KR20060058179A - 네트워크 침입차단시스템에 대한 네트워크 접근 규칙 분석시스템 및 이를 이용한 네트워크 접근 규칙 분석 방법 - Google Patents

네트워크 침입차단시스템에 대한 네트워크 접근 규칙 분석시스템 및 이를 이용한 네트워크 접근 규칙 분석 방법 Download PDF

Info

Publication number
KR20060058179A
KR20060058179A KR1020040096905A KR20040096905A KR20060058179A KR 20060058179 A KR20060058179 A KR 20060058179A KR 1020040096905 A KR1020040096905 A KR 1020040096905A KR 20040096905 A KR20040096905 A KR 20040096905A KR 20060058179 A KR20060058179 A KR 20060058179A
Authority
KR
South Korea
Prior art keywords
access
network
access rule
analysis
rule
Prior art date
Application number
KR1020040096905A
Other languages
English (en)
Inventor
김무현
Original Assignee
김무현
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 김무현 filed Critical 김무현
Priority to KR1020040096905A priority Critical patent/KR20060058179A/ko
Publication of KR20060058179A publication Critical patent/KR20060058179A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명의 실시예에 따른 네트워크 침입 차단 시스템에 설정된 네트워크 접근 규칙을 분석하기 위한 네트워크 접근 규칙 분석 시스템은, 소정 그룹 내의 보안 정책을 입력되는 명령에 따라 관리하는 접근정책 관리부, 설정된 접근 규칙 파일을 분석용 포맷으로 변환하는 포맷변환부, 접근 규칙 파일을 기초로 네트워크 침입차단시스템에 대한 네트워크 접근 규칙을 분석하여 접근 규칙의 보안 취약점을 선별하는 접근분석모듈, 접근 규칙 파일로부터 상기 선별한 보안 취약점을 제거하고 신규 접근 규칙을 생성하는 접근규칙 생성부를 구비한다.
네트워크, 침입, 차단, 접근 규칙, 분석, 설정

Description

네트워크 침입차단시스템에 대한 네트워크 접근 규칙 분석 시스템 및 이를 이용한 네트워크 접근 규칙 분석 방법{Network Access Rule Analyzing System on The Network Firewall System and Method for Analyzing Network Access Rule using The Same}
도 1은 본 발명에 따른 네트워크 침입차단시스템에 설정된 접근 규칙을 실시간으로 분석 및 재설정하기 위한 접근 규칙 설정 분석 시스템의 바람직한 실시예를 도시한 블록도,
도 2는 도 1의 데이터베이스의 구성을 보다 상세히 도시한 블록도,
도 3은 도 1에 도시된 네트워크 접근 규칙 분석 시스템이 네트워크 접근 규칙의 분석을 위해 실제 구현되는 되는 예를 도시한 블록도, 그리고
도 4는 본 발명에 따른 네트워크 침입차단시스템의 접근 규칙 설정 분석 시스템을 이용한 네트워크 접근 규칙 설정 분석 방법의 바람직한 실시예를 도시한 플로우도이다.
본 발명은 네트워크 접근 규칙 분석 시스템에 관한 것으로서, 보다 상세하게 는, 네트워크의 침입/허용 여부를 결정하는 접근 규칙(access rule)을 분석하고 재설정하기 위한 네트워크 침입차단시스템의 네트워크 접근 규칙 설정 분석 시스템 및 방법에 관한 것이다.
우리 사회는 산업혁명을 거쳐 지식기반의 고부가가치 사회로 진화하고 있으며, 인터넷을 중심으로 한 다양한 정보기술이 지식정보사회를 앞당기는데 중요한 역할을 담당하고 있다.
인터넷이 중요한 사회기반으로 자리 잡음에 따라 이를 악용하려는 시도 역시 급속도로 증가하고 있는 실정이다. 이에 따라, 인터넷을 악용함에 따른 위험을 감소시키기 위한 다양한 보안 기술이 개발되고 이를 응용한 솔루션이 다양하게 출시되고 있다.
그러나, 이러한 보안 기술의 개발 및 도입에만 지나치게 집중해서는 원하는 보안 수준을 유지할 수 없다. 따라서 인터넷에 대한 소정의 보안 수준을 유지하기 위해서는 보안 솔루션 도입 이후의 올바른 운영 및 이에 대한 감사가 필수적이다.
네트워크 보안에서 가장 중요한 요소가 네트워크에 대한 외부 침입을 차단하기 위한 네트워크 침입차단시스템이라고 할 수 있다. 네트워크가 복잡해지고, 더 많은 처리 용량을 요구함에 따라 네트워크 침입차단시스템은 기가 비트(Giga Bit) 수준의 처리속도를 지원하도록 기능을 향상 시키고, 여러 침입차단시스템을 통합 관리하기 위한 ESM(Enterprise Security Management) 제품으로 발전하고 있다. ESM 제품은 기업의 보안 시스템을 통합 관리하기 위한 제품이다. 뿐만 아니라, 네트워크 침입차단시스템은 IDS(Intrusion Detection System) 및 취약점 스캐너와 연 동을 통한 다양한 능동적 기능을 제공하는 등의 기능적 발전이 이루어지고 있다.
일반적으로, 기업들은 B2C(Business to Consumer) 또는 B2B(Business to Business) 서비스를 인터넷으로 제공하기 위해서 네트워크를 외부에 공개해야 하는 필요성이 있다. 그러나 인터넷 구간으로부터 공개된 네트워크에 대한 바이러스 또는 DoS(Denial of Service) 공격 등의 증가로 인해 이를 방어하기 위한 새로운 규칙(Rule)을 네트워크에 등록해야 하는 필요성이 증가하고 있다. 이에 따라 네트워크 침입차단시스템의 접근 규칙 설정(access Rule set)은 나날이 복잡해지고 있다. 여기서 DoS 공격이란 공개된 네트워크에 대한 시스템의 서비스를 정상적으로 제공하지 못하도록 하는 공격 유형이다.
상술한 바와 같은 이유로 인하여 네트워크 침입차단시스템의 운영자 및 네트워크 보안을 담당하는 보안 담당자들은 네트워크 침입차단시스템을 올바르게 운영하는데 아래와 같은 문제점에 직면하게 되는 단점이 있다.
일반적으로 네트워크 침입차단시스템은 크게 관리 대상을 정의하는 관리대상정보(Object)와 접근 규칙을 정의하는 규칙설정정보(Rule set)를 기초로 해당 네트워크의 침입을 관리한다.
이때 네트워크 침입차단시스템은 정의되는 관리대상 및 접근 규칙의 수가 증가함에 따라, 네트워크 전체의 입장에서 관리자가 원하지 않는 규칙이 존재할 수 있으며 새로운 규칙을 적용 또는 변경하고자 할 때 기존 접근 규칙에 미치는 영향을 미리 파악할 수 없는 단점이 있다. 이에 따라 기존의 네트워크 침입차단시스템은 원하지 않는 규칙이 입력되어 어플리케이션 접근에 문제가 생기거나, 침해 사고 가 발생할 수도 있다.
이러한 위험을 미연에 평가하여 조치를 취하기 위해 기업의 보안 담당자는 정기적 또는 비정기적으로 네트워크 침입차단시스템의 접근 규칙을 분석하고 규칙을 재설정하해야 한다. 그러나 이러한 접근 규칙 정보는 다수개의 나열식으로 이루어져 있기 때문에, 수많은 접근 규칙을 효과적으로 분석하는 것은 현실적으로 불가능한 문제점이 있다. 특히, 대규모의 네트워크를 운영하는 대기업, 공공기관, ISP(Internet Service Provider), IDC(Internet Data Center)에서는 설정 규칙에 대한 관리적인 문제가 더욱 심각하다.
즉, 네트워크 침입차단시스템의 설정된 접근 규칙에 대한 분석 및 규칙 재설정은 네트워크 보안 관리를 위한 중요한 요소임에도 불구하고 종래에 출시되어 있는 네트워크 침입차단시스템은 이러한 기능을 제공하고 있지 않는 문제점이 있다.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, 네트워크 침입차단시스템에 설정된 접근 규칙을 실시간으로 보다 정확하게 분석하기 위한 접근 규칙 설정 분석 시스템 및 이를 이용한 설정 규칙 분석 방법을 제공하는 데 있다.
본 발명의 다른 목적은, 외부로부터의 네트워크 접근에 대한 접근 규칙에 따라 내부 네트워크를 보호하는 네트워크 침입차단시스템에서 보호 대상의 증가 및 접근 규칙의 오류 발생에 대하여 네트워크 보안 정책에 따라 접근 규칙을 보다 정확하게 분석 및 재설정하여 네트워크 보호를 실시간으로 관리할 수 있는 접근 규칙 설정 분석 시스템 및 이를 이용한 설정 규칙 분석 방법을 제공하는 데 있다.
본 발명의 또 다른 목적은, 네트워크 보안 정책을 기반으로 네트워크 침입차단시스템의 네트워크 접근제어 현황을 지능적으로 분석하여 네트워크 위험관리를 보다 정확하고 안정적으로 수행하기 위한 접근 규칙 설정 분석 시스템 및 이를 이용한 설정 규칙 분석 방법을 제공하는 데 있다.
상기와 같은 목적은 본 발명에 따라, 네트워크 침입 차단 시스템에 설정된 네트워크 접근 규칙을 분석하기 위한 네트워크 접근 규칙 분석 시스템에 있어서, 소정 그룹 내의 보안 정책을 입력되는 명령에 따라 관리하는 접근정책 관리부, 설정된 접근 규칙 파일을 분석용 포맷으로 변환하는 포맷변환부, 접근 규칙 파일을 기초로 네트워크 침입차단시스템에 대한 네트워크 접근 규칙을 분석하여 접근 규칙의 보안 취약점을 선별하는 접근분석모듈, 접근 규칙 파일로부터 상기 선별한 보안 취약점을 제거하고 신규 접근 규칙을 생성하는 접근규칙 생성부를 포함하는 네트워크 접근 규칙 분석 시스템에 의해 달성된다.
바람직하게는, 본 발명의 네트워크 접근 규칙 분석 시스템은 접근분석모듈에서 분석한 분석정보, 및 접근규칙 생성부에서 생성된 신규 접근 규칙을 사용자 인터페이스를 통해 사용자에게 리포팅하는 리포팅부를 더 갖는다.
본 발명의 네트워크 접근 규칙 분석 시스템은 접근정책 관리부에 입력되는 보안 정책정보, 접근분석모듈에서 분석한 분석정보, 및 접근규칙 생성부에서 생성한 신규 접근 규칙을 저장하는 데이터베이스를 더 갖는다.
바람직하게는, 상기 접근분석모듈은, 네트워크 침입차단시스템의 접근 기록을 통해 각 목적지의 주소별로 사용 빈도 및 접근 시간 정보를 분석하는 접근분석부, 보호하고자 하는 네트워크에 존재하는 열린 포트(port)를 분석하는 포트분석부, 기 제공된 네트워크 대역에 대해 해당 네트워크에 존재하는 IP(Internet Protocol), 운영체제, 및 시스템의 종류를 분석하는 구조분석부, 및 접근정책모듈을 통해 분석된 분석 결과 정보와 기 설정된 접근 규칙과의 상관 관계를 분석하여 네트워크의 보안상 취약점을 선별하는 접근규칙 분석부를 포함하여 구성된다.
바람직하게는, 상기 접근규칙 분석부는 분석 결과 정보와 기 설정된 접근 규칙을 통해 불필요한 접근 규칙 및 사용되지 않는 접근 규칙을 선별한다. 또한 상기 접근규칙 생성부는 접근 규칙에 대한 변경정보가 입력되면, 기 설정된 접근 규칙을 기초로 변경 정보에 대한 보안 취약성을 분석한 후 그 결과에 따라 새로운 네트워크 접근 정책을 생성한다.
한편, 상기와 같은 목적은 본 발명에 따라, 네트워크 침입 차단 시스템에 설정된 네트워크 접근 규칙을 분석하기 위한 네트워크 접근 규칙 분석 시스템을 이용한 네트워크 접근 규칙 분석 방법에 있어서, 입력되는 명령에 따라 소정 그룹 내의 네트워크 접근 정책을 설정하는 단계, 설정된 접근 규칙 파일을 분석용 포맷으로 변환하는 단계, 접근 규칙 파일을 기초로, 상기 네트워크 침입차단시스템에 대한 네트워크 접근 규칙을 분석하여 접근 규칙의 보안 취약점을 선별하는 단계, 및 접근 규칙 파일로부터 상기 선별한 보안 취약점을 제거하고 신규 접근 규칙을 생성하는 단계를 포함하는 네트워크 접근 규칙 분석 방법에 의해 달성된다.
바람직하게는, 본 발명의 네트워크 접근 규칙 분석 방법은, 네트워크 접근 규칙의 분석 정보 및 상기 신규 접근 규칙을 사용자 인터페이스를 통해 사용자에게 리포팅하는 단계를 더 포함한다.
바람직하게는, 상기 보안 취약점 선별 단계는, 네트워크 침입차단시스템의 접근 기록을 통해 각 목적지의 주소별로 사용 빈도 및 접근 시간 정보를 분석하는 단계, 보호하고자 하는 네트워크에 존재하는 열린 포트(port)를 분석하는 단계, 기 제공된 네트워크 대역에 대해 해당 네트워크에 대한 구조를 분석하는 단계, 및 접근 기록, 포트, 및 구조의 분석 결과와 기 설정된 접근 규칙과의 상관 관계를 분석하여 네트워크의 보안상 취약점을 선별하는 단계를 포함한다.
상기 보안 취약점 선별 단계에서는 상기 분석 결과와 상기 기 설정된 접근 규칙을 통해 불필요한 접근 규칙 및 사용되지 않는 접근 규칙이 선별된다.
본 발명의 네트워크 접근 규칙 분석 방법은, 접근 규칙에 대한 변경정보가 입력되면, 기 설정된 접근 규칙을 기초로 상기 변경 정보에 대한 보안 취약성을 분석한 후 그 결과에 따라 새로운 네트워크 접근 정책을 생성하는 단계를 더 포함한다.
본 발명에 따르면, 네트워크 접근 규칙 분석 시스템을 대형 네트워크 보안 관리에 적용할 경우, 기존에 수작업으로 접근 규칙을 점검을 하는 것보다 정확성 및 효율성을 향상시켜 준다. 또한, 새로운 접근 규칙을 등록 또는 변경을 네트워크 침입차단시스템에 적용하기 이전에 이로 인해 미칠수 있는 보안성 평가를 사전에 수행함으로써, 네트워크 보안에 대한 안정성을 높을 수 있다.
이하, 본 발명의 바람직한 실시예들을 첨부한 도면을 참조하여 상세히 설명한다. 도면들 중 동일한 구성요소들은 가능한 한 어느 곳에서든지 동일한 부호들로 나타내고 있음에 유의해야 한다. 또한 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략한다.
본 발명은 네트워크 접근 정책을 기반으로 네트워크 침입차단시스템의 접근 로그, 네트워크 스캐닝 분석 기법을 활용하여 접근 규칙 설정을 실시간으로 지능적 및 능동적으로 분석하는 방법이 개시된다. 또한, 본 발명은 접근 규칙의 변경 시 사전에 미칠 영향을 분석하여 네트워크에 대한 위험 여부를 관리하는 방법이 개시된다.
도 1은 본 발명에 따른 네트워크 침입차단시스템에 설정된 접근 규칙을 실시간으로 분석 및 재설정하기 위한 접근 규칙 설정 분석 시스템의 바람직한 실시예를 도시한 블록도이다.
도시된 바와 같이, 네트워크 침입차단시스템의 규칙설정 분석 시스템은, 접근 정책 관리부(350), 포맷변환부(370), 접근분석모듈(200), 접근규칙 생성부(330), 리포팅부(310), 및 데이터베이스(100)를 갖는다.
접근 정책 관리부(350)는 네트워크의 보안 정책을 관리하는 기능을 수행한다. 접근 정책 관리부(350)는 기업의 네트워크 정책을 생성, 제거, 수정하는 것과 같은 네트워크 정책 관리를 위한 GUI(Graphical User Interface)를 제공한다. 또한 접근 정책 관리부(350)는 네트워크 정책에 대한 정보가 저장되어 있는 데이터베이스를 관리한다. 이러한 데이터베이스는 도 1에서 데이터베이스(100)에 포함된 다. 이때 데이터베이스에 저장되어 있는 네트워크 정책정보는 네트워크 접근 규칙을 분석하기 위한 기초 자료로 활용되며 접근 규칙과 정책 간의 연관성 분석을 통해서 접근 정책과 모순되는 규칙을 선별하는데 이용된다.
포맷변환부(370)는 다양한 네트워크 침입차단시스템의 접근 규칙 설정 파일의 형태를 본 실시예에서 이용하기 위한 표준 XML 형태로 변경한다. 이때 포맷변환부(370)는 표준 XML 형태로 변경한 접근 규칙 설정 파일을 데이터베이스(100)에 저장한다.
접근분석모듈(200)은 네트워크에 대한 접근, 포트, 구조, 및 접근 규칙을 분석한다. 보다 상세하게는 접근분석모듈(200)은 접근분석부(210), 포트분석부(230), 구조분석부(250), 및 접근규칙 분석부(270)를 갖는다.
접근분석부(210)는 네트워크 침입차단시스템 접근 기록을 분석한다. 접근분석부(210)는 네트워크 침입차단시스템의 접근 기록 로그를 분석하여, 각 목적지 IP(Internet Protocol) 별로 사용 빈도 및 마지막 접근된 시간 정보를 데이터베이스(100)에 저장한다. 이러한 정보는 사용 빈도가 낮거나 접근 규칙에는 접근 허가로 설정되어 있으나, 실제 접근 기록이 없는 접근 규칙을 선별하여 해당 IP의 실존 여부 및 실제 사용 여부에 대한 판단을 할 수 있도록 안내를 해주는데 이용된다.
포트분석부(230)는 보호하고자 하는 네트워크에 존재하는 시스템에 열린 포트(port)를 분석한다. 포트분석부(230)는 사전에 사용자가 정의한 내부 네트워크 IP 대역에 대한 포트 스캐닝(port scanning)을 통해서 열려있는 포트를 분석한 후, 그 결과를 데이터베이스(100)에 저장한다. 이러한 정보는 실제로 특정 시스템에 포트가 열려있지 않으나, 접근 규칙에서 해당 시스템/포트에 대한 접근 규칙이 존재하는지 판별하는데 이용된다.
구조분석부(250)는 네트워크 구조를 분석하는 기능을 수행한다. 구조분석부(250)는 사전에 제공된 네트워크 대역에 대해서 핑(Ping), SNMP(Simple Network Management Protocol) 쿼리를 통해서 해당 네트워크에 존재하는 IP, 운영체제, 시스템의 종류와 같은 시스템 상태를 분석한다. 이러한 분석 결과 정보는 실제로 존재하지 않는 시스템에 대한 접근 규칙이 존재하는지를 파악하는데 이용된다.
접근규칙 분석부(270)는 네트워크 보안 정책 관리를 위해, 접근정책 관리부(350), 접근분석부(210), 포트분석부(230), 및 구조분석부(250)를 통해 분석된 결과 정보와 접근 규칙과의 상관 관계를 분석하여 네트워크의 보안상 위험한 접근 규칙을 선별해낸다.
바람직하게는, 접근규칙 분석부(270)는 상기 분석 결과 정보와 접근 규칙을 통해 불필요한 접근 규칙 및 사용되지 않는 접근 규칙을 선별한다. 여기서 불필요한 접근 규칙은 접근 규칙에는 존재하나 실제 시스템이 존재하지 않는 경우, 또는 접근 규칙에는 존재하나 실제 서비스가 존재하지 않는 경우가 해당된다.
또한 접근규칙 분석부(270)는 보안상 취약한 접근 규칙을 선별하는 기능을 수행한다. 즉, 접근규칙 분석부(270)는 여러 개의 접근 규칙들이 모여서 원하지 않는 접근 규칙을 생성하는 경우, 이로 인하여 생성된 원치 않는 접근 규칙을 선별한다. 접근규칙 분석부(270)는 접근 규칙에서 IP 또는 포트를 모두 접근 가능으로 정의했을 경우, 원하지 않는 IP 또는 포트에 대한 노출이 발생한 경우 이에 대한 접근 규칙을 선별한다.
접근규칙 생성부(330)는 접근규칙 분석부(270)의 분석 결과를 토대로 취약한 접근 규칙을 제거한 형태의 새로운 접근 규칙을 생성한다. 접근규칙 생성부(330)는 기존 접근 규칙에서 취약한 접근 규칙들을 제시하고, 이를 사용자가 선별하여 제거하도록 하는 GUI를 제공한다. 접근규칙 생성부(330)는 사용자에 의해 수정된 접근 규칙을 네트워크 침입차단시스템에 다시 적용할 수 있는 형태로 변환한다. 또한, 접근규칙 생성부(330)는 새로운 접근 규칙을 추가하고자 할 경우 기존의 접근 규칙에 대비하여 사전에 보안에 미칠 영향성 평가를 수행하여 그 결과를 사용자에게 알려준다.
리포팅부(310)는 접근분석모듈(200)에서 분석된 접근 규칙에 대한 분석 결과를 사용자에게 리포팅한다. 리포팅부(310)는 접근분석모듈(200)에서 분석된 접근 규칙에 대한 문제점을 화면 및/또는 파일로 제공하며, 향후 비교분석을 위해서 데이터베이스(100)에 저장한다. 또한 리포팅부(310)는 어떤 접근 규칙이 무슨 위험이 있는지 사용자에게 알려주며, 이에 대한 접근 규칙의 권고 사항을 사용자에게 제안하는 기능을 수행한다.
도 2는 도 1의 데이터베이스(100)의 구성을 보다 상세히 도시한 블록도이다.
도시된 바와 같이, 데이터베이스(100)는 접근규칙 데이터베이스(110), 접근기록 데이터베이스(120), 접근정책 데이터베이스(130), 네트워크 구조 데이터베이스(140), 접근규칙 분석결과 데이터베이스(150), 및 신규 접근규칙 데이터베이스(160)를 갖는다.
접근규칙 데이터베이스(110)는 네트워크 침입차단시스템의 접근 규칙 및 관리 대상정보를 저장한다. 접근기록 데이터베이스(120)는 네트워크 침입차단시스템에 접근한 접근 기록의 대상 IP, 포트, 해당 시스템의 사용 빈도, 및 마지막 접근 시간 정보 등을 저장한다.
접근정책 데이터베이스(130)는 네트워크 보호 대상에 대한 IP, 포트, 접근 허용 여부와 같은 접근 정책에 관련된 정보를 저장한다. 네트워크 구조 데이터베이스(140)는 보호 대상 네트워크의 상태 정보를 저장한다. 여기서 상태 정보란 네트워크의 IP, 열려진 포트, 시스템의 종류에 대한 정보가 포함된다.
접근규칙 분석결과 데이터베이스(150)는 접근규칙 분석부(270)의 분석 결과 취약한 접근 규칙에 대한 정보를 저장한다. 신규 접근규칙 데이터베이스(160)는 접근규칙 생성부(330)에 의해 취약한 접근 규칙이 제거되어 새로 생성된 접근 규칙을 저장한다.
따라서 본 발명의 네트워크 접근 규칙 분석 시스템을 대형 네트워크 보안 관리에 적용할 경우, 기존에 수작업으로 접근 규칙을 점검을 하는 것보다 정확성 및 효율성을 향상시켜 준다. 또한, 새로운 접근 규칙을 등록 또는 변경을 네트워크 침입차단시스템에 적용하기 이전에 이로 인해 미칠수 있는 보안성 평가를 사전에 수행함으로써, 네트워크 보안에 대한 안정성을 높을 수 있다.
또한, 네트워크 보안의 가장 핵심인 침입차단시스템의 접근 규칙의 분석을 통해서 보호하고자 하는 네트워크가 외부에 어떻게 노출되어 있는지를 확인할 수 있으므로, 접근 규칙을 분석하는 것이 향후 기업의 위험 관리에 대한 중요한 요소 가 될 수 있다.
본 발명의 네트워크 접근 규칙 분석 시스템은 기업의 정책을 기반으로 네트워크 침입차단시스템의 접근 규칙을 분석함으로써, 단순한 접근 규칙 상의 문제점과 더불어 기업의 정책에 기초하여 네트워크 침입차단시스템의 운영을 가능하게 한다. 또한, 본 발명의 네트워크 접근 규칙 분석 시스템은 접근 규칙을 파일로 획득한 후 이를 기반으로 분석을 수행함으로써, 운영중인 네트워크에 전혀 영향을 미치지 않는다. 뿐만 아니라 네트워크 침입차단시스템의 제품 종류 별로 접근 규칙 파싱 엔진(Ruleset Parsing Engine)을 플러그인(Plug-in) 형태로 구현하여 새로운 네트워크 침입차단시스템의 지원이 용이하다.
본 발명의 네트워크 접근 규칙 분석 시스템과 기존에 출시되어 있는 Algosec사의 "Firewall Analyzer"의 특징을 비교하면 다음과 같다. Algosec사의 "Firewall Analyzer"는 단일 네트워크 침입차단시스템에 대해서 접근 규칙의 취약성만을 분석하여 제공해주는 단순한 기능만 제공한다. 그러나 본 발명의 네트워크 접근 규칙 분석 시스템은 기업의 네트워크 접근 정책을 기반으로 네트워크 침입차단시스템의 접근 로그, 네트워크 스캐닝 분석 기법을 활용하여 지능적인 접근 규칙 분석을 가능하게 한다. 또한, 본 발명의 네트워크 접근 규칙 분석 시스템은 변경되는 접근 규칙에 대한 사전 영향성 평가 기술을 도입하여 기업 네트워크에 대한 위험관리(Risk Management)를 가능하게 한다.
도 3은 도 1에 도시된 네트워크 접근 규칙 분석 시스템이 네트워크 접근 규칙의 분석을 위해 실제 구현되는 되는 예를 도시한 블록도이다.
도시된 바와 같이, 접근분석부(210)는 네트워크 침입차단시스템의 접근 기록을 분석한다. 즉, 접근분석부(210)는 네트워크 침입차단시스템에서 생성된 접근기록 정보(510)가 입력되면, 접근기록 정보(510)를 분석용 포맷으로 변환하고, 대상 시스템 별로 접근 빈도(일별 평균, 주별 평균) 및 최근 접근 시간정보를 분석하여 데이터베이스(100)에 저장한다.
포트분석부(230)는 입력되는 포트정보(530)를 기초로 보호하고자 하는 네트워크에 존재하는 시스템에 열린 포트를 분석한다. 이때 포트분석부(230)는 포트 분석 결과를 데이터베이스(100)에 저장한다.
구조분석부(250)는 입력되는 네트워크 구조정보(550)를 참조하여 보호하고자 하는 네트워크의 IP 대역을 입력 받은 후, 해당 IP 대역을 원격 스캐닝하여 해당 시스템의 종류를 분석한 후, 이를 데이터베이스(100)에 저장한다.
접근정책관리부(350)는 네트워크 침입차단시스템으로 보호하고자 하는 시스템 및 네트워크에 대해서 접근허용 및 접근 불허용과 같은 접근 정책정보(570)를 사용자로부터 입력 받아, 데이터베이스(100)에 저장한다.
포맷변환부(370)는 각 네트워크 침입차단시스템에서 생성되어 입력되는 접근규칙파일(590)을 분석용 포맷으로 변환하여 데이터베이스(100)에 저장한다.
접근 규칙 분석부(270)는 데이터베이스(100)에 저장된 접근분석모듈(200)의 각 부에서 분석된 결과를 참조하여 네트워크에 취약한 접근 규칙을 선별하고 이에 따른 분석결과정보를 데이터베이스(100)에 저장 및 리포팅부(310)로 출력한다.
리포팅부(310)는 접근 규칙 분석부(270)에서 분석한 분석정보(410)를 사용자 인터페이스를 통해 사용자에게 제공하고, 이를 분석결과 DB에 저장함.
접근규칙 생성부(330)는 사용자로부터 입력되는 접근 규칙 변경정보(450) 및 데이터베이스(100)에 저장된 각각의 분석결과정보를 통해 보안의 위험성 여부를 판판하고 새로운 접근 규칙을 생성한다. 이때 접근규칙 생성부(330)는 새로 생성한 신규 접근규칙을 데이터페이스(100)에 저장한다.
도 4는 본 발명에 따른 네트워크 침입차단시스템의 접근 규칙 설정 분석 시스템을 이용한 네트워크 접근 규칙 설정 분석 방법의 바람직한 실시예를 도시한 플로우도이다.
먼저, 포맷변환부(370)는 각 네트워크 침입차단시스템에서 생성되어 입력되는 접근규칙파일(590)을 분석용 포맷으로 변환한다(S110). 접근분석부(210)는 네트워크 침입차단시스템에서 생성된 접근기록 정보를 참조하여 대상 시스템 별로 접근 빈도 및 최근 접근 시간정보를 분석한다(S130).
포트분석부(230)는 네트워크 침입차단시스템에서 생성된 포트정보를 기초로 보호하고자 하는 네트워크에 존재하는 시스템에 열린 포트를 분석한다(S150). 구조분석부(250)는 제공되는 보호하고자 하는 네트워크의 IP 대역을 원격 스캐닝하여 해당 시스템의 종류를 분석한다(S170).
접근정책관리부(350)는 네트워크 침입차단시스템으로 보호하고자 하는 시스템 및 네트워크에 대해서 접근허용 및 접근 불허용에 대한 정의를 사용자로부터 입력 받아 관리한다(S190).
접근 규칙 분석부(270)는 접근분석모듈(200)의 각 부에서 분석된 결과를 참 조하여 네트워크에 취약한 접근 규칙을 선별한다(S210). 접근 분석 모듈(200)은 설정된 분석 정보 처리 결정의 종류를 판별한다(S230). 처리 결정이 저장하는 것인 경우, 접근 분석 모듈(200)은 분석 결과를 데이터베이스(100)에 저장한다(S250).
처리 결정이 리포팅하는 것인 경우, 접근 분석 모듈(200)은 분석 결과를 사용자에게 리포팅하도록 리포팅부(310)를 제어한다(S270). 또한 처리 결정이 접근규칙 설정인 경우, 접근 분석 모듈(200)은 분석 결과 및 입력되는 접근 규칙 변경 정보를 통해 새로운 접근 규칙을 생성하도록 접근규칙 생성부(330)를 제어한다(S280). 이때 접근규칙 생성부(330)는 새로 생성한 접근 규칙에 대한 정보를 리포팅부(310)를 통해 사용자에게 리포팅 및 데이터베이스(100)에 저장한다(S290).
이상에서는 본 발명에서 특정의 바람직한 실시예에 대하여 도시하고 또한 설명하였다. 그러나, 본 발명은 상술한 실시예에 한정되지 아니하며, 특허 청구의 범위에서 첨부하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 실시가 가능할 것이다.
본 발명에 따르면, 네트워크 접근 규칙 분석 시스템을 대형 네트워크 보안 관리에 적용할 경우, 기존에 수작업으로 접근 규칙을 점검을 하는 것보다 정확성 및 효율성을 향상시켜 준다. 또한, 새로운 접근 규칙을 등록 또는 변경을 네트워크 침입차단시스템에 적용하기 이전에 이로 인해 미칠수 있는 보안성 평가를 사전에 수행함으로써, 네트워크 보안에 대한 안정성을 높을 수 있다.
뿐만 아니라, 네트워크 접근 규칙 분석 시스템은 기업의 정책을 기반으로 네트워크 침입차단시스템의 접근 규칙을 분석함으로써, 단순한 접근 규칙 상의 문제점과 더불어 기업의 정책에 기초하여 네트워크 침입차단시스템의 운영을 가능하게 한다. 또한, 본 발명의 네트워크 접근 규칙 분석 시스템은 접근 규칙을 파일로 획득한 후 이를 기반으로 분석을 수행함으로써, 운영중인 네트워크에 전혀 영향을 미치지 않는다. 뿐만 아니라 네트워크 침입차단시스템의 제품 종류 별로 접근 규칙 파싱 엔진(Ruleset Parsing Engine)을 플러그인(Plug-in) 형태로 구현하여 새로운 네트워크 침입차단시스템의 지원이 용이하다.

Claims (12)

  1. 네트워크 침입 차단 시스템에 설정된 네트워크 접근 규칙을 분석하기 위한 네트워크 접근 규칙 분석 시스템에 있어서,
    소정 그룹 내의 보안 정책을 입력되는 명령에 따라 관리하는 접근정책 관리부;
    설정된 접근 규칙 파일을 분석용 포맷으로 변환하는 포맷변환부;
    상기 접근 규칙 파일을 기초로, 상기 네트워크 침입차단시스템에 대한 네트워크 접근 규칙을 분석하여 접근 규칙의 보안 취약점을 선별하는 접근분석모듈;
    상기 접근 규칙 파일로부터 상기 선별한 보안 취약점을 제거하고 신규 접근 규칙을 생성하는 접근규칙 생성부를 포함하는 것을 특징으로 하는 네트워크 접근 규칙 분석 시스템.
  2. 제 1항에 있어서,
    상기 접근분석모듈에서 분석한 적어도 한 종류의 분석정보 및/또는 상기 접근규칙 생성부에서 생성된 상기 신규 접근 규칙을 사용자 인터페이스를 통해 사용자에게 리포팅하는 리포팅부를 더 포함하는 것을 특징으로 하는 네트워크 접근 규칙 분석 시스템.
  3. 제 1항 또는 제 2항에 있어서,
    상기 접근정책 관리부에 입력되는 보안 정책정보, 상기 접근분석모듈에서 분석한 적어도 한 종류의 분석정보, 및 상기 접근규칙 생성부에서 생성한 상기 신규 접근 규칙을 저장하는 데이터베이스를 더 포함하는 것을 특징으로 하는 네트워크 접근 규칙 분석 시스템.
  4. 제 3항에 있어서,
    상기 접근분석모듈은,
    상기 네트워크 침입차단시스템의 접근 기록을 통해 각 목적지의 주소별로 사용 빈도 및 접근 시간 정보를 분석하는 접근분석부;
    보호하고자 하는 네트워크에 존재하는 열린 포트(port)를 분석하는 포트분석부;
    기 제공된 네트워크 대역에 대해 해당 네트워크에 존재하는 IP(Internet Protocol), 운영체제, 및 시스템의 종류를 분석하는 구조분석부; 및
    상기 접근정책모듈을 통해 분석된 분석 결과 정보와 기 설정된 접근 규칙과의 상관 관계를 분석하여 네트워크의 보안상 취약점을 선별하는 접근규칙 분석부를 포함하는 것을 특징으로 하는 네트워크 접근 규칙 분석 시스템.
  5. 제 4항에 있어서,
    상기 접근규칙 분석부는 상기 분석 결과 정보와 상기 기 설정된 접근 규칙을 통해 불필요한 접근 규칙 및 사용되지 않는 접근 규칙을 선별하는 것을 특징으로 하는 네트워크 접근 규칙 분석 시스템.
  6. 제 5항에 있어서,
    상기 접근규칙 생성부는 상기 접근 규칙에 대한 변경정보가 입력되면, 상기 기 설정된 접근 규칙을 기초로 상기 변경 정보에 대한 보안 취약성을 분석한 후 그 결과에 따라 새로운 네트워크 접근 정책을 생성하는 것을 특징을 하는 네트워크 접근 규칙 분석 시스템.
  7. 제 6항에 있어서,
    상기 데이터베이스는,
    설정된 상기 접근규칙 파일 및 상기 네트워크 침입 차단을 위한 보호 대상 정보를 저장하는 접근규칙 데이터베이스;
    상기 네트워크 침입차단시스템의 접근 기록 정보를 저장하는 접근기록 데이터베이스;
    네트워크 침입의 보호 대상에 대한 접근 정책 정보를 저장하는 접근정책 데이터베이스;
    상기 보호 대상 네트워크의 상태 정보를 저장하는 네트워크 구조 데이터베이스;
    상기 접근분석모듈에서 분석한 접근 규칙에 대한 분석 결과정보를 저장하는 접근규칙 분석결과 데이터베이스; 및
    상기 접근규칙 생성부에서 생성한 상기 신규 접근규칙 정보를 저장하는 신규 접근규칙 데이터베이스를 포함하는 것을 특징으로 하는 네트워크 접근 규칙 분석 시스템.
  8. 네트워크 침입 차단 시스템에 설정된 네트워크 접근 규칙을 분석하기 위한 네트워크 접근 규칙 분석 시스템을 이용한 네트워크 접근 규칙 분석 방법에 있어서,
    입력되는 명령에 따라 소정 그룹 내의 네트워크 접근 정책을 설정하는 단계;
    설정된 접근 규칙 파일을 분석용 포맷으로 변환하는 단계;
    상기 접근 규칙 파일을 기초로, 상기 네트워크 침입차단시스템에 대한 네트워크 접근 규칙을 분석하여 접근 규칙의 보안 취약점을 선별하는 단계; 및
    상기 접근 규칙 파일로부터 상기 선별한 보안 취약점을 제거하고 신규 접근 규칙을 생성하는 단계를 포함하는 것을 특징으로 하는 네트워크 접근 규칙 분석 방법.
  9. 제 8항에 있어서,
    상기 네트워크 접근 규칙의 분석 정보 및/또는 상기 신규 접근 규칙을 사용자 인터페이스를 통해 사용자에게 리포팅하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 접근 규칙 분석 방법.
  10. 제 8항에 있어서,
    상기 보안 취약점 선별 단계는,
    상기 네트워크 침입차단시스템의 접근 기록을 통해 각 목적지의 주소별로 사용 빈도 및 접근 시간 정보를 분석하는 단계;
    보호하고자 하는 네트워크에 존재하는 열린 포트(port)를 분석하는 단계;
    기 제공된 네트워크 대역에 대해 해당 네트워크에 대한 구조를 분석하는 단계; 및
    상기 접근 기록, 상기 포트, 및 상기 구조의 분석 결과와 기 설정된 접근 규칙과의 상관 관계를 분석하여 네트워크의 보안상 취약점을 선별하는 단계를 포함하는 것을 특징으로 하는 네트워크 접근 규칙 분석 방법.
  11. 제 10항에 있어서,
    상기 보안 취약점 선별 단계에서는 상기 분석 결과와 상기 기 설정된 접근 규칙을 통해 불필요한 접근 규칙 및 사용되지 않는 접근 규칙이 선별되는 것을 특징으로 하는 네트워크 접근 규칙 분석 방법.
  12. 제 11항에 있어서,
    상기 접근 규칙에 대한 변경정보가 입력되면, 상기 기 설정된 접근 규칙을 기초로 상기 변경 정보에 대한 보안 취약성을 분석한 후 그 결과에 따라 새로운 네트워크 접근 정책을 생성하는 단계를 더 포함하는 것을 특징을 하는 네트워크 접근 규칙 분석 방법.
KR1020040096905A 2004-11-24 2004-11-24 네트워크 침입차단시스템에 대한 네트워크 접근 규칙 분석시스템 및 이를 이용한 네트워크 접근 규칙 분석 방법 KR20060058179A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040096905A KR20060058179A (ko) 2004-11-24 2004-11-24 네트워크 침입차단시스템에 대한 네트워크 접근 규칙 분석시스템 및 이를 이용한 네트워크 접근 규칙 분석 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040096905A KR20060058179A (ko) 2004-11-24 2004-11-24 네트워크 침입차단시스템에 대한 네트워크 접근 규칙 분석시스템 및 이를 이용한 네트워크 접근 규칙 분석 방법

Publications (1)

Publication Number Publication Date
KR20060058179A true KR20060058179A (ko) 2006-05-29

Family

ID=37153281

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040096905A KR20060058179A (ko) 2004-11-24 2004-11-24 네트워크 침입차단시스템에 대한 네트워크 접근 규칙 분석시스템 및 이를 이용한 네트워크 접근 규칙 분석 방법

Country Status (1)

Country Link
KR (1) KR20060058179A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9083678B2 (en) 2012-11-30 2015-07-14 Electronics And Telecommunications Research Institute Firewall policy inspection apparatus and method
CN110583100A (zh) * 2017-05-08 2019-12-17 昕诺飞控股有限公司 通过分析设备控制信息形成设备的组

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9083678B2 (en) 2012-11-30 2015-07-14 Electronics And Telecommunications Research Institute Firewall policy inspection apparatus and method
CN110583100A (zh) * 2017-05-08 2019-12-17 昕诺飞控股有限公司 通过分析设备控制信息形成设备的组
CN110583100B (zh) * 2017-05-08 2021-12-24 昕诺飞控股有限公司 便于控制照明设备的系统和方法以及计算机可读存储介质

Similar Documents

Publication Publication Date Title
US11252175B2 (en) Criticality analysis of attack graphs
US10505953B2 (en) Proactive prediction and mitigation of cyber-threats
US6952779B1 (en) System and method for risk detection and analysis in a computer network
Foo et al. ADEPTS: Adaptive intrusion response using attack graphs in an e-commerce environment
US8272061B1 (en) Method for evaluating a network
US8321944B1 (en) Adaptive risk analysis methods and apparatus
US7237267B2 (en) Policy-based network security management
US7934253B2 (en) System and method of securing web applications across an enterprise
Carlin et al. Intrusion detection and countermeasure of virtual cloud systems-state of the art and current challenges
US20060021045A1 (en) Input translation for network security analysis
US20060021050A1 (en) Evaluation of network security based on security syndromes
US20090100518A1 (en) System and method for detecting security defects in applications
US20080034424A1 (en) System and method of preventing web applications threats
US20060021046A1 (en) Techniques for determining network security
US20230208870A1 (en) Systems and methods for predictive analysis of potential attack patterns based on contextual security information
Bhardwaj et al. A framework for effective threat hunting
WO2008011576A9 (en) System and method of securing web applications across an enterprise
KR20190119239A (ko) It보안 위험 관리 장치
KR20110130203A (ko) It 보안 위험 관리 장치 및 방법
Noel et al. Advanced vulnerability analysis and intrusion detection through predictive attack graphs
KR20060058179A (ko) 네트워크 침입차단시스템에 대한 네트워크 접근 규칙 분석시스템 및 이를 이용한 네트워크 접근 규칙 분석 방법
JP5193362B2 (ja) アクセスレベル保安装置及び保安システム
Lekkas et al. Handling and reporting security advisories: A scorecard approach
Dimitrios Security information and event management systems: benefits and inefficiencies
Hajdarevic Cyber Security Audit in Business Environments

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination