KR20210141198A - Network security system that provides security optimization function of internal network - Google Patents

Network security system that provides security optimization function of internal network Download PDF

Info

Publication number
KR20210141198A
KR20210141198A KR1020200058558A KR20200058558A KR20210141198A KR 20210141198 A KR20210141198 A KR 20210141198A KR 1020200058558 A KR1020200058558 A KR 1020200058558A KR 20200058558 A KR20200058558 A KR 20200058558A KR 20210141198 A KR20210141198 A KR 20210141198A
Authority
KR
South Korea
Prior art keywords
information
security
traffic
unit
policy
Prior art date
Application number
KR1020200058558A
Other languages
Korean (ko)
Other versions
KR102377784B1 (en
Inventor
배영준
한명섭
Original Assignee
주식회사 루터스시스템
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 루터스시스템 filed Critical 주식회사 루터스시스템
Priority to KR1020200058558A priority Critical patent/KR102377784B1/en
Publication of KR20210141198A publication Critical patent/KR20210141198A/en
Application granted granted Critical
Publication of KR102377784B1 publication Critical patent/KR102377784B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

The present invention relates to a network security system, and more specifically, to a network security system providing a security optimization function of an internal network, which classifies traffic suspected of being harmful to traffic generated in an external network and the internal network, establishes a virtual security policy by analyzing a signature of classified traffic and then calculates accuracy by simulating the virtual security policy using an entire generated traffic, and manages by automatically adding and modifying the security policy based on the same. Therefore, effective security policy can be implemented by automatically detecting and analyzing new harmful traffic generated in the internal network and the external network.

Description

내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템{Network security system that provides security optimization function of internal network}Network security system that provides security optimization function of internal network}

본 발명은 네트워크 보안 시스템에 관한 것으로서, 더욱 상세하게는 외부망과 내부망에서 발생되는 트래픽에 대하여 유해성이 의심되는 트래픽을 분류하고, 분류된 트래픽의 시그너처를 분석하여 가상의 보안정책을 수립한 뒤, 발생된 전체의 트래픽을 이용해 가상의 보안정책을 시뮬레이션하여 정확도를 산출하고, 이를 기준으로 보안 정책을 자동으로 추가 및 수정하여 관리함으로써, 내부망과 외부망에서 발생하는 새로운 유해 트래픽을 자동으로 탐지 및 분석하여 효과적인 보안정책을 수행할 수 있는 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템에 관한 것이다.The present invention relates to a network security system, and more particularly, classifies traffic suspected of being harmful to traffic generated in an external network and an internal network, analyzes a signature of the classified traffic, and establishes a virtual security policy. , calculates accuracy by simulating a virtual security policy using all generated traffic, and automatically detects new harmful traffic generated from internal and external networks by automatically adding and modifying security policies based on this and managing them And it relates to a network security system that provides an internal network security optimization function capable of performing an effective security policy by analyzing it.

사이버 공격은 조직적이고 지능적으로 이루어지고 있으며, 특히, 해킹 조직이 경제적인 목적을 가지고 특정 공격 표적을 대상으로 은밀하고, 지속적으로 지능적인 공격을 수행하는 APT(Advanced Persistent