KR20040065674A - 통합형 호스트 기반의 보안 시스템 및 방법 - Google Patents

통합형 호스트 기반의 보안 시스템 및 방법 Download PDF

Info

Publication number
KR20040065674A
KR20040065674A KR1020030002780A KR20030002780A KR20040065674A KR 20040065674 A KR20040065674 A KR 20040065674A KR 1020030002780 A KR1020030002780 A KR 1020030002780A KR 20030002780 A KR20030002780 A KR 20030002780A KR 20040065674 A KR20040065674 A KR 20040065674A
Authority
KR
South Korea
Prior art keywords
security
engine
intrusion
host
information
Prior art date
Application number
KR1020030002780A
Other languages
English (en)
Inventor
권창훈
Original Assignee
권창훈
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 권창훈 filed Critical 권창훈
Priority to KR1020030002780A priority Critical patent/KR20040065674A/ko
Publication of KR20040065674A publication Critical patent/KR20040065674A/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications

Abstract

본 발명은 네트워크 상의 외부의 불법적인 침입으로부터 각 호스트를 보호하는, 통합형 다중 호스트 보안 시스템으로서, 1) 미리결정된 침입 차단 정보에 기초하여 외부 호스트의 침입을 차단하는 침입 차단 엔진; 2) 오용(misuse)이나 비정상적 행위(abnormal activity) 패턴에 대한 정보를 분석하여 상기 침입 차단 엔진에서 차단되지 않은 불법적인 침입을 탐지 및 차단하는 침입 탐지 엔진; 3) 상기 침입 차단 엔진을 통과한 패킷 내부의 바이러스의 존재를 탐지하는 바이러스 차단 엔진; 6) 상기 침입 차단 엔진, 침입 탐지 엔진, 바이러스 차단 엔진에 상호동작적으로 연결되어 상기 엔진들을 통합적으로 관리하는 관리자 엔진을 포함하는 호스트 보안 시스템에 있어서, 상기 침입 차단, 침입 탐지, 바이러스 탐지 동작들은 상기 호스트내에서 단계적으로 수행되고, 상기 관리자 엔진은, 침입 발생시 상기 각 엔진으로부터 발생한 침입 정보를 수신하여 모니터링하고, 상기 침입 탐지 엔진 또는 바이러스 차단 엔진으로부터 침입에 의해 발생한 침입 차단 정보를 수신하여 이를 상기 침입 차단 엔진에 다시 갱신시켜 실시간 차단을 가능하게 하는 것을 특징으로 한다.

Description

통합형 호스트 기반의 보안 시스템 및 방법{HOST-BASED SECURITY SYSTEM AND METHOD}
본 발명은 네트워크 보안 시스템 및 방법에 관한 것으로서, 더욱 상세하게는 호스트 기반의 통합형 보안 시스템 및 방법에 관한 것이다.
컴퓨터 네트워크 특히, 인터넷과 같은 네트워크 환경은 서로 다른 위치에 있는 다수의 접속자들에게 개방형 통신망을 제공한다. 네트워크 상의 컴퓨터는 범용성과 이진논리성을 가지는데, 범용성이란 컴퓨터 시스템이 특정 작업에만 한정되지 않고 작동 프로그램에 따라 여러 가지 작업을 하도록 프로그램될 수 있다는 것을 의미한다. 이러한 컴퓨터 시스템의 범용성과 이진논리성은 컴퓨팅을 쉽게 만든다는 장점이 있지만, 보안 측면에서는 효과적이지 못하다. 왜냐하면 프로그램할 수 있는 것은 무엇이든지 시스템 내에서 악의적인 행동(malicious activities)을 할 수 있기 때문이다. 또한, 이진논리성은 비정상적인 행동(abnormal activities)을 정확하게 탐지하는 것을 좀 더 어렵게 만든다. 이러한, 컴퓨터 시스템의 범용성과 이진논리성에 더하여, 네트워킹의 개방성은 권한없는 사용자의 접근을 구조적으로 가능하게 한다. 따라서, 이론상 어느 네트워크에 대한 가장 완벽한 보안은 그 네트워크를 다른 네트워크와 완전히 차단하는 것이다.
일반적으로 네트워크 보안은 정보가 권한없이 노출되는 것을 방지하는 비밀성(information security)과, 정보가 권한없이 수정되거나 파괴되는 것을 방지하는 정보 무결성(information integrity), 자원들의 신뢰성있는 컴퓨팅과 네트워킹 운영을 보장하는 것에 중점을 둔다. 비밀성과 정보 무결성은 트래픽의 암호화를 통해 달성될 수 있는데, 암호화는 네트워크의 각 계층에서 가능하고 소프트웨어나 하드웨어에 의해 구현될 수 있다. 자원들의 신뢰성있는 운영을 보장하는 것은 매우 어려운 작업인데, 호스트 보안과 더불어 네트워크 보안을 유지하기 위해서는 침입자를 정확하고 실시간으로 탐지하는 것이 매우 중요하다. 특히, 수많은 컴퓨터들이 개방형으로 연결되어 있는 현재의 네트워크 구조에서 네크워크를 통해 유통되는 모든 데이터 흐름을 감시하고 비정상적인 조건에 대해 실시간으로 대응하여 침입이나 공격을 정확하게 선별하는 것은 결코 쉽지 않다.
도 1a 및 1b 는 종래의 네트워크 기반의 방화벽, 및 침입 탐지 시스템의 사용에 따른 네트워크 기반 보안 시스템을 나타내는 도면이다.
도 1a 를 참조하면, 외부 네트워크의 정보 소스(100)는 메일 서버(110) 및 웹 서버(120)를 통해 직접 내부 네트워크에 연결되는 것이 아니라 방화벽(130)을경유하여 각 서버와 내부 네트워크와 연결되게 된다. 이러한 구조로 인해 방화벽(130)은 외부 네트워크로부터 내부 네트워크로 향하는 패킷은 방화벽(130)을 반드시 거쳐야 하는 이른바 폐색부의 기능을 하여 내부 네트워크로 향하는 불법적인 침입을 차단 또는 필터링하게 된다. 이러한 패킷 필터링은 내부 네트워크로 들어오는 패킷의 IP 주소 또는 서비스 포트 번호에 기초하여 이루어 진다.
그러나, 이러한 네트워크 기반의 방화벽만의 사용에 의하면, SLIP 이나 PPP를 이용한 접속 같은 이러한 방화벽(130)을 통과하지 않는 트래픽(백도어)에 대해서는 막을 수 없고, 네트워크에 대한 모든 접속이 방화벽(130)을 경유하므로 시스템 부하가 증가하여 속도가 저하되고, 만약 방화벽(130)이 붕괴된다면 전체 네트워크에 심각한 보안 침해를 초래할 수 있다는 단점을 가진다.
또한 방화벽은 패킷이 다른 네트워크 프로토골에 의해 켑슐화되어 공격에 사용될 때(터널링 공격)는 차단시킬 수 없으며, 응용 개체 간의 직접적인 통신 방식으로 패킷을 전송하는 경우 응용 모듈에 포함된 취약성에 의해 발생되는 공격(응용 기반 공격) 예컨대 방화벽이 특정 IP 주소를 가진 호스트를 차단하도록 설정되어 있지 않다면 그 호스트에서 전송한 HTTP 트래픽은 모두 통과되므로 이 패킷이 버퍼오버플로우가 발생할 수 있는 HTTP 명령어가 포함되어 있다하더라도 이러한 공격은 이를 차단시킬 수 없다.
도 1b 는 네트워크 기반의 침입 탐지 시스템(Intrusion detection system:IDS) (140)을 나타낸다. 침입 탐지 시스템(140)은 호스트 시스템과 네트워크 내의 여러 위치로부터 정보를 수집하여 이들 중 오용(misuse)이나 비정상적 행위(abnormal activity) 패턴에 대한 정보를 분석하여 이에 대응함으로써, 방화벽(130)이 차단시키지 못한 터널링 공격이나 응용 기반 공격등의 악의적인 행동을 탐지하여 사용자에 인지시켜주거나 어떤 경우에는 자동적으로 응답할 수 있다.
그러나 이러한 침입 탐지 시스템(140)을 자체적으로 불법적인 침입을 차단하는 것에는 한계가 있으며, 외부에서 내부로 들어오는 패킷을 미러링하여 검사 및 분석하므로 침입 탐지 시스템이 불법적인 침입이라고 판단한 후에는 이미 상기 패킷이 내부 네트워크로 들어온 이후이므로 이러한 침입을 실시간으로 차단하는 것이 불가능하다.
도 1c 는 바이러스의 침입에 대한 종래의 보안 시스템으로서 바이러스 월(160)의 보안 시스템을 나타낸 도면이다. 바이러스 월(160)은 메일 서버(110) 등에 설치되어 메일내에 포함된 첨부 파일등이 바이러스성 파일을 포함하고 있는지를 결정하고 만약 상기 파일등이 바이러스를 포함하고 있다면 출발지 주소가 들어있는 헤더가 포함된 패킷을 출발지 주소로 되돌려 보냄으로서 더 이상 바이러스가 포함된 메일이 내부 네트워크의 사용자의 호스트에 전달되는 것을 방지한다.
이러한 종래의 바이러스 월 또한 모든 패킷을 검사하여야 하고 이 바이러스 월의 붕괴시엔 전체 네트워크가 붕괴되는 위험이 있으며 이를 방화벽과 연동시킴에 있어서 실시간으로 차단하는 것이 불가능하다.
요약하면, 방화벽, 침입 탐지 시스템 및 바이러스 월 같은 종래의 보안 시스템을 별도로 또한 네트워크 기반에서 구현하는 것은 시스템 부하의 증가 및 그 보안 대상의 한계 및 실시간 차단의 어려움 등 그 보안 효율에 있어 제한이 많았다.
또한, 종래의 호스트기반의 보안 시스템에 의하면, 차단 대상 호스트 및 침입 탐지 유형등 보안 정책 정보의 설정 및 갱신은 각 호스트 별로 행하여야 하므로 통일된 보안 정책 정보의 관리의 수행에 어려움이 존재하였다.
또한 종래의 시스템은 다른 업체에서 개발한 네트워크형 보안시스템이나 호스트형 보안시스템과 보안정책정보가 공유되지 않는 등 호환이 되지 않음으로서 필요할 시 이것을 별도로 운영 및 관리해야 하는 번거로움이 존재하였다.
본 발명의 목적은 호스트 별로 분산되고 각각의 보안 방법이 단계적으로 통합된 새로운 보안 시스템을 구현함으로써 불법적인 외부 침입을 단계적으로 차단 및 탐지하고 상기 단계상에서 획득한 침입자에 대한 정보를 서로 공유시킴으로서 실시간으로 외부 침입을 차단시킬 수 있는 보안 시스템을 제공하는 데 있다.
또한 본 발명의 또다른 목적은 상기 분산된 보안 시스템 및 이러한 각각의 시스템을 효율적으로 관리하기 위한 중앙집중형 관리 시스템을 제공하는 데 있다.
또한 본 발명의 또다른 목적은 알려지지 않은 외부침입에 대해 좀 더 효율적을 대응하기 위해 다양화된 대응방법을 구현하기 위해 상기 보안 시스템이 제 3 보안 시스템과 상호 연동하여 작동하게 하기 위한 외부 연동 어댑터를 포함한 보안 시스템을 제공하는 데 있다.
도 1a 및 1b 는 종래의 네트워크 기반의 방화벽, 및 침입 탐지 시스템의 사용에 따른 네트워크 기반 보안 시스템을 나타내는 도면이다.
도 1c 는 바이러스의 침입에 대한 종래의 보안 시스템으로서 바이러스 월(150)의 보안 시스템을 나타낸 도면이다.
도 2 는 본 발명의 일 실시예에 따른 호스트 보안 시스템의 구성요소를 각 계층(layer)에 따라 나타낸 도면이다.
도 3 는 관리자 엔진과 다른 보안 엔진과의 관계를 나타내는 도면이다.
도 4 는 각각의 호스트 보안 시스템(200)과 중앙 관리 시스템(600)의 상호 동작 관계를 나타내는 도면이다.
도 5 는 본 발명의 일 실시예에 따른 계층적으로 구성된 호스트 보안 관리 시스템을 나타내는 도면이다.
도 6 는 본 발명의 일 실시예에 따른 이중 보안 정책 관리를 도해적으로 나타낸 도면이다.
<도면 주요 부분에 대한 부호의 설명>
100: 외부 네트워크 110: 메일 서버
120:웹 서버 130:방화벽
140: 침입 탐지 시스템 160: 바이러스 월
210: 침입 차단 엔진 220: 침입 탐지 엔진
230: 바이러스 차단 엔진 240: 파일 안전화 엔진
250: 응용 방화벽 엔진 260: 관리자 엔진
270: 보안 정책 정보 280: 침입 정보
290: 보안 위배 정보 400: 중앙 관리 시스템
501,502,503: 하위 중앙 관리 시스템
이러한 목적을 달성하기 위한 본 발명에 따른 보안 시스템은,
네트워크 상의 외부의 불법적인 침입으로부터 각 호스트를 보호하는, 통합형 다중 호스트 보안 시스템으로서, 1) 미리결정된 침입 차단 정보에 기초하여 외부 호스트의 침입을 차단하는 침입 차단 엔진; 2) 오용(misuse)이나 비정상적 행위(abnormal activity) 패턴에 대한 정보를 분석하여 상기 침입 차단 엔진에서 차단되지 않은 불법적인 침입을 탐지 및 차단하는 침입 탐지 엔진; 3) 상기 침입 차단 엔진을 통과한 패킷 내부의 바이러스의 존재를 탐지하는 바이러스 차단 엔진; 6) 상기 침입 차단 엔진, 침입 탐지 엔진, 바이러스 차단 엔진에 상호동작적으로 연결되어 상기 엔진들을 통합적으로 관리하는 관리자 엔진을 포함하는 호스트 보안 시스템에 있어서, 상기 침입 차단, 침입 탐지, 바이러스 탐지 동작들은 상기 호스트내에서 단계적으로 수행되고, 상기 관리자 엔진은, 침입 발생시 상기 각 엔진으로부터 발생한 침입 정보를 수신하여 모니터링하고, 상기 침입 탐지 엔진 또는 바이러스 차단 엔진으로부터 침입에 의해 발생한 침입 차단 정보를 수신하여 이를 상기 침입 차단 엔진에 다시 갱신시켜 실시간 차단을 가능하게 하는 것을 특징으로 한다.
본 발명의 또다른 실시예에 따른 보안 시스템은, 4) 상기 호스트내의 저장 매체에 대한 접근 권한 정보를 설정하고, 상기 접근 권한의 존재 여부에 따라 사용자 및 패킷에 의한 상기 매체로의 접근을 허용/차단하는 매체 제어 기능을 가지는 파일 안전화 엔진을 더 포함하는 것을 특징으로 한다.
본 발명의 또다른 실시예에 따른 보안 시스템은, 5) 미리결정된 유해 목록 정보에 기초하여 상기 호스트에 인입하는 월드 와이드 웹 콘텐츠를 필터링하는 기능을 가지는 응용 방화벽 엔진을 더 포함하는 것을 특징으로 한다.
또한 본 발명의 실시예에 따라, 상기 응용 방화벽 엔진은 미리 결정된 인터넷 접속 가능한 응용 프로그램 목록에 기초하여 응용 프로그램의 인터넷 접속을 허용 또는 차단하는 응용 프로그램 감시 기능을 더 포함하는 것을 특징으로 한다.
본 발명의 또다른 실시예에 따른 보안 시스템은, 제 3 의 보안 시스템을 플러그인 프로그램으로 동작시키기 위한 외부 인터페이스를 제공하는 7) 외부 연동 어댑터를 더 포함하고, 상기 제 3 의 보안 시스템은 PKI(공인 인증키 구조), DRM(문서 보안), ESM(통합 관제 시스템), 사용자 인증매체인 USB Key(Token), 스마트카드, VPN, 지문인식시스템(인증매체), 백신 소프트웨어, 문자전송시스템 중 어느 하나 인 것을 특징으로 한다.
본 발명은 상기 호스트 보안 시스템에 연결되어 상기 호스트 보안 시스템들을 관리하는 중앙 관리 시스템을 포함하고, 상기 중앙 관리 시스템은, 상기 호스트 보안 시스템의 상기 보안 정책 정보를 원격으로 적용, 수정하고, 상기 호스트 보안 시스템으로부터 침입 정보를 전달 받아 상기 침입 정보를 모니터링하거나 로그로 저장하거나 관리자에게 통보하고, 상기 호스트 보안 시스템으로부터 보안 위배 정보를 전달 받아 상기 보안 위배 정보를 모니터링하거나 로그로 저장하거나 관리자에게 통보하고, 여기서 보안 위배 정보는 상기 호스트의 사용자에 의한 IP 주소의 무단 변경 및 상기 호스트 사용자에 의한 상기 보안 정책 정보의 무단 변경에 관한 정보를 포함하는 것을 특징으로 한다.
본 발명의 일 실시예에 따른 중앙 호스트 보안 관리 시스템에 있어서, 이러한 침입 정보는 침입 시간, 침입 유형, 공격자의 IP 주소를 포함하는 것을 특징으로 한다. 또한 일 실시예에 따라서, 적용 및 수정되는 보안 정책 정보는 차단 대상 호스트의 IP 주소, 서비스 포트 번호, 접속 가능 시간, 사용자 인증 가능한 매체를 포함하는 것을 특징으로 한다.
이하 본 발명에 따른 바람직한 실시예를 첨부도면을 참고로 하여 상세히 설명한다.
우선 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소에 대해서는 비록 다른 도면상에 표시되더라도 동일한 부호를 사용하였다. 또한 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다.
본 명세서에서 '침입(intrusion)' 또는 '공격(attack)'이란 자원의 무결성(integrity), 비밀성(confidentiality), 유용성(availability)을 위태롭게 하려는 일련의 행위(activity)나 이벤트(event)들의 집합을 말한다.
도 2 는 본 발명의 일 실시예에 따른 호스트 보안 시스템의 구성요소를 각 계층(layer)에 따라 나타낸 도면이다. 본 발명에 따른 호스트 보안 시스템이 구현된 호스트에서 내부 또는 외부로의 정보 전송을 위해서는 각 계층(layer)별로 대응되어 보안 기능을 수행하는 개개의 보안 엔진을 순차적이고 단계적으로 거쳐야 한다.
본 발명에 따른 호스트 보안 시스템은 각각 별개의 보안 기능을 수행하기 위한 5개의 보안 엔진 즉 침입 차단 엔진(210). 침입 탐지 엔진(220), 바이러스 차단 엔진(230), 파일 안전화 엔진(240), 응용 차단 엔진(250)과 이들을 제어 및 관리하기 위한 관리자 엔진(260)을 포함한다.
이하 각 보안 엔진의 기능 및 이들의 상호 작용에 대해 설명한다.
1) 침입 차단 엔진
침입 차단 엔진은 허용된 서비스와 전자 우편 서버나 공개 정보 서버와 같은 특정한 호스트를 제외하고는 외부 또는 내부 네트워크로의 접속을 패킷 필터링등을 이용하여 통제하는 기능을 한다. 패킷 필터링은 내부 네트워크로 들어오는 패킷의 IP 주소 혹은 서비스 포트 번호등을 분석한 후, 이를 미리 결정된 보안 정책 정보와 비교하여 외부 또는 내부 네트워크에 대한 접근을 통제하는 기능을 제공한다. 패킷 필터링을 위하여 사용될 수 있는 보안 정책 정보는 다음과 같다.
- 발신지 IP 주소와 목적지 IP 주소
- 발신시 포트 번호와 목적지 포트 번호
- 트래픽의 방향 (인바운드 혹은 아웃바운드)
- 프로토콜의 형태 (IP, TCP, UDP, IPX)
- 패킷의 상태 (SYN, ACK)
이러한 보안 정책 정보는 사용자 또는 관리자에 의해 입력된 미리 결정된 값이 될 수도 있지만 본 발명의 특징에 따라 후술할 침입 탐지 엔진등에 의해 새로이 결정된 정보일 수 있다.
2) 침입 탐지 엔진
침입 탐지 엔진(Intrusion Detection Engine)은 컴퓨터나 네트워크 자원에 대한 악의 적인 행위들에 대해 확인하고 그에 대해 응답하는 기능을 한다. 다음과 같은 동작을 수행한다
- 다양한 시스템 소스로부터 정보를 수집한다.
- 오용이나 비정상적 행위 패턴에 대한 정보를 분석한다.
- 어떤 경우에는 자동적으로 탐지된 행위에 대해 응답할 수 있다.
- 탐지 프로세스에 대한 출력을 기록한다.
침입 탐지 엔진은 침입 차단 엔진에 의해 필터링 되지 못한 악의적인 행위에 대한 차단 기능을 한다. 주로 다음과 같은 행위들이다.
1) 터널링 공격에 대한 방어
터널링 공격이란 네트워크 프로토콜이 가지는 특성에 의해 발생될 수 있는 공격을 말한다. 침입 차단 엔진의 보안 정책 정보는 정해진 프로토콜에 따라 형식적으로 수립된 (주로 IP주소와 포트 번호) 정보이므로 차단되어야 할 패킷이 다른 네트워크 프로토콜에 의해 캡슐화되어 공격에 사용될 때는 침입 차단 엔진이 차단시킬 수 없다. 이러한 침입에 대해서는 침입 탐지 엔진이 필터링하게 된다.
2) 응용 기반 공격에 대한 방어
응용 개체 간에 직접적인 통신 방식으로 패킷을 전송하는 경우에 응용 모듈에 포함된 취약성에 의해 발생되는 것을 말한다. 예를 들면 버퍼 오버플로우가 발생할 수 있는 HTTP 명령어를 웹 응용 모듈에 전송함으로써, 웹 응용 모듈에 문제를발생시키는 방법이다. 만일 침입 차단 엔진이 HTTP 트래픽을 통과시킬 수 있도록 설정되어 있다면 이 패킷을 통과되어 서버의 동작을 마비시킬 수도 있는데 침입 탐지 엔진은 이를 탐지하여 차단한다.
침입 탐지 엔진이 탐지하는 침입 모델은 두가지 유형으로 분리될 수 있다. 첫째, 컴퓨터 자원의 비정상적인 행위나 사용에 근거한 침입인 비정상 행위(Abnormal activity)을 탐지한다. 예를 들어 근무시간 이후에 사용하는 컴퓨터 사용이 올바른 사용자 아이디와 패스워드를 사용한 합법적인 사용자에 의한 사용이더라도 침입으로 간주하는 경우이다. 둘째, 시스템이나 응용 소프트웨어의 약점을 통하여 시스템에 침입하는 오용(Misuse)을 탐지한다. 예를 들면 fingerd 나 sendmail 버그를 통한 인터넷 웜 공격 같은 경우이다.
본 발명에 따른 침입 탐지 엔진은 호스트 시스템으로부터 생성되고 수집된 감사 자료(audit data)를 침입 탐지에 사용하는 호스트 기반의 침입 탐지 엔진이다. 따라서 추가적인 하드웨어가 필요하지 않으며 정확한 탐지 및 다양한 대응책 수립이 가능하다.
또한 본 발명에 따른 침입 탐지 엔진은 보안 정책 정보를 침입 차단 엔진과 공유한다. 예를 들면 침입 탐지의 결과 불법적인 침입으로 간주되는 패킷의 발신지 IP 주소는 침입 탐지 엔진에 의해 침입 차단 엔진의 새로운 보안 정책 정보로 갱신된다.
이처럼 보안 정책 정보가 공유되는 침입 차단 엔진과 침입 탐지 엔진이 네트워크 내부에서 각 호스트에서 단계적으로 기능을 하므로, 결과적으로 불법적인 침입을 실시간으로 그리고 자체적으로 차단시킬 수 있는 기능을 제공한다. 예를 들어 터널링 공격을 통해 침입 차단 엔진을 통과한 패킷은 그 후 침입 탐지 엔진에 의해 불법적인 침입으로 탐지되게 되고, 침입 차단 엔진은 해당 패킷의 출발지 주소를 침입 차단 엔진의 새로운 보안 정책 정보로 갱신함으로써 그 결과 이 불법적인 패킷은 해당 호스트로의 진입이 실시간으로 차단된다.
이것은 종래의 네트워크 기반으로 폐색부에 설치된 별도의 침입 탐지 시스템(140)이 불법적인 침입을 탐지하여 이를 방화벽(130)에 알려주더라도, 침입 탐지가 네트워크 기반으로 미러링을 통해 이루어졌으므로 해당 패킷이 이미 내부 네트워크로 진행한 후이므로 실시간 차단이 불가능한 단점을 개선한 것이다.
또한 이러한 연동이 발생되고 난 이후에는 동일 발신지에서 침입하는 새로운 패킷에 대해서는 침입 탐지 엔진까지 진행될 필요 없이 이전 단계인 침입 차단 엔진에서 그리고 영원히 차단되므로 시스템의 부하를 줄여 보안의 효율성이 증가한다.
3) 바이러스 차단 엔진
바이러스 차단 엔진이란 시스템으로 전송되는 패킷에 바이러스가 함유되어 있는지를 탐지하여 이를 실시간으로 그리고 커널 기반에서 차단하는 기능을 가진 엔진이다. 전송 패킷의 패턴 분석 및 비교를 통해 네트워크 카드의 드라이버(엔진)레벨에서 바이러스가 함유된 패킷이 전송되는 것을 차단한다는 점에서 기존에 파일 시스템에서의 파일 단위의 탐지 기능을 하는 어플리케이션 기반의 바이러스 탐지 프로그램과 구분된다.
컴퓨터(호스트)내부에 설치된 백도어, 트로이언은 외부컴퓨터에서 백도어가 설치된 컴퓨터에 접근 시도를 해야만 상호 연결되는 방식과 내부의 백도어가 자동으로 특정 외부 IP 주소로 나가서 상호연결하는 방식의 두가지 방식으로 동작된다. 이 때 전자는 일차적으로 침입 차단 엔진에서 접근이 차단되거나 침입 차단 엔진이 모든 접근을 허용하는 모드이면 전자의 접근 시도는 통과가 되지만 그다음 단계인 침입 탐지 엔진에서 백도어 접근 시도와 관련한 패턴 분석에 의해 탐지되어 자동차단된다. 이에 비해 후자는 내부컴퓨터에서 외부컴퓨터로 나가는 접속시도로서, 특정 어플리케이션이 인터넷을 사용하려면 가장 윗 단계의 응용 방화벽 엔진으로부터 가장 아래의 침입 차단 엔진을 거치는 중에 바이러스 차단 엔진에서 백도어 연결시도를 필터링하여 차단하게 된다.
또한, 바이러스가 포함된 패킷을 보낸 호스트의 IP 주소등은 관리자 엔진(260)에 의해 보안 정책 정보(270)으로 저장되고 이는 다시 침입 차단 엔진(210)에 의해 사용되어 실시간 차단에 기여한다.
4) 파일 안전화 엔진
파일 안전화 엔진이란 정보 기밀성을 유지하기 위해 저장 정보에 대한 보안 기능을 수행하는 엔진으로서 매체 제어 기능과 파일 암복호화 기능을 포함한다.
매체 제어 기능은 기밀성이 요구되는 정보가 저장된 저장 매체에 대한 사용자 인증 절차를 수행함으로써 온라인 및 오프라인에서의 정보 유출을 방지한다. 온 라인으로의 접속에 대해서는 공유 디렉토리의 설정 및 수정, 사용자 또는 보안 레벨에 따른 읽기 및 쓰기 권한의 부여 등의 기능이 수행되고, 오프라인에 대해서는FDD, CDRW, ZIP, JAZ, USB 저장 장치등에 의한 파일 복사 및 쓰기 금지 등의 기능이 수행된다.
파일 암복호화 기능은 특정 폴더의 압축 및 이를 암호화하여 저장하여 기밀성을 도모하고, 특정 폴더 파일 예를 들면 다운로드 파일이 모이는 폴더내의 파일은 바이러스 검색이 수행되기 이전엔 다른 폴더로의 이동 및 압축 풀기를 금지하는 등의 기능을 통해 추가적인 기능도 구현될 수 있다. 이 기능은 호스트별 운용 체제하의 디렉토리 검색기, 예를 들면 윈도우의 운영체제 하에서 윈도우 탐색기와 연동되어 기존의 친숙한 사용자 인터페이스를 제공하여 사용자 편의성을 도모할 수 있다.
5) 응용 방화벽 엔진
응용 프로그램 단계에서의 보안 기능을 수행하는 엔진으로서 웹 콘텐츠 필터링 기능과 응용 프로그램 감시 기능이 포함된다.
웹 콘텐츠 기능은 인터넷을 통해 브라우저로 전송된 유해 및 비업무 정보에 대한 필터링을 제공하는 기능으로서, 시간대 별(예를 들면 비업무시간), 또는 사용자 별(예들 들면 업무 영역에 따라 브라우즈 가능한 웹페이지의 설정), 해당 웹 페이지 내용별로 해당 응용 프로그램(브라우저)가 해당 웹 페이지를 브라우즈 하는 것을 방지한다. 예를 들면 도박, 채팅, 증권, 웹메일, 웹하드등의 콘텐츠에 대해 비업무 시간에는 브라우저가 해당 콘텐츠를 디스플레이 할 수 없게 하는 것을 말한다. 불법적인 해당 내용을 브라우저가 브라우즈 할 수 없게 하여 응용 프로그램 단계에서 보안 기능이 수행된다는 점에서 일반 방화벽과 구분된다. 인터넷 내용 선별기술로는 New ICRA, RSACi, Safenet 같은 기술이 이용된다. 또한 정보 통신 윤리 위원회의 유해 리스트를 사용하거나 사용자 또는 관리자가 해당 페이지의 URL을 등록한 리스트를 사용할 수도 있다.
응용 프로그램 감시 기능은 특정 응용 프로그램이 인터넷으로 접속을 시도하는 것을 모니터링하고 이를 허용 또는 차단한다. 미리결정된 인터넷 접속 가능한 프로그램 리스트에 없는 응용 프로그램이 인터넷 접속을 시도하려고 하면 그 접속의 허용여부를 사용자에 질의하게 하여 사용자에 의한 확인을 거치게 함으로써 내부 정보의 불법적인 외부로의 전송등을 방지한다.
6) 관리자 엔진
도 3 는 관리자 엔진과 다른 보안 엔진과의 관계를 나타내는 도면이다.
관리자 엔진(260)은 이들 엔진들의 수행에 필요한 정보의 송수신, 보안 정책 정보 및 침입 정보등의 데이터베이스와의 입출력 제어, 사용자 인터페이스의 제공 등을 수행하여 이들 엔진들이 보안 기능을 수행할 수 있도록 지원 및 제어, 관리하는 기능을 할 뿐만 아니라, 후술할 중앙 관리 시스템과 연동되어 중앙 관리 시스템이 호스트 보안 시스템을 관리하는 데 필요한 보안 정책 정보, 침입 정보 또는 수행된 보안 기능의 내용, 보안 위배 정보, 로그 등을 중앙 관리 시스템으로의 전송하고, 중앙 관리 시스템으로부터 보안 정책 정보를 수신하여 이를 각 보안 엔진에 적용시키는 등의 기능을 한다.
이러한 보안 정책 정보(270), 침입 정보(280), 보안 위배 정보(290)는 데이터베이스의 형태로 존재하고 이를 관리자 엔진이 검색, 편집 가능함으로써 이들 정보들이 관리자 엔진에 의해 각 보안 엔진에 적용 및 수정된다.
보안 정책 정보(270) 란 침입으로 규정되는 대상과 관련되어 사용자 또는 각 엔진에 의해 결정된 정보를 말하며, 예를 들면 침입자의 IP 주소, 해당 서비스 포트 번호, 침입 탐지의 대상이 되는 비정상행위, 차단 대상의 바이러스의 유형, 필터링이 요구되는 웹페이지의 URL 등을 포함한다. 침입 정보(280)란 침입으로 규정된 행위 발생시 각 보안 엔진으로부터 관리자로 전송된 침입과 관련된 정보를 말하며, 예를 들면 침입된 호스트, 침입자의 위치, 침입 시간, 침입 유형등을 포함한다. 보안 위배 정보(290)란 각 호스트의 보안 레벨에 따라 또는 사내 네트워크 전체의 보안 정책에 따라 상기 호스트의 사용자가 변경해서는 안될 보안 정책 정보(270)를 사용자가 변경해서는 안되는 것으로 후술할 중앙 관리 시스템의 중앙 관리자 등에 의해 규정된 정보로서 관리자 엔진(260)에 의해 중앙 관리 시스템으로 보내지는 정보를 말한다.
7) 외부 연동 어댑터
본 발명에 따른 보안 시스템은 전술한 자체 엔진들이외에 타 보안 시스템들과 상호 연동하여 Pc/Server 보안에서부터 시작하는 최적의 통합연계 보안시스템으로 동작되기 위한 외부 연동 어댑터를 포함한다. 연동 대상이 될 수 있는 시스템으로는 PKI(공인 인증키 구조), DRM(문서 보안), ESM(통합 관제 시스템), 사용자 인증매체인 USB Key(Token), 스마트카드이고, 이외에 VPN,지문인식시스템(인증매체), 백신 소프트웨어, 문자전송시스템등도 가능하다.
본 발명에 따른 연동 어댑터는 다음과 같은 두가지 형식의 플러그 인을 제공한다.
i) 서비스 플러그인
본 발명에 따른 보안 시스템 내에서 데몬/서비스로 동작한다. 연동 어댑터의 플러그인 서비스에서 호출을 하며 본 발명에 따른 시스템은 등록 헬퍼 클래스와 인터페이스 정의 헤더 파일을 제공한다. 서비스 플러그인은 ActiveX의 형태로 제작되며 본 발명에 따른 시스템내에서 정의한 인터페이스를 상속받아 구현하여야 한다.
인터페이스의 메소드(ISZService Plugin)는 다음과 같다:
STDMETHOD(Start) (/*[out,retval]*/BOOL *pRet);
- 데프콘서비스 시작시에 플러그인의 Start메소드를 호출하여 플러그인 시작됨
STDMETHOD(Stop) (/*[out,retval]*/BOOL *pRet);
- 데프콘서비스 중지시에 플러그인의 Stop메소드를 호출하여 플러그인종 료됨
ii) 매니저 플러그인
연동 어댑터내의 플러그인 매니저에서 호출을 하며 본 발명에 따른 시스템은 등록 핼퍼 클래스와 인터페이스 정의 헤더 파일을 제공한다. ActiveX UI 컨트롤이면 플러그인으로 동작할 수 있으며, 본 발명에 따른 시스템에서 정의한 인터페이스는 본 시스템의 툴바와 상호작동하기 위한 것이며 툴바와의 상호작동이 필요없으면 인터페이스를 상속받지 않아도 된다. 인터페이스의 메소드 (ISZManagerPlugin)는 다음과 같다:
STDMETHOD(SPM_QueryToolbarButton) (
/*[in]*/enum SZ_TBBUTTON tbbutton,
/*[out,retval]*/BOOL *pbEnable);
- 플러그인에서 사용할 툴바버튼을 쿼리 *pbEnable이 TRUE인 버튼만
Enable시킴
STDMETHOD(SPM_OnTBButton)(
/*[in]*/enum SZ_TBBUTTON tbbutton);
- SPM_QueryToolbarButton을 통해 Enable시킨 툴바버튼이 눌렸을 때 호출(플러그인은 해당 동작을 수행하면됨)
STDMETHOD(SPM_OnHideWindow) (VOID);
- 플러그인이 보여지고 있는 뷰에서 다른뷰로 전환되거나 뷰가 종료 될 때 호출(플러그인에서 변환된 상태등이 있을 때 상태저장).
중앙 관리 시스템
본 발명의 다른 실시예에 따라 본 발명은 상기 호스트 보안 시스템을 중앙에서 효율적으로 관리하기 위한 중앙 관리 시스템(Central Management System:CMS)(600)을 구비하는 것을 특징으로 한다. 도 4 는 각각의 호스트 보안 시스템(200)과 중앙 관리 시스템(600)의 상호 동작 관계를 나타내는 도면이다. 이와 관련한 중앙 관리 시스템의 역할은 다음과 같다.
1) 보안 정책 관리 기능
각 호스트의 각 엔진이 수행하는 보안 기능의 기준이 되는 보안 정책 정보를 새로이 입력하거나 기존의 정보를 수정할 수 있다. 예를 들면 새로이 결정된 보안 정책 정보에 따라 중앙 관리 시스템의 관리자는 특정 외부호스트로부터의 패킷은 보안 시스템 내의 일부 호스트들에는 허용하고 나머지 호스들에는 허용하지 않도록 하거나, 특정 바이러스의 신고에 대해 각 호스트내의 바이러스 차단 엔진의 차단 바이러스 목록을 갱신시킬 수 있다. 이러한 작용은 중앙 관리 시스템이 해당 호스트의 관리자 엔진에 접속하여 관리자 엔진으로 하여금 보안 정책 정보 데이터베이스를 갱신 및 수정하게 함으로써 수행된다.
중앙에서 관리가능한 보안 정책 정보는 침입 차단 대상 호스트의 IP 주소 및 서비스 포트 번호, 침입 탐지 유형의 설정, 새로운 유형의 바이러스의 설정, 웹 콘탠츠 필터링을 위한 유해목록 지정, 매체 제어를 위한 사용 권한 설정등을 포함한다.
중앙 관리 시스템이 적용 및 수정한 보안 정책 정보는 각 호스트의 사용자에 의해 임의로 변경될 수 없도록 설정될 수 있다. 이는 보안 레벨이 높은 보안 정책 정보는 호스트 레벨에서 관리하는 것이 아니라 중앙 관리 시스템에서만 관리할 수 있도록 하여 좀더 안전하고 효율적인 보안을 달성하기 위함이다. 이러한 이른바 중요 보안 정책 정보에 대한 호스트에서의 변경 시도는 각 호스트 보안 시스템의 관리자에 의해 보안 위배 정보로 등록되어 중앙 관리 시스템으로 전송되어 모니터링되고, 로그로 저장될 수 있다.
2) 모니터링 기능
각 호스트의 각 보안 엔진들에서 발생한 침입 정보를 모니터링하는 기능을 한다. 여기서 침입 정보란 침입의 여부, 침입 유형, 침입자의 IP 주소 등을 포함한 침입자 프로필, 침입 시간, 침입 대상 등을 포함한다. 이러한 모니터링 기능은 각 보안 엔진들이 탐지한 침입 정보를 관리자 엔진이 우선 침입 정보 데이터베이스에 저장하고 이를 실시간 또는 일괄 처리 방식으로 중앙 관리 시스템으로 전송함으로써 수행될 수 있다. 이렇게 전송된 침입 정보는 실시간으로 중앙 관리 시스템의 모니터링 화면에 출력되거나 로그로 저장된다. 이렇게 중앙에서 수집된 각 호스트에 대한 침입 정보는 이후 보안 정책 수립에 영향을 미쳐 불법적인 침입에 대한 신속한 대응이 가능하다.
또한 이러한 모니터링 기능은 사외(오프라인)에서 발생한 침입 정보를 일괄 전송하는 방식으로 수행될 수도 있다. 각 호스트가 사외에서 겪은 침입에 대해 로그로 저장된 침입 정보는 상기 호스트가 사내 네트워크에 접속시 즉 중앙 관리 시스템으로의 접속시 관리자 엔진에 의해 중앙 관리 시스템으로 전송되어 중앙의 보안 관리자에게 통보되게 되고 중앙에서 모니터링 된다.
3) 사용자 인증 관리 기능
중앙 관리 시스템은 사용자가 해당 호스트로 로그인하고 해당 작업을 수행하는데 필요한 권한을 수여하고 이를 관리하는 인증 관리 기능을 수행한다. 사용자의로그인, 매체로의 접근등에 대한 권한 설정, PKI 인증 체계의 수용에 의한 인증서 관리등을 포함한다.
본 발명의 일 실시예에 따라 본 발명에 따른 중앙 관리 시스템은 종래의 네트워크 기반의 방화벽 제품과 상호 연동하여 본 발명의 호스트 보안 시스템을 사용하지 않는 사용자에 대한 인증을 거부하여 상기 호스트에 의한 내부 및 외부 네트워크로의 연결을 통제한다. 예를 들면 중앙 관리 시스템에 등록되지 않은 호스트 즉 본 발명에 따른 호스트 보안 시스템이 설치되지 않은 호스트가 인터넷을 통해 외부 네트워크로의 연결을 시도하면 중앙 관리 시스템은 해당 호스트의 IP주소 및 서비스 포트를 이용하여 해당 호스트를 네트워크 방화벽인 CheckPoint Firewall-1 의 차단 대상 호스트로 등록시켜 해당 호스트가 불법적으로 외부 네트워크로 정보를 전송하는 것을 금지한다. 외부에서 내부로의 연결 또한 마찬가지이다.
본 발명의 일 실시예에 따라 본 발명에 따른 중앙 관리 시스템은 사용자의 인증 매체를 실시간으로 변경할 수 있다. 사용자가 해당 호스트를 사용하기 위해 필요한 인증 도구는 사용자의 사용 환경에 따라 HDD, USB key, Smart card, 지문 인식 마우스 등의 여러 인증 매체일 수 있다. 그러나 하나의 인증 매체의 사용으로 인한 인증 절차는 사용자의 불편을 초래할 수 있어 (예를 들면 인증 매체 분실등의 경우) 다중 인증 매체를 사용하는 것이 유익한데, 이 경우 인증 매체의 변경을 중앙 관리 시스템에서 통합적으로 관리할 수 있다면 보안성을 유지하면서 더욱 간편히 인증 절차를 수행할 수 있다. 각 호스트에서 사용자의 인증 절차가 수행되기 이전에 이미 호스트 보안 시스템은 부팅 후 이미 활동중인 상태이므로 상기 호스트보안 시스템의 관리자 엔진에 의한 중앙 관리 시스템로의 접속이 가능하고 따라서 인증 매체의 변경이 가능하다.
4) 기타 기능
이 밖에 중앙 관리 시스템의 중앙 관리자는 보안상 긴급 메시지를 전체/그룹별/개인별로 보낼 수 있으며(보안 메시지 송수신 기능), 백신이나 보안상 필요한 파일을 보낼 수도 있고(파일 송수신 기능), 또한 이러한 파일을 자동으로 설치 및 삭제할 수 있는 등 중앙 관리 시스템의 일반적인 기능을 포함할 수 있다.
도 5 는 본 발명의 일 실시예에 따른 계층적으로 구성된 호스트 보안 관리 시스템을 나타내는 도면이다. 상기 중앙 호스트 보안 관리 시스템은 계층적으로(hierarchical) 구성된 복수의 하위 호스트 보안 관리 시스템을 포함한다. 이러한 복수의 하위 호스트 보안 관리 시스템은, 상기 보안 정책 정보, 침입 정보 및 보안 위배 정보의 상기 중앙 호스트 보안 시스템으로 또는 상기 호스트 보안 시스템으로 전달하고, 상기 보안 정책 정보, 침입 정보 및 보안 위배 정보를 적용, 수정, 모니터링, 로그 저장 및 서브 관리자에게 통보한다.
이러한 계층적 보안 시스템 관리에 의하면 회사의 업무 분담, 인사 구조등에 따라 보안 레벨을 달리 적용할 수 있고 또 필요한 경우에는 획일적으로 적용할 수도 있으므로 보안 레벨을 다양화 요구에 좀더 신속하고 효율적으로 부응할 수 있다.
도 6 는 본 발명의 일 실시예에 따른 이중 보안 정책 관리를 도해적으로 나타낸 도면이다. 본 발명의 또다른 실시예에 따라 본 발명은 상기 보안 정책 관리가사내(온라인) 및 사외(오프라인)으로 이중적으로 나뉘어 수행되는 것을 특징으로 한다.
동일한 사용자 (A)가 사내 네트워크에서 컴퓨터를 사용하는 경우에는 (즉 사내에서 근무를 하는 경우에는) 예를 들면 접속할 수 있는 사이트가 제한되거나 특정 컴퓨터에서는 파일의 복사 및 유출이 금지되는 등 정해진 보안 레벨에 따른 보안 정책이 수행되고, 이는 중앙 관리 시스템(400)에서 정해준 보안 정책 정보에 기인하거나 각 호스트마다 정해진 보안 정책 정보에 기인한다. 그러나 동일 사용자(A)가 사무실이 아니라 집에서 동일한 컴퓨터로 인터넷에 접속하는 경우에는 상기 예를 들면 업무와 무관한 사이트에도 접속가능하여야 하는 등 새로운 보안 정책이 적용될 필요가 있다. 따라서 보안 정책의 이중적인 관리가 필요하다.
우선 상이한 보안 정책이 적용되는 기준은 사용자의 컴퓨터 사용상황에 의존한다. 엄격한 보안정책이 필요한 상황(온라인 보안 정책)과 상대적으로 엄격하지 않은 보안정책이 필요한 상황(오프라인 보안 정책)으로의 구별이 필요하며, 이러한 구별은, 사용자 컴퓨터에서 네트워크 방화벽(600)으로의 핑(ping) 명령어 송신 및 그의 응답 여부를 통해 구별하거나(핑 명령어 기반), 이와 다르게 내부 네트워크에서 사설 IP 주소를 사용하는 경우 특정 IP 주소(예컨대 172.20.X.X 등)를 가지는 사용자 컴퓨터는 모두 온라인 상황으로 정의되도록 한다(IP 주소 기반). IP 주소 기반의 경우에는 핑 명령어 및 그 응답의 송수신으로 인한 네트워크 부하를 면할 수 있다는 이점이 있다. 또한, 핑 명령어 기반으로 보안 정책을 구별하는 경우에는 사용자가 가상 사설 통신망(Virtual Private Network, VPN)을 사용하는 경우에는사용자 위치가 사내가 아니라 하더라도 예외적으로 온라인 보안 정책이 적용되어야 하므로 IP 기반의 보안 정책 구별 방법을 혼용하는 것이 필요하다. 이러한 이중적 보안 정책 정보는 해당 호스트의 부팅시 커널 기반에서 선택되어지므로 사용자에 의해 변경 불가능하다.
전술한 바와 같이 본 발명에 따르면, 불법적인 외부 침입을 단계적으로 차단 및 탐지하고 상기 단계상에서 획득한 침입자에 대한 정보를 서로 공유시킴으로서 실시간으로 외부 침입을 차단시킬 수 있는 보안 시스템이 제공된다.
또한 본 발명에 따르면, 호스트 별로 분산된 보안 시스템 및 이러한 각각의 시스템을 효율적으로 관리하기 위한 중앙집중형 관리 시스템이 제공된다.
또한 본 발명에 따르면, 알려지지 않은 외부침입에 대해 좀 더 효율적을 대응하기 위해 다양화된 대응방법을 구현하기 위해 상기 보안 시스템이 제 3 보안 시스템과 상호 연동하여 작동하게 하기 위한 외부 연동 어댑터를 포함한 보안 시스템이 제공된다.

Claims (15)

  1. 네트워크 상의 외부의 불법적인 침입으로부터 각 호스트를 보호하는, 통합형 다중 호스트 보안 시스템으로서,
    1) 미리결정된 침입 차단 정보에 기초하여 외부 호스트의 침입을 차단하는 침입 차단 엔진(210);
    2) 오용(misuse)이나 비정상적 행위(abnormal activity) 패턴에 대한 정보를 분석하여 상기 침입 차단 엔진에서 차단되지 않은 불법적인 침입을 탐지 및 차단하는 침입 탐지 엔진(220);
    3) 상기 침입 차단 엔진을 통과한 패킷 내부의 바이러스의 존재를 탐지하는 바이러스 차단 엔진(230);
    6) 상기 침입 차단 엔진, 침입 탐지 엔진, 바이러스 차단 엔진에 상호동작적으로 연결되어 상기 엔진들을 통합적으로 관리하는 관리자 엔진(260)을 포함하는 호스트 보안 시스템에 있어서,
    상기 침입 차단, 침입 탐지, 바이러스 탐지 동작들은 상기 호스트내에서 단계적으로 수행되고,
    상기 관리자 엔진(260)은, 침입 발생시 상기 각 엔진으로부터 발생한 침입 정보를 수신하여 모니터링하고, 상기 침입 탐지 엔진 또는 바이러스 차단 엔진으로부터 침입에 의해 발생한 침입 차단 정보를 수신하여 이를 상기 침입 차단 엔진에 다시 갱신시켜 실시간 차단을 가능하게 하는 것을 특징으로 하는, 통합형 다중 호스트 보안 시스템.
  2. 제 1 항에 있어서, 상기 침입 차단 정보는, 불법적인 침입을 하려는 호스트의 출발지 IP 주소 또는 해당 서비스 포트 번호를 포함하는 것을 특징으로 하는, 통합형 다중 호스트 보안 시스템.
  3. 제 1 항에 있어서, 3)바이러스 차단 엔진과 6)관리자 엔진 사이에, 상기 호스트내의 저장 매체에 대한 접근 권한 정보를 설정하고, 상기 접근 권한의 존재 여부에 따라 사용자 및 패킷에 의한 상기 매체로의 접근을 허용/차단하는 매체 제어 기능을 가지는 4) 파일 안전화 엔진(240)을 더 포함하는 것을 특징으로 하는, 통합형 다중 호스트 보안 시스템.
  4. 제 3 항에 있어서, 상기 저장 매체는 FDD, USB 저장장치, CD-RW, JAZ, ZIP 중 어느 하나인 것을 특징으로 하는, 통합형 다중 호스트 보안 시스템.
  5. 제 3 항에 있어서, 상기 접근 권한의 존재여부는 접근 대상인 매체의 보안레벨, 접근 시도중인 사용자의 특성, 접근하려는 파일의 파일 종류, 접근 시간 또는 이들의 조합에 의해 설정되는 것을 특징으로 하는, 통합형 다중 호스트 보안 시스템.
  6. 제 3 항에 있어서, 상기 파일 안전화 엔진(240)은 특정 파일 또는 폴더를 압축 및 암복호화하거나 저장하는 파일 암복호화 기능을 더 구비하는 것을 특징으로 하는, 통합형 다중 호스트 보안 시스템.
  7. 제 1 항 또는 제 2 항에 있어서, 3)바이러스 차단 엔진과 6)관리자 엔진 사이에, 미리결정된 유해 목록 정보에 기초하여 상기 호스트에 인입하는 월드 와이드 웹 콘텐츠를 필터링하는 기능을 가지는 5)응용 방화벽 엔진(250)을 더 포함하는 것을 특징으로 하는, 통합형 다중 호스트 보안 시스템.
  8. 제 7 항에 있어서, 상기 미리결정된 유해 목록 정보는 정보통신윤리위원회의 유해목록 또는 사용자 혹은 보안 관리자에 의해 URL을 기초로 등록된 목록이거나, New ICRA, RSACi, Safenet 같은 인터넷 내용 선별 기술을 이용하여 작성된 목록 인 것을 특징으로 하는, 통합형 다중 호스트 보안 시스템.
  9. 제 7 항에 있어서, 상기 응용 방화벽 엔진(250)은 미리 결정된 인터넷 접속 가능한 응용 프로그램 목록에 기초하여 응용 프로그램의 인터넷 접속을 허용 또는 차단하는 응용 프로그램 감시 기능을 더 포함하는 것을 특징으로 하는, 통합형 다중 호스트 보안 시스템.
  10. 제 1 항 또는 제 2 항에 있어서, 제 3 의 보안 시스템을 플러그인 프로그램으로 동작시키기 위한 외부 인터페이스를 제공하는 7) 외부 연동 어댑터를 더 포함하고, 상기 제 3 의 보안 시스템은 PKI(공인 인증키 구조), DRM(문서 보안), ESM(통합 관제 시스템), 사용자 인증매체인 USB Key(Token), 스마트카드, VPN, 지문인식시스템(인증매체), 백신 소프트웨어, 문자전송시스템 중 어느 하나 인 것을 특징으로 하는, 통합형 다중 호스트 보안 시스템.
  11. 제 1 항의 호스트 보안 시스템에 연결되어 상기 호스트 보안 시스템들을 관리하는 중앙 관리 시스템(400)으로서,
    상기 호스트 보안 시스템의 상기 보안 정책 정보(270)를 원격으로 적용, 수정하고,
    상기 호스트 보안 시스템으로부터 침입 정보(280)를 전달 받아 상기 침입 정보를 모니터링하거나 로그로 저장하거나 관리자에게 통보하고,
    상기 호스트 보안 시스템으로부터 보안 위배 정보(290)를 전달 받아 상기 보안 위배 정보를 모니터링하거나 로그로 저장하거나 관리자에게 통보하고,
    여기서 보안 위배 정보(290)는 상기 호스트의 사용자에 의한 IP 주소의 무단 변경 및 상기 호스트 사용자에 의한 상기 보안 정책 정보의 무단 변경에 관한 정보를 포함하는 것을 특징으로 하는, 중앙 호스트 보안 관리 시스템.
  12. 제 11 항에 있어서, 상기 침입 정보(280)는 침입 시간, 침입 유형, 공격자의 IP 주소를 포함하는 것을 특징으로 하는, 중앙 호스트 보안 관리 시스템.
  13. 제 11 항에 있어서, 상기 적용 및 수정되는 보안 정책 정보(270)는 차단 대상 호스트의 IP 주소, 서비스 포트 번호, 접속 가능 시간, 사용자 인증 가능한 매체를 포함하는 것을 특징으로 하는, 중앙 호스트 보안 관리 시스템.
  14. 제 11 항에 있어서, 상기 보안 정책 정보(270)는 동일한 사용자에 대해서 상기 사용자가 사용하는 호스트가 사내(온 라인) 또는 사외(오프 라인)중 어디에 위치하는지에 따라 상이하게 이중으로 온라인 보안정책 정보와 오프라인 보안정책 정보로 구별되어 적용되며, 상기 온라인과 오프라인 여부의 판단은 핑 명령어 기반 또는 IP 주소 기반 또는 이의 조합에 의해 결정되는 것을 특징으로 하는, 중앙 호스트 보안 관리 시스템.
  15. 제 11 항에 있어서, 상기 중앙 호스트 보안 관리 시스템(400)은 계층적으로(hierarchical) 구성된 복수의 하위 호스트 보안 관리 시스템(501,502,503)을 포함하고,
    상기 복수의 하위 호스트 보안 관리 시스템(501,502,503)은, 상기 보안 정책 정보, 침입 정보 및 보안 위배 정보를 상기 중앙 호스트 보안 관리 시스템(400)으로 또는 상기 호스트 보안 시스템으로의 전달하고, 상기 보안 정책 정보, 침입 정보 및 보안 위배 정보를 적용, 수정, 모니터링, 로그 저장 및 서브 관리자에게 통보하는 것을 특징으로 하는, 중앙 호스트 보안 관리 시스템.
KR1020030002780A 2003-01-15 2003-01-15 통합형 호스트 기반의 보안 시스템 및 방법 KR20040065674A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030002780A KR20040065674A (ko) 2003-01-15 2003-01-15 통합형 호스트 기반의 보안 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030002780A KR20040065674A (ko) 2003-01-15 2003-01-15 통합형 호스트 기반의 보안 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR20040065674A true KR20040065674A (ko) 2004-07-23

Family

ID=37355774

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030002780A KR20040065674A (ko) 2003-01-15 2003-01-15 통합형 호스트 기반의 보안 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR20040065674A (ko)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100519058B1 (ko) * 2003-09-02 2005-10-06 김명주 병렬처리 시스템용 안티 바이러스 시스템
KR100617314B1 (ko) * 2004-11-11 2006-08-30 한국전자통신연구원 보안 라우터 시스템에서의 보안 정책 관리 방법 및 장치
KR100624483B1 (ko) * 2004-10-06 2006-09-18 삼성전자주식회사 네트워크에서의 차등 침입탐지 장치 및 방법
WO2007032967A1 (en) * 2005-09-12 2007-03-22 Microsoft Corporation Distributed network security service
EP1839149A1 (en) * 2004-12-29 2007-10-03 Nokia Corporation Limiting traffic in communications systems
KR100782695B1 (ko) * 2005-12-27 2007-12-07 주식회사 포스코 제어시스템 원격접근 보안인증장치 및 보안인증방법
KR100968200B1 (ko) * 2008-03-04 2010-07-06 주식회사 조은시큐리티 경량화된 홈네트워크 침입탐지 및 차단 시스템 및 그 방법
KR101224793B1 (ko) * 2005-03-28 2013-01-21 마이크로소프트 코포레이션 잠재적으로 불필요한 소프트웨어를 식별하고 제거하는시스템 및 방법
KR101252812B1 (ko) * 2006-04-25 2013-04-12 주식회사 엘지씨엔에스 네트워크 보안 장치 및 그를 이용한 패킷 데이터 처리방법
KR101270928B1 (ko) * 2010-06-18 2013-06-03 삼성에스디에스 주식회사 안티-멀웨어 시스템 및 그의 동작 방법
KR101282297B1 (ko) * 2012-03-20 2013-07-10 박상현 트랜젝션 패턴분석·모니터링을 통한 서비스 네트워크형 통합보안장치 및 방법
WO2017034072A1 (ko) * 2015-08-25 2017-03-02 주식회사 아이티스테이션 네트워크 보안 시스템 및 보안 방법
KR20190089127A (ko) 2019-07-10 2019-07-30 엘지전자 주식회사 시스템 온 칩, 시스템 온 칩의 구동 방법 및 시스템 온 칩을 포함하는 전자장치

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000072707A (ko) * 2000-09-20 2000-12-05 홍기융 실시간 침입탐지 및 해킹 자동 차단 방법
US6189104B1 (en) * 1996-08-01 2001-02-13 Harris Corporation Integrated network security access control system
KR20010112633A (ko) * 2000-06-12 2001-12-20 김광택 통합형 보안 장치 및 그 동작 방법
KR20020041004A (ko) * 2000-11-25 2002-05-31 구자홍 사내망의 통합 보안 시스템 및 사용자 인증방법
KR20020041371A (ko) * 2002-05-01 2002-06-01 김영천 비인가신호의 침입 탐지 장치 및 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6189104B1 (en) * 1996-08-01 2001-02-13 Harris Corporation Integrated network security access control system
KR20010112633A (ko) * 2000-06-12 2001-12-20 김광택 통합형 보안 장치 및 그 동작 방법
KR20000072707A (ko) * 2000-09-20 2000-12-05 홍기융 실시간 침입탐지 및 해킹 자동 차단 방법
KR20020041004A (ko) * 2000-11-25 2002-05-31 구자홍 사내망의 통합 보안 시스템 및 사용자 인증방법
KR20020041371A (ko) * 2002-05-01 2002-06-01 김영천 비인가신호의 침입 탐지 장치 및 방법

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100519058B1 (ko) * 2003-09-02 2005-10-06 김명주 병렬처리 시스템용 안티 바이러스 시스템
KR100624483B1 (ko) * 2004-10-06 2006-09-18 삼성전자주식회사 네트워크에서의 차등 침입탐지 장치 및 방법
KR100617314B1 (ko) * 2004-11-11 2006-08-30 한국전자통신연구원 보안 라우터 시스템에서의 보안 정책 관리 방법 및 장치
EP1839149A4 (en) * 2004-12-29 2010-02-24 Nokia Corp LIMITATION OF TRAFFIC IN COMMUNICATION SYSTEMS
EP1839149A1 (en) * 2004-12-29 2007-10-03 Nokia Corporation Limiting traffic in communications systems
KR101224793B1 (ko) * 2005-03-28 2013-01-21 마이크로소프트 코포레이션 잠재적으로 불필요한 소프트웨어를 식별하고 제거하는시스템 및 방법
WO2007032967A1 (en) * 2005-09-12 2007-03-22 Microsoft Corporation Distributed network security service
KR100782695B1 (ko) * 2005-12-27 2007-12-07 주식회사 포스코 제어시스템 원격접근 보안인증장치 및 보안인증방법
KR101252812B1 (ko) * 2006-04-25 2013-04-12 주식회사 엘지씨엔에스 네트워크 보안 장치 및 그를 이용한 패킷 데이터 처리방법
KR100968200B1 (ko) * 2008-03-04 2010-07-06 주식회사 조은시큐리티 경량화된 홈네트워크 침입탐지 및 차단 시스템 및 그 방법
KR101270928B1 (ko) * 2010-06-18 2013-06-03 삼성에스디에스 주식회사 안티-멀웨어 시스템 및 그의 동작 방법
KR101282297B1 (ko) * 2012-03-20 2013-07-10 박상현 트랜젝션 패턴분석·모니터링을 통한 서비스 네트워크형 통합보안장치 및 방법
WO2017034072A1 (ko) * 2015-08-25 2017-03-02 주식회사 아이티스테이션 네트워크 보안 시스템 및 보안 방법
KR20190089127A (ko) 2019-07-10 2019-07-30 엘지전자 주식회사 시스템 온 칩, 시스템 온 칩의 구동 방법 및 시스템 온 칩을 포함하는 전자장치
US11671245B2 (en) 2019-07-10 2023-06-06 Lg Electronics Inc. System on chip, method for operating the system on chip and electronic device including the system on chip

Similar Documents

Publication Publication Date Title
US11604861B2 (en) Systems and methods for providing real time security and access monitoring of a removable media device
US10212134B2 (en) Centralized management and enforcement of online privacy policies
US9832227B2 (en) System and method for network level protection against malicious software
US6892241B2 (en) Anti-virus policy enforcement system and method
US8146137B2 (en) Dynamic internet address assignment based on user identity and policy compliance
US20070266433A1 (en) System and Method for Securing Information in a Virtual Computing Environment
EP2387746B1 (en) Methods and systems for securing and protecting repositories and directories
KR20050026624A (ko) 정책기반 네트워크를 이용한 피씨의 통합 보안시스템 및방법
JP2008015786A (ja) アクセス制御システム及びアクセス制御サーバ
KR20040065674A (ko) 통합형 호스트 기반의 보안 시스템 및 방법
US20080184368A1 (en) Preventing False Positive Detections in an Intrusion Detection System
WO2003034687A1 (en) Method and system for securing computer networks using a dhcp server with firewall technology
Altayaran et al. Security threats of application programming interface (API's) in internet of things (IoT) communications
KR20100067383A (ko) 서버 보안 시스템 및 서버 보안 방법
Gheorghe " COBOT" TYPE MULTIAPLICATIVE INTELLIGENT PLATFORM WITH ROBOT & HEXAPOD MICROSYSTEM AND ULTRAPRECIS PING PROBE FOR MEASURING PARTS (WITH A 3KG TABLE)
Mahmood et al. Securing Industrial Internet of Things (Industrial IoT)-A Reviewof Challenges and Solutions
Zhao et al. SDNVD-SCADA: A formalized vulnerability detection platform in SDN-enabled SCADA system
Dyer et al. Personal firewalls and intrusion detection systems
Dunhaupt Vulnerabilities of industrial automation systems
KR20160052978A (ko) 스마트폰을 이용한 서버의 침입탐지 모니터링 시스템
TOUMI et al. COOPERATIVE TRUST FRAMEWORK BASED ON HY-IDS, FIREWALLS, AND MOBILE AGENTS TO ENHANCE SECURITY IN A CLOUD ENVIRONMENT
Mildenberger Security Infrastructures and intrusion systems
WO2009019701A2 (en) A network element and an infrastructure for a network risk management system
Grimes Honeypot Monitoring
Jorba et al. Advanced administration GNU/Linux operating system, february 2010

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application