KR20090090641A - 능동형 보안 감사 시스템 - Google Patents

능동형 보안 감사 시스템 Download PDF

Info

Publication number
KR20090090641A
KR20090090641A KR1020080015978A KR20080015978A KR20090090641A KR 20090090641 A KR20090090641 A KR 20090090641A KR 1020080015978 A KR1020080015978 A KR 1020080015978A KR 20080015978 A KR20080015978 A KR 20080015978A KR 20090090641 A KR20090090641 A KR 20090090641A
Authority
KR
South Korea
Prior art keywords
intrusion
event
management unit
information
active security
Prior art date
Application number
KR1020080015978A
Other languages
English (en)
Other versions
KR100947211B1 (ko
Inventor
한재호
김영민
Original Assignee
주식회사 조은시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 조은시큐리티 filed Critical 주식회사 조은시큐리티
Priority to KR1020080015978A priority Critical patent/KR100947211B1/ko
Publication of KR20090090641A publication Critical patent/KR20090090641A/ko
Application granted granted Critical
Publication of KR100947211B1 publication Critical patent/KR100947211B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G08SIGNALLING
    • G08BSIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
    • G08B15/00Identifying, scaring or incapacitating burglars, thieves or intruders, e.g. by explosives
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 능동형 보안 감사 시스템에 관한 것으로, 보다 자세하게는 홈네트워크에서의 불법적인 침입과 공격 등을 탐지하고 능동적으로 대처함으로써, 홈네트워크의 보안과 운영 관리의 효율성을 높일 수 있는 능동형 보안 감사 시스템에 관한 것이다.
본 발명의 능동형 보안 감사 시스템은, 홈네트워크 시스템의 홈게이트웨이에 구비되어 네트워크 외부와 송수신하는 데이터를 감시하기 위한 시스템에 있어서, 네트워크 외부로부터 수신하는 데이터 패킷정보와 데이터베이스에 저장된 침입패턴정보를 비교하여 불법적인 침입을 탐지하고, 탐지된 침입을 차단하며, 침입탐지/침입차단 이벤트 로그를 생성하여 이벤트관리부(113)로 전송하는 침입탐지부(111); 네트워크 플로우를 모니터링하여 변칙을 탐지하고, 탐지된 변칙을 분석하며, 분석된 정보를 이벤트 로그로 생성하여 이벤트관리부(113)로 전송하는 위협관리부(112); 상기 침입탐지부(111)와 위협관리부(112)로부터 수신된 이벤트 로그를 통합하여 처리하기 위한 이벤트관리부(113); 및 상기 침입패턴정보를 저장하고, 상기 이벤트관리부(113)에서 처리된 정보를 저장하기 위한 데이터베이스(114)를 포함함에 기술적 특징이 있다.
홈네트워크, 보안감사, 침입탐지, 침입차단

Description

능동형 보안 감사 시스템{System for active security surveillance}
본 발명은 능동형 보안 감사 시스템에 관한 것으로, 보다 자세하게는 홈네트워크에서의 불법적인 침입과 공격 등을 탐지하고 능동적으로 대처함으로써, 홈네트워크의 보안과 운영 관리의 효율성을 높일 수 있는 능동형 보안 감사 시스템에 관한 것이다.
최근 인터넷의 이용이 급속하게 증가함에 따라 전세계가 하나의 인터넷 네트워크로 연결되고, 인터넷에 의한 현대인들의 생활의 편의가 높아져 가고 있다. 그러나 이러한 인터넷의 이면에는 현대인들의 편리 이외의 정보 누설 등과 같은 위험요소들이 도사리고 있으며, 범죄자들에 의한 정보 파괴, 정보 유출, 불법침입에 의한 시스템의 교란 및 파괴 등이 쉽게 이루어질 수 있는 문제점이 발생하게 되었다.
따라서 이러한 해킹과 같은 불법행위 등을 방지하기 위해서 내부자 또는 외부자에 의한 허가되지 않은 침입을 사전에 차단하여 네트워크 보안유지의 안정성을 확보할 수 있는 보안 솔루션이 사용되고 있으며, 대표적으로는 침입탐지 시스 템(Intrusion Detection System, IDS), 침입차단 시스템인 방화벽(Fire Wall)과 서버 보안시스템 등을 그 일예로 들 수 있다.
침입탐지 시스템은 네트워크상의 패킷정보를 수집하고 침입패턴 데이터베이스를 참조하여 불법적인 침입 행위를 탐지하여 관리자에게 알려주는 시스템이며, 방화벽은 네트워크 사이에 침입차단시스템을 두어 허가되지 않은 침입에 대한 접속을 차단하는 시스템이다.
그러나 침입탐지 시스템과 침입차단 시스템 등과 같은 보안 솔루션을 설치한다 하더라도 이러한 솔루션들은 단지 관리자에게 네트워크상의 이상징후를 판단할 수 있는 정보를 제공할 뿐이며 실제 해커에 의해 침입이 발생했는지 여부와 침입이 발생했다면 어떠한 불법적인 행위들이 진행되었는지 여부에 대해서는 관리자가 사후적으로 보안 감사를 실시해야 할 필요가 있다. 그러나 침입탐지 시스템, 침입차단 시스템은 그 시스템의 특성상 독립적으로 보안 감사를 수행하기 어려운 한계를 가지고 있으며, 보안 감사를 하기 위해서는 관리자가 직접 각각의 이벤트 로그를 종합적으로 연계분석해야하는 불편함이 있다.
종래의 보안 감사 방법은 침입탐지 시스템의 이벤트 로그를 분석하여 탐지된 유형의 패턴을 분석하고, 침입차단 시스템의 이벤트 로그를 분석하여 침입탐지 시스템에 의해 탐지된 유형의 패턴이 침입차단 시스템에서 어떻게 처리되었는지 여부(허용되었는지 여부)를 검토하며, 허용되었다면 사용자가 접속한 시스템의 이벤트 로그를 분석하여 어떠한 작업이 진행되었는지를 검토하는 단계를 거쳐 진행된다. 이와 같이 침입탐지 시스템과 침입차단 시스템은 관리자가 침입 여부 등을 판 단할 수 있는 정보만을 제공하고, 관리자는 직접 여러가지 이벤트를 분석하기 위하여 여러가지 로그 분석기를 사용하거나 수작업에 의해 하나하나 대조하는 방법을 통해 보안 감사를 수행한다.
따라서 종래의 보안 감사 방법은 통상 침입이 발생된 후에야 사후적으로 침입 여부를 알 수 있는 경우가 일반적이어서 침입탐지 시스템과 침입차단 시스템의 본연의 목적을 다하지 못하는 문제점이 발생되었고, 특히 인터넷 사용의 증가에 따라 매 시간마다 수천 내지 수만 개의 이벤트 로그가 발생되는 요즘에는 그 문제점이 더욱 심각하게 대두되어 효율적인 보안 감사를 위한 시스템의 필요성이 높아지고 있다.
한편, 홈네트워크(home network) 시스템은 가정 내 디지털 정보기기, 컴퓨터 관련 기기, A/V 기기, 가전 기기 등 홈 오토메이션을 위한 제어나 보안 기기들 간의 기능공유, 데이터 공유, 원격 제어 등을 수행하기 위한 시스템으로써, 인터넷 네트워크와 연결되어 오디오/비디오 스트림, 홈 컨트롤 애플리케이션 및 서비스를 비롯하여 기타의 네트워크화된 장비에 애플리케이션과 서비스를 분배해 주는 기능을 수행한다.
이러한 홈네트워크 시스템의 기능 즉, 댁 내의 정보 가전들 간에 데이터를 주고 받을 수 있는 통로를 제공하는 것뿐만 아니라 동시에 외부 인터넷 망과의 접속을 제공함으로써 지능화된 커뮤니케이션이 가능하도록 하는 네트워킹 방식을 홈네트워킹(Home Networking)이라 한다. 홈네트워킹은 궁극적으로는 댁 내 네트워크화를 통하여 정보자원의 공유와 개별제품들의 효용 극대화 추구를 그 목적으로 하 고 있다. 한편 홈네트워크 시스템을 위한 표준으로는, UpnP(Universal Plug and Play), Havi(Home Audio Video Interoperability), Jini(Java Intelligent Network Infrastructure), OSGI(open service gateway initiative) 등이 있다.
각 홈네트워크 시스템은 홈게이트웨이가 구비되어 있으며, 이를 통하여 홈네트워크 내부의 기기들이 외부의 인터넷으로 접속할 수 있게 된다. 근래에는 아파트(apartment)나, 오피스(office) 건물 내의 복수의 홈들은 상기 건물 또는 단지 별로 서버 시스템을 구축하고 상기 서버 시스템과 연동하여 각 홈에 관한 서비스뿐만 아니라 공용 서비스를 제공받고, 외부 인터넷과의 접속도 상기 서버 시스템을 통하여 이루어진다.
그러나 종래의 홈네트워크 시스템은 일반적으로 기업용, 기관용 네트워크 시스템에 비해 보안이 취약하여 네트워크의 침입을 탐지하고 차단하기 어려운 문제점이 있다.
상기와 같은 종래 기술의 문제점을 해결하기 위하여 안출된 본 발명은 홈네트워크에서의 불법적인 침입과 공격 등을 탐지하고 능동적으로 대처하여 홈네트워크의 보안과 운영 관리의 효율성을 높일 수 있도록 하는 능동형 보안 감사 시스템을 제공함에 본 발명의 목적이 있다.
본 발명의 상기 목적은 홈네트워크 시스템의 홈게이트웨이에 구비되어 네트워크 외부와 송수신하는 데이터를 감시하기 위한 시스템에 있어서, 네트워크 외부로부터 수신하는 데이터 패킷정보와 데이터베이스에 저장된 침입패턴정보를 비교하여 불법적인 침입을 탐지하고, 탐지된 침입을 차단하며, 침입탐지/침입차단 이벤트 로그를 생성하여 이벤트관리부(113)로 전송하는 침입탐지부(111); 네트워크 플로우를 모니터링하여 변칙을 탐지하고, 탐지된 변칙을 분석하며, 분석된 정보를 이벤트 로그로 생성하여 이벤트관리부(113)로 전송하는 위협관리부(112); 상기 침입탐지부(111)와 위협관리부(112)로부터 수신된 이벤트 로그를 통합하여 처리하기 위한 이벤트관리부(113); 및 상기 침입패턴정보를 저장하고, 상기 이벤트관리부(113)에서 처리된 정보를 저장하기 위한 데이터베이스(114)를 포함하는 능동형 보안 감사 시스템에 의해 달성된다.
본 발명의 다른 목적은 홈네트워크 시스템의 보안 감사 방법에 있어서, 홈게 이트웨이를 통해 데이터 패킷을 수신하는 제1단계; 수신된 상기 데이터 패킷과 데이터베이스에 저장된 침입패턴정보를 비교하여 침입을 탐지하고, 수신되는 상기 데이터 패킷을 바탕으로 네트워크 플로우를 모니터링하는 제2단계; 수신된 상기 데이터 패킷이 상기 침입패턴정보에 대응하는 경우에 침입을 차단하고 침입탐지 및 침입차단 이벤트 로그를 생성하며, 네트워크 플로우의 변칙이 탐지되는 경우에 해당 변칙의 위반 형태를 분석하고 이벤트 로그를 생성하는 제3단계; 및 상기 이벤트 로그들을 규격화하여 저장수단에 저장한 후, 저장된 데이터를 바탕으로 상호연관관계를 분석하는 제4단계를 포함하는 능동형 보안 감사 방법에 의해 달성된다.
따라서, 본 발명의 능동형 보안 감사 시스템은 홈네트워크에서의 불법적인 침입과 공격 등을 탐지하고 능동적으로 대처함으로써 홈네트워크의 보안과 운영 관리의 효율성을 높일 수 있는 효과가 있다.
본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다.
따라서, 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일 실시예에 불과할 뿐이고 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다.
이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하기로 한다.
도 1은 본 발명에 따른 능동형 보안 감사 시스템의 일실시예를 나타낸 구성도이다.
본 발명의 능동형 보안 감사 시스템(110)은 네트워크 외부에서 수신하는 패킷정보와 침입패턴정보를 비교하여 불법적인 침입을 탐지하기 위한 침입탐지부(111), 네트워크 플로우를 모니터링하여 비정상적인 동작을 감지하기 위한 위협관리부(112), 상기 침입탐지부(111)와 위협관리부(112)에서 발생하는 이벤트를 통합하여 처리하기 위한 이벤트관리부(113) 및 데이터베이스(114)를 포함하여 구성된다.
또한, 본 발명의 능동형 보안 감사 시스템은 홈네트워크에서 외부와 송수신하는 데이터를 감시할 수 있도록 홈게이트웨이(100)에 포함되어 구성됨이 바람직하다.
본 발명에 따른 능동형 보안 감사 시스템의 침입탐지부(111)는, 홈게이트웨이(100)에서 인터넷(10)을 통해 외부에 위치한 하나 이상의 홈네트워크(11) 또는 하나 이상의 서버(12)와 송수신하는 데이터 패킷과 데이터베이스(114)에 저장된 침입패턴정보의 비교를 통해 침입 여부를 판단하여 침입을 탐지한다.
데이터베이스(114)는 다양한 유형의 침입패턴정보를 저장하고 있으며, 이는 사탄을 이용한 스캔이나 포트, IP스캔 등의 공격전 탐침, 바이러스와 유사한 형태로 시스템 내부에서 외부로 각종 정보를 유출하거나 시스템 통제를 외부에서 불법적으로 장악할 수 있는 백도어(backdoor), 시스템이나 응용프로그램 내부 코드에서 사용하는 버퍼가 오버플로우 될 때 발생하는 취약점을 이용한 버퍼 오버플로우(Buffer Overflow), IP 주소를 기반으로 접근제어를 수행하는 방화벽을 속이기 위한 공격유형으로 해킹을 시도하는 컴퓨터의 IP 주소를 접근 가능한 것으로 위장하여 침입하는 IP 스푸핑(Spoofing), 네트워크 패킷을 가로채 프로토콜을 분석하여 정보를 유출하는 공격 유형, 인가받지 않고 네트워크 또는 시스템에 침입을 시도하는 공격 유형, 서버의 기능을 방해/정지하기 위해 많은 양의 네트워크 트래픽을 유발시키는 서비스 거부공격(DOS) 등과 같은 공격 유형의 침입패턴정보를 포함하고, 각 공격 유형별 침입패턴정보에 따라 위험도가 지정된다.
본 발명의 침입탐지부(111)는 방화벽(firewall), IDS(Intrusion Detection System), IPS(Intrusion Prevention System) 등과 같은 모듈을 이용하여 외부 네트워크에서 수신한 데이터 패킷을 감시하고, 침입패턴정보에 지정된 위험도에 따라 자동으로 침입을 차단하며, 수신한 데이터 패킷이 상기와 같은 침입패턴정보와 대응하거나 대응된 데이터 패킷을 차단하는 경우 침입탐지 또는 침입차단 이벤트 로그를 생성하여 이벤트관리부(113)로 생성된 이벤트 로그를 전송한다.
본 발명의 위협관리부(112)는 인터넷(10)을 통해 외부로부터 수신되는 데이터 플로우를 모니터링하여 비정상적인 행동, 즉 변칙(Anomaly)을 탐지하고, 탐지한 변칙의 애플리케이션, 프로토콜, 위협 등의 위반 형태를 분석한 후, 분석된 정보를 이벤트 로그로 생성하고 이벤트관리부(113)로 전송한다.
본 발명의 일실시예에 따르면 위협관리부(112)에서는 탐지한 변칙을 분석하여 트로이 목마, 이메일 기반의 웜바이러스, 비인가 서버의 운영감지 등을 찾아낼 수 있다.
이때 위협관리부(112)는 데이터 패킷의 소스 IP 주소, 목적지 IP 주소, MAC 주소, 포트, 프로토콜 등을 모니터링하여 호스트에게 응답하는 서버의 중단, 게이트웨이의 트래픽 손실과 중단과 같은 무중단(Non-stop) 서비스의 정지나 비정상적인 동작과 사고를 감지하고, 애플리케이션 행동 수준의 변화를 모니터링하여 SSH(Secure SHell) 서버, 라우터와 스위치의 기능 변화나 서버에서 프록시로의 변화 등을 감지하며, 신뢰있는 시스템이라도 허용된 기준보다 많은 데이터를 가져 갈 경우에는 비정상적인 행동으로 간주하여 이벤트 로그를 생성하고 이벤트관리부(113)로 전송할 수 있다. 상기와 같이 위협관리부(112)에서 탐지/분석하는 공격 유형들 또한 각각 위험도를 지정할 수 있다.
한편, 본 발명의 위협관리부(112)는 수학적인 방법을 이용하여 변칙을 탐지하고 분석한다.
본 발명의 일실시예에 따르면 위협관리부(112)는 부울린(Boolean) 방정식을 이용하여 플로우를 수집하면서 실시간으로 공격에 응답하는 피해자를 분석하고, IRC(Internet Relay Chat)를 사용해 웜바이러스 공격의 발생지가 되는 봇(bot)의 네트워크를 분석하며, 공격에 대한 피해로 서비스 불능인 것을 찾을 수 있다.
본 발명의 다른 실시예에 따르면 위협관리부(112)는 홀트-윈터스(Holt-Winters) 알고리즘을 이용하여 변칙을 탐지할 수 있다.
홀트-윈터스 알고리즘은 플로우의 비율과 양을 시간에 따라 학습하는데 사용하며, 학습결과를 토대로 정상적인 행동에서 벗어난 변칙을 찾아낸다. 따라서 오랜시간 학습할수록 정확한 결과를 제공하며, 지속적인 학습과 보정으로 업무 성장에 따라 적절하게 정상적인 윤곽을 보이도록 유지할 수 있다. 또한, 홀트-윈터스 알고리즘으로 변칙을 찾기 위해서는 항상 데이터가 있어야 하는 환경(no zero values)이 필요하기 때문에 백본이나 트렁크 구간에서 플로우를 모니터링하는 경우 이용함이 바람직하다.
본 발명의 실시예에 따르면 홀트-윈터스 알고리즘을 이용하여 새로운 온라인 서비스 시작 등의 큰 스케일의 대역폭 변화를 감지하며, 웜바이러스나 공격 전 스캐닝, 서비스 거부공격은 물론 새로운 형태의 프로토콜이나 애플리케이션 사용을 감지할 수 있다. 또한, 플로우의 비율과 양을 시간에 따라 학습하고 이를 토대로 변칙을 찾는 홀트-윈터스 알고리즘을 이용하여 장기간에 걸쳐 조금씩 침투하는 행동을 감지할 수 있으며, 일예로 관리자가 없는 시간에 SMTP(Simple Mail Transfer Protocol) 메일을 이용해 메일 바이러스를 퍼뜨리는 행위나 Syn(Synchronize sequence number) 트래픽으로 통계 엔진이 무력화되는 것을 감지할 수 있다.
또한, 본 발명의 위협관리부(112)에서 사용하는 홀트-윈터스 알고리즘은 변칙적으로 감소하는 트래픽을 감지하고 분석하여 공격을 당한 서버 응답 정지뿐만 아니라 백업 서버까지 응답이 없다면 백업 시스템에 대한 경보를 발생할 수도 있 다.
이벤트관리부(113)는 상기 침입탐지부(111)에서 탐지한 불법적인 침입, 차단에 대한 이벤트 로그와 위협관리부(112)에서 탐지하고 분석된 정보를 수신하여 규격화(normalization)한 후 데이터베이스(114)에 저장한다. 이때 불필요한 정보나 중복된 정보 등은 필터링할 수도 있다.
이후, 이벤트관리부(113)는 데이터베이스(114)에 저장된 데이터를 바탕으로 상호연관관계(correlation)를 분석한다. 이와 같이 본 발명의 능동형 보안 감사 시스템(110)은 데이터베이스(114)에 저장된 데이터들의 상호연관관계를 분석하여 침입탐지부(111)에서 수신한 이벤트 로그와 위협관리부(112)에서 수신한 이벤트 로그를 연동함으로써 공격 유형, 공격 위치와 같은 공격자 정보나 유해성이나 심각성 정도에 따른 공격의 우선순위에 대한 자세한 정보를 제공할 수 있다.
또한, 비슷하거나 동일한 유형의 공격 이벤트별로 데이터를 분석하거나, 특정 위반 사항에 관련된 데이터만을 정리함으로써, 홈네트워크 관리자가 분석하는데 필요한 시간을 감소시킬 뿐만 아니라 네트워크의 가용성을 높일 수 있다.
본 발명의 일실시예에 따르면, 이벤트관리부(113)는 분석한 데이터를 바탕으로 자동으로 응답을 수행할 수 있다. 일예로 인터넷(10)을 통해 홈게이트웨이(100)에 접속한 외부 단말/서버가 불법적인 침입이거나 비정상적인 행동을 수행하는 경우, 해당 공격자의 위치를 파악하고 권한을 축소 또한 삭제한다. 이 경우 공격자 권한의 조절여부는 해당 공격의 위험도에 따라 다르게 설정될 수 있다.
또한, 축소된 권한을 스위치 포트에 적용하면서 동시에 치료를 유도하는 강 제 유도(redirect) 정책을 사용할 수도 있다.
도 2는 본 발명에 따른 능동형 보안 감사 시스템의 다른 실시예를 나타낸 구성도이다.
본 발명의 능동형 보안 감사 시스템(110)은, 도 1에 따른 일실시예와 같이 침입탐지부(111), 위협관리부(112), 이벤트관리부(113) 및 데이터베이스(114)를 포함하여 구성할 수 있고, 도 2에 따른 실시예와 같이 침입탐지부(111), 위협관리부(112) 및 데이터베이스(114)만을 포함하여 구성할 수도 있다.
도 2의 본 발명에 따른 능동형 보안 감사 시스템의 실시예는, 도 1에 따른 일실시예와 동일한 기능을 수행하며, 이벤트관리서버(113)를 홈네트워크 내부 또는 홈네트워크 외부에 두어, 도 1에 따른 일실시예의 이벤트관리부(113) 기능을 수행하도록 한다. 이때, 이벤트관리서버(113)는 적어도 한 개 이상의 홈네트워크에 속하는 능동형 보안 감사 시스템(110)으로부터 이벤트 로그를 수신하고, 수신된 이벤트 로그를 상기 이벤트관리부(113)와 같이 규격화한 후 자체 저장수단에 저장하고, 저장된 데이터를 바탕으로 상호연관관계를 분석한다.
본 발명의 실시예에 따르면, 이벤트관리서버(113)는 홈네트워크 내부에 독립된 장치로 포함될 수 있고, 외부에 위치하여 인터넷(10)을 통해 연결된 홈네트워크의 능동형 보안 감사 시스템(110)과 데이터를 송수신할 수도 있다.
도 3은 본 발명에 따른 능동형 보안 감사 방법의 순서도이다.
홈네트워크의 홈게이트웨이에 포함되어 있는 본 발명의 능동형 보안 감사 시스템은, 홈게이트웨이를 통해 수신되는 데이터 패킷을 감시한다(S310).
이때, 능동형 보안 감사 시스템의 침입탐지부는 데이터베이스에 저장되어 있는 침입패턴정보와 수신된 데이터 패킷을 비교하여 침입여부를 판단하고(S320), 위협관리부는 수신되는 데이터 플로우를 모니터링하여 변칙을 탐지한다(S330).
저장된 침입패턴정보와 수신된 데이터 패킷이 일치하는 경우(S321), 즉 침입을 탐지한 경우 탐지된 침입패턴정보의 위험도에 따라 침입을 차단한다(S322). 침입을 차단한 후, 침입탐지 및 침입차단 이벤트 로그를 생성하고 이벤트관리부 도는 이벤트관리서버로 전송한다(S323).
또한, 위협관리부에서 변칙을 탐지한 경우(S331), 탐지된 변칙의 위반 형태를 분석하고(S332), 이벤트 로그를 생성하여 이벤트관리부 또는 이벤트관리서버로 전송한다(S333).
침입탐지부와 위협관리부로부터 이벤트로그를 수신한 이벤트관리부 또는 이벤트관리서버는, 이를 규격화하여 데이터베이스 또는 자체 저장수단에 저장한다. 이후, 저장된 데이터를 바탕으로 상호연관관계를 분석한다(S340).
상기와 같은 능동형 보안 감사 방법의 S320, S330, S322, S331, S332 및 S340 단계의 자세한 설명은 도 1에 따른 능동형 보안 감사 시스템의 일실시예의 설명을 참고한다.
본 발명은 이상에서 살펴본 바와 같이 바람직한 실시예를 들어 도시하고 설명하였으나, 상기한 실시예에 한정되지 아니하며 본 발명의 정신을 벗어나지 않는 범위 내에서 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변경과 수정이 가능할 것이다.
도 1은 본 발명에 따른 능동형 보안 감사 시스템의 일실시예를 나타낸 구성도,
도 2는 본 발명에 따른 능동형 보안 감사 시스템의 다른 실시예를 나타낸 구성도,
도 3은 본 발명에 따른 능동형 보안 감사 방법의 순서도.
<도면의 주요 부분에 대한 부호의 설명>
100: 홈게이트웨이 110: 능동형 보안 감사 시스템
111: 침입탐지부 112: 위협관리부
113: 이벤트관리부, 이벤트관리서버 114: 데이터베이스

Claims (11)

  1. 홈네트워크 시스템의 홈게이트웨이에 구비되어 네트워크 외부와 송수신하는 데이터를 감시하기 위한 시스템에 있어서,
    네트워크 외부로부터 수신하는 데이터 패킷정보와 데이터베이스에 저장된 침입패턴정보를 비교하여 불법적인 침입을 탐지하고, 탐지된 침입을 차단하며, 침입탐지/침입차단 이벤트 로그를 생성하여 이벤트관리부(113)로 전송하는 침입탐지부(111);
    네트워크 플로우를 모니터링하여 변칙을 탐지하고, 탐지된 변칙을 분석하며, 분석된 정보를 이벤트 로그로 생성하여 이벤트관리부(113)로 전송하는 위협관리부(112);
    상기 침입탐지부(111)와 위협관리부(112)로부터 수신된 이벤트 로그를 통합하여 처리하기 위한 이벤트관리부(113); 및
    상기 침입패턴정보를 저장하고, 상기 이벤트관리부(113)에서 처리된 정보를 저장하기 위한 데이터베이스(114)
    를 포함하는 능동형 보안 감사 시스템.
  2. 제 1 항에 있어서,
    상기 침입패턴정보는 공격 유형에 따른 위험도가 지정된 것인 능동형 보안 감사 시스템.
  3. 제 1 항에 있어서,
    상기 침입탐지부(111)는 방화벽, IDS, IPS 중 어느 하나 이상을 이용하여 불법적인 침입을 탐지하고, 탐지된 침입을 차단하는 능동형 보안 감사 시스템.
  4. 제 1 항에 있어서,
    상기 위협관리부(112)는 부울린 방정식을 이용해 네트워크 플로우를 모니터링하여 변칙을 탐지하고 분석하는 능동형 보안 감사 시스템.
  5. 제 1 항에 있어서,
    상기 위협관리부(112)는 홀트-윈터스 알고리즘을 이용하여 변칙을 탐지하는 능동형 보안 감사 시스템.
  6. 제 1 항에 있어서,
    상기 이벤트관리부(113)는 상기 침입탐지부(111)와 위협관리부(112)로부터 수신한 이벤트 로그를 지정된 포맷에 따라 규격화하고 데이터베이스(114)에 저장하며, 상기 데이터베이스(114)에 저장된 데이터를 바탕으로 규격화된 이벤트 로그의 상호연관관계를 분석하고, 침입탐지부(111)로부터 수신한 이벤트 로그와 위협관리부(112)로부터 수신한 이벤트 로그를 연동하여 공격 유형, 공격 위치와 같은 공격자 정보나 유해성이나 심각성 정도에 따른 공격의 우선순위에 대한 정보를 분석하는 능동형 보안 감사 시스템.
  7. 제 6 항에 있어서,
    상기 이벤트관리부(113)는 분석된 이벤트 로그를 바탕으로 공격자의 위치를 파악하고 해당 공격자의 권한을 축소 또는 삭제하는 능동형 보안 감사 시스템.
  8. 홈네트워크 시스템의 보안 감사 방법에 있어서,
    홈게이트웨이를 통해 데이터 패킷을 수신하는 제1단계;
    수신된 상기 데이터 패킷과 데이터베이스에 저장된 침입패턴정보를 비교하여 침입을 탐지하고, 수신되는 상기 데이터 패킷을 바탕으로 네트워크 플로우를 모니터링하는 제2단계;
    수신된 상기 데이터 패킷이 상기 침입패턴정보에 대응하는 경우에 침입을 차단하고 침입탐지 및 침입차단 이벤트 로그를 생성하며, 네트워크 플로우의 변칙이 탐지되는 경우에 해당 변칙의 위반 형태를 분석하고 이벤트 로그를 생성하는 제3단계; 및
    상기 이벤트 로그들을 규격화하여 저장수단에 저장한 후, 저장된 데이터를 바탕으로 상호연관관계를 분석하는 제4단계
    를 포함하는 능동형 보안 감사 방법.
  9. 제 8 항에 있어서,
    상기 침입패턴정보는 공격 유형에 따른 위험도가 지정된 것인 능동형 보안 감사 방법.
  10. 제 8 항에 있어서,
    부울린 방정식 또는 홀트-윈터스 알고리즘을 이용하여 상기 네트워크 플로우의 변칙을 탐지하고 분석하는 능동형 보안 감사 방법.
  11. 제 8 항에 있어서, 상기 제4단계 이후,
    상기 상호연관관계를 분석하여 공격 유형, 공격 위치와 같은 공격자 정보나 유해성이나 심각성 정도에 따른 공격의 우선순위에 대한 정보를 파악하고, 해당 공 격자의 권한을 축소 또는 삭제하는 능동형 보안 감사 방법.
KR1020080015978A 2008-02-21 2008-02-21 능동형 보안 감사 시스템 KR100947211B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080015978A KR100947211B1 (ko) 2008-02-21 2008-02-21 능동형 보안 감사 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080015978A KR100947211B1 (ko) 2008-02-21 2008-02-21 능동형 보안 감사 시스템

Publications (2)

Publication Number Publication Date
KR20090090641A true KR20090090641A (ko) 2009-08-26
KR100947211B1 KR100947211B1 (ko) 2010-03-11

Family

ID=41208395

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080015978A KR100947211B1 (ko) 2008-02-21 2008-02-21 능동형 보안 감사 시스템

Country Status (1)

Country Link
KR (1) KR100947211B1 (ko)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8781296B2 (en) 2010-12-14 2014-07-15 4Dream Co., Ltd. Auditing system for misuse of an image information
US9258321B2 (en) 2012-08-23 2016-02-09 Raytheon Foreground Security, Inc. Automated internet threat detection and mitigation system and associated methods
US9392003B2 (en) 2012-08-23 2016-07-12 Raytheon Foreground Security, Inc. Internet security cyber threat reporting system and method
WO2016190663A1 (ko) * 2015-05-26 2016-12-01 주식회사 안랩 홈 네트워크 시스템에서의 보안 관리 장치 및 보안 관리 방법
KR20180107789A (ko) * 2017-03-22 2018-10-04 (주)휴네시온 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법
CN112199573A (zh) * 2020-08-05 2021-01-08 宝付网络科技(上海)有限公司 一种非法交易主动探测方法及系统
US20210105253A1 (en) * 2019-10-07 2021-04-08 Cameron International Corporation Security system and method for pressure control equipment
CN115134160A (zh) * 2022-07-11 2022-09-30 中国科学院信息工程研究所 一种基于攻击迁移的攻击检测方法及系统
KR20230111792A (ko) * 2022-01-19 2023-07-26 고인구 스마트홈 보안을 위한 지능형 개인화 통합 위협 관리 시스템

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10126725B2 (en) * 2016-03-08 2018-11-13 Samsung Electronics Co., Ltd. Elastic rule engine for a smart home

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5991881A (en) 1996-11-08 1999-11-23 Harris Corporation Network surveillance system
KR20000072707A (ko) * 2000-09-20 2000-12-05 홍기융 실시간 침입탐지 및 해킹 자동 차단 방법
KR100455126B1 (ko) * 2003-01-07 2004-11-06 엘지전자 주식회사 보안 기능을 구비한 홈 네트워크 시스템
KR100506889B1 (ko) * 2003-03-31 2005-08-08 엘지엔시스(주) 이중버퍼 구조를 가지는 네트웍 침입탐지 시스템과 그동작방법

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8781296B2 (en) 2010-12-14 2014-07-15 4Dream Co., Ltd. Auditing system for misuse of an image information
US9258321B2 (en) 2012-08-23 2016-02-09 Raytheon Foreground Security, Inc. Automated internet threat detection and mitigation system and associated methods
US9392003B2 (en) 2012-08-23 2016-07-12 Raytheon Foreground Security, Inc. Internet security cyber threat reporting system and method
WO2016190663A1 (ko) * 2015-05-26 2016-12-01 주식회사 안랩 홈 네트워크 시스템에서의 보안 관리 장치 및 보안 관리 방법
KR20180107789A (ko) * 2017-03-22 2018-10-04 (주)휴네시온 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법
US20210105253A1 (en) * 2019-10-07 2021-04-08 Cameron International Corporation Security system and method for pressure control equipment
US11765131B2 (en) * 2019-10-07 2023-09-19 Schlumberger Technology Corporation Security system and method for pressure control equipment
CN112199573A (zh) * 2020-08-05 2021-01-08 宝付网络科技(上海)有限公司 一种非法交易主动探测方法及系统
CN112199573B (zh) * 2020-08-05 2023-12-08 宝付网络科技(上海)有限公司 一种非法交易主动探测方法及系统
KR20230111792A (ko) * 2022-01-19 2023-07-26 고인구 스마트홈 보안을 위한 지능형 개인화 통합 위협 관리 시스템
CN115134160A (zh) * 2022-07-11 2022-09-30 中国科学院信息工程研究所 一种基于攻击迁移的攻击检测方法及系统
CN115134160B (zh) * 2022-07-11 2024-03-22 中国科学院信息工程研究所 一种基于攻击迁移的攻击检测方法及系统

Also Published As

Publication number Publication date
KR100947211B1 (ko) 2010-03-11

Similar Documents

Publication Publication Date Title
KR100947211B1 (ko) 능동형 보안 감사 시스템
US7409714B2 (en) Virtual intrusion detection system and method of using same
EP2555486B1 (en) Multi-method gateway-based network security systems and methods
US9124626B2 (en) Firewall based botnet detection
Verba et al. Idaho national laboratory supervisory control and data acquisition intrusion detection system (SCADA IDS)
US20040193943A1 (en) Multiparameter network fault detection system using probabilistic and aggregation analysis
CN101589595A (zh) 用于潜在被污染端系统的牵制机制
WO2003084122A1 (en) System and method of intrusion detection employing broad-scope monitoring
US11196555B1 (en) System and method for capturing, recording, monitoring, examining, filtering, processing, limiting and controlling intra-network and extra-network data communications
CN214306527U (zh) 一种燃气管网调度监控网络安全系统
Wang et al. Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks
van Oorschot et al. Intrusion detection and network-based attacks
Khosravifar et al. An experience improving intrusion detection systems false alarm ratio by using honeypot
CN114172881B (zh) 基于预测的网络安全验证方法、装置及系统
Peterson Intrusion detection and cyber security monitoring of SCADA and DCS Networks
Matoušek et al. Security monitoring of iot communication using flows
KR101025502B1 (ko) 네트워크 기반의 irc와 http 봇넷을 탐지하여 대응하는 시스템과 그 방법
Prabhu et al. Network intrusion detection system
KR20090116206A (ko) 클라이언트 ddos 방어 시스템 및 그 방법
Bhuse et al. Detection of a Rogue Switch in a Local Area Network
Shah et al. Disclosing malicious traffic for Network Security
KR101045332B1 (ko) Irc 및 http 봇넷 정보 공유 시스템 및 그 방법
Ariffin et al. Configuring Local Rule of Intrusion Detection System in Software Defined IoT Testbed
KR20080035724A (ko) 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치
Nonyelum et al. Hybrid Incident Response Digital Traceback Technique in Network-Based Intrusion Source Detection

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee