KR20080073112A - Network security system and method for process thereof - Google Patents
Network security system and method for process thereof Download PDFInfo
- Publication number
- KR20080073112A KR20080073112A KR1020070011714A KR20070011714A KR20080073112A KR 20080073112 A KR20080073112 A KR 20080073112A KR 1020070011714 A KR1020070011714 A KR 1020070011714A KR 20070011714 A KR20070011714 A KR 20070011714A KR 20080073112 A KR20080073112 A KR 20080073112A
- Authority
- KR
- South Korea
- Prior art keywords
- security policy
- update
- setting command
- management unit
- security
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
도 1은 본 발명의 제 1실시 예에 따른 네트워크 보안시스템의 구성도.1 is a block diagram of a network security system according to a first embodiment of the present invention.
도 2는 본 발명의 제 1실시 예에 따라 네트워크 보안시스템에서의 보안처리 흐름도.2 is a flowchart illustrating a security processing in a network security system according to a first embodiment of the present invention.
도 3은 본 발명의 제 2실시 예에 따라 에이전트와 연결된 네트워크 관리부의 구성도.3 is a block diagram of a network management unit connected to an agent according to a second embodiment of the present invention.
도 4는 본 발명의 제 2실시 예에 따라 임의의 에이전트에서 탐지된 공격패킷정보에 대해 모든 에이전트에 자동으로 보안정책을 변경 적용하는 동작 흐름도.4 is a flowchart illustrating an operation of automatically changing and applying a security policy to all agents with respect to attack packet information detected by an agent according to a second embodiment of the present invention.
*도면의 주요 부분에 대한 부호의 설명** Description of the symbols for the main parts of the drawings *
10 : 에이전트 20 : 관리부10: agent 20: management
22 : 로그관리부 24 : 보안정책관리부22: log management unit 24: security policy management unit
26 : 통신부 28 : 데이터베이스부26: communication unit 28: database unit
30 : 경보서버부 40 : 업데이트서버부30: alarm server unit 40: update server unit
본 발명은 네트워크 보안시스템에 관한 것으로서, 특히 보안관리자의 개입 없이 네트워크 보안 위협에 적절하게 대응할 수 있도록 하는 네트워크 보안시스템 및 그 처리방법에 관한 것이다.The present invention relates to a network security system, and more particularly, to a network security system and a method for processing the same, which can appropriately respond to network security threats without intervention of a security administrator.
네트워크 보호를 위한 보안시스템으로 침입 방지 시스템(Intrusion Prevention System : IPS), 침입 탐지 시스템(Intrusion Detecting System : IDS) 등이 활용되고 있다. 상기 IPS 및 IDS는 네트워크 트래픽을 감시하여 잠재적 위협을 인지한 후 이에 즉각적인 대응을 하기 위한 네트워크 보안 기술 중 예방적 차원의 접근방식에 해당한다. Intrusion Prevention System (IPS) and Intrusion Detecting System (IDS) are used as security systems for network protection. The IPS and IDS correspond to a preventive approach among network security technologies for monitoring network traffic and recognizing potential threats and reacting immediately.
통상 공격자가 일단 내부의 권한을 획득하고 나면 시스템의 악의적인 이용이 매우 빠르게 진행될 수 있다. 따라서 대다수의 보안시스템은 네트워크 보안 관리자가 설정해 놓은 일련의 규칙에 기반을 두고 즉각적인 행동을 취할 수 있는 능력을 가지도록 설계된다. 이를 위하여 상기 보안시스템은 어떤 한 패킷을 검사하여 그것이 부당한 패킷이라고 판단되면, 해당 IP주소 또는 포트에서 들어오는 모든 트래픽을 봉쇄하는 한편, 합법적인 트래픽에 대해서는 아무런 방해나 서비스 지연 없이 수신측에 전달한다. Normally, once an attacker has gained internal privileges, the malicious use of the system can proceed very quickly. Therefore, most security systems are designed to have the ability to take immediate action based on a set of rules set by the network security administrator. To this end, the security system inspects a packet and if it is determined that it is an invalid packet, blocks all incoming traffic from the corresponding IP address or port, and forwards the legitimate traffic to the receiver without any interruption or service delay.
이와 같은 보안시스템에 의하여 부당한 공격 패킷에 대처하고 있지만, 현재 보안시스템은 긴급한 보안정책 적용이 필요한 경우에는 이를 바로 적용할 수 없는 문제가 있다. Although such a security system is dealing with an unfair attack packet, the current security system has a problem that can not be applied immediately when an urgent security policy needs to be applied.
즉 현재의 보안시스템에는 조기 예보/경보 서버가 구축되어 외부 공격에 대 해 탐지하고 적절한 보안정책을 적용하고 있지만, 슬래머 웜(Slammer Worm)과 같이 단시간내에 전세계로 확산되는 공격에 대해서는 전혀 대응할 수 없는 문제가 있다. In other words, the current security system is equipped with an early forecast / alarm server to detect external attacks and apply appropriate security policies, but cannot respond to attacks that spread worldwide in a short time, such as the Slammer Worm. there is a problem.
예컨대, 공격이 발생할 경우 위협 정보를 네트워크 보안 관리자에게 문자메시지(SMS) 또는 전자우편(E-mail) 등의 방법으로 전송하고 그에 대하여 대응하도록 하기 때문에 대응 속도가 위협의 확산속도보다 현저히 떨어지며, 특히 보안관리자가 부재할 경우 차단 등과 같은 즉각적인 대응을 실행할 수 없다. 이 경우 제로데이 공격(Zero-day Attack)과 같이 보안패치가 발표되기 전에 공격이 이루어지는 해킹이나 악성코드 공격인 경우 대응불가로 인해 피해가 광범위하게 확산될 수밖에 없다.For example, when an attack occurs, threat information is transmitted to the network security administrator by text message (SMS) or email (e-mail) and responded to it, so the response speed is significantly lower than the spread of the threat. If the security manager is absent, immediate response such as blocking cannot be executed. In this case, in case of hacking or malicious code attack that takes place before the security patch is released, such as a zero-day attack, the damage cannot but be spread.
따라서 본 발명은 상기한 문제점을 해결하기 위하여 안출된 것으로서, 보안관리자의 개입 없이도 공격 위협에 대해 자동화된 보안정책을 제공하여 네트워크 보안 위협에 대응하도록 하는 네트워크 보안시스템 및 그 처리방법을 제공함에 목적이 있다.Accordingly, an object of the present invention is to provide a network security system and a method for processing the same, by providing an automated security policy against an attack threat without the intervention of a security administrator. have.
또한 본 발명의 다른 목적은 임의의 에이전트의 위협 로그정보를 기반으로 변경된 보안정책을 다른 에이전트에 적용하고자 함에 있다.In addition, another object of the present invention is to apply a changed security policy to other agents based on the threat log information of any agent.
또한 본 발명의 또 다른 목적은 변경된 보안정책을 적용한 다음에 특정 시점 이전의 보안정책으로 복원할 수 있도록 함에 있다.In addition, another object of the present invention is to be able to restore the security policy before a specific point in time after applying the changed security policy.
상기한 목적을 달성하기 위한 본 발명의 특징에 따른 네트워크 보안시스템은, 보안시스템에 있어서, 시스템에 접속하는 공격 패킷 정보의 증가율과 기 설정된 기준 임계값을 비교하여 탐지 및 차단을 위한 설정명령을 전송하는 예/경보 서버, 상기 설정명령을 수신하고 업데이트 요청 발생시 보안정책과 함께 상기 설정명령을 전송하는 업데이트 서버, 상기 보안정책의 업데이트 수행 및 상기 설정명령에 따라 상기 보안정책을 적용하여 상기 공격 패킷을 탐지/차단하도록 제어하는 관리부를 포함하되, 상기 예/경보 서버와 업데이트 서버는 상기 증가율이 상기 기준 임계값보다 클 경우에만 세션(session)이 설정된다.A network security system according to an aspect of the present invention for achieving the above object, in the security system, compares the increase rate of attack packet information to access the system with a predetermined reference threshold value and transmits a setting command for detection and blocking Example / alarm server, an update server that receives the setting command and transmits the setting command together with a security policy when an update request occurs, performing the update of the security policy, and applying the security policy according to the setting command to remove the attack packet. And a management unit for controlling detection / blocking, wherein the example / alarm server and the update server establish a session only when the increase rate is greater than the reference threshold.
또한 본 발명의 다른 특징에 따르면, 네트워크로부터 유입되는 공격 패킷 정보를 검사하는 적어도 하나 이상의 에이전트, 상기 공격 패킷 정보에 대한 통계데이터를 생성하고, 이미 저장된 마지막 통계데이터와의 증가율과 기준 임계값과의 비교에 따라 탐지 및 차단을 위한 설정명령을 전송하는 예/경보 서버, 상기 증가율이 상기 기준 임계값보다 클 경우에만 상기 예/경보 서버와 연결되어 상기 설정명령을 수신하고, 업데이트 요청이 수신되면 미리 저장된 보안정책과 상기 설정명령을 전송하는 업데이트 서버, 상기 보안정책을 전송받아 업데이트하고, 상기 설정명령에 따라 상기 업데이트된 보안정책을 적용하여 상기 공격 패킷을 탐지/차단하도록 제어하는 관리부를 포함하여 구성된다.According to another aspect of the present invention, at least one agent for inspecting attack packet information flowing from the network, generating statistical data for the attack packet information, and the rate of increase with the last stored statistical data and the reference threshold value Example / alarm server for transmitting the setting command for detection and blocking according to the comparison, when the increase rate is greater than the reference threshold, connected to the example / alarm server to receive the setting command, and when an update request is received in advance An update server for transmitting the stored security policy and the setting command, and receiving and updating the security policy, and applying the updated security policy according to the setting command to control the detection and blocking of the attack packet. do.
상기 관리부는, 상기 업데이트 서버에 업데이트 요청하고, 상기 보안정책을 제공받아 업데이트 수행하고, 상기 업데이트 수행시마다 업데이트 종료 시간정보의 타임스탬프 값을 생성하고 다음 업데이트 요청시에 상기 저장된 종료 시간정보의 타임스탬프 값을 상기 업데이트 서버에 전송한다.The management unit requests an update from the update server, receives the security policy, performs an update, generates a timestamp value of update end time information each time the update is performed, and timestamps of the stored end time information at the next update request. Send a value to the update server.
또 상기 관리부는 상기 보안정책의 업데이트가 종료되면 상기 설정명령의 전송 여부를 검사하고, 상기 설정명령이 전송된 경우에만 상기 보안정책을 변경하여 상기 공격 패킷을 탐지/차단하는 보안정책관리부를 더 포함하여 구성된다.The management unit may further include a security policy management unit that checks whether the setting command is transmitted when the update of the security policy is completed, and detects / blocks the attack packet by changing the security policy only when the setting command is transmitted. It is configured by.
또 상기 관리부는 상기 보안정책 적용 시간에 대한 타임스탬프 값을 보안정책 이력정보에 추가 저장하는 것이 바람직하다.In addition, the management unit preferably stores the time stamp value for the security policy application time in the security policy history information.
그리고 상기 업데이트 서버는 상기 보안정책 및 설정명령을 저장하는 저장부, 상기 관리부의 업데이트 요청에 따라 수신한 이전 업데이트 시간정보의 타임스탬프 값과 상기 설정명령 수신시의 시간정보에 대한 타임스탬프 값을 비교하는 비교부, 상기 비교결과 상기 설정명령 시간정보의 타임스탬프 값이 더 큰 경우 업데이트 대상인 보안정책과 설정명령을 상기 관리부로 전송하는 전송부를 포함하여 구성된다.The update server may further include a storage unit storing the security policy and a setting command, and comparing a time stamp value of previous update time information received according to an update request of the management unit with a time stamp value of time information at the time of receiving the setting command. And a comparison unit, and a transmission unit for transmitting a security policy and a setting command to be updated to the management unit when a time stamp value of the setting command time information is larger as a result of the comparison.
또 상기 업데이트 서버에는 신규 보안정책 및 업데이트 대상 보안정책이 미리 저장되어 있다.In addition, a new security policy and an update target security policy are stored in advance in the update server.
또한 본 발명의 또 다른 특징에 따르면, 적어도 하나 이상의 에이전트 각각에 대하여 보안정책을 적용하기 위한 기준 임계값과 적용여부를 설정하는 설정부, 상기 에이전트별 또는 다른 네트워크로부터 수신되는 공격 패킷 정보를 참조하여 주요 통계데이터를 지속적으로 생성/저장하는 로그관리부, 상기 최종 저장된 통계데이터와 새로 생성된 통계데이터를 참조하여 특정/불특정 공격명에 대한 증가율과 상기 기준 임계값을 비교하는 비교부, 상기 비교결과 상기 증가율이 상기 기준 임계값 이상이면 상기 모든 에이전트에 적용되는 보안정책을 검사하는 검사부, 상기 검사결과 임의의 에이전트에 적용된 보안정책이 상기 공격 패킷에 대한 탐지/차단을 할 수 없도록 설정된 경우 탐지 및 차단을 위한 설정명령을 자동 활성화하여 해당 에이전트에 적용하고 상기 공격 패킷을 탐지/차단하는 제어부를 포함하여 구성된다.In addition, according to another feature of the present invention, a reference threshold for applying a security policy to each of at least one or more agents and the setting unit for setting whether or not, by referring to the attack packet information received from each agent or other network Log management unit for continuously generating / storing the main statistical data, a comparison unit for comparing the reference threshold value and the increase rate for the specific / unspecified attack name with reference to the last stored statistical data and the newly generated statistical data, the comparison result If the increase rate is greater than or equal to the reference threshold value, the inspection unit inspects the security policy applied to all the agents, and if the security policy applied to any agent is set to be unable to detect / block the attack packet, the detection and blocking is performed. Automatically activate the configuration command for the appropriate agent And it is configured to include a control unit for detection / prevention of the attack packets.
상기 관리부는 상기 기준 임계값과 상기 보안정책 적용여부를 설정할 수 있는 그래픽유저인터페이스(GUI) 환경인 것이 바람직하다.The management unit is preferably a graphical user interface (GUI) environment that can set the reference threshold and whether the security policy is applied.
그리고 상기 공격 패킷 정보는 'Top N 공격명', 'Top 포트 사용량', '소스 IP', '목적 IP' 등이다.The attack packet information includes 'Top N attack name', 'Top port usage', 'source IP', and 'target IP'.
그리고 상기 제어부는 상기 에이전트에 보안정책을 적용하는 경우 상기 보안정책의 적용 및 변경 이력 정보를 모든 에이전트에 대해 반복 수행하게 된다.When the security policy is applied to the agent, the controller repeats the application and change history information of the security policy for all agents.
또 상기 제어부는 상기 보안정책이 특정 에이전트에만 적용되도록 설정된 경우 상기 설정된 에이전트 이외의 다른 에이전트에 대해서 보안정책을 계속하여 검사한다.When the security policy is set to apply to only a specific agent, the controller continuously checks the security policy for agents other than the set agent.
또 상기 제어부는 상기 보안정책이 자동 적용된 다음에 특정 시점의 보안정책으로 복구하도록 제어한다.The control unit controls to recover the security policy at a specific time point after the security policy is automatically applied.
또한 본 발명의 다른 특징에 따른 보안정책 처리방법은, (a) 공격 패킷 정보를 검사하고 통계 데이터를 생성하는 단계, (b) 상기 생성된 통계 데이터와 이전 통계 데이터 상호간의 증가율과 미리 설정된 기준 임계값을 비교하는 단계, (c) 상 기 비교 결과, 통계 데이터의 증가율이 더 큰 경우에만 보안정책을 제공하는 서버와 세션을 설정하고, 상기 보안정책을 적용하여 공격 패킷을 탐지 및 차단하는 설정명령을 상기 서버로 전송하는 단계를 포함하여 구성된다.In addition, the security policy processing method according to another aspect of the present invention, (a) checking the attack packet information and generating statistical data, (b) the increase rate between the generated statistical data and the previous statistical data and a predetermined reference threshold Comparing the values, (c) a setting command for establishing a session with a server providing a security policy only when the statistical data growth rate is greater and applying the security policy to detect and block an attack packet. It is configured to include the step of transmitting to the server.
또한 본 발명의 또 다른 특징에 따르면, (d) 네트워크 관리부로부터 업데이트 요청을 대기하는 단계, (e) 상기 업데이트 요청시 이전 업데이트 수행시의 타임스탬프 값과 공격 패킷의 탐지 및 차단을 위한 설정명령의 타임스탬프 값을 비교하는 단계, (f) 상기 비교 결과, 상기 설정명령의 타임스탬프 값이 더 큰 경우에만, 신규 보안정책 또는 업데이트할 보안정책과 상기 설정명령을 상기 네트워크 관리부에 전송하는 단계, (g) 상기 설정명령에 따라 상기 보안정책을 변경하고 상기 공격 패킷정보를 탐지/차단하는 단계를 포함하여 구성된다.According to still another aspect of the present invention, (d) waiting for an update request from the network management unit, (e) a timestamp value at the time of performing a previous update and a setting command for detecting and blocking an attack packet upon the update request. Comparing a timestamp value, (f) transmitting a new security policy or a security policy to be updated and the setting command to the network management unit only when the timestamp value of the setting command is larger as a result of the comparison; g) changing the security policy according to the setting command and detecting / blocking the attack packet information.
상기 (e) 단계의 업데이트 요청시마다 업데이트 종료 시각의 타임스탬프 값이 생성/저장되고, 다음 업데이트 요청시에 상기 저장된 타임스탬프 값이 함께 전송되는 것이 바람직하다.Each time the update request of step (e), the timestamp value of the update end time is generated and stored, and the stored timestamp value is transmitted together with the next update request.
상기 (f) 단계는, 상기 보안정책의 업데이트가 종료된 후에 상기 설정명령의 전송 여부가 검사되고, 상기 설정명령의 적용 여부를 판단하는 단계가 더 포함된다.In the step (f), after the update of the security policy is finished, whether or not the setting command is transmitted is checked, and further comprising determining whether the setting command is applied.
또한 본 발명의 또 다른 특징에 따르면, (h) 다수의 에이전트로부터 공격 패킷 정보를 수신하여 통계데이터를 지속적으로 생성/저장하는 단계, (i) 새로 생성된 통계데이터와 저장된 이전 통계데이터를 비교하는 단계, (j) 상기 통계데이터 상호간의 증가율이 미리 설정한 기준 임계값을 초과하는 경우, 모든 에이전트에 적 용된 보안정책을 검사하는 단계, (k) 상기 에이전트에 적용된 보안정책에 대해 탐지/차단상태의 설정 여부를 판단하는 단계, (l) 상기 판단 결과, 탐지/차단설정이 비활성상태인 보안정책인 경우 이를 활성화시키고 에이전트에 적용하여 공격 패킷을 탐지/차단하는 단계가 포함되어 구성된다.In addition, according to another feature of the invention, (h) receiving the attack packet information from a plurality of agents to continuously generate / store the statistical data, (i) comparing the newly generated statistical data and the stored previous statistical data (J) checking the security policy applied to all agents when the rate of increase between the statistical data exceeds a predetermined threshold value; and (k) detecting / blocking the security policy applied to the agent. Determining whether or not to set, (l) If the detection, blocking setting is a security policy in the inactive state, it is activated and applied to the agent detects / blocks the attack packet is configured.
그리고, 상기 보안정책 적용 및 변경 이력 정보를 저장하는 단계(m)가 더 포함될 수 있다.The method may further include storing the security policy application and change history information (m).
상기 (j) 단계에서는, 특정 에이전트에만 상기 보안정책이 적용되거나, 상기 보안정책에 탐지/차단명령이 이미 설정된 경우에, 그 에이전트에 대한 보안정책 검사는 미실시된다.In the step (j), when the security policy is applied only to a specific agent or when a detection / blocking command is already set in the security policy, the security policy check for the agent is not performed.
또 상기 변경된 보안정책을 특정 시점 이전의 변경 전 보안정책으로 복원하는 단계(n)를 더 포함하여 구성된다.The method may further include the step (n) of restoring the changed security policy to a pre-change security policy before a specific point in time.
그리고 상기 설정명령의 적용여부와 기준 임계값은 그래픽유저인터페이스(GUI) 환경에 의해 조작되어진다.The application of the setting command and the reference threshold value are manipulated by a graphical user interface (GUI) environment.
이와 같은 구성을 갖는 본 발명에 따르면, 보안관리자가 부재한 경우에 갑작스러운 공격 위협에 대해서도 이를 탐지하고 자동화된 보안정책으로 대응할 수 있음을 알 수 있다.According to the present invention having such a configuration, it can be seen that even in the absence of a security manager, a sudden attack threat can be detected and responded with an automated security policy.
이하, 본 발명에 의한 네트워크 보안시스템 및 그 처리방법을 첨부된 도면에 도시된 바람직한 실시 예를 참고하여 상세하게 설명한다.Hereinafter, a network security system and a processing method thereof according to the present invention will be described in detail with reference to the preferred embodiments shown in the accompanying drawings.
도 1에는 본 발명의 바람직한 실시 예에 따른 네트워크 보안시스템의 구성도가 도시되어 있다.1 is a block diagram of a network security system according to a preferred embodiment of the present invention.
도 1을 참조하면, 외부에서 유입되는 모든 네트워크 패킷 정보를 분석하여 위협정보를 탐지하는 복수의 에이전트(10~10n)가 구비된다. 즉 상기 에이전트(10~10n)는 통과하는 모든 패킷데이터를 검사하고, 상기 패킷데이터가 보안정책에 정의된 위협조건에 부합되면 상기 보안정책에 설정된 로깅(Logging), 차단 등의 대응을 수행한다.Referring to FIG. 1, a plurality of
상기 복수의 에이전트(10~10n)에 의해 탐지된 위협 정보를 기반으로 위협 로그정보를 저장하고, 상기 위협 로그정보의 탑(Top) 공격명, 탑 포트(Top port) 사용량, 소스 IP, 목적 IP 등의 주요 통계 데이터를 생성하고, 보안 정책을 적용하여 네트워크 보안 위협의 확산을 차단하도록 하는 관리부(20)가 구비된다. 또 상기 관리부(20)는 안정적인 네트워크 운영을 위하여 자동적으로 변경되는 보안정책 이력을 관리하고, 그 보안정책을 과거 어느 시점의 보안정책으로 복구시킬 수 있는 기능을 제공한다. 이에 관리부(20)는 보안관리자가 기준 임계값 및 보안정책 자동 변경을 용이하게 설정할 수 있도록 그래픽유저인터페이스(GUI) 환경이 지원되는 것이 바람직하다. Storing threat log information based on the threat information detected by the plurality of agents (10 to 10n), Top attack name, Top port usage, source IP, destination IP of the threat log information The
상기 관리부(20)는 상기 에이전트(10~10n)로부터 수신한 개별 위협 로그정보를 데이터베이스(28)에 저장하고 상기 위협 로그정보들을 근거로 주요 통계데이터(예컨대 Top 10 공격정보/소스IP/목적IP 등)를 생성하는 로그관리부(22)와, 업데이트서버부(40)의 업데이트 동작에 의해 각종 보안정책을 상기 에이전트(10~10n)들에게 적용하기 위한 보안정책관리부(24)를 구비한다. 상기 위협로그정보는 네트워크의 위협 상태를 측정하기 위한 1차적인 데이터로 활용된다. 그리고 상기 통계데이 터는 탑 공격명(Top N 공격명), 탑 포트 사용량 등을 말한다. 예컨대 갑자기 증가된 공격명, 유입 트래픽이 기준 이상으로 많이 발생되는 소정 포트(port)에 대한 정보 등이다.The
또 상기 관리부(20)는 인터넷 연결되어 있는 조기 예보/경보 서버부(이하, '경보 서버부'라 약칭함)(30)에 상기 통계데이터를 전달하는 제1통신부(26a)와, 상기 경보서버부(30)로부터 전달되는 예보/경보에 따라 보안정책과 탐지/차단을 위한 설정명령을 업데이트서버부(40)로부터 전송받는 제2통신부(26b)를 구비한다. 상기 제 1, 제 2통신부(26a)(26b)는 상기 경보서버부(30) 및 상기 업데이트서버부(40)와 데이터를 교환할 경우 암호화된 연결에 의해서 전송되는 데이터의 기밀성이 보장되어야 한다. 그리고 상기 제 1, 제 2통신부(26a)(26b)는 각각 독립적으로 구성되고 있지만, 하나의 통신모듈에 의해 구성될 수 있음은 물론이다.In addition, the
다음, 상기 경보서버부(30)는 상기 업데이트 서버부(40)와 상호 연동되는 구조를 갖는다. 상기 경보서버부(30)는 관리부(20)로부터 통계데이터를 수신하고 일정시간마다 전체 통계데이터를 생성한다. 즉 상기 경보서버부(30)는 복수의 관리부(즉 각 기업이나 단체에 구성되는 시스템)에서 위협로그정보에 대한 통계데이터를 수신하여 관리자가 확인할 수 있도록 화면 표시하는 것이다. Next, the
또 상기 경보서버부(30)에는 상기 업데이트서버부(40)와의 연결을 설정하기 위한 기준 임계값이 제공된다. 상기 기준 임계값은 보안관리자에 의해 임의로 설정가능한 값이고, 이는 상기 관리부(20)로부터 제공받는다. 그리고 상기 기준 임계값은 상기 업데이트서버부(40)의 IP 등과 같은 연동 관련정보 또는 상기 통계데이터 로부터 추출된 특정/불특정 위협로그정보의 증가율을 참조하여 상기 업데이트서버부(40)와의 연결을 설정한다. 통상 상기 증가율이 임계값 이상인 경우에 상기 경보서버부(30)와 상기 업데이트서버부(40)가 연결되고, 상기 위협로그정보에 대한 탐지 여부 적용 및 차단 여부 적용에 대한 탐지/차단 설정명령이 전송된다.In addition, the
다음, 상기 업데이트서버부(40)는, 보안정책을 제공하는 기능을 하며, 상기 경보서버부(30)로부터 전송받은 탐지/차단 설정명령을 자체 데이터베이스 또는 디스크 등의 스토리지(storage)에 저장한다. 그리고 상기 관리부(20)로부터 보안정책의 업데이트 요구가 발생되는 경우에만 상기 제2통신부(26b)를 매개하여 보안정책과 상기 탐지/차단 설정명령을 상기 보안정책관리부(24)로 전송한다. 이때 상기 업데이트서버부(40)는 상기 관리부(20)에서 전송된 이전 업데이트 요구시의 타임스탬프(Time stamp) 값과 상기 경보서버부(30)로부터 최종적으로 수신한 타임스탬프 값을 비교하고, 비교결과에 따라 업데이트와 탐지/차단 설정명령을 전송하여 상기 관리부(20)에 의해 보안정책이 변경 적용되도록 한다. Next, the
따라서, 상기 업데이트서버부(40)는 관리부(20)로부터 전송된 타임스탬프 값과 상기 경보서버부(30)로부터 최종적으로 수신한 타임스탬프 값을 비교하는 비교기능과, 상기 비교결과 상기 경보서버부(30)의 타임스탬프 값이 더 큰 경우 보안정책정보 및 탐지/차단 설정명령을 상기 관리부(20)로 전송하는 전송기능이 제공되는 것이 바람직하다. 또 상기 업데이트서버부(40)는 상기 탐지/차단 설정명령과 타임스탬프 값을 상기 관리부(20)로부터 업데이트 요청이 발생할 때까지 저장하기 위한 데이터베이스를 구비한다.Therefore, the
이어 상기한 바와 같은 구성의 네트워크 보안시스템에 의한 보안처리방법을 단계별로 상세하게 설명한다.Next, the security processing method by the network security system having the above configuration will be described in detail step by step.
도 2에는 본 발명의 실시 예에 따라 네트워크 보안시스템에서의 보안처리 흐름도가 도시되어 있다.2 is a flowchart illustrating a security process in a network security system according to an exemplary embodiment of the present invention.
먼저, 관리부(20)는 로그관리부(22)에 의해 복수의 에이전트(10~10n)에 의해 탐지된 공격패킷의 위협 정보를 기반으로 위협 로그정보를 저장하고, 상기 위협 로그정보의 탑(Top) 공격명, 탑 포트(Top port) 사용량 등의 주요 통계 데이터를 생성한다(S50). 상기 생성된 통계 데이터는 제1통신부(26a)를 매개하여 상기 경보서버부(30)로 전송된다. First, the
상기 경보서버부(30)에는 다수의 관리부가 연결되어 있는바, 그 경보서버부(30)는 상기 관리부들로부터 위협로그정보의 통계데이터를 수신하고, 이를 일정 시간마다 전체적인 통계데이터로서 다시 생성하는 작업을 수행한다. A plurality of management units are connected to the
상기 통계데이터는 매 시각(초/분/시간) 단위로 계속 업데이트가 이루어진다. The statistical data is continuously updated every time (seconds / minutes / hours).
상기 경보서버부(30)는 현재 시각 생성된 통계데이터와 이전 시각에 생성된 통계데이터의 증가율을 계속 비교한다(S52). 그리고 상기 증가율과 관리자에 의해 미리 설정한 기준 임계값을 비교하는 동작을 수행한다. 상기 기준 임계값은 네트워크 운영이 원활하게 이루어질 수 있는 값으로서, 예컨대 평상시 10% 내외의 트래픽 증가율로 운영되다가 갑자기 30% 이상의 증가율이 보인다면 이는 네트워크로의 이상 트래픽 등이 유입된다라고 판단하고, 탐지 및 차단정책을 적용하도록 하기 위함 이다.The
상기 비교결과, 상기 증가율이 큰 경우(S54에서의 예), 상기 경보서버부(30)는 상기 업데이트 서버부(40)와 암호화된 세션(session)을 설정하고(S56), 현재 시각에 대한 타임스탬프 값 및 상기 증가율의 이상 여부를 탐지하고 이에 대한 대응책인 보안정책을 적용하도록 탐지/차단 설정명령을 상기 업데이트서버부(40)에 전송한다(S58). 이때 상기 증가율뿐만 아니라 웜바이러스(worm virus) 정보나 제로공격 정보가 발생하는 경우에도 이에 대한 보안정책을 적용할 수 있도록 탐지/차단 설정명령을 상기 업데이트서버부(40)에 전송한다.As a result of the comparison, when the increase rate is large (YES in S54), the
상기 업데이트서버부(40)는 상기 타임스탬프 값과 탐지/차단 설정명령을 수신하면 이를 내부 DB에 저장한다(S60). 그리고 상기 관리부(20)로부터 업데이트 요청이 발생되기까지 대기상태를 유지한다(S62).The
상기 관리부(20)에서 업데이트 요청이 발생한다(S64). 이때, 상기 관리부(20)는 상기 업데이트 요청시마다 업데이트를 종료한 시각의 타임스탬프 값을 저장하고 다음 업데이트 요청시 상기 저장된 타임스탬프 값을 상기 업데이트서버부(40)에 전송한다. The update request is generated in the management unit 20 (S64). At this time, the
상기 업데이트서버부(40)는 상기 업데이트 요청을 수신하면 우선하여 내부 DB에 저장하고 있는 신규 보안정책 정보 또는 업데이트용 보안정책 정보 등이 업데이트되도록 상기 제2통신부(26b)를 매개하여 관리부(20)로 전송한다. When the
그리고 상기 업데이트가 완료되면 이를 실제 에이전트(10)에 적용하기 위한 탐지/차단 설정명령을 전송해야한다.When the update is completed, the detection / block setting command for applying the update to the
상기 탐지/차단 설정명령은 상기 관리부(20)에서 업데이트 요청때 함께 전송되는 이전 업데이트시의 타임스탬프 값, 즉 최종 업데이트 시간 정보(A)와 상기 경보서버부(30)로부터 최종적으로 수신한 탐지/차단 설정명령의 타임스탬프 값(B)을 비교한다(S66). 그리고 상기 비교결과 상기 경보서버부(30)의 탐지/차단 설정명령의 타임스탬프(B)가 더 큰 경우(즉 시간이 더 늦은 경우)에만(S68), 상기 탐지/차단 설정명령이 상기 관리부(20)로 전송된다(S70). 따라서 보안정책은 업데이트가 수행되었지만 상기 경보서버부(30)에서 이상상태에 대한 탐지 및 경보정보가 전송되지 않았다면 실제 상기 업데이트된 보안정책은 상기 에이전트(10~10n)에 적용되지 않는다. 그리고 상기 업데이트 요청이 발생되었다 하더라도 신규로 제공된 보안정책 또는 업데이트해야할 보안정책이 없다라면 업데이트는 실시되지 않는다.The detection / block setting command is a time stamp value of a previous update transmitted together with the update request from the
여기서, 상기 업데이트 요청 발생시에 상기 타임스탬프 값을 비교하고, 상기 경보서버부의 타임스탬프 값이 더 큰 경우에 상기 보안정책 및 탐지/차단 설정명령을 함께 전송할 수도 있다.Here, the timestamp value may be compared when the update request occurs, and when the timestamp value of the alert server is greater, the security policy and the detection / blocking setting command may be transmitted together.
그리고, 전술한 상기 업데이트 요청은 관리자에 의해 미리 설정되며 이는 주기적 또는 랜덤하게 상기 업데이트서버부(40)로 전달된다. In addition, the above-described update request is previously set by the administrator, which is periodically or randomly transmitted to the
다음, 상기 관리부(20)는 상기 업데이트서버부(40)에서 전송된 보안정책을 데이터베이스(28)에 저장하고, 아울러 상기 탐지/차단 설정명령의 전송여부와 함께 그 탐지/차단 설정명령의 적용여부를 검사한다. 상기 설정명령 전송/적용여부는 관리자에 의해 미리 설정되어있다. 이러한 설정과정은 관리자가 용이하게 할 수 있도록 그래픽유저인터페이스 형태로 지원된다.Next, the
상기 관리부(20)는 상기 탐지/차단 설정명령이 전송된 경우, 상기 관리부(20)는 상기 탐지/차단 설정명령이 보안관리자에 의해 적용되었는지를 판단한다. 그리고 판단 결과 적용되어 있으면(S80), 상기 보안정책관리부(24)는 상기 설정명령에 의해 보안정책을 변경하고(S82), 그 변경된 보안정책을 에이전트(10~10n)에 적용한다(S84). 따라서 에이전트(10~10n)는 상기 적용된 보안정책에 의해 특정 공격명을 탐지 및 차단하거나, 바이러스를 치료한다. 이때 상기 관리부(20)는 상기 보안정책을 에이전트(10~10n)에 적용한 경우 그 적용한 시각에 대한 타임스탬프 값을 보안정책 이력정보에 추가/저장한다(S86). 이는 앞서 설명한 바와 같이 관리부(20)에서 업데이트 요청발생시에 동일한 보안정책이 업데이트되고 적용되는 것을 방지하기 위함이다. When the detection / block setting command is transmitted, the
다음, 도 3에는 본 발명의 제 2실시 예에 따라 에이전트와 연결된 네트워크 관리부의 구성도가 도시되어 있고, 도 4에는 본 발명의 제 2실시 예에 따라 임의의 에이전트에서 탐지된 공격패킷정보에 대해 모든 에이전트에 자동으로 보안정책을 변경 적용하는 동작 흐름도가 도시되어 있다. 이는 네트워크 관리부(100)(이하 '관리부'라 약칭함)내에서 처리되는 동작이다. Next, FIG. 3 is a block diagram of a network management unit connected to an agent according to the second embodiment of the present invention, and FIG. 4 illustrates attack packet information detected by any agent according to the second embodiment of the present invention. An operation flow diagram for automatically changing and applying a security policy to all agents is shown. This is an operation that is processed in the network manager 100 (hereinafter, abbreviated as "administrator").
도 3을 참조하면, 상기 관리부(100)내에서는 적어도 하나 이상의 에이전트 상호(10~10n)간에 보안정책을 적용하기 위한 기준 임계값과 탐지/차단 설정명령을 설정하는 설정부(102)가 구비된다. 상기 설정동작은 그래픽유저인터페이스 환경에 의해 용이하게 조작 가능하도록 한다.Referring to FIG. 3, the
그리고 상기 에이전트별 또는 다른 네트워크로부터 수신되는 공격/위협정보 를 참조하여 주요 통계데이터를 지속적으로 생성/저장하는 로그관리부(104)가 구비된다. 그리고 상기 최종 저장된 통계데이터와 새로 생성된 통계데이터를 참조하여 특정/불특정 공격명에 대한 증가율과 상기 기준 임계값을 비교하는 비교부(106)와, 상기 비교결과 상기 증가율이 상기 기준 임계값 이상이면 제어부(110)의 제어동작에 따라 상기 모든 에이전트(10~10n)에 적용되는 보안정책을 검사하는 검사부(108)가 구비된다.A
그리고 상기 검사결과에 따라 상기 적용된 보안정책에 대해 탐지/차단 설정명령을 선택적으로 설정하여 그 보안정책을 에이전트(10~10n)에 적용하고 상기 보안정책의 변경 이력을 처리하는 제어부(110)가 구비된다. And a
또 상기 각종 정보를 저장하는 데이터베이스(DB)(120)가 제공된다.There is also provided a database (DB) 120 for storing the various information.
이와 같은 구성에서의 상기 관리부(100)는 복수의 에이전트(10~10n)를 관리하고 있으며, 어느 임의의 에이전트에서 발생되는 위협로그정보에 대해 다른 에이전트에 보안정책을 적용하기 위함이다. The
따라서 먼저 보안관리자는 상기 설정부(102)에서 그래픽유저인터페이스를 이용하여 보안정책을 적용할 기준 임계값과 그 탐지/차단 여부를 설정한다. Therefore, the security manager first sets a reference threshold to apply the security policy and whether the detection / blocking is performed using the graphic user interface in the
상기 기준 임계값과 탐지/차단 여부가 설정된 상태에서 상기 로그관리부(104)는 복수의 에이전트(10~10n)에서 탐지된 위협 로그정보를 참조하여 탑(Top) 공격명, 탑 포트(Top port) 사용량 등의 주요 통계 데이터를 주기적으로 생성하고 DB(120)에 저장한다(S130). In the state where the reference threshold value and detection / blocking are set, the
이후, 상기 비교부(106)는 새로운 통계데이터가 생성되면 현재 시각 생성된 통계데이터와 이전 시각에 생성된 마지막 통계데이터와 비교하고, 특정/불특정 공격명에 대한 증가율(C)을 상기 기준 임계값(D)과 비교한다(S132).Thereafter, when the new statistical data is generated, the
상기 비교결과, 상기 증가율(C)이 상기 기준 임계값(D)보다 큰 경우(S134의 예), 상기 검사부(108)는 상기 관리부(100)에서 관리되는 모든 에이전트(10~10n)에 적용된 보안정책을 검사한다(S136). As a result of the comparison, when the increase rate C is greater than the reference threshold value D (YES in S134), the
그리고, 상기 검사된 보안정책이 임의의 에이전트에 유입되는 심각한 공격정보를 탐지할 수 없도록 비활성 되어있거나, 또는 공격정보를 차단할 수 없도록 설정되어 있는 경우, 상기 제어부(110)는 상기 관리자에 의해 설정된 탐지/차단 여부를 활성화하고 변경된 보안정책을 에이전트(10~10n)에 적용한다. In addition, when the checked security policy is inactive so as not to detect serious attack information flowing into an arbitrary agent or is not set to block attack information, the
즉 모든 에이전트(10~10n)의 보안정책을 순차적 또는 랜덤하게 조회하고, 탐지여부가 설정되지 않은 경우 탐지설정을 하고(S138)(S149), 차단여부가 설정되지 않은 경우 차단설정을 한다(S140)(S142). 이에 보안정책은 변경되고 에이전트(10~10n)에 적용되어 심각한 공격정보를 탐지함은 물론 그 탐지된 공격정보에 의해 네트워크 서비스되는 것을 차단한다(S142)(S144). That is, the security policy of all
상기 변경된 보안정책 이력은 DB(120)에 저장된다(S146).The changed security policy history is stored in the DB 120 (S146).
만일, 상기 관리부(100)에 의해 보안정책이 특정 에이전트에만 적용되도록 설정되었거나 또는 적용할 필요 없는 에이전트의 보안정책이거나 또는 이미 보안정책에 탐지 및 차단이 설정된 경우에는, 해당 에이전트에 대한 보안정책 검사과정은 스킵(Skip)되고 다음 에이전트의 보안정책을 검사한다.If the security policy is set to be applied only to a specific agent by the
한편, 상기와 같이 특정/불특정 공격에 대하여 변경된 보안정책을 적용한 다 음, 그 변경된 보안정책의 적용이 필요하지 않은 경우에는 관리자에 의해 소정 시점의 보안정책으로 복원한다(S148)(S150). 이는 공격정보를 탐지하고 차단한 다음, 그 보안정책이 미적용되어질 환경으로 복귀한 경우, 상기 변경된 보안정책이 그대로 적용된다라면 오탐의 가능성이 존재하고, 따라서 네트워크 장애가 발생되는바, 이를 방지하기 위함이다.On the other hand, after applying the changed security policy to the specific / non-specific attack as described above, if the application of the changed security policy is not necessary to restore to the security policy at a predetermined time by the administrator (S148) (S150). This is to detect and block the attack information, and then return to the environment where the security policy is not applied. If the modified security policy is applied as it is, there is a possibility of false positives, and thus a network failure occurs. .
이와 같이 본 발명에서는 에이전트에서 발생되는 위협로그정보에 대하여 탐지 및 그에 대한 보안정책을 신속하게 적용할 수 있다.As described above, the present invention can quickly apply detection and security policy for threat log information generated by an agent.
이상과 같이, 본 발명의 도시된 실시 예를 참고해서 설명되었으나 이는 예시적인 것들에 불과하며, 본 발명이 속하는 기술 분야의 통상지식을 가진 자라면 본 발명의 요지 및 범위에 벗어나지 않으면서도 다양한 변형, 변경 및 균등한 타 실시 예들이 가능하다는 것을 명백하게 알 수 있을 것이다. 따라서 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적인 사상에 의해 정해져야 할 것이다. As described above, it has been described with reference to the illustrated embodiment of the present invention, which is merely exemplary, and those skilled in the art to which the present invention pertains various modifications without departing from the spirit and scope of the present invention. It will be apparent that other variations and equivalent embodiments are possible. Therefore, the true technical protection scope of the present invention will be defined by the technical spirit of the appended claims.
이상에서 설명한 바와 같이 본 발명의 네트워크 보안시스템 및 그 처리방법에 따르면 다음과 같은 효과가 있다.As described above, the network security system and processing method thereof according to the present invention have the following effects.
먼저, 에이전트에서 발생되는 각종 부당한 공격상황에 대하여 자동으로 탐지 및 차단하고 그에 대한 보안정책을 적용할 수 있게 되어 보안관리자의 부재, 취약한 보안망을 통해 공격하는 제로데이 공격과 같은 각종 바이러스 등에 대해 신속하 게 대응할 수 있는 효과가 있다.First, it can automatically detect and block various illegal attack situations generated by the agent, and apply security policy for them, so that it can promptly respond to various viruses such as zero day attacks that attack the vulnerable security network without the security manager. There is an effect that I can cope with.
그리고 임의의 에이전트로 유입되는 위협/공격정보에 대한 보안정책기준을 다른 에이전트와 공유할 수 있어, 위협/공격정보가 확산되는 것을 방지할 수 있다.In addition, the security policy standards for threat / attack information flowing into any agent can be shared with other agents, thereby preventing the spread of threat / attack information.
또 보안정책을 적용할 기준 임계값 및 보안정책 적용여부를 관리자가 그래픽유저인터페이스환경에 의해 용이하게 설정할 수 있고, 보안정책이 필요하지 않는 경우 과거 어느 시점의 보안정책이 적용되도록 조작할 수 있어, 오탐 및 네트워크 장애 발생을 방지하는 효과도 있다. In addition, the administrator can easily set the baseline threshold for applying security policy and whether the security policy is applied by the graphical user interface environment, and when the security policy is not required, it can be manipulated to apply the security policy at some point in the past. It also has the effect of preventing false positives and network failures.
Claims (22)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070011714A KR101343693B1 (en) | 2007-02-05 | 2007-02-05 | Network security system and method for process thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070011714A KR101343693B1 (en) | 2007-02-05 | 2007-02-05 | Network security system and method for process thereof |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20080073112A true KR20080073112A (en) | 2008-08-08 |
KR101343693B1 KR101343693B1 (en) | 2013-12-20 |
Family
ID=39883037
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020070011714A KR101343693B1 (en) | 2007-02-05 | 2007-02-05 | Network security system and method for process thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101343693B1 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180046367A (en) * | 2016-10-27 | 2018-05-08 | 폭스바겐 악티엔 게젤샤프트 | Method for managing a first communication connection, system comprising a first communication partner and a second communication partner as well as vehicle |
KR20190065862A (en) | 2017-12-04 | 2019-06-12 | 주식회사 윈스 | Network security policy management system and its method |
KR20230099501A (en) * | 2021-12-27 | 2023-07-04 | (주)하몬소프트 | Apparatus for endpoint detection and response based on ai behavior analysis |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018079867A1 (en) * | 2016-10-24 | 2018-05-03 | 주식회사 아이티스테이션 | Restoration method using network restoration system in advanced persistent threat environment |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3643087B2 (en) | 2002-03-28 | 2005-04-27 | 日本電信電話株式会社 | Communication network, router and distributed denial-of-service attack detection protection method |
JP4259183B2 (en) | 2003-05-28 | 2009-04-30 | 学校法人千葉工業大学 | Information processing system, information processing apparatus, program, and method for detecting communication abnormality in communication network |
-
2007
- 2007-02-05 KR KR1020070011714A patent/KR101343693B1/en active IP Right Grant
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180046367A (en) * | 2016-10-27 | 2018-05-08 | 폭스바겐 악티엔 게젤샤프트 | Method for managing a first communication connection, system comprising a first communication partner and a second communication partner as well as vehicle |
KR20190065862A (en) | 2017-12-04 | 2019-06-12 | 주식회사 윈스 | Network security policy management system and its method |
KR20230099501A (en) * | 2021-12-27 | 2023-07-04 | (주)하몬소프트 | Apparatus for endpoint detection and response based on ai behavior analysis |
Also Published As
Publication number | Publication date |
---|---|
KR101343693B1 (en) | 2013-12-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108353079B (en) | Detection of cyber threats against cloud-based applications | |
US10187422B2 (en) | Mitigation of computer network attacks | |
US7539857B2 (en) | Cooperative processing and escalation in a multi-node application-layer security system and method | |
US8881259B2 (en) | Network security system with customizable rule-based analytics engine for identifying application layer violations | |
US6775657B1 (en) | Multilayered intrusion detection system and method | |
US9928359B1 (en) | System and methods for providing security to an endpoint device | |
EP3289476A1 (en) | Computer network security system | |
JP2017204722A (en) | SDN controller | |
CN108183921B (en) | System and method for information security threat interruption via border gateway | |
CN117155678A (en) | Computer network engineering safety control system | |
Dondossola et al. | Effects of intentional threats to power substation control systems | |
KR101343693B1 (en) | Network security system and method for process thereof | |
US8321369B2 (en) | Anti-intrusion method and system for a communication network | |
Mahlous | Threat model and risk management for a smart home iot system | |
US20160149933A1 (en) | Collaborative network security | |
Patil et al. | Analysis of distributed intrusion detection systems using mobile agents | |
CN113206852A (en) | Safety protection method, device, equipment and storage medium | |
JP7150425B2 (en) | COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION CONTROL METHOD, AND PROGRAM | |
KR20200116773A (en) | Cyber inspection system | |
Phan et al. | Threat detection and mitigation with MonB5G components in the aLTEr scenario | |
JP2018129712A (en) | Network monitoring system | |
JP7290168B2 (en) | Management device, network monitoring system, determination method, communication method, and program | |
Sindhu et al. | Intelligent multi-agent based genetic fuzzy ensemble network intrusion detection | |
Uemura et al. | Optimal Security Patch Management Policies Maximizing System Availability. | |
JP2005332152A (en) | System, server, method and program for detecting and rejecting illicit access |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
N231 | Notification of change of applicant | ||
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20160928 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20171011 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20181008 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20191007 Year of fee payment: 7 |