KR20200113836A - Apparatus and method for security control - Google Patents
Apparatus and method for security control Download PDFInfo
- Publication number
- KR20200113836A KR20200113836A KR1020190034594A KR20190034594A KR20200113836A KR 20200113836 A KR20200113836 A KR 20200113836A KR 1020190034594 A KR1020190034594 A KR 1020190034594A KR 20190034594 A KR20190034594 A KR 20190034594A KR 20200113836 A KR20200113836 A KR 20200113836A
- Authority
- KR
- South Korea
- Prior art keywords
- security control
- security
- control policy
- threat
- policy
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
Description
본 발명은 보안 통제 장치 및 방법에 관한 것으로, 상세하게는 IoT 환경에서 디바이스 그룹별로 수립된 보안 통제 정책에 기반하여 보안 위협의 확산을 방지하는 보안 통제 장치 및 방법에 관한 것이다.The present invention relates to a security control apparatus and method, and more particularly, to a security control apparatus and method for preventing the spread of security threats based on a security control policy established for each device group in an IoT environment.
IoT 환경에서의 보안 위협은 인터넷에 연결된 사물이 정보 유출과 오작동 등의 진원지가 되거나 악성 코드와 스팸을 광범위하게 퍼뜨리는 유포지가 될 수 있기 때문에 피해 범위도 매우 클 것으로 예상된다.Security threats in the IoT environment are expected to have a very large damage range because things connected to the Internet can become the epicenter of information leakage and malfunction, or become a distribution site that widely spreads malicious codes and spam.
한편, IoT 기기의 대부분의 위협은 기기의 취약 모듈을 통해 침입한 후 중요 모듈로 접근하는 형태이므로, 기기운영 환경의 보안과 기기 내 각 기능별 위협의 확산 방지가 중요하다. 하지만 IoT 보안성 강화를 위한 현재의 보안 기술은 개별 보안 위협 요소 해결을 위한 단편적인 적용에만 그치고 있다.On the other hand, since most threats of IoT devices invade through the vulnerable module of the device and then access important modules, it is important to secure the device operating environment and prevent the spread of threats for each function within the device. However, the current security technology for strengthening IoT security is only applied in fragments to address individual security threats.
따라서 IoT 인프라에 침투한 보안 위협이 IoT 인프라 전체로 확산되는 것을 차단함으로써 IoT 서비스의 피해를 최소화하는 기술이 필요하다.Therefore, there is a need for a technology that minimizes damage to IoT services by blocking the spread of security threats infiltrating the IoT infrastructure to the entire IoT infrastructure.
전술한 문제를 해결하기 위하여, 본 발명은 IoT 인프라에 침투한 보안 위협이 IoT 인프라 전체로 확산되는 것을 보안 통제 정책을 이용하여 차단가능한 보안 통제 장치 및 방법을 제공하고자 한다.In order to solve the above-described problem, the present invention is to provide a security control device and method capable of blocking the spread of security threats infiltrating the IoT infrastructure to the entire IoT infrastructure using a security control policy.
또한, 본 발명은 디바이스 그룹별로 보안 통제 정책을 관리 및 적용하는 보안 통제 장치 및 방법을 제공하는 것을 또 다른 목적으로 한다.Another object of the present invention is to provide a security control apparatus and method for managing and applying security control policies for each device group.
본 발명의 전술한 목적 및 그 이외의 목적과 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부된 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다.The above-described objects and other objects, advantages, and features of the present invention, and methods of achieving them will become apparent with reference to the embodiments described below in detail together with the accompanying drawings.
본 발명의 일 측면에 따르면, 적어도 하나의 디바이스를 포함한 디바이스 그룹을 적어도 하나 포함하는 IoT 환경에서의 보안 통제 장치로서, 디바이스 그룹 정보 및 잠재적 보안 위협에 대항하여 생성된 기준 보안 통제 정책을 저장하는 저장소 및 프로세서를 포함하고, 상기 프로세서는, 보안 위협이 예상되는 디바이스 그룹에 대한 보안 통제 정책을 결정하는 보안 통제 정책 결정부 및 결정된 상기 보안 통제 정책에 기반하여 보안 통제 메시지를 생성하는 보안 통제 정책 분배부를 구동하도록 설정되는 보안 통제 장치를 제공한다.According to an aspect of the present invention, as a security control device in an IoT environment including at least one device group including at least one device, a storage for storing device group information and a standard security control policy created against potential security threats And a processor, wherein the processor includes a security control policy decision unit for determining a security control policy for a device group where a security threat is expected, and a security control policy distribution unit for generating a security control message based on the determined security control policy. Provides a security control device that is set to run.
일 예에서, 보안 통제 정책 결정부는, 잠재적 보안 위협에 대항하여 생성된 기준 보안 통제 정책에 기반하여 보안 위협이 예상되는 디바이스 그룹에 대한 보안 통제 정책을 결정할 수 있다.In an example, the security control policy determination unit may determine a security control policy for a device group in which a security threat is expected based on a standard security control policy generated against a potential security threat.
일 예에서, 프로세서는, 적어도 하나의 디바이스의 보안 위협에 대한 보안 통제 상태를 모니터링하는 디바이스 관리부를 구동하도록 더 설정된다.In one example, the processor is further configured to run a device manager that monitors a security control state for a security threat of at least one device.
일 예에서 프로세서는, 잠재적 보안 위협에 대한 기준 보안 통제 정책을 생성하는 보안 통제 정책 관리부를 구동하도록 더 설정된다.In one example, the processor is further configured to run a security control policy management unit that generates a standard security control policy for potential security threats.
일 예에서, 프로세서는, 보안 통제 메시지를 보안 위협이 예상되는 디바이스 그룹에 전송하는 보안 통제 정책 분배부를 구동하도록 더 설정된다.In one example, the processor is further configured to drive a security control policy distribution unit that transmits a security control message to a device group in which a security threat is expected.
일 예에서, 보안 위협이 예상되는 디바이스 그룹은 보안 위협이 감지된 디바이스가 속한 디바이스 그룹이다.In one example, the device group from which the security threat is expected is a device group to which the device from which the security threat is detected belongs.
일 예에서, 보안 통제 메시지는 보안 통제 정책 ID, 보안 통제 조건, 보안 통제 동작 및 타겟 정보를 포함한다.In one example, the security control message includes a security control policy ID, a security control condition, a security control action, and target information.
일 예에서, 보안 통제 정책 분배부는, 보안 위협의 발생 규모가 보안 통제 정책에 따라 결정된 임계값을 초과하는 경우에 보안 통제 메시지를 생성할 수 있다.In one example, the security control policy distribution unit may generate a security control message when the magnitude of the security threat occurs exceeds a threshold value determined according to the security control policy.
본 발명의 다른 측면에 따르면, 적어도 하나의 디바이스를 포함한 디바이스 그룹을 적어도 하나 포함하는 IoT 환경에서의 보안 통제 방법으로서, 보안 위협이 예상되는 디바이스 그룹에 대한 보안 통제 정책을 결정하는 단계 및 결정된 상기 보안 통제 정책에 기반하여 보안 통제 메시지를 생성하는 단계를 포함하는 보안 통제 방법을 제공한다.According to another aspect of the present invention, a security control method in an IoT environment including at least one device group including at least one device, comprising the steps of determining a security control policy for a device group where a security threat is expected, and the determined security Provides a security control method including generating a security control message based on a control policy.
일 예에서, 보안 통제 방법은 적어도 하나의 디바이스의 상기 보안 위협에 대한 보안 통제 상태를 모니터링하는 단계를 더 포함할 수 있다.In one example, the security control method may further include monitoring a security control state of the security threat of at least one device.
일 예에서, 보안 통제 정책을 결정하는 단계는, 잠재적 보안 위협에 대항하여 생성된 기준 보안 통제 정책에 기반하여 보안 위협이 예상되는 디바이스 그룹에 대한 보안 통제 정책을 결정할 수 있다.In an example, the determining of the security control policy may determine a security control policy for a device group in which a security threat is expected based on a standard security control policy generated against a potential security threat.
일 예에서, 보안 통제 정책을 결정하는 단계는, 보안 위협이 예상되는 디바이스 그룹에 대한 보안 통제 범위를 결정하는 단계 및 보안 위협에 대응한 보안 통제 수준을 결정하는 단계를 포함한다.In one example, determining the security control policy includes determining a security control range for a device group in which a security threat is expected and determining a security control level corresponding to the security threat.
일 예에서, 보안 통제 방법은 보안 통제 메시지를 보안 위협이 예상되는 디바이스 그룹에 전송하는 단계를 더 포함한다.In one example, the security control method further includes transmitting a security control message to a device group in which a security threat is expected.
일 예에서, 보안 통제 메시지를 생성하는 단계는, 보안 위협의 발생 규모가 보안 통제 정책에 따라 결정된 임계값을 초과하는 경우에 보안 통제 메시지를 생성할 수 있다.In one example, the step of generating the security control message may generate the security control message when the magnitude of the security threat exceeds a threshold determined according to the security control policy.
일 예에서, 보안 통제 방법은 보안 통제 정책에 기반하여 보안 통제 해제 메시지를 생성하는 단계를 더 포함한다.In one example, the security control method further includes generating a security control release message based on the security control policy.
일 예에서, 보안 통제 해제 메시지를 생성하는 단계는, 보안 위협의 발생 규모가 보안 통제 정책에 따라 결정된 임계값 이하인 경우에 보안 통제 해제 메시지를 생성할 수 있다.In an example, the step of generating the security control release message may generate the security control release message when the magnitude of the security threat is less than or equal to a threshold value determined according to the security control policy.
본 발명에 의하면, 보안 통제 정책은 보안 위협의 종류, 심각도, 위협 발생 규모 등 보안 위협의 특성에 따라 다양한 통제의 범위와 수준을 갖도록 유연하게 구성가능한 보안 통제 장치 및 방법이 제공된다.According to the present invention, there is provided a security control device and method that can be flexibly configured to have various ranges and levels of control according to the characteristics of the security threat, such as the type, severity, and size of the threat, as the security control policy.
또한, 본 발명에 의하면, 탐지된 보안 위협에 대응하기 위하여 사전 정의된 보안 통제 정책에 따라 위협의 확산 가능성이 높은 디바이스 그룹을 사전에 통제함으로써 IoT 인프라 내 보안위협의 확산을 최소화할 수 있다.In addition, according to the present invention, the spread of security threats within the IoT infrastructure can be minimized by controlling a device group having a high probability of spreading a threat in advance according to a predefined security control policy in order to respond to a detected security threat.
도 1은 실시예에 따른 보안 통제 시스템을 개략적으로 도시한다.
도 2는 실시예에 따른 보안 통제 장치의 블록도이다.
도 3은 실시예에 따른 보안 통제 과정의 순서도이다.
도 4는 일 예에 따른 보안 통제 설정 과정을 도시한 흐름도이다.
도 5는 일 예에 따른 보안 통제 해제 과정을 도시한 흐름도이다.
도 6은 예시적인 보안 통제 정책을 나타낸다.
도 7은 예시적인 보안 통제 메시지 포맷을 나타낸다.1 schematically shows a security control system according to an embodiment.
2 is a block diagram of a security control device according to an embodiment.
3 is a flowchart of a security control process according to an embodiment.
4 is a flowchart illustrating a security control setting process according to an example.
5 is a flowchart illustrating a security control cancellation process according to an example.
6 shows an exemplary security control policy.
7 shows an exemplary security control message format.
본 발명이 구현되는 양상을 이하의 바람직한 각 실시예를 들어 설명한다. 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 본 발명의 기술적 사상의 범주 내에서 그 외의 다른 다양한 형태로 구현될 수 있음은 자명하다. 본 명세서에서 사용된 용어 역시 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprise)" 및/또는 "포함하는(comprising)"은 언급된 구성요소, 단계, 동작 및/또는 요소가 하나 이상의 다른 구성요소, 단계, 동작 및/또는 요소의 존재 또는 추가됨을 배제하지 않는다.The aspect in which the present invention is implemented will be described with reference to each of the following preferred embodiments. It is obvious that the present invention is not limited to the embodiments disclosed below, but can be implemented in other various forms within the scope of the technical idea of the present invention. The terms used in the present specification are also intended to describe embodiments and are not intended to limit the present invention. In this specification, the singular form also includes the plural form unless specifically stated in the phrase. As used in the specification, "comprise" and/or "comprising" refers to the presence of one or more other components, steps, actions and/or elements in which the stated component, step, action and/or element is Or does not preclude addition.
도 1은 실시예에 따른 보안 통제 시스템을 개략적으로 도시한다.1 schematically shows a security control system according to an embodiment.
IoT 환경에서 다양한 IoT 디바이스(112, 114, 116, 122, 124, 132, 134)는 게이트웨이(110, 120, 130)를 통하여 각종 서비스를 제공하는 서버와 유무선 통신을 이용하여 연결된다.In the IoT environment,
실시예에 따른 보안 통제 장치(100)는 게이트웨이(110, 120, 130)와 통신하여 IoT 환경에 포함된 다양한 IoT 디바이스(112, 114, 116, 122, 124, 132, 134)의 보안 통제 상태를 모니터링하고 해당 디바이스의 보안 통제를 관리한다.The
디바이스(112, 114, 116, 122, 124, 132, 134)는 예를 들어 온습도, 압력, 속도, 지자기 센서, 광 센서 및 모션 센서 등을 포함하는 각종 센서, 액추에이터, 전원 모듈, 통신 모듈, 로봇, 단말, 스마트 폰, 및 컴퓨팅 디바이스를 포함한다. 각 디바이스는 적어도 하나의 그룹에 속한다.The
디바이스 그룹은 적어도 하나의 디바이스를 포함한다.The device group includes at least one device.
예를 들어 디바이스 그룹은 서로 다른 게이트웨이를 통해 접근가능한 적어도 하나의 디바이스를 포함하는 논리적 그룹일 수 있다. 이를테면, 디바이스 그룹 A는 게이트웨이(110)을 통해 접근가능한 디바이스(112), 디바이스(114) 및 디바이스(116)와 게이트웨이(120)을 통해 접근가능한 디바이스(122) 및 디바이스(124)를 포함한다. 예를 들어 디바이스 그룹은 동일한 게이트웨이를 통해 접근가능한 적어도 하나의 디바이스를 포함할 수 있다. 이를테면 디바이스 그룹 B는 게이트웨이(130)을 통해 접근가능한 디바이스(132) 및 디바이스(134)를 포함한다.For example, the device group may be a logical group including at least one device accessible through different gateways. For example, device group A includes
일 예에서 디바이스 그룹은 물리적 위치가 동일한 디바이스의 집합이다. 예를 들어, 디바이스 그룹은 동일 건물에 위치하거나 동일한 게이트웨이에 연결된 디바이스의 집합이다. 일 예에서 디바이스 그룹은 하드웨어적으로 또는 소프트웨어적으로 유사한 모듈 또는 기능을 탑재한 디바이스의 집합이다. 예를 들어, 디바이스 그룹은 제조사, 디바이스 모델 또는 제조연월이 동일한 디바이스의 집합이다. 일 예에서 디바이스 그룹은 동일한 서비스에 가입한 디바이스의 집합이다.In one example, a device group is a set of devices having the same physical location. For example, a device group is a set of devices located in the same building or connected to the same gateway. In one example, the device group is a set of devices equipped with similar modules or functions in hardware or software. For example, a device group is a set of devices with the same manufacturer, device model, or manufacturing date. In one example, a device group is a set of devices subscribed to the same service.
일 예에서, 디바이스 그룹은 하나의 디바이스만을 포함한다. 예를 들어, 각 디바이스는 자신만을 포함하는 디바이스 그룹에 속한다.In one example, the device group includes only one device. For example, each device belongs to a device group that includes only itself.
게이트웨이(110, 120, 130)는 디바이스(112, 114, 116, 122, 124, 132, 134)에게 외부와의 연결성을 제공하는 장치이다. 즉, 게이트웨이(110, 120, 130)는 다양한 IoT 디바이스(112, 114, 116, 122, 124, 132, 134)가 네트워크를 통해 외부로 연결되기 위하여 거쳐야하는 관문이다. 일 예에서, 게이트웨이(110, 120, 130)는 보안 통제 장치(100)로부터 수신한 보안 통제 메시지에 기반하여 보안 위협이 감지된 디바이스 그룹에 속한 디바이스에게 보안 통제 정책을 실행한다.The
보안 통제 장치(100)는 보안 위협이 감지된 경우, 보안 통제 정책에 기반하여 게이트웨이(110, 120, 130)에게 보안 통제 메시지를 전송한다. 보안 통제 정책은 보안 위협의 확산을 방지하기 위해 보안 위협의 심각도, 발생 규모 등 보안 위협의 특성에 따라 통제의 범위와 수준을 결정한다. 게이트웨이(110, 120, 130)는 보안 통제 메시지를 수신하고 보안 통제 메시지의 지시에 따라 보안 위협에 대응하기 위한 동작을 실행한다. 일 예에서, 보안 통제 장치(100)는 보안 위협이 감지된 디바이스 그룹이 속한 게이트웨이에 보안 통제 메시지를 전송한다. 예를 들어, 디바이스 그룹 A에 속한 디바이스(116)에서 보안 위협이 감지된 경우, 보안 통제 장치(100)는 디바이스(116)가 연결된 게이트웨이(110)에 보안 통제 메시지를 전송한다. 추가적으로 보안 통제 장치(100)는 디바이스 그룹 A에 속한 디바이스(122) 및 디바이스(124)가 연결된 게이트웨이(120)에도 보안 통제 메시지를 전송할 수 있다. 게이트웨이(110) 및 게이트웨이(120)는 수신한 보안 통제 메시지에 따라 지시된 동작을 수행한다. 예를 들어 게이트웨이(110)는 디바이스 그룹 A에 속한 디바이스(112), 디바이스(114) 및 디바이스(116)의 연결을 차단할 수 있다.When a security threat is detected, the
도 2는 실시예에 따른 보안 통제 장치의 블록도이다.2 is a block diagram of a security control device according to an embodiment.
보안 통제 장치(100)는 디바이스 관리부(210), 보안 통제 정책 관리부(220), 보안 통제 정책 결정부(230) 및 보안 통제 정책 분배부(240)를 포함한다. 여기서 보안 통제 장치(100)는 적어도 하나의 디바이스를 포함한 디바이스 그룹을 적어도 하나 포함하는 IoT 환경에서의 보안 통제 장치(100)이다.The
보안 통제 장치(100)는 디바이스 그룹 정보 및 잠재적 보안 위협에 대항하여 생성된 기준 보안 통제 정책을 저장하는 저장소 및 프로세서를 포함한다.The
프로세서는 메모리 및 메모리에 저장된 데이터를 이용하여 명령어에 따라 연산을 수행하는 연산 장치이다. 예를 들어, 프로세서는 CPU와 같은 각종 마이크로 프로세서를 포함한다.The processor is an operation device that performs an operation according to an instruction using a memory and data stored in the memory. For example, the processor includes various microprocessors such as a CPU.
보안 통제 장치(100)의 프로세서는 적어도 하나의 디바이스의 상기 보안 위협에 대한 보안 통제 상태를 모니터링하는 디바이스 관리부(210)를 구동하도록 설정된다.The processor of the
디바이스 관리부(210)는 디바이스 그룹 구성 모듈(212)과 디바이스 상태 모니터링 모듈(214)를 포함한다.The
디바이스 그룹 구성 모듈(212)은 디바이스 정보를 관리하며, 이를 위하여 디바이스 정보를 시스템에 등록, 수정 및 삭제한다. 또한, 디바이스 그룹 구성 모듈(212)은 IoT 디바이스를 특성별로 그룹화하여 디바이스 그룹을 구성하고 디바이스 그룹 정보를 시스템에 등록, 수정 및 삭제하여 관리한다. 보안 통제 장치(100)의 저장소는 디바이스 정보 및 디바이스 그룹 정보를 저장한다.The device
디바이스 상태 모니터링 모듈(214)은 각 디바이스의 보안 통제 상태를 모니터링한다. 일 예에서, 디바이스 상태 모니터링 모듈(214)은 보안 통제 상태 확인에 대한 각 디바이스의 응답, 각 디바이스로부터 주기적으로 수신하는 데이터 및 각 디바이스의 게이트웨이 접근 빈도 등에 기반하여 각 디바이스의 보안 통제 상태를 결정한다. 후술할 보안 통제 정책 결정부(230)는 보안 통제 상태에 기반하여 보안 위협 발생 여부를 결정할 수 있다. The device
결과적으로, 디바이스 관리부(210)는 디바이스 그룹 구성 모듈(212)을 통해 디바이스 정보 및 디바이스 그룹 정보를 관리하고, 디바이스 상태 모니터링 모듈(214)을 통해 각 디바이스의 보안 통제 상태를 모니터링한다.As a result, the
보안 통제 장치(100)의 프로세서는 잠재적 보안 위협에 대한 기준 보안 통제 정책을 생성하는 보안 통제 정책 관리부(220)를 구동하도록 설정된다.The processor of the
보안 통제 정책 관리부(220)는 보안 통제 정책 모니터링 모듈(222)과 보안 통제 정책 구성 모듈(224)로 구성된다.The security control
보안 통제 정책 구성 모듈(224)은 잠재적으로 발생가능한 보안 위협에 대한 보안 통제의 내용과 범위를 규정하는 기준 보안 통제 정책을 생성, 수정 및 삭제하는 기능을 수행한다. 즉, 보안 통제 정책 구성 모듈(224)은 후술할 보안 통제 정책 결정부(230)에서 보안 통제 정책을 결정하기 위한 기준이 되는 기준 보안 통제 정책을 관리한다. 보안 통제 정책 구성 모듈(224)은 보안 통제 장치(100)의 저장소에 기준 보안 통제 정책을 저장한다.The security control
보안 통제 정책 모니터링 모듈(222)은 보안 통제 정책의 적용 결과를 모니터링한다. 예를 들어 보안 통제 정책 모니터링 모듈(222)은, 보안 통제 정책 분배부(240)가 보안 위협이 발생한 디바이스 그룹에 보안 통제 메시지를 전송하고 각 게이트웨이로부터 수신한 보안 통제 정책의 적용 결과를 모니터링한다.The security control
보안 통제 장치(100)의 프로세서는 보안 위협이 예상되는 디바이스 그룹에 대한 보안 통제 정책을 결정하는 보안 통제 정책 결정부(230)를 구동하도록 설정된다.The processor of the
보안 통제 정책 결정부(230)는 잠재적 보안 위협에 대항하여 보안 통제 정책 관리부(220)가 생성한 기준 보안 통제 정책에 기반하여 보안 위협이 예상되는 디바이스 그룹에 대한 보안 통제 정책을 결정한다. 보안 통제 정책 결정부(230)가 결정하는 보안 통제 정책에 관하여는 도 6및 도 7을 참조하여 후술한다.The security control
보안 통제 정책 결정부(230)는 보안 통제 범위 결정 모듈(232)과 보안 통제 수준 결정 모듈(234)를 포함한다.The security control
보안 통제 범위 결정 모듈(232)은 보안 위협의 확산을 막기 위해 보안 통제 정책을 배포할 디바이스 그룹을 결정한다. 즉, 보안 통제 범위 결정 모듈(232)은 수신된 보안 위협의 발생 또는 전파가 예상되는 디바이스 그룹을 보안 통제 정책을 배포할 디바이스 그룹으로 결정한다. 일 예에서, 보안 위협이 예상되는 디바이스 그룹은 디바이스 관리부(210)의 모니터링 결과, 보안 위협이 감지된 디바이스가 속한 디바이스 그룹이다.The security control
보안 통제 수준 결정 모듈(234)은 보안 위협의 종류와 심각도 등 보안 위협의 특성에 기반하여 디바이스에 대한 통제의 수준을 결정한다. 예를 들어 보안 통제 수준 결정 모듈(234)은 보안 위협의 특성에 기반하여 통제의 수준을 디바이스 동작 제어, 네트워크 패킷 제어 및 서비스 세션 제어 중 적어도 하나로 결정한다.The security control
보안 통제 장치(100)의 프로세서는 보안 통제 정책 결정부(230)에서 결정한 보안 통제 정책에 기반하여 보안 통제 메시지를 생성하는 보안 통제 정책 분배부(240)를 구동하도록 설정된다. 보안 통제 정책 분배부(240)는 생성된 보안 통제 메시지를 보안 통제 정책 결정부(230)에서 결정한 보안 위협이 예상되는 디바이스 그룹에 전송한다.The processor of the
보안 통제 정책 분배부(240)는 보안 통제 정책 전송 모듈(242)과 정책 적용 결과 수신 모듈(244)를 포함한다.The security control
보안 통제 정책 전송 모듈(242)은 보안 통제 메시지를 생성하여 게이트웨이(110, 120, 130)와 같이 보안 통제 메시지에 포함된 보안 통제 정책을 실시할 수 있는 디바이스에 전송한다. 보안 통제 메시지는 보안 통제 정책 결정부(230)에서 결정한 보안 통제 정책 정보 및 보안 위협이 예상되는 타겟 디바이스 그룹 정보를 포함한다. 보안 통제 메시지는 도 7을 참조하여 후술한다.The security control
정책 적용 결과 수신 모듈(244)은 보안 통제 정책의 적용 결과를 수신하고 저장소에 저장한다. 일 예에서, 통제 정책의 적용 결과는 디바이스 관리부(210)와 보안 통제 정책 관리부(220)에서 디바이스 및 디바이스 그룹의 보안 통제 상태를 모니터링하는데 사용될 수 있다.The policy application
도 3은 실시예에 따른 보안 통제 과정의 순서도이다.3 is a flowchart of a security control process according to an embodiment.
실시예에 따른 보안 통제 방법은 적어도 하나의 디바이스를 포함한 디바이스 그룹을 적어도 하나 포함하는 IoT 환경에서의 보안 통제 방법을 제공한다.The security control method according to the embodiment provides a security control method in an IoT environment including at least one device group including at least one device.
보안 통제 방법은 적어도 하나의 디바이스의 보안 위협에 대한 보안 통제 상태를 모니터링하는 단계(310)를 포함한다.The security control method includes a
단계(310)에서 디바이스 관리부(210)는 디바이스 상태 모니터링 모듈(212)을 통하여 IoT 환경을 구성하는 각 디바이스의 보안 위협에 대한 보안 통제 상태를 모니터링한다.In
보안 통제 방법은 보안 위협이 예상되는 디바이스 그룹에 대한 보안 통제 정책을 결정하는 단계(320)를 포함한다.The security control method includes determining a security control policy for a device group in which a security threat is expected (320).
단계(310)에서 보안 통제 상태 모니터링 결과 보안 위협이 감지된 경우 보안 통제 정책 결정부(230)는 단계(320)에서, 보안 통제 정책 관리부(220)에서 생성한 잠재적 보안 위협에 대한 기준 보안 통제 정책에 기반하여, 보안 위협이 예상되는 디바이스 그룹에 대한 보안 통제 정책을 결정한다.When a security threat is detected as a result of monitoring the security control status in
보안 통제 정책 결정부(230)가 결정하는 보안 통제 정책에 관하여는 도 6및 도 7을 참조하여 후술한다.The security control policy determined by the security control
즉, 단계(330)에서 보안 통제 정책 결정부(230)는 보안 위협이 예상되는 디바이스 그룹에 대한 보안 통제 범위를 결정한다.That is, in
단계(330)에서 보안 통제 정책 결정부(230)의 보안 통제 범위 결정 모듈(232)은 보안 위협의 확산을 막기 위해 보안 통제 정책을 배포할 디바이스 그룹을 결정한다. 도 2를 참조하여 전술한대로 보안 통제 범위 결정 모듈(232)은 수신된 보안 위협의 발생 또는 전파가 예상되는 디바이스 그룹을 보안 통제 정책을 배포할 디바이스 그룹으로 결정한다.In
또한, 단계(330)에서 보안 통제 정책 결정부(230)는 보안 위협에 대응한 보안 통제 수준을 결정한다.In addition, in
단계(330)에서 보안 통제 정책 결정부(230)의 보안 통제 수준 결정 모듈(234)은 보안 위협의 종류와 심각도 등 보안 위협의 특성에 기반하여 디바이스에 대한 통제의 수준을 결정한다.In
보안 통제 방법은 단계(320)에서 결정된 보안 통제 정책에 기반하여 보안 통제 메시지를 생성하는 단계(330)를 포함한다.The security control method includes a
단계(330)에서 보안 통제 정책 분배부(240)의 보안 통제 정책 전송 모듈(242)은 보안 통제 메시지를 생성한다. 보안 통제 메시지에 대하여는 도 7을 참조하여 후술한다.In
보안 통제 방법은, 후속하여, 단계(330)에서 생성한 보안 통제 메시지를 상기 보안 위협이 예상되는 디바이스 그룹에 전송하는 단계를 포함한다. 이 단계에서 보안 통제 정책 분배부(240)의 보안 통제 정책 전송 모듈(242)은 생성된 보안 통제 메시지를 게이트웨이(110, 120, 130)와 같이 보안 통제 메시지에 포함된 보안 통제 정책을 실시할 수 있는 디바이스에 전송한다.The security control method includes, subsequently, transmitting the security control message generated in
추가적으로, 보안 통제 방법은 보안 통제 정책에 기반하여 보안 통제 해제 메시지를 생성하는 단계를 더 포함할 수 있다. 보안 통제 해제 메시지는 보안 통제 메시지를 통해 보안 위협이 발생한 디바이스 그룹에 적용된 보안 통제 정책을 해제하게 된다.Additionally, the security control method may further include generating a security control release message based on the security control policy. The security control release message cancels the security control policy applied to the device group where the security threat has occurred through the security control message.
도 4는 일 예에 따른 보안 통제 설정 과정을 도시한 흐름도이다.4 is a flowchart illustrating a security control setting process according to an example.
단계(410) 및 단계(412)에서 디바이스 관리부(210)는 디바이스 그룹 구성 모듈(214)을 통해 디바이스를 등록하고 디바이스 그룹(414)을 구성한다.In
생성된 디바이스 그룹(414)은 단계(434) 및 단계(450)에서 보안 통제 메시지 생성 여부 결정 조건 및 보안 통제 메시지 전송 시에 사용된다.The generated
단계(420)에서 보안 통제 정책 관리부(220)는 보안 통제 정책 구성 모듈(224)을 통해 잠재적 보안 위협에 대한 기준 보안 통제 정책(422)을 생성한다. 생성된 기준 보안 통제 정책(422)은 보안 위협 발생 시에 단계(432)에서 보안 통제 정책 결정부(230)가 보안 통제 정책을 결정하는 기준이 된다.In
단계(430)에서 보안 통제 정책 결정부(230)는 보안 위협 발생 정보를 수신한다. 예를 들어, 보안 통제 정책 결정부(230)는 디바이스 관리부(210)의 디바이스 상태 모니터링 결과로서 특정 디바이스에 발생한 보안 위협에 관한 정보를 수신한다.In
단계(432)에서 보안 통제 정책 결정부(230)는 단계(422)에서 보안 통제 정책 관리부(220)가 생성한 기준 보안 통제 정책(422)에 기반하여 현재 발생한 보안 위협에 대응하기 위한 보안 통제 정책을 결정한다. 즉, 기준 보안 통제 정책 중에서 해당 보안 위협과 관련된 보안 정책 리스트를 추출하고, 보안 위협의 심각도 등에 기반하여 보안 정책 리스트로부터 현재 실행할 보안 통제 정책을 결정한다.In
단계(434)에서 보안 통제 정책 결정부(230)는 디바이스 그룹(414) 정보를 참조하여 현재 보안 위협이 발생한 디바이스가 속한 디바이스 그룹(414) 내에서 해당 보안 위협이 발생한 규모가 임계값을 초과하는 지를 판단한다. 여기서 임계값은 단계(432)에서 생성한 보안 통제 정책에 기반하여 결정될 수 있다.In
단계(440)에서 보안 통제 정책 분배부(240)는 단계(434)에서 확인한 보안 위협의 발생 규모가 보안 통제 정책에 따라 결정된 임계값을 초과하는 경우에 해당 보안 통제 정책에 기반한 보안 통제 메시지(445)를 생성한다.In
단계(450)에서 보안 통제 정책 분배부(240)의 보안 통제 정책 전송 모듈(242)은 디바이스 그룹(414) 정보를 참조하여 보안 통제 메시지(445)를 해당 디바이스 그룹에 전달한다.In
단계(460)에서 보안 통제 정책 분배부(240)의 정책 적용 결과 수신 모듈(244)은 보안 통제 메시지(445)에 포함된 보안 통제 정책의 적용 결과를 수신한다.In
단계(470)에서 보안 통제 정책 관리부(220)는 단계(460)에서 수신된 정책 적용 결과를 모니터링한다.In
단계(480)에서 디바이스 관리부(210)는 단계(460)에서 수신된 정책 적용 결과에 기반하여 디바이스 상태 모니터링 모듈(212)을 통해 각 디바이스의 보안 통제 상태를 모니터링한다.In
단계(470) 및 단계(480)에서 통제 정책의 적용 결과에 기반하여 보안 통제가 제대로 이루어졌는지 모니터링하고 추가적인 통제가 필요한지 판단할 수 있다.In
도 5는 일 예에 따른 보안 통제 해제 과정을 도시한 흐름도이다.5 is a flowchart illustrating a security control cancellation process according to an example.
단계(510) 및 단계(512)에서 디바이스 관리부(210)는 디바이스 그룹 구성 모듈(214)을 통해 디바이스를 등록하고 디바이스 그룹(514)을 구성한다.In
생성된 디바이스 그룹(514)은 단계(534) 및 단계(550)에서 보안 통제 해제 메시지 생성 여부 결정 조건 및 보안 통제 해제 메시지 전송 시에 사용된다.The generated
단계(520)에서 보안 통제 정책 관리부(220)는 보안 통제 정책 구성 모듈(224)을 통해 잠재적 보안 위협에 대한 기준 보안 통제 정책(522)을 생성한다. 생성된 기준 보안 통제 정책(522)은 보안 위협 해제 정보 수신 시에 단계(532)에서 보안 통제 정책 결정부(230)가 보안 통제 정책을 결정하는 기준이 된다.In
단계(530)에서 보안 통제 정책 결정부(230)는 보안 위협 해제 정보를 수신한다. 예를 들어, 보안 통제 정책 결정부(230)는 디바이스 관리부(210)의 디바이스 상태 모니터링 결과로서 특정 디바이스에 발생한 보안 위협이 해제 또는 해소되었다는 보안 통제 상태 정보를 수신한다.In
단계(532)에서 보안 통제 정책 결정부(230)는 단계(522)에서 보안 통제 정책 관리부(220)가 생성한 기준 보안 통제 정책(522)에 기반하여 보안 위협 해제에 대응하기 위한 보안 통제 정책을 결정한다. 예를 들어, 기준 보안 통제 정책 중에서 해당 보안 위협과 관련된 보안 정책 리스트를 추출하고, 해당 보안 정책을 해제하는 보안 통제 정책을 결정할 수 있다.In
단계(534)에서 보안 통제 정책 결정부(230)는 디바이스 그룹(514) 정보를 참조하여 현재 보안 위협이 발생한 디바이스가 속한 디바이스 그룹(514) 내에서 해당 보안 위협이 발생한 규모가 임계값 이하인 지를 판단한다. 여기서 임계값은 단계(532)에서 생성한 보안 통제 정책에 기반하여 결정될 수 있다.In
단계(540)에서 보안 통제 정책 분배부(240)는 단계(534)에서 확인한 보안 위협의 발생 규모가 보안 통제 정책에 따라 결정된 임계값 이하인 경우에 해당 보안 통제 정책에 기반한 보안 통제 해제 메시지(545)를 생성한다.In
단계(550)에서 보안 통제 정책 분배부(240)의 보안 통제 정책 전송 모듈(242)은 디바이스 그룹(514) 정보를 참조하여 보안 통제 해제 메시지(545)를 해당 디바이스 그룹에 전달한다.In
단계(560)에서 보안 통제 정책 분배부(240)의 정책 적용 결과 수신 모듈(244)은 보안 통제 해제 메시지(545)에 포함된 보안 통제 정책의 적용 결과를 수신한다.In
단계(570)에서 보안 통제 정책 관리부(220)는 단계(560)에서 수신된 정책 적용 결과를 모니터링한다.In
단계(580)에서 디바이스 관리부(210)는 단계(560)에서 수신된 정책 적용 결과에 기반하여 디바이스 상태 모니터링 모듈(212)을 통해 각 디바이스의 보안 통제 상태를 모니터링한다.In
단계(570) 및 단계(580)에서 통제 해제 정책의 적용 결과를 모니터링하여 해제가 제대로 이루어졌는지 확인할 수 있다.In
도 6은 예시적인 보안 통제 정책을 나타낸다.6 shows an exemplary security control policy.
보안 통제 정책은 예를 들어, 보안 통제 정책의 식별자(policy_id), 보안 통제 정책의 적용 조건(condition), 보안 통제 정책에 따른 동작(action) 및 보안 통제 정책의 적용 대상(target)에 관한 정보를 포함할 수 있다.The security control policy contains information on, for example, the identifier of the security control policy (policy_id), the condition of the security control policy, the action according to the security control policy, and the target of the security control policy. Can include.
적용 조건(condition)은 예를 들어, 보안 위협의 식별자(threat_id), 보안 위협의 심각도(severity), 발생 기간(period) 및 발생 횟수(count)를 포함한다. 적용 조건(condition)에 기반하여 단계(434) 및 단계(534)에서의 위험 발생 규모의 임계치가 결정될 수 있다. 예를 들어, 심각도(severity), 발생 기간(period) 및 발생 횟수(count) 중 적어도 하나에 기반하여 단계(434) 및 단계(534)에서의 위험 발생 규모의 임계치가 결정될 수 있다.The application condition includes, for example, an identifier of a security threat (threat_id), a severity of the security threat, a period of occurrence, and a count. A threshold of the magnitude of the risk occurrence in
도 6(a)는 예시적인 보안 통제 정책(policy_id_no_1)으로서, 디바이스(device_id_xxx)에서 보안 위협의 확산가능성이 낮은(severity: low) 취약점(threat_id_001)을 탐지한 경우 해당 디바이스의 펌웨어 업그레이드(firmware_upgrade) 등을 통해 취약점 제거를 수행하기 위한 보안 통제 정책을 보여준다. 여기서 타겟은 단일 디바이스(device_id_xxx)로 이루어진 디바이스 그룹이다.6(a) is an exemplary security control policy (policy_id_no_1), when a device (device_id_xxx) detects a vulnerability (threat_id_001) with a low probability of spreading a security threat, the firmware of the device is upgraded (firmware_upgrade), etc. Shows the security control policy to remove the vulnerability through. Here, the target is a device group consisting of a single device (device_id_xxx).
도 6(b)는 예시적인 보안 통제 정책(policy_id_no_2)으로서, 취약점(threat_id_001)이 특정 디바이스 모델에 동일하게 존재할 가능성이 높다고 판단되는 경우, 동일한 모델의 디바이스들로 구성된 디바이스 그룹(device_group_id_xxx)에 펌웨어 업그레이드(firmware_upgrade)를 동시에 수행하도록 지시하는 보안 통제 정책을 보여준다.6(b) is an exemplary security control policy (policy_id_no_2), and when it is determined that the vulnerability (threat_id_001) is highly likely to exist in a specific device model, the firmware is upgraded to a device group (device_group_id_xxx) composed of devices of the same model. Shows the security control policy instructing to execute (firmware_upgrade) simultaneously.
도 6(b)는 예시적인 보안 통제 정책(policy_id_no_3)으로서, 보안 통제 정책은 동일한 보안 위협이라도 보안 위협의 심각도(severity)나 발생 규모(period, count)에 따라 다른 범위와 수준으로 통제할 수 있도록 정의되는 예를 보여준다. 예를 들면, 하나의 디바이스에서 악성코드(threat_id_002)가 탐지되었다면 해당 디바이스에 대해서만 네트워크 접근 제어(network_access_control)를 하도록 정책을 구성할 수 있고, 동일한 악성코드(threat_id_002)가 하나의 디바이스 그룹 내 다수의 디바이스에서 탐지되었다면 해당 디바이스 그룹 전체(device_group_id_xxx)에 대해서 네트워크 접근 제어(network_access_control)를 하도록 구성할 수 있다.6(b) is an exemplary security control policy (policy_id_no_3). The security control policy allows the same security threats to be controlled in different ranges and levels according to the severity or occurrence scale (period, count) of the security threat. It shows an example that is defined. For example, if a malicious code (threat_id_002) is detected in one device, a policy can be configured to control network access (network_access_control) only for that device, and the same malicious code (threat_id_002) can be used for multiple devices in one device group. If detected, it can be configured to perform network access control (network_access_control) for the entire device group (device_group_id_xxx).
도 7은 예시적인 보안 통제 메시지 포맷을 나타낸다.7 shows an exemplary security control message format.
보안 통제 정책 분배부(240)는 보안 통제 메시지 또는 보안 통제 해제 메시지를 생성한다. 보안 통제 메시지 또는 보안 통제 해제 메시지는 예를 들어, 보안 통제 정책의 식별자, 즉 보안 통제 정책 ID(710), 보안 통제 조건(720), 보안 통제 동작(730) 및 타겟 정보(740)를 포함한다. 도 6을 참조하여, 보안 통제 정책 ID(710)는 policy_id에 대응하고, 보안 통제 조건(720)은 condition에 대응하고, 보안 통제 동작(730)은 action에 대응하고 타겟 정보(740)는 target에 대응한다.The security control
보안 통제 정책은 보안 위협의 확산을 방지하기 위해 보안 위협의 심각도, 발생 규모 등 보안 위협의 특성에 따라 통제의 범위와 수준을 결정한다. 이를 위하여 보안 통제 조건 정책은 보안 위협 식별자, 심각도, 보안위협 발생 규모, 통제 범위와 통제 수준 및 수단을 포함할 수 있다.The security control policy determines the scope and level of control according to the characteristics of the security threat, such as the severity and size of the security threat, to prevent the spread of security threats. To this end, the security control condition policy may include the security threat identifier, severity, the size of the security threat occurrence, the scope of control, the level of control, and the means.
보안 통제 조건(720)은 보안 통제 동작(action)을 수행하기 위한 조건을 의미하며, 보안 위협의 심각도, 위협의 발생 기간 및 발생 횟수 등을 포함할 수 있다.The
보안 통제 동작(730)은 위협에 따른 보안 통제의 수단 및 수준을 의미한다. 예를 들어 보안 통제 동작(730)은 디바이스 동작 제어, 네트워크 접근 제어 및 서비스 세션 제어 등을 포함한다.The
타겟 정보(740)은 보안 통제 메시지를 배포할 대상이 되는 디바이스 그룹이다. 예를 들어 타겟은 보안 위협이 발생한 디바이스가 속한 디바이스 그룹 또는 보안 위협이 확산될 가능성이 높은 디바이스 그룹을 포함한다.The
도 4를 참조하여 살펴본대로, 보안 통제 장치(100)는 디바이스 그룹 내 위협의 발생 규모가 보안 통제 조건(720)에서 정의한 임계값을 초과하는 경우 보안 통제 동작(730)에 정의된 통제 수준 및 수단에 따라 보안 통제 메시지를 생성하여, 보안 통제 대상인 타겟 정보(740)에 정의된 통제 범위를 참고하여 보안 통제 정책을 배포할 디바이스 그룹을 선택한 후 해당 보안 통제 정책을 포함하는 보안 통제 메시지를 해당 디바이스 그룹에 전송한다.As described with reference to FIG. 4, the
본 발명의 실시예에 따른 보안 통제 장치 및 방법은 컴퓨터 시스템에서 구현되거나, 또는 기록매체에 기록될 수 있다. 컴퓨터 시스템은 적어도 하나 이상의 프로세서와, 메모리와, 사용자 입력 장치와, 데이터 통신 버스와, 사용자 출력 장치와, 저장소를 포함할 수 있다. 전술한 각각의 구성 요소는 데이터 통신 버스를 통해 데이터 통신을 한다.The security control device and method according to an embodiment of the present invention may be implemented in a computer system or recorded on a recording medium. The computer system may include at least one processor, memory, user input device, data communication bus, user output device, and storage. Each of the above-described components communicates data through a data communication bus.
컴퓨터 시스템은 네트워크에 커플링된 네트워크 인터페이스를 더 포함할 수 있다. 프로세서는 중앙처리 장치(central processing unit (CPU))이거나, 혹은 메모리 및/또는 저장소에 저장된 명령어를 처리하는 반도체 장치일 수 있다.The computer system may further include a network interface coupled to the network. The processor may be a central processing unit (CPU) or a semiconductor device that processes instructions stored in a memory and/or storage.
컴퓨터 시스템은 예를 들어, 단일의 서버 컴퓨터 또는 이와 유사한 시스템이거나, 또는 하나 이상의 서버 뱅크들 또는 그 외 다른 배열들로 배열되는 복수의 서버들일 수 있다. 예를 들어 컴퓨터 시스템은 복수의 프로세서에 기반한 분산 처리 시스템 또는 병렬 처리 시스템이거나 클러스터링 서버군 또는 클라우드 서버일 수 있다. 서버 또는 서버군과 같은 컴퓨터 시스템은 단일 시설에 놓일 수도 있고, 혹은 많은 서로 다른 지리적 위치들 간에 분산될 수 있다. 각 서버는 프로세서, 통신 인터페이스 및 메모리를 포함할 수 있다. 프로세서, 메모리 및 통신 인터페이스는 통신 버스를 통해 서로 연결될 수 있다.The computer system may be, for example, a single server computer or similar system, or may be a plurality of servers arranged in one or more server banks or other arrangements. For example, the computer system may be a distributed processing system or a parallel processing system based on a plurality of processors, a clustering server group, or a cloud server. Computer systems, such as servers or groups of servers, may be located in a single facility, or may be distributed among many different geographic locations. Each server may include a processor, a communication interface, and a memory. The processor, memory and communication interface can be connected to each other through a communication bus.
메모리 및 저장소는 다양한 형태의 휘발성 혹은 비휘발성 저장매체를 포함할 수 있다. 예컨대, 메모리는 ROM 및 RAM을 포함할 수 있다.The memory and storage may include various types of volatile or nonvolatile storage media. For example, the memory may include ROM and RAM.
본 발명의 실시예에 따른 보안 통제 방법은 컴퓨터에서 실행 가능한 방법으로 구현될 수 있다. 본 발명의 실시예에 따른 보안 통제 방법이 컴퓨터 장치에서 수행될 때, 컴퓨터로 판독 가능한 명령어들이 본 발명에 따른 보안 통제 방법을 수행할 수 있다.The security control method according to an embodiment of the present invention may be implemented in a method executable in a computer. When a security control method according to an embodiment of the present invention is performed in a computer device, computer-readable instructions may perform the security control method according to the present invention.
상술한 본 발명에 따른 보안 통제 방법은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록 매체로는 컴퓨터 시스템에 의하여 해독될 수 있는 데이터가 저장된 모든 종류의 기록 매체를 포함한다. 예를 들어, ROM(Read Only Memory), RAM(Random Access Memory), 자기 테이프, 자기 디스크, 플래시 메모리, 광 데이터 저장장치 등이 있을 수 있다. 또한, 컴퓨터로 판독 가능한 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다.The above-described security control method according to the present invention can be implemented as a computer-readable code on a computer-readable recording medium. The computer-readable recording medium includes all kinds of recording media in which data that can be decoded by a computer system is stored. For example, there may be read only memory (ROM), random access memory (RAM), magnetic tape, magnetic disk, flash memory, optical data storage device, and the like. In addition, the computer-readable recording medium can be distributed to a computer system connected through a computer communication network, and stored and executed as code that can be read in a distributed manner.
이제까지 본 발명을 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양하게 변경 또는 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명을 위한 예시적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.So far, the present invention has been looked at based on examples. Those of ordinary skill in the art to which the present invention pertains will appreciate that the present invention can be implemented in variously modified or modified forms without departing from the essential characteristics of the present invention. Therefore, the disclosed embodiments should be considered from an illustrative point of view, not a limiting point of view. The scope of the present invention is shown in the claims rather than the above description, and all differences within the scope equivalent thereto should be construed as being included in the present invention.
100:
보안 통제 장치
210:
디바이스 관리부
220:
보안 통제 정책 관리부
230:
보안 통제 정책 결정부
240:
보안 통제 정책 분배부100: security control device
210: device management unit
220: security control policy management department
230: Security control policy decision section
240: security control policy distribution unit
Claims (15)
디바이스 그룹 정보 및 잠재적 보안 위협에 대항하여 생성된 기준 보안 통제 정책을 저장하는 저장소; 및
프로세서를 포함하고, 상기 프로세서는,
보안 위협이 예상되는 디바이스 그룹에 대한 보안 통제 정책을 결정하는 보안 통제 정책 결정부 및
결정된 상기 보안 통제 정책에 기반하여 보안 통제 메시지를 생성하는 보안 통제 정책 분배부
를 구동하도록 설정되는 보안 통제 장치.
A security control apparatus in an IoT environment including at least one device group including at least one device,
A storage for storing device group information and a standard security control policy generated against potential security threats; And
Including a processor, the processor,
A security control policy decision unit that determines the security control policy for the device group where security threats are expected, and
Security control policy distribution unit that generates a security control message based on the determined security control policy
Security control device that is set up to drive.
제 1 항에 있어서,
상기 보안 통제 정책 결정부는,
잠재적 보안 위협에 대항하여 생성된 기준 보안 통제 정책에 기반하여 상기 보안 위협이 예상되는 디바이스 그룹에 대한 보안 통제 정책을 결정하는, 보안 통제 장치.
The method of claim 1,
The method of claim 1,
The security control policy determining unit,
A security control device for determining a security control policy for a device group in which the security threat is expected based on a standard security control policy generated against a potential security threat.
상기 프로세서는,
상기 적어도 하나의 디바이스의 상기 보안 위협에 대한 보안 통제 상태를 모니터링하는 디바이스 관리부
를 구동하도록 더 설정되는 보안 통제 장치.
The method of claim 1,
The processor,
A device management unit that monitors a security control state of the at least one device against the security threat
Security control device that is further set to drive.
상기 프로세서는,
잠재적 보안 위협에 대한 기준 보안 통제 정책을 생성하는 보안 통제 정책 관리부
를 구동하도록 더 설정되는 보안 통제 장치.
The method of claim 1,
The processor,
Security control policy management department that creates standard security control policies for potential security threats
Security control device that is further set to drive.
상기 프로세서는,
상기 보안 통제 메시지를 상기 보안 위협이 예상되는 디바이스 그룹에 전송하는 보안 통제 정책 분배부
를 구동하도록 더 설정되는 보안 통제 장치.
The method of claim 1,
The processor,
A security control policy distribution unit that transmits the security control message to a device group where the security threat is expected
Security control device that is further set to drive.
상기 보안 위협이 예상되는 디바이스 그룹은 상기 보안 위협이 감지된 디바이스가 속한 디바이스 그룹인 보안 통제 장치.
The method of claim 1,
The device group from which the security threat is expected is a device group to which the device from which the security threat is detected belongs.
상기 보안 통제 메시지는 보안 통제 정책 ID, 보안 통제 조건, 보안 통제 동작 및 타겟 정보를 포함하는 보안 통제 장치.
The method of claim 1,
The security control message includes a security control policy ID, a security control condition, a security control operation, and target information.
상기 보안 통제 정책 분배부는,
상기 보안 위협의 발생 규모가 상기 보안 통제 정책에 따라 결정된 임계값을 초과하는 경우에 상기 보안 통제 메시지를 생성하는, 보안 통제 장치.
The method of claim 1,
The security control policy distribution unit,
Generating the security control message when the magnitude of the occurrence of the security threat exceeds a threshold value determined according to the security control policy.
보안 위협이 예상되는 디바이스 그룹에 대한 보안 통제 정책을 결정하는 단계; 및
결정된 상기 보안 통제 정책에 기반하여 보안 통제 메시지를 생성하는 단계
를 포함하는 보안 통제 방법.
In the security control method in an IoT environment including at least one device group including at least one device,
Determining a security control policy for a device group in which a security threat is expected; And
Generating a security control message based on the determined security control policy
Security control method comprising a.
상기 적어도 하나의 디바이스의 상기 보안 위협에 대한 보안 통제 상태를 모니터링하는 단계
를 더 포함하는 보안 통제 방법.
The method of claim 9,
Monitoring a security control state for the security threat of the at least one device
Security control method further comprising a.
상기 보안 통제 정책을 결정하는 단계는,
잠재적 보안 위협에 대항하여 생성된 기준 보안 통제 정책에 기반하여 상기 보안 위협이 예상되는 디바이스 그룹에 대한 보안 통제 정책을 결정하는, 보안 통제 방법.
The method of claim 9,
The step of determining the security control policy,
A security control method for determining a security control policy for a device group in which the security threat is expected based on a standard security control policy created against a potential security threat.
상기 보안 통제 정책을 결정하는 단계는,
상기 보안 위협이 예상되는 디바이스 그룹에 대한 보안 통제 범위를 결정하는 단계; 및
상기 보안 위협에 대응한 보안 통제 수준을 결정하는 단계
를 포함하는 보안 통제 방법.
The method of claim 9,
The step of determining the security control policy,
Determining a security control range for the device group in which the security threat is expected; And
Determining a security control level corresponding to the security threat
Security control method comprising a.
상기 보안 통제 메시지를 상기 보안 위협이 예상되는 디바이스 그룹에 전송하는 단계
를 더 포함하는 보안 통제 방법.
The method of claim 9,
Transmitting the security control message to a device group where the security threat is expected
Security control method further comprising a.
상기 보안 통제 메시지를 생성하는 단계는,
상기 보안 위협의 발생 규모가 상기 보안 통제 정책에 따라 결정된 임계값을 초과하는 경우에 상기 보안 통제 메시지를 생성하는, 보안 통제 방법.
The method of claim 9,
Generating the security control message,
Generating the security control message when the size of the occurrence of the security threat exceeds a threshold value determined according to the security control policy.
상기 보안 통제 정책에 기반하여 보안 통제 해제 메시지를 생성하는 단계
를 더 포함하고,
상기 보안 통제 해제 메시지를 생성하는 단계는,
상기 보안 위협의 발생 규모가 상기 보안 통제 정책에 따라 결정된 임계값 이하인 경우에 상기 보안 통제 해제 메시지를 생성하는, 보안 통제 방법.The method of claim 9,
Generating a security control cancellation message based on the security control policy
Including more,
Generating the security control cancellation message,
Generating the security control cancellation message when the magnitude of the security threat is less than or equal to a threshold value determined according to the security control policy.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190034594A KR102275065B1 (en) | 2019-03-26 | 2019-03-26 | Apparatus and method for security control |
US16/813,986 US20200296119A1 (en) | 2019-03-11 | 2020-03-10 | Apparatus and method for security control |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190034594A KR102275065B1 (en) | 2019-03-26 | 2019-03-26 | Apparatus and method for security control |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20200113836A true KR20200113836A (en) | 2020-10-07 |
KR102275065B1 KR102275065B1 (en) | 2021-07-08 |
Family
ID=72883432
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020190034594A KR102275065B1 (en) | 2019-03-11 | 2019-03-26 | Apparatus and method for security control |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102275065B1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20230094607A (en) | 2021-12-21 | 2023-06-28 | 한국전자통신연구원 | Method and apparatus for protecting device |
US11916878B2 (en) | 2021-03-04 | 2024-02-27 | Electronics And Telecommunications Research Institute | Apparatus and method for security of internet of things device |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20100021077A (en) * | 2008-08-14 | 2010-02-24 | 한국전자통신연구원 | Apparatus and method for security management of user terminal |
KR101499470B1 (en) * | 2014-09-26 | 2015-03-09 | (주)유엠로직스 | Advanced Persistent Threat attack defense system and method using transfer detection of malignant code |
-
2019
- 2019-03-26 KR KR1020190034594A patent/KR102275065B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20100021077A (en) * | 2008-08-14 | 2010-02-24 | 한국전자통신연구원 | Apparatus and method for security management of user terminal |
KR101499470B1 (en) * | 2014-09-26 | 2015-03-09 | (주)유엠로직스 | Advanced Persistent Threat attack defense system and method using transfer detection of malignant code |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11916878B2 (en) | 2021-03-04 | 2024-02-27 | Electronics And Telecommunications Research Institute | Apparatus and method for security of internet of things device |
KR20230094607A (en) | 2021-12-21 | 2023-06-28 | 한국전자통신연구원 | Method and apparatus for protecting device |
Also Published As
Publication number | Publication date |
---|---|
KR102275065B1 (en) | 2021-07-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11019081B1 (en) | System and method of detecting delivery of malware using cross-customer data | |
US10445502B1 (en) | Susceptible environment detection system | |
US10824729B2 (en) | Compliance management in a local network | |
US9509628B2 (en) | Managing devices in a heterogeneouus network | |
US10432650B2 (en) | System and method to protect a webserver against application exploits and attacks | |
US20180191848A1 (en) | User and iot (internet of things) apparatus tracking in a log management system | |
US9479528B2 (en) | Signature rule processing method, server, and intrusion prevention system | |
KR20140136894A (en) | Method and apparatus for detecting malware and medium record of | |
CN109922062B (en) | Source code leakage monitoring method and related equipment | |
US20170244738A1 (en) | Distributed detection of malicious cloud actors | |
US11240205B1 (en) | Implementing rules in firewalls | |
CN114257413B (en) | Reaction blocking method and device based on application container engine and computer equipment | |
US20190109824A1 (en) | Rule enforcement in a network | |
KR102275065B1 (en) | Apparatus and method for security control | |
KR102559568B1 (en) | Apparatus and method for security control in IoT infrastructure environment | |
EP4122183B1 (en) | Multi-tenant routing gateway for internet-of-things devices | |
US20200296119A1 (en) | Apparatus and method for security control | |
CN115580457A (en) | Honeypot system of cloud computing platform and cloud access processing method and device | |
US9699215B2 (en) | Computer devices and security management device communicationally-connected to the same | |
JP5952220B2 (en) | File monitoring cycle calculation device, file monitoring cycle calculation system, file monitoring cycle calculation method, and file monitoring cycle calculation program | |
EP1722531B1 (en) | Method and system for detecting malicious wireless applications | |
US9514303B2 (en) | Computer devices and security management device communicationally-connected to the same | |
CN116436668B (en) | Information security control method and device, computer equipment and storage medium | |
KR102180105B1 (en) | Method and apparatus for determining malicious software for software installed on device | |
KR102136923B1 (en) | System and method for providing security service of road traffic network using software defined networking and network function virtualization |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right |