KR102260273B1 - 보안 정책 정보 가시화 장치, 보안 정책 정보 가시화 방법 및 보안 정책 정보를 가시화하는 프로그램을 저장하는 저장매체 - Google Patents

보안 정책 정보 가시화 장치, 보안 정책 정보 가시화 방법 및 보안 정책 정보를 가시화하는 프로그램을 저장하는 저장매체 Download PDF

Info

Publication number
KR102260273B1
KR102260273B1 KR1020190166140A KR20190166140A KR102260273B1 KR 102260273 B1 KR102260273 B1 KR 102260273B1 KR 1020190166140 A KR1020190166140 A KR 1020190166140A KR 20190166140 A KR20190166140 A KR 20190166140A KR 102260273 B1 KR102260273 B1 KR 102260273B1
Authority
KR
South Korea
Prior art keywords
information
security
security policy
access
visualization
Prior art date
Application number
KR1020190166140A
Other languages
English (en)
Inventor
김태용
이윤수
문형우
박건량
이혁로
송중석
최상수
김규일
권태웅
박학수
박진형
Original Assignee
한국과학기술정보연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국과학기술정보연구원 filed Critical 한국과학기술정보연구원
Priority to KR1020190166140A priority Critical patent/KR102260273B1/ko
Application granted granted Critical
Publication of KR102260273B1 publication Critical patent/KR102260273B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L67/36

Abstract

본 개시는 보안 정책 정보 가시화 장치, 보안 정책 정보 가시화 방법 및 보안 정책 정보를 가시화하는 프로그램을 저장하는 저장매체에 관한 것이다. 일 실시예는, 보안 장치에 설정된 보안 정책 정보에 따른 접근 제어 요소 정보를 추출하는 단계; 상기 추출된 접근 제어 요소 정보를 분석하여 상기 보안 정책 정보의 분석 정보를 생성하는 단계; 및 상기 생성된 보안 정책 정보의 분석 정보를 가시화 정보로 제공하는 단계;를 포함하는 보안 정책 정보 가시화 방법을 제공한다.

Description

보안 정책 정보 가시화 장치, 보안 정책 정보 가시화 방법 및 보안 정책 정보를 가시화하는 프로그램을 저장하는 저장매체{APPARATUS FOR VISUALIZING SECURITY POLICY INFORMATION, METHOD THEREOF, AND STORAGE MEDIUM FOR STORING A PROGRAM VISUALIZING SECURITY POLICY INFORMATION}
아래의 개시는 보안 정책 정보 가시화 장치, 보안 정책 정보 가시화 방법 및 보안 정책 정보를 가시화하는 프로그램을 저장하는 저장매체에 관한 것이다.
보안 장치에 설정된 보안 접근정책은 보안 관리 대상인 네트워크로 진입하는 모든 시스템의 접근 허용 여부를 결정하는 정보를 의미한다. 보안 접근정책의 최적화와 보안 수준을 강화하는 것은, 보안 시스템을 운영하는 목적 중 하나이다. 보안장치에 보안 접근정책이 비효율적으로 설정되면 보안 관리 대상 네트워크에 부하가 발생하거나 보안 관리 대상 시스템이 침투에 취약할 수 있다.
그러나, 보안장치에 설정된 보안 접근정책을 기존 방식으로 관리할 경우 텍스트 기반의 보안 정보를 분석하여야 하였다. 그러나 이러한 방식은 직관적이지 못하거나 일부의 보안 접근정책의 단편적 정보만을 얻을 수 있어서 보안 장치에 보안 정책을 효율적으로 설정할 수 없는 문제점이 있었다.
따라서, 기존의 보안 시스템은 네트워크 보안 수준을 최적으로 유지하기 위한 보안 접근정책의 분석을 효율적으로 수행할 수 없는 문제점이 있었다.
그리고, 기존의 보안 시스템은 단편적인 보안 접근정책 정보만을 사용자에게 제공하여 보안 시스템의 보안 접근정책을 효율적으로 변경할 수 없는 문제점이 있었다.
이러한 어려움 때문에 보안 시스템의 보안 접근정책의 관리 업무는 보안 정책을 최적화된 상태로 설정하거나 변경하는데 실질적으로 적용하기 힘든 문제점이 있었다.
위와 같은 문제점을 해결하기 위해 이하에 개시되는 실시예의 목적은 보안 장치의 보안 정보를 분석하고 직관적으로 보안 접근정책을 효율적으로 파악하고 설정할 수 있는 보안 정책 정보 가시화 장치, 보안 정책 정보 가시화 방법 및 보안 정책 정보를 가시화하는 프로그램을 저장하는 저장매체를 제공하는 것이다.
이하에 개시된 실시예의 목적은 시스템의 보안 관리 대상 네트워크의 보안 수준을 최적으로 유지하고 보안 접근정책을 효율적으로 분석할 수 있는 보안 정책 정보 가시화 장치, 보안 정책 정보 가시화 방법 및 보안 정책 정보를 가시화하는 프로그램을 저장하는 저장매체를 제공하는 것이다.
이하에 개시된 실시예의 목적은 시스템 보안 상 설정된 보안 접근정책에 대한 문제점 등을 용이하게 파악해 효율적으로 변경할 수 있는 보안 정책 정보 가시화 장치, 보안 정책 정보 가시화 방법 및 보안 정책 정보를 가시화하는 프로그램을 저장하는 저장매체를 제공하는 것이다.
일 실시예는, 보안 장치에 설정된 보안 정책 정보에 따른 접근 제어 요소 정보를 추출하는 단계; 상기 추출된 접근 제어 요소 정보를 분석하여 상기 보안 정책 정보의 분석 정보를 생성하는 단계; 및 상기 생성된 보안 정책 정보의 분석 정보를 가시화 정보로 제공하는 단계;를 포함하는 보안 정책 정보 가시화 방법을 제공한다.
상기 접근 제어 요소 정보는, 상기 보안 장치에 접근 요청의 출발지 IP 주소 (source internet protocol address) 정보, 목적지 IP 주소 (destination IP address) 정보, 포트(port) 정보, 또는 상기 접근 요청에 대한 상기 보안 장치의 접근 정책에 따른 액션 중 적어도 하나를 포함할 수 있다.
상기 가시화 정보는, 상기 접근 제어 요소 정보에 대해 상기 설정된 보안 정책 정보 중 복수의 접근 정책들의 관계 정보를 포함할 수 있다.
상기 관계 정보는, 음영관계(shadowing) 정보, 중복관계(redundancy) 정보, 일반화관계(generalization) 정보, 또는 상관관계(correlation) 정보 중 적어도 하나일 수 있다.
상기 가시화 정보는, 상기 보안 정책 정보에 맞지 않는 접근 정책 객체 정보를 사용자에게 별도로 표시할 수 있다.
다른 관점에서 일 실시예는, 보안 장치에 설정된 보안 정책 정보에 따른 접근 제어 요소 정보를 추출하는 데이터 관리부; 상기 추출된 접근 제어 요소 정보를 분석하여 상기 보안 정책 정보의 분석 정보를 생성하는 분석관리모듈; 및 상기 생성된 보안 정책 정보의 분석 정보를 가시화 정보로 제공하는 가시화 모듈;을 포함하는 보안 정책 정보 가시화 장치를 제공한다.
다른 관점에서 일 실시예는, 보안 장치에 설정된 보안 정책 정보에 따른 접근 제어 요소 정보를 추출하고; 상기 추출된 접근 제어 요소 정보를 분석하여 상기 보안 정책 정보의 분석 정보를 생성하고; 상기 생성된 보안 정책 정보의 분석 정보를 가시화 정보로 제공하는 보안 정책 정보를 가시화하는 프로그램을 저장하는 저장매체를 제공한다.
이하의 개시된 실시예를 따르면, 보안 정보를 분석하고 직관적으로 보안 접근정책의 효율적으로 파악하고 설정할 수 있다.
이하의 실시예에 따르면, 시스템의 보안 관리 대상 네트워크의 보안 수준을 최적으로 유지하고 보안 접근정책을 효율적으로 분석할 수 있다.
이하의 실시예에 따르면, 시스템 보안 상 설정된 보안 접근정책에 대한 문제점 등을 용이하게 파악해 효율적으로 변경할 수 있다.
도 1은 개시하는 보안정책정보 가시화 방법의 일 실시예를 나타낸 도면이다.
도 2는 보안 정보 가시화 장치의 실시예를 예시한 도면이다.
도 3은 가시화 정보의 예를 설명하기 위해 보안 장치의 접근 정책들과 그 관계를 예시한 도면이다.
도 4는 두 접근 정책의 관계 중 음영관계(Shadowing)를 예시한 도면이다.
도 5는 두 접근 정책의 관계 중 중복관계(Redundancy)를 예시한 도면이다.
도 6은 두 접근 정책의 관계 중 일반화 관계(Generalization)를 예시한 도면이다.
도 7은 두 접근 정책의 관계 중 상관관계(Correlation)를 예시한 도면이다.
도 8은 가시화된 보안 정보를 사용자에게 제공하는 예를 개시한 도면이다.
도 9는 가시화된 보안 정보를 사용자에게 제공하는 다른 예를 개시한 도면이다.
도 10은 접근 정책 객체 정보에 대한 상세 정보를 제공하는 예시도이다.
이하에서는 실시예를 구체적으로 예시하는 도면을 참조하여 실시예를 상세히 개시한다.
도 1은 개시하는 보안정책정보 가시화 방법의 일 실시예를 나타낸 도면이다.
보안 장치에 설정된 보안 정책 정보에 따른 접근 제어 요소 정보를 추출한다(S100). 보안 접근정책은 보안 관리 대상인 시스템과 연결된 네트워크에 진입하는 모든 액션의 접근 허용 여부를 결정하는 정보를 의미한다.
보안 정책 중 접근 액션에 대한 정책을 접근 정책이라고 한다.
보안 대상 시스템에 설정된 보안 정책은 여러 가지 관점에서 여러 가지 수단을 통해 설정될 수 있다. 하나의 보안 시스템은 여러 가지 보안 정책들에 따라 보안 프로세스들을 수행할 수 있다. 보안 프로세스들에 따라 보안 최적화 정도 및 보안수준이 달라질 수 있다.
예를 들면 보안 대상 시스템에서 접근 요청 또는 접근 액션의 IP (internet protocol) 주소 정보에 대한 목록 등에 대한 접근 정책을 설정할 수 있다. IP (internet protocol) 주소 정보는 내부 IP 주소 또는 외부 IP 주소 중 적어도 어느 하나이상을 포함할 수 있다.
접근 제어 요소 정보는, 여러 가지 정보를 포함할 수 있는데, 예를 들면 보안 장치에 접근하는 접근 요청의 출발지 IP 주소 (source IP address) 정보, 목적지 IP 주소(destination IP address) 정보, 또는 목적지 포트(destination port) 정보, 그리고 보안 장치에 설정된 상기 요청에 대한 액션(허용(allow), 거부(deny)) 등을 포함할 수 있다. 예를 들어 접근 제어 객체 정보는 보안 대상 시스템에서 액세스 컨트롤 리스트(access control list) 등의 목록에 텍스트 형태로 표기된 정보일 수도 있다.
상기 추출된 접근 제어 요소 정보를 분석하여 상기 보안 정책 정보의 분석 정보를 생성한다 (S200).
접근 제어 요소 정보는 보안 정책에 대한 대상 객체들이다. 따라서, 접근 제어 요소 정보를 분석하면 접근 정책과 같은 보안 정책에 대한 정보들을 얻을 수 있다. 예를 들어 접근 정책들이 서로 충돌하는지 또는 서로 경합하거나 상호 포함되는지 등의 관계 정보를 산출할 수 있다.
또는 개별적인 접근 정책이 정의된 기준에 위반되는지 또는 보안 상 문제가 될 수 있는지 등에 대한 분석 정보를 산출할 수 있다. 즉, 개별적인 접근 정책이 기 정의된 기준 또는 보안 기준에 부합하는지 여부에 대한 컴플라이언스(compliance) 정보를 얻을 수 있다.
이러한 접근 제어 요소 정보의 설정 범위 및 관계 분포 등의 정보를 통해 각 보안 정책 정책 정보의 분석 정보를 생성할 수 있다.
접근 제어 요소 정보에 기초하여 보안 장비의 접근 정책이 얼마나 효율적으로 적용되어 있는지, 어느 정도 서로 부합하는지, 또는 어느 정보 복잡하게 설정되어 있는지 파악할 수 있다.
상기 생성된 보안 정책 정보의 분석 정보를 가시화 정보로 제공한다(S300).
상기 생성된 보안 정책 정보의 분석 정보는 사용자의 요청에 따라 필요한 가시화 정보로서 제공한다.
위와 같은 분석 정보가 가시화되지 않는 경우 보안 장치에 설정된 여러 가지 접근 정책이 어떻게 서로 관련성 있게 동작하는지에 대해 사용자가 파악하기 힘들다. 따라서, 이 실시에는 접근 제어 요소 정보를 분석하여 사용자의 선택에 따라 가시적으로 접근 정책의 분석 정보를 객체 단위로 제공함으로써, 사용자가 현재 보안 장치에 설정된 보안 접근 정책이 어떻게 효율적으로 적용되어 있는지 판단할 수 있다.
도 2는 보안 정보 가시화 장치의 실시예를 예시한 도면이다. 이 도면을 참조하여 보안 정보를 가시화하는 장치의 실시예를 설명하면 다음과 같다.
보안 장비(110)는 시스템의 사이버 보안에 관련된 여러 가지 데이터를 저장할 수 있다. 예를 들어 보안 장비(110)는 방화벽과 같은 시스템일 수 있으며, 보안 장비(110)는 시스템에 접근하는 접근 요청에 대한 액세스 로그(access log) 데이터를 저장하거나 보안 정책에 따른 액세스 컨트롤 리스트(access control list)와 같은 데이터를 저장할 수 있다.
보안 장비(110)는 보안 정보 가시화를 위한 원본 데이터를 저장할 수 있다.
데이터 관리부(200)는 데이터 전처리 모듈(210), 환경설정모듈(220), 및 데이터 관리 모듈(230)을 포함할 수 있다.
데이터 전처리 모듈(210)은 보안 장비(110)가 저장하는 데이터에 대한 접근정책 정보나 접근정책에 대한 객체 정보를 수집하고 이 정도들을 전처리하여 출력한다.
데이터 전처리 모듈(210)은 보안 장비(110)가 저장하는 데이터로부터 보안 로그 정보를 수집하고 이를 전처리하여 출력한다. 전처리된 데이터는 보안 상 위험행위에 대한 IP 주소 정보를 제공하거나 공격행위로 의심되는 행위의 추적정보를 가시화하는데 사용될 수 있다.
환경설정모듈(220)은 보안 정보 가시화 장치의 여러 가지 환경 설정을 수행할 수 있다. 환경설정모듈(220)은 수집장비에 대한 정보, 참조정보에 대한 정보 등을 설정할 수 있고, 사용자 관리 정보, 대쉬 보드 정보, 분석 정보, 가시화 관련 정보를 설정할 수 있다.
사용자는 환경설정모듈(220)을 통해 보안 정보 가시화 장치의 여러 가지 환경을 설정하고, 설정된 환경하에서 데이터를 전체적으로 저장하고 관리하도록 할 수 있다.
데이터 관리 모듈(230)은 데이터 전처리 모듈(210)이 전처리를 수행한 데이터와 환경설정모듈(220)을 통해 설정된 설정 정보를 저장하고 관리할 수 있다.
예를 들어 데이터 관리 모듈(230)은 사용자 계정에 대한 정보, 여러 가지 보안 정보에 대한 분석 정보, 또는 보안 정보에 대한 가시화 정보를 저장하고 관리할 수 있다.
데이터 관리모듈(230)은 분석관리모듈(300)에서 처리된 분석 데이터를 저장하고 관리할 수 있다.
예를 들면, 데이터 관리 모듈(230)은 분석관리모듈(300)에서 처리된 접근정책 정보나 보안로그 정보를 수신하여 저장하고 관리할 수 있다. 분석관리모듈(300)은 데이터 관리 모듈(230)에 저장된 접근정책 정보나 보안로그 정보를 수신하여 해당 정보를 가시화할 수 있다.
예를 들어 데이터 관리부(200)는 시스템 구조 상 로드분배기(load balancer)와 로그 컬렉터(log collector)를 포함할 수 있다. 로드분배기(load balancer)는 보안장치(110)에 접근하는 접근요청을 분배할 수 있는 TCP (Transmission Control Protocol)/UDP (User Datagram Protocol) 로드분배기(load balancer)일 수 있다.
로그 컬렉터(log collector)는 로드분배기(load balancer)가 출력하는 분배 로드의 로그데이터를 수집하고 관리한다.
예를 들어 시스템 논리 구조 관점에서, 데이터 관리부(200)의 로드분배기(load balancer)는 시스템에 접속하는 액션에 따른 시스템 로그 데이터(Syslog Raw data)를 수신하고, 로드 분배 구성 정보(config data)를 기초로 UDP 데이터 패킷을 분리하여 출력할 수 있다.
데이터 관리부(200)는 로그 컬렉터(log collector)를 포함할 수 있고 로그 컬렉터(log collector)는 로드분배기(load balancer)로부터 UDP 데이터 패킷을 수신하고 이로부터 로그 데이터를 수신하고 이를 전처리하여 출력한다.
데이터 관리부(200)는 접근정책 컬렉터(policy collector)를 포함할 수 있고, 접근정책 컬렉터(policy collector)는 보안장치의 보안정책 데이터(security fire policy data)를 수신하고, 이를 전처리하여 출력할 수 있다.
분석관리모듈(300)은, 분석정보 관리모듈(310) 및 가시화정보 관리모듈(320)을 포함할 수 있다.
분석정보 관리모듈(310)은 보안 장치(110)에 저장된 데이터를 근거로 보안보장 장치(110)에 설정된 접근정책(access policy)의 효율적인지, 접근정책의 적절성 여부를 분석하거나, 접근정책의 복잡도를 분석할 수 있다.
예를 들어 분석정보 관리모듈(310)은, 데이터 전처리 모듈(210)이 처리한 접근정책 데이터를 수신하고 접근정책이 이하에서 설명한 방식에 따라 효율적으로 설정되어 있는지는 분석할 수 있다.
분석정보 관리모듈(310)은, 데이터 전처리 모듈(210)이 처리한 접근정책 데이터를 수신하고 보안장치(110)에 설정된 접근정책이 기존에 설정된 정책에 부합하는지에 대한 컴플라이언스(compliance)에 대해 분석할 수 있다.
분석정보 관리모듈(310)은, 데이터 전처리 모듈(210)이 처리한 접근정책의 접근 제어 요소 정보를 기초로 보안장치(110)에 설정된 접근정책들이 효율적으로 설정된 것인지, 보안장치(110)에 설정된 접근정책들 간에 충돌이 되는 것은 없는지, 설정된 접근정책의 복잡도가 높아 시스템상 또는 보안 대상 네트워크/시스템에 부담이 되거나 간소화가 필요한지 여부에 대해 분석할 수 있다.
분석정보 관리모듈(310)은 보안장치(310)에 저장된 데이터에 기초하여 보안로그 데이터를 분석하고, 분석된 데이터를 이용하여 접근요청의 보안상 위험성 여부를 분석할 수 있다.
예를 들어 분석정보 관리모듈(310)은, 데이터 전처리 모듈(210)이 처리한 보안로그 데이터의 주기성 정보 또는 비주기 정보, 보안로그에 포함된 IP 주소 및 포트 정보의 통계 정보를 분석할 수 있다. 분석정보 관리모듈(310)은, 분석한 통계정보에 기초하여 시스템의 접근요청에 대한 보안상 위험성을 분석할 수 있다.
또는 분석정보 관리모듈(310)은, 데이터 전처리 모듈(210)이 처리한 보안로그 데이터를 기초로 보안상 이상행위를 분석하거나 여러 가지 접근액션에 대해 분석하고 상기 이상 행위를 추적할 수 있는 정보를 생성할 수 있다.
분석정보 관리모듈(310)은, 분석된 접근정책 정보나 보안로그 정보를 데이터 관리부(200)의 데이터 관리모듈(230)에 제공할 수 있다.
가시화정보 관리모듈(320)은 데이터 관리부(200)에 저장된 분석 정보를 수신하여 분석정보를 가시화 정보를 변환하거나 가시화와 관련된 객체를 생성하고 그 결과에 따른 정보를 가시화하도록 할 수 있다.
가시화정보 관리모듈(320)은 분석된 접근정책 데이터나 분석된 보안로그 데이터를 이용하여 여러 가지 그래프를 생성하고 사이버 공간 상에 보안 관련 정보를 표시하거나 배치하는 등 여러 가지 가시화 정보를 생성할 수 있다.
분석관리모듈(300)은 시스템 구조 상 여러 가지 저장장치를 포함한다. 분석관리모듈(300)은 상기 저장장치에 저장된 데이터를 실시간 연산하는 프로세서(real-time processor) 또는 분석엔진(analyzer)를 포함할 수 있고, 연산 또는 분석된 데이터를 상기 저장장치 또는 다른 저장장치에 저장할 수도 있다.
데이터 관리부(200)는 분석관리모듈(300)이 분석하거나 통계 처리한 결과 보안정책 데이터나 전처리한 로그 데이터를 저장 장치에 저장하도록 할 수 있다.
예를 들어 시스템 논리 구조 관점에서, 분석관리모듈(300)의 데이터 분석기는, 데이터 관리부(200)가 전처리한 보안정책 데이터를 분석할 수 있다. 그리고, 분석관리모듈(300)은 클러스터기를 포함할 수 있는데, 클러스터기는, 데이터 관리부(200)가 전처리한 로그데이터의 통계분석을 수행하도록 할 수 있다.
분석관리모듈(300)은, 분석한 접근 정책 정보나 분석한 보안로그 통계정보를 여러 가지 저장매체에 저장할 수도 있다.
그리고, 분석관리모듈(300)은, 처리한 접근정책 데이터나 보안로그 통계데이터 또는, 데이터 관리부에 저장된 접근정책 데이터나 보안로그 통계데이터를 가시화할 수도 있다.
가시화 모듈(400)은, 가시화정보 관리모듈(320)로부터 여러 가지 분석 정보, 보안 분석에 대한 그래프 정보, 보안 관련 객체 정보, 사이버 공간 객체 정보, 사이버 공간에 정보를 배치한 정보 등 여러 가지 가시화 대상 데이터를 수신한다.
가시화 모듈(400)은 수신한 여러 가지 가시화 데이터를 가시화 하는 모듈을 포함할 수 있다. 예를 들어 가시화 모듈(400)은 분석된 접근정책 데이터를 가시화하는 접근정책 가시화 모듈(410), 보안로그 데이터를 기반으로 이상행위를 가시화할 수 있는 보안로그 이상행위 가시화 모듈(420), 보안로그 데이터를 기반으로 접근 액션의 IP를 추적할 수 있는 추적분석 가시화 모듈(430) 등을 포함할 수 있다.
접근정책 가시화 모듈(410)은 분석정보 관리모듈(310)이 분석한 데이터나, 가시화정보 관리모듈(320)이 저장한 가시화 정보를 이용하여 접근정책을 가시화할 수 있다.
예를 들어 접근정책 가시화 모듈(410)은 보안장치(110)에 설정된 접근정책의 복잡도에 대한 정보를 가시화할 수 있다. 접근정책 가시화 모듈(410)은 상기 접근정책의 접근정책 간에 충돌이 없는지 여부 등의 효율성 또는 효용성 여부에 대해 가시화할 수 있고, 또는 접근정책 가시화 모듈(410)은 접근정책 내에 보안기준 위배사항은 없는지 여부 등의 컴플라이언스 정보를 사용자에게 가시화하여 제공할 수 있다.
사용자는 접근정책 가시화 모듈(410)로부터 보안장치(110)에 설정된 접근 정책이 효율적으로 설정되어 있는지 여부에 대해 직관적으로 판단할 수 있는 가시화 정보를 얻을 수 있다.
보안로그 이상행위 가시화 모듈(420)은 분석정보 관리모듈(310)이 분석한 데이터나, 가시화정보 관리모듈(320)이 저장한 분석된 보안로그 데이터를 기초로 보안상 이상 접근행위에 대한 가시화 정보를 생성하여 사용자에게 제공할 수 있다.
예를 들어 보안로그 이상행위 가시화 모듈(420)은, 보안상 위험도에 기반하여 내부 또는 외부 IP 주소 리스트를 가시화할 수 있다. 보안로그 이상행위 가시화 모듈(420)은, 보안로그 데이터를 시계열적으로 가시화하고 이에 대한 주기/비주기정보 등의 통계 정보를 사용자에게 제공할 수 있다. 이를 통해 보안로그 이상행위 가시화 모듈(420)은, 보안로그 데이터에 기반하여 접근된 액션 중 보안상 이상행위를 가시화하여 사용자에게 제공할 수 있다.
사용자는 보안로그 이상행위 가시화 모듈(420)로부터 보안상 이상행위의 IP 주소 대한 통계 정보를 직관적인 가시화 정보로 얻을 수 있다.
가시화 정보는, IP 주소 정보 중 위험도 평가에 따라 보안 위험도가 높은 IP 주소 정보 객체들을 나열할 수 있다. 가시화 정보는, 주기 데이터의 주기에 대한 옵션 정보를 제공하거나 IP 주소 정보를 검색하는 서치 옵션 정보를 제공할 수 있다.
가시화 정보는, IP 주소 정보 객체들 중 특정 IP 주소 정보 객체에 대해 특정 기간 단위 및 상기 특정 기간 단위에 따른 시간 단위에 대한 로그 데이터 양의 관계를 포함할 수 있다.
이러한 가시화 정보는 사용자가 직관적으로 보안 상 이상행위를 판단할 수 있도록 할 수 있고, 사용자에게 공격 의심 IP 주소 정보를 제공하여 이를 추적할 수 있도록 할 수 있다.
추적분석 가시화 모듈(430)은 분석정보 관리모듈(310)이 분석한 데이터나, 가시화정보 관리모듈(320)이 저장한 가시화 정보를 이용하여 중 보안상 이상 행위로 분석된 접근 행위의 IP 정보를 추적하고 분석한 데이터를 가시화할 수 있다.
예를 들어 추적분석 가시화 모듈(430)은, 보안장치(110)에 접근요청 액션의 IP 정보의 리스트를 상기 액션의 위험도에 기반하여 가시화할 수 있다.
추적분석 가시화 모듈(430)은, 보안로그 데이터 및 접근요청 액션의 IP 정보와 Port 정보를 가시화할 수 있고, 상기 IP 정보를 추적하고 분석한 데이터를 가시화하여 사용자에게 제공할 수 있다.
추적분석 가시화 모듈(430)에 의한 가시화 정보는 특정 IP 주소 정보와 관련된 시간 단위에 따른 로그 데이터의 양 및 포트 개수 정보를 제공한다.
그리고, 가시화 정보는 로그 데이터의 양 또는 상기 포트 개수 정보가 임계 치 이상인 경우 사용자에게 식별 정보를 제공한다.
가시화 정보는 로그 데이터 중 내부 네트워크로 접근하는 액션(inbound action) 또는 외부 네트워크로 나아가는 액션(outbound action)에 대한 로그 데이터를 선택할 수 있는 제 1 선택정보를 제공한다.
가시화 정보는 특정 IP 주소 정보를 선택할 수 있는 제 2 선택정보를 제공한다.
가시화 정보는 특정 IP 주소 정보의 접근 허용(allow)된 액션의 로그 데이터 양 또는 상기 특정 IP 주소 정보의 접근 거절(deny)된 액션의 로그 데이터 양을 포함한다.
가시화 정보는 특정 IP 주소 정보와 관련된 특정 기간에 따른 로그 데이터의 변화에 따라 공격의심 행위정보에 대한 추가 정보를 제공할 수 있다.
가시화 정보는 특정 IP 주소 정보와 관련된 서비스 포트 정보에 따라 상기 공격의심 행위정보에 대한 추가 정보를 제공할 수 있다.
시스템 논리 구조 관점에서, 가시화 모듈(400)은 여러 가지 유저 인터페이스(User Interface, UI)를 포함할 수 있다. 예를 들어 가시화 모듈은 웹(Web) UI을 포함하고 웹(Web) UI는 접근정책 컬렉터 (policy collector)가 분석하거나 분석 후 저장된 접근정책 데이터를 사용자에게 가시화하여 제공할 수 있다.
다른 예로서 가시화모듈(400)은 어플리케이션(Application) 또는 유니티(Unity) UI를 포함할 수 있는데 어플리케이션(Application) 또는 유니티(Unity) UI는 통계 정보를 이용하여 가시화된 보안정보를 사용자에게 제공할 수 있다.
사용자는 추적분석 가시화 모듈(430)로부터 보안 위험으로 분류된 IP 주소 의 추적 분석 정보를 직관적으로 얻을 수 있다.
가시화 모듈(430)은 사용자의 요청에 따라 아래에서 개시하는 가시화 정보를 사용자에게 제공한다. 사용자는 가시화 정보를 통해 보안 장치(110)에 설정된 접근 정책에 문제점을 직관적으로 파악할 수 있고 이를 최적화시킬 수 있다.
도 3은 가시화 정보의 예를 설명하기 위해 보안 장치의 접근 정책들과 그 관계를 예시한 도면이다. 이 도면을 참조하여 보안 장치의 접근 정책들과 그 관계의 예를 설명하면 다음과 같다.
방화벽과 같은 보안 장치는, 접근 요청에 대해 설정된 접근 정책의 순서에 따라 해당 접근 요청의 출발지 IP (source IP), 목적지 IP (destination IP), 목적지 포트 정보 (destination port number)를 확인한다. 보안 장치는 확인된 접근 요청에 대해서는 접근 정책에 따른 액션(action)을 설정하여 상기 접근 요청을 허용(allow)하거나 차단(deny) 하는 필터링 방식을 통해 네트워크의 트래픽을 통제한다.
방화벽의 하나의 접근 정책(rule)은 여러 가지 정보를 포함하고, 접근 정책의 효율성 또는 최적여부를 검출하는 데 위와 같은 접근 정책 객체들의 요소 정보(출발지 IP (source IP), 목적지 IP (destination IP), 목적지 포트 정보 (destination port number), 액션(action)을 이용할 수 있다.
접근 제어 요소 정보는, 예를 들어 상기 보안 장치에 접근 요청의 출발지 IP 주소 (source internet protocol address) 정보, 목적지 IP 주소 (destination IP address) 정보, 포트(port) 정보, 또는 상기 접근 요청에 대한 상기 보안 장치의 접근 정책에 따른 액션 중 적어도 하나를 포함한다.
이 도면에서는 방화벽에 설정된 접근 정책(rule)들의 관계를 예시한다.
예를 들어 위와 같은 요소 정보를 기초로 접근 정책들(rule1, rule2)의 관계를 판단하면 다음과 같이 나뉠 수 있다.
예를 들면 접근 제어 요소 정보인 출발지 IP (source IP), 목적지 IP (destination IP), 목적지 포트 정보 (destination port number) 등의 요소 정보를 이용하면 두 개의 정책(rule1, rule2)은 완전 매치(exact match)(a), 포괄적 매칭(inclusive match)(b), 부분 분리(partially disjoint) (c), 및 완전 분리(completely disjoint)의 관계를 가질 수 있다.
완전 매치(a)는 두 정책간의 출발지 IP (source IP), 목적지 IP (destination IP), 목적지 포트 정보 (destination port number)의 3개의 필드 요소가 모두 완전히 일치하는 경우를 나타낸다.
이 예에서 포괄적 매칭(b)는 두 정책 간의 3개의 필드들이 집합관계를 가지는 경우로서, 예를 들어 제 1 정책(rule1)에서 관리하는 3개의 필드가 제 2 정책(rule2)에서 관리하는 3개의 필드를 포함하는 경우를 예시한다.
부분 분리(partially disjoint) (c)는 두 정책들의 3개의 필드 중 동일한 필드가 하나 이상 존재하고 동일하지 않은 필드가 하나 이상 존재하는 경우를 나타낸다.
완전 분리(completely disjoint) (d)는 두 정책들이 관리하는 3개의 필드가 모두 다르고 독립적인 경우를 나타낸다.
두 개의 정책(Rule1, Rule2)들이 IP 주소와 포트 정보 필드는 위와 같은 관계를 가지더라도 각 정책이 규정하는 액션(action)은 값을 다를 수도 있고 같을 수도 있다.
따라서, 보안 장치 상의 트래픽의 요소 정보와 액션(action)에 대한 정책에 따라 두 개의 정책들은 서로 다른 관계를 가질 수 있다. 실시예는 출발지 IP (source IP), 목적지 IP (destination IP), 목적지 포트 정보 (destination port number)의 3개의 필드 요소에 대해 관계성을 예시한 바와 같이 확인하고 액션(action)에 대한 정책을 체크하여 접근 정책의 효율성을 산출할 수 있음을 나타낸다.
이 도면을 참조하여 정책 간의 관계를 예시하면 다음과 같다. 이하에서 접근 제어 요소 정보로서 IP 주소를 예로 설명한다.
가. 음영관계(Shadowing) (710)
두 정책 관계가 음영관계(shadowing)라는 것은, 예를 들어 순서(order)상 먼저 확인하는 상위정책이 순서상 나중에 확인하는 하위정책과 IP 주소가 일치하거나, 또는 하위정책의 IP 주소의 범위가 상위정책의 IP 주소 범위에 포함되는 경우이다. 그리고, 상위정책의 목적지 포트 정보가 하위정책의 포트넘버를 포괄하거나 동일하고 두 접근에 대해 액션(action) 다르면 하위정책은 음영관계(Shadowing)가 된다.
상위정책의 3개의 필드에 대한 범위가 하위정책의 3개의 필드보다 크거나 같으나 액션이 다른 경우를 나타낸다.
이런 경우 하위정책은 방화벽과 같은 보안 장치에 정책이 적용되지 않는다. 두 정책의 음영관계로 인해 허용된 트래픽이 차단될 수 있어서 음영관계의 두 정책은 수정되거나 재정렬되어야 한다.
나. 중복관계(Redundancy) (720)
두 정책 관계가 중복관계(redundancy)라는 것은, 예를 들어 상위정책에 따른 IP 주소가 하위정책의 IP 주소 와 일치하거나 또는 하위정책의 IP 주소가 상위정책의 IP 주소 범위에 포함되는 경우이다. 그리고, 하위정책의 목적지 포트 정보가 상위정책의 목적지 포트 범위에 포함되거나 동일하고 정책에 따른 액션(Action)이 동일하면 하위정책은 상위정책의 중복(Redundancy)이 된다.
상위정책의 3개의 필드에 대한 범위가 하위정책의 3개의 필드보다 크거나 같으며 두 정책상 규정하는 액션들도 동일한 경우를 나타낸다.
이런 경우 하위정책은 방화벽에서 반복적으로 정책이 적용된다. 중복관계는 트래픽의 필터링에 영향을 미치지는 않지만 체크해야 하는 보안 정책 개수를 늘리기 때문에 이에 대한 검색 시간과 데이터 및 저장 용량을 요구하기 때문에 재정렬이 필요하다.
음영관계와 중복관계는 3개의 필드에 대한 관계는 동일하나 설정된 액션(action)에 따라 달라진다.
다. 일반화 관계(Generalization) (730)
두 정책 관계가 일반화 관계(generalization)라는 것은, 상위정책과 하위정책의 IP 주소가 일치하거나 상위정책의 IP 주소 범위가 하위정책의 IP 주소 범위에 포함되는 경우다. 그리고, 상위정책의 목적지 포트 번호가 하위정책의 목적지 포트 번호에 포함되거나 동일한 경우를 나타낸다. 이런 상황에서 두 정책의 액션(Action)이 다르면 하위정책은 일반화(Generalization) 된다.
즉, 일반화 관계는 순서 상 상위정책의 3개의 필드가 하위정책의 3개의 필드에 포함되거나 일치하나 상하위정책이 규정하는 액션(action)이 다른 경우를 나타낸다.
이 경우 상위 정책과 하위정책의 순서가 변경되면 보안의 효과가 변경될 위험이 있음을 나타낸다.
라. 상관관계(Correlation)(740)
두 정책 관계가 상관관계라는 것은, 상위정책이 하위정책의 IP 주소 범위가 일부 일치하며, 상위정책의 목적지 포트 정보가 하위정책의 목적지 포트 정보를 포괄하거나 동일한 경우를 나타낸다. 그리고 두 정책이 규정하는 액션(Action)이 다르면 두 규칙은 상관관계(Correlation)가 된다.
마찬가지로 상위 정책과 하위정책의 순서가 변경되면 보안의 효과가 변경될 위험이 있음을 나타낸다.
마. 무관 관계(None) (750)
두 정책 관계가 위의 가. 나. 다. 라. 의 경우가 아닌 경우 두 정책의 관계는 완전히 분리된 영역을 규정하는 것으로 관련성이 없는 무관관계가 된다.
도 4는 두 접근 정책의 관계 중 음영관계(Shadowing)를 예시한 도면이다.
이 도면에서 Rule은 접근 정책, S_IP는 출발지 IP 주소, D_IP는 목적지 IP 주소, D_Port는 목적지 포트 정보, action은 각 정책에서 앞의 3개의 필드에 대한 트래픽을 어떻게 규정하는지를 예시한다.
예를 들어 제 1 정책(Rule_1)은 출발지 IP 주소 범위 10.0.0.1~10, 목적지 IP 주소 20.0.0.1~10, 목적지 포트 정보 http(80)의 트래픽에 대해 네트워크 접근 액션을 허용(allow)한다.
제 2 정책(Rule_2)은 출발지 IP 주소 범위 10.0.0.5, 목적지 IP 주소 20.0.0.3, 목적지 포트 정보 http(80)의 트래픽에 대해 네트워크 접근 액션을 차단(deny)한다.
이 도면의 하단에 제 1 정책(Rule_1)과 제 2 정책(Rule_2)의 각 필드 요소의 커버리지를 바 형태로 예시하고, 각 정책의 성격을 바의 내부의 음영표식으로 표시하였다.
여기서 제 1 정책(Rule_1)과 제 2 정책(Rule_2)의 관계는 음영관계(Shadowing)라고 할 수 있다.
도 5는 두 접근 정책의 관계 중 중복관계(Redundancy)를 예시한 도면이다.
이 도면에서 제 1 정책(Rule_1)은 출발지 IP 주소 범위 10.0.0.1~10, 목적지 IP 주소 20.0.0.1~10, 목적지 포트 정보 http(80)의 트래픽에 대해 네트워크 접근 액션을 허용(allow)한다.
제 3 정책(Rule_3)은 출발지 IP 주소 범위 10.0.0.5, 목적지 IP 주소 20.0.0.3, 목적지 포트 정보 http(80)의 트래픽에 대해 네트워크 접근 액션을 허용(allow)한다.
이 도면의 하단에 제 1 정책(Rule_1)과 제 3 정책(Rule_3)의 각 필드 요소의 커버리지를 바 형태로 예시하고, 각 정책의 성격을 바의 내부의 음영표식으로 표시하였다.
이러한 경우 제 1 정책(Rule_1)과 제 3 정책(Rule_3)의 관계는 중복관계(Redundancy)라고 할 수 있다. 즉 제 3 정책(Rule_3)은 제 1 정책(Rule_1)에 중복적으로 적용되는 관계이므로 보안 장치의 접근 정책 운영 효율 상 좋지 않은 결과를 가져온다.
도 6은 두 접근 정책의 관계 중 일반화 관계(Generalization)를 예시한 도면이다.
이 도면에서 제 3 정책(Rule_3)은 출발지 IP 주소 범위 10.0.0.5, 목적지 IP 주소 20.0.0.3, 목적지 포트 정보 http(80)의 트래픽에 대해 네트워크 접근 액션을 허용(allow)한다.
제 6 정책(Rule_6)은 출발지 IP 주소 범위 10.0.0.1~10, 목적지 IP 주소 20.0.0.1~10, 목적지 포트 정보 http(80)의 트래픽에 대해 네트워크 접근 액션을 차단(deny)한다.
이 도면의 하단에 제 3 정책(Rule_3)과 제 6 정책(Rule_6)의 각 필드 요소의 커버리지를 바와 정책의 성격을 바의 내부의 음영표식으로 표시하였다.
여기서 제 3 정책(Rule_3)과 제 6 정책(Rule_6)의 관계는 일반화 관계(Generalization)라고 할 수 있다. 즉 제 6 정책(Rule_6)은 제 3 정책(Rule_3)을 포함한다.
도 7은 두 접근 정책의 관계 중 상관관계(Correlation)를 예시한 도면이다.
이 도면에서 제 4 정책(Rule_4)은 출발지 IP 주소 범위 10.0.0.5, 목적지 IP 주소 20.0.0.1~10, 목적지 포트 정보 http(80)의 트래픽에 대해 네트워크 접근 액션을 허용(allow)한다.
제 5 정책(Rule_5)은 출발지 IP 주소 범위 10.0.0.1~10, 목적지 IP 주소 20.0.0.3, 목적지 포트 정보 http(80)의 트래픽에 대해 네트워크 접근 액션을 차단(deny)한다.
여기서 제 3 정책(Rule_3)과 제 6 정책(Rule_6)는 일부 동일한 범위의 필드 요소를 관리하지만 서로 다른 범위의 필드 요소도 관리하므로 상관관계(Correlation)라고 할 수 있다.
도 8은 가시화된 보안 정보를 사용자에게 제공하는 예를 개시한 도면이다.
설명한 바와 같이 사용자는 가시화 모듈을 통해 가시화된 보안 정책에 관련된 정보를 얻을 수 있다.
이 도면은 보안 정책에 따른 접근 정책 객체 정보(ACL object)들을 공간 객체 정보(ACL space obj.)에 제공한 예를 나타낸다.
접근 제어 요소 정보는 보안 장치에 대한 접근(access) 요청에 관련된 IP 주소 정보와 포트 정보를 포함한다. 여기서 IP 주소 정보는 보안 장치를 기준으로 내부 네트워크의 IP 주소 정보일 수 있다.
가시화 정보의 예에서 가로축은 보안 정책이 포함하는 접근 제어 요소 정보의 수로서 여기서의 예에서는 IP 주소 정보 또는 포트 정보의 개수(Num of IP/Port; 가로축)로 나타내었다.
가시화 정보의 예에서 원주 방향(direction of ACL)은 보안 장비에 대한 접근 제어 요소 정보에 대한 정책이 내부(inbound) 방향인지 또는 외부 방향(outbound)인지를 나타낸다.
가시화 정보의 예에서 세로축은 보안 정책에 따라 발생된 접근 정책 객체 정보(ACL object)의 발생회수(Hit count; 세로축)를 나타낸다.
가시화 정보로서 공간 객체 정보(ACL space object)는 위의 3개 축의 관계를 공간상에 표시하여 사용자에게 제공한다.
예를 들어 접근 제어 요소 정보가 접근 액션의 IP 주소 정보 또는 포트 정보라면 예시한 바와 같이 해당 특정 정책에서 관리되는 IP 주소 정보 또는 포트 정보의 수에 따라 얼마나 많은 접근 정책 객체 정보(ACL object)가 실제로 발생했는지 표기될 수 있다.
이 예에서 원통 내 원형 밖으로 갈수록 정책에 관련된 IP 주소 정보 또는 포트 정보의 개수가 증가하므로 즉, 접근 정책 객체 정보(ACL object)가 원통의 가장자리에 위치할수록 특정 정책과 관련된 IP 주소 정보 또는 포트 정보의 개수가 많아짐을 의미한다.
보안 정책은 보안 장비의 내부와 외부에 따라 다를 수 있기 때문에 원통의 원주 방향으로 내부(inbound) 또는 외부 방향(outbound)을 표시할 수 있다.
사용자는 서치 옵션(810)을 통해 원하는 IP 주소 정보와 포트 정보를 별도로 요청할 수 있다. 그러면 사용자는 해당 IP 주소 정보와 포트 정보와 관련된 접근 정책 객체 정보(ACL object)가 공간 객체 정보상 어디에 위치하는지 정보를 얻을 수 있다.
공간 객체 정보(ACL space obj.)에 접근 정책에 규정된 접근 정책 객체 정보(ACL object) (910)를 표기하도록 함으로써, 접근 정책에 규정하는 방향정보, 해당 정책에 의해 관리되는 IP 주소 정보와 포트 정보의 개수, 및 이에 따라 실제 발생된 접근 정책 객체 정보(ACL object)의 개수의 관계를 직관적으로 파악할 수 있다.
공간 객체 정보(ACL space obj.)는 각 정책들이 관리하는 접근 제어 요소 정보를 매개로 하여 접근 정책 객체 정보(ACL object)를 가시화하여 사용자에게 제공한다.
이와 같은 가시화 정보인 공간 객체 정보를 통해, 사용자는 현재 보안 장치에 설정된 보안 정책 자체 또는 보안 정책들 사이에 문제가 있는지에 대한 정보를 접근 사용자에게 제공할 수 있다.
가시화 정보인 공간 객체 정보는 각각의 보안 정책에 위배되는 접근 정책 객체 정보(ACL object) 를 사용자에게 제공할 수 있다.
이 도면에서 제 1 접근 정책 객체 정보(compliance issue object) (1110)은 사전에 정의된 보안 정책에 위배될 수 있는 접근 제어 객체 정보를 나타낸다. 따라서, 상기 제 1 접근 정책 객체 정보(compliance issue object) (1110)는 보안 장치에 사전 정의된 컴플라이언스(compliance)를 벗어난 정보임을 나타낸다. 즉 가시화 정보는, 보안 정책 정보에 맞지 않는 접근 정책 객체 정보를 사용자에게 별도로 표시하도록 할 수 있다.
예를 들면 보안상 취약한 방식이나 최소 수준의 보안 범위를 넘어선 객체 정보에 대해서 사용자에게 별도의 표식으로 해당 정보를 제공할 수 있다.
예를 들어 실시예는 보안 정책상 관계성을 보이는 접근 정책 객체 정보들(1210, 1220, 1230)을 사용자에게 제공할 수 있다. 예시한 가시화 정보는 사용자가 그룹 형태의 특이 그룹 정보(anomaly object)를 선택할 경우, 보안 정책상 관계성이 상호 존재하는 객체들을 가시화 정보로 제공할 수 있다.
이 예에서 사용자가 그룹 형태의 특이 그룹 정보(1320)를 선택하면 가시화 정보는 보안 정책상 관계성이 상호 존재하는 접근 정책 객체 정보(ACL object)(1210, 1220, 1230)를 사용자에게 특이 링크 객체 정보(anomaly linker obj.)로 표시한다.
이 예에서 사용자는 특이 링크 객체 정보(anomaly linker obj.)로 연결된 접근 정책 객체 정보들(1210, 1220, 1230)이 서로 보안 정책상 관련되어 있음을 알 수 있다.
실시예는 보안 정책 상 위와 같은 관계 문제가 될 수 있는 접근 정책 객체 정보(ACL object)들을 접근 정책 객체 정보의 특이 정보(anomaly plate object)(1310)로서 사용자에게 제공한다.
여기서 보안 정책상 관계에 대한 정보는 설명한 음영관계(shadowing) 정보, 중복관계(redundancy) 정보, 일반화관계(generalization) 정보, 또는 상관관계(correlation) 정보 중 적어도 하나일 수 있다.
접근 정책 객체 정보의 특이 정보(anomaly plate object)(1310)는 특이 링크 객체 정보(anomaly linker obj.)로 연결된 접근 정책 객체 정보들(1210, 1220, 1230)이 그룹 형태의 특이 그룹 정보(anomaly object) (1320)들을 포함한다.
이 도면의 공간 객체 정보 중 사용자가 그룹 형태의 특이 그룹 정보를 선택하면 보안 정책상 관계를 가지는 접근 정책 객체 정보들이 도면의 예시와 같이 가시화될 수 있다.
따라서, 사용자는 예시된 가시화 정보를 통해 개별적 접근 정책 객체 정보(910), 개별적 보안 위험 수준의 접근 정책 객체 정보(1110), 보안 정책 관계 상 상호 문제가 있는 객체들(1210, 1220, 1230), 상호 정책 상 문제가 되는 객체들을 확인할 수 있는 정보(특이 링크 객체 정보(anomaly linker obj.)) 및 보안 정책 관계 상 상호 문제가 있는 객체들의 그룹 정보(1310, 1320) 등을 확인할 수 있다.
이 도면에서 각 오브젝트 내의 음영표식은 도 7의 음영표식과 같은 의미를 가질 수 있다.
도 9는 가시화된 보안 정보를 사용자에게 제공하는 다른 예를 개시한 도면이다.
사용자는 보안 정책에 포함되는 접근 제어 요소 정보의 특성을 확인할 수 있다.
이 도면의 예는 접근 제어 요소 정보 중 IP 주소 정보를 표현하는 예를 나타낸다.
예를 들어 사용자는 접근 제어 요소 정보가 IP 주소 인 경우, 내부 IP 주소 (Int. IP), 외부 IP 주소 (Ext. IP) 및 혼용 IP 주소 (Mixed IP)로 성격을 구분하여 각각의 음영표식으로 표현할 수 있다.
또한, 이 도면의 예는 접근 제어 요소 정보 중 활성화/비활성화 정보를 표현하는 예를 나타낸다.
예를 들어 사용자는 접근 제어 요소 정보가 활성화/비활성화인 경우, 활성화(enabled), 비활성화(disabled)로 성격을 구분하여 식별되도록 표현할 수 있다.
도 10은 접근 정책 객체 정보에 대한 상세 정보를 제공하는 예시도이다.
위에서 예시한 공간 객체 정보 상에서 사용자가 특정 그룹 형태의 특이 그룹 정보(anomaly object)를 선택하면 사용자는 이 도면에서 예시한 바와 같이 보안 정책상 관계성이 상호 존재하는 접근 정책 객체 정보(ACL object)들에 대해 각각의 접근 제어 요소 정보 별 정보를 얻을 수 있다.
가시화 정보는, 접근 제어 요소 정보의 각각에 대해 상기 관계 정보를 표출하도록 할 수 있다.
이 예에서 접근 제어 요소 정보는 출발지 IP 단위 정보(SIP cube obj.), 목적지 IP 단위 정보 (DIP cube obj.), 포트 단위 정보 (Port cube obj.), 액션 단위 정보 (action cube obj.)를 예시하였다.
이 예에서 각각의 큐브는 출발지 IP 단위 정보(SIP cube obj.), 목적지 IP 단위 정보 (DIP cube obj.), 포트 단위 정보 (Port cube obj.), 액션 단위 정보 (action cube obj.)에 대응된다.
예시한 상세 정보는 접근 제어 요소 정보(여기서는 출발지 IP, 목적지 IP, 포트 정보 및 접근 액션)을 기반으로 각각의 큐브 형태의 정보를 제공한다.
상세 정보는 각각의 접근 제어 요소 정보들에 대해 관련된 접근 정책들을 레이어들(1410, 1420,1430)로 표시할 수 있다.
예를 들어 액션 단위 정보 (action cube obj.)를 나타내는 큐브는 사용자가 선택한 접근 정책 객체 정보와 관련된 접근 액션(action)을 설정한 정책들을 나타내는 레이어들(1410, 1420,1430)을 포함한다. 즉, 레이어들(1410, 1420,1430)로 표시한 선들은 각각 해당 오브젝트와 관련된 접근 정책들을 의미한다.
사용자는 선택한 접근 정책 객체 정보의 상세 정보로부터 상기 접근 정책 객체 정보에 관련된 접근 제어 요소 정보 별 정책들을 확인할 수 있다.
보안 장치에 적용되는 보안 정책은 적용 순서(order)가 있다. 사용자는 예시한 가시화 정보로부터 레이어들(1410, 1420, 1430)에 대응되는 3개의 정책들이 각각 출발지 IP, 목적지 IP, 포트 정보, 액션(action)에 표시된 순서에 따라 적용되는 것을 확인할 수 있다.
설명한 바와 같이 보안 정책에 따라 접근 제어 요소 정보에 기반하여 접근 정책 객체 정보를 가시화할 수 있다.
사용자는 가시화 정보로부터 접근 정책 객체 정보들이 서로 어떤 관계를 가지는지 확인할 수 있다.
사용자는 가시화 정보로부터 접근 정책 상 서로 영향을 미치는 접근 정책을 알 수 있다.
가시화 정보는 기존 보안 정책 상 위험 요소는 정책에 대한 접근 제어 객체 정보를 제공할 수 있다.
사용자는 접근 제어 객체 정보를 선택하여 선택된 정보와 보안 정책 상 관련된 접근 제어 객체 정보를 얻을 수 있다.
사용자는 둘 이상의 보안 정책들의 관계 문제가 될 수 있는 접근 정책 객체 정보들을 특이 정보로서 확인할 수 있다. 그리고 이러한 특이 정보들의 그룹 정보를 얻을 수도 있다.
사용자가 가시화 정보 중 특정 접근 제어 객체 정보를 선택하면, 가시화 정보는 특정 접근 제어 객체 정보의 접근 제어 요소 정보 별 상세한 정보를 제공할 수 있다.
따라서, 사용자는 가시화 정보로부터 접근 정책 객체 정보를 이용하여 보안 정책들이 서로 상하위인지, 중복되는지, 일반화되거나, 또는 연관성을 가지는지 등에 대한 관계 정보를 얻을 수 있다.
이러한 가시화 정보를 이용하여 사용자는 보안 장치에 설정된 접근 정책의 특성, 보안 위반 여부, 보안 정책의 관계 들을 직관적으로 알 수 있다.
따라서, 사용자는 가시화 정보로부터 보안 장치의 접근 정책을 최적화하거나 보안 수준을 강화할 수 있고, 보안 위반 사항이나 보안 정책에 대한 관계 이상이 있는지 등을 파악할 수 있다.
110: 보안장치
200: 데이터 관리부
210: 데이터 전처리 모듈
220: 환경설정모듈
230: 데이터 관리 모듈
300: 분석관리모듈
310: 분석정보 관리모듈
320: 가시화정보 관리모듈
400: 가시화모듈
410: 접근정책 가시화 모듈
420: 보안로그 이상행위 가시화 모듈
430: 추적분석 가시화 모듈

Claims (13)

  1. 보안 장치에 설정된 보안 정책 정보에 따른 접근 제어 요소 정보를 추출하는 단계;
    상기 추출된 접근 제어 요소 정보를 분석하여 상기 보안 정책 정보의 분석 정보를 생성하는 단계; 및
    상기 생성된 보안 정책 정보의 분석 정보를 가시화 정보로 제공하는 단계;를 포함하고,
    상기 가시화 정보는, 상기 접근 제어 요소 정보에 대해 상기 보안 정책 정보 중 복수의 접근 정책들의 관계 정보를 포함하고,
    상기 가시화 정보는 상기 관계 정보를 상기 보안 정책 정보의 포함 관계에 따라 음영관계(shadowing) 정보, 중복관계(redundancy) 정보, 일반화관계(generalization) 정보, 또는 상관관계(correlation) 정보로 표시하는 보안 정책 정보 가시화 방법.
  2. 제 1 항에 있어서,
    상기 접근 제어 요소 정보는,
    상기 보안 장치에 접근 요청의 출발지 IP 주소 (source internet protocol address) 정보, 목적지 IP 주소 (destination IP address) 정보, 포트(port) 정보, 또는 상기 접근 요청에 대한 상기 보안 장치의 접근 정책에 따른 액션 중 적어도 하나를 포함하는 보안 정책 정보 가시화 방법.
  3. 제 1 항에 있어서,
    상기 가시화 정보는,
    상기 접근 제어 요소 정보에 대해 상기 설정된 보안 정책 정보 중 복수의 접근 정책들의 관계 정보를 포함하는 보안 정책 정보 가시화 방법.
  4. 삭제
  5. 제 1항에 있어서,
    상기 가시화 정보는,
    상기 보안 정책 정보에 맞지 않는 접근 정책 객체 정보를 사용자에게 별도로 표시하는 보안 정책 정보 가시화 방법.
  6. 보안 장치에 설정된 보안 정책 정보에 따른 접근 제어 요소 정보를 추출하는 데이터 관리부;
    상기 추출된 접근 제어 요소 정보를 분석하여 상기 보안 정책 정보의 분석 정보를 생성하는 분석관리모듈; 및
    상기 생성된 보안 정책 정보의 분석 정보를 가시화 정보로 제공하는 가시화 모듈;을 포함하고,
    상기 가시화 정보는, 상기 접근 제어 요소 정보에 대해 상기 보안 정책 정보 중 복수의 접근 정책들의 관계 정보를 포함하고,
    상기 가시화 정보는 상기 관계 정보를 상기 보안 정책 정보의 포함 관계에 따라 음영관계(shadowing) 정보, 중복관계(redundancy) 정보, 일반화관계(generalization) 정보, 또는 상관관계(correlation) 정보로 표시하는 보안 정책 정보 가시화 장치.
  7. 제 6 항에 있어서,
    상기 접근 제어 요소 정보는,
    상기 보안 장치에 접근 요청의 출발지 IP 주소 (source internet protocol address) 정보, 목적지 IP 주소 (destination IP address) 정보, 포트(port) 정보, 또는 상기 접근 요청에 대한 상기 보안 장치의 접근 정책에 따른 액션 중 적어도 하나를 포함하는 보안 정책 정보 가시화 장치.
  8. 제 6 항에 있어서,
    상기 가시화 정보는,
    상기 접근 제어 요소 정보에 대해 상기 설정된 보안 정책 정보 중 복수의 접근 정책들의 관계 정보를 포함하는 보안 정책 정보 가시화 장치.
  9. 삭제
  10. 제 6항에 있어서,
    상기 가시화 정보는,
    상기 보안 정책 정보에 맞지 않는 접근 정책 객체 정보를 사용자에게 별도로 표시하는 보안 정책 정보 가시화 장치.
  11. 보안 장치에 설정된 보안 정책 정보에 따른 접근 제어 요소 정보를 추출하고; 상기 추출된 접근 제어 요소 정보를 분석하여 상기 보안 정책 정보의 분석 정보를 생성하고; 상기 생성된 보안 정책 정보의 분석 정보를 가시화 정보로 제공하는 보안 정책 정보를 가시화하고,
    상기 가시화 정보는, 상기 접근 제어 요소 정보에 대해 상기 보안 정책 정보 중 복수의 접근 정책들의 관계 정보를 포함하고,
    상기 가시화 정보는 상기 관계 정보를 상기 보안 정책 정보의 포함 관계에 따라 음영관계(shadowing) 정보, 중복관계(redundancy) 정보, 일반화관계(generalization) 정보, 또는 상관관계(correlation) 정보로 표시하는 프로그램을 저장하는 저장매체.
  12. 제 11항에 있어서,
    상기 가시화 정보는,
    상기 접근 제어 요소 정보에 대해 상기 설정된 보안 정책 정보 중 복수의 접근 정책들의 관계 정보를 포함하는 보안 정책 정보를 가시화하는 프로그램을 저장하는 저장매체.
  13. 삭제
KR1020190166140A 2019-12-12 2019-12-12 보안 정책 정보 가시화 장치, 보안 정책 정보 가시화 방법 및 보안 정책 정보를 가시화하는 프로그램을 저장하는 저장매체 KR102260273B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190166140A KR102260273B1 (ko) 2019-12-12 2019-12-12 보안 정책 정보 가시화 장치, 보안 정책 정보 가시화 방법 및 보안 정책 정보를 가시화하는 프로그램을 저장하는 저장매체

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190166140A KR102260273B1 (ko) 2019-12-12 2019-12-12 보안 정책 정보 가시화 장치, 보안 정책 정보 가시화 방법 및 보안 정책 정보를 가시화하는 프로그램을 저장하는 저장매체

Publications (1)

Publication Number Publication Date
KR102260273B1 true KR102260273B1 (ko) 2021-06-03

Family

ID=76396518

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190166140A KR102260273B1 (ko) 2019-12-12 2019-12-12 보안 정책 정보 가시화 장치, 보안 정책 정보 가시화 방법 및 보안 정책 정보를 가시화하는 프로그램을 저장하는 저장매체

Country Status (1)

Country Link
KR (1) KR102260273B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102418470B1 (ko) 2022-01-03 2022-07-08 (주)유엠로직스 연산기법을 이용한 비대면 서비스 보안정책 협상 시스템 및 그 방법
KR20230072955A (ko) 2021-11-18 2023-05-25 (주)유엠로직스 메타 데이터를 이용한 보안 정책 정보 분석 및 관리 시스템과 그 방법
CN117097565A (zh) * 2023-10-18 2023-11-21 山东源鲁信息科技有限公司 一种基于业务系统构造策略模型的方法
KR102605510B1 (ko) * 2022-10-06 2023-11-23 충북대학교 산학협력단 방화벽 정책을 점검하기 위한 정보 제공 방법 및 이를 수행하기 위한 장치

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040055513A (ko) * 2002-12-21 2004-06-26 한국전자통신연구원 정책 기반 네트워크 보안 시스템의 보안 정책을 위한 정보모델
KR20050031215A (ko) * 2003-09-29 2005-04-06 한국전자통신연구원 네트워크 노드의 보안 엔진 관리 장치 및 방법
KR20140118494A (ko) * 2013-03-29 2014-10-08 한국전자통신연구원 제어 시스템의 이상 징후 탐지 장치 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040055513A (ko) * 2002-12-21 2004-06-26 한국전자통신연구원 정책 기반 네트워크 보안 시스템의 보안 정책을 위한 정보모델
KR20050031215A (ko) * 2003-09-29 2005-04-06 한국전자통신연구원 네트워크 노드의 보안 엔진 관리 장치 및 방법
KR20140118494A (ko) * 2013-03-29 2014-10-08 한국전자통신연구원 제어 시스템의 이상 징후 탐지 장치 및 방법

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230072955A (ko) 2021-11-18 2023-05-25 (주)유엠로직스 메타 데이터를 이용한 보안 정책 정보 분석 및 관리 시스템과 그 방법
KR102418470B1 (ko) 2022-01-03 2022-07-08 (주)유엠로직스 연산기법을 이용한 비대면 서비스 보안정책 협상 시스템 및 그 방법
KR102605510B1 (ko) * 2022-10-06 2023-11-23 충북대학교 산학협력단 방화벽 정책을 점검하기 위한 정보 제공 방법 및 이를 수행하기 위한 장치
CN117097565A (zh) * 2023-10-18 2023-11-21 山东源鲁信息科技有限公司 一种基于业务系统构造策略模型的方法
CN117097565B (zh) * 2023-10-18 2023-12-29 山东源鲁信息科技有限公司 一种基于业务系统构造策略模型的方法

Similar Documents

Publication Publication Date Title
KR102260273B1 (ko) 보안 정책 정보 가시화 장치, 보안 정책 정보 가시화 방법 및 보안 정책 정보를 가시화하는 프로그램을 저장하는 저장매체
US10862918B2 (en) Multi-dimensional heuristic search as part of an integrated decision engine for evolving defenses
CN112651006A (zh) 一种电网安全态势感知平台架构
Hu et al. Detecting and resolving firewall policy anomalies
US11438385B2 (en) User interface supporting an integrated decision engine for evolving defenses
CN106101130B (zh) 一种网络恶意数据检测方法、装置及系统
JP2006040247A (ja) セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム
CN104509034A (zh) 模式合并以识别恶意行为
CN114372286A (zh) 数据安全管理方法、装置、计算机设备及存储介质
Kim et al. Firewall ruleset visualization analysis tool based on segmentation
CN107276858A (zh) 一种访问关系梳理方法及系统
US9961047B2 (en) Network security management
US20210173940A1 (en) Mitigation of external exposure of energy delivery systems
CN113242267A (zh) 一种基于类脑计算的态势感知方法
CN113240116B (zh) 基于类脑平台的智慧防火云系统
CN113794276A (zh) 一种基于人工智能的配电网终端安全行为监测系统及方法
CN111107108B (zh) 一种工业控制系统网络安全分析的方法
CN106534174A (zh) 一种敏感数据的云防护方法、装置及系统
CN112650180B (zh) 安全告警方法、装置、终端设备及存储介质
Bezas et al. Comparative analysis of open source security information & event management systems (SIEMs)
US11876820B2 (en) Security information visualization device, security information visualization method, and storage medium for storing program for visualizing security information
Li et al. The research on network security visualization key technology
Azarkasb et al. A network intrusion detection approach at the edge of fog
KR102251528B1 (ko) 사이버 보안 정보 가시화 장치, 사이버 보안 정보 가시화 방법 및 사이버 보안 정보를 가시화 하는 프로그램을 저장하는 저장매체
CN113301040A (zh) 一种防火墙策略优化方法、装置、设备及存储介质

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant