KR102210051B1 - Separating network system with honeypot - Google Patents

Separating network system with honeypot Download PDF

Info

Publication number
KR102210051B1
KR102210051B1 KR1020180162322A KR20180162322A KR102210051B1 KR 102210051 B1 KR102210051 B1 KR 102210051B1 KR 1020180162322 A KR1020180162322 A KR 1020180162322A KR 20180162322 A KR20180162322 A KR 20180162322A KR 102210051 B1 KR102210051 B1 KR 102210051B1
Authority
KR
South Korea
Prior art keywords
data
cracker
control
server
review
Prior art date
Application number
KR1020180162322A
Other languages
Korean (ko)
Other versions
KR20200073772A (en
Inventor
이지환
장수희
이승현
Original Assignee
지엘디앤아이에프 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 지엘디앤아이에프 주식회사 filed Critical 지엘디앤아이에프 주식회사
Priority to KR1020180162322A priority Critical patent/KR102210051B1/en
Publication of KR20200073772A publication Critical patent/KR20200073772A/en
Application granted granted Critical
Publication of KR102210051B1 publication Critical patent/KR102210051B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/23Processing of content or additional data; Elementary server operations; Server middleware
    • H04N21/234Processing of video elementary streams, e.g. splicing of video streams or manipulating encoded video stream scene graphs

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 허니팟이 적용된 망 분리 시스템에 관한 것으로, 제어수단; 촬영수단; 제1 검토수단; 제1 변환수단; 제1 검출수단; 제2 변환수단; 및 모니터링수단; 을 포함하여, 영상 보안시스템 구축에 사용되는 구성품에 악성 소프트웨어 등이 포함되어 있더라도 안정적으로 시스템을 보호할 수 있고, 공공기관이나 공기업 등에 구축되어 있는 영상 보안시스템의 영상데이터를 안전하게 활용할 수 있어 공공서비스의 활용도를 높이며, 인근 지역의 영상보안 시스템 통합관제의 효율성을 높일 수 있을 뿐만 아니라 영상 보안시스템에 대한 침해 행위의 발생시 실시간으로 침해 사실을 확인하고 대처할 수 있으므로 새로운 사이버 공격정보의 수집이 가능하고, 이를 피드백하여 시스템의 보안성을 개선할 수 있는 것을 특징으로 한다.The present invention relates to a network separation system to which a honeypot is applied, comprising: a control means; Photographing means; First review means; First conversion means; First detection means; Second conversion means; And monitoring means; Including, it is possible to reliably protect the system even if the components used to build the video security system contain malicious software, etc., and it is possible to safely utilize the video data of the video security system established in public institutions or public enterprises. In addition, it is possible to increase the utilization of the video security system and increase the efficiency of integrated control of the video security system in the vicinity, as well as to check and respond to the infringement in real time when an infringement activity on the video security system occurs, so that new cyber attack information can be collected. It is characterized in that it is possible to improve the security of the system by providing feedback.

Description

허니팟이 적용된 망 분리 시스템{SEPARATING NETWORK SYSTEM WITH HONEYPOT}Network separation system with honeypot applied {SEPARATING NETWORK SYSTEM WITH HONEYPOT}

본 발명은 허니팟이 적용된 망 분리 시스템에 관한 것으로서, 더욱 상세하게는 영상 보안시스템 구축에 사용되는 구성품에 악성 소프트웨어 등이 포함되어 있더라도 안정적으로 시스템을 보호할 수 있고, 공공기관이나 공기업 등에 구축되어 있는 영상 보안시스템의 영상데이터를 안전하게 활용할 수 있어 공공서비스의 활용도를 높이며, 인근 지역의 영상보안 시스템 통합관제의 효율성을 높일 수 있을 뿐만 아니라 영상 보안시스템에 대한 침해 행위의 발생시 실시간으로 침해 사실을 확인하고 대처할 수 있으므로 새로운 사이버 공격정보의 수집이 가능하고, 이를 피드백하여 시스템의 보안성을 개선할 수 있는 허니팟이 적용된 망 분리 시스템에 관한 것이다.The present invention relates to a network separation system to which a honeypot is applied, and more particularly, even if malicious software is included in components used for building a video security system, the system can be reliably protected, and is built in public institutions or public enterprises. It is possible to safely utilize the video data of the video security system to increase the utilization of public services, improve the efficiency of integrated control of the video security system in the surrounding area, and check the fact of infringement in real time when an infringement on the video security system occurs. It relates to a network separation system to which a honeypot is applied, which can cope with it, so that it is possible to collect new cyber attack information and to improve the security of the system by feeding it back.

최근 급격히 증가하는 공공분야의 테러, 유괴, 주요 시설물에 대한 방화 등의 긴급 상황 발생과 어린이의 안전사고 등이 사회적인 문제로 대두되고 있으며, 이에 따라 감시카메라에 기반한 실시간 영상 보안시스템의 설치가 급격히 증가하고 있다.In recent years, emergencies such as terrorism in the public sector, kidnapping, and arson against major facilities and safety accidents of children are emerging as social issues, and accordingly, the installation of real-time video security systems based on surveillance cameras has rapidly increased. Are doing.

그런데, 영상 보안시스템 구축에 필요한 구성품, 예를 들어 네트워크 카메라(IP camera)와 네트워크 비디오 녹화기(Network Video Recorder, NVR) 등이 네트워크 제품 형태로 발전되면서 미리 구성품 내에 악성 소프트웨어(Malicious Software, Malware) 등을 두어 이를 통해 해킹이 가능해지는 등 영상 보안시스템 구축에 사용되는 구성품에 의한 보안침해 위협이 커지고 있다.However, as components necessary to build a video security system, such as network cameras and network video recorders (NVRs), have been developed into network products, malicious software (malware), etc. The threat of security breaches caused by components used to build a video security system is increasing, such as hacking is possible through this.

특히, 공공 및 민간분야 인터넷망에 공개된 네트워크 카메라에 대한 보안침해 문제는 여러 차례 매스컴을 통해 이슈화되었는데, 2016년 4월에는 분산서비스거부(Distributed Denial of Service, DDoS) 공격 수행 봇을 만들 수 있는 악성코드가 아마존에서 판매되고 있던 중국산 네트워크 카메라에서 발견된 바 있고, 2016년 11월에는 중국산 네트워크 영상보안 제품에 포함된 봇넷을 이용하여 미국 DNS 업체에 대규모 DDoS 공격이 발생하기도 하였다.In particular, the issue of security infringement on network cameras disclosed on public and private internet networks has been an issue several times through the mass media.In April 2016, a bot that can create a distributed denial of service (DDoS) attack Malware was discovered in Chinese network cameras sold on Amazon, and in November 2016, a large-scale DDoS attack occurred on US DNS companies using a botnet included in a Chinese network video security product.

이에 따라 미국 의회의 경우 국방수권법(National Defense Authorization Act, NDAA)을 통과시켜 주요 시설에 중국산 네트워크 영상보안 물품 사용을 금지시켰다.Accordingly, the US Congress passed the National Defense Authorization Act (NDAA), banning the use of Chinese-made network video security items at major facilities.

한편, 국내 공공기관 및 공기업에서 운영 중인 네트워크 영상 보안시스템에는 이미 중국산 네트워크 영상보안 물품이 다수 납품되어 설치, 운용되고 있는 실정이다.Meanwhile, a number of Chinese-made network video security products have already been supplied, installed, and operated in network video security systems operated by domestic public institutions and public enterprises.

또한, 공공기관 및 공기업 등이 운용하고 있는 영상 보안시스템의 촬영데이터는 대외적 공유 및 공공목적 활용에 대한 필요성이 대두되고 있으나, 해킹 등 외부 침해 위협에 대해 시스템의 안정성을 담보하기 어려워 대외적으로 공유하는 것을 기피하고 있다.In addition, there is a need for external sharing and public use of photographed data for video security systems operated by public institutions and public enterprises, but it is difficult to secure the stability of the system against external intrusion threats such as hacking, so it is shared externally. I'm avoiding it.

따라서, 영상 보안시스템 구축에 사용되는 구성품에 악성 소프트웨어 등이 포함되어 있는 경우에도 시스템을 물리적으로 망 분리하여 외부망을 통한 침해 행위(해킹)로부터 시스템을 보호하고, 급속히 기술 고도화가 이루어지고 있는 망 침해 수법에 대한 시스템 관리자의 인지 및 신속한 대처방안 수립을 위한 적극적인 망 침해 방식 데이터를 수집할 필요성이 대두되고 있다.Therefore, even if the components used to build the video security system contain malicious software, the system is physically separated from the network to protect the system from intrusion (hacking) through external networks, and the technology is rapidly advancing. There is a need to collect data on aggressive network infringement methods for system administrators' awareness of infringement methods and to establish rapid countermeasures.

대한민국 특허등록 제10-0926456호Korean Patent Registration No. 10-0926456

따라서, 본 발명의 목적은 이와 같은 종래의 문제점을 해결하기 위한 것으로 영상 보안시스템 구축에 사용되는 구성품에 악성 소프트웨어 등이 포함되어 있더라도 안정적으로 시스템을 보호할 수 있는 허니팟이 적용된 망 분리 시스템을 제공함에 있다.Accordingly, an object of the present invention is to solve such a conventional problem, and to provide a network separation system to which a honeypot is applied that can reliably protect the system even if the components used for the video security system construction include malicious software, etc. have.

또, 공공기관이나 공기업 등에 구축되어 있는 영상 보안시스템의 영상데이터를 안전하게 활용할 수 있어 공공서비스의 활용도를 높이고, 인근 지역의 영상보안 시스템 통합관제의 효율성을 높일 수 있는 허니팟이 적용된 망 분리 시스템을 제공함에 있다.In addition, it provides a network separation system with honeypots that can safely utilize the image data of the video security system established in public institutions or public enterprises, thereby enhancing the utilization of public services and increasing the efficiency of integrated control of the video security system in the surrounding area. Is in.

또한, 영상 보안시스템에 대한 침해 행위의 발생시 실시간으로 침해 사실을 확인하고 대처할 수 있으므로 새로운 사이버 공격정보의 수집이 가능하고, 이를 피드백하여 시스템의 보안성을 개선할 수 있는 허니팟이 적용된 망 분리 시스템을 제공함에 있다.In addition, since it is possible to check and respond to the infringement of the video security system in real time, it is possible to collect new cyber attack information, and a network separation system with a honeypot that can improve the security of the system through feedback. In the offering.

상기 목적은, 본 발명에 따라, 제어수단; 상기 제어수단의 제어에 따라 동작하는 촬영수단; 상기 제어수단으로부터 상기 촬영수단을 제어하기 위한 제1 제어데이터를 전달받고, 상기 제1 제어데이터의 정상 또는 비정상 여부를 검토하는 제1 검토수단; 상기 제1 검토수단의 검토 결과, 정상인 제1 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제1 단방향데이터로 변환하여 상기 촬영수단에 전달하는 제1 변환수단; 상기 제1 검토수단의 검토 결과 비정상인 제1 제어데이터를 전달받고, 상기 비정상인 제1 제어데이터에 포함되어 있는 제1 크래커데이터를 검출하는 제1 검출수단; 상기 제1 검출수단으로부터 상기 비정상인 제1 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제2 단방향데이터로 변환하는 제2 변환수단; 및 상기 제1 크래커데이터 및 상기 제2 단방향데이터를 전달받아 저장하고, 상기 제1 크래커데이터에 크래커서버의 정보가 포함되어 있는 경우 상기 크래커서버로 상기 제2 단방향데이터를 전송하는 모니터링수단; 을 포함하는 허니팟이 적용된 망 분리 시스템에 의해 달성된다.The object is, according to the invention, the control means; Photographing means operating under the control of the control means; First review means for receiving first control data for controlling the photographing means from the control means and for reviewing whether the first control data is normal or abnormal; A first conversion means for receiving, as a result of the review by the first review means, the first normal control data, converting it into first one-way data transmitted unilaterally in one direction, and transmitting it to the photographing means; First detection means for receiving abnormal first control data as a result of the review by the first review means, and detecting first cracker data included in the abnormal first control data; Second conversion means for receiving the abnormal first control data from the first detection means and converting it into second one-way data that is unilaterally transmitted in one direction; And a monitoring means for receiving and storing the first cracker data and the second one-way data, and transmitting the second one-way data to the cracker server when the first cracker data includes information on the cracker server. A honeypot comprising a is achieved by a network separation system applied.

여기서, 상기 촬영수단에 의해 촬영된 촬영데이터에서 영상데이터를 분리해내는 영상분리수단; 상기 영상분리수단으로부터 상기 영상데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제3 단방향데이터로 변환하여 상기 제어수단으로 전달하는 제3 변환수단; 상기 촬영수단 또는 상기 영상분리수단으로부터 상기 촬영데이터를 전달받고, 상기 촬영데이터에 포함되어 있는 제2 제어데이터의 정상 또는 비정상 여부를 검토하는 제2 검토수단; 상기 제2 검토수단의 검토 결과, 정상인 제2 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제4 단방향데이터로 변환하여 상기 제어수단으로 전달하는 제4 변환수단; 상기 제2 검토수단의 검토 결과 비정상인 제2 제어데이터를 전달받고, 상기 비정상인 제2 제어데이터에 포함되어 있는 제2 크래커데이터를 검출하는 제2 검출수단; 및 상기 제2 검출수단으로부터 상기 비정상인 제2 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제5 단방향데이터로 변환하는 제5 변환수단; 을 더 포함하고, 상기 모니터링수단은, 상기 제2 크래커데이터 및 상기 제5 단방향데이터를 전달받아 저장하고, 상기 제2 크래커데이터에 상기 크래커서버의 정보가 포함되어 있는 경우 상기 크래커서버로 상기 제5 단방향데이터를 전송하는 것이 바람직하다.Here, image separating means for separating the image data from the photographed data photographed by the photographing means; A third converting means for receiving the image data from the image separating means, converting it into third one-way data transmitted in one direction, and transmitting it to the control means; Second review means for receiving the photographing data from the photographing means or the image separating means, and examining whether the second control data included in the photographing data is normal or abnormal; A fourth conversion means for receiving, as a result of the review by the second review means, the normal second control data, converting it into fourth one-way data that is unilaterally transmitted in one direction, and transmitting it to the control means; Second detection means for receiving abnormal second control data as a result of the review by the second review means, and detecting second cracker data included in the abnormal second control data; And a fifth conversion means for receiving the abnormal second control data from the second detection means and converting it into fifth one-way data that is unilaterally transmitted in one direction. In addition, the monitoring means receives and stores the second cracker data and the fifth one-way data, and when the second cracker data includes information of the cracker server, the fifth It is desirable to transmit one-way data.

여기서, 상기 크래커서버의 정보는, 상기 크래커서버 또는 상기 크래커서버에 저장되어 있는 데이터의 주소 정보인 것이 바람직하다.Here, it is preferable that the information of the cracker server is address information of the cracker server or data stored in the cracker server.

여기서, 상기 모니터링수단은, 상기 제2 변환수단과 연결되어 상기 제1 크래커데이터 및 상기 제2 단방향데이터를 전달받아 저장하고, 상기 제1 크래커데이터에 상기 크래커서버의 정보가 포함되어 있는 경우 상기 크래커서버로 상기 제2 단방향데이터를 전송하는 제1 모니터링부; 및 상기 제5 변환수단과 연결되어 상기 제2 크래커데이터 및 상기 제5 단방향데이터를 전달받아 저장하고, 상기 제2 크래커데이터에 상기 크래커서버의 정보가 포함되어 있는 경우 상기 크래커서버로 상기 제5 단방향데이터를 전송하는 제2 모니터링부; 를 포함하는 것이 바람직하다.Here, the monitoring means is connected to the second conversion means to receive and store the first cracker data and the second one-way data, and when the first cracker data includes information on the cracker server, the cracker A first monitoring unit for transmitting the second unidirectional data to a server; And connected to the fifth conversion means to receive and store the second cracker data and the fifth unidirectional data, and when the second cracker data includes information of the cracker server, the fifth unidirectional data is transferred to the cracker server. A second monitoring unit for transmitting data; It is preferable to include.

여기서, 상기 제1 검토수단은, 상기 제1 제어데이터의 프로토콜이 기설정되어 있는 프로토콜과 서로 상이한 경우 상기 제1 제어데이터를 비정상으로 판단하고, 상기 제2 검토수단은, 상기 제2 제어데이터의 프로토콜이 기설정되어 있는 프로토콜과 서로 상이한 경우 상기 제2 제어데이터를 비정상으로 판단하는 것이 바람직하다.Here, the first review means determines the first control data to be abnormal when the protocol of the first control data is different from a preset protocol, and the second review means comprises: When the protocol is different from the preset protocol, it is preferable to determine the second control data as abnormal.

본 발명에 따르면, 영상 보안시스템 구축에 사용되는 구성품에 악성 소프트웨어 등이 포함되어 있더라도 안정적으로 시스템을 보호할 수 있다.According to the present invention, the system can be stably protected even if malicious software or the like is included in the components used to build the video security system.

또, 공공기관이나 공기업 등에 구축되어 있는 영상 보안시스템의 영상데이터를 안전하게 활용할 수 있어 공공서비스의 활용도를 높이고, 인근 지역의 영상보안 시스템 통합관제의 효율성을 높일 수 있다.In addition, it is possible to safely utilize the image data of the video security system established in public institutions or public corporations, thereby increasing the utilization of public services and increasing the efficiency of integrated control of the video security system in nearby areas.

또한, 영상 보안시스템에 대한 침해 행위의 발생시 실시간으로 침해 사실을 확인하고 대처할 수 있으므로 새로운 사이버 공격정보의 수집이 가능하고, 이를 피드백하여 시스템의 보안성을 개선할 수 있다.In addition, since it is possible to check and cope with the fact of infringement in real time when an infringement activity on the video security system occurs, it is possible to collect new cyber attack information and improve the security of the system by providing feedback.

도 1은 본 발명의 제1 실시예에 따른 허니팟이 적용된 망 분리 시스템의 구성을 간략하게 나타낸 구성도,
도 2는 본 발명의 제2 실시예에 따른 허니팟이 적용된 망 분리 시스템의 구성을 간략하게 나타낸 구성도,
도 3은 본 발명의 제3 실시예에 따른 허니팟이 적용된 망 분리 시스템의 구성을 간략하게 나타낸 구성도,
도 4는 본 발명의 제1 실시예에 따른 허니팟이 적용된 망 분리 시스템이 시스템 구축에 사용되는 구성품에 악성 소프트웨어 등이 포함되어 있는지를 파악하고 대응하도록 동작되는 상태를 나타낸 순서도,
도 5는 본 발명의 제2 및 제3 실시예에 따른 허니팟이 적용된 망 분리 시스템이 시스템 구축에 사용되는 구성품에 악성 소프트웨어 등이 포함되어 있는지를 파악하고 대응하도록 동작되는 상태를 나타낸 순서도이다.1 is a schematic diagram showing the configuration of a network separation system to which a honeypot is applied according to a first embodiment of the present invention;
2 is a schematic diagram showing the configuration of a network separation system to which a honeypot is applied according to a second embodiment of the present invention;
3 is a schematic diagram showing a configuration of a network separation system to which a honeypot is applied according to a third embodiment of the present invention;
4 is a flow chart showing a state in which the network separation system to which the honeypot is applied according to the first embodiment of the present invention is operated to determine whether malicious software or the like is included in components used for system construction,
5 is a flow chart showing a state in which a network separation system to which a honeypot is applied according to the second and third embodiments of the present invention is operated to determine whether malicious software or the like is included in a component used for system construction and respond to it.

이하, 첨부한 도면을 참조하여 본 발명에 따른 허니팟이 적용된 망 분리 시스템에 대하여 상세하게 설명한다.Hereinafter, a network separation system to which a honeypot according to the present invention is applied will be described in detail with reference to the accompanying drawings.

여기서, 허니팟(Honeypot)은 외부망을 통한 비정상적인 접근, 즉 해킹과 같은 침해 행위를 탐지하기 위해 의도적으로 설치해둔 시스템을 말하며, 시스템에 침입한 스팸 및 컴퓨터바이러스, 크래커서버 등을 유인하여 탐지, 추적하고 정보를 수집할 수 있어서 사이버 테러를 방지하기 위해 많이 활용되고 있다.Here, Honeypot refers to a system intentionally installed to detect abnormal access through an external network, that is, infringement such as hacking, and detects and tracks by attracting spam, computer viruses, and cracker servers that invade the system. It is widely used to prevent cyber terrorism because it can collect information.

본 발명은 영상 보안시스템 구축에 사용되는 구성품에 멀웨어(Malware, 악성 소프트웨어) 등이 포함되어 있더라도 안정적으로 시스템을 보호할 수 있도록 물리적인 망 분리 시스템에 허니팟 개념을 적용한 것이다.The present invention applies the concept of a honeypot to a physical network separation system so that the system can be stably protected even if a component used for building a video security system includes malware (malware).

도 1은 본 발명의 제1 실시예에 따른 허니팟이 적용된 망 분리 시스템의 구성을 간략하게 나타낸 구성도이다.1 is a schematic diagram showing the configuration of a network separation system to which a honeypot is applied according to a first embodiment of the present invention.

먼저, 도 1을 참조하면 본 발명의 제1 실시예에 따른 허니팟이 적용된 망 분리 시스템(10)은 크게 제어수단(100), 촬영수단(200), 제1 검토수단(110), 제1 변환수단(120), 제1 검출수단(130), 제2 변환수단(140), 모니터링수단(300)을 포함하여 구성된다.First, referring to FIG. 1, the network separation system 10 to which the honeypot according to the first embodiment of the present invention is applied is largely a control means 100, a photographing means 200, a first review means 110, and a first conversion. It comprises a means 120, a first detection means 130, a second conversion means 140, and a monitoring means 300.

제어수단(100)은 촬영수단(200)의 동작, 예를 들어 승강이나 팬(Pan), 틸트(Tilt), 줌(Zoom) 등이나 전원의 온오프(On/Off), 촬영의 시작 또는 완료 등을 제어하는 구성요소로 이를 위해 제어데이터, 즉 제1 제어데이터를 촬영수단(200)측으로 전송하게 된다. 본 명세서에서는 제어수단(100)이 촬영수단(200)을 제어하는 것으로 설명하였으나 본 발명에 따른 허니팟이 적용된 망 분리 시스템(10) 전체를 제어하도록 구성될 수 있다. 또한, 제어수단(100)에는 촬영수단(200)을 통해 촬영되는 영상을 저장할 수 있는 것이 좋으며 이를 위해 네트워크 비디오 녹화기(NVR) 등을 제어수단(100)으로 사용할 수 있다.The control means 100 is the operation of the photographing means 200, for example, elevating, pan, tilt, zoom, etc., power on/off, and start or completion of photographing. As a component that controls the like, control data, that is, first control data, is transmitted to the photographing means 200 for this purpose. In this specification, it has been described that the control means 100 controls the photographing means 200, but may be configured to control the entire network separation system 10 to which the honeypot according to the present invention is applied. In addition, the control means 100 is preferably capable of storing an image photographed through the photographing means 200, and for this purpose, a network video recorder (NVR) or the like can be used as the control means 100.

촬영수단(200)은 제어수단(100)의 제어에 따라 동작하여 감시나 보안 등을 위한 장소에 설치되는 카메라와 같은 구성요소로, 하나 또는 다수의 네트워크 카메라를 이용할 수 있으며, 이러한 촬영수단(200)으로 촬영한 영상이 촬영데이터가 된다. The photographing means 200 is a component such as a camera installed in a place for monitoring or security by operating under the control of the control means 100, and one or a plurality of network cameras can be used. Such photographing means 200 The video recorded with) becomes the recording data.

제1 검토수단(110)은 제어수단(100)으로부터 촬영수단(200)을 제어하기 위한 제1 제어데이터를 전달받고, 제1 제어데이터의 정상 또는 비정상 여부를 검토하는 구성요소이다. The first review means 110 is a component that receives first control data for controlling the photographing means 200 from the control means 100 and examines whether the first control data is normal or abnormal.

제1 변환수단(120)은 제1 검토수단(110)의 검토 결과, 정상인 제1 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 단방향(One-way, Simplex)데이터, 즉 제1 단방향데이터로 변환하여 촬영수단(200)에 전달하는 구성요소이다. 정상인 제1 제어데이터를 제1 단방향데이터로 변환하는 방법으로는, 예를 들어 인코더(Encoder)를 사용하는 등 알려져 있는 여러가지 방법을 사용할 수 있다.The first conversion means 120 is one-way (Simplex) data, that is, first one-way data, which receives the first control data of a normal person as a result of the review by the first review means 110 and is transmitted unilaterally toward one direction. It is a component that is converted to and transmitted to the photographing means 200. As a method of converting the normal first control data into first unidirectional data, various known methods, such as using an encoder, can be used.

제1 검출수단(130)은 제1 검토수단(110)의 검토 결과 비정상인 제1 제어데이터를 전달받고, 비정상인 제1 제어데이터에 포함되어 있는 제1 크래커데이터를 검출하는 구성요소이다. The first detection means 130 is a component that receives abnormal first control data as a result of the review by the first review means 110 and detects first cracker data included in the abnormal first control data.

제2 변환수단(140)은 제1 검출수단(130)으로부터 비정상인 제1 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제2 단방향데이터로 변환하는 구성요소이다. 이처럼 제2 단방향데이터로 변환된 비정상인 제1 제어데이터는 제1 변환수단(120)을 통해 변환된 제1 단방향데이터와 마찬가지로 제2 단방향데이터를 통해 송신측으로 접근하는 것이 불가능해진다.The second conversion means 140 is a component that receives abnormal first control data from the first detection means 130 and converts it into second one-way data that is unilaterally transmitted in one direction. Like the first one-way data converted through the first conversion means 120, the abnormal first control data converted into the second one-way data cannot be accessed through the second one-way data.

모니터링수단(300)은 제1 크래커데이터 및 제2 단방향데이터를 전달받아 저장하고, 제1 크래커데이터에 크래커서버(20)의 정보가 포함되어 있는 경우 해당 크래커서버(20)로 제2 단방향데이터를 전송하는 구성요소이다. The monitoring means 300 receives and stores the first cracker data and the second one-way data, and when the first cracker data includes the information of the cracker server 20, the second one-way data is transmitted to the corresponding cracker server 20. It is a component that transmits.

여기서, 크래커서버(20)의 정보라 함은 크래커서버(20)의 주소 정보, 예를 들어 아이피 주소(IP Address)나 도메인(Domain Name), URL(Uniform Resource Locator) 등이 해당될 수 있으며, 이외에 크래커서버(20)에 저장되어 있는 데이터의 주소 정보, 예를 들어 자료 위치 주소(Uniform Resource Locator) 등이 사용될 수 있다.Here, the information of the cracker server 20 may correspond to address information of the cracker server 20, for example, an IP address, a domain name, a URL (Uniform Resource Locator), and the like, In addition, address information of data stored in the cracker server 20, for example, a data location address (Uniform Resource Locator), etc. may be used.

도 2는 본 발명의 제2 실시예에 따른 허니팟이 적용된 망 분리 시스템의 구성을 간략하게 나타낸 구성도이다.2 is a schematic diagram showing the configuration of a network separation system to which a honeypot is applied according to a second embodiment of the present invention.

도 2에 나타나는 것과 같이 본 발명의 제2 실시예는 전술한 제1 실시예와 유사하나, 제1 실시예의 경우 허니팟이 적용된 망 분리 시스템(10)의 구축시 사용된 구성품 중 제어수단(100)에 멀웨어가 포함되어 있는지를 검토하여 처리하는 시스템이고, 제2 실시예는 제어수단(100) 외에 촬영수단(200)에도 멀웨어가 포함되어 있는지를 검토하여 처리하게 되는 차이가 있다.As shown in Fig. 2, the second embodiment of the present invention is similar to the first embodiment described above, but in the case of the first embodiment, the control means 100 among the components used when constructing the network separation system 10 to which the honeypot is applied. In the second embodiment, there is a difference in reviewing and processing whether malware is included in the photographing means 200 in addition to the control means 100 in the second embodiment.

따라서, 본 발명의 제2 실시예에 따른 허니팟이 적용된 망 분리 시스템(10)은 제1 실시예에서 사용되는 구성요소 외에 영상분리수단(210)과 제3 변환수단(220), 제2 검토수단(230), 제4 변환수단(240), 제2 검출수단(250) 및 제5 변환수단(260)을 더 포함하여 구성된다.Accordingly, the network separation system 10 to which the honeypot according to the second embodiment of the present invention is applied, in addition to the components used in the first embodiment, includes an image separation means 210, a third conversion means 220, and a second review means. (230), a fourth conversion means 240, a second detection means 250 and a fifth conversion means 260 is configured to further include.

먼저 영상분리수단(210)은, 촬영수단(200)에 의해 촬영된 촬영데이터에서 영상데이터를 분리해내는 구성요소이며, 이른바 파싱 엔진(Passing Engine)이 사용될 수 있다.First, the image separating means 210 is a component for separating the image data from the photographed data captured by the photographing means 200, and a so-called parsing engine may be used.

제3 변환수단(220)은 영상분리수단(210)으로부터 영상데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제3 단방향데이터로 변환하여 제어수단(100)으로 전달하는 구성요소이다. 이에, 제3 단방향데이터의 수신측인 제어수단(100)에서 제3 단방향데이터를 통해 송신측인 제3 변환수단(220)측으로의 접근이 차단된다.The third conversion means 220 is a component that receives image data from the image separation means 210, converts it into third unidirectional data transmitted in one direction, and transmits it to the control means 100. Accordingly, access from the control means 100, which is the receiving side of the third unidirectional data, to the third conversion means 220, which is the transmitting side through the third unidirectional data, is blocked.

제2 검토수단(230)은 촬영수단(200) 또는 영상분리수단(210)으로부터 촬영데이터를 전달받고, 촬영데이터에 포함되어 있는 제2 제어데이터의 정상 또는 비정상 여부를 검토하는 구성요소이다. 여기서, 도시된 도면에서는 제2 검토수단(230)이 영상분리수단(210) 다음에 배치되어 구성되나, 제2 검토수단(230)이 촬영수단(200)과 영상분리수단(210) 사이에 배치되도록 하여 촬영데이터에 포함되어 있는 제2 제어데이터의 정상 또는 비정상 여부를 먼저 검토한 후 영상분리수단(210)이 영상데이터를 분리해내도록 구성될 수도 있다.The second review means 230 is a component that receives photographing data from the photographing means 200 or the image separating means 210 and examines whether the second control data included in the photographing data is normal or abnormal. Here, in the illustrated drawing, the second review means 230 is arranged and configured after the image separation means 210, but the second review means 230 is disposed between the photographing means 200 and the image separation means 210 Thus, after first examining whether the second control data included in the photographing data is normal or abnormal, the image separating means 210 may be configured to separate the image data.

제4 변환수단(240)은 제2 검토수단(230)의 검토 결과, 정상인 제2 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제4 단방향데이터로 변환하여 제어수단(100)으로 전달하는 구성요소이며, 이러한 제4 단방향데이터를 통해 수신측인 제어수단(100)으로부터 제4 변환수단(240)측으로의 접근은 불가능해진다. The fourth conversion means 240 receives the second control data, which is a normal person, as a result of the review by the second review means 230, converts it into fourth one-way data transmitted unilaterally in one direction, and transmits it to the control means 100. It is a component, and access from the control means 100, which is the receiving side, to the fourth conversion means 240 through this fourth one-way data becomes impossible.

제2 검출수단(250)은 제2 검토수단(230)의 검토 결과 비정상인 제2 제어데이터를 전달받고, 비정상인 제2 제어데이터에 포함되어 있는 제2 크래커데이터를 검출하는 구성요소이다. 이러한 제2 검출수단(250)은 제1 검출수단(130)이 제1 크래커데이터를 검출하는 것과 동일한 방법을 통해 제2 크래커데이터를 추출할 수도 있고, 다른 방법으로 제2 크래커데이터를 추출할 수도 있다. 제1 검출수단(130)의 경우 제어수단(100)에 포함되어 있는 멀웨어와 관련된 데이터를 추출하는 것과 유사하게 제2 검출수단(250)은 촬영수단(200)에 포함되어 있는 멀웨어와 관련된 데이터를 추출하게 된다.The second detection means 250 is a component that receives abnormal second control data as a result of the review by the second review means 230 and detects second cracker data included in the abnormal second control data. The second detection means 250 may extract the second cracker data through the same method as the first detection means 130 detects the first cracker data, or may extract the second cracker data by another method. have. In the case of the first detection means 130, similar to the extraction of data related to the malware included in the control means 100, the second detection means 250 collects data related to the malware included in the photographing means 200. It will be extracted.

제5 변환수단(260)은 제2 검출수단(250)으로부터 비정상인 제2 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제5 단방향데이터로 변환하는 구성요소이다. The fifth conversion means 260 is a component that receives abnormal second control data from the second detection means 250 and converts it into fifth one-way data that is unilaterally transmitted in one direction.

그리고, 제1 실시예에서 제1 크래커데이터와 제2 단방향데이터를 전달받아 저장하게 되는 모니터링수단(300)은 제2 실시예의 경우 제2 크래커데이터 및 제5 단방향데이터까지 전달받아 저장하게 된다.In addition, the monitoring means 300 for receiving and storing the first cracker data and the second one-way data in the first embodiment receives and stores the second cracker data and the fifth one-way data in the second embodiment.

이러한 모니터링수단(300)은 제2 단방향데이터가 전달되고, 제1 크래커데이터에 아이피 주소나 도메인, URL 등과 같은 크래커서버(20)의 정보가 포함되어 있는 경우 제2 단방향데이터를 해당 크래커서버(20)로 전송하게 된다. When the second one-way data is transmitted and the first cracker data includes information of the cracker server 20 such as IP address, domain, URL, etc., the monitoring means 300 transmits the second one-way data to the corresponding cracker server 20. ).

또한, 모니터링수단(300)에 제5 단방향데이터가 전달되고, 제2 크래커데이터에 크래커서버(20)의 정보가 포함되어 있는 경우 제5 단방향데이터를 해당 크래커서버(20)로 전송하게 된다. In addition, when the fifth unidirectional data is transmitted to the monitoring means 300 and the information of the cracker server 20 is included in the second cracker data, the fifth unidirectional data is transmitted to the corresponding cracker server 20.

즉, 제1 크래커데이터에는 크래커서버(20)의 정보가 존재하고, 제2 크래커데이터에는 크래커서버(20)의 정보가 존재하지 않는다면 제2 단방향데이터만 해당 크래커서버(20)로 전송하는 것이며, 제2 크래커데이터에만 크래커서버(20)의 정보가 존재한다면 제5 단방향데이터만 크래커서버(20)로 전송한다.That is, if the information of the cracker server 20 exists in the first cracker data and the information of the cracker server 20 does not exist in the second cracker data, only the second one-way data is transmitted to the corresponding cracker server 20, If the information of the cracker server 20 exists only in the second cracker data, only the fifth one-way data is transmitted to the cracker server 20.

이때, 제1 크래커데이터와 제2 크래커데이터 모두에 크래커서버(20)의 정보가 포함되어 있는 경우에는 해당 크래커서버(20)로 제2 단방향데이터 및 제5 단방향데이터를 전송하되, 서로 다른 아이피 주소로 전송하도록 구성된다.At this time, if information of the cracker server 20 is included in both the first cracker data and the second cracker data, the second one-way data and the fifth one-way data are transmitted to the corresponding cracker server 20, but different IP addresses Is configured to send to.

도 3은 본 발명의 제3 실시예에 따른 허니팟이 적용된 망 분리 시스템의 구성을 간략하게 나타낸 구성도이다.3 is a schematic diagram showing the configuration of a network separation system to which a honeypot is applied according to a third embodiment of the present invention.

본 발명의 제3 실시예에 따른 허니팟이 적용된 망 분리 시스템(10)은 전술한 제2 실시예와 거의 동일하나, 모니터링수단(300)이 물리적으로 나누어져 구성된다는 점에서 서로 구분된다. The network separation system 10 to which the honeypot is applied according to the third embodiment of the present invention is almost the same as the second embodiment described above, but is distinguished from each other in that the monitoring means 300 is physically divided and configured.

즉, 제3 실시예의 경우 모니터링수단(300)을 둘로 나누어 제1 모니터링부(310)와 제2 모니터링부(320)로 구성하고, 제1 모니터링부(310)에 제1 실시예의 구성과 같이 제1 크래커데이터 및 제2 단방향데이터가 전달, 저장되며, 제2 모니터링부(320)에 제2 크래커데이터 및 제5 단방향데이터가 전달, 저장되도록 구성하게 된다.That is, in the case of the third embodiment, the monitoring means 300 is divided into two, and the first monitoring unit 310 and the second monitoring unit 320 are configured, and the first monitoring unit 310 is provided with the same configuration as in the first embodiment. The first cracker data and the second unidirectional data are transmitted and stored, and the second cracker data and the fifth unidirectional data are transmitted and stored in the second monitoring unit 320.

이러한 경우 제어수단(100)에 멀웨어가 포함되어 있고, 제1 크래커데이터에 크래커서버(20)의 정보가 포함되어 있는 경우 제1 모니터링부(310)가 해당 크래커서버(20)로 제2 단방향데이터를 전송하게 된다. In this case, if malware is included in the control means 100 and the information of the cracker server 20 is included in the first cracker data, the first monitoring unit 310 sends the second one-way data to the corresponding cracker server 20. Will be transmitted.

또한, 촬영수단(200)에 멀웨어가 포함되어 있고, 제2 크래커데이터에 제1 크래커데이터와는 다른 크래커서버(20)의 정보가 포함되어 있는 경우 제2 모니터링부(320)가 다른 크래커서버(20)로 제5 단방향데이터를 전송하게 된다. In addition, when malware is included in the photographing means 200 and information of a cracker server 20 different from the first cracker data is included in the second cracker data, the second monitoring unit 320 20), the fifth one-way data is transmitted.

만약, 제어수단(100)과 촬영수단(200) 모두에 멀웨어가 포함되어 있고, 제1 크래커데이터와 제2 크래커데이터가 서로 다른 크래커서버(20)의 정보를 포함하고 있는 경우 제1 및 제2 모니터링부(320)가 제2 단방향데이터와 제5 단방향데이터를 따로따로 해당하는 크래커서버(20)로 각각 전송하게 된다. If malware is included in both the control means 100 and the photographing means 200, and the first cracker data and the second cracker data contain information of different cracker servers 20, the first and second The monitoring unit 320 separately transmits the second one-way data and the fifth one-way data to the corresponding cracker server 20, respectively.

한편, 제어수단(100)과 촬영수단(200) 모두에 멀웨어가 포함되어 있고, 이러한 멀웨어를 동일한 크래커가 포함시킨 경우, 다시 말해서 제1 모니터링부(310)에 제2 단방향데이터가 전달되고, 제2 모니터링부(320)에 제5 단방향데이터가 전달되며, 제1 크래커데이터와 제2 크래커데이터 모두에 동일한 크래커서버(20)의 정보가 포함되어 있는 경우 해당 크래커서버(20)로 제2 단방향데이터 및 제5 단방향데이터를 전송하게 되는데, 제2 단방향데이터를 전송하는 제1 모니터링부(310)와 제5 단방향데이터를 전송하는 제2 모니터링부(320)는 물리적으로 나누어져 있으며 서로 다른 아이피 주소로 크래커서버(20)에 전송하게 된다. On the other hand, when malware is included in both the control means 100 and the photographing means 200, and the same cracker includes such malware, in other words, the second one-way data is transmitted to the first monitoring unit 310, 2 When the fifth one-way data is transmitted to the monitoring unit 320 and the information of the same cracker server 20 is included in both the first cracker data and the second cracker data, the second one-way data is sent to the corresponding cracker server 20. And the fifth one-way data is transmitted. The first monitoring unit 310 for transmitting the second one-way data and the second monitoring unit 320 for transmitting the fifth one-way data are physically divided and have different IP addresses. It is transmitted to the cracker server 20.

이하에서는, 본 발명에 따른 허니팟이 적용된 망 분리 시스템이 사용되는 상태에 대해 설명한다.Hereinafter, a state in which the network separation system to which the honeypot is applied according to the present invention is used will be described.

도 4는 본 발명의 제1 실시예에 따른 허니팟이 적용된 망 분리 시스템이 시스템 구축에 사용되는 구성품에 악성 소프트웨어 등이 포함되어 있는지를 파악하고 대응하도록 동작되는 상태를 나타낸 순서도이다.4 is a flow chart showing a state in which the network separation system to which the honeypot is applied according to the first embodiment of the present invention is operated to determine whether malicious software or the like is included in components used for system construction and to respond.

우선, 제어수단(100)으로부터 촬영수단(200)을 제어하기 위한 데이터, 즉 제1 제어데이터가 생성되어 촬영수단(200)측으로 전달된다.First, data for controlling the photographing means 200, that is, first control data, is generated from the control means 100 and transmitted to the photographing means 200.

본 발명에서는 제1 제어데이터가 촬영수단(200)으로 바로 전달되는 것이 아니라 먼저 제1 검토수단(110)에 전달(S100)되도록 구성되어 제어수단(100)으로부터 전달된 제1 제어데이터가 정상적인 제어데이터인지 비정상적인 제어데이터인지를 검토(S110)하는, 다시 말해서 본 발명에 따른 허니팟이 적용된 망 분리 시스템(10)의 구축에 사용된 제어수단(100)에 멀웨어가 포함되어 있는지를 검토하는 과정을 거치게 된다.In the present invention, the first control data is not directly transferred to the photographing means 200, but is first transferred to the first review means 110 (S100), so that the first control data transferred from the control means 100 is normally controlled. It goes through a process of reviewing whether data or abnormal control data (S110), that is, whether malware is included in the control means 100 used to construct the network separation system 10 to which the honeypot according to the present invention is applied. do.

이때, 제1 제어데이터의 정상 또는 비정상 여부는 제1 제어데이터의 프로토콜(Protocol)을 제1 검토수단(110)에 기설정되어 있는 프로토콜과 비교함으로써 판단된다. 즉, 프로토콜이 서로 일치하면 정상으로 판단하게 되고, 서로 상이한 경우 비정상으로 판단하게 된다.At this time, whether the first control data is normal or abnormal is determined by comparing a protocol of the first control data with a protocol preset in the first review unit 110. In other words, if the protocols match each other, it is judged as normal, and if they are different, it is judged as abnormal.

이는, 제어수단(100)에 멀웨어가 포함되어 있고, 해당 멀웨어가 제1 제어데이터에 시스템 관리자가 지시하지 않은 내용이나 지시한 것 외에 별도의 내용을 포함시키는 등의 동작을 함으로써 기설정되어 있는 프로토콜과 다르다고 판단되는 경우 해당 제1 제어데이터를 비정상인 제어데이터로 판단할 수 있는 것이다. 특히, 제1 제어데이터에 시스템 관리자의 지시가 아닌 촬영데이터의 추가나 삭제, 변경 등의 중요 프로토콜이 포함되어 있는 경우 멀웨어의 존재를 확신할 수 있다.This is a protocol preset by performing an operation such as including malware in the control means 100, and including content not instructed by the system administrator or additional content in addition to the instructed by the malware in the first control data. If it is determined that it is different from the first control data, the corresponding first control data can be determined as abnormal control data. In particular, if the first control data contains important protocols such as addition, deletion, or change of photographing data, not the system administrator's instruction, the presence of malware can be assured.

이처럼 제어수단(100)으로부터 전달되는 제1 제어데이터는 촬영수단(200)으로 전달되기 전에 제1 검토수단(110)을 거치게 되므로 제어수단(100)에 멀웨어가 포함되어 있고, 해당 멀웨어가 허니팟이 적용된 망 분리 시스템(10)이 구축되자마자 동작되거나, 일정 시간이 지난 후 동작되더라도 제1 제어데이터의 정상 또는 비정상 여부를 항상 체크할 수 있다. 즉, 제1 검토수단(110)은 크래커(Cracker)가 미리 구성품, 즉 저장수단에 저장해놓았을지 모르는 멀웨어의 존재 여부를 확인하는 역할을 하게 된다.In this way, the first control data transmitted from the control means 100 passes through the first review means 110 before being transferred to the photographing means 200, so that malware is included in the control means 100, and the malware is Even if the applied network separation system 10 is operated as soon as it is constructed or is operated after a certain period of time, it is always possible to check whether the first control data is normal or abnormal. That is, the first review means 110 serves to check the presence of malware that may have been stored in the storage means in advance by the cracker.

제1 검토수단(110)을 통해 검토된 제1 제어데이터가 정상(S120)인 경우, 즉 제어수단(100)이 멀웨어를 포함하고 있지 않다고 판단되면 제1 변환수단(120)으로 전달(S122)하고, 정상인 제1 제어데이터를 제1 단방향데이터로 변환(S124)하여 촬영수단(200)으로 전송(S126)하게 되며, 촬영수단(200)은 제1 단방향데이터의 내용에 따라 구동된다.If the first control data reviewed through the first review means 110 is normal (S120), that is, if it is determined that the control means 100 does not contain malware, it is transmitted to the first conversion means 120 (S122) Then, the normal first control data is converted into first one-way data (S124) and transmitted to the photographing means 200 (S126), and the photographing means 200 is driven according to the contents of the first one-way data.

단방향데이터는 데이터의 흐름 방향이 한 쪽으로만 진행되는 데이터를 말하며, TV 방송이나 라디오 방송과 같은 통신 방식, 예를 들어 마이크와 스피커의 관계와 같이 송신측과 수신측이 구분된다. 다시 말해서, 이와 같은 상황은 방송국에서 일방적으로 영상데이터를 전송하고, 가정에서는 방송국으로부터 일방적으로 전송된 영상데이터를 통해 TV 시청을 하는 것과 같다. 즉, 방송국에서는 가정을 향해 일방적으로 데이터를 전송하고, 가정에서는 방송국으로부터 수신한 데이터로 TV 시청을 할 수 있을 뿐 이를 방송국으로 되돌아가도록 전송할 수 없는 것이다.One-way data refers to data in which the flow direction of data proceeds in only one direction, and a communication method such as TV broadcast or radio broadcast, for example, the relationship between a microphone and a speaker, is divided into a transmitting side and a receiving side. In other words, in such a situation, the broadcasting station unilaterally transmits the image data, and at home, the TV is viewed through the image data unilaterally transmitted from the broadcasting station. That is, the broadcasting station unilaterally transmits data to the home, and the home can only watch TV with the data received from the broadcasting station, but cannot transmit it to return to the broadcasting station.

즉, 본 발명에서는 정상인 제1 제어데이터를 제1 단방향데이터로 변환하여 촬영수단(200)에 전달함으로써 제1 단방향데이터의 수신측인 촬영수단(200)이 제1 단방향데이터에 따라 동작을 하게 되며, 제1 단방향데이터를 통해 송신측인 제어수단(100)측으로 접근하는 것은 원천적으로 차단된다.That is, in the present invention, by converting the normal first control data into first one-way data and transferring it to the photographing means 200, the photographing means 200, which is the receiving side of the first one-way data, operates according to the first one-way data. , Access to the control means 100, which is the transmitting side through the first one-way data, is essentially blocked.

다음, 제1 검토수단(110)을 통한 검토 결과 제1 제어데이터가 비정상으로 판단(S120)되는 경우, 즉 제어수단(100)에 멀웨어가 포함되어 있거나 해당 멀웨어가 동작함으로써 제1 제어데이터의 프로토콜이 기설정되어 있는 프로토콜과 다르다고 판단되면 비정상인 제1 제어데이터를 제1 검출수단(130)으로 전달(S130)하게 된다.Next, when the first control data is determined to be abnormal as a result of the review through the first review means 110 (S120), that is, when the control means 100 contains malware or the malware operates, the protocol of the first control data If it is determined that it is different from the preset protocol, the abnormal first control data is transmitted to the first detection means 130 (S130).

제1 검출수단(130)은 비정상인 제1 제어데이터에서 제1 크래커데이터를 검출(S140)하게 되는데, 이러한 제1 크래커데이터를 검출하는 방법은 이미 알려져 있는 다양한 기술이 사용될 수 있다. 여기서, 제1 크래커데이터는 비정상인 제1 제어데이터를 로깅(Logging)하여 생성되는 로그데이터일 수도 있고, 제어수단(100)에 포함되어 있는 멀웨어에 대한 정보를 직접 추출한 추출데이터일 수도 있다.The first detection means 130 detects the first cracker data from the abnormal first control data (S140), and a method of detecting the first cracker data may use various known techniques. Here, the first cracker data may be log data generated by logging abnormal first control data, or may be extracted data obtained by directly extracting information on malware included in the control means 100.

그리고, 제2 변환수단(140)은 제1 검출수단(130)으로부터 비정상인 제1 제어데이터를 전달받아(S150) 일방적으로 한쪽방향을 향해 송출되는 제2 단방향데이터로 변환(S160)하고 모니터링수단(300)으로 전송(S170)한다. 이처럼 비정상인 제1 제어데이터가 제2 단방향데이터로 변환됨으로써 제2 단방향데이터를 통해 송신측으로 접근하는 것은 불가능해진다.Then, the second conversion means 140 receives the abnormal first control data from the first detection means 130 (S150), converts it into second one-way data that is unilaterally transmitted in one direction (S160), and the monitoring means It is transmitted to (300) (S170). As such abnormal first control data is converted into second one-way data, it becomes impossible to access the transmitting side through the second one-way data.

모니터링수단(300)에는 제1 검출수단(130)을 통해 검출된 제1 크래커데이터와 제2 변환수단(140)에 의해 변환된 제2 단방향데이터가 전달(S170)되어 저장된다. 모니터링수단(300)은 전달된 제1 크래커데이터에 대한 분석 작업을 수행하여 크래커가 제어수단(100)에 포함시킨 멀웨어가 어떤 목적을 갖고 있는지, 어떻게 동작할 것인지를 파악할 수도 있으나, 대부분의 경우 멀웨어의 존재 여부 외에는 멀웨어의 내용 파악이 어려운 일이다.In the monitoring means 300, the first cracker data detected through the first detection means 130 and the second one-way data converted by the second conversion means 140 are transferred (S170) and stored. The monitoring means 300 may analyze the transmitted first cracker data to determine what purpose and how the malware included in the control means 100 by the cracker will operate, but in most cases, malware It is difficult to determine the contents of malware except for the presence of

이에, 본 발명에서는 제1 크래커데이터에 크래커서버(20)의 정보, 예를 들어 크래커서버(20)의 아이피 주소나 도메인, URL 등이 존재하는지를 파악(S180)하고, 만약 크래커서버(20)의 정보가 존재한다면 이를 통해 제2 단방향데이터를 크래커서버(20)로 전송(S190)한다.Accordingly, in the present invention, it is determined whether information of the cracker server 20, for example, the IP address, domain, URL, etc. of the cracker server 20 exists in the first cracker data (S180), and if the cracker server 20 If information exists, the second one-way data is transmitted to the cracker server 20 through this (S190).

이처럼 크래커서버(20)의 정보를 알게 되면, 모니터링수단(300)에 크래커서버(20)의 정보를 블랙리스트(Blacklist)에 기록되도록 하여 해당 크래커서버(20)를 감시할 수 있다.In this way, when the information of the cracker server 20 is known, the information of the cracker server 20 is recorded in a blacklist in the monitoring means 300 so that the corresponding cracker server 20 can be monitored.

또한, 크래커서버(20)로 제2 단방향데이터를 전송함으로써 크래커가 제2 단방향데이터를 통해 송신측인 모니터링수단(300)으로 접근하는 것을 차단할 수 있다.In addition, by transmitting the second one-way data to the cracker server 20, it is possible to block the cracker from accessing the monitoring means 300, which is the transmitting side, through the second one-way data.

한편, 제2 단방향데이터를 수신한 크래커서버(20)에서 ifconfig, inconfig, ipconfig, netstat 등과 같이 멀웨어가 포함되어 있는 제어수단(100)의 아이피 주소를 확인하기 위한 시스템 명령을 수행하더라도 제어수단(100)의 아이피 주소가 아닌 모니터링수단(300)의 아이피 주소를 확인하게 된다.On the other hand, even if the cracker server 20 that has received the second one-way data performs a system command for checking the IP address of the control means 100 containing malware such as ifconfig, inconfig, ipconfig, netstat, etc., the control means 100 The IP address of the monitoring means 300 is checked, not the IP address of ).

즉, 크래커는 자신이 탐지, 감시되고 있다는 사실을 인지하지 못하고 시스템 침입 시도가 성공했다고 생각하겠지만, 시스템 관리자는 제어수단(100)에 포함되어 있는 멀웨어의 존재를 인지하고 외부 침입에 대비하고 있는 상태이므로 크래커의 정보를 탐지, 추적하고 크래커의 공격 시기, 패턴 등과 같은 정보를 수집하여 시스템의 보안성을 개선하는 등 다양하게 활용할 수 있게 된다.That is, the cracker may think that the attempted system intrusion was successful without being aware of the fact that it is being detected and monitored, but the system administrator recognizes the presence of malware included in the control means 100 and is preparing for external intrusion. Therefore, it can be used in a variety of ways, such as detecting and tracking cracker information, collecting information such as cracker attack timing and pattern, and improving the security of the system.

도 5는 본 발명의 제2 및 제3 실시예에 따른 허니팟이 적용된 망 분리 시스템이 시스템 구축에 사용되는 구성품에 악성 소프트웨어 등이 포함되어 있는지를 파악하고 대응하도록 동작되는 상태를 나타낸 순서도이다.5 is a flow chart showing a state in which a network separation system to which a honeypot is applied according to the second and third embodiments of the present invention is operated to determine whether malicious software or the like is included in a component used for system construction and respond to it.

우선, 촬영수단(200)이 동작하여 촬영데이터가 생성(S200)된다. 이러한 촬영수단(200)의 동작은 제어수단(100)의 제1 제어데이터, 특히 정상인 제1 제어데이터가 변환된 제1 단방향데이터의 내용에 따른 것일 수 있다. 즉, 본 발명의 제2 및 제3 실시예는 전술한 제1 실시예에서 연결되어 동작되는 것으로 볼 수 있으며, 도 5에서 촬영데이터가 생성되는 단계(S200)는 도 4에서 제1 단방향데이터가 촬영수단(200)에 전달되는 단계(S126) 다음에 수행되는 단계일 수 있다.First, the photographing means 200 operates to generate photographing data (S200). The operation of the photographing means 200 may be based on the first control data of the control means 100, in particular, the contents of the first one-way data converted from normal first control data. That is, the second and third embodiments of the present invention can be viewed as being connected and operated in the above-described first embodiment, and the step of generating photographing data in FIG. 5 (S200) includes the first unidirectional data in FIG. It may be a step performed after the step (S126) transmitted to the photographing means 200.

다음, 도 5에서는 촬영수단(200)에 의해 생성된 촬영데이터가 영상분리수단(210)과 제2 검토수단(230)으로 각각 전달(S210, S260)되도록 도시되어 있는데, 제2 검토수단(230)에 전달되는 촬영데이터는 영상분리수단(210)으로부터 전달될 수도 있다.Next, in FIG. 5, the photographing data generated by the photographing means 200 is shown to be transmitted (S210, S260) to the image separating means 210 and the second review means 230, respectively, and the second review means 230 The photographing data transmitted to) may be transmitted from the image separating means 210.

영상분리수단(210)에서는 전달된 촬영데이터에서 영상데이터를 분리(S220)하게 되고, 분리된 영상데이터는 제3 변환수단(220)으로 전달(S230)되어 일방적으로 한쪽방향을 향해 송출되는 제3 단방향데이터로 변환(S240)된다. The image separating means 210 separates the image data from the transmitted photographing data (S220), and the separated image data is transmitted to the third conversion means 220 (S230) and is transmitted unilaterally toward one direction. It is converted into one-way data (S240).

여기서, 제3 변환수단(220)은 제1 및 제2 변환수단(140)과 동일한 데이터 변환 방법을 사용할 수 있는데, 이 외에 영상데이터를 실시간으로 디코딩하여 AVI 파일이나 MP4 파일 등으로 변환하거나, 보안성을 높일 수 있도록 1차로 디코딩하여 로우(Low)데이터로 변환한 후 단방향데이터, 예를 들어 시리얼(Serial)데이터 또는 패러럴(Parallel)데이터로 인코딩한 다음 2차로 디코딩함으로써 영상데이터화된 단방향데이터로 변환하도록 구성될 수도 있다. Here, the third conversion means 220 may use the same data conversion method as the first and second conversion means 140. In addition, the image data is decoded in real time and converted into an AVI file or an MP4 file, or security To increase the performance, convert it into unidirectional data, for example, serial data or parallel data, and then convert it into unidirectional data converted into image data by second decoding after converting it into low data. It may be configured to do.

그리고 제3 단방향데이터는 제어수단(100)으로 전달(S250)되는데, 마찬가지로 제어수단(100)에 전달되는 제4 단방향데이터와 함께 제어수단(100)에 별도로 연결되는 영상재생장치, 예를 들어 모니터에 전달하여 디스플레이되도록 하거나, 별도의 영상저장장치를 두어 저장되도록 구성할 수도 있다.In addition, the third one-way data is transmitted to the control means 100 (S250). Likewise, a video playback device separately connected to the control means 100 together with the fourth one-way data transmitted to the control means 100, for example, a monitor It may be transmitted to and displayed, or a separate image storage device may be provided for storage.

한편, 촬영데이터가 제2 검토수단(230)에 전달(S260)되면, 제2 검토수단(230)은 촬영데이터에 포함되어 있는 제2 제어데이터의 정상 또는 비정상 여부를 검토(S270)한다. 제2 검토수단(230)은 제1 제어데이터의 프로토콜을 비교하는 제1 검토수단(110)과 유사하게 제2 제어데이터의 프로토콜이 기설정되어 있는 프로토콜과 서로 동일한지 상이한지를 비교하여 제2 제어데이터의 정상, 비정상 여부를 판단하게 된다. 이처럼 제2 제어데이터는 제2 검토수단(230)을 통한 검토단계를 거치게 되므로 크래커(Cracker)가 미리 구성품, 즉 촬영수단(200)에 저장해놓았을지 모르는 멀웨어의 존재 여부를 확인할 수 있다.Meanwhile, when the photographing data is transmitted to the second review means 230 (S260), the second review means 230 reviews whether the second control data included in the photographing data is normal or abnormal (S270). Similar to the first review means 110 for comparing the protocol of the first control data, the second review means 230 compares whether the protocol of the second control data is the same as or different from a preset protocol to control the second control data. It determines whether the data is normal or abnormal. In this way, since the second control data undergoes a review step through the second review unit 230, it is possible to check the presence of malware that the cracker may have previously stored in the component, that is, the photographing unit 200.

제2 제어데이터가 정상이라면(S280), 즉 촬영수단(200)이 멀웨어를 포함하고 있지 않다고 판단되면 정상인 제2 제어데이터를 제4 변환수단(240)으로 전달(S282)하고, 이를 제4 단방향데이터로 변환(S284)하여 제어수단(100)으로 전송(S286)하게 되며, 전술한 제3 단방향데이터와 함께 디스플레이장치로 전달되어 제3 단방향데이터가 디스플레이되도록 할 수 있다.If the second control data is normal (S280), that is, if it is determined that the photographing means 200 does not contain malware, the normal second control data is transferred to the fourth conversion means 240 (S282), and this is It is converted into data (S284) and transmitted to the control means 100 (S286), and transmitted to the display device together with the above-described third unidirectional data to display the third unidirectional data.

그리고, 제2 제어데이터가 비정상이라면(S280), 즉 촬영수단(200)에 멀웨어가 포함되어 있다고 판단되면 비정상인 제2 제어데이터를 제2 검출수단(250)으로 전달(S290)하여 제2 크래커데이터를 검출(S300)한다.And, if the second control data is abnormal (S280), that is, if it is determined that malware is included in the photographing means 200, the abnormal second control data is transmitted to the second detection means 250 (S290), and the second cracker is Data is detected (S300).

다음, 제2 검출수단(250)으로부터 비정상인 제2 제어데이터를 전달(S310)받은 제5 변환수단(260)은 이를 제5 단방향데이터로 변환(S320)하며, 모니터링수단(300)에는 제2 크래커데이터 및 제5 단방향데이터가 전달(S330)된다. Next, the fifth conversion means 260, which has received the abnormal second control data from the second detection means 250 (S310), converts it into fifth one-way data (S320), and the monitoring means 300 has a second The cracker data and the fifth one-way data are transmitted (S330).

모니터링수단(300)은 제2 크래커데이터에 크래커서버(20)의 아이피 주소나 도메인, URL 등과 같은 크래커서버(20)의 정보가 존재하는지 파악(S340)하고, 존재한다면 이를 이용하여 크래커서버(20)에 제5 단방향데이터를 전달(S350)하게 되며, 크래커서버(20)가 촬영수단(200)의 아이피 주소를 확인하기 위한 시스템 명령을 수행하더라도 촬영수단(200)의 아이피 주소가 아닌 모니터링수단(300)의 아이피 주소를 확인하게 되어 크래커가 탐지, 추적되고 있다는 사실을 숨길 수 있다.The monitoring means 300 checks whether information of the cracker server 20 such as an IP address, domain, URL, etc. of the cracker server 20 exists in the second cracker data (S340), and if present, the cracker server 20 ), the fifth one-way data is transmitted (S350), and even if the cracker server 20 performs a system command for checking the IP address of the photographing means 200, the monitoring means (not the IP address of the photographing means 200) ( 300)'s IP address can be verified to hide the fact that crackers are being detected and tracked.

만약, 모니터링수단(300)에 제2 단방향데이터와 제5 단방향데이터가 모두 전달되고, 제1 크래커데이터와 제2 크래커데이터 모두에 크래커서버(20)의 정보가 포함되어 있는 경우에는 서로 다른 아이피 주소로 제2 단방향데이터 및 제5 단방향데이터를 전송하게 된다. If both the second one-way data and the fifth one-way data are transmitted to the monitoring means 300, and the information of the cracker server 20 is included in both the first cracker data and the second cracker data, different IP addresses The second unidirectional data and the fifth unidirectional data are transmitted.

따라서, 크래커서버(20)가 제어수단(100)과 촬영수단(200)의 아이피 주소를 확인하기 위한 시스템 명령을 수행하더라도 서로 다른 아이피 주소를 확인하게 되며, 이를 각각 제어수단(100)과 촬영수단(200)의 아이피 주소인 것으로 인지하게 된다.Therefore, even if the cracker server 20 performs a system command for checking the IP addresses of the control means 100 and the photographing means 200, different IP addresses are checked, and this is the control means 100 and the photographing means, respectively. It is recognized as the IP address of (200).

한편, 본 발명에 따른 허니팟이 적용된 망 분리 시스템(10)에서는 제1 검토수단(110)을 통한 제1 제어데이터의 검토 결과나 제2 검토수단(230)을 통한 제2 제어데이터의 검토 결과 비정상 또는 정상의 여부, 그리고 제1 크래커데이터나 제2 크래커데이터의 검출 여부, 크래커서버(20)의 정보 존재 여부 등을 텍스트나 이미지 등의 자막으로 삽입하여 시스템 관리자가 사용하는 영상재생장치, 예를 들어 모니터를 통해 디스플레이되도록 하여 시스템 관리자가 이를 쉽게 인지할 수 있도록 하는 별도의 자막삽입수단(미도시)을 포함하도록 구성할 수 있다.Meanwhile, in the network separation system 10 to which the honeypot according to the present invention is applied, the review result of the first control data through the first review means 110 or the review result of the second control data through the second review means 230 is abnormal. Or, whether it is normal, whether the first cracker data or the second cracker data is detected, whether the information of the cracker server 20 is present, etc. are inserted as subtitles such as text or images, and the system administrator uses a video playback device, for example. For example, it can be configured to include a separate caption insertion means (not shown) that is displayed through a monitor so that the system administrator can easily recognize it.

본 발명의 권리범위는 상술한 실시예에 한정되는 것이 아니라 첨부된 특허청구범위 내에서 다양한 형태의 실시예로 구현될 수 있다. 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 변형 가능한 다양한 범위까지 본 발명의 청구범위 기재의 범위 내에 있는 것으로 본다.The scope of the present invention is not limited to the above-described embodiments, but may be implemented in various forms within the scope of the appended claims. Without departing from the gist of the present invention claimed in the claims, any person of ordinary skill in the art to which the present invention belongs is considered to be within the scope of the description of the claims of the present invention to various ranges that can be modified.

10: 허니팟이 적용된 망 분리 시스템 20, 20a, 20b: 크래커서버
100: 제어수단 110: 제1 검토수단
120: 제1 변환수단 130: 제1 검출수단
140: 제2 변환수단 200: 촬영수단
210: 영상분리수단 220: 제3 변환수단:
230: 제2 검토수단 240: 제4 변환수단
250: 제2 검출수단 260: 제5 변환수단
300: 모니터링수단 310: 제1 모니터링부
320: 제2 모니터링부10: network separation system with honeypot applied 20, 20a, 20b: cracker server
100: control means 110: first review means
120: first conversion means 130: first detection means
140: second conversion means 200: photographing means
210: image separation means 220: third conversion means:
230: second review means 240: fourth conversion means
250: second detection means 260: fifth conversion means
300: monitoring means 310: first monitoring unit
320: second monitoring unit

Claims (5)

제어수단 및 상기 제어수단의 제어에 따라 동작하는 촬영수단을 포함하여 이루어져 상기 제어수단, 상기 촬영수단 중 어느 하나 또는 둘 이상에 악성 소프트웨어가 포함되어 있는지를 파악하여 처리 가능한 허니팟이 적용된 망 분리 시스템에 있어서,
상기 제어수단으로부터 상기 촬영수단을 제어하기 위한 제1 제어데이터를 전달받고, 상기 제1 제어데이터의 정상 또는 비정상 여부를 검토하여 상기 제어수단에 악성 소프트웨어가 포함되어 있는지의 여부를 파악하는 제1 검토수단;
상기 제1 검토수단의 검토 결과, 정상인 제1 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제1 단방향데이터로 변환하여 상기 촬영수단에 전달하는 제1 변환수단;
상기 제1 검토수단의 검토 결과 비정상인 제1 제어데이터를 전달받고, 상기 비정상인 제1 제어데이터에 포함되어 있는 제1 크래커데이터를 검출하는 제1 검출수단;
상기 제1 검출수단으로부터 상기 비정상인 제1 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제2 단방향데이터로 변환하는 제2 변환수단; 및
상기 제1 크래커데이터 및 상기 제2 단방향데이터를 전달받아 저장하고, 상기 제1 크래커데이터에 크래커서버의 정보가 포함되어 있는 경우 상기 크래커서버로 상기 제2 단방향데이터를 전송하며, 상기 제2 단방향데이터를 전송받은 상기 크래커서버의 접근을 감시하는 모니터링수단;
을 포함하는 허니팟이 적용된 망 분리 시스템.In the network separation system to which a honeypot is applied, which includes a control means and a photographing means operating under the control of the control means, and detects whether malicious software is included in one or two or more of the control means and the photographing means. In,
A first review of receiving first control data for controlling the photographing means from the control means, reviewing whether the first control data is normal or abnormal, and determining whether malicious software is included in the control means Way;
A first conversion means for receiving, as a result of the review by the first review means, the first normal control data, converting it into first one-way data transmitted unilaterally in one direction, and transmitting it to the photographing means;
First detection means for receiving abnormal first control data as a result of the review by the first review means, and detecting first cracker data included in the abnormal first control data;
Second conversion means for receiving the abnormal first control data from the first detection means and converting it into second one-way data that is unilaterally transmitted in one direction; And
The first cracker data and the second one-way data are received and stored, and when information of a cracker server is included in the first cracker data, the second one-way data is transmitted to the cracker server, and the second one-way data Monitoring means for monitoring the access of the cracker server that has received the transmission;
A network separation system to which a honeypot is applied, including. 제1항에 있어서,
상기 촬영수단에 의해 촬영된 촬영데이터에서 영상데이터를 분리해내는 영상분리수단;
상기 영상분리수단으로부터 상기 영상데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제3 단방향데이터로 변환하여 상기 제어수단으로 전달하는 제3 변환수단;
상기 촬영수단 또는 상기 영상분리수단으로부터 상기 촬영데이터를 전달받고, 상기 촬영데이터에 포함되어 있는 제2 제어데이터의 정상 또는 비정상 여부를 검토하는 제2 검토수단;
상기 제2 검토수단의 검토 결과, 정상인 제2 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제4 단방향데이터로 변환하여 상기 제어수단으로 전달하는 제4 변환수단;
상기 제2 검토수단의 검토 결과 비정상인 제2 제어데이터를 전달받고, 상기 비정상인 제2 제어데이터에 포함되어 있는 제2 크래커데이터를 검출하는 제2 검출수단; 및
상기 제2 검출수단으로부터 상기 비정상인 제2 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제5 단방향데이터로 변환하는 제5 변환수단; 을 더 포함하고,
상기 모니터링수단은,
상기 제2 크래커데이터 및 상기 제5 단방향데이터를 전달받아 저장하고, 상기 제2 크래커데이터에 상기 크래커서버의 정보가 포함되어 있는 경우 상기 크래커서버로 상기 제5 단방향데이터를 전송하는 것을 특징으로 하는 허니팟이 적용된 망 분리 시스템.The method of claim 1,
Image separating means for separating image data from the photographing data photographed by the photographing means;
A third converting means for receiving the image data from the image separating means, converting it into third one-way data transmitted in one direction, and transmitting it to the control means;
Second review means for receiving the photographing data from the photographing means or the image separating means, and examining whether the second control data included in the photographing data is normal or abnormal;
A fourth conversion means for receiving, as a result of the review by the second review means, the normal second control data, converting it into fourth one-way data that is unilaterally transmitted in one direction, and transmitting it to the control means;
Second detection means for receiving abnormal second control data as a result of the review by the second review means, and detecting second cracker data included in the abnormal second control data; And
A fifth conversion means for receiving the abnormal second control data from the second detection means and converting it into fifth one-way data that is unilaterally transmitted in one direction; Including more,
The monitoring means,
Receiving and storing the second cracker data and the fifth unidirectional data, and transmitting the fifth unidirectional data to the cracker server when the second cracker data includes information on the cracker server Network separation system. 제2항에 있어서,
상기 크래커서버의 정보는,
상기 크래커서버 또는 상기 크래커서버에 저장되어 있는 데이터의 주소 정보인 것을 특징으로 하는 허니팟이 적용된 망 분리 시스템.The method of claim 2,
The information of the cracker server,
The network separation system to which the honeypot is applied, characterized in that it is address information of the cracker server or data stored in the cracker server. 제3항에 있어서,
상기 모니터링수단은,
상기 제2 변환수단과 연결되어 상기 제1 크래커데이터 및 상기 제2 단방향데이터를 전달받아 저장하고, 상기 제1 크래커데이터에 상기 크래커서버의 정보가 포함되어 있는 경우 상기 크래커서버로 상기 제2 단방향데이터를 전송하는 제1 모니터링부; 및
상기 제5 변환수단과 연결되어 상기 제2 크래커데이터 및 상기 제5 단방향데이터를 전달받아 저장하고, 상기 제2 크래커데이터에 상기 크래커서버의 정보가 포함되어 있는 경우 상기 크래커서버로 상기 제5 단방향데이터를 전송하는 제2 모니터링부;
를 포함하는 것을 특징으로 하는 허니팟이 적용된 망 분리 시스템.The method of claim 3,
The monitoring means,
The second one-way data is connected to the second conversion means to receive and store the first cracker data and the second one-way data, and the second one-way data to the cracker server when the first cracker data includes information on the cracker server. A first monitoring unit for transmitting a signal; And
The fifth one-way data is connected to the fifth conversion means to receive and store the second cracker data and the fifth one-way data, and the fifth one-way data to the cracker server when the second cracker data includes information on the cracker server. A second monitoring unit that transmits;
A honeypot-applied network separation system comprising a. 제2항 내지 제4항 중 어느 한 항에 있어서,
상기 제1 검토수단은,
상기 제1 제어데이터의 프로토콜이 기설정되어 있는 프로토콜과 서로 상이한 경우 상기 제1 제어데이터를 비정상으로 판단하고,
상기 제2 검토수단은,
상기 제2 제어데이터의 프로토콜이 기설정되어 있는 프로토콜과 서로 상이한 경우 상기 제2 제어데이터를 비정상으로 판단하는 것을 특징으로 하는 허니팟이 적용된 망 분리 시스템.The method according to any one of claims 2 to 4,
The first review means,
If the protocol of the first control data is different from a preset protocol, the first control data is determined as abnormal,
The second review means,
The network separation system to which the honeypot is applied, characterized in that when the protocol of the second control data is different from a preset protocol, the second control data is determined to be abnormal.
KR1020180162322A 2018-12-14 2018-12-14 Separating network system with honeypot KR102210051B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180162322A KR102210051B1 (en) 2018-12-14 2018-12-14 Separating network system with honeypot

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180162322A KR102210051B1 (en) 2018-12-14 2018-12-14 Separating network system with honeypot

Publications (2)

Publication Number Publication Date
KR20200073772A KR20200073772A (en) 2020-06-24
KR102210051B1 true KR102210051B1 (en) 2021-02-01

Family

ID=71408052

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180162322A KR102210051B1 (en) 2018-12-14 2018-12-14 Separating network system with honeypot

Country Status (1)

Country Link
KR (1) KR102210051B1 (en)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100926456B1 (en) 2008-04-04 2009-11-13 숭실대학교산학협력단 Apparatus and method for intrusion detection using client terminal, system and method for network security of the same
KR101753647B1 (en) * 2015-10-27 2017-07-05 제노테크주식회사 Honypot security system based on cloud computing and method therof
KR101901740B1 (en) * 2016-07-21 2018-09-28 지엘디앤아이에프 주식회사 System for separating network

Also Published As

Publication number Publication date
KR20200073772A (en) 2020-06-24

Similar Documents

Publication Publication Date Title
US8245297B2 (en) Computer security event management system
JP6768951B2 (en) Network separator and video surveillance system equipped with this
US20100169975A1 (en) Systems, methods, and devices for detecting security vulnerabilities in ip networks
KR101857716B1 (en) Network Separation Device and Video Surveillance System Employing the Same
US20160006989A1 (en) Surveillance systems and methods thereof
US8341735B2 (en) Method and arrangement for automatically controlling access between a computer and a communication network
US20220263846A1 (en) METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF
Valente et al. Privacy and security in Internet-connected cameras
US9385993B1 (en) Media for detecting common suspicious activity occurring on a computer network using firewall data and reports from a network filter device
CN112154635A (en) Attack source tracing in SFC overlay networks
Robles-Durazno et al. WaterLeakage: A stealthy malware for data exfiltration on industrial control systems using visual channels
KR20020000473A (en) Safe guarding system using internet
CN114006722B (en) Situation awareness verification method, device and system for detecting threat
Dakhane et al. Active warden for TCP sequence number base covert channel
KR102210051B1 (en) Separating network system with honeypot
US7500008B1 (en) Video stream recording prevention
KR102176961B1 (en) Separating network system with honeypot
KR102126626B1 (en) Separating network system with honeypot
Doughty et al. Vulnerability analysis of ip cameras using arp poisoning
KR102173661B1 (en) Video management system
US20220103582A1 (en) System and method for cybersecurity
KR101216005B1 (en) System for protecting SIP internet phone attack under encrypted signal circumstance
CN114666419A (en) Data transmission method, device, terminal equipment and storage medium
KR101857708B1 (en) Network Separation Device and Video Surveillance System Employing the Same
KR20110066748A (en) Image diversified searching method and central server used therein

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant