KR101526471B1 - 호스트 보안 장치 - Google Patents
호스트 보안 장치 Download PDFInfo
- Publication number
- KR101526471B1 KR101526471B1 KR1020130142899A KR20130142899A KR101526471B1 KR 101526471 B1 KR101526471 B1 KR 101526471B1 KR 1020130142899 A KR1020130142899 A KR 1020130142899A KR 20130142899 A KR20130142899 A KR 20130142899A KR 101526471 B1 KR101526471 B1 KR 101526471B1
- Authority
- KR
- South Korea
- Prior art keywords
- security
- input
- output
- data
- target device
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 호스트 보안 장치에 관한 것으로서, 하나 이상의 데이터 이동 경로를 통해 전달되는 데이터를 중계하는 입출력제어부; 및 상기 입출력제어부를 통해 입력된 데이터를 모니터링하여 하나 이상의 보안 기능을 수행하는 보안부; 를 포함하며, 상기 입출력제어부와 보안부는 통합적으로 모듈화되어 보안 대상 장치의 데이터 이동 경로 상에 설치되는 것을 특징으로 한다.
이에 의해, 보안 대상 장치에 각종의 보안 서비스를 제공하되, 보안 대상 장치의 데이터 이동 경로 상에 물리적으로 결합되는 장치적 모듈을 구현할 수 있으며, 보안 대상 장치와는 독립화된 장치를 이용하되, 보안 대상 장치에 장착된 메모리를 통제함으로써 호스트 부하를 최소화시킴과 동시에 향상된 보안성을 제공할 수 있다.
또한, 보안 대상 장치에 장착되는 메모리(표준 메모리 규격에 대응되는)에 호스트 보안 장치를 탑재시킴으로써, 보안 대상 장치의 구성 변경 없이 보안 대상 장치에 보안 서비스를 제공할 수 있다.
이에 의해, 보안 대상 장치에 각종의 보안 서비스를 제공하되, 보안 대상 장치의 데이터 이동 경로 상에 물리적으로 결합되는 장치적 모듈을 구현할 수 있으며, 보안 대상 장치와는 독립화된 장치를 이용하되, 보안 대상 장치에 장착된 메모리를 통제함으로써 호스트 부하를 최소화시킴과 동시에 향상된 보안성을 제공할 수 있다.
또한, 보안 대상 장치에 장착되는 메모리(표준 메모리 규격에 대응되는)에 호스트 보안 장치를 탑재시킴으로써, 보안 대상 장치의 구성 변경 없이 보안 대상 장치에 보안 서비스를 제공할 수 있다.
Description
본 발명은 호스트 보안 장치에 관한 것이다.
통합 보안 관리(enterprise security management; ESM)는 침입 탐지 시스템(intrusion detection system; IDS), 가상 사설 네트워크(virtual private network; VPN, 방화벽(firewall) 등의 보안 솔루션을 통합 관리하는 시스템으로, 네트워크를 통해 유입되는 모든 위험 요소들을 총체적으로 분석하여 사전 예방이 가능하도록 운영자에게 알려주는 시스템(system)이다.
IDS는, 시스템에 대한 원치 않는 조작과 같은, 시스템에 대한 위협 행위를 탐지하는 장치(device)를 의미하며, IDS는 방화벽이 탐지할 수 없는 모든 종류의 악의적인 네트워크 트래픽(traffic) 및 컴퓨터 사용을 탐지할 수 있다.
예컨대, 취약한 서비스에 대한 네트워크 공격, 애플리케이션에서의 데이터 처리 공격(data driven attack) 및 권한 상승(privilege escalation) 및 침입자 로그인, 침입자에 의한 주요 파일 접근, 멀웜(malworm) 등 같은 호스트 기반 공격 등이 탐지의 대상이 될 수 있으며, 보안 시스템 및 보안 장치 관련 종래기술로는 대한민국 공개특허공보 공개번호 제10-2012-0043466호 등이 있었다.
그러나, 종래기술의 경우, 전술한 공격 유형에 대응하는 보안 기술이 보안 대상 장치에 프로그램 형식으로 설치되는 소프트웨어로 구현되어 보안 대상 장치의 하드웨어 자원 공유에 따른 부하가 발생될 수 있었을 뿐만 아니라, 악성 코드에 의한 보안 도구 자체로의 공격에 따라 보안 도구의 동작이 무력화될 수 있는 가능성이 있다는 문제점이 있었다.
본 발명은 상기 문제점을 개선하기 위하여 창작된 것으로써, 본 발명의 목적은, 보안 대상 장치에 각종의 보안 서비스를 제공하되, 보안 대상 장치의 데이터 이동 경로 상에 물리적으로 결합되는 장치적 모듈을 구현하는 기술을 제공하는 데 있다.
본 발명의 또 다른 목적은, 보안 대상 장치와는 독립화된 장치를 이용하되, 보안 대상 장치에 장착된 메모리를 통제함으로써 호스트 부하를 최소화시킴과 동시에 향상된 보안성을 제공하는 보안 기술을 제공하는 데 있다.
본 발명의 또 다른 목적은, 보안 대상 장치에 장착되는 메모리(표준 메모리 규격에 대응되는)에 호스트 보안 장치를 탑재시킴으로써, 보안 대상 장치의 구성 변경 없이 보안 대상 장치에 보안 서비스를 제공할 수 있는 기술을 구현하는 데 있다.
상기 목적은, 본 발명에 따라, 하나 이상의 데이터 이동 경로를 통해 전달되는 데이터를 중계하는 입출력제어부; 및 상기 입출력제어부를 통해 입력된 데이터를 모니터링하여 하나 이상의 보안 기능을 수행하는 보안부; 를 포함하며, 상기 입출력제어부와 보안부는 통합적으로 모듈화되어 보안 대상 장치의 데이터 이동 경로 상에 설치되는 호스트 보안 장치에 의해 달성될 수 있다.
여기서, 상기 호스트 보안 장치는 표준 메모리 규격인 DIMM(Dual In-line Memory Module)에 물리적으로 결합되며, 해당 메모리와 연동되어 메모리로 입출력되는 데이터를 모니터링하도록 마련될 수 있다.
또한, 상기 입출력제어부는, 네트워크 패킷 데이터의 입출력 제어를 담당하는 네트워크입출력부분; 외부 저장 매체에 저장된 데이터의 입출력 제어를 담당하는 매체입출력부분; 일반 파일 데이터의 입출력 제어를 담당하는 파일입출력부분; 및 상기 네트워크입출력부분과 매체입출력부분과 파일입출력부분과 연동되어 입력되는 데이터를 상기 보안부에서 분석 가능하도록 맵핑하여 분석부로 전달하고, 상기 보안부를 통과한 출력 데이터를 각각 대응되는 네트워크입출력부분과 매체입출력부분과 파일입출력부분으로 전달하는 인터페이스프레임워크부분; 을 포함할 수 있다.
또한, 상기 보안부는, 상기 인터페이스프레임워크부분을 통해 입력된 맵핑 데이터를 분석하여 해당 맵핑 데이터에 대한 보안상 발생될 수 있는 행동을 탐지 관리하여 악성코드의 침입을 차단하는 호스트기반침입방지부분(HIPS:Host-based Intrusion Prevention System); 보안 대상 장치로 접속된 외부 매체에 저장된 파일에 대한 검사 및 방역을 수행하는 매체제어부분; 및 보안 대상 장치로 입력되는 로그(log) 데이터를 수집 및 관리하는 로그수집부분; 을 포함할 수 있다.
본 발명에 의해, 보안 대상 장치에 각종의 보안 서비스를 제공하되, 보안 대상 장치의 데이터 이동 경로 상에 물리적으로 결합되는 장치적 모듈을 구현할 수 있다.
또한, 보안 대상 장치와는 독립화된 장치를 이용하되, 보안 대상 장치에 장착된 메모리를 통제함으로써 호스트 부하를 최소화시킴과 동시에 향상된 보안성을 제공할 수 있다.
또한, 보안 대상 장치에 장착되는 메모리(표준 메모리 규격에 대응되는)에 호스트 보안 장치를 탑재시킴으로써, 보안 대상 장치의 구성 변경 없이 보안 대상 장치에 보안 서비스를 제공할 수 있다.
첨부의 하기 도면들은, 전술한 발명의 상세한 설명과 함께 본 발명의 기술적 사상을 이해시키기 위한 것이므로, 본 발명은 하기 도면에 도시된 사항에 한정 해석되어서는 아니 된다.
도 1 은 본 발명에 따른 호스트 보안 장치의 구성을 나타낸 블럭도이다.
도 2 는 본 발명에 따른 호스트 보안 장치가 DIMM(Dual In-line Memory Module)에 물리적으로 결합되어 연동된 상태를 도시한 도면이다.
도 1 은 본 발명에 따른 호스트 보안 장치의 구성을 나타낸 블럭도이다.
도 2 는 본 발명에 따른 호스트 보안 장치가 DIMM(Dual In-line Memory Module)에 물리적으로 결합되어 연동된 상태를 도시한 도면이다.
이하, 첨부된 도면을 참조하여 본 발명의 구성을 상세히 설명하기로 한다.
이에 앞서, 본 명세서 및 청구범위에 사용된 용어는 사전적인 의미로 한정 해석되어서는 아니되며, 발명자는 자신의 발명을 최선의 방법으로 설명하기 위해 용어의 개념을 적절히 정의할 수 있다는 원칙에 입각하여, 본 발명의 기술적 사상에 부합되는 의미와 개념으로 해석되어야 한다.
따라서, 본 명세서에 기재된 실시예 및 도면에 도시된 구성은 본 발명의 바람직한 실시예에 불과할 뿐이고, 본 발명의 기술적 사상을 모두 표현하는 것은 아니므로, 본 출원 시점에 있어 이들을 대체할 수 있는 다양한 균등물과 변형예들이 존재할 수 있음을 이해하여야 한다.
도 1 은 본 발명에 따른 호스트 보안 장치(100)의 구성을 나타낸 블럭도이며, 도 2 는 본 발명에 따른 호스트 보안 장치가 DIMM(Dual In-line Memory Module)에 물리적으로 결합되어 연동된 상태를 도시한 도면이다.
도 1 내지 도 2 를 참조하면, 본 발명에 따른 호스트 보안 장치(100)는, 입출력제어부(10) 및 보안부(20)를 포함한다.
여기서, 입출력제어부(10)는 보안 대상 장치가 구비하는 하나 이상의 데이터 이동 경로를 통해 전달되는 데이터를 중계하는 구성으로, 네트워크입출력부분(11)과 매체입출력부분(12)과 파일입출력부분(13) 및 인터페이스프레임워크부분(14)을 포함할 수 있다.
네트워크입출력부분(11)은 보안 대상 장치로 입력되는 네트워크 패킷 데이터의 입출력 제어를 담당하는 구성이다.
매체입출력부분(12)은 보안 대상 장치에 접속되는 외부 저장 매체에 저장된 데이터의 입출력 제어를 담당하며, 파일입출력부분(13)은 일반 파일 데이터 및 그외의 보안 대상 장치로 입력되는 다양한 데이터의 입출력 제어를 담당한다.
인터페이스프레임워크부분(14)은 네트워크입출력부분(11)과 매체입출력부분(12)과 파일입출력부분(13)과 연동되어 입력되는 데이터를 보안부(20)에서 분석 가능하도록 맵핑하여 분석부(20)로 전달하고, 보안부(20)를 통과한 출력 데이터를 각각 대응되는 네트워크입출력부분(11)과 매체입출력부분(12)과 파일입출력부분(13)으로 전달하는 역할을 수행한다.
또한, 인터페이스프레임워크부분(14)은 데이터 맵핑 시, 보안 대상 장치의 OS 또는 호스트 보안 장치(100)의 OS가 입력되는 데이터를 인식할 수 있도록 데이터 매핑을 수행함으로써, 차후, 보안 대상 장치에 설치된 각종 소프트웨어와 호스트 보안 장치(100)가 구비하는 OS와 연동하여 설정 제어, 펌웨어 업데이트, 사양 변경 등의 추가적 기능을 구현할 수 있도록 설계되는 것이 바람직하다.
한편, 보안부(20)는 입출력제어부(10)를 통해 입력된 데이터를 모니터링하여 하나 이상의 보안 기능을 보안 대상 장치에 제공하는 역할을 수행하는 구성으로, 호스트기반침입방지부분(21)과 매체제어부분(22) 및 로그수집부분(23)을 포함할 수 있다.
여기서, 호스트기반침입방지부분(21)은 인터페이스프레임워크부분(14)을 통해 입력된 맵핑 데이터를 분석하여 해당 맵핑 데이터에 대한 보안상 발생될 수 있는 행동을 탐지, 관리하여 악성코드의 침입을 차단, 각종 공격에 대한 선제적 방어 대응을 수행한다.
매체제어부분(22)은 보안 대상 장치로 접속된 외부 매체에 저장된 파일에 대한 검사 및 방역을 수행하며, 로그수집부분(23)은 보안 대상 장치로 입력되는 로그(log) 데이터를 수집 및 관리하여 보안 대상 장치로 입력되는 이상 데이터에 대한 대응, 허가된 사용자에 대한 DB 구축 등의 기능을 수행한다.
여기서, 입출력제어부(10)와 보안부(20)는 통합적으로 모듈화되어 보안 대상 장치의 데이터 이동 경로 상에 설치되며, 바람직하게는, 도 2 에서와 같이, 표준 메모리 규격인 DIMM(Dual In-line Memory Module)에 물리적으로 결합되며, 해당 메모리와 연동되어 메모리로 입출력되는 데이터를 모니터링하도록 마련될 수 있다.
이는, 현재 모든 컴퓨터에 적용되는 폰 노이만(Von-Neumann) 구조를 보안 기술에 가장 적절하게 이용하도록 한 것으로서, 컴퓨터에 입력되는 모든 데이터(프로그램, 연산 요청, 연산 결과 등)가 메모리를 통과해야만 하는 폰 노이만 구조를 보안 기능을 수행하는 특정 장치(호스트 보안 장치)에 적용시킴으로써, 위변조 이전의 로그 파일, 암호화되기 이전의 네트워크 패킷 모니터링을 통해 통제가 가능하도록 구현한 것이며, 이로 인하여 호스트 보안 기술의 새로운 패러다임을 구축할 뿐만 아니라 특수 목적형 DIMM(보안 기능이 구비된 메모리)의 수요 창출 효과를 기대할 수 있다.
전술한 바와 같이, 본 발명에 따른 호스트 보안 장치는, 보안 대상 장치에 각종의 보안 서비스를 제공하되, 보안 대상 장치의 데이터 이동 경로 상에 물리적으로 결합되는 장치적 모듈을 구현할 수 있으며, 보안 대상 장치와는 독립화된 장치를 이용하되, 보안 대상 장치에 장착된 메모리를 통제함으로써 호스트 부하를 최소화시킴과 동시에 향상된 보안성(보안 기능을 수행하는 물리적 장치이기 때문에 악성코드 등을 이용한 보안 기능 무력화 공격이 불가능하며, 이상 상황 발생에 적극적 대응이 가능)을 제공할 수 있다.
또한, 보안 대상 장치에 장착되는 메모리(표준 메모리 규격에 대응되는)에 호스트 보안 장치를 탑재시킴으로써, 보안 대상 장치의 구성 변경 없이 보안 대상 장치에 보안 서비스를 제공할 수 있다.
이상, 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명의 기술적 사상은 이러한 것에 한정되지 않으며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해, 본 발명의 기술적 사상과 하기 될 특허청구범위의 균등범위 내에서 다양한 수정 및 변형 실시가 가능할 것이다.
*도면의 주요부분에 대한 부호의 설명*
100 : 호스트 보안 장치
10 : 입출력제어부
11 : 네트워크입출력부분
12 : 매체입출력부분
13 : 파일입출력부분
14 : 인터페이스프레임워크부분
20 : 보안부
21 : 호스트기반침입방지부분
22 : 매체제어부분
23 : 로그수집부분
100 : 호스트 보안 장치
10 : 입출력제어부
11 : 네트워크입출력부분
12 : 매체입출력부분
13 : 파일입출력부분
14 : 인터페이스프레임워크부분
20 : 보안부
21 : 호스트기반침입방지부분
22 : 매체제어부분
23 : 로그수집부분
Claims (4)
- 하나 이상의 데이터 이동 경로를 통해 전달되는 데이터를 중계하는 입출력제어부; 및
상기 입출력제어부를 통해 입력된 데이터를 모니터링하여 하나 이상의 보안 기능을 수행하는 보안부; 를 포함하며,
상기 입출력제어부와 보안부는 통합적으로 모듈화되어 보안 대상 장치의 데이터 이동 경로 상에 설치되고,
상기 입출력제어부는,
네트워크 패킷 데이터의 입출력 제어를 담당하는 네트워크입출력부분;
외부 저장 매체에 저장된 데이터의 입출력 제어를 담당하는 매체입출력부분;
일반 파일 데이터의 입출력 제어를 담당하는 파일입출력부분; 및
상기 네트워크입출력부분과 매체입출력부분과 파일입출력부분과 연동되어 입력되는 데이터를 상기 보안부에서 분석 가능하도록 맵핑하여 분석부로 전달하고, 상기 보안부를 통과한 출력 데이터를 각각 대응되는 네트워크입출력부분과 매체입출력부분과 파일입출력부분으로 전달하는 인터페이스프레임워크부분; 을 포함하는 것을 특징으로 하는
호스트 보안 장치. - 제1항에 있어서,
상기 호스트 보안 장치는 표준 메모리 규격인 DIMM(Dual In-line Memory Module)에 물리적으로 결합되며, 해당 메모리와 연동되어 메모리로 입출력되는 데이터를 모니터링하도록 마련되는 것을 특징으로 하는
호스트 보안 장치. - 삭제
- 제1항에 있어서,
상기 보안부는,
상기 인터페이스프레임워크부분을 통해 입력된 맵핑 데이터를 분석하여 해당 맵핑 데이터에 대한 보안상 발생될 수 있는 행동을 탐지 관리하여 악성코드의 침입을 차단하는 호스트기반침입방지부분(HIPS:Host-based Intrusion Prevention System);
보안 대상 장치로 접속된 외부 매체에 저장된 파일에 대한 검사 및 방역을 수행하는 매체제어부분; 및
보안 대상 장치로 입력되는 로그(log) 데이터를 수집 및 관리하는 로그수집부분; 을 포함하는 것을 특징으로 하는
호스트 보안 장치.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020130142899A KR101526471B1 (ko) | 2013-11-22 | 2013-11-22 | 호스트 보안 장치 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020130142899A KR101526471B1 (ko) | 2013-11-22 | 2013-11-22 | 호스트 보안 장치 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20150059382A KR20150059382A (ko) | 2015-06-01 |
| KR101526471B1 true KR101526471B1 (ko) | 2015-06-09 |
Family
ID=53490484
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020130142899A KR101526471B1 (ko) | 2013-11-22 | 2013-11-22 | 호스트 보안 장치 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101526471B1 (ko) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20020059139A (ko) * | 2001-01-02 | 2002-07-12 | 김한규 | 네트워크에 직접 부착 가능한 디스크 시스템 |
| KR20040048466A (ko) * | 2002-12-03 | 2004-06-10 | 한국전자통신연구원 | 보안 게이트웨이의 커널 기반 고속 침입탐지 시스템 및 그방법 |
| KR100860607B1 (ko) * | 2008-04-21 | 2008-09-29 | 주식회사 모보 | 네트워크 통합보안 스위치장치 및 방법 |
| KR101445765B1 (ko) * | 2013-07-03 | 2014-10-06 | 한국전자통신연구원 | 네트워크 관리 장치 및 그 관리 방법 |
-
2013
- 2013-11-22 KR KR1020130142899A patent/KR101526471B1/ko active IP Right Grant
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20020059139A (ko) * | 2001-01-02 | 2002-07-12 | 김한규 | 네트워크에 직접 부착 가능한 디스크 시스템 |
| KR20040048466A (ko) * | 2002-12-03 | 2004-06-10 | 한국전자통신연구원 | 보안 게이트웨이의 커널 기반 고속 침입탐지 시스템 및 그방법 |
| KR100860607B1 (ko) * | 2008-04-21 | 2008-09-29 | 주식회사 모보 | 네트워크 통합보안 스위치장치 및 방법 |
| KR101445765B1 (ko) * | 2013-07-03 | 2014-10-06 | 한국전자통신연구원 | 네트워크 관리 장치 및 그 관리 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20150059382A (ko) | 2015-06-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10050997B2 (en) | Method and system for secure delivery of information to computing environments | |
| KR101535502B1 (ko) | 보안 내재형 가상 네트워크 제어 시스템 및 방법 | |
| US9952790B2 (en) | Application security policy actions based on security profile exchange | |
| US10009360B1 (en) | Malware detection and data protection integration | |
| US9794270B2 (en) | Data security and integrity by remote attestation | |
| US9594881B2 (en) | System and method for passive threat detection using virtual memory inspection | |
| CA2943271C (en) | Method and system for providing security aware applications | |
| EP3476101B1 (en) | Method, device and system for network security | |
| US20070266433A1 (en) | System and Method for Securing Information in a Virtual Computing Environment | |
| US20170053120A1 (en) | Thread level access control to socket descriptors and end-to-end thread level policies for thread protection | |
| US20160381076A1 (en) | Service level agreements and application defined security policies for application and data security registration | |
| US9690598B2 (en) | Remotely establishing device platform integrity | |
| US11019085B1 (en) | Systems and methods for identifying potentially risky traffic destined for network-connected devices | |
| KR101526471B1 (ko) | 호스트 보안 장치 | |
| KR20180044507A (ko) | 지능형 지속위협 환경의 네트워크 복구 시스템 | |
| KR101904415B1 (ko) | 지능형 지속위협 환경에서의 시스템 복구 방법 | |
| Haverinen | Cyber security of smart building ecosystems | |
| Micro | Threat Management System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20180531 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20190603 Year of fee payment: 5 |