KR20010085056A - 미행 메커니즘 기반의 전산망 보안 관리 장치 및 방법 - Google Patents

미행 메커니즘 기반의 전산망 보안 관리 장치 및 방법 Download PDF

Info

Publication number
KR20010085056A
KR20010085056A KR1020010045483A KR20010045483A KR20010085056A KR 20010085056 A KR20010085056 A KR 20010085056A KR 1020010045483 A KR1020010045483 A KR 1020010045483A KR 20010045483 A KR20010045483 A KR 20010045483A KR 20010085056 A KR20010085056 A KR 20010085056A
Authority
KR
South Korea
Prior art keywords
information
agent system
monitoring
intrusion
intruder
Prior art date
Application number
KR1020010045483A
Other languages
English (en)
Other versions
KR100424723B1 (ko
Inventor
장희진
박보석
김상욱
Original Assignee
김상욱
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 김상욱 filed Critical 김상욱
Priority to KR10-2001-0045483A priority Critical patent/KR100424723B1/ko
Publication of KR20010085056A publication Critical patent/KR20010085056A/ko
Application granted granted Critical
Publication of KR100424723B1 publication Critical patent/KR100424723B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0695Management of faults, events, alarms or notifications the faulty arrangement being the maintenance, administration or management system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 보안 관리 시스템들을 미행 메커니즘에 의해 관리 영역 내에 확장시킴으로써 초기에 단 하나의 보안 관리 시스템만을 설치하더라도 영역 내에 모든 호스트들에 대한 안전한 사용을 보장하는 미행 메커니즘 기반의 전산망 보안 관리 장치 및 방법에 관한 것으로,
본 발명의 특징은, 단일 호스트에 설치되어 해당 호스트에 대한 보안 관리를 담당하는 적어도 하나 이상의 에이젼트시스템; 및 네트워크 상에 분산된 상기 에이젼트시스템을 원격으로 관리하며, 상기 에이젼트시스템이 수집한 정보를 전달받아 분석하여 전체 네트워크에 대한 보안 관리를 담당하는 마스터시스템을 포함하는데 있다.
이와 같이, 본발명은 단일 관리자 영역 또는 서로 협동 관계에 있는 관리자 영역에서 침입자에 의한 연속된 해킹 행위를 방지하여 전산망에 대한 안전성, 신뢰성을 보장하며, 침입자의 이동 경로 추적 및 역추적에 의해 침입자의 신분을 확인함으로써 전산망에 대한 추후의 공격을 방지할 수 있는 이점이 있다.

Description

미행 메커니즘 기반의 전산망 보안 관리 장치 및 방법{Apparatus and Method for managing software-network security based on shadowing mechanism}
본 발명은 미행 메커니즘 기반의 전산망 보안 관리 장치 및 방법에 관한 것으로, 보다 상세하게는 보안 관리 시스템들을 미행 메커니즘에 의해 관리 영역 내에 확장시킴으로써 초기에 단 하나의 보안 관리 시스템만을 설치하더라도 영역 내에 모든 호스트들에 대한 안전한 사용을 보장하는 미행 메커니즘 기반의 전산망 보안 관리 장치 및 방법에 관한 것이다.
최근, 단일 관리자 영역 또는 서로 신뢰 관계에 있는 여러 관리자 영역 내의 호스트들을 보호하기 위해 여러 보안 관리 시스템이 개발되었는 바, 이와 같은 기존의 보안 관리 시스템은 호스트 레벨 보안 관리 시스템과 네트워크 레벨 보안 관리 시스템으로 나누어진다. 호스트 레벨 보안 관리 시스템은 보안 관리가 실시간으로 이루어지지 않으므로 침입자가 공격의 흔적을 지울 수 있는 충분한 시간을 제공한다. 단일 호스트 내에서만 보안 관리를 수행하므로 여러 호스트를 거친 침입에대해 적절한 대응을 제공할 수 없다. 또한, 보안 관리 행위 자체를 보호할 수 없으므로 침입자가 자신이 감시되고 있음을 쉽게 인식한다. 네트워크 레벨 보안 관리 시스템은 패킷 단위로 정보를 수집하므로 많은 패킷 정보 중에서 유용한 정보를 찾아내어야 하므로 많은 과부하를 요구한다. 암호화된 패킷의 경우, 정보를 추출하는 것이 거의 불가능하고 보안 관리 시스템의 설치 위치에 따라 수집할 수 있는 데이터가 제한된다. 상술한 바와 같은 보안 관리 시스템은 단일 관리자 영역 또는 서로 신뢰 관계에 있는 여러 관리자 영역 내의 호스트를 보호하기 위해 공간적인 제약을 갖는다. 즉, 영역 내의 모든 호스트를 보호하기 위해서는 모든 호스트에 대해 보안관리 시스템을 설치해야만 하는 문제점을 가진다.
따라서, 본 발명은 이와 같은 문제점을 해결하기 위한 것으로서, 본 발명은 보안 관리를 위한 모니터링 범위를 확장함으로써 기존의 모니터링 방법이 가졌던 공간적인 제약을 최소화하는 미행 메커니즘 기반의 전산망 보안 관리 장치 및 방법을 제공하는데 그 목적이 있다.
본 발명의 다른 목적은 침입자의 경로를 추적할 수 있으며, 침입자의 신분 정보, 행위 정보 등을 수집함으로써 수집된 정보를 해킹의 증거 자료로 사용할 수 있고, 침입자의 역추적 등을 통해 침입자의 신분을 확인할 수 있는 미행 메커니즘 기반의 전산망 보안 관리 장치 및 방법을 제공하는데 있다.
본 발명의 또 다른 목적은 모니터링 시스템, 침입 탐지 시스템 및 침입 대응 시스템 등 일반적인 보안 관리 시스템에 적용 가능한 미행 메커니즘 기반의 전산망보안 관리 장치 및 방법을 제공하는데 있다.
도 1은 본 발명에 따른 미행 메커니즘 기반의 전산망 보안 관리 장치의 구성도,
도 2는 도 1에 도시된 전산망 보안 관리 장치의 미행관리수단의 세부 구성도,
도 3은 본 발명에 따른 미행 메커니즘 기반의 전산망 보안 관리 방법의 흐름도,
도 4는 도 3에 도시된 전산망 보안 관리 방법의 미행 처리를 구현하는 세부 흐름도,
도 5는 도 3에 도시된 전산망 보안 관리 방법의 침입 탐지 처리를 구현하는 세부 흐름도.
<도면의 주요 부분에 대한 부호의 설명>
100 : 마스터시스템 110 : 사용자인터페이스수단
120 : 에이젼트관리수단 130 : 모니터링관리수단
140 : 침입탐지관리수단 150 : 침입추적관리수단
160 : 정책처리수단 170 : 침입대응관리수단
180 : 전역보안정보데이터베이스
200 : 에이젼트시스템 210 : 메시지처리수단
220 : 정책처리수단 230 : 미행관리수단
240 : 시스템/네트워크모니터수단
250 : 침입추적수단 260 : 침입탐지수단
270 : 지역침입대응처리수단 280 : 지역보안정보데이터베이스
이와 같은 목적을 달성하기 위한 본 발명의 특징은, 단일 호스트에 설치되어 해당 호스트에 대한 보안 관리를 담당하는 적어도 하나 이상의 에이젼트시스템; 및 네트워크 상에 분산된 상기 에이젼트시스템을 원격으로 관리하며, 상기 에이젼트시스템이 수집한 정보를 전달받아 분석하여 전체 네트워크에 대한 보안 관리를 담당하는 마스터시스템을 포함하는데 있다.
바람직하게, 상기 마스터시스템은 사용자에게 정책 설정, 보고서 확인 등의 기증을 제공하는 사용자인터페이스수단; 네트워크에 분산된 상기 에이젼트시스템의 위치를 파악하고 활성 또는 비활성의 상태를 확인하는 에이젼트관리수단; 상기 단일 호스트에 대한 보안 관리 모니터링을 담당하고 상기 에이젼트시스템으로부터 전송된 모니터링 정보를 취합, 분석하는 모니터링관리수단; 상기 에이젼트시스템으로부터 전달된 모니터링 정보 중 침입으로 추정되는 정보들을 전달받아 분석하는 침입탐지관리수단; 상기 침입탐지관리수단으로부터 침입 관련 정보들을 전달받아 침입자의 경로를 추적하는 침입추적관리수단; 사용자가 설정한 정책을 관리하고, 대응으로서 수행된 정책의 재설정을 반영하여 상기 네트워크에 적용될 새로운 정책을 설정하는 정책처리수단; 상기 정책처리수단에 설정된 정책에 따라 보안상 위협이 발생하면 관리자에게 보고, 보고서 작성, 정책 재설정, 침입자 추적 등의 상황에 맞는 대응을 취하는 침입대응관리수단; 및 상기 각 구성수단이 상기 에이젼트시스템으로부터 전송받은 보안 정보와 분석 결과를 저장하는 전역보안정보데이터베이스를 포함함을 특징으로 한다.
바람직하게, 상기 에이젼트시스템은 상기 마스터시스템과 상기 에이젼트시스템간의 정보 전송의 역활을 담당하며, 해당 정보를 메시지의 형태로 전달, 처리하는 메시지처리수단; 상기 마스터시스템으로부터 상기 에이젼트시스템에 설정된 정책을 직접 관리, 수행하는 정책처리수단; 침입자로 추정되는 사용자의 이동 경로를 따라 또 다른 에이젼트시스템을 설치하는 미행관리수단; 상기 에이젼트시스템이 설치된 상기 단일 호스트 상에서 발생되는 모든 이벤트와 사용자에 대한 정보를 수집, 감시하는 시스템/네트워크모니터수단; 상기 마스터시스템의 지시에 따라 상기 에이젼트시스템이 설치된 상기 단일 호스트 상의 침입자로 추정되는 사용자를 추적하는 침입추적수단; 상기 시스템/네트워크모니터수단이 수집한 모니터링 정보 중 침입으로 추정되는 정보들을 추출, 분석하는 침입탐지수단; 상기 에이젼트시스템에 설정된 보안 정책에 따라 보안상의 위협이 발생하는 경우 상기 에이젼트시스템이 설치된 상기 단일 호스트의 관리자에게 통보, 취약점 보고, 상기 단일 호스트에 대한 재설정, 정책의 재설정 등의 대응을 수행하는 지역침입대응처리수단; 및 상기 에이젼트시스템이 수집, 분석한 보안 관련 정보를 저장하는 지역보안정보데이터베이스를 포함함을 특징으로 한다.
바람직하게, 상기 미행관리수단은 침입자로 추정되는 사용자의 터미널을 감시하고, 사용자의 소정 정보를 추출하여, 추출된 상기 소정 정보에 따라 행위를 취하는 행위분석부; 상기 행위분석부에서 전달받은 상기 소정 정보를 이용하여 상기 에이젼트시스템의 복제가 수행될 타킷 호스트를 정하고, 획득한 쉘을 이용하여 복제를 위한 모듈 전송, 컴파일, 실행 등을 수행하는 원격관리부; 상기 에이젼트시스템의 복제를 위해 상기 타겟 호스트와 직접 연결을 설정하는 연결관리부; 상기 타겟 호스트와의 접속 후 복제를 위한 모듈 전송과 컴파일, 실행 과정이 상기 타겟 호스트의 OS버젼, 쉘 환경 등을 반영할 수 있도록 상기 에이젼트시스템과 상기 타겟 호스트간의 환경에 대한 정보 전송 및 분석을 지원하는 환경커뮤니케이터부; 상기 환경커뮤니케이터부의 분석 결과, 상기 타겟 호스트로의 상기 에이젼트시스템의 복제를 위한 환경을 설정하는 실행환경어댑터부; 기존의 침입자에 신분 정보, 침입 행위 시나리오 등이 저장되는 신분정보데이터베이스; 상기 행위분석부의 행위분석기로부터 전송된 신분 정보와 행위 정보를 분석하여 침입자의 신분에 따른 행위 정보로 정리하여 상기 신분정보데이터베이스로 전송하는 신분분석부; 상기 신분정보데이터베이스에 저장된 침입 행위 시나리오와 신분 정보를 상기 신분분석부로부터 전달된 정보와 비교하여 이미 확보된 침입자의 행위인지 새로운 침입자의 행위인지를 확인하는 비교엔진부; 및 상기 에이젼트시스템이 설치된 상기 단일 호스트의 속성과 포트를 모니터링하고, 모든 사용자의 디렉토리 정보 등을 모니터링하는 수집부를 포함함을 특징으로 한다.
바람직하게, 상기 소정 정보는 사용자의 정보중 추출된 이동 정보, 신분 정보, 행위 정보임을 특징으로 한다.
바람직하게, 상기 행위분석부는 침입자로 추정되는 사용자의 터미널을 감시하는 원격모니터; 사용자의 상기 소정 정보를 추출하는 행위필터; 및 상기 행위필터에서 걸러지는 정보를 상기 소정 정보의 종류에 따라 행위를 취하는 행위분석기를 포함함을 특징으로 한다.
바람직하게, 상기 원격관리부는 상기 행위분석부에서 전달받은 신분 정보, 이동 정보를 이용하여 상기 에이젼트시스템의 복제가 수행될 상기 타겟 호스트를 정하는 자기 복제 모듈 관리기; 침입자의 신분 정보, 이동 정보를 이용하여 상기 타겟 호스트의 원격 셀을 획득하고, 이후의 관리를 맡는 원격 쉘관리기; 및 상기 원격 쉘관리기가 획득한 쉘을 이용하여 복제를 위한 모듈 전송, 컴파일, 실행 등을 수행하는 원격 프로토콜 관리기를 포함함을 특징으로 한다.
바람직하게, 상기 수집부는 상기 에이젼트시스템이 설치된 상기 단일 호스트의 속성을 모니터링하는 속성수집기; 상기 에이젼트시스템이 설치된 상기 단일 호스트의 포트를 모니터링하는 포트스캐너; 및 상기 에이젼트시스템이 설치된 상기 단일 호스트의 모든 사용자의 디렉토리 정보 등을 모니터링하는 일반수집기를 포함함을 특징으로 한다.
본 발명의 다른 특징은, 모니터링 처리를 원하는가 판단하여, 모니터링 처리를 원하지 않으면 정책 설정 및 조회를 수행하고, 모니터링 처리를 원하면 사용자/시스템/네트워크를 모니터링하는 제 1 과정; 상기 제 1 과정에서 모니터링 후 획득 정보가 신분 정보 또는 이동 정보인가 판단하여, 획득 정보가 신분 정보 또는 이동 정보이면 미행 처리하고, 획득 정보가 신분 정보 또는 이동 정보가 아니면 침입적인 행위 정보인가 판단하는 제 2 과정; 상기 제 2 과정에서 획득 정보가 침입적인 행위 정보이면 침입 탐지 처리하고, 획득 정보가 침입적인 행위 정보가 아니면 신분 정보, 이동 정보 및 침입적인 행위 정보 이외의 정보를 저장하는 제 3 과정; 및상기 제 1 과정 내지 상기 제3 과정을 수행한 후 시스템을 종료할 것인가 판단하여, 종료하기 원하지 않으면 상기 제 1 과정으로 복귀하고, 종료를 원하면 모든 과정을 종료하는 제 4 과정을 포함하는데 있다.
바람직하게, 상기 제 2 과정에서의 미행 처리는 이동할 호스트의 주소 정보 및 신분 정보를 획득하는 제 1 단계; 상기 제 1 단계에서 주소 정보와 신분 정보가 획득되면 이동할 호스트와 연결 설정을 시도하는 제 2 단계; 상기 제 2 단계에서 연결 설정이 시도되면 연결 가능한가 판단하여, 연결이 가능하지 못하면 상기 제 1 단계로 복귀하고, 연결이 가능하면 원격 쉘을 획득하는 제 3 단계; 상기 제 3 단계에서 원격 쉘을 획득하면 보안 관리 모듈을 전송하는 제 4 단계; 및 상기 제 4 단계에서 전송된 보안 관리 모듈을 실행하고 상기 제 1 단계로 복귀하는 제 5 단계를 포함함을 특징으로 한다.
바람직하게, 상기 제 3 과정의 침입 탐지 처리는 보안 정보 데이터베이스를 검색하는 제 1 단계; 침입자의 침입이 기존 침입과 유사한가 판단하는 제 2 단계; 상기 제 2 단계에서 기존 침입과 유사하면 보안 정책으로 침입에 대한 대응을 수행하는 제 3 단계; 상기 제 3 단계를 수행한 후 침입자의 신분 확인이 가능한가 판단하는 제 4 단계; 상기 제 4 단계에서 침입자의 신분 확인이 가능하면 신분 정보를 검색하는 제 5 단계; 상기 제 5 단계에서 신분 정보가 검색되면 신분 확인이 가능한가 판단하는 제 6 단계; 상기 제 6 단계에서 신분 확인이 가능하면 침입자의 신분을 관리자에게 알리는 제 7 단계; 상기 제 6 단계에서 신분 확인이 가능하지 않으면 신분 정보를 저장하는 제 8 단계; 상기 제 6 단계에서 신분 확인이 가능하지않으면 신분 확인 이외의 대응을 수행하는 제 9 단계; 및 상기 제 2 단계에서 기존 침입과 유사하지 않으면 보안 정보를 저장하는 제 10 단계를 포함함을 특징으로 한다.
이하, 본 발명의 바람직한 실시예에 대하여 첨부 도면을 참조하여 상세히 설명한다. 우선 각 도면의 구성요소들에 참조 부호를 부가함에 있어서, 동일한 구성요소들에 한해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호로 표기되었음에 유의하여야 한다.
도 1은 본 발명에 따른 미행 메커니즘 기반의 전산망 보안 관리 장치의 구성도이다.
도 1에 있어서, 본 발명은 네트워크 상에 분산된 에이젼트시스템(200)을 원격으로 관리하며, 에이젼트시스템(200)이 수집한 정보를 전달받아 분석하여 전체 네트워크에 대한 보안 관리를 담당하는 마스터시스템(100)과, 단일 호스트에 설치되어 해당 호스트에 대한 보안 관리를 담당하는 적어도 하나 이상의 에이젼트시스템(200)으로 구성된다.
마스터시스템(100)은 사용자에게 마스터시스템(100)에 대한 정책 설정, 보고서 확인 등의 기증을 제공하는 사용자인터페이스수단(110)과, 네트워크에 분산된 에이젼트시스템(200)의 위치를 파악하고 활성 또는 비활성의 상태를 확인하는 에이젼트관리수단(120)과, 단일 호스트에 대한 보안 관리 모니터링을 담당하고 에이젼트시스템(200)으로부터 전송된 모니터링 정보를 취합, 분석하는 모니터링관리수단(130)과, 에이젼트시스템(200)으로부터 전달된 모니터링 정보 중침입으로 추정되는 정보들을 전달받아 분석하는 침입탐지관리수단(140)과, 침입탐지관리수단(140)으로부터 침입 관련 정보들을 전달받아 침입자의 경로를 추적하는 침입추적관리수단(150)과, 사용자가 설정한 정책을 관리하고, 대응으로서 수행된 정책의 재설정을 반영하여 네트워크에 적용될 새로운 정책을 설정하는 정책처리수단(160)과, 정책처리수단(160)에 설정된 정책에 따라 보안상 위협이 발생하면 관리자에게 보고, 보고서 작성, 정책 재설정, 침입자 추적 등의 상황에 맞는 대응을 취하는 침입대응관리수단(170) 및 각 구성수단이 에이젼트시스템(200)으로부터 전송받은 보안 정보와 분석 결과를 저장하는 전역보안정보데이터베이스(180)를 포함한다.
한편, 에이젼트시스템(200)은 마스터시스템(100)과 에이젼트시스템(200)간의 정보 전송의 역활을 담당하며, 해당 정보를 메시지의 형태로 전달, 처리하는 메시지처리수단(210)과, 마스터시스템(100)으로부터 에이젼트시스템(200)에 설정된 정책을 직접 관리, 수행하는 정책처리수단(220)과, 침입자로 추정되는 사용자의 이동 경로를 따라 또 다른 에이젼트시스템을 설치하는 미행관리수단(230)과, 에이젼트시스템(200)이 설치된 단일 호스트 상에서 발생되는 모든 이벤트와 사용자에 대한 정보를 수집, 감시하는 시스템/네트워크모니터수단(240)과, 마스터시스템(100)의 지시에 따라 에이젼트시스템(200)이 설치된 단일 호스트 상의 침입자로 추정되는 사용자를 추적하는 침입추적수단(250)과, 시스템/네트워크모니터수단(240)이 수집한 모니터링 정보 중 침입으로 추정되는 정보들을 추출, 분석하는 침입탐지수단(260)과, 에이젼트시스템(200)에 설정된 보안 정책에 따라 보안상의 위협이 발생하는 경우 에이젼트시스템(200)이 설치된 단일 호스트의 관리자에게 통보, 취약점 보고, 단일 호스트에 대한 재설정, 정책의 재설정 등의 대응을 수행하는 지역침입대응처리수단(270) 및 에이젼트시스템(200)이 수집, 분석한 보안 관련 정보를 저장하는 지역보안정보데이터베이스(280)를 포함한다.
보다 상세하게 설명하면, 에이젼트시스템(200)은 침입자의 이동 경로를 따라 복제 과정을 거처 각 단일 호스트에 설치, 수행된다. 시스템/네트워크 모니터링, 침입 탐지, 침입 대응을 위한 정책 설정 및 보안 관리 현황 결과를 사용자인터페이스수단(110)을 통해 설정, 확인할 수 있다. 설정된 정책에 따라 모든 보안 관리가 수행되며 정책은 전체적으로 마스터시스템(100)의 정책관리수단(160)에 의해 관리되고 지역적으로 적용되어야 하는 정책들은 각 에이젼트시스템(200)으로 이동하여 정책처리수단(220)에 의해 관리, 수행된다. 에이젼트시스템(200)의 시스템/네트워크 모니터수단(240)에 의해 각 단일 호스트의 보안 관련 정보들이 수집되고, 보안 관련 정보들은 우선 에이젼트시스템(200)의 지역보안정보데이터베이스(280)에 저장되고 동시에 마스터시스템(100)에 전송되어 모니터링관리수단(130)에 의해 분석되어 전역보안정보데이터베이스(180)에 저장된다.
에이젼트시스템(200)의 침입탐지수단(260)은 호스트 모니터링 결과를 분석하여 침입을 발견하고 설정된 정책에 의해 지역침입대응처리수단(270)에 적절한 대응을 지시한다. 그 결과, 침입자에 대한 추적이 요구되는경우 침입추적수단(250)은 침입자의 이동 경로를 추적하여 침입자의 신분을 밝힌다. 마스터시스템(100)의 침입탐지관리수단(140)은 각 에이젼트시스템(200)으로부터 전송된 모니터링과 침입탐지 정보를 통합, 분석하여 각 에이젼트시스템(200)에서는 확인할 수 없는 침입을 발견하고 침입대응관리수단(170)을 통해 마스터시스템(100) 또는 각 에이젼트시스템(200)이 전역적인 정책에 의해 수행해야 할 지역적인 대응을 지시한다. 마스터시스템(100)의 침입추적관리수단(150)은 각 에이젼트시스템(200)이 더 이상 추적할 수 없는 침입자를 전역적인 정보를 가진 마스터시스템(100)이 추적할 수 있도록 한다.
한편, 에이젼트시스템(200)의 미행관리수단(230)은 침입자의 이동 정보, 신분 정보 등을 획득하는 경우 침입자의 이동 경로를 따라 에이젼트시스템(200)을 이동한 단일 호스트로 복제, 실행하는 역활을 담당한다. 마스터시스템(100)의 에이젼트관리수단(120)은 복제에 의해 설치된 다수의 에이젼트시스템(200)을 관리하는 역활을 한다. 마스터시스템(100)과 에이젼트시스템(200)간의 모든 정보는 메시지를 통하여 전송되고 메시지처리수단(210)에 의해 처리된다.
도 2는 도 1에 도시된 전산망 보안 관리 장치의 미행관리수단(230)의 세부 구성도이다.
도 2에 있어서, 에이젼트시스템(200)의 미행관리수단(230)은 침입자로 추정되는 사용자의 터미널을 감시하고, 사용자의 정보중 추출된 이동 정보, 신분 정보, 행위 정보를 추출하여, 추출된 소정 정보에 따라 행위를 취하기 위하여, 침입자로 추정되는 사용자의 터미널을 감시하는 원격모니터(231a)와, 사용자의 정보를 추출하는 행위필터(231b) 및 행위필터(231b)에서 걸러지는 정보를 이동 정보, 신분 정보, 행위에 따라 행위를 취하는 행위분석기(231c)를 포함하는 행위분석부(231)와,행위분석부(231)에서 전달받은 이동 정보, 신분 정보를 이용하여 에이젼트시스템(200)의 복제가 수행될 타킷(Target) 호스트를 정하고, 획득한 쉘을 이용하여 복제를 위한 모듈 전송, 컴파일, 실행 등을 수행하기 위하여, 행위분석부(231)에서 전달받은 신분 정보, 이동 정보를 이용하여 에이젼트시스템(200)의 복제가 수행될 타겟 호스트를 정하는 자기 복제 모듈 관리기(232a)와, 원격 쉘관리기(232c)가 획득한 쉘을 이용하여 복제를 위한 모듈 전송, 컴파일, 실행 등을 수행하는 원격 프로토콜 관리기(232b) 및 침입자의 신분 정보, 이동 정보를 이용하여 타겟 호스트의 원격 셀을 획득하고, 이후의 관리를 맡는 원격 쉘관리기(232c)를 포함하는 원격관리부(232)와, 에이젼트시스템(200)의 복제를 위해 타겟 호스트와 직접 연결을 설정하는 연결관리부(233)와, 타겟 호스트와의 접속 후 복제를 위한 모듈 전송과 컴파일, 실행 과정이 타겟 호스트의 OS버젼, 쉘 환경 등을 반영할 수 있도록 에이젼트시스템(200)과 타겟 호스트간의 환경에 대한 정보 전송 및 분석을 지원하는 환경커뮤니케이터부(234)와, 환경커뮤니케이터부(234)의 분석 결과, 타겟 호스트로의 에이젼트시스템(200)의 복제를 위한 환경을 설정하는 실행환경어댑터부(235)와, 행위분석부(231)의 행위분석기(231c)로부터 전송된 신분 정보와 행위 정보를 분석하여 침입자의 신분에 따른 행위 정보로 정리하여 기존의 침입자에 신분 정보, 침입 행위 시나리오 등이 저장되는 신분정보 데이터베이스(238)로 전송하는 신분분석부(236)와, 신분정보 데이터베이스(238)에 저장된 침입 행위 시나리오와 신분 정보를 신분분석부(236)로부터 전달된 정보와 비교하여 이미 확보된 침입자의 행위인지 새로운 침입자의 행위인지를 확인하는비교엔진부(237)와, 에이젼트시스템(200)이 설치된 단일 호스트의 속성과 포트를 모니터링하고, 모든 사용자의 디렉토리 정보 등을 모니터링하기 위하여, 에이젼트시스템(200)이 설치된 단일 호스트의 속성을 모니터링하는 속성수집기(239a)와, 에이젼트시스템(200)이 설치된 단일 호스트의 포트를 모니터링하는 포트스캐너(239b) 및 에이젼트시스템(200)이 설치된 단일 호스트의 모든 사용자의 디렉토리 정보 등을 모니터링하는 일반수집기(239c)를 포함하는 수집부(239)로 구성된다.
보다 상세하게 설명하면, 원격모니터(231a)를 통해 침입자로 추정되는 사용자의 터미널을 감시하며, 행위필터(231b)는 침입자가 수행하는 행위 중에서 침입자의 신분 정보와 다른 호스트로의 이동 행위, 침입 행위 등을 걸러내고 행위분석기(231c)를 통해 걸러진 정보의 속성을 분류한다. 다른 호스트로의 이동 정보 또는 다른 호스트 상에서의 신분 정보가 획득된 경우 자기복제모듈관리기(232a)를 통해 다른 호스트로의 보안 관리 모듈의 이동을 준비하고 환경커뮤니케이터부(234)와 통신하여 이동할 호스트의 환경을 점검한다. 환경커뮤니케이터부(234)는 실행환경어댑터부(235)에게 미행 메커니즘에 의한 이후의 명령이 이동한 호스트의 환경을 반영할 수 있도록 한다.
연결관리부(233)는 이동할 호스트에 대한 환경 정보를 가지고 연결을 수행하며, 원격쉘관리기(232c)는 이동한 호스트에서의 원격쉘을 획득하고 이를 관리하며, 이후의 보안 관리 모듈의 복제, 실행 등은 원격프로토콜관리기(232b)가 수행한다. 행위분석기(231c)의 분석 결과, 침입자의 신분 정보를 획득하게 된 경우 이들 정보는 신분분석부(236)를 통해 신분정보데이터베이스(238)로 전송되어 저장된다. 속성수집기(239a), 포트스캐너(239b), 일반수집기(239c)를 통해 이동한 호스트에서의 침입자에 대한 파일/디렉토리 정보, 신분 정보, 행위 정보 등을 수집한다. 이와 같은 정보들이 침입자에 대한 정보를 저장하고 있는 신분정보데이터베이스(238)의 내용과 비교엔진부(237)를 통해 비교 분석되어 침입자의 실제 신분을 밝히거나 해킹 정보 데이터베이스를 구축할 수 있다.
도 3은 본 발명에 따른 미행 메커니즘 기반의 전산망 보안 관리 방법의 흐름도이다.
도 3에 있어서, 모니터링 처리를 원하는가 판단하여(단계 S100), S100 단계에서 모니터링 처리를 원하지 않으면 정책 설정 및 조회를 수행하고(단계 S200), S100 단계에서 모니터링 처리를 원하면 사용자/시스템/네트워크를 모니터링한다(단계 S300). S300 단계에서의 모니터링 후 획득 정보가 신분 정보 또는 이동 정보인가 판단하여(단계 S400), S400 단계에서 획득 정보가 신분 정보 또는 이동 정보이면 미행 처리하고(단계 S500), 획득 정보가 신분 정보 또는 이동 정보가 아니면 침입적인 행위 정보인가 판단한다(단계 S600). S600 단계에서 획득 정보가 침입적인 행위 정보이면 침입 탐지 처리하고(단계 S700), 획득 정보가 침입적인 행위 정보가 아니면 신분 정보, 이동 정보 및 침입적인 행위 정보 이외의 정보를 저장한다(단계 S800). S200 단계, S500 단계, S700 단계 및 S800 단계를 각각 수행한 후 시스템을 종료할 것인가 판단하여(단계 S900), 종료하기 원하지 않으면 S100 단계로 복귀하고, 종료를 원하면 모든 과정을 종료한다.
도 4는 도 3에 도시된 전산망 보안 관리 방법의 미행 처리를 구현하는 세부흐름도이다.
도 4에 있어서, 미행 처리를 수행하기 위해서는 이동할 호스트의 주소 정보 및 신분 정보를 획득하고(단계 S501), S501 단계에서 주소 정보와 신분 정보가 획득되면 이동할 호스트와 연결 설정을 시도한다(단계 S502). S502 단계에서 연결 설정이 시도되면 연결 가능한가 판단하여(단계 S503), S503 단계에서 연결이 가능하지 못하면 S501 단계로 복귀하고, 연결이 가능하면 원격 쉘을 획득한다(단계 S504). S504 단계에서 원격 쉘을 획득하면 보안 관리 모듈을 전송하여(단계 S505), 보안 관리 모듈을 실행하고(단계 S506), S501 단계로 복귀한다.
도 5는 도 3에 도시된 전산망 보안 관리 방법의 침입 탐지 처리를 구현하는 세부 흐름도이다.
도 5에 있어서, 침입 탐지 처리를 수행하기 위해서는 전역보안정보데이터베이스(180)과 지역보안정보데이터베이스(280)를 검색하고(단계 S701), 침입자의 침입이 기존 침입과 유사한가 판단한다(단계 S702). S702 단계에서 기존 침입과 유사하면 보안 정책으로 침입에 대한 대응을 수행하고(단계 S703), 침입자의 신분 확인이 가능한가 판단한다(단계 S704). S704 단계에서 침입자의 신분 확인이 가능하면 신분 정보를 검색하고(단계 S705), S705 단계에서 신분 정보가 검색되면 신분 확인이 가능한가 판단한다(단계 S706).
S706 단계에서 신분 확인이 가능하면 침입자의 신분을 관리자에게 알리고(단계 S707), 신분 확인이 가능하지 않으면 신분 정보를 저장한다(단계 S708). S704 단계에서 신분 확인이 가능하지 않으면 신분 확인 이외의 대응을 수행하며(단계S709), S702 단계에서 기존 침입과 유사하지 않으면 보안 정보를 저장한다(단계 S710).
이와 같이, 본 발명의 상세한 설명에서는 구체적인 실시예에 관해 설명하였으나, 본 발명의 범주에서 벗어나지 않는 한도 내에서 여러가지 변형이 가능함은 물론이다. 그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 안되며 후술하는 특허청구범위 뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
결국, 본 발명에 의한 미행 메커니즘 기반의 전산망 보안 관리 장치 및 방법에 따르면 다음과 같은 이점이 발생한다.
즉, 단일 관리자 영역 또는 서로 협동 관계에 있는 관리자 영역에서 침입자에 의한 연속된 해킹 행위를 방지하여 전산망에 대한 안전성, 신뢰성을 보장하며, 침입자의 이동 경로 추적 및 역추적에 의해 침입자의 신분을 확인함으로써 전산망에 대한 추후의 공격을 방지할 수 있다.

Claims (11)

  1. 단일 호스트에 설치되어 해당 호스트에 대한 보안 관리를 담당하는 적어도 하나 이상의 에이젼트시스템; 및
    네트워크 상에 분산된 상기 에이젼트시스템을 원격으로 관리하며, 상기 에이젼트시스템이 수집한 정보를 전달받아 분석하여 전체 네트워크에 대한 보안 관리를담당하는 마스터시스템을 포함하는 것을 특징으로 하는 미행 메커니즘 기반의 전산망 보안 관리 장치.
  2. 제 1 항에 있어서, 상기 마스터시스템은
    사용자에게 정책 설정, 보고서 확인 등의 기증을 제공하는 사용자인터페이스수단;
    네트워크에 분산된 상기 에이젼트시스템의 위치를 파악하고 활성 또는 비활성의 상태를 확인하는 에이젼트관리수단;
    상기 단일 호스트에 대한 보안 관리 모니터링을 담당하고 상기 에이젼트시스템으로부터 전송된 모니터링 정보를 취합, 분석하는 모니터링관리수단;
    상기 에이젼트시스템으로부터 전달된 모니터링 정보 중 침입으로 추정되는 정보들을 전달받아 분석하는 침입탐지관리수단;
    상기 침입탐지관리수단으로부터 침입 관련 정보들을 전달받아 침입자의 경로를 추적하는 침입추적관리수단;
    사용자가 설정한 정책을 관리하고, 대응으로서 수행된 정책의 재설정을 반영하여 상기 네트워크에 적용될 새로운 정책을 설정하는 정책처리수단;
    상기 정책처리수단에 설정된 정책에 따라 보안상 위협이 발생하면 관리자에게 보고, 보고서 작성, 정책 재설정, 침입자 추적 등의 상황에 맞는 대응을 취하는 침입대응관리수단; 및
    상기 각 구성수단이 상기 에이젼트시스템으로부터 전송받은 보안 정보와 분석 결과를 저장하는 전역보안정보데이터베이스를 포함함을 특징으로 하는 미행 메커니즘 기반의 전산망 보안 관리 장치.
  3. 제 1 항에 있어서, 상기 에이젼트시스템은
    상기 마스터시스템과 상기 에이젼트시스템간의 정보 전송의 역활을 담당하며, 해당 정보를 메시지의 형태로 전달, 처리하는 메시지처리수단;
    상기 마스터시스템으로부터 상기 에이젼트시스템에 설정된 정책을 직접 관리, 수행하는 정책처리수단;
    침입자로 추정되는 사용자의 이동 경로를 따라 또 다른 에이젼트시스템을 설치하는 미행관리수단;
    상기 에이젼트시스템이 설치된 상기 단일 호스트 상에서 발생되는 모든 이벤트와 사용자에 대한 정보를 수집, 감시하는 시스템/네트워크모니터수단;
    상기 마스터시스템의 지시에 따라 상기 에이젼트시스템이 설치된 상기 단일 호스트 상의 침입자로 추정되는 사용자를 추적하는 침입추적수단;
    상기 시스템/네트워크모니터수단이 수집한 모니터링 정보 중 침입으로 추정되는 정보들을 추출, 분석하는 침입탐지수단;
    상기 에이젼트시스템에 설정된 보안 정책에 따라 보안상의 위협이 발생하는 경우 상기 에이젼트시스템이 설치된 상기 단일 호스트의 관리자에게 통보, 취약점 보고, 상기 단일 호스트에 대한 재설정, 정책의 재설정 등의 대응을 수행하는 지역침입대응처리수단; 및
    상기 에이젼트시스템이 수집, 분석한 보안 관련 정보를 저장하는 지역보안정보데이터베이스를 포함함을 특징으로 하는 미행 메커니즘 기반의 전산망 보안 관리 장치.
  4. 제 3 항에 있어서, 상기 미행관리수단은
    침입자로 추정되는 사용자의 터미널을 감시하고, 사용자의 소정 정보를 추출하여, 추출된 상기 소정 정보에 따라 행위를 취하는 행위분석부;
    상기 행위분석부에서 전달받은 상기 소정 정보를 이용하여 상기 에이젼트시스템의 복제가 수행될 타킷 호스트를 정하고, 획득한 쉘을 이용하여 복제를 위한 모듈 전송, 컴파일, 실행 등을 수행하는 원격관리부;
    상기 에이젼트시스템의 복제를 위해 상기 타겟 호스트와 직접 연결을 설정하는 연결관리부;
    상기 타겟 호스트와의 접속 후 복제를 위한 모듈 전송과 컴파일, 실행 과정이 상기 타겟 호스트의 OS버젼, 쉘 환경 등을 반영할 수 있도록 상기 에이젼트시스템과 상기 타겟 호스트간의 환경에 대한 정보 전송 및 분석을 지원하는 환경커뮤니케이터부;
    상기 환경커뮤니케이터부의 분석 결과, 상기 타겟 호스트로의 상기 에이젼트시스템의 복제를 위한 환경을 설정하는 실행환경어댑터부;
    기존의 침입자에 신분 정보, 침입 행위 시나리오 등이 저장되는 신분정보데이터베이스;
    상기 행위분석부의 행위분석기로부터 전송된 신분 정보와 행위 정보를 분석하여 침입자의 신분에 따른 행위 정보로 정리하여 상기 신분정보데이터베이스로 전송하는 신분분석부;
    상기 신분정보데이터베이스에 저장된 침입 행위 시나리오와 신분 정보를 상기 신분분석부로부터 전달된 정보와 비교하여 이미 확보된 침입자의 행위인지 새로운 침입자의 행위인지를 확인하는 비교엔진부; 및
    상기 에이젼트시스템이 설치된 상기 단일 호스트의 속성과 포트를 모니터링하고, 모든 사용자의 디렉토리 정보 등을 모니터링하는 수집부를 포함함을 특징으로 하는 미행 메커니즘 기반의 전산망 보안 관리 장치.
  5. 제 4 항에 있어서, 상기 소정 정보는
    사용자의 정보중 추출된 이동 정보, 신분 정보, 행위 정보임을 특징으로 하는 미행 메커니즘 기반의 전산망 보안 관리 장치.
  6. 제 4 항에 있어서, 상기 행위분석부는
    침입자로 추정되는 사용자의 터미널을 감시하는 원격모니터;
    사용자의 상기 소정 정보를 추출하는 행위필터; 및
    상기 행위필터에서 걸러지는 정보를 상기 소정 정보의 종류에 따라 행위를 취하는 행위분석기를 포함함을 특징으로 하는 미행 메커니즘 기반의 전산망 보안 관리 장치.
  7. 제 4 항에 있어서, 상기 원격관리부는
    상기 행위분석부에서 전달받은 신분 정보, 이동 정보를 이용하여 상기 에이젼트시스템의 복제가 수행될 상기 타겟 호스트를 정하는 자기 복제 모듈 관리기;
    침입자의 신분 정보, 이동 정보를 이용하여 상기 타겟 호스트의 원격 셀을 획득하고, 이후의 관리를 맡는 원격 쉘관리기; 및
    상기 원격 쉘관리기가 획득한 쉘을 이용하여 복제를 위한 모듈 전송, 컴파일, 실행 등을 수행하는 원격 프로토콜 관리기를 포함함을 특징으로 하는 미행 메커니즘 기반의 전산망 보안 관리 장치.
  8. 제 4 항에 있어서, 상기 수집부는
    상기 에이젼트시스템이 설치된 상기 단일 호스트의 속성을 모니터링하는 속성수집기;
    상기 에이젼트시스템이 설치된 상기 단일 호스트의 포트를 모니터링하는 포트스캐너; 및
    상기 에이젼트시스템이 설치된 상기 단일 호스트의 모든 사용자의 디렉토리 정보 등을 모니터링하는 일반수집기를 포함함을 특징으로 하는 미행 메커니즘 기반의 전산망 보안 관리 장치.
  9. 모니터링 처리를 원하는가 판단하여, 모니터링 처리를 원하지 않으면 정책설정 및 조회를 수행하고, 모니터링 처리를 원하면 사용자/시스템/네트워크를 모니터링하는 제 1 과정;
    상기 제 1 과정에서 모니터링 후 획득 정보가 신분 정보 또는 이동 정보인가 판단하여, 획득 정보가 신분 정보 또는 이동 정보이면 미행 처리하고, 획득 정보가 신분 정보 또는 이동 정보가 아니면 침입적인 행위 정보인가 판단하는 제 2 과정;
    상기 제 2 과정에서 획득 정보가 침입적인 행위 정보이면 침입 탐지 처리하고, 획득 정보가 침입적인 행위 정보가 아니면 신분 정보, 이동 정보 및 침입적인 행위 정보 이외의 정보를 저장하는 제 3 과정; 및
    상기 제 1 과정 내지 상기 제3 과정을 수행한 후 시스템을 종료할 것인가 판단하여, 종료하기 원하지 않으면 상기 제 1 과정으로 복귀하고, 종료를 원하면 모든 과정을 종료하는 제 4 과정을 포함하는 것을 특징으로 하는 미행 메커니즘 기반의 전산망 보안 관리 방법.
  10. 제 9 항에 있어서, 상기 제 2 과정에서의 미행 처리는
    이동할 호스트의 주소 정보 및 신분 정보를 획득하는 제 1 단계;
    상기 제 1 단계에서 주소 정보와 신분 정보가 획득되면 이동할 호스트와 연결 설정을 시도하는 제 2 단계;
    상기 제 2 단계에서 연결 설정이 시도되면 연결 가능한가 판단하여, 연결이 가능하지 못하면 상기 제 1 단계로 복귀하고, 연결이 가능하면 원격 쉘을 획득하는 제 3 단계;
    상기 제 3 단계에서 원격 쉘을 획득하면 보안 관리 모듈을 전송하는 제 4 단계; 및
    상기 제 4 단계에서 전송된 보안 관리 모듈을 실행하고 상기 제 1 단계로 복귀하는 제 5 단계를 포함함을 특징으로 하는 미행 메커니즘 기반의 전산망 보안 관리 방법.
  11. 제 9 항에 있어서, 상기 제 3 과정의 침입 탐지 처리는
    보안 정보 데이터베이스를 검색하는 제 1 단계;
    침입자의 침입이 기존 침입과 유사한가 판단하는 제 2 단계;
    상기 제 2 단계에서 기존 침입과 유사하면 보안 정책으로 침입에 대한 대응을 수행하는 제 3 단계;
    상기 제 3 단계를 수행한 후 침입자의 신분 확인이 가능한가 판단하는 제 4 단계;
    상기 제 4 단계에서 침입자의 신분 확인이 가능하면 신분 정보를 검색하는 제 5 단계;
    상기 제 5 단계에서 신분 정보가 검색되면 신분 확인이 가능한가 판단하는 제 6 단계;
    상기 제 6 단계에서 신분 확인이 가능하면 침입자의 신분을 관리자에게 알리는 제 7 단계;
    상기 제 6 단계에서 신분 확인이 가능하지 않으면 신분 정보를 저장하는 제8 단계;
    상기 제 6 단계에서 신분 확인이 가능하지 않으면 신분 확인 이외의 대응을 수행하는 제 9 단계; 및
    상기 제 2 단계에서 기존 침입과 유사하지 않으면 보안 정보를 저장하는 제 10 단계를 포함함을 특징으로 하는 미행 메커니즘 기반의 전산망 보안 관리 방법.
KR10-2001-0045483A 2001-07-27 2001-07-27 미행 메커니즘 기반의 전산망 보안 관리 장치 및 방법 KR100424723B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0045483A KR100424723B1 (ko) 2001-07-27 2001-07-27 미행 메커니즘 기반의 전산망 보안 관리 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0045483A KR100424723B1 (ko) 2001-07-27 2001-07-27 미행 메커니즘 기반의 전산망 보안 관리 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20010085056A true KR20010085056A (ko) 2001-09-07
KR100424723B1 KR100424723B1 (ko) 2004-03-27

Family

ID=19712621

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0045483A KR100424723B1 (ko) 2001-07-27 2001-07-27 미행 메커니즘 기반의 전산망 보안 관리 장치 및 방법

Country Status (1)

Country Link
KR (1) KR100424723B1 (ko)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010107886A (ko) * 2001-11-12 2001-12-07 이성섭 침입탐지 시스템 상의 무결성 검증 프로세스의 개선 및탐지된 파일의 복구·갱신 방법과 프로그램
KR20030033712A (ko) * 2001-10-24 2003-05-01 주식회사 김정훈시큐어 해커 침입에 따른 마스터 및 에이전트 모드의 집단방어 방법
KR100422807B1 (ko) * 2001-09-05 2004-03-12 한국전자통신연구원 정책기반 네트워크 보안제어를 위한 보안 게이트웨이 장치및 그 동작 방법
KR100426317B1 (ko) * 2002-09-06 2004-04-06 한국전자통신연구원 패킷 워터마크 삽입 기법을 이용한 실시간 공격 연결역추적 시스템 및 그 구현 방법
KR100439169B1 (ko) * 2001-11-14 2004-07-05 한국전자통신연구원 코드의 이동성을 적용한 세션 정보 관리를 통한 공격자 역추적 방법
KR100450770B1 (ko) * 2002-11-02 2004-10-01 한국전자통신연구원 보안 네트워크에서의 공격자 역추적 및 공격 차단 시스템및 방법
KR100468232B1 (ko) * 2002-02-19 2005-01-26 한국전자통신연구원 분산된 침입탐지 에이전트와 관리자 시스템을 이용한네트워크 기반 침입자 역추적 시스템 및 그 방법
KR100474155B1 (ko) * 2002-05-14 2005-03-08 한국전자통신연구원 네트워크의 취약성 분석 시스템 및 방법
KR100523483B1 (ko) * 2002-10-24 2005-10-24 한국전자통신연구원 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법
US7487368B2 (en) 2003-07-25 2009-02-03 Fuji Xerox Co., Ltd. Illegal communication detector, illegal communication detector control method, and storage medium storing program for illegal communication detector control
KR20220059435A (ko) * 2020-11-02 2022-05-10 성균관대학교산학협력단 클라우드 기반 보안 서비스에서 보안 관리 자동화를 수행하는 방법 및 시스템

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030027646A (ko) * 2001-09-27 2003-04-07 주식회사 시큐브 하이브리드 방식의 보안 취약성 진단 장치 및 그 방법

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2706652B1 (fr) * 1993-06-09 1995-08-18 Alsthom Cge Alcatel Dispositif de détection d'intrusions et d'usagers suspects pour ensemble informatique et système de sécurité comportant un tel dispositif.
JP3737594B2 (ja) * 1997-01-28 2006-01-18 株式会社日立コミュニケーションテクノロジー ネットワーク管理システム、セキュリティ管理装置およびセキュリティ管理方法
KR20000010253A (ko) * 1998-07-31 2000-02-15 최종욱 조정자 에이젼트를 이용한 침입 탐지 시스템 및 침입 탐지 시스템의 침입 탐지 모듈
KR100310860B1 (ko) * 1998-12-17 2001-11-22 이계철 실시간침입탐지시스템에서의에이전트구조를이용한실시간침입탐지방법
KR100332891B1 (ko) * 1999-04-07 2002-04-17 이종성 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템
KR100647413B1 (ko) * 1999-12-18 2006-11-17 주식회사 케이티 중앙 집중식 보안시스템을 위한 방화벽 코드 발생 장치 및그 방법

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100422807B1 (ko) * 2001-09-05 2004-03-12 한국전자통신연구원 정책기반 네트워크 보안제어를 위한 보안 게이트웨이 장치및 그 동작 방법
KR20030033712A (ko) * 2001-10-24 2003-05-01 주식회사 김정훈시큐어 해커 침입에 따른 마스터 및 에이전트 모드의 집단방어 방법
KR20010107886A (ko) * 2001-11-12 2001-12-07 이성섭 침입탐지 시스템 상의 무결성 검증 프로세스의 개선 및탐지된 파일의 복구·갱신 방법과 프로그램
KR100439169B1 (ko) * 2001-11-14 2004-07-05 한국전자통신연구원 코드의 이동성을 적용한 세션 정보 관리를 통한 공격자 역추적 방법
KR100468232B1 (ko) * 2002-02-19 2005-01-26 한국전자통신연구원 분산된 침입탐지 에이전트와 관리자 시스템을 이용한네트워크 기반 침입자 역추적 시스템 및 그 방법
KR100474155B1 (ko) * 2002-05-14 2005-03-08 한국전자통신연구원 네트워크의 취약성 분석 시스템 및 방법
KR100426317B1 (ko) * 2002-09-06 2004-04-06 한국전자통신연구원 패킷 워터마크 삽입 기법을 이용한 실시간 공격 연결역추적 시스템 및 그 구현 방법
KR100523483B1 (ko) * 2002-10-24 2005-10-24 한국전자통신연구원 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법
KR100450770B1 (ko) * 2002-11-02 2004-10-01 한국전자통신연구원 보안 네트워크에서의 공격자 역추적 및 공격 차단 시스템및 방법
US7487368B2 (en) 2003-07-25 2009-02-03 Fuji Xerox Co., Ltd. Illegal communication detector, illegal communication detector control method, and storage medium storing program for illegal communication detector control
KR20220059435A (ko) * 2020-11-02 2022-05-10 성균관대학교산학협력단 클라우드 기반 보안 서비스에서 보안 관리 자동화를 수행하는 방법 및 시스템

Also Published As

Publication number Publication date
KR100424723B1 (ko) 2004-03-27

Similar Documents

Publication Publication Date Title
CN103391216B (zh) 一种违规外联报警及阻断方法
KR100351306B1 (ko) 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법
KR100456635B1 (ko) 분산 서비스 거부 공격 대응 시스템 및 방법
CN1643876B (zh) 用于降低网络入侵检测系统的误报率的方法和系统
KR100424723B1 (ko) 미행 메커니즘 기반의 전산망 보안 관리 장치 및 방법
US20080096526A1 (en) Apparatus and a security node for use in determining security attacks
TW200424845A (en) Method and system for responding to a computer intrusion
CN114006723B (zh) 基于威胁情报的网络安全预测方法、装置及系统
CN105378745A (zh) 基于安全问题禁用和启用节点
CN111556473A (zh) 一种异常访问行为检测方法及装置
CN113411295A (zh) 基于角色的访问控制态势感知防御方法及系统
CN114707144A (zh) 虚拟机逃逸行为检测方法及装置
JP4843546B2 (ja) 情報漏洩監視システムおよび情報漏洩監視方法
KR100310860B1 (ko) 실시간침입탐지시스템에서의에이전트구조를이용한실시간침입탐지방법
CN115834205A (zh) 一种监控系统违规外联告警系统
KR20130033161A (ko) 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템
EP2911362B1 (en) Method and system for detecting intrusion in networks and systems based on business-process specification
KR101662530B1 (ko) 호스트의 악성 도메인 접근 탐지와 차단 시스템, 및 그 방법
CN111881384B (zh) 违规外联的取证方法、系统和存储介质
KR100439169B1 (ko) 코드의 이동성을 적용한 세션 정보 관리를 통한 공격자 역추적 방법
KR100503772B1 (ko) 유틸리티 방식으로 데이터베이스 서버에 접속하여 수행되는작업을 감시하는 모니터링 시스템 및 방법
KR20070008804A (ko) 호스트 기반의 보안 시스템 및 그를 이용한 보안 서비스제공 방법
CN100424609C (zh) 分析和处理来自网络入侵检测系统的警报的方法和系统
KR100464567B1 (ko) 센서를 이용한 액티브 네트워크 침입패킷 대응방법
CN113132389A (zh) 一种网络安全监测系统

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120111

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20140228

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20150217

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20160226

Year of fee payment: 13

LAPS Lapse due to unpaid annual fee