KR102088308B1 - Cloud security analysing apparatus, apparatus and method for management of security policy based on nsfv - Google Patents

Cloud security analysing apparatus, apparatus and method for management of security policy based on nsfv Download PDF

Info

Publication number
KR102088308B1
KR102088308B1 KR1020170010978A KR20170010978A KR102088308B1 KR 102088308 B1 KR102088308 B1 KR 102088308B1 KR 1020170010978 A KR1020170010978 A KR 1020170010978A KR 20170010978 A KR20170010978 A KR 20170010978A KR 102088308 B1 KR102088308 B1 KR 102088308B1
Authority
KR
South Korea
Prior art keywords
security
analysis
network
data
unit
Prior art date
Application number
KR1020170010978A
Other languages
Korean (ko)
Other versions
KR20180086919A (en
Inventor
김종현
김현주
이종훈
김익균
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020170010978A priority Critical patent/KR102088308B1/en
Publication of KR20180086919A publication Critical patent/KR20180086919A/en
Application granted granted Critical
Publication of KR102088308B1 publication Critical patent/KR102088308B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 및 보안 정책 관리 장치 및 방법이 개시된다. 본 발명에 따른 네트워크 보안 기능 가상화 기반의 보안 정책 관리 장치는, 클라우드 보안 분석 장치로부터 보안 데이터를 포함하는 분석 요청 메시지를 수신하는 분석 요청 수신부, 테넌트 단위 및 사용자 단위 중 적어도 어느 하나를 포함하는 분석 단위 별로, 상기 보안 데이터의 연관성 분석을 수행하는 연관성 분석부, 상기 연관성 분석의 수행 결과를 기반으로, 보안 제어 명령 및 보안 정책 중 적어도 어느 하나를 설정하는 보안 정책 설정부, 그리고 설정된 상기 보안 제어 명령 및 상기 보안 정책 중 적어도 어느 하나를 상기 클라우드 보안 분석 장치로 전송하는 보안 정책 전송부를 포함한다. An apparatus and method for cloud security analysis and security policy management based on network security function virtualization are disclosed. The security policy management apparatus based on network security function virtualization according to the present invention includes an analysis request receiving unit that receives an analysis request message including security data from a cloud security analysis unit, an analysis unit including at least one of a tenant unit and a user unit. Poorly, a correlation analysis unit for performing a correlation analysis of the security data, a security policy setting unit for setting at least one of a security control command and a security policy based on a result of performing the correlation analysis, and the set security control command and And a security policy transmission unit transmitting at least one of the security policies to the cloud security analysis device.

Description

네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치, 보안 정책 관리 장치 및 보안 정책 관리 방법{CLOUD SECURITY ANALYSING APPARATUS, APPARATUS AND METHOD FOR MANAGEMENT OF SECURITY POLICY BASED ON NSFV}Cloud security analysis device based on network security function, security policy management device and security policy management method {CLOUD SECURITY ANALYSING APPARATUS, APPARATUS AND METHOD FOR MANAGEMENT OF SECURITY POLICY BASED ON NSFV}

본 발명은 클라우드 환경에서 네트워크 보안 기능 가상화 기반의 보안 정보를 관리하는 기술에 관한 것으로, 특히 테넌트 단위 및 사용자 단위 별로 네트워크 보안 기능 가상화(NSFV) 기반의 보안 정보를 수집, 분석 및 관리하는 기술에 관한 것이다.The present invention relates to a technology for managing security information based on network security function virtualization in a cloud environment, in particular, a technology for collecting, analyzing and managing security information based on network security function virtualization (NSFV) for each tenant unit and user unit. will be.

컴퓨터 네트워크의 기술발전에 따라 각 사용자 단말의 독립적인 하드웨어 성능에 의존하던 기존의 컴퓨팅 환경은 네트워크 상의 모든 컴퓨팅 자원을 활용하여 사용자 단말의 요청에 따라 해당 서비스를 제공하는 클라우드 컴퓨팅(Cloud Computing) 형태로 진화하고 있다. 최근에는 네트워크의 효율적인 구성과 활용을 위해 소프트웨어 정의 네트워크(Software-defined Network, SDN) 기술을 적용한 네트워크 보안 기능 가상화(NSFV) 기술이 개발되고 있다.The existing computing environment, which relied on the independent hardware performance of each user terminal according to the development of computer networks, is in the form of cloud computing that provides the corresponding service at the request of the user terminal by utilizing all computing resources on the network. Is evolving. Recently, a network security function virtualization (NSFV) technology using a software-defined network (SDN) technology has been developed to efficiently configure and utilize the network.

기존에는 네트워크 보안 장비들의 하드웨어와 소프트웨어가 한 곳에 위치하고 있어 소프트웨어가 하드웨어에 의존하게 되는 구조였다. 이러한 구조에서는 신규 소프트웨어를 네트워크 보안 장비에 적용하기 위해서 하드웨어도 같이 구축해야 하는 단점이 존재하였다. 하지만 네트워크 보안 기능 가상화(NSFV) 기술을 적용하면 하드웨어와 소프트웨어를 분리할 수 있어 위와 같은 단점을 해결할 수 있다. 즉, 신규 소프트웨어를 네트워크 보안 장비에 적용할 때 별도로 새롭게 하드웨어 장비를 구축할 필요가 없어, 네트워크 보안 장비에 대한 투자비용과 운용비용 등을 절감할 수 있다.Previously, the hardware and software of network security devices were located in one place, so the software was dependent on the hardware. In this structure, in order to apply the new software to the network security equipment, there was a disadvantage in that hardware must also be built. However, applying the network security function virtualization (NSFV) technology can separate hardware and software to solve the above disadvantages. That is, when applying the new software to the network security equipment, there is no need to construct a new hardware equipment separately, thereby reducing the investment cost and operation cost for the network security equipment.

네트워크 보안 기능 가상화(NSFV)는 네트워크 보안 장비의 구성요소인 하드웨어와 소프트웨어를 분리하고, 범용 서비스 가상화 기반에서 네트워크 보안 기능을 가상화해 제공하는 기술을 의미한다. 즉, 물리적인 네트워크 보안 장비의 기능을 가상화하여 가상 머신(Virtual Machine) 서버 또는 범용 프로세서를 탑재한 하드웨어에서 실행하는 방식이다. 네트워크 보안 기능 가상화 기술은 다양한 네트워크 보안 장비들을 고성능 서버, 스토리지와 가상화 스위치를 통해 컨트롤하여 네트워크 보안 장비 운영 비용 등을 절감하고, 효율성을 높이며, 보안 서비스 대응 및 유해 트래픽 탐지 등에 신속하게 대처할 수 있다.Network security function virtualization (NSFV) refers to a technology that separates hardware and software components of network security equipment and virtualizes and provides network security functions on a general-purpose service virtualization basis. That is, it is a method of virtualizing the functions of a physical network security device and executing it on hardware equipped with a virtual machine server or a general-purpose processor. Network Security Function Virtualization technology can control various network security devices through high-performance servers, storage and virtualization switches to reduce operating costs of network security devices, increase efficiency, and respond quickly to security service response and harmful traffic detection.

구체적으로 네트워크 보안 기능 가상화 기술을 적용하면 새로운 장비를 설치하지 않아도 되는 장점이 있어 효율성을 증대시킬 수 있으며, 신규 보안 장비의 투자비용 및 유지비용 또한 절감할 수 있다. 뿐만 아니라 네트워크 보안 기능 가상화 기술은 소프트웨어 기반으로 구동이 가능하도록 만들어진 구조적인 특성으로 인해, 신규 보안 서비스 및 애플리케이션을 보다 빨리 출시할 수 있어 급변하는 시장 상황을 적절하게 반영할 수 있다.Specifically, applying the network security function virtualization technology has the advantage of not having to install new equipment, thereby increasing efficiency, and also reducing investment and maintenance costs of new security equipment. In addition, the network security function virtualization technology is able to launch new security services and applications more quickly due to the structural characteristics made possible to run on a software basis, so that it can properly reflect the rapidly changing market conditions.

그러나, 이러한 클라우딩 컴퓨팅 환경에서는 외부의 해킹 공격 등의 보안 위협으로부터 자산을 보호할 수 있는 보안 문제가 가장 핵심 이슈로 부각되고 있으나, 기존의 보안관제시스템은 서비스 제공자의 고정 보안 장비에만 의존하여 단편적으로 발생하는 보안 이벤트를 수집 및 관리하였다. However, in this cloud computing environment, the security problem that can protect assets from external threats such as hacking attacks has emerged as the most important issue, but the existing security control system is only fragmented by relying only on fixed security equipment of the service provider. The security events that occurred are collected and managed.

특히, 종래 기술은 특정 서버와 같은 물리적 보안 장비를 기준으로 하는 보안이벤트 수집 및 분석에만 치중하기 때문에, 사용자 및 테넌트별 사용되는 네트워크 보안 기능 가상화 기반의 보안 정보가 수시로 변화하는 클라우드 컴퓨팅 환경에서 유동적으로 변화하는 보안 위협에 효과적으로 대응할 수 없었다. In particular, since the prior art is focused only on the collection and analysis of security events based on physical security equipment such as a specific server, the network security function used by users and tenants is virtually changed in the cloud computing environment in which security information based on virtualization changes frequently. It was unable to effectively respond to changing security threats.

따라서, 클라우드 컴퓨팅 환경에서 유동적으로 변화하는 보안 위협을 관리할 수 있는 네트워크 보안 기능 가상화 기반의 보안 정보 관리 기술의 개발이 필요하다. Therefore, there is a need to develop a security information management technology based on virtualization of network security functions that can manage dynamically changing security threats in a cloud computing environment.

한국 등록 특허 제10-1535502호, 2015년 07월 09일 공고(명칭: 보안 내재형 가상 네트워크 제어 시스템 및 방법)Korean Registered Patent No. 10-1535502, Announced on July 09, 2015 (Name: Security embedded virtual network control system and method)

본 발명의 목적은 네트워크 보안 기능 가상화 기반의 가상화 네트워크 보안 시스템에서 보안 정보를 수집, 분석 및 관리하여, 가상화 보안 상태, 자원 변화, 공격 연관성 및 가상 네트워크 트래픽 현황 등을 파악할 수 있도록 하는 것이다. An object of the present invention is to collect, analyze, and manage security information in a virtualized network security system based on network security function virtualization, so that the virtualization security status, resource changes, attack relevance, and virtual network traffic status can be identified.

또한, 본 발명의 목적은 가상화 네트워크의 내/외부 연결 및 내부 간 연결 정보의 연관성과 공격 탐지 정보 및 이상 트래픽 정보와의 연관성을 분석하여, 단일 네트워크 보안 기능 가상화 기반의 보안 장비 레벨에서 탐지하기 어려운 공격이나 유해 트래픽을 조기에 탐지 및 차단하여 대응할 수 있도록 하는 것이다. In addition, the object of the present invention is to analyze the association between the internal / external connection and internal connection information of the virtualization network and the attack detection information and the abnormal traffic information, making it difficult to detect at the security equipment level based on a single network security function virtualization It is to detect and block attacks or harmful traffic early so that they can respond.

또한, 본 발명의 목적은 클라우드 컴퓨팅 환경 하에서 테넌트 단위 및 사용자 단위 별로 네트워크 보안 기능 가상화 기반의 보안 정보를 수집, 분석 및 관리할 수 있도록 하여, 클라우드 컴퓨팅 환경에서 유동적으로 변화하는 보안 위협을 관리할 수 있도록 하는 것이다. In addition, the object of the present invention is to manage the security threats that change dynamically in the cloud computing environment by enabling the collection, analysis, and management of security information based on the network security function virtualization for each tenant unit and user unit under the cloud computing environment. It is to be.

상기한 목적을 달성하기 위한 본 발명에 따른 네트워크 보안 기능 가상화 기반의 보안 정책 관리 장치는 클라우드 보안 분석 장치로부터 보안 데이터를 포함하는 분석 요청 메시지를 수신하는 분석 요청 수신부, 테넌트 단위 및 사용자 단위 중 적어도 어느 하나를 포함하는 분석 단위 별로, 상기 보안 데이터의 연관성 분석을 수행하는 연관성 분석부, 상기 연관성 분석의 수행 결과를 기반으로, 보안 제어 명령 및 보안 정책 중 적어도 어느 하나를 설정하는 보안 정책 설정부, 그리고 설정된 상기 보안 제어 명령 및 상기 보안 정책 중 적어도 어느 하나를 상기 클라우드 보안 분석 장치로 전송하는 보안 정책 전송부를 포함한다. The security policy management device based on the network security function virtualization according to the present invention for achieving the above object comprises at least one of an analysis request receiving unit, a tenant unit, and a user unit receiving an analysis request message including security data from a cloud security analysis device. For each analysis unit including one, an association analysis unit for performing an associative analysis of the security data, a security policy setting unit for setting at least one of a security control command and a security policy, based on a result of performing the associative analysis, and And a security policy transmission unit transmitting at least one of the set security control command and the security policy to the cloud security analysis device.

이때, 상기 분석 요청 메시지는, 사용자 정보, 테넌트 정보, 상기 보안 데이터 중 적어도 어느 하나를 포함할 수 있다. In this case, the analysis request message may include at least one of user information, tenant information, and the security data.

이때, 사용자 및 테넌트 중 적어도 어느 하나를 포함하는 분석 대상에 상응하는 보안 상황 정보를 요청받고, 상기 분석 대상에 상응하는 보안 상황의 분석 결과를 제공하는 인터페이스부를 더 포함할 수 있다. In this case, the security unit information corresponding to the analysis target including at least one of the user and the tenant is requested, and an interface unit for providing an analysis result of the security situation corresponding to the analysis target may be further included.

이때, 상기 보안 데이터는, 보안 이벤트, 플로우 이벤트, 네트워크 패킷 스트림, 서비스 로그, 네트워크 보안 기능 가상화 기반의 보안 시스템 로그 중 적어도 어느 하나를 포함할 수 있다. In this case, the security data may include at least one of a security event, a flow event, a network packet stream, a service log, and a security system log based on network security function virtualization.

이때, 상기 연관성 분석부는, 데이터 마이닝 분석을 통해 상기 보안 데이터의 연관성을 분석할 수 있다. At this time, the association analysis unit may analyze the association of the security data through data mining analysis.

이때, 상기 보안 정책 설정부는, 데이터 모델링 분석을 통해 탐지된 보안 위협에 상응하도록, 상기 보안 제어 명령 및 상기 보안 정책 중 적어도 어느 하나를 설정할 수 있다. At this time, the security policy setting unit may set at least one of the security control command and the security policy to correspond to a security threat detected through data modeling analysis.

이때, 상기 보안 정책 설정부는, 보안 설정 제어 명령, 가상 네트워크 트래픽 제어 명령, 공격 대응 정책, 탐지 대응 정책 및 시그니처 룰 셋 중 적어도 어느 하나를 설정할 수 있다. At this time, the security policy setting unit may set at least one of a security setting control command, a virtual network traffic control command, an attack response policy, a detection response policy, and a signature rule set.

이때, 상기 네트워크 보안 기능 가상화 기반의 보안 정책 관리 장치는, 하이퍼바이저를 통하여 가상 머신 상에서 구동될 수 있다. At this time, the security policy management device based on the network security function virtualization may be operated on a virtual machine through a hypervisor.

또한, 본 발명의 일실시예에 따른 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치는, 네트워크 보안 기능 가상화 기반의 보안 시스템으로부터, 클라우드 컴퓨팅 환경에 상응하는 네트워크 데이터를 수집하는 네트워크 데이터 수집부, 수집된 상기 네트워크 데이터를 테넌트 단위 및 사용자 단위 중 적어도 어느 하나를 포함하는 분석 단위 별로 분석하여, 비정상 행위를 탐지하고, 보안 상황을 분석하는 보안 상황 분석부, 보안 정책 관리 장치로 분석 요청 메시지를 전송하는 분석 요청부, 상기 보안 정책 관리 장치로부터 보안 제어 명령 및 보안 정책을 수신하는 보안 정책 수신부, 그리고 수신된 상기 보안 제어 명령 및 보안 정책을 상기 보안 시스템으로 전송하는 보안 정책 전송부를 포함할 수 있다. In addition, the network security function virtualization-based cloud security analysis device according to an embodiment of the present invention, a network data collection unit for collecting network data corresponding to the cloud computing environment from the security system based on the network security function virtualization, collected The analysis analyzes the network data for each analysis unit including at least one of tenant units and user units, detects abnormal behavior, and analyzes the security situation to analyze the security situation, and transmits an analysis request message to the security policy management device It may include a requesting unit, a security policy receiving unit receiving a security control command and a security policy from the security policy management device, and a security policy transmitting unit transmitting the received security control command and security policy to the security system.

이때, 상기 분석 요청부는, 사용자 정보, 테넌트 정보, 상기 보안 데이터 중 적어도 어느 하나를 포함하는 상기 분석 요청 메시지를 전송할 수 있다. In this case, the analysis request unit may transmit the analysis request message including at least one of user information, tenant information, and the security data.

이때, 상기 네트워크 데이터는, 보안 이벤트, 플로우 이벤트, 네트워크 패킷 스트림, 서비스 로그, 네트워크 보안 기능 가상화 기반의 보안 시스템 로그 중 적어도 어느 하나를 포함할 수 있다. In this case, the network data may include at least one of a security event, a flow event, a network packet stream, a service log, and a security system log based on network security function virtualization.

이때, 상기 보안 상황 분석부는, 빅데이터 플랫폼을 기반으로 상기 네트워크 데이터를 처리하여, 상기 비정상 행위를 탐지하고, 상기 보안 상황을 분석할 수 있다. At this time, the security situation analysis unit may process the network data based on the big data platform to detect the abnormal behavior and analyze the security situation.

이때, 상기 보안 제어 명령 및 보안 정책은, 보안 설정 제어 명령, 가상 네트워크 트래픽 제어 명령, 공격 대응 정책, 탐지 대응 정책 및 시그니처 룰 셋 중 적어도 어느 하나를 포함할 수 있다. In this case, the security control command and the security policy may include at least one of a security setting control command, a virtual network traffic control command, an attack response policy, a detection response policy, and a signature rule set.

또한, 본 발명의 일실시예에 따른 네트워크 보안 기능 가상화 기반의 보안 정책 관리 장치에 의해 수행되는 보안 정책 관리 방법은 클라우드 보안 분석 장치로부터 보안 데이터를 포함하는 분석 요청 메시지를 수신하는 단계, 테넌트 단위 및 사용자 단위 중 적어도 어느 하나를 포함하는 분석 단위 별로, 상기 보안 데이터의 연관성 분석을 수행하는 단계, 상기 연관성 분석의 수행 결과를 기반으로, 보안 제어 명령 및 보안 정책 중 적어도 어느 하나를 설정하는 단계, 그리고 설정된 상기 보안 제어 명령 및 상기 보안 정책 중 적어도 어느 하나를 상기 클라우드 보안 분석 장치로 전송하는 단계를 포함한다. In addition, the security policy management method performed by the network security function virtualization-based security policy management device according to an embodiment of the present invention includes receiving an analysis request message including security data from a cloud security analysis device, a tenant unit, and For each analysis unit including at least one of the user units, performing an association analysis of the security data, setting at least one of a security control command and a security policy based on a result of performing the association analysis, and And transmitting at least one of the set security control command and the security policy to the cloud security analysis device.

이때, 상기 분석 요청 메시지는, 사용자 정보, 테넌트 정보, 상기 보안 데이터 중 적어도 어느 하나를 포함할 수 있다. In this case, the analysis request message may include at least one of user information, tenant information, and the security data.

이때, 사용자 및 테넌트 중 적어도 어느 하나를 포함하는 분석 대상에 상응하는 보안 상황 정보를 요청받는 단계, 그리고 상기 분석 대상에 상응하는 보안 상황의 분석 결과를 제공하는 단계를 더 포함할 수 있다. At this time, the step of receiving security context information corresponding to the analysis target including at least one of the user and the tenant, and may further include the step of providing an analysis result of the security situation corresponding to the analysis target.

이때, 상기 보안 데이터는, 보안 이벤트, 플로우 이벤트, 네트워크 패킷 스트림, 서비스 로그, 네트워크 보안 기능 가상화 기반의 보안 시스템 로그 중 적어도 어느 하나를 포함할 수 있다. In this case, the security data may include at least one of a security event, a flow event, a network packet stream, a service log, and a security system log based on network security function virtualization.

이때, 상기 보안 데이터의 연관성 분석을 수행하는 단계는, 데이터 마이닝 분석을 통해 상기 보안 데이터의 연관성을 분석할 수 있다. At this time, in the step of performing the association analysis of the security data, the association of the security data may be analyzed through data mining analysis.

이때, 상기 보안 제어 명령 및 상기 보안 정책 중 적어도 어느 하나를 설정하는 단계는, 데이터 모델링 분석을 통해 탐지된 보안 위협에 상응하도록, 상기 보안 제어 명령 및 상기 보안 정책 중 적어도 어느 하나를 설정할 수 있다. At this time, the step of setting at least one of the security control command and the security policy may set at least one of the security control command and the security policy to correspond to a security threat detected through data modeling analysis.

이때, 상기 보안 제어 명령 및 보안 정책 중 적어도 어느 하나를 설정하는 단계는, 보안 설정 제어 명령, 가상 네트워크 트래픽 제어 명령, 공격 대응 정책, 탐지 대응 정책 및 시그니처 룰 셋 중 적어도 어느 하나를 설정할 수 있다. At this time, the step of setting at least one of the security control command and the security policy may set at least one of a security setting control command, a virtual network traffic control command, an attack response policy, a detection response policy, and a signature rule set.

본 발명에 따르면, 네트워크 보안 기능 가상화 기반의 가상화 네트워크 보안 시스템에서 보안 정보를 수집, 분석 및 관리하여, 가상화 보안 상태, 자원 변화, 공격 연관성 및 가상 네트워크 트래픽 현황 등을 파악할 수 있다. According to the present invention, by collecting, analyzing, and managing security information in a virtualized network security system based on network security function virtualization, it is possible to grasp the virtualization security status, resource change, attack association, and virtual network traffic status.

또한 본 발명에 따르면, 가상화 네트워크의 내/외부 연결 및 내부 간 연결 정보의 연관성과 공격 탐지 정보 및 이상 트래픽 정보와의 연관성을 분석하여, 단일 네트워크 보안 기능 가상화 기반의 보안 장비 레벨에서 탐지하기 어려운 공격이나 유해 트래픽을 조기에 탐지 및 차단하여 대응할 수 있다. In addition, according to the present invention, it is difficult to detect at the level of a security equipment level based on a single network security function virtualization by analyzing the association between the internal / external connection of the virtualized network and the connection information between the internal and attack detection information and abnormal traffic information. However, it can respond by detecting and blocking harmful traffic early.

또한 본 발명에 따르면, 클라우드 컴퓨팅 환경 하에서 테넌트 단위 및 사용자 단위 별로 네트워크 보안 기능 가상화 기반의 보안 정보를 수집, 분석 및 관리할 수 있도록 하여, 클라우드 컴퓨팅 환경에서 유동적으로 변화하는 보안 위협을 관리할 수 있다. In addition, according to the present invention, the network security function virtualization-based security information can be collected, analyzed, and managed for each tenant unit and user unit under a cloud computing environment to manage dynamically changing security threats in the cloud computing environment. .

도 1은 본 발명의 일실시예에 따른 네트워크 보안 기능 가상화 기반의 보안정보 관리 시스템을 도시한 도면이다.
도 2는 본 발명의 일실시예에 따른 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치의 구성을 나타낸 블록도이다.
도 3은 본 발명의 일실시예에 따른 네트워크 보안 기능 가상화 기반의 보안 정책 관리 장치의 구성을 나타낸 블록도이다.
도 4는 본 발명의 일실시예에 따른 클라우드 보안 분석 방법을 설명하기 위한 순서도이다.
도 5는 본 발명의 일실시예에 따른 보안 정책 관리 방법을 설명하기 위한 순서도이다.
도 6은 본 발명의 일실시예에 따른 네트워크 보안 기능 가상화 기반의 보안 정보 관리 시스템의 일 예를 나타낸 예시도이다.
도 7은 본 발명의 일실시예에 따른 보안 정책 관리 장치의 일 예를 나타낸 예시도이다.
도 8은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.1 is a diagram illustrating a security information management system based on virtualization of a network security function according to an embodiment of the present invention.
2 is a block diagram showing the configuration of a cloud security analysis device based on network security function virtualization according to an embodiment of the present invention.
3 is a block diagram showing the configuration of a security policy management device based on network security function virtualization according to an embodiment of the present invention.
4 is a flowchart illustrating a cloud security analysis method according to an embodiment of the present invention.
5 is a flowchart illustrating a security policy management method according to an embodiment of the present invention.
6 is an exemplary view showing an example of a security information management system based on virtualization of a network security function according to an embodiment of the present invention.
7 is an exemplary view showing an example of a security policy management apparatus according to an embodiment of the present invention.
8 is a block diagram showing a computer system according to an embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세하게 설명하고자 한다.As the inventive concept allows for various changes and numerous embodiments, particular embodiments will be illustrated in the drawings and described in detail in the written description.

그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.However, this is not intended to limit the present invention to specific embodiments, and should be understood to include all modifications, equivalents, and substitutes included in the spirit and scope of the present invention.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terms used in this application are only used to describe specific embodiments, and are not intended to limit the present invention. Singular expressions include plural expressions unless the context clearly indicates otherwise. In this application, the terms "include" or "have" are intended to indicate the presence of features, numbers, steps, actions, components, parts or combinations thereof described herein, one or more other features. It should be understood that the existence or addition possibilities of fields or numbers, steps, operations, components, parts or combinations thereof are not excluded in advance.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by a person skilled in the art to which the present invention pertains. Terms such as those defined in the commonly used dictionaries should be construed as having meanings consistent with the meanings in the context of the related art, and shall not be construed in ideal or excessively formal meanings unless expressly defined in this application. Do not.

이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.Hereinafter, with reference to the accompanying drawings, it will be described in detail a preferred embodiment of the present invention. In order to facilitate the overall understanding in describing the present invention, the same reference numerals are used for the same components in the drawings, and duplicate descriptions for the same components are omitted.

도 1은 본 발명의 일실시예에 따른 네트워크 보안 기능 가상화 기반의 보안정보 관리 시스템을 도시한 도면이다. 1 is a diagram illustrating a security information management system based on virtualization of a network security function according to an embodiment of the present invention.

도 1에 도시한 바와 같이, 네트워크 보안 기능 가상화 기반의 보안 정보 관리 시스템은 네트워크 보안 기능 가상화(NSFV) 기반의 클라우드 보안 분석 장치(100) 및 네트워크 보안 기능 가상화(NSFV) 기반의 보안 정책 관리 장치(200)를 포함한다. As shown in FIG. 1, the network security function virtualization-based security information management system includes a network security function virtualization (NSFV) -based cloud security analysis device 100 and a network security function virtualization (NSFV) -based security policy management device ( 200).

먼저, 네트워크 보안 기능 가상화(NSFV) 기반의 클라우드 보안 분석 장치(100)는 빅데이터 처리 플랫폼 기반의 대용량 데이터를 처리 및 분석할 수 있는 보안 분석 툴을 의미할 수 있다. First, the network security function virtualization (NSFV) based cloud security analysis device 100 may mean a security analysis tool capable of processing and analyzing large data based on a big data processing platform.

네트워크 보안 기능 가상화(NSFV) 기반의 클라우드 보안 분석 장치(100)는 네트워크 보안 기능 가상화(NSFV) 기반의 보안 시스템으로부터 클라우드 컴퓨팅 환경에 상응하는 네트워크 데이터를 수집한다. The network security function virtualization (NSFV) -based cloud security analysis apparatus 100 collects network data corresponding to a cloud computing environment from a network security function virtualization (NSFV) -based security system.

그리고 네트워크 보안 기능 가상화(NSFV) 기반의 클라우드 보안 분석 장치(100)는 수집된 네트워크 데이터를 테넌트 단위 및 사용자 단위 중 적어도 어느 하나를 포함하는 분석 단위 별로 분석하여, 비정상 행위를 탐지하고, 보안 상황을 분석한다. In addition, the network security function virtualization (NSFV) -based cloud security analysis device 100 analyzes the collected network data for each analysis unit including at least one of tenant units and user units to detect anomalies and detect security conditions. Analyze.

또한, 네트워크 보안 기능 가상화(NSFV) 기반의 클라우드 보안 분석 장치(100)는 네트워크 보안 기능 가상화(NSFV) 기반의 보안 정책 관리 장치(200)로 분석 요청 메시지를 전송하고, 네트워크 보안 기능 가상화(NSFV) 기반의 보안 정책 관리 장치(200)로부터 보안 제어 명령 및 보안 정책 중 적어도 어느 하나를 수신한다. 그리고 네트워크 보안 기능 가상화(NSFV) 기반의 보안 정책 관리 장치(200)는 보안 시스템으로 보안 제어 명령 및 보안 정책을 전송할 수 있다. In addition, the network security function virtualization (NSFV) -based cloud security analysis device 100 transmits an analysis request message to the network security function virtualization (NSFV) -based security policy management device 200, and the network security function virtualization (NSFV) At least one of a security control command and a security policy is received from the based security policy management device 200. In addition, the network security function virtualization (NSFV) -based security policy management device 200 may transmit security control commands and security policies to the security system.

다음으로 네트워크 보안 기능 가상화(NSFV) 기반의 보안 정책 관리 장치(200)는 네트워크 보안 기능 가상화(NSFV) 기반의 클라우드 보안 분석 장치(100)로부터 보안 데이터를 포함하는 분석 요청 메시지를 수신한다. Next, the network security function virtualization (NSFV) -based security policy management device 200 receives an analysis request message including security data from the network security function virtualization (NSFV) -based cloud security analysis device 100.

그리고 네트워크 보안 기능 가상화(NSFV) 기반의 보안 정책 관리 장치(200)는 테넌트 단위 및 사용자 단위 중 적어도 어느 하나를 포함하는 분석 단위별로 보안 데이터의 연관성을 분석한다. In addition, the network security function virtualization (NSFV) -based security policy management apparatus 200 analyzes the association of security data for each analysis unit including at least one of a tenant unit and a user unit.

연관성 분석의 수행 결과를 기반으로, 네트워크 보안 기능 가상화(NSFV) 기반의 보안 정책 관리 장치(200)는 보안 제어 명령 및 보안 정책 중 적어도 어느 하나를 설정하고, 설정된 보안 제어 명령 및 보안 정책 중 적어도 어느 하나를 네트워크 보안 기능 가상화(NSFV) 기반의 클라우드 보안 분석 장치(100)로 전송할 수 있다. Based on the result of the association analysis, the network security function virtualization (NSFV) -based security policy management device 200 sets at least one of the security control command and the security policy, and at least one of the set security control command and the security policy One may be transmitted to the network security function virtualization (NSFV) based cloud security analysis device 100.

이하에서는 도 2 및 도 3을 통하여 본 발명의 일실시예에 따른 네트워크 보안 기능 가상화(NSFV) 기반의 클라우드 보안 분석 장치 및 보안 정책 관리 장치의 구성에 대하여 더욱 상세하게 설명한다. Hereinafter, a configuration of a network security function virtualization (NSFV) -based cloud security analysis device and a security policy management device according to an embodiment of the present invention will be described in more detail with reference to FIGS. 2 and 3.

도 2는 본 발명의 일실시예에 따른 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치의 구성을 나타낸 블록도이다. 2 is a block diagram showing the configuration of a cloud security analysis device based on network security function virtualization according to an embodiment of the present invention.

도 2에 도시한 바와 같이, 네트워크 보안 기능 가상화(NSFV) 기반의 클라우드 보안 분석 장치(100)는 네트워크 데이터 수집부(110), 보안 상황 분석부(120), 분석 요청부(130), 보안 정책 수신부(140) 및 보안 정책 배포부(150)를 포함할 수 있다. As shown in FIG. 2, the network security function virtualization (NSFV) -based cloud security analysis device 100 includes a network data collection unit 110, a security situation analysis unit 120, an analysis request unit 130, and a security policy It may include a receiving unit 140 and the security policy distribution unit 150.

먼저, 네트워크 데이터 수집부(110)는 네트워크 보안 기능 가상화 기반의 보안 시스템으로부터 클라우드 컴퓨팅 환경에 상응하는 네트워크 데이터를 수집한다. 여기서, 네트워크 데이터는 보안 이벤트, 플로우 이벤트, 네트워크 패킷 스트림, 서비스 로그, 네트워크 보안 기능 가상화 기반의 보안 시스템 로그(vAgent 로그) 중 적어도 어느 하나를 포함할 수 있다. First, the network data collection unit 110 collects network data corresponding to a cloud computing environment from a security system based on a network security function virtualization. Here, the network data may include at least one of a security event, a flow event, a network packet stream, a service log, and a network security function virtualization-based security system log (vAgent log).

그리고 보안 상황 분석부(120)는 수집된 네트워크 데이터를 테넌트 단위 및 사용자 단위 중 적어도 어느 하나를 포함하는 분석 단위별로 분석하여, 비정상 행위를 탐지하고, 보안 상황을 분석한다. In addition, the security situation analysis unit 120 analyzes the collected network data for each analysis unit including at least one of tenant units and user units to detect abnormal behaviors and analyzes the security situation.

이때, 보안 상황 분석부(120)는 빅데이터 플랫폼을 기반으로 대용량의 네트워크 데이터를 처리 및 분석할 수 있다. 특히, 보안 상황 분석부(120)는 빅데이터 플랫폼을 기반으로 네트워크 데이터를 처리하여, 비정상 행위를 탐지하고, 보안 상황을 분석할 수 있다.At this time, the security situation analysis unit 120 may process and analyze a large amount of network data based on the big data platform. In particular, the security situation analysis unit 120 may process network data based on the big data platform to detect anomalies and analyze the security situation.

다음으로 분석 요청부(130)는 네트워크 보안 기능 가상화(NSFV) 기반의 보안 정책 관리 장치(200)로 분석 요청 메시지를 전송한다. 이때, 분석 요청부(130)는 사용자 정보, 테넌트 정보, 보안 데이터 중 적어도 어느 하나를 포함하는 분석 요청 메시지를 네트워크 보안 기능 가상화(NSFV) 기반의 보안 정책 관리 장치(200)로 전송할 수 있다. Next, the analysis request unit 130 transmits an analysis request message to the network security function virtualization (NSFV) -based security policy management device 200. In this case, the analysis request unit 130 may transmit an analysis request message including at least one of user information, tenant information, and security data to the network security function virtualization (NSFV) -based security policy management device 200.

여기서, 보안 데이터는, 보안 이벤트, 플로우 이벤트, 네트워크 패킷 스트림, 서비스 로그, 네트워크 보안 기능 가상화 기반의 보안 시스템 로그 중 적어도 어느 하나를 포함할 수 있다. Here, the security data may include at least one of a security event, a flow event, a network packet stream, a service log, and a security system log based on network security function virtualization.

그리고 보안 정책 수신부(140)는 네트워크 보안 기능 가상화(NSFV) 기반의 보안 정책 관리 장치(200)로부터 보안 제어 명령 및 보안 정책 중 적어도 어느 하나를 수신할 수 있다. In addition, the security policy receiving unit 140 may receive at least one of a security control command and a security policy from the network security function virtualization (NSFV) -based security policy management device 200.

여기서, 보안 제어 명령 및 보안 정책은 보안 설정 제어 명령, 가상 네트워크 트래픽 제어 명령, 공격 대응 정책, 탐지 대응 정책 및 시그니처 룰 셋 중 적어도 어느 하나를 포함할 수 있다. Here, the security control command and the security policy may include at least one of a security setting control command, a virtual network traffic control command, an attack response policy, a detection response policy, and a signature rule set.

마지막으로, 보안 정책 배포부(150)는 수신된 보안 제어 명령 및 보안 정책을 네트워크 보안 기능 가상화(NSFV) 기반의 보안 시스템으로 전송하여, 보안 정책을 배포한다. Finally, the security policy distribution unit 150 transmits the received security control command and security policy to a security system based on network security function virtualization (NSFV) to distribute the security policy.

이와 같이, 네트워크 보안 기능 가상화(NSFV) 기반의 클라우드 보안 분석 장치(100)는 클라우드 인프라 전체에 대한 통합 보안 관제를 수행하여, 침입에 대응하기 위한 보안 제어 명령 및 보안 정책을 각각의 네트워크 보안 기능 가상화(NSFV) 기반의 네트워크 보안 시스템에 제공할 수 있다. As described above, the network security function virtualization (NSFV) -based cloud security analysis device 100 performs integrated security control for the entire cloud infrastructure to virtualize each network security function for security control commands and security policies for responding to intrusions. (NSFV) based network security system.

도 3은 본 발명의 일실시예에 따른 네트워크 보안 기능 가상화 기반의 보안 정책 관리 장치의 구성을 나타낸 블록도이다. 3 is a block diagram showing the configuration of a security policy management device based on network security function virtualization according to an embodiment of the present invention.

도 3에 도시한 바와 같이, 네트워크 보안 기능 가상화(NSFV) 기반의 보안 정책 관리 장치(200)는 분석 요청 수신부(210), 연관성 분석부(220), 보안 정책 설정부(230), 보안 정책 전송부(240) 및 인터페이스부(250)를 포함한다. As shown in FIG. 3, the network security function virtualization (NSFV) -based security policy management device 200 includes an analysis request receiving unit 210, a relevance analysis unit 220, a security policy setting unit 230, and a security policy transmission It includes a unit 240 and the interface unit 250.

먼저, 분석 요청 수신부(210)는 네트워크 보안 기능 가상화(NSFV) 기반의 클라우드 보안 분석 장치(100)로부터 보안 데이터를 포함하는 분석 요청 메시지를 수신한다. First, the analysis request receiving unit 210 receives an analysis request message including security data from the network security function virtualization (NSFV) -based cloud security analysis device 100.

수신된 분석 요청 메시지는 사용자 정보, 테넌트 정보, 보안 데이터 중 적어도 어느 하나를 포함할 수 있고, 보안 데이터는 보안 이벤트, 플로우 이벤트, 네트워크 패킷 스트림, 서비스 로그, 네트워크 보안 기능 가상화 기반의 보안 시스템 로그 중 적어도 어느 하나를 포함할 수 있다. The received analysis request message may include at least one of user information, tenant information, and security data, and the security data includes security event, flow event, network packet stream, service log, and security system log based on virtualization of network security function It may include at least one.

그리고 연관성 분석부(220)는 테넌트 단위 및 사용자 단위 중 적어도 어느 하나를 포함하는 분석 단위 별로 보안 데이터의 연관성 분석을 수행한다. 이때, 연관성 분석부(220)는 데이터 마이닝(Data mining) 분석을 통해 보안 데이터의 연관성을 분석할 수 있다. In addition, the association analysis unit 220 performs association analysis of security data for each analysis unit including at least one of a tenant unit and a user unit. At this time, the association analysis unit 220 may analyze the association of security data through data mining analysis.

연관성 분석부(220)는 보안 데이터의 상관/연관 분석을 통한 비정상 행위를 분석 및 탐지할 수 있는 데이터 마이닝 기능을 제공하며, 데이터 마이닝 분석 모델을 기반으로 보안 데이터를 가공 및 처리한다. 또한, 연관성 분석부(220)는 표준 위협 분석 모델을 제공하여, 사용자가 선택적으로 적용하도록 할 수 있다. The association analysis unit 220 provides a data mining function to analyze and detect abnormal behavior through correlation / correlation analysis of security data, and processes and processes security data based on a data mining analysis model. In addition, the association analysis unit 220 provides a standard threat analysis model, so that the user can selectively apply it.

다음으로 보안 정책 설정부(230)는 연관성 분석의 수행 결과를 기반으로, 보안 제어 명령 및 보안 정책 중 적어도 어느 하나를 설정할 수 있다. 보안 정책 설정부(230)는 데이터 모델링 분석을 통하여 보안 위협을 탐지하고, 보안 위협에 상응하도록, 보안 제어 명령 및 보안 정책 중 적어도 어느 하나를 설정할 수 있다. Next, the security policy setting unit 230 may set at least one of a security control command and a security policy based on a result of performing the association analysis. The security policy setting unit 230 may detect a security threat through data modeling analysis and set at least one of a security control command and a security policy to correspond to the security threat.

이때, 보안 정책 설정부(230)는 보안 설정 제어 명령, 가상 네트워크 트래픽 제어 명령, 공격 대응 정책, 탐지 대응 정책 및 시그니처 룰 셋 중 적어도 어느 하나를 포함하는 보안 제어 명령 및 보안 정책을 설정할 수 있다. At this time, the security policy setting unit 230 may set a security control command and a security policy including at least one of a security setting control command, a virtual network traffic control command, an attack response policy, a detection response policy, and a signature rule set.

그리고 보안 정책 전송부(240)는 설정된 보안 제어 명령 및 보안 정책 중 적어도 어느 하나를 네트워크 보안 기능 가상화(NSFV) 기반의 클라우드 보안 분석 장치(100)로 전송한다. And the security policy transmission unit 240 transmits at least one of the set security control command and security policy to the network security function virtualization (NSFV) based cloud security analysis device 100.

마지막으로, 인터페이스부(250)는 사용자 및 테넌트 중 적어도 어느 하나를 포함하는 분석 대상에 상응하는 보안 상황 정보를 요청받을 수 있다. 그리고 인터페이스부(250)는 분석 대상에 상응하는 보안 상황의 분석 결과를 제공할 수 있다. Finally, the interface unit 250 may be requested for security situation information corresponding to an analysis target including at least one of a user and a tenant. In addition, the interface unit 250 may provide an analysis result of a security situation corresponding to the analysis target.

이하에서는 도 4 및 도 5를 통하여 본 발명의 일실시예에 따른 네트워크 보안 기능 가상화(NSFV) 기반의 클라우드 보안 분석 방법 및 보안 정책 관리 방법에 대하여 더욱 상세하게 설명한다. Hereinafter, a cloud security analysis method and a security policy management method based on network security function virtualization (NSFV) according to an embodiment of the present invention will be described in more detail with reference to FIGS. 4 and 5.

도 4는 본 발명의 일실시예에 따른 클라우드 보안 분석 방법을 설명하기 위한 순서도이다. 4 is a flowchart illustrating a cloud security analysis method according to an embodiment of the present invention.

먼저, 네트워크 보안 기능 가상화(NSFV) 기반의 클라우드 보안 분석 장치(100)는 클라우드 컴퓨팅 환경에 상응하는 네트워크 데이터를 수집한다(S410).First, the network security function virtualization (NSFV) -based cloud security analysis device 100 collects network data corresponding to the cloud computing environment (S410).

네트워크 보안 기능 가상화(NSFV) 기반의 클라우드 보안 분석 장치(100)는 네트워크 보안 기능 가상화 기반의 보안 시스템으로부터 클라우드 컴퓨팅 환경에 상응하는 네트워크 데이터를 수집한다. 이때, 네트워크 데이터는 보안 이벤트, 플로우 이벤트, 네트워크 패킷 스트림, 서비스 로그, 네트워크 보안 기능 가상화 기반의 보안 시스템 로그(vAgent 로그) 중 적어도 어느 하나를 포함할 수 있다.The network security function virtualization (NSFV) -based cloud security analysis device 100 collects network data corresponding to the cloud computing environment from the network security function virtualization-based security system. In this case, the network data may include at least one of a security event, a flow event, a network packet stream, a service log, and a network security function virtualization-based security system log (vAgent log).

그리고 네트워크 보안 기능 가상화(NSFV) 기반의 클라우드 보안 분석 장치(100)는 비정상 행위를 탐지하고, 보안 상황을 분석한다(S420). Then, the network security function virtualization (NSFV) -based cloud security analysis device 100 detects abnormal behavior and analyzes the security situation (S420).

네트워크 보안 기능 가상화(NSFV) 기반의 클라우드 보안 분석 장치(100)는 수집된 네트워크 데이터를 테넌트 단위 및 사용자 단위 중 적어도 어느 하나를 포함하는 분석 단위별로 분석하여, 비정상 행위를 탐지하고, 보안 상황을 분석할 수 있다. The network security function virtualization (NSFV) -based cloud security analysis device 100 analyzes the collected network data for each analysis unit including at least one of tenant units and user units to detect anomalies and analyze security conditions. can do.

특히, 네트워크 보안 기능 가상화(NSFV) 기반의 클라우드 보안 분석 장치(100)는 빅데이터 플랫폼을 기반으로 네트워크 데이터를 처리하여, 비정상 행위를 탐지하고, 보안 상황을 분석할 수 있다. In particular, the network security function virtualization (NSFV) -based cloud security analysis device 100 may process network data based on a big data platform to detect anomalies and analyze security conditions.

또한, 네트워크 보안 기능 가상화(NSFV) 기반의 클라우드 보안 분석 장치(100)는 보안 상황을 분석하기 위하여 실시간으로 네트워크 데이터를 분석할 수 있다. In addition, the network security function virtualization (NSFV) based cloud security analysis device 100 may analyze network data in real time to analyze the security situation.

다음으로 네트워크 보안 기능 가상화(NSFV) 기반의 클라우드 보안 분석 장치(100)는 분석 요청 메시지를 생성하여, 네트워크 보안 기능 가상화(NSFV) 기반의 보안 정책 관리 장치(200)로 전송한다(S430). Next, the network security function virtualization (NSFV) -based cloud security analysis device 100 generates an analysis request message and transmits it to the network security function virtualization (NSFV) -based security policy management device 200 (S430).

네트워크 보안 기능 가상화(NSFV) 기반의 클라우드 보안 분석 장치(100)는 사용자 정보, 테넌트 정보, 보안 데이터 중 적어도 어느 하나를 포함하는 분석 요청 메시지를 생성하여, 네트워크 보안 기능 가상화(NSFV) 기반의 보안 정책 관리 장치(200)로 전송할 수 있다. The network security function virtualization (NSFV) -based cloud security analysis device 100 generates an analysis request message including at least one of user information, tenant information, and security data, and the network security function virtualization (NSFV) -based security policy It can be transmitted to the management device 200.

여기서, 보안 데이터는 S410 단계에서 수집한 네트워크 데이터를 의미하거나, 네트워크 데이터를 처리하여 획득한 데이터를 의미할 수 있다. 그리고 보안 데이터는, 보안 이벤트, 플로우 이벤트, 네트워크 패킷 스트림, 서비스 로그, 네트워크 보안 기능 가상화 기반의 보안 시스템 로그 중 적어도 어느 하나를 포함할 수 있다. Here, the security data may mean network data collected in step S410 or data obtained by processing network data. In addition, the security data may include at least one of a security event, a flow event, a network packet stream, a service log, and a security system log based on network security function virtualization.

마지막으로, 네트워크 보안 기능 가상화(NSFV) 기반의 클라우드 보안 분석 장치(100)는 네트워크 보안 기능 가상화(NSFV) 기반의 보안 정책 관리 장치(200)로부터 보안 제어 명령 및 보안 정책을 수신하고, 수신된 보안 제어 명령 및 보안 정책을 네트워크 보안 기능 가상화 기반의 보안 시스템으로 배포한다(S440). Finally, the network security function virtualization (NSFV) -based cloud security analysis device 100 receives security control commands and security policies from the network security function virtualization (NSFV) -based security policy management device 200, and receives the security The control command and security policy are distributed as a security system based on network security function virtualization (S440).

보안 제어 명령 및 보안 정책은, 보안 설정 제어 명령, 가상 네트워크 트래픽 제어 명령, 공격 대응 정책, 탐지 대응 정책 및 시그니처 룰 셋 중 적어도 어느 하나를 포함할 수 있으며, 네트워크 보안 기능 가상화(NSFV) 기반의 클라우드 보안 분석 장치(100)는 수신된 보안 제어 명령 및 보안 정책을 네트워크 보안 기능 가상화 기반의 보안 시스템으로 배포할 수 있다. The security control command and the security policy may include at least one of a security setting control command, a virtual network traffic control command, an attack response policy, a detection response policy, and a signature rule set, and a cloud based on network security function virtualization (NSFV) The security analysis device 100 may distribute the received security control command and security policy to a security system based on network security function virtualization.

도 5는 본 발명의 일실시예에 따른 보안 정책 관리 방법을 설명하기 위한 순서도이다. 5 is a flowchart illustrating a security policy management method according to an embodiment of the present invention.

먼저, 네트워크 보안 기능 가상화(NSFV) 기반의 보안 정책 관리 장치(200)는 네트워크 보안 기능 가상화(NSFV) 기반의 클라우드 보안 분석 장치(100)로부터 분석 요청 메시지를 수신한다(S510). First, the network security function virtualization (NSFV) -based security policy management device 200 receives an analysis request message from the network security function virtualization (NSFV) -based cloud security analysis device 100 (S510).

이때, 수신된 분석 요청 메시지는, 사용자 정보, 테넌트 정보, 보안 데이터 중 적어도 어느 하나를 포함할 수 있고, 보안 데이터는 보안 이벤트, 플로우 이벤트, 네트워크 패킷 스트림, 서비스 로그, 네트워크 보안 기능 가상화 기반의 보안 시스템 로그 중 적어도 어느 하나를 포함할 수 있다. In this case, the received analysis request message may include at least one of user information, tenant information, and security data, and the security data is security event, flow event, network packet stream, service log, network security function virtualization-based security It may include at least one of the system log.

설명의 편의상, 네트워크 보안 기능 가상화(NSFV) 기반의 보안 정책 관리 장치(200)가 네트워크 보안 기능 가상화(NSFV) 기반의 클라우드 보안 분석 장치(100)로부터 직접 분석 요청 메시지를 수신하는 것으로 설명하였으나 이에 한정하지 않고, 네트워크 보안 기능 가상화(NSFV) 기반의 보안 정책 관리 장치(200)는 가상화 에이전트를 통하여 네트워크 보안 기능 가상화(NSFV) 기반의 클라우드 보안 분석 장치(100)와 통신을 수행할 수 있다. For convenience of description, it has been described that the network security function virtualization (NSFV) -based security policy management device 200 receives an analysis request message directly from the network security function virtualization (NSFV) -based cloud security analysis device 100. Rather, the network security function virtualization (NSFV) -based security policy management device 200 may communicate with the network security function virtualization (NSFV) -based cloud security analysis device 100 through a virtualization agent.

그리고 네트워크 보안 기능 가상화(NSFV) 기반의 보안 정책 관리 장치(200)는 보안 데이터의 연관성 분석을 수행한다(S520). Then, the network security function virtualization (NSFV) -based security policy management apparatus 200 performs association analysis of security data (S520).

네트워크 보안 기능 가상화(NSFV) 기반의 보안 정책 관리 장치(200)는 데이터 마이닝(Data mining) 분석을 통해, 분석 단위 별로 보안 데이터의 연관성 분석을 수행할 수 있다. 이때, 분석 단위는 테넌트 단위 및 사용자 단위 중 적어도 어느 하나를 포함할 수 있다. The network security function virtualization (NSFV) -based security policy management apparatus 200 may perform association analysis of security data for each analysis unit through data mining analysis. In this case, the analysis unit may include at least one of a tenant unit and a user unit.

즉, 네트워크 보안 기능 가상화(NSFV) 기반의 보안 정책 관리 장치(200)는 데이터 마이닝 분석 모델을 기반으로 보안 데이터를 가공 및 처리하여, 보안 데이터의 연관성을 분석할 수 있다. That is, the network security function virtualization (NSFV) -based security policy management apparatus 200 may process and process security data based on a data mining analysis model to analyze association of security data.

다음으로 네트워크 보안 기능 가상화(NSFV) 기반의 보안 정책 관리 장치(200)는 분석 결과를 기반으로 보안 제어 명령 및 보안 정책을 설정한다(S530). Next, the network security function virtualization (NSFV) -based security policy management apparatus 200 sets security control commands and security policies based on the analysis result (S530).

네트워크 보안 기능 가상화(NSFV) 기반의 보안 정책 관리 장치(200)는 연관성 분석의 수행 결과를 기반으로, 보안 제어 명령 및 보안 정책 중 적어도 어느 하나를 설정한다. 이때, 네트워크 보안 기능 가상화(NSFV) 기반의 보안 정책 관리 장치(200)는 데이터 모델링 분석을 통하여 보안 위협을 탐지하고, 보안 위협에 상응하도록, 보안 제어 명령 및 보안 정책 중 적어도 어느 하나를 설정할 수 있다. The network security function virtualization (NSFV) -based security policy management apparatus 200 sets at least one of a security control command and a security policy based on a result of performing an association analysis. At this time, the network security function virtualization (NSFV) -based security policy management apparatus 200 may detect a security threat through data modeling analysis and set at least one of security control commands and security policies to correspond to the security threat. .

네트워크 보안 기능 가상화(NSFV) 기반의 보안 정책 관리 장치(200)는 보안 설정 제어 명령, 가상 네트워크 트래픽 제어 명령, 공격 대응 정책, 탐지 대응 정책 및 시그니처 룰 셋 중 적어도 어느 하나를 포함하는 보안 제어 명령 및 보안 정책을 설정할 수 있으며, 보안 제어 명령 및 보안 정책의 종류는 이에 한정되지 않는다. The network security function virtualization (NSFV) -based security policy management device 200 includes a security control command including at least one of a security setting control command, a virtual network traffic control command, an attack response policy, a detection response policy, and a signature rule set, and The security policy may be set, and the types of security control commands and security policies are not limited thereto.

마지막으로, 네트워크 보안 기능 가상화(NSFV) 기반의 보안 정책 관리 장치(200)는 네트워크 보안 기능 가상화(NSFV) 기반의 클라우드 보안 분석 장치(100)로 설정된 보안 제어 명령 및 보안 정책을 전송한다(S540).Finally, the network security function virtualization (NSFV) -based security policy management device 200 transmits a security control command and security policy set to the network security function virtualization (NSFV) -based cloud security analysis device 100 (S540). .

이하에서는 도 6 및 도 7을 통하여 본 발명의 일실시예에 따른 네트워크 보안 기능 가상화(NSFV) 기반의 보안 정보 관리 시스템의 일예에 대하여 더욱 상세하게 설명한다. Hereinafter, an example of a network security function virtualization (NSFV) based security information management system according to an embodiment of the present invention will be described in more detail with reference to FIGS. 6 and 7.

도 6은 본 발명의 일실시예에 따른 네트워크 보안 기능 가상화 기반의 보안 정보 관리 시스템의 일 예를 나타낸 예시도이다. 6 is an exemplary view showing an example of a security information management system based on virtualization of a network security function according to an embodiment of the present invention.

도 6에서 보안 정보는, 네트워크 데이터, 보안 데이터, 보안 제어 명령 및 보안 정책 등을 의미할 수 있으며, 네트워크 보안 기능 가상화 기반의 보안 정보 관리 시스템은 이러한 보안 정보를 수집, 분석, 관리할 수 있다. In FIG. 6, security information may mean network data, security data, security control commands, and security policies, and the network security function virtualization-based security information management system may collect, analyze, and manage the security information.

도 6에 도시한 바와 같이, NSFV 기반의 클라우드 보안 분석 장치(600)는 NSFV 기반의 보안 시스템(500)으로부터 네트워크 데이터를 수집한다. 6, the NSFV-based cloud security analysis device 600 collects network data from the NSFV-based security system 500.

NSFV 기반의 보안 시스템(500)은 하이퍼바이저 기반의 가상화 네트워크 공격 탐지 및 대응 시스템(vIPS, vFW, vIDS) 및 네트워크 트래픽 수집 시스템(vNetMon) 중 적어도 어느 하나를 포함하는 시스템을 의미할 수 있다. The NSFV-based security system 500 may refer to a system including at least one of a hypervisor-based virtualization network attack detection and response system (vIPS, vFW, vIDS) and a network traffic collection system (vNetMon).

또한, NSFV 기반의 보안 시스템(500)은 네트워크 데이터를 NSFV 기반의 클라우드 보안 분석 장치(600)로 전송하는 네트워크 데이터 전송 기능, NSFV 기반의 클라우드 보안 분석 장치(600)로부터 보안 제어 명령 및 보안 정책을 수신하여 실행하는 기능 등을 수행할 수 있다. In addition, the NSFV-based security system 500 transmits network data to the NSFV-based cloud security analysis device 600, a network data transmission function, and an NSFV-based cloud security analysis device 600 for security control commands and security policies. It can perform functions such as receiving and executing.

그리고 NSFV 기반의 클라우드 보안 분석 장치(600)는 클라우드 인프라 전체에 대한 통합 보안 관제를 수행하는 클라우드 보안 운영 센터(Cloud Security Operations Center, Cloud SOC)를 의미할 수 있다. In addition, the NSFV-based cloud security analysis device 600 may mean a cloud security operations center (Cloud SOC) that performs integrated security control for the entire cloud infrastructure.

또한, NSFV 기반의 클라우드 보안 분석 장치(600)는 NSFV 기반의 보안 시스템(500)으로부터의 네트워크 데이터 수집 기능, 네트워크 데이터의 정규화 처리 기능, 빅데이터 처리 및 저장 기능, 네트워크 데이터를 이용한 비정상 행위 탐지 및 보안 상황 분석 기능, NSFV 기반의 보안 정책 관리 장치(720)와의 연동 기능 및 보안 제어 명령 및 보안 정책 배포 기능 등을 수행할 수 있다. In addition, the NSFV-based cloud security analysis device 600 is NSFV-based security system 500 from the network data collection function, network data normalization processing function, big data processing and storage function, anomaly detection using network data and The security situation analysis function, an interworking function with the NSFV-based security policy management device 720, a security control command, and a security policy distribution function may be performed.

특히, NSFV 기반의 클라우드 보안 분석 장치(600)는 NSFV 기반의 보안 시스템(500)으로부터 서비스 로그(Service Log), 보안 이벤트(Security Event), 시스템 로그(Syslog), 응용 프로그램 이벤트(App Event), vAgent 이벤트(vAgent Event), 단말 보안 이벤트(End-point Security Event), 네트워크 패킷 스트림(Raw packet Stream), 플로우 이벤트(Flow Event) 중 적어도 어느 하나를 포함하는 네트워크 데이터를 수집할 수 있다. In particular, the NSFV-based cloud security analysis device 600 is an NSFV-based security system 500 from a service log (Service Log), security event (Security Event), system log (Syslog), application event (App Event), Network data including at least one of a vAgent event, an end-point security event, a network packet stream, and a flow event may be collected.

또한, NSFV 기반의 클라우드 보안 분석 장치(600)는 수집된 네트워크 데이터 또는 네트워크 데이터를 가공한 보안 데이터를 NSFV 기반의 보안 정책 관리 장치(720)로 전송할 수 있다. In addition, the NSFV-based cloud security analysis device 600 may transmit the collected network data or security data processing network data to the NSFV-based security policy management device 720.

이때, NSFV 기반의 클라우드 보안 분석 장치(600)는 가상화 시스템(700) 내에 구비된 가상화 에이전트(710)를 통하여 NSFV 기반의 보안 정책 관리 장치(720)와 통신을 수행할 수 있다. At this time, the NSFV-based cloud security analysis device 600 may communicate with the NSFV-based security policy management device 720 through the virtualization agent 710 provided in the virtualization system 700.

가상화 시스템(700)은 NSFV 기반의 보안 정책 관리 장치(720), 가상화 에이전트(710) 및 하이퍼바이저(730)를 포함할 수 있다. 그리고 가상화 시스템(700)은 하나의 하드웨어 장비에서 복수 개의 가상 머신(virtual machine)들을 구동시킬 수 있으며, 각각의 가상 머신은 독립적으로 동작할 수 있고, 서로 다른 운영체제(OS)를 구동시킬 수 있다. The virtualization system 700 may include an NSFV-based security policy management device 720, a virtualization agent 710, and a hypervisor 730. In addition, the virtualization system 700 may drive a plurality of virtual machines on a single hardware device, and each virtual machine may operate independently and drive different operating systems (OSs).

가상화 에이전트(710)는 NSFV 기반의 클라우드 보안 분석 장치(600)와 NSFV 기반의 보안 정책 관리 장치(720) 간 통신을 중계한다. 가상화 에이전트(710)는 NSFV 기반의 클라우드 보안 분석 장치(600)로부터 사용자 정보, 테넌트 정보, 보안 데이터 중 적어도 어느 하나를 포함하는 분석 요청 메시지를 수신하고, 수신된 분석 요청 메시지를 NSFV 기반의 보안 정책 관리 장치(720)로 전달한다. The virtualization agent 710 relays communication between the NSFV-based cloud security analysis device 600 and the NSFV-based security policy management device 720. The virtualization agent 710 receives an analysis request message including at least one of user information, tenant information, and security data from the NSFV-based cloud security analysis device 600, and the received analysis request message is an NSFV-based security policy It is delivered to the management device 720.

그리고 가상화 에이전트(710)는 NSFV 기반의 보안 정책 관리 장치(720)로부터 분석 결과, 보안 제어 명령, 보안 정책 중 적어도 어느 하나를 수신하여, NSFV 기반의 클라우드 보안 분석 장치(600)로 제공할 수 있다. In addition, the virtualization agent 710 may receive at least one of an analysis result, a security control command, and a security policy from the NSFV-based security policy management device 720 and provide the NSFV-based cloud security analysis device 600. .

NSFV 기반의 보안 정책 관리 장치(720)는 NSFV 기반의 클라우드 보안 분석 장치(600)로부터 분석 요청 메시지를 수신하고, 데이터 마이닝 모델을 설정하며, NSFV 기반의 클라우드 보안 분석 장치(600)로부터 수신한 데이터에 대한 연관성 분석을 수행한다. The NSFV-based security policy management device 720 receives an analysis request message from the NSFV-based cloud security analysis device 600, sets a data mining model, and receives data from the NSFV-based cloud security analysis device 600. Perform relevance analysis for.

또한, NSFV 기반의 보안 정책 관리 장치(720)는 분석된 결과를 기반으로 보안 제어 명령 및 보안 정책을 설정하여, 가상화 에이전트(710)를 통하여 NSFV 기반의 클라우드 보안 분석 장치(600)로 전달할 수 있다. 보안 제어 명령 및 보안 정책을 수신한 NSFV 기반의 클라우드 보안 분석 장치(600)는 수신된 보안 제어 명령 및 보안 정책을 NSFV 기반의 보안 시스템(500)으로 배포할 수 있다. In addition, the NSFV-based security policy management device 720 may set a security control command and a security policy based on the analyzed result, and transmit it to the NSFV-based cloud security analysis device 600 through the virtualization agent 710. . The NSFV-based cloud security analysis device 600 receiving the security control command and the security policy may distribute the received security control command and security policy to the NSFV-based security system 500.

하이퍼바이저(730)는 가상화 시스템(700)에서 복수 개의 가상 머신들을 구동하기 위하여, 중앙처리장치(CPU), 메모리, 스토리지, 네트워크 등의 물리적 자원을 복수 개의 가상 머신들에 배분하고, 스케줄링한다. 그리고 하이퍼바이저(730)는 가상화 시스템(700) 내의 가상 머신들과 가상 머신들이 사용 중인 자원에 접근(access) 가능하다. The hypervisor 730 allocates and schedules physical resources such as a central processing unit (CPU), memory, storage, and network to a plurality of virtual machines in order to drive a plurality of virtual machines in the virtualization system 700. In addition, the hypervisor 730 may access virtual machines in the virtualization system 700 and resources used by the virtual machines.

또한, 하이퍼바이저(730)는 가상 머신들 간의 통신을 위하여 가상 네트워크 패킷을 중계하는 소프트웨어 형태의 가상 스위치(vSwitch) 및 설정된 규칙에 따라 가상 네트워크 패킷을 필터링하는 방화벽 패킷 필터를 포함할 수 있다. In addition, the hypervisor 730 may include a software-type virtual switch (vSwitch) relaying virtual network packets for communication between virtual machines and a firewall packet filter filtering virtual network packets according to established rules.

도 7은 본 발명의 일실시예에 따른 보안 정책 관리 장치의 일 예를 나타낸 예시도이다.7 is an exemplary view showing an example of a security policy management apparatus according to an embodiment of the present invention.

도 7과 같이, NSFV 기반의 보안 정책 관리 장치(720)는 보안 이벤트 및 경보(Alert) 정보 수집 기능, 분석 데이터 전처리 기능, 보안 이벤트 연관성 분석 기능, 보안 정책 및 시그니처 관리 기능, 분석 결과 및 알람 리포팅 기능 등을 수행할 수 있다. As illustrated in FIG. 7, the NSFV-based security policy management device 720 includes security event and alert information collection function, analysis data pre-processing function, security event association analysis function, security policy and signature management function, analysis result, and alarm reporting Functions, etc.

NSFV 기반의 보안 정책 관리 장치(720)는 보안 이벤트 및 경보(Alert) 정보 수집 기능을 통하여, 가상화 에이전트(710)로부터 보안 이벤트 및 경보 정보를 수신할 수 있다. 여기서, 보안 이벤트 및 경보 정보 수집 기능은 도 3의 분석 요청 수신부(210)가 수행하는 동작을 의미할 수 있으며, 중복되는 설명은 생략한다. 그리고 NSFV 기반의 보안 정책 관리 장치(720)는 분석 결과 및 알람 리포팅 기능을 통하여, 가상화 에이전트(710)로 분석 결과 및 보안 정책을 제공할 수 있다. The NSFV-based security policy management device 720 may receive security event and alert information from the virtualization agent 710 through a security event and alert information collection function. Here, the security event and alarm information collection function may refer to an operation performed by the analysis request receiving unit 210 of FIG. 3, and a redundant description will be omitted. In addition, the NSFV-based security policy management device 720 may provide an analysis result and a security policy to the virtualization agent 710 through an analysis result and an alarm reporting function.

또한, NSFV 기반의 보안 정책 관리 장치(720)는 분석 데이터 전처리 기능을 통하여, 수집된 데이터를 데이터 마이닝 분석 모델에 따라 가공 및 처리하고, 보안 이벤트 연관성 분석 기능을 통하여, 비정상 행위를 분석 및 탐지할 수 있다. 여기서, 분석 데이터 전처리 기능 및 보안 이벤트 연관성 분석 기능은 도 3의 연관성 분석부(220)가 수행하는 동작을 의미할 수 있으며, 중복되는 설명은 생략한다. In addition, the NSFV-based security policy management device 720 analyzes and detects abnormal behavior through a data mining analysis model, processing and processing the collected data through an analysis data pre-processing function, and a security event association analysis function. You can. Here, the analysis data pre-processing function and the security event association analysis function may refer to an operation performed by the association analysis unit 220 of FIG. 3, and a duplicate description is omitted.

NSFV 기반의 보안 정책 관리 장치(720)는 외부 인터페이스(740)를 통하여 사용자 또는 테넌트별로 제공받는 클라우드 서비스의 보안 상황 정보를 요청받을 수 있고, 보안 이벤트의 연관성 분석 결과를 기반으로 각각의 사용자 또는 테넌트별 보안 상황 정보를 리포팅할 수 있다. 특히, NSFV 기반의 보안 정책 관리 장치(720)는 분석 결과 및 알람 리포팅 기능을 통하여 연관성 분석을 통해 탐지된 보안 상황 위협을 외부 인터페이스(740)로 리포팅할 수도 있다. The NSFV-based security policy management device 720 may request the security situation information of the cloud service provided for each user or tenant through the external interface 740, and each user or tenant based on the association analysis result of the security event It is possible to report the security status information of each star. In particular, the NSFV-based security policy management apparatus 720 may report the security situation threat detected through the association analysis through the analysis result and the alarm reporting function to the external interface 740.

그리고 NSFV 기반의 보안 정책 관리 장치(720)는 라이프사이클 상태 관리부(750)를 통하여 내부 모듈들의 기능 수행을 위한 환경 설정 값을 입력받을 수 있고, NSFV 기반의 보안 정책 관리 장치(720)의 상태 정보를 제공할 수 있다. In addition, the NSFV-based security policy management device 720 may receive an environment setting value for performing functions of internal modules through the lifecycle state management unit 750, and state information of the NSFV-based security policy management device 720 Can provide.

외부 인터페이스(740)를 통하여 보안 상황 정보를 요청받고 제공하는 과정 및 라이프사이클 상태 관리부(750)를 통하여 환경 설정 값을 입력받고 상태 정보를 제공하는 과정은 도 3의 인터페이스부(250)에 의해 수행될 수 있으며, 중복되는 설명은 생략한다. The process of receiving and providing security status information through the external interface 740 and the process of receiving environment setting values through the lifecycle state management unit 750 and providing status information are performed by the interface unit 250 of FIG. 3. It may be, and redundant descriptions will be omitted.

그리고 NSFV 기반의 보안 정책 관리 장치(720)는 보안 정책 및 시그니처 관리 기능을 수행하여, 데이터 모델링 기법을 통한 위협을 탐지하고, 탐지된 위협에 대한 보안 정책 및 시그니처 룰 셋을 생성하여 관리할 수 있다. 여기서, 보안 정책 및 시그니처 룰 셋을 생성하여 가상화 에이전트(710)를 통해 NSFV 기반의 클라우드 보안 분석 장치(600)로 배포하는 기능은 도 3의 보안 정책 설정부(230) 및 보안 정책 전송부(240)에 의해 수행될 수 있으며, 중복되는 설명은 생략한다. In addition, the NSFV-based security policy management device 720 performs a security policy and signature management function, detects a threat through a data modeling technique, and generates and manages a security policy and signature rule set for the detected threat. . Here, the function of creating a security policy and signature rule set and deploying it to the NSFV-based cloud security analysis device 600 through the virtualization agent 710 includes a security policy setting unit 230 and a security policy transmission unit 240 of FIG. 3 ), And redundant description is omitted.

도 8은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.8 is a block diagram showing a computer system according to an embodiment of the present invention.

도 8을 참조하면, 본 발명의 실시예는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템(800)에서 구현될 수 있다. 도 8에 도시된 바와 같이, 컴퓨터 시스템(800)은 버스(820)를 통하여 서로 통신하는 하나 이상의 프로세서(810), 메모리(830), 사용자 입력 장치(840), 사용자 출력 장치(850) 및 스토리지(860)를 포함할 수 있다. 또한, 컴퓨터 시스템(800)은 네트워크(880)에 연결되는 네트워크 인터페이스(870)를 더 포함할 수 있다. 프로세서(810)는 중앙 처리 장치 또는 메모리(830)나 스토리지(860)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(830) 및 스토리지(860)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리는 ROM(831)이나 RAM(832)을 포함할 수 있다.8, an embodiment of the present invention may be implemented in a computer system 800, such as a computer-readable recording medium. As shown in FIG. 8, computer system 800 includes one or more processors 810, memory 830, user input device 840, user output device 850, and storage that communicate with each other via bus 820. 860. In addition, the computer system 800 may further include a network interface 870 connected to the network 880. The processor 810 may be a central processing unit or a semiconductor device that executes processing instructions stored in the memory 830 or the storage 860. The memory 830 and the storage 860 may be various types of volatile or nonvolatile storage media. For example, the memory may include ROM 831 or RAM 832.

따라서, 본 발명의 실시예는 컴퓨터로 구현된 방법이나 컴퓨터에서 실행 가능한 명령어들이 기록된 비일시적인 컴퓨터에서 읽을 수 있는 매체로 구현될 수 있다. 컴퓨터에서 읽을 수 있는 명령어들이 프로세서에 의해서 수행될 때, 컴퓨터에서 읽을 수 있는 명령어들은 본 발명의 적어도 한 가지 태양에 따른 방법을 수행할 수 있다.Accordingly, an embodiment of the present invention may be embodied as a computer-implemented method or a non-transitory computer-readable medium on which computer-executable instructions are recorded. When computer readable instructions are executed by a processor, computer readable instructions may perform the method according to at least one aspect of the present invention.

이상에서와 같이 본 발명에 따른 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 및 보안 정책 관리 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다. As described above, the apparatus and method for cloud security analysis and security policy management based on network security function virtualization according to the present invention are not limited to the configuration and method of the described embodiments, and the embodiments are All or part of each of the embodiments may be selectively combined to constitute various modifications.

100: 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치
110: 네트워크 데이터 수집부 120: 보안 상황 분석부
130: 분석 요청부 140: 보안 정책 수신부
150: 보안 정책 배포부
200: 네트워크 보안 기능 가상화 기반의 보안 정책 관리 장치
210: 분석 요청 수신부 220: 연관성 분석부
230: 보안 정책 설정부 240: 보안 정책 전송부
250: 인터페이스부 500: NSFV 기반의 보안 시스템
600: NSFV 기반의 클라우드 보안 분석 장치
700: 가상화 시스템 710: 가상화 에이전트
720: NSFV 기반의 보안 정책 관리 장치
730: 하이퍼바이저 740: 외부 인터페이스
750: 라이프사이클 상태 관리부 800: 컴퓨터 시스템
810: 프로세서 820: 버스
830: 메모리 831: 롬
832: 램 840: 사용자 입력 장치
850: 사용자 출력 장치 860: 스토리지
870: 네트워크 인터페이스 880: 네트워크100: network security function virtualization-based cloud security analysis device
110: network data collection unit 120: security situation analysis unit
130: analysis request unit 140: security policy receiving unit
150: Security Policy Distribution
200: network security function virtualization-based security policy management device
210: analysis request receiving unit 220: association analysis unit
230: security policy setting unit 240: security policy transmission unit
250: interface unit 500: NSFV-based security system
600: NSFV-based cloud security analysis device
700: Virtualization system 710: Virtualization agent
720: NSFV-based security policy management device
730: hypervisor 740: external interface
750: life cycle state management unit 800: computer system
810: processor 820: bus
830: memory 831: ROM
832: RAM 840: user input device
850: user output device 860: storage
870: network interface 880: network

Claims (20)

클라우드 보안 분석 장치로부터 보안 데이터를 포함하는 분석 요청 메시지를 수신하는 분석 요청 수신부,
테넌트 단위 및 사용자 단위 중 적어도 어느 하나를 포함하는 분석 단위 별로, 상기 보안 데이터의 연관성 분석을 수행하는 연관성 분석부,
상기 연관성 분석의 수행 결과를 기반으로, 보안 제어 명령 및 보안 정책 중 적어도 어느 하나를 설정하는 보안 정책 설정부, 그리고
설정된 상기 보안 제어 명령 및 상기 보안 정책 중 적어도 어느 하나를 상기 클라우드 보안 분석 장치로 전송하는 보안 정책 전송부
를 포함하고,
상기 연관성 분석부는
데이터 마이닝 분석 모델을 기준으로 가공된 보안 데이터 및 표준 분석 모델을 기준으로 사용자로부터 선택된 보안 데이터를 기반으로 연관성을 분석하는 것을 특징으로 하는 네트워크 보안 기능 가상화 기반의 보안 정책 관리 장치. Analysis request receiving unit for receiving an analysis request message containing the security data from the cloud security analysis device,
For each analysis unit including at least one of a tenant unit and a user unit, an association analysis unit performing an association analysis of the security data,
A security policy setting unit that sets at least one of a security control command and a security policy based on the result of performing the association analysis, and
Security policy transmission unit for transmitting at least one of the set security control command and the security policy to the cloud security analysis device
Including,
The association analysis unit
Network security function virtualization-based security policy management device characterized by analyzing association based on security data processed based on data mining analysis model and security data selected from users based on standard analysis model. 제1항에 있어서,
상기 분석 요청 메시지는,
사용자 정보, 테넌트 정보, 상기 보안 데이터 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 네트워크 보안 기능 가상화 기반의 보안 정책 관리 장치.According to claim 1,
The analysis request message,
A network security function virtualization-based security policy management device comprising at least one of user information, tenant information, and the security data. 제2항에 있어서,
사용자 및 테넌트 중 적어도 어느 하나를 포함하는 분석 대상에 상응하는 보안 상황 정보를 요청받고, 상기 분석 대상에 상응하는 보안 상황의 분석 결과를 제공하는 인터페이스부를 더 포함하는 것을 특징으로 하는 네트워크 보안 기능 가상화 기반의 보안 정책 관리 장치. According to claim 2,
Network security function virtualization-based, characterized in that it further comprises an interface for receiving security situation information corresponding to an analysis target including at least one of a user and a tenant, and providing an analysis result of the security situation corresponding to the analysis target. Security policy management device. 제2항에 있어서,
상기 보안 데이터는,
보안 이벤트, 플로우 이벤트, 네트워크 패킷 스트림, 서비스 로그, 네트워크 보안 기능 가상화 기반의 보안 시스템 로그 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 네트워크 보안 기능 가상화 기반의 보안 정책 관리 장치. According to claim 2,
The security data,
A security policy management device based on network security function virtualization, comprising at least one of security events, flow events, network packet streams, service logs, and network security function virtualization-based security system logs. 삭제delete 제1항에 있어서,
상기 보안 정책 설정부는,
데이터 모델링 분석을 통해 탐지된 보안 위협에 상응하도록, 상기 보안 제어 명령 및 상기 보안 정책 중 적어도 어느 하나를 설정하는 것을 특징으로 하는 네트워크 보안 기능 가상화 기반의 보안 정책 관리 장치.According to claim 1,
The security policy setting unit,
Network security function virtualization-based security policy management device, characterized in that at least one of the security control command and the security policy is set to correspond to the security threat detected through data modeling analysis. 제6항에 있어서,
상기 보안 정책 설정부는,
보안 설정 제어 명령, 가상 네트워크 트래픽 제어 명령, 공격 대응 정책, 탐지 대응 정책 및 시그니처 룰 셋 중 적어도 어느 하나를 설정하는 것을 특징으로 하는 네트워크 보안 기능 가상화 기반의 보안 정책 관리 장치.The method of claim 6,
The security policy setting unit,
Network security function virtualization-based security policy management device, characterized by setting at least one of a security setting control command, a virtual network traffic control command, an attack response policy, a detection response policy, and a signature rule set. 제1항에 있어서,
상기 네트워크 보안 기능 가상화 기반의 보안 정책 관리 장치는,
하이퍼바이저를 통하여 가상 머신 상에서 구동되는 것을 특징으로 하는 네트워크 보안 기능 가상화 기반의 보안 정책 관리 장치. According to claim 1,
The network security function virtualization-based security policy management device,
Network security function virtualization-based security policy management device, characterized in that it runs on a virtual machine through a hypervisor. 네트워크 보안 기능 가상화 기반의 보안 시스템으로부터, 클라우드 컴퓨팅 환경에 상응하는 네트워크 데이터를 수집하는 네트워크 데이터 수집부,
수집된 상기 네트워크 데이터를 테넌트 단위 및 사용자 단위 중 적어도 어느 하나를 포함하는 분석 단위 별로 분석하여, 비정상 행위를 탐지하고, 보안 상황을 분석하는 보안 상황 분석부,
보안 정책 관리 장치로 분석 요청 메시지를 전송하는 분석 요청부,
상기 보안 정책 관리 장치로부터 보안 제어 명령 및 보안 정책을 수신하는 보안 정책 수신부, 그리고
수신된 상기 보안 제어 명령 및 보안 정책을 상기 보안 시스템으로 전송하는 보안 정책 전송부를 포함하고,
상기 보안 정책 관리 장치는
상기 분석 단위 별로 상기 분석 요청 메시지에 포함된 보안 데이터에 대한 연관성 분석을 수행하되, 데이터 마이닝 분석 모델을 기준으로 가공된 보안 데이터 및 표준 분석 모델을 기준으로 사용자로부터 선택된 보안 데이터를 기반으로 연관성을 분석하는 것을 특징으로 하는 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치.Network security function A network data collection unit that collects network data corresponding to a cloud computing environment from a virtualization-based security system,
A security situation analysis unit that analyzes the collected network data for each analysis unit including at least one of tenant units and user units to detect abnormal behaviors and analyze security conditions.
Analysis request unit that sends analysis request message to security policy management device,
Security policy receiving unit for receiving a security control command and security policy from the security policy management device, and
And a security policy transmission unit transmitting the received security control command and security policy to the security system,
The security policy management device
For each analysis unit, correlation analysis of security data included in the analysis request message is performed, and correlation is analyzed based on security data processed from the data mining analysis model and security data selected from the user based on a standard analysis model. Network security function virtualization-based cloud security analysis device characterized in that. 제9항에 있어서,
상기 분석 요청부는,
사용자 정보, 테넌트 정보, 상기 보안 데이터 중 적어도 어느 하나를 포함하는 상기 분석 요청 메시지를 전송하는 것을 특징으로 하는 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치.The method of claim 9,
The analysis request unit,
Network security function virtualization-based cloud security analysis device, characterized in that for transmitting the analysis request message containing at least one of user information, tenant information, the security data. 제10항에 있어서,
상기 네트워크 데이터는,
보안 이벤트, 플로우 이벤트, 네트워크 패킷 스트림, 서비스 로그, 네트워크 보안 기능 가상화 기반의 보안 시스템 로그 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치.The method of claim 10,
The network data,
A network security function virtualization-based cloud security analysis device comprising at least one of a security event, a flow event, a network packet stream, a service log, and a network security function virtualization-based security system log. 제11항에 있어서,
상기 보안 상황 분석부는,
빅데이터 플랫폼을 기반으로 상기 네트워크 데이터를 처리하여, 상기 비정상 행위를 탐지하고, 상기 보안 상황을 분석하는 것을 특징으로 하는 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치.The method of claim 11,
The security situation analysis unit,
A network security function virtualization-based cloud security analysis device characterized by processing the network data based on a big data platform, detecting the abnormal behavior, and analyzing the security situation. 제10항에 있어서,
상기 보안 제어 명령 및 보안 정책은,
보안 설정 제어 명령, 가상 네트워크 트래픽 제어 명령, 공격 대응 정책, 탐지 대응 정책 및 시그니처 룰 셋 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치.The method of claim 10,
The security control command and security policy,
A network security function virtualization-based cloud security analysis device comprising at least one of a security setting control command, a virtual network traffic control command, an attack response policy, a detection response policy, and a signature rule set. 네트워크 보안 기능 가상화 기반의 보안 정책 관리 장치에 의해 수행되는 보안 정책 관리 방법에 있어서,
클라우드 보안 분석 장치로부터 보안 데이터를 포함하는 분석 요청 메시지를 수신하는 단계,
테넌트 단위 및 사용자 단위 중 적어도 어느 하나를 포함하는 분석 단위 별로, 상기 보안 데이터의 연관성 분석을 수행하는 단계,
상기 연관성 분석의 수행 결과를 기반으로, 보안 제어 명령 및 보안 정책 중 적어도 어느 하나를 설정하는 단계, 그리고
설정된 상기 보안 제어 명령 및 상기 보안 정책 중 적어도 어느 하나를 상기 클라우드 보안 분석 장치로 전송하는 단계
를 포함하고,
상기 보안 데이터의 연관성 분석을 수행하는 단계는
데이터 마이닝 분석 모델을 기준으로 가공된 보안 데이터 및 표준 분석 모델을 기준으로 사용자로부터 선택된 보안 데이터를 기반으로 연관성을 분석하는 것을 특징으로 하는 네트워크 보안 기능 가상화 기반의 보안 정책 관리 방법. In the security policy management method performed by the network security function virtualization-based security policy management device,
Receiving an analysis request message including security data from the cloud security analysis device,
For each analysis unit including at least one of a tenant unit and a user unit, performing a correlation analysis of the security data,
Setting at least one of a security control command and a security policy based on the result of performing the association analysis, and
Transmitting at least one of the set security control command and the security policy to the cloud security analysis device
Including,
The step of performing association analysis of the security data is
A network security function virtualization-based security policy management method characterized by analyzing association based on security data processed based on a data mining analysis model and security data selected from a user based on a standard analysis model. 제14항에 있어서,
상기 분석 요청 메시지는,
사용자 정보, 테넌트 정보, 상기 보안 데이터 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 네트워크 보안 기능 가상화 기반의 보안 정책 관리 방법.The method of claim 14,
The analysis request message,
Network security function virtualization-based security policy management method comprising at least one of user information, tenant information, and the security data. 제15항에 있어서,
사용자 및 테넌트 중 적어도 어느 하나를 포함하는 분석 대상에 상응하는 보안 상황 정보를 요청받는 단계, 그리고
상기 분석 대상에 상응하는 보안 상황의 분석 결과를 제공하는 단계
를 더 포함하는 것을 특징으로 하는 네트워크 보안 기능 가상화 기반의 보안 정책 관리 방법. The method of claim 15,
Receiving security situation information corresponding to an analysis target including at least one of a user and a tenant, and
Providing an analysis result of a security situation corresponding to the analysis target
Network security function characterized in that it further comprises a security policy management method based on virtualization. 제15항에 있어서,
상기 보안 데이터는,
보안 이벤트, 플로우 이벤트, 네트워크 패킷 스트림, 서비스 로그, 네트워크 보안 기능 가상화 기반의 보안 시스템 로그 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 네트워크 보안 기능 가상화 기반의 보안 정책 관리 방법. The method of claim 15,
The security data,
A security policy management method based on network security function virtualization, comprising at least one of security events, flow events, network packet streams, service logs, and network security function virtualization-based security system logs. 삭제delete 제14항에 있어서,
상기 보안 제어 명령 및 상기 보안 정책 중 적어도 어느 하나를 설정하는 단계는,
데이터 모델링 분석을 통해 탐지된 보안 위협에 상응하도록, 상기 보안 제어 명령 및 상기 보안 정책 중 적어도 어느 하나를 설정하는 것을 특징으로 하는 네트워크 보안 기능 가상화 기반의 보안 정책 관리 방법.The method of claim 14,
The setting of at least one of the security control command and the security policy may include:
A security policy management method based on network security function virtualization, characterized in that at least one of the security control command and the security policy is set to correspond to a security threat detected through data modeling analysis. 제19항에 있어서,
상기 보안 제어 명령 및 보안 정책 중 적어도 어느 하나를 설정하는 단계는,
보안 설정 제어 명령, 가상 네트워크 트래픽 제어 명령, 공격 대응 정책, 탐지 대응 정책 및 시그니처 룰 셋 중 적어도 어느 하나를 설정하는 것을 특징으로 하는 네트워크 보안 기능 가상화 기반의 보안 정책 관리 방법. The method of claim 19,
Setting at least one of the security control command and the security policy,
A network security function virtualization-based security policy management method characterized by setting at least one of a security setting control command, a virtual network traffic control command, an attack response policy, a detection response policy, and a signature rule set.
KR1020170010978A 2017-01-24 2017-01-24 Cloud security analysing apparatus, apparatus and method for management of security policy based on nsfv KR102088308B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170010978A KR102088308B1 (en) 2017-01-24 2017-01-24 Cloud security analysing apparatus, apparatus and method for management of security policy based on nsfv

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170010978A KR102088308B1 (en) 2017-01-24 2017-01-24 Cloud security analysing apparatus, apparatus and method for management of security policy based on nsfv

Publications (2)

Publication Number Publication Date
KR20180086919A KR20180086919A (en) 2018-08-01
KR102088308B1 true KR102088308B1 (en) 2020-03-12

Family

ID=63228124

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170010978A KR102088308B1 (en) 2017-01-24 2017-01-24 Cloud security analysing apparatus, apparatus and method for management of security policy based on nsfv

Country Status (1)

Country Link
KR (1) KR102088308B1 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102199412B1 (en) * 2019-05-16 2021-01-06 소레즈 주식회사 Data Mining System Using dimensionless number and the method of the same
KR102343501B1 (en) 2020-03-16 2021-12-27 주식회사 티앤디소프트 Security System for Cloud Service Based on Machine Learning
KR102312718B1 (en) 2020-03-16 2021-10-14 주식회사 티앤디소프트 Security System for Cloud Service
KR102280845B1 (en) 2020-11-24 2021-07-22 한국인터넷진흥원 Method and apparatus for detecting abnormal behavior in network
CN116781312A (en) * 2022-12-20 2023-09-19 中移(苏州)软件技术有限公司 Security protection method, cloud security platform and storage medium

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100596386B1 (en) 2003-12-05 2006-07-03 한국전자통신연구원 Method for dynamic filtering IP fragment attack fragment
KR101394424B1 (en) 2013-04-22 2014-05-13 한국인터넷진흥원 Hypervisor-based intrusion prevention platform and virtual network intrusion prevention system
KR101535502B1 (en) * 2014-04-22 2015-07-09 한국인터넷진흥원 System and method for controlling virtual network including security function

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130085473A (en) * 2011-12-05 2013-07-30 인텔렉추얼디스커버리 주식회사 Encryption system for intrusion detection system of cloud computing service

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100596386B1 (en) 2003-12-05 2006-07-03 한국전자통신연구원 Method for dynamic filtering IP fragment attack fragment
KR101394424B1 (en) 2013-04-22 2014-05-13 한국인터넷진흥원 Hypervisor-based intrusion prevention platform and virtual network intrusion prevention system
KR101535502B1 (en) * 2014-04-22 2015-07-09 한국인터넷진흥원 System and method for controlling virtual network including security function

Also Published As

Publication number Publication date
KR20180086919A (en) 2018-08-01

Similar Documents

Publication Publication Date Title
KR102088308B1 (en) Cloud security analysing apparatus, apparatus and method for management of security policy based on nsfv
US11902120B2 (en) Synthetic data for determining health of a network security system
US10567422B2 (en) Method, apparatus and system for processing attack behavior of cloud application in cloud computing system
KR101535502B1 (en) System and method for controlling virtual network including security function
US10972388B2 (en) Federated microburst detection
US20140222813A1 (en) Collecting data in internet of things
US10320833B2 (en) System and method for detecting creation of malicious new user accounts by an attacker
US10951646B2 (en) Biology based techniques for handling information security and privacy
CN104506507A (en) Honey net safeguard system and honey net safeguard method for SDN (self-defending network)
TW201423398A (en) Method and system for analyzing root causes of relating performance issues among virtual machines to physical machines
US10749895B2 (en) Handling network threats
CN103354530A (en) Virtualization network boundary data flow gathering method and apparatus
CN106650425B (en) A kind of control method and device of security sandbox
CN104219211A (en) Detection method and detection device for network security in cloud computing network
CN112235300B (en) Cloud virtual network vulnerability detection method, system, device and electronic equipment
KR102343501B1 (en) Security System for Cloud Service Based on Machine Learning
CN113141356A (en) Micro-isolation device and method under cloud computing platform
CN107516039B (en) Safety protection method and device for virtualization system
Chouhan et al. Network based malware detection within virtualised environments
KR101454838B1 (en) Cloud enterprise security management system for interworking of Hypervisor-based virtual network and host intrusion prevention system
Smirnov et al. Network traffic processing module for infrastructure attacks detection in cloud computing platforms
Araújo et al. Virtualization in intrusion detection systems: a study on different approaches for cloud computing environments
KR102312718B1 (en) Security System for Cloud Service
US12067415B1 (en) Automatic receive side scaling configuration
Bousselham et al. Security of virtual networks in cloud computing for education

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right