KR101551537B1 - Information spill prevention apparatus - Google Patents

Information spill prevention apparatus Download PDF

Info

Publication number
KR101551537B1
KR101551537B1 KR1020130122768A KR20130122768A KR101551537B1 KR 101551537 B1 KR101551537 B1 KR 101551537B1 KR 1020130122768 A KR1020130122768 A KR 1020130122768A KR 20130122768 A KR20130122768 A KR 20130122768A KR 101551537 B1 KR101551537 B1 KR 101551537B1
Authority
KR
South Korea
Prior art keywords
packet
data
data packet
information
security
Prior art date
Application number
KR1020130122768A
Other languages
Korean (ko)
Other versions
KR20150043843A (en
Inventor
곽동선
Original Assignee
에스2정보 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스2정보 주식회사 filed Critical 에스2정보 주식회사
Priority to KR1020130122768A priority Critical patent/KR101551537B1/en
Publication of KR20150043843A publication Critical patent/KR20150043843A/en
Application granted granted Critical
Publication of KR101551537B1 publication Critical patent/KR101551537B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 내부망이 외부망에 연결되는 중간지점에 위치하며, 관제 서버에서 제공한 보안 정책-검출 패턴과 임계치를 포함-을 저장하는 정책 저장부, 상기 내부망에 위치한 사용자 단말 또는 보안 장비에서 전송한 데이터 패킷을 스위칭 허브를 통해 수신하는 데이터 수신부, 상기 데이터 수신부에서 수신한 데이터 패킷에서 내용 부분을 상기 보안 정책과 비교하여 정상 패킷인지 이상 패킷인지를 판단하며, 정상 패킷인 경우에 상기 데이터 패킷을 상기 외부망으로 전송하고 이상 패킷인 경우에 상기 외부망으로의 전송을 차단하는 데이터 검사 및 차단부, 그리고 상기 데이터 검사 및 차단부로부터 각 데이터 패킷에 대한 검사 결과를 수신하고, 각 데이터 패킷에 대한 검사 결과 이력을 생성하는 내역 생성부를 포함하는 정보유출방지장치에 관한 것이다.The present invention can be applied to a policy storage unit for storing a security policy-detection pattern and a threshold value provided by a control server at an intermediate point where an internal network is connected to an external network, A data receiving unit for receiving the transmitted data packet through a switching hub; a content receiving unit for comparing the content of the received data packet with the security policy to determine whether the packet is a normal packet or an abnormal packet; A data checking and blocking unit for transmitting data packets to the external network and blocking transmission to the external network when the packets are abnormal; And a history generating unit for generating a history of the test results All.

Description

정보유출방지장치{Information spill prevention apparatus}Information spill prevention apparatus [0002]

본 발명은 내부망에서 외부망으로 전송되는 정보 중 보안이 요구되는 정보에 대하여 외부망으로의 유출을 차단하는 정보유출방지장치에 관한 것이다.The present invention relates to an information leakage preventing apparatus for preventing information from being transmitted to an external network from information transmitted from an internal network to an external network.

개인보호정보나 산업기밀정보 등의 보안 정보는 유출시 악용될 소지가 높으며, 악의적으로 이용되는 경우에 개인이나 기업 등에 막대한 피해를 준다.Security information such as personal protection information or industrial confidential information is highly likely to be exploited when it is leaked, and it causes enormous damage to an individual or an enterprise when it is used maliciously.

특히 최근에 인터넷을 이용한 금융거래시에 계좌정보와 개인정보, 비밀번호가 의도치 않게 유출되어 개인 자산에 피해를 주는 금융피해 사건이 종종 발생되고 있다.Especially, in recent financial transactions using the Internet, financial damage incidents are often occurring, in which account information, personal information and passwords are inadvertently leaked and damage personal assets.

이러한 금융피해를 방지하기 위한 노력으로 개인에게는 OTP 번호를 이용하게 하거나, 비밀번호나 계좌번호 등의 숫자 입력시 숫자 입력판의 배열을 랜덤하게 가변시키는 방법 등을 이용하고 있다. 또한 산업기밀에 대한 보안은 별도의 보안 책임자가 산업기밀을 관리하고 있으며, 인터넷으로 쉽게 접근하지 못하도록 안전장치를 해 놓고 있다.In an effort to prevent such financial damage, a method of using an OTP number for an individual or randomly varying the arrangement of a numeric input plate when a numeric value such as a password or an account number is used is used. In addition, the security of industrial secrets is managed by a separate security officer and is equipped with safeguards to prevent easy access to the Internet.

그러나 이러한 방법은 개인이 부주의하거나 내부자가 악의성을 가지거나 또는 새로운 인터넷 해킹 기술이 등장하는 경우에 대응하지 못하는 문제가 있다.However, this method has a problem in that it can not cope with the case where an individual is careless, an insider possesses maliciousness, or a new Internet hacking technology appears.

본 발명이 이루고자 하는 기술적 과제는 인터넷을 통해 보안 정보가 유출되는지를 탐지하고 보안 정보 유출시에 유출되지 않도록 차단하는 정보유출방지장치를 제공하는 것이다.An object of the present invention is to provide an information leakage preventing device that detects whether security information is leaked through the Internet and blocks the leakage of security information when the security information is leaked.

또한 본 발명이 이루고자 하는 기술적 과제는 원격지에서 보안 정보의 유출 정책을 결정하고 이러한 보안정책에 따라 보안 정보에 대한 탐지 및 차단이 이루어지게 하는 정보유출방지장치를 제공하는 것이다.According to another aspect of the present invention, there is provided an apparatus for preventing leakage of information by determining a leakage policy of security information at a remote site and detecting and blocking security information according to the security policy.

상기 기술적 과제를 달성하기 위한 본 발명은 정보유출방지장치를 제공한다. 이 정보유출방지장치는 내부망이 외부망에 연결되는 중간지점에 위치하며, 관제 서버에서 제공한 보안 정책-검출 패턴과 임계치를 포함-을 저장하는 정책 저장부, 상기 내부망에 위치한 사용자 단말 또는 보안 장비에서 전송한 데이터 패킷을 스위칭 허브를 통해 수신하는 데이터 수신부, 상기 데이터 수신부에서 수신한 데이터 패킷에서 내용 부분을 상기 보안 정책과 비교하여 정상 패킷인지 이상 패킷인지를 판단하며, 정상 패킷인 경우에 상기 데이터 패킷을 상기 외부망으로 전송하고 이상 패킷인 경우에 상기 외부망으로의 전송을 차단하는 데이터 검사 및 차단부, 그리고 상기 데이터 검사 및 차단부로부터 각 데이터 패킷에 대한 검사 결과를 수신하고, 각 데이터 패킷에 대한 검사 결과 이력을 생성하는 내역 생성부를 포함한다.According to an aspect of the present invention, there is provided an apparatus for preventing information leakage. The information leakage prevention device includes a policy storage unit for storing a security policy-detection pattern and a threshold value provided by the control server, the policy storage unit being located at an intermediate point where the internal network is connected to the external network, A data receiving unit for receiving a data packet transmitted from a security device through a switching hub; a content receiving unit for comparing a content part of the data packet received by the data receiving unit with the security policy to determine whether the packet is a normal packet or an abnormal packet; A data checking and blocking unit for transmitting the data packet to the external network and blocking transmission to the external network when the data packet is an abnormal packet; And a history generating unit for generating a test result history for the data packet.

또한 정보유출방지장치는 각 데이터 패킷의 검사 결과 중 설정된 주요 대상의 데이터 패킷에 대한 검사 결과를 추출하고, 상기 주요 대상에 대한 검사 결과 이력을 생성하는 분석부를 더 포함할 수 있다.The information leakage prevention apparatus may further include an analyzing unit for extracting inspection results of the data packets of the main object set among the inspection results of the respective data packets and generating a test result history for the main object.

상기에서 데이터 검사 및 차단부는 상기 데이터 패킷의 내용 부분과 상기 검출 패턴을 비교하여 상기 내용 부분에 포함된 검출 패턴의 개수를 파악하고, 파악한 검출 패턴의 개수와 상기 보안 정책의 임계치를 비교하여 상기 검출 패턴의 개수가 임계치보다 많은 경우에 상기 이상 패킷으로 판단한다.The data checking and blocking unit compares the contents of the data packet with the detection pattern to grasp the number of detection patterns contained in the content portion, compares the number of detected detection patterns with a threshold value of the security policy, If the number of patterns is larger than the threshold value, it is determined as the abnormal packet.

본 발명의 실시 예에 따르면, 내부망에 위치한 각종 보안 장비나 사용자 단말 등에서 외부망으로 송출되는 데이터 패킷에 보안 정보가 포함되어 있는지를 데이터 패킷이 외부망에 진입하기 전에 확인하고 보안이 필요한 데이터 패킷을 차단하여 보안을 요하는 정보가 외부로 누출되는 것을 방지할 수 있게 한다.According to the embodiment of the present invention, it is possible to check whether security data is included in a data packet transmitted to the external network from various security devices or user terminals located in the internal network before the data packet enters the external network, So that information that requires security can be prevented from leaking to the outside.

도 1은 본 발명의 실시 예에 따른 정보유출방지시스템의 네트워크 구성도이다.
도 2는 본 발명의 실시 예에 따른 정보유출방지장치의 블록 구성도이다.
도 3은 본 발명의 제1 실시 예에 따른 정보유출방지장치의 동작을 보인 데이터 흐름도이다.
도 4는 본 발명의 제2 실시 예에 따른 정보유출방지장치의 동작을 보인 데이터 흐름도이다.1 is a network configuration diagram of an information leakage prevention system according to an embodiment of the present invention.
2 is a block diagram of an information leakage preventing apparatus according to an embodiment of the present invention.
3 is a data flow chart showing the operation of the information leakage preventing apparatus according to the first embodiment of the present invention.
4 is a data flow chart showing the operation of the information leakage preventing apparatus according to the second embodiment of the present invention.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art can easily carry out the present invention. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. In order to clearly illustrate the present invention, parts not related to the description are omitted, and similar parts are denoted by like reference characters throughout the specification.

