KR101599213B1 - 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법 및 시스템 - Google Patents

네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법 및 시스템 Download PDF

Info

Publication number
KR101599213B1
KR101599213B1 KR1020140187247A KR20140187247A KR101599213B1 KR 101599213 B1 KR101599213 B1 KR 101599213B1 KR 1020140187247 A KR1020140187247 A KR 1020140187247A KR 20140187247 A KR20140187247 A KR 20140187247A KR 101599213 B1 KR101599213 B1 KR 101599213B1
Authority
KR
South Korea
Prior art keywords
policy
rule
detection
detection rule
security
Prior art date
Application number
KR1020140187247A
Other languages
English (en)
Inventor
임원식
김주섭
Original Assignee
주식회사 윈스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스 filed Critical 주식회사 윈스
Priority to KR1020140187247A priority Critical patent/KR101599213B1/ko
Application granted granted Critical
Publication of KR101599213B1 publication Critical patent/KR101599213B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 네트워크 인터페이스를 통해 수신 큐로부터 유입되는 패킷의 트래픽 분석 기반 탐지규칙 및 상기 탐지규칙 관련 정규 표현(regular expression) 규칙을 생성하는 과정과, 생성된 상기 탐지규칙에 대응하는 정책의 오탐 방지를 위한 공격 연관성 분석 기반 검증을 수행하고, 정책 검증부에 기정의된 규칙의 패턴 매칭을 통해 생성된 상기 정규 표현 규칙을 검증하는 과정과, 검증된 상기 정규 표현 규칙 기반 하에 상기 생성된 탐지규칙에 대응하는 정책을 이기종 규칙으로 변환하는 과정과, 계층화된 네트워크에서 계층별 기설정된 탐지규칙 관리 플로우에 따라 상기 생성된 탐지규칙에 기반한 정책을 순차적으로 처리하여 공격 패턴별로 분리되어 지원되는 에이전트를 통해 다수의 보안 장비로 배포하는 과정과, 정책제어 서버에 기저장되어 해쉬화된 보안 장비별 정책정보 관련 해쉬값과 상기 보안 장비별 배포된 정책 적용 결과를 수집하여 획득된 해쉬값 비교를 통해 생성된 탐지규칙 기반 정책 적용 결과를 레포팅하는 과정을 포함함을 특징으로 한다.

Description

네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법 및 시스템{METHOD AND SYSTEM FOR PROVIDING SERVICE DETECTION RULE IN NETWORK SECURITY}
본 발명은 네트워크 보안 정책 제공에 관한 것으로, 특히 네트워크를 위협하는 트래픽을 추출하기 위한 탐지규칙을 생성하고, 생성된 탐지규칙 기반 정책정보를 이기종 규칙으로 변환하여 계층별 탐지규칙 배포를 통해 계층화된 네트워크에서 최종단 보안 장비에 이중화 배포 정책을 적용하고 그 결과를 레포팅하여 탐지규칙을 효율적으로 동기화하기 위한 것이다.
대규모화되는 네트워크 망을 내.외부의 악성코드 및 위협으로부터 대응하도록 네트워크 보안 장비들이 도입되어 운영되고 있으나, 장비의 탐지규칙 업데이트가 잘 진행되고 있지 않고, 업데이트 되더라도 각 장비별로 별도의 탐지규칙으로 관리되어, 전체적인 망의 네트워크 보안을 유기적, 체계적으로 관리되고 있지 않다. 이로 인하여 망의 보안에 취약점이 생긴다. 이에 대한 해결방안으로 준전문가도 탐지규칙을 생성.검증할 수 있도록 탐지규칙생성.검증시스템을 제안하고, 생성된 탐지규칙이 관리하고자 하는 네트워크의 보안 장비에 배포할 수 있는 배포시스템 도입이 필요하며 소수의 관리자를 통하여 전체 네트워크 망의 효율적인 보안이 필요한 실정이다.
한국공개특허공보 제2012-0043466호
따라서, 본 발명은 네트워크를 위협하는 트래픽을 추출하기 위한 탐지규칙을 생성하고, 생성된 탐지규칙 기반 정책정보를 이기종 규칙으로 변환하여 계층별 배포를 통해 계층화된 네트워크에서 최종단 보안 장비에 이중화 배포 정책을 적용하고 그 결과를 레포팅함으로써 전문지식을 요하는 네트워크 보안 관련 탐지규칙 생성, 검증 및 변환에 있어서 탐지규칙 배포체계를 통해 준전문가도 용이하게 접근 가능한 기술을 제공하고자 한다.
본 발명의 일 견지에 네트워크 인터페이스를 통해 수신 큐로부터 유입되는 패킷의 트래픽 분석 기반 탐지규칙 및 상기 탐지규칙 관련 정규 표현(regular expression) 규칙을 생성하는 과정과, 생성된 상기 탐지규칙에 대응하는 정책의 오탐 방지를 위한 공격 연관성 분석 기반 검증을 수행하고, 정책 검증부에 기정의된 규칙의 패턴 매칭을 통해 생성된 상기 정규 표현 규칙을 검증하는 과정과, 검증된 상기 정규 표현 규칙 기반 하에 상기 생성된 탐지규칙에 대응하는 정책을 이기종 규칙으로 변환하는 과정과, 계층화된 네트워크에서 계층별 기설정된 탐지규칙 관리 플로우에 따라 상기 생성된 탐지규칙에 기반한 정책을 순차적으로 처리하여 공격 패턴별로 분리되어 지원되는 에이전트를 통해 다수의 보안 장비로 배포하는 과정과, 정책제어 서버에 기저장되어 해쉬화된 보안 장비별 정책정보 관련 해쉬값과 상기 보안 장비별 배포된 정책 적용 결과를 수집하여 획득된 해쉬값 비교를 통해 생성된 탐지규칙 기반 정책 적용 결과를 레포팅하는 과정을 포함함을 특징으로 한다.
본 발명의 다른 견지에 따르면, 네트워크 인터페이스를 통해 수신 큐로부터 유입되는 패킷의 트래픽 분석 기반 탐지규칙 및 상기 탐지규칙 관련 정규 표현(regular expression) 규칙을 생성하는 탐지규칙 생성부와, 생성된 상기 탐지규칙에 대응하는 정책의 오탐 방지를 위한 공격 연관성 분석 기반 검증을 수행하고, 정책 검증부에 기정의된 규칙의 패턴 매칭을 통해 생성된 상기 정규 표현 규칙을 검증하는 탐지규칙 검증부와, 검증된 상기 정규 표현 규칙 기반 하에 상기 생성된 탐지규칙에 대응하는 정책을 이기종 규칙으로 변환하고, 계층화된 네트워크에서 계층별 기설정된 탐지규칙 관리 플로우에 따라 상기 생성된 탐지규칙에 기반한 정책을 순차적으로 처리하여 공격 패턴별로 분리되어 지원되는 에이전트를 통해 다수의 보안 장비로 배포하는 정책 제어 서버를 포함함을 특징으로 한다.
본 발명은 전문지식을 요하는 네트워크 보안 관련 탐지규칙 생성, 검증 및 변환에 있어서 탐지규칙 배포체계를 통해 준전문가도 용이하게 접근 가능할 뿐만 아니라, 사용자로부터 생성된 탐지규칙을 이기종 규칙으로 변환하여 계층별로 정책을 배포 및 적용하여 효과적으로 탐지규칙을 통합적으로 관리할 수 있으며, 소정 탐지규칙에는 긴급 배포 프토토콜을 설정하여 해당 채널을 이용해 다계층화된 네트워크에서 별도의 승인 절차 없이 해당 보안 장비로 정책이 즉각적으로 배포 가능하도록 상황별 적응적인 보안 운영이 가능한 효과가 있다.
도 1은 본 발명의 일 실시 예에 따른 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법에 관한 개략적인 흐름도.
도 2는 본 발명의 일 실시 예에 따른 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법에 있어서, 탐지규칙 생성 및 검증에 관한 흐름도.
도 3은 본 발명의 일 실시 예에 따른 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법에 있어서, 탐지규칙 생성 및 검증에 관한 흐름도.
도 4는 본 발명의 일 실시 예에 따른 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법에 있어서, 보안 장비의 동작 관련 흐름도.
도 5는 본 발명의 일 실시 예에 따른 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법에 있어서, 정책 배포 이후의 정책 제어 서버 동작에 관한 흐름도.
도 6은 본 발명의 일 실시 예에 따른 네트워크 보안 시스템에서 탐지규칙 제공 서비스 시스템에 있어서, 탐지규칙의 생성, 검증 및 배포의 흐름을 구성과 함께 개략적으로 보인 블록도.
도 7은 본 발명의 일 실시 예에 따른 네트워크 보안 시스템에서 탐지규칙 제공 서비스 시스템에 있어서, 최상위 서버의 구성을 보인 블록도.
도 8은 본 발명의 일 실시 예에 따른 네트워크 보안 시스템에서 탐지규칙 제공 서비스 시스템에 있어서, 미들 서버의 구성을 보인 블록도.
도 9는 본 발명의 일 실시 예에 따른 네트워크 보안 시스템에서 탐지규칙 제공 서비스 시스템에 있어서, Relay 모듈의 구성을 보인 블록도.
도 10은 본 발명의 일 실시 예에 따른 네트워크 보안 시스템에서 탐지규칙 제공 서비스 시스템에 있어서, 에이전트의 구성을 보인 블록도.
도 11은 본 발명의 일 실시 예에 따른 네트워크 보안 시스템에서 탐지규칙 제공 서비스 시스템의 전체 구성을 보인 블록도.
이하 본 발명에 따른 바람직한 실시 예를 첨부한 도면을 참조하여 상세히 설명한다. 하기 설명에서는 구체적인 구성 소자 등과 같은 특정 사항들이 나타나고 있는데 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐 이러한 특정 사항들이 본 발명의 범위 내에서 소정의 변형이나 혹은 변경이 이루어질 수 있음은 이 기술 분야에서 통상의 지식을 가진 자에게는 자명하다 할 것이다.
본 발명은 네트워크 보안 정책 제공에 관한 것으로, 더욱 상세하게는 네트워크를 위협하는 트래픽을 추출하기 위한 탐지규칙을 생성하고, 생성된 탐지규칙 기반 정책정보를 이기종 규칙으로 변환하여 계층적 탐지규칙 관리 및 계층별 탐지규칙 배포를 통해 계층화된 네트워크에서 최종단 보안 장비에 상기 이기종 규칙으로 변환된 이중화 배포 정책을 적용하고 그 결과를 레포팅함으로써 전문지식을 요하는 네트워크 보안 관련 탐지규칙 생성, 검증 및 변환에 있어서 탐지규칙 배포체계를 통해 준전문가도 용이하게 접근 가능할 뿐만 아니라, 사용자로부터 생성된 탐지규칙을 이기종 규칙으로 변환하여 계층별로 정책을 배포 및 적용하여 효과적으로 탐지규칙을 통합적으로 관리할 수 있으며, 소정 탐지규칙에는 긴급 배포 프토토콜을 설정하여 해당 채널을 이용해 다계층화된 네트워크에서 별도의 승인 절차 없이 해당 보안 장비로 정책이 즉각적으로 배포 가능하도록 상황별 적응적인 보안 운영이 가능한 기술을 제공하고자 한다.
이하, 본 발명의 일 실시 예에 따른 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법에 관해 도 1 내지 도 5를 참조하여 자세히 살펴보기로 한다.
우선, 도 1을 살펴보면, 도 1은 본 발명의 일 실시 예에 따른 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법에 관한 개략적인 흐름도이다.
도 1을 참조하면, 110 과정에서 탐지규칙 생성부(10)는 네트워크 인터페이스를 통해 수신 큐로부터 유입되는 패킷의 트래픽 분석 기반 탐지규칙 및 상기 탐지규칙 관련 정규 표현(regular expression) 규칙을 생성한다.
여기서, 상기 탐지규칙 생성부(10)로부터 생성된 탐지규칙은 네트워크 패킷에 포함된 필드 중 소정의 필드들을 검사하는 항목이 정의되고, 정의된 검사항목의 검사 순서 및 검사 조건을 정의한 적어도 하나 이상의 침입탐지를 위한 룰이 시스템 호출에 의한 룰 입력 인터페이스를 통해 생성된다. 이때, 생성된 탐지규칙은 상기 룰 입력 인터페이스를 통해 입력된 규칙형태를 분석하여 규칙변환을 위한 표준 혹은 IPS(intrusion prevention system) 중 어느 하나의 규칙임을 판단하여 판단 결과에 따라 분류되어 변환된다.
112 과정에서는 생성된 상기 탐지규칙에 대응하는 정책의 오탐 방지를 위한 공격 연관성 분석 기반 검증을 위한 요청을 탐지규칙 검증부(11)로 요청되고, 114 과정에서 탐지규칙 검증부(11)를 통해 상기 탐지규칙 생성부(10)로부터 생성된 탐지규칙 관련 정규 표현 규칙과 기정의된 규칙의 패턴과의 패턴 매칭을 수행하여 패턴 일치 여부를 확인한다. 이를 통해 116 과정에서는 생성된 탐지 규칙에 관련 검증이 수행되며, 상기 탐지규칙 검증은 규칙 형태에 따라 표준 규칙 및 IPS 규칙으로 분리되어 해당 규칙에 기반한 검증이 이뤄진다.
118 과정에서는 탐지규칙 검증부(11)로부터의 검증 결과가 정책 제어 서버(12)로 전달되고, 120 과정에서 정규 표현 규칙이 처리되어, 122 과정에서 검증된 상기 정규 표현 규칙 기반 하에 상기 생성된 탐지규칙에 대응하는 정책을 이기종 규칙으로 변환한다.
이때, 본 발명의 실시 예에 따른 상기 정책 제어 서버는 정책을 결정하여 제공하고, 제공된 정책을 계층적 경로를 통해 네트워크의 최하단인 보안 장비로 배포하여 그 결과를 모니터링함으로써 생성된 탐지규칙 기반 정책 생성 시 이기종 보안 장비 간 발생하는 오류의 유형을 규정하고, 삭제되지 않은 정책 정보로 인한 무선자원의 낭비를 줄이기 위해 각 오류의 유형에 따라 정책정보를 동기화한다.
그리고, 상기 이기종 규칙은 서로 다른 유형의 보안 장비에 적용된 정책 정보의 상태가 서로 불일치하여 발생 되는 정책 배포 실패에 따른 오류를 방지하기 위해 정책 제어 서버를 통해 변환되는 것으로, 변환된 이기종 규칙은 보안 장비 간 보유 정책에 따른 규칙이 일괄 적용되어 상기 보안 장비 간 동기화가 유지된다.
이어서, 124 과정에서는 정책 제어 서버(12)로부터 긴급 배포 여부에 따른 생성된 탐지규칙에 대한 배포 모드가 설정되어, 설정된 모드에 따라 126 과정에서는 다계층화된 네트워크에서 계층별 노드(최상위 서버, 미들서버, 릴레이, 에이전트, 보안 장비 포함)의 제어를 의한 기설정된 탐지규칙 관리 플로우 실행이 발생되어 생성된 탐지규칙 관련 계층별 관리 및 배포를 위한 해당 명령이 128 과정을 통해 계층화된 네트워크의 각 계층별로 전달된다.
이때, 상기 정책 제어 서버(12)는 탐지규칙에 설정된 배포 모드를 확인하여, 확인된 모드별 스위칭을 통해 긴급 배포 프로토콜 설정 여부 후 기설정된 계층 기반 접근 제어에 기반한 하위 계층 배포 자료 생성이 수행된다.
상기 기설정된 탐지규칙 관리 플로우는, 생성 및 검증된 탐지규칙을 다수의 항목별(예컨대, 시스템 관리, 탐지규칙, 탐지규칙 배포이력, 보안 장비 탐지규칙, 사용자 인증을 포함)로 분류된 DB별로 저장하고, 상기 다수의 항목별로 분류된 DB에 대응하는 제어 동작 및 계층적 선행 혹은 후행하여 이웃하는 계층 간 동기화와 계층적 배포 수행을 의미하는 것으로, 이하의 계층별 동작 설명을 통해 각 계층에서의 기설정된 탐지규칙 관리 플로우를 상세히 살펴보도록 한다.
130 과정은 본 발명이 적용된 네트워크에서 최상위 계층에 해당되는 최상위 서버(13)에서의 동작이 수행되는 단계로, 상기 최상위 서버(13)는 탐지규칙 배포의 시작점으로 정책 제어 서버(12)의 제어 하에 생성 및 검증된 탐지규칙을 DB에 저장하고, 하위의 미들 서버(14)로 탐지규칙을 전달하며, 탐지규칙 이력 관리, 보안 장비 탐지규칙 업데이트 관리, 서버 간 동기화 및 계층적 배포 동작이 이뤄진다.
132 과정에서는 상기 최상위 서버(13)는 정책 제어 서버(12)에 설정된 계층별 접근 제어에 따라서 배포 정책을 암호화하여 하위 계층의 미들 서버(14)로 전달한다(S134).
136 과정에서 미들 서버(14)는 상기 최상위 서버(13)로부터 배포된 탐지규칙을 DB에 저장하고, 해당 탐지규칙의 배포, 배포이력 전송, 탐지규칙의 동기화를 수행한 후 하위의 릴레이(Relay, 15)로 상기 탐지규칙을 암호화(S138)하여 전달한다(S140).
이때, 상기 미들 서버(14)는 최상위 서버(13)와 동일 망 혹은 하위의 별개의 망에서 구성될 수 있으며, 정책 제어 서버(12)를 통해 제공되는 서버(13, 14)별 상호 인터페이스 정보를 이용하여 탐지규칙 배포를 위한 동기화 및 배포 명령을 수행한다.
