KR20070008804A - 호스트 기반의 보안 시스템 및 그를 이용한 보안 서비스제공 방법 - Google Patents

호스트 기반의 보안 시스템 및 그를 이용한 보안 서비스제공 방법 Download PDF

Info

Publication number
KR20070008804A
KR20070008804A KR1020050062610A KR20050062610A KR20070008804A KR 20070008804 A KR20070008804 A KR 20070008804A KR 1020050062610 A KR1020050062610 A KR 1020050062610A KR 20050062610 A KR20050062610 A KR 20050062610A KR 20070008804 A KR20070008804 A KR 20070008804A
Authority
KR
South Korea
Prior art keywords
security
intrusion
server
policy
illegal
Prior art date
Application number
KR1020050062610A
Other languages
English (en)
Inventor
양성화
Original Assignee
양성화
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 양성화 filed Critical 양성화
Priority to KR1020050062610A priority Critical patent/KR20070008804A/ko
Publication of KR20070008804A publication Critical patent/KR20070008804A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0695Management of faults, events, alarms or notifications the faulty arrangement being the maintenance, administration or management system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 보안 시스템에 관한 것으로서 본 발명의 시스템은 보안 룰 및 보안 정책을 저장하고 침입 감시 대상 호스트들 각각에 탑재되어 대응된 호스트에 불법 침입이 발생하는 지의 여부를 모니터링하는 복수의 보안 에이전트들과, 상기 보안 에이전트가 탑재된 호스트들과 로컬망으로 연결되어 상기 보안 에이전트의 설치 및 관리를 담당하는 관리 서버와, 상기 관리 서버와 외부 통신망으로 연결되어 원격지에서 상기 관리 서버를 통해 상기 보안 에이전트에 포함된 보안 룰 및 보안 정책을 업-데이트 하는 마스터 서버와, 외부 통신망으로부터 로컬망으로의 진입 경로에 설치되어 상기 로컬망으로 불법 침입을 시도하는 침입 서버의 위치를 추적하는 위치 추적 서버를 포함한다. 또한 본 발명은 상기 보안 시스템을 이용하여 호스트 기반의 보안 서비스를 제공한다. 따라서 본 발명은 네트워크 트래픽에 영향을 주지 않아 안정적인 서비스 환경을 조성하는 장점이 있다.
정보보안, 위험관리, 정보자산, 위협, 통제 대책

Description

호스트 기반의 보안 시스템 및 그를 이용한 보안 서비스 제공 방법{HOST-BASED SECURITY SYSTEM AND METHOD FOR PROVIDING SECURITY SERVICE}
도 1은 본 발명의 일실시 예에 따른 보안 시스템에 대한 개략적인 개념도,
도 2는 본 발명의 일실시 예에 따른 보안 시스템에 대한 시스템 구성도,
도 3은 본 발명의 다른 실시 예에 따른 보안 시스템에 대한 시스템 구성도,
도 4는 본 발명의 실시 예에 따른 보안 시스템의 상세 블록도,
도 5는 본 발명의 실시 예에 따른 보안 서비스 제공 방법에 대한 처리 흐름도,
도 6은 본 발명의 실시 예에 따른 위치 추적 방법에 대한 처리 흐름도,
도 7은 본 발명의 실시 예에 따른 정책 보완 방법에 대한 처리 흐름도,
도 8은 본 발명의 실시 예에 따른 보안 서비스 시스템에 침입이 발생한 경우 처리 과정에 대한 개념도.
<도면의 주요 부분에 대한 부호의 설명>
100: 마스터 서버 200: 관리 서버
300: 보안 에이전트 400: 인터넷
500: 방화벽 610: 웹서버
620: 그룹웨어 서버 630: ERP 서버
640: 어플리케이션 서버 710, 720: 관리자 콘솔
본 발명은 보안 시스템에 관한 것으로서, 특히 호스트 기반의 보안 시스템 및 그를 이용한 보안 서비스 제공 방법에 관한 것이다.
최근 통신 기술 및 통신 매체의 발달로 인하여 인터넷 사용자가 급증하고 있으며 이로 인해 인터넷을 이용한 각종 정보 전달 및 정보 제공 서비스가 극대화되고 있다.
이와 같이 인터넷을 이용한 각종 정보의 전달 및 정보 제공 서비스가 극대화됨에 따라 인터넷을 이용한 범죄가 증가되고 있는 현실이다. 예를 들어 특정 웹-사이트에 불법으로 침입하여 잘못된 유포하거나 개인의 신상을 공개하는 등의 범죄가 급증하고 있는 현실이다.
이와 같이 웹-사이트에 불법으로 침입하는 것을 방지하고 침입을 탐지하기 위한 종래의 방법으로 불법 침입자의 침입을 알려주는 침입 탐지 시스템(IDS: Invasion Detection System)이나 불법 침입자의 접근을 막아주는 방화벽(firewall) 시스템 등의 보안시스템이 있다. 방화벽과 침입탐지 시스템은 공통적으로 네트워크 상의 패킷을 분석한 정보를 바탕으로 수행되므로 웹을 통해 자기 정보를 은닉하여 들어오는 불법 침입자의 원천적인 위치가 아닌 하이퍼텍스트 전송 프로토콜(Hyper Text Transfer Protocol, 이하 'HTTP'라 칭함)의 정보만을 파악할 수 있다.
특히 방화벽(firewall)은 물리적인 포트(port) 통제의 한계성을 가지고, IDS의 경우 알려진 공격만 탐지하고 오용 탐지가 심각하며 차단 기능이 없는 문제점이 있다.
또한 이와 같이 웹-사이트에 불법으로 침입하는 것을 방지하기 위한 또 하나의 방법으로 '네트워크 기반의 웹 어플리케이션 보안 방법(network based web application security solution)'이 있으나 이 방법의 경우도 극심한 네트워크 속도 저하를 초래하고 한글화 및 커스터마이징을 지원하지 않으며 최신 해킹 적용이 늦다는 단점이 있다.
이러한 종래의 보안 시스템 들은 불법 침입에 대하여 수동적으로 대응함으로써 우회 공격에 대응하기 어렵고, 정책(rule) 의존성에 따른 오용 탐지 증가로 고객 불만 및 외면이 증대되고 있다. 또한 제한된 수준의 IP 차단 방식의 한계로 침입 재발을 막을 수 없는 문제점이 있다. 또한 웹 보안에 적용하기에 부적합하다는 단점이 있다.
종래의 보안 시스템들은 상기한 바와 같은 기술적/구조적인 한계점 이외에도 관리 비용이 증가한다는 단점이 있다. 예를 들어 전담 관리자가 모리터링과 분석에 시간 및 노력을 투입하여야 하므로 전담 관리자를 고용하기 위한 비용이 발생하는 단점이 있다.
또한 관리자의 사후 확인에 의존하는 경향이 커서 적시성이 결여되며, 사고 발생시 원인 분석과 공격자 색출 및 침앱 재발 대책이 어려운 단점이 있다.
본 발명은 상기와 같은 문제점을 해결하기 위해 안출된 것으로서, 본 발명은 호스트-기반의 보안 시스템을 구성함으로써 네트워크 부하를 최소화고 효과적인 불법 침임 감지를 수행하는 보안 시스템 및 보안 서비스 제공 방법을 제공하고자 한다.
또한 본 발명은 불법 침입 발생시 차체 복원 및 감내 함으로써 신뢰성있는 시스템 운영을 하도록 하는 보안 시스템 및 보안 서비스 제공 방법을 제공하고자 한다.
또한 본 발명은 관리자의 정책(policy) 설정 이후, 일련의 모든 과정이 상기 정책에 근거하여 스스로의 판단하에 자동으로 처리됨으로써 비용을 줄일 수 있는 보안 시스템 및 보안 서비스 제공 방법을 제공하고자 한다.
또한 본 발명은 최초 침입 탐지에서 대응(예컨대, 거부, 차단, 추적, 경고, 경보 등)까지 실시간으로 처리함으로써 적시성을 증대시킨 보안 시스템 및 보안 서비스 제공 방법을 제공하고자 한다.
상기 목적을 달성하기 위한 본 발명의 보안 시스템은 보안 룰 및 보안 정책을 저장하고 침입 감시 대상 호스트들 각각에 탑재되어 대응된 호스트에 불법 침입이 발생하는 지의 여부를 모니터링하는 복수의 보안 에이전트들과, 상기 보안 에이전트가 탑재된 호스트들과 로컬망으로 연결되어 상기 보안 에이전트의 설치 및 관리를 담당하는 관리 서버를 포함함을 특징으로 한다.
이 때 상기 보안 시스템은 상기 관리 서버와 외부 통신망으로 연결되어 원격 지에서 상기 관리 서버를 통해 상기 보안 에이전트에 포함된 보안 룰 및 보안 정책을 업-데이트 하는 마스터 서버를 더 포함함이 바람직하다.
또한 상기 보안 시스템은 외부 통신망으로부터 로컬망으로의 진입 경로에 설치되어 상기 로컬망으로 불법 침입을 시도하는 침입 서버의 위치를 추적하는 위치 추적 서버를 더 포함함이 바람직하다.
또한 상기 보안 에이전트는 상기 모니터링 결과 불법 침입이 발생된 것으로 판단되면 상기 침입 발생 로그를 임시 저장하고 그 침입 발생 로그를 상기 관리 서버에 통보함이 바람직하다.
또한 상기 보안 에이전트는 대응된 호스트의 복원 정보를 저장하고 불법 침입으로 인해 대응된 호스트의 정보가 손상된 경우 상기 손상된 정보를 자동 복원하거나 또는 상기 관리 서버에게 대응된 복원 정보를 요청하고 그에 대한 응답으로 전달된 복원정보에 의거하여 상기 손상된 정보를 자동 복원함이 바람직하다.
또한 상기 보안 에이전트는 불법 침입 감지시 접근 거부, 위치 추적, 경고 메시지 전달, 접근을 위해 설정된 세션 차단, 불법 침입으로 판단된 IP로부터의 접근 차단 및 경보 발생을 포함하는 6단계 대응을 실시간으로 자동 수행함이 바람직하다.
또한 상기 보안 에이전트는 상기 보안 에이전트에 과부하 발생시 불법 침입 모니터링을 수행하지 않고 접근 요청을 바이패스(bypass)하도록 제어하는 스페어 처리부를 포함함이 바람직하다.
또한 상기 관리 서버는 상기 보안 에이전트로부터 전달된 침입 발생 로그를 저장/관리하고 상기 침입 발생 로그에 의거하여 기 저장된 보안 정책 및 보안 룰을 보완하여 최적화된 보안 정책을 구현함이 바람직하다.
또한 상기 위치 추적 서버는 상기 보안 에이전트 또는 관리 서버로부터 불법 침입을 통보받고 그 불법 침입을 위해 전달된 침입 패킷의 목적지 주소를 상기 위치 추적 서버의 주소로 변경한 후 상기 침입 서버와의 연결을 유지하면서 침입 서버의 위치를 판단함이 바람직하다.
한편 상기 목적을 달성하기 위한 본 발명의 보안 서비스 제공 방법은 보안 서비스를 제공하기 위한 보안 정책 및 대응 방안을 결정하고 그 보안 정책 및 대응 방안이 포함된 보안 에이전트를 생성하는 과정과, 상기 보안 에이전트를 감시 대상 호스트에 설치하는 과정과, 상기 보안 에이전트가 기 설정된 보안 정책에 의거하여 대응된 호스트로의 불법 침입을 모니터링하는 과정과, 상기 불법 침입 탐지시 상기 불법 침입 사실을 관리자에게 실시간으로 통보하는 과정과, 상기 불법 침입 탐지시 기 저장된 대응 방안에 의거하여 그 침입에 자동으로 대응하는 과정을 포함함을 특징으로 한다.
이 때 상기 방법은 상기 불법 침입 정보에 의거하여 기 설정된 보안 정책을 보완하는 과정을 더 포함하되, 상기 정책 보완 과정은 상기 불법 침입으로 탐지된 침입이 기 설정된 보안 정책에 포함된 것인지 아닌지를 판단하는 단계와, 상기 탐지된 침입이 상기 판단 결과 기 설정된 보안 정책에 포함되지 않은 경우 그 침입 정보를 상기 보안 정책에 추가하는 단계와, 기 설정된 보안 정책에는 포함되었으나 기 설정된 기간 동안 대응된 침입이 실제로 발생되지 않은 경우 그 침입 정보를 보 안 정책에서 제거하는 단계와, 상기 추가 및 제거된 보안 정책에 의거하여 기 설정된 보안 정책을 보완하여 최적화된 보안 정책을 생성하는 단계를 포함함이 바람직하다.
또한 상기 정책 보완 과정은 상기 최적화된 보안 정책을 관리자에게 보고하는 과정을 더 포함함이 바람직하다.
또한 상기 정책 결정 과정은 OWASP(Open Web Application Security Project)에서 선정한 10대 취약점에 의거하여 보안 정책을 결정함이 바람직하다.
또한 상기 통보 과정은 단문 메시지 및 이-메일 중 어느 하나를 이용함이 바람직하다.
또한 상기 대응 과정은 상기 불법 침입으로 판단된 접근을 거부하는 단계와, 상기 불법 침입을 시도한 침입 서버의 위치를 추적하는 단계와, 상기 불법 침입에 대한 경고 메시지를 생성하고 상기 추적된 위치로 그 경고 메시지를 전달하는 단계와, 상기 불법 침입을 위해 설정된 세션을 차단하는 단계와, 상기 위치 추적 단계에서 추적된 침입 서버의 위치에 대응된 IP로부터의 접근을 차단하는 단계와, 불법 침입이 발생하였음을 관리자에게 알리는 경보 발생 단계를 포함함이 바람직하다.
또한 상기 위치 추적 단계는 불법 침입으로 판단된 접근을 위해 전달된 침입 패킷의 목적지 주소를 위치 추적 서버의 주소로 변경하는 단계와, 위치 추적 서버가 상기 침입 패킷의 출발지 주소를 판독하는 단계와, 상기 출발지 주소와 상기 위치 추적 서버 간 연결을 유지하면서 상기 출발지 주소에 대응된 위치를 추적하는 단계를 포함함이 바람직하다.
이하 첨부된 도면을 참조하여 본 발명의 일실시 예에 의한 구성 및 작용에 대해서 더욱 상세히 설명한다. 도면에서 동일한 구성요소들에 대해서는 비록 다른 도면에 표시되더라도 가능한 한 동일한 참조번호 및 부호로 나타내고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어서, 관련된 공지기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명은 생략한다.
도 1은 본 발명의 일실시 예에 따른 보안 시스템에 대한 개략적인 개념도이다. 도 1을 참조하면 본 발명의 일실시 예에 따른 보안 시스템은 마스터 서버(100)와, 관리 서버(200)와, 보안 에이전트(300)를 포함한다.
보안 에이전트(300)는 특정 범위(예컨대, 고객사 등)의 웹-서버 등에 탑재되어 불법 침입 여부를 모니터링 한다. 그리고 불법 침입이 감지되면 이를 관리 서버(200)에 알림과 동시에 해킹에 대응한다. 예를 들어, 6단계의 자동 대응('거부/추적/경고/세션차단/IP차단/경보')을 수행하고 그 침입 정보에 의거하여 룰(rule) 및 엔진을 업-데이트 한다.
관리 서버(200)는 상기 보안 에이전트(300)들을 관리한다. 그 보안 에이전트(300)에 포함된 보안 관련 룰(rule)에 대한 관리 및 업-데이트를 수행한다. 예를 들어 특정 회사에 필요한 보안 정책을 포함하는 보안 에이전트(300)를 저장하고 관리자의 요청에 응답하여 해당 회사에 설치된 각종 서버들(예컨대, 웹-서버, 그룹웨어 서버, ERP(Enterprise Resource Planning) 서버, 어플리케이션 서버 등)에게 상기 보안 에이전트(300)를 전송 및 설치한다. 그리고 상기 서버들 각각에 설치된 보 안 에이전트(300)들로부터 전송된 정보에 의거하여 상기 룰(rule)에 대한 관리 및 업-데이트를 수행한다. 그리고 그 결과를 다시 각종 서버들에 설치된 보안 에이전트(300)들에게 피드백(feedback)한다.
이 때 관리 서버(200)와 보안 에이전트(300)는 로컬망으로 연결됨이 바람직하다.
마스터 서버(100)는 관리 서버(200)와 통신망(예컨대, 인터넷 등)으로 연결되어 원격지에서 관리 서버(200)에 저장된 보안 정책 또는 보안 관련 룰을 관리한다. 예컨대 보안 관련 룰(rule) 또는 정책(policy)이 변경된 경우 이를 통신망(예컨대, 인터넷)을 통해 각 지역마다(예컨대, 회사 등) 설치된 관리 서버(200)들에게 전송함으로써 관리 서버(200)가 보안 정책 또는 보안 관련 룰을 업-데이트하도록 한다. 이와 같이 함으로써 각 지역에 설치된 관리 서버(200)들이 최신 버전의 보안 룰(rule) 또는 정책(policy)을 저장하고, 보안 에이전트(300)들이 상기 최신 버전의 보안 룰(rule) 또는 정책(policy)에 의해 동작 할 수 있도록 한다. 이를 위해 마스터 서버(100)는 최신 버전의 보안 룰(rule)또는 정책(policy)을 실시간으로 관리 서버(200)에게 전송함으로써 최신 버전의 보안 룰(rule) 및 정책(policy)이 보안 에이전트(300)들에도 적용되도록 한다.
한편 본 발명의 보안 서비스를 사용자들에게 제공하기 위해 상기 보안 시스템은 도 1에 예시된 바와 같이 동작한다. 도 1에는 관리 서버(200) 및 보안 에이전트(300)들이 이미 고객사에 제공된 상태이고, 보안 에이전트(300)가 해당 고객사에 구비된 각종 서버들에 설치된 경우의 예를 도시하고 있다.
상기와 같이 관리 서버(200) 및 보안 에이전트(300)들이 고객사에 설치된 후 기 설정된 보안 룰(rule) 및 정책(policy)이 변경된 경우 마스터 서버(100)는 상기 변경된 보안 룰(rule) 및 정책(policy)(즉, 업-데이트 정보)을 관리 서버(200)에게 전송한다(S101). 이는 관리 서버(200)에 기 저장된 보안 룰(rule) 및 정책(policy)을 업-데이트하기 위함이다. 이 때 마스터 서버(100)는 상기 업-데이트 정보(예컨대, 변경된 정책 정보 등)의 전송을 위해 통신망(예컨대, 인터넷 등)을 이용한다.
마스터 서버(100)로부터 업-데이트 정보를 수신한 관리 서버(200)는 상기 업-데이트 정보를 보안 에이전트(300)에게 전송한다(S105). 이는 보안 에이전트(300)가 최신 버전의 보안 룰(rule) 및 정책(policy)을 이용하여 불법 침입자의 침입 여부를 모니터링 하도록 하기 위함이다. 한편 관리 서버(200)와 보안 에이전트(300)는 로컬-망에 연결됨이 바람직하다.
관리 서버(200)로부터 상기 최신 버전의 보안 룰(rule) 및 정책(policy)을 전달받은 보안 에이전트(300)는 그 보안 룰(rule) 및 정책(policy)에 의거하여 불법 침입자의 침입 여부를 모니터링 한다(S107). 그리고 상기 모니터링 결과 불법 침입자의 침입이 발생된 것으로 판단되면 보안 에이전트(300)는 상기 침입 발생을 관리 서버(200)에 통보한다(S109). 이 때 보안 에이전트(300)는 침입 발생 사실을 관리 서버(200)에 통보할 뿐 침입 발생 로그를 저장하지는 않는다. 그러면 관리 서버(200)에서 상기 침입 발생 로그를 저장/관리 한다. 이는 보안 에이전트(300)가 탑재된 각종 서버들의 부하를 줄이기 위함이다.
그러면 관리 서버(200)는 상기 침입 발생 정보에 의거하여 기 저장된 보안 룰 및 정책을 관리 하며 그 침입에 대응한다(S103). 예를 들어 침입이 발생된 서버에 설치된 보안 에이전트(300)에게 그 침입을 차단하기 위한 정보를 전송하여 침입자의 침입을 차단하도록 하고, 또한 상기 보안 에이전트(300)에게 복원 정보를 제공하여 상기 서버의 일부 파일이 손상된 경우 보안 에이전트(300)가 자체적으로 이를 복원할 수 있도록 한다.
도 2는 본 발명의 일실시 예에 따른 보안 시스템에 대한 시스템 구성도이다. 도 2는 도 1에 예시된 보안 시스템이 실제 구현된 예를 도시하고 있다. 특히 도 2는 웹 서버(610), 그룹웨어 서버(620), ERP 서버(630) 및 어플리케이션 서버(640)를 포함하는 사내 망에 본 발명의 보안 시스템이 구현된 예를 도시하고 있다.
도 2를 참조하면, 보안 에이전트들(310, 320, 330 및 340)은 상기 사내 망에 포함된 서버들(웹 서버(610), 그룹웨어 서버(620), ERP 서버(630) 및 어플리케이션 서버(640)) 각각에 탑재되고, 관리 서버(200)는 각 보안 에이전트들(310, 320, 330 및 340)과 로컬 망에 연결된다. 또한 관리 서버(200)는 관리자들과의 인터페이스를 제공하기 위해 복수의 관리자 콘솔(예컨대, PC)들(710, 720)과 연결된다.
상기 사내 망은 방화벽(500)을 통해 인터넷(400)에 연결된다.
또한 마스터 서버(100)는 인터넷(400)을 통해 관리 서버(200)와 연결되며, 인터넷(400)을 통해 관리 서버(200)에 저장된 보안 룰(rule) 등의 업-데이트 정보를 전달한다.
도 3은 본 발명의 다른 실시 예에 따른 보안 시스템에 대한 시스템 구성도이다. 도 3은 도 2에 예시된 보안 시스템에 위치 추적 서버(800)가 더 포함된 경우의 예를 도시하고 있다.
위치 추적 서버(800)는 불법 침입자에 의한 불법 침입 시도 시 그 불법 침입자의 위치를 추적하기 위한 장치로서, 방화벽(500)과 사내 망 사이에 연결된다. 위치 추적 서버(800)는 불법 침입을 위해 전달된 패킷을 감지하고 그 패킷의 목적지 주소를 위치 추적 서버(800)의 주소로 변경한다. 그리고 그 주소를 이용하여 불법 침입자와 연결을 유지하면서 불법 침입자의 위치를 판단한다.
이 때 불법 침입자의 IP 주소를 판단한 후 그 IP 주소에 의거하여 불법 침입자의 위치를 판단하는 방법은 일반적으로 데이터 송신자의 위치를 판단하는 방법과 유사하다. 따라서 그 처리 방법에 대한 구체적인 설명은 생략한다.
도 4는 본 발명의 실시 예에 따른 보안 시스템의 상세 블록도이다.
도 4를 참조하면 본 발명의 실시 예에 따른 보안 시스템은 마스터 서버(100), 관리 서버(200), 보안 에이전트(300), 관리자 콘솔(700), 위치 추적 서버(800)를 포함한다.
마스터 서버(100) 및 위치 추적 서버(800)와 관리 서버(200)는 각 장치들에 내장된 SOAP 네트워크 보안 모듈(Network Security Module)(109, 803, 201)을 이용하여 서로 통신하고, 관리자 콘솔(700)과 관리 서버(200)는 MS-SQL 클라이언트 네트워크 모듈(Client Network Module)(703) 및 MS-SQL 네트워크 모듈(203)을 통해 통신하고, 보안 에이전트(300)와 관리 서버(200)는 SOAP 네트워크 보안 모듈(Network Security Module)(303, 207)와 통신한다.
먼저 마스터 서버(100)는 맵 추적 모듈(Map Trace Module)(101), 키 관리 모 듈(Key Manager Module)(103), 알람 모듈(Alert Module)(105) 및 업-데이트 모듈(New Update Module)(107)을 포함한다. 맵 추적 모듈(101)은 위치 추적 서버(800)에서 추적된 침입자의 위치 정보(예컨대, IP 주소)를 맵 정보와 매핑시켜 지도상에서의 침입자의 위치를 판단한다. 알람 모듈(105)은 침입 발생 또는 업-데이트 정보 발생 등을 관리자에게 알리기 위한 알람을 발생시킨다. 업-데이트 모듈(107)은 관리 서버(200)에 저장된 보안 정책 또는 보안 룰을 업-데이트한다.
위치 추적 서버(800)는 IP 추적 모듈(801)을 포함한다. IP 추적 모듈(801)은 패킷 교환에 의거하여 상대방의 IP 주소를 추적한다.
관리 서버(200)는 사용자 인터페이스 제어 처리부(UI Control Process)(205), 에이전트 에어 모듈(209), DHCP 모듈(211), 룰(Rule) 모듈(213), Who_Is 모듈(215), IP 모듈(217), 트레이스 라우트(Trace Route) 모듈(219), 포트(Port) 모듈(221), 단문 메시지(SMS) 모듈(223), 디렉토리(Derectory) 모듈(225), E-메일(E-Mail) 모듈(227), 엔진(Engine) 모듈(229), 웹-서비스(Web Service) 모듈(231), IIS 6.0 모듈(233), 키 매니저(Key Manager) 모듈(235), 업-데이트 매니저(Update Manager) 모듈(237), 호스트 매니저(Host Manager) 모듈(239), MS-SQL 서버 2000(MS-SQL Server 2000)(241) 및 윈도우 2003 서버(Windows 2003 Server)(243)를 포함한다.
사용자 인터페이스 제어 처리부(UI Control Process)(205)는 관리자 콘솔(700)과의 인터페이스를 지원한다. 에이전트 제어 모듈(Agent Control Module)(209)은 보안 에이전트(300)를 제어한다.
DHCP 모듈(211)은 프로토콜 처리를 하고, 룰(Rule) 모듈(213)은 마스터 서버(100)로부터 전달된 보안 룰을 저장하고, Who_Is 모듈(215)은 위치 추적 서버(800)와 연동하여 IP 추적 결과에 의거하여 침입자의 판단을 돕는다. 즉 IP 주소와 지역 정보를 매핑한다. 한편 IP 모듈(217)은 IP 분석 등의 IP 관련 처리를 수행하고, 트레이스 라우트(Trace Route) 모듈(219)은 경로정보를 관리하고, 포트(Port) 모듈(221)은 네트워크 연결을 위한 포트관련 처리를 수행하고, 단문 메시지(SMS) 모듈(223)은 단문 메시지를 처리하기 위한 모듈로서 침입 탐지시 이를 단문 메시지로 관리자에게 통보한다. E-메일(E-Mail) 모듈(227)은 E-메일을 처리하기 위한 모듈로서 침입 탐지시 이를 E-메일로 관리자에게 통보한다. 업-데이트 매니저(Update Manager) 모듈(237)은 마스터 서버(100)로부터 전달된 업-데이트 메시지를 이용하여 기 저장된 보안 에이전트, 정책 관련 정보들을 업-데이트한다.
보안 에이전트(300)는 HTTP/HTTPS 커넥터(Connector)(301)와, 라이브 체크 데몬(Live Check Demon)(305), 라이브 업-데이트 모듈(Live Update Module)(307), 서버 복구 모듈(Server Recovery Module)(309), 파일 복구 모듈(File Recovery Module)(311), 스페어 HTTP 보안 모듈(Spare HTTP Security Module)(313), HTTPS 보안 모듈(HTTPS Security Module)(315), HTTP 보안 모듈(HTTP Security Module)(317), HTTP/HTTPS 스캐너(HTTP/HTTPS Scanner)(319), 보안 에이전트 프레임 워크(Security Agent Frame Work)(321)를 포함한다.
이러한 보안 에이전트(300)는 웹-서버 내에 탑재되어 웹-서버 고유의 기능을 지원하는 서비스 호스트 웹 서버(Service Host Web Server)(323) 및 서비스 호스트 OS(Service Host OS)(325)와 연동된다.
HTTP/HTTPS 커넥터(Connector)(301)는 HTTP/HTTPS를 통한 접근을 처리한다. 라이브 체크 데몬(Live Check Demon)(305)은 자기 자신(즉, 보안 에이전트(300))이 살아있는지를 확인한다. 라이브 업-데이트 모듈(Live Update Module)(307)은 실시간으로 업-데이트를 수행한다. 서버 복구 모듈(Server Recovery Module)(309) 및 파일 복구 모듈(File Recovery Module)(311)은 침입으로 인해 서버 또는 파일이 손상된 경우 이를 자동으로 복구한다. 스페어 HTTP 보안 모듈(Spare HTTP Security Module)(313)은 보안 에이전트(300)에 과부하 발생시 이로 인해 보안 에이전트(300)가 설치된 웹-서버 자체의 기능이 저하되는 것을 방지하기 위해, 보안 에이전트(300)에 과부하가 발생한 경우 불법 침입 모니터링을 수행하지 않고 접근요청을 바이패스(bypass)시킨다.
HTTPS 보안 모듈(HTTPS Security Module)(315) 및 HTTP 보안 모듈(HTTP Security Module)(317)은 HTTPS 및 HTTP 보안을 수행한다.
도 5는 본 발명의 실시 예에 따른 보안 서비스 제공 방법에 대한 처리 흐름도이다. 특히, 도 5는 도 1 내지 도 4에 예시된 본 발명의 실시 예에 따른 보안 시스템을 이용한 본 발명의 보안 서비스 제공 방법을 도시하고 있다. 5를 참조하면 본 발명의 실시 예에 따른 보안 서비스 제공 방법은 다음과 같다.
먼저 본 발명은 보안 서비스를 제공하기 위해 정책(policy)을 결정한다(S210). 이 때 정책이란 불법 침입 여부를 필터링하기 위한 기준 및 침입에 대한 대응 방안을 포함한다. 상기 과정(S210)에서는 특히, 정책 결정을 위해 OWASP(Open Web Application Security Project)에 의거하여 그 취약점에 의한 불법 침입을 모니터링할 수 있도록 하는 정책을 결정한다. 이 때 상기 10대 취약점이란 'A1: 입력값 검증 부재', 'A2: 취약한 접근 통제', 'A3: 취약한 인증 및 세션 관리', 'A4: 크로스 사이트 스크립팅 허점', 'A5: 버퍼 오버 플로우', 'A6: 삽입 취약점', 'A7: 부적절한 에러 처리', 'A8: 취약한 정보 저장 방식', 'A9: 서비스 방해 공격', 'A10: 부적절한 환경 설정'을 포함한다. 그리고 그 정책에 의거하여 불법 침입 여부를 모니터링 및 불법 침입에 대응하는 보안 에이전트를 생성하여 모니터링 대상 호스트에 설치한다(미도시).
그러면 그 보안 에이전트는 상기 결정된 정책에 의거하여 불법 침입 여부를 모니터링한다(S220). 즉 모니터링 대상 호스트에 불법 침입이 발생하는 지의 여부를 판단한다.
상기 모니터링 결과 불법 침입이 감지된 경우(S230) 보안 에이전트는 기 설정된 알고리즘에 의거하여 그 침입에 대응한다. 먼저 상기 결정된 정책에 의거하여 불법 침입이라고 여겨지는 접근이 발생되면 그에 대한 응답으로 '거부 및 경보'메시지를 생성하여 전달한다(S240).
그리고 상기 접근을 위해 전달된 패킷의 주소 정보를 이용하여 침입자의 위치를 추적한다(S250). 예를 들어 해외 우회 경로 공격자(접속 세탁자)에 대하여 실시간 및 자동으로 위치를 추적한다. 위치 추적을 위한 처리 과정은 도 6을 참조하여 보다 구체적으로 설명할 것이다.
상기 과정(S250)에서 침입자의 위치를 추적하였으면 그 침입자에게 경고 메 시지를 자동으로 발송한다(S260).
또한 이후에 침입자로부터의 접근을 차단한다(S270). 예를 들어 수신된 패킷의 출발지 주소를 확인하여 그 출발지 주소가 침입자의 주소로 정의된 경우 그 패킷을 거부함으로써 해당 주소로부터의 접근을 차단한다. 이 때 특정 출발지 주소가 침입자의 주소인지의 여부는 상기 정책 결정 과정(S210) 또는 상기 위치 추적(S250) 과정에서 결정된다.
만약 불법 침입으로 인해 해당 호스트에 피해(예컨대, 실행 파일의 깨짐 또는 오류 발생 등)가 발생하면 그 피해를 자동으로 복구한다(S280). 이를 위해 보안 에이전트는 피해 복구 정보를 저장하거나 관리 서버로부터 실시간으로 전송 받아서 수행함이 바람직하다.
마지막으로 상기 침입 정보에 의거하여 기 설정된 정책을 보완한다(S290). 예를 들어 침입자로 판단된 접근자의 위치 추적 결과 그 주소가 기 설정된 침입자의 주소에 포함되지 않은 경우 그 주소 정보를 관리 서버에 전달하여 기 설정된 정책을 업-데이트 하도록 한다. 그리고 그 업-데이트 정보는 다시 보안 에이전트로 전달되어 이후의 불법 침입 판단시 사용되도록 한다.
한편 상기 보안 에이전트 또는 관리 서버는 다양한 형태의 보고서 생성 정보를 포함하고 그 정보에 의거하여 관리자에게 불법 침입 모니터링 결과를 제공하도록 함이 바람직하다. 예를 들어 불법 침입 탐지시 침입자의 주소 정보, 침입 시간 및 침입 경로 등을 포함하는 침입 정보를 상기 제공된 보고서 양식에 의거하여 관리자에게 제공함이 바람직하다.
도 6은 본 발명의 실시 예에 따른 위치 추적 방법에 대한 처리 흐름도이다. 즉 도 6은 도 5에 예시된 위치 추적 과정(S250)에 대한 처리 과정을 예시하고 있다. 도 6을 참조하면 본 발명의 실시 예에 따른 위치 추적 방법은 다음과 같다.
먼저 불법 침입으로 판단된 접근이 발생한 경우 그 접근을 위해 전달된 패킷(이하 '침입 패킷'이라 칭함)의 목적지 주소를 위치 추적 서버의 주소로 변경한다(S251). 이는 상기 과정(S251) 이후에 전송되는 침입 패킷을 위치 추적 서버에서 수신하도록 하기 위함이다. 이로 인해 위치 추적 서버가 침입 패킷의 출발지 주소를 파악함은 물론 불법 침입으로부터 모니터링 대상 호스트를 보호할 수 있게 되는 것이다.
상기 과정(S251) 수행 결과 침입 패킷을 수신한 위치 추적 서버는 상기 수신된 침입 패킷의 출발지 주소를 목적지 주소로 하는 응답 패킷을 전송한다(S253).
그리고 위치 추적 서버와 침입 서버간 패킷 교환으로 침입 서버의 IP 주소를 식별한 후(S255) 그 IP 주소에 대응된 위치를 판단한다(S257). 이 때 상기 과정(S255 및 S257)과 같이 패킷 교환에 의거하여 침입 서버의 IP 주소를 판단하고 그 IP 주소에 의거하여 침입 서버의 위치를 판단하는 방법은 일반적으로 데이터 송신자의 위치를 판단하는 방법과 유사하다. 따라서 상기 과정(S255 및 S257)에 대한 구체적인 설명은 생략한다.
도 7은 본 발명의 실시 예에 따른 정책 보완 방법에 대한 처리 흐름도이다. 즉 도 7은 도 5에 예시된 정책 보완 과정(S250)에 대한 처리 과정을 예시하고 있다.
도 7을 참조하면 본 발명의 실시 예에 따른 정책 보완 방법은 새롭게 탐지된 침입 정보에 의거하여 웹-취약성을 자동 점검한다(S291). 즉 새롭게 탐지된 침입이 기 설정된 정책에 포함된 것인지 아닌지를 판단한다. 그리고 기 설치된 보안 에이전트에서 미해당 룰을 제거한다(S293). 즉 상기 자동 점검 결과 기 설치된 보안 에이전트에 포함되었으나 실제로 발생되지 않는 침입은 보안 에이전트에서 제거한다. 이 때 제거된 룰에 대한 정보는 관리 서버에 통지하여 관리 서버에서도 함께 관리함이 바람직하다.
그리고 상기 과정(S293)에 의거하여 최적화된 룰을 자동으로 적용한다(S295). 즉 상기 미해당 룰을 제거함으로써 최적화된 룰이 해당 보안 에이전트를 통해 자동으로 수행되도록 한다. 이 때 최적화란 상기와 같이 미해당 룰을 제거하는 과정을 포함함은 물론이고, 기 설치된 보안 에이전트에 포함되지 않았으나 실제로 발생되는 침입 정보를 추가하는 과정도 포함한다.
한편 상기와 같이 최적화룰을 자동으로 적용한 후에는 관리자 정책 수립 과정(S297)을 수행한다. 즉 상기 최적화룰을 관리자에게 보고함으로써 관리자가 새로운 정책을 수립하도록 한다.
도 8은 본 발명의 실시 예에 따른 보안 서비스 시스템에 침입이 발생한 경우 처리 과정에 대한 개념도이다. 도 8은 본 발명의 보안 시스템이 구축된 웹-서버(300)에 불법 침입이 발생된 경우 이에 대응하는 일련의 처리 과정을 예시하고 있다. 도 8의 예에서 관리 서버(200)는 기 설정된 정책 정보 등을 저장/관리하는 데이터베이스(DB)(210) 및 관리자와의 인터페이스를 제공하는 관리자 콘솔(700)과 연 동한다.
도 8을 참조하면 관리 서버(200)는 기 설정된 보안 정책이 포함된 보안 에이전트를 웹-서버(300)에 설치한다(S301). 그리고 웹-서버(300)에 설치된 보안 에이전트와 관리 서버(200)간 상호 작용에 의거하여 침입 여부를 모니터링한다(S303). 상기 모니터링 중 침입자(900)가 웹-서버(300)에 공격을 하면(S305), 즉 침입하면 웹-서버(300)는 그 침입이 발생되었음을 관리 서버(200)에게 통보하고(S307) 관리 서버(200)는 그에 응답하여 DB를 분석하고(S309) 침입 정보를 DB에 기록한다(S311). 그리고 관리자 콘솔(700)에게 침입 정보를 전달하여 침입 발생 사실을 관리자에게 통보한다(S313).
한편 침입자(900)에게 기 설정된 정책에 의거하여 경고 메시지를 보내고 침입자의 IP를 차단하는 등 침입에 대하여 대응한다(S315).
이와 같이 본 발명의 상세한 설명에서는 구체적인 실시 예에 관해 설명하였으나, 본 발명의 범주에서 벗어나지 않는 한도 내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시 예에 국한되어 정해져서는 안 되며 후술하는 특허청구범위 뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
상술한 바와 같이 본 발명은 웹-서버별로 탑재된 보안 에이전트를 이용하여 호스트 기반의 보안 서비스를 제공함으로써 네트워크 트래픽에 영향을 주지 않아 안정적인 서비스 환경을 조성하는 장점이 있다. 또한 기 설정된 정책에 의존한 보 안 서비스가 아니라 실제 침입 탐지 결과에 의거하여 그 정책을 보완하고 침입에 자동으로 대응하는 능동적 처리로 인해 시스템 관리 비용을 줄일 수 있는 효과가 있다. 실시간 경고 기능으로 침입자에 대한 심리적인 위협으로 재침입을 예방할 수 있다.

Claims (18)

  1. 보안 시스템에 있어서,
    보안 룰 및 보안 정책을 저장하고 침입 감시 대상 호스트들 각각에 탑재되어 대응된 호스트에 불법 침입이 발생하는 지의 여부를 모니터링하는 복수의 보안 에이전트들과,
    상기 보안 에이전트가 탑재된 호스트들과 로컬망으로 연결되어 상기 보안 에이전트의 설치 및 관리를 담당하는 관리 서버를 포함함을 특징으로 하는 호스트 기반의 보안 시스템.
  2. 제1항에 있어서,
    상기 관리 서버와 외부 통신망으로 연결되어 원격지에서 상기 관리 서버를 통해 상기 보안 에이전트에 포함된 보안 룰 및 보안 정책을 업-데이트 하는 마스터 서버를 더 포함함을 특징으로 하는 호스트 기반의 보안 시스템.
  3. 제1항 또는 제2항에 있어서,
    외부 통신망으로부터 로컬망으로의 진입 경로에 설치되어 상기 로컬망으로 불법 침입을 시도하는 침입 서버의 위치를 추적하는 위치 추적 서버를 더 포함함을 특징으로 하는 호스트 기반의 보안 시스템.
  4. 제3항에 있어서, 상기 보안 에이전트는
    상기 모니터링 결과 불법 침입이 발생된 것으로 판단되면 상기 침입 발생 로그를 임시 저장하고 그 침입 발생 로그를 상기 관리 서버에 통보함을 특징으로 하는 호스트 기반의 보안 시스템.
  5. 제3항에 있어서, 상기 보안 에이전트는
    대응된 호스트의 복원 정보를 저장하고 불법 침입으로 인해 대응된 호스트의 정보가 손상된 경우 상기 손상된 정보를 자동 복원함을 특징으로 하는 호스트 기반의 보안 시스템.
  6. 제3항에 있어서, 상기 보안 에이전트는
    불법 침입으로 인해 대응된 호스트의 정보가 손상된 경우 상기 관리 서버에게 상기 손상된 정보에 대한 복원 정보를 요청하고 그에 대한 응답으로 전달된 복원정보에 의거하여 상기 손상된 정보를 자동 복원함을 특징으로 하는 호스트 기반의 보안 시스템.
  7. 제3항에 있어서, 상기 보안 에이전트는
    불법 침입 감지시 접근 거부, 위치 추적, 경고 메시지 전달, 접근을 위해 설정된 세션 차단, 불법 침입으로 판단된 IP로부터의 접근 차단 및 경보 발생을 포함하는 6단계 대응을 실시간으로 자동수행함을 특징으로 하는 호스트 기반의 보안 시 스템.
  8. 제3항에 있어서, 상기 보안 에이전트는
    상기 보안 에이전트에 과부하 발생시 불법 침입 모니터링을 수행하지 않고 접근 요청을 바이패스하도록 제어하는 스페어 처리부를 포함함을 특징으로 하는 호스트 기반의 보안 시스템.
  9. 제4항에 있어서, 상기 관리 서버는
    상기 보안 에이전트로부터 전달된 침입 발생 로그를 저장/관리하고 상기 침입 발생 로그에 의거하여 기 저장된 보안 정책 및 보안 룰을 보완하여 최적화된 보안 정책을 구현함을 특징으로 하는 호스트 기반의 보안 시스템.
  10. 제3항에 있어서, 상기 위치 추적 서버는
    상기 보안 에이전트 또는 관리 서버로부터 불법 침입을 통보받고 그 불법 침입을 위해 전달된 침입 패킷의 목적지 주소를 상기 위치 추적 서버의 주소로 변경한 후 상기 침입 서버와의 연결을 유지하면서 침입 서버의 위치를 판단함을 특징으로 하는 호스트 기반의 보안 시스템.
  11. 보안 서비스 제공 방법에 있어서,
    보안 서비스를 제공하기 위한 보안 정책 및 대응 방안을 결정하고 그 보안 정책 및 대응 방안이 포함된 보안 에이전트를 생성하는 과정과,
    상기 보안 에이전트를 감시 대상 호스트에 설치하는 과정과,
    상기 보안 에이전트가 기 설정된 보안 정책에 의거하여 대응된 호스트로의 불법 침입을 모니터링하는 과정과,
    상기 불법 침입 탐지시 상기 불법 침입 사실을 관리자에게 실시간으로 통보하는 과정과,
    상기 불법 침입 탐지시 기 저장된 대응 방안에 의거하여 그 침입에 자동으로 대응하는 과정을 포함함을 특징으로 하는 상기 방법.
  12. 제11항에 있어서,
    상기 불법 침입 정보에 의거하여 기 설정된 보안 정책을 보완하는 과정을 더 포함함을 특징으로 하는 상기 방법.
  13. 제12항에 있어서, 상기 정책 보완 과정은
    상기 불법 침입으로 탐지된 침입이 기 설정된 보안 정책에 포함된 것인지 아닌지를 판단하는 단계와,
    상기 탐지된 침입이 상기 판단 결과 기 설정된 보안 정책에 포함되지 않은 경우 그 침입 정보를 상기 보안 정책에 추가하는 단계와,
    기 설정된 보안 정책에는 포함되었으나 기 설정된 기간 동안 대응된 침입이 실제로 발생되지 않은 경우 그 침입 정보를 보안 정책에서 제거하는 단계와,
    상기 추가 및 제거된 보안 정책에 의거하여 기 설정된 보안 정책을 보완하여 최적화된 보안 정책을 생성하는 단계를 포함함을 특징으로 하는 상기 방법.
  14. 제13항에 있어서, 상기 정책 보완 과정은
    상기 최적화된 보안 정책을 관리자에게 보고하는 과정을 더 포함함을 특징으로 하는 상기 방법.
  15. 제11항에 있어서, 상기 정책 결정 과정은
    OWASP(Open Web Application Security Project)에서 선정한 10대 취약점에 의거하여 보안 정책을 결정함을 특징으로 하는 상기 방법.
  16. 제11항에 있어서, 상기 통보 과정은
    단문 메시지 및 이-메일 중 어느 하나를 이용함을 특징으로 하는 상기 방법.
  17. 제11항에 있어서, 상기 대응 과정은
    상기 불법 침입으로 판단된 접근을 거부하는 단계와,
    상기 불법 침입을 시도한 침입 서버의 위치를 추적하는 단계와,
    상기 불법 침입에 대한 경고 메시지를 생성하고 상기 추적된 위치로 그 경고 메시지를 전달하는 단계와,
    상기 불법 침입을 위해 설정된 세션을 차단하는 단계와,
    상기 위치 추적 단계에서 추적된 침입 서버의 위치에 대응된 IP로부터의 접근을 차단하는 단계와,
    불법 침입이 발생하였음을 관리자에게 알리는 경보 발생 단계를 포함함을 특징으로 하는 상기 방법.
  18. 제17항에 있어서, 상기 위치 추적 단계는
    불법 침입으로 판단된 접근을 위해 전달된 침입 패킷의 목적지 주소를 위치 추적 서버의 주소로 변경하는 단계와,
    위치 추적 서버가 상기 침입 패킷의 출발지 주소를 판독하는 단계와,
    상기 출발지 주소와 상기 위치 추적 서버 간 연결을 유지하면서 상기 출발지 주소에 대응된 위치를 추적하는 단계를 포함함을 특징으로 하는 상기 방법.
KR1020050062610A 2005-07-12 2005-07-12 호스트 기반의 보안 시스템 및 그를 이용한 보안 서비스제공 방법 KR20070008804A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050062610A KR20070008804A (ko) 2005-07-12 2005-07-12 호스트 기반의 보안 시스템 및 그를 이용한 보안 서비스제공 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050062610A KR20070008804A (ko) 2005-07-12 2005-07-12 호스트 기반의 보안 시스템 및 그를 이용한 보안 서비스제공 방법

Publications (1)

Publication Number Publication Date
KR20070008804A true KR20070008804A (ko) 2007-01-18

Family

ID=38010723

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050062610A KR20070008804A (ko) 2005-07-12 2005-07-12 호스트 기반의 보안 시스템 및 그를 이용한 보안 서비스제공 방법

Country Status (1)

Country Link
KR (1) KR20070008804A (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101366771B1 (ko) * 2013-05-16 2014-02-27 한국전자통신연구원 네트워크 보안 장치 및 그 방법
WO2018143605A1 (ko) * 2017-02-02 2018-08-09 주식회사 리투인소프트웨어 전자메일 제공 시스템 및 그 방법
KR102381150B1 (ko) * 2020-10-07 2022-03-31 주식회사 쏘마 원격 근무 환경을 위한 보안 관리 시스템 및 방법
KR20220170689A (ko) * 2021-06-23 2022-12-30 한전케이디엔주식회사 보안 유지를 위한 단방향 전송 시스템 및 그의 정보 관리 방법

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101366771B1 (ko) * 2013-05-16 2014-02-27 한국전자통신연구원 네트워크 보안 장치 및 그 방법
US9444845B2 (en) 2013-05-16 2016-09-13 Electronics And Telecommunications Research Institute Network security apparatus and method
WO2018143605A1 (ko) * 2017-02-02 2018-08-09 주식회사 리투인소프트웨어 전자메일 제공 시스템 및 그 방법
KR102381150B1 (ko) * 2020-10-07 2022-03-31 주식회사 쏘마 원격 근무 환경을 위한 보안 관리 시스템 및 방법
KR20220170689A (ko) * 2021-06-23 2022-12-30 한전케이디엔주식회사 보안 유지를 위한 단방향 전송 시스템 및 그의 정보 관리 방법

Similar Documents

Publication Publication Date Title
KR102498168B1 (ko) 적응형 기계 학습 피처들을 가진 사이버 보안 시스템
US10462188B2 (en) Computer network security system
CA2960535C (en) Application platform security enforcement in cross device and ownership structures
US6775657B1 (en) Multilayered intrusion detection system and method
US9325725B2 (en) Automated deployment of protection agents to devices connected to a distributed computer network
US6892241B2 (en) Anti-virus policy enforcement system and method
CA2434674C (en) Computer security and management system
JP4373779B2 (ja) ステイトフル分散型イベント処理及び適応保全
US8291498B1 (en) Computer virus detection and response in a wide area network
CN1783879B (zh) 当网络通信受限时使虚拟网络中的网络设备能够通信
US20050283831A1 (en) Security system and method using server security solution and network security solution
US20060026683A1 (en) Intrusion protection system and method
WO2007124206A2 (en) System and method for securing information in a virtual computing environment
KR20210003261A (ko) 차량 침입 감지 및 방지 시스템
KR20020000225A (ko) 컴퓨터 시스템의 통합적인 원격 보안 관리를 수행하는시스템 및 방법
KR20070008804A (ko) 호스트 기반의 보안 시스템 및 그를 이용한 보안 서비스제공 방법
CN112788023B (zh) 基于安全网络的蜜罐管理方法及相关装置
KR20020075319A (ko) 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템
US20070136139A1 (en) Apparatus and method of protecting user&#39;s privacy information and intellectual property against denial of information attack
Patil et al. Analysis of distributed intrusion detection systems using mobile agents
JP2005071218A (ja) 不正アクセス防御システム、ポリシ管理装置、不正アクセス防御方法、及びプログラム
CN115834205A (zh) 一种监控系统违规外联告警系统
KR20130033161A (ko) 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템
KR20130009094A (ko) 스마트폰 통합 보안 관제 시스템 및 방법
JP2005318037A (ja) 不正使用監視システム、不正使用監視警報装置、不正使用監視方法

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
NORF Unpaid initial registration fee