KR101551537B1 - Information spill prevention apparatus - Google Patents
Information spill prevention apparatus Download PDFInfo
- Publication number
- KR101551537B1 KR101551537B1 KR1020130122768A KR20130122768A KR101551537B1 KR 101551537 B1 KR101551537 B1 KR 101551537B1 KR 1020130122768 A KR1020130122768 A KR 1020130122768A KR 20130122768 A KR20130122768 A KR 20130122768A KR 101551537 B1 KR101551537 B1 KR 101551537B1
- Authority
- KR
- South Korea
- Prior art keywords
- packet
- data
- data packet
- information
- security
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명은 내부망이 외부망에 연결되는 중간지점에 위치하며, 관제 서버에서 제공한 보안 정책-검출 패턴과 임계치를 포함-을 저장하는 정책 저장부, 상기 내부망에 위치한 사용자 단말 또는 보안 장비에서 전송한 데이터 패킷을 스위칭 허브를 통해 수신하는 데이터 수신부, 상기 데이터 수신부에서 수신한 데이터 패킷에서 내용 부분을 상기 보안 정책과 비교하여 정상 패킷인지 이상 패킷인지를 판단하며, 정상 패킷인 경우에 상기 데이터 패킷을 상기 외부망으로 전송하고 이상 패킷인 경우에 상기 외부망으로의 전송을 차단하는 데이터 검사 및 차단부, 그리고 상기 데이터 검사 및 차단부로부터 각 데이터 패킷에 대한 검사 결과를 수신하고, 각 데이터 패킷에 대한 검사 결과 이력을 생성하는 내역 생성부를 포함하는 정보유출방지장치에 관한 것이다.The present invention can be applied to a policy storage unit for storing a security policy-detection pattern and a threshold value provided by a control server at an intermediate point where an internal network is connected to an external network, A data receiving unit for receiving the transmitted data packet through a switching hub; a content receiving unit for comparing the content of the received data packet with the security policy to determine whether the packet is a normal packet or an abnormal packet; A data checking and blocking unit for transmitting data packets to the external network and blocking transmission to the external network when the packets are abnormal; And a history generating unit for generating a history of the test results All.
Description
본 발명은 내부망에서 외부망으로 전송되는 정보 중 보안이 요구되는 정보에 대하여 외부망으로의 유출을 차단하는 정보유출방지장치에 관한 것이다.The present invention relates to an information leakage preventing apparatus for preventing information from being transmitted to an external network from information transmitted from an internal network to an external network.
개인보호정보나 산업기밀정보 등의 보안 정보는 유출시 악용될 소지가 높으며, 악의적으로 이용되는 경우에 개인이나 기업 등에 막대한 피해를 준다.Security information such as personal protection information or industrial confidential information is highly likely to be exploited when it is leaked, and it causes enormous damage to an individual or an enterprise when it is used maliciously.
특히 최근에 인터넷을 이용한 금융거래시에 계좌정보와 개인정보, 비밀번호가 의도치 않게 유출되어 개인 자산에 피해를 주는 금융피해 사건이 종종 발생되고 있다.Especially, in recent financial transactions using the Internet, financial damage incidents are often occurring, in which account information, personal information and passwords are inadvertently leaked and damage personal assets.
이러한 금융피해를 방지하기 위한 노력으로 개인에게는 OTP 번호를 이용하게 하거나, 비밀번호나 계좌번호 등의 숫자 입력시 숫자 입력판의 배열을 랜덤하게 가변시키는 방법 등을 이용하고 있다. 또한 산업기밀에 대한 보안은 별도의 보안 책임자가 산업기밀을 관리하고 있으며, 인터넷으로 쉽게 접근하지 못하도록 안전장치를 해 놓고 있다.In an effort to prevent such financial damage, a method of using an OTP number for an individual or randomly varying the arrangement of a numeric input plate when a numeric value such as a password or an account number is used is used. In addition, the security of industrial secrets is managed by a separate security officer and is equipped with safeguards to prevent easy access to the Internet.
그러나 이러한 방법은 개인이 부주의하거나 내부자가 악의성을 가지거나 또는 새로운 인터넷 해킹 기술이 등장하는 경우에 대응하지 못하는 문제가 있다.However, this method has a problem in that it can not cope with the case where an individual is careless, an insider possesses maliciousness, or a new Internet hacking technology appears.
