KR20030050307A - The mechanism of security policy stores and detection alert generation in Ladon-SGS - Google Patents

The mechanism of security policy stores and detection alert generation in Ladon-SGS Download PDF

Info

Publication number
KR20030050307A
KR20030050307A KR1020010080720A KR20010080720A KR20030050307A KR 20030050307 A KR20030050307 A KR 20030050307A KR 1020010080720 A KR1020010080720 A KR 1020010080720A KR 20010080720 A KR20010080720 A KR 20010080720A KR 20030050307 A KR20030050307 A KR 20030050307A
Authority
KR
South Korea
Prior art keywords
security policy
intrusion
ladon
sgs
security
Prior art date
Application number
KR1020010080720A
Other languages
Korean (ko)
Other versions
KR100427448B1 (en
Inventor
허영준
류걸우
장종수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2001-0080720A priority Critical patent/KR100427448B1/en
Publication of KR20030050307A publication Critical patent/KR20030050307A/en
Application granted granted Critical
Publication of KR100427448B1 publication Critical patent/KR100427448B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PURPOSE: A Ladon-SGS(Security Gateway System), its security policy setting method and a harmful traffic detection alarm generating method are provided to control an illegal intrusion or a harmful traffic by analyzing a large scale network traffic and packet information. CONSTITUTION: A communication processor(21) sets connection with a security policy server and a Ladon-SGS and transfers and receives information according to security policy. A system controller(22) performs operations related to initialization of the Ladon-SGS and controls an overall system. A security policy processor(23) converts the security policy transferred from a security policy server into a form applicable to the Ladon-SGS. An intrusion detection analyzer(24) analyzes an intrusion as occurred through a network and transfers an analysis result to an intrusion detection alarm processor. An intrusion detection alarm processor(25) analyzes an intrusion alarm importance according to a pre-set security policy on the basis of information related to the intrusion type analyzed by the intrusion detection analyzer(24), compares the importance with a reference value, and determines whether to cope with it by a system or transfer it to the security policy server. A security policy storing unit(26) stores the security policy which has been converted by the security policy processor(23), the intrusion detection and corresponding results of the detected intrusion. A firewall processor(27) cuts off an illegal intrusion defined by a firewall policy and a harmful traffic.

Description

라돈-보안게이트웨이 시스템 및 그 보안정책 설정방법과 유해트래픽 탐지경보생성방법{The mechanism of security policy stores and detection alert generation in Ladon-SGS}Radon-Security Gateway system and its security policy setting method and method for generating harmful traffic detection alarm {The mechanism of security policy stores and detection alert generation in Ladon-SGS}

본 발명은 네트워크를 통한 불법적인 정보시스템의 침입행위를 실시간으로 탐지하기 위한 보안게이트웨이 시스템에 관한 것으로, 상세하게는 광역망과 같은 대규모 네트워크 트래픽 및 패킷정보를 분석하여 불법침입을 탐지하고 네트워크의 비정상적인 상황을 유도하는 유해 트래픽을 제어하는 등 네트워크 관리정책과 보안정책에 따라 네트워크 트래픽을 관리하고 불법침입 및 유해 트래픽에 대해 실시간으로 정책기반 침입을 탐지하여 대응하기 위한 라돈-보안게이트웨이 (Ladon-SGS;Security Gateway System) 시스템에서의 보안정책 설정방법과 유해트래픽 탐지경보생성방법에 관한 것이다.The present invention relates to a security gateway system for detecting intrusion of illegal information system through a network in real time. Specifically, the present invention analyzes large network traffic and packet information such as a wide area network to detect illegal intrusion and abnormal network Radon-SGS (Radon-SGS) to manage network traffic according to network management policy and security policy such as controlling harmful traffic leading to the situation and to detect and respond to policy-based intrusion in real time against illegal intrusion and harmful traffic; Security Gateway System) It is about security policy setting method and harmful traffic detection alarm generation method in system.

보안게이트웨이 시스템은 정보가 저장되어 있는 시스템에 네트워크를 통해 불법으로 침입하는 행위를 차단하여 그 정보의 유출이나 파괴행위를 사전에 방지하기 위한 목적으로 개발되었다. 시스템으로의 침입행위는 기술이 발달함에 따라 점차 그 침입패턴이 고도화, 다양화, 첨단화, 글로벌화되고 있고, 따라서 이러한 침입행위에 대응하기 위해서는 좀 더 강력한 보안게이트웨이 시스템이 요구되고 있는 실정이다.The security gateway system was developed for the purpose of preventing the intrusion or destruction of the information in advance by blocking illegal intrusion through the network to the system where the information is stored. Intrusion into the system is increasingly advanced, diversified, advanced, and globalized as the technology is developed. Therefore, a stronger security gateway system is required to cope with the intrusion.

보안게이트웨이 시스템과 관련된 종래의 기술은 일반적으로 침입탐지 시스템을 많이 사용하고 있다. 이 침입탐지 시스템은 소규모 네트워크 영역이나 동일 망 내에서의 불법침입이나 유해 트래픽을 제어하는 것으로 단일 침입탐지 시스템으로만 동작하기 때문에 다른 침입탐지 시스템과의 정보교환이 없어 광역망과 같은 대규모 네트워크에서는 제 기능을 수행하지 못할 뿐만 아니라 소규모 망에 대한 트래픽에 대해 분석함으로써 분산서비스 거부공격 등에 신속하게 대처하지 못하는 문제점을 가지고 있다.Conventional technologies related to security gateway systems generally use many intrusion detection systems. This intrusion detection system controls illegal intrusion or harmful traffic in a small network area or the same network and operates only as a single intrusion detection system. Therefore, the intrusion detection system has no information exchange with other intrusion detection systems. Not only does it fail to perform a function, but it also has a problem that it cannot respond quickly to distributed denial of service attacks by analyzing traffic on a small network.

또한 다른 침입탐지 시스템과 연동하지 않고 독자적으로 새로운 공격 패턴이나 다른 네트워크에서 일어난 공격에 능동적으로 대처하지 못할 뿐만 아니라 빈번히 일어나는 경보를 매번 전송하여 오히려 네트워크 트래픽량을 증가시켜 정상적인 트래픽 흐름을 유지할 수 없는 문제점을 가지고 있다.In addition, it does not work with other intrusion detection systems independently and cannot actively respond to new attack patterns or attacks from other networks, and can not maintain normal traffic flow by increasing the amount of network traffic by sending frequent alarms every time. Have

본 발명은 상기한 종래의 문제점을 해결하기 위한 것으로, 그 목적은 대규모 네트워크에서 일어나는 불법적인 침입이나 분산서비스 거부공격 등과 같은 다양한 공격패턴에 대해 실시간으로 대처하여 시스템을 안전하고 지속적으로 운영할 수 있도록 하는 Ladon-SGS시스템을 제공하는데 있다.The present invention is to solve the above-mentioned problems, the purpose is to respond to various attack patterns such as illegal intrusion or distributed denial of service attacks in a large network in real time to enable the system to operate safely and continuously To provide a Ladon-SGS system.

본 발명의 다른 목적은 침입경보에 따른 경보전송을 제어하는 것에 의해 정상적인 네트워크 흐름을 유지할 수 있는 보안정책 설정방법과 유해트래픽 탐지경보생성방법을 제공하는데 있다.Another object of the present invention is to provide a security policy setting method and harmful traffic detection alarm generation method that can maintain a normal network flow by controlling the alarm transmission according to the intrusion alarm.

이러한 목적은 네트워커를 통과하는 트래픽의 내용을 감시하여 보안관리자에 의해 정의된 유해 트래픽이나 침입탐지 트래픽을 제거하여 정상 트래픽의 흐름이 원활하도록 보안 정책서버에서 보안관리자에 의해 정의된 정책을 실시간으로 Ladon-SGS 시스템에 적용함으로써 달성할 수 있다.This purpose is to monitor the contents of the traffic passing through the network and to remove harmful or intrusion detection traffic defined by the security manager, so that the normal traffic flows smoothly. It can be achieved by applying to SGS system.

본 발명에 따른 Ladon-SGS 시스템은 네트워크를 통해 불법침입하는 유해 트래픽에 대응하기 위해 하나의 보안정책서버의 관리망에 다수의 Ladon-SGS시스템을 갖는 보안 시스템에 있어서, 상기 보안정책서버와 Ladon-SGS시스템과의 상호 연결을 설정하여 보안정책에 따른 정보를 송수신하는 통신처리수단; 상기 Ladon-SGS시스템의 초기화와 관련된 작업들을 수행하고, 전체 시스템을 제어하는 시스템 관리수단; 상기 보안정책서버에서 전달되는 보안정책을 Ladon-SGS 시스템에서 적용할 수 있도록 변환하는 보안정책 처리수단; 네트워크를 통해 외부에서의 침입이 발생할 경우 그 침입의 유형을 분석하고, 분석된 결과를 침입탐지 경보처리수단에 전달하는 침입탐지 분석수단; 상기 침입탐지 분석수단에서 분석된 침입유형과 관련된 정보를 근거로 미리 설정된 보안정책에 따라 정의된 침입경보 중요도(S)를 분석하고, 그 중요도(S)를 기준값과 비교하여 시스템에서 대응할 것인지 아니면 보안정책서버로 전송할지에 대한 여부를 결정하는 침입탐지 경보처리수단; 상기 보안정책 처리수단에서 변환된 보안정책, 침입탐지 및 탐지된 침입에 대한 대응결과들을 저장하기 위한 보안정책 저장수단; 및 차단정책에 의해 정의된 불법 침입, 유해 트래픽으로 판단된 트래픽을 차단하는 기능을 수행하는 침입차단 처리수단;을 포함하여 구성된 것을 특징으로 한다.Ladon-SGS system according to the present invention is a security system having a plurality of Ladon-SGS system in the management network of one security policy server to cope with harmful traffic infiltrating through the network, the security policy server and Ladon- Communication processing means for establishing an interconnection with an SGS system to transmit and receive information according to a security policy; System management means for performing tasks related to the initialization of the Ladon-SGS system and controlling the entire system; Security policy processing means for converting the security policy transmitted from the security policy server to be applicable in the Ladon-SGS system; Intrusion detection analysis means for analyzing the type of intrusion when an external intrusion occurs through the network and transferring the analyzed result to the intrusion detection alarm processing means; Based on the information related to the intrusion type analyzed by the intrusion detection analysis means, the analysis of the intrusion alert importance (S) defined according to the preset security policy, and comparing the importance (S) with the reference value in the system or security Intrusion detection alert processing means for determining whether to transmit to a policy server; Security policy storage means for storing the security policy converted by the security policy processing means, the intrusion detection and the corresponding results of the detected intrusion; And intrusion blocking processing means for performing a function of blocking a traffic determined to be illegal intrusion or harmful traffic defined by a blocking policy.

본 발명의 Ladon-SGS에서의 보안정책 설정방법은 보안정책서버와 다수의Ladon-SGS 시스템간의 통신에 의해 보안정책을 설정하는 방법에 있어서, Ladon-SGS 시스템을 초기화하고 보안정책서버와 연결설정이 완료된 상태에서 상기 Ladon-SGS 시스템 구성정보를 상기 보안정책서버로 전송하는 것에 의해 식별자를 부여받는 단계; 상기 보안정책서버에서 부여된 식별자를 저장하고 상기 보안정책서버로 보안정책을 수신할 준비가 되었음을 통보하는 단계; 상기 보안정책서버로부터 전송된 보안정책을 수신하여 저장수단에 저장하는 단계; 및 상기 수신된 보안정책이 탐지정책인지 차단정책인지를 분석하고, 탐지정책일 경우 침입탐지 분석수단에 보안정책에 대한 갱신을 통보하며, 차단정책일 경우 침입차단 처리수단에 보안정책에 대한 갱신을 통보한 후 상기 보안정책서버로 보안정책 저장완료를 통보하는 단계;를 포함하는 루틴을 수행하는 것에 의해, 어느 하나의 Ladon-SGS 시스템으로부터 새로운 침입이나 유해 트래픽이 검출될 경우 상기 보안정책서버에서 상기 침입이나 유해 트래픽에 대해 정보를 전송하고, 보안정책서버에서는 경보를 분석하여 경보에 따른 신규 보안정책을 관리망에 속해 있는 모든 Ladon-SGS 시스템으로 전송하는 것을 특징으로 한다.The security policy setting method in Ladon-SGS of the present invention is a method for setting a security policy by communication between a security policy server and a plurality of Ladon-SGS systems, and initializes the Ladon-SGS system and establishes a connection with the security policy server. Receiving an identifier by transmitting the Ladon-SGS system configuration information to the security policy server in a completed state; Storing an identifier assigned by the security policy server and notifying the security policy server that it is ready to receive a security policy; Receiving a security policy transmitted from the security policy server and storing the security policy in a storage means; And analyzing whether the received security policy is a detection policy or a blocking policy, and notifying the intrusion detection analysis means of the update of the security policy in the case of the detection policy, and updating the security policy to the intrusion blocking processing means in the case of the blocking policy. And notifying the security policy server of the completion of storing the security policy after notification. When a new intrusion or harmful traffic is detected from any one of the Ladon-SGS systems, the security policy server detects the completion of the security policy storage. Information on intrusion or harmful traffic is transmitted, and the security policy server analyzes the alarm and transmits the new security policy according to the alarm to all Ladon-SGS systems in the management network.

본 발명의 Ladon-SGS에서의 경보생성 방법은 불법침입에 대응하기 위해 하나의 보안정책서버의 관리망에 다수의 Ladon -SGS시스템이 포함된 보안 시스템에서 유해 트래픽의 침입에 대한 경보를 생성하는 방법에 있어서, 상기 다수의 Ladon-SGS 시스템중 어느 하나의 시스템에서 유해 트래픽이 검출될 경우 해당 시스템에서 상기 유해 트래픽의 유형을 분석하는 단계; 그 분석된 유해 트래픽에 대한 대응과 그 대응결과를 포함한 정보를 침입차단 처리수단으로 전송함과 동시에 경보메시지를 생성하는 단계; 및 상기 유해 트래픽에 대한 침입경보 중요도(S)를 설정된 값과 비교하여 상기 침입경보 중요도(S)가 기준 데이터 전송량보다 작을 경우 시스템 자체에서 처리하고, 반대로 상기 칩입경보 중요도(S)가 상기 기준 데이터 전송량보다 클 경우 보안정책서버로 침입유형 및 대응에 관련된 사항들을 전송하는 단계;를 포함하는 루틴을 수행하는 것에 의해, 상기 보안정책서버에서 불법침입에 대한 패턴을 분석하고 새로운 보안정책을 수립하여 모든 Ladon-SGS 시스템으로 전송하는 것을 특징으로 한다.Alarm generation method in Ladon-SGS of the present invention is a method for generating an alarm for intrusion of harmful traffic in a security system that includes a plurality of Ladon-SGS system in the management network of one security policy server to counter the intrusion The method of claim 1, further comprising: analyzing harmful traffic types in the system when harmful traffic is detected in any one of the Ladon-SGS systems; Transmitting an information including the response to the analyzed harmful traffic and the result of the response to the intrusion prevention processing means and simultaneously generating an alarm message; And comparing the intrusion alert importance S for the harmful traffic with a set value and processing the system itself when the intrusion alert importance S is less than a reference data transmission amount, and on the contrary, the intrusion alert importance S is the reference data. If it is larger than the transmission amount by performing a routine, including the steps related to the intrusion type and response to the security policy server, by analyzing the pattern for illegal intrusion in the security policy server and establish a new security policy Characterized in that the transmission to the Ladon-SGS system.

상기한 구성 및 방법에 의하면, 본 발명은 일반적으로, 보안정책 서버에서 여러 곳에 위치한 다수의 보안게이트웨이 시스템인 Ladon-SGS로부터 전달되는 경보 및 정보를 종합적으로 분석하여 새로운 보안 정책을 Ladon-SGS 시스템에게 전달함으로써 새로운 공격에 실시간으로 대응할 수 있다.According to the above-described configuration and method, the present invention generally provides a new security policy to Ladon-SGS system by comprehensively analyzing alarms and information transmitted from Ladon-SGS, which is a plurality of security gateway systems located at various locations in the security policy server. By delivering, you can respond to new attacks in real time.

또한 여러 공격자로부터 일어나는 분산서비스 거부공격(DDOS;Distributed Denial Of Service)을 원천적으로 방지하여, 웹서버나 기타 서버들의 정상적인 서비스가 가능하다.It also prevents DDOS (Distributed Denial Of Service) originating from various attackers so that normal service of web server or other servers is possible.

더욱이, 침입탐지경보 처리수단에서 네트워크, 시스템 상태와 침입의 영향 등을 종합적으로 분석하여 경보 전송량을 제어함으로써 네트워크 트래픽 흐름을 적절히 조절할 수 있다.Furthermore, the network traffic flow can be properly adjusted by analyzing the network, system state and the effects of the intrusion, and controlling the amount of alarms transmitted by the intrusion detection alarm processing means.

도 1은 본 발명이 적용되는 Ladon-SGS와 보안 정책서버와의 연결을 설명하기 위한 정책기반의 보안 관리시스템 계략구성도,1 is a schematic configuration diagram of a policy-based security management system for explaining the connection between the Ladon-SGS and the security policy server to which the present invention is applied;

도 2는 본 발명에 따른 Ladon-SGS의 블록구성도,2 is a block diagram of Ladon-SGS according to the present invention;

도 3은 본 발명에 따른 Ladon-SGS의 보안정책 처리부에서 수행하는 보안정책 수신, 변환, 저장에 대한 방법을 설명하기 위한 흐름도,3 is a flowchart illustrating a method for receiving, converting, and storing a security policy performed by a security policy processing unit of Ladon-SGS according to the present invention;

도 4는 본 발명에 따른 Ladon-SGS의 침입탐지 경보처리부에서 수행하는 탐지된 침입에 대한 대응과 경보생성, 경보전송 여부결정에 대한 방법을 설명하기 위한 흐름도,4 is a flowchart illustrating a method for responding to a detected intrusion performed by an intrusion detection alarm processing unit of Ladon-SGS, generating an alarm, and determining whether to transmit an alarm according to the present invention;

도 5는 본 발명에 따른 Ladon-SGS의 침입탐지 경보 처리부에서 경보전송 여부결정에 대한 방법을 설명하기 위한 흐름도,5 is a flowchart illustrating a method for determining an alarm transmission in an intrusion detection alarm processing unit of Ladon-SGS according to the present invention;

*도면의 주요부분에 대한 부호의 설명** Description of the symbols for the main parts of the drawings *

10;보안정책서버20;Ladon-SGS시스템10; Security Policy Server 20; Ladon-SGS System

21;통신처리부22;시스템 제어부21; communication processing unit 22; system control unit

23;보안정책 처리부24;침입탐지 분석부23; security policy processing unit 24; intrusion detection analysis unit

25;침입탐지 경보처리부26;보안정책 저장부25; intrusion detection alarm processing unit 26; security policy storage unit

27;침입차단 처리부27; intrusion blocking processing unit

이하, 본 발명의 바람직한 실시예를 첨부된 도면을 통해 설명한다. 도 1은보안정책서버와 Ladon-SGS 시스템과의 연결 관계를 보인 연결구성도이다.Hereinafter, preferred embodiments of the present invention will be described with reference to the accompanying drawings. 1 is a connection diagram showing the connection between the security policy server and the Ladon-SGS system.

도면중 부호 10은 보안정책서버이고, 부호 20,30,40은 상기 보안정책서버(10)의 관리망에 존재하는 다수의 Ladon-SGS 시스템을 표시하고 있다. 도면을 참조하면, 본 발명은 하나의 보안정책서버(10)와 여러 곳에 산재해 있는 3개의 Ladon -SGS시스템(20)(30)(40)이 광역망을 형성하고 있는 보안시스템을 예시하고 있다.In the figure, reference numeral 10 denotes a security policy server, and reference numerals 20, 30 and 40 denote a plurality of Ladon-SGS systems existing in the management network of the security policy server 10. Referring to the drawings, the present invention illustrates a security system in which one security policy server 10 and three Ladon-SGS systems 20, 30, and 40 dispersed in various places form a wide area network. .

본 발명에 따른 상기 보안정책서버(10)는 다수의 Ladon-SGS 시스템(20)(30) (40)을 관리하며, Ladon- SGS 시스템 (20)(30)(40)에서 입출력되는 패킷정보를 감시함과 동시에 여기서 검출된 유해 트래픽에 대해 종합적으로 분석하여 새로운 보안정책을 정의하게 되며, 그 정의된 보안정책을 각각의 Ladon-SGS 시스템(20) (30)(40)에 전송하는 것에 의해 유해 트래픽을 차단시킨다.The security policy server 10 according to the present invention manages a plurality of Ladon-SGS systems 20, 30, 40, and the packet information input and output from the Ladon-SGS system 20, 30, 40 At the same time, a new security policy is defined by comprehensively analyzing the harmful traffic detected here, and by transmitting the defined security policy to each Ladon-SGS system 20, 30, 40, Block traffic

도면을 참조하여, 공격의 유형에 대한 일 예를 들면, 제1네트워크의 제1공격자(51), 제2네트워크의 제2공격자(52) (53), 제3네트워크의 제3공격자(54)가 제4네트워크의 피공격자(55)를 상대로 불법침입하는 형태라고 가정할 때 제3공격자(54)는 제2네트워크의 제2공격자(53)로부터 공격을 받는 피공격자임과 동시에 제4네트워크에 있는 피공격자(55)를 공격하는 공격자 역할 등 분산서비스 공격을 할 수 있다.Referring to the drawings, for example, the type of attack, the first attacker 51 of the first network, the second attacker 52, 53 of the second network, the third attacker 54 of the third network Is assumed to be a form of illegal invasion of the attacker 55 of the fourth network, the third attacker 54 is an attacker who is attacked by the second attacker 53 of the second network and simultaneously enters the fourth network. Distributed service attacks, such as the attacker role to attack the attacked person 55 can be.

이 처럼 공격자들로부터 제4네트워크에 있는 피공격자(55)가 공격을 받을 때 제2Ladon-SGS 시스템(30)에서는 제2네트워크의 공격자(53)의 공격을 탐지하고, 제3Ladon-SGS 시스템(40)에서는 제3네트워크에 존재하는 공격자(54)의 공격을 탐지하여 정의된 보안정책에 따라 대응하면서 보안정책서버(10)로 경보 메시지를 전송한다.As such, when the attacker 55 in the fourth network is attacked by the attackers, the second Ladon-SGS system 30 detects an attack of the attacker 53 of the second network, and the third Ladon-SGS system 40 ) Detects an attack of the attacker 54 existing in the third network and transmits an alert message to the security policy server 10 while responding according to the defined security policy.

이와 같이 보안정책서버(10)는 자신의 관리망에 존재하는 각각의 Ladon- SGS 시스템(20)(30)(40)이나 또는 제1,2,3,4네트워크로부터 입출력되는 패킷정보를 분석하여 이들의 불법침입을 감지하고, 정의된 보안정책을 각각의 시스템에 전달하여 새로운 공격패턴에 대해 실시간으로 대응할 수 있게 되는 것이다.As described above, the security policy server 10 analyzes packet information inputted and outputted from each Ladon SGS system 20, 30, 40 or the first, second, third, and fourth networks existing in its own management network. Detecting illegal intrusions and delivering defined security policies to each system, it is possible to respond to new attack patterns in real time.

도 2는 본 발명에 따른 Ladon-SGS의 내부 시스템 구성을 보인 구성도이다. 각각의 Ladon-SGS 시스템은 동일한 구조를 가지므로, 도 2의 실시예에서는 중복된 부호를 피하고 제1Ladon-SGS 시스템의 부호 20과 연계하여 부호를 표시한다.Figure 2 is a block diagram showing the internal system configuration of Ladon-SGS according to the present invention. Since each Ladon-SGS system has the same structure, the embodiment of FIG. 2 avoids duplicated codes and displays the codes in association with the code 20 of the first Ladon-SGS system.

본 발명에 따른 Ladon-SGS 시스템(20)은 상기 보안정책서버와 Ladon-SGS시스템과의 상호 연결을 설정하여 보안정책에 따른 정보를 송수신하는 통신처리부(21); 상기 Ladon-SGS시스템의 초기화와 관련된 작업들을 수행하고, 전체 시스템을 제어하는 시스템 제어부(22); 상기 보안정책서버(10)에서 전달되는 보안정책을 Ladon -SGS 시스템에서 적용할 수 있도록 변환하는 보안정책 처리부(23); 네트워크를 통해 외부에서의 침입이 발생할 경우 그 침입의 유형을 분석하고, 분석된 결과를 침입탐지 경보처리수단에 전달하는 침입탐지 분석부(24); 상기 침입탐지 분석부(24)에서 분석된 침입유형과 관련된 정보를 근거로 미리 설정된 보안정책에 따라 정의된 침입경보 중요도(S)를 분석하고, 그 중요도(S)를 기준값과 비교하여 시스템에서 대응할 것인지 아니면 보안정책서버로 전송할지에 대한 여부를 결정하는 침입탐지 경보처리부(25); 상기 보안정책 처리부(23)에서 변환된 보안정책, 침입탐지 및 탐지된 침입에 대한 대응결과들을 저장하기 위한 보안정책 저장부(26); 및 차단정책에 의해 정의된 불법침입, 유해 트래픽으로 판단된 트래픽을 차단하는 기능을 수행하는 침입차단 처리부(27)를 포함하고 있다.Ladon-SGS system 20 according to the present invention comprises a communication processor 21 for transmitting and receiving information according to the security policy by establishing a connection between the security policy server and the Ladon-SGS system; A system controller 22 performing tasks related to initialization of the Ladon-SGS system and controlling the entire system; A security policy processing unit 23 for converting the security policy transmitted from the security policy server 10 to be applied by the Ladon -SGS system; An intrusion detection analyzer 24 analyzing the type of intrusion when an external intrusion occurs through a network and transferring the analyzed result to an intrusion detection alarm processing means; Based on the information related to the intrusion type analyzed by the intrusion detection analysis unit 24, the intrusion alarm importance level (S) defined according to the preset security policy is analyzed, and the importance (S) is compared with the reference value to respond in the system. Intrusion detection alert processing unit 25 to determine whether or not to transmit to the security policy server; A security policy storage unit 26 for storing the security policy converted by the security policy processing unit 23, intrusion detection, and corresponding results of the detected intrusion; And an intrusion blocking processing unit 27 that performs a function of blocking traffic determined to be illegal intrusion and harmful traffic defined by a blocking policy.

이러한 구성에 의하면, 하나의 보안정책서버(10)에서 다수의 Ladon-SGS시스템(20)(30)(40)들을 통합 관리하며, 상기 Ladon-SGS시스템중 어느 하나의 시스템으로부터 유해 트래픽이 검출될 경우 그 정보를 보안정책서버(10)로 전송하고, 보안정책서버(10)에서는 유해 트래픽을 종합분석하여 새로운 보안정책을 수립하게 되며, 그 보안정책을 관리망에 포함된 모든 Ladon-SGS시스템으로 전송하는 것에 의해 신규한 공격패턴에 대해서 대응할 수 있다.According to this configuration, a single security policy server 10 manages a plurality of Ladon-SGS systems 20, 30, 40, and harmful traffic from any one of the Ladon-SGS systems can be detected. In this case, the information is transmitted to the security policy server 10, and the security policy server 10 comprehensively analyzes harmful traffic to establish a new security policy. The security policy is transmitted to all Ladon-SGS systems included in the management network. By transmitting, it is possible to cope with a new attack pattern.

이와 같이 구성된 본 발명을 도 3 내지 도 5를 참조하여 설명한다. 도 3은 상기한 시스템에서 있어서, 보안정책서버(10)와 Ladon-SGS 시스템(20)사이에서 보안정책을 처리하기 위한 방법을 설명하기 위한 흐름도이다.The present invention configured as described above will be described with reference to FIGS. 3 to 5. FIG. 3 is a flowchart illustrating a method for processing a security policy between the security policy server 10 and the Ladon-SGS system 20 in the above system.

도 3을 도면을 참조하면, 본 발명은 Ladon-SGS 시스템(20)이 기동하여 상기 Ladon-SGS 시스템(20)의 구성정보 저장 등 시스템 초기화 작업을 수행(S61)하면, 시스템 제어부(22)에서는 통신처리부(21)를 제어하여 보안정책서버(10)와 연결설정을 한다.(S62)Referring to FIG. 3, when the Ladon-SGS system 20 starts and performs a system initialization operation such as storing configuration information of the Ladon-SGS system 20 (S61), the system control unit 22 The communication processing unit 21 is controlled to establish a connection with the security policy server 10. (S62)

상기 보안정책서버(10)와 Ladon-SGS시스템(20)간의 연결설정이 완료되면, Ladon-SGS 시스템(20)에서는 보안정책서버(10)로 그 구성정보를 전송(S63)하고, 보안정책서버(10)에서는 Ladon-SGS시스템(20)에서 전송된 정보에 대해 인증절차를 수행하게 되며, 인증이 이루어질 경우 Ladon-SGS 시스템(20)으로 고유 식별자(ID)를전송하게 되고, Ladon-SGS 시스템(20)에서는 보안정책서버(10)에서 전송된 식별자(ID)를 보안정책 저장부(26)에 저장한다.(S64-S65)When the connection setting between the security policy server 10 and the Ladon-SGS system 20 is completed, the Ladon-SGS system 20 transmits its configuration information to the security policy server 10 (S63), and the security policy server. In step 10, the authentication procedure is performed on the information transmitted from the Ladon-SGS system 20, and when authentication is performed, a unique identifier (ID) is transmitted to the Ladon-SGS system 20, and the Ladon-SGS system In 20, the identifier (ID) transmitted from the security policy server 10 is stored in the security policy storage unit 26. (S64-S65)

이와 같이 Ladon-SGS시스템(20)에서 보안정책서버(10)로부터 식별자(ID)를 부여 받으면, Ladon-SGS시스템(20)의 시스템 제어부(22)에서는 보안정책 처리부(23)로 보안정책을 수신할 수 있도록 통보하고, 상기 보안정책 처리부(23)로부터 수신준비가 완료되었음을 통보 받을 경우 시스템 제어부(22)에서는 통신처리부(21)를 제어하여 보안정책서버(10)로 보안정책을 수신하기 위한 대기상태임과 보안정책에 대한 요청정보를 전송한다.(S66-S67)As such, when the identifier ID is given from the security policy server 10 in the Ladon-SGS system 20, the system control unit 22 of the Ladon-SGS system 20 receives the security policy by the security policy processing unit 23. In order to be notified and to be notified that the reception preparation is completed by the security policy processing unit 23, the system controller 22 controls the communication processing unit 21 to wait for receiving the security policy to the security policy server 10. Sends request information about status and security policy. (S66-S67)

이후, 시스템 제어부(22)에서는 보안정책서버(10)에서 전송할 보안정책을 수신하기 위하여 보안정책서버(10)와 Ladon-SGS 시스템(20)과의 연결설정을 확인(S68)하게 되며, 시스템간의 연결이 완료되었으면 보안정책서버(10)에서 전송된 보안정책을 수신하고, 시스템 제어부(22)의 제어하에 보안정책 처리부(27)에서는 수신된 보안정책을 시스템에 적용할 수 있도록 변환하고, 그 변환된 보안정책을 상기 보안정책 저장부(26)에 저장한다.(S69-S70)Thereafter, the system controller 22 confirms the connection setting between the security policy server 10 and the Ladon-SGS system 20 in order to receive the security policy to be transmitted from the security policy server 10 (S68). When the connection is completed, the security policy server 10 receives the security policy transmitted, and under the control of the system control unit 22, the security policy processing unit 27 converts the received security policy to be applied to the system, the conversion The stored security policy is stored in the security policy storage unit 26. (S69-S70)

이와 같이 보안정책서버(10)에서 전송된 보안정책을 상기 보안정책 저장부(26)에 저장하게 되면, 보안정책 처리부(27)에서는 그 보안정책이 탐지정책인지 또는 차단정책인지를 판단(S71)하게 되는데, 만약 보안정책이 유해 트래픽 탐지정책인 경우 침입탐지 분석부(24)로 보안정책 갱신을 통보하고, 유해 트래픽 차단정책인 경우 침입차단 처리부(27)로 보안정책 갱신을 통보한 후 각각 시스템 제어부(22)의 제어하에 보안정책서버(10)로 보안정책을 저장했고 동시에 침입탐지에대한 동작을 개시한다는 통보를 한다.(S72-S74)When the security policy transmitted from the security policy server 10 is stored in the security policy storage unit 26 as described above, the security policy processing unit 27 determines whether the security policy is a detection policy or a blocking policy (S71). If the security policy is a harmful traffic detection policy, the security policy update is notified to the intrusion detection analysis unit 24, and in the case of the harmful traffic blocking policy, the security policy update is notified to the intrusion blocking processing unit 27 and then each system is updated. Under the control of the control unit 22, the security policy server 10 stores the security policy and simultaneously notifies that the operation for intrusion detection is started. (S72-S74)

그리고, 스텝 68로 궤환하여 신규 보안정책에 대한 지시를 대기하고, 보안정책서버(10)에서 새로운 보안정책이 전달될 경우 상기와 동일한 방법으로 보안정책을 처리한다.Then, the process returns to step 68 to wait for an instruction on the new security policy, and when the new security policy is transmitted from the security policy server 10, the security policy is processed in the same manner as described above.

한편, 스텝 68에서 보안정책서버(10)와 Ladon-SGS 시스템(20)과의 연결설정이 이루지지 않았을 경우에는 정상적인 연결 상태를 해제할 것인지를 확인(S74)한 후 정상적인 연결 해제인 경우에는 종료하고, 비정상적인 연결 해제인 경우에는 보안정책서버(10)와 연결설정을 재시도(S75)할 수 있도록 스텝 68로 궤환한다.On the other hand, if the connection between the security policy server 10 and the Ladon-SGS system 20 has not been established in step 68, it is confirmed whether or not to cancel the normal connection state (S74) and ends in the case of normal disconnection. In case of abnormal disconnection, the process returns to step 68 to retry connection establishment with the security policy server 10 (S75).

도 4는 본 발명의 네트워크 관리정책과 보안정책에 따라 네트워크 트래픽을 관리하고 불법 침입에 대응하는 방법을 설명하기 위한 흐름도이다.4 is a flowchart illustrating a method of managing network traffic and responding to an intrusion in accordance with a network management policy and a security policy of the present invention.

도면을 참조하며, 본 발명은 상기와 같이 보안정책서버(10)로부터 보안정책에 대한 정보를 전송받아 시스템에 저장하고, 그에 따른 결과를 침입탐지 분석부(24), 침입탐지 경보처리부(25) 및 상기 보안정책서버(10)로 전송한 상태에서 침입탐지 동작을 개시하게 된다.(S81)Referring to the drawings, the present invention receives the information on the security policy from the security policy server 10 as described above, and stores in the system, the result according to the intrusion detection analysis unit 24, intrusion detection alarm processing unit 25 And intrusion detection operation is started in the state transmitted to the security policy server 10 (S81).

이러한 상태에서 외부로부터 불법침입이 발생할 경우 침입탐지 분석부(24)에서는 유해 트래픽에 대해 분석하고, 그 분석된 정보를 침입탐지 경보처리부(25)로 전송하며, 상기 경보처리부(25)에서는 수신된 유해 트래픽에 대한 대응과 그 대응결과를 포함한 정보를 침입차단 처리부(27)로 전송함과 동시에 경보메시지를 생성한다.(S82-S83)In this situation, when illegal intrusion occurs from outside, the intrusion detection analysis unit 24 analyzes harmful traffic, and transmits the analyzed information to the intrusion detection alarm processing unit 25, and the alarm processing unit 25 receives the received information. Information including the response to the harmful traffic and the result of the response is transmitted to the intrusion prevention processing unit 27, and an alarm message is generated (S82-S83).

스텝 83에서와 같이 불법침입이 탐지될 경우 침입탐지 경보처리부(27)에서는 침입유형 및 대응결과에 따라 보안정책서버(10)로 경보메시지를 전송할 것인지에 대한 여부를 결정한다(S84).When the illegal intrusion is detected as in step 83, the intrusion detection alarm processing unit 27 determines whether to send an alarm message to the security policy server 10 according to the intrusion type and the corresponding result (S84).

만일, 침입유형을 분석한 결과 전송하지 않아도 될 유해 트래픽에 대해서는 불법침입에 대한 대응방법 및 그 대응결과를 보안정책 저장부(26)에 저장하고, 반대로 보안정책서버(10)로 경보메시지를 전송할 경우에는 침입유형 및 대응에 관련된 사항들을 전송함으로써 추후 발생하는 동일한 불법침입에 대한 패턴을 분석하고 새로운 보안정책을 수립할 수 있도록 한다.(S85-S86)If, as a result of analyzing the intrusion type, harmful traffic that does not need to be transmitted are stored in the security policy storage unit 26 and a countermeasure against illegal intrusion, and on the contrary, an alarm message is transmitted to the security policy server 10. In this case, by sending infor- mation related to intrusion type and response, it is possible to analyze the pattern of the same illegal invasion and to establish a new security policy. (S85-S86)

상기 침입탐지 경보처리부(25)에서 불법침입에 대한 경보메시지를 보안정책서버(10)로 전송할 때 그 경보 전송량이 경보 전송량이 많은 경우 오히려 침입경보가 네트워크 트래픽을 증가시켜 네트워크 흐름을 나쁘게 할 수 있기 때문에 이를 해결하기 위해서 침입탐지 경보처리부(25)에서는 침입경보의 중요도에 따라 경보 전송여부를 결정한다.When the intrusion detection alarm processing unit 25 transmits an alarm message for illegal intrusion to the security policy server 10, when the amount of the alarm transmission is large, the intrusion alarm may increase the network traffic and worsen the network flow. Therefore, in order to solve this problem, the intrusion detection alarm processing unit 25 determines whether to transmit an alarm according to the importance of the intrusion alarm.

도 5는 불법침입에 대한 경보메시지를 보안정책서버로 전송할 것인지에 대한 세부적인 판단방법을 설명하기 위한 흐름도이다.5 is a flowchart illustrating a detailed determination method of whether to send an alarm message for illegal intrusion to a security policy server.

도면을 참조하면, 본 발명은 시스템으로 불법침입이 발생할 경우 침입탐지 경보처리부(27)에서 침입경보 중요도(S)를 설정된 함수에 의해 처리하게 되는데, 이 침입경보 중요도(S)는 공격의 유형 값(C), 공격의 강도 즉 치명성(L), 희생자 시스템의 상태(SC) 및 현재 네트워크 트래픽량(NC)의 인자들을 분석하여 계산한다.(S91-S94)Referring to the drawings, in the present invention, when an intrusion into the system occurs, the intrusion detection alarm processing unit 27 processes the intrusion alarm importance level S by a set function, and the intrusion alarm importance level S is an attack type value. (C) Calculate by analyzing the factors of the attack strength or fatality (L), the state of the victim system (SC) and the current network traffic (NC) (S91-S94).

본 발명에 따른 침입경보 중요도(S)는 S = (C + L) - (SC + NC)와 같은 함수를 정의하고, 상기 함수에 따른 각각의 인자들을 분석하여, 여기서 계산된 값을 기준값과 비교하여 보안정책서버(10)로 경보메시지를 전송할 것인지를 결정하게 된다.(S95) 즉, 스텝 96에서와 같이 침입경보 중요도(S)가 경보전송 기준값(데이터 전송량) 보다 클 경우에는 침입경보 보안정책서버(10)로 전송하고, 그 중요도(S)가 기준값 보다 작을 경우에는 보안정책 저장부(26)에 저장하여 함으로써 침입경보에 따른 네트워크 트래픽이 증가되는 것을 방지하여 그 흐름을 원할히 유지할 수 있도록 한다.(S97-S98)Intrusion alert importance (S) according to the present invention defines a function such as S = (C + L)-(SC + NC), and analyzes each factor according to the function, and compares the calculated value with a reference value It is determined whether or not to send an alarm message to the security policy server 10. (S95) In other words, if the intrusion alarm importance (S) is greater than the alarm transmission reference value (data transmission amount) as in step 96, intrusion alarm security policy When the server transmits the data to the server 10 and the importance S is smaller than the reference value, the server 10 stores the data in the security policy storage unit 26 to prevent the network traffic caused by the intrusion alarm from increasing. (S97-S98)

이상에서 설명한 바와 같이, 본 발명은 광역망과 같은 대규모 네트워크 트래픽 및 패킷정보를 분석하여 불법침입이나 네트워크의 비정상적인 상황을 유도하는 유해 트래픽을 제어할 수 있고, 네트워크 관리 및 보안정책에 따른 탐지정책 및 차단정책을 수립함으로써 유해한 트래픽으로부터 시스템을 보호할 수 있다.As described above, the present invention can control harmful traffic leading to illegal intrusion or abnormal situation of the network by analyzing large network traffic and packet information such as a wide area network, and a detection policy and a network management and security policy. By establishing a blocking policy, you can protect your system from harmful traffic.

또한 여러 곳에 위치한 Ladon-SGS 시스템으로부터 전달되는 경보를 통해 보안정책서버에서 트래픽 패턴을 종합적으로 분석하여 그 새로운 보안정책을 Ladon -SGS 시스템에서 적용할 수 있도록 함으로써 새로운 유해 트래픽 공격에 신속하고 능동적으로 대응할 수 있다.In addition, through the alarms delivered from multiple Ladon-SGS systems, the security policy server comprehensively analyzes the traffic patterns and allows the new security policy to be applied to the Ladon-SGS system to quickly and proactively respond to new malicious traffic attacks. Can be.

더욱이 여러 공격자로부터 일어나는 분산 서비스 거부공격을 원천적으로 방지하여, 웹서버나 기타 서버들이 정상적인 서비스를 지속적으로 유지할 수 있을 뿐만 아니라 유해 트래픽 발견시 침입경보 중요도를 산출하여 빈번히 일어나는 침입에 대해서는 시스템 자체내에서 해결할 수 있도록 함으로써 매번 경보를 전송하여 발생할 수 있는 트래픽 흐름의 저해요인을 방지하여 정상적인 네트워크 흐름을 유지할 수 있다.Moreover, by preventing distributed denial of service attacks from multiple attackers, web servers or other servers not only maintain normal service, but also calculate the importance of intrusion alarm when harmful traffic is detected. By solving the problem, it is possible to maintain the normal network flow by preventing the impediment of traffic flow caused by sending an alarm every time.

Claims (6)

네트워크를 통해 불법침입하는 유해 트래픽에 대응하기 위해 하나의 보안정책서버의 관리망에 다수의 Ladon-SGS시스템을 갖는 보안 시스템에 있어서,In the security system having a plurality of Ladon-SGS system in the management network of one security policy server to cope with harmful traffic invading through the network, 상기 보안정책서버와 Ladon-SGS시스템과의 상호 연결을 설정하여 보안정책에 따른 정보를 송수신하는 통신처리수단;Communication processing means for establishing an interconnection between the security policy server and the Ladon-SGS system to transmit and receive information according to a security policy; 상기 Ladon-SGS시스템의 초기화와 관련된 작업들을 수행하고, 전체 시스템을 제어하는 시스템 제어수단;System control means for performing tasks related to the initialization of the Ladon-SGS system and controlling the entire system; 상기 보안정책서버에서 전달되는 보안정책을 Ladon-SGS 시스템에서 적용할 수 있도록 변환하는 보안정책 처리수단;Security policy processing means for converting the security policy transmitted from the security policy server to be applicable in the Ladon-SGS system; 네트워크를 통해 외부에서의 침입이 발생할 경우 그 침입의 유형을 분석하고, 분석된 결과를 침입탐지 경보처리수단에 전달하는 침입탐지 분석수단;Intrusion detection analysis means for analyzing the type of intrusion when an external intrusion occurs through the network and transferring the analyzed result to the intrusion detection alarm processing means; 상기 침입탐지 분석수단에서 분석된 침입유형과 관련된 정보를 근거로 미리 설정된 보안정책에 따라 정의된 침입경보 중요도(S)를 분석하고, 그 중요도(S)를 데이터 전송 기준값과 비교하여 시스템에서 대응할 것인지 아니면 보안정책서버로 전송할지에 대한 여부를 결정하는 침입탐지 경보처리수단;Based on the information related to the intrusion type analyzed by the intrusion detection analysis means, analyzes the intrusion alert importance (S) defined according to the preset security policy, and compares the importance (S) with the data transmission reference value to respond in the system. Or intrusion detection alert processing means for determining whether to transmit to the security policy server; 상기 보안정책 처리수단에서 변환된 보안정책, 침입탐지 및 탐지된 침입에 대한 대응결과들을 저장하기 위한 보안정책 저장수단; 및Security policy storage means for storing the security policy converted by the security policy processing means, the intrusion detection and the corresponding results of the detected intrusion; And 차단정책에 의해 정의된 불법 침입, 유해 트래픽으로 판단된 트래픽을 차단하는 기능을 수행하는 침입차단 처리수단;을 포함하여 구성된 것을 특징으로 하는라돈-보안게이트웨이 시스템.Radon-secure gateway system comprising a; intrusion blocking processing means for performing the function of blocking the traffic determined to be illegal intrusion, harmful traffic defined by the blocking policy. 제 1항에 있어서, 상기 침입탐지 경보처리수단에서의 침입경보 중요도(S)는 다음과 같은 함수를 갖는 것을 특징으로 하는 라돈-보안게이트웨이 시스템.The radon-security gateway system according to claim 1, wherein the intrusion alarm importance level (S) in the intrusion detection alarm processing means has a function as follows. S = (C + L) - (SC + NC)S = (C + L)-(SC + NC) 단, C는 공격의 유형 값, L은 공격의 치명성, SC는 희생자 시스템의 상태, NC는 현재 네트워크 트래픽량 이다.Where C is the type of attack, L is the criticality of the attack, SC is the victim system's state, and NC is the current network traffic. 보안정책서버와 다수의 Ladon-SGS 시스템간의 통신에 의해 보안정책을 설정하는 방법에 있어서,In the method of setting the security policy by communication between the security policy server and a plurality of Ladon-SGS system, Ladon-SGS 시스템을 초기화하고 보안정책서버와 연결설정이 완료된 상태에서 상기 Ladon-SGS 시스템 구성정보를 상기 보안정책서버로 전송하는 것에 의해 식별자를 부여받는 단계;Initializing a Ladon-SGS system and receiving an identifier by transmitting the Ladon-SGS system configuration information to the security policy server in a state where connection establishment with the security policy server is completed; 상기 보안정책서버에서 부여된 식별자를 저장하고 상기 보안정책서버로 보안정책을 수신할 준비가 되었음을 통보하는 단계;Storing an identifier assigned by the security policy server and notifying the security policy server that it is ready to receive a security policy; 상기 보안정책서버로부터 전송된 보안정책을 수신하여 저장수단에 저장하는 단계; 및Receiving a security policy transmitted from the security policy server and storing the security policy in a storage means; And 상기 수신된 보안정책이 탐지정책인지 차단정책인지를 분석하고, 탐지정책일 경우 침입탐지 분석수단에 보안정책에 대한 갱신을 통보하며, 차단정책일 경우 침입차단 처리수단에 보안정책에 대한 갱신을 통보한 후 상기 보안정책서버로 보안정책 저장완료를 통보하는 단계;를 포함하는 루틴을 수행하는 것에 의해,Analyzing whether the received security policy is a detection policy or a blocking policy, and notifying the intrusion detection analysis means of the update of the security policy in the case of the detection policy, and notifying the intrusion blocking processing means of the update of the security policy in the case of the blocking policy. And then notifying the security policy storage completion to the security policy server. 어느 하나의 Ladon-SGS 시스템으로부터 신규한 유해 트래픽이 검출될 경우 상기 보안정책서버에서 상기 유해 트래픽에 대해 정보를 분석하고, 그에 따른 신규 보안정책을 관리망에 속해 있는 모든 Ladon-SGS 시스템으로 전송하는 것을 특징으로 하는 라돈-보안게이트웨이 시스템에서의 보안정책 설정방법.When new harmful traffic is detected from one of the Ladon-SGS systems, the security policy server analyzes the information about the harmful traffic and transmits the new security policy to all Ladon-SGS systems belonging to the management network. Security policy setting method in the radon-security gateway system, characterized in that. 불법침입에 대응하기 위해 하나의 보안정책서버의 관리망에 다수의 Ladon -SGS시스템이 포함된 보안 시스템에서 유해 트래픽의 침입에 대한 경보를 생성하는 방법에 있어서,In the method for generating an alarm for the intrusion of harmful traffic in a security system that includes a plurality of Ladon -SGS system in the management network of one security policy server to counter the intrusion, 상기 다수의 Ladon-SGS 시스템중 어느 하나의 시스템에서 유해 트래픽이 검출될 경우 해당 시스템에서 상기 유해 트래픽의 유형을 분석하는 단계;Analyzing the type of harmful traffic in the system when harmful traffic is detected in any one of the plurality of Ladon-SGS systems; 그 분석된 유해 트래픽에 대한 대응과 그 대응결과를 포함한 정보를 침입차단 처리수단으로 전송함과 동시에 침입탐지 경보메시지를 생성하는 단계; 및Transmitting an information including the response to the analyzed harmful traffic and the result of the response to the intrusion prevention processing means and simultaneously generating an intrusion detection alarm message; And 상기 유해 트래픽에 대한 침입경보 중요도(S)에 따라 대응방법 및 그 대응결과를 시스템에 저장할 것인지 침입에 관련된 사항들을 보안정책 서버로 전송할 것인지 판단하여 처리하는 단계;를 포함하는 루틴을 수행하는 것에 의해, 상기 보안정책서버에서 불법침입에 대한 패턴을 분석하고 새로운 보안정책을 수립하여 관리망에 속해 있는 모든 Ladon-SGS 시스템으로 전송하는 것을 특징으로 하는 라돈-보안게이트웨이 시스템에서의 경보생성 방법.Determining whether to store the response method and the result of the response in the system according to the intrusion alarm importance level (S) for the harmful traffic or transmit the details related to the intrusion to the security policy server; and by performing a routine. And analyzing the pattern of illegal intrusion in the security policy server, establishing a new security policy, and transmitting it to all Ladon-SGS systems in the management network. 제 4항에 있어서, 상기 유해 트래픽에 대한 침입탐지 경보메시지를 전송하는 단계에서,According to claim 4, In the step of transmitting an intrusion detection alert message for the harmful traffic, 상기 유해 트래픽에 대해 공격 유형값(C), 공격의 치명성(L), 희생자 시스템의 상태(SC) 및 현재 네트워크 트래픽량(NC)의 인자들을 통해 침입경보 중요도(S)를 정의된 함수에 의해 계산하는 단계;Intrusion alert importance (S) is defined in the defined function through factors of attack type value (C), attack fatality (L), victim system status (SC) and current network traffic amount (NC) for the harmful traffic. Calculating by; 상기 침입경보 중요도(S)가 설정된 기준 데이터 전송량보다 작을 경우 침입탐지 경보를 데이터 베이스에 저장하여 시스템 자체에서 처리하는 단계; 및Storing the intrusion detection alert in a database and processing the system itself when the intrusion alert importance level S is smaller than a set reference data transmission amount; And 상기 침입경보 중요도(S)가 상기 기준 데이터 전송량보다 클 경우 침입유형 및 대응에 관련된 사항들을 상기 보안정책서버로 전송하는 단계;를 포함하는 것을 특징으로 하는 라돈-보안게이트웨이 시스템에서의 경보생성 방법.And transmitting information related to the intrusion type and the response to the security policy server when the intrusion alert importance level (S) is greater than the reference data transmission amount. 제 4항 또는 5항중 어느 한 항에 있어서,The method according to any one of claims 4 to 5, 상기 침입경보 중요도(S)는 다음과 같은 함수를 갖는 것을 특징으로 하는 라돈-보안게이트웨이 시스템에서의 경보생성 방법.The intrusion alarm importance level (S) has a function as follows alarm generation method in a radon-security gateway system. S = (C + L) - (SC + NC)S = (C + L)-(SC + NC) 단, C는 공격의 유형 값, L은 공격의 치명성, SC는 희생자 시스템의 상태, NC는 현재 네트워크 트래픽량 이다.Where C is the type of attack, L is the criticality of the attack, SC is the victim system's state, and NC is the current network traffic.
KR10-2001-0080720A 2001-12-18 2001-12-18 The mechanism of security policy stores and detection alert generation in Ladon-SGS KR100427448B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0080720A KR100427448B1 (en) 2001-12-18 2001-12-18 The mechanism of security policy stores and detection alert generation in Ladon-SGS

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0080720A KR100427448B1 (en) 2001-12-18 2001-12-18 The mechanism of security policy stores and detection alert generation in Ladon-SGS

Publications (2)

Publication Number Publication Date
KR20030050307A true KR20030050307A (en) 2003-06-25
KR100427448B1 KR100427448B1 (en) 2004-04-14

Family

ID=29576051

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0080720A KR100427448B1 (en) 2001-12-18 2001-12-18 The mechanism of security policy stores and detection alert generation in Ladon-SGS

Country Status (1)

Country Link
KR (1) KR100427448B1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100502079B1 (en) * 2003-08-27 2005-07-25 한국전자통신연구원 Alert traffic control approach for security management system in wide area network
KR100621588B1 (en) * 2004-11-03 2006-09-19 삼성전자주식회사 Method for maintaining a secure communication channel based on platform integrity and communication apparatus using the same
US7680062B2 (en) 2004-12-02 2010-03-16 Electronics And Telecommunications Research Institute Apparatus and method for controlling abnormal traffic
KR101694096B1 (en) 2016-04-28 2017-01-17 충 회 김 Flame resistance coating liquid and the manufacturing process for expanded polystyreng bead

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100439950B1 (en) * 2001-05-22 2004-07-12 (주)인젠 Network Based Intrusion Detection System
KR100422807B1 (en) * 2001-09-05 2004-03-12 한국전자통신연구원 Security gateway apparatus for controlling of policy-based network security and its proceeding method
KR20030056652A (en) * 2001-12-28 2003-07-04 한국전자통신연구원 Blacklist management apparatus in a policy-based network security management system and its proceeding method

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100502079B1 (en) * 2003-08-27 2005-07-25 한국전자통신연구원 Alert traffic control approach for security management system in wide area network
KR100621588B1 (en) * 2004-11-03 2006-09-19 삼성전자주식회사 Method for maintaining a secure communication channel based on platform integrity and communication apparatus using the same
US7680062B2 (en) 2004-12-02 2010-03-16 Electronics And Telecommunications Research Institute Apparatus and method for controlling abnormal traffic
KR101694096B1 (en) 2016-04-28 2017-01-17 충 회 김 Flame resistance coating liquid and the manufacturing process for expanded polystyreng bead

Also Published As

Publication number Publication date
KR100427448B1 (en) 2004-04-14

Similar Documents

Publication Publication Date Title
US7832006B2 (en) System and method for providing network security
US6775657B1 (en) Multilayered intrusion detection system and method
KR20160002058A (en) Modbus Communication Pattern Learning Based Abnormal Traffic Detection Apparatus and Method
JP2006518963A (en) Internal network data traffic control system and method
EP1833227B1 (en) Intrusion detection in an IP connected security system
US20120137362A1 (en) Collaborative security system for residential users
KR100427448B1 (en) The mechanism of security policy stores and detection alert generation in Ladon-SGS
JP5307238B2 (en) Intrusion prevention method and system for communication networks
KR20020075319A (en) Intelligent Security Engine and Intelligent and Integrated Security System Employing the Same
JP2005071218A (en) Unauthorized access defense system, policy management device, unauthorized access defense method, and program
KR101343693B1 (en) Network security system and method for process thereof
Patil et al. Analysis of distributed intrusion detection systems using mobile agents
JP2020135346A (en) Plant monitoring control system
CN113206852B (en) Safety protection method, device, equipment and storage medium
KR20070008804A (en) Host-based security system and method for providing security service
KR20040049714A (en) System for a security using internet and method thereof
KR100464567B1 (en) A Method for Handling Intrusion Packet of Active Network using Sensor
JPH09204385A (en) Network access managing method
CN111131172B (en) Method for actively calling service by intranet
JP2005318037A (en) Unauthorized use monitoring system, unauthorized use monitoring/alarming apparatus, and unauthorized use monitoring method
JP3309961B2 (en) Network attack defense system by traffic shaping
US20100157806A1 (en) Method for processing data packet load balancing and network equipment thereof
JP3446891B2 (en) Monitoring system
KR100432166B1 (en) Apparatus for transmission message for the transmission of security policy for global intrusion detection system and method for processing transmission of security policy
KR20090071502A (en) Threat detecting method using behavior characteristic of intelligent software robot and system therefor

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20100401

Year of fee payment: 7

LAPS Lapse due to unpaid annual fee