이제, 도면을 참조하여 본 발명의 실시 예에 따른 정보유출방지장치 및 방법에 대하여 상세히 설명하기로 한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS An apparatus and method for preventing information leakage according to an embodiment of the present invention will now be described in detail with reference to the drawings.

도 1은 본 발명의 실시 예에 따른 정보유출방지시스템의 네트워크 구성도이다. 도 1에 도시된 바와 같이, 본 발명이 적용되는 정보유출방지시스템은 보안장비(A), 에이전트(agent)가 설치된 사용자 단말(10), 정보유출방지장치(100), 관제 서버(200)와 관리자 단말(40)을 포함한다.1 is a network configuration diagram of an information leakage prevention system according to an embodiment of the present invention. 1, the information leakage prevention system to which the present invention is applied includes a security device A, a user terminal 10 equipped with an agent, an information leakage prevention device 100, a control server 200, And an administrator terminal 40.

보안장비(A)는 내부망에 위치한 시스템 또는 장치 또는 이들의 집합이며, 개인보호정보 또는 기업기밀정보 등의 보안 정보를 저장하고 있다. 예컨대, 보안장비(A)는 개인정보처리시스템(A1), 보안시스템(A2), 레거시 시스템(A3) 중 적어도 하나이다.The security device (A) is a system or device or a group thereof located in the internal network, and stores security information such as personal protection information or enterprise confidential information. For example, the security device A is at least one of the personal information processing system A1, the security system A2, and the legacy system A3.

여기서, 보안 정보는 개인보호정보나 산업기밀정보이며, 개인보호정보는 주민등록번호, 여권번호, 운전면허정보, 산업기밀, 신용카드번호, 계좌번호, 전화번호, 아이디, 패스워드 등이고, 산업기밀정보는 "취급보안", "비공개", "보안등급", "기밀", "대외비" 등의 단어가 포함된 정보이거나 산업기밀정보에 대한 메타정보 등이다.Here, the security information is personal protection information or industrial confidential information, and the personal protection information includes a resident registration number, a passport number, a driving license information, an industrial secret, a credit card number, an account number, a telephone number, an ID, Information that contains words such as "handling security", "private", "security level", "confidential", "confidential", or meta information about industrial confidential information.

사용자 단말(10)은 내부망에 위치한 단말로서, 컴퓨터, 노트북 등이다. 이러한 사용자 단말(10)에는 보안 정보의 유출을 감시하고 검출하기 위한 에이전트(agent)가 설치되어 있다.The user terminal 10 is a terminal located in the internal network, such as a computer, a notebook computer, or the like. The user terminal 10 is provided with an agent for monitoring and detecting leakage of security information.

에이전트는 실시간 검사와 정기 검사를 수행하여 보안 정보의 유출을 감시한다. 실시간 검사는 사용자 단말(10)에서 문서 저장 이벤트나 문서 출력(예; USB 저장, 프린트, 메일 전송, 파일 전송 등) 이벤트가 발생할 때에 동기하여 수행되며, 해당 문서 내에 보안 정보가 포함되어 있는지를 검사하고 보안 정보가 포함되어 있는 경우에 정보유출방지장치(100)에 검사한 내역을 알린다.Agent performs real-time and periodic inspection to monitor leakage of security information. The real-time inspection is performed in synchronism with the occurrence of a document storage event or a document output (for example, USB storage, printing, mail transmission, file transmission, etc.) events in the user terminal 10 and checks whether security information is included in the document And informs the information leakage preventing device 100 of the details of the inspection when security information is included.

정기 검사는 설정된 주기 시간마다 동작하고, 동작시 사용자 단말(10) 내의 문서들을 검사하여 보안 정보를 포함하고 있는지를 검사하며, 보안 정보가 포함되어 있는 경우에 정보유출방지장치(100)에 검사한 내역을 알린다.The periodic inspection is performed every set cycle time, and it checks whether documents included in the user terminal 10 are included in the operation to check security information, and when the security information is included, the information leakage prevention device 100 checks Tell the story.

정보유출방지장치(100)는 내부망이 외부망(예; 인터넷망)에 연결되는 중간지점에 위치한다. 구체적으로, 정보유출방지장치(100)는 스위칭 허브(예: L2 스위치)와 에지 라우터(edge router) 사이에 위치한다. 정보유출방지장치(100)는 보안 장비(A) 또는 사용자 단말(10)에서 전송한 데이터 패킷을 L2 스위치(30)로부터 수신하고 수신한 데이터 패킷의 내용(예; 패킷의 페이로드)을 검사하여 데이터 패킷이 정상 패킷인지 이상 패킷인지를 판단한 후 정상 패킷인 경우에 라우터로 전송한다.The information leakage preventing apparatus 100 is located at a midway point where the internal network is connected to an external network (e.g., the Internet). Specifically, the information leakage preventing apparatus 100 is located between a switching hub (for example, an L2 switch) and an edge router. The information leakage prevention device 100 receives a data packet transmitted from the security device A or the user terminal 10 from the L2 switch 30 and inspects the contents of the received data packet (for example, the payload of the packet) Determines whether the data packet is a normal packet or an abnormal packet, and transmits the data packet to the router when the packet is a normal packet.

