KR102314557B1 - 보안 통제 관리 시스템 및 그 방법 - Google Patents

보안 통제 관리 시스템 및 그 방법 Download PDF

Info

Publication number
KR102314557B1
KR102314557B1 KR1020210015611A KR20210015611A KR102314557B1 KR 102314557 B1 KR102314557 B1 KR 102314557B1 KR 1020210015611 A KR1020210015611 A KR 1020210015611A KR 20210015611 A KR20210015611 A KR 20210015611A KR 102314557 B1 KR102314557 B1 KR 102314557B1
Authority
KR
South Korea
Prior art keywords
threat
information
url
database
collected
Prior art date
Application number
KR1020210015611A
Other languages
English (en)
Other versions
KR20210106896A (ko
Inventor
박홍근
황태환
Original Assignee
주식회사 에이치엠아이(HMI Inc.)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 에이치엠아이(HMI Inc.) filed Critical 주식회사 에이치엠아이(HMI Inc.)
Publication of KR20210106896A publication Critical patent/KR20210106896A/ko
Application granted granted Critical
Publication of KR102314557B1 publication Critical patent/KR102314557B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content

Abstract

본 발명은 보안 통제 관리 시스템 및 그 방법을 개시한다. 즉, 본 발명은 보안센터, 인사정보 데이터베이스, 차단 시스템 등으로부터 위협 IP, 위협 URL, 인사 정보 및 커맨드 앤 제어 정보 IP 등을 수집하고, 상기 수집된 정보를 분석하여 위협 IP 및 위협 URL에 대해 위험 레벨을 산출하고, REST API 및 외부 다이내믹 URL을 이용하여 차단 정책에서 사용되는 IP 오브젝트 및 URL 오브젝트의 내용을 업데이트함으로써, 위협 IP 및 위협 URL 대응에 따른 시간, 인력 사용 수준을 개선하고, 보다 효율적으로 자원을 활용하며, 전체 시스템의 업무 효율을 향상시킬 수 있다.

Description

보안 통제 관리 시스템 및 그 방법{System for managing security control and method thereof}
본 발명은 보안 통제 관리 시스템 및 그 방법에 관한 것으로서, 특히 보안센터, 인사정보 데이터베이스, 차단 시스템 등으로부터 위협 IP, 위협 URL, 인사 정보 및 커맨드 앤 제어 정보 IP 등을 수집하고, 상기 수집된 정보를 분석하여 위협 IP 및 위협 URL에 대해 위험 레벨을 산출하고, REST API 및 외부 다이내믹 URL을 이용하여 차단 정책에서 사용되는 IP 오브젝트 및 URL 오브젝트의 내용을 업데이트하는 보안 통제 관리 시스템 및 그 방법에 관한 것이다.
침입 차단 기능 제공 시스템은 사용 권한이 없는 사람이 파일이나 장치 따위에 접근하지 못하도록 막고 보호하는 시스템이다.
이러한 침입 차단 기능 제공 시스템은 보안 운영팀과 IT 운영팀 등의 업무 구성 측면에서, 위협 IP 대응 방안 수립에 따른 보안 장비 차단 정책 적용에 대한 일련의 과정에서 인력, 소요 시간 등 많은 내부 자원이 사용되고, 그에 따른 운용 효율성이 저하되고 있다.
한국등록특허 제10-1002421호 [제목: 공인 아이피를 공유하는 인터넷 접속 요청 트래픽의 선별적 허용/차단 방법 및 그 방법을 실행하기 위한 공인 아이피 공유 상태 검출 및 차단 시스템]
본 발명의 목적은 보안센터, 인사정보 데이터베이스, 차단 시스템 등으로부터 위협 IP, 위협 URL, 인사 정보 및 커맨드 앤 제어 정보 IP 등을 수집하고, 상기 수집된 정보를 분석하여 위협 IP 및 위협 URL에 대해 위험 레벨을 산출하고, REST API 및 외부 다이내믹 URL을 이용하여 차단 정책에서 사용되는 IP 오브젝트 및 URL 오브젝트의 내용을 업데이트하는 보안 통제 관리 시스템 및 그 방법을 제공하는 데 있다.
본 발명의 실시예에 따른 보안 통제 관리 시스템은 보안 센터, 인사정보 데이터베이스 및 차단 시스템으로부터 위협 IP, 위협 URL 및 인사 정보를 수집하고, 작업 흐름 제어를 통해 상기 수집된 하나 이상의 위협 IP, 하나 이상의 위협 URL 및 상기 인사 정보에 대한 분류 작업과 집계 작업을 수행하고, 상기 분류 작업 및 집계 작업 수행 결과를 IP 데이터베이스, URL 데이터베이스, 요약 데이터베이스 및 상기 인사정보 데이터베이스에 각각 등록하고, 상기 수집된 위협 IP 정보, 상기 수집된 위협 URL 정보, 상기 수집된 인사 정보 및 상기 집계 작업 수행 결과를 근거로 각 위협 IP의 위험 레벨, 위협 URL의 위험 레벨 및 사용자의 위험 레벨을 각각 산정하고, 상기 수집된 위협 IP 정보, 상기 위협 IP 정보의 카운트 값 및 상기 산정된 위협 IP 정보에 대한 위험 레벨을 매핑하여 상기 요약 데이터베이스에 등록하고, 상기 수집된 위협 URL 정보, 상기 위협 URL 정보의 카운트 값 및 상기 산정된 위협 URL 정보에 대한 위험 레벨을 매핑하여 상기 요약 데이터베이스에 등록하는 보안 통제 관리 장치; 및 상기 보안 통제 관리 장치와 연동하여, REST API(REpresentational State Transfer Application Programming Interface) 및 외부 다이내믹 URL 중 적어도 하나를 이용해서 차단 정책에서 사용되는 IP 오브젝트 및 URL 오브젝트 중 적어도 하나의 내용을 업데이트하는 상기 차단 시스템을 포함할 수 있다.
본 발명과 관련된 일 예로서 상기 보안 통제 관리 장치는, 타입별로 미리 설정된 설정값과 상기 수집된 위협 IP 정보의 카운트 값을 근거로 상기 위협 IP 정보에 대한 위험 레벨을 산정할 수 있다.
본 발명과 관련된 일 예로서 상기 보안 통제 관리 장치는, 타입별로 미리 설정된 설정값과 상기 수집된 위협 URL 정보의 카운트 값을 근거로 상기 위협 URL 정보에 대한 위험 레벨을 산정할 수 있다.
본 발명의 실시예에 따른 보안 통제 관리 방법은 보안 통제 관리 장치에 의해, 보안 센터, 인사정보 데이터베이스 및 차단 시스템으로부터 위협 IP, 위협 URL 및 인사 정보를 수집하는 단계; 상기 보안 통제 관리 장치에 의해, 작업 흐름 제어를 통해 상기 수집된 하나 이상의 위협 IP, 하나 이상의 위협 URL 및 상기 인사 정보에 대한 분류 작업과 집계 작업을 수행하는 단계; 상기 보안 통제 관리 장치에 의해, 상기 분류 작업 및 집계 작업 수행 결과를 IP 데이터베이스, URL 데이터베이스, 요약 데이터베이스 및 상기 인사정보 데이터베이스에 각각 등록하는 단계; 상기 보안 통제 관리 장치에 의해, 상기 수집된 위협 IP 정보, 상기 수집된 위협 URL 정보, 상기 수집된 인사 정보 및 상기 집계 작업 수행 결과를 근거로 각 위협 IP의 위험 레벨, 위협 URL의 위험 레벨 및 사용자의 위험 레벨을 각각 산정하는 단계; 상기 보안 통제 관리 장치에 의해, 상기 수집된 위협 IP 정보, 상기 위협 IP 정보의 카운트 값 및 상기 산정된 위협 IP 정보에 대한 위험 레벨을 매핑하여 상기 요약 데이터베이스에 등록하고, 상기 수집된 위협 URL 정보, 상기 위협 URL 정보의 카운트 값 및 상기 산정된 위협 URL 정보에 대한 위험 레벨을 매핑하여 상기 요약 데이터베이스에 등록하는 단계; 및 상기 보안 통제 관리 장치에 의해, 상기 차단 시스템과 연동하여, REST API 및 외부 다이내믹 URL 중 적어도 하나를 이용해서 차단 정책에서 사용되는 IP 오브젝트 및 URL 오브젝트 중 적어도 하나의 내용을 업데이트하는 단계를 포함할 수 있다.
본 발명의 실시예에 따른 상기 위협 IP, 위협 URL 및 인사 정보를 수집하는 단계는, 상기 보안 통제 관리 장치에 의해, 미리 설정된 특정 시각에 동작하는 배치 작업을 통해 상기 보안 통제 관리 장치에 미리 설치된 수집 모듈을 호출하는 과정; 상기 호출된 수집 모듈을 통해 상기 보안 센터에 정보를 요청하는 과정; 및 상기 정보 요청에 응답하여, 상기 보안 센터로부터 전송되는 하나 이상의 위협 IP 및 하나 이상의 위협 URL를 수집하는 과정을 포함할 수 있다.
본 발명의 실시예에 따른 상기 위협 IP, 위협 URL 및 인사 정보를 수집하는 단계는, 상기 보안 통제 관리 장치에 의해, 미리 설정된 특정 시각에 동작하는 배치 작업을 통해 상기 보안 통제 관리 장치에 미리 설치된 수집 모듈을 호출하는 과정; 상기 호출된 수집 모듈을 통해 상기 인사정보 데이터베이스에 쿼리를 요청하는 과정; 및 상기 쿼리 요청에 응답하여, 상기 인사정보 데이터베이스로부터 하나 이상의 위협 IP 및 하나 이상의 위협 URL를 수집하는 과정을 포함할 수 있다.
본 발명의 실시예에 따른 상기 위협 IP, 위협 URL 및 인사 정보를 수집하는 단계는, 상기 차단 시스템으로부터 실시간으로 전달되는 시스로그 데이터를 수집하는 과정을 포함할 수 있다.
본 발명의 실시예에 따른 상기 사용자의 위험 레벨을 산정하는 단계는, 상기 차단 시스템으로부터 수집되는 시스로그 데이터의 출발지 IP 및 목적지 IP를 이용해서, 상기 수집된 인사 정보 내의 사용자 정보 중에서 상기 출발지 IP에 매핑되는 특정 사용자 정보를 확인하는 과정; 상기 목적지 IP를 상기 요약 데이터베이스에 업데이트하는 과정; 및 상기 요약 데이터베이스에서의 목적지 IP에 대응하는 위험 레벨을 상기 특정 사용자 정보 내의 위험 레벨로 업데이트하는 과정을 포함할 수 있다.
본 발명의 실시예에 따른 상기 REST API를 이용해서 상기 IP 오브젝트 및 URL 오브젝트 중 적어도 하나의 내용을 업데이트하는 단계는, 상기 보안 통제 관리 장치에 의해, 상기 REST API를 이용해서, 상기 차단 시스템에 포함된 방화벽 내의 IP 오브젝트의 전체 내용을 상기 IP 데이터베이스에 등록된 하나 이상의 위협 IP 정보로 업데이트하는 과정; 및 상기 보안 통제 관리 장치에 의해, 상기 REST API를 이용해서, 상기 차단 시스템에 포함된 방화벽 내의 URL 오브젝트의 전체 내용을 상기 URL 데이터베이스에 등록된 하나 이상의 위협 URL 정보로 업데이트하는 과정 중 적어도 하나의 과정을 포함할 수 있다.
본 발명의 실시예에 따른 상기 외부 다이내믹 URL을 이용해서 상기 IP 오브젝트 및 URL 오브젝트 중 적어도 하나의 내용을 업데이트하는 단계는, 상기 보안 통제 관리 장치에 의해, 웹 기능을 이용해서, 특정 URL에 상기 IP 데이터베이스에 등록된 하나 이상의 위협 IP 정보와 상기 URL 데이터베이스에 등록된 하나 이상의 위협 URL 정보를 제공하는 과정; 상기 차단 시스템에 의해, 외부 다이내믹 URL을 이용해서 상기 특정 URL에 접속하여 상기 하나 이상의 위협 IP 정보와 하나 이상의 위협 URL 정보를 수집하는 과정; 및 상기 차단 시스템에 의해, 상기 차단 시스템에 포함된 방화벽 내의 IP 오브젝트의 전체 내용을 상기 수집된 하나 이상의 위협 IP 정보로 업데이트하고, 상기 방화벽 내의 URL 오브젝트의 전체 내용을 상기 수집된 하나 이상의 위협 URL 정보로 업데이트하는 과정을 포함할 수 있다.
본 발명은 보안센터, 인사정보 데이터베이스, 차단 시스템 등으로부터 위협 IP, 위협 URL, 인사 정보 및 커맨드 앤 제어 정보 IP 등을 수집하고, 상기 수집된 정보를 분석하여 위협 IP 및 위협 URL에 대해 위험 레벨을 산출하고, REST API 및 외부 다이내믹 URL을 이용하여 차단 정책에서 사용되는 IP 오브젝트 및 URL 오브젝트의 내용을 업데이트함으로써, 위협 IP 및 위협 URL 대응에 따른 시간, 인력 사용 수준을 개선하고, 보다 효율적으로 자원을 활용하며, 전체 시스템의 업무 효율을 향상시킬 수 있는 효과가 있다.
도 1은 본 발명의 실시예에 따른 보안 통제 관리 시스템의 구성을 나타낸 블록도이다.
도 2는 본 발명의 실시예에 따른 차단 정책의 예를 나타낸 도이다.
도 3은 본 발명의 실시예에 따른 보안 통제 관리 방법을 나타낸 흐름도이다.
도 4는 본 발명의 실시예에 따른 보안 센터로부터 데이터를 수집하는 예를 나타낸 도이다.
도 5는 본 발명의 실시예에 따른 인사정보 데이터베이스로부터 데이터를 수집하는 예를 나타낸 도이다.
도 6은 본 발명의 실시예에 따른 차단 시스템으로부터 데이터를 수집하는 예를 나타낸 도이다.
도 7은 본 발명의 실시예에 따른 인사정보 데이터베이스로부터 인사 정보를 수집하는 예를 나타낸 도이다.
도 8은 본 발명의 실시예에 따른 수집된 데이터의 분석 과정의 예를 나타낸 도이다.
도 9는 본 발명의 실시예에 따른 수집된 인사 정보에 대해 위험 사용자 관리 예를 나타낸 도이다.
도 10은 본 발명의 실시예에 따른 REST API를 이용한 IP 오브젝트 및 URL 오브젝트를 업데이트하는 예를 나타낸 도이다.
도 11은 본 발명의 실시예에 따른 외부 다이내믹 URL을 이용한 IP 오브젝트 및 URL 오브젝트를 업데이트하는 예를 나타낸 도이다.
본 발명에서 사용되는 기술적 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아님을 유의해야 한다. 또한, 본 발명에서 사용되는 기술적 용어는 본 발명에서 특별히 다른 의미로 정의되지 않는 한, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 의미로 해석되어야 하며, 과도하게 포괄적인 의미로 해석되거나, 과도하게 축소된 의미로 해석되지 않아야 한다. 또한, 본 발명에서 사용되는 기술적인 용어가 본 발명의 사상을 정확하게 표현하지 못하는 잘못된 기술적 용어일 때에는 당업자가 올바르게 이해할 수 있는 기술적 용어로 대체되어 이해되어야 할 것이다. 또한, 본 발명에서 사용되는 일반적인 용어는 사전에 정의되어 있는 바에 따라, 또는 전후 문맥상에 따라 해석되어야 하며, 과도하게 축소된 의미로 해석되지 않아야 한다.
또한, 본 발명에서 사용되는 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함한다. 본 발명에서 "구성된다" 또는 "포함한다" 등의 용어는 발명에 기재된 여러 구성 요소들 또는 여러 단계를 반드시 모두 포함하는 것으로 해석되지 않아야 하며, 그 중 일부 구성 요소들 또는 일부 단계들은 포함되지 않을 수도 있고, 또는 추가적인 구성 요소 또는 단계들을 더 포함할 수 있는 것으로 해석되어야 한다.
또한, 본 발명에서 사용되는 제 1, 제 2 등과 같이 서수를 포함하는 용어는 구성 요소들을 설명하는데 사용될 수 있지만, 구성 요소들은 용어들에 의해 한정되어서는 안 된다. 용어들은 하나의 구성 요소를 다른 구성 요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제 1 구성 요소는 제 2 구성 요소로 명명될 수 있고, 유사하게 제 2 구성 요소도 제 1 구성 요소로 명명될 수 있다.
이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성 요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.
또한, 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 첨부된 도면은 본 발명의 사상을 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 발명의 사상이 제한되는 것으로 해석되어서는 아니 됨을 유의해야 한다.
도 1은 본 발명의 실시예에 따른 보안 통제 관리 시스템(10)의 구성을 나타낸 블록도이다.
도 1에 도시한 바와 같이, 보안 통제 관리 시스템(10)은 보안 센터(100), 인사정보 데이터베이스(200), 차단 시스템(300) 및 보안 통제 관리 장치(400)로 구성된다. 도 1에 도시된 보안 통제 관리 시스템(10)의 구성 요소 모두가 필수 구성 요소인 것은 아니며, 도 1에 도시된 구성 요소보다 많은 구성 요소에 의해 보안 통제 관리 시스템(10)이 구현될 수도 있고, 그보다 적은 구성 요소에 의해서도 보안 통제 관리 시스템(10)이 구현될 수도 있다.
상기 보안 센터(100), 상기 인사정보 데이터베이스(200), 상기 차단 시스템(300) 및 상기 보안 통제 관리 장치(400) 각각은 다른 단말들과의 통신 기능을 수행하기 위한 통신부(미도시), 다양한 정보 및 프로그램(또는 애플리케이션)을 저장하기 위한 저장부(미도시), 다양한 정보 및 프로그램 실행 결과를 표시하기 위한 표시부(미도시), 상기 다양한 정보 및 프로그램 실행 결과에 대응하는 음성 정보를 출력하기 위한 음성 출력부(미도시), 각 단말의 다양한 구성 요소 및 기능을 제어하기 위한 제어부(미도시) 등을 포함할 수 있다.
상기 보안 센터(100)는 상기 인사정보 데이터베이스(200), 상기 차단 시스템(300), 상기 보안 통제 관리 장치(400) 등과 통신한다.
또한, 상기 보안 센터(100)는 네트워크(또는 통신망)에 연결되는 복수의 단말(미도시)을 대상으로 디도스 공격(Distributed Denial of Service Attack), 해킹 등을 수행하는 위협 IP(Internet Protocol), 위협 URL(Uniform Resource Locator)(또는 위협 도메인) 등의 위협 정보를 수집 및 관리한다.
즉, 상기 보안 센터(100)는 특정 서버(미도시), 특정 단말(미도시) 등을 목적지로 하는 하나 이상의 패킷(또는 패킷 데이터)의 IP 주소(또는 URL 주소)를 확인하고, 상기 확인된 하나 이상의 패킷의 IP 주소를 근거로 해당 패킷을 전송하는 위협 예상 단말(미도시)로부터 전송되는 해당 패킷을 분석하여, 해당 패킷에 미리 설정된 디도스 공격 관련 정보, 해킹 관련 정보, 보안 관련 정보 등이 포함된 상태인지 판단한다.
상기 판단 결과, 해당 패킷에 미리 설정된 디도스 공격 관련 정보, 해킹 관련 정보, 보안 관련 정보 등이 포함된 상태인 경우, 상기 보안 센터(100)는 해당 패킷을 전송하는 IP 주소(또는 URL 주소)를 위협 IP 주소(또는 위협 IP/위협 URL)로 수집(또는 설정/등록)한다. 이때, 상기 보안 센터(100)는 상기 차단 시스템(300)과 연동하여, 상기 수집된 위협 IP에서 전송하는 임의의 패킷에 대응하는 응답 패킷의 목적지(또는 해당 패킷 내의 목적지 IP 주소)를 원래의 목적지 IP 주소에서 상기 보안 센터(100)의 IP 주소(또는 미리 설정된 더미 IP 주소)로 변경하여, 디도시, 해킹 등의 위협이 있는 해당 패킷이 원래의 특정 목적지로 전송되지 않도록 구성할 수도 있다.
또한, 상기 보안 센터(100)는 임의의 라우터, 스위치, 브리지, 리피터, 허브, 게이트웨이 등에서 송/수신되는 패킷을 수집한다.
또한, 상기 보안 센터(100)는 미리 설정된 유해 패킷에 대한 정보를 근거로 상기 수집된 패킷을 분석하여 해당 수집된 패킷에 유해 패킷에 대한 정보가 포함된 상태인지를 판단한다.
상기 판단 결과, 상기 수집된 패킷에 유해 패킷에 대한 정보가 포함된 상태인 경우, 상기 보안 센터(100)는 패킷을 전송하는 IP 주소를 위협 IP로 수집한다.
또한, 상기 보안 센터(100)는 실시간으로 수집되는 복수의 패킷의 출발지 IP 주소 및 목적지 IP 주소를 분석하여, 미리 설정된 시간 동안 동일한 내용(또는 데이터)을 포함하는 동일 패킷을 미리 설정된 횟수 이상으로 반복적으로 하나의(또는 복수의) 목적지로 전송하는 출발지 IP 주소를 확인하고, 상기 확인된 미리 설정된 시간 동안 동일한 내용을 포함하는 동일 패킷을 미리 설정된 횟수 이상으로 반복 전송하는 출발지 IP 주소를 위협 IP로 수집한다.
또한, 상기 보안 센터(100)는 미리 설정된 학습용 데이터 셋인 학습용 디도스 공격 관련 정보, 학습용 해킹 관련 정보, 학습용 보안 관련 정보 등을 통해 미리 설정된 위협 탐지 모델에 대해서 테스터 패킷의 위협 여부 예측을 위한 학습 기능을 수행한다. 여기서, 상기 위협 탐지 모델은 CNN(convolutional neural network), RNN(Recurrent Neural Network), LSTM(Long-Short Term Memory), GRU(Gated Recurrent Unit), VAE(variational auto-encoder), GAN(Generative Adversarial Network) 등으로 구성한다.
또한, 상기 보안 센터(100)는 실시간으로 수집되는 패킷을 해당 보안 센터(100)에서 미리 학습된 위협 탐지 모델의 입력값으로 하여 기계 학습(또는 인공지능/딥 러닝)을 수행하고, 기계 학습 결과(또는 딥 러닝 결과)를 근거로 상기 수집된 패킷의 위협 수준을 생성(또는 예측)한다. 여기서, 상기 수집된 패킷은 전처리 과정이 수행되고, 전처리된 패킷을 상기 위협 탐지 모델의 입력값으로 사용할 수도 있다.
또한, 해당 패킷과 관련해서 생성된(또는 예측된) 패킷의 위협 수준이 미리 설정된 기준값 이상인 경우, 상기 보안 센터(100)는 해당 패킷을 전송하는 출발지 IP 주소(또는 URL 주소)를 위협 IP(또는 위협 URL)로 수집한다.
또한, 상기 보안 센터(100)는 상기 보안 통제 관리 장치(400)로부터 전송되는 정보 요청 신호를 수신한다.
또한, 상기 보안 센터(100)는 상기 수신된 정보 요청 신호에 응답하여 상기 보안 센터(100)에서 관리 중인 하나 이상의 위협 IP, 하나 이상의 위협 URL 등을 상기 보안 통제 관리 장치(400)에 전송(또는 제공)한다.
상기 인사정보 데이터베이스(200)는 상기 보안 센터(100), 상기 차단 시스템(300), 상기 보안 통제 관리 장치(400) 등과 통신한다.
또한, 상기 인사정보 데이터베이스(200)는 인사 정보를 관리하는 인사 데이터베이스(미도시), 위협 IP나 위협 URL을 관리하는 위협 정보 데이터베이스(미도시), IP 정보에 대한 분류 및 집계 작업 수행 결과를 관리하는 IP 데이터베이스(미도시), URL 정보에 대한 분류 및 집계 작업 수행 결과를 관리하는 URL 데이터베이스(미도시), IP 및 URL 정보에 대한 분류 및 집계 작업 수행 결과를 관리하는 요약 데이터베이스(미도시) 등으로 구성(또는 포함)한다.
또한, 상기 인사정보 데이터베이스(200)는 상기 보안 통제 관리 장치(400)로부터의 정보 요청을 위한 쿼리 요청에 응답하여 해당 인사정보 데이터베이스(200)에서 관리 중인 하나 이상의 위협 IP, 하나 이상의 위협 URL 등을 상기 보안 통제 관리 장치(400)에 전송(또는 제공)한다.
또한, 상기 인사정보 데이터베이스(200)는 상기 보안 통제 관리 장치(400)로부터의 인사 정보 요청을 위한 쿼리 요청에 응답하여 해당 인사정보 데이터베이스(200)에서 관리 중인 하나 이상의 인사 정보 등을 상기 보안 통제 관리 장치(400)에 전송(또는 제공)한다.
상기 차단 시스템(300)은 상기 보안 센터(100), 상기 인사정보 데이터베이스(200), 상기 보안 통제 관리 장치(400) 등과 통신한다.
또한, 상기 차단 시스템(300)은 방화벽 등을 포함한다. 여기서, 상기 방화벽은 인터넷에 인터넷 프로토콜(protocol)로 접속되어 있는 네트워크를 불법적인 침입으로부터 보호하기 위하여 게이트웨이(gateway)에 설치하는 접속 제한 프로그램 또는 해당 접속 제한 프로그램이 적용된 장치를 나타낸다.
또한, 상기 차단 시스템(300)은 상기 보안 통제 관리 장치(400)의 요청에 따라 시스로그 데이터(SYSLOG data)를 상기 보안 통제 관리 장치(400)에 전송하거나 또는, 요청과 무관하게 실시간으로 시스로그 데이터를 상기 보안 통제 관리 장치(400)에 전송하거나 또는, 미리 설정된 주기나 시스로그 데이터가 업데이트된 경우 해당 시스로그 데이터를 상기 보안 통제 관리 장치(400)에 전송한다. 여기서, 상기 시스로그 데이터는 하나 이상의 위협 IP, 하나 이상의 위협 URL 등을 포함할 수 있다.
또한, 상기 차단 시스템(300)은 상기 보안 통제 관리 장치(400)와 연동하여, REST API 및/또는 외부 다이내믹 URL을 이용하여 차단 정책에서 사용되는 IP 오브젝트 및/또는 URL 오브젝트의 내용을 업데이트한다.
즉, 도 2에 도시된 바와 같이, 상기 차단 시스템(300)은 기본적으로 외부의 위협 IP, 위협 URL 등을 막기 위해서, 차단 정책을 기본적으로 생성하여 운영한다.
이러한 차단 정책 IP 오브젝트 및 URL 오브젝트에 수동으로 신규로 발생되는 IP 정보, URL 정보 등을 지속적으로 업데이트하는 구성 대신에, 상기 차단 시스템(300)은 상기 보안 통제 관리 장치(400)와 연동하여, 상기 REST API 및/또는 상기 외부 다이내믹 URL을 이용하여 차단 정책에서 사용되는 IP 오브젝트 및/또는 URL 오브젝트의 내용을 자동으로 업데이트하여 관리한다.
이와 같이, 상기 차단 시스템(300)은 해당 보안 통제 관리 장치(400)에서 관리되고 있는 위협 정보, 인사 정보 등을 이용해서 차단 정책에서 사용되는 IP 오브젝트의 내용, URL 오브젝트의 내용 등을 자동으로 업데이트하고, 그에 따라 자동 차단 기능을 연동할 수 있다.
상기 보안 통제 관리 장치(Security Control Management System/Apparatus)(400)는 상기 보안 센터(100), 상기 인사정보 데이터베이스(200), 상기 차단 시스템(300) 등과 통신한다.
또한, 상기 보안 통제 관리 장치(400)는 상기 보안 센터(100), 상기 인사정보 데이터베이스(200), 상기 차단 시스템(300) 등으로부터 위협 IP, 위협 URL, 인사 정보 및 커맨드 앤 제어 정보 IP(Command and Control Information IP) 등을 수집한다.
즉, 상기 보안 통제 관리 장치(400)는 미리 설정된 특정 시각에 동작하는 배치 작업(또는 일괄 작업, batch job)을 통해 해당 보안 통제 관리 장치(400)에 미리 설치된 수집 모듈(미도시)을 호출하고, 상기 호출된 수집 모듈을 통해 상기 보안 센터(100)에 정보를 요청(또는 상기 정보 요청 신호를 전송)한다. 또한, 상기 보안 통제 관리 장치(400)는 상기 정보 요청(또는 상기 정보 요청 신호)에 응답하여, 상기 보안 센터(100)로부터 전송되는 하나 이상의 위협 IP, 하나 이상의 위협 URL 등을 수집(또는 수신)한다.
또한, 상기 보안 통제 관리 장치(400)는 상기 배치 작업을 통해 해당 보안 통제 관리 장치(400)에 미리 설치된 상기 수집 모듈을 호출하고, 상기 호출된 수집 모듈을 통해 상기 인사정보 데이터베이스(200)에 정보 요청을 위해 쿼리(query)를 요청한다. 또한, 상기 보안 통제 관리 장치(400)는 상기 쿼리 요청에 응답하여, 상기 인사정보 데이터베이스(200)로부터 하나 이상의 위협 IP, 하나 이상의 위협 URL 등을 수집(또는 수신)한다.
또한, 상기 보안 통제 관리 장치(400)는 상기 차단 시스템(300)으로부터 실시간으로 전달되는 시스로그 데이터(SYSLOG data)를 수집(또는 파일 형태로 저장)한다. 여기서, 상기 시스로그 데이터는 하나 이상의 위협 IP, 하나 이상의 위협 URL 등을 포함할 수 있다.
또한, 상기 보안 통제 관리 장치(400)는 상기 호출된 수집 모듈을 통해 인사 정보 요청을 위한 쿼리를 상기 인사정보 데이터베이스(200) 및/또는 망 접근 제어(NAC: Network Access Control)(미도시)에 요청한다. 또한, 상기 보안 통제 관리 장치(400)는 상기 쿼리 요청에 응답하여, 상기 인사정보 데이터베이스(200) 및/또는 상기 망 접근 제어로부터 인사 정보 등을 수집한다. 여기서, 상기 인사 정보는 조직 정보(예를 들어 부서코드, 부서명, 상위부서코드 등 포함), 사용자 정보(예를 들어 이름/직위, 사번, 부서코드, 부서명, IP 정보, 위험 레벨 등 포함) 등을 포함한다.
또한, 상기 보안 통제 관리 장치(400)는 작업 흐름 제어(job flow control)를 통해 상기 수집된 하나 이상의 위협 IP, 하나 이상의 위협 URL, 인사 정보 등의 정보에 대한 분류 작업과 집계 작업을 수행한다.
또한, 상기 보안 통제 관리 장치(400)는 상기 분류 작업 및 집계 작업 수행 결과(또는 집계 작업 수행 결과)를 상기 인사정보 데이터베이스(200)에 포함된 인사 데이터베이스(미도시), 위협 정보 데이터베이스(미도시), IP 데이터베이스(미도시), URL 데이터베이스(미도시), 요약 데이터베이스(미도시) 등에 각각 등록(또는 저장)한다.
또한, 상기 보안 통제 관리 장치(400)는 상기 수집된 위협 IP 정보, 상기 수집된 위협 URL 정보, 상기 수집된 인사 정보, 상기 집계 작업 수행 결과 등을 근거로 각각의 위협 IP의 위험 레벨, 각각의 위협 URL의 위험 레벨, 각각의 사용자의 위험 레벨 등을 각각 산정(또는 산출)한다.
즉, 상기 보안 통제 관리 장치(400)는 타입별로 미리 설정된 설정값과 상기 수집된 위협 IP 정보의 카운트 값을 근거로 해당 위협 IP 정보에 대한 위험 레벨을 산정한다.
또한, 상기 보안 통제 관리 장치(400)는 상기 타입별로 미리 설정된 설정값과 상기 수집된 위협 URL 정보의 카운트 값을 근거로 해당 위협 URL 정보에 대한 위험 레벨을 산정한다.
또한, 상기 보안 통제 관리 장치(400)는 상기 수집된 위협 IP 정보, 상기 집계 작업 수행 결과(또는 해당 위협 IP 정보의 카운트 값), 상기 산정된 해당 위협 IP 정보에 대한 위험 레벨 등을 연동(또는 매핑/매칭)하여 상기 인사정보 데이터베이스(200) 내의 해당 요약 데이터베이스에 등록(또는 저장/관리)한다.
또한, 상기 보안 통제 관리 장치(400)는 상기 수집된 위협 URL 정보, 상기 집계 작업 수행 결과(또는 해당 위협 URL 정보의 카운트 값), 상기 산정된 해당 위협 URL 정보에 대한 위험 레벨 등을 연동하여 해당 요약 데이터베이스에 등록한다.
이때, 상기 보안 통제 관리 장치(400)는 앞서 수집된 인사 정보(예를 들어 조직 정보, 사용자 정보 등 포함)를 상기 위협 IP 정보 및/또는 상기 위협 URL 정보에 연동하여 상기 인사정보 데이터베이스(200)(또는 상기 요약 데이터베이스)에 등록할 수도 있다.
즉, 상기 보안 통제 관리 장치(400)는 상기 차단 시스템(300)으로부터 수집되는 시스로그 데이터의 출발지 IP(또는 사용자 IP) 및 목적지 IP를 이용해서, 상기 수집된 사용자 정보 중에서 상기 출발지 IP에 매핑되는(또는 대응하는) 특정 사용자 정보를 확인(또는 검색)한다.
또한, 상기 보안 통제 관리 장치(400)는 상기 목적지 IP를 상기 요약 데이터베이스에 업데이트한다.
또한, 상기 보안 통제 관리 장치(400)는 상기 요약 데이터베이스에서의 해당 목적지 IP에 대응하는 위험 레벨을 상기 특정 사용자 정보 내의 위험 레벨로 업데이트(또는 적용)한다.
이와 같이, 상기 보안 통제 관리 장치(400)는 인사 정보(예를 들어 조직 정보, 사용자 정보 등 포함)를 통합 관리하며, 솔루션 및 장비에 해당 인사 정보를 제공할 수 있다.
또한, 상기 보안 통제 관리 장치(400)는 데이터베이스 형태, 파일 형태 등으로 상기 인사 정보를 제공할 수 있다.
또한, 상기 보안 통제 관리 장치(400)는 전용 앱 또는 웹 사이트를 통해 상기 위협 IP, 위협 URL, 인사 정보 등의 데이터를 수집하는 데이터 수집 기능, 수집된 데이터에 대한 분석 기능, 데이터 분석에 따라 차단 시스템(300)에 정보를 자동으로 업데이트하는 기능 등을 수행할 수도 있다.
이와 같이, 보안센터, 인사정보 데이터베이스, 차단 시스템 등으로부터 위협 IP, 위협 URL, 인사 정보 및 커맨드 앤 제어 정보 IP 등을 수집하고, 상기 수집된 정보를 분석하여 위협 IP 및 위협 URL에 대해 위험 레벨을 산출하고, REST API 및 외부 다이내믹 URL을 이용하여 차단 정책에서 사용되는 IP 오브젝트 및 URL 오브젝트의 내용을 업데이트할 수 있다.
이하에서는, 본 발명에 따른 보안 통제 관리 방법을 도 1 내지 도 11을 참조하여 상세히 설명한다.
도 3은 본 발명의 실시예에 따른 보안 통제 관리 방법을 나타낸 흐름도이다.
먼저, 보안 통제 관리 장치(400)는 보안 센터(100), 인사정보 데이터베이스(200), 차단 시스템(300) 등으로부터 위협 IP, 위협 URL, 인사 정보 및 커맨드 앤 제어 정보 IP 등을 수집한다.
즉, 상기 보안 통제 관리 장치(400)는 미리 설정된 특정 시각에 동작하는 배치 작업(또는 일괄 작업, batch job)을 통해 해당 보안 통제 관리 장치(400)에 미리 설치된 수집 모듈(미도시)을 호출하고, 상기 호출된 수집 모듈을 통해 상기 보안 센터(100)에 정보를 요청(또는 정보 요청 신호를 전송)한다. 또한, 상기 보안 통제 관리 장치(400)는 상기 정보 요청(또는 상기 정보 요청 신호)에 응답하여, 상기 보안 센터(100)로부터 전송되는 하나 이상의 위협 IP, 하나 이상의 위협 URL 등을 수집(또는 수신)한다.
또한, 상기 보안 통제 관리 장치(400)는 상기 배치 작업을 통해 해당 보안 통제 관리 장치(400)에 미리 설치된 상기 수집 모듈을 호출하고, 상기 호출된 수집 모듈을 통해 상기 인사정보 데이터베이스(200)에 정보 요청을 위해 쿼리(query)를 요청한다. 또한, 상기 보안 통제 관리 장치(400)는 상기 쿼리 요청에 응답하여, 상기 인사정보 데이터베이스(200)로부터 하나 이상의 위협 IP, 하나 이상의 위협 URL 등을 수집(또는 수신)한다.
또한, 상기 보안 통제 관리 장치(400)는 상기 차단 시스템(300)으로부터 실시간으로 전달되는 시스로그 데이터를 수집(또는 파일 형태로 저장)한다. 여기서, 상기 시스로그 데이터는 하나 이상의 위협 IP, 하나 이상의 위협 URL 등을 포함할 수 있다.
또한, 상기 보안 통제 관리 장치(400)는 상기 호출된 수집 모듈을 통해 인사 정보 요청을 위한 쿼리를 상기 인사정보 데이터베이스(200) 및/또는 망 접근 제어(NAC: Network Access Control)(미도시)에 요청한다. 또한, 상기 보안 통제 관리 장치(400)는 상기 쿼리 요청에 응답하여, 상기 인사정보 데이터베이스(200) 및/또는 상기 망 접근 제어로부터 인사 정보 등을 수집한다. 여기서, 상기 인사 정보는 조직 정보(예를 들어 부서코드, 부서명, 상위부서코드 등 포함), 사용자 정보(예를 들어 이름/직위, 사번, 부서코드, 부서명, IP 정보, 위험 레벨 등 포함) 등을 포함한다.
또한, 상기 보안 통제 관리 장치(400)는 작업 흐름 제어(job flow control)를 통해 상기 수집된 하나 이상의 위협 IP, 하나 이상의 위협 URL, 인사 정보 등의 정보에 대한 분류 작업과 집계 작업을 수행한다.
또한, 상기 보안 통제 관리 장치(400)는 상기 분류 작업 및 집계 작업 수행 결과(또는 집계 작업 수행 결과)를 상기 인사정보 데이터베이스(200)에 포함된 인사 데이터베이스, 위협 정보 데이터베이스, IP 데이터베이스, URL 데이터베이스, 요약 데이터베이스 등에 각각 등록(또는 저장)한다.
일 예로, 상기 보안 통제 관리 장치(400)는 미리 설정된 특정 시각에 동작하는 제 1 배치 작업을 통해 제 1 수집 모듈(예를 들어 collect/export 수집 모듈)을 호출하고, 상기 호출된 제 1 수집 모듈을 통해 상기 보안 센터(100)에 정보를 요청한다. 또한, 상기 보안 통제 관리 장치(400)는 상기 정보 요청에 응답하여 상기 보안 센터(100)로부터 전송되는 제 1 위협 IP(예를 들어 201901010100, 192.168.1.1, KR, 위협 IP) 및 제 1 위협 URL(예를 들어 201901010110, www.abccom, KR, 위협 URL)을 수집한다.
또한, 상기 보안 통제 관리 장치(400)는 미리 설정된 제 1 작업 흐름 모듈을 호출하고, 도 4에 도시된 바와 같이, 상기 호출된 제 1 작업 흐름 모듈을 통해 상기 수집된 제 1 위협 IP 및 제 1 위협 URL을 IP에 대해서 날짜, IP 및 타입으로 분류 작업 및 집계 작업을 수행하고, URL에 대해서 날짜, URL 및 타입으로 분류 작업 및 집계 작업을 수행하고, 요약에 대해서 IP, 카운트값 및 레벨과, URL, 카운트값 및 레벨로 분류 작업 및 집계 작업을 각각 수행한다.
또한, 상기 보안 통제 관리 장치(400)는 상기 제 1 위협 IP에 대한 상기 분류 및 집계 작업 수행에 따른 결과를 상기 IP 데이터베이스에 등록하고, 상기 제 1 위협 URL에 대한 상기 분류 및 집계 작업 수행에 따른 결과를 상기 URL 데이터베이스에 등록하고, 상기 제 1 위협 IP와 제 1 위협 URL에 대한 상기 분류 및 집계 작업 수행에 따른 결과를 상기 요약 데이터베이스에 등록한다.
또한, 상기 보안 통제 관리 장치(400)는 상기 제 1 배치 작업을 통해 제 2 수집 모듈(예를 들어 DBMS: Database Management System)을 호출하고, 상기 호출된 제 2 수집 모듈을 통해 상기 인사정보 데이터베이스(200)에 쿼리를 요청한다. 또한, 상기 보안 통제 관리 장치(400)는 상기 쿼리 요청에 응답하여 상기 인사정보 데이터베이스(200)로부터 제 2 위협 IP(예를 들어 201901030100, 192.168.1.1), 제 3 위협 IP(예를 들어 201901010100, 1.1.1.1) 및 제 2 위협 URL(예를 들어 201901020110, www.test.com)을 수집한다.
또한, 상기 보안 통제 관리 장치(400)는 미리 설정된 제 2 작업 흐름 모듈을 호출하고, 도 5에 도시된 바와 같이, 상기 호출된 제 2 작업 흐름 모듈을 통해 상기 수집된 제 2 위협 IP, 제 3 위협 IP 및 제 2 위협 URL을 IP에 대해서 날짜, IP 및 타입으로 분류 작업 및 집계 작업을 수행하고, URL에 대해서 날짜, URL 및 타입으로 분류 작업 및 집계 작업을 수행하고, 요약에 대해서 IP, 카운트값 및 레벨과, URL, 카운트값 및 레벨로 분류 작업 및 집계 작업을 각각 수행한다.
또한, 상기 보안 통제 관리 장치(400)는 상기 제 2 위협 IP 및 상기 제 3 위협 IP에 대한 상기 분류 및 집계 작업 수행에 따른 결과를 상기 IP 데이터베이스에 등록하고, 상기 제 2 위협 URL에 대한 상기 분류 및 집계 작업 수행에 따른 결과를 상기 URL 데이터베이스에 등록하고, 상기 제 2 위협 IP와 제 3 위협 IP와 제 2 위협 URL에 대한 상기 분류 및 집계 작업 수행에 따른 결과를 상기 요약 데이터베이스에 등록한다.
또한, 상기 보안 통제 관리 장치(400)는 상기 제 1 배치 작업을 통해 제 3 수집 모듈(예를 들어 TCP, UDP)을 호출하고, 상기 호출된 제 3 수집 모듈을 통해 상기 차단 시스템(300)으로부터 실시간으로 전달되는 제 4 위협 IP(예를 들어 201901030100, 172.20.10.1, 1.1.1.1)와 제 3 위협 URL(예를 들어 201901030100, 172.30.10.1, www.aaa.com)을 포함하는 제 1 시스로그 데이터를 수집한다.
또한, 상기 보안 통제 관리 장치(400)는 미리 설정된 제 3 작업 흐름 모듈을 호출하고, 도 6에 도시된 바와 같이, 상기 호출된 제 3 작업 흐름 모듈을 통해 상기 수집된 제 4 위협 IP와 제 3 위협 URL을 IP에 대해서 날짜, IP 및 타입으로 분류 작업 및 집계 작업을 수행하고, URL에 대해서 날짜, URL 및 타입으로 분류 작업 및 집계 작업을 수행하고, 요약에 대해서 IP, 카운트값 및 레벨과, URL, 카운트값 및 레벨로 분류 작업 및 집계 작업을 각각 수행한다.
또한, 상기 보안 통제 관리 장치(400)는 상기 제 4 위협 IP에 대한 상기 분류 및 집계 작업 수행에 따른 결과를 상기 IP 데이터베이스에 등록하고, 상기 제 3 위협 URL에 대한 상기 분류 및 집계 작업 수행에 따른 결과를 상기 URL 데이터베이스에 등록하고, 상기 제 4 위협 IP와 제 3 위협 URL에 대한 상기 분류 및 집계 작업 수행에 따른 결과를 상기 요약 데이터베이스에 등록한다.
또한, 상기 보안 통제 관리 장치(400)는 상기 제 1 배치 작업을 통해 제 4 수집 모듈(예를 들어 상기 DBMS)을 호출하고, 상기 호출된 제 4 수집 모듈을 통해 상기 인사정보 데이터베이스(200) 및/또는 상기 망 접근 제어에 인사 정보 요청을 위한 쿼리를 요청한다. 또한, 상기 보안 통제 관리 장치(400)는 상기 쿼리 요청에 응답하여 상기 인사정보 데이터베이스(200) 및/또는 상기 망 접근 제어로부터 제 1 조직 정보(예를 들어 100, 경영지원본부, 0)와 제 2 조직 정보(예를 들어 200, 영업지원팀, 100) 및 제 1 사용자 정보(예를 들어 사장, 0001, 100, 172.10.10.1)와 제 2 사용자 정보(예를 들어 영업팀장, 0002, 200, 172.20.10.1)를 수집한다.
또한, 상기 보안 통제 관리 장치(400)는 미리 설정된 제 4 작업 흐름 모듈을 호출하고, 도 7에 도시된 바와 같이, 상기 호출된 제 4 작업 흐름 모듈을 통해 상기 수집된 제 1 조직 정보(예를 들어 100, 경영지원본부, 0)와 제 2 조직 정보(예를 들어 200, 영업지원팀, 100) 및 제 1 사용자 정보(예를 들어 사장, 0001, 100, 172.10.10.1)와 제 2 사용자 정보(예를 들어 영업팀장, 0002, 200, 172.20.10.1)를 조직 정보에 대해서 부서코드, 부서명 및 상위부서코드로 분류 작업 및 집계 작업을 수행하고, 사용자 정보에 대해서 이름, 사번, 부서코드, 부서명, IP 정보 및 위험 레벨로 분류 작업 및 집계 작업을 각각 수행한다.
또한, 상기 보안 통제 관리 장치(400)는 상기 제 1 조직 정보 및 제 2 조직 정보에 대한 상기 분류 및 집계 작업 수행에 따른 결과를 상기 인사정보 데이터베이스(200) 내의 조직 정보에 등록하고, 상기 제 1 사용자 정보 및 제 2 사용자 정보에 대한 상기 분류 및 집계 작업 수행에 따른 결과를 상기 인사정보 데이터베이스(200) 내의 사용자 정보에 등록한다(S310).
이후, 상기 보안 통제 관리 장치(400)는 상기 수집된 위협 IP 정보, 상기 수집된 위협 URL 정보, 상기 수집된 인사 정보, 상기 집계 작업 수행 결과 등을 근거로 각각의 위협 IP의 위험 레벨, 각각의 위협 URL의 위험 레벨, 각각의 사용자의 위험 레벨 등을 각각 산정(또는 산출)한다.
즉, 상기 보안 통제 관리 장치(400)는 타입별로 미리 설정된 설정값과 상기 수집된 위협 IP 정보의 카운트 값을 근거로 해당 위협 IP 정보에 대한 위험 레벨을 산정한다. 여기서, 상기 설정값은 설계자의 설계에 따라 수정(또는 변경)이 가능하며, 미리 설정된 시간 또는 주기 단위로 분석(또는 산정)함에 따라 설정값이 수정되면 변경 데이터 확인이 가능할 수 있다.
또한, 상기 보안 통제 관리 장치(400)는 상기 타입별로 미리 설정된 설정값과 상기 수집된 위협 URL 정보의 카운트 값을 근거로 해당 위협 URL 정보에 대한 위험 레벨을 산정한다.
또한, 상기 보안 통제 관리 장치(400)는 상기 수집된 위협 IP 정보, 상기 집계 작업 수행 결과(또는 해당 위협 IP 정보의 카운트 값), 상기 산정된 해당 위협 IP 정보에 대한 위험 레벨 등을 연동(또는 매핑/매칭)하여 상기 인사정보 데이터베이스(200) 내의 해당 요약 데이터베이스에 등록(또는 저장/관리)한다.
또한, 상기 보안 통제 관리 장치(400)는 상기 수집된 위협 URL 정보, 상기 집계 작업 수행 결과(또는 해당 위협 URL 정보의 카운트 값), 상기 산정된 해당 위협 URL 정보에 대한 위험 레벨 등을 연동하여 해당 요약 데이터베이스에 등록한다.
이때, 상기 보안 통제 관리 장치(400)는 앞서 수집된 인사 정보(예를 들어 조직 정보, 사용자 정보 등 포함)를 상기 위협 IP 정보 및/또는 상기 위협 URL 정보에 연동하여 상기 인사정보 데이터베이스(200)(또는 상기 요약 데이터베이스)에 등록할 수도 있다.
즉, 상기 보안 통제 관리 장치(400)는 상기 차단 시스템(300)으로부터 수집되는 시스로그 데이터의 출발지 IP(또는 사용자 IP) 및 목적지 IP를 이용해서, 상기 수집된 사용자 정보 중에서 상기 출발지 IP에 매핑되는(또는 대응하는) 특정 사용자 정보를 확인(또는 검색)한다.
또한, 상기 보안 통제 관리 장치(400)는 상기 목적지 IP를 상기 요약 데이터베이스에 업데이트한다.
또한, 상기 보안 통제 관리 장치(400)는 상기 요약 데이터베이스에서의 해당 목적지 IP에 대응하는 위험 레벨을 상기 특정 사용자 정보 내의 위험 레벨로 업데이트(또는 적용)한다.
일 예로, 도 8에 도시된 바와 같이, 상기 보안 통제 관리 장치(400)는 상기 IP 데이터베이스에 등록된 위협 IP 정보별 타입(810)과, 타입별로 미리 설정된 설정값(820)을 근거로 상기 제 1 위협 IP(예를 들어 192.168.1.1)에 대한 제 1 위협 레벨(예를 들어 2 레벨)과, 상기 제 3 위협 IP(예를 들어 1.1.1.1)에 대한 제 2 위협 레벨(예를 들어 4 레벨)을 각각 산정한다.
또한, 상기 도 8에 도시된 바와 같이, 상기 보안 통제 관리 장치(400)는 상기 요약 데이터베이스에 상기 위협 IP 정보, 해당 위협 IP 정보의 카운트값, 해당 위협 IP 정보에 대해 산정된 위험 레벨 등을 함께 등록(830)한다.
또한, 도 9에 도시된 바와 같이, 상기 보안 통제 관리 장치(400)는 상기 차단 시스템(300)으로부터 실시간으로 수집되는 시스로그 데이터(예를 들어 201901030100, 173.20.10.1, 1.1.1.1)의 출발지 IP(예를 들어 173.20.10.1)를 이용해서 상기 도 7의 사용자 정보 중에서 상기 출발지 IP(예를 들어 173.20.10.1)에 매핑되는 영업팀장을 검색한다.
또한, 상기 보안 통제 관리 장치(400)는 상기 도 8의 요약 데이터베이스에 상기 목적지 IP(예를 들어 1.1.1.1)를 업데이트한다.
또한, 상기 보안 통제 관리 장치(400)는 상기 도 9에서의 상기 검색된 영업팀장에 대응하는 위험 레벨을 상기 도 8의 요약 데이터베이스에서의 상기 목적지 IP(예를 들어 1.1.1.1)에 대응하는 위험 레벨(예를 들어 4 레벨)로 업데이트(또는 적용)한다(S320).
이후, 상기 보안 통제 관리 장치(400)는 상기 차단 시스템(300)과 연동하여, REST API(REpresentational State Transfer Application Programming Interface) 및/또는 외부 다이내믹 URL을 이용하여 차단 정책에서 사용되는 IP 오브젝트 및/또는 URL 오브젝트의 내용을 업데이트한다. 이때, 상기 보안 통제 관리 장치(400)는 상기 IP 데이터베이스에 등록된 하나 이상의 위협 IP 정보와 상기 URL 데이터베이스에 등록된 하나 이상의 위협 URL 정보뿐만 아니라, 상기 인사정보 데이터베이스(200)에 등록된 인사 정보를 함께 업데이트할 수도 있다. 여기서, 상기 업데이트되는 인사 정보(또는 제공 정보)는 방화벽의 경우 IP, 이름 등을 포함하고, 차세대 방화벽의 경우 IP, 이름 등을 포함하고, SSL(Secure Sockets Layer) 복호화의 경우 IP, 이름, 부서명 등을 포함하고, DLP(데이터 손실 방지: Data Loss Prevention)인 경우 IP, 이름, 부서명 등을 포함하고, 기타의 경우(또는 상기 기재된 내용 이외의 경우) IP, 이름, 부서명, 위험 레벨 등을 포함할 수 있다.
즉, 상기 보안 통제 관리 장치(400)는 상기 REST API를 이용해서, 상기 차단 시스템(300)에 포함된 방화벽 내의 IP 오브젝트의 전체 내용을 상기 IP 데이터베이스에 등록된 하나 이상의 위협 IP 정보로 업데이트하고, 상기 방화벽 내의 URL 오브젝트의 전체 내용을 상기 URL 데이터베이스에 등록된 하나 이상의 위협 URL 정보로 업데이트한다.
또한, 상기 보안 통제 관리 장치(400)는 웹 기능을 이용해서, 특정 URL에 상기 IP 데이터베이스에 등록된 하나 이상의 위협 IP 정보와 상기 URL 데이터베이스에 등록된 하나 이상의 위협 URL 정보를 제공한다. 또한, 상기 차단 시스템(300)은 외부 다이내믹 URL을 이용해서 상기 특정 URL에 접속하여 상기 하나 이상의 위협 IP 정보와 하나 이상의 위협 URL 정보를 수집하고, 상기 차단 시스템(300)에 포함된 방화벽 내의 IP 오브젝트의 전체 내용을 상기 수집된 하나 이상의 위협 IP 정보로 업데이트하고, 상기 방화벽 내의 URL 오브젝트의 전체 내용을 상기 수집된 하나 이상의 위협 URL 정보로 업데이트한다.
일 예로, 도 10에 도시된 바와 같이, 상기 보안 통제 관리 장치(400)는 상기 REST API를 이용해서, 상기 차단 시스템(300)에 포함된 방화벽 내의 IP 오브젝트의 전체 내용을 상기 IP 데이터베이스에 등록된 제 1 위협 IP 정보(예를 들어 192.168.1.1)와 제 3 위협 IP 정보(예를 들어 1.1.1.1)로 업데이트하고, 상기 방화벽 내의 URL 오브젝트의 전체 내용을 상기 URL 데이터베이스에 등록된 제 1 위협 URL(예를 들어 abc.com), 제 2 위협 URL(예를 들어 test.com) 및 제 3 위협 URL(예를 들어 aaa.com)로 업데이트한다.
다른 일 예로, 도 11에 도시된 바와 같이, 상기 보안 통제 관리 장치(400)는 웹 기능을 이용해서, 제 1 특정 URL(예를 들어 http://172.16.16.10/BlackList_IP)에 상기 IP 데이터베이스에 등록된 제 1 위협 IP 정보(예를 들어 192.168.1.1)와 제 3 위협 IP 정보(예를 들어 1.1.1.1)를 제공하고, 제 2 특정 URL(예를 들어 http://172.16.16.10/BlackList_URL)에 상기 URL 데이터베이스에 등록된 제 1 위협 URL(예를 들어 abc.com), 제 2 위협 URL(예를 들어 test.com) 및 제 3 위협 URL(예를 들어 aaa.com)을 제공한다. 또한, 상기 차단 시스템(300)은 외부 다이내믹 URL을 이용해서, 상기 제 1 특정 URL에 접속하여 상기 제 1 위협 IP 정보(예를 들어 192.168.1.1)와 제 3 위협 IP 정보(예를 들어 1.1.1.1)를 수집하고, 상기 차단 시스템(300)에 포함된 방화벽 내의 IP 오브젝트의 전체 내용을 상기 수집된 제 1 위협 IP 정보(예를 들어 192.168.1.1)와 제 3 위협 IP 정보(예를 들어 1.1.1.1)로 업데이트한다. 또한, 상기 차단 시스템(300)은 외부 다이내믹 URL을 이용해서, 상기 제 2 특정 URL에 접속하여 상기 제 1 위협 URL(예를 들어 abc.com), 제 2 위협 URL(예를 들어 test.com) 및 제 3 위협 URL(예를 들어 aaa.com)을 수집하고, 상기 차단 시스템(300)에 포함된 방화벽 내의 IP 오브젝트의 전체 내용을 상기 수집된 제 1 위협 URL(예를 들어 abc.com), 제 2 위협 URL(예를 들어 test.com) 및 제 3 위협 URL(예를 들어 aaa.com)로 업데이트한다(S330).
본 발명의 실시예는 앞서 설명된 바와 같이, 보안센터, 인사정보 데이터베이스, 차단 시스템 등으로부터 위협 IP, 위협 URL, 인사 정보 및 커맨드 앤 제어 정보 IP 등을 수집하고, 상기 수집된 정보를 분석하여 위협 IP 및 위협 URL에 대해 위험 레벨을 산출하고, REST API 및 외부 다이내믹 URL을 이용하여 차단 정책에서 사용되는 IP 오브젝트 및 URL 오브젝트의 내용을 업데이트하여, 위협 IP 및 위협 URL 대응에 따른 시간, 인력 사용 수준을 개선하고, 보다 효율적으로 자원을 활용하며, 전체 시스템의 업무 효율을 향상시킬 수 있다.
전술된 내용은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
10: 보안 통제 관리 시스템 100: 보안 센터
200: 인사정보 데이터베이스 300: 차단 시스템
400: 보안 통제 관리 장치

Claims (10)

  1. 보안 센터, 인사정보 데이터베이스 및 차단 시스템으로부터 위협 IP, 위협 URL 및 인사 정보를 수집하고, 작업 흐름 제어를 통해 상기 수집된 하나 이상의 위협 IP, 하나 이상의 위협 URL 및 상기 인사 정보에 대한 분류 작업과 집계 작업을 수행하고, 상기 분류 작업 및 집계 작업 수행 결과를 IP 데이터베이스, URL 데이터베이스, 요약 데이터베이스 및 상기 인사정보 데이터베이스에 각각 등록하고, 상기 수집된 위협 IP 정보, 상기 수집된 위협 URL 정보, 상기 수집된 인사 정보 및 상기 집계 작업 수행 결과를 근거로 각 위협 IP의 위험 레벨, 위협 URL의 위험 레벨 및 사용자의 위험 레벨을 각각 산정하고, 상기 수집된 위협 IP 정보, 상기 위협 IP 정보의 카운트 값 및 상기 산정된 위협 IP 정보에 대한 위험 레벨을 매핑하여 상기 요약 데이터베이스에 등록하고, 상기 수집된 위협 URL 정보, 상기 위협 URL 정보의 카운트 값 및 상기 산정된 위협 URL 정보에 대한 위험 레벨을 매핑하여 상기 요약 데이터베이스에 등록하는 보안 통제 관리 장치; 및
    상기 보안 통제 관리 장치와 연동하여, REST API(REpresentational State Transfer Application Programming Interface) 및 외부 다이내믹 URL 중 적어도 하나를 이용해서 차단 정책에서 사용되는 IP 오브젝트 및 URL 오브젝트 중 적어도 하나의 내용을 업데이트하는 상기 차단 시스템을 포함하며,
    상기 보안 통제 관리 장치는,
    타입별로 미리 설정된 설정값과 상기 수집된 위협 IP 정보의 카운트 값을 근거로 상기 위협 IP 정보에 대한 위험 레벨을 산정하며, 타입별로 미리 설정된 설정값과 상기 수집된 위협 URL 정보의 카운트 값을 근거로 상기 위협 URL 정보에 대한 위험 레벨을 산정하며,
    상기 차단 시스템으로부터 수집되는 시스로그 데이터의 출발지 IP 및 목적지 IP를 이용해서, 상기 수집된 인사 정보 내의 사용자 정보 중에서 상기 출발지 IP에 매핑되는 특정 사용자 정보를 확인하고, 상기 목적지 IP를 상기 요약 데이터베이스에 업데이트하고, 상기 요약 데이터베이스에서의 목적지 IP에 대응하는 위험 레벨을 상기 특정 사용자 정보 내의 위험 레벨로 업데이트하며,
    상기 REST API를 이용해서 상기 차단 시스템에 포함된 방화벽 내의 IP 오브젝트의 전체 내용을 상기 IP 데이터베이스에 등록된 하나 이상의 위협 IP 정보로 자동으로 업데이트하고, 상기 REST API를 이용해서 상기 차단 시스템에 포함된 방화벽 내의 URL 오브젝트의 전체 내용을 상기 URL 데이터베이스에 등록된 하나 이상의 위협 URL 정보로 자동으로 업데이트하며,
    웹 기능을 이용해서, 특정 URL에 상기 IP 데이터베이스에 등록된 하나 이상의 위협 IP 정보와 상기 URL 데이터베이스에 등록된 하나 이상의 위협 URL 정보를 제공하며,
    상기 차단 시스템은,
    외부 다이내믹 URL을 이용해서 상기 특정 URL에 접속하여 상기 하나 이상의 위협 IP 정보와 하나 이상의 위협 URL 정보를 수집하고, 상기 차단 시스템에 포함된 방화벽 내의 IP 오브젝트의 전체 내용을 상기 수집된 하나 이상의 위협 IP 정보로 업데이트하고, 상기 방화벽 내의 URL 오브젝트의 전체 내용을 상기 수집된 하나 이상의 위협 URL 정보로 자동으로 업데이트하며,
    상기 보안 센터는,
    실시간으로 수집되는 복수의 패킷의 출발지 IP 주소를 분석하여, 미리 설정된 시간 동안 동일한 내용을 포함하는 동일 패킷을 미리 설정된 횟수 이상으로 반복적으로 하나의 목적지로 전송하는 출발지 IP 주소를 확인하고, 상기 확인된 출발지 IP 주소를 상기 위협 IP로 수집하는 것을 특징으로 하는 보안 통제 관리 시스템.
  2. 삭제
  3. 삭제
  4. 보안 통제 관리 장치에 의해, 보안 센터, 인사정보 데이터베이스 및 차단 시스템으로부터 위협 IP, 위협 URL 및 인사 정보를 수집하는 단계;
    상기 보안 통제 관리 장치에 의해, 작업 흐름 제어를 통해 상기 수집된 하나 이상의 위협 IP, 하나 이상의 위협 URL 및 상기 인사 정보에 대한 분류 작업과 집계 작업을 수행하는 단계;
    상기 보안 통제 관리 장치에 의해, 상기 분류 작업 및 집계 작업 수행 결과를 IP 데이터베이스, URL 데이터베이스, 요약 데이터베이스 및 상기 인사정보 데이터베이스에 각각 등록하는 단계;
    상기 보안 통제 관리 장치에 의해, 상기 수집된 위협 IP 정보, 상기 수집된 위협 URL 정보, 상기 수집된 인사 정보 및 상기 집계 작업 수행 결과를 근거로 각 위협 IP의 위험 레벨, 위협 URL의 위험 레벨 및 사용자의 위험 레벨을 각각 산정하는 단계;
    상기 보안 통제 관리 장치에 의해, 상기 수집된 위협 IP 정보, 상기 위협 IP 정보의 카운트 값 및 상기 산정된 위협 IP 정보에 대한 위험 레벨을 매핑하여 상기 요약 데이터베이스에 등록하고, 상기 수집된 위협 URL 정보, 상기 위협 URL 정보의 카운트 값 및 상기 산정된 위협 URL 정보에 대한 위험 레벨을 매핑하여 상기 요약 데이터베이스에 등록하는 단계; 및
    상기 보안 통제 관리 장치에 의해, 상기 차단 시스템과 연동하여, REST API 및 외부 다이내믹 URL 중 적어도 하나를 이용해서 차단 정책에서 사용되는 IP 오브젝트 및 URL 오브젝트 중 적어도 하나의 내용을 업데이트하는 단계를 포함하며,
    상기 위협 IP의 위험 레벨을 산정하는 단계는,
    타입별로 미리 설정된 설정값과 상기 수집된 위협 IP 정보의 카운트 값을 근거로 상기 위협 IP 정보에 대한 위험 레벨을 산정하며,
    상기 위협 URL의 위험 레벨을 산정하는 단계는,
    타입별로 미리 설정된 설정값과 상기 수집된 위협 URL 정보의 카운트 값을 근거로 상기 위협 URL 정보에 대한 위험 레벨을 산정하며,
    상기 사용자의 위험 레벨을 산정하는 단계는,
    상기 차단 시스템으로부터 수집되는 시스로그 데이터의 출발지 IP 및 목적지 IP를 이용해서, 상기 수집된 인사 정보 내의 사용자 정보 중에서 상기 출발지 IP에 매핑되는 특정 사용자 정보를 확인하는 과정;
    상기 목적지 IP를 상기 요약 데이터베이스에 업데이트하는 과정; 및
    상기 요약 데이터베이스에서의 목적지 IP에 대응하는 위험 레벨을 상기 특정 사용자 정보 내의 위험 레벨로 업데이트하는 과정을 포함하며,
    상기 REST API를 이용해서 상기 IP 오브젝트 및 URL 오브젝트 중 적어도 하나의 내용을 업데이트하는 단계는,
    상기 보안 통제 관리 장치에 의해, 상기 REST API를 이용해서, 상기 차단 시스템에 포함된 방화벽 내의 IP 오브젝트의 전체 내용을 상기 IP 데이터베이스에 등록된 하나 이상의 위협 IP 정보로 자동으로 업데이트하는 과정; 및
    상기 보안 통제 관리 장치에 의해, 상기 REST API를 이용해서, 상기 차단 시스템에 포함된 방화벽 내의 URL 오브젝트의 전체 내용을 상기 URL 데이터베이스에 등록된 하나 이상의 위협 URL 정보로 자동으로 업데이트하는 과정을 포함하며,
    상기 외부 다이내믹 URL을 이용해서 상기 IP 오브젝트 및 URL 오브젝트 중 적어도 하나의 내용을 업데이트하는 단계는,
    상기 보안 통제 관리 장치에 의해, 웹 기능을 이용해서, 특정 URL에 상기 IP 데이터베이스에 등록된 하나 이상의 위협 IP 정보와 상기 URL 데이터베이스에 등록된 하나 이상의 위협 URL 정보를 제공하는 과정;
    상기 차단 시스템에 의해, 외부 다이내믹 URL을 이용해서 상기 특정 URL에 접속하여 상기 하나 이상의 위협 IP 정보와 하나 이상의 위협 URL 정보를 수집하는 과정; 및
    상기 차단 시스템에 의해, 상기 차단 시스템에 포함된 방화벽 내의 IP 오브젝트의 전체 내용을 상기 수집된 하나 이상의 위협 IP 정보로 업데이트하고, 상기 방화벽 내의 URL 오브젝트의 전체 내용을 상기 수집된 하나 이상의 위협 URL 정보로 자동으로 업데이트하는 과정을 포함하며,
    상기 보안 센터는,
    실시간으로 수집되는 복수의 패킷의 출발지 IP 주소를 분석하여, 미리 설정된 시간 동안 동일한 내용을 포함하는 동일 패킷을 미리 설정된 횟수 이상으로 반복적으로 하나의 목적지로 전송하는 출발지 IP 주소를 확인하고, 상기 확인된 출발지 IP 주소를 상기 위협 IP로 수집하는 것을 특징으로 하는 보안 통제 관리 방법.
  5. 제 4 항에 있어서,
    상기 위협 IP, 위협 URL 및 인사 정보를 수집하는 단계는,
    상기 보안 통제 관리 장치에 의해, 미리 설정된 특정 시각에 동작하는 배치 작업을 통해 상기 보안 통제 관리 장치에 미리 설치된 수집 모듈을 호출하는 과정;
    상기 호출된 수집 모듈을 통해 상기 보안 센터에 정보를 요청하는 과정; 및
    상기 정보 요청에 응답하여, 상기 보안 센터로부터 전송되는 하나 이상의 위협 IP 및 하나 이상의 위협 URL를 수집하는 과정을 포함하는 것을 특징으로 하는 보안 통제 관리 방법.
  6. 제 4 항에 있어서,
    상기 위협 IP, 위협 URL 및 인사 정보를 수집하는 단계는,
    상기 보안 통제 관리 장치에 의해, 미리 설정된 특정 시각에 동작하는 배치 작업을 통해 상기 보안 통제 관리 장치에 미리 설치된 수집 모듈을 호출하는 과정;
    상기 호출된 수집 모듈을 통해 상기 인사정보 데이터베이스에 쿼리를 요청하는 과정; 및
    상기 쿼리 요청에 응답하여, 상기 인사정보 데이터베이스로부터 하나 이상의 위협 IP 및 하나 이상의 위협 URL를 수집하는 과정을 포함하는 것을 특징으로 하는 보안 통제 관리 방법.
  7. 제 4 항에 있어서,
    상기 위협 IP, 위협 URL 및 인사 정보를 수집하는 단계는,
    상기 차단 시스템으로부터 실시간으로 전달되는 시스로그 데이터를 수집하는 과정을 포함하는 것을 특징으로 하는 보안 통제 관리 방법.
  8. 삭제
  9. 삭제
  10. 삭제
KR1020210015611A 2020-02-21 2021-02-03 보안 통제 관리 시스템 및 그 방법 KR102314557B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20200021692 2020-02-21
KR1020200021692 2020-02-21

Publications (2)

Publication Number Publication Date
KR20210106896A KR20210106896A (ko) 2021-08-31
KR102314557B1 true KR102314557B1 (ko) 2021-10-20

Family

ID=77489552

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210015611A KR102314557B1 (ko) 2020-02-21 2021-02-03 보안 통제 관리 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR102314557B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102430988B1 (ko) * 2022-02-10 2022-08-11 (주)제너럴데이타 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법, 장치 및 시스템

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101002421B1 (ko) 2010-04-09 2010-12-21 주식회사 플랜티넷 공인 아이피를 공유하는 인터넷 접속 요청 트래픽의 선별적 허용/차단 방법 및 그 방법을 실행하기 위한 공인 아이피 공유 상태 검출 및 차단 시스템
KR101867299B1 (ko) * 2016-08-10 2018-06-14 숭실대학교산학협력단 정보 유출 위험도 판단 방법 및 장치
KR101973728B1 (ko) * 2017-04-24 2019-04-29 주식회사 피너스 통합 보안 이상징후 모니터링 시스템
KR20190098492A (ko) * 2018-02-14 2019-08-22 주식회사 케이티 지능형 보안 시스템 및 방법

Also Published As

Publication number Publication date
KR20210106896A (ko) 2021-08-31

Similar Documents

Publication Publication Date Title
US10904277B1 (en) Threat intelligence system measuring network threat levels
KR101679578B1 (ko) IoT 보안을 위한 제어 서비스 제공 장치 및 방법
US11025588B2 (en) Identify assets of interest in enterprise using popularity as measure of importance
US9712557B2 (en) Remediating computer security threats using distributed sensor computers
CN103023906B (zh) 针对远程过程调用协议进行状态跟踪的方法及系统
US20110153811A1 (en) System and method for modeling activity patterns of network traffic to detect botnets
CN106888106A (zh) 智能电网中的it资产大规模侦测系统
US9313175B2 (en) Method and system for mapping between connectivity requests and a security rule set
US9729563B2 (en) Data transfer for network interaction fraudulence detection
CN108259425A (zh) 攻击请求的确定方法、装置及服务器
CN103607385A (zh) 基于浏览器进行安全检测的方法和装置
CN104246785A (zh) 用于移动应用声誉的众包的系统和方法
CN102055813A (zh) 一种网络应用的访问控制方法及其装置
US20240015185A1 (en) Security model utilizing multi-channel data
CN112822147B (zh) 一种用于分析攻击链的方法、系统及设备
CN103095693B (zh) 定位访问数据库用户主机信息的方法及装置
CN104333567A (zh) 采用安全即服务的web缓存
CN114679292B (zh) 基于网络空间测绘的蜜罐识别方法、装置、设备及介质
US11882147B2 (en) Method and apparatus for determining a threat using distributed trust across a network
Mishra et al. Analysis of alarms to prevent the organizations network in real-time using process mining approach
CN105247832A (zh) 将安全上下文集成到网络路由决策中的方法和装置
CN106161362A (zh) 一种网络应用防护方法与设备
KR102314557B1 (ko) 보안 통제 관리 시스템 및 그 방법
CN106534174A (zh) 一种敏感数据的云防护方法、装置及系统
EP3789890A1 (en) Fully qualified domain name (fqdn) determination

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant