KR20080073112A - Network security system and method for process thereof - Google Patents

Network security system and method for process thereof Download PDF

Info

Publication number
KR20080073112A
KR20080073112A KR1020070011714A KR20070011714A KR20080073112A KR 20080073112 A KR20080073112 A KR 20080073112A KR 1020070011714 A KR1020070011714 A KR 1020070011714A KR 20070011714 A KR20070011714 A KR 20070011714A KR 20080073112 A KR20080073112 A KR 20080073112A
Authority
KR
South Korea
Prior art keywords
security policy
update
setting command
management unit
security
Prior art date
Application number
KR1020070011714A
Other languages
Korean (ko)
Other versions
KR101343693B1 (en
Inventor
홍오영
Original Assignee
주식회사 엘지씨엔에스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엘지씨엔에스 filed Critical 주식회사 엘지씨엔에스
Priority to KR1020070011714A priority Critical patent/KR101343693B1/en
Publication of KR20080073112A publication Critical patent/KR20080073112A/en
Application granted granted Critical
Publication of KR101343693B1 publication Critical patent/KR101343693B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

A network security system and a processing method thereof are provided to cope with absence of a security manager or various viruses like a zero day attack which makes an attack via a weak security network. A network security system includes a predicting or alarming server(30), an update server(40), and a management unit(20). The predicting or alarming server compares increase ratio of information on system access attack packets with preset threshold, and transmits a setup instruction for detection and interception of the attack packets to the update server. The update server receives the setup instruction and transmits the setup instruction with the update policy to the management unit if there occurs an update request event. The management unit applies the security policy to an agent, where there occur the attack packets, and controls the detection and the interception of the attack packets according to execution of the update and the setup instruction.

Description

네트워크 보안시스템 및 그 처리방법{NETWORK SECURITY SYSTEM AND METHOD FOR PROCESS THEREOF}NETWORK SECURITY SYSTEM AND METHOD FOR PROCESS THEREOF}

도 1은 본 발명의 제 1실시 예에 따른 네트워크 보안시스템의 구성도.1 is a block diagram of a network security system according to a first embodiment of the present invention.

도 2는 본 발명의 제 1실시 예에 따라 네트워크 보안시스템에서의 보안처리 흐름도.2 is a flowchart illustrating a security processing in a network security system according to a first embodiment of the present invention.

도 3은 본 발명의 제 2실시 예에 따라 에이전트와 연결된 네트워크 관리부의 구성도.3 is a block diagram of a network management unit connected to an agent according to a second embodiment of the present invention.

도 4는 본 발명의 제 2실시 예에 따라 임의의 에이전트에서 탐지된 공격패킷정보에 대해 모든 에이전트에 자동으로 보안정책을 변경 적용하는 동작 흐름도.4 is a flowchart illustrating an operation of automatically changing and applying a security policy to all agents with respect to attack packet information detected by an agent according to a second embodiment of the present invention.

*도면의 주요 부분에 대한 부호의 설명** Description of the symbols for the main parts of the drawings *

10 : 에이전트 20 : 관리부10: agent 20: management

22 : 로그관리부 24 : 보안정책관리부22: log management unit 24: security policy management unit

26 : 통신부 28 : 데이터베이스부26: communication unit 28: database unit

30 : 경보서버부 40 : 업데이트서버부30: alarm server unit 40: update server unit

본 발명은 네트워크 보안시스템에 관한 것으로서, 특히 보안관리자의 개입 없이 네트워크 보안 위협에 적절하게 대응할 수 있도록 하는 네트워크 보안시스템 및 그 처리방법에 관한 것이다.The present invention relates to a network security system, and more particularly, to a network security system and a method for processing the same, which can appropriately respond to network security threats without intervention of a security administrator.

네트워크 보호를 위한 보안시스템으로 침입 방지 시스템(Intrusion Prevention System : IPS), 침입 탐지 시스템(Intrusion Detecting System : IDS) 등이 활용되고 있다. 상기 IPS 및 IDS는 네트워크 트래픽을 감시하여 잠재적 위협을 인지한 후 이에 즉각적인 대응을 하기 위한 네트워크 보안 기술 중 예방적 차원의 접근방식에 해당한다. Intrusion Prevention System (IPS) and Intrusion Detecting System (IDS) are used as security systems for network protection. The IPS and IDS correspond to a preventive approach among network security technologies for monitoring network traffic and recognizing potential threats and reacting immediately.

통상 공격자가 일단 내부의 권한을 획득하고 나면 시스템의 악의적인 이용이 매우 빠르게 진행될 수 있다. 따라서 대다수의 보안시스템은 네트워크 보안 관리자가 설정해 놓은 일련의 규칙에 기반을 두고 즉각적인 행동을 취할 수 있는 능력을 가지도록 설계된다. 이를 위하여 상기 보안시스템은 어떤 한 패킷을 검사하여 그것이 부당한 패킷이라고 판단되면, 해당 IP주소 또는 포트에서 들어오는 모든 트래픽을 봉쇄하는 한편, 합법적인 트래픽에 대해서는 아무런 방해나 서비스 지연 없이 수신측에 전달한다. Normally, once an attacker has gained internal privileges, the malicious use of the system can proceed very quickly. Therefore, most security systems are designed to have the ability to take immediate action based on a set of rules set by the network security administrator. To this end, the security system inspects a packet and if it is determined that it is an invalid packet, blocks all incoming traffic from the corresponding IP address or port, and forwards the legitimate traffic to the receiver without any interruption or service delay.

이와 같은 보안시스템에 의하여 부당한 공격 패킷에 대처하고 있지만, 현재 보안시스템은 긴급한 보안정책 적용이 필요한 경우에는 이를 바로 적용할 수 없는 문제가 있다. Although such a security system is dealing with an unfair attack packet, the current security system has a problem that can not be applied immediately when an urgent security policy needs to be applied.

즉 현재의 보안시스템에는 조기 예보/경보 서버가 구축되어 외부 공격에 대 해 탐지하고 적절한 보안정책을 적용하고 있지만, 슬래머 웜(Slammer Worm)과 같이 단시간내에 전세계로 확산되는 공격에 대해서는 전혀 대응할 수 없는 문제가 있다. In other words, the current security system is equipped with an early forecast / alarm server to detect external attacks and apply appropriate security policies, but cannot respond to attacks that spread worldwide in a short time, such as the Slammer Worm. there is a problem.

예컨대, 공격이 발생할 경우 위협 정보를 네트워크 보안 관리자에게 문자메시지(SMS) 또는 전자우편(E-mail) 등의 방법으로 전송하고 그에 대하여 대응하도록 하기 때문에 대응 속도가 위협의 확산속도보다 현저히 떨어지며, 특히 보안관리자가 부재할 경우 차단 등과 같은 즉각적인 대응을 실행할 수 없다. 이 경우 제로데이 공격(Zero-day Attack)과 같이 보안패치가 발표되기 전에 공격이 이루어지는 해킹이나 악성코드 공격인 경우 대응불가로 인해 피해가 광범위하게 확산될 수밖에 없다.For example, when an attack occurs, threat information is transmitted to the network security administrator by text message (SMS) or email (e-mail) and responded to it, so the response speed is significantly lower than the spread of the threat. If the security manager is absent, immediate response such as blocking cannot be executed. In this case, in case of hacking or malicious code attack that takes place before the security patch is released, such as a zero-day attack, the damage cannot but be spread.

따라서 본 발명은 상기한 문제점을 해결하기 위하여 안출된 것으로서, 보안관리자의 개입 없이도 공격 위협에 대해 자동화된 보안정책을 제공하여 네트워크 보안 위협에 대응하도록 하는 네트워크 보안시스템 및 그 처리방법을 제공함에 목적이 있다.Accordingly, an object of the present invention is to provide a network security system and a method for processing the same, by providing an automated security policy against an attack threat without the intervention of a security administrator. have.

또한 본 발명의 다른 목적은 임의의 에이전트의 위협 로그정보를 기반으로 변경된 보안정책을 다른 에이전트에 적용하고자 함에 있다.In addition, another object of the present invention is to apply a changed security policy to other agents based on the threat log information of any agent.

또한 본 발명의 또 다른 목적은 변경된 보안정책을 적용한 다음에 특정 시점 이전의 보안정책으로 복원할 수 있도록 함에 있다.In addition, another object of the present invention is to be able to restore the security policy before a specific point in time after applying the changed security policy.

상기한 목적을 달성하기 위한 본 발명의 특징에 따른 네트워크 보안시스템은, 보안시스템에 있어서, 시스템에 접속하는 공격 패킷 정보의 증가율과 기 설정된 기준 임계값을 비교하여 탐지 및 차단을 위한 설정명령을 전송하는 예/경보 서버, 상기 설정명령을 수신하고 업데이트 요청 발생시 보안정책과 함께 상기 설정명령을 전송하는 업데이트 서버, 상기 보안정책의 업데이트 수행 및 상기 설정명령에 따라 상기 보안정책을 적용하여 상기 공격 패킷을 탐지/차단하도록 제어하는 관리부를 포함하되, 상기 예/경보 서버와 업데이트 서버는 상기 증가율이 상기 기준 임계값보다 클 경우에만 세션(session)이 설정된다.A network security system according to an aspect of the present invention for achieving the above object, in the security system, compares the increase rate of attack packet information to access the system with a predetermined reference threshold value and transmits a setting command for detection and blocking Example / alarm server, an update server that receives the setting command and transmits the setting command together with a security policy when an update request occurs, performing the update of the security policy, and applying the security policy according to the setting command to remove the attack packet. And a management unit for controlling detection / blocking, wherein the example / alarm server and the update server establish a session only when the increase rate is greater than the reference threshold.

또한 본 발명의 다른 특징에 따르면, 네트워크로부터 유입되는 공격 패킷 정보를 검사하는 적어도 하나 이상의 에이전트, 상기 공격 패킷 정보에 대한 통계데이터를 생성하고, 이미 저장된 마지막 통계데이터와의 증가율과 기준 임계값과의 비교에 따라 탐지 및 차단을 위한 설정명령을 전송하는 예/경보 서버, 상기 증가율이 상기 기준 임계값보다 클 경우에만 상기 예/경보 서버와 연결되어 상기 설정명령을 수신하고, 업데이트 요청이 수신되면 미리 저장된 보안정책과 상기 설정명령을 전송하는 업데이트 서버, 상기 보안정책을 전송받아 업데이트하고, 상기 설정명령에 따라 상기 업데이트된 보안정책을 적용하여 상기 공격 패킷을 탐지/차단하도록 제어하는 관리부를 포함하여 구성된다.According to another aspect of the present invention, at least one agent for inspecting attack packet information flowing from the network, generating statistical data for the attack packet information, and the rate of increase with the last stored statistical data and the reference threshold value Example / alarm server for transmitting the setting command for detection and blocking according to the comparison, when the increase rate is greater than the reference threshold, connected to the example / alarm server to receive the setting command, and when an update request is received in advance An update server for transmitting the stored security policy and the setting command, and receiving and updating the security policy, and applying the updated security policy according to the setting command to control the detection and blocking of the attack packet. do.

상기 관리부는, 상기 업데이트 서버에 업데이트 요청하고, 상기 보안정책을 제공받아 업데이트 수행하고, 상기 업데이트 수행시마다 업데이트 종료 시간정보의 타임스탬프 값을 생성하고 다음 업데이트 요청시에 상기 저장된 종료 시간정보의 타임스탬프 값을 상기 업데이트 서버에 전송한다.The management unit requests an update from the update server, receives the security policy, performs an update, generates a timestamp value of update end time information each time the update is performed, and timestamps of the stored end time information at the next update request. Send a value to the update server.

또 상기 관리부는 상기 보안정책의 업데이트가 종료되면 상기 설정명령의 전송 여부를 검사하고, 상기 설정명령이 전송된 경우에만 상기 보안정책을 변경하여 상기 공격 패킷을 탐지/차단하는 보안정책관리부를 더 포함하여 구성된다.The management unit may further include a security policy management unit that checks whether the setting command is transmitted when the update of the security policy is completed, and detects / blocks the attack packet by changing the security policy only when the setting command is transmitted. It is configured by.

또 상기 관리부는 상기 보안정책 적용 시간에 대한 타임스탬프 값을 보안정책 이력정보에 추가 저장하는 것이 바람직하다.In addition, the management unit preferably stores the time stamp value for the security policy application time in the security policy history information.

그리고 상기 업데이트 서버는 상기 보안정책 및 설정명령을 저장하는 저장부, 상기 관리부의 업데이트 요청에 따라 수신한 이전 업데이트 시간정보의 타임스탬프 값과 상기 설정명령 수신시의 시간정보에 대한 타임스탬프 값을 비교하는 비교부, 상기 비교결과 상기 설정명령 시간정보의 타임스탬프 값이 더 큰 경우 업데이트 대상인 보안정책과 설정명령을 상기 관리부로 전송하는 전송부를 포함하여 구성된다.The update server may further include a storage unit storing the security policy and a setting command, and comparing a time stamp value of previous update time information received according to an update request of the management unit with a time stamp value of time information at the time of receiving the setting command. And a comparison unit, and a transmission unit for transmitting a security policy and a setting command to be updated to the management unit when a time stamp value of the setting command time information is larger as a result of the comparison.

또 상기 업데이트 서버에는 신규 보안정책 및 업데이트 대상 보안정책이 미리 저장되어 있다.In addition, a new security policy and an update target security policy are stored in advance in the update server.

또한 본 발명의 또 다른 특징에 따르면, 적어도 하나 이상의 에이전트 각각에 대하여 보안정책을 적용하기 위한 기준 임계값과 적용여부를 설정하는 설정부, 상기 에이전트별 또는 다른 네트워크로부터 수신되는 공격 패킷 정보를 참조하여 주요 통계데이터를 지속적으로 생성/저장하는 로그관리부, 상기 최종 저장된 통계데이터와 새로 생성된 통계데이터를 참조하여 특정/불특정 공격명에 대한 증가율과 상기 기준 임계값을 비교하는 비교부, 상기 비교결과 상기 증가율이 상기 기준 임계값 이상이면 상기 모든 에이전트에 적용되는 보안정책을 검사하는 검사부, 상기 검사결과 임의의 에이전트에 적용된 보안정책이 상기 공격 패킷에 대한 탐지/차단을 할 수 없도록 설정된 경우 탐지 및 차단을 위한 설정명령을 자동 활성화하여 해당 에이전트에 적용하고 상기 공격 패킷을 탐지/차단하는 제어부를 포함하여 구성된다.In addition, according to another feature of the present invention, a reference threshold for applying a security policy to each of at least one or more agents and the setting unit for setting whether or not, by referring to the attack packet information received from each agent or other network Log management unit for continuously generating / storing the main statistical data, a comparison unit for comparing the reference threshold value and the increase rate for the specific / unspecified attack name with reference to the last stored statistical data and the newly generated statistical data, the comparison result If the increase rate is greater than or equal to the reference threshold value, the inspection unit inspects the security policy applied to all the agents, and if the security policy applied to any agent is set to be unable to detect / block the attack packet, the detection and blocking is performed. Automatically activate the configuration command for the appropriate agent And it is configured to include a control unit for detection / prevention of the attack packets.

상기 관리부는 상기 기준 임계값과 상기 보안정책 적용여부를 설정할 수 있는 그래픽유저인터페이스(GUI) 환경인 것이 바람직하다.The management unit is preferably a graphical user interface (GUI) environment that can set the reference threshold and whether the security policy is applied.

그리고 상기 공격 패킷 정보는 'Top N 공격명', 'Top 포트 사용량', '소스 IP', '목적 IP' 등이다.The attack packet information includes 'Top N attack name', 'Top port usage', 'source IP', and 'target IP'.

그리고 상기 제어부는 상기 에이전트에 보안정책을 적용하는 경우 상기 보안정책의 적용 및 변경 이력 정보를 모든 에이전트에 대해 반복 수행하게 된다.When the security policy is applied to the agent, the controller repeats the application and change history information of the security policy for all agents.

또 상기 제어부는 상기 보안정책이 특정 에이전트에만 적용되도록 설정된 경우 상기 설정된 에이전트 이외의 다른 에이전트에 대해서 보안정책을 계속하여 검사한다.When the security policy is set to apply to only a specific agent, the controller continuously checks the security policy for agents other than the set agent.

또 상기 제어부는 상기 보안정책이 자동 적용된 다음에 특정 시점의 보안정책으로 복구하도록 제어한다.The control unit controls to recover the security policy at a specific time point after the security policy is automatically applied.

또한 본 발명의 다른 특징에 따른 보안정책 처리방법은, (a) 공격 패킷 정보를 검사하고 통계 데이터를 생성하는 단계, (b) 상기 생성된 통계 데이터와 이전 통계 데이터 상호간의 증가율과 미리 설정된 기준 임계값을 비교하는 단계, (c) 상 기 비교 결과, 통계 데이터의 증가율이 더 큰 경우에만 보안정책을 제공하는 서버와 세션을 설정하고, 상기 보안정책을 적용하여 공격 패킷을 탐지 및 차단하는 설정명령을 상기 서버로 전송하는 단계를 포함하여 구성된다.In addition, the security policy processing method according to another aspect of the present invention, (a) checking the attack packet information and generating statistical data, (b) the increase rate between the generated statistical data and the previous statistical data and a predetermined reference threshold Comparing the values, (c) a setting command for establishing a session with a server providing a security policy only when the statistical data growth rate is greater and applying the security policy to detect and block an attack packet. It is configured to include the step of transmitting to the server.

또한 본 발명의 또 다른 특징에 따르면, (d) 네트워크 관리부로부터 업데이트 요청을 대기하는 단계, (e) 상기 업데이트 요청시 이전 업데이트 수행시의 타임스탬프 값과 공격 패킷의 탐지 및 차단을 위한 설정명령의 타임스탬프 값을 비교하는 단계, (f) 상기 비교 결과, 상기 설정명령의 타임스탬프 값이 더 큰 경우에만, 신규 보안정책 또는 업데이트할 보안정책과 상기 설정명령을 상기 네트워크 관리부에 전송하는 단계, (g) 상기 설정명령에 따라 상기 보안정책을 변경하고 상기 공격 패킷정보를 탐지/차단하는 단계를 포함하여 구성된다.According to still another aspect of the present invention, (d) waiting for an update request from the network management unit, (e) a timestamp value at the time of performing a previous update and a setting command for detecting and blocking an attack packet upon the update request. Comparing a timestamp value, (f) transmitting a new security policy or a security policy to be updated and the setting command to the network management unit only when the timestamp value of the setting command is larger as a result of the comparison; g) changing the security policy according to the setting command and detecting / blocking the attack packet information.

상기 (e) 단계의 업데이트 요청시마다 업데이트 종료 시각의 타임스탬프 값이 생성/저장되고, 다음 업데이트 요청시에 상기 저장된 타임스탬프 값이 함께 전송되는 것이 바람직하다.Each time the update request of step (e), the timestamp value of the update end time is generated and stored, and the stored timestamp value is transmitted together with the next update request.

상기 (f) 단계는, 상기 보안정책의 업데이트가 종료된 후에 상기 설정명령의 전송 여부가 검사되고, 상기 설정명령의 적용 여부를 판단하는 단계가 더 포함된다.In the step (f), after the update of the security policy is finished, whether or not the setting command is transmitted is checked, and further comprising determining whether the setting command is applied.

또한 본 발명의 또 다른 특징에 따르면, (h) 다수의 에이전트로부터 공격 패킷 정보를 수신하여 통계데이터를 지속적으로 생성/저장하는 단계, (i) 새로 생성된 통계데이터와 저장된 이전 통계데이터를 비교하는 단계, (j) 상기 통계데이터 상호간의 증가율이 미리 설정한 기준 임계값을 초과하는 경우, 모든 에이전트에 적 용된 보안정책을 검사하는 단계, (k) 상기 에이전트에 적용된 보안정책에 대해 탐지/차단상태의 설정 여부를 판단하는 단계, (l) 상기 판단 결과, 탐지/차단설정이 비활성상태인 보안정책인 경우 이를 활성화시키고 에이전트에 적용하여 공격 패킷을 탐지/차단하는 단계가 포함되어 구성된다.In addition, according to another feature of the invention, (h) receiving the attack packet information from a plurality of agents to continuously generate / store the statistical data, (i) comparing the newly generated statistical data and the stored previous statistical data (J) checking the security policy applied to all agents when the rate of increase between the statistical data exceeds a predetermined threshold value; and (k) detecting / blocking the security policy applied to the agent. Determining whether or not to set, (l) If the detection, blocking setting is a security policy in the inactive state, it is activated and applied to the agent detects / blocks the attack packet is configured.

그리고, 상기 보안정책 적용 및 변경 이력 정보를 저장하는 단계(m)가 더 포함될 수 있다.The method may further include storing the security policy application and change history information (m).

상기 (j) 단계에서는, 특정 에이전트에만 상기 보안정책이 적용되거나, 상기 보안정책에 탐지/차단명령이 이미 설정된 경우에, 그 에이전트에 대한 보안정책 검사는 미실시된다.In the step (j), when the security policy is applied only to a specific agent or when a detection / blocking command is already set in the security policy, the security policy check for the agent is not performed.

또 상기 변경된 보안정책을 특정 시점 이전의 변경 전 보안정책으로 복원하는 단계(n)를 더 포함하여 구성된다.The method may further include the step (n) of restoring the changed security policy to a pre-change security policy before a specific point in time.

그리고 상기 설정명령의 적용여부와 기준 임계값은 그래픽유저인터페이스(GUI) 환경에 의해 조작되어진다.The application of the setting command and the reference threshold value are manipulated by a graphical user interface (GUI) environment.

이와 같은 구성을 갖는 본 발명에 따르면, 보안관리자가 부재한 경우에 갑작스러운 공격 위협에 대해서도 이를 탐지하고 자동화된 보안정책으로 대응할 수 있음을 알 수 있다.According to the present invention having such a configuration, it can be seen that even in the absence of a security manager, a sudden attack threat can be detected and responded with an automated security policy.

이하, 본 발명에 의한 네트워크 보안시스템 및 그 처리방법을 첨부된 도면에 도시된 바람직한 실시 예를 참고하여 상세하게 설명한다.Hereinafter, a network security system and a processing method thereof according to the present invention will be described in detail with reference to the preferred embodiments shown in the accompanying drawings.

도 1에는 본 발명의 바람직한 실시 예에 따른 네트워크 보안시스템의 구성도가 도시되어 있다.1 is a block diagram of a network security system according to a preferred embodiment of the present invention.

도 1을 참조하면, 외부에서 유입되는 모든 네트워크 패킷 정보를 분석하여 위협정보를 탐지하는 복수의 에이전트(10~10n)가 구비된다. 즉 상기 에이전트(10~10n)는 통과하는 모든 패킷데이터를 검사하고, 상기 패킷데이터가 보안정책에 정의된 위협조건에 부합되면 상기 보안정책에 설정된 로깅(Logging), 차단 등의 대응을 수행한다.Referring to FIG. 1, a plurality of agents 10 ˜ 10 n are provided to detect threat information by analyzing all network packet information flowing from the outside. That is, the agent 10 to 10n inspects all the packet data passing through, and if the packet data meets the threat condition defined in the security policy, the agent 10 to 10n performs a response such as logging and blocking set in the security policy.

상기 복수의 에이전트(10~10n)에 의해 탐지된 위협 정보를 기반으로 위협 로그정보를 저장하고, 상기 위협 로그정보의 탑(Top) 공격명, 탑 포트(Top port) 사용량, 소스 IP, 목적 IP 등의 주요 통계 데이터를 생성하고, 보안 정책을 적용하여 네트워크 보안 위협의 확산을 차단하도록 하는 관리부(20)가 구비된다. 또 상기 관리부(20)는 안정적인 네트워크 운영을 위하여 자동적으로 변경되는 보안정책 이력을 관리하고, 그 보안정책을 과거 어느 시점의 보안정책으로 복구시킬 수 있는 기능을 제공한다. 이에 관리부(20)는 보안관리자가 기준 임계값 및 보안정책 자동 변경을 용이하게 설정할 수 있도록 그래픽유저인터페이스(GUI) 환경이 지원되는 것이 바람직하다. Storing threat log information based on the threat information detected by the plurality of agents (10 to 10n), Top attack name, Top port usage, source IP, destination IP of the threat log information The management unit 20 is provided to generate main statistical data such as and the like, and to apply a security policy to block the spread of network security threats. In addition, the management unit 20 manages the security policy history that is automatically changed for stable network operation, and provides a function to restore the security policy to the security policy at any point in the past. Accordingly, the management unit 20 preferably supports a graphical user interface (GUI) environment so that the security manager can easily set the reference threshold and the automatic change of the security policy.

상기 관리부(20)는 상기 에이전트(10~10n)로부터 수신한 개별 위협 로그정보를 데이터베이스(28)에 저장하고 상기 위협 로그정보들을 근거로 주요 통계데이터(예컨대 Top 10 공격정보/소스IP/목적IP 등)를 생성하는 로그관리부(22)와, 업데이트서버부(40)의 업데이트 동작에 의해 각종 보안정책을 상기 에이전트(10~10n)들에게 적용하기 위한 보안정책관리부(24)를 구비한다. 상기 위협로그정보는 네트워크의 위협 상태를 측정하기 위한 1차적인 데이터로 활용된다. 그리고 상기 통계데이 터는 탑 공격명(Top N 공격명), 탑 포트 사용량 등을 말한다. 예컨대 갑자기 증가된 공격명, 유입 트래픽이 기준 이상으로 많이 발생되는 소정 포트(port)에 대한 정보 등이다.The management unit 20 stores the individual threat log information received from the agents 10-10n in the database 28 and main statistical data (for example, Top 10 attack information / source IP / target IP) based on the threat log information. Etc.), and a security policy management unit 24 for applying various security policies to the agents 10 to 10n by the update operation of the update server unit 40. The threat log information is used as primary data for measuring a threat state of a network. The statistical data refers to the top attack name (Top N attack name), the top port usage. For example, a sudden increase in attack name, information on a predetermined port in which a lot of incoming traffic is generated beyond the reference.

또 상기 관리부(20)는 인터넷 연결되어 있는 조기 예보/경보 서버부(이하, '경보 서버부'라 약칭함)(30)에 상기 통계데이터를 전달하는 제1통신부(26a)와, 상기 경보서버부(30)로부터 전달되는 예보/경보에 따라 보안정책과 탐지/차단을 위한 설정명령을 업데이트서버부(40)로부터 전송받는 제2통신부(26b)를 구비한다. 상기 제 1, 제 2통신부(26a)(26b)는 상기 경보서버부(30) 및 상기 업데이트서버부(40)와 데이터를 교환할 경우 암호화된 연결에 의해서 전송되는 데이터의 기밀성이 보장되어야 한다. 그리고 상기 제 1, 제 2통신부(26a)(26b)는 각각 독립적으로 구성되고 있지만, 하나의 통신모듈에 의해 구성될 수 있음은 물론이다.In addition, the management unit 20 is the first communication unit 26a for transmitting the statistical data to the early forecast / alarm server unit (hereinafter, abbreviated as "alarm server unit") 30 is connected to the Internet, and the alarm server The second communication unit 26b receives a security policy and a setting command for detection / blocking from the update server unit 40 according to the forecast / alarm transmitted from the unit 30. When the first and second communication units 26a and 26b exchange data with the alert server unit 30 and the update server unit 40, the confidentiality of the data transmitted by the encrypted connection should be guaranteed. In addition, although the first and second communication units 26a and 26b are configured independently, the first and second communication units 26a and 26b may be configured by one communication module.

다음, 상기 경보서버부(30)는 상기 업데이트 서버부(40)와 상호 연동되는 구조를 갖는다. 상기 경보서버부(30)는 관리부(20)로부터 통계데이터를 수신하고 일정시간마다 전체 통계데이터를 생성한다. 즉 상기 경보서버부(30)는 복수의 관리부(즉 각 기업이나 단체에 구성되는 시스템)에서 위협로그정보에 대한 통계데이터를 수신하여 관리자가 확인할 수 있도록 화면 표시하는 것이다. Next, the alert server unit 30 has a structure that interoperates with the update server unit 40. The alarm server unit 30 receives statistical data from the management unit 20 and generates total statistical data every predetermined time. That is, the alarm server unit 30 receives statistical data on threat log information from a plurality of management units (that is, a system configured in each company or organization) and displays the screen for the administrator to check.

또 상기 경보서버부(30)에는 상기 업데이트서버부(40)와의 연결을 설정하기 위한 기준 임계값이 제공된다. 상기 기준 임계값은 보안관리자에 의해 임의로 설정가능한 값이고, 이는 상기 관리부(20)로부터 제공받는다. 그리고 상기 기준 임계값은 상기 업데이트서버부(40)의 IP 등과 같은 연동 관련정보 또는 상기 통계데이터 로부터 추출된 특정/불특정 위협로그정보의 증가율을 참조하여 상기 업데이트서버부(40)와의 연결을 설정한다. 통상 상기 증가율이 임계값 이상인 경우에 상기 경보서버부(30)와 상기 업데이트서버부(40)가 연결되고, 상기 위협로그정보에 대한 탐지 여부 적용 및 차단 여부 적용에 대한 탐지/차단 설정명령이 전송된다.In addition, the alarm server unit 30 is provided with a reference threshold value for establishing a connection with the update server unit 40. The reference threshold is a value that can be arbitrarily set by the security manager, which is provided from the management unit 20. The reference threshold sets a connection with the update server unit 40 with reference to an increase rate of interlocking related information such as IP of the update server unit 40 or specific / unspecified threat log information extracted from the statistical data. . In general, when the increase rate is greater than or equal to a threshold value, the alert server unit 30 and the update server unit 40 are connected, and a detection / blocking setting command for detecting whether the threat log information is applied and whether to block the application is transmitted. do.

다음, 상기 업데이트서버부(40)는, 보안정책을 제공하는 기능을 하며, 상기 경보서버부(30)로부터 전송받은 탐지/차단 설정명령을 자체 데이터베이스 또는 디스크 등의 스토리지(storage)에 저장한다. 그리고 상기 관리부(20)로부터 보안정책의 업데이트 요구가 발생되는 경우에만 상기 제2통신부(26b)를 매개하여 보안정책과 상기 탐지/차단 설정명령을 상기 보안정책관리부(24)로 전송한다. 이때 상기 업데이트서버부(40)는 상기 관리부(20)에서 전송된 이전 업데이트 요구시의 타임스탬프(Time stamp) 값과 상기 경보서버부(30)로부터 최종적으로 수신한 타임스탬프 값을 비교하고, 비교결과에 따라 업데이트와 탐지/차단 설정명령을 전송하여 상기 관리부(20)에 의해 보안정책이 변경 적용되도록 한다. Next, the update server unit 40 functions to provide a security policy, and stores the detection / block setting command received from the alert server unit 30 in storage of its own database or disk. Only when an update request of a security policy is generated from the management unit 20, the second communication unit 26b transmits a security policy and the detection / block setting command to the security policy management unit 24. At this time, the update server unit 40 compares the time stamp value at the time of the previous update request transmitted from the management unit 20 with the time stamp value finally received from the alert server unit 30, and compares the time stamp value. The update and detection / block setting command is transmitted according to the result so that the security policy is changed and applied by the management unit 20.

따라서, 상기 업데이트서버부(40)는 관리부(20)로부터 전송된 타임스탬프 값과 상기 경보서버부(30)로부터 최종적으로 수신한 타임스탬프 값을 비교하는 비교기능과, 상기 비교결과 상기 경보서버부(30)의 타임스탬프 값이 더 큰 경우 보안정책정보 및 탐지/차단 설정명령을 상기 관리부(20)로 전송하는 전송기능이 제공되는 것이 바람직하다. 또 상기 업데이트서버부(40)는 상기 탐지/차단 설정명령과 타임스탬프 값을 상기 관리부(20)로부터 업데이트 요청이 발생할 때까지 저장하기 위한 데이터베이스를 구비한다.Therefore, the update server unit 40 compares the time stamp value transmitted from the management unit 20 with the time stamp value finally received from the alarm server unit 30, and the comparison result of the alarm server unit. If the timestamp value of 30 is greater, it is preferable to provide a transmission function for transmitting the security policy information and the detection / blocking setting command to the management unit 20. In addition, the update server unit 40 includes a database for storing the detection / block setting command and the time stamp value until an update request is generated from the management unit 20.

이어 상기한 바와 같은 구성의 네트워크 보안시스템에 의한 보안처리방법을 단계별로 상세하게 설명한다.Next, the security processing method by the network security system having the above configuration will be described in detail step by step.

도 2에는 본 발명의 실시 예에 따라 네트워크 보안시스템에서의 보안처리 흐름도가 도시되어 있다.2 is a flowchart illustrating a security process in a network security system according to an exemplary embodiment of the present invention.

먼저, 관리부(20)는 로그관리부(22)에 의해 복수의 에이전트(10~10n)에 의해 탐지된 공격패킷의 위협 정보를 기반으로 위협 로그정보를 저장하고, 상기 위협 로그정보의 탑(Top) 공격명, 탑 포트(Top port) 사용량 등의 주요 통계 데이터를 생성한다(S50). 상기 생성된 통계 데이터는 제1통신부(26a)를 매개하여 상기 경보서버부(30)로 전송된다. First, the management unit 20 stores the threat log information based on the threat information of the attack packet detected by the plurality of agents 10-10n by the log management unit 22, and the top of the threat log information. Generate key statistical data such as attack name, top port usage (S50). The generated statistical data is transmitted to the alarm server unit 30 via the first communication unit 26a.

상기 경보서버부(30)에는 다수의 관리부가 연결되어 있는바, 그 경보서버부(30)는 상기 관리부들로부터 위협로그정보의 통계데이터를 수신하고, 이를 일정 시간마다 전체적인 통계데이터로서 다시 생성하는 작업을 수행한다. A plurality of management units are connected to the alarm server unit 30, and the alarm server unit 30 receives statistical data of threat log information from the management units, and generates the statistical data of the threat log information as overall statistical data every predetermined time. Do the work.

상기 통계데이터는 매 시각(초/분/시간) 단위로 계속 업데이트가 이루어진다. The statistical data is continuously updated every time (seconds / minutes / hours).

상기 경보서버부(30)는 현재 시각 생성된 통계데이터와 이전 시각에 생성된 통계데이터의 증가율을 계속 비교한다(S52). 그리고 상기 증가율과 관리자에 의해 미리 설정한 기준 임계값을 비교하는 동작을 수행한다. 상기 기준 임계값은 네트워크 운영이 원활하게 이루어질 수 있는 값으로서, 예컨대 평상시 10% 내외의 트래픽 증가율로 운영되다가 갑자기 30% 이상의 증가율이 보인다면 이는 네트워크로의 이상 트래픽 등이 유입된다라고 판단하고, 탐지 및 차단정책을 적용하도록 하기 위함 이다.The alarm server unit 30 continuously compares the increase rate of the statistical data generated at the present time with the statistical data generated at the present time (S52). The operation of comparing the increase rate with a reference threshold set by the administrator in advance is performed. The reference threshold value is a value that can smoothly operate the network. For example, if the traffic growth rate is about 10% or more and suddenly increases more than 30%, it is determined that abnormal traffic flows into the network. And blocking policy to apply.

상기 비교결과, 상기 증가율이 큰 경우(S54에서의 예), 상기 경보서버부(30)는 상기 업데이트 서버부(40)와 암호화된 세션(session)을 설정하고(S56), 현재 시각에 대한 타임스탬프 값 및 상기 증가율의 이상 여부를 탐지하고 이에 대한 대응책인 보안정책을 적용하도록 탐지/차단 설정명령을 상기 업데이트서버부(40)에 전송한다(S58). 이때 상기 증가율뿐만 아니라 웜바이러스(worm virus) 정보나 제로공격 정보가 발생하는 경우에도 이에 대한 보안정책을 적용할 수 있도록 탐지/차단 설정명령을 상기 업데이트서버부(40)에 전송한다.As a result of the comparison, when the increase rate is large (YES in S54), the alert server unit 30 establishes an encrypted session with the update server unit 40 (S56), and time for the current time. The detection / block setting command is transmitted to the update server 40 to detect an abnormality of the stamp value and the increase rate and to apply a security policy corresponding thereto (S58). In this case, the detection / block setting command is transmitted to the update server unit 40 so that the security policy can be applied to the worm virus information or zero attack information as well as the increase rate.

상기 업데이트서버부(40)는 상기 타임스탬프 값과 탐지/차단 설정명령을 수신하면 이를 내부 DB에 저장한다(S60). 그리고 상기 관리부(20)로부터 업데이트 요청이 발생되기까지 대기상태를 유지한다(S62).The update server unit 40 stores the time stamp value and the detection / block setting command in the internal DB (S60). And it maintains a standby state until the update request is generated from the management unit 20 (S62).

상기 관리부(20)에서 업데이트 요청이 발생한다(S64). 이때, 상기 관리부(20)는 상기 업데이트 요청시마다 업데이트를 종료한 시각의 타임스탬프 값을 저장하고 다음 업데이트 요청시 상기 저장된 타임스탬프 값을 상기 업데이트서버부(40)에 전송한다. The update request is generated in the management unit 20 (S64). At this time, the management unit 20 stores the timestamp value of the time when the update is finished for each update request, and transmits the stored timestamp value to the update server unit 40 at the next update request.

상기 업데이트서버부(40)는 상기 업데이트 요청을 수신하면 우선하여 내부 DB에 저장하고 있는 신규 보안정책 정보 또는 업데이트용 보안정책 정보 등이 업데이트되도록 상기 제2통신부(26b)를 매개하여 관리부(20)로 전송한다. When the update server unit 40 receives the update request, the management unit 20 mediates the second communication unit 26b so that new security policy information or update security policy information stored in the internal DB is first updated. To send.

그리고 상기 업데이트가 완료되면 이를 실제 에이전트(10)에 적용하기 위한 탐지/차단 설정명령을 전송해야한다.When the update is completed, the detection / block setting command for applying the update to the real agent 10 should be transmitted.

상기 탐지/차단 설정명령은 상기 관리부(20)에서 업데이트 요청때 함께 전송되는 이전 업데이트시의 타임스탬프 값, 즉 최종 업데이트 시간 정보(A)와 상기 경보서버부(30)로부터 최종적으로 수신한 탐지/차단 설정명령의 타임스탬프 값(B)을 비교한다(S66). 그리고 상기 비교결과 상기 경보서버부(30)의 탐지/차단 설정명령의 타임스탬프(B)가 더 큰 경우(즉 시간이 더 늦은 경우)에만(S68), 상기 탐지/차단 설정명령이 상기 관리부(20)로 전송된다(S70). 따라서 보안정책은 업데이트가 수행되었지만 상기 경보서버부(30)에서 이상상태에 대한 탐지 및 경보정보가 전송되지 않았다면 실제 상기 업데이트된 보안정책은 상기 에이전트(10~10n)에 적용되지 않는다. 그리고 상기 업데이트 요청이 발생되었다 하더라도 신규로 제공된 보안정책 또는 업데이트해야할 보안정책이 없다라면 업데이트는 실시되지 않는다.The detection / block setting command is a time stamp value of a previous update transmitted together with the update request from the management unit 20, that is, the last update time information A and the detection / reception received from the alarm server unit 30 finally. The timestamp value B of the cutoff setting command is compared (S66). And only when the time stamp B of the detection / block setting command of the alarm server unit 30 is larger (that is, later in time) as a result of the comparison, the detection / block setting command is executed by the management unit ( 20) (S70). Therefore, if the security policy is updated but the detection and alarm information for the abnormal state is not transmitted from the alarm server unit 30, the updated security policy is not applied to the agents 10-10n. Even if the update request is generated, the update is not performed unless there is a newly provided security policy or a security policy to be updated.

여기서, 상기 업데이트 요청 발생시에 상기 타임스탬프 값을 비교하고, 상기 경보서버부의 타임스탬프 값이 더 큰 경우에 상기 보안정책 및 탐지/차단 설정명령을 함께 전송할 수도 있다.Here, the timestamp value may be compared when the update request occurs, and when the timestamp value of the alert server is greater, the security policy and the detection / blocking setting command may be transmitted together.

그리고, 전술한 상기 업데이트 요청은 관리자에 의해 미리 설정되며 이는 주기적 또는 랜덤하게 상기 업데이트서버부(40)로 전달된다. In addition, the above-described update request is previously set by the administrator, which is periodically or randomly transmitted to the update server unit 40.

다음, 상기 관리부(20)는 상기 업데이트서버부(40)에서 전송된 보안정책을 데이터베이스(28)에 저장하고, 아울러 상기 탐지/차단 설정명령의 전송여부와 함께 그 탐지/차단 설정명령의 적용여부를 검사한다. 상기 설정명령 전송/적용여부는 관리자에 의해 미리 설정되어있다. 이러한 설정과정은 관리자가 용이하게 할 수 있도록 그래픽유저인터페이스 형태로 지원된다.Next, the management unit 20 stores the security policy transmitted from the update server unit 40 in the database 28, and together with whether or not the detection / block setting command is transmitted, whether the detection / block setting command is applied or not. Check it. The setting command transmission / application is set in advance by the administrator. This configuration process is supported in the form of a graphical user interface for the administrator to facilitate.

상기 관리부(20)는 상기 탐지/차단 설정명령이 전송된 경우, 상기 관리부(20)는 상기 탐지/차단 설정명령이 보안관리자에 의해 적용되었는지를 판단한다. 그리고 판단 결과 적용되어 있으면(S80), 상기 보안정책관리부(24)는 상기 설정명령에 의해 보안정책을 변경하고(S82), 그 변경된 보안정책을 에이전트(10~10n)에 적용한다(S84). 따라서 에이전트(10~10n)는 상기 적용된 보안정책에 의해 특정 공격명을 탐지 및 차단하거나, 바이러스를 치료한다. 이때 상기 관리부(20)는 상기 보안정책을 에이전트(10~10n)에 적용한 경우 그 적용한 시각에 대한 타임스탬프 값을 보안정책 이력정보에 추가/저장한다(S86). 이는 앞서 설명한 바와 같이 관리부(20)에서 업데이트 요청발생시에 동일한 보안정책이 업데이트되고 적용되는 것을 방지하기 위함이다. When the detection / block setting command is transmitted, the management unit 20 determines whether the detection / block setting command has been applied by the security manager. If the determination result is applied (S80), the security policy management unit 24 changes the security policy by the setting command (S82), and applies the changed security policy to the agents 10-10n (S84). Accordingly, the agents 10 to 10n detect and block specific attack names or treat viruses by the applied security policy. In this case, when the security policy is applied to the agents 10 to 10n, the management unit 20 adds / stores the time stamp value for the applied time to the security policy history information (S86). This is to prevent the same security policy from being updated and applied when an update request occurs in the management unit 20 as described above.

다음, 도 3에는 본 발명의 제 2실시 예에 따라 에이전트와 연결된 네트워크 관리부의 구성도가 도시되어 있고, 도 4에는 본 발명의 제 2실시 예에 따라 임의의 에이전트에서 탐지된 공격패킷정보에 대해 모든 에이전트에 자동으로 보안정책을 변경 적용하는 동작 흐름도가 도시되어 있다. 이는 네트워크 관리부(100)(이하 '관리부'라 약칭함)내에서 처리되는 동작이다. Next, FIG. 3 is a block diagram of a network management unit connected to an agent according to the second embodiment of the present invention, and FIG. 4 illustrates attack packet information detected by any agent according to the second embodiment of the present invention. An operation flow diagram for automatically changing and applying a security policy to all agents is shown. This is an operation that is processed in the network manager 100 (hereinafter, abbreviated as "administrator").

도 3을 참조하면, 상기 관리부(100)내에서는 적어도 하나 이상의 에이전트 상호(10~10n)간에 보안정책을 적용하기 위한 기준 임계값과 탐지/차단 설정명령을 설정하는 설정부(102)가 구비된다. 상기 설정동작은 그래픽유저인터페이스 환경에 의해 용이하게 조작 가능하도록 한다.Referring to FIG. 3, the management unit 100 includes a setting unit 102 for setting a reference threshold value and a detection / block setting command for applying a security policy between at least one or more agents 10 to 10n. . The setting operation can be easily operated by the graphic user interface environment.

그리고 상기 에이전트별 또는 다른 네트워크로부터 수신되는 공격/위협정보 를 참조하여 주요 통계데이터를 지속적으로 생성/저장하는 로그관리부(104)가 구비된다. 그리고 상기 최종 저장된 통계데이터와 새로 생성된 통계데이터를 참조하여 특정/불특정 공격명에 대한 증가율과 상기 기준 임계값을 비교하는 비교부(106)와, 상기 비교결과 상기 증가율이 상기 기준 임계값 이상이면 제어부(110)의 제어동작에 따라 상기 모든 에이전트(10~10n)에 적용되는 보안정책을 검사하는 검사부(108)가 구비된다.A log management unit 104 is provided to continuously generate / store main statistical data with reference to the attack / threat information received from each agent or other network. And a comparison unit 106 which compares the increase rate for the specific / unspecified attack name with the reference threshold value with reference to the last stored statistical data and the newly generated statistical data, and when the increase rate is equal to or greater than the reference threshold value. In accordance with the control operation of the controller 110, the inspection unit 108 for inspecting the security policy applied to all the agents (10 ~ 10n) is provided.

그리고 상기 검사결과에 따라 상기 적용된 보안정책에 대해 탐지/차단 설정명령을 선택적으로 설정하여 그 보안정책을 에이전트(10~10n)에 적용하고 상기 보안정책의 변경 이력을 처리하는 제어부(110)가 구비된다. And a control unit 110 for selectively setting a detection / block setting command for the applied security policy according to the inspection result, applying the security policy to the agents 10 to 10n, and processing a change history of the security policy. do.

또 상기 각종 정보를 저장하는 데이터베이스(DB)(120)가 제공된다.There is also provided a database (DB) 120 for storing the various information.

이와 같은 구성에서의 상기 관리부(100)는 복수의 에이전트(10~10n)를 관리하고 있으며, 어느 임의의 에이전트에서 발생되는 위협로그정보에 대해 다른 에이전트에 보안정책을 적용하기 위함이다. The management unit 100 in such a configuration is to manage a plurality of agents (10 ~ 10n), to apply a security policy to other agents for the threat log information generated from any of the agents.

따라서 먼저 보안관리자는 상기 설정부(102)에서 그래픽유저인터페이스를 이용하여 보안정책을 적용할 기준 임계값과 그 탐지/차단 여부를 설정한다. Therefore, the security manager first sets a reference threshold to apply the security policy and whether the detection / blocking is performed using the graphic user interface in the setting unit 102.

상기 기준 임계값과 탐지/차단 여부가 설정된 상태에서 상기 로그관리부(104)는 복수의 에이전트(10~10n)에서 탐지된 위협 로그정보를 참조하여 탑(Top) 공격명, 탑 포트(Top port) 사용량 등의 주요 통계 데이터를 주기적으로 생성하고 DB(120)에 저장한다(S130). In the state where the reference threshold value and detection / blocking are set, the log management unit 104 refers to the threat log information detected by the plurality of agents 10 to 10n, and the top attack name and the top port. Main statistical data such as usage is periodically generated and stored in the DB 120 (S130).

이후, 상기 비교부(106)는 새로운 통계데이터가 생성되면 현재 시각 생성된 통계데이터와 이전 시각에 생성된 마지막 통계데이터와 비교하고, 특정/불특정 공격명에 대한 증가율(C)을 상기 기준 임계값(D)과 비교한다(S132).Thereafter, when the new statistical data is generated, the comparison unit 106 compares the statistical data generated at the present time with the last statistical data generated at the previous time, and compares the increase rate C for the specific / unspecified attack name with the reference threshold value. It compares with (D) (S132).

상기 비교결과, 상기 증가율(C)이 상기 기준 임계값(D)보다 큰 경우(S134의 예), 상기 검사부(108)는 상기 관리부(100)에서 관리되는 모든 에이전트(10~10n)에 적용된 보안정책을 검사한다(S136). As a result of the comparison, when the increase rate C is greater than the reference threshold value D (YES in S134), the inspection unit 108 is applied to all agents 10 to 10n managed by the management unit 100. Check the policy (S136).

그리고, 상기 검사된 보안정책이 임의의 에이전트에 유입되는 심각한 공격정보를 탐지할 수 없도록 비활성 되어있거나, 또는 공격정보를 차단할 수 없도록 설정되어 있는 경우, 상기 제어부(110)는 상기 관리자에 의해 설정된 탐지/차단 여부를 활성화하고 변경된 보안정책을 에이전트(10~10n)에 적용한다. In addition, when the checked security policy is inactive so as not to detect serious attack information flowing into an arbitrary agent or is not set to block attack information, the control unit 110 detects the detection set by the administrator. Enable / disable block and apply changed security policy to agents (10 ~ 10n).

즉 모든 에이전트(10~10n)의 보안정책을 순차적 또는 랜덤하게 조회하고, 탐지여부가 설정되지 않은 경우 탐지설정을 하고(S138)(S149), 차단여부가 설정되지 않은 경우 차단설정을 한다(S140)(S142). 이에 보안정책은 변경되고 에이전트(10~10n)에 적용되어 심각한 공격정보를 탐지함은 물론 그 탐지된 공격정보에 의해 네트워크 서비스되는 것을 차단한다(S142)(S144). That is, the security policy of all agents 10 to 10n is sequentially or randomly inquired, and if detection is not set, detection is set (S138) (S149), and if blocking is not set, block is set (S140). (S142). The security policy is changed and applied to the agents (10 ~ 10n) to detect serious attack information, as well as block the network service by the detected attack information (S142) (S144).

상기 변경된 보안정책 이력은 DB(120)에 저장된다(S146).The changed security policy history is stored in the DB 120 (S146).

만일, 상기 관리부(100)에 의해 보안정책이 특정 에이전트에만 적용되도록 설정되었거나 또는 적용할 필요 없는 에이전트의 보안정책이거나 또는 이미 보안정책에 탐지 및 차단이 설정된 경우에는, 해당 에이전트에 대한 보안정책 검사과정은 스킵(Skip)되고 다음 에이전트의 보안정책을 검사한다.If the security policy is set to be applied only to a specific agent by the management unit 100 or if it is a security policy of an agent that does not need to be applied or if detection and blocking are already set in the security policy, the security policy check process for the agent is performed. Is skipped and the security policy of the next agent is checked.

한편, 상기와 같이 특정/불특정 공격에 대하여 변경된 보안정책을 적용한 다 음, 그 변경된 보안정책의 적용이 필요하지 않은 경우에는 관리자에 의해 소정 시점의 보안정책으로 복원한다(S148)(S150). 이는 공격정보를 탐지하고 차단한 다음, 그 보안정책이 미적용되어질 환경으로 복귀한 경우, 상기 변경된 보안정책이 그대로 적용된다라면 오탐의 가능성이 존재하고, 따라서 네트워크 장애가 발생되는바, 이를 방지하기 위함이다.On the other hand, after applying the changed security policy to the specific / non-specific attack as described above, if the application of the changed security policy is not necessary to restore to the security policy at a predetermined time by the administrator (S148) (S150). This is to detect and block the attack information, and then return to the environment where the security policy is not applied. If the modified security policy is applied as it is, there is a possibility of false positives, and thus a network failure occurs. .

이와 같이 본 발명에서는 에이전트에서 발생되는 위협로그정보에 대하여 탐지 및 그에 대한 보안정책을 신속하게 적용할 수 있다.As described above, the present invention can quickly apply detection and security policy for threat log information generated by an agent.

이상과 같이, 본 발명의 도시된 실시 예를 참고해서 설명되었으나 이는 예시적인 것들에 불과하며, 본 발명이 속하는 기술 분야의 통상지식을 가진 자라면 본 발명의 요지 및 범위에 벗어나지 않으면서도 다양한 변형, 변경 및 균등한 타 실시 예들이 가능하다는 것을 명백하게 알 수 있을 것이다. 따라서 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적인 사상에 의해 정해져야 할 것이다. As described above, it has been described with reference to the illustrated embodiment of the present invention, which is merely exemplary, and those skilled in the art to which the present invention pertains various modifications without departing from the spirit and scope of the present invention. It will be apparent that other variations and equivalent embodiments are possible. Therefore, the true technical protection scope of the present invention will be defined by the technical spirit of the appended claims.

이상에서 설명한 바와 같이 본 발명의 네트워크 보안시스템 및 그 처리방법에 따르면 다음과 같은 효과가 있다.As described above, the network security system and processing method thereof according to the present invention have the following effects.

먼저, 에이전트에서 발생되는 각종 부당한 공격상황에 대하여 자동으로 탐지 및 차단하고 그에 대한 보안정책을 적용할 수 있게 되어 보안관리자의 부재, 취약한 보안망을 통해 공격하는 제로데이 공격과 같은 각종 바이러스 등에 대해 신속하 게 대응할 수 있는 효과가 있다.First, it can automatically detect and block various illegal attack situations generated by the agent, and apply security policy for them, so that it can promptly respond to various viruses such as zero day attacks that attack the vulnerable security network without the security manager. There is an effect that I can cope with.

그리고 임의의 에이전트로 유입되는 위협/공격정보에 대한 보안정책기준을 다른 에이전트와 공유할 수 있어, 위협/공격정보가 확산되는 것을 방지할 수 있다.In addition, the security policy standards for threat / attack information flowing into any agent can be shared with other agents, thereby preventing the spread of threat / attack information.

또 보안정책을 적용할 기준 임계값 및 보안정책 적용여부를 관리자가 그래픽유저인터페이스환경에 의해 용이하게 설정할 수 있고, 보안정책이 필요하지 않는 경우 과거 어느 시점의 보안정책이 적용되도록 조작할 수 있어, 오탐 및 네트워크 장애 발생을 방지하는 효과도 있다. In addition, the administrator can easily set the baseline threshold for applying security policy and whether the security policy is applied by the graphical user interface environment, and when the security policy is not required, it can be manipulated to apply the security policy at some point in the past. It also has the effect of preventing false positives and network failures.

Claims (22)

보안시스템에 있어서,In the security system, 시스템에 접속하는 공격 패킷 정보의 증가율과 기 설정된 기준 임계값을 비교하여 탐지 및 차단을 위한 설정명령을 전송하는 예/경보 서버, Example / alarm server, which transmits the setting command for detection and blocking by comparing the increase rate of attack packet information accessing the system with a preset reference threshold value, 상기 설정명령을 수신하고 업데이트 요청 발생시 보안정책과 함께 상기 설정명령을 전송하는 업데이트 서버, An update server for receiving the setting command and transmitting the setting command together with a security policy when an update request occurs; 상기 보안정책의 업데이트 수행 및 상기 설정명령에 따라 상기 보안정책을 적용하여 상기 공격 패킷을 탐지/차단하도록 제어하는 관리부를 포함하되,Including the management unit for controlling the detection and blocking of the attack packet by applying the security policy in accordance with the update of the security policy and the setting command, 상기 예/경보 서버와 업데이트 서버는 상기 증가율이 상기 기준 임계값보다 클 경우에만 세션(session)이 설정되는 것을 특징으로 하는 네트워크 보안시스템.The example / alarm server and the update server, wherein a session is established only if the increase rate is greater than the reference threshold. 네트워크로부터 유입되는 공격 패킷 정보를 검사하는 적어도 하나 이상의 에이전트, At least one agent for inspecting attack packet information coming from the network, 상기 공격 패킷 정보에 대한 통계데이터를 생성하고, 이미 저장된 마지막 통계데이터와의 증가율과 기준 임계값과의 비교에 따라 탐지 및 차단을 위한 설정명령을 전송하는 예/경보 서버,An example / alarm server that generates statistical data on the attack packet information and transmits a setting command for detection and blocking according to a comparison between an increase rate with the last stored statistical data and a reference threshold value; 상기 증가율이 상기 기준 임계값보다 클 경우에만 상기 예/경보 서버와 연결되어 상기 설정명령을 수신하고, 업데이트 요청이 수신되면 미리 저장된 보안정책과 상기 설정명령을 전송하는 업데이트 서버,An update server connected to the example / alarm server to receive the setting command only when the increase rate is greater than the reference threshold value, and transmitting a pre-stored security policy and the setting command when an update request is received; 상기 보안정책을 전송받아 업데이트하고, 상기 설정명령에 따라 상기 업데이트된 보안정책을 적용하여 상기 공격 패킷을 탐지/차단하도록 제어하는 관리부를 포함하여 구성되는 네트워크 보안시스템.And a management unit configured to receive and update the security policy, and control to detect / block the attack packet by applying the updated security policy according to the setting command. 제 1항 또는 제 2항에 있어서,The method according to claim 1 or 2, 상기 관리부는,The management unit, 상기 업데이트 서버에 업데이트 요청하고, Request an update to the update server, 상기 보안정책을 제공받아 업데이트 수행하고, 상기 업데이트 수행시마다 업데이트 종료 시간정보의 타임스탬프 값을 생성하고 다음 업데이트 요청시에 상기 저장된 종료 시간정보의 타임스탬프 값을 상기 업데이트 서버에 전송하는 것을 특징으로 하는 네트워크 보안시스템.Receive the security policy, perform an update, generate a timestamp value of update end time information every time the update is performed, and transmit a timestamp value of the stored end time information to the update server at the next update request Network security system. 제 3항에 있어서,The method of claim 3, wherein 상기 관리부는, The management unit, 상기 보안정책의 업데이트가 종료되면 상기 설정명령의 전송 여부를 검사하고, 상기 설정명령이 전송된 경우에만 상기 보안정책을 변경하여 상기 공격 패킷을 탐지/차단하는 보안정책관리부를 더 포함하여 구성되는 것을 특징으로 하는 네트워크 보안시스템.When the update of the security policy is finished, the security policy management unit for checking whether or not the transmission of the setting command is transmitted, and changing the security policy only when the setting command is transmitted to detect / block the attack packet. Characterized by a network security system. 제 4항에 있어서,The method of claim 4, wherein 상기 관리부는, The management unit, 상기 보안정책 적용 시간에 대한 타임스탬프 값을 보안정책 이력정보에 추가 저장하는 것을 특징으로 하는 네트워크 보안시스템.And storing a timestamp value for the security policy application time in security policy history information. 제 3항에 있어서,The method of claim 3, wherein 상기 업데이트 서버는,The update server, 상기 보안정책 및 설정명령을 저장하는 저장부,A storage unit for storing the security policy and a setting command; 상기 관리부의 업데이트 요청에 따라 수신한 이전 업데이트 시간정보의 타임스탬프 값과 상기 설정명령 수신시의 시간정보에 대한 타임스탬프 값을 비교하는 비교부,A comparison unit for comparing a timestamp value of previous update time information received according to an update request of the management unit with a timestamp value for time information when the setting command is received; 상기 비교결과 상기 설정명령 시간정보의 타임스탬프 값이 더 큰 경우 업데이트 대상인 보안정책과 설정명령을 상기 관리부로 전송하는 전송부를 포함하여 구성되는 것을 특징으로 하는 네트워크 보안시스템.And a transmission unit for transmitting a security policy and a setting command to be updated to the management unit when the time stamp value of the setting command time information is larger as a result of the comparison. 제 6항에 있어서,The method of claim 6, 상기 업데이트 서버에는, 신규 보안정책 및 업데이트 대상 보안정책이 미리 저장되어 있는 것을 특징으로 하는 네트워크 보안시스템.The update server, the network security system, characterized in that the new security policy and the update target security policy is stored in advance. 적어도 하나 이상의 에이전트 각각에 대하여 보안정책을 적용하기 위한 기준 임계값과 적용여부를 설정하는 설정부,A setting unit for setting a reference threshold and whether to apply the security policy to each of at least one agent, 상기 에이전트별 또는 다른 네트워크로부터 수신되는 공격 패킷 정보를 참조하여 주요 통계데이터를 지속적으로 생성/저장하는 로그관리부,Log management unit for continuously generating / storing the main statistical data with reference to the attack packet information received from each agent or other network, 상기 최종 저장된 통계데이터와 새로 생성된 통계데이터를 참조하여 특정/불특정 공격명에 대한 증가율과 상기 기준 임계값을 비교하는 비교부,A comparison unit comparing the reference threshold with an increase rate for a specific / unspecified attack name by referring to the finally stored statistical data and newly generated statistical data; 상기 비교결과 상기 증가율이 상기 기준 임계값 이상이면 상기 모든 에이전트에 적용되는 보안정책을 검사하는 검사부, A inspection unit for inspecting a security policy applied to all agents when the comparison result is greater than or equal to the reference threshold value; 상기 검사결과 임의의 에이전트에 적용된 보안정책이 상기 공격 패킷에 대한 탐지/차단을 할 수 없도록 설정된 경우 탐지 및 차단을 위한 설정명령을 자동 활성화하여 해당 에이전트에 적용하고 상기 공격 패킷을 탐지/차단하는 제어부를 포함하여 구성되는 네트워크 관리부가 구비된 네트워크 보안시스템.If the security policy applied to any agent is set to be unable to detect / block the attack packet, the control unit automatically activates a setting command for detection and blocking to apply to the agent and detects / blocks the attack packet. Network security system provided with a network management unit configured to include. 제 1항, 제 2항 또는 제 8항 중 어느 한 항에 있어서,The method according to any one of claims 1, 2 or 8, 상기 관리부는 상기 기준 임계값과 상기 보안정책 적용여부를 설정할 수 있는 그래픽유저인터페이스(GUI) 환경이 제공되는 것을 특징으로 하는 네트워크 보안시스템.The management unit is a network security system, characterized in that provided with a graphical user interface (GUI) environment for setting the reference threshold and whether the security policy is applied. 제 1항, 제 2항 또는 제 8항 중 어느 한 항에 있어서,The method according to any one of claims 1, 2 or 8, 상기 공격 패킷 정보는 'Top N 공격명', 'Top 포트 사용량', '소스 IP', '목적 IP' 인 것을 특징으로 하는 네트워크 보안시스템.The attack packet information includes 'Top N attack name', 'Top port usage', 'source IP', and 'destination IP'. 제 8항에 있어서,The method of claim 8, 상기 제어부는 상기 에이전트에 보안정책을 적용하는 경우 상기 보안정책의 적용 및 변경 이력 정보를 모든 에이전트에 대해 반복 수행하는 것을 특징으로 하는 네트워크 보안시스템.When the control unit applies the security policy to the agent, the network security system, characterized in that to repeat the application of the security policy and change history information for all agents. 제 8항에 있어서,The method of claim 8, 상기 제어부는 상기 보안정책이 특정 에이전트에만 적용되도록 설정된 경우 상기 설정된 에이전트 이외의 다른 에이전트에 대해서 보안정책을 계속하여 검사하는 것을 특징으로 하는 네트워크 보안시스템.The control unit continuously checks the security policy for agents other than the set agent when the security policy is set to apply only to a specific agent. 제 8항에 있어서,The method of claim 8, 상기 제어부는 상기 보안정책이 자동 적용된 다음에 특정 시점의 보안정책으로 복구하도록 제어하는 것을 특징으로 하는 네트워크 보안시스템.The control unit controls to restore to the security policy of a specific time after the security policy is automatically applied. (a) 공격 패킷 정보를 검사하고 통계 데이터를 생성하는 단계,(a) inspecting attack packet information and generating statistical data, (b) 상기 생성된 통계 데이터와 이전 통계 데이터 상호간의 증가율과 미리 설정된 기준 임계값을 비교하는 단계,(b) comparing an increase rate between the generated statistical data and previous statistical data and a preset reference threshold value; (c) 상기 비교 결과, 통계 데이터의 증가율이 더 큰 경우에만 보안정책을 제공하는 서버와 세션을 설정하고, 상기 보안정책을 적용하여 공격 패킷을 탐지 및 차단하는 설정명령을 상기 서버로 전송하는 단계를 포함하여 구성되는 네트워크 보 안시스템에서의 보안정책 처리방법.(c) establishing a session with a server providing a security policy only when the rate of increase of the statistical data is greater, and transmitting a setting command to the server to detect and block an attack packet by applying the security policy; Security policy processing method in a network security system configured to include. (d) 네트워크 관리부로부터 업데이트 요청을 대기하는 단계,(d) waiting for an update request from the network management unit, (e) 상기 업데이트 요청시 이전 업데이트 수행시의 타임스탬프 값과 공격 패킷의 탐지 및 차단을 위한 설정명령의 타임스탬프 값을 비교하는 단계,(e) comparing the timestamp value of the previous update when performing the update request with the timestamp value of a setting command for detecting and blocking an attack packet; (f) 상기 비교 결과, 상기 설정명령의 타임스탬프 값이 더 큰 경우에만, 신규 보안정책 또는 업데이트할 보안정책과 상기 설정명령을 상기 네트워크 관리부에 전송하는 단계,(f) transmitting a new security policy or a security policy to be updated and the setting command to the network management unit only when the timestamp value of the setting command is larger as a result of the comparison; (g) 상기 설정명령에 따라 상기 보안정책을 변경하고 상기 공격 패킷정보를 탐지/차단하는 단계를 포함하여 구성되는 네트워크 보안시스템에서의 보안정책 처리방법.(g) modifying the security policy according to the setting command and detecting / blocking the attack packet information. 제 15항에 있어서,The method of claim 15, 상기 (e) 단계의 업데이트 요청시마다 업데이트 종료 시각의 타임스탬프 값이 생성/저장되고, 다음 업데이트 요청시에 상기 저장된 타임스탬프 값이 함께 전송되는 것을 특징으로 하는 네트워크 보안시스템에서의 보안정책 처리방법.Each time the update request of step (e), the timestamp value of the update end time is generated and stored, and the stored timestamp value is transmitted together with the next update request. 제 15항에 있어서,The method of claim 15, 상기 (f) 단계는, 상기 보안정책의 업데이트가 종료된 후에 상기 설정명령의 전송 여부가 검사되고, 상기 설정명령의 적용 여부를 판단하는 단계가 더 포함되는 것을 특징으로 하는 네트워크 보안시스템에서의 보안정책 처리방법.In the step (f), after the update of the security policy is finished, whether or not the setting command is transmitted is checked, and determining whether or not the setting command is applied is secured in the network security system. How policy is handled. (h) 다수의 에이전트로부터 공격 패킷 정보를 수신하여 통계데이터를 지속적으로 생성/저장하는 단계,(h) continuously generating / storing statistical data by receiving attack packet information from a plurality of agents, (i) 새로 생성된 통계데이터와 저장된 이전 통계데이터를 비교하는 단계,(i) comparing newly generated statistical data with previously stored statistical data, (j) 상기 통계데이터 상호간의 증가율이 미리 설정한 기준 임계값을 초과하는 경우, 모든 에이전트에 적용된 보안정책을 검사하는 단계,(j) checking the security policy applied to all agents when the increase rate between the statistical data exceeds a preset threshold; (k) 상기 에이전트에 적용된 보안정책에 대해 탐지/차단상태의 설정 여부를 판단하는 단계,(k) determining whether a detection / blocking state is set for the security policy applied to the agent; (l) 상기 판단 결과, 탐지/차단설정이 비활성상태인 보안정책인 경우 이를 활성화시키고 에이전트에 적용하여 공격 패킷을 탐지/차단하는 단계가 포함되어 구성되는 것을 특징으로 하는 네트워크 보안시스템에서의 보안정책 처리방법.(l) The security policy in the network security system comprising the step of activating the detection / blocking setting is inactive if the detection result, and detecting and blocking the attack packet by applying to the agent Treatment method. 제 18항에 있어서,The method of claim 18, 상기 보안정책 적용 및 변경 이력 정보를 저장하는 단계(m)가 더 포함되는 것을 특징으로 하는 네트워크 보안시스템에서의 보안정책 처리방법.And (m) storing the security policy application and change history information. 제 18항 또는 제 19항에 있어서,The method of claim 18 or 19, 상기 (j) 단계에서, 특정 에이전트에만 상기 보안정책이 적용되거나, 상기 보안정책에 탐지/차단명령이 이미 설정된 경우에는, 그 에이전트에 대한 보안정책 검사는 미실시되는 것을 특징으로 하는 네트워크 보안시스템에서의 보안정책 처리방법.In the step (j), when the security policy is applied only to a specific agent or a detection / blocking command is already set in the security policy, the security policy check for the agent is not performed. How to handle security policy. 제 19항에 있어서,The method of claim 19, 상기 변경된 보안정책을 특정 시점 이전의 변경 전 보안정책으로 복원하는 단계(n)를 더 포함하여 구성되는 것을 특징으로 하는 네트워크 보안시스템에서의 보안정책 처리방법.And restoring (n) the changed security policy to a security policy before the change before the specific time. 제 14항, 제 15항, 제 18항, 제 19항 또는 제 21항 중 어느 한 항에 있어서,The method according to any one of claims 14, 15, 18, 19 or 21, 상기 설정명령의 적용여부와 기준 임계값은 그래픽유저인터페이스(GUI) 환경에 의해 조작되는 것을 특징으로 하는 네트워크 보안시스템에서의 보안정책 처리방법.Whether or not the setting command is applied and the threshold value is controlled by a graphical user interface (GUI) environment.
KR1020070011714A 2007-02-05 2007-02-05 Network security system and method for process thereof KR101343693B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070011714A KR101343693B1 (en) 2007-02-05 2007-02-05 Network security system and method for process thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070011714A KR101343693B1 (en) 2007-02-05 2007-02-05 Network security system and method for process thereof

Publications (2)

Publication Number Publication Date
KR20080073112A true KR20080073112A (en) 2008-08-08
KR101343693B1 KR101343693B1 (en) 2013-12-20

Family

ID=39883037

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070011714A KR101343693B1 (en) 2007-02-05 2007-02-05 Network security system and method for process thereof

Country Status (1)

Country Link
KR (1) KR101343693B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180046367A (en) * 2016-10-27 2018-05-08 폭스바겐 악티엔 게젤샤프트 Method for managing a first communication connection, system comprising a first communication partner and a second communication partner as well as vehicle
KR20190065862A (en) 2017-12-04 2019-06-12 주식회사 윈스 Network security policy management system and its method
KR20230099501A (en) * 2021-12-27 2023-07-04 (주)하몬소프트 Apparatus for endpoint detection and response based on ai behavior analysis

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018079867A1 (en) * 2016-10-24 2018-05-03 주식회사 아이티스테이션 Restoration method using network restoration system in advanced persistent threat environment

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3643087B2 (en) 2002-03-28 2005-04-27 日本電信電話株式会社 Communication network, router and distributed denial-of-service attack detection protection method
JP4259183B2 (en) 2003-05-28 2009-04-30 学校法人千葉工業大学 Information processing system, information processing apparatus, program, and method for detecting communication abnormality in communication network

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180046367A (en) * 2016-10-27 2018-05-08 폭스바겐 악티엔 게젤샤프트 Method for managing a first communication connection, system comprising a first communication partner and a second communication partner as well as vehicle
KR20190065862A (en) 2017-12-04 2019-06-12 주식회사 윈스 Network security policy management system and its method
KR20230099501A (en) * 2021-12-27 2023-07-04 (주)하몬소프트 Apparatus for endpoint detection and response based on ai behavior analysis

Also Published As

Publication number Publication date
KR101343693B1 (en) 2013-12-20

Similar Documents

Publication Publication Date Title
CN108353079B (en) Detection of cyber threats against cloud-based applications
US10187422B2 (en) Mitigation of computer network attacks
US7539857B2 (en) Cooperative processing and escalation in a multi-node application-layer security system and method
US8881259B2 (en) Network security system with customizable rule-based analytics engine for identifying application layer violations
US6775657B1 (en) Multilayered intrusion detection system and method
US9928359B1 (en) System and methods for providing security to an endpoint device
EP3289476A1 (en) Computer network security system
JP2017204722A (en) SDN controller
CN108183921B (en) System and method for information security threat interruption via border gateway
CN117155678A (en) Computer network engineering safety control system
Dondossola et al. Effects of intentional threats to power substation control systems
KR101343693B1 (en) Network security system and method for process thereof
US8321369B2 (en) Anti-intrusion method and system for a communication network
Mahlous Threat model and risk management for a smart home iot system
US20160149933A1 (en) Collaborative network security
Patil et al. Analysis of distributed intrusion detection systems using mobile agents
CN113206852A (en) Safety protection method, device, equipment and storage medium
JP7150425B2 (en) COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND PROGRAM
KR20200116773A (en) Cyber inspection system
Phan et al. Threat detection and mitigation with MonB5G components in the aLTEr scenario
JP2018129712A (en) Network monitoring system
JP7290168B2 (en) Management device, network monitoring system, determination method, communication method, and program
Sindhu et al. Intelligent multi-agent based genetic fuzzy ensemble network intrusion detection
Uemura et al. Optimal Security Patch Management Policies Maximizing System Availability.
JP2005332152A (en) System, server, method and program for detecting and rejecting illicit access

Legal Events

Date Code Title Description
N231 Notification of change of applicant
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160928

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20171011

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20181008

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20191007

Year of fee payment: 7