142 과정에서는 릴레이(15)를 통해 상기 미들 서버(14)로부터 전달받은 탐지규칙을 특정 저장소에 정의된 파일 포맷으로 저장하고, 하위의 배포 에이전트(16)로 탐지규칙을 가져갈 수 있도록 하거나, 144 과정을 통해 암호화하여 에이전트(16)로 직접 전달한다.
상기 릴레이(15)에서는 탐지규칙의 배포, 배포 이력 전송, 탐지규칙의 동기화가 수행되며, 이러한 릴레이(15)는 상기 미들 서버(14)상에서 운영될 수도 있고, 별도의 서버에서 독립적으로 운영될 수도 있다.
계속해서 148 과정에서는 에이전트(16)는 릴레이 모듈(15)에 접속하여 자신이 가져가야 할 탐지규칙을 가져와 보안 장비로 전달한다.
이때, 상기 에이전트(16)는 상위 계층으로부터 배포된 탐지규칙에 대한 배포, 배포 이력 전송, 탐지규칙의 동기화를 수행하고, 네트워크 보안 장비 상에 위치하여 탐지규칙 배포를 위한 다계층화된 네트워크에서의 다수의 노드와 보안 장비간을 연동하여 데이터를 중계한다. 상기 에이전트(16)은 보안 장비(17)와 일대일 페어링(pairing)된다.
또한, 상기 에이전트(16)는 공격 패턴((IDS, Intrusion Detection System), (IPS, Intrusion Prevention System))별로 분리되는 것으로, 정책 제어 서버(12) 제어 하에 일대일 페어링(pairing)되어 설정된 다수의 보안 장비별로 지원된다.
150 과정에서 보안 장비(17)는 일대일 페어링(pairing)된 에이전트(16)를 통해 수신된 정책을 복호화하고, 152 과정에서는 상위 계층으로부터 배포된 정책정보를 실행하고, 154 과정을 통해 실행 결과에 따른 정책 적용 상태정보를 생성하여, 156 과정에서는 생성된 정책 적용 상태 정보인 정책 적용 결과를 암호화하여 상위 계층으로 보고한다.
이후, 158 과정에서 정책 제어 서버(12)는 엔드 노드인 보안 장비(17)로부터 계층별로 순회되어 수신된 보안 장비별 정책 배포 결과를 복호화하여 보안 장비별 해쉬화된 해쉬값과 보고된 해쉬값을 비교한다.
즉, 계층화된 네트워크에서 엔드 노드인 보안 장비에 배포된 정책 정보 적용 결과를 보안 장비별로 획득하여 연속하는 계층별 상위로 순차 보고되도록 제어하고, 이를 통해 해쉬값을 획득하고, 획득된 해쉬값을 토대로 정책 적용 충돌이 발생된 정보를 확인한다.
환언하여 정책제어 서버에 기저장되어 해쉬화된 보안 장비별 정책정보 관련 해쉬값과 상기 보안 장비별 배포된 정책 적용 결과를 수집하여 획득된 해쉬값 비교하고, 비교 결과를 160 과정을 통해 생성된 탐지규칙 기반 정책 적용 결과로 레포팅하여, 162 과정을 통해 사용자에게 알람 전송으로 가이드한다.
이와 같이, 도 1의 흐름도를 통해 살펴본 본 발명의 실시 예에 따른 탐지규칙 제공 서비스 방법은 정책 제어 서버(12) 제어 하에 탐지규칙을 생성하고, 생성된 탐지규칙 기반 정책정보를 이기종 규칙으로 변환하여 계층적 탐지규칙 관리 및 계층별 탐지규칙 배포를 통해 계층화된 네트워크에서 최종단 보안 장비에 상기 이기종 규칙으로 변환된 이중화 배포 정책을 적용하여 그 결과를 분석하고, 분석 결과를 유형별로 분류 및 DB화하여 사용자에게 가이드되어 일원화된 탐지규칙에 대한통합 관리가 가능하다.
이어서, 도 2 내지 도 5는 도 1에서 개략적으로 설명된 각 계층별 동작의 흐름도를 보인 것으로, 도 2를 시작으로 순차적으로 살펴보면, 도 2는 본 발명의 일 실시 예에 따른 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법에 있어서, 탐지규칙 생성 및 검증에 관한 흐름도이다.
도 2에 도시된 바와 같이, 먼저 210 과정에서는 트래픽 분석 기반 탐지규칙을 생성하고, 212 과정에서는 생성된 탐지규칙 관련 정규 표현 규칙을 정책 검증부에 정의된 규칙의 패턴과 일치하는지 기정의된 규칙의 패턴 매칭을 통해 검증한다.
이때, 상기 탐지규칙은 현재 적용되는 정책 기반 탐지규칙과 새롭게 적용되는 정책 기반 탐지규칙이 결합되어 서로 다른 기종의 보안 장비별로 호환이 전제되어 공유 가능한 것으로, 공격 패턴별 상세 대응책을 적용한 직관적인 룰 정의가 제공되며, 사용자 정의에 따른 세부적인 탐지정책이 설정된다.
214 과정을 통해 패턴 매칭의 결과를 확인하여 216 과정으로 이동하여 검증이 완료된 탐지규칙이 정규 표현 규칙으로 처리되어, 218 과정에서 이기종 규칙으로 변환된다.
220 과정에서는 생성된 탐지규칙의 긴급 배포 여부에 따라 배포 모드를 설정하고, 222 과정으로 이동하여 설정된 배포 모드가 긴급 배포인지 여부를 확인하여 긴급 배포인 경우 224 과정으로 이동하여 긴급배포 프로토콜을 설정하여 226 과정을 통해 계층적 순회 처리 기반 하위 계층으로 배포되고, 긴급 배포가 아닌 경우 별도의 프로토콜에 대한 설정 없이 바로 하위 계층으로 순차 배포된다.
이어서, 도 3은 본 발명의 일 실시 예에 따른 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법에 있어서, 탐지규칙 생성 및 검증에 관한 흐름도이다.
도 3에 도시된 바와 같이, 310 과정에서는 정책 제어 서버(12)를 통해 생성 및 검증된 탐지규칙에 대한 이중화 배포 정책이 생성된다.
해당 네트워크 내 보안 시스템에 존재하는 다수의 이기종 보안 장비별 상호 적용 가능한 탐지규칙의 정책 동기화 관련 이중화된 정책에 관한 것으로, 본 발명이 적용된 이중화된 정책은, 기설정된 이중 배포 알고리즘을 통해 사용자 선택 배포에 기반한 파티셜(partial) 정책 및 보안 장비별 동기화 기반 풀(full) 패턴 정책이 포함되어 생성된다.
상기 이중화된 정책은 312 과정을 통해 해당 네트워크 내 계층별 노드에서 탐지규칙 전달을 위한 암호화가 수행되고, 314 과정에서는 기설정된 탐지규칙 처리 플로우에 따라 계층별 탐지규칙이 처리되어 316 과정을 통해 후행하는 하위 계층으로 전달된다.
318 과정에서는 탐지규칙에 대한 긴급 배포 프로토콜 여부를 확인하여 긴급 배포 프로토콜이 설정된 경우 320 과정으로 이동하여 하위계층 관리자 배포명령 대기, 설정되지 않은 경우 322 과정으로 이동하여 보안 장비로 해당 정책이 전송되면, 324 과정을 통해 보안 장비에 수신된 생성된 탐지규칙 관련 정책이 실행된다.
이때, 상기 이중화된 정책은, 정책 적용 시 상기 파티셜 정책과 풀 패턴 정책이 해당 보안 장비에서 순차적으로 적용되고, 상기 파티셜 정책 적용이 실패한 경우 상기 풀 패턴 정책을 보안 장비에 일괄 적용하여 상기 보안 장비 간 동기화를 유지한다.
이어서, 도 4는 본 발명의 일 실시 예에 따른 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법에 있어서, 보안 장비의 동작 관련 흐름도이다.
도 4에 도시된 바와 같이, 410 과정에서 보안 장비는 상위 계층으로부터 수신된 배포 정책을 복호화하고, 412 과정을 통해 파티셜 정책 적용인지 여부를 체크한다. 체크 결과 파티셜 정책 적용인 경우 418 과정으로 이동하여 보안장비 적용 정책 Get 목록을 생성하고, 파티셜 정책 적용인 아닌 경우 416 과정으로 이동하여 배포 실패 정보 메시지를 생성한다.
420 과정에서는 상기 416 및 418 과정의 동작 결과 생성된 정보를 상위 계층으로 전송한다.
도 5는 본 발명의 일 실시 예에 따른 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법에 있어서, 정책 배포 이후의 정책 제어 서버 동작에 관한 흐름도이다. 도 5에 도시된 바와 같이, 510 과정에서는 엔드 노드로부터 계층별로 순회되어 전달된 보안 장비별 정책 배포 결과를 수신하고, 512 과정에서 이를 복호화한다.
514 과정을 통해 생성 및 검증된 탐지규칙에 관한 하위 계층별 배포 정책 성공 여부를 확인하여, 확인 결과 배포 정책이 성공한 경우 518 과정으로 이동하여 보안 장비 적용 정책 Get 목록 DB화를 수행하고, 실패한 경우 516 과정을 통해 실패 정보 DB로 기록 배포를 수행한 후 518 과정으로 이동한다.
520 과정에서는 보안 장비 적용 정책 Get 목록 HASH 정보와 배포 정책 HASH 갑을 비교한다.
다시 말해, 정책 제어 서버에 기저장되어 해쉬화된 보안 장비별 정책정보 관련 해쉬값과 상기 보안 장비별 배포된 정책 적용 결과를 수집하여 획득된 해쉬값 비교를 수행한다.
522 과정에서 해쉬 정보 일치 여부를 확인하여, 일치하는 경우 526 과정으로 이동하여 배포 성공 정보 생성을 수행하고, 불일치인 경우 524 과정으로 이동하여 세부항목 비교 이후 528 과정을 통해 상이 정보 추출을 수행하고, 이를 통해 530 과정에서는 실패 리스트가 생성된다. 이후 532 과정에서는 생성된 탐지규칙 기반 정책 적용 결과에 대한 배포 결과 알람 전송을 통해 사용자에게 정책 정보를 가이드한다.
이상에서는 본 발명의 일 실시 예에 따른 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법에 대해서 살펴보았다.
이하, 본 발명의 일 실시 예에 따른 네트워크 보안 시스템에서 탐지규칙 제공 서비스 시스템에 관해 도 6 내지 도 11을 참조하여 자세히 살펴보기로 한다.
우선, 도 6은 본 발명의 일 실시 예에 따른 네트워크 보안 시스템에서 탐지규칙 제공 서비스 시스템에 있어서, 탐지규칙의 생성, 검증 및 배포의 흐름을 구성과 함께 개략적으로 보인 블록도이다.
도 6을 참조하면, 본 발명이 적용된 시스템은 최상위 서버(Top Server, 614), 미들 서버(Middle Server, 620) 및 이에 대응하는 DB(RMSDB, RMSDB, 615, 621)와 탑 콘솔(Top Console, 612), 미들 콘솔(Middle Console, 618)를 포함하고, 상기 Top Console, Middle Console 각각에 설정된 탐지규칙 환경정보 프레임워크(610, 616)을 포함한다. 또한, 상기 미들 서버(620)에 연결된 Relay 모듈(622), Agent(624) 및 장비(626)를 포함한다.
또한, 본 발명이 적용된 시스템은 탐지규칙 검증 시스템(630)을 더 포함하며, 상기 탐지규칙 검증부(630)은 RGS(632, 636) 및 상기 RGS(632, 636)에 각각 대응하는 Sniper Rule Transfer(634, 638)을 포함한다.
상술한 구성을 통해 본 발명이 적용된 시스템은 전문 지식이 필요한 이 기종 정책을 정규 표현 규칙이 룰 인터페이스를 통해서 입력되면, 입력된 정규 표현 규칙은 탐지규칙 정책 검증부(630)를 통해 정의된 규칙의 패턴과 일치하는지 검증이 진행되며, 입력 규칙을 사용자가 요청한 이 기종 규칙으로 변환 작업을 진행한다.
이후, 정책 제어 서버의 제어 하에 상단 계층(614, 620)에서 배포 정책을 선택하면 상단 계층(614, 620)에서 보유한 하단 계층의 장비 목록에 해당하는 모든 정책의 변환 작업을 진행한다. 배포된 정책을 최하단 계층의 보안 장비에 적용 후 적용된 정책 정보를 장비로부터 직접 GET 하여 해당 정보를 상위 계층으로 전달한다. 전달된 정보는 배포된 정책을 각각 비교하는 기존 로직의 성능 저하 요소를 개선하여 전체 HASH화 하여 비교하는 로직을 통하여 누락되거나 일치하지 않은 상세 정보를 즉시 확인할 수 있다.
또한, 본 발명이 적용된 시스템은 상기 정책 제어 서버의 배포 정책을 계층간, 다수의 보안 장비간 동기화를 구성하기 위해 이중 배포 알고리즘을 구성한다. 이때, 상기 이중 배포 알고리즘은 Partial(사용자 선택 배포) 정책 + 동기화(Full) 패턴 정책의 파일 구조를 포함하며, 배포 시점에 생성하여 하위 계층으로 배포 한다. 상기 Partial(사용자 선택 배포) 정책 적용이 실패 한 경우 동기화(Full) 패턴 정책을 장비에 일괄 적용하여 장비 간 동기화를 유지한다. 상위 계층의 배포 정책을 하위 계층 관리자의 승인 절차 없이 단말 장비로 전송될 수 있는 긴급 배포 프로토콜을 구성하여 해당 정책을 즉각적으로 배포될 수 있는 채널을 제공한다.
이하에서는 상술한 본 발명이 적용된 네트워크 보안 시스템을 구성하는 각 계층별 상세 구성에 대해 차례로 살펴보도록 한다.
도 7은 본 발명의 일 실시 예에 따른 네트워크 보안 시스템에서 탐지규칙 제공 서비스 시스템에 있어서, 최상위 서버의 구성을 보인 블록도이다.
도 7을 참조하면, 본 발명이 적용된 네트워크에서 최상위 계층에 해당되는 최상위 서버(700)는 탐지규칙 배포의 시작점으로 정책 제어 서버의 제어 하에 생성 및 검증된 탐지규칙을 상기 정책 제어 서버로부터 기설정된 탐지규칙 관리 플로우에 따라 처리하기 위한 처리 항목별로 분류된 DB(시스템 관리 DB, 탐지규칙 DB, 탐지규칙 배포이력 DB, 장비 탐지규칙 DB, 사용자 인증 DB, 710)를 포함한다.
최상위 서버(700)에서는 정책 제어 서버의 제어 하에 생성 및 검증된 탐지규칙이 대응하는 DB에 각각 저장되고, 하위의 미들 서버로 탐지규칙을 전달하며, 제어부(712)를 통해 탐지규칙 이력 관리, 보안 장비 탐지규칙 업데이트 관리, 서버 간 동기화 및 계층적 배포 동작이 제어되며, Top Console CSC(714)를 통해 정책 제어 서버의 명령이 상기 제어부(712)로 전달된다.
상기 최상위 서버(700)는 정책 제어 서버에 설정된 계층별 접근 제어에 따라서 배포 정책을 제어부(712)를 통해 암호화하여 하위 계층의 미들 서버로 전달한다.
이어서, 도 8은 본 발명의 일 실시 예에 따른 네트워크 보안 시스템에서 탐지규칙 제공 서비스 시스템에 있어서, 미들 서버의 구성을 보인 블록도이다.
도 8을 참조하면, 미들 서버(800)은 정책 제어 서버의 제어 하에 생성 및 검증된 탐지규칙을 최상위 서버로부터 전달받고, 해당 탐지규칙을 상기 정책 제어 서버로부터 기설정된 탐지규칙 관리 플로우에 따라 처리하기 위한 처리 항목별로 분류된 DB(시스템 관리 DB, 탐지규칙 DB, 탐지규칙 배포이력 DB, 장비 탐지규칙 DB, 사용자 인증 DB, 810)를 포함한다.
미들 서버(800)에서는 정책 제어 서버의 제어 하에 생성 및 검증된 탐지규칙이 대응하는 DB에 각각 저장되고, 하위의 Relay 모듈로 탐지규칙을 전달하며, 제어부(812)를 통해 탐지규칙 이력 관리, 보안 장비 탐지규칙 업데이트 관리, 서버 간 동기화 및 계층적 배포 동작이 제어되며, Top Console CSC(814)를 통해 정책 제어 서버의 명령이 상기 제어부(812)로 전달된다.
상기 미들 서버(800)는 정책 제어 서버에 설정된 계층별 접근 제어에 따라서 배포 정책을 제어부(812)를 통해 암호화하여 하위 계층의 Relay 모듈로 전달한다.
다음으로, 도 9는 본 발명의 일 실시 예에 따른 네트워크 보안 시스템에서 탐지규칙 제공 서비스 시스템에 있어서, Relay 모듈의 구성을 보인 블록도이다.
도 9를 참조하면, Relay 모듈(900)은 정책 제어 서버의 제어 하에 생성 및 검증된 탐지규칙을 미들 서버로부터 전달받고, 해당 탐지규칙을 상기 정책 제어 서버로부터 기설정된 탐지규칙 관리 플로우에 따라 처리하기 위해 제어부(910)를 통해 탐지규칙의 배포, 배포이력 전송, 탐지규칙의 동기화를 수행하고, 탐지규칙을 특정 저장소에 정의된 파일 포맷으로 저장하고, 하위 배포 에이전트로 탐지규칙을 가져갈 수 있도록 하거나, 암호화하여 하위 배포 에이전트로 직접 전달한다.
도 10은 본 발명의 일 실시 예에 따른 네트워크 보안 시스템에서 탐지규칙 제공 서비스 시스템에 있어서, 에이전트의 구성을 보인 블록도이다.
도 10을 참조하면, 배포 에이전트는 정책 제어 서버의 제어 하에 생성 및 검증된 탐지규칙을 Relay 모듈로부터 전달받고, 해당 탐지규칙을 상기 정책 제어 서버로부터 기설정된 탐지규칙 관리 플로우에 따라 탐지규칙 배포 이력, 장비 탐지규칙 업데이트 관리를 위해 제어부(180)를 통해 수행하고, 암호화하여 장비 통신 인터페이스(182)를 이용하여 일대일 페어링된 보안 장비로 상단 계층으로부터 전달된 탐지규칙을 전달한다.
또한, 상기 배포 에이전트는 Relay 모듈에 접속하여 자신이 가져가야 할 탐지규칙을 가져와 보안 장비로 전달할 수도 있다.
이러한 배포 에이전트는 네트워크 보안 장비 상에 위치하여 탐지규칙 배포를 위한 상위 계층과 장비 간의 연계 역할을 한다.
한편, 도 11은 본 발명의 일 실시 예에 따른 네트워크 보안 시스템에서 탐지규칙 제공 서비스 시스템의 전체 구성을 보인 블록도이다.
도 11에 도시된 바와 같이, 본 발명이 적용된 시스템(111)은 탐지규칙 생성부(20), 탐지규칙 검증부(22), 정책제어 서버(24), DB, 최상위 서버(26), 미들 서버(28), 릴레이(30), 에이전트(32) 및 보안 장비(34)를 포함한다.
상기 탐지규칙 생성부(20)은 네트워크 인터페이스를 통해 수신 큐로부터 유입되는 패킷의 트래픽 분석 기반 탐지규칙 및 상기 탐지규칙 관련 정규 표현(regular expression) 규칙을 생성한다.
상기 탐지규칙 검증부(22)는 생성된 상기 탐지규칙에 대응하는 정책의 오탐 방지를 위한 공격 연관성 분석 기반 검증을 수행하고, 정책 검증부에 기정의된 규칙의 패턴 매칭을 통해 생성된 상기 정규 표현 규칙을 검증한다.
상기 정책제어 서버(24)는 검증된 상기 정규 표현 규칙 기반 하에 상기 생성된 탐지규칙에 대응하는 정책을 이기종 규칙으로 변환하고, 해당 네트워크 내 보안 시스템에 존재하는 다수의 보안 장비별 상호 적용 가능한 탐지규칙의 호환 관련 이중화된 정책을 생성하여 계층화된 네트워크에서 계층별 기설정된 탐지규칙 관리 플로우에 따라 상기 생성된 탐지규칙에 기반한 정책을 순차적으로 처리하여 공격 패턴별로 분리되어 지원되는 에이전트를 통해 다수의 보안 장비(34)로 배포한다.
이와 같은, 정책 제어 서버(24)는 계층화된 네트워크에서 엔드 노드인 보안 장비(34)에 배포된 정책 정보 적용 결과를 보안 장비별로 획득하여 연속하는 계층별 상위로 순차 보고되도록 제어하고, 보안 장비별 해쉬값을 획득하고, 획득된 해쉬값을 토대로 정책 적용 충돌이 발생된 정보를 확인하여 처리하기 위한 것으로, 본 발명이 적용된 정책제어 서버(24)에서는 해당 탐지규칙에 설정된 배포 모드를 확인하여 확인된 모드별 스위칭을 통해 긴급 배포 프로토콜 설정 여부 후 기설정된 계층 기반 접근 제어에 기반한 하위 계층 배포 자료 생성이 수행되도록 제어한다.
그리고, 상기 이중화된 정책은, 기설정된 이중 배포 알고리즘을 통해 사용자 선택 배포에 기반한 파티셜(partial) 정책 및 보안 장비별 동기화 기반 풀(full) 패턴 정책이 포함되어 생성되는 것으로, 정책제어 서버(24)의 제어 하에 상기 파티셜 정책 및 풀 패턴 정책 적용 시 해당 보안 장비에서 순차 적용되고, 상기 파티셜 정책 적용이 실패한 경우 상기 풀 패턴 정책을 보안 장비에 일괄 적용하여 상기 보안 장비 간 동기화를 유지한다.
또한, 상기 정책제어 서버(24)는 계층 순회되어 하위 계층으로부터 보안 장비별 정책 배포 결과가 수신된 경우, 기저장되어 해쉬화된 보안 장비별 정책정보 관련 해쉬값과 상기 보안 장비별 배포된 정책 적용 결과를 수집하여 획득된 해쉬값 비교를 통해 생성된 탐지규칙 기반 정책 적용 결과를 레포팅하여 사용자에게 알람 전송한다.
상기와 같이 본 발명에 따른 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법 및 시스템에 관한 동작이 이루어질 수 있으며, 한편 상기한 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나 여러 가지 변형이 본 발명의 범위를 벗어나지 않고 실시될 수 있다. 따라서 본 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 청구범위와 청구범위의 균등한 것에 의하여 정하여져야 할 것이다.
20: 탐지규칙 생성부 22: 탐지규칙 검증부
24: 정책제어 서버 26: 최상위 서버
28: 미들 서버 30: 릴레이
32: 에이전트 34: 보안 장비

Claims (18)

  1. 네트워크 인터페이스를 통해 수신 큐로부터 유입되는 패킷의 트래픽 분석 기반 탐지규칙 및 상기 탐지규칙 관련 정규 표현(regular expression) 규칙을 생성하는 과정과,
    생성된 상기 탐지규칙에 대응하는 정책의 오탐 방지를 위한 공격 연관성 분석 기반 검증을 수행하고, 정책 검증부에 기정의된 규칙의 패턴 매칭을 통해 생성된 상기 정규 표현 규칙을 검증하는 과정과,
    검증된 상기 정규 표현 규칙 기반 하에 상기 생성된 탐지규칙에 대응하는 정책을 이기종 규칙으로 변환하는 과정과,
    계층화된 네트워크에서 계층별 기설정된 탐지규칙 관리 플로우에 따라 상기 생성된 탐지규칙에 기반한 정책을 순차적으로 처리하여 공격 패턴별로 분리되어 지원되는 에이전트를 통해 다수의 보안 장비로 배포하는 과정과,
    정책제어 서버에 기저장되어 해쉬화된 보안 장비별 정책정보 관련 해쉬값과 상기 보안 장비별 배포된 정책 적용 결과를 수집하여 획득된 해쉬값 비교를 통해 생성된 탐지규칙 기반 정책 적용 결과를 레포팅하는 과정을 포함하고,
    상기 배포하는 과정은,
    해당 탐지규칙에 설정된 배포 모드를 확인하여 확인된 모드별 스위칭을 통해 긴급 배포 프로토콜 설정 여부 후 기설정된 계층 기반 접근 제어에 기반한 하위 계층 배포 자료 생성이 수행됨을 특징으로 하는 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법.
  2. 제1항에 있어서, 상기 생성된 탐지규칙은,
    네트워크 패킷에 포함된 필드 중 소정의 필드들을 검사하는 항목이 정의되고, 정의된 검사항목의 검사 순서 및 검사 조건을 정의한 적어도 하나 이상의 침입 탐지를 위한 룰이 시스템 호출을 이용하여 룰 입력 인터페이스를 통해 생성됨을 특징으로 하는 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법.
  3. 제1항에 있어서, 상기 생성된 탐지규칙은,
    현재 적용되는 정책 기반 탐지규칙과 새롭게 적용되는 정책 기반 탐지규칙이 결합되어 서로 다른 기종의 보안 장비별로 호환이 전제되어 공유 가능한 탐지규칙임을 특징으로 하는 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법.
  4. 삭제
  5. 제1항에 있어서,
    해당 네트워크 내 보안 시스템에 존재하는 다수의 이기종 보안 장비별 상호 적용 가능한 탐지규칙의 정책 동기화 관련 이중화된 정책을 생성하는 과정을 더 포함함을 특징으로 하는 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법.
  6. 제5항에 있어서, 상기 이중화된 정책은,
    기설정된 이중 배포 알고리즘을 통해 사용자 선택 배포에 기반한 파티셜(partial) 정책 및 보안 장비별 동기화 기반 풀(full) 패턴 정책이 포함되어 생성됨을 특징으로 하는 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법.
  7. 제1항에 있어서,
    상기 계층화된 네트워크에서 엔드 노드인 보안 장비에 배포된 정책 정보 적용 결과를 보안 장비별로 획득하여 연속하는 계층별 상위로 순차 보고하는 과정과,
    해쉬값을 획득하고, 획득된 해쉬값을 토대로 정책 적용 충돌이 발생된 정보를 확인하는 과정을 더 포함함을 특징으로 하는 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법.
  8. 제6항에 있어서, 상기 이중화된 정책은,
    정책 적용 시 상기 파티셜 정책과 풀 패턴 정책이 해당 보안 장비에서 순차 적으로 적용되고, 상기 파티셜 정책 적용이 실패한 경우 상기 풀 패턴 정책을 보안 장비에 일괄 적용하여 상기 보안 장비 간 동기화를 유지함을 특징으로 하는 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법.
  9. 제1항에 있어서, 상기 보안 장비는,
    일대일 페어링(pairing)된 에이전트를 통해 수신된 정책을 복호화하여 상위 계층으로부터 배포된 정책정보를 실행하고, 실행 결과에 따른 정책 적용 상태정보를 암호화하여 상위 계층으로 보고함을 특징으로 하는 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법.
  10. 제1항에 있어서, 상기 정책제어 서버는,
    엔드 노드로부터 계층별로 순회되어 수신된 보안 장비별 정책 배포 결과를 복호화하여 생성된 탐지규칙에 기반한 정책을 분석하고, 분석 결과를 유형별로 분류 및 DB화하여 사용자에게 가이드함을 특징으로 하는 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법.
  11. 제1항에 있어서, 상기 기설정된 탐지규칙 관리 플로우는,
    생성 및 검증된 탐지규칙을 다수의 항목별로 분류된 DB별로 저장하고, 상기 다수의 항목별로 분류된 DB에 대응하는 제어 동작 및 계층적 선행 혹은 후행하여 이웃하는 계층 간 동기화와 계층적 배포 수행을 포함함을 특징으로 하는 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법.
  12. 네트워크 인터페이스를 통해 수신 큐로부터 유입되는 패킷의 트래픽 분석 기반 탐지규칙 및 상기 탐지규칙 관련 정규 표현(regular expression) 규칙을 생성하는 탐지규칙 생성부와,
    생성된 상기 탐지규칙에 대응하는 정책의 오탐 방지를 위한 공격 연관성 분석 기반 검증을 수행하고, 정책 검증부에 기정의된 규칙의 패턴 매칭을 통해 생성된 상기 정규 표현 규칙을 검증하는 탐지규칙 검증부와,
    검증된 상기 정규 표현 규칙 기반 하에 상기 생성된 탐지규칙에 대응하는 정책을 이기종 규칙으로 변환하고, 계층화된 네트워크에서 계층별 기설정된 탐지규칙 관리 플로우에 따라 상기 생성된 탐지규칙에 기반한 정책을 순차적으로 처리하여 공격 패턴별로 분리되어 지원되는 에이전트를 통해 다수의 보안 장비로 배포하는 정책 제어 서버를 포함하고,
    상기 정책 제어 서버는,
    해당 탐지규칙에 설정된 배포 모드를 확인하여 확인된 모드별 스위칭을 통해 긴급 배포 프로토콜 설정 여부 후 기설정된 계층 기반 접근 제어에 기반한 하위 계층 배포 자료 생성이 수행되도록 제어함을 특징으로 하는 네트워크 보안 시스템에서 탐지규칙 제공 서비스 시스템.
  13. 제12항에 있어서, 상기 정책 제어 서버는,
    계층 순회되어 하위 계층으로부터 보안 장비별 정책 배포 결과가 수신된 경우, 기저장되어 해쉬화된 보안 장비별 정책정보 관련 해쉬값과 상기 보안 장비별 배포된 정책 적용 결과를 수집하여 획득된 해쉬값 비교를 통해 생성된 탐지규칙 기반 정책 적용 결과를 레포팅함을 특징으로 하는 네트워크 보안 시스템에서 탐지규칙 제공 서비스 시스템.
  14. 삭제
  15. 제12항에 있어서, 상기 정책 제어 서버는,
    해당 네트워크 내 보안 시스템에 존재하는 다수의 보안 장비별 상호 적용 가능한 탐지규칙의 호환 관련 이중화된 정책을 생성함을 특징으로 하는 네트워크 보안 시스템에서 탐지규칙 제공 서비스 시스템.
  16. 제15항에 있어서, 상기 이중화된 정책은,
    기설정된 이중 배포 알고리즘을 통해 사용자 선택 배포에 기반한 파티셜(partial) 정책 및 보안 장비별 동기화 기반 풀(full) 패턴 정책이 포함되어 생성됨을 특징으로 하는 네트워크 보안 시스템에서 탐지규칙 제공 서비스 시스템.
  17. 제12항에 있어서, 상기 정책 제어 서버는,
    상기 계층화된 네트워크에서 엔드 노드인 보안 장비에 배포된 정책 정보 적용 결과를 보안 장비별로 획득하여 연속하는 계층별 상위로 순차 보고되도록 제어하고, 보안 장비별 해쉬값을 획득하고, 획득된 해쉬값을 토대로 정책 적용 충돌이 발생된 정보를 확인하여 처리함을 특징으로 하는 네트워크 보안 시스템에서 탐지규칙 제공 서비스 시스템.
  18. 제16항에 있어서, 상기 이중화된 정책은,
    상기 파티셜 정책 및 풀 패턴 정책 적용 시 해당 보안 장비에서 순차 적용되고, 상기 파티셜 정책 적용이 실패한 경우 상기 풀 패턴 정책을 보안 장비에 일괄 적용하여 상기 보안 장비 간 동기화를 유지함을 특징으로 하는 네트워크 보안 시스템에서 탐지규칙 제공 서비스 시스템.
KR1020140187247A 2014-12-23 2014-12-23 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법 및 시스템 KR101599213B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140187247A KR101599213B1 (ko) 2014-12-23 2014-12-23 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140187247A KR101599213B1 (ko) 2014-12-23 2014-12-23 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법 및 시스템

Publications (1)

Publication Number Publication Date
KR101599213B1 true KR101599213B1 (ko) 2016-03-04

Family

ID=55536022

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140187247A KR101599213B1 (ko) 2014-12-23 2014-12-23 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR101599213B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101796529B1 (ko) * 2016-03-15 2017-11-15 주식회사 윈스 오토마타 기반 패킷 필터 시스템 및 그 방법
KR102158784B1 (ko) 2020-05-14 2020-09-22 주식회사 쿼리시스템즈 이기종 보안 장비와 연동하는 보안위협 자동 차단 시스템
CN111813499A (zh) * 2020-07-08 2020-10-23 赛特斯信息科技股份有限公司 针对容器网络实现策略校验的方法及其应用系统
CN112100602A (zh) * 2020-07-22 2020-12-18 武汉极意网络科技有限公司 基于验证码产品的策略监控与优化系统及方法
CN112543111A (zh) * 2019-09-23 2021-03-23 北京轻享科技有限公司 一种业务监测的方法、监测中心及业务监测系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040041192A (ko) * 2002-11-08 2004-05-17 류종렬 이기종 모바일 간의 데이터 통신방법
KR20050086441A (ko) * 2002-11-07 2005-08-30 팁핑포인트 테크놀러지스 인코포레이티드 능동 네트워크 방어 시스템 및 방법
JP2009527855A (ja) * 2006-02-23 2009-07-30 マイクロソフト コーポレーション クライアントサイド攻撃対抗フィッシング検出
KR20120043466A (ko) 2010-10-26 2012-05-04 한국통신인터넷기술 주식회사 위협 탐지 시스템으로부터 제공된 정보에 기반한 통합 보안 관리 방법 및 장치

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050086441A (ko) * 2002-11-07 2005-08-30 팁핑포인트 테크놀러지스 인코포레이티드 능동 네트워크 방어 시스템 및 방법
KR20040041192A (ko) * 2002-11-08 2004-05-17 류종렬 이기종 모바일 간의 데이터 통신방법
JP2009527855A (ja) * 2006-02-23 2009-07-30 マイクロソフト コーポレーション クライアントサイド攻撃対抗フィッシング検出
KR20120043466A (ko) 2010-10-26 2012-05-04 한국통신인터넷기술 주식회사 위협 탐지 시스템으로부터 제공된 정보에 기반한 통합 보안 관리 방법 및 장치

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101796529B1 (ko) * 2016-03-15 2017-11-15 주식회사 윈스 오토마타 기반 패킷 필터 시스템 및 그 방법
CN112543111A (zh) * 2019-09-23 2021-03-23 北京轻享科技有限公司 一种业务监测的方法、监测中心及业务监测系统
CN112543111B (zh) * 2019-09-23 2023-07-04 北京轻享科技有限公司 一种业务监测的方法、监测中心及业务监测系统
KR102158784B1 (ko) 2020-05-14 2020-09-22 주식회사 쿼리시스템즈 이기종 보안 장비와 연동하는 보안위협 자동 차단 시스템
CN111813499A (zh) * 2020-07-08 2020-10-23 赛特斯信息科技股份有限公司 针对容器网络实现策略校验的方法及其应用系统
CN112100602A (zh) * 2020-07-22 2020-12-18 武汉极意网络科技有限公司 基于验证码产品的策略监控与优化系统及方法
CN112100602B (zh) * 2020-07-22 2023-11-10 武汉极意网络科技有限公司 基于验证码产品的策略监控与优化系统及方法

Similar Documents

Publication Publication Date Title
KR101599213B1 (ko) 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법 및 시스템
US11109229B2 (en) Security for network computing environment using centralized security system
US9772623B2 (en) Securing devices to process control systems
EP3497915B1 (en) Peer-to-peer communication system and peer-to-peer processing apparatus
EP3647955B1 (en) Consensus-forming method in network, and node for configuring network
CN106464659A (zh) 软件定义网络中的安全
CN101925880B (zh) 高可用性群集中的服务重新分配期间的验证服务应用进程的方法和设备
US11165569B2 (en) Method and device for securely operating a field device
US20130081112A1 (en) Global Terminal Management Using 2-Factor Authentication
CN110362984B (zh) 多设备运行业务系统的方法及装置
WO2015088324A2 (en) System and method for managing a faulty node in a distributed computing system
EP3497522B1 (en) Building automation system
CN110896506A (zh) 用于对光传输系统进行安全分区以提供多客户端管理访问的技术和实现其的网络管理系统
JP6117050B2 (ja) ネットワーク制御装置
CN116888595A (zh) 区块链网络的资格证明共识
KR20140043537A (ko) Scada 통신 네트워크 보안을 위한 보안 통신 장치 및 방법
KR102219018B1 (ko) 블록체인 기반의 사물인터넷 데이터 전송 방법
CN115913663A (zh) 一种数据安全防护方法及系统、存储介质、计算机设备
CN105282105A (zh) 集群系统的分布式安全认证方法、装置及系统
EP3367609B1 (en) Recovering a key in a secure manner
KR101584210B1 (ko) Mcu 통합 감시 시스템 및 방법
WO2016059840A1 (ja) 通信装置及び異機種間通信制御方法及び運用管理の専門性の排除方法
CN105763518A (zh) 一种基于b/s架构的远程数据加密方法
CN114826592B (zh) 基于区块链的密钥生成方法、装置、电子设备和可读介质
CN115225415B (zh) 用于新能源集控系统的密码应用平台及监测预警方法

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190225

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20200225

Year of fee payment: 5