KR101823421B1 - 화이트리스트 기반의 네트워크 보안 장치 및 방법 - Google Patents
화이트리스트 기반의 네트워크 보안 장치 및 방법 Download PDFInfo
- Publication number
- KR101823421B1 KR101823421B1 KR1020160044163A KR20160044163A KR101823421B1 KR 101823421 B1 KR101823421 B1 KR 101823421B1 KR 1020160044163 A KR1020160044163 A KR 1020160044163A KR 20160044163 A KR20160044163 A KR 20160044163A KR 101823421 B1 KR101823421 B1 KR 101823421B1
- Authority
- KR
- South Korea
- Prior art keywords
- network
- alarm
- whitelist
- list
- traffic
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0695—Management of faults, events, alarms or notifications the faulty arrangement being the maintenance, administration or management system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/062—Generation of reports related to network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
화이트리스트 기반의 네트워크 보안 장치 및 방법이 개시된다. 본 발명에 따른 네트워크 보안 장치는 네트워크 스위치를 기반으로 네트워크 상에서 발생하는 복수개의 트래픽들에 상응하는 네트워크 현황정보를 수집하는 네트워크 수집부; 상기 네트워크 현황정보를 기반으로 네트워크 관리자에 의해 사용이 허가된 자원을 이용한 화이트리스트를 생성하는 화이트리스트 생성부; 상기 화이트리스트에 위배되는 트래픽이 발생한 경우에 상기 네트워크 관리자에게 알람을 발생하는 알람 발생부; 및 상기 네트워크 관리자로부터 상기 트래픽에 대한 차단 요청이 수신된 경우에 상기 네트워크 스위치를 통해 상기 트래픽의 접근을 차단하는 네트워크 보안부를 포함한다.
Description
본 발명은 화이트리스트 기반의 네트워크 보안에 관한 것으로, 특히 네트워크 관리자로부터 허용된 통신 규칙을 기반으로 화이트리스트를 정의하고, 이를 위배하는 통신 트래픽 발생 시 알람을 발생시켜 접근을 차단할 수 있는 화이트리스트 기반의 네트워크 보안 장치 및 방법에 관한 것이다.
네트워크 보안을 위한 방법 중 블랙리스트(Blacklist) 기반으로 공격을 탐지하여 접근을 차단하는 방법이 일반적으로 사용되고 있지만, 이러한 보안 방법은 블랙리스트에 등록되지 않은 변형된 공격이나 제로데이 공격 및 에이피티(APT) 공격에 대해 대응하지 못한다는 문제점이 있다.
또한, 네트워크에 접속하는 장치의 보안 상태를 점검하여 안전한 기기만 접근을 허용하는 기술인 NAC(Network Access Control) 기술은 사용자의 PC, 서버 혹은 장비에 관리 프로그램을 설치하는 방식으로, 임베디드 시스템이나 PCL(Programmable Logic Controller) 등이 설치된 시스템에서는 사용이 불가능하다.
또한, 내부망 트래픽을 모니터링 하기 위해, 별도의 장비를 사용할 경우 높은 설치가격과 복잡한 선 연결에 의해 현실적으로 관리가 어렵고, 스위치 미러링 기능을 활용할 경우 미러링 기능이 네트워크 스위치에 부하를 주어 스위칭 기능 자체의 안정성을 저해할 우려가 있다. 또한, 사이버위협 탐지 시 타 장비의 안전을 확보하기 위한 위협 차단 등의 대응이 불가능하다는 단점이 존재한다.
본 발명의 목적은 네트워크에 접근 가능한 화이트리스트를 정의하고, 이를 기반으로 네트워크 트래픽을 감시 및 차단할 수 있는 네트워크 보안 방법을 제공하는 것이다.
또한, 본 발명의 목적은 반복적인 트래픽에 의한 알람을 생략함으로써 네트워크 관리자가 중요한 알람에 집중할 수 있는 네트워크 관리 환경을 제공하는 것이다.
또한, 본 발명의 목적은 대시보드를 통해 네트워크 보안 상황을 한눈에 확인할 수 있도록 제공함으로써 네트워크 관리자가 효과적으로 네트워크 보안을 수행할 수 있도록 하는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따른 네트워크 보안 장치는, 네트워크 스위치를 기반으로 네트워크 상에서 발생하는 복수개의 트래픽들에 상응하는 네트워크 현황정보를 수집하는 네트워크 수집부; 상기 네트워크 현황정보를 기반으로 네트워크 관리자에 의해 사용이 허가된 자원을 이용한 화이트리스트를 생성하는 화이트리스트 생성부; 상기 화이트리스트에 위배되는 트래픽이 발생한 경우에 상기 네트워크 관리자에게 알람을 발생하는 알람 발생부; 및 상기 네트워크 관리자로부터 상기 트래픽에 대한 차단 요청이 수신된 경우에 상기 네트워크 스위치를 통해 상기 트래픽의 접근을 차단하는 네트워크 보안부를 포함한다.
이 때, 알람 발생부는 상기 화이트리스트에 포함된 복수개의 통신 규칙들 중 어느 하나의 통신 규칙에 의한 알람이 기설정된 기준 횟수 이상 반복적으로 발생하는 경우에 상기 어느 하나의 통신 규칙을 블라인드 리스트에 추가하여 동일한 트래픽에 의한 알람이 생략되도록 제어하는 알람 제어부를 포함할 수 있다.
이 때, 알람 발생부는 상기 복수개의 통신 규칙들 중 적어도 하나의 통신 규칙이 상기 블라인드 리스트에 추가되는 경우에 상기 블라인드 리스트에 의해 생략되는 알람에 상응하는 알람 로그를 기록하는 알람 기록부를 더 포함할 수 있다.
이 때, 알람 발생부는 상기 알람 로그를 기반으로 상기 적어도 하나의 통신 규칙 중 기설정된 알람 발생 기간 동안 사용되지 않은 통신 규칙을 블라인드 리스트 삭제 후보로 추출하여 상기 네트워크 관리자에게 제공하는 블라인드 리스트 관리부를 더 포함할 수 있다.
이 때, 네트워크 보안 장치는 상기 화이트리스트에 포함된 복수개의 통신 규칙들 중 기설정된 사용 기간 동안 한번도 사용되지 않은 통신 규칙을 화이트리스트 삭제 후보로 추출하여 상기 네트워크 관리자에게 추천하는 삭제 리스트 추천부; 및 상기 알람이 발생한 트래픽에 상응하게 기록된 트래픽 로그를 기반으로 상기 화이트리스트에 추가할 화이트리스트 추가 후보를 추출하여 상기 네트워크 관리자에게 추천하는 추가 리스트 추천부를 더 포함할 수 있다.
이 때, 네트워크 보안 장치는 상기 네트워크 관리자의 승인을 기반으로 상기 화이트리스트 삭제 후보 및 상기 화이트리스트 추가 후보 중 적어도 하나를 보정 대기 상태로 전환하고, 최종 보안 담당자의 승인을 기반으로 삭제 및 추가 중 적어도 하나에 상응하는 보정을 실행하는 화이트리스트 보정부를 더 포함할 수 있다.
이 때, 화이트리스트 생성부는 상기 네트워크에 등록되어 있는 제1 유형 아이피, 상기 네트워크 관리자에 의해 허가된 제2 유형 아이피, 상기 네트워크에 등록되어 있는 제1 유형 서비스 및 상기 네트워크의 보안정책에 위배되지 않는 제2 유형 서비스 중 적어도 하나를 이용하여 상기 화이트리스트를 생성할 수 있다.
이 때, 화이트리스트 생성부는 상기 네트워크 현황정보에 포함된 복수개의 클라이언트 아이피들 중 상기 제1 유형 아이피를 검색하고, 상기 제1 유형 아이피를 제외한 나머지 아이피들 중 상기 제2 유형 아이피를 검색하는 아이피 검색부; 및 상기 네트워크 현황정보에 포함된 복수개의 서비스들 중 상기 제1 유형 서비스를 검색하고, 상기 제1 유형 서비스를 제외한 나머지 서비스들 중 상기 제2 유형 서비스를 검색하는 서비스 검색부를 포함할 수 있다.
이 때, 통신 규칙은 서버 아이피, 서버 포트, 프로토콜, 클라이언트 아이피 및 트래픽 통신 방향 중 적어도 하나를 기반으로 구성될 수 있다.
또한, 본 발명의 일실시예에 따른 화이트리스트 기반의 네트워크 보안 방법은, 네트워크 스위치를 기반으로 네트워크 상에서 발생하는 복수개의 트래픽들에 상응하는 네트워크 현황정보를 수집하는 단계; 상기 네트워크 현황정보를 기반으로 네트워크 관리자에 의해 사용이 허가된 자원을 이용한 화이트리스트를 생성하는 단계; 상기 화이트리스트에 위배되는 트래픽이 발생한 경우에 상기 네트워크 관리자에게 알람을 발생하는 단계; 및 상기 네트워크 관리자로부터 상기 트래픽에 대한 차단 요청이 수신된 경우에 상기 네트워크 스위치를 통해 상기 트래픽의 접근을 차단하는 단계를 포함한다.
이 때, 알람을 발생하는 단계는 상기 화이트리스트에 포함된 복수개의 통신 규칙들 중 어느 하나의 통신 규칙에 의한 알람이 기설정된 기준 횟수 이상 반복적으로 발생하는 경우에 상기 어느 하나의 통신 규칙을 블라인드 리스트에 추가하여 동일한 트래픽에 의한 알람이 생략되도록 제어하는 단계를 포함할 수 있다.
이 때, 알람을 발생하는 단계는 상기 복수개의 통신 규칙들 중 적어도 하나의 통신 규칙이 상기 블라인드 리스트에 추가되는 경우에 상기 블라인드 리스트에 의해 생략되는 알람에 상응하는 알람 로그를 기록하는 단계를 더 포함할 수 있다.
이 때, 알람을 발생하는 단계는 상기 알람 로그를 기반으로 상기 적어도 하나의 통신 규칙 중 기설정된 알람 발생 기간 동안 사용되지 않은 통신 규칙을 블라인드 리스트 삭제 후보로 추출하여 상기 네트워크 관리자에게 제공하는 단계를 더 포함할 수 있다.
이 때, 네트워크 보안 방법은 상기 화이트리스트에 포함된 복수개의 통신 규칙들 중 기설정된 사용 기간 동안 한번도 사용되지 않은 통신 규칙을 화이트리스트 삭제 후보로 추출하여 상기 네트워크 관리자에게 추천하는 단계; 및 상기 알람이 발생한 트래픽에 상응하게 기록된 트래픽 로그를 기반으로 상기 화이트리스트에 추가할 화이트리스트 추가 후보를 추출하여 상기 네트워크 관리자에게 추천하는 단계를 더 포함할 수 있다.
이 때, 네트워크 보안 방법은 상기 네트워크 관리자의 승인을 기반으로 상기 화이트리스트 삭제 후보 및 상기 화이트리스트 추가 후보 중 적어도 하나를 보정 대기 상태로 전환하고, 최종 보안 담당자의 승인을 기반으로 삭제 및 추가 중 적어도 하나에 상응하는 보정을 실행하는 단계를 더 포함할 수 있다.
이 때, 화이트리스트를 생성하는 단계는 상기 네트워크에 등록되어 있는 제1 유형 아이피, 상기 네트워크 관리자에 의해 허가된 제2 유형 아이피, 상기 네트워크에 등록되어 있는 제1 유형 서비스 및 상기 네트워크의 보안정책에 위배되지 않는 제2 유형 서비스 중 적어도 하나를 이용하여 상기 화이트리스트를 생성할 수 있다.
이 때, 화이트리스트를 생성하는 단계는 상기 네트워크 현황정보에 포함된 복수개의 클라이언트 아이피들 중 상기 제1 유형 아이피를 검색하고, 상기 제1 유형 아이피를 제외한 나머지 아이피들 중 상기 제2 유형 아이피를 검색하는 단계; 및 상기 네트워크 현황정보에 포함된 복수개의 서비스들 중 상기 제1 유형 서비스를 검색하고, 상기 제1 유형 서비스를 제외한 나머지 서비스들 중 상기 제2 유형 서비스를 검색하는 단계를 포함할 수 있다.
이 때, 통신 규칙은 서버 아이피, 서버 포트, 프로토콜, 클라이언트 아이피 및 트래픽 통신 방향 중 적어도 하나를 기반으로 구성될 수 있다.
본 발명에 따르면, 네트워크에 접근 가능한 화이트리스트를 정의하고, 이를 기반으로 네트워크 트래픽을 감시 및 차단할 수 있는 네트워크 보안 방법을 제공할 수 있다.
또한, 본 발명은 반복적인 트래픽에 의한 알람을 생략함으로써 네트워크 관리자가 중요한 알람에 집중할 수 있는 네트워크 관리 환경을 제공할 수 있다.
또한, 본 발명은 대시보드를 통해 네트워크 보안 상황을 한눈에 확인할 수 있도록 제공함으로써 네트워크 관리자가 효과적으로 네트워크 보안을 수행할 수 있도록 할 수 있다.
도 1은 본 발명의 일실시예에 따른 화이트리스트 기반의 네트워크 보안 시스템을 나타낸 블록도이다.
도 2는 도 1에 도시된 네트워크 보안 시스템이 동작하는 일 예를 나타낸 도면이다.
도 3은 도 1에 도시된 네트워크 보안 장치의 일 예를 나타낸 블록도이다.
도 4는 도 3에 도시된 화이트리스트 생성부의 일 예를 나타낸 블록도이다.
도 5는 도 3에 도시된 알람 발생부의 일 예를 나타낸 블록도이다.
도 6은 본 발명의 일실시예에 따른 블라인드리스트를 사용한 경우의 알람 발생을 나타낸 도면이다.
도 7은 본 발명의 일실시예에 따른 화이트리스트의 보정 승인 절차를 나타낸 도면이다.
도 8은 본 발명에 따른 네트워크 보안 장치를 통해 복수의 네트워크 스위치들의 화이트리스트를 통합 관리하는 일 예를 나타낸 도면이다.
도 9는 본 발명의 일실시예에 따른 화이트리스트 기반의 네트워크 보안 방법을 나타낸 동작 흐름도이다.
도 10은 도 9에 도시된 네트워크 보안 방법 중 화이트리스트를 생성하는 과정을 상세하게 나타낸 동작 흐름도이다.
도 11은 도 9에 도시된 네트워크 보안 방법 중 블라인드 리스트에 의한 알람 발생 과정을 상세하게 나타낸 동작 흐름도이다.
도 12는 본 발명의 일실시예에 따라 블라인드 리스트를 관리하는 방법을 나타낸 동작 흐름도이다.
도 13은 본 발명의 일실시예에 따라 화이트리스트를 삭제하는 방법을 나타낸 동작 흐름도이다.
도 14는 본 발명의 일실시예에 따라 화이트리스트를 추가하는 방법을 나타낸 동작 흐름도이다.
도 15는 본 발명의 일실시예에 따라 삭제 및 추가 중 적어도 하나에 상응하게 화이트리스트를 보정하는 과정을 나타낸 동작 흐름도이다.
도 2는 도 1에 도시된 네트워크 보안 시스템이 동작하는 일 예를 나타낸 도면이다.
도 3은 도 1에 도시된 네트워크 보안 장치의 일 예를 나타낸 블록도이다.
도 4는 도 3에 도시된 화이트리스트 생성부의 일 예를 나타낸 블록도이다.
도 5는 도 3에 도시된 알람 발생부의 일 예를 나타낸 블록도이다.
도 6은 본 발명의 일실시예에 따른 블라인드리스트를 사용한 경우의 알람 발생을 나타낸 도면이다.
도 7은 본 발명의 일실시예에 따른 화이트리스트의 보정 승인 절차를 나타낸 도면이다.
도 8은 본 발명에 따른 네트워크 보안 장치를 통해 복수의 네트워크 스위치들의 화이트리스트를 통합 관리하는 일 예를 나타낸 도면이다.
도 9는 본 발명의 일실시예에 따른 화이트리스트 기반의 네트워크 보안 방법을 나타낸 동작 흐름도이다.
도 10은 도 9에 도시된 네트워크 보안 방법 중 화이트리스트를 생성하는 과정을 상세하게 나타낸 동작 흐름도이다.
도 11은 도 9에 도시된 네트워크 보안 방법 중 블라인드 리스트에 의한 알람 발생 과정을 상세하게 나타낸 동작 흐름도이다.
도 12는 본 발명의 일실시예에 따라 블라인드 리스트를 관리하는 방법을 나타낸 동작 흐름도이다.
도 13은 본 발명의 일실시예에 따라 화이트리스트를 삭제하는 방법을 나타낸 동작 흐름도이다.
도 14는 본 발명의 일실시예에 따라 화이트리스트를 추가하는 방법을 나타낸 동작 흐름도이다.
도 15는 본 발명의 일실시예에 따라 삭제 및 추가 중 적어도 하나에 상응하게 화이트리스트를 보정하는 과정을 나타낸 동작 흐름도이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일실시예에 따른 화이트리스트 기반의 네트워크 보안 시스템을 나타낸 블록도이다.
도 1을 참조하면, 본 발명의 일실시예에 따른 화이트리스트 기반의 네트워크 보안 시스템은 네트워크 보안 장치(110), 네트워크 스위치(120-1~ 120-N), 단말(130-1, 130-2) 및 네트워크 관리자(140)를 포함한다.
네트워크 보안 장치(110)는 네트워크 스위치(120-1~ 120-N)들을 통해 수집한 네트워크 현황정보를 기반으로 화이트리스트를 생성하여 네트워크에 접근하는 단말(130-1, 130-2)들의 접근을 제어함으로써 네트워크 보안을 수행하는 기능을 담당할 수 있다.
네트워크 보안 장치(110)는 네트워크 스위치(120-1~ 120-N)들을 기반으로 네트워크 상에서 발생하는 복수개의 트래픽들에 상응하는 네트워크 현황정보를 수집한다.
또한, 네트워크 보안 장치(110)는 네트워크 현황정보를 기반으로 네트워크 관리자(140)에 의해 사용이 허가된 자원을 이용한 화이트리스트를 생성한다.
이 때, 네트워크에 등록되어 있는 제1 유형 아이피, 네트워크 관리자(140)에 의해 허가된 제2 유형 아이피, 네트워크에 등록되어 있는 제1 유형 서비스 및 네트워크의 보안정책에 위배되지 않는 제2 유형 서비스 중 적어도 하나를 이용하여 화이트리스트를 생성할 수 있다.
이 때, 네트워크 현황정보에 포함된 복수개의 클라이언트 아이피들 중 제1 유형 아이피를 검색하고, 제1 유형 아이피를 제외한 나머지 아이피들 중 제2 유형 아이피를 검색할 수 있다.
이 때, 네트워크 현황정보에 포함된 복수개의 서비스들 중 제1 유형 서비스를 검색하고, 제1 유형 서비스를 제외한 나머지 서비스들 중 제2 유형 서비스를 검색할 수 있다.
또한, 네트워크 보안 장치(110)는 화이트리스트에 위배되는 트래픽이 발생한 경우에 네트워크 관리자(140)에게 알람을 발생한다.
이 때, 화이트리스트에 포함된 복수개의 통신 규칙들 중 어느 하나의 통신 규칙에 의한 알람이 기설정된 기준 횟수 이상 반복적으로 발생하는 경우에 어느 하나의 통신 규칙을 블라인드 리스트에 추가하여 동일한 트래픽에 의한 알람이 생략되도록 제어할 수 있다.
이 때, 복수개의 통신 규칙들 중 적어도 하나의 통신 규칙이 블라인드 리스트에 추가되는 경우에 블라인드 리스트에 의해 생략되는 알람에 상응하는 알람 로그를 기록할 수 있다.
이 때, 알람 로그를 기반으로 적어도 하나의 통신 규칙 중 기설정된 알람 발생 기간 동안 사용되지 않은 통신 규칙을 블라인드 리스트 삭제 후보로 추출하여 네트워크 관리자(140)에게 제공할 수 있다.
또한, 네트워크 보안 장치(110)는 네트워크 관리자(140)로부터 트래픽에 대한 차단 요청이 수신된 경우에 네트워크 스위치(120-1~ 120-N)들을 통해 트래픽의 접근을 차단한다.
또한, 네트워크 보안 장치(110)는 화이트리스트에 포함된 복수개의 통신 규칙들 중 기설정된 사용 기간 동안 한번도 사용되지 않은 통신 규칙을 화이트리스트 삭제 후보로 추출하여 네트워크 관리자(140)에게 추천할 수 있다.
이 때, 통신 규칙은 서버 아이피, 서버 포트, 프로토콜, 클라이언트 아이피 및 트래픽 통신 방향 중 적어도 하나를 기반으로 구성될 수 있다.
또한, 네트워크 보안 장치(110)는 알람이 발생한 트래픽에 상응하게 기록된 트래픽 로그를 기반으로 화이트리스트에 추가할 화이트리스트 추가 후보를 추출하여 네트워크 관리자(140)에게 추천할 수 있다.
또한, 네트워크 보안 장치(110)는 네트워크 관리자(140)의 승인을 기반으로 화이트리스트 삭제 후보 및 화이트리스트 추가 후보 중 적어도 하나를 보정 대기 상태로 전환하고, 최종 보안 담당자의 승인을 기반으로 삭제 및 추가 중 적어도 하나에 상응하는 보정을 실행할 수 있다.
네트워크 스위치(120-1~ 120-N)들은 네트워크 현황정보를 수집하여 네트워크 보안 장치(110)에게 전송할 수 있다. 예를 들어, 네트워크 스위치(120-1~ 120-N)들은 일정 기간 동안 네트워크에 접근하는 클라이언트에 의해 발생하는 트래픽들을 기반으로 네트워크 현황정보를 수집할 수 있다.
또한, 네트워크 스위치(120-1~ 120-N)는 네트워크 보안 장치(110)에서 생성된 화이트리스트를 기반으로 네트워크를 감시하고, 화이트리스트에 위배되는 접근을 차단하는 역할을 수행할 수 있다.
예를 들어, 네트워크 스위치(120-1)에 접근하는 단말(130-1)이 화이트리스트에 위배되는 단말일 경우에 네트워크 스위치(120-1)는 단말(130-1)의 접근을 차단할 수 있다.
네트워크 관리자(140)는 네트워크 보안 장치(110)를 통해 네트워크의 보안을 관리한다.
이 때, 네트워크 관리자(140)는 그 권한에 따라 일반 담당자와 보안 담당자로 분류될 수 있다.
이 때, 보안 담당자가 실제로 화이트리스트를 변경하여 적용할 수 있는 권한을 가진 사람을 의미할 수 있다. 예를 들어, 일반 담당자는 네트워크 보안 장치(110)가 추천해주는 보정 정보들 중 수행해도 좋을 정보들을 선별하여 보정 대기 상태로 전환하고, 보안 담당자는 보정 대기에 있는 정보들을 확인하여 실제로 화이트리스트에 적용할 것인지에 대한 승인을 수행할 수 있다.
이와 같은 과정을 적용함으로써, 보안 담당자의 권한을 가진 일부의 사람이 항상 화이트리스트를 감시하지 않고도 권한이 낮은 다수의 일반 담당자를 통해 네트워크에서 발생하는 정보에 신속히 대응할 수 있다. 또한, 네트워크에서 발생하는 정보들을 이중으로 확인하여 처리함으로써 승인 과정에서의 실수를 최소화할 수도 있다.
이 때, 도 1에는 도시하지 아니하였으나, 본 발명의 일실시예에 따른 네트워크 보안 장치(110)는 별도의 대시보드를 통해 네트워크 관리자(140)에게 네트워크에서 발생하는 정보를 제공할 수 있다.
이 때, 대시보드는 네트워크 관리자(140)가 네트워크 스위치(120-1~ 120-N)들을 이용하여 네트워크의 보안감시를 수행하면서 발생하는 정보를 네트워크 보안 장치(110)를 이용해 모니터링 할 때, 네트워크 보안 장치(110)를 통해 발생되는 알람 및 정보들을 정리하여 네트워크 관리자(140)가 할 일을 알려줄 수 있다.
이 때, 대시보드는 알람 영역을 통해 화이트리스트에 위배되는 트래픽에 의한 알람 리스트 또는 알람 개수, 미등록 단말(IP, MAC)의 리스트 또는 개수, 미등록된 서비스(프로토콜, 서버 포트, 트래픽 전송 방향)의 리스트 또는 개수, 미등록된 네트워크 스위치 리스트 또는 개수, 시스템 에러(네트워크 스위치 또는 네트워크 보안 장치의 CPU 사용량, 온도, 메모리 사용량과 같은 기기 자체의 문제점)의 리스트 또는 개수, 그 외 보안상 확인해야 할 정보리스트 또는 개수 등을 나타낼 수 있다.
이 때, 네트워크 관리자(140)는 알람 영역에 나타나는 모든 알람의 개수를 0으로 만드는 것을 목표로 보안활동을 수행할 수 있다. 즉, 알람을 확인하고 이에 대한 대응(보안 담당자에게 보고, 시스템 조치 등)을 수행하여 처리해야 하는 알람의 수를 줄여나가도록 할 수 있다. 이 때, 알람의 개수가 0이 되면 네트워크 관리자(140)는 보안상 최고 우선순위로 대처할 일은 없음을 확인할 수 있으므로 다름 우선순위의 작업을 수행할 수 있게 된다. 최고 우선순위의 일이 발생했음을 알리는 것만큼이나 최고 우선순위의 일이 현재 없음을 알림으로써 네트워크 관리자(140)가 다른 일을 수행할 수 있도록 하는 것도 대시보드의 중요한 역할이고, 본 발명에서는 이를 반영하여 알람 영역을 설계할 수 있다.
또한, 대시보드는 트랜드 영역을 통해 화이트리스트, 블라인드 리스트, 아이피, 서비스 등이 시간흐름에 따라 얼마나 많이 사용되고 있는지 나타낼 수 있다. 이 때, 네트워크 관리자(140)는 트랜드 영역을 통해 현재 시간대에 가장 많은 트래픽을 발생하는 아이피, 화이트리스트에 포함된 통신 규칙 별로 해당하는 트래픽의 양의 변화 등 시간에 따른 운영 현황을 확인할 수 있다. 이와 같은 트랜스 영역을 통해, 화이트리스트를 통해 허용된 통신이지만 특정 시간대에 일반적으로 발생하지 않는 트랜드가 발생한다든지, 일정한 화이트리스트에 해당하는 트래픽의 발생량이 감소하였다든지 하는 정보를 네트워크 관리자(140)가 알아챌 수 있다.
또한, 지속적으로 트랜드 영역의 정보가 변화하면서, 네트워크 관리자(140)는 네트워크 스위치(120-1~ 120-N)들이나 네트워크 보안 장치(110)가 계속 정상적으로 운영되고 있음을 확인할 수 있다. 트랜드 영역 이외의 영역들은 장시간 동안 정보의 변화가 발생하지 않을 수 있다. 그러므로 네트워크 관리자(140)는 트랜드 영역 이외의 다른 영역들을 보면서 네트워크 스위치(120-1~ 120-N)들이나 네트워크 보안 장치(110)가 정상동작 하지 않았을 때의 변화를 감지하기 어려울 수 있다. 또한, 네트워크 스위치(120-1~ 120-N)들이나 네트워크 보안 장치(110)가 정상적으로 동작하고 있는지에 대한 의심을 가질 수도 있다.
따라서, 짧은 시간에도 정보의 변화가 발생하는 트랜드 영역을 대시보드에 생성하여 네트워크 관리자(140)에게 네트워크 스위치(120-1~ 120-N)들과 네트워크 보안 장치(110)가 정상적으로 운영되고 있음에 대한 정보를 제공할 수 있다. 예를 들어, 디지털카메라가 사진을 찍었음을 알려주기 위해 셔터음을 일부러 내는 것과 비슷한 효과라 할 수 있다.
또한, 대시보드는 리소스 영역을 통해 현재 네트워크 스위치(120-1~ 120-N)들 및 네트워크 보안 장치(110)를 이용하여 보안감시를 수행하는 대상들과 그와 관련하여 사용하는 정보들의 현황을 나타낼 수 있다. 리소스 영역에 나타나는 정보는 등록된 단말(IP, MAC), 등록된 서비스(프로토콜, 서버 포토, 트래픽 전송 방향 등), 등록된 네트워크 스위치, 화이트리스트 및 블라인드 리스트 각각에 대한 개수와 최근 일정기간 안에 추가된 개수, 또는 삭제된 개수 등에 상응할 수 있다.
네트워크 관리자(140)는 리소스 영역을 통해 현재 보안 감시하는 대상에 대한 현황 및 최근에 발생한 정보의 변화를 파악할 수 있다. 또한, 리소스 영역을 통해, 네트워크 관리자(140)가 1일 3교대 또는 타부터 발령 등에 의해 인수인계를 수행할 경우, 현황정보를 인계 받는 사람에게 정확하게 전달할 수 있다.
또한, 대시보드는 추천작업 영역을 통해 아직 네트워크 관리자(140)에 의해 확인이 이루어지지 않은 정보들의 리스트 또는 개수 정보를 나타낼 수 있다. 다시 말해서 네트워크 보안 장치(110)가 추천한 정보들 중 네트워크 관리자(140)가 승인 여부를 결정하지 않은 정보만을 추천작업 영역에 나타낼 수 있다.
이 때, 알람 영역의 경우에는 긴급하게 대응해야 하는 작업의 개수를 나타낼 수 있고, 추천작업 영역은 알람 영역에 나타내는 사건보다 그 우선순위가 떨어지는 작업을 나타낼 수 있다. 하지만, 현장상황과 화이트리스트 정보의 정확한 동기화를 위해서는 네트워크 관리자(140)가 추천작업 영역에 나타난 작업 정보 또한 빠르게 처리해야 할 수 있다. 즉, 추천작업 영역에 나타나는 정보의 개수가 0개인 것을 확인하면, 네트워크 관리자(140)가 현재 화이트리스 정보가 현장의 상황과 일치한다고 판단할 수 있으므로 네트워크 관리자(140)에게 해야 할 일을 알릴 뿐만 아니라 할 일이 완료되었음을 알리는 효과가 있다.
도 2는 도 1에 도시된 네트워크 보안 시스템이 동작하는 일 예를 나타낸 도면이다.
도 2를 참조하면, 도 1에 도시된 네트워크 보안 시스템이 동작하기 위해서는 먼저 네트워크 스위치와 네트워크 보안 장치를 설치할 수 있다(S210).
이 때, 네트워크 스위치는 화이트리스트를 기반으로 네트워크의 보안을 수행하거나, 네트워크 현황정보를 수집할 수 있다.
또한, 네트워크 보안 장치는 본 발명에서 제안하는 접근제어리스트에 해당하는 화이트리스트를 기반으로 네트워크 보안을 관리 및 제어할 수 있다.
이 후, 네트워크 스위치를 통해 네트워크 현황정보를 수집할 수 있다(S220).
이 때, 네트워크 현황정보는 S-tuple 기반의 트래픽 정보나 스위치 상태정보 등을 포함할 수 있다.
이 후, 네트워크 보안 장치가 네트워크 현황정보를 이용하여 화이트리스트를 자동 생성할 수 있다(S230).
이 때, 화이트리스트라 함은 서버 아이피, 서버 포트, 프로토콜 및 클라이언트 아이피로 구성된 형태의 접근제어 리스트로 상호 통신이 허용된 구간에 대한 정보를 의미할 수 있다.
이 때, 화이트리스트를 자동생성하기 위해서는 기존의 존재하는 접근제어 리스트 추출 기술을 이용할 수 있다.
이 때, 네트워크 보안 장치를 통해 자동 생성된 화이트리스트를 실제로 사용하기 위해서는 네트워크 관리자로부터 화이트리스트의 내용에 대해 적합성을 확인 받을 필요가 있다. 그러나, 자동 생성된 화이트리스트에 많은 내용이 포함되어 있을 경우에는 네트워크 관리자가 모든 내용을 확인하기에 어려움이 있을 수 있다.
따라서, 본 발명에서는 네트워크 관리자가 현장에서 확보할 수 있는 자산정보나 현재 사용중인 서비스 정보 등을 기준으로 화이트리스트에 포함된 내용을 순차적으로 확인하여 모든 정보를 빠짐없이 확인할 수 있는 방법을 제시하고자 한다.
이를 위해 먼저, 네트워크 보안 장치는 화이트리스트를 자동 생성한 뒤에 네트워크에 등록되어 있지 않은 아이피 정보를 검색하여 네트워크 관리자에게 제공할 수 있다. 즉, 이미 화이트리스트에 포함된 아이피들 중 이미 네트워크에 등록되어 있는 아이피는 다시 네트워크 관리자가 확인할 필요가 없기 때문에, 아직 등록되지 않은 아이피만 네트워크 관리자에게 제공하여 확인할 수 있다.
이 때, 네트워크 관리자는 자신이 관리하는 자산목록과 비교하여 등록해도 되는 아이피들을 선택하여 등록이 허가할 수 있다.
이 후, 네트워크 보안 장치는 네트워크에 등록되어 있지 않은 프로토콜, 서버 포트, 트래픽 통신 방향 등의 서비스 정보를 검색하여 네트워크 관리자에게 제공할 수 있다. 그러면, 네트워크 사용자는 네트워크에서 사용하는 시스템 및 프로그램의 제조사로부터 제공된 서비스 정보를 기반으로 보안정책에서 금지된 서비스 리스트를 획득하고, 해당 리스트를 기준으로 사용해도 되는 서비스를 선택할 수 있다.
이 후, 네트워크 보안 장치는 네트워크 관리자로부터 확인 받은 아이피와 서비스만으로 이루어진 화이트리스트를 네트워크 관리자에게 제공할 수 있다. 이 때, 네트워크 관리자는 확인한 아이피와 서비스들의 사용관계를 확인할 수 있다.
이와 같이 네트워크 보안 장치가 네트워크 관리자에게 직접 화이트리스트에 대해 확인해야 할 정보를 명시해 주고 그 절차를 명확하게 함으로써 네트워크 관리자가 모든 화이트리스트의 정보를 빠짐없이 확인할 수 있다.
이 후, 화이트리스트를 기반으로 네트워크 스위치가 네트워크의 보안 및 감시를 수행할 수 있다(S240).
예를 들어, 화이트리스트 기반 감시에서는 화이트리스트를 위배하는 트래픽에 대한 알람을 발생하고, 네트워크 관리자가 원할 경우에 해당 트래픽을 접근 차단할 수 있다.
이 때, 네트워크의 보안 및 감시를 수행하면서도 화이트리스트의 정보와 실제 네트워크 현황정보의 동기화를 지속적으로 수행해야 보다 정확한 네트워크의 보안이 이루어질 수 있다.
이 때, 화이트리스트의 동기화를 수행하기 위해 먼저 화이트리스트에서 불필요한 정보를 제거할 수 있다. 예를 들어, 다수의 네트워크 스위치들을 기반으로 네트워크의 감시를 수행하는 정보를 네트워크 보안 장치가 확인하여 일정기간 이상 사용되지 않는 아이피나 서비스에 대한 화이트리스트가 발생하면, 해당 정보를 네트워크 관리자에게 알려줄 수 있다. 네트워크 관리자는 해당하는 아이피나 서비스가 실제로 사용되지 않는지 확인한 뒤에 해당 정보를 화이트리스트에서 삭제할 수 있다.
다른 예를 들어, 화이트리스트에 아직 추가되지 않은 정보를 확인하여 추가시킬 수도 있다. 즉, 사용자가 직접 화이트리스트를 작성하거나 화이트리스트 자동생성에 사용된 네트워크 현황정보가 부족한 경우에 따라 새롭게 도입된 아이피나 서비스를 화이트리스트에 반영하지 못하는 상황이 항상 발생할 수 있다. 이를 위해 네트워크 보안 장치는 화이트리스트를 위배한 알람을 분석하고, 분석한 정보들 중에서 화이트리스트에 추가할 만한 정보를 네트워크 관리자에게 제안할 수 있다. 이 때, 알람을 분석하였을 경우, 기등록된 아이피나 서비스들로만 이루어진 접근 관계, 등록되지 얼마 되지 않는 아이피에 의한 통신, 신뢰성이 확보된 아이피에서의 통신 및 내부 네트워크에서 사용이 허가된 서비스를 이용한 통신 중 적어도 하나에 해당하는 경우 해당 정보를 화이트리스트에 추가할 정보로 네트워크 관리자에게 제안할 수 있다.
또한, 네트워크의 보안 및 감시를 수행하며 알람을 제공할 때에는, 네트워크 관리자의 권한 및 역할에 따라 네트워크 관리자가 중요성 높은 알람에 더 집중할 수 있도록 중요성이 낮은 알람을 블라인드 처리할 수 있다.
이 때, 블라인드 처리되는 알람도 실제로 발생한 알람이기 때문에, 대시보드를 통해 네트워크 관리자에게 알람으로 보여지지만 않을 뿐 이에 대한 로그를 저장되어 관리될 수 있다.
도 3은 도 1에 도시된 네트워크 보안 장치의 일 예를 나타낸 블록도이다.
도 3을 참조하면, 도 1에 도시된 네트워크 보안 장치(110)는 통신부(310), 네트워크 수집부(320), 화이트리스트 생성부(330), 알람 발생부(340), 네트워크 보안부(350), 삭제 리스트 추천부(360), 추가 리스트 추천부(370), 화이트리스트 보정부(380) 및 저장부(390)를 포함한다.
통신부(310)는 네트워크 보안을 위해 네트워크 스위치와 필요한 정보를 송수신하는 역할을 한다. 특히, 본 발명의 일실시예에 따른 통신부(310)는 네트워크 스위치로부터 네트워크 현황정보나 트래픽 정보 등을 수신할 수 있다.
네트워크 수집부(320)는 네트워크 스위치를 기반으로 네트워크 상에서 발생하는 복수개의 트래픽들에 상응하는 네트워크 현황정보를 수집한다.
이 때, 사전에 일정기간을 설정해두고, 설정된 기간 동안 네트워크 스위치를 이용하여 네트워크 상에서 발생하는 트래픽 정보 및 네트워크 스위치의 상태 정보 등을 네트워크 현황정보로 수집할 수 있다.
이 때, 수집된 네트워크 현황정보는 네트워크 보안 장치에서 관리하면서, 네트워크 관리자가 원하는 경우에 열람을 할 수 있도록 제공할 수 있다.
화이트리스트 생성부(330)는 네트워크 현황정보를 기반으로 네트워크 관리자에 의해 사용이 허가된 자원을 이용한 화이트리스트를 생성한다.
이 때, 화이트리스트라 함은 서버 아이피, 서버 포트, 프로토콜 및 클라이언트 아이피로 구성된 형태의 접근제어 리스트로 상호 통신이 허용된 구간에 대한 정보를 의미할 수 있다.
이 때, 화이트리스트는 네트워크 보안 장치(110)에서 자동으로 생성되기 때문에 네트워크 관리자로부터 그 내용이 적합한지 여부를 확인 받을 필요가 있다. 이 때, 화이트리스트에 포함된 아이피나 프로토콜, 서버 포트, 트래픽 통신 방향과 같은 서비스에 대해서 확인을 수행할 수 있다.
이 때, 네트워크에 등록되어 있는 제1 유형 아이피, 네트워크 관리자에 의해 허가된 제2 유형 아이피, 네트워크에 등록되어 있는 제1 유형 서비스 및 네트워크의 보안정책에 위배되지 않는 제2 유형 서비스 중 적어도 하나를 이용하여 화이트리스트를 생성할 수 있다.
즉, 이미 네트워크에서 사용이 가능하도록 등록되어 있는 제1 유형 아이피와 네트워크 관리자가 앞으로 사용이 가능하도록 허가한 제2 유형의 아이피, 그리고 이와 유사하게 이미 네트워크에서 사용이 가능하도록 등록되어 있는 제1 유형 서비스와 네트워크의 보안정책에 위배되지 않아 앞으로 사용이 가능한 제2 유형 서비스 등을 이용하여 화이트리스트를 구성할 수 있다.
이 때, 상기와 같이 화이트리스트를 생성하기 전에 먼저 제1 유형의 아이피, 제2 유형의 아이피, 제1 유형의 서비스 및 제2 유형의 서비스를 검색하여 화이트리스트를 구성할 수도 있지만, 네트워크 현황정보를 기반으로 화이트리스트를 먼저 생성한 뒤에 네트워크 관리자의 확인 과정을 통해 가능한 리스트들만을 남기는 방법으로 화이트리스트를 확정할 수도 있다.
예를 들어, 생성한 화이트리스트에서 이미 네트워크에 등록된 제1 유형의 아이피와 제1 유형의 서비스를 통해 구성된 리스트는 제외하고 나머지 리스트만을 네트워크 관리자에게 제공한 뒤, 나머지 리스트에서 네트워크 사용자가 허가한 리스트를 최종적으로 화이트리스트에 포함시켜 사용하도록 할 수 있다.
이 때, 네트워크 현황정보에 포함된 복수개의 클라이언트 아이피들 중 제1 유형 아이피를 검색하고, 제1 유형 아이피를 제외한 나머지 아이피들 중 제2 유형 아이피를 검색할 수 있다.
이 때, 제1 유형 아이피를 제외한 나머지 아이피들을 네트워크 관리자에게 제공하고, 네트워크 관리자가 선택하는 아이피를 제2 유형 아이피로 검색할 수 있다. 이 때, 네트워크 관리자는 자신이 관리하는 자산 목록과 비교하여 등록해도 되는 아이피를 선택할 수 있다.
이 때, 네트워크 현황정보에 포함된 복수개의 서비스들 중 제1 유형 서비스를 검색하고, 제1 유형 서비스를 제외한 나머지 서비스들 중 제2 유형 서비스를 검색할 수 있다.
이 때, 제2 유형 아이피를 검색할 때와 유사하게, 제1 유형 서비스를 제외한 나머지 서비스들을 네트워크 관리자에게 제공하고, 네트워크 관리자가 선택하는 서비스를 제2 유형 서비스로 검색할 수 있다. 이 때, 네트워크 관리자는 네트워크에 상응하는 시스템 및 프로그램의 제조사로부터 서비스 정보를 제공 받고, 보안정책에서 금지된 서비스 리스트를 기반으로 사용해도 되는 서비스를 선택할 수 있다.
이와 같은 방법을 통해 화이트리스트에 포함되는 모든 정보들을 빠짐없이 확인할 수 있다.
알람 발생부(340)는 화이트리스트에 위배되는 트래픽이 발생한 경우에 네트워크 관리자에게 알람을 발생한다.
이 때, 화이트리스트에 포함된 복수개의 통신 규칙들 중 어느 하나의 통신 규칙에 의한 알람이 기설정된 기준 횟수 이상 반복적으로 발생하는 경우에 어느 하나의 통신 규칙을 블라인드 리스트에 추가하여 동일한 트래픽에 의한 알람이 생략되도록 제어할 수 있다. 이와 같이 동일한 트래픽에 의한 알람을 생략함으로써 네트워크 관리자가 중요성 높은 알람에 더 집중할 수 있도록 하여 효과적으로 네트워크 보안을 수행할 수 있다.
또한, 네트워크 관리자로 하여금 동일하지 않고 새로운 종류의 알람을 보다 쉽게 파악하게 함으로써 그에 대한 대응을 신속하게 하는 효과가 있을 수 있다.
이 때, 복수개의 통신 규칙들 중 적어도 하나의 통신 규칙이 블라인드 리스트에 추가되는 경우에 블라인드 리스트에 의해 생략되는 알람에 상응하는 알람 로그를 기록할 수 있다. 즉, 블라인드 리스트에 의해 네트워크 관리자에게 제공되는 알람은 생략된다 해도 실제로 알람은 발생한 것이기 때문에 이에 대한 정보를 기록하여 현재 실시간으로 알람이 계속 발생하고 있는지에 대한 정보를 제공할 수 있다.
이 때, 알람 로그를 기반으로 적어도 하나의 통신 규칙 중 기설정된 알람 발생 기간 동안 사용되지 않은 통신 규칙을 블라인드 리스트 삭제 후보로 추출하여 네트워크 관리자에게 제공할 수 있다.
이 때, 블라인드 리스트를 사용함으로써 실시간으로 알람을 확인하는 관리자가 알람에 대한 대응을 수행하는 처리자에게 신속하게 알람 발생 정보를 전달할 수 있다.
만약, 알람의 특성 별로 그 정보를 전달할 처리자들이 정해져 있다면, 알람을 감시하는 관리자나 감시요원은 보고를 마친 알람들 이외에 자신이 신속히 보고해야 하는 알람들을 확인할 수 있어야 한다. 이 때, 블라인드 리스트를 이용하면 감시요원은 보고를 마친 알람의 특성을 블라인드에 추가하면서 현재 자신이 보고해야 하는 알람들에 집중할 수 있다.
또한, 블라인드 리스트에 의해 실시간 알람이 모두 사라지는 걸 확인하면, 감시요원은 우선 본인이 현재 보고해야 할 알람이 없는 것을 확신할 수 있어 다른 필요작업을 수행할 수 있게 된다. 이는 보안관제 시스템 등을 이용한 관제작업의 효율성을 높이는데 도움이 될 수 있다.
또한, 네트워크를 악의적인 목적으로 공격하기 위한 공격자는 치명적인 공격을 감추기 위해 DDoS 등의 방법으로 다수의 공격을 수행할 수 있다. 즉, 다수의 공격에 의한 알람으로 치명적인 공격에 대한 알람을 숨기는 경우가 많다. 이러한 경우 피해의 치명성이나 공격 대상 시스템의 중요도를 기반으로 블라인드 리스트가 비교적 덜 중요한 특성의 알람들을 생략함으로써 치명적 피해를 입힐 수 있는 알람을 효과적으로 확인할 수 있다.
이 때, 블라인드 리스트의 효과를 낼 수 있도록 화이트리스트를 직접 편집하면서 사용할 수도 있겠으나, 만약 편집과정에서 발생하는 알람에 대해 네트워크 보안 장치가 일시적으로 알람이 아니라고 판단하게 된다면, 추후 알람들에 대한 로그를 분석함에 있어 큰 오류를 발생시킬 수도 있다.
또한, 화이트리스트는 네트워크 보안에 있어 매우 중요한 정보이므로, 권한이 낮은 사용자는 화이트리스트를 편집할 수 있는 권한이 없다. 그러나, 권한이 낮은 관리자가 실시간으로 네트워크를 감시하는 경우에 사전에 파악된 알람이나, 신규 도입된 장비에 의해 추후 화이트리스트에 추가해야 할 정보들로 인한 알람이 계속 발생한다면, 그 중요성이 낮거나 불필요하다고 판단되는 알람을 생략할 수 있도록 하는 별도의 기능이 필요하다.
따라서, 화이트리스트와 구분되는 별도의 블라인드 리스트를 생성하여 이러한 기능을 충족할 수 있다.
네트워크 보안부(350)는 네트워크 관리자로부터 트래픽에 대한 차단 요청이 수신된 경우에 네트워크 스위치를 통해 트래픽의 접근을 차단한다.
삭제 리스트 추천부(360)는 화이트리스트에 포함된 복수개의 통신 규칙들 중 기설정된 사용 기간 동안 한번도 사용되지 않은 통신 규칙을 화이트리스트 삭제 후보로 추출하여 네트워크 관리자에게 추천한다.
예를 들어, 기설정된 사용 기간이 n분이라고 가정한다면, 화이트리스트를 기반으로 네트워크 보안을 시작하고 n분 동안 화이트리스트에 포함된 통신 규칙 A를 한번도 사용한 기록이 없다면, 통신 규칙 A를 화이트리스트 삭제 후보로 추출하여 네트워크 관리자에게 추천할 수 있다.
이 때, 통신 규칙은 서버 아이피, 서버 포트, 프로토콜, 클라이언트 아이피 및 트래픽 통신 방향 중 적어도 하나를 기반으로 구성될 수 있다.
추가 리스트 추천부(370)는 알람이 발생한 트래픽에 상응하게 기록된 트래픽 로그를 기반으로 화이트리스트에 추가할 화이트리스트 추가 후보를 추출하여 네트워크 관리자에게 추천한다.
이 때, 트래픽 로그를 분석한 결과, 기등록된 아이피나 서비스들로만 이루어진 접근 관계, 등록되지 얼마 되지 않은 아이피에 의한 통신, 신뢰성이 확보된 아이피에서의 통신 및 내부 네트워크에서 사용이 허가된 서비스를 이용한 통신 중 적어도 하나의 경우에 화이트리스트 추가 후보로 추출할 수 있다.
화이트리스트 보정부(380)는 네트워크 관리자의 승인을 기반으로 화이트리스트 삭제 후보 및 화이트리스트 추가 후보 중 적어도 하나를 보정 대기 상태로 전환하고, 최종 보안 담당자의 승인을 기반으로 삭제 및 추가 중 적어도 하나에 상응하는 보정을 실행한다.
이 때, 최종 보안 담당자는 실제로 화이트리스트를 변경하여 적용할 수 있는 권한을 가진 사람을 의미할 수 있다. 예를 들어, 네트워크 담당자는 네트워크 보안 장치가 추천해주는 보정 정보들 중 수행해도 좋을 정보들을 선별하여 보정 대기 상태로 전환할 수 있고, 최종 보안 담당자는 보정 대기 상태에 있는 정보들을 확인하여 실제로 화이트리스트에 적용할 것인지에 대한 승인을 수행할 수 있다.
이와 같은 과정을 통해, 최종 보안 담당자의 권한을 가진 일부의 사람이 항상 화이트리스트를 감시하지 않아도 권한이 낮은 다수의 네트워크 관리자들을 통해 네트워크에서 발생하는 정보에 신속하게 대응할 수 있다. 또한, 네트워크에서 발생하는 정보들을 이중으로 확인하여 처리할 수 있기 때문에 처리 과정에서 발생할 수 있는 실수를 최소화하는 것이 가능할 수 있다.
저장부(390)는 상술한 바와 같이 본 발명의 일실시예에 따른 네트워크 보안 과정에서 발생되는 다양한 정보를 저장한다.
실시예에 따라, 저장부(390)는 네트워크 보안 장치와 독립적으로 구성되어 네트워크 보안을 위한 기능을 지원할 수 있다. 이 때, 저장부(390)는 별도의 대용량 스토리지로 동작할 수 있고, 동작 수행을 위한 제어 기능을 포함할 수 있다.
한편, 네트워크 보안 장치(110)는 메모리가 탑재되어 그 장치 내에서 정보를 저장할 수 있다. 일 구현예의 경우, 메모리는 컴퓨터로 판독 가능한 매체이다. 일 구현 예에서, 메모리는 휘발성 메모리 유닛일 수 있으며, 다른 구현예의 경우, 메모리는 비휘발성 메모리 유닛일 수도 있다. 일 구현예의 경우, 저장장치는 컴퓨터로 판독 가능한 매체이다. 다양한 서로 다른 구현 예에서, 저장장치는 예컨대 하드디스크 장치, 광학디스크 장치, 혹은 어떤 다른 대용량 저장장치를 포함할 수도 있다.
이와 같은 네트워크 보안 장치를 이용함으로써 네트워크에 접근 가능한 화이트리스트를 정의하고, 이를 기반으로 네트워크 트래픽을 감시 및 차단할 수 있다.
또한, 반복적인 트래픽에 의한 알람을 생략함으로써 네트워크 관리자가 중요한 알람에 집중할 수 있는 네트워크 관리 환경을 제공할 수 있으며, 대시보드를 통해 네트워크 보안 상황을 한눈에 확인할 수 있도록 제공함으로써 네트워크 관리자가 효과적으로 네트워크 보안을 수행할 수도 있다.
도 4는 도 3에 도시된 화이트리스트 생성부의 일 예를 나타낸 블록도이다.
도 4를 참조하면, 도 3에 도시된 화이트리스트 생성부(330)는 아이피 검색부(410) 및 서비스 검색부(420)를 포함한다.
아이피 검색부(410)는 네트워크 현황정보에 포함된 복수개의 클라이언트 아이피들 중 제1 유형 아이피를 검색하고, 제1 유형 아이피를 제외한 나머지 아이피들 중 제2 유형 아이피를 검색한다.
이 때, 제1 유형 아이피를 제외한 나머지 아이피들을 네트워크 관리자에게 제공하고, 네트워크 관리자가 선택하는 아이피를 제2 유형 아이피로 검색할 수 있다. 이 때, 네트워크 관리자는 자신이 관리하는 자산 목록과 비교하여 등록해도 되는 아이피를 선택할 수 있다.
서비스 검색부(420)는 네트워크 현황정보에 포함된 복수개의 서비스들 중 제1 유형 서비스를 검색하고, 제1 유형 서비스를 제외한 나머지 서비스들 중 제2 유형 서비스를 검색한다.
이 때, 제2 유형 아이피를 검색할 때와 유사하게, 제1 유형 서비스를 제외한 나머지 서비스들을 네트워크 관리자에게 제공하고, 네트워크 관리자가 선택하는 서비스를 제2 유형 서비스로 검색할 수 있다. 이 때, 네트워크 관리자는 네트워크에 상응하는 시스템 및 프로그램의 제조사로부터 서비스 정보를 제공 받고, 보안정책에서 금지된 서비스 리스트를 기반으로 사용해도 되는 서비스를 선택할 수 있다.
이와 같은 방법을 통해 화이트리스트에 포함되는 모든 정보들을 빠짐없이 확인할 수 있다.
도 5는 도 3에 도시된 알람 발생부의 일 예를 나타낸 블록도이다.
도 5를 참조하면, 도 3에 도시된 알람 발생부(340)는 알람 제어부(510), 알람 기록부(520) 및 블라인드 리스트 관리부(530)를 포함한다.
알람 제어부(510)는 이 때, 화이트리스트에 포함된 복수개의 통신 규칙들 중 어느 하나의 통신 규칙에 의한 알람이 기설정된 기준 횟수 이상 반복적으로 발생하는 경우에 어느 하나의 통신 규칙을 블라인드 리스트에 추가하여 동일한 트래픽에 의한 알람이 생략되도록 제어한다. 이와 같이 동일한 트래픽에 의한 알람을 생략함으로써 네트워크 관리자가 중요성 높은 알람에 더 집중할 수 있도록 하여 효과적으로 네트워크 보안을 수행할 수 있다.
또한, 네트워크 관리자로 하여금 동일하지 않고 새로운 종류의 알람을 보다 쉽게 파악하게 함으로써 그에 대한 대응을 신속하게 하는 효과가 있을 수 있다.
알람 기록부(520)는 복수개의 통신 규칙들 중 적어도 하나의 통신 규칙이 블라인드 리스트에 추가되는 경우에 블라인드 리스트에 의해 생략되는 알람에 상응하는 알람 로그를 기록한다. 즉, 블라인드 리스트에 의해 네트워크 관리자에게 제공되는 알람은 생략된다 해도 실제로 알람은 발생한 것이기 때문에 이에 대한 정보를 기록하여 현재 실시간으로 알람이 계속 발생하고 있는지에 대한 정보를 제공할 수 있다.
블라인드 리스트 관리부(530)는 알람 로그를 기반으로 적어도 하나의 통신 규칙 중 기설정된 알람 발생 기간 동안 사용되지 않은 통신 규칙을 블라인드 리스트 삭제 후보로 추출하여 네트워크 관리자에게 제공한다.
이 때, 블라인드 리스트를 사용함으로써 실시간으로 알람을 확인하는 관리자가 알람에 대한 대응을 수행하는 처리자에게 신속하게 알람 발생 정보를 전달할 수 있다.
만약, 알람의 특성 별로 그 정보를 전달할 처리자들이 정해져 있다면, 알람을 감시하는 관리자나 감시요원은 보고를 마친 알람들 이외에 자신이 신속히 보고해야 하는 알람들을 확인할 수 있어야 한다. 이 때, 블라인드 리스트를 이용하면 감시요원은 보고를 마친 알람의 특성을 블라인드에 추가하면서 현재 자신이 보고해야 하는 알람들에 집중할 수 있다.
또한, 블라인드 리스트에 의해 실시간 알람이 모두 사라지는 걸 확인하면, 감시요원은 우선 본인이 현재 보고해야 할 알람이 없는 것을 확신할 수 있어 다른 필요작업을 수행할 수 있게 된다. 이는 보안관제 시스템 등을 이용한 관제작업의 효율성을 높이는데 도움이 될 수 있다.
도 6은 본 발명의 일실시예에 따른 블라인드 리스트를 사용한 경우의 알람 발생을 나타낸 도면이다.
도 6을 참조하면, 본 발명에 따른 블라인드 리스트를 사용하지 않은 경우의 알람 발생 현황(610)과 블라인드 리스트를 사용한 경우의 알람 발생 현황(620)을 비교하여 확인할 수 있다.
먼저 블라인드 리스트를 사용하지 않은 경우의 알람 발생 현황(610)을 살펴보면, "A에서 B로 접근시도"라는 알람(611, 612, 613, 614, 615, 617, 618)이 다수 발생하기 때문에 중간중간에 섞여서 발생하는 "B에서 C로 접근시도"라는 알람(616)과 "C에서 A로 접근시도"라는 알람(619)를 쉽게 인지하기 어려울 수 있다. 이로 인해 관련된 담당자에게도 알람 정보가 전달되지 않아 알람에 적절히 대응하지 못할 수 있다.
이러한 경우를 대비하여 블라인드 리스트에 "A에서 B로 접근시도"에 상응하는 통신 규칙을 포함시키면, 블라인드 리스트를 사용한 경우의 알람 발생 현황(620)과 같이 쉽게 알람의 정보를 파악할 수 있다.
이 때, 생략된 알람에 대한 정보는 별도의 알람 로그로 기록되어 네트워크 관리자라 알람의 실시간 발생 정보를 확인할 수 있도록 할 수 있다.
도 7은 본 발명의 일실시예에 따른 화이트리스트의 보정 승인 절차를 나타낸 도면이다.
도 7을 참조하면, 본 발명의 일실시예에 따른 화이트리스트의 보정 승인 절차는 먼저 네트워크 보안 장치(710)가 화이트리스트 삭제 후보나 화이트리스트 추가 후보 등을 추천할 수 있다.
이 때, 일반담당자 권한을 갖는 네트워크 관리자가 추천정보를 확인하고, 추천된 정보가 적절하다고 판단되는 경우에는 추천 정보를 승인하여 적용 대기 또는 보정 대기 상태로 전환할 수 있다.
이 후, 보안담당자 권한을 갖는 최종 보안 담당자가 적용대기 또는 보정 대기 상태로 올려진 추천 정보를 확인하고, 추천된 정보가 적절하다고 판단된 경우에 최종 적인 승인 과정을 거쳐 화이트리스트를 보정할 수 있다.
이 후, 보정된 화이트리스트를 네트워크 스위치(720)의 보안을 수행할 수 있다.
이와 같은 보정 승인 절차를 통해 화이트리스트를 보정함으로써 화이트리스트가 악의적으로 수정되거나 보정되는 것을 방지할 수 있으며, 또한 보정 과정에서 관리자들의 실수에 의해 발생할 수 있는 피해를 최소화 시킬 수도 있다.
도 8은 본 발명에 따른 네트워크 보안 장치를 통해 복수의 네트워크 스위치들의 화이트리스트를 통합 관리하는 일 예를 나타낸 도면이다.
도 8을 참조하면, 본 발명의 일실시예에 따른 네트워크 보안 장치(810)가 복수의 네트워크 스위치들에 각각 적용된 화이트리스트의 정보들을 합쳐서 하나의 화이트리스트(811)로 관리할 수 있다. 이와 같이 화이트리스트(811)를 관리할 경우, 방화벽 규칙과 유사한 형태를 가질 수 있다.
이 때, 각각의 네트워크 스위치(820, 830)에서 실제로 사용할 화이트리스트의 내용은 각각의 네트워크 스위치(820, 830)에 연결된 단말(IP, MAC)들이 무엇인가에 따라 결정될 수 있다.
도 8을 참조하면, 네트워크 스위치(820) 1은 자산#1이 연결된 것을 확인하고, 네트워크 보안 장치(810)가 관리하는 화이트리스트(811)에서 자산#1이 네트워크 스위치(820) 1로 전송하는 트래픽에 대한 화이트리스트 정보를 획득하여 적용할 수 있다.
또한, 네트워크 스위치(830) 2는 네트워크 보안 장치(810)가 관리하는 화이트리스트(811)에서 자산#2가 네트워크 스위치(830) 2로 전송하는 트래픽에 대한 화이트리스트 정보를 획득하여 적용할 수 있다.
이 때, 자산#1을 네트워크 스위치(830) 2로 옮겨서 연결한다고 가정할 수 있다. 이 때, 네트워크 보안 장치(810)는 자산#1에 의해 네트워크 스위치 1에서 사용된 화이트리스트(821)의 정보를 알고 있다. 따라서, 네트워크 관리자에 의한 추가작업 없이, 자동으로 네트워크 스위치(830) 2로 네트워크 스위치 1에서 사용된 화이트리스트(821)의 정보를 옮겨 줄 수 있다.
상기에서 설명한 방법을 실제로 적용하는 방법은 먼저, 네트워크 보안 장치(810)가 화이트리스트(811)를 보관하고 있고, 각각의 네트워크 스위치(820, 830)는 자신에게 연결된 단말정보를 네트워크 보안 장치(810)에게 전송한다. 이 후, 네트워크 보안 장치(810)는 단말정보를 기반으로 각각의 네트워크 스위치(820, 830)에 맞는 화이트리스트의 정보를 전송할 수 있다. 이러한 방식은 각각의 네트워크 스위치(820, 830)마다 최소한의 화이트리스트 정보를 가지게 되므로, 개별 네트워크 스위치 해킹 및 물리적 도단 등에 대해 비교적으로 안전할 수 있다.
또는, 네트워크 보안 장치(810)가 화이트리스트(811)를 보관하면서 모든 네트워크 스위치(820, 830)에게 화이트리스트(811)의 정보 전체를 전송하여 동기화할 수 있다. 이 때, 각각의 네트워크 스위치(820, 830)는 화이트리스트(811)를 별도의 저장장소에 보관하면서 자신에게 연결된 단말정보를 기반으로 실제 이용할 화이트리스트 정보를 추출하여 사용할 수 있다. 이러한 방식은 네트워크 보안 장치(810)와 네트워크 스위치 간의 통신상태가 불안한 경우 또는 자산들의 이동이 빈번한 환경에 적합할 수 있다.
도 9는 본 발명의 일실시예에 따른 화이트리스트 기반의 네트워크 보안 방법을 나타낸 동작 흐름도이다.
도 9를 참조하면, 본 발명의 일실시예에 따른 화이트리스트 기반의 네트워크 보안 방법은 네트워크 스위치를 기반으로 네트워크 상에서 발생하는 복수개의 트래픽들에 상응하는 네트워크 현황정보를 수집한다(S910).
이 때, 사전에 일정기간을 설정해두고, 설정된 기간 동안 네트워크 스위치를 이용하여 네트워크 상에서 발생하는 트래픽 정보 및 네트워크 스위치의 상태 정보 등을 네트워크 현황정보로 수집할 수 있다.
이 때, 수집된 네트워크 현황정보는 네트워크 보안 장치에서 관리하면서, 네트워크 관리자가 원하는 경우에 열람을 할 수 있도록 제공할 수 있다.
또한, 본 발명의 일실시예에 따른 화이트리스트 기반의 네트워크 보안 방법은 네트워크 현황정보를 기반으로 네트워크 관리자에 의해 사용이 허가된 자원을 이용한 화이트리스트를 생성한다(S920).
이 때, 화이트리스트라 함은 서버 아이피, 서버 포트, 프로토콜 및 클라이언트 아이피로 구성된 형태의 접근제어 리스트로 상호 통신이 허용된 구간에 대한 정보를 의미할 수 있다.
이 때, 화이트리스트는 네트워크 보안 장치(110)에서 자동으로 생성되기 때문에 네트워크 관리자로부터 그 내용이 적합한지 여부를 확인 받을 필요가 있다. 이 때, 화이트리스트에 포함된 아이피나 프로토콜, 서버 포트, 트래픽 통신 방향과 같은 서비스에 대해서 확인을 수행할 수 있다.
이 때, 네트워크에 등록되어 있는 제1 유형 아이피, 네트워크 관리자에 의해 허가된 제2 유형 아이피, 네트워크에 등록되어 있는 제1 유형 서비스 및 네트워크의 보안정책에 위배되지 않는 제2 유형 서비스 중 적어도 하나를 이용하여 화이트리스트를 생성할 수 있다.
즉, 이미 네트워크에서 사용이 가능하도록 등록되어 있는 제1 유형 아이피와 네트워크 관리자가 앞으로 사용이 가능하도록 허가한 제2 유형의 아이피, 그리고 이와 유사하게 이미 네트워크에서 사용이 가능하도록 등록되어 있는 제1 유형 서비스와 네트워크의 보안정책에 위배되지 않아 앞으로 사용이 가능한 제2 유형 서비스 등을 이용하여 화이트리스트를 구성할 수 있다.
이 때, 상기와 같이 화이트리스트를 생성하기 전에 먼저 제1 유형의 아이피, 제2 유형의 아이피, 제1 유형의 서비스 및 제2 유형의 서비스를 검색하여 화이트리스트를 구성할 수도 있지만, 네트워크 현황정보를 기반으로 화이트리스트를 먼저 생성한 뒤에 네트워크 관리자의 확인 과정을 통해 가능한 리스트들만을 남기는 방법으로 화이트리스트를 확정할 수도 있다.
예를 들어, 생성한 화이트리스트에서 이미 네트워크에 등록된 제1 유형의 아이피와 제1 유형의 서비스를 통해 구성된 리스트는 제외하고 나머지 리스트만을 네트워크 관리자에게 제공한 뒤, 나머지 리스트에서 네트워크 사용자가 허가한 리스트를 최종적으로 화이트리스트에 포함시켜 사용하도록 할 수 있다.
이 때, 네트워크 현황정보에 포함된 복수개의 클라이언트 아이피들 중 제1 유형 아이피를 검색하고, 제1 유형 아이피를 제외한 나머지 아이피들 중 제2 유형 아이피를 검색할 수 있다.
이 때, 제1 유형 아이피를 제외한 나머지 아이피들을 네트워크 관리자에게 제공하고, 네트워크 관리자가 선택하는 아이피를 제2 유형 아이피로 검색할 수 있다. 이 때, 네트워크 관리자는 자신이 관리하는 자산 목록과 비교하여 등록해도 되는 아이피를 선택할 수 있다.
이 때, 네트워크 현황정보에 포함된 복수개의 서비스들 중 제1 유형 서비스를 검색하고, 제1 유형 서비스를 제외한 나머지 서비스들 중 제2 유형 서비스를 검색할 수 있다.
이 때, 제2 유형 아이피를 검색할 때와 유사하게, 제1 유형 서비스를 제외한 나머지 서비스들을 네트워크 관리자에게 제공하고, 네트워크 관리자가 선택하는 서비스를 제2 유형 서비스로 검색할 수 있다. 이 때, 네트워크 관리자는 네트워크에 상응하는 시스템 및 프로그램의 제조사로부터 서비스 정보를 제공 받고, 보안정책에서 금지된 서비스 리스트를 기반으로 사용해도 되는 서비스를 선택할 수 있다.
이와 같은 방법을 통해 화이트리스트에 포함되는 모든 정보들을 빠짐없이 확인할 수 있다.
또한, 본 발명의 일실시예에 따른 화이트리스트 기반의 네트워크 보안 방법은 화이트리스트에 위배되는 트래픽이 발생한 경우에 네트워크 관리자에게 알람을 발생한다(S930).
이 때, 화이트리스트에 포함된 복수개의 통신 규칙들 중 어느 하나의 통신 규칙에 의한 알람이 기설정된 기준 횟수 이상 반복적으로 발생하는 경우에 어느 하나의 통신 규칙을 블라인드 리스트에 추가하여 동일한 트래픽에 의한 알람이 생략되도록 제어할 수 있다. 이와 같이 동일한 트래픽에 의한 알람을 생략함으로써 네트워크 관리자가 중요성 높은 알람에 더 집중할 수 있도록 하여 효과적으로 네트워크 보안을 수행할 수 있다.
또한, 네트워크 관리자로 하여금 동일하지 않고 새로운 종류의 알람을 보다 쉽게 파악하게 함으로써 그에 대한 대응을 신속하게 하는 효과가 있을 수 있다.
이 때, 복수개의 통신 규칙들 중 적어도 하나의 통신 규칙이 블라인드 리스트에 추가되는 경우에 블라인드 리스트에 의해 생략되는 알람에 상응하는 알람 로그를 기록할 수 있다. 즉, 블라인드 리스트에 의해 네트워크 관리자에게 제공되는 알람은 생략된다 해도 실제로 알람은 발생한 것이기 때문에 이에 대한 정보를 기록하여 현재 실시간으로 알람이 계속 발생하고 있는지에 대한 정보를 제공할 수 있다.
이 때, 알람 로그를 기반으로 적어도 하나의 통신 규칙 중 기설정된 알람 발생 기간 동안 사용되지 않은 통신 규칙을 블라인드 리스트 삭제 후보로 추출하여 네트워크 관리자에게 제공할 수 있다.
이 때, 블라인드 리스트를 사용함으로써 실시간으로 알람을 확인하는 관리자가 알람에 대한 대응을 수행하는 처리자에게 신속하게 알람 발생 정보를 전달할 수 있다.
만약, 알람의 특성 별로 그 정보를 전달할 처리자들이 정해져 있다면, 알람을 감시하는 관리자나 감시요원은 보고를 마친 알람들 이외에 자신이 신속히 보고해야 하는 알람들을 확인할 수 있어야 한다. 이 때, 블라인드 리스트를 이용하면 감시요원은 보고를 마친 알람의 특성을 블라인드에 추가하면서 현재 자신이 보고해야 하는 알람들에 집중할 수 있다.
또한, 블라인드 리스트에 의해 실시간 알람이 모두 사라지는 걸 확인하면, 감시요원은 우선 본인이 현재 보고해야 할 알람이 없는 것을 확신할 수 있어 다른 필요작업을 수행할 수 있게 된다. 이는 보안관제 시스템 등을 이용한 관제작업의 효율성을 높이는데 도움이 될 수 있다.
또한, 네트워크를 악의적인 목적으로 공격하기 위한 공격자는 치명적인 공격을 감추기 위해 DDoS 등의 방법으로 다수의 공격을 수행할 수 있다. 즉, 다수의 공격에 의한 알람으로 치명적인 공격에 대한 알람을 숨기는 경우가 많다. 이러한 경우 피해의 치명성이나 공격 대상 시스템의 중요도를 기반으로 블라인드 리스트가 비교적 덜 중요한 특성의 알람들을 생략함으로써 치명적 피해를 입힐 수 있는 알람을 효과적으로 확인할 수 있다.
이 때, 블라인드 리스트의 효과를 낼 수 있도록 화이트리스트를 직접 편집하면서 사용할 수도 있겠으나, 만약 편집과정에서 발생하는 알람에 대해 네트워크 보안 장치가 일시적으로 알람이 아니라고 판단하게 된다면, 추후 알람들에 대한 로그를 분석함에 있어 큰 오류를 발생시킬 수도 있다.
또한, 화이트리스트는 네트워크 보안에 있어 매우 중요한 정보이므로, 권한이 낮은 사용자는 화이트리스트를 편집할 수 있는 권한이 없다. 그러나, 권한이 낮은 관리자가 실시간으로 네트워크를 감시하는 경우에 사전에 파악된 알람이나, 신규 도입된 장비에 의해 추후 화이트리스트에 추가해야 할 정보들로 인한 알람이 계속 발생한다면, 그 중요성이 낮거나 불필요하다고 판단되는 알람을 생략할 수 있도록 하는 별도의 기능이 필요하다.
따라서, 화이트리스트와 구분되는 별도의 블라인드 리스트를 생성하여 이러한 기능을 충족할 수 있다.
또한, 본 발명의 일실시예에 따른 화이트리스트 기반의 네트워크 보안 방법은 네트워크 관리자로부터 트래픽에 대한 차단 요청이 수신된 경우에 네트워크 스위치를 통해 트래픽의 접근을 차단한다(S940).
또한, 도 9에는 도시하지 아니하였으나, 본 발명의 일실시예에 따른 화이트리스트 기반의 네트워크 보안 방법은 화이트리스트에 포함된 복수개의 통신 규칙들 중 기설정된 사용 기간 동안 한번도 사용되지 않은 통신 규칙을 화이트리스트 삭제 후보로 추출하여 네트워크 관리자에게 추천한다.
예를 들어, 기설정된 사용 기간이 n분이라고 가정한다면, 화이트리스트를 기반으로 네트워크 보안을 시작하고 n분 동안 화이트리스트에 포함된 통신 규칙 A를 한번도 사용한 기록이 없다면, 통신 규칙 A를 화이트리스트 삭제 후보로 추출하여 네트워크 관리자에게 추천할 수 있다.
이 때, 통신 규칙은 서버 아이피, 서버 포트, 프로토콜, 클라이언트 아이피 및 트래픽 통신 방향 중 적어도 하나를 기반으로 구성될 수 있다.
또한, 도 9에는 도시하지 아니하였으나, 본 발명의 일실시예에 따른 화이트리스트 기반의 네트워크 보안 방법은 알람이 발생한 트래픽에 상응하게 기록된 트래픽 로그를 기반으로 화이트리스트에 추가할 화이트리스트 추가 후보를 추출하여 네트워크 관리자에게 추천한다.
이 때, 트래픽 로그를 분석한 결과, 기등록된 아이피나 서비스들로만 이루어진 접근 관계, 등록되지 얼마 되지 않은 아이피에 의한 통신, 신뢰성이 확보된 아이피에서의 통신 및 내부 네트워크에서 사용이 허가된 서비스를 이용한 통신 중 적어도 하나의 경우에 화이트리스트 추가 후보로 추출할 수 있다.
또한, 도 9에는 도시하지 아니하였으나, 본 발명의 일실시예에 따른 화이트리스트 기반의 네트워크 보안 방법은 네트워크 관리자의 승인을 기반으로 화이트리스트 삭제 후보 및 화이트리스트 추가 후보 중 적어도 하나를 보정 대기 상태로 전환하고, 최종 보안 담당자의 승인을 기반으로 삭제 및 추가 중 적어도 하나에 상응하는 보정을 실행한다.
이 때, 최종 보안 담당자는 실제로 화이트리스트를 변경하여 적용할 수 있는 권한을 가진 사람을 의미할 수 있다. 예를 들어, 네트워크 담당자는 네트워크 보안 장치가 추천해주는 보정 정보들 중 수행해도 좋을 정보들을 선별하여 보정 대기 상태로 전환할 수 있고, 최종 보안 담당자는 보정 대기 상태에 있는 정보들을 확인하여 실제로 화이트리스트에 적용할 것인지에 대한 승인을 수행할 수 있다.
이와 같은 과정을 통해, 최종 보안 담당자의 권한을 가진 일부의 사람이 항상 화이트리스트를 감시하지 않아도 권한이 낮은 다수의 네트워크 관리자들을 통해 네트워크에서 발생하는 정보에 신속하게 대응할 수 있다. 또한, 네트워크에서 발생하는 정보들을 이중으로 확인하여 처리할 수 있기 때문에 처리 과정에서 발생할 수 있는 실수를 최소화하는 것이 가능할 수 있다.
또한, 도 9에는 도시하지 아니하였으나, 본 발명의 일실시예에 따른 화이트리스트 기반의 네트워크 보안 방법은 네트워크 보안을 위해 네트워크 스위치와 필요한 정보를 송수신할 수 있다. 특히, 네트워크 스위치로부터 네트워크 현황정보나 트래픽 정보 등을 수신할 수 있다.
또한, 도 9에는 도시하지 아니하였으나, 본 발명의 일실시예에 따른 화이트리스트 기반의 네트워크 보안 방법은 상술한 바와 같이 본 발명의 일실시예에 따른 네트워크 보안 과정에서 발생되는 다양한 정보를 저장한다.
이와 같은 네트워크 보안 방법을 통해 네트워크에 접근 가능한 화이트리스트를 정의하고, 이를 기반으로 네트워크 트래픽을 감시 및 차단할 수 있다.
또한, 반복적인 트래픽에 의한 알람을 생략함으로써 네트워크 관리자가 중요한 알람에 집중할 수 있는 네트워크 관리 환경을 제공할 수 있으며, 대시보드를 통해 네트워크 보안 상황을 한눈에 확인할 수 있도록 제공함으로써 네트워크 관리자가 효과적으로 네트워크 보안을 수행할 수도 있다.
도 10은 도 9에 도시된 네트워크 보안 방법 중 화이트리스트를 생성하는 과정을 상세하게 나타낸 동작 흐름도이다.
도 10을 참조하면, 도 9에 도시된 네트워크 보안 방법 중 화이트리스트를 생성하는 과정은 먼저 네트워크 현황정보에 포함된 복수개의 클라이언트 아이피들 중 제1 유형 아이피를 검색한다(S1010).
이 때, 제1 유형 아이피는 이미 네트워크에서 사용이 가능하도록 등록되어 있는 아이피에 상응할 수 있다.
이 후, 제1 유형 아이피를 제외한 나머지 아이피들 중 제2 유형 아이피를 검색한다(S1020).
이 때, 제2 유형 아이피는 네트워크 관리자가 앞으로 네트워크에서 사용이 가능하도록 허가한 아이피에 상응할 수 있다.
이 후, 네트워크 현황정보에 포함된 복수개의 서비스들 중 제1 유형 서비스를 검색한다(S1030).
이 때, 제1 유형 서비스는 이미 네트워크에서 사용이 가능하도록 등록되어 있는 서비스에 상응할 수 있다.
이 후, 제1 유형 서비스를 제외한 나머지 서비스들 중 제2 유형 서비스를 검색한다(S1040).
이 때, 제2 유형 서비스는 네트워크에 상응하는 시스템 및 프로그램의 제조사로부터 제공받은 보안정책에서 금지된 서비스 리스트를 기반으로 사용해도 되는 것으로 허가된 서비스에 상응할 수 있다.
이 후, 제1 유형 아이피, 제2 유형 아이피, 제1 유형 서비스 및 제2 유형 서비스 중 적어도 하나를 이용하여 화이트리스트를 생성한다(S1050).
도 11은 도 9에 도시된 네트워크 보안 방법 중 블라인드 리스트에 의한 알람 발생 과정을 상세하게 나타낸 동작 흐름도이다.
도 11을 참조하면, 도 9에 도시된 네트워크 보안 방법 중 블라인드 리스트에 의한 알람 발생 과정은 먼저 네트워크 스위치를 통해서 트래픽이 발생하는 것을 대기한다(S1110).
이 후, 화이트리스트에 포함된 통신 규칙에 위배되는 트래픽이 발생하는지 여부를 판단한다(S1115).
단계(S1115)의 판단결과 통신규칙에 위배되는 트래픽이 발생하지 않으면, 계속해서 트래픽이 발생하는 것을 대기할 수 있다.
또한, 단계(S1115)의 판단결과 통신규칙에 위배되는 트래픽이 발생하면, 해당 트래픽이 위배한 통신규칙이 블라인드 리스트에 포함된 통신규칙인지 여부를 판단한다(S1125).
단계(S1125)의 판단결과 블라인드 리스트에 포함된 통신규칙이면, 해당 트래픽에 대한 알람을 생략하고, 생략된 알람에 대한 알람 로그를 기록한 뒤(S1130) 트래픽 발생을 대기할 수 있다.
또한, 단계(S1125)의 판단결과 블라인드 리스트에 포함된 통신규칙이 아니면, 해당 트래픽이 위배한 통신규칙을 기준으로 해당 트래픽이 기설정된 기준횟수 이상 반복 발생한 트래픽인지 여부를 판단한다(S1135).
단계(S1135)의 판단결과 기설정된 기준횟수 이상 발생하지 않았으면, 네트워크 관리자에게 트래픽에 대한 알람을 발생한 뒤(S1140) 트래픽 발생을 대기할 수 있다.
또한, 단계(S1135)의 판단결과 기설정된 기준횟수 이상 발생하였으면, 해당 트래픽에 대한 통신규칙을 블라인드 리스트에 추가하고(S1150), 알람을 생략한 뒤 알람 로그를 기록한다(S1130).
이 후, 다시 트래픽의 발생을 대기할 수 있다.
도 12는 본 발명의 일실시예에 따라 블라인드 리스트를 관리하는 방법을 나타낸 동작 흐름도이다.
도 12를 참조하면, 본 발명의 일실시예에 따라 블라인드 리스트를 관리하는 방법은 먼저 블라인드 리스트에 포함된 적어도 하나의 통신규칙을 점검한다(S1210).
이 후, 적어도 하나의 통신규칙 중 기설정된 알람 발생 기간 동안 사용되지 않은 통신규칙이 존재하는지 여부를 판단한다(S1215).
단계(S1215)의 판단결과 기설정된 알람 발생 기간 동안 사용되지 않은 통신규칙이 존재하지 않으면, 일정시간을 대기한 뒤(S1220) 다시 블라인드 리스트를 점검할 수 있다.
또한, 단계(S1215)의 판단결과 기설정된 알람 발생 기간 동안 사용되지 않은 통신규칙이 존재하면, 해당 통신규칙을 블라인드 리스트 삭제 후보로 추출하여 네트워크 관리자에게 제공한다(S1230).
이 후, 네트워크 관리자가 제공된 블라인드 리스트 삭제 후보를 확인하고, 삭제 요청을 하면 블라인드 리스트 삭제 후보에 해당하는 통신규칙을 블라인드 리스트에서 삭제한다(S1240).
도 13은 본 발명의 일실시예에 따라 화이트리스트를 삭제하는 방법을 나타낸 동작 흐름도이다.
도 13을 참조하면, 본 발명의 일실시예에 따라 화이트리스트를 삭제하는 방법은 먼저 화이트리스트에 포함된 복수개의 통신규칙들을 점검한다(S1310).
이 후, 복수개의 통신규칙들 중 기설정된 사용기간 동안 한번도 사용되지 않은 통신규칙이 존재하는지 여부를 판단한다(S1315).
단계(S1315)의 판단결과 기설정된 사용기간 동안 한번도 사용되지 않은 통신규칙이 존재하지 않으면, 일정시간을 대기한 뒤(S1320) 다시 화이트리스트를 점검할 수 있다.
또한, 단계(S1315)의 판단결과 기설정된 사용기간 동안 한번도 사용되지 않은 통신규칙이 존재하면, 해당 통신규칙을 화이트리스트 삭제 후보로 추출하여 네트워크 관리자에게 삭제할 통신규칙으로 추천한다(S1330).
이 후, 네트워크 관리자가 제공된 화이트리스트 삭제 후보를 확인하고, 삭제 요청을 하면 화이트리스트 삭제 후보에 해당하는 통신규칙을 화이트리스트에서 삭제한다(S1340).
도 14는 본 발명의 일실시예에 따라 화이트리스트를 추가하는 방법을 나타낸 동작 흐름도이다.
도 14를 참조하면, 본 발명의 일실시예에 따라 화이트리스트를 추가하는 방법은 먼저 네트워크 보안을 수행하며 기록된 트래픽 로그들을 검색한다(S1410).
이 후, 트래픽 로그들 중 화이트리스트 추천조건에 만족하는 트래픽 로그가 존재하는지 여부를 판단한다(S1415).
예를 들어, 기등록된 아이피나 서비스들로만 이루어진 접근 관계, 등록되지 얼마 되지 않은 아이피에 의한 통신, 신뢰성이 확보된 아이피에서의 통신 및 내부 네트워크에서 사용이 허가된 서비스를 이용한 통신 중 적어도 하나의 경우에 화이트리스트 추천 조건에 만족하는 것으로 판단할 수 있다.
단계(S1415)의 판단결과 화이트리스트 추천조건에 만족하는 트래픽 로그가 존재하지 않으면, 일정시간을 대기한 뒤(S1420) 다시 트래픽 로그들을 검색할 수 있다.
또한, 단계(S1415)의 판단결과 화이트리스트 추천조건에 만족하는 트래픽 로그가 존재하면, 해당 트래픽 로그에 상응하는 통신규칙을 화이트리스트 추가 후보로 추출하여 네트워크 관리자에게 추천한다(S1430).
이 후, 네트워크 관리자가 화이트리스트 추가 후보를 확인하고, 추가 요청 시 해당 통신 규칙을 화이트리스트에 추가한다(S1440).
도 15는 본 발명의 일실시예에 따라 삭제 및 추가 중 적어도 하나에 상응하게 화이트리스트를 보정하는 과정을 나타낸 동작 흐름도이다.
도 15를 참조하면, 본 발명의 일실시예에 따라 삭제 및 추가 중 적어도 하나에 상응하게 화이트리스트를 보정하는 과정은 먼저 네트워크 보안 장치가 네트워크 관리자에게 화이트리스트 삭제 후보 및 화이트리스트 추가 후보 중 적어도 하나를 추천한다(S1510).
이 후, 네트워크 관리자가 추천된 후보들에 대한 보정을 승인하여, 화이트리스트 삭제 후보 및 화이트리스트 추가 후보 중 적어도 하나를 보정 대기 상태로 전환한다(S1520).
이 후, 최종 보안 담당자가 보정 대기 상태로 올라온 적어도 하나의 후보를 점검하고 실제로 보정을 수행하기 위한 승인을 수행한다(S1530).
이 후, 네트워크 보안 장치가 화이트리스트에서 화이트리스트 삭제 후보의 삭제 및 화이트리스트에서 화이트리스트 추가 후보의 추가 중 적어도 하나에 상응하는 보정을 수행한다(S1540)
이상에서와 같이 본 발명에 따른 화이트리스트 기반의 네트워크 보안 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
110, 710, 810: 네트워크 보안 장치
120-1~ 120-N, 720, 820, 830: 네트워크 스위치
130-1, 130-2: 단말 140: 네트워크 관리자
310: 통신부 320: 네트워크 수집부
330: 화이트리스트 생성부 340: 알람 발생부
350: 네트워크 보안부 360: 삭제 리스트 추천부
370: 추가 리스트 추천부 380: 화이트리스트 보정부
390: 저장부 410: 아이피 검색부
420: 서비스 검색부 510: 알람 제어부
520: 알람 기록부 530: 블라인드리스트 관리부
610: 블라인드리스트를 사용하지 않은 경우의 알람 발생 현황
611~ 619, 621~ 623: 알람
620: 블라인드리스트를 사용한 경우의 알람 발생 현황
811: 화이트리스트
821: 네트워크 스위치 1에서 사용된 화이트리스트
831: 네트워크 스위치 2에서 사용된 화이트리스트
120-1~ 120-N, 720, 820, 830: 네트워크 스위치
130-1, 130-2: 단말 140: 네트워크 관리자
310: 통신부 320: 네트워크 수집부
330: 화이트리스트 생성부 340: 알람 발생부
350: 네트워크 보안부 360: 삭제 리스트 추천부
370: 추가 리스트 추천부 380: 화이트리스트 보정부
390: 저장부 410: 아이피 검색부
420: 서비스 검색부 510: 알람 제어부
520: 알람 기록부 530: 블라인드리스트 관리부
610: 블라인드리스트를 사용하지 않은 경우의 알람 발생 현황
611~ 619, 621~ 623: 알람
620: 블라인드리스트를 사용한 경우의 알람 발생 현황
811: 화이트리스트
821: 네트워크 스위치 1에서 사용된 화이트리스트
831: 네트워크 스위치 2에서 사용된 화이트리스트
Claims (18)
- 네트워크 스위치를 기반으로 네트워크 상에서 발생하는 복수개의 트래픽들에 상응하는 네트워크 현황정보를 수집하는 네트워크 수집부;
상기 네트워크 현황정보를 기반으로 네트워크 관리자에 의해 사용이 허가된 자원을 이용한 화이트리스트를 생성하는 화이트리스트 생성부;
상기 화이트리스트에 위배되는 트래픽이 발생한 경우에 상기 네트워크 관리자에게 알람을 발생하는 알람 발생부; 및
상기 네트워크 관리자로부터 상기 트래픽에 대한 차단 요청이 수신된 경우에 상기 네트워크 스위치를 통해 상기 트래픽의 접근을 차단하는 네트워크 보안부
를 포함하고,
상기 알람 발생부는
상기 화이트리스트에 포함된 복수개의 통신 규칙들 중 어느 하나의 통신 규칙에 의한 알람이 기설정된 기준 횟수 이상 반복적으로 발생하는 경우에 상기 어느 하나의 통신 규칙을 블라인드 리스트에 추가하여 동일한 트래픽에 의한 알람이 생략되도록 제어하는 알람 제어부; 및
상기 블라인드 리스트에 포함된 적어도 하나의 통신 규칙 중 기설정된 알람 발생 기간 동안 사용되지 않은 통신 규칙을 블라인드 리스트 삭제 후보로 추출하여 상기 네트워크 관리자에게 제공하는 블라인드 리스트 관리부를 포함하는 것을 특징으로 하는 화이트리스트 기반의 네트워크 보안 장치. - 삭제
- 청구항 1에 있어서,
상기 알람 발생부는
상기 복수개의 통신 규칙들 중 적어도 하나의 통신 규칙이 상기 블라인드 리스트에 추가되는 경우에 상기 블라인드 리스트에 의해 생략되는 알람에 상응하는 알람 로그를 기록하는 알람 기록부를 더 포함하는 것을 특징으로 하는 화이트리스트 기반의 네트워크 보안 장치. - 삭제
- 청구항 1에 있어서,
상기 네트워크 보안 장치는
상기 화이트리스트에 포함된 복수개의 통신 규칙들 중 기설정된 사용 기간 동안 한번도 사용되지 않은 통신 규칙을 화이트리스트 삭제 후보로 추출하여 상기 네트워크 관리자에게 추천하는 삭제 리스트 추천부; 및
상기 알람이 발생한 트래픽에 상응하게 기록된 트래픽 로그를 기반으로 상기 화이트리스트에 추가할 화이트리스트 추가 후보를 추출하여 상기 네트워크 관리자에게 추천하는 추가 리스트 추천부를 더 포함하는 것을 특징으로 하는 화이트리스트 기반의 네트워크 보안 장치. - 청구항 5에 있어서,
상기 네트워크 보안 장치는
상기 네트워크 관리자의 승인을 기반으로 상기 화이트리스트 삭제 후보 및 상기 화이트리스트 추가 후보 중 적어도 하나를 보정 대기 상태로 전환하고, 최종 보안 담당자의 승인을 기반으로 삭제 및 추가 중 적어도 하나에 상응하는 보정을 실행하는 화이트리스트 보정부를 더 포함하는 것을 특징으로 하는 화이트리스트 기반의 네트워크 보안 장치. - 청구항 1에 있어서,
상기 화이트리스트 생성부는
상기 네트워크에 등록되어 있는 제1 유형 아이피, 상기 네트워크 관리자에 의해 허가된 제2 유형 아이피, 상기 네트워크에 등록되어 있는 제1 유형 서비스 및 상기 네트워크의 보안정책에 위배되지 않는 제2 유형 서비스 중 적어도 하나를 이용하여 상기 화이트리스트를 생성하는 것을 특징으로 하는 화이트리스트 기반의 네트워크 보안 장치. - 청구항 7에 있어서,
상기 화이트리스트 생성부는
상기 네트워크 현황정보에 포함된 복수개의 클라이언트 아이피들 중 상기 제1 유형 아이피를 검색하고, 상기 제1 유형 아이피를 제외한 나머지 아이피들 중 상기 제2 유형 아이피를 검색하는 아이피 검색부; 및
상기 네트워크 현황정보에 포함된 복수개의 서비스들 중 상기 제1 유형 서비스를 검색하고, 상기 제1 유형 서비스를 제외한 나머지 서비스들 중 상기 제2 유형 서비스를 검색하는 서비스 검색부를 포함하는 것을 특징으로 하는 화이트리스트 기반의 네트워크 보안 장치. - 청구항 5에 있어서,
상기 통신 규칙은
서버 아이피, 서버 포트, 프로토콜, 클라이언트 아이피 및 트래픽 통신 방향 중 적어도 하나를 기반으로 구성되는 것을 특징으로 하는 화이트리스트 기반의 네트워크 보안 장치. - 네트워크 스위치를 기반으로 네트워크 상에서 발생하는 복수개의 트래픽들에 상응하는 네트워크 현황정보를 수집하는 단계;
상기 네트워크 현황정보를 기반으로 네트워크 관리자에 의해 사용이 허가된 자원을 이용한 화이트리스트를 생성하는 단계;
상기 화이트리스트에 위배되는 트래픽이 발생한 경우에 상기 네트워크 관리자에게 알람을 발생하는 단계; 및
상기 네트워크 관리자로부터 상기 트래픽에 대한 차단 요청이 수신된 경우에 상기 네트워크 스위치를 통해 상기 트래픽의 접근을 차단하는 단계
를 포함하고,
상기 알람을 발생하는 단계는
상기 화이트리스트에 포함된 복수개의 통신 규칙들 중 어느 하나의 통신 규칙에 의한 알람이 기설정된 기준 횟수 이상 반복적으로 발생하는 경우에 상기 어느 하나의 통신 규칙을 블라인드 리스트에 추가하여 동일한 트래픽에 의한 알람이 생략되도록 제어하는 단계; 및
상기 블라인드 리스트에 포함된 적어도 하나의 통신 규칙 중 기설정된 알람 발생 기간 동안 사용되지 않은 통신 규칙을 블라인드 리스트 삭제 후보로 추출하여 상기 네트워크 관리자에게 제공하는 단계를 포함하는 것을 특징으로 하는 화이트리스트 기반의 네트워크 보안 방법. - 삭제
- 청구항 10에 있어서,
상기 알람을 발생하는 단계는
상기 복수개의 통신 규칙들 중 적어도 하나의 통신 규칙이 상기 블라인드 리스트에 추가되는 경우에 상기 블라인드 리스트에 의해 생략되는 알람에 상응하는 알람 로그를 기록하는 단계를 더 포함하는 것을 특징으로 하는 화이트리스트 기반의 네트워크 보안 방법. - 삭제
- 청구항 10에 있어서,
상기 네트워크 보안 방법은
상기 화이트리스트에 포함된 복수개의 통신 규칙들 중 기설정된 사용 기간 동안 한번도 사용되지 않은 통신 규칙을 화이트리스트 삭제 후보로 추출하여 상기 네트워크 관리자에게 추천하는 단계; 및
상기 알람이 발생한 트래픽에 상응하게 기록된 트래픽 로그를 기반으로 상기 화이트리스트에 추가할 화이트리스트 추가 후보를 추출하여 상기 네트워크 관리자에게 추천하는 단계를 더 포함하는 것을 특징으로 하는 화이트리스트 기반의 네트워크 보안 방법. - 청구항 14에 있어서,
상기 네트워크 보안 방법은
상기 네트워크 관리자의 승인을 기반으로 상기 화이트리스트 삭제 후보 및 상기 화이트리스트 추가 후보 중 적어도 하나를 보정 대기 상태로 전환하고, 최종 보안 담당자의 승인을 기반으로 삭제 및 추가 중 적어도 하나에 상응하는 보정을 실행하는 단계를 더 포함하는 것을 특징으로 하는 화이트리스트 기반의 네트워크 보안 방법. - 청구항 10에 있어서,
상기 화이트리스트를 생성하는 단계는
상기 네트워크에 등록되어 있는 제1 유형 아이피, 상기 네트워크 관리자에 의해 허가된 제2 유형 아이피, 상기 네트워크에 등록되어 있는 제1 유형 서비스 및 상기 네트워크의 보안정책에 위배되지 않는 제2 유형 서비스 중 적어도 하나를 이용하여 상기 화이트리스트를 생성하는 것을 특징으로 하는 화이트리스트 기반의 네트워크 보안 방법. - 청구항 16에 있어서,
상기 화이트리스트를 생성하는 단계는
상기 네트워크 현황정보에 포함된 복수개의 클라이언트 아이피들 중 상기 제1 유형 아이피를 검색하고, 상기 제1 유형 아이피를 제외한 나머지 아이피들 중 상기 제2 유형 아이피를 검색하는 단계; 및
상기 네트워크 현황정보에 포함된 복수개의 서비스들 중 상기 제1 유형 서비스를 검색하고, 상기 제1 유형 서비스를 제외한 나머지 서비스들 중 상기 제2 유형 서비스를 검색하는 단계를 포함하는 것을 특징으로 하는 화이트리스트 기반의 네트워크 보안 방법. - 청구항 14에 있어서,
상기 통신 규칙은
서버 아이피, 서버 포트, 프로토콜, 클라이언트 아이피 및 트래픽 통신 방향 중 적어도 하나를 기반으로 구성되는 것을 특징으로 하는 화이트리스트 기반의 네트워크 보안 방법.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020150141009 | 2015-10-07 | ||
KR20150141009 | 2015-10-07 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20170041614A KR20170041614A (ko) | 2017-04-17 |
KR101823421B1 true KR101823421B1 (ko) | 2018-01-31 |
Family
ID=58703071
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020160044163A KR101823421B1 (ko) | 2015-10-07 | 2016-04-11 | 화이트리스트 기반의 네트워크 보안 장치 및 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101823421B1 (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11558354B2 (en) | 2019-04-16 | 2023-01-17 | Cisco Technology, Inc. | Efficient protection for a virtual private network |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102007082B1 (ko) | 2017-08-09 | 2019-08-02 | 박익동 | 다대다(n:n) 구조의 경로 관리 스위치 및 그것에 의해 수행되는 경로 관리 방법 |
KR102020986B1 (ko) * | 2018-03-21 | 2019-11-04 | (주)유미테크 | 블록체인기반의 신뢰 네트워크 시스템 |
KR102174507B1 (ko) | 2019-05-17 | 2020-11-04 | (주)유미테크 | 통신 게이트웨이 방화벽 자동설정장치 및 그 방법 |
KR102674440B1 (ko) * | 2022-05-17 | 2024-06-12 | 한국전력공사 | 지능형 화이트리스트를 이용한 이상행위 탐지 방법 및 장치 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101095447B1 (ko) * | 2011-06-27 | 2011-12-16 | 주식회사 안철수연구소 | 분산 서비스 거부 공격 차단 장치 및 방법 |
KR101455167B1 (ko) * | 2013-09-03 | 2014-10-27 | 한국전자통신연구원 | 화이트리스트 기반의 네트워크 스위치 |
-
2016
- 2016-04-11 KR KR1020160044163A patent/KR101823421B1/ko active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101095447B1 (ko) * | 2011-06-27 | 2011-12-16 | 주식회사 안철수연구소 | 분산 서비스 거부 공격 차단 장치 및 방법 |
KR101455167B1 (ko) * | 2013-09-03 | 2014-10-27 | 한국전자통신연구원 | 화이트리스트 기반의 네트워크 스위치 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11558354B2 (en) | 2019-04-16 | 2023-01-17 | Cisco Technology, Inc. | Efficient protection for a virtual private network |
Also Published As
Publication number | Publication date |
---|---|
KR20170041614A (ko) | 2017-04-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101823421B1 (ko) | 화이트리스트 기반의 네트워크 보안 장치 및 방법 | |
US20160127417A1 (en) | Systems, methods, and devices for improved cybersecurity | |
US10320814B2 (en) | Detection of advanced persistent threat attack on a private computer network | |
EP3248128B1 (en) | Methods and computer storage medium for session security splitting | |
AU2014201598B2 (en) | System and method for monitoring authentication attempts | |
US8769296B2 (en) | Software signature tracking | |
EP3068095B1 (en) | Monitoring apparatus and method | |
KR100798923B1 (ko) | 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법 및 이를수행하는 프로그램을 기록한 기록 매체 | |
EP3343841B1 (en) | Access relationships in a computer system | |
EP3171571B1 (en) | Method and system for managing access control lists in a networked application environment | |
EP3373179A1 (en) | Information processing device, information processing method, and information processing program | |
US20140201843A1 (en) | Systems and methods for identifying and reporting application and file vulnerabilities | |
US20150052520A1 (en) | Method and apparatus for virtual machine trust isolation in a cloud environment | |
WO2013155239A1 (en) | System and method for determining and using local reputations of users and hosts to protect information in a network environment | |
WO2021165933A1 (en) | Method and system for online user behavior management | |
CN108234400B (zh) | 一种攻击行为确定方法、装置及态势感知系统 | |
JP5739034B1 (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
WO2016122632A1 (en) | Collaborative investigation of security indicators | |
CN114003943A (zh) | 一种用于机房托管管理的安全双控管理平台 | |
JP2016143320A (ja) | ログ監視方法、ログ監視装置、ログ監視システム、及びログ監視プログラム | |
CN112104618A (zh) | 一种信息确定方法、信息确定设备和计算机可读存储介质 | |
JP7123488B2 (ja) | ファイル・アクセス監視方法、プログラム、および、システム | |
KR101343693B1 (ko) | 네트워크 보안시스템 및 그 처리방법 | |
US20180351978A1 (en) | Correlating user information to a tracked event | |
JP2006330926A (ja) | ウィルス感染検知装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |