KR101415850B1 - 방화벽 정책 점검 장치 및 방법 - Google Patents

방화벽 정책 점검 장치 및 방법 Download PDF

Info

Publication number
KR101415850B1
KR101415850B1 KR20120138419A KR20120138419A KR101415850B1 KR 101415850 B1 KR101415850 B1 KR 101415850B1 KR 20120138419 A KR20120138419 A KR 20120138419A KR 20120138419 A KR20120138419 A KR 20120138419A KR 101415850 B1 KR101415850 B1 KR 101415850B1
Authority
KR
South Korea
Prior art keywords
rule
intrusion blocking
graph
destination
abnormal
Prior art date
Application number
KR20120138419A
Other languages
English (en)
Other versions
KR20140070205A (ko
Inventor
이재승
강정민
배병철
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR20120138419A priority Critical patent/KR101415850B1/ko
Priority to US13/946,852 priority patent/US9083678B2/en
Publication of KR20140070205A publication Critical patent/KR20140070205A/ko
Application granted granted Critical
Publication of KR101415850B1 publication Critical patent/KR101415850B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/163Interprocessor communication
    • G06F15/17Interprocessor communication using an input/output type connection, e.g. channel, I/O port
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • G06F17/18Complex mathematical operations for evaluating statistical data, e.g. average values, frequency distributions, probability functions, regression analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Mathematical Physics (AREA)
  • Mathematical Analysis (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computational Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Evolutionary Biology (AREA)
  • Operations Research (AREA)
  • Probability & Statistics with Applications (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Algebra (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

방화벽 정책 점검 장치 및 방법이 개시된다. 본 발명에 따른 방화벽 정책 점검 장치는 대상 방화벽 정책 내에서 침입차단규칙들을 획득하는 침입차단규칙 획득부; 상기 침입차단규칙들 간 관계에서 이상규칙을 탐지하는 이상규칙 탐지부; 및 상기 탐지 결과를 이용하여 이상규칙 그래프를 화면에 표시하는 화면 표시부를 포함한다.

Description

방화벽 정책 점검 장치 및 방법 {APPARATUS AND METHOD FOR CHECKING FIREWALL POLICY}
방화벽 정책 점검 장치 및 방법 {APPARATUS AND METHOD FOR CHECKING FIREWALL POLICY}
건물에서 화재가 발생하면 주변으로 화재가 번지지 않게 막아주는 역할을 하는 것이 방화벽이듯이 전산에서의 방화벽 역시 네트워크의 앞 단에 설치되어 인터넷상의 보안사고 및 위협이 주변 망이나 개인에게 전파되는 것을 방지하는 역할을 수행한다. 이는 패킷을 통제하기 위한 규칙들을 방화벽 정책에 설정하여 운영 시 설정된 정책에 따라 허용된 패킷만 내부로 통과시키는 패킷 필터링 기능을 원칙으로 하기 때문이다.
그러나 관리자가 설정한 방화벽 정책의 규칙들이 증가함에 따라 규칙들 간에 이상 규칙이 생길 수 있는데, 이를 관리자가 수동으로 탐지하는 것은 상당한 노력과 시간이 필요할 뿐만 아니라 관리에 있어서도 오류를 일으킬 수 있다. 이는 방화벽의 성능 저하 및 보안 취약점으로 이어져 네트워크에 문제를 야기할 수 있다.
한국공개특허 제2009-0065423호는 방화벽 정책 내 신규 침입차단규칙에 대한 이상규칙을 탐지하는 기술을 소개하였고 한국공개특허 제2006-0058179호는 방화벽 정책 내 신규 침입차단규칙 생성 정보를 제공하는 기술을 소개하였다.
그러나, 이와 같은 종래의 기술들은 상기 침입차단규칙들 간 관계에서 음영 이상(shadowing anomaly), 중복 이상(redundancy anomaly), 연관 이상(correlation anomaly) 및 일반화 이상(generalization anomaly) 중 어느 하나로 탐지하는 구성에 대해서 구체적으로 개시하고 있지 아니하며, 상기 이상규칙을 위험도에 따라 설정된 도형의 색상으로 표시하여 보다 용이하게 방화벽 정책 내 침입차단규칙을 점검하는 기술에 대해서는 소개하고 있지 못하다.
따라서, 침입차단규칙들 간 관계에서 이상규칙을 탐지하고, 탐지된 상기 이상규칙을 화면에 표시하되, 상기 침입차단규칙들 간 관계에서 음영 이상(shadowing anomaly), 중복 이상(redundancy anomaly), 연관 이상(correlation anomaly) 및 일반화 이상(generalization anomaly) 중 어느 하나로 탐지하고, 상기 이상규칙을 위험도에 따라 설정된 도형의 색상으로 표시하며, 상기 이상규칙 외에 상기 침입차단규칙들을 화면에 표시하여 보다 용이하게 방화벽 정책 내 침입차단규칙을 점검하는 새로운 방화벽 정책 점검 기술의 필요성이 절실하게 대두된다.
본 발명의 목적은, 침입차단규칙들 간 관계에서 이상규칙을 탐지하고, 탐지된 상기 이상규칙을 화면에 표시하여 방화벽 정책 내 침입차단규칙을 점검하는 것이다.
또한 본 발명의 목적은, 상기 침입차단규칙들 간 관계에서 음영 이상(shadowing anomaly), 중복 이상(redundancy anomaly), 연관 이상(correlation anomaly) 및 일반화 이상(generalization anomaly) 중 어느 하나로 탐지하여 보다 용이하게 방화벽 정책 내 침입차단규칙을 점검하는 것이다.
또한 본 발명의 목적은, 상기 이상규칙을 위험도에 따라 설정된 도형의 색상으로 표시하여 보다 용이하게 방화벽 정책 내 침입차단규칙을 점검하는 것이다.
또한 본 발명의 목적은, 상기 이상규칙 외에 상기 침입차단규칙들을 화면에 표시하여 보다 용이하게 방화벽 정책 내 침입차단규칙을 점검하는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따른 방화벽 정책 점검 장치는 대상 방화벽 정책 내에서 침입차단규칙들을 획득하는 침입차단규칙 획득부; 상기 침입차단규칙들 간 관계에서 이상규칙을 탐지하는 이상규칙 탐지부; 및 상기 탐지 결과를 이용하여 이상규칙 그래프를 화면에 표시하는 화면 표시부를 포함한다.
이 때, 상기 침입차단규칙 획득부는 상기 침입차단규칙들의 구성 요소인 프로토콜(protocol), 출발지 아이피(source IP), 출발지 포트(source port), 목적지 아이피(destination IP), 목적지 포트(destination port), 정책 행위(action) 및 규칙 순서(sequence)를 획득할 수 있다.
이 때, 상기 이상규칙 탐지부는 상기 침입차단규칙들 간 관계에서 음영 이상(shadowing anomaly), 중복 이상(redundancy anomaly), 연관 이상(correlation anomaly) 및 일반화 이상(generalization anomaly) 중 어느 하나를 탐지할 수 있다.
이 때, 상기 화면 표시부는 제1 침입차단규칙 및 제2 침입차단규칙 간 관계에서 상기 이상규칙이 탐지된 경우, 상기 제1 침입차단규칙의 번호, 탐지된 상기 이상규칙 및 상기 제2 침입차단규칙의 번호가 순서대로 연결되는 상기 이상규칙 그래프를 표시할 수 있다.
이 때, 상기 화면 표시부는 상기 출발지 아이피, 상기 목적지 포트 및 상기 목적지 아이피가 순서대로 연결되는 침입차단규칙 그래프를 더 표시할 수 있다.
이 때, 상기 화면 표시부는 상기 제1 침입차단규칙의 번호, 상기 제2 침입차단규칙의 번호, 상기 이상규칙, 상기 출발지 아이피, 상기 목적지 아이피 및 상기 목적지 포트를 그래프로 표시함에 있어, 상기 구성 요소에 따라 설정된 도형의 형태로 표시할 수 있다.
이 때, 상기 화면 표시부는 상기 제1 침입차단규칙의 번호, 상기 제2 침입차단규칙의 번호, 상기 출발지 아이피 및 상기 목적지 아이피를 그래프로 표시함에 있어, 중요도에 따라 설정된 도형의 색상으로 표시하고, 상기 이상규칙 및 상기 목적지 포트를 그래프로 표시함에 있어, 중요도 및 위험도 중 어느 하나 이상에 따라 설정된 도형의 색상으로 표시할 수 있다.
이 때, 상기 화면 표시부는 상기 제1 침입차단규칙의 번호, 상기 제2 침입차단규칙의 번호, 상기 이상규칙, 상기 출발지 아이피, 상기 목적지 아이피 및 상기 목적지 포트 중 어느 하나의 그래프 노드를 선택하는 사용자의 입력이 있는 경우, 선택된 상기 그래프 노드에 상응하게 화면을 갱신할 수 있다.
이 때, 상기 화면 표시부는 상기 목적지 아이피를 선택하는 사용자의 입력이 있는 경우, 선택된 상기 목적지 아이피를 상기 출발지 아이피로 하는 상기 침입차단규칙 그래프로 화면을 갱신할 수 있다.
이 때, 상기 화면 표시부는 상기 이상규칙을 선택하는 사용자의 입력이 있는 경우, 선택된 상기 이상규칙이 탐지된 침입차단규칙들을 포함하는 상기 이상규칙 그래프로 화면을 갱신할 수 있다.
또한, 본 발명에 따른 방화벽 정책 점검 방법은 대상 방화벽 정책 내에서 침입차단규칙들을 획득하는 단계; 상기 침입차단규칙들 간 관계에서 이상규칙을 탐지하는 단계; 및 상기 탐지 결과를 이용하여 이상규칙 그래프를 화면에 표시하는 단계를 포함한다.
이 때, 상기 침입차단규칙들을 획득하는 단계는 상기 침입차단규칙들의 구성 요소인 프로토콜, 출발지 아이피, 출발지 포트, 목적지 아이피, 목적지 포트, 정책 행위 및 규칙 순서를 획득할 수 있다.
이 때, 상기 이상규칙을 탐지하는 단계는 상기 침입차단규칙들 간 관계에서 음영 이상, 중복 이상, 연관 이상 및 일반화 이상 중 어느 하나를 탐지할 수 있다.
이 때, 상기 화면에 표시하는 단계는 제1 침입차단규칙 및 제2 침입차단규칙 간 관계에서 상기 이상규칙이 탐지된 경우, 상기 제1 침입차단규칙의 번호, 탐지된 상기 이상규칙 및 상기 제2 침입차단규칙의 번호가 순서대로 연결되는 상기 이상규칙 그래프를 표시할 수 있다.
이 때, 상기 화면에 표시하는 단계는 상기 출발지 아이피, 상기 목적지 포트 및 상기 목적지 아이피가 순서대로 연결되는 침입차단규칙 그래프를 더 표시할 수 있다.
이 때, 상기 화면에 표시하는 단계는 상기 제1 침입차단규칙의 번호, 상기 제2 침입차단규칙의 번호, 상기 이상규칙, 상기 출발지 아이피, 상기 목적지 아이피 및 상기 목적지 포트를 그래프로 표시함에 있어, 상기 구성 요소에 따라 설정된 도형의 형태로 표시할 수 있다.
이 때, 상기 화면에 표시하는 단계는 상기 제1 침입차단규칙의 번호, 상기 제2 침입차단규칙의 번호, 상기 출발지 아이피 및 상기 목적지 아이피를 그래프로 표시함에 있어, 중요도에 따라 설정된 도형의 색상으로 표시하고, 상기 이상규칙 및 상기 목적지 포트를 그래프로 표시함에 있어, 중요도 및 위험도 중 어느 하나 이상에 따라 설정된 도형의 색상으로 표시할 수 있다.
이 때, 상기 화면에 표시하는 단계는 상기 제1 침입차단규칙의 번호, 상기 제2 침입차단규칙의 번호, 상기 이상규칙, 상기 출발지 아이피, 상기 목적지 아이피 및 상기 목적지 포트 중 어느 하나의 그래프 노드를 선택하는 사용자의 입력이 있는 경우, 선택된 상기 그래프 노드에 상응하게 화면을 갱신할 수 있다.
이 때, 상기 화면에 표시하는 단계는 상기 목적지 아이피를 선택하는 사용자의 입력이 있는 경우, 선택된 상기 목적지 아이피를 상기 출발지 아이피로 하는 상기 침입차단규칙 그래프로 화면을 갱신할 수 있다.
이 때, 상기 화면에 표시하는 단계는 상기 이상규칙을 선택하는 사용자의 입력이 있는 경우, 선택된 상기 이상규칙이 탐지된 침입차단규칙들을 포함하는 상기 이상규칙 그래프로 화면을 갱신할 수 있다.
본 발명에 따르면, 침입차단규칙들 간 관계에서 이상규칙을 탐지하고, 탐지된 상기 이상규칙을 화면에 표시하여 방화벽 정책 내 침입차단규칙을 점검할 수 있다.
또한 본 발명은, 상기 침입차단규칙들 간 관계에서 음영 이상(shadowing anomaly), 중복 이상(redundancy anomaly), 연관 이상(correlation anomaly) 및 일반화 이상(generalization anomaly) 중 어느 하나로 탐지하여 보다 용이하게 방화벽 정책 내 침입차단규칙을 점검할 수 있다.
또한 본 발명은, 상기 이상규칙을 위험도에 따라 설정된 도형의 색상으로 표시하여 보다 용이하게 방화벽 정책 내 침입차단규칙을 점검할 수 있다.
또한 본 발명은, 상기 이상규칙 외에 상기 침입차단규칙들을 화면에 표시하여 보다 용이하게 방화벽 정책 내 침입차단규칙을 점검할 수 있다.
도 1은 본 발명의 일실시예에 따른 방화벽 정책 점검 장치를 나타낸 블록도이다.
도 2는 본 발명에 따른 단위 침입차단규칙 그래프의 일 예를 나타낸 도면이다.
도 3는 본 발명에 따른 침입차단규칙 그래프의 일 예를 나타낸 도면이다.
도 4는 본 발명에 따른 단위 이상규칙 그래프의 일 예를 나타낸 도면이다.
도 5는 본 발명에 따른 이상규칙 그래프의 일 예를 나타낸 도면이다.
도 6은 본 발명에 따른 이상규칙(420) 종류의 일 예를 나타낸 도면이다.
도 7은 본 발명의 일실시예에 따른 방화벽 정책 점검 방법을 나타낸 동작 흐름도이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일실시예에 따른 방화벽 정책 점검 장치를 나타낸 블록도이다.
도 1을 참조하면, 본 발명의 일실시예에 따른 방화벽 정책 점검 장치는 침입차단규칙 획득부(110), 이상규칙 탐지부(120) 및 화면 표시부(130)를 포함한다.
침입차단규칙 획득부(110)는 대상 방화벽 정책 내에서 침입차단규칙들을 획득한다.
이 때, 침입차단규칙 획득부(110)는 상기 침입차단규칙들의 구성 요소인 프로토콜(protocol), 출발지 아이피(source IP), 출발지 포트(source port), 목적지 아이피(destination IP), 목적지 포트(destination port), 정책 행위(action) 및 규칙 순서(sequence)를 획득할 수 있다.
이상규칙 탐지부(120)는 상기 침입차단규칙들 간 관계에서 이상규칙(420)을 탐지한다.
이 때, 이상규칙 탐지부(120)는 상기 침입차단규칙들 간 관계에서 음영 이상(shadowing anomaly), 중복 이상(redundancy anomaly), 연관 이상(correlation anomaly) 및 일반화 이상(generalization anomaly) 중 어느 하나를 탐지할 수 있다.
화면 표시부(130)는 상기 탐지 결과를 이용하여 이상규칙 그래프를 화면에 표시한다.
이 때, 화면 표시부(130)는 제1 침입차단규칙 및 제2 침입차단규칙 간 관계에서 이상규칙(420)이 탐지된 경우, 상기 제1 침입차단규칙의 번호, 탐지된 이상규칙(420) 및 상기 제2 침입차단규칙의 번호가 순서대로 연결되는 상기 이상규칙 그래프를 표시할 수 있다.
이 때, 화면 표시부(130)는 출발지 아이피(210), 목적지 포트(220) 및 목적지 아이피(230)가 순서대로 연결되는 침입차단규칙 그래프를 더 표시할 수 있다.
이 때, 화면 표시부(130)는 침입탐지규칙 번호들(410 및 430), 이상규칙(420), 출발지 아이피(210), 목적지 아이피(230) 및 목적지 포트(220)를 그래프로 표시함에 있어, 상기 구성 요소에 따라 설정된 도형의 형태로 표시할 수 있다.
이 때, 화면 표시부(130)는 침입탐지규칙 번호들(410 및 430), 출발지 아이피(210) 및 목적지 아이피(230)를 그래프로 표시함에 있어, 중요도에 따라 설정된 도형의 색상으로 표시하고, 이상규칙(420) 및 목적지 포트(220)를 그래프로 표시함에 있어, 중요도 및 위험도 중 어느 하나 이상에 따라 설정된 도형의 색상으로 표시할 수 있다.
이 때, 화면 표시부(130)는 침입탐지규칙 번호들(410 및 430), 이상규칙(420), 출발지 아이피(210), 목적지 아이피(230) 및 목적지 포트(220) 중 어느 하나의 그래프 노드를 선택하는 사용자의 입력이 있는 경우, 선택된 상기 그래프 노드에 상응하게 화면을 갱신할 수 있다.
이 때, 화면 표시부(130)는 목적지 아이피(230)를 선택하는 사용자의 입력이 있는 경우, 선택된 목적지 아이피(230)를 출발지 아이피(210)로 하는 상기 침입차단규칙 그래프로 화면을 갱신할 수 있다.
또한, 화면 표시부(130)는 목적지 포트(220)를 선택하는 사용자의 입력이 있는 경우, 선택된 목적지 포트(220)와 연결되는 출발지 아이피(210) 및 목적지 아이피(230)를 포함하는 상기 침입차단규칙 그래프로 화면을 갱신할 수 있다.
또한, 화면 표시부(130)는 출발지 아이피(210)를 선택하는 사용자의 입력이 있는 경우, 선택된 출발지 아이피(210)를 목적지 아이피(230)로 하는 상기 침입차단규칙 그래프로 화면을 갱신할 수 있다.
이와 같이, 화면 표시부(130)는 선택된 상기 그래프 노드에 따라 설정된 상기 침입차단규칙 그래프로 화면을 갱신할 수 있다.
이 때, 화면 표시부(130)는 이상규칙(420)을 선택하는 사용자의 입력이 있는 경우, 선택된 상기 이상규칙(420)이 탐지된 침입차단규칙들을 포함하는 상기 이상규칙 그래프로 화면을 갱신할 수 있다.
또한, 화면 표시부(130)는 제1 침입차단규칙 번호(410)를 선택하는 사용자의 입력이 있는 경우, 선택된 제1 침입차단규칙 번호(410)에 대하여 탐지된 이상규칙(420)을 포함하는 상기 이상규칙 그래프로 화면을 갱신할 수 있다.
또한, 화면 표시부(130)는 제2 침입차단규칙 번호(430)를 선택하는 사용자의 입력이 있는 경우, 선택된 제2 침입차단규칙 번호(430)에 대하여 탐지된 이상규칙(420)을 포함하는 상기 이상규칙 그래프로 화면을 갱신할 수 있다.
이와 같이, 화면 표시부(130)는 선택된 상기 그래프 노드에 따라 설정된 상기 이상규칙 그래프로 화면을 갱신할 수 있다.
도 2는 본 발명에 따른 단위 침입차단규칙 그래프의 일 예를 나타낸 도면이다.
도 2를 참조하면, 본 발명에 따른 단위 침입차단규칙 그래프는 각각 1개의 출발지 아이피(210), 목적지 포트(220) 및 목적지 아이피(230)를 포함한다.
이 때, 화면 표시부(130)는 출발지 아이피(210), 목적지 포트(220) 및 목적지 아이피(230)가 순서대로 연결되는 상기 단위 침입차단규칙 그래프를 표시할 수 있다.
이 때, 화면 표시부(130)는 출발지 아이피(210), 목적지 아이피(220) 및 목적지 포트(230)를 그래프로 표시함에 있어, 상기 구성 요소에 따라 설정된 도형의 형태로 표시할 수 있다.
예를 들어, 화면 표시부(130)는 출발지 아이피(210)는 양 측면이 둥근 도형, 목적지 포트(220)는 양 측면이 마름모인 도형, 목적지 아이피(230)는 직사각형으로 설정된 경우, 도 2와 같은 도형의 형태로 표시할 수 있다.
도 2에는 도시되지 아니하였으나, 화면 표시부(130)는 출발지 아이피(210) 및 목적지 아이피(230)를 그래프로 표시함에 있어, 중요도에 따라 설정된 도형의 색상으로 표시하고, 목적지 포트(220)를 그래프로 표시함에 있어, 중요도 및 위험도 중 어느 하나 이상에 따라 설정된 도형의 색상으로 표시할 수 있다.
도 3는 본 발명에 따른 침입차단규칙 그래프의 일 예를 나타낸 도면이다.
도 3을 참조하면, 본 발명에 따른 침입차단규칙 그래프는 복수 개의 출발지 아이피들(211 내지 215), 목적지 포트들(221 내지 226) 및 목적지 아이피들(231 내지 234)을 포함한다.
이 때, 화면 표시부(130)는 출발지 아이피(210), 목적지 포트(220) 및 목적지 아이피(230)가 순서대로 연결되는 상기 침입차단규칙 그래프를 표시할 수 있다.
예를 들어, 화면 표시부(130)는 제1 출발지 아이피(211)가 192.168.1.34이고, 제1 목적지 포트(221)가 80이고, 제1 목적지 아이피(231)가 195.141.0.33인 경우, 정책 행위가 accept인 침입차단규칙을, 제1 출발지 아이피(211), 제1 목적지 포트(221) 및 제1 목적지 아이피(231)가 순서대로 연결되는 상기 침입차단규칙 그래프를 표시할 수 있다.
이 때, 화면 표시부(130)는 출발지 아이피(210), 목적지 아이피(220) 및 목적지 포트(230)를 그래프로 표시함에 있어, 상기 구성 요소에 따라 설정된 도형의 형태로 표시할 수 있다.
예를 들어, 화면 표시부(130)는 출발지 아이피(210)는 양 측면이 둥근 도형, 목적지 포트(220)는 양 측면이 마름모인 도형, 목적지 아이피(230)는 직사각형으로 설정된 경우, 도 3과 같은 도형의 형태로 표시할 수 있다.
이 때, 화면 표시부(130)는 출발지 아이피(210) 및 목적지 아이피(230)를 그래프로 표시함에 있어, 중요도에 따라 설정된 도형의 색상으로 표시하고, 목적지 포트(220)를 그래프로 표시함에 있어, 중요도 및 위험도 중 어느 하나 이상에 따라 설정된 도형의 색상으로 표시할 수 있다.
예를 들어, 화면 표시부(130)는 목적지 포트(220)를 그래프로 표시함에 있어, 위험도가 없는 경우, 하양, 위험도가 ‘주의’ 수준인 경우, 노랑, 위험도가 ‘위험’ 수준인 경우, 빨강으로 설정된 도형의 색상으로 표시할 수 있다.
이에 따라, 화면 표시부(130)는 제1 목적지 포트(221)는 위험도가 없고, 제2 목적지 포트(222)는 위험도가 ‘주의’ 수준이고, 제3 목적지 포트(223)는 위험도가 ‘위험’ 수준인 경우, 제1 목적지 포트(221)는 하양, 제2 목적지 포트(222)는 노랑, 제3 목적지 포트(223)는 빨강으로 표시할 수 있다.
도 4는 본 발명에 따른 단위 이상규칙 그래프의 일 예를 나타낸 도면이다.
도 4를 참조하면, 본 발명에 따른 단위 이상규칙 그래프는 2개의 침입탐지규칙 번호들(410 및 430) 및 1개의 이상규칙(420)을 포함한다.
이 때, 화면 표시부(130)는 제1 침입차단규칙 및 제2 침입차단규칙 간 관계에서 이상규칙(420)이 탐지된 경우, 제1 침입차단규칙 번호(410), 탐지된 이상규칙(420) 및 제2 침입차단규칙 번호(430)가 순서대로 연결되는 상기 단위 이상규칙 그래프를 표시할 수 있다.
이 때, 화면 표시부(130)는 제1 침입차단규칙 번호(410), 이상규칙(420) 및 제2 침입차단규칙 번호(430)를 그래프로 표시함에 있어, 상기 구성 요소에 따라 설정된 도형의 형태로 표시할 수 있다.
예를 들어, 화면 표시부(130)는 침입탐지규칙 번호들(410 및 430)은 양 측면이 둥근 도형 및 이상규칙(420)은 마름모로 설정된 경우, 도 4와 같은 도형의 형태로 표시할 수 있다.
도 4에는 도시되지 아니하였으나, 화면 표시부(130)는 침입탐지규칙 번호들(410 및 430)을 그래프로 표시함에 있어, 중요도에 따라 설정된 도형의 색상으로 표시하고, 이상규칙(420)을 그래프로 표시함에 있어, 중요도 및 위험도 중 어느 하나 이상에 따라 설정된 도형의 색상으로 표시할 수 있다.
도 5는 본 발명에 따른 이상규칙 그래프의 일 예를 나타낸 도면이다.
도 5를 참조하면, 본 발명에 따른 이상규칙 그래프는 복수개의 침입탐지규칙 번호들(411, 431 내지 433) 및 이상규칙들(421 및 422)을 포함한다.
이 때, 화면 표시부(130)는 제1 침입차단규칙 및 제2 침입차단규칙 간 관계에서 이상규칙(420)이 탐지된 경우, 제1 침입차단규칙 번호(410), 탐지된 이상규칙(420) 및 제2 침입차단규칙 번호(430)가 순서대로 연결되는 상기 이상규칙 그래프를 표시할 수 있다.
예를 들어, 화면 표시부(130)는 제1 침입차단규칙 번호(410)가 191910(411), 제2 침입차단규칙 번호(430)가 24018(431)이고, 상기 제1 침입차단규칙 및 상기 제2 침입차단규칙 간 연관 이상(421)이 탐지된 경우, 191910(411), 연관 이상(421) 및 24018(431)이 순서대로 연결되는 상기 이상규칙 그래프를 표시할 수 있다.
이 때, 화면 표시부(130)는 침입탐지규칙 번호들(411, 431 내지 433) 및 이상규칙들(421 및 422)을 그래프로 표시함에 있어, 상기 구성 요소에 따라 설정된 도형의 형태로 표시할 수 있다.
예를 들어, 화면 표시부(130)는 침입탐지규칙 번호들(411, 431 내지 433)은 양 측면이 둥근 도형, 이상규칙들(421 및 422)은 마름모로 설정된 경우, 도 5와 같은 도형의 형태로 표시할 수 있다.
이 때, 화면 표시부(130)는 복수개의 침입탐지규칙 번호들(411, 431 내지 433)을 그래프로 표시함에 있어, 중요도에 따라 설정된 도형의 색상으로 표시하고, 이상규칙들(421 및 422)을 그래프로 표시함에 있어, 중요도 및 위험도 중 어느 하나 이상에 따라 설정된 도형의 색상으로 표시할 수 있다.
예를 들어, 화면 표시부(130)는 이상규칙들(421 및 422)을 그래프로 표시함에 있어, 위험도가 없는 경우, 하양, 위험도가 ‘주의’ 수준인 경우, 노랑, 위험도가 ‘위험’ 수준인 경우, 빨강으로 설정된 도형의 색상으로 표시할 수 있다.
이에 따라, 화면 표시부(130)는 연관 이상(421)은 위험도가 ‘주의’ 수준이고, 중복 이상(422)는 위험도가 ‘위험’ 수준인 경우, 연관 이상(421)은 노랑, 중복 이상(422)은 빨강으로 표시할 수 있다.
도 6은 본 발명에 따른 이상규칙(420) 종류의 일 예를 나타낸 도면이다.
도 6을 참조하면, 본 발명에 따른 이상규칙(420)은 음영 이상(shadowing anomaly), 중복 이상(redundancy anomaly), 연관 이상(correlation anomaly) 및 일반화 이상(generalization anomaly)의 4가지임을 알 수 있다.
이 때, 이상규칙 탐지부(120)는 상기 침입차단규칙들 간 관계에서 음영 이상(shadowing anomaly), 중복 이상(redundancy anomaly), 연관 이상(correlation anomaly) 및 일반화 이상(generalization anomaly) 중 어느 하나를 탐지할 수 있다.
음영 이상은 제1 규칙 및 제2 규칙 순서이며, 상기 제2 규칙의 출발지 아이피(210), 출발지 포트, 목적지 아이피(230) 및 목적지 포트(220) 중 어느 하나가 상기 제1 규칙의 그것에 대해 서브셋(subset)이고, 상기 제2 규칙 및 상기 제1 규칙의 정책 행위가 상반되는 경우이다.
예를 들어, 상기 제2 규칙의 출발지 아이피(210) 140.192.37.*이 상기 제1 규칙의 출발지 아이피(210) *.*.*.*에 대해 서브셋이고, 상기 제2 규칙의 정책 행위는 거절, 상기 제1 규칙의 정책 행위는 승인인 경우, 상기 제2 규칙 및 상기 제1 규칙의 정책 행위가 상반되므로 음영 이상인 경우에 해당한다.
중복 이상은 제1 규칙 및 제2 규칙 순서이며, 상기 제2 규칙의 출발지 아이피(210), 출발지 포트, 목적지 아이피(230) 및 목적지 포트(220) 중 어느 하나가 상기 제1 규칙의 그것에 대해 서브셋(subset)이고, 상기 제2 규칙 및 상기 제1 규칙의 정책 행위가 동일한 경우이다.
예를 들어, 상기 제2 규칙의 목적지 아이피(230) 161.120.33.40이 상기 제1 규칙의 목적지 아이피(230) *.*.*.*에 대해 서브셋이고, 상기 제2 규칙의 정책 행위는 승인, 상기 제1 규칙의 정책 행위는 승인인 경우, 상기 제2 규칙 및 상기 제1 규칙의 정책 행위가 동일하므로 중복 이상인 경우에 해당한다.
연관 이상은 제1 규칙 및 제2 규칙 순서이며, 상기 제2 규칙의 출발지 아이피(210), 출발지 포트, 목적지 아이피(230) 및 목적지 포트(220) 중 어느 하나가 상기 제1 규칙의 그것에 대해 서브셋(subset)이고, 다른 하나는 상기 제1 규칙의 그것에 대해 슈퍼셋(superset)이면서, 상기 제2 규칙 및 상기 제1 규칙의 정책 행위가 상반되는 경우이다.
예를 들어, 상기 제2 규칙의 목적지 아이피(230) 161.120.33.40이 상기 제1 규칙의 목적지 아이피(230) *.*.*.*에 대해 서브셋이고, 상기 제2 규칙의 출발지 아이피(210) *.*.*.*이 상기 제1 규칙의 출발지 아이피(210) 140.192.37.20에 대해 슈퍼셋이면서, 상기 제2 규칙의 정책 행위는 승인이고, 상기 제1 규칙의 정책 행위는 거절인 경우, 상기 제2 규칙 및 상기 제1 규칙의 정책 행위가 상반되므로 연관 이상에 해당한다.
일반화 이상은 제1 규칙 및 제2 규칙 순서이며, 상기 제2 규칙의 출발지 아이피(210), 출발지 포트, 목적지 아이피(230) 및 목적지 포트(220) 중 어느 하나가 상기 제1 규칙의 그것에 대해 슈퍼셋(subset)이고, 상기 제2 규칙 및 상기 제1 규칙의 정책 행위가 상반되는 경우이다.
예를 들어, 상기 제2 규칙의 출발지 아이피(210) *.*.*.*이 상기 제1 규칙의 출발지 아이피(210) 140.192.37.20에 대해 슈퍼셋이고, 상기 제2 규칙의 정책 행위는 거절, 상기 제1 규칙의 정책 행위는 승인인 경우, 상기 제2 규칙 및 상기 제1 규칙의 정책 행위가 상반되므로 일반화 이상인 경우에 해당한다.
도 6에는 도시되지 아니하였으나, 이 때, 화면 표시부(130)는 음영 이상, 연관 이상 및 일반화 이상은 위험도가 ‘주의’ 수준이고, 중복 이상은 위험도가 ‘위험’ 수준인 경우, 음영 이상, 연관 이상 및 일반화 이상은 노랑, 중복 이상은 빨강으로 표시할 수 있다.
도 7은 본 발명의 일실시예에 따른 방화벽 정책 점검 방법을 나타낸 동작 흐름도이다.
도 7을 참조하면, 본 발명의 일실시예에 따른 방화벽 정책 점검 방법은 대상 방화벽 정책 내에서 침입차단규칙들을 획득한다(S710).
이 때, 단계(S710)는 상기 침입차단규칙들의 구성 요소인 프로토콜(protocol), 출발지 아이피(source IP), 출발지 포트(source port), 목적지 아이피(destination IP), 목적지 포트(destination port), 정책 행위(action) 및 규칙 순서(sequence)를 획득할 수 있다.
또한, 본 발명의 일실시예에 따른 방화벽 정책 점검 방법은 상기 침입차단규칙들 간 관계에서 이상규칙(420)을 탐지한다(S720).
이 때, 단계(S720)는 상기 침입차단규칙들 간 관계에서 음영 이상(shadowing anomaly), 중복 이상(redundancy anomaly), 연관 이상(correlation anomaly) 및 일반화 이상(generalization anomaly) 중 어느 하나를 탐지할 수 있다.
또한, 본 발명의 일실시예에 따른 방화벽 정책 점검 방법은 탐지 결과를 이용하여 이상규칙 그래프를 화면에 표시한다(S730).
이 때, 단계(S730)는 제1 침입차단규칙 및 제2 침입차단규칙 간 관계에서 이상규칙(420)이 탐지된 경우, 상기 제1 침입차단규칙의 번호, 탐지된 이상규칙(420) 및 상기 제2 침입차단규칙의 번호가 순서대로 연결되는 상기 이상규칙 그래프를 표시할 수 있다.
이 때, 단계(S730)는 출발지 아이피(210), 목적지 포트(220) 및 목적지 아이피(230)가 순서대로 연결되는 침입차단규칙 그래프를 더 표시할 수 있다.
이 때, 단계(S730)는 침입탐지규칙 번호들(410 및 430), 이상규칙(420), 출발지 아이피(210), 목적지 아이피(230) 및 목적지 포트(220)를 그래프로 표시함에 있어, 상기 구성 요소에 따라 설정된 도형의 형태로 표시할 수 있다.
이 때, 단계(S730)는 침입탐지규칙 번호들(410 및 430), 출발지 아이피(210) 및 목적지 아이피(230)를 그래프로 표시함에 있어, 중요도에 따라 설정된 도형의 색상으로 표시하고, 이상규칙(420) 및 목적지 포트(220)를 그래프로 표시함에 있어, 중요도 및 위험도 중 어느 하나 이상에 따라 설정된 도형의 색상으로 표시할 수 있다.
이 때, 단계(S730)는 목적지 아이피(230)를 선택하는 사용자의 입력이 있는 경우, 선택된 목적지 아이피(230)를 출발지 아이피(210)로 하는 상기 침입차단규칙 그래프로 화면을 갱신할 수 있다.
또한, 단계(S730)는 목적지 포트(220)를 선택하는 사용자의 입력이 있는 경우, 선택된 목적지 포트(220)와 연결되는 출발지 아이피(210) 및 목적지 아이피(230)를 포함하는 상기 침입차단규칙 그래프로 화면을 갱신할 수 있다.
또한, 단계(S730)는 출발지 아이피(210)를 선택하는 사용자의 입력이 있는 경우, 선택된 출발지 아이피(210)를 목적지 아이피(230)로 하는 상기 침입차단규칙 그래프로 화면을 갱신할 수 있다.
이와 같이, 단계(S730)는 선택된 상기 그래프 노드에 따라 설정된 상기 침입차단규칙 그래프로 화면을 갱신할 수 있다.
이 때, 단계(S730)는 이상규칙(420)을 선택하는 사용자의 입력이 있는 경우, 선택된 상기 이상규칙(420)이 탐지된 침입차단규칙들을 포함하는 상기 이상규칙 그래프로 화면을 갱신할 수 있다.
또한, 단계(S730)는 제1 침입차단규칙 번호(410)를 선택하는 사용자의 입력이 있는 경우, 선택된 제1 침입차단규칙 번호(410)에 대하여 탐지된 이상규칙(420)을 포함하는 상기 이상규칙 그래프로 화면을 갱신할 수 있다.
또한, 단계(S730)는 제2 침입차단규칙 번호(430)를 선택하는 사용자의 입력이 있는 경우, 선택된 제2 침입차단규칙 번호(430)에 대하여 탐지된 이상규칙(420)을 포함하는 상기 이상규칙 그래프로 화면을 갱신할 수 있다.
이와 같이, 단계(S730)는 선택된 상기 그래프 노드에 따라 설정된 상기 이상규칙 그래프로 화면을 갱신할 수 있다.
이상에서와 같이 본 발명에 따른 방화벽 정책 점검 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
110: 침입차단규칙 획득부
120: 이상규칙 탐지부
130: 화면 표시부
210: 출발지 아이피
220: 목적지 포트
230: 목적지 아이피
410: 제1 침입차단규칙 번호
420: 이상규칙
430: 제2 침입차단규칙 번호

Claims (20)

  1. 대상 방화벽 정책 내에서 침입차단규칙들의 구성 요소인 프로토콜(protocol), 출발지 아이피(source IP), 출발지 포트(source port), 목적지 아이피(destination IP), 목적지 포트(destination port), 정책 행위(action) 및 규칙 순서(sequence)를 획득하는 침입차단규칙 획득부;
    상기 침입차단규칙들 간 관계에서 이상규칙을 탐지하는 이상규칙 탐지부; 및
    상기 탐지 결과를 이용하여 제1 침입차단규칙 및 제2 침입차단규칙 간 관계에서 상기 이상규칙이 탐지된 경우 상기 제1 침입차단규칙의 번호, 상기 이상규칙 및 상기 제2 침입차단규칙의 번호가 순서대로 연결되는 상기 이상규칙 그래프, 및 상기 출발지 아이피, 상기 목적지 포트 및 상기 목적지 아이피가 순서대로 연결되는 침입차단규칙 그래프를 화면에 표시하고, 상기 그래프에서 상기 침입차단규칙의 번호들, 상기 이상규칙, 상기 출발지 아이피, 상기 목적지 아이피 및 상기 목적지 포트 중 어느 하나의 그래프 노드를 선택하는 사용자의 입력이 있는 경우, 선택된 그래프 노드에 상응하도록 상기 그래프를 갱신하는 화면 표시부
    를 포함하는 것을 특징으로 하는 방화벽 정책 점검 장치.
  2. 청구항 1에 있어서,
    상기 화면 표시부는
    상기 이상규칙 그래프에서 상기 침입차단규칙의 번호들 중 어느 하나를 선택하는 사용자의 입력이 있는 경우, 선택된 침입차단규칙과의 관계에서 이상규칙이 탐지된 모든 침입차단규칙의 번호들을 표시하도록 상기 이상규칙 그래프를 갱신하고,
    상기 이상규칙 그래프에서 상기 이상규칙을 선택하는 사용자의 입력이 있는 경우, 선택된 이상규칙이 탐지된 모든 침입차단규칙의 번호들을 표시하도록 상기 이상규칙 그래프를 갱신하고,
    상기 침입차단규칙 그래프에서 상기 출발지 아이피를 선택하는 사용자의 입력이 있는 경우, 선택된 출발지 아이피를 목적지 아이피로 하는 모든 출발지 아이피들을 표시하도록 상기 침입차단규칙 그래프를 갱신하고,
    상기 침입차단규칙 그래프에서 상기 목적지 아이피를 선택하는 사용자의 입력이 있는 경우, 선택된 목적지 아이피를 출발지 아이피로 하는 모든 목적지 아이피들을 표시하도록 상기 침입차단규칙 그래프를 갱신하고,
    상기 목적지 포트를 선택하는 사용자의 입력이 있는 경우, 선택된 목적지 포트와 연결된 모든 출발지 아이피 및 목적지 아이피들을 표시하도록 상기 침입차단규칙 그래프를 갱신하는 것을 특징으로 하는 방화벽 정책 점검 장치.
  3. 청구항 2에 있어서,
    상기 이상규칙 탐지부는
    상기 침입차단규칙들 간 관계에서 음영 이상(shadowing anomaly), 중복 이상(redundancy anomaly), 연관 이상(correlation anomaly) 및 일반화 이상(generalization anomaly) 중 어느 하나를 탐지하는 것을 특징으로 하는 방화벽 정책 점검 장치.
  4. 삭제
  5. 삭제
  6. 청구항 2에 있어서,
    상기 화면 표시부는
    상기 제1 침입차단규칙의 번호, 상기 제2 침입차단규칙의 번호, 상기 이상규칙, 상기 출발지 아이피, 상기 목적지 아이피 및 상기 목적지 포트를 그래프로 표시함에 있어, 상기 구성 요소에 따라 설정된 도형의 형태로 표시하는 것을 특징으로 하는 방화벽 정책 점검 장치.
  7. 청구항 6에 있어서,
    상기 화면 표시부는
    상기 제1 침입차단규칙의 번호, 상기 제2 침입차단규칙의 번호, 상기 출발지 아이피 및 상기 목적지 아이피를 그래프로 표시함에 있어, 중요도에 따라 설정된 도형의 색상으로 표시하고,
    상기 이상규칙 및 상기 목적지 포트를 그래프로 표시함에 있어, 중요도 및 위험도 중 어느 하나 이상에 따라 설정된 도형의 색상으로 표시하는 것을 특징으로 하는 방화벽 정책 점검 장치.
  8. 삭제
  9. 삭제
  10. 삭제
  11. 대상 방화벽 정책 내에서 침입차단규칙들의 구성 요소인 프로토콜(protocol), 출발지 아이피(source IP), 출발지 포트(source port), 목적지 아이피(destination IP), 목적지 포트(destination port), 정책 행위(action) 및 규칙 순서(sequence)를 획득하는 단계;
    상기 침입차단규칙들 간 관계에서 이상규칙을 탐지하는 단계;
    상기 탐지 결과를 이용하여 제1 침입차단규칙 및 제2 침입차단규칙 간 관계에서 상기 이상규칙이 탐지된 경우 상기 제1 침입차단규칙의 번호, 상기 이상규칙 및 상기 제2 침입차단규칙의 번호가 순서대로 연결되는 상기 이상규칙 그래프, 및 상기 출발지 아이피, 상기 목적지 포트 및 상기 목적지 아이피가 순서대로 연결되는 침입차단규칙 그래프를 화면에 표시하는 단계; 및
    상기 그래프에서 상기 침입차단규칙의 번호들, 상기 이상규칙, 상기 출발지 아이피, 상기 목적지 아이피 및 상기 목적지 포트 중 어느 하나의 그래프 노드를 선택하는 사용자의 입력이 있는 경우, 선택된 그래프 노드에 상응하도록 상기 그래프를 갱신하는 단계
    를 포함하는 것을 특징으로 하는 방화벽 정책 점검 방법.
  12. 청구항 11에 있어서,
    상기 상기 그래프를 갱신하는 단계는
    상기 이상규칙 그래프에서 상기 침입차단규칙의 번호들 중 어느 하나를 선택하는 사용자의 입력이 있는 경우, 선택된 침입차단규칙과의 관계에서 이상규칙이 탐지된 모든 침입차단규칙의 번호들을 표시하도록 상기 이상규칙 그래프를 갱신하는 단계;
    상기 이상규칙 그래프에서 상기 이상규칙을 선택하는 사용자의 입력이 있는 경우, 선택된 이상규칙이 탐지된 모든 침입차단규칙의 번호들을 표시하도록 상기 이상규칙 그래프를 갱신하는 단계;
    상기 침입차단규칙 그래프에서 상기 출발지 아이피를 선택하는 사용자의 입력이 있는 경우, 선택된 출발지 아이피를 목적지 아이피로 하는 모든 출발지 아이피들을 표시하도록 상기 침입차단규칙 그래프를 갱신하는 단계;
    상기 침입차단규칙 그래프에서 상기 목적지 아이피를 선택하는 사용자의 입력이 있는 경우, 선택된 목적지 아이피를 출발지 아이피로 하는 모든 목적지 아이피들을 표시하도록 상기 침입차단규칙 그래프를 갱신하는 단계; 및
    상기 목적지 포트를 선택하는 사용자의 입력이 있는 경우, 선택된 목적지 포트와 연결된 모든 출발지 아이피 및 목적지 아이피들을 표시하도록 상기 침입차단규칙 그래프를 갱신하는 단계
    를 포함하는 것을 특징으로 하는 방화벽 정책 점검 방법.
  13. 청구항 12에 있어서,
    상기 이상규칙을 탐지하는 단계는
    상기 침입차단규칙들 간 관계에서 음영 이상, 중복 이상, 연관 이상 및 일반화 이상 중 어느 하나를 탐지하는 것을 특징으로 하는 방화벽 정책 점검 방법.
  14. 삭제
  15. 삭제
  16. 청구항 12에 있어서,
    상기 화면에 표시하는 단계는
    상기 제1 침입차단규칙의 번호, 상기 제2 침입차단규칙의 번호, 상기 이상규칙, 상기 출발지 아이피, 상기 목적지 아이피 및 상기 목적지 포트를 그래프로 표시함에 있어, 상기 구성 요소에 따라 설정된 도형의 형태로 표시하는 것을 특징으로 하는 방화벽 정책 점검 방법.
  17. 청구항 16에 있어서,
    상기 화면에 표시하는 단계는
    상기 제1 침입차단규칙의 번호, 상기 제2 침입차단규칙의 번호, 상기 출발지 아이피 및 상기 목적지 아이피를 그래프로 표시함에 있어, 중요도에 따라 설정된 도형의 색상으로 표시하고,
    상기 이상규칙 및 상기 목적지 포트를 그래프로 표시함에 있어, 중요도 및 위험도 중 어느 하나 이상에 따라 설정된 도형의 색상으로 표시하는 것을 특징으로 하는 방화벽 정책 점검 방법.
  18. 삭제
  19. 삭제
  20. 삭제
KR20120138419A 2012-11-30 2012-11-30 방화벽 정책 점검 장치 및 방법 KR101415850B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR20120138419A KR101415850B1 (ko) 2012-11-30 2012-11-30 방화벽 정책 점검 장치 및 방법
US13/946,852 US9083678B2 (en) 2012-11-30 2013-07-19 Firewall policy inspection apparatus and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20120138419A KR101415850B1 (ko) 2012-11-30 2012-11-30 방화벽 정책 점검 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20140070205A KR20140070205A (ko) 2014-06-10
KR101415850B1 true KR101415850B1 (ko) 2014-07-09

Family

ID=50826894

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20120138419A KR101415850B1 (ko) 2012-11-30 2012-11-30 방화벽 정책 점검 장치 및 방법

Country Status (2)

Country Link
US (1) US9083678B2 (ko)
KR (1) KR101415850B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190043921A (ko) 2017-10-19 2019-04-29 삼성에스디에스 주식회사 방화벽 정책 제어 장치 및 방법
KR102430988B1 (ko) 2022-02-10 2022-08-11 (주)제너럴데이타 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법, 장치 및 시스템
KR102605510B1 (ko) 2022-10-06 2023-11-23 충북대학교 산학협력단 방화벽 정책을 점검하기 위한 정보 제공 방법 및 이를 수행하기 위한 장치

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9565213B2 (en) * 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
CN104580168B (zh) * 2014-12-22 2019-02-26 华为技术有限公司 一种攻击数据包的处理方法、装置及系统
EP3166279B1 (en) * 2015-11-03 2019-07-03 Juniper Networks, Inc. Integrated security system having rule optimization
US10021115B2 (en) * 2015-11-03 2018-07-10 Juniper Networks, Inc. Integrated security system having rule optimization
US10242202B1 (en) * 2017-09-15 2019-03-26 Respond Software, Inc. Apparatus and method for staged graph processing to produce a risk inference measure
CN108494771B (zh) * 2018-03-23 2021-04-23 平安科技(深圳)有限公司 电子装置、防火墙开通验证方法及存储介质
CN108512851B (zh) * 2018-03-30 2019-08-30 掌阅科技股份有限公司 家庭阅读账号处理方法、电子设备及存储介质
KR102340901B1 (ko) * 2020-04-28 2021-12-21 주식회사 코스콤 방화벽 정책 시각화 방법 및 그 장치

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090065423A (ko) * 2007-12-17 2009-06-22 한국전자통신연구원 침입 차단 규칙 점검 장치 및 방법

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060058179A (ko) 2004-11-24 2006-05-29 김무현 네트워크 침입차단시스템에 대한 네트워크 접근 규칙 분석시스템 및 이를 이용한 네트워크 접근 규칙 분석 방법
US8037517B2 (en) * 2004-12-22 2011-10-11 Wake Forest University Method, systems, and computer program products for implementing function-parallel network firewall
US7849497B1 (en) * 2006-12-14 2010-12-07 Athena Security, Inc. Method and system for analyzing the security of a network
US8209738B2 (en) * 2007-05-31 2012-06-26 The Board Of Trustees Of The University Of Illinois Analysis of distributed policy rule-sets for compliance with global policy
US20090158386A1 (en) 2007-12-17 2009-06-18 Sang Hun Lee Method and apparatus for checking firewall policy

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090065423A (ko) * 2007-12-17 2009-06-22 한국전자통신연구원 침입 차단 규칙 점검 장치 및 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190043921A (ko) 2017-10-19 2019-04-29 삼성에스디에스 주식회사 방화벽 정책 제어 장치 및 방법
KR102430988B1 (ko) 2022-02-10 2022-08-11 (주)제너럴데이타 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법, 장치 및 시스템
KR102605510B1 (ko) 2022-10-06 2023-11-23 충북대학교 산학협력단 방화벽 정책을 점검하기 위한 정보 제공 방법 및 이를 수행하기 위한 장치

Also Published As

Publication number Publication date
US20140157356A1 (en) 2014-06-05
US9083678B2 (en) 2015-07-14
KR20140070205A (ko) 2014-06-10

Similar Documents

Publication Publication Date Title
KR101415850B1 (ko) 방화벽 정책 점검 장치 및 방법
US11757922B2 (en) Systems for network risk assessment including processing of user access rights associated with a network of devices
JP6559402B2 (ja) 表示方法、表示装置および表示プログラム
US20170063917A1 (en) Risk-chain generation of cyber-threats
US7681132B2 (en) System, method and program product for visually presenting data describing network intrusions
Zhao et al. IDSRadar: a real-time visualization framework for IDS alerts
US20220123996A1 (en) Segmentation management including visualization, configuration, simulation, or a combination thereof
Biersack et al. Visual analytics for BGP monitoring and prefix hijacking identification
Pearlman et al. Visualizing network security events using compound glyphs from a service-oriented perspective
Zaki et al. Cybersecurity framework for healthcare industry using NGFW
US20100017357A1 (en) Anti-Intrusion method and system for a communication network
Zhang et al. Towards an integrated defense system for cyber security situation awareness experiment
JP6569757B2 (ja) 表示方法、表示装置および表示プログラム
Stawowski The principles of network security design
Zhao et al. A real-time visualization framework for IDS alerts
Zhao et al. NetSecRadar: A real-time visualization system for network security-VAST 2012 Mini Challenge. Award: Honorable mention for interesting use of radial visualization technique
JP2008193302A (ja) 通信ログ視覚化装置、通信ログ視覚化方法及び通信ログ視覚化プログラム
WO2019070216A2 (en) FIREWALL EFFECTIVENESS MEASUREMENT WITH MULTIPORT INTRUSION DETECTION SYSTEM
Sandhya et al. Establishing Secured Enterprise Network Routing protocols by using DMVPN
KR102524551B1 (ko) 로그 정보를 이용한 보안 위협 탐지 시스템 및 방법
Zhai et al. Network intrusion early warning model based on DS evidence theory
KR20240092347A (ko) 의료기기 네트워크 및 보안 위협 시각화 방법 및 장치
US20240205242A1 (en) Method and apparatus for visualizing medical device network and security attack
KR101341451B1 (ko) 유해정보 데이터베이스를 활용한 방화벽 점검시스템
Al-Shaer et al. Classification and discovery of firewalls policy anomalies

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170406

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180406

Year of fee payment: 5