본 발명이 이루고자 하는 기술적 과제는 인터넷을 통해 보안 정보가 유출되는지를 탐지하고 보안 정보 유출시에 유출되지 않도록 차단하는 정보유출방지장치를 제공하는 것이다.An object of the present invention is to provide an information leakage preventing device that detects whether security information is leaked through the Internet and blocks the leakage of security information when the security information is leaked.
또한 본 발명이 이루고자 하는 기술적 과제는 원격지에서 보안 정보의 유출 정책을 결정하고 이러한 보안정책에 따라 보안 정보에 대한 탐지 및 차단이 이루어지게 하는 정보유출방지장치를 제공하는 것이다.According to another aspect of the present invention, there is provided an apparatus for preventing leakage of information by determining a leakage policy of security information at a remote site and detecting and blocking security information according to the security policy.
상기 기술적 과제를 달성하기 위한 본 발명은 정보유출방지장치를 제공한다. 이 정보유출방지장치는 내부망이 외부망에 연결되는 중간지점에 위치하며, 관제 서버에서 제공한 보안 정책-검출 패턴과 임계치를 포함-을 저장하는 정책 저장부, 상기 내부망에 위치한 사용자 단말 또는 보안 장비에서 전송한 데이터 패킷을 스위칭 허브를 통해 수신하는 데이터 수신부, 상기 데이터 수신부에서 수신한 데이터 패킷에서 내용 부분을 상기 보안 정책과 비교하여 정상 패킷인지 이상 패킷인지를 판단하며, 정상 패킷인 경우에 상기 데이터 패킷을 상기 외부망으로 전송하고 이상 패킷인 경우에 상기 외부망으로의 전송을 차단하는 데이터 검사 및 차단부, 그리고 상기 데이터 검사 및 차단부로부터 각 데이터 패킷에 대한 검사 결과를 수신하고, 각 데이터 패킷에 대한 검사 결과 이력을 생성하는 내역 생성부를 포함한다.According to an aspect of the present invention, there is provided an apparatus for preventing information leakage. The information leakage prevention device includes a policy storage unit for storing a security policy-detection pattern and a threshold value provided by the control server, the policy storage unit being located at an intermediate point where the internal network is connected to the external network, A data receiving unit for receiving a data packet transmitted from a security device through a switching hub; a content receiving unit for comparing a content part of the data packet received by the data receiving unit with the security policy to determine whether the packet is a normal packet or an abnormal packet; A data checking and blocking unit for transmitting the data packet to the external network and blocking transmission to the external network when the data packet is an abnormal packet; And a history generating unit for generating a test result history for the data packet.
또한 정보유출방지장치는 각 데이터 패킷의 검사 결과 중 설정된 주요 대상의 데이터 패킷에 대한 검사 결과를 추출하고, 상기 주요 대상에 대한 검사 결과 이력을 생성하는 분석부를 더 포함할 수 있다.The information leakage prevention apparatus may further include an analyzing unit for extracting inspection results of the data packets of the main object set among the inspection results of the respective data packets and generating a test result history for the main object.
상기에서 데이터 검사 및 차단부는 상기 데이터 패킷의 내용 부분과 상기 검출 패턴을 비교하여 상기 내용 부분에 포함된 검출 패턴의 개수를 파악하고, 파악한 검출 패턴의 개수와 상기 보안 정책의 임계치를 비교하여 상기 검출 패턴의 개수가 임계치보다 많은 경우에 상기 이상 패킷으로 판단한다.The data checking and blocking unit compares the contents of the data packet with the detection pattern to grasp the number of detection patterns contained in the content portion, compares the number of detected detection patterns with a threshold value of the security policy, If the number of patterns is larger than the threshold value, it is determined as the abnormal packet.
본 발명의 실시 예에 따르면, 내부망에 위치한 각종 보안 장비나 사용자 단말 등에서 외부망으로 송출되는 데이터 패킷에 보안 정보가 포함되어 있는지를 데이터 패킷이 외부망에 진입하기 전에 확인하고 보안이 필요한 데이터 패킷을 차단하여 보안을 요하는 정보가 외부로 누출되는 것을 방지할 수 있게 한다.According to the embodiment of the present invention, it is possible to check whether security data is included in a data packet transmitted to the external network from various security devices or user terminals located in the internal network before the data packet enters the external network, So that information that requires security can be prevented from leaking to the outside.
도 1은 본 발명의 실시 예에 따른 정보유출방지시스템의 네트워크 구성도이다.
도 2는 본 발명의 실시 예에 따른 정보유출방지장치의 블록 구성도이다.
도 3은 본 발명의 제1 실시 예에 따른 정보유출방지장치의 동작을 보인 데이터 흐름도이다.
도 4는 본 발명의 제2 실시 예에 따른 정보유출방지장치의 동작을 보인 데이터 흐름도이다.1 is a network configuration diagram of an information leakage prevention system according to an embodiment of the present invention.
2 is a block diagram of an information leakage preventing apparatus according to an embodiment of the present invention.
3 is a data flow chart showing the operation of the information leakage preventing apparatus according to the first embodiment of the present invention.
4 is a data flow chart showing the operation of the information leakage preventing apparatus according to the second embodiment of the present invention.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art can easily carry out the present invention. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. In order to clearly illustrate the present invention, parts not related to the description are omitted, and similar parts are denoted by like reference characters throughout the specification.
이제, 도면을 참조하여 본 발명의 실시 예에 따른 정보유출방지장치 및 방법에 대하여 상세히 설명하기로 한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS An apparatus and method for preventing information leakage according to an embodiment of the present invention will now be described in detail with reference to the drawings.
도 1은 본 발명의 실시 예에 따른 정보유출방지시스템의 네트워크 구성도이다. 도 1에 도시된 바와 같이, 본 발명이 적용되는 정보유출방지시스템은 보안장비(A), 에이전트(agent)가 설치된 사용자 단말(10), 정보유출방지장치(100), 관제 서버(200)와 관리자 단말(40)을 포함한다.1 is a network configuration diagram of an information leakage prevention system according to an embodiment of the present invention. 1, the information leakage prevention system to which the present invention is applied includes a security device A, a
보안장비(A)는 내부망에 위치한 시스템 또는 장치 또는 이들의 집합이며, 개인보호정보 또는 기업기밀정보 등의 보안 정보를 저장하고 있다. 예컨대, 보안장비(A)는 개인정보처리시스템(A1), 보안시스템(A2), 레거시 시스템(A3) 중 적어도 하나이다.The security device (A) is a system or device or a group thereof located in the internal network, and stores security information such as personal protection information or enterprise confidential information. For example, the security device A is at least one of the personal information processing system A1, the security system A2, and the legacy system A3.
여기서, 보안 정보는 개인보호정보나 산업기밀정보이며, 개인보호정보는 주민등록번호, 여권번호, 운전면허정보, 산업기밀, 신용카드번호, 계좌번호, 전화번호, 아이디, 패스워드 등이고, 산업기밀정보는 "취급보안", "비공개", "보안등급", "기밀", "대외비" 등의 단어가 포함된 정보이거나 산업기밀정보에 대한 메타정보 등이다.Here, the security information is personal protection information or industrial confidential information, and the personal protection information includes a resident registration number, a passport number, a driving license information, an industrial secret, a credit card number, an account number, a telephone number, an ID, Information that contains words such as "handling security", "private", "security level", "confidential", "confidential", or meta information about industrial confidential information.
사용자 단말(10)은 내부망에 위치한 단말로서, 컴퓨터, 노트북 등이다. 이러한 사용자 단말(10)에는 보안 정보의 유출을 감시하고 검출하기 위한 에이전트(agent)가 설치되어 있다.The
에이전트는 실시간 검사와 정기 검사를 수행하여 보안 정보의 유출을 감시한다. 실시간 검사는 사용자 단말(10)에서 문서 저장 이벤트나 문서 출력(예; USB 저장, 프린트, 메일 전송, 파일 전송 등) 이벤트가 발생할 때에 동기하여 수행되며, 해당 문서 내에 보안 정보가 포함되어 있는지를 검사하고 보안 정보가 포함되어 있는 경우에 정보유출방지장치(100)에 검사한 내역을 알린다.Agent performs real-time and periodic inspection to monitor leakage of security information. The real-time inspection is performed in synchronism with the occurrence of a document storage event or a document output (for example, USB storage, printing, mail transmission, file transmission, etc.) events in the
정기 검사는 설정된 주기 시간마다 동작하고, 동작시 사용자 단말(10) 내의 문서들을 검사하여 보안 정보를 포함하고 있는지를 검사하며, 보안 정보가 포함되어 있는 경우에 정보유출방지장치(100)에 검사한 내역을 알린다.The periodic inspection is performed every set cycle time, and it checks whether documents included in the
정보유출방지장치(100)는 내부망이 외부망(예; 인터넷망)에 연결되는 중간지점에 위치한다. 구체적으로, 정보유출방지장치(100)는 스위칭 허브(예: L2 스위치)와 에지 라우터(edge router) 사이에 위치한다. 정보유출방지장치(100)는 보안 장비(A) 또는 사용자 단말(10)에서 전송한 데이터 패킷을 L2 스위치(30)로부터 수신하고 수신한 데이터 패킷의 내용(예; 패킷의 페이로드)을 검사하여 데이터 패킷이 정상 패킷인지 이상 패킷인지를 판단한 후 정상 패킷인 경우에 라우터로 전송한다.The information
여기서, 정상 패킷은 보안 정책에 부합하는 데이터 패킷이고, 이상 패킷은 보안 정책을 위반한 데이터 패킷이다. 보안 정책은 데이터 패킷이 정상인지 이상인지를 판단하기 위해 검출 패턴과 임계값을 포함한다.Here, the normal packet is a data packet conforming to the security policy, and the abnormal packet is a data packet that violates the security policy. The security policy includes a detection pattern and a threshold value to determine whether the data packet is normal or abnormal.
검출 패턴은 데이터 패킷의 내용에 보안 정보가 포함되어 있는지를 검출하기 위해 사용되는 정보로서, 예컨대, 주민등록번호, 여권번호, 운전면허정보, 산업기밀, 신용카드번호, 계좌번호, 전화번호, 아이디, 패스워드, "취급보안", "비공개", "보안등급", "기밀", "대외비" 등의 단어 또는 산업기밀정보에 대한 메타정보 등이 이용된다.The detection pattern is information used to detect whether security information is included in the contents of the data packet and includes, for example, a resident registration number, a passport number, driving license information, industrial secrets, a credit card number, an account number, Meta information on words such as "security", "handling security", "secret", "security level", "confidentiality", "confidentiality", or industrial confidential information.
임계값은 데이터 패킷을 차단하는 기준이 되는 설정값으로, 예컨대 보안 정보가 발견된 개수와 비교되는 설정값이다. 즉, 임계값을 5로 설정하면, 하나의 데이터 패킷에서 보안 정보에 포함된 단어가 5개 이상 발견되면 이상 패킷이며, 이는 차단 대상이 되고, 5개 보다 적게 발견되면 정상 패킷이다.The threshold value is a setting value serving as a criterion for blocking the data packet, for example, a setting value compared with the number in which the security information is found. That is, if the threshold value is set to 5, if five or more words included in the security information are found in one data packet, the packet is an abnormal packet, and if it is found less than five, it is a normal packet.
한편 정보유출방지장치(100)는 주요 대상의 데이터 패킷에 대한 감시 및 차단 결과에 대하여 분석을 수행한다. 주요 대상이라 보안 정보를 관리하는 관리자 또는 보안 정보의 취급이 가능한 자의 보안 장비(A)의 소오스 IP 주소, 특정 목적지(destination) IP 주소, 특정 포트 번호, 특정 프로토콜 식별정보 및 특정 서비스 식별정보 등이다.On the other hand, the information
정보유출방지장치(100)는 감시 및 차단 결과 중 주요 대상의 데이터 패킷 중 주요 대상의 데이터 패킷을 추출한 후 주요 대상의 데이터 패킷에 대한 감시 및 차단 결과를 분석하고 감시 결과 내역을 생성한 후 이를 관제 서버(200)에 제공한다.The information
또한 정보유출방지장치(100)는 사용자 단말(10)의 에이전트에서 전송하는 검사 내역을 L2 스위치(20)를 통해 수신하고, 수신한 검사 이력을 관제 서버(200)에 제공한다. 그리고 정보유출방지장치(100)는 데이터 패킷에 대한 감시 결과에 대한 이력 또한 관제 서버(200)에 제공한다.Also, the information
관제 서버(200)는 정보유출방지장치(100)에서 제공하는 감시 내역을 수신하여 정보유출방지장치(100)에 의한 감시 결과와, 에이전트에 의한 감시 결과를 관리자가 모니터링할 수 있게 한다. 관제 서버(200)는 정보유출방지장치(100)에 보안 정책 정보를 제공하여 정보유출방지장치(100)에 설정된 보안 정책 정보가 갱신되게 한다.The
이하에서는 도 2를 참조로 하여 본 발명의 실시 예에 따른 정보유출방지장치의 구성을 보다 상세히 설명한다. 도 2는 본 발명의 실시 예에 따른 정보유출방지장치의 블록 구성도이다.Hereinafter, the configuration of an information leakage preventing apparatus according to an embodiment of the present invention will be described in more detail with reference to FIG. 2 is a block diagram of an information leakage preventing apparatus according to an embodiment of the present invention.
도 2에 도시된 바와 같이, 본 발명의 실시 예에 따른 정보유출방지장치(100)는 인터페이스부(110), 정책 저장부(120), 데이터 수신부(130), 데이터 검사 및 차단부(140), 내역 생성부(150)를 포함한다. 그리고 본 발명의 실시 예에 따른 정보유출방지장치(100)는 분석부(160)를 더 포함할 수 있다.2, the information
인터페이스부(110)는 스위칭 허브(20, 30) 및, 관제 서버(200)와의 통신 연결을 담당한다.The
정책 저장부(120)는 관제 서버(200)로부터 수신된 보안 정책을 저장하고, 수신된 보안 정책이 기 설정된 보안 정책의 업그레이드 버전인 경우에 기 설정된 보안 정책을 수신된 보안 정책으로 갱신하여 저장한다.The
데이터 수신부(130)는 L2 스위치(20 또는 30)를 통해 전송되는 사용자 단말(10) 또는 보안 장비(A) 데이터 패킷을 수집(수신)하고, 사용자 단말(10)의 에이전트에서 전송한 검사 결과 이력을 수신한다.The
데이터 검사 및 차단부(140)는 데이터 수신부(130)에 의해 수집된 데이터 패킷들을 정책 저장부(120)에 저장된 보안 정책에 따라 검사한다. 이때 검사는 데이터 패킷의 페이로드(payload)에 보안 정책에 따른 보안 정보가 포함되어 있는지를 검사하고, 또한 포함된 보안 정보의 개수가 몇 개이며 보안정책에 따른 임계치 이상인지 이하인지를 검사한다.The data checking and blocking
데이터 검사 및 차단부(140)는 검사 결과를 내역 생성부(150)와 분석부(160)에 제공하고, 보안 정책을 위반한 데이터 패킷이 발견되면 라우터로의 전송(즉, 인터넷망으로의 전송)을 차단한다.The data inspection and
내역 생성부(150)는 데이터 검사 및 차단부(140)로부터 각 데이터 패킷에 대한 검사 결과를 수신하고, 검사 결과를 각 데이터 패킷의 헤더 정보(예; IP 주소 또는 MAC 주소 등)에 대응시켜 검사 결과 이력을 생성한 후, 검사 결과 이력을 관제 서버(200)에 제공한다.The
분석부(160)는 데이터 검사 및 차단부(140)로부터 수신된 각 데이터 패킷의 검사 결과 중 주요 대상의 데이터 패킷에 대한 검사 결과를 추출하고, 추출한 검사 결과를 관제 서버(200)에 제공한다.The
한편, 데이터 수신부(130)는 사용자 단말(10)의 에이전트로부터 검사 결과 이력을 수신하면, 수신한 검사 결과 이력을 관제 서버(200)에 전달한다.On the other hand, when the
이하에서는 도 3과 도 4를 참조로 하여 본 발명의 실시 예에 따른 정보유출방지 방법을 설명한다. 도 3은 본 발명의 제1 실시 예에 따른 정보유출방지장치의 동작을 보인 데이터 흐름도이다.Hereinafter, an information leakage prevention method according to an embodiment of the present invention will be described with reference to FIGS. 3 and 4. FIG. 3 is a data flow chart showing the operation of the information leakage preventing apparatus according to the first embodiment of the present invention.
관제 서버(200)는 정보유출방지장치(100)으로 보안 정책을 제공하고(S301), 정보유출방지장치(100)는 수신된 보안 정책을 설정 또는 갱신한다(S302).The
물론, 정보유출방지장치(100)에 저장된 보안 정책이 최신 버전이면 관제 서버(200)의 보안 정책 제공 과정은 생략된다.Of course, if the security policy stored in the information
정보유출방지장치(100)에 보안 정책이 설정된 상태에서, 보안 장비(A) 또는 사용자 단말(10)은 데이터 패킷을 전송하고(S303), L2 스위치(30)는 수신된 데이터 패킷에 대한 목적지를 파악하여 목적지로 데이터 패킷을 전송한다(S304).The security device A or the
정보유출방지장치(100)는 L2 스위치(30)에서 에지 라우터로 전송되는 데이터 패킷이 수신하고, 수신한 데이터 패킷에서 데이터 부분 즉, 페이로드 부분을 추출한 후(S305), 보안 정책의 검출 패턴과 비교하는 데이터 검사를 수행한다(S306).The information
그런 다음, 데이터 검사 과정(S306)에서 검출 패턴이 검출되지 않으면, 정보유출방지장치(100)는 해당 데이터 패킷을 정상 패킷으로 판단하고 해당 데이터 패킷을 원래의 전송 경로상의 에지 라우터로 전송한다(S307).Then, if no detection pattern is detected in the data checking process (S306), the information
반면에, 데이터 검사 과정(S306)에서 검출 패턴이 검출되면, 정보유출방지장치(100)는 해당 데이터 패킷에 포함된 검출 패턴의 개수를 카운트하고(S308), 카운트값과 보안 정책의 임계치를 비교하여 카운트값이 임계치 이상인지를 판단한다(S309).On the other hand, when the detection pattern is detected in the data checking process (S306), the information
상기 판단 과정(S309)에서, 카운트값이 임계치보다 작으면 정보유출방지장치(100)는 정상 패킷으로 판단하여 해당 데이터 패킷을 에지 라우터로 전송하지만(S310), 카운트값이 임계치 이상이면 이상 패킷으로 판단하여 해당 데이터 패킷의 전송을 차단한다(S311). 즉, 해당 데이터 패킷을 인터넷망으로 전송되지 않게 한다.If it is determined in step 309 that the count value is smaller than the threshold value, the information
그리고, 정보유출방지장치(100)는 수신되는 데이터 패킷에 대한 검사 및 차단 동작을 수행한 후 각 데이터 패킷에 대한 검사 내역을 생성하고 생성한 검사 내역을 관제 서버(200)에 제공한다(S312).The information
관제 서버(200)는 정보유출방지장치(100)로부터 수신된 데이터 패킷에 대한 검사 및 차단 내역을 화면상에 표시하거나, 관리자 단말(40)에 제공한다.The
도 4는 본 발명의 제2 실시 예에 따른 정보유출방지장치의 동작을 보인 데이터 흐름도이다. 도 4에 도시된 바와 같이, 관제 서버(200)는 정보유출방지장치(100)으로 보안 정책을 제공하고(S401), 정보유출방지장치(100)는 수신된 보안 정책을 설정 또는 갱신한다(S402).4 is a data flow chart showing the operation of the information leakage preventing apparatus according to the second embodiment of the present invention. 4, the
정보유출방지장치(100)에 보안 정책이 설정된 상태에서, 보안 장비(A) 또는 사용자 단말(10)은 데이터 패킷을 전송하거나(S403), L2 스위치(30)는 수신된 데이터 패킷에 대한 목적지를 파악하여 목적지로 데이터 패킷을 전송한다(S404).The security device A or the
이에, 정보유출방지장치(100)는 L2 스위치(30)에서 에지 라우터로 전송되는 데이터 패킷이 수신하고, 수신한 데이터 패킷에서 데이터 부분 즉, 페이로드 부분에 대하여 검사를 수행하여 해당 데이터 패킷이 정상 패킷인지 이상 패킷인지를 판단하며, 정상 패킷인 경우에는 라우터를 통해 인터넷망으로 전송하고, 이상 패킷인 경우에는 인터넷망으로의 전송을 차단한다. 그리고 각 데이터 패킷에 대한 검사 및 차단 내역을 생성한다.(S405).Accordingly, the information
여기서, S405 과정은 도 3의 S305 과정 내지 S312 과정과 동일하다.Here, the process of S405 is the same as the process of S305 to S312 of FIG.
정보유출방지장치(100)는 각 데이터의 검사 및 차단 내역 중에서 주요 대상의 검사 및 차단 내역을 추출하고(S406), 검사 및 차단 내역을 관제 서버(200)에 제공한다(S407).The information
이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시예의 기재로부터 본 발명이 속하는 기술분야의 전문가라면 쉽게 구현할 수 있는 것이다. The embodiments of the present invention described above are not only implemented by the apparatus and method but may be implemented through a program for realizing the function corresponding to the configuration of the embodiment of the present invention or a recording medium on which the program is recorded, The embodiments can be easily implemented by those skilled in the art from the description of the embodiments described above.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, It belongs to the scope of right.
10 : 사용자 단말 20, 30 : L2 스위치(스위치 허브)
100 : 정보유출방지장치 A : 보안 장비
200 : 관제 서버 40 : 관리자 단말
110 : 인터페이스부 120 : 정책 저장부
130 : 데이터 수신부 140 : 데이터 검사 및 차단부
150 : 내역 생성부 160 : 분석부10:
100: Information leakage prevention device A: Security device
200: control server 40: administrator terminal
110: interface unit 120: policy storage unit
130: Data receiving unit 140: Data checking and blocking unit
150: history generating unit 160: analyzing unit
Claims (5)
관제 서버에서 제공한 보안 정책-검출 패턴과 임계치를 포함-을 저장하는 정책 저장부,
상기 내부망에 위치한 사용자 단말 또는 보안 장비에서 전송한 데이터 패킷을 스위칭 허브를 통해 수신하는 데이터 수신부,
상기 데이터 수신부에서 수신한 데이터 패킷에서 내용 부분을 상기 보안 정책과 비교하여 정상 패킷인지 이상 패킷인지를 판단하며, 정상 패킷인 경우에 상기 데이터 패킷을 상기 외부망으로 전송하고 이상 패킷인 경우에 상기 외부망으로의 전송을 차단하는 데이터 검사 및 차단부,
상기 데이터 검사 및 차단부로부터 각 데이터 패킷에 대한 검사 결과를 수신하고, 각 데이터 패킷에 대한 검사 결과 이력을 생성하는 내역 생성부, 그리고
상기 데이터 패킷의 검사 결과 중 설정된 주요 대상의 데이터 패킷에 대한 검사 결과를 추출하는 분석부를 포함하며,
상기 내역 생성부는 상기 주요 대상에 대한 검사 결과를 이용하여 검사 결과 이력을 생성하고,
상기 데이터 검사 및 차단부는 상기 데이터 패킷의 내용 부분과 상기 검출 패턴을 비교하여 상기 내용 부분에 포함된 검출 패턴의 개수를 파악하고, 파악한 검출 패턴의 개수와 상기 보안 정책의 임계치를 비교하여 상기 검출 패턴의 개수가 임계치보다 많은 경우에 상기 이상 패킷으로 판단하는 것을 특징으로 하는 정보유출방지장치.It is located at the middle point where the internal network is connected to the external network,
A policy storage unit for storing a security policy provided by the control server, including a detection pattern and a threshold value,
A data receiving unit for receiving a data packet transmitted from a user terminal or security equipment located in the internal network through a switching hub,
A data packet received from the data receiver is compared with the security policy to determine whether the packet is a normal packet or an abnormal packet; if the packet is a normal packet, the data packet is transmitted to the external network; A data checking and blocking unit for blocking transmission to the network,
A history generator for receiving an inspection result of each data packet from the data checking and blocking unit and generating a test result history for each data packet,
And an analyzing unit for extracting an inspection result of a data packet of the set main object among the inspection results of the data packet,
The history generating unit generates a test result history by using the test results of the main object,
The data checking and blocking unit compares the contents of the data packet with the detection pattern to grasp the number of detection patterns included in the content part, compares the detected number of detection patterns with a threshold value of the security policy, Is judged to be the abnormal packet when the number of the abnormal packets is larger than the threshold value.
상기 내역 생성부는 생성한 내역을 상기 관제 서버에 제공하는 것을 특징으로 하는 정보유출방지장치.The method of claim 1,
Wherein the history generation unit provides the generated history to the control server.
상기 스위칭 허브는 L2 스위치이고, 상기 외부망은 인터넷망인 것을 특징으로 하는 정보유출방지장치.5. The method of claim 4,
Wherein the switching hub is an L2 switch, and the external network is an Internet network.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020130122768A KR101551537B1 (en) | 2013-10-15 | 2013-10-15 | Information spill prevention apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020130122768A KR101551537B1 (en) | 2013-10-15 | 2013-10-15 | Information spill prevention apparatus |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20150043843A KR20150043843A (en) | 2015-04-23 |
KR101551537B1 true KR101551537B1 (en) | 2015-09-08 |
Family
ID=53036268
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020130122768A KR101551537B1 (en) | 2013-10-15 | 2013-10-15 | Information spill prevention apparatus |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101551537B1 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101951672B1 (en) * | 2016-08-19 | 2019-02-25 | 한국전자통신연구원 | Apparatus and method for conditional 2-way communication |
KR102053836B1 (en) * | 2018-05-31 | 2019-12-09 | (주)피디씨 | Data sharing system and method between closed intranet and open intranet |
KR102006149B1 (en) * | 2018-09-10 | 2019-08-01 | 이준엽 | Apparatus and method for monitoring and controlling relay network in separated network environment |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100512273B1 (en) | 2005-05-30 | 2005-09-05 | 펌킨넷코리아 (주) | Fail-over system and method thereof of network security equipment using single load balancer, and fail-over system and method thereof of network security equipment and load balancers using the same |
KR100765340B1 (en) * | 2006-03-30 | 2007-10-09 | 지니네트웍스(주) | Security method for Imaginary in-line network |
-
2013
- 2013-10-15 KR KR1020130122768A patent/KR101551537B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100512273B1 (en) | 2005-05-30 | 2005-09-05 | 펌킨넷코리아 (주) | Fail-over system and method thereof of network security equipment using single load balancer, and fail-over system and method thereof of network security equipment and load balancers using the same |
KR100765340B1 (en) * | 2006-03-30 | 2007-10-09 | 지니네트웍스(주) | Security method for Imaginary in-line network |
Also Published As
Publication number | Publication date |
---|---|
KR20150043843A (en) | 2015-04-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107251513B (en) | System and method for accurate assurance of malicious code detection | |
US7526806B2 (en) | Method and system for addressing intrusion attacks on a computer system | |
CN100443910C (en) | Active network defense system and method | |
KR102017810B1 (en) | Preventive Instrusion Device and Method for Mobile Devices | |
CN107809433B (en) | Asset management method and device | |
KR101369727B1 (en) | Apparatus and method for controlling traffic based on captcha | |
WO2008063343A2 (en) | Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis | |
CN107347047A (en) | Attack guarding method and device | |
CN107276983A (en) | A kind of the traffic security control method and system synchronous with cloud based on DPI | |
CN107122685A (en) | A kind of big data method for secure storing and equipment | |
CN113411295A (en) | Role-based access control situation awareness defense method and system | |
KR101551537B1 (en) | Information spill prevention apparatus | |
CN113660222A (en) | Situation awareness defense method and system based on mandatory access control | |
KR100772177B1 (en) | Method and apparatus for generating intrusion detection event to test security function | |
US20230156019A1 (en) | Method and system for scoring severity of cyber attacks | |
JP2020086978A (en) | Information processing system and information processing method | |
CN114124453A (en) | Network security information processing method and device, electronic equipment and storage medium | |
KR101606090B1 (en) | Apparatus and method for protecting network | |
CN113206852A (en) | Safety protection method, device, equipment and storage medium | |
Pamnani et al. | Incident Handling in SCADA & OT Environments | |
KR20200116773A (en) | Cyber inspection system | |
CN111224979B (en) | Link communication monitoring view construction method based on IP data flow analysis | |
KR101498647B1 (en) | Security Management System And Security Management Method Using The Same | |
KR101478227B1 (en) | Central management device processing event logs having different types and operating method thereof | |
KR101022787B1 (en) | System and method for security management of next generation network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20180625 Year of fee payment: 4 |