여기서, 정상 패킷은 보안 정책에 부합하는 데이터 패킷이고, 이상 패킷은 보안 정책을 위반한 데이터 패킷이다. 보안 정책은 데이터 패킷이 정상인지 이상인지를 판단하기 위해 검출 패턴과 임계값을 포함한다.Here, the normal packet is a data packet conforming to the security policy, and the abnormal packet is a data packet that violates the security policy. The security policy includes a detection pattern and a threshold value to determine whether the data packet is normal or abnormal.

검출 패턴은 데이터 패킷의 내용에 보안 정보가 포함되어 있는지를 검출하기 위해 사용되는 정보로서, 예컨대, 주민등록번호, 여권번호, 운전면허정보, 산업기밀, 신용카드번호, 계좌번호, 전화번호, 아이디, 패스워드, "취급보안", "비공개", "보안등급", "기밀", "대외비" 등의 단어 또는 산업기밀정보에 대한 메타정보 등이 이용된다.The detection pattern is information used to detect whether security information is included in the contents of the data packet and includes, for example, a resident registration number, a passport number, driving license information, industrial secrets, a credit card number, an account number, Meta information on words such as "security", "handling security", "secret", "security level", "confidentiality", "confidentiality", or industrial confidential information.

임계값은 데이터 패킷을 차단하는 기준이 되는 설정값으로, 예컨대 보안 정보가 발견된 개수와 비교되는 설정값이다. 즉, 임계값을 5로 설정하면, 하나의 데이터 패킷에서 보안 정보에 포함된 단어가 5개 이상 발견되면 이상 패킷이며, 이는 차단 대상이 되고, 5개 보다 적게 발견되면 정상 패킷이다.The threshold value is a setting value serving as a criterion for blocking the data packet, for example, a setting value compared with the number in which the security information is found. That is, if the threshold value is set to 5, if five or more words included in the security information are found in one data packet, the packet is an abnormal packet, and if it is found less than five, it is a normal packet.

한편 정보유출방지장치(100)는 주요 대상의 데이터 패킷에 대한 감시 및 차단 결과에 대하여 분석을 수행한다. 주요 대상이라 보안 정보를 관리하는 관리자 또는 보안 정보의 취급이 가능한 자의 보안 장비(A)의 소오스 IP 주소, 특정 목적지(destination) IP 주소, 특정 포트 번호, 특정 프로토콜 식별정보 및 특정 서비스 식별정보 등이다.On the other hand, the information leakage prevention apparatus 100 analyzes the monitored and blocked results of the data packets of the main object. A source IP address, a specific destination IP address, a specific port number, a specific protocol identification information, and a specific service identification information of a security device (A) of a manager who manages security information or a person who can handle security information .

정보유출방지장치(100)는 감시 및 차단 결과 중 주요 대상의 데이터 패킷 중 주요 대상의 데이터 패킷을 추출한 후 주요 대상의 데이터 패킷에 대한 감시 및 차단 결과를 분석하고 감시 결과 내역을 생성한 후 이를 관제 서버(200)에 제공한다.The information leakage prevention device 100 extracts data packets of the main object among the data packets of the main object among the monitoring and blocking results, analyzes the monitoring and blocking results of the data packets of the main object, generates the monitoring result details, And provides it to the server 200.

또한 정보유출방지장치(100)는 사용자 단말(10)의 에이전트에서 전송하는 검사 내역을 L2 스위치(20)를 통해 수신하고, 수신한 검사 이력을 관제 서버(200)에 제공한다. 그리고 정보유출방지장치(100)는 데이터 패킷에 대한 감시 결과에 대한 이력 또한 관제 서버(200)에 제공한다.Also, the information leakage prevention device 100 receives the inspection details transmitted from the agent of the user terminal 10 through the L2 switch 20, and provides the received inspection history to the control server 200. [ The information leakage prevention device 100 also provides the history of the monitoring result of the data packet to the control server 200. [

관제 서버(200)는 정보유출방지장치(100)에서 제공하는 감시 내역을 수신하여 정보유출방지장치(100)에 의한 감시 결과와, 에이전트에 의한 감시 결과를 관리자가 모니터링할 수 있게 한다. 관제 서버(200)는 정보유출방지장치(100)에 보안 정책 정보를 제공하여 정보유출방지장치(100)에 설정된 보안 정책 정보가 갱신되게 한다.The control server 200 receives the monitoring details provided by the information leakage preventing device 100 and enables the administrator to monitor the monitoring results of the information leakage preventing device 100 and the monitoring results of the agent. The control server 200 provides security policy information to the information leakage prevention device 100 so that the security policy information set in the information leakage prevention device 100 is updated.

이하에서는 도 2를 참조로 하여 본 발명의 실시 예에 따른 정보유출방지장치의 구성을 보다 상세히 설명한다. 도 2는 본 발명의 실시 예에 따른 정보유출방지장치의 블록 구성도이다.Hereinafter, the configuration of an information leakage preventing apparatus according to an embodiment of the present invention will be described in more detail with reference to FIG. 2 is a block diagram of an information leakage preventing apparatus according to an embodiment of the present invention.

도 2에 도시된 바와 같이, 본 발명의 실시 예에 따른 정보유출방지장치(100)는 인터페이스부(110), 정책 저장부(120), 데이터 수신부(130), 데이터 검사 및 차단부(140), 내역 생성부(150)를 포함한다. 그리고 본 발명의 실시 예에 따른 정보유출방지장치(100)는 분석부(160)를 더 포함할 수 있다.2, the information leakage preventing apparatus 100 according to the embodiment of the present invention includes an interface unit 110, a policy storage unit 120, a data receiving unit 130, a data checking and blocking unit 140, And a history generating unit 150. The information leakage prevention apparatus 100 according to an embodiment of the present invention may further include an analysis unit 160. [

인터페이스부(110)는 스위칭 허브(20, 30) 및, 관제 서버(200)와의 통신 연결을 담당한다.The interface unit 110 is responsible for communication connection with the switching hubs 20 and 30 and the control server 200.

정책 저장부(120)는 관제 서버(200)로부터 수신된 보안 정책을 저장하고, 수신된 보안 정책이 기 설정된 보안 정책의 업그레이드 버전인 경우에 기 설정된 보안 정책을 수신된 보안 정책으로 갱신하여 저장한다.The policy storage unit 120 stores the security policy received from the control server 200 and stores the updated security policy in the received security policy when the received security policy is an upgrade version of the preset security policy .

데이터 수신부(130)는 L2 스위치(20 또는 30)를 통해 전송되는 사용자 단말(10) 또는 보안 장비(A) 데이터 패킷을 수집(수신)하고, 사용자 단말(10)의 에이전트에서 전송한 검사 결과 이력을 수신한다.The data receiving unit 130 collects (receives) a data packet of the user terminal 10 or the security device A transmitted through the L2 switch 20 or 30 and transmits a test result history transmitted from the agent of the user terminal 10 Lt; / RTI >

데이터 검사 및 차단부(140)는 데이터 수신부(130)에 의해 수집된 데이터 패킷들을 정책 저장부(120)에 저장된 보안 정책에 따라 검사한다. 이때 검사는 데이터 패킷의 페이로드(payload)에 보안 정책에 따른 보안 정보가 포함되어 있는지를 검사하고, 또한 포함된 보안 정보의 개수가 몇 개이며 보안정책에 따른 임계치 이상인지 이하인지를 검사한다.The data checking and blocking unit 140 inspects the data packets collected by the data receiving unit 130 according to a security policy stored in the policy storage unit 120. At this time, the test checks whether the payload of the data packet includes the security information according to the security policy, and also checks the number of the included security information and whether or not the number is greater than or equal to the threshold value according to the security policy.

데이터 검사 및 차단부(140)는 검사 결과를 내역 생성부(150)와 분석부(160)에 제공하고, 보안 정책을 위반한 데이터 패킷이 발견되면 라우터로의 전송(즉, 인터넷망으로의 전송)을 차단한다.The data inspection and blocking unit 140 provides the inspection result to the history generation unit 150 and the analysis unit 160. If a data packet violating the security policy is found, the data inspection and blocking unit 140 transmits the inspection result to the router ).

내역 생성부(150)는 데이터 검사 및 차단부(140)로부터 각 데이터 패킷에 대한 검사 결과를 수신하고, 검사 결과를 각 데이터 패킷의 헤더 정보(예; IP 주소 또는 MAC 주소 등)에 대응시켜 검사 결과 이력을 생성한 후, 검사 결과 이력을 관제 서버(200)에 제공한다.The history generating unit 150 receives inspection results for each data packet from the data checking and blocking unit 140 and checks the inspection results in correspondence with header information (e.g., IP address or MAC address) of each data packet After generating the result history, the inspection result history is provided to the control server 200.

분석부(160)는 데이터 검사 및 차단부(140)로부터 수신된 각 데이터 패킷의 검사 결과 중 주요 대상의 데이터 패킷에 대한 검사 결과를 추출하고, 추출한 검사 결과를 관제 서버(200)에 제공한다.The analysis unit 160 extracts the inspection results of the data packets of the main object among the inspection results of the respective data packets received from the data inspection and blocking unit 140 and provides the inspection results to the control server 200.

한편, 데이터 수신부(130)는 사용자 단말(10)의 에이전트로부터 검사 결과 이력을 수신하면, 수신한 검사 결과 이력을 관제 서버(200)에 전달한다.On the other hand, when the data receiving unit 130 receives the inspection result history from the agent of the user terminal 10, the data receiving unit 130 transmits the received inspection result history to the control server 200.

이하에서는 도 3과 도 4를 참조로 하여 본 발명의 실시 예에 따른 정보유출방지 방법을 설명한다. 도 3은 본 발명의 제1 실시 예에 따른 정보유출방지장치의 동작을 보인 데이터 흐름도이다.Hereinafter, an information leakage prevention method according to an embodiment of the present invention will be described with reference to FIGS. 3 and 4. FIG. 3 is a data flow chart showing the operation of the information leakage preventing apparatus according to the first embodiment of the present invention.

관제 서버(200)는 정보유출방지장치(100)으로 보안 정책을 제공하고(S301), 정보유출방지장치(100)는 수신된 보안 정책을 설정 또는 갱신한다(S302).The control server 200 provides a security policy to the information leakage prevention device 100 (S301), and the information leakage prevention device 100 sets or updates the received security policy (S302).

물론, 정보유출방지장치(100)에 저장된 보안 정책이 최신 버전이면 관제 서버(200)의 보안 정책 제공 과정은 생략된다.Of course, if the security policy stored in the information leakage prevention device 100 is the latest version, the security policy provision process of the control server 200 is omitted.

정보유출방지장치(100)에 보안 정책이 설정된 상태에서, 보안 장비(A) 또는 사용자 단말(10)은 데이터 패킷을 전송하고(S303), L2 스위치(30)는 수신된 데이터 패킷에 대한 목적지를 파악하여 목적지로 데이터 패킷을 전송한다(S304).The security device A or the user terminal 10 transmits a data packet (S303) while the security policy is set in the information leakage prevention device 100 and the L2 switch 30 transmits a destination for the received data packet And transmits the data packet to the destination (S304).

정보유출방지장치(100)는 L2 스위치(30)에서 에지 라우터로 전송되는 데이터 패킷이 수신하고, 수신한 데이터 패킷에서 데이터 부분 즉, 페이로드 부분을 추출한 후(S305), 보안 정책의 검출 패턴과 비교하는 데이터 검사를 수행한다(S306).The information leakage prevention apparatus 100 receives a data packet transmitted from the L2 switch 30 to an edge router and extracts a data portion, i.e., a payload portion, from the received data packet (S305) The data to be compared is checked (S306).

그런 다음, 데이터 검사 과정(S306)에서 검출 패턴이 검출되지 않으면, 정보유출방지장치(100)는 해당 데이터 패킷을 정상 패킷으로 판단하고 해당 데이터 패킷을 원래의 전송 경로상의 에지 라우터로 전송한다(S307).Then, if no detection pattern is detected in the data checking process (S306), the information leakage prevention device 100 determines that the data packet is a normal packet and transmits the data packet to the edge router on the original transmission path (S307 ).

반면에, 데이터 검사 과정(S306)에서 검출 패턴이 검출되면, 정보유출방지장치(100)는 해당 데이터 패킷에 포함된 검출 패턴의 개수를 카운트하고(S308), 카운트값과 보안 정책의 임계치를 비교하여 카운트값이 임계치 이상인지를 판단한다(S309).On the other hand, when the detection pattern is detected in the data checking process (S306), the information leakage preventing device 100 counts the number of detection patterns included in the data packet (S308), compares the count value with the threshold value of the security policy And determines whether the count value is equal to or greater than the threshold value (S309).

상기 판단 과정(S309)에서, 카운트값이 임계치보다 작으면 정보유출방지장치(100)는 정상 패킷으로 판단하여 해당 데이터 패킷을 에지 라우터로 전송하지만(S310), 카운트값이 임계치 이상이면 이상 패킷으로 판단하여 해당 데이터 패킷의 전송을 차단한다(S311). 즉, 해당 데이터 패킷을 인터넷망으로 전송되지 않게 한다.If it is determined in step 309 that the count value is smaller than the threshold value, the information leak prevention apparatus 100 determines that the packet is a normal packet and transmits the packet to the edge router (S310). If the count value is equal to or greater than the threshold value, And blocks transmission of the corresponding data packet (S311). That is, the data packet is not transmitted to the Internet.

그리고, 정보유출방지장치(100)는 수신되는 데이터 패킷에 대한 검사 및 차단 동작을 수행한 후 각 데이터 패킷에 대한 검사 내역을 생성하고 생성한 검사 내역을 관제 서버(200)에 제공한다(S312).The information leakage prevention device 100 performs inspection and blocking operations on received data packets, generates inspection details for each data packet, and provides the generated inspection details to the control server 200 (S312) .

관제 서버(200)는 정보유출방지장치(100)로부터 수신된 데이터 패킷에 대한 검사 및 차단 내역을 화면상에 표시하거나, 관리자 단말(40)에 제공한다.The control server 200 displays the inspection and blocking details of the data packet received from the information leakage prevention device 100 on the screen or provides the screen to the administrator terminal 40.

도 4는 본 발명의 제2 실시 예에 따른 정보유출방지장치의 동작을 보인 데이터 흐름도이다. 도 4에 도시된 바와 같이, 관제 서버(200)는 정보유출방지장치(100)으로 보안 정책을 제공하고(S401), 정보유출방지장치(100)는 수신된 보안 정책을 설정 또는 갱신한다(S402).4 is a data flow chart showing the operation of the information leakage preventing apparatus according to the second embodiment of the present invention. 4, the control server 200 provides a security policy to the information leakage prevention device 100 (S401), and the information leakage prevention device 100 sets or updates the received security policy (S402 ).

정보유출방지장치(100)에 보안 정책이 설정된 상태에서, 보안 장비(A) 또는 사용자 단말(10)은 데이터 패킷을 전송하거나(S403), L2 스위치(30)는 수신된 데이터 패킷에 대한 목적지를 파악하여 목적지로 데이터 패킷을 전송한다(S404).The security device A or the user terminal 10 transmits a data packet (S403) while the security policy is set in the information leakage prevention device 100 and the L2 switch 30 transmits the destination for the received data packet And transmits the data packet to the destination (S404).

이에, 정보유출방지장치(100)는 L2 스위치(30)에서 에지 라우터로 전송되는 데이터 패킷이 수신하고, 수신한 데이터 패킷에서 데이터 부분 즉, 페이로드 부분에 대하여 검사를 수행하여 해당 데이터 패킷이 정상 패킷인지 이상 패킷인지를 판단하며, 정상 패킷인 경우에는 라우터를 통해 인터넷망으로 전송하고, 이상 패킷인 경우에는 인터넷망으로의 전송을 차단한다. 그리고 각 데이터 패킷에 대한 검사 및 차단 내역을 생성한다.(S405).Accordingly, the information leakage prevention apparatus 100 receives a data packet transmitted from the L2 switch 30 to an edge router, performs an inspection on a data portion, i.e., a payload portion, of the received data packet, And determines whether the packet is an abnormal packet. If the packet is a normal packet, the packet is transmitted to the Internet through a router. If the packet is abnormal, the packet is blocked from being transmitted to the Internet. Then, inspection and blocking details for each data packet are generated (S405).

여기서, S405 과정은 도 3의 S305 과정 내지 S312 과정과 동일하다.Here, the process of S405 is the same as the process of S305 to S312 of FIG.

정보유출방지장치(100)는 각 데이터의 검사 및 차단 내역 중에서 주요 대상의 검사 및 차단 내역을 추출하고(S406), 검사 및 차단 내역을 관제 서버(200)에 제공한다(S407).The information leakage prevention apparatus 100 extracts inspection and blocking details of the main object from inspection and blocking details of each data (S406), and provides inspection and blocking details to the control server 200 (S407).

이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시예의 기재로부터 본 발명이 속하는 기술분야의 전문가라면 쉽게 구현할 수 있는 것이다. The embodiments of the present invention described above are not only implemented by the apparatus and method but may be implemented through a program for realizing the function corresponding to the configuration of the embodiment of the present invention or a recording medium on which the program is recorded, The embodiments can be easily implemented by those skilled in the art from the description of the embodiments described above.

이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, It belongs to the scope of right.

10 : 사용자 단말 20, 30 : L2 스위치(스위치 허브)
100 : 정보유출방지장치 A : 보안 장비
200 : 관제 서버 40 : 관리자 단말
110 : 인터페이스부 120 : 정책 저장부
130 : 데이터 수신부 140 : 데이터 검사 및 차단부
150 : 내역 생성부 160 : 분석부10: user terminal 20, 30: L2 switch (switch hub)
100: Information leakage prevention device A: Security device
200: control server 40: administrator terminal
110: interface unit 120: policy storage unit
130: Data receiving unit 140: Data checking and blocking unit
150: history generating unit 160: analyzing unit

Claims (5)

내부망이 외부망에 연결되는 중간지점에 위치하며,
관제 서버에서 제공한 보안 정책-검출 패턴과 임계치를 포함-을 저장하는 정책 저장부,
상기 내부망에 위치한 사용자 단말 또는 보안 장비에서 전송한 데이터 패킷을 스위칭 허브를 통해 수신하는 데이터 수신부,
상기 데이터 수신부에서 수신한 데이터 패킷에서 내용 부분을 상기 보안 정책과 비교하여 정상 패킷인지 이상 패킷인지를 판단하며, 정상 패킷인 경우에 상기 데이터 패킷을 상기 외부망으로 전송하고 이상 패킷인 경우에 상기 외부망으로의 전송을 차단하는 데이터 검사 및 차단부,
상기 데이터 검사 및 차단부로부터 각 데이터 패킷에 대한 검사 결과를 수신하고, 각 데이터 패킷에 대한 검사 결과 이력을 생성하는 내역 생성부, 그리고
상기 데이터 패킷의 검사 결과 중 설정된 주요 대상의 데이터 패킷에 대한 검사 결과를 추출하는 분석부를 포함하며,
상기 내역 생성부는 상기 주요 대상에 대한 검사 결과를 이용하여 검사 결과 이력을 생성하고,
상기 데이터 검사 및 차단부는 상기 데이터 패킷의 내용 부분과 상기 검출 패턴을 비교하여 상기 내용 부분에 포함된 검출 패턴의 개수를 파악하고, 파악한 검출 패턴의 개수와 상기 보안 정책의 임계치를 비교하여 상기 검출 패턴의 개수가 임계치보다 많은 경우에 상기 이상 패킷으로 판단하는 것을 특징으로 하는 정보유출방지장치.It is located at the middle point where the internal network is connected to the external network,
A policy storage unit for storing a security policy provided by the control server, including a detection pattern and a threshold value,
A data receiving unit for receiving a data packet transmitted from a user terminal or security equipment located in the internal network through a switching hub,
A data packet received from the data receiver is compared with the security policy to determine whether the packet is a normal packet or an abnormal packet; if the packet is a normal packet, the data packet is transmitted to the external network; A data checking and blocking unit for blocking transmission to the network,
A history generator for receiving an inspection result of each data packet from the data checking and blocking unit and generating a test result history for each data packet,
And an analyzing unit for extracting an inspection result of a data packet of the set main object among the inspection results of the data packet,
The history generating unit generates a test result history by using the test results of the main object,
The data checking and blocking unit compares the contents of the data packet with the detection pattern to grasp the number of detection patterns included in the content part, compares the detected number of detection patterns with a threshold value of the security policy, Is judged to be the abnormal packet when the number of the abnormal packets is larger than the threshold value. 삭제delete 삭제delete 제1항에서,
상기 내역 생성부는 생성한 내역을 상기 관제 서버에 제공하는 것을 특징으로 하는 정보유출방지장치.The method of claim 1,
Wherein the history generation unit provides the generated history to the control server. 제4항에서,
상기 스위칭 허브는 L2 스위치이고, 상기 외부망은 인터넷망인 것을 특징으로 하는 정보유출방지장치.5. The method of claim 4,
Wherein the switching hub is an L2 switch, and the external network is an Internet network.
KR1020130122768A 2013-10-15 2013-10-15 Information spill prevention apparatus KR101551537B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130122768A KR101551537B1 (en) 2013-10-15 2013-10-15 Information spill prevention apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130122768A KR101551537B1 (en) 2013-10-15 2013-10-15 Information spill prevention apparatus

Publications (2)

Publication Number Publication Date
KR20150043843A KR20150043843A (en) 2015-04-23
KR101551537B1 true KR101551537B1 (en) 2015-09-08

Family

ID=53036268

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130122768A KR101551537B1 (en) 2013-10-15 2013-10-15 Information spill prevention apparatus

Country Status (1)

Country Link
KR (1) KR101551537B1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101951672B1 (en) * 2016-08-19 2019-02-25 한국전자통신연구원 Apparatus and method for conditional 2-way communication
KR102053836B1 (en) * 2018-05-31 2019-12-09 (주)피디씨 Data sharing system and method between closed intranet and open intranet
KR102006149B1 (en) * 2018-09-10 2019-08-01 이준엽 Apparatus and method for monitoring and controlling relay network in separated network environment

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100512273B1 (en) 2005-05-30 2005-09-05 펌킨넷코리아 (주) Fail-over system and method thereof of network security equipment using single load balancer, and fail-over system and method thereof of network security equipment and load balancers using the same
KR100765340B1 (en) * 2006-03-30 2007-10-09 지니네트웍스(주) Security method for Imaginary in-line network

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100512273B1 (en) 2005-05-30 2005-09-05 펌킨넷코리아 (주) Fail-over system and method thereof of network security equipment using single load balancer, and fail-over system and method thereof of network security equipment and load balancers using the same
KR100765340B1 (en) * 2006-03-30 2007-10-09 지니네트웍스(주) Security method for Imaginary in-line network

Also Published As

Publication number Publication date
KR20150043843A (en) 2015-04-23

Similar Documents

Publication Publication Date Title
CN107251513B (en) System and method for accurate assurance of malicious code detection
US7526806B2 (en) Method and system for addressing intrusion attacks on a computer system
CN100443910C (en) Active network defense system and method
KR102017810B1 (en) Preventive Instrusion Device and Method for Mobile Devices
CN107809433B (en) Asset management method and device
KR101369727B1 (en) Apparatus and method for controlling traffic based on captcha
WO2008063343A2 (en) Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis
CN107347047A (en) Attack guarding method and device
CN107276983A (en) A kind of the traffic security control method and system synchronous with cloud based on DPI
CN107122685A (en) A kind of big data method for secure storing and equipment
CN113411295A (en) Role-based access control situation awareness defense method and system
KR101551537B1 (en) Information spill prevention apparatus
CN113660222A (en) Situation awareness defense method and system based on mandatory access control
KR100772177B1 (en) Method and apparatus for generating intrusion detection event to test security function
US20230156019A1 (en) Method and system for scoring severity of cyber attacks
JP2020086978A (en) Information processing system and information processing method
CN114124453A (en) Network security information processing method and device, electronic equipment and storage medium
KR101606090B1 (en) Apparatus and method for protecting network
CN113206852A (en) Safety protection method, device, equipment and storage medium
Pamnani et al. Incident Handling in SCADA & OT Environments
KR20200116773A (en) Cyber inspection system
CN111224979B (en) Link communication monitoring view construction method based on IP data flow analysis
KR101498647B1 (en) Security Management System And Security Management Method Using The Same
KR101478227B1 (en) Central management device processing event logs having different types and operating method thereof
KR101022787B1 (en) System and method for security management of next generation network

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180625

Year of fee payment: 4