적인 것들에 불과하며, 본 발명이 속하는 기술 분야의 통상지식을 가진 자라면 본 발명의 요지 및 범위에 벗어나지 않으면서도 다양한 변형, 변경 및 균등한 타 실시 예들이 가능하다는 것을 명백하게 알 수 있을 것이다. 따라서 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적인 사상에 의해 정해져야 할 것이다.
이상에서 설명한 바와 같이 본 발명의 네트워크 보안시스템 및 그 처리방법에 따르면 다음과 같은 효과가 있다.
먼저, 에이전트에서 발생되는 각종 부당한 공격상황에 대하여 자동으로 탐지 및 차단하고 그에 대한 보안정책을 적용할 수 있게 되어 보안관리자의 부재, 취약한 보안망을 통해 공격하는 제로데이 공격과 같은 각종 바이러스 등에 대해 신속하 게 대응할 수 있는 효과가 있다.
그리고 임의의 에이전트로 유입되는 위협/공격정보에 대한 보안정책기준을 다른 에이전트와 공유할 수 있어, 위협/공격정보가 확산되는 것을 방지할 수 있다.
또 보안정책을 적용할 기준 임계값 및 보안정책 적용여부를 관리자가 그래픽유저인터페이스환경에 의해 용이하게 설정할 수 있고, 보안정책이 필요하지 않는 경우 과거 어느 시점의 보안정책이 적용되도록 조작할 수 있어, 오탐 및 네트워크 장애 발생을 방지하는 효과도 있다.

Claims (22)

  1. 보안시스템에 있어서,
    시스템에 접속하는 공격 패킷 정보의 증가율과 기 설정된 기준 임계값을 비교하여 탐지 및 차단을 위한 설정명령을 전송하는 예/경보 서버,
    상기 설정명령을 수신하고 업데이트 요청 발생시 보안정책과 함께 상기 설정명령을 전송하는 업데이트 서버,
    상기 보안정책의 업데이트 수행 및 상기 설정명령에 따라 상기 보안정책을 적용하여 상기 공격 패킷을 탐지/차단하도록 제어하는 관리부를 포함하되,
    상기 예/경보 서버와 업데이트 서버는 상기 증가율이 상기 기준 임계값보다 클 경우에만 세션(session)이 설정되는 것을 특징으로 하는 네트워크 보안시스템.
  2. 네트워크로부터 유입되는 공격 패킷 정보를 검사하는 적어도 하나 이상의 에이전트,
    상기 공격 패킷 정보에 대한 통계데이터를 생성하고, 이미 저장된 마지막 통계데이터와의 증가율과 기준 임계값과의 비교에 따라 탐지 및 차단을 위한 설정명령을 전송하는 예/경보 서버,
    상기 증가율이 상기 기준 임계값보다 클 경우에만 상기 예/경보 서버와 연결되어 상기 설정명령을 수신하고, 업데이트 요청이 수신되면 미리 저장된 보안정책과 상기 설정명령을 전송하는 업데이트 서버,
    상기 보안정책을 전송받아 업데이트하고, 상기 설정명령에 따라 상기 업데이트된 보안정책을 적용하여 상기 공격 패킷을 탐지/차단하도록 제어하는 관리부를 포함하여 구성되는 네트워크 보안시스템.
  3. 제 1항 또는 제 2항에 있어서,
    상기 관리부는,
    상기 업데이트 서버에 업데이트 요청하고,
    상기 보안정책을 제공받아 업데이트 수행하고, 상기 업데이트 수행시마다 업데이트 종료 시간정보의 타임스탬프 값을 생성하고 다음 업데이트 요청시에 상기 저장된 종료 시간정보의 타임스탬프 값을 상기 업데이트 서버에 전송하는 것을 특징으로 하는 네트워크 보안시스템.
  4. 제 3항에 있어서,
    상기 관리부는,
    상기 보안정책의 업데이트가 종료되면 상기 설정명령의 전송 여부를 검사하고, 상기 설정명령이 전송된 경우에만 상기 보안정책을 변경하여 상기 공격 패킷을 탐지/차단하는 보안정책관리부를 더 포함하여 구성되는 것을 특징으로 하는 네트워크 보안시스템.
  5. 제 4항에 있어서,
    상기 관리부는,
    상기 보안정책 적용 시간에 대한 타임스탬프 값을 보안정책 이력정보에 추가 저장하는 것을 특징으로 하는 네트워크 보안시스템.
  6. 제 3항에 있어서,
    상기 업데이트 서버는,
    상기 보안정책 및 설정명령을 저장하는 저장부,
    상기 관리부의 업데이트 요청에 따라 수신한 이전 업데이트 시간정보의 타임스탬프 값과 상기 설정명령 수신시의 시간정보에 대한 타임스탬프 값을 비교하는 비교부,
    상기 비교결과 상기 설정명령 시간정보의 타임스탬프 값이 더 큰 경우 업데이트 대상인 보안정책과 설정명령을 상기 관리부로 전송하는 전송부를 포함하여 구성되는 것을 특징으로 하는 네트워크 보안시스템.
  7. 제 6항에 있어서,
    상기 업데이트 서버에는, 신규 보안정책 및 업데이트 대상 보안정책이 미리 저장되어 있는 것을 특징으로 하는 네트워크 보안시스템.
  8. 적어도 하나 이상의 에이전트 각각에 대하여, 시스템에 접속하는 공격패킷 정보의 증가율과 비교하기 위하여 기 설정된 기준 임계값과 적용여부를 설정하는 설정부;
    상기 에이전트별 또는 다른 네트워크로부터 수신되는 공격 패킷 정보를 참조하여 주요 통계데이터를 지속적으로 생성/저장하는 로그관리부;
    상기 로그관리부에 최종 저장된 통계데이터와 새로 생성된 통계데이터를 참조하여 특정/불특정 공격명에 대한 증가율과 상기 기준 임계값을 비교하는 비교부;
    상기 비교부의 비교 결과 증가율이 상기 기준 임계값 이상이면, 상기 모든 에이전트에 적용되는 보안정책을 검사하는 검사부; 그리고
    상기 검사결과 임의의 에이전트에 적용된 보안정책이 상기 공격 패킷에 대한 탐지/차단을 할 수 없도록 설정된 경우 탐지 및 차단을 위한 설정명령을 자동 활성화하여 해당 에이전트에 적용하고, 상기 공격 패킷을 탐지/차단하는 제어부를 포함하여 구성되는 네트워크 관리부가 구비된 네트워크 보안시스템.
  9. 제 8 항에 있어서,
    상기 제어부는 상기 기준 임계값과 상기 보안정책 적용여부를 설정할 수 있는 그래픽유저인터페이스(GUI) 환경이 제공되는 것을 특징으로 하는 네트워크 보안시스템.
  10. 제 1항, 제 2항 또는 제 8항 중 어느 한 항에 있어서,
    상기 공격 패킷 정보는 'Top N 공격명', 'Top 포트 사용량', '소스 IP', '목적 IP' 인 것을 특징으로 하는 네트워크 보안시스템.
  11. 제 8항에 있어서,
    상기 제어부는 상기 에이전트에 보안정책을 적용하는 경우 상기 보안정책의 적용 및 변경 이력 정보를 모든 에이전트에 대해 반복 수행하는 것을 특징으로 하는 네트워크 보안시스템.
  12. 제 8항에 있어서,
    상기 제어부는 상기 보안정책이 특정 에이전트에만 적용되도록 설정된 경우 상기 설정된 에이전트 이외의 다른 에이전트에 대해서 보안정책을 계속하여 검사하는 것을 특징으로 하는 네트워크 보안시스템.
  13. 제 8항에 있어서,
    상기 제어부는 상기 보안정책이 자동 적용된 다음에 특정 시점의 보안정책으로 복구하도록 제어하는 것을 특징으로 하는 네트워크 보안시스템.
  14. (a) 공격 패킷 정보를 검사하고 통계 데이터를 생성하는 단계,
    (b) 상기 생성된 통계 데이터와 이전 통계 데이터 상호간의 증가율과 미리 설정된 기준 임계값을 비교하는 단계,
    (c) 상기 비교 결과, 통계 데이터의 증가율이 더 큰 경우에만 보안정책을 제공하는 서버와 세션을 설정하고, 상기 보안정책을 적용하여 공격 패킷을 탐지 및 차단하는 설정명령을 상기 서버로 전송하는 단계를 포함하여 구성되는 네트워크 보 안시스템에서의 보안정책 처리방법.
  15. (d) 네트워크 관리부로부터 업데이트 요청을 대기하는 단계,
    (e) 상기 업데이트 요청시 이전 업데이트 수행시의 타임스탬프 값과 공격 패킷의 탐지 및 차단을 위한 설정명령의 타임스탬프 값을 비교하는 단계,
    (f) 상기 비교 결과, 상기 설정명령의 타임스탬프 값이 더 큰 경우에만, 신규 보안정책 또는 업데이트할 보안정책과 상기 설정명령을 상기 네트워크 관리부에 전송하는 단계,
    (g) 상기 설정명령에 따라 상기 보안정책을 변경하고 상기 공격 패킷정보를 탐지/차단하는 단계를 포함하여 구성되는 네트워크 보안시스템에서의 보안정책 처리방법.
  16. 제 15항에 있어서,
    상기 (e) 단계의 업데이트 요청시마다 업데이트 종료 시각의 타임스탬프 값이 생성/저장되고, 다음 업데이트 요청시에 상기 저장된 타임스탬프 값이 함께 전송되는 것을 특징으로 하는 네트워크 보안시스템에서의 보안정책 처리방법.
  17. 제 15항에 있어서,
    상기 (f) 단계는, 상기 보안정책의 업데이트가 종료된 후에 상기 설정명령의 전송 여부가 검사되고, 상기 설정명령의 적용 여부를 판단하는 단계가 더 포함되는 것을 특징으로 하는 네트워크 보안시스템에서의 보안정책 처리방법.
  18. (h) 다수의 에이전트로부터 공격 패킷 정보를 수신하여 통계데이터를 지속적으로 생성/저장하는 단계,
    (i) 새로 생성된 통계데이터와 저장된 이전 통계데이터를 비교하는 단계,
    (j) 상기 통계데이터 상호간의 증가율이 미리 설정한 기준 임계값을 초과하는 경우, 모든 에이전트에 적용된 보안정책을 검사하는 단계,
    (k) 상기 에이전트에 적용된 보안정책에 대해 탐지/차단상태의 설정 여부를 판단하는 단계,
    (l) 상기 판단 결과, 탐지/차단설정이 비활성상태인 보안정책인 경우 이를 활성화시키고 에이전트에 적용하여 공격 패킷을 탐지/차단하는 단계가 포함되어 구성되는 것을 특징으로 하는 네트워크 보안시스템에서의 보안정책 처리방법.
  19. 제 18항에 있어서,
    상기 보안정책 적용 및 변경 이력 정보를 저장하는 단계(m)가 더 포함되는 것을 특징으로 하는 네트워크 보안시스템에서의 보안정책 처리방법.
  20. 제 18항 또는 제 19항에 있어서,
    상기 (j) 단계에서, 특정 에이전트에만 상기 보안정책이 적용되거나, 상기 보안정책에 탐지/차단명령이 이미 설정된 경우에는, 그 에이전트에 대한 보안정책 검사는 미실시되는 것을 특징으로 하는 네트워크 보안시스템에서의 보안정책 처리방법.
  21. 제 19항에 있어서,
    상기 변경된 보안정책을 특정 시점 이전의 변경 전 보안정책으로 복원하는 단계(n)를 더 포함하여 구성되는 것을 특징으로 하는 네트워크 보안시스템에서의 보안정책 처리방법.
  22. 제 14 항 또는 제 15 항에 있어서,
    상기 설정명령의 적용여부와 기준 임계값은 그래픽유저인터페이스(GUI) 환경에 의해 조작되는 것을 특징으로 하는 네트워크 보안시스템에서의 보안정책 처리방법.
KR1020070011714A 2007-02-05 2007-02-05 네트워크 보안시스템 및 그 처리방법 KR101343693B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070011714A KR101343693B1 (ko) 2007-02-05 2007-02-05 네트워크 보안시스템 및 그 처리방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070011714A KR101343693B1 (ko) 2007-02-05 2007-02-05 네트워크 보안시스템 및 그 처리방법

Publications (2)

Publication Number Publication Date
KR20080073112A KR20080073112A (ko) 2008-08-08
KR101343693B1 true KR101343693B1 (ko) 2013-12-20

Family

ID=39883037

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070011714A KR101343693B1 (ko) 2007-02-05 2007-02-05 네트워크 보안시스템 및 그 처리방법

Country Status (1)

Country Link
KR (1) KR101343693B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018079867A1 (ko) * 2016-10-24 2018-05-03 주식회사 아이티스테이션 지능형 지속위협 환경의 네트워크 복구 시스템을 이용한 복구 방법

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016221233B3 (de) * 2016-10-27 2017-09-14 Volkswagen Aktiengesellschaft Verfahren zum Verwalten einer ersten Kommunikationsverbindung, System umfassend einen ersten Kommunikationspartner und einen zweiten Kommunikationspartner sowie Fahrzeug
KR20190065862A (ko) 2017-12-04 2019-06-12 주식회사 윈스 네트워크 보안 정책 관리 시스템 및 그 방법
KR102627064B1 (ko) * 2021-12-27 2024-01-23 (주)하몬소프트 인공지능 행위분석 기반의 엔드포인트 위협탐지 및 대응 장치

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003289337A (ja) 2002-03-28 2003-10-10 Nippon Telegr & Teleph Corp <Ntt> 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法
JP2004356915A (ja) 2003-05-28 2004-12-16 Chiba Inst Of Technology 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003289337A (ja) 2002-03-28 2003-10-10 Nippon Telegr & Teleph Corp <Ntt> 通信網およびルータおよび分散型サービス拒絶攻撃検出防御方法
JP2004356915A (ja) 2003-05-28 2004-12-16 Chiba Inst Of Technology 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018079867A1 (ko) * 2016-10-24 2018-05-03 주식회사 아이티스테이션 지능형 지속위협 환경의 네트워크 복구 시스템을 이용한 복구 방법

Also Published As

Publication number Publication date
KR20080073112A (ko) 2008-08-08

Similar Documents

Publication Publication Date Title
CN108353079B (zh) 对针对基于云的应用的网络威胁的检测
US10187422B2 (en) Mitigation of computer network attacks
US7539857B2 (en) Cooperative processing and escalation in a multi-node application-layer security system and method
US8336101B2 (en) Methods and systems that selectively resurrect blocked communications between devices
US10320814B2 (en) Detection of advanced persistent threat attack on a private computer network
JP6083009B1 (ja) Sdnコントローラ
US8904529B2 (en) Automated deployment of protection agents to devices connected to a computer network
US20140173712A1 (en) Network security system with customizable rule-based analytics engine for identifying application layer violations
US9928359B1 (en) System and methods for providing security to an endpoint device
EP3289476A1 (en) Computer network security system
CN108183921B (zh) 经由边界网关进行信息安全性威胁中断的系统和方法
JP2004302538A (ja) ネットワークセキュリティシステム及びネットワークセキュリティ管理方法
Dondossola et al. Effects of intentional threats to power substation control systems
KR101343693B1 (ko) 네트워크 보안시스템 및 그 처리방법
US8321369B2 (en) Anti-intrusion method and system for a communication network
Patil et al. Analysis of distributed intrusion detection systems using mobile agents
US20160149933A1 (en) Collaborative network security
CN113206852B (zh) 一种安全防护方法、装置、设备及存储介质
KR20200116773A (ko) Sdn 기반의 검사시스템
Phan et al. Threat detection and mitigation with MonB5G components in the aLTEr scenario
JP2018129712A (ja) ネットワーク監視システム
Mahlous Threat Model and Risk Management for a Smart Home IoT System
Holik Protecting IoT Devices with Software-Defined Networks
JP4710889B2 (ja) 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム
JP2005332152A (ja) 不正アクセス検知及び拒否を行うシステム、サーバ、及び方法、並びにプログラム

Legal Events

Date Code Title Description
N231 Notification of change of applicant
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160928

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20171011

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20181008

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20191007

Year of fee payment: 7