KR20200108742A - Apparatus and method for security control in IoT infrastructure environment - Google Patents

Apparatus and method for security control in IoT infrastructure environment Download PDF

Info

Publication number
KR20200108742A
KR20200108742A KR1020190027801A KR20190027801A KR20200108742A KR 20200108742 A KR20200108742 A KR 20200108742A KR 1020190027801 A KR1020190027801 A KR 1020190027801A KR 20190027801 A KR20190027801 A KR 20190027801A KR 20200108742 A KR20200108742 A KR 20200108742A
Authority
KR
South Korea
Prior art keywords
security
end device
devices
security threat
blocking
Prior art date
Application number
KR1020190027801A
Other languages
Korean (ko)
Other versions
KR102559568B1 (en
Inventor
임재덕
김경태
김정녀
손선경
이윤경
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020190027801A priority Critical patent/KR102559568B1/en
Priority to US16/813,986 priority patent/US20200296119A1/en
Publication of KR20200108742A publication Critical patent/KR20200108742A/en
Application granted granted Critical
Publication of KR102559568B1 publication Critical patent/KR102559568B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

The present invention proposes a security control technique including a network access blocking function for preventing the spread of security threats from devices in an Internet of things (IoT) infrastructure environment to an IoT infrastructure and a network access blocking release function for minimizing service delay due to network access blocking. The present invention provides an apparatus and a method for collectively blocking network access to an end device in which a security threat has occurred and/or a group of end devices having the same or similar properties in order to prevent the spread of security threats and to block security threats in early stage when security threats such as DDoS attack and malicious code spread are detected, but canceling network access blocking by checking the security status of devices belonging to the blocked group in a certain order to minimize service delay due to the blocked devices.

Description

사물인터넷 인프라 환경에서의 보안통제 장치 및 방법 {Apparatus and method for security control in IoT infrastructure environment}Security control device and method in IoT infrastructure environment {Apparatus and method for security control in IoT infrastructure environment}

본 발명은 사물인터넷 인프라에서 DDoS 공격 및 악성코드 전파 등의 보안위협 확산을 방지하고 보안위협의 조기 차단을 위한 보안통제에 관한 것으로, 보다 구체적으로는, 사물인터넷 인프라 환경에서의 보안위협 확산 방지를 위한 네트워크 접속 차단 기능 및 이로 인한 서비스 지연을 최소화하기 위한 네트워크 접속차단 해제 기능이 포함된 보안통제 장치 및 방법에 관한 것이다. The present invention relates to security control for preventing the spread of security threats such as DDoS attacks and malicious code spread in IoT infrastructure and for early blocking of security threats, and more specifically, preventing the spread of security threats in the IoT infrastructure environment. The present invention relates to a security control apparatus and method including a network access blocking function and a network access blocking canceling function for minimizing a service delay due to this.

네트워크 침해 확산 방지를 위한 기존 기술로 네트워크 세그먼테이션 기술이 있다. 이 기술의 기본 개념은 관리할 영역을 네트워크 플로우 단위(예: 서비스 등)로 나누어 분리된 네트워크 플로우 영역 간의 접근 제어 정책을 통해 네트워크 플로우 간 불법적 접근을 통제하는 기술이다. Network segmentation technology is an existing technology to prevent the spread of network infringement. The basic concept of this technology is to control illegal access between network flows through an access control policy between separated network flow areas by dividing the area to be managed into network flow units (eg, service, etc.).

그러나 이 기술은 사전에 분리된 영역의 네트워크 플로우 사이로의 접근 정책을 위반한 불법 접근에 대한 차단은 가능하지만 워크플로우 영역 내에 연결되어 있는 다수의 클라이언트와 서비스 서버 사이의 연결에서 이루어지는 확산은 막지 못한다. 즉 네트워크 플로우 영역 내에 보안위협이 발생할 경우 네트워크 플로우 영역 내에서의 보안위협 확산은 차단할 수 없으며, 접근제어 정책에 의해 접근이 가능하도록 설정된 네트워크 플로우 영역으로의 보안위협 확산도 방지할 수 없다.However, this technology can block illegal access that violates the access policy between network flows in separate areas in advance, but does not prevent the spread that occurs in the connection between multiple clients and service servers connected in the workflow area. That is, when a security threat occurs in the network flow area, the spread of the security threat in the network flow area cannot be blocked, and the spread of the security threat to the network flow area set to be accessible by the access control policy cannot be prevented.

더구나 네트워크 세그먼테이션은 기본적으로 데이터 센터, 즉 서버군들이 운영되는 클라우드 내에서 클라이언트와 서버 간 연결 환경의 노스-사우스 트래픽을 대상으로 하기보다는, 서버 간 연결 환경의 이스트-웨스트 트래픽을 대상으로 적용되고 있어, 본 발명의 대상 분야인 기기-게이트웨이-서버 구조의 사물인터넷 인프라에서의 보안위협 확산 방지에는 한계가 있다.Moreover, network segmentation is basically applied to east-west traffic in a server-to-server connection environment rather than targeting north-south traffic in a connection environment between clients and servers in the data center, that is, in the cloud where server groups are operated. , There is a limit to preventing the spread of security threats in the IoT infrastructure of the device-gateway-server structure, which is the subject field of the present invention.

또한 사물인터넷의 경우 서비스가 지속적으로 제공되어야 하므로 보안위협 처리를 위해 네트워크 접속 차단이 수행되었더라도 신속한 서비스 재개를 통해 서비스 지연을 최소화하는 한도에서의 네트워크 접속차단 해제 기능도 함께 제공되어야 한다.In addition, in the case of IoT, services must be continuously provided, so even if network access is blocked to deal with security threats, a network access blocking release function must also be provided to the limit of minimizing service delay through rapid service resumption.

본 발명은 기기-게이트웨이-서버 구조의 사물인터넷 인프라 환경에서 기기에서 발생된 보안위협이 사물인터넷 인프라로 확산되는 것을 방지하는 네트워크 접속 차단 기능 및 네트워크 접속 차단에 의한 서비스 지연을 최소화하는 네트워크 접속차단 해제 기능이 포함된 보안통제 기술을 제안한다.The present invention provides a network access blocking function that prevents security threats from spreading to the IoT infrastructure in an IoT infrastructure environment of a device-gateway-server structure, and a network access blocking release that minimizes service delay due to network access blocking. We propose a security control technology that includes functions.

본 발명은 서비스 서버, 사물인터넷 게이트웨이, 사물인터넷 엔드기기('기기'와 혼용함)들로 구성된 사물인터넷 인프라에서, DDoS 공격 및 악성코드 전파 등의 보안위협이 탐지되었을 때 보안위협 확산을 방지하고 보안위협의 조기 차단을 위해, 보안위협이 발생한 엔드기기 및/또는 이와 동일 혹은 유사한 속성을 가진 엔드기기 그룹에 대해 네트워크 접속을 일괄 차단하되, 차단된 기기들로 인한 서비스 지연을 최소화하기 위해 접속 차단된 그룹에 속한 기기들의 보안상태를 일정한 순서로 점검하여 네트워크 접속 차단을 해제하는 장치 및 방법을 제공한다.The present invention prevents the spread of security threats when a security threat such as DDoS attack and malicious code spread is detected in an IoT infrastructure consisting of a service server, an IoT gateway, and an IoT end device (mixed with'device'). To prevent security threats early, block network access to end devices where security threats occur and/or groups of end devices having the same or similar properties, but block access to minimize service delays caused by blocked devices. Provides an apparatus and method for canceling network access blocking by checking the security status of devices belonging to the group in a certain order.

본 발명은 다양한 통신 수단을 이용하여 연결된 사물인터넷의 초연결 특성으로 인해 DDoS 혹은 악성코드 등의 공격이 빠르게 확산되어 사물인터넷 서비스 전체로 피해가 확대되는 상황을 방지함과 동시에 이에 따른 서비스 지연을 최소화하기 위한 사물인터넷 인프라 환경에서의 보안통제 장치 및 방법을 제공한다.The present invention prevents a situation in which an attack such as DDoS or malicious code spreads rapidly due to the hyper-connectivity of the IoT connected using various communication means, thereby preventing the damage to the entire IoT service from spreading and minimizing the service delay. It provides a security control device and method in the IoT infrastructure environment for the purpose.

보안위협이 발생한 기기 및/또는 동일성있는 기기 그룹에 대해 일괄적으로 네트워크 접속 차단을 수행함으로써 보안 분석이 진행되지 않았거나 보안위협 탐지가 되지 않은 기기에 대해서도 탐지된 보안위협을 사전 차단하여 사물인터넷 인프라 전체로 해당 보안위협이 전파되어 피해가 확산되는 것을 방지한다. 그룹 단위로 기기의 네트워크 접속을 차단하기 위해서, 사물인터넷 서비스를 제공하는 기기들에 대해 물리적으로 동일성있는 제품(예: CCTV, 검침기, 도어락 등), 동일성있는 서비스 제공, 동일성있는 운영환경(예: OS 및 버전 등) 등으로 사전에 동일 혹은 유사 속성에 따라 그룹으로 설정해 놓는다. Internet of Things infrastructure by pre-blocking detected security threats even for devices that have not been subjected to security analysis or have not been detected by security threats by collectively blocking network access to devices and/or groups of identical devices Prevents the spread of the security threat as a whole and the spread of damage. In order to block network access of devices by group, products that are physically identical to devices that provide IoT service (eg CCTV, meter reader, door lock, etc.), provide identical services, and identical operating environment (eg: OS and version, etc.).

또한 네트워크 접속 차단 과정에서 보안위협이 발생하지 않은 기기에 대한 네트워크 접속 차단으로 인해 발생할 수 있는 서비스 지연을 최소화하기 위해 기기 그룹 단위로 적용되는 네트워크 접속 차단 과정과 별도로 기기 단위의 네트워크 접속차단 해제 기능도 포함된다. 네트워크 접속차단 해제의 대상 기기를 결정하는 방식으로는 1) 서비스 제공이 우선인 경우와 2) 보안위협 관리가 우선인 경우가 제공되며, 이들 방식은 사물인터넷 서비스 운영 사이트에서 서비스 특성에 맞게 선택 적용할 수 있다.In addition, in order to minimize service delays that may occur due to network access blocking for devices that do not have security threats during the network access blocking process, a separate network access blocking process for each device and a separate network access blocking function for each device is also provided. Included. As methods for determining the target device for network access cancellation, 1) service provision is given priority and 2) security threat management is given priority, and these methods are selected and applied according to service characteristics at the IoT service operating site. can do.

본 발명은 발견된 보안위협의 확산을 방지하기 위하여 보안위협이 발생된 기기를 포함하는 기기그룹 단위로 네트워크 접속을 차단함과 함께, 차단된 그룹에 속하는 기기들의 보안상태 점검을 통하여 기기 단위로 접속 차단을 해제하여 서비스 지연을 최소화한다. 이로써 사용자 개입이 최소화되는 자율적인 사물인터넷 인프라 환경에서의 보안 통제가 가능해진다.In order to prevent the spread of the discovered security threats, the present invention blocks network access in units of device groups including devices in which security threats have occurred, and accesses in units of devices through security status checks of devices belonging to the blocked groups. Service delay is minimized by canceling the blocking. This enables security control in an autonomous IoT infrastructure environment where user intervention is minimized.

이상에서 소개한 본 발명의 구성 및 작용은 이후에 도면과 함께 설명하는 구체적인 실시예를 통하여 더욱 명확해질 것이다. The configuration and operation of the present invention introduced above will become more apparent through specific embodiments described with reference to the drawings.

본 발명의 보안통제 장치 및 방법의 네트워크 접속 차단 기능은 보안위협이 발생한 기기에 대한 네트워크 접속 차단 뿐만 아니라 동일 보안위협이 발생할 가능성이 높은 기기들에 대해서까지 사전에 일괄 차단함으로써 보안위협을 발견하지 못한 기기로부터의 보안위협 확산을 조기에 차단할 수 있어, DDoS 공격 및 전파력이 강한 악성코드 감염 등으로부터 야기될 수 있는 사물인터넷 인프라 및 서비스의 피해 확산을 사전에 방지할 수 있다. 동시에, 본 발명의 보안통제 장치 및 방법의 네트워크 접속차단 해제 기능은 기기에 대한 네트워크 접속 차단으로 인해 발생하는 서비스 지연을 최소화할 수 있다. 유사 속성을 가지는 기기 그룹 단위로 네트워크 접속 차단이 적용됨으로써 보안위협이 없는 정상 기기까지 네트워크 접속이 차단될 수 있으므로, 네트워크 접속 차단된 기기에 대한 지속적 보안상태 점검을 통한 네트워크 접속차단 해제 기능을 수행한다.The network access blocking function of the security control device and method of the present invention not only blocks network access to devices in which security threats occur, but also blocks devices with high probability of occurrence of the same security threat in advance. Since the spread of security threats from devices can be prevented in advance, the spread of damage to IoT infrastructure and services that can be caused by DDoS attacks and malicious code infection with strong spreading power can be prevented in advance. At the same time, the network access blocking release function of the security control apparatus and method of the present invention can minimize service delay caused by blocking network access to the device. As network access blocking is applied in units of device groups with similar properties, network access to normal devices without security threats can be blocked, so the network access blocking release function is performed by continuously checking the security status of devices blocked from network access. .

이와 같이 관리자의 개입없이 사물인터넷 인프라에 대한 보안위협 확산을 조기에 차단하면서도 서비스 지연을 최소화할 수 있다.As such, service delay can be minimized while preventing the spread of security threats to the IoT infrastructure early without the intervention of the administrator.

IT 시장조사업체 가트너는 사물인터넷 관련 연결 기기의 수를 2015년 50억 개에서 2020년까지 250억 개에 이를 것으로 예측하였으며, 사물인터넷의 영향을 받는 각종 전자기기 및 사물들의 개수도 증가해 2014년 100억 개의 사물에서 2020년까지 300억 개의 사물들이 인터넷과 연결돼 사용될 것으로 전망하였다. 영국의 마키나 리서치는 세계 사물인터넷 시장이 2022년까지 연평균 218% 성장률을 보이며 1조 2000억 달러 규모까지 성장할 것이라고 전망하고 있다. 사물인터넷 규모가 커짐에 따라 이에 따른 보안 사고에 의한 피해도 증가할 것으로 전망되는데, 해킹 등에 의한 사물인터넷 보안 피해규모는 2015년 134조에서 2030년에는 267조 원까지 증가할 것으로 전망되고 있어(KIET, 2014), 보안 기술의 요구가 증가하여 관련 시장은 확대될 것으로 전망된다. IT market research firm Gartner predicts that the number of IoT-related connected devices will reach 25 billion by 2020 from 5 billion in 2015, and the number of various electronic devices and objects affected by the IoT also increased in 2014. It is expected that from 10 billion objects to 30 billion objects will be connected to the Internet and used by 2020. UK's Makina Research predicts that the global IoT market will grow at an annual average of 218% by 2022, reaching $1.2 trillion. As the scale of the IoT increases, the damage caused by security incidents is expected to increase.The scale of damage to the IoT security caused by hacking is expected to increase from 134 trillion won in 2015 to 267 trillion won in 2030 (KIET , 2014), the related market is expected to expand as the demand for security technology increases.

사물인터넷 기반 대규모 서비스는 전력/가스/수도 등의 스마트 원격검침서비스, 스마트헬스 케어 서비스 등 구체적인 특정 서비스로 확산 추세이며, 해당 서비스는 특히 공공성이 크고, 개인 신상에 대한 민감성 때문에 보안위협에 의한 피해는 경제적으로나 사회적으로 파장이 클 것으로 전망됨에 따라 이를 해결할 보안 기술의 요구가 증가하여 관련 시장이 빠르게 확대될 것이다.IoT-based large-scale services are spreading to specific specific services such as smart remote meter reading services such as power/gas/water and smart health care services, and these services are particularly public and are damaged by security threats because of their sensitivity to personal information. As the economic and social impact is expected to increase, the demand for security technology to solve this problem will increase, and the related market will expand rapidly.

도 1 사물인터넷 인프라 접속 차단 및 차단해제 방법을 위한 구성도
도 2 사물인터넷 인프라에서의 네트워크 접속 차단 절차 순서도
도 3 네트워크 접속차단 해제 정책에 따른 해제 기기 결정 우선순위 설명도
도4 사물인터넷 인프라에서의 네트워크 접속차단 해제 절차 순서도Figure 1 Configuration diagram for a method of blocking and unblocking access to IoT infrastructure
Figure 2 Flowchart of network access blocking procedure in IoT infrastructure
3 Explanatory diagram of the priority of determining a cancellation device according to a network access blocking cancellation policy
Fig. 4 Flow chart of network access blocking cancellation procedure in IoT infrastructure

본 발명의 이점 및 특징, 그리고 이들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 기술되어 있는 실시예를 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예는 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 기재에 의해 정의된다. Advantages and features of the present invention, and a method of achieving them will become apparent with reference to the embodiments described in detail together with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but will be implemented in various forms different from each other, only this embodiment makes the disclosure of the present invention complete, and those skilled in the art to which the present invention pertains. It is provided to fully inform the scope of the invention to the person, and the invention is defined by the description of the claims.

한편, 본 명세서에서 사용된 용어는 실시예를 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 또는 "포함하는(comprising)"은 언급된 구성요소, 단계, 동작 및/또는 소자 이외의 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.On the other hand, terms used in the present specification are for explaining examples and are not intended to limit the present invention. In this specification, the singular form also includes the plural form unless specifically stated in the phrase. As used herein, "comprises" or "comprising" refers to the presence of one or more other components, steps, actions and/or elements other than the recited elements, steps, actions and/or elements, or Does not rule out addition.

이하, 본 발명의 바람직한 실시예를 첨부 도면을 참조하여 상세히 설명한다. 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가급적 동일한 부호를 부여하고 또한 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있는 경우에는 그 상세한 설명을 생략한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. In adding reference numerals to elements of each drawing, even though they are indicated on different drawings, the same elements are assigned the same reference numerals as much as possible, and in describing the present invention, a detailed description of related known configurations or functions If the gist of the present invention may be obscured, a detailed description thereof will be omitted.

도 1은 본 발명의 보안통제 장치의 한 실시형태의 구성도이다.1 is a configuration diagram of an embodiment of a security control device of the present invention.

도 1을 참조하면, 본 발명은, 네트워크 접속 차단 및 차단해제의 대상인 엔드기기(30)의 네트워크 접속 차단 및 차단해제 명령을 생성하는 보안통제서버(10)와, 보안통제서버(10)로부터 상기 네트워크 접속 차단 및 차단해제 명령을 받아 통제 대상 엔드기기(들)(30)의 네트워크 접속 차단 및 차단해제를 집행하는 게이트웨이(20)를 포함한다.Referring to FIG. 1, the present invention provides a security control server 10 for generating a command to block and release network access of an end device 30, which is a target of blocking and unblocking network access, and the security control server 10 It includes a gateway 20 for blocking and releasing network access of the control target end device(s) 30 by receiving a network connection blocking and blocking cancellation command.

보안통제서버(10)는 사물인터넷 서비스에 대한 다양한 정책 등을 관리하는 관리서버에 위치할 수 있다. 게이트웨이(20)는 사물인터넷 서비스를 위해 실제 필드에 설치 및 운영되는 엔드기기(30)에 대한 네트워크 접속을 관리하는 장치로 사물인터넷 서비스에 따라 다양한 규모로 구성된다. 엔드기기(30)는 사물인터넷 서비스를 위해 주로 정보 수집, 서비스 제어 등을 수행하는 센서 및 액츄에이터 등으로 이루어진다.The security control server 10 may be located on a management server that manages various policies for IoT services. The gateway 20 is a device that manages network access to an end device 30 installed and operated in an actual field for IoT service, and is configured in various sizes according to the IoT service. The end device 30 is mainly composed of sensors and actuators that collect information and control services for IoT services.

본 발명에 따른 보안통제서버(10), 게이트웨이(20), 엔드기기(30)의 주요 기능 모듈에 대해서 설명하면 다음과 같다. The main functional modules of the security control server 10, the gateway 20, and the end device 30 according to the present invention will be described as follows.

도 1에서와 같이 보안통제서버(10)는 접속차단모듈(11)과 접속차단해제모듈(12)로 구성된다. 접속차단모듈(11)은 사물인터넷 인프라 내에서 보안위협이 탐지되었을 경우 탐지된 보안위협 수준에 따라 보안위협이 발생한 기기만 차단할지, 보안위협이 발생한 기기를 포함한 동일 혹은 유사 군의(동일성있는) 기기 그룹을 일괄로 차단할지 결정하고, 결정된 기기 혹은 기기 그룹에 대한 네트워크 접속 차단 명령을 기기(30)가 연결된 게이트웨이(20)에 요청한다. 여기서 차단 대상 기기의 그룹핑은 물리적으로 동일성있는 기기들(예: CCTV, 검침기, 도어락 등), 동일성있는 서비스 제공 기기들, 및/또는 동일성있는 운영환경(예: OS 및 버전 등)을 갖는 기기들 등으로 범주화될 수 있는데, 본 발명에서는 그 방법에 제한을 두지 않는다. 또한, 탐지된 보안위협이 전파력이 높은 DDoS(서비스 거부 공격)나 확산이 빠른 악성 코드로 판별될 경우에는 이러한 확산 혹은 전파 방법에 따라 네트워크 접속 차단을 수행할 그룹을 결정한다. 예를 들어, CCTV에 주로 전파되는 악성 코드가 탐지된 경우, 보안위협이 발생된 CCTV 제품 혹은 CCTV 제품 그룹을 네트워크 접속 차단할 기기 그룹으로 결정한다. 이렇게 함으로써 보안위협 탐지가 되지 않았더라도 탐지된 보안위협이 해당 제품에 확산되었을 가능성이 높으므로 사전 차단이 가능하다. As shown in FIG. 1, the security control server 10 is composed of a connection blocking module 11 and a connection blocking release module 12. When a security threat is detected in the IoT infrastructure, the access blocking module 11 will block only the devices with the security threat according to the level of the detected security threat, or the same or similar group (identical) including the devices with the security threat. It is determined whether to block the device group collectively, and requests the gateway 20 to which the device 30 is connected to a network access blocking command for the determined device or device group. Here, the grouping of devices to be blocked is physically identical devices (eg, CCTV, meter reader, door lock, etc.), devices that provide the same service, and/or devices having the same operating environment (eg, OS and version, etc.) It can be categorized as, but the present invention is not limited to the method. In addition, when the detected security threat is determined to be a DDoS (denial of service attack) with high propagation power or a malicious code that spreads rapidly, a group to block network access is determined according to the spread or propagation method. For example, when a malicious code mainly propagating to CCTV is detected, the CCTV product or CCTV product group in which the security threat has occurred is determined as a device group to block network access. By doing this, even if a security threat has not been detected, it is highly likely that the detected security threat has spread to the product, so it is possible to block it in advance.

보안통제서버(10)의 접속차단해제모듈(12)은, 그룹 단위로 기기의 네트워크 접속을 차단하게 되면 이에 따라 정상적인 기기에 대해서도 접속이 차단될 수 있으므로, 서비스 지연을 최소화하기 위하여 정상 기기에 대해서는 신속히 접속차단을 해제하기 위한 것이다. 이 때에는, 앞서서 보안위협이 탐지되지 않았지만 기기점검 과정에서 보안위협을 탐지할 수도 있으므로, 이 때 보안위협 탐지가 된 기기에 대해서는 복구를 통해 보안위협을 제거하는 기능이 제공될 수 있다. 더불어, 보안위협이 탐지된 기기에서의 보안위협 발생 이력(횟수 등)을 관리하여 네트워크 접속차단 해제 과정에서 보안상태 점검이 수행될 때 차단해제할 기기의 결정에 참고가 될 수 있도록 한다(차후의 엔드기기(30)에 대한 설명 참조)The connection blocking release module 12 of the security control server 10 may block access to a normal device accordingly if the network access of the device is blocked in groups. Therefore, in order to minimize service delay, the normal device This is to quickly release the connection block. At this time, since a security threat has not been detected previously, but a security threat may be detected during the device inspection process, at this time, a function of removing the security threat through recovery may be provided for the device in which the security threat has been detected. In addition, it manages the history (number of times, etc.) of security threat occurrences in the device where the security threat is detected so that it can be used as a reference for the decision of the device to be unblocked when the security status check is performed during the network access block release process (in the future. See the description of the end device (30))

게이트웨이(20)의 보안통제 집행모듈(21)은 보안통제서버(10)로부터 전달받은 네트워크 접속 차단 또는 차단해제 명령에 따라 기기의 네트워크 접속을 차단하거나 차단해제하는 기능을 한다. 기기의 네트워크 접속 차단 및 차단해제에 대한 구체적 방법에 대해서는 별도의 설명이 필요하지 않을 것이다(예를 들어, 리눅스의 경우에는 Iptables 방화벽 기능을 이용하여 수행할 수 있을 것이다).The security control execution module 21 of the gateway 20 blocks or releases the network access of the device according to the network access blocking or disconnection command received from the security control server 10. No separate explanation is required for the specific method of blocking and unblocking the device's network access (for example, in the case of Linux, it may be performed using the Iptables firewall function).

엔드기기(30)는 보안상태 점검 및 복구 모듈(31)을 통해 기기 보안상태 점검 기능을 수행한다. 기기 보안상태 점검은 기기내 부팅 이미지, 실행 오브젝트, 및 설정 파일에 대한 무결성 값의 측정 등으로 이루어질 수 있다. 무결성 값 측정의 경우 최초로 설치 및 운영되는 환경에서 비정상적인 바이너리(악성코드 등) 설치 및 설정 변경 등의 비정상적 행위를 확인할 수 있다. 무결성 측정 과정에서 기기에 이상이 있다고 판단될 경우, 즉, 최초로 설치 및 운영된 환경에 대한 무결성 값과 점검시 측정한 무결성 값이 다를 경우 이상이 있다고 판단하고 해당 기기에 대한 SW 이미지 업데이트 등의 방법을 통해 기기를 정상 상태로 복구한다.The end device 30 performs a device security status check function through the security status check and recovery module 31. The device security status check may be performed by measuring an integrity value for an in-device boot image, an execution object, and a configuration file. In the case of measuring the integrity value, abnormal behavior such as installation of abnormal binaries (malware, etc.) and change of settings can be checked in the environment in which it is first installed and operated. If it is determined that there is an abnormality in the device during the integrity measurement process, that is, if the integrity value for the first installed and operated environment and the integrity value measured at the time of inspection are different, it is determined that there is an abnormality and a method such as updating the SW image for the device. To restore the device to its normal state.

도 2는 도 1의 장치가 엔드기기의 네트워크 접속 차단을 수행하는 동작 절차를 나타낸 흐름도이다.FIG. 2 is a flowchart illustrating an operation procedure for the device of FIG. 1 to block network access of an end device.

101: 보안통제서버(10)는 보안위협을 탐지한다. 보안위협 탐지는 다양한 보안위협 탐지 방법을 이용하여 탐지하며 본 발명에서는 탐지 방법에 제한을 두지 않는다. 101: The security control server 10 detects a security threat. Security threat detection is performed using various security threat detection methods, and the detection method is not limited in the present invention.

103: 보안위협이 탐지된 기기에 대해 보안위협이 발생하였다는 이력을 추가한다. 예를 들어 보안위협 발생 횟수 등을 누적한다. 보안위협 발생 이력 정보는 기기에 대한 네트워크 접속차단 해제시 해제 기기 결정 순서에 사용된다. 103: Adds the history that a security threat has occurred for a device in which a security threat has been detected. For example, it accumulates the number of security threats. The security threat occurrence history information is used in the order of determining the release device when the network access block for the device is released.

105: 탐지된 보안위협이 관리자에 의해 설정된 기준 횟수를 초과하여 중복 발생하였는지 확인한다. 여기서 기준 횟수는 엔드기기를 그룹 단위로 차단할 기준치를 의미한다. 이 중복 발생 횟수는 관리하는 서비스 영역 내에서 다수의 기기를 대상으로 한다. 기준 횟수를 초과하여 발생하였다는 것은 보안위협이 다수의 기기로 전파되었다는 것을 의미하며, 발생된 기기뿐만 아니라 전파된 기기와 동일한 혹은 유사한 기기에 대해 사전 차단이 필요함을 의미한다. 기기그룹을 정의하는 방법은 동일한 모델, 동일한 운영체제 및 버전 사용, 동일한 서비스 제공 등 여러 방식으로 정의할 수 있으며 그 방식에 제한을 두지 않는다. 105: Check whether or not the detected security threats have been duplicated by exceeding the reference number set by the administrator. Here, the reference number refers to a reference value to block end devices in groups. The number of duplicate occurrences targets a number of devices within a managed service area. If the number of occurrences exceeds the reference number, it means that the security threat has spread to a number of devices, and it is necessary to pre-block not only the device that has been generated, but also devices that are the same or similar to the transmitted device. The method of defining a device group can be defined in several ways, such as using the same model, the same operating system and version, and providing the same service, and the method is not limited.

107: 그룹으로 차단할 기준치를 초과하지 않았을 경우, 해당 기기(보안위협이 발생된 기기)를 차단하는 정책을 해당 기기가 연결된 게이트웨이(20)의 보안통제 집행모듈(21)에 분배한다. 107: If the threshold value to be blocked by the group is not exceeded, a policy for blocking the device (a device in which a security threat has occurred) is distributed to the security control execution module 21 of the gateway 20 to which the device is connected.

201: 게이트웨이(20)의 보안통제 집행모듈(21)은 보안통제서버(10)의 접속차단모듈(11)로부터 분배받은 차단 정책을 적용하여 해당 기기의 네트워크 접속을 차단한다. 201: The security control execution module 21 of the gateway 20 applies a blocking policy distributed from the access blocking module 11 of the security control server 10 to block network access of the corresponding device.

109: 단계 105에서의 확인 결과, 그룹으로 차단할 기준치를 초과하였을 경우, 보안위협이 발생된 기기와 동일한 속성을 가지는 기기그룹을 결정한다. 109: As a result of checking in step 105, when the threshold value to be blocked by the group is exceeded, a device group having the same properties as the device in which the security threat has occurred is determined.

111: 또한 탐지된 보안위협에 따라 관리자에 의해 별도로 정의된 차단 정책에 해당하는 기기그룹를 확인한다. 111: Also, according to the detected security threat, check the device group corresponding to the blocking policy separately defined by the administrator.

113: 결정된 그룹에 따라 그룹에 속한 기기가 연결된 게이트웨이(20)의 보안통제 집행모듈(21)로 해당 기기의 네트워크 접속 차단 정책을 분배한다. 113: According to the determined group, the network access blocking policy of the corresponding device is distributed to the security control execution module 21 of the gateway 20 to which the device belonging to the group is connected.

203: 게이트웨이(20)의 보안통제 집행모듈(21)은 보안통제서버(10)의 접속차단모듈(11)로부터 분배받은 차단 정책을 적용하여 해당 기기에 대해 네트워크 접속을 일괄 차단한다.203: The security control execution module 21 of the gateway 20 applies a blocking policy distributed from the access blocking module 11 of the security control server 10 to collectively block network access to the corresponding device.

도 3a, b는 사물인터넷 인프라에 대해 네트워크 접속 차단이 적용된 이후 신속한 서비스 재개를 위해 네트워크 접속 차단을 해제할 기기를 결정하는 순서를 나타낸다.3A and 3B illustrate a sequence of determining a device to release network access blocking for rapid service restart after network access blocking is applied to the IoT infrastructure.

네트워크 접속차단 해제를 수행할 기기를 결정하는 순서는 서비스 제공을 우선으로 할지, 보안위협 관리를 우선으로 할지에 따라 달라질 수 있으며, 이는 사물인터넷 서비스를 제공하는 사이트의 정책에 따른다.The order of deciding the device to be cleared of network access blocking may vary depending on whether to prioritize service provision or security threat management, and this depends on the policy of the site that provides the IoT service.

도 3a는 서비스 제공 우선 정책을 적용하여 네트워크 접속차단 해제 대상 기기를 결정하는 경우를 나타낸다. 보안위협이 없는 정상 기기의 경우 보안위협 확산을 방지하기 위해 보안위협이 발생한 기기와 동일 속성을 가졌기에 보안위협이 잠재되어 있을 가능성이 있기 때문에 차단되었지만 실제로는 보안위협이 없을 수도 있으므로 우선적으로 보안상태를 점검하여 네트워크 접속 차단을 해제하고 서비스를 신속히 재개해 주어야 한다. 그리고 보안위협이 없는 정상적인 기기는 보안위협이 발생하지 않은 기기일 가능성이 높고, 보안위협이 발생하지 않은 기기 중에서도 보안위협 발생 이력이 적은 기기일수록 정상기기일 가능성이 더욱 더 높다. 3A shows a case in which a device to be released from network access blocking is determined by applying a service provision priority policy. In the case of a normal device without a security threat, it has the same properties as the device where the security threat occurred in order to prevent the spread of the security threat, so it is blocked because there is a possibility that there is a potential security threat. Check the network access blocking and restart the service quickly. In addition, a device that does not have a security threat is more likely to be a device that does not have a security threat, and a device that does not have a security threat history is more likely to be a normal device.

따라서 도 3a에서와 같이 우선적으로 (1) 보안위협이 발생하지 않은 기기 중 보안위협 발생 이력이 없는 기기부터 보안상태 점검을 통해 네트워크 접속 차단을 해제한다. 그 이후에, 보안위협이 발생하지 않은 기기 중 (2) 보안위협 발생 이력이 적은 기기부터 (3) 보안위협 발생 이력이 많은 기기 순으로 보안상태를 점검하여 네트워크 접속 차단을 해제한다. (4) 보안위협이 발생한 기기의 경우에는 항상 기기 보안상태 복구가 필요하므로 순서에 상관없이 네트워크 접속차단 해제 절차를 수행한다.Therefore, as shown in FIG. 3A, first (1) among devices that do not have a security threat, the network access block is canceled through a security status check from the device that does not have a history of security threats. After that, the security status is checked in the order of (2) devices with a small history of security threats, and (3) devices with a large history of security threats among devices that do not have a security threat. (4) In the case of a device in which a security threat has occurred, it is always necessary to restore the device security state, so perform the network access blocking release procedure regardless of the order.

다음, 도 3b는 보안위협 관리 우선 정책을 적용하여 네트워크 접속차단 해제 대상 기기를 결정하는 경우를 나타낸다. 즉, 서비스 제공보다 보안위협 처리를 우선하는 경우로, 사물인터넷 서비스를 운영하는 사이트에서 높은 수준의 보안 정책을 채택하는 곳에 적용될 수 있다. 이 경우에는 (1) 보안위협이 발생한 기기 내의 보안위협 처리가 가장 시급하므로 해당 기기에 대한 복구 및 해제 절차를 먼저 수행한다. 보안위협이 발생한 기기에 대한 처리 이후 보안 위협이 발생하지 않은 기기에 대한 처리가 진행되는데, 이 경우 (2) 보안위협 발생 이력이 많은 기기가 보안위협을 내포할 가능성이 높기 때문에 보안위협 발생 이력이 많은 기기부터 (3) 이력이 적은 기기, 그리고 (4) 보안위협이 발생하지 않은 기기 순으로 보안상태 점검 후 네트워크 접속차단을 해제한다.Next, FIG. 3B shows a case in which a device to be released from network access blocking is determined by applying a security threat management priority policy. In other words, it is a case in which security threat processing is prioritized over service provision, and can be applied where a high-level security policy is adopted by a site operating an IoT service. In this case, (1) the security threat processing in the device where the security threat occurred is the most urgent, so the recovery and release procedures for the device should be performed first. After the security threat has occurred, the device that does not have a security threat is processed. In this case, (2) the device with a large history of security threats is likely to contain security threats, so the history of security threats is Check the security status in the order of many devices, (3) devices with less history, and (4) devices with no security threats, and then release the network access block.

도 4는 사물인터넷 인프라에서 네트워크 접속 차단이 적용된 이후 신속한 서비스 재개를 위해 네트워크 접속 차단을 해제하기 위한 각 구성요소별 세분화된 동작 절차 흐름도이다.4 is a flowchart illustrating a detailed operation procedure for each component for releasing a network access block in order to quickly resume a service after a network access block is applied in an IoT infrastructure.

151: 보안통제서버(10)의 접속차단 해제모듈(12)은 서비스에서 채택한 네트워크 접속이 차단된 기기 해제 정책(도 3 참조)에 따라 보안상태 점검을 수행할 기기(30)를 결정한다. 151: The access blocking release module 12 of the security control server 10 determines the device 30 to perform the security status check according to the device release policy (see FIG. 3) from which network access is blocked adopted by the service.

153: 결정된 기기에 해당 기기에 대한 보안상태 점검을 요청한다. 153: Requests the determined device to check the security status of the device.

351: 보안상태 점검 요청을 받은 기기는 무결성 측정 등의 방법을 통해 자신의 보안상태 점검 결과값을 생성한다. 351: The device receiving the security status check request generates its own security status check result value through a method such as integrity measurement.

353: 해당 기기는 기기 보안상태 점검 결과값을 접속차단해제모듈(12)에 전달한다. 353: The device transmits the device security status check result to the access block release module 12.

155: 접속차단해제모듈(12)은 기기(30)가 전달한 보안상태 점검 결과값을 확인하여 정상인지 이상이 있는지 판단한다.155: The access blocking release module 12 checks the security status check result transmitted from the device 30 and determines whether there is a normal or abnormality.

157: 정상일 경우 해당 기기에 대한 네트워크 접속 차단을 해제하는 정책을 해당 기기에 연결된 게이트웨이(20)에 전달한다. 157: If normal, a policy for releasing the blocking of network access to the corresponding device is transmitted to the gateway 20 connected to the corresponding device.

251: 게이트웨이(20)의 보안통제 집행모듈(21)은 전달받은 정책을 적용하여 해당 기기에 대한 네트워크 접속 차단을 해제하고 서비스가 재개되도록 한다. 251: The security control enforcement module 21 of the gateway 20 applies the received policy to release the blocking of network access to the corresponding device and restarts the service.

159: 단계 155에서 기기 보안상태 점검 후 이상이 있다고 판단될 경우에는 해당 기기에 대한 복구 진행을 요청한다. 159: If it is determined that there is an abnormality after checking the device security status in step 155, a request for restoration of the device is requested.

353: 해당 기기는 복구 진행 요청에 따라 정상 상태로의 복구를 진행한다. 복구 과정은 SW 업데이트 등의 방법을 통해 진행될 수 있다. 353: The device performs restoration to a normal state according to a restoration request. The recovery process may be performed through a method such as SW update.

355: 기기는 복구 결과를 보안통제 서버(10)의 접속차단 해제모듈(12)에 전달한다. 355: The device transmits the recovery result to the connection blocking release module 12 of the security control server 10.

161: 접속차단 해제모듈(12)은 복구된 기기에 대해 서비스 재개를 위하여 네트워크 차단해제 정책을 해당 기기가 연결된 게이트웨이(20)에 전달한다. 161: The access blocking release module 12 transmits a network blocking release policy to the gateway 20 to which the corresponding device is connected to resume service for the restored device.

253: 게이트웨이(20)의 보안통제 집행모듈(21)은 전달받은 정책을 적용하여 해당 기기에 대한 네트워크 접속 차단을 해제하고 서비스가 재개되도록 한다. 253: The security control execution module 21 of the gateway 20 applies the received policy to release the blocking of network access to the corresponding device and restarts the service.

163: 보안통제 서버(10)의 접속차단 해제모듈(12)은 도 3에 설명된 정책에 따라 다음 해제할 기기에 대해 이상의 절차를 반복 수행한다.163: The access blocking release module 12 of the security control server 10 repeats the above procedure for the next device to be released according to the policy described in FIG. 3.

구현예에 따라, 네트워크 접속 차단을 해제할 기기를 결정하는 과정과 결정된 기기에 대한 해제 절차는 순차적으로 진행될 수도 있으며, 성능을 높이기 위해 각 과정이 병렬로 진행되도록 할 수도 있다.Depending on the implementation, the process of determining the device to release the network access blocking and the release procedure for the determined device may be sequentially performed, or each process may be performed in parallel to increase performance.

본 발명에서의 보안위협 탐지, 보안상태 점검, 및 기기복구 과정은 기존의 다양한 보안위협 탐지 방법, 기기 무결성 원격 검증 방법, SW 펌웨어 업데이트 방법 등을 활용하여 수행될 수 있으며, 이들 각 방법 자체는 본 발명의 범위에서 제외한다.The security threat detection, security status check, and device recovery process in the present invention can be performed using various existing security threat detection methods, device integrity remote verification methods, SW firmware update methods, and the like. Excluded from the scope of the invention.

본 발명은 장치 측면 또는 방법적 측면으로 실시가능한데, 특히 본 발명의 각 구성요소의 기능(function) 또는 과정(process)은 DSP(digital signal processor), 프로세서, 컨트롤러, ASIC(application-specific IC), 프로그래머블 로직소자(FPGA 등), 기타 전자소자 중의 적어도 하나 그리고 이들의 조합이 포함되는 하드웨어 요소로써 구현 가능하다. 또한 하드웨어 요소와 결합되어 또는 독립적으로 소프트웨어로써도 구현 가능한데, 이 소프트웨어는 기록매체에 저장 가능하다.The present invention can be implemented in terms of a device or a method. In particular, a function or process of each component of the present invention includes a digital signal processor (DSP), a processor, a controller, an application-specific IC (ASIC), It can be implemented as a hardware element including at least one of programmable logic devices (FPGA, etc.), other electronic devices, and combinations thereof. It can also be implemented as software in combination with hardware elements or independently, and this software can be stored on a recording medium.

이상, 본 발명의 바람직한 실시예를 통하여 본 발명의 구성을 상세히 설명하였으나, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 본 명세서에 개시된 내용과는 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 본 발명의 보호범위는 상기 상세한 설명보다는 후술한 특허청구범위에 의하여 정해지며, 특허청구의 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태는 본 발명의 기술적 범위에 포함되는 것으로 해석되어야 한다.Above, the configuration of the present invention has been described in detail through a preferred embodiment of the present invention, but those of ordinary skill in the art to which the present invention pertains, the present invention is disclosed in the present specification without changing the technical spirit or essential features. It will be appreciated that it may be implemented in a specific form different from that of. It should be understood that the embodiments described above are illustrative in all respects and not limiting. The scope of protection of the present invention is determined by the claims described later rather than the detailed description, and all changes or modifications derived from the scope of the claims and their equivalent concepts should be interpreted as being included in the technical scope of the present invention. .

Claims (16)

사물인터넷 서비스를 수행하기 위한 적어도 하나의 엔드기기를 포함하는 사물인터넷 인프라 환경에서,
사물인터넷 인프라 내에서 어느 엔드기기에 대한 보안위협이 발생한 것이 탐지될 경우, 이 엔드기기의 사물인터넷 네트워크에 대한 접속 차단 및 접속차단 해제 명령을 생성하는 보안통제서버를 포함하되, 이 보안통제서버는
탐지된 보안위협 수준에 따라 보안위협이 발생한 엔드기기만 차단할지 보안위협이 발생한 엔드기기가 포함된 엔드기기 그룹을 일괄로 차단할지를 결정하고, 결정된 접속차단 대상 엔드기기 또는 엔드기기 그룹에 대한 네트워크 접속차단 명령을 생성하도록 구성되는 접속차단모듈과
상기 접속차단 대상으로서 엔드기기 그룹이 결정된 경우에 이 엔드기기 그룹 중에서 접속차단 해제 대상 엔드기기를 결정하고 이 접속차단 해제 대상 엔드기기에 대한 네트워크 접속차단 해제 명령을 생성하도록 구성되는 접속차단해제모듈을 포함하는 사물인터넷 인프라 환경에서의 보안통제 장치.In an IoT infrastructure environment including at least one end device for performing an IoT service,
When a security threat to an end device is detected within the IoT infrastructure, a security control server that blocks access to the IoT network of the end device and generates a command to cancel the access block is included, the security control server
Depending on the level of the detected security threat, it is determined whether to block only the end device with the security threat or the end device group containing the end device with the security threat, and access the network to the determined end device or end device group to be blocked. A connection blocking module configured to generate a blocking command and
When an end device group is determined as the connection blocking target, a connection blocking release module configured to determine an end device to be disconnected from the end device group and to generate a network connection blocking release command for the connection blocking release target end device. Security control device in the IoT infrastructure environment including. 제1항에서, 상기 접속차단모듈이 결정하는 접속차단 대상 엔드기기 그룹은
보안위협이 발생한 엔드기기와 물리적으로 동일성있는 엔드기기들, 동일성있는 서비스를 제공하는 엔드기기들, 및 동일성있는 운영환경을 갖는 엔드기기들 중 적어도 하나를 포함하는 사물인터넷 인프라 환경에서의 보안통제 장치.In claim 1, wherein the connection blocking target end device group determined by the connection blocking module is
A security control device in an IoT infrastructure environment including at least one of end devices that are physically identical to the end device where the security threat has occurred, end devices that provide the same service, and end devices that have the same operating environment . 제1항에서, 상기 접속차단모듈이 접속차단 대상 엔드기기 또는 엔드기기 그룹을 결정할 때에, 보안위협이 탐지된 엔드기기에서의 보안위협 발생 이력을 참조하는 사물인터넷 인프라 환경에서의 보안통제 장치.The apparatus of claim 1, wherein when the access blocking module determines an end device or an end device group to be blocked, the security control device in an IoT infrastructure environment refers to a history of occurrence of a security threat in an end device in which a security threat is detected. 제1항에서, 상기 접속차단해제모듈이 접속차단 해제 대상 엔드기기를 결정할 때에, (1) 보안위협이 발생하지 않은 엔드기기 중 보안위협 발생 이력이 없는 엔드기기, (2) 보안위협이 발생하지 않은 엔드기기 중 보안위협 발생 이력이 적은 엔드기기, (3) 보안위협이 발생하지 않은 엔드기기 중 보안위협 발생 이력이 많은 엔드기기, (4) 보안위협이 발생한 엔드기기의 순서로 접속차단 해제 대상 엔드기기를 결정하는 사물인터넷 인프라 환경에서의 보안통제 장치.In claim 1, when the connection blocking release module determines the target end device for connection blocking release, (1) end devices that have no history of security threats among end devices that do not have security threats, and (2) no security threats occur. End devices with a small history of security threats among end devices that do not have a security threat, (3) end devices with a high history of security threats among end devices that do not have a security threat, and (4) end devices with a security threat in order to cancel access blocking Security control device in IoT infrastructure environment that determines end devices. 제1항에서, 상기 접속차단해제모듈이 접속차단 해제 대상 엔드기기를 결정할 때에, (1) 보안위협이 발생한 엔드기기, (2) 보안위협이 발생하지 않은 엔드기기 중 보안위협 발생 이력이 많은 엔드기기, (3) 보안위협이 발생하지 않은 엔드기기 중 보안위협 발생 이력이 적은 엔드기기, (4) 보안위협이 발생하지 않은 엔드기기 중 보안위협 발생 이력이 없는 엔드기기의 순서로 접속차단 해제 대상 엔드기기를 결정하는 사물인터넷 인프라 환경에서의 보안통제 장치.In claim 1, when the connection blocking release module determines the target end device for connection blocking release, (1) an end device in which a security threat has occurred, and (2) an end device with a large history of occurrence of a security threat among end devices in which no security threat has occurred. Devices, (3) end devices that do not have a history of security threats among end devices that do not have a security threat, and (4) end devices that do not have a history of security threats among end devices that do not have a security threat. Security control device in IoT infrastructure environment that determines end devices. 제1항에서, 상기 엔드기기는
엔드기기의 보안상태 점검을 수행하고, 보안상태에 이상이 있다고 판단하면 엔드기기를 정상 상태로 복구하도록 구성되는 보안상태 점검 및 복구 모듈을 포함하는 사물인터넷 인프라 환경에서의 보안통제 장치.In claim 1, the end device
A security control device in an IoT infrastructure environment including a security state check and recovery module configured to perform a security state check of an end device and restore the end device to a normal state when it is determined that there is an abnormality in the security state. 제4항에서, 상기 엔드기기의 보안상태 점검 및 복구 모듈은
엔드기기 내 부팅 이미지, 실행 오브젝트, 및 설정 파일에 대한 무결성 값의 측정을 통해 보안상태를 점검하는 사물인터넷 인프라 환경에서의 보안통제 장치.In claim 4, the security status check and recovery module of the end device
A security control device in an IoT infrastructure environment that checks the security status by measuring integrity values for boot images, execution objects, and configuration files in end devices. 제1항에서, 상기 보안통제서버로부터 상기 네트워크 접속 차단 및 차단해제 명령을 받아 엔드기기의 네트워크 접속 차단 및 차단해제를 집행하는 게이트웨이를 추가로 포함하는 사물인터넷 인프라 환경에서의 보안통제 장치. The security control apparatus in an IoT infrastructure environment of claim 1, further comprising a gateway that receives the network access blocking and disconnection command from the security control server to block and release the network access of the end device. 사물인터넷 서비스를 수행하기 위한 적어도 하나의 엔드기기를 포함하는 사물인터넷 인프라 환경에서,
어느 엔드기기에 대한 보안위협이 발생한 것이 탐지될 경우, 탐지된 보안위협 수준에 따라 보안위협이 발생한 엔드기기만 차단할지 보안위협이 발생한 엔드기기가 포함된 엔드기기 그룹을 일괄로 차단할지를 결정하여 결정된 접속차단 대상 엔드기기 또는 엔드기기 그룹에 대하여 네트워크 접속차단을 수행하는 단계,
상기 접속차단 대상으로서 엔드기기 그룹이 결정된 경우에 이 엔드기기 그룹 중에서 접속차단 해제 대상 엔드기기를 결정하고 이 접속차단 해제 대상 엔드기기에 대한 네트워크 접속차단 해제를 수행하는 단계를 포함하는 사물인터넷 인프라 환경에서의 보안통제 방법.In an IoT infrastructure environment including at least one end device for performing an IoT service,
When a security threat to a certain end device is detected, it is determined by determining whether to block only the end device with the security threat or block the end device group containing the end device with the security threat according to the level of the detected security threat. Blocking network access to an end device or group of end devices to be disconnected,
IoT infrastructure environment comprising the step of determining an end device to be disconnected from among the end device groups, and performing network access disconnection for the end device to be disconnected from the end device when an end device group is determined as the target for connection blocking Security control method 제9항에서, 상기 접속차단 대상 엔드기기 그룹은
보안위협이 발생한 엔드기기와 물리적으로 동일성있는 엔드기기들, 동일성있는 서비스를 제공하는 엔드기기들, 및 동일성있는 운영환경을 갖는 엔드기기들 중 적어도 하나를 포함하는 사물인터넷 인프라 환경에서의 보안통제 방법.In claim 9, the connection blocking target end device group
Security control method in an IoT infrastructure environment including at least one of end devices that are physically identical to the end device where the security threat has occurred, end devices that provide the same service, and end devices that have the same operating environment . 제9항에서, 상기 접속차단 대상 엔드기기 또는 엔드기기 그룹을 결정할 때에 보안위협이 탐지된 엔드기기에서의 보안위협 발생 이력을 참조하는 사물인터넷 인프라 환경에서의 보안통제 방법.The method of claim 9, wherein when determining the target end device or end device group to block access, a security threat occurrence history in an end device in which a security threat is detected is referred to. 제9항에서, 상기 접속차단 해제 대상 엔드기기를 결정할 때에, (1) 보안위협이 발생하지 않은 엔드기기 중 보안위협 발생 이력이 없는 엔드기기, (2) 보안위협이 발생하지 않은 엔드기기 중 보안위협 발생 이력이 적은 엔드기기, (3) 보안위협이 발생하지 않은 엔드기기 중 보안위협 발생 이력이 많은 엔드기기, (4) 보안위협이 발생한 엔드기기의 순서로 접속차단 해제 대상 엔드기기를 결정하는 사물인터넷 인프라 환경에서의 보안통제 방법.In claim 9, when determining the end device to be released from the access block, (1) an end device without a history of security threats among end devices without a security threat, and (2) a security among end devices without a security threat. End devices with a small history of threat occurrence, (3) end devices with a large history of security threats among end devices that do not have a security threat, and (4) end devices that have a security threat in order to determine the target end devices to be cleared of access blocking. Security control method in IoT infrastructure environment. 제9항에서, 상기 접속차단 해제 대상 엔드기기를 결정할 때에, (1) 보안위협이 발생한 엔드기기, (2) 보안위협이 발생하지 않은 엔드기기 중 보안위협 발생 이력이 많은 엔드기기, (3) 보안위협이 발생하지 않은 엔드기기 중 보안위협 발생 이력이 적은 엔드기기, (4) 보안위협이 발생하지 않은 엔드기기 중 보안위협 발생 이력이 없는 엔드기기의 순서로 접속차단 해제 대상 엔드기기를 결정하는 사물인터넷 인프라 환경에서의 보안통제 방법.In claim 9, when determining the end device to be released from the access block, (1) an end device in which a security threat has occurred, (2) an end device that has a history of occurrence of a security threat among end devices that do not have a security threat, and (3) End devices that have no history of security threats among end devices that do not have security threats are selected in the order of end devices that do not have a history of security threats. Security control method in IoT infrastructure environment. 제9항에서, 상기 엔드기기의 보안상태 점검을 수행하고, 보안상태에 이상이 있다고 판단하면 엔드기기를 정상 상태로 복구하도록 구성되는 보안상태 점검 및 복구 단계를 추가로 포함하는 사물인터넷 인프라 환경에서의 보안통제 방법.The IoT infrastructure environment of claim 9, further comprising a security state check and recovery step configured to perform a security state check of the end device and restore the end device to a normal state if it is determined that there is an abnormality in the security state. Security control method. 사물인터넷 서비스를 수행하기 위한 적어도 하나의 엔드기기를 포함하는 사물인터넷 인프라 환경에서 엔드기기의 보안을 통제하는 방법으로서,
1) 엔드기기에 대해 보안위협을 탐지하는 단계;
2) 보안위협이 탐지된 엔드기기에 대해 보안위협이 발생하였던 횟수를 누적하는 단계;
3) 탐지된 보안위협이 설정된 기준 횟수를 초과하여 발생하였는지 확인하는 단계;
4) 상기 기준 횟수를 초과하지 않았을 경우, 보안위협이 발생된 엔드기기의 네트워크 접속을 차단하는 단계;
5) 단계 3)에서 기준 횟수를 초과하였을 경우, 보안위협이 발생된 엔드기기와 동일성있는 엔드기기 그룹을 결정하고, 결정된 엔드기기 그룹의 네트워크 접속을 차단하는 단계를 포함하는 사물인터넷 인프라 환경에서의 보안통제 방법.As a method of controlling security of end devices in an IoT infrastructure environment including at least one end device for performing IoT service,
1) detecting a security threat to the end device;
2) accumulating the number of times a security threat has occurred to an end device in which a security threat has been detected;
3) checking whether the detected security threat has occurred in excess of the set reference number;
4) blocking access to a network of an end device in which a security threat has occurred when the reference number of times has not been exceeded;
5) In the case of exceeding the reference number in step 3), in the IoT infrastructure environment, including the step of determining an end device group identical to the end device in which the security threat has occurred, and blocking network access of the determined end device group. Security control method. 제15항에서, 상기 단계 5) 이후에
6) 상기 엔드기기 그룹에 포함되는 엔드기기에 대해 보안상태 점검을 수행하여, 해당 엔드기기가 정상인지 이상이 있는지 판단하는 단계;
7) 해당 엔드기기가 정상이라고 판단될 경우 해당 기기에 대한 네트워크 접속 차단을 해제하는 단계;
8) 해당 엔드기기에 이상이 있다고 판단될 경우 해당 엔드기기를 정상적인 상태로 복구하고, 해당 기기에 대한 네트워크 접속 차단을 해제하는 단계를 추가로 포함하는 사물인터넷 인프라 환경에서의 보안통제 방법.In claim 15, after step 5)
6) performing a security status check on the end devices included in the end device group, and determining whether the corresponding end device is normal or abnormal;
7) if it is determined that the corresponding end device is normal, releasing blocking of network access to the corresponding device;
8) When it is determined that there is a problem with the corresponding end device, a security control method in an IoT infrastructure environment that further includes the step of restoring the end device to a normal state and releasing the blocking of network access to the device.
KR1020190027801A 2019-03-11 2019-03-11 Apparatus and method for security control in IoT infrastructure environment KR102559568B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020190027801A KR102559568B1 (en) 2019-03-11 2019-03-11 Apparatus and method for security control in IoT infrastructure environment
US16/813,986 US20200296119A1 (en) 2019-03-11 2020-03-10 Apparatus and method for security control

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190027801A KR102559568B1 (en) 2019-03-11 2019-03-11 Apparatus and method for security control in IoT infrastructure environment

Publications (2)

Publication Number Publication Date
KR20200108742A true KR20200108742A (en) 2020-09-21
KR102559568B1 KR102559568B1 (en) 2023-07-26

Family

ID=72708131

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190027801A KR102559568B1 (en) 2019-03-11 2019-03-11 Apparatus and method for security control in IoT infrastructure environment

Country Status (1)

Country Link
KR (1) KR102559568B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112767056A (en) * 2021-02-04 2021-05-07 腾讯科技(深圳)有限公司 Service data prediction method, device, computer equipment and storage medium
US11206277B1 (en) 2020-11-24 2021-12-21 Korea Internet & Security Agency Method and apparatus for detecting abnormal behavior in network
KR20230094607A (en) 2021-12-21 2023-06-28 한국전자통신연구원 Method and apparatus for protecting device

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050036528A (en) * 2003-10-16 2005-04-20 (주)한인터네트웍스 Apparatus for isolating and relaying with integration function and method for establishing security policy using the same
KR101744631B1 (en) * 2015-08-25 2017-06-20 주식회사 아이티스테이션 Network security system and a method thereof
KR20180116878A (en) * 2017-04-18 2018-10-26 주식회사 포스링크 DYNAMIC ACCESS CONTROL SYSTEM AND METHOD FOR IoT SECURITY USING THE DETECTION OF FABRICATION AND MODIFICATION

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050036528A (en) * 2003-10-16 2005-04-20 (주)한인터네트웍스 Apparatus for isolating and relaying with integration function and method for establishing security policy using the same
KR101744631B1 (en) * 2015-08-25 2017-06-20 주식회사 아이티스테이션 Network security system and a method thereof
KR20180116878A (en) * 2017-04-18 2018-10-26 주식회사 포스링크 DYNAMIC ACCESS CONTROL SYSTEM AND METHOD FOR IoT SECURITY USING THE DETECTION OF FABRICATION AND MODIFICATION

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11206277B1 (en) 2020-11-24 2021-12-21 Korea Internet & Security Agency Method and apparatus for detecting abnormal behavior in network
CN112767056A (en) * 2021-02-04 2021-05-07 腾讯科技(深圳)有限公司 Service data prediction method, device, computer equipment and storage medium
KR20230094607A (en) 2021-12-21 2023-06-28 한국전자통신연구원 Method and apparatus for protecting device

Also Published As

Publication number Publication date
KR102559568B1 (en) 2023-07-26

Similar Documents

Publication Publication Date Title
EP2774039B1 (en) Systems and methods for virtualized malware detection
CN111181926B (en) Security device based on mimicry defense idea and operation method thereof
KR102559568B1 (en) Apparatus and method for security control in IoT infrastructure environment
US9938019B2 (en) Systems and methods for detecting a security breach in an aircraft network
CA2996966A1 (en) Process launch, monitoring and execution control
Grechishnikov et al. Algorithmic model of functioning of the system to detect and counter cyber attacks on virtual private network
CN111971941A (en) Method and system for managing IoT-based devices in an IoT environment
US20220237285A1 (en) Cyber immunity system as a biological self-recognition model on operating systems
Kholidy et al. A cost-aware model for risk mitigation in Cloud computing systems
WO2017163240A1 (en) Rule enforcement in a network
KR20170091989A (en) System and method for managing and evaluating security in industry control network
KR20110131627A (en) Apparatus for detecting malicious code using structure and characteristic of file, and terminal thereof
US20140245454A1 (en) Method and apparatus for protecting flight data
US20200344249A1 (en) Automated incident response process and automated actions
US11706252B1 (en) Detecting malware infection path in a cloud computing environment utilizing a security graph
US20200296119A1 (en) Apparatus and method for security control
EP2648384B1 (en) Information security management
KR20200113836A (en) Apparatus and method for security control
EP4128694B1 (en) Malware protection based on final infection size
US20190109865A1 (en) Pre-Crime Method and System for Predictable Defense Against Hacker Attacks
US11611585B2 (en) Detection of privilege escalation attempts within a computer network
US12010139B2 (en) Detecting malware infection path in a cloud computing environment utilizing a security graph
JP7243329B2 (en) Computer program, event anomaly detection method, and computer
Karnoor et al. Addressing ICS Security Challenges using Simplex Architecture
KR20150119519A (en) Apparatus and Method for Controlling Permission for an Application Using Reputation Information

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right