KR20120043466A - 위협 탐지 시스템으로부터 제공된 정보에 기반한 통합 보안 관리 방법 및 장치 - Google Patents

위협 탐지 시스템으로부터 제공된 정보에 기반한 통합 보안 관리 방법 및 장치 Download PDF

Info

Publication number
KR20120043466A
KR20120043466A KR1020100104787A KR20100104787A KR20120043466A KR 20120043466 A KR20120043466 A KR 20120043466A KR 1020100104787 A KR1020100104787 A KR 1020100104787A KR 20100104787 A KR20100104787 A KR 20100104787A KR 20120043466 A KR20120043466 A KR 20120043466A
Authority
KR
South Korea
Prior art keywords
packet
attack packet
information
attack
rule
Prior art date
Application number
KR1020100104787A
Other languages
English (en)
Inventor
이석훈
엄상균
Original Assignee
한국통신인터넷기술 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국통신인터넷기술 주식회사 filed Critical 한국통신인터넷기술 주식회사
Priority to KR1020100104787A priority Critical patent/KR20120043466A/ko
Publication of KR20120043466A publication Critical patent/KR20120043466A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

위협 탐지 시스템(IDS)으로부터 제공된 정보에 기반한 통합 보안 관리(ESM) 방법 및 장치가 제공된다. IDS 장치는 공격 패킷을 탐지하여 ESM 장치로 전송한다. ESM은 수집된 공격 패킷을 저장 및 관리하고, 수집된 공격 패킷이 오탐된 것인지 여부를 판단한다. ESM은 공격 패킷에 대응하는 방화벽 정책의 생성 및 적용한다. 이러한 방화벽 정책의 생성 및 적용은 ESM에 의해 자동으로 처리될 수 있으며, 사용자 콘솔을 통해 전송된 관리자의 설정에 의해 수동으로 처리될 수 있다.

Description

위협 탐지 시스템으로부터 제공된 정보에 기반한 통합 보안 관리 방법 및 장치{METHOD AND APPARATUS FOR MANAGING ENTERPRISE SECURITY BASED ON INFORMATION PROVIDED BY INTRUSION DETECTION SYSTEM}
아래의 실시예들은 통합 보안 관리를 위한 방법 및 장치에 관한 것이다.
위협 탐지 시스템으로부터 제공된 정보에 기반한 통합 보안 관리 방법 및 장치가 개시된다.
통합 보안 관리(enterprise security management; ESM)는 침입 탐지 시스템(intrusion detection system; IDS), 가상 사설 네트워크(virtual private network; VPN, 방화벽(firewall) 등의 보안 솔루션을 통합 관리하는 시스템으로, 네트워크를 통해 유입되는 모든 위험 요소들을 총체적으로 분석하여 사전 예방이 가능하도록 운영자에게 알려주는 시스템(system)이다.
IDS는, 시스템에 대한 원치 않는 조작과 같은, 시스템에 대한 위협 행위를 탐지하는 장치(device)를 의미한다. IDS는 방화벽이 탐지할 수 없는 모든 종류의 악의적인 네트워크 트래픽(traffic) 및 컴퓨터 사용을 탐지할 수 있다.
예컨대, 1) 취약한 서비스에 대한 네트워크 공격, 2) 애플리케이션에서의 데이터 처리 공격(data driven attack) 및 권한 상승(privilege escalation) 및 3) 침입자 로그인, 침입자에 의한 주요 파일 접근, 멀웜(malworm) 등 같은 호스트 기반 공격 등이 탐지의 대상이 될 수 있다.
방화벽은, 컴퓨터 또는 네트워크의 보안을 위해, 네트워크 외부로부터 네트워크 내부로의 또는 네트워크 내부로부터 네트워크 외부로의 불법적인 접근을 차단하는 소프트웨어(software), 장치(device) 또는 시스템을 의미한다.
IDS가 탐지된 네트워크 공격의 공격 명만 수집하여 ESM에 전송할 경우, 네트워크의 관리자는 해당하는 네트워크 공격이 실제로 발생한 것인지 여부를 확인하기 위해 직접(수동으로), IDS 콘솔에 접속하여야 한다. 또한, 관리자는 탐지된 공격 패킷(또는, 공격 패킷의 로우 데이터)를 직접 관찰하여 오탐 여부를 확인해야 한다. 또한, 관리자는 공격 패킷이 진탐된 것일 경우 방화벽 콘솔에 직접 접속하여 공격 패킷에 해당하는 방화벽 정책을 생성 및 적용해야 한다.
따라서, 관리자는 다수의 콘솔들 각각으로 접속해야 하며, 다수의 콘솔들 각각에 대한 운용 방법에 숙련되어 있어야 한다. 또한, 이러한 경우 오탐 여부를 판단하는 통합적인 기준이 없고, 방화벽들 각각에 대한 개별적인 방화벽 룰이 어떤 기준에 의해 생성되었는지 판별되기 어렵다.
본 발명의 일 실시에는 IDS로부터 공격 패킷을 수집, 저장 및 관리 함으로써 공격 패킷이 오탐된 것인지 여부를 판단하는 장치 및 방법을 제공할 수 있다.
본 발명의 일 실시예는 공격 패킷에 대응하는 방화벽 정책의 생성 및 적용을 자동화하는 장치 및 방법을 제공할 수 있다.
본 발명의 일측에 따르면, 공격 패킷을 탐지하고, 상기 탐지된 공격 패킷에 대한 정보인 공격 패킷 정보를 생성하는 하나 이상의 침입 탐지 시스템 장치, 상기 하나 이상의 IDS 장치로부터 상기 공격 패킷 정보를 수신하여 상기 공격 패킷 정보에 기반하여 상기 공격 패킷에 대응하는 방화벽 정책을 생성 및 적용하는 통합 보안 관리 장치 및 상기 ESM 장치로부터 제공된 상기 방화벽 정책에 따른 방화벽 작용을 수행하는 하나 이상의 방화벽 장치를 포함하는, 보안 시스템이 제공된다.
상기 ESM 장치는 침입 차단 룰을 생성할 수 있고, 상기 생성된 침입 차단 룰에 기반하여 상기 방화벽 정책의 생성 및 적용을 자동화할 수 있다.
상기 보안 시스템은, 상기 ESM 장치를 조작하기 위해 사용되는 사용자 콘솔을 더 포함할 수 있고, 상기 ESM 장치는 상기 사용자 콘솔로 상기 공격 패킷 정보를 전송할 수 있고, 상기 사용자 콘솔은 상기 공격 패킷 정보의 전부 또는 일부를 표시할 수 있고, 관리자로부터 상기 공격 패킷이 오탐된 것인지 여부 및 상기 침입 차단 룰에 대한 설정을 수신할 수 있고, 상기 ESM 장치로 상기 설정을 전송할 수 있고, 상기 ESM 장치는 상기 수신된 설정에 기반하여 상기 방화벽 정책을 생성 및 적용할 수 있다.
본 발명의 다른 일측에 따르면, 하나 이상의 IDS 장치로부터 공격 패킷에 대한 정보인 공격 패킷 정보를 수신하는 패킷 수집부, 상기 수신된 공격 패킷 정보를 분석함으로써 상기 공격 패킷이 오탐된 것인지 여부를 판단하는 패킷 판단부, 상기 공격 패킷이 진탐된 것으로 상기 패킷 판단부에 의해 판단된 경우 상기 공격 패킷에 대응하는 침입 차단 룰을 생성하는 침입 차단 룰 생성부 및 상기 생성된 침입 차단 룰에 기반하여 방화벽 정책을 생성하고 상기 생성된 방화벽 정책을 하나 이상의 방화벽 장치로 전송하는 침입 차단 룰 적용부를 포함하는, ESM 장치가 제공된다.
상기 ESM 장치는, 상기 공격 패킷의 오탐 여부를 판단하기 위해 사용되는 오탐 근거 룰 정보를 저장 및 관리하고, 상기 오탐 근거 룰 정보를 상기 패킷 판단부에게 제공하는 패킷 저장부를 더 포함할 수 있다.
상기 오탐 근거 룰 정보는 특정한 유형의 공격 패킷을 자동으로 차단할 것인지 여부를 나타내는 정보를 포함할 수 있고,
상기 공격 패킷이 자동으로 차단되는 유형의 패킷인 경우, 상기 패킷 판단부는 상기 공격 패킷을 차단하기 위한 작업을 수행할 수 있다.
상기 ESM 장치는, 상기 패킷 판단부에서 수행한 상기 공격 패킷의 처리 내역에 대한 정보인 공격 패킷 처리 내역 정보를 저장하는 통합 정책 관리부를 더 포함할 수 있다.
상기 ESM 장치는, 상기 공격 패킷 정보를 사용자 콘솔로 전송하며, 상기 사용자 콘솔로부터 상기 공격 패킷이 오탐된 것인지 여부에 대한 제1 설정을 수신하는 사용자 콘솔 인터페이스를 더 포함할 수 있고, 상기 패킷 판단부는 상기 수신된 제1 설정에 기반하여 상기 공격 패킷이 오탐된 것인지 여부를 판단할 수 있다.
상기 사용자 콘솔 인터페이스는 상기 사용자 콘솔로부터 상기 침입 차단 룰에 대한 제2 설정을 수신할 수 있고, 상기 침입 차단 룰 생성부는 상기 수신된 제2 설정에 기반하여 상기 침입 차단 룰을 생성할 수 있다.
상기 공격 패킷 정보는 공격명을 포함할 수 있고, 상기 공격 패킷 정보는 탐지 장비 IP, 위험도, 소스 IP, 목적 IP, 감지 시각 및 로우 데이터 중 하나 이상을 포함할 수 있다.
본 발명의 또 다른 일측에 따르면, 하나 이상의 IDS 장치로부터 공격 패킷에 대한 정보인 공격 패킷 정보를 수신하는 패킷 수집 단계, 상기 수신된 공격 패킷 정보를 분석함으로써 상기 공격 패킷이 오탐된 것인지 여부를 판단하는 패킷 판단 단계, 상기 패킷 판단 단계에서 상기 공격 패킷이 진탐된 것으로 판단된 경우 상기 공격 패킷에 대응하는 침입 차단 룰을 생성하는 침입 차단 룰 생성 단계 및 상기 생성된 침입 차단 룰에 기반하여 방화벽 정책을 생성하고 상기 생성된 방화벽 정책을 하나 이상의 방화벽 장치로 전송하는 침입 차단 룰 적용 단계를 포함하는, 보안 관리 방법이 제공된다.
상기 보안 관리 방법은, 상기 공격 패킷의 오탐 여부를 판단하기 위해 사용되는 오탐 근거 룰 정보를 상기 패킷 판단부에게 제공하는 패킷 저장 단계를 더 포함할 수 있다.
상기 오탐 근거 룰 정보는 특정한 유형의 공격 패킷을 자동으로 차단할 것인지 여부를 나타내는 정보를 포함할 수 있고,
상기 공격 패킷이 자동으로 차단되는 유형의 패킷인 경우, 상기 패킷 판단 단계는 상기 공격 패킷을 차단하기 위한 작업을 수행할 수 있다.
상기 보안 관리 방법은, 상기 패킷 판단부에서 수행한 상기 공격 패킷의 처리 내역에 대한 정보인 공격 패킷 처리 내역 정보를 저장하는 통합 정책 관리 단계를 더 포함할 수 있다.
상기 보안 관리 방법은, 상기 공격 패킷 정보를 사용자 콘솔로 전송하는 공격 패킷 정보 송신 단계; 및 상기 사용자 콘솔로부터 상기 공격 패킷이 오탐된 것인지 여부에 대한 제1 설정을 수신하는 공격 패킷 정보 설정 수신 단계를 더 포함할 수 있고, 상기 패킷 판단 단계는 상기 수신된 제1 설정에 기반하여 상기 공격 패킷이 오탐된 것인지 여부를 판단할 수 있다.
상기 보안 관리 방법은, 상기 사용자 콘솔로부터 상기 침입 차단 룰에 대한 제2 설정을 수신하는 침입 차단 룰 설정 수신 단계를 더 포함할 수 있고, 상기 침입 차단 룰 생성 단계는 상기 수신된 제2 설정에 기반하여 상기 침입 차단 룰을 생성할 수 있다.
IDS로부터 공격 패킷을 수집, 저장 및 관리 함으로써 공격 패킷이 오탐된 것인지 여부를 판단하는 장치 및 방법이 제공된다.
공격 패킷에 대응하는 방화벽 정책의 생성 및 적용을 자동화하는 장치 및 방법이 제공된다.
도 1은 본 발명의 일 실시예에 따른 보안 시스템을 도시한다.
도 2는 본 발명의 일 예에 따른 공격 패킷 정보의 구성을 나타낸다.
도 3은 본 발명의 일 실시예에 따른 ESM의 구조도이다.
도 4는 본 발명의 일 예에 따른 오탐 근거 룰 정보의 구성을 나타낸다.
도 5는 본 발명의 일 예에 따른 오탐 근거 룰 통계 정보의 구성을 나타낸다.
도 6은 본 발명의 일 예에 따른 공격 패킷 처리 내역 정보의 구성을 나타낸다.
도 7은 본 발명의 일 예에 따른 방화벽 정책 적용 내역 정보의 구성을 나타낸다.
도 8은 본 발명의 일 예에 따른 보안 관리 방법의 흐름도이다.
이하에서, 본 발명의 일 실시예를, 첨부된 도면을 참조하여 상세하게 설명한다. 그러나, 본 발명이 실시예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.
도 1은 본 발명의 일 실시예에 따른 보안 시스템을 도시한다.
시스템(100)은 하나 이상의 IDS(110) 장치, ESM(120) 장치 및 하나 이상의 방화벽(130) 장치를 포함한다. 시스템(100)은 하나 이상의 사용자 콘솔(130)을 더 포함할 수 있다.
IDS(110) 장치(이하, IDS로 약술한다.)는 공격 패킷을 탐지한다.
공격 패킷은 시스템(100)이 관리하는 네트워크에 악의적으로 접근하는 패킷 등과 같이, 네트워크의 관리자 또는 사용자가 원하지 않는 일체의 패킷들을 의미할 수 있다.
IDS(110)는 탐지된 공격 패킷에 대한 정보인 공격 패킷 정보를 생성하고, 생성된 공격 패킷 정보를 ESM 장치(120)(이하, ESM로 약술한다.)로 전송한다.
공격 패킷 정보의 일 예가 하기에서 도 2를 참조하여 상세히 설명된다.
ESM(120)은 전송된 공격 패킷 정보를 수집(즉, 수신)한다.
ESM(120)은 수집된 공격 패킷 정보를 저장 및 관리할 수 있다.
IDS(110)는 통상적인 네트워크 패킷을 공격 패킷으로 오탐(false positives)할 수 있다. ESM(120)은 공격 패킷 정보를 분석함으로써 공격 패킷이 오탐된 것인지 여부를 판단할 수 있다.
ESM(120)은 공격 패킷 정보에 기반하여, 공격 패킷에 대응하는 방화벽 정책을 생성할 수 있다. ESM(120)은 생성된 방화벽 정책을 적용할 수 있다.
ESM(120)은 침입 차단 룰(rule)을 생성할 수 있고, 생성된 침입 차단 룰에 기반하여 방화벽 정책의 생성 및 생성된 방화벽 정책의 적용을 자동화할 수 있다.
ESM(120)에 의해 적용된 방화벽 정책은 방화벽(130) 장치(이하, 방화벽으로 약술한다.)로 전송된다.
방화벽(130)은 ESM(120)로부터 제공된 방화벽 정책에 따라 네트워크에 대한 방화벽 작용을 수행한다.
방화벽(130)은 방화벽 프로그램, 방화벽 프로그램이 작동하는 장치, 방화벽 프로그램이 작동하는 시스템 등을 나타낼 수 있다.
사용자 콘솔(140)은 시스템(100)의 관리자가 ESM(120) 및 시스템(100)을 조작하기 위해 사용하는 단말이다.
ESM(120)은 공격 패킷 정보를 사용자 콘솔(140)로 전송한다.
사용자 콘솔(140)은 공격 패킷 정보의 전부 또는 일부를 표시한다.
관리자는 표시된 공격 패킷의 정보를 분석하여, IDS(110)에 의해 탐지된 공격 패킷이 오탐된 것인지 여부를 확인할 수 있다.
관리자는 사용자 콘솔(140)을 통해 공격 패킷의 오탐 여부를 설정할 수 있고, 침입 차단 룰을 설정할 수 있다.
사용자 콘솔(140)은 이러한 공격 패킷이 오탐된 것인지 여부 및 침입 차단 룰에 대한 설정을 관리자로부터 수신하고, 수신된 설정을 ESM(120)으로 전송한다.
하나의 물리적 장치가 본 시스템(100)의 두 가지 이상의 구성 요소(110, 120, 130 및 140)의 기능을 수행할 수 있다. 예컨대, 방화벽(130)은 IDS(110), ESM(120) 및 사용자 콘솔(140) 중 하나 이상과 동일한 물리적 장치일 수 있다. 또한, ESM(120) 및 사용자 콘솔(140)은 동일한 물리적 장치일 수 있다.
도 2는 본 발명의 일 예에 따른 공격 패킷 정보의 구성을 나타낸다.
공격 패킷 정보(200)은 공격명(210), 탐지 장비 IP(220), 위험도(230), 소스(source) IP(240), 목적(destination) IP(250), 감지 시각(260) 및 로우 데이터(270)을 포함할 수 있다.
공격명(210)은 공격 패킷의 유형(type)을 관리자가 용이하게 인식할 수 있도록 수문자(alphanumeric)로 표현한 것이다. 즉, 공격명(210)은 공격 패킷의 유형을 나타낸다.
탐지 장비 IP(220)는, 예컨대 IDS(111)와 같은, 공격 패킷을 탐지한 장치의 네트워크(예컨대, 인터넷) 주소(address)를 나타낸다.
위험도(230)는 공격 패킷의 위험도를 분류한 것이다. 위험도(230)는 공격 패킷의 위험 등급을 문자, 단어(예컨대, 도시된 "LOW") 또는 숫자로 구분하여 나타낸다.
위험도(230)는 공격 패킷의 유형 또는 공격 패킷의 다른 정보(220, 240, 250, 260 및 270)에 기반하여 결정될 수 있다.
소스 IP(240)는 공격 패킷을 발송한 장치의 네트워크 주소를 나타낸다.
목적 IP(250)는 공격 패킷을 수신한 장치의 네트워크 주소를 나타낸다.
감지 시각(260)은 탐지 장비가 공격 패킷을 감지한 시각을 나타낸다.
로우 데이터(270)는 공격 패킷의 로우 데이터를 나타낸다. 로우 데이터(270)는 공격 패킷을 구성하는 데이터 및 데이터의 주소를 바이트(byte), 워드(word) 및 더블-워드(double-word) 단위 등으로 분할한 이진(binary), 십진(decimal) 또는 십육진(hexadecimal) 값으로 나타낼 수 있다.
도 3은 본 발명의 일 실시예에 따른 ESM의 구조도이다.
ESM(120)은 패킷 수집부(310), 패킷 판단부(320), 침입 차단 룰 생성부(330) 및 침입 차단 룰 적용부(340)를 포함한다.
ESM(120)은 패킷 저장부(350), 통합 정책 관리부(360) 및 사용자 콘솔 인터페이스(370)를 더 포함할 수 있다.
패킷 수집부(310)는 하나 이상의 IDS(110)로부터 공격 패킷 정보를 수신(또는, 수집)한다.
패킷 판단부(350)는 수신된 공격 패킷 정보에 기반하여, 공격 패킷이 오탐된 것인지 여부를 판단한다.
패킷 저장부(350)는 오탐 근거 룰 정보를 저장 및 관리할 수 있다.
오탐 근거 룰 정보는 공격 패킷의 오탐 여부를 판단하기 위해 사용되는 정보이다.
패킷 저장부(350)는 오탐 근거 룰 정보를 패킷 판단부(320)에게 제공할 수 있다.
오탐 근거 룰 정보는 특정한 유형의 공격 패킷을 자동으로 차단할 것인지 여부를 나타내는 정보를 포함할 수 있다.
만약, 공격 패킷이 자동으로 차단될 수 있는 유형의 패킷인 경우, 패킷 판단부(320)는 공격 패킷을 차단하기 위한 작업을 수행할 수 있다.
또한, 관리자는 사용자 콘솔(140) 등을 통해 상기 공격 패킷을 차단하는 설정을 ESM(120)에게 전송할 수 있고, 패킷 판단부(320)는 전송된 설정에 따라 공격 패킷을 차단하기 위한 작업을 수행할 수 있다.
오탐 근거 룰 정보에 대한 예시적인 구성이 도 4를 참조하여 하기에서 설명된다.
패킷 저장부(350)는 오탐 근거 룰의 공격 패킷 유형 별 통계(summary)를 나타내는 오탐 근거 룰 통계 정보를 제공할 수 있다.
오탐 근거 룰 통계 정보에 대한 예시적인 구성이 도 5를 참조하여 하기에서 설명된다.
침입 차단 룰 생성부(330)는 공격 패킷이 진탐된 것으로 판단된 경우, 공격 패킷을 차단하기 위한 작업을 수행한다.
즉, 침입 차단 룰 생성부(330) 상기 공격 패킷에 대응하는 침입 차단 룰을 생성한다.
침입 차단 룰은 공격 패킷을 차단하기 위한 일련의 정보를 나타낼 수 있다.
또한, 침입 차단 룰 적용부(340)는 생성된 침입 차단 룰에 기반하여, 방화벽(130)에 적용될 방화벽 정책을 생성한다. 침입 차단 룰 적용부(340)는 방화벽 정책을 방화벽(130)으로 전송한다.
방화벽 정책은 공격 패킷을 차단하기 위해 방화벽(130)을 설정하는 설정 정보를 나타낼 수 있다.
통합 정책 관리부(360)는 공격 패킷 처리 내역 정보를 생성, 관리 및 저장할 수 있다.
공격 패킷 처리 내역 정보는 패킷 판단부(320)에서 공격 패킷을 처리한 내역에 대한 정보이다.
공격 패킷 처리 내역 정보에 대한 예시적인 구성이 도 6을 참조하여 하기에서 설명된다.
통합 정책 관리부(360)는 방화벽 정책 내역 정보를 생성, 관리 및 저장할 수 있다.
방화벽 정책 내역 정보는 침입 차단 룰 적용부(340)에 의해 생성된 방화벽 정책이 방화벽(130)에 적용된 내역을 나타내는 정보이다.
방화벽 정책 적용 내역 정보에 대한 예시적인 구성이 도 7을 참조하여 하기에서 설명된다.
사용자 콘솔 인터페이스(370)는 공격 패킷 정보를 사용자 콘솔(140)로 전송한다.
사용자 콘솔 인터페이스(370)는 사용자 콘솔(140)로부터 공격 패킷이 오탐된 것인지 여부에 대한 설정을 수신한다.
패킷 판단부(320)는 수신된 설정에 기반하여 공격 패킷이 오탐된 것인지 여부를 결정할 수 있다.
사용자 콘솔 인터페이스(370)는 전술된 오탐 근거 룰 정보, 오탐 근거 룰 통계 정보, 침입 차단 룰, 방화벽 정책, 공격 패킷 처리 내역 정보 및 방화벽 정책 적용 내역 정보를 사용자 콘솔(140)로 전송할 수 있다.
사용자 콘솔(140)은 이러한 정보를 디스플레이 할 수 있다. 또한, 사용자 콘솔(140)은 이러한 정보 중 특정 검색 조건을 만족시키는 일부를 디스플레이할 수 있다.
사용자 콘솔 인터페이스(370)는 사용자 콘솔(140)로부터 침입 차단 룰에 대한 설정을 수신한다.
침입 차단 룰 생성부(330)는 수신된 설정에 기반하여 침입 차단 룰을 생성할 수 있다. 즉, 특정한 공격 패킷에 대응하는 침입 차단 룰이 자동 또는 수동으로 생성될 수 있다.
전술된 것처럼, 관리자는 사용자 콘솔(140)을 통해 ESM(120)을 제어할 수 있다. 따라서, 관리자는 복수 개의 장비들 각각에 별도로 접속할 필요가 없고, 복수 개의 장비들 각각의 운영 방법에 숙련될 필요가 없다.
관리자는 공격 패킷이 오탐된 것인지 여부에 대한 판단 기준 및 방화벽 정책의 생성 기준을 용이하게 관리할 수 있다. 따라서, 공격 패킷이 오탐된 것인지 여부가 빠르게 판단될 수 있다. 또한, 공격 패킷에 대한 방화벽 정책의 생성 및 적용이 자동화 됨으로써 ESM의 자동화가 향상될 수 있다.
상기 구성요소(310 내지 370)의 기능은 단일한 제어부(도시되지 않음)에서 수행될 수 있다. 이때, 상기 제어부는 단일(single) 또는 복수(multi) 칩(chip), 프로세서(processor) 또는 코어(core)를 나타낼 수 있다. 상기 구성요소들(310 내지 370) 각각은 상기 제어부에서 수행되는 함수(function), 라이브러리(library), 서비스(service), 프로세스(process), 쓰레드(thread) 또는 모듈(module)을 나타낼 수 있다.
도 4는 본 발명의 일 예에 따른 오탐 근거 룰 정보의 구성을 나타낸다.
도 4의 한 열(410)은 하나의 오탐 근거 룰을 나타낸다.
오탐 근거 룰 정보는 하나 이상의 오탐 근거 룰(410)을 포함할 수 있다.
오탐 근거 룰(410)은 번호(420), 검사 타입(430), 검사 패턴(440), 공격명(450), 자동 여부(460) 및 대응 방법(470)을 포함할 수 있다.
번호(420)는 하나 이상의 오탐 근거 룰(410)을 구분하기 위한 일련 번호이다.
검사 타입(430)은 검사 패턴(440)을 어떻게 사용하여 공격 패킷인지 여부를 검사할 것인가를 나타낸다.
예컨대, 검사 타입(430)이 "아스키(ascii) 변환"인 경우, 검사 패턴(440)의 내용은 아스키 문자열이다. 따라서, 공격 패킷 내에서 검사 패턴(440)이 나타내는 아스키 코드가 검색된다.
예컨대, 검사 타입(430)이 "바이너리(binary)"인 경우, 검사 패턴(440)의 내용은 바이너리 코드이다. 따라서, 공격 패킷 내에서 검사 패턴(440)이 나타내는 이진 코드가 검색된다.
검사 패턴(440)은 공격 패킷이 오탐된 것인지 여부를 판단하기 위해 사용되는 검사 패턴(440)이다. 검사 패턴(440)이 공격 패킷 내에서 검색될 경우, 공격 패킷은 공격명(450)의 공격 패킷으로 판단된다. 즉, 공격 패킷은 진탐된 것이다.
공격명(450)은 전술된 공격명(210)이다.
자동 여부(460)는 공격 패킷의 유형이 자동으로 차단되는 것인지 여부를 나타낸다.
예컨대, 자동 여부(460)의 값이 "자동 차단"일 경우, 패킷 판단부(320)는 공격 패킷을 자동으로 차단되는 유형의 패킷으로 판단하고, 공격 패킷을 차단하기 위한 작업을 수행할 수 있다.
대응 방법(470)은 공격 패킷을 차단하기 위한 구체적인 방법을 나타낸다.
예컨대, 대응 방법(470)의 값이 "소스 IP 차단"일 경우, 패킷 판단부(320)는 공격 패킷의 소스 IP(240)가 나타내는 주소로부터의 패킷을 일괄적으로 차단하기 위한 작업을 수행할 수 있다.
이러한 방법은, 침입 차단 룰 생성부(330)가 생성하는 침입 차단 룰 및 침입 차단 룰 적용부(340)에 의해 생성되는 방화벽 정책에 의해 반영될 수 있다.
또한, 이러한 방법은 방화벽 정책에 따라 설정된 방화벽(130)에 의해 실행될 수 있다.
도 5는 본 발명의 일 예에 따른 오탐 근거 룰 통계 정보의 구성을 나타낸다.
오탐 근거 룰 통계 정보(500)는 오탐 근거 룰(410)을 유형 별 또는 유사한 유형 별로 분류한 통계를 나타낸다.
오탐 근거 룰 통계 정보(500)는 하나 이상의 오탐 근거 룰 통계 요소(510)를 포함한다.
오탐 근거 룰 통계 요소(510)는 오탐 근거 룰 정보(400) 내의 하나 이상의 오탐 근거 룰(410)을 오탐 근거 룰(410)의 유형에 따라 분류한 것이다.
스타일(style)(520)은 하나 이상의 오탐 근거 통계(510)을 구분하기 위한 일련 번호이다.
공격명(530)은 하나의 오탐 근거 통계 요소(510)로 분류된 하나 이상의 오탐 근거 룰(410)의 공격명(450)일 수 있다. 또한, 공격명(530)은 상기의 하나 이상의 공격명(450)을 포함하는 상위 개념의 명칭일 수 있다. 예컨대, 오탐 근거 룰(410)들의 공격명(450)이 "SQL Injection SANS1" 및 "SQL Injection SANS2"이라면, 오탐 근거 통계 요소(510)의 공격명(530)은 "SQL Injection SAN"일 수 있다.
카운트(count)(540)는 오탐 근거 통계(510)로 분류된 오탐 근거 룰(410)의 개수를 나타낸다.
오탐 근거 룰 통계 정보는 시각화된 그래프(550)로서 제공될 수 있다.
그래프(550) 내의 막대(560)는 하나의 오탐 근거 룰 통계 요소(510)를 나타낼 수 있다. 예컨대, 막대(560)는 공격명(530)에 대응하는 막대명(570)을 가질 수 있고, 막대(560)의 높이는 카운트(540)에 비례할 수 있다.
도 6은 본 발명의 일 예에 따른 공격 패킷 처리 내역 정보의 구성을 나타낸다.
공격 패킷 처리 내역 정보(600)는 하나 이상의 공격 패킷 처리 정보(610)를 포함한다.
공격 패킷 처리 정보(610)는 번호(620), 공격 패킷 로우 데이터(630), 검사 패턴(640), 공격명(650), 적용 장비(660), 적용 장비 IP(670), 대응 내역(680) 및 설정일(도시되지 않음)을 포함할 수 있다.
번호(620)는 하나 이상의 공격 패킷 정보(610)를 구분하기 위한 일련 번호이다.
공격 패킷 로우 데이터(630)는 공격 패킷 처리 정보(610)에 대응하는 공격 패킷의 로우 데이터(270)를 나타낸다.
검사 패턴(640)는 공격 패킷 처리 정보(610)에 대응하는 오탐 근거 룰(410)의 검사 패턴(440)을 나타낸다.
공격명(650)은 공격 패킷 처리 정보(610)에 대응하는 공격 패킷의 공격명(210)(즉, 공격 패킷 처리 정보(610)에 대응하는 오탐 근거 룰(410)의 공격명(450))을 나타낸다.
적용 장비(660)는 오탐 근거 룰(410)에 따라 공격 패킷을 처리하는 장치의 유형을 나타낸다.
예컨대, 장치 유형은 방화벽(130)일 수 있다.
적용 장비 IP(670)는 적용 장비(670)의 IP를 나타낸다.
대응 내역(680)는 적용 장비(660)가 공격 패킷을 처리하기 위해 대응한 내역을 나타낸다.
예컨대, 대응 내역이 "소스 IP 차단"일 경우, 적용 장비(600)는 공격 패킷의 소스 IP(240)가 나타내는 주소로부터 전송되는 패킷을 차단함으로써 공격 패킷에 대응한다.
설정일은 공격 패킷 처리 정보(610)가 설정된 날짜 및 시각을 나타낸다.
도 7은 본 발명의 일 예에 따른 방화벽 정책 적용 내역 정보의 구성을 나타낸다.
방화벽 정책 적용 내역 정보(700)는 하나 이상의 방화벽 정책 적용 정보(710)를 포함한다.
방화벽 정책 적용 정보(710)는 적용 장비 ID(720), 소스 IP(730), 목적 ID(730), 프로토콜(protocol)(740) 및 차단 여부(750)를 포함할 수 있다.
적용 장비 ID(720)는 방화벽 정책이 적용될 적용 장비(660)의 식별자이다.
적용 장비 ID(720)는 일련의 번호일 수 있으며, 적용 장비(660)의 주소(또는, 주소의 일부)와 같은 임의의 중복되지 않는 수문자일 수 있다.
소스 IP(730)는 방화벽 정책이 적용될 공격 패킷의 소스 IP(240)이다.
소스 IP(730)는 구체적인 주소(예컨대, "94.23.204.192")를 나타낼 수 있으며, 특정 주소 범위(예컨대, "94.23.204.*")를 나타낼 수 있으며, 모든 주소(예컨대, "*")를 나타낼 수 있다.
소스 IP(730)는 주소 외에도, 컴퓨터의 이름 또는 도메인 명 등과 같은, 네트워크 상에서 장치를 식별할 수 있는 임의의 식별자를 포함할 수 있다.
목적 IP(740)는 방화벽 정책이 적용될 공격 패킷의 목적 IP(250)이다.
목적 IP(740)는 구체적인 주소(예컨대, "94.23.204.192")를 나타낼 수 있으며, 특정 주소 범위(예컨대, "94.23.204.*")를 나타낼 수 있으며, 모든 주소(예컨대, "*" 또는 "ANY")를 나타낼 수 있다.
목적 IP(740)는 주소 외에도, 컴퓨터의 이름 또는 도메인 명 등과 같은, 네트워크 상에서 장치를 식별할 수 있는 임의의 식별자를 포함할 수 있다.
프로토콜(750)은 방화벽 정책의 적용 대상인 하나 이상의 네트워크 프로토콜을 나타낸다.
프로토콜(750)은 HTTP, HTTPS, POP3, SMTP, TELNET, SSH, FTP, IMCP-ECHO, SYSLOG, SNMP, SNMPTRAP, TCP-7000 및 UDP-1514 등과 같은 일반적인 네트워크 프로토콜을 포함할 수 있다.
프로토콜(750)은 임의의 프로토콜에 적용됨을 나타낼 수 있다. 예컨대, 프로토콜(750)의 값이 "ALL"일 경우, 방화벽 정책 적용 정보(710)에 대응하는 방화벽 정책은 모든 프로토콜에게 적용된다.
차단(760)은 방화벽 정책 적용 정보(710)에 대응하는 방화벽 정책이 공격 패킷을 차단하는 것인지 여부를 나타낸다.
차단(760)은 공격 패킷을 차단함을 나타내는 값(예컨대, "1"과 같은 이진 값, "true" 같은 문자열 또는 "O"과 같은 기호)을 가지거나, 공격 패킷을 차단하지 않음을 나타내는 값(예컨대, "0"과 같은 이진 값, "false" 같은 문자열 또는 "X"과 같은 기호)을 가질 수 있다.
도 8은 본 발명의 일 예에 따른 보안 관리 방법의 흐름도이다.
패킷 수집 단계(S810)에서, 하나 이상의 IDS 장치로부터 공격 패킷에 대한 정보인 공격 패킷 정보가 수신된다.
패킷 저장 단계(S820)에서, 공격 패킷의 오탐 여부를 판단하기 위해 사용되는 오탐 근거 룰 정보가 제공된다.
오탐 근거 룰 정보는 특정한 유형의 공격 패킷을 자동으로 차단할 것인지 여부를 나타내는 정보를 포함할 수 있다.
공격 패킷 정보 송신 단계(S830)에서, 공격 패킷 정보가 사용자 콘솔로 전송된다.
공격 패킷 정보 설정 수신 단계(S840)에서, 사용자 콘솔로부터 공격 패킷이 오탐된 것인지 여부에 대한 제1 설정이 수신된다.
침입 차단 룰 설정 수신 단계(S850)에서, 사용자 콘솔로부터 침입 차단 룰에 대한 제2 설정이 수신된다.
패킷 판단 단계(S860)에서, 수신된 공격 패킷 정보를 분석함으로써 공격 패킷이 오탐된 것인지 여부가 판단된다.
공격 패킷이 자동으로 차단되는 유형의 패킷인 경우, 패킷 판단 단계(S860)에서, 공격 패킷을 차단하기 위한 작업이 수행된다.
패킷 판단 단계(S860)에서, 수신된 제1 설정에 기반하여 공격 패킷이 오탐된 것인지 여부가 판단될 수 있다.
침입 차단 룰 생성 단계(S870)에서, 패킷 판단 단계에서 공격 패킷이 진탐된 것으로 판단된 경우 공격 패킷에 대응하는 침입 차단 룰을 생성된다.
침입 차단 룰 생성 단계(S870)에서, 수신된 제2 설정에 기반하여 침입 차단 룰이 생성될 수 있다.
침입 차단 룰 적용 단계(S880)에서, 생성된 침입 차단 룰에 기반하여 방화벽 정책이 생성되고, 생성된 방화벽 정책이 하나 이상의 방화벽 장치로 전송된다.
통합 정책 관리 단계(S890)에서, 패킷 판단 단계(S810)에서 수행된 공격 패킷의 처리 내역에 대한 정보인 공격 패킷 처리 내역 정보가 저장된다.
앞서 도 1 내지 도 7을 참조하여 설명된 본 발명의 일 실시예에 따른 기술적 내용들이 본 실시예에도 그대로 적용될 수 있다. 따라서 보다 상세한 설명은 이하 생략하기로 한다.
본 발명의 일 실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
110: IDS
120: ESM
130: 방화벽
140: 사용자 콘솔

Claims (17)

  1. 공격 패킷을 탐지하고, 상기 탐지된 공격 패킷에 대한 정보인 공격 패킷 정보를 생성하는 하나 이상의 침입 탐지 시스템(intrusion detection system; IDS) 장치;
    상기 하나 이상의 IDS 장치로부터 상기 공격 패킷 정보를 수신하여 상기 공격 패킷 정보에 기반하여 상기 공격 패킷에 대응하는 방화벽 정책을 생성 및 적용하는 통합 보안 관리(enterprise security management; ESM) 장치; 및
    상기 ESM 장치로부터 제공된 상기 방화벽 정책에 따른 방화벽 작용을 수행하는 하나 이상의 방화벽 장치
    를 포함하는, 보안 시스템.
  2. 제1항에 있어서,
    상기 ESM 장치는 침입 차단 룰을 생성하고, 상기 생성된 침입 차단 룰에 기반하여 상기 방화벽 정책의 생성 및 적용을 자동화하는, 보안 시스템.
  3. 제2항에 있어서,
    상기 ESM 장치를 조작하기 위해 사용되는 사용자 콘솔을 더 포함하며,
    상기 ESM 장치는 상기 사용자 콘솔로 상기 공격 패킷 정보를 전송하며,
    상기 사용자 콘솔은 상기 공격 패킷 정보의 전부 또는 일부를 표시하고, 관리자로부터 상기 공격 패킷이 오탐된 것인지 여부 및 상기 침입 차단 룰에 대한 설정을 수신하고, 상기 ESM 장치로 상기 설정을 전송하며,
    상기 ESM 장치는 상기 수신된 설정에 기반하여 상기 방화벽 정책을 생성 및 적용하는, 보안 시스템.
  4. 하나 이상의 IDS 장치로부터 공격 패킷에 대한 정보인 공격 패킷 정보를 수신하는 패킷 수집부;
    상기 수신된 공격 패킷 정보를 분석함으로써 상기 공격 패킷이 오탐된 것인지 여부를 판단하는 패킷 판단부;
    상기 공격 패킷이 진탐된 것으로 상기 패킷 판단부에 의해 판단된 경우 상기 공격 패킷에 대응하는 침입 차단 룰을 생성하는 침입 차단 룰 생성부; 및
    상기 생성된 침입 차단 룰에 기반하여 방화벽 정책을 생성하고 상기 생성된 방화벽 정책을 하나 이상의 방화벽 장치로 전송하는 침입 차단 룰 적용부
    를 포함하는, ESM 장치.
  5. 제4항에 있어서,
    상기 공격 패킷의 오탐 여부를 판단하기 위해 사용되는 오탐 근거 룰 정보를 저장 및 관리하고, 상기 오탐 근거 룰 정보를 상기 패킷 판단부에게 제공하는 패킷 저장부
    를 더 포함하는, ESM 장치.
  6. 제5항에 있어서,
    상기 오탐 근거 룰 정보는 특정한 유형의 공격 패킷을 자동으로 차단할 것인지 여부를 나타내는 정보를 포함하고,
    상기 공격 패킷이 자동으로 차단되는 유형의 패킷인 경우, 상기 패킷 판단부는 상기 공격 패킷을 차단하기 위한 작업을 수행하는, ESM 장치.
  7. 제4항에 있어서,
    상기 패킷 판단부에서 수행한 상기 공격 패킷의 처리 내역에 대한 정보인 공격 패킷 처리 내역 정보를 저장하는 통합 정책 관리부
    를 더 포함하는, ESM 장치.
  8. 제4항에 있어서,
    상기 공격 패킷 정보를 사용자 콘솔로 전송하며, 상기 사용자 콘솔로부터 상기 공격 패킷이 오탐된 것인지 여부에 대한 제1 설정을 수신하는 사용자 콘솔 인터페이스
    를 더 포함하고,
    상기 패킷 판단부는 상기 수신된 제1 설정에 기반하여 상기 공격 패킷이 오탐된 것인지 여부를 판단하는, ESM 장치.
  9. 제8항에 있어서,
    상기 사용자 콘솔 인터페이스는 상기 사용자 콘솔로부터 상기 침입 차단 룰에 대한 제2 설정을 수신하고,
    상기 침입 차단 룰 생성부는 상기 수신된 제2 설정에 기반하여 상기 침입 차단 룰을 생성하는, ESM 장치.
  10. 제4항에 있어서,
    상기 공격 패킷 정보는 공격명을 포함하고, 상기 공격 패킷 정보는 탐지 장비 IP, 위험도, 소스 IP, 목적 IP, 감지 시각 및 로우 데이터 중 하나 이상을 포함하는, ESM 장치.
  11. 하나 이상의 IDS 장치로부터 공격 패킷에 대한 정보인 공격 패킷 정보를 수신하는 패킷 수집 단계;
    상기 수신된 공격 패킷 정보를 분석함으로써 상기 공격 패킷이 오탐된 것인지 여부를 판단하는 패킷 판단 단계;
    상기 패킷 판단 단계에서 상기 공격 패킷이 진탐된 것으로 판단된 경우 상기 공격 패킷에 대응하는 침입 차단 룰을 생성하는 침입 차단 룰 생성 단계; 및
    상기 생성된 침입 차단 룰에 기반하여 방화벽 정책을 생성하고 상기 생성된 방화벽 정책을 하나 이상의 방화벽 장치로 전송하는 침입 차단 룰 적용 단계
    를 포함하는, 보안 관리 방법.
  12. 제11항에 있어서,
    상기 공격 패킷의 오탐 여부를 판단하기 위해 사용되는 오탐 근거 룰 정보를 상기 패킷 판단부에게 제공하는 패킷 저장 단계
    를 더 포함하는, 보안 관리 방법.
  13. 제12항에 있어서,
    상기 오탐 근거 룰 정보는 특정한 유형의 공격 패킷을 자동으로 차단할 것인지 여부를 나타내는 정보를 포함하고,
    상기 공격 패킷이 자동으로 차단되는 유형의 패킷인 경우, 상기 패킷 판단 단계는 상기 공격 패킷을 차단하기 위한 작업을 수행하는, 보안 관리 방법.
  14. 제11항에 있어서,
    상기 패킷 판단부에서 수행한 상기 공격 패킷의 처리 내역에 대한 정보인 공격 패킷 처리 내역 정보를 저장하는 통합 정책 관리 단계
    를 더 포함하는, 보안 관리 방법.
  15. 제11항에 있어서,
    상기 공격 패킷 정보를 사용자 콘솔로 전송하는 공격 패킷 정보 송신 단계; 및
    상기 사용자 콘솔로부터 상기 공격 패킷이 오탐된 것인지 여부에 대한 제1 설정을 수신하는 공격 패킷 정보 설정 수신 단계
    를 더 포함하고,
    상기 패킷 판단 단계는 상기 수신된 제1 설정에 기반하여 상기 공격 패킷이 오탐된 것인지 여부를 판단하는, 보안 관리 방법.
  16. 제15항에 있어서,
    상기 사용자 콘솔로부터 상기 침입 차단 룰에 대한 제2 설정을 수신하는 침입 차단 룰 설정 수신 단계
    를 더 포함하고,
    상기 침입 차단 룰 생성 단계는 상기 수신된 제2 설정에 기반하여 상기 침입 차단 룰을 생성하는, 보안 관리 방법.
  17. 제11항 내지 제16항 중 어느 한 항의 보안 관리 방법을 수행하는 프로그램을 수록한 컴퓨터 판독 가능 기록 매체.
KR1020100104787A 2010-10-26 2010-10-26 위협 탐지 시스템으로부터 제공된 정보에 기반한 통합 보안 관리 방법 및 장치 KR20120043466A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100104787A KR20120043466A (ko) 2010-10-26 2010-10-26 위협 탐지 시스템으로부터 제공된 정보에 기반한 통합 보안 관리 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100104787A KR20120043466A (ko) 2010-10-26 2010-10-26 위협 탐지 시스템으로부터 제공된 정보에 기반한 통합 보안 관리 방법 및 장치

Publications (1)

Publication Number Publication Date
KR20120043466A true KR20120043466A (ko) 2012-05-04

Family

ID=46263639

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100104787A KR20120043466A (ko) 2010-10-26 2010-10-26 위협 탐지 시스템으로부터 제공된 정보에 기반한 통합 보안 관리 방법 및 장치

Country Status (1)

Country Link
KR (1) KR20120043466A (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101488271B1 (ko) * 2013-11-26 2015-02-02 한국전자통신연구원 Ids 오탐 검출 장치 및 방법
KR101599213B1 (ko) 2014-12-23 2016-03-04 주식회사 윈스 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법 및 시스템
KR20180047157A (ko) 2016-10-31 2018-05-10 주식회사 윈스 대용량 데이터 수집 및 오버 플로우 이벤트 처리 시스템 및 방법
KR102103802B1 (ko) * 2019-07-25 2020-04-24 (주)시큐레이어 기계학습 대상 시스템의 명령어를 기반으로 웹 공격 패턴을 추출하여 재구성 페이로드 데이터를 생성하는 방법 및 이를 사용한 전처리기
KR102158784B1 (ko) * 2020-05-14 2020-09-22 주식회사 쿼리시스템즈 이기종 보안 장비와 연동하는 보안위협 자동 차단 시스템
KR20230039977A (ko) * 2021-09-15 2023-03-22 주식회사 리니어리티 네트워크 공격 탐지 방법 및 장치

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101488271B1 (ko) * 2013-11-26 2015-02-02 한국전자통신연구원 Ids 오탐 검출 장치 및 방법
US9398040B2 (en) 2013-11-26 2016-07-19 Electronics And Telecommunications Research Institute Intrusion detection system false positive detection apparatus and method
KR101599213B1 (ko) 2014-12-23 2016-03-04 주식회사 윈스 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법 및 시스템
KR20180047157A (ko) 2016-10-31 2018-05-10 주식회사 윈스 대용량 데이터 수집 및 오버 플로우 이벤트 처리 시스템 및 방법
KR102103802B1 (ko) * 2019-07-25 2020-04-24 (주)시큐레이어 기계학습 대상 시스템의 명령어를 기반으로 웹 공격 패턴을 추출하여 재구성 페이로드 데이터를 생성하는 방법 및 이를 사용한 전처리기
KR102158784B1 (ko) * 2020-05-14 2020-09-22 주식회사 쿼리시스템즈 이기종 보안 장비와 연동하는 보안위협 자동 차단 시스템
KR20230039977A (ko) * 2021-09-15 2023-03-22 주식회사 리니어리티 네트워크 공격 탐지 방법 및 장치

Similar Documents

Publication Publication Date Title
US9888023B2 (en) Presentation of threat history associated with network activity
US10057234B1 (en) Systems and methods for providing network security monitoring
US6499107B1 (en) Method and system for adaptive network security using intelligent packet analysis
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
WO2018218537A1 (zh) 工业控制系统及其网络安全的监视方法
US20060161816A1 (en) System and method for managing events
US20170099312A1 (en) Method and system for data breach and malware detection
US12113833B2 (en) Distributed network and security operations platform
Kaushik et al. Detection of attacks in an intrusion detection system
US20090178140A1 (en) Network intrusion detection system
CN108183921B (zh) 经由边界网关进行信息安全性威胁中断的系统和方法
KR20120043466A (ko) 위협 탐지 시스템으로부터 제공된 정보에 기반한 통합 보안 관리 방법 및 장치
Nitin et al. Intrusion detection and prevention system (idps) technology-network behavior analysis system (nbas)
US20150026806A1 (en) Mitigating a Cyber-Security Attack By Changing a Network Address of a System Under Attack
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
CN108183884B (zh) 一种网络攻击判定方法及装置
KR20190119239A (ko) It보안 위험 관리 장치
Kumar et al. Integrating intrusion detection system with network monitoring
JP4161989B2 (ja) ネットワーク監視システム
JP5752020B2 (ja) 攻撃対策装置、攻撃対策方法及び攻撃対策プログラム
TW201531880A (zh) 使用基於一邏輯多維度標籤之原則模型之分散式網路安全
KR101022167B1 (ko) 네트워크 자산의 취약성을 고려한 침입탐지시스템의로그최적화 장치
US20220060485A1 (en) Threat forecasting
Shah et al. Disclosing malicious traffic for Network Security
KR101248601B1 (ko) 분산서비스거부 공격 보안 장치 및 좀비 단말기의 탐지 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application