KR102597853B1 - 디지털 트윈을 기반한 이기종 방화벽 관리 시스템 및 이기종 방화벽 관리 방법 - Google Patents
디지털 트윈을 기반한 이기종 방화벽 관리 시스템 및 이기종 방화벽 관리 방법 Download PDFInfo
- Publication number
- KR102597853B1 KR102597853B1 KR1020210163679A KR20210163679A KR102597853B1 KR 102597853 B1 KR102597853 B1 KR 102597853B1 KR 1020210163679 A KR1020210163679 A KR 1020210163679A KR 20210163679 A KR20210163679 A KR 20210163679A KR 102597853 B1 KR102597853 B1 KR 102597853B1
- Authority
- KR
- South Korea
- Prior art keywords
- policy
- firewall
- module
- situation
- heterogeneous
- Prior art date
Links
- 238000000034 method Methods 0.000 title description 18
- 238000005457 optimization Methods 0.000 claims abstract description 35
- 238000013461 design Methods 0.000 claims abstract description 34
- 238000013135 deep learning Methods 0.000 claims abstract description 8
- 238000004364 calculation method Methods 0.000 claims abstract description 6
- 238000012795 verification Methods 0.000 claims abstract description 6
- 238000007726 management method Methods 0.000 claims description 73
- 238000004088 simulation Methods 0.000 claims description 21
- 230000000694 effects Effects 0.000 claims description 12
- 230000004044 response Effects 0.000 claims description 11
- 230000008569 process Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 12
- 238000004891 communication Methods 0.000 description 8
- 238000007689 inspection Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 238000010200 validation analysis Methods 0.000 description 5
- 238000004422 calculation algorithm Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 230000003412 degenerative effect Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003362 replicative effect Effects 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/01—Input arrangements or combined input and output arrangements for interaction between user and computer
- G06F3/048—Interaction techniques based on graphical user interfaces [GUI]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Human Computer Interaction (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템은, 임의의 시스템인 대상 시스템에 구축되는 보안인 방화벽을 관리하기 위한 이기종 방화벽 관리 시스템에 있어서, 방화벽의 정책의 희망 사항에 대한 정보인 정책 디자인을 기초로 방화벽의 정책으로 새롭게 등록할 정책인 신규 정책을 산출하는 설계 모듈; 상기 신규 정책이 방화벽에 적용되고 있는 정책인 운영 정책과 일치되는지 여부를 기초로 상기 신규 정책의 유효성을 검증하는 검증 모듈; 및 상기 신규 정책이 미리 정해진 최적화 조건을 만족하는 경우, 상기 신규 정책을 방화벽에 적용하여, 방화벽을 최적화시키는 최적화 모듈;을 포함하고, 상기 설계 모듈은, 딥 러닝에 의해 산출된 정책 산출 모델을 이용하여 상기 신규 정책을 산출할 수 있다.
Description
본 발명은 디지털 트윈을 이용하여 이기종 방화벽을 효과적으로 관리, 운영할 수 있는 관리 시스템 및 관리 방법에 대한 것이다.
정보시스템 자산의 증가와 함께 다양한 환경의 운영체제(OS)나 모바일단말기용 응용 프로그램(APPLICATION), 보안 솔루션이 개발되어 사용되고 있다. 이와 같은 다양한 환경에서 기록되는 보안 이벤트 역시 다양한 형태로 저장되고, 그 용량도 빠른 속도로 커지고 있다
초창기의 보안 서비스는 네트워크 보안 시스템을 운영하고 해당 장비에서 발생하는 다양한 이벤트를 모니터링을 하는 기초적인 서비스가 주를 이루었다. 다만, 최근에 홈페이지 변조나 주요 정보 유출 등 해킹 기법들이 점점 지능화, 전문화 및 고도화되고 있음에 따라, 기초적인 보안 서비스로는 시스템의 보안을 완벽하게 수행하지 못하는 문제가 발생되었다.
본 발명은 상술한 문제점을 해결하기 위한 것으로, 디지털 트윈을 기반하여 이기종 방화벽을 통합하여 관리, 운영할 수 있는 관리 시스템 및 관리 방법을 제공하고자 한다.
다만, 본 실시예가 이루고자 하는 기술적 과제는 상기된 바와 같은 기술적 과제들로 한정되지 않으며, 또 다른 기술적 과제들이 존재할 수 있다.
본 발명의 일 실시예에 따른 관리 시스템은, 임의의 시스템인 대상 시스템에 구축되는 보안인 방화벽을 관리하기 위한 이기종 방화벽 관리 시스템에 있어서, 방화벽의 정책의 희망 사항에 대한 정보인 정책 디자인을 기초로 방화벽의 정책으로 새롭게 등록할 정책인 신규 정책을 산출하는 설계 모듈; 상기 신규 정책이 방화벽에 적용되고 있는 정책인 운영 정책과 일치되는지 여부를 기초로 상기 신규 정책의 유효성을 검증하는 검증 모듈; 및 상기 신규 정책이 미리 정해진 최적화 조건을 만족하는 경우, 상기 신규 정책을 방화벽에 적용하여, 방화벽을 최적화시키는 최적화 모듈;을 포함하고, 상기 설계 모듈은, 딥 러닝에 의해 산출된 정책 산출 모델을 이용하여 상기 신규 정책을 산출할 수 있다.
또한, 상기 미리 정해진 최적화 조건은, 상기 신규 정책이 상기 운영 정책과 중복되지 않을 조건인 제1 최적화 조건, 상기 신규 정책이 상기 운영 정책에 추가됨으로써 방화벽의 보안 효과가 소정 기준 미만일 조건인 제2 최적화 조건 및 상기 신규 정책이 컴플라이언스 규칙을 위반하지 않을 조건인 제3 최적화 조건 중 적어도 하나 이상의 조건을 구비할 수 있다.
또한, 상기 설계 모듈에서 산출되지 않은 상기 신규 정책을 수신하고, 상기 신규 정책을 상기 운영 정책에 입력하는 입력 모듈;을 더 포함할 수 있다.
또한, 상기 운영 정책을 미리 정해진 기준 정책과 비교하여 예외적 상황인지를 판단하는 예외 처리 모듈;을 더 포함하고, 상기 예외적 상황은, 방화벽의 보안 효과가 소정 기준 이상인 상황인 제1 상황, 정책의 유효 기간이 만료된 상황인 제2 상황, 소정의 기간 동안 정책이 사용되지 않은 상황인 제3 상황 및 중복된 정책이 존재하는 상황인 제4 상황을 적어도 하나 이상의 상황을 포함할 수 있다.
또한, 권한이 부여된 신청자에 의한 요청일 경우에만 상기 신규 정책을 등록 시키는 관리 모듈;을 더 포함할 수 있다.
또한, 상기 대상 시스템을 가상 세계로 모사하여 상기 대상 시스템과 대응되는 가상의 시스템인 가상 시스템을 생성하는 모사 모듈, 상기 대상 시스템이 가동되는 것에 따라 대응되어 상기 가상 시스템을 가동시키는 관제 모듈 및 상기 가상 시스템을 시뮬레이션하고, 시뮬레이션 결과를 기반으로 상기 대상 시스템의 방화벽 보안을 최적화하는 모의 모듈을 구비하는 디지털 트윈 모듈;을 더 포함할 수 있다.
또한, 상기 디지털 트윈 모듈은, 개별적으로 구성된 상기 가상 시스템을 서로 연계하는 연합 모듈 및 자율적으로 연합된 상기 가상 시스템의 문제를 인식하여 해결 방안을 산출하는 자율 모듈을 더 구비할 수 있다.
또한, 상기 가상 시스템에 대한 정보가 표시될 수 있는 인터페이스를 제공하는 인터페이스 모듈;을 더 포함하고, 상기 인터페이스 모듈은, 상기 가상 시스템의 성과, 상기 가상 시스템의 보안 정도, 상기 가상 시스템의 트레픽 중 적어도 하나가 표시되는 인터페이스를 제공할 수 있다.
본 발명의 일 실시예에 따른 이기종 방화벽 관리 방법은, 이기종 방화벽 관리 시스템이 구현하는 이기종 방화벽 관리 방법에 있어서, 방화벽의 정책의 희망 사항에 대한 정보인 정책 디자인을 기초로 방화벽의 정책으로 새롭게 등록될 정책인 신규 정책이 산출되는 단계; 상기 신규 정책이 방화벽에 적용되고 있는 정책인 운영 정책과 일치되는지 여부를 기초로 상기 신규 정책의 유효성이 검증되는 단계; 및 상기 신규 정책이 미리 정해진 최적화 조건을 만족하는 경우, 상기 신규 정책이 방화벽에 적용되어, 방화벽이 최적화 되는 단계;를 포함할 수 있다.
또한, 상기 운영 정책을 미리 정해진 기준 정책과 비교하여 예외적 상황인지가 판단되는 단계;를 더 포함하고, 상기 예외적 상황은, 방화벽의 보안 효과가 소정 기준 이상인 상황인 제1 상황, 정책의 유효 기간이 만료된 상황인 제2 상황, 소정의 기간 동안 정책이 사용되지 않은 상황인 제3 상황 및 중복된 정책이 존재하는 상황인 제4 상황을 적어도 하나 이상의 상황을 포함할 수 있다.
본 발명에 따른 디지털 트윈을 기반한 이기종 방화벽 관리 시스템 및 이기종 방화벽 관리 방법에 따르면 방화벽 관리 효율성을 극대화할 수 있다.
또한, 시스템의 보안 기밀성을 향상시킬 수 있다.
또한, 관리 및 운영 비용을 절감시킬 수 있다.
다만, 본 발명의 효과가 상술한 효과들로 제한되는 것은 아니며, 언급되지 아니한 효과들은 본 명세서 및 첨부된 도면으로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확히 이해될 수 있을 것이다.
도 1은 본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템의 관계도
도 2는 본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템의 구성도
도 3은 본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템의 구성간의 관계를 도시한 도면
도 4는 본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템의 입력 모듈이 구현하는 단계의 순서도
도 5는 본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템의 설계 모듈이 구현하는 단계의 순서도
도 6은 본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템의 예외 처리 모듈이 구현하는 단계의 순서도
도 7은 본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템의 관리 모듈이 구현하는 단계의 순서도
도 8은 본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템의 최적화 모듈이 구현하는 단계의 순서도
도 9는 본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템이 구비하는 디지털 트윈 모듈의 기능을 설명하기 위한 도면
도 10 내지 도 12는 본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템의 인터페이스 모듈이 제공하는 인터페이스 화면의 예시를 도시한 도면
도 2는 본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템의 구성도
도 3은 본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템의 구성간의 관계를 도시한 도면
도 4는 본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템의 입력 모듈이 구현하는 단계의 순서도
도 5는 본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템의 설계 모듈이 구현하는 단계의 순서도
도 6은 본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템의 예외 처리 모듈이 구현하는 단계의 순서도
도 7은 본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템의 관리 모듈이 구현하는 단계의 순서도
도 8은 본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템의 최적화 모듈이 구현하는 단계의 순서도
도 9는 본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템이 구비하는 디지털 트윈 모듈의 기능을 설명하기 위한 도면
도 10 내지 도 12는 본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템의 인터페이스 모듈이 제공하는 인터페이스 화면의 예시를 도시한 도면
이하에서는 도면을 참조하여 본 발명의 구체적인 실시예를 상세하게 설명한다. 다만, 본 발명의 사상은 제시되는 실시예에 제한되지 아니하고, 본 발명의 사상을 이해하는 당업자는 동일한 사상의 범위 내에서 다른 구성요소를 추가, 변경, 삭제 등을 통하여, 퇴보적인 다른 발명이나 본 발명 사상의 범위 내에 포함되는 다른 실시예를 용이하게 제안할 수 있을 것이나, 이 또한 본원 발명 사상 범위 내에 포함된다고 할 것이다.
도 1은 본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템의 관계도이고, 도 2는 본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템의 구성도이며, 도 3은 본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템의 구성간의 관계를 도시한 도면이다.
도 1을 참조하면, 이기종 방화벽 관리 시스템(100)은 디바이스(10)들로 이루어진 대상 시스템의 네트워크와 디바이스의 보안을 구현하기 위해 관리, 통제, 시뮬레이션, 예측, 대응 등의 업무를 진행하는 시스템일 수 있다.
여기서, 디바이스 중 하나인 방화벽에 대한 관리, 통제, 시뮬레이션, 예측, 대응을 주 업무로 수행할 수 있으나, 이에 본 발명을 한정하는 것은 아니고, 이기종 방화벽 관리 시스템은 방화벽을 포함하는 보안 디바이스에 대해서 관리, 통제, 시뮬레이션, 예측, 대응 등의 업무를 수행할 수 있다.
이를 위해, 이기종 방화벽 관리 시스템(100)은 디바이스와 유/무선으로 통신 가능하게 연결될 수 있으며, 상기 디바이스로부터 동작에서 발생되는 로그들을 수집할 수 있다.
여기서, 디바이스란 컴퓨팅 장치, 서버, 컴퓨터 주변기기, 입/출력 장치, 통신장비, 보안 장치를 포함하는 것일 수 있으며, 나열된 것에 본 발명이 한정된 것은 아니고, 통상의 기술자에게 자명한 수준에서 다양하게 변형 가능하다.
본 발명에서 언급하는 네트워크라 함은 유선 공중망, 무선 이동 통신망, 또는 휴대 인터넷 등과 통합된 코어 망일 수도 있고, TCP/IP 프로토콜 및 그 상위 계층에 존재하는 여러 서비스, 즉 HTTP(Hyper Text Transfer Protocol), HTTPS(Hyper Text Transfer Protocol Secure), Telnet, FTP(File Transfer Protocol), DNS(Domain Name System), SMTP(Simple Mail Transfer Protocol) 등을 제공하는 전 세계적인 개방형 컴퓨터 네트워크 구조를 의미할 수 있으며, 이러한 예에 한정하지 않고 다양한 형태로 데이터를 송수신할 수 있는 데이터 통신망을 포괄적으로 의미하는 것이다.
본 발명에서 언급하는 서버는 서버의 서버 환경을 수행하기 위한 다른 구성들이 포함될 수도 있다. 서버는 임의의 형태의 장치는 모두 포함할 수 있다.
일례로, 서버는 디지털 기기로서, 랩탑 컴퓨터, 노트북 컴퓨터, 데스크톱 컴퓨터, 웹 패드, 이동 전화기와 같이 프로세서를 탑재하고 메모리를 구비한 연산 능력을 갖춘 디지털 기기일 수 있다.
일례로, 서버는 웹 서버일 수 있다. 다만, 이에 한정하지 않고, 서버의 종류는 통상의 기술자에게 자명한 수준에서 다양하게 변경 가능하다.
본 발명에서 언급하는 컴퓨팅 장치는 정보 처리 연산을 처리할 수 있는 장치를 의미할 수 있다.
일례로, 컴퓨팅 장치는 데스크탑 컴퓨터, 노트북, 스마트폰, PDA(Personal Digital Assistants), PMP(Portable Multimedia Player), 휴대용 단말기 등이 포함되는 이동 단말기 및/또는 스마트 TV 등이 포함될 수 있다.
이기종 방화벽 관리 시스템(100)은 사용자 단말기와 정보 통신 가능하게 유/무선으로 연결될 수 있다.
사용자 단말기는 사용자가 이용하는 단말기로서 아래에서는 사용자로 명명할 수 있다.
사용자 단말기는 무선 통신기, 휴대폰, PDA 뿐만 아니라 데스크탑 컴퓨터, 노트북, 스마트폰, PMP(Portable Multimedia Player), 휴대용 단말기 등이 포함되는 이동 단말기 및/또는 스마트 TV 등이 포함될 수 있다.
대상 시스템은 여러 디바이스들이 배치될 수 있다.
디바이스는 APT, DDoS, IPS/IDS, 웹 스팸 차단, 네트워크 포렌직, NAS, 무선 IPS, 방화벽을 제공하는 장치들을 말할 수 있다. 다만, 이에 한정하는 것은 아니고 상기 디바이스의 종류는 통상의 기술자에게 자명한 수준에서 다양하게 변형 가능하다.
도 2 및 도 3을 참조하면, 본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템(100)은, 임의의 시스템인 대상 시스템에 구축되는 보안인 방화벽을 관리하기 위한 이기종 방화벽 관리 시스템(100)에 있어서, 방화벽의 정책의 희망 사항에 대한 정보인 정책 디자인을 기초로 방화벽의 정책으로 새롭게 등록할 정책인 신규 정책을 산출하는 설계 모듈(110), 상기 신규 정책이 방화벽에 적용되고 있는 정책인 운영 정책과 일치되는지 여부를 기초로 상기 신규 정책의 유효성을 검증하는 검증 모듈(120) 및 상기 신규 정책이 미리 정해진 최적화 조건을 만족하는 경우, 상기 신규 정책을 방화벽에 적용하여, 방화벽을 최적화시키는 최적화 모듈(130)을 포함할 수 있다.
또한, 상기 이기종 방화벽 관리 시스템(100)은, 상기 설계 모듈(110)에서 산출되지 않은 상기 신규 정책을 수신하고, 상기 신규 정책을 상기 운영 정책에 입력하는 입력 모듈(140)을 더 포함할 수 있다.
또한, 상기 이기종 방화벽 관리 시스템(100)은, 상기 운영 정책을 미리 정해진 기준 정책과 비교하여 예외적 상황인지를 판단하는 예외 처리 모듈(150)을 더 포함할 수 있다.
또한, 상기 이기종 방화벽 관리 시스템(100)은, 권한이 부여된 사용자 혹은 신청자에 의한 요청일 경우에만 상기 신규 정책을 등록 시키는 관리 모듈(160)을 더 포함할 수 있다.
또한, 상기 이기종 방화벽 관리 시스템(100)은, 이기종 방화벽 관리 방법이 구현되는데 필요한 정보들이 저장되어 있는 저장 모듈(170)을 더 포함할 수 있다.
대응 시스템에는 적어도 두개 이상의 방화벽이 배치되어, 외부의 위협으로부터 전체 시스템을 보호할 수 있다.
여기서, 방화벽의 종류는 모두 동일할 수도 있고, 적어도 하나 이상이 서로 다른 종류의 방화벽일 수 있다.
방화벽은 방화벽 마다 설정되는 방화벽의 정책으로 관리될 수 있다.
이하, 방화벽 보안에 대한 관리를 위해, 각각의 모듈의 기능에 대해서 자세하게 서술하도록 한다.
도 4는 본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템의 입력 모듈이 구현하는 단계의 순서도이다.
입력 모듈은 방화벽에 새로운 정책을 업데이트하는 기능을 수행할 수 있다.
구체적인 일례로서, 도 4를 참조하면, 사용자로부터 보안 등록을 요청 받으면, 사용자로부터 필수 정보를 전달받았는지 여부를 확인할 수 있다.
여기서, 필수 정보는 정책을 등록, 수정 및 변경을 할 수 있는 권한을 부여받은 사람에 대한 정보일 수 있다.
일례로, 필수 정보는 아이디, 패스워드 등으로 이루어질 수 있으며, 필수 정보들은 상기 저장 모듈에 저장되어 있을 수 있다.
만일, 사용자로부터 필수 정보를 상기 입력 모듈이 전달지 못하는 경우, 다시 정책을 신청하라는 안내를 사용자에게 전달할 수 있다.
또한, 사용자로부터 필수 정보를 전달받은 경우, 상기 입력 모듈은 신규 정책을 바로 해당되는 방화벽 정책(운영 정책)에 등록시킬지 여부를 판단할 수 있다.
만일, 상기 입력 모듈이 바로 신규 정책을 등록시키지 못한다고 판단하는 경우, 상기 입력 모듈은 대응 시스템의 동작 스케줄을 조율한 다음에 정책 등록 과정을 진행할 수 있다.
상기 입력 모듈이 바로 신규 정책을 등록시킬 수 있다고 판단하는 경우, 상기 입력 모듈은 정책 등록 과정을 진행하고 등록 완료된 사항을 사용자에게 알릴 수 있다.
도 5는 본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템의 설계 모듈이 구현하는 단계의 순서도이다.
도 5를 참조하면, 설계 모듈은 사용자의 니즈에 맞게 알맞은 방화벽에 적용되는 정책을 산출할 수 있다.
상기 설계 모듈은 딥 러닝에 의해 산출된 정책 산출 모델을 이용하여 상기 신규 정책을 산출할 수 있다.
구체적인 일례로서, 설계 모듈은 다수의 정책 디자인, 정책 디자인에 대응되는 방화벽 정책, 방화벽 종류와 성능에 대한 정보들을 딥 러닝하여 정책 산출 모델을 생성할 수 있다.
여기서, 딥러닝에 대한 구체적인 알고리즘은 공지된 딥러닝 알고리즘을 이용하는 것으로서, 이에 대한 자세한 설명을 생략할 수 있다.
일례로, 정책 디자인은 허용/차단하는 네트워크, 허용/차단하는 서비스 등에 대한 사용자 니즈일 수 있다.
상기 설계 모듈이 사용자로부터 신규 정책에 대한 정책 디자인을 수신 받을 경우, 상기 정책 산출 모델을 이용하여 신규 정책을 산출할 수 있다.
상기 설계 모듈은 산출된 신규 정책과 동일한 범주의 정책이 운영 정책에 존재하는지 여부를 검출할 수 있다.
신규 정책과 동일한 범주의 정책이 운영 정책에 존재할 경우, 상기 설계 모듈은 운영 정책에서 수정할 경우 신규 정책이 도출되는지 여부를 판단할 수 있다.
여기서, 설계 모듈이 운영 정책에서 수정할 경우 신규 정책이 도출된다고 판단하는 경우, 기존의 정책인 운영 정책을 수정하여 신규 정책을 등록하는 동일한 효과를 낼 수 있다.
만일, 설계 모듈이 운영 정책에서 수정할 경우 신규 정책이 도출된다고 판단하지 않는 경우, 기존 정책을 삭제하고 신규 정책을 등록하는 과정을 진행할 수 있다.
신규 정책과 동일한 범주의 정책이 운영 정책에 존재하지 않을 경우, 상기 설계 모듈은 신규 정책을 등록하는 과정을 진행할 수 있다.
신규 정책을 등록하는 과정은 정책의 유효성 검사를 진행하며, 유효성 검사는 방화벽에 적용될 수 있는지 여부, 컴플라이언스 규칙을 위반하는지 여부를 검사하는 것일 수 있다.
여기서, 컴플라이언스 규칙은 방화벽 정책들이 최소한으로 만족되어야하는 규칙으로서 사용자 혹은 시스템 상으로 설정될 수 있다.
유효성 검사가 통과되는 신규 정책은 코드 생성 및 저장을 통해 방화벽에 정책으로서 등록될 수 있다.
검증 모듈은 신규 정책 및/또는 운영 정책의 유효성을 검사할 수 있다.
도 6은 본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템의 예외 처리 모듈이 구현하는 단계의 순서도이다.
도 6을 참조하면, 예외 처리 모듈은 운영 정책들을 지속적으로 모니터링하여, 예외적 상황이 발생되는지에 대해서 판단할 수 있다.
상기 예외적 상황은 방화벽의 보안 효과가 소정 기준 이상인 상황인 제1 상황, 정책의 유효 기간이 만료된 상황인 제2 상황, 소정의 기간 동안 정책이 사용되지 않은 상황인 제3 상황 및 중복된 정책이 존재하는 상황인 제4 상황을 적어도 하나 이상의 상황을 포함할 수 있다.
일례로, 제1 상황은 방화벽 보안을 위한 차단되는 동작들을 설정하였는데, 보안이 과하게 설정되어 상당수 많은 동작들이 차단되는 상황을 포함할 수 있다.
일례로, 제3 상황의 소정의 기간은 1달일 수 있다. 다만, 이에 한정하지 않고, 소정의 기간은 통상의 기술자에게 자명한 수준에서 다양하게 변형 가능하다.
예외 처리 모듈은 운영 정책들을 수집하고, 예외적 상황을 판단하기 위해 정책을 가공, 분류할 수 있다.
상기 저장 모듈에는 기준 정책들이 저장되어 있을 수 있다.
이는, 방화벽들에 적용되는 정책의 기준이 되는 것을 의미할 수 있다.
상기 예외 처리 모듈은 상기 기준 정책과 수집된 운영 정책을 서로 비교하여, 예외적 상황이 발생되었는지 여부를 판단할 수 있다.
상기 예외 처리 모듈이 예외적 상황이 발생되지 않았다고 생각하는 경우, 해당 내용이 기재된 레포트를 사용자에게 전송할 수 있다.
상기 예외 처리 모듈이 예외적 상황이 발생되었다고 판단하는 경우, 해당 내용이 기재된 알림을 사용자에게 전송할 수 있다.
종류가 다른 방화벽이 대상 시스템에 배치되다 보면 예외적 상황이 발생될 가능성이 높아지며, 이는 보안 효율성을 낮추는 문제일 수 있다.
예외 처리 모듈은 이러한 문제를 효과적으로 해결할 수 있다.
도 7은 본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템의 관리 모듈이 구현하는 단계의 순서도이다.
관리 모듈에 대상 시스템의 방화벽들에 대한 정책인 운영 정책들이 관리될 수 있다.
도 7은 상기 입력 모듈로 입력되거나 설계 모듈에서 산출된 신규 정책이 등록되는 과정을 설명하기 위한 도면일 수 있다.
신규 정책과 함께 필수 정보가 입력된다면, 유효성 검증을 통과하는 정책에 대해서 등록 절차가 진행될 수 있다.
만일, 신규 정책과 함께 필수 정보가 입력되지 않는다면, 관리 모듈은 정책 신청자에게 예외적으로 신청 가능하다고 안내를 하고, 정책 신청자에게 권한을 허락받을 것을 요청할 수 있다.
만일, 정책 신청자가 권한을 허락받을 것을 희망한다면, 권한 등록 절차가 진행될 수 있다. 정책 신청자에게 권한을 허용하는 것은 권한을 부여받은 사용자 혹은 미리 지정된 사용자만 가능할 수 있고, 관리 모듈은 권한을 허여할 수 있는 사용자와 정보 통신하여 권한 승인 여부를 문의할 수 있다.
권한을 허여할 수 있는 사용자로부터 정책 신청자가 정책을 등록할 수 있는 권리를 허가 받으면, 신규 정책에 대해서 유효성 검사 후에 정책 등록 절차가 진행될 수 있다.
이와 다르게, 정책 신청자가 권한을 허락받을 것을 희망하지 않는다면, 관리 모듈은 신규 정책의 등록 여부를 권한이 부여된 사용자 중 적어도 한명에게 신규 정책을 등록할지에 대해서 문의할 수 있다.
여기서, 권한이 부여된 사용자 중 적어도 한명이 정책 등록을 허가하면, 유효성 검사 후에 정책 등록 절차가 진행될 수 있다.
여기서, 정책 신청자는 사용자와 동일인일 수도 있고, 다른 사람일 수도 있다.
도 8은 본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템의 최적화 모듈이 구현하는 단계의 순서도이다.
도 8을 참조하면, 최적화 모듈은 운영 정책들을 수집하고 평가할 수 있다.
상기 미리 정해진 최적화 조건은 상기 신규 정책이 상기 운영 정책과 중복되지 않을 조건인 제1 최적화 조건, 상기 신규 정책이 상기 운영 정책에 추가됨으로써 방화벽의 보안 효과가 소정 기준 미만일 조건인 제2 최적화 조건 및 상기 신규 정책이 컴플라이언스 규칙을 위반하지 않을 조건인 제3 최적화 조건 중 적어도 하나 이상의 조건을 구비할 수 있다.
여기서, 평가하는 사항은 예외적 상황이 발생되었는지 여부와 컴플라이언스 규칙이 위반되었는지 여부를 판단할 수 있다.
만일, 최적화 모듈이 운영 정책 중에서 중복되는 정책들이 있거나, 운영 정책 중에서 과하게 등록된 정책이 있다고 판단되면, 관리자 권고 사항을 사용자에게 전달할 수 있다.
만일, 최적화 모듈이 운영 정책 중에서 컴플라이언스 규칙이 위반되는 정책이 있다고 판단되면, 최적화 모듈은 사용자에게 정책 개선 경고를 할 수 있다.
만일, 최적화 모듈이 운영 정책 중에서 AFP 알고리즘이 적중되지 않는 정책이 있다면, 최적화 모듈은 사용자에게 정책 개선 경고를 할 수 있다.
상술한 조건들을 모두 만족하지 않는다면, 최적화 모듈은 최적화 과정을 종료할 수 있다.
본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템은 상기 대상 시스템을 가상 세계로 모사하여 상기 대상 시스템과 대응되는 가상의 시스템인 가상 시스템을 생성하는 모사 모듈, 상기 대상 시스템이 가동되는 것에 따라 대응되어 상기 가상 시스템을 가동시키는 관제 모듈 및 상기 가상 시스템을 시뮬레이션하고, 시뮬레이션 결과를 기반으로 상기 대상 시스템의 방화벽 보안을 최적화하는 모의 모듈을 구비하는 디지털 트윈 모듈(190, 도 2 참고)을 더 포함할 수 있다.
여기서, 상기 디지털 트윈 모듈은 개별적으로 구성된 상기 가상 시스템을 서로 연계하는 연합 모듈 및 자율적으로 연합된 상기 가상 시스템의 문제를 인식하여 해결 방안을 산출하는 자율 모듈을 더 구비할 수 있다.
또한, 상기 이기종 방화벽 관리 시스템은 상기 가상 시스템에 대한 정보가 표시될 수 있는 인터페이스를 제공하는 인터페이스 모듈(180, 도 2 참고) 및 상기 디지털 트윈 모듈이 예측하는 로그와 상기 대상 시스템의 실제 로그를 서로 비교하는 피드백 모듈(200, 도 2 참고)을 더 포함할 수 있다.
도 9는 본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템이 구비하는 디지털 트윈 모듈의 기능을 설명하기 위한 도면이다.
도 9를 참조하면, 디지털 트윈 모듈은 상기 대상 시스템을 가상 세계로 모사하여 상기 대상 시스템과 대응되는 가상의 시스템인 가상 시스템을 생성하는 모사 모듈, 상기 대상 시스템이 가동되는 것에 따라 대응되어 상기 가상 시스템을 가동시키는 관제 모듈 및 상기 가상 시스템을 시뮬레이션하고, 시뮬레이션 결과를 기반으로 상기 대상 시스템의 보안을 최적화 하는 모의 모듈을 구비할 수 있다.
또한, 상기 디지털 트윈 모듈은 개별적으로 구성된 상기 가상 시스템을 서로 연계하는 연합 모듈 및 자율적으로 연합된 상기 가상 시스템의 문제를 인식하여 해결 방안을 산출하는 자율 모듈을 더 구비할 수 있다.
모사 모듈은 하나의 독립적으로 이루어진 대상 시스템을 가상으로 옮겨 가상 시스템을 구축할 수 있다.
이를 위해 디바이스들에 대한 정보, 디바이스들을 연결하는 네트워크 방법 및 장치에 대한 정보, 디바이스에서 발생되는 로그 정보들이 수집될 수 있다.
관제 모듈은 대상 시스템이 가동되는 것에 따라 발생되는 로그 포함하는 정보를 기초로 가상 시스템도 가동시켜 가상 시스템을 모니터링할 수 있다.
모의 모듈은 가상 시스템을 가상 시뮬레이션하여, 가상 시스템에서 보안 문제가 발생될 경우, 미리 저장된 대응책 제시하거나 혹은 새로이 대응책을 산출할 수 있다.
또한, 모의 모듈은 과거 가상 시스템에서 발생된 로그들과 보안 문제들을 기초로 미래에 가상 시스템에서 발생될 수 있는 보안 문제를 예측할 수 있다.
사용자는 모의 모듈에서 제공되는 정보들을 기초로 각각의 대응 시스템을 제어하고 관리할 수 있다.
연합 모듈은 최적화된 개별 대응 시스템들을 상호 연계하여 복합적으로 가상 세계를 재 구성할 수 있다.
여기서, 연합 모듈은 대응 시스템들을 상호 운영이 최대 효율적이도록 최적되게 가상 시스템을 구축하고, 사용자에게 최적화된 대상 시스템의 배치, 사양 및 제어 방법들을 제안하고, 대상 시스템을 제어, 관리할 수 있다.
자율 모듈은 각각의 가상 시스템 및 복합 가상 시스템을 모니터링하고 점검하여 자율적으로 문제를 인지하고 해결하여, 대응 시스템을 최적화할 수 있다.
자율 모듈에는 임의의 시스템에 대한 정보, 임의의 시스템을 이루는 디바이스와 네트워크 구성에 대한 정보, 시스템에서 발생한 로그 정보, 보안 위험 상황에 대한 정보, 해결 방안에 대한 정보, 각종 외부 랜섬웨어 또는 바이러스에 대한 정보, 대응 방안에 대한 정보들을 기초로 딥 러닝하여, 보안 문제를 예측하고 문제를 해결하기 위한 시스템 최적화 솔루션을 산출하는 자율 모델이 저장되어 있을 수 있다.
즉, 자율 모듈은 가상 시스템을 분석하여, 미래에 발생될 수 있는 보안 문제를 예측하고, 예측되는 보안 문제를 예방하기 위해서 대상 시스템을 최적화할 수 있는 방안을 산출하고, 자율적으로 대상 시스템을 제어할 수 있다.
인터페이스 모듈은 디지털 트윈 모듈에서 산출되는 가상 시스템에 대한 정보들을 시각화하여 사용자 단말기로 제공할 수 있다.
도 10 내지 도 12는 본 발명의 일 실시예에 따른 이기종 방화벽 관리 시스템의 인터페이스 모듈이 제공하는 인터페이스 화면의 예시를 도시한 도면이다.
상기 인터페이스 모듈은 상기 가상 시스템의 성과, 상기 가상 시스템의 보안 정도, 상기 가상 시스템의 트레픽 중 적어도 하나가 표시되는 인터페이스를 제공할 수 있다.
상기 인터페이스 모듈은 개별적으로 구성된 상기 대응 시스템을 서로 연결하는 네트워크 망이 표시되는 인터페이스를 제공할 수 있다.
도 10 내지 도 12를 참조하면, 사용자 단말기에는 서비스 성과(Service KPI)가 표시될 수 있다. 일례로, Wired Service, Wireless Service, NB-IoT, International Roaming에 대한 각각의 성과가 Availability, Performance, Security를 잘 구현하는지가 표시될 수 있다. 여기서, Availability, Performance, Security 및 총 성과는 0 내지 100 사이의 점수로 환산되어 표시될 수 있다.
또한, 사용자 단말기에는 동작 성능(Operational KPI)가 표시될 수 있다.
또한, 사용자 단말기에는 해킹에 대한 정보도 표시될 수 있다.
일례로, 사용자 단말기에는 Cyber Kill Chain에 대한 정보가 표시될 수 있으며, 구체적으로, infection, Privilege escalation, scanning, Lateral Movement, C&C, Data theft가 일어난 횟수가 그패프화되어 표시될 수 있다.
또한, 사용자 단말기에는 TIP(Treat Intelligence Prediction)에 대한 정보도 표시될 수 있다.
여기서, 일 단위, 주 단위, 연 단위로 구분되어서 표시될 수 있다.
또한, 사용자 단말기에는 지금까지 발생된 시스템의 트레픽 및 앞으로 예측되는 네트워크 트레픽을 그래프 형태로 표시될 수 있다.
또한, 사용자 단말기에는 개별적으로 구성된 대응 시스템을 연결하는 네트워크 망이 표시될 수 있다.
여기서, 보안에 문제가 없을 경우에는 네트워크 망이 노란색으로 표시될 수 있으며, 보안에 문제가 발생되거나 보안에 문제가 발생될 것이라고 예측되는 네트워크 망은 적색으로 표시될 수 있다.
이를 통해 사용자는 어느 부분에 보안 상으로 위험한지를 직관적으로 살펴볼 수 있다.
피드백 모듈은 디지털 트윈에서 예측하는 로그와 상기 대상 시스템의 실제 로그를 비교하여, 실제 로그가 예측하는 로그와 차이가 날 경우, 미리 정해진 방법으로 적절하게 대응할 수 있다.
여기서, 비교하는 로그는 디바이스의 통상적인 기능이 구현될 때 발생되는 로그들만을 기준으로 예측 로그와 실제 로그를 서로 비교할 수 있다.
상기 디지털 트윈 모듈이 예측하는 로그와 상기 대상 시스템에서 발생되는 실제 로그가 차이 난 횟수가 제1 횟수 이상일 경우, 상기 피드백 모듈은 상기 대상 시스템에서 발생되는 실제 로그를 기반으로 상기 디지털 트윈 모듈의 예측 모델이 수정되도록, 상기 디지털 트윈 모듈에 정보를 제공할 수 있다.
여기서, 예측 모델은 상술한 자율 모델 및 모의 모듈의 예측을 위한 예측 모델을 포함할 수 있다.
상기 피드백 모듈은 디지털 트윈 모듈에 실제 로그에 대한 정보를 전달할 수 있다.
상기 디지털 트윈 모듈은 상기 피드백 모듈로부터 제공되는 실제 로그를 기초로 상기 예측 모델을 수정할 수 있다.
즉, 디지털 트윈 모듈(구체적으로, 모의 모듈 및/또는 자율 모듈) 예측되는 로그와 실제 로그의 차이점이 발생된 원인을 분석하고, 차이난 부분대로 상기 예측 모델 내의 판단 알고리즘을 변경, 보완하여, 예측 모델을 재 산출할 수 있다.
상기 디지털 트윈 모듈은 재 산출된 예측 모듈을 기반으로 가상 시스템에서 이루어질 있는 보안 위협과 트레픽 등과 같은 정보를 재 예측하여, 대상 시스템을 재 제어할 수 있다.
이와 같은 과정이 반복됨으로써, 예측 모델의 예측 정확도가 점점 높아질 수 있다.
일례로, 제1 횟수는 30번일 수 있다. 다만, 이에 한정하지 않고 상기 제1 횟수는 통상의 기술자에게 자명한 수준에서 다양하게 변형 가능하다.
상기 디지털 트윈 모듈이 예측하는 로그와 상기 대상 시스템에서 발생되는 실제 로그가 차이 난 횟수가 제2 횟수 초과 제3 횟수 이하일 경우, 상기 피드백 모듈은 예측이 어긋난 디바이스와 예측이 어긋나게 한 것과 연관된 디바이스를 산출하고, 산출된 오류 디바이스 목록을 상기 인터페이스 모듈로 제공할 수 있다.
상기 인터페이스 모듈은 오류 디바이스 목록이 사용자 단말기 표시되도록 인터페이스 UI를 산출하고 제공할 수 있다.
사용자는 제공받은 오류 디바이스 목록을 기초로 문제가 있는 디바이스를 한번에 파악하고 관리할 수 있다.
일례로, 제2 횟수는 60번일 수 있다. 다만, 이에 한정하지 않고 상기 제2 횟수는 통상의 기술자에게 자명한 수준에서 다양하게 변형 가능하다.
상기 디지털 트윈 모듈이 예측하는 로그와 상기 대상 시스템에서 발생되는 실제 로그가 차이난 횟수가 제3 횟수 초과일 경우, 상기 피드백 모듈은 인터페이스 모듈을 통해 사용자에게 오류 디바이스를 점검하라고 경고 알림을 제공할 수 있다.
상기 피드백 모듈이 사용자(단말기)에게 보내는 경고 알람은 오류 디바이스의 외면에 부착된 점검 모듈로부터 입력 신호를 모두 전달 받기 전까지 계속해서 송신될 수 있다.
점검 모듈은 복수개가 존재하여 디바이스마다 부착되어, 부착된 디바이스와 유/무선으로 정보 통신 가능하게 연결될 수 있다.
점검 모듈은 상기 디바이스 외측에 부착 고정되는 하우징부, 상기 하우징부 내부에 위치되어 디바이스와 유/무선으로 정보 통신 가능한 통신부, 상기 하우징부에 형성되어 외력에 의해 위치 이동이 가능한 버튼부 및 상기 버튼부에 외력이 인가되어 상기 버튼부가 눌리게 되면 입력 신호를 발생시키고 상기 입력 신호를 상기 통신부로 전달하는 신호발생부를 구비할 수 있다.
사용자가 상기 버튼부를 누르게 되면, 신호발생부에서 발생된 신호는 상기 통신부를 통해 상기 피드백 모듈로 전달될 수 있다.
여기서, 피드백 모듈에는 입력 신호 뿐만 아니라 입력 신호를 보내는 점검 모듈을 식별할 수 있는 식별 정보도 함께 전달될 수 있다.
피드백 모듈에는 디바이스에 대한 정보와 대응하여 점검 모듈의 식별번호를 저장할 수 있어, 전송받는 입력 신호가 어느 점검 모듈에서 전달?榮? 지를 용이하게 파악할 수 있다.
상기 피드백 모듈에서는 오류 디바이스로부터 모든 입력 신호를 전달받기 전까지 계속해서 입력 신호를 사용자에게 전달하여, 사용자가 오류가 발생된 디바이스를 모두 점검할 수 있도록 강제할 수 있다.
일례로, 제3 횟수는 100번일 수 있다. 다만, 이에 한정하지 않고, 상기 제3 횟수는 통상의 기술자에게 자명한 수준에서 다양하게 변형 가능하다.
여기서, 오류 디바이스는 예측이 어긋난 디바이스와 예측이 어긋나게 한 것과 연관된 디바이스를 의미할 수 있다.
여기서, 피드백 모듈은 미리 정해진 기간 주기로 상기 디지털 트윈 모듈이 예측하는 로그와 상기 대상 시스템에서 발생되는 실제 로그가 차이난 횟수를 카운트할 수 있다.
일례로, 미리 정해진 기간은 30일 일 수 있으나, 이에 한정하는 것은 아니고 상기 미리 정해진 기간은 통상의 기술자에게 자명한 수준에서 다양하게 변형 가능하다.
본 발명의 일 실시예에 따른 이기종 방화벽 관리 방법은, 이기종 방화벽 관리 시스템이 구현하는 이기종 방화벽 관리 방법에 있어서, 방화벽의 정책의 희망 사항에 대한 정보인 정책 디자인을 기초로 방화벽의 정책으로 새롭게 등록될 정책인 신규 정책이 산출되는 단계; 상기 신규 정책이 방화벽에 적용되고 있는 정책인 운영 정책과 일치되는지 여부를 기초로 상기 신규 정책의 유효성이 검증되는 단계; 및 상기 신규 정책이 미리 정해진 최적화 조건을 만족하는 경우, 상기 신규 정책이 방화벽에 적용되어, 방화벽이 최적화 되는 단계;를 포함할 수 있다.
또한, 상기 이기종 방화벽 관리 방법은, 상기 운영 정책을 미리 정해진 기준 정책과 비교하여 예외적 상황인지가 판단되는 단계;를 더 포함할 수 있다.
여기서, 상기 예외적 상황은, 방화벽의 보안 효과가 소정 기준 이상인 상황인 제1 상황, 정책의 유효 기간이 만료된 상황인 제2 상황, 소정의 기간 동안 정책이 사용되지 않은 상황인 제3 상황 및 중복된 정책이 존재하는 상황인 제4 상황을 적어도 하나 이상의 상황을 포함할 수 있다.
첨부된 도면은 본 발명의 기술적 사상을 보다 명확하게 표현하기 위해, 본 발명의 기술적 사상과 관련성이 없거나 떨어지는 구성에 대해서는 간략하게 표현하거나 생략하였다.
상기에서는 본 발명에 따른 실시예를 기준으로 본 발명의 구성과 특징을 설명하였으나 본 발명은 이에 한정되지 않으며, 본 발명의 사상과 범위 내에서 다양하게 변경 또는 변형할 수 있음은 본 발명이 속하는 기술분야의 당업자에게 명백한 것이며, 따라서 이와 같은 변경 또는 변형은 첨부된 특허청구범위에 속함을 밝혀둔다.
110 : 설계 모듈 120 : 검증 모듈
130 : 최적화 모듈 140 : 입력 모듈
130 : 최적화 모듈 140 : 입력 모듈
Claims (10)
- 임의의 시스템인 대상 시스템에 구축되는 보안인 방화벽을 관리하기 위한 이기종 방화벽 관리 시스템에 있어서,
방화벽의 정책의 희망 사항에 대한 정보인 정책 디자인을 기초로 방화벽의 정책으로 새롭게 등록할 정책인 신규 정책을 산출하는 설계 모듈;
상기 신규 정책이 방화벽에 적용되고 있는 정책인 운영 정책과 일치되는지 여부를 기초로 상기 신규 정책의 유효성을 검증하는 검증 모듈;
상기 신규 정책이 미리 정해진 최적화 조건을 만족하는 경우, 상기 신규 정책을 방화벽에 적용하여, 방화벽을 최적화시키는 최적화 모듈; 및
디지털 트윈 모듈;을 포함하고,
상기 디지털 트윈 모듈은,
상기 대상 시스템을 가상 세계로 모사하여 상기 대상 시스템과 대응되는 가상의 시스템인 가상 시스템을 생성하는 모사 모듈, 상기 대상 시스템이 가동되는 것에 따라 대응되어 상기 가상 시스템을 가동시키는 관제 모듈, 상기 가상 시스템을 시뮬레이션하고 시뮬레이션 결과를 기반으로 상기 대상 시스템의 보안을 최적화하는 모의 모듈, 개별적으로 구성된 상기 가상 시스템을 서로 연계하는 연합 모듈 및 자율적으로 연합된 상기 가상 시스템의 문제를 인식하여 해결 방안을 산출하는 자율 모듈을 구비하고,
상기 설계 모듈은,
딥 러닝에 의해 산출된 정책 산출 모델을 이용하여 상기 신규 정책을 산출하는,
이기종 방화벽 관리 시스템.
- 제1항에 있어서,
상기 미리 정해진 최적화 조건은,
상기 신규 정책이 상기 운영 정책과 중복되지 않을 조건인 제1 최적화 조건,
상기 신규 정책이 상기 운영 정책에 추가됨으로써 방화벽의 보안 효과가 소정 기준 미만일 조건인 제2 최적화 조건 및 상기 신규 정책이 컴플라이언스 규칙을 위반하지 않을 조건인 제3 최적화 조건 중 적어도 하나 이상의 조건을 구비하는,
이기종 방화벽 관리 시스템.
- 제1항에 있어서,
상기 설계 모듈에서 산출되지 않은 상기 신규 정책을 수신하고, 상기 신규 정책을 상기 운영 정책에 입력하는 입력 모듈;을 더 포함하는,
이기종 방화벽 관리 시스템.
- 제1항에 있어서,
상기 운영 정책을 미리 정해진 기준 정책과 비교하여 예외적 상황인지를 판단하는 예외 처리 모듈;을 더 포함하고,
상기 예외적 상황은,
방화벽의 보안 효과가 소정 기준 이상인 상황인 제1 상황, 정책의 유효 기간이 만료된 상황인 제2 상황, 소정의 기간 동안 정책이 사용되지 않은 상황인 제3 상황 및 중복된 정책이 존재하는 상황인 제4 상황을 적어도 하나 이상의 상황을 포함하는,
이기종 방화벽 관리 시스템.
- 제1항에 있어서,
권한이 부여된 신청자에 의한 요청일 경우에만 상기 신규 정책을 등록 시키는 관리 모듈;을 더 포함하는,
이기종 방화벽 관리 시스템.
- 삭제
- 삭제
- 제1항에 있어서,
상기 가상 시스템에 대한 정보가 표시될 수 있는 인터페이스를 제공하는 인터페이스 모듈;을 더 포함하고,
상기 인터페이스 모듈은,
상기 가상 시스템의 성과, 상기 가상 시스템의 보안 정도, 상기 가상 시스템의 트레픽 중 적어도 하나가 표시되는 인터페이스를 제공하는,
이기종 방화벽 관리 시스템.
- 이기종 방화벽 관리 시스템이 구현하는 이기종 방화벽 관리 방법에 있어서,
방화벽의 정책의 희망 사항에 대한 정보인 정책 디자인을 기초로 방화벽의 정책으로 새롭게 등록될 정책인 신규 정책이 산출되는 단계;
상기 신규 정책이 방화벽에 적용되고 있는 정책인 운영 정책과 일치되는지 여부를 기초로 상기 신규 정책의 유효성이 검증되는 단계; 및
상기 신규 정책이 미리 정해진 최적화 조건을 만족하는 경우, 상기 신규 정책이 방화벽에 적용되어, 방화벽이 최적화 되는 단계;를 포함하고,
상기 이기종 방화벽 관리 방법은,
보안을 구현하기 위한 대상 디바이스들로 이루어진 대상 시스템을 가상 세계로 모사하여 상기 대상 시스템과 대응되는 가상의 시스템인 가상 시스템을 생성하고, 상기 대상 시스템이 가동되는 것에 따라 대응되어 상기 가상 시스템을 가동시키며, 상기 가상 시스템을 시뮬레이션하고, 시뮬레이션 결과를 기반으로 상기 대상 시스템의 보안을 최적화하고, 개별적으로 구성된 상기 가상 시스템을 서로 연계하며, 자율적으로 연합된 상기 가상 시스템의 문제를 인식하여 해결 방안을 산출하는,
이기종 방화벽 관리 방법.
- 제9항에 있어서,
상기 운영 정책을 미리 정해진 기준 정책과 비교하여 예외적 상황인지가 판단되는 단계;를 더 포함하고,
상기 예외적 상황은,
방화벽의 보안 효과가 소정 기준 이상인 상황인 제1 상황, 정책의 유효 기간이 만료된 상황인 제2 상황, 소정의 기간 동안 정책이 사용되지 않은 상황인 제3 상황 및 중복된 정책이 존재하는 상황인 제4 상황을 적어도 하나 이상의 상황을 포함하는,
이기종 방화벽 관리 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210163679A KR102597853B1 (ko) | 2021-11-24 | 2021-11-24 | 디지털 트윈을 기반한 이기종 방화벽 관리 시스템 및 이기종 방화벽 관리 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210163679A KR102597853B1 (ko) | 2021-11-24 | 2021-11-24 | 디지털 트윈을 기반한 이기종 방화벽 관리 시스템 및 이기종 방화벽 관리 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20230076594A KR20230076594A (ko) | 2023-05-31 |
| KR102597853B1 true KR102597853B1 (ko) | 2023-11-03 |
Family
ID=86543514
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020210163679A KR102597853B1 (ko) | 2021-11-24 | 2021-11-24 | 디지털 트윈을 기반한 이기종 방화벽 관리 시스템 및 이기종 방화벽 관리 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102597853B1 (ko) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102312019B1 (ko) * | 2020-10-20 | 2021-10-12 | 현대오토에버 주식회사 | 방화벽 제어 장치 및 이를 포함하는 방화벽 정책 관리 시스템 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6300872B1 (en) * | 2000-06-20 | 2001-10-09 | Philips Electronics North America Corp. | Object proximity/security adaptive event detection |
| US9560015B1 (en) * | 2016-04-12 | 2017-01-31 | Cryptzone North America, Inc. | Systems and methods for protecting network devices by a firewall |
-
2021
- 2021-11-24 KR KR1020210163679A patent/KR102597853B1/ko active IP Right Grant
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102312019B1 (ko) * | 2020-10-20 | 2021-10-12 | 현대오토에버 주식회사 | 방화벽 제어 장치 및 이를 포함하는 방화벽 정책 관리 시스템 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20230076594A (ko) | 2023-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20240022607A1 (en) | Automated and adaptive model-driven security system and method for operating the same | |
| Chang et al. | Towards achieving data security with the cloud computing adoption framework | |
| US11316891B2 (en) | Automated real-time multi-dimensional cybersecurity threat modeling | |
| KR102542720B1 (ko) | 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템 | |
| US20230208869A1 (en) | Generative artificial intelligence method and system configured to provide outputs for company compliance | |
| KR20180105688A (ko) | 인공 지능을 기반으로 한 컴퓨터 보안 | |
| US8782782B1 (en) | Computer system with risk-based assessment and protection against harmful user activity | |
| Anand et al. | Data security and privacy functions in fog computing for healthcare 4.0 | |
| US11146403B2 (en) | Self-governed secure attestation policy for server data privacy logs | |
| US20220035929A1 (en) | Evaluating a system aspect of a system | |
| Tariq et al. | Context-aware autonomous security assertion for industrial IoT | |
| Shahin et al. | Frameworks proposed to address the threat of cyber-physical attacks to lean 4.0 systems | |
| Khalid et al. | Cybersecurity in Industry 4.0 context: Background, issues, and future directions | |
| Singh et al. | TrIDS: an intelligent behavioural trust based IDS for smart healthcare system | |
| Yeboah-ofori et al. | Cybercrime and risks for cyber physical systems: A review | |
| Bertino et al. | Web services threats, vulnerabilities, and countermeasures | |
| Gangwani et al. | A Comprehensive Review on Cloud Security Using Machine Learning Techniques | |
| KR102597853B1 (ko) | 디지털 트윈을 기반한 이기종 방화벽 관리 시스템 및 이기종 방화벽 관리 방법 | |
| Sung et al. | Using system dynamics to investigate the effect of the information medium contact policy on the information security management | |
| Sanchez-Iborra et al. | Securing the hyperconnected healthcare ecosystem | |
| Ansari et al. | Smart Homes App Vulnerabilities, Threats, and Solutions: A Systematic Literature Review | |
| KR102597850B1 (ko) | 디지털 트윈이 적용된 다차원 보안 자동 관리 시스템 및 보안 관리 방법 | |
| Tanque et al. | Cyber risks on IoT platforms and zero trust solutions | |
| Bellini et al. | Cyber-resilience | |
| Barnett et al. | Botnets in Healthcare: Threats, Vulnerabilities, and Mitigation Strategies |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |