KR20030033383A - 보안 서비스 시스템 및 그 운영 방법 - Google Patents

보안 서비스 시스템 및 그 운영 방법 Download PDF

Info

Publication number
KR20030033383A
KR20030033383A KR1020010065130A KR20010065130A KR20030033383A KR 20030033383 A KR20030033383 A KR 20030033383A KR 1020010065130 A KR1020010065130 A KR 1020010065130A KR 20010065130 A KR20010065130 A KR 20010065130A KR 20030033383 A KR20030033383 A KR 20030033383A
Authority
KR
South Korea
Prior art keywords
abnormal operation
pcs
session
data
specific
Prior art date
Application number
KR1020010065130A
Other languages
English (en)
Inventor
한대성
신명철
Original Assignee
주식회사 윈스테크넷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스테크넷 filed Critical 주식회사 윈스테크넷
Priority to KR1020010065130A priority Critical patent/KR20030033383A/ko
Publication of KR20030033383A publication Critical patent/KR20030033383A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 온라인 상의 서비스 시스템 및 이의 운영 방법에 관한 것으로써, 특히 온라인 상의 인트라넷 상에서의 인가되지 않은 불법 침입(특히, 해킹) 혹은, 비정상적인 동작을 지속적으로 감시하고, 이에 대응할 수 있도록 함으로써 컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 방지할 수 있도록 한 시스템 및 이의 운영 방법을 제공하고자 한 것이다.
이를 위해 본 발명의 보안 시스템을 이용한 서비스 방법은 감시부를 통해 특정 인트라넷의 내부에 구축된 각 PC의 비정상적인 동작 발생을 지속적으로 감시하는 단계; 상기 과정에서 특정 PC의 비정상적인 동작 발생이 확인될 경우 검색부를 통해 해당 PC에 접속된 여타 PC와의 상호간 세션을 확인하는 단계; 상기 확인된 세션에 대한 데이터를 기억함과 더불어 해당 세션이 발생된 인접 시간별로의 소팅을 수행하여 상기 세션의 데이터와 동일한 데이터의 교류가 이루어진 세션으로 접속되었던 각 PC를 검색하는 단계; 상기 검색된 각 PC의 내역 및 해당 PC의 비정상적인 동작 내역 정보를 관리 서버로 통보하는 단계:와 같은 일련의 과정이 진행되어 수행됨을 제시한다.

Description

보안 서비스 시스템 및 그 운영 방법{service system for security and method thereof}
본 발명은 온라인 상에서의 서비스 방법에 관한 것으로써, 특히 온라인 상의 인트라넷 상에서의 인가되지 않은 불법 침입(특히, 해킹) 혹은, 비정상적인 동작을 지속적으로 감시하고, 이에 대응할 수 있도록 함으로써 컴퓨터 시스템의 비정상적인 사용, 오용, 남용 등을 방지할 수 있도록 한 시스템 및 이의 운영 방법에 관한 것이다.
현재, 인터넷(internet) 환경의 급격한 발달로 인해 각 개인은 필요로하는 정보를 인터넷 환경 내에서 자유롭게 취득하거나 전송할 수 있게 되었고, 각 기업체에서도 원거리 상에 위치되어 있다 하더라도 상기한 인터넷을 통해 각종 자료의 공유가 가능하게 되었다.
하지만, 상기한 바와 같이 각종 정보가 인터넷 환경 내에서 자유롭게 전달 및 취득이 가능함에 따라 각 개인 정보의 오용 및 남용이 급증하게 되었을 뿐 아니라 특히, 각 기업체에서는 중요한 정보 데이터의 유출이 증가됨에 따라 보안의 중요성이 점차 대두되고 있다.
이에 최근에는 방화벽과 같이 인가하지 않은 시스템으로부터 접속을 방지하기 위한 침입 방지 시스템을 각 네트워크 상에 설치함으로써 정보의 유출을 최대한 방지할 수 있도록 하였다.
그러나, 상기와 같은 방화벽은 인터넷망과 각 기업체에서 사용하는 인트라넷(intranet) 사이에 설치되어 상기 인터넷망을 통해 인트라넷에 접속하는 비정상적인 접속을 방지하거나 혹은, 인트라넷을 사용하는 각 고객이 인터넷에 접속할 경우 정보의 유출을 방지하는 역할만을 수행할 수 밖에 없음에 따라 인트라넷 내부에서 발생되는 각종 인가되지 않은 행위 및 정보의 유출은 방지하지 못하였던 문제점이 있었다.
특히, 최근의 해킹 방법이 발원지의 추적을 방지하기 위해 접속 IP(InternetProtocol)을 속인 상태로써 인트라넷의 내부로 혹은, 상기 인트라넷 내부에서 인트라넷 외부(예컨대, 여타의 인트라넷을 구성하는 네트워크나 인터넷망 등)로 침입하는 방법이 주로 발생되고 있음을 고려할 때 최종 해킹의 공격 대상이된 네트워크는 해킹의 발원지를 단순히 접속 IP 및 이 IP의 정보만 확인할 수 있었음에 따라 최초의 해킹 시도 네트워크를 알 수 없었던 문제점이 있었다.
즉, 인트라넷 내부에 구축된 다수 사용자의 네트워크를 경유한 해킹이 진행될 경우 상기 경유지로 사용되었던 네트워크의 입장에서는 해킹을 시도하지 않았다는 증거 자료가 없는 이상 상기한 해킹을 통해 서버의 피해를 입은 네트워크 업체로부터 공연한 오해와 분쟁의 피해를 입을 수 밖에 없었던 것이다.
본 발명은 전술한 바와 같은 종래 문제점을 해결하기 위해 안출한 것으로써, 특히 온라인 상의 인트라넷 상에서의 인가되지 않은 불법 침입(특히, 해킹) 혹은, 비정상적인 동작의 발생시 이의 계속적인 동작을 차단하고, 그 시발점의 역추적이 가능할 수 있도록 한 시스템 및 이의 운영 방법을 제공하는데 그 목적이 있다.
도 1 은 본 발명에 따른 보안 시스템을 개략적으로 나타낸 구성도
도 2 는 본 발명에 따른 보안 시스템의 운영 과정을 개략적으로 나타낸 순서도
도 3 은 본 발명의 보안 시스템을 구성하는 침입탐지 시스템의 감시부를 통해 확인된 각종 정보가 디스플레이된 화면을 나타낸 상태도
도 4 는 도 3의 화면에서 관리자가 특정 PC간의 주고받는 데이터에 대한 보다 구체적인 정보를 알고자 할 경우 제공되는 화면을 나타낸 상태도
도 5 는 특정 PC의 부하량을 관리자가 쉽게 확인할 수 있도록 상기 부하량의 변동사항이 그래프로 디스플레이된 화면을 나타낸 상태도
도 6 은 본 발명에 따른 보안 시스템의 운영 과정 중 침입경로의 추적을 수행하는 방법에 관한 일예를 나타낸 순서도
도 7 내지 도 9는 본 발명에 따른 보안 시스템의 운영 과정 중 특정 PC를 경유지로 하여 여타의 PC에 비정상적으로 접속된 상태의 설명을 위해 나타낸 인터페이스 화면의 상태도
도 10 은 본 발명에 따른 보안 시스템의 다른 구축 예를 개략적으로 나타낸구성도
도 11 은 본 발명에 따른 보안 시스템의 또 다른 구축 예를 개략적으로 나타낸 구성도
도 12 는 본 발명에 따른 보안 시스템의 또 다른 구축 예를 개략적으로 나타낸 구성도
도면의 주요부분에 대한 부호의 설명
100, PC200, 관리 서버
210. 인터페이스부220. 정보 저장부
300, 800, 900. 침입탐지 시스템
310. 감시부320. 검색부
330. 차단부340. 통보부
410, 420, 430, 440, 450. 허브
510, 520, 530, 540. 라우터
600, 700. 관련사가 가지는 네트워크
상기한 목적을 달성하기 위한 본 발명의 형태는 최소 하나 이상의 허브에 접속되어 네트워킹 가능하게 연결된 다수의 PC; 상기 허브에 의해 각 PC가 상호 연동되어 동작하는 네트워크 내에 구비되는 또 다른 허브; 상기 또 다른 허브를 통해 각 PC와 연결되며, 상기 각 PC의 상태를 온라인 상에서 통합적으로 관리하고 제어하는 관리 서버; 상기 또 다른 허브를 통해 각 PC 및 상기 관리 서버와 연결되며,상기 각 PC간의 비정상적인 동작 발생 여부 및 해당 PC에 관련된 각종 정보를 확인함과 더불어 비정상적인 동작 발생의 원인이 되는 데이터를 전송한 각 PC의 전송 경로를 추적하여 그 결과를 통보하는 침입탐지 시스템:이 포함되어 구축됨을 특징으로 하는 보안 시스템을 제시한다.
그리고, 상기한 형태에 따른 본 발명의 운영 방법으로 감시부를 통해 특정 인트라넷의 내부에 구축된 각 PC의 비정상적인 동작 발생을 지속적으로 감시하는 단계; 상기 과정에서 특정 PC의 비정상적인 동작 발생이 확인될 경우 검색부를 통해 해당 PC에 접속된 여타 PC와의 상호간 세션을 확인하는 단계; 상기 확인된 세션에 대한 데이터를 기억함과 더불어 해당 세션이 발생된 인접 시간별로의 소팅을 수행하여 상기 세션의 데이터와 동일한 데이터의 교류가 이루어진 세션으로 접속되었던 각 PC를 검색하는 단계; 상기 검색된 각 PC의 내역 및 해당 PC의 비정상적인 동작 내역 정보를 관리 서버로 통보하는 단계:가 포함되어 진행되는 방법을 제시한다.
이하, 첨부된 도면을 참조하여 본 발명의 보안 서비스를 위한 시스템 및 그 운영 방법에 관한 실시예를 도시한 도 1 내지 도 12를 참고로 하여 보다 상세히 설명하면 다음과 같다.
우선, 첨부된 도 1는 본 발명의 보안 서비스를 위한 시스템을 개략적으로 나타내고 있다.
즉, 본 발명의 보안 서비스를 위한 시스템은 크게 네트워킹 연결된 다수의 PC(100)와, 상기 각 PC의 상태를 온라인 상에서 통합적으로 관리하는 관리서버(200)와, 상기 각 PC 및 관리 서버와 연동하며, 각 PC간의 비정상적인 동작 발생을 확인함과 더불어 이의 확인시 그 접속 경로를 역추적하기 위한 침입탐지 시스템(IDS;Intrusion Detection System)(300)을 포함하여 구축된다.
이 때, 상기 각 PC는 최소 하나 이상의 허브(Hub)(410)에 접속되어 네트워킹 가능하게 연결된다.
그리고, 상기 관리 서버(200) 및 침입탐지 시스템(300)은 또 다른 허브(420)에 의해 상기 각 PC(100)와 연결됨으로써 상기 각 PC의 상태를 온라인 상에서 통합적으로 관리할 수 있게 됨과 더불어 상기 각 PC의 상태 및 각 PC간 접속 정보를 지속적으로 감시할 수 있게 된다.
또한, 상기와 같이 구성되는 인트라넷망 내의 보안 시스템은 라우터(Router)(510)에 의해 인터넷망에 연결되는데, 이 때의 라우터(510)는 관리 서버(200) 및 침입탐지 시스템(300)이 연결된 허브(420)에 연결하여 구성한다.
그리고, 관리 서버(200)는 각 PC(100)의 비정상적인 동작 발생에 따른 관리자의 수동 조작을 위한 인터페이스부(210)와, 상기 침입탐지 시스템(300)에 의해 검색된 각 PC(100)의 상태 정보 및 각 PC(100)간 접속 세션의 데이터 정보와 여타의 각 구성부분이 수행한 각종 동작 내역을 지속적으로 기록하여 저장해두기 위한 정보 저장부(220)를 가진다.
그리고, 침입탐지 시스템(300)은 크게 감시부(310)와 검색부(320)가 포함되어 구성된다.
이 때, 상기 감시부(310)는 각 PC(100)의 비정상적인 동작 발생 여부를 지속적으로 감시함과 더불어 각 PC 상호간 접속이 이루어졌을 경우 이 접속에 따른 세션의 데이터를 실시간적으로 모니터링하여 관리 서버(200)를 구성하는 정보 저장부(220)에 기억시키는 역할을 수행하고, 검색부(320)는 상기 감시부(310)를 통해 각 PC(100) 중 특정 PC의 비정상적인 동작 발생이 확인될 경우 이 PC와 접속하고 있는 여타 PC와의 세션에 대한 데이터를 확인함과 더불어 상기 확인된 데이터가 해당 PC의 비정상적인 동작을 발생시킨 원인임으로 판단될 경우 동일 데이터의 전송이 이루어졌던 각 PC간 세션을 검색하는 역할을 수행한다.
이와 함께 본 발명에서는 상기와 같이 구성되는 침입탐지 시스템(300)에 상기 검색부(320)를 통해 확인된 특정 PC간의 비정상적인 동작 발생시 해당 PC 및 이 PC에 접속되어 있는 여타의 PC 상호간 세션을 차단하기 위한 차단부(330)가 더 포함되어 구성하고, 이에 추가하여 각 PC(100) 중 특정 PC간의 비정상적인 동작 발생시 해당 내역을 전체 PC를 관리하는 관리자에게 통보하는 통보부(340)가 더 포함하여 구축함을 그 실시예로써 제시한다.
이하, 전술한 바와 같은 본 발명 보안 시스템을 이용한 서비스 방법에 따른 일 실시예를 첨부된 도 2의 순서도를 참조하여 보다 구체적으로 설명하기로 한다.
우선, 특정 인트라넷 내부에 설치되어 이 인트라넷을 구축하는 각종 네트워크를 관리하는 관리 서버(200)는 침입탐지 시스템(300)을 통해 해당 네트워크 내부의 각 PC(100)의 상태를 실시간적으로 모니터링하도록 제어한다.
이에 상기 침입탐지 시스템(300)을 구성하는 감시부(310)는 해당 네트워크 내부의 각 PC(100) 상태를 지속적으로 모니터링하여 각 PC간 접속이 발생되었을 경우 이 접속 세션에 대한 데이터, 사용시간, 데이터량 등을 지속적으로 취득함과 더불어 특정 PC의 비정상적인 동작 발생 여부 및 접속 PC간 주고받는 데이터의 이상 유무를 지속적으로 확인하고, 상기한 과정을 통해 수집한 정보는 지속적으로 관리 서버(200)로 전달되어 정보 저장부(220)에 등록된다.
도시한 도 3의 화면은 상기한 감시부를 통해 확인된 각 PC의 상태 및 각 PC간 주고받는 데이터의 내용를 관리자가 쉽게 확인할 수 있도록 인터페이스 화면상에 디스플레이되는 내용을 나타내고 있으며, 도 4의 화면은 상기 과정에서 관리자가 특정 PC간의 주고받는 데이터에 대한 보다 구체적인 정보를 알고자 할 경우 제공되는 화면의 상태이다.
이 과정에서 감시부(310)는 네트워크 연결된 특정 PC(100)가 비정상적인 동작 예컨대, 특정 PC(100)가 과도한 데이터 사용으로인한 부하량이 평균적으로 사용되었던 부하량에 비해 과도하게 증가되어 트래픽(traffic)을 발생시키거나, 동일한 데이터 전송량을 가지는 각 PC간 데이터 전송이 수행되는 상태를 지속적으로 모니터링하게 된다.
뿐만 아니라, 감시부(310)는 통상적인 해킹 여부의 판단을 위해 사용되는 각종 방법을 이용하여 확인된 해킹의 시도 여부도 지속적으로 모니터링하게 된다.
도시한 도 5의 화면은 상기한 각종 방법 중 특정 PC의 부하량을 관리자가 쉽게 확인할 수 있도록 상기 부하량의 변동사항을 그래프로 디스플레이하는 화면의 일 예를 나타내고 있다.
만일, 상기한 각 방법을 통해 특정 PC(100)가 비정상적인 동작을 발생하게되면 침입탐지 시스템(300)은 검색부(320)를 제어하여 그 침입경로의 추적을 수행하게 된다.
이와 함께, 상기 비정상적인 동작 발생의 내역에 대한 관련 정보는 관리 서버(200)의 정보 저장부(220)로 전달되어 저장된다.
이 때, 정보 저장부(220)에 저장되는 관련 정보라 함은 해당 PC(100)가 연결된 서버의 IP, 해당 PC의 IP, 사용자정보, 데이터 사용량, 사용시간, 해당 세션이 접속되었던 최종 PC까지의 경유수, 해당 세션이 이동한 경로 등이 될 수 있는데, 반드시 상기한 정보가 모두 포함되어야 하는 것만은 아닐 뿐 아니라 예시하지 않은 정보가 더 추가되더라도 상관은 없다.
하기에서는 상기한 바와 같은 과정 중 검색부(320)를 통해 침입경로의 추적을 수행하는 방법에 관하여 도 6의 순서도를 참고하여 설명하기로 한다.
우선, 비정상적인 동작이 발생된 PC(100)와 접속되어 있는 타 사용자의 PC를 확인함과 더불어 상기 접속된 PC간의 세션(session)에 대한 데이터(data 혹은, command)를 확인한다.
이와 함께 상기 확인된 데이터를 기억하여 임시 저장해둠과 더불어 해당 세션이 발생된 시간별로의 소팅(sorting)을 수행하여 상기 세션의 데이터와 동일한 데이터를 가지는 세션이 접속되었던 각 PC(100)의 정보를 추출한다.
이후, 상기 추출한 각 PC(100)의 정보를 토대로 최초 해당 데이터가 포함된 세션이 접속되었던 PC를 확인하여 상기 PC가 비정상적인 접속을 시도한 최초의 해킹시도 PC로 인지함과 더불어 이 PC의 IP주소와 경유하였던 수를 확인하여 정보 저장부에 등록함과 더불어 이의 내역을 관리 서버(200)로 전송한다.
예컨대, 비정상적인 동작이 발생된 PC와 접속되어 있는 타 사용자의 PC만 상기 비정상적인 동작을 발생시키는 데이터를 전달하기 위해 세션을 주고받았다면 상기 PC의 IP와 함께 경유수(경로)는 1로 확인함과 더불어 이의 내역은 통보부(340)를 통해 관리 서버(200)로 전달하여 관리자가 알 수 있도록 인터페이스 화면을 통해 디스플레이한다.
만일, 비정상적인 동작을 발생시키는 데이터를 전달한 세션이 상기한 타 사용자의 PC 뿐만 아니라 여타의 사용자 PC 및 또 다른 사용자의 PC간 접속에서도 발생되었음이 확인될 경우 이 확인된 각 PC의 접속순서를 확인하여 최초 접속이 시도된 PC의 IP를 취득함과 더불어 그 경유수는 3으로 확인하여 관리 서버(200)의 인터페이스 화면을 통해 디스플레이하는 것이다.
이는, 도시한 도 3의 “경로”라고 지칭된 란에 기재된 내용과 같다.
물론, 상기한 과정에서 비정상적인 동작이 발생된 PC와 접속되어 있던 타 사용자 PC간의 접속 세션을 통해 확인된 데이터가 PC의 비정상적인 동작을 발생시킨 원인이 아닐 경우에는 해당 PC의 자체 오류로 판단하여 추가적인 동작은 수행하지 않는다.
그리고, 상술한 바와 같은 과정이 진행되는 도중 PC(100)의 비정상적인 동작을 발생시키는 데이터의 계속적인 경유 전파를 방지하기 위해 침입탐지 시스템(300)은 상기 비정상적인 동작이 발생된 PC가 현재 접속되어 있는 여타 PC간의 세션을 차단하여야 한다.
이는, 상기 침입탐지 시스템(300)을 구성하는 차단부(330)가 특정 시점에 세션 차단을 위한 시퀸스넘버(Sequence Number)와 리셋(RST) 신호를 양 PC로 동시에 송출함으로써 수행된다.
즉, 특정 시점에 양 PC에게 세션을 끊겠다는 데이터를 동시에 송출함으로써 상호간의 세션이 차단될 수 있도록 하는 것이다.
만일, 상기한 특정 PC의 이상증상 발생시 전술한 각 과정을 통해 관리 서버(200)로 해당 내역이 통보된 상태에서 상기 관리 서버(200)의 인터페이스부(210)를 통해 관리자에 의한 조작이 수행될 경우에는 이 관리자의 조작이 우선 순위로 인식되어 상기 관리자의 조작에 따른 제어가 이루어질 수 있도록 함이 바람직하다.
또한, 전술한 바와 같은 각 과정을 통해 취득한 모든 비정상적인 동작에 관련된 정보는 정보 저장부에 등록해둠으로써 추후 타 업체와의 해킹에 따른 논쟁이 발생될 경우 증빙자료로 사용될 수 있도록 한다.
한편, 본 발명의 보안 시스템을 구성하는 침입탐지 시스템(300)의 통보부(340)는 반드시 특정 PC(100)의 비정상적인 동작 발생시 이의 내역 확인을 통해 취득한 정보만을 관리 서버(200)로 통보하도록 제한되지는 않는다.
예컨대, 침입탐지 시스템(300)의 감시부(310)에 의해 확인되는 특정 PC의 경유수 정보를 지속적으로 확인하여 이 경유수가 2이상으로 확인될 경우 비정상적인 접근 가능성을 인지할 수 있도록 그 내용을 해당 관리자에게 통보할 수도 있다.
한편, 도시한 도 7 내지 도 9의 상태도는 전술한 본 발명의 일 실시예와 같은 각 PC의 비정상적인 동작이 비정상적으로 여타의 PC에 강제 접속하려고 시도될 경우 관리 서버의 관리자 인터페이스 화면상에 디스플레이되는 상태를 나타내고 있다.
이 때, 비정상적인 여타 PC로의 접속이라 함은 업무상의 연관이 없거나 혹은, 상호간의 접속이 없었던 각 PC간의 접속이 시도와, 암호화되어 보호되고 있는 PC로의 강제적인 접근 시도 등이 될 수 있는데, 반드시 이로만 한정되지는 않는다.
이를 참조하여 본 발명에 따른 보안 시스템의 운영 과정 중 비정상적인 접근을 시도한 경로의 추적을 수행하는 과정에 대한 다른 실시예에 따른 운영 방법을 보다 구체적으로 설명하면 하기와 같다.
우선, 도시한 도 7과 같이 IP(Internet Protocol)가 “61.33.41.232”(도면상 A120)를 사용하는 PC(혹은, 서버)가 “sniper135”(도면상 A110)라는 PC(혹은, 서버)에 telnet root ID(도면상 A140)로 접속하게 되면 침입탐지 시스템을 구성하는 감시부가 이 접속을 확인함과 동시에 관리 서버(200)를 통해 인터페이스부(210) 특히, 인터페이스 화면상에 디스플레이된다. 이 때의 인터페이스 화면상에 디스플레이되는 “경로(경유수)”라는 항목에는 1(도면상 A130)로 기재됨으로써 특별한 문제점을 발생시키지는 않는다.
하지만, 도시한 도 8과 같이 상기 “61.33.41.232”라는 IP를 가지는 PC가 상기 “sniper135”(도면상 A220)라는 IP를 이용하여 계속적으로 “61.33.41.140”(도면상 A210)을 IP로 가지는 PC(혹은, 서버)에 접속하게 되면 인터페이스 화면상에 디스플레이되는 “경로(경유수)”라는 항목에는 2가 기재됨과더불어 실질적인 사용 PC가 “61.33.41.232”를 IP로 가지는 PC임(도면상 A230)을 디스플레이하게 된다.
이 때의 실질적인 사용 PC를 확인하는 방법은 침입탐지 시스템(300)을 구성하는 검색부(320)에 의한 상호간의 PC가 연결된 세션의 비교를 통해 확인된다.
즉, 본 발명의 구성에 따른 침입탐지 시스템이 “61.33.41.232”를 IP로 가지는 PC와 “sniper135”를 IP로 가지는 PC간의 접속 상태를 지속적으로 감시하면서 상호간의 세션을 통한 데이터의 명령어를 기억해 둔 상태에서 상기 “sniper135”를 IP로 가지는 PC가 “61.33.41.140”을 IP로 가지는 PC에 접속하였을 경우 이 때의 세션을 통한 데이터의 명령어를 상기 기억해둔 명령어와 상호 비교하여 동일한 명령어일 경우 상기 “sniper135”를 IP로 가지는 PC는 경유지로 사용되고 있고, 실질적인 사용자는 “61.33.41.232”를 IP로 가지는 PC로써 인식하게 되는 것이다.
만일, 상기한 상태에서 “61.33.41.140”(도면상 A320)라는 IP를 가지는 PC가 “61.33.41.136”(도면상 A310)을 IP로 가지는 PC(혹은, 서버)에 접속하게 되면 인터페이스 화면상에 디스플레이되는 “경로(경유수)”라는 항목에는 3이 기재됨과 더불어 실질적인 사용 PC가 “61.33.41.232”를 IP로 가지는 PC임(도면상 A330)을 디스플레이하게 되며, 이 때의 상태는 도시한 도 9와 같다. 그리고, 이 때의 실질적인 사용 PC를 확인하기 위한 방법으로는 기 전술한 방법과 동일하다.
한편, 본 발명의 보안 시스템은 반드시 단일의 네트워크로 이루어진 인트라넷에서만 적용될 수 있는 것은 아니다.
즉, 도시한 도 10 내지 도 12의 구성과 같이 동일 네트워크가 아닌 여타의 관련사가 가지는 네트워크(600, 700)와 인트라넷망으로 연결될 수도 있다.
이의 경우 관리 서버(200)가 위치된 네트워크 내부에 별도의 허브(430) 및 라우터(520)를 더 설치함과 더불어 관련사가 가지는 네트워크 내부에도 라우터(530, 540) 및 허브(440, 450)를 상호 연결하여 설치하며, 상기 허브는 관련사 네트워크를 구성하는 각 PC(110, 120)에 각각 연결한다.
이에 추가하여 상기 관련사 네트워크의 허브(440, 450)에 별도의 침임탐지 시스템(800, 900)을 각각 설치하여 상기 관련사의 네트워크를 이루는 각 PC(110, 120)의 상태 및 상기 각 PC간의 접속 상태와 그 접속 경로의 확인을 수행하도록 구축한다.
예컨대, 상기 관련사가 동일 건물 내부와 같이 근거리에 위치되어 있다면 도시한 도 10과 같이 관리 서버(200)가 위치된 네트워크 내에 허브(430)를 추가로 설치하고, 이 허브(430)는 관련사가 가지는 네트워크 내부의 라우터(530)에 각각 연결시킴으로써 각 네트워크간 정보의 전달 및 공유가 가능하도록 구축함과 더불어 관련사의 네트워크 상에 설치되는 침입탐지 시스템(800)도 관리 서버(200)가 제어할 수 있도록 구축한다.
즉, 비정상적인 침입이 상기 관련사의 네트워크를 구성하는 특정 PC(110)를 경유하여 이루어졌다면 관리 서버(200)는 인트라넷 내부의 침입탐지 시스템(300)을 통해 확인된 정보와 상기 관련사의 네트워크 상에 설치된 침입탐지 시스템(800)으로부터 전달받은 관련 정보를 취합하여 비정상적인 접근 시도가 수행되었던 각 PC의 정보와 더불어 최초 상기 비정상적인 접근이 수행되었던 PC의 정보를 확인할 수 있게 된다.
반면, 상기 관련사가 타지방 혹은, 타지역과 같이 원거리에 위치된다면 도시한 도 11 같이 관리 서버(200)가 위치된 네트워크 내에 라우터(520)를 추가로 설치하고, 이 라우터는 관련사가 가지는 네트워크 내부의 라우터(540)에 연결 시킴으로써 각 네트워크간 정보의 전달 및 공유가 가능하도록 구축함과 더불어 관련사의 네트워크 상에 설치되는 침입탐지 시스템도 관리 서버가 제어할 수 있도록 구축한다.
이와 같은 구성은 관련사의 수 및 관련사의 위치에 따라 그 응용 설치가 가능하고, 도시한 도 12에서는 다른 한 실시예의 구성으로써 각 관련사가 기준이 되는 네트워크와 근거리에 위치됨과 더불어 타지역에 위치되었을 경우의 시스템 구축 상태를 나타내고 있다. 하지만, 반드시 도시된 구성으로만 시스템을 구축할 수 있는 것 만은 아니며, 본 발명의 실시예로써 제시되었던 허브가 라우터의 역할을 겸할 수 있도록 구성된 허브일 경우 본 발명의 실시예로 제시된 라우터의 생략이 가능하다.
즉, 전술한 바와 같은 본 발명에 따른 구성을 이용한다면 비정상적인 접근 시도 PC가 해당 인트라넷 내부에 위치되어 있을 경우 정확히 해당 PC를 확인할 수 있음이 가능하고, 상기 비정상적인 접근 시도 PC가 해당 인트라넷 외부에 위치되어 있다 하더라도 해당 인트라넷 내부의 최초 비정상적인 접근이 이루어졌던 PC와의 접속 세션 확인을 통해 인트라넷 외부의 서버 IP 및 해당 사용자의 IP 확인이 가능함으로써 추후, 해당 내용으로 인한 분쟁 발생시 책임을 회피할 수 있게 된다.
이상에서 설명한 바와 같이 본 발명에 따른 보안 시스템 및 그 운영 방법은 특정 업체가 운영하는 인트라넷 내부의 각 PC를 경유하여 좋지 않은 목적을 가진 상태로써 특정 서버에 접속하려고 할 경우 이의 차단과 더불어 그 근원지의 파악이 정확히 이루어질 수 있게 됨으로써 해킹을 통해 서버의 피해를 입은 타 업체로부터 공연한 오해와 분쟁을 방지할 수 있게 된 효과가 있다.

Claims (22)

  1. 각 PC의 비정상적인 동작 발생 여부를 지속적으로 감시며, 각 PC 상호간 접속이 이루어졌을 경우 이 접속에 따른 세션의 데이터를 실시간적으로 모니터링하여 감시하는 감시부;
    상기 감시부를 통한 특정 PC의 비정상적인 동작 발생이 확인될 경우 이 PC와 접속하고 있는 여타 PC와의 세션에 대한 데이터를 확인하여 동일 데이터의 전송이 이루어진 각 PC간 세션을 검색하여 해당 PC를 추출하는 검색부:가 포함되어 구축됨을 특징으로 하는 침입탐지 시스템.
  2. 제 1 항에 있어서,
    상기 검색부를 통해 확인된 특정 PC의 비정상적인 동작 발생시 상기 PC 및 이 PC에 접속되어 있는 여타의 PC 상호간 세션을 차단하는 차단부가 더 포함되어 구축됨을 특징으로 하는 침입탐지 시스템.
  3. 제 1 항에 있어서,
    상기 감시부를 통해 확인된 특정 PC간의 비정상적인 동작 발생시 해당 내역을 전체 PC를 관리하는 관리자에게 통보하는 통보부가 더 포함되어 구축됨을 특징으로 하는 침입탐지 시스템.
  4. 최소 하나 이상의 허브에 접속되어 네트워킹 가능하게 연결된 다수의 PC;
    상기 허브에 의해 각 PC가 상호 연동되어 동작하는 네트워크 내에 구비되는 또 다른 허브;
    상기 또 다른 허브를 통해 각 PC와 연결되며, 상기 각 PC의 상태를 온라인 상에서 통합적으로 관리하고 제어하는 관리 서버;
    상기 또 다른 허브를 통해 각 PC 및 상기 관리 서버와 연결되며, 상기 각 PC간의 비정상적인 동작 발생 여부 및 해당 PC에 관련된 각종 정보를 확인함과 더불어 비정상적인 동작 발생의 원인이 되는 데이터를 전송한 각 PC의 전송 경로를 추적하여 그 결과를 통보하는 침입탐지 시스템:이 포함되어 구축됨을 특징으로 하는 보안 시스템의 구조.
  5. 제 4 항에 있어서,
    허브에 의해 각 PC가 연결되어 구축되는 인트라넷망을 인터넷망에 연결시키는 라우터를 더 구비하고, 상기 라우터는 관리 서버 및 침입탐지 시스템을 각 PC가 연동하는 네트워크망에 연결하기 위한 또 다른 허브에 연결하여 구축함을 특징으로 하는 보안 시스템의 구조.
  6. 제 5 항에 있어서,
    각 PC가 연결되어 구축되는 인트라넷망에 별도의 허브를 더 추가하여 구축하고, 이 허브는 최소 하나 이상의 또 다른 인트라넷망에 구축되는 라우터에 연결하며, 상기 최소 하나 이상의 또 다른 인트라넷망 내부에는 각 PC의 비정상적인 동작 발생 여부 및 해당 PC에 관련된 각종 정보를 확인함과 더불어 비정상적인 동작 발생의 원인이 되는 데이터를 전송한 각 PC의 전송 경로를 추적하여 그 결과를 통보하는 침입탐지 시스템을 추가로 구비하여 구축함을 특징으로 하는 보안 시스템의 구조.
  7. 제 4 항에 있어서,
    침입 탐지 시스템은
    각 PC의 비정상적인 동작 발생 여부를 지속적으로 감시며, 각 PC 상호간 접속이 이루어졌을 경우 이 접속에 따른 세션의 데이터를 실시간적으로 모니터링하여 감시하는 감시부;
    상기 감시부를 통한 특정 PC의 비정상적인 동작 발생이 확인될 경우 이 PC와 접속하고 있는 여타 PC와의 세션에 대한 데이터를 확인하여 동일 데이터의 전송이 이루어진 각 PC간 세션을 검색하여 해당 PC를 추출하는 검색부:가 포함되어 구축됨을 특징으로 하는 보안 시스템의 구조.
  8. 제 7 항에 있어서,
    침입탐지 시스템에는
    상기 검색부를 통해 확인된 특정 PC의 비정상적인 동작 발생시 상기 PC 및 이 PC에 접속되어 있는 여타의 PC 상호간 세션을 차단하는 차단부가 더 포함되어구축됨을 특징으로 하는 보안 시스템의 구조.
  9. 제 7 항에 있어서,
    침입탐지 시스템에는
    상기 감시부를 통해 확인된 특정 PC간의 비정상적인 동작 발생시 해당 내역을 전체 PC를 관리하는 관리자에게 통보하는 통보부가 더 포함되어 구축됨을 특징으로 하는 보안 시스템의 구조.
  10. 제 4 항에 있어서,
    관리 서버에는
    각 PC의 비정상적인 동작 발생에 대응하여 관리자가 수동 조작할 수 있도록 하기 위한 인터페이스부가 더 포함되어 구축됨을 특징으로 하는 보안 시스템의 구조.
  11. 제 4 항에 있어서,
    관리 서버에는
    침입탐지 시스템에 의해 검색된 각 PC의 상태 정보 및 각 PC간 접속 세션의 데이터 정보와 여타의 각 구성부분이 수행한 각종 동작 내역을 지속적으로 기록하여 저장하는 정보 저장부가 더 포함되어 구축됨을 특징으로 하는 보안 시스템의 구조.
  12. 감시부를 통해 특정 인트라넷의 내부에 구축된 각 PC의 비정상적인 동작 발생을 지속적으로 감시하는 단계;
    상기 과정에서 특정 PC의 비정상적인 동작 발생이 확인될 경우 검색부를 통해 해당 PC에 접속된 여타 PC와의 상호간 세션을 확인하는 단계;
    상기 확인된 세션에 대한 데이터를 기억함과 더불어 해당 세션이 발생된 인접 시간별로의 소팅을 수행하여 상기 세션의 데이터와 동일한 데이터의 교류가 이루어진 세션으로 접속되었던 각 PC를 검색하는 단계;
    상기 검색된 각 PC의 내역 및 해당 PC의 비정상적인 동작 내역 정보를 관리 서버로 통보하는 단계:가 포함되어 진행됨을 특징으로 하는 보안 시스템의 운영 방법.
  13. 제 12 항에 있어서,
    비정상적인 동작 발생이라 함은
    업무상의 연관이 없거나, 혹은 상호간의 접속이 없었던 각 PC간의 접속이 시도되는 동작의 발생임을 특징으로 하는 보안 시스템의 운영 방법.
  14. 제 12 항에 있어서,
    비정상적인 동작 발생이라 함은
    각 PC의 부하량을 지속적으로 확인하여 특정 PC의 부하량이 평균적으로 사용된 부하량에 비해 과도하게 증가되는 상태의 발생임을 특징으로 하는 보안 시스템의 운영 방법.
  15. 제 12 항에 있어서,
    비정상적인 동작 발생이라 함은
    각 PC간 데이터 전송량을 지속적으로 확인하여 동일한 데이터 전송량을 보이는 PC가 최소 둘 이상인 상태의 발생임을 특징으로 하는 보안 시스템의 운영 방법.
  16. 제 12 항에 있어서,
    비정상적인 동작 발생이라 함은
    권한이 없는 PC가 암호화되어 보호되고 있는 어느 한 PC로의 강제적인 접근 시도의 발생임을 특징으로 하는 보안 시스템의 운영 방법.
  17. 제 12 항에 있어서,
    검색부가 검색한 각 PC의 정보를 토대로 최초 해당 데이터가 포함된 세션이 접속되었던 PC를 확인하는 단계;
    상기 과정을 통해 확인된 각 PC 중 해당 세션을 최초로 접속 시도 하였던 PC의 IP주소를 확인하는 단계;
    상기 확인된 PC의 IP주소를 확인하여 관리 서버로 전송하는 단계:가 더 포함되어 운영됨을 특징으로 하는 보안 시스템의 운영 방법.
  18. 제 17 항에 있어서,
    검색부를 통해 검색되는 정보에는 해당 세션이 접속되었던 최종 PC까지의 경유수와, 해당 세션이 이동한 경로 및 사용자 정보, 사용시간, 사용량 중 최소 어느 하나의 정보가 더 포함됨을 특징으로 하는 보안 시스템의 운영 방법.
  19. 제 12 항에 있어서,
    특정 PC간의 비정상적인 접속 발생을 확인하였을 경우 해당 PC간 연결된 세션을 차단하는 단계가 더 포함되어 운영됨을 특징으로 하는 보안 시스템의 운영 방법.
  20. 제 19 항에 있어서,
    PC간 연결된 세션을 차단하는 방법은
    특정 시점에 세션 차단을 위한 시퀸스넘버(Sequence Number)와 리셋(RST) 신호를 양 PC로 동시에 송출함으로써 수행됨을 특징으로 하는 보안 시스템의 운영 방법.
  21. 제 12 항에 있어서,
    특정 PC의 비정상적인 동작 발생을 확인하였을 경우 이의 내역을 인트라넷망의 네트워크를 관리하는 관리자에게 통보하는 단계가 더 포함되어 운영됨을 특징으로 하는 보안 시스템의 운영 방법.
  22. 제 21 항에 있어서,
    각 PC의 관리 조작을 위한 인터페이스부를 통해 관리자의 조작이 수행될 경우 이 관리자의 조작을 우선 조치 순위로 설정하여 이 관리자의 조작에 대응하여 운영함을 특징으로 하는 보안 시스템의 운영 방법.
KR1020010065130A 2001-10-22 2001-10-22 보안 서비스 시스템 및 그 운영 방법 KR20030033383A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020010065130A KR20030033383A (ko) 2001-10-22 2001-10-22 보안 서비스 시스템 및 그 운영 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020010065130A KR20030033383A (ko) 2001-10-22 2001-10-22 보안 서비스 시스템 및 그 운영 방법

Publications (1)

Publication Number Publication Date
KR20030033383A true KR20030033383A (ko) 2003-05-01

Family

ID=29565791

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020010065130A KR20030033383A (ko) 2001-10-22 2001-10-22 보안 서비스 시스템 및 그 운영 방법

Country Status (1)

Country Link
KR (1) KR20030033383A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100449476B1 (ko) * 2002-10-01 2004-09-22 한국정보보호진흥원 오용행위와 비정상행위 통합 판정 기능을 갖는 계층구조의통합침입탐지시스템 및 방법
KR100829258B1 (ko) * 2001-11-03 2008-05-14 주식회사 비즈모델라인 웜 바이러스의 전파 경로 추출 방법

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000072707A (ko) * 2000-09-20 2000-12-05 홍기융 실시간 침입탐지 및 해킹 자동 차단 방법
JP2000354034A (ja) * 1999-06-10 2000-12-19 Yoshimi Baba 事業:ハッカー監視室
KR20010085057A (ko) * 2001-07-27 2001-09-07 김상욱 네트워크 흐름 분석에 의한 침입 탐지 장치
KR20020033278A (ko) * 2000-10-30 2002-05-06 이상천 데이터통신네트워크에서의 해킹방지장치와 그 방법
KR20020088956A (ko) * 2001-05-22 2002-11-29 (주)인젠 네트워크 침입탐지 시스템

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000354034A (ja) * 1999-06-10 2000-12-19 Yoshimi Baba 事業:ハッカー監視室
KR20000072707A (ko) * 2000-09-20 2000-12-05 홍기융 실시간 침입탐지 및 해킹 자동 차단 방법
KR20020033278A (ko) * 2000-10-30 2002-05-06 이상천 데이터통신네트워크에서의 해킹방지장치와 그 방법
KR20020088956A (ko) * 2001-05-22 2002-11-29 (주)인젠 네트워크 침입탐지 시스템
KR20010085057A (ko) * 2001-07-27 2001-09-07 김상욱 네트워크 흐름 분석에 의한 침입 탐지 장치

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100829258B1 (ko) * 2001-11-03 2008-05-14 주식회사 비즈모델라인 웜 바이러스의 전파 경로 추출 방법
KR100449476B1 (ko) * 2002-10-01 2004-09-22 한국정보보호진흥원 오용행위와 비정상행위 통합 판정 기능을 갖는 계층구조의통합침입탐지시스템 및 방법

Similar Documents

Publication Publication Date Title
CN1761240B (zh) 用于高度可实现性应用的智能集成网络安全设备
CN105139139B (zh) 用于运维审计的数据处理方法和装置及系统
US7832006B2 (en) System and method for providing network security
US6895432B2 (en) IP network system having unauthorized intrusion safeguard function
US6775657B1 (en) Multilayered intrusion detection system and method
US7007299B2 (en) Method and system for internet hosting and security
US6401119B1 (en) Method and system for monitoring and managing network condition
CN101981546B (zh) 以不取得事件信息的it装置为对象的根本原因分析方法、装置及程序
US20080092237A1 (en) System and method for network vulnerability analysis using multiple heterogeneous vulnerability scanners
WO2003100619A1 (fr) Dispositif, programme et procede de detection d'acces non autorise
CN102111440A (zh) 一种支持动态交互的实时信息安全服务方法及系统
CN114143033B (zh) 一种云平台用户管理和运维集成系统
US20070162596A1 (en) Server monitor program, server monitor device, and server monitor method
KR100401088B1 (ko) 인터넷을 이용한 통합 보안 서비스 시스템
CN114553471A (zh) 一种租户安全管理系统
JP2011090429A (ja) 統合監視システム
JP3764143B2 (ja) 監視システム及び監視方法並びにそのプログラム
JP2003208269A (ja) セキュリティ機構を備えた二次記憶装置およびそのアクセス制御方法
KR20030033383A (ko) 보안 서비스 시스템 및 그 운영 방법
JP2006332997A (ja) 通信管理装置、ネットワークシステム、ネットワークシステムにおける通信遮断方法、およびプログラム
Debar et al. Security information management as an outsourced service
JP4039361B2 (ja) ネットワークを用いた分析システム
JP2002084326A (ja) 被サービス装置、センタ装置、及びサービス装置
KR20220087993A (ko) 원자력발전소 정보처리계통 네트워크 이상징후 탐지시스템
JP3737503B2 (ja) 監視システム及び監視方法並びにそのプログラム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application