KR20050055996A - 종합 보안 상황 관리 시스템 - Google Patents

종합 보안 상황 관리 시스템 Download PDF

Info

Publication number
KR20050055996A
KR20050055996A KR1020030089072A KR20030089072A KR20050055996A KR 20050055996 A KR20050055996 A KR 20050055996A KR 1020030089072 A KR1020030089072 A KR 1020030089072A KR 20030089072 A KR20030089072 A KR 20030089072A KR 20050055996 A KR20050055996 A KR 20050055996A
Authority
KR
South Korea
Prior art keywords
information
vulnerability
security
subscriber
server
Prior art date
Application number
KR1020030089072A
Other languages
English (en)
Other versions
KR100607110B1 (ko
Inventor
장동수
이영윤
김지중
Original Assignee
주식회사데이콤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사데이콤 filed Critical 주식회사데이콤
Priority to KR1020030089072A priority Critical patent/KR100607110B1/ko
Publication of KR20050055996A publication Critical patent/KR20050055996A/ko
Application granted granted Critical
Publication of KR100607110B1 publication Critical patent/KR100607110B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 종합 보안 상황 관리 시스템에 관한 것으로서, 서버나 단말기의 보안관련 정보를 저장하는 정보 데이터베이스; 운영체제나 응용프로그램의 취약성 정보와 취약성을 이용한 공격 정보를 저장하는 취약성 데이터베이스; 서버나 단말기의 보안관련 정보를 수집하여 분석하고 서버나 단말기의 위험 등을 탐지하는 보안 이력관리 시스템; 상기 취약성 데이터베이스를 검색하여 새로운 취약성이 발견되거나 침입이 탐지되면 동일한 위협에 노출된 서버나 단말기를 관리하는 가입자에게 예경보 메시지를 발송하는 조기위협 예경보 시스템; 침입이 탐지되거나 침해사고가 발생되어 신고된 경우, 사고 분석에 필요한 자료를 수집하고 그 처리 내역과 대응책을 가입자에게 제공하는 침해사고 대응 시스템; 가입자에게 취약성 정보와 취약성을 이용한 공격 정보를 제공하는 정보검색 시스템; 네트워크상의 이벤트를 필터링하고 네트워크상의 트래픽 변화 추이를 산출하는 위협 관리 시스템; 및 가입자에게 각각의 시스템에서 제공되는 정보를 열람할 수 있는 환경을 제공하는 종합 보안 상황 관리 웹서버를 포함하여 구성된 것을 특징으로 한다.

Description

종합 보안 상황 관리 시스템{SECURITY INFORMATION MANAGEMENT AND VULNERABILITY ANALYSIS SYSTEM}
본 발명은 종합 보안 상황 관리 시스템에 관한 것으로서, 특히 서버나 단말기를 포함하는 네트워크를 종합적으로 보안 관리하는 시스템에 관한 것이다.
정보통신기술의 발전과 인터넷의 급속한 보급에 따라 네트워크를 통한 정보의 공유와 교환이 이루어지고 있다. 즉, 컴퓨터와 결합된 정보통신기술의 비약적인 발전을 기반으로 정보화가 가속화됨에 따라 네트워크와 인터넷이 보편화되고 있으며, 이러한 네트워크를 통해 정보화가 진전되면서 필요한 정보를 공유하거나 교환할 수 있게 되었다.
그런데, 이처럼 정보화가 진전될수록 정보자원을 공유할 수 있는 혜택을 누리는 반면에 해당 네트워크를 통한 온라인 접속이 가능하다는 점을 악용하여 서버나 클라이언트 단말기에 불법적으로 침입하여 정보자원을 파괴하거나 변경 혹은 유출하는 등의 해킹이 빈번하게 발생되고 있다. 즉, 인터넷의 발전과 Application 사용의 급격한 증가로 새롭고 다양한 취약점들이 빠르게 증가하고 있으며, 다양한 운영체제와 취약점들을 공격할 수 있는 웜, 해킹, 및 바이러스 등의 사이버 공격에 의한 피해사고가 점차 증가하고 있는 실정이다.
따라서, 이러한 위협에 효과적으로 대응하고 피해를 최소화하기 위하여 위협 요소들을 체계적으로 관리할 필요성이 있으며, 이를 위해 네트워크 보안 장비의 통합관리 시스템, 서버의 패치관리 시스템, 및 조기 예경보 시스템 등이 개발되고 있다. 그러나, 이러한 시스템들은 시스템 상호간의 관계를 고려하지 않고 단독 모델로 구현됨으로써 상술한 위협 요소들을 종합적으로 관리할 수 없는 문제점이 있다.
이에 본 발명은 상기와 같은 문제점을 해결하기 위하여 안출된 것으로서, 네트워크 위협 요소들을 종합적으로 관리하되 위협에 대한 예방, 관리, 및 복구를 연계시켜 수행할 수 있는 종합 보안 상황 관리 시스템을 제공하는데 그 목적이 있다.
상기와 같은 목적을 달성하기 위하여 본 발명에 따라 네트워크상에 구비된 침입탐지 시스템과 트래픽 감시 시스템을 이용하되 가입자가 관리하는 서버나 단말기를 포함하는 네트워크를 보안관리하는 시스템은, 서버나 단말기의 보안관련 정보를 저장하는 정보 데이터베이스; 운영체제나 응용프로그램의 취약성 정보와 취약성을 이용한 공격 정보를 저장하는 취약성 데이터베이스; 서버나 단말기의 보안관련 정보를 수집하여 분석하고 서버나 단말기의 공격 가능성이나 이상 현상을 탐지하되 가입자에게 보안 이력이나 취약성 분석 결과를 제공하는 보안 이력관리 시스템; 상기 취약성 데이터베이스를 검색하여 새로운 취약성이 발견되거나 상기 침입탐지 시스템에서 침입이 탐지되면 동일한 위협에 노출된 서버나 단말기를 관리하는 가입자에게 예경보 메시지를 발송하는 조기위협 예경보 시스템; 상기 침입탐지 시스템에서 침입이 탐지되거나 침해사고가 발생되어 가입자로부터 신고되는 경우, 사고 분석에 필요한 정보를 수집하고 그 처리 내역과 대응책을 가입자에게 제공하는 침해사고 대응 시스템; 가입자에게 취약성 정보와 취약성을 이용한 공격 정보를 제공하는 정보검색 시스템; 상기 각각의 시스템을 관리하면서 상기 침입탐지 시스템을 통해 탐지된 네트워크상의 이벤트를 필터링하고 네트워크의 위협 레벨과 Top 10 공격 취약성, Top 10 IP 주소, 및 Top 10 Port 정보 등을 산출하며, 상기 트래픽 감시 시스템을 통해 감시된 네트워크의 트래픽 정보를 가공하여 네트워크상의 트래픽 변화 추이를 산출하는 위협 관리 시스템; 및 현재의 네트워크 상황을 실시간으로 제공하며, 가입자에게 각각의 시스템에서 제공하는 정보를 열람할 수 있는 환경을 제공하는 종합 보안 상황 관리 웹서버를 포함하여 구성된 것을 특징으로 한다.
이하, 첨부된 도면을 참조하여 본 발명을 상세히 설명하기로 한다.
먼저, 설명에 관한 이해를 돕고 본 발명의 내용을 명확히 하기 위하여, 이하에 사용하는 명칭을 정의하기로 한다.
1. 가입자: 종합보안 상황관리 시스템을 통해 자신이 관리하는 서버나 단말기에 대한 보안 서비스를 제공받는 주체를 의미한다.
2. 네트워크 관리자나 보안 담당자: 종합보안 상황관리 시스템을 관리하면서 보안 서비스를 제공하는 주체를 의미한다.
도 1 은 본 발명에 따른 종합 보안 상황 관리 시스템이 적용된 네트워크 구성 개략도로서, 침입탐지 시스템(120), 트래픽 감시 시스템(130), 종합 보안 상황 관리 시스템(140), 가입자측 서버(150), 및 웹 브라우저를 탑재한 PC 등과 같은 가입자측 단말기(160)가 연결되어 네트워크를 구성한다.
여기서, 인터넷망(110)과 해당 네트워크의 경계지점에 위치한 침입탐지 시스템(120)을 통해서는 비정상적인 침입을 탐지하고, 트래픽 감시 시스템(130)을 통해서는 전송되는 메시지의 양, 즉 트래픽을 감시한다. 그리고, 종합 보안 상황 관리 시스템(140)은 탐지되는 침입탐지 이벤트와 감지되는 트래픽 상황을 이용하여 가입자측 서버(150)와 가입자측 단말기(160)의 보안관리를 총체적으로 수행한다.
도 2 는 본 발명에 따른 종합 보안 상황 관리 시스템의 구성도로서, 종합 보안 상황 관리 웹서버(141), 위협 관리 시스템(142), 보안 이력관리 시스템(143), 조기위협 예경보 시스템(144), 침해사고 대응 시스템(145), 정보 검색 시스템(146), 정보 데이터베이스(147), 및 취약성 데이터베이스(148) 등을 포함하여 이루어진다.
도 2 를 참조하면, 정보 데이터베이스(147)는 가입자가 관리하는 서버(150)나 단말기(160)의 보안관련 정보를 저장한다. 이 때, 정보의 유형은 IP 주소, 운영체제, 메모리 사용량, 실행중인 프로세스, 설치된 프로그램, 및 패치현황 등을 포함한다. 취약성 데이터베이스(148)는 운영체제나 응용프로그램의 취약성 정보와 취약성을 이용한 공격 정보 등을 저장한다. 그 외에 보안 관련 뉴스, 보안 문서, 및 세계 네트워크 동향 정보 등을 포함할 수 있다.
보안 이력관리 시스템(143)은 가입자가 관리하는 서버(150)나 단말기(160)의 보안관련 정보를 수집하여 분석한다. 그리고, 주기적으로 서버(150)나 단말기(160)의 공격 가능성이나 이상 현상 등을 탐지하면서 해당되는 가입자에게 보안 이력이나 취약성 분석 결과를 제공한다. 따라서, 가입자는 자신이 관리하는 서버(150)나 단말기(160)의 보안 이력을 관리할 수 있으며, 어떠한 위협에 노출되어 있는지를 확인할 수 있다.
조기위협 예경보 시스템(144)은 새롭거나 긴급한 취약성이 발견되거나 상기 침입탐지 시스템(120)에서 침입이 탐지되면 동일한 위협에 노출된 서버(150)나 단말기(160)를 관리하는 가입자에게 예경보 메시지를 발송한다. 즉, 사이버 공격에 대한 실시간의 경보 체계를 제공한다.
침해사고 대응 시스템(145)은 상기 침입탐지 시스템(120)에서 침입이 탐지되거나 침해사고가 발생되어 가입자로부터 신고되는 경우, 사고 분석에 필요한 자료를 수집하고, 그 처리 내역과 대응책을 가입자에게 제공한다. 정보 검색 시스템(146)은 가입자에게 취약성 정보와 취약성을 이용한 공격 정보 등을 제공한다.
위협 관리 시스템(142)은 상기 각각의 시스템(143,144,145,146)을 관리하면서 상기 침입탐지 시스템(120)을 통해 탐지된 네트워크상의 발생된 이벤트를 필터링하고 네트워크의 위협 레벨과 Top 10 공격 취약성, Top 10 IP 주소, 및 Top 10 Port 정보 등을 산출한다. 또한, 상기 트래픽 감시 시스템(130)을 통해 감시된 네트워크의 트래픽 정보를 가공하여 네트워크상의 트래픽 변화 추이를 산출한다. 그리고, 이렇게 산출된 정보를 해당되는 각각의 시스템(143,144,145,146)으로 제공한다.
종합 보안 상황 관리 웹서버(141)는 현재의 네트워크 상황을 실시간으로 제공하며, 가입자에게 각각의 시스템에서 제공되는 정보를 열람할 수 있는 환경을 제공한다.
도 3 은 본 발명에 따른 종합 보안 상황 관리 시스템의 요소간 작용을 설명하는 개념도로서, 종합 보안 상황 관리의 예방-관리-복구 개념으로 설명하기로 한다.
먼저 예방은 취약성 데이터베이스(148), 조기위협 예경보 시스템(144), 및 정보 검색 시스템(146)이 중심이 된다. 매일 업데이트되는 취약성과 공격 정보가 취약성 데이터베이스(148)에 저장되고, 새로운 취약성이 저장될 경우에는 조기위협 예경보 시스템(144)에서 이를 인식한 후, 정보 데이터베이스(147)를 검색하여 동일한 위협에 노출된 서버(150)나 단말기(160)를 관리하는 가입자에게 메일이나 SMS 형태의 예경보 메시지를 전달한다. 따라서, 가입자측의 서버(150)나 단말기(160)가 신규 위협에 노출되는 것을 최소화할 수 있다. 또한, 정보 검색 시스템(146)을 통해서는 가입자에게 지속적으로 취약성 데이터베이스(148)에서 검색된 정보나 네트워크 상황 통계 등과 같은 보안 관련한 정보를 제공함으로써 가입자의 보안 지식을 확장시킬 수 있다.
관리는 위협 관리 시스템(142)과 보안 이력관리 시스템(143)이 중심이 된다. 위협 관리 시스템(142)은 침입탐지 시스템(120)으로부터 탐지되어 전송된 이벤트 중에서 의미있는 정보만을 필터링하고, 네트워크의 위협 레벨과 Top 10 공격 취약성, Top 10 IP 주소, 및 Top 10 Port 등의 정보를 산출한다. 또한, 트래픽 감시 시스템(130)으로부터 감시되어 전송된 정보를 가공하여 트래픽 변화 추이를 산출한다. 따라서, 네트워크 관리자나 보안 담당자는 네트워크의 이상 현상을 탐지하여 대응체계를 가동할 수 있으며, 블랙 리스트를 관리하여 방화벽 및 기타 보안 장비 정책 설정에 반영할 수 있다.
보안 이력관리 시스템(143)은 정보 데이터베이스(147)나 취약성 데이터베이스(148)를 검색하여 주기적으로 공격 가능성이나 이상 현상을 탐지하고 보고하는 기능을 수행한다. 그리고, 분석된 정보를 정보 데이터베이스(147)에 저장하여 관리한다. 따라서, 가입자는 이러한 정보를 통해 자신이 관리하는 서버(150)나 단말기(160)의 보안 이력을 관리할 수 있으며, 어떤 위협에 노출되어 있는지도 확인할 수 있고, 제시된 해결책을 적용하여 위협을 최소화할 수 있다.
복구는 침해사고 대응 시스템(145)과 조기위협 예경보 시스템(144)이 중심이 된다. 침입을 탐지하였거나 가입자로부터 침해사고가 신고될 경우에는 침해사고 대응 시스템(145)을 통해 복구 작업이 진행된다. 즉, 사고 분석에 필요한 자료를 수집하여 네트워크 관리자나 보안 담당자에게 제공하고, 해당되는 서버(150)나 단말기(160)를 관리하는 가입자에게 처리 내역과 그에 따른 대응책을 제공한다. 조기위협 예경보 시스템(144)은 피해가 확산되지 않도록 동일한 위협에 노출되어 있는 서버(150)나 단말기(160)의 조치 사항과 대응 방법 등의 조기위협 예경보를 가입자에게 제공한다. 또한, 그 내역을 정보 데이터베이스(147)에 저장하여 유사한 사고가 발생할 때 이용할 수 있게 한다.
도 4 는 본 발명에 따른 보안 이력관리 시스템의 내부 블록도 및 작용을 설명하는 개념도로서, 보안 이력관리 시스템(143)은 정보 수집 에이전트(143-1), 정보 수집 메니저(143-2), 보안 이력관리 모듈(143-3), 및 취약성 분석 모듈(143-4)로 이루어진다.
이러한 보안 이력관리 시스템(143)은 서버(150)나 단말기(160)의 운영체제, 주요 어플리케이션, 실행중인 프로세스, 메모리 사용률, 및 패치현황 등의 정보를 수집하여 정보 데이터베이스(147)에 저장하고 서버(150)나 단말기(160)의 취약성을 확인할 수 있게 한다.
정보 수집 에이전트(143-1)의 실체는 서버(150)나 단말기(160)에 설치되는 에이전트 프로그램이다. 정보 수집 메니저(143-2)는 매니저 프로그램을 구비하여 정보 수집 에이전트(143-1), 혹은 정보 수집 에이전트(143-1)에서 전달되는 정보 중에서 의미있는 정보를 수집한다. 이 때, 메니저 프로그램은 에이전트 프로그램의 업데이트 및 수행을 명령하는 기능도 담당한다.
보안 이력관리 모듈(143-3)은 수집된 보안 이력을 관리하면서 가입자에게 수집된 보안 이력을 제공한다. 그리고, 취약성 분석 모듈(143-4)은 상기 정보 데이터베이스(147)와 취약성 데이터베이스(148)에 저장된 정보를 비교하고 분석하여 해당되는 서버(150)나 단말기(160)의 취약성과 해결을 위한 보고서를 생성하여 가입자에게 제공한다.
도 5 는 본 발명에 따른 조기위협 예경보 시스템의 내부 블록도 및 작용을 설명하는 개념도로서, 조기위협 예경보 시스템(144)은 예경보 인지 모듈(144-1)과 예경보 발송 모듈(144-2)로 이루어진다. 이러한 조기위협 예경보 시스템(144)은 새로운 취약성이 발견되거나 공격이 발생하는 경우에 해당되는 가입자에게 예경보 메시지를 제공한다.
예경보 인지 모듈(144-1)은 새로운 취약성이나 긴급한 취약성이 발생하는지를 모니터링하는 모듈로서, 상기 취약성 데이터베이스(148)를 검색하여 취약성이 발견되거나 상기 침입탐지 시스템(120)에서 침입이 탐지되는지를 인지한다.
예경보 발송 모듈(144-2)은 예경보 인지 모듈(144-1)에서 취약성이나 침입을 인지하는 경우에 상기 정보 데이터베이스(147)의 저장된 정보를 검색하여 동일한 위협에 노출된 서버(150)나 단말기(160)를 관리하는 가입자에게 예경보 메시지를 발송한다. 즉, 새로운 취약성이 발견된 경우에는 취약성 정보를 발송하고, 긴급히 패치를 요하는 공격이 발생하거나 탐지되는 경우에는 공격 정보와 해결책 정보를 발송한다. 이 때, 예경보 메시지는 취약성이나 공격 정보 이외에 바이러스 뉴스, 정보 보호 동향 등의 보안 관련 뉴스를 포함할 수 있다.
도 6 은 본 발명에 따른 침해사고 대응 시스템의 내부 블록도 및 작용을 설명하는 개념도로서, 침해사고 대응 시스템(145)은 침해사고 접수 모듈(145-1), 침해사고 분석/처리 모듈(145-2), 및 블랙리스트 관리 모듈(145-3)로 이루어진다. 이러한 침해사고 대응 시스템(145)은 사고 분석에 필요한 자료를 수집하여 네트워크 관리자나 보안 담당자에게 제공하고, 해당되는 서버(150)나 단말기(160)를 관리하는 가입자에게 처리 내역과 그에 따른 대응책을 제공한다.
침해사고 접수 모듈(145-1)은 상기 침입탐지 시스템(120)으로부터 탐지된 침입이나 침해사고가 발생되어 가입자가 신고하는 내용을 접수한다. 이 때, 가입자는 전화나 메일 혹은 웹상에서 침해사고를 신고할 수 있다.
침해사고 분석/처리 모듈(145-2)은 상기 정보 데이터베이스(147)와 취약성 데이터베이스(148)의 저장된 정보를 이용하여 사고를 당한 서버(150)나 단말기(160)의 운영체제, 서비스 상태, 및 패치 상태 등과 같이 사고 분석에 필요한 자료를 수집한 후 네트워크 관리자나 보안 담당자에게 제공한다. 그리고, 네트워크 관리자나 보안 담당자가 처리 결과를 입력하면 그 처리 결과를 가입자에게 제공한다.
블랙리스트 관리 모듈(145-3)은 분석된 침해사고의 공격지 주소 및 공격자 정보를 수집한 후 네트워크 관리자나 보안 담당자에게 제공한다. 그리고, 네트워크 관리자나 보안 담당자는 해당 리스트에 대한 보안 장비의 설정 여부를 결정하고 그 처리 결과를 관리한다.
이상에서 설명한 바와 같이 종합 보안 상황 관리 시스템은, 가입자가 관리하는 서버나 단말기를 포함하는 네트워크를 종합적으로 보안 관리함으로써 보안 관리의 효율성이 증대되며 네트워크의 이상 현상을 신속하게 분석하여 대처할 수 있다. 또한, 가입자가 관리하는 서버나 단말기를 포함하는 네트워크가 위협으로부터 노출되는 것을 최소화할 수 있다. 한편, 가입자가 관리하는 서버나 단말기에 관한 정보를 기반으로 취약성이나 취약성을 이용한 공격 정보 등을 포함한 예경보 메시지를 제공함으로써 가입자는 스팸성이 아닌 맞춤형 예경보 서비스를 제공받을 수 있다.
도 1 은 본 발명에 따른 종합 보안 상황 관리 시스템이 적용된 네트워크 구성 개략도,
도 2 는 본 발명에 따른 종합 보안 상황 관리 시스템의 구성도,
도 3 은 본 발명에 따른 종합 보안 상황 관리 시스템의 요소간 작용을 설명하는 개념도,
도 4 는 본 발명에 따른 보안 이력관리 시스템의 내부 블록도 및 작용을 설명하는 개념도,
도 5 는 본 발명에 따른 조기위협 예경보 시스템의 내부 블록도 및 작용을 설명하는 개념도,
도 6 은 본 발명에 따른 침해사고 대응 시스템의 내부 블록도 및 작용을 설명하는 개념도이다.
*도면의 주요부분에 대한 부호의 설명
110 : 인터넷망 120 : 침입탐지 시스템
130 : 트래픽 감시 시스템 140 : 종합 보안 상황 관리 시스템
141 : 종합 보안 상황 관리 웹서버 142 : 위협 관리 시스템
143 : 보안 이력관리 시스템 143-1 : 정보 수집 에이전트
143-2 : 정보 수집 메니저 143-3 : 보안 이력관리 모듈
143-4 : 취약성 분석 모듈 144 : 조기위협 예경보 시스템
144-1 : 예경보 인지 모듈 144-2 : 예경보 발송 모듈
145 : 침해사고 대응 시스템 145-1 : 침해사고 접수 모듈
145-2 : 침해사고 분석/처리 모듈 145-3 : 블랙리스트 관리 모듈
146 : 정보 검색 시스템 147 : 정보 데이터베이스
148 : 취약성 데이터베이스 150 : 가입자측 서버
160 : 가입자측 단말기

Claims (4)

  1. 네트워크상에 구비된 침입탐지 시스템과 트래픽 감시 시스템을 이용하되 가입자가 관리하는 서버나 단말기를 포함하는 네트워크를 보안관리하는 시스템에 있어서,
    서버나 단말기의 보안관련 정보를 저장하는 정보 데이터베이스;
    운영체제나 응용프로그램의 취약성 정보와 취약성을 이용한 공격 정보를 저장하는 취약성 데이터베이스;
    서버나 단말기의 보안관련 정보를 수집하여 분석하고 서버나 단말기의 공격 가능성이나 이상 현상을 탐지하되 가입자에게 보안 이력이나 취약성 분석 결과를 제공하는 보안 이력관리 시스템;
    상기 취약성 데이터베이스를 검색하여 새로운 취약성이 발견되거나 상기 침입탐지 시스템에서 침입이 탐지되면 동일한 위협에 노출된 서버나 단말기를 관리하는 가입자에게 예경보 메시지를 발송하는 조기위협 예경보 시스템;
    상기 침입탐지 시스템에서 침입이 탐지되거나 침해사고가 발생되어 가입자로부터 신고되는 경우, 사고 분석에 필요한 정보를 수집하고 그 처리 내역과 대응책을 가입자에게 제공하는 침해사고 대응 시스템;
    가입자에게 취약성 정보와 취약성을 이용한 공격 정보를 제공하는 정보검색 시스템;
    상기 각각의 시스템을 관리하면서 상기 침입탐지 시스템을 통해 탐지된 네트워크상의 이벤트를 필터링하고 네트워크의 위협 레벨과 Top 10 공격 취약성, Top 10 IP 주소, 및 Top 10 Port 정보 등을 산출하며, 상기 트래픽 감시 시스템을 통해 감시된 네트워크의 트래픽 정보를 가공하여 네트워크상의 트래픽 변화 추이를 산출하는 위협 관리 시스템; 및
    현재의 네트워크 상황을 실시간으로 제공하며, 가입자에게 각각의 시스템에서 제공하는 정보를 열람할 수 있는 환경을 제공하는 종합 보안 상황 관리 웹서버를 포함하여 구성된 것을 특징으로 하는 종합 보안 상황 관리 시스템.
  2. 제 1 항에 있어서 상기 보안 이력관리 시스템은,
    서버나 단말기에 설치된 정보 수집 에이전트와, 정보 수집 에이전트 혹은 정보 수집 에이전트에서 전달되는 정보 중에서 의미있는 정보를 수집하여 상기 정보 데이터베이스에 저장하는 정보 수집 메니저와, 수집된 보안 이력정보를 분석하되 분석된 정보를 상기 정보 데이터베이스에 저장하고 가입자에게 제공하는 보안 이력관리 모듈과, 상기 정보 데이터베이스와 취약성 데이터베이스에 저장된 정보를 비교분석하여 해당되는 서버나 단말기의 취약성과 그에따른 해결책을 생성하여 가입자에게 제공하는 취약성 분석 모듈을 포함한 것을 특징으로 하는 종합 보안 상황 관리 시스템.
  3. 제 1 항에 있어서 상기 조기위협 예경보 시스템은,
    상기 취약성 데이터베이스를 검색하여 취약성이 발견되거나 상기 침입탐지 시스템에서 침입이 탐지되는지를 인지하는 예경보 인지 모듈과, 인지되는 경우에는 상기 정보 데이터베이스의 저장된 정보를 검색하여 동일한 위협에 노출된 서버나 단말기를 관리하는 가입자에게 예경보 메시지를 발송하는 예경보 발송 모듈을 포함한 것을 특징으로 하는 종합 보안 상황 관리 시스템.
  4. 제 1 항에 있어서 상기 침해사고 대응 시스템은,
    상기 침입탐지 시스템을 통해 탐지된 침입이나 침해사고가 발생되어 가입자가 신고하는 내용을 접수하는 침해사고 접수 모듈과, 상기 정보 데이터베이스와 취약성 데이터베이스의 저장된 정보를 이용하여 사고를 당한 서버나 단말기의 운영체제, 서비스 상태, 및 패치 상태 등과 같이 사고 분석에 필요한 자료를 수집하여 네트워크 관리자나 보안 담당자에게 제공하고, 네트워크 관리자나 보안 담당자가 처리 결과를 입력하면 처리 결과를 가입자에게 제공하는 침해사고 분석/처리 모듈과, 분석/처리된 침해사고의 공격지 주소 및 공격자 정보를 수집한 후 네트워크 관리자나 보안 담당자에게 제공하고, 네트워크 관리자나 보안 담당자가 해당 리스트를 보안 장비 설정에 적용한 경우에는 처리된 결과를 관리하는 블랙리스트 관리 모듈을 포함한 것을 특징으로 하는 종합 보안 상황 관리 시스템.
KR1020030089072A 2003-12-09 2003-12-09 종합 보안 상황 관리 시스템 KR100607110B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030089072A KR100607110B1 (ko) 2003-12-09 2003-12-09 종합 보안 상황 관리 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030089072A KR100607110B1 (ko) 2003-12-09 2003-12-09 종합 보안 상황 관리 시스템

Publications (2)

Publication Number Publication Date
KR20050055996A true KR20050055996A (ko) 2005-06-14
KR100607110B1 KR100607110B1 (ko) 2006-08-01

Family

ID=37250769

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030089072A KR100607110B1 (ko) 2003-12-09 2003-12-09 종합 보안 상황 관리 시스템

Country Status (1)

Country Link
KR (1) KR100607110B1 (ko)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100798755B1 (ko) * 2006-05-17 2008-01-29 주식회사 제이컴정보 위협 관리 시스템 및 그 방법
KR100838799B1 (ko) * 2007-03-09 2008-06-17 에스케이 텔레콤주식회사 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법
KR100955282B1 (ko) * 2007-10-12 2010-04-30 한국정보보호진흥원 정보 계층 구조를 이용한 네트워크 위험 분석 방법
KR101490052B1 (ko) * 2013-10-14 2015-02-04 케이티비솔루션 주식회사 사용자 단말 원격 접속 감지 시스템 및 방법
KR20180018197A (ko) * 2016-08-12 2018-02-21 주식회사 케이티 공유기 관리 장치, 그리고 서버를 포함하는 공유기 관리 시스템 및 이를 이용한 관리 방법
CN110557273A (zh) * 2018-06-04 2019-12-10 视联动力信息技术股份有限公司 终端状态告警方法和装置
KR102111136B1 (ko) * 2020-02-12 2020-05-15 주식회사 이글루시큐리티 대응지시서를 생성하고, 적용 결과를 분석하는 방법, 감시장치 및 프로그램
CN114598551A (zh) * 2022-03-29 2022-06-07 南方电网科学研究院有限责任公司 一种应对持续威胁攻击的信息网络安全预警系统
CN115051865A (zh) * 2022-06-21 2022-09-13 南京三奎信息科技有限公司 一种用于实现数据维护的安全态势感知系统
CN116366316A (zh) * 2023-03-16 2023-06-30 中国华能集团有限公司北京招标分公司 一种网络空间测绘方法

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100798755B1 (ko) * 2006-05-17 2008-01-29 주식회사 제이컴정보 위협 관리 시스템 및 그 방법
KR100838799B1 (ko) * 2007-03-09 2008-06-17 에스케이 텔레콤주식회사 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법
KR100955282B1 (ko) * 2007-10-12 2010-04-30 한국정보보호진흥원 정보 계층 구조를 이용한 네트워크 위험 분석 방법
KR101490052B1 (ko) * 2013-10-14 2015-02-04 케이티비솔루션 주식회사 사용자 단말 원격 접속 감지 시스템 및 방법
KR20180018197A (ko) * 2016-08-12 2018-02-21 주식회사 케이티 공유기 관리 장치, 그리고 서버를 포함하는 공유기 관리 시스템 및 이를 이용한 관리 방법
CN110557273A (zh) * 2018-06-04 2019-12-10 视联动力信息技术股份有限公司 终端状态告警方法和装置
KR102111136B1 (ko) * 2020-02-12 2020-05-15 주식회사 이글루시큐리티 대응지시서를 생성하고, 적용 결과를 분석하는 방법, 감시장치 및 프로그램
CN114598551A (zh) * 2022-03-29 2022-06-07 南方电网科学研究院有限责任公司 一种应对持续威胁攻击的信息网络安全预警系统
CN115051865A (zh) * 2022-06-21 2022-09-13 南京三奎信息科技有限公司 一种用于实现数据维护的安全态势感知系统
CN116366316A (zh) * 2023-03-16 2023-06-30 中国华能集团有限公司北京招标分公司 一种网络空间测绘方法
CN116366316B (zh) * 2023-03-16 2024-02-27 中国华能集团有限公司北京招标分公司 一种网络空间测绘方法

Also Published As

Publication number Publication date
KR100607110B1 (ko) 2006-08-01

Similar Documents

Publication Publication Date Title
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
US10432650B2 (en) System and method to protect a webserver against application exploits and attacks
US6775657B1 (en) Multilayered intrusion detection system and method
US7752665B1 (en) Detecting probes and scans over high-bandwidth, long-term, incomplete network traffic information using limited memory
US7493659B1 (en) Network intrusion detection and analysis system and method
US20030188189A1 (en) Multi-level and multi-platform intrusion detection and response system
EP1817888B1 (en) Method and system for managing denial of service situations
Ganame et al. A global security architecture for intrusion detection on computer networks
US20160232349A1 (en) Mobile malware detection and user notification
US20030084349A1 (en) Early warning system for network attacks
US7610624B1 (en) System and method for detecting and preventing attacks to a target computer system
US20100325685A1 (en) Security Integration System and Device
US11856008B2 (en) Facilitating identification of compromised devices by network access control (NAC) or unified threat management (UTM) security services by leveraging context from an endpoint detection and response (EDR) agent
WO2003051018A1 (en) Detecting intrusions in a network
CN214306527U (zh) 一种燃气管网调度监控网络安全系统
CN116827675A (zh) 一种网络信息安全分析系统
KR100607110B1 (ko) 종합 보안 상황 관리 시스템
KR100401088B1 (ko) 인터넷을 이용한 통합 보안 서비스 시스템
KR20220081145A (ko) Ai 기반 이상징후 침입 탐지 및 대응 시스템
KR100446816B1 (ko) 네트워크 기반의 통합 보안 관리 서비스망
KR20020075319A (ko) 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템
CN112671781A (zh) 基于rasp的防火墙系统
KR101022167B1 (ko) 네트워크 자산의 취약성을 고려한 침입탐지시스템의로그최적화 장치
CN112422501B (zh) 正反向隧道防护方法、装置、设备及存储介质
CN111541644A (zh) 基于动态主机配置协议实现的防止非法ip扫描技术

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20100615

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee