KR20150058304A - 창발적 네트워크 방어 시스템 - Google Patents

창발적 네트워크 방어 시스템 Download PDF

Info

Publication number
KR20150058304A
KR20150058304A KR1020157009309A KR20157009309A KR20150058304A KR 20150058304 A KR20150058304 A KR 20150058304A KR 1020157009309 A KR1020157009309 A KR 1020157009309A KR 20157009309 A KR20157009309 A KR 20157009309A KR 20150058304 A KR20150058304 A KR 20150058304A
Authority
KR
South Korea
Prior art keywords
node
network
anxiety
level
nodes
Prior art date
Application number
KR1020157009309A
Other languages
English (en)
Inventor
엔 크레인 얼
엠 크레인 사라
씨 에이치 라이언 줄리
Original Assignee
더 조지 워싱턴 유니버시티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 더 조지 워싱턴 유니버시티 filed Critical 더 조지 워싱턴 유니버시티
Publication of KR20150058304A publication Critical patent/KR20150058304A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

다수의 노드를 갖는 네트워크에서 사용되는 노드에 관한 시스템 및 방법이 제공된다. 노드는, 이 노드의 사전 정해진 근접성 내에 있는 이웃 노드(들)을 식별하도록 구성된다. 근접성은 물리적, 논리적, 네트워크 홉, 네트워크 링크, 또는 정점 분석 근접성 중 하나에 의해 측정된다. 노드는 자체적으로 불안성 수준을 결정하고, 이 불안성 수준을 이웃 노드(들)로 전송 및/또는 수신하여 통신한다.

Description

창발적 네트워크 방어 시스템 {EMERGENT NETWORK DEFENSE SYSTEM}
본 발명은 네트워크 보안에 관한 것이다.
<관련 출원>
본 출원은 2012년 9월 18일에 출원된 미국 가출원 61/702,484의 우선권을 주장한다. 이 출원의 전체 내용을 본원의 참고자료로서 인용한다.
컴퓨터 및 네트워크의 보안에 적용되는 정보 보안은 전통적으로, 독립된 단일 호스트에서 단일 호스트에 대한 보안 기준선(baseline) 및 통제권(control)을 정하고 호스트 정책(policy) 및 구성(configuration)을 중앙에서 관리하는 것에 초점을 맞추고 있다. 그러나, 이러한 방식은, 이동전화, 스마트망, 개인용 컴퓨팅 기기들, 및 네트워크 기반 기기를 포함한 네트워크 장치들의 빠르고 지속적인 성장으로 인해 제대로 스케일링(scale)되지 않는다.
정보 보안 관리는 정보를 저장, 처리 및 전송하는 정보 시스템의 지속적인 사용에 있어서 중요한 관점이다. 시스템, 기술, 사용자, 및 공격자의 정교성이 높아짐에 따라, 방어 전략과 대응 전술도 이러한 정교함에 맞게 진화되어야 한다. 늘어나는 정보 시스템을 보호하는 방어자(defender)들은 인간 및 자동화 공격자(attacker)가 매우 많이 증가함에 따라 수적으로 열세가 된 동시에, 현재의 컴퓨터 네트워크 방어(CND: computer network defense) 모델은 그 관리가 점점 더 어려워지고 있다. 현재의 CND 모델은 효율적으로 스케일링되지 않는다. 엔드호스트(end host) 특성을 모니터링하는 에이전트(agent)를 사용하는 것은 새로운 것도 아니며 관심있는 창발적 행동(emergent behavior)에 사용될 수 있는 것도 아니다. (S.A. Hofmeyr, 분산 탐지에 대한 면역학적 모델과 이의 컴퓨터 보안에의 적용(An immunological model of distrubuted detection and its application to computer security), 1999). 그러나, 지금까지는 소수의 연구에서만 복잡 환경(complex environment)에서 창발적 보안지향 행동(emergent security-oriented behavior)을 일으키는 데 필요한 단순한 보안지향 청정성(hygiene characteristic)을 평가하려는 시도가 있었다. (참고: M.Mitchel이 메타코그니션 인 컴퓨테이션(Metacognition in Computation)에서 2005년에 발표한 분산 시스템에서의 자기 인지 및 통제(Self-awareness and control in decentralized systems); R.Dove 및 L.Shirey가 2010년 시스템 엔지니어링 리서치(System Engineering Research)의 제8차 회의에서 발표한 신속한 보안 패턴의 발견 및 표시에 관하여(On discovery and display of agile security patterns))
네트워크화 된 컴퓨터 시스템에 구축된 현대적 보안 구조는 정교하고 복잡하다. 보안 방식의 개념화 및 발전을 지원하는 침입차단 시스템(walled fortress), 중첩된 계층방어 시스템(layered defense-in-depth), 및 면역 시스템 모델링 등 다양한 패러다임이 있다. 초기의 필수 요소는 침입자가 기업 정보 자산에 대해 무단 액세스하지 못하도록 하는 것이었다. 가상 사설 네트워크(virtual private network) 등의 새로운 기능들이 출현함에 따라 그리고 원격 작업(teleworking) 등의 새로운 동작 파라미터(operational parameter)들이 진화함에 따라, 보호가능한 특정 시스템의 개념이 서서히 침식되었다. 이러한 침식은 클라우드 컴퓨팅의 채택에 따라 가속화하고 있다.
발명자들은, 주변 보안에 집중하는 것은 유용하기는 하지만 불충분하며, "부드럽지만 씹히는 내용물이 담긴 단단한 캔디 껍질(hard-candy shell with a soft, chewy center)"을 갖는 시스템(Wadlow, 네트워크 보안의 프로세스: 안전한 네트워크의 설계 및 관리(The process of network security: Designing and managing a safe network), 2000)의 결과가 나올 수 있음을 인식하게 되었다. 이러한 모델은 하나의 공격자가 네트워크에 일단 침투하였으나 이를 방어하는 데 실패한 경우에 대해서는 불충분할 뿐만 아니라, 공격자가 네트워크 영역 내에서 계속해서 존재하는 것을 방어하기 위한 내부적 보안에 대한 고려가 없다. 또한, 원격 사용자, 모바일 사용자, 그리고 신규 서비스의 경우에 외부에서 내부로의 인증된 액세스를 허용하기 위하여 경계를 관통해 뚫린 가상의 구멍(virtual hole)의 수가 증가함에 따라 구멍난 경계(porous boundary)가 점점 늘어난다. 기업 경계의 결과적인 탈경계화(de-perimeterization)로 인해 전통적인 보안 모델의 실효성이 감소되었다(Jericho 포럼, 2007). 이러한 현실에 맞는 새로운 접근 방법을 개발하기 위해 보안 분야는 점차 더 영리해질 필요가 있다고 널리 인식되고 있다(국가 연구위원회(National Research Council), 2007).
위협을 인지하고 처리할 수 있을 정도의 지능으로 네트워크 상의 각 노드를 만들고자 하는 시도가 기술을 발달시켰다. 일례로서, 컴퓨터가 외부 소프트웨어 요소를 인지하는 컴퓨터 시스템용 면역 시스템을 만든 뉴멕시코 대학의 연구가 있다(Forrest 외, 1994). 이 면역 시스템은 다양한 탐색 경로에서의 연구를 지속시키는 데 일조하였다(Timmis 외, 2010, Greensmith 외, 2006).
컴퓨터 시스템에서 보안 소프트웨어를 실행할 때의 운용상 문제는, 보안 관련 이벤트를 기록하고 분석시에는 프로세싱 사이클(처리 주기)이 소요되므로 다른 사용자를 위한, 가령, 기업을 운영하기 위한 가용 용량을 줄인다는 것이다. 컴퓨터가 오늘날의 제품보다도 별로 강력하지 않았던 때에 이 문제는 중요한 문제였다. 보안 모니터링 및 분석을 위한 모든 옵션이 선택된 경우에 네트워크가 사용불가할 정도까지 느려지는 것은 특이한 것이 아니었다(Kruegel 외, 2005). 컴퓨터 속도 및 용량의 발전에 의해서 이 문제는 다소 개선되었으나, 수집하고 상관처리하고 분석해야 할 데이터의 양이 많은 대형 시스템에서는 여전히 중요한 과제로 남아 있다.
따라서, 매우 큰 이기종(heterogeneous) 네트워크 환경에서의 시스템 보안을 관리하기 위한 스케일링 가능한 시스템 및 방법에 대한 필요성이 있다. 머신의 속도와 비교하여 인간의 개입은 느리며, 각 네트워크 노드 관리를 위해 여러 명의 사람들이 연계되는 것이 일반적이다. 악성 코드(malware)는 네트워크를 통해 엄청난 속도로 확산된다. 관리되지 않는 또는 제대로 관리되지 않는 네트워크 노드의 수가 늘어나면 컨피겨레이션(configuration) 및 패치(patch)의 기본적인 청정성이 유지되지 않는다. 기존의 다양한 솔루션들이 악성 코드의 확산을 제한하고 시스템 보안의 관리에 도움을 주지만, 그들 중 많은 것들에서는 처리상의 오버헤드와 네트워크 사이즈 간에 절충을 해야 한다. 따라서, 네트워크의 요소들(elements)을 관여시켜서 각 노드가 전체 시스템의 보안 관리에 조력하도록 함으로써 네트워크 운영에 대한 부담이 가중되지 않으면서 대규모 네트워크를 관리할 수 있게 할 필요가 있다.
네트워크 내의 각 노드가 이러한 보안 관리의 과제를 지원할 수 있도록 하는 것은 문제에 대한 완전한 솔루션이 아니라 과제를 보다 더 다루기 쉽게 만드는 것이다. 구체적으로, 본 발명은 지속적으로 운영 환경을 평가하고 해당 평가에 기초하여 기능상의 의사결정을 각 노드에서 창출함으로써 보안 관리의 과제에 각 노드가 기여할 수 있도록 각 노드에 초점을 맞추고 있다. 의사결정 과정은 두 가지 요소에 기반하는데, 하나는 근접한 이웃 노드로부터의 입력이고 또 하나는 선험적 조건부 상태에 기반한 자기 평가이다. 이 의사결정 공간의 최종 결과는 행동의 작용 패턴을 증가시키거나 감소시키기 위해 각 노드에서 사용되는 불안성 지수(nervousness index)이다. 본 발명의 설명에 있어서, 행동의 작용 패턴(operational behavior pattern)이란 그룹적 환경 평가에 기반하여 작용 기능(operational capabilities)을 자동으로 감소시킴으로써(공격영역(attack surface)) 네트워크의 보안 관리에 도움이 되는 프로세스를 의미한다. 이로써, 인간 관리자는 네트워크의 전체 보안 상태의 유용한 입력과 더불어, 네트워크화된 환경에서 위협이 탐지된 경우에 추가적인 대응 시간을 얻게 된다. 공격영역의 자동 감소는 대부분 기본적인 정보 보안 청정성(hygiene), 가령, 서비스를 중단하거나 패치를 보증하여 컨피겨레이션(configuration)이 그 최신의 공표 수준으로 있도록 함에 의해 실현된다.
또한, 문제를 보다 더 취급 용이하도록 하기 위해, 불안성 지수를 줄이는 것은, 특정 노드에 최소 수의 보안 통제를 적용함으로써 수행된다. 공격영역을 감소시키기 위한 기본적인 작용 기능은 또한 "보안 청정성"이라고도 하는데, 이는 최소한의 허용 보안 기준선을 유지하기 위해 시스템에서 실현되어야 할 가장 최소한의 보안 통제(제어)이다. 특히 이러한 구현을 위해서, 우리는 최소한의 "보안 청정성" 통제에, 노드 포트, 프로토콜, 운영체제 패치 수준, 어플리케이션 패치 수준, 안티바이러스 및 침입 탐지 시스템 소프트웨어 시그니처와 정책 연한의 관리, 유지보수, 및 동작 제어, 그리고 시스템이 정책 부합성을 마지막으로 확인한 이후의 시간량, 그리고 현재 시스템 상태와 시스템 컨피겨레이션 기준선과의 차이가 포함되도록 고려한다. 이는 노드 공격영역을 관리하는 데 사용 가능한 통제 수단의 한정된 집합이다. 보안 통제를 공격영역에 영향을 주는 것들 중 일부만으로 제한함으로써 전체 시스템의 복잡성이 감소되고 본 개념의 유효성이 발휘된다.
이러한 최소한의 수준을 넘어선 추가적 통제는 불안성 계산의 실현 및 정확성의 충실도를 더욱 높힐 수 있지만, 불안성 및 공격영역 관리의 기본 개념에 대한 지원을 바꿔놓지는 않는다. 그러나, 본 발명의 적용 분야가, 최소한의 또는 강력한 청정성 보안 통제를 모두 사용하여 공격영역을 감소시키는 것에만 제한되는 것은 아니다. 다른 요소들도 불안성에 영향을 주고 감소시킬 수 있기 때문이다. 본 발명의 적용 분야에는 장래의 공격, 의심가는 무권한 사용자의 행동에 대한 정보수집 또는 사전 경고, 그리고 위협 공격의 성공 확률을 줄이기 위한 외부 위협 완화 활동 등이 포함되지만, 이들에만 국한되는 것은 아니다. 현재의 공격영역을 판단(결정)하는 위험 평가의 일부분은, 다른 것들보다 더 중요한 특정의 작용 기능이 있다는 것을 인식하는 것이다. 특정 기능은 향상된 가용성, 신뢰성, 또는 무결성을 요구하며 공격영역을 변경시키지 않는 추가 서비스들일 수 있지만, 이들은 위험 평가를 통해서 결정된다. 다른 작용 기능의 경우에는, 한정된 리소르를 각 노드를 안전하게 지키는 가장 중요한 요소들에 집중시킴으로써 보안상의 고려가 적게 필요할 수 있다. 이것은 본 발명에 대한 기본적인 원동력 중 하나이며, 정보 보안 위험을 측량하고 동적으로 조종 및 완화하는 새로운 메커니즘이다.
다수의 노드를 갖는 네트워크에서 사용되는 노드에 관한 시스템 및 방법이 제공된다. 노드는, 이 노드의 사전 정해진 근접성 내에 있는 이웃 노드(들)을 식별하도록 구성된다. 근접성은 물리적, 논리적, 네트워크 홉, 네트워크 링크, 또는 정점 분석 근접성 중 하나에 의해 측정된다. 노드는 자체적으로 불안성 수준을 결정하고, 이 불안성 수준을 이웃 노드(들)로 전송 및/또는 수신하여 통신한다.
본 발명의 상술한 목적 및 다른 목적들, 그리고 의도된 많은 장점들은 이하에서 첨부 도면과 함께 제시되는 상세한 설명을 참조함으로써 보다 명확해질 것이다.
도 1은 네트워크 불안성 평가를 설명하는 도면
도 2는 창발적 네트워크 방어의 시스테미그램
도 3은 가장 가까운 이웃들의 간략화
도 4는 불안성의 예시
도 5는 블록 1에 대한 이론적 컨텍스트 구성도
도 6은 상태 변화를 도시
도 7은 블록 2에 대한 이론적 컨텍스트 구성도
도 8은 창발적 행동을 나타내는 세 가지 경고가 표시된 화면
도 9는 블록 3에 대한 이론적 컨텍스트 구성도
도 10은 필요한 데이터 요소들
도면에 도시된 본 발명의 바람직한 실시형태를 설명함에 있어서, 명확성을 위해 특정 용어에 의존한다. 그러나, 본 발명은 이렇게 선택된 특정 용어에만 한정되는 것으로 의도된 것이 아니며, 각각의 특정 용어는 유사한 목적을 달성하기 위해 유사한 방식으로 작용하는 모든 기술적 등가물을 포함하는 것으로 이해하여야 한다.
예시와 명확성을 위하여, 용어 "노드"는 여기서는 전반적으로, 한 노드가 다른 이웃 노드들과 통신할 수 있는 환경 내에서 특정한 특성을 갖는 개별 요소인 것으로 이해하여야 한다. 그러나 이것이 본 발명을 제한하려는 의도는 아니다. 노드는 "호스트(host)"로 구현되지만, 이러한 구현이 "호스트"의 정의를 넘어서 노드를 적용하는 경우를 제한하고자 의도된 것은 아니다. 용어 "호스트"는 특정 노드를, 이웃 노드(들)와 통신하고 이 특정 노드의 불안성(nervousness)의 수준을 판단하고 이 불안성 수준에 따라 이웃 노드(들)에 송신 및/또는 수신하도록 구성되는 처리(프로세싱) 장치로서 구현한 것을 지칭한다. "로컬"이라는 용어는 상기 특정 노드와 이웃 노드(들) 간의 근접성을 의미하며, 물리적, 논리적, 네트워크 홉(hop), 네트워크 링크, 또는 정점 분석(verices analysis)에 의해 측정된다. 용어 "에이전트"는 노드로서 작동되는 호스트에 존재하는 특정 수단, 가령, 소프트웨어를 의미한다.
본 발명의 하나의 목적은 대규모 네트워크 보안 관리를 더욱 효과적(effective)이고 효율적(efficient)으로 만들어 주기 위하여 네트워크 노드에서 로컬 환경의 프리미티브 인지(primitive awareness)를 사용할 수 있도록 하는 것이다. 효과적인 보안 관리란 잠재적 공격의 달성 확률이 낮도록 만드는 위험 관리 프로세스 및 수단이며, 이 계산을 위해 공격영역(attack surface)의 대용변수(surrogate variable)를 사용한다. 효율적인 보안 관리란, 액션이 취해지는 속도와 인간 운영자에게 문제가 통지되는 속도의 대용변수를 이용하여서 로컬 환경 평가에 기반한 자동화된 결정을 통하여 위협에 보다 신속하게 대응하는 것을 의미한다.
본 발명은 대규모의 이기종 네트워크에서의 탐지된 위협에 대처하는 인간 관리자의 능력을 향상시키는 보안 관리에 대한 접근법을 제공한다. 전통적인 보안 관리는 중앙 제어형의 단일 호스트에 초점을 맞추고 있으며 제대로 스케일링되지 않는다. 본 발명은 네트워크 환경의 방어 및 탄력 대응이 가능하도록 전체적으로 동작하는 네트워크 접속 환경을 조성하는 데 있어서의 과제를 해결한다. 늘어나고 있는 위협 정교성, 방어의 복잡성, 및 방어 대상 공격영역의 증가를 인정하여, 대규모 이기종 네트워크에서의 보안 관리를 위한 "보안 생태계(ecosystem)"를 구축하기 위한 본 발명의 몇 가지 비제한적인 실시형태들을 이하에서 설명한다. 보안 생태계는, 머신은 다른 머신로부터의 위협에 머신 시간(machine-time)으로 대처하고 인간은 다른 인간의 위협에 인간 시간(human-time)으로 대처한다고 인식한다. 자동화는 건전한 사이버 생태계의 최우선적 구성요소이다(국토 안보국(Department of Homeland Securiy, 2011). 본 발명은 네트워크 장치의 관여를 가능케 하고 탐지된 위협에 대응하는 인간 관리자의 능력을 향상하는 데 필수적인 특징들을 고려하는 분산형 모델(decentralized model)을 제공한다.
본 발명은 페로몬(pheromone) 및 군집 이론(swarm theory)을 고려한다. 페로몬은 그룹 내의 다른 개체에게 매우 제한되고 특정적인 메시지를 전달하기 위해 생물체에서 방출되는 화학 물질이다. 군집 행동(swarm behavior)은 자극에 반응하는 생물체 그룹의 일체적 움직임이다(뉴옥스퍼드 미국어 사전, 2011). 군집 이론은 관심있는 특성의 출현시에 그룹을 관찰하기 위하여 집단 행동을 이용한다. 페로몬은 자연에서 매우 제한적이며, 또한 그룹의 성원들에게 중요한 정보를 전달하여 그에 따라 개인과 그룹의 행동을 변형시킨다. 컴퓨팅 시스템과의 유사점은 페로몬 유사체(pheromone analog)는 매우 적은 리소스(resource)를 필요로 한다는 것으로, 이는 본 발명에 대한 성능상 제약이 된다. 군집 이론은 개미, 벌 등의 진사회성(eusocial) 곤충들의 결합된 인터랙션을 통해 관찰되는 그룹적 활동이다. 그룹적 활동은 개별 노드의 활동을 넘어서 더 영향을 주는데, 이때 시스템의 지능은 개별 부분들의 총합적 지능보다 더 커진다. (C.G.Langton, 카오스 문턱에서의 계산: 상태 전환 및 창발적 계산(Computation at the edge of chaos: Phase transitions and emergent computation, Physica D 42(1-3), pp. 12-37, 1990; S.A.Kauffman, 순서의 기원: 진화에서의 자체 조직화 및 선택(The Origins of Order: Self Organization and Selection in Evolution), New York: Oxford University Press, 1993; J.Kennedy 및 R.Eberhart, Neural Networks에서 발표된 신경 네트워크에서의 미소 군집 최적화(Particle swarm optimization), 1995, Proceedings, IEEE 국제 회의, 1995.)
네트워크의 노드들 간에 불안성 수준(level of nervousness)을 전달하기 위하여 페로몬 유사체를 이용한다. 이 페로몬 유사체는 불안성 평가자(NA: Nervousness Assessor)에 의해 생성되는 불안 신호(NS: Nervous signal)로 발현된다. 또한 NA는 모든 노드에서, 통신상 연결된 이웃으로부터 NS를 수신하여 이를 통합한다. NA가 네트워크로부터 하나 이상의 NS를 수신하면, NA는 그 포함된 정보를 노드의 현재 상태의 평가에 통합시킨다. 평가에는 동작 상황(operational status)의 측면에서의 필수 노드 특성이 포함된다. 마지막으로, 불안성 조작자(NO: Nervousness Operator)는 노드에 액션을 취하여 동작 상황을 바꾼다(가령, 공격영역을 증가 또는 감소).
불안 신호(NS)는 불안성 상태를 가장 가까운 이웃 노드로 통신(전달)한다. 이 개념은 군중의 관측에 비유된다. 한 사람이 특정 방향을 바라보는 것과 같은 특정 행동을 하면 이 행동을 관측한 가장 가까이에 있는 사람도 또한, 실제로 무언가 관심을 가질 가치가 있을 수 있다는 가능성을 갖고 동일한 방향을 바라보게 된다는 것이다. 그러나 인간은 진사회성 동물이 아니기 때문에 인간 행동을 통해서 창발적 특성(emergent characteristics)을 유추하는 것은 강력하지 않음을 주목해야 한다.
불안성 평가자(NA)는 노드의 불안성 상태를 계산하고 불안 신호를 송신 및 수신한다. 노드 불안성의 계산시에는 가장 가까운 이웃 불안성과 내부 상태 컨피겨레이션을 이용한다. 본 발명의 목적상, 선택되는 내부 상태 특성은, 현재의 공격영역, 이전의 불안성의 수준, 및 파라노이아(paranoia)의 수준이다. 여기서 파라노이아란, NA의 반응을 동작 환경의 요구에 따라 설정할 수 있도록 인간 운영자가 설정한 조정가능한 특성(tunable characteristic)이다.
불안성 평가에 대한 반응은, 이 이론에 행동 성분(behavioral component)을 제공한다. 노드는 환경으로부터 불안 신호(NS)를 수신하고, 불안성 평가자(NA)는 개별 노드에 어떤 불안성 상태가 있는지를 평가한다. 이어서 NS는 업데이트된 불안 상태를 통신하고, NO는 사전에 정해진 행동 파라미터에 따라 액션을 행한다. 이 액션에는, 활성 포트(active port)의 수를 줄임으로써, 미적용 패치를 확인(체크)함으로써, 최신 정책에 대한 컨피겨레이션을 업데이트함으로써, 인간 관리자에게 경고함으로써, 또는 완전히 시스템을 종료시킴으로써, 내부의 또는 네트워크의 공격영역을 증가시키거나 감소시키는 것이 포함될 수 있다.
이러한 개별 노드의 행동은 시스템에서의 더 큰 행동 패턴의 원인이 된다. 본 발명의 실시형태는 개별 노드가 보다 더 불안해질수록 그 이웃들의 불안성이 증가하였음을 밝혀준다. 이러한 행동은 불안성의 원천 출처의 측면에서 그리고 확산되는 반응의 측면에서 관찰할 수 있었다. 행동들이 어떻게 나올 것인지를 알아보기 위한 모델을 제시한다.
모델
형식 모델은 노드 불안성 A=<S,F>의 2튜플 상태머신(two-tuple state machine)에 의존한다. 여기서 S는 상태들의 집합이고, F⊆S는 피드백 상태의 집합이다(F와 S는 추후 도 2에서 사용됨). 노드 상태 s∈S는 노드 리소스(resource)를 그 컨피겨레이션(configuration)로 매핑한 것이다. 즉,
Figure pct00001
.
리소스에는 포트(port), 서비스, 및 관리 기능(가령, 패칭(patching), 시그니처(signature) 업데이트, 및 정책(policy) 관리)과 같은 것들이 포함된다. 컨피겨레이션(configuration)은 빈도(frequency)를 블록(block) 및 패치(patch)하는 포트와 같이, 리소스에 적용되는 설정(setting)이다. 넓은 의미로, 노드 상태 s는 공격영역을 대표하며, 내부 공격영역과 네트워크 공격영역(본 모델의 경우에는 하나의 척도로 결합되어 있음) 모두를 포함한다.
임의의 노드에서의 불안성을 계산하기 위해, 임의의 노드에서의 불안성 평가(NA)는 로컬 영역에서의 불안 신호(NS)의 피드백 및 시스템 컨피겨레이션 상태의 산물이다.
네트워크 불안성(Nervn)은 불안성 분석의 각 시간 단계마다 반복된다. 즉,
Figure pct00002
.
불안성은 각 로컬 환경의 이웃의 불안성이며, 특정 노드 위치에 대한 로컬 네트워크 불안성을 계산하기 위해서 각 로컬 노드 m의 불안성을 합산한다.
Figure pct00003
그런 다음 시스템 피드백 F는 네트워크 불안성에 노드 보정계수(scaling factor)인 파라노이아(paranoia)를 곱한다.
Figure pct00004
각 상태에서 취해지는 액션은 환경의 요구조건에 따라 조정가능하다. 모든 작용이 정상이고 불안성 상태가 "안정(calm)"인 "상태 1"에서, 시스템은 동작 파라미터로 정의되는 것과 같이 "최대 개방"으로 설정될 것이다. 이후의 각 상태(전체적으로 3보다 더 많을 것임)에서, 운영 정책에 의해 정의된 액션들은 더욱 한정적인 컨피겨레이션을 적용함으로써 공격영역을 계속해서 감소시킨다.
다음에, 상태머신 A의 불안성을 노드의 "컨피겨레이션" 및 시스템의 "피드백"의 조합으로 모델링하면 다음과 같다.
Figure pct00005
여기서
Figure pct00006
모델링된 노드 상태 s의 정의로써 특정의 특성들을 판단할 수 있다. "리소스"의 "컨피겨레이션"을 유지하기 위한 매일의 업데이트 주기를 감안하여 각 노드에 대한 변수, 즉, 평균 매일 동작 시간 o, 컨피겨레이션에 대한 평균 매일 다운시간(downtime) c, 그리고 임의 시점에서의 공격영역의 상대적 크기를 고려하자.
컨피겨레이션 시간 c를 최소화하기 위하여 24 시간 동안의 해당 변수 d를 특정할 수 있다. 즉,
Figure pct00007
변동되는 컨피겨레이션 보안의 상태를 갖는 변수들은 다음과 같다.
Figure pct00008
공격영역, 즉, 불안성을 감소시키기 위한 쉬운 해답은, 불필요한 서비스, 특히 사용자가 크게 원하지 않거나 자주 원하지 않는 서비스를 해제하는 것이다(M.Howard, 2004). 또 다른 방법으로, 본 모델은 로컬 피드백과 로컬 정책을 통한 동적 피드백(파라노이아)을 이용하여, 컨피겨레이션의 증분적 변경(incremental changes)(가령, 포트 개방, 패치 업데이트)을 통해 공격영역의 크기를 조절한다. 각각의 컨피겨레이션 상태는, 컨피겨레이션, 불안성, 그리고 파라노이아에 기초하여 공격영역 크기의 상이한 가설 결과물(postulated outcome)을 낳는다. 본 모델을 통하여 사용자는 우수성의 척도로서 이전 상태의 불안성에 대한 상대적 노드 불안성을 비교할 수 있다. 즉,
Figure pct00009
여기서
Figure pct00010
마지막으로, 노드 불안성(A)은, 특정 시점에서의 당면한 불안성을 계산하기 위하여 노드의 당면 환경(immediate environment)의 프리미티브 로컬 인지(primitive local awareness)를 이용하여, 노드 컨피겨레이션(공격영역), 불안성, 및 파라노이아를 조합한 것이다. 본 발명의 경우, 이 계산은 컨피겨레이션, 불안성, 그리고 파라노이아의 동일 비중(equl-weighted) 승산(곱셈)이다.
각 노드는 노드 불안성 A=<S,F>의 2튜플 상태머신을 갖지만, 이 예는 단지 하나의 노드에 대한 불안성을 계산할 뿐이다. 상술한 모델을 따를 때, 시스템 상태 s는 포트와 서비스의 수, 그리고 마지막 패치, 업데이트, 및 관리 정책 푸시(push) 이후의 시간 길이에 기초한, 특정 시간 단계 0에서 1까지의 "conf" 컨피겨레이션의 척도이다. 이 값은 공격영역이다. 다음, 당면한 이웃의 불안성의 합과 파라노이아 보정계수를 곱하여 시스템 피드백 f가 계산된다. 이에, 네트워크 불안성이 아래 식과 같이 계산된다.
Figure pct00011
.
그리고 여기에 개별 노드들의 파라노이아 보정계수(0 내지 4)를 곱하여 모델링된 노드 m의 피드백을 계산한다. 즉,
Figure pct00012
.
마지막으로, 시스템 컨피겨레이션 공격영역과 네트워크 불안성과 호스트 파라노이아를 곱하여서 노드 불안성을 계산한다.
Figure pct00013
또는
Figure pct00014
이 모델에서, 파라노이아는 수명주기 전반에 걸쳐서 노드별로 일정하게 고정되어 있고 변수 독립 변수(variable independent variable)의 변화시에만 변경된다.
본 실시형태는 불안성을 전달하는 단 하나의 네트워크 페로몬을 포함하고 있다. 그러나, 본 발명은 또한, 또다른 초기 전달 신호(primitive communication signal), 가령, "안정" 페로몬도 포함하고 있으며, 인터랙션 및 행동에 대해 제공될 수도 있다. 개미 집단에서는 스티그머지(stigmergy), 접촉, 인터랙션의 빈도 및 집중도, 그리고 페로몬 통신 등 다양한 통신 메커니즘이 사용된다. "안정된" 또는 "안전한" 신호의 사용이 개미 집단에서 나타나며 이 신호는 본 발명에서도 다양한 페로몬 및 보다 복잡한 통신 및 기억 저장장치를 위한 페로몬의 조합을 이용하여 사용될 수 있다. 본 발명은 방화벽 규칙, 네트워크 분할, 라우팅 규칙의 집합, 및 IDS 경고 등과 같은 네트워크 장치 규칙의 집합을 통해서 그 환경을 동적으로 조정하는 노드를 포함하도록 스티그머지를 갖는 다양한 실시형태들에서 이용될 수 있다.
응용
본 발명은 네트워크화 된 환경의 평가를 위한 기초적인 구조를 제공하며, 광범위하게 응용 가능하다. 본 발명은 공격영역을 줄이고 방어 네트워크 태세(posture)를 높히기 위한 창발적 시스템(emergent system)을 제공한다. 본 발명은 인근 노드에 불안성 전달을 요하는 다양한 비제한적인 예시적 실시형태들에서 사용될 수 있다.
본 발명에 의해 해결되는 과제들 중 하나는 대규모의 분산형 이기종 환경에서의 가시성(visibility)의 부족이다. 네트워크 환경에서의 가시성이란 관리자가 현재의 환경에 대한 상황을 인지(정보 자산 또는 기기의 위치, 그리고 이들 자산의 현재 보안 상태를 안다는 의미임)하는 능력을 말한다. 이는 컨피겨레이션, 보안 상태, 및 공격영역을 호스트로 하여금 변경하도록 하기 위한, 현재의 네트워크 관리 하에서의 필요 기능이다. 그러나, 이는 각 로컬 환경이 다양한 형태의 보안상 도전 및 위협을 가질 수 있는 대규모 네트워크 환경에서는 그 어려움이 증대되고 있다. 또한, 본 발명은 호스트로 하여금 그 로컬 환경에 기초하여 모니터링을 하고 경고를 촉발하도록 하는데, 이는 인간 관리자에게 보고됨으로써 전체 시스템 행동의 분석을 위해 사용될 수 있다. 방어에 관한 의사결정을 호스트에 보다 더 가까이 푸시함으로써, 이러한 발명 기술은 과거에 보고된 이벤트에 기초한 대응보다는, 임박한 또는 현존하는 위협에 대한 주도적인 보안 의사결정을 하는 데 도움이 된다.
컴퓨터 및 네트워크 보안에 적용되는 정보 보안은 전통적으로, 독립된 단일 호스트에서 단일 호스트에 대한 보안 기준 및 통제권을 정하고 호스트 정책 및 컨피겨레이션을 중앙에서 관리하는 것에 초점을 맞추고 있다. 그러나, 이러한 모델은, 이동전화, 스마트망, 개인용 컴퓨팅 장치들, 및 네트워크 기반 장치를 포함한 네트워크 장치들의 빠르고 지속적인 성장으로 인해 제대로 스케일링되지 않는다. 본 발명은 대규모 네트워크 보안 관리를 더욱 효과적이고 효율적으로 만들어 주기 위하여 네트워크 노드에서의 로컬 환경의 프리미티브 인지를 이용한다. 늘어나는 위협 정교성, 방어의 복잡성, 및 방어해야 할 공격영역의 증가를 인정하여, 대규모 이기종 네트워크에서의 보안 관리를 위한 "보안 생태계(ecosystem)"를 구축하기 위한 본 발명의 몇 가지 비제한적인 실시형태들을 이하에서 설명한다. 보안 생태계는, 머신은 다른 머신로부터의 위협에 머신 시간으로 대처해야 하며 인간은 다른 인간의 위협에 인간 시간으로 대처해야 한다고 인식하고 있다. 본 발명은 지속적으로 동작 환경을 평가하고 그 동작 프로파일에 대한 평가를 기반으로 의사결정을 하는 기능을 각 노드에서 창출함으로써 보안 관리라는 과제에 각 노드가 기여할 수 있도록 해 준다. 또한, 공격영역을 줄임으로써 전체 시스템의 복잡성을 줄여 준다.
네트워크 방어
하나의 비제한적인 예시적 실시형태에서, 본 발명은 중앙 지휘 및 통제 기능으로 엔드포인트를 통제 또는 관리할 수 없는 경우에 방어 보안 태세를 높히기 위하여 노드 또는 엔드포인트의 관리에 적용할 수 있다. 또한, 본 발명은 중앙 집중형 또는 분산형의 전통적인 엔드포인트 관리 솔루션이 가시성의 상실에 의해 무력화되는 대규모 네트워크에 있어서의 엔드포인트 또는 노드 관리에 이용할 수 있다. 두 경우 모두 네트워크 방어를 위한 창발적 행동들(emergent behaviors)은 다른 분산형 네트워크 관리 시스템을 지원하지만 대신하지는 못한다. 이러한 공격영역의 자동 축소는 주로 기초적인 정보 보안 청정성을 시행(가령, 서비스를 중단하거나 패치를 보장)함으로써 완수되며, 컨피겨레이션들은 그 가장 최근에 발표된 수준에 있게 된다.
마이크로소프트, 애플과 같은 운영체제(OS) 공급 업체를 포함한 많은 비관리형 네트워크 환경에 특정의 적지 않은 응용 분야가 있다. 여기에는 인터넷 기반 모바일 기기를 제공하는 이동전화 사업자도 포함된다. 이러한 장치들은 공유 네트워크 환경에서 상호 연결되며 중앙 관리되는 서비스로부터 업데이트를 수신하지만, 궁극적인 관리상의 의사결정은 최종 사용자의 몫이 된다. 예로서, 버라이존(Verizon), ATT, 스프링(Spring) 등 인프라 제공 업체, 구글, RIM, 애플 등 소프트웨어 공급 업체, 그리고 삼성, 모토로라, 애플 등 하드웨어 공급 업체를 들 수 있다.
또한, 본 발명은 IBM 같은 기업 네트워크 관리 회사, 시스코(Cisco) 같은 인터네트워킹 회사, 엔드포인트(Endpoint)와 알터리스(Alteris) 같은 엔드포인트 관리 업체, 및 맥아피(McAfee)와 시만텍(Symantec) 같은 보안 회사 등, 많은 분산 노드의 관리에 관여하는 모든 소프트웨어 또는 하드웨어 업체에 적용된다.
보안 청정성 수준은, 엔드포인트들이 불안한 네트워크를 통해 서로 통신을 계속하면서도, 종합 기능(aggregation capabilities)을 통해 중앙에서 계속적으로 모니터링할 수 있다. 이러한 혼합적 접근 방식은 전사적(기업 전체) 관점에서의 위험 평가를 가능하게 한다.
본 발명은 관리형 컴퓨터 네트워크 환경(가령, 중앙 집중형 노드 패치 및 정책 관리를 위한 분산형 네트워크 관리(DNM: distributed network management) 솔루션을 사용하는 것)에 적용 가능하다. 여기에는 마이크로소프트 액티브 디렉토리 같은 운영체제, 또는 Altiris 또는 Big Fix 같은 엔드포인트용 추가기능(add-on), 또는 맥아피나 시만텍 같은 엔드포인트 정보 보안 솔루션 내에 내장되는 솔루션이 포함될 수 있다. 본 발명은 DNM 솔루션을 보강하거나 이를 대체할 수 있을 것이다. 또한, 더 중요한 것은, 본 발명은, 중앙 집중형 DNM 솔루션을 사용하지는 않지만 각 노드가 언제 패치를 할지 어떠한 정책으로 설치할지를 독립적으로 선택해야 하는 비관리형 컴퓨터 네트워크 환경을 위하여 새로운 기능으로서 동작하거나 현재의 초기 기능을 강화시킨다. 본 발명은 전반적으로 개인 컴퓨팅, 모바일 컴퓨팅, 개인 소지 장치, 또는 빈약한 DNM이 설치된 대형 기업에서 널리 사용된다.
본 기술로부터 발생될 새로운 주요 산물은, 현존의 네트워크 관리 기능들에 통합되어 인간 속도가 아닌 컴퓨터 속도로 관리상의 의사결정을 하도록 정보 시스템 관리자를 지원할 수 있는 강화된 네트워크 관리 기능이다.
민수용 이동전화 네트워크의 특정 실시를 예로 들어 본다. 대부분의 민수용 이동전화는 소비자가 개인 기기로서 구입하여 소지한다. 소비자는 최소한, 요금 지불, 기기의 충전, 네트워크에의 전화 등록, 기기의 물리적 보안 상태 유지, 펌웨어ㆍ운영체제 및 어플리케이션 소프트웨어의 업그레이드, 그리고 적절한 보안 행위 수행 등의 책임을 갖는다. 적절한 보안 행위에는 다음의 것들이 포함된다(단, 이들에만 한정되지는 않는다) - 적합한 암호의 선택 및 저장, 본인의 주변에 대한 인지(awareness), 본인이 접속할지도 모를 다른 네트워크 및 장치의 고려, 그리고 (가령, 악성 코드 감염으로부터) 본인의 기기에, (가령, 산만한 운전에 의한 사고에 의해) 본인 및 타인에, (악성 코드를 공유하거나 사회 관계망에 악성 콘텐트를 올림으로써) 피어(peer) 및 친구들에게, 그리고 (가령, 네트워크의 남용, 서비스 조건의 위반 등으로) 네트워크 사업자에 피해를 입히지 않는 조화된 사용.
그러나, 소비자들은 이러한 필수 보안 행위 또는 그 밖의 행위를 수행하는 데에 익숙하지도 않고 관심이 있지도 않다. 이에, 일부 사항은 네트워크 서비스 제공 업자에 의해 수행되거나, 스마트폰(안드로이드, iOS)과 같은 일부의 경우에는 제3의 서비스 제공자가 몇 가지 한정된 보안 서비스(백업, 패치, 암호 보호)를 제공하고 있다.
예컨대 회사 소유의 모바일 기기의 경우에는 중앙 서버가 상기 사항들 중의 일부를 통제한다. 중앙 서버는 정책 설정, 패치의 푸시, 기기로 들어가거나 기기에서 나오는 또는 기기에 존재하고 있는 악성 행위의 확인, 및 회사 보안 정책에 근거한 기기의 설정을 수행하는 설비이다. 그러나, 이러한 환경에서조차도 중앙 서버가 항상 모든 모바일 기기에 대해서 당면 환경에 대한 자세한 정보를 알 수는 없다. 또한, 지리적 요인(외국) 및 환경적 요인(지하, 혼신 등)으로 인해 서버 접속이 상실될 수도 있다. 서버에 의해 수행되는 모든 대응은, 가용도 및 대역폭에 의존하는 통신 지연을 낳게 될 것이다.
상기한 바와 같이 이동전화의 경우에 본 발명을 적용하면, 인간 관리자에게의 경고를 통하여 상기 문제들을 보다 더 통제가능하도록 하거나 또는 환경(주변) 인지 및 자동화를 통해서 인간 사용자를 전적으로 배제시킴으로써, 많은 상기 문제들을 완화시킬 수 있다.
예를 들어, 본 네트워크에서 이동전화로 구현되는 노드는 그 주변부의 인지 요소를 몇 가지 갖게 될 것이다. 창발적 네트워크 상의 이동전화는 요금을 지불하고 기기를 충전하는 것 이외에, 다음과 같은 기능들을 갖게 될 것이다.
ㆍ 네트워크에의 등록을 보장하는 기능, 또는, 신호 상실의 경우에는, 다른 네트워크 기기에 또는 그 영역 내에 구성된 때에는 메시 모바일 네트워크로서 피어를 통하여 통신하는 기능. 만일 이웃이 존재하지 않는 경우에는, 그들은 창발적 네트워크의 일부가 아니기 때문에 또는 아무 것도 영역 내에 없기 때문에, 이동전화는 이에 따라, 신뢰할 수 없는 피어와는 통신을 하지 않게 될 것이다.
ㆍ GPS, 가속도계, 신호 강도, 및 이웃 근접성 등의 당면 환경 요인에 기초한 물리적 환경의 인지 기능. 이는 전화의 도난의 경우, 예를 들어, 평상시에는 사용되지 않거나 허용되지 않는 물리적 영역에 위치하는 경우를 알리는 데 사용될 수 있다.
ㆍ 창발적 전화 노드는 정기적인 업그레이드 행위를 기다리지 않고 당면하는 환경 요인에 기초하여 펌웨어, 운영체제, 및 어플리케이션 업그레이드를 수행할 수 있는 능력을 갖는다. 여기에는, 이웃 노드가 현재 가용성 여부를 확인하기 위해 업그레이드를 수행하는지를 인지하는 것이 포함될 수 있다. 여기에는 또한 불안의 임계값에 도달하였는지, 그리고 노드가 공격영역을 줄이기 위한 업데이트를 하는 것을 확인하는 기능이 포함된다.
ㆍ 적합한 보안 행위를 사용자에게 강제할 수는 없지만 창발적 전화는 사용자가 보다 나은 보안 결정을 내리는 데 도움을 줄 수 있다. 여기에는 안전하지 않은 환경에서 일반 텍스트를 전송하는 것 또는 패스워드 표시를 제한하는 것(타이핑 중에 ***를 표시하여 패스워드가 노출되지 않도록 함)이 포함된다. 이웃들의 수가 많음을 다른 창발적 노드들이 표시하는 조밀한 공공 장소(예컨대, 버스 내)에서는 은행 계좌를 확인하는 등의 민감한 행위가 제한될 수 있다.
ㆍ 아마도 이동전화의 특정 예에서 가장 큰 이점들 중 하나는 타인을 보호하는 것일 것이다. 창발적 네트워크는 건전한 생태계를 통한 커뮤니티의 생존에 의존한다. 그 결과, 창발적 네트워크는 자연스럽게 자기 보존의 욕구를 가지고 있다. 비록 기술을 의인화하는 것은 아니지만, 주변 인지를 기반으로 하는 생존(survival)은 용이하게 구성가능(configurable)하고 실시 가능한 특징이다. 예를 들어, 창발적 전화는 사용자가 운전시에는 작동하지 않을 수 있고, 트윗 악성 코드(tweeting malware)와 같이 타인 사용자에게 확산될 수 있는 악성 코드로 감염된 특정 서비스에 사용자가 액세스하는 것이 허용되지 않을 수 있다. 네트워크 남용 사용자(예컨대, 높은 음량으로 다운로드 받는 자)는 네트워크에 무리가 가는 경우에 자체적으로 제한될 수 있거나, 노드가 자체 제한될 수 있음을 피어가 표시할 수 있거나, 노드를 자체 제한할 것을 피어가 선택적으로 선택할 수 있다.
마지막으로, 창발적 모바일 네트워크는 본 예에서와 같은 이동전화에만 한정되는 것은 아니다. 노드에는 셀룰러 타워와 백엔드 장비, 무선 라우터와 스위치, 블루투스 기반 기기, 및 그 밖에 이동전화로 통신할 수 있는 모든 기술이 포함된다. 창발적 모바일 네트워크는 스포츠 행사 같이 사용량이 많은 경우 또는 자연재해 같이 네트워크 가용도가 저하되는 때에는 속도를 제한하는 추가적 이점을 갖는다. 이들 속성에 의해서 불리한 상황에 노출된 때에 창발적 모바일 네트워크는 보다 더 탄력있고 생존가능한 상태로 유지될 수 있고, 노드들에 더 큰 가용성을 자동으로 제공하거나 특정 노드들에 우선권을 부여하는 상황에 대응할 수 있게 된다.
네트워크 통제관리
본 발명은 또한 가까운 노드의 불안을 통신하기 위한 그 밖의 어플리케이션들을 구현한다. 예를 들면 다음과 같다.
ㆍ 평판 투표(reputational voting), 신뢰 투표(trust-worthy voting), 또는 기피(shunning). 노드가 그 현재 환경의 인지에 대하여 판단을 하면 어플리케이션에서는 그 상대방의 신뢰성을 평가하는 평가 메커니즘을 제공한다. 하나의 예로서, 무대응 도메인 컨트롤러를 갖는 윈도우스 액티브 디렉토리 환경 같은, 그리고 브릿지형 네트워크와의 상호 접속을 필요로 하는 피어투피어 통신 시스템 같은 컨트롤 서버의 선택 및 적용을 들 수 있다. 이러한 모든 시나리오에서, 노드들은 다른 노드들에 대한 가치 판단(다른 노드들로부터의 데이터를 기피하거나 무시할 것을 선택하는 것이 포함됨)을 한다.
ㆍ 본 발명은 자연 재해, 내전, 엠바고, 제재 등의 실제 지정학적 시나리오 및 상황에 근거하여 인터넷 통제관리(governance) 구조에 영향을 주기 위하여 복잡한 시뮬레이션을 위한 모델링(가령, 신모델)을 포함한다. 이 모델 및 본 발명으로부터 기존 규칙의 집합에 기초한 보다 신속한 통제관리 의사결정의 이익을 얻을 수 있다.
ㆍ 본 발명은 모델을 사용하기 위하여, 몇 가지 정의된 기준의 집합에 의거한 재무 모델링, 또는 심지어는 동작 최적화를 포함한다. 비용 편익 트레이드오프(cost-benefit tradeoff analysis) 분석 및 효율성 고려를 위하여 경제학 또는 계량 경제학을 고려한다. 사이버네틱 이론(cybernetic theory) 뿐만 아니라, 게임 이론, 제로섬(zero-sum) 및 넌제로섬(non-zero-sum) 게임의 적용이 가능하다. 리소스 소비의 수준을 최대화할 수 있고, 또는 게임 이론적인 또는 경제적 관점에서의 보안 활동을 최적화할 수 있는데, 반드시, 네트워크 페로몬의 프리미티브 통신(primitive communication)에는 네트워크 리소스 이용 요금이 강제된다. 여기에는, 게임 이론 및 경제 분석 뿐만 아니라 내쉬 균형(Nash Equilibrium)에 대한 추가적인 조사가 포함되며, 게임 이론은 분산형 네트워크 관리 생태계에 대한 비용 편익 트레이드오프 분석 및 효율성 분석을 적용하도록 구성된다. 이것의 한 가지 예를 들면, 노드가 데이터베이스 내의 금융 거래인 경우이다.
ㆍ 마지막으로, 본 발명은 내부자의 위협 또는 속임수 또는 악의적 내부자에 대한 고려를 포함하며, 반드시, 프리미티브 네트워크 통신 메커니즘은 조종(manipulation)되어야 한다. 실제로, 생물계는 기생충, 질병, 노예로 만들기(slave-making)으로부터의 동일 위협에 처해질 수 있다(Franks & Sudd, 1987). 의도적으로, 본 네트워크 통신 메커니즘에는 인증 메커니즘이 포함되지 않는다. 이로써 보다 개방적이고 강력하며 스케일링이 자유로운 네트워크가 가능해지지만, 신뢰를 악용하는 취약점은 발생된다. 시스템이 충분히 커서 충분한 노드들이 관여하한다면, 하나의 악성 내부자가 전체 생태계를 요리할 수 없을 것이다. 그러나 봇넷(botnet) 등의 대형 컨트롤 메커니즘의 발전에 의해 이는 유효한 가정은 아니다.
본 발명의 특정 실시는 각 아키텍처 및 구성에서 변형될 수 있지만, 기본적인 요소는 동일하다. 엔드포인트가 관리형 환경에서 서버를 조회하거나 비관리형 환경에서 사용자 피드백을 제공하기 때문에, 본 발명에서 설명한 창발적 기능을 제품 속에 포함시켜서 방어 의사결정 프로세스를 개선할 수 있다. 가장 두드러진 것은, 본 발명은 현재에, 로컬 환경 상황의 인지에 기반하여 공격영역을 동적으로 결정하는 업체가 없는 비관리형 엔드포인트 환경에서 가장 필요하다.
시스템
본 발명은 네트워크 상의 컴퓨터 노드들로 하여금 종합적 네트워크 보안 관리에 개별적으로 기여하도록 하는 자기조직화 멀티 에이전트 시스템을 제공한다. 본 발명은 기능 및 구성적으로 상하로 구축되는 일련의 세 빌딩 블록(구성 요소)으로 설명된다. 도 5를 참조하면 블록 1은 하나의 노드의 특성을 나타낸다. 블록 2(5개의 블록이 모인 도 7 참조)는 아직은 네트워크 페로몬을 사용하지 않지만 이웃들과 통신하고 있는 다섯 개 노드의 인터랙션을 나타낸다. 블록 3(도 9에서, 블록 2에서처럼 18개의 블록 1이 모여서 통신하고 있음)은 네트워크 페로몬의 사용을 통해 가장 가까운 이웃 노드들과 통신하는 여덟 개 노드들의 인터랙션에 기반한 창발적 특성을 나타낸다. 블록 3의 출력이 창발적 방어 네트워크이다.
본 발명은 프리미티브 자기 인지(즉, 노드 자체가 그 현재의 보안 상태 및 로컬 네트워크 환경을 "불안성(nervousness)"이라고 기술함)를 고려함으로써 네트워크 보안 관리를 위하여 네트워크 노드의 참여를 가능하게 한다. 각 노드는 "네트워크 페로몬"이라는 프리미티브 통신을 이용하여, 그 현재의 프로필과 이웃의 프로필을 평가한다. 이 평가에는 관리자에 의해 설정된 소정의 청정성 규칙의 집합을 사용한다. 성공적인 응답에는, 그 환경에 대한 응답으로서 불안성 상태를 조절하는 데 사용되는 규칙을 통해 설정되는 노드 상태의 변경이 포함된다.
도 1(네트워크 불안성 평가)은 각 노드에 대해 반복되는 프리미티브 통신 메커니즘과 상태 변화를 보여준다. 도시된 바와 같이, 창발적 통신망은 네 단계로 불안 전달(통신)을 반복한다(102, 104, 106, 108로 표시). 네트워크는 8개의 노드 (110)(도 1에 각 노드는 작은 원으로 나타냄)를 가지며 각 노드 주위의 원은 각각의 가장 가까운 이웃에 의한 불안 영향권을 나타낸다. 이 도면에서 8개 노드들 중 하나의 노드 (1105)는 도 6에 나타낸 것처럼 그 불안성 수준이 '없음'으로부터 '낮음', '중간', '높음'의 불안 상태로 변한다. 각 노드는 이웃과 불안성 수준을 공유하며, 그 공격영역을 감소시킴으로서 그 불안성 수준을 감소시킨다. 노드 (1105)는 그 주위 원으로 나타낸 것과 같이 단 하나의 노드, 즉, 노드 (1106)과만 이웃한다. 그러나 노드 (1106)은 세 개의 노드, 즉, 노드 (1107), 노드 (1108), 노드 (1105)와 이웃한다. 노드 (1109)는 이웃이 없다.
각 단계 (102, 104, 106, 108)는 단계적 시뮬레이션이며, 각각의 상태는 다음 단계가 상태를 변경할 때까지 기다려야 한다(시간 경과에 따른 진행). 첫 번째 단계 (102)에서 노드 (1105)는 낮은 불안성을 갖고 노드 (1106)에는 불안성이 없다. 그 다음, 단계 (104)에서, 가장 가까운 이웃 노드 (1106)은 (1105)로부터 증가된 불안 페로몬을 받고 자신의 불안성을 낮음으로 증가시킨다. 노드 (1106)은 낮음의 불안성으로 증가하고 자신의 불안 페로몬을 방출한다. 노드 (1105)의 불안성은 계속해서 중간 상태로 증가되고, 이 노드 (1105)는 자신의 불안 페로몬을 방출한다. 단계 (106)에서, 원래 노드 (1105)는 불안성을 높음으로 증가시켰고, 자신의 불안 페로몬을 계속 방출하여 노드 (1106)으로 하여금 불안성을 중간으로 상승시키도록 한다. 노드 (1107)과 (1108)은 노드 (1106)으로부터 불안 페로몬을 받을 수 있지만 노드 (1105)는 그러하지 않으며(왜냐하면 노드 11O7과 1108은 노드 1105에 이웃하지 않기 때문), 이들은 자신의 불안성을 낮음으로 증가시킨다.
마지막으로, 네 번째 단계 (108)에서, 원래 노드 (1105)는 그 불안성의 수준을 줄이기 위해 모종의 액션(패치, 업데이트, 서비스 폐쇄)을 행한다. 노드 (1107)과 (1108)은, 노드 (1106)으로부터의 그리고 서로로부터의 불안 페로몬으로 인해 불안성이 증가되었다. 그러나 노드 (1109)는 로컬 이웃이 아니기 때문에 불안성을 변경하지 않는다. 이 예에서, 호스트의 초기 조건(공격영역, 불안성 수준)은 모두 동일하다. 공격영역은 시스템 내의 보안 문제가 발생할 가능성의 크기를 표현하기 위하여 계산되는 대용변수(surrogate variable)이다. 이것은 각각의 모든 문제를 정의할 필요없이 시스템의 보안 통제 및 취약점을 논의하는 방식이다.
만일 이 예를 다음의 시간 주기인 제5 단계로 진행하여 계속한다면, 노드 (1105)는 불안한 노드인 (1106)에 의해서 더 불안하게 되지는 않을 것이다. 왜냐하면 노드 (1105)가 지금은 더 큰 방어력을 갖기 때문이다. 노드 (1105)는 노드 (1106)을 진정시키지 않지만, 노드 (1106)이 더 높은 불안성 수준으로 이동하지 않고 현재의 불안성 수준에 머무르는 원인이 될 수 있다.
호스트의 초기 조건, 인터랙션에 영향을 주기 위해 사용되는 변수, 그리고 인터랙션의 패턴은 모두 창발적 특성에 영향을 주었다. 도 2(창발적 네트워크 방어 시스테미그램)는 창발적 네트워크 방어 시스템을 이끄는 시스템 엔지니어링의 설계 흐름을 문서화한 것으로서, 시스테미그램(systemigram)을 통해 본 개념을 보여준다. 시스테미그램은 시스템 엔지니어링 기능을 텍스트로 설명하며, 그래픽을 패러그래프(단락)으로 읽을 수 있으며 완전하게 표현할 수 있다. 도 2에 도시된 시스테미그램은 절차 체크리스트 또는 전술적 설명서로서 의도된 것이 아니며, 단지 본 발명의 비제한적인 예시적 실시형태를 보여줄 뿐이다. 이 예에서 시스테미그램은 좌측 상단부터 우측 하단 방향으로 읽으며 다양한 변용 형태로 판독할 수 있고 복잡한 상호 관련 시스템 동적 모델의 시각적 통신을 가능하게 한다(Boardman & Sauser, 2008). 모든 동작은 환경의 요소들을 정의하는 것과 동시에 모든 분지(브랜치)를 따라 이동한다.
용이한 이해를 위하여 시스테미그램의 특징을 일반화할 수 있다. '정의 요소'(definitional element) 1, 2, 11, 19, 21, 23, 25, 27, 37 및 43은 모두, 이산(떨어진) 시점에서의 호스트의 모든 정의 특성(definitional characteristics)이다. 이들 각 요소들은 환경에서 규정된 바대로 저장되고 결정되고 상이한 영역으로부터 생성될 수 있다. 이웃들의 수는 시스템 자체에 저장되며, 도 8에 S6으로 나타내었다. 이들은 도 1의 노드 원 내에서의 노드의 수를 계수함으로써 결정된다. 이들은 시스템 내의 존재물로부터 정의에 의해서 가져온 것이다. 호스트는 이들 각각을 그 당면 상태(immediate state)를 정의하기 위해 갖고 있거나 요청하거나 받는다.
F4: 공격영역 타원(12)은 공격영역을 표현하기 위해 사용되는 기본 동작 기능을 나타낸다. 공격영역(F4)은 S1, S2, S3, S4, S5를 포함한다. 이들은 "보안 청정성(security hygiene)"이라고 하는 최소한의 허용가능한 보안 기준선을 유지하기 위해 시스템 상에 구현되는 최소한의 보안 제어부이다. 창발적 특성(10)은 R.Dove가 논한 SAREPH라고 하는 기민(agile) 시스템 특성의 기초의 집합을 나타낸다(2010년 IEEE 국제 Carnahan 회의의 보안 기술(ICCST)에 발표된 차세대 기민 시스템-보안 전략의 패턴 정량화 및 사례(Pattern qualifications and examples of next-generation agile system-security strategies). 이 문헌의 전체 내용을 참고자료로서 본원에 포함시킴).
SAREPH 기민 보안 패턴은, (S) 자기조직화(self-organizing) - 적대적 공격에 대응하는 가장 중요한 시스템의 특성, (A) 적응형 전술(adaptable tactics) - 공격에 대응하여 재조직화 및 재구성하는 것, (R) 반응 탄력성(reactive resilience) - 미지의 세계에서의 동작 및 응답, 공격 충격의 흡수 및 대응, (E) 진화형 전략(evolvable strategies) - 엄격한 학습 루프를 통해 행동을 수정, (P) 주도적 독창성(proactive innovation) - 새로운 방어 및 공격 기술을 창출, (H) 조화된 작용(harmonious operation) - 환경 내에서 사용자 및 다른 노드들 모두와의 인터랙션을 위한 유용하고 상승효과가 있는 보안 특성을 수립하는 것을 의미한다. 이들 여섯 가지 각 특성은 창발적 시스템이 가능하기 위해 존재한다.
피드백 요소 F1, F2, F3, F4는 피드백 루프를 통해 상태머신을 만드는 데 사용된다. 데이터 요소 S1, S2, S3, S4, S5, S6은 호스트의 현재 상태를 계산하고, 피드백 루프에 입력을 제공하는 데 사용된다. 도 10에 나타낸 것과 같이 각 데이터 요소는 실시형태의 각종 빌딩 블록에서 요구된다. 도 10은 블록 1에서는 F4, S1, S2, S3, S4, S5 만이 동작을 위해 필요함을 보여 준다. 그러나, 블록 3에서는 모든 데이터 요소가 동작시 필요하다. 이는 또한 각각의 정의를 제공한다.
도 5의 블록 1을 참조하면, 호스트는 프로세서를 포함한다. 호스트는 S1: 에이전트 존재(20), S2: 시스템 방어 업데이트(22), S3: 시스템 기준선 업데이트(24), S4: 상하 내향(inbound) 서비스(26), 및 S5: 상하 외향(outbound) 서비스(28)를 통해서 F4: 공격영역을 계산하고 조종한다. 호스트는 또한, F3: 파라노이아(3)와 F2: 네트워크 불안성(5)에 기반하여 F1: 내부 불안성(7)을 계산한다. 블록 1은 또한 F2: 네트워크 불안성(5) 입력을 포함하지만, 가장 가까운 이웃을 갖는 네트워크에 통합될 때까지 이들은 관련되지 않는다.
도 7에서 블록 2를 참조하면, 호스트는 블록 1(도 5)에서 수행되는 모든 기능을 계산함과 아울러, S6: 이웃들(15)로부터의 네트워크 페로몬을 써서 F2: 네트워크 불안성(5)을 계산하는 프로세서를 포함한다. 이는 단일 호스트의 특성의 완전한 실시형태이다. 다음에 설명하겠지만, 도 7은 블록 2에 대한 이론적 컨텍스트 도면이며 추가적 세부 사항을 제공한다. 블록 2는 블록 1(도 5)에서 얻은 초기 개념을 기반으로 한 전체 모델의 실현을 나타낸다. 블록 2는 전체 모델이 자가 촉매작용(autocatalytic)을 했던(모델이 자기 유지(self-sustaining)한다는 의미임) 몇 가지 초기 특성들을 포함한다.
도 9의 블록 3을 참조하면, 네트워크는, 창발적 네트워크 방어(도 2, 18)를 생성하는 각 호스트의 인터랙션에 구현된 창발적 특성(도 2, 10)을 갖는다. 이것은 어느 하나의 호스트에 구현되는 것이 아니라, 네트워크의 창발적 성질이다.
도 2를 다시 참조하면, 시스테미그램의 각 요소의 상세한 설명이 각 요소의 기능의 설명을 포함하여 제공된다. 피드백 요소 F1, F2, F3, F4는 피드백 루프를 통해 상태머신을 만드는 데 사용된다. 데이터 요소 S1, S2, S3, S4, S5, S6은 호스트의 현재 상태의 계산을 위해 필요하며, 피드백 루프로의 입력을 제공하는 데 사용된다.
요소(200)는 네트워크상의 호스트와 같은 노드 요소이다. 노드 요소(200)는 컴퓨터, 또는 프로세서를 갖는 전자 기기(예를 들어 핸드폰, PDA 등)일 수 있다. 이는 또한 (예컨대 기억 장치와 같은) 데이터 요소일 수 있으며, 다수의 데이터 요소가 하나의 프로세서 또는 CPU에 의해 제어될 수도 있다. 노드 요소(200)는 공격영역을 갖는다. 도 2는 호스트에서 일어나는, 그리고 가장 가까운 이웃 및 당면 환경과 호스트가 인터랙션하는 것과 같은 기능을 설명한다.
정의 요소(1)는 호스트가 상태머신에서 계산된 변수로서 F1: 내부 불안성의 특성을 가질(1) 때에 적용된다. 정의 요소(2)는 호스트가 변수로서 F3: 파라노이아의 특성을 가질(2) 때에 적용된다.
피드백 요소 F3: 파라노이아(3)는 보정계수로서, 정책에 의해 설정되는 변수이다. 이 정책은 일반적으로 어느 노드가 수행될 것인지 예상되는 기능(예를 들면, 노드가 낮은 위험 환경에 있는지 높은 위험 환경에 있는지)으로서 인간 관리자에 의해 설정된다. 낮은 위협 가능성을 갖는 폐쇄된 환경은 낮은 파라노이아를 가질 수 있고, 반면에 많은 위협 가능성을 갖는 개방된 환경은 보다 "위험"할 수 있고 높은 파라노이아 수준을 요할 수 있다. 파라노이아는 F1: 내부 불안성과 F2: 네트워크 불안성 모두에 동시에 영향을 준다.
피드백 요소 F3: 파라노이아(3)는 F2: 네트워크 불안성에 곱해져서(4) F2: 네트워크 불안성에 의해 정량화되는 당면 네트워크 환경의 중요성을 스케일링한다. 네트워크 불안성의 작은 변화도 적거나 큰 문제가 될 수 있으며, 따라서 네트워크 불안성의 가중치에 적게 또는 크게 영향을 미칠 수 있다. 또한, 네트워크 불안성의 가중치는 창발적 특성이 어떻게 진화할지에 영향을 준다. 많은 파라노이아의 네트워크는 마비될 정도로 항시 매우 불안할 수 있는바, 시스템 변경을 위하여 관리자가 파라노이아 또는 관심을 감소시켜야 한다.
F2: 네트워크 불안성 피드백 요소(5)는 호스트의 로컬 환경에서의 불안한 이웃의 모든 불안 페로몬들의 계산된 불안성이다. 본 실시형태의 목적을 위해, 우리는 기본적인 가산 및 승산 연산을 적용하였지만, 다른 모델링 및 계산 모델도 본 실시형태에 적용할 수 있다. F2: 네트워크 불안성(5)으로 입력되는 것은 F3: 파라노이아(3)와 S6: 이웃(15) 불안 페로몬이다. 현재 네트워크 불안성을 구하기 위해 종합된 이웃 페로몬들을 곱한다. 이것은 내부 불안성에 영향을 주는 것이며, 네트워크 내에 이것이 존재함으로써 창발적 특성이 가능해진다.
F2: 네트워크 불안성(5)의 계산은 미리 정의된 계산 알고리즘(앞에서 "모델" 항목에서 설명하였음)으로 F3: 파라노이아를 이용한 가중치 계산 및 F2 계산을 통해서 F1: 내부 불안성(7)에 영향을 준다. F1: 내부 불안성(7)은 호스트에 의해 계산되는 불안성의 수준을 기술하는 변수이다. 이는 F2: 네트워크 불안성 및 F3: 파라노이아 모두를 고려하여 호스트가 "느끼는 것"이 얼마나 불안한지를 나타낸다. 호스트의 목적은, 공격영역을 감소시키거나 위험 노출을 제한하는 등의 여러 메커니즘을 통해 F1: 내부 불안성을 감소시키는 것이다. F3: 파라노이아(3)도 또한 정책에 의해 설정된 보정계수로서 F1: 내부 불안성을 변화(8)시킨다.
F1: 내부 불안성(7) 및 불안성 감소 객체를 계산하는 것은 중앙 집중형 제어를 하지 않는 단일 노드 내의 단순한 요소이며, 군집 이론에서 정의된 바와 같이 다른 호스트들과 결합된 경우에 창발적 특성을 활성화한다(9). 이것이 본 발명의 기본적인 원리인데, 창발적 네트워크 방어를 활성화 하기 위해 진사회성 동물들을 모델링하여 불안성을 표시한다.
창발적 특성들은 요소 10으로 나타내었다. SAREPH 기민 보안 패턴은 아래의 것들을 포함한다. (S) 자기조직화(40) - 적대적 공격에 대응하는 가장 중요한 시스템의 특성, (A) 적응형 전술(34) - 공격에 대응하여 재조직화 및 재구성하는 것, (R) 반응 탄력성(46) - 미지의 세계에서의 동작 및 응답, 공격 충격의 흡수 및 대응, (E) 진화형 전략(42) - 엄격한 학습 루프를 통해 행동을 수정, (P) 주도적 독창성(36) - 새로운 방어 및 공격 기술을 창출, (H) 조화된 작용(41) - 환경 내에서 사용자 및 다른 노드들 모두와의 인터랙션을 위한 유용하고 상승효과 있는 보안 특성을 수립. 기민 특성들은 모든 자기조직화 멀티 에이전트 시스템과 마찬가지로 훈련받지 않은 관찰자에게는 복잡한 시나리오로서 보이게 된다.
호스트는 또한 변수 S1, S2, S3, S4, S5를 갖는 공격영역의 속성을 갖는다(11). F4: 공격영역(12)은 공격영역으로의 입력을 계산하는 데 사용되는 데이터이다. 이들 특성은 보안 청정성 요소이며 공격영역의 계산을 지원하는 데 사용되는 최소치이다. F4: 공격영역(12) 변수는 내부 불안성(7)을 계산하기 위한 입력(13)을 제공하는 데 사용되며, S2, S3, S4, 및 S5를 취함으로써 계산된다. S2와 S4는 "내부 상태 평균 표면 노출" 변수를 정의하기 위해 평균화된다. S4와 S5는 "네트워크 상태 평균 표면 노출" 변수를 정의하기 위해 평균화된다. 네트워크 및 내부 상태 평균 공격영역을 모두 평균화하여서 전체 F4: 공격영역을 정의한다. 이것이 의미하는 것은, 한 가지 변수(가령 내부 상태)가 증가하고 다른 변수(가령 네트워크 상태)가 감소하면, 평균 공격영역 노출이 균형을 유지한다는 것이다. 앞에서 참조한 모델에 따르면, 노드 상태 s는 공격영역으로 나타내며, 내부 공격영역 및 네트워크 공격영역 모두를 포함한다. 이들은 상술한 모델에서 하나의 척도로써 결합되어서 "리소스의 컨피겨레이션"을 유지한다. 현재의 보안 상태는 위협 입력이 배제된 알려져 있는 상태이기 때문에 공격영역(12)은 파라노이아에 의해 영향(13)을 받지 않음을 주목해야 한다. S: 에이전트 존재(20) 변수를 통한 에이전트의 존재는 공격영역의 계산에 포함되지 않는데, 그 이유는, 에이전트가 존재하지 않는 경우에 노드는 창발적 네트워크의 성원이 아니며 불안 계산을 할 수 없거나 네트워크 페로몬을 공유할 수 없기 때문이다. 위협 입력에 대한 고려는 불안성 계산시에 캡처된다.
본 발명의 실시형태에 따르면, 창발적 특성(10)이 존재하며 모든 이웃 간에(14) 공통이어야 한다. 이것은 또한 블록 3(도 9)에 나타난다. S6: 이웃 데이터 요소(15)는, 창발적 특성을 나타내기 위한 소정의 양으로 존재해야 하는, 유사한 호스트의 가장 가까운 이웃들이다. 창발적 네트워크 방어를 포함한 창발적 특성은, 충분한 수의 호스트(바람직하게는 최소한 15개 정도. 그러나 이는 응용에 따라 더 많거나 적을 수 있음)가 존재하여 창발적 특성을 활성화(16) 하기 위해 서로 통신할 수 있는 경우에만 나타난다. 하나의 호스트는 마치 한 마리의 개미와 같아서, 약하고 관심대상이 되지 않으며 매우 취약하고 많은 위협에 노출되어 있고 위험 수준이 높다. 창발적 특성의 성공적인 개발 및 증명은 창발적 네트워크를 생성(17)하는 것이다. 창발적 특성을 갖는 유사한 호스트의 네트워크는, 방어를 위한 창발적 네트워크(18)가 되게 하는 것이다. 이것은 모든 빌딩 블록 1, 2, 3을 통하여 창발적 특성을 구현하는 최종 시스템이다.
호스트(200)는 그 내부 상태 계산을 위한 로컬에 위치한 에이전트 또는 계산 요소를 가져야(19) 한다. 현재 상태를 계산하기 위한 요소는 변수 S1: 에이전트 조재(20)인데, 이는 호스트를 창발적 네트워크의 일부로 지정한다. 호스트(200)는 군집의 일부이며 불안성을 계산하는 에이전트를 가져야 한다. 에이전트가 없는 호스트(200)는 인식할 수 없는데, 이는, 통신이 다른 호스트에서 차단되는 것을 의미할 수 있다. 어떤 경우에는 에이전트가 없는 호스트는 강제로 에이전트가 설치되는데, 에이전트가 설치 또는 제거될 때까지 격리되거나, 네트워크 내의 다른 모든 호스트 및 제어 지점에서 분리된다. 자신 및 가장 가까운 이웃에의 에이전트의 존재(또는 에이전트 결여)는 공격영역 계산 및 내부 불안성으로의 입력이 된다.
호스트는 시스템 방어를 필요로 한다(21). S2: 시스템 방어 업데이트(22)는 보안 장치 및 보안 정책에 대한 시그니처 업데이트를 포함한다. 여기에는 안티 바이러스, 침입 탐지 및 기타 시그니처, 보안 툴, 그리고 시스템 및 어플리케이션 패치 수준이 포함되어 있다. 호스트 컨피겨레이션은 유지되어야 한다(23). S3: 시스템 기준선 업데이트 데이터 요소(24)는 사전 구성된 호스트 정책과 현재의 호스트 컨피겨레이션, 예컨대, 설치된 현재 소프트웨어, 현재 어플리케이션 컨피겨레이션(가령, 활성화된 기능), 현재 시스템 컨피겨레이션(가령, 하드 드라이브 암호화), 지리적 위치정보, 허용된 사용자의 수, 수행된 사용자의 액션, 시스템 방어의 현재 컨피겨레이션(가령, 방화벽 구성 및 안티바이러스 감도), 및 그 밖의 많은 시스템 기준선 컨피겨레이션) 사이의 차이를 결정한다. 이것들은 시스템 방어로 생각되지 않는 것이 보통인데, 그 이유는 이들이 최신 패치 수준 또는 시그니처에 의존하지 않고 사전 정의된 정책에 따른 일정한 구성에 의존하기 때문이다.
호스트(200)는 다른 호스트들이 연결되도록 허용할 수 있다. 이는 그 공격영역을 증가(25)시킨다. S4: 내향 서비스 데이터 요소(26)는 포트, 프로토콜, 및 어플리케이션을 포함한다. 호스트는 개방되어 있고 다른 호스트들이 액세스, 질의, 및 연결되도록 허용한다. 이들은 클라이언트 호스트 상에서의 피어투피어 네트웍 탐색 또는 웹서버에서 실행되는 서비스를 포함할 수 있다. 내향 서비스들은 일반화된 것이며, 포트에서 실행되는 어플리케이션의 특정 특성(가령, 특정 사용자가 제한된 어플리케이션 정보에만 액세스할 수 있도록 하는 등)을 포함할 수 있다. 이것은 내향 서비스를 "켜거나 끄는" 정도의 2원적 결정이 아니며 일정 범위의 선택사항(속도 제한, 특정 데이터에의 접근 제한, 요청 호스트로 거짓을 전송, 오도ㆍ기만적 또는 악의적 데이터, 및 그 밖의 일반적인 방어책 등)을 통해 동적으로 변경될 수 있음을 주목해야 한다. 거짓은 데이터가 100% 정확하지 않음을 나타내는 것이고, 오도는 실제로는 올바르지만 다른 결론으로 유도하는 방향으로 의도적으로 변형된 데이터이며, 기만적이란 사용자를 속이기 위한 의도적인 잘못(가령, 다른 서비스로 유도하는)이고, 악의적이란 원격지 호스트로 보내어 일부 기능을 수행하도록 하는 것으로 비콘(beacon)일 수 있으며 파괴적일 수 있다.
호스트는 다른 호스트들과 연결되며 S4(26)와 S5(28)가 인식한 그 공격영역을 증가(27)시킬 수 있는 능력을 가지고 있다. S5: 외향 서비스(28)는 당면 환경 및 로컬 네트워크에 내부적으로 그리고 외부적으로 다양한 서비스에 액세스권이 있는 포트, 프로토콜, 어플리케이션을 포함하고 있다.
F1: 내부 불안성(7)은 S2: 시스템 방어 업데이트(22)를 위한 업데이트 사이클 시간을 구동한다. 대부분의 시스템 방어 업데이트(29)는 정기적인 일정(시간별, 일별, 주별)에 기반한 반면에 본 일정은 내부 불안성(7)에 의해 조종된다. F1: 내부 불안성(7)은 또한 현재 S3: 시스템 기준선 컨피겨레이션(24)의 변경(30)을 일으킨다. 정비 일정의 변경에 더하여, 현재의 시스템 기준선은 공격영역을 줄이기 위해 동적으로 변화할 수 있다. 여기에는 지리적 위치 정보, 현재 사용자, 설치 또는 설정된 현재 어플리케이션, 호스트에 저장되거나 이를 통해 전송되는 현재 데이터, 시스템 방어 도구로부터의 현재 경고, 그 밖에 호스트 및 서버 정책 도구에 의해 구성가능한 정책 요소가 포함된다. F1: 내부 불안성(7)은 또한 S4: 내향 서비스(26)의 가용성을 감소(31)시킨다. 어플리케이션 상의 포트 또는 특정 요소에의 액세스가 허용되는 지리적 위치정보와, 대역폭을 제한함으로써, 호스팅되어 있는 어플리케이션(들)의 다양한 인스턴스에 여러 사용자들이 액세스하는 것, 예를 들어, 여러 사용자에게 여러 데이터를 보여주는 것이 가능해지도록 하는 제약조건(restrictions)이 포함될 수 있다. 이는, 위의 "모델" 항목에서 노드 "리소스"를 그 "컨피겨레이션"으로 매핑하는 노드 상태 s∈로서 설명하였다. 이 경우에, 리소스는 전술한 제약조건(대역폭, 포트)을 포함하지만 이들 사례만이 전적으로 포함되는 것은 아니다. 제약조건에는, 현재의 환경에 적합하며 적용가능한 특정 S1: 에이전트(20) 내에 정의된 모든 요소가 포함될 수 있는 것이다. 불안성 조작자(NO)에 의하여 노드 "컨피겨레이션"이 변화함에 따라, 각 노드는 컨피겨레이션 보안의 상태
Figure pct00015
Figure pct00016
에서
Figure pct00017
로 그리고
Figure pct00018
로 도 6에 나타낸 것과 같이 변동시킨다.
F1: 내부 불안성(7)은 또한 불안성 평가(NA)에 기초하여 공격영역(10)을 변경하기 위하여 불안성 조작자(NO)를 통해서 리소스를 컨피겨레이션으로 매핑하는 동일 알고리즘(상술한 모델 항목 참조)을 이용하여 외향 허용된 서비스(28)의 수를 감소시킨다(32). 이는, 호스트가 특정 웹사이트로 액세스 하는 것, 특정 이메일을 전송하는 것, 및 특정 프로토콜을 통하여 통신하는 것이 제한되는 현재의 운영 환경에 사용될 수 있다. 그러나, 외향 서비스를 보다 더 감소시키는 선택사항(옵션)에는 시스템 기준선 업데이트에 관련된, 예를 들어, 봇넷 완화(botnet mitigation) 같은 속도 제한 호스트 출력과, 이더넷, 와이파이, 와이맥스, 블루투스 및 기타 레이어 1 프로토콜 같은 통신 프로토콜의 제한이 포함된다.
S4: 내향 서비스(26)와 S5: 외향 서비스(28)를 모두 조종함으로써, 호스트는 S2: 시스템 방어(22)와 S3: 시스템 기준선(24)을 업데이트하는 것보다 더 빨리 그 공격영역을 신속하게 동적으로 조절하는 것(33)이 가능하다. 호스트 내로 그리고 밖으로 허용되는 것을 동적으로 조종하는 이러한 신속한 대응은 방어를 위한 적응형 전술(34)을 창출한다. 적응형 전술이란, 호스트(34)가 방어 태세(defensive posture)와 방어 활동(defensive activity)을 결정하는 단순 규칙(simple rule)을 사용하여 방어 태세를 조절할 수 있는 것을 말한다. 여기에는 이들 벡터에 관한 위협을 구체적으로 알지 못하더라도, 네트워크 불안성을 통하여 이웃 호스트로부터의 입력에 기초하여 특정 사이트 또는 주소를 차단하는 것, 서비스를 비활성화하는 것, 그리고 업데이트 주기를 증가시키는 것이 포함된다.
동적으로 변화하는 공격영역은 호스트로 하여금 그 특성을 신속하게 변경(35)하도록 하는데, 이는 본 발명의 방어 메커니즘의 발전을 주도적으로 지원한다. 예를 들어, 불안성 조작자(상기한 모델 항목 참조)를 이용하여, 노드 컨피겨레이션은 그 공격영역의 스코어(score)를 독립적으로 증가 또는 감소시킬 수 있다. 내부의 공격영역(S2, S3) 및 네트워크 공격영역(S4, S5)은 F4: 공격영역(10)을 계산하기 위해 함께 평균화된다. 이것의 의미는, 내부 공격영역이 증가하면, 네트워크 공격영역이 감소하여서 전체 공격영역(10)을 줄인다는 것이다. 이는 예를 들어, 노드가, 시스템 업그레이드 및 패치가 가장 최신의 패치 수준로 업그레이드될 수 없는 기존 시스템을 중단시킬 수 있는 레거시 시스템(legacy system)의 일부일 때에 일어날 수 있다. 오래된 S2: 시스템 방어 업데이트 및 S3: 시스템 기준선 업데이트의 취약점은 관리자가 네트워크 트래픽과 같은 다른 보안 통제권을 증가시킴으로써 완화될 것이다. 창발적 네트워크 방어를 이용하여, 노드 상의 에이전트는 공격영역(구체적으로 이 경우에는 노드 네트워크 공격영역)을 감소시킴으로써 노드 불안성을 줄이려고 시도할 것이다. 공격영역 조종의 이러한 예는 상술한 바와 같은 인간 관리자로부터의 입력없이, 전체 공격영역을 줄이기 위한 프로세스(상술한 모델 항목 참조)의 일부로서 자동으로 수행될 것이다. 이것은 창발적 상황에서 창발적 네트워크가, 알지 못하는 위협에 대해서 그 스스로를 이전에 고려할 수 없었던 새롭고 독특한 방식으로 방어할 수 있도록 하는 혁신적인 방어 메커니즘의 사례이다. 또한, 창발적 상황에서 호스트는, 노드들이 공격의 대상이 되기 전에 방어 태세를 높이기 위한 이웃 노드들의 신속한 경고 능력 때문에 주입된 공격에 대해서 보다 탄력적으로 되고 독립된 노드(stand-alone node)보다도 더 잘 회복이 된다. 이는 주도적 독창성(36)과 방어의 예이다. 주도적 독창성(36)은, 네트워크 불안성을 이용하여 시스템은 그 반응 및 대응 시간을 줄일 수 있고, 궁극적으로는 시스템이 패치되거나 다른 해결 수단이 수행될 때까지 통신을 엄격하게 제한하거나 네트워크로부터 연결을 해제한다. 이는 블록 2(도 7)에 나타낸 하나의 창발적 특성이다.
호스트(200)는 또한 그 이웃으로부터 수신한 불안 페로몬을 계수(count)한다(37). 호스트는 그 이웃으로부터 불안 신호를 수신할 수 있어야 한다. 각 이웃이 하나의 불안 신호를 동시에 방출하면, 호스트는 얼마나 많은 이웃들이 있는지(즉, 이웃의 수)를 알게 된다. 네트워크 페로몬은 통상의 브로드캐스트 매체를 통해서 가장 가까운 이웃 호스트들(이들 역시 페로몬의 수를 계수함)로 모여서 종합된다(38). 각 호스트는 불안 페로몬들을 계수하여서 상술한 바와 같은 알고리즘을 통하여 F2: 네트워크 불안성(5)을 계산하기 위한 입력을 출력한다.
F2: 네트워크 불안성 피드백 요소(5)가 계산되어서 호스트 상태머신에 통합되어서, 개별적으로 내부 불안성을 갖는 가장 가까운 이웃들 사이에 창발적 특성(10)을 활성화 한다(39).
자기조직화 특성(40)은, 호스트(200) 노드들이 중앙의 정책 통제없이 그들 환경 내에서의 로컬 인터랙션을 통해 자기조직화 활동을 수행하도록 한다. 시스템은 인간 관리 또는 중앙집중형 관리 시스템에 의해 수행되는 것보다 더 신속하게 공격 또는 환경 변화에 대응한다. 조화된 작용 특성(41)은, 조직의 정책에 의해 설정된 양호한 청정성의 의도를 반영하는 동일한 단순 규칙의 집합에 의존하여서, 노드들이 통신을 위한 공유의 보안 목표 및 규칙의 집합을 갖도록 한다. 그들은 모두, 개미처럼 - 비록 중앙의 통제는 없지만 - 안정되고 탄력적이며 조화된 환경을 가능하게 한다는 동일한 목적을 가지고 있다.
진화형 전략 특성(42)은, 업데이트 서버를 압도하지 않기 위해서, 기존의 보안 관리 모델 하에서의 많은 호스트들이 24, 48, 72 시간 이상의 업데이트 주기를 엇갈리게 하거나(stagger), 또는 대규모 네트워크들이 호스트 업데이트를 순차적으로 롤아웃(roll out)하도록 한다. 그러나 만일 하나의 호스트가 최근의 업데이트로 인해 자신의 시스템에서 악성 코드를 감지하면, 다른 호스트는 자신의 최신 업데이트를 얻기 위하여 서버를 즉시 확인하지는 않는다. 이로써 중대한 업데이트가 있는 경우에 패치 사이클을 줄일 수 있다. 이는, 본 발명이 패칭 사이클의 주기를 감소시키는 것으로 그리고 공격영역의 노출을 감소시키는 것으로 밝혀진다.
호스트는 인간에 의한 위협(예를 들어, 해커, 도둑, 간첩, 파괴 공작원 등) 및 자연적 위협(예를 들어, 홍수, 화재, 지진, 다람쥐 등) 등, 위협(44)의 대상이 된다(43). 위협이 없다면 보안의 필요성도 없을 것이며 따라서 위협 > 0이어야 한다. 본 발명은 알려진 그리고 알려지지 않은, 현존하는 그리고 현존하지 않는, 자연적인, 인간에 의한, 컴퓨터에 의한 그리고 인간의 명령에 의한 위협(44)을 해결한다. 특정 위협을 해결한다는 것은 시스템 상태 및 위험 관리의 근본 원인을 해결한다는 것이 아니라, 많은 보안 실패의 근본을 해결한다는 것이다. 본 발명은 특히, 네트워크 노드에서 로컬 환경의 프리미티브 인지를 다룸으로써 대규모 네트워크 보안 관리를 보다 더 효과적이고 효율적으로 만들어 주기 위한 것이다. 효과적인 보안 관리란 잠재적 공격의 달성 확률이 낮게 만드는 것이며, 이 계산을 위해 (1) 공격영역의 대용변수를 사용한다. 효율적인 보안 관리란, (2) 액션이 취해지는 속도의 대용변수와, (3) 인간 운영자가 문제를 통지받는 속도의 대용변수를 이용하여서, 로컬 환경 평가에 기반한 자동화된 의사결정을 통하여, 위협에 대해 보다 신속하게 대응하는 것을 의미한다. 이는 상기 "모델" 항목에 설명된 것과 같이, 창발적 특성을 노드에 적용함으로써 달성된다.
이러한 위협을 해결하기 위해, 본 발명은 공격과 손상에 대한 조종상의 성공을 가능케 하기 위하여 반응 탄력성(46) 특성에 응답(45)한다. 반응 탄력성 특성(46)은 군집 내 호스트가, 증가되는 공격영역으로 인해 증가되는 불안성을 인지하여서, 호스트 방어 태세가 동적으로 변화하는 결과가 나오도록 한다. 예를 들어, 공격자는 알려진 시그니처를 촉발하지 않을 수 있지만, 증가되는 공격영역은 다수의 호스트에 걸쳐서 네트워크 불안성을 증가시켜서 불안성 수준을 높이고, 이로써 방어 태세가 증대될 것이다. 방어 태세가 증대함에 따라, 불안성의 수준은 감소하여서 시스템을 정상 상태로 되돌릴 것이다. 공격이 명시적으로 확인되지 않을 수는 있지만, 불안성의 수준이 방어 태세를 수정하여서 알지 못하는 공격을 완화시킬 것이다. 불안한 이웃에 반응하는 감도는 호스트의 "파라노이아" 수준을 변화시킴으로써 수정될 수 있다. 파라노이아(3)는 그 자시의 세계의 계산 속에서 그 이웃들의 불안성 내에 얼마나 많은 노드 인자가 있는지의 스케일링 양(scaling quantity)이다. 파라노이아 특성은 호스트가 자신의 이웃에 어떻게 반응할지에 영향을 준다. 호스트들은 현재 상태를 공유하고 스스로를 가능한한 건전하게 유지하기 위하여 프리미티브 통신을 이용하여서 그 로컬 네트워크의 불안성과 자신을 비교하여서, 그들의 파라노이아 수준에 따라 그들의 이웃들의 영향에 가중치 반영한다.
하나의 비제한적인 예시적 실시형태에서, 시스테미그램은 다음과 같이 판독할 수 있다. 즉, 호스트(200)는 F1: 내부 불안성(7)의 수준을 갖고(1), F2: 네트워크 불안성(5)에 곱해지는 F3: 파라노이아(3)의 수준을 갖고(2), F1: 내부 불안성(7)에 영향을 준다(6). 상술한 바와 같이, 파라노이아는 정책에 기반한 속성인 반면에 불안성은 계산된 값이다. 예를 들어, 파라노이아는 관리자에 의해서 유치원에서는 "낮음"으로 설정될 수 있는 반면, 1급 비밀 시설에서는 "높음"으로 설정될 수 있다. 오전 3시에 거리를 걸을 때의 당신의 파라노이아는 오후 3시 때보다는 훨씬 높을 것이지만, 당신이 불안성을 계산하는 방식이 동일하여서 더 높은 불안성이 계산된다. 또한, F3: 파라노이아(3)는 F1: 내부 불안성(7)에 영향을 주고(8), 창발적 특성(10)을 활성화한다(9). 호스트(200)는 F1: 내부 불안성(7)에 영향을 주고(13) 또한 창발적 특성(10)을 활성화(9)하는 F4: 공격영역(12)을 갖는다(11). 창발적 특성(10)은, 역시 이들 특성(10)을 활성화하는 S6: 이웃들(15) 사이에(among)(14) 존재하며, 궁극적으로 창발적 네트워크 방어(18)를 창출(17)한다. 모든 특성들이 존재하는데, 이는 말하자면 기술한 활동들로부터 나타난다(즉, 창발적 행동 - 개체들이 프리미티브 기능을 통신할 때에, 협동적 행동이 나옴).
또 다른 예에서, 하나의 문서가 SAREPH(10) 프레임웍으로 표현되는 창발적 성질들을 포함할 수 있고 문서대 문서 방어의 창발적 네트워크를 만들 수 있다. 점차, 문서는 보안 속성, 가령, 암호, 사용자 권리 및 권한(가령, 열기, 복사, 및 인쇄)을 포함하며, 네트워크 데이터를 송수신하는 데 사용될 수 있다. 동일한 시스테미그램을 창발적 네트워크 방어에 대해서 살펴보면, 문서를 여는 프로그램이 창발적 성질을 지원하는 한, 문서는 공격영역 속성을 갖는다. 이것은 문서를 암호화하고 특정 프로그램(마이크로소프트 워드, 어도비 아크로뱃)이 문서를 열도록 허용함으로써 용이하게 해결될 수 있다. 방어적 업데이트 및 기준선 업데이트는 문서 이용을 위한 어플리케이션 버전수 및 정책을 포함한다. 내향 및 외향 서비스는 데이터 열기, 복사, 인쇄, 참조, 연결(링크), 추출 등의 경우에 사용자와 다른 서비스들이 어떻게 문서와 인터랙션하는지를 나타낸다. 문서는, 알고 있는 네트워크 또는 호스트 내에 있는 경우, 또는 창발적 성질을 갖는 다른 호스트 또는 문서를 갖지 않는 알지 못하는 네트워크 내에 있는 경우에, 그 당면 로컬 환경에 기반한 불안성을 알 수 있다. 근본적으로, 문서를 액세스하는 소프트웨어가 창발적 성질을 지원하는 한, 본 개념은 창발적 네트워크 방어에 대한 모든 네트워크 기반 에이전트 기반 시스템에 적용될 수 있다.
이 시스테미그램은 앞서 언급한 창발적 모바일 네트워크와 같이, 모든 창발적 노드에 대한 특정 사용례에 적용될 수 있다. 다음과 같은 예시적 적용이 가능하다. 이동전화(200)는 앞서 언급한 바와 같은 특정 취약점 파라미터로 구성된 F4: 공격영역(12)을 갖는다(11). 여기에는 물리적 보안, 펌웨어의 업그레이드, 운영체제, 및 어플리케이션이 포함된다. 이 예에서, 이동전화(200)는 창발적 네트워크의 일부가 되는 전화 상에 존재하는(20) S1: 에이전트를 우선적으로 가져야(19) 한다. 이 에이전트는 펌웨어, 운영체제, 또는 설치된 어플리케이션의 일부일 수 있다. 이 에이전트는 도 5의 불안 상태 평가를 활성화한다. 이동전화(200)는 또한 적절한 보안 행동을 장려하기 위하여 기능과 성능을 제한하는 등의 S2: 시스템 방어 업데이트(22)를 필요로 한다(21). 여기서, 모든 시스템은 주기적인 유지 관리를 필요로 함을 주목해야 한다. 예를 들어, 안티바이러스 소프트웨어가 당신의 컴퓨터에서 실행되고 있다고 한다면, 당신이 마지막으로 안티바이러스 딕셔너리를 업데이트 한 만큼만 효과가 있게 된다. 이는 사용자가 주의를 기울여 소프트웨어를 업데이트할 때까지 기다리지 않고 업체가 업데이트 내용을 사용자에게 푸시해주기 전까지는 문제가 되었었다. (a) 타이머가 만료하고 (b) 업데이트가 가능할 때에 "필요성"(21)이 결정된다. 창발적 시스템 하에서 "필요성"은 노드가 업데이트를 확인(check)하는 시점에서 불안성에 따라 결정된다. 아무 것도 발견되지 않으면(1은 존재하지만 2는 존재하지 않는 경우), 공격영역(따라서 불안성)을 줄이기 위한 다른 액션(가령, 포트 차단)을 취한다.
이동전화의 사례를 계속 살펴보면, 이동전화(200)는 또한, 컨피겨레이션, 펌웨어, 운영체제, 또는 어플리케이션에 대한 업데이트를 포함하는 S3: 시스템 기준선 업데이트(24)를 필요로 한다(23). 호스트는 그 기준선 컨피겨레이션에 대한 업데이트를 필요로 한다(23). 업데이트가 가능할 때에 업데이트(30)가 실행된다. 불안성의 수준에 따라, 노드는 기준선 업데이트를 확인하거나, 불안성을 줄이기 위해 자신의 기준선을 조종한다. 이동전화 말고 개인용 컴퓨터에 대해서 다른 예를 들자면, 당신의 컴퓨터가 보안 패치를 포함하여 주기적으로 소프트웨어 유지보수를 필요로 한다고 하자. 윈도우즈의 경우에는 꽤 자주, 한 달에 한 번 실행된다. 맥킨토시의 경우에는 이보다는 덜하지만 그래도 여전히 당신은 패치를 다운로드하고 설치하여 해커가 당신 시스템의 패치되지 않은 취약점을 이용하지 못하도록 해야 할 필요가 있다. 내부 불안성의 계산은 정기 유지보수가 실행된 이후에 시간이 얼마나 경과되었는지에 부분적으로 기반한다.
마지막으로, 시간의 경과에 따라 이동전화(200) 상의 에이전트는 사용자에게 가능해진 S4: 내향 서비스(26)의 양을 증가(25)시켜서 사용자로 하여금 새롭게 가능해진 서비스를 통해 보다 많은 데이터를 수신할 수 있도록 해 준다(예를 들어, 이동전화가 문자 메시지를 받을 수 있는 환경에 있는 경우). 여기에는 접속할 무선 네트워크가 어느 종류인지, 연결 허용될 장치가 어느 종류인지(가령, 언페어드 블루투스 스캔(unpaired bluetooth scan)), 이동전화에서 실행되어 다른 노들들이 연결될 수 있도록 하는 서비스의 종류, 그리고 SMS, MMS, 웹, 이메일 및 전화 통화 등 수신할 메시지가 어느 종류인지가 포함된다. 특히, 사용자는 SMS 메시지를 네트워크에 대기시켜서 전화로 수신할 준비를 할 수 있지만, 전화 상의 에이전트는 불안성이 S4: 내향 서비스(26)가 SMS 메시지 수신을 허용할 수 있을 정도로 공격영역을 감소시킬 때까지는 이들 메시지를 수신 및 표시할 수 없을 것이다. 이는 현재 이동전화가 신호가 없는 환경, 예를 들어, 지하에 있거나 전화가 꺼져 있는 경우에 있을 때에 일어난다. 또 다른 예로서, 이동전화에 연결 가능한 로컬 블루투스 기기를 들 수 있다. 그러나 전화 상의 에이전트는 S4: 내향 서비스(26)가 블루투스 접속을 허용할 수 있을 정도로 불안성이 공격영역을 감소시킬 때까지는 블루투스 접속을 할 수 없을 것이다.
이러한 사례들은 특정 호스트 환경에 따라 다르지만 이동전화 또는 퍼스널 컴퓨터 같이 구체적이고 세부적인 사례에 구현된다. 이동전화(200) 상의 에이전트는 사용자에게 개방된 S5: 외향 서비스(28)의 양을 증가(27)시켜서, 사용자로 하여금 더 많은 접속을 개시하도록 하고 새로이 이용가능해진 서비스를 통해 더 많은 데이터를 발신하도록 해준다. 여기에는 예를 들어 사용자가 어느 웹사이트를 방문할 수 있는지, 전송할 수 있는 메시지 종류, 이동전화가 연결하려고 선택하는 무선 네트워크 및 장치와 같은 서비스가 포함된다. 특히, 이동전화는 암호화되지 않은 공중 WiFi 등 특정 무선 네트워크에의 접속은 금지될 수 있다. 단, 불안성이 충분히 낮아서 위험한 무선 접속을 허용하여 네트워크 공격영역을 증가시켜도 될 정도로 이동전화가 완전히 패치되고 보안처리된 경우에는 그러하지 않다. 전화가 에이전트가 승인한 수준으로 그리고 현재 파라노이아 수준으로 설정된 수준으로 불안성을 낮출 정도로 보안성이 있으면, 사용자는 위험한 무선 접속에도 연결할 수 있는 것이다.
지금까지 F1: 내부 불안성(7), F2: 네트워크 불안성(5), F3: 파라노이아(3), 그리고 F4: 공격영역(12)에 대해 논의하였다. 이제는 S2, S3, S4, S5를 통하여 F4: 공격영역(12)을 조종하는 것과 같은 대응적 행동이 F1: 내부 불안성(7)에 얼마나 영향을 주는지(13)에 대해 논한다. 전술한 바와 같이, 공격영역은 네트워크 공격영역과 내부 공격영역의 종합 변수이며, 따라서 마지막으로 시스템 패치를 확인한 이후에 지나간 시간으로 인한 공격영역 노출과, 내향 및 외향 통신에 대한 제한이 포함된다. 공격영역은, 가장 최근의 업데이트, 마지막 패치, 그리고 최대로 제한된 내향 및 외향 서비스가 포함되는, 적정하게 설정된 보안 청정성의 기준선으로부터의 편차로서 측정될 수 있다. 공격영역이 적정 청정성을 벗어나면 F1: 내부 불안성(7)을 증가시킴으로써, 노드 불안성의 수준에 영향(13)을 준다. 이것은 현재의 공격영역 컨피겨레이션에 F2: 네트워크 불안성(5, 6)을, 그리고 F3: 파라노이아(3, 8) 보정계수를 곱하여서 계산된다. 이는 앞의 "모델" 항목에서, 노드 A의 불안성 A n =conf m ㆍNerv n ㆍPar m 과 같이 계산된다.
예를 들어, 노드가 갖는 파라노이아가 1이고 네트워크 불안성이 410이고 공격영역 컨피겨레이션이 0.17이라면, 노드 불안성은 69.7이 된다(즉, 410×0.17 = 69.7). 이동전화의 예에서 구체적으로 보면, 이동전화가 파라노이는 1로 네트워크 불안성은 비교적 높은 410으로 설정될 수 있다면, 이 이동전화는 MMS 메시지가 아닌 SMS 메시지를 받기 위하여 그 공격영역을 감소시킴으로써 그 불안성을 줄이려는 시도를 할 수 있다.
보다 일반화하여 살펴보면, F1: 내부 불안성(7)은 현재의 S2: 시스템 방어 업데이트(22)를 업데이트(29)한다(가령, 시그니처를 업데이트함). F1: 내부 불안성(7)은 또한 현재 기준선 정책에 대해서 측정된 S2: 시스템 기준선 업데이트(24)를 업데이트(30)한다. F1: 내부 불안성(7)은 또한 위에서 언급한 시간 경과에 따른 서비스 가용도의 증가(25, 27)에 대응하기 위해 S4: 내향 서비스(26) 및 S5: 외향 서비스(28)를 감소시킨다(31, 32). 이들 서비스의 균형 맞춤에 의해서, 불안성 및 보안의 원하는 수준을 유지하기 위해 환경 변화에 자동으로 대응하는 적응형 전술(34)이 창출된다(33). F4: 공격영역(12)의 계산도 역시 공격영역을 최소한의 기능으로 동적으로 모니터링하고 조정하기 위한 주도적이고 독창적인 대응(36)을 지원(35)한다.
마지막으로, 도 9의 블록 3에서 논의된 바와 같은 창발적 네트워크 방어(18)의 개발을 위하여 나머지 창발적 특성(10)의 요소들을 고려한다. 먼저(상기 사례에서), 이동전화(200)는 그 로컬의 S6: 이웃(15)들을 계수(37)하고 이를 종합(38)하여 F2: 네트워크 불안성(5)을 계산한다. 이 피드백은 피드백 루프를 생성하고 불안한 네트워크가 자기조직화(40)되도록 함으로써 창발적 특성(10)을 활성화(39)한다. 이것은, 불안한 네트워크가 외부의 안내 또는 지도 없이도 독립적으로 정보를 인터랙트 및 교환할 수 있다는 것을 의미한다. 또한, 불안한 네트워크는 동일한 단순 규칙의 집합에 의존함으로써, 통신을 위한 공유의 보안 목표 및 규칙의 집합을 가짐으로써, 그리고 동적 변수(가령, 당면 상황에 기반한 불안성 수준)를 통하여 진화형 전략(42)을 사용함으로써, 조화되게 조종(41)하여야 한다. 마지막으로, 이동전화(200)는 위협(44)의 타겟이 될 것이다(43). 이러한 위협은 절취 같은 물리적 위협일 수도 있고 해커 같은 디지털 위협일 수도 있으며, 가용한 F4: 공격영역(12)의 모든 요소를 타겟으로 삼을 수 있다.
그러나, 위협(44)에 상관없이 이동전화(200)는 탄력적으로 반응(46)할 것이 요구된다(45). 위협에 대한 이동전화의 탄력적 반응(46)이란 기본적으로, 알려져 있는 것이든 알려져 있지 않은 것이든 이 전화가 그의 동작을 활성화하고 계속 실행하도록 하는 특정의 특성을 갖는다는 것을 의미한다. 예를 들어, 백업 시스템과, 동작을 차단하여 타인이 조종할 수 있도록 하는 비필수적 기능을 가질 것이다. 예를 들어, 이동전화에 있어서 사업자 및 가입 서비스에 관계없이 911에 다이얼링하는 기능은 항상 있어야 한다. 그러나, 창발적 이동전화 네트워크는 또한, 창발적 전화 통화(911), 우선 전화 통화(GETS: 정부 긴급 통신 서비스), 및 WPS(무선 우선 서비스)를 지원하기 위하여 네트워크 데이터의 양 및 혼잡도를 줄일 것이다. 추가적인 탄력성 문제에는, 블루투스, 근거리 통신(NFC), 피어투피어 WiFi 등의 사전 정의된 비필수 서비스를 비활성화시키는 것이 포함된다. 탄력적 반응에는 또한, 상황에 따라, 필수 및 비필수 어플리케이션을 식별하는 단계가 포함된다. 비필수 어플리케이션에는 게임이 포함될 수 있고, 필수 어플리케이션에는 전화, 기본 지원(stem support), GPS, 트위터ㆍ페이스북 등의 특정 메시징 기능이 포함될 수 있다. 보다 구체적으로, 페이스북 어플리케이션은, 전화에서 반응 탄력성을 활성화하면 문자 기능만 지원하도록(즉, 그림은 없이) 탄력적으로 전환할 수 있다.
따라서, 반응적 대응(46)에는, 그 S6: 이웃(15), F4: 공격영역(12)의 인지가 늘어남으로 인해 이동전화(200)의 불안성 상승이 포함될 수 있어서, 이동전화(200)의 방어 태세의 동적 변화를 낳는다. 예를 들어, 위협(44)은 알려진 시그니처를 촉발할 수 없을 것이지만, 모든 S4: 이웃(15)들 사이에 증가된 F4: 공격영역(12)은 네트워크 상황 인지의 종합적(38) 전망을 제공할 것이며 이에 따라 F2: 네트워크 불안성(5)에 영향을 미칠 것이다. F2: 네트워크 불안성의 수준을 증가시키고 창발적 특성(10)을 활성화(39) 함으로써, 보다 많은 호스트(200)가 보다 많은 탐지의 기회 및 네트워크에 걸쳐서 공유되는 대응을 제공하며, 궁극적으로 창발적 네트워크 방어(18)를 창출(17)함으로써 방어 태세를 증대시킨다.
"로컬"이라는 용어는 물리적, 논리적, 네트워크 홉, 네트워크 링크, 또는 정점 분석 근접성 등에 의해 측정되는, 상기 노드와 이웃(들) 간의 소정의 근접성을 의미한다. 도 4(불안성 사례)에 도시된 바와 같이, 중앙 노드와 다섯 개의 이웃 노드(A, B, C, D, E)의 예를 생각해 보자. 점선은 "이웃"이라는 물리적인 근접성으로 임의로 정한 것을 나타낸다. 중앙 노드는 A, B, C, D, E의 종합적 네트워크 불안성에 근거하여 그 내부 불안성을 계산한다. A, B, C, D, E와 연관된 특정 네트워크 아키텍처는 이 예에서는 고려하지 않는다.
도 3은 네트워크의 근접성의 척도로서 네트워크 홉 또는 네트워크 링크 또는 정점 분석의 문제를 설명한다. 도 3은 두 가지 아키텍처를 표시하는데, 하나는 네트워크 근접성에 관한 것이고, 다른 하나는 가장 가까운 이웃 계산을 위한 간략화된 근접성에 관한 것이다. 가장 가까운 이웃의 근접성을 물리적 근접성(거리)으로 대용 사용한다고 하여 특정 타입의 네트워크 아키텍처에 본 발명을 적용하는 것이 제한되는 것은 아니다. 오히려, 간략화는, 본 발명이 어떠한 아키텍처에도 적용 가능함을 보여준다. 계층 구조(1201) 내의 중앙 노드는 5개의 이웃을 갖고, 부분 연결 메시 아키텍처(1202)의 중앙 노드는 2개의 이웃을, 링형 아키텍처(1203)의 중앙 노드는 2개의 이웃을, 완전 연결 메시 아키텍처(1204)의 중앙 노드는 2개의 이웃을, 스타형 아키텍처(1205)의 중앙 노드는 2개의 이웃을, 버스형 아키텍처(1206)의 중앙 노드는 2개의 이웃을, 무선 아키텍처(1207)의 중앙 노드는 3개의 이웃(라우터 포함)을 갖고 있다. 간략화된 아키텍처는 본 예시와 실시형태의 목적과 동일한 요구로 설정되어 있다. 간략한 아키텍처 1208에는 0개의 이웃이 있고, 간략한 아키텍처 1209에는 2개의 이웃이 있으며, 간략한 아키텍처 12010에는 4개의 이웃이, 간략한 아키텍처 12011에는 5개의 이웃이 있다.
이 다이어그램은 네트워크 아키텍처에 있어서 지리적 근접성과 논리적 근접성이 항상 동일한 것은 아니라는 것을 나타낸다. 따라서 일반화의 관점에서의 간략화를 위하여, 본 실시형태에서는 지리적 근접성을 통한 지역성(locality)을 나타내고, 반면에 특정 실시형태에서는 논리적 근접성을 사용할 것이다. 네트워크 링크의 구체적인 개수는 본 시뮬레이션에서 연구하거나 모델링하지 않으며, 따라서 링크 분석은 제외하고 그 대신에, 각 노드의 반경 내에 있는 가장 가까운 이웃들의 수를 대용변수로서 사용한다.
이하에서는 도 5의 블록 1의 일부로 나타낸 노드 기능 및 특성 중 일부를 설명한다. 노드 기능의 가정은 노드 청정성 특성에 기반하며, 도 7의 블록 2에서 계산되는 것과 같이 노드 상태머신을 통해 불안성 및 공격영역을 모델링한다. 이들 기능과 특성은 도 5의 블록 1에 적용되는데, 여기서, 각 노드는 자신의 환경으로부터 불안성 입력을 수신하고 개별 노드의 불안성 수준에 관하여 로컬화된 결정을 내린다. 이 불안성 수준은, 어느 다른 노드가 이 불안성 입력을 수신할 수 있는지에 관계없이 로컬 환경과 공유된다.
블록 1(도 5)을 참조하면, 노드는 현재 상태 평가(500)를 근거로 불안성을 다소 증가시킨다. 이 상태 평가(상술한 모델 항목 참조)는 호스트 상태(502)를 계산하기 위한 연산이다. 호스트 상태는 네트워크 불안성, 및 보정계수인 파라노이아가 결합된 것이다. 공격영역에 대한 호스트 상태(502)의 계산은 다음과 같은 특성에 기반한다. (a) 중요한 어플리케이션의 패치, 가령, 펌웨어 패치, 운영체제 패치, 어플리케이션에 지정된 패치, 안티바이러스 업데이트, 및 침입탐지 시스템 시그니쳐 업데이트를 위해 호스트가 중앙 패치 서버를 써서 마지막으로 수동 업데이터 또는 자동 확인을 한 이후에 시간이 지남에 따라 노드에는 불안성이 더욱 증가한다. (b) 현재의 로컬 정책 컨피겨레이션을 확인하기 위해 호스트가 컨피겨레이션 관리 서버를 써서 마지막으로 확인한 때 또는 관리자가 수동으로 호스트에 로그인한 때 이후로 시간이 지남에 따라 노드에는 불안성이 더욱 증가한다. 컨피겨레이션의 확인에는 허용된/차단된 포트, 프로토콜, 서비스, 및 어플리케이션이 포함될 수 있다. 또한 누가 로그인할 수 있는지, 실행할 기능이 무엇인지, 어떠한 데이터를 전송할 수 있는지 그리고 어디로 전송할 수 있는지를 제한하는 것도 포함될 수 있다. (c) 의심스러운 이벤트에 대한 "경고"를 촉발하는 활동으로 인하여 노드에는 불안성이 더욱 증가한다. 여기에는 정상적인 업무 시간 이외의 시간 중에 그리고 평상시에 사용되지 않는 장소로부터 사용자가 사용허락을 받지 않은 파일에 접근, 차단된 사이트에 접근, 제한된 것을 공유하고자 시도하는 것이 포함된다. (d) 로컬 IDS 또는 안티바이러스 경고를 촉발하는 활동으로 인하여 노드에는 불안성이 더욱 증가한다. (e) 노드가 소정 시간틀 내에서 패치와 업데이트를 수신하거나 패치가 가용하지 않다는 보증이 있는 경우에 노드의 불안성은 줄어든다. 최신 악성 코드 및 위협 시그니처를 업데이트 할 때에 노드 불안성은 줄어든다.
초기의 공격영역 가설에서는 전체적인 관점에서 모든 노드에 걸쳐 공격영역들을 종합하였다. 본 발명은 공격 벡터를 일반화하여서 시뮬레이션 환경에 사용하기 위한 일반화된 엔드포인트 컨피겨레이션을 모델링 하는데, 이는 통상의 엔드포인트 보안 기능의 감축된 집합을 나타낸다. 대용변수들이 내부 공격영역 및 네트워크 공격영역으로 이루어진 단일 공격영역을 근사화하였다. 예를 들어, 하나의 시간 관련 변수는 OS 및 어플리케이션에 대한 패치 업데이트, AV 및 IDS에 대한 시그니처 업데이트, 그리고 내부 공격영역 그룹 특성인 정책 업데이트를 나타내었다. 하나의 네트워크 서비스 관련 변수는 호스트 상의 실행 서비스(내향 질의) 및 로컬 호스트 상의 목적지 주소 제한(외향 요청)을 나타내었다.
다음에, 네트워크 불안성의 계산은 이웃 노드로부터 수신한 간략화되고 특정적이지 않은 데이터를 포함한 불안 신호(503, 504, 505, 506)를 합산하여서 수행된다. 이 신호들은 무선 네트워크 내의 종합 신호로서, 또는 다른 공통 캐리어를 통한 로컬 근접을 통해서 이더넷 네트워크의 브로드캐스트 도메인에 전송될 수 있다. 브로드캐스트 도메인은 물리적이든 논리적이든, 네트워크의 근접성 또는 지역성을 나타내는 것만을 원한다. 신호들은 세 개의 불안 신호(503, 504, 505)와 하나의 OK 신호(506)와 합산되는데, 서로 합산되면 네 단계의 가능한 불안성 수준에서 세 개가 된다. 여기에 상태 평가(501)에 의해 공격영역과 파라노이아 수준이 곱해져 호스트 상태(502)가 계산된다. 이 경우에 호스트는 불안 상태이며, 자신의 불안 신호(507)를 전송한다.
한 상태에서 다른 상태로의 상태 변화가 도 6(상태 변화)에 도시되어 있는데, 상태 1(601)은 안정 상태이며 통신이 열려있고, 상태 2(602)는 약간 불안 상태이고, 상태 3(603)은 매우 불안하여서 시스템은 대부분의 또는 모든 통신을 불안성이 감소할 때까지 일시적으로 차단한다.
블록 2(도 7)는 보다 강력한 환경에서의 블록 1 모델을 통합하는데, 도 7에는 5개의 노드(701)가 도시되어 있다. 이 블록에는 1000개의 노드를 사용하여 본 발명을 구현하기 위해 NetLogo 내에 있는 완전한 실현 상태를 포함한다. 이 모델의 두 번째 블록은 로컬 인지를 기반으로 한 자신의 영향 받은 노드 상태로 짜여져 있는 여러 노드 사이의 인터랙션을 보여준다. 시스템 피드백에는, 지정된 물리적 거리 내에서 가장 가까운 이웃(702)과 공유되는 불안성의 수준과 이웃 불안성에 대한 감도(이름하여 파라노이아(703))의 통신이 포함된다.
도 7은 블록 2에 대한 이론적인 컨텍스트 다이어그램이며 추가 세부 사항을 제공한다. 블록 2는 블록 1(도 5)에서 얻은 시초 개념을 기반으로 한 전체 모델 실현을 나타낸다. 블록 2는 전체 모델이 자가 촉매작용을 했던(모델이 자기 유지했다는 의미임) 몇 가지 초기 특성들을 포함한다. 또한 블록 2 동안에는 얼마나 많은 각 노드가 그 이웃 네트워크 불안성의 불안성을 계산에 넣었는지를 나타내기 위하여, 파라노이아 변수는 불안성에 영향을 주는 보정계수로부터 가중치부여된 승수(weighted multiplier)로 보정되었다.
시뮬레이션에 사용된 변수들 및 파라미터들은 에이전트 기반 변수와 환경 변수 사이에 차이가 있다. 에이전트 기반 변수는 개별 노드에 특정되며, 환경 변수는 시뮬레이션 내의 모든 노드들에 동등하게 적용된다. 표 1: 에이전트 기반 변수와 표 2: 환경 변수는 어느 변수와 파라미터가 익스포트(export) 되는지를 그리고 해당 데이터 요소를 나타낸다.
에이전트 변수 정의 익스포트됨
Who (기본) 각 개별 노드에 대한 고유 식별자
network 네트워크 공격영역의 수준. 0~1로 스케일링됨. S4, S5에 대한 대용변수. 네트워크 공격영역은 노드가 네트워크 포트, 서비스, 주소를 얼마나 신속하게 개방/폐쇄하는지의 척도인 설정치에 따라, 양을 변화시킴으로써 증가 및 감소할 수 있다.
S4, S5
nervousness 단일 노드에서의 불안성 수준. 0~100. 불안성=attack-surface * F2-network-nervousness * Paranoia
F1
nervous-state 불안성 상태의 정의: (1) 안정, (2) 불안 (3) 최대. 노드가 (3) 최대에 도달하면, 불안성을 감소시키기 위해 서버로 패치를 하거나 포트를 폐쇄함. 또는, 불안성이 감소할 때까지 통신을 중지함. 아니오
internal 내부 공격영역의 수준. 0~1로 스케일링됨. S1, S2, S3에 대한 대용변수. 내부 공격영역은 마지막 패치된 이후에 꾸준히 증가하며, (1) 관리자에 의한 설정된, (2) 불안성 수준에 기초하여 설정된, 또는 (3) 탐지된 경고에 기초한 정기적인 일정에 따라 패치됨.
S1, S2, S3
F2-network-nervousness 각 노드의 반경 내에서의 노드의 불안성 수준. 로컬 노드에 대한 대용변수. 설정치에 따라, 중간값(mean) 또는 평균값(average)을 이용하여 계산됨.
F2
alert-detection 경고 탐지의 수동 주입. 업데이트를 강제하고 노드를 최대 불안성 수준으로 설정함. 아니오
F5
attack-surface 전체 노드 공격영역 변수. 내부 + 네트워크 공격영역 변수로 구성됨. 0~1로 스케일링됨
F4
myneighbors 노드 반경 내의 이웃의 수
S6
환경 변수 정의 익스포트됨
Ticks 환경에서의 시간 단계의 증분 수
Paranoia 모든 노드에 대한 파라노이아 수준 설정
F3
Radius 모든 노드의 지역을 정의하는 반경 수준 설정
Network-Nervousness-Computation 모든 이웃 노드 불안성의 가산값 또는 중간값의 네트워크 불안성의 계산 메커니즘 아니오
Network-Nervousness 시뮬레이션 내 모든 노드의 불안성의 시뮬레이션 평균 아니오
Simulation World 수평 및 수직 경계에서의 월드랩(world wrap) 적용 없음(NA)
세 번째 블록(도 9)은 노드 및 네트워크 속성에 의해 짜여진 노드 불안성 및 네트워크 불안성의 수준에 기반하여 네트워크 방어를 위한 창발적 행동을 나타내기 위하여 블록 1(도 5)과 블록 2(도 7)의 요소들을 포함한다. 이는 시스템 행동의 분석을 통해 수행되었으며 창발적 네트워크 방어에 관한 유용한 정보를 제공한다. 도 8의 창발적 행동을 보여주는 세 가지 경고가 이러한 창발적 행동을 보여준다. 예컨대 안티바이러스 경고가 악성 코드를 탐지하면 경고가 노드(110)로 보내진다. 도 8에 도시된 소프트웨어는 예를 들어 노드에서 또는 중앙 위치에서 관리자에 의한 사용을 위해 제공될 수 있고, 상술한 알고리즘에 근거한 것이다. 경고(804)가 있으면 호스트는 에이전트를 패치할 것이고 이에 공격영역이 감소하게 되고 불안성 수준이 감소하게 될 것이다(804에 간극으로 표시됨). 그 후 시간이 지남에 따라 시스템은 정상 상태로 돌아갈 것이고, 차후의 경고와 대응을 기다린다. 상부 차트는 단일 에이전트에 대한 내부 노출, 네트워크 노출, 불안성, 및 공격영역을 보여준다. 하부 차트는 네트워크 불안성을 나타내고 있으며, 전체 네트워크에 대한 각종 에이전트를 보여준다. 이 시뮬레이션의 끝에서, 출력(808)에서의 에이전트 영(0)의 공격영역 값은 최대값 1보다 낮은 0.17이었다. 신호(806)는 네트워크 불안성의 분산이 안정 상태로 복귀한 것을 나타낸다(Y 스케일에서 약 20~30).
마지막으로, 각 호스트는 도 9(블록 3에 대한 이론적 컨텍스트 다이어그램)에 나타내 것과 같이 그 로컬 네트워크 내에서 다른 호스트와 통신한다. 이 도면에서, 모든 호스트는 이 한정된 보기에 있는 모든 다른 호스트의 로컬 이웃들이다.
이상의 설명에 덧붙여, 본 발명은 이하의 문헌들에 개시되어 있다. 즉, (a) 창발적 네트워크 방어라는 제목의 학위논문, (b) 네트워크 방어를 위한 환경 프리미티브 인지(논문), (c) 불안한 네트워크: 이론과 모델(공동 저자), (d) 불안한 네트워크: 이론과 모델(단일 저자), 및 (e) 네트워크 방어를 위한 환경 프리미티브 인지(이하, 모두 "논문"이라고 함). 이들은 모두 가출원의 일부이며 그 전체 내용을 본 출원의 참고자료로서 인용한다. 본 명세서의 일부인 논문은 본 발명의 예시적 실시형태를 개시하고 있다.
본 발명은 유한 상태머신 모델에 따른 각종 기능 및 동작을 수행하기 위하여 각 엔드포인트 또는 노드에서 프로세서나 컨트롤러를 사용한다. 각 엔드포인트에서 프로세서에는 또한 하나 이상의 다양한 종류의 구성요소 또는 서브시스템, 예를 들어, 코프로세서, 레지스터, 데이터 처리 장치 및 서브시스템, 유선 또는 무선 통신 링크, 입력 장치, 모니터, 데이터베이스 같은 메모리 또는 저장 장치가 구비될 수 있다. 시스템 및 프로세스의 전부 또는 일부는 컴퓨터 판독 가능 매체에 저장되거나 이 매체로부터 읽어 올 수 있다. 시스템은 상술한 프로세스를 수행하기 위한 머신 실행 명령어가 저장되어 있는 컴퓨터 판독 가능 매체(하드 디스크 등)를 포함할 수 있다.
예로서, 노드(또한 호스트라고 함) 프로세서는 상기와 같이 수행되는 동작을 모두 실시할 수 있고, 도 2에 도시된 바와 같이 노드 동작은 창발적 특성(10) 위에 나타내었고 네트워크 동작은 아래에 있는 창발적 특성(10)이다. 또한, 동작에 필요한 데이터는 메모리 또는 데이터베이스 같은 저장 장치에 저장될 수 있다. 덧붙이자면, 모든 동작은 연속적으로 그리고 실시간으로 수행되어서 시스템이 위협에 즉시 반응할 수 있도록 한다. 그리고 본 발명은 네트워크의 상태를 중앙에서 모니터링하기 위하여 중앙 집중형 프로세서와 통합될 수 있다. 이로써, 하나 이상의 노드가 중앙 위치와 통신하게 된다.
언급된 참고 문헌들을 본원에 참고로서 인용한다. 논문으로 제공된 본 발명의 설명 및 도면은 본 발명의 원리를 예시하는 것에 불과한 것으로 취급하여야 한다. 본 발명은 다양한 방식으로 구성할 수 있으며 바람직한 실시형태로 한정되는 것은 아니다. 본 발명의 수많은 응용은 당업자가 용이하게 실시할 수 있을 것이다. 따라서, 본 발명이 여기서 개시한 특정 사례 또는 여기서 도시하고 설명한 구체적 구성 및 동작으로 한정되는 것은 바람직하지 않다. 오히려, 본 발명의 범위 내에 속하는 모든 적절한 변형물 및 균등물을 의지할 수 있을 것이다.

Claims (21)

  1. 다수의 노드를 갖는 네트워크에서 사용되는 노드로서, 이 노드는, 노드의 사전에 정해진 근접성 내에 있는 이웃 노드(들)을 식별하도록 구성된 프로세싱 장치를 포함하되, 이 프로세싱 장치는 상기 노드의 불안성 수준을 결정하고, 이 불안성 수준에 관한 통신을 이웃 노드(들)로 전송 및/또는 수신하도록 추가로 구성되는, 다수의 노드를 갖는 네트워크에서 사용되는 노드.
  2. 제1항에 있어서, 상기 노드의 사전에 정해진 근접성은 물리적, 논리적, 네트워크 홉, 네트워크 링크, 또는 정점 분석 근접성 중 하나에 의해 측정되는, 다수의 노드를 갖는 네트워크에서 사용되는 노드.
  3. 제1항에 있어서, 상기 노드는 하나 이상의 데이터 요소를 추가로 포함하고 상기 프로세싱 장치는 상기 하나 이상의 데이터 요소를 제어하는, 다수의 노드를 갖는 네트워크에서 사용되는 노드.
  4. 제3항에 있어서, 상기 하나 이상의 데이터 요소는 저장부를 포함하는, 다수의 노드를 갖는 네트워크에서 사용되는 노드.
  5. 제1항에 있어서, 불안성 수준은 하나 이상의 정보 보안 청정성 컨피겨레이션에 기반하며, 상기 컨피겨레이션은,
    노드가 어플리케이션용 업데이트 패치를 수신하고 적용한 이후의 시간; 노드가 컨피겨레이션 관리 서버로부터의 현재 확인을 갖는 정책을 보증한 이후의 시간; 관리자가 노드의 현재 로컬 정책 컨피겨레이션을 확인한 이후의 시간; 의심가는 이벤트에 대한 경고를 촉발하는 활동의 수행; 로컬 악성 코드 또는 의심가는 행동의 경고를 촉발하는 시그니처 또는 휴리스틱(heuristic) 활동의 수행; 및 악성 코드 또는 위협 시그니처가 업데이트된 이후의 시간을 포함하는, 다수의 노드를 갖는 네트워크에서 사용되는 노드.
  6. 제5항에 있어서, 불안성 수준은 노드 청정성의 증가에 따라 감소하고, 이에 의해 노드 청정성은 노드 공격영역으로 구성되는 노드의 방어 태세의 현재 상태를 포함하며, 노드 청정성은 악성 코드 시그니처 또는 위협 시그니처의 하나 이상의 업데이트, 패치 또는 업데이트의 적용, 시스템 컨피겨레이션 업데이트, 시스템 관리에 의한 청정성의 수동 검증, 또는 노드 불안성 수준을 감소시키는 안정 페로몬의 수신을 포함하는, 다수의 노드를 갖는 네트워크에서 사용되는 노드.
  7. 제5항에 있어서, 불안성 수준은 노드 청정성의 감소에 따라 증가하며, 노드 청정성은, 노드가 어플리케이션용 업데이트 패치를 마지막으로 수신하여 적용, 노드가 컨피겨레이션 관리 서버로부터의 현재 확인을 갖는 정책을 보증, 관리자가 수동으로 노드의 현재 로컬 정책 컨피겨레이션을 확인, 노드가 의심가는 이벤트에 대한 경고를 촉발하는 활동을 수행, 또는, 로컬 악성 코드 또는 의심가는 행동의 경고를 촉발하는 시그니처 또는 휴리스틱 활동과 의심가는 이벤트에 대한 경고를 촉발하는 활동 이후의 시간 중 하나 이상을 포함하는, 다수의 노드를 갖는 네트워크에서 사용되는 노드.
  8. 제1항에 있어서, 상기 프로세싱 장치는 이웃 노드(들)로부터, 이 이웃 노드(들)의 불안성 수준을 수신하도록 추가로 구성되는, 다수의 노드를 갖는 네트워크에서 사용되는 노드.
  9. 제8항에 있어서, 불안성 수준은 상기 이웃 노드(들)의 불안성 수준에 기반하는, 다수의 노드를 갖는 네트워크에서 사용되는 노드.
  10. 제9항에 있어서, 불안성 수준은 페로몬의 수신 빈도 또는 유형에 기반하는, 다수의 노드를 갖는 네트워크에서 사용되는 노드.
  11. 제8항에 있어서, 불안성 수준은 스티그머지라고 부르는 당면 환경 특성에 기반하는, 다수의 노드를 갖는 네트워크에서 사용되는 노드.
  12. 제1항에 있어서, 상기 프로세싱 장치는 파라노이아 값을 수신하고, 이 파라노이아 값에 기반하여 불안성 수준을 결정하는, 다수의 노드를 갖는 네트워크에서 사용되는 노드.
  13. 제1항에 있어서, 상기 프로세싱 장치는 공격영역을 결정하도록 구성되는, 다수의 노드를 갖는 네트워크에서 사용되는 노드.
  14. 다수의 노드를 포함하되, 각 노드는, 사전에 정해진 근접성 내에 있는 적어도 하나의 이웃 노드를 식별하도록 구성된 프로세싱 장치를 포함하되, 이 프로세싱 장치는 상기 노드의 불안성 수준을 결정하고, 노드의 불안성 수준을 적어도 하나의 이웃 노드와 통신하도록 추가로 구성되는 네트워크.
  15. 제14항에 있어서, 불안성 수준은 호스트에 관련된 다수의 요소에 기초하며,
    노드가 중요한 어플리케이션용 업데이트 패치를 수신하고 적용한 이후의 시간; 노드가 컨피겨레이션 관리 서버로부터의 현재 확인을 갖는 정책 보증을 확인한 이후의 시간; 관리자가 노드의 현재 로컬 정책 컨피겨레이션을 확인한 이후의 시간; 의심가는 이벤트에 대한 경고를 촉발하는 활동의 수행; 로컬 IDS 또는 안티바이러스 악성 코드를 촉발하는 시그니처 또는 휴리스틱 활동 또는 의심가는 행동의 경고를 수행; 및 악성 코드 또는 위협 시그니처가 업데이트된 이후의 시간 중 하나 이상을 포함하는 네트워크.
  16. 제14항에 있어서, 불안성 수준은 노드 청정성의 증가에 따라 그리고/또는 감소된 불안성을 갖는 이웃 노드로부터의 입력에 따라 감소하는 네트워크.
  17. 제14항에 있어서, 불안성 수준은 노드 청정성의 감소에 따라 그리고/또는 증가된 불안성을 갖는 이웃 노드로부터의 입력에 따라 증가하는 네트워크.
  18. 제14항에 있어서, 노드 상태는 이웃의 입력에 기반하여 공격영역 및/또는 청정성의 증가 또는 감소 가능성을 경고하는 네트워크.
  19. 다수의 노드를 갖는 네트워크에 사용되는 컴퓨터에 구현되는 방법으로서,
    다수의 노드들 중 하나에서, 물리적, 논리적, 네트워크 홉, 네트워크 링크, 또는 정점 분석 근접성 중 하나로 측정된 다수의 노드들 중 하나의 사전에 정해진 근접성 내에서 적어도 하나의 이웃 노드를 식별하고,
    다수의 노드들 중 하나에 대한 불안성 수준을 상기 다수의 노드들 중 하나에서 결정하고,
    상기 다수의 노드들 중 하나에서, 불안성 수준을 적어도 하나의 이웃 노드와 통신하는, 컴퓨터에 구현되는 방법.
  20. 다수의 노드를 갖는 네트워크에서 사용되는 노드로서, 이 노드는,
    노드의, 물리적, 논리적, 네트워크 홉, 네트워크 링크, 또는 정점 분석 근접성 중 어느 하나로 측정된 사전에 정해진 근접성 내에 있는 적어도 하나의 이웃 노드를 식별하도록 구성된 프로세싱 장치를 포함하되, 이 프로세싱 장치는 적어도 하나의 이웃 노드로부터 불안성 수준을 수신하고 적어도 하나의 이웃 노드로부터 수신된 불안성 수준에 적어도 부분적으로 기반하여 사이 노드의 불안성 수준을 결정하도록 추가로 구성되는, 다수의 노드를 갖는 네트워크에서 사용되는 노드.
  21. 제20항에 있어서, 상기 프로세싱 장치는 불안성 수준을 적어도 하나의 이웃 노드로 전송하도록 추가로 구성되는, 다수의 노드를 갖는 네트워크에서 사용되는 노드.

KR1020157009309A 2012-09-18 2013-09-18 창발적 네트워크 방어 시스템 KR20150058304A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201261702484P 2012-09-18 2012-09-18
US61/702,484 2012-09-18
PCT/US2013/060425 WO2014182326A2 (en) 2012-09-18 2013-09-18 Emergent network defense system

Publications (1)

Publication Number Publication Date
KR20150058304A true KR20150058304A (ko) 2015-05-28

Family

ID=51867836

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020157009309A KR20150058304A (ko) 2012-09-18 2013-09-18 창발적 네트워크 방어 시스템

Country Status (13)

Country Link
US (1) US9860276B2 (ko)
EP (1) EP2898439A4 (ko)
JP (1) JP2015535364A (ko)
KR (1) KR20150058304A (ko)
AU (1) AU2013388938A1 (ko)
BR (1) BR112015005889A2 (ko)
CL (1) CL2015000669A1 (ko)
IN (1) IN2015DN02359A (ko)
MX (1) MX2015003389A (ko)
PE (1) PE20151242A1 (ko)
PH (1) PH12015500830A1 (ko)
SG (1) SG11201501854PA (ko)
WO (1) WO2014182326A2 (ko)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9813449B1 (en) * 2012-08-10 2017-11-07 Lookwise S.L. Systems and methods for providing a security information and event management system in a distributed architecture
US20140274246A1 (en) * 2013-03-15 2014-09-18 University Of Southern California Localized shortest-paths estimation of influence propagation for multiple influencers
US10216938B2 (en) * 2014-12-05 2019-02-26 T-Mobile Usa, Inc. Recombinant threat modeling
US10574675B2 (en) 2014-12-05 2020-02-25 T-Mobile Usa, Inc. Similarity search for discovering multiple vector attacks
US9900299B2 (en) * 2015-04-03 2018-02-20 Oracle International Corporation Aggregated computing infrastructure analyzer
US10476754B2 (en) * 2015-04-16 2019-11-12 Nec Corporation Behavior-based community detection in enterprise information networks
US9832220B2 (en) * 2015-09-22 2017-11-28 The United States Of America As Represented By The Secretary Of The Air Force Security method for allocation of virtual machines in a cloud computing network
US10032361B2 (en) * 2016-06-23 2018-07-24 Intel Corporation Threat monitoring for crowd environments with swarm analytics
US10650621B1 (en) 2016-09-13 2020-05-12 Iocurrents, Inc. Interfacing with a vehicular controller area network
US10277625B1 (en) * 2016-09-28 2019-04-30 Symantec Corporation Systems and methods for securing computing systems on private networks
US10970284B2 (en) * 2017-05-12 2021-04-06 Oracle International Corporation Dynamic self-reconfiguration of nodes in a processing pipeline
WO2019028341A1 (en) * 2017-08-03 2019-02-07 T-Mobile Usa, Inc. SIMILARITY SEARCH FOR DISCOVERY OF MULTI-VECTOR ATTACKS
GB2578918B (en) * 2018-11-14 2021-07-07 F Secure Corp Threat control method and system
US11138158B2 (en) 2019-05-20 2021-10-05 Callplex, Inc. Binding a local data storage device to remote data storage
US11475126B2 (en) * 2019-10-31 2022-10-18 Dell Products, L.P. Systems and methods for modernizing workspace and hardware lifecycle management in an enterprise productivity ecosystem
CN111478813B (zh) * 2020-04-07 2022-07-01 中国人民解放军国防科技大学 一种基于单层信息流传递的网络关键点分析方法
CN113032782A (zh) * 2021-03-09 2021-06-25 中国人民解放军空军工程大学 一种病毒传播抑制方法
US20230091179A1 (en) * 2021-09-17 2023-03-23 B Data Solutions Inc. System and method for building a trusted network of devices

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US2005101A (en) 1934-09-26 1935-06-18 Herberts Machinery Co Ltd Lathe
US6397061B1 (en) 2000-06-24 2002-05-28 Motorola, Inc. Method and apparatus to reprioritize data transfer in a short range Ad Hoc network
US7305371B2 (en) * 2001-07-06 2007-12-04 Newvectors Llc Swarming agents for distributed pattern detection and classification
US7352868B2 (en) 2001-10-09 2008-04-01 Philip Hawkes Method and apparatus for security in a data processing system
WO2003083626A1 (en) * 2002-03-28 2003-10-09 British Telecommunications Public Limited Company Method and apparatus for network security
CA2479789A1 (en) * 2002-03-28 2003-10-09 British Telecommunications Public Limited Company Method and apparatus for network security
EP1355468A1 (en) 2002-04-19 2003-10-22 BRITISH TELECOMMUNICATIONS public limited company Method and apparatus for network security
US8392999B2 (en) 2005-12-19 2013-03-05 White Cyber Knight Ltd. Apparatus and methods for assessing and maintaining security of a computerized system under development
US8204684B2 (en) 2007-06-28 2012-06-19 Apple Inc. Adaptive mobile device navigation
WO2009122437A2 (en) * 2008-03-31 2009-10-08 Tata Consultancy Services Limited Security in mobile ad hoc networks
WO2012164150A1 (en) 2011-05-31 2012-12-06 Nokia Corporation Method and apparatus for facilitating location based interaction over an ad-hoc mesh network
US8739280B2 (en) 2011-09-29 2014-05-27 Hewlett-Packard Development Company, L.P. Context-sensitive taint analysis
US8595845B2 (en) 2012-01-19 2013-11-26 Mcafee, Inc. Calculating quantitative asset risk

Also Published As

Publication number Publication date
WO2014182326A3 (en) 2015-09-24
PH12015500830A1 (en) 2015-06-08
US20150249685A1 (en) 2015-09-03
MX2015003389A (es) 2016-05-31
WO2014182326A2 (en) 2014-11-13
PE20151242A1 (es) 2015-08-29
CL2015000669A1 (es) 2015-10-09
IN2015DN02359A (ko) 2015-09-04
JP2015535364A (ja) 2015-12-10
EP2898439A4 (en) 2016-10-05
AU2013388938A1 (en) 2015-04-09
SG11201501854PA (en) 2015-04-29
BR112015005889A2 (pt) 2017-07-04
EP2898439A2 (en) 2015-07-29
US9860276B2 (en) 2018-01-02

Similar Documents

Publication Publication Date Title
KR20150058304A (ko) 창발적 네트워크 방어 시스템
Meng et al. Enhancing medical smartphone networks via blockchain-based trust management against insider attacks
US10863358B2 (en) Threat index based WLAN security and quality of service
US10305926B2 (en) Application platform security enforcement in cross device and ownership structures
Ahanger et al. State-of-the-art survey of artificial intelligent techniques for IoT security
Jhanjhi et al. Cyber security and privacy issues in industrial internet of things.
WO2017142934A1 (en) Digital asset protection policy using dynamic network attributes
US20160072770A1 (en) Emergent network defense system
Zahra et al. Fuzzy logic and fog based secure architecture for internet of things (flfsiot)
Rafferty et al. Intelligent multi-agent collaboration model for smart home IoT security
Özalp et al. Layer-based examination of cyber-attacks in IoT
Hafeez et al. Blockchain-assisted UAV communication systems: A comprehensive survey
Veluchamy et al. Deep reinforcement learning for building honeypots against runtime DoS attack
Stephens et al. Detecting internet of things bots: A comparative study
Yurekten et al. Citadel: Cyber threat intelligence assisted defense system for software-defined networks
Shandilya et al. IoT security: An introduction
Velazquez et al. Toward autonomous cyber defense for protected core networking
Miatra et al. Security Issues With Fog Computing
Figueroa et al. A SOUND approach to security in mobile and cloud-oriented environments
Lange Cybersecurity in the Internet of Things
Shah et al. Smartphone's hotspot security issues and challenges
Cortés Analysis and design of security mechanisms in the context of Advanced Persistent Threats against critical infrastructures
El Maliki Security adaptation in highly dynamic wireless networks
Khan et al. Lightweight Security Algorithm for Wireless Sensor Network Computer Security
Rubio Cortés Analysis and design of security mechanisms in the context of Advanced Persistent Threats against critical infrastructures

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination