KR20200073772A - Separating network system with honeypot - Google Patents

Separating network system with honeypot Download PDF

Info

Publication number
KR20200073772A
KR20200073772A KR1020180162322A KR20180162322A KR20200073772A KR 20200073772 A KR20200073772 A KR 20200073772A KR 1020180162322 A KR1020180162322 A KR 1020180162322A KR 20180162322 A KR20180162322 A KR 20180162322A KR 20200073772 A KR20200073772 A KR 20200073772A
Authority
KR
South Korea
Prior art keywords
data
cracker
control
review
server
Prior art date
Application number
KR1020180162322A
Other languages
Korean (ko)
Other versions
KR102210051B1 (en
Inventor
이지환
장수희
이승현
Original Assignee
지엘디앤아이에프 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 지엘디앤아이에프 주식회사 filed Critical 지엘디앤아이에프 주식회사
Priority to KR1020180162322A priority Critical patent/KR102210051B1/en
Publication of KR20200073772A publication Critical patent/KR20200073772A/en
Application granted granted Critical
Publication of KR102210051B1 publication Critical patent/KR102210051B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/23Processing of content or additional data; Elementary server operations; Server middleware
    • H04N21/234Processing of video elementary streams, e.g. splicing of video streams, manipulating MPEG-4 scene graphs

Abstract

The present invention relates to a network separation system to which a honeypot is applied, which comprises: a control means; a photographing means; a first review means; a first conversion means; a first detection means; a second conversion means; and a monitoring means. Accordingly, the network separation system may reliably protect the system even if components used to build a video security system contain malware, increase the utilization of public services since it is possible to safely utilize video data of the video security system established in public institutions or public enterprises, and can not only increase the efficiency of integrated control of the video security system in the surrounding area, but also can collect new cyberattack information since infringement can be checked and responded in real time in the event of the infringement on the video security system, thereby improving the security of the system by performing feedback on the same.

Description

허니팟이 적용된 망 분리 시스템{SEPARATING NETWORK SYSTEM WITH HONEYPOT}Network separation system with honeypot{SEPARATING NETWORK SYSTEM WITH HONEYPOT}

본 발명은 허니팟이 적용된 망 분리 시스템에 관한 것으로서, 더욱 상세하게는 영상 보안시스템 구축에 사용되는 구성품에 악성 소프트웨어 등이 포함되어 있더라도 안정적으로 시스템을 보호할 수 있고, 공공기관이나 공기업 등에 구축되어 있는 영상 보안시스템의 영상데이터를 안전하게 활용할 수 있어 공공서비스의 활용도를 높이며, 인근 지역의 영상보안 시스템 통합관제의 효율성을 높일 수 있을 뿐만 아니라 영상 보안시스템에 대한 침해 행위의 발생시 실시간으로 침해 사실을 확인하고 대처할 수 있으므로 새로운 사이버 공격정보의 수집이 가능하고, 이를 피드백하여 시스템의 보안성을 개선할 수 있는 허니팟이 적용된 망 분리 시스템에 관한 것이다.The present invention relates to a network separation system to which a honeypot is applied, and more specifically, it can stably protect a system even if malicious components or the like are included in a component used to construct a video security system, and is built in a public institution or a public corporation. It is possible to securely utilize the video data of the video security system to increase the utilization of public services, increase the efficiency of integrated control of the video security system in the nearby area, and to check the infringement in real time in the event of an infringement of the video security system. Since it can cope, it is possible to collect new cyber attack information, and it is about a network separation system to which honeypot is applied to improve the security of the system by feedback.

최근 급격히 증가하는 공공분야의 테러, 유괴, 주요 시설물에 대한 방화 등의 긴급 상황 발생과 어린이의 안전사고 등이 사회적인 문제로 대두되고 있으며, 이에 따라 감시카메라에 기반한 실시간 영상 보안시스템의 설치가 급격히 증가하고 있다.In recent years, rapidly increasing public sector terrorism, kidnapping, fire prevention of major facilities, and children's safety accidents have emerged as social problems, and as a result, installation of real-time video security systems based on surveillance cameras has rapidly increased. Doing.

그런데, 영상 보안시스템 구축에 필요한 구성품, 예를 들어 네트워크 카메라(IP camera)와 네트워크 비디오 녹화기(Network Video Recorder, NVR) 등이 네트워크 제품 형태로 발전되면서 미리 구성품 내에 악성 소프트웨어(Malicious Software, Malware) 등을 두어 이를 통해 해킹이 가능해지는 등 영상 보안시스템 구축에 사용되는 구성품에 의한 보안침해 위협이 커지고 있다.However, as components required for building a video security system, for example, a network camera (IP camera) and a network video recorder (Network Video Recorder, NVR), have been developed in the form of network products, malicious software (Malicious Software, Malware), etc. are built into the components in advance. Through this, hacking is possible, and the threat of security breaches caused by components used in building a video security system is increasing.

특히, 공공 및 민간분야 인터넷망에 공개된 네트워크 카메라에 대한 보안침해 문제는 여러 차례 매스컴을 통해 이슈화되었는데, 2016년 4월에는 분산서비스거부(Distributed Denial of Service, DDoS) 공격 수행 봇을 만들 수 있는 악성코드가 아마존에서 판매되고 있던 중국산 네트워크 카메라에서 발견된 바 있고, 2016년 11월에는 중국산 네트워크 영상보안 제품에 포함된 봇넷을 이용하여 미국 DNS 업체에 대규모 DDoS 공격이 발생하기도 하였다.In particular, the issue of security breaches of network cameras disclosed in the public and private internet networks has been issued through media several times.In April 2016, a distributed bot of a distributed denial of service (DDoS) attack could be created. Malicious code was found in Chinese network cameras sold at Amazon, and in November 2016, a large-scale DDoS attack occurred to US DNS companies using botnets included in Chinese network video security products.

이에 따라 미국 의회의 경우 국방수권법(National Defense Authorization Act, NDAA)을 통과시켜 주요 시설에 중국산 네트워크 영상보안 물품 사용을 금지시켰다.As a result, the US Congress passed the National Defense Authorization Act (NDAA) to prohibit the use of Chinese-made network video security products in major facilities.

한편, 국내 공공기관 및 공기업에서 운영 중인 네트워크 영상 보안시스템에는 이미 중국산 네트워크 영상보안 물품이 다수 납품되어 설치, 운용되고 있는 실정이다.On the other hand, a number of Chinese network video security products have already been supplied to and installed and operated in the network video security system operated by domestic public institutions and public enterprises.

또한, 공공기관 및 공기업 등이 운용하고 있는 영상 보안시스템의 촬영데이터는 대외적 공유 및 공공목적 활용에 대한 필요성이 대두되고 있으나, 해킹 등 외부 침해 위협에 대해 시스템의 안정성을 담보하기 어려워 대외적으로 공유하는 것을 기피하고 있다.In addition, although there is a need for external sharing and utilization of public purposes for shooting data of video security systems operated by public institutions and public corporations, it is difficult to secure the stability of the system against external threats such as hacking, and sharing it externally Avoiding things.

따라서, 영상 보안시스템 구축에 사용되는 구성품에 악성 소프트웨어 등이 포함되어 있는 경우에도 시스템을 물리적으로 망 분리하여 외부망을 통한 침해 행위(해킹)로부터 시스템을 보호하고, 급속히 기술 고도화가 이루어지고 있는 망 침해 수법에 대한 시스템 관리자의 인지 및 신속한 대처방안 수립을 위한 적극적인 망 침해 방식 데이터를 수집할 필요성이 대두되고 있다.Therefore, even if the components used to build the video security system contain malicious software, the system is physically segregated to protect the system from infringement (hacking) through an external network, and the technology is rapidly being upgraded. There is a growing need to collect data on active network infringement methods in order to recognize system administrators' infringement methods and to quickly develop countermeasures.

대한민국 특허등록 제10-0926456호Republic of Korea Patent Registration No. 10-0926456

따라서, 본 발명의 목적은 이와 같은 종래의 문제점을 해결하기 위한 것으로 영상 보안시스템 구축에 사용되는 구성품에 악성 소프트웨어 등이 포함되어 있더라도 안정적으로 시스템을 보호할 수 있는 허니팟이 적용된 망 분리 시스템을 제공함에 있다.Accordingly, an object of the present invention is to solve such a conventional problem and to provide a network separation system with a honeypot capable of stably protecting a system even if malicious components or the like are included in a component used to construct a video security system. have.

또, 공공기관이나 공기업 등에 구축되어 있는 영상 보안시스템의 영상데이터를 안전하게 활용할 수 있어 공공서비스의 활용도를 높이고, 인근 지역의 영상보안 시스템 통합관제의 효율성을 높일 수 있는 허니팟이 적용된 망 분리 시스템을 제공함에 있다.In addition, it provides a network separation system with a honeypot that can safely utilize the video data of a video security system built in a public institution or a public enterprise to increase the utilization of public services and increase the efficiency of integrated control of a video security system in a nearby area. Is in

또한, 영상 보안시스템에 대한 침해 행위의 발생시 실시간으로 침해 사실을 확인하고 대처할 수 있으므로 새로운 사이버 공격정보의 수집이 가능하고, 이를 피드백하여 시스템의 보안성을 개선할 수 있는 허니팟이 적용된 망 분리 시스템을 제공함에 있다.In addition, when an infringement action occurs on the video security system, it is possible to check and respond to the infringement in real time, so it is possible to collect new cyber attack information, and feed it back to the network separation system with a honeypot that can improve the security of the system. In the offer.

상기 목적은, 본 발명에 따라, 제어수단; 상기 제어수단의 제어에 따라 동작하는 촬영수단; 상기 제어수단으로부터 상기 촬영수단을 제어하기 위한 제1 제어데이터를 전달받고, 상기 제1 제어데이터의 정상 또는 비정상 여부를 검토하는 제1 검토수단; 상기 제1 검토수단의 검토 결과, 정상인 제1 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제1 단방향데이터로 변환하여 상기 촬영수단에 전달하는 제1 변환수단; 상기 제1 검토수단의 검토 결과 비정상인 제1 제어데이터를 전달받고, 상기 비정상인 제1 제어데이터에 포함되어 있는 제1 크래커데이터를 검출하는 제1 검출수단; 상기 제1 검출수단으로부터 상기 비정상인 제1 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제2 단방향데이터로 변환하는 제2 변환수단; 및 상기 제1 크래커데이터 및 상기 제2 단방향데이터를 전달받아 저장하고, 상기 제1 크래커데이터에 크래커서버의 정보가 포함되어 있는 경우 상기 크래커서버로 상기 제2 단방향데이터를 전송하는 모니터링수단; 을 포함하는 허니팟이 적용된 망 분리 시스템에 의해 달성된다.The object, according to the present invention, the control means; Photographing means operating under the control of the control means; First review means for receiving first control data for controlling the photographing means from the control means, and examining whether the first control data is normal or abnormal; As a result of the review of the first review means, first conversion means for receiving normal first control data and converting it into first unidirectional data that is unilaterally transmitted toward one direction and transmits it to the photographing means; First detection means for receiving abnormal first control data as a result of the review of the first review means, and detecting first cracker data included in the abnormal first control data; Second conversion means for receiving the abnormal first control data from the first detection means and converting it into second unidirectional data unilaterally transmitted toward one direction; And monitoring means for receiving and storing the first cracker data and the second unidirectional data, and transmitting the second unidirectional data to the cracker server when the first cracker data includes cracker server information. It is achieved by a network separation system to which the honeypot containing is applied.

여기서, 상기 촬영수단에 의해 촬영된 촬영데이터에서 영상데이터를 분리해내는 영상분리수단; 상기 영상분리수단으로부터 상기 영상데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제3 단방향데이터로 변환하여 상기 제어수단으로 전달하는 제3 변환수단; 상기 촬영수단 또는 상기 영상분리수단으로부터 상기 촬영데이터를 전달받고, 상기 촬영데이터에 포함되어 있는 제2 제어데이터의 정상 또는 비정상 여부를 검토하는 제2 검토수단; 상기 제2 검토수단의 검토 결과, 정상인 제2 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제4 단방향데이터로 변환하여 상기 제어수단으로 전달하는 제4 변환수단; 상기 제2 검토수단의 검토 결과 비정상인 제2 제어데이터를 전달받고, 상기 비정상인 제2 제어데이터에 포함되어 있는 제2 크래커데이터를 검출하는 제2 검출수단; 및 상기 제2 검출수단으로부터 상기 비정상인 제2 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제5 단방향데이터로 변환하는 제5 변환수단; 을 더 포함하고, 상기 모니터링수단은, 상기 제2 크래커데이터 및 상기 제5 단방향데이터를 전달받아 저장하고, 상기 제2 크래커데이터에 상기 크래커서버의 정보가 포함되어 있는 경우 상기 크래커서버로 상기 제5 단방향데이터를 전송하는 것이 바람직하다.Here, the image separating means for separating the image data from the photographing data photographed by the photographing means; Third conversion means for receiving the image data from the image separation means and converting it into third unidirectional data that is unilaterally transmitted toward one direction and transmitting it to the control means; Second review means for receiving the photographing data from the photographing means or the image separating means, and examining whether the second control data included in the photographing data is normal or abnormal; As a result of the review of the second review means, fourth conversion means that receives normal second control data and converts it into fourth unidirectional data that is unilaterally transmitted toward one direction and transmits the result to the control means; Second detection means for receiving abnormal second control data as a result of review of the second review means, and detecting second cracker data included in the abnormal second control data; And fifth conversion means for receiving the abnormal second control data from the second detection means and converting it into fifth unidirectional data unilaterally transmitted toward one direction. Further comprising, the monitoring means, receiving and storing the second cracker data and the fifth unidirectional data, and when the second cracker data includes the information of the cracker server, the fifth to the cracker server It is desirable to transmit unidirectional data.

여기서, 상기 크래커서버의 정보는, 상기 크래커서버 또는 상기 크래커서버에 저장되어 있는 데이터의 주소 정보인 것이 바람직하다.Here, it is preferable that the information of the cracker server is address information of the cracker server or data stored in the cracker server.

여기서, 상기 모니터링수단은, 상기 제2 변환수단과 연결되어 상기 제1 크래커데이터 및 상기 제2 단방향데이터를 전달받아 저장하고, 상기 제1 크래커데이터에 상기 크래커서버의 정보가 포함되어 있는 경우 상기 크래커서버로 상기 제2 단방향데이터를 전송하는 제1 모니터링부; 및 상기 제5 변환수단과 연결되어 상기 제2 크래커데이터 및 상기 제5 단방향데이터를 전달받아 저장하고, 상기 제2 크래커데이터에 상기 크래커서버의 정보가 포함되어 있는 경우 상기 크래커서버로 상기 제5 단방향데이터를 전송하는 제2 모니터링부; 를 포함하는 것이 바람직하다.Here, the monitoring means is connected to the second conversion means to receive and store the first cracker data and the second unidirectional data, and when the first cracker data includes the cracker server information, the cracker A first monitoring unit transmitting the second unidirectional data to a server; And connected to the fifth conversion means to receive and store the second cracker data and the fifth one-way data, and when the second cracker data includes information of the cracker server, the fifth one-way to the cracker server. A second monitoring unit transmitting data; It is preferred to include.

여기서, 상기 제1 검토수단은, 상기 제1 제어데이터의 프로토콜이 기설정되어 있는 프로토콜과 서로 상이한 경우 상기 제1 제어데이터를 비정상으로 판단하고, 상기 제2 검토수단은, 상기 제2 제어데이터의 프로토콜이 기설정되어 있는 프로토콜과 서로 상이한 경우 상기 제2 제어데이터를 비정상으로 판단하는 것이 바람직하다.Here, the first review means, if the protocol of the first control data is different from the preset protocol, determines the first control data as abnormal, and the second review means is configured to determine whether the second control data is When the protocols are different from the preset protocols, it is preferable to judge the second control data as abnormal.

본 발명에 따르면, 영상 보안시스템 구축에 사용되는 구성품에 악성 소프트웨어 등이 포함되어 있더라도 안정적으로 시스템을 보호할 수 있다.According to the present invention, even if malicious components or the like are included in the components used to construct the video security system, the system can be stably protected.

또, 공공기관이나 공기업 등에 구축되어 있는 영상 보안시스템의 영상데이터를 안전하게 활용할 수 있어 공공서비스의 활용도를 높이고, 인근 지역의 영상보안 시스템 통합관제의 효율성을 높일 수 있다.In addition, it is possible to securely utilize the video data of a video security system built in a public institution or a public corporation to increase the utilization of public services and increase the efficiency of integrated control of a video security system in a nearby area.

또한, 영상 보안시스템에 대한 침해 행위의 발생시 실시간으로 침해 사실을 확인하고 대처할 수 있으므로 새로운 사이버 공격정보의 수집이 가능하고, 이를 피드백하여 시스템의 보안성을 개선할 수 있다.In addition, as an infringement action for the video security system can be identified and countered in real time, new cyber attack information can be collected, and the security of the system can be improved by feedback.

도 1은 본 발명의 제1 실시예에 따른 허니팟이 적용된 망 분리 시스템의 구성을 간략하게 나타낸 구성도,
도 2는 본 발명의 제2 실시예에 따른 허니팟이 적용된 망 분리 시스템의 구성을 간략하게 나타낸 구성도,
도 3은 본 발명의 제3 실시예에 따른 허니팟이 적용된 망 분리 시스템의 구성을 간략하게 나타낸 구성도,
도 4는 본 발명의 제1 실시예에 따른 허니팟이 적용된 망 분리 시스템이 시스템 구축에 사용되는 구성품에 악성 소프트웨어 등이 포함되어 있는지를 파악하고 대응하도록 동작되는 상태를 나타낸 순서도,
도 5는 본 발명의 제2 및 제3 실시예에 따른 허니팟이 적용된 망 분리 시스템이 시스템 구축에 사용되는 구성품에 악성 소프트웨어 등이 포함되어 있는지를 파악하고 대응하도록 동작되는 상태를 나타낸 순서도이다.1 is a configuration diagram briefly showing the configuration of a honeypot-applied network separation system according to a first embodiment of the present invention,
Figure 2 is a schematic diagram showing the configuration of a honeycomb network separation system is applied according to a second embodiment of the present invention,
3 is a schematic view showing the configuration of a honeypot-applied network separation system according to a third embodiment of the present invention,
FIG. 4 is a flow chart showing a state in which the network separation system to which the honeypot is applied according to the first embodiment of the present invention is operated to identify and respond to whether components included in the system construction include malicious software,
5 is a flowchart illustrating a state in which the network separation system to which the honeypot is applied according to the second and third embodiments of the present invention is operated to identify and respond to whether components included in the system construction include malicious software or the like.

이하, 첨부한 도면을 참조하여 본 발명에 따른 허니팟이 적용된 망 분리 시스템에 대하여 상세하게 설명한다.Hereinafter, a network separation system to which the honeypot according to the present invention is applied will be described in detail with reference to the accompanying drawings.

여기서, 허니팟(Honeypot)은 외부망을 통한 비정상적인 접근, 즉 해킹과 같은 침해 행위를 탐지하기 위해 의도적으로 설치해둔 시스템을 말하며, 시스템에 침입한 스팸 및 컴퓨터바이러스, 크래커서버 등을 유인하여 탐지, 추적하고 정보를 수집할 수 있어서 사이버 테러를 방지하기 위해 많이 활용되고 있다.Here, Honeypot (Honeypot) refers to a system that is intentionally installed to detect abnormal access through an external network, that is, intrusion such as hacking, and detects and tracks spam, computer viruses, and cracker servers that have invaded the system. And it is widely used to prevent cyber terrorism.

본 발명은 영상 보안시스템 구축에 사용되는 구성품에 멀웨어(Malware, 악성 소프트웨어) 등이 포함되어 있더라도 안정적으로 시스템을 보호할 수 있도록 물리적인 망 분리 시스템에 허니팟 개념을 적용한 것이다.The present invention applies the concept of a honeypot to a physical network separation system to stably protect a system even if malware (Malware, malicious software, etc.) is included in a component used to construct a video security system.

도 1은 본 발명의 제1 실시예에 따른 허니팟이 적용된 망 분리 시스템의 구성을 간략하게 나타낸 구성도이다.1 is a configuration diagram briefly showing a configuration of a network separation system to which a honeypot is applied according to a first embodiment of the present invention.

먼저, 도 1을 참조하면 본 발명의 제1 실시예에 따른 허니팟이 적용된 망 분리 시스템(10)은 크게 제어수단(100), 촬영수단(200), 제1 검토수단(110), 제1 변환수단(120), 제1 검출수단(130), 제2 변환수단(140), 모니터링수단(300)을 포함하여 구성된다.First, referring to FIG. 1, the network separation system 10 to which the honeypot is applied according to the first embodiment of the present invention is largely controlled means 100, photographing means 200, first review means 110, and first conversion It comprises a means 120, the first detection means 130, the second conversion means 140, the monitoring means 300.

제어수단(100)은 촬영수단(200)의 동작, 예를 들어 승강이나 팬(Pan), 틸트(Tilt), 줌(Zoom) 등이나 전원의 온오프(On/Off), 촬영의 시작 또는 완료 등을 제어하는 구성요소로 이를 위해 제어데이터, 즉 제1 제어데이터를 촬영수단(200)측으로 전송하게 된다. 본 명세서에서는 제어수단(100)이 촬영수단(200)을 제어하는 것으로 설명하였으나 본 발명에 따른 허니팟이 적용된 망 분리 시스템(10) 전체를 제어하도록 구성될 수 있다. 또한, 제어수단(100)에는 촬영수단(200)을 통해 촬영되는 영상을 저장할 수 있는 것이 좋으며 이를 위해 네트워크 비디오 녹화기(NVR) 등을 제어수단(100)으로 사용할 수 있다.The control means 100 is the operation of the shooting means 200, for example, lifting or pan (Pan), tilt (Tilt), zoom (Zoom) or the power on/off (On/Off), the start or completion of the shooting As a component that controls the back, for this purpose, control data, that is, first control data is transmitted to the photographing means 200. In the present specification, the control means 100 is described as controlling the photographing means 200, but may be configured to control the entire network separation system 10 to which the honeypot according to the present invention is applied. In addition, it is preferable that the control means 100 can store an image captured through the shooting means 200, and for this purpose, a network video recorder (NVR) or the like can be used as the controlling means 100.

촬영수단(200)은 제어수단(100)의 제어에 따라 동작하여 감시나 보안 등을 위한 장소에 설치되는 카메라와 같은 구성요소로, 하나 또는 다수의 네트워크 카메라를 이용할 수 있으며, 이러한 촬영수단(200)으로 촬영한 영상이 촬영데이터가 된다. The photographing means 200 operates under the control of the control means 100 and is a component such as a camera installed in a place for surveillance or security, and may use one or more network cameras. ) Image is taken as shooting data.

제1 검토수단(110)은 제어수단(100)으로부터 촬영수단(200)을 제어하기 위한 제1 제어데이터를 전달받고, 제1 제어데이터의 정상 또는 비정상 여부를 검토하는 구성요소이다. The first review means 110 is a component that receives first control data for controlling the photographing means 200 from the control means 100 and examines whether the first control data is normal or abnormal.

제1 변환수단(120)은 제1 검토수단(110)의 검토 결과, 정상인 제1 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 단방향(One-way, Simplex)데이터, 즉 제1 단방향데이터로 변환하여 촬영수단(200)에 전달하는 구성요소이다. 정상인 제1 제어데이터를 제1 단방향데이터로 변환하는 방법으로는, 예를 들어 인코더(Encoder)를 사용하는 등 알려져 있는 여러가지 방법을 사용할 수 있다.As a result of the review of the first review means 110, the first conversion means 120 receives normal first control data and is unilaterally transmitted in one direction (One-way, Simplex) data, that is, the first one-way data It is a component that is converted to and transmitted to the imaging means 200. As a method of converting normal first control data into first unidirectional data, various known methods, such as using an encoder, can be used.

제1 검출수단(130)은 제1 검토수단(110)의 검토 결과 비정상인 제1 제어데이터를 전달받고, 비정상인 제1 제어데이터에 포함되어 있는 제1 크래커데이터를 검출하는 구성요소이다. The first detection means 130 is a component that receives the first abnormal control data as a result of the review by the first review means 110 and detects the first cracker data included in the abnormal first control data.

제2 변환수단(140)은 제1 검출수단(130)으로부터 비정상인 제1 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제2 단방향데이터로 변환하는 구성요소이다. 이처럼 제2 단방향데이터로 변환된 비정상인 제1 제어데이터는 제1 변환수단(120)을 통해 변환된 제1 단방향데이터와 마찬가지로 제2 단방향데이터를 통해 송신측으로 접근하는 것이 불가능해진다.The second conversion means 140 is a component that receives the abnormal first control data from the first detection means 130 and converts it into second unidirectional data that is unilaterally transmitted toward one direction. As such, the abnormal first control data converted into the second unidirectional data becomes impossible to access to the transmitting side through the second unidirectional data, like the first unidirectional data converted through the first converting means 120.

모니터링수단(300)은 제1 크래커데이터 및 제2 단방향데이터를 전달받아 저장하고, 제1 크래커데이터에 크래커서버(20)의 정보가 포함되어 있는 경우 해당 크래커서버(20)로 제2 단방향데이터를 전송하는 구성요소이다. The monitoring means 300 receives and stores the first cracker data and the second unidirectional data, and when the first cracker data includes information of the cracker server 20, the second unidirectional data is transmitted to the corresponding cracker server 20. It is a transmitting component.

여기서, 크래커서버(20)의 정보라 함은 크래커서버(20)의 주소 정보, 예를 들어 아이피 주소(IP Address)나 도메인(Domain Name), URL(Uniform Resource Locator) 등이 해당될 수 있으며, 이외에 크래커서버(20)에 저장되어 있는 데이터의 주소 정보, 예를 들어 자료 위치 주소(Uniform Resource Locator) 등이 사용될 수 있다.Here, the information of the cracker server 20 may include address information of the cracker server 20, for example, an IP address, a domain name, and a uniform resource locator (URL). In addition, address information of data stored in the cracker server 20, for example, a data location address (Uniform Resource Locator) or the like may be used.

도 2는 본 발명의 제2 실시예에 따른 허니팟이 적용된 망 분리 시스템의 구성을 간략하게 나타낸 구성도이다.2 is a configuration diagram briefly showing a configuration of a network separation system to which a honeypot is applied according to a second embodiment of the present invention.

도 2에 나타나는 것과 같이 본 발명의 제2 실시예는 전술한 제1 실시예와 유사하나, 제1 실시예의 경우 허니팟이 적용된 망 분리 시스템(10)의 구축시 사용된 구성품 중 제어수단(100)에 멀웨어가 포함되어 있는지를 검토하여 처리하는 시스템이고, 제2 실시예는 제어수단(100) 외에 촬영수단(200)에도 멀웨어가 포함되어 있는지를 검토하여 처리하게 되는 차이가 있다.As shown in FIG. 2, the second embodiment of the present invention is similar to the first embodiment described above, but in the case of the first embodiment, the control means 100 among the components used in the construction of the honeypot applied network separation system 10 Is a system for reviewing and processing whether malware is included in the second embodiment, and in the second embodiment, there is a difference in reviewing and processing whether malware is included in the photographing means 200 in addition to the control means 100.

따라서, 본 발명의 제2 실시예에 따른 허니팟이 적용된 망 분리 시스템(10)은 제1 실시예에서 사용되는 구성요소 외에 영상분리수단(210)과 제3 변환수단(220), 제2 검토수단(230), 제4 변환수단(240), 제2 검출수단(250) 및 제5 변환수단(260)을 더 포함하여 구성된다.Accordingly, the network separation system 10 to which the honeypot is applied according to the second embodiment of the present invention, in addition to the components used in the first embodiment, the image separation means 210, the third conversion means 220, and the second review means (230), the fourth conversion means 240, the second detection means 250 and the fifth conversion means 260 is further configured.

먼저 영상분리수단(210)은, 촬영수단(200)에 의해 촬영된 촬영데이터에서 영상데이터를 분리해내는 구성요소이며, 이른바 파싱 엔진(Passing Engine)이 사용될 수 있다.First, the image separating means 210 is a component that separates image data from the photographing data photographed by the photographing means 200, and a so-called parsing engine may be used.

제3 변환수단(220)은 영상분리수단(210)으로부터 영상데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제3 단방향데이터로 변환하여 제어수단(100)으로 전달하는 구성요소이다. 이에, 제3 단방향데이터의 수신측인 제어수단(100)에서 제3 단방향데이터를 통해 송신측인 제3 변환수단(220)측으로의 접근이 차단된다.The third conversion means 220 is a component that receives image data from the image separation means 210 and converts it into third unidirectional data that is unilaterally transmitted toward one direction and transmits it to the control means 100. Accordingly, access to the third conversion means 220 which is the transmitting side is blocked from the control means 100 that is the receiving side of the third unidirectional data through the third unidirectional data.

제2 검토수단(230)은 촬영수단(200) 또는 영상분리수단(210)으로부터 촬영데이터를 전달받고, 촬영데이터에 포함되어 있는 제2 제어데이터의 정상 또는 비정상 여부를 검토하는 구성요소이다. 여기서, 도시된 도면에서는 제2 검토수단(230)이 영상분리수단(210) 다음에 배치되어 구성되나, 제2 검토수단(230)이 촬영수단(200)과 영상분리수단(210) 사이에 배치되도록 하여 촬영데이터에 포함되어 있는 제2 제어데이터의 정상 또는 비정상 여부를 먼저 검토한 후 영상분리수단(210)이 영상데이터를 분리해내도록 구성될 수도 있다.The second review means 230 is a component that receives the photographing data from the photographing means 200 or the image separation means 210 and examines whether the second control data included in the photographing data is normal or abnormal. Here, in the illustrated drawing, the second review means 230 is disposed after the image separation means 210, but the second review means 230 is disposed between the imaging means 200 and the image separation means 210. As a result, after reviewing whether the second control data included in the photographing data is normal or abnormal, the image separating means 210 may be configured to separate the image data.

제4 변환수단(240)은 제2 검토수단(230)의 검토 결과, 정상인 제2 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제4 단방향데이터로 변환하여 제어수단(100)으로 전달하는 구성요소이며, 이러한 제4 단방향데이터를 통해 수신측인 제어수단(100)으로부터 제4 변환수단(240)측으로의 접근은 불가능해진다. As a result of the review of the second review means 230, the fourth conversion means 240 receives normal second control data and converts it into fourth one-way data that is unilaterally transmitted toward one direction and transmits it to the control means 100 It is a component, and access to the fourth conversion means 240 from the control means 100, which is the receiving side, becomes impossible through the fourth unidirectional data.

제2 검출수단(250)은 제2 검토수단(230)의 검토 결과 비정상인 제2 제어데이터를 전달받고, 비정상인 제2 제어데이터에 포함되어 있는 제2 크래커데이터를 검출하는 구성요소이다. 이러한 제2 검출수단(250)은 제1 검출수단(130)이 제1 크래커데이터를 검출하는 것과 동일한 방법을 통해 제2 크래커데이터를 추출할 수도 있고, 다른 방법으로 제2 크래커데이터를 추출할 수도 있다. 제1 검출수단(130)의 경우 제어수단(100)에 포함되어 있는 멀웨어와 관련된 데이터를 추출하는 것과 유사하게 제2 검출수단(250)은 촬영수단(200)에 포함되어 있는 멀웨어와 관련된 데이터를 추출하게 된다.The second detection means 250 is a component that receives abnormal second control data as a result of the review by the second review means 230 and detects second cracker data included in the abnormal second control data. The second detection means 250 may extract the second cracker data through the same method as the first detection means 130 detects the first cracker data, or may extract the second cracker data by another method. have. In the case of the first detection means 130, the second detection means 250 similarly extracts data related to the malware included in the control means 100, and the second detection means 250 extracts data related to the malware included in the imaging means 200. Will be extracted.

제5 변환수단(260)은 제2 검출수단(250)으로부터 비정상인 제2 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제5 단방향데이터로 변환하는 구성요소이다. The fifth conversion means 260 is a component that receives abnormal second control data from the second detection means 250 and converts it into fifth unidirectional data that is unilaterally transmitted toward one direction.

그리고, 제1 실시예에서 제1 크래커데이터와 제2 단방향데이터를 전달받아 저장하게 되는 모니터링수단(300)은 제2 실시예의 경우 제2 크래커데이터 및 제5 단방향데이터까지 전달받아 저장하게 된다.In addition, in the first embodiment, the monitoring means 300 for receiving and storing the first cracker data and the second unidirectional data receives and stores the second cracker data and the fifth unidirectional data in the second embodiment.

이러한 모니터링수단(300)은 제2 단방향데이터가 전달되고, 제1 크래커데이터에 아이피 주소나 도메인, URL 등과 같은 크래커서버(20)의 정보가 포함되어 있는 경우 제2 단방향데이터를 해당 크래커서버(20)로 전송하게 된다. When the second unidirectional data is transmitted to the monitoring means 300 and the first cracker data includes information of the cracker server 20 such as an IP address, domain, URL, etc., the second unidirectional data is transferred to the corresponding cracker server 20 ).

또한, 모니터링수단(300)에 제5 단방향데이터가 전달되고, 제2 크래커데이터에 크래커서버(20)의 정보가 포함되어 있는 경우 제5 단방향데이터를 해당 크래커서버(20)로 전송하게 된다. In addition, the fifth unidirectional data is transmitted to the monitoring means 300, and when the second cracker data includes information of the cracker server 20, the fifth unidirectional data is transmitted to the corresponding cracker server 20.

즉, 제1 크래커데이터에는 크래커서버(20)의 정보가 존재하고, 제2 크래커데이터에는 크래커서버(20)의 정보가 존재하지 않는다면 제2 단방향데이터만 해당 크래커서버(20)로 전송하는 것이며, 제2 크래커데이터에만 크래커서버(20)의 정보가 존재한다면 제5 단방향데이터만 크래커서버(20)로 전송한다.That is, if the information of the cracker server 20 is present in the first cracker data and the information of the cracker server 20 is not present in the second cracker data, only the second unidirectional data is transmitted to the corresponding cracker server 20, If information of the cracker server 20 exists only in the second cracker data, only the fifth unidirectional data is transmitted to the cracker server 20.

이때, 제1 크래커데이터와 제2 크래커데이터 모두에 크래커서버(20)의 정보가 포함되어 있는 경우에는 해당 크래커서버(20)로 제2 단방향데이터 및 제5 단방향데이터를 전송하되, 서로 다른 아이피 주소로 전송하도록 구성된다.At this time, if the information of the cracker server 20 is included in both the first cracker data and the second cracker data, the second unidirectional data and the fifth unidirectional data are transmitted to the corresponding cracker server 20, but different IP addresses are provided. It is configured to transmit.

도 3은 본 발명의 제3 실시예에 따른 허니팟이 적용된 망 분리 시스템의 구성을 간략하게 나타낸 구성도이다.3 is a configuration diagram briefly showing a configuration of a network separation system to which a honeypot is applied according to a third embodiment of the present invention.

본 발명의 제3 실시예에 따른 허니팟이 적용된 망 분리 시스템(10)은 전술한 제2 실시예와 거의 동일하나, 모니터링수단(300)이 물리적으로 나누어져 구성된다는 점에서 서로 구분된다. The network separation system 10 to which the honeypot is applied according to the third embodiment of the present invention is almost the same as the second embodiment described above, but is separated from each other in that the monitoring means 300 is physically divided and configured.

즉, 제3 실시예의 경우 모니터링수단(300)을 둘로 나누어 제1 모니터링부(310)와 제2 모니터링부(320)로 구성하고, 제1 모니터링부(310)에 제1 실시예의 구성과 같이 제1 크래커데이터 및 제2 단방향데이터가 전달, 저장되며, 제2 모니터링부(320)에 제2 크래커데이터 및 제5 단방향데이터가 전달, 저장되도록 구성하게 된다.That is, in the case of the third embodiment, the monitoring means 300 is divided into two to be composed of the first monitoring unit 310 and the second monitoring unit 320, and the first monitoring unit 310 is configured as shown in the configuration of the first embodiment. The first cracker data and the second unidirectional data are transmitted and stored, and the second cracker data and the fifth unidirectional data are transmitted and stored in the second monitoring unit 320.

이러한 경우 제어수단(100)에 멀웨어가 포함되어 있고, 제1 크래커데이터에 크래커서버(20)의 정보가 포함되어 있는 경우 제1 모니터링부(310)가 해당 크래커서버(20)로 제2 단방향데이터를 전송하게 된다. In this case, when the control means 100 includes malware and the first cracker data includes information of the cracker server 20, the first monitoring unit 310 sends the second one-way data to the cracker server 20. Will send.

또한, 촬영수단(200)에 멀웨어가 포함되어 있고, 제2 크래커데이터에 제1 크래커데이터와는 다른 크래커서버(20)의 정보가 포함되어 있는 경우 제2 모니터링부(320)가 다른 크래커서버(20)로 제5 단방향데이터를 전송하게 된다. In addition, when the photographing means 200 includes malware, and the second cracker data includes information of a cracker server 20 different from the first cracker data, the second monitoring unit 320 may have a different cracker server ( 20), the fifth unidirectional data is transmitted.

만약, 제어수단(100)과 촬영수단(200) 모두에 멀웨어가 포함되어 있고, 제1 크래커데이터와 제2 크래커데이터가 서로 다른 크래커서버(20)의 정보를 포함하고 있는 경우 제1 및 제2 모니터링부(320)가 제2 단방향데이터와 제5 단방향데이터를 따로따로 해당하는 크래커서버(20)로 각각 전송하게 된다. If the control means 100 and the photographing means 200 contain malware, and the first cracker data and the second cracker data contain information of different cracker servers 20, the first and second The monitoring unit 320 transmits the second unidirectional data and the fifth unidirectional data to the corresponding cracker server 20 separately.

한편, 제어수단(100)과 촬영수단(200) 모두에 멀웨어가 포함되어 있고, 이러한 멀웨어를 동일한 크래커가 포함시킨 경우, 다시 말해서 제1 모니터링부(310)에 제2 단방향데이터가 전달되고, 제2 모니터링부(320)에 제5 단방향데이터가 전달되며, 제1 크래커데이터와 제2 크래커데이터 모두에 동일한 크래커서버(20)의 정보가 포함되어 있는 경우 해당 크래커서버(20)로 제2 단방향데이터 및 제5 단방향데이터를 전송하게 되는데, 제2 단방향데이터를 전송하는 제1 모니터링부(310)와 제5 단방향데이터를 전송하는 제2 모니터링부(320)는 물리적으로 나누어져 있으며 서로 다른 아이피 주소로 크래커서버(20)에 전송하게 된다. Meanwhile, if both the control means 100 and the imaging means 200 contain malware, and the same cracker includes such malware, that is, second unidirectional data is transmitted to the first monitoring unit 310, and 2 If the fifth unidirectional data is transmitted to the monitoring unit 320, and the information of the same cracker server 20 is included in both the first cracker data and the second cracker data, the second unidirectional data is transmitted to the corresponding cracker server 20. And the fifth unidirectional data. The first monitoring unit 310 transmitting the second unidirectional data and the second monitoring unit 320 transmitting the fifth unidirectional data are physically divided into different IP addresses. It is transmitted to the cracker server 20.

이하에서는, 본 발명에 따른 허니팟이 적용된 망 분리 시스템이 사용되는 상태에 대해 설명한다.Hereinafter, a description will be given of a state in which a honeypot according to the present invention is used.

도 4는 본 발명의 제1 실시예에 따른 허니팟이 적용된 망 분리 시스템이 시스템 구축에 사용되는 구성품에 악성 소프트웨어 등이 포함되어 있는지를 파악하고 대응하도록 동작되는 상태를 나타낸 순서도이다.4 is a flowchart illustrating a state in which the network separation system to which the honeypot is applied according to the first embodiment of the present invention is operated to identify and respond to whether components included in the system construction include malicious software or the like.

우선, 제어수단(100)으로부터 촬영수단(200)을 제어하기 위한 데이터, 즉 제1 제어데이터가 생성되어 촬영수단(200)측으로 전달된다.First, data for controlling the photographing means 200 from the control means 100, that is, first control data is generated and transmitted to the photographing means 200 side.

본 발명에서는 제1 제어데이터가 촬영수단(200)으로 바로 전달되는 것이 아니라 먼저 제1 검토수단(110)에 전달(S100)되도록 구성되어 제어수단(100)으로부터 전달된 제1 제어데이터가 정상적인 제어데이터인지 비정상적인 제어데이터인지를 검토(S110)하는, 다시 말해서 본 발명에 따른 허니팟이 적용된 망 분리 시스템(10)의 구축에 사용된 제어수단(100)에 멀웨어가 포함되어 있는지를 검토하는 과정을 거치게 된다.In the present invention, the first control data is configured to be transmitted (S100) to the first review means 110 first, rather than directly to the photographing means 200, and the first control data transmitted from the control means 100 is normally controlled. Review whether it is data or abnormal control data (S110), that is, go through a process of examining whether or not malware is included in the control means 100 used in the construction of the network separation system 10 to which the honeypot according to the present invention is applied. do.

이때, 제1 제어데이터의 정상 또는 비정상 여부는 제1 제어데이터의 프로토콜(Protocol)을 제1 검토수단(110)에 기설정되어 있는 프로토콜과 비교함으로써 판단된다. 즉, 프로토콜이 서로 일치하면 정상으로 판단하게 되고, 서로 상이한 경우 비정상으로 판단하게 된다.At this time, whether the first control data is normal or abnormal is determined by comparing the protocol of the first control data with a protocol set in the first review means 110. That is, if the protocols match each other, it is determined to be normal, and if they are different, it is determined to be abnormal.

이는, 제어수단(100)에 멀웨어가 포함되어 있고, 해당 멀웨어가 제1 제어데이터에 시스템 관리자가 지시하지 않은 내용이나 지시한 것 외에 별도의 내용을 포함시키는 등의 동작을 함으로써 기설정되어 있는 프로토콜과 다르다고 판단되는 경우 해당 제1 제어데이터를 비정상인 제어데이터로 판단할 수 있는 것이다. 특히, 제1 제어데이터에 시스템 관리자의 지시가 아닌 촬영데이터의 추가나 삭제, 변경 등의 중요 프로토콜이 포함되어 있는 경우 멀웨어의 존재를 확신할 수 있다.This is a protocol that is pre-set by an operation such as including the malware in the control means 100 and the malware including the contents not instructed or instructed by the system administrator in the first control data. When it is judged that it is different from that, the first control data may be determined as abnormal control data. In particular, when the first control data includes important protocols such as addition, deletion, and change of shooting data that are not directed by the system administrator, it is possible to be sure of the existence of malware.

이처럼 제어수단(100)으로부터 전달되는 제1 제어데이터는 촬영수단(200)으로 전달되기 전에 제1 검토수단(110)을 거치게 되므로 제어수단(100)에 멀웨어가 포함되어 있고, 해당 멀웨어가 허니팟이 적용된 망 분리 시스템(10)이 구축되자마자 동작되거나, 일정 시간이 지난 후 동작되더라도 제1 제어데이터의 정상 또는 비정상 여부를 항상 체크할 수 있다. 즉, 제1 검토수단(110)은 크래커(Cracker)가 미리 구성품, 즉 저장수단에 저장해놓았을지 모르는 멀웨어의 존재 여부를 확인하는 역할을 하게 된다.As the first control data transmitted from the control means 100 passes through the first review means 110 before being transferred to the imaging means 200, the control means 100 includes malware, and the corresponding malware is a honeypot. It is possible to always check whether the first control data is normal or abnormal even if it is operated as soon as the applied network separation system 10 is constructed or is operated after a certain period of time. That is, the first review means 110 serves to check whether a cracker exists in the component, that is, malware that may have been stored in the storage means in advance.

제1 검토수단(110)을 통해 검토된 제1 제어데이터가 정상(S120)인 경우, 즉 제어수단(100)이 멀웨어를 포함하고 있지 않다고 판단되면 제1 변환수단(120)으로 전달(S122)하고, 정상인 제1 제어데이터를 제1 단방향데이터로 변환(S124)하여 촬영수단(200)으로 전송(S126)하게 되며, 촬영수단(200)은 제1 단방향데이터의 내용에 따라 구동된다.When the first control data reviewed through the first review means 110 is normal (S120), that is, when it is determined that the control means 100 does not contain malware, it is transferred to the first conversion means 120 (S122) Then, the normal first control data is converted to the first unidirectional data (S124) and transmitted to the photographing means 200 (S126), and the photographing means 200 is driven according to the contents of the first unidirectional data.

단방향데이터는 데이터의 흐름 방향이 한 쪽으로만 진행되는 데이터를 말하며, TV 방송이나 라디오 방송과 같은 통신 방식, 예를 들어 마이크와 스피커의 관계와 같이 송신측과 수신측이 구분된다. 다시 말해서, 이와 같은 상황은 방송국에서 일방적으로 영상데이터를 전송하고, 가정에서는 방송국으로부터 일방적으로 전송된 영상데이터를 통해 TV 시청을 하는 것과 같다. 즉, 방송국에서는 가정을 향해 일방적으로 데이터를 전송하고, 가정에서는 방송국으로부터 수신한 데이터로 TV 시청을 할 수 있을 뿐 이를 방송국으로 되돌아가도록 전송할 수 없는 것이다.Unidirectional data refers to data in which the flow direction of data flows in only one direction, and a communication method such as TV broadcasting or radio broadcasting, for example, is divided between a transmitting side and a receiving side, such as a relationship between a microphone and a speaker. In other words, such a situation is the same as watching TV through the video data unilaterally transmitted from the broadcast station and unilaterally transmitted from the broadcast station at home. That is, the broadcasting station unilaterally transmits data toward the home, and the home can watch TV with the data received from the broadcasting station and cannot transmit it to return to the broadcasting station.

즉, 본 발명에서는 정상인 제1 제어데이터를 제1 단방향데이터로 변환하여 촬영수단(200)에 전달함으로써 제1 단방향데이터의 수신측인 촬영수단(200)이 제1 단방향데이터에 따라 동작을 하게 되며, 제1 단방향데이터를 통해 송신측인 제어수단(100)측으로 접근하는 것은 원천적으로 차단된다.That is, in the present invention, the normal first control data is converted into the first unidirectional data and transferred to the photographing means 200 so that the photographing means 200 which is the receiving side of the first unidirectional data operates according to the first unidirectional data. , Access to the control means 100, which is the transmitting side through the first unidirectional data, is blocked by nature.

다음, 제1 검토수단(110)을 통한 검토 결과 제1 제어데이터가 비정상으로 판단(S120)되는 경우, 즉 제어수단(100)에 멀웨어가 포함되어 있거나 해당 멀웨어가 동작함으로써 제1 제어데이터의 프로토콜이 기설정되어 있는 프로토콜과 다르다고 판단되면 비정상인 제1 제어데이터를 제1 검출수단(130)으로 전달(S130)하게 된다.Next, as a result of the review through the first review means 110, if the first control data is determined to be abnormal (S120), that is, the control means 100 includes malware or the malware operates, the protocol of the first control data If it is determined that this is different from the predetermined protocol, the abnormal first control data is transmitted to the first detection means 130 (S130).

제1 검출수단(130)은 비정상인 제1 제어데이터에서 제1 크래커데이터를 검출(S140)하게 되는데, 이러한 제1 크래커데이터를 검출하는 방법은 이미 알려져 있는 다양한 기술이 사용될 수 있다. 여기서, 제1 크래커데이터는 비정상인 제1 제어데이터를 로깅(Logging)하여 생성되는 로그데이터일 수도 있고, 제어수단(100)에 포함되어 있는 멀웨어에 대한 정보를 직접 추출한 추출데이터일 수도 있다.The first detection means 130 detects the first cracker data from the abnormal first control data (S140), and various methods known in the art for detecting the first cracker data may be used. Here, the first cracker data may be log data generated by logging abnormal first control data, or may be extracted data obtained by directly extracting information about malware included in the control means 100.

그리고, 제2 변환수단(140)은 제1 검출수단(130)으로부터 비정상인 제1 제어데이터를 전달받아(S150) 일방적으로 한쪽방향을 향해 송출되는 제2 단방향데이터로 변환(S160)하고 모니터링수단(300)으로 전송(S170)한다. 이처럼 비정상인 제1 제어데이터가 제2 단방향데이터로 변환됨으로써 제2 단방향데이터를 통해 송신측으로 접근하는 것은 불가능해진다.Then, the second conversion means 140 receives the abnormal first control data from the first detection means 130 (S150), and converts it into second unidirectional data sent unilaterally (S160) and monitors the means. It is transmitted to (300) (S170). As such, the abnormal first control data is converted into the second unidirectional data, making it impossible to access the transmitting side through the second unidirectional data.

모니터링수단(300)에는 제1 검출수단(130)을 통해 검출된 제1 크래커데이터와 제2 변환수단(140)에 의해 변환된 제2 단방향데이터가 전달(S170)되어 저장된다. 모니터링수단(300)은 전달된 제1 크래커데이터에 대한 분석 작업을 수행하여 크래커가 제어수단(100)에 포함시킨 멀웨어가 어떤 목적을 갖고 있는지, 어떻게 동작할 것인지를 파악할 수도 있으나, 대부분의 경우 멀웨어의 존재 여부 외에는 멀웨어의 내용 파악이 어려운 일이다.In the monitoring means 300, the first cracker data detected through the first detection means 130 and the second unidirectional data converted by the second conversion means 140 are transmitted (S170) and stored. The monitoring means 300 may perform analysis on the transmitted first cracker data to determine what purpose the malware included in the control means 100 has, and how to operate the malware, in most cases It is difficult to understand the contents of malware except for the existence of.

이에, 본 발명에서는 제1 크래커데이터에 크래커서버(20)의 정보, 예를 들어 크래커서버(20)의 아이피 주소나 도메인, URL 등이 존재하는지를 파악(S180)하고, 만약 크래커서버(20)의 정보가 존재한다면 이를 통해 제2 단방향데이터를 크래커서버(20)로 전송(S190)한다.Accordingly, in the present invention, it is determined whether the information of the cracker server 20 exists in the first cracker data, for example, the IP address, domain, URL, etc. of the cracker server 20 (S180), and if the cracker server 20 If information exists, the second one-way data is transmitted to the cracker server 20 through this (S190).

이처럼 크래커서버(20)의 정보를 알게 되면, 모니터링수단(300)에 크래커서버(20)의 정보를 블랙리스트(Blacklist)에 기록되도록 하여 해당 크래커서버(20)를 감시할 수 있다.When the information of the cracker server 20 is known as described above, the cracker server 20 can be monitored by allowing the monitoring means 300 to record the cracker server 20 information in a blacklist.

또한, 크래커서버(20)로 제2 단방향데이터를 전송함으로써 크래커가 제2 단방향데이터를 통해 송신측인 모니터링수단(300)으로 접근하는 것을 차단할 수 있다.In addition, by transmitting the second unidirectional data to the cracker server 20, it is possible to prevent the cracker from accessing the monitoring means 300, which is the transmitting side, through the second unidirectional data.

한편, 제2 단방향데이터를 수신한 크래커서버(20)에서 ifconfig, inconfig, ipconfig, netstat 등과 같이 멀웨어가 포함되어 있는 제어수단(100)의 아이피 주소를 확인하기 위한 시스템 명령을 수행하더라도 제어수단(100)의 아이피 주소가 아닌 모니터링수단(300)의 아이피 주소를 확인하게 된다.Meanwhile, even if the cracker server 20 receiving the second unidirectional data performs a system command to check the IP address of the control means 100 including malware, such as ifconfig, inconfig, ipconfig, netstat, etc., the control means 100 ) Not the IP address of the monitoring means 300 is checked.

즉, 크래커는 자신이 탐지, 감시되고 있다는 사실을 인지하지 못하고 시스템 침입 시도가 성공했다고 생각하겠지만, 시스템 관리자는 제어수단(100)에 포함되어 있는 멀웨어의 존재를 인지하고 외부 침입에 대비하고 있는 상태이므로 크래커의 정보를 탐지, 추적하고 크래커의 공격 시기, 패턴 등과 같은 정보를 수집하여 시스템의 보안성을 개선하는 등 다양하게 활용할 수 있게 된다.That is, the cracker may think that the system intrusion attempt was successful without realizing that he or she is being detected and monitored, but the system administrator is aware of the existence of the malware included in the control means 100 and is preparing for external intrusion. Therefore, it is possible to detect and track cracker information and collect information such as cracker attack timing and patterns to improve the security of the system.

도 5는 본 발명의 제2 및 제3 실시예에 따른 허니팟이 적용된 망 분리 시스템이 시스템 구축에 사용되는 구성품에 악성 소프트웨어 등이 포함되어 있는지를 파악하고 대응하도록 동작되는 상태를 나타낸 순서도이다.5 is a flowchart illustrating a state in which the network separation system to which the honeypot is applied according to the second and third embodiments of the present invention operates to identify and respond to whether components included in system construction include malicious software or the like.

우선, 촬영수단(200)이 동작하여 촬영데이터가 생성(S200)된다. 이러한 촬영수단(200)의 동작은 제어수단(100)의 제1 제어데이터, 특히 정상인 제1 제어데이터가 변환된 제1 단방향데이터의 내용에 따른 것일 수 있다. 즉, 본 발명의 제2 및 제3 실시예는 전술한 제1 실시예에서 연결되어 동작되는 것으로 볼 수 있으며, 도 5에서 촬영데이터가 생성되는 단계(S200)는 도 4에서 제1 단방향데이터가 촬영수단(200)에 전달되는 단계(S126) 다음에 수행되는 단계일 수 있다.First, the photographing means 200 is operated to generate photographing data (S200). The operation of the photographing means 200 may be in accordance with the contents of the first control data of the control means 100, in particular, the first unidirectional data in which normal first control data is converted. That is, it can be seen that the second and third embodiments of the present invention are connected and operated in the above-described first embodiment, and the step S200 in which photographing data is generated in FIG. 5 is the first unidirectional data in FIG. 4. It may be a step performed after the step S126 transmitted to the photographing means 200.

다음, 도 5에서는 촬영수단(200)에 의해 생성된 촬영데이터가 영상분리수단(210)과 제2 검토수단(230)으로 각각 전달(S210, S260)되도록 도시되어 있는데, 제2 검토수단(230)에 전달되는 촬영데이터는 영상분리수단(210)으로부터 전달될 수도 있다.Next, in FIG. 5, the photographing data generated by the photographing means 200 is illustrated to be transmitted to the image separation means 210 and the second review means 230 (S210, S260), respectively. The second review means 230 ) May be transmitted from the image separation means 210.

영상분리수단(210)에서는 전달된 촬영데이터에서 영상데이터를 분리(S220)하게 되고, 분리된 영상데이터는 제3 변환수단(220)으로 전달(S230)되어 일방적으로 한쪽방향을 향해 송출되는 제3 단방향데이터로 변환(S240)된다. The image separation means 210 separates the image data from the transmitted shooting data (S220), and the separated image data is transmitted to the third conversion means 220 (S230) and is unilaterally transmitted toward one direction. It is converted to unidirectional data (S240).

여기서, 제3 변환수단(220)은 제1 및 제2 변환수단(140)과 동일한 데이터 변환 방법을 사용할 수 있는데, 이 외에 영상데이터를 실시간으로 디코딩하여 AVI 파일이나 MP4 파일 등으로 변환하거나, 보안성을 높일 수 있도록 1차로 디코딩하여 로우(Low)데이터로 변환한 후 단방향데이터, 예를 들어 시리얼(Serial)데이터 또는 패러럴(Parallel)데이터로 인코딩한 다음 2차로 디코딩함으로써 영상데이터화된 단방향데이터로 변환하도록 구성될 수도 있다. Here, the third conversion means 220 may use the same data conversion method as the first and second conversion means 140. In addition, it decodes video data in real time and converts it to an AVI file or an MP4 file, or security. To improve the performance, it is first decoded and converted into low data, then encoded into unidirectional data, for example, serial data or parallel data, and then decoded into secondary data to convert it into video data unidirectional data. It may be configured to.

그리고 제3 단방향데이터는 제어수단(100)으로 전달(S250)되는데, 마찬가지로 제어수단(100)에 전달되는 제4 단방향데이터와 함께 제어수단(100)에 별도로 연결되는 영상재생장치, 예를 들어 모니터에 전달하여 디스플레이되도록 하거나, 별도의 영상저장장치를 두어 저장되도록 구성할 수도 있다.And the third unidirectional data is transmitted to the control means 100 (S250), likewise, a video reproducing apparatus separately connected to the control means 100 together with the fourth unidirectional data transmitted to the control means 100, for example a monitor It can be configured to be delivered to the display or to be stored by placing a separate image storage device.

한편, 촬영데이터가 제2 검토수단(230)에 전달(S260)되면, 제2 검토수단(230)은 촬영데이터에 포함되어 있는 제2 제어데이터의 정상 또는 비정상 여부를 검토(S270)한다. 제2 검토수단(230)은 제1 제어데이터의 프로토콜을 비교하는 제1 검토수단(110)과 유사하게 제2 제어데이터의 프로토콜이 기설정되어 있는 프로토콜과 서로 동일한지 상이한지를 비교하여 제2 제어데이터의 정상, 비정상 여부를 판단하게 된다. 이처럼 제2 제어데이터는 제2 검토수단(230)을 통한 검토단계를 거치게 되므로 크래커(Cracker)가 미리 구성품, 즉 촬영수단(200)에 저장해놓았을지 모르는 멀웨어의 존재 여부를 확인할 수 있다.Meanwhile, when the photographing data is transmitted to the second review means 230 (S260 ), the second review means 230 examines whether the second control data included in the photographing data is normal or abnormal (S270 ). The second review means 230 compares the protocol of the first control data to the second control by comparing whether the protocols of the second control data are the same as or different from the preset protocol similar to the first review means 110 for comparing the protocol of the first control data. It determines whether the data is normal or abnormal. As described above, since the second control data undergoes a review step through the second review means 230, it is possible to check whether a cracker exists in a component, that is, malware that may have been stored in the photographing means 200 in advance.

제2 제어데이터가 정상이라면(S280), 즉 촬영수단(200)이 멀웨어를 포함하고 있지 않다고 판단되면 정상인 제2 제어데이터를 제4 변환수단(240)으로 전달(S282)하고, 이를 제4 단방향데이터로 변환(S284)하여 제어수단(100)으로 전송(S286)하게 되며, 전술한 제3 단방향데이터와 함께 디스플레이장치로 전달되어 제3 단방향데이터가 디스플레이되도록 할 수 있다.If the second control data is normal (S280), that is, if it is determined that the photographing means 200 does not contain malware, the normal second control data is transferred to the fourth conversion means 240 (S282), and this is the fourth unidirectional It is converted to data (S284) and transmitted to the control means 100 (S286), and is transmitted to the display device together with the above-described third one-way data so that the third one-way data can be displayed.

그리고, 제2 제어데이터가 비정상이라면(S280), 즉 촬영수단(200)에 멀웨어가 포함되어 있다고 판단되면 비정상인 제2 제어데이터를 제2 검출수단(250)으로 전달(S290)하여 제2 크래커데이터를 검출(S300)한다.In addition, if the second control data is abnormal (S280), that is, when it is determined that the malware is included in the photographing means 200, the abnormal second control data is transmitted to the second detection means 250 (S290), thereby causing the second cracker. Data is detected (S300).

다음, 제2 검출수단(250)으로부터 비정상인 제2 제어데이터를 전달(S310)받은 제5 변환수단(260)은 이를 제5 단방향데이터로 변환(S320)하며, 모니터링수단(300)에는 제2 크래커데이터 및 제5 단방향데이터가 전달(S330)된다. Next, the fifth conversion means 260 receiving the abnormal second control data from the second detection means 250 (S310) converts it into the fifth unidirectional data (S320), and the monitoring means 300 has a second The cracker data and the fifth unidirectional data are transmitted (S330).

모니터링수단(300)은 제2 크래커데이터에 크래커서버(20)의 아이피 주소나 도메인, URL 등과 같은 크래커서버(20)의 정보가 존재하는지 파악(S340)하고, 존재한다면 이를 이용하여 크래커서버(20)에 제5 단방향데이터를 전달(S350)하게 되며, 크래커서버(20)가 촬영수단(200)의 아이피 주소를 확인하기 위한 시스템 명령을 수행하더라도 촬영수단(200)의 아이피 주소가 아닌 모니터링수단(300)의 아이피 주소를 확인하게 되어 크래커가 탐지, 추적되고 있다는 사실을 숨길 수 있다.The monitoring means 300 determines whether information of the cracker server 20 such as the IP address, domain, URL, etc. of the cracker server 20 exists in the second cracker data (S340), and if so, uses the cracker server 20 ) To the fifth unidirectional data (S350), and even if the cracker server 20 performs a system command to check the IP address of the recording means 200, the monitoring means is not the IP address of the recording means 200 ( By checking the IP address of 300), it is possible to hide the fact that crackers are being detected and tracked.

만약, 모니터링수단(300)에 제2 단방향데이터와 제5 단방향데이터가 모두 전달되고, 제1 크래커데이터와 제2 크래커데이터 모두에 크래커서버(20)의 정보가 포함되어 있는 경우에는 서로 다른 아이피 주소로 제2 단방향데이터 및 제5 단방향데이터를 전송하게 된다. If the second unidirectional data and the fifth unidirectional data are transmitted to the monitoring means 300, and the information of the cracker server 20 is included in both the first cracker data and the second cracker data, different IP addresses are provided. Thus, the second unidirectional data and the fifth unidirectional data are transmitted.

따라서, 크래커서버(20)가 제어수단(100)과 촬영수단(200)의 아이피 주소를 확인하기 위한 시스템 명령을 수행하더라도 서로 다른 아이피 주소를 확인하게 되며, 이를 각각 제어수단(100)과 촬영수단(200)의 아이피 주소인 것으로 인지하게 된다.Therefore, even if the cracker server 20 performs a system command to check the IP address of the control means 100 and the photographing means 200, different IP addresses are checked, and the control means 100 and the photographing means are respectively used. It is recognized that it is the IP address of (200).

한편, 본 발명에 따른 허니팟이 적용된 망 분리 시스템(10)에서는 제1 검토수단(110)을 통한 제1 제어데이터의 검토 결과나 제2 검토수단(230)을 통한 제2 제어데이터의 검토 결과 비정상 또는 정상의 여부, 그리고 제1 크래커데이터나 제2 크래커데이터의 검출 여부, 크래커서버(20)의 정보 존재 여부 등을 텍스트나 이미지 등의 자막으로 삽입하여 시스템 관리자가 사용하는 영상재생장치, 예를 들어 모니터를 통해 디스플레이되도록 하여 시스템 관리자가 이를 쉽게 인지할 수 있도록 하는 별도의 자막삽입수단(미도시)을 포함하도록 구성할 수 있다.Meanwhile, in the network separation system 10 to which the honeypot according to the present invention is applied, the review result of the first control data through the first review means 110 or the review result of the second control data through the second review means 230 is abnormal Or, it is normal, and whether the first cracker data or the second cracker data is detected, the presence of information on the cracker server 20, etc. are inserted as subtitles such as text or images, such as a video playback device used by the system administrator. For example, it may be configured to include a separate caption insertion means (not shown) to be displayed through a monitor so that a system administrator can easily recognize it.

본 발명의 권리범위는 상술한 실시예에 한정되는 것이 아니라 첨부된 특허청구범위 내에서 다양한 형태의 실시예로 구현될 수 있다. 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 변형 가능한 다양한 범위까지 본 발명의 청구범위 기재의 범위 내에 있는 것으로 본다.The scope of the present invention is not limited to the above-described embodiments, but can be implemented in various forms of embodiments within the scope of the appended claims. Any person skilled in the art to which the present invention pertains without departing from the gist of the present invention as claimed in the claims is deemed to be within the scope of the claims of the present invention to a wide range that can be modified.

10: 허니팟이 적용된 망 분리 시스템 20, 20a, 20b: 크래커서버
100: 제어수단 110: 제1 검토수단
120: 제1 변환수단 130: 제1 검출수단
140: 제2 변환수단 200: 촬영수단
210: 영상분리수단 220: 제3 변환수단:
230: 제2 검토수단 240: 제4 변환수단
250: 제2 검출수단 260: 제5 변환수단
300: 모니터링수단 310: 제1 모니터링부
320: 제2 모니터링부10: honeypot applied network separation system 20, 20a, 20b: cracker server
100: control means 110: first review means
120: first conversion means 130: first detection means
140: second conversion means 200: shooting means
210: image separation means 220: third conversion means:
230: second review means 240: fourth conversion means
250: second detection means 260: fifth conversion means
300: monitoring means 310: first monitoring unit
320: second monitoring unit

Claims (5)

허니팟이 적용된 망 분리 시스템에 있어서,
제어수단;
상기 제어수단의 제어에 따라 동작하는 촬영수단;
상기 제어수단으로부터 상기 촬영수단을 제어하기 위한 제1 제어데이터를 전달받고, 상기 제1 제어데이터의 정상 또는 비정상 여부를 검토하는 제1 검토수단;
상기 제1 검토수단의 검토 결과, 정상인 제1 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제1 단방향데이터로 변환하여 상기 촬영수단에 전달하는 제1 변환수단;
상기 제1 검토수단의 검토 결과 비정상인 제1 제어데이터를 전달받고, 상기 비정상인 제1 제어데이터에 포함되어 있는 제1 크래커데이터를 검출하는 제1 검출수단;
상기 제1 검출수단으로부터 상기 비정상인 제1 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제2 단방향데이터로 변환하는 제2 변환수단; 및
상기 제1 크래커데이터 및 상기 제2 단방향데이터를 전달받아 저장하고, 상기 제1 크래커데이터에 크래커서버의 정보가 포함되어 있는 경우 상기 크래커서버로 상기 제2 단방향데이터를 전송하는 모니터링수단;
을 포함하는 허니팟이 적용된 망 분리 시스템.In the honeypot applied network separation system,
Control means;
Photographing means operating under the control of the control means;
First review means for receiving first control data for controlling the photographing means from the control means, and examining whether the first control data is normal or abnormal;
As a result of the review of the first review means, first conversion means for receiving normal first control data and converting it into first unidirectional data that is unilaterally transmitted toward one direction and transmits it to the photographing means;
First detection means for receiving abnormal first control data as a result of the review of the first review means, and detecting first cracker data included in the abnormal first control data;
Second conversion means for receiving the abnormal first control data from the first detection means and converting it into second unidirectional data unilaterally transmitted toward one direction; And
Monitoring means for receiving and storing the first cracker data and the second unidirectional data, and transmitting the second unidirectional data to the cracker server when the first cracker data includes cracker server information;
Network separation system to which the honeypot is applied. 제1항에 있어서,
상기 촬영수단에 의해 촬영된 촬영데이터에서 영상데이터를 분리해내는 영상분리수단;
상기 영상분리수단으로부터 상기 영상데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제3 단방향데이터로 변환하여 상기 제어수단으로 전달하는 제3 변환수단;
상기 촬영수단 또는 상기 영상분리수단으로부터 상기 촬영데이터를 전달받고, 상기 촬영데이터에 포함되어 있는 제2 제어데이터의 정상 또는 비정상 여부를 검토하는 제2 검토수단;
상기 제2 검토수단의 검토 결과, 정상인 제2 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제4 단방향데이터로 변환하여 상기 제어수단으로 전달하는 제4 변환수단;
상기 제2 검토수단의 검토 결과 비정상인 제2 제어데이터를 전달받고, 상기 비정상인 제2 제어데이터에 포함되어 있는 제2 크래커데이터를 검출하는 제2 검출수단; 및
상기 제2 검출수단으로부터 상기 비정상인 제2 제어데이터를 전달받아 일방적으로 한쪽방향을 향해 송출되는 제5 단방향데이터로 변환하는 제5 변환수단; 을 더 포함하고,
상기 모니터링수단은,
상기 제2 크래커데이터 및 상기 제5 단방향데이터를 전달받아 저장하고, 상기 제2 크래커데이터에 상기 크래커서버의 정보가 포함되어 있는 경우 상기 크래커서버로 상기 제5 단방향데이터를 전송하는 것을 특징으로 하는 허니팟이 적용된 망 분리 시스템.According to claim 1,
Image separating means for separating image data from the photographing data photographed by the photographing means;
Third conversion means for receiving the image data from the image separation means and converting it into third unidirectional data that is unilaterally transmitted toward one direction and transmitting it to the control means;
Second review means for receiving the photographing data from the photographing means or the image separating means, and examining whether the second control data included in the photographing data is normal or abnormal;
As a result of the review of the second review means, fourth conversion means that receives normal second control data and converts it into fourth unidirectional data that is unilaterally transmitted toward one direction and transmits the result to the control means;
Second detection means for receiving abnormal second control data as a result of review of the second review means, and detecting second cracker data included in the abnormal second control data; And
Fifth conversion means for receiving the abnormal second control data from the second detection means and converting it into fifth unidirectional data unilaterally transmitted toward one direction; Further comprising,
The monitoring means,
A honeypot characterized by receiving and storing the second cracker data and the fifth unidirectional data, and transmitting the fifth unidirectional data to the cracker server when the second cracker data includes information of the cracker server. Network separation system applied. 제2항에 있어서,
상기 크래커서버의 정보는,
상기 크래커서버 또는 상기 크래커서버에 저장되어 있는 데이터의 주소 정보인 것을 특징으로 하는 허니팟이 적용된 망 분리 시스템.According to claim 2,
The information of the cracker server,
A network separation system to which a honeypot is applied, characterized in that it is address information of data stored in the cracker server or the cracker server. 제3항에 있어서,
상기 모니터링수단은,
상기 제2 변환수단과 연결되어 상기 제1 크래커데이터 및 상기 제2 단방향데이터를 전달받아 저장하고, 상기 제1 크래커데이터에 상기 크래커서버의 정보가 포함되어 있는 경우 상기 크래커서버로 상기 제2 단방향데이터를 전송하는 제1 모니터링부; 및
상기 제5 변환수단과 연결되어 상기 제2 크래커데이터 및 상기 제5 단방향데이터를 전달받아 저장하고, 상기 제2 크래커데이터에 상기 크래커서버의 정보가 포함되어 있는 경우 상기 크래커서버로 상기 제5 단방향데이터를 전송하는 제2 모니터링부;
를 포함하는 것을 특징으로 하는 허니팟이 적용된 망 분리 시스템.According to claim 3,
The monitoring means,
It is connected to the second conversion means to receive and store the first cracker data and the second unidirectional data, and when the first cracker data includes information of the cracker server, the second unidirectional data to the cracker server A first monitoring unit for transmitting; And
It is connected to the fifth conversion means to receive and store the second cracker data and the fifth unidirectional data, and when the second cracker data includes information of the cracker server, the fifth unidirectional data to the cracker server A second monitoring unit for transmitting;
Network separation system is applied to the honeypot, characterized in that it comprises a. 제1항 내지 제4항 중 어느 한 항에 있어서,
상기 제1 검토수단은,
상기 제1 제어데이터의 프로토콜이 기설정되어 있는 프로토콜과 서로 상이한 경우 상기 제1 제어데이터를 비정상으로 판단하고,
상기 제2 검토수단은,
상기 제2 제어데이터의 프로토콜이 기설정되어 있는 프로토콜과 서로 상이한 경우 상기 제2 제어데이터를 비정상으로 판단하는 것을 특징으로 하는 허니팟이 적용된 망 분리 시스템.The method according to any one of claims 1 to 4,
The first review means,
When the protocol of the first control data is different from the preset protocol, the first control data is determined as abnormal,
The second review means,
When the protocol of the second control data is different from the preset protocol, the honeypot applied network separation system is characterized in that the second control data is judged as abnormal.
KR1020180162322A 2018-12-14 2018-12-14 Separating network system with honeypot KR102210051B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180162322A KR102210051B1 (en) 2018-12-14 2018-12-14 Separating network system with honeypot

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180162322A KR102210051B1 (en) 2018-12-14 2018-12-14 Separating network system with honeypot

Publications (2)

Publication Number Publication Date
KR20200073772A true KR20200073772A (en) 2020-06-24
KR102210051B1 KR102210051B1 (en) 2021-02-01

Family

ID=71408052

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180162322A KR102210051B1 (en) 2018-12-14 2018-12-14 Separating network system with honeypot

Country Status (1)

Country Link
KR (1) KR102210051B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100926456B1 (en) 2008-04-04 2009-11-13 숭실대학교산학협력단 Apparatus and method for intrusion detection using client terminal, system and method for network security of the same
KR20170048785A (en) * 2015-10-27 2017-05-10 제노테크주식회사 Honypot security system based on cloud computing and method therof
KR20180010600A (en) * 2016-07-21 2018-01-31 지엘디앤아이에프 주식회사 System for separating network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100926456B1 (en) 2008-04-04 2009-11-13 숭실대학교산학협력단 Apparatus and method for intrusion detection using client terminal, system and method for network security of the same
KR20170048785A (en) * 2015-10-27 2017-05-10 제노테크주식회사 Honypot security system based on cloud computing and method therof
KR20180010600A (en) * 2016-07-21 2018-01-31 지엘디앤아이에프 주식회사 System for separating network

Also Published As

Publication number Publication date
KR102210051B1 (en) 2021-02-01

Similar Documents

Publication Publication Date Title
US9319382B2 (en) System, apparatus, and method for protecting a network using internet protocol reputation information
KR101369727B1 (en) Apparatus and method for controlling traffic based on captcha
US8245297B2 (en) Computer security event management system
US7698444B2 (en) Systems and methods for distributed network protection
JP6768951B2 (en) Network separator and video surveillance system equipped with this
JP2007189725A (en) Communication method, communication network intrusion protection methods, and intrusion attempt detection system
Choo Zombies and botnets
KR101857716B1 (en) Network Separation Device and Video Surveillance System Employing the Same
US8341735B2 (en) Method and arrangement for automatically controlling access between a computer and a communication network
CN112154635A (en) Attack source tracing in SFC overlay networks
CN114006722B (en) Situation awareness verification method, device and system for detecting threat
Dakhane et al. Active warden for TCP sequence number base covert channel
KR102210051B1 (en) Separating network system with honeypot
KR102126626B1 (en) Separating network system with honeypot
KR102176961B1 (en) Separating network system with honeypot
Doughty et al. Vulnerability analysis of ip cameras using arp poisoning
WO2001093531A2 (en) Systems and methods for distributed network protection
CN114666419A (en) Data transmission method, device, terminal equipment and storage medium
US20220103582A1 (en) System and method for cybersecurity
KR101216005B1 (en) System for protecting SIP internet phone attack under encrypted signal circumstance
KR102173661B1 (en) Video management system
CN113206852A (en) Safety protection method, device, equipment and storage medium
CN114697059A (en) Protection system and method for video signaling attack
JP2008165601A (en) Communication monitoring system, communication monitoring device and communication control device
KR101857708B1 (en) Network Separation Device and Video Surveillance System Employing the Same

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant