KR102250147B1 - 네트워크 보안 기능 인터페이스를 위한 보안 정책 번역 - Google Patents

네트워크 보안 기능 인터페이스를 위한 보안 정책 번역 Download PDF

Info

Publication number
KR102250147B1
KR102250147B1 KR1020190125454A KR20190125454A KR102250147B1 KR 102250147 B1 KR102250147 B1 KR 102250147B1 KR 1020190125454 A KR1020190125454 A KR 1020190125454A KR 20190125454 A KR20190125454 A KR 20190125454A KR 102250147 B1 KR102250147 B1 KR 102250147B1
Authority
KR
South Korea
Prior art keywords
policy
security
nsf
data
i2nsf
Prior art date
Application number
KR1020190125454A
Other languages
English (en)
Other versions
KR102250147B9 (ko
KR20200045400A (ko
Inventor
정재훈
양진혁
Original Assignee
성균관대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 성균관대학교산학협력단 filed Critical 성균관대학교산학협력단
Publication of KR20200045400A publication Critical patent/KR20200045400A/ko
Application granted granted Critical
Publication of KR102250147B1 publication Critical patent/KR102250147B1/ko
Publication of KR102250147B9 publication Critical patent/KR102250147B9/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 명세서는 네트워크 보안 기능 인터페이스를 위한 정책 번역기(Policy Translator)의 보안 정책을 번역하기 위한 방법에 관한 것으로서, I2NSF(Interface to Network Security Functions) 사용자로부터 상위 레벨(High-Level)의 제1 보안 정책을 수신하는 단계; 상기 제1 보안 정책에 근거하여, 상기 제1 보안 정책과 관련된 데이터를 추출하는 단계; 상기 제 1 보안 정책과 관련된 데이터를 NSF(Network Security Function)를 위한 필수 데이터로 변환하는 단계; 및 상기 필수 데이터에 근거하여, 대상(Target) NSF를 검색하고, 상기 대상 NSF와 관련된 하위 레벨(Low-Level)의 제2 보안 정책을 생성하는 단계; 를 포함하되, 상기 정책 번역기와 상기 I2NSF 사용자는 사용자-직면 인터페이스로 연결되며, 상기 정책 번역기와 상기 NSF는 NSF-직면 인터페이스로 연결되는 보안 정책을 번역할 수 있다.

Description

네트워크 보안 기능 인터페이스를 위한 보안 정책 번역{Security Policy Translation in Interface to Network Security Functions}
본 명세서는 보안 정책 번역에 관한 것으로서, 보다 자세하게는 I2NSF(Interface to Network Security Functions) 에서 보안 정책 번역의 모델을 제안한다.
네트워크를 전세계에 연결하면 지리적 거리에 관계없이 신속하게 정보에 액세스할 수 있다. 인터넷은 본질적으로 서로 다른 레벨들의 계층 구조가 서로 연결된 수많은 네트워크이다.
인터넷은 IETF (Internet Engineering Task Force)에서 공표 한 TCP / IP (전송 제어 프로토콜/인터넷 프로토콜)에 따라 운영되며, TCP/IP는 RFC (Request For Comments) 703 및 IETF에서 발행 한 RFC 791에서 찾을 수 있다.
본 명세서의 목적은, I2NSF(Interface to Network Security Functions)에서 보안 정책 번역의 모델을 제안한다.
또한, 본 명세서는 추상 데이터가 포함된 고수준 보안 정책을 NSF(Network Security Funtion)가 이용할 수 있는 저수준 보안 정책으로 번역하는 방법을 제안한다.
본 명세서에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 명세서가 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 명세서의 일 양상은, 네트워크 보안 기능 인터페이스를 위한 정책 번역기(Policy Translator)의 보안 정책을 번역하기 위한 방법에 있어서, I2NSF(Interface to Network Security Functions) 사용자로부터 상위 레벨(High-Level)의 제1 보안 정책을 수신하는 단계; 상기 제1 보안 정책에 근거하여, 상기 제1 보안 정책과 관련된 데이터를 추출하는 단계; 상기 제 1 보안 정책과 관련된 데이터를 NSF(Network Security Function)를 위한 필수 데이터로 변환하는 단계; 및 상기 필수 데이터에 근거하여, 대상(Target) NSF를 검색하고, 상기 대상 NSF와 관련된 하위 레벨(Low-Level)의 제2 보안 정책을 생성하는 단계; 를 포함하되, 상기 정책 번역기와 상기 I2NSF 사용자는 사용자-직면 인터페이스로 연결되며, 상기 정책 번역기와 상기 NSF는 NSF-직면 인터페이스로 연결되는 보안 정책을 번역할 수 있다.
또한, 상기 제2 보안 정책과 관련된 데이터를 생성하는 단계; 를 더 포함하고, 상기 제2 보안 정책과 관련된 데이터는 상기 대상 NSF를 위한 구조 또는 내용을 포함하며, 태그(Tag)를 통해 그룹화될 수 있다.
또한, 상기 제2 보안 정책과 관련된 데이터를 상기 NSF-직면 인터페이스를 통해, 상기 대상 NSF로 전달하는 단계; 를 더 포함할 수 있다.
또한, 상기 제2 보안 정책과 관련된 데이터에 근거하여, 상기 대상 NSF를 설정하는 단계; 를 더 포함할 수 있다.
또한, 상기 제2 보안 정책은 적용되는 정책 규칙, 및 일반적인 보안 기능을 위한 동작을 나타나내는 기본 동작 정보를 포함할 수 있다.
또한, 상기 정책 규칙은 정책 정보 및 규칙 정보를 포함하며, 상기 정책 정보 및 상기 규칙 정보는 시스템의 변경을 나타내는 이벤트 절(Event Clause), 정책 규칙의 적용 조건을 나타내는 조건 절(Condition Clause), 및 상기 이벤트 절 및 상기 조건 절을 만족할 때 수행되는 보안 기능을 나타내는 동작 절(Action Clause)을 포함할 수 있다.
또한, 제1 보안 정책과 관련된 데이터를 추출하는 단계 DFA(Deterministic Finite Automation)를 이용할 수 있다.
또한, 상기 필수 데이터로 변환하는 단계는 NSF 데이터베이스를 이용하여, 상기 NSF 데이터베이스의 데이터와 매핑을 통해 수행될 수 있다.
또한, 상기 대상 NSF는 상기 제1 보안 정책을 모두 커버(cover)할 수 있는 능력(capability)을 갖을 수 있다.
또한, 상기 정책 번역기는 상기 NSF의 모든 기능들이 등록될 수 있다.
본 발명의 또 다른 일 양상은, 네트워크 보안 기능 인터페이스를 위한 보안 정책을 번역하는 정책 번역기(Policy Translator)에 있어서, I2NSF(Interface to Network Security Functions) 사용자로부터 수신된, 상위 레벨(High-Level)의 제1 보안 정책에 근거하여, 상기 제1 보안 정책과 관련된 데이터를 추출하는 추출기(Extractor); 상기 제 1 보안 정책과 관련된 데이터를 NSF(Network Security Function)를 위한 필수 데이터로 변환하는 데이터 변환기(Data Converter); 및 상기 필수 데이터에 근거하여, 대상(Target) NSF를 검색하고, 상기 대상 NSF와 관련된 하위 레벨(Low-Level)의 제2 보안 정책을 생성하는 생성기(Generator); 를 포함하되, 상기 정책 번역기와 상기 I2NSF 사용자는 사용자-직면 인터페이스로 연결되며, 상기 정책 번역기와 상기 NSF는 NSF-직면 인터페이스로 연결될 수 있다.
본 명세서의 실시 예에 따르면, I2NSF(Interface to Network Security Functions)에서 보안 정책 번역을 위한 모델을 설계할 수 있다.
또한, 본 명세서의 실시 예에 따르면, 본 명세서는 고수준 보안 정책을 NSF(Network Security Funtion)가 이용할 수 있는 저수준 보안 정책으로 번역 할 수 있다.
본 명세서에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 명세서가 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 명세서에 관한 이해를 돕기 위해 상세한 설명의 일부로 포함되는, 첨부 도면은 본 명세서에 대한 실시 예를 제공하고, 상세한 설명과 함께 본 명세서의 기술적 특징을 설명한다.
도 1은 본 명세서의 일 실시 예에 따른 I2NSF(Interface to Network Security Functions) 시스템을 예시한다.
도 2는 본 명세서의 일 실시 예에 따른 I2NSF 시스템의 아키텍처를 예시한다.
도 3은 본 명세서가 적용될 수 있는 전체 I2NSF 정보 모델 디자인의 일 예를 나타낸다.
도 4는 본 명세서가 적용될 수 있는 네트워크 보안 정보 하위 모델 개요의 일 예를 나타낸다.
도 5은 본 명세서가 적용될 수 있는 네트워크 보안 정보 하위 모델의 확장의 일 예를 나타낸다.
도 6는 본 명세서가 적용될 수 있는 네트워크 보안 정보 하위 모델 이벤트 클래스의 확장의 일 예를 나타낸다.
도 7는 본 명세서가 적용될 수 있는 네트워크 보안 정보 하위 모델 컨디션 클래스의 확장의 일 예를 나타낸다.
도 8은 본 명세서가 적용될 수 있는 네트워크 보안 정보 하위 모델 액션의 확장의 일 예를 나타낸다.
도 9은 본 명세서가 적용될 수 있는 I2NSF 보안 기능의 상위 레벨 모델의 일 예를 나타낸다.
도 10은 본 명세서가 적용될 수 있는 네트워크 보안 기능 정보 모델의 일 예를 나타낸다.
도 11는 본 명세서가 적용될 수 있는 공격 완화 기능 정보 모델의 일 예를 나타낸다.
도 12는 본 명세서의 일 실시 예에 따른 네트워크 보안 정책 식별을 위한 데이터 모델 구조를 예시한다.
도 13은 본 명세서의 일 실시 예에 따른 이벤트 규칙을 위한 데이터 모델 구조를 예시한다.
도 14a 내지 도 14d는 본 명세서의 일 실시 예에 따른 컨디션 규칙을 위한 데이터 모델 구조를 예시한다.
도 15는 본 명세서의 일 실시 예에 따른 액션 규칙을 위한 데이터 모델 구조를 예시한다.
도 16a 내지 도 18j는 본 명세서의 일 실시 예에 따른 I2NSF NSF-Facing Interface의 YANG 데이터 모듈을 예시한다.
도 19a 내지 도 19j는 본 명세서의 일 실시 예에 따른 NSF 모니터링을 위한 데이터 모델을 예시한다.
도 20a 내지 도 21i는 본 명세서의 일 실시 예에 따른 모니터링을 위한 YANG 데이터 모델을 예시한다.
도 22는 본 명세서가 작용될 수 있는 소비자-직면 인터페이스를 위한 고수준 추출의 예시이다.
도 22a 내지 도 22d는 본 명세서의 일 실시 예에 따른 소비자-직면 인터페이스를 위한 보안 정책의 데이터 모델의 예시이다.
도 23은 본 명세서의 일 실시예에 따른 소비자-직면 인터페이스의 보안 정책을 위한 YANG 데이터 모델의 예시이다.
도 24 및 도 25는 본 명세서가 적용될 수 있는 보안 정책의 예시이다.
도 26는 본 명세서가 적용될 수 있는 정책 적용을 위한 절차의 예시이다.
도 27는 본 명세서가 적용될 수 있는 보안 정책 번역기 모델의 예시이다.
도 28은 본 명세서가 적용될 수 있는 보안 정책 번역기의 보안 정책 번역을 위한 순서도이다.
도 29은 본 명세서가 적용될 수 있는 추출기 모델의 예시이다.
도 30은 본 명세서에 적용될 수 있는 데이터 변환기 모델의 예시이다.
도 31는 본 명세서가 적용될 수 있는 정책 프로비저닝의 예시이다.
도 32은 본 명세서가 적용될 수 있는 NSF-직면 인터페이스 YANG 데이터 모델에 근거한 트리구조의 예시이다.
이하, 본 명세서에 따른 바람직한 실시 형태를 첨부된 도면을 참조하여 상세하게 설명한다. 첨부된 도면과 함께 이하에 개시될 상세한 설명은 본 명세서의 예시적인 실시형태를 설명하고자 하는 것이며, 본 명세서가 실시될 수 있는 유일한 실시형태를 나타내고자 하는 것이 아니다. 이하의 상세한 설명은 본 명세서의 완전한 이해를 제공하기 위해서 구체적 세부사항을 포함한다. 그러나, 당업자는 본 명세서가 이러한 구체적 세부사항 없이도 실시될 수 있음을 안다.
몇몇 경우, 본 명세서의 개념이 모호해지는 것을 피하기 위하여 공지의 구조 및 장치는 생략되거나, 각 구조 및 장치의 핵심기능을 중심으로 한 블록도 형식으로 도시될 수 있다.
이하의 설명에서 사용되는 특정 용어들은 본 명세서의 이해를 돕기 위해서 제공된 것이며, 이러한 특정 용어의 사용은 본 명세서의 기술적 사상을 벗어나지 않는 범위에서 다른 형태로 변경될 수 있다.
최근에는, Network Functions Virtualization(NFV)-based Security Function을 위한 기본 표준 인터페이스가 I2NSF(Interface to Network Security Functions) 워킹 그룹에 의해 개발되고 있다. 이는 인터넷 엔지니어링 태스크 포스(IETF: Internet Engineering Task Force)로 불리는 국제 인터넷 표준 기구의 일부이다.
I2NSF의 목적은 다수의 보안 솔루션 벤더(security solution vendor)들에 의해 제공되는 이종의(heterogeneous) 네트워크 보안 기능(들)(NSF: Network Security Function)을 위한 표준화된 인터페이스를 정의하기 위함이다.
I2NSF 아키텍처(architecture)에서, NSF(들)의 관리에 대하여 상세히 고려할 필요 없이(NSF의 관리는 결국 보안 정책의 시행(enforce)을 요구한다), 사용자는 사용자의 네트워크 시스템 내 네트워크 자원을 보호하기 위한 보호 정책을 정의할 수 있다. 또한, 다수의 벤더(Vendors)들로부터 NSF(들)로의 표준화된 인터페이스는 이종의 NSF(들)에 대한 태스크(task)의 설정 및 관리를 단순화할 수 있다.
도 1은 본 명세서의 일 실시 예에 따른 I2NSF(Interface to Network Security Functions) 시스템을 예시한다.
도 1을 참조하면, I2NSF 시스템은 I2NSF 사용자(I2NSF User), 네트워크 운영 관리 시스템(Network Operator Management System), 개발자 관리 시스템(DMS : Developer's Management System) 및/또는 적어도 하나의 NSF(Network Security Function)을 포함한다.
I2NSF 사용자는 I2NSF 소비자-직면 인터페이스(I2NSF Consumer-Facing Interface)를 통해 네트워크 운영 관리 시스템과 통신한다. 네트워크 운영 관리 시스템은 I2NSF NSF-직면 인터페이스(I2NSF NSF-Facing Interface)를 통해 NFC(들)과 통신한다. 개발자 관리 시스템은 I2NSF 등록 인터페이스(I2NSF Registration Interface)를 통해 네트워크 운영 관리 시스템과 통신한다. 이하에서는 I2NSF 시스템의 각 컴포넌트(I2NSF 컴포넌트) 및 각 인터페이스(I2NSF 인터페이스)에 설명한다.
I2NSF 사용자
I2NSF 사용자는 다른 I2NSF 컴포넌트(예컨대, 네트워크 운영 관리 시스템)에서 정보를 요청하거나 및/또는 다른 I2NSF 컴포넌트(예컨대, 개발자 관리 시스템)에 의해 제공되는 서비스(예컨대, 네트워크 보안 서비스)를 사용하는 I2NSF 컴포넌트이다. 예를 들면, I2NSF 사용자는 오버레이 네트워크 관리 시스템, 기업 네트워크 관리자 시스템, 다른 네트워크 도메인 관리자 등일 수 있다.
이러한 I2NSF 사용자 컴포넌트에 할당된 역할을 수행하는 대상은 I2NSF 소비자로 지칭될 수 있다. I2NSF 소비자의 예로는, 일정 기간(time span) 동안 패킷의 특정 필드에 기초하여 흐름을 허용, 속도-제한(rate-limit), 또는 거부하기 위해 언더레이 네트워크(Underlay Network)에 동적으로 알릴 필요가 있는 화상 회의 네트워크 관리자(Video-conference network manager), 특정 흐름에 대한 특정 I2NSF 정책을 시행(enforce)하기 위해 제공자 네트워크를 요청할 필요가 있는 기업 네트워크 관리자(Enterprise network administrators) 및 관리 시스템(Management Systems), 특정 조건의 세트와 일치하는 흐름을 차단하기 위해 언더레이 네트워크에 요청을 전송하는 IoT 관리 시스템(IoT management system)가 포함될 수 있다.
I2NSF 사용자는 고수준(High-level) 보안 정책(Security Policy)을 생성 및 배포할 수 있다. 구체적으로 설명하면, I2NSF 사용자는 다양한 악의적인(malicious) 공격으로부터 네트워크 트래픽(network traffic)을 보호하기 위하여 네트워크 보안 서비스(network security service)를 이용할 필요가 있다. 이 보안 서비스를 요청하기 위하여, I2NSF 사용자는 자신이 원하는 보안 서비스에 대한 고수준 보안 정책을 생성하고 네트워크 운영 관리 시스템에게 이를 알릴 수 있다.
한편, 고수준 보안 정책을 준비하는 과정에서, I2NSF 사용자는 각 NSF(들)를 위한 보안 서비스 또는 보안 정책 규칙 구성(security policy rule configuration)을 실현하기 위하여 요구되는 NSF(들)의 타입에 대하여 고려하지 않을 수 있다.
또한, I2NSF 사용자는 네트워크 운영 관리 시스템에 의해 기본적인(underlying) NSF(들) 내에서 발생되는 보안 이벤트(들)(security event)를 통지받을 수 있다. 이들의 보안 이벤트(들)을 분석함으로써, I2NSF 사용자는 새로운 공격을 식별하고, 새로운 공격에 대처하기 위한 고수준 보안 정책을 업데이트(또는 생성)할 수 있다. 이와 같이, I2NSF 사용자는 보안 정책을 정의, 관리 및 모니터링할 수 있다.
네트워크 운영 관리 시스템
네트워크 운영 관리 시스템은 보안 제공, 모니터링 및 기타 동작을 위한 수집(collection) 및 배포(distribution) 지점(point)의 역할을 수행하는 컴포넌트이다. 예를 들면, 네트워크 운영 관리 시스템은 보안 제어기(Security Controller)일 수 있다. 이러한 네트워크 운영 관리 시스템은 네트워크 보안 관리자에 의해 관리될 수 있고, I2NSF 관리 시스템으로 지칭될 수도 있다.
네트워크 운영 관리 시스템(또는 보안 제어기)의 주요한 역할 중 하나는 I2NSF 사용자로부터의 고수준 보안 정책(또는 정책 규칙)을 특정 NSF(들)을 위한 저수준(Low-level) 보안 정책 규칙으로 번역(translate)하는 것이다. 네트워크 운영 관리 시스템(또는 보안 제어기)은 고수준 보안 정책을 I2NSF 사용자로부터 수신한 후, 우선 I2NSF 사용자에 의해 요구되는 정책을 시행하기 위하여 요구되는 NSF(들)의 타입을 결정할 수 있다. 그리고, 네트워크 운영 관리 시스템(또는 보안 제어기)은 요구되는 각 NSF(들)을 위한 저수준(Low-level) 보안 정책을 생성할 수 있다. 결국, 네트워크 운영 관리 시스템(또는 보안 제어기)은 생성된 저수준 보안 정책을 각 NSF(들)에게 설정할 수 있다.
또한, 네트워크 운영 관리 시스템(또는 보안 제어기)은 시스템 내 구동 중인 NSF(들)을 모니터링하고, 각 NSF(들)에 대한 다양한 정보(예를 들어, 네트워크 액세스(access) 정보 및 작업로드(workload) 상태 등)를 유지할 수 있다. 또한, 네트워크 운영 관리 시스템(또는 보안 제어기)은 개발자 관리 시스템의 도움을 받아 NSF 인스턴스의 동적인 수명시간(life-cycle) 관리를 통해 NSF 인스턴스(instance)의 풀(pool)을 동적으로 관리할 수 있다.
NSF
NSF는 보안 관련 서비스를 제공하는 논리적 엔티티(logical entity) 또는 소프트웨어 컴포넌트이다. 예를 들면, NFC는 저수준 보안정책을 수신하고, 이에 기초하여 악의적인 네트워크 트래픽을 감지하고, 이를 차단하거나 완화할 수 있다. 이를 통해, 네트워크 통신 스트림의 무결성(integrity) 및 기밀성(confidentiality)이 보장될 수 있다.
개발자 관리 시스템
개발자 관리 시스템은 다른 I2NSF 컴포넌트(예컨대, I2NSF 사용자, 네트워크 운영 관리 시스템)으로 정보를 보내거나, 및/또는 서비스(예컨대, 네트워크 보안 서비스)를 제공하는 I2NSF 컴포넌트이다. 개발자 관리 시스템은 벤더 관리 시스템(Vendor's Management System)으로 지칭될 수도 있다. 이러한 개발자 관리 시스템에 할당된 역할을 수행하는 대상은 I2NSF 생산자(producer)로 지칭될 수 있다.
개발자 관리 시스템은 네트워크 운영 관리 시스템에게 NSF(들)을 제공하는 제3자(third-party) 보안 벤더에 의해 관리될 수 있다. 다양한 보안 벤더의 다수의 개발자 관리 시스템(들)이 존재할 수 있다.
I2NSF 소비자-직면 인터페이스(간단히, 소비자-직면 인터페이스(CFI))
CFI는 I2NSF 사용자와 네트워크 운영 관리 시스템 사이에 위치하는, 사용자의 I2NSF 시스템으로의 인터페이스이다. 이렇게 설계됨으로써, 하위(underlying) NSF(들)의 상세한 내용을 숨기고, 사용자에게 NSF(들)의 추상적인 시각(abstract view)만을 제공한다.
이 CFI는 주어진 I2NSF 시스템의 상이한 사용자가 관리 도메인 내의 특정 흐름(flow)에 대한 보안 정책을 정의, 관리 및 모니터링할 수 있게 하기 위해 사용될 수 있다. I2NSF 사용자에 의해 생성된 고수준 보안 정책(또는 정책 규칙)은 이 CFI를 통해 네트워크 운영 관리 시스템으로 전달될 수 있다.
I2NSF NSF-직면 인터페이스(간단히, NSF-직면 인터페이스(NFI))
NFI는 네트워크 운영 관리 시스템(또는 보안 제어기)과 NSF(들) 사이에 위치하는 인터페이스이다.
NFI는 하나 이상의 NSF에 의해 시행되는 흐름-기반(flow-based) 보안 정책을 지정하고 모니터링하기 위해 사용될 수 있다. 예를 들면, I2NSF 시스템은 흐름-기반 NSF를 사용할 수 있다. 여기서, 흐름-기반 NSF는 보안 특성을 강화하기 위해 정책의 세트에 따라 네트워크 흐름을 검사하는 NSF이다. 이러한 흐름-기반 NSF에 의한 흐름-기반 보안은 수신된 순서대로 패킷들이 검사되고, 검사 프로세스에 따라 패킷에 대한 수정이 없는 것을 의미한다. 흐름-기반 NSF에 대한 인터페이스는 다음과 같이 분류될 수 있다:
- NSF 운영 및 관리 인터페이스(NSF Operational and Administrative Interface): NSF의 운영 상태를 프로그래밍하기 위해 I2NSF 관리 시스템에 의해 사용되는 인터페이스 그룹; 이 인터페이스 그룹은 또한 관리 제어 기능을 포함한다. I2NSF 정책 규칙은 일관된 방식으로 이 인터페이스 그룹을 변경하는 한가지 방법을 나타낸다. 어플리케이션 및 I2NSF 컴포넌트가 그들이 송신 및 수신하는 트래픽의 동작을 동적으로 제어할 필요가 있기 때문에, I2NSF 노력(effort)의 대부분이 이 인터페이스 그룹에 집중된다.
- 모니터링 인터페이스(Monitoring Interface): 하나 이상의 선택된 NSF로부터의 모니터링 정보를 획득하기 위해 I2NSF 관리 시스템에 의해 사용되는 인터페이스 그룹; 이 인터페이스 그룹의 각 인터페이스는 쿼리 또는 리포트 기반 인터페이스일 수 있다. 둘 사이의 차이점은 쿼리 기반 인터페이스는 정보를 획득하기 위해 I2NSF 관리 시스템에 의해 사용되고, 이에 반하여 리포트 기반 인터페이스는 정보를 제공하기 위해 NSF에 의해 사용된다는 것이다. 이 인터페이스 그룹의 기능은 또한 SYSLOG 및 DOTS와 같은 다른 프로토콜에 의해 정의될 수 있다. I2NSF 관리 시스템은 정보의 수신에 기초하여 하나 이상의 동작(action)을 취할 수 있다. 이는 I2NSF 정책 규칙에 의해 지정되어야 한다. 이 인터페이스 그룹은 NSF의 운영 상태를 변경하지 않는다.
이와 같이, NFI는 흐름-기반 패러다임을 사용하여 개발될 수 있다. 흐름-기반 NSF의 공동 특성(common trait)은 수신된 패킷의 콘텐츠(예컨대, 헤더/페이로드) 및/또는 컨텍스트(예컨대, 세션 상태 및 인증 상태)에 기초하여 패킷을 처리하는 것이다. 이 특징은 I2NSF 시스템의 동작을 정의하기 위한 요구사항(requirement) 중 하나이다.
한편, I2NSF 관리 시스템은 주어진 NSF의 모든 기능들을 사용할 필요가 없으며, 모든 사용 가능한 NSF들을 사용할 필요도 없다. 따라서, 이 추상화(abstraction)는 NSF 특징(feature)을 NSF 시스템에 의해 빌딩 블록(building block)으로 취급될 수 있게 해준다. 그러므로, 개발자는 벤더 및 기술에 독립적인 NSF에 의해 정의되는 보안 기능을 자유롭게 사용할 수 있게 된다.
I2NSF 등록 인터페이스(간단히, 등록 인터페이스(RI))
RI는 네트워크 운영 관리 시스템 및 개발자 관리 시스템 사이에 위치하는 인터페이스이다. 상이한 벤더에 의해 제공되는 NSF는 상이한 기능(capability)을 가질 수 있다. 따라서, 상이한 벤더에 의해 제공되는 여러 유형의 보안 기능을 이용하는 프로세스를 자동화하기 위해, 벤더가 그들의 NSF의 기능을 정의하기 위한 전용 인터페이스를 가질 필요가 있다. 이러한 전용 인터페이스는 I2NSF 등록 인터페이스(RI)로 지칭될 수 있다.
NSF의 기능은 미리 구성되거나 또는 I2NSF 등록 인터페이스를 통해 동적으로 검색될 수 있다. 만일 소비자에게 노출되는 새로운 기능이 NSF에 추가된다면, 관심 있는(interested) 관리 및 제어 엔티티가 그것들을 알 수 있도록, 그 새로운 기능의 capability가 I2NSF 등록 인터페이스를 통해 I2NSF 레지스트리(registry)에 등록될 필요가 있다.
도 2는 본 명세서의 일 실시예에 따른 I2NSF 시스템의 아키텍처를 예시한다. 도 2의 I2NSF 시스템은 도 1의 I2NSF 시스템에 비하여 I2NSF 사용자 및 네트워크 운영 관리 시스템의 구성을 더 구체적으로 나타낸다. 도 2에서는 도 1에서 상술한 설명과 중복된 설명은 생략한다.
도 2를 참조하면, I2NSF 시스템은 I2NSF 사용자, 보안 관리 시스템(Security Management System), 및 NSF 인스턴스(instances) 계층을 포함한다. I2NSF 사용자 계층은 어플리케이션 로직(Application Logic), 정책 업데이터(Policy Updater), 및 이벤트 수집기(Event Collector)을 컴포넌트로서 포함한다. 보안 관리 시스템 계층은 보안 제어기 및 개발자 관리 시스템을 포함한다. 보안 관리 시스템 계층의 보안 제어기는 보안 정책 관리자(Security policy manager) 및 NSF 기능 관리자(NSF capability manager)를 컴포넌트로서 포함한다.
I2NSF 사용자 계층은 소비자-직면 인터페이스를 통해 보안 관리 시스템 계층과 통신한다. 예를 들면, I2NSF 사용자 계층의 정책 업데이터 및 이벤트 수집기는 소비자-직면 인터페이스를 통해 보안 관리 시스템 계층의 보안 제어기와 통신한다. 또한, 보안 관리 시스템 계층은 NSF-직면 인터페이스를 통해 NSF 인스턴스 계층과 통신한다. 예를 들면, 보안 관리 시스템 계층의 보안 제어기는 NSF-직면 인터페이스를 통해 NSF 인스턴스 계층의 NSF 인스턴스(들)과 통신한다. 또한, 보안 관리 시스템 계층의 개발자 관리 시스템은 등록 인터페이스를 통해 보안 관리 시스템 계층의 보안 제어기와 통신한다.
도 2의 I2NSF 사용자 계층, 보안 관리 시스템 계층의 보안 제어기 컴포넌트, 보안 관리 시스템 계층의 개발자 관리 시스템 컴포넌트 및 NSF 인스턴스 계층은 각각 도 1의 I2NSF 사용자 컴포넌트, 네트워크 운영 관리 시스템 컴포넌트, 개발자 관리 시스템 컴포넌트 및 NSF 컴포넌트에 대응된다. 또한, 도 2의 소비자-직면 인터페이스, NSF-직면 인터페이스 및 등록 인터페이스는 도 1의 소비자-직면 인터페이스, NSF-직면 인터페이스 및 등록 인터페이스에 대응된다. 이하에서는, 각 계층에 포함된 새로 정의된 컴포넌트들에 대하여 설명한다.
I2NSF 사용자
상술한 것처럼, I2NSF 사용자 계층은 다음 3 개의 컴포넌트를 포함한다: 어플리케이션 로직(Application Logic), 정책 업데이터(Policy Updater), 및 이벤트 수집기(Event Collector). 각각의 역할 및 동작을 설명하면 다음과 같다.
어플리케이션 로직은 고수준 보안 정책을 생성하는 컴포넌트이다. 이를 위해, 어플리케이션 로직은 이벤트 수집기로부터 고수준 정책을 업데이트(또는 생성)하기 위한 이벤트를 수신하고, 수집된 이벤트에 기초하여 고수준 정책을 업데이트(또는 생성)한다. 그 이후에, 고수준 정책은 보안 제어기로 배포하기 위해 정책 업데이터로 보내진다. 고수준 정책을 업데이트(또는 생성)하기 위해, 이벤트 수집기는 보안 수집기에 의해 보내진 이벤트를 수신하고, 그들을 어플리케이션 로직으로 보낸다. 이 피드백에 기초하여, 어플리케이션 로직은 고수준 보안 정책을 업데이트(또는 생성)할 수 있다.
도 2에서는, 어플리케이션 로직, 정책 업데이터 및 이벤트 수집기를 각각 별도의 구성으로 도시하고 있으나, 본 명세서의 이에 한정되지 않는다. 다시 말해, 각각은 논리적인 컴포넌트로서, I2NSF 시스템에서 하나 또는 2 개의 컴포넌트로 구현될 수도 있다.
보안 관리 시스템
상술한 것처럼, 보안 관리 시스템 계층의 보안 제어기는 보안 정책 관리자(Security policy manager) 및 NSF 기능 관리자(NSF capability manager)와 같은 2개의 컴포넌트를 포함한다
보안 정책 관리자는 CFI를 통해 정책 업데이터로부터 고수준 정책을 수신하고, 이 정책을 여러 저수준 정책으로 맵핑할 수 있다. 이 저수준 정책은 NSF 기능 관리자에 등록된 주어진 NSF 기능과 관련된다. 또한, 보안 정책 관리자는 이 정책을 NFI를 통해 NSF(들)로 전달할 수 있다.
NSF 기능 관리자는 주어진 NSF 기능과 관련된 저수준 정책을 생성하기 위해, 개발자 관리 시스템에 의해 등록된 NSF의 기능을 지정하고, 그것을 보안 정책 관리자와 공유할 수 있다. 새로운 NSF가 등록될 때마다, NSF 기능 관리자는 등록 인터페이스를 통해 NSF 기능 관리자의 관리 테이블에 NSF의 기능을 등록하도록 개발자 관리 시스템에 요청할 수 있다. 개발자 관리 시스템은 새로운 NSF의 기능을 NSF 기능 관리자로 등록하기 위한 보안 관리 시스템의 다른 부분에 해당한다.
도 2에서는, 보안 정책 관리자 및 NSF 기능 관리자를 각각 별도의 구성으로 도시하고 있으나, 본 명세서의 이에 한정되지 않는다. 다시 말해, 각각은 논리적인 컴포넌트로서, I2NSF 시스템에서 하나의 컴포넌트로 구현될 수도 있다.
NSF 인스턴스(NSF Instances)
도 2에 도시된 것처럼, NSF 인스턴스 계층은 NSF들을 포함한다. 이때, 모든 NSF들은 이 NSF 인스턴스 계층에 위치된다. 한편, 고수준 정책을 저수준 정책에 맵핑한 후에, 보안 정책 관리자는 NFI를 통해 정책을 NSF(들)로 전달한다. 이 경우, NSF는 수신된 저수준 보안 정책에 기초하여 악의적인 네트워크 트래픽을 감지하고, 이를 차단하거나 완화할 수 있다.
가상화 시스템의 신속한 개발을 위해서는 다양한 시나리오에서 고급 보안 기능이 필요하다(예를 들면, 엔터프라이즈 네트워크의 네트워크 장치, 모바일 네트워크의 사용자 장비, 인터넷의 장치 또는 거주자 액세스 사용자 등).
여러 보안 업체에서 생산한 NSF는 고객에게 다양한 보안 기능을 제공할 수 있다. 즉, NSF는 물리적 또는 가상 기능으로 구현되었는지 여부와 관계없이 여러 NSF가 함께 결합되어 주어진 네트워크 트래픽에 대한 보안 서비스를 제공할 수 있다.
보안 기능은 보안 정책 시행 목적으로 사용할 수 있는 일련의 네트워크의 보안과 관련된 기능을 말한다. 보안 기능은 실제 구현되는 보안 제어 메커니즘과는 독립적이며, 모든 NSF는 NSF에서 제공할 수 있는 기능들의 세트가 등록되어 있다.
보안 기능(security capability)은 특정 NSF가 제공하는 보안 기능을 모호하지 않게 설명함으로써 맞춤형 보안 보호를 정의할 수 있는 기능 명세(capability specification)를 제공한다. 또한, 보안 기능을 통해 보안 기능의 공급 업체의 중립적인 방식으로 설명할 수 있다.
즉, 네트워크를 설계할 때 특정 제품을 언급할 필요가 없으며, 기능별로 특징이 고려될 수 있다.
앞에서 살펴본 바와 같이 보안 정책 제공에 사용될 수 있는 I2NSF 인터페이스는 아래와 같이 두 가지 유형이 존재할 수 있다.
I2NSF 사용자와 응용 프로그램 간의 인터페이스 및 보안 컨트롤러 (Consumer-Facing Interface): NSF 데이터 및 서비스 사용자와 네트워크 운영 관리시스템(또는 보안 제어기) 사이에 통신 채널을 제공하는 소비자 지향 인터페이스.
I2NSF Consumer-Facing Interface는 보안 정보가 다양한 애플리케이션(예를 들면: OpenStack 또는 다양한 BSS / OSS 구성 요소)과 보안 컨트롤러 간의 교환에 사용될 수 있다. Consumer-Facing Interface의 설계 목표는 보안 서비스의 스펙을 구현과 분리하는데 있다.
- NSF 간의 인터페이스(예를 들면: 방화벽, 침입 방지 또는 안티 바이러스) 및 보안 컨트롤러 (NSF-Facing Interface): NSF-Facing Interface는 보안 관리 체계를 NSF 집합과 여러 가지 구현에서 분리하는 데 사용되며 NSF가 구현되는 방식(예를 들면: 가상 머신 또는 실제 appliances 등)에서 독립적이다.
이하, 연관된 I2NSF 정책 객체와 함께 네트워크 보안, 콘텐츠 보안 및 공격 완화 기능에 대한 객체 지향 정보 모델에 대해 살펴보도록 한다.
본 명세서에서 정보 모델에 사용되는 용어는 다음과 같이 정의될 수 있다
AAA: Access control, Authorization, Authentication
ACL: Access Control List
(D)DoD: (Distributed) Denial of Service (attack)
ECA: Event-Condition-Action
FMR: First Matching Rule (resolution strategy)
FW: Firewall
GNSF: Generic Network Security Function
HTTP: HyperText Transfer Protocol
I2NSF: Interface to Network Security Functions
IPS: Intrusion Prevention System
LMR: Last Matching Rule (resolution strategy)
MIME: Multipurpose Internet Mail Extensions
NAT: Network Address Translation
NSF: Network Security Function
RPC: Remote Procedure Call
SMA: String Matching Algorithm
URL: Uniform Resource Locator
VPN: Virtual Private Network
정보 모델 설계
기능 정보 모델(Capability Information Model)의 설계의 출발점은 보안 기능의 유형을 분류하는 것이다. 예를 들어, "IPS", "안티 바이러스" 및 "VPN 집중 장치"와 같은 보안 기능의 유형을 분류하는 것이다.
또는, "패킷 필터"는 다양한 조건(예를 들면: 발신 및 수신 IP 주소, 발신 및 수신 포트 및 IP 프로토콜 유형 필드 등)에 따라 패킷 전달을 허용하거나 거부 할 수 있는 저장 장치로 분류될 수 있다.
그러나, 상태 기반 방화벽이나 응용 프로그램 계층 필터와 같은 다른 장치의 경우 더 많은 정보가 필요하다. 이러한 장치는 패킷이나 통신을 필터링하지만 패킷과 통신들을 카테고리화하고 유지하는 상태에서 차이가 있다.
아날로그적 고려사항은 채널 보호 프로토콜들에서 고려될 수 있다. 여기서 채널 보호 프로토콜들은 비대칭 암호로 협상될 수 있는 대칭 알고리즘을 통해 패킷을 보호할 수 있으며, 서로 다른 계층에서 작동하고 서로 다른 알고리즘과 프로토콜을 지원할 수 있다.
안전한 보호를 위해 이러한 프로토콜은 무결성, 선택적으로 기밀성, anti-reply 보호 및 피어 인증이 적용되어야 한다.
기능 정보 모델 오버뷰(Capability Information Model Overview)
기능 정보 모델은 NSF의 자동 관리를 위한 토대를 제공하는 보안 기능 모델을 정의한다. 기능 정보 모델은 보안 컨트롤러가 NSF를 적절하게 식별 및 관리할 수 있도록 하고, NSF가 기능들을 올바른 방법으로 사용할 수 있도록 적절하게 선언하는 것을 허용하는 것도 포함한다.
보안을 위한 몇 가지 기본 설계 원칙 및 이를 관리해야 하는 시스템은 다음과 같다.
- 독립성(Independence): 각 보안 기능은 다른 기능에 최소한의 중첩 또는 종속성을 갖는 독립적인 기능이어야 한다. 이를 통해 각 보안 기능을 자유롭게 사용 및 조합할 수 있다. 더 중요한 것은, 하나의 기능으로의 변경이 다른 기능에 영향을 미치지 않는다는 것이다.
이것은 Single Responsibility Principle [Martin] [OODSRP]을 따른다.
- 추상성(Abstraction): 각 기능은 벤더 독립적인 방식으로 정의되어야 하며 잘 알려진 인터페이스와 연결되어 처리 결과를 기술하고 보고할 수 있는 표준화된 기능을 제공해야 한다. 따라서, 다중 공급 벤더와의 상호 운용성이 향상될 수 있다.
- 자동화(Automation): 시스템은 보안 기능(즉, 사용자 개입없이)을 자동 검색, 자동 협상 및 자동 업데이트 할 수 있어야 한다. 이러한 자동화 기능은 다수의 NSF를 관리하는 데 특히 유용하다.
채택된 보안 체계에 대한 스마트 서비스(예를 들면: 분석, 정제, 기능 추론 및 최적화)를 추가하는 것은 필수적이다. 이러한 기능은 Observer Pattern [OODOP], Mediator Pattern [OODMP] 및 Message Exchange Patterns [Hohpe]와 같은 많은 디자인 패턴에서 지원된다.
- 확장성: 관리 시스템에는 scale up/down 또는 scale in/out 기능이 있어야 한다. 따라서, 이러한 확장성으로 인하여 변경 가능한 네트워크 트래픽 또는 서비스 요청에서 파생된 다양한 성능 요구 사항을 충족할 수 있다. 또한, 확장성의 영향을 받는 보안 기능은 보안 컨트롤러에 통계보고를 지원해야 스케일링을 호출해야 하는지 여부를 결정하는 데 도움이 될 수 있다.
위의 원칙에 따라 표준 인터페이스를 갖춘 추상 및 벤더 중립 기능 집합이 정의될 수 있다. 이것은 주어진 시간에 필요한 NSF 세트를 사용할 수 있게 해주는 Capability 모델과 사용된 NSF 세트에 의해 제공되는 보안의 모호하지 않도록 정의를 제공한다.
보안 컨트롤러는 사용자 및 응용 프로그램의 요구 사항을 현재 사용할 수 있는 기능 집합과 비교하여 해당 요구 사항을 충족하는데 필요한 NSF를 선택한다.
또한, NSF에 의해 알려지지 않은 위협(예를 들어, zero-day exploits 및 unknown malware)이 보고될 때, 새로운 기능이 생성될 수 있고 및/또는 기존의 기능이 업데이트 될 수 있다(예를 들어, 그의 서명 및 알고리즘을 업데이트함으로써). 그 결과 새로운 위협에 대처하기 위해 기존의 NSF를 강화(및/또는 새로운 NSF를 생성)하게 된다.
새로운 기능은 중앙 리포지토리(Repository)에 전송되어 저장되거나 벤더의 로컬 리포지토리에 개별적으로 저장될 수 있다. 두 경우 모두 표준 인터페이스가 업데이트 프로세스가 용이하게 수행되도록 한다.
ECA 정책 모델 오버뷰(ECA Policy Model Overview)
"Event-Condition-Action"(ECA) 정책 모델은 I2NSF 정책 규칙의 설계를 위한 기초로 사용된다. 이때, I2NSF 정책과 관련된 용어는 아래와 같이 정의될 수 있다([I-D.draft-ietf-i2nsf-terminology] 참조):
- 이벤트: 이벤트는 관리되는 시스템이 변경될 때 및/또는 관리되는 시스템의 환경에서 중요한 시점에 발생한다. 이벤트는 I2NSF 정책 규칙의 컨텍스트에서 사용될 때 I2NSF 정책 규칙의 조건 절을 평가할 수 있는지 여부를 결정하는 데 사용될 수 있다. I2NSF 이벤트의 예로는 시간 및 사용자 동작(예를 들면: 로그온, 로그 오프 및 ACL을 위반하는 동작)이 있을 수 있다.
- 조건(Condition): 조건은 알려진 속성, 특징 및/또는 값의 세트와 비교될 속성, 기능 및/또는 값의 집합으로 정의되어 그(명령형) I2NSF 정책 규칙을 실행하거나 실행하지 않을 수 있다. I2NSF 조건의 예에는 패킷 또는 흐름의 일치하는 속성과 NSF의 내부 상태를 원하는 상태와 비교하는 것이 포함될 수 있다.
- 동작(Action): 동작은 이벤트 및 조건 절이 충족될 때 흐름 기반 NSF의 측면을 제어하고 모니터링하는데 사용된다. NSF는 다양한 액션을 실행하여 보안 기능을 제공한다. I2NSF 작업의 예에는 침입 탐지 및 / 또는 보호, 웹 및 플로우 필터링, 패킷 및 플로우에 대한 심층 패킷 검사 제공이 포함될 수 있다.
I2NSF 정책 규칙은 Event 절, Condition 절 및 Action 절의 세 가지 Boolean 절로 구성된다.
Boolean 절은 TRUE 또는 FALSE로 평가되는 논리문을 의미하며, 하나 이상의 용어로 구성될 수 있습니다.
두 개 이상의 용어가 있는 경우 Boolean 절은 논리 연결 요소(즉, AND, OR 및 NOT)를 사용하여 용어를 연결한다. 이때, 논리적 연결 요소는 아래의 표 1과 같은 의미를 가질 수 있다.
Figure 112019103319494-pat00001
기술적으로 "정책 규칙"은 실제로 메타 데이터뿐 아니라 앞에서 설명한 “이벤트”, “동작” 및 “조건”을 집계하는 컨테이너 역할을 수행할 수 있다.
앞에서 설명한 ECA 정책 모델은 매우 일반적이며 쉽게 확장 할 수 있으며 일반 보안 기능 구현을 제한 할 수 있는 잠재적 제약을 피할 수 있다.
외부 정보 모델과의 관계
도 3은 본 명세서가 적용될 수 있는 전체 I2NSF 정보 모델 디자인의 일 예를 나타낸다.
I2NSF NSF-Facing Interface는 NSF의 기능을 사용하여 NSF를 선택 및 관리하며, 이는 아래와 같은 접근법을 이용하여 수행된다.
1) 각 NSF는 "참여"할 때 관리 시스템에 기능을 등록하므로 관리 시스템에서 해당 기능을 사용할 수 있다.
2) 보안 컨트롤러는 관리하는 모든 사용 가능한 NSF에서 보안 서비스의 요구 사항을 충족시키는 데 필요한 기능 집합을 선택한다.
3) 보안 컨트롤러는 Capability 정보 모델을 사용하여 선택한 기능을 공급 업체와 독립적인 NSF로 일치시킨다.
4) 보안 컨트롤러는 위의 정보를 가져 와서 기능 정보 모델의 하나 이상의 데이터 모델을 생성 또는 사용하여 NSF를 관리합니다.
5) 제어 및 모니터링을 시작할 수 있습니다.
이러한 접근법은 외부 정보 모델이 ECA 정책 규칙 및 그 구성 요소(예를 들면: 이벤트, 조건 및 조치 객체 등)의 개념을 정의하는 데 사용된다고 가정할 수 있다. 이를 통해 외부 정보 모델로부터 I2NSF 정책 규칙을 하위 클래스로 분류 할 수 있다(I-D.draft-ietf-i2nsf-terminology 참조).
본 명세서에서 데이터 모델은 데이터의 저장소, 데이터 정의 언어, 쿼리 언어, 구현 언어 및 프로토콜에 의존하는 형식으로 환경에 대한 관심의 컨셉을 나타낸 것이다.
또한, 정보 모델은 데이터 저장소, 데이터 정의 언어, 쿼리 언어, 구현 언어 및 프로토콜과 독립적인 형태로 환경에 대한 관심 컨셉을 나타낸 것이다.
기능은 클래스(예를 들면: 공통된 특성 및 행동 집합을 나타내는 객체의 집합)로 정의될 수 있다(I-D.draft-ietf-supa-generic-policy-info-model 참조).
각 기능은 시스템의 다른 모든 객체와 구별되는 하나 이상의 모델 요소(예를 들면: 속성, 메소드 또는 관계)로 구성될 수 있다. 기능은 일반적으로 일종의 메타 데이터(즉, 객체의 행동을 설명 및 / 또는 처방하는 정보)이다.
따라서, 각 기능은 외부 정보 모델이 메타 데이터를 정의하는데 사용될 수 있다(클래스 계층 구조의 형태가 바람직함). 따라서, 기능들은 외부 메타 데이터 모델에서 하위 클래스로 분류될 수 있다.
기능 하위 모델은 NSF가 포함된 장치의 유형 및 공급 업체와 독립적인 특정 보안 기능 세트를 광고, 생성, 선택 및 관리하는데 사용된다.
즉, NSF-Facing Interface의 사용자는 NFC가 가상화 되거나 호스팅되는지, NSF 공급 업체가 누구인지, NSF가 통신하는 엔티티 세트(예를 들면, 방화벽 또는 IPS)를 고려하지 않는다.
대신 사용자는 NSF가 가지고 있는 패킷 필터링이나 딥 패킷 검사와 같은 기능 세트만을 고려한다.
이러한 전체 ISNSF 정보 모델의 설계는 도 3과 같다.
도 3에 도시된 외부 모델은 모두 SUPA 정보 모델을 기반으로 할 수 있다(I-D.draft-ietf-supa-generic-policy-info-model 참조). 기능 하위 모델의 클래스는 외부 메타 데이터 정보 모델에서 메타 데이터 집계(AggregatesMetadata)의 집합을 이어받는다.
도 3에 도시된 외부 ECA 정보 모델은 일반 ECA 정책 규칙을 나타내는 최소한의 클래스 집합과 일반 ECA 정책 규칙에 의해 집계 될 수 있는 이벤트, 조건 및 동작을 나타내는 클래스 집합을 제공한다.
이를 통해, I2NSF는 이러한 일반 모델을 다른 목적으로 재사용 할 수 있을 뿐만 아니라 I2NSF 관련 개념을 표현하기 위해 새로운 하위 클래스를 생성하거나 속성 및 관계를 추가 할 수 있다.
본 명세서에서 외부 ECA 정보 모델은 메타 데이터를 수집하는 기능을 가지고 있다고 가정한다. 기능들은 외부 메타 데이터 정보 모델의 적절한 클래스에서 하위 클래스로 분류될 수 있다.
이는 ECA 개체가 메타 데이터와 기존의 집계를 사용하여 메타 데이터를 적절한 ECA 개체에 추가할 수 있게 한다.
이하 정보 모델의 각 부분에 대해서 살펴보도록 한다.
I2NSF 기능 정보 모델: 운영 이론(I2NSF Capability Information Model: Theory of Operation)
기능은 일반적으로 호출할 수 있는 NSF 함수를 나타내는 데 사용된다. 기능은 객체이므로 I2NSF ECA 정책 규칙의 이벤트, 조건 및/또는 액션을 설명하는 절에서 사용할 수 있다.
I2NSF 기능 정보 모델은 사전 정의된 메타 데이터 모델을 구체화한다. I2NSF 기능의 적용은 기능 집합을 사용, 관리 또는 조작하는 방법을 정의하는 사전 정의된 ECA 정책 규칙 정보 모델을 수정함으로써 수행될 수 있다. 이러한 접근법에서 I2NSF 정책 규칙은 이벤트 절, 조건 절 및 작업 절의 세 가지 절로 구성된 컨테이너 역할을 수행할 수 있다.
I2NSF 정책 엔진이 일련의 이벤트를 수신하면 해당 이벤트를 활성 ECA 정책 규칙의 이벤트와 일치시킨다. 이벤트가 일치하면 일치하는 I2NSF 정책 규칙의 조건절의 평가를 트리거한다. 조건 절이 평가되고, 이것이 일치하는 경우, 일치하는 I2NSF 정책 규칙에 있는 일련의 행동이 실행될 수 있다.
초기 NSFs 기능 카테고리(Initial NSFs Capability Categories)
이하, 네트워크 보안, 콘텐츠 보안 및 공격 완화의 세 가지 일반적인 기능에 대해서 살펴본다. 본 명세서에서 살펴보는 특정 카테고리 내의 카테고리 수와 기능 유형은 모두 확장될 수 있다.
네트워크 보안 기능(Network Security Capabilities)
네트워크 보안은 미리 정의 된 보안 정책을 사용하여 네트워크 트래픽을 검사하고 처리하는 방법을 설명하기 위한 카테고리이다.
검사 부분은 직접적으로 또는 패킷이 연관된 흐름의 맥락에서 네트워크를 통과하는 패킷을 검사하는 패킷 처리 엔진일 수 있다. 패킷 처리의 관점에서 볼 때 구현할 수 있는 패킷 헤더 및/또는 페이로드의 내용, 유지할 수 있는 다양한 흐름 및 컨텍스트 상태, 패킷 또는 흐름에 적용 할 수 있는 동작이 구현에 따라 달라질 수 있다.
콘텐츠 보안 기능(Content Security Capabilities)
콘텐츠 보안은 응용 프로그램 계층에 적용되는 보안 기능의 또 다른 카테고리이다. 예를 들어, 응용 프로그램 계층에서 전달되는 트래픽 내용을 분석하여 콘텐츠 보안 기능을 사용함으로써 필요한 다양한 보안 기능을 식별 할 수 있다.
여기에는 침입에 대한 방어, 바이러스 검사, 악의적 인 URL 또는 정크 메일 필터링, 불법적 인 웹 액세스 차단 또는 악의적인 데이터 검색 방지가 포함될 수 있다.
일반적으로 콘텐츠 보안의 각 위협 유형에는 고유한 특성 집합이 있으며 해당 유형의 콘텐츠에 고유한 메서드 집합을 사용하여 처리해야 한다. 따라서 이러한 기능은 고유한 콘텐츠 별 보안 기능을 특징으로 한다.
공격 완화 기능(Attack Mitigation Capabilities)
공격 완화 기능은 다양한 유형의 네트워크 공격을 탐지하고 완화하는데 사용된다. 오늘날 일반적인 네트워크 공격은 아래와 같이 정의될 수 있다.
- DDoS 공격:
네트워크 계층 DDoS 공격: SYN flood, UDP flood, ICMP flood, IP fragment flood, IPv6 routing header attack 및 IPv6 duplicate address detection 공격을 예로 들 수 있다.
응용 프로그램 계층 DDoS 공격: 예를 들어 HTTP flood, https flood, 캐시 우회 HTTP floods, WordPress XML RPC floods 및 SSL DDoS가 있습니다.
- 단일 패킷 공격:
스캐닝(scanning) 및 스니핑(sniffing) 공격: IP 스윕(sweep), 포트 스캐닝 등
잘못된 패킷 공격: Ping of Death, Teardrop 등
특별 패킷 공격: 특대 ICMP, Tracert, IP 타임 스탬프 옵션 패킷 등
각 유형의 네트워크 공격에는 고유한 네트워크 동작 및 패킷/흐름 특성이 있다. 따라서, 각 유형의 공격에는 탐지 및 완화를 위해 기능 집합으로 알리는 특수 보안 기능이 필요하다. 이러한 보안 범주의 구현 및 관리 공격 완화 제어 기능은 콘텐츠 보안 제어 범주와 매우 유사할 수 있다.
네트워크 보안 기능을 위한 정보 하부 모델(Information Sub-Model for Network Security Capabilities)
기능 정보 하위 모델의 목적은 기능의 개념을 정의하고 기능들을 적절한 객체에 집계할 수 있게 하는 것이다. 이하, 네트워크 보안, 콘텐츠 보안 및 공격 완화 기능 하위 모델에 대해 설명하도록 한다.
네트워크 보안을 위한 정보 하위 모델(Information Sub-Model for Network Security)
도 4는 본 명세서가 적용될 수 있는 네트워크 보안 정보 하위 모델 개요의 일 예를 나타낸다.
네트워크 보안 정보 하위 모델의 목적은 네트워크 트래픽을 정의하는 방법을 정의하고 하나 이상의 네트워크 보안 기능을 트래픽에 적용해야 하는지 여부를 결정하기 위한 것이다.
도 4에서 ECA정책규칙은 이벤트, 조건 및 동작 객체와 함께 외부 ECA 정보 모델에 정의되어 있다. 네트워크 보안 하위 모델은 보안 관련 ECA 정책 규칙 및 (일반)이벤트, 조건 및 조치 개체에 대한 확장을 정의하기 위해 이러한 모든 개체를 확장할 수 있다.
I2NSF 정책 규칙은 이벤트 조건 동작 (ECA) 형식의 특수한 유형의 정책 규칙이다. 정책 규칙, 정책 규칙의 구성 요소(예를 들면: 이벤트, 조건, 작업 및 해결 정책, 기본 작업 및 외부 데이터와 같은 일부 확장자) 및 선택적으로 메타 데이터로 구성될 수 있으며, NSF를 통한 단방향 및 양방향 트래픽에 모두 적용될 수 있다.
네트워크 보안 정책 규칙 확장(Network Security Policy Rule Extensions)
도 5은 본 명세서가 적용될 수 있는 네트워크 보안 정보 하위 모델의 확장의 일 예를 나타낸다.
도 5는 네트워크 보안 정보 하위 모델에 포함된 ECA 정책 규칙 하위 클래스의 보다 자세한 디자인의 일 예를 나타낸다. 이는 보다 구체적인 네트워크 보안 정책들이 SecurityECAPolicyRule 클래스에서 이전되고 확장되는 방법을 보여준다.
다음과 같은 패턴의 클래스 설계를 따르면 새로운 종류의 특정 네트워크 보안 정책을 생성 할 수 있다.
SecurityECAPolicyRule은 I2NSF ECA 정책 규칙 계층의 맨 위에 위치한다. 이 규칙은 (외부) 일반 ECA 정책 규칙에서 이전되며 보안 관련 ECA 정책 규칙을 추가하기 위한 이러한 일반 ECA 정책 규칙의 특수화를 나타낸다.
SecurityECAPolicyRule은 슈퍼 클래스에 정의된 모든 속성, 메소드 및 관계를 포함하며 네트워크 보안에 필요한 추가 개념을 추가한다.
6 개의 SecurityECAPolicyRule 서브 클래스는 SecurityECAPolicyRule 클래스를 확장하여 6 가지 유형의 Network Security ECA Policy Rules를 나타낸다. (외부) 일반 ECAPolicyRule 클래스는 설명 및 기타 필요한 정보뿐만 아니라 고유한 객체 ID와 같은 속성의 형태로 기본 정보를 정의할 수 있다.
네트워크 보안 정책 규칙 동작(Network Security Policy Rule Operation)
네트워크 보안 정책은 위에서 설명한 정보 모델로 구성된 하나 이상의 ECA 정책 규칙으로 구성된다. 이벤트 및 조건 절이 변경되지 않은 간단한 경우에는 한 정책 규칙의 작업이 다른 정책 규칙에서 추가 네트워크 보안 작업을 호출 할 수 있다. 네트워크 보안 정책은 다음과 같이 트래픽을 검사하고 기본 처리를 수행한다.
1. NSF는 주어진 SecurityECAPolicyRule의 이벤트 절을 평가한다(도 3에 도시된 바와 같이 보안에 일반적이거나 특정 일 수 있음). 보안 이벤트 객체를 사용하여 아래 설명할 평가의 전부 또는 일부를 수행 할 수 있다.
Event 절이 TRUE로 평가되면 이 SecurityECAPolicyRule의 조건 절이 평가된다. 그렇지 않으면 SecurityECAPolicyRule의 실행이 중지되고 다음 SecurityECAPolicyRule 이 평가될 수 있다.
2. 이후, 조건 절이 평가될 수 있다. 보안 요구 사항 객체를 사용하여 아래에서 설명할 평가의 전부 또는 일부가 수행될 수 있다. 조건 절이 TRUE로 평가되면 SecurityECAPolicyRule과 "일치"하는 것으로 정의된다. 그렇지 않으면 SecurityECAPolicyRule의 실행이 중지되고 다음 SecurityECAPolicyRule이 평가될 수 있다.
3. 실행될 일련의 작업이 검색되고, 해결 전략이 실행 순서를 정의하는 데 사용된다. Step 3)에서 프로세스에는 SecurityECAPolicyRule과 관련된 선택적 외부 데이터 사용이 포함될 수 있다.
4. 실행은 다음 세 가지 형식 중 하나를 취합니다.
a. 하나 이상의 행동이 선택되면, NSF는 해결 전략에 의해 정의된 행동을 수행 할 수 있다. 예를 들어, 해결 전략은 단일 액션 (예를 들면: FMR 또는 LMR) 만 실행되도록 허용하거나 모든 액션이 실행되도록 허용 할 수 있다(선택적으로 또는 특정 순서로).
이러한 경우와 다른 경우 NSF 기능은 실행 방법을 명확하게 정의해야 한다.
보안 액션 객체를 사용하여 아래에서 설명하는 실행의 전부 또는 일부를 수행 할 수 있습니다. 기본 액션이 허가 또는 미러인 경우 NSF는 먼저 해당 기능을 수행 한 다음 특정 보안 기능이 규칙에서 참조되는지 여부를 확인한다. 만약 “Yes”인 경우, Step 5로 이동한다. No인 경우, 트래픽이 허용된다.
b. 선택된 동작이 없고 기본 동작이 있는 경우, 기본 동작이 수행될 수 있다. 그렇지 않으면 아무 작업도 수행되지 않는다.
c. 그렇지 않으면 트래픽이 거부됩니다.
5. SecurityECAPolicyRule의 동작 집합에서 다른 보안 기능(예를 들면: 바이러스 백신 또는 IPS 프로파일 NSF가 암시하는 조건 및 / 또는 동작)이 참조되는 경우 NSF는 참조 된 보안 기능을 사용하도록 구성 할 수 있다 (예를 들면: check 조건 또는 행동 집행).
이후, 실행이 종료될 수 있다.
네트워크 보안 이벤트 하위 서브 모델(Network Security Event Sub-Model)
도 6는 본 명세서가 적용될 수 있는 네트워크 보안 정보 하위 모델 이벤트 클래스의 확장의 일 예를 나타낸다.
도 6은 네트워크 보안 정보 하위모델에 포함된 이벤트 하위 클래스의 디자인의 일 예를 나타낸다.
도 6의 네 가지 Event 클래스는 (외부) 일반 Event 클래스를 확장하여 네트워크 보안에서 중요한 이벤트를 나타낸다. (외부) 일반 Event 클래스는 고유 이벤트 ID, 설명 및 이벤트가 발생한 날짜 및 시간과 같은 속성 양식의 기본 이벤트 정보를 정의한다고 가정할 수 있다.
네트워크 보안 조건 하위 서브 모델(Network Security Condition Sub-Model)
도 7는 본 명세서가 적용될 수 있는 네트워크 보안 정보 하위 모델 조건 클래스의 확장의 일 예를 나타낸다.
도 7은 네트워크 보안 정보 하위 모델에 포함된 조건 하위 클래스의 보다 상세한 디자인을 나타낸다.
도 7에 표시된 여섯 가지 조건 클래스는 (외부) 일반 조건 클래스를 확장하여 네트워크 보안과 관련된 조건을 나타낸다. (외부) 일반 조건 클래스는 추상적이므로 데이터 모델 최적화가 정의 될 수 있다고 가정한다.
일반 조건 클래스는 고유 한 객체 ID, 설명 및 0 개 이상의 메타 데이터 객체를 연결하는 메커니즘과 같은 속성의 형태로 기본 조건 정보를 정의한다고 가정한다.
네트워크 보안 동작 서브 모델(Network Security Action Sub-Model)
도 8은 본 명세서가 적용될 수 있는 네트워크 보안 정보 하위 모델 액션의 확장의 일 예를 나타낸다.
도 8은 네트워크 보안 정보 하부 모델에 포함 된 조치 서브 클래스의 보다 자세한 설계를 나타낸다. 도 8의 네 가지 동작 클래스는 (외부)일반 동작 클래스를 확장하여 네트워크 보안 제어 기능을 수행하는 작업을 나타낸다.
도 8의 세 가지 동작 클래스는 (외부) 일반 동작 클래스를 확장하여 네트워크 보안과 관련된 작업을 나타낸다. (외부) Generic Action 클래스는 추상적이므로 데이터 모델 최적화가 정의 될 수 있다.
일반적인 동작 클래스는 고유 한 객체 ID, 설명 및 0 개 이상의 메타 데이터 객체를 첨부하는 메커니즘과 같은 속성 형식의 기본 동작 정보를 정의한다고 가정한다.
I2NSF 기능을 위한 정보 모델(Information Model for I2NSF Capabilities)
도 9은 본 명세서가 적용될 수 있는 I2NSF 보안 기능의 상위 레벨 모델의 일 예를 나타낸다.
도 9에 도시된 바와 같이 I2NSF 기능 모델은 다양한 콘텐츠 보안 및 공격 완화 기능을 나타내는 많은 기능으로 구성된다. 각 기능은 응용 프로그램 계층에서 특정 유형의 위협으로부터 보호한다.
도 9는 SecurityCapability라고 하는 일반적인 I2NSF 보안 기능 클래스를 도시한다. 이를 통해 외부 메타 데이터 정보 모델의 디자인에 영향을 주지 않으면 서 이 클래스에 공통 속성, 관계 및 동작을 추가 할 수 있다. 모든 I2NSF 보안 기능은 SecuritCapability 클래스에서 서브 클래싱된다.
컨텐츠 보안 기능을 위한 정보 모델(Information Model for Content Security Capabilities)
도 10은 본 명세서가 적용될 수 있는 네트워크 보안 기능 정보 모델의 일 예를 나타낸다.
도 10은 콘텐츠 보안 GNSF(Generic Network Security Function)의 예시적인 유형들을 도시한다.
도 10에 도시된 바와 같이 콘텐츠 보안은 여러 가지 고유 한 보안 기능으로 구성될 수 있다. 이러한 각 기능은 응용 프로그램 계층에서 특정 유형의 위협으로부터 콘텐츠를 보호할 수 있다.
콘텐츠 보안은 도 10에 도시된 바와 같이 GNSF (Generic Network Security Function) 유형일 수 있다.
공격완화 기능을 위한 정보 모델(Information Model for Attack Mitigation Capabilities)
도 11는 본 명세서가 적용될 수 있는 공격 완화 기능 정보 모델의 일 예를 나타낸다.
도 11에 도시된 바와 같이 공격 완화는 여러 GNSF로 구성될 수 있다. 각각은 특정 유형의 네트워크 공격으로부터 컨텐츠를 보호합니다. 공격 완화 (Acknowledge mitigation) 보안은 잘 정의 된 보안 기능을 요약 한 GNSF 유형이다.
I2NSF 보안 정책의 구조와 목적
1. I2NSF 보안 정책 규칙(I2NSF Security Policy Rule)
I2NSF 보안 정책 규칙은 일반 네트워크 보안 기능에 대한 정책 규칙을 나타낸다. 정책 규칙의 객체는 정책 정보 및 규칙 정보로 정의될 수 있다. 여기에는 Event Clause Objects, Condition Clause Objects, Action Clause Objects, Resolution Strategy 및 Default Action과 같은 ECA 정책 규칙이 포함될 수 있다.
2. Event Clause
이벤트는 앞에서 살펴본 바와 같이 관리되는 시스템이 변경 될 때 및/또는 관리되는 시스템의 환경에서 중요한 시점에 발생할 수 있다.
Event Clause Objects는 I2NSF 정책 규칙의 컨텍스트에서 사용될 때 I2NSF 정책 규칙의 조건 절을 평가할 수 있는지 여부를 결정하는 데 사용될 수 있다. 이벤트 절의 대상은 사용자 보안 이벤트, 장치 보안 이벤트, 시스템 보안 이벤트 및 시간 보안 이벤트로 정의될 수 있다. 이벤트 조항의 대상은 특정 공급 업체 이벤트 기능에 따라 확장될 수 있다.
3. Condition Clause
조건은 앞에서 살펴본 바와 같이 알려진 속성, 특징 및/또는 값의 세트와 비교 될 속성, 기능 및/또는 값의 집합으로 정의되어 그 (명령형) I2NSF 정책 규칙을 실행하거나 실행하지 않을 수 있다.
이러한 object는 패킷 보안 조건, 패킷 페이로드 보안 조건, 대상 보안 조건, 사용자 보안 조건, 컨텍스트 조건 및 일반 컨텍스트 조건으로 정의될 수 있다.
Action 조항의 오브젝트는 특정 공급 업체 조건 기능에 따라 확장될 수 있다.
4. Action Clause
동작은 이벤트 및 조건 절이 충족될 때 흐름 기반 NSF의 측면을 제어하고 모니터링 하는데 사용된다. NSF는 다양한 액션을 실행하여 보안 기능을 제공한다. 동작 절의 오브젝트는 입력 동작, 송신 동작 및 적용 프로파일 동작으로 정의될 수 있으며, 동작 절의 오브젝트는 특정 벤더 조치 기능에 따라 확장될 수 있다.
데이터 모델 구조
이하, 본 명세서에서 제안하는 데이터 모델에 대해 살펴보도록 한다.
본 명세서에서 제안하는 데이터 모델의 구조는 아래와 같은 사항이 고려되었다.
- Event, Condition, Action 절 집계에 의한 ECA 정책 모델의 고찰
- 기능 대수의 고려.
- NSF 기능 카테고리 (예 : 네트워크 보안, 컨텐츠 보안 및 공격 완화 기능) 고려.
- 네트워크 보안 이벤트 클래스, 네트워크 보안 조건 클래스 및 네트워크 보안 작업 클래스에 대한 정의.
도 12는 본 명세서의 일 실시 예에 따른 네트워크 보안 정책 식별을 위한 데이터 모델 구조를 예시한다.
네트워크 보안 정책을 식별하기 위한 데이터 모델은 도 12에 도시된 바와 같은 구조로 구성될 수 있다
네트워크 보안 정책을 식별하기 위한 데이터 모델은 보안 정책, 이벤트 절 컨테이너, 조건 절 컨테이너 및 동작 절 컨테이너로 구성될 수 있다.
보안 정책의 데이터 필드는 정책 이름, 규칙들, 해결 전략, 고정 동작 및 규칙(rule) 그룹으로 구성될 수 있다.
규칙들은 규칙들을 식별하기 위한 이름, 규칙을 설명하기 위한 description, priority, enable, session-aging-time, long-connection, policy-event-clause-agg-ptr*, policy-condition-clause-agg-ptr*, policy-action-clause-agg-ptr* 및 time-zone으로 구성될 수 있다.
long-connection은 규칙이 적용될 수 있는 지속시간을 설정할 수 있도록 enable 및 during을 포함할 수 있다.
또한, time-zone은 적용되는 룰의 절대적인 시간 외에 주기적인 시간을 설정할 수 있도록 absolute-time-zone 및 periodic-time-zone을 포함할 수 있다.
absolute-time-zone는 룰이 적용되는 절대적인 시간 또는 날짜를 설정하기 위해서 시작 시간 및 종료 시간을 설정하기 위한 start-time?, end-time? 및 날짜를 설정하기 위한 absolute-date*를 포함할 수 있다.
periodic-time-zone은 룰이 적용되는 주기적인 시간을 설정하기 위한 day 및 month를 포함할 수 있다.
resolution-strategy은 룰을 위한 해결 전략을 설정하기 위해서 전략의 타입을 설정하기 위한 (resolution-strategy-type)?, 첫 번째로 매칭되는 룰을 설정하기 위한 first-matching-rule? 및 마지막으로 매칭되는 룰을 설정하기 위한 last-matching-rule?을 포함할 수 있다.
default-action은 선택된 동작이 없는 경우 수행될 수 있는 동작을 설정하기 위한 필드로써 동작의 타입을 설정할 수 있다.
rule-group은 규칙들이 그룹화되어 관리될 수 있는 그룹들로 구성되며, 각 그룹에 대한 데이터 필드는 group-name, rule-range, enable, description을 포함한다.
event-clause-container, condition-clause-container 및 action-clause-container는 정책 규칙이 “이벤트”, “동작” 및 “조건”을 집계하기 위해서 사용될 수 있다.
도 13은 본 명세서의 일 실시 예에 따른 이벤트 규칙을 위한 데이터 모델 구조를 예시한다.
이벤트는 앞에서 살펴본 바와 같이 관리되는 시스템이 변경될 때 및/또는 관리되는 시스템의 환경에서 중요한 시점에 발생하는 사건을 의미한다.
도 13에 도시된 이벤트 절을 위한 오브젝트들은 사용자 보안 이벤트, 장치 보안 이벤트, 시스템 보안 이벤트 및 시간 보안 이벤트로 정의될 수 있다. 이러한 개체는 특정 공급 업체 이벤트 기능에 따라 확장될 수 있으며, 보다 일반적인 네트워크 보안 기능을 위한 추가 이벤트 객체가 추가될 수 있다.
도 14a 내지 도 14d는 본 명세서의 일 실시 예에 따른 컨디션 규칙을 위한 데이터 모델 구조를 예시한다.
조건은 앞에서 살펴본 바와 같이 알려진 속성, 특징 및/또는 값의 세트와 비교될 속성, 기능 및/또는 값의 집합으로 정의되어 그 (명령형) I2NSF 정책 규칙을 실행하거나 실행하지 않을 수 있다.
컨디션 규칙을 위한 객체는 패킷 보안 조건, 패킷 페이로드 보안 조건, 대상 보안 조건, 사용자 보안 조건, 컨텍스트 조건 및 일반 컨텍스트 조건으로 정의될 수 있다.
이러한 컨디션 규칙을 위한 개체는 특정 공급 업체 조건 기능에 따라 확장 될 수 있으며, 보다 일반적인 네트워크 보안 기능을 위한 조건 개체를 추가 할 수 있다.
또한, 도 14c에 도시된 바와 같이 컨디션 규칙을 위한 데이터 모델 구조는 pkt-sec-cond-tcp-src-port*, pkt-sec-cond-tcp-dest-port*, pkt-sec-cond-udp-src-port* 및 pkt-sec-cond-udp-dest-port*를 통해 포트 번호와 관련된 룰을 설정할 수 있다.
도 14d에서는 규칙이 적용될 수 있는 어플리케이션의 상태를 관리하기 위해, application-condition의 데이터 필드는 application-description?, application-object*, application-group*, application-label*, category를 포함한다.
또한, 규칙들은 URL(Uniform Resource Locator)에 따라 적용여부가 설정될 수 있으며, 이를 위해 url-category-condition의 데이터 필드는 pre-defined-category*, user-defined-category*를 포함한다.
도 15는 본 명세서의 일 실시 예에 따른 액션 규칙을 위한 데이터 모델 구조를 예시한다.
동작은 이벤트 및 조건 절이 충족될 때 흐름 기반 NSF의 측면을 제어하고 모니터링 하는데 사용된다.
이러한 개체는 수신 동작, 송신 동작 및 적용 프로필 동작으로 정의될 수 있다. 이러한 개체는 특정 공급 업체 작업 기능에 따라 확장될 수 있으며, 보다 일반적인 네트워크 보안 기능을 위한 액션 객체를 추가 할 수 있다.
도 14a 내지 도 15에 도시된 컨디션 규칙 및 액션 규칙을 위한 데이터 모델의 구조는 컨테이너 구조가 사용되기 때문에 다중의 컨디션을 적용할 수 있다.
도 16a 내지 도 19j는 본 명세서의 일 실시 예에 따른 I2NSF NSF-Facing Interface의 YANG 데이터 모듈을 예시한다.
도 16a 내지 도 19j를 참조하면, 도 12a 내지 도 15b에서 설명한 데이터 모델을 이용하여 네트워크 보안 기능들의 정보 모델을 위한 YANG 데이터 모델을 설정할 수 있다.
도 16a 내지 19j에 도시된 모듈은 네트워크 보안 기능들을 위한 양 데이터 모듈로 정의될 수 있다.
이하, NSF 모니터링을 위한 정보 모델에 대해 살펴보도록 한다.
보안 기능을 구성하기 위해 관리 엔티티(예를 들면: NMS, 보안 컨트롤러)에 NSF(예를 들면: FW, IPS, Anti-DDOS 또는 Anti-Virus 기능)가 제공하는 인터페이스 NSF에서 모니터링하고 NSF를 모니터링하는 것을 "I2NSF NSF-Facing Interface"라고 한다(ID.ietf-i2nsf-terminology 참조).
모니터링 부분은 NSF에 관한 중요한 정보를 획득하는 것을 의미한다. 알림, 이벤트, 레코드, 카운터. 시의 적절하고 포괄적인 방식으로 수행되면 NSF 모니터링은 전반적인 보안 프레임 워크에서 매우 중요한 역할을 한다. NSF에 의해 생성된 모니터링 정보는 악의적인 활동 또는 비정상적인 행동 또는 서비스 거부 공격의 잠재적 징후의 조기 표시일 수 있다.
NSF 모니터링 데이터는 아래와 같은 상황에서 사용될 수 있다.
위에서 설명한 바와 같이 모니터링은 전반적인 보안 프레임 워크에서 매우 중요한 역할을 한다. NSF를 모니터링하면 규정된 보안 상태를 유지하는 데 있어 보안 컨트롤러에 매우 중요한 정보가 제공된다. 이 외에도 아래와 같이 NSF를 모니터링 할 수 있는 다른 이유가 있다.
- 보안 관리자는 NSF 또는 네트워크에서 발생한 특정 이벤트에서 트리거 되는 정책을 구성할 수 있다. 보안 컨트롤러는 지정된 이벤트를 모니터링하고 이벤트가 발생하면 정책에 따라 추가 보안 기능을 구성한다.
- 보안 정책 위반의 결과로 NSF에 의해 촉발된 사건은 의심스러운 활동을 탐지하기 위해 SIEM에 의해 사용될 수 있다.
- NSF의 이벤트 및 활동 로그를 사용하여 동작 및 예측과 같은 고급 분석을 구축하여 보안 상태를 개선할 수 있다.
- 보안 컨트롤러는 고 가용성을 달성하기 위해 NSF의 이벤트를 사용할 수 있다. 실패한 NSF 재시작, NSF 수평 확장 등의 수정 조치를 취할 수 있다.
- NSF의 이벤트 및 활동 로그는 운영 문제의 디버깅 및 근본 원인 분석에 도움이 될 수 있다.
- NSF의 활동 기록은 운영 및 비즈니스상의 이유로 기록 데이터를 작성하는 데 사용될 수 있다.
NSF 모니터링 데이터의 분류
강력한 보안 상태를 유지하려면 NSF 보안 정책을 구성 할뿐만 아니라 관찰 가능한 정보를 소비하여 NSF를 지속적으로 모니터링 해야 한다. 이를 통해 보안 관리자는 적시에 네트워크에서 어떤 일이 일어나고 있는지 평가할 수 있다.
정적 보안 상태에 기반하여 모든 내부 및 외부 위협을 차단하는 것은 불가능하다. 이 목표를 달성하려면 일정한 가시성을 가진 매우 역동적인 자세가 필요하다. 본 명세서는 NSF에서 얻을 수 있고 모니터링 정보로 사용될 수 있는 일련의 정보 요소(및 그 범위)를 정의할 수 있다.
본질적으로 이러한 유형의 모니터링 정보는 여러 수준의 세밀성에 대한 지속적인 가시성을 지원하기 위해 활용 될 수 있으며 해당 기능에 의해 소비 될 수 있다
이하, 모든 모니터링 데이터를 위한 기본적인 정보 모델에 대해 살펴보도록 한다.
모든 모니터링 데이터를 위한 기본적인 정보 모델(Basic Information Model for All Monitoring Data)
- message_version: 데이터 형식의 버전을 나타내며 01에서 시작하는 2 자리 10 진수.
- message_type : 이벤트, 경고, 알람, 로그, 카운터 등
- time_stamp: 메시지가 생성 된 시간을 나타냄.
- vendor_name: NSF 공급 업체의 이름.
- NSF_name: 메시지를 생성하는 NSF의 이름 (또는 IP).
- Module_name: 메시지를 출력하는 모듈 이름
- Severity: 로그의 레벨을 나타냄. 총 8 개의 레벨 (0에서 7까지)이 존재하며, 숫자가 작을수록 심각도가 높다.
모니터링 데이터를위한 확장 정보 모델(Extended Information Model for Monitoring Data)
확장 정보 모델은 알람과 같은 구조화 된 데이터에만 사용됩니다. 구조화되지 않은 데이터는 기본 정보 모델로만 지정된다.
시스템 알람(System Alarm)
메모리 알람(Memory Alarm)
다음 정보가 메모리 알람에 포함되어야 한다.
- event_name: 'MEM_USAGE_ALARM'
- module_name:알람 생성을 담당하는 NSF 모듈을 나타냄.
- usage: 사용 된 메모리 양을 지정함.
- 임계 값: 경보를 트리거 하는 임계 값
- 심각도: 위험 수준 (예를 들면: 위험 수준, 높음, 보통, 낮음)
- 메시지: '메모리 사용량이 임계 값을 초과했습니다.'와 같은 메시지를 출력함.
CPU 알람(CPU Alarm)
다음과 같은 정보가 CPU 알람에 포함될 수 있다.
- event_name: 'CPU_USAGE_ALARM'
- usage: 사용 된 CPU의 양을 지정합니다.
- threshold: 이벤트를 트리거 하는 임계 값
- 심각도: 위험 수준 (예를 들면: 위험 수준, 높음, 보통, 낮음)
- 메시지: 'CPU 사용량이 임계 값을 초과했습니다.' 와 같은 메시지를 출력함.
디스크 알람(Disk Alarm)
다음과 같은 정보가 디스크 알람에 포함될 수 있다.
- event_name: 'DISK_USAGE_ALARM'
- usage: 사용 된 디스크 공간의 양을 지정합니다.
- threshold: 이벤트를 트리거 하는 임계 값
- 심각도: 위험 수준 (예를 들면: 위험 수준, 높음, 보통, 낮음)
- 메시지: '디스크 사용량이 임계 값을 초과했습니다.' 와 같은 메시지를 출력함.
하드웨어 알람(Hardware Alarm)
다음과 같은 정보가 하드웨어 알람에 포함될 수 있다.
- event_name: 'HW_FAILURE_ALARM'
- component_name:이 알람을 생성하는 HW 구성 요소를 나타냅니다.
- 임계 값: 경보를 트리거 하는 임계 값
- 심각도: 위험 수준 (예를 들면: 위험 수준, 높음, 보통, 낮음)
- 메시지: '하드웨어 구성 요소가 고장 났거나 성능이 저하되었습니다.'와 같은 메시지를 출력함.
인터페이스 알람(Interface Alarm)
다음과 같은 정보가 인터페이스 알람에 포함될 수 있다.
- event_name: 'IFNET_STATE_ALARM'
- interface_Name: 인터페이스 이름
- interface_state: 'UP', 'DOWN', 'CONGESTED'
- threshold: 이벤트를 트리거 하는 임계 값
- 심각도: 위험 수준 (예를 들면: 위험 수준, 높음, 보통, 낮음)
- 메시지: '현재 인터페이스 상태'를 출력함.
시스템 이벤트(System Events)
액세스 위반(Access Violation)
다음과 같은 정보가 이벤트에 포함될 수 있다.
- event_name: 'ACCESS_DENIED'
- user: 사용자 이름
- group: 사용자가 속한 그룹
- login_ip_address: 사용자의 로그인 IP 주소
- authentication_mode: 사용자 인증 모드. 예를 들면: 로컬 인증, 제 3 자 서버 인증, 인증 면제, SSO 인증
- 메시지: '액세스가 거부되었습니다.' 와 같은 메시지를 출력함.
구성 변경(Configuration Change)
다음과 같은 정보가 이벤트에 포함될 수 있다.
- event_name: 'CONFIG_CHANGE'
- user: 사용자 이름
- group: 사용자가 속한 그룹
- login_ip_address: 사용자의 로그인 IP 주소
- authentication_mode: 사용자 인증 모드. 예를 들면: 로컬 인증, 제 3 자 서버 인증, 인증 면제, SSO 인증
- 메시지: '구성이 수정되었습니다' 와 같은 메시지를 출력함.
시스템 로그(System Log)
접속 로그(Access Logs)
액세스 로그는 관리자의 로그인, 로그 아웃 및 장치 작동을 기록하고, 이를 분석하여 보안 취약성을 식별 할 수 있다. 운영 보고서에는 아래와 같은 정보가 포함될 수 있다.
- 관리자: 장치에서 작동하는 관리자
- login_ip_address : 관리자가 로그인 할 때 사용하는 IP 주소
- login_mode : 관리자 로그인 모드를 지정합니다.(예를 들면: 뿌리, 사용자)
- operation_type : 관리자가 수행하는 조작 유형(예를 들면: 로그인, 로그 아웃, 구성 등)
- 결과: 명령 실행 결과
- content: 로그인 후 관리자가 수행 한 작업.
자원 사용률 로그(Resource Utilization Logs)
실행중인 보고서는 장치 시스템의 실행 상태를 기록하며 이는 장치 모니터링에 유용하다. 실행 보고서는 다음과 같은 정보를 포함할 수 있다.
- system_status: 현재 시스템의 실행 상태
- CPU_usage: CPU 사용량을 지정합니다.
- memory_usage: 메모리 사용량을 지정합니다.
- disk_usage: 디스크 사용량을 지정합니다.
- disk_left: 사용 가능한 디스크 공간을 지정합니다.
- session_number: 총 동시 세션 수를 지정합니다.
- process_number: 총 시스템 프로세스 수를 지정합니다.
- in_traffic_rate: 총 인바운드 트래픽 속도 (pps)
- out_traffic_rate: 총 아웃 바운드 트래픽 속도 (pps)
- in_traffic_speed: 총 인바운드 트래픽 속도 (bps)
- out_traffic_speed: 총 아웃 바운드 트래픽 속도 (bps)
사용자 활동 로그(User Activity Logs)
사용자 활동 기록은 사용자의 온라인 기록 (로그인 시간, 온라인 / 잠금 기간 및 로그인 IP 주소)과 사용자가 수행하는 작업에 대한 가시성을 제공한다. 사용자 활동 보고서는 사용자 로그인 및 네트워크 액세스 활동 중 예외를 식별하는 데 유용하다.
- group: 사용자가 속한 그룹
- login_ip_address: 사용자의 로그인 IP 주소
- authentication_mode: 사용자 인증 모드. 예를 들면: 로컬 인증, 제 3 자 서버 인증, 인증 면제, SSO 인증
- access_mode: 사용자 액세스 모드. 예를 들면: PPP, SVN, LOCAL
- online_duration: 온라인 기간
- lockout_duration: 잠금 기간
- 유형: 사용자 활동. 성공한 사용자 로그인, 실패한 로그인 시도, 사용자 로그 아웃, 성공한 사용자 비밀번호 변경, 실패한 사용자 비밀번호 변경, 사용자 잠금, 사용자 잠금 해제, 알 수 없음
- 원인: 사용자 작업에 실패했습니다.
시스템 카운터(System Counter)
인터페이스 카운터(Interface counters)
인터페이스 카운터는 NSF로 들어오고 나가는 트래픽, 대역폭 사용에 대한 가시성을 제공한다.
- interface_name : NSF에서 구성된 네트워크 인터페이스 이름
- in_total_traffic_pkts : 전체 인바운드 패킷
- out_total_traffic_pkts : 총 아웃 바운드 패킷
- in_total_traffic_bytes : 총 인바운드 바이트
- out_total_traffic_bytes : 총 아웃 바운드 바이트
- in_drop_traffic_pkts : 총 인바운드 드롭 패킷
- out_drop_traffic_pkts : 총 아웃 바운드 드롭 패킷
- in_drop_traffic_bytes : 총 인바운드 드롭 바이트
- out_drop_traffic_bytes : 총 아웃 바운드 삭제 바이트
- in_traffic_ave_rate : 인바운드 트래픽 평균 요금 (pps)
- in_traffic_peak_rate : 인바운드 트래픽 피크 속도 (pps)
- in_traffic_ave_speed : 인바운드 트래픽 평균 속도 (bps)
- in_traffic_peak_speed : 인바운드 트래픽 최고 속도 (bps)
- out_traffic_ave_rate : 아웃 바운드 트래픽 평균 요금 (pps)
- out_traffic_peak_rate : 아웃 바운드 트래픽 피크 속도 (pps)
- out_traffic_ave_speed : 아웃 바운드 트래픽 평균 속도 (bps)
- out_traffic_peak_speed : 아웃 바운드 트래픽 최고 속도 (bps)
NSF 이벤트(NSF Events)
DDos 이벤트는 다음과 같은 정보를 포함할 수 있다.
- event_name : 'SEC_EVENT_DDoS'
- sub_attack_type : Syn flood, ACK flood, SYN-ACK flood, FIN / RST flood, TCP 연결 flood, UDP flood, Icmp flood, HTTPS flood, HTTP flood, DNS query flood, DNS reply flood, SIP flood 등
- dst_ip: 공격 받고있는 victum의 IP 주소
- dst_port: 트래픽을 목표로 삼고있는 포트 번호.
- start_time: 공격이 시작된 시간을 나타내는 타임 스탬프
- end_time: 공격이 종료 된 시간을 나타내는 타임 스탬프. 경보를 전송할 때 공격이 계속 발생하면이 필드는 비어있을 수 있습니다.
- attack_rate: 공격 트래픽의 PPS
- attack_speed: 공격 트래픽의 bps
- rule_id: 트리거되는 규칙의 ID입니다.
- rule_name: 트리거되는 규칙의 이름
- 프로필: 트래픽이 일치하는 보안 프로필입니다.
세션 테이블 이벤트(session Table Event)
아래와 같은 정보가 세션 테이블 이벤트에 포함될 수 있다.
- event_name: 'SESSION_USAGE_HIGH'
- current: 동시 세션 수
- max: 세션 테이블이 지원할 수있는 최대 세션 수
- threshold: 이벤트를 트리거하는 임계 값
- 메시지: '세션 테이블의 수가 임계 값을 초과했습니다.'
바이러스 이벤트(Virus Event)
아래와 같은 정보가 바이러스 이벤트에 포함될 수 있다.
- event_Name : 'SEC_EVENT_VIRUS'
- virus_type : 바이러스 유형 (예 : 트로이 목마, 웜, 매크로) 바이러스 유형, 바이러스 이름
- dst_ip : 바이러스가 발견 된 패킷의 대상 IP 주소
- src_ip : 바이러스가 발견 된 패킷의 소스 IP 주소
- src_port : 바이러스가 발견 된 패킷의 소스 포트
- dst_port : 바이러스가 발견 된 패킷의 대상 포트
- src_zone : 바이러스가 발견 된 패킷의 소스 보안 영역
- dst_zone : 바이러스가 발견 된 패킷의 대상 보안 영역
- file_type : 바이러스가 숨겨진 파일의 유형
- file_name : 바이러스가 숨겨진 파일의 이름
- virus_info : 바이러스의 간단한 소개
- raw_info : 이벤트를 트리거하는 패킷을 설명하는 정보.
- rule_id : 트리거되는 규칙의 ID입니다.
- rule_name : 트리거되는 규칙의 이름
- 프로필 : 트래픽이 일치하는 보안 프로필입니다.
침입 이벤트(Intrusion Event)
- Intrustion Event에는 다음 정보가 포함되어야합니다.
- event_name: 이벤트 이름 : 'SEC_EVENT_Intrusion'
- sub_attack_type: 공격 유형, 예 : 잔인한 힘, 버퍼 오버 플로우
- src_ip: 패킷의 소스 IP 주소
- dst_ip: 패킷의 목적지 IP 주소
- src_port: 패킷의 소스 포트 번호
- dst_port : 패킷의 목적지 포트 번호
- src_zone: 패킷의 소스 보안 영역
- dst_zone: 패킷의 대상 보안 영역
- 프로토콜: 사용 된 전송 계층 프로토콜, 예를 들어, TCP, UDP
- app: 채용 된 애플리케이션 계층 프로토콜 (예를 들면: HTTP, FTP)
- rule_id: 트리거 되는 규칙의 ID입니다.
- rule_name: 트리거 되는 규칙의 이름
- 프로필: 트래픽이 일치하는 보안 프로필
- intrusion_info: 침입에 대한 간단한 설명
- raw_info: 이벤트를 트리거 하는 패킷을 설명하는 정보.
봇넷 이벤트(Botnet Event)
아래와 같은 정보는 봇넷 이벤트에 포함될 수 있다.
- event_name : 이벤트 이름 : 'SEC_EVENT_Botnet'
- botnet_name : 탐지 된 봇넷의 이름
- src_ip : 패킷의 소스 IP 주소
- dst_ip : 패킷의 목적지 IP 주소
- src_port : 패킷의 소스 포트 번호
- dst_port : 패킷의 목적지 포트 번호
- src_zone : 패킷의 소스 보안 영역
- dst_zone : 패킷의 대상 보안 영역
- 프로토콜 : 사용 된 전송 계층 프로토콜, 예를 들어, TCP, UDP
- app : 채용 된 애플리케이션 계층 프로토콜 (예 : HTTP, FTP)
- 역할 : 봇넷 내 통신 당사자의 역할 :
1. 좀비 호스트에서 공격자까지의 패킷
2. 공격자에서 좀비 호스트로 가는 패킷
3. IRC / WEB 서버에서 좀비 호스트로 가는 패킷
4. 좀비 호스트에서 IRC / WEB 서버로 보내는 패킷
5. 공격자에서 IRC / WEB 서버로 보낸 패킷
6. IRC / WEB 서버에서 공격자로 가는 패킷
7. 좀비 호스트에서 희생자까지의 패킷
- botnet_info : Botnet에 대한 간단한 설명
- rule_id : 트리거 되는 규칙의 ID입니다.
- rule_name : 트리거 되는 규칙의 이름
- 프로필: 트래픽이 일치하는 보안 프로필
- raw_info : 이벤트를 트리거 하는 패킷을 설명하는 정보
웹 공격 이벤트(Web Attack Event)
아래와 같은 정보가 웹 공격 이벤트에 포함될 수 있다.
- event_name : 이벤트 이름 : 'SEC_EVENT_WebAttack'
- sub_attack_type : 구체적인 웹 공격 유형 (예 : sql injection, command injection, XSS, CSRF)
- src_ip : 패킷의 소스 IP 주소
- dst_ip : 패킷의 목적지 IP 주소
- src_port : 패킷의 소스 포트 번호
- dst_port : 패킷의 목적지 포트 번호
- src_zone : 패킷의 소스 보안 영역
- dst_zone : 패킷의 대상 보안 영역
- req_method : 요구 사항의 방법. 예를 들어 HTTP에서 'PUT'또는 'GET'
- req_url : 요청 된 URL
- url_category : 일치하는 URL 카테고리
- filtering_type : 블랙리스트, 허용 목록, 사용자 정의, 미리 정의된, 악의적인 카테고리, 알 수없는 URL 필터링 유형
- rule_id : 트리거되는 규칙의 ID입니다.
- rule_name : 트리거되는 규칙의 이름
- 프로필 : 트래픽이 일치하는 보안 프로필입니다.
NSF 로그(NSF Logs)
DDoS 로그(DDoS Logs)
DDoS 경보의 필드 외에도 필드 외에도 아래와 같은 정보가 DDoS 로그에 포 함될 수 있다.
- 공격 유형 : DDoS
- attack_ave_rate : 기록 된 시간 내에 공격 트래픽의 평균 pps
- attack_ave_speed : 기록 된 시간 내에 공격 트래픽의 평균 bps
- attack_pkt_num : 기록 된 시간 내의 공격 패킷 수
- attack_src_ip : 공격 트래픽의 소스 IP 주소입니다. 많은 양의 IP 주소가 있는 경우 다른 규칙에 따라 특정 수의 자원을 선택.
- 액션 : DDoS 공격 (예를 들면: 허용, 경고, 차단, 폐기, 선언, 차단 IP, 차단 서비스)에 대한 작업.
바이러스 로그(Virus Logs)
바이러스 경보의 필드 외에도 아래와 같은 정보가 바이러스 로그에 포함될 수 있다,
- 공격 유형 : 바이러스
- 프로토콜 : 전송 계층 프로토콜
- app : 응용 프로그램 계층 프로토콜의 이름
- times : 바이러스 탐지 시간
- 액션 : 바이러스를 다루는 액션 (예 : 경고, 차단)
- os : 바이러스가 영향을 미치는 OS (예 : all, android, ios, unix, windows).
침입 로그(Intrusion Logs)
침입 경보의 필드 외에도 아래와 같은 정보가 침입 로그에 포함도리 수 있다.
- 공격 유형 : 침입
- 시간 : 기록된 시간에 침입 시간이 발생했습니다.
- os : 침입에 영향을 주는 OS입니다 (예 : all, android, ios, unix, windows).
- 액션 : 침입을 다루는 액션들, 예를 들어 허용, 경고, 차단, 폐기, 선언, 차단 -IP, 차단 - 서비스
- attack_rate : 공격 트래픽의 pps NUM
- attack_speed : NUM 공격 트래픽의 bps
봇넷 로그(Botnet Logs)
Botnet Alarm의 필드 외에도 아래와 같은 정보가 봇넷 로그에 포함될 수 있다.
- attack_type : 봇넷
- botnet_pkt_num : 탐지된 봇넷으로 보내거나 받은 패킷 수
- 액션 : 탐지된 패킷을 처리하는 액션 (예 : 허용, 경고, 차단, 폐기, 선언, 차단 IP, 차단 서비스, 기타
- os : 공격 대상인 모든 OS, 예를 들어, android, ios, unix, windows 등
DPI 로그(DPI Logs)
DPI 로그는 업로드 및 다운로드 된 파일 및 데이터, 전송 및 수신 된 전자 메일에 대한 통계를 제공하고 웹 사이트에 기록을 경고하고 차단할 수 있다.
- 유형 : DPI 작업 유형. 예 : 파일 차단, 데이터 필터링, 애플리케이션 동작 제어
- file_name : 파일 이름
- file_type : 파일 형식
- src_zone : 트래픽 소스 보안 영역
- dst_zone : 트래픽의 대상 보안 영역
- src_region : 트래픽 소스 영역
- dst_region : 트래픽의 대상 영역
- src_ip : 트래픽 소스 IP 주소
- src_user : 트래픽을 생성 한 사용자
- dst_ip : 트래픽의 대상 IP 주소
- src_port : 트래픽 소스 포트
- dst_port : 트래픽의 대상 포트
- 프로토콜 : 트래픽의 프로토콜 유형
- 앱 : 트래픽의 애플리케이션 유형
- policy_id : 트래픽이 일치하는 보안 정책 ID
- policy_name : 트래픽이 일치하는 보안 정책 이름
- 동작 : 트래픽이 일치하는 파일 차단 규칙, 데이터 필터링 규칙 또는 응용 프로그램 동작 제어 규칙에 정의된 작업이다.
Vulnerabillity 검색 로그
취약점 검색 로그에는 피해 호스트 및 관련 취약점 정보가 기록되어야 한다. 다음 정보가 보고서에 포함 되어야 합니다.
- victim_ip : 취약성이 있는 희생 된 호스트의 IP 주소
- 취약점 ID : 취약점 ID
- vulnerability_level : 취약점 수준. 예 : 높음, 낮음, 낮음
- 운영 체제 : 대상 호스트의 운영 체제
- 서비스 : 피해자 호스트에 취약성이 있는 서비스
- protocol : 프로토콜 유형. 예 : TCP, UDP
- port : 포트 번호
- vulnerability_info : 취약점에 대한 정보
- fix_suggestion : 취약점에 대한 수정 제안.
- 8.6.7. 웹 공격 로그
- 웹 공격 경보의 필드 외에도 다음 정보가 웹 공격 보고서에 포함되어야 한다.
- attack_type : 웹 공격
- rsp_code : 응답 코드
- req_clientapp : 클라이언트 응용 프로그램
- req_cookies : 쿠키
- req_host : 요청한 호스트의 도메인 이름
- raw_info : 이벤트를 트리거 하는 패킷을 설명하는 정보.
NSF 카운터(NSF Counter)
방화벽 카운터(Firewall Counters)
방화벽 카운터는 트래픽 서명, 대역폭 사용 및 구성된 보안 및 대역폭 정책이 어떻게 적용되었는지에 대한 가시성을 제공합니다.
- src_zone : 트래픽 소스 보안 영역
- dst_zone : 트래픽의 대상 보안 영역
- src_region : 트래픽 소스 영역
- dst_region : 트래픽의 대상 영역
- src_ip : 트래픽 소스 IP 주소
- src_user : 트래픽을 생성 한 사용자
- dst_ip : 트래픽의 대상 IP 주소
- src_port : 트래픽 소스 포트
- dst_port : 트래픽의 대상 포트
- 프로토콜 : 트래픽의 프로토콜 유형
- 앱 : 트래픽의 애플리케이션 유형
- policy_id : 트래픽이 일치하는 보안 정책 ID
- policy_name : 트래픽이 일치하는 보안 정책 이름
- in_interface : 트래픽의 인바운드 인터페이스
- out_interface : 트래픽의 아웃 바운드 인터페이스
- total_traffic : 총 트래픽 양
- in_traffic_ave_rate : 인바운드 트래픽 평균 요금 (pps)
- in_traffic_peak_rate : 인바운드 트래픽 피크 속도 (pps)
- in_traffic_ave_speed : 인바운드 트래픽 평균 속도 (bps)
- in_traffic_peak_speed : 인바운드 트래픽 최고 속도 (bps)
- out_traffic_ave_rate : 아웃 바운드 트래픽 평균 요금 (pps)
- out_traffic_peak_rate : 아웃 바운드 트래픽 피크 속도 (pps)
- out_traffic_ave_speed : 아웃 바운드 트래픽 평균 속도 (bps)
정책 방문 횟수 카운터(Policy Hit Counters)
정책 적중 카운터는 트래픽이 일치하는 보안 정책과 적중 횟수를 기록합니다. 정책 구성이 올바른지 확인할 수 있습니다.
- src_zone : 트래픽 소스 보안 영역
- dst_zone : 트래픽의 대상 보안 영역
- src_region : 트래픽 소스 영역
- dst_region : 트래픽의 대상 영역
- src_ip : 트래픽 소스 IP 주소
- src_user : 트래픽을 생성 한 사용자
- dst_ip : 트래픽의 대상 IP 주소
- src_port : 트래픽 소스 포트
- dst_port : 트래픽의 대상 포트
- 프로토콜 : 트래픽의 프로토콜 유형
- 앱 : 트래픽의 애플리케이션 유형
- policy_id : 트래픽이 일치하는 보안 정책 ID
- policy_name : 트래픽이 일치하는 보안 정책 이름
- hit_times: 보안 정책이 지정된 트래픽과 일치하는 횟수.
도 20a 내지 도 20j는 본 명세서의 일 실시 예에 따른 NSF 모니터링을 위한 데이터 모델을 예시한다.
도 20a 내지 도 20j를 참조하면, 앞에서 살펴본 NSF를 모니터링하기 위한 정보 모델을 이용하여 데이터 모델을 설계할 수 있다.
도 21a 내지 도 22i는 본 명세서의 일 실시 예에 따른 모니터링을 위한 YANG 데이터 모델을 예시한다.
NSF 모니터링이 포괄적인 방법으로 수행되는 경우, 악의적인 활동, 비정상적인 행동 또는 잠재적 인 서비스 거부 공격의 징후를 적시에 감지 할 수 있다. 이러한 모니터링 기능은 앞에서 살펴본 NSF가 생성한 모니터링 정보를 기반으로 합니다.
따라서, 본 명세서는 NSF 모니터링을 위한 정보 모델을 지정하는 데이터 모델 구조 트리뿐만 아니라 NSF 모니터링을 위한 해당 YANG 데이터 모델을 설계하는 방법을 제안한다.
도 21a 내지 도 22i를 참조하면 앞에서 살펴본 NSF 모니터링을 위한 정보 모델 및 데이터 모델을 이용하여 해당 YANG 데이터 모델을 설계할 수 있다.
소비자-직면 인터페이스(Consumer-facing interface)를 위한 보안 정책의 데이터 모델
소비자-직면 인터페이스를 위한 보안 정책의 데이터 모델의 목적은 I2NSF 사용자의 고수준 보안 정책에 대한 I2NSF 사용자와 보안 제어기 사이의 소비자-직면 인터페이스를 통해, 제어 및 관리 메시지를 전달하는데 사용할 수 있는 YANG 데이터 모델로 정보 모델(client-facing-inf-im)을 변환하는 것이다.
따라서 이러한 데이터 모델은 소비자-직면 인터페이스의 정보 모델과 일치해야 한다. YANG 데이터 모델은 제어 또는 관리 메시지의 효율적인 전달을 위해. 상기 정보 모델의 변환을 실시할 수 있다.
상기 데이터 모델은 보안요구에 따라 확장될 수 있는 I2NSF 시스템을 지원하도록 설계되었다. 즉, 상기 데이터 모델의 설계는 특정 정책들, 구현방식에 독립적이다.
도 22는 본 명세서가 작용될 수 있는 소비자-직면 인터페이스를 위한 고수준 추출의 예시이다.
도 22를 참조하면, 멀티-테넌시(Multi-tenancy)는 어플리케이션 리소스를 관리하기 위한 여러 관리 도메인을 허용할 수 있다. Enterprise group은 HR, 재무 및 법률과 같은 여러 테넌트 또는 부서를 포함할 수 있다. 따라서, 자체적인 보안 정책을 관리하고자 하는 조직의 사용자에게 할당될 수 있는 권한(permission)들의 집합을 정의하기 위한 객체가 요구된다. 이는 정책의 사용자들에게 조직 내의 작업 기능 또는 권한들의 집합을 할당하는 작업을 의미할 수 있다. 정책-역할(role)의 객체는 보안 정책 관리 권한에 관한 권한을 부여하거나, 거부하기 위해 이름, 날짜 및 엑세스 프로파일을 포함한다.
도 22a 내지 도 22d는 본 명세서의 일 실시 예에 따른 소비자-직면 인터페이스를 위한 보안 정책의 데이터 모델을 예시한다. 도 32a 내지 도 32d를 참조하면, 전술한 소비자-직면 인터페이스를 위한 보안 정책의 데이터 모델을 설계할 수 있다.
도 23은 본 명세서의 일 실시예에 따른 소비자-직면 인터페이스의 보안 정책을 위한 YANG 데이터 모델을 예시한다. 도 23를 참조하면, 전술한 소비자-직면 인터페이스의 보안 정책을 위한 YANG 데이터 모델을 설계할 수 있다.
또한, 본 명세서는 I2NSF(Interface to Network Security Functions) 시스템에서 보안 정책 변환기의 설계를 제안한다.
I2NSF 사용자는 NSF(Network Security Functions)에 대한 전반적인 지식이 없어도 NSF를 사용할 수 있어야 한다. 일반적으로 I2NSF 사용자로부터 생성되는 정책은 사용자가 정책을 생성할 때, NSF의 속성을 고려하지 않기 때문에, 추상적인 데이터를 포함하고 있다. 따라서 I2NSF 시스템은 보안 컨트롤러는 사용자로부터 보안 정책을 수신하는 경우, 정책에 필요한 NSF를 자동으로 찾아서 선택한 NSF에 대해 번역하는 번역기를 필요로 한다. 본 명세서에서는 오토마타(Automata) 이론을 통해 번역기를 모듈화하는 모델을 제안한다. 보다 자세하게 본 명세서는 I2NSF를 통해 사용자는 고수준 보안 정책을 생성하여, 보안 컨트롤러에 전달하고, 보안 컨트롤러의 보안 정책 번역기는 대상 NSF를 검색하며, 검색한 NSF 각각에 대응하는 하위수준의 정책으로 변환함으로써, I2NSF에 관련된 모든 작업 기능을 설정하는 모델을 제안한다.
이를 통해, 본 명세서는 I2NSF 사용자와 시스템 관리자 모두에게 네트워크 보안 기능 이용의 편리함을 제공할 수 있으며, I2NSF 사용자는 NSF의 기능을 알고 있을 필요가 없으며, 시스템 관리자는 정책 변환 프로세스를 유연하게 관리할 수 있다.
정책 전달자(Translator)의 필요성
도 24 및 도 25는 본 명세서가 적용될 수 있는 보안 정책의 예시이다.
예를 들어, 특정 악성 웹사이트를 차단하기 위한 정책으로서,
- 아들의 컴퓨터를 악성 웹사이트로부터 차단(도 24)
- IP 주소 10.0.0.1 및 10.0.0.3에서 www.malicious.com 및 www.illegal.com으로 패킷을 삭제(도 25)
라는 정책이 있는 경우, 상기 2가지 정책은 동일한 동작을 요구하지만, 웹 사이트 차단 기능을 지원하는 웹 필터 NSF의 동작을 위해서는 최소한 소스-IP 주소와 웹 사이트 주소가 필요하므로, NSF는 첫번째 정책에 적합한 동작이 불가능하다.
반면에, 일반 사용자가 두번째 정책을 생성하기 위해서는 정책 설정을 위한 웹 필터 NSF를 사용하고, NSF에 소스-IP 주소와 웹 사이트 주소가 전달되어야 한다는 것을 알고 있는 경우에만 가능하다. 따라서, 일반 사용자는 NSF를 전문적으로 이해하고 있어야만 한다.
따라서, 일반 사용자는 첫번째 정책을 생성하는 반면, NSF는 두번째 정책을 필요로 할 것이다. 본 명세서에서는 첫번째 정책과 같이, 추상적인 데이터를 포함하며, NSF의 특별한 지식이 요구되지 않는 정책을 고수준 보안 정책(또는 고수준 정책)이라 한다. 이와 달리, NSF에서 요구되는 상세한 데이터를 포함하며, 네트워크 운영에 필요한 모든 기능을 설정할 수 있는 정책을 저수준 보안 정책(저수준 정책)이라 한다.
따라서, I2NSF 시스템은 고수준 보안 정책을 저수준 보안 정책으로 변환할 수 있어야 하며, 또한 I2NSF 시스템은 고수준 보안 정책을 적용하기 위해, 적절한 NSF를 자동으로 찾을 수 있어야 한다.
정책 적용 절차(Process of Applying Policy)
도 26은 본 명세서가 적용될 수 있는 정책 적용을 위한 절차의 예시이다.
개발자 관리 시스템은 I2NSF 시스템에 제공되는 NSF의 모든 기능들을 보안 제어기(Security controller)에 등록한다(S2610).
I2NSF 사용자는 고수준 보안 정책을 생성하고, I2NSF 사용자는 소비자-직면 인터페이스를 이용하여, 보안 제어기에 고수준 보안 정책을 전달한다(S2620).
보안 제어기는 등록된 NSF의 능력을 비교하여,고수준 보안 정책을 커버할 수 있는 대상(Target) NSF를 검색한다(S2630).
보안 제어기는 고수준 보안 정책을 검색된 대상 NSF를 위한 저수준 보안 정책으로 변환하고, NSF-직면 인터페이스를 통해 대상 NSF로 전달한다(S2640). 보다 자세하게는 저수준 보안 정책과 관련된 데이터를 생성하고, 이를 대상 NSF로 전달할 수 있다.
보안 제어기는 대상 NSF를 수신한 저수준 보안 정책에 따라 설정한다(S2650). 보다 자세하게는 저수준 보안 정책과 관련된 데이터에 근거하여, 대상 NSF를 설정할 수 있다.
상기 보안 제어기의 동작은 사용자의 설정 또는 설계에 따라, 후술할 보안 정책 번역기의 동작에 의해 수행될 수 있다.
보안 정책 번역기
도 27은 본 명세서가 적용될 수 있는 보안 정책 번역기 모델의 예시이며, 도 28은 본 명세서가 적용될 수 있는 보안 정책 번역기의 보안 정책 번역을 위한 순서도이다.
도 27을 참조하면, 보안 정책 번역기는 추출기, 데이터 변환기 및 생성기를 포함한다. 또한, 보안 정책 번역기는 보안 제어기에 포함될 수 있다.
I2NSF 사용자가 고수준 정책을 생성하여, 보안 제어기에 전달하는 경우, 보안 제어기는 대상 NSF를 검색하고, 대상 NSF에 대한 저수준 정책으로 변환할 수 있다. 도 28을 참조하여, 보다 자세하게 보안 정책 번역을 위한 방법을 설명하면 다음과 같다.
I2NSF 사용자로부터 고수준 정책을 수신하면, 정책 변역기의 추출기(Extractor)는 DFA(Deterministic Finite Automation)를 통해 고수준 정책의 데이터를 추출한다(S2810).
정책 번역기의 데이터 변환기(Data Converter)는 추출된 데이터를 NSF 필수 데이터(NSF Required Data)로 변환한다(S2820). NSF 필수 데이터로의 변환은 NSF database의 데이터와의 비교를 통해 수행될 수 있다. 보다 자세하게는 추출된 추상 데이터는 NSF database내의 데이터와 매핑과정을 통해, NSF 필수 데이터로 변환될 수 있다. NSF database는 NSF가 기능하기 위한, 필수 데이터를 포함하며, NSF 가 추가 또는 삭제되는 경우, NSF database는 갱신될 수 있다. 이를 통해, I2NSF에서 고수준 정책은 적합한 NSF 를 위한 필수 데이터로 변환될 수 있고, 다양한 NSF들이 추가되거나 삭제되더라도, NSF database를 통해, 동일한 알고리즘으로 고수준 정책의 번역이 수행될 수 있다.
정책 번역기의 생성기(Generator)는 NSF 필수 데이터를 이용하여, 대상 NSF를 검색하고, 대상 NSF에 대응되는 저수준 정책을 생성한다(S2830). 보다 자세하게는 저수준 정책을 위한 데이터를 생성할 수 있으며, 저수준 정책을 위한 데이터는 대상 NSF를 위한 구조 또는 내용을 포함할 수 있고, 태그(Tag)를 통해, 그룹화될 수 있다.
추출기(Extractor)
도 29는 본 명세서가 적용될 수 있는 추출기 모델의 예시이다. 보다 자세하게는 도 29는 DFA에 기초한 추출기 모델의 예시이다.
DFA는 유한 상태 머신(Finite State Machine)으로 문자열을 수신하고, 상태전환을 위한 작업을 생성할 수 있다. 보안 제어기가 고수준 정책을 수신한 경우, 추출기는 XML(Extensible Markup Language) 태그에 근거한 상태 전환에 의해 데이터를 추출할 수 있다. 고수준 정책의 상태 전환이 이루어진 경우, 모든 데이터는 고수준 정책으로부터 자동적으로 추출될 수 있다.
추출기의 DFA 구조는 소비자-직면 데이터 모델의 계층을 따르므로, I2NSF 관리 시스템은 소비자-직면 인터페이스의 데이터 모델을 참조하여 DFA를 쉽게 생성할 수 있다. 만일, 소비자-직면 인터페이스의 데이터 모델이 수정될 경우, 관리 시스템은 추출기의 DFA만을 변경함으로써 수정된 데이터 모델을 적용할 수 있다.
데이터 변환기(Data Converter)
도 30은 본 명세서에 적용될 수 있는 데이터 변환기 모델의 예시이다. 데이터 변환기는 NSF 능력(capabilities)과 호환되도록 데이터를 지정할 수 있다. 사용자가 지정되지 않은 데이터가 있는 정책을 NSF에 입력하는 경우, NSF는 데이터를 정상적으로 인식할 수 없다. 예를 들어, "아들 컴퓨터"의 데이터가 NSF에 전송되는 경우, 이는 IP 주소 또는 이와 유사한 것으로 지정되지 않은 데이터이므로 NSF는 이를 인식할 수 없다. NSF가 이해하기 위해서는 일반적으로, 추상 데이터는 NSF 능력에 적합한 지정된 데이터로 변환되어야 한다.  이를 위해, 데이터 변환기는 NSF 능력이 포함된 데이터베이스의 데이터와 비교를 통해, 이와 동등한 데이터로 변환할 필요가 있다. 도 30은 이러한 데이터베이스의 데이터와의 비교에 근거한, 데이터 변환 과정을 예시한다. 도 30을 참조하면, 추상 데이터인 'Son'은 사용자 데이터 베이스의 IP 목록과 비교를 통해, 특정 IP 주소[10.0.0.1, 10.0.0.3]로 매핑될 수 있다. 데이터 변환기를 통해, 고수준 정책의 모든 데이터는 NSF 능력과 호환되는 동등한 지정된 데이터로 변환될 수 있다.
생성기(Generator)
생성기는 대상 NSF를 자동으로 검색할 수 있고, 각 대상 NSF을 위한 저수준 정책을 생성할 수 있다.
먼저, 생성기는 고수준 정책의 모든 기능을 커버할 수 있는 NSF를 검색할 수 있다. 생성기는 개발자 관리 시스템에 등록된 NSF 기능을 비교하여 대상 NSF를 검색한다. 이러한 프로세스는 생성기가 오직 정책만을 이용하여, 적절한 NSF를 찾기 때문에, 프로비저닝(provisioning)된 정책에 의해 호출될 수 있다. 만일, 사용자 정책에 포함되지 않은 다른 데이터를 이용하여 대상 NSF를 찾을 경우, 이는 사용자가 I2SNF 시스템의 NSF에 대한 지식을 알고 있음을 의미할 수 있다. 도 31은 본 명세서가 적용될 수 있는 정책 프로비저닝의 예시이다. 도 31을 참조하면, 생성기는 정책의 기능들을 커버하기 위해, 방화벽(Firewall) NSF 및 웹-필터 NSF를 선택한다.
다음으로, 생성기는 추출된 데이터를 사용하여 각 대상 NSF에 대해 저수준 정책을 만들 수 있다. 생성기는 Context-free 문법(Grammar)을 이용하여, 구성될 수 있다. Context-free 문법은 주어진 형식 언어로 가능한 모든 문자열을 설명할 수 있는 프로덕션(production) 규칙의 집합을 의미한다. 저수준의 정책은 또한 NSF-직면 인터페이스의 YANG 데이터 모델에 기반한 자체 언어를 가질 수 있다. 따라서 이러한 프로덕션은 YANG 데이터 모델을 기반으로 구성될 수 있다. 상기 프로덕션은 "컨텐츠 프로덕션"과 "구조 프로덕션"을 포함한다. “컨텐츠 프로덕션”은 적절한 XML 태그에 데이터를 포함시키기 위한 것이다. “구조 프로덕션”은 다른 태그를 그룹화하기 위한 것이다. 도 25를 참조하면, 저수준의 정책이 크게 두 가지 유형의 태그로 구성되어 있음을 알 수 있다. 데이터가 들어 있는 태그는 컨텐츠 프로덕션으로 만들 수 있고, 다른 태그를 묶는 태그는 구조 프로덕션으로 만들 수 있다.
컨텐츠 프로덕션은 예를 들어 표 2과 같이 표현될 수 있다.
Figure 112019103319494-pat00002
표 2를 참조하면, 대괄호는 상태를 의미한다. 보다 자세하게는 대괄호가 없는 경우, 문자열은 완전히 생성됨을 의미한다.  태그 복제가 허용되는 경우, 프로덕션 규칙에 첫 번째 프로덕션(1)을 추가할 수 있다. 이것은 선택적인 프로덕션이므로, 복제를 허용할 필요가 없다면, 생략될 수 있다. 프로덕션(2)은 “콘텐츠 프로덕션”의 주 프로덕션이다. 데이터가 들어 있는 태그는 프로덕션(2)을 통해 생성할 수 있다. 프로덕션(3)은 태그에 데이터를 주입하기 위한 것이다. NSF에 대한 데이터가 변경되면, I2NSF 관리 시스템에게는 각 NSF에 대한 데이터 매핑을 위해, 프로덕션(3)만의 변경이 요구된다. 예를 들어, 소스-IP 주소에 대한 저수준 정책을 도 25에서 표현하고자 할 경우, 다음의 표 3과 같이 “컨텐츠 프로덕션”을 구성할 수 있다.
Figure 112019103319494-pat00003
“구조 프로덕션”은 예를 들어 다음의 표 4와 같이 표시될 수 있다.
Figure 112019103319494-pat00004
프로덕션 (7)은 다른 태그를 자체 태그 이름으로 그룹화하는 것을 의미한다. 그리고 프로덕션 (8)은 프로덕션 (7)에 묶인 여러 상태를 구조 상태 또는 내용 상태로 이전하는 것을 나타낸다. 예를 들어, 도 25에서 I2NSF 태그에 대한 저수준의 정책을 표현하려면 표 5와 같이 “구조 프로덕션”을 구성할 수 있다.
Figure 112019103319494-pat00005
도 32는 본 명세서가 적용될 수 있는 NSF-직면 인터페이스 YANG 데이터 모델에 근거한 트리구조의 예시이다.  I2NSF 관리 시스템이 Context-free 문법을 기반으로 생성기를 구성하는 경우, 각 대상 NSF는 대상 NSF에 필요한 모든 데이터를 포함하는 저수준 정책을 수신할 수 있다.
도 1 내지 도 32에서 설명한 정보 모델, 데이터 모델 및 YANG 데이터 모델은 선택적으로 조합되어 사용될 수 있다.
이상에서 설명된 실시 예들은 본 명세서의 구성요소들과 특징들이 소정 형태로 결합된 것들이다. 각 구성요소 또는 특징은 별도의 명시적 언급이 없는 한 선택적인 것으로 고려되어야 한다. 각 구성요소 또는 특징은 다른 구성요소나 특징과 결합되지 않은 형태로 실시될 수 있다. 또한, 일부 구성요소들 및/또는 특징들을 결합하여 본 명세서의 실시 예를 구성하는 것도 가능하다. 본 명세서의 실시 예들에서 설명되는 동작들의 순서는 변경될 수 있다. 어느 실시예의 일부 구성이나 특징은 다른 실시 예에 포함될 수 있고, 또는 다른 실시예의 대응하는 구성 또는 특징과 교체될 수 있다. 특허청구범위에서 명시적인 인용 관계가 있지 않은 청구항들을 결합하여 실시 예를 구성하거나 출원 후의 보정에 의해 새로운 청구항으로 포함시킬 수 있음은 자명하다.
본 명세서에 따른 실시 예는 다양한 수단, 예를 들어, 하드웨어, 펌웨어(firmware), 소프트웨어 또는 그것들의 결합 등에 의해 구현될 수 있다. 하드웨어에 의한 구현의 경우, 본 명세서의 일 실시 예는 하나 또는 그 이상의 ASICs(application specific integrated circuits), DSPs(digital signal processors), DSPDs(digital signal processing devices), PLDs(programmable logic devices), FPGAs(field programmable gate arrays), 프로세서, 콘트롤러, 마이크로 콘트롤러, 마이크로 프로세서 등에 의해 구현될 수 있다.
펌웨어나 소프트웨어에 의한 구현의 경우, 본 명세서의 일 실시 예는 이상에서 설명된 기능 또는 동작들을 수행하는 모듈, 절차, 함수 등의 형태로 구현될 수 있다. 소프트웨어 코드는 메모리에 저장되어 프로세서에 의해 구동될 수 있다. 상기 메모리는 상기 프로세서 내부 또는 외부에 위치하여, 이미 공지된 다양한 수단에 의해 상기 프로세서와 데이터를 주고 받을 수 있다.
본 명세서는 본 명세서의 필수적 특징을 벗어나지 않는 범위에서 다른 특정한 형태로 구체화될 수 있음은 당업자에게 자명하다. 따라서, 상술한 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니 되고 예시적인 것으로 고려되어야 한다. 본 명세서의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 명세서의 등가적 범위 내에서의 모든 변경은 본 명세서의 범위에 포함된다.
본 명세서는 다양한 보안 관리 시스템에 적용될 수 있다.

Claims (20)

  1. 네트워크 보안 기능 인터페이스를 위한 정책 번역기(Policy Translator)의 보안 정책을 번역하기 위한 방법에 있어서,
    I2NSF(Interface to Network Security Functions) 사용자로부터 상위 레벨(High-Level)의 제1 보안 정책을 수신하는 단계;
    상기 제1 보안 정책에 근거하여, 상기 제1 보안 정책과 관련된 데이터를 추출하는 단계;
    상기 제 1 보안 정책과 관련된 데이터를 NSF(Network Security Function)를 위한 필수 데이터로 변환하는 단계;
    상기 필수 데이터에 근거하여, 제2 보안 정책과 관련된 데이터를 생성하는 단계; 및
    상기 제2 보안 정책과 관련된 데이터에 근거하여, 대상(Target) NSF를 검색하고, 상기 대상 NSF와 관련된 하위 레벨(Low-level)의 제2 보안 정책을 생성하는 단계;
    를 포함하되,
    상기 정책 번역기와 상기 I2NSF 사용자는 사용자-직면 인터페이스로 연결되며, 상기 정책 번역기와 상기 NSF는 NSF-직면 인터페이스로 연결되는 보안 정책을 번역하기 위한 것이며,
    상기 제2 보안 정책과 관련된 데이터는 상기 대상 NSF를 위한 구조 또는 내용을 포함하고, 태그(Tag)를 통해 그룹화되며,
    상기 제2 보안 정책은
    1) 데이터가 들어 있는 태그와 관련된 컨텐츠 프로덕션 및 2) 다른 태그를 묶는 태그와 관련된 구조 프로덕션을 포함하고,
    상기 컨텐츠 프로덕션은 다음의 제1 규칙 :
    Figure 112020103438836-pat00175
    에 근거하여 구성되며,
    상기 구조 프로덕션은 다음의 제2 규칙 :
    Figure 112020103438836-pat00176
    에 근거하여 구성되는 방법.
  2. 삭제
  3. 제1항에 있어서,
    상기 제2 보안 정책과 관련된 데이터를 상기 NSF-직면 인터페이스를 통해, 상기 대상 NSF로 전달하는 단계;
    를 더 포함하는 방법.
  4. 제3항에 있어서,
    상기 제2 보안 정책과 관련된 데이터에 근거하여, 상기 대상 NSF를 설정하는 단계;
    를 더 포함하는 방법.
  5. 제1항에 있어서,
    상기 제2 보안 정책은
    적용되는 정책 규칙, 및 일반적인 보안 기능을 위한 동작을 나타나내는 기본 동작 정보를 포함하는 방법.
  6. 제5항에 있어서,
    상기 정책 규칙은
    정책 정보 및 규칙 정보를 포함하며,
    상기 정책 정보 및 상기 규칙 정보는 시스템의 변경을 나타내는 이벤트 절(Event Clause), 정책 규칙의 적용 조건을 나타내는 조건 절(Condition Clause), 및 상기 이벤트 절 및 상기 조건 절을 만족할 때 수행되는 보안 기능을 나타내는 동작 절(Action Clause)을 포함하는 방법.
  7. 제1항에 있어서,
    제1 보안 정책과 관련된 데이터를 추출하는 단계는
    DFA(Deterministic Finite Automaton)를 이용하는, 방법.
  8. 제1항에 있어서,
    상기 필수 데이터로 변환하는 단계는
    NSF 데이터베이스를 이용하여, 상기 NSF 데이터베이스의 데이터와 매핑을 통해 수행되는, 방법.
  9. 제1항에 있어서,
    상기 대상 NSF는
    상기 제1 보안 정책을 모두 커버(cover)할 수 있는 능력(capability)을 갖는, 방법.
  10. 제1항에 있어서,
    상기 정책 번역기는
    상기 NSF의 모든 기능들이 등록된, 방법.
  11. 네트워크 보안 기능 인터페이스를 위한 보안 정책을 번역하는 정책 번역기(Policy Translator)에 있어서,
    I2NSF(Interface to Network Security Functions) 사용자로부터 수신된, 상위 레벨(High-Level)의 제1 보안 정책에 근거하여, 상기 제1 보안 정책과 관련된 데이터를 추출하는 추출기(Extractor);
    상기 제 1 보안 정책과 관련된 데이터를 NSF(Network Security Function)를 위한 필수 데이터로 변환하는 데이터 변환기(Data Converter); 및
    상기 필수 데이터에 근거하여, 제2 보안 정책과 관련된 데이터를 생성하고, 사익 제2 보안 정책과 관련된 데이터에 근거하여, 대상(Target) NSF를 검색하고, 상기 대상 NSF와 관련된 하위 레벨(Low-Level)의 제2 보안 정책을 생성하는 생성기(Generator);
    를 포함하되,
    상기 정책 번역기와 상기 I2NSF 사용자는 사용자-직면 인터페이스로 연결되며, 상기 정책 번역기와 상기 NSF는 NSF-직면 인터페이스로 연결되는 것이며,
    상기 제2 보안 정책과 관련된 데이터는 상기 대상 NSF를 위한 구조 또는 내용을 포함하고, 태그(Tag)를 통해 그룹화되며,
    상기 제2 보안 정책은
    1) 데이터가 들어 있는 태그와 관련된 컨텐츠 프로덕션 및 2) 다른 태그를 묶는 태그와 관련된 구조 프로덕션을 포함하고,
    상기 컨텐츠 프로덕션은 다음의 제1 규칙 :
    Figure 112020103438836-pat00177
    에 근거하여 구성되며,
    상기 구조 프로덕션은 다음의 제2 규칙 :
    Figure 112020103438836-pat00178
    에 근거하여 구성되는 정책 번역기.
  12. 삭제
  13. 제 11 항에 있어서,
    상기 제2 보안 정책과 관련된 데이터는
    상기 NSF-직면 인터페이스를 통해, 상기 대상 NSF로 전달되는 정책 번역기.
  14. 제 13 항에 있어서,
    상기 대상 NSF는
    상기 제2 보안 정책과 관련된 데이터에 근거하여, 설정되는 정책 번역기.
  15. 제 11 항에 있어서,
    상기 제2 보안 정책은
    적용되는 정책 규칙, 및 일반적인 보안 기능을 위한 동작을 나타나내는 기본 동작 정보를 포함하는 정책 번역기.
  16. 제 15 항에 있어서,
    상기 정책 규칙은
    정책 정보 및 규칙 정보를 포함하며,
    상기 정책 정보 및 상기 규칙 정보는 시스템의 변경을 나타내는 이벤트 절(Event Clause), 정책 규칙의 적용 조건을 나타내는 조건 절(Condition Clause), 및 상기 이벤트 절 및 상기 조건 절을 만족할 때 수행되는 보안 기능을 나타내는 동작 절(Action Clause)을 포함하는 정책 번역기.
  17. 제11항에 있어서,
    상기 추출기는
    DFA(Deterministic Finite Automaton)를 이용하여, 상기 제1 보안 정책과 관련된 데이터를 추출하는 정책 번역기.
  18. 제 11 항에 있어서,
    상기 데이터 변환기는
    NSF 데이터베이스를 이용하여, 상기 NSF 데이터베이스의 데이터와 매핑을 통해 상기 제 1 보안 정책과 관련된 데이터를 NSF(Network Security Function)를 위한 필수 데이터로 변환하는 정책 번역기.
  19. 제11항에 있어서,
    상기 대상 NSF는
    상기 제1 보안 정책을 모두 커버(cover)할 수 있는 능력(capability)을 갖는, 정책 번역기.
  20. 제11항에 있어서,
    상기 정책 번역기는
    상기 NSF의 모든 기능들이 등록된, 정책 번역기.
KR1020190125454A 2018-10-22 2019-10-10 네트워크 보안 기능 인터페이스를 위한 보안 정책 번역 KR102250147B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20180126339 2018-10-22
KR1020180126339 2018-10-22

Publications (3)

Publication Number Publication Date
KR20200045400A KR20200045400A (ko) 2020-05-04
KR102250147B1 true KR102250147B1 (ko) 2021-05-10
KR102250147B9 KR102250147B9 (ko) 2022-03-15

Family

ID=70732588

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190125454A KR102250147B1 (ko) 2018-10-22 2019-10-10 네트워크 보안 기능 인터페이스를 위한 보안 정책 번역

Country Status (1)

Country Link
KR (1) KR102250147B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102590288B1 (ko) * 2020-11-02 2023-10-19 성균관대학교산학협력단 클라우드 기반 보안 서비스에서 보안 관리 자동화를 수행하는 방법 및 시스템

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100617314B1 (ko) * 2004-11-11 2006-08-30 한국전자통신연구원 보안 라우터 시스템에서의 보안 정책 관리 방법 및 장치
US9858051B2 (en) * 2011-06-24 2018-01-02 Cavium, Inc. Regex compiler

Also Published As

Publication number Publication date
KR102250147B9 (ko) 2022-03-15
KR20200045400A (ko) 2020-05-04

Similar Documents

Publication Publication Date Title
US8874766B2 (en) System and method for flexible network access control policies in a network environment
US8548998B2 (en) Methods and systems for securing and protecting repositories and directories
US11388197B2 (en) I2NSF NSF monitoring YANG data model
KR102250147B1 (ko) 네트워크 보안 기능 인터페이스를 위한 보안 정책 번역
EP4128698A1 (en) Multiple sourced classification
KR102256641B1 (ko) I2nsf 네트워크 보안 기능에 직면한 인터페이스 yang 데이터 모델
US11792227B2 (en) I2NSF network security function facing interface YANG data model
US20220141256A1 (en) Method and system for performing security management automation in cloud-based security services
KR20190049579A (ko) 네트워크 보안 서비스를 제공하기 위한 방법 및 이를 위한 장치
KR102335012B1 (ko) I2nsf 네트워크 보안 능력에 직면한 인터페이스 yang 데이터 모델
Ramaki et al. Towards event aggregation for reducing the volume of logged events during IKC stages of APT attacks
US11516258B2 (en) I2NSF capability YANG data model
US11736526B2 (en) I2NSF consumer-facing interface YANG data model
Helmer Intelligent multi-agent system for intrusion detection and countermeasures
Trisolino Analysis of Security Configuration for IDS/IPS
KR102590288B1 (ko) 클라우드 기반 보안 서비스에서 보안 관리 자동화를 수행하는 방법 및 시스템
US11637865B2 (en) I2NSF registration interface yang data model
Friedberg et al. From monitoring, logging, and network analysis to threat intelligence extraction
Allegretta et al. Using CTI Data to Understand Real World Cyberattacks
Alharkan IDSaaS: Intrusion Detection system as a Service in public clouds
Jeong et al. CBSS: Cloud-Based Security System with Interface to Network Security Functions
Berger et al. Closing the loop: Network and in-host monitoring tandem for comprehensive cloud security visibility
KR20210012902A (ko) I2nsf 등록 인터페이스 yang 데이터 모델
Abusamrah et al. Next-Generation Firewall, Deep Learning Endpoint Protection and Intelligent SIEM Integration
Hubballi et al. Event Log Analysis and Correlation: A Digital Forensic Perspective

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
G170 Re-publication after modification of scope of protection [patent]