KR101962408B1 - 망 혼용 단말 자동 탐지 시스템 및 방법 - Google Patents
망 혼용 단말 자동 탐지 시스템 및 방법 Download PDFInfo
- Publication number
- KR101962408B1 KR101962408B1 KR1020170162307A KR20170162307A KR101962408B1 KR 101962408 B1 KR101962408 B1 KR 101962408B1 KR 1020170162307 A KR1020170162307 A KR 1020170162307A KR 20170162307 A KR20170162307 A KR 20170162307A KR 101962408 B1 KR101962408 B1 KR 101962408B1
- Authority
- KR
- South Korea
- Prior art keywords
- network
- terminal
- identification information
- unique identification
- host
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/18—Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명의 망 혼용 단말 자동 탐지 시스템은, 단일 망에 구비되는 것으로, 내부에 구현된 에이전트를 통해 수집된 고유 식별 정보를 로컬 서버로 전달되도록 하는 하나 이상의 최종 단말기; 상기 최종 단말기가 구비된 단일 망에 구비되는 것으로, 상기 최종 단말기로부터 수집된 고유 식별 정보를 전달받아 내부에 구현된 에이전트를 통해 호스트별로 분류되도록 하고, 호스트별로 분류된 고유 식별 정보를 중앙 서버로 전달되도록 하는 로컬 서버 및 상기 단일 망과 분리된 분석 망에 구비되는 것으로, 복수의 로컬 서버로부터 호스트별로 분류된 고유 식별 정보를 각각 전달받은 후, 하나의 최종 단말기의 고유 식별 정보가 복수의 단일 망에 존재하는지 여부를 분석하여 망 혼용 단말기의 존재 여부를 검출하는 중앙 서버를 포함하여 구성된다.
Description
본 발명은 망 혼용 단말 자동 탐지 시스템 및 방법에 관한 것으로, 더욱 상세하게는 망분리 환경에서 핵심 쟁점으로 떠오르는 망 혼용 단말을 효과적으로 탐지하여 망 혼용 단말로 인한 해킹 피해를 최소화할 수 있도록 한 망 혼용 단말 자동 탐지 시스템 및 방법에 관한 것이다.
망 분리는 내부 업무 망과 외부 인터넷 망을 분리하여 외부로 부터의 해킹, 바이러스 또는 내부로부터의 정보 유출을 원천적으로 방지하고자 하는 구성이다.
망 분리 구성은 크게 논리적 망 분리 구성과 물리적 망 분리 구성으로 나눌 수 있다.
물리적 망 분리 구성은 물리적으로 내부 망과 외부 망을 원천적으로 분리하여 내/외부 망의 통신 트래픽의 혼재를 막는 구성으로서, 논리적 망 분리 구성에 비해 보안성은 크게 높으나, 초기 구축 비용과 회선 이중화로 인한 유지 보수의 비용이 많이 소모되며 사용자의 편의성이 떨어져 효과적이지 못하다.
반면, 논리적 망 분리 구성은 보안성이 물리적 망 분리 구성에 비해 상대적으로 낮으나, 초기의 구축 비용이 많이 소모되지 않으며 사용자의 편의성이 높아 많은 사이트에 적용되고 있다.
종래의 물리적 망 분리 구성에서 사용자는 내부 망에서 사용되는 단말을 이용하여 내부 망 스위치, 내부 망 방화벽을 거쳐 내부 망 내 존재하는 업무/DB 서버와 통신하여 내부 업무를 처리한다.
그리고 사용자가 인터넷을 사용하고 싶은 경우에는 상술한 내부 망과 별도의 회선을 구성되어 외부 망을 사용하도록 허가된 외부 망 전용 단말을 통해 외부 망 스위치 및 외부 망 방화벽을 거쳐 인터넷을 사용한다.
이는 물리적으로 네트워크를 분리하여 보안성이 뛰어나 공공기관에서 채택하고 있는 방식이지만, 구축비가 많이 소모되며 업무 효율성 및 사용 편의성이 떨어져 불편한 점이 많았다.
종래의 논리적 망 분리 구성에서 사용자는 내부 업무를 처리하고 싶은 경우에는 사용자 단말의 운영체제상에서 스위치 및 내부 망 방화벽을 경유하는 통신을 이용하여 내부의 업무/DB 서버와 통신한다.
그리고 사용자가 인터넷을 사용하고 싶은 경우에는 동일한 사용자 단말에 설치된 가상 머신 상에서 애플리케이션을 기동시켜 상기의 가상 머신 상에서 VPN(Virtual Private Network) 등으로 가상화된 통신채널을 통해 스위치 및 외부 망 방화벽을 경유하는 통신을 이용하여 인터넷을 사용한다.
이러한 논리적 망 분리 구성은 초기 구축 비용이 물리적 망 분리 구성에 비해 상대적으로 매우 저렴하고, 사용의 편의성도 비교적 높은 편이나 물리적 네트워크가 동일한 구성에서 외부 망을 접속하는 논리적 망 분리 구성의 한계로 인해 통신 트래픽의 혼재나 해킹 또는 바이러스의 감염 가능성 등 보안성이 떨어지는 문제점이 있었다.
본 발명은 상술한 문제점을 해결하기 위해 안출된 것으로서, 하나의 단말기에서 랜카드 1개로 복수의 망에 연결되어 사용하거나, 단일 운영체제 또는 다중 운영체제가 구축된 하나의 단말기에서 랜카드 2개 이상 사용하여 복수의 망에 연결되어 사용하는 망 혼용 단말기를 탐지하여 해당 단말기의 사용을 차단시킴으로써, 망 혼용 단말로 인한 해킹 피해를 최소화할 수 있도록 하는 망 혼용 단말 자동 탐지 시스템 및 방법을 제공하는 것이다.
상술한 목적을 달성하기 위한 본 발명의 망 혼용 단말 자동 탐지 시스템은, 단일 망에 구비되는 것으로, 내부에 구현된 에이전트를 통해 수집된 고유 식별 정보를 로컬 서버로 전달되도록 하는 하나 이상의 최종 단말기; 상기 최종 단말기가 구비된 단일 망에 구비되는 것으로, 상기 최종 단말기로부터 수집된 고유 식별 정보를 전달받아 내부에 구현된 에이전트를 통해 호스트별로 분류되도록 하고, 호스트별로 분류된 고유 식별 정보를 중앙 서버로 전달되도록 하는 로컬 서버 및 상기 단일 망과 분리된 분석 망에 구비되는 것으로, 복수의 로컬 서버로부터 호스트별로 분류된 고유 식별 정보를 각각 전달받은 후, 하나의 최종 단말기의 고유 식별 정보가 복수의 단일 망에 존재하는지 여부를 분석하여 망 혼용 단말기의 존재 여부를 검출하는 중앙 서버를 포함하여 구성된다.
망 혼용 단말기의 존재 여부는 각각의 망 별로 수집된 최종 단말기의 네트워크 인터페이스 카드의 맥 주소를 포함한 고유 식별 정보가 복수의 망에서 발견될 때, 해당 네트워크 인터페이스 카드가 장착된 최종 단말기가 망 혼용 단말기로 판단될 수 있다.
하나의 최종 단말기에 구비된 복수의 네트워크 인터페이스 카드의 맥 주소를 포함한 고유 식별 정보가 각각 복수의 망에서 발견되거나 또는 하나의 최종 단말기에 구비된 하나의 네트워크 인터페이스 카드의 맥 주소를 포함한 고유 식별 정보가 일정 간격의 시간 차이를 두고 복수의 망에서 발견될 때 해당 네트워크 인터페이스 카드가 장착된 최종 단말기가 망 혼용 단말기로 판단될 수 있다.
최종 단말기에 구현된 에이전트는 최종 단말기의 네트워크 인터페이스 카드의 정보, 호스트에 대한 정보 또는 최종 단말기에 구현된 가상머신에서 구동 중인 네트워크 인터페이스 카드 정보를 수집할 수 있다.
상기 단일 망과 분석 망 사이에는 복수의 방화벽으로 이루어져 분석 망 쪽으로 데이터가 전송되어 처리되도록 하는 완충 망이 구비될 수 있다.
그리고 상술한 목적을 달성하기 위한 본 발명의 망 혼용 단말 자동 탐지 방법은, (a) 단일 망에 구비되는 최종 단말기인 것으로, 상기 최종 단말기의 내부에 구현된 에이전트를 통해 수집된 고유 식별 정보가 로컬 서버로 전달되는 제1단계; (b) 상기 최종 단말기와 동일한 단일 망에 구비되는 로컬 서버인 것으로, 상기 최종 단말기로부터 수집된 고유 식별 정보를 전달받아 내부에 구현된 에이전트를 통해 호스트별로 분류되고, 호스트별로 분류된 고유 식별 정보가 중앙 서버로 전달되는 제2단계 및 (c) 상기 단일 망과 분리된 분석 망에 구비되는 중앙 서버인 것으로, 복수의 로컬 서버로부터 호스트별로 분류된 고유 식별 정보를 각각 전달받은 후, 하나의 최종 단말기의 고유 식별 정보가 복수의 단일 망에 존재하는지 여부를 분석하여 망 혼용 단말기의 존재 여부를 검출하는 제3단계를 포함한다.
상기 제1단계에서, 최종 단말기에 구현된 에이전트는 최종 단말기의 네트워크 인터페이스 카드의 정보, 호스트에 대한 정보 또는 최종 단말기에 구현된 가상머신에서 구동 중인 네트워크 인터페이스 카드 정보를 수집하는 단계를 포함할 수 있다.
상기 제3단계에서, 망 혼용 단말기의 존재 여부는 각각의 망 별로 수집된 최종 단말기의 네트워크 인터페이스 카드의 맥 주소를 포함한 고유 식별 정보가 복수의 망에서 발견될 때, 해당 네트워크 인터페이스 카드가 장착된 최종 단말기가 망 혼용 단말기로 판단되는 단계를 포함할 수 있다.
상기 제3단계에서, 하나의 최종 단말기에 구비된 복수의 네트워크 인터페이스 카드의 맥 주소를 포함한 고유 식별 정보가 각각 복수의 망에서 발견되거나 또는 하나의 최종 단말기에 구비된 하나의 네트워크 인터페이스 카드의 맥 주소를 포함한 고유 식별 정보가 일정 간격의 시간 차이를 두고 복수의 망에서 발견될 때 해당 네트워크 인터페이스 카드가 장착된 최종 단말기가 망 혼용 단말기로 판단되는 단계를 포함할 수 있다.
이상에서 설명한 바와 같은 본 발명의 망 혼용 단말 자동 탐지 시스템 및 방법에 따르면, 하나의 단말기에서 랜카드 1개로 복수의 망에 연결되어 사용하거나, 단일 운영체제 또는 다중 운영체제가 구축된 하나의 단말기에서 랜카드 2개 이상 사용하여 복수의 망에 연결되어 사용하는 망 혼용 단말기를 탐지하여 해당 단말기의 사용을 차단시킴으로써, 망 혼용 단말로 인한 해킹 피해를 최소화할 수 있도록 하는 효과가 있다.
도 1은 본 발명의 일실시예에 따른 망 혼용 단말 자동 탐지 시스템을 나타낸 블록도이며,
도 2는 본 발명의 일실시예에 따른 망 혼용 단말 자동 탐지 방법을 설명하기 위한 블록도이며,
도 3은 본 발명의 일실시예에 따른 망 혼용 단말 자동 탐지 방법을 설명하기 위한 플로우차트이다.
도 2는 본 발명의 일실시예에 따른 망 혼용 단말 자동 탐지 방법을 설명하기 위한 블록도이며,
도 3은 본 발명의 일실시예에 따른 망 혼용 단말 자동 탐지 방법을 설명하기 위한 플로우차트이다.
이하, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 상세히 설명하기 위하여, 본 발명의 바람직한 실시예를 첨부한 도면을 참조하여 상세하게 설명한다.
최근 글로벌 기업, ICS 기반시설, 군사기관 등을 대상으로 피해 규모가 큰 사이버 공격이 지속되고 있다.
공격자는 자금력이 충분한 산업스파이 이거나, 국가 차원의 후원을 받는(state-sponsored) 전문 집단으로 시간에 구애받지 않고 은밀한 공격을 수행하며, 공격자들의 주된 관심사는 망 분리 환경을 극복하여 내부망으로 침투하는 것이다.
본 발명은 이러한 망 분리 환경에서 핵심 쟁점으로 떠오르는 망 혼용 단말을 효과적으로 탐지하는 방법을 제시하기 위한 것이며, 참고로, 망 혼용 단말기는 하나의 운영체제 또는 다중 운영체제에 NIC(Network Interface Card, 랜카드)가 2개 이상 장착(homed)되어 여러 망을 사용하는 정보통신용 단말기를 의미한다.
이러한 망 혼용 단말기는 두 망 사이의 보안시스템의 통제를 받지 않고 우회 가능하기 때문에 방화벽 등의 침입차단시스템(Firewall)을 포함한 Secure OS 기반 정보보호시스템을 제외하고는 사용을 금지하고 있다.
한편, NIC를 1개 사용하는 정보통신용 단말기이더라도 시간 간격을 두고서 다른 망으로 옮겨 가며 사용하는 것도 망 혼용 단말기로 분류될 수 있다.
따라서 각 망에서 사용 중인 단말기에서 단말기 자체의 OS 환경 정보와 NIC의 MAC 주소, 단말기 내부에서 구동중인 가상머신 OS 환경정보와 MAC 주소를 안전하게 수집, 분류, 집계, 분석하여 다양한 유형의 망 혼용 단말을 식별할 수 있어야 한다.
이에 본 발명의 일실시예에 따른 망 혼용 단말 자동 탐지 시스템은 도 1 내지 도 3에 나타낸 바와 같이, 업무 망(100) 및 인터넷 망(300)을 포함하는 단일 망에 각각 구비되는 하나 이상의 최종 단말기(110, 310), 상기 최종 단말기(110, 310)와 동일한 단일 망에 구비되는 로컬 서버(150, 350) 및 단일 망과 분리되는 분석 망(500)에 구비되어 망 혼용 단말을 탐지하는 중앙 서버(550)를 포함하여 구성된다.
상기 업무 망(100)에는 복수의 최종 단말기(110)와 로컬 서버(150)가 각각 구비되고, 상기 인터넷 망(300)에도 복수의 최종 단말기(310) 및 로컬 서버(350)가 각각 구비된다.
그리고 업무 망(100) 및 인터넷 망(300)을 예로 들었으나, 이를 포함하여 인터넷 DMZ망, 인터넷 서버팜, 업무 망 서버팜, 관제망 등 다양한 정보통신망에 본 발명에 따른 망 혼용 단말을 탐지하는 방법을 적용시킬 수 있다.
업무 망(100) 및 인터넷 망(300)에 각각 구비된 최종 단말기(110, 310) 및 로컬 서버(150, 350)와 분석 망(500)에 구비된 중앙 서버(550)에는 에이전트(Agent)가 각각 설치된다.
로컬 서버(150, 350)에는 서버 데몬(Sever demon)이 더 설치되고, 중앙 서버에는 데이터베이스 관리시스템(DBMS; Data Base Management System)이 더 설치된다.
그리고 업무 망(100)과 분석 망(500) 사이 및 인터넷 망(300)과 분석 망(500)사이의 완충 구간에 안전한 망을 형성하기 위하여 복수의 방화벽을 각각 설치한다.
분석 망(500)의 경우 망간의 거점(Stepstone)이 될 수 있으므로, 인접한 망에서 유입만 되고 건너편 망으로는 넘어갈 수 없도록 방화벽 정책을 엄격하게 적용한다.
이렇게 구축된 분석 망(500)은 해킹을 당하더라도 인접 망으로의 공격이 확장 되지 않으므로 보안성이 높은 구조가 될 수 있다.
최종 단말기(110, 310)에 설치된 에이전트는 최종 단말기의 OS 정보, NIC 상세 정보(MAC 주소 등), 호스트(host)에 대한 정보 등 고유 식별 정보를 주기적으로 수집하고(10), 특히, 호스트에서 가상머신(Virtual Machine)을 구동할 경우, 가상머신의 OS 정보, NIC 상세 정보(MAC 주소 등) 등의 고유 식별 정보도 주기적으로 수집한다(10)(S110).
참고로, 가상머신 발견 시에는 호스트 이름(hostname) 뒤에 별도의 표식('(HAS_VM)')을 추가하고, 가상머신의 NIC 정보를 마지막 NIC Record 뒤에 추가한다.
이어서, 에이전트는 수집된 최종 단말기의 OS 정보, NIC 상세 정보, 호스트 정보, 가상머신의 OS 정보, NIC 상세 정보 등을 단말 로그부에 날짜 별로 저장시킨 후(11), 수집된 정보를 로컬 서버(150, 350)로 전송한다(12)(S120).
로컬 서버는 각 망에 1대씩 구비될 수 있으며, 로컬 서버(150, 350)로 전송된 최종 단말기(110, 310)로부터 수집된 고유 식별 정보는 서버 데몬(demon)이 전달받아 별도의 저장수단에 파일 형태로 저장시키고, 이어서 내부에 구현된 에이전트가 주기적으로 읽어 들인다(21).
이어서 에이전트는 MAC 주소와 호스트 이름을 합친 문자열 값을 Key(MAC+hostname)로 하여 집계 리스트(List)를 생성하고(22)(S130), 읽어 들인 고유 식별 정보에서 모든 MAC 주소에 대해 망 사용 이력 리스트를 생성하여 저장시킨다(23).
이어서 에이전트는 MAC 주소와 호스트 이름을 합친 문자열 값을 Key로 하여 생성된 집계 리스트 및 모든 MAC 주소에 대한 망 사용 이력 리스트를 서버 로그부에 저장시키고(24), 저장된 MAC 주소와 호스트 이름을 합친 문자열 값을 Key로 하여 생성된 집계 리스트 및 모든 MAC 주소에 대해 망 사용 이력 리스트를 중앙 서버로 전송한다(25)(S140).
중앙 서버(550)는 분석 망(500)에 구비되며, 중앙 서버(550)로 전송된 MAC 주소와 호스트 이름을 합친 문자열 값을 Key로 하여 생성된 집계 리스트 및 모든 MAC 주소에 대해 망 사용 이력 리스트는 데이터베이스 관리시스템(DBMS)가 전달받아 데이터베이스(DB)에 파일 형태로 저장시키고, 이어서 내부에 구현된 에이전트가 주기적으로 읽어 들인다(31).
이어서, 특정 MAC 주소가 하나의 망에 2개이상 존재하는지 비교 분석하거나(32) 또는 특정 MAC 주소가 2개 이상의 망에 존재하는지 비교 분석한다(32)(S150).
이어서, 특정 MAC 주소가 하나의 망에 2개이상 존재하면 해당 최종 단말기는 하나의 운영체제 또는 다중 운영체제에 NIC가 2개 이상 장착되어 여러 망을 사용하는 유형의 망 혼용 단말기로 판단되고, 특정 MAC 주소가 다른 망의 사용 이력 리스트에 존재하는 등 2개 이상의 망에 존재하면 해당 단말기는 NIC가 1개 장착되었지만 시간 간격을 두고서 다른 망으로 옮겨 가며 사용하는 유형의 망 혼용 단말기로 판단된다(S160).
이어서, 망 혼용 단말기로 식별되면, 해당 최종 단말기의 정보를 별도의 관리자 단말(700)로 문자메시지 등으로 통보한다(33)(S170).
이때, 중앙 서버(550)는 문자메시지 통보를 위해 CDMA 모듈이 설치된 상태이며, 상기 CDMA 모듈은 문자메시지 발송만 가능하도록 설정될 수 있다.
이어서, 관리자는 수신된 정보를 바탕으로 해당 최종 단말기를 찾아내어 보안 정책 위반 사항에 대해 조사하거나 징계를 주는 등 적절한 행동을 취할 수 있다.
이상에서 설명한 바와 같은 본 발명의 망 혼용 단말 자동 탐지 시스템에 따르면, 하나의 단말기에서 랜카드 1개로 복수의 망에 연결되어 사용하거나, 단일 운영체제 또는 다중 운영체제가 구축된 하나의 단말기에서 랜카드 2개 이상 사용하여 복수의 망에 연결되어 사용하는 망 혼용 단말기를 탐지하여 해당 단말기의 사용을 차단시킴으로써, 망 혼용 단말로 인한 해킹 피해를 최소화할 수 있다.
한편, 본 발명에 따른 단계 S110 내지 단계 S170에 따른 망 혼용 단말 자동 탐지 방법을 프로그램화하여 컴퓨터가 읽을 수 있도록 시디롬, 메모리, ROM, EEPROM 등의 기록매체에 저장시킬 수도 있다.
이상의 설명에서는 본 발명의 바람직한 실시예를 제시하여 설명하였으나, 본 발명이 반드시 이에 한정되는 것은 아니며, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경할 수 있음을 쉽게 알 수 있을 것이다.
100: 업무 망 110: 최종 단말기
150: 로컬 서버 300: 인터넷 망
310: 최종 단말기 350: 로컬 서버
500: 분석 망 550: 중앙 서버
700: 관리자 단말기
150: 로컬 서버 300: 인터넷 망
310: 최종 단말기 350: 로컬 서버
500: 분석 망 550: 중앙 서버
700: 관리자 단말기
Claims (10)
- 단일 망에 구비되는 것으로, 내부에 구현된 에이전트를 통해 수집된 고유 식별 정보를 로컬 서버로 전달되도록 하는 하나 이상의 최종 단말기; 상기 최종 단말기가 구비된 단일 망에 구비되는 것으로, 상기 최종 단말기로부터 수집된 고유 식별 정보를 전달받아 내부에 구현된 에이전트를 통해 호스트별로 분류되도록 하고, 호스트별로 분류된 고유 식별 정보를 중앙 서버로 전달되도록 하는 로컬 서버; 및
상기 단일 망과 분리된 분석 망에 구비되는 것으로, 복수의 로컬 서버로부터 호스트별로 분류된 고유 식별 정보를 각각 전달받은 후, 하나의 최종 단말기의 고유 식별 정보가 복수의 단일 망에 존재하는지 여부를 분석하여 망 혼용 단말기의 존재 여부를 검출하는 중앙 서버를 포함하여 구성되며;
중앙 서버로 전송된 MAC 주소와 호스트 이름을 합친 문자열 값을 Key로 하여 생성된 집계 리스트 및 모든 MAC 주소에 대해 망 사용 이력 리스트는 데이터베이스 관리시스템이 전달받아 데이터베이스에 파일 형태로 저장시켜 내부에 구현된 에이전트가 주기적으로 읽어 들이고, 이어서 특정 MAC 주소가 하나의 망에 2개이상 존재하는지 비교 분석하거나 또는 특정 MAC 주소가 2개 이상의 망에 존재하는지 비교 분석하고, 이어서 특정 MAC 주소가 하나의 망에 2개이상 존재하면 해당 최종 단말기는 하나의 운영체제 또는 다중 운영체제에 NIC가 2개 이상 장착되어 여러 망을 사용하는 유형의 망 혼용 단말기로 판단되고, 특정 MAC 주소가 다른 망의 사용 이력 리스트에 존재하면 해당 단말기는 NIC가 1개 장착되었지만 시간 간격을 두고서 다른 망으로 옮겨 가며 사용하는 유형의 망 혼용 단말기로 판단되는 것을 특징으로 한 망 혼용 단말 자동 탐지 시스템. - 삭제
- 삭제
- 청구항 1에 있어서, 최종 단말기에 구현된 에이전트는 최종 단말기의 네트워크 인터페이스 카드의 정보, 호스트에 대한 정보 또는 최종 단말기에 구현된 가상머신에서 구동 중인 네트워크 인터페이스 카드 정보를 수집하는 것을 특징으로 한 망 혼용 단말 자동 탐지 시스템.
- 청구항 1에 있어서, 상기 단일 망과 분석 망 사이에는 복수의 방화벽으로 이루어져 분석 망 쪽으로 데이터가 전송되어 처리되도록 하는 완충 망이 구비된 것을 특징으로 한 망 혼용 단말 자동 탐지 시스템.
- (a) 단일 망에 구비되는 최종 단말기인 것으로, 상기 최종 단말기의 내부에 구현된 에이전트를 통해 수집된 고유 식별 정보가 로컬 서버로 전달되는 제1단계; (b) 상기 최종 단말기와 동일한 단일 망에 구비되는 로컬 서버인 것으로, 상기 최종 단말기로부터 수집된 고유 식별 정보를 전달받아 내부에 구현된 에이전트를 통해 호스트별로 분류되고, 호스트별로 분류된 고유 식별 정보가 중앙 서버로 전달되는 제2단계; 및 (c) 상기 단일 망과 분리된 분석 망에 구비되는 중앙 서버인 것으로, 복수의 로컬 서버로부터 호스트별로 분류된 고유 식별 정보를 각각 전달받은 후, 하나의 최종 단말기의 고유 식별 정보가 복수의 단일 망에 존재하는지 여부를 분석하여 망 혼용 단말기의 존재 여부를 검출하는 제3단계를 포함하며;
상기 제3단계에서, 중앙 서버로 전송된 MAC 주소와 호스트 이름을 합친 문자열 값을 Key로 하여 생성된 집계 리스트 및 모든 MAC 주소에 대해 망 사용 이력 리스트는 데이터베이스 관리시스템이 전달받아 데이터베이스에 파일 형태로 저장시켜 내부에 구현된 에이전트가 주기적으로 읽어 들이는 단계를 포함하고, 이어서 특정 MAC 주소가 하나의 망에 2개이상 존재하는지 비교 분석하거나 또는 특정 MAC 주소가 2개 이상의 망에 존재하는지 비교 분석하는 단계를 포함하고, 이어서 특정 MAC 주소가 하나의 망에 2개이상 존재하면 해당 최종 단말기는 하나의 운영체제 또는 다중 운영체제에 NIC가 2개 이상 장착되어 여러 망을 사용하는 유형의 망 혼용 단말기로 판단되는 단계와 특정 MAC 주소가 다른 망의 사용 이력 리스트에 존재하면 해당 단말기는 NIC가 1개 장착되었지만 시간 간격을 두고서 다른 망으로 옮겨 가며 사용하는 유형의 망 혼용 단말기로 판단되는 단계를 포함하는 것을 특징으로 하는 망 혼용 단말 자동 탐지 방법. - 청구항 6에 있어서, 상기 제1단계에서, 최종 단말기에 구현된 에이전트는 최종 단말기의 네트워크 인터페이스 카드의 정보, 호스트에 대한 정보 또는 최종 단말기에 구현된 가상머신에서 구동 중인 네트워크 인터페이스 카드 정보를 수집하는 단계를 포함하는 것을 특징으로 하는 망 혼용 단말 자동 탐지 방법.
- 삭제
- 삭제
- 청구항 6항 또는 청구항 7항의 망 혼용 단말 자동 탐지 방법을 실행하는 프로그램이 기록되어 컴퓨터로 읽을 수 있는 기록매체.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020170162307A KR101962408B1 (ko) | 2017-11-29 | 2017-11-29 | 망 혼용 단말 자동 탐지 시스템 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020170162307A KR101962408B1 (ko) | 2017-11-29 | 2017-11-29 | 망 혼용 단말 자동 탐지 시스템 및 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101962408B1 true KR101962408B1 (ko) | 2019-03-26 |
Family
ID=65949685
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020170162307A KR101962408B1 (ko) | 2017-11-29 | 2017-11-29 | 망 혼용 단말 자동 탐지 시스템 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101962408B1 (ko) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20130022507A (ko) * | 2011-08-24 | 2013-03-07 | 주식회사 케이티 | 네트워크 공격차단 장치 및 그 방법 |
| KR20140059403A (ko) * | 2012-11-08 | 2014-05-16 | 경기대학교 산학협력단 | 네트워크 분리 환경에서 가상화 기반 네트워크 연계 보안 시스템 및 그 방법 |
| KR101448028B1 (ko) | 2013-04-30 | 2014-10-08 | (주)오픈에스앤에스 | 원격 접속 망 분리 장치 및 방법 |
-
2017
- 2017-11-29 KR KR1020170162307A patent/KR101962408B1/ko active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20130022507A (ko) * | 2011-08-24 | 2013-03-07 | 주식회사 케이티 | 네트워크 공격차단 장치 및 그 방법 |
| KR20140059403A (ko) * | 2012-11-08 | 2014-05-16 | 경기대학교 산학협력단 | 네트워크 분리 환경에서 가상화 기반 네트워크 연계 보안 시스템 및 그 방법 |
| KR101448028B1 (ko) | 2013-04-30 | 2014-10-08 | (주)오픈에스앤에스 | 원격 접속 망 분리 장치 및 방법 |
Non-Patent Citations (1)
| Title |
|---|
| "물리적 망분리환경의 보안이슈", 2013.07.03* * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10567424B2 (en) | Determining security actions for security threats using enrichment information | |
| KR101737726B1 (ko) | 네트워크 트래픽에서의 불일치들을 검출하기 위한 하드웨어 자원들의 사용에 의한 루트킷 검출 | |
| CN114145004B (zh) | 用于使用dns消息以选择性地收集计算机取证数据的系统及方法 | |
| KR101236822B1 (ko) | Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체 | |
| US20040111636A1 (en) | Defense mechanism for server farm | |
| WO2019237813A1 (zh) | 一种服务资源的调度方法及装置 | |
| US9444821B2 (en) | Management server, communication cutoff device and information processing system | |
| US20200304521A1 (en) | Bot Characteristic Detection Method and Apparatus | |
| CN108270722B (zh) | 一种攻击行为检测方法和装置 | |
| JP2010508598A (ja) | ストリング分析を利用する1つまたは複数のパケット・ネットワークでの望まれないトラフィックを検出する方法および装置 | |
| KR20000054538A (ko) | 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체 | |
| CN111565202B (zh) | 一种内网漏洞攻击防御方法及相关装置 | |
| KR100788256B1 (ko) | 네트워크를 이용한 웹서버 위변조 모니터링 시스템 및모니터링 방법 | |
| KR20110100952A (ko) | 가상환경을 이용한 네트워크 기반 망분리 장치, 시스템 및 방법 | |
| WO2018157626A1 (zh) | 一种威胁检测方法及装置 | |
| US9622081B1 (en) | Systems and methods for evaluating reputations of wireless networks | |
| EP3190767B1 (en) | Technique for detecting malicious electronic messages | |
| KR101962408B1 (ko) | 망 혼용 단말 자동 탐지 시스템 및 방법 | |
| JP2006332997A (ja) | 通信管理装置、ネットワークシステム、ネットワークシステムにおける通信遮断方法、およびプログラム | |
| CN113132335A (zh) | 一种虚拟变换系统、方法及网络安全系统与方法 | |
| US9936008B2 (en) | Method and system for dynamically shifting a service | |
| CN115801442A (zh) | 一种加密流量的检测方法、安全系统及代理模块 | |
| JP2006330926A (ja) | ウィルス感染検知装置 | |
| CN110995738B (zh) | 暴力破解行为识别方法、装置、电子设备及可读存储介质 | |
| US20210359977A1 (en) | Detecting and mitigating zero-day attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |