KR102531376B1 - System for monitoring information security and network security based on network connection and method thereof - Google Patents

System for monitoring information security and network security based on network connection and method thereof Download PDF

Info

Publication number
KR102531376B1
KR102531376B1 KR1020220095320A KR20220095320A KR102531376B1 KR 102531376 B1 KR102531376 B1 KR 102531376B1 KR 1020220095320 A KR1020220095320 A KR 1020220095320A KR 20220095320 A KR20220095320 A KR 20220095320A KR 102531376 B1 KR102531376 B1 KR 102531376B1
Authority
KR
South Korea
Prior art keywords
terminal
network
information
monitoring device
user
Prior art date
Application number
KR1020220095320A
Other languages
Korean (ko)
Inventor
박기호
이현재
Original Assignee
(주)트라이언아이앤씨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)트라이언아이앤씨 filed Critical (주)트라이언아이앤씨
Priority to KR1020220095320A priority Critical patent/KR102531376B1/en
Application granted granted Critical
Publication of KR102531376B1 publication Critical patent/KR102531376B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

본 발명은 망연계 기반의 정보와 네트워크 보안 관제 시스템 및 그 방법을 개시한다. 즉, 본 발명은 접속을 시도하는 단말과 관련한 사용자 로그, 사용자 데이터 등을 수집하고, 수집된 사용자 로그, 사용자 데이터 등을 분석하여 사용자 행동 패턴을 생성하고, 생성된 사용자 행동 패턴이 비정상 행동 패턴으로 확인되는 경우 해당 단말의 접속을 강제로 차단함으로써, 고객사의 운영 환경에 맞는 정보 보안 컨설팅을 통해 최상의 정보 보안 환경과 편의성 높은 운영 및 업무 환경을 제공할 수 있다.The present invention discloses a network connection-based information and network security control system and method. That is, the present invention collects user logs, user data, etc. related to a terminal attempting access, analyzes the collected user logs, user data, etc. to create a user behavior pattern, and the generated user behavior pattern turns into an abnormal behavior pattern. If it is confirmed, by forcibly blocking the access of the corresponding terminal, it is possible to provide the best information security environment and highly convenient operation and work environment through information security consulting suitable for the customer's operating environment.

Description

망연계 기반의 정보와 네트워크 보안 관제 시스템 및 그 방법{System for monitoring information security and network security based on network connection and method thereof}System for monitoring information security and network security based on network connection and method thereof}

본 발명은 망연계 기반의 정보와 네트워크 보안 관제 시스템 및 그 방법에 관한 것으로서, 특히 접속을 시도하는 단말과 관련한 사용자 로그, 사용자 데이터 등을 수집하고, 수집된 사용자 로그, 사용자 데이터 등을 분석하여 사용자 행동 패턴을 생성하고, 생성된 사용자 행동 패턴이 비정상 행동 패턴으로 확인되는 경우 해당 단말의 접속을 강제로 차단하는 망연계 기반의 정보와 네트워크 보안 관제 시스템 및 그 방법에 관한 것이다.The present invention relates to a network connection-based information and network security control system and method, and in particular, collects user logs and user data related to a terminal attempting access, analyzes the collected user logs and user data, and A network connection-based information and network security control system and method for generating a behavior pattern and forcibly blocking access of a corresponding terminal when the generated user behavior pattern is identified as an abnormal behavior pattern.

네트워크 보안은 사용 권한이 없는 사용자의 네트워크에 대한 접속을 막고, 우연 또는 의도적인 방법에 의한 접근을 막는 수단을 통틀어 나타낸다.Network security refers to the means of preventing unauthorized users from accessing the network and preventing access by accidental or intentional methods.

이러한 네트워크 보안은 해킹 시도에 대응하여 사내망을 보호하기 위해 중요한 이슈로 처리된다.Such network security is treated as an important issue to protect the company network against hacking attempts.

한국공개번호 제10-2020-0098181호 [제목: 통합 보안 네트워크 카드에 의한 네트워크 보안 시스템]Korean Publication No. 10-2020-0098181 [Title: Network Security System by Integrated Security Network Card]

본 발명의 목적은 접속을 시도하는 단말과 관련한 사용자 로그, 사용자 데이터 등을 수집하고, 수집된 사용자 로그, 사용자 데이터 등을 분석하여 사용자 행동 패턴을 생성하고, 생성된 사용자 행동 패턴이 비정상 행동 패턴으로 확인되는 경우 해당 단말의 접속을 강제로 차단하는 망연계 기반의 정보와 네트워크 보안 관제 시스템 및 그 방법을 제공하는 데 있다.An object of the present invention is to collect user logs, user data, etc. related to a terminal attempting access, analyze the collected user logs, user data, etc. to create a user behavior pattern, and the generated user behavior pattern turns into an abnormal behavior pattern. It is to provide a network connection-based information and network security control system and method for forcibly blocking the access of the corresponding terminal when confirmed.

본 발명의 다른 목적은 망 분리된 사내망에 연결된 복수의 단말 중에서 특정 단말에서 바이러스, 디도스 공격, 해킹 시도 등이 감지되는 경우, 해당 특정 단말과 관련한 사내망에 연결된 전체 복수의 단말을 대상으로 해당 바이러스, 디도스 공격, 해킹 시도 등에 대응하는 패치 프로그램을 강제로 설치하는 망연계 기반의 정보와 네트워크 보안 관제 시스템 및 그 방법을 제공하는 데 있다.Another object of the present invention is to detect a virus, DDoS attack, hacking attempt, etc. in a specific terminal among a plurality of terminals connected to a network-separated internal network, targeting all the plurality of terminals connected to the internal network related to the specific terminal. It is to provide a network connection-based information and network security control system and method for forcibly installing a patch program in response to a corresponding virus, DDoS attack, hacking attempt, etc.

본 발명의 또 다른 목적은 외부 단말에서 망 분리된 사내망에 연결된 복수의 단말 중에서 다른 단말에 대한 접속을 시도하는 경우, 해당 단말에 대한 인증 수행 후, 해당 단말의 로그 기록을 블록체인에 등록하고, 해당 단말에서 다른 단말로 업로드하거나 다운로드하는 파일을 IPFS에 분산 저장하는 망연계 기반의 정보와 네트워크 보안 관제 시스템 및 그 방법을 제공하는 데 있다.Another object of the present invention is to, when an external terminal attempts to access another terminal among a plurality of terminals connected to a network-separated internal network, register the log record of the terminal in the block chain after performing authentication on the terminal To provide a network connection-based information and network security control system and method for distributing and storing files uploaded or downloaded from a corresponding terminal to another terminal in IPFS.

본 발명의 실시예에 따른 망연계 기반의 정보와 네트워크 보안 관제 시스템은 외부망에 연결된 다른 단말로의 접속을 시도하는 내부망에 연결된 복수의 단말 중 특정 단말; 및 상기 특정 단말과 관련한 사용자 로그 및 사용자 데이터를 수집하고, 상기 수집된 특정 단말의 사용자와 관련한 사용자 로그 및 사용자 데이터를 분석하여 상기 특정 단말의 사용자와 관련한 사용자 행동 패턴을 생성하고, 상기 사용자 행동 패턴이 정상 행동 패턴이 아닐 때, 상기 특정 단말에서의 접속 시도가 비정상적인 것으로 확인하고, 상기 특정 단말에서 다른 단말로의 접속을 차단하는 모니터링 장치를 포함할 수 있다.A network connection-based information and network security control system according to an embodiment of the present invention includes a specific terminal among a plurality of terminals connected to an internal network attempting access to another terminal connected to an external network; and collecting user logs and user data related to the specific terminal, analyzing the collected user logs and user data related to the user of the specific terminal to generate a user behavior pattern related to the user of the specific terminal, and generating the user behavior pattern When the behavior pattern is not normal, a monitoring device may be configured to determine that an access attempt in the specific terminal is abnormal and to block access from the specific terminal to other terminals.

본 발명과 관련된 일 예로서 상기 사용자 로그는, 상기 특정 단말의 IP 주소, 접속하고자 하는 목적지 IP 주소, 접속 날짜 및 시각 정보 및, 상기 특정 단말에서 실행 중인 앱 정보 중 적어도 하나를 포함하고, 상기 사용자 데이터는, 상기 특정 단말의 사용자와 관련한 출근 시각 정보, 퇴근 시각 정보, 연차 정보, 반차 정보 및 출장 정보 중 적어도 하나를 포함할 수 있다.As an example related to the present invention, the user log includes at least one of an IP address of the specific terminal, a destination IP address to be accessed, access date and time information, and information on an app running in the specific terminal, and The data may include at least one of attendance time information, leave time information, annual leave information, class information, and business trip information related to the user of the specific terminal.

본 발명의 실시예에 따른 망연계 기반의 정보와 네트워크 보안 관제 방법은 모니터링 장치에 의해, 내부망에 연결된 복수의 단말 중 특정 단말에서 외부망에 연결된 다른 단말로의 접속을 시도할 때, 상기 특정 단말과 관련한 사용자 로그 및 사용자 데이터를 수집하는 단계; 상기 모니터링 장치에 의해, 상기 수집된 특정 단말의 사용자와 관련한 사용자 로그 및 사용자 데이터를 분석하여, 상기 특정 단말의 사용자와 관련한 사용자 행동 패턴을 생성하는 단계; 및 상기 사용자 행동 패턴이 정상 행동 패턴이 아닐 때, 상기 모니터링 장치에 의해, 상기 특정 단말에서의 접속 시도가 비정상적인 것으로 확인하고, 상기 특정 단말에서 다른 단말로의 접속을 차단하는 단계를 포함할 수 있다.In the network connection-based information and network security control method according to an embodiment of the present invention, when a specific terminal among a plurality of terminals connected to an internal network attempts to access another terminal connected to an external network by a monitoring device, the specific Collecting user logs and user data related to the terminal; generating a user behavior pattern related to the user of the specific terminal by analyzing the collected user log and user data related to the user of the specific terminal by the monitoring device; and when the user behavior pattern is not a normal behavior pattern, confirming, by the monitoring device, that an access attempt in the specific terminal is abnormal, and blocking access from the specific terminal to other terminals. .

본 발명과 관련된 일 예로서 상기 특정 단말의 사용자와 관련한 사용자 행동 패턴을 생성하는 단계는, 상기 수집된 특정 단말의 사용자와 관련한 사용자 로그 및 사용자 데이터를 미리 학습된 사용자 행동 패턴 분석 모델의 입력값으로 하여 기계 학습을 수행하고, 기계 학습 결과 근거로 상기 특정 단말의 사용자와 관련한 사용자 행동 패턴을 생성할 수 있다.As an example related to the present invention, in the step of generating a user behavior pattern related to the user of the specific terminal, the collected user log and user data related to the user of the specific terminal are used as input values of a pre-learned user behavior pattern analysis model. Accordingly, machine learning may be performed, and a user behavior pattern related to the user of the specific terminal may be generated based on the machine learning result.

본 발명과 관련된 일 예로서 상기 모니터링 장치에 의해, 통신망을 통해 송수신되는 복수의 패킷을 수집하는 단계; 및 상기 모니터링 장치에 의해, 상기 수집된 복수의 패킷을 근거로 상기 특정 단말에 대한 바이러스 감염/유포, 디도스 공격 및 해킹 시도 중 적어도 하나가 감지될 때, 상기 특정 단말과 관련한 내부망에 연결된 전체 복수의 단말을 대상으로 상기 바이러스 감염/유포, 디도스 공격 및 해킹 시도 중 적어도 하나에 대응하는 패치 프로그램을 강제로 설치하는 단계를 더 포함할 수 있다.Collecting a plurality of packets transmitted and received through a communication network by the monitoring device as an example related to the present invention; and when at least one of virus infection/distribution, DDoS attack, and hacking attempt for the specific terminal is detected by the monitoring device based on the collected plurality of packets, all connected to the internal network related to the specific terminal The method may further include forcibly installing a patch program corresponding to at least one of virus infection/distribution, DDoS attack, and hacking attempt to a plurality of terminals.

본 발명과 관련된 일 예로서 상기 모니터링 장치에 의해, 통신망을 통해 송수신되는 복수의 패킷을 수집하는 단계; 상기 모니터링 장치에 의해, 상기 수집된 복수의 패킷을 근거로 네트워크 환경을 분석하여, 현재 구성된 네트워크 토폴로지에서 특정 구성요소들 사이에 필요한 네트워크 보안 장비를 확인하는 단계; 및 상기 모니터링 장치에 의해, 상기 확인된 특정 구성요소들 사이에 필요한 네트워크 보안 장비와 관련한 알림 정보를 생성하고, 상기 생성된 알림 정보를 해당 네트워크 보안 장비가 위치할 내부망을 관리하는 관리자 단말에 전송하는 단계를 더 포함할 수 있다.Collecting a plurality of packets transmitted and received through a communication network by the monitoring device as an example related to the present invention; analyzing a network environment based on the collected plurality of packets by the monitoring device, and identifying network security equipment required between specific components in a currently configured network topology; and generating notification information related to network security equipment required between the identified specific components by the monitoring device, and transmitting the generated notification information to an administrator terminal managing an internal network where the corresponding network security equipment is located. It may further include steps to do.

본 발명과 관련된 일 예로서 상기 수집된 특정 단말과 관련한 사용자 데이터를 근거로 상기 특정 단말의 사용자가 출근 전, 퇴근 후, 반차, 연차 및 출장 중 어느 하나로 인해 상기 특정 단말이 위치한 장소에 없는 상태에서 상기 특정 단말에서 외부망에 연결된 다른 단말로 접속하여, 상기 특정 단말에 저장된 하나 이상의 파일을 상기 다른 단말로 전송을 시도할 때, 상기 모니터링 장치에 의해, 상기 특정 단말과 관련해서 미리 설정된 암호화 및 복호화를 위한 키를 근거로 상기 하나 이상의 파일을 암호화하는 단계; 상기 모니터링 장치에 의해, 상기 암호화된 하나 이상의 파일을 상기 다른 단말로 전송하는 단계; 상기 다른 단말에 의해, 상기 암호화된 하나 이상의 파일을 수신하는 단계; 상기 다른 단말에 의해, 상기 특정 단말과 관련해서 미리 설정된 암호화 및 복호화를 위한 키를 근거로 상기 수신된 암호화된 하나 이상의 파일을 복호화하는 단계; 및 상기 다른 단말에 의해, 상기 복호화된 하나 이상의 파일을 표시하는 단계를 더 포함할 수 있다.As an example related to the present invention, based on the collected user data related to the specific terminal, in a state in which the user of the specific terminal is not at the place where the specific terminal is located due to any one of before going to work, after work, half leave, annual leave and business trip When the specific terminal connects to another terminal connected to an external network and attempts to transmit one or more files stored in the specific terminal to the other terminal, encryption and decryption preset in relation to the specific terminal by the monitoring device encrypting the one or more files based on a key for; Transmitting, by the monitoring device, the one or more encrypted files to the other terminal; receiving, by the other terminal, the one or more encrypted files; decrypting, by the other terminal, the one or more received encrypted files based on a key for encryption and decryption preset in relation to the specific terminal; and displaying the one or more decrypted files by the other terminal.

본 발명과 관련된 일 예로서 상기 수신된 암호화된 하나 이상의 파일에 대해서 유효 기간이 설정된 상태일 때, 상기 다른 단말에 의해, 상기 유효 기간이 지나면 상기 다른 단말에서 저장 중인 상기 수신된 암호화된 하나 이상의 파일 및 복호화된 하나 이상의 파일을 자동 삭제하는 단계를 더 포함할 수 있다.As an example related to the present invention, when the validity period is set for the one or more received encrypted files, by the other terminal, the one or more received encrypted files being stored in the other terminal after the validity period has elapsed and automatically deleting one or more decrypted files.

본 발명과 관련된 일 예로서 상기 모니터링 장치에 의해, 블록체인 서버와 연동하여, 상기 특정 단말에서 상기 다른 단말로 전송한 하나 이상의 파일과 관련한 파일 전송 정보 및 상기 다른 단말에서의 링크 정보에 따른 상기 하나 이상의 파일의 다운로드와 관련한 다운로드 관리 정보를 블록에 저장하는 단계; 상기 모니터링 장치에 의해, 상기 블록체인 서버로부터 전송되는 트랜잭션 처리 결과를 수신하는 단계; 및 상기 모니터링 장치에 의해, 상기 수신된 트랜잭션 처리 결과를 저장하는 단계를 더 포함할 수 있다.As an example related to the present invention, the one or more file transfer information related to one or more files transmitted from the specific terminal to the other terminal by the monitoring device in conjunction with the blockchain server and the link information from the other terminal storing download management information related to downloading of the above files in a block; Receiving, by the monitoring device, a transaction processing result transmitted from the blockchain server; and storing the received transaction processing result by the monitoring device.

본 발명과 관련된 일 예로서 외부 단말에서 내부망 내의 상기 특정 단말에 접속을 시도할 때, 상기 모니터링 장치에 의해, 상기 외부 단말에 대한 인증을 수행하는 단계; 상기 외부 단말에 대한 인증에 성공할 때, 상기 모니터링 장치에 의해, 상기 외부 단말에서의 상기 특정 단말로의 접속을 허용하는 단계; 및 상기 모니터링 장치에 의해, 상기 외부 단말에서 상기 특정 단말로 업로드하는 업로드 파일에 대한 정보, 상기 외부 단말에서 상기 특정 단말로부터 다운로드하는 다운로드 파일에 대한 정보, 상기 외부 단말의 접속 날짜 및 시각 정보 및 상기 외부 단말에서의 사용 앱 정보 중 적어도 하나를 포함하는 로그 기록을 블록체인 서버 내의 다른 블록에 저장하는 단계를 더 포함할 수 있다.As an example related to the present invention, when an external terminal attempts to access the specific terminal within the internal network, performing authentication on the external terminal by the monitoring device; allowing access to the specific terminal from the external terminal, by the monitoring device, when authentication of the external terminal succeeds; and information on an upload file uploaded from the external terminal to the specific terminal by the monitoring device, information on a download file downloaded from the external terminal from the specific terminal, access date and time information of the external terminal, and the The method may further include storing a log record including at least one of used app information in an external terminal in another block in a blockchain server.

본 발명은 접속을 시도하는 단말과 관련한 사용자 로그, 사용자 데이터 등을 수집하고, 수집된 사용자 로그, 사용자 데이터 등을 분석하여 사용자 행동 패턴을 생성하고, 생성된 사용자 행동 패턴이 비정상 행동 패턴으로 확인되는 경우 해당 단말의 접속을 강제로 차단함으로써, 고객사의 운영 환경에 맞는 정보 보안 컨설팅을 통해 최상의 정보 보안 환경과 편의성 높은 운영 및 업무 환경을 제공할 수 있는 효과가 있다.The present invention collects user logs, user data, etc. related to a terminal attempting access, analyzes the collected user logs, user data, etc. to create a user behavior pattern, and the generated user behavior pattern is identified as an abnormal behavior pattern. In this case, by forcibly blocking the connection of the corresponding terminal, it is possible to provide the best information security environment and highly convenient operation and work environment through information security consulting suitable for the operating environment of the customer.

또한, 본 발명은 망 분리된 사내망에 연결된 복수의 단말 중에서 특정 단말에서 바이러스, 디도스 공격, 해킹 시도 등이 감지되는 경우, 해당 특정 단말과 관련한 사내망에 연결된 전체 복수의 단말을 대상으로 해당 바이러스, 디도스 공격, 해킹 시도 등에 대응하는 패치 프로그램을 강제로 설치함으로써, 망 환경을 분리하여 높은 보안성을 확보하고, 성능 높은 망연계 구축을 통해 업무의 연속성과 편의성을 제공하고, 내/외부 인프라를 보호하고 신뢰할 수 있는 서비스망을 제공할 수 있는 효과가 있다.In addition, when a virus, DDoS attack, hacking attempt, etc. is detected in a specific terminal among a plurality of terminals connected to a network-separated internal network, the present invention targets all the plurality of terminals connected to the internal network related to the specific terminal. By forcibly installing a patch program that responds to viruses, DDoS attacks, hacking attempts, etc., the network environment is separated to secure high security, and business continuity and convenience are provided through the establishment of high-performance network linkage. It has the effect of protecting the infrastructure and providing a reliable service network.

또한, 본 발명은 외부 단말에서 망 분리된 사내망에 연결된 복수의 단말 중에서 다른 단말에 대한 접속을 시도하는 경우, 해당 단말에 대한 인증 수행 후, 해당 단말의 로그 기록을 블록체인에 등록하고, 해당 단말에서 다른 단말로 업로드하거나 다운로드하는 파일을 IPFS에 분산 저장함으로써, 외부 단말에서 사내망에 접근 후 업로드하고자 하는 파일을 직접 다른 단말에 전송하는 대신에 IPFS에 업로드한 후 해당 다른 단말에서 링크 정보를 통해 해당 IPFS에 업로드된 파일을 다운로드하고, 다운로드하고자 하는 파일을 직접 다른 단말로부터 전송받는 대신에 다른 단말에서 IPFS에 업로드한 파일을 해당 단말에서 링크 정보를 통해 다운로드함에 따라 사내망에 접속된 복수의 단말에 대한 보안 강화를 제공할 수 있는 효과가 있다.In addition, in the present invention, when an external terminal attempts to access another terminal among a plurality of terminals connected to a network-separated internal network, after performing authentication on the corresponding terminal, the log record of the corresponding terminal is registered in the blockchain, and the By storing files uploaded or downloaded from a terminal to other terminals in IPFS, an external terminal accesses the internal network and then uploads the file to IPFS instead of directly transmitting the file to other terminals, and then uploads the link information from the other terminal. Instead of downloading the file uploaded to the corresponding IPFS and directly receiving the file to be downloaded from another terminal, the file uploaded to the IPFS from another terminal is downloaded through the link information in the corresponding terminal. There is an effect of providing enhanced security for the terminal.

도 1은 본 발명의 실시예에 따른 망연계 기반의 정보와 네트워크 보안 관제 시스템의 구성을 나타낸 블록도이다.
도 2 내지 도 3은 본 발명의 실시예에 따른 망연계 기반의 정보와 네트워크 보안 관제 방법을 나타낸 흐름도이다.1 is a block diagram showing the configuration of a network linkage-based information and network security control system according to an embodiment of the present invention.
2 and 3 are flowcharts illustrating a network connection-based information and network security control method according to an embodiment of the present invention.

본 발명에서 사용되는 기술적 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아님을 유의해야 한다. 또한, 본 발명에서 사용되는 기술적 용어는 본 발명에서 특별히 다른 의미로 정의되지 않는 한, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 의미로 해석되어야 하며, 과도하게 포괄적인 의미로 해석되거나, 과도하게 축소된 의미로 해석되지 않아야 한다. 또한, 본 발명에서 사용되는 기술적인 용어가 본 발명의 사상을 정확하게 표현하지 못하는 잘못된 기술적 용어일 때에는 당업자가 올바르게 이해할 수 있는 기술적 용어로 대체되어 이해되어야 할 것이다. 또한, 본 발명에서 사용되는 일반적인 용어는 사전에 정의되어 있는 바에 따라, 또는 전후 문맥상에 따라 해석되어야 하며, 과도하게 축소된 의미로 해석되지 않아야 한다.It should be noted that technical terms used in the present invention are only used to describe specific embodiments and are not intended to limit the present invention. In addition, technical terms used in the present invention should be interpreted in terms commonly understood by those of ordinary skill in the art to which the present invention belongs, unless specifically defined otherwise in the present invention, and are excessively inclusive. It should not be interpreted in a positive sense or in an excessively reduced sense. In addition, when the technical terms used in the present invention are erroneous technical terms that do not accurately express the spirit of the present invention, they should be replaced with technical terms that those skilled in the art can correctly understand. In addition, general terms used in the present invention should be interpreted as defined in advance or according to context, and should not be interpreted in an excessively reduced sense.

또한, 본 발명에서 사용되는 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함한다. 본 발명에서 "구성된다" 또는 "포함한다" 등의 용어는 발명에 기재된 여러 구성 요소들 또는 여러 단계를 반드시 모두 포함하는 것으로 해석되지 않아야 하며, 그 중 일부 구성 요소들 또는 일부 단계들은 포함되지 않을 수도 있고, 또는 추가적인 구성 요소 또는 단계들을 더 포함할 수 있는 것으로 해석되어야 한다.Also, singular expressions used in the present invention include plural expressions unless the context clearly dictates otherwise. Terms such as "consisting of" or "comprising" in the present invention should not be construed as necessarily including all of the various elements or steps described in the invention, and some of the elements or steps may not be included. It should be construed that it may, or may further include additional components or steps.

또한, 본 발명에서 사용되는 제 1, 제 2 등과 같이 서수를 포함하는 용어는 구성 요소들을 설명하는데 사용될 수 있지만, 구성 요소들은 용어들에 의해 한정되어서는 안 된다. 용어들은 하나의 구성 요소를 다른 구성 요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제 1 구성 요소는 제 2 구성 요소로 명명될 수 있고, 유사하게 제 2 구성 요소도 제 1 구성 요소로 명명될 수 있다.In addition, terms including ordinal numbers such as first and second used in the present invention may be used to describe components, but components should not be limited by the terms. Terms are used only to distinguish one component from another. For example, a first element may be termed a second element, and similarly, a second element may be termed a first element, without departing from the scope of the present invention.

이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성 요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.Hereinafter, preferred embodiments according to the present invention will be described in detail with reference to the accompanying drawings, but the same or similar components are given the same reference numerals regardless of reference numerals, and redundant description thereof will be omitted.

또한, 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 첨부된 도면은 본 발명의 사상을 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 발명의 사상이 제한되는 것으로 해석되어서는 아니 됨을 유의해야 한다.In addition, in describing the present invention, if it is determined that a detailed description of a related known technology may obscure the gist of the present invention, the detailed description will be omitted. In addition, it should be noted that the accompanying drawings are only for easily understanding the spirit of the present invention, and should not be construed as limiting the spirit of the present invention by the accompanying drawings.

도 1은 본 발명의 실시예에 따른 망연계 기반의 정보와 네트워크 보안 관제 시스템(10)의 구성을 나타낸 블록도이다.1 is a block diagram showing the configuration of a network connection-based information and network security control system 10 according to an embodiment of the present invention.

도 1에 도시한 바와 같이, 망연계 기반의 정보와 네트워크 보안 관제 시스템(10)은 복수의 단말(100), 복수의 다른 단말(200), 외부 단말(300) 및 모니터링 장치(400)로 구성된다. 도 1에 도시된 망연계 기반의 정보와 네트워크 보안 관제 시스템(10)의 구성 요소 모두가 필수 구성 요소인 것은 아니며, 도 1에 도시된 구성 요소보다 많은 구성 요소에 의해 망연계 기반의 정보와 네트워크 보안 관제 시스템(10)이 구현될 수도 있고, 그보다 적은 구성 요소에 의해서도 망연계 기반의 정보와 네트워크 보안 관제 시스템(10)이 구현될 수도 있다.As shown in FIG. 1, the network connection-based information and network security control system 10 is composed of a plurality of terminals 100, a plurality of other terminals 200, an external terminal 300, and a monitoring device 400. do. Not all of the components of the network connection-based information and network security control system 10 shown in FIG. 1 are essential components, and network connection-based information and network The security control system 10 may be implemented, or the network linkage-based information and network security control system 10 may be implemented with fewer components.

상기 단말(100), 상기 다른 단말(200), 상기 외부 단말(300) 및 상기 모니터링 장치(400)는 스마트폰(Smart Phone), 휴대 단말기(Portable Terminal), 이동 단말기(Mobile Terminal), 폴더블 단말기(Foldable Terminal), 개인 정보 단말기(Personal Digital Assistant: PDA), PMP(Portable Multimedia Player) 단말기, 텔레매틱스(Telematics) 단말기, 내비게이션(Navigation) 단말기, 개인용 컴퓨터(Personal Computer), 노트북 컴퓨터, 슬레이트 PC(Slate PC), 태블릿 PC(Tablet PC), 울트라북(ultrabook), 웨어러블 디바이스(Wearable Device, 예를 들어, 워치형 단말기(Smartwatch), 글래스형 단말기(Smart Glass), HMD(Head Mounted Display) 등 포함), 와이브로(Wibro) 단말기, IPTV(Internet Protocol Television) 단말기, 스마트 TV, 디지털방송용 단말기, AVN(Audio Video Navigation) 단말기, A/V(Audio/Video) 시스템, 플렉시블 단말기(Flexible Terminal), 디지털 사이니지 장치, 키오스크(KIOSK) 등과 같은 다양한 단말기에 적용될 수 있다.The terminal 100, the other terminal 200, the external terminal 300, and the monitoring device 400 include a smart phone, a portable terminal, a mobile terminal, and a foldable terminal. A foldable terminal, a personal digital assistant (PDA), a portable multimedia player (PMP) terminal, a telematics terminal, a navigation terminal, a personal computer, a notebook computer, a slate PC ( Slate PC), tablet PC (Tablet PC), ultrabook, wearable device (e.g., watch type terminal (Smartwatch), glass type terminal (Smart Glass), HMD (Head Mounted Display), etc. included) ), Wibro terminal, IPTV (Internet Protocol Television) terminal, smart TV, digital broadcasting terminal, AVN (Audio Video Navigation) terminal, A/V (Audio/Video) system, flexible terminal, digital between It can be applied to various terminals such as Nizi devices and kiosks.

또한, 상기 모니터링 장치(400)는 서버(미도시)로 구성될 수 있으며, 해당 모니터링 장치(400)가 서버로 구성되는 경우, 해당 서버는 웹 서버, 데이터베이스 서버, 프록시 서버 등의 형태로 구현될 수 있다. 또한, 상기 서버에는 네트워크 부하 분산 메커니즘, 내지 해당 서버가 인터넷 또는 다른 네트워크상에서 동작할 수 있도록 하는 다양한 소프트웨어 중 하나 이상이 설치될 수 있으며, 이를 통해 컴퓨터화된 시스템으로 구현될 수 있다. 또한, 네트워크는 http 네트워크일 수 있으며, 전용 회선(private line), 인트라넷 또는 임의의 다른 네트워크일 수 있다. 나아가, 단말(100), 다른 단말(200), 외부 단말(300) 및 서버(또는 상기 모니터링 장치(400)) 간의 연결은 데이터가 임의의 해커 또는 다른 제3자에 의한 공격을 받지 않도록 보안 네트워크로 연결될 수 있다. 또한, 상기 서버는 복수의 데이터베이스 서버를 포함할 수 있으며, 이러한 데이터베이스 서버가 분산 데이터베이스 서버 아키텍처를 비롯한 임의의 유형의 네트워크 연결을 통해 상기 서버와 별도로 연결되는 방식으로 구현될 수 있다.In addition, the monitoring device 400 may be configured as a server (not shown), and when the monitoring device 400 is configured as a server, the corresponding server may be implemented in the form of a web server, database server, proxy server, or the like. can In addition, one or more of a network load balancing mechanism and various software enabling the corresponding server to operate on the Internet or other networks may be installed in the server, and through this, it may be implemented as a computerized system. Also, the network can be an http network, a private line, an intranet or any other network. Furthermore, the connection between the terminal 100, the other terminal 200, the external terminal 300 and the server (or the monitoring device 400) is a secure network to prevent data from being attacked by any hacker or other third party. can be connected with In addition, the server may include a plurality of database servers, and these database servers may be implemented in a manner that is separately connected to the server through any type of network connection including a distributed database server architecture.

상기 단말(100), 상기 다른 단말(200), 상기 외부 단말(300) 및 상기 모니터링 장치(400) 각각은 다른 단말들과의 통신 기능을 수행하기 위한 통신부(미도시), 다양한 정보 및 프로그램(또는 애플리케이션)을 저장하기 위한 저장부(미도시), 다양한 정보 및 프로그램 실행 결과를 표시하기 위한 표시부(미도시), 상기 다양한 정보 및 프로그램 실행 결과에 대응하는 음성 정보를 출력하기 위한 음성 출력부(미도시), 각 단말의 다양한 구성 요소 및 기능을 제어하기 위한 제어부(미도시) 등을 포함할 수 있다.Each of the terminal 100, the other terminal 200, the external terminal 300, and the monitoring device 400 includes a communication unit (not shown) for performing a communication function with other terminals, various information and programs ( or application) for storing a storage unit (not shown), a display unit (not shown) for displaying various information and program execution results, and an audio output unit (not shown) for outputting audio information corresponding to the various information and program execution results. (not shown), and a control unit (not shown) for controlling various components and functions of each terminal.

상기 도 1에 도시된 바와 같이, 상기 단말(100)을 포함하는 복수의 단말(100)은 하나의 내부망(또는 사내망/인트라넷)을 형성하고, 상기 다른 단말(200)을 포함하는 복수의 다른 단말(200)은 하나의 다른 내부망을 형성한다.As shown in FIG. 1, the plurality of terminals 100 including the terminal 100 form one internal network (or internal network/intranet), and a plurality of terminals including the other terminals 200 Another terminal 200 forms another internal network.

본 발명의 실시예에서는, 설명의 편의를 위해서, 상기 단말(100) 및 상기 다른 단말(200)을 구분하여 설명하고 있으나, 해당 단말(100) 및 해당 다른 단말(200)은 특정한 하나의 사내망을 구성하며, 외부에 위치한 다른 사내망에 포함된 단말들(100, 200)과 통신하거나, 독립적으로 통신망에 연결된 외부 단말(300)과 통신할 수 있다.In the embodiment of the present invention, for convenience of description, the terminal 100 and the other terminal 200 are separately described, but the corresponding terminal 100 and the other terminal 200 belong to a specific internal network. , and can communicate with the terminals 100 and 200 included in other internal networks located outside or independently communicate with the external terminal 300 connected to the communication network.

또한, 상기 내부망 사이(또는 단말들(100, 200, 300, 400) 사이)에는 방화벽, UTM(Unified Threat Management: 통합 위협 관리), APT(Advanced Persistent Threats: 지능형 지속 위협), IPS(Intrusion Prevention System: 침입 방지 시스템), SSL VPN(Secure Sockets Layer Virtual Private Network: SSL 기반 가상 사설망) 등의 네트워크 보안 장비(미도시)가 구성된 상태일 수 있다. 이때, 상기 방화벽(또는 상기 네트워크 보안 장비)은 미리 정의된 보안 규칙에 기반한, 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어하는 네트워크 보안 시스템으로, 대부분의 경우에 있어서 정책 기반의 방화벽이며 다양한 수준의 정책으로 네트워크 간의 트래픽을 제어하도록 구성한다.In addition, between the internal networks (or between the terminals 100, 200, 300, 400), a firewall, UTM (Unified Threat Management), APT (Advanced Persistent Threats), IPS (Intrusion Prevention) System: Intrusion prevention system), SSL VPN (Secure Sockets Layer Virtual Private Network: SSL-based virtual private network), such as network security equipment (not shown) may be configured. At this time, the firewall (or the network security equipment) is a network security system that monitors and controls incoming and outgoing network traffic based on predefined security rules. It is configured to control traffic between networks.

상기 단말(100)은 임의의 내부망(또는 사내망/인트라넷)을 구성(또는 포함)한다. 이때, 상기 단말(100)의 사용자는 임의의 단체(예를 들어 회사, 공공기관 등 포함)에 소속된 상태일 수 있으며, 해당 단체에 구성된 내부망을 이용할 수 있다.The terminal 100 configures (or includes) an arbitrary internal network (or internal network/intranet). At this time, the user of the terminal 100 may belong to an arbitrary group (eg, a company, a public institution, etc.) and may use an internal network configured in the group.

또한, 상기 단말(100)은 해당 내부망에 구성된 복수의 단말(100), 외부의 내부망에 구성된 복수의 다른 단말(200), 외부의 독립된 외부 단말(300), 상기 모니터링 장치(400) 등과 통신한다.In addition, the terminal 100 includes a plurality of terminals 100 configured in the corresponding internal network, a plurality of other terminals 200 configured in the external internal network, an external independent external terminal 300, the monitoring device 400, etc. communicate

상기 내부망에 포함된 상기 단말(100)에서 해당 내부망 내의 임의의 단말(100)로의 접속을 시도하는 경우, 외부망에 연결된 상기 다른 단말(200)로의 접속을 시도하는 경우, 외부망에 연결된 상기 외부 단말(300)로의 접속을 시도하는 경우, 상기 단말(100)은 상기 모니터링 장치(400)의 제어(또는 관리)에 따라, 상기 내부망에 연결된 단말(100)로의 접속, 해당 단말(100)에서 상기 외부망에 연결된 다른 단말(200)로의 접속, 해당 단말(100)에서 상기 외부 단말(300)로의 접속 등을 수행하거나 또는, 종료한다.When the terminal 100 included in the internal network attempts to access any terminal 100 within the corresponding internal network, or when attempting to access the other terminal 200 connected to the external network, connected to the external network When trying to access the external terminal 300, the terminal 100 accesses the terminal 100 connected to the internal network according to the control (or management) of the monitoring device 400, the corresponding terminal 100 ) performs access to another terminal 200 connected to the external network, access from the corresponding terminal 100 to the external terminal 300, or the like, or ends.

즉, 상기 내부망에 포함된 상기 단말(100)에서 해당 내부망 내의 임의의 단말(100)로의 접속을 시도하는 경우, 외부망에 연결된 상기 다른 단말(200)로의 접속을 시도하는 경우, 외부망에 연결된 상기 외부 단말(300)로의 접속을 시도하는 경우, 상기 단말(100)은 상기 모니터링 장치(400)의 제어(또는 관리)에 따라, 해당 단말(100)과 관련한 사용자 행동 패턴이 정상 행동 패턴으로 확인되면, 상기 내부망에 연결된 단말(100)로의 접속, 해당 단말(100)에서 상기 외부망에 연결된 다른 단말(200)로의 접속, 해당 단말(100)에서 상기 외부 단말(300)로의 접속 등을 수행한다.That is, when the terminal 100 included in the internal network attempts to access any terminal 100 within the corresponding internal network, or when attempting to access the other terminal 200 connected to the external network, the external network When trying to access the external terminal 300 connected to the terminal 100, the user behavior pattern related to the terminal 100 is a normal behavior pattern according to the control (or management) of the monitoring device 400. , access to the terminal 100 connected to the internal network, access from the terminal 100 to another terminal 200 connected to the external network, access from the terminal 100 to the external terminal 300, etc. Do it.

또한, 상기 내부망에 포함된 상기 단말(100)에서 해당 내부망 내의 임의의 단말(100)로의 접속을 시도하는 경우, 외부망에 연결된 상기 다른 단말(200)로의 접속을 시도하는 경우, 외부망에 연결된 상기 외부 단말(300)로의 접속을 시도하는 경우, 상기 단말(100)은 상기 모니터링 장치(400)의 제어(또는 관리)에 따라, 해당 단말(100)과 관련한 사용자 행동 패턴이 정상 행동 패턴으로 확인되지 않으면(또는 해당 사용자 행동 패턴이 비정상 행동 패턴으로 확인되면), 상기 내부망에 연결된 단말(100)로의 접속, 해당 단말(100)에서 상기 외부망에 연결된 다른 단말(200)로의 접속, 해당 단말(100)에서 상기 외부 단말(300)로의 접속 등을 종료(또는 차단/거부)한다.In addition, when the terminal 100 included in the internal network attempts to access any terminal 100 within the corresponding internal network, or when attempting to access the other terminal 200 connected to the external network, the external network When trying to access the external terminal 300 connected to the terminal 100, the user behavior pattern related to the terminal 100 is a normal behavior pattern according to the control (or management) of the monitoring device 400. If not confirmed (or if the corresponding user behavior pattern is identified as an abnormal behavior pattern), access to the terminal 100 connected to the internal network, access from the corresponding terminal 100 to another terminal 200 connected to the external network, The connection from the terminal 100 to the external terminal 300 is terminated (or blocked/rejected).

또한, 상기 내부망에 포함된 상기 단말(100)에서 바이러스 감염/유포, 디도스 공격, 해킹 시도 등이 발생하는 경우, 해당 내부망에 포함된 복수의 단말(100)(또는 하나 이상의 단말(100))은 상기 모니터링 장치(400)의 제어에 의해, 외부망으로 접속을 일시 차단하고, 해당 바이러스 감염/유포, 디도스 공격, 해킹 시도 등에 대응하는 패치 프로그램을 각각 설치한다.In addition, when a virus infection/distribution, DDoS attack, hacking attempt, etc. occurs in the terminal 100 included in the internal network, a plurality of terminals 100 (or one or more terminals 100 included in the internal network) )) temporarily blocks access to an external network under the control of the monitoring device 400, and installs patch programs corresponding to virus infection/distribution, DDoS attacks, hacking attempts, and the like.

또한, 상기 패치 프로그램을 설치한 단말(100)은 상기 모니터링 장치(400)의 제어에 의해, 외부망으로의 접속을 수행할 수 있다.In addition, the terminal 100 in which the patch program is installed can access an external network under the control of the monitoring device 400 .

또한, 상기 단말(100)은 상기 연결된 다른 단말(200), 상기 외부 단말(300) 등과 다양한 정보(또는 데이터/패킷)를 송/수신한다.In addition, the terminal 100 transmits/receives various information (or data/packets) to the other connected terminal 200 and the external terminal 300.

또한, 원격 관리를 위해서, 상기 외부 단말(300)에서 내부망 내의 상기 단말(100)에 접속을 시도한 상태에서 해당 모니터링 장치(400)에 의해 해당 외부 단말(300)에 대한 인증이 성공한 경우, 상기 단말(100)은 상기 외부 단말(300)과의 접속(또는 통신/연결)을 수행한다.In addition, for remote management, when the external terminal 300 attempts to access the terminal 100 within the internal network and the monitoring device 400 successfully authenticates the external terminal 300, the external terminal 300 is successfully authenticated. The terminal 100 performs access (or communication/connection) with the external terminal 300 .

또한, 상기 단말(100)은 상기 연결된 외부 단말(300)과 다양한 정보를 송/수신한다.In addition, the terminal 100 transmits/receives various information with the connected external terminal 300 .

이와 같이, 상기 단말(100)은 상기 모니터링 장치(400)와 연동하여, 정상적인 사용 패턴인 경우 하나 이상의 단말(100, 200, 300)과 정상적으로 통신 상태를 유지할 수 있고, 비정상적인 사용 패턴인 경우 해당 하나 이상의 단말(100, 200, 300)과의 통신 상태를 종료한다.In this way, the terminal 100 can maintain a normal communication state with one or more terminals 100, 200, and 300 in the case of a normal use pattern by interworking with the monitoring device 400, and in the case of an abnormal use pattern, the corresponding one The communication state with the above terminals 100, 200, and 300 is terminated.

상기 다른 단말(200)은 임의의 다른 내부망(또는 다른 사내망/다른 인트라넷)을 구성(또는 포함)한다. 이때, 상기 다른 단말(200)의 사용자는 임의의 다른 단체(예를 들어 회사, 공공기관 등 포함)에 소속된 상태일 수 있으며, 해당 다른 단체에 구성된 내부망을 이용할 수 있다.The other terminal 200 configures (or includes) any other internal network (or other internal network/other intranet). At this time, the user of the other terminal 200 may belong to any other group (eg, a company, public institution, etc.) and may use an internal network configured in the other group.

또한, 상기 다른 단말(200)은 해당 다른 내부망에 구성된 복수의 다른 단말(200), 외부의 내부망에 구성된 복수의 단말(100), 외부의 독립된 외부 단말(300), 상기 모니터링 장치(400) 등과 통신한다.In addition, the other terminals 200 include a plurality of other terminals 200 configured in the corresponding other internal network, a plurality of terminals 100 configured in the external internal network, an external independent external terminal 300, and the monitoring device 400 ) and communicate with others.

또한, 상기 다른 내부망에 포함된 상기 다른 단말(200)에서 해당 다른 내부망의 임의의 다른 단말(200)로의 접속을 시도하는 경우, 외부망에 연결된 상기 단말(100)로의 접속을 시도하는 경우, 외부망에 연결된 상기 외부 단말(300)로의 접속을 시도하는 경우, 상기 다른 단말(200)은 상기 모니터링 장치(400)의 제어(또는 관리)에 따라, 상기 다른 내부망에 연결된 다른 단말(200)로의 접속, 해당 다른 단말(200)에서 상기 외부망에 연결된 단말(100)로의 접속, 해당 다른 단말(200)에서 상기 외부 단말(300)로의 접속 등을 수행하거나 또는, 종료한다.In addition, when the other terminal 200 included in the other internal network attempts to access any other terminal 200 of the corresponding other internal network, or when attempting to access the terminal 100 connected to the external network , When an attempt is made to access the external terminal 300 connected to the external network, the other terminal 200, under the control (or management) of the monitoring device 400, another terminal 200 connected to the other internal network ), access from the other terminal 200 to the terminal 100 connected to the external network, or access from the other terminal 200 to the external terminal 300, or the like is terminated.

즉, 상기 다른 내부망에 포함된 상기 다른 단말(200)에서 해당 다른 내부망의 임의의 다른 단말(200)로의 접속을 시도하는 경우, 외부망에 연결된 상기 단말(100)로의 접속을 시도하는 경우, 외부망에 연결된 상기 외부 단말(300)로의 접속을 시도하는 경우, 상기 다른 단말(200)은 상기 모니터링 장치(400)의 제어(또는 관리)에 따라, 상기 다른 단말(200)과 관련한 사용자 행동 패턴이 정상 행동 패턴으로 확인되면, 상기 다른 내부망에 연결된 다른 단말(200)로의 접속, 해당 다른 단말(200)에서 상기 외부망에 연결된 단말(100)로의 접속, 해당 다른 단말(200)에서 상기 외부 단말(300)로의 접속 등을 수행한다.That is, when the other terminal 200 included in the other internal network attempts to access any other terminal 200 of the corresponding other internal network, or when attempting to access the terminal 100 connected to the external network , When attempting to access the external terminal 300 connected to the external network, the other terminal 200 performs a user action related to the other terminal 200 according to the control (or management) of the monitoring device 400. If the pattern is confirmed as a normal behavior pattern, access to the other terminal 200 connected to the other internal network, access from the other terminal 200 to the terminal 100 connected to the external network, and the other terminal 200 to the above Connection to the external terminal 300 is performed.

또한, 상기 다른 내부망에 포함된 상기 다른 단말(200)에서 해당 다른 내부망의 임의의 다른 단말(200)로의 접속을 시도하는 경우, 외부망에 연결된 상기 단말(100)로의 접속을 시도하는 경우, 외부망에 연결된 상기 외부 단말(300)로의 접속을 시도하는 경우, 상기 다른 단말(200)은 상기 모니터링 장치(400)의 제어(또는 관리)에 따라, 상기 다른 단말(200)과 관련한 사용자 행동 패턴이 정상 행동 패턴으로 확인되지 않으면(또는 해당 사용자 행동 패턴이 비정상 행동 패턴으로 확인되면), 상기 다른 내부망에 연결된 다른 단말(200)로의 접속, 해당 다른 단말(200)에서 상기 외부망에 연결된 단말(100)로의 접속, 해당 다른 단말(200)에서 상기 외부 단말(300)로의 접속 등을 종료(또는 차단/거부)한다.In addition, when the other terminal 200 included in the other internal network attempts to access any other terminal 200 of the corresponding other internal network, or when attempting to access the terminal 100 connected to the external network , When attempting to access the external terminal 300 connected to the external network, the other terminal 200 performs a user action related to the other terminal 200 according to the control (or management) of the monitoring device 400. If the pattern is not confirmed as a normal behavior pattern (or if the corresponding user behavior pattern is identified as an abnormal behavior pattern), access to another terminal 200 connected to the other internal network, and from the other terminal 200 connected to the external network The connection to the terminal 100 and the connection from the other terminal 200 to the external terminal 300 are terminated (or blocked/rejected).

또한, 상기 수집된 단말(100)과 관련한 사용자 데이터를 근거로 해당 단말(100)의 사용자가 출근 전, 퇴근 후, 반차, 연차, 출장 등으로 해당 단말(100)이 위치한 장소(예를 들어 사무실 등 포함)에 없는 상태에서 해당 단말(100)에서 외부망에 연결된 다른 단말(200)로 접속하여, 해당 단말(100)에 저장된 하나 이상의 파일을 해당 다른 단말(200)로 전송을 시도하는 경우(또는 전송하는 경우), 상기 다른 단말(200)은 상기 모니터링 장치(400)의 제어에 의해, 유효 기간(예를 들어 1일), 복호화 횟수(예를 들어 3회), 암호화 과정 등이 적용된 하나 이상의 파일을 수신한다.In addition, based on the collected user data related to the terminal 100, the location where the terminal 100 is located (for example, an office In the case of attempting to transmit one or more files stored in the terminal 100 to the other terminal 200 by accessing from the terminal 100 to another terminal 200 connected to the external network in a state where the terminal 100 is not present (including etc.) ( or in case of transmission), the other terminal 200, under the control of the monitoring device 400, the validity period (for example, 1 day), the number of decryption (for example, 3 times), the encryption process, etc. are applied. Receive more than one file.

또한, 상기 다른 단말(200)은 해당 단말(100)과 관련해서 미리 설정된 암호화 및 복호화를 위한 키를 근거로 상기 수신된 암호화된 하나 이상의 파일을 복호화하고, 상기 복호화된 하나 이상의 파일을 표시(또는 저장/관리)한다. 이때, 상기 단말(100)과 관련해서 미리 설정된 암호화 및 복호화를 위한 키는 해당 다른 단말(200)에서 미리 저장 중인 상태이거나 또는, 해당 모니터링 장치(400)와의 인증 과정 수행 후 제공받을 수 있다.In addition, the other terminal 200 decrypts the received one or more encrypted files based on a key for encryption and decryption preset in relation to the corresponding terminal 100, and displays the one or more decrypted files (or store/manage). At this time, the key for encryption and decryption preset in relation to the terminal 100 may be stored in advance in the corresponding other terminal 200 or may be provided after an authentication process with the corresponding monitoring device 400 is performed.

또한, 상기 수신된 암호화된 하나 이상의 파일(또는 상기 수신된 하나 이상의 파일)에 대해서 유효 기간이 설정된 상태인 경우, 상기 다른 단말(200)은 상기 유효 기간이 지나면 해당 다른 단말(200)에서 저장 중인 상기 수신된 암호화된 하나 이상의 파일, 복호화된 하나 이상의 파일 등을 자동 삭제한다.In addition, when the validity period is set for the one or more received encrypted files (or the one or more received files), the other terminal 200 is stored in the other terminal 200 after the validity period has elapsed. The received one or more encrypted files and one or more decrypted files are automatically deleted.

또한, 상기 수신된 암호화된 하나 이상의 파일(또는 상기 수신된 하나 이상의 파일)에 대해서 복호화 횟수가 설정된 상태인 경우, 상기 다른 단말(200)은 상기 수신된 암호화된 하나 이상의 파일에 대해서 상기 복호화 횟수 이상 복호화 기능을 수행하지 않도록 구성(또는 제어/관리)하며, 해당 복호화 횟수 이상 복호화 기능 시도가 있는 경우 해당 암호화된 파일을 자동 삭제할 수도 있다.In addition, when the number of times of decryption is set for the one or more received encrypted files (or the one or more received files), the other terminal 200 may set the number of times of decryption or more for the one or more received encrypted files. It is configured (or controlled/managed) so that the decryption function is not performed, and the encrypted file may be automatically deleted if the decryption function is attempted more than the number of times of decryption.

또한, 상기 내부망에 포함된 상기 다른 단말(200)에서 바이러스 감염/유포, 디도스 공격, 해킹 시도 등이 발생하는 경우, 해당 내부망에 포함된 복수의 다른 단말(200)(또는 하나 이상의 다른 단말(200))은 상기 모니터링 장치(400)의 제어에 의해, 외부망으로 접속을 일시 차단하고, 해당 바이러스 감염/유포, 디도스 공격, 해킹 시도 등에 대응하는 패치 프로그램을 각각 설치한다.In addition, when virus infection/distribution, DDoS attack, hacking attempt, etc. occur in the other terminals 200 included in the internal network, a plurality of other terminals 200 (or one or more other terminals 200 included in the internal network) Under the control of the monitoring device 400, the terminal 200 temporarily blocks access to an external network, and installs patch programs corresponding to virus infection/distribution, DDoS attacks, hacking attempts, and the like.

또한, 상기 패치 프로그램을 설치한 다른 단말(200)은 상기 모니터링 장치(400)의 제어에 의해, 외부망으로의 접속을 수행할 수 있다.In addition, another terminal 200 having the patch program installed may access an external network under the control of the monitoring device 400 .

또한, 상기 다른 단말(200)은 상기 연결된 단말(100), 상기 외부 단말(300) 등과 다양한 정보(또는 데이터/패킷)를 송/수신한다.In addition, the other terminal 200 transmits/receives various information (or data/packets) to the connected terminal 100 and the external terminal 300.

또한, 원격 관리를 위해서, 상기 외부 단말(300)에서 내부망 내의 상기 다른 단말(200)에 접속을 시도한 상태에서 해당 모니터링 장치(400)에 의해 해당 외부 단말(300)에 대한 인증이 성공한 경우, 상기 다른 단말(200)은 상기 외부 단말(300)과의 접속(또는 통신/연결)을 수행한다.In addition, for remote management, when the external terminal 300 attempts to access the other terminal 200 within the internal network, and the monitoring device 400 successfully authenticates the external terminal 300, The other terminal 200 performs access (or communication/connection) with the external terminal 300 .

또한, 상기 다른 단말(200)은 상기 연결된 외부 단말(300)과 다양한 정보를 송/수신한다.In addition, the other terminal 200 transmits/receives various information with the connected external terminal 300.

이와 같이, 상기 다른 단말(200)은 상기 모니터링 장치(400)와 연동하여, 정상적인 사용 패턴인 경우 하나 이상의 단말(100, 200, 300)과 정상적으로 통신 상태를 유지할 수 있고, 비정상적인 사용 패턴인 경우 해당 하나 이상의 단말(100, 200, 300)과의 통신 상태를 종료한다.In this way, the other terminal 200 can maintain a normal communication state with one or more terminals 100, 200, and 300 in the case of a normal use pattern by interworking with the monitoring device 400, and in the case of an abnormal use pattern, the corresponding A communication state with one or more terminals 100, 200, and 300 is terminated.

상기 외부 단말(300)은 임의의 내부망(또는 사내망/인트라넷)을 구성하지 않고, 독립된 상태로 외부의 내부망에 구성된 복수의 단말(100), 외부의 내부망에 구성된 복수의 다른 단말(200), 상기 모니터링 장치(400) 등과 통신한다.The external terminal 300 does not configure any internal network (or internal network/intranet), and a plurality of terminals 100 configured in an external internal network in an independent state, and a plurality of other terminals configured in an external internal network ( 200), communicates with the monitoring device 400, and the like.

이때, 상기 외부 단말(300)은 IoT(Internet of Things: 사물 인터넷) 장치(미도시)일 수 있으며, 동작 센서, 온도 센서, 냉난방 감지 센서, 출입문 혹은 창문 감시(개폐) 센서, 스마트 가습기, CCTV, 스마트 냉장고, 스마트폰, 태블릿 PC, 보일러, TV 등 다양한 장치를 포함할 수 있다. 이러한 IoT 장치는 IoT 서비스를 지원하는 네트워크 내 분산되어 해당 네트워크 내 상태 및 주변 환경을 실시간으로 모니터링하고, 네트워크를 통해 보고할 수 있다.At this time, the external terminal 300 may be an Internet of Things (IoT) device (not shown), and may include a motion sensor, a temperature sensor, a heating/cooling sensor, a door or window monitoring (opening and closing) sensor, a smart humidifier, and a CCTV , smart refrigerators, smart phones, tablet PCs, boilers, TVs, and the like. These IoT devices can be distributed in a network supporting IoT services, monitor the status and surrounding environment in the network in real time, and report through the network.

또한, 상기 외부 단말(300)에서 외부망에 포함된 임의의 단말(100)로의 접속을 시도하는 경우, 상기 외부 단말(300)에서 외부망에 포함된 임의의 다른 단말(200)로의 접속을 시도하는 경우, 상기 외부 단말(300)은 상기 모니터링 장치(400)의 제어(또는 관리)에 따라, 상기 외부 단말(300)에서 상기 외부망에 연결된 단말(100)로의 접속, 상기 외부 단말(300)에서 상기 외부망에 연결된 다른 단말(200)로의 접속 등을 수행하거나 또는, 종료한다.In addition, when the external terminal 300 attempts to access any terminal 100 included in the external network, the external terminal 300 attempts to access any other terminal 200 included in the external network. In this case, the external terminal 300 is connected to the terminal 100 connected to the external network from the external terminal 300 according to the control (or management) of the monitoring device 400, the external terminal 300 In , connection to another terminal 200 connected to the external network is performed or terminated.

즉, 상기 외부 단말(300)에서 외부망에 포함된 임의의 단말(100)로의 접속을 시도하는 경우, 상기 외부 단말(300)에서 외부망에 포함된 임의의 다른 단말(200)로의 접속을 시도하는 경우, 상기 외부 단말(300)은 상기 모니터링 장치(400)의 제어(또는 관리)에 따라, 상기 외부 단말(300)과 관련한 사용자 행동 패턴이 정상 행동 패턴으로 확인되면, 상기 외부 단말(300)에서 상기 외부망에 연결된 단말(100)로의 접속, 상기 외부 단말(300)에서 상기 외부망에 연결된 다른 단말(200)로의 접속 등을 수행한다.That is, when the external terminal 300 attempts to access any terminal 100 included in the external network, the external terminal 300 attempts to access any other terminal 200 included in the external network. In this case, the external terminal 300, according to the control (or management) of the monitoring device 400, when the user behavior pattern related to the external terminal 300 is confirmed as a normal behavior pattern, the external terminal 300 , access to the terminal 100 connected to the external network, and access from the external terminal 300 to another terminal 200 connected to the external network are performed.

또한, 상기 외부 단말(300)에서 외부망에 포함된 임의의 단말(100)로의 접속을 시도하는 경우, 상기 외부 단말(300)에서 외부망에 포함된 임의의 다른 단말(200)로의 접속을 시도하는 경우, 상기 외부 단말(300)은 상기 모니터링 장치(400)의 제어(또는 관리)에 따라, 상기 외부 단말(300)과 관련한 사용자 행동 패턴이 정상 행동 패턴으로 확인되지 않으면(또는 해당 사용자 행동 패턴이 비정상 행동 패턴으로 확인되면), 상기 외부 단말(300)에서 상기 외부망에 연결된 단말(100)로의 접속, 상기 외부 단말(300)에서 상기 외부망에 연결된 다른 단말(200)로의 접속 등을 종료(또는 차단/거부)한다.In addition, when the external terminal 300 attempts to access any terminal 100 included in the external network, the external terminal 300 attempts to access any other terminal 200 included in the external network. In this case, the external terminal 300, according to the control (or management) of the monitoring device 400, if the user behavior pattern related to the external terminal 300 is not confirmed as a normal behavior pattern (or the corresponding user behavior pattern If this abnormal behavior pattern is confirmed), the connection from the external terminal 300 to the terminal 100 connected to the external network, and the connection from the external terminal 300 to another terminal 200 connected to the external network are terminated. (or block/deny).

또한, 상기 수집된 단말(100)과 관련한 사용자 데이터를 근거로 해당 단말(100)의 사용자가 출근 전, 퇴근 후, 반차, 연차, 출장 등으로 해당 단말(100)이 위치한 장소(예를 들어 사무실 등 포함)에 없는 상태에서 해당 단말(100)에서 외부망에 연결된 외부 단말(300)로 접속하여, 해당 단말(100)에 저장된 하나 이상의 파일을 해당 외부 단말(300)로 전송을 시도하는 경우(또는 전송하는 경우), 상기 외부 단말(300)은 상기 모니터링 장치(400)의 제어에 의해, 유효 기간(예를 들어 1일), 복호화 횟수(예를 들어 3회), 암호화 과정 등이 적용된 하나 이상의 파일을 수신한다.In addition, based on the collected user data related to the terminal 100, the location where the terminal 100 is located (for example, an office In the case of attempting to transmit one or more files stored in the terminal 100 to the external terminal 300 by accessing the external terminal 300 connected to the external network from the terminal 100 in a state where there is no (including etc.) ( or in case of transmission), the external terminal 300, under the control of the monitoring device 400, the validity period (eg, 1 day), the number of decryption (eg, 3 times), the encryption process, etc. are applied. Receive more than one file.

또한, 상기 외부 단말(300)은 해당 단말(100)과 관련해서 미리 설정된 암호화 및 복호화를 위한 키를 근거로 상기 수신된 암호화된 하나 이상의 파일을 복호화하고, 상기 복호화된 하나 이상의 파일을 표시(또는 저장/관리)한다. 이때, 상기 단말(100)과 관련해서 미리 설정된 암호화 및 복호화를 위한 키는 해당 외부 단말(300)에서 미리 저장 중인 상태이거나 또는, 해당 모니터링 장치(400)와의 인증 과정 수행 후 제공받을 수 있다.In addition, the external terminal 300 decrypts the received one or more encrypted files based on a key for encryption and decryption preset in relation to the corresponding terminal 100, and displays the one or more decrypted files (or store/manage). At this time, the key for encryption and decryption preset in relation to the terminal 100 may be stored in advance in the corresponding external terminal 300 or may be provided after an authentication process with the corresponding monitoring device 400 is performed.

또한, 상기 수신된 암호화된 하나 이상의 파일(또는 상기 수신된 하나 이상의 파일)에 대해서 유효 기간이 설정된 상태인 경우, 상기 외부 단말(300)은 상기 유효 기간이 지나면 해당 외부 단말(300)에서 저장 중인 상기 수신된 암호화된 하나 이상의 파일, 복호화된 하나 이상의 파일 등을 자동 삭제한다.In addition, when the validity period is set for the one or more received encrypted files (or the one or more received files), the external terminal 300 is stored in the external terminal 300 after the validity period has elapsed. The received one or more encrypted files and one or more decrypted files are automatically deleted.

또한, 상기 수신된 암호화된 하나 이상의 파일(또는 상기 수신된 하나 이상의 파일)에 대해서 복호화 횟수가 설정된 상태인 경우, 상기 외부 단말(300)은 상기 수신된 암호화된 하나 이상의 파일에 대해서 상기 복호화 횟수 이상 복호화 기능을 수행하지 않도록 구성(또는 제어/관리)하며, 해당 복호화 횟수 이상 복호화 기능 시도가 있는 경우 해당 암호화된 파일을 자동 삭제할 수도 있다.In addition, when the number of times of decryption is set for the one or more received encrypted files (or the one or more received files), the external terminal 300 may set the number of times of decryption or more for the one or more received encrypted files. It is configured (or controlled/managed) so that the decryption function is not performed, and the encrypted file may be automatically deleted if the decryption function is attempted more than the number of times of decryption.

또한, 상기 외부 단말(300)에서 바이러스 감염/유포, 디도스 공격, 해킹 시도 등이 발생하는 경우, 상기 외부 단말(300))은 상기 모니터링 장치(400)의 제어에 의해, 외부망으로 접속을 일시 차단하고, 해당 바이러스 감염/유포, 디도스 공격, 해킹 시도 등에 대응하는 패치 프로그램을 설치한다.In addition, when virus infection/distribution, DDoS attack, hacking attempt, etc. occur in the external terminal 300, the external terminal 300 is controlled by the monitoring device 400 to access the external network. Temporarily block it, and install a patch program to respond to virus infection/distribution, DDoS attack, hacking attempt, etc.

또한, 상기 패치 프로그램을 설치한 외부 단말(300)은 상기 모니터링 장치(400)의 제어에 의해, 외부망으로의 접속을 수행할 수 있다.In addition, the external terminal 300 in which the patch program is installed can access an external network under the control of the monitoring device 400 .

또한, 상기 외부 단말(300)은 상기 연결된 단말(100), 상기 다른 단말(200) 등과 다양한 정보(또는 데이터/패킷)를 송/수신한다.In addition, the external terminal 300 transmits/receives various information (or data/packets) to the connected terminal 100 and other terminals 200 and the like.

또한, 원격 관리를 위해서, 상기 외부 단말(300)에서 내부망 내의 또 다른 특정 단말(100)에 접속을 시도하는 경우, 상기 외부 단말(300)은 상기 모니터링 장치(400)에 의해 인증 과정을 수행한다.In addition, for remote management, when the external terminal 300 attempts to access another specific terminal 100 within the internal network, the external terminal 300 performs an authentication process by the monitoring device 400. do.

상기 외부 단말(300)에 대한 인증에 실패한 경우, 상기 외부 단말(300)은 상기 모니터링 장치(400)의 제어에 의해, 해당 특정 단말(100)로의 접속이 차단된다.If the external terminal 300 fails to authenticate, the external terminal 300 is blocked from accessing the specific terminal 100 under the control of the monitoring device 400 .

또한, 상기 외부 단말(300)에 대한 인증에 성공한 경우, 상기 외부 단말(300)은 상기 모니터링 장치(400)의 제어에 의해, 해당 특정 단말(100)로의 접속 기능을 수행한다.In addition, when authentication of the external terminal 300 is successful, the external terminal 300 performs an access function to the specific terminal 100 under the control of the monitoring device 400 .

상기 모니터링 장치(400)는 상기 단말(100), 상기 다른 단말(200), 상기 외부 단말(300) 등과 통신한다. 이때, 상기 모니터링 장치(400)는 해당 복수의 단말(100)을 구성하는 내부망, 해당 복수의 다른 단말(200)을 구성하는 내부망 등에 포함될 수 있다.The monitoring device 400 communicates with the terminal 100 , the other terminal 200 , and the external terminal 300 . In this case, the monitoring device 400 may be included in an internal network constituting the plurality of terminals 100 and an internal network constituting the plurality of other terminals 200 .

또한, 상기 모니터링 장치(400)는 해당 외부 단말(300)과 상기 단말(100)/상기 다른 단말(200) 사이에 구성할 수 있다.In addition, the monitoring device 400 can be configured between the corresponding external terminal 300 and the terminal 100 / the other terminal 200 .

본 발명의 실시예에서는 상기 모니터링 장치(400)가 스탠드얼론(standalone) 형태로 구성되는 것을 설명하고 있으나, 이에 한정되는 것은 아니며, 상기 모니터링 장치(400)에서 제공되는 다양한 기능은 애플리케이션 형태(예를 들어 서버, PC 등에 설치되는 제품, 설치 도중 정의된 접속 포트 변경, 관리자 계정으로만 설치 가능, 라이선스 발급 형태 등 포함), 스위치나 센서 형태(예를 들어 어그리게이션 탭(Aggregation Tap), 브리지(bridge), 스위치(switch) 형태의 제품으로, 관리 IP(management IP)는 설정 가능하나 접속은 되지 않도록 구성 등 포함) 등으로 구성할 수도 있다.In the embodiment of the present invention, it has been described that the monitoring device 400 is configured in a standalone form, but is not limited thereto, and various functions provided by the monitoring device 400 are applied in the form of applications (eg, For example, products installed on servers, PCs, etc., changes in access ports defined during installation, installation possible only with an administrator account, license issuance type, etc.), switch or sensor type (eg aggregation tap, bridge (for example, aggregation tap), bridge ( It is a product in the form of a bridge) or switch, and can be configured with management IP (management IP) settable but not connected (including configuration, etc.).

또한, 상기 모니터링 장치(400)는 해당 모니터링 장치(400)에서 제공되는 다양한 기능을 USB 설치 파일 형태, 온라인 다운로드 형태 등으로 제공할 수도 있다.In addition, the monitoring device 400 may provide various functions provided by the corresponding monitoring device 400 in the form of a USB installation file or an online download.

또한, 상기 단말(100), 상기 다른 단말(200), 상기 외부 단말(300), 상기 모니터링 장치(400) 사이에는 방화벽, 스위치 등이 구성될 수 있다.In addition, a firewall, a switch, and the like may be configured between the terminal 100, the other terminal 200, the external terminal 300, and the monitoring device 400.

또한, 내부망에 연결된 복수의 단말(100) 중 특정 단말(100)에서 내부망에 연결된 단말(100)로의 접속을 시도하는 경우 또는, 외부망에 연결된 다른 단말(200)로의 접속을 시도하는 경우 또는, 외부 단말(300)로의 접속을 시도하는 경우, 상기 모니터링 장치(400)는 해당 단말(100)과 관련한 사용자 로그, 사용자 데이터 등을 수집한다. 이때, 상기 모니터링 장치(400)는 전체 네트워크 토폴로지에서 복수의 장치(100, 200, 300) 간에 송/수신되는 패킷(또는 데이터/정보)을 수집할 수 있도록 구성한다. 여기서, 상기 사용자 로그는 해당 특정 단말(100)의 IP 주소(또는 소스 IP 주소), 접속하고자 하는 목적지 IP 주소(또는 해당 다른 단말(200)/외부 단말(300)의 IP 주소), 접속 날짜 및 시각 정보, 해당 특정 단말(100)에서 실행 중인 앱 정보 등을 포함한다. 또한, 상기 사용자 데이터는 해당 특정 단말(100)의 사용자와 관련한 출근 시각 정보, 퇴근 시각 정보, 연차 정보, 반차 정보, 출장 정보 등을 포함한다. 이때, 상기 모니터링 장치(400)는 해당 내부망을 관리하는 관리자 단말(미도시) 또는 해당 내부망과 관련한 데이터베이스(미도시)로부터 해당 단말별 사용자 데이터를 수집할 수도 있다.In addition, when a specific terminal 100 among a plurality of terminals 100 connected to the internal network tries to access the terminal 100 connected to the internal network or when trying to access another terminal 200 connected to the external network Alternatively, when access to the external terminal 300 is attempted, the monitoring device 400 collects user logs and user data related to the corresponding terminal 100 . At this time, the monitoring device 400 is configured to collect packets (or data/information) transmitted/received between the plurality of devices 100, 200, and 300 in the entire network topology. Here, the user log includes the IP address (or source IP address) of the specific terminal 100, the destination IP address to be accessed (or the IP address of the other terminal 200/external terminal 300), the access date and It includes time information, information on an app running in the specific terminal 100, and the like. In addition, the user data includes information about the time of arrival, time of leaving, annual leave information, class information, and business trip information related to the user of the specific terminal 100 . At this time, the monitoring device 400 may collect user data for each terminal from an administrator terminal (not shown) managing the corresponding internal network or a database (not shown) related to the internal network.

또한, 상기 모니터링 장치(400)는 상기 수집된 해당 단말(100)의 사용자와 관련한 사용자 로그, 사용자 데이터 등을 분석하여, 해당 단말(100)의 사용자와 관련한 사용자 행동 패턴을 생성한다.In addition, the monitoring device 400 analyzes the collected user logs and user data related to the user of the corresponding terminal 100 and generates a user behavior pattern related to the user of the corresponding terminal 100 .

이때, 상기 모니터링 장치(400)는 상기 수집된 해당 단말(100)의 사용자와 관련한 사용자 로그, 사용자 데이터 등을 근거로 인공지능 기반의 기계 학습을 수행하여, 기계 학습 결과를 근거로 해당 단말(100)의 사용자와 관련한 사용자 행동 패턴을 생성(또는 계산/산출/설정/결정)할 수도 있다.At this time, the monitoring device 400 performs artificial intelligence-based machine learning based on the collected user log, user data, etc. related to the user of the corresponding terminal 100, and based on the machine learning result, the corresponding terminal 100 ) may generate (or calculate/calculate/set/determine) a user behavior pattern related to the user.

즉, 상기 모니터링 장치(400)는 상기 수집된 해당 단말(100)의 사용자와 관련한 사용자 로그, 사용자 데이터 등을 미리 학습된 사용자 행동 패턴 분석 모델의 입력값으로 하여 기계 학습(또는 인공지능/딥 러닝)을 수행하고, 기계 학습 결과(또는 인공지능 결과/딥 러닝 결과)를 근거로 해당 단말(100)의 사용자와 관련한 사용자 행동 패턴을 생성한다.That is, the monitoring device 400 performs machine learning (or artificial intelligence/deep learning) by using the collected user log, user data, etc. ), and based on the machine learning result (or artificial intelligence result/deep learning result), a user behavior pattern related to the user of the terminal 100 is generated.

또한, 상기 모니터링 장치(400)는 상기 생성된 사용자 행동 패턴이 미리 설정된 정상 행동 패턴인지 여부를 판단(또는 확인)한다.In addition, the monitoring device 400 determines (or confirms) whether the generated user behavior pattern is a preset normal behavior pattern.

즉, 상기 모니터링 장치(400)는 상기 생성된 사용자 행동 패턴이 미리 설정된 정상 행동 정책에 포함되는지 여부를 판단한다.That is, the monitoring device 400 determines whether the generated user behavior pattern is included in a preset normal behavior policy.

예를 들어, 상기 모니터링 장치(400)는 상기 생성된 사용자 행동 패턴이 미리 설정된 정상 행동 정책인 해당 단말(100)의 사용자가 출근 상태에서 해당 단말(100)이 사용 중인 경우, 해당 단말(100)의 사용자가 출근 상태에서 해당 단말(100)이 내부망 또는 외부망에 대한 접근을 시도하는 경우 등에 해당하는지 여부를 판단한다.For example, the monitoring device 400 monitors the corresponding terminal 100 when the user of the terminal 100 whose generated user behavior pattern is a preset normal behavior policy is in use while the user of the corresponding terminal 100 is in an office state. It is determined whether or not the corresponding terminal 100 is trying to access the internal network or the external network while the user of the user is at work.

다른 예를 들어, 상기 모니터링 장치(400)는 상기 생성된 사용자 행동 패턴이 미리 설정된 비정상 행동 정책인 해당 단말(100)의 사용자가 퇴근 상태에서 해당 단말(100)이 사용 중인 경우, 해당 단말(100)의 사용자가 퇴근 상태에서 해당 단말(100)이 내부망 또는 외부망에 대한 접근을 시도하는 경우, 해당 단말(100)의 사용자가 반차 사용 중, 연차 사용 중, 출장 중, 병가 중 등으로 자리를 비운 상태에서 해당 단말(100)이 내부망 또는 외부망에 대한 접근을 시도하는 경우 등에 해당하는지 여부를 판단한다.For another example, the monitoring device 400 may monitor the corresponding terminal 100 when the user of the terminal 100 whose generated user behavior pattern is a preset abnormal behavior policy is using the terminal 100 while leaving work. ) When the user of the terminal 100 attempts to access the internal network or the external network while the user is away from work, the user of the terminal 100 is in use for half a day, uses an annual leave, is on a business trip, is on sick leave, etc. It is determined whether it corresponds to the case where the corresponding terminal 100 attempts to access the internal network or the external network in the empty state.

상기 판단 결과(또는 상기 확인 결과), 상기 사용자 행동 패턴이 정상 행동 패턴인 경우, 상기 모니터링 장치(400)는 해당 특정 단말(100)에서의 접속 시도가 정상적인 것으로 확인하고, 해당 특정 단말(100)에서 상기 내부망에 연결된 단말(100)로의 접속, 해당 특정 단말(100)에서 상기 외부망에 연결된 다른 단말(200)로의 접속, 해당 특정 단말(100)에서 상기 외부 단말(300)로의 접속 등을 허용한다.As a result of the determination (or the confirmation result), when the user behavior pattern is a normal behavior pattern, the monitoring device 400 confirms that the access attempt in the specific terminal 100 is normal, and the specific terminal 100 Access to the terminal 100 connected to the internal network, access from the specific terminal 100 to another terminal 200 connected to the external network, access from the specific terminal 100 to the external terminal 300, etc. allow

또한, 상기 판단 결과(또는 상기 확인 결과), 상기 사용자 행동 패턴이 정상 행동 패턴이 아닌 경우(또는 상기 사용자 행동 패턴이 비정상 행동 패턴인 경우), 상기 모니터링 장치(400)는 해당 특정 단말(100)에서의 접속 시도가 비정상적인 것으로 확인하고, 해당 특정 단말(100)에서 상기 내부망에 연결된 단말(100)로의 접속, 해당 특정 단말(100)에서 상기 외부망에 연결된 다른 단말(200)로의 접속, 해당 특정 단말(100)에서 상기 외부 단말(300)로의 접속 등을 차단한다.In addition, as a result of the determination (or the confirmation result), when the user behavior pattern is not a normal behavior pattern (or when the user behavior pattern is an abnormal behavior pattern), the monitoring device 400 determines the specific terminal 100 It is confirmed that the access attempt is abnormal, and access from the specific terminal 100 to the terminal 100 connected to the internal network, access from the specific terminal 100 to another terminal 200 connected to the external network, Access from the specific terminal 100 to the external terminal 300 is blocked.

또한, 상기 모니터링 장치(400)에서 망 분리된 내부망에 연결된 복수의 단말(100) 중 다른 특정 단말(100)에서의 바이러스 감염/유포, 디도스 공격, 해킹 시도 등을 감지하는 경우, 상기 모니터링 장치(400)는 해당 다른 특정 단말(100)과 관련한 내부망에 연결된 전체 복수의 단말(100)을 대상으로 해당 바이러스 감염/유포, 디도스 공격, 해킹 시도 등에 대응하는 패치 프로그램을 강제로 설치한다. 여기서, 상기 패치 프로그램은 해당 복수의 단말(100)을 상기 바이러스, 상기 디도스 공격, 상기 해킹 시도 등으로부터 보호하기 위한 보안 프로그램일 수 있다. 이때, 상기 모니터링 장치(400)는 상기 다른 특정 단말(100)과 관련한 내부망에서 외부의 다른 단말(200, 300)과의 연결을 일시 차단할 수 있다.In addition, when the monitoring device 400 detects virus infection/distribution, DDoS attack, hacking attempt, etc. in another specific terminal 100 among a plurality of terminals 100 connected to the network-separated internal network, the monitoring The device 400 forcibly installs a patch program corresponding to virus infection/distribution, DDoS attack, hacking attempt, etc., targeting all the plurality of terminals 100 connected to the internal network related to the other specific terminal 100. . Here, the patch program may be a security program for protecting the plurality of terminals 100 from the virus, the DDoS attack, and the hacking attempt. At this time, the monitoring device 400 may temporarily block the connection with other external terminals 200 and 300 in the internal network related to the other specific terminal 100 .

즉, 상기 모니터링 장치(400)는 통신망을 통해 패킷(또는 데이터/정보)을 송수신하는 다양한 단말(100, 200, 300)로부터 복수의 패킷을 수집한다.That is, the monitoring device 400 collects a plurality of packets from various terminals 100, 200, and 300 that transmit and receive packets (or data/information) through a communication network.

또한, 상기 모니터링 장치(400)에서 상기 수집된 복수의 패킷을 근거로 해당 다른 특정 단말(100)에 대한 바이러스 감염/유포, 디도스 공격, 해킹 시도 등을 감지(또는 확인)하는 경우, 상기 모니터링 장치(400)는 해당 다른 특정 단말(100)과 관련한 내부망에 연결된 전체 복수의 단말(100)을 대상으로 해당 바이러스 감염/유포, 디도스 공격, 해킹 시도 등에 대응하는 패치 프로그램을 강제로 설치한다.In addition, when the monitoring device 400 detects (or confirms) virus infection/distribution, DDoS attack, hacking attempt, etc. for another specific terminal 100 based on the collected plurality of packets, the monitoring The device 400 forcibly installs a patch program corresponding to virus infection/distribution, DDoS attack, hacking attempt, etc., targeting all the plurality of terminals 100 connected to the internal network related to the other specific terminal 100. .

또한, 상기 모니터링 장치(400)는 해당 내부망에 연결된 전체 복수의 단말(100) 중에서 해당 패치 프로그램을 설치한 단말(100)에서만 외부의 다른 내부망에 연결된 다른 단말(200), 상기 외부 단말(300) 등과 통신(또는 연결/접속)할 수 있도록 망 상태를 관리(또는 제어)한다.In addition, the monitoring device 400 is connected to the other terminal 200, the external terminal ( 300) and manages (or controls) the network status so that communication (or connection/connection) is possible.

즉, 상기 모니터링 장치(400)는 상기 다른 특정 단말(100)과 관련한 내부망과 외부의 다른 단말(200, 300) 간에 일시 차단된 망 상태에서, 해당 패치 프로그램을 설치한 단말(100)은 상기 다른 단말(200), 상기 외부 단말(300) 등과 통신할 수 있도록 관리할 수 있다.That is, in a network state in which the monitoring device 400 is temporarily blocked between the internal network related to the other specific terminal 100 and the other external terminals 200 and 300, the terminal 100 having installed the corresponding patch program It can be managed to communicate with other terminals 200 and the external terminal 300 .

또한, 상기 모니터링 장치(400)는 비인가 단말의 네트워크 접근을 통제할 수 있다.In addition, the monitoring device 400 may control network access of unauthorized terminals.

또한, 상기 모니터링 장치(400)는 불법 우회 경로(예를 들어 테더링 등 포함)를 탐지하고, 해당 불법 우회 경로를 통해 다른 단말(200)로의 접근을 시도하는 단말(100)을 차단한다.In addition, the monitoring device 400 detects an illegal detour path (eg, including tethering) and blocks the terminal 100 attempting access to another terminal 200 through the illegal detour path.

또한, 상기 모니터링 장치(400)는 유/무선 사용자 인증 및 사용 이력을 통합 관리한다.In addition, the monitoring device 400 integrates and manages wired/wireless user authentication and usage history.

이와 같이, 상기 모니터링 장치(400)는 네트워크 접근 제어 기능을 수행할 수 있다.In this way, the monitoring device 400 may perform a network access control function.

또한, 상기 모니터링 장치(400)는 상기 수집된 복수의 패킷(또는 상기 통신망을 통해 패킷(또는 데이터/정보)을 송수신하는 다양한 단말(100, 200, 300)로부터 수집된 복수의 패킷)을 근거로 네트워크 환경을 분석하여, 현재 구성된 네트워크 토폴로지에서 특정 구성요소들 사이에 필요한 네트워크 보안 장비(미도시)를 확인한다. 여기서, 상기 네트워크 보안 장비는 방화벽, UTM, APT, IPS, SSL VPN 등을 포함한다.In addition, the monitoring device 400 based on the collected plurality of packets (or a plurality of packets collected from various terminals 100, 200, 300 that transmit and receive packets (or data / information) through the communication network) By analyzing the network environment, necessary network security equipment (not shown) between specific components in the currently configured network topology is identified. Here, the network security equipment includes a firewall, UTM, APT, IPS, SSL VPN, and the like.

즉, 상기 모니터링 장치(400)는 상기 수집된 복수의 패킷(또는 상기 통신망을 통해 패킷(또는 데이터/정보)을 송수신하는 다양한 단말(100, 200, 300)로부터 수집된 복수의 패킷)을 근거로 네트워크 환경을 분석하여, 현재 구성된 네트워크 토폴로지에서 보안 취약점을 확인하고, 상기 확인된 보안 취약점을 해결하기 위한 상기 네트워크 보안 장비를 확인한다.That is, the monitoring device 400 based on the collected plurality of packets (or a plurality of packets collected from various terminals 100, 200, 300 that transmit and receive packets (or data / information) through the communication network) By analyzing the network environment, security vulnerabilities are identified in the currently configured network topology, and the network security equipment for resolving the identified security vulnerabilities is identified.

또한, 상기 모니터링 장치(400)는 상기 확인된 특정 구성요소들 사이에 필요한 네트워크 보안 장비와 관련한 알림 정보를 생성하고, 상기 생성된 알림 정보를 해당 네트워크 보안 장비가 위치할 내부망(또는 다른 내부망)을 관리하는 관리자 단말(또는 다른 관리자 단말(미도시))에 전송한다.In addition, the monitoring device 400 generates notification information related to network security equipment required between the identified specific components, and transmits the generated notification information to an internal network (or other internal network) where the corresponding network security equipment is located. ) is transmitted to a manager terminal (or another manager terminal (not shown)) that manages.

이와 같이, 상기 모니터링 장치(400)는 네트워크 보안과 관련한 통합 기능을 제공할 수 있다.In this way, the monitoring device 400 may provide an integrated function related to network security.

또한, 상기 수집된 단말(100)과 관련한 사용자 데이터를 근거로 해당 단말(100)의 사용자가 출근 전, 퇴근 후, 반차, 연차, 출장 등으로 해당 단말(100)이 위치한 장소(예를 들어 사무실 등 포함)에 없는 상태에서 해당 단말(100)에서 외부망에 연결된 다른 단말(200) 및/또는 외부 단말(300)로 접속하여, 해당 단말(100)에 저장된 하나 이상의 파일을 해당 다른 단말(200) 및/또는 해당 외부 단말(300)로 전송을 시도하는 경우(또는 전송하는 경우), 상기 모니터링 장치(400)는 상기 단말(100)과 관련해서 미리 설정된 암호화 및 복호화를 위한 키를 근거로 해당 하나 이상의 파일을 암호화하고, 상기 암호화된 하나 이상의 파일을 해당 다른 단말(200) 및/또는 해당 외부 단말(300)로 전송한다. 여기서, 상기 모니터링 장치(400)는 해당 하나 이상의 파일에 대해서 유효 기간(예를 들어 1일), 복호화 횟수(예를 들어 3회) 등을 설정한 후, 상기 유효 기간, 상기 복호화 횟수 등이 설정된 하나 이상의 파일(또는 상기 유효 기간, 상기 복호화 횟수 등이 설정된 상태의 암호화된 하나 이상의 파일)을 해당 다른 단말(200) 및/또는 해당 외부 단말(300)로 전송할 수도 있다.In addition, based on the collected user data related to the terminal 100, the location where the terminal 100 is located (for example, an office etc.) in a state where the terminal 100 accesses the other terminal 200 and/or the external terminal 300 connected to the external network, and saves one or more files stored in the terminal 100 to the other terminal 200. ) and/or when attempting to transmit (or transmit) to the corresponding external terminal 300, the monitoring device 400, based on a key for encryption and decryption preset in relation to the terminal 100, corresponds to One or more files are encrypted, and the one or more encrypted files are transmitted to the corresponding other terminal 200 and/or the corresponding external terminal 300 . Here, the monitoring device 400 sets the valid period (for example, 1 day) and the number of times of decoding (eg, 3 times) for the one or more files, and then sets the valid period and the number of times for decoding. One or more files (or one or more encrypted files with the validity period, the number of times of decryption, etc. set) may be transmitted to the corresponding other terminal 200 and/or the corresponding external terminal 300 .

이때, 해당 파일이 전자 문서 파일(예를 들어 텍스트 파일, 파워포인트 파일, 엑셀 파일, 워드 파일, 한글 파일 등 포함)인 경우, 상기 모니터링 장치(400)는 해당 파일을 미리 설정된 포맷(예를 들어 PDF 포맷)으로 변환하고, 상기 미리 설정된 포맷으로 변환된 파일(예를 들어 PDF 파일)을 해당 다른 단말(200) 및/또는 해당 외부 단말(300)로 전송할 수도 있다.At this time, if the file is an electronic document file (eg, including a text file, a PowerPoint file, an Excel file, a Word file, a Hangul file, etc.), the monitoring device 400 converts the file to a preset format (eg, PDF format), and the file (eg, PDF file) converted to the preset format may be transmitted to the corresponding other terminal 200 and/or the corresponding external terminal 300.

또한, 상기 모니터링 장치(400)는 상기 단말(100)에서 전송하고자 하는 하나 이상의 파일을 복수의 IPFS(미도시)에 분산 저장하고, 해당 하나 이상의 파일이 저장된 링크 정보를 해당 다른 단말(200) 및/또는 해당 외부 단말(300)로 전송한다.In addition, the monitoring device 400 distributes and stores one or more files to be transmitted from the terminal 100 in a plurality of IPFS (not shown), and transmits link information in which the one or more files are stored to the corresponding other terminal 200 and / or transmitted to the corresponding external terminal (300).

이와 같이, 상기 단말(100)의 사용자가 해당 단말(100)을 사용할 수 없는 상태(예를 들어 출근 전, 퇴근 후, 연차 중, 반차 중, 출장 중 등 포함)에서 해당 단말(100)에서 내부/외부로의 파일 전송이 시도되는 경우, 상기 모니터링 장치(400)는 정보 보안을 위해서 해당 단말(100)에서 파일을 직접 전송하는 대신에 일정 제약 조건을 해당 파일에 적용한 후 전송할 수 있다.In this way, in a state in which the user of the terminal 100 cannot use the terminal 100 (eg, before going to work, after work, during annual vacation, during half vacation, during a business trip, etc.), the terminal 100 internally / When transmission of a file to the outside is attempted, the monitoring device 400 may transmit after applying certain constraints to the corresponding file instead of directly transmitting the file from the corresponding terminal 100 for information security.

이에 따라, 상기 다른 단말(200) 및/또는 상기 외부 단말(300)은 상기 모니터링 장치(400)로부터 전송되는 링크 정보를 수신하고, 상기 수신된 링크 정보를 근거로 해당 복수의 IPFS에 접속하여, 해당 하나 이상의 파일을 다운로드할 수도 있다.Accordingly, the other terminal 200 and / or the external terminal 300 receives the link information transmitted from the monitoring device 400, accesses the plurality of IPFS based on the received link information, You can also download that one or more files.

또한, 상기 다른 단말(200) 및/또는 상기 외부 단말(300)은 상기 모니터링 장치(400)로부터 전송되는 암호화된 하나 이상의 파일을 수신한다.Also, the other terminal 200 and/or the external terminal 300 receives one or more encrypted files transmitted from the monitoring device 400 .

또한, 상기 다른 단말(200) 및/또는 상기 외부 단말(300)은 해당 단말(100)과 관련해서 미리 설정된 암호화 및 복호화를 위한 키를 근거로 상기 수신된 암호화된 하나 이상의 파일을 복호화하고, 상기 복호화된 하나 이상의 파일을 표시(또는 저장/관리)한다. 이때, 상기 단말(100)과 관련해서 미리 설정된 암호화 및 복호화를 위한 키는 해당 다른 단말(200) 및/또는 해당 외부 단말(300)에서 미리 저장 중인 상태이거나 또는, 해당 모니터링 장치(400)와의 인증 과정 수행 후 제공받을 수 있다.In addition, the other terminal 200 and/or the external terminal 300 decrypts the received one or more encrypted files based on a key for encryption and decryption preset in relation to the corresponding terminal 100, and the Display (or store/manage) one or more decrypted files. At this time, the keys for encryption and decryption preset in relation to the terminal 100 are stored in advance in the corresponding other terminal 200 and/or the corresponding external terminal 300, or authentication with the corresponding monitoring device 400 It can be provided after completing the course.

또한, 상기 수신된 암호화된 하나 이상의 파일(또는 상기 수신된 하나 이상의 파일)에 대해서 유효 기간이 설정된 상태인 경우, 상기 다른 단말(200) 및/또는 상기 외부 단말(300)은 상기 유효 기간이 지나면 해당 다른 단말(200) 및/또는 해당 외부 단말(300)에서 저장 중인 상기 수신된 암호화된 하나 이상의 파일, 복호화된 하나 이상의 파일 등을 자동 삭제한다.In addition, when the validity period is set for the one or more received encrypted files (or the one or more received files), the other terminal 200 and/or the external terminal 300 are not activated after the validity period has elapsed. The received one or more encrypted files, one or more decrypted files, etc. stored in the other terminal 200 and/or the corresponding external terminal 300 are automatically deleted.

또한, 상기 수신된 암호화된 하나 이상의 파일(또는 상기 수신된 하나 이상의 파일)에 대해서 복호화 횟수가 설정된 상태인 경우, 상기 다른 단말(200) 및/또는 상기 외부 단말(300)은 상기 수신된 암호화된 하나 이상의 파일에 대해서 상기 복호화 횟수 이상 복호화 기능을 수행하지 않도록 구성(또는 제어/관리)하며, 해당 복호화 횟수 이상 복호화 기능 시도가 있는 경우 해당 암호화된 파일을 자동 삭제할 수도 있다.In addition, when the number of times of decryption is set for the one or more received encrypted files (or the one or more received files), the other terminal 200 and/or the external terminal 300 transmits the received encrypted files. For one or more files, the decryption function is configured (or controlled/managed) so that the decryption function is not performed more than the number of decryption times, and the corresponding encrypted file may be automatically deleted if the decryption function is attempted more than the number of decryption times.

또한, 상기 모니터링 장치(400)는 블록체인 서버(미도시)와 연동하여, 상기 단말(100)에서 상기 다른 단말(200) 및/또는 상기 외부 단말(300)로 전송한 하나 이상의 파일과 관련한 파일 전송 정보(예를 들어 파일에 대한 정보, 소스 IP 주소, 목적지 IP 주소, 전송 일자 및 시각 정보 등 포함), IPFS와 관련한 IPFS 관리 정보(예를 들어 IPFS에서의 링크 정보, 파일 업로드 일자 및 시각 정보 등 포함), 다운로드 관리 정보(예를 들어 상기 다른 단말(200) 및/또는 상기 외부 단말(300)에서의 링크 정보에 따른 해당 하나 이상의 파일의 다운로드 일자 및 시각 정보, 상기 다른 단말(200) 및/또는 상기 외부 단말(300)의 접속 일자 및 시각 정보, 소스 IP 주소 등 포함) 등을 블록에 저장(또는 등록)한다. 이때, 상기 블록체인 서버는 데이터베이스 서버(미도시)와 연동하여, 상기 수신된 상기 단말(100)에서 상기 다른 단말(200) 및/또는 상기 외부 단말(300)로 전송한 하나 이상의 파일에 대한 정보, 전송 일자 및 시각 정보, IPFS에서의 링크 정보, 상기 다른 단말(200) 및/또는 상기 외부 단말(300)에서의 링크 정보에 따른 해당 하나 이상의 파일의 다운로드 일자 및 시각 정보, 상기 다른 단말(200) 및/또는 상기 외부 단말(300)의 접속 정보 등을 암호화하여 저장할 수도 있다. 여기서, 상기 블록체인 서버는 상기 단말(100)에서 상기 다른 단말(200) 및/또는 상기 외부 단말(300)로 전송하고자 하는 하나 이상의 파일과 관련한 정보에 미리 설정된 합의 알고리즘 방식(예를 들어 POA(Proof of Authority: 권한 증명), POW(Proof of Work: 작업 증명) 등 포함), 스마트 컨트랙트(smart contract) 등을 적용하여, 상기 다른 단말(200) 및/또는 상기 외부 단말(300)로 전송하고자 하는 하나 이상의 파일과 관련한 정보를 상기 블록에 저장할 수도 있다. 여기서, 상기 POA는 확정된 관리주체가 순서대로 돌아가며 블록을 생성(또는 등록된 계정들이 순차로 블록을 생성)함으로써, 자원의 소모와 블록 생성 소요 시간이 상기 POW에 비하여 적다. 이때, 상기 블록체인 서버는 속도와 기밀성의 유지를 위해서 프라이빗 네트워크로 구성할 수 있다. 또한, 상기 스마트 컨트랙트는 블록체인 위에 올려놓은 약속으로, 특정 조건을 만족하면 특정 행동을 취하라는 코드를 거래에 추가하는 것이다.In addition, the monitoring device 400 interworks with a blockchain server (not shown), and files related to one or more files transmitted from the terminal 100 to the other terminal 200 and/or the external terminal 300. Transfer information (e.g. file information, source IP address, destination IP address, transfer date and time information, etc.), IPFS management information related to IPFS (e.g. link information in IPFS, file upload date and time information) etc.), download management information (for example, download date and time information of one or more files according to link information from the other terminal 200 and/or the external terminal 300, the other terminal 200 and / or the access date and time information of the external terminal 300, the source IP address, etc.) are stored (or registered) in the block. At this time, the blockchain server works in conjunction with a database server (not shown) to receive information about one or more files transmitted from the terminal 100 to the other terminal 200 and/or the external terminal 300. , transmission date and time information, link information in IPFS, download date and time information of one or more files according to link information from the other terminal 200 and/or the external terminal 300, the other terminal 200 ) and/or the access information of the external terminal 300 may be encrypted and stored. Here, the blockchain server uses a preset consensus algorithm method (for example, POA (for example, POA To transmit to the other terminal 200 and/or the external terminal 300 by applying Proof of Authority (Proof of Authority), POW (Proof of Work), smart contract, etc. Information related to one or more files to be played may be stored in the block. Here, in the POA, the determined management entity creates blocks in turn (or registered accounts sequentially create blocks), so resource consumption and block creation time are less than that of the POW. At this time, the blockchain server can be configured as a private network to maintain speed and confidentiality. In addition, the smart contract is a promise placed on the blockchain, and a code to take a specific action is added to the transaction when a specific condition is satisfied.

또한, 상기 블록체인 서버는 상기 단말(100)에서 상기 다른 단말(200) 및/또는 상기 외부 단말(300)로 전송하고자 하는 하나 이상의 파일과 관련한 정보의 블록 저장에 따른 트랜잭션 처리 결과를 생성한다. 여기서, 상기 트랜잭션 처리 결과(또는 블록 저장 결과)는 블록 해시값, 블록 번호, 수신자 정보(예를 들어 소유자명, 단말(100)의 식별 정보 등 포함), 트랜잭션 해시값 등을 포함한다.In addition, the blockchain server generates a transaction processing result according to block storage of information related to one or more files to be transmitted from the terminal 100 to the other terminal 200 and/or the external terminal 300. Here, the transaction processing result (or block storage result) includes a block hash value, block number, recipient information (eg, owner name, identification information of the terminal 100, etc.), transaction hash value, and the like.

또한, 상기 블록체인 서버는 상기 생성된 트랜잭션 처리 결과를 상기 모니터링 장치(400)에 전송한다.In addition, the blockchain server transmits the generated transaction processing result to the monitoring device 400.

또한, 상기 모니터링 장치(400)는 상기 블록체인 서버로부터 전송되는 트랜잭션 처리 결과를 수신하고, 상기 수신된 트랜잭션 처리 결과를 저장(또는 관리)한다.In addition, the monitoring device 400 receives a transaction processing result transmitted from the blockchain server, and stores (or manages) the received transaction processing result.

또한, 원격 관리를 위해서, 외부 단말(300)에서 내부망 내의 또 다른 특정 단말(100)에 접속을 시도하는 경우, 상기 모니터링 장치(400)는 해당 외부 단말(300)에 대한 인증을 수행한다.Also, for remote management, when the external terminal 300 attempts to access another specific terminal 100 within the internal network, the monitoring device 400 performs authentication on the corresponding external terminal 300 .

즉, 상기 외부 단말(300)에서 내부망 내의 또 다른 특정 단말(100)에 접속을 시도하는 경우, 상기 모니터링 장치(400)는 해당 외부 단말(300)의 IP 주소가 해당 또 다른 특정 단말(100)과 관련해서 미리 등록된 하나 이상의 IP 주소에 포함된 상태인지 여부를 확인한다. 이때, 상기 모니터링 장치(400)는 해당 외부 단말(300)의 식별 정보를 근거로 해당 외부 단말(300)이 IoT 장치(미도시)인지 여부를 판단할 수도 있다.That is, when the external terminal 300 attempts to access another specific terminal 100 within the internal network, the monitoring device 400 determines that the IP address of the external terminal 300 is the other specific terminal 100. ), it is checked whether it is included in one or more pre-registered IP addresses. At this time, the monitoring device 400 may determine whether the corresponding external terminal 300 is an IoT device (not shown) based on the identification information of the external terminal 300 .

상기 외부 단말(300)에 대한 인증에 실패한 경우, 상기 모니터링 장치(400)는 해당 외부 단말(300)에서의 상기 또 다른 특정 단말(100)로의 접속을 차단한다.When authentication of the external terminal 300 fails, the monitoring device 400 blocks access from the corresponding external terminal 300 to the other specific terminal 100 .

즉, 상기 확인 결과, 해당 외부 단말(300)의 IP 주소가 해당 또 다른 특정 단말(100)과 관련해서 미리 등록된 하나 이상의 IP 주소에 포함되지 않은 상태인 경우, 상기 모니터링 장치(400)는 해당 외부 단말(300)에서의 상기 또 다른 특정 단말(100)로의 접속을 차단한다.That is, as a result of the check, when the IP address of the external terminal 300 is not included in one or more IP addresses pre-registered with respect to another specific terminal 100, the monitoring device 400 Access from the external terminal 300 to the other specific terminal 100 is blocked.

또한, 해당 외부 단말(300)이 IoT 장치인 경우, 상기 모니터링 장치(400)는 해당 외부 단말(300)에서의 상기 또 다른 특정 단말(100)로의 접속을 차단할 수도 있다.In addition, when the corresponding external terminal 300 is an IoT device, the monitoring device 400 may block access from the corresponding external terminal 300 to the other specific terminal 100 .

또한, 상기 외부 단말(300)에 대한 인증에 성공한 경우, 상기 모니터링 장치(400)는 해당 외부 단말(300)에서의 상기 또 다른 특정 단말(100)로의 접속을 허용(또는 허가)한다.In addition, when authentication of the external terminal 300 is successful, the monitoring device 400 permits (or permits) access from the corresponding external terminal 300 to the other specific terminal 100 .

즉, 상기 확인 결과, 해당 외부 단말(300)의 IP 주소가 해당 또 다른 특정 단말(100)과 관련해서 미리 등록된 하나 이상의 IP 주소에 포함된 경우, 상기 모니터링 장치(400)는 해당 외부 단말(300)에서의 상기 또 다른 단말(100)로의 접속을 허용한다.That is, as a result of the confirmation, when the IP address of the external terminal 300 is included in one or more IP addresses pre-registered in relation to the other specific terminal 100, the monitoring device 400 is the corresponding external terminal ( 300) allows access to the other terminal 100.

또한, 해당 외부 단말(300)의 IP 주소가 해당 또 다른 특정 단말(100)과 관련해서 미리 등록된 하나 이상의 IP 주소에 포함되고, 해당 외부 단말(300)이 IoT 장치가 아닌 경우, 상기 모니터링 장치(400)는 해당 외부 단말(300)에서의 상기 또 특정 다른 단말(100)로의 접속을 허용할 수도 있다.In addition, when the IP address of the external terminal 300 is included in one or more IP addresses pre-registered with respect to another specific terminal 100, and the external terminal 300 is not an IoT device, the monitoring device (400) may allow access from the external terminal 300 to the other specific terminal 100.

또한, 상기 모니터링 장치(400)는 자료 연계 기능으로 악성코드 유입을 방지하고, 내부 자료 유출 방지 기능을 제공한다.In addition, the monitoring device 400 prevents the inflow of malicious codes through a data linkage function and provides a function to prevent leakage of internal data.

또한, 상기 모니터링 장치(400)는 분리된 내부망과 외부망 구간 스트림 연계 기능을 제공한다.In addition, the monitoring device 400 provides a function of linking streams between the separated internal network and the external network.

또한, 상기 모니터링 장치(400)는 메일 송/수신 연계를 지원(또는 제공)한다.In addition, the monitoring device 400 supports (or provides) mail transmission/reception linkage.

이와 같이, 상기 모니터링 장치(400)는 망연계 솔루션 기능을 제공할 수 있다.In this way, the monitoring device 400 may provide a network connection solution function.

또한, 상기 모니터링 장치(400)는 소스 코드 보안 약점을 분석하는 도구(또는 기능)를 제공한다.In addition, the monitoring device 400 provides a tool (or function) for analyzing source code security weaknesses.

또한, 상기 모니터링 장치(400)는 다양한 소스코드 언어와 점검 항목을 제공한다.In addition, the monitoring device 400 provides various source code languages and inspection items.

또한, 상기 모니터링 장치(400)는 빠르고 정확한 분석과 취약점 내비게이터 기능을 제공한다.In addition, the monitoring device 400 provides fast and accurate analysis and vulnerability navigator functions.

이와 같이, 상기 모니터링 장치(400)는 시큐어 코딩 솔루션을 제공할 수 있다.In this way, the monitoring device 400 can provide a secure coding solution.

또한, 상기 모니터링 장치(400)는 상기 외부 단말(300)에서 상기 또 다른 특정 단말(100)로 업로드하는 업로드 파일에 대한 정보, 상기 외부 단말(300)에서 상기 또 다른 특정 단말(100)로부터 다운로드하는 다운로드 파일에 대한 정보, 상기 외부 단말(300)의 접속 날짜 및 시각 정보, 상기 외부 단말(300)에서의 사용 앱 정보 등을 포함하는 로그 기록을 상기 블록체인 서버 내의 다른 블록에 저장한다.In addition, the monitoring device 400 provides information on an upload file uploaded from the external terminal 300 to another specific terminal 100, and downloads from the external terminal 300 from another specific terminal 100. Log records including information about downloaded files, access date and time information of the external terminal 300, information on apps used in the external terminal 300, etc. are stored in other blocks in the blockchain server.

또한, 상기 블록체인 서버는 상기 외부 단말에서 상기 또 다른 특정 단말(100)로 업로드하는 업로드 파일과 관련한 정보나, 상기 또 다른 특정 단말(100)로부터 다운로드하는 다운로드 파일과 관련한 정보의 블록 저장에 따른 다른 트랜잭션 처리 결과를 생성한다. 여기서, 상기 다른 트랜잭션 처리 결과(또는 다른 블록 저장 결과)는 다른 블록 해시값, 다른 블록 번호, 다른 수신자 정보(예를 들어 소유자명, 외부 단말(300)의 식별 정보, 또 다른 특정 단말(100)의 식별 정보 등 포함), 다른 트랜잭션 해시값 등을 포함한다.In addition, the block chain server stores information related to an upload file uploaded from the external terminal to another specific terminal 100 or information related to a download file downloaded from the other specific terminal 100 according to block storage Generates other transaction processing results. Here, the other transaction processing result (or other block storage result) is another block hash value, another block number, other recipient information (eg owner name, identification information of the external terminal 300, another specific terminal 100) identification information, etc.), other transaction hash values, etc.

또한, 상기 블록체인 서버는 상기 생성된 다른 트랜잭션 처리 결과를 상기 모니터링 장치(400)에 전송한다.In addition, the blockchain server transmits the generated other transaction processing result to the monitoring device 400.

또한, 상기 모니터링 장치(400)는 상기 블록체인 서버로부터 전송되는 다른 트랜잭션 처리 결과를 수신하고, 상기 수신된 다른 트랜잭션 처리 결과를 저장(또는 관리)한다.In addition, the monitoring device 400 receives another transaction processing result transmitted from the blockchain server, and stores (or manages) the received other transaction processing result.

이때, 상기 모니터링 장치(400)는 상기 업로드 파일에 대한 정보 및/또는 상기 다운로드 파일에 대한 정보로부터 키워드를 추출하고, 상기 추출된 키워드가 미리 설정된 보안 키워드에 해당하는지 여부를 판단한다.At this time, the monitoring device 400 extracts a keyword from the information on the uploaded file and/or the information on the download file, and determines whether the extracted keyword corresponds to a preset security keyword.

상기 판단 결과, 상기 추출된 키워드가 미리 설정된 보안 키워드에 해당하지 않은 경우, 상기 모니터링 장치(400)는 모니터링 기능을 계속하여 수행한다.As a result of the determination, when the extracted keyword does not correspond to a preset security keyword, the monitoring device 400 continues to perform the monitoring function.

또한, 상기 판단 결과, 상기 추출된 키워드가 미리 설정된 보안 키워드에 해당하는 경우, 상기 모니터링 장치(400)는 해당 업로드 파일의 업로드 과정, 해당 다운로드 파일의 다운로드 과정 등을 일시 중단하고, 알람 정보를 해당 또 다른 단말(100)과 관련한 내부망을 관리하는 관리자 단말에 전송한다. 이때, 상기 관리자 단말은 해당 관리자 단말의 관리자 제어에 따라 상기 일시 중단된 해당 업로드 파일의 업로드 과정의 재개 여부, 해당 다운로드 파일의 다운로드 과정의 재개 여부를 결정할 수 있다.In addition, as a result of the determination, when the extracted keyword corresponds to a preset security keyword, the monitoring device 400 temporarily suspends the process of uploading a corresponding upload file, the process of downloading a corresponding download file, etc., and sends alarm information to the corresponding It is transmitted to an administrator terminal that manages an internal network related to another terminal 100 . At this time, the manager terminal may determine whether or not to resume the upload process of the temporarily suspended upload file and whether to resume the download process of the download file according to the control of the manager of the corresponding manager terminal.

이와 같이, 접속을 시도하는 단말과 관련한 사용자 로그, 사용자 데이터 등을 수집하고, 수집된 사용자 로그, 사용자 데이터 등을 분석하여 사용자 행동 패턴을 생성하고, 생성된 사용자 행동 패턴이 비정상 행동 패턴으로 확인되는 경우 해당 단말의 접속을 강제로 차단할 수 있다.In this way, user logs and user data related to the terminal attempting access are collected, and user behavior patterns are generated by analyzing the collected user logs and user data, and the generated user behavior patterns are identified as abnormal behavior patterns. In this case, the access of the corresponding terminal can be forcibly blocked.

또한, 이와 같이, 망 분리된 사내망에 연결된 복수의 단말 중에서 특정 단말에서 바이러스, 디도스 공격, 해킹 시도 등이 감지되는 경우, 해당 특정 단말과 관련한 사내망에 연결된 전체 복수의 단말을 대상으로 해당 바이러스, 디도스 공격, 해킹 시도 등에 대응하는 패치 프로그램을 강제로 설치할 수 있다.In addition, when a virus, DDoS attack, hacking attempt, etc. is detected in a specific terminal among a plurality of terminals connected to the network-separated internal network, the corresponding terminal is targeted at all terminals connected to the internal network related to the specific terminal. You can forcibly install patch programs that respond to viruses, DDoS attacks, and hacking attempts.

또한, 이와 같이, 외부 단말에서 망 분리된 사내망에 연결된 복수의 단말 중에서 다른 단말에 대한 접속을 시도하는 경우, 해당 단말에 대한 인증 수행 후, 해당 단말의 로그 기록을 블록체인에 등록하고, 해당 단말에서 다른 단말로 업로드하거나 다운로드하는 파일을 IPFS에 분산 저장할 수 있다.In addition, in this way, when an external terminal attempts to access another terminal among a plurality of terminals connected to the network-separated internal network, after performing authentication for the terminal, the log record of the terminal is registered in the blockchain, and the corresponding terminal Files uploaded or downloaded from one terminal to another terminal can be distributed and stored in IPFS.

이하에서는, 본 발명에 따른 망연계 기반의 정보와 네트워크 보안 관제 방법을 도 1 내지 도 3을 참조하여 상세히 설명한다.Hereinafter, a network connection-based information and network security control method according to the present invention will be described in detail with reference to FIGS. 1 to 3.

도 2 내지 도 3은 본 발명의 실시예에 따른 망연계 기반의 정보와 네트워크 보안 관제 방법을 나타낸 흐름도이다.2 and 3 are flowcharts illustrating a network connection-based information and network security control method according to an embodiment of the present invention.

먼저, 내부망에 연결된 복수의 단말(100) 중 특정 단말(100)에서 내부망에 연결된 단말(100)로의 접속을 시도하는 경우 또는, 외부망에 연결된 다른 단말(200)로의 접속을 시도하는 경우 또는, 외부 단말(300)로의 접속을 시도하는 경우, 모니터링 장치(400)는 해당 단말(100)과 관련한 사용자 로그, 사용자 데이터 등을 수집한다. 이때, 상기 모니터링 장치(400)는 전체 네트워크 토폴로지에서 복수의 장치(100, 200, 300) 간에 송/수신되는 패킷(또는 데이터/정보)을 수집할 수 있도록 구성한다. 여기서, 상기 사용자 로그는 해당 특정 단말(100)의 IP 주소(또는 소스 IP 주소), 접속하고자 하는 목적지 IP 주소(또는 해당 다른 단말(200)/외부 단말(300)의 IP 주소), 접속 날짜 및 시각 정보, 해당 특정 단말(100)에서 실행 중인 앱 정보 등을 포함한다. 또한, 상기 사용자 데이터는 해당 특정 단말(100)의 사용자와 관련한 출근 시각 정보, 퇴근 시각 정보, 연차 정보, 반차 정보, 출장 정보 등을 포함한다. 이때, 상기 모니터링 장치(400)는 해당 내부망을 관리하는 관리자 단말(미도시) 또는 해당 내부망과 관련한 데이터베이스(미도시)로부터 해당 단말별 사용자 데이터를 수집할 수도 있다.First, when a specific terminal 100 among a plurality of terminals 100 connected to the internal network tries to access the terminal 100 connected to the internal network or when trying to access another terminal 200 connected to the external network Alternatively, when access to the external terminal 300 is attempted, the monitoring device 400 collects user logs and user data related to the corresponding terminal 100 . At this time, the monitoring device 400 is configured to collect packets (or data/information) transmitted/received between the plurality of devices 100, 200, and 300 in the entire network topology. Here, the user log includes the IP address (or source IP address) of the specific terminal 100, the destination IP address to be accessed (or the IP address of the other terminal 200/external terminal 300), the access date and It includes time information, information on an app running in the specific terminal 100, and the like. In addition, the user data includes information about the time of arrival, time of leaving, annual leave information, class information, and business trip information related to the user of the specific terminal 100 . At this time, the monitoring device 400 may collect user data for each terminal from an administrator terminal (not shown) managing the corresponding internal network or a database (not shown) related to the internal network.

일 예로, ABCDE 회사 내의 제 1 내부망에 연결된 복수의 단말(100) 중 제 1 단말(100)에서 ASDFG 회사 내의 제 101 내부망에 연결된 복수의 다른 단말(200) 중 제 103 단말(200)로의 접속을 시도할 때, 상기 모니터링 장치(400)는 상기 제 1 단말과 관련한 제 1 사용자 로그(예를 들어 해당 제 1 단말의 IP 주소, 해당 제 103 단말의 IP 주소, 접속 날짜 및 시각인 2022년 07월 1일 오전 11시 20분 10초, 해당 제 1 단말에서 실행 중인 제 1-5 앱 정보 등 포함), 해당 제 1 단말의 제 1 사용자와 관련한 제 1 사용자 데이터(예를 들어 2022년 07월 01일 ~ 2022년 07월 08일까지의 출근 시각 정보 및 퇴근 시각 정보, 제 1 연차 정보: 2022년 07월 11일, 제 1 출장 정보: 2022년 07월 18일 ~ 2022년 07월 22일 등 포함) 등을 수집한다(S210).For example, from a first terminal 100 among a plurality of terminals 100 connected to the first internal network in ABCDE company to a 103rd terminal 200 among a plurality of other terminals 200 connected to the 101st internal network in ASDFG company When access is attempted, the monitoring device 400 records a first user log related to the first terminal (for example, the IP address of the first terminal, the IP address of the corresponding 103rd terminal, the date and time of access in 2022) July 1 at 11:20:10 AM, including information on the 1st-5 apps running on the first terminal), the first user data related to the first user of the first terminal (for example, July 2022 Month 01 to July 08, 2022 Start time information and leave time information, 1st annual information: July 11, 2022, 1st business trip information: July 18, 2022 to July 22, 2022 etc.) and the like are collected (S210).

이후, 상기 모니터링 장치(400)는 상기 수집된 해당 단말(100)의 사용자와 관련한 사용자 로그, 사용자 데이터 등을 분석하여, 해당 단말(100)의 사용자와 관련한 사용자 행동 패턴을 생성한다.Thereafter, the monitoring device 400 analyzes the collected user logs and user data related to the user of the corresponding terminal 100 and generates a user behavior pattern related to the user of the corresponding terminal 100 .

이때, 상기 모니터링 장치(400)는 상기 수집된 해당 단말(100)의 사용자와 관련한 사용자 로그, 사용자 데이터 등을 근거로 인공지능 기반의 기계 학습을 수행하여, 기계 학습 결과를 근거로 해당 단말(100)의 사용자와 관련한 사용자 행동 패턴을 생성(또는 계산/산출/설정/결정)할 수도 있다.At this time, the monitoring device 400 performs artificial intelligence-based machine learning based on the collected user log, user data, etc. related to the user of the corresponding terminal 100, and based on the machine learning result, the corresponding terminal 100 ) may generate (or calculate/calculate/set/determine) a user behavior pattern related to the user.

즉, 상기 모니터링 장치(400)는 상기 수집된 해당 단말(100)의 사용자와 관련한 사용자 로그, 사용자 데이터 등을 미리 학습된 사용자 행동 패턴 분석 모델의 입력값으로 하여 기계 학습(또는 인공지능/딥 러닝)을 수행하고, 기계 학습 결과(또는 인공지능 결과/딥 러닝 결과)를 근거로 해당 단말(100)의 사용자와 관련한 사용자 행동 패턴을 생성한다.That is, the monitoring device 400 performs machine learning (or artificial intelligence/deep learning) by using the collected user log, user data, etc. ), and based on the machine learning result (or artificial intelligence result/deep learning result), a user behavior pattern related to the user of the terminal 100 is generated.

일 예로, 상기 모니터링 장치(400)는 상기 수집된 제 1 단말과 관련한 제 1 사용자 로그(예를 들어 해당 제 1 단말의 IP 주소, 해당 제 103 단말의 IP 주소, 접속 날짜 및 시각인 2022년 07월 1일 오전 11시 20분 10초, 해당 제 1 단말에서 실행 중인 제 1-5 앱 정보 등 포함), 해당 제 1 단말의 제 1 사용자와 관련한 제 1 사용자 데이터(예를 들어 2022년 07월 01일 ~ 2022년 07월 08일까지의 출근 시각 정보 및 퇴근 시각 정보, 제 1 연차 정보: 2022년 07월 11일, 제 1 출장 정보: 2022년 07월 18일 ~ 2022년 07월 22일 등 포함) 등을 근거로 해당 제 1 단말의 제 1 사용자와 관련한 제 1 사용자 행동 패턴을 생성한다(S220).For example, the monitoring device 400 collects the first user log related to the first terminal (eg, the IP address of the first terminal, the IP address of the corresponding 103rd terminal, the date and time of access, 07/2022) 11:20:10 am on the 1st of the month, including information on the 1st to 5th apps running on the first terminal), the first user data related to the first user of the first terminal (e.g., July 2022) Information on arrival and departure times from 01st to 07/08/2022, 1st annual information: 07/11/2022, 1st business trip information: 07/18/2022 - 07/22/2022, etc. including), etc., a first user behavior pattern related to the first user of the first terminal is generated (S220).

이후, 상기 모니터링 장치(400)는 상기 생성된 사용자 행동 패턴이 미리 설정된 정상 행동 패턴인지 여부를 판단(또는 확인)한다.Thereafter, the monitoring device 400 determines (or confirms) whether the generated user behavior pattern is a preset normal behavior pattern.

즉, 상기 모니터링 장치(400)는 상기 생성된 사용자 행동 패턴이 미리 설정된 정상 행동 정책에 포함되는지 여부를 판단한다.That is, the monitoring device 400 determines whether the generated user behavior pattern is included in a preset normal behavior policy.

일 예로, 상기 모니터링 장치(400)는 상기 생성된 제 1 사용자 행동 패턴이 미리 설정된 정상 행동 패턴에 해당하는지 여부를 판단한다(S230).For example, the monitoring device 400 determines whether the generated first user behavior pattern corresponds to a preset normal behavior pattern (S230).

상기 판단 결과(또는 상기 확인 결과), 상기 사용자 행동 패턴이 정상 행동 패턴인 경우, 상기 모니터링 장치(400)는 해당 특정 단말(100)에서의 접속 시도가 정상적인 것으로 확인하고, 해당 특정 단말(100)에서 상기 내부망에 연결된 단말(100)로의 접속, 해당 특정 단말(100)에서 상기 외부망에 연결된 다른 단말(200)로의 접속, 해당 특정 단말(100)에서 상기 외부 단말(300)로의 접속 등을 허용한다.As a result of the determination (or the confirmation result), when the user behavior pattern is a normal behavior pattern, the monitoring device 400 confirms that the access attempt in the specific terminal 100 is normal, and the specific terminal 100 Access to the terminal 100 connected to the internal network, access from the specific terminal 100 to another terminal 200 connected to the external network, access from the specific terminal 100 to the external terminal 300, etc. allow

일 예로, 상기 판단 결과, 상기 제 1 사용자 행동 패턴(예를 들어 평일 근무 시간대의 미리 설정된 목적지 IP 주소로의 접속 시도 패턴)이 정상 행동 패턴으로 판단될 때, 상기 모니터링 장치(400)는 상기 제 1 단말에서 상기 제 103 단말로의 접속을 연결한다(S240).As an example, as a result of the determination, when the first user behavior pattern (eg, a pattern of attempting to access a preset destination IP address during weekday working hours) is determined to be a normal behavior pattern, the monitoring device 400 determines that the first user behavior pattern is a normal behavior pattern. Terminal 1 connects the connection to the 103rd terminal (S240).

또한, 상기 판단 결과(또는 상기 확인 결과), 상기 사용자 행동 패턴이 정상 행동 패턴이 아닌 경우(또는 상기 사용자 행동 패턴이 비정상 행동 패턴인 경우), 상기 모니터링 장치(400)는 해당 특정 단말(100)에서의 접속 시도가 비정상적인 것으로 확인하고, 해당 특정 단말(100)에서 상기 내부망에 연결된 단말(100)로의 접속, 해당 특정 단말(100)에서 상기 외부망에 연결된 다른 단말(200)로의 접속, 해당 특정 단말(100)에서 상기 외부 단말(300)로의 접속 등을 차단한다.In addition, as a result of the determination (or the confirmation result), when the user behavior pattern is not a normal behavior pattern (or when the user behavior pattern is an abnormal behavior pattern), the monitoring device 400 determines the specific terminal 100 It is confirmed that the access attempt is abnormal, and access from the specific terminal 100 to the terminal 100 connected to the internal network, access from the specific terminal 100 to another terminal 200 connected to the external network, Access from the specific terminal 100 to the external terminal 300 is blocked.

일 예로, 상기 판단 결과, 상기 제 1 사용자 행동 패턴(예를 들어 제 1 사용자가 퇴근한 상태에서 상기 제 1 단말에서 상기 103 단말로의 접속 시도 패턴)이 비정상 행동 패턴으로 판단될 때, 상기 모니터링 장치(400)는 상기 제 1 단말에서 상기 제 103 단말로의 접속을 강제로 차단한다(S250).For example, as a result of the determination, when the first user behavior pattern (for example, a connection attempt pattern from the first terminal to the 103 terminal while the first user has left work) is determined to be an abnormal behavior pattern, the monitoring The apparatus 400 forcibly blocks the connection from the first terminal to the 103rd terminal (S250).

이후, 상기 모니터링 장치(400)에서 망 분리된 내부망에 연결된 복수의 단말(100) 중 다른 특정 단말(100)에서의 바이러스 감염/유포, 디도스 공격, 해킹 시도 등을 감지하는 경우, 상기 모니터링 장치(400)는 해당 다른 특정 단말(100)과 관련한 내부망에 연결된 전체 복수의 단말(100)을 대상으로 해당 바이러스 감염/유포, 디도스 공격, 해킹 시도 등에 대응하는 패치 프로그램을 강제로 설치한다. 여기서, 상기 패치 프로그램은 해당 복수의 단말(100)을 상기 바이러스, 상기 디도스 공격, 상기 해킹 시도 등으로부터 보호하기 위한 보안 프로그램일 수 있다. 이때, 상기 모니터링 장치(400)는 상기 다른 특정 단말(100)과 관련한 내부망에서 외부의 다른 단말(200, 300)과의 연결을 일시 차단할 수 있다.Thereafter, when the monitoring device 400 detects virus infection/distribution, DDoS attack, hacking attempt, etc. in another specific terminal 100 among a plurality of terminals 100 connected to the network-separated internal network, the monitoring The device 400 forcibly installs a patch program corresponding to virus infection/distribution, DDoS attack, hacking attempt, etc., targeting all the plurality of terminals 100 connected to the internal network related to the other specific terminal 100. . Here, the patch program may be a security program for protecting the plurality of terminals 100 from the virus, the DDoS attack, and the hacking attempt. At this time, the monitoring device 400 may temporarily block the connection with other external terminals 200 and 300 in the internal network related to the other specific terminal 100 .

즉, 상기 모니터링 장치(400)는 통신망을 통해 패킷(또는 데이터/정보)을 송수신하는 다양한 단말(100, 200, 300)로부터 복수의 패킷을 수집한다.That is, the monitoring device 400 collects a plurality of packets from various terminals 100, 200, and 300 that transmit and receive packets (or data/information) through a communication network.

또한, 상기 모니터링 장치(400)에서 상기 수집된 복수의 패킷을 근거로 해당 다른 특정 단말(100)에 대한 바이러스 감염/유포, 디도스 공격, 해킹 시도 등을 감지(또는 확인)하는 경우, 상기 모니터링 장치(400)는 해당 다른 특정 단말(100)과 관련한 내부망에 연결된 전체 복수의 단말(100)을 대상으로 해당 바이러스 감염/유포, 디도스 공격, 해킹 시도 등에 대응하는 패치 프로그램을 강제로 설치한다.In addition, when the monitoring device 400 detects (or confirms) virus infection/distribution, DDoS attack, hacking attempt, etc. for another specific terminal 100 based on the collected plurality of packets, the monitoring The device 400 forcibly installs a patch program corresponding to virus infection/distribution, DDoS attack, hacking attempt, etc., targeting all the plurality of terminals 100 connected to the internal network related to the other specific terminal 100. .

또한, 상기 모니터링 장치(400)는 해당 내부망에 연결된 전체 복수의 단말(100) 중에서 해당 패치 프로그램을 설치한 단말(100)에서만 외부의 다른 내부망에 연결된 다른 단말(200), 상기 외부 단말(300) 등과 통신(또는 연결/접속)할 수 있도록 망 상태를 관리(또는 제어)한다.In addition, the monitoring device 400 is connected to the other terminal 200, the external terminal ( 300) and manages (or controls) the network status so that communication (or connection/connection) is possible.

즉, 상기 모니터링 장치(400)는 상기 다른 특정 단말(100)과 관련한 내부망과 외부의 다른 단말(200, 300) 간에 일시 차단된 망 상태에서, 해당 패치 프로그램을 설치한 단말(100)은 상기 다른 단말(200), 상기 외부 단말(300) 등과 통신할 수 있도록 관리할 수 있다.That is, in a network state in which the monitoring device 400 is temporarily blocked between the internal network related to the other specific terminal 100 and the other external terminals 200 and 300, the terminal 100 having installed the corresponding patch program It can be managed to communicate with other terminals 200 and the external terminal 300 .

일 예로, 상기 모니터링 장치(400)는 상기 통신망을 통해 연결된 다수의 단말(100, 200, 300) 간에 송수신되는 복수의 패킷을 수집한다.For example, the monitoring device 400 collects a plurality of packets transmitted and received between the plurality of terminals 100, 200, and 300 connected through the communication network.

또한, 상기 모니터링 장치(400)는 상기 수집된 복수의 패킷을 근거로 상기 제 1 내부망에 포함된 복수의 단말(100) 중에서 제 5 단말(100)에 대한 바이러스 유포 시도가 감지될 때, 상기 제 5 단말이 포함된 제 1 내부망에서 외부의 다른 단말(200, 300)과의 연결을 일시 차단하고, 상기 제 1 내부망에 포함된 제 1 단말 내지 제 100 단말(100)을 대상으로 해당 바이러스에 대응하는 제 11 패치 프로그램을 강제로 각각 설치한다.In addition, when the monitoring device 400 detects an attempt to distribute a virus to a fifth terminal 100 among a plurality of terminals 100 included in the first internal network based on the collected plurality of packets, Connection with other external terminals 200 and 300 is temporarily blocked in the first internal network including the fifth terminal, and the first to 100 terminals 100 included in the first internal network are targeted. The 11th patch program corresponding to the virus is forcibly installed respectively.

또한, 상기 모니터링 장치(400)는 상기 제 11 패치 프로그램을 각각 설치한 제 1 단말 내지 제 100 단말에서 외부의 다른 내부망에 연결된 상기 다른 단말(200), 상기 외부 단말(300) 등과 통신하도록 관리한다(S260).In addition, the monitoring device 400 manages the 1st to 100th terminals installed with the 11th patch program to communicate with the other terminals 200 and the external terminal 300 connected to another external internal network. Do (S260).

이후, 상기 모니터링 장치(400)는 상기 수집된 복수의 패킷(또는 상기 통신망을 통해 패킷(또는 데이터/정보)을 송수신하는 다양한 단말(100, 200, 300)로부터 수집된 복수의 패킷)을 근거로 네트워크 환경을 분석하여, 현재 구성된 네트워크 토폴로지에서 특정 구성요소들 사이에 필요한 네트워크 보안 장비(미도시)를 확인한다. 여기서, 상기 네트워크 보안 장비는 방화벽, UTM, APT, IPS, SSL VPN 등을 포함한다.After that, the monitoring device 400 based on the collected plurality of packets (or a plurality of packets collected from various terminals 100, 200, 300 that transmit and receive packets (or data / information) through the communication network) By analyzing the network environment, necessary network security equipment (not shown) between specific components in the currently configured network topology is identified. Here, the network security equipment includes a firewall, UTM, APT, IPS, SSL VPN, and the like.

즉, 상기 모니터링 장치(400)는 상기 수집된 복수의 패킷(또는 상기 통신망을 통해 패킷(또는 데이터/정보)을 송수신하는 다양한 단말(100, 200, 300)로부터 수집된 복수의 패킷)을 근거로 네트워크 환경을 분석하여, 현재 구성된 네트워크 토폴로지에서 보안 취약점을 확인하고, 상기 확인된 보안 취약점을 해결하기 위한 상기 네트워크 보안 장비를 확인한다.That is, the monitoring device 400 based on the collected plurality of packets (or a plurality of packets collected from various terminals 100, 200, 300 that transmit and receive packets (or data / information) through the communication network) By analyzing the network environment, security vulnerabilities are identified in the currently configured network topology, and the network security equipment for resolving the identified security vulnerabilities is identified.

또한, 상기 모니터링 장치(400)는 상기 확인된 특정 구성요소들 사이에 필요한 네트워크 보안 장비와 관련한 알림 정보를 생성하고, 상기 생성된 알림 정보를 해당 네트워크 보안 장비가 위치할 내부망(또는 다른 내부망)을 관리하는 관리자 단말(또는 다른 관리자 단말(미도시))에 전송한다.In addition, the monitoring device 400 generates notification information related to network security equipment required between the identified specific components, and transmits the generated notification information to an internal network (or other internal network) where the corresponding network security equipment is located. ) is transmitted to a manager terminal (or another manager terminal (not shown)) that manages.

일 예로, 상기 모니터링 장치(400)는 상기 수집된 복수의 패킷을 근거로 상기 제 1 내부망에 포함된 복수의 단말(100) 중에서 제 7 단말(100)과 상기 통신망 사이에 추가 방화벽이 필요함을 확인하고, 상기 확인에 따른 상기 제 7 단말의 일측에 추가 방화벽이 필요한 상태임을 포함하는 제 1 알림 정보를 생성하고, 상기 생성된 제 1 알림 정보를 해당 제 1 내부망을 관리하는 제 1 관리자 단말에 전송한다(S270).For example, the monitoring device 400 determines that an additional firewall is required between a seventh terminal 100 among a plurality of terminals 100 included in the first internal network and the communication network based on the collected plurality of packets. A first manager terminal that checks, generates first notification information including that an additional firewall is required on one side of the seventh terminal according to the confirmation, and uses the generated first notification information to manage the corresponding first internal network It is transmitted to (S270).

이후, 상기 수집된 단말(100)과 관련한 사용자 데이터를 근거로 해당 단말(100)의 사용자가 출근 전, 퇴근 후, 반차, 연차, 출장 등으로 해당 단말(100)이 위치한 장소(예를 들어 사무실 등 포함)에 없는 상태에서 해당 단말(100)에서 외부망에 연결된 다른 단말(200) 및/또는 외부 단말(300)로 접속하여, 해당 단말(100)에 저장된 하나 이상의 파일을 해당 다른 단말(200) 및/또는 해당 외부 단말(300)로 전송을 시도하는 경우(또는 전송하는 경우), 상기 모니터링 장치(400)는 상기 단말(100)과 관련해서 미리 설정된 암호화 및 복호화를 위한 키를 근거로 해당 하나 이상의 파일을 암호화하고, 상기 암호화된 하나 이상의 파일을 해당 다른 단말(200) 및/또는 해당 외부 단말(300)로 전송한다. 여기서, 상기 모니터링 장치(400)는 해당 하나 이상의 파일에 대해서 유효 기간(예를 들어 1일), 복호화 횟수(예를 들어 3회) 등을 설정한 후, 상기 유효 기간, 상기 복호화 횟수 등이 설정된 하나 이상의 파일(또는 상기 유효 기간, 상기 복호화 횟수 등이 설정된 상태의 암호화된 하나 이상의 파일)을 해당 다른 단말(200) 및/또는 해당 외부 단말(300)로 전송할 수도 있다.Then, based on the collected user data related to the terminal 100, the user of the terminal 100 goes to work before going to work, after work, half of the day, annual leave, business trip, etc., where the terminal 100 is located (for example, an office etc.) in a state where the terminal 100 accesses the other terminal 200 and/or the external terminal 300 connected to the external network, and saves one or more files stored in the terminal 100 to the other terminal 200. ) and/or when attempting to transmit (or transmit) to the corresponding external terminal 300, the monitoring device 400, based on a key for encryption and decryption preset in relation to the terminal 100, corresponds to One or more files are encrypted, and the one or more encrypted files are transmitted to the corresponding other terminal 200 and/or the corresponding external terminal 300 . Here, the monitoring device 400 sets the valid period (for example, 1 day) and the number of times of decoding (eg, 3 times) for the one or more files, and then sets the valid period and the number of times for decoding. One or more files (or one or more encrypted files with the validity period, the number of times of decryption, etc. set) may be transmitted to the corresponding other terminal 200 and/or the corresponding external terminal 300 .

이때, 해당 파일이 전자 문서 파일(예를 들어 텍스트 파일, 파워포인트 파일, 엑셀 파일, 워드 파일, 한글 파일 등 포함)인 경우, 상기 모니터링 장치(400)는 해당 파일을 미리 설정된 포맷(예를 들어 PDF 포맷)으로 변환하고, 상기 미리 설정된 포맷으로 변환된 파일(예를 들어 PDF 파일)을 해당 다른 단말(200) 및/또는 해당 외부 단말(300)로 전송할 수도 있다.At this time, if the file is an electronic document file (eg, including a text file, a PowerPoint file, an Excel file, a Word file, a Hangul file, etc.), the monitoring device 400 converts the file to a preset format (eg, PDF format), and the file (eg, PDF file) converted to the preset format may be transmitted to the corresponding other terminal 200 and/or the corresponding external terminal 300.

또한, 상기 모니터링 장치(400)는 상기 단말(100)에서 전송하고자 하는 하나 이상의 파일을 복수의 IPFS(미도시)에 분산 저장하고, 해당 하나 이상의 파일이 저장된 링크 정보를 해당 다른 단말(200) 및/또는 해당 외부 단말(300)로 전송한다.In addition, the monitoring device 400 distributes and stores one or more files to be transmitted from the terminal 100 in a plurality of IPFS (not shown), and transmits link information in which the one or more files are stored to the corresponding other terminal 200 and / or transmitted to the corresponding external terminal (300).

이와 같이, 상기 단말(100)의 사용자가 해당 단말(100)을 사용할 수 없는 상태(예를 들어 출근 전, 퇴근 후, 연차 중, 반차 중, 출장 중 등 포함)에서 해당 단말(100)에서 내부/외부로의 파일 전송이 시도되는 경우, 상기 모니터링 장치(400)는 정보 보안을 위해서 해당 단말(100)에서 파일을 직접 전송하는 대신에 일정 제약 조건을 해당 파일에 적용한 후 전송할 수 있다.In this way, in a state in which the user of the terminal 100 cannot use the terminal 100 (eg, before going to work, after work, during annual vacation, during half vacation, during a business trip, etc.), the terminal 100 internally / When transmission of a file to the outside is attempted, the monitoring device 400 may transmit after applying certain constraints to the corresponding file instead of directly transmitting the file from the corresponding terminal 100 for information security.

이에 따라, 상기 다른 단말(200) 및/또는 상기 외부 단말(300)은 상기 모니터링 장치(400)로부터 전송되는 링크 정보를 수신하고, 상기 수신된 링크 정보를 근거로 해당 복수의 IPFS에 접속하여, 해당 하나 이상의 파일을 다운로드할 수도 있다.Accordingly, the other terminal 200 and / or the external terminal 300 receives the link information transmitted from the monitoring device 400, accesses the plurality of IPFS based on the received link information, You can also download that one or more files.

또한, 상기 다른 단말(200) 및/또는 상기 외부 단말(300)은 상기 모니터링 장치(400)로부터 전송되는 암호화된 하나 이상의 파일을 수신한다.Also, the other terminal 200 and/or the external terminal 300 receives one or more encrypted files transmitted from the monitoring device 400 .

또한, 상기 다른 단말(200) 및/또는 상기 외부 단말(300)은 해당 단말(100)과 관련해서 미리 설정된 암호화 및 복호화를 위한 키를 근거로 상기 수신된 암호화된 하나 이상의 파일을 복호화하고, 상기 복호화된 하나 이상의 파일을 표시(또는 저장/관리)한다. 이때, 상기 단말(100)과 관련해서 미리 설정된 암호화 및 복호화를 위한 키는 해당 다른 단말(200) 및/또는 해당 외부 단말(300)에서 미리 저장 중인 상태이거나 또는, 해당 모니터링 장치(400)와의 인증 과정 수행 후 제공받을 수 있다.In addition, the other terminal 200 and/or the external terminal 300 decrypts the received one or more encrypted files based on a key for encryption and decryption preset in relation to the corresponding terminal 100, and the Display (or store/manage) one or more decrypted files. At this time, the keys for encryption and decryption preset in relation to the terminal 100 are stored in advance in the corresponding other terminal 200 and/or the corresponding external terminal 300, or authentication with the corresponding monitoring device 400 It can be provided after completing the course.

또한, 상기 수신된 암호화된 하나 이상의 파일(또는 상기 수신된 하나 이상의 파일)에 대해서 유효 기간이 설정된 상태인 경우, 상기 다른 단말(200) 및/또는 상기 외부 단말(300)은 상기 유효 기간이 지나면 해당 다른 단말(200) 및/또는 해당 외부 단말(300)에서 저장 중인 상기 수신된 암호화된 하나 이상의 파일, 복호화된 하나 이상의 파일 등을 자동 삭제한다.In addition, when the validity period is set for the one or more received encrypted files (or the one or more received files), the other terminal 200 and/or the external terminal 300 are not activated after the validity period has elapsed. The received one or more encrypted files, one or more decrypted files, etc. stored in the other terminal 200 and/or the corresponding external terminal 300 are automatically deleted.

또한, 상기 수신된 암호화된 하나 이상의 파일(또는 상기 수신된 하나 이상의 파일)에 대해서 복호화 횟수가 설정된 상태인 경우, 상기 다른 단말(200) 및/또는 상기 외부 단말(300)은 상기 수신된 암호화된 하나 이상의 파일에 대해서 상기 복호화 횟수 이상 복호화 기능을 수행하지 않도록 구성(또는 제어/관리)하며, 해당 복호화 횟수 이상 복호화 기능 시도가 있는 경우 해당 암호화된 파일을 자동 삭제할 수도 있다.In addition, when the number of times of decryption is set for the one or more received encrypted files (or the one or more received files), the other terminal 200 and/or the external terminal 300 transmits the received encrypted files. For one or more files, the decryption function is configured (or controlled/managed) so that the decryption function is not performed more than the number of decryption times, and the corresponding encrypted file may be automatically deleted if the decryption function is attempted more than the number of decryption times.

일 예로, 상기 수집된 제 1 사용자 데이터(예를 들어 2022년 07월 01일 ~ 2022년 07월 08일까지의 출근 시각 정보, 퇴근 시각 정보, 제 1 연차 정보: 2022년 07월 11일, 제 1 출장 정보: 2022년 07월 18일 ~ 2022년 07월 22일 등 포함)를 근거로 해당 제 1 단말의 제 1 사용자가 연차 중인 2022년 07월 11일에 해당 제 1 단말에서 다른 내부망에 위치한 제 105 다른 단말(200)에 접속한 후, 상기 제 1 단말에서 상기 제 105 다른 단말로 해당 제 1 단말에 미리 저장된 제 201 파일의 전송을 시도할 때, 상기 모니터링 단말(400)은 상기 제 201 파일을 상기 제 1 단말과 관련해서 미리 설정된 암호화 및 복호화를 위한 제 1 키를 근거로 암호화하고, 상기 암호화된 제 201 파일에 대해서, 제 201 유효 기간(예를 들어 1일), 제 201 복호화 횟수(예를 들어 3회) 등을 설정하고, 상기 제 201 유효 기간과 상기 제 201 복호화 횟수가 설정된 상기 암호화된 제 201 파일을 상기 제 105 다른 단말로 전송한다.For example, the collected first user data (eg, attendance time information from July 01, 2022 to July 08, 2022, leave time information, first annual information: July 11, 2022, 1 Business trip information: July 18, 2022 ~ July 22, 2022, etc.), the first user of the first terminal is on an annual leave on July 11, 2022, when the first terminal connects to another internal network After accessing the located 105th other terminal 200, when attempting to transmit the 201st file previously stored in the first terminal from the first terminal to the 105th other terminal, the monitoring terminal 400 The 201st file is encrypted based on the first key for encryption and decryption preset in relation to the first terminal, and for the encrypted 201st file, the 201st valid period (for example, 1 day), the 201st decryption The number of times (for example, 3 times) is set, and the encrypted 201st file for which the 201st valid period and the 201st number of times of decryption are set is transmitted to the 105th other terminal.

또한, 상기 제 105 다른 단말은 상기 모니터링 장치(400)로부터 전송되는 상기 제 201 유효 기간과 상기 제 201 복호화 횟수가 설정된 상기 암호화된 제 201 파일을 수신한다.In addition, the 105th other terminal receives the encrypted 201st file for which the 201st validity period and the 201st decryption number are set transmitted from the monitoring device 400 .

또한, 상기 제 105 다른 단말은 해당 제 1 단말과 관련해서 미리 설정된 제 1 키를 근거로 상기 수신된 암호화된 제 201 파일을 복호화하고, 상기 복호화된 제 201 파일을 표시한다(S280).In addition, the 105th other terminal decrypts the received encrypted 201st file based on a first key preset in relation to the corresponding 1st terminal, and displays the decrypted 201st file (S280).

이후, 상기 모니터링 장치(400)는 블록체인 서버(미도시)와 연동하여, 상기 단말(100)에서 상기 다른 단말(200) 및/또는 상기 외부 단말(300)로 전송한 하나 이상의 파일과 관련한 파일 전송 정보(예를 들어 파일에 대한 정보, 소스 IP 주소, 목적지 IP 주소, 전송 일자 및 시각 정보 등 포함), IPFS와 관련한 IPFS 관리 정보(예를 들어 IPFS에서의 링크 정보, 파일 업로드 일자 및 시각 정보 등 포함), 다운로드 관리 정보(예를 들어 상기 다른 단말(200) 및/또는 상기 외부 단말(300)에서의 링크 정보에 따른 해당 하나 이상의 파일의 다운로드 일자 및 시각 정보, 상기 다른 단말(200) 및/또는 상기 외부 단말(300)의 접속 일자 및 시각 정보, 소스 IP 주소 등 포함) 등을 블록에 저장(또는 등록)한다. 이때, 상기 블록체인 서버는 데이터베이스 서버(미도시)와 연동하여, 상기 수신된 상기 단말(100)에서 상기 다른 단말(200) 및/또는 상기 외부 단말(300)로 전송한 하나 이상의 파일에 대한 정보, 전송 일자 및 시각 정보, IPFS에서의 링크 정보, 상기 다른 단말(200) 및/또는 상기 외부 단말(300)에서의 링크 정보에 따른 해당 하나 이상의 파일의 다운로드 일자 및 시각 정보, 상기 다른 단말(200) 및/또는 상기 외부 단말(300)의 접속 정보 등을 암호화하여 저장할 수도 있다. 여기서, 상기 블록체인 서버는 상기 단말(100)에서 상기 다른 단말(200) 및/또는 상기 외부 단말(300)로 전송하고자 하는 하나 이상의 파일과 관련한 정보에 미리 설정된 합의 알고리즘 방식(예를 들어 POA(Proof of Authority: 권한 증명), POW(Proof of Work: 작업 증명) 등 포함), 스마트 컨트랙트(smart contract) 등을 적용하여, 상기 다른 단말(200) 및/또는 상기 외부 단말(300)로 전송하고자 하는 하나 이상의 파일과 관련한 정보를 상기 블록에 저장할 수도 있다. 여기서, 상기 POA는 확정된 관리주체가 순서대로 돌아가며 블록을 생성(또는 등록된 계정들이 순차로 블록을 생성)함으로써, 자원의 소모와 블록 생성 소요 시간이 상기 POW에 비하여 적다. 이때, 상기 블록체인 서버는 속도와 기밀성의 유지를 위해서 프라이빗 네트워크로 구성할 수 있다. 또한, 상기 스마트 컨트랙트는 블록체인 위에 올려놓은 약속으로, 특정 조건을 만족하면 특정 행동을 취하라는 코드를 거래에 추가하는 것이다.Thereafter, the monitoring device 400 interworks with a blockchain server (not shown), and files related to one or more files transmitted from the terminal 100 to the other terminal 200 and/or the external terminal 300. Transfer information (e.g. file information, source IP address, destination IP address, transfer date and time information, etc.), IPFS management information related to IPFS (e.g. link information in IPFS, file upload date and time information) etc.), download management information (for example, download date and time information of one or more files according to link information from the other terminal 200 and/or the external terminal 300, the other terminal 200 and / or the access date and time information of the external terminal 300, the source IP address, etc.) are stored (or registered) in the block. At this time, the blockchain server works in conjunction with a database server (not shown) to receive information about one or more files transmitted from the terminal 100 to the other terminal 200 and/or the external terminal 300. , transmission date and time information, link information in IPFS, download date and time information of one or more files according to link information from the other terminal 200 and/or the external terminal 300, the other terminal 200 ) and/or the access information of the external terminal 300 may be encrypted and stored. Here, the blockchain server uses a preset consensus algorithm method (for example, POA (for example, POA To transmit to the other terminal 200 and/or the external terminal 300 by applying Proof of Authority (including proof of authority), POW (Proof of Work), smart contract, etc. Information related to one or more files to be played may be stored in the block. Here, in the POA, the determined management entity creates blocks in turn (or registered accounts sequentially create blocks), so resource consumption and block creation time are less than that of the POW. At this time, the blockchain server can be configured as a private network to maintain speed and confidentiality. In addition, the smart contract is a promise placed on the blockchain, and a code to take a specific action is added to the transaction when a specific condition is satisfied.

또한, 상기 블록체인 서버는 상기 단말(100)에서 상기 다른 단말(200) 및/또는 상기 외부 단말(300)로 전송하고자 하는 하나 이상의 파일과 관련한 정보의 블록 저장에 따른 트랜잭션 처리 결과를 생성한다. 여기서, 상기 트랜잭션 처리 결과(또는 블록 저장 결과)는 블록 해시값, 블록 번호, 수신자 정보(예를 들어 소유자명, 단말(100)의 식별 정보 등 포함), 트랜잭션 해시값 등을 포함한다.In addition, the blockchain server generates a transaction processing result according to block storage of information related to one or more files to be transmitted from the terminal 100 to the other terminal 200 and/or the external terminal 300. Here, the transaction processing result (or block storage result) includes a block hash value, block number, recipient information (eg, owner name, identification information of the terminal 100, etc.), transaction hash value, and the like.

또한, 상기 블록체인 서버는 상기 생성된 트랜잭션 처리 결과를 상기 모니터링 장치(400)에 전송한다.In addition, the blockchain server transmits the generated transaction processing result to the monitoring device 400.

또한, 상기 모니터링 장치(400)는 상기 블록체인 서버로부터 전송되는 트랜잭션 처리 결과를 수신하고, 상기 수신된 트랜잭션 처리 결과를 저장(또는 관리)한다.In addition, the monitoring device 400 receives a transaction processing result transmitted from the blockchain server, and stores (or manages) the received transaction processing result.

일 예로, 상기 모니터링 장치(400)는 상기 블록체인 서버와 연동하여, 상기 제 201 파일과 관련한 제 201 파일 전송 정보(예를 들어 제 201 파일에 대한 정보, 상기 제 1 단말의 IP 주소, 상기 제 105 다른 단말의 IP 주소, 전송 일자 및 시각 정보인 2022년 07월 11일 오전 11시 22분 30초 등 포함) 등을 제 201 블록에 저장한다.For example, the monitoring device 400 interworks with the blockchain server to provide 201st file transfer information related to the 201st file (eg, information on the 201st file, IP address of the first terminal, 105 The IP address of another terminal, transmission date and time information (including July 11, 2022 at 11:22:30 am), etc. are stored in the 201st block.

또한, 상기 모니터링 장치(400)는 상기 블록체인 서버로부터 전송되는 제 201 트랜잭션 처리 결과를 수신하고, 상기 수신된 제 201 트랜잭션 처리 결과를 저장한다(S290).In addition, the monitoring device 400 receives the 201st transaction processing result transmitted from the blockchain server and stores the received 201st transaction processing result (S290).

이후, 원격 관리를 위해서, 외부 단말(300)에서 내부망 내의 또 다른 특정 단말(100)에 접속을 시도하는 경우, 상기 모니터링 장치(400)는 해당 외부 단말(300)에 대한 인증을 수행한다.Then, for remote management, when the external terminal 300 attempts to access another specific terminal 100 within the internal network, the monitoring device 400 performs authentication on the corresponding external terminal 300 .

즉, 상기 외부 단말(300)에서 내부망 내의 또 다른 특정 단말(100)에 접속을 시도하는 경우, 상기 모니터링 장치(400)는 해당 외부 단말(300)의 IP 주소가 해당 또 다른 특정 단말(100)과 관련해서 미리 등록된 하나 이상의 IP 주소에 포함된 상태인지 여부를 확인한다. 이때, 상기 모니터링 장치(400)는 해당 외부 단말(300)의 식별 정보를 근거로 해당 외부 단말(300)이 IoT 장치(미도시)인지 여부를 판단할 수도 있다.That is, when the external terminal 300 attempts to access another specific terminal 100 within the internal network, the monitoring device 400 determines that the IP address of the external terminal 300 is the other specific terminal 100. ), it is checked whether it is included in one or more pre-registered IP addresses. At this time, the monitoring device 400 may determine whether the corresponding external terminal 300 is an IoT device (not shown) based on the identification information of the external terminal 300 .

일 예로, 제 301 외부 단말(300)에서 상기 제 1 내부망 내의 제 9 단말(100)에 접속을 시도할 때, 상기 모니터링 장치(400)는 해당 제 301 외부 단말의 IP 주소가 상기 제 9 단말과 관련해서 미리 등록된 하나 이상의 IP 주소에 포함된 상태인지 여부를 확인하고, 상기 제 301 외부 단말의 식별 정보를 근거로 해당 제 301 외부 단말이 IoT 장치인지 여부를 판단한다(S300).For example, when the 301st external terminal 300 attempts to access the 9th terminal 100 within the first internal network, the monitoring device 400 determines that the IP address of the 301st external terminal is the 9th terminal. It is checked whether it is included in one or more pre-registered IP addresses in relation to , and based on the identification information of the 301st external terminal, it is determined whether the corresponding 301st external terminal is an IoT device (S300).

상기 외부 단말(300)에 대한 인증에 실패한 경우, 상기 모니터링 장치(400)는 해당 외부 단말(300)에서의 상기 또 다른 특정 단말(100)로의 접속을 차단한다.When authentication of the external terminal 300 fails, the monitoring device 400 blocks access from the corresponding external terminal 300 to the other specific terminal 100 .

즉, 상기 확인 결과, 해당 외부 단말(300)의 IP 주소가 해당 또 다른 특정 단말(100)과 관련해서 미리 등록된 하나 이상의 IP 주소에 포함되지 않은 상태인 경우, 상기 모니터링 장치(400)는 해당 외부 단말(300)에서의 상기 또 다른 특정 단말(100)로의 접속을 차단한다.That is, as a result of the check, when the IP address of the external terminal 300 is not included in one or more IP addresses pre-registered with respect to another specific terminal 100, the monitoring device 400 Access from the external terminal 300 to the other specific terminal 100 is blocked.

또한, 해당 외부 단말(300)이 IoT 장치인 경우, 상기 모니터링 장치(400)는 해당 외부 단말(300)에서의 상기 또 다른 특정 단말(100)로의 접속을 차단할 수도 있다.In addition, when the corresponding external terminal 300 is an IoT device, the monitoring device 400 may block access from the corresponding external terminal 300 to the other specific terminal 100 .

일 예로, 상기 확인 결과, 해당 제 301 외부 단말의 IP 주소가 상기 제 9 단말과 관련해서 미리 등록된 하나 이상의 IP 주소에 포함되지 않고, 해당 제 301 외부 단말이 IoT 장치일 때, 상기 모니터링 장치(400)는 상기 제 301 외부 단말의 상기 제 9 단말로의 접속을 차단한다(S310).For example, as a result of the check, when the IP address of the 301st external terminal is not included in one or more IP addresses pre-registered with respect to the 9th terminal and the 301st external terminal is an IoT device, the monitoring device ( 400) blocks the access of the 301st external terminal to the 9th terminal (S310).

또한, 상기 외부 단말(300)에 대한 인증에 성공한 경우, 상기 모니터링 장치(400)는 해당 외부 단말(300)에서의 상기 또 다른 특정 단말(100)로의 접속을 허용(또는 허가)한다.In addition, when authentication of the external terminal 300 is successful, the monitoring device 400 permits (or permits) access from the corresponding external terminal 300 to the other specific terminal 100 .

즉, 상기 확인 결과, 해당 외부 단말(300)의 IP 주소가 해당 또 다른 특정 단말(100)과 관련해서 미리 등록된 하나 이상의 IP 주소에 포함된 경우, 상기 모니터링 장치(400)는 해당 외부 단말(300)에서의 상기 또 다른 단말(100)로의 접속을 허용한다.That is, as a result of the confirmation, when the IP address of the external terminal 300 is included in one or more IP addresses pre-registered in relation to the other specific terminal 100, the monitoring device 400 is the corresponding external terminal ( 300) allows access to the other terminal 100.

또한, 해당 외부 단말(300)의 IP 주소가 해당 또 다른 특정 단말(100)과 관련해서 미리 등록된 하나 이상의 IP 주소에 포함되고, 해당 외부 단말(300)이 IoT 장치가 아닌 경우, 상기 모니터링 장치(400)는 해당 외부 단말(300)에서의 상기 또 특정 다른 단말(100)로의 접속을 허용할 수도 있다.In addition, when the IP address of the external terminal 300 is included in one or more IP addresses pre-registered with respect to another specific terminal 100, and the external terminal 300 is not an IoT device, the monitoring device (400) may allow access from the external terminal 300 to the other specific terminal 100.

일 예로, 상기 확인 결과, 해당 제 301 외부 단말의 IP 주소가 상기 제 9 단말과 관련해서 미리 등록된 하나 이상의 IP 주소에 포함되고, 해당 제 301 외부 단말이 IoT 장치가 아닐 때, 상기 모니터링 장치(400)는 상기 제 301 외부 단말의 상기 제 9 단말로의 접속을 허용한다(S320).For example, as a result of the confirmation, when the IP address of the 301st external terminal is included in one or more IP addresses pre-registered with respect to the 9th terminal and the 301st external terminal is not an IoT device, the monitoring device ( 400) allows the 301st external terminal to access the 9th terminal (S320).

이후, 상기 모니터링 장치(400)는 상기 외부 단말(300)에서 상기 또 다른 특정 단말(100)로 업로드하는 업로드 파일에 대한 정보, 상기 외부 단말(300)에서 상기 또 다른 특정 단말(100)로부터 다운로드하는 다운로드 파일에 대한 정보, 상기 외부 단말(300)의 접속 날짜 및 시각 정보, 상기 외부 단말(300)에서의 사용 앱 정보 등을 포함하는 로그 기록을 상기 블록체인 서버 내의 다른 블록에 저장한다.Thereafter, the monitoring device 400 provides information on an upload file uploaded from the external terminal 300 to another specific terminal 100, and downloads from the external terminal 300 from the other specific terminal 100. Log records including information about downloaded files, access date and time information of the external terminal 300, information on apps used in the external terminal 300, etc. are stored in other blocks in the blockchain server.

또한, 상기 블록체인 서버는 상기 외부 단말에서 상기 또 다른 특정 단말(100)로 업로드하는 업로드 파일과 관련한 정보나, 상기 또 다른 특정 단말(100)로부터 다운로드하는 다운로드 파일과 관련한 정보의 블록 저장에 따른 다른 트랜잭션 처리 결과를 생성한다. 여기서, 상기 다른 트랜잭션 처리 결과(또는 다른 블록 저장 결과)는 다른 블록 해시값, 다른 블록 번호, 다른 수신자 정보(예를 들어 소유자명, 외부 단말(300)의 식별 정보, 또 다른 특정 단말(100)의 식별 정보 등 포함), 다른 트랜잭션 해시값 등을 포함한다.In addition, the block chain server stores information related to an upload file uploaded from the external terminal to another specific terminal 100 or information related to a download file downloaded from the other specific terminal 100 according to block storage Generates other transaction processing results. Here, the other transaction processing result (or other block storage result) is another block hash value, another block number, other recipient information (eg owner name, identification information of the external terminal 300, another specific terminal 100) identification information, etc.), other transaction hash values, etc.

또한, 상기 블록체인 서버는 상기 생성된 다른 트랜잭션 처리 결과를 상기 모니터링 장치(400)에 전송한다.In addition, the blockchain server transmits the generated other transaction processing result to the monitoring device 400.

또한, 상기 모니터링 장치(400)는 상기 블록체인 서버로부터 전송되는 다른 트랜잭션 처리 결과를 수신하고, 상기 수신된 다른 트랜잭션 처리 결과를 저장(또는 관리)한다.In addition, the monitoring device 400 receives another transaction processing result transmitted from the blockchain server, and stores (or manages) the received other transaction processing result.

이때, 상기 모니터링 장치(400)는 상기 업로드 파일에 대한 정보 및/또는 상기 다운로드 파일에 대한 정보로부터 키워드를 추출하고, 상기 추출된 키워드가 미리 설정된 보안 키워드에 해당하는지 여부를 판단한다.At this time, the monitoring device 400 extracts a keyword from the information on the uploaded file and/or the information on the download file, and determines whether the extracted keyword corresponds to a preset security keyword.

상기 판단 결과, 상기 추출된 키워드가 미리 설정된 보안 키워드에 해당하는 경우, 상기 모니터링 장치(400)는 해당 업로드 파일의 업로드 과정, 해당 다운로드 파일의 다운로드 과정 등을 일시 중단하고, 알람 정보를 해당 또 다른 단말(100)과 관련한 내부망을 관리하는 관리자 단말에 전송한다. 이때, 상기 관리자 단말은 해당 관리자 단말의 관리자 제어에 따라 상기 일시 중단된 해당 업로드 파일의 업로드 과정의 재개 여부, 해당 다운로드 파일의 다운로드 과정의 재개 여부를 결정할 수 있다.As a result of the determination, when the extracted keyword corresponds to a preset security keyword, the monitoring device 400 temporarily suspends the process of uploading a corresponding upload file, the process of downloading a corresponding download file, etc., and sends alarm information to another corresponding It is transmitted to the manager terminal that manages the internal network related to the terminal 100 . At this time, the manager terminal may determine whether or not to resume the upload process of the temporarily suspended upload file and whether to resume the download process of the download file according to the control of the manager of the corresponding manager terminal.

일 예로, 상기 모니터링 장치(400)는 상기 블록체인 서버와 연동하여, 상기 제 301 외부 단말에서 상기 제 9 단말로 업로드하는 제 301 파일에 대한 정보, 상기 제 301 외부 단말의 접속 날짜 및 시각 정보(예를 들어 2022년 07월 11일 오후 08시 09분 10초), 상기 제 301 외부 단말에서의 제 301 사용 앱 정보 등을 제 301 블록에 저장한다.For example, the monitoring device 400 interworks with the blockchain server, information on a 301st file uploaded from the 301st external terminal to the 9th terminal, access date and time information of the 301st external terminal ( For example, at 08:09:10 pm on July 11, 2022), the 301st used app information from the 301st external terminal is stored in the 301st block.

또한, 상기 모니터링 장치(400)는 상기 블록체인 서버로부터 전송되는 제 301 트랜잭션 처리 결과를 수신하고, 상기 수신된 제 301 트랜잭션 처리 결과를 저장한다(S330).In addition, the monitoring device 400 receives the 301st transaction processing result transmitted from the blockchain server and stores the received 301st transaction processing result (S330).

본 발명의 실시예는 앞서 설명된 바와 같이, 접속을 시도하는 단말과 관련한 사용자 로그, 사용자 데이터 등을 수집하고, 수집된 사용자 로그, 사용자 데이터 등을 분석하여 사용자 행동 패턴을 생성하고, 생성된 사용자 행동 패턴이 비정상 행동 패턴으로 확인되는 경우 해당 단말의 접속을 강제로 차단하여, 고객사의 운영 환경에 맞는 정보 보안 컨설팅을 통해 최상의 정보 보안 환경과 편의성 높은 운영 및 업무 환경을 제공할 수 있다.As described above, an embodiment of the present invention collects user logs, user data, etc. related to a terminal attempting access, analyzes the collected user logs, user data, etc. to generate a user behavior pattern, and generates a user behavior pattern. If a behavioral pattern is identified as an abnormal behavioral pattern, access to the terminal is forcibly blocked, providing the best information security environment and highly convenient operation and work environment through information security consulting tailored to the customer's operating environment.

또한, 본 발명의 실시예는 앞서 설명된 바와 같이, 망 분리된 사내망에 연결된 복수의 단말 중에서 특정 단말에서 바이러스, 디도스 공격, 해킹 시도 등이 감지되는 경우, 해당 특정 단말과 관련한 사내망에 연결된 전체 복수의 단말을 대상으로 해당 바이러스, 디도스 공격, 해킹 시도 등에 대응하는 패치 프로그램을 강제로 설치하여, 망 환경을 분리하여 높은 보안성을 확보하고, 성능 높은 망연계 구축을 통해 업무의 연속성과 편의성을 제공하고, 내/외부 인프라를 보호하고 신뢰할 수 있는 서비스망을 제공할 수 있다.In addition, as described above, in the embodiment of the present invention, when a virus, DDoS attack, hacking attempt, etc. is detected in a specific terminal among a plurality of terminals connected to a network-separated internal network, an internal network related to the specific terminal is detected. By compulsorily installing a patch program that responds to viruses, DDoS attacks, hacking attempts, etc. to all connected terminals, high security is ensured by separating the network environment, and business continuity is achieved by establishing a high-performance network connection. and convenience, protect internal/external infrastructure, and provide a reliable service network.

또한, 본 발명의 실시예는 앞서 설명된 바와 같이, 외부 단말에서 망 분리된 사내망에 연결된 복수의 단말 중에서 다른 단말에 대한 접속을 시도하는 경우, 해당 단말에 대한 인증 수행 후, 해당 단말의 로그 기록을 블록체인에 등록하고, 해당 단말에서 다른 단말로 업로드하거나 다운로드하는 파일을 IPFS에 분산 저장하여, 외부 단말에서 사내망에 접근 후 업로드하고자 하는 파일을 직접 다른 단말에 전송하는 대신에 IPFS에 업로드한 후 해당 다른 단말에서 링크 정보를 통해 해당 IPFS에 업로드된 파일을 다운로드하고, 다운로드하고자 하는 파일을 직접 다른 단말로부터 전송받는 대신에 다른 단말에서 IPFS에 업로드한 파일을 해당 단말에서 링크 정보를 통해 다운로드함에 따라 사내망에 접속된 복수의 단말에 대한 보안 강화를 제공할 수 있다.In addition, as described above, in the embodiment of the present invention, when an external terminal attempts to access another terminal among a plurality of terminals connected to a network-separated internal network, after performing authentication on the corresponding terminal, the log log of the corresponding terminal Records are registered in the blockchain, files uploaded or downloaded from the terminal to other terminals are distributed and stored in IPFS, and the external terminal accesses the internal network and uploads the file to be uploaded to IPFS instead of directly sending it to other terminals. After that, the other terminal downloads the file uploaded to the IPFS through the link information, and instead of directly receiving the file to be downloaded from the other terminal, the other terminal downloads the file uploaded to IPFS through the link information Accordingly, it is possible to provide enhanced security for a plurality of terminals connected to the company network.

전술된 내용은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The foregoing may be modified and modified by those skilled in the art without departing from the essential characteristics of the present invention. Therefore, the embodiments disclosed in the present invention are not intended to limit the technical idea of the present invention, but to explain, and the scope of the technical idea of the present invention is not limited by these embodiments. The protection scope of the present invention should be construed according to the claims below, and all technical ideas within the equivalent range should be construed as being included in the scope of the present invention.

10: 망연계 기반의 정보와 네트워크 보안 관제 시스템
100: 복수의 단말 200: 복수의 다른 단말
300: 외부 단말 400: 모니터링 장치10: Network-based information and network security control system
100: a plurality of terminals 200: a plurality of other terminals
300: external terminal 400: monitoring device

Claims (10)

외부망에 연결된 다른 단말로의 접속을 시도하는 내부망에 연결된 복수의 단말 중 특정 단말; 및
상기 특정 단말과 관련한 사용자 로그 및 사용자 데이터를 수집하고, 상기 수집된 특정 단말의 사용자와 관련한 사용자 로그 및 사용자 데이터를 분석하여 상기 특정 단말의 사용자와 관련한 사용자 행동 패턴을 생성하고, 상기 사용자 행동 패턴이 정상 행동 패턴이 아닐 때, 상기 특정 단말에서의 접속 시도가 비정상적인 것으로 확인하고, 상기 특정 단말에서 다른 단말로의 접속을 차단하는 모니터링 장치를 포함하며,
상기 사용자 로그는,
상기 특정 단말의 IP 주소, 접속하고자 하는 목적지 IP 주소, 접속 날짜 및 시각 정보 및, 상기 특정 단말에서 실행 중인 앱 정보 중 적어도 하나를 포함하고,
상기 사용자 데이터는,
상기 특정 단말의 사용자와 관련한 출근 시각 정보, 퇴근 시각 정보, 연차 정보, 반차 정보 및 출장 정보 중 적어도 하나를 포함하며,
상기 모니터링 장치는,
통신망을 통해 송수신되는 복수의 패킷을 수집하고, 상기 수집된 복수의 패킷을 근거로 상기 특정 단말에 대한 바이러스 감염/유포, 디도스 공격 및 해킹 시도 중 적어도 하나가 감지될 때, 상기 특정 단말과 관련한 내부망에 연결된 전체 복수의 단말을 대상으로 외부망으로의 접속을 일시 차단하고, 상기 바이러스 감염/유포, 디도스 공격 및 해킹 시도 중 적어도 하나에 대응하는 패치 프로그램을 강제로 설치하는 것을 특징으로 하는 망연계 기반의 정보와 네트워크 보안 관제 시스템.A specific terminal among a plurality of terminals connected to the internal network attempting access to another terminal connected to the external network; and
User logs and user data related to the specific terminal are collected, and a user behavior pattern related to the user of the specific terminal is generated by analyzing the collected user log and user data related to the user of the specific terminal, and the user behavior pattern is When it is not a normal behavior pattern, a monitoring device confirms that an access attempt from the specific terminal is abnormal and blocks access from the specific terminal to other terminals,
The user log is
At least one of an IP address of the specific terminal, a destination IP address to be accessed, access date and time information, and information about an app running in the specific terminal;
The user data is
At least one of information about the time of arrival, time of leaving work, annual leave information, class information, and business trip information related to the user of the specific terminal,
The monitoring device,
A plurality of packets transmitted and received through a communication network are collected, and when at least one of virus infection/distribution, DDoS attack, and hacking attempt for the specific terminal is detected based on the collected plurality of packets, related to the specific terminal Temporarily blocking access to the external network for all a plurality of terminals connected to the internal network, and forcibly installing a patch program corresponding to at least one of the virus infection/distribution, DDoS attack, and hacking attempt Network-based information and network security control system. 삭제delete 모니터링 장치에 의해, 내부망에 연결된 복수의 단말 중 특정 단말에서 외부망에 연결된 다른 단말로의 접속을 시도할 때, 상기 특정 단말과 관련한 사용자 로그 및 사용자 데이터를 수집하는 단계;
상기 모니터링 장치에 의해, 상기 수집된 특정 단말의 사용자와 관련한 사용자 로그 및 사용자 데이터를 분석하여, 상기 특정 단말의 사용자와 관련한 사용자 행동 패턴을 생성하는 단계;
상기 사용자 행동 패턴이 정상 행동 패턴이 아닐 때, 상기 모니터링 장치에 의해, 상기 특정 단말에서의 접속 시도가 비정상적인 것으로 확인하고, 상기 특정 단말에서 다른 단말로의 접속을 차단하는 단계;
상기 모니터링 장치에 의해, 통신망을 통해 송수신되는 복수의 패킷을 수집하는 단계; 및
상기 모니터링 장치에 의해, 상기 수집된 복수의 패킷을 근거로 상기 특정 단말에 대한 바이러스 감염/유포, 디도스 공격 및 해킹 시도 중 적어도 하나가 감지될 때, 상기 특정 단말과 관련한 내부망에 연결된 전체 복수의 단말을 대상으로 외부망으로의 접속을 일시 차단하고, 상기 바이러스 감염/유포, 디도스 공격 및 해킹 시도 중 적어도 하나에 대응하는 패치 프로그램을 강제로 설치하는 단계를 포함하며,
상기 사용자 로그는,
상기 특정 단말의 IP 주소, 접속하고자 하는 목적지 IP 주소, 접속 날짜 및 시각 정보 및, 상기 특정 단말에서 실행 중인 앱 정보 중 적어도 하나를 포함하고,
상기 사용자 데이터는,
상기 특정 단말의 사용자와 관련한 출근 시각 정보, 퇴근 시각 정보, 연차 정보, 반차 정보 및 출장 정보 중 적어도 하나를 포함하는 것을 특징으로 하는 망연계 기반의 정보와 네트워크 보안 관제 방법.Collecting, by the monitoring device, user logs and user data related to the specific terminal when a specific terminal among a plurality of terminals connected to the internal network attempts to access another terminal connected to the external network;
generating a user behavior pattern related to the user of the specific terminal by analyzing the collected user log and user data related to the user of the specific terminal by the monitoring device;
When the user behavior pattern is not a normal behavior pattern, determining, by the monitoring device, that an access attempt in the specific terminal is abnormal, and blocking access from the specific terminal to other terminals;
Collecting, by the monitoring device, a plurality of packets transmitted and received through a communication network; and
When at least one of virus infection/distribution, DDoS attack, and hacking attempt for the specific terminal is detected by the monitoring device based on the collected plurality of packets, all pluralities connected to the internal network related to the specific terminal Temporarily blocking access to an external network for a terminal and forcibly installing a patch program corresponding to at least one of the virus infection/distribution, DDoS attack, and hacking attempt,
The user log is
At least one of an IP address of the specific terminal, a destination IP address to be accessed, access date and time information, and information about an app running in the specific terminal;
The user data is
Network linkage-based information and network security control method comprising at least one of information on arrival time, time information on leaving work, annual leave information, class information and business trip information related to the user of the specific terminal. 제 3 항에 있어서,
상기 특정 단말의 사용자와 관련한 사용자 행동 패턴을 생성하는 단계는,
상기 수집된 특정 단말의 사용자와 관련한 사용자 로그 및 사용자 데이터를 미리 학습된 사용자 행동 패턴 분석 모델의 입력값으로 하여 기계 학습을 수행하고, 기계 학습 결과 근거로 상기 특정 단말의 사용자와 관련한 사용자 행동 패턴을 생성하는 것을 특징으로 하는 망연계 기반의 정보와 네트워크 보안 관제 방법.According to claim 3,
The step of generating a user behavior pattern related to the user of the specific terminal,
Machine learning is performed using the collected user logs and user data related to the user of the specific terminal as input values of a pre-learned user behavior pattern analysis model, and based on the machine learning result, the user behavior pattern related to the user of the specific terminal Network connection-based information and network security control method, characterized in that for generating. 삭제delete 제 3 항에 있어서,
상기 모니터링 장치에 의해, 통신망을 통해 송수신되는 복수의 패킷을 수집하는 단계;
상기 모니터링 장치에 의해, 상기 수집된 복수의 패킷을 근거로 네트워크 환경을 분석하여, 현재 구성된 네트워크 토폴로지에서 특정 구성요소들 사이에 필요한 네트워크 보안 장비를 확인하는 단계; 및
상기 모니터링 장치에 의해, 상기 확인된 특정 구성요소들 사이에 필요한 네트워크 보안 장비와 관련한 알림 정보를 생성하고, 상기 생성된 알림 정보를 해당 네트워크 보안 장비가 위치할 내부망을 관리하는 관리자 단말에 전송하는 단계를 더 포함하는 것을 특징으로 하는 망연계 기반의 정보와 네트워크 보안 관제 방법.According to claim 3,
Collecting, by the monitoring device, a plurality of packets transmitted and received through a communication network;
analyzing a network environment based on the collected plurality of packets by the monitoring device, and identifying network security equipment required between specific components in a currently configured network topology; and
By the monitoring device, generating notification information related to network security equipment required between the identified specific components, and transmitting the generated notification information to an administrator terminal that manages an internal network where the corresponding network security equipment is located Network connection-based information and network security control method, characterized in that it further comprises the step. 제 3 항에 있어서,
상기 수집된 특정 단말과 관련한 사용자 데이터를 근거로 상기 특정 단말의 사용자가 출근 전, 퇴근 후, 반차, 연차 및 출장 중 어느 하나로 인해 상기 특정 단말이 위치한 장소에 없는 상태에서 상기 특정 단말에서 외부망에 연결된 다른 단말로 접속하여, 상기 특정 단말에 저장된 하나 이상의 파일을 상기 다른 단말로 전송을 시도할 때, 상기 모니터링 장치에 의해, 상기 특정 단말과 관련해서 미리 설정된 암호화 및 복호화를 위한 키를 근거로 상기 하나 이상의 파일을 암호화하는 단계;
상기 모니터링 장치에 의해, 상기 암호화된 하나 이상의 파일을 상기 다른 단말로 전송하는 단계;
상기 다른 단말에 의해, 상기 암호화된 하나 이상의 파일을 수신하는 단계;
상기 다른 단말에 의해, 상기 특정 단말과 관련해서 미리 설정된 암호화 및 복호화를 위한 키를 근거로 상기 수신된 암호화된 하나 이상의 파일을 복호화하는 단계; 및
상기 다른 단말에 의해, 상기 복호화된 하나 이상의 파일을 표시하는 단계를 더 포함하는 것을 특징으로 하는 망연계 기반의 정보와 네트워크 보안 관제 방법.According to claim 3,
Based on the collected user data related to the specific terminal, the user of the specific terminal connects to the external network from the specific terminal in a state where the specific terminal is not located due to any one of before going to work, after work, half leave, annual leave, and business trip. When connecting to another connected terminal and attempting to transmit one or more files stored in the specific terminal to the other terminal, the monitoring device performs the encrypting one or more files;
Transmitting, by the monitoring device, the one or more encrypted files to the other terminal;
receiving, by the other terminal, the one or more encrypted files;
decrypting, by the other terminal, the one or more received encrypted files based on a key for encryption and decryption preset in relation to the specific terminal; and
Network linkage-based information and network security control method, characterized in that it further comprises the step of displaying the one or more decrypted files by the other terminal. 제 7 항에 있어서,
상기 수신된 암호화된 하나 이상의 파일에 대해서 유효 기간이 설정된 상태일 때, 상기 다른 단말에 의해, 상기 유효 기간이 지나면 상기 다른 단말에서 저장 중인 상기 수신된 암호화된 하나 이상의 파일 및 복호화된 하나 이상의 파일을 자동 삭제하는 단계를 더 포함하는 것을 특징으로 하는 망연계 기반의 정보와 네트워크 보안 관제 방법.According to claim 7,
When the validity period is set for the received one or more encrypted files, the received encrypted one or more files and the one or more decrypted files being stored in the other terminal are stored by the other terminal after the validity period has elapsed. Network connection-based information and network security control method further comprising the step of automatically deleting. 제 3 항에 있어서,
상기 모니터링 장치에 의해, 블록체인 서버와 연동하여, 상기 특정 단말에서 상기 다른 단말로 전송한 하나 이상의 파일과 관련한 파일 전송 정보 및 상기 다른 단말에서의 링크 정보에 따른 상기 하나 이상의 파일의 다운로드와 관련한 다운로드 관리 정보를 블록에 저장하는 단계;
상기 모니터링 장치에 의해, 상기 블록체인 서버로부터 전송되는 트랜잭션 처리 결과를 수신하는 단계; 및
상기 모니터링 장치에 의해, 상기 수신된 트랜잭션 처리 결과를 저장하는 단계를 더 포함하는 것을 특징으로 하는 망연계 기반의 정보와 네트워크 보안 관제 방법.According to claim 3,
Download related to the downloading of the one or more files according to the file transfer information related to the one or more files transmitted from the specific terminal to the other terminal and the link information from the other terminal by the monitoring device in conjunction with the blockchain server. storing management information in a block;
Receiving, by the monitoring device, a transaction processing result transmitted from the blockchain server; and
The network connection-based information and network security control method further comprising the step of storing the received transaction processing result by the monitoring device. 제 3 항에 있어서,
외부 단말에서 내부망 내의 상기 특정 단말에 접속을 시도할 때, 상기 모니터링 장치에 의해, 상기 외부 단말에 대한 인증을 수행하는 단계;
상기 외부 단말에 대한 인증에 성공할 때, 상기 모니터링 장치에 의해, 상기 외부 단말에서의 상기 특정 단말로의 접속을 허용하는 단계; 및
상기 모니터링 장치에 의해, 상기 외부 단말에서 상기 특정 단말로 업로드하는 업로드 파일에 대한 정보, 상기 외부 단말에서 상기 특정 단말로부터 다운로드하는 다운로드 파일에 대한 정보, 상기 외부 단말의 접속 날짜 및 시각 정보 및 상기 외부 단말에서의 사용 앱 정보 중 적어도 하나를 포함하는 로그 기록을 블록체인 서버 내의 다른 블록에 저장하는 단계를 더 포함하는 것을 특징으로 하는 망연계 기반의 정보와 네트워크 보안 관제 방법.According to claim 3,
performing authentication on the external terminal by the monitoring device when an external terminal attempts to access the specific terminal within the internal network;
allowing access to the specific terminal from the external terminal, by the monitoring device, when authentication of the external terminal succeeds; and
By the monitoring device, information on an upload file uploaded from the external terminal to the specific terminal, information on a download file downloaded from the external terminal from the specific terminal, access date and time information of the external terminal, and the external terminal A method for controlling information and network security based on network linkage, further comprising storing a log record including at least one of application information used in a terminal in another block in a blockchain server.
KR1020220095320A 2022-08-01 2022-08-01 System for monitoring information security and network security based on network connection and method thereof KR102531376B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220095320A KR102531376B1 (en) 2022-08-01 2022-08-01 System for monitoring information security and network security based on network connection and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220095320A KR102531376B1 (en) 2022-08-01 2022-08-01 System for monitoring information security and network security based on network connection and method thereof

Publications (1)

Publication Number Publication Date
KR102531376B1 true KR102531376B1 (en) 2023-05-12

Family

ID=86385412

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220095320A KR102531376B1 (en) 2022-08-01 2022-08-01 System for monitoring information security and network security based on network connection and method thereof

Country Status (1)

Country Link
KR (1) KR102531376B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117221435A (en) * 2023-11-09 2023-12-12 万道智控信息技术有限公司 Mobile phone safety performance detection method and system based on mobile phone cabinet

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002330123A (en) * 2001-04-27 2002-11-15 Dainippon Printing Co Ltd Sending device, receiving device and communication system
KR20190068374A (en) * 2017-12-08 2019-06-18 인제대학교 산학협력단 Block chain system architecture and method
KR102024142B1 (en) * 2018-06-21 2019-09-23 주식회사 넷앤드 A access control system for detecting and controlling abnormal users by users’ pattern of server access
KR20200098181A (en) 2019-02-12 2020-08-20 에스에스앤씨(주) Network security system by integrated security network card
KR20220081145A (en) * 2020-12-08 2022-06-15 상명대학교산학협력단 AI-based mysterious symptom intrusion detection and system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002330123A (en) * 2001-04-27 2002-11-15 Dainippon Printing Co Ltd Sending device, receiving device and communication system
KR20190068374A (en) * 2017-12-08 2019-06-18 인제대학교 산학협력단 Block chain system architecture and method
KR102024142B1 (en) * 2018-06-21 2019-09-23 주식회사 넷앤드 A access control system for detecting and controlling abnormal users by users’ pattern of server access
KR20200098181A (en) 2019-02-12 2020-08-20 에스에스앤씨(주) Network security system by integrated security network card
KR20220081145A (en) * 2020-12-08 2022-06-15 상명대학교산학협력단 AI-based mysterious symptom intrusion detection and system

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117221435A (en) * 2023-11-09 2023-12-12 万道智控信息技术有限公司 Mobile phone safety performance detection method and system based on mobile phone cabinet
CN117221435B (en) * 2023-11-09 2024-01-12 万道智控信息技术有限公司 Mobile phone safety performance detection method and system based on mobile phone cabinet

Similar Documents

Publication Publication Date Title
EP3258374B1 (en) Systems and methods for detecting and reacting to malicious activity in computer networks
Choi et al. System hardening and security monitoring for IoT devices to mitigate IoT security vulnerabilities and threats
CN111164948A (en) Managing network security vulnerabilities using blockchain networks
WO2018004600A1 (en) Proactive network security using a health heartbeat
Yoon et al. Remote security management server for IoT devices
US11640546B2 (en) Managing access to data and managing operations performed by applications
Alfaqih et al. Internet of things security based on devices architecture
KR102531376B1 (en) System for monitoring information security and network security based on network connection and method thereof
US20230091179A1 (en) System and method for building a trusted network of devices
Pahlevanzadeh et al. Security in IOT: Threats and vulnerabilities, layered architecture, encryption mechanisms, challenges and solutions
Kloibhofer et al. LoRaWAN with HSM as a security improvement for agriculture applications
KR101451323B1 (en) Application security system, security server, security client apparatus, and recording medium
KR101775517B1 (en) Client for checking security of bigdata system, apparatus and method for checking security of bigdata system
Bhardwaj et al. Taxonomy of Security Attacks on Internet of Things
KR101893100B1 (en) Scada control system for building facilities management and method for managing security policies of the system
CA3131208C (en) System and method for building a trusted network of devices
Valadares et al. Security Challenges and Recommendations in 5G-IoT Scenarios
Varadharajan et al. Techniques for Enhancing Security in Industrial Control Systems
Altayaran et al. Security threats of application programming interface (API's) in internet of things (IoT) communications
GB2572471A (en) Detecting lateral movement by malicious applications
Das et al. Smart City Vulnerabilities: An Overview
Ibrahim et al. A new customizable security framework for preventing WSDL attacks
Aruna et al. Security Aspects in IoT: Challenges and Countermeasures
US20230308433A1 (en) Early termination of secure handshakes
Pandey et al. Security and privacy issues in cloud, fog and edge computing

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant