KR102580835B1 - Security policy automation management system - Google Patents

Security policy automation management system Download PDF

Info

Publication number
KR102580835B1
KR102580835B1 KR1020230059720A KR20230059720A KR102580835B1 KR 102580835 B1 KR102580835 B1 KR 102580835B1 KR 1020230059720 A KR1020230059720 A KR 1020230059720A KR 20230059720 A KR20230059720 A KR 20230059720A KR 102580835 B1 KR102580835 B1 KR 102580835B1
Authority
KR
South Korea
Prior art keywords
security policy
unit
question
management system
application
Prior art date
Application number
KR1020230059720A
Other languages
Korean (ko)
Inventor
오수찬
Original Assignee
주식회사 엘로이큐브
오수찬
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엘로이큐브, 오수찬 filed Critical 주식회사 엘로이큐브
Priority to KR1020230059720A priority Critical patent/KR102580835B1/en
Application granted granted Critical
Publication of KR102580835B1 publication Critical patent/KR102580835B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/20Natural language analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/30Semantic analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/02User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail using automatic reactions or user delegation, e.g. automatic replies or chatbot-generated messages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Audiology, Speech & Language Pathology (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Mathematical Physics (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 보안정책 자동화 관리시스템에 관한 것으로, 보다 구체적으로 자연어 기반의 보안정책별 질의-응답정보를 생성하고, 이를 이용하여 챗봇대화 서비스를 통해 보안정책에 대한 설계과정을 응답할 수 있는 보안정책 자동화 관리시스템에 관한 것이다. 이를 위해, 보안정책 자동화 관리시스템은 상기 로그데이터, 상기 보안정책 및 상기 대상 네트워크 장비의 트래픽 현황을 취합하고, 이를 자연어생성(NLG)을 통해 보안정책별 질의-응답정보를 생성하는 생성부, 상기 보안정책별 질의-응답정보를 이용하는 챗봇대화 서비스를 직원단말에 제공함에 따라 질의요청문장을 입력받는 입력부, 상기 질의요청문장을 자연어이해(NLU)를 통해 변환처리함에 따라 획득된 맥락정보에 기초하여, 상기 보안정책별 질의-응답정보 중 하나의 질의-응답정보를 결정하는 결정부 및 상기 하나의 질의-응답정보로부터 추출되는 해당 응답정보를 상기 챗봇대화 서비스를 통해 상기 직원단말에 피드백시키는 통합관리부를 포함한다.The present invention relates to a security policy automation management system. More specifically, a security policy that generates natural language-based question-and-answer information for each security policy and uses this to respond to the security policy design process through a chatbot conversation service. It is about automated management system. To this end, the security policy automation management system collects the log data, the security policy, and the traffic status of the target network equipment, and generates question-and-response information for each security policy through natural language generation (NLG); As a chatbot conversation service that uses question-and-answer information for each security policy is provided to employee terminals, an input unit receives a question request sentence, and the question request sentence is converted and processed through natural language understanding (NLU) based on the contextual information obtained. , a decision unit that determines one question-response information among the question-response information for each security policy, and an integrated management unit that feeds back the corresponding response information extracted from the one question-response information to the employee terminal through the chatbot conversation service. Includes.

Description

보안정책 자동화 관리시스템{SECURITY POLICY AUTOMATION MANAGEMENT SYSTEM}Security policy automation management system {SECURITY POLICY AUTOMATION MANAGEMENT SYSTEM}

본 발명은 보안정책 자동화 관리시스템에 관한 것으로, 보다 구체적으로 자연어 기반의 보안정책별 질의-응답정보를 생성하고, 이를 이용하여 챗봇대화 서비스를 통해 보안정책에 대한 설계과정을 응답할 수 있는 보안정책 자동화 관리시스템에 관한 것이다. The present invention relates to a security policy automation management system. More specifically, a security policy that generates natural language-based question-and-answer information for each security policy and uses this to respond to the security policy design process through a chatbot conversation service. It is about automated management system.

최근 정보화 시대를 맞이하여 정보의 공유 및 정보로의 접근 용이성이 강조되고 있으나, 핵심기술 문건 및 개인정보 자료의 유출 방지를 위해 정보 보안의 중요성은 점점 높아지고 있는 실정이다.Recently, in the information age, information sharing and ease of access to information have been emphasized, but the importance of information security is increasing to prevent leakage of core technical documents and personal information data.

보안이란 기업 내부에서 외부로 유출되어서는 안 되는 핵심기술 문건이나 개인 정보 자료 등을 보호하기 위한 것으로, 정보 보안을 위해 정보 유출 방지(Data Leakage Prevention; DLP) 솔루션, 디지털 권리 관리(Digital Rights Management; DRM)을 이용한 문서 보안 솔루션, 개인 정보 보호 솔루션, 출력 제어 솔루션을 이용하고, 내부 업무 망인 인트라넷과 외부망인 인터넷망을 분리시켜 내부 정보를 보호하며, 망 연계 시스템을 통해 외부망에서의 침입에 대한 내부망을 보호하여 업무에 지장이 없도록 외부망과 소통함으로써 내부 정보를 보호하고 있다.Security is intended to protect core technical documents and personal information that must not be leaked from within the company to the outside. For information security, data leak prevention (DLP) solutions, digital rights management (Digital Rights Management) It uses document security solutions, personal information protection solutions, and output control solutions using (DRM), protects internal information by separating the intranet, which is an internal business network, and the Internet network, which is an external network, and protects against intrusions from external networks through a network connection system. Internal information is protected by protecting the internal network and communicating with the external network to prevent disruption to business.

한편, 입사, 퇴사, 승진, 보직 이동과 같은 인사이동이 발생 되거나 새로운 어플리케이션(Application) 도입 또는 컴플라이언스 이슈(Compliance issue) 등이 발생 될 경우에는 보안 정책을 변경하게 되는데, 일반적으로는 수기문서나 그룹웨어(Group Ware)를 통해 보안 정책 변경을 신청하기 때문에 신청서 내에 일반 업무와 사용 권한이 혼재하는 문제가 발생하게 된다.On the other hand, when personnel changes such as joining, leaving, promotion, or transfer of position occur, or when a new application is introduced or a compliance issue occurs, the security policy is changed. Typically, it is written in a handwritten document or groupware. Since you apply for a security policy change through (Group Ware), a problem arises where general tasks and usage rights are mixed within the application.

또한, 사용 권한를 담당하지 않은 직원이 사용 권한 승인 신청서를 작성하기에는 너무 어렵기 때문에 사용 권한승인 신청서 작성 시 오류가 빈번하게 발생 되어 업무 효율이 저하될 뿐만 아니라 업무 부하가 가중되는 문제가 있다.In addition, because it is too difficult for employees who are not in charge of permissions to fill out the application for permission to use, errors frequently occur when filling out the application for permission to use, which not only reduces work efficiency but also increases work load.

본 발명은 상기와 같은 문제점을 해결하기 위한 것으로서, 본 발명의 목적은 자연어 기반의 보안정책별 질의-응답정보를 생성하고, 이를 이용하여 챗봇대화 서비스를 통해 보안정책에 대한 설계과정을 응답할 수 있는 보안정책 자동화 관리시스템을 제공하기 위한 것이다. The present invention is to solve the above problems. The purpose of the present invention is to generate question-and-answer information for each security policy based on natural language, and to use this to respond to the design process for security policy through a chatbot conversation service. It is intended to provide an automated security policy management system.

본 발명의 상기 및 다른 목적과 이점은 바람직한 실시예를 설명한 하기의 설명으로부터 분명해질 것이다.The above and other objects and advantages of the present invention will become apparent from the following description of preferred embodiments.

상기와 같은 목적을 달성하기 위한 본 발명의 일 실시예에 따른 대상 네트워크 장비로부터 모니터링되는 로그데이터에 따라 보안정책을 수립하여 해당 장비를 관리하는 보안정책 자동화 관리시스템은 상기 로그데이터, 상기 보안정책 및 상기 대상 네트워크 장비의 트래픽 현황을 취합하고, 이를 자연어생성(NLG)을 통해 보안정책별 질의-응답정보를 생성하는 생성부, 상기 보안정책별 질의-응답정보를 이용하는 챗봇대화 서비스를 직원단말에 제공함에 따라 질의요청문장을 입력받는 입력부, 상기 질의요청문장을 자연어이해(NLU)를 통해 변환처리함에 따라 획득된 맥락정보에 기초하여, 상기 보안정책별 질의-응답정보 중 하나의 질의-응답정보를 결정하는 결정부 및 상기 하나의 질의-응답정보로부터 추출되는 해당 응답정보를 상기 챗봇대화 서비스를 통해 상기 직원단말에 피드백시키는 통합관리부를 포함한다. In order to achieve the above object, a security policy automation management system that establishes a security policy according to log data monitored from a target network device and manages the device according to an embodiment of the present invention includes the log data, the security policy, and A generation unit that collects the traffic status of the target network equipment and generates question-and-answer information for each security policy through natural language generation (NLG), and provides a chatbot conversation service using the question-and-answer information for each security policy to employee terminals. An input unit that receives a query request sentence according to the above, and one of the question-and-answer information for each security policy based on the context information obtained by converting and processing the query request sentence through natural language understanding (NLU). It includes a decision unit that makes a decision and an integrated management unit that feeds back corresponding response information extracted from the single question-and-answer information to the employee terminal through the chatbot conversation service.

실시예에 있어서, 상기 통합관리부는 상기 맥락정보로부터 보안정책 신규신청이 확인된 경우, 신청용 보안정책을 생성하기 위한 보안정책 신청서를 챗봇대화 서비스를 통해 서비스하는 서비스부, 상기 보안정책 신청서를 통해 입력받는 입력키워드에 기초하여, 기설정된 복수의 정책설계 템플릿들 중 어느 하나의 정책설계 템플릿을 검색하여 추천하는 추천부 및 상기 신청용 보안정책을 기설정된 진단페이지를 통해 시뮬레이션함에 따라 출력되는 검증결과에 기초하여, 상기 보안정책 신청서에 대한 적합성 여부를 진단하는 진단부를 포함한다. In an embodiment, when a new application for a security policy is confirmed from the context information, the integrated management unit serves a security policy application for creating a security policy for application through a chatbot conversation service, through the security policy application. Based on the input keyword, a recommendation unit that searches for and recommends one policy design template among a plurality of preset policy design templates, and a verification result output by simulating the application security policy through a preset diagnosis page. Based on this, it includes a diagnosis unit that diagnoses suitability for the security policy application.

실시예에 있어서, 상기 서비스부는 상기 직원단말로부터 입력받는 상기 보안정책 신청서에 대한 항목별 입력정보에 응답하여, 단계별 작업화면들을 순차적으로 챗봇대화 서비스를 통해 서비스하고, 상기 단계별 작업화면들은 운영자가 어느 하나의 보안정책을 설계하는 동안 순차적으로 캡쳐링된 화면을 의미한다. In an embodiment, the service department responds to the input information for each item of the security policy application inputted from the employee terminal, and sequentially services step-by-step work screens through a chatbot conversation service, and the step-by-step work screens are provided by the operator. This refers to screens captured sequentially while designing a security policy.

실시예에 있어서, 상기 서비스부는 상기 단계별 작업화면들 각각로부터 중복 검출되는 동일화면객체의 기설정된 개수에 기초하여, 중복 대상 화면으로 식별함에 따라 삭제처리하고, 상기 중복 대상 화면이 제거된 상기 단계별 작업화면들을 시간별로 컷편집함에 따라 작업 가이드 영상을 생성하여 상기 직원단말에 서비스한다. In an embodiment, the service unit identifies a duplicate target screen based on a preset number of identical screen objects duplicated from each of the step-by-step work screens, and deletes the step-by-step task from which the duplicate target screen is removed. As the screens are cut and edited by time, a work guide video is created and served to the employee terminal.

실시예에 있어서, 상기 통합관리부는 상기 보안정책 신청서가 적합으로 진단된 경우, 상기 보안정책 신청서에 대한 결재프로세스를 선택적으로 활성화시킴에 따라 관리자단말로부터 승인신호를 응답받는 결재관리부, 상기 승인신호에 응답하여, 상기 보안정책 신청서를 통해 입력받는 입력키워드에 대응되는 자동화 입력정보를 상기 어느 하나의 정책설계 템플릿으로부터 검출하는 정보검출부 및 상기 대상 네트워크 장비를 통해 확인된 네트워크 토폴로지 맵의 기설정된 방화벽 상태에 따라 식별된 동기화시점에 기초하여, 상기 자동화 입력정보를 대상 네트워크 장비에 적용시키는 동기화부를 더 포함한다. In an embodiment, the integrated management unit selectively activates the approval process for the security policy application when the security policy application is diagnosed as compliant, and the approval management unit receives an approval signal from the administrator terminal, and responds to the approval signal. In response, an information detection unit detects automated input information corresponding to an input keyword input through the security policy application form from the policy design template, and a preset firewall state of the network topology map confirmed through the target network equipment. It further includes a synchronization unit that applies the automation input information to the target network device based on the identified synchronization point.

실시예에 있어서, 상기 결재관리부는 상기 보안정책 신청서가 비적합으로 진단된 경우, 상기 보안정책 신청서를 수정하도록 상기 직원단말에 알림메시지를 전송한다. In an embodiment, when the payment management unit determines that the security policy application is not compliant, it sends a notification message to the employee terminal to modify the security policy application.

실시예에 있어서, 상기 서비스부는 보안정책별 로그데이터와 로그데이터별 방화벽 유지시간을 사전에 수집하는 수집부, 상기 보안정책별 로그데이터를 입력으로 하고 상기 로그데이터별 방화벽 유지시간을 출력으로 하는 머신러닝을 통해 학습함에 따라, 인공지능 기반의 방화벽 유지시간 출력모델을 모델링하는 모델링부 및 상기 신청용 보안정책에 따라 상기 대상 네트워크 장비를 통해 모니터링되는 각 로그데이터를 방화벽 유지시간 출력모델에 적용함에 따라 출력된 방화벽 유지시간에 기초하여, 상기 대상 네트워크 장비에 대한 방화벽 작업스케줄을 세부적으로 조절하는 작업관리부를 포함한다. In an embodiment, the service unit includes a collection unit that collects log data for each security policy and firewall maintenance time for each log data in advance, and a machine that inputs the log data for each security policy and outputs the firewall maintenance time for each log data. As it learns through learning, the modeling unit models the artificial intelligence-based firewall maintenance time output model and applies each log data monitored through the target network equipment to the firewall maintenance time output model according to the application security policy. It includes a task management unit that controls in detail the firewall task schedule for the target network device based on the output firewall maintenance time.

실시예에 있어서, 상기 로그데이터에 기초하여, 상기 대상 네트워크 장비에 대한 자동화 보안정책 솔루션을 설계하는 설계부를 더 포함하고, 상기 설계부는 상기 로그데이터를 실시간으로 수집하는 수집모듈, 상기 로그데이터를 기설정된 변환프로세스를 통해 전처리하는 전처리모듈, 상기 전처리된 데이터로부터 기설정된 룰셋적용을 통해 데이터셋을 추출하는 추출모듈, 상기 데이터셋을 기설정된 파티셔닝파라미터에 따라 복수의 그룹데이터들로 파티셔닝하는 분할모듈, 상기 각 그룹데이터들을 기설정된 클러스터링파라미터에 따라 군집처리하는 클러스터링모듈 및 상기 군집처리된 각 그룹데이터들을 기설정된 정책도출 알고리즘을 적용하여 상기 자동화 보안정책 솔루션을 도출하는 솔루션관리모듈을 포함한다. In an embodiment, the design further includes a design unit that designs an automated security policy solution for the target network equipment based on the log data, wherein the design unit includes a collection module that collects the log data in real time, and the log data. A preprocessing module that preprocesses through a set conversion process, an extraction module that extracts a data set from the preprocessed data by applying a preset rule set, a partition module that partitions the data set into a plurality of group data according to a preset partitioning parameter, It includes a clustering module that clusters and processes each group data according to preset clustering parameters, and a solution management module that derives the automated security policy solution by applying a preset policy derivation algorithm to each group data clustered.

본 발명의 실시예에 따르면, 자연어 기반의 보안정책별 질의-응답정보를 이용하는 챗봇대화 서비스를 통해 보안정책에 대한 설계과정을 응답함으로써, 보안정책을 보다 용이하게 설계할 수 있도록 지원한다. According to an embodiment of the present invention, it supports designing security policies more easily by responding to the security policy design process through a chatbot conversation service that uses natural language-based question-and-answer information for each security policy.

도 1a는 본 발명의 실시예에 따른 보안정책 자동화 관리시스템(1000)을 개략적으로 나타내는 도이고, 도 1b는 도 1a의 보안정책 자동화 관리시스템(1000)을 구체적으로 나타내는 블록도이다.
도 2는 도 1의 통합관리부(400)에 대한 실시예를 나타내는 블록도이다.
도 3은 보안정책 신청서에 대한 실시예이다.
도 4a 내지 도 4c는 단계별 작업화면들에 대한 실시예이다.
도 5a와 도 5b는 통합관리 페이지를 설명하기 위한 실시예들이다.
도 6은 검증결과에 대한 실시예이다.
도 7은 도 1의 도 1의 통합관리부(400_1)에 대한 다른 실시예를 나타내는 블록도이다.
도 8은 도 1의 서비스부(410)에 대한 실시예를 나타내는 블록도이다.
도 9는 본 발명의 다른 실시예에 따른 보안정책 자동화 관리시스템(1000_1)을 개략적으로 나타내는 도이다. FIG. 1A is a diagram schematically showing an automated security policy management system 1000 according to an embodiment of the present invention, and FIG. 1B is a block diagram specifically showing the automated security policy management system 1000 of FIG. 1A.
FIG. 2 is a block diagram showing an embodiment of the integrated management unit 400 of FIG. 1.
Figure 3 is an example of a security policy application.
Figures 4a to 4c show examples of step-by-step work screens.
Figures 5a and 5b illustrate embodiments for explaining an integrated management page.
Figure 6 shows an example of verification results.
Figure 7 is a block diagram showing another embodiment of the integrated management unit 400_1 of Figure 1.
FIG. 8 is a block diagram showing an embodiment of the service unit 410 of FIG. 1.
Figure 9 is a diagram schematically showing a security policy automation management system (1000_1) according to another embodiment of the present invention.

이하, 본 발명의 실시예와 도면을 참조하여 본 발명을 상세히 설명한다. 이들 실시예는 오로지 본 발명을 보다 구체적으로 설명하기 위해 예시적으로 제시한 것일 뿐, 본 발명의 범위가 이들 실시예에 의해 제한되지 않는다는 것은 당업계에서 통상의 지식을 가지는 자에 있어서 자명할 것이다.Hereinafter, the present invention will be described in detail with reference to embodiments of the present invention and drawings. These examples are merely presented as examples to explain the present invention in more detail, and it will be apparent to those skilled in the art that the scope of the present invention is not limited by these examples. .

또한, 달리 정의하지 않는 한, 본 명세서에서 사용되는 모든 기술적 및 과학적 용어는 본 발명이 속하는 기술 분야의 숙련자에 의해 통상적으로 이해되는 바와 동일한 의미를 가지며, 상충되는 경우에는, 정의를 포함하는 본 명세서의 기재가 우선할 것이다.Additionally, unless otherwise defined, all technical and scientific terms used in this specification have the same meaning as commonly understood by a person skilled in the art to which the present invention pertains, and in case of conflict, this specification including definitions The description will take precedence.

도면에서 제안된 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다. 그리고, 어떤 부분이 어떤 구성 요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에서 기술한 "부"란, 특정 기능을 수행하는 하나의 단위 또는 블록을 의미한다.In order to clearly explain the proposed invention in the drawings, parts unrelated to the description have been omitted, and similar reference numerals have been assigned to similar parts throughout the specification. And, when it is said that a part "includes" a certain component, this means that it does not exclude other components, but may further include other components, unless specifically stated to the contrary. Additionally, “unit” as used in the specification refers to a unit or block that performs a specific function.

각 단계들에 있어 수집부호(제1, 제2, 등)는 설명의 편의를 위하여 사용되는 것으로 수집부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 실시될 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 실시될 수도 있고 실질적으로 동시에 실시될 수도 있으며 반대의 순서대로 실시될 수도 있다.Collection codes (1st, 2nd, etc.) for each step are used for convenience of explanation. The collection codes do not explain the order of each step, and each step does not clearly state a specific order in context. It may be carried out differently from the order specified above. That is, each step may be performed in the same order as specified, may be performed substantially simultaneously, or may be performed in the opposite order.

도 1a는 본 발명의 실시예에 따른 보안정책 자동화 관리시스템(1000)을 개략적으로 나타내는 도이고, 도 1b는 도 1a의 보안정책 자동화 관리시스템(1000)을 구체적으로 나타내는 블록도이다. FIG. 1A is a diagram schematically showing an automated security policy management system 1000 according to an embodiment of the present invention, and FIG. 1B is a block diagram specifically showing the automated security policy management system 1000 of FIG. 1A.

도 1a와 도 1b를 참조하여 설명하면, 보안정책 자동화 관리시스템(1000)은 대상 네트워크 장비(10)로부터 모니터링되는 로그데이터에 따라 보안정책을 수립하여 대상 네트워크 장비(10)를 관리할 수 있다. 1A and 1B, the security policy automation management system 1000 can manage the target network device 10 by establishing a security policy according to log data monitored from the target network device 10.

여기서, 대상 네트워크 장비(10)는 각 네트워크를 통해 복수의 PC 장치(11_1~11_N, 12_1~12_N)에 개별적으로 연결되어, 각 PC 장치와 외부 네트워크와의 연결을 모니터링 및 제어하기 위한 네트워크 장치일 수 있다. Here, the target network equipment 10 is a network device that is individually connected to a plurality of PC devices (11_1 to 11_N, 12_1 to 12_N) through each network and monitors and controls the connection between each PC device and the external network. You can.

이때, 보안정책은 복수의 PC 장치(11_1~11_N, 12_1~12_N)에 대한 외부 네트워크와의 접속 허용과 접속 차단을 대상 네트워크 장비(10)를 통해 선택적으로 부여하기 위한 정책을 의미할 수 있다. At this time, the security policy may refer to a policy for selectively granting access to and blocking access to an external network for a plurality of PC devices (11_1 to 11_N, 12_1 to 12_N) through the target network equipment (10).

이러한 보안정책 자동화 관리시스템(1000)은 정책적용 자동화 컨테이너 (NxPylon), 오케스트레이션 엔진 & Playbook 및 정책설계 템플릿을 포함하고, 이를 이용하여 작업시간 내 보안정책을 설계하고, 방화벽 API와 CLI에 대한 제한사항을 대응할 수 있으며, 보안 정책을 자동으로 설계할 수 있다. This security policy automation management system (1000) includes a policy application automation container (NxPylon), an orchestration engine & Playbook, and a policy design template, and uses this to design a security policy within working hours and limit restrictions on the firewall API and CLI. can respond and automatically design security policies.

구체적으로, 보안정책 자동화 관리시스템(1000)은 생성부(100), 입력부(200), 결정부(300) 및 통합관리부(400)를 포함할 수 있다. Specifically, the security policy automation management system 1000 may include a creation unit 100, an input unit 200, a decision unit 300, and an integrated management unit 400.

먼저, 생성부(100)는 로그데이터, 보안정책 및 대상 네트워크 장비(10)의 트래픽 현황을 학습하고, 이를 자연어생성(NLG)을 통해 변환처리함에 따라 보안정책별 질의-응답정보를 생성할 수 있다. First, the generator 100 learns the log data, security policy, and traffic status of the target network device 10, and converts them through natural language generation (NLG) to generate question-and-response information for each security policy. there is.

여기서, 보안정책별 질의-응답정보는 보안정책으로부터 추출되는 복수의 키워드들과 각 키워드에 따라 로그데이터 및 트래픽 현황으로부터 분류되는 데이터를 포함할 수 있다. Here, the question-and-answer information for each security policy may include a plurality of keywords extracted from the security policy and data classified from log data and traffic status according to each keyword.

다음으로, 입력부(200)는 보안정책별 질의-응답정보를 이용하는 챗봇대화 서비스를 직원단말(20)에 제공함에 따라 해당 보안정책에 대한 질의요청문장을 입력받을 수 있다. Next, the input unit 200 provides the employee terminal 20 with a chatbot conversation service that uses question-and-answer information for each security policy, so that a question request sentence regarding the security policy can be input.

다음으로, 결정부(300)는 질의요청문장을 자연어이해(NLU)를 통해 변환처리함에 따라 획득된 맥락정보에 기초하여, 보안정책별 질의-응답정보 중 하나의 질의-응답정보를 결정할 수 있다. Next, the decision unit 300 can determine one of the question-and-answer information for each security policy based on the context information obtained by converting and processing the question request sentence through natural language understanding (NLU). .

구체적으로, 결정부(300)는 맥락정보에 기초하여 복수의 키워드들 중 하나의 키워드를 선택하고, 보안정책별 질의-응답정보 중 하나의 키워드에 대응되는 하나의 질의-응답정보를 결정할 수 있다. Specifically, the decision unit 300 may select one keyword from a plurality of keywords based on the context information and determine one question-and-answer information corresponding to one keyword among the question-and-answer information for each security policy. .

다음으로, 통합관리부(400)는 결정부(300)를 통해 결정된 하나의 질의-응답정보로부터 추출되는 해당 응답정보를 챗봇대화 서비스를 통해 직원단말(20)에 피드백시킬 수 있다. Next, the integrated management unit 400 can feed back the response information extracted from one question-answer information determined through the decision unit 300 to the employee terminal 20 through the chatbot conversation service.

일 실시예에 따라, 통합관리부(400)는 결정부(300)를 통해 획득된 맥락정보로부터 보안정책에 대한 보완요청이 확인된 경우, 기수집된 복수의 보안정책 이력 중 트래픽 현황에 대응되고, 보안 사고 횟수가 적은 순서로 추천할 수 있다. According to one embodiment, when a request for security policy supplementation is confirmed from the context information obtained through the decision unit 300, the integrated management unit 400 corresponds to the traffic status among the plurality of security policy histories already collected, Recommendations can be made in order of number of security incidents.

다른 실시예에 따라, 통합관리부(400)는 직원단말(20)에 구비된 레이더센서(미도시)로부터 챗봇대화 서비스를 통해 전송받는 사용자 호흡 및 심박신호에 기초하여, 챗봇대화 서비스를 일정시간 비활성화시킬 수 있다. According to another embodiment, the integrated management unit 400 deactivates the chatbot conversation service for a certain period of time based on the user's breathing and heart rate signals transmitted through the chatbot conversation service from a radar sensor (not shown) provided in the employee terminal 20. You can do it.

또 다른 실시예에 따라, 통합관리부(400)는 응답정보를 이해 난이도 등급별로 조절하여 저장 DB(1100)에 사전에 등록하고, 직원단말(20)에 구비된 카메라(미도시)를 통해 확인된 사용자의 얼굴객체의 비대칭 정도에 기초하여, 응답정보에 대한 이해 난이도 등급을 조절할 수 있다. According to another embodiment, the integrated management unit 400 adjusts the response information by comprehension difficulty level and registers it in advance in the storage DB 1100, and confirms the response information through a camera (not shown) provided in the employee terminal 20. Based on the degree of asymmetry of the user's face object, the level of difficulty in understanding the response information can be adjusted.

이하, 구체적인 실시예와 비교예를 통하여 본 발명의 구성 및 그에 따른 효과를 보다 상세히 설명하고자 한다. 그러나, 본 실시예는 본 발명을 보다 구체적으로 설명하기 위한 것이며, 본 발명의 범위가 이들 실시예에 한정되는 것은 아니다.Hereinafter, the configuration of the present invention and its effects will be described in more detail through specific examples and comparative examples. However, these examples are for illustrating the present invention in more detail, and the scope of the present invention is not limited to these examples.

도 2는 도 1b의 통합관리부(400)에 대한 실시예를 나타내는 블록도이고, 도 3은 보안정책 신청서에 대한 실시예이며, 도 4a 내지 도 4c는 단계별 작업화면들에 대한 실시예이고, 도 5a와 도 5b는 통합관리 페이지를 설명하기 위한 실시예들이며, 도 6은 검증결과에 대한 실시예이다. FIG. 2 is a block diagram showing an embodiment of the integrated management unit 400 of FIG. 1B, FIG. 3 is an embodiment of a security policy application, FIGS. 4A to 4C are an embodiment of step-by-step work screens, and FIG. Figures 5a and 5b are examples for explaining the integrated management page, and Figure 6 is an example of the verification results.

도 1a 내지 도 6을 참조하여 설명하면, 통합관리부(400)는 서비스부(410), 추천부(420) 및 진단부(430)를 포함할 수 있다. 1A to 6 , the integrated management unit 400 may include a service unit 410, a recommendation unit 420, and a diagnosis unit 430.

먼저, 서비스부(410)는 결정부(300)를 통해 획득된 맥락정보로부터 보안정책 신규신청이 확인된 경우, 보안정책 신청서와 해당 신청서에 대한 적합성 진단결과를 챗봇대화 서비스를 통해 직원단말(20)에 서비스할 수 있다. First, when a new application for a security policy is confirmed from the context information obtained through the decision department 300, the service department 410 sends the security policy application and the suitability diagnosis results for the application to the employee terminal (20) through a chatbot conversation service. ) can be serviced.

여기서, 보안정책 신청서는 도 3에 도시된 바와 같이, 각 신청정책 항목에 대한 입력정보에 기초하여, 신청용 보안정책을 임시로 생성할 수 있다. Here, the security policy application can temporarily create a security policy for application based on input information for each application policy item, as shown in FIG. 3.

일 실시예에 따라, 서비스부(410)는 직원단말(20)로부터 입력받는 보안정책 신청서에 대한 항목별 입력정보에 응답하여, 단계별 작업화면들을 챗봇대화 서비스를 통해 서비스할 수 있다. According to one embodiment, the service unit 410 may respond to input information for each item of the security policy application form input from the employee terminal 20 and provide step-by-step work screens through a chatbot conversation service.

여기서, 단계별 작업화면들은 운영자가 어느 하나의 보안정책을 설계하는 동안 순차적으로 캡쳐링된 가이드화면을 의미할 수 있다. Here, step-by-step work screens may refer to guide screens captured sequentially while the operator designs one security policy.

예를 들면, 단계별 작업화면들은 도 4a 내지 도 4c에 도시된 바와 같이, 접수정책 최적화 진행 단계화면, 작업대상 방화벽 선정 단계화면, 오브젝트 구성 단계화면, 정책분석 단계화면, 설계검증 단계화면 및 작업스케줄설정 단계화면을 포함할 수 있다. For example, step-by-step work screens include, as shown in FIGS. 4A to 4C, a reception policy optimization progress screen, a work target firewall selection step screen, an object configuration step screen, a policy analysis step screen, a design verification step screen, and a work schedule. Can include setup step screen.

이때, 서비스부(410)는 단계별 작업화면들 각각로부터 중복 검출되는 동일화면객체의 기설정된 개수에 기초하여, 중복 대상 화면으로 식별함에 따라 삭제처리할 수 있다. At this time, the service unit 410 can delete the screen by identifying it as a duplicate target screen based on the preset number of identical screen objects that are repeatedly detected from each of the step-by-step work screens.

또한, 서비스부(410)는 중복 대상 화면이 삭제처리된 단계별 작업화면들을 시간별로 컷편집함에 따라 작업 가이드 영상을 생성하고, 이를 직원단말(20)에 서비스할 수도 있다. In addition, the service unit 410 may generate a work guide video by cutting and editing step-by-step work screens from which duplicate target screens have been deleted by time, and may serve this to the employee terminal 20.

다른 실시예에 따라, 서비스부(410)는 단계별 작업화면들로부터 확인된 캡쳐링 시간 차이에 기초하여, 단계별 작업화면들을 챗봇대화 서비스를 통해 순차적으로 서비스할 수도 있다. According to another embodiment, the service unit 410 may sequentially service step-by-step work screens through a chatbot conversation service, based on the capturing time difference confirmed from the step-by-step work screens.

다음으로, 추천부(420)는 직원단말(20)로부터 보안정책 신청서를 통해 입력받는 입력키워드에 기초하여, 기설정된 복수의 정책설계 템플릿들 중 어느 하나의 정책설계 템플릿을 검색하여 직원단말(20)에 추천할 수 있다. Next, the recommendation unit 420 searches for one policy design template among a plurality of preset policy design templates based on the input keyword input through the security policy application form from the employee terminal 20 and displays the employee terminal 20. ) can be recommended.

여기서, 정책설계 템플릿은 도 5a에 도시된 바와 같이, 보안정책들이 리스트화된 페이지로서, 각 보안정책을 도 5b에 도시된 바와 같이, 신청, 결재, 설계, 적용 및 검증 작업을 검색 및 조회할 수 있는 통합관리 페이지일 수 있다. Here, the policy design template is a page listing security policies, as shown in Figure 5a, and each security policy can be searched and searched for application, approval, design, application, and verification tasks as shown in Figure 5b. It may be an integrated management page.

다음으로, 진단부(430)는 신청용 보안정책을 기설정된 진단페이지를 통해 시뮬레이션함에 따라 출력되는 검증결과에 기초하여, 보안정책 신청서에 대한 적합성 여부를 진단하고 이를 직원단말(20)에 서비스할 수 있다. Next, the diagnosis unit 430 diagnoses suitability for the security policy application based on the verification results output as the security policy for application is simulated through a preset diagnosis page and serves it to the employee terminal 20. You can.

여기서, 검증결과는 도 6에 도시된 바와 같이, 신청용 보안정책에 따라 대상 네트워크 장비(10)에 대한 다양한 분석 상태를 추정하여 시각화한 그래프일 수 있다. Here, the verification result may be a graph visualized by estimating various analysis states for the target network device 10 according to the security policy for application, as shown in FIG. 6.

도 7은 도 2의 통합관리부(400_1)에 대한 다른 실시예를 나타내는 블록도이다. FIG. 7 is a block diagram showing another embodiment of the integrated management unit 400_1 of FIG. 2.

도 1a 내지 도 7을 참조하여 설명하면, 통합관리부(400_1)는 서비스부(410), 추천부(420), 진단부(430), 결재관리부(440), 정보검출부(450) 및 동기화부(460)를 포함할 수 있다. 이하, 도 6에서 설명된 동일한 부재번호의 서비스부(410), 추천부(420), 진단부(430)에 대한 중복된 설명은 생략될 것이다. 1A to 7, the integrated management unit 400_1 includes a service unit 410, a recommendation unit 420, a diagnosis unit 430, an approval management unit 440, an information detection unit 450, and a synchronization unit ( 460). Hereinafter, duplicate descriptions of the service unit 410, recommendation unit 420, and diagnosis unit 430 of the same number as described in FIG. 6 will be omitted.

먼저, 결재관리부(440)는 보안정책 신청서가 적합으로 진단된 경우, 보안정책 신청서에 대한 결재프로세스를 선택적으로 활성화시킴에 따라 관리자단말(21)로부터 승인신호를 응답받을 수 있다. First, when the security policy application is diagnosed as compliant, the approval management unit 440 can receive an approval signal from the manager terminal 21 by selectively activating the approval process for the security policy application.

예를 들면, 직원단말(20)은 대상 네트워크 장비(10)를 통해 연결된 업체 네트워크에 소속된 직원이 소지한 단말을 의미하고, 관리자단말(21)은 해당 업체 네트워크를 관리하는 관리자가 소지한 단말을 의미할 수 있다. For example, the employee terminal 20 refers to a terminal owned by an employee belonging to a company network connected through the target network equipment 10, and the manager terminal 21 refers to a terminal owned by the manager who manages the company network. It can mean.

또한, 결재관리부(440)는 보안정책 신청서가 비적합으로 진단된 경우, 보안정책 신청서를 수정하도록 직원단말(20)에 알림메시지를 전송할 수 있다. Additionally, if the security policy application is diagnosed as non-compliant, the payment management unit 440 may send a notification message to the employee terminal 20 to modify the security policy application.

다음으로, 정보검출부(450)는 승인신호에 응답하여, 보안정책 신청서를 통해 입력받는 입력키워드에 대응되는 자동화 입력정보를 어느 하나의 정책설계 템플릿으로부터 검출할 수 있다. Next, the information detection unit 450 may detect automated input information corresponding to the input keyword input through the security policy application form from any one policy design template in response to the approval signal.

여기서, 자동화 입력정보는 보안정책을 적용하기 위한 방화벽 자동 판별, 오브젝트 객체 분석 및 설계를 위한 입력데이터들일 수 있다. Here, the automated input information may be input data for automatic firewall determination, object analysis, and design for applying security policies.

다음으로, 동기화부(460)는 대상 네트워크 장비(10)를 통해 확인된 네트워크 토폴로지 맵의 기설정된 방화벽 상태에 따라 식별된 동기화시점에 기초하여, 자동화 입력정보에 따른 신청용 보안정책을 대상 네트워크 장비(10)에 적용시킬 수 있다. Next, the synchronization unit 460 applies a security policy for application according to the automated input information to the target network device based on the synchronization point identified according to the preset firewall state of the network topology map confirmed through the target network device 10. It can be applied to (10).

실시예에 따라, 동기화부(460)는 신청용 보안정책에 설정된 스케줄링 기한에 기초하여, 기한 연장 여부를 제안하는 알림메시지를 관리자단말(21)에 전송할 수 있다. Depending on the embodiment, the synchronization unit 460 may transmit a notification message suggesting whether to extend the deadline to the manager terminal 21 based on the scheduling deadline set in the application security policy.

도 8은 도 2의 서비스부(410)에 대한 실시예를 나타내는 블록도이다. FIG. 8 is a block diagram showing an embodiment of the service unit 410 of FIG. 2.

도 1a 내지 도 8을 참조하여 설명하면, 서비스부(410)는 캡쳐링부(411), 가이드생성부(412) 및 작업관리부(413)를 포함할 수 있다. 1A to 8 , the service unit 410 may include a capturing unit 411, a guide generation unit 412, and a work management unit 413.

먼저, 수집부(411)는 보안정책별 로그데이터와 로그데이터별 방화벽 유지시간을 사전에 수집하여 저장 DB(1100)에 저장할 수 있다. First, the collection unit 411 may collect log data for each security policy and firewall maintenance time for each log data in advance and store them in the storage DB 1100.

다음으로, 모델링부(412)는 보안정책별 로그데이터를 입력으로 하고 로그데이터별 방화벽 유지시간을 출력으로 하는 머신러닝을 통해 학습함에 따라, 인공지능 기반의 방화벽 유지시간 출력모델을 모델링할 수 있다. Next, the modeling unit 412 can model an artificial intelligence-based firewall maintenance time output model by learning through machine learning that uses log data for each security policy as input and firewall maintenance time for each log data as output. .

여기서, 인공지능 기반의 방화벽 유지시간 출력모델은 대상 네트워크 장비로부터 모니터링되는 로그데이터를 입력받아 방화벽 유지시간을 추정할 수 있는 알고리즘으로, 인공 신경 회로망(Artificial Neural Network), SVM(Support Vector Machine), 의사 결정 트리(Decision Tree) 및 랜덤 포레스트(Random Forest) 중 어느 하나의 알고리즘일 수 있다. Here, the artificial intelligence-based firewall maintenance time output model is an algorithm that can estimate the firewall maintenance time by receiving log data monitored from target network equipment, including artificial neural network, SVM (Support Vector Machine), It may be one of Decision Tree and Random Forest algorithms.

예를 들면, 인공 신경 회로망은 주로 딥러닝에서 사용되어 지고, 기계학습과 생물학의 신경망에서 영감을 얻은 통계학적 학습 알고리즘으로서, 특징 추출 신경망과 분류 신경망을 포함하는 컨볼루션 신경망일 수 있다. 이때, 컨볼루션 신경망은 시각적 이미지를 분석하는데 사용되는 깊고 피드포워드적인 인공 신경 회로망의 한종류로, 이미지의 특징을 추출하고 클래스를 분류하는 과정으로 나누어질 수 있고, 특정 이미지의 특징을 추출하고 추출된 특징을 기반으로 이미지를 인식할 수 있다. For example, artificial neural networks are mainly used in deep learning, are statistical learning algorithms inspired by machine learning and neural networks in biology, and can be convolutional neural networks that include feature extraction neural networks and classification neural networks. At this time, the convolutional neural network is a type of deep, feed-forward artificial neural network used to analyze visual images. It can be divided into the process of extracting image features and classifying classes, extracting and extracting features of a specific image, and Images can be recognized based on the features provided.

다음으로, 작업관리부(413)는 신청용 보안정책에 따라 대상 네트워크 장비(10)를 통해 모니터링되는 각 로그데이터를 방화벽 유지시간 출력모델에 적용함에 따라 출력된 방화벽 유지시간에 기초하여, 대상 네트워크 장비(10)에 대한 방화벽 작업스케줄을 세부적으로 조절할 수 있다. Next, the task management unit 413 applies each log data monitored through the target network device 10 according to the security policy for application to the firewall maintenance time output model, and calculates the target network device 10 based on the output firewall maintenance time. The firewall task schedule for (10) can be adjusted in detail.

도 9는 본 발명의 다른 실시예에 따른 보안정책 자동화 관리시스템(1000_1)을 개략적으로 나타내는 도이다. Figure 9 is a diagram schematically showing a security policy automation management system (1000_1) according to another embodiment of the present invention.

도 9를 참조하여 설명하면, 보안정책 자동화 관리시스템(1000_1)은 생성부(100), 입력부(200), 결정부(300), 통합관리부(400) 및 설계부(500)를 포함할 수 있다. 이하, 도 1b에서 설명된 동일한 부재번호의 생성부(100), 입력부(200), 결정부(300), 통합관리부(400)에 대한 중복된 설명은 생략될 것이다. When described with reference to FIG. 9 , the security policy automation management system 1000_1 may include a creation unit 100, an input unit 200, a decision unit 300, an integrated management unit 400, and a design unit 500. Hereinafter, duplicate descriptions of the generation unit 100, input unit 200, decision unit 300, and integrated management unit 400 of the same member number described in FIG. 1B will be omitted.

본 발명의 설계부(500)는 대상 네트워크 장비(10)로부터 모니터링되는 로그데이터에 기초하여, 대상 네트워크 장비(10)에 대한 자동화 보안정책 솔루션을 설계할 수 있도록 수집모듈(510), 전처리모듈(520), 추출모듈(530), 분할모듈(540), 클러스터링모듈(550), 솔루션관리모듈(560)을 포함할 수 있다. The design unit 500 of the present invention includes a collection module 510 and a preprocessing module 520 to design an automated security policy solution for the target network device 10 based on log data monitored from the target network device 10. ), extraction module 530, division module 540, clustering module 550, and solution management module 560.

구체적으로, 수집모듈(510)은 대상 네트워크 장비(10)로부터 모니터링되는 로그데이터를 실시간 수집할 수 있다. Specifically, the collection module 510 can collect log data monitored from the target network device 10 in real time.

다음으로, 전처리모듈(520)은 수집모듈(510)을 통해 수집된 로그데이터를 기설정된 변환프로세스를 통해 전처리할 수 있다. 여기서, 기설정된 변환프로세스는 로그데이터를 트래픽 현황 그래픽으로 파싱하는 파싱프로세스와 로그데이터를 네트워크 토폴로지 맵으로 변환하는 지오태깅 프로세스를 포함할 수 있다. Next, the preprocessing module 520 may preprocess the log data collected through the collection module 510 through a preset conversion process. Here, the preset conversion process may include a parsing process that parses log data into traffic status graphics and a geotagging process that converts log data into a network topology map.

다음으로, 추출모듈(530)은 전처리모듈(520)를 통해 전처리된 데이터로부터 기설정된 룰셋적용을 통해 데이터셋을 추출할 수 있다. Next, the extraction module 530 can extract a dataset from the data preprocessed through the preprocessing module 520 by applying a preset rule set.

다음으로, 분할모듈(540)은 추출모듈(530)을 통해 추출된 데이터셋을 기설정된 파티셔닝파라미터에 따라 복수의 그룹데이터들로 파티셔닝할 수 있다. Next, the partition module 540 may partition the data set extracted through the extraction module 530 into a plurality of group data according to a preset partitioning parameter.

다음으로, 클러스터링모듈(550)은 분할모듈(540)을 통해 파티셔닝된 각 그룹데이터들을 기설정된 클러스터링파라미터에 따라 군집처리할 수 있다. Next, the clustering module 550 can process each group data partitioned through the division module 540 into clusters according to preset clustering parameters.

다음으로, 솔루션관리모듈(560)은 클러스터링모듈(550)을 통해 군집처리된 각 그룹데이터들을 기설정된 정책도출 알고리즘을 적용하여 자동화 보안정책 솔루션을 도출할 수 수 있다. Next, the solution management module 560 can derive an automated security policy solution by applying a preset policy derivation algorithm to each group data clustered through the clustering module 550.

여기서, 기설정된 정책도출 알고리즘은 군집처리된 데이터를 범위객체, 클래스객체, 그룹객체로 객체화시키는 알고리즘을 의미할 수 있다. Here, the preset policy derivation algorithm may refer to an algorithm that objectifies clustered data into range objects, class objects, and group objects.

이때, 솔루션관리모듈(560)은 관리자단말(21)에 자동화 보안정책 솔루션을 제공함에 따라 피드백받는 적용승인신호에 기초하여, 자동화 보안정책 솔루션을 대상 네트워크 장비(10)에 자동으로 적용시킬 수 있다. At this time, the solution management module 560 can automatically apply the automated security policy solution to the target network device 10 based on the application approval signal that is fed back as it provides the automated security policy solution to the administrator terminal 21. .

본 명세서에서는 본 발명자들이 실행한 다양한 실시예 가운데 몇 개의 예만을 들어 설명하는 것이나 본 발명의 기술적 사상은 이에 한정하거나 제한되지 않고, 당업자에 의해 변형되어 다양하게 실시될 수 있음은 물론이다.In this specification, only a few examples of various embodiments implemented by the present inventors are described, but the technical idea of the present invention is not limited or limited thereto, and of course, it can be modified and implemented in various ways by those skilled in the art.

100: 생성부
200: 입력부
300: 결정부
400: 통합관리부
500: 설계부
1000: 보안정책 자동화 관리시스템 100: Generation unit
200: input unit
300: decision part
400: Integrated Management Department
500: Design Department
1000: Security policy automation management system

Claims (8)

대상 네트워크 장비로부터 모니터링되는 로그데이터에 따라 보안정책을 수립하여 해당 장비를 관리하는 보안정책 자동화 관리시스템으로서,
상기 로그데이터, 상기 보안정책 및 상기 대상 네트워크 장비의 트래픽 현황을 취합하고, 이를 자연어생성(NLG)을 통해 보안정책별 질의-응답정보를 생성하는 생성부;
상기 보안정책별 질의-응답정보를 이용하는 챗봇대화 서비스를 직원단말에 제공함에 따라 질의요청문장을 입력받는 입력부;
상기 질의요청문장을 자연어이해(NLU)를 통해 변환처리함에 따라 획득된 맥락정보에 기초하여, 상기 보안정책별 질의-응답정보 중 하나의 질의-응답정보를 결정하는 결정부; 및
상기 하나의 질의-응답정보로부터 추출되는 해당 응답정보를 상기 챗봇대화 서비스를 통해 상기 직원단말에 피드백시키는 통합관리부를 포함하고,
상기 통합관리부는 상기 맥락정보로부터 보안정책 신규신청이 확인된 경우, 신청용 보안정책을 생성하기 위한 보안정책 신청서를 챗봇대화 서비스를 통해 서비스하는 서비스부;
상기 보안정책 신청서를 통해 입력받는 입력키워드에 기초하여, 기설정된 복수의 정책설계 템플릿들 중 어느 하나의 정책설계 템플릿을 검색하여 추천하는 추천부; 및
상기 신청용 보안정책을 기설정된 진단페이지를 통해 시뮬레이션함에 따라 출력되는 검증결과에 기초하여, 상기 보안정책 신청서에 대한 적합성 여부를 진단하는 진단부를 포함하는, 보안정책 자동화 관리시스템. It is an automated security policy management system that establishes a security policy based on log data monitored from target network equipment and manages the equipment.
a generator that collects the log data, the security policy, and the traffic status of the target network equipment and generates question-and-response information for each security policy through natural language generation (NLG);
An input unit that receives a question request sentence by providing a chatbot conversation service using the question-and-answer information for each security policy to an employee terminal;
a decision unit that determines one of the question-and-answer information for each security policy based on context information obtained by converting and processing the question request sentence through natural language understanding (NLU); and
An integrated management unit that feeds back corresponding response information extracted from the single question-and-answer information to the employee terminal through the chatbot conversation service,
The integrated management unit includes a service unit that serves a security policy application for creating a security policy for application through a chatbot conversation service when a new application for a security policy is confirmed from the context information;
a recommendation unit that searches for and recommends one policy design template among a plurality of preset policy design templates based on the input keyword input through the security policy application form; and
An automated security policy management system comprising a diagnosis unit that diagnoses suitability for the security policy application based on verification results output as the application security policy is simulated through a preset diagnosis page. 삭제delete 제1항에 있어서,
상기 서비스부는 상기 직원단말로부터 입력받는 상기 보안정책 신청서에 대한 항목별 입력정보에 응답하여, 단계별 작업화면들을 순차적으로 챗봇대화 서비스를 통해 서비스하고,
상기 단계별 작업화면들은 운영자가 어느 하나의 보안정책을 설계하는 동안 순차적으로 캡쳐링된 화면을 의미하는, 보안정책 자동화 관리시스템. According to paragraph 1,
The service department responds to the input information for each item of the security policy application form input from the employee terminal, and sequentially services step-by-step work screens through a chatbot conversation service,
The step-by-step work screens refer to screens captured sequentially while the operator designs one security policy. A security policy automation management system. 제3항에 있어서,
상기 서비스부는 상기 단계별 작업화면들 각각로부터 중복 검출되는 동일화면객체의 기설정된 개수에 기초하여, 중복 대상 화면으로 식별함에 따라 삭제처리하고,
상기 중복 대상 화면이 제거된 상기 단계별 작업화면들을 시간별로 컷편집함에 따라 작업 가이드 영상을 생성하여 상기 직원단말에 서비스하는, 보안정책 자동화 관리시스템. According to paragraph 3,
The service unit identifies the screen as a duplicate target screen based on a preset number of identical screen objects detected duplicated from each of the step-by-step work screens and processes them for deletion,
A security policy automation management system that generates a work guide video and serves it to the employee terminal by cutting and editing the step-by-step work screens from which the duplicate target screens have been removed by time. 제3항에 있어서,
상기 통합관리부는 상기 보안정책 신청서가 적합으로 진단된 경우, 상기 보안정책 신청서에 대한 결재프로세스를 선택적으로 활성화시킴에 따라 관리자단말로부터 승인신호를 응답받는 결재관리부;
상기 승인신호에 응답하여, 상기 보안정책 신청서를 통해 입력받는 입력키워드에 대응되는 자동화 입력정보를 상기 어느 하나의 정책설계 템플릿으로부터 검출하는 정보검출부; 및
상기 대상 네트워크 장비를 통해 확인된 네트워크 토폴로지 맵의 기설정된 방화벽 상태에 따라 식별된 동기화시점에 기초하여, 상기 자동화 입력정보를 대상 네트워크 장비에 적용시키는 동기화부를 더 포함하는, 보안정책 자동화 관리시스템. According to paragraph 3,
The integrated management unit includes: an approval management unit that receives an approval signal from an administrator terminal by selectively activating an approval process for the security policy application when the security policy application is diagnosed as suitable;
an information detection unit that detects automated input information corresponding to an input keyword input through the security policy application form from the one policy design template in response to the approval signal; and
A security policy automation management system further comprising a synchronization unit that applies the automation input information to the target network device based on a synchronization point identified according to a preset firewall state of the network topology map confirmed through the target network device. 제5항에 있어서,
상기 결재관리부는 상기 보안정책 신청서가 비적합으로 진단된 경우, 상기 보안정책 신청서를 수정하도록 상기 직원단말에 알림메시지를 전송하는, 보안정책 자동화 관리시스템. According to clause 5,
The payment management unit is a security policy automation management system that sends a notification message to the employee terminal to modify the security policy application when the security policy application is diagnosed as non-compliant. 제1항에 있어서,
상기 서비스부는 보안정책별 로그데이터와 로그데이터별 방화벽 유지시간을 사전에 수집하는 수집부;
상기 보안정책별 로그데이터를 입력으로 하고 상기 로그데이터별 방화벽 유지시간을 출력으로 하는 머신러닝을 통해 학습함에 따라, 인공지능 기반의 방화벽 유지시간 출력모델을 모델링하는 모델링부; 및
상기 신청용 보안정책에 따라 상기 대상 네트워크 장비를 통해 모니터링되는 각 로그데이터를 방화벽 유지시간 출력모델에 적용함에 따라 출력된 방화벽 유지시간에 기초하여, 상기 대상 네트워크 장비에 대한 방화벽 작업스케줄을 세부적으로 조절하는 작업관리부를 포함하는, 보안정책 자동화 관리시스템. According to paragraph 1,
The service unit includes a collection unit that collects log data for each security policy and firewall maintenance time for each log data in advance;
A modeling unit that models an artificial intelligence-based firewall maintenance time output model by learning through machine learning that inputs log data for each security policy and outputs firewall maintenance time for each log data; and
By applying each log data monitored through the target network device according to the application security policy to the firewall maintenance time output model, the firewall work schedule for the target network device is adjusted in detail based on the output firewall maintenance time. A security policy automation management system that includes a task management unit. 제1항에 있어서,
상기 로그데이터에 기초하여, 상기 대상 네트워크 장비에 대한 자동화 보안정책 솔루션을 설계하는 설계부를 더 포함하고,
상기 설계부는 상기 로그데이터를 실시간으로 수집하는 수집모듈;
상기 로그데이터를 기설정된 변환프로세스를 통해 전처리하는 전처리모듈;
상기 전처리된 데이터로부터 기설정된 룰셋적용을 통해 데이터셋을 추출하는 추출모듈;
상기 데이터셋을 기설정된 파티셔닝파라미터에 따라 복수의 그룹데이터들로 파티셔닝하는 분할모듈;
각 그룹데이터들을 기설정된 클러스터링파라미터에 따라 군집처리하는 클러스터링모듈; 및
상기 군집처리된 각 그룹데이터들을 기설정된 정책도출 알고리즘을 적용하여 상기 자동화 보안정책 솔루션을 도출하는 솔루션관리모듈을 포함하는, 보안정책 자동화 관리시스템.



According to paragraph 1,
Based on the log data, it further includes a design unit that designs an automated security policy solution for the target network device,
The design unit includes a collection module that collects the log data in real time;
A preprocessing module that preprocesses the log data through a preset conversion process;
An extraction module that extracts a data set from the preprocessed data by applying a preset rule set;
a partition module that partitions the data set into a plurality of group data according to preset partitioning parameters;
A clustering module that clusters each group data according to preset clustering parameters; and
An automated security policy management system comprising a solution management module that derives the automated security policy solution by applying a preset policy derivation algorithm to each of the clustered group data.
KR1020230059720A 2023-05-09 2023-05-09 Security policy automation management system KR102580835B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020230059720A KR102580835B1 (en) 2023-05-09 2023-05-09 Security policy automation management system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020230059720A KR102580835B1 (en) 2023-05-09 2023-05-09 Security policy automation management system

Publications (1)

Publication Number Publication Date
KR102580835B1 true KR102580835B1 (en) 2023-09-20

Family

ID=88191457

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020230059720A KR102580835B1 (en) 2023-05-09 2023-05-09 Security policy automation management system

Country Status (1)

Country Link
KR (1) KR102580835B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200186569A1 (en) * 2018-12-05 2020-06-11 International Business Machines Corporation Security Rule Generation Based on Cognitive and Industry Analysis
US20220263870A1 (en) * 2020-05-20 2022-08-18 At&T Intellectual Property I, L.P. Determining relevant security policy data based on cloud environment
KR20230052387A (en) * 2021-10-13 2023-04-20 포항공과대학교 산학협력단 Automatic QA data generation method and apparatus

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200186569A1 (en) * 2018-12-05 2020-06-11 International Business Machines Corporation Security Rule Generation Based on Cognitive and Industry Analysis
US20220263870A1 (en) * 2020-05-20 2022-08-18 At&T Intellectual Property I, L.P. Determining relevant security policy data based on cloud environment
KR20230052387A (en) * 2021-10-13 2023-04-20 포항공과대학교 산학협력단 Automatic QA data generation method and apparatus

Similar Documents

Publication Publication Date Title
US20230214723A1 (en) Method and system for implementing machine learning analysis of documents
Caldas et al. Automated classification of construction project documents
CN109902297B (en) Threat information generation method and device
CN113377850A (en) Big data technology platform of cognitive Internet of things
CN101950296B (en) Cloud data audit method and system
CN106294520B (en) Carry out identified relationships using the information extracted from document
CN113556254B (en) Abnormal alarm method and device, electronic equipment and readable storage medium
CN116680459B (en) Foreign trade content data processing system based on AI technology
CN112732949B (en) Service data labeling method and device, computer equipment and storage medium
CN110020687A (en) Abnormal behaviour analysis method and device based on operator's Situation Awareness portrait
CN114925391A (en) Method and device for monitoring circulation of private information, electronic equipment and storage medium
CN114003600A (en) Data processing method, system, electronic device and storage medium
CN112835784B (en) Method for evaluating and optimizing interoperation capacity of complex giant system
CN113836237A (en) Method and device for auditing data operation of database
KR102580835B1 (en) Security policy automation management system
KR102285308B1 (en) Automatic mapping system for management standard specification
KR102355787B1 (en) Methods to gather screen requirements and to manage processes for the software development including web based services and mobile services
CN110390466A (en) A kind of multidimensional visualized O&M managing device based on cloud SOA framework
CN115221337A (en) Data weaving processing method and device, electronic equipment and readable storage medium
CN112511360A (en) Multi-source service platform data security component monitoring method and system
CN110620680A (en) AR-based operation and maintenance knowledge pushing method
KR20200075147A (en) A dbms-ai framework used automatic classification and method automatic classification used it
KR102355791B1 (en) Tools to define requirements specification for the screen developing a software, web based service and mobile platform service
Nazarov et al. Intelligent service for monitoring the activities of an employee of an organization
CN117521969B (en) Intelligent park operation index calculation system based on digital twinning

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant