KR102599524B1 - 네트워크 보안 모니터링 장치 및 방법 - Google Patents
네트워크 보안 모니터링 장치 및 방법 Download PDFInfo
- Publication number
- KR102599524B1 KR102599524B1 KR1020210157503A KR20210157503A KR102599524B1 KR 102599524 B1 KR102599524 B1 KR 102599524B1 KR 1020210157503 A KR1020210157503 A KR 1020210157503A KR 20210157503 A KR20210157503 A KR 20210157503A KR 102599524 B1 KR102599524 B1 KR 102599524B1
- Authority
- KR
- South Korea
- Prior art keywords
- network
- terminal
- monitoring
- packet
- security
- Prior art date
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 102
- 238000000034 method Methods 0.000 title claims abstract description 87
- 238000012806 monitoring device Methods 0.000 claims abstract description 54
- 230000002159 abnormal effect Effects 0.000 claims description 73
- 238000004891 communication Methods 0.000 claims description 45
- 230000005540 biological transmission Effects 0.000 claims description 22
- 238000001514 detection method Methods 0.000 claims description 17
- 230000005856 abnormality Effects 0.000 claims description 11
- 238000013473 artificial intelligence Methods 0.000 claims description 11
- 238000010801 machine learning Methods 0.000 claims description 10
- 238000004364 calculation method Methods 0.000 claims description 8
- 230000000903 blocking effect Effects 0.000 claims description 6
- 230000006870 function Effects 0.000 description 13
- 238000004458 analytical method Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000004044 response Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 4
- 239000000284 extract Substances 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 238000010835 comparative analysis Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000003472 neutralizing effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 네트워크 보안 모니터링에 관한 것으로, 보다 상세하게는, 네트워크 보안 모니터링 장치가 네트워크의 보안을 모니터링하는 방법 및 이러한 방법에 의한 네트워크 보안 모니터링 장치에 관한 것이다. 본 발명에 따른 네트워크 보안 모니터링 방법은 네트워크에 연결된 단말들 중에서 집중 감시 대상으로 결정된 제1 단말에 관한 정보를 포함하는 집중 감시 리스트를 저장하는 단계, 상기 제1 단말이 상기 네트워크를 통해 송수신하는 제1 패킷을 미러링하는 단계, 집중 감시 대상으로 결정되지 않은 제2 단말이 상기 네트워크를 통해 송수신하는 제2 패킷을 미러링하는 단계, 및 상기 미러링된 제1 패킷 및 제2 패킷을 기반으로 상기 네트워크의 보안 모니터링을 수행하는 단계를 포함할 수 있다.
Description
본 발명은 네트워크의 모니터링에 관한 것으로서, 보다 구체적으로는 네트워크상의 단말기를 집중 감시함으로써 네트워크 상의 이상 트래픽을 탐지하는 방법 및 장치에 관한 것이다.
네트워크는 통신 링크 및 통신 링크에 접속된 통신 능력을 갖춘 다양한 장치들로 구성될 수 있다. 여기서, 네트워크와 관련된 장치들은, 개인용 컴퓨터, 서버 컴퓨터, 노트북 컴퓨터, 태블릿 PC, 스마트폰, 및 이에 한정되지 않는 프로세서, 통신 인터페이스, 및 사용자 인터페이스를 구비하는 장치를 포함하며, 또한 카메라, 프린터, 스캐너, 센서, 라우터, 주변 장치, 저장 장치, 네트워크 중계 장치, 임베디드 정보처리 장치, 사물인터넷(IoT, Internet-of-things) 장치, 및 이에 한정되지 않는 프로세서와 통신 인터페이스를 구비하되 사용자 인터페이스는 구비하지 않는 장치를 포함할 수 있다.
한편, 네트워크에는 부적절한 통신을 시도하고자 하는 장치가 접속할 위험이 상존한다. 부적절한 통신에는 예를 들어, DDoS(Distributed Denial of Service)를 위한 공격 패킷을 전송하거나, 네트워크 상에 접속된 다른 장치를 해킹하거나, 네트워크의 중계 또는 보안 유지 장치를 해킹 또는 무력화하고자 하는 행위가 포함된다. 따라서 이러한 부적절한 통신을 감시하고 차단하기 위하여, 네트워크에는 다양한 보안 방법이 적용될 수 있다.
다양한 보안 방법 중 하나로는 네트워크 접속 시에 사전 인증을 거치도록 하는 방법이 있다. 예를 들어, 네트워크에 접속하고자 하는 장치의 사용자에게 사용자 ID와 비밀번호를 부여하고, 이러한 ID와 비밀번호를 정상적으로 입력하는 경우에만 해당 장치가 네트워크에 접속하는 것을 허용하는 것과 같은 방법이다. 그러나 이러한 방법은 상술하였던 사용자 인터페이스를 구비하는 장치에는 유효한 보안 방법이지만, 이어 상술하였던 사용자 인터페이스를 구비하지 않는 장치에는 적용하기 힘들다는 문제가 있다. 이 같은 장치들은 ID와 비밀번호를 입력할 수단을 구비하지 않는 장치이기 때문이다.
따라서, 상기와 같이 사용자 인터페이스를 구비하지 않는 장치를 위하여 네트워크 접속에 소정의 예외를 적용할 수 있다. 예를 들어, 사전에 지정된 MAC 주소를 가진 장비가 네트워크에 접속하는 경우 장치의 접속을 인증 절차 없이 예외적으로 허용할 수 있다. 그러나, 이러한 예외를 적용받는 장치들의 접속 경로는 악성 사용자에 의하여 쉽게 유용될 수 있다. 예를 들어, 접속이 허용된 장치의 MAC 주소를 입수한다면, 해당 MAC 주소를 악성 장치에 클론(Clone)할 수 있고, 이를 통해 네트워크에 인증 없이 접속하여 부적절한 통신을 시도할 수 있게 된다.
이처럼 인증 예외를 이용하여 부적절한 통신을 시도하는 악성 장치가 발생시키는 이상 트래픽을 차단하기 위하여, 종래의 기술에서는 모니터링 장치를 이용하여 통신 패킷을 감시하고, 이상 징후가 감지되는 경우 관리자가 이를 확인하여 장치를 차단하는 방법을 적용하였다. 그러나 IoT 기기의 보급 확대와 이로 인한 네트워크의 방대화에 따라, 관리자의 판단에 의존하는 종래의 방법에는 명백한 한계가 발생하고 있다.
상술한 문제점을 해결하기 위한 본 발명의 일 실시예에 따른 목적은 인증 예외를 통해 접속하는 단말에 대하여 효율적이면서도 효과적인 집중 감시 정책을 적용하여 네트워크의 보안을 유지할 수 있는 네트워크 모니터링 방법 및 그러한 장치를 제공하는 것이다.
상술한 문제점을 해결하기 위한 본 발명의 일 양태에 따른 네트워크 보안 모니터링 장치가 네트워크의 보안을 모니터링하는 방법은, 네트워크에 연결된 단말들 중에서 집중 감시 대상으로 결정된 제1 단말에 관한 정보를 포함하는 집중 감시 리스트를 저장하는 단계, 상기 제1 단말이 상기 네트워크를 통해 송수신하는 제1 패킷을 미러링하는 단계, 집중 감시 대상으로 결정되지 않은 제2 단말이 상기 네트워크를 통해 송수신하는 제2 패킷을 미러링하는 단계, 및 상기 미러링된 제1 패킷 및 제2 패킷을 기반으로 상기 네트워크의 보안 모니터링을 수행하는 단계를 포함할 수 있다.
상기 제1 단말에 관한 정보는, IP(Internet Protocol) 주소 또는 MAC(Media Access Control) 주소를 포함할 수 있다.
상기 제1 단말은, 단말에서 사용자 인증이 가능한지의 여부에 기반하여 집중 감시 대상으로 결정될 수 있다.
상기 제1 단말은 네트워크 보안 관리 장치에 의해 집중 감시 대상으로 결정될 수 있다.
상기 제1 단말을 집중 감시 대상으로 결정하는 방법은, 적어도 하나의 사용자 단말에 대하여, 상기 사용자 단말에서 사용자 인증이 가능한 경우 상기 사용자 단말을 집중 감시 대상으로 결정하지 않고, 상기 사용자 단말에서 사용자 인증이 불가능하거나 상기 사용자 단말이 사용자 인증의 예외를 요청하는 경우 상기 사용자 단말을 집중 감시 대상으로 결정하는 것일 수 있다.
상기 사용자 인증은, IP 주소에 의한 인증, MAC 주소에 의한 인증, 사용자 ID를 이용한 인증, 사용자 비밀번호를 이용한 인증, 암호화 통신을 이용한 인증, 단말기에 설치된 인증 프로그램에 의한 인증 중 적어도 하나의 방법에 의해 이루어지는 것일 수 있다.
상기 보안 모니터링은, 상기 제1 단말에 대한 제1 이상 트래픽을 감지하는 단계, 및 상기 제2 단말에 대한 제2 이상 트래픽을 감지하는 단계를 포함하고, 상기 제1 이상 트래픽 감지와 제2 이상 트래픽 감지는 서로 다른 방식일 수 있다.
상기 제1 이상 트래픽을 감지하는 단계는, 상기 미러링된 제1 패킷을 시계열에 따라 수집하여 송수신 패킷 패턴을 생성하는 단계, 상기 송수신 패킷 패턴과 정상 패턴 간의 일치율을 계산하는 단계, 및 상기 일치율이 정상 수준에 미달하는 경우 이상 트래픽으로 판단하는 단계를 포함할 수 있다.
상기 정상 패턴은, 상기 제1 단말과 동일한 유형의 단말이 정상 상태에서 송수신하는 적어도 하나의 정상 상태 패킷에 기반할 수 있다.
상기 정상 패턴은, 상기 네트워크 보안 모니터링 장치가 이상을 감지하지 않은 상태에서 상기 제1 단말이 송수신하는 적어도 하나의 정상 상태 패킷에 기반할 수 있다.
상기 정상 패턴은, 적어도 하나의 정상 상태 패킷을 기계 학습 인공지능에 학습시킴으로써 획득될 수 있다.
상기 일치율을 계산하는 단계는, 상기 기계 학습 인공지능에 의해 시계열에 따른 예상 패킷 패턴을 생성하고, 상기 송수신 패킷 패턴과 상기 예상 패킷 패턴을 비교하고, 패킷 패턴을 구성하는 개별 패킷의 일치 여부를 비교하는 단계를 포함할 수 있다.
상기 일치율을 계산하는 단계는, 상기 송수신 패킷 패턴과 상기 예상 패킷 패턴에 포함된 개별 패킷의 수 중 큰 수를 분모로 하고, 상기 송수신 패킷 패턴과 상기 예상 패킷 패턴 간 일치하는 것으로 판단된 패킷의 수를 분자로 하여 계산될 수 있다.
상기 네트워크의 보안을 모니터링하는 방법은, 상기 네트워크 보안에 이상이 감지된 경우, 상기 제1 단말의 네트워크 접속을 차단하는 단계를 더 포함할 수 있다.
네트워크의 보안을 모니터링하는 방법은, 상기 네트워크 보안에 이상이 감지된 경우, 상기 제1 단말에 이상 트래픽이 발생하였다는 메시지를 네트워크 보안 관리 장치에 통지하는 단계를 더 포함할 수 있다.
본 발명의 일 양태에 따른 네트워크 보안 모니터링 장치는, 네트워크에 연결된 단말들 중에서 집중 감시 대상으로 결정된 제1 단말에 관한 정보를 포함하는 집중 감시 리스트를 저장하는 감시 대상 관리부, 상기 제1 단말이 상기 네트워크를 통해 송수신하는 제1 패킷을 미러링하여 수신하고, 집중 감시 대상으로 결정되지 않은 제2 단말이 상기 네트워크를 통해 송수신하는 제2 패킷을 미러링하여 수신하도록 구성되는 미러링 패킷 수신부, 및 상기 미러링된 제1 패킷 및 제2 패킷을 기반으로 상기 네트워크의 보안 모니터링을 수행하는 트래픽 감시부를 포함할 수 있다.
상기 제1 단말은, 단말에서 사용자 인증이 가능한지의 여부에 기반하여 결정될 수 있다.
상기 트래픽 감시부는, 상기 미러링된 제1 패킷을 시계열에 따라 수집하여 송수신 패킷 패턴을 생성하는 패턴 생성부, 상기 송수신 패킷 패턴과 상기 정상 패턴 간의 일치율을 계산하는 연산부, 및 상기 일치율이 정상 수준에 미달하는 경우 이상 트래픽으로 판단하는 이상 판단부를 포함할 수 있다.
상기 정상 패턴은, 적어도 하나의 정상 상태 패킷을 기계 학습 인공지능에 학습시킴으로써 획득될 수 있다.
상기 트래픽 감시 판단부는, 이상 트래픽이 감지된 경우, 상기 집중 감시 대상 단말의 네트워크 접속을 차단하도록 구성될 수 있다.
본 발명의 일 실시예에 따른 네트워크 보안 모니터링 방법 또는 네트워크 모니터링 장치에 따르면, 종래에 사용하던 네트워크 감시 기술과 병행하여 부적절한 통신에 대하여 집중 감시가 가능한 네트워크 모니터링 기능을 제공하면서도, 지나친 컴퓨팅 자원이 소요되는 것을 억제하여 효과적인 관리가 가능해진다.
도 1은 본 발명의 일 실시예에 의한 네트워크 보안 모니터링 절차를 설명하기 위한 개념도,
도 2a는 본 발명의 일 실시예에 의한 제1 단말의 보안 모니터링 방법을 설명하기 위한 통신 흐름도,
도 2b는 본 발명의 일 실시예에 의한 제2 단말의 보안 모니터링 방법을 설명하기 위한 통신 흐름도,
도 3은 본 발명의 일 실시예에 의해 제1 단말 또는 제2 단말이 지정되는 과정을 나타내는 개념도,
도 4는 본 발명의 일 실시예에 의한 네트워크 보안 모니터링 장치의 구조를 나타내는 블록도이다.
도 2a는 본 발명의 일 실시예에 의한 제1 단말의 보안 모니터링 방법을 설명하기 위한 통신 흐름도,
도 2b는 본 발명의 일 실시예에 의한 제2 단말의 보안 모니터링 방법을 설명하기 위한 통신 흐름도,
도 3은 본 발명의 일 실시예에 의해 제1 단말 또는 제2 단말이 지정되는 과정을 나타내는 개념도,
도 4는 본 발명의 일 실시예에 의한 네트워크 보안 모니터링 장치의 구조를 나타내는 블록도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다.
그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
제 1, 제 2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제 1 구성요소는 제 2 구성요소로 명명될 수 있고, 유사하게 제 2 구성요소도 제 1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
본 출원에서 발명을 설명함에 있어 "장치"라는 용어를 사용하는 경우, 이는 장치로서 구현될 수 있는 본 발명의 어떠한 기능을 설명하기 위한 실시예를 설명하기 위한 것이며, 반드시 해당 장치의 기능이 독립적인 단일 장치로서 구현되어야 함을 의미하지 않는다. 통신 네트워크의 기능적 특성에 따라, 하나의 장치는 동일한 기능을 수행하는 복수의 장치로 구현될 수도 있으며, 반대로 복수의 장치 기능을 동시에 수행하기 위한 하나의 장치가 설치될 수도 있다. 어떤 장치의 기능은 소프트웨어적 수단을 통해 다른 장치에 의해 또는 일반적 컴퓨터 및 정보처리 장치에 의해서 구현될 수 있다. 또한 복수의 장치가 사용되는 경우 각각의 장치는 통신 네트워크로만 연결되고 물리적 공간에서는 이격되어 있을 수 있다. 이는 동일한 기술적 사상을 구현하기 위하여 통신 네트워크 기술 분야에 익숙한 통상의 기술자가 취할 수 있는 다양한 실시예의 영역이므로, 여하의 상세한 구현 방법은 모두 본 출원상 발명의 기술적 사상 영역에 포함되는 것으로 해석되어야 한다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
네트워크 모니터링 구조의 개요
도 1은 본 발명의 일 실시예에 의한 네트워크 보안 모니터링 절차를 설명하기 위한 개념도이다. 도 1에 도시된 바와 같이, 본 발명의 일 실시예에 의한 네트워크 보안 모니터링 절차(100)는 사용자 단말(110), 네트워크 중계 장치(120), 네트워크 보안 모니터링 장치(130), 네트워크 보안 관리 장치(140), 네트워크(150), 및 네트워크 중계 시스템(160)에 의하여 설명될 수 있다.
도 1을 참조하면, 사용자 단말(110)은 네트워크(150)를 경유해 소정의 네트워크 통신을 수행하기 위하여 네트워크 중계 시스템(160)을 이용해 접속을 시도하는 단말기일 수 있다. 사용자 단말(110)는 클라이언트 단말기이거나 사물 인터넷(IoT, Internet-of-things) 디바이스일 수 있다. 사용자 단말(110)은 반드시 사용자에 의하여 조작될 필요는 없으며, 개인 또는 조직으로서의 사용자가 소정의 목적을 달성하기 위해 가동 상태로 설치한 단말기 장치라면 무엇이든 무방하다.
사용자 단말(110)이 네트워크(150)를 통한 통신을 수행하기 위해서는 통신망을 구성하는 네트워크 중계 시스템(160)에 의하여 중계를 받아야 한다. 보다 구체적으로, 사용자 단말(110)은 중계 시스템(160)에 속한 네트워크 중계 장치(120)에 네트워크에 대한 접속과 그에 따른 절차를 요청할 수 있다. 상기 절차에는 IP(Internet Protocol) 주소의 발급 및 통신 채널 설정이 포함될 수 있다.
네트워크 중계 장치(120)는 사용자 단말(110)에서 송신한 통신 패킷(Packet)을 수신하여 네트워크(150)로 전달하고, 네트워크(150)가 사용자 단말(110)을 향해 전송하는 패킷을 수신하여 사용자 단말(110)로 전달하는 중계 기능을 수행할 수 있다.
본 발명의 일 실시예에 따르면, 네트워크 중계 장치(120)는 네트워크(150)를 향해 사용자 단말로부터 전송된 패킷의 위치 및 수신처를 추출하여, 그 위치에 대한 최적의 경로를 지정하며, 이 경로를 따라 데이터 패킷을 네트워크(150)로 포워딩함으로써 패킷을 중계하도록 구성될 수 있다. 이러한 동작을 위하여 네트워크 중계 장치(120)에는 라우터 및 스위치가 포함되어 구성될 수 있다. 상기 스위치는 OSI 2 계층, OSI 3계층, OSI 4계층 및/또는 다른 계층(예컨대, OSI 7계층)의 역할을 하는 스위치를 포함할 수 있으며, 예컨대, 네트워크 상에서 패킷의 경로를 설정하는 기능을 수행할 수 있다. 또한, 로드밸런싱이나 포트포워딩, QoS 등의 기능을 수행할 수도 있다. 스위치(324)는 네트워크 스위치, 스위칭 허브, 포트 스위칭 허브 등으로 불릴 수 있다.
네트워크 중계 장치(120)는 상기 중계 기능을 수행하기에 앞서, 사용자 단말(110)이 해당 네트워크에 접속할 권한이 있는 단말기인지를 판단하기 위해 사용자 단말 인증 절차를 수행할 수 있다. 상기 사용자 단말 인증 절차는 IP 주소에 의한 인증, MAC 주소에 의한 인증, 사용자 ID를 이용한 인증, 사용자 비밀번호를 이용한 인증, 암호화 통신을 이용한 인증, 단말기에 설치된 인증 프로그램에 의한 인증 중 적어도 하나의 방법에 의해 이루어질 수 있다. 그러나, 상기와 같은 인증 절차 중 일부는 사용자 단말(110)의 유형에 따라 제한될 수 있다. 예를 들어, 사용자 ID를 이용한 인증 방법은 사용자 ID를 입력할 수단이 구비되지 않은 사용자 단말(110)인 경우 사용할 수 없다. 이러한 경우 사용자 인증 절차에 대한 예외를 적용하여 단말기의 접속을 허가할 수 있다.
사용자 단말(110)이 접속되는 경우, 사용자 단말(110)과 네트워크(150)간의 통신 패킷은 보안 관리를 위하여 관찰될 수 있다. 이를 위하여 네트워크 중계 장치(120)는 사용자 단말이 송수신하는 패킷을 복제(미러링, Mirroring)하여 미러링 패킷을 생성하고, 상기 미러링 패킷을 네트워크 보안 모니터링 장치(130)에 전달하도록 구성될 수 있다.
상기 네트워크 중계 장치(120)는 단일 장치로 구현될 수 있으나, 복수의 장치의 집합체로서 구현될 수도 있다. 예를 들어, 상기 네트워크 중계 장치(120)는 사용자 단말 인증 장치, 라우터, 스위치, 패킷 미러링 장치로 구성된 장치군으로서 구현될 수도 있다. 그러나 본 발명의 네트워크 중계 장치(120)와 동일한 기능을 수행하는 장치 또는 장치군을 어떠한 기능 단위로 분리하여 구현하더라도 본 발명의 기술적 사상이 구현되는 한 본 발명의 권리범위 내에 속할 것임은 자명하다.
본 발명의 일 실시예에 따르면, 네트워크 중계 장치(120)에 속한 패킷 미러링 장치는 스위치와 연결되어 스위치를 통해 네트워크(150)로 제공되는 거의 모든 패킷을 미러링하여 획득하도록 구성될 수 있다. 패킷 미러링은, 즉, 패킷의 복제 또는 캡처(capture)는, 본 발명의 일 실시예에 따르면 스위치에서 수행될 수 있으며, 또 다른 실시예에 따르면 패킷 미러링 장치에서 수행될 수 있다. 스위치는 네트워크(150)로 제공되는 패킷을 복제한 후, 패킷 미러링 장치와 연결된 포트를 목적지 포트(destination port)로 설정하여 패킷 미러링 장치로 제공할 수 있다.
네트워크 보안 모니터링 장치(130)는 네트워크 중계 장치(120)로부터 미러링 패킷을 전달받아 분석함으로써 사용자 단말(110)이 부적절한 통신을 시도하는지 여부를 감시하기 위한 이상 트래픽 감지를 실시할 수 있다. 이상 트래픽이란, 예를 들어, DDoS(Distributed Denial of Service)를 위한 공격 패킷을 전송하거나, 네트워크 상에 접속된 다른 장치를 해킹하거나, 네트워크의 중계 또는 보안 유지 장치를 해킹 또는 무력화하고자 하는 행위로 인해 발생하는 패킷의 송수신 행위를 포함할 수 있다. 이 때, 네트워크 보안 모니터링 장치(130)는 서로 다른 두 종류의 사용자 단말(110)에 대하여 상이한 방법으로 이상 트래픽 감지를 실행할 수 있다.
사용자 단말(110)가운데 인증 절차를 수행할 수 없는 단말기를 편의상 제1 단말이라 하고, 인증 절차를 수행할 수 있는 단말기를 제2 단말이라 한다. 제1 단말의 경우 네트워크 접속 시 인증을 수행하는 데 있어 예외를 적용받기 때문에, 상기의 예외를 악용하여 이상 트래픽을 발생시킬 우려가 있다. 이를테면, 제1 단말기는 정상적 절차에 의해 예외를 인정받아 네트워크에 접속한 후, 접속 목적과 달리 이상 트래픽을 발생시킬 수 있다. 또는, 제1 단말기는 본래 소정의 인증 예외를 통해 접속하는 정상적 단말을 가장하여 네트워크에 접속하는 부정한 단말기로, 정상적 단말이 인증 예외를 요청하기 위해 사용하는 절차를 위조하여 네트워크에 참여한 뒤 정상적 단말을 가장하여 이상 트래픽을 발생시킬 수 있다. 예를 들어, 인증 절차를 수행할 수 없는 정당한 단말은 단말이 구비한 네트워크 통신부의 MAC 주소를 이용하여 화이트리스트(Whitelist) 방식으로 인증 없는 네트워크 접속이 허용될 수 있는데, 부정한 단말기는 상기 화이트리스트에 속하는 MAC 주소를 입수하여 복제함으로써 상기 정당한 단말을 가장하여 네트워크에 참여할 수 있다.
따라서, 상기 제1 단말에 속하는 단말에 대해서는, 네트워크 보안 모니터링 장치(130)에 의한 집중 감시가 이루어지는 것이 바람직하다. 제1 단말에 대한 집중 감시의 절차에 관하여서는 보다 상세히 후술한다.
한편, 상기 제1 단말에 속하지 않고, 보안 성능이 우수한 인증 절차를 정상적으로 수행할 수 있는 사용자 단말(110)은 제2 단말로 칭한다. 제2 단말에 대하여서는 종래기술에서 사용하는 일반적 감시를 실시하여도 무방하다. 예를 들어, 패킷을 분석하여 패킷으로부터 성능지표를 생성하고, 상기 성능지표 데이터를 네트워크 보안 관리 장치(140)에 전송하여, 네트워크 보안 관리 장치(140)로부터 이상 트래픽에 대한 차단 지시가 있는 경우 네트워크 중계 장치(120)로 하여금 이상 트래픽을 차단하도록 지시하도록 구성될 수 있다. 제2 단말에 대한 일반적 감시의 절차에 관하여서는 보다 상세히 후술한다.
즉, 상기 제1 단말을 집중 감시 대상으로 결정하는 것은 단말에서 사용자 인증이 가능한지의 여부에 기반하여 결정되며, 상기 사용자 단말에서 사용자 인증이 가능한 경우 상기 사용자 단말을 집중 감시 대상으로 결정하지 않고, 상기 사용자 단말에서 사용자 인증이 불가능하거나 상기 사용자 단말이 사용자 인증의 예외를 요청하는 경우 상기 사용자 단말을 집중 감시 대상으로 결정하는 것으로 요약할 수 있다.
제1 단말에 대한 집중 모니터링 절차
도 2a는 본 발명의 일 실시예에 의한 제1 단말의 보안 모니터링 방법을 설명하기 위한 통신 흐름도이다. 이하 도 2a를 참조하여, 제1 단말에 대해 집중 감시를 실시하는 절차에 대하여 상세히 설명한다.
사용자 단말이 중계 시스템(160)을 통해 네트워크에 접속을 시도하는 경우, 사용자 단말은 인증 예외에 의한 접속을 요청(220)할 수 있다. 이와 같이 인증 예외에 의한 접속이 이루어진 사용자 단말은 제1 단말(110-1)로 구분되고, 그렇지 않은 단말은 제2 단말로 구분된다.
도 3은 본 발명의 일 실시예에 의해 제1 단말 또는 제2 단말이 지정되는 과정을 나타내는 개념도이다. 이하 도 3을 참조하여 인증 예외에 의한 접속 요청의 처리 과정과 그에 따른 제1 단말 지정 과정을 실시예를 통해 설명한다.
본 발명의 일 실시예에 따르면, 사용자 단말은 네트워크 접속 과정에서 사전에 지정된 IP로 사전에 식별된 MAC 주소를 가진 네트워크 통신 수단을 이용하여 접속을 요청하는 메시지를 전송할 수 있다. 이 요청은 네트워크 중계 장치(120)에 의해 수신(S300)되어 네트워크 접속의 허용 여부를 결정하게 된다. 이 때 네트워크 중계 장치(120)는 화이트리스트 방식을 이용하여 이러한 예외 접속 요청을 처리할 수 있다. 본 발명의 일 실시예에 따르면, 네트워크 중계 장치(120)는 접속을 허용할 수 있는 IP 주소와 MAC 주소의 쌍을 저장한 데이터베이스를 저장하고 있음으로써, 특정 IP 주소의 할당을 요청하는 장치가 인증 예외 처리된 특정 MAC 주소를 보유하고 있는지 여부를 검증할 수 있다(S310). 이 때 예외 처리된 MAC 주소에 해당하는 사용자 단말로 확인되는 경우, 해당 사용자 단말을 제1 단말로 지정(S320)하고 접속 요청을 수락(S370)할 수 있다. 제2 단말 지정 과정에 대하여서는 별도로 후술한다.
다시 도 2a를 참조하면, 상기와 같이 인증 예외에 의한 접속 요청(220)이 발생하는 경우, 이 단말과의 통신은 잠재적으로 이상 트래픽을 발생시킬 수 있는 부정 접속 단말의 통신에 유용될 취약성이 있다. 따라서, 네트워크 중계 장치(120)는 네트워크 보안 모니터링 장치(130)에 해당 제1 단말(110-1)의 정보를 전달함으로써 집중 감시 리스트에 등록(221)한다. 상기 전달되는 정보는 제1 단말(110-1)의 IP 주소 또는 MAC 주소 중 적어도 하나를 포함할 수 있다. 상기 정보는 네트워크 모니터링 장치(130)에 의해 저장되며, 향후 네트워크 중계 장치(120)를 통해 제1 단말(110-1)이 송수신하는 모든 패킷은 네트워크 모니터링 장치(130)에 의한 집중 감시의 대상이 된다.
제1 단말(110-1)이 네트워크로 패킷을 송신(203)하면, 해당 패킷은 네트워크 중계 장치(120)에 의해 미러링되어 미러링 패킷이 생성된다. 미러링 패킷은 네트워크 보안 모니터링 장치(130)로 전달되어(204) 이상 트래픽인지 여부가 분석된다. 한편, 미러링되기 전의 원본 패킷은 정상적인 중계 경로에 따라 네트워크로 송신(205)된다. 네트워크로부터 제1 단말(110-1)을 수신자로 하는 패킷이 수신되는 경우(206)에도, 해당 패킷은 네트워크 중계 장치(120)에 의해 미러링되어 미러링 패킷이 생성되며, 해당 미러링 패킷은 네트워크 보안 모니터링 장치(130)로 전달되어(207) 분석된다. 현재 제1 단말(110-1)의 접속이 허용된 상태이므로, 미러링되기 전의 원본 패킷은 정상적인 중계 경로에 따라 제1 단말에 수신(208)된다. 이처럼 제1 단말(110-1)로부터 송수신되는 일체의 패킷을 편의상 제1 패킷으로 통칭한다.
네트워크 보안 모니터링 장치(130)는 미러링된 제1 패킷이 이상 트래픽에 속하는지 여부를 판단하기 위하여 상기 미러링된 제1 패킷을 시계열에 따라 수집할 수 있다. 본 발명의 일 실시예에 따르면, 시계열에 따른 패킷의 수집은 미러링된 제1 패킷으로부터 패킷 헤더의 정보 구성, 페이로드의 용량, 목적지 IP 주소, 단위 시간당 패킷 전송량을 포함하는 정보를 추출하고, 이를 시간의 흐름에 따라 누적하는 방법으로 이루어질 수 있다.
상기와 같이 미러링된 제1 패킷을 수집한 결과로 네트워크 보안 모니터링 장치(130)는 송수신 패킷 패턴을 생성할 수 있다. 상기 송수신 패킷 패턴은 사용자 단말(110-1)이 현재 어떠한 양태로 네트워크에 패킷을 송수신하고 있는지를 파악하기 위한 자료로, 네트워크 보안 모니터링 장치(130)에서 정상 패턴과 비교되는 방법으로 이상 트래픽 감지에 사용될 수 있다. 이 때 정상 패턴은 상기 제1 단말이 정상 상태에서 송수신할 것으로 예상되는 패킷의 패턴이 시계열에 의해 배치된 자료일 수 있다.
본 발명의 일 실시예에 따르면, 상기 정상 패턴은, 상기 제1 단말과 동일한 유형의 단말이 정상 상태에서 송수신하는 적어도 하나의 정상 상태 패킷에 기반한 자료일 수 있다. 예를 들어, 제1 단말이 카메라 장치인 경우, 제1 단말기와 동일한 규격의 카메라 장치가 일반적으로 송수신하는 패킷의 패턴을 시계열에 따라 수집한 자료일 수 있다.
본 발명의 다른 실시예에 따르면, 상기 정상 패턴은, 상기 네트워크 보안 모니터링 장치가 이상을 감지하지 않은 상태에서 상기 제1 단말이 송수신하는 적어도 하나의 정상 상태 패킷에 기반하는 자료일 수 있다. 예를 들어, 제1 단말이 이전에도 해당 네트워크 중계 장치(120)에 접속한 적 있었던 경우, 과거 제1 단말이 정상 동작하는 과정에서 시계열에 따라 수집된 송수신 패킷 패턴을 별도로 저장하여, 이후 제1 단말의 집중 감시 과정에서 분석의 기준점으로 사용할 수도 있다.
네트워크 보안 모니터링 장치(130)는 상기 정상 패턴을 획득하기 위하여 적어도 하나의 정상 상태 패킷을 기계 학습 인공지능에 학습시킬 수 있다. 본 발명의 일 실시예에 따르면, 상기 기계 학습 인공지능은 입력된 패킷 패턴을 학습함으로써 다음 순서의 패킷 발생 유형을 예측할 수 있도록 구성될 수 있다. 즉, 해당 인공지능에 정상 상태 패킷을 학습시킴으로써, 송수신 패킷이 정상 범주에 속하는 경우 다음 단계에 어떠한 패킷이 출현할 것인지를 예측하도록 구성될 수 있다.
네트워크 보안 모니터링 장치(130)는 상기 송수신 패킷 패턴을 상기 정상 패턴과 비교하여 일치율을 계산할 수 있다. 예상되는 정상 패턴으로부터 실제의 송수신 패킷 패턴이 일치하는 정도가 낮아지는 것을 기준으로 하여 이상 트래픽의 발생 여부를 탐지할 수 있다. 본 발명의 일 실시예에 따르면, 상기 일치율의 계산은 단위 시간 간격으로 수집한 송수신 패킷 패턴과 정상 패턴의 모든 패킷을 순차적으로 상호 대조하여 일치하는 정도를 계산하는 방법으로 계산될 수 있다. 본 발명의 다른 실시예에 따르면, 상기 일치율의 계산은 상기 실시예로서 설명하였던 기계 학습 인공지능에 의해 시계열에 따른 예상 패킷 패턴을 생성하고, 상기 송수신 패킷 패턴과 상기 예상 패킷 패턴을 비교하고, 패킷 패턴을 구성하는 개별 패킷의 일치 여부를 비교하는 방법으로 계산될 수 있으며, 보다 구체적으로는, 각각의 개별 패킷이 페이로드 용량의 범위, 사용하는 서비스의 유형, 목적지 IP 주소, 사용 포트를 포함하는 속성 정보에 의해 동일한 패킷의 범주에 속하는지 비교하고, 상기 비교를 패킷 패턴 간의 비교가 완료될 때까지 반복적으로 실행하는 방법으로 계산될 수 있다.
상기 일치율 계산은 소정 단위 시간 동안의 패킷을 묶어서 실시될 수 있다. 또한, 상기 일치율 계산은 연속적으로 반복하여 실행될 수도 있고, 주기적으로 실행될 수도 있다. 예를 들어, 송수신되는 모든 제1 패킷을 미러링하여 상기 송수신 패킷 패턴을 생성할 수도 있고, 매 5초의 주기로 1초 분량의 제1 패킷을 미러링을 통해 수집하여 상기 송수신 패킷 패턴을 생성할 수도 있다. 송수신 패킷의 생성 주기는 네트워크 보안 모니터링 장치(130)의 성능적 설계 요건에 의하여 통상의 기술자가 임의의 소정 단위 시간 및/또는 실행 주기를 설정하여 실행되어도 무방하며, 이는 모두 본 발명의 기술적 취지에서 벗어나지 않는다.
상기 일치율 계산의 결과는 상기 송수신 패킷 패턴과 상기 예상 패킷 패턴에 포함된 개별 패킷의 수 중 큰 수를 분모로 하고, 상기 송수신 패킷 패턴과 상기 예상 패킷 패턴 간 일치하는 것으로 판단된 패킷의 수를 분자로 하는 분수의 형태로 도출될 수 있다.
상기 일치율 계산의 결과는 네트워크 보안 모니터링 장치(130)로부터 네트워크 보안 관리 장치(140)로 통지(222)될 수 있다. 네트워크 보안 관리 장치(140)는 모니터링의 결과를 통해 보안 정책의 적용 여부를 판단하는 장치일 수 있다. 또한, 네트워크 보안 관리 장치(140)는 네트워크의 보안 정책을 설정하고 그 적용 여부를 결정하기 위하여 네트워크 보안 관리자에 의해 조작되는 장치일 수 있다.
네트워크 보안 관리 장치(140)는 통지된 일치율을 기반으로 하여 현재 제1 단말로부터 발생되고 있는 트래픽이 이상 트래픽의 범주에 속하는지를 판단하는 주체일 수 있다. 본 발명의 일 실시예에 따르면, 송수신 패킷 패턴과 정상 패턴 간의 일치율이 정상 수준에 미달하는 경우 정상 패턴으로부터 중대하게 벗어난 이상 트래픽으로 판단할 수 있다. 상기 정상 수준 일치율은 본 발명의 일 실시예에서는 35%로 설정되나, 반드시 해당 값으로 정의될 필요는 없으며, 네트워크 보안 관리 장치(140)를 조작하는 관리자가 현장의 환경에 맞추어 수정할 수 있다. 상기와 같이 제1 단말로부터 제1 패킷을 통하여 발생하는 이상 트래픽을 편의상 제1 이상 트래픽으로 칭한다.
네트워크 보안 관리 장치(140)는 상기의 절차에 의해 제1 이상 트래픽을 감지하는 경우 상기 제1 이상 트래픽을 차단하도록 네트워크 보안 모니터링 장치(130)에 지시(223)할 수 있다. 네트워크 보안 모니터링 장치는 상기 지시를 수신하는 즉시 네트워크 중계 장치(120)에 이를 전달하여 지시(212)할 수 있다. 네트워크 중계 장치(12)는 이에 따라 이상 트래픽을 발생시키는 제1 단말(110-1)이 발생시키는 트래픽이 네트워크로 전달되지 못하도록 그 전송을 차단하고, 상기 제1 단말(110-1)의 네트워크로의 접속 또한 차단하도록(213)하도록 구성될 수 있다.
네트워크 보안 관리 장치(140)는 또한, 본 발명의 일 실시예에 의하면, 상기 제1 이상 트래픽을 감지한 경우 그 사실을 네트워크 보안 관리 장치(140)를 사용하는 네트워크 보안 관리자에게 통지하도록 구성될 수 있다. 상기 통지의 수단은 통상의 기술자가 적용할 수 있는 어떠한 수단이라도 무방하며, 네트워크 보안 관리 장치(140)에 부속된 디스플레이 상에 표시, 네트워크 보안 관리 장치(140)가 소프트웨어적으로 실행되고 있는 범용 컴퓨팅 장치에서의 이벤트 발생, 네트워크 보안 관리 장치(140)와 네트워크를 통해 연결된 다른 장치로의 통신 메시지 송신이 그 방법에 포함될 수 있다. 상기 통신 메시지 송신 방법에는 SMS 문자 메시지 송신, 메신저 문자 메시지 송신, 또는 E-Mail 송신이 포함될 수 있다.
상기 도 2a를 참조하여 서술한 이상 트래픽 감지 방법은 제1 단말에 대하여 적용되는 것으로, 이를 제1 이상 트래픽 감지 방법으로 칭할 수 있으며, 이를 통하여 하기 서술할 제2 이상 트래픽 감지 방법과 구분된다.
제2 단말에 대한 일반적 모니터링 절차
도 2b는 본 발명의 일 실시예에 의한 제2 단말의 보안 모니터링 방법을 설명하기 위한 통신 흐름도이다. 본 발명의 특징 중 하나는, 상술한 바와 같이 집중 감시가 필요한 제1 단말의 패킷 패턴에 대하여 일치율에 기반한 제1 이상 트래픽 감지 방법을 적용하는 한편으로, 집중 감시가 불필요한 제2 단말에 대하여서는 고도의 컴퓨팅 자원이 소요되는 집중 감시 대신 통상의 네트워크 모니터링 방법에 의한 제2 이상 트래픽 감지 방법을 병용함으로써 효율적인 네트워크 모니터링 및 이상 트래픽 감시를 구현하는 데 있다. 이하 도 2b를 참조하여, 제2 단말에 대해 통상적 이상 트래픽 감시를 실시하는 절차에 대하여 상세히 설명한다.
사용자 단말이 네트워크에 접속을 시도하는 경우, 제2 단말은 중계 시스템(160)을 통한 네트워크 접속을 위해 규정된 소정의 절차에 의하여 네트워크 접속 인증을 요청(201)할 수 있다. 상기 인증 요청은 IP 주소에 의한 인증, MAC 주소에 의한 인증, 사용자 ID를 이용한 인증, 사용자 비밀번호를 이용한 인증, 암호화 통신을 이용한 인증, 단말기에 설치된 인증 프로그램에 의한 인증 중 적어도 하나의 방법에 의해 이루어질 수 있다. 인증 요청이 정당한 것으로 판단되면 네트워크 중계 장치(120)는 해당 사용자 단말의 네트워크 접속을 허가하고, 해당 사용자 단말을 제2 단말(110-2)로 지정하고, 인증 승인 사실을 제2 단말(110-2)에 통지(202)할 수 있다.
본 발명의 바람직한 실시예에 따르면, 상기 인증 요청은 네트워크 접속 인증 프로그램을 실행하는 방식으로 동작하며, 상기 인증 프로그램을 상기 제2 단말에서 실행하고, 상기 제2 단말(110-2)의 사용자로부터 사용자 ID와 사용자 비밀번호를 입력받고, 상기 ID와 비밀번호를 상기 제2 단말(110-2)로부터 네트워크 중계 장치(120)로 전달하고, 상기 네트워크 중계 장치(120)가 상기 사용자 ID와 사용자 비밀번호를 검증하여, 정당한 조합인 경우 인증을 승인하는 방법으로 구현될 수 있다. 본 발명의 다른 실시예에 따르면, 상기에 서술한 인증 요청에서 네트워크 접속 인증 프로그램은 네트워크 중계 장치(120)에 내장된 가상 서버에 의해 공급되는 웹 페이지를 통해 웹 기반으로 실행될 수 있다. 이 경우 상기 제2 단말(110-2)은 웹 브라우저를 통해 인증을 위한 웹 페이지를 열람해 표시하고, 상기 웹 페이지를 통해 상기 제2 단말(110-2)의 사용자로부터 사용자로부터 사용자 ID와 사용자 비밀번호를 입력받도록 구성될 수 있다.
다시 도 3을 참조하면, 사용자 단말의 네트워크 접속 요청은 네트워크 중계 장치(120)에 의해 수신(S300)된다. 상술하였던 바와 같이 네트워크 중계 장치(120)는 화이트리스트 방식을 이용하여 예외 접속을 허용할 대상인지를 구별(S310)할 수 있다. 본 발명의 일 실시예에 따르면, 예외 접속 대상이 아닌 경우 네트워크 중계 장치(120)는 사용자 단말에 대하여 사용자 ID를 인증하도록 요구하는 응답을 송신(S330)할 수 있다. 해당 응답을 받은 사용자 단말로부터 ID 인증에 관련한 통신을 수신하여 해당 인증이 성공적인지를 판단하고(S340), 인증이 성공적인 경우 해당 사용자 단말을 제2 단말로 지정하며(S350) 접속을 수락(S370)하게 된다. 인증에 실패하는 경우 해당 사용자 단말의 접속을 거부(S360)하게 됨은 자명하다.
다시 도 2b를 참조하면, 제2 단말(110-2)이 네트워크로 패킷을 송신(203)하면, 해당 패킷은 네트워크 중계 장치(120)에 의해 미러링되어 미러링 패킷이 생성된다. 미러링 패킷은 네트워크 보안 모니터링 장치(130)로 전달되어(204) 분석된다. 한편, 미러링되기 전의 원본 패킷은 정상적인 중계 경로에 따라 네트워크로 송신(205)된다. 네트워크로부터 제2 단말(110-2)을 수신자로 하는 패킷이 수신되는 경우(206)에도, 해당 패킷은 네트워크 중계 장치(120)에 의해 미러링되어 미러링 패킷이 생성되며, 해당 미러링 패킷은 네트워크 보안 모니터링 장치(130)로 전달되어(207) 분석된다. 현재 제2 단말(110-2)의 접속이 허용된 상태이므로, 미러링되기 전의 원본 패킷은 정상적인 중계 경로에 따라 제2 단말에 수신(208)된다. 이처럼 제2 단말(110-2)로부터 송수신되는 일체의 패킷을 편의상 제2 패킷으로 통칭한다.
네트워크 보안 모니터링 장치(130)는 미러링된 제2 패킷이 이상 트래픽에 속하는지 여부를 판단하기 위하여 상기 미러링된 제2 패킷의 통계적 특성을 분석할 수 있다. 본 발명의 일 실시예에 따르면, 네트워크 보안 모니터링 장치(130)는 상기 미러링된 제2 패킷을 분석하여 제2 패킷에 대한 각종 통계 수치를 도출할 수 있다.
예를 들어, 네트워크 보안 모니터링 장치(130)는 미러링된 제2 패킷의 헤더 분석을 통해 제2 패킷이 어떠한 프로토콜과 연관된 패킷인지, 구체적으로는, HTTP패킷인지, DB와 연관된 패킷인지, TCP와 연관된 패킷인지를 구분할 수 있다. 또한 이를 통해 한다. 이를 통해 "GET/웹 주소/HTTP/1.1"과 같은 요청 정보를 어떤 서버로 전송했는지 확인할 수 있다. 이러한 패킷 헤더 정보는 파싱하여 구문 해석될 수 있다.. "GET"은 요청 메시지가 되고, "웹 주소"는 요청과 연관된 웹 주소를 나타낸다. 그리고, "HTTP/1.1"은 HTTP 1.1 버전인 것을 의미하며, 이외에 패킷과 연관된 언어 정보(예컨대, ko-kr)도 확인하여 저장할 수 있다. 요청 매소드는 GET 외에도, POST, HEAD, PUT, DELETE 등이 상황에 따라 전송될 수 있고, 네트워크 보안 모니터링 장치(130)는 이러한 정보를 시간정보, 관련 IP와 함께 확보할 수 있다.
네트워크 보안 모니터링 장치(130)는 또한 각각의 미러링된 제2 패킷에 인덱스를 부여하고, 부여된 인덱스를 기반으로, 어떤 패킷인지, 해당 패킷인 HTTP 기반의 요청 패킷인지, 그에 대한 응답 패킷인지를 확인한다. 이때, 과거 수신했던 패킷들로부터 획득한 정보와의 비교분석도 수행된다. 이를테면, 제2 단말(110-2)이 앞서 송신한 요청 패킷에 대하여 네트워크(150)로부터 수신된 응답 패킷이 존재할 수 있으며, 이처럼 시계열적으로 적어도 둘 이상의 패킷을 조합하여 세션 또는 트랜잭션 단위의 흐름을 확인할 수 있다.
네트워크 보안 모니터링 장치(130)는 또한 미러링된 제2 패킷의 분석을 통해 제2 단말(110-2)이 어떤 브라우저를 사용했는지, HOST와 연관된 정보, 이전 URL 주소 정보, 브라우저 지원 언어 정보를 확인할 수 있다. 이때, 헤더가 어떤 종류의 헤더(general header인인지, request header인지, entity header인지)인지를 분석할 수 있고, 헤더와 페이로드의 경계선을 나타내는 정보를 파싱할 수 있다. 또한 미러링된 제2 패킷의 URL(Uniform Resource Locator)(또는 URI(uniform resource identifier)), 소스 IP(Source_ip), 목적지 IP(Dest_ip) 및 시간정보를 분석할 수 있다. 여기서, URL 값을 확인해 보면, "https://www.google.co.kr/?gws_rd=ssl"와 같이, 어떤 주소로 리디렉트(redirect)시켜주는 패킷인지 확인할 수 있다. 또한, 소스 IP는 클라이언트 단말의 IP 주소를, 목적지 IP는 요청의 최종 목적지 사이트와 연관된 서버의 IP를 나타낼 수 있다. 응답 패킷의 경우 반대의 정보를 나타낼 수 있다. 시간정보는 타임스탬프 형식으로 제공될 수 있다. 이외에 전체 패킷의 길이 정보(length)도 확인할 수 있다.
네트워크 보안 모니터링 장치(130)는 미러링된 제2 패킷의 분석을 위하여 각각의 프로토콜, 예컨대, HTTP, IP, UDP, TCP, DNS 등 다양한 프로토콜에 대응한 패킷 분석 알고리즘을 포함하고 있고, 각 프로토콜에 맞게 적응적으로 패킷으로부터 URL, 소스 IP, 목적지 IP 및 시간정보를 추출하여 분석에 이용할 수 있다.
네트워크 보안 모니터링 장치(130)는 상술한 바와 같이 분석되어 도출된 미러링된 제2 패킷의 분석 자료를 시계열에 따라 누적 저장한 뒤, 이를 기반으로 통계를 도출할 수 있다. 상기 통계는 네트워크 보안 관리 장치(140)로 통지(210)되어, 네트워크 보안 관리 장치(140)에서 처리되거나 표시될 수 있다. 본 발명의 일 실시예에 따르면, 상기 통계는 미리 설정된 미리 설정된 다양한 형태의 시각화 툴을 이용하여 네트워크 보안 관리 장치(140)를 사용하는 보안 관리자가 직관적으로 현재 네트워크 상의 이상 트래픽 존재 여부를 파악할 수 있도록 시각화 처리될 수 있다. 즉, 특정 매개와 연관된 통계 지표를 취합하여 의미있는 형태의 그래프 또는 테이블을 생성할 수 있다. 예컨대, 특정 제2 단말(110-2)에 의해 특정 시간대에 생성된 세션들의 리스트를 생성한다거나, 그때 발생된 데이터베이스 쿼리에 대한 테이블을 생성하는 등의 작업을 수행한다. 즉, 네트워크 서비스와 연관된 상기 성능 관련 지표들은 해당 패킷의 시간 정보(타임스탬프 정보)와 함께 저장되므로, 특정 시간대의 패킷 흐름을 네트워크 관계 속에서 이해할 수 있도록 플로우 맵(flow map)을 생성할 수도 있다.
본 발명의 일 실시예에 의하면, 네트워크 보안 관리 장치(140)는 상기 통계 및/또는 상기 시각화된 통계를 네트워크 보안 관리 장치(140)를 사용하는 네트워크 보안 관리자에게 통지하도록 구성될 수 있다. 상기 통지의 수단은 통상의 기술자가 적용할 수 있는 어떠한 수단이라도 무방하며, 네트워크 보안 관리 장치(140)에 부속된 디스플레이 상에 표시, 네트워크 보안 관리 장치(140)가 소프트웨어적으로 실행되고 있는 범용 컴퓨팅 장치에서의 이벤트 발생, 네트워크 보안 관리 장치(140)와 네트워크를 통해 연결된 다른 장치로의 통신 메시지 송신이 그 방법에 포함될 수 있다. 상기 통신 메시지 송신 방법에는 SMS 문자 메시지 송신, 메신저 문자 메시지 송신, 또는 E-Mail 송신이 포함될 수 있다.
또한 본 발명의 일 실시예에 의하면, 네트워크 보안 관리 장치(140)는 상기 통계 및/또는 상기 시각화된 통계에 기반하여 제2 단말로부터 발생하는 제2 이상 트래픽을 감지하는 기능을 수행할 수 있다. 상기 감지는 상기 통계 지표의 수치가 사전에 지정된 위험 수준에 도달하였을 경우 자동으로 실시되도록 구현될 수 있고, 상기 네트워크 보안 관리 장치(140)에 대한 네트워크 보안 관리자의 입력을 받는 수동 조작의 형태로 구현될 수도 있다. 상기와 같이 제2 단말로부터 제2 패킷을 통하여 발생하는 이상 트래픽을 편의상 제2 이상 트래픽으로 칭한다.
네트워크 보안 관리 장치(140)는 상기의 절차에 의해 제2 이상 트래픽을 감지하는 경우 상기 제2 이상 트래픽을 차단하도록 네트워크 보안 모니터링 장치(130)에 지시(211)할 수 있다. 네트워크 보안 모니터링 장치는 상기 지시를 수신하는 즉시 네트워크 중계 장치(120)에 이를 전달하여 지시(212)할 수 있다. 네트워크 중계 장치(12)는 이에 따라 이상 트래픽을 발생시키는 제1 단말(110-1)이 발생시키는 트래픽이 네트워크로 전달되지 못하도록 그 전송을 차단하고, 상기 제1 단말(110-1)의 네트워크로의 접속 또한 차단하도록(213)하도록 구성될 수 있다.
상술하였듯, 상기 도 2b를 참조하여 서술한 이상 트래픽 감지 방법은 제2 단말에 대하여 적용되는 것으로, 이를 제2 이상 트래픽 감지 방법으로 칭할 수 있으며, 이는 상술하였던 제1 이상 트래픽 감지 방법과 구분되며, 동일한 네트워크 상에서 병용될 수 있다.
네트워크 보안 모니터링 장치
도 4는 본 발명의 일 실시예에 의한 네트워크 보안 모니터링 장치의 구조를 나타내는 블록도이다. 상술하였던 제1 이상 트래픽 감지 방법과 제2 이상 트래픽 감지 방법은 도 4에 나타난 바와 같은 네트워크 보안 모니터링 장치에 의하여 구현될 수 있다. 이하 도 4를 참조하여 본 발명의 일 실시예에 따른 네트워크 보안 모니터링 장치의 구성에 대하여 설명한다.
네트워크 보안 모니터링 장치(460)는 네트워크 중계 시스템(400)에 속한 장치이다. 네트워크 중계 시스템(400)은 외부 네트워크(미도시)와 사용자 단말(미도시) 간의 통신 일체를 중계하기 위해 설치된 시스템이다.
네트워크 보안 모니터링 장치(460)는 네트워크 중계 장치(440)및 네트워크 보안 관리 장치(450)와 서로 통신하도록 설정될 수 있다. 상기 통신은 동일한 소프트웨어 프로그램 내에서의 통신, 동일한 물리적 컴퓨팅 장치 내에서의 통신, 동시 또는 시차를 두고 실행되는 복수의 소프트웨어 프로그램 간 통신, 상호 이격된 물리적 컴퓨팅 장치 간의 네트워크 통신 등 통상의 기술자가 적용할 수 있는 여하의 통신 수단에 의해 구현되어도 무방하다.
네트워크 보안 모니터링 장치(460)는 네트워크 중계 장치(440)로부터 집중 감시의 대상인 제1 단말의 정보를 전달받도록 구성될 수 있다. 상기 정보는 제1 단말의 IP 주소 또는 MAC 주소 중 적어도 하나를 포함할 수 있다. 상기 정보는 감시 대상 관리부(410)로 공급되어 제1 단말에 관한 정보를 포함하는 집중 감시 리스트의 형태로 저장된다.
네트워크 보안 모니터링 장치(460)는 네트워크 중계 장치(440)로부터 미러링된 패킷을 받아 처리하도록 구성될 수 있다. 상기 미러링된 패킷은 미러링 패킷 수신부(420)로 공급되어, 패킷의 출처가 제1 단말인 경우 제1 이상 트래픽 감시부(430)로, 패킷의 출처가 제2 단말인 경우 제2 이상 트래픽 감시부(438)로 입력된다.
제1 이상 트래픽 감시부는 미러링된 제1 패킷을 시계열에 따라 수집하여 송수신 패킷 패턴을 생성하는 패턴 생성부(432), 상기 송수신 패킷 패턴과 상기 정상 패턴 간의 일치율을 계산하는 연산부(434), 및 상기 일치율이 위험 수준을 초과하는 경우 이상 트래픽으로 판단하는 이상 판단부(436)를 포함하도록 구성될 수 있다. 상기 각각의 부는 앞서 도 2a를 참조하여 설명하였던 제1 이상 트래픽 감지 방법을 구현하는 데 활용될 수 있다. 본 발명의 일 실시예에 따르면, 상기 패턴 생성부(432)는 송수신 패킷 패턴의 수집 및 정상 패턴의 생성을 위하여, 상기 연산부(434)는 송수신 패킷 패턴과 정상 패턴 간의 일치율을 연산하기 위하여 기계 학습 인공지능(미도시)와 연결되거나 또는 통신하면서 동작하도록 구현될 수 있다.
이상 판단부(436)는 일치율이 정상 수준에 미달하는 것으로 판단되어 제1 이상 트래픽이 감지되는 경우, 이상 트래픽의 발생 사실이 네트워크 보안 관리 장치(450)로 통지되도록 구성될 수 있으며, 네트워크 중계 장치(440)에 제1 이상 트래픽을 차단하는 지시를 보내도록 구성될 수 있다.
제2 이상 트래픽 감시부(438)는 미러링된 제2 패킷을 분석하도록 구성되로, 앞서 도 2b를 참조하여 설명하였던 제2 이상 트래픽 감지 방법을 구현하도록 구현될 수 있다. 제2 이상 트래픽 감시부(438)는 패킷 통계를 네트워크 보안 관리 장치(450)에 통지하도록 구성될 수 있다.
본 발명의 일 실시예에 의하면, 네트워크 보안 모니터링 장치(460)는 네트워크 보안 관리 장치(450)로부터 전달된 특정 트래픽에 대한 차단 지시를, 바람직하게는, 제2 이상 트래픽에 대한 차단 지시를, 네트워크 중계 장치(440)로 전달하도록 구성될 수 있다.
이상 도면 및 실시예를 참조하여 설명하였지만, 본 발명의 보호범위가 상기 도면 또는 실시예에 의해 한정되는 것을 의미하지는 않으며 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
Claims (21)
- 네트워크 보안 모니터링 장치가 네트워크의 보안을 모니터링하는 방법에 있어서,
네트워크에 연결된 단말들 중에서 집중 감시 대상으로 결정된 제1 단말에 관한 정보를 포함하는 집중 감시 리스트를 저장하는 단계;
상기 제1 단말이 상기 네트워크를 통해 송수신하는 제1 패킷을 미러링하는 단계;
집중 감시 대상으로 결정되지 않은 제2 단말이 상기 네트워크를 통해 송수신하는 제2 패킷을 미러링하는 단계; 및
상기 미러링된 제1 패킷 및 제2 패킷을 기반으로 상기 네트워크의 보안 모니터링을 수행하는 단계를 포함하고,
상기 제1 단말은, 단말에서 사용자 인증 절차의 수행이 가능한지의 여부에 기반하여 집중 감시 대상으로 결정되는, 네트워크의 보안을 모니터링하는 방법.
- 제 1 항에 있어서,
상기 제1 단말에 관한 정보는, IP(Internet Protocol) 주소 또는 MAC(Media Access Control) 주소를 포함하는, 네트워크의 보안을 모니터링하는 방법.
- 삭제
- 제 1 항에 있어서,
상기 제1 단말은 네트워크 보안 관리 장치에 의해 집중 감시 대상으로 결정되는, 네트워크의 보안을 모니터링하는 방법.
- 제 1 항에 있어서,
상기 제1 단말을 집중 감시 대상으로 결정하는 방법은, 적어도 하나의 사용자 단말에 대하여, 상기 사용자 단말에서 사용자 인증 절차의 수행이 가능한 경우 상기 사용자 단말을 집중 감시 대상으로 결정하지 않고, 상기 사용자 단말에서 사용자 인증 절차의 수행이 불가능하거나 상기 사용자 단말이 사용자 인증의 예외를 요청하는 경우 상기 사용자 단말을 집중 감시 대상으로 결정하는 것인, 네트워크의 보안을 모니터링하는 방법.
- 제 5 항에 있어서,
상기 사용자 인증은, IP 주소에 의한 인증, MAC 주소에 의한 인증, 사용자 ID를 이용한 인증, 사용자 비밀번호를 이용한 인증, 암호화 통신을 이용한 인증, 단말기에 설치된 인증 프로그램에 의한 인증 중 적어도 하나의 방법에 의해 이루어지는 것인, 네트워크의 보안을 모니터링하는 방법.
- 제 1 항에 있어서,
상기 보안 모니터링은, 상기 제1 단말에 대한 제1 이상 트래픽을 감지하는 단계; 및 상기 제2 단말에 대한 제2 이상 트래픽을 감지하는 단계를 포함하고,
상기 제1 이상 트래픽 감지와 제2 이상 트래픽 감지는 서로 다른 방식인, 네트워크의 보안을 모니터링하는 방법.
- 제 7 항에 있어서,
상기 제1 이상 트래픽을 감지하는 단계는,
상기 미러링된 제1 패킷을 시계열에 따라 수집하여 송수신 패킷 패턴을 생성하는 단계;
상기 송수신 패킷 패턴과 정상 패턴 간의 일치율을 계산하는 단계; 및
상기 일치율이 정상 수준에 미달하는 경우 이상 트래픽으로 판단하는 단계를 포함하는, 네트워크의 보안을 모니터링하는 방법.
- 제 8 항에 있어서,
상기 정상 패턴은, 상기 제1 단말과 동일한 유형의 단말이 정상 상태에서 송수신하는 적어도 하나의 정상 상태 패킷에 기반하는, 네트워크의 보안을 모니터링하는 방법.
- 제 8 항에 있어서,
상기 정상 패턴은, 상기 네트워크 보안 모니터링 장치가 이상을 감지하지 않은 상태에서 상기 제1 단말이 송수신하는 적어도 하나의 정상 상태 패킷에 기반하는, 네트워크의 보안을 모니터링하는 방법.
- 제 8 항에 있어서,
상기 정상 패턴은, 적어도 하나의 정상 상태 패킷을 기계 학습 인공지능에 학습시킴으로써 획득되는, 네트워크의 보안을 모니터링하는 방법.
- 제 11 항에 있어서,
상기 일치율을 계산하는 단계는, 상기 기계 학습 인공지능에 의해 시계열에 따른 예상 패킷 패턴을 생성하고, 상기 송수신 패킷 패턴과 상기 예상 패킷 패턴을 비교하고, 패킷 패턴을 구성하는 개별 패킷의 일치 여부를 비교하는 단계를 포함하는, 네트워크의 보안을 모니터링하는 방법.
- 제 12 항에 있어서,
상기 일치율을 계산하는 단계는,
상기 송수신 패킷 패턴과 상기 예상 패킷 패턴에 포함된 개별 패킷의 수 중 큰 수를 분모로 하고, 상기 송수신 패킷 패턴과 상기 예상 패킷 패턴 간 일치하는 것으로 판단된 패킷의 수를 분자로 하여 계산되는, 네트워크의 보안을 모니터링하는 방법.
- 제 1 항에 있어서,
상기 네트워크 보안에 이상이 감지된 경우, 상기 제1 단말의 네트워크 접속을 차단하는 단계를 더 포함하는, 네트워크의 보안을 모니터링하는 방법
- 제 1 항에 있어서,
상기 네트워크 보안에 이상이 감지된 경우, 상기 제1 단말에 이상 트래픽이 발생하였다는 메시지를 네트워크 보안 관리 장치에 통지하는 단계를 더 포함하는, 네트워크의 보안을 모니터링하는 방법
- 네트워크 보안 모니터링 장치에 있어서,
네트워크에 연결된 단말들 중에서 집중 감시 대상으로 결정된 제1 단말에 관한 정보를 포함하는 집중 감시 리스트를 저장하는 감시 대상 관리부;
상기 제1 단말이 상기 네트워크를 통해 송수신하는 제1 패킷을 미러링하여 수신하고, 집중 감시 대상으로 결정되지 않은 제2 단말이 상기 네트워크를 통해 송수신하는 제2 패킷을 미러링하여 수신하도록 구성되는 미러링 패킷 수신부; 및
상기 미러링된 제1 패킷 및 제2 패킷을 기반으로 상기 네트워크의 보안 모니터링을 수행하는 트래픽 감시부를 포함하고,
상기 제1 단말은, 단말에서 사용자 인증 절차의 수행이 가능한지의 여부에 기반하여 결정되는, 네트워크 보안 모니터링 장치.
- 삭제
- 제 16 항에 있어서,
상기 트래픽 감시부는,
상기 미러링된 제1 패킷을 시계열에 따라 수집하여 송수신 패킷 패턴을 생성하는 패턴 생성부;
상기 송수신 패킷 패턴과 정상 패턴 간의 일치율을 계산하는 연산부; 및
상기 일치율이 정상 수준에 미달하는 경우 이상 트래픽으로 판단하는 이상 판단부를 포함하도록 구성되는, 네트워크 보안 모니터링 장치.
- 제 18 항에 있어서,
상기 정상 패턴은, 적어도 하나의 정상 상태 패킷을 기계 학습 인공지능에 학습시킴으로써 획득되는, 네트워크 보안 모니터링 장치.
- 제 16 항에 있어서,
상기 트래픽 감시 판단부는, 이상 트래픽이 감지된 경우, 상기 집중 감시 대상 단말의 네트워크 접속을 차단하도록 구성되는, 네트워크 보안 모니터링 장치.
- 네트워크에 연결된 단말들 중에서 사용자 인증이 가능한지의 여부에 기반하여 집중 감시 대상인 제1 단말과 집중 감시 대상이 아닌 제2 단말을 결정하고;
상기 제2 단말에 대한 인증을 수행하며;
상기 제1 단말에 관한 정보를 포함하는 집중 감시 리스트를 생성하여 네트워크 보안 모니터링 장치에 전송하고; 그리고
트래픽 차단 지시에 기반하여 제1 단말 또는 제2 단말의 트래픽을 차단하도록 구성되고,
상기 제1 단말은, 단말에서 사용자 인증 절차의 수행이 가능한지의 여부에 기반하여 결정되는, 네트워크 중계 장치.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210157503A KR102599524B1 (ko) | 2021-11-16 | 2021-11-16 | 네트워크 보안 모니터링 장치 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210157503A KR102599524B1 (ko) | 2021-11-16 | 2021-11-16 | 네트워크 보안 모니터링 장치 및 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20230071376A KR20230071376A (ko) | 2023-05-23 |
| KR102599524B1 true KR102599524B1 (ko) | 2023-11-08 |
Family
ID=86544699
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020210157503A KR102599524B1 (ko) | 2021-11-16 | 2021-11-16 | 네트워크 보안 모니터링 장치 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102599524B1 (ko) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101538709B1 (ko) * | 2014-06-25 | 2015-07-29 | 아주대학교산학협력단 | 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20130047257A (ko) * | 2011-10-31 | 2013-05-08 | 자바정보기술 주식회사 | 사용자 인증 시스템 및 방법 |
| KR102163280B1 (ko) * | 2018-09-19 | 2020-10-08 | 주식회사 맥데이타 | 엣지 컴퓨팅 기반 네트워크 모니터링 방법, 장치 및 시스템 |
-
2021
- 2021-11-16 KR KR1020210157503A patent/KR102599524B1/ko active IP Right Grant
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101538709B1 (ko) * | 2014-06-25 | 2015-07-29 | 아주대학교산학협력단 | 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20230071376A (ko) | 2023-05-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7373524B2 (en) | Methods, systems and computer program products for monitoring user behavior for a server application | |
| US7823204B2 (en) | Method and apparatus for detecting intrusions on a computer system | |
| US8020211B2 (en) | Network security system having a device profiler communicatively coupled to a traffic monitor | |
| EP1806888B1 (en) | Denial-of-service attack detecting system, and denial-of-service attack detecting method | |
| US8347383B2 (en) | Network monitoring apparatus, network monitoring method, and network monitoring program | |
| US20050188080A1 (en) | Methods, systems and computer program products for monitoring user access for a server application | |
| US20050188221A1 (en) | Methods, systems and computer program products for monitoring a server application | |
| US20050188079A1 (en) | Methods, systems and computer program products for monitoring usage of a server application | |
| US20050188222A1 (en) | Methods, systems and computer program products for monitoring user login activity for a server application | |
| US20050187934A1 (en) | Methods, systems and computer program products for geography and time monitoring of a server application user | |
| US20050198099A1 (en) | Methods, systems and computer program products for monitoring protocol responses for a server application | |
| US20150089566A1 (en) | Escalation security method for use in software defined networks | |
| Agrawal et al. | An SDN-assisted defense mechanism for the shrew DDoS attack in a cloud computing environment | |
| Vaigandla et al. | Investigation on intrusion detection systems (IDSs) in IoT | |
| Segura et al. | Centralized and distributed intrusion detection for resource-constrained wireless SDN networks | |
| Neu et al. | Lightweight IPS for port scan in OpenFlow SDN networks | |
| Wang et al. | Software defined network security framework for IoT based smart home and city applications | |
| Cherian et al. | Mitigation of DDOS and MiTM attacks using belief based secure correlation approach in SDN-based IoT networks | |
| KR20020075319A (ko) | 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템 | |
| KR102599524B1 (ko) | 네트워크 보안 모니터링 장치 및 방법 | |
| EP2698961A1 (en) | A method for securing traffic on a traffic path in a computer network | |
| Aibin et al. | Resilient SDN, CDN and ICN technology and solutions | |
| John et al. | Efficient defense system for IP spoofing in networks | |
| KR101045332B1 (ko) | Irc 및 http 봇넷 정보 공유 시스템 및 그 방법 | |
| Selvaraj et al. | Enhancing intrusion detection system performance using firecol protection services based honeypot system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right |