KR20080099593A - 802.1x 인증기반 통합로그 분석 기능을 제공하는통합로그분석시스템, 통합로그 서버, 및 방법 - Google Patents

802.1x 인증기반 통합로그 분석 기능을 제공하는통합로그분석시스템, 통합로그 서버, 및 방법 Download PDF

Info

Publication number
KR20080099593A
KR20080099593A KR1020070045338A KR20070045338A KR20080099593A KR 20080099593 A KR20080099593 A KR 20080099593A KR 1020070045338 A KR1020070045338 A KR 1020070045338A KR 20070045338 A KR20070045338 A KR 20070045338A KR 20080099593 A KR20080099593 A KR 20080099593A
Authority
KR
South Korea
Prior art keywords
log
integrated log
authentication
user
integrated
Prior art date
Application number
KR1020070045338A
Other languages
English (en)
Other versions
KR100906389B1 (ko
Inventor
전현철
이기혁
박노철
Original Assignee
에스케이 텔레콤주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이 텔레콤주식회사 filed Critical 에스케이 텔레콤주식회사
Priority to KR1020070045338A priority Critical patent/KR100906389B1/ko
Publication of KR20080099593A publication Critical patent/KR20080099593A/ko
Application granted granted Critical
Publication of KR100906389B1 publication Critical patent/KR100906389B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명은 802.1x 인증기반 통합로그 분석 기능을 제공하는 통합로그분석시스템, 통합로그 서버, 및 방법에 관한 것으로서, 본 발명은 네트워크 접속시도자인 사용자에 대한 인증관련 정보가 포함된 로그를 취합하여 통합로그를 생성하고 분석하는 802.1x 인증기반 통합로그 분석시스템에 있어서, (a) 사용자에 대한 인증관련 정보가 포함된 상기 로그를 저장하고 있는 복수의 이기종 장치가 포함된 802.1x 인증기반 통합로그 클라이언트; (b) 상기 통합로그 클라이언트로부터 상기 로그를 전송받아 통합로그를 생성하는 802.1x 인증기반 통합로그 서버; 및 (c) 상기 통합로그 서버에 의해 생성된 상기 통합로그를 조회하고 분석하는 통합로그 분석기를 포함하는 것을 특징으로 하는 통합로그 분석시스템이다.
본 발명에 의하면, 통합로그 분석시스템은 802.1x 인증기반의 네트워크접속제어(Network Access Control: NAC)시스템 내 복수의 이기종 보안장치로부터 인증관련 정보가 포함된 로그를 취합하여 통합로그를 생성할 수 있는 기능을 제공할 수 있다. 또한, 네트워크 보안 문제 및 장애 발생시, 통합로그 분석시스템은 802.1x 인증기반 복수의 이기종 보안장치로부터 취합되어 생성된 통합로그에 대한 분석을 수행하고, 장애발생 위치에 대한 신속한 판단 및 장애발생에 대한 즉각적인 대응을 제공할 수 있다.
보안, 로그, 분석

Description

802.1x 인증기반 통합로그 분석 기능을 제공하는 통합로그분석시스템, 통합로그 서버, 및 방법 {System, Server and Method for Analyzing Integrated Authentication-Logs based on 802.1x}
도 1은 통합로그 클라이언트, 통합로그 서버, 및 통합로그 분석기를 포함하는 통합로그 분석시스템에 대한 기능별 구성도,
도 2는 통합로그 분석시스템의 운용환경을 예시한 도면,
도 3은 통합로그 생성 및 분석 과정을 개략적으로 나타내는 도면,
도 4는 통합로그 서버에서 생성된 통합로그를 예시한 도면,
도 5는 통합로그 서버에 대한 내부 구성도이다.
< 도면의 주요 부분에 대한 부호의 설명 >
100: 통합로그 분석시스템
110: 통합로그 클라이언트
111: 사용자인증 서버
112: 접속정책결정 서버
113: 스위치
120: 통합로그 서버
130: 통합로그 분석기
140: 접속정책DB
150: 사용자DB
500: 로그 취합부
510: 통합로그 생성부
520: 통합로그 저장부
본 발명은 802.1x 인증기반 통합로그 분석 기능을 제공하는 통합로그분석시스템, 통합로그 서버, 및 방법에 관한 것이다. 더욱 상세하게는, 통합로그서버가 사용자단말기의 네트워크 접속시 생성되는 인증관련 정보가 포함된 로그를 복수의 이기종 장치인 통합로그 클라이언트로부터 취합하여 통합로그를 생성하고 분석하는 802.1x 인증기반의 통합로그 분석시스템이다.
근래, 네트워크 인프라 및 사용자의 확대로 인해 네트워크 보안이 큰 이슈가 되어지고 있으며, 이러한 네트워크 보안은 중요한 기술 및 보안 문서를 많이 다루는 기업에 구축된 인트라넷(Intranet)에서는 기업의 사활을 결정할 수 있을 정도의 중요한 문제가 되고 있다.
하지만, 이러한 인트라넷에서의 종래 보안 관리는 인트라넷 내부 사용자가 자신의 단말기에 보안프로그램을 설치하거나, 인트라넷 액세스 단의 방화벽을 통해서 주로 이루어졌다. 또한, 이러한 종래 보안 관리는 방화벽을 통과하여 인트라넷에 접속한 악의적인 사용자 단말기에 대한 대응이 어렵고, 보안 문제 또는 장애가 발생한 후에 대응을 하는 사후 대응 방식으로 보안 관리가 이루어졌다.
따라서, 사용자가 네트워크에 접속을 시도하는 그 순간부터 사용자단말기의 네트워크 접속을 허용할 것인지 차단할 것인지를 결정을 내려서 악의적인 사용자를 미연에 차단할 수 있는 네트워크접속제어(Network Access Control: NAC)시스템이 선행기술로 나오게 되었다.
한편, 유무선 보안 인증을 위한 802.1x 인증 프로토콜이 제안되어졌으며, 이러한 802.1x는 상기 네트워크접속제어(Network Access Control: NAC)시스템에 적용되어지고 있다. 상기 802.1x 인증기반의 네트워크접속제어(Network Access Control: NAC)시스템에는 각기 다른 기능을 수행하는 많은 보안 관련 장치들이 존재한다.
하지만, 종래의 선행기술인 802.1x 인증기반의 네트워크접속제어(Network Access Control: NAC)시스템에서는 복수의 이기종 보안장치가 저장하고 있는 많은 정보를 통합해서 관리하지 못하는 문제점이 있다. 또한, 장애 발생시에는 장애발생 위치에 대한 파악이 어려워 장애에 대한 즉각적인 판단 및 대응이 어려운 문제점이 있다.
이러한 문제점을 해결하기 위해 본 발명의 목적은, 선행기술인 802.1x 인증기반의 네트워크접속제어(Network Access Control: NAC)시스템 내 복수의 이기종 보안장치가 저장하고 있는 많은 정보가 포함된 로그를 통합해서 관리할 수 있도록 통합로그를 생성하고 분석하는 데 있다.
본 발명의 다른 목적은, 네트워크 보안 문제 및 장애 발생시, 802.1x 인증기반 복수의 이기종 보안장치로부터 취합되어 생성된 통합로그에 대한 분석을 통해서, 장애발생 위치에 대한 신속한 판단 및 장애발생에 대한 즉각적인 대응을 제공하는 데 있다.
이러한 목적을 달성하기 위해, 본 발명의 한 측면에 따른, 네트워크 접속시도자인 사용자에 대한 인증관련 정보가 포함된 로그를 취합하여 통합로그를 생성하고 분석하는 802.1x 인증기반 통합로그 분석시스템에 있어서, (a) 사용자에 대한 인증관련 정보가 포함된 상기 로그를 저장하고 있는 복수의 이기종 장치가 포함된 802.1x 인증기반 통합로그 클라이언트; (b) 상기 통합로그 클라이언트로부터 상기 로그를 전송받아 통합로그를 생성하는 802.1x 인증기반 통합로그 서버; 및 (c) 상기 통합로그 서버에 의해 생성된 상기 통합로그를 조회하고 분석하는 통합로그 분석기를 포함하는 것을 특징으로 한다.
본 발명의 다른 한 측면에 따른, 네트워크 접속시도자인 사용자에 인증관련 정보가 포함된 로그를 취합하여 통합로그를 생성하는 802.1x 인증기반 통합로그 서버는, (a) 복수의 이기종 장치가 포함된 802.1x 인증기반 통합로그 클라이언트로부터 인증관련 정보가 포함된 상기 로그를 전송받고, (b) 상기 통합로그 클라이언트로부터 전송받은 상기 로그들을 취합하여 통합로그를 생성하는 것을 특징으로 한다.
본 발명의 또 다른 한 측면에 따른, 네트워크 접속시도자인 사용자에 인증관련 정보가 포함된 로그를 취합하여 통합로그를 생성하고 분석하는 방법에 있어서, (a) 통합로그 서버가 복수의 이기종 장치가 포함된 802.1x 인증기반 통합로그 클라이언트로부터 사용자에 대한 인증관련 정보가 포함된 로그를 전송받는 단계; (b) 상기 통합로그 서버가 상기 통합로그 클라이언트로부터 전송받은 상기 로그를 취합하여 통합로그를 생성하는 단계; 및 (c) 통합로그 분석기가 상기 통합로그 서버에 의해 생성된 상기 통합로그를 분석하는 단계를 포함하는 것을 특징으로 한다.
이하, 본 발명의 바람직한 실시예를 첨부된 도면들을 참조하여 상세히 설명한다. 우선 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 당업자에게 자명하거나 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
도 1은 통합로그 클라이언트, 통합로그 서버, 및 통합로그 분석기를 포함하는 통합로그 분석시스템에 대한 기능별 구성도이다. 상기 통합로그 분석시스템(100)은 사용자단말기가 네트워크 접속하여 접속을 해제하는 전 과정 동안 생성되는 인증관련 정보가 포함된 로그를 취합하여 통합로그를 생성하고 분석하기 위한 시스템이다.
도 1을 참조하면, 통합로그 분석시스템(100)은 사용자에 대한 인증관련 정보가 포함된 로그를 저장하고 있는 복수의 이기종 장치(111, 112, 113)가 포함된 802.1x 인증기반 통합로그 클라이언트(110), 복수의 이기종 장치(111, 112, 113)가 포함된 802.1x 인증기반 통합로그 클라이언트(110)로부터 사용자에 대한 인증관련 정보가 포함된 로그를 전송받아 통합로그를 생성하여 저장하고 있는 통합로그 서버(120), 및 네트워크 보안관리자가 통합로그 서버에 저장된 통합로그를 조회하고 분석하기 위한 장치인 통합로그 분석기(130)를 포함하여 구성된다. 상기 통합로그 분석시스템(100)은 네트워크 접속 허용을 인가받은 사용자에 대한 사용자 로그인ID, 사용자 사번, 사용자 로그인 비밀번호를 포함하는 사용자정보를 저장하고 있는 사용자DB(Data Base: DB, 이하 "DB"라 칭함)(140), 및 네트워크 접속 허용 및 차단에 대한 정책정보를 저장하고 있는 접속정책DB(150)를 추가로 포함한다.
도 1을 참조하면, 복수의 이기종 장치(111, 112, 113)가 포함된 802.1x 인증기반 통합로그 클라이언트(110)는 사용자단말기에 대한 네트워크 접속 허용에 대한 사용자인증 여부를 결정하는 사용자인증 서버(111), 상기 사용자인증 서버(111)가 결정 내린 인증결과, 사용자단말기 무결성(Integrity) 검증결과, 및 접속정책DB(140)에 정의된 정책정보를 토대로 접속정책을 결정하여 스위치(113)를 제어하는 인포서(Enforcer) 역할을 수행하는 접속정책결정 서버(112), 상기 접속정책결정 서버(112)로부터의 인포스먼트(Enforcement) 지시에 따라 사용자단말기의 네트워크 접속 허용 및 차단을 실행하는 정책실행 장비인 스위치(113)를 포함한다.
상기 사용자인증 서버(111)는 사용자단말기에 대한 네트워크 접속 허용에 대한 사용자인증 여부를 사용자DB 내 저장된 사용자정보를 토대로 결정하고, 그에 따른 사용자인증관련 정보를 포함하는 제 1 로그를 저장하고 있다.
상기 사용자인증 서버(111)가 저장하고 있는 제 1 로그 내 인증관련 정보는 인증시도시간, 사용자단말기 호스트네임, 사용자단말기 IP주소, 사용자단말기 MAC주소, 사용자 로그인ID, 인포서(Enforcer) IP주소, 작업내용, 및 인증결과에 대한 정보 등을 포함하며, 경우에 따라서는 일부만을 포함할 수 있다.
상기 사용자인증 서버(111)는 네트워크 접속 시도자인 사용자에 대한 사용자단말기 인증 수행시 발생하는 이벤트마다 인증관련 정보를 갱신하고, 통합로그 서버(110)로 전송하지 않은 인증관련 정보가 포함된 제 1 로그만을 추출하여 네트워크 보안관리자에 의해서 설정된 주기마다 통합로그 서버(1410)로 전송한다.
상기 사용자인증 서버(111)는 자체의 사용자DB(140)를 저장하고 있거나, 마이크로소프트의 액티브 디렉토리나 기타 LDAP(Lightweight Directory Access Protocol)데이터베이스와 같은 외부 사용자DB(140)를 이용해 사용자를 인증해주는 RADIUS(Remote Authentication Dial In User Service) 서버가 될 수 있으며, 일반 적으로 사용되는 EAP(Extensible Authentication Protocol) 인증메커니즘을 지원한다.
접속정책결정 서버(112)는 상기 사용자인증 서버가 결정 내린 인증결과, 사용자단말기 무결성(Integrity) 검증결과, 및 접속정책DB에 정의된 정책정보를 토대로 스위치를 제어하는 인포서(Enforcer) 역할을 수행하고, 그에 따른 사용자에 대한 인증관련 정보가 포함된 제 2 로그를 저장하고 있다.
상기 접속정책결정 서버(112)가 저장하고 있는 제 2 로그 내 인증관련 정보는 사용자접속시간, 사용자단말기 호스트네임, 사용자단말기 IP주소, 사용자단말기 MAC주소, 사용자 로그인ID, 사용자 사번, 인포서(Enforcer) 이름, 작업내용, 및 작업결과(정책결과) 등을 포함하며, 경우에 따라서는 일부만을 포함할 수 있다.
상기 접속정책결정 서버(112)는 네트워크 접속 시도자인 사용자에 대한 사용자인증결과 및 접속정책을 토대로 스위치를 제어하는 인포서(Enforcer)역할을 하며, 스위치를 제어하는 이벤트마다 인증관련 정보를 갱신하고, 통합로그 서버(110)로 전송하지 않은 인증관련 정보가 포함된 제 2 로그만을 추출하여 네트워크 보안관리자에 의해서 설정된 주기마다 통합로그 서버(120)로 전송한다.
스위치(113)는 상기 접속정책결정 서버(112)로부터의 인포스먼트(Enforcement) 지시에 따라 사용자단말기의 네트워크 접속 허용 및 차단을 실행하는 802.1x 인증기반의 정책실행 장비로서, 그에 따른 사용자에 대한 인증관련 정보가 포함된 제 3 로그를 저장하고 있다.
상기 스위치(113)가 저장하고 있는 제 3 로그 내 인증관련 정보는 사용자접 속시간, 사용자단말기 호스트네임, 사용자단말기 IP주소, 사용자단말기 MAC주소, 사용자 로그인ID, 스위치 포트 번호, 및 작업내용 등을 포함하며, 경우에 따라서는 일부만을 포함할 수 있다.
상기 스위치(113)는 네트워크 접속 시도자인 사용자에 대한 사용자인증결과 및 사용자 접속에 관한 정책정보를 토대로 내려진 상기 접속정책결정 서버(112)로부터의 인포스먼트(Enforcement)를 수신하고, 해당 사용자단말기가 접속한 스위치 포트의 허용 또는 차단을 수행하고, 수행된 이벤트마다 인증관련 정보를 갱신하고, 통합로그 서버(110)로 전송하지 않은 인증관련 정보가 포함된 제 3 로그만을 추출하여 네트워크 보안관리자에 의해서 설정된 주기마다 통합로그 서버(120)로 전송한다.
상기 사용자DB(150) 내 저장된 사용자정보는 사용자인증 서버(111)가 사용자인증 여부를 결정하기 위한 정보가 된다.
상기 접속정책DB(140) 내 저장되어 정의된 정책정보는 접속정책결정 서버(112)가 사용자단말기의 네트워크 접속 허용 또는 차단을 결정하기 위한 정보가 된다.
상기 통합로그 분석기(130)는 통합로그 서버 내 통합로그 저장부에 저장되어 있는 통합로그를 분석하는 기능을 수행하고, 네트워크 보안관리자가 비 인가자의 네트워크 접속차단 현황 파악, 인가자의 보안정책위반 현황파악, 네트워크 접속된 사용자단말기 보안수준진단, 웜 또는 바이러스 유포방지, 장애발생 예측 및 판단 등의 기능을 수행하며, 경우에 따라서는 일부의 기능을 수행할 수 있다.
상기 통합로그 서버(120)는 사용자인증 서버(111), 접속정책결정 서버(112), 스위치(113)를 포함하는 802.1x 인증기반 통합로그 클라이언트(110)로부터 로그를 전송받는 로그 취합부, 전송받은 로그로부터 통합로그를 생성하는 통합로그 생성부, 생성된 통합로그를 저장하고 있는 통합로그 저장부를 포함하여 구성된다.
도 2는 통합로그 분석시스템의 운용환경을 예시한 도면이다.
도 2를 참조하면, 상기 통합로그 분석시스템(100)은 802.1x 인증기반의 네트워크접속제어(Network Access Control: NAC) 시스템(220)에서의 사용자단말기(200)가 네트워크 접속하여 접속을 해제하는 전 과정 동안 생성되는 로그를 취합하여 통합로그를 생성하고 분석하기 위한 시스템이며, 상기 네트워크접속제어(NAC) 시스템(220)은 상기 사용자인증 서버(111), 상기 접속정책 결정 서버(112), 상기 스위치(113), 상기 접속정책DB(140), 및 상기 사용자DB(150)를 포함한다.
사용자단말기(200)는 사용자단말기 호스트 네임이 "NAC-NOTE"이고, 사용자단말기 IP주소가 "150.23.23.100"이며, 사용자단말기 MAC주소가 "00:11:22:aa:bb:cc"이며, 사번이 "123456"인 사용자의 사용자단말기이고, 스위치 IP주소가 "10.10.10.1"인 스위치(113)의 "1번 포트"를 통해서 네트워크에 접속되어 있다.
사용자단말기(200)가 스위치(113)의 특정 포트에 연결됨으로써 네트워크 접속을 허용할 것인지 차단할 것인지에 대한 최종 정책결정을 내려 스위치(113)가 정책을 시행하도록 하는 인포서(Enforcer)의 역할을 하는 접속정책결정 서버(112)는 인포서 IP주소가 "10.10.10.3"으로 되어있다.
상기 네트워크(210)는 기업 내 구축되어있는 사설 네트워크의 일종인 인트라넷(Intranet)으로써, 서로 연결되어 있는 여러 개의 근거리통신망으로 구성될 수 있고, 광역통신망 내에서는 전용회선이 사용되기도 한다. 일반적으로 인트라넷은 외부의 인터넷으로 연결된 하나 또는 그 이상의 게이트웨이 컴퓨터를 통한 접속이 포함된다. 인트라넷(Intranet)의 주요 목적은 회사의 정보나 컴퓨팅 자원을 직원들 간에 서로 공유하는 데 있다. 인트라넷은 또한 여러 그룹간의 업무나 화상회의 등을 용이하게 하는 데에도 사용될 수 있다.
인트라넷(Intranet)인 상기 네트워크(210)는 TCP/IP, HTTP 그 외 다른 인터넷 프로토콜들을 사용하므로, 대개 일반에게는 공개되지 않은 인터넷으로 볼 수도 있다.
또한, 상기 네트워크(210)는 사용자인증 및 사용자단말기 보안상태를 점검하여 최종적으로 네트워크 접속 허용 및 차단을 실행하는 자체 보안시스템인 네트워크접속제어시스템(220)이 구축되어 있다.
도 3은 통합로그 생성 및 분석 과정을 개략적으로 나타내는 도면이다.
도 3을 참조하면, 네트워크 접속시도자인 사용자에 대한 인증관련 정보가 포함된 로그를 취합하여 통합로그를 생성하고 분석하는 방법은, 통합로그 서버(120)가 복수의 이기종 장치인 사용자인증 서버(111), 접속정책결정 서버(112), 스위치(113)가 포함된 802.1x 인증기반 통합로그 클라이언트(110)로부터 사용자에 대한 인증관련 정보가 포함된 로그(311, 312, 313)를 전송받는 단계, 상기 통합로그 서 버(120)가 상기 통합로그 클라이언트(110)로부터 전송받은 로그(311, 312, 313)를 취합하여 통합로그(320)를 생성하는 단계, 및 통합로그 분석기(130)가 상기 통합로그 서버(120)에 의해 생성된 상기 통합로그(320)를 분석하는 단계를 포함하는 것을 특징으로 한다.
상기 통합로그 서버(120)가 상기 사용자인증 서버(111)로부터 전송받는 제 1 로그는 인증시도시간, 사용자단말기 호스트네임, 사용자단말기 IP주소, 사용자단말기 MAC주소, 사용자 로그인ID, 인포서(Enforcer) IP주소, 작업내용, 및 인증결과 등에 대한 인증관련 정보를 포함하며, 경우에 따라서는 일부의 인증관련 정보만을 포함할 수 있다.
상기 통합로그 서버(120)가 상기 사용자인증 서버(111)로부터 인증관련 정보가 포함된 제 1 로그를 전송받는 주기는 네트워크 보안관리자에 의해서 설정되며, 전송 시에는 UDP(User Datagram Protocol)전송 프로토콜이 이용될 수 있으며, 시스템로그(SysLog)에 대한 웰넌(Well-known) 포트번호 514로 설정하여 전송가능하다.
상기 통합로그 서버(120)가 상기 접속정책결정 서버(112)로부터 전송받는 제 2 로그는 사용자접속시간, 사용자단말기 호스트네임, 사용자단말기 IP주소, 사용자단말기 MAC주소, 사용자 로그인ID, 사용자 사번, 인포서(Enforcer) 이름, 작업내용, 및 작업결과 등에 대한 인증관련 정보를 포함하며, 경우에 따라서는 일부의 인증관련 정보만을 포함할 수 있다.
상기 통합로그 서버(120)가 상기 접속정책결정 서버(112)로부터 인증관련 정보가 포함된 제 2 로그를 전송받는 주기는 네트워크 보안관리자에 의해서 설정되 며, 전송 시에는 UDP(User Datagram Protocol)전송 프로토콜이 이용될 수 있으며, 시스템로그(SysLog)에 대한 웰넌(Well-known) 포트번호 514로 설정하여 전송가능하다.
상기 통합로그 서버(120)가 상기 스위치(113)로부터 전송받는 제 3 로그는 사용자접속시간, 사용자단말기 호스트네임, 사용자단말기 IP주소, 사용자단말기 MAC주소, 사용자 로그인ID, 스위치 포트 번호, 및 작업내용에 대한 인증관련 정보를 포함하며, 경우에 따라서는 일부의 인증관련 정보만을 포함할 수 있다.
상기 통합로그 서버(120)가 상기 스위치(113)로부터 인증관련 정보가 포함된 제 3 로그를 전송받는 주기는 네트워크 보안관리자에 의해서 설정되며, 전송 시에는 UDP(User Datagram Protocol)전송 프로토콜이 이용될 수 있으며, 시스템로그(SysLog)에 대한 웰넌(Well-known) 포트번호 514로 설정하여 전송가능하다.
상기 통합로그 분석기(130)는 상기 통합로그 서버(120)에 의해 생성된 상기 통합로그(320)를 웹(Web)방식으로 조회하며, 분석하는 기능을 수행한다.
네트워크 보안관리자가 상기 통합로그 분석기(130)를 이용하여 통합로그(320) 조회 및 분석 시, 상기 통합로그 분석기(130)에 보이는 내용을 설정할 수 있고, 통합로그(320) 내 정보를 통계를 낼 수도 있다. 상기 통합로그 조회 및 분석을 통하여, 네트워크 보안관리자가 비 인가자의 네트워크 접속차단 현황 파악, 인가자의 보안정책위반 현황파악, 네트워크 접속된 사용자단말기 보안수준진단, 웜 또는 바이러스 유포방지, 장애발생 예측 등을 수행할 수 있으며, 장애 발생 시 복수의 이기종 장치 중에서 어느 장치로부터 장애가 발생했는지 파악이 가능하여 신 속한 장애 대응이 가능하다.
도 4는 통합로그 서버에서 생성된 통합로그를 예시한 도면이다.
도 4는 상기 도 2의 네트워크 환경에서 통합로그 서버(120)가 사용자인증 서버(111), 접속정책결정 서버(112), 및 스위치(113)로부터 인증관련 정보가 포함된 로그를 취합하여 생성된 통합로그(320)를 예시한 도면으로, 통합로그(320) 상의 필드 항목은 취합한 로그의 모든 정보가 될 수 있다.
도 4를 참조하면, 통합로그(320)는 사용자 접속시간(401), 사용자단말기 호스트네임(402), 사용자 사번(403), 사용자단말기 IP주소(404), 사용자단말기 MAC주소(405), 스위치 IP주소(406), 스위치 포트번호(407), 인포서(Enforcer) IP주소(408), 인증내용(409), 인증결과(410) 등을 포함하는 필드 항목으로 되어있으며, 경우에 따라서는 일부의 필드 항목만을 가질 수 있다.
도 2 및 도 4를 참조하면, 사용자 접속시간(401), 스위치 IP주소(406), 스위치 포트번호(407)는 상기 스위치(113)로부터 전송받은 제 3 로그로부터 얻어진 정보이다.
사용자단말기 호스트네임(402), 사용자단말기 IP주소(404), 사용자단말기 MAC주소(405)는 사용자인증 서버(111), 접속정책결정 서버(112), 및 스위치(113)로부터 얻어질 수 있는 정보이다.
사용자 사번(403)은 접속정책결정 서버(112)로부터 얻어질 수 있는 정보이며, 인포서(Enforcer) IP주소(408), 인증내용(409), 정책결과(410)는 사용자인증 서버(111), 및 접속정책결정 서버(112)로부터 얻을 수 있는 정보이다.
상기 인포서(Enforcer) IP주소(408)란, 상기 사용자인증 서버(111)가 결정 내린 인증결과, 사용자단말기 무결성(Integrity) 검증결과, 및 접속정책DB(140)에 저장된 정책정보를 토대로 스위치(113)를 제어하는 장비에 설정된 IP주소를 의미한다. 본 발명에서의 스위치를 제어하는 인포서(Enforcer)로서는 접속정책결정 서버(112)가 될 수 있다.
도 4를 참조하면, 사번이 "123456"인 사용자가 네트워크에 접속하려고 하는 것으로서, 호스트 네임이 "NAC-NOTE"이고, IP주소가 "10.10.10.2"이며, MAC주소가 "00:11:22:aa:bb:cc"인 사용자단말기가 "2007년 1월 24일 16시 06분"에 IP주소가 "10.10.10.1"인 스위치의 "1"번 포트(Port)를 통해서 네트워크 접속을 시도했음을 알 수 있다. 또한, 사용자단말기는 사용자인증 서버(111)로부터 인증을 받음("PASS")고, 접속정책결정 서버(112)로부터 스위치의 1번 포트를 열어서 접속을 허용하는 정책결정("OPEN_PORT")을 받음으로써, 실제로 스위치(113)의 1번 포트를 통해 네트워크 접속이 된다.
도 5는 통합로그 서버에 대한 내부 구성도이다.
통합로그 서버(120)는 802.1x 인증기반 통합로그 클라이언트와 연동이 되는 서버로서, 사용자인증 서버(111), 접속정책결정 서버(112), 스위치(113)를 포함하는 802.1x 인증기반 통합로그 클라이언트(110)로부터 로그를 전송받는 로그 취합부(500), 전송받은 로그로부터 통합로그를 생성하는 통합로그 생성부(510), 생성된 통합로그를 저장하고 있는 통합로그 저장부(520)를 포함하여 구성되며, 통합로그 서버 내 상기 통합로그 저장부에 저장된 통합로그는 통합로그 분석기(130)에 의해서 분석된다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
이상에서 설명한 바와 같이 본 발명에 의하면, 통합로그 분석시스템은 802.1x 인증기반의 네트워크접속제어(Network Access Control: NAC)시스템 내 복수의 이기종 보안장치로부터 인증관련 정보가 포함된 로그를 취합하여 통합로그를 생성하고 분석할 수 있는 기능을 제공할 수 있다.
본 발명을 이용하면, 네트워크 보안 문제 및 장애 발생시, 통합로그 분석시 스템은 802.1x 인증기반 복수의 이기종 보안장치로부터 취합되어 생성된 통합로그에 대한 분석을 수행하고, 장애발생 위치에 대한 신속한 판단 및 장애발생에 대한 즉각적인 대응을 제공할 수 있다.

Claims (16)

  1. 네트워크 접속시도자인 사용자에 대한 인증관련 정보가 포함된 로그를 취합하여 통합로그를 생성하고 분석하는 802.1x 인증기반 통합로그 분석시스템에 있어서,
    (a) 사용자에 대한 인증관련 정보가 포함된 상기 로그를 저장하고 있는 복수의 이기종 장치가 포함된 802.1x 인증기반 통합로그 클라이언트;
    (b) 상기 통합로그 클라이언트로부터 상기 로그를 전송받아 통합로그를 생성하는 802.1x 인증기반 통합로그 서버; 및
    (c) 상기 통합로그 서버에 의해 생성된 상기 통합로그를 조회하고 분석하는 통합로그 분석기를 포함하는 것을 특징으로 하는 통합로그 분석시스템.
  2. 제 1항에 있어서, (b) 상기 통합로그 서버는,
    (b 1) 복수의 이기종 장치가 포함된 802.1x 인증기반 통합로그 클라이언트로부터 인증관련 정보가 포함된 상기 로그를 전송받고,
    (b 2) 상기 통합로그 클라이언트로부터 전송받은 상기 로그들을 취합하여 통합로그를 생성하는 것을 특징으로 하는 통합로그 분석시스템.
  3. 제 1항에 있어서, 상기 통합로그 분석시스템은,
    네트워크 접속 허용을 인가받은 사용자에 대한 사용자 로그인ID, 사용자 사번, 사용자 로그인 비밀번호를 포함하는 사용자정보를 저장하고 있는 사용자DB, 및 네트워크 접속 허용 및 차단에 대한 정책정보를 저장하고 있는 접속정책DB를 추가로 포함하는 것을 특징으로 하는 통합로그 분석시스템.
  4. 제 1항에 있어서, (a) 802.1x 인증기반 상기 통합로그 클라이언트는,
    (a 1) 사용자에 대한 네트워크 접속 허용에 대한 사용자인증 여부를 사용자DB 내 저장된 사용자정보를 토대로 결정하고, 그에 따른 사용자인증관련 정보를 포함하는 제 1 로그를 저장하고 있는 사용자인증 서버;
    (a 2) 상기 사용자인증 서버가 결정 내린 인증결과, 사용자단말기 무결성(Integrity) 검증결과, 및 접속정책DB에 저장된 정책정보를 토대로 스위치를 제어하는 인포서(Enforcer) 역할을 수행하고, 그에 따른 사용자에 대한 인증관련 정보가 포함된 제 2 로그를 저장하고 있는 접속정책결정 서버; 및
    (a 3) 상기 접속정책결정 서버로부터의 인포스먼트(Enforcement) 지시에 따라 사용자단말기의 네트워크 접속 허용 및 차단을 실행하는 정책실행 장비로서, 그에 따른 사용자에 대한 인증관련 정보가 포함된 제 3 로그를 저장하고 있는 스위치 중 하나 이상을 포함하는 것을 특징으로 하는 통합로그 분석시스템.
  5. 제 1항에 있어서,
    복수의 이기종 장치가 포함된 802.1x 인증기반 상기 통합로그 클라이언트가 저장하고 있는 사용자에 대한 인증관련 정보가 포함된 상기 로그는 상기 제 1 로그, 상기 제 2 로그, 상기 제 3 로그 중 하나 이상을 포함하는 것을 특징으로 하는 통합로그 분석시스템.
  6. 제 4항에 있어서, (a 1) 상기 제 1 로그는,
    인증시도시간, 사용자단말기 호스트네임, 사용자단말기 IP주소, 사용자단말기 MAC주소, 사용자 로그인ID, 인포서(Enforcer) IP주소, 작업내용, 및 인증결과에 대한 인증관련 정보 중 하나 이상을 포함하고, 네트워크 보안관리자에 의해 설정된 주기마다 상기 통합로그 서버로 전송되는 것을 특징으로 하는 통합로그 분석시스템.
  7. 제 6항에 있어서,
    상기 사용자인증 서버는 이벤트 발생시마다 인증관련 정보를 갱신하고, 상기 통합로그 서버로 전송하지 않은 인증관련 정보가 포함된 상기 제 1 로그를 네트워크 보안관리자에 의해서 설정된 주기마다 상기 통합로그 서버로 전송하는 것을 특 징으로 하는 통합로그 분석시스템.
  8. 제 4항에 있어서, (a 2) 상기 제 2 로그는,
    사용자접속시간, 사용자단말기 호스트네임, 사용자단말기 IP주소, 사용자단말기 MAC주소, 사용자 로그인ID, 사용자 사번, 인포서(Enforcer) 이름, 작업내용, 및 작업결과에 대한 인증관련 정보 중 하나 이상을 포함하고, 네트워크 보안관리자에 의해 설정된 주기마다 상기 통합로그 서버로 전송되는 것을 특징으로 하는 통합로그 분석시스템.
  9. 제 8항에 있어서,
    상기 접속정책결정 서버는 이벤트 발생시마다 인증관련 정보를 갱신하고, 상기 통합로그 서버로 전송하지 않은 인증관련 정보가 포함된 상기 제 2 로그를 네트워크 보안관리자에 의해서 설정된 주기마다 상기 통합로그 서버로 전송하는 것을 특징으로 하는 통합로그 분석시스템.
  10. 제 4항에 있어서, (a 3) 상기 제 3 로그는,
    사용자접속시간, 사용자단말기 호스트네임, 사용자단말기 IP주소, 사용자단 말기 MAC주소, 사용자 로그인ID, 스위치 포트 번호, 및 작업내용에 대한 인증관련 정보 중 하나 이상을 포함하고, 네트워크 보안관리자에 의해 설정된 주기마다 상기 통합로그 서버로 전송하는 것을 특징으로 하는 통합로그 분석시스템.
  11. 제 10항에 있어서,
    상기 스위치는 이벤트 발생시마다 인증관련 정보를 갱신하고, 상기 통합로그 서버로 전송하지 않은 인증관련 정보가 포함된 제 3 로그를 네트워크 보안관리자에 의해서 설정된 주기마다 상기 통합로그 서버로 전송하는 것을 특징으로 하는 통합로그 분석시스템.
  12. 제 1항에 있어서, (c) 상기 통합로그 분석기는,
    상기 통합로그 서버에 의해 생성되어 저장되어 있는 통합로그를 분석하여, 네트워크 보안관리자가 비 인가자의 네트워크 접속차단 현황 파악, 인가자의 보안정책위반 현황파악, 네트워크 접속된 사용자단말기 보안수준진단, 웜 또는 바이러스 유포방지, 장애발생 예측 및 판단 중 하나 이상의 기능을 수행하는 것을 특징으로 하는 통합로그 분석시스템.
  13. 네트워크 접속시도자인 사용자에 인증관련 정보가 포함된 로그를 취합하여 통합로그를 생성하는 802.1x 인증기반 통합로그 서버는,
    (a) 복수의 이기종 장치가 포함된 802.1x 인증기반 통합로그 클라이언트로부터 인증관련 정보가 포함된 상기 로그를 전송받는 로그 취합부;
    (b) 상기 통합로그 클라이언트로부터 전송받은 상기 로그로부터 상기 통합로그를 생성하는 통합로그 생성부; 및
    (c) 생성된 상기 통합로그를 저장하고 있는 통합로그 저장부를 포함하는 것을 특징으로 하는 통합로그 서버.
  14. 제 13항에 있어서,
    상기 통합로그 서버 내 상기 통합로그 저장부에 저장된 상기 통합로그는 통합로그 분석기에 의해서 분석되는 것을 특징으로 하는 통합로그 서버.
  15. 네트워크 접속시도자인 사용자에 인증관련 정보가 포함된 로그를 취합하여 통합로그를 생성하고 분석하는 방법에 있어서,
    (a) 통합로그 서버가 복수의 이기종 장치가 포함된 802.1x 인증기반 통합로그 클라이언트로부터 사용자에 대한 인증관련 정보가 포함된 로그를 전송받는 단계;
    (b) 상기 통합로그 서버가 상기 통합로그 클라이언트로부터 전송받은 상기 로그를 취합하여 통합로그를 생성하는 단계; 및
    (c) 통합로그 분석기가 상기 통합로그 서버에 의해 생성된 상기 통합로그를 분석하는 단계를 포함하는 것을 특징으로 하는 통합로그 분석 방법.
  16. 제 15항에 있어서, (c) 상기 통합로그를 분석하는 단계는,
    상기 통합로그 분석기가 상기 통합로그 서버에 의해 생성되어 저장되어 있는 상기 통합로그를 분석하는 기능을 수행하고, 상기 통합로그 분석을 통해서 비인가자의 네트워크 접속차단 현황 파악, 인가자의 보안정책위반 현황파악, 네트워크 접속된 사용자단말기 보안수준진단, 웜 또는 바이러스 유포방지, 장애발생 예측 및 판단 중 하나 이상의 기능을 수행하는 것을 특징으로 하는 통합로그 분석 방법.
KR1020070045338A 2007-05-10 2007-05-10 802.1x 인증기반 통합로그 분석 기능을 제공하는통합로그분석시스템, 통합로그 서버, 및 방법 KR100906389B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070045338A KR100906389B1 (ko) 2007-05-10 2007-05-10 802.1x 인증기반 통합로그 분석 기능을 제공하는통합로그분석시스템, 통합로그 서버, 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070045338A KR100906389B1 (ko) 2007-05-10 2007-05-10 802.1x 인증기반 통합로그 분석 기능을 제공하는통합로그분석시스템, 통합로그 서버, 및 방법

Publications (2)

Publication Number Publication Date
KR20080099593A true KR20080099593A (ko) 2008-11-13
KR100906389B1 KR100906389B1 (ko) 2009-07-07

Family

ID=40286541

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070045338A KR100906389B1 (ko) 2007-05-10 2007-05-10 802.1x 인증기반 통합로그 분석 기능을 제공하는통합로그분석시스템, 통합로그 서버, 및 방법

Country Status (1)

Country Link
KR (1) KR100906389B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100918272B1 (ko) * 2008-09-18 2009-09-21 주식회사 이글루시큐리티 단일사용자 식별을 통한 보안관제시스템 및 그 방법
WO2013055037A1 (ko) * 2011-10-10 2013-04-18 (주)잉카인터넷 위치정보 기반 인증 관제 시스템 및 방법
KR101409348B1 (ko) * 2013-03-26 2014-06-20 (주)아펙스플랫폼 통합 사용자 인증 정보를 이용한 사용자 인증 및 관리 방법

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040078598A1 (en) 2002-05-04 2004-04-22 Instant802 Networks Inc. Key management and control of wireless network access points at a central server
MXPA05009877A (es) * 2003-03-14 2006-02-28 Thomson Licensing Una arquitectura de punto de acceso a wlan flexible capaz de ordenar diferentes dispositivos del usuario.
KR100547133B1 (ko) * 2003-07-11 2006-01-26 삼성전자주식회사 이종 단말들의 애드-혹 망을 구축하는 장치 및 방법
KR100737685B1 (ko) * 2005-10-25 2007-07-09 에스케이 텔레콤주식회사 무선인터넷 서비스 통합 로그 생성 시스템 및 그 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100918272B1 (ko) * 2008-09-18 2009-09-21 주식회사 이글루시큐리티 단일사용자 식별을 통한 보안관제시스템 및 그 방법
WO2013055037A1 (ko) * 2011-10-10 2013-04-18 (주)잉카인터넷 위치정보 기반 인증 관제 시스템 및 방법
KR101409348B1 (ko) * 2013-03-26 2014-06-20 (주)아펙스플랫폼 통합 사용자 인증 정보를 이용한 사용자 인증 및 관리 방법

Also Published As

Publication number Publication date
KR100906389B1 (ko) 2009-07-07

Similar Documents

Publication Publication Date Title
US11775622B2 (en) Account monitoring
US7761918B2 (en) System and method for scanning a network
EP1591868B1 (en) Method and apparatus for providing network security based on device security status
US8171544B2 (en) Method and system for preventing, auditing and trending unauthorized traffic in network systems
US7150044B2 (en) Secure self-organizing and self-provisioning anomalous event detection systems
EP2715975B1 (en) Network asset information management
CN110493195B (zh) 一种网络准入控制方法及系统
US8042182B2 (en) Method and system for network intrusion detection, related network and computer program product
US20040193943A1 (en) Multiparameter network fault detection system using probabilistic and aggregation analysis
US20150347751A1 (en) System and method for monitoring data in a client environment
US20060203815A1 (en) Compliance verification and OSI layer 2 connection of device using said compliance verification
CN110611682A (zh) 一种网络访问系统及网络接入方法和相关设备
KR102176324B1 (ko) 임시 권한부여를 통한 보안취약점 진단시스템 및 그 방법
KR100906389B1 (ko) 802.1x 인증기반 통합로그 분석 기능을 제공하는통합로그분석시스템, 통합로그 서버, 및 방법
KR101775517B1 (ko) 빅데이터 보안 점검 클라이언트, 빅데이터 보안 점검 장치 및 방법
Ghaleb et al. A framework architecture for agentless cloud endpoint security monitoring
CN116996238A (zh) 一种网络异常访问的处理方法以及相关装置
Mohammed et al. Enhancing Network Security in Linux Environment
Cardoso et al. Security vulnerabilities and exposures in internet systems and services
Hubballi et al. Event Log Analysis and Correlation: A Digital Forensic Perspective
Siddiqui et al. SUTMS: Designing a Unified Threat Management System for Home Networks
Kim et al. Design of active honeypot system
Ghorbani et al. Data collection
CN118200016A (zh) 一种基于设备指纹的资产监控方法
CN118317315A (en) Fingerprint information identification technology for network access control system equipment

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130403

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20140612

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20150608

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20160608

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20170602

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20190502

Year of fee payment: 11