KR102428444B1 - Ip정보를 활용한 vpn 보안관제 이상징후 탐지 시스템 및 방법 - Google Patents

Ip정보를 활용한 vpn 보안관제 이상징후 탐지 시스템 및 방법 Download PDF

Info

Publication number
KR102428444B1
KR102428444B1 KR1020210016826A KR20210016826A KR102428444B1 KR 102428444 B1 KR102428444 B1 KR 102428444B1 KR 1020210016826 A KR1020210016826 A KR 1020210016826A KR 20210016826 A KR20210016826 A KR 20210016826A KR 102428444 B1 KR102428444 B1 KR 102428444B1
Authority
KR
South Korea
Prior art keywords
private network
virtual private
information
management server
external user
Prior art date
Application number
KR1020210016826A
Other languages
English (en)
Inventor
김형수
이의용
김진철
임진아
이미화
Original Assignee
한전케이디엔주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한전케이디엔주식회사 filed Critical 한전케이디엔주식회사
Priority to KR1020210016826A priority Critical patent/KR102428444B1/ko
Application granted granted Critical
Publication of KR102428444B1 publication Critical patent/KR102428444B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명에 따른 IP정보를 활용한 VPN 보안관제 이상징후 탐지 방법은 (a) 외부 사용자 단말기가 가상 사설망에 접속하는 단계; (b) 상기 가상 사설망이 접속하는 복수의 상기 외부 사용자 단말기를 감지하는 단계; (c) 가상 사설망 관리 서버가 상기 가상 사설망과 연결되어 접속하는 외부 사용자 단말기들에 대한 접속을 감지하면서 복수의 시나리오 중 어느 하나의 시나리오에 따른 이상징후를 탐지하는 단계; 및 (d) 상기 가상 사설망 관리 서버가 구축된 대시보드를 통해 전체 시나리오 별 탐지한 이상징후를 제공하는 단계;를 포함하여 복수의 탐지 시나리오를 도출하고 이를 시스템에 적용하여 이상징후를 자동 추출해주므로 보안관제 인력의 지식과 경험치에 상관없이 일관된 이상징후 탐지가 가능한 효과가 있다.

Description

IP정보를 활용한 VPN 보안관제 이상징후 탐지 시스템 및 방법{SYSTEM AND METHOD FOR DETECTING MYSTERIOUS SYMPTOM OF SECURITY OPERATION USING IP INFORMATION}
본 발명은 IP정보를 활용한 VPN 보안관제 이상징후 탐지 시스템 및 방법에 관한 것으로써 더욱 상세하게는 IP정보를 활용하여 VPN(VIRTUAL PRIVATE NETWORK:가상사설망) 접속 이상징후를 탐지하는 6개의 시나리오를 도출하고 이를 VPN 보안관제 종합 대시보드에서 실시간 탐지할 수 있는 시스템을 구현하여 VPN 보안관제 정탐률을 높이고 포스트 코로나 시대에 사이버 위협 대응 역량을 강화할 수 있는 IP정보를 활용한 VPN 보안관제 이상징후 탐지 시스템 및 방법에 관한 것이다.
SSL(SECURE SOCKETS LAYER: 보안 소켓 계층) VPN은 기업 내부 업무망의 외부 접속 접점으로 외부 사용자가 접속을 하기 위한 단말기가 필요하며, 이 단말기가 해킹되어 해커에게 VPN 계정 및 인증서를 탈취 당하게 될 경우 해커가 기업의 회사 내부망을 침투할 수 있는 취약점을 내포하고 있다.
코로나19로 비대면 업무환경으로 전환되고 기업의 재택근무가 증가함에 따라 SSL VPN 사용량이 급격하게 증가하였고 이에 덩달아 보안위협도 함께 증가한 반면 보안관제 측에서는 관제해야 할 로그량이 증가하였음에도 VPN 이상징후를 탐지하는 통합관제 솔루션이 부재하여 잦은 오탐과 미탐이 발생하는 문제점이 있었다.
또한, 사이버 위협 탐지 로그와 VPN 접속 로그의 홍수 속에서 소수의 관제인력이 이상행위 발생 즉시 탐지 어려운 문제점이 있다.
또한, VPN 접속 로그를 육안 확인하여 이상징후 의심될 경우 사용자에게 정상접속 여부를 확인하는 프로세스로 접속 로그가 증가할수록 오탐, 미탐 발생 확률이 높아져 보안관제 사각지대 발생하는 문제점이 있다.
대한민국 등록특허공보 제10-1329968호(2013.11.05)
상술한 문제점들을 해결하기 위해 본 발명은 VPN 접속의 특징을 분석하여 6가지 탐지 시나리오를 도출하고 이를 시스템에 적용하여 이상징후를 자동 추출해주는 IP정보를 활용한 VPN 보안관제 이상징후 탐지 시스템 및 방법을 제공하는 데 목적이 있다.
또한, 상술한 문제점들을 해결하기 위해 본 발명은 IP 위치 정보를 기반한 이상속도 검출, IP와 계정 간 비정상 매칭 추출, 위협DB를 활용한 유해IP 접속탐지, 네트워크 공격과의 상관분석 등 다양한 시나리오를 적용하여 심층관제 하는 IP정보를 활용한 VPN 보안관제 이상징후 탐지 시스템 및 방법을 제공하는 데 목적이 있다.
상술한 목적을 달성하기 위해 본 발명에 따른 IP정보를 활용한 VPN 보안관제 이상징후 탐지 방법은 (a) 외부 사용자 단말기가 가상 사설망에 접속하는 단계; (b) 상기 가상 사설망이 접속하는 복수의 상기 외부 사용자 단말기를 감지하는 단계; (c) 가상 사설망 관리 서버가 상기 가상 사설망과 연결되어 접속하는 외부 사용자 단말기들에 대한 접속을 감지하면서 복수의 시나리오 중 어느 하나의 시나리오에 따른 이상징후를 탐지하는 단계; 및 (d) 상기 가상 사설망 관리 서버가 구축된 대시보드를 통해 전체 시나리오 별 탐지한 이상징후를 제공하는 단계;를 포함하는 것을 특징으로 한다.
바람직하게, 상술한 목적을 달성하기 위해 본 발명에 따른 IP정보를 활용한 VPN 보안관제 이상징후 탐지 방법의 (c) 단계는 (c-11) 상기 가상 사설망 관리 서버)의 로그 수집부가 상기 가상 사설망에 접속하는 상기 외부 사용자 단말기의 최초 로그정보를 수집하는 단계; (c-21) 상기 로그 수집부가 상기 외부 사용자 단말기의 다음 로그정보를 수집하는 단계; (c-31) 상기 가상 사설망 관리 서버의 위치정보 취득부가 상기 외부 사용자 단말기로 접속하는 사용자의 위치정보를 취득하는 단계; (c-41) 상기 가상 사설망 관리 서버의 시간차 계산부가 상기 외부 사용자 단말기의 최초 로그정보와 다음 로그 정보 중 시간 정보를 이용하여 접속시간차이를 계산하는 단계; (c-51) 상기 가상 사설망 관리 서버의 거리 산출부가 상기 외부 사용자 단말기가 이용한 이전 접속 IP와 현재 접속 IP의 위도, 경도 정보를 파라미터로하여 두 위치좌표 간의 거리를 산출하여 이동거리를 산출하는 단계; 및 (c-61) 상기 가상 사설망 관리 서버의 주제어부가 상기 (c-51) 단계에서 산출한 이동거리가 이상속도 임계점 내에서 이동 가능한 거리인지 확인하여 불가능한 경우에는 이상징후로 간주하여 탐지하는 단계;를 포함하는 것을 특징으로 한다.
더욱 바람직하게, 상술한 목적을 달성하기 위해 본 발명에 따른 IP정보를 활용한 VPN 보안관제 이상징후 탐지 방법의 (c) 단계는(c-12) 상기 가상 사설망 관리 서버의 로그 수집부가 상기 가상 사설망에 접속하는 상기 외부 사용자 단말기의 최초 로그정보를 수집하는 단계; (c-22) 상기 로그 수집부가 상기 외부 사용자 단말기의 다음 로그정보를 수집하는 단계; (c-32) 상기 가상 사설망 관리 서버의 위치정보 취득부가 상기 외부 사용자 단말기로 접속하는 사용자의 위치정보를 취득하는 단계; (c-42) 상기 가상 사설망 관리서버가 교통수단에 대한 최적의 이동속도를 산출하는 단계; (c-52) 상기 가상 사설망 관리 서버의 시간차 계산부가 상기 외부 사용자 단말기의 최초 로그정보와 다음 로그 정보 중 시간 정보를 이용하여 접속시간차이를 계산하는 단계; (c-62) 상기 가상 사설망 관리 서버의 거리 산출부가 상기 외부 사용자 단말기가 이용한 이전 접속 IP와 현재 접속 IP의 위도, 경도 정보를 파라미터로하여 두 위치좌표 간의 거리를 산출하여 이동거리를 산출하는 단계; 및 (c-72) 상기 가상 사설망 관리 서버의 주제어부가 상기 (c-62) 단계에서 산출한 이동거리가 상기 (c-42)단계에서 산출한 최적의 이동속도 내에서 이동 가능한 거리인지 확인하여 불가능한 경우에는 이상징후로 간주하여 탐지하는 단계;를 포함하는 것을 특징으로 한다.
본 발명에 따른 IP정보를 활용한 VPN 보안관제 이상징후 탐지 시스템 및 방법은 VPN 접속의 특징을 분석하여 6가지 탐지 시나리오를 도출하고 이를 시스템에 적용하여 이상징후를 자동 추출해주므로 보안관제 인력의 지식과 경험치에 상관없이 일관된 이상징후 탐지가 가능한 효과가 있다.
또한, 본 발명에 따른 IP정보를 활용한 VPN 보안관제 이상징후 탐지 시스템 및 방법은 IP 위치 정보를 기반한 이상속도 검출, IP와 계정 간 비정상 매칭 추출, 위협DB를 활용한 유해IP 접속탐지, 네트워크 공격과의 상관분석 등 다양한 시나리오를 적용하여 심층관제 함으로써 관제 누수 방지할 수 있는 효과가 있다.
또한, 본 발명에 따른 IP정보를 활용한 VPN 보안관제 이상징후 탐지 시스템 및 방법은 국내IP의 경우 비행기, KTX, 자동차 등 모든 교통수단을 종합한 최적 이동속도 산출 알고리즘을 적용하여 최적 이동속도를 산출하고 이에 기반한 이상속도를 탐지함으로써 탐지 정확도를 향상시킬 수 있는 효과가 있다.
또한, 본 발명에 따른 IP정보를 활용한 VPN 보안관제 이상징후 탐지 시스템 및 방법은 6가지 시나리오를 실시간 탐지 가능한 VPN 종합 대시보드를 구축함으로써 즉각적인 위협탐지 및 대응이 가능한 효과가 있다.
도 1은 본 발명에 따른 IP정보를 활용한 VPN 보안관제 이상징후 탐지 시스템 도면이다.
도 2는 본 발명에 따른 IP정보를 활용한 VPN 보안관제 이상징후 탐지 시스템의 가상 사설망 관리서버 블록도 이다.
도 3은 본 발명에 따른 IP정보를 활용한 VPN 보안관제 이상징후 탐지 방법의 플로우 차트이다.
도 4는 본 발명에 따른 IP정보를 활용한 VPN 보안관제 이상징후 탐지 방법 중, 국가 간 이동 이상속도 발생 탐지 시나리오의 플로우 차트이다.
도 5는 본 발명에 따른 IP정보를 활용한 VPN 보안관제 이상징후 탐지 방법 중, 국가 간 이동 이상속도 발생 탐지 시나리오를 설명하기 위한 보조 도면이다.
도 6은 본 발명에 따른 IP정보를 활용한 VPN 보안관제 이상징후 탐지 방법 중, 국내 지역 간 이동 이상속도 발생 탐지 시나리오의 플로우 차트이다.
도 7은 본 발명에 따른 IP정보를 활용한 VPN 보안관제 이상징후 탐지 방법 중, 국내 지역 간 이동 이상속도 발생 탐지 시나리오에 필요한 최적의 이동속도 산출을 위한 플로우 차트이다.
도 8는 본 발명에 따른 IP정보를 활용한 VPN 보안관제 이상징후 탐지 방법 중, 국내 지역 간 이동 이상속도 발생 탐지 시나리오에 필요한 최적의 이동속도 산출을 위한 보조 도면이다.
도 9는 본 발명에 따른 IP정보를 활용한 VPN 보안관제 이상징후 탐지 방법 중, 접속 IP 단시간 변경 사용자 탐지 시나리오의 플로우 차트이다.
도 10은 본 발명에 따른 IP정보를 활용한 VPN 보안관제 이상징후 탐지 방법 중, 동일 접속 IP로 다수 계정 접속 탐지 시나리오의 플로우 차트이다.
도 11은 본 발명에 따른 IP정보를 활용한 VPN 보안관제 이상징후 탐지 방법 중, 유해 IP로부터의 가상 사설망 접속 탐지 시나리오의 플로우 차트이다.
도 12는 본 발명에 따른 IP정보를 활용한 VPN 보안관제 이상징후 탐지 방법 중, 가상 사설망 접속 전후 네트워크 공격 탐지 시나리오의 플로우 차트이다.
도 13은 본 발명에 따른 IP정보를 활용한 VPN 보안관제 이상징후 탐지 방법 중, 구축된 대시보드를 통해 전체 시나리오 별 탐지한 이상징후를 제공하는 것을 도시한 도면이다.
본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정하여 해석되어서는 아니 되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여, 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다.
따라서, 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가 장 바람직한 일 실시예에 불과할 뿐이고 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다.
이하, 첨부된 도면을 참조하여 본 발명에 따른 IP정보를 활용한 VPN 보안관제 이상징후 탐지 시스템 및 방법에 대해 상세히 설명한다.
먼저, 본 발명에 따른 IP정보를 활용한 VPN 보안관제 이상징후 탐지 시스템에 대해 설명한다.
본 발명에 따른 IP정보를 활용한 VPN 보안관제 이상징후 탐지 시스템은 외부 사용자 단말기(100), 가상 사설망(200) 및 가상 사설망 관리서버(300)를 포함한다.
상기 외부 사용자 단말기(100)는 상기 가상 사설망(200)에 접속을 하기 위해 사용자에게 필요한 단말기 이다.
상기 가상 사설망(200)은 기업 내부 업무망의 외부 접속 접점으로, 외부의 사용자의 상기 외부 사용자 단말기(100)의 접속이 이루어진다.
상기 가상 사설망 관리서버(300)는 상기 가상 사설망(200)에 접속하여, 해당 가설 사설망(200)에 접속하는 복수의 외부 사용자 단말기(100)들에 대한 접속을 감시하면서 이상징후를 탐지한다.
상기 가상 사설망 관리서버(300)에 대해 도 2를 참조하여 더욱 상세하게 설명한다.
도 2에 도시된 바와 같이 상기 가상 사설망 관리서버(300)는 로그 수집부(310), 위치정보 취득부(320), 주제어부(330), 시간차 계산부(340), 거리 산출부(350), 및 데이터 베이스부(360)를 포함한다.
상기 데이터 베이스부(360)는 공항 위치정보 DB(361), 열차역 위치정보 DB(362), 운행정보 DB(363), 및 시나리오 DB(364)를 포함한다.
특히, 상기 시나리오 DB(364)는 6가지 시나리오 즉, 국가 간 이동 이상속도 발생 탐지 시나리오, 국내 지역 간 이동 이상속도 발생 탐지 시나리오, 접속 IP 단시간 변경 사용자 탐지 시나리오, 동일 접속 IP로 다수 계정 접속 탐지 시나리오, 유해 IP로부터의 가상 사설망 접속 탐지 시나리오, 및 가상 사설망 접속 전후 네트워크 공격 탐지 시나리오가 저장되어 있다.
상술한 구성을 갖는 본 발명에 따른 IP정보를 활용한 VPN 보안관제 이상징후 탐지 시스템에 의한 이상징후 탐지 방법에 대해 설명한다.
먼저, 도 3에 도시된 바와 같이 복수의 상기 외부 사용자 단말기(100)는 가상 사설망(200)에 접속하는 단계를 수행한다(S100).
상기 가상 사설망(200)은 접속하는 복수의 상기 외부 사용자 단말기(100)를 감지하는 단계를 수행한다(S300).
상기 가상 사설망 관리 서버(300)는 관제센터에 구비되고, 상기 가상 사설망(200)과 연결되어 접속하는 외부 사용자 단말기(100)들에 대한 접속을 감지하면서 시나리오에 따른 이상징후를 탐지하는 단계를 수행한다.
이후, 상기 가상 사설망 관리 서버(300)는 대시보드 플랫폼이 구축되어 상기 S300단계에서 시나리오별로 이상징후 탐지결과를 수치로 표시하고, 해당 수치를 클릭함에 따라 상세한 이상징후 결과를 제공하는 단계를 수행한다(S400).
상기 가상 사설망 관리 서버(300)는 외부 사용자 단말기(100)의 접속 감지결과 국가 간 이동인 것으로 판단되는 경우, 국가 간 이동 이상속도 발생 탐지 시나리오에 따라 이상징후를 탐지한다.
상기 가상 사설망 관리 서버(300)가 국가 간 이동 이상속도 발생 탐지 시나리오에 따라 이상징후를 탐지하는 방법에 대해 도 4를 참조하여 설명한다.
먼저 상기 가상 사설망 관리 서버(300)의 로그 수집부(310)는 상기 외부 사용자 단말기(100)가 접속하는 상기 가상 사설망(200)의 계정 정보, 최초 로그인 시간 정보, 접속 IP 정보 등을 포함하는 가상 사설망 접속과 관련한 최초 로그정보를 수집하는 단계를 수행한다(S311).
이후, 상기 로그 수집부(310)는 상기 외부 사용자 단말기(100)가 접속하는 상기 가상 사설망(200)의 계정 정보, 다음 로그인 시간 정보, 접속 IP 정보 등을 포함하는 가상 사설망 접속과 관련한 다음 로그정보를 수집하는 단계를 수행한다(S321).
상기 위치정보 취득부(320)는 상기 로그 수집부(310)가 수집하는 로그 중, 접속 IP의 위도, 경도, 국가정보, 지역정보 등을 포함하는 사용자가 상기 외부 사용자 단말기(100)로 접속하는 위치정보를 취득하는 단계를 수행한다(S331).
상기 시간차 계산부(340)는 상기 로그 수집부(310)가 상기 외부 사용자 단말기(100)에서 사용하는 같은 계정에 대하여, 수집한 최초 로그인 시간 정보와 다음 로그인 시간 정보를 가지고, 최초 로그인 후 다음 로그인 시점에 이전 로그인 시간과의 차이를 계산하여 "접속시간차이"를 계산하는 단계를 수행한(S341).
상기 거리 산출부(350)는 상기 외부 사용자 단말기(100)가 이용한 이전 접속 IP와 현재 접속 IP의 위도, 경도 정보를 파라미터로하고 호버사인 거리(Haversine Distance) 알고리즘을 이용하여 두 위치좌표 간의 거리를 산출하여 "이동거리"를 산출하는 단계를 수행한다(S351).
상기 주제어부(330)는 상기 거리 산출부(350)가 산출한 이동거리가 상기 시간차 계산부(340)가 계산한 시간차 동안 비행기의 평균속도로 이동하는 것이 불가능한 경우에는 이상속도를 이상징후로 간주하여 탐지하는 단계를 수행한다(S361).
이때, 상기 거리 산출부(350)가 산출한 이동거리가 상기 시간차 계산부(340)에 의해 계산된 시간에 이동이 가능한 거리인지는 상기 주제어부(330)에서 설정되는 이상속도 임계점에 의해 확인될 수 있다.
즉, 상기 주제어부(330)는 국가간 이동시 비행기의 평균속도인 약 900km/h를 이상속도 임계점으로 설정하는 것이 바람직하다.
상술한 국가 간 이동 이상속도 발생 탐지 개념은 도 5에 도시된 바와 같다.
다음으로 상기 가상 사설망 관리 서버(300)가 국내 지역 간 이동 이상속도 발생 탐지 시나리오에 따라 이상징후를 탐지하는 방법에 대해 도 6을 참조하여 설명한다.
상기 가상 사설망 관리 서버(300)의 로그 수집부(310)는 상기 외부 사용자 단말기(100)가 접속하는 상기 가상 사설망(200)의 계정 정보, 최초 로그인 시간 정보, 접속 IP 정보 등을 포함하는 가상 사설망 접속과 관련한 최초 로그정보를 수집하는 단계를 수행한다(S312).
이후, 상기 로그 수집부(310)는 상기 외부 사용자 단말기(100)가 접속하는 상기 가상 사설망(200)의 계정 정보, 다음 로그인 시간 정보, 접속 IP 정보 등을 포함하는 가상 사설망 접속과 관련한 다음 로그정보를 수집하는 단계를 수행한다(S322).
상기 위치정보 취득부(320)는 상기 로그 수집부(310)가 수집하는 로그 중, 접속 IP의 위도, 경도, 국가정보, 지역정보 등을 포함하는 사용자가 상기 외부 사용자 단말기(100)로 접속하는 위치정보를 취득하는 단계를 수행한다(S332).
상기 가상 사설망 관리서버(300)는 교통수단에 대한 최적의 이동속도를 산출하는 단계를 수행한다(S342).
사용자가 이용하는 자동차, 비행기 KTX 등의 교통수단을 종합한 최적의 이동속도 산출하는 상기 S342단계에 대해 도 7 및 도 8을 참조하여 상세히 설명한다.
상기 가상 사설망 관리서버(300)는 도 2에 도시된 바와 같이 국내 운항노선이 있는 14개의 공항과 53개의 KTX 및 SRT 열차역에 대해 각각의 위도 경도 운행 정보를 JSON 형식에 맞추어 데이터 베이스부(360)의 공항 위치정보 DB(361), 열차역 위치정보 DB(362), 운행정보 DB(363)에 각각 구축하는 단계를 수행한다(S342a).
상기 거리 산출부(350)는 상기 가상 사설망(200)에 접속한 상기 외부 사용자 단말기(100)에 대한 이전 접속 IP의 위도, 경도 정보와 상기 공항 위치정보 DB(410)에 저장된 14개 공항의 위도 경도 정보를 순차적으로 호버사인 거리(Haversine Distance) 알고리즘을 이용하여 거리를 구하고 가장 가까운 공항 정보 산출단계를 수행한다(S342b).
또한, 상기 거리 산출부(350)는 상기 가상 사설망(200)에 접속한 상기 외부 사용자 단말기(100)에 대한 현재 접속 IP의 위도, 경도 정보와 상기 공항 위치정보 DB(410)에 저장된 14개 공항의 위도 경도 정보를 순차적으로 호버사인 거리(Haversine Distance) 알고리즘을 이용하여 거리를 구하고 가장 가까운 공항 정보 산출단계를 수행한다(S342c).
상기 주제어부(330)는 상기 사용자 단말기(100)가 상기 가상 사설망(200)에 이전 접속위치와 가장 가까운 공항정보의 운행정보, 상기 가상 사설망(200)에 현재 접속위치와 가장 가까운 공항정보의 운행정보를 비교하여 운행을 하는 노선인지 확인하는 단계를 수행한다(S342d).
상기 주제어부(330)에 의해 두 공항 간 항공운행을 하는 노선으로 확인되면, 상기 가설 사설망(200) 이전 접속위치에서 가장 가까운 공항까지의 이동거리와 자동차 이동속도(약 100km/h), 두 공항 간 이동거리와 비행기 이동속도(약 900km/h), 도착 공항과 상기 가설 사설망(200) 현재 접속위치 간 이동거리와 자동차 이동속도(약 100km/h)를 적용하여 출발지점에서 도착지점까지 자동차와 비행기를 이용할 때 사용자의 평균 이동속도를 산출하는 단계를 수행한다(S342e).
마찬가지로, 상기 주제어부(330)는 사용자가 비행기 대신 KTX 또는 SRT등 열차를 이용한다고 가정할 때도 고속열차 평균 이동속도(약 300km/h)를 가정하여 출발지점에서 도착지점까지 자동차와 고속열차를 이용할 때 사용자의 평균 이동속도를 산출하는 단계를 수행한다(S342f).
또한, 상기 주제어부(330)는 사용자가 자동차만을 이용할 때는 자동차 이동속도(약 100km/h)를 평균 이동속도로 산출한다.
상기 주제어부(330)는 상술한 비행기, 고속열차, 자동차를 이용한 각각의 속도를 비교하여 가장 높은 속도를 상기 가상 사설망(200) 접속 시 직전의 접속한 지역과 현재 접속한 지역 간 이동할 수 있는 '최적의 이동속도'로 산출하는 단계를 수행한다(S342g).
상기 S342g단계에서 산출된 최적의 이동속도는 후술된 바와 같이 이상속도 임계점으로 사용된다.
상기 시간차 계산부(340)는 상기 로그 수집부(310)가 상기 외부 사용자 단말기(100)에서 사용하는 같은 계정에 대하여, 수집한 최초 로그인 시간 정보와 다음 로그인 시간 정보를 가지고, 최초 로그인 후 다음 로그인 시점에 이전 로그인 시간과의 차이를 계산하여 "접속시간차이"를 계산하는 단계를 수행한(S352).
상기 거리 산출부(350)는 상기 외부 사용자 단말기(100)가 이용한 이전 접속 IP와 현재 접속 IP의 위도, 경도 정보를 파라미터로하고 호버사인 거리(Haversine Distance) 알고리즘을 이용하여 두 위치좌표 간의 거리를 산출하여 "이동거리"를 산출하는 단계를 수행한다(S362).
상기 주제어부(330)는 상기 거리 산출부(350)가 산출한 이동거리가 상기 시간차 계산부(340)가 계산한 시간차 동안 최적의 이동속도로 이동하는 것이 불가능한 경우에는 이상속도를 이상징후로 간주하여 탐지하는 단계를 수행한다(S372).
이때, 상기 거리 산출부(350)가 산출한 이동거리가 상기 시간차 계산부(340)에 의해 계산된 시간에 이동이 가능한 거리인지는 상기 주제어부(330)에서 설정되는 이상속도 임계점에 의해 확인될 수 있다.
즉, 상기 주제어부(330)는 국내 지역 간 이동시 이용될 수 있는 자동자, 비행기 KTX 등의 교통수단을 종합한 최적의 이동속도를 이상속도 임계점으로 설정하는 것이 바람직하다.
다음으로, 상기 가상 사설망 관리 서버(300)가 접속 IP 단시간 변경 사용자 탐지 시나리오에 따라 이상징후를 탐지하는 방법에 대해 도 9을 참조하여 설명한다.
상기 가상 사설망 관리 서버(300)의 로그 수집부(310)는 상기 외부 사용자 단말기(100)의 상기 가상 사설망(200) 접속 관련 로그(가상 사설망 계정, 로그인 시간, 접속 IP 등) 수집 단계를 수행한다(S313).
상기 가상 사설망 관리 서버(300)의 주제어부(330)는 짧은 시간에 IP 주소가 자주 변경되는 상기 외부 사용자 단말기(100)를 이상행위로 간주하여 이상징후가 있는 단말기로 간주하여 탐지하는 단계를 수행한다(S323).
예를 들어, 상기 주제어부(330)는 1시간 내 접속 IP가 2개 이상 변경되는 상기 외부 사용자 단말기(100)를 추출하여 이상징후가 있는 단말기로 탐지할 수 있으며, 이상행위 기준치 즉 시간범위와 변경 IP 개수를 변경하여 적용 가능할 수 있다.
다음으로 상기 가상 사설망 관리 서버(300)가 동일 접속 IP로 다수 계정 접속 탐지 시나리오에 따라 이상징후를 탐지하는 방법에 대해 도 10을 참조하여 설명한다.
상기 가상 사설망 관리 서버(300)의 로그 수집부(310)는 상기 외부 사용자 단말기(100)의 상기 가상 사설망(200) 접속 관련 로그(가상 사설망 계정, 로그인 시간, 접속 IP 등) 수집 단계를 수행한다(S314).
상기 가상 사설망 관리 서버(300)의 주제어부(330)는 짧은 시간에 하나의 IP 주소가 다수의 계정 접속시 이상행위로 간주하여 이상징후가 있는 단말기로 간주하여 탐지하는 단계를 수행한다(S324).
예를 들어, 상기 주제어부(330)는 1시간 내 동일 IP로 2개 이상 계정 접속 건을 추출하여 탐지하는 방법으로 시간범위 및 계정접속개수를 변경하여 적용이 가능하다.
다음으로 상기 가상 사설망 관리 서버(300)가 유해 IP로부터의 가상 사설망 접속 탐지 시나리오에 따라 이상징후를 탐지하는 방법에 대해 도 11을 참조하여 설명한다.
상기 가상 사설망 관리 서버(300)의 로그 수집부(310)는 상기 외부 사용자 단말기(100)의 상기 가상 사설망(200) 접속 관련 로그(가상 사설망 계정, 로그인 시간, 접속 IP 등) 수집 단계를 수행한다(S315).
상기 가상 사설망 관리 서버(300)의 주제어부(330)는 상기 S315단계에서 수집한 로그의 IP 정보 중, 해킹 이력이 있는 유해IP로부터의 가상 사설망 접속을 이상행위로 간주하여 탐지하는 단계를 수행한다(S325).
상기 주제어부(330)는 가상 사설망(200)에 접속한 외부 사용자 단말기(100)의 IP정보와 상기 데이터 베이스부(360)의 유해IP DB(365)에 저장된 IP정보를 비교하여 유해 IP 여부를 판단한다.
한편 상기 유해IP DB(365)는 관제센터의 경우에는 기존 관제하며 수집된 데이터로 자체 DB를 구축될 수 있고 외부위협DB를 활용하여 구축될 수도 있다.
외부 위협DB를 활용할 경우 KISA C-TAS(Cyber Threat Analysis System) 회원사의 경우는 API를 연동하여 실시간으로 위협정보를 공유 받을 수 있으므로 이를 활용 가능하다.
참고로, 상기 C-TAS(Cyber Threat Analysis System)는 2013년도부터 KISA가 주축이 되어 민관 합동으로 위협 정보를 공유하는 시스템으로 약 250여 개 사가 회원사로 참여하고 있다.
상기 유해IP DB(365)는 그 외 유료 위협DB를 관제에 활용할 수도 있다.
마지막으로 상기 가상 사설망 관리 서버(300)가 가상 사설망 접속 전후 네트워크 공격 탐지 시나리오에 따라 이상징후를 탐지하는 방법에 대해 도 12를 참조하여 설명한다.
상기 가상 사설망 관리 서버(300)의 로그 수집부(310)는 상기 외부 사용자 단말기(100)의 상기 가상 사설망(200) 접속 관련 로그(가상 사설망 계정, 로그인 시간, 접속 IP 등) 수집 단계를 수행한다(S316).
상기 가상 사설망 관리 서버(300)의 주제어부(330)는 이기종 보안장비인 IDS/IPS 수집 로그와 상기 가설 사설망 접속 로그의 공격 연관성을 상관분석하는 단계를 수행한다(S326).
이때, 상기 가상 사설망 관리 서버(300)는 상관분석 시의 성능문제를 해소를 위해 1차적으로 빅데이터인 IDS/IPS로그를 자체 제작 관리중인 Snort 탐지규칙 중 고위험 중점관리 탐지규칙을 선별하여 이에 매칭하여 주요 고위험 탐지 이벤트만 선별하는 단계를 수행한다(S336).
상기 가상 사설망 관리 서버(300)의 주제어부(300)는 고위험 탐지 이벤트의 공격 IP와 가상 사설망 접속 로그의 접속 IP를 비교하여 가상 사설망 접속 전후의 네트워크 대상 추가 공격 행위를 추적하는 단계를 수행한다(S346).
한편, 본 발명에 따른 정보를 활용한 VPN 보안관제 이상징후 탐지 시스템은 가설 사설망 관제 종합 대시보드가 구축되어, 대시보드를 통해 전체 시나리오 별 이상행위, 상관분석 결과를 일괄 조회할 수 있다.
특히, 본 발명에 따른 정보를 활용한 VPN 보안관제 이상징후 탐지 시스템은 디스플레이부(370)를 더 포함하여, 상술한 6개의 탐지 시나리오를 검색하여 각각 결과가 도출되는 개수를 도 13에 도시된 바와 같이 상기 디스플레이부(370)에 표시하거나, 시스템과 연결된 관리자 단말기의 표시부에 표시할 수 있다.
특히, 관리자가 관리자 단말기 표시부에 표시된 시나리오 숫자를 클릭하면 세부 이상행위 내역을 조회할 수 있고, 10분에 한번씩 검색 쿼리를 수행하도록 관리자가 설정하여 이상행위를 실시간으로 탐지할 수 있다.
이상에서는 본 발명에 대한 기술사상을 첨부 도면과 함께 서술하였지만 이는 본 발명의 바람직한 실시 예를 예시적으로 설명한 것이지 본 발명을 한정하는 것은 아니다. 또한 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구나 본 발명의 기술적 사상의 범주를 이탈하지 않는 범위 내에서 다양한 변형 및 모방이 가능함은 명백한 사실이다.
100 : 외부 사용자 단말기
200 : 가상 사설망
300 : 가상 사설망 관리서버
310 : 로그 수집부
320 : 위치정보 취득부
330 : 주제어부
340 : 시간차 계산부
350 : 거리 산출부
360 : 데이터 베이스부
361 : 공항 위치정보DB
362 : 열차역 위치정보DB
363 : 운행정보DB
364 : 시나리오 DB
365 : 유해IP DB

Claims (10)

  1. (a) 외부 사용자 단말기가 가상 사설망에 접속하는 단계;
    (b) 상기 가상 사설망이 접속하는 복수의 상기 외부 사용자 단말기를 감지하는 단계;
    (c) 가상 사설망 관리 서버가 상기 가상 사설망과 연결되어 접속하는 외부 사용자 단말기들에 대한 접속을 감지하면서 복수의 시나리오 중 어느 하나의 시나리오에 따른 이상징후를 탐지하는 단계; 및
    (d) 상기 가상 사설망 관리 서버가 구축된 대시보드를 통해 전체 시나리오 별 탐지한 이상징후를 제공하는 단계;를 포함하되,
    상기 (c)단계는
    (c-11) 상기 가상 사설망 관리 서버의 로그 수집부가 상기 가상 사설망에 접속하는 상기 외부 사용자 단말기의 최초 로그정보를 수집하는 단계;
    (c-21) 상기 로그 수집부가 상기 외부 사용자 단말기의 다음 로그정보를 수집하는 단계;
    (c-31) 상기 가상 사설망 관리 서버의 위치정보 취득부가 상기 외부 사용자 단말기로 접속하는 사용자의 위치정보를 취득하는 단계;
    (c-41) 상기 가상 사설망 관리 서버의 시간차 계산부가 상기 외부 사용자 단말기의 최초 로그정보와 다음 로그 정보 중 시간 정보를 이용하여 접속시간차이를 계산하는 단계;
    (c-51) 상기 가상 사설망 관리 서버의 거리 산출부가 상기 외부 사용자 단말기가 이용한 이전 접속 IP와 현재 접속 IP의 위도, 경도 정보를 파라미터로하여 두 위치좌표 간의 거리를 산출하여 이동거리를 산출하는 단계; 및
    (c-61) 상기 가상 사설망 관리 서버의 주제어부가 상기 (c-51) 단계에서 산출한 이동거리가 이상속도 임계점 내에서 이동 가능한 거리인지 확인하여 불가능한 경우에는 이상징후로 간주하여 탐지하는 단계;를 포함하는 것을 특징으로 하는 IP정보를 활용한 VPN 보안관제 이상징후 탐지 방법.
  2. 삭제
  3. 제 1항에 있어서,
    상기 주제어부는
    비행기의 평균속도를 상기 이상속도 임계점으로 설정하는 것을 특징으로 하는 IP정보를 활용한 VPN 보안관제 이상징후 탐지 방법.
  4. (a) 외부 사용자 단말기가 가상 사설망에 접속하는 단계;
    (b) 상기 가상 사설망이 접속하는 복수의 상기 외부 사용자 단말기를 감지하는 단계;
    (c) 가상 사설망 관리 서버가 상기 가상 사설망과 연결되어 접속하는 외부 사용자 단말기들에 대한 접속을 감지하면서 복수의 시나리오 중 어느 하나의 시나리오에 따른 이상징후를 탐지하는 단계; 및
    (d) 상기 가상 사설망 관리 서버가 구축된 대시보드를 통해 전체 시나리오 별 탐지한 이상징후를 제공하는 단계;를 포함하되,
    상기 (c)단계는
    (c-12) 상기 가상 사설망 관리 서버의 로그 수집부가 상기 가상 사설망에 접속하는 상기 외부 사용자 단말기의 최초 로그정보를 수집하는 단계;
    (c-22) 상기 로그 수집부가 상기 외부 사용자 단말기의 다음 로그정보를 수집하는 단계;
    (c-32) 상기 가상 사설망 관리 서버의 위치정보 취득부가 상기 외부 사용자 단말기로 접속하는 사용자의 위치정보를 취득하는 단계;
    (c-42) 상기 가상 사설망 관리서버가 교통수단에 대한 이동속도를 산출하는 단계;
    (c-52) 상기 가상 사설망 관리 서버의 시간차 계산부가 상기 외부 사용자 단말기의 최초 로그정보와 다음 로그 정보 중 시간 정보를 이용하여 접속시간차이를 계산하는 단계;
    (c-62) 상기 가상 사설망 관리 서버의 거리 산출부가 상기 외부 사용자 단말기가 이용한 이전 접속 IP와 현재 접속 IP의 위도, 경도 정보를 파라미터로하여 두 위치좌표 간의 거리를 산출하여 이동거리를 산출하는 단계; 및
    (c-72) 상기 가상 사설망 관리 서버의 주제어부가 상기 (c-62) 단계에서 산출한 이동거리가 상기 (c-42)단계에서 산출한 이동속도 내에서 이동 가능한 거리인지 확인하여 불가능한 경우에는 이상징후로 간주하여 탐지하는 단계;를 포함하는 것을 특징으로 하는 IP정보를 활용한 VPN 보안관제 이상징후 탐지 방법.
  5. 제 4항에 있어서,
    상기 주제어부는
    국내 지역간 이동시 이용될 수 있는 교통수단을 종합한 이동속도를 이상속도 임계점으로 설정하는 것을 특징으로 하는 IP정보를 활용한 VPN 보안관제 이상징후 탐지 방법.
  6. 제 5항에 있어서,
    상기 (c-42)단계는
    (c-42-1) 상기 가상 사설망 관리서버가 공항 위치정보, 열차역 위치정보, 및 공항&열차 운행정보를 구축하는 단계;
    (c-42-2) 상기 거리 산출부가 상기 가상 사설망에 접속한 상기 외부 사용자 단말기의 위치와 가까운 공항 정보 산출단계;
    (c-42-3) 상기 거리 산출부가 상기 가상 사설망에 접속한 상기 외부 사용자 단말기의 위치와 가까운 공항 정보 산출단계;
    (c-42-4) 상기 주제어부가 운행정보를 비교하여 운행을 하는 노선인지 확인하는 단계;
    (c-42-5) 상기 주제어부가 (c-12-4)단계에서 항공운행을 하는 노선으로 확인되면, 출발지점에서 도착지점까지 자동차와 비행기를 이용할 때 사용자의 평균 이동속도를 산출하는 단계;
    (c-42-6) 상기 주제어부가 출발지점에서 도착지점까지 자동차와 고속열차를 이용할 때 사용자의 평균 이동속도를 산출하는 단계; 및
    (c-42-7) 상기 주제어부가 비행기, 고속열차, 자동차를 이용한 각각의 속도를 비교하여 가장 높은 속도를 상기 가상 사설망 접속 시 직전의 접속한 지역과 현재 접속한 지역 간 이동할 수 있는 이동속도로 산출하는 단계;를 포함하는 것을 특징으로 하는 IP정보를 활용한 VPN 보안관제 이상징후 탐지 방법.
  7. 삭제
  8. 삭제
  9. 삭제
  10. (a) 외부 사용자 단말기가 가상 사설망에 접속하는 단계;
    (b) 상기 가상 사설망이 접속하는 복수의 상기 외부 사용자 단말기를 감지하는 단계;
    (c) 가상 사설망 관리 서버가 상기 가상 사설망과 연결되어 접속하는 외부 사용자 단말기들에 대한 접속을 감지하면서 복수의 시나리오 중 어느 하나의 시나리오에 따른 이상징후를 탐지하는 단계; 및
    (d) 상기 가상 사설망 관리 서버가 구축된 대시보드를 통해 전체 시나리오 별 탐지한 이상징후를 제공하는 단계;를 포함하되,
    상기 (c)단계는
    (c-16) 상기 가상 사설망 관리 서버의 로그 수집부가상기 외부 사용자 단말기의 상기 가상 사설망 접속 관련 로그 수집 단계;
    (c-26) 상기 가상 사설망 관리 서버의 주제어부가 이기종 보안장비인 IDS/IPS 수집 로그와 상기 가상 사설망 접속 로그의 공격 연관성을 상관분석하는 단계;
    (c-36) 상기 가상 사설망 관리 서버가 상관분석 시 주요 고위험 탐지 이벤트만 선별하는 단계; 및
    (c-46) 상기 가상 사설망 관리 서버의 주제어부가 고위험 탐지 이벤트의 공격 IP와 가상 사설망 접속 로그의 접속 IP를 비교하여 가상 사설망 접속 전후의 네트워크 대상 추가 공격 행위를 추적하는 단계;를 포함하는 것을 특징으로 하는 IP정보를 활용한 VPN 보안관제 이상징후 탐지 방법.


KR1020210016826A 2021-02-05 2021-02-05 Ip정보를 활용한 vpn 보안관제 이상징후 탐지 시스템 및 방법 KR102428444B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210016826A KR102428444B1 (ko) 2021-02-05 2021-02-05 Ip정보를 활용한 vpn 보안관제 이상징후 탐지 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210016826A KR102428444B1 (ko) 2021-02-05 2021-02-05 Ip정보를 활용한 vpn 보안관제 이상징후 탐지 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR102428444B1 true KR102428444B1 (ko) 2022-08-01

Family

ID=82844236

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210016826A KR102428444B1 (ko) 2021-02-05 2021-02-05 Ip정보를 활용한 vpn 보안관제 이상징후 탐지 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR102428444B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100918272B1 (ko) * 2008-09-18 2009-09-21 주식회사 이글루시큐리티 단일사용자 식별을 통한 보안관제시스템 및 그 방법
KR101329968B1 (ko) 2011-12-29 2013-11-13 주식회사 시큐아이 IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템
KR20150073723A (ko) * 2013-12-23 2015-07-01 삼성에스디에스 주식회사 가상 사설망 접속 제어 시스템 및 방법
KR20200131627A (ko) * 2019-05-14 2020-11-24 큐비트시큐리티 주식회사 시나리오 기반 상관분석을 통한 해킹 탐지 보안 정보 이벤트 운영 시스템 및 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100918272B1 (ko) * 2008-09-18 2009-09-21 주식회사 이글루시큐리티 단일사용자 식별을 통한 보안관제시스템 및 그 방법
KR101329968B1 (ko) 2011-12-29 2013-11-13 주식회사 시큐아이 IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템
KR20150073723A (ko) * 2013-12-23 2015-07-01 삼성에스디에스 주식회사 가상 사설망 접속 제어 시스템 및 방법
KR20200131627A (ko) * 2019-05-14 2020-11-24 큐비트시큐리티 주식회사 시나리오 기반 상관분석을 통한 해킹 탐지 보안 정보 이벤트 운영 시스템 및 방법

Similar Documents

Publication Publication Date Title
Ashraf et al. A survey on cyber security threats in iot-enabled maritime industry
CN107958322B (zh) 一种城市网络空间综合治理系统
Purton et al. Identification of ADS-B system vulnerabilities and threats
CN104931851B (zh) 一种输电线路雷击故障智能分析平台及分析方法
US9692779B2 (en) Device for quantifying vulnerability of system and method therefor
CN106888106A (zh) 智能电网中的it资产大规模侦测系统
WO2008044156A1 (en) Enhanced location based service for positioning intersecting objects in the measured radio coverage
CN110505235A (zh) 一种绕过云waf的恶意请求的检测系统及方法
EP3535946B1 (en) Detecting impossible travel in the on-premise settings
Raimondi et al. Training the maritime security operations centre teams
KR102428444B1 (ko) Ip정보를 활용한 vpn 보안관제 이상징후 탐지 시스템 및 방법
de Riberolles et al. Characterizing Radar Network Traffic: a first step towards spoofing attack detection
Haass et al. Aviation and cybersecurity: opportunities for applied research
Zhu et al. An algorithm of city-level landmark mining based on internet forum
Swart et al. Adaptation of the JDL model for multi-sensor national cyber security data fusion
CN113093784B (zh) 一种协同防控系统及其实现方法
Proctor et al. Protecting the UK infrastructure: A system to detect GNSS jamming and interference
CN113411298B (zh) 结合增强现实的安全测试方法及装置
Reuschling et al. Toolkit to enhance cyberphysical security of critical infrastructures in air transport
CN108898232A (zh) 基准站运维变更管理方法和系统
Nurfalah et al. Effective & near real-time track-to-track association for large sensor data in Maritime Tactical Data System
Erbacher et al. Visual behavior characterization for intrusion and misuse detection
Cestaro et al. OpenScope-sec: An ADS-B Simulator to Support the Security Research
Hardman The Brave New Wrold of Cell-Site Simulators
Lapkova et al. Cybersecurity in Protection of Soft Targets

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant