KR102377784B1 - 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템 - Google Patents

내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템 Download PDF

Info

Publication number
KR102377784B1
KR102377784B1 KR1020200058558A KR20200058558A KR102377784B1 KR 102377784 B1 KR102377784 B1 KR 102377784B1 KR 1020200058558 A KR1020200058558 A KR 1020200058558A KR 20200058558 A KR20200058558 A KR 20200058558A KR 102377784 B1 KR102377784 B1 KR 102377784B1
Authority
KR
South Korea
Prior art keywords
information
security
traffic
unit
policy
Prior art date
Application number
KR1020200058558A
Other languages
English (en)
Other versions
KR20210141198A (ko
Inventor
배영준
한명섭
Original Assignee
주식회사 루터스시스템
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 루터스시스템 filed Critical 주식회사 루터스시스템
Priority to KR1020200058558A priority Critical patent/KR102377784B1/ko
Publication of KR20210141198A publication Critical patent/KR20210141198A/ko
Application granted granted Critical
Publication of KR102377784B1 publication Critical patent/KR102377784B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크 보안 시스템에 관한 것으로서, 더욱 상세하게는 외부망과 내부망에서 발생되는 트래픽에 대하여 유해성이 의심되는 트래픽을 분류하고, 분류된 트래픽의 시그너처를 분석하여 가상의 보안정책을 수립한 뒤, 발생된 전체의 트래픽을 이용해 가상의 보안정책을 시뮬레이션하여 정확도를 산출하고, 이를 기준으로 보안 정책을 자동으로 추가 및 수정하여 관리함으로써, 내부망과 외부망에서 발생하는 새로운 유해 트래픽을 자동으로 탐지 및 분석하여 효과적인 보안정책을 수행할 수 있는 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템에 관한 것이다.

Description

내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템{Network security system that provides security optimization function of internal network}
본 발명은 네트워크 보안 시스템에 관한 것으로서, 더욱 상세하게는 외부망과 내부망에서 발생되는 트래픽에 대하여 유해성이 의심되는 트래픽을 분류하고, 분류된 트래픽의 시그너처를 분석하여 가상의 보안정책을 수립한 뒤, 발생된 전체의 트래픽을 이용해 가상의 보안정책을 시뮬레이션하여 정확도를 산출하고, 이를 기준으로 보안 정책을 자동으로 추가 및 수정하여 관리함으로써, 내부망과 외부망에서 발생하는 새로운 유해 트래픽을 자동으로 탐지 및 분석하여 효과적인 보안정책을 수행할 수 있는 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템에 관한 것이다.
사이버 공격은 조직적이고 지능적으로 이루어지고 있으며, 특히, 해킹 조직이 경제적인 목적을 가지고 특정 공격 표적을 대상으로 은밀하고, 지속적으로 지능적인 공격을 수행하는 APT(Advanced Persistent Threat, 지능형 지속 위협) 공격이 급격히 증가하고 있어 사회적으로 큰 문제가 되고 있다. 특히, APT 공격은 조직의 중요정보를 불법적으로 갈취하기 위해 해커 또는 해킹 조직이 공격 대상 조직에 악성코드를 침투시킨 후, 지속적인 악성코드 업데이트를 통해, 중요정보 접근 권한자의 호스트를 악성코드로 감염시킴으로써, 중요정보를 유출시키는 공격 방법이다.
이에, 정보시스템 자산의 증가와 함께 다양한 환경의 운영체제(OS)나 모바일단말기용 응용 프로그램(APPLICATION), 보안 솔루션이 개발되어 사용되고 있다.
이와 같은 다양한 환경에서 기록되는 보안 이벤트 역시 다양한 형태로 저장되고, 그 용량도 빠른 속도로 커지고 있다.
다양한 종류의 로컬단말기에서 발생하는 보안 침해에 관련된 이벤트는 로컬단말기 또는 네트워크상의 감시장치에 의해 이벤트 로그로 기록된다.
관리자는 생성된 이벤트 로그를 분석하여 보안 침해의 피해를 확인하고, 추가적인 침해를 예방할 수 있도록 조치를 취하게 된다.
'인용문헌 1'("윈도우 네트워크 감시를 통한 커널 백도어 탐지 시스템 및 방법", 이하 '인용문헌 1'이라 함.)에서는 윈도우 네트워크 구성요소 중에서 TDI(Transport Driver Interface) 계층과 NDIS(Network Driver Interface Specification) 계층을 통과하는 네트워크 패킷의 정보를 비교 분석하여 정상적인 네트워크 행위로부터 발생된 네트워크 패킷과 커널 백도어와 같은 악성 네트워크 행위로부터 발생된 네트워크 패킷을 서로 구분하여 커널 백도어를 탐지함과 아울러, 이러한 커널 백도어로부터 발생된 네트워크 패킷을 필터링하여 커널 백도어로 인한 침입을 방지할 수 있는 커널 백도어 탐지 시스템 및 방법을 개시하고 있다.
그러나 상기 '인용문헌 1'은 커널 백도어로 칩입을 방지하는 데 국한된 기술로, 시스템 서버 또는 내부 네트워크에 접속된 단말들을 통해 문서 유출 또는 해킹을 방지할 수 있는 기술이 개시되어 있지 않으며, 하위트래픽에서 발생된 유해트래픽을 차단할 수 있는 기술이 개시되어 있지 않다.
또한, 종래기술에서는 생성된 네트워크 기반 보안 이벤트 로그를 분석하여 위험도를 측정하는데, 경우에 따라서는 서로 관련이 있는 다양한 보안 이벤트를 그룹화하여 분석하는 것이 효율적이다.
또한, 네트워크 기반의 보안 이벤트로그를 분석하는 종래기술에서는 이와 같은 필요가 있어도 연관된 분석방법을 제공하지 못하기 때문에 효율적인 대처가 어려워지는 문제가 있었다.
즉, 보안관제 서비스는 초창기에는 네트워크 보안 시스템을 운영하고 해당 장비에서 발생하는 다양한 이벤트를 모니터링에 국한되는 기초적인 서비스 수준이 주를 이루고 있는 것이 현실이다.
최근 많이 이용되고 있는 홈페이지 변조나 주요 정보 유출 등 해킹 기법은 시간이 지날수록 지능적이고 전문화, 고도화되고 있으며 여러 개인정보보호 유출사고를 겪으며 개인정보보호 또한 보안의 중요한 포인트로 인식되고 있지만 이러한 이슈들이 서비스에 반영되어 운영되지 않는다.
상기와 같은 문제를 해결하기 위해, 기업체나 국가기관 등에서는 네트워크에서 발생하는 보안 침해와 관련한 각종 이벤트(이하, 보안 이벤트라 함)에 대해 사전/사후 대응이 가능하게 위험 관리를 수행함으로써 네트워크의 다종 다수의 보안 솔루션에 대한 가용성, 무결성, 기밀성을 보장하기 위하여 통합보안관리시스템(ESM;Enterprise Security Management), 위험관리시스템(RMS; Risk Management System), 위협관리시스템(TMS;Threat Management System), 방화벽(Firewall), 침입탐지시스템(IDS;Intrusion Detection System), 침입방지시스템(IPS;Intrusion Protection System) 등과 같은 네트워크 보안관리시스템을 구축한다.
상기 위험관리시스템(RMS)은 관리 대상 네트워크의 IT(Information Technology) 자산, 예컨대 각종 보안 장비 또는 네트워크 장비(예컨대, 서버, 라우터 등) 전체를 대상으로 보안 이벤트를 수집 및 분석하여 취약점과 위협을 미리 파악해 대응함으로써 사전에 보안사고를 예방하고 보안수준을 상시 안정되게 관리한다.
상기 위협관리시스템(TMS)은 관리 대상 네트워크에서 발생하는 보안 이벤트를 수집 및 분석하여, 특히 네트워크 트래픽의 사이버 위협을 탐지 및 식별하고 종합적으로 분석해 조기 경보를 제공하는 기능을 수행한다.
상기 방화벽(Firewall)은 라우터나 응용 게이트웨이 등을 설치하여 모든 정보의 흐름이 이들을 통해서만 이루어지게 함으로써, 기업이나 조직 내부의 네트워크와 인터넷 간에 전송되는 정보를 선별하여 수용, 거부, 수정한다.
상기 침입탐지시스템(IDS)은 관리 대상 네트워크에서 발생하는 보안 이벤트를 수집 및 분석하여, 악의적인 네트워크 트래픽을 탐지하면 이 사실을 관리자에게 경보하는 기능을 수행한다.
상기 침입방지시스템(IPS)은 관리 대상 네트워크에서 발생하는 보안 이벤트를 수집 및 분석하여, 악의적인 네트워크 트래픽을 탐지하면 이 사실을 관리자에게 경보하고, 또한, 즉시 차단하는 기능을 수행한다.
상기와 같이 운용되는 통상의 네트워크 보안관리시스템은 네트워크의 보안 정책에 따라 보안 이벤트에 대응하는 위협 등급을 정한다.
그러나, 상기와 같은 네트워크 보안관리시스템은 통합적이고, 연관성 있는 분석 및 비정형 데이터에 대하여 고려하지 않는다.
또한, 인터넷의 급속한 성장으로 다양한 이점을 제공하고 있으나, 동시에 인터넷은 많은 문제점을 포함하고 있다.
이중 가장 큰 문제 영역으로 보안 영역이 대두되고 있는 추세이다.
현재 많은 시스템들이 공격의 대상이 되고 있으며, 이러한 침입 행위(intrusion behavior)는 오용 침입(misuse intrusion)과 비정상적인 침입(abnormal intrusion)으로, 침입 모델의 유형에 따라 분류되고 있다.
이에 많은 침입탐지 기법들이 소개되고 이들을 탑재한 침입탐지 시스템(IDS: Intrusion Detection System)들이 상용화되고 있지만, 대부분이 패턴 탐지를 하고 있으며, 또한, 오탐율이 매우 높은 실정이다.
이와 같이, 침입탐지 정보만을 이용하여 실제 관제를 수행하기에는 높은 오탐율로 인하여 실제적으로 적용하는데 문제가 있다.
즉, 현재까지의 침입탐지 로그 정보를 이용하는 관제시스템은 수많은 오탐지 때문에 실제 침입 정보를 확인하기 어렵다는 단점이 있다.
한편, 통계적 기법을 이용하여 외부의 침입을 탐지하기 위한 시도로서 트래픽 통계를 활용한 방법들이 제시되고 있다.
트래픽 통계를 활용한 방법의 경우에는 트래픽 통계 정보의 시계열 분석을 통하여 평상시보다 트래픽 양이 급속히 증가하거나 특정 포트의 트래픽 양이 증가하는 경우 등에 대한 이상 탐지를 수행하게 된다.
그러나, 이 방법 역시 많은 트래픽을 유발하는 정상 사용에 대해서 공격으로 판단할 수 있으며, 소규모 트래픽을 유발하는 침입 시도에 대해서는 탐지할 수 없는 문제가 있다.
즉, 트래픽 통계 정보를 이용하는 관제시스템은 침입탐지 시스템과 달리 특정 패턴을 활용하지 않음으로서 비정상 트래픽을 탐지할 수 있는 방안을 제공한다.
일반적으로 트래픽 통계 정보를 이용하는 방법은 트래픽의 통계치에 대한 정상 상태의 트래픽 양과 현재 수집된 트래픽 통계 정보의 양을 비교하여 정상상태인지 비정상상태인지를 판단한다.
이 방법 역시 트래픽의 통계 정보만을 이용하여 판단하므로 공격에 대한 오탐율이 높고 트래픽 양이 적은 공격의 경우에는 공격을 탐지할 수 없는 어려움이 있다.
또한, 기존 네트워크 방화벽은 OSI7 Layer에서 네트워크 계층 수준에서 동작한다.
기존 방화벽 장치는 방화벽에 등록된 정책에 따라 트래픽을 제어하기 때문에 방화벽 정책을 관리자가 직접 관리를 해야하는 불편함이 발생하게 되며, 내부망에 연결된 기기간의 통신은 제어가 어려운 문제점이 발생하였으며, 새로운 공격의 탐지 및 제어가 어려웠으며, 운영 체제에 설치되어 구동되는 방화벽 프로그램은 운영체제나 방화벽 프로그램이 바이러스 등에 감염될 경우, 정상적으로 기능을 수행하지 못하는 심각한 문제점이 발생하였다.
대한민국 등록특허공보 제10-0635130호(2006. 10. 10.)
본 발명은 전술한 종래의 문제점을 해결하기 위해 안출된 것으로서,
외부망과 내부망에서 발생되는 트래픽에 대하여 유해성이 의심되는 트래픽을 분류하고, 분류된 트래픽의 시그너처를 분석하여 가상의 보안정책을 수립한 뒤, 발생된 전체의 트래픽을 이용해 가상의 보안정책을 시뮬레이션하여 정확도를 산출하고, 이를 기준으로 보안 정책을 자동으로 추가 및 수정하여 관리함으로써, 내부망과 외부망에서 발생하는 새로운 유해 트래픽을 자동으로 탐지 및 분석하여 효과적인 보안정책을 수행할 수 있는 네트워크 보안 시스템을 제공하는 것에 목적이 있다.
상기 목적을 달성하기 위한 본 발명은,
서버(100)와 허브(200) 및 다수의 클라이언트(400)로 구성된 네트워크의 보안을 수행하는 네트워크 보안 시스템에 있어서,
외부망과 서버(100)와 허브(200) 간에 발생되는 상위 트래픽 파일을 패킷 데이터와 함께 수집하여 트래픽패킷정보를 생성하고 메모리모듈(150)에 저장하는 상위트래픽패킷정보수집부(111)를 포함하여 구성되는 상위트래픽처리모듈(110)과,
관리자로부터 지지도, 신뢰도, 향상도 임계값 기준을 부여받아 임계기준정보를 생성하는 상위임계기준정보생성부(122),
아프리오리 알고리즘을 기반으로 상기 트래픽패킷정보로부터 상기 임계기준정보에 부합하는 연관규칙을 추출하여 연관규칙정보를 생성하고 메모리모듈(150)에 저장하는 상위연관규칙정보생성부(123),
상기 연관규칙정보를 가상 또는 물리적 보안방식에서 읽기 가능하도록 보안방식의 특성에 적합한 형태로 변형하여 시그너처정보를 생성하고 메모리모듈(150)에 저장하는 상위시그너처생성부(124)를 포함하여 구성되는 상위시그너처생성모듈(120)과,
상기 메모리모듈(150)에 신규 저장되는 시그너처정보를 보안시뮬레이션정책의 기준으로 설정하거나, 상기 메모리모듈(150)에 저장된 시그너처정보 중, 관리자에 의해 선택된 시그너처정보를 보안시뮬레이션정책의 기준으로 설정하여 보안시뮬레이션정책정보를 생성하는 보안시뮬레이션정책정보생성부(131),
메모리모듈(150)에 저장된 트래픽패킷정보를 활용하여 상기 보안시뮬레이션정책정보를 시뮬레이션 하기 위한 트래픽을 발생시키는 트래픽발생처리부(132),
상기 트래픽발생처리부(132)에 의해 발생한 트래픽이 패턴매칭시뮬레이션부(134)를 향하도록 트래픽 목적지를 변경하는 목적지변경처리부(133),
상기 트래픽발생처리부(132) 및 상기 목적지변경처리부(133)에 의해 유입되는 트래픽패킷정보와 상기 보안시뮬레이션정책정보의 패턴 매칭 여부를 분석하여 패턴이 매칭되는 트래픽패킷정보를 차단하면서 보안정책을 시뮬레이션 하고, 차단된 트래픽패킷정보를 패턴매칭정보로 생성하여 메모리모듈(150)에 저장하는 패턴매칭시뮬레이션부(134),
상기 패턴매칭시뮬레이션부(134)에 의해 생성된 패턴매칭정보의 유효성을 분석하여 유효성정보를 생성하는 유효성정보생성부(135),
상기 유효성정보생성부(135)에 의해 유효성정보가 생성된 시그너처정보, 상기 패턴매칭시뮬레이션부(134)에 유입된 트래픽패킷정보, 보안시뮬레이션정책정보생성부(131)에서 생성된 보안시뮬레이션정책정보, 패턴매칭시뮬레이션부(134)에서 생성된 패턴매칭정보를 종합적으로 비교분석하여 보안시뮬레이션정책정보의 정확도를 산출하여 정확도산출정보를 생성하고 메모리모듈(150)에 저장하는 보안정책정확도산출부(136)를 포함하여 구성되는 시그너처검증모듈(130)과,관리자의 제어를 받아 상기 상위카테고리정보생성부(113)의 카테고리정보를 추가, 수정 및 삭제하는 카테고리관리부(143),
관리자의 제어를 받아 상기 트래픽발생처리부(132)의 트래픽 발생을 제어하고, 시뮬레이션을 통해 검증된 시그너처정보 또는 관리자에 의해 보안정책으로 선택된 시그너처정보를 확정보안정책으로 승격시켜 확정보안정책정보를 생성하고 메모리모듈(150)에 저장하며, 생성한 확정보안정책정보를 서버(100)의 보안정책에 적용하거나 초소형 보안 게이트웨이 디바이스(300)에 전송하는 보안정책관리부(145)를 포함하여 구성되는 시그너처관리모듈(140)과,
메모리모듈(150)을 포함하여 구성되는 서버(100)와;
네트워크를 상기 서버(100)로부터 다수의 노드로 분기하는 허브(200)와;
상기 서버(100)의 상기 시그너처관리모듈(140)의 상기 보안정책관리부(145)에서 전송되는 확정보안정책정보를 수신받는 보안정책수신부(331),
상기 보안정책수신부(331)에 수신된 확정보안정책정보를 초소형 보안 게이트웨이 디바이스(300)의 보안정책에 적용하는 보안정책적용부(332)를 포함하여 구성되는 보안정책어플리케이션모듈(330)과,
확정보안정책정보를 저장하는 서브메모리(340)를 포함하여 구성되고, 상기 허브(200)에 의해 분기된 각각의 노드에 클라이언트(400)를 네트워크 접속시키기 위하여 설치되는 초소형 보안 게이트웨이 디바이스(300);를 포함하여 구성된다.
따라서 본 발명은, 외부망과 내부망에서 발생되는 트래픽에 대하여 유해성이 의심되는 트래픽을 분류하고, 분류된 트래픽의 시그너처를 분석하여 가상의 보안정책을 수립한 뒤, 발생된 전체의 트래픽을 이용해 가상의 보안정책을 시뮬레이션하여 정확도를 산출하고, 이를 기준으로 보안 정책을 자동으로 추가 및 수정하여 관리함으로써, 내부망과 외부망에서 발생하는 새로운 유해 트래픽을 자동으로 탐지 및 분석하여 효과적인 보안정책을 수행할 수 있는 효과를 제공한다.
도 1은 본 발명의 전체 구성을 나타내는 구조도이다.
도 2는 본 발명의 서버의 구성을 나타내는 블록도이다.
도 3은 본 발명의 상위 트래픽 처리모듈(110)의 구성을 나타내는 블록도이다.
도 4는 본 발명의 상위 시그너처 생성모듈(120)의 구성을 나타내는 블록도이다.
도 5는 본 발명의 시그너처 검증모듈(130)의 구성을 나타내는 블록도이다.
도 6은 본 발명의 시그너처 관리모듈(140)의 구성을 나타내는 블록도이다.
도 7은 본 발명의 초소형 보안 게이트웨이 디바이스(300)의 구성을 나타내는 블록도이다.
도 8은 본 발명의 하위 트래픽 처리모듈(310)의 구성을 나타내는 블록도이다.
도 9는 본 발명의 하위 시그너처 생성모듈(320)의 구성을 나타내는 블록도이다.
도 10 본 발명의 보안정책 어플리케이션모듈(330)의 구성을 나타내는 블록도이다.
이하, 본 발명은 다양한 변환을 가할 수 있고, 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 실시 예들은 당해 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 본 발명을 더욱 상세하게 설명하기 위해서 제공되는 것이다. 따라서 도면에 나타난 각 요소의 형상은 보다 분명한 설명을 강조하기 위하여 과장될 수 있으며, 본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 구성요소들은 용어들에 의해 한정되어서는 안 된다. 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
본 발명에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
본 발명에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
이하, 본 발명의 바람직한 실시 예들을 첨부된 도면을 참고하여 더욱 상세히 설명한다.
도 1을 참조하면, 일 실시예에 따른 본 발명은,
서버(100)와 네트워크를 상기 서버(100)로부터 다수의 노드로 분기하는 허브(200) 및 상기 허브(200)에 의해 분기된 각각의 노드에 다수의 클라이언트(400)를 네트워크 접속시키기 위하여 설치되는 초소형 보안 게이트웨이 디바이스(300)를 포함하여 구성된다.
이때, 상기 클라이언트는 제1클라이언트부터 제n클라이언트까지 다수로 구성될 수 있고, 이 중 적어도 어느 하나 이상의 클라이언트가 허브와 무선 네트워크 통신하도록 구성될 수도 있다.
일 실시예에 따르면, 본 발명은,
외부망과 서버(100)와 허브(200) 간에 발생되는 상위 트래픽 파일을 패킷 데이터와 함께 수집하여 트래픽패킷정보를 생성하고 메모리모듈(150)에 저장하는 상위트래픽패킷정보수집부(111)를 포함하여 구성되는 상위트래픽처리모듈(110)과,
관리자로부터 지지도, 신뢰도, 향상도 임계값 기준을 부여받아 임계기준정보를 생성하는 상위임계기준정보생성부(122),
아프리오리 알고리즘을 기반으로 상기 트래픽패킷정보로부터 상기 임계기준정보에 부합하는 연관규칙을 추출하여 연관규칙정보를 생성하고 메모리모듈(150)에 저장하는 상위연관규칙정보생성부(123),
상기 연관규칙정보를 가상 또는 물리적 보안방식에서 읽기 가능하도록 보안방식의 특성에 적합한 형태로 변형하여 시그너처정보를 생성하고 메모리모듈(150)에 저장하는 상위시그너처생성부(124)를 포함하여 구성되는 상위시그너처생성모듈(120)과,
상기 메모리모듈(150)에 신규 저장되는 시그너처정보를 보안시뮬레이션정책의 기준으로 설정하거나, 상기 메모리모듈(150)에 저장된 시그너처정보 중, 관리자에 의해 선택된 시그너처정보를 보안시뮬레이션정책의 기준으로 설정하여 보안시뮬레이션정책정보를 생성하는 보안시뮬레이션정책정보생성부(131),
메모리모듈(150)에 저장된 트래픽패킷정보를 활용하여 상기 보안시뮬레이션정책정보를 시뮬레이션 하기 위한 트래픽을 발생시키는 트래픽발생처리부(132),
상기 트래픽발생처리부(132)에 의해 발생한 트래픽이 패턴매칭시뮬레이션부(134)를 향하도록 트래픽 목적지를 변경하는 목적지변경처리부(133),
상기 트래픽발생처리부(132) 및 상기 목적지변경처리부(133)에 의해 유입되는 트래픽패킷정보와 상기 보안시뮬레이션정책정보의 패턴 매칭 여부를 분석하여 패턴이 매칭되는 트래픽패킷정보를 차단하면서 보안정책을 시뮬레이션 하고, 차단된 트래픽패킷정보를 패턴매칭정보로 생성하여 메모리모듈(150)에 저장하는 패턴매칭시뮬레이션부(134),
상기 패턴매칭시뮬레이션부(134)에 의해 생성된 패턴매칭정보의 유효성을 분석하여 유효성정보를 생성하는 유효성정보생성부(135),
상기 유효성정보생성부(135)에 의해 유효성정보가 생성된 시그너처정보, 상기 패턴매칭시뮬레이션부(134)에 유입된 트래픽패킷정보, 보안시뮬레이션정책정보생성부(131)에서 생성된 보안시뮬레이션정책정보, 패턴매칭시뮬레이션부(134)에서 생성된 패턴매칭정보를 종합적으로 비교분석하여 보안시뮬레이션정책정보의 정확도를 산출하여 정확도산출정보를 생성하고 메모리모듈(150)에 저장하는 보안정책정확도산출부(136)를 포함하여 구성되는 시그너처검증모듈(130)과,
관리자의 제어를 받아 상기 상위카테고리정보생성부(113)의 카테고리정보를 추가, 수정 및 삭제하는 카테고리관리부(143),
관리자의 제어를 받아 상기 트래픽발생처리부(132)의 트래픽 발생을 제어하고, 시뮬레이션을 통해 검증된 시그너처정보 또는 관리자에 의해 보안정책으로 선택된 시그너처정보를 확정보안정책으로 승격시켜 확정보안정책정보를 생성하고 메모리모듈(150)에 저장하며, 생성한 확정보안정책정보를 서버(100)의 보안정책에 적용하거나 초소형 보안 게이트웨이 디바이스(300)에 전송하는 보안정책관리부(145)를 포함하여 구성되는 시그너처관리모듈(140)과,
메모리모듈(150)을 포함하여 구성되는 서버(100)와,
네트워크를 상기 서버(100)로부터 다수의 노드로 분기하는 허브(200)와,
상기 서버(100)의 상기 시그너처관리모듈(140)의 상기 보안정책관리부(145)에서 전송되는 확정보안정책정보를 수신받는 보안정책수신부(331),
상기 보안정책수신부(331)에 수신된 확정보안정책정보를 초소형 보안 게이트웨이 디바이스(300)의 보안정책에 적용하는 보안정책적용부(332)를 포함하여 구성되는 보안정책어플리케이션모듈(330)과,
확정보안정책정보를 저장하는 서브메모리(340)를 포함하여 구성되고, 상기 허브(200)에 의해 분기된 각각의 노드에 클라이언트(400)를 네트워크 접속시키기 위하여 설치되는 초소형 보안 게이트웨이 디바이스(300)를 포함하여 구성된다.
상기 상위트래픽처리모듈(110)은, 상기 상위트래픽패킷정보수집부(111)에서 생성된 트래픽패킷정보로부터 보안을 옵티마이즈 하기 위한 로그소스를 추출하여 로그파일정보를 생성하고 메모리모듈(150)에 저장하는 상위로그파일정보생성부(112)를 더 포함하여 구성된다.
상기 상위트래픽처리모듈(110)은, 상기 상위로그파일정보생성부(112)에서 생성된 로그파일정보를 특성 유형별로 분류하여 분류에 따른 카테고리정보를 생성하고, 특성 유형별로 분류된 카테고리정보에 따른 로그파일정보를 메모리모듈(150)에 저장하는 상위카테고리정보생성부(113)를 더 포함하여 구성된다.
상기 상위트래픽처리모듈(110)은, 상기 상위로그파일정보생성부(112)로부터 생성된 로그파일정보와 상기 상위카테고리정보생성부(113)로부터 생성된 카테고리정보의 매치 여부를 감지하고, 상기 카테고리정보와 매치되지 않는 새로운 특성의 로그파일정보가 포함된 트래픽이 감지되면, 감지된 트래픽에 대한 로그파일정보를 분석대상으로 지정하는 상위이벤트로그파일발생감지부(114)를 더 포함하여 구성된다.
상기 상위트래픽처리모듈(110)은, 상기 상위이벤트로그파일발생감지부(114)로부터 분석대상으로 지정된 로그파일정보를 라벨링하여 라벨링정보를 생성하고 메모리모듈(150)에 저장하는 상위라벨링정보생성부(115)를 더 포함하여 구성된다.
상기 상위시그너처생성모듈(120)은, 상기 라벨링정보를 상위연관규칙정보생성부(123)가 읽기 가능한 형태의 데이터로 인코딩하여 인코딩정보를 생성하고 메모리모듈(150)에 저장하는 상위인코딩정보생성부(121)를 더 포함하여 구성된다.
상기 메모리모듈(150)은, 트래픽패킷정보, 로그파일정보, 카테고리정보, 라벨링정보, 인코딩정보, 임계기준정보, 연관규칙정보, 시그너처정보, 보안시뮬레이션정책정보, 트래픽 도착 목적지, 패턴매칭정보, 유효성정보, 정확도산출정보, 확정보안정책정보 중 적어도 어느 하나 이상의 정보를 저장하도록 구성된다.
이하에서는 도면을 참조하여 일 실시예에 따른 본 발명의 구성을 보다 상세히 설명하고자 한다.
도 2 내지 도 6을 참조하면, 일 실시예에 따른 본 발명의 서버(100)는,
상위트래픽처리모듈(110), 상위시그너처생성모듈(120), 시그너처검증모듈(130), 시그너처관리모듈(140), 메모리모듈(150)을 포함하여 구성될 수 있다.
상기 상위트래픽처리모듈(110)은, 외부망과 서버(100)와 허브(200) 간에 발생되는 상위 트래픽 파일을 패킷 데이터와 함께 수집하여 트래픽패킷정보를 생성하고 메모리모듈(150)에 저장하는 상위트래픽패킷정보수집부(111)를 포함하여 구성될 수 있다.
상기 상위트래픽처리모듈(110)은, 상기 상위트래픽패킷정보수집부(111)에서 생성된 트래픽패킷정보로부터 보안을 옵티마이즈 하기 위한 로그소스를 추출하여 로그파일정보를 생성하고 메모리모듈(150)에 저장하는 상위로그파일정보생성부(112)를 포함하여 구성될 수 있다.
상기 상위트래픽처리모듈(110)은, 상기 상위로그파일정보생성부(112)에서 생성된 로그파일정보를 특성 유형별로 분류하여 분류에 따른 카테고리정보를 생성하고, 특성 유형별로 분류된 카테고리정보에 따른 로그파일정보를 메모리모듈(150)에 저장하는 상위카테고리정보생성부(113)를 포함하여 구성될 수 있다.
상기 상위트래픽처리모듈(110)은, 상기 상위로그파일정보생성부(112)로부터 생성된 로그파일정보와 상기 상위카테고리정보생성부(113)로부터 생성된 카테고리정보의 매치 여부를 감지하고, 상기 카테고리정보와 매치되지 않는 새로운 특성의 로그파일정보가 포함된 트래픽이 감지되면, 감지된 트래픽에 대한 로그파일정보를 분석대상으로 지정하는 상위이벤트로그파일발생감지부(114)를 포함하여 구성될 수 있다.
상기 상위트래픽처리모듈(110)은, 상기 상위이벤트로그파일발생감지부(114)로부터 분석대상으로 지정된 로그파일정보를 라벨링하여 라벨링정보를 생성하고 메모리모듈(150)에 저장하는 상위라벨링정보생성부(115)를 포함하여 구성될 수 있다.
상기 상위시그너처생성모듈(120)은, 상기 라벨링정보를 상위연관규칙정보생성부(123)가 읽기 가능한 형태의 데이터로 인코딩하여 인코딩정보를 생성하고 메모리모듈(150)에 저장하는 상위인코딩정보생성부(121)를 포함하여 구성될 수 있다.
상기 상위시그너처생성모듈(120)은, 관리자로부터 지지도, 신뢰도, 향상도 임계값 기준을 부여받아 임계기준정보를 생성하는 상위임계기준정보생성부(122)를 포함하여 구성될 수 있다.
상기 상위시그너처생성모듈(120)은, 아프리오리 알고리즘을 기반으로 상기 인코딩정보로부터 상기 임계기준정보에 부합하는 연관규칙을 추출하여 연관규칙정보를 생성하고 메모리모듈(150)에 저장하는 상위연관규칙정보생성부(123)를 포함하여 구성될 수 있다.
상기 상위시그너처생성모듈(120)은, 상기 연관규칙정보를 가상 또는 물리적 보안방식에서 읽기 가능하도록 보안방식의 특성에 적합한 형태로 변형하여 시그너처정보를 생성하고 메모리모듈(150)에 저장하는 상위시그너처생성부(124)를 포함하여 구성될 수 있다.
상기 시그너처검증모듈(130)은, 상기 메모리모듈(150)에 신규 저장되는 시그너처정보를 보안시뮬레이션정책의 기준으로 설정하거나, 상기 메모리모듈(150)에 저장된 시그너처정보 중, 관리자에 의해 선택된 시그너처정보를 보안시뮬레이션정책의 기준으로 설정하여 보안시뮬레이션정책정보를 생성하는 보안시뮬레이션정책정보생성부(131)를 포함하여 구성될 수 있다.
상기 시그너처검증모듈(130)은, 메모리모듈(150)에 저장된 트래픽패킷정보를 활용하여 상기 보안시뮬레이션정책정보를 시뮬레이션 하기 위한 트래픽을 발생시키는 트래픽발생처리부(132)를 포함하여 구성될 수 있다.
상기 시그너처검증모듈(130)은, 상기 트래픽발생처리부(132)에 의해 발생한 트래픽이 패턴매칭시뮬레이션부(134)를 향하도록 트래픽 목적지를 변경하는 목적지변경처리부(133)를 포함하여 구성될 수 있다.
여기서 트래픽 발생이란, 상기 트래픽발생처리부(132)가 상기 메모리모듈(150)에 저장된 트래픽패킷정보를 상기 목적지변경처리부(133)에서 설정한 목적지인 패턴매칭시뮬레이션부(134)를 향해 전송함으로써 발생하는 트래픽으로 이해되는 것이 바람직하다.
상기 시그너처검증모듈(130)은, 상기 트래픽발생처리부(132) 및 상기 목적지변경처리부(133)에 의해 유입되는 트래픽패킷정보와 상기 보안시뮬레이션정책정보의 패턴 매칭 여부를 분석하여 패턴이 매칭되는 트래픽패킷정보를 차단하면서 보안정책을 시뮬레이션 하고, 차단된 트래픽패킷정보를 패턴매칭정보로 생성하여 메모리모듈(150)에 저장하는 패턴매칭시뮬레이션부(134)를 포함하여 구성될 수 있다.
여기서 패턴매칭정보란, "1. 상기 보안시뮬레이션정책정보와의 시그너처정보 패턴이 매칭되는 트래픽패킷정보에 포함된 트래픽 파일 또는 트래픽 파일 내의 다수의 패킷 데이터 중에서 2. 상기 보안시뮬레이션정책정보와의 시그너처정보 패턴이 매칭되는 트래픽 파일 또는 패킷 데이터에 대한 차단을 수행하면서 보안정책을 시뮬레이션하고, 3. 차단된 트래픽 파일 또는 패킷 데이터를 패턴매칭정보로 지정하는 것"으로 이해되는 것이 바람직하다.
상기 시그너처검증모듈(130)은, 상기 패턴매칭시뮬레이션부(134)에 의해 생성된 패턴매칭정보의 유효성을 분석하여 유효성정보를 생성하는 유효성정보생성부(135)를 포함하여 구성될 수 있다.
여기서 유효성 분석이란, 상기 패턴매칭시뮬레이션부(134)에 의해 생성된 패턴매칭정보가 포함하는 트래픽 파일 또는 패킷 데이터가 상기 보안시뮬레이션정책정보생성부(131)에 의해 생성된 보안시뮬레이션정책정보의 시그너처정보와 매칭되는 시그너처정보를 포함하는지의 여부를 분석하는 것으로 이해되는 것이 바람직하다.
이때, 분석결과가 매칭되는 시그너처정보를 포함하는 것으로 나타나면 패턴매칭정보가 유효한 것으로 판단하여 해당 보안시뮬레이션정책정보의 시그너처정보에 대한 유효성정보를 생성하고, 분석결과가 매칭되는 시그너처정보를 포함하지 않는 것으로 나타나면 패턴매칭정보가 무효한 것으로 판단하여 유효성정보를 생성하지 않는 것으로 이해되는 것이 바람직하다.
이때, 유효성정보가 생성된 시그너처정보는 하기의 보안정책관리부(145)에 의해 확정보안정책으로 승격되어 확정보안정책정보가 생성되고, 보안정책에 적용될 수 있는 검증된 시그너처정보로 이해되는 것이 바람직하다.
상기 시그너처검증모듈(130)은, 상기 유효성정보생성부(135)에 의해 유효성정보가 생성된 시그너처정보, 상기 패턴매칭시뮬레이션부(134)에 유입된 트래픽패킷정보, 보안시뮬레이션정책정보생성부(131)에서 생성된 보안시뮬레이션정책정보, 패턴매칭시뮬레이션부(134)에서 생성된 패턴매칭정보를 종합적으로 비교분석하여 보안시뮬레이션정책정보의 정확도를 산출하여 정확도산출정보를 생성하고 메모리모듈(150)에 저장하는 보안정책정확도산출부(136)를 포함하여 구성될 수 있다.
여기서 정확도 산출이란, "A. 트래픽패킷정보를 B. 트래픽패킷정보로부터 추출된 시그너처정보를 활용하여 C. 시그너처정보를 보안시뮬레이션정책정보로 지정하고, D. 보안시뮬레이션정책정보를 활용하여 보안 시뮬레이션을 진행하였을 때, E. 보안시뮬레이션정책정보와 패턴이 매칭되어 차단된 패턴매칭정보가 F. 시그너처정보와 연관성 있는 트래픽 파일 또는 패킷 데이터를 G. 얼마만큼 포함하고 있는가" 를 종합적으로 분석하여 확률로 산출한 것으로서, "A=트래픽패킷정보, B=시그너처정보, C=보안시뮬레이션정책정보, E=F=G=패턴매칭정보, P=정확도, Q=아프리오리 알고리즘 분석법" 이라 하면, "
Figure 112020049407066-pat00001
,
Figure 112020049407066-pat00002
,
Figure 112020049407066-pat00003
(%)" 의 방법에 의해 보안시뮬레이션정책정보의 정확도를 산출하는 것으로 이해될 수 있다.
상기 시그너처관리모듈(140)은, 외부망과 서버(100)와 클라이언트(400) 간의 트래픽 발생량을 실시간 또는 관리자에 의해 설정된 주기마다 감지하여 그래프 형태로 출력하는 트래픽모니터링부(141)를 포함하여 구성될 수 있다.
상기 시그너처관리모듈(140)은, 로그파일정보, 카테고리정보, 상기 상위이벤트로그파일발생감지부(114)에 의해 분석대상으로 지정된 로그파일정보, 라벨링정보, 인코딩정보, 임계기준정보, 연관규칙정보, 시그너처정보, 보안시뮬레이션정책정보, 상기 목적지변경처리부(133)에 의해 변경된 트래픽 도착 목적지, 패턴매칭정보, 유효성정보, 상기 보안정책정확도산출부(136)에 의해 산출된 보안시뮬레이션정책정보의 정확도 수치 중 어느 하나 이상의 정보가 관리자에 의해 선택되면, 선택된 정보에 대한 로그 기록을 관리자가 확인 가능하도록 출력하는 로그파일관리부(142)를 포함하여 구성될 수 있다.
상기 시그너처관리모듈(140)은, 관리자의 제어를 받아 상기 상위카테고리정보생성부(113)의 카테고리정보를 추가, 수정 및 삭제하는 카테고리관리부(143)를 포함하여 구성될 수 있다.
상기 시그너처관리모듈(140)은, 관리자의 제어를 받아 상기 상위임계기준정보생성부(122)에 임계값 기준을 부여하고, 초소형 보안 게이트웨이 디바이스(300)의 하위시그너처생성모듈(320)의 시그너처전송처리부(325)에서 전송되는 시그너처정보를 수신받아 메모리모듈(150)에 저장하는 시그너처관리부(144)를 포함하여 구성될 수 있다.
이때, 상기 시그너처관리부(144)는, 관리자의 제어를 받아 초소형 보안 게이트웨이 디바이스(300)를 제어하여 하위트래픽처리모듈(310)과 하위시그너처생성모듈(320) 중 적어도 어느 하나 이상의 동작을 활성화 또는 비활성화하도록 구성될 수 있다.
상기 시그너처관리모듈(140)은, 관리자의 제어를 받아 상기 트래픽발생처리부(132)의 트래픽 발생을 제어하고, 시뮬레이션을 통해 검증된 시그너처정보 또는 관리자에 의해 보안정책으로 선택된 시그너처정보를 확정보안정책으로 승격시켜 확정보안정책정보를 생성하고 메모리모듈(150)에 저장하며, 생성한 확정보안정책정보를 서버(100)의 보안정책에 적용하거나 초소형 보안 게이트웨이 디바이스(300)에 전송하는 보안정책관리부(145)를 포함하여 구성될 수 있다.
상기 시그너처관리모듈(140)은, 관리자로부터 임계값을 부여받고, 상기 트래픽모니터링부(141)에서 감지한 트래픽 발생량이 임계값 이하일 경우, 하위시그너처생성모듈(320)의 시그너처전송처리부(325)를 제어하여 상기 하위시그너처생성부(324)에서 생성된 시그너처정보를 전송받아 메모리모듈(150)에 저장하고, 상기 트래픽모니터링부(141)에서 감지한 트래픽 발생량이 임계값을 초과할 경우, 하위시그너처생성모듈(320)의 시그너처전송처리부(325)를 제어하여 상기 하위시그너처생성부(324)에서 생성된 시그너처정보의 전송을 차단하는 트래픽조건부동기화처리부(146)를 포함하여 구성될 수 있다.
상기 메모리모듈(150)은, 트래픽패킷정보, 로그파일정보, 카테고리정보, 라벨링정보, 인코딩정보, 임계기준정보, 연관규칙정보, 시그너처정보, 보안시뮬레이션정책정보, 트래픽 도착 목적지, 패턴매칭정보, 유효성정보, 정확도산출정보, 확정보안정책정보 중 적어도 어느 하나 이상의 정보를 저장하는 메모리모듈(150)을 포함하여 구성될 수 있다.
상기 허브(200)는, 네트워크를 상기 서버(100)로부터 다수의 노드로 분기하도록 구성된다.
한편, 도 7 내지 도 10을 참조하면, 일 실시예에 따른 본 발명의 초소형 보안 게이트웨이 디바이스(300)는, 하위트래픽처리모듈(310), 하위시그너처생성모듈(320), 보안정책어플리케이션모듈(330), 서브메모리(340)를 포함하여 구성되고, 상기 허브(200)에 의해 분기된 각각의 노드에 클라이언트(400)를 네트워크 접속시키기 위하여 설치되도록 구성될 수 있다.
상기 하위트래픽처리모듈(310)은, 상기 허브(200)에 의해 분기된 다수의 노드 간에 발생되는 트래픽 파일을 패킷 데이터와 함께 수집하여 트래픽패킷정보를 생성하고 서브메모리(340)에 저장하는 하위트래픽패킷정보수집부(311)를 포함하여 구성될 수 있다.
상기 하위트래픽처리모듈(310)은, 상기 하위트래픽패킷정보수집부(311)에서 생성된 트래픽패킷정보로부터 보안을 옵티마이즈 하기 위한 로그소스를 추출하여 로그파일정보를 생성하고 서브메모리(340)에 저장하는 하위로그파일정보생성부(312)를 포함하여 구성될 수 있다.
상기 하위트래픽처리모듈(310)은, 상기 하위로그파일정보생성부(312)에서 생성된 로그파일정보를 특성 유형별로 분류하여 분류에 따른 카테고리정보를 생성하고, 특성 유형별로 분류된 카테고리정보에 따른 로그파일정보를 서브메모리(340)에 저장하는 하위카테고리정보생성부(313)를 포함하여 구성될 수 있다.
상기 하위트래픽처리모듈(310)은, 상기 하위로그파일정보생성부(312)로부터 생성된 로그파일정보와 상기 하위카테고리정보생성부(313)로부터 생성된 카테고리정보의 매치 여부를 감지하고, 상기 카테고리정보와 매치되지 않는 새로운 특성의 로그파일정보가 포함된 트래픽이 감지되면, 감지된 트래픽에 대한 로그파일정보를 분석대상으로 지정하는 하위이벤트로그파일발생감지부(314)를 포함하여 구성될 수 있다.
상기 하위트래픽처리모듈(310)은, 상기 하위이벤트로그파일발생감지부(314)로부터 분석대상으로 지정된 로그파일정보를 라벨링하여 라벨링정보를 생성하고 서브메모리(340)에 저장하는 하위라벨링정보생성부(315)를 포함하여 구성될 수 있다.
상기 하위시그너처생성모듈(320)은, 상기 라벨링정보를 하위연관규칙정보생성부(323)가 읽기 가능한 형태의 데이터로 인코딩하여 인코딩정보를 생성하고 서브메모리(340)에 저장하는 하위인코딩정보생성부(321)를 포함하여 구성될 수 있다.
상기 하위시그너처생성모듈(320)은, 관리자로부터 지지도, 신뢰도, 향상도 임계값 기준을 부여받아 임계기준정보를 생성하는 하위임계기준정보생성부(322)를 포함하여 구성될 수 있다.
상기 하위시그너처생성모듈(320)은, 아프리오리 알고리즘을 기반으로 상기 인코딩정보로부터 상기 임계기준정보에 부합하는 연관규칙을 추출하여 연관규칙정보를 생성하고 서브메모리(340)에 저장하는 하위연관규칙정보생성부(323)를 포함하여 구성될 수 있다.
상기 하위시그너처생성모듈(320)은, 상기 연관규칙정보를 가상 또는 물리적 보안방식에서 읽기 가능하도록 보안방식의 특성에 적합한 형태로 변형하여 시그너처정보를 생성하고 서브메모리(340)에 저장하는 하위시그너처생성부(324)를 포함하여 구성될 수 있다.
상기 하위시그너처생성모듈(320)은, 상기 트래픽조건부동기화처리부(146)의 제어를 받아 상기 하위시그너처생성부(324)에서 생성된 시그너처정보를 상기 서버(100)의 메모리모듈(150)에 전송하는 시그너처전송처리부(325)를 포함하여 구성될 수 있다.
상기 보안정책어플리케이션모듈(330)은, 상기 서버(100)의 상기 시그너처관리모듈(140)의 상기 보안정책관리부(145)에서 전송되는 확정보안정책정보를 수신받는 보안정책수신부(331)를 포함하여 구성될 수 있다.
상기 보안정책어플리케이션모듈(330)은, 상기 보안정책수신부(331)에 수신된 확정보안정책정보를 초소형 보안 게이트웨이 디바이스(300)의 보안정책에 적용하는 보안정책적용부(332)를 포함하여 구성될 수 있다.
상기 서브메모리(340)는, 트래픽패킷정보, 로그파일정보, 카테고리정보, 라벨링정보, 인코딩정보, 임계기준정보, 연관규칙정보, 시그너처정보, 확정보안정책정보 중 적어도 어느 하나 이상의 정보를 저장하도록 구성될 수 있다.
따라서 본 발명은, 외부망과 내부망에서 발생되는 트래픽에 대하여 유해성이 의심되는 트래픽을 분류하고, 분류된 트래픽의 시그너처를 분석하여 가상의 보안정책을 수립한 뒤, 발생된 전체의 트래픽을 이용해 가상의 보안정책을 시뮬레이션하여 정확도를 산출하고, 이를 기준으로 보안 정책을 자동으로 추가 및 수정하여 관리함으로써, 내부망과 외부망에서 발생하는 새로운 유해 트래픽을 자동으로 탐지 및 분석하여 효과적인 보안정책을 수행할 수 있는 효과를 제공한다.
즉, 종래의 보안 시스템이 내부망의 하위트래픽에서 발생하는 유해한 트래픽을 효과적으로 차단할 수 없었으나, 본 발명에 따르면, 외부망과 내부망, 상위트래픽 뿐만 아니라 하위트래픽에서 발생하는 유해한 트래픽까지 분석하여 보안정책으로 적용할 수 있게 되므로, 내부망에서만 발생될 수 있는 유해한 트래픽을 효과적으로 차단할 수 있는 보안 옵티마이즈 기능을 제공할 수 있게 되는 것이다.
또한, 내부망과 외부망에서의 유해한 트래픽에 대한 보안정책을 수립함에 있어서, 관리자가 직접 관리할 필요 없이 검증된 시그너처 기반의 보안정책이 자동으로 수립되어 보안에 적용됨에 따라 새로운 공격에 대한 탐지 및 보안정책이 신속하게 수립되고, 상위트래픽과 하위트래픽 모두에 대한 보안정책이 수립됨에 따라, 외부망 뿐만 아니라 내부망 간에 발생하는 유해한 트래픽에 대한 보안정책을 네트워크 환경에 맞게 최적화된 형태로 제공할 수 있게 된다.
이상에서 본 발명은 도면에 도시된 바를 바탕으로 설명되었으나 이는 예시적인 것에 불과하며, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시 예 및 도면에 한정되는 것은 아니다.
100 : 서버
200 : 허브
300 : 초소형 보안 게이트웨이 디바이스
400 : 클라이언트

Claims (7)

  1. 서버(100)와 허브(200) 및 다수의 클라이언트(400)로 구성된 네트워크의 보안을 수행하는 네트워크 보안 시스템에 있어서,
    외부망과 서버(100)와 허브(200) 간에 발생되는 상위 트래픽 파일을 패킷 데이터와 함께 수집하여 트래픽패킷정보를 생성하고 메모리모듈(150)에 저장하는 상위트래픽패킷정보수집부(111)를 포함하여 구성되는 상위트래픽처리모듈(110)과,
    관리자로부터 지지도, 신뢰도, 향상도 임계값 기준을 부여받아 임계기준정보를 생성하는 상위임계기준정보생성부(122),
    아프리오리 알고리즘을 기반으로 상기 트래픽패킷정보로부터 상기 임계기준정보에 부합하는 연관규칙을 추출하여 연관규칙정보를 생성하고 메모리모듈(150)에 저장하는 상위연관규칙정보생성부(123),
    상기 연관규칙정보를 가상 또는 물리적 보안방식에서 읽기 가능하도록 보안방식의 특성에 적합한 형태로 변형하여 시그너처정보를 생성하고 메모리모듈(150)에 저장하는 상위시그너처생성부(124)를 포함하여 구성되는 상위시그너처생성모듈(120)과,
    상기 메모리모듈(150)에 신규 저장되는 시그너처정보를 보안시뮬레이션정책의 기준으로 설정하거나, 상기 메모리모듈(150)에 저장된 시그너처정보 중, 관리자에 의해 선택된 시그너처정보를 보안시뮬레이션정책의 기준으로 설정하여 보안시뮬레이션정책정보를 생성하는 보안시뮬레이션정책정보생성부(131),
    메모리모듈(150)에 저장된 트래픽패킷정보를 활용하여 상기 보안시뮬레이션정책정보를 시뮬레이션 하기 위한 트래픽을 발생시키는 트래픽발생처리부(132),
    상기 트래픽발생처리부(132)에 의해 발생한 트래픽이 패턴매칭시뮬레이션부(134)를 향하도록 트래픽 목적지를 변경하는 목적지변경처리부(133),
    상기 트래픽발생처리부(132) 및 상기 목적지변경처리부(133)에 의해 유입되는 트래픽패킷정보와 상기 보안시뮬레이션정책정보의 패턴 매칭 여부를 분석하여 패턴이 매칭되는 트래픽패킷정보를 차단하면서 보안정책을 시뮬레이션 하고, 차단된 트래픽패킷정보를 패턴매칭정보로 생성하여 메모리모듈(150)에 저장하는 패턴매칭시뮬레이션부(134),
    상기 패턴매칭시뮬레이션부(134)에 의해 생성된 패턴매칭정보의 유효성을 분석하여 유효성정보를 생성하는 유효성정보생성부(135),
    상기 유효성정보생성부(135)에 의해 유효성정보가 생성된 시그너처정보, 상기 패턴매칭시뮬레이션부(134)에 유입된 트래픽패킷정보, 보안시뮬레이션정책정보생성부(131)에서 생성된 보안시뮬레이션정책정보, 패턴매칭시뮬레이션부(134)에서 생성된 패턴매칭정보를 종합적으로 비교분석하여 보안시뮬레이션정책정보의 정확도를 산출하여 정확도산출정보를 생성하고 메모리모듈(150)에 저장하는 보안정책정확도산출부(136)를 포함하여 구성되는 시그너처검증모듈(130)과,
    관리자의 제어를 받아 상위카테고리정보생성부(113)의 카테고리정보를 추가, 수정 및 삭제하는 카테고리관리부(143),
    관리자의 제어를 받아 상기 트래픽발생처리부(132)의 트래픽 발생을 제어하고, 시뮬레이션을 통해 검증된 시그너처정보 또는 관리자에 의해 보안정책으로 선택된 시그너처정보를 확정보안정책으로 승격시켜 확정보안정책정보를 생성하고 메모리모듈(150)에 저장하며, 생성한 확정보안정책정보를 서버(100)의 보안정책에 적용하거나 초소형 보안 게이트웨이 디바이스(300)에 전송하는 보안정책관리부(145)를 포함하여 구성되는 시그너처관리모듈(140)과,
    메모리모듈(150)을 포함하여 구성되는 서버(100)와;
    네트워크를 상기 서버(100)로부터 다수의 노드로 분기하는 허브(200)와;
    상기 서버(100)의 상기 시그너처관리모듈(140)의 상기 보안정책관리부(145)에서 전송되는 확정보안정책정보를 수신받는 보안정책수신부(331),
    상기 보안정책수신부(331)에 수신된 확정보안정책정보를 초소형 보안 게이트웨이 디바이스(300)의 보안정책에 적용하는 보안정책적용부(332)를 포함하여 구성되는 보안정책어플리케이션모듈(330)과,
    확정보안정책정보를 저장하는 서브메모리(340)를 포함하여 구성되고, 상기 허브(200)에 의해 분기된 각각의 노드에 클라이언트(400)를 네트워크 접속시키기 위하여 설치되는 초소형 보안 게이트웨이 디바이스(300);를 포함하여 구성되는 것을 특징으로 하는 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템.
  2. 제 1항에 있어서,
    상기 상위트래픽처리모듈(110)은,
    상기 상위트래픽패킷정보수집부(111)에서 생성된 트래픽패킷정보로부터 보안을 옵티마이즈 하기 위한 로그소스를 추출하여 로그파일정보를 생성하고 메모리모듈(150)에 저장하는 상위로그파일정보생성부(112)를 더 포함하여 구성되는 것을 특징으로 하는 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템.
  3. 제 2항에 있어서,
    상기 상위트래픽처리모듈(110)은,
    상기 상위로그파일정보생성부(112)에서 생성된 로그파일정보를 특성 유형별로 분류하여 분류에 따른 카테고리정보를 생성하고, 특성 유형별로 분류된 카테고리정보에 따른 로그파일정보를 메모리모듈(150)에 저장하는 상위카테고리정보생성부(113)를 더 포함하여 구성되는 것을 특징으로 하는 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템.
  4. 제 3항에 있어서,
    상기 상위트래픽처리모듈(110)은,
    상기 상위로그파일정보생성부(112)로부터 생성된 로그파일정보와 상기 상위카테고리정보생성부(113)로부터 생성된 카테고리정보의 매치 여부를 감지하고, 상기 카테고리정보와 매치되지 않는 새로운 특성의 로그파일정보가 포함된 트래픽이 감지되면, 감지된 트래픽에 대한 로그파일정보를 분석대상으로 지정하는 상위이벤트로그파일발생감지부(114)를 더 포함하여 구성되는 것을 특징으로 하는 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템.
  5. 제 4항에 있어서,
    상기 상위트래픽처리모듈(110)은,
    상기 상위이벤트로그파일발생감지부(114)로부터 분석대상으로 지정된 로그파일정보를 라벨링하여 라벨링정보를 생성하고 메모리모듈(150)에 저장하는 상위라벨링정보생성부(115)를 더 포함하여 구성되는 것을 특징으로 하는 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템.
  6. 제 5항에 있어서,
    상기 상위시그너처생성모듈(120)은,
    상기 라벨링정보를 상위연관규칙정보생성부(123)가 읽기 가능한 형태의 데이터로 인코딩하여 인코딩정보를 생성하고 메모리모듈(150)에 저장하는 상위인코딩정보생성부(121)를 더 포함하여 구성되는 것을 특징으로 하는 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템.
  7. 제 6항에 있어서,
    상기 메모리모듈(150)은,
    트래픽패킷정보, 로그파일정보, 카테고리정보, 라벨링정보, 인코딩정보, 임계기준정보, 연관규칙정보, 시그너처정보, 보안시뮬레이션정책정보, 트래픽 도착 목적지, 패턴매칭정보, 유효성정보, 정확도산출정보, 확정보안정책정보 중 적어도 어느 하나 이상의 정보를 저장하도록 구성되는 것을 특징으로 하는 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템.
KR1020200058558A 2020-05-15 2020-05-15 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템 KR102377784B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200058558A KR102377784B1 (ko) 2020-05-15 2020-05-15 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200058558A KR102377784B1 (ko) 2020-05-15 2020-05-15 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템

Publications (2)

Publication Number Publication Date
KR20210141198A KR20210141198A (ko) 2021-11-23
KR102377784B1 true KR102377784B1 (ko) 2022-03-22

Family

ID=78695202

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200058558A KR102377784B1 (ko) 2020-05-15 2020-05-15 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템

Country Status (1)

Country Link
KR (1) KR102377784B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102519749B1 (ko) * 2022-01-19 2023-04-10 국방과학연구소 인공지능 기반의 기술정보 관리 방법, 시스템 및 장치

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101951208B1 (ko) 2018-09-28 2019-02-25 주식회사 루터스시스템 방화벽에이전트를 이용해 네트워크 트래픽을 감시하는 방화벽 시스템

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100635130B1 (ko) 2005-07-08 2006-10-17 한국전자통신연구원 윈도우 네트워크 감시를 통한 커널 백도어 탐지 시스템 및방법
KR20130126830A (ko) * 2012-04-30 2013-11-21 (주) 시스메이트 실시간 응용 시그니쳐 생성 장치 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101951208B1 (ko) 2018-09-28 2019-02-25 주식회사 루터스시스템 방화벽에이전트를 이용해 네트워크 트래픽을 감시하는 방화벽 시스템

Also Published As

Publication number Publication date
KR20210141198A (ko) 2021-11-23

Similar Documents

Publication Publication Date Title
US10505953B2 (en) Proactive prediction and mitigation of cyber-threats
JP6863969B2 (ja) 低信頼度のセキュリティイベントによるセキュリティインシデントの検出
KR101689296B1 (ko) 보안이벤트 자동 검증 방법 및 장치
Vukalović et al. Advanced persistent threats-detection and defense
Sandhu et al. A survey of intrusion detection & prevention techniques
Beigh et al. Intrusion Detection and Prevention System: Classification and Quick
US7810158B2 (en) Methods and systems for deceptively trapping electronic worms
Mangrulkar et al. Network attacks and their detection mechanisms: A review
KR20170091989A (ko) 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법
Thakur et al. An analysis of information security event managers
Beigh et al. Intrusion detection and prevention system: issues and challenges
KR102377784B1 (ko) 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템
Mathew et al. Real-time multistage attack awareness through enhanced intrusion alert clustering
Adeleke Intrusion detection: issues, problems and solutions
Sandhu et al. A study of the novel approaches used in intrusion detection and prevention systems
Gheorghică et al. A new framework for enhanced measurable cybersecurity in computer networks
Xiao Research on computer network information security based on big data technology
De La Peña Montero et al. Autonomic and integrated management for proactive cyber security (AIM-PSC)
Suramwar et al. A Survey on different types of Intrusion Detection Systems
Awodele Simon et al. Intrusion Detection System in Cloud Computing: A
Rakshitha et al. A survey on detection and mitigation of zombie attacks in cloud environment
Patel A Comparative Study Between Intrusion Detection System And Intrusion Prevention System
Ambika et al. Architecture for real time monitoring and modeling of network behavior for enhanced security
Gomathi et al. Analysis and Classification of Network Security Attacks Using Domain Generation Algorithm
Yashwant et al. Buckler: Intrusion Detection and Prevention using Honeypot

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant