KR101747670B1 - 보안 정책 위반 탐지 방법 - Google Patents

보안 정책 위반 탐지 방법 Download PDF

Info

Publication number
KR101747670B1
KR101747670B1 KR1020160002292A KR20160002292A KR101747670B1 KR 101747670 B1 KR101747670 B1 KR 101747670B1 KR 1020160002292 A KR1020160002292 A KR 1020160002292A KR 20160002292 A KR20160002292 A KR 20160002292A KR 101747670 B1 KR101747670 B1 KR 101747670B1
Authority
KR
South Korea
Prior art keywords
information
security policy
violation
policy violation
profile
Prior art date
Application number
KR1020160002292A
Other languages
English (en)
Inventor
김환국
김태은
조창민
나사랑
전지수
Original Assignee
한국인터넷진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국인터넷진흥원 filed Critical 한국인터넷진흥원
Priority to KR1020160002292A priority Critical patent/KR101747670B1/ko
Application granted granted Critical
Publication of KR101747670B1 publication Critical patent/KR101747670B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 실시예는 사용자 단말기로부터 발생된 데이터로부터 접속 단계 정보 및 이용단계 정보로 분류하고, 이를 데이터베이스에 저장된 보안정책 위반 정보와 비교하여 정책 위반 여부를 탐지한다.
이에, 본 실시예는 불법적인 단말기에 대해 네트워크 접근과 이용에 따른 나뉘어 보안 정책을 적용하되, 파싱된 보안정책 위반 정보를 적용하여 불법적인 네트워크 접근을 원천적으로 차단할 수 있다.

Description

보안 정책 위반 탐지 방법{METHOD FOR DETECTING SECURE PLOICY CONTRAVENTION}
본 실시예는 보안 정책 위반 탐지 방법에 관한 것으로서, 더욱 상세하게는 보안 정책을 위반한 사용자 단말기를 미드웨어 접근을 원천적으로 차단할 수 있는 보안 정책 위반 탐지 방법에 관한 것이다.
인터넷의 급속한 보급 및 네트워크 기술의 발달은 정보의 공유 및 이동성의 보장이라는 긍정적인 효과가 있다. 그러나, 이는 불법적인 해킹에 의한 정보 유출이라는 부정적인면도 내포하고 있어, 기업이 인터넷에 연결되는 네트웍 보안은 가장 먼저 고려해야할 사항 중 하나가 되었다.
이러한 보안 문제는 인터넷을 자유롭게 이용하고 싶다는 사용의 측면과 상충되기 마련이다. 따라서 기업으로서는 자신들이 보호해야할 정보와 외부에 공개할 정보에 대한 명확한 구분이 필요하며, 이를 위해, 각 회사마다 적절한 보안정책(Security Policy)를 세워야 한다.
예를 들면, 네트워크 분야에서 보안 정책은 정보 자산의 전산망을 통한 무단유출, 파괴, 불법 변경으로부터 안전하게 보호하는 것을 목적으로 하고 있다. 보안정책 및 일련의 보안 활동은 정보 자산에 대하여 무결성(Integrity), 기밀성(Confidentiality), 식별 및 인증(Identification amp; Authentication), 접근제어(Access Control), 부인봉쇄(Non-Repudiation), 감사와 책임 체계(Audibility amp; Accountability), 신뢰성 및 가용성(Reliability amp; Availability ) 등의 요구조건을 만족시켜야 한다.
이상과 같은 요구조건을 만족시키기 위해 보안 관리는 일관성 및 기밀성 유지를 위해 전산 중앙 관리를 원칙으로 하고, 모든 자원(인적자원/정보자원)은 보안등급에 따라 분류하여 관리하며, 외부에서 내부로의 접근은 제한함을 원칙으로 하며, 내부에서 외부로의 정보 조회는 제한 없이 허용하되 정보의 유출은 통제하는 것을 원칙으로 한다.
이와 같은 보안 정책은 보안성의 강화를 위해 다양한 정책을 보안 기술에 적용하고 있지만, 네트워크의 규모 및 해킹 기술 등의 발전으로 이에 상응하는 보안 정책을 적용한 보안 기술은 아직 미흡한 실정이다.
한국등록특허 : 제1067686호(2011.09.20 : 등록일)
본 실시예는 네트워크 접근과 이용에 따른 보안 정책을 실시하여 네트워크 보안 강화를 이루기 위한 보안 정책 위반 탐지 방법을 제공하는데 그 목적이 있다.
하나의 일 실시예에 따르면, 보안 정책 위반 탐지 시스템을 이용한 사용자 단말기의 정책 위반을 탐지하기 위한 방법으로서, 사용자 단말기를 통해 네트워크 접근과 이용에 따라 발생한 데이터를 접속 단계 정보 및 이용단계 정보로 분류하는 단계; 보안정책과 관련한 보안정책 정보를 파싱하여 비교 대상 필드와 기준값을 포함한 적어도 하나의 보안정책 위반 정보로 분류하는 단계; 상기 파싱된 적어도 하나의 보안정책 위반 정보를 보안정책 데이터베이스에 저장하는 단계; 상기 분류된 접속 단계 정보 및 상기 이용단계 정보와 상기 보안정책 데이터베이스에 저장된 해당하는 보안정책 위반 정보를 비교하여 정책 위반 여부를 탐지하는 단계; 및 상기 탐지의 결과가 정책 위반인 경우, 상기 정책 위반한 상기 사용자 단말기의 미드웨어 접근을 통제하거나 동적 제어하고, 상기 탐지의 결과로서 탐지 결과 정보를 생성하는 단계를 포함하는 보안 정책 위반 탐지 방법을 제공한다.
상기 보안정책 위반 정보는 상기 각 비교 대상 필드와 기준값을 포함한 상황 정보, 권한 정보 및 프로파일 정보를 포함할 수 있다.
상기 정책 위반 여부를 탐지하는 단계는 임의의 산술식에 기반하여 상기 분류된 접속 단계 정보 및 상기 이용단계 정보와 상기 보안정책 위반 정보를 각각 비교할 수 있다.
상기 산술식은, <, >, ==, && 중 어느 하나일 수 있다.
상기 기준값은, int값, string값, datetime값 중 어느 하나인, 보안 정책 위반 탐지 방법.
상기 비교 대상 필드는, 인증 결과, 접속 위치, 접속 네트워크, 소속/권한, 사용자 상태, 위치변경여부, 동시 접속기기 위치, 자동로그인 설정여부, 사용 OS, 기기타입, 사용 브라우저, 에이젼트 동작, 요청 타입, 루팅 여부, 화면잠금 설정 여부, 보안프로그램 설치 여부, 자동로그인 여부, 사용 OS 프로파일, 기기타입 프로파일, 사용브라우저 프로파일, 루팅 여부 프로파일, 화면잠금설정 프로파일, 보안프로그램설치 프로파일, 사용기기유형, 접속주일대, 접속시간대, 인증소요시간, 접속 주소, 접근 허용 IP, 동시접속기기 IP, MAC, MAC 프로파일, 대상서비스 IP, 대상서비스 포트번호, 사용자 ID, 기기 ID, 설치 프로그램, 사용기기명 프로파일, 기기 ID, 대상서비스 URL, 외부 서비스 이용정보, 접속종료시간,접속일시, 인증 실패횟수, 로그인 실패 횟수, 사용자 총 접속횟수, 기기총 이용시간 및 요청 횟수 중 적어도 하나일 수 있다.
상기 정책 위반 여부를 탐지하는 단계는 상기 보안정책 위반 정보가 상기 비교 대상 필드와 기준값을 포함한 상황 정보인 경우, 상기 분류된 접속 단계 정보와 상기 상황 정보를 비교하여 제1 정책 위반 여부를 판단하는 단계를 포함할 수 있다.
상기 정책 위반 여부를 탐지하는 단계는 상기 보안정책 위반 정보가 상기 비교 대상 필드와 기준값을 포함한 권한 정보인 경우, 상기 분류된 이용단계 정보와 상기 권한 정보를 비교하여 제2 정책 위반 여부를 판단하는 단계를 더 포함할 수 있다.
상기 정책 위반 여부를 탐지하는 단계는 상기 상기 보안정책 위반 정보가 상기 비교 대상 필드와 기준값을 포함한 프로파일 정보인 경우, 상기 탐지된 제1 정책 위반 사항 또는 상기 제2 정책 위반 사항을 상기 프로파일 정보를 비교하여 제3 정책 위반 여부를 판단하는 단계를 더 포함할 수 있다.
상기 탐지 결과 정보는 탐지 일시, 사용자 정보, 사용 기기, 프로파일 정보, 탐지 결과, 위반정책수, 위반 정책 및 위반 행위 요소를 포함할 수 있다.
상기 사용자 단말기는 유선 또는 무선 단말기일 수 있다.
본 실시예는 불법적인 단말기에 대해 네트워크 접근과 이용에 따른 나뉘어 보안 정책을 적용하되, 파싱된 보안정책 위반 정보를 적용하여 불법적인 네트워크 접근을 원천적으로 차단할 수 있다.
이상에서 설명된 효과는 언급한 효과들로 제한되지 않으며 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 실시예들이 속하는 분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
이하에 첨부되는 도면들은 본 실시예에 관한 이해를 돕기 위한 것으로, 상세한 설명과 함께 실시예들을 제공한다. 다만, 본 실시예의 기술적 특징이 특정 도면에 한정되는 것은 아니며, 각 도면에서 개시하는 특징들은 서로 조합되어 새로운 실시예로 구성될 수 있다.
도 1은 일 실시예에 따른 보안 정책 위반 탐지 방법의 일례를 예시적으로 나타낸 순서도이다.
도 2는 도 1의 보안 정책 위반 탐지 방법을 수행하는 보안 정책 위반 탐지 시스템의 일례를 나타낸 도면이다.
도 3 내지 도 5는 도 1의 보안 정책 위반 탐지 방법의 150 단계를 보다 상세하게 나타낸 순서도이다.
도 6은 도 1의 보안 정책 위반 탐지 방법에서 탐지된 탐지 결과 정보를 나타낸 도면이다.
도 7은 도 1 내지 도 6에 개시된 보안 정책 위반 탐지 방법의 150 단계를 보다 구체적으로 나타낸 순서도이다.
도 8 내지 도 10은 도 7의 150 각 단계의 일례를 나타낸 도면이다.
이하, 첨부된 도면을 참조하여 본 명세서에 개시된 실시 예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.
이하의 본 명세서에 개시된 실시 예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 명세서에 개시된 실시 예의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
또한, 첨부된 도면은 본 명세서에 개시된 실시 예를 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 명세서에 개시된 기술적 사상이 제한되지 않으며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
또한, 이하의 실시예에서 개시되는 "포함하다", 또는 "이루어지다" 등의 용어들은, 특별히 반대되는 기재가 없는 한, 해당 구성 요소가 내재될 수 있음을 의미하는 것으로, 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 구비하는 것으로 이해되어야 한다.
<보안 정책 위반 탐지 방법의 예>
도 1은 일 실시예에 따른 보안 정책 위반 탐지 방법의 일례를 예시적으로 나타낸 순서도이고, 도 2는 도 1의 보안 정책 위반 탐지 방법을 수행하는 보안 정책 위반 탐지 시스템의 일례를 나타낸 도면이며, 도 3 내지 도 5는 도 1의 보안 정책 위반 탐지 방법의 150 단계를 보다 상세하게 나타낸 순서도이다.
도 3 내지 도 5는 도 1를 설명할 때 보조적으로 인용하기로 한다.
도 2에 도시된 보안 정책 위반 탐지 시스템(200)은 기업내의 BOYD 및 스마트 워크망으로 연결된 네트워크 장비(220) 및 보안 장비(203)를 통제하고, 보안 정책에 따라 탐지된 사용자 단말기(201)가 기업내의 BOYD 및 스마트 워크망에 연결된 미들웨어(204)에 접근하고자 할 경우, 이를 설정된 보안 정책에 위반하였는지를 판단하여 미들웨어(204)를 동적 제어할 수 있다.
더 나아가, 보안 정책 기반 탐지 시스템(210)은 BOYD 및 스마트 워크망을 통해 외부 통신망으로 나가려는 불법 사용자 단말기(201)의 불법적인 자료 유출과 같은 보안 정책 위반 여부를 더 탐지할 수 있다.
이러한 보안 정책 위반 탐지 시스템(200)에 의해 수행되는 보안 정책 위반 탐지 방법은 다음과 같다.
도시된 바와 같이, 일 실시예에 따른 보안 정책 위반 탐지 방법(200)은 보안 정책 위반 탐지 시스템(200)을 통해 보안 정책 위반을 탐지하기 위하여 110 단계 내지 160 단계를 포함할 수 있다.
먼저, 예시적인 110 단계에서, 보안 정책 위반 탐지 시스템(200)은 사용자 단말기가 외부망으로부터 네트워크 장비(202) 및 보안 장비(203)를 통해 미들웨어(204)에 접근하고자 할 경우 네트워크 장비(202) 및 보안 장비(203)에 연결된 네트워크의 접근과 이용에 따라 발생한 데이터를 실시간적으로 수집할 수 있다.
수집된 데이터는 보안 정책 데이터베이스(210)에 저장될 수 있다.
120 단계에서, 보안 정책 위반 탐지 시스템(200)은 네트워크의 접근과 이용에 따라 수집된 데이터를 접속 단계 정보 및 이용 단계 정보로 분류할 수 있다.
분류된 접속 단계 정보 및 이용단계 정보는 후술할 비교 대상 필드의 각 항목에 준하는 정보로서, 접속 단계 정보는 네트워크 접속과 관련한 정보이고, 이용 단계 정보는 미들웨어(204)의 자원 이용과 관련한 정보일 수 있다.
따라서, 접속 단계 정보와 이용 단계 정보는 후술하는 비교 대상 필드를 확인하면, 정보의 범위와 항목을 충분히 이해할 수 있을 것이다.
이처럼 분류된 접속 단계 정보 및 이용 단계 정보는 보안 정책 데이터베이스(210)에 저장될 수 있다.
예시적인 130 단계에서, 보안 정책 위반 탐지 시스템(200)은 보안 정책과 관련한 보안정책 정보를 파싱(parsing)하여 적어도 하나의 보안정책 위반 정보로 분류할 수 있다.
보안 정책 정보의 파싱은 보안 규칙과 타입에 따라 달라지기 때문에 보안 정책 정보와 파싱된 적어도 하나의 보안 정책 위반 정보는 수시로 변경되거나 업데이트될 수 있다.
보안 규칙과 타입은 예컨대 표 1 내지 표 4에서와 같이 4개(TYPE A, TYPE B, TYPE C, TYPE D)의 보안 규칙과 타입을 정의하고, 4개의 보안 규칙과 타입에는 각각 비교 대상 필드와 기준값을 포함할 수 있다.
(표 1)
Figure 112016001871019-pat00001
(표 2) (표 3)
Figure 112016001871019-pat00002
Figure 112016001871019-pat00003
(표 4)
Figure 112016001871019-pat00004
상기 비교 대상 필드는 인증 결과, 접속 위치, 접속 네트워크, 소속/권한, 사용자 상태, 위치변경여부, 동시 접속기기 위치, 자동로그인 설정여부, 사용 OS, 기기타입, 사용 브라우저, 에이젼트 동작, 요청 타입, 루팅 여부, 화면잠금 설정 여부, 보안프로그램 설치 여부, 자동로그인 여부, 사용 OS 프로파일, 기기타입 프로파일, 사용브라우저 프로파일, 루팅 여부 프로파일, 화면잠금설정 프로파일, 보안프로그램설치 프로파일, 사용기기유형, 접속주일대, 접속시간대, 인증소요시간, 접속 주소, 접근 허용 IP, 동시접속기기 IP, MAC, MAC 프로파일, 대상서비스 IP, 대상서비스 포트번호, 사용자 ID, 기기 ID, 설치 프로그램, 사용기기명 프로파일, 기기 ID, 대상서비스 URL, 외부 서비스 이용정보, 접속종료시간,접속일시, 인증 실패횟수, 로그인 실패 횟수, 사용자 총 접속횟수, 기기총 이용시간 및 요청 횟수 중 적어도 하나일 수 있다.
그러나, 이에 한정되지 않으며, 개시되지 않은 비교 대상 필드의 항목은 (표 1) 내지 (표 4)에서 충분히 나타내었다.
이 처럼 분류된 보안정책 위반 정보는 전술한 비교 대상 필드 뿐만 아니라, 기준값을 더 포함할 수 있다.
상기 기준값은 (표 1) 내지 (표 4)의 보안 타입 및 비교 대상 필드에 따라 int값, string값, datetime값 중 어느 하나를 매칭시킨 정보일 수 있다. 예를 들어, TYPE A의 비교 대상 필드는 표 1에서와 같이 0, 1, 2중 어느 하나의 정수(int)로 나타낼 수 있고, TYPE B의 비교 대상 필드는 표 2에서와 같이 임의의 string(문자열) 형태로 나타낼 수 있다.
또한, TYPE C의 비교 대상 필드는 (표 3)에서와 같이 임의의 datatime값으로 나타낼 수 있으며, TYPE D의 비교 대상 필드는 (표 4)에서와 같이 임의의 int 또는 string값으로 나타낼 수 있다.
더욱이, 130 단계에서, 보안 정책 위반 탐지 시스템(200)은 보안정책과 관련한 보안정책 정보를 파싱하여 전술한 각 비교 대상 필드와 기준값을 포함한 상황 정보, 권한 정보 및 프로파일 정보 중 어느 하나를 갖는 보안정책 위반 정보로 더 분류할 수 있다.
이를 포함 관계로 표현하면, 프로파일 정보는 상황 정보, 권한 정보 및 프로파일 정보를 포함하고, 상기 상황 정보, 권한 정보 및 프로파일 정보는 각각 적어도 하나의 비교 대상 필드와 기준값을 포함할 수 있다.
예시적인 140 단계에서, 보안 정책 위반 탐지 시스템(200)은 파싱(분류)된 적어도 하나의 보안정책 위반 정보를 보안정책 데이터베이스(210)에 저장할 수 있다.
이러한 보안정책 데이터베이스(210)는 컴퓨터 판독 가능한 기록 매체를 포함하는 개념으로서, 협의의 데이터베이스뿐만 아니라, 파일 시스템에 기반한 데이터 기록 등을 포함하는 넓은 의미의 데이터베이스도 포함하여 지칭하며, 단순한 로그의 집합이라도 이를 검색하여 데이터를 추출할 수 있다면 본 발명에서 말하는 데이터베이스의 범주안에 포함될 수 있다.
예시적인 150 단계에서, 보안 정책 위반 탐지 시스템(200)은 전술한 120 단계의 분류된 접속 단계 정보 및 이용단계 정보와 보안정책 데이터베이스(2100에 저장된 해당하는 보안정책 위반 정보를 비교하여 정책 위반 여부를 탐지할 수 있다.
예를 들어, 보안 정책 위반 탐지 시스템(200)은 임의의 산술식에 기반하여 분류된 접속 단계 정보 및 이용단계 정보와 보안정책 위반 정보를 각각 비교하여 위반 여부를 판단할 수 있다.
언급된 임의의 산술식은 <, >, ==, && 중 어느 하나일 수 있다.
예를 들어, 도 3에서와 같이 TYPE A의 비교 판단인 경우에는 비교 판단의 조건이 되는 비교대상 필드와 같은 접속 단계 정보 또는 이용단계 정보의 사용자 정보값(int값)와 보안정책 위반 정보의 비교대상 필드에 매칭된 기준값(int값)을 <, >, ==, && 중 어느 하나의 산술식에 기반하여 동일한지의 여부를 판단할 수 있다(151).
또한, 도 4에서와 같이 TYPE B의 비교 판단인 경우에는 비교 대상이되는 접속 단계 정보와 보안 정책 위반 정보의 기준값이 string값이라는 것을 제외하면 도 3과 동일함을 알 수 있으며(152), 도 5에서와 같이 TYPE C의 비교 판단인 경우에는 보안정책 위반 정보의 비교대상 필드에 매칭된 기준값 1(datetime값)과 기준값 2의 범위안에 접속 단계 정보 또는 이용단계 정보의 사용자 정보값(datetime값)가 존재하는지를 <, >, ==, && 중 어느 하나의 산술식에 기반하여 판단할 수 있다(153).
예시적인 160 단계에서, 보안 정책 위반 탐지 시스템(200)은 전술한 바와 같이 탐지 결과가 정책 위반인 경우, 정책 위반한 사용자 단말기(201)의 미드웨어(240)의 접근을 통제하거나 동적 제어할 수 있다.
여기서, 사용자 단말기(201)는 외부망을 통해 기업내의 BOYD 및 스마트 워크망에 접근하고자 하는 외부 단말기이거나 기업내의 BOYD 및 스마트 워크망에 연결되어 외부망으로 불법적인 접속과 이용을 시도하는 사내 단말기일 수 있다.
이러한 외부 단말기 및/또는 사내 단말기는 유선 또는 무선 단말기의 형태를 가질 수 있다.
아울러, 160 단계의 보안 정책 위반 탐지 시스템(200)은 정책 위반한 사항을 탐지 결과로서 탐지 결과 정보를 생성할 수 있다.
생성된 탐지 결과 정보는 탐지 일시, 사용자 정보, 사용 기기, 프로파일 정보, 탐지 결과, 위반정책수, 위반 정책 및 위반 행위 요소를 포함할 수 있다. 이러한 탐지 결과 정보의 형태는 도 6과 같이 나타내어질 수 있다.
도 6은 도 1의 보안 정책 위반 탐지 방법에서 탐지된 탐지 결과 정보를 나타낸 도면이다.
도 6에 도시된 탐지 결과 정보에서, 각 항목은 ";(semicolon)"으로 구분하고, 항목내 데이터는 ",(comma)"로 구분하며, 프로파일 정보 중 기기 ID ~ 기기 접속일시 정보는 &로 구분하고, 위반 정책 및 위반 행위 요소 데이터 중 위반 필드와 해당 필드의 사용자 정보 값은 "/(slash)"로 구분하며, 복수의 위반 행위 요소는 "&(amp)"로 구분할 수 있다.
예를 들어, "20130930063254;K02222,…;IPHONE32,…;visitor,…;위반;5;A00001,user_role/visitor;null;C00005,relogin_time/150&loc_chg/1;"와 같이 탐지 결과 정보를 나타낼 수 있다.
더 나아가, 도 6에 도시된 탐지 결과 정보에서, 각 데이터 중 없는 값은 "null"로 나타내고, 미들웨어(204)에서 정책을 위반하지 않은 정상의 사용자 단말기는 "정상"이라고 나타내며, 사용자의 모니터링 결과 표시하므로 탐지결과 ‘정상'인 경우도 정보 전달이 있을 경우 위반 정책수는 0, 위반 정책 및 위반 행위 요소는 "null"로 나타낼 수 있다.
도 7은 도 1 내지 도 6에 개시된 보안 정책 위반 탐지 방법의 150 단계를 보다 구체적으로 나타낸 순서도이고, 도 8 내지 도 10은 도 7의 150 각 단계의 일례를 나타낸 도면이다.
도 8 내지 도 10은 도 7을 설명할 때 보조적으로 인용하기로 한다.
도 7를 참조하면, 일 실시예에 따른 보안 정책 위반 탐지 방법의 150 단계는 154 단계 내지 156 단계를 포함할 수 있다.
154 단계에서, 보안 정책 위반 탐지 시스템(200)은 전술한 130 단계에 의해 분류된 보안정책 위반 정보가 전술한 비교 대상 필드와 기준값을 포함한 상황 정보인 경우, 분류된 접속 단계 정보와 상황 정보를 비교하여 제1 정책 위반 여부를 판단할 수 있다.
예를 들면, 보안 정책 위반 탐지 시스템(200)은 도 8에서와 같이 보안정책 위반 정보가 Agent 설치 및 루팅 처리와 관련한 비교대상 필드 및 기준값을 포함한 상황 정보인 경우, 탐지된 접속 단계 정보의 Agent 설치값/루팅값과 상황 정보의 Agent 설치 기준값과 루팅 기준값을 비교하여 설치 여부와 루팅의 허용 여부(제1 정책 위반 허용 여부)를 판단할 수 있다.
이때, Agent 설치 및 루팅 처리와 관련한 상황 정보는 TYPE C의 보안 규칙에 매칭된 결과이다.
155 단계에서, 보안 정책 위반 탐지 시스템(200)은 130 단계에 의해 분류된 보안정책 위반 정보가 비교 대상 필드와 기준값을 포함한 권한 정보인 경우, 분류된 이용단계 정보와 권한 정보를 비교하여 제2 정책 위반 여부를 판단할 수 있다.
예를 들면, 보안 정책 위반 탐지 시스템(200)은 도 9에서와 같이 전술한 130 단계에 의해 분류된 보안정책 위반 정보가 네트워크 행위 및 소속/권한과 관련한 비교 대상 필드와 기준값을 포함한 권한 정보인 경우, 탐지된 이용단계 정보의 소속/권한값과 네트워크 행위값을 소속/권한 기준값과 네트워크 행위 기준값을 비교하여 허용 여부(제2 정책 허용 여부)를 판단할 수 있다.
이때, 네트워크 행위 및 소속/권한과 관련한 권한 정보는 TYPE A의 보안 규칙에 매치된 결과이다.
156 단계에서, 보안 정책 위반 탐지 시스템(200)은 130 단계에 의해 분류된 보안정책 위반 정보가 비교 대상 필드와 기준값을 포함한 프로파일 정보인 경우, 154 단계와 155 단계에 의해 탐지된 제1 정책 위반 사항 또는 제2 정책 위반 사항을 프로파일 정보를 비교하여 제3 정책 위반 여부를 판단할 수 있다.
예를 들면, 보안 정책 위반 탐지 시스템(200)은 도 10에서와 같이 전술한 130 단계에 의해 분류된 보안정책 위반 정보가 인증 결과, 인증 실패 횟수, 자동로그인 설정 등과 관련한 비교 대상 필드와 기준값을 포함한 프로파일 정보인 경우, 탐지된 인증 결과값, 인증 실패 횟수, 자동로그인 설정값과 관련한 제1 정책 위반 사항 또는 제2 정책 위반 사항을 프로파일 정보의 인증 결과 기준값, 인증 실패 횟수 기준값 및 자동로그인 설정 기준값을 비교하여 정책 위반 여부(제3 정책 위반 여부)를 판단할 수 있다.
이와 같이, 본 실시예는 상황 정보, 권한 정보 및 프로파일 정보로 분류된 비교 대상 필드와 기준값에 따라 사용자 단말기의 접속 단계 정보 및 이용단계 정보를 비교함으로써, 불법적인 접속과 이용을 보다 쉽게 탐지할 수 있을 것이다.
이상에서와 같이, 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고 다른 구체적인 형태로 실시할 수 있다는 것을 이해할 수 있을 것이다. 따라서 이상에서 기술한 실시예는 모든 면에서 예시적인 것이며 한정적이 아닌 것이다.
200 : 보안 정책 위반 탐지 시스템 201 : 사용자 단말기
202 : 네트워크 장비 203 : 보안 장비
204 : 미들웨어 210 : 보안정책 데이터베이스

Claims (11)

  1. 보안 정책 위반 탐지 시스템을 통해 사용자 단말기의 정책 위반을 탐지하기 위한 방법으로서,
    사용자 단말기를 통해 네트워크 접근과 이용에 따라 발생한 데이터를 접속 단계 정보 및 이용단계 정보로 분류하는 단계;
    보안정책과 관련한 보안정책 정보를 파싱하여 비교 대상 필드와 기준값을 포함한 적어도 하나의 보안정책 위반 정보로 분류하는 단계;
    상기 적어도 하나의 보안정책 위반 정보를 보안정책 데이터베이스에 저장하는 단계;
    상기 분류된 접속 단계 정보 및 상기 이용단계 정보와 상기 보안정책 데이터베이스에 저장된 해당하는 보안정책 위반 정보를 비교하여 정책 위반 여부를 탐지하는 단계; 및
    상기 탐지의 결과가 정책 위반인 경우, 상기 정책 위반한 불법 사용자 단말기의 미드웨어 접근을 통제하거나 동적 제어하고, 상기 탐지의 결과로서 탐지 결과 정보를 생성하는 단계
    를 포함하는, 보안 정책 위반 탐지 방법.
  2. 제1항에 있어서,
    상기 보안정책 위반 정보는,
    상기 각 비교 대상 필드와 기준값을 포함한 상황 정보, 권한 정보 및 프로파일 정보를 포함하는, 보안 정책 위반 탐지 방법.
  3. 제2항에 있어서,
    상기 정책 위반 여부를 탐지하는 단계는,
    임의의 산술식에 기반하여 상기 분류된 접속 단계 정보 및 상기 이용단계 정보와 상기 보안정책 위반 정보를 각각 비교하는, 보안 정책 위반 탐지 방법.
  4. 제3항에 있어서,
    상기 산술식은, <, >, ==, && 중 어느 하나인 것인, 보안 정책 위반 탐지 방법.
  5. 제3항에 있어서,
    상기 기준값은, int 값, string 값 및 datetime 값 중 어느 하나인, 보안 정책 위반 탐지 방법.
  6. 제3항에 있어서,
    상기 비교 대상 필드는,
    인증 결과, 접속 위치, 접속 네트워크, 소속/권한, 사용자 상태, 위치변경여부, 동시 접속기기 위치, 자동로그인 설정여부, 사용 OS, 기기타입, 사용 브라우저, 에이젼트 동작, 요청 타입, 루팅 여부, 화면잠금 설정 여부, 보안프로그램 설치 여부, 자동로그인 여부, 사용 OS 프로파일, 기기타입 프로파일, 사용브라우저 프로파일, 루팅 여부 프로파일, 화면잠금설정 프로파일, 보안프로그램설치 프로파일, 사용기기유형, 접속주일대, 접속시간대, 인증소요시간, 접속 주소, 접근 허용 IP, 동시접속기기 IP, MAC, MAC 프로파일, 대상서비스 IP, 대상서비스 포트번호, 사용자 ID, 기기 ID, 설치 프로그램, 사용기기명 프로파일, 기기 ID, 대상서비스 URL, 외부 서비스 이용정보, 접속종료시간,접속일시, 인증 실패횟수, 로그인 실패 횟수, 사용자 총 접속횟수, 기기총 이용시간 및 요청 횟수 중 적어도 하나인 것인, 보안 정책 위반 탐지 방법.
  7. 제2항에 있어서,
    상기 정책 위반 여부를 탐지하는 단계는,
    상기 보안정책 위반 정보가 상기 비교 대상 필드와 기준값을 포함한 상황 정보인 경우, 상기 분류된 접속 단계 정보와 상기 상황 정보를 비교하여 제1 정책 위반 여부를 판단하는 단계;
    를 포함하는, 보안 정책 위반 탐지 방법.
  8. 제2항에 있어서,
    상기 정책 위반 여부를 탐지하는 단계는,
    상기 보안정책 위반 정보가 상기 비교 대상 필드와 기준값을 포함한 권한 정보인 경우, 상기 분류된 이용단계 정보와 상기 권한 정보를 비교하여 제2 정책 위반 여부를 판단하는 단계
    를 더 포함하는, 보안 정책 위반 탐지 방법.
  9. 제7항 또는 제8항에 있어서,
    상기 정책 위반 여부를 탐지하는 단계는,
    상기 보안정책 위반 정보가 상기 비교 대상 필드와 기준값을 포함한 프로파일 정보인 경우, 탐지된 제1 정책 위반 사항 또는 제2 정책 위반 사항을 상기 프로파일 정보를 비교하여 제3 정책 위반 여부를 판단하는 단계
    를 더 포함하는, 보안 정책 위반 탐지 방법.
  10. 제1항에 있어서,
    상기 탐지 결과 정보는,
    탐지 일시, 사용자 정보, 사용 기기, 프로파일 정보, 탐지 결과, 위반정책수, 위반 정책 및 위반 행위 요소를 포함하는, 보안 정책 위반 탐지 방법.
  11. 제1항에 있어서,
    상기 사용자 단말기는, 유선 또는 무선 단말기인 것인, 보안 정책 위반 탐지 방법.
KR1020160002292A 2016-01-07 2016-01-07 보안 정책 위반 탐지 방법 KR101747670B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160002292A KR101747670B1 (ko) 2016-01-07 2016-01-07 보안 정책 위반 탐지 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160002292A KR101747670B1 (ko) 2016-01-07 2016-01-07 보안 정책 위반 탐지 방법

Publications (1)

Publication Number Publication Date
KR101747670B1 true KR101747670B1 (ko) 2017-06-15

Family

ID=59217592

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160002292A KR101747670B1 (ko) 2016-01-07 2016-01-07 보안 정책 위반 탐지 방법

Country Status (1)

Country Link
KR (1) KR101747670B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019112215A1 (ko) * 2017-12-08 2019-06-13 한국정보인증주식회사 V2x 통신 환경에서의 부정행위 판단 시스템 및 부정행위 판단 방법
KR20200122054A (ko) * 2019-04-17 2020-10-27 주식회사 케이티 유해 ip 판단 방법
CN113095851A (zh) * 2021-04-02 2021-07-09 浙江玖重科技有限公司 烟草信息采集方法、装置、系统及可读存储介质
KR20220095669A (ko) * 2020-12-30 2022-07-07 주식회사 안랩 이벤트 이력 기반 네트워크 보안 장치 및 이벤트 이력 기반 네트워크 보안 방법

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019112215A1 (ko) * 2017-12-08 2019-06-13 한국정보인증주식회사 V2x 통신 환경에서의 부정행위 판단 시스템 및 부정행위 판단 방법
KR20200122054A (ko) * 2019-04-17 2020-10-27 주식회사 케이티 유해 ip 판단 방법
KR102211503B1 (ko) * 2019-04-17 2021-02-04 주식회사 케이티 유해 ip 판단 방법
KR20220095669A (ko) * 2020-12-30 2022-07-07 주식회사 안랩 이벤트 이력 기반 네트워크 보안 장치 및 이벤트 이력 기반 네트워크 보안 방법
KR102521895B1 (ko) 2020-12-30 2023-04-14 주식회사 안랩 이벤트 이력 기반 네트워크 보안 장치 및 이벤트 이력 기반 네트워크 보안 방법
CN113095851A (zh) * 2021-04-02 2021-07-09 浙江玖重科技有限公司 烟草信息采集方法、装置、系统及可读存储介质

Similar Documents

Publication Publication Date Title
US11438338B2 (en) Core network access provider
US8832796B2 (en) Wireless communication terminal, method for protecting data in wireless communication terminal, program for having wireless communication terminal protect data, and recording medium storing the program
US9992213B2 (en) Risk-adaptive access control of an application action based on threat detection data
US20160127417A1 (en) Systems, methods, and devices for improved cybersecurity
EP2933973B1 (en) Data protection method, apparatus and system
US9332019B2 (en) Establishment of a trust index to enable connections from unknown devices
US9338176B2 (en) Systems and methods of identity and access management
US8539548B1 (en) Tiered network policy configuration with policy customization control
KR101747670B1 (ko) 보안 정책 위반 탐지 방법
Barka et al. Securing the web of things with role-based access control
US20120137375A1 (en) Security systems and methods to reduce data leaks in enterprise networks
US10432642B2 (en) Secure data corridors for data feeds
US11556642B2 (en) Code monitoring and restricting of egress operations
CN105049445A (zh) 一种访问控制方法及独立式访问控制器
CN102972005A (zh) 交付认证方法
CN103069767A (zh) 交付认证方法
US9143517B2 (en) Threat exchange information protection
US10432641B2 (en) Secure data corridors
Birnstill et al. Building blocks for identity management and protection for smart environments and interactive assistance systems
Parekh et al. Aligning with cybersecurity framework by modelling OT security
Dean et al. Toward a Zero Trust Architecture Implementation in a University Environment
Bröring et al. Secure usage of asset administration shells: an overview and analysis of best practises
Jeong et al. An efficient and secure m-IPS scheme of mobile devices for human-centric computing
WO2018125991A1 (en) Secure data corridors for data feeds
Batra et al. Autonomous multilevel policy based security configuration in distributed database

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant