KR102430988B1 - Method, device and system for controlling policy setting of host firewall based on artificial intelligence - Google Patents
Method, device and system for controlling policy setting of host firewall based on artificial intelligence Download PDFInfo
- Publication number
- KR102430988B1 KR102430988B1 KR1020220017343A KR20220017343A KR102430988B1 KR 102430988 B1 KR102430988 B1 KR 102430988B1 KR 1020220017343 A KR1020220017343 A KR 1020220017343A KR 20220017343 A KR20220017343 A KR 20220017343A KR 102430988 B1 KR102430988 B1 KR 102430988B1
- Authority
- KR
- South Korea
- Prior art keywords
- server
- policy
- firewall
- list
- network
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
Abstract
Description
아래 실시예들은 인공지능을 기반으로 호스트 방화벽의 정책 설정을 제어하기 위한 기술에 관한 것이다.The following embodiments relate to a technology for controlling policy settings of a host firewall based on artificial intelligence.
방화벽은 네트워크 방화벽, 호스트 방화벽으로 구분될 수 있으며, 보통 대다수 기업들이 사용하는 것은 네트워크 방화벽이다. 네트워크 방화벽은 메인 스위치 상단에 메인 방화벽을 구성하여, 네트워크 게이트웨이 방식 또는 브릿지 방식으로 구성될 수 있다. 즉, 방화벽 장비를 기준으로 내부망과 외부망이 구분되어 관리될 수 있다.Firewalls can be divided into network firewalls and host firewalls, and the one most companies usually use is a network firewall. The network firewall may be configured as a network gateway method or a bridge method by configuring the main firewall on top of the main switch. That is, an internal network and an external network may be divided and managed based on the firewall equipment.
네트워크 방화벽을 사용하는데 있어, 네트워크 방화벽을 기준으로 내부망에는 복수의 서버들이 내부망을 통해 연결될 수 있으며, 내부망을 통해 연결되어 있는 복수의 서버 간의 통신은 방화벽을 거치지 않으므로, 별도로 차단되지 않는 상태이다. 이에 따라, 내부망을 통해 연결되어 있는 복수의 서버 간의 통신에 대한 방화벽을 위해서는 호스트 방화벽의 구성이 필요하다.In using a network firewall, a plurality of servers can be connected to the internal network through the internal network based on the network firewall, and communication between the plurality of servers connected through the internal network does not go through the firewall, so it is not blocked separately. to be. Accordingly, a configuration of a host firewall is required for a firewall for communication between a plurality of servers connected through an internal network.
일반적인 호스트 방화벽은 각 운영체제에서 로컬 PC 또는 서버로 접속하여 개별 설정을 진행해야만 하며, 호스트 방화벽의 구성은 각 운영체제에서 제공하는 방화벽 기능을 통해 설정되기 때문에, 통합 관리가 불가능하여 관리가 어려운 문제가 있다. 이에 따라, 네트워크 방화벽과 동일하게 하나의 방화벽 매니저를 통하여 관리를 진행하고자 하는 요구가 증대되고 있으며, 능동적인 정책 구성이 필요한 상황이다.In a general host firewall, individual settings must be performed by accessing a local PC or server from each operating system. . Accordingly, there is an increasing demand for management through a single firewall manager as in the case of a network firewall, and an active policy configuration is required.
또한, 운영하는 복수의 서버가 수백대인 경우, 일일이 수백대의 방화벽 정책을 관리하기는 불가능하며, 방화벽 정책을 적용하기 위해서는 방화벽에 대한 기술을 습득하여야만 방화벽의 구성이 가능하다. 예를 들어, 리눅스 또는 유닉스의 경우, 서버 방화벽을 구성하기 위한 명령어의 구조가 복잡하여, 전문 지식을 습득한 고급 엔지니어만 방화벽의 구성이 가능할 수 있다. 이에 따라, 서버 개별로 정책 관리가 불가능하여 운영체제의 방화벽을 제거 또는 서비스를 정지하여 운영하고 있는 상황이다.In addition, if there are hundreds of servers to be operated, it is impossible to manage hundreds of firewall policies one by one. For example, in the case of Linux or Unix, the structure of the command for configuring the server firewall is complicated, so that only an advanced engineer who has acquired specialized knowledge can configure the firewall. Accordingly, it is impossible to manage policies individually for each server, so the firewall of the operating system is removed or the service is stopped and operated.
또한, 일반적으로 IDC 데이터 센터의 단독서버 임대 또는 코로케이션 서버를 관리하는 중소업체는 전문적인 방화벽 지식을 습득하지 못한 경우, 무방비로 관리되고 있는 상황이다. IDC 데이터 센터는 모든 고객의 방화벽 정책 관리가 불가능하며, 고객은 전문 지식을 습득한 인력을 보유하고 있지 않아, 랜섬웨어, 해커 등의 공격으로 좀비 서버가 되어 DDOS 공격의 좀비 서버로 활용되어도 능동적으로 대응할 수 없는 상황이다. 이외에도, 대량의 내부 불필요한 트래픽의 차단이 안되어 네트워크 장비에 과다한 리소스가 사용되고 있는 문제가 있다.In addition, in general, small and medium-sized companies that lease a single server or manage a colocation server in an IDC data center are managed defenselessly if they do not acquire professional firewall knowledge. In the IDC data center, it is impossible to manage all customers' firewall policies, and customers do not have personnel who have acquired specialized knowledge. It is a situation that cannot be dealt with. In addition, there is a problem in that a large amount of unnecessary internal traffic is not blocked, so that excessive resources are used in network equipment.
따라서, 상술한 문제점을 해결하고, 호스트 방화벽을 능동적이고 편리하게 설정하여, 통합 호스트 방화벽 매니저 서비스를 제공하고자 하는 요구가 증대되고 있어, 이와 관련된 기술에 대한 연구가 요구된다.Accordingly, there is an increasing demand to provide an integrated host firewall manager service by solving the above-mentioned problems and actively and conveniently setting the host firewall, and research on related technologies is required.
일실시예에 따르면, 서버의 네트워크 연결 상태에 따라 서버에게 적합한 방화벽 정책을 선정하여, 선정된 정책을 서버의 방화벽 정책으로 설정하는, 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법, 장치 및 시스템을 제공하기 위한 것을 그 목적으로 한다.According to one embodiment, an artificial intelligence-based host firewall policy setting control method, device and system are provided, which selects a firewall policy suitable for the server according to the network connection state of the server, and sets the selected policy as the firewall policy of the server. to do for that purpose.
본 발명의 목적은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 명확하게 이해될 수 있을 것이다.Objects of the present invention are not limited to the objects mentioned above, and other objects not mentioned will be clearly understood from the description below.
일실시예에 따르면, 중앙 서버에 의해 수행되는, 인공지능을 기반으로 호스트 방화벽의 정책 설정을 제어하는 방법에 있어서, 상기 중앙 서버와 내부망을 통해 연결된 복수의 서버 중 어느 하나인 제1 서버로부터, 상기 제1 서버의 운영체제 정보 및 상기 제1 서버의 네트워크 설정 정보를 수신하는 단계; 상기 제1 서버의 운영체제 정보 및 상기 제1 서버의 네트워크 설정 정보를 기초로, 상기 제1 서버의 네트워크 연결 상태를 분석하는 단계; 상기 제1 서버의 네트워크 연결 상태에 대한 분석 결과를 상기 중앙 서버 내의 제1 인공 신경망에 적용하여, 상기 제1 인공 신경망의 출력을 기초로, 상기 제1 서버에게 적합한 방화벽 정책을 선정하는 단계; 상기 제1 서버에게 적합한 방화벽 정책으로 제1 정책이 선정되면, 상기 제1 서버의 방화벽 정책에 상기 제1 정책이 포함되어 있는지 여부를 확인하는 단계; 상기 제1 서버의 방화벽 정책에 상기 제1 정책이 포함되어 있지 않은 것으로 확인되면, 상기 제1 서버의 방화벽 정책에 상기 제1 정책을 추가하여 등록하는 단계; 및 상기 제1 서버의 방화벽 정책에 상기 제1 정책이 추가로 등록되면, 상기 제1 서버의 방화벽 정책에 대한 설정 변경 명령을 상기 제1 서버로 전송하여, 상기 제1 정책이 상기 제1 서버의 방화벽 정책으로 설정되도록 제어하는 단계를 포함하는, 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법이 제공된다.According to an embodiment, in a method for controlling policy settings of a host firewall based on artificial intelligence, performed by a central server, from a first server that is any one of a plurality of servers connected to the central server through an internal network , receiving operating system information of the first server and network setting information of the first server; analyzing a network connection state of the first server based on the operating system information of the first server and network setting information of the first server; applying an analysis result of the network connection state of the first server to a first artificial neural network in the central server, and selecting a firewall policy suitable for the first server based on the output of the first artificial neural network; when a first policy is selected as a firewall policy suitable for the first server, checking whether the first policy is included in the firewall policy of the first server; if it is confirmed that the first policy is not included in the firewall policy of the first server, adding and registering the first policy to the firewall policy of the first server; and when the first policy is additionally registered in the firewall policy of the first server, a setting change command for the firewall policy of the first server is transmitted to the first server, so that the first policy is applied to that of the first server. A method for controlling policy settings of an AI-based host firewall is provided, including the step of controlling to be set as a firewall policy.
상기 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법은, 상기 제1 정책이 상기 제1 서버의 방화벽 정책으로 설정되도록 제어하는 단계 이후, 상기 복수의 서버 중 제1 운영체제의 환경으로 운영되는 서버들을 제1 그룹으로 분류하는 단계; 상기 제1 그룹으로 분류된 서버 중 제1 포트로 연결되어 통신을 수행하는 서버들을 제1-1 그룹으로 분류하는 단계; 상기 제1 서버 및 제2 서버가 상기 제1-1 그룹으로 분류된 경우, 상기 제2 서버의 방화벽 정책에 상기 제1 정책이 포함되어 있는지 여부를 확인하는 단계; 상기 제2 서버의 방화벽 정책에 상기 제1 정책이 포함되어 있지 않은 것으로 확인되면, 상기 제2 서버의 방화벽 정책에 상기 제1 정책을 추가하여 등록하는 단계; 및 상기 제2 서버의 방화벽 정책에 상기 제1 정책이 추가로 등록되면, 상기 제2 서버의 방화벽 정책에 대한 설정 변경 명령을 상기 제2 서버로 전송하여, 상기 제1 정책이 상기 제2 서버의 방화벽 정책으로 설정되도록 제어하는 단계를 더 포함할 수 있다.In the method for controlling the policy setting of the AI-based host firewall, after controlling the first policy to be set as the firewall policy of the first server, the servers operating in the environment of a first operating system among the plurality of servers are first classifying into groups; classifying the servers classified into the first group, which are connected to a first port and perform communication, into a 1-1 group; checking whether the first policy is included in the firewall policy of the second server when the first server and the second server are classified into the 1-1 group; if it is confirmed that the first policy is not included in the firewall policy of the second server, adding and registering the first policy to the firewall policy of the second server; and when the first policy is additionally registered in the firewall policy of the second server, a setting change command for the firewall policy of the second server is transmitted to the second server, so that the first policy is applied to the second server. It may further include the step of controlling to be set as a firewall policy.
상기 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법은, 상기 제1 정책이 상기 제1 서버의 방화벽 정책으로 설정되도록 제어하는 단계 이후, 상기 제1 서버로부터 상기 제1 서버의 네트워크 트래픽에 대한 모니터링 정보를 수신하는 단계; 상기 제1 서버의 네트워크 트래픽에 대한 모니터링 정보를 상기 중앙 서버 내의 제2 인공 신경망에 적용하여, 상기 제2 인공 신경망의 출력을 기초로, 상기 제1 서버에 공격으로 추정되는 접근이 감지되었는지 여부를 검출하는 단계; 미리 설정된 기준 기간 동안 상기 제1 서버에 공격으로 추정되는 접근이 몇 번 감지되었는지 확인하여, 상기 제1 서버가 상기 기준 기간 동안 공격받은 횟수인 제1 공격 횟수를 산출하는 단계; 상기 제1 공격 횟수가 미리 설정된 제1 기준 횟수 보다 적은지 여부를 확인하는 단계; 상기 제1 공격 횟수가 상기 제1 기준 횟수 보다 적은 것으로 확인되면, 상기 제1 서버의 상태를 정상 상태로 판단하는 단계; 상기 제1 공격 횟수가 상기 제1 기준 횟수 보다 많은 것으로 확인되면, 상기 제1 공격 횟수가 미리 설정된 제2 기준 횟수 보다 적은지 여부를 확인하는 단계; 상기 제1 공격 횟수가 상기 제2 기준 횟수 보다 적은 것으로 확인되면, 상기 제1 서버의 상태를 경고 상태로 판단하는 단계; 상기 제1 공격 횟수가 상기 제2 기준 횟수 보다 많은 것으로 확인되면, 상기 제1 서버의 상태를 위험 상태로 판단하는 단계; 상기 제1 서버의 상태가 경고 상태로 판단되면, 상기 제1 서버의 공격을 경고하는 알림 메시지를 상기 제1 서버의 관리자로 등록되어 있는 제1 관리자 단말로 전송하는 단계; 및 상기 제1 서버의 상태가 위험 상태로 판단되면, 상기 제1 정책을 통해 연결이 허용되어 있는 제1 포트의 연결 차단 명령을 상기 제1 서버로 전송하여, 상기 제1 서버에서 상기 제1 포트를 통한 연결이 차단되도록 제어하는 단계를 더 포함할 수 있다.In the method for controlling policy setting of the AI-based host firewall, after controlling the first policy to be set as the firewall policy of the first server, monitoring information on network traffic of the first server from the first server receiving; By applying monitoring information on network traffic of the first server to a second artificial neural network in the central server, based on the output of the second artificial neural network, it is determined whether an approach estimated as an attack is detected to the first server. detecting; calculating the number of first attacks, which is the number of times that the first server has been attacked during the reference period, by checking how many times the access estimated as an attack is detected by the first server during a preset reference period; checking whether the first number of attacks is less than a preset first reference number; determining the state of the first server as a normal state when it is confirmed that the first number of attacks is less than the first reference number; when it is confirmed that the first number of attacks is greater than the first reference number, determining whether the first number of attacks is less than a preset second reference number; determining the state of the first server as a warning state when it is confirmed that the first number of attacks is less than the second reference number; determining the state of the first server as a critical state when it is confirmed that the first number of attacks is greater than the second reference number; transmitting a notification message warning of an attack of the first server to a first administrator terminal registered as an administrator of the first server when the state of the first server is determined to be a warning state; and when it is determined that the state of the first server is in a critical state, a connection blocking command of the first port that is allowed to be connected through the first policy is transmitted to the first server, and the first server in the first port It may further include the step of controlling to block the connection through the.
상기 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법은, 상기 제1 정책이 상기 제1 서버의 방화벽 정책으로 설정되도록 제어하는 단계 이후, 상기 제1 서버의 방화벽 정책에 상기 제1 정책 및 제2 정책이 등록되어 있는 경우, 상기 제1 정책을 통해 연결이 허용되어 있는 IP 주소의 리스트인 제1 리스트와 상기 제2 정책을 통해 연결이 허용되어 있는 IP 주소의 리스트인 제2 리스트를 확인하는 단계; 상기 제1 리스트 및 상기 제2 리스트를 비교한 결과, 상기 제1 리스트가 상기 제2 리스트 보다 허용 범위가 넓은 것으로 확인되면, 상기 제1 정책의 우선순위를 1순위로 설정하고, 상기 제2 정책의 우선순위를 2순위로 설정하는 단계; 상기 제1 리스트 및 상기 제2 리스트를 비교한 결과, 상기 제1 리스트가 상기 제2 리스트 보다 허용 범위가 좁은 것으로 확인되면, 상기 제1 정책의 우선순위를 2순위로 설정하고, 상기 제2 정책의 우선순위를 1순위로 설정하는 단계; 상기 제1 리스트 및 상기 제2 리스트를 비교한 결과, 상기 제1 리스트 및 상기 제2 리스트의 허용 범위가 동일한 것으로 확인되면, 상기 제1 정책을 통해 연결이 차단되어 있는 IP 주소의 리스트인 제3 리스트와 상기 제2 정책을 통해 연결이 차단되어 있는 IP 주소의 리스트인 제4 리스트를 확인하는 단계; 상기 제3 리스트 및 상기 제4 리스트를 비교한 결과, 상기 제3 리스트가 상기 제4 리스트 보다 차단 범위가 좁은 것으로 확인되면, 상기 제1 정책의 우선순위를 1순위로 설정하고, 상기 제2 정책의 우선순위를 2순위로 설정하는 단계; 및 상기 제3 리스트 및 상기 제4 리스트를 비교한 결과, 상기 제3 리스트가 상기 제4 리스트 보다 차단 범위가 넓은 것으로 확인되면, 상기 제1 정책의 우선순위를 2순위로 설정하고, 상기 제2 정책의 우선순위를 1순위로 설정하는 단계를 더 포함할 수 있다.In the method for controlling the policy setting of the AI-based host firewall, after controlling the first policy to be set as the firewall policy of the first server, the first policy and the second policy are included in the firewall policy of the first server. checking a first list that is a list of IP addresses allowed to connect through the first policy and a second list that is a list of IP addresses that are allowed to connect through the second policy, if registered; As a result of comparing the first list and the second list, if it is confirmed that the first list has a wider allowable range than the second list, the priority of the first policy is set as the first priority, and the second policy setting the priority of the to second priority; As a result of comparing the first list and the second list, if it is confirmed that the first list has a narrower allowable range than the second list, the priority of the first policy is set to the second priority, and the second policy setting the priority of As a result of comparing the first list and the second list, if it is confirmed that the allowable ranges of the first list and the second list are the same, the third list of IP addresses whose connection is blocked through the first policy checking the list and a fourth list that is a list of IP addresses whose connection is blocked through the second policy; As a result of comparing the third list and the fourth list, if it is confirmed that the third list has a narrower blocking range than the fourth list, the priority of the first policy is set as the first priority, and the second policy setting the priority of the to second priority; and when it is confirmed that the third list has a wider blocking range than the fourth list as a result of comparing the third list and the fourth list, the priority of the first policy is set to the second priority, and the second The method may further include setting the priority of the policy to the first priority.
다른 실시예에 따르면, 제1 서버에 설치된 제1 에이전트에 의해 수행되는, 인공지능을 기반으로 호스트 방화벽의 정책 설정을 제어하는 방법에 있어서, 상기 제1 서버의 운영체제 정보 및 상기 제1 서버의 네트워크 설정 정보를 획득하는 단계; 상기 제1 서버의 운영체제 정보 및 상기 제1 서버의 네트워크 설정 정보를 기초로, 상기 제1 서버의 네트워크 연결 상태를 분석하는 단계; 상기 제1 서버의 네트워크 연결 상태에 대한 분석 결과를 상기 제1 서버 내의 제1 인공 신경망에 적용하여, 상기 제1 인공 신경망의 출력을 기초로, 상기 제1 서버에게 적합한 방화벽 정책을 선정하는 단계; 상기 제1 서버에게 적합한 방화벽 정책으로 제1 정책이 선정되면, 상기 제1 서버의 방화벽 정책에 상기 제1 정책이 포함되어 있는지 여부를 확인하는 단계; 상기 제1 서버의 방화벽 정책에 상기 제1 정책이 포함되어 있지 않은 것으로 확인되면, 상기 제1 서버의 방화벽 정책에 상기 제1 정책을 추가하여 설정하는 단계; 및 상기 제1 서버의 방화벽 정책에 상기 제1 정책이 추가로 등록되면, 상기 제1 서버의 방화벽 정책에 대한 설정 변경 알림 메시지를 중앙 서버로 전송하는 단계를 포함하는, 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법이 제공된다.According to another embodiment, in a method for controlling policy settings of a host firewall based on artificial intelligence, performed by a first agent installed in a first server, operating system information of the first server and a network of the first server obtaining setting information; analyzing a network connection state of the first server based on the operating system information of the first server and network setting information of the first server; applying an analysis result of the network connection state of the first server to a first artificial neural network in the first server, and selecting a firewall policy suitable for the first server based on the output of the first artificial neural network; when a first policy is selected as a firewall policy suitable for the first server, checking whether the first policy is included in the firewall policy of the first server; when it is confirmed that the first policy is not included in the firewall policy of the first server, adding and setting the first policy to the firewall policy of the first server; and when the first policy is additionally registered in the firewall policy of the first server, transmitting a setting change notification message for the firewall policy of the first server to a central server. A setting control method is provided.
일실시예에 따르면, 인공지능을 기반으로 호스트 방화벽의 정책 설정을 제어함으로써, 호스트 방화벽을 능동적이고 편리하게 설정하여, 통합 호스트 방화벽 매니저 서비스를 제공할 수 있는 효과가 있다.According to an embodiment, by controlling the policy setting of the host firewall based on artificial intelligence, the host firewall can be actively and conveniently configured to provide an integrated host firewall manager service.
한편, 실시예들에 따른 효과들은 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 해당 기술 분야의 통상의 지식을 가진 자에게 명확히 이해될 수 있을 것이다.On the other hand, the effects according to the embodiments are not limited to those mentioned above, and other effects not mentioned will be clearly understood by those of ordinary skill in the art from the following description.
도 1은 일실시예에 따른 시스템의 구성을 개략적으로 나타낸 도면이다.
도 2는 일실시예에 따른 중앙 서버에 의해 수행되는, 인공지능을 기반으로 호스트 방화벽의 정책 설정을 제어하는 과정을 설명하기 위한 순서도이다.
도 3은 일실시예에 따른 제1 서버에 설치된 제1 에이전트에 의해 수행되는, 인공지능을 기반으로 호스트 방화벽의 정책 설정을 제어하는 과정을 설명하기 위한 순서도이다.
도 4는 일실시예에 따른 서버 별로 연동하여 방화벽 정책을 설정하는 과정을 설명하기 위한 순서도이다.
도 5는 일실시예에 따른 공격으로 추정되는 접근을 감지하여, 공격 횟수에 따라 대응 방안을 제공하는 과정을 설명하기 위한 순서도이다.
도 6은 일실시예에 따른 IP 주소 허용 범위에 따라 방화벽 정책의 우선순위를 설정하는 과정을 설명하기 위한 순서도이다.
도 7은 일실시예에 따른 IP 주소 차단 범위에 따라 방화벽 정책의 우선순위를 설정하는 과정을 설명하기 위한 순서도이다.
도 8은 일실시예에 따른 제1 인공 신경망의 학습을 설명하기 위한 도면이다.
도 9는 일실시예에 따른 제2 인공 신경망의 학습을 설명하기 위한 도면이다.
도 10은 일실시예에 따른 장치의 구성의 예시도이다.1 is a diagram schematically showing the configuration of a system according to an embodiment.
2 is a flowchart illustrating a process of controlling policy settings of a host firewall based on artificial intelligence, performed by a central server according to an embodiment.
3 is a flowchart illustrating a process of controlling policy settings of a host firewall based on artificial intelligence, performed by a first agent installed in a first server according to an embodiment.
4 is a flowchart illustrating a process of setting a firewall policy by interworking with each server according to an embodiment.
5 is a flowchart illustrating a process of detecting an approach estimated as an attack and providing a countermeasure according to the number of attacks, according to an exemplary embodiment.
6 is a flowchart illustrating a process of setting a priority of a firewall policy according to an IP address allowable range according to an exemplary embodiment.
7 is a flowchart illustrating a process of setting a priority of a firewall policy according to an IP address blocking range according to an exemplary embodiment.
8 is a diagram for explaining learning of a first artificial neural network according to an embodiment.
9 is a diagram for explaining learning of a second artificial neural network according to an embodiment.
10 is an exemplary diagram of a configuration of an apparatus according to an embodiment.
이하에서, 첨부된 도면을 참조하여 실시예들을 상세하게 설명한다. 그러나, 실시예들에는 다양한 변경이 가해질 수 있어서 특허출원의 권리 범위가 이러한 실시예들에 의해 제한되거나 한정되는 것은 아니다. 실시예들에 대한 모든 변경, 균등물 내지 대체물이 권리 범위에 포함되는 것으로 이해되어야 한다.Hereinafter, embodiments will be described in detail with reference to the accompanying drawings. However, since various changes may be made to the embodiments, the scope of the patent application is not limited or limited by these embodiments. It should be understood that all modifications, equivalents and substitutes for the embodiments are included in the scope of the rights.
실시예들에 대한 특정한 구조적 또는 기능적 설명들은 단지 예시를 위한 목적으로 개시된 것으로서, 다양한 형태로 변경되어 실시될 수 있다. 따라서, 실시예들은 특정한 개시형태로 한정되는 것이 아니며, 본 명세서의 범위는 기술적 사상에 포함되는 변경, 균등물, 또는 대체물을 포함한다.Specific structural or functional descriptions of the embodiments are disclosed for purposes of illustration only, and may be changed and implemented in various forms. Accordingly, the embodiments are not limited to a specific disclosure form, and the scope of the present specification includes changes, equivalents, or substitutes included in the technical spirit.
제1 또는 제2 등의 용어를 다양한 구성요소들을 설명하는데 사용될 수 있지만, 이런 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 해석되어야 한다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소는 제1 구성요소로도 명명될 수 있다.Although terms such as first or second may be used to describe various elements, these terms should be interpreted only for the purpose of distinguishing one element from another. For example, a first component may be termed a second component, and similarly, a second component may also be termed a first component.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다.When a component is referred to as being “connected” to another component, it may be directly connected or connected to the other component, but it should be understood that another component may exist in between.
실시예에서 사용한 용어는 단지 설명을 목적으로 사용된 것으로, 한정하려는 의도로 해석되어서는 안된다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terms used in the examples are used for the purpose of description only, and should not be construed as limiting. The singular expression includes the plural expression unless the context clearly dictates otherwise. In the present specification, terms such as “comprise” or “have” are intended to designate that a feature, number, step, operation, component, part, or combination thereof described in the specification exists, but one or more other features It is to be understood that this does not preclude the possibility of the presence or addition of numbers, steps, operations, components, parts, or combinations thereof.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which the embodiment belongs. Terms such as those defined in a commonly used dictionary should be interpreted as having a meaning consistent with the meaning in the context of the related art, and should not be interpreted in an ideal or excessively formal meaning unless explicitly defined in the present application. does not
또한, 첨부 도면을 참조하여 설명함에 있어, 도면 부호에 관계없이 동일한 구성 요소는 동일한 참조부호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 실시예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 실시예의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.In addition, in the description with reference to the accompanying drawings, the same components are assigned the same reference numerals regardless of the reference numerals, and the overlapping description thereof will be omitted. In the description of the embodiment, if it is determined that a detailed description of a related known technology may unnecessarily obscure the gist of the embodiment, the detailed description thereof will be omitted.
실시예들은 퍼스널 컴퓨터, 랩톱 컴퓨터, 태블릿 컴퓨터, 스마트 폰, 텔레비전, 스마트 가전 기기, 지능형 자동차, 키오스크, 웨어러블 장치 등 다양한 형태의 제품으로 구현될 수 있다.The embodiments may be implemented in various types of products, such as personal computers, laptop computers, tablet computers, smart phones, televisions, smart home appliances, intelligent cars, kiosks, wearable devices, and the like.
인공지능(Artificial Intelligence, AI) 시스템은 인간 수준의 지능을 구현하는 컴퓨터 시스템이며, 기존 규칙(Rule) 기반의 스마트 시스템과 달리 기계가 스스로 학습하고 판단하는 시스템이다. 인공지능 시스템은 사용할수록 인식률이 향상되고 사용자 취향을 보다 정확하게 이해할 수 있게 되어, 기존 규칙 기반의 스마트 시스템은 점차 심층 학습(Deep Learning) 기반 인공지능 시스템으로 대체되고 있다.An artificial intelligence (AI) system is a computer system that implements human-level intelligence, and unlike the existing rule-based smart system, the machine learns and makes decisions on its own. The more the AI system is used, the better the recognition rate and the more accurate understanding of user preferences, and the existing rule-based smart systems are gradually being replaced by deep learning-based AI systems.
인공지능 기술은 기계 학습 및 기계 학습을 활용한 요소기술들로 구성된다. 기계 학습은 입력 데이터들의 특징을 스스로 분류/학습하는 알고리즘 기술이며, 요소기술은 심층 학습 등의 기계 학습 알고리즘을 활용하여 인간 두뇌의 인지, 판단 등의 기능을 모사하는 기술로서, 언어적 이해, 시각적 이해, 추론/예측, 지식 표현, 동작 제어 등의 기술 분야로 구성된다.Artificial intelligence technology consists of machine learning and element technologies using machine learning. Machine learning is an algorithm technology that categorizes/learns characteristics of input data by itself, and element technology uses machine learning algorithms such as deep learning to simulate functions such as cognition and judgment of the human brain. It consists of technical fields such as understanding, reasoning/prediction, knowledge expression, and motion control.
인공지능 기술이 응용되는 다양한 분야는 다음과 같다. 언어적 이해는 인간의 언어/문자를 인식하고 응용/처리하는 기술로서, 자연어 처리, 기계 번역, 대화시스템, 질의 응답, 음성 인식/합성 등을 포함한다. 시각적 이해는 사물을 인간의 시각처럼 인식하여 처리하는 기술로서, 객체 인식, 객체 추적, 영상 검색, 사람 인식, 장면 이해, 공간 이해, 영상 개선 등을 포함한다. 추론 예측은 정보를 판단하여 논리적으로 추론하고 예측하는 기술로서, 지식/확률 기반 추론, 최적화 예측, 선호 기반 계획, 추천 등을 포함한다. 지식 표현은 인간의 경험정보를 지식데이터로 자동화 처리하는 기술로서, 지식 구축(데이터 생성/분류), 지식 관리(데이터 활용) 등을 포함한다. 동작 제어는 차량의 자율 주행, 로봇의 움직임을 제어하는 기술로서, 움직임 제어(항법, 충돌, 주행), 조작 제어(행동 제어) 등을 포함한다.The various fields where artificial intelligence technology is applied are as follows. Linguistic understanding is a technology for recognizing and applying/processing human language/text, and includes natural language processing, machine translation, dialogue system, question and answer, and speech recognition/synthesis. Visual understanding is a technology for recognizing and processing objects like human vision, and includes object recognition, object tracking, image search, human recognition, scene understanding, spatial understanding, image improvement, and the like. Inferential prediction is a technology for logically reasoning and predicting by judging information, and includes knowledge/probability-based reasoning, optimization prediction, preference-based planning, and recommendation. Knowledge expression is a technology that automatically processes human experience information into knowledge data, and includes knowledge construction (data generation/classification) and knowledge management (data utilization). Motion control is a technology for controlling autonomous driving of a vehicle and movement of a robot, and includes motion control (navigation, collision, driving), manipulation control (action control), and the like.
일반적으로 기계 학습 알고리즘을 실생활에 적용하기 위해서는 기계 학습의 기본 방법론의 특성상 Trial and Error 방식으로 학습을 수행하게 된다. 특히, 심층 학습의 경우 수십만 번의 반복 실행을 필요로 한다. 이를 실제 물리적인 외부 환경에서 실행하기는 불가능하여 대신 실제 물리적인 외부 환경을 컴퓨터상에서 가상으로 구현하여 시뮬레이션을 통해 학습을 수행한다.In general, in order to apply the machine learning algorithm to real life, learning is performed in the Trial and Error method due to the characteristics of the basic methodology of machine learning. In particular, deep learning requires hundreds of thousands of iterations. It is impossible to execute this in the actual physical external environment, so instead, the actual physical external environment is implemented on a computer and learning is performed through simulation.
도 1은 일실시예에 따른 시스템의 구성을 개략적으로 나타낸 도면이다.1 is a diagram schematically showing the configuration of a system according to an embodiment.
도 1을 참조하면, 일실시예에 따른 시스템은 복수의 서버(100) 및 중앙 서버(200)를 포함할 수 있다. 도 1에 도시된 바와 같이, 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법은 복수의 서버(100) 및 중앙 서버(200)를 포함하는 시스템에서 수행될 수 있다. 여기서, 시스템은 복수의 단독 서버 또는 클라우드 서버가 운영되는 분산 환경으로 구현될 수 있다.Referring to FIG. 1 , a system according to an embodiment may include a plurality of
복수의 서버(100)는 제1 서버(110), 제2 서버(120) 등을 포함할 수 있으며, 복수의 서버(100) 각각은 내부망을 통해 중앙 서버(200)와 연결되어 있는 호스트일 수 있다.The plurality of
복수의 서버(100) 각각은 내부망으로 연결된 네트워크를 통해 중앙 서버(200)와 데이터를 송수신할 수 있다.Each of the plurality of
복수의 서버(100) 각각에는 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법이 구현된 명령어를 포함하는 에이전트가 설치될 수 있다.In each of the plurality of
복수의 서버(100) 각각은 시스템 데이터(CPU, 메모리, 디스크, 디스크 입/출력, 및 네트워크 트래픽)와 시스템 로그 데이터를 생성할 수 있다.Each of the plurality of
중앙 서버(200)는 내부망으로 연결된 네트워크를 통해 복수의 서버(100)와 데이터를 송수신하여, 복수의 서버(100) 각각의 전체적인 동작을 제어할 수 있다.The
중앙 서버(200)에는 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법이 구현된 명령어를 포함하는 에이전트가 설치될 수 있다. 따라서, 시스템은 중앙 서버(200)에 설치된 에이전트를 통해 호스트 방화벽의 정책을 설정하거나, 복수의 서버(100) 각각에 설치된 에이전트를 통해 호스트 방화벽의 정책을 설정할 수 있다.In the
즉, 복수의 서버(100)는 내부망을 통해 서로 연결된 호스트이고, 중앙 서버(200)는 복수의 서버(100)와 내부망을 통해 연결되면서 외부망을 통해 외부와 연결된 메인 서버로 각 호스트의 운영을 제어할 수 있다. 이때, 내부망을 통해 연결된 호스트에는 호스트 방화벽이 구성되어 있고, 외부망을 통해 연결된 중앙 서버(200)에는 네트워크 방화벽이 구성되어 있다.That is, the plurality of
일실시예에 따르면, 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법을 통해, 기본적으로 구성되어 관리되어야 하는 호스트 방화벽 기능을 능동적이며 편리하게 사용할 수 있도록, 통합적인 호스트 방화벽 매니저 서비스를 제공할 수 있다.According to an embodiment, an integrated host firewall manager service can be provided so that the host firewall function, which is basically configured and managed, can be actively and conveniently used through the AI-based host firewall policy setting control method.
구체적으로, 시스템은 네트워크 방화벽과 같이, 통합 호스트 방화벽 매니저를 제공할 수 있다. 또한, 방화벽 정책은 위부터 아래로 적용되는 구조이기 때문에, 정책의 우선순위를 자동으로 감지하여 적용되도록 처리할 수 있다. 또한, 복수의 서버(100) 각각에 에이전트 프로그램을 설치하면, 호스트 방화벽 매니저 기능을 사용할 수 있도록, 서비스를 제공할 수 있다. 또한, 에이전트가 설치된 복수의 서버(100) 각각에 허용 상태인 네트워크 포트를 감지하여, 호스트 방화벽의 기본 구성 가이드를 사용자에게 제공할 수 있다. 또한, 임계치 이상의 이상 트래픽이 감지된 경우, 과다 트래픽이 발생되고 있는 서버의 네트워크 포트 정보를 통보하여, 호스트 방화벽 구성을 변경하도록 구성 가이드를 제공할 수 있다. 또한, 인공지능의 딥러닝을 연동하여, 네트워크 트래픽 과다 및 특정 네트워크 포트로 과다 접속이 이루어지는 것을 자동으로 감지하여, 호스트 방화벽 구성이 변경되도록 구성 가이드를 제공할 수 있다.Specifically, the system may provide an integrated host firewall manager, such as a network firewall. In addition, since the firewall policy is applied from the top down, the priority of the policy can be automatically detected and processed to be applied. In addition, if an agent program is installed in each of the plurality of
즉, 시스템은 네트워크의 유형(TCP 포트 등)에 따라 방화벽 정책을 복수의 서버(100) 별로 구성할 수 있도록, 가이드를 제공할 수 있다. 이때, 방화벽 정책을 설정하기 위한 템플릿이 자동으로 제공되고, 방화벽 정책에 대한 디폴트 값이 설정되어 있는 상태일 수 있다.That is, the system may provide a guide so that the firewall policy can be configured for each of the plurality of
또한, 시스템은 인공지능의 딥러닝 기반으로 공격으로 추정되는 접근을 감지해서, 차단 정책을 권장하거나 가이드를 제공할 수 있다. 이와 관련된 자세한 설명은 도 5를 참조하여 후술하기로 한다.In addition, the system can detect an attack presumed to be an attack based on deep learning of artificial intelligence, and recommend a blocking policy or provide a guide. A detailed description related thereto will be described later with reference to FIG. 5 .
또한, 시스템은 하나의 서버에 방화벽 정책이 복수로 설정되어 있는 경우, 정책의 우선순위를 자동으로 감지하여 설정할 수 있다. 이와 관련된 자세한 설명은 도 6 및 도 7을 참조하여 후술하기로 한다.In addition, when a plurality of firewall policies are set in one server, the system can automatically detect and set the priority of the policy. A detailed description related thereto will be described later with reference to FIGS. 6 and 7 .
중앙 서버(200)는 복수의 서버(100) 각각에 설정되어 있는 방화벽 정책에 대한 정보를 데이터베이스에 저장하여 관리할 수 있으며, 복수의 서버(100) 중 어느 하나가 재부팅되거나 방화벽 정책에 대한 정보가 필요할 때 불러올 수 있도록, 방화벽 정책에 대한 정보를 복수의 서버(100) 별로 구분하여 저장할 수 있다. 이때, 방화벽 정책에 대한 정보는 해커가 방화벽 정책에 대한 정보를 해킹하더라도 확인하지 못하도록, 암호화해서 저장될 수 있다. 또한, 중앙 서버(200)는 복수의 서버(100) 별로 방화벽 정책을 주기적으로 갱신하여, 방화벽 정책에 대한 정보를 지속적으로 업데이트 할 수 있다.The
일실시예에 따르면, 방화벽 정책은 정책명, 포워딩 타입, 프로토콜, 외부 허용 IP 주소 리스트, 외부 차단 IP 주소 리스트, 가상 포트, 운영 포트 등이 각각 설정되어 구성될 수 있다.According to an embodiment, the firewall policy may be configured by setting a policy name, forwarding type, protocol, external allowed IP address list, external blocked IP address list, virtual port, operation port, and the like, respectively.
한편, 복수의 서버(100)와 중앙 서버(200)는 기계 학습 알고리즘의 수행을 위하여 미리 학습된 다수의 인공 신경망을 포함할 수 있다.Meanwhile, the plurality of
본 발명에서, 인공지능(Artificial Intelligence, AI)은 인간의 학습능력, 추론능력, 지각능력 등을 모방하고, 이를 컴퓨터로 구현하는 기술을 의미하고, 기계 학습, 심볼릭 로직(Symbolic Logic) 등의 개념을 포함할 수 있다. 기계 학습(Machine Learning, ML)은 입력 데이터들의 특징을 스스로 분류 또는 학습하는 알고리즘 기술이다. 인공지능의 기술은 기계 학습의 알고리즘으로써 입력 데이터를 분석하고, 그 분석의 결과를 학습하며, 그 학습의 결과에 기초하여 판단이나 예측을 할 수 있다. 또한, 기계 학습의 알고리즘을 활용하여 인간 두뇌의 인지, 판단 등의 기능을 모사하는 기술들 역시 인공지능의 범주로 이해될 수 있다. 예를 들어, 언어적 이해, 시각적 이해, 추론/예측, 지식 표현, 동작 제어 등의 기술 분야가 포함될 수 있다.In the present invention, artificial intelligence (AI) refers to a technology that imitates human learning ability, reasoning ability, perceptual ability, etc., and implements it with a computer, and the concepts of machine learning, symbolic logic, etc. may include. Machine Learning (ML) is an algorithm technology that classifies or learns characteristics of input data by itself. Artificial intelligence technology is an algorithm of machine learning that can analyze input data, learn the results of the analysis, and make judgments or predictions based on the results of the learning. In addition, technologies that use machine learning algorithms to simulate functions such as cognition and judgment of the human brain can also be understood as a category of artificial intelligence. For example, technical fields such as verbal comprehension, visual comprehension, reasoning/prediction, knowledge expression, and motion control may be included.
기계 학습은 데이터를 처리한 경험을 이용해 신경망 모델을 훈련시키는 처리를 의미할 수 있다. 기계 학습을 통해 컴퓨터 소프트웨어는 스스로 데이터 처리 능력을 향상시키는 것을 의미할 수 있다. 신경망 모델은 데이터 사이의 상관 관계를 모델링하여 구축된 것으로서, 그 상관 관계는 복수의 파라미터에 의해 표현될 수 있다. 신경망 모델은 주어진 데이터로부터 특징들을 추출하고 분석하여 데이터 간의 상관 관계를 도출하는데, 이러한 과정을 반복하여 신경망 모델의 파라미터를 최적화해 나가는 것이 기계 학습이라고 할 수 있다. 예를 들어, 신경망 모델은 입출력 쌍으로 주어지는 데이터에 대하여, 입력과 출력 사이의 매핑(상관 관계)을 학습할 수 있다. 또는, 신경망 모델은 입력 데이터만 주어지는 경우에도 주어진 데이터 사이의 규칙성을 도출하여 그 관계를 학습할 수도 있다.Machine learning may refer to the processing of training a neural network model using experience of processing data. With machine learning, computer software could mean improving its own data processing capabilities. The neural network model is constructed by modeling the correlation between data, and the correlation may be expressed by a plurality of parameters. A neural network model extracts and analyzes features from given data to derive correlations between data, and repeating this process to optimize parameters of a neural network model can be called machine learning. For example, a neural network model may learn a mapping (correlation) between an input and an output with respect to data given as an input/output pair. Alternatively, the neural network model may learn the relationship by deriving regularity between the given data even when only input data is given.
인공지능 학습모델 또는 신경망 모델은 인간의 뇌 구조를 컴퓨터 상에서 구현하도록 설계될 수 있으며, 인간의 신경망의 뉴런(neuron)을 모의하며 가중치를 가지는 복수의 네트워크 노드들을 포함할 수 있다. 복수의 네트워크 노드들은 뉴런이 시냅스(synapse)를 통하여 신호를 주고받는 뉴런의 시냅틱(synaptic) 활동을 모의하여, 서로 간의 연결 관계를 가질 수 있다. 인공지능 학습모델에서 복수의 네트워크 노드들은 서로 다른 깊이의 레이어에 위치하면서 컨볼루션(convolution) 연결 관계에 따라 데이터를 주고받을 수 있다. 인공지능 학습모델은, 예를 들어, 인공 신경망 모델(Artificial Neural Network), 컨볼루션 신경망 모델(Convolution Neural Network: CNN) 등일 수 있다. 일 실시예로서, 인공지능 학습모델은, 지도학습(Supervised Learning), 비지도 학습(Unsupervised Learning), 강화 학습(Reinforcement Learning) 등의 방식에 따라 기계 학습될 수 있다. 기계 학습을 수행하기 위한 기계 학습 알고리즘에는, 의사결정트리(Decision Tree), 베이지안 망(Bayesian Network), 서포트 벡터 머신(Support Vector Machine), 인공 신경망(Artificial Neural Network), 에이다부스트(Ada-boost), 퍼셉트론(Perceptron), 유전자 프로그래밍(Genetic Programming), 군집화(Clustering) 등이 사용될 수 있다.The artificial intelligence learning model or neural network model may be designed to implement a human brain structure on a computer, and may include a plurality of network nodes that simulate neurons of a human neural network and have weights. A plurality of network nodes may have a connection relationship with each other by simulating a synaptic activity of a neuron through which a neuron sends and receives a signal through a synapse. In the AI learning model, a plurality of network nodes can exchange data according to a convolutional connection relationship while being located in layers of different depths. The artificial intelligence learning model may be, for example, an artificial neural network model, a convolutional neural network model, or the like. As an embodiment, the AI learning model may be machine-learned according to a method such as supervised learning, unsupervised learning, reinforcement learning, or the like. Machine learning algorithms for performing machine learning include Decision Tree, Bayesian Network, Support Vector Machine, Artificial Neural Network, Ada-boost. , Perceptron, Genetic Programming, Clustering, etc. may be used.
이중, CNN은 최소한의 전처리(preprocess)를 사용하도록 설계된 다계층 퍼셉트론(multilayer perceptrons)의 한 종류이다. CNN은 하나 또는 여러 개의 합성곱 계층과 그 위에 올려진 일반적인 인공 신경망 계층들로 이루어져 있으며, 가중치와 통합 계층(pooling layer)들을 추가로 활용한다. 이러한 구조 덕분에 CNN은 2차원 구조의 입력 데이터를 충분히 활용할 수 있다. 다른 딥러닝 구조들과 비교해서, CNN은 영상, 음성 분야 모두에서 좋은 성능을 보여준다. CNN은 또한 표준 역전달을 통해 훈련될 수 있다. CNN은 다른 피드포워드 인공신경망 기법들보다 쉽게 훈련되는 편이고 적은 수의 매개변수를 사용한다는 이점이 있다.Among them, CNNs are a type of multilayer perceptrons designed to use minimal preprocessing. CNN consists of one or several convolutional layers and general artificial neural network layers on top of it, and additionally utilizes weights and pooling layers. Thanks to this structure, CNN can fully utilize the input data of the two-dimensional structure. Compared with other deep learning structures, CNN shows good performance in both video and audio fields. CNNs can also be trained through standard back-passing. CNNs are easier to train than other feed-forward neural network techniques and have the advantage of using fewer parameters.
컨볼루션 네트워크는 묶인 파라미터들을 가지는 노드들의 집합들을 포함하는 신경 네트워크들이다. 사용 가능한 트레이닝 데이터의 크기 증가와 연산 능력의 가용성이, 구분적 선형 단위 및 드롭아웃 트레이닝과 같은 알고리즘 발전과 결합되어, 많은 컴퓨터 비전 작업들이 크게 개선되었다. 오늘날 많은 작업에 사용할 수 있는 데이터 세트들과 같은 엄청난 양의 데이터 세트에서는 초과 맞춤(outfitting)이 중요하지 않으며, 네트워크의 크기를 늘리면 테스트 정확도가 향상된다. 컴퓨팅 리소스들의 최적 사용은 제한 요소가 된다. 이를 위해, 심층 신경 네트워크들의 분산된, 확장 가능한 구현예가 사용될 수 있다.Convolutional networks are neural networks comprising sets of nodes with bound parameters. The increased size of available training data and the availability of computational power, combined with advances in algorithms such as piecewise linear units and dropout training, have greatly improved many computer vision tasks. For huge data sets, such as those available for many tasks today, overfitting is not important, and increasing the size of the network improves test accuracy. Optimal use of computing resources becomes a limiting factor. To this end, a distributed, scalable implementation of deep neural networks may be used.
이상에서 설명된 실시예들은 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치, 방법 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The embodiments described above may be implemented by a hardware component, a software component, and/or a combination of a hardware component and a software component. For example, the apparatus, methods and components described in the embodiments may include, for example, a processor, a controller, an arithmetic logic unit (ALU), a digital signal processor, a microcomputer, a field programmable gate (FPGA). array), a programmable logic unit (PLU), a microprocessor, or any other device capable of executing and responding to instructions, may be implemented using one or more general purpose or special purpose computers. The processing device may execute an operating system (OS) and one or more software applications running on the operating system. The processing device may also access, store, manipulate, process, and generate data in response to execution of the software. For convenience of understanding, although one processing device is sometimes described as being used, one of ordinary skill in the art will recognize that the processing device includes a plurality of processing elements and/or a plurality of types of processing elements. It can be seen that may include For example, the processing device may include a plurality of processors or one processor and one controller. Other processing configurations are also possible, such as parallel processors.
도 2는 일실시예에 따른 중앙 서버에 의해 수행되는, 인공지능을 기반으로 호스트 방화벽의 정책 설정을 제어하는 과정을 설명하기 위한 순서도이다.2 is a flowchart illustrating a process of controlling policy settings of a host firewall based on artificial intelligence, performed by a central server according to an embodiment.
도 2에 도시된 모든 과정은 중앙 서버(200) 자체적으로 수행할 수 있으나, 이에 제한되지 않으며, 중앙 서버(200)에 설치된 에이전트를 통해 도 2에 도시된 모든 과정이 수행될 수도 있다.All processes shown in FIG. 2 may be performed by the
도 2를 참조하면, 먼저, S201 단계에서, 중앙 서버(200)는 제1 서버(110)로부터 제1 서버(110)의 운영체제 정보 및 제1 서버(110)의 네트워크 설정 정보를 수신할 수 있다. 여기서, 제1 서버(110)의 운영체제 정보는 제1 서버(110)에 설치되어 운영되고 있는 운영체제의 종류, 버전 등을 식별하기 위한 정보를 포함할 수 있고, 제1 서버(110)의 네트워크 설정 정보는 제1 서버(110)의 네트워크 설정 상태를 나타내는 정보를 포함할 수 있다.Referring to FIG. 2 , first, in step S201 , the
S202 단계에서, 중앙 서버(200)는 제1 서버(110)의 운영체제 정보 및 제1 서버(110)의 네트워크 설정 정보를 기초로, 제1 서버(110)의 네트워크 연결 상태를 분석할 수 있다. 이때, 중앙 서버(200)는 제1 서버(110)의 네트워크 연결 상태를 분석하여, 제1 서버(110)의 네트워크 연결 상태에 대한 분석 결과를 생성할 수 있다. 여기서, 제1 서버(110)의 네트워크 연결 상태에 대한 분석 결과는 제1 서버(110)가 어느 운영체제로 운영되고 있으며, 제1 서버(110)가 어느 네트워크 포트를 통해 연결되어 있는 상태인지를 분석한 결과를 포함할 수 있다.In step S202 , the
S203 단계에서, 중앙 서버(200)는 제1 서버(110)의 네트워크 연결 상태에 대한 분석 결과를 중앙 서버(200) 내에서 미리 학습된 제1 인공 신경망에 적용할 수 있다.In step S203 , the
일실시예에 따르면, 제1 인공 신경망은 서버의 네트워크 연결 상태에 대한 분석 결과를 입력 받은 후, 서버에게 적합한 방화벽 정책을 분석하여 출력하는 알고리즘일 수 있다.According to an embodiment, the first artificial neural network may be an algorithm that analyzes and outputs a firewall policy suitable for the server after receiving an analysis result of the network connection state of the server.
S204 단계에서, 중앙 서버(200)는 제1 인공 신경망의 출력을 기초로, 제1 서버(110)에게 적합한 방화벽 정책을 선정할 수 있다.In step S204 , the
예를 들어, 중앙 서버(200)는 제1 서버(110)의 네트워크 연결 상태에 대한 분석 결과를 제1 인공 신경망에 적용하여, 제1 인공 신경망의 출력을 확인한 결과, 출력값이 “0”으로 확인되면, 제1 서버(110)에게 적합한 방화벽 정책을 제1 정책으로 선정하고, 출력값이 “1”로 확인되면, 제1 서버(110)에게 적합한 방화벽 정책을 제2 정책으로 선정할 수 있다.For example, the
제1 인공 신경망은 서버의 네트워크 연결 상태에 대한 분석 결과를 통해, 서버에게 적합한 방화벽 정책을 분석하도록 학습될 수 있다. 제1 인공 신경망은 도 8을 참조하여 후술되는 방법을 통해 학습될 수 있다. 이를 통해, 제1 인공 신경망은 서버의 네트워크 연결 상태를 고려하여, 서버에게 적합한 방화벽 정책을 분석하여 출력할 수 있다.The first artificial neural network may be trained to analyze a firewall policy suitable for the server through the analysis result of the network connection state of the server. The first artificial neural network may be learned through a method described later with reference to FIG. 8 . Through this, the first artificial neural network may analyze and output a firewall policy suitable for the server in consideration of the network connection state of the server.
S205 단계에서, 중앙 서버(200)는 S204 단계에서 선정된 정책이 제1 서버(110)의 방화벽 정책에 포함되어 있는지 여부를 확인할 수 있다. 예를 들어, 제1 서버(110)에게 적합한 방화벽 정책으로 제1 정책이 선정되면, 중앙 서버(200)는 제1 정책이 제1 서버(110)의 방화벽 정책에 포함되어 있는지 여부를 확인할 수 있다.In step S205 , the
이를 위해, 중앙 서버(200)의 데이터베이스에는 복수의 서버(100) 각각에 설정되어 있는 방화벽 정책에 대한 정보가 서버 별로 구분되어 저장될 수 있다. 방화벽 정책에 대한 정보는 서버에 설정되어 있는 방화벽 정책에 따라 수가 상이할 수 있으며, 하나의 서버에 복수의 방화벽 정책이 설정되어 있는 경우, 복수의 방화벽 정책 각각에 대한 우선순위가 설정되어 있을 수 있다.To this end, information on the firewall policy set in each of the plurality of
S205 단계에서 제1 정책이 제1 서버(110)의 방화벽 정책에 포함되어 있는 것으로 확인되면, S206 단계에서, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책에 대한 변경이 필요하지 않은 것으로 판단할 수 있다.If it is confirmed in step S205 that the first policy is included in the firewall policy of the
즉, 제1 서버(110)에게 적합한 방화벽 정책으로 선정된 제1 정책이 제1 서버(110)에 이미 설정되어 있으므로, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책에 대한 유지가 필요한 것으로 판단할 수 있다.That is, since the first policy selected as a firewall policy suitable for the
S206 단계 이후, 일정 기간이 지나면, S201 단계로 되돌아가, 중앙 서버(200)는 제1 서버(110)로부터 제1 서버(110)의 운영체제 정보 및 제1 서버(110)의 네트워크 설정 정보를 다시 수신하여, 제1 서버(110)에게 적합한 방화벽 정책을 다시 선정할 수 있다.After step S206 , when a certain period elapses, the process returns to step S201 , and the
한편, S205 단계에서 제1 정책이 제1 서버(110)의 방화벽 정책에 포함되어 있지 않은 것으로 확인되면, S207 단계에서, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책에 대한 변경이 필요한 것으로 판단할 수 있다.On the other hand, if it is confirmed in step S205 that the first policy is not included in the firewall policy of the
즉, 제1 서버(110)에게 적합한 방화벽 정책으로 선정된 제1 정책이 제1 서버(110)에 설정되어 있지 않으므로, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책에 대한 변경이 필요한 것으로 판단할 수 있다.That is, since the first policy selected as the firewall policy suitable for the
S208 단계에서, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책에 선정된 정책을 추가하여 등록할 수 있다. 예를 들어, 제1 서버(110)에게 적합한 방화벽 정책으로 제1 정책이 선정되면, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책에 제1 정책을 추가하여 등록할 수 있다. 이때, 제1 서버(110)의 방화벽 정책에 제2 정책이 이미 등록되어 있는 상태인 경우, 제1 서버(110)의 방화벽 정책에 제1 정책이 추가로 등록될 수 있다. 이를 통해, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책에 복수의 정책이 등록되어 있는 경우, 복수의 정책 각각에 대한 우선순위를 설정할 수 있다. 이와 관련된 자세한 설명은 도 6 및 도 7을 참조하여 후술하기로 한다.In step S208 , the
제1 서버(110)의 방화벽 정책에 제1 정책을 추가하여 등록하는 과정은 중앙 서버(200)의 데이터베이스에 저장되어 있는 제1 서버(110)의 방화벽 정책에 대한 정보에 제1 정책을 추가하여 갱신하는 것으로, 방화벽 정책에 대한 설정은 S209 단계를 통해 수행될 수 있다.The process of adding and registering the first policy to the firewall policy of the
S209 단계에서, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책에 제1 정책이 추가로 등록되면, 제1 서버(110)의 방화벽 정책에 대한 설정 변경 명령을 제1 서버(110)로 전송하여, 제1 정책이 제1 서버(110)의 방화벽 정책으로 설정되도록 제어할 수 있다. 여기서, 제1 서버(110)의 방화벽 정책에 대한 설정 변경 명령은 제1 서버(110)의 방화벽 정책에 제1 정책을 추가하여 설정하기 위한 명령이고, 제1 서버(110)는 제1 서버(110)의 방화벽 정책에 대한 설정 변경 명령을 통해, 제1 정책을 제1 서버(110)의 방화벽 정책으로 추가하여 설정할 수 있다.In step S209 , when the first policy is additionally registered in the firewall policy of the
S209 단계 이후, 일정 기간이 지나면, S201 단계로 되돌아가, 중앙 서버(200)는 제1 서버(110)로부터 제1 서버(110)의 운영체제 정보 및 제1 서버(110)의 네트워크 설정 정보를 다시 수신하여, 제1 서버(110)에게 적합한 방화벽 정책을 다시 선정할 수 있다.After step S209, when a certain period of time elapses, the process returns to step S201, and the
도 3은 일실시예에 따른 제1 서버에 설치된 제1 에이전트에 의해 수행되는, 인공지능을 기반으로 호스트 방화벽의 정책 설정을 제어하는 과정을 설명하기 위한 순서도이다.3 is a flowchart illustrating a process of controlling policy settings of a host firewall based on artificial intelligence, performed by a first agent installed in a first server according to an embodiment.
도 3에 도시된 모든 과정은 제1 서버(110)에 설치된 제1 에이전트를 통해 수행될 수 있으나, 이에 제한되지 않으며, 제1 서버(110) 자체적으로 도 3에 도시된 모든 과정을 수행할 수도 있다.All the processes shown in FIG. 3 may be performed through the first agent installed in the
도 3을 참조하면, 먼저, S301 단계에서, 제1 서버(110)는 제1 서버(110)의 운영체제 정보 및 제1 서버(110)의 네트워크 설정 정보를 획득할 수 있다. 이를 위해, 제1 서버(110)의 데이터베이스에는 제1 서버(110)의 실시간 상태가 반영되어 있는 제1 서버(110)의 운영체제 정보 및 제1 서버(110)의 네트워크 설정 정보가 저장되어 있으며, 제1 서버(110)는 데이터베이스로부터 제1 서버(110)의 운영체제 정보 및 제1 서버(110)의 네트워크 설정 정보를 획득할 수 있다.Referring to FIG. 3 , first, in step S301 , the
S302 단계에서, 제1 서버(110)는 제1 서버(110)의 운영체제 정보 및 제1 서버(110)의 네트워크 설정 정보를 기초로, 제1 서버(110)의 네트워크 연결 상태를 분석할 수 있다. 이때, 제1 서버(110)는 제1 서버(110)의 네트워크 연결 상태를 분석하여, 제1 서버(110)의 네트워크 연결 상태에 대한 분석 결과를 생성할 수 있다.In step S302 , the
S303 단계에서, 제1 서버(110)는 제1 서버(110)의 네트워크 연결 상태에 대한 분석 결과를 제1 서버(110) 내에서 미리 학습된 제1 인공 신경망에 적용할 수 있다.In step S303 , the
S304 단계에서, 제1 서버(110)는 제1 인공 신경망의 출력을 기초로, 제1 서버(110)에게 적합한 방화벽 정책을 선정할 수 있다.In step S304 , the
S305 단계에서, 제1 서버(110)는 S304 단계에서 선정된 정책이 제1 서버(110)의 방화벽 정책에 포함되어 있는지 여부를 확인할 수 있다. 예를 들어, 제1 서버(110)에게 적합한 방화벽 정책으로 제1 정책이 선정되면, 제1 서버(110)는 제1 정책이 제1 서버(110)의 방화벽 정책에 포함되어 있는지 여부를 확인할 수 있다.In step S305 , the
이를 위해, 제1 서버(110)의 데이터베이스에는 제1 서버(110)에 설정되어 있는 방화벽 정책에 대한 정보가 저장되어 있으며, 제1 서버(110)는 데이터베이스에 저장된 방화벽 정책에 대한 정보를 조회하여, 제1 서버(110)에 설정되어 있는 방화벽 정책을 확인할 수 있다.To this end, information on the firewall policy set in the
S305 단계에서 제1 정책이 제1 서버(110)의 방화벽 정책에 포함되어 있는 것으로 확인되면, S306 단계에서, 제1 서버(110)는 제1 서버(110)의 방화벽 정책에 대한 변경이 필요하지 않은 것으로 판단할 수 있다.If it is confirmed in step S305 that the first policy is included in the firewall policy of the
S306 단계 이후, 일정 기간이 지나면, S301 단계로 되돌아가, 제1 서버(110)는 제1 서버(110)의 운영체제 정보 및 제1 서버(110)의 네트워크 설정 정보를 다시 획득하여, 제1 서버(110)에게 적합한 방화벽 정책을 다시 선정할 수 있다.After step S306, after a certain period of time, the process returns to step S301, and the
한편, S305 단계에서 제1 정책이 제1 서버(110)의 방화벽 정책에 포함되어 있지 않은 것으로 확인되면, S307 단계에서, 제1 서버(110)는 제1 서버(110)의 방화벽 정책에 대한 변경이 필요한 것으로 판단할 수 있다.On the other hand, if it is confirmed in step S305 that the first policy is not included in the firewall policy of the
S308 단계에서, 제1 서버(110)는 제1 서버(110)의 방화벽 정책에 선정된 정책을 추가하여 설정할 수 있다. 예를 들어, 제1 서버(110)에게 적합한 방화벽 정책으로 제1 정책이 선정되면, 제1 서버(110)는 제1 서버(110)의 방화벽 정책에 제1 정책을 추가하여 설정할 수 있다.In step S308 , the
S309 단계에서, 제1 서버(110)는 제1 서버(110)의 방화벽 정책에 제1 정책이 추가로 등록되면, 제1 서버(110)의 방화벽 정책에 대한 설정 변경 알림 메시지를 중앙 서버(200)로 전송할 수 있다. 여기서, 제1 서버(110)의 방화벽 정책에 대한 설정 변경 알림 메시지는 제1 서버(110)의 방화벽 정책에 제1 정책이 추가되어 설정된 것을 통보하기 위한 알림 메시지이고, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책에 대한 설정 변경 알림 메시지를 통해, 제1 정책을 제1 서버(110)의 방화벽 정책으로 추가하여 등록할 수 있다.In step S309, when the first policy is additionally registered in the firewall policy of the
S309 단계 이후, 일정 기간이 지나면, S301 단계로 되돌아가, 제1 서버(110)는 제1 서버(110)의 운영체제 정보 및 제1 서버(110)의 네트워크 설정 정보를 다시 획득하여, 제1 서버(110)에게 적합한 방화벽 정책을 다시 선정할 수 있다.After step S309, after a certain period of time, it returns to step S301, the
도 4는 일실시예에 따른 서버 별로 연동하여 방화벽 정책을 설정하는 과정을 설명하기 위한 순서도이다.4 is a flowchart illustrating a process of setting a firewall policy by interworking with each server according to an embodiment.
도 4를 참조하면, 먼저, S401 단계에서, 중앙 서버(200)는 제1 정책이 제1 서버(110)의 방화벽 정책으로 설정된 이후, 복수의 서버(100) 중 제1 운영체제의 환경으로 운영되는 서버들을 제1 그룹으로 분류할 수 있다.Referring to FIG. 4 , first, in step S401 , the
예를 들어, 중앙 서버(200)는 복수의 서버(100) 중에서, 제1 운영체제의 환경으로 운영되는 서버들을 제1 그룹으로 분류하고, 제2 운영체제의 환경으로 운영되는 서버들을 제2 그룹으로 분류할 수 있다.For example, the
S402 단계에서, 중앙 서버(200)는 제1 그룹으로 분류된 서버 중 제1 포트로 연결되어 통신을 수행하는 서버들을 제1-1 그룹으로 분류할 수 있다.In step S402 , the
예를 들어, 중앙 서버(200)는 제1 그룹으로 분류된 서버 중에서, 제1 포트로 연결되어 통신을 수행하는 서버들을 제1-1 그룹으로 분류하고, 제1 포트로 연결되어 통신을 수행하는 서버들을 제1-2 그룹으로 분류할 수 있다.For example, the
S403 단계에서, 중앙 서버(200)는 제1 서버(110) 및 제2 서버(120)가 제1-1 그룹으로 분류된 것을 확인할 수 있다.In step S403 , the
S404 단계에서, 중앙 서버(200)는 제1 서버(110) 및 제2 서버(120)가 제1-1 그룹으로 분류된 경우, 제1 정책이 제2 서버(120)의 방화벽 정책에 포함되어 있는지 여부를 확인할 수 있다.In step S404, when the
S404 단계에서 제1 정책이 제2 서버(120)의 방화벽 정책에 포함되어 있는 것으로 확인되면, S405 단계에서, 중앙 서버(200)는 제2 서버(120)의 방화벽 정책에 대한 변경이 필요하지 않은 것으로 판단할 수 있다.If it is confirmed in step S404 that the first policy is included in the firewall policy of the
즉, 제1 서버(110) 및 제2 서버(120)가 운영체제와 운영 포트가 동일한 경우, 제1 서버(110)에게 적합한 방화벽 정책으로 선정된 제1 정책이 제1 서버(110) 뿐만 아니라 제2 서버(120)에도 이미 설정되어 있으면, 중앙 서버(200)는 제2 서버(120)의 방화벽 정책에 대한 유지가 필요한 것으로 판단할 수 있다.That is, when the
S404 단계에서 제1 정책이 제2 서버(120)의 방화벽 정책에 포함되어 있지 않은 것으로 확인되면, S406 단계에서, 중앙 서버(200)는 제2 서버(120)의 방화벽 정책에 대한 변경이 필요한 것으로 판단할 수 있다.If it is confirmed in step S404 that the first policy is not included in the firewall policy of the
즉, 제1 서버(110) 및 제2 서버(120)가 운영체제와 운영 포트가 동일한 경우, 제1 서버(110)에게 적합한 방화벽 정책으로 선정된 제1 정책이 제1 서버(110)에만 설정되어 있고 제2 서버(120)에는 설정되어 있지 않으면, 중앙 서버(200)는 제2 서버(120)의 방화벽 정책에 대한 변경이 필요한 것으로 판단할 수 있다.That is, when the
S407 단계에서, 중앙 서버(200)는 제2 서버(120)의 방화벽 정책에 제1 정책을 추가하여 등록할 수 있다.In step S407 , the
S408 단계에서, 중앙 서버(200)는 제2 서버(120)의 방화벽 정책에 제1 정책이 추가로 등록되면, 제2 서버(120)의 방화벽 정책에 대한 설정 변경 명령을 제2 서버(120)로 전송하여, 제1 정책이 제2 서버(120)의 방화벽 정책으로 설정되도록 제어할 수 있다. 여기서, 제2 서버(120)의 방화벽 정책에 대한 설정 변경 명령은 제2 서버(120)의 방화벽 정책에 제1 정책을 추가하여 설정하기 위한 명령이고, 제2 서버(120)는 제2 서버(120)의 방화벽 정책에 대한 설정 변경 명령을 통해, 제1 정책을 제2 서버(120)의 방화벽 정책으로 추가하여 설정할 수 있다.In step S408 , when the first policy is additionally registered in the firewall policy of the
도 5는 일실시예에 따른 공격으로 추정되는 접근을 감지하여, 공격 횟수에 따라 대응 방안을 제공하는 과정을 설명하기 위한 순서도이다.5 is a flowchart illustrating a process of detecting an approach estimated as an attack and providing a countermeasure according to the number of attacks, according to an exemplary embodiment.
도 5를 참조하면, 먼저, S501 단계에서, 중앙 서버(200)는 제1 서버(110)로부터 제1 서버(110)의 네트워크 트래픽에 대한 모니터링 정보를 수신할 수 있다. 여기서, 제1 서버(110)의 네트워크 트래픽에 대한 모니터링 정보는 제1 서버(110)에서 어느 포트로 접속이 이루어져 트래픽이 발생하였는지에 대한 모니터링 정보, 제1 서버(110)에 접속한 IP 주소 별로 시간당 얼마만큼의 트래픽을 발생시켰는지에 대한 모니터링 정보 등을 포함할 수 있다.Referring to FIG. 5 , first, in step S501 , the
S502 단계에서, 중앙 서버(200)는 제1 서버(110)의 네트워크 트래픽에 대한 모니터링 정보를 중앙 서버(200) 내에서 미리 학습된 제2 인공 신경망에 적용할 수 있다.In step S502 , the
일실시예에 따르면, 제2 인공 신경망은 서버의 네트워크 트래픽에 대한 모니터링 정보를 입력 받은 후, 서버에 공격으로 추정되는 접근이 감지되었는지 여부에 대한 검출 결과를 출력하는 알고리즘일 수 있다.According to an embodiment, the second artificial neural network may be an algorithm that receives monitoring information on network traffic of a server and outputs a detection result of whether an approach estimated as an attack is detected to the server.
S503 단계에서, 중앙 서버(200)는 제2 인공 신경망의 출력을 기초로, 제1 서버(110)에 공격으로 추정되는 접근이 감지되었는지 여부를 검출할 수 있다.In step S503 , the
예를 들어, 중앙 서버(200)는 제1 서버(110)의 네트워크 트래픽에 대한 모니터링 정보를 제2 인공 신경망에 적용하여, 제2 인공 신경망의 출력을 확인한 결과, 출력값이 “0”으로 확인되면, 제1 서버(110)에 공격으로 추정되는 접근이 감지되지 않은 것으로 검출하고, 출력값이 “1”로 확인되면, 제1 서버(110)에 공격으로 추정되는 접근이 감지된 것으로 검출할 수 있다.For example, the
제2 인공 신경망은 서버의 네트워크 트래픽에 대한 모니터링 정보를 통해, 서버에 공격으로 추정되는 접근이 감지되었는지 분석하도록 학습될 수 있다. 제2 인공 신경망은 도 9를 참조하여 후술되는 방법을 통해 학습될 수 있다. 이를 통해, 제2 인공 신경망은 서버의 네트워크 트래픽에 대한 변동 상태를 고려하여, 서버에 공격으로 추정되는 접근이 감지되었는지를 분석하여 출력할 수 있다.The second artificial neural network may be trained to analyze whether an approach estimated as an attack is detected to the server through monitoring information on network traffic of the server. The second artificial neural network may be learned through a method described later with reference to FIG. 9 . Through this, the second artificial neural network may analyze and output whether an approach estimated as an attack is detected to the server in consideration of the change state of the server's network traffic.
S504 단계에서, 중앙 서버(200)는 기준 기간 동안 제1 서버(110)에 공격으로 추정되는 접근이 몇 번 감지되었는지 확인하여, 제1 서버(110)가 기준 기간 동안 공격받은 횟수인 제1 공격 횟수를 산출할 수 있다. 여기서, 기준 기간은 실시예에 따라 상이하게 설정될 수 있으며, 기준 기간 동안 S501 단계부터 S503 단계까지의 과정이 반복 수행될 수 있다. 이를 통해, 중앙 서버(200)는 기준 기간 동안 제1 서버(110)에 공격으로 추정되는 접근이 몇 번 감지되었는지 확인하여, 제1 공격 횟수를 산출할 수 있다.In step S504, the
S505 단계에서, 중앙 서버(200)는 제1 공격 횟수가 제1 기준 횟수 보다 적은지 여부를 확인할 수 있다. 여기서, 제1 기준 횟수는 기준 기간의 길이에 비례하여 상이하게 설정될 수 있다.In step S505, the
S505 단계에서 제1 공격 횟수가 제1 기준 횟수 보다 적은 것으로 확인되면, S507 단계에서, 중앙 서버(200)는 제1 서버(110)의 상태를 정상 상태로 판단할 수 있다.If it is determined in step S505 that the number of first attacks is less than the first reference number, in step S507, the
S507 단계 이후, 일정 기간이 지나면, S501 단계로 되돌아가, 중앙 서버(200)는 제1 서버(110)로부터 제1 서버(110)의 네트워크 트래픽에 대한 모니터링 정보를 다시 수신하여, 제1 공격 횟수를 다시 산출할 수 있다.After step S507, after a certain period of time, the process returns to step S501, and the
S505 단계에서 제1 공격 횟수가 제1 기준 횟수 보다 많은 것으로 확인되면, S506 단계에서, 중앙 서버(200)는 제1 공격 횟수가 제2 기준 횟수 보다 적은지 여부를 확인할 수 있다. 여기서, 제2 기준 횟수는 제1 기준 횟수 보다 많은 값으로 설정될 수 있다.If it is determined in step S505 that the number of first attacks is greater than the first reference number, in step S506 , the
S506 단계에서 제1 공격 횟수가 제2 기준 횟수 보다 적은 것으로 확인되면, S508 단계에서, 중앙 서버(200)는 제1 서버(110)의 상태를 경고 상태로 판단할 수 있다.If it is determined in step S506 that the number of first attacks is less than the second reference number, in step S508 , the
S506 단계에서 제1 공격 횟수가 제2 기준 횟수 보다 많은 것으로 확인되면, S509 단계에서, 중앙 서버(200)는 제1 서버(110)의 상태를 위험 상태로 판단할 수 있다.If it is confirmed in step S506 that the number of first attacks is greater than the second reference number, in step S509, the
S510 단계에서, 중앙 서버(200)는 제1 서버(110)의 상태가 경고 상태로 판단되면, 제1 서버(110)의 공격을 경고하는 알림 메시지를 제1 관리자 단말로 전송할 수 있다. 여기서, 제1 관리자 단말은 제1 서버(110)의 관리자로 등록되어 있는 제1 관리자가 사용하는 단말을 의미하며, 중앙 서버(200)의 데이터베이스에는 제1 관리자 단말의 연락처 정보가 저장되어 있어, 이를 통해, 중앙 서버(200)는 제1 관리자 단말로 알림 메시지를 전송할 수 있다.In step S510 , when it is determined that the state of the
S511 단계에서, 중앙 서버(200)는 제1 서버(110)의 상태가 위험 상태로 판단되면, 제1 정책을 통해 연결이 허용되어 있는 제1 포트의 연결 차단 명령을 제1 서버(110)로 전송하여, 제1 서버(110)에서 제1 포트를 통한 연결이 차단되도록 제어할 수 있다.In step S511, if the state of the
즉, 제1 서버(110)에는 제1 정책이 방화벽 정책으로 설정되어 있고, 제1 정책은 제1 포트를 통해 연결을 허용하는 설정을 포함하고 있어, 제1 서버(110)의 네트워크 연결 상태는 제1 포트를 통한 연결을 허용하고 있는 상태로, 제1 포트를 통해 트래픽이 발생되고 있는데, 제1 포트를 통한 공격받은 횟수가 너무 많은 경우, 중앙 서버(200)는 제1 포트의 연결 차단 명령을 제1 서버(110)로 전송하여, 제1 서버(110)에서 제1 포트를 통한 연결이 차단되도록 제어할 수 있다. 이때, 제1 서버(110)는 제1 포트의 연결 차단 명령을 통해 제1 포트의 연결을 차단시켜, 제1 포트를 통해 트래픽이 발생하지 않도록 처리할 수 있다.That is, in the
도 6은 일실시예에 따른 IP 주소 허용 범위에 따라 방화벽 정책의 우선순위를 설정하는 과정을 설명하기 위한 순서도이다.6 is a flowchart illustrating a process of setting a priority of a firewall policy according to an IP address allowable range according to an exemplary embodiment.
도 6을 참조하면, 먼저, S601 단계에서, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책에 제1 정책 및 제2 정책이 등록되어 있는 것을 확인할 수 있다. 이때, 중앙 서버(200)는 데이터베이스로부터 제1 서버(110)의 방화벽 정책에 대한 정보를 획득하여, 제1 서버(110)의 방화벽 정책에 대한 정보를 기초로, 제1 서버(110)의 방화벽 정책에 어느 정책이 등록되어 있는지를 확인할 수 있다.Referring to FIG. 6 , first, in step S601 , the
S602 단계에서, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책 중 제1 정책의 설정 정보를 확인하여, 제1 정책을 통해 연결이 허용되어 있는 IP 주소의 리스트인 제1 리스트를 확인할 수 있다. 이를 위해, 중앙 서버(200)의 데이터베이스에는 정책 별로 설정 정보가 구분되어 저장되어 있으며, 정책의 설정 정보는 어느 IP 주소를 허용하고 있는지를 나타내는 허용 IP 주소의 리스트 정보를 포함할 수 있다.In step S602, the
S603 단계에서, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책 중 제2 정책의 설정 정보를 확인하여, 제2 정책을 통해 연결이 허용되어 있는 IP 주소의 리스트인 제2 리스트를 확인할 수 있다.In step S603, the
S604 단계에서, 중앙 서버(200)는 제1 리스트 및 제2 리스트를 비교할 수 있다.In step S604, the
S605 단계에서, 중앙 서버(200)는 제1 리스트 및 제2 리스트를 비교한 결과, 제1 리스트의 허용 범위와 제2 리스트의 허용 범위가 동일한지 여부를 확인할 수 있다.In step S605 , as a result of comparing the first list and the second list, the
S605 단계에서 제1 리스트의 허용 범위와 제2 리스트의 허용 범위가 동일한 것으로 확인되면, S701 단계가 수행될 수 있으며, 이와 관련된 자세한 설명은 도 7을 참조하여 후술하기로 한다.If it is confirmed in step S605 that the allowable range of the first list and the allowable range of the second list are the same, step S701 may be performed, and a detailed description thereof will be described later with reference to FIG. 7 .
S605 단계에서 제1 리스트의 허용 범위와 제2 리스트의 허용 범위가 동일하지 않은 것으로 확인되면, S606 단계에서, 중앙 서버(200)는 제1 리스트 및 제2 리스트를 비교한 결과, 제1 리스트의 허용 범위가 제2 리스트의 허용 범위 보다 넓은지 여부를 확인할 수 있다.If it is determined in step S605 that the allowable range of the first list and the allowable range of the second list are not the same, in step S606, the
S606 단계에서 제1 리스트의 허용 범위가 제2 리스트의 허용 범위 보다 넓은 것으로 확인되면, S607 단계에서, 중앙 서버(200)는 제1 정책의 우선순위를 1순위로 설정하고, 제2 정책의 우선순위를 2순위로 설정할 수 있다.If it is confirmed in step S606 that the allowable range of the first list is wider than that of the second list, in step S607, the
즉, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책으로 제1 정책 및 제2 정책이 등록되어 있는 상태에서, 제1 정책을 통한 연결 허용 범위가 제2 정책을 통한 연결 허용 범위 보다 넓은 경우, 제1 정책의 우선순위를 1순위로 설정하고, 제2 정책의 우선순위를 2순위로 설정할 수 있다.That is, in the state where the
S606 단계에서 제1 리스트의 허용 범위가 제2 리스트의 허용 범위 보다 좁은 것으로 확인되면, S608 단계에서, 중앙 서버(200)는 제1 정책의 우선순위를 2순위로 설정하고, 제2 정책의 우선순위를 1순위로 설정할 수 있다.If it is confirmed in step S606 that the allowable range of the first list is narrower than the allowable range of the second list, in step S608, the
즉, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책으로 제1 정책 및 제2 정책이 등록되어 있는 상태에서, 제2 정책을 통한 연결 허용 범위가 제1 정책을 통한 연결 허용 범위 보다 넓은 경우, 제2 정책의 우선순위를 1순위로 설정하고, 제1 정책의 우선순위를 2순위로 설정할 수 있다.That is, in the state that the
도 7은 일실시예에 따른 IP 주소 차단 범위에 따라 방화벽 정책의 우선순위를 설정하는 과정을 설명하기 위한 순서도이다.7 is a flowchart illustrating a process of setting a priority of a firewall policy according to an IP address blocking range according to an embodiment.
도 7을 참조하면, 먼저, S701 단계에서, 중앙 서버(200)는 제1 리스트 및 제2 리스트의 허용 범위가 동일한 것으로 확인할 수 있다. 예를 들어, 제1 리스트에 포함되어 있는 IP 주소의 수가 3개이고, 제2 리스트에 포함되어 있는 IP 주소의 수도 3개인 경우, 제1 리스트 및 제2 리스트의 허용 범위는 동일한 것으로 확인될 수 있다.Referring to FIG. 7 , first, in step S701 , the
S702 단계에서, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책 중 제1 정책의 설정 정보를 확인하여, 제1 정책을 통해 연결이 차단되어 있는 IP 주소의 리스트인 제3 리스트를 확인할 수 있다. 이를 위해, 중앙 서버(200)의 데이터베이스에는 정책 별로 설정 정보가 구분되어 저장되어 있으며, 정책의 설정 정보는 어느 IP 주소를 차단하고 있는지를 나타내는 차단 IP 주소의 리스트 정보를 포함할 수 있다.In step S702, the
S703 단계에서, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책 중 제2 정책의 설정 정보를 확인하여, 제2 정책을 통해 연결이 차단되어 있는 IP 주소의 리스트인 제4 리스트를 확인할 수 있다.In step S703, the
S704 단계에서, 중앙 서버(200)는 제3 리스트 및 제4 리스트를 비교할 수 있다.In step S704, the
S705 단계에서, 중앙 서버(200)는 제3 리스트 및 제4 리스트를 비교한 결과, 제3 리스트의 차단 범위와 제4 리스트의 차단 범위가 동일한지 여부를 확인할 수 있다.In step S705, as a result of comparing the third list and the fourth list, the
S705 단계에서 제3 리스트의 차단 범위와 제4 리스트의 차단 범위가 동일한 것으로 확인되면, S707 단계에서, 중앙 서버(200)는 제1 정책 및 제2 정책 중 먼저 설정된 정책의 우선순위를 1순위로 설정할 수 있다.If it is confirmed in step S705 that the blocking range of the third list and the blocking range of the fourth list are the same, in step S707, the
즉, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책으로 제1 정책 및 제2 정책이 등록되어 있는 상태에서, 제1 정책을 통한 연결 허용 범위와 제2 정책을 통한 연결 허용 범위가 동일하면서, 제1 정책을 통한 연결 차단 범위와 제2 정책을 통한 연결 차단 범위가 동일한 경우, 제1 정책 및 제2 정책 중 먼저 제1 서버(110)의 방화벽 정책으로 설정된 정책의 우선순위를 1순위로 설정하고, 늦게 제1 서버(110)의 방화벽 정책으로 설정된 정책의 우선순위를 2순위로 설정할 수 있다.That is, in the state where the
S705 단계에서 제3 리스트의 차단 범위와 제4 리스트의 차단 범위가 동일하지 않은 것으로 확인되면, S706 단계에서, 중앙 서버(200)는 제3 리스트 및 제4 리스트를 비교한 결과, 제3 리스트의 차단 범위가 제4 리스트의 차단 범위 보다 좁은지 여부를 확인할 수 있다.If it is confirmed in step S705 that the blocking range of the third list and the blocking range of the fourth list are not the same, in step S706, the
S706 단계에서 제3 리스트의 차단 범위가 제4 리스트의 차단 범위 보다 좁은 것으로 확인되면, S708 단계에서, 중앙 서버(200)는 제1 정책의 우선순위를 1순위로 설정하고, 제2 정책의 우선순위를 2순위로 설정할 수 있다.If it is confirmed in step S706 that the blocking range of the third list is narrower than the blocking range of the fourth list, in step S708, the
즉, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책으로 제1 정책 및 제2 정책이 등록되어 있는 상태에서, 제1 정책을 통한 연결 허용 범위와 제2 정책을 통한 연결 허용 범위가 동일하면서, 제1 정책을 통한 연결 차단 범위가 제2 정책을 통한 연결 차단 범위 보다 좁은 경우, 제1 정책의 우선순위를 1순위로 설정하고, 제2 정책의 우선순위를 2순위로 설정할 수 있다.That is, in the state where the
S706 단계에서 제3 리스트의 차단 범위가 제4 리스트의 차단 범위 보다 넓은 것으로 확인되면, S709 단계에서, 중앙 서버(200)는 제1 정책의 우선순위를 2순위로 설정하고, 제2 정책의 우선순위를 1순위로 설정할 수 있다.If it is confirmed in step S706 that the blocking range of the third list is wider than the blocking range of the fourth list, in step S709, the
즉, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책으로 제1 정책 및 제2 정책이 등록되어 있는 상태에서, 제1 정책을 통한 연결 허용 범위와 제2 정책을 통한 연결 허용 범위가 동일하면서, 제2 정책을 통한 연결 차단 범위가 제1 정책을 통한 연결 차단 범위 보다 좁은 경우, 제2 정책의 우선순위를 1순위로 설정하고, 제1 정책의 우선순위를 2순위로 설정할 수 있다.That is, in the state where the
한편, 일실시예에 따른 시스템은 복수의 서버(100) 및 중앙 서버(200) 이외에, 클라우드 스토리지 및 복수의 병렬 서버를 더 포함할 수 있다.Meanwhile, the system according to an embodiment may further include a cloud storage and a plurality of parallel servers in addition to the plurality of
복수의 서버(100) 각각에는 로그 봇의 기능을 수행하는 에이전트가 설치되어 있다. 즉, 제1 서버(110)에는 제1 에이전트가 설치되어 있고, 제2 서버(120)에는 제2 에이전트가 설치되어 있다.An agent performing the function of a log bot is installed in each of the plurality of
복수의 에이전트는 복수의 서버(100) 각각에 포함되어 있는 데이터베이스의 로그를 관리하는 봇으로, 데이터베이스의 접근 제어 솔루션(데이터베이스 접근 툴, 프로그램 등)을 통해 복수의 서버(100) 각각에 포함되어 있는 데이터베이스에 접근하여 데이터베이스에 저장된 정보를 변경하는 과정을 감시하고, 정보 변경 시 이에 대한 로그 데이터를 생성하여 기록할 수 있다. 여기서, 로그 데이터는 정보 변경 시 사용된 쿼리, 정보 변경을 요청한 IP 주소 등에 대한 정보를 포함할 수 있다.A plurality of agents are bots that manage logs of a database included in each of the plurality of
예를 들어, 제1 서버(110)와 제1 사용자 단말은 연결되어 있고, 제1 사용자 단말에 데이터베이스 접근 프로그램이 설치되어 있는 경우, 제1 사용자 단말로부터 전달된 제1 쿼리에 의해 제1 서버(110)의 데이터베이스에 저장된 정보가 변경되면, 제1 에이전트는 제1 쿼리 및 제1 사용자 단말의 IP 주소를 기초로, 데이터베이스 변경에 대한 로그 데이터를 생성하여 기록할 수 있다.For example, when the
일실시예에 따르면, 중앙 서버(200)는 클라우드 스토리지, 복수의 병렬 서버 및 중앙 서버(200)의 데이터베이스를 포함하여 구성될 수 있다.According to an embodiment, the
클라우드 스토리지는 어디서나 원하는 양의 데이터를 저장하고 검색할 수 있도록 구축된 객체 스토리지로 구현될 수 있다. 클라우드 스토리지는 S3(Simple Storage Service)를 제공할 수 있으며, S3는 업계 최고의 확장성, 데이터 가용성 및 보안과 성능을 제공하는 객체 스토리지 서비스를 의미할 수 있다. 즉, 규모와 업종에 상관없이 고객사가 이 서비스를 이용하여 데이터 레이크, 웹사이트, 모바일 애플리케이션, 백업 및 복원, 아카이브, 엔터프라이즈 애플리케이션, IoT 디바이스, 빅 데이터 분석과 같은 다양한 사용 사례에서 원하는 만큼의 데이터를 저장하고 보호할 수 있다. S3는 사용하기 쉬운 관리 기능을 제공하므로 특정 비즈니스, 조직 및 규정 준수 요구 사항에 따라 데이터를 조직화하고 세부적인 액세스 제어를 구성할 수 있다.Cloud storage can be implemented as object storage built to store and retrieve any amount of data from anywhere. Cloud storage may provide a Simple Storage Service (S3), which may refer to an object storage service that provides industry-leading scalability, data availability, and security and performance. This means that customers of all sizes and industries can use the service to acquire as much data as they want across a variety of use cases, such as data lakes, websites, mobile applications, backup and restore, archives, enterprise applications, IoT devices, and big data analytics. can be stored and protected. S3 provides easy-to-use management features so you can organize your data and configure fine-grained access controls according to your specific business, organizational and compliance requirements.
중앙 서버(200)는 중앙 서버(200)를 이용하여 서비스를 제공하는 자 내지 단체가 보유한 자체 서버일수도 있고, 클라우드 서버일 수도 있고, 분산된 노드(node)들의 p2p(peer-to-peer) 집합일 수도 있다. 중앙 서버(200)는 통상의 컴퓨터가 가지는 연산 기능, 저장/참조 기능, 입출력 기능 및 제어 기능을 전부 또는 일부 수행하도록 구성될 수 있다.The
중앙 서버(200)는 복수의 서버(100)에 설치된 복수의 에이전트, 클라우드 스토리지, 복수의 병렬 서버 및 중앙 서버(200)의 데이터베이스 각각의 동작을 제어하여, 시스템의 전체적인 동작을 제어할 수 있다.The
복수의 병렬 서버는 오토 스케일링 그룹(Auto Scaling Group)을 구성하는 복수의 서버로, 제1 병렬 서버, 제2 병렬 서버 등을 포함할 수 있다.The plurality of parallel servers is a plurality of servers constituting the Auto Scaling Group, and may include a first parallel server, a second parallel server, and the like.
복수의 병렬 서버에는 오토 스케일링(Auto Scaling)을 통해 자동 조절 정책(Auto-Scaling Policy)이 설정될 수 있다. 자동 조절 정책은 서버들의 묶음 단위인 오토 스케일링 그룹(Auto Scaling Group)에 연결하여 서비스가 유휴 상태일 때는 서버의 개수를 최소로 유지하고 부하가 발생하면 최대로 늘려 안정적이고 유연한 서비스를 구현할 수 있다.An auto-scaling policy may be set for a plurality of parallel servers through auto-scaling. The automatic scaling policy is connected to the Auto Scaling Group, which is a bundle of servers, so that the number of servers is kept to a minimum when the service is idle, and the number of servers is increased to the maximum when a load occurs to implement stable and flexible services.
중앙 서버(200)의 데이터베이스는 로그 데이터를 저장하는 데이터베이스로 중앙 서버(200)의 데이터베이스 기능을 수행할 수 있다.The database of the
일실시예에 따르면, 복수의 서버(100)에 설치된 복수의 에이전트는 중앙 서버(200)의 제어에 의해, 복수의 서버(100) 별로 로그 데이터를 추출할 수 있다. 여기서, 로그 데이터는 쿼리 및 IP 주소에 대한 정보를 포함할 수 있다.According to an embodiment, the plurality of agents installed in the plurality of
즉, 중앙 서버(200)는 복수의 서버(100) 각각에 설치된 복수의 에이전트를 통해, 복수의 서버(100) 별로 로그 데이터가 추출되도록 처리할 수 있다.That is, the
예를 들어, 제1 서버(110)에 설치된 제1 에이전트는 제1 서버(110)의 데이터베이스에 저장된 정보 변경으로 제1 서버(110)에서 생성된 로그 데이터를 추출하고, 제2 서버(120)에 설치된 제2 에이전트는 제2 서버(120)의 데이터베이스에 저장된 정보 변경으로 제2 서버(120)에서 생성된 로그 데이터를 추출할 수 있다.For example, the first agent installed in the
제1 에이전트 및 제2 에이전트는 중앙 서버(200)의 제어에 의해 동작될 수 있으며, 데이터베이스에 저장된 정보 변경으로 로그 데이터가 새로 기록될 때마다 로그 데이터를 추출할 수 있고, 미리 설정된 기간마다 일괄적으로 로그 데이터를 추출할 수도 있다.The first agent and the second agent may be operated under the control of the
이후, 복수의 서버(100)에 설치된 복수의 에이전트는 중앙 서버(200)의 제어에 의해, 추출된 로그 데이터를 패킷으로 복제할 수 있다.Thereafter, the plurality of agents installed in the plurality of
즉, 중앙 서버(200)는 복수의 서버(100) 각각에 설치된 복수의 에이전트를 통해, 추출된 로그 데이터가 패킷으로 복제되도록 처리할 수 있다.That is, the
예를 들어, 제1 서버(110)에 설치된 제1 에이전트는 제1 서버(110)에서 추출된 로그 데이터를 패킷으로 복제하고, 제2 서버(120)에 설치된 제2 에이전트는 제2 서버(120)에서 추출된 로그 데이터를 패킷으로 복제할 수 있다.For example, the first agent installed in the
제1 에이전트 및 제2 에이전트는 중앙 서버(200)의 제어에 의해 동작될 수 있으며, 로그 데이터가 추출될 때마다 추출된 로그 데이터를 패킷으로 복제할 수 있고, 미리 설정된 기간마다 일괄적으로 추출된 로그 데이터를 패킷으로 복제할 수 있다.The first agent and the second agent may be operated under the control of the
이후, 복수의 서버(100)에 설치된 복수의 에이전트는 복제된 로그 데이터를 중앙 서버(200)로 전달할 수 있다.Thereafter, the plurality of agents installed in the plurality of
구체적으로, 복수의 서버(100)에 설치된 복수의 에이전트는 복제된 로그 데이터를 클라우드 스토리지로 전달할 수 있으며, 복제된 로그 데이터가 복수의 에이전트로부터 클라우드 스토리지로 전달되면, 전달된 로그 데이터가 클라우드 스토리지에 저장될 수 있다. 이후, 중앙 서버(200)는 클라우드 스토리지에 저장된 로그 데이터를 획득할 수 있다.Specifically, the plurality of agents installed in the plurality of
이후, 중앙 서버(200)는 복제된 로그 데이터가 전달되면, 전달된 로그 데이터의 복호화를 병렬로 처리할 수 있다. 이때, 중앙 서버(200)는 중앙 서버(200)와 연결된 오토 스케일링 그룹(Auto Scaling Group)을 통해, 획득된 로그 데이터의 복호화를 병렬로 처리할 수 있다.Thereafter, when the replicated log data is delivered, the
예를 들어, 오토 스케일링 그룹(Auto Scaling Group)이 5개의 서버로 구성되어 있고, 로그 데이터를 복호화 하기 위해 처리해야 하는 일의 수가 10,000개인 경우, 중앙 서버(200)는 처리해야 하는 일을 2,000개씩으로 분배하여, 분배된 일을 5개의 병렬 서버로 전달하여 처리하게 함으로써, 로그 데이터의 복호화를 복수의 병렬 서버를 통해 병렬로 처리할 수 있다.For example, if the Auto Scaling Group consists of 5 servers, and the number of tasks to be processed to decrypt log data is 10,000, the
이후, 중앙 서버(200)는 복호화된 로그 데이터를 중앙 서버(200)와 연결된 중앙 서버(200)의 데이터베이스에 저장하도록, 복수의 병렬 서버 및 중앙 서버(200)의 데이터베이스의 동작을 제어할 수 있다.Thereafter, the
예를 들어, 제1 병렬 서버 및 제2 병렬 서버를 통해 로그 데이터의 복호화가 병렬로 처리된 경우, 중앙 서버(200)는 제1 병렬 서버를 통해 복호화된 로그 데이터와 제2 병렬 서버를 통해 복호화된 로그 데이터가 결합되어, 중앙 서버(200)의 데이터베이스에 저장되도록 처리할 수 있다.For example, when decryption of log data is processed in parallel through the first parallel server and the second parallel server, the
즉, 상술한 바와 같이, 로그 데이터의 패킷이 복제되어 중앙 서버(200)로 전달되면, 중앙 서버(200)는 전달된 로그 데이터를 획득하여, 이로부터 쿼리를 뽑아내는 과정을 수행할 수 있다. 이때, 중앙 서버(200)는 쿼리를 뽑아내기 위해 필요한 복호화를 복수의 병렬 서버를 통해 분산 처리되도록 제어하여, 복호화를 분산시켜 병렬로 처리할 수 있다.That is, as described above, when a packet of log data is copied and delivered to the
일실시예에 따르면, 중앙 서버(200)는 클라우드 스토리지에 저장되어 있는 로그 데이터의 파일 중 처리해야 하는 로그 데이터의 파일 리스트를 획득할 수 있다. 즉, 클라우드 스토리지에 저장되어 있는 파일 중 처리해야 할 파일 리스트를 획득할 수 있다.According to an embodiment, the
예를 들어, 클라우드 스토리지에 제1 로그 데이터, 제2 로그 데이터 및 제3 로그 데이터에 대한 파일이 저장되어 있는 경우, 중앙 서버(200)는 제1 로그 데이터, 제2 로그 데이터 및 제3 로그 데이터를 포함하는 파일 리스트를 획득할 수 있다.For example, when files for the first log data, the second log data, and the third log data are stored in the cloud storage, the
중앙 서버(200)는 클라우드 스토리지에 저장되어 있는 모든 로그 데이터의 파일을 처리해야 하는 로그 데이터의 파일 리스트로 획득할 수 있으며, 미리 설정된 기간 이내에 저장된 로그 데이터의 파일만 처리해야 하는 로그 데이터의 파일 리스트로 획득할 수도 있다.The
중앙 서버(200)는 클라우드 스토리지의 저장 용량이 기준 용량 이하로 남아있는 것으로 확인되면, 클라우드 스토리지로부터 처리해야 하는 로그 데이터의 파일 리스트를 획득할 수 있고, 미리 설정된 기간마다 클라우드 스토리지로부터 처리해야 하는 로그 데이터의 파일 리스트를 획득할 수 있다.When it is confirmed that the storage capacity of the cloud storage remains less than or equal to the reference capacity, the
이후, 중앙 서버(200)는 획득된 파일 리스트를 이용하여 처리해야 하는 일의 목록을 생성할 수 있다. 즉, 중앙 서버(200)는 복수의 병렬 서버를 통해 처리해야 할 일의 목록을 생성할 수 있다.Thereafter, the
예를 들어, 파일 리스트에 10,000개의 로그 데이터가 포함되어 있는 경우, 중앙 서버(200)는 10,000개의 로그 데이터에 대한 복호화가 필요하기 때문에, 10,000개의 로그 데이터에 대응하는 10,000개의 일의 목록을 생성할 수 있다.For example, if 10,000 log data is included in the file list, since the
이후, 중앙 서버(200)는 생성된 일의 목록에 포함된 일을 분배하여, 오토 스케일링 그룹을 구성하는 복수의 병렬 서버로, 분배된 일에 대한 처리 요청을 각각 전송할 수 있다. 이때, 오토 스케일링 그룹의 인스턴스가 중앙 서버(200)에 처리해야 하는 일의 목록을 요청할 수 있다. 일의 목록에는 처리해야 하는 파일 리스트와 그 파일들을 복호화 할 때 필요한 키 파일이 저장되어 있어, 중앙 서버(200)는 처리해야 하는 파일 리스트와 키 파일을 분배하여, 복수의 병렬 서버로 전송할 수 있다.Thereafter, the
예를 들어, 1번부터 6,000까지 번호가 설정된 일의 목록이 생성된 경우, 중앙 서버(200)는 1번부터 2,000번까지 일을 제1 작업으로 분배하고, 2,001번부터 4,000번까지 일을 제2 작업으로 분배하고, 4,001번부터 6,000번까지 일을 제3 작업으로 분배할 수 있다. 이후, 중앙 서버(200)는 제1 작업에 대한 처리 요청을 제1 병렬 서버로 전송하고, 제2 작업에 대한 처리 요청을 제2 병렬 서버로 전송하고, 제3 작업에 대한 처리 요청을 제3 서버로 전송할 수 있다.For example, if a list of jobs numbered from 1 to 6,000 is generated, the
이후, 중앙 서버(200)는 분배된 일의 처리에 필요한 로그 데이터의 파일과 키 파일이 클라우드 스토리지로부터 복수의 병렬 서버로 각각 전달되도록 처리하고, 복수의 병렬 서버로 전달된 로그 데이터의 파일과 키 파일을 기초로, 로그 데이터의 복호화 및 패킷 분석이 진행되도록 처리할 수 있다. 즉, 오토 스케일링 그룹의 인스턴스가 일 목록에 명시된 파일과 처리에 필요한 키 파일을 클라우드 스토리지로부터 다운로드 하고, 복수의 병렬 서버는 복호화 및 패킷 분석을 진행할 수 있다. 이때, 패킷 분석은 Wireshark의 Terminal 버전인 Tshark를 사용하여 진행될 수 있다.Thereafter, the
예를 들어, 1번부터 2,000번까지 일이 제1 작업으로 분배되고, 2,001번부터 4,000번까지 일을 제2 작업으로 분배되고, 4,001번부터 6,000번까지 일을 제3 작업으로 분배되어, 제1 작업에 대한 처리가 제1 병렬 서버로 요청되고, 제2 작업에 대한 처리가 제2 병렬 서버로 요청되고, 제3 작업에 대한 처리가 제3 서버로 요청된 경우, 제1 병렬 서버는 제1 작업을 처리하기 위해, 클라우드 스토리지로부터 1번부터 2,000번까지의 로그 데이터 파일 및 키 파일을 획득하여, 1번부터 2,000번까지의 로그 데이터에 대한 복호화 및 패킷 분석을 진행하고, 제2 병렬 서버는 제2 작업을 처리하기 위해, 클라우드 스토리지로부터 2,001번부터 4,000번까지의 로그 데이터 및 키 파일을 획득하여, 2,001번부터 4,000번까지의 로그 데이터에 대한 복호화 및 패킷 분석을 진행하고, 제3 서버는 제3 작업을 처리하기 위해, 클라우드 스토리지로부터 4,001번부터 6,000번까지의 로그 데이터 및 키 파일을 획득하여, 4,001번부터 6,000번까지의 로그 데이터에 대한 복호화 및 패킷 분석을 진행할 수 있다.For example, tasks 1 through 2,000 are distributed as the first task, tasks 2001 through 4,000 are distributed as the second task, tasks 4001 through 6,000 are distributed as the third task, and so on, When the processing for the first job is requested to the first parallel server, the processing for the second job is requested to the second parallel server, and the processing for the third job is requested to the third server, the first parallel server is In order to process 1 task, log data files from 1 to 2,000 and key files are obtained from cloud storage, decryption and packet analysis are performed on log data from 1 to 2,000, and a second parallel server to process the second job, obtains the log data from 2001 to 4,000 and key files from cloud storage, decrypts the log data from 2001 to 4,000, and analyzes the packet, and the third server to process the third task, may obtain log data and key files from number 4,001 to number 6,000 from the cloud storage, and perform decryption and packet analysis on log data number 4,001 to number 6,000.
이후, 중앙 서버(200)는 복수의 병렬 서버를 통해 로그 데이터의 복호화 및 패킷 분석이 진행되면, 로그 데이터의 복호화 및 패킷 분석을 통해 추출된 분석 결과를 중앙 서버(200)의 데이터베이스에 저장할 수 있다. 즉, 분석 결과를 중앙 서버(200)의 데이터베이스에 저장할 수 있다.Thereafter, when decoding and packet analysis of log data are performed through the plurality of parallel servers, the
이후, 중앙 서버(200)는 중앙 서버(200)의 데이터베이스에 저장된 분석 결과를 통해 처리 완료 파일을 확인하고, 클라우드 스토리지에서 처리 완료 파일이 삭제되도록 처리할 수 있다. 즉, 처리 완료된 파일을 클라우드 스토리지에서 삭제할 수 있다.Thereafter, the
예를 들어, 1번부터 6,000번까지의 로그 데이터에 대한 복호화 및 패킷 분석이 완료되어, 1번부터 6,000번까지의 로그 데이터에 대한 분석 결과가 중앙 서버(200)의 데이터베이스에 저장되면, 클라우드 스토리지에 저장되어 있는 1번부터 6,000번까지의 로그 데이터 파일은 삭제 처리될 수 있다.For example, when decryption and packet analysis of log data from Nos. 1 to 6,000 are completed, and the analysis results for log data Nos. 1 to No. 6,000 are stored in the database of the
일실시예에 따르면, 제1 서버(110)와 연결된 외부 단말에 설치되어 있는 접근 프로그램은 제1 서버(110)의 데이터베이스로 DB 변경 요청을 전송할 수 있다. 즉, ERP, 토드 프로그램, DB Log Manager 등 다양한 접근 프로그램들이 복수의 서버(100) 각각으로 요청을 보낼 수 있다.According to an embodiment, the access program installed in the external terminal connected to the
이후, 중앙 서버(200)는 접근 프로그램이 제1 서버(110)로 DB 변경 요청을 전송한 경우, 제1 서버(110)에 설치된 제1 에이전트를 통해, 제1 포트로 전송되는 변경 요청만 필터링하여, 로그 데이터가 패킷으로 캡처되어 파일로 저장되도록 처리할 수 있다. 여기서, 제1 포트는 제1 정책을 통해 연결이 허용되어 있는 포트를 의미할 수 있다.Thereafter, when the access program transmits a DB change request to the
즉, ERP, 토드 프로그램, DB Log Manager 등 다양한 접근 프로그램들이 복수의 서버(100) 각각으로 요청을 보내는 경우, DB 에이전트가 복수의 서버(100) 각각으로 들어오는 모든 패킷을 스니핑(Sniffing) 방식으로 지켜보면서, 데이터베이스 전용 통신 포트(예를 들면, 3306)로 들어오는 요청만을 필터링해서 저장할 수 있다. 이때, DB 에이전트는 Gopacket을 사용하여 패킷의 캡쳐 및 저장을 수행할 수 있으며, 캡처한 패킷을 10,000개씩 pcap 파일 형태로 저장할 수 있다.That is, when various access programs such as ERP, Toad program, DB Log Manager, etc. send a request to each of the plurality of
이후, 중앙 서버(200)는 패킷으로 캡처되어 파일로 저장된 로그 데이터가 제1 에이전트로부터 클라우드 스토리지로 전달되도록 처리할 수 있다. 즉, DB 에이전트가 저장한 pcap 파일을 클라우드 스토리지에 전송할 수 있다.Thereafter, the
일실시예에 따르면, 제1 서버(110)의 데이터베이스는 외부와의 통신 과정에서 사용할 보안 프로토콜(TLS)을 사전에 DB Log에서 사용하는 방식에 맞춰서 프로토콜을 설정해주어야 한다.According to an embodiment, the database of the
DB Log는 데이터베이스 서버의 private key를 사용하여 외부에서 복호화 하는 과정을 필요로 하기 때문에, Diffie-Hellman 방식의 키 교환 방식을 사용하는 암호화 프로토콜은 사용할 수 없다.Since the DB log requires an external decryption process using the database server's private key, the encryption protocol using the Diffie-Hellman key exchange method cannot be used.
Diffie-Hellman 방식은 key가 통신 과정에서 동적으로 생성되기 때문에 외부에서는 복호화 할 수 없는 방식으로, 따라서, “ECDHE” 또는 “DHE”가 들어가는 방식을 제외한 Cipher Suites만 사용되도록 설정해 주는 과정이 필요하다.The Diffie-Hellman method is a method that cannot be decrypted from the outside because the key is dynamically generated during the communication process. Therefore, it is necessary to set only Cipher Suites to be used except for the method in which “ECDHE” or “DHE” is entered.
도 8은 일실시예에 따른 제1 인공 신경망의 학습을 설명하기 위한 도면이다.8 is a diagram for explaining learning of a first artificial neural network according to an embodiment.
일실시예에 따르면, 제1 인공 신경망은 중앙 서버(200) 및 제1 서버(110) 각각에 포함되어 별도로 구성될 수 있고, 하나로 통합되어 구성될 수도 있다.According to an embodiment, the first artificial neural network may be separately configured by being included in each of the
제1 인공 신경망은 서버의 네트워크 연결 상태에 대한 분석 결과를 입력 받은 후, 서버에게 적합한 방화벽 정책을 분석하여 출력하는 알고리즘일 수 있다. 제1 인공 신경망의 학습이 이루어지는 장치는 학습된 제1 인공 신경망을 이용하여 서버에게 적합한 방화벽 정책이 어느 정책인지 분석하는 중앙 서버(200) 또는 제1 서버(110)와 동일한 장치일 수 있고, 별개의 장치일 수도 있다. 이하에서는 제1 인공 신경망이 학습되는 과정을 설명한다.The first artificial neural network may be an algorithm to analyze and output a firewall policy suitable for the server after receiving an analysis result of the network connection state of the server. The device in which the first artificial neural network is learned may be the same device as the
먼저, S801 단계에서, 중앙 서버(200) 또는 제1 서버(110)는 서버의 네트워크 연결 상태에 대한 분석 결과를 기초로 입력을 생성할 수 있다.First, in step S801 , the
구체적으로, 중앙 서버(200) 또는 제1 서버(110)는 서버의 네트워크 연결 상태에 대한 분석 결과에 대해 전처리하는 과정을 수행할 수 있다. 전처리가 수행된 네트워크 연결 상태에 대한 분석 결과를 제1 인공 신경망의 입력으로 그대로 사용하거나, 불필요한 정보를 제거하는 통상의 처리를 거쳐 입력을 생성할 수 있다.Specifically, the
S802 단계에서, 중앙 서버(200) 또는 제1 서버(110)는 제1 인공 신경망에 입력을 적용할 수 있다. 제1 인공 신경망은 강화 학습(reinforcement learning)에 따라 학습되는 인공 신경망일 수 있다. 제1 인공 신경망은 강화 학습을 통해 추상적 추론을 출력하는데 적합한 Q-Network, DQN(Depp Q-Network), 또는 관계형 네트워크(relation network, RL) 구조일 수 있다.In step S802 , the
강화 학습에 따라 학습되는 제1 인공 신경망은 다양한 보상에 평가를 반영하여 갱신 및 최적화될 수 있다. 예를 들어, 제1 보상은 서버의 네트워크 연결 상태를 고려하여 서버에게 적합한 방화벽 정책을 선정할수록 높아질 수 있으며, 제2 보상은 서버의 네트워크 연결 상태를 고려하여 서버에게 적합하지 않은 방화벽 정책을 선정하지 않을수록 높아질 수 있다.The first artificial neural network trained according to reinforcement learning may be updated and optimized by reflecting the evaluation in various rewards. For example, the first reward may increase as a firewall policy suitable for the server is selected in consideration of the server's network connection state, and the second reward does not select a firewall policy that is not suitable for the server in consideration of the server's network connection state. If not, it may be higher.
S803 단계에서, 중앙 서버(200) 또는 제1 서버(110)는 제1 인공 신경망으로부터 출력을 획득할 수 있다. 제1 인공 신경망의 출력은 서버에게 적합한 방화벽 정책에 대한 정보일 수 있다. 이때, 제1 인공 신경망은 서버의 네트워크 연결 상태를 고려하여 서버에게 적합한 방화벽 정책을 선정하여, 서버에게 가장 적합한 방화벽 정책에 대한 정보를 출력할 수 있다.In step S803 , the
S804 단계에서, 중앙 서버(200) 또는 제1 서버(110)는 제1 인공 신경망의 출력을 평가하여 보상을 지급할 수 있다. 이때, 출력의 평가는 제1 보상, 제2 보상 등으로 나뉠 수 있다.In step S804 , the
구체적으로, 중앙 서버(200) 또는 제1 서버(110)는 서버의 네트워크 연결 상태를 고려하여 서버에게 적합한 방화벽 정책을 선정할수록 제1 보상을 많이 수여하고, 서버의 네트워크 연결 상태를 고려하여 서버에게 적합하지 않은 방화벽 정책을 선정하지 않을수록 제2 보상을 많이 수여할 수 있다.Specifically, the
S805 단계에서, 중앙 서버(200) 또는 제1 서버(110)는 평가를 기초로 제1 인공 신경망을 갱신할 수 있다.In step S805, the
구체적으로, 중앙 서버(200) 또는 제1 서버(110)는 제1 인공 신경망이 서버에게 가장 적합한 방화벽 정책을 분석하는 환경(environment)에서, 보상값(reward)들의 합의 기대값(expectation)이 최대화되도록, 특정한 상태(state)들에서 취할 행동(action)들을 결정하는 정책(policy)을 최적화하는 과정을 통해 제1 인공 신경망을 갱신할 수 있다.Specifically, the
예를 들어, 중앙 서버(200) 또는 제1 서버(110)는 제1 서버(110)에게 적합한 방화벽 정책으로 제2 정책을 선정한 것에 대해 문제가 있는 경우, 제2 정책을 선정한 것에 대해 문제가 있음을 나타내는 정보를 포함하는 제1 학습 데이터를 생성하고, 제1 학습 데이터를 제1 인공 신경망에 적용하여, 제1 서버(110)와 유사한 형태를 가지는 다른 서버에게 적합한 방화벽 정책으로 제2 정책이 선정되지 않도록, 제1 인공 신경망을 학습시키는 과정을 통해, 제1 인공 신경망을 갱신할 수 있다.For example, if the
한편, 정책을 최적화하는 과정은 보상들의 합의 기대값의 최대값 또는 Q-함수의 최대값을 추정하거나, Q-함수의 손실 함수(loss function)의 최소값을 추정하는 과정을 통해 이루어질 수 있다. 손실함수의 최소값의 추정은 확률적 경사하강법(stochastic gradient descent, SGD) 등을 통해 이루어질 수 있다. 정책을 최적화하는 과정은 이에 제한되는 것은 아니며, 강화 학습에서 사용하는 다양한 최적화 알고리즘들이 이용될 수 있다.Meanwhile, the process of optimizing the policy may be performed through the process of estimating the maximum value of the expected value of the sum of rewards or the maximum value of the Q-function, or estimating the minimum value of the loss function of the Q-function. Estimation of the minimum value of the loss function may be performed through stochastic gradient descent (SGD) or the like. The process of optimizing the policy is not limited thereto, and various optimization algorithms used in reinforcement learning may be used.
중앙 서버(200) 또는 제1 서버(110)는 상기와 같은 제1 인공 신경망의 학습 과정을 반복함으로써, 제1 인공 신경망을 점진적으로 갱신시킬 수 있다.The
구체적으로, 중앙 서버(200) 또는 제1 서버(110)는 서버에게 적합한 방화벽 정책을 선정하는데 있어, 포워딩 타입, 프로토콜, 외부 허용 IP 주소, 외부 차단 IP 주소, 가상 포트, 운영 포트 등의 항목을 모두 고려하여, 서버에게 가장 적합한 방화벽 정책을 선정한 후, 선정된 방화벽 정책에 대한 정보를 출력하는 제1 인공 신경망을 학습시킬 수 있다.Specifically, the
이를 통해, 중앙 서버(200) 또는 제1 서버(110)는 서버의 네트워크 연결 상태에 대한 분석 결과를 입력 받은 후, 서버에게 적합한 방화벽 정책을 분석하여 출력하는 제1 인공 신경망을 학습시킬 수 있다.Through this, the
즉, 중앙 서버(200) 또는 제1 서버(110)는 서버의 네트워크 연결 상태에 대한 분석 결과를 통해, 서버에게 적합한 방화벽 정책을 분석할 때, 제1 보상, 제2 보상 등을 통한 강화 학습을 반영하여, 분석 기준을 조정함으로써, 제1 인공 신경망을 학습시킬 수 있다.That is, when the
도 9는 일실시예에 따른 제2 인공 신경망의 학습을 설명하기 위한 도면이다.9 is a diagram for explaining learning of a second artificial neural network according to an embodiment.
일실시예에 따르면, 제2 인공 신경망은 서버의 네트워크 트래픽에 대한 모니터링 정보를 입력 받은 후, 서버에 공격으로 추정되는 접근이 감지되었는지 여부에 대한 검출 결과를 출력하는 알고리즘일 수 있다. 제2 인공 신경망의 학습이 이루어지는 장치는 학습된 제2 인공 신경망을 이용하여 서버가 공격을 받았는지 여부를 분석하는 중앙 서버(200)와 동일한 장치일 수 있고, 별개의 장치일 수도 있다. 이하에서는 제2 인공 신경망이 학습되는 과정을 설명한다.According to an embodiment, the second artificial neural network may be an algorithm that receives monitoring information on network traffic of a server and outputs a detection result of whether an approach estimated as an attack is detected to the server. The device for learning the second artificial neural network may be the same device as the
먼저, S901 단계에서, 중앙 서버(200)는 서버의 네트워크 트래픽에 대한 모니터링 정보를 기초로 입력을 생성할 수 있다.First, in step S901 , the
구체적으로, 중앙 서버(200)는 서버의 네트워크 트래픽에 대한 모니터링 정보를 전처리하는 과정을 수행할 수 있다. 전처리가 수행된 서버의 네트워크 트래픽에 대한 모니터링 정보를 제2 인공 신경망의 입력으로 그대로 사용하거나, 불필요한 정보를 제거하는 통상의 처리를 거쳐 입력을 생성할 수 있다.Specifically, the
S902 단계에서, 중앙 서버(200)는 제2 인공 신경망에 입력을 적용할 수 있다. 제2 인공 신경망은 강화 학습(reinforcement learning)에 따라 학습되는 인공 신경망일 수 있다. 제2 인공 신경망은 강화 학습을 통해 추상적 추론을 출력하는데 적합한 Q-Network, DQN(Depp Q-Network), 또는 관계형 네트워크(relation network, RL) 구조일 수 있다.In step S902, the
강화 학습에 따라 학습되는 제2 인공 신경망은 다양한 보상에 평가를 반영하여 갱신 및 최적화될 수 있다. 예를 들어, 제1 보상은 서버의 네트워크 트래픽이 과다하게 발생할수록 서버에 공격으로 추정되는 접근이 감지된 것으로 검출하면 보상값이 높아질 수 있으며, 제2 보상은 동일한 IP 주소로 과다한 접속이 이루어질수록 서버에 공격으로 추정되는 접근이 감지된 것으로 검출하면 보상값이 높아질 수 있다.The second artificial neural network trained according to reinforcement learning may be updated and optimized by reflecting the evaluation in various rewards. For example, the first reward may increase the reward value when it detects that an access estimated as an attack is detected as the server's network traffic is excessively generated. If the server detects that an approach that is presumed to be an attack is detected, the reward value may be increased.
S903 단계에서, 중앙 서버(200)는 제2 인공 신경망으로부터 출력을 획득할 수 있다. 제2 인공 신경망의 출력은 서버에 공격으로 추정되는 접근이 감지되었는지 여부에 대한 검출 결과이다.In step S903, the
제2 인공 신경망은 서버의 네트워크 트래픽에 대한 모니터링 정보를 통해, 서버에 공격으로 추정되는 접근이 감지되었는지 분석하여, 서버에 공격으로 추정되는 접근이 감지되었는지 여부에 대한 검출 결과를 출력할 수 있다.The second artificial neural network may analyze whether an approach estimated as an attack is detected to the server through monitoring information on network traffic of the server, and may output a detection result of whether an approach estimated as an attack is detected to the server.
S904 단계에서, 중앙 서버(200)는 제2 인공 신경망의 출력을 평가하여 보상을 지급할 수 있다. 이때, 출력의 평가는 제1 보상, 제2 보상 등으로 나뉠 수 있다.In step S904 , the
구체적으로, 중앙 서버(200)는 서버의 네트워크 트래픽이 과다하게 발생할수록 서버에 공격으로 추정되는 접근이 감지된 것으로 검출하면 제1 보상을 많이 수여하고, 동일한 IP 주소로 과다한 접속이 이루어질수록 서버에 공격으로 추정되는 접근이 감지된 것으로 검출하면 제2 보상을 많이 수여할 수 있다.Specifically, the
S905 단계에서, 중앙 서버(200)는 평가를 기초로 제2 인공 신경망을 갱신할 수 있다.In step S905, the
구체적으로, 중앙 서버(200)는 제2 인공 신경망이 서버의 네트워크 트래픽에 대한 모니터링 정보를 통해 서버에 공격으로 추정되는 접근이 감지되었는지 여부를 분석하는 환경(environment)에서, 보상값(reward)들의 합의 기대값(expectation)이 최대화되도록, 특정한 상태(state)들에서 취할 행동(action)들을 결정하는 정책(policy)을 최적화하는 과정을 통해 제2 인공 신경망을 갱신할 수 있다.Specifically, the
한편, 정책을 최적화하는 과정은 보상들의 합의 기대값의 최대값 또는 Q-함수의 최대값을 추정하거나, Q-함수의 손실 함수(loss function)의 최소값을 추정하는 과정을 통해 이루어질 수 있다. 손실함수의 최소값의 추정은 확률적 경사하강법(stochastic gradient descent, SGD) 등을 통해 이루어질 수 있다. 정책을 최적화하는 과정은 이에 제한되는 것은 아니며, 강화 학습에서 사용하는 다양한 최적화 알고리즘들이 이용될 수 있다.Meanwhile, the process of optimizing the policy may be performed through the process of estimating the maximum value of the expected value of the sum of rewards or the maximum value of the Q-function, or estimating the minimum value of the loss function of the Q-function. Estimation of the minimum value of the loss function may be performed through stochastic gradient descent (SGD) or the like. The process of optimizing the policy is not limited thereto, and various optimization algorithms used in reinforcement learning may be used.
중앙 서버(200)는 상기와 같은 제2 인공 신경망의 학습 과정을 반복함으로써, 제2 인공 신경망을 점진적으로 갱신시킬 수 있다. 이를 통해, 중앙 서버(200)는 서버의 네트워크 트래픽에 대한 모니터링 정보를 통해, 서버에 공격으로 추정되는 접근이 감지되었는지 여부에 대한 검출 결과를 출력하는 제2 인공 신경망을 학습시킬 수 있다.The
즉, 중앙 서버(200)는 서버의 네트워크 트래픽에 대한 모니터링 정보를 통해 서버에 공격으로 추정되는 접근이 감지되었는지 여부에 대해 분석할 때, 제1 보상, 제2 보상 등을 통한 강화 학습을 반영하여, 분석 기준을 조정함으로써, 제2 인공 신경망을 학습시킬 수 있다.That is, the
도 10은 일실시예에 따른 장치의 구성의 예시도이다.10 is an exemplary diagram of a configuration of an apparatus according to an embodiment.
일실시예에 따른 장치(1000)는 프로세서(1001) 및 메모리(1002)를 포함한다. 프로세서(1001)는 도 1 내지 도 9를 참조하여 전술된 적어도 하나의 장치들을 포함하거나, 도 1 내지 도 9를 참조하여 전술된 적어도 하나의 방법을 수행할 수 있다. 구체적으로, 장치(1000)는 서버, 사용자 단말, 또는 인공 신경망의 학습 장치 등일 수 있다. 장치(1000)를 이용하는 자 또는 단체는 도 1 내지 도 9를 참조하여 전술된 방법들 일부 또는 전부와 관련된 서비스를 제공할 수 있다.The
메모리(1002)는 전술된 방법들과 관련된 정보를 저장하거나 후술되는 방법들이 구현된 프로그램을 저장할 수 있다. 메모리(1002)는 휘발성 메모리 또는 비휘발성 메모리일 수 있다.The
프로세서(1001)는 프로그램을 실행하고, 장치(1000)를 제어할 수 있다. 프로세서(1001)에 의하여 실행되는 프로그램의 코드는 메모리(1002)에 저장될 수 있다. 장치(1000)는 입출력 장치(도면 미 표시)를 통하여 외부 장치(예를 들어, 퍼스널 컴퓨터 또는 네트워크)에 연결되고, 유무선 통신을 통해 데이터를 교환할 수 있다.The
장치(1000)는 인공 신경망을 학습시키거나, 학습된 인공 신경망을 이용하는데 사용될 수 있다. 메모리(1002)는 학습 중인 또는 학습된 인공 신경망을 포함할 수 있다. 프로세서(1001)는 메모리(1002)에 저장된 인공 신경망 알고리즘을 학습시키거나 실행시킬 수 있다. 인공 신경망을 학습시키는 장치(1000)와 학습된 인공 신경망을 이용하는 장치(1000)는 동일할 수도 있고 개별적일 수도 있다.The
이상에서 설명된 실시예들은 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치, 방법 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The embodiments described above may be implemented by a hardware component, a software component, and/or a combination of a hardware component and a software component. For example, the apparatus, methods and components described in the embodiments may include, for example, a processor, a controller, an arithmetic logic unit (ALU), a digital signal processor, a microcomputer, a field programmable gate (FPGA). array), a programmable logic unit (PLU), a microprocessor, or any other device capable of executing and responding to instructions, may be implemented using one or more general purpose or special purpose computers. The processing device may execute an operating system (OS) and one or more software applications running on the operating system. The processing device may also access, store, manipulate, process, and generate data in response to execution of the software. For convenience of understanding, although one processing device is sometimes described as being used, one of ordinary skill in the art will recognize that the processing device includes a plurality of processing elements and/or a plurality of types of processing elements. It can be seen that may include For example, the processing device may include a plurality of processors or one processor and one controller. Other processing configurations are also possible, such as parallel processors.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method according to the embodiment may be implemented in the form of program instructions that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, etc. alone or in combination. The program instructions recorded on the medium may be specially designed and configured for the embodiment, or may be known and available to those skilled in the art of computer software. Examples of the computer-readable recording medium include magnetic media such as hard disks, floppy disks and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic such as floppy disks. - includes magneto-optical media, and hardware devices specially configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine language codes such as those generated by a compiler, but also high-level language codes that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.The software may comprise a computer program, code, instructions, or a combination of one or more thereof, which configures a processing device to operate as desired or is independently or collectively processed You can command the device. The software and/or data may be any kind of machine, component, physical device, virtual equipment, computer storage medium or device, to be interpreted by or to provide instructions or data to the processing device. , or may be permanently or temporarily embody in a transmitted signal wave. The software may be distributed over networked computer systems and stored or executed in a distributed manner. Software and data may be stored in one or more computer-readable recording media.
이상과 같이 실시예들이 비록 한정된 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기를 기초로 다양한 기술적 수정 및 변형을 적용할 수 있다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.As described above, although the embodiments have been described with reference to the limited drawings, those skilled in the art may apply various technical modifications and variations based on the above. For example, the described techniques are performed in a different order than the described method, and/or the described components of the system, structure, apparatus, circuit, etc. are combined or combined in a different form than the described method, or other components Or substituted or substituted by equivalents may achieve an appropriate result.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 청구범위의 범위에 속한다.Therefore, other implementations, other embodiments, and equivalents to the claims are also within the scope of the following claims.
Claims (5)
상기 중앙 서버와 내부망을 통해 연결된 복수의 서버 중 어느 하나인 제1 서버로부터, 상기 제1 서버의 운영체제 정보 및 상기 제1 서버의 네트워크 설정 정보를 수신하는 단계;
상기 제1 서버의 운영체제 정보 및 상기 제1 서버의 네트워크 설정 정보를 기초로, 상기 제1 서버의 네트워크 연결 상태를 분석하는 단계;
상기 제1 서버의 네트워크 연결 상태에 대한 분석 결과를 상기 중앙 서버 내의 제1 인공 신경망에 적용하여, 상기 제1 인공 신경망의 출력을 기초로, 상기 제1 서버에게 적합한 방화벽 정책을 선정하는 단계;
상기 제1 서버에게 적합한 방화벽 정책으로 제1 정책이 선정되면, 상기 제1 서버의 방화벽 정책에 상기 제1 정책이 포함되어 있는지 여부를 확인하는 단계;
상기 제1 서버의 방화벽 정책에 상기 제1 정책이 포함되어 있지 않은 것으로 확인되면, 상기 제1 서버의 방화벽 정책에 상기 제1 정책을 추가하여 등록하는 단계;
상기 제1 서버의 방화벽 정책에 상기 제1 정책이 추가로 등록되면, 상기 제1 서버의 방화벽 정책에 대한 설정 변경 명령을 상기 제1 서버로 전송하여, 상기 제1 정책이 상기 제1 서버의 방화벽 정책으로 설정되도록 제어하는 단계;
상기 제1 서버로부터 상기 제1 서버의 네트워크 트래픽에 대한 모니터링 정보를 수신하는 단계;
상기 제1 서버의 네트워크 트래픽에 대한 모니터링 정보를 상기 중앙 서버 내의 제2 인공 신경망에 적용하여, 상기 제2 인공 신경망의 출력을 기초로, 상기 제1 서버에 공격으로 추정되는 접근이 감지되었는지 여부를 검출하는 단계;
미리 설정된 기준 기간 동안 상기 제1 서버에 공격으로 추정되는 접근이 몇 번 감지되었는지 확인하여, 상기 제1 서버가 상기 기준 기간 동안 공격받은 횟수인 제1 공격 횟수를 산출하는 단계;
상기 제1 공격 횟수가 미리 설정된 제1 기준 횟수 보다 적은지 여부를 확인하는 단계;
상기 제1 공격 횟수가 상기 제1 기준 횟수 보다 적은 것으로 확인되면, 상기 제1 서버의 상태를 정상 상태로 판단하는 단계;
상기 제1 공격 횟수가 상기 제1 기준 횟수 보다 많은 것으로 확인되면, 상기 제1 공격 횟수가 미리 설정된 제2 기준 횟수 보다 적은지 여부를 확인하는 단계;
상기 제1 공격 횟수가 상기 제2 기준 횟수 보다 적은 것으로 확인되면, 상기 제1 서버의 상태를 경고 상태로 판단하는 단계;
상기 제1 공격 횟수가 상기 제2 기준 횟수 보다 많은 것으로 확인되면, 상기 제1 서버의 상태를 위험 상태로 판단하는 단계;
상기 제1 서버의 상태가 경고 상태로 판단되면, 상기 제1 서버의 공격을 경고하는 알림 메시지를 상기 제1 서버의 관리자로 등록되어 있는 제1 관리자 단말로 전송하는 단계; 및
상기 제1 서버의 상태가 위험 상태로 판단되면, 상기 제1 정책을 통해 연결이 허용되어 있는 제1 포트의 연결 차단 명령을 상기 제1 서버로 전송하여, 상기 제1 서버에서 상기 제1 포트를 통한 연결이 차단되도록 제어하는 단계를 포함하는,
인공지능 기반 호스트 방화벽의 정책 설정 제어 방법.In the method of controlling the policy setting of the host firewall based on artificial intelligence, performed by a central server,
receiving operating system information of the first server and network setting information of the first server from a first server that is any one of a plurality of servers connected to the central server through an internal network;
analyzing a network connection state of the first server based on the operating system information of the first server and the network setting information of the first server;
applying an analysis result of the network connection state of the first server to a first artificial neural network in the central server, and selecting a firewall policy suitable for the first server based on the output of the first artificial neural network;
when a first policy is selected as a firewall policy suitable for the first server, checking whether the first policy is included in the firewall policy of the first server;
if it is confirmed that the first policy is not included in the firewall policy of the first server, adding and registering the first policy to the firewall policy of the first server;
When the first policy is additionally registered in the firewall policy of the first server, a setting change command for the firewall policy of the first server is transmitted to the first server, so that the first policy is applied to the firewall of the first server controlling to be set as a policy;
receiving monitoring information on network traffic of the first server from the first server;
By applying monitoring information on network traffic of the first server to a second artificial neural network in the central server, based on the output of the second artificial neural network, it is determined whether an approach estimated as an attack is detected to the first server. detecting;
calculating the number of first attacks, which is the number of times that the first server has been attacked during the reference period, by checking how many times the access estimated as an attack is detected by the first server during a preset reference period;
checking whether the first number of attacks is less than a preset first reference number;
determining the state of the first server as a normal state when it is confirmed that the first number of attacks is less than the first reference number;
when it is confirmed that the first number of attacks is greater than the first reference number, determining whether the first number of attacks is less than a preset second reference number;
determining the state of the first server as a warning state when it is confirmed that the first number of attacks is less than the second reference number;
determining the state of the first server as a critical state when it is confirmed that the first number of attacks is greater than the second reference number;
transmitting a notification message warning of an attack of the first server to a first administrator terminal registered as an administrator of the first server when the state of the first server is determined to be a warning state; and
If it is determined that the state of the first server is in a critical state, a connection blocking command of the first port that is allowed to be connected through the first policy is transmitted to the first server, and the first server receives the first port Including the step of controlling the connection through the blocking,
How to control policy settings for an AI-based host firewall.
상기 제1 정책이 상기 제1 서버의 방화벽 정책으로 설정되도록 제어하는 단계 이후,
상기 복수의 서버 중 제1 운영체제의 환경으로 운영되는 서버들을 제1 그룹으로 분류하는 단계;
상기 제1 그룹으로 분류된 서버 중 제1 포트로 연결되어 통신을 수행하는 서버들을 제1-1 그룹으로 분류하는 단계;
상기 제1 서버 및 제2 서버가 상기 제1-1 그룹으로 분류된 경우, 상기 제2 서버의 방화벽 정책에 상기 제1 정책이 포함되어 있는지 여부를 확인하는 단계;
상기 제2 서버의 방화벽 정책에 상기 제1 정책이 포함되어 있지 않은 것으로 확인되면, 상기 제2 서버의 방화벽 정책에 상기 제1 정책을 추가하여 등록하는 단계; 및
상기 제2 서버의 방화벽 정책에 상기 제1 정책이 추가로 등록되면, 상기 제2 서버의 방화벽 정책에 대한 설정 변경 명령을 상기 제2 서버로 전송하여, 상기 제1 정책이 상기 제2 서버의 방화벽 정책으로 설정되도록 제어하는 단계를 더 포함하는,
인공지능 기반 호스트 방화벽의 정책 설정 제어 방법.The method of claim 1,
After the step of controlling the first policy to be set as the firewall policy of the first server,
classifying servers operating in an environment of a first operating system among the plurality of servers into a first group;
classifying servers that are connected to a first port and perform communication among the servers classified into the first group into a 1-1 group;
when the first server and the second server are classified into the 1-1 group, checking whether the first policy is included in the firewall policy of the second server;
if it is confirmed that the first policy is not included in the firewall policy of the second server, adding and registering the first policy to the firewall policy of the second server; and
When the first policy is additionally registered in the firewall policy of the second server, a setting change command for the firewall policy of the second server is transmitted to the second server, so that the first policy is applied to the firewall of the second server Further comprising the step of controlling to be set as a policy,
How to control policy settings for an AI-based host firewall.
상기 제1 정책이 상기 제1 서버의 방화벽 정책으로 설정되도록 제어하는 단계 이후,
상기 제1 서버의 방화벽 정책에 상기 제1 정책 및 제2 정책이 등록되어 있는 경우, 상기 제1 정책을 통해 연결이 허용되어 있는 IP 주소의 리스트인 제1 리스트와 상기 제2 정책을 통해 연결이 허용되어 있는 IP 주소의 리스트인 제2 리스트를 확인하는 단계;
상기 제1 리스트 및 상기 제2 리스트를 비교한 결과, 상기 제1 리스트가 상기 제2 리스트 보다 허용 범위가 넓은 것으로 확인되면, 상기 제1 정책의 우선순위를 1순위로 설정하고, 상기 제2 정책의 우선순위를 2순위로 설정하는 단계;
상기 제1 리스트 및 상기 제2 리스트를 비교한 결과, 상기 제1 리스트가 상기 제2 리스트 보다 허용 범위가 좁은 것으로 확인되면, 상기 제1 정책의 우선순위를 2순위로 설정하고, 상기 제2 정책의 우선순위를 1순위로 설정하는 단계;
상기 제1 리스트 및 상기 제2 리스트를 비교한 결과, 상기 제1 리스트 및 상기 제2 리스트의 허용 범위가 동일한 것으로 확인되면, 상기 제1 정책을 통해 연결이 차단되어 있는 IP 주소의 리스트인 제3 리스트와 상기 제2 정책을 통해 연결이 차단되어 있는 IP 주소의 리스트인 제4 리스트를 확인하는 단계;
상기 제3 리스트 및 상기 제4 리스트를 비교한 결과, 상기 제3 리스트가 상기 제4 리스트 보다 차단 범위가 좁은 것으로 확인되면, 상기 제1 정책의 우선순위를 1순위로 설정하고, 상기 제2 정책의 우선순위를 2순위로 설정하는 단계; 및
상기 제3 리스트 및 상기 제4 리스트를 비교한 결과, 상기 제3 리스트가 상기 제4 리스트 보다 차단 범위가 넓은 것으로 확인되면, 상기 제1 정책의 우선순위를 2순위로 설정하고, 상기 제2 정책의 우선순위를 1순위로 설정하는 단계를 더 포함하는,
인공지능 기반 호스트 방화벽의 정책 설정 제어 방법.The method of claim 1,
After the step of controlling the first policy to be set as the firewall policy of the first server,
When the first policy and the second policy are registered in the firewall policy of the first server, the connection is made through the first list and the second policy, which is a list of IP addresses that are allowed to connect through the first policy. checking a second list that is a list of allowed IP addresses;
As a result of comparing the first list and the second list, if it is confirmed that the first list has a wider allowable range than the second list, the priority of the first policy is set as the first priority, and the second policy setting the priority of the to second priority;
As a result of comparing the first list and the second list, if it is confirmed that the first list has a narrower allowable range than the second list, the priority of the first policy is set to the second priority, and the second policy setting the priority of
As a result of comparing the first list and the second list, if it is confirmed that the allowable ranges of the first list and the second list are the same, the third list of IP addresses whose connection is blocked through the first policy checking the list and a fourth list that is a list of IP addresses whose connection is blocked through the second policy;
As a result of comparing the third list and the fourth list, if it is confirmed that the third list has a narrower blocking range than the fourth list, the priority of the first policy is set as the first priority, and the second policy setting the priority of the to second priority; and
As a result of comparing the third list and the fourth list, if it is confirmed that the third list has a wider blocking range than the fourth list, the priority of the first policy is set to the second priority, and the second policy is Further comprising the step of setting the priority of
How to control policy settings for an AI-based host firewall.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020220017343A KR102430988B1 (en) | 2022-02-10 | 2022-02-10 | Method, device and system for controlling policy setting of host firewall based on artificial intelligence |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020220017343A KR102430988B1 (en) | 2022-02-10 | 2022-02-10 | Method, device and system for controlling policy setting of host firewall based on artificial intelligence |
Publications (1)
Publication Number | Publication Date |
---|---|
KR102430988B1 true KR102430988B1 (en) | 2022-08-11 |
Family
ID=82803477
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020220017343A KR102430988B1 (en) | 2022-02-10 | 2022-02-10 | Method, device and system for controlling policy setting of host firewall based on artificial intelligence |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102430988B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102570245B1 (en) * | 2022-10-19 | 2023-08-24 | 한국전자기술연구원 | AI-based autonomous control method and system for IT infrastructure |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101415850B1 (en) | 2012-11-30 | 2014-07-09 | 한국전자통신연구원 | Apparatus and method for checking firewall policy |
KR20210068968A (en) * | 2019-12-02 | 2021-06-10 | (주)아스트론시큐리티 | Method to management operating system image for security and internet server using the methods |
KR102280774B1 (en) | 2019-12-27 | 2021-07-22 | (주)모니터랩 | Automated web firewall policy establishment apparatus and method through profiling log analysis |
KR20210106896A (en) * | 2020-02-21 | 2021-08-31 | 주식회사 에이치엠아이(HMI Inc.) | System for managing security control and method thereof |
KR102312019B1 (en) | 2020-10-20 | 2021-10-12 | 현대오토에버 주식회사 | Firewall control device and firewall policy management system including the same |
KR102333028B1 (en) | 2017-10-19 | 2021-11-29 | 삼성에스디에스 주식회사 | Apparatus and method for controling firewall policy |
-
2022
- 2022-02-10 KR KR1020220017343A patent/KR102430988B1/en active IP Right Grant
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101415850B1 (en) | 2012-11-30 | 2014-07-09 | 한국전자통신연구원 | Apparatus and method for checking firewall policy |
KR102333028B1 (en) | 2017-10-19 | 2021-11-29 | 삼성에스디에스 주식회사 | Apparatus and method for controling firewall policy |
KR20210068968A (en) * | 2019-12-02 | 2021-06-10 | (주)아스트론시큐리티 | Method to management operating system image for security and internet server using the methods |
KR102280774B1 (en) | 2019-12-27 | 2021-07-22 | (주)모니터랩 | Automated web firewall policy establishment apparatus and method through profiling log analysis |
KR20210106896A (en) * | 2020-02-21 | 2021-08-31 | 주식회사 에이치엠아이(HMI Inc.) | System for managing security control and method thereof |
KR102312019B1 (en) | 2020-10-20 | 2021-10-12 | 현대오토에버 주식회사 | Firewall control device and firewall policy management system including the same |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102570245B1 (en) * | 2022-10-19 | 2023-08-24 | 한국전자기술연구원 | AI-based autonomous control method and system for IT infrastructure |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10095552B2 (en) | Automated transfer of objects among federated areas | |
US10360069B2 (en) | Automated transfer of neural network definitions among federated areas | |
US10338993B1 (en) | Analysis of failures in combinatorial test suite | |
EP3757843B1 (en) | Security monitoring platform for managing access rights associated with cloud applications | |
US20180103052A1 (en) | System and methods for automated detection, reasoning and recommendations for resilient cyber systems | |
US11176508B2 (en) | Minimizing compliance risk using machine learning techniques | |
KR102430988B1 (en) | Method, device and system for controlling policy setting of host firewall based on artificial intelligence | |
Keren et al. | Goal recognition design-survey | |
Zegzhda et al. | Approaches to modeling the security of cyberphysical systems | |
US20220309155A1 (en) | Defending against adversarial queries in a data governance system | |
Nijim et al. | Secure-stor: A novel hybrid storage system architecture to enhance security and performance in edge computing | |
KR102429832B1 (en) | Method, device and system for providing remote access service based on analysis of network environment | |
KR102472800B1 (en) | Artificial intelligence-based enterprise rating method, device and system | |
D Marković-Petrović | A model for dynamic cyber security risk assessment in the industrial IoT environment | |
Levonevskiy et al. | Providing availability of the smart space services by means of incoming data control methods | |
KR102453919B1 (en) | Method, device and system for verifying of guide soundtrack related to cultural content based on artificial intelligence | |
Radhakrishnan et al. | Research Article Trusted Virtual Machine Allocation in Cloud Computing IaaS Service | |
Ghosh et al. | Machine learning for fog computing-based iot networks in smart city environment | |
Nandhini et al. | Integration of Big Data Analytics Into Cyber‐Physical Systems | |
Bedi et al. | Trust-based access control for collaborative systems | |
Pavlenko et al. | Ensuring cyber resilience of large-scale network infrastructure using the ant algorithm | |
KR102500172B1 (en) | Method, control device and system for synchronizing memory between device | |
KR102451127B1 (en) | Method, device and system for providing management strategy of company based on pay stub information of company | |
US11916773B1 (en) | Data center monitoring and management operation including data center analytics outlier detection operation | |
Silva et al. | Optimal strategies for managing complex authentication systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |