KR102050089B1 - 적응적 룰셋 세팅을 수행하는 네트워크 보안 시스템 및 그 방법 - Google Patents

적응적 룰셋 세팅을 수행하는 네트워크 보안 시스템 및 그 방법 Download PDF

Info

Publication number
KR102050089B1
KR102050089B1 KR1020160162984A KR20160162984A KR102050089B1 KR 102050089 B1 KR102050089 B1 KR 102050089B1 KR 1020160162984 A KR1020160162984 A KR 1020160162984A KR 20160162984 A KR20160162984 A KR 20160162984A KR 102050089 B1 KR102050089 B1 KR 102050089B1
Authority
KR
South Korea
Prior art keywords
security
packets
rule set
packet
session
Prior art date
Application number
KR1020160162984A
Other languages
English (en)
Other versions
KR20180062838A (ko
Inventor
이시영
Original Assignee
엑사비스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엑사비스 주식회사 filed Critical 엑사비스 주식회사
Priority to KR1020160162984A priority Critical patent/KR102050089B1/ko
Publication of KR20180062838A publication Critical patent/KR20180062838A/ko
Application granted granted Critical
Publication of KR102050089B1 publication Critical patent/KR102050089B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

적응적 룰셋 세팅을 수행하는 네트워크 보안 시스템 및 그 방법이 개시된다. 상기의 네트워크 보안 방법은 네트워크 보안 시스템이 네트워크로부터 수신하는 복수의 패킷들 중 미리 설정된 적용 보안 룰셋에 따라 보안 위협을 탐지하거나, 허용된 패킷만을 통과시키는 침입탐지 또는 방지 프로세스 및 상기 복수의 패킷들 중 적어도 일부를 선택적으로 저장하는 패킷 저장 프로세스를 수행하는 단계 및 상기 네트워크 보안 시스템이 상기 패킷 저장 프로세스를 통해 저장된 저장 패킷들에 기초하여 상기 침입탐지 또는 방지 프로세스에 적용될 상기 적용 보안 룰셋을 제1보안 룰셋에서 제2보안 룰셋으로 변경하는 단계를 포함한다.

Description

적응적 룰셋 세팅을 수행하는 네트워크 보안 시스템 및 그 방법{System and method for network security performing adaptive rule-set setting}
본 발명은 적응적 룰셋 세팅을 수행하는 네트워크 보안방법(이하, 네트워크 보안 시스템) 및 그 방법에 관한 것이다. 보다 상세하게는 적응적으로 또는 자율적으로 보안 정책을 조절할 수 있는 네트워크 보안 시스템 및 그 방법에 관한 것이다.
기존의 네트워크 제어 및 관리 장비들은 TCP(transport layer protocol)/UDP(user datagram protocol) 또는 IP(Internet protocol)의 패킷 정보를 기반으로, 해당 장비들의 특정 단위 목표인 라우팅이나 QoS(Quality of Service), DDoS(Distributed Denial of Service)방지 등을 달성하기 위해 노력해 왔다. 그러나 패킷 기반의 접근 방법은 상위 애플리케이션들의 통신 관계에 따른 정보들을 무시하고, 단순히 일시적인 정보 전달 단위인 각각의 분리된 패킷에 담겨 있는 정보들에만 의존함으로써, 적게는 처리 속도의 한계성과 크게는 적용성의 한계로 인해 패킷 라우팅을 위한 라우터, DDoS 공격을 방어하는 전용 시스템, 또는 트래픽 제어를 위한 DPI(Deep Packet Inspection) 시스템 등과 같은 독립적인 목표를 위한 단일 시스템의 형태로 제공되고 있다. 이 중 DPI 시스템은 특정 애플리케이션 또는 클라이언트(예컨대, P2P 클라이언트(client) 또는 네트워크 보안 위협)가 사용하는 잘 알려진 포트 번호와 페이로드(Payload)의 시그너쳐(Signature)를 찾아서 검출하고, 검출된 패킷을 제어하는 방법을 채택하고 있다. 이러한 시그너쳐를 검출함으로써 어떤 클라이언트 즉, 애플리케이션이 현재 네트워크에서 패킷을 생성 및/또는 전송하고 있는지를 알게 되고, 소정의 정책에 따라 적절한 네트워크 제어를 수행하게 된다.
하지만, 높은 보안을 위해서 이상적으로는 DPI 시스템은 전송되는 모든 패킷의 페이로드를 검사해야 하지만 프로세싱의 오버헤드가 너무 크다는 단점이 있다. 즉, 모든 패킷의 페이로드를 검사하기 위해서는 고속 및 고가의 장비가 필요한 문제점이 있다. 더구나, 페이로드가 암호화된 패킷일 경우에는 암호화를 풀 수 있는 방법이 없으므로 시그너쳐를 검출할 수도 없을 수 있다. 또한, 암호화가 되어 있지 않더라도 반드시 시그너쳐가 찾아진다는 보장도 없고, 실제로 모든 시그너처를 찾기도 어려운 문제점이 있다.
따라서 DPI 시스템의 일종인 IDS(Intrusion Detection System)과 IPS(Intrusion Prevention System)은 알려진 보안정책 중 일부만을 적용하고 있는 것이 현실이다. 즉, IDS는 네트워크를 통과하는 패킷들을 검사하여 보안 침입이 있는 가는 판단하여 경고하고, IPS는 네트워크를 통과하는 패킷들 중 보안정책상 허용되는 패킷만을 통과시키는 시스템인데, 이러한 시스템들이 아무리 고사양화 및 고성능화된다고 하더라도, 최근의 네트워크 속도의 비약적인 발전에 따라, 모든 알려진 보안정책(보안 룰셋(rule-set))을 모두 검사한 후 검사결과 문제없는 패킷만을 통과시키는 것은 네트워크 속도의 저하를 가져올 수밖에 없다.
따라서 검사 시점에서 알려진 보안 룰셋 중 일부만을 적용할 수밖에 없고, 조직의 보안 담당자는 조직에 적합한 보안 정책이 설정되었는가에 대한 판단과 지속적으로 변화하는 보안 위협 트렌드의 변동에 대한 대응을 일일이 수행하는 수 밖에 없는 실정이다.
또한 상기의 알려진 보안 룰셋 중 일부만을 적용함으로써 미 적용된 룰로 인한 보안 공백을 없애기 위해서는 현재의 네트워크를 통과하는 모든 패킷을 저장한 후 알려진 보안 룰셋 전체를 이용하여 다시 검사하여야 하는데, 검사를 위해 패킷들을 저장하기 위해 매우 많은 패킷을 저장하여야 하는데 이는 사실상 불가능에 가깝거나 매우 높은 비용이 요구된다.
한국특허출원(출원번호 10-2008-0126888, "네트워크 컨트롤 시스템 및 네트워크 컨트롤 방법") 한국특허출원(출원번호 10-2011-0019891, "네트워크 검사 시스템 및 그 제공방법")
본 발명은 이러한 문제점을 해결하고자 안출된 발명으로써, 본 발명이 이루고자 하는 기술적 과제는 실시간으로 패킷을 검사하고 검사결과 문제없는 패킷만을 선택적으로 통과시키는 네트워크 보안 시스템에 있어서, 적용되는 보안 룰셋을 적응적으로 변경하여 위협동향의 변화에 맞추어 대응할 수 있는 기술적 사상을 제공하는 것이다.
또한 매우 효율적인 패킷 저장을 통해 모든 또는 대부분의 룰셋을 검사할 수 있고, 이를 토대로 최신의 보안 위협에 따라 자동으로 적용되는 보안 룰셋을 변경할 수 있는 기술적 사상을 제공하는 것이다.
또한, 고속으로 패킷을 검사하면서 세션의 초기 선행패킷만을 검사할 수 있도록 하여 실시간으로 보안검사가 수행될 수 있는 기술적 사상을 제공하는 것이다.
또한, 네트워크를 기록하기 위해 패킷의 저장개수를 현저히 줄일 수 있고, 고속의 패킷 서치를 지원할 수 있는 기술적 사상을 제공하는 것이다.
또한, 네트워크를 기록하기 위한 패킷의 저장개수를 현저히 줄이면서도 네트워크를 검사하는 데에 있어서는 성능의 차이가 거의 없어서, 과거의 오랜 시간에 대한 네트워크 기록이 가능하였고 이에 따라 네트워크 검사 룰이 설정되는 경우 빠른 시간 내에 현재의 네트워크 패킷들을 실시간으로 검사할 수 있을 뿐 아니라 과거의 네트워크도 소급하여 빠른 시간 내에 검사할 수 있는 방법 및 시스템을 제공하는 것이다.
본 발명의 일 측면에 따르면, 상기의 기술적 과제를 해결하기 위한 네트워크 검사 시스템 제공방법은 네트워크 보안 시스템이 네트워크로부터 수신하는 복수의 패킷들 중 미리 설정된 적용 보안 룰셋에 따라 보안 위협을 탐지하거나 허용된 패킷만을 통과시키는 침입탐지 또는 방지 프로세스 및 상기 복수의 패킷들 중 적어도 일부를 선택적으로 저장하는 패킷 저장 프로세스를 수행하는 단계 및 상기 네트워크 보안 시스템이 상기 패킷 저장 프로세스를 통해 저장된 저장 패킷들에 기초하여 상기 침입탐지 또는 방지 프로세스에 적용될 상기 적용 보안 룰셋을 제1보안 룰셋에서 제2보안 룰셋으로 변경하는 단계를 포함한다.
상기 네트워크 보안 시스템이 네트워크로부터 수신하는 복수의 패킷들 중 미리 설정된 적용 보안 룰셋에 따라 보안 위협을 탐지하거나 허용된 패킷만을 통과시키는 침입탐지 또는 방지 프로세스 및 상기 복수의 패킷들 중 적어도 일부를 선택적으로 저장하는 패킷 저장 프로세스를 수행하는 단계는 상기 네트워크 보안 시스템이 상기 복수의 패킷들로부터 세션을 형성하는 세션형성 패킷들 중 상기 세션의 초기 N(N은 자연수)개의 선행 패킷만을 저장하는 상기 패킷 저장 프로세스를 수행하는 단계를 포함할 수 있다.
상기 네트워크 보안 시스템이 상기 패킷 저장 프로세스를 통해 저장된 저장 패킷들에 기초하여 상기 침입탐지 또는 방지 프로세스에 적용될 적용 보안 룰셋을 제1보안 룰셋에서 제2보안 룰셋으로 변경하는 단계는 소정의 주기 동안 저장된 상기 저장 패킷들에 대하여 보안검사를 수행하는 단계, 보안검사의 수행결과에 기초하여 상기 침입탐지 또는 방지 프로세스에 적용될 적용 보안 룰셋을 제1보안 룰셋에서 제2보안 룰셋으로 변경하는 단계를 포함할 수 있다.
상기 보안검사의 수행결과에 기초하여 상기 침입탐지 또는 방지 프로세스에 적용될 적용 보안 룰셋을 제1보안 룰셋에서 제2보안 룰셋으로 변경하는 단계는 상기 보안검사의 수행결과에 기초하여, 상기 제2보안 룰셋에 포함될 적어도 하나의 제2보안 룰을 결정하는 단계 및 결정된 적어도 하나의 제2보안 룰을 상기 제1보안 룰셋에 신규로 추가하거나 상기 제1보안 룰셋에 포함된 적어도 하나의 제1보안 룰과 대체하여 상기 제2보안 룰셋을 특정하는 단계를 포함할 수 있다.
결정된 적어도 하나의 제2보안 룰을 상기 제1보안 룰셋에 신규로 추가하거나 상기 제1보안 룰셋에 포함된 적어도 하나의 제1보안 룰과 대체하여 상기 제2보안 룰셋을 특정하는 단계는 상기 제1보안 룰셋에 포함된 보안 룰들 중 보안 위협이 검출되지 않은 가장 오래된 보안 룰의 순서대로 대체될 상기 적어도 하나의 제1보안 룰을 결정하는 단계를 포함할 수 있다.
상기 적응적 룰셋 세팅을 수행하는 네트워크 보안방법은 상기 보안검사의 수행결과에 따라 상기 주기를 변경하거나 상기 적용 보안 룰셋에 포함될 보안 룰의 개수를 변경하는 단계를 더 포함할 수 있다.
상기 적응적 룰셋 세팅을 수행하는 네트워크 보안방법은 상기 네트워크 보안 시스템이 상기 복수의 패킷들에 기초하여 상기 복수의 패킷들이 형성하는 복수의 플로우들을 생성하는 단계 및 상기 네트워크 보안 시스템이 생성된 상기 복수의 플로우들에 대한 정보에 기초하여 상기 복수의 플로우들 중 동일한 세션을 형성하는 적어도 하나의 세션 형성 플로우를 추출하고 추출된 상기 세션 형성 플로우에 기초하여 세션정보 및 상기 선행패킷을 특정하는 단계를 더 포함할 수 있다.
상기 기술적 과제를 해결하기 위한 방법은 네트워크 보안 시스템이 네트워크로부터 수신하는 복수의 패킷들 중 적어도 일부를 선택적으로 저장하는 패킷 저장 프로세스를 수행하는 단계 및 상기 네트워크 보안 시스템이 상기 패킷 저장 프로세스를 통해 저장된 저장 패킷들에 기초하여, 미리 설정된 적용 보안 룰셋에 따라 보안 위협을 탐지하거나 허용된 패킷만을 통과시키는 침입탐지 또는 방지 프로세스에 적용될 상기 적용 보안 룰셋을 제1보안 룰셋에서 제2보안 룰셋으로 변경하는 단계를 포함한다.
상기 기술적 과제를 해결하기 위한 시스템은 네트워크로부터 수신하는 복수의 패킷들 중 미리 설정된 적용 보안 룰셋에 따라 보안 위협을 탐지하거나 허용된 패킷만을 통과시키는 침입탐지 또는 방지 프로세스를 수행하는 침입탐지/방지 모듈, 상기 복수의 패킷들 중 적어도 일부를 선택적으로 저장하는 패킷 저장 프로세스를 수행하는 패킷 저장모듈, 및 상기 패킷 저장 프로세스를 통해 저장된 저장 패킷들에 기초하여 상기 침입탐지 또는 방지 프로세스에 적용될 상기 적용 보안 룰셋을 제1보안 룰셋에서 제2보안 룰셋으로 변경하기 위한 제어모듈을 포함한다.
상기 패킷 저장모듈은 상기 복수의 패킷들로부터 세션을 형성하는 세션형성 패킷들 중 상기 세션의 초기 N(N은 자연수)개의 선행 패킷만을 저장하는 상기 패킷 저장 프로세스를 수행할 수 있다.
상기 제어모듈은 소정의 주기 동안 저장된 상기 저장 패킷들에 대하여 보안검사를 수행하고, 보안검사의 수행결과에 기초하여 상기 침입탐지 또는 방지 프로세스에 적용될 적용 보안 룰셋을 제1보안 룰셋에서 제2보안 룰셋으로 변경할 수 있다.
상기 제어모듈은 상기 보안검사의 수행결과에 기초하여, 상기 제2보안 룰셋에 포함될 적어도 하나의 제2보안 룰을 결정하고, 결정된 적어도 하나의 제2보안 룰을 상기 제1보안 룰셋에 신규로 추가하거나 상기 제1보안 룰셋에 포함된 적어도 하나의 제1보안 룰과 대체하여 상기 제2보안 룰셋을 특정할 수 있다.
상기 제어모듈은 상기 제1보안 룰셋에 포함된 보안 룰들 중 보안 위협이 검출되지 않은 가장 오래된 보안 룰 순서대로 대체될 상기 적어도 하나의 제1보안 룰을 결정할 수 있다.
상기 제어모듈은 상기 보안검사의 수행결과에 따라 상기 주기를 변경하거나 상기 적용 보안 룰셋에 포함될 보안 룰의 개수를 변경할 수 있다.
상기 적응적 룰셋 세팅을 수행하는 네트워크 보안방법은 상기 네트워크 보안 시스템이 상기 복수의 패킷들에 기초하여 상기 복수의 패킷들이 형성하는 복수의 플로우들을 생성하는 단계 및 상기 네트워크 보안 시스템이 생성된 상기 복수의 플로우들에 대한 정보에 기초하여 상기 복수의 플로우들 중 동일한 세션을 형성하는 적어도 하나의 세션 형성 플로우를 추출하고 추출된 상기 세션 형성 플로우에 기초하여 세션정보 및 상기 선행패킷을 특정하는 단계를 더 포함할 수 있다.
상기 기술적 과제를 해결하기 위한 시스템은 네트워크로부터 수신하는 복수의 패킷들 중 적어도 일부를 선택적으로 저장하는 패킷 저장 프로세스를 수행하는 패킷 저장모듈 및 상기 패킷 저장 프로세스를 통해 저장된 저장 패킷들에 기초하여, 미리 설정된 적용 보안 룰셋에 따라 보안 위협을 탐지하거나 허용된 패킷만을 통과시키는 침입탐지 또는 방지 프로세스에 적용될 상기 적용 보안 룰셋을 제1보안 룰셋에서 제2보안 룰셋으로 변경하기 위한 제어모듈을 포함한다.
본 발명의 기술적 사상에 따르면, 실시간으로 패킷을 검사하여 보안 위협을 탐지해 내거나, 검사결과 문제없는 패킷만을 선택적으로 통과시키는 네트워크 보안 시스템에 있어서, 적용되는 보안 룰셋을 적응적으로 변경하여 위협동향의 변화에 맞추어 대응할 수 있고, 이를 통해 별도의 인력 없이도 보안 운용이 효율적으로 이루어질 수 있는 효과가 있다.
또한 모든 또는 대부분의 룰셋에 대한 검사를 효과적으로 할 수 있고, 이를 토대로 최신의 보안 위협에 따라 자동으로 적용되는 보안 룰셋을 변경할 수 있는 효과가 있다.
또한, 고속으로 패킷을 검사하면서 플로우 및 플로우에 기반한 세션에 대한 정보를 생성할 수 있어서, 세션의 초기 선행패킷 일정 개수만을 검사할 수 있도록 하여 고속 네트워크 환경에서 실시간으로 보안검사가 수행될 수 있는 효과가 있다.
또한, 네트워크를 기록하기 위해 필요한 패킷의 저장개수를 현저히 줄일 수 있고, 세션 정보 및 플로우 정보에 기초하여 고속의 패킷 서치를 지원할 수 있는 효과가 있다.
또한, 네트워크를 기록하기 위해 필요한 패킷의 저장개수가 줄어듦으로 인해 동일한 물리적 환경에서도 오랜 시간동안 네트워크의 기록이 가능한 효과가 있다.
또한 이러한 네트워크의 기록이 가능함으로써, 실시간으로 보안검사를 수행하는데 뛰어날 뿐만 아니라, 과거에 네트워크 공격이 있었는지에 대한 검증도 가능한 효과가 있다.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 본 발명의 일 실시 예에 따른 네트워크 보안 시스템의 개략적인 구성을 나타내는 도면이다.
도 2는 본 발명의 일 실시 예에 따른 네트워크 보안 방법을 개략적으로 설명하기 위한 도면이다.
도 3은 본 발명의 일 실시 예에 따른 네트워크 보안 시스템 제공방법을 위한 세션, 플로우, 및 패킷을 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시 예에 따른 네트워크 보안 시스템 제공방법에 따른 패킷 서치를 수행하는 개념을 설명하기 위한 도면이다.
도 5는 본 발명의 일 실시 예에 따른 네트워크 보안 시스템 제공방법에 따른 효과를 설명하기 위한 도면이다.
도 6은 본 발명의 일 실시 예에 따른 네트워크 보안 시스템 제공방법을 통한 복수의 패킷저장 모드를 설명하기 위한 도면이다.
도 7은 본 발명의 일 실시 예에 따라 과거의 네트워크 공격을 효과적으로 검사할 수 있는 개념을 설명하기 위한 도면이다.
본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
본 명세서에 있어서, 포함하다또는 가지다등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
또한, 본 명세서에 있어서는 어느 하나의 구성요소가 다른 구성요소로 데이터를 '전송'하는 경우에는 상기 구성요소는 상기 다른 구성요소로 직접 상기 데이터를 전송할 수도 있고, 적어도 하나의 또 다른 구성요소를 통하여 상기 데이터를 상기 다른 구성요소로 전송할 수도 있는 것을 의미한다. 반대로 어느 하나의 구성요소가 다른 구성요소로 데이터를 '직접 전송'하는 경우에는 상기 구성요소에서 다른 구성요소를 통하지 않고 상기 다른 구성요소로 상기 데이터가 전송되는 것을 의미한다.
이하, 첨부된 도면들을 참조하여 본 발명의 실시예들을 중심으로 본 발명을 상세히 설명한다. 각 도면에 제시된 동일한 참조부호는 동일한 부재를 나타낸다.
도 1은 본 발명의 일 실시 예에 따른 네트워크 보안 시스템의 개략적인 구성을 나타내는 도면이다.
도 1을 참조하면, 본 발명의 실시 예에 따른 네트워크 보안 시스템(100)은 침입탐지/방지 모듈(110), 패킷저장 모듈(120), 및 제어모듈(130)을 포함한다. 상기 네트워크 보안 시스템(100)은 DB(140) 및/또는 패킷서치 모듈(150)을 더 포함할 수 있다.
다른 실시 예에 의하면, 상기 네트워크 보안 시스템(100)은 패킷저장 모듈(120) 및 제어모듈(130)을 포함할 수 있다. 이러한 경우는 기존에 이미 구축된 IDS 또는 IPS 시스템(예컨대, 침입탐지/방지 모듈(110))에 본 발명의 기술적 사상을 적용하기 위해 네트워크 보안 시스템(100)이 적용되는 경우일 수 있다.
한편, 본 발명의 기술적 사상을 구현하기 위해서는 패킷추출 모듈(160)이 더 구비될 수 있다. 상기 패킷추출 모듈(160)은 네트워크로부터 복수의 패킷들을 수신할 수 있다. 상기 패킷추출 모듈(160)은 네트워크상의 소정의 위치에 설치되어 네트워크를 통해 이동하는 패킷들을 수집하여, 상기 침입탐지/방지 모듈(110) 및 상기 패킷저장 모듈(120)로 분배할 수 있다. 분배되는 패킷은 동일할 수 있음은 물론이다. 일 예에 의하면 상기 패킷추출 모듈(160)은 네트워크로부터 패킷들을 태핑(tapping)하는 장비를 포함하여 구현될 수 있다.
상기 패킷추출 모듈(160)은 예컨대, 소정의 로컬 에어리어 네트워크(LAN) 상에 존재하는 게이트웨이(gateway)의 전단 및/또는 후단에 위치하여 본 발명의 기술적 사상에 따라 네트워크를 검사할 수 있다. 그러면 상기 네트워크 보안 시스템(100)은 검사결과를 이용하여 따라 네트워크/트래픽을 컨트롤할 수 있다. 네트워크/트래픽을 컨트롤 한다 함은 소정의 세션, 플로우 및/또는 패킷별로 대역폭, 전송 속도를 조절하거나 전송을 차단하는 등의 인위적 행위를 의미할 수 있다. 상기 패킷추출 모듈(160)은 예컨대 소정의 NIC(Network Interface Card)로 구현될 수 있지만, 이에 한정되는 것은 아니다.
패킷추출 모듈(160)은 수신된 패킷을 상기 침입탐지/방지 모듈(110) 및 상기 패킷저장 모듈(120) 모두로 전송할 수 있다.
상기 침입탐지/방지 모듈(110)은 적용 보안 룰셋에 따라 실시간으로 패킷검사를 수행하여 침입을 탐지하는 침입탐지 프로세스 또는 침입탐지 결과에 따라 선택적으로 패킷을 통과시키는 침입방지 프로세스 중 적어도 하나를 수행할 수 있다. 침입탐지 프로세스 및 침입방지 프로세스를 모두 수행하는 경우에는, 패킷검사결과 문제가 없는 패킷만을 선택적으로 통과시킬 수 있다. 상기 침입탐지/방지 모듈(110)은 적어도 실시간으로 패킷검사를 수행하는 침입탐지 프로세스는 수행하고, 침입방지 프로세스를 선택적으로 더 수행할 수도 있다.
상기 적용 보안 룰셋은 검사시점에서 알려진 즉, 상기 네트워크 보안 시스템(100)에 저장되어서 적용 가능한 보안 룰셋의 전체 집합 즉, 풀 룰셋(full rule-set) 중 일부일 수 있다. 보안 룰셋은 복수의 보안 룰을 포함하는 의미일 수 있다. 또한 각각의 보안 룰은 보안검사의 기준이 되는 규칙을 포함할 수 있다. 예컨대, 패킷에 특정 패턴의 비트 스트림이 존재하거나, 패킷의 어떤 위치에 어떤 값 또는 텍스트가 존재하거나, 어떤 포트(port)로 수신되는 패킷이거나, 및/또는 패킷의 출발지 또는 목적지가 어떠한 값이거나 등의 규칙들이 적어도 하나 조합되어서 보안 룰을 형성할 수 있다. 이러한 보안 룰은 신규 보안 위협이 발생할 때마다 상기 네트워크 보안 시스템(100)에 해당 신규 보안 위협의 종류나 특징 그리고 이에 대응되는 보안 룰이 업데이트될 수 있음은 물론이다.
한편, 풀 룰셋은 통상 2만 여개가 넘는 보안 룰을 포함하는 것으로 알려져 있고, 신규 보안 위협이 발생할 때마다 그 수는 증가할 수밖에 없다. 그리고 실제로 아무리 고성능의 침입탐지/방지 모듈(110) 또는 종래의 알려진 IDS 또는 IPS라 하더라도 풀 룰셋을 모두 실시간으로 검사하는 것은 거의 불가능에 가깝다. 현실적으로 정도의 차이는 있지만 적용 보안 룰셋은 풀 룰셋의 10분의 1 수준으로 설정되는 것이 일반적이다. 즉, 종래의 네트워크 보안 시스템들은 이미 알려진 풀 룰셋 중 일부분만 적용 보안 룰셋으로 적용하여 실시간으로 검사를 수행하고, 나머지 보안 룰셋들은 검사를 수행하지 않게 된다.
따라서 적용 보안 룰셋의 나머지 보안 룰셋을 본 명세서에서는 운용상의 보안공백으로 표현하기로 한다. 운용상의 보안공백은 어쩔 수 없이 발생하는 보안상의 위협이지만 이러한 운용상의 보안공백을 최소화하기 위한 노력이 필요하였다. 이러한 노력은 예컨대, 보안 전문 인력이 해당 시점에서 보안 위협의 트렌드 등을 습득하고, 일정 주기별로 적용 보안 룰셋을 변경하는 방식이 존재해왔다. 하지만 보안 전문 인력을 고용하여야 하는 것도 큰 비용의 손실일 뿐만 아니라, 아무리 뛰어난 보안 전문 인력이라 하더라도 보안의 대상이 되는 네트워크에 실제로 어떠한 보안위협들이 존재하였는지를 정확히 알고, 그에 따라 적용 보안 룰셋을 최적화하는 것은 실질적으로 불가능하였다.
왜냐하면 침입탐지 프로세스를 통해서 실시간으로 검사를 수행한 보안 룰셋 이외에는 실제 어떠한 보안 위협이 존재하였는지를 알기가 어렵고, 이를 알기 위해서는 모든 패킷들을 별도로 저장한 후 저장된 패킷들에 대해 실제 일일이 풀 룰셋 또는 풀 룰셋 중 대부분의 보안 룰셋으로 검사를 수행해보아야만이 정확히 해당 네트워크에서 어떤 보안 위협이 존재하였는지를 알 수 있기 때문이다. 하지만 전술한 바와 같이 네트워크를 통과하는 모든 패킷들을 저장하는 것 자체가 매우 고비용이고, 이러한 모든 패킷들을 다 저장한 후 풀 룰셋으로 패킷검사를 수행한다고 하더라도 매우 오랜 시간이 걸릴 수 밖에 없었다. 그리고 오랜 시간 후에 비로소 검사결과를 확인하고, 적용 보안 룰셋을 변경하는 것은 비효율적일 수 있다.
이러한 문제점은 저장하는 패킷을 대폭으로 줄일 수 있으면서도, 실제로 모든 패킷을 저장해서 검사하는 것과 대동소이한 검사결과를 가질 수 있는 기술적 사상에 의해 해결될 수 있다. 본 발명은 이러한 기술적 사상을 제공함으로써 저장된 패킷의 양을 대폭 줄일 수 있으면서도 양질의 검사결과를 얻을 수 있고, 이를 통해 저장된 패킷에 대해 풀 룰셋 또는 운용상의 보안공백에 상응하는 보안 룰셋(예컨대, 풀 룰셋 중 적용 보안 룰셋을 제외한 보안 룰셋)으로 검사를 수행하여 빠른 검사결과를 획득할 수 있고, 이를 통해 적용 보안 룰셋을 적응적으로 변경할 수 있도록 함으로써 네트워크의 보안성을 효과적으로 높일 수 있도록 한다. 이러한 기술적 사상은 특정 세션의 초기 N(N은 자연수)개의 패킷만을 매우 빠른 시간에 선별할 수 있는 기술적 사상 및 선별된 세션의 초기 N개의 패킷을 선택적으로 저장하는 기술적 사상에 의해 달성될 수 있다. 이러한 기술적 사상에 대해서는 후술하도록 한다.
한편, 신규 보안 위협이 발생하는 경우에는 아무리 적용 보안 룰셋을 최적화하더라도 이를 방지할 수는 없다. 즉, 새로운 공격이 발생하면 시간적으로 일정 시간 후에 상기 새로운 공격에 대응되는 보안 룰이 생성될 수밖에 없다. 이러한 신규 보안 위협을 본 명세서에서는 '시간상의 보안 공백'으로 정의하기로 한다. 그리고 이러한 시간상의 보안 공백을 최소화하기 위한 기술적 사상 역시 전술한 바와 같이 효율적으로 선별된 패킷만을 저장하고, 저장된 패킷들을 고속으로 탐색할 수 있음으로 가능해질 수 있다. 이러한 기술적 사상 역시 후술하도록 한다.
상기 패킷저장 모듈(120)은 상기 패킷추출 모듈(160)로부터 수신된 복수의 패킷들 중에서 적어도 일부를 선택적으로 추출할 수 있다.
그러면 상기 제어모듈(130)은 패킷저장 모듈(120)에 의해 저장된 저장패킷에 대해 보안검사를 수행할 수 있다. 저장패킷에 대한 보안검사는 적용 보안 룰셋 이외의 보안 룰을 적어도 하나 검사 룰로써 설정하여 패킷검사를 수행하는 과정일 수 있다. 물론, 구현 예에 따라 패킷검사 시점의 풀 룰셋에 대해 패킷검사를 수행할 수도 있음은 물론이다. 또한, 적용 보안 룰셋을 저장패킷에 대해 검사할 때에도 적용할 수도 있다. 또는 풀 룰셋 중 적용 보안 룰셋을 제외한 나머지 보안 룰들에 대해서만 패킷검사를 수행할 수도 있다.
이러한 저장패킷에 대한 패킷검사는 상기 침입탐지/방지 모듈(110)이 수행하는 패킷검사의 시점보다 일정 시간 후일 수 있다. 따라서 침입탐지/방지 모듈(110)이 수행하는 패킷검사의 시점에서의 풀 룰셋과 상기 제어모듈(130)이 저장패킷에 대해 수행하는 패킷검사 시점에서의 풀 룰셋은 다를 수도 있다. 따라서 실시 예에 따라 침입탐지/방지 모듈(110)이 수행하는 패킷검사 시점에서의 풀 룰셋에 비해 저장패킷에 대해 수행하는 패킷검사시점에서 새로운 보안 룰이 풀 룰셋에 추가된 경우에는, 상기 새로운 보안 룰은 반드시 저장패킷에 대해서는 검사 룰로써 설정될 수 있도록 상기 제어모듈(130)은 적용 보안 룰셋을 변경할 수도 있다.
결국, 상기 제어모듈(130)은 저장패킷에 대해 적용 보안 룰셋에 포함되지 않은 적어도 하나의 보안 룰을 검사 룰로 설정하여 패킷검사를 수행하고, 패킷검사의 수행결과에 따라 현재 적용되고 있는 적용 보안 룰셋을 변경할 수 있다. 이하에서는 설명의 편의를 위해, 상기 제어모듈(130)은 저장패킷에 대해 풀 룰셋으로 검사를 수행하는 경우를 예시적으로 설명하도록 한다.
상기 제어모듈(130)이 적용 보안 룰셋을 변경한다고 함은, 변경 전의 적용 보안 룰셋에 포함된 보안 룰과 변경 후의 적용 보안 룰셋에 포함되는 보안 룰 중 적어도 하나는 다름을 의미할 수 있다. 따라서 변경전의 적용 보안 룰셋에 포함된 보안 룰이 변경 후의 적용 보안 룰셋에도 여전히 포함될 수 있음은 물론이다.
또한 상기 제어모듈(130)이 적용 보안 룰셋을 변경한다고 함은, 적용 보안 룰셋에 포함된 보안 룰의 개수는 유지한 채, 적용 보안 룰셋에 포함된 보안 룰을 대체하는 과정일 수도 있다.
하지만 구현 예에 따라서는 상기 제어모듈(130)은 적용 보안 룰셋에 포함될 보안 룰의 개수 역시 변경할 수도 있다. 예컨대, 상기 제어모듈(130)은 일정 주기별로 저장패킷에 대한 패킷검사를 수행할 수 있고, 그 결과 보안 위협이 기존에 비해 증대되고 있다고 판단한 경우에는 보안 룰의 개수를 증가시킬 수도 있다. 물론 이와 반대로 저장패킷에 대한 패킷검사결과에 따라 적용 보안 룰셋에 포함될 보안 룰의 개수를 줄일 수도 있다.
상기 제어모듈(130)은 변경된 적용 보안 룰셋에 대해 상기 침입탐지/방지 모듈(110)이 검사 룰로써 패킷검사를 수행할 수 있도록 할 수 있다. 예컨대, 상기 침입탐지/방지 모듈(110)이 자체적으로 적용 보안 룰셋을 저장하는 경우에는 변경된 적용 보안 룰셋에 대한 정보를 상기 침입탐지/방지 모듈(110)로 전송할 수도 있다. 또는 상기 제어모듈(130)은 소정의 저장위치에 변경된 적용 보안 룰셋에 대한 정보를 저장하고, 상기 침입탐지/방지 모듈(110)은 상기 저장위치에 저장된 상기 적용 보안 룰셋을 검사 룰로 설정하여 패킷검사를 수행하도록 할 수도 있다. 기타 다양한 방식으로 상기 제어모듈(130)은 적용 보안 룰셋을 변경할 수 있다.
상기 DB(140)는 본 발명의 기술적 사상을 구현하기 위해 필요한 정보들이 저장되는 정보의 저장수단을 의미할 수 있다. 상기 DB(140)에는 전술한 바와 같이 패킷저장 모듈(120)에 의해 저장된 저장패킷에 대한 정보, 후술할 바와 같은 플로우 정보, 세션 정보 등이 저장될 수 있음은 물론이다. 또한 적용 보안 룰셋에 대한 정보가 저장될 수도 있다. 기타 본 발명의 기술적 사상을 구현하기 위해 필요한 정보들이 저장되는 저장수단으로 상기 DB(140)가 구현되면 족하다. 또한 상기 DB(140)는 하나의 물리적 저장장치로만 구현될 필요는 없고, 복수의 물리적 저장장치로 구현될 수도 있다. 또한, 구현 예에 따라 상기 DB(140)는 상기 네트워크 보안 시스템(100)과는 분리된 물리적 장치로 구현될 수도 있고, 상기 네트워크 보안 시스템(100)은 네트워크를 통해 상기 DB(140)에 억세스할 수도 있다.
상기 패킷서치 모듈(150)은 DB(140)에 저장된 패킷을 서치하는 기능을 수행할 수 있다. 이때 후술할 바와 같이 고속의 다운드릴 서치가 가능하도록 할 수 있다. 그리고 이러한 고속의 패킷서치를 통해 시간상의 보안 공백을 줄일 수 있는 효과가 있다.
도 2는 본 발명의 일 실시 예에 따른 네트워크 보안 방법을 개략적으로 설명하기 위한 도면이다.
도 2를 참조하면, 본 발명의 실시 예에 따른 네트워크 보안방법을 위해서는 상기 네트워크 보안 시스템(100)에 의해 입력 트래픽의 효과적인 선택적 저장이 이루어질 수 있다(S100). 이러한 선택적 저장은 세션을 탐지하고, 세션의 초기 N 개의 선행패킷만을 추출하는 기술적 사상이 이용될 수 있다. 또한 후술할 바와 같이 세션의 초기 N 개의 선행패킷을 고속으로 추출하기 위해 플로우 정보를 이용하는 기술적 사상이 제공될 수 있다. 이러한 입력 트래픽의 선택적 저장은 상기 패킷저장 모듈(120)에 의해 수행될 수 있다.
한편, 상기 네트워크 보안 시스템(100)에 의해 실시간으로 침입탐지 또는 방지 프로세스가 이루어지고 있을 수 있다(S100-1). 이러한 침입탐지 또는 방지 프로세스는 전술한 바와 같이 적용 보안 룰셋에 의해 실시간 패킷검사를 통해 선택적인 패킷의 통과를 수행함으로써 이루어질 수 있다. 상기 네트워크 보안 시스템(100)은 풀 룰셋 중 소정의 방식으로 선택한 일부의 보안 룰셋을 상기 침입탐지 또는 방지 프로세스에서의 적용 보안 룰셋으로 선택하고, 이를 상기 침입탐지 또는 방지 프로세스의 검사 룰로 적용하고 있을 수 있다. 이러한 초기의 적용 보안 룰셋은 임의로 또는 소정의 보안 담당자에 의해 이루어질 수 있다.
그러면, 상기 네트워크 보안 시스템(100)은 저장패킷에 대해 보안검사를 수행할 수 있다(S110). 저장패킷에 대한 보안검사는 저장패킷에 대해 보안 룰에 해당하는 패킷인지를 판단하는 검사일 수 있으며, 전술한 바와 같이 풀 룰셋이 적용될 수 있지만 이에 국한되지는 않는다. 적어도 현재 침입참지 또는 방지 프로세스에 적용되고 있는 적용 보안 룰셋에는 포함되지 않은 적어도 하나의 보안 룰이 상기 저장패킷에 대한 보안검사에서 검사 룰로 이용될 수 있다.
상기 저장패킷에 대한 보안검사는 소정의 주기 단위(예컨대, 일/주 등)로 이루어질 수 있다. 이러한 주기가 빠를수록 더욱 즉각적으로 운용상의 보안공백에 대한 대응이 가능해질 수 있다. 그리고 이러한 주기를 단축하기 위해서는 저장패킷의 양이 적으면서도, 패킷검사의 품질이 높아질 수 있도록 효율적인 패킷저장이 이루어져야 할 수 있다.
그러면 상기 네트워크 보안 시스템(100)은 검사결과에 따라 적용 보안 룰셋을 변경할 수 있다(S120). 적용 보안 룰셋의 변경은 예컨대, 현재 설정된 적용 보안 룰셋으로는 탐지되지 않는 패킷이 저장패킷에 대한 보안검사 프로세스(S110)에서 탐지된 경우, 해당 패킷을 탐지할 수 있는 보안 룰이 포함되도록 하는 변경일 수 있다.
이러한 보안 룰의 변경을 위한 일 예는 LRU(Least Recently Used) 방식일 수도 있다. 즉, 가장 오랫동안 사용되지 않은(즉, 해당하는 보안 룰에 상응하는 보안 위협이 검출되지 않은) 보안 룰을 적용 보안 룰셋에서 제외하는 대신 새로운 보안 룰이 적용 보안 룰셋에 포함되도록 하는 방식일 수 있다. 하지만 이러한 구체적인 적용 보안 룰셋의 변경 방식은 다양할 수 있음을 본 발명의 기술분야의 평균적 전문가는 용이하게 추론할 수 있을 것이다.
한편, 상기 네트워크 보안 시스템(100)은 적용 보안 룰셋에 포함될 보안 룰의 개수 및/또는 저장패킷에 대한 보안검사 주기를 적응적으로 조절할 수도 있다. 이러한 조절은 저장패킷에 대한 보안검사 프로세스(S110)의 결과에 따라 보안 위협의 강도(예컨대, 탐지된 공격 또는 패킷의 수 등)에 따라 적응적으로 조절될 수 있다.
예컨대, 적용 보안 룰셋에 포함된 보안 룰의 개수의 조절은 네트워크의 성능을 심각하게 저하시키지 않는 범위내에서 수행되는 것이 바람직할 수 있다. 또한 저장패킷에 대한 보안검사 주기의 조절은 보안 위협의 강도가 강하다고 판단된 경우에는 짧게 조절되고, 반대의 경우에는 길게 조절될 수 있다.
적용 보안 룰셋의 변경이 이루어지면, 상기 침입탐지 또는 방지 프로세스는 변경된 적용 보안 룰셋에 따라 이루어질 수 있다.
결국 본 발명의 기술적 사상에 의하면, 운용상의 보안공백을 최소화하면서 실제 네트워크에서 이루어진 보안 위협에 따라 적응적 보안정책이 이루어질 수 있는 효과를 제공할 수 있다.
한편, 패킷저장 모듈(120)에 의해 선택적으로 패킷을 저장하는 개념에 대해서 설명하면 다음과 같다. 본 발명의 기술적 사상에 의하면, 상기 패킷저장 모듈(120)은 고속으로 세션들 각각의 선행 패킷 N개만을 추출하여 저장할 수 있다. 이를 위해 플로우를 이용하여 세션의 초기 N개의 선행 패킷을 추출하는 기술적 사상을 제공한다.
상기 패킷저장 모듈(120)은 플로우 생성모듈(121) 및 세션생성 모듈(122)을 포함할 수 있다.
상기 플로우 생성모듈(121)은 상기 패킷추출 모듈(160)에 의해 수신되는 패킷들에 기초하여 복수의 플로우들을 생성할 수 있다. 상기 패킷추출 모듈(160)은 상기 플로우 생성모듈(121)로 순차적으로 패킷들을 출력할 수 있다. 그러면, 상기 플로우 생성모듈(121)은 플로우를 생성할 수 있다. 플로우를 생성한다고 함은 후술할 바와 같이 플로우 정보를 생성하는 것을 의미할 수 있다. 구현 예에 따라서는, 선택적으로 상기 플로우 생성모듈(121)은 플로우에 포함되는 패킷을 추출하여 상기 DB(140)에 저장할 수도 있다. 상기 플로우 생성모듈(121)은 소정의 플로우에 해당하는 모든 패킷들을 저장토록 할 수도 있지만, 구현 예에 따라서는 후술할 바와 같이 상기 플로우를 포함하는 세션의 초기 몇 개의 패킷만을 최종적으로 상기 DB(140)에 저장토록 할 수도 있다.
물론, 상기 플로우 생성모듈(121)은 플로우 및 해당 플로우에 포함된 모든 패킷을 임시로 상기 DB(140)에 저장하고, 상기 세션 생성모듈(122)이 저장된 패킷들 중 선택적으로 일부만 저장하고 나머지는 삭제할 수도 있다.
본 명세서에서 플로우(flow)라 함은, 제한된 시간 내에 연속적으로 전달되는 IP 패킷들의 집합을 의미한다. 따라서, IP 플로우는 애플리케이션의 주소 쌍(송신자 주소, 송신자 포트 번호, 수신자 주소, 수신자 포트 번호), 호스트 쌍(송신자 네트워크 주소, 수신자 네트워크 주소), AS 번호 쌍(송신자 AS 번호, 수신자 AS 번호) 등으로 명세되는 제한된 시간 내에 연속적으로 전달되는 IP 패킷들의 흐름으로 정의될 수 있다. 이러한 플로우에 대한 개념 및 플로우를 형성하는 방식에 대해서는 상기한 선행기술문헌에 상세히 개시되어 있으므로 본 명세서에서는 상세한 설명은 생략하도록 한다. 또한, 본 명세서에서 플로우에 대한 개념, 플로우의 생성 방법에 대해서는 상기한 선행기술문헌에 개시된 기술적 사상 및 기재를 본 명세서의 레퍼런스로 포함하며, 본 명세서의 기재에 포함되는 것으로 취급할 수 있다.
패킷들의 속성 중 플로우를 생성하기 위한 일 예로 5-튜플(tuple)을 이용할 수 있다. 즉, 플로우 생성모듈(121)은 네트워크 상에서 패킷들을 입력으로 받아서 패킷들의 연속된 집합인 플로우를 생성하거나, 플로우를 형성하는 패킷들 중 일부를 추출할 수 있다. 플로우를 생성하거나 플로우 패킷을 검출하는 조건은 패킷들의 속성(예컨대, 5-Tuple(Source Address, Destination Address, Source Port, Destination Port, Protocol))를 비교하여 동일한 속성(예컨대, 5-튜플(tuple) 값)을 가지는 패킷이 존재하지 않으면 새로운 플로우를 생성하고, 만약에 동일한 값을 가지는 패킷이 존재하면 그 플로우의 플로우 정보를 업데이트할 수 있다.
패킷들의 연속된 집합이라 함은 반드시 물리적으로 연속된 패킷들을 의미하는 것이 아니라, 시간적으로 제한된 시간 내에 도달한 패킷의 속성이 동일한 패킷을 포함하는 의미로 사용될 수 있다.
상기 플로우 정보는 패킷의 5-튜플 정보를 포함하며, 플로우 사이즈(Flow Size), 지속기간(Duration) 즉, 플로우의 시작 시간(S.T) 및 종료 시간(E.T), 패킷 카운트(Packet Count, P.C), 평균 패킷 사이즈(Average Packet Size), 평균 레이트(Average Rate), 플래그(예컨대, 프로토콜을 위한 특별한 신호(SYN, FIN 등)) 및/또는 폴로우 사이즈 등을 포함할 수 있다. 상기 플로우 정보는 DB(140)로 출력되어 저장될 수 있다. 상기 플로우 생성모듈(121)은 상기 DB(140)에 소정의 플로우에 대한 플로우 정보 및 상기 플로우에 포함되는 패킷을 대응되도록 저장할 수 있다. 이러한 과정을 상기 플로우 생성모듈(121)이 플로우를 생성한다고 정의할 수 있다. 예컨대, 플로우 정보 및 플로우에 포함된 패킷이 물리적으로 연속되도록 저장될 수도 있고, 테이블, 링크 등과 같이 물리적으로는 분리되어 있더라도 용이하게 탐색될 수 있는 다양한 형태로 저장될 수 있다.
이렇게 저장된 패킷들 중 일부는 상기 세션 생성모듈(122)에 의해 생성되는 세션 정보에 기초하여 삭제될 수도 있다. 즉, 세션의 초기 N 개의 선행패킷을 제외하고는 삭제될 수도 있다. 따라서 구현 예에 따라서는 특정 플로우에 대해서는 플로우 정보만 저장되고, 상기 특정 플로우에 해당하는 패킷은 저장되지 않을 수도 있다.
상기 세션 생성모듈(122)은 상기 플로우 생성모듈(121)에 의해 복수의 플로우들이 저장장치(예컨대, 상기 DB(140))에 저장되면 즉, 복수의 플로우들이 생성되면, 상기 복수의 플로우들에 대한 정보에 기초하여 세션을 생성할 수 있다. 세션을 생성한다고 함은 생성된 복수의 플로우들 중에서 동일한 세션을 형성하는 플로우들을 추출하고, 추출된 플로우들에 대한 식별정보를 포함하는 세션 정보를 생성하여 상기 DB(140)에 저장하는 것을 의미할 수 있다. 또한 상기 세션 정보와 함께 상기 세션에 포함된 패킷들 중 선행 N 개의 선행패킷을 상기 세션 정보에 대응되도록 저장하는 과정을 포함하는 의미일 수도 있다. 선행패킷을 상기 세션 정보에 대응되도록 저장하는 과정은 이미 상기 플로우 생성모듈(121)에 의해 저장된 패킷들 중 상기 선행패킷을 제외하고 삭제하는 과정을 의미할 수도 있다. 또는 세션 정보 및 상기 선행패킷은 별도로 저장될 수도 있다. 이러한 경우에는 상기 선행패킷은 이중으로 저장될 수도 있다.
상기 세션 생성모듈(122)이 세션을 생성하는 개념은 도 3을 참조하여 설명하도록 한다.
도 3은 본 발명의 일 실시 예에 따른 네트워크 검사 시스템 제공방법을 위한 세션, 플로우, 및 패킷을 설명하기 위한 도면이다.
도 3을 참조하면, 소정의 장치들끼리 세션(S)이 형성되면, 상기 세션(S)은 적어도 하나의 플로우(F)로 구성될 수 있다. 또한, 상기 적어도 하나의 플로우는 각각 적어도 하나의 패킷(P)으로 구성될 수 있다.
본 발명의 기술적 사상에 의하면, 상기 네트워크 보안 시스템(100)은 소정의 네트워크상의 일 지점을 경유하는 패킷들을 수집할 수 있다. 이는 상기 패킷추출 모듈(160)에 의해 수행될 수 있다.
그리고 수집되는 패킷들의 패킷 속성(예컨대, 5튜플 등)에 기초하여 상기 네트워크 보안 시스템(100)은 플로우를 생성할 수 있다. 플로우의 생성방법에 대해서는 상술한 바와 같다. 이러한 플로우의 생성은 플로우 생성모듈(121)에 의해 수행될 수 있다. 각각의 플로우는 하나의 패킷만으로 구성될 수도 있고, 복수의 패킷들로 구성될 수도 있다. 또한 플로우별로 플로우 사이즈가 다를 수도 있다.
이처럼 플로우가 생성되면 상기 세션 생성모듈(122)은 세션을 생성할 수 있다. 그리고 상기 세션 생성모듈(122)은 생성되는 세션에 기초하여 복수의 패킷들 중 선택적으로 일부 또는 전부를 저장장치 또는 DB(140)에 저장할 수 있다.
이를 위해 상기 네트워크 보안 시스템(100)에는 적어도 하나의 패킷 저장모드를 제공할 수 있다.
본 발명의 기술적 사상에 따라 제공되는 상기 패킷 저장모드는 적어도 세션의 초기 N개의 패킷만을 저장하는 모드를 제공할 수 있다. 구현 예에 따라서는 미리 정해진 종류의 세션에 대해서만 상기 세션을 형성하는 패킷을 전부 또는 일부(예컨대, N개)만 저장하는 모드를 제공할 수도 있다. 구현 예에 따라서는 세션(모든 세션 또는 미리 정해진 종류의 세션)에 포함된 모든 패킷을 다 저장하는 모드를 제공할 수도 있다. 각각의 모드에 대해 상기 네트워크 보안 시스템(100)은 패킷들을 무작위로 저장하는 것이 아니라 상기 세션 생성모듈(122)에 의해 생성되는 세션정보에 따라 세션을 기준으로 하는 패킷저장 모드를 제공할 수 있다. 이러한 패킷저장 모드의 일 예들은 도 6을 참조하여 후술하도록 한다.
세션을 생성하기 위해 상기 세션 생성모듈(122)은 DB(140)에 저장된 플로우 정보를 확인할 수 있다. 동일한 세션에 포함되는 플로우들은 공통되는 특성을 가질 수 있다. 따라서 상기 세션 생성모듈(122)은 상기 DB(140)에 저장된 플로우들 중 상기 공통되는 특성을 가진 플로우들을 탐색할 수 있다. 또한 플로우 정보(예컨대, 플로우 정보에 포함되는 S.T, E.T 등의 정보)에 기초하여 각각의 플로우의 시간적 우선순위를 파악할 수 있다. 상기 세션 생성모듈(122)은 각각의 세션 형성 플로우의 플로우 정보에 포함되는 플래그 정보에 기초하여 해당 세션의 최선 플로우 및 최후 플로우를 파악할 수도 있다.
따라서 상기 세션 생성모듈(122)은 특정 세션에 포함되는 적어도 하나의 플로우 즉, 세션 형성 플로우를 추출할 수 있다. 상기 세션 형성 플로우는 하나의 플로우일 수도 있고, 복수의 플로우들을 포함할 수도 있다.
이처럼 본 발명의 기술적 사상에 따른 네트워크 보안 시스템(100)이 플로우만을 생성하는 것이 아니라, 생성한 플로우에 기초하여 세션을 생성하는 것은 세션의 초기 N(N은 자연수)개의 선행패킷에 의해 해당 세션의 중요한 특성들이 모두 파악될 수 있기 때문이다. 따라서 종래의 선행기술들이 수집되는 모든 패킷을 저장하고 검사(예컨대, DPI)하거나, 각각의 플로우별로 일정 개수의 선행패킷을 저장 및 검사하는 것에 비해 보다 적은 수의 보안검사만으로도 소정의 애플리케이션의 특성 또는 원하는 정보를 검사할 수 있다. 일반적으로 세션의 초기 5개 내외에 패킷을 검사하는 정도면 상기 세션에 포함되는 모든 패킷을 검사하는 것에 비해 검사의 품질에 큰 차이가 없음이 알려져 있다.
물론, 전술한 바와 같이 네트워크의 특성이나 보안의 강도에 따라 적어도 하나의 패킷 저장모드들이 제공되고, 상기 세션 생성모듈(122)은 적어도 하나의 패킷 저장모드 중에서 현재 설정된 설정모드에 상응하도록 패킷을 저장할 수 있다.
또한, 본 발명의 기술적 사상에 의하면 저장패킷에 대한 보안검사 프로세스의 검사대상이 되는 패킷의 양을 줄일 수 있게 되는 효과가 있다. 따라서 스토리지에 대한 이득이 발생할 수 있는 효과가 있다.
또한, 본 발명의 기술적 사상과 같이 패킷으로부터 플로우를 생성하고, 생성된 플로우를 이용하여 세션까지 생성하는 경우에는 특정 서비스 이용자가 패킷을 서치할 때에도 고속의 패킷 서치가 가능한 효과가 있다. 즉, 상기 네트워크 보안 시스템(100)이 세션의 초기 N개의 선행패킷만을 저장하는 것이 아니라 수집되는 모든 패킷을 저장할 수도 있는데, 이러한 경우에는 세션을 생성함으로써 생성되는 세션정보를 가장 먼저 탐색하여 원하는 패킷에 상응하는 세션을 탐색하고, 탐색된 세션으로부터 원하는 패킷에 상응하는 플로우를 탐색한 후 탐색된 플로우에 기초하여 패킷을 검색함으로써 고속의 다운드릴 서치가 가능한 효과가 발생한다. 왜냐하면 플로우만을 생성하는 경우에는 최악의 경우에 플로우의 개수만큼 서치를 수행한 후에 패킷을 서치할 수 있지만, 세션이 형성된 경우에는 최악의 경우에 세션의 개수만큼만 서치를 수행한 후, 빠른 시간에 해당 패킷에 상응하는 플로우 및 패킷을 탐색할 수 있기 때문이다. 물론, 초기 N 개의 선행패킷만을 저장하는 경우에도 이러한 효과는 여전히 존재한다. 또한, 패킷을 서치하고자 하는 서비스 이용자는 세션에 대한 정보는 알고 있을 수 있지만, 플로우에 대한 정보는 알지 못하는 경우도 존재할 수 있다. 따라서 본 발명의 기술적 사상과 같이 세션을 생성하는 경우에는 네트워크 리코딩 서비스에서 효율적이고 고속의 패킷 서칭이 가능해지는 효과가 있다.
구현 예에 따라서 상기 네트워크 보안 시스템(100)에 포함된 세션 생성모듈(122)은 수집되는 패킷들 중 N개의 선행패킷보다는 많은 M개의 패킷 즉, 저장패킷들을 저장할 수도 있다. 이러한 경우에도 상기 네트워크 보안 시스템(100)은 상기 선행패킷에 대해서만 보안검사를 실시할 수 있다. 또한 M개의 저장패킷을 저장해둠으로써 보안 검사뿐만 아니라 패킷 서치에도 원하는 패킷이 탐색될 가능성을 높여줄 수 있다. M은 서비스의 종류, 서비스 이용자의 요구에 따라 또는 상기 세션이 이용되는 애플리케이션의 종류에 따라 적응적으로 설정될 수 있다.
다시 도 1을 참조하면, 상기 세션 생성모듈(122)은 상기 플로우 생성모듈(121)이 생성한 복수의 플로우들에 기초하여 세션을 생성할 수 있다. 즉, 세션정보를 생성할 수 있다.
상기 세션 정보는 적어도 상기 세션에 포함되는 적어도 하나의 플로우 즉, 세션 형성 플로우들 각각의 인덱스(식별정보)를 포함할 수 있다. 또한, 상기 세션의 특성을 나타내는 다양한 정보들이 상기 세션 정보에 더 포함될 수 있다.
이러한 세션 정보의 생성을 통해 전술한 바와 같이 고속의 패킷 서칭이 가능할 수 있으며, 또한 세션의 생성을 통해 세션의 초기 N개의 선행패킷만을 특정할 수도 있다.
도 4를 참조하여 본 발명의 패킷들이 저장되는 개념적인 구조를 설명하면 다음과 같을 수 있다.
도 4는 본 발명의 일 실시 예에 따른 네트워크 검사 시스템 제공방법에 따른 패킷 서치를 수행하는 개념을 설명하기 위한 도면이다.
도 4를 참조하면, 상기 세션 생성모듈(122)은 전술한 바와 같이 소정의 세션을 생성할 수 있다. 세션의 생성을 통해 생성되는 세션 정보에는 도 4에 도시된 바와 같이 적어도 상기 세션에 포함되는 세션 형성 플로우의 식별정보가 포함될 수 있다.
또한, 상기 세션 정보에는 상기 세션의 5-튜플에 대한 정보, 시작시간(S.T) 및 종료시간(E.T), 패킷 카운트(P,C), 세션 사이즈(S.S)등에 대한 정보들이 더 포함될 수 있다.
상기 네트워크 보안 시스템(100)에 포함된 패킷 서치모듈(150)은 서비스 이용자의 단말기(미도시)로부터 수신되는 패킷 서치 요청에 응답하여, 상기 패킷 서치 요청에 상응하는 세션을 가장 먼저 탐색할 수 있다. 상기 패킷 서치 요청에는 상기 세션정보에 포함된 정보들이 적어도 하나 포함될 수 있음은 물론이다. 예컨대, 송신자 주소, 수신자 주소, 및 시간 정보 등이 상기 패킷 서치요청에 포함될 수 있다.
그러면 상기 패킷 서치모듈(150)은 상기 세션 정보에 포함된 세션 형성 플로우들 각각의 플로우 정보를 탐색하여 패킷 서치 요청에 상응하는 플로우를 탐색할 수 있다. 그리고 상기 패킷 서치 요청에 상응하는 플로우가 탐색되면, 상기 패킷 서치모듈(150)은 용이하게 상기 패킷 서치 요청에 상응하는 패킷을 상기 DB(140)로부터 탐색할 수 있다. 물론, 구현 예에 따라 상기 네트워크 보안 시스템(100)이 선행패킷만을 저장하는 경우에는 패킷 서치 요청에 상응하는 패킷은 존재하지 않을 수도 있다. 또한 모든 패킷들을 저장하는 경우에는 패킷 서치 요청에 상응하는 패킷은 탐색됨이 보장될 수도 있다.
결국, 본 발명의 기술적 사상은 패킷으로부터 플로우를 생성하고, 플로우로부터 세션을 생성한 후, 패킷을 서치할 때에는 세션, 플로우, 및 패킷 순으로 다운드릴 고속 서치가 가능해지는 효과가 있다.
이러한 고속 서치는 시간상의 보안 공백을 줄일 수 있는 효과가 있다. 즉 시간상의 보안 공백에 의해 공격을 당한 대상 네트워크 또는 대상 시스템에 대해 빨리 대응을 할 수 있도록 하는 것이 매우 중요한데, 이를 위해서는 시간상의 보안 공백에 의한 패킷서치가 빨리 이루어져야 하기 때문이다.
다시 도 1을 참조하면, 상기 제어모듈(130)은 세션 생성모듈(122)에 의해 저장된 패킷들에 대해 보안 검사를 수행할 수 있다. 일 예에 의하면 상기 세션 생성모듈(122)은 세션별로 선행패킷들만을 저장장치 또는 DB(140)에 저장할 수 있고, 이러한 경우 각각의 세션의 선행패킷들을 대상으로 보안 검사를 수행할 수 있다. 보안검사를 수행하는 방식은 다양할 수 있으며, 예컨대 종래의 DPI(Deep Packet Inspection) 등이 이용될 수도 있다. 상기 제어모듈(130)의 검사결과는 상기 DB(140)에 저장될 수 있음은 물론이다. 또한 제어모듈(130)에 의해 상기 선행패킷만 보안 검사가 수행될 수 있으므로, 세션이 종료되기 전에 상기 세션에 대한 보아 검사가 실시간으로 완료될 수도 있다.
또한, 전술한 바와 같이 본 발명의 기술적 사상에 의하면 세션별 미리 설정된 개수의 선행패킷들만을 저장하는 경우, 현재의 네트워크 패킷들을 실시간으로 검사할 수 있는 것뿐만 아니라, 고속으로 과거의 패킷들(즉, 기저장된 선행패킷들)을 검사할 수 있다. 즉, 과거에 대해서도 소급적으로 네트워크 검사가 가능한 효과가 있으며, 이러한 경우에는 이미 네트워크 공격을 받은 경우라도 적어도 네트워크 공격을 받았다는 사실을 고속으로 확인하고 공격받은 시스템(예컨대, 패킷들의 목적지)에 통보할 수도 있는 효과가 있다.
한편, 본 발명의 기술적 사상에 의하면, 전술한 바와 같이 상기 네트워크 보안 시스템(100)은 네트워크 리코딩 서비스에 이용될 수도 있다. 네트워크 리코딩을 위해서는 종래에는 수집되는 모든 패킷들을 저장해야 했지만, 본 발명의 기술적 사상에 의하면 세션을 형성함으로써 세션의 초기 N 개의 선행패킷만을 저장함으로써 저장 패킷의 양을 확연히 줄이면서도 중요한 정보들은 저장할 수 있게 된다. 물론, 서비스의 필요에 따라 M개의 저장패킷을 저장할 수도 있다. 이러한 경우에도 전체 패킷을 수집/저장하는 것에 비해 스토리지의 절약효과는 존재한다.
또한 본 발명의 기술적 사상에 의하면, 상기 네트워크 보안 시스템(100)은 미리 정해진 종류의 세션에 해당하는 패킷들만 저장할 수도 있다. 예컨대, 상기 네트워크 보안 시스템(100)은 HTTP, TCP 세션 등 미리 정해진 세션에 대해서만 네트워크 레코딩을 수행할 수 있다.
이처럼 미리 정해진 세션에 대해서만 네트워크 레코딩을 수행하는 기능은 상기 플로우 생성모듈(121)에 의해 수행될 수도 있고, 상기 세션 생성모듈(122)에 의해 생성될 수도 있다. 예컨대, 상기 플로우 생성모듈(121)은 패킷추출 모듈(160)에 의해 수집되는 패킷들 중 미리 정해진 세션에 해당하는 패킷들만을 대상으로 플로우를 생성할 수 있다. 또는 상기 플로우 생성모듈(121)은 모든 패킷들을 대상으로 플로우를 생성한 후, 상기 세션 생성모듈(122)이 생성된 플로우 중 미리 정해진 세션에 해당하지 않는 플로우는 상기 DB(140)로부터 삭제할 수도 있다.
상기 미리 정해진 세션에 해당하는지 여부는 패킷들의 포트정보에 기초하여 파악할 수 있다. 즉, 세션의 종류에 따라 포트번호가 바인딩(binding)될 수 있고, 이러한 포트번호에 기초하여 미리 정해진 세션에 해당하는 패킷 또는 플로우인지가 판단될 수 있다.
구현 예에 따라서는, 상기 패킷추출 모듈(160)이 미리 정해진 세션에 해당하는 패킷만을 상기 플로우 생성모듈(121)로 전송할 수도 있다.
어떠한 경우든 상기 네트워크 보안 시스템(100)은 미리 정해진 세션에 대해서만 네트워크 레코딩을 수행할 수도 있다.
결국, 본 발명의 기술적 사상에 의하면 종래의 네트워크 레코딩에 비해 저장되는 패킷의 절대적인 양이 줄어들 수 있고, 또한 원하는 세션에 대해서만 네트워크 레코딩이 수행될 수도 있다.
이를 개념적으로 도시하면 도 5와 같을 수 있다.
도 5는 본 발명의 일 실시 예에 따른 네트워크 검사 시스템 제공방법에 따른 효과를 설명하기 위한 도면이다.
도 5를 참조하면, 직사각형의 가로축은 세션 사이즈를 개념적으로 나타내고 세로축은 세션들을 개념적으로 나타낸다. 따라서 도 5에 도시된 사각형(10)은 수집되는 패킷들을 모두 저장하는 경우의 저장되는 패킷 양을 의미할 수 있다.
본 발명의 기술적 사상에 따른 네트워크 보안 시스템(100)은 특정 세션에 포함되는 패킷들 전부를 저장하는 것이 아니라, N 개의 선행패킷만(또는 M개의 저장패킷)을 저장할 수 있으므로 각 세션별로 저장되는 패킷의 양이 줄어들 수 있는 효과가 있다.
또한, 본 발명의 기술적 사상에 따른 네트워크 보안 시스템(100)은 모든 세션들에 대해 패킷을 저장하는 것이 아니라, 미리 정해진 종류의 세션만을 저장할 수 있으므로 미리 정해진 종류에 해당하지 않는 세션들(D에 해당)에 대해서는 아예 패킷 저장이 이루어지지 않을 수 있는 효과가 있다.
이처럼 본 발명의 기술적 사상에 의하면 저장하는 패킷의 절대적인 양을 줄이면서도 보안 검사에 유의미한 패킷들만 선택적으로 저장함으로 고속의 패킷 서치가 가능해지는 효과가 있다. 이와 동시에 전술한 바와 같이 세션 정보, 플로우 정보 순으로의 드릴다운 서치를 통해 고속의 패킷 서치가 가능해지는 효과가 있다.
도 6은 본 발명의 일 실시 예에 따른 네트워크 검사 시스템 제공방법을 통한 복수의 패킷저장 모드를 설명하기 위한 도면이다.
도 6을 참조하면, 직사각형의 가로축은 세션 사이즈를 개념적으로 나타내고 세로축은 세션들을 개념적으로 나타낸다. 따라서 도 6에 도시된 사각형(10)은 수집되는 패킷들을 모두 저장하는 경우의 저장되는 패킷 양을 의미할 수 있으며, 빗금친 영역(20)은 실제로 상기 세션 생성모듈(122)에 의해 저장된 패킷의 양을 나타낼 수 있다.
우선 도 6a는 패킷들을 저장하지 않는 경우를 나타내며, 이러한 경우에는 본 발명의 기술적 사상에 따라 실시간으로 패킷을 검사하는 경우를 나타낼 수 있다. 이때에는 종래의 DPI와 같은 기능을 수행할 수 있다. 하지만 이때에도 본 발명의 기술적 사상에 의하면 세션을 생성하고 생성된 세션의 선행패킷들만을 고속으로 검사할 수 있는 효과가 있다.
도 6b는 미리 정해진 종류의 세션에 대해서만 상기 세션의 모든 패킷을 검사하는 경우를 개념적으로 도시하고 있다. 도 6c는 모든 세션에 대해서 초기 N개의 선행패킷들을 저장하는 경우를 개념적으로 도시하고 있다.
도 6d는 미리 정해진 종류에 세션에 대해서 초기 N개의 선행패킷들을 저장하는 경우를 개념적으로 도시하고 있다. 또한, 도 6e는 모든 세션에 대해 모든 패킷들을 저장하는 경우를 개념적으로 도시하고 있다.
이와 같이 상기 네트워크 보안 시스템(100)은 도 6에 도시된 바와 같은 적어도 하나의 패킷저장 모드를 제공하며, 이 중에서 현재의 네트워크에 대해 설정된 설정모드에 따라 상기 네트워크 보안 시스템(100)은 적응적으로 패킷을 저장할 수 있다. 설정모드는 네트워크의 특성 또는 요구되는 보안성의 강도에 따라 적응적으로 선택될 수 있음은 물론이다.
또한 상기의 패킷저장 모드는 각 세션 별로 달리 적용될 수 있음은 물론이다.
도 7은 본 발명의 일 실시 예에 따라 과거의 네트워크 공격을 효과적으로 검사할 수 있는 개념을 설명하기 위한 도면이다.
즉, 시간상의 보안 공백을 줄일 수 있는 개념을 설명하기 위한 도면이다. 우선 도 7a는 종래의 네트워크 보안 시스템(예컨대, DPI)의 동작 개념을 예시적으로 나타내고 있다. 예컨대, 소정의 시점(t1)에서 신규 네트워크 위협이 발생할 수 있다. 이러한 신규 네트워크 위협에 상응하는 네트워크 검사 룰(예컨대, 신규 위협을 나타내는 패킷 시그너쳐 등)은 일정 시간이 지난 후(t2)에 설정될 수 있으며, 이러한 경우 종래의 네트워크 보안 시스템은 상기 시점(t2) 이후에만 상기 신규 네트워크 위협에 대응할 수 있게 된다. 즉, 시점(t1) 및 시점(t2) 사이에 실제로 네트워크 공격이 있었다고 하더라도 이를 인지할 수 없는 문제점이 있다.
물론 종래에도 네트워크 검사 시스템(예컨대, DPI) 및 네트워크 레코딩 시스템을 모두 사용하는 경우에는 시점(t1) 및 시점(t2) 사이에 네트워크 공격을 인지할 수도 있다. 하지만 이러한 경우에도 종래의 네트워크 레코딩은 본 발명의 기술적 사상에 비해 많은 수의 패킷들이 저장되어야 했고 이에 따라 고속으로 과거의 네트워크 공격을 인지하거나 이에 따른 대응을 할 수 없는 문제점이 있었다.
이에 비해 도 7b에 도시된 바와 같은 본 발명의 기술적 사상에 따른 네트워크 검사 방법에 의하면 시점(t1) 및 시점(t2) 사이에 네트워크 레코딩이 수행되면서도 적은 수의 패킷들의 저장만으로도 네트워크 레코딩이 수행될 수 있는 효과가 있다. 이를 통해 고속으로 과거의 네트워크에 대해서 소급적인 네트워크 검사가 수행될 수 있고, 이를 통해 공격된 대상에 대한 빠른 조치가 가능해질 수 있는 효과가 있다. 물론, 시점(t2) 이후에는 실시간으로 고속의 네트워크 검사가 가능할 수 있음은 물론이다.
본 발명의 실시예에 따른 네트워크 보안 방법은 컴퓨터가 읽을 수 있는 프로그램 명령 형태로 구현되어 컴퓨터로 읽을 수 있는 기록 매체에 저장될 수 있으며, 본 발명의 실시예에 따른 제어 프로그램 및 대상 프로그램도 컴퓨터로 판독 가능한 기록 매체에 저장될 수 있다. 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다.
기록 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 소프트웨어 분야 당업자에게 공지되어 사용 가능한 것일 수도 있다.
컴퓨터로 읽을 수 있는 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media) 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 전자적으로 정보를 처리하는 장치, 예를 들어, 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.
상술한 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시 예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타나며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.

Claims (17)

  1. 네트워크 보안 시스템이 네트워크로부터 수신하는 복수의 패킷들 중 미리 설정된 적용 보안 룰셋에 따라 보안 위협을 탐지하거나 허용된 패킷만을 통과시키는 침입탐지 또는 방지 프로세스 및 상기 복수의 패킷들 중에서 세션을 형성하는 세션형성 패킷들 중 상기 세션의 초기 N(N은 자연수)개의 선행 패킷을 저장하는 패킷 저장 프로세스를 수행하는 단계; 및
    상기 네트워크 보안 시스템이 상기 패킷 저장 프로세스를 통해 저장된 저장 패킷들의 보안검사의 수행결과에 기초하여 상기 침입탐지 또는 방지 프로세스에 적용될 상기 적용 보안 룰셋-상기 적용 보안 룰셋은 다수의 보안 룰중 침입탐지 또는 침입방지에 실제 적용할 복수 개의 보안 룰들의 집합임-을 제1보안 룰셋에서 제2보안 룰셋으로 변경하는 단계를 포함하며,
    상기 적용 보안 룰셋-상기 적용 보안 룰셋은 다수의 보안 룰중 침입탐지 또는 침입방지에 실제 적용할 복수 개의 보안 룰들의 집합임-을 제1보안 룰셋에서 제2보안 룰셋으로 변경하는 단계는,
    상기 제1보안 룰셋으로는 탐지되지 않는 패킷이 상기 저장패킷들에 대한 보안검사-상기 저장패킷들에 대한 보안검사는 상기 제1보안 룰셋에서는 포함되지 않은 적어도 하나의 보안 룰이 포함되는 검사임-의 수행결과 탐지된 경우, 상기 탐지되지 않는 패킷을 탐지할 수 있는 보안 룰을 포함하는 상기 제2보안 룰셋으로 상기 적용 보안 룰셋을 변경하는 단계를 포함하는 적응적 룰셋 세팅을 수행하는 네트워크 보안방법.
  2. 삭제
  3. 삭제
  4. 제1항에 있어서, 상기 보안검사의 수행결과에 기초하여 상기 침입탐지 또는 방지 프로세스에 적용될 적용 보안 룰셋을 제1보안 룰셋에서 제2보안 룰셋으로 변경하는 단계는,
    상기 보안검사의 수행결과에 기초하여, 상기 제2보안 룰셋에 포함될 적어도 하나의 제2보안 룰을 결정하는 단계; 및
    결정된 적어도 하나의 제2보안 룰을 상기 제1보안 룰셋에 신규로 추가하거나 상기 제1보안 룰셋에 포함된 적어도 하나의 제1보안 룰과 대체하여 상기 제2보안 룰셋을 특정하는 단계를 포함하는 적응적 룰셋 세팅을 수행하는 네트워크 보안방법.
  5. 제4항에 있어서, 결정된 적어도 하나의 제2보안 룰을 상기 제1보안 룰셋에 신규로 추가하거나 상기 제1보안 룰셋에 포함된 적어도 하나의 제1보안 룰과 대체하여 상기 제2보안 룰셋을 특정하는 단계는,
    상기 제1보안 룰셋에 포함된 보안 룰들 중 보안 위협이 검출되지 않은 가장 오래된 보안 룰의 순서대로 대체될 상기 적어도 하나의 제1보안 룰을 결정하는 단계를 포함하는 적응적 룰셋 세팅을 수행하는 네트워크 보안방법.
  6. 제1항에 있어서, 상기 적응적 룰셋 세팅을 수행하는 네트워크 보안방법은,
    상기 네트워크 보안 시스템이 소정의 주기로 수행되는 상기 보안검사의 수행결과에 따라 상기 주기를 변경하거나 상기 적용 보안 룰셋에 포함될 보안 룰의 개수를 변경하는 단계를 더 포함하는 적응적 룰셋 세팅을 수행하는 네트워크 보안방법.
  7. 제1항에 있어서, 상기 적응적 룰셋 세팅을 수행하는 네트워크 보안방법은,
    상기 네트워크 보안 시스템이 상기 복수의 패킷들에 기초하여 상기 복수의 패킷들이 형성하는 복수의 플로우들을 생성하는 단계; 및
    상기 네트워크 보안 시스템이 생성된 상기 복수의 플로우들에 대한 정보에 기초하여 상기 복수의 플로우들 중 동일한 세션을 형성하는 적어도 하나의 세션 형성 플로우를 추출하고 추출된 상기 세션 형성 플로우에 기초하여 세션정보 및 상기 선행패킷을 특정하는 단계를 더 포함하는 적응적 룰셋 세팅을 수행하는 네트워크 보안방법.
  8. 네트워크 보안 시스템이 네트워크로부터 수신하는 복수의 패킷들 중에서 세션을 형성하는 세션형성 패킷들 중 상기 세션의 초기 N(N은 자연수)개의 선행 패킷을 저장하는 패킷 저장 프로세스를 수행하는 단계; 및
    상기 네트워크 보안 시스템이 상기 패킷 저장 프로세스를 통해 저장된 저장 패킷들의 보안검사의 수행결과에 기초하여, 미리 설정된 적용 보안 룰셋에 따라 보안 위협을 탐지하거나 허용된 패킷만을 통과시키는 침입탐지 또는 방지 프로세스에 적용될 상기 적용 보안 룰셋-상기 적용 보안 룰셋은 다수의 보안 룰중 침입탐지 또는 침입방지에 실제 적용할 복수 개의 보안 룰들의 집합임-을 제1보안 룰셋에서 제2보안 룰셋으로 변경하는 단계를 포함하며,
    상기 적용 보안 룰셋-상기 적용 보안 룰셋은 다수의 보안 룰중 침입탐지 또는 침입방지에 실제 적용할 복수 개의 보안 룰들의 집합임-을 제1보안 룰셋에서 제2보안 룰셋으로 변경하는 단계는,
    상기 제1보안 룰셋으로는 탐지되지 않는 패킷이 상기 저장패킷들에 대한 보안검사-상기 저장패킷들에 대한 보안검사는 상기 제1보안 룰셋에서는 포함되지 않은 적어도 하나의 보안 룰이 포함되는 검사임-의 수행결과 탐지된 경우, 상기 탐지되지 않는 패킷을 탐지할 수 있는 보안 룰을 포함하는 상기 제2보안 룰셋으로 상기 적용 보안 룰셋을 변경하는 단계를 포함하는 적응적 룰셋 세팅을 수행하는 네트워크 보안방법.
  9. 데이터 처리장치에 설치되며 상기 제1항, 제4항 내지 제8항 중 어느 한 항에 기재된 방법을 수행하기 위한 매체에 기록된 컴퓨터 프로그램.
  10. 네트워크로부터 수신하는 복수의 패킷들 중 미리 설정된 적용 보안 룰셋에 따라 보안 위협을 탐지하거나 허용된 패킷만을 통과시키는 침입탐지 또는 방지 프로세스를 수행하는 침입탐지/방지 모듈;
    상기 복수의 패킷들 중에서 세션을 형성하는 세션형성 패킷들 중 상기 세션의 초기 N(N은 자연수)개의 선행 패킷을 저장하는 패킷 저장 프로세스를 수행하는 패킷 저장모듈; 및
    상기 패킷 저장 프로세스를 통해 저장된 저장 패킷들의 보안검사의 수행결과에 기초하여 상기 침입탐지 또는 방지 프로세스에 적용될 상기 적용 보안 룰셋-상기 적용 보안 룰셋은 다수의 보안 룰중 침입탐지 또는 침입방지에 실제 적용할 복수 개의 보안 룰들의 집합임-을 제1보안 룰셋에서 제2보안 룰셋으로 변경하기 위한 제어모듈을 포함하며,
    상기 제어모듈은,
    상기 제1보안 룰셋으로는 탐지되지 않는 패킷이 상기 저장패킷들에 대한 보안검사-상기 저장패킷들에 대한 보안검사는 상기 제1보안 룰셋에서는 포함되지 않은 적어도 하나의 보안 룰이 포함되는 검사임-의 수행결과 탐지된 경우, 상기 탐지되지 않는 패킷을 탐지할 수 있는 보안 룰을 포함하는 상기 제2보안 룰셋으로 상기 적용 보안 룰셋을 변경하는 적응적 룰셋 세팅을 수행하는 네트워크 보안시스템.
  11. 삭제
  12. 삭제
  13. 제10항에 있어서, 상기 제어모듈은,
    상기 보안검사의 수행결과에 기초하여, 상기 제2보안 룰셋에 포함될 적어도 하나의 제2보안 룰을 결정하고, 결정된 적어도 하나의 제2보안 룰을 상기 제1보안 룰셋에 신규로 추가하거나 상기 제1보안 룰셋에 포함된 적어도 하나의 제1보안 룰과 대체하여 상기 제2보안 룰셋을 특정하는 적응적 룰셋 세팅을 수행하는 네트워크 보안시스템.
  14. 제13항에 있어서, 상기 제어모듈은,
    상기 제1보안 룰셋에 포함된 보안 룰들 중 보안 위협이 검출되지 않은 가장 오래된 보안 룰 순서대로 대체될 상기 적어도 하나의 제1보안 룰을 결정하는 적응적 룰셋 세팅을 수행하는 네트워크 보안시스템.
  15. 제10항에 있어서, 상기 제어모듈은,
    소정의 주기로 수행되는 상기 보안검사의 수행결과에 따라 상기 주기를 변경하거나 상기 적용 보안 룰셋에 포함될 보안 룰의 개수를 변경하는 적응적 룰셋 세팅을 수행하는 네트워크 보안시스템.
  16. 제10항에 있어서, 상기 패킷 저장모듈은,
    상기 복수의 패킷들에 기초하여 상기 복수의 패킷들이 형성하는 복수의 플로우들을 생성하고,
    생성된 상기 복수의 플로우들에 대한 정보에 기초하여 상기 복수의 플로우들 중 동일한 세션을 형성하는 적어도 하나의 세션 형성 플로우를 추출하고 추출된 상기 세션 형성 플로우에 기초하여 세션정보 및 상기 선행패킷을 특정하는 적응적 룰셋 세팅을 수행하는 네트워크 보안시스템.
  17. 네트워크로부터 수신하는 복수의 패킷들 중에서 세션을 형성하는 세션형성 패킷들 중 상기 세션의 초기 N(N은 자연수)개의 선행 패킷을 저장하는 패킷 저장 프로세스를 수행하는 패킷 저장모듈; 및
    상기 패킷 저장 프로세스를 통해 저장된 저장 패킷들의 보안검사의 수행결과에 기초하여, 미리 설정된 적용 보안 룰셋에 따라 보안 위협을 탐지하거나 허용된 패킷만을 통과시키는 침입탐지 또는 방지 프로세스에 적용될 상기 적용 보안 룰셋-상기 적용 보안 룰셋은 다수의 보안 룰중 침입탐지 또는 침입방지에 실제 적용할 복수 개의 보안 룰들의 집합임-을 제1보안 룰셋에서 제2보안 룰셋으로 변경하기 위한 제어모듈을 포함하며,
    상기 제어모듈은,
    상기 제1보안 룰셋으로는 탐지되지 않는 패킷이 상기 저장패킷들에 대한 보안검사-상기 저장패킷들에 대한 보안검사는 상기 제1보안 룰셋에서는 포함되지 않은 적어도 하나의 보안 룰이 포함되는 검사임-의 수행결과 탐지된 경우, 상기 탐지되지 않는 패킷을 탐지할 수 있는 보안 룰을 포함하는 상기 제2보안 룰셋으로 상기 적용 보안 룰셋을 변경하는 적응적 룰셋 세팅을 수행하는 네트워크 보안시스템.
KR1020160162984A 2016-12-01 2016-12-01 적응적 룰셋 세팅을 수행하는 네트워크 보안 시스템 및 그 방법 KR102050089B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160162984A KR102050089B1 (ko) 2016-12-01 2016-12-01 적응적 룰셋 세팅을 수행하는 네트워크 보안 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160162984A KR102050089B1 (ko) 2016-12-01 2016-12-01 적응적 룰셋 세팅을 수행하는 네트워크 보안 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20180062838A KR20180062838A (ko) 2018-06-11
KR102050089B1 true KR102050089B1 (ko) 2019-11-28

Family

ID=62603175

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160162984A KR102050089B1 (ko) 2016-12-01 2016-12-01 적응적 룰셋 세팅을 수행하는 네트워크 보안 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR102050089B1 (ko)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102120795B1 (ko) * 2018-12-19 2020-06-10 엑사비스 주식회사 적응적으로 패킷 저장을 수행하는 네트워크 검사 방법 및 이를 수행하는 시스템
US11652801B2 (en) 2019-09-24 2023-05-16 Pribit Technology, Inc. Network access control system and method therefor
KR102119257B1 (ko) * 2019-09-24 2020-06-26 프라이빗테크놀로지 주식회사 터널에 기반하여 단말의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102309669B1 (ko) * 2020-02-11 2021-10-07 충북대학교 산학협력단 제로데이 공격으로 인한 피해 방지 시스템
KR102573900B1 (ko) * 2021-09-15 2023-09-01 충북대학교 산학협력단 패킷 검사 시간 처리 방법 및 이를 지원하는 보안 지원 장치
KR20240065966A (ko) * 2022-11-07 2024-05-14 엑사비스 주식회사 효율적으로 데이터를 저장하는 네트워크 검사 방법 및 이를 수행하는 시스템

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090217341A1 (en) * 2008-02-22 2009-08-27 Inventec Corporation Method of updating intrusion detection rules through link data packet

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2783504B2 (ja) 1993-12-20 1998-08-06 神鋼鋼線工業株式会社 ステンレス鋼線状体
KR100596386B1 (ko) * 2003-12-05 2006-07-03 한국전자통신연구원 아이피 프래그먼트 패킷에 대한 동적 필터링 방법
KR20110019891A (ko) 2009-08-21 2011-03-02 삼성전자주식회사 원격 데이터 백업 방법 및 이를 이용한 원격 데이터 백업 시스템
KR101715107B1 (ko) * 2015-04-07 2017-03-27 엑사비스 주식회사 리트로액티브 네트워크 검사 시스템 및 그 제공방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090217341A1 (en) * 2008-02-22 2009-08-27 Inventec Corporation Method of updating intrusion detection rules through link data packet

Also Published As

Publication number Publication date
KR20180062838A (ko) 2018-06-11

Similar Documents

Publication Publication Date Title
KR102050089B1 (ko) 적응적 룰셋 세팅을 수행하는 네트워크 보안 시스템 및 그 방법
US11824875B2 (en) Efficient threat context-aware packet filtering for network protection
US8707440B2 (en) System and method for passively identifying encrypted and interactive network sessions
US9060019B2 (en) Out-of band IP traceback using IP packets
EP2482497B1 (en) Data forwarding method, data processing method, system and device thereof
CN114641968A (zh) 用于移动设备的有效网络保护的方法和系统
US20090113517A1 (en) Security state aware firewall
KR101553264B1 (ko) 네트워크 침입방지 시스템 및 방법
CN107800668B (zh) 一种分布式拒绝服务攻击防御方法、装置及系统
US11128491B2 (en) Network layer performance and security provided by a distributed cloud computing network
François et al. Network security through software defined networking: a survey
US8161555B2 (en) Progressive wiretap
KR101715107B1 (ko) 리트로액티브 네트워크 검사 시스템 및 그 제공방법
KR102174462B1 (ko) 네트워크 보안 방법 및 이를 수행하는 시스템
CN106059939B (zh) 一种报文转发方法及装置
KR101211147B1 (ko) 네트워크 검사 시스템 및 그 제공방법
KR102584775B1 (ko) 회귀보안검사를 이용한 이상행위 학습 및 탐지 시스템 및 그 방법
KR102120795B1 (ko) 적응적으로 패킷 저장을 수행하는 네트워크 검사 방법 및 이를 수행하는 시스템
US20210067525A1 (en) System and method for network security performing adaptive rule-set setting
KR102023777B1 (ko) 패킷 저장을 수행하는 네트워크 검사 방법 및 이를 수행하는 시스템
CN112422482B (zh) 一种面向服务的尾端链路洪泛攻击过滤方法
EP4080822B1 (en) Methods and systems for efficient threat context-aware packet filtering for network protection
KR20240065966A (ko) 효율적으로 데이터를 저장하는 네트워크 검사 방법 및 이를 수행하는 시스템
RU2697698C2 (ru) Способ обработки сетевого трафика с использованием межсетевого экранирования
KR20230017590A (ko) 가입자 네트워크의 DDoS 트래픽 차단방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
E90F Notification of reason for final refusal
AMND Amendment
X701 Decision to grant (after re-examination)