KR20030057929A - Public network and private network combination security system and method thereof - Google Patents

Public network and private network combination security system and method thereof Download PDF

Info

Publication number
KR20030057929A
KR20030057929A KR1020010088035A KR20010088035A KR20030057929A KR 20030057929 A KR20030057929 A KR 20030057929A KR 1020010088035 A KR1020010088035 A KR 1020010088035A KR 20010088035 A KR20010088035 A KR 20010088035A KR 20030057929 A KR20030057929 A KR 20030057929A
Authority
KR
South Korea
Prior art keywords
network
log
internal
traffic
security
Prior art date
Application number
KR1020010088035A
Other languages
Korean (ko)
Other versions
KR100466798B1 (en
Inventor
황규대
배희찬
민경원
Original Assignee
(주)대정아이앤씨
황규대
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)대정아이앤씨, 황규대 filed Critical (주)대정아이앤씨
Priority to KR10-2001-0088035A priority Critical patent/KR100466798B1/en
Publication of KR20030057929A publication Critical patent/KR20030057929A/en
Application granted granted Critical
Publication of KR100466798B1 publication Critical patent/KR100466798B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Abstract

PURPOSE: An internal/external network integrated security system and method thereof are provided to control every traffic generated on a network and actively cope with a security violation event by adding a network detecting function and performing an independent log policy. CONSTITUTION: A firewall system(100) improves a performance of a security system by recording only a violated matter among functions such as a packet filter, a NAT(Network Address Translation) and a VPN(Virtual Private Network) as log information. An NIDS(Network Intrusion Detection System)(200) actively copes with a violated matter by detecting a traffic generated on an internal network. The NIDS collects and analyzes packets, then records only a violated matter as log information. A network log managing system(300) records log information on a traffic used in an internal network and a traffic from the internal network to an external network or from the external network to the internal network, and improves a performance and safety of a security system by collecting packets through an interface. A Log1 is a database storing violation log information in the firewall system(100). Log2 is a database storing detection(violation) log information received from the NIDS(200). Log3 is a database storing log information of a normally passed traffic in the firewall system(100) and every network traffic generated in the internal network. Interface1 is exclusively used for the external network. Interface2 is exclusively used for the internal network and communication. Interface3 is exclusively used for the NIDS. Interface4 is exclusively used for a network log.

Description

내·외부망 통합 보안 시스템 및 방법 {PUBLIC NETWORK AND PRIVATE NETWORK COMBINATION SECURITY SYSTEM AND METHOD THEREOF}Internal and external network integrated security system and method {PUBLIC NETWORK AND PRIVATE NETWORK COMBINATION SECURITY SYSTEM AND METHOD THEREOF}

본 발명은 보안 시스템 및 방법에 관한 것으로서, 특히 방화벽(Firewall)과 네트워크 침입 탐지 시스템(Network Intrusion Detection System; 이하 NIDS라고 함)에 기반하여 외부망의 보안 기능 뿐만 아니라 내부망의 보안 기능도 제공할 수 있는 내·외부망 통합 보안 시스템 및 방법에 관한 것이다.The present invention relates to a security system and method, and in particular, based on a firewall and a network intrusion detection system (hereinafter referred to as NIDS) to provide not only an external network security function but also an internal network security function. The present invention relates to an internal and external network integrated security system and method.

컴퓨터 시스템에 사용되는 방화벽은 인터넷과 같은 외부 네트워크에 연결되어 있는 내부 네트워크의 중요한 정보 및 자원을 외부 네트워크를 통한 불법적인 침입으로부터 안전하게 보호하기 위한 시스템을 말하는 것이다. 상기 방화벽 시스템은 외부로부터 내부 네트워크를 보호하기 위해 강력한 접근 제어를 제공하는데, 특정한 규칙을 적용하여 특별한 서비스나 호스트를 허락하고 거부하는 설정을 한다. 만약 네트워크 트래픽이 허락된 패턴과 일치한다면 그 서비스나 접속을 허락하고, 그것이 어떤 패킷을 포함하고 있는지는 고려하지 않는다.A firewall used in a computer system refers to a system for protecting important information and resources of an internal network connected to an external network, such as the Internet, from illegal intrusion through an external network. The firewall system provides powerful access control to protect the internal network from the outside. The firewall system is configured to allow and deny special services or hosts by applying specific rules. If the network traffic matches the allowed pattern, the service or connection is allowed, and it does not consider what packets it contains.

기존의 방화벽에 사용되고 있는 방식은 대리 접속 방식과 패킷 차단 방식으로 나눌 수 있다. 상기 대리 접속 방식은 역시 트래픽이 집중되는 지점에서 사용자들의 접속을 직접 차단하고 수신지로의 접속을 대행하는 방식으로 사용자의 정보와 수신지의 정보를 토대로 정책을 적용한다. 이러한 방식은 적용할 정책 검사 속도 뿐만 아니라 일일이 모든 접속을 차단하고 직접 스스로가 접속을 대리하므로 성능이 낮고, 접속시 마다 시스템 자원을 많이 점유하여 동시에 가능한 접속수가 매우 낮다.The existing firewalls can be divided into surrogate connection and packet blocking. The surrogate access method also applies a policy based on the user's information and the destination's information in a manner of directly blocking the user's access at the point where traffic is concentrated and acting as a substitute for the destination. This method has low performance because it blocks all connections and directly acts on its own, as well as the policy checking speed to be applied.

반면에, 패킷 차단 방식은 트래픽 집중 지점에서 두 네트워크 간에 왕래하는 모든 패킷들을 일일이 정책들과 비교하여 차단 및 통과 작업을 수행하는데, 이 경우에는 방화벽 시스템에 별도의 프로그램을 띄울 필요가 없고, 접속을 차단하지 않기 때문에 대리 접속 방식 보다는 성능상 유리한 점이 많으므로 요즘은 대부분의 트래픽을 패킷 차단 방식으로 처리하고, 몇몇 특수 통신 방식에 대해서만 대리 접속 방식을 적용하고 있다.On the other hand, the packet blocking method compares all packets coming and going between two networks at the traffic concentration point and performs blocking and traversal. In this case, there is no need to run a separate program on the firewall system. Since there are many performance advantages over the surrogate connection because it does not block, most traffic is handled by the packet-blocking method, and the surrogate connection is applied only to some special communication methods.

그러나, 이러한 패킷 차단 방식의 방화벽 시스템도 성능상 대리 접속 방식에비하여 유리하다고 할 뿐이지 급증하는 인터넷 트래픽의 완벽한 처리를 가능하게 하지는 못하고 있는 실정이다. 이는 유입되는 모든 패킷을 일일이 설정해 놓은 정책과 비교하는 과정에서 지연되는 시간에 기인한 것으로서, 패킷 차단 방식의 방화벽 시스템의 성능 저하는 80% 이상이 정책 판별에서 소요되는 지연 시간에 기인한다고 볼 수 있다.However, such a packet blocking firewall system is also advantageous in terms of performance compared to the surrogate connection method, but does not allow perfect processing of rapidly increasing Internet traffic. This is due to the delay in the process of comparing all incoming packets with the policy that has been set individually, and it can be said that over 80% of the performance degradation of the packet blocking firewall system is due to the delay in determining the policy. .

이와 같이, 방화벽은 내부망에서 외부망 또는 외부망에서 내부망으로의 트랙픽만을 제어할 수 있으며, 실질적으로 내부망에서 발생하는 트랙픽에 대한 제어가 불가능하며, Log 기능을 포함하는 주엔진(즉, 네트워크 로그 관리 시스템)이 성능 저하를 일으킨다.As such, the firewall can control only the traffic from the internal network to the external network or the external network to the internal network, and it is practically impossible to control the traffic occurring in the internal network, and the main engine including the log function (that is, Network log management system) causes performance degradation.

한편, IDS는 시스템에 접근하는 트랙픽의 패킷과 해킹의 데이터베이스 비교과정을 통해 관리자에게 침입시도를 실시간으로 알려주는 보안장치로서, 모든 트래픽을 캡쳐하고 면밀히 살피고 그것이 허락되었는지 아닌지는 고려하지 않는다는 점에서 방화벽과 차이를 가진다.IDS, on the other hand, is a security device that informs administrators of intrusion attempts in real time through the process of comparing traffic packets to the system and hacking databases. Has a difference.

상기 IDS는 트래픽 제어, 실시간 모니터링 및 침입 탐지, 침입 차단, 침입 분석 및 보고의 기능을 수행한다. 일반적으로 IDS는 라우터와 방화벽 사이에 마련되어 있으며, 따라서 방화벽 또는 내부 네트워크로의 침입을 탐지할 수 있다.The IDS performs the functions of traffic control, real time monitoring and intrusion detection, intrusion prevention, intrusion analysis and reporting. In general, the IDS is located between the router and the firewall, so it can detect intrusions into the firewall or the internal network.

이러한 IDS는 네트웍 기반의 IDS(NIDS)와 호스트 기반의 IDS(HIDS)로 분류되고, 그 차이점으로 물리적인 위치를 들 수 있다. 상기 NIDS는 일반적으로 네트웍 트리에서 방화벽의 바로 밑에 위치하여 고객의 시스템 전체에 접근하려하는 트랙픽의 모든 패킷을 분석하며, 상기 HIDS는 보안 대상 서버에 설치하여 해당서버에서처리하려하는 패킷에 대해서만 분석한다.These IDSs are classified into network-based IDS (NIDS) and host-based IDS (HIDS), and the difference is physical location. The NIDS generally analyzes all packets of traffic that are located under the firewall in the network tree and attempts to access the entire customer's system.The HIDS analyzes only those packets that are installed on the server to be secured and processed by the server. .

상기 NIDS는 시스템의 수가 많을수록 경제적이며, 시스템의 자원을 사용하지 않기 때문에 서버의 부하를 경감시키는 반면, 트래픽이 많을 경우 네트웍 전체에 대한 부하 요소로 작용한다는 단점을 가진다. 상기 HIDS는 서버에 설치되기 때문에 네트웍의 부하를 줄일 수 있고, 보안 대상 서버에만 설치할 수 있기 때문에 시스템의 규모가 작을수록 경비가 절감된다는 장점을 가진다. 그러나, 서버의 자원을 활용하므로 부하의 요인으로 작용될 수 있으며 서버당 제품을 설치해야 하므로 시스템의 규모가 늘어날수록 경비도 비례적으로 증가한다는 단점을 가진다.The higher the number of systems, the more economical it is, and because it does not use the resources of the system to reduce the load of the server, while the traffic has a disadvantage that acts as a load factor for the entire network. Since the HIDS is installed in the server, the network load can be reduced, and since the HIDS can be installed only in the server to be secured, the smaller the size of the system, the lower the cost. However, because it utilizes the resources of the server, it can act as a load factor, and since the product per server must be installed, the cost increases proportionally as the size of the system increases.

이미 설명한 바와 같이, 상기 방화벽과 IDS는 각기 다른 장단점을 가지지만, 이들은 독립적으로만 구성되어 왔으며, 따라서 설치 비용의 증가뿐만 아니라 보안 홀(security hole) 문제가 빈번하게 발생하는 경향을 가지고 있다.As already explained, the firewall and IDS have different advantages and disadvantages, but they have been configured only independently, and therefore, there is a tendency that security hole problems occur frequently as well as an increase in installation cost.

따라서, 본 발명은 상술한 문제점을 해결하기 위하여 안출된 것으로, 능동적인 대응이 불가능했던 기존 보안 시스템들의 단점을 보완하여 보안 기능 및 성능을 극대화함을 목적으로 한다.Accordingly, the present invention has been made to solve the above problems, and aims at maximizing security functions and performances by compensating for the disadvantages of existing security systems that cannot be actively responded to.

본 발명의 다른 목적은 기존 보안 시스템에 네트워크 탐지 기능을 접목하고 독립된 로그 정책을 수행함으로써 네트워크상에서 발생하는 모든 트랙픽에 대한 제어 뿐만 아니라 보안 위반 사건에 대하여 능동적으로 대응할 수 있도록 하는 것이다.Another object of the present invention is to integrate a network detection function with an existing security system and to perform an independent log policy to actively respond to a security breach as well as to control all traffic occurring in the network.

도 1은 본 발명에 따른 내·외부망 통합 보안 시스템의 개략적인 블록 구성도.1 is a schematic block diagram of an internal and external network integrated security system according to the present invention.

도 2는 본 발명에 따른 내·외부망 통합 보안 방법을 설명하는 도면.2 is a view for explaining the internal and external network integrated security method according to the present invention.

※ 도면의 주요부분에 대한 부호의 설명 ※※ Explanation of code about main part of drawing ※

100 : 방화벽 시스템 200 : 네트워크 침입 탐지 시스템100: firewall system 200: network intrusion detection system

300 : 네트워크 로그 관리 시스템 Log1 : 정책위반 로그300: network log management system Log1: policy violation log

Log2 : 보안위반 로그 Log3 : 모든 트래픽 로그Log2: Security violation log Log3: Log all traffic

본 발명에 따른 보안 시스템은 크게 방화벽 시스템, 네트워크 침입 탐지 시스템, 및 네트워크 로그 관리 시스템으로 구성되며, 방화벽 시스템에서 보안정책에 적합하다고 판단된 트래픽의 정보 및 내부망의 모든 트래픽 정보의 로그정보가 네트워크 로그 관리 시스템에 의해 저장되며, 방화벽 시스템과 NIDS의 통합 보안 시스템에 있어서 가장 처리시간이 지연되는 로그 정보 저장을 독립적으로 수행함으로써 방화벽과 NIDS 통합시스템이 효율적으로 운용될 수 있도록 한다.The security system according to the present invention mainly comprises a firewall system, a network intrusion detection system, and a network log management system, and the log information of all the traffic information of the internal network and the traffic information determined to be suitable for the security policy in the firewall system It is stored by the log management system, and the firewall and NIDS integrated system can efficiently operate the firewall and NIDS integrated system by independently storing the log information that delays the processing time.

상기 방화벽 시스템과 네트워크 침입 탐지 시스템이 정책위반 로그 또는 보안위반 로그만을 기록하고 상기 네트워크 로그 관리 시스템이 모든 수집된 로그를 기록하게 함으로써 보안 성능 및 안전성을 향상시킬 수 있다.The firewall system and the network intrusion detection system may record only the policy violation log or the security violation log and the network log management system records all collected logs to improve security performance and safety.

도 1은 본 발명에 따른 내·외부망 통합 보안 시스템의 개략적인 블록 구성도로서, 상기 보안 시스템은 방화벽 시스템(100), 네트워크 침입 탐지 시스템(200)(NIDS), 및 네트워크 로그 관리 시스템(300)(Log_system)으로 구성된다.1 is a schematic block diagram of an internal and external network integrated security system according to the present invention. The security system includes a firewall system 100, a network intrusion detection system 200 (NIDS), and a network log management system 300. (Log_system).

상기 방화벽 시스템(100)은 패킷 필터, NAT(Network Address Translation : 자동 주소변환), VPN((Virtual Private Network : 가설 사설망) 등의 기능 중 위반된 사항만을 로그(log) 정보로 기록함으로써 보안 시스템의 성능을 향상시킨다.The firewall system 100 records only the violations among functions such as packet filter, NAT (Automatic Address Translation), VPN (Virtual Private Network) as log information, and the like. Improve performance

상기 네트워크 침입 탐지 시스템(200)은 내부 네트워크상에서 발생하는 트랙픽을 탐지하여 위반된 사항에 대하여 능동적으로 대처할 수 있고, 패킷 수집 분석 대응의 단계로 처리되며, 위반된 사항에 대해서만 로그 정보로 기록한다.The network intrusion detection system 200 detects the traffic occurring on the internal network and actively responds to the violations, is processed in a packet collection analysis response step, and records only the violations as log information.

상기 네트워크 로그 관리 시스템(300)은 내부망에서의 내부 사용 트랙픽 및내부망에서 외부망, 외부망에서 내부망으로의 트래픽에 대한 로그 정보를 기록한다. 기존의 각 기능별로 수집한 로그를 별도의 인터페이스를 통하여 패킷을 수집하여 기록함으로써 보안 시스템의 성능 및 안전성을 보다 더 향상시킨다.The network log management system 300 records log information on internal usage traffic in the internal network and traffic from the internal network to the external network and the external network to the internal network. It collects and records the packets collected by each existing function through a separate interface to further improve the performance and safety of the security system.

Log1은 방화벽 시스템(100)에서의 위반 로그 정보가 저장되는 데이터베이스이고, Log2는 NIDS(200)로부터의 탐지(위반) 로그 정보가 저장되는 데이터베이스이며, Log3는 방화벽 시스템(100)에서 정상적으로 통과된 트래픽 및 내부망에서 발생한 모든 네트워크 트래픽 로그 정보가 네트워크 로그 관리 시스템(200)에 의해 저장되는 데이터베이스이다.Log1 is a database where violation log information in the firewall system 100 is stored, Log2 is a database where detection (violation) log information from the NIDS 200 is stored, and Log3 is a traffic that is normally passed through the firewall system 100. And all network traffic log information generated in the internal network are stored by the network log management system 200.

인터페이스1은 외부망, 인터페이스2는 내부 및 통신용, 인터페이스3는 NIDS 전용, 인터페이스4는 네트워크 로그 전용이다.Interface 1 is for external network, Interface 2 is for internal and communication, Interface 3 is for NIDS only, and Interface 4 is for network logs only.

각각의 네트워크 인터페이스1, 2, 3, 4는 내부 네트워크, 외부 네트워크와 인터페이싱하는데 사용되며, 'Carrier SenseMultiple Access with Collision Detection (CSMA/CD) access method and Physical layer specifications'로 명명된 IEEE(Institute of Electrical and Electronics Engineers) 표준 802.3을 만족하도록 설계된다. 그러나, 당업자라면 다른 매체 액세스 기법 또는 표준과 동작하도록 설계된 네트워크 인터페이스가 본 발명에 사용될 수 있음을 이해할 수있을 것이다.Each of the network interfaces 1, 2, 3, and 4 is used to interface with internal and external networks, and is named the Institute of Electrical (IEC) named Carrier Sense Multiple Access with Collision Detection (CSMA / CD) access method and Physical layer specifications. and Electronics Engineers) are designed to meet standard 802.3. However, one of ordinary skill in the art will appreciate that a network interface designed to operate with other media access techniques or standards may be used in the present invention.

이제 본 발명에 따른 내·외부망 통합 보안 방법을 설명하는 도면인, 도 2를 참조하여 상기 내·외부망 통합 보안 시스템의 동작을 설명하면 다음과 같다.Referring now to Figure 2, which is a diagram illustrating a method for integrated internal and external network security according to the present invention will be described the operation of the internal and external network integrated security system.

A. 외부망 => 내부망, 내부망 => 외부망A. External Network => Internal Network, Internal Network => External Network

1) 방화벽 시스템(100)1) Firewall system (100)

a. 외부망 => 내부망a. External network => internal network

본 발명에 따른 보안 시스템이 위치한 지점에서 Interface1로 유입되는 패킷에 대하여 방화벽 시스템의 보안 정책에 의해 패킷 필터, VPN, NAT 기능을 수행하여 패킷을 내부 시스템으로 허용 및 거부를 결정하여 수행한다. 여기에서, 종래와 같이 허용 및 거부(차단)되는 조건에 대한 모든 로그 기록을 수행하면 패킷 처리 성능의 저하가 발생하므로 거부조건에 대해서만 로그 기록을 남기고 허용 패킷은 별도의 로그 시스템에서 처리하고 인터페이스2로 넘긴다.The packet flowing into Interface1 at the point where the security system is located according to the present invention performs packet filter, VPN, and NAT functions according to the security policy of the firewall system to determine whether to allow and reject the packet to the internal system. In this case, if all log recordings for conditions that are allowed and rejected (blocked) are performed as in the prior art, packet processing performance is deteriorated. Therefore, log records are left only for rejected conditions, and allow packets are processed by a separate log system. Turn it over.

b. 내부망 => 외부망b. Internal network => external network

본 발명에 따른 보안 시스템이 위치한 지점에서 인터페이스2로 유입되는 패킷에 대하여 방화벽 시스템의 보안 정책에 의해 패킷 필터, VPN, NAT 기능을 수행하여 패킷을 외부 시스템으로 허용 및 거부를 결정하여 수행한다. 여기에서 허용 및 거부(차단)되는 조건에 대한 모든 로그 기록을 수행하면 패킷 처리 성능의 저하가 발생하므로 거부조건에 대해서만 로그 기록을 남기고 허용 패킷은 별도의 로그 시스템에서 처리하고 인터페이스1으로 넘긴다.A packet filter, a VPN, and a NAT function are performed according to the security policy of the firewall system for the packet flowing into the interface 2 at the point where the security system according to the present invention is located. In this case, if all log records for the conditions allowed and rejected (blocking) are performed, packet processing performance is degraded. Therefore, log records are recorded only for the rejection conditions, and allow packets are processed by a separate log system and passed to Interface 1.

B. 내부망 => 내부망, 내부망 => 외부망, 외부망 => 내부망B. Internal network => internal network, internal network => external network, external network => internal network

2) 네트워크 침입 탐지 시스템(200)2) network intrusion detection system (200)

본 보안 시스템 인터페이스3로 내부망의 모든 네트워크 패킷을 수집 및 분석하여 위반 행위에 대한 능동적인 대응을 수행하고 로그로 남긴다. 상기 인터페이스4는 네트워크 탐지 시스템 전용으로 사용한다.This security system interface3 collects and analyzes all network packets in the internal network to proactively respond to violations and log them. The interface 4 is used exclusively for the network detection system.

3) 네트워크 로그 관리 시스템(200)3) Network log management system 200

본 보안 시스템 인터페이스4로 내부망의 모든 네트워크 패킷을 수집하여 로그로 관리한다. 본 시스템에 있어서, 방화벽 시스템(100)에서 보안정책에 적합하다고 판단된 트래픽의 정보 및 내부망의 모든 트래픽 정보의 로그정보가 네트워크 로그 관리 시스템(200)에 의해 저장되며, 본 시스템(200)은 방화벽 시스템과 NIDS의 통합 보안 시스템에 있어서 가장 처리시간이 지연되는 로그 정보 저장을 독립적으로 수행함으로써 방화벽과 NIDS 통합시스템이 효율적으로 운용될 수 있도록 한다. 참고로, 본 시스템(200)은 별도의 하드웨어로 구동되어 성능을 더욱 향상시킬 수 있으며, 또한 방화벽 시스템(100)과 NIDS(200)도 별도의 하드웨어로 구동되어 성능을 향상시킬 수 있다. 인터페이스4는 네트워크 패킷 수집 전용으로 상기 방화벽 시스템 및 네트워크 침입 탐지 시스템에서 로그기능을 통합하여 수행한다.This security system interface4 collects all network packets of internal network and manages them by log. In the present system, the network log management system 200 stores the traffic information and the log information of all traffic information of the internal network determined to be suitable for the security policy in the firewall system 100, and the system 200 In the integrated security system of the firewall system and the NIDS, the firewall and the NIDS integrated system can be efficiently operated by independently storing the log information with the lowest processing time. For reference, the system 200 may be driven by separate hardware to further improve performance, and the firewall system 100 and the NIDS 200 may also be driven by separate hardware to improve performance. Interface 4 is dedicated to network packet collection and integrates the log function in the firewall system and the network intrusion detection system.

이상 설명한 바와 같이. 본 발명에 따른 보안 시스템은 기존 보안 시스템의 단점을 보안하여 보안 기능 및 성능을 극대화 할 수 있는 방안을 설계하기 위하여 기존 보안 시스템에 네트워크 탐지 기능을 접목하고, 독립된 로그 정책으로 인하여 네트워크 상에서 발생하는 모든 트랙픽에 대하여 제어하고 보안 위반 사건에 대하여 능동적으로 대응하며, 별도의 원격 관리 및 시스템 관리 모듈이 존재하여 시스템 성능 및 상태를 체크하여 최상의 조건 하에 시스템이 운영될 수 있도록 한다.As explained above. The security system according to the present invention incorporates a network detection function into an existing security system in order to design a method for maximizing security functions and performances by securing the shortcomings of the existing security system, and all generated on the network due to an independent log policy. It controls the traffic and proactively responds to security violations, and there is a separate remote management and system management module to check the system performance and status so that the system can operate under the best conditions.

본 발명에 의하면, 네트워크상에서의 능동적인 대응이 불가능했던 기존 보안 시스템의 단점을 보안하여 보안 기능 및 성능을 극대화 할 수 있다.According to the present invention, it is possible to maximize the security function and performance by securing the shortcomings of the existing security system that was not active response on the network.

또한, 방화벽 시스템과 네트워크 침입 탐지 시스템이 허용 및 거부되는 조건에 대한 모든 로그 기록을 수행하지않고 별도의 로그 시스템을 운용하기 때문에 패킷 처리 성능의 저하가 발생하지않으므로 최상의 조건하에서 보안 시스템이 운영될 수 있도록 한다.In addition, since the firewall system and the network intrusion detection system operate separate log systems without performing all log records for the conditions that are allowed and denied, the packet processing performance does not decrease, so the security system can be operated under the best conditions. Make sure

Claims (4)

외부망에서 내부망 또는 내부망에서 외부망으로의 트래픽을 탐지하여 정책 위반 로그만을 제1 로그 DB로 저장하는 방화벽 시스템과;A firewall system that detects traffic from the external network to the internal network or the internal network to the external network and stores only the policy violation log as the first log DB; 내부 네트워크상에서 발생하는 트랙픽을 탐지하여 보안위반 로그만을 제2 로그 DB로 저장하는 네트워크 침입 탐지 시스템; 및A network intrusion detection system for detecting a traffic occurring on an internal network and storing only a security violation log as a second log DB; And 내부 네트워크, 외부 네트워크와 인터페이싱하는 인터페이스 수단을 포함하는 것을 특징으로 하는 내·외부망 통합 보안 시스템.Internal and external network integrated security system comprising an interface means for interfacing with an internal network, an external network. 청구항 1에 있어서, 상기 방화벽 시스템의 보안 정책에 적합한 트래픽의 로그들과 내부 네트워크에서 발생한 모든 트래픽의 로그들을 저장관리하는 네트워크 로그 관리 시스템을 더 포함하는 것을 특징으로 하는 내·외부망 통합 보안 시스템.The internal / external network integrated security system of claim 1, further comprising a network log management system configured to store and manage logs of traffic suitable for the security policy of the firewall system and logs of all traffic generated in the internal network. 방화벽 시스템이 패킷 수집 및 분석과정을 통하여 이들에 대한 정책위반 여부를 판단하는 단계를 포함하는데, 정책위반 로그만이 제1 로그 데이터베이스에 저장되며;Determining, by the firewall system, whether there is a policy violation against them through packet collection and analysis, wherein only the policy violation log is stored in the first log database; 네트워크 침입 탐지 시스템이 패킷 수집 및 분석과정을 통하여 이들에 대한 보안위반 여부를 판단하는 단계를 포함하는데, 보안위반 로그만이 제2 로그 데이터베이스에 저장되는 것을 특징으로 하는 내·외부망 통합 보안 방법.The network intrusion detection system includes a step of determining whether a security violation against them through packet collection and analysis, wherein only the security violation log is stored in the second log database. 청구항 3에 있어서, 네트워크 로그 관리 시스템이 상기 방화벽 시스템의 보안 정책에 적합한 트래픽 로그들과 내부 네트워크에서 발생한 모든 네트워크 트래픽 로그를 저장관리하는 단계를 더 포함하는 것을 특징으로 하는 내·외부망 통합 보안 방법.The method according to claim 3, further comprising the step of the network log management system storing and managing traffic logs suitable for the security policy of the firewall system and all network traffic logs generated in the internal network. .
KR10-2001-0088035A 2001-12-29 2001-12-29 Public network and private network combination security system and method thereof KR100466798B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0088035A KR100466798B1 (en) 2001-12-29 2001-12-29 Public network and private network combination security system and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0088035A KR100466798B1 (en) 2001-12-29 2001-12-29 Public network and private network combination security system and method thereof

Publications (2)

Publication Number Publication Date
KR20030057929A true KR20030057929A (en) 2003-07-07
KR100466798B1 KR100466798B1 (en) 2005-01-17

Family

ID=32215686

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0088035A KR100466798B1 (en) 2001-12-29 2001-12-29 Public network and private network combination security system and method thereof

Country Status (1)

Country Link
KR (1) KR100466798B1 (en)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040048468A (en) * 2002-12-03 2004-06-10 노봉남 A method for intrusion detection rate with audit correlation
KR100543664B1 (en) * 2001-12-17 2006-01-20 주식회사 윈스테크넷 system for protecting of network and operation method thereof
KR100734866B1 (en) * 2005-12-09 2007-07-03 한국전자통신연구원 Method and apparatus for detecting of abnormal packet
WO2008124295A1 (en) * 2007-04-02 2008-10-16 Microsoft Corporation Detecting adversaries by correlating detected malware with web access logs
KR101036766B1 (en) * 2010-07-16 2011-05-25 박인식 Outsole of shoe having gait correction portion
US8413247B2 (en) 2007-03-14 2013-04-02 Microsoft Corporation Adaptive data collection for root-cause analysis and intrusion detection
US8955105B2 (en) 2007-03-14 2015-02-10 Microsoft Corporation Endpoint enabled for enterprise security assessment sharing
US8959568B2 (en) 2007-03-14 2015-02-17 Microsoft Corporation Enterprise security assessment sharing
KR101527870B1 (en) * 2014-03-12 2015-06-10 주식회사 대은계전 Method and apparatus for maintaining security on wind power generaing network
KR20200082675A (en) * 2018-12-31 2020-07-08 아토리서치(주) A method, apparatus, and computer program for security control using network functional virtualization
CN112887264A (en) * 2020-12-30 2021-06-01 浙江远望信息股份有限公司 Illegal external connection detection method for NAT access equipment
CN113065127A (en) * 2021-02-24 2021-07-02 山东英信计算机技术有限公司 Database protection method, system and medium

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR19980022833A (en) * 1996-09-24 1998-07-06 최승렬 Apparatus and method for tracking information leakage
KR100401088B1 (en) * 2000-05-12 2003-10-10 시큐아이닷컴 주식회사 Union security service system using internet
KR20020000225A (en) * 2000-05-20 2002-01-05 김활중 A system and method for performing remote security management of multiple computer systems
KR100390086B1 (en) * 2000-07-03 2003-07-04 사파소프트 주식회사 Total system for preventing information outflow from inside
KR20020012855A (en) * 2000-08-09 2002-02-20 전창오 Integrated log analysis and management system and method thereof
KR100351306B1 (en) * 2001-01-19 2002-09-05 주식회사 정보보호기술 Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100543664B1 (en) * 2001-12-17 2006-01-20 주식회사 윈스테크넷 system for protecting of network and operation method thereof
KR20040048468A (en) * 2002-12-03 2004-06-10 노봉남 A method for intrusion detection rate with audit correlation
KR100734866B1 (en) * 2005-12-09 2007-07-03 한국전자통신연구원 Method and apparatus for detecting of abnormal packet
US8959568B2 (en) 2007-03-14 2015-02-17 Microsoft Corporation Enterprise security assessment sharing
US8413247B2 (en) 2007-03-14 2013-04-02 Microsoft Corporation Adaptive data collection for root-cause analysis and intrusion detection
US8955105B2 (en) 2007-03-14 2015-02-10 Microsoft Corporation Endpoint enabled for enterprise security assessment sharing
US7882542B2 (en) 2007-04-02 2011-02-01 Microsoft Corporation Detecting compromised computers by correlating reputation data with web access logs
US8424094B2 (en) 2007-04-02 2013-04-16 Microsoft Corporation Automated collection of forensic evidence associated with a network security incident
WO2008124295A1 (en) * 2007-04-02 2008-10-16 Microsoft Corporation Detecting adversaries by correlating detected malware with web access logs
KR101036766B1 (en) * 2010-07-16 2011-05-25 박인식 Outsole of shoe having gait correction portion
KR101527870B1 (en) * 2014-03-12 2015-06-10 주식회사 대은계전 Method and apparatus for maintaining security on wind power generaing network
KR20200082675A (en) * 2018-12-31 2020-07-08 아토리서치(주) A method, apparatus, and computer program for security control using network functional virtualization
CN112887264A (en) * 2020-12-30 2021-06-01 浙江远望信息股份有限公司 Illegal external connection detection method for NAT access equipment
CN112887264B (en) * 2020-12-30 2024-02-02 浙江远望信息股份有限公司 Illegal external connection detection method for NAT access equipment
CN113065127A (en) * 2021-02-24 2021-07-02 山东英信计算机技术有限公司 Database protection method, system and medium

Also Published As

Publication number Publication date
KR100466798B1 (en) 2005-01-17

Similar Documents

Publication Publication Date Title
US6816973B1 (en) Method and system for adaptive network security using intelligent packet analysis
US7051369B1 (en) System for monitoring network for cracker attack
US7493659B1 (en) Network intrusion detection and analysis system and method
CN101465770B (en) Method for disposing inbreak detection system
US20050182950A1 (en) Network security system and method
KR100358518B1 (en) Firewall system combined with embeded hardware and general-purpose computer
US20050005017A1 (en) Method and system for reducing scope of self-propagating attack code in network
US20050216956A1 (en) Method and system for authentication event security policy generation
US20040111637A1 (en) Method and system for responding to a computer intrusion
KR100466798B1 (en) Public network and private network combination security system and method thereof
US20040250114A1 (en) System and method for network quality of service protection on security breach detection
CN110572412A (en) Firewall based on intrusion detection system feedback in cloud environment and implementation method thereof
KR20000072707A (en) The Method of Intrusion Detection and Automatical Hacking Prevention
GB2382283A (en) a three-layered intrusion prevention system for detecting network exploits
GB2382755A (en) node and mobile device for a mobile telecommunications network providing intrusion detection/prevention
US20180006996A1 (en) Dhcp agent assisted routing and access control
KR100479202B1 (en) System and method for protecting from ddos, and storage media having program thereof
Hegazy et al. A multi-agent based system for intrusion detection
US7836503B2 (en) Node, method and computer readable medium for optimizing performance of signature rule matching in a network
GB2381722A (en) intrusion detection (id) system which uses signature and squelch values to prevent bandwidth (flood) attacks on a server
WO2005026872A2 (en) Internal lan perimeter security appliance composed of a pci card and complementary software
KR20140078329A (en) Method and apparatus for defensing local network attacks
TWM602225U (en) Information security blind spot detection system for normal network behavior
KR100456637B1 (en) Network security service system including a classifier based on blacklist
TWI772832B (en) Information security blind spot detection system and method for normal network behavior

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee