KR101404352B1 - 정보 시스템 기반구조의 보안 정책 조정 방법 - Google Patents
정보 시스템 기반구조의 보안 정책 조정 방법 Download PDFInfo
- Publication number
- KR101404352B1 KR101404352B1 KR1020127029143A KR20127029143A KR101404352B1 KR 101404352 B1 KR101404352 B1 KR 101404352B1 KR 1020127029143 A KR1020127029143 A KR 1020127029143A KR 20127029143 A KR20127029143 A KR 20127029143A KR 101404352 B1 KR101404352 B1 KR 101404352B1
- Authority
- KR
- South Korea
- Prior art keywords
- attack
- security policy
- information system
- therapeutic
- parameter
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명은 공격을 고려한 정보 시스템 기반구조의 보안 정책을 구성시키는 방법에 관한 것으로서, 방법은 - 잠재적인 공격 및 그들의 관련된 리스크를 데이터 저장소(126)에 저장하는 단계, - 잠재적인 공격에 응답하여 치료적 보안 정책(128)을 데이터 저장소에 저장하는 단계, - 정보 시스템의 데이터 스트림을 나타내는 입력 콘텐츠를 모니터링하는 단계(101), - 정보 시스템 내의 적어도 하나의 공격을 탐지하는 단계(129), - 적어도 하나의 탐지된 공격의 성공 확률 매개 변수(132) 및 관련된 비용 영향 매개 변수(136)를 평가하는 단계, - 적어도 하나의 탐지된 공격에 응답하여 적어도 하나의 치료적 보안 정책의 활성화 영향 매개 변수 및 관련된 비용 영향 매개 변수를 평가하는 단계, - 적어도 하나의 탐지된 공격의 성공 확률 매개 변수, 적어도 하나의 치료적 보안 정책의 활성화 영향 매개 변수, 및 적어도 하나의 탐지된 공격과 적어도 하나의 치료적 보안 정책의 양자의 비용 영향 매개 변수에 따라 치료적 보안 정책의 활성화 또는 비활성화(134)를 결정하는 단계를 포함한다.
Description
본 발명은 정보 시스템 보호의 분야에 관한 것으로서, 특히 정보 시스템이 받았거나 받고 있는 공격에 따른 보안 정책의 관리에 관한 것이다.
정보 시스템의 기반구조는 침입, 데이터 절도, 바이러스 또는 웜(worm) 등과 같은 악의적인 이벤트로 이어지는 유해한 공격으로부터 보호될 필요가 있다.
대형 정보 시스템 기반구조를 가진 기존 공격 탐지 시스템에 의해 생성되는 경보의 잠재적인 수로 인해, 오퍼레이터는 공격의 리스크를 실시간으로 평가하며 공격에 응답해서 적용할 적절한 응답을 결정하는 것은 불가능하게 된다. 따라서, 공식적으로 정의된 운영 보안 정책의 자동 배포는 통신 및 정보 기반구조를 보호에서 고려되기 시작한다.
도 l은 현재의 기술적 수준(the state of the art)에서의 그러한 자동 보호의 예를 나타낸다.
제 1 단계(101)는 기본적인 경보(102)의 생성으로 이어지는 모니터링 정보 시스템으로의 공격의 탐지에 상응한다. 그 후, 경보 상관 관계는 적절한 보안 규칙(106)를 활성화하기 위해 정책 인스턴스(instantiation) 엔진(105)으로 송신되는 상관 경보(104)를 정의하도록 처리된다(103). 이러한 규칙은 정책 시행 포인트(109)를 구성하는데 이용되는 구성 스크립트(108)를 생성하는 정책 결정 포인트(107)로 송신된다. 상기 정책 시행 포인트(109)는 정보 시스템(1)에 위치되며, 탐지된 공격에 응답하여 보안 규칙을 적용한다.
자동 정책 활성화에 대한 이러한 구성은 결점을 갖는다. 실제로, 그것은 상관 경보에만 기초하며, 상관 경보의 수는 수천의 보안 정책 활성화로 이어지는 매우 큰 수(대형 시스템으로 하루에 최대 수천)에 도달할 수 있다. 더욱이, 상기 보안 정책의 비활성화는 정보 시스템(1)의 사용자에 미치는 영향이 공격의 영향보다 가치가 있을지라도 보안 정책이 활성화될 수 있도록 하는 현재의 기술적 수준의 구성에는 고려되지 않는다.
그래서, 본 발명의 목적은 현재의 기술적 수준의 상술한 결점을 극복하여, 활성화 결정에 영향을 미치는 다수의 매개 변수에 따라 필요할 때에 보안 정책을 비활성화하는 방법을 정의함으로써 필요할 때에만 보안 정책 활성화를 동적으로 트리그(trig)하는 방법을 제공하기 위한 것이다.
이것은 공격을 고려한 정보 시스템 기반구조의 보안 정책을 구성시키는 방법에 의해 달성되며, 상기 방법은
- 잠재적인 공격 및 그들의 관련된 리스크를 데이터 저장소에 저장하는 단계,
- 잠재적인 공격에 응답하여 치료적(curative) 보안 정책을 데이터 저장소에 저장하는 단계,
- 정보 시스템의 데이터 스트림을 나타내는 입력 콘텐츠를 모니터링하는 단계,
- 정보 시스템 내의 적어도 하나의 공격을 탐지하는 단계,
- 적어도 하나의 탐지된 공격의 성공 확률 매개 변수 및 관련된 비용 영향 매개 변수를 평가하는 단계,
- 적어도 하나의 탐지된 공격에 응답하여 적어도 하나의 치료적 보안 정책의 활성화 영향 매개 변수 및 관련된 비용 영향 매개 변수를 평가하는 단계,
- 적어도 하나의 탐지된 공격의 성공 확률 매개 변수, 적어도 하나의 치료적 보안 정책의 활성화 영향 매개 변수, 및 적어도 하나의 탐지된 공격 및 적어도 하나의 치료적 보안 정책의 양방의 비용 영향 매개 변수에 따라 치료적 보안 정책의 활성화 또는 비활성화를 결정하는 단계를 포함한다.
본 발명의 다른 양태에 따르면, 잠재적인 공격 및 그들의 관련된 리스크를 데이터 저장소에 저장하는 단계는
- 정보 시스템 토폴로지 및 공격 탐지 서명을 정의하는 단계,
- 잠재적인 공격 목표를 식별하는 정보 시스템의 리스크 분석을 정의하는 단계,
- 식별된 공격 목표에 도달할 공격 모델을 특정하는 단계,
- 상기 공격 모델을 데이터 저장소에 저장하는 단계를 포함한다.
본 발명의 추가적 양태에 따르면, 잠재적인 공격에 응답하여 치료적 보안 정책을 데이터 저장소에 저장하는 단계는
- 적어도 하나의 공격 콘텍스트(context)를 특정하는 단계,
- 특정된 적어도 하나의 공격 콘텍스트에 상응하는 치료적 보안 정책을 특정하는 단계,
- 상기 치료적 보안 정책을 데이터 저장소에 저장하는 단계를 포함한다.
본 발명의 추가적 양태에 따르면, 적어도 하나의 탐지된 공격의 성공 확률 매개 변수 및 관련된 비용 영향 매개 변수를 평가하는 단계는
- 저장된 공격 모델 및 탐지된 적어도 하나의 공격에 기초하여 공격 전략 그래프를 생성하는 단계,
- 목표에 도달할 공격에 대한 확률을 평가하는 단계,
- 시스템 보안 레벨 및 시스템 서비스 품질(QoS) 레벨에 미치는 공격 목표의 영향을 평가하는 단계,
- 공격 목표의 관련된 비용 영향 매개 변수를 평가하는 단계를 포함한다.
본 발명의 다른 양태에 따르면, 적어도 하나의 탐지된 공격에 응답하여 적어도 하나의 치료적 보안 정책의 활성화 영향 매개 변수 및 관련된 비용 영향 매개 변수를 평가하는 단계는 저장된 치료적 보안 정책 및 모니터링 정보 시스템의 상태에 기초한다.
본 발명의 추가적 양태에 따르면, 적어도 하나의 탐지된 공격의 성공 확률 매개 변수, 적어도 하나의 치료적 보안 정책의 활성화 영향 매개 변수, 및 적어도 하나의 탐지된 공격 및 적어도 하나의 치료적 보안 정책의 양방의 비용 영향 매개 변수에 따라 치료적 보안 정책의 활성화 또는 비활성화를 결정하는 단계는 모니터링 시스템의 상태의 전개(evolution)에 기초하여 동적으로 적용된다.
본 발명의 추가적 양태에 따르면, 비용 영향 매개 변수는
- 서비스 품질(QoS) 영향, 및
- 보안 레벨 저하 영향을 포함한다.
본 발명은 또한 모니터링 및 보호 장비를 나타내며, 상기 모니터링 및 보호 장비는
- 잠재적인 공격 및 그들의 관련된 리스크를 저장하며,
- 잠재적인 공격에 응답하여 치료적 보안 정책을 저장하기 위한
- 적어도 하나의 데이터 저장소,
- 정보 시스템의 데이터 스트림을 나타내는 입력 콘텐츠를 모니터링하고,
- 정보 시스템 내의 적어도 하나의 공격을 탐지하고,
- 적어도 하나의 탐지된 공격의 성공 확률 매개 변수 및 관련된 비용 영향 매개 변수를 평가하고,
- 적어도 하나의 탐지된 공격에 응답하여 적어도 하나의 치료적 보안 정책의 적어도 하나의 활성화 영향 매개 변수 및 관련된 비용 영향 매개 변수를 평가하고,
- 적어도 하나의 탐지된 공격의 성공 확률 매개 변수, 적어도 하나의 치료적 보안 정책의 활성화 영향 매개 변수, 및 적어도 하나의 탐지된 공격 및 적어도 하나의 치료적 보안 정책의 양방의 비용 영향 매개 변수에 따라 치료적 보안 정책의 활성화를 결정하며,
- 적어도 하나의 치료적 보안 정책을 활성화하기 위한
- 처리 수단을 포함한다.
본 발명은 또한 모니터링 및 보호 장비를 나타내며, 상기 모니터링 및 보호 장비는
- 잠재적인 공격 및 그들의 관련된 리스크를 저장하며,
- 잠재적인 공격에 응답하여 치료적 보안 정책을 저장하기 위한
- 적어도 하나의 데이터 저장소,
- 정보 시스템의 데이터 스트림을 나타내는 입력 콘텐츠를 모니터링하고,
- 정보 시스템 내의 적어도 하나의 공격을 탐지하고,
- 적어도 하나의 탐지된 공격의 성공 확률 매개 변수 및 관련된 비용 영향 매개 변수를 평가하고,
- 적어도 하나의 탐지된 공격에 응답하여 적어도 하나의 치료적 보안 정책의 적어도 하나의 활성화 영향 매개 변수 및 관련된 비용 영향 매개 변수를 평가하고,
- 적어도 하나의 탐지된 공격의 성공 확률 매개 변수, 적어도 하나의 치료적 보안 정책의 활성화 영향 매개 변수, 및 적어도 하나의 탐지된 공격 및 적어도 하나의 치료적 보안 정책의 양방의 비용 영향 매개 변수에 따라 치료적 보안 정책의 비활성화를 결정하며,
- 적어도 하나의 치료적 보안 정책을 비활성화하기 위한
- 처리 수단을 포함한다.
도 1은 현재의 기술적 수준에 따라 정보 시스템의 공격에 대해 보안 정책을 실행하는 보호 방법의 서로 다른 단계의 개요도이다.
도 2는 본 발명에 따라 공격에 대해 정보 시스템 기반구조의 보안 정책을 구성시키는 보호 방법의 서로 다른 단계의 개요도이다.
도 3은 서로 다른 공격 단계 및 이러한 공격과 관련된 목표를 포함하는 공격 그래프의 일례의 다이어그램이다.
도 4는 본 발명에 따라 공격에 대해 정보 시스템 기반구조의 보안 정책을 구성시키는 상세한 보호 방법의 서로 다른 단계의 개요도이다.
도 2는 본 발명에 따라 공격에 대해 정보 시스템 기반구조의 보안 정책을 구성시키는 보호 방법의 서로 다른 단계의 개요도이다.
도 3은 서로 다른 공격 단계 및 이러한 공격과 관련된 목표를 포함하는 공격 그래프의 일례의 다이어그램이다.
도 4는 본 발명에 따라 공격에 대해 정보 시스템 기반구조의 보안 정책을 구성시키는 상세한 보호 방법의 서로 다른 단계의 개요도이다.
본 명세서에 사용되는 바와 같이, 용어 "공격(attack)"은 시스템의 정상적인 승인 사용을 어기거나, 예를 들어 네트워크 스캐닝, 비밀 번호 크래킹, 악성 이메일(또는 스팸이라고도 함)의 송출, 잘못된 인터넷 프로토콜(IP) 패킷의 송출로서 의도적으로 또는 실수로 시스템의 취약점을 이용하는 시스템의 이벤트를 나타낸다.
더욱이, 정보 시스템에 대한 표현 공격은 (보통 공격자 머신으로부터) 정보 시스템의 외부 또는 내부에서 시작되어, 상기 시스템에 기능 장애를 생성하기 위해 상기 정보 시스템으로 지향되는 공격을 나타낸다.
본 명세서에 사용되는 바와 같이, 용어 "SIP"는 세션 인터넷 프로토콜(session Internet protocol)의 두문자어를 나타낸다.
본 명세서에 사용되는 바와 같이, 용어 "IP"는 인터넷 프로토콜(Internet protocol)의 두문자어를 나타낸다.
본 명세서에 사용되는 바와 같이, 용어 "QoS"는 서비스 품질(quality of service)의 두문자어를 나타낸다.
본 발명의 실시예는 악의적인 공격에 대해 정보 시스템을 보호하기 위해 보안 정책을 활성화 및 비활성화하는 방법을 나타내는데, 공격의 영향뿐만 아니라 보안 정책의 목표 및 영향에 도달할 공격에 대한 성공 가능성은 정보 시스템의 사용자에 미치는 공격의 영향, 특히 비용을 최소화하기 위해 활성화/비활성화 결정에 고려된다.
도 2는 정보 시스템(1)의 보호를 구성시키는 방법의 일반적인 단계를 나타낸다.
단계(110)는 잠재적인 공격 및 그들의 관련된 리스크의 데이터 저장소 내의 특정(specification) 및 저장(storing)을 나타낸다. 이러한 제 1 단계는 가능한 공격의 목표 및 전략을 정의하는 공격 모델을 제공할 수 있다.
단계(111)는 이전의 단계에서 정의된 가능한 공격에 응답하여 적용하도록 예측된 보안 정책의 데이터 저장소 내의 특정 및 저장을 나타낸다.
단계(112)는 데이터 스트림 및 공격 탐지에 상응하는 정보 시스템(1)의 입력한 콘텐츠의 모니터링을 나타낸다.
단계(113)는 탐지된 공격의 성공 확률 및 이러한 공격과 관련된 비용 영향의 평가를 나타낸다. 이러한 평가는 단계(110)에서 저장된 공격 모델 및 단계(112)에서 탐지된 공격에 기초하여 달성된다.
단계(114)는 탐지된 공격에 응답하는 치료적 보안 정책의 활성화의 영향 및 이러한 활성화와 관련된 비용 영향의 평가를 나타낸다. 이러한 평가는 단계(111)에서 저장된 보안 정책 및 모니터링 정보 시스템(1)의 상태에 기초하여 달성된다.
단계(115)는 단계(113 및 114)에서 달성된 평가에 따라 치료적 보안 정책을 활성화하거나 비활성화하는 결정을 나타낸다. 이러한 결정은 정보 시스템(1)의 공격 및 치료적 보안 정책의 양방의 누적 영향의 비교에 상응한다.
그 후, 단계(115)에서 결정된 활성화 또는 비활성화가 단계(116)에 적용된다.
더욱이, 단계(110 및 111)는 오프라인이 달성될 수 있는 예비 단계인 반면에, 단계(112, 113, 114, 115, 116)는 정보 시스템의 어떤 수정이 보안 정책의 활성화 또는 비활성화를 결정하도록 실시간으로 고려되는 온라인으로 달성되는 동적 단계이라는 점이 주목되어야 한다.
따라서, 본 발명은 공격 결과 및 보안 정책의 활성화의 결과 양방의 평가 때문에 치료적 보안 정책을 활성화할 가치가 있는지를 판단할 수 있으며, 상기 정책은 정보 시스템의 전개 및 상기 정보 시스템에 미치는 이러한 정책의 영향에 따라 이러한 정책을 활성화된 상태로 유지할 가치가 있는지를 판단하도록 활성화된다.
상술한 바와 같이, 공격은 시스템에서 발생하는 이벤트이다. 실제로, 공격은 인터넷 프로토콜(VoIP) 시스템을 통해 음성을 해킹하려는 공격 그래프의 예가 설명되는 도 3에 설명된 바와 같이 공격의 목표로 이어지는 서로 다른 레벨(또는 단계)로 포함한다.
제 1 레벨(201)은 피해자(victim) 머신으로의 이메일의 송출(악의적인 이메일 또는 스팸)에 상응한다. 그 후, 아래의(또는 다음) 레벨은 목표(213, 214, 215 및 216)에 도달하기 위한 여러 단계를 나타낸다. 제 2 레벨(202)은 (이메일의 악의적인 링크 또는 첨부 파일의 사용자에 의해 시작 부분(opening)에 상응하는) 피해자 머신의 원격 쉘(shell)의 게인(gain)을 나타낸다. 제 3 레벨(203)은 원격 쉘을 이용하는 인간의 활동을 시뮬레이션할 수 있는 악의적인 소프트웨어 봇(bot)을 설치한 봇(로봇) 감염에 상응한다. 봇은 실행할 공격자로부터 미래 명령을 기다릴 수 있다. 도 3에 나타낸 바와 같이, 수개의 원격 쉘 및 수개의 상응하는 봇 감염은 정보 시스템에 병렬로 발생시킬 수 있다.
다음 레벨(204)은 SIP 프로토콜을 이용하여 머신(일반적으로 컴퓨터) 또는 서버를 발견할 시스템(또는 네트워크)의 스캐닝인 세션 초기 프로토콜(SIP) 디스커버리의 발견에 상응한다. 이러한 공격은 봇에 의해 행해질 수 있다.
이러한 단계에서, 공격은 이의 목적에 따라 서로 다른 두 가지 방식을 이용할 수 있다.
제 1 방식은 이전의 레벨(204)에서 발견된 SIP 엔티티에 설치되어 있는 소프트웨어(운영 체제, 소프트폰, 서버 등)의 타입 및 버전의 식별로 구성되는 SIP 지문을 나타내는 단계(205)로 이어진다. 이러한 레벨은 또한 봇에 의해 수행될 수 있다.
단계(205)에서, 공격은 다시 서로 다른 두 가지 방식을 가질 수 있는데, 그 하나는 IP(SPIT)(213)를 통한 스팸의 목표로 이어지며, 두 레벨, 즉 VoIP 시스템의 사용자를 결정하기 위한 스캐닝이며 봇에 의해 수행될 수 있는 활성 사용자의 발견, 및 IP(SPIT)를 통한 스팸을 수행하는 (봇에 의한) 피해자 사용자에 대한 호출을 나타내는 직접 호출(209)을 포함한다.
레벨(205)에서의 다른 가능성은 (봇에 의해 수행될 수 있는) 잠재적인 피해자 머신(207)의 미디어 액세스 제어(MAC) 주소의 발견이다.
그 후, 다음 단계(208)는 두 피해자 사용자 사이의 트래픽(예컨대, 확립된 호출)이 하나의 봇을 통과하도록 하는 주소 결정 프로토콜(ARP) 중독(poisoning)이다. 그 후, 공격자는 피해자 사용자 양방 사이의 모든 트래픽에 액세스할 수 있다. 이것은 스니프(sniff) 오디오(211)가 양방의 사용자 사이로 전송되는 오디오 패킷을 스니프하는 단계, 또는 주입 오디오(212)가 확립된 호출을 변경하기 위해 양방의 사용자 사이로 전송할 시에 오디오 패킷을 주입하는 단계에 이른다. 상응하는 각각의 목표는 대화 도청(conversation tapping)(214) 및 대화 주입(215)이다.
레벨(204)에서, 제 2 공격 솔루션은 봇이 VoIP 시스템의 주요 서버에 폭주하여, 목표(216)인 서비스 거부(DoS)를 일으키는 서버 플러딩(flooding)(210)에 있다.
공격이 목표에 가까울수록, 목표에 도달할 확률이 높다는 것이 주목되어야 한다. 따라서, 스팸(레벨(201))이 탐지되면, 일반적으로, 공격이 목표(213, 214, 215 또는 216) 중 하나에 도달할 확률이 여전히 낮을 때에 보안 정책을 활성화할 가치가 없는 반면에, 예컨대 서버가 폭주하면(레벨(210)), 목표(216)에 도달할 확률은 매우 높다.
도 3에 제시된 바와 같은 그래프는 데이터 저장소에 저장된 공격 모델에 기초하여 자동으로 달성되고, 상술한 바와 같이 공격의 영향 및 목표에 도달할 확률의 평가에 이용된다.
본 발명의 여러 단계를 더 잘 이해하기 위해, 본 발명의 가능한 실시예에 대한 상세한 구성은 이제 도 4에 기초하여 설명될 것이며, 그것은 도 2에 제시된 구조를 더욱 상세히 제시한 것을 나타낸다.
단계(120)는 정보 시스템 토폴로지 및 공격 또는 침입 탐지 서명(IDS)의 데이터 저장소 내의 저장에 상응한다. 단계(121)는 잠재적인 공격 목표(122)를 식별하기 위해 전문가에 의해 실시되는 모니터링 시스템에 대한 리스크 분석이다. 이러한 공격 목표 및 시스템 토폴로지(단계(120)에 저장)에 기초하여, 공격 모델에는 (전문가에 의해) (123) 뿐만 아니라 공격 콘텍스트 특정부(126)가 특정된다. 그 후, 도 4에 제시된 바와 같은 공격 모델은 (124)로 설정되고, 기본 모델로서 데이터 저장소(125)에 저장된다.
한편, 공격 콘텍스트(126)의 특정부는 응답 콘텍스트(127)를 특정할 수 있다. 각 식별된 공격 콘텍스트에 대해, 적절한 응답 콘텍스트에는 관련 보안 규칙이 특정된다. 상기 보안 규칙 및 공격 콘텍스트는 보안 정책으로서 데이터 저장소(128)에 저장된다. 상기 보안 정책은 예컨대 방화벽 활성화, 인증 요청 활성화 또는 사용자 계정 차단, 또는 정보 시스템을 치료하거나 공격의 영향을 줄일 수 있는 모든 동작을 나타낸다.
저장된 공격 모델, 및 각 공격에 응답하여 적용할 보안 정책에 기초하여, 본 발명의 자동 및 동적 부분이 구현될 수 있다.
정보 시스템(1)은 공격을 탐지하고, 경보를 생성하며, 송신할 수 있는 어떤 타입의 센서에 상응하는 침입 탐지 시스템(IDS)(101)에 의해 모니터링된다. 상기 센서는 특정 전자 장치(마이크로 제어기, 주문형 반도체(ASIC)...)로 만들어질 수 있으며, 또는 정보 기술(IT) 환경에서 그것은 단순히 컴퓨터, 서버 또는 라우터에 의해 실행되는 소프트웨어일 수 있다.
그 후, IDS에 의해 송신된 경보는 도 3에 제시된 바와 같은 공격 그래프를 생성하도록 데이터 저장소에 저장되는 공격 모델 및 집합 경보를 이용하는 온라인 상관 엔진(131)에서 집합된다(129). 생성된 그래프는, 한편으로, 공격이 목표(132)에 도달할 확률의 평가를 위해, 다른 한편으로는 공격의 영향에 대한 평가를 위해 이용된다.
목표에 도달할 확률의 결정은 공격이 목표에 도달할 성공 가능성에 상응한다. 따라서, 공격의 (공격 그래프에 미리 정의된) 각 달성 가능한 목표의 성공 가능성 레벨이 계산된다. 이러한 레벨은 공격이 목표에 대해 얼마나 가까운 지를 보여준다.
공격 영향 평가는 보안에 미치는 공격 및 정보 시스템(1)의 서비스 품질(QoS)의 영향의 결정에 상응한다. 이것은 기밀성, 무결성 및 가용성과 정보 시스템(1)의 사용에 영향을 주는 어떤 매개 변수에 미치는 영향을 수집한다. 이러한 평가는 또한 정보 시스템(1)의 상태에 기초한다.
그 후, 양방의 평가의 결과는 공격의 누적 영향이 결정되는 정책 인스턴스 엔진(PIE)(134)으로 송신된다.
게다가, 공격의 영향의 평가와 동일한 방식으로, 공격(136)의 응답으로 이용될 수 있는 치료적 보안 정책의 영향의 평가는 저장된 보안 정책에 기초하여 행해진다. 다시 말하면, 보안 및 정보 시스템의 QoS 양방 뿐만 아니라 상기 시스템의 상태에 미치는 영향은 평가에 고려된다. 평가의 결과는 또한 치료적 보안 정책의 누적 영향이 결정되는 PIE(134)로 전송된다.
정책 인스턴스 엔진(134)은 공격 영향의 한 측 및 치료적 보안 정책 영향의 다른 측에 상응하는 평가를 수신하며, 이러한 평가는 공격 핸들러 모듈(135) 및 응답 핸들러 모듈(137)에 의해 제각기 처리된다. 영향의 각 타입에 대해, 적어도 하나의 메트릭(metric)이 정의되어 있으며, 일반적인 경우에, (보안, QoS...에 미치는) 영향의 여러 양태에 상응하는 다수의 메트릭은 정의되어 있고, 이러한 모든 영향 기여의 평가된 값은 (실질적으로 시간이 지남에 따라 값을 통합하여) 추가된다.
공격 핸들러 모듈 및 응답 핸들러 모듈에 의해 계산되는 누적 영향 뿐만 아니라 공격이 목표에 도달할 확률(또한 성공 가능성이라 함) 및 모니터링 정보 시스템(1)의 상태의 양방에 기초하여, PIE(134)는 치료적 보안 정책이 활성화 또는 비활성화되어야 하는지를 판단한다.
서로 다른 활성화/비활성화 규칙은 이용될 수 있으며, 예컨대, 보안 정책은 성공 가능성이 주어진 임계값에 도달할 경우, 또는 공격 영향이 미리 정해진 임계값에 도달할 경우에 활성화될 수 있다. 또한, 양방(공격 영향 및 성공 가능성이 주어진 임계값에 도달할 경우의 활성화)이 조합될 수 있다.
일반적으로, 응답 정책은 다음과 같을 때에 활성화되어야 한다:
- 탐지된 위협이 보안 및 운영 정책을 위반하였을 때,
- 위협의 성공 가능성(공격 진행 및 모니터링 시스템의 상태를 고려하여 동적으로 계산)이 미리 정의된 임계값을 초과할 때, 및
- 위협의 영향은 미리 정의된 임계값을 초과하고, 관련된 응답 정책의 비용보다 더 클 때.
동일한 방식으로, 성공 확률이 주어진 임계값 아래이거나 응답 영향이 미리 정의된 임계값 또는 양방의 조합 이상일 경우, 활성화된 보안 정책은 비활성화되어야 한다. 이러한 경우는 응답 정책의 영향이 초기 공격에 대해 이점보다 더 많은 결점을 유도하거나 공격과 관련된 리스크가 없어지거나 제거되었을 경우에 발생할 수 있다.
그리고 나서, 보안 정책을 활성화하거나 비활성화하는 순서 또는 명령은 응답 정책 배포 포인트(PDP)(107)(또한 정책 결정 포인트라 함)으로 송신되며, 응답 정책의 각 보안 규칙은 정보 시스템(1) 내에 위치되고, 보안 정책(방화벽 활성화 또는 구성, 침입 방지 시스템 활성화, 계정 허용 및 액세스 수정...)을 시행하는 데 이용되는 정책 시행 포인트(PEP)(109)를 구성하는 스크립트로 변환된다.
(온라인 상관 엔진(131), 공격 목표 확률 평가부(132), 공격 영향 평가부, 공격 응답 평가부(136), 정책 인스턴스 엔진(134), 정책 배포 포인트 및 정책 시행 포인트를 포함하는) 온라인 단계는 컴퓨터 또는 서버에 의해 실행되는 프로그램 또는 소프트웨어에 의해 달성될 수 있다. 상기 온라인 단계는 데이터 저장소의 저장 요소(공격 모델 데이터 저장소(125) 및 응답 정책 데이터 저장소(128))를 이용하여, 탐지된 공격 및 모니터링 정보 시스템(1)의 상태에 따라 응답 보안 정책의 활성화/비활성화의 필요성을 동적으로 결정한다.
따라서, 본 발명은 공격의 영향의 동적 평가를 제공할 수 있을 뿐만 아니라 보안 정책의 이용의 최적의 효율성을 제공하는 공격에 응답해서 적용하는 보안 정책의 영향의 동적 평가도 제공할 수 있다. 더욱이, 보안 정책을 비활성화하는 조건을 결정하는 아이디어는 정보 시스템 보호의 반응을 향상시키며 정보 시스템의 불필요하게 저하된 이용을 방지해준다. 실제로, 보안 정책은 보통 공격의 효과를 제한하며 또한 상기 정보 시스템의 용량을 감소시키는 저하 모드에 응답하며, 정보 시스템을 이용하는 회사에 대한 생산성의 손실 또는 서비스 품질(QoS)의 감소로 이어지는 정보 시스템의 사용자를 방해하며 영향을 미칠 수 있다.
Claims (9)
- 공격에 따라 정보 시스템 기반구조의 보안 정책을 조정하는 방법으로서,
잠재적인 공격(potential attacks) 및 관련된 리스크(risks)를 데이터 저장소에 저장하는 단계와,
상기 잠재적인 공격에 응답하여 치료적 보안 정책(curative security policies)을 데이터 저장소에 저장하는 단계와,
정보 시스템의 데이터 스트림을 나타내는 입력 콘텐츠를 모니터링하는 단계와,
상기 정보 시스템 내에서 적어도 하나의 공격을 탐지하는 단계와,
상기 적어도 하나의 탐지된 공격의 성공 확률 매개 변수 및 상기 적어도 하나의 탐지된 공격과 관련된 누적 비용 영향 매개 변수(cumulative cost impact parameter)를 평가하는 단계와,
상기 적어도 하나의 탐지된 공격에 응답하여 적어도 하나의 치료적 보안 정책의 활성화 영향 매개 변수 및 상기 적어도 하나의 치료적 보안 정책과 관련된 누적 비용 영향 매개 변수를 평가하는 단계와,
상기 적어도 하나의 탐지된 공격의 성공 확률 매개 변수, 상기 적어도 하나의 치료적 보안 정책의 활성화 영향 매개 변수, 및 상기 적어도 하나의 탐지된 공격과 상기 적어도 하나의 치료적 보안 정책 양자의 누적 비용 영향 매개 변수에 따라 치료적 보안 정책의 활성화 또는 비활성화를 결정하는 단계를 포함하는
정보 시스템 기반구조의 보안 정책을 조정하는 방법.
- 제1항에 있어서,
상기 잠재적인 공격 및 관련된 리스크를 상기 데이터 저장소에 저장하는 단계는,
정보 시스템 토폴로지 및 공격 탐지 서명(attack detection signatures)을 정의하는 단계와,
잠재적인 공격 목표(potential attack objectives)를 식별하는 상기 정보 시스템의 리스크 분석을 정의하는 단계와,
상기 식별된 공격 목표에 도달할 공격 모델을 특정하는(specifying) 단계와,
상기 공격 모델을 상기 데이터 저장소에 저장하는 단계를 포함하는
정보 시스템 기반구조의 보안 정책을 조정하는 방법.
- 제1항 또는 제2항에 있어서,
상기 잠재적인 공격에 응답하여 치료적 보안 정책을 상기 데이터 저장소에 저장하는 단계는,
적어도 하나의 공격 콘텍스트를 특정하는 단계와,
상기 특정된 적어도 하나의 공격 콘텍스트에 상응하는 치료적 보안 정책을 특정하는 단계와,
상기 치료적 보안 정책을 상기 데이터 저장소에 저장하는 단계를 포함하는
정보 시스템 기반구조의 보안 정책을 조정하는 방법.
- 제1항 또는 제2항에 있어서,
상기 적어도 하나의 탐지된 공격의 성공 확률 매개 변수 및 관련된 비용 영향 매개 변수를 평가하는 단계는,
상기 저장된 공격 모델 및 상기 탐지된 적어도 하나의 공격에 기초하여 공격 전략 그래프(attack strategy graphs)를 생성하는 단계와,
상기 공격이 그 목표에 도달할 확률을 평가하는 단계와,
시스템 보안 레벨 및 시스템 서비스 품질(QoS) 레벨에 미치는 공격 목표의 영향을 평가하는 단계와,
상기 공격 목표의 관련된 비용 영향 매개 변수를 평가하는 단계를 포함하는
정보 시스템 기반구조의 보안 정책을 조정하는 방법.
- 제1항 또는 제2항에 있어서,
상기 적어도 하나의 탐지된 공격에 응답하여 적어도 하나의 치료적 보안 정책의 활성화 영향 매개 변수 및 관련된 비용 영향 매개 변수를 평가하는 단계는
상기 저장된 치료적 보안 정책 및 상기 모니터링된 정보 시스템의 상태에 기초하는
정보 시스템 기반구조의 보안 정책을 조정하는 방법.
- 제1항 또는 제2항에 있어서,
상기 적어도 하나의 탐지된 공격의 성공 확률 매개 변수, 상기 적어도 하나의 치료적 보안 정책의 활성화 영향 매개 변수, 및 상기 적어도 하나의 탐지된 공격과 상기 적어도 하나의 치료적 보안 정책 양자의 비용 영향 매개 변수에 따라 치료적 보안 정책의 활성화 또는 비활성화를 결정하는 단계는
상기 모니터링된 시스템 상태의 전개(evolution)에 기초하여 동적으로 적용되는
정보 시스템 기반구조의 보안 정책을 조정하는 방법.
- 제1항 또는 제2항에 있어서,
상기 비용 영향 매개 변수는
서비스 품질(QoS) 영향과,
보안 레벨 저하 영향(a security level degradation impact)을 포함하는
정보 시스템 기반구조의 보안 정책을 조정하는 방법.
- 모니터링 및 보호 장비로서,
잠재적인 공격 및 관련된 리스크를 저장하고, 상기 잠재적인 공격에 응답하여 치료적 보안 정책을 저장하기 위한 적어도 하나의 데이터 저장소와,
처리 수단을 포함하되,
상기 처리 수단은,
정보 시스템의 데이터 스트림을 나타내는 입력 콘텐츠를 모니터링하고,
상기 정보 시스템 내의 적어도 하나의 공격을 탐지하고,
상기 탐지된 적어도 하나의 공격의 성공 확률 매개 변수 및 상기 적어도 하나의 공격과 관련된 누적 비용 영향 매개 변수를 평가하고,
상기 적어도 하나의 탐지된 공격에 응답하여 적어도 하나의 치료적 보안 정책의 적어도 하나의 활성화 영향 매개 변수 및 상기 적어도 하나의 치료적 보안 정책과 관련된 누적 비용 영향 매개 변수를 평가하고,
상기 적어도 하나의 탐지된 공격의 성공 확률 매개 변수, 상기 적어도 하나의 치료적 보안 정책의 활성화 영향 매개 변수, 및 상기 적어도 하나의 공격과 상기 적어도 하나의 치료적 보안 정책 양자의 누적 비용 영향 매개 변수에 따라 치료적 보안 정책의 활성화를 결정하고,
상기 적어도 하나의 치료적 보안 정책을 활성화하는(activating)
모니터링 및 보호 장비.
- 모니터링 및 보호 장비로서,
잠재적인 공격 및 관련된 리스크를 저장하고, 상기 잠재적인 공격에 응답하여 치료적 보안 정책을 저장하기 위한 적어도 하나의 데이터 저장소와,
처리 수단을 포함하되,
상기 처리 수단은,
정보 시스템의 데이터 스트림을 나타내는 입력 콘텐츠를 모니터링하고,
상기 정보 시스템 내의 적어도 하나의 공격을 탐지하고,
상기 탐지된 상기 적어도 하나의 공격의 성공 확률 매개 변수 및 상기 적어도 하나의 공격과 관련된 누적 비용 영향 매개 변수를 평가하고,
상기 적어도 하나의 탐지된 공격에 응답하여 적어도 하나의 치료적 보안 정책의 적어도 하나의 활성화 영향 매개 변수 및 상기 적어도 하나의 치료적 보안 정책과 관련된 누적 비용 영향 매개 변수를 평가하고,
상기 적어도 하나의 탐지된 공격의 성공 확률 매개 변수, 상기 적어도 하나의 치료적 보안 정책의 활성화 영향 매개 변수, 및 상기 적어도 하나의 공격과 상기 적어도 하나의 치료적 보안 정책 양자의 누적 비용 영향 매개 변수에 따라 치료적 보안 정책의 비활성화를 결정하고,
상기 적어도 하나의 치료적 보안 정책을 비활성화하는(deactivating)
모니터링 및 보호 장비.
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP10290250.9 | 2010-05-07 | ||
| EP10290250.9A EP2385676B1 (en) | 2010-05-07 | 2010-05-07 | Method for adapting security policies of an information system infrastructure |
| PCT/EP2011/057252 WO2011138417A1 (en) | 2010-05-07 | 2011-05-05 | Method for adapting security policies of an information system infrastructure |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20130005301A KR20130005301A (ko) | 2013-01-15 |
| KR101404352B1 true KR101404352B1 (ko) | 2014-06-09 |
Family
ID=42830020
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020127029143A KR101404352B1 (ko) | 2010-05-07 | 2011-05-05 | 정보 시스템 기반구조의 보안 정책 조정 방법 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8973092B2 (ko) |
| EP (1) | EP2385676B1 (ko) |
| JP (1) | JP5745619B2 (ko) |
| KR (1) | KR101404352B1 (ko) |
| CN (1) | CN102934122B (ko) |
| WO (1) | WO2011138417A1 (ko) |
Families Citing this family (47)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101948348B1 (ko) | 2011-04-01 | 2019-02-14 | 인터디지탈 패튼 홀딩스, 인크 | 네트워크에 대한 연결성을 제어하는 방법 및 장치 |
| US9137205B2 (en) | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
| US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
| US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
| US9124552B2 (en) | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
| US9094445B2 (en) | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
| EP3036863A1 (en) | 2013-08-19 | 2016-06-29 | Hewlett Packard Enterprise Development LP | Adaptive network security policies |
| JP6380537B2 (ja) * | 2014-08-22 | 2018-08-29 | 日本電気株式会社 | 分析装置、分析方法及びコンピュータ読み取り可能な記録媒体 |
| US9876822B2 (en) | 2014-11-28 | 2018-01-23 | International Business Machines Corporation | Administration of a context-based cloud security assurance system |
| US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
| US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
| US9762616B2 (en) | 2015-08-08 | 2017-09-12 | International Business Machines Corporation | Application-based security rights in cloud environments |
| US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
| US11729144B2 (en) | 2016-01-04 | 2023-08-15 | Centripetal Networks, Llc | Efficient packet capture for cyber threat analysis |
| JP6407184B2 (ja) * | 2016-03-15 | 2018-10-17 | 三菱電機株式会社 | 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム |
| US10764321B2 (en) * | 2016-03-24 | 2020-09-01 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd | Identifying and remediating at-risk resources in a computing environment |
| US10402570B2 (en) | 2017-03-08 | 2019-09-03 | Wipro Limited | Method and device for software risk management within information technology (IT) infrastructure |
| WO2019018033A2 (en) * | 2017-04-14 | 2019-01-24 | The Trustees Of Columbia University In The City Of New York | METHODS, SYSTEMS AND MEDIA FOR TESTING INTERNAL THREAT DETECTION SYSTEMS |
| US10503899B2 (en) | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
| US10284526B2 (en) | 2017-07-24 | 2019-05-07 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
| US11233777B2 (en) | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
| US11729199B2 (en) | 2018-03-27 | 2023-08-15 | Nec Corporation | Security evaluation system, security evaluation method, and program |
| US11063967B2 (en) | 2018-07-03 | 2021-07-13 | The Boeing Company | Network threat indicator extraction and response |
| US10333898B1 (en) | 2018-07-09 | 2019-06-25 | Centripetal Networks, Inc. | Methods and systems for efficient network protection |
| US11281806B2 (en) | 2018-12-03 | 2022-03-22 | Accenture Global Solutions Limited | Generating attack graphs in agile security platforms |
| US11184385B2 (en) | 2018-12-03 | 2021-11-23 | Accenture Global Solutions Limited | Generating attack graphs in agile security platforms |
| US11283825B2 (en) | 2018-12-03 | 2022-03-22 | Accenture Global Solutions Limited | Leveraging attack graphs of agile security platform |
| US11277432B2 (en) | 2018-12-03 | 2022-03-15 | Accenture Global Solutions Limited | Generating attack graphs in agile security platforms |
| US11159555B2 (en) | 2018-12-03 | 2021-10-26 | Accenture Global Solutions Limited | Generating attack graphs in agile security platforms |
| US11695795B2 (en) | 2019-07-12 | 2023-07-04 | Accenture Global Solutions Limited | Evaluating effectiveness of security controls in enterprise networks using graph values |
| US11258825B1 (en) * | 2019-07-18 | 2022-02-22 | Trend Micro Incorporated | Computer network monitoring with event prediction |
| CN110602135B (zh) * | 2019-09-25 | 2022-04-29 | 北京金山安全软件有限公司 | 网络攻击处理方法、装置以及电子设备 |
| CN110909362B (zh) * | 2019-11-12 | 2022-04-29 | 中国科学院微电子研究所 | 系统检测方法、装置、电子设备及存储介质 |
| EP3872665A1 (en) | 2020-02-28 | 2021-09-01 | Accenture Global Solutions Limited | Cyber digital twin simulator for security controls requirements |
| US11876824B2 (en) | 2020-06-25 | 2024-01-16 | Accenture Global Solutions Limited | Extracting process aware analytical attack graphs through logical network analysis |
| US11411976B2 (en) | 2020-07-09 | 2022-08-09 | Accenture Global Solutions Limited | Resource-efficient generation of analytical attack graphs |
| US11483213B2 (en) | 2020-07-09 | 2022-10-25 | Accenture Global Solutions Limited | Enterprise process discovery through network traffic patterns |
| US20220103597A1 (en) * | 2020-09-29 | 2022-03-31 | Cisco Technology, Inc. | Dynamic optimization of client application access via a secure access service edge (sase) network optimization controller (noc) |
| US11831675B2 (en) | 2020-10-26 | 2023-11-28 | Accenture Global Solutions Limited | Process risk calculation based on hardness of attack paths |
| US11362996B2 (en) | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
| US11973790B2 (en) | 2020-11-10 | 2024-04-30 | Accenture Global Solutions Limited | Cyber digital twin simulator for automotive security assessment based on attack graphs |
| US11159546B1 (en) | 2021-04-20 | 2021-10-26 | Centripetal Networks, Inc. | Methods and systems for efficient threat context-aware packet filtering for network protection |
| US11880250B2 (en) | 2021-07-21 | 2024-01-23 | Accenture Global Solutions Limited | Optimizing energy consumption of production lines using intelligent digital twins |
| US11895150B2 (en) | 2021-07-28 | 2024-02-06 | Accenture Global Solutions Limited | Discovering cyber-attack process model based on analytical attack graphs |
| CN114389897B (zh) * | 2022-03-18 | 2022-06-10 | 苏州市卫生计生统计信息中心 | It基础设施安全策略集中管控优化方法 |
| CN114710331A (zh) * | 2022-03-23 | 2022-07-05 | 新华三信息安全技术有限公司 | 一种安全防御的方法和网络安全设备 |
| CN116389075B (zh) * | 2023-03-08 | 2023-10-20 | 安芯网盾(北京)科技有限公司 | 一种主机攻击行为动态拦截方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004015908A2 (en) * | 2002-08-09 | 2004-02-19 | Alphatech, Inc. | Control systems and methods using a partially-observable markov decision process (po-mdp) |
| WO2007027131A2 (en) * | 2005-09-02 | 2007-03-08 | Teliasonera Ab | Method for dependence based risk evaluation in computer systems |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3952648B2 (ja) * | 1999-11-25 | 2007-08-01 | 株式会社日立製作所 | 安全対策方針作成装置 |
| US7162741B2 (en) * | 2001-07-30 | 2007-01-09 | The Trustees Of Columbia University In The City Of New York | System and methods for intrusion detection with dynamic window sizes |
| US7818797B1 (en) * | 2001-10-11 | 2010-10-19 | The Trustees Of Columbia University In The City Of New York | Methods for cost-sensitive modeling for intrusion detection and response |
| US7039950B2 (en) * | 2003-04-21 | 2006-05-02 | Ipolicy Networks, Inc. | System and method for network quality of service protection on security breach detection |
| JP2005071218A (ja) * | 2003-08-27 | 2005-03-17 | Nec Fielding Ltd | 不正アクセス防御システム、ポリシ管理装置、不正アクセス防御方法、及びプログラム |
| US20070028291A1 (en) * | 2005-07-29 | 2007-02-01 | Bit 9, Inc. | Parametric content control in a network security system |
| US8438643B2 (en) * | 2005-09-22 | 2013-05-07 | Alcatel Lucent | Information system service-level security risk analysis |
| JP5020776B2 (ja) * | 2007-10-29 | 2012-09-05 | 株式会社エヌ・ティ・ティ・データ | 情報セキュリティ対策決定支援装置及び方法ならびにコンピュータプログラム |
| JP5145907B2 (ja) * | 2007-12-04 | 2013-02-20 | 日本電気株式会社 | セキュリティ運用管理システム、方法、及び、プログラム |
| US8438402B2 (en) * | 2008-03-25 | 2013-05-07 | Panasonic Corporation | Electronic terminal, control method, computer program and integrated circuit |
| US7899849B2 (en) * | 2008-05-28 | 2011-03-01 | Zscaler, Inc. | Distributed security provisioning |
-
2010
- 2010-05-07 EP EP10290250.9A patent/EP2385676B1/en active Active
-
2011
- 2011-05-05 WO PCT/EP2011/057252 patent/WO2011138417A1/en active Application Filing
- 2011-05-05 US US13/695,822 patent/US8973092B2/en active Active
- 2011-05-05 JP JP2013508510A patent/JP5745619B2/ja not_active Expired - Fee Related
- 2011-05-05 KR KR1020127029143A patent/KR101404352B1/ko active IP Right Grant
- 2011-05-05 CN CN201180022919.5A patent/CN102934122B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004015908A2 (en) * | 2002-08-09 | 2004-02-19 | Alphatech, Inc. | Control systems and methods using a partially-observable markov decision process (po-mdp) |
| WO2007027131A2 (en) * | 2005-09-02 | 2007-03-08 | Teliasonera Ab | Method for dependence based risk evaluation in computer systems |
Also Published As
| Publication number | Publication date |
|---|---|
| US20130111548A1 (en) | 2013-05-02 |
| JP5745619B2 (ja) | 2015-07-08 |
| CN102934122B (zh) | 2015-08-19 |
| EP2385676A1 (en) | 2011-11-09 |
| CN102934122A (zh) | 2013-02-13 |
| JP2013525927A (ja) | 2013-06-20 |
| KR20130005301A (ko) | 2013-01-15 |
| EP2385676B1 (en) | 2019-06-26 |
| WO2011138417A1 (en) | 2011-11-10 |
| US8973092B2 (en) | 2015-03-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101404352B1 (ko) | 정보 시스템 기반구조의 보안 정책 조정 방법 | |
| JP2013525927A5 (ko) | ||
| US7039950B2 (en) | System and method for network quality of service protection on security breach detection | |
| US8650287B2 (en) | Local reputation to adjust sensitivity of behavioral detection system | |
| US8881259B2 (en) | Network security system with customizable rule-based analytics engine for identifying application layer violations | |
| KR101045362B1 (ko) | 능동 네트워크 방어 시스템 및 방법 | |
| US7526806B2 (en) | Method and system for addressing intrusion attacks on a computer system | |
| US20100251370A1 (en) | Network intrusion detection system | |
| US11128670B2 (en) | Methods, systems, and computer readable media for dynamically remediating a security system entity | |
| US20170374097A1 (en) | Denial-of-service (dos) mitigation based on health of protected network device | |
| JP3652661B2 (ja) | サービス不能攻撃の防御方法および装置ならびにそのコンピュータプログラム | |
| Subbulakshmi et al. | A unified approach for detection and prevention of DDoS attacks using enhanced support vector machines and filtering mechanisms | |
| KR101065800B1 (ko) | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 | |
| KR20070119382A (ko) | 침입방지시스템 및 그 제어방법 | |
| US7594263B2 (en) | Operating a communication network through use of blocking measures for responding to communication traffic anomalies | |
| KR100959264B1 (ko) | 네트워크를 이용하는 프로세스의 감시를 통한 좀비pc 차단 시스템 및 그 방법 | |
| KR101236129B1 (ko) | 비정상 트래픽 제어 장치 및 방법 | |
| Singh | Intrusion detection system (IDS) and intrusion prevention system (IPS) for network security: a critical analysis | |
| Ladigatti et al. | Mitigation of DDoS Attacks in SDN using Access Control List, Entropy and Puzzle-based Mechanisms | |
| CN115913693A (zh) | 网络安全防护方法、装置、电子设备及存储介质 | |
| CN117319019A (zh) | 一种基于智能决策的电力网络动态防御系统 | |
| Cisar et al. | Intrusion detection-one of the security methods | |
| Zaw | Intrusion Alert Elimination on Network Attack Alerting System | |
| Lei et al. | Active Protection in Wireless Networking | |
| Shinde et al. | Enhanced Availability and Security by Rate Control Using Extended Policy Framework in SELinux |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20170519 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20180523 Year of fee payment: 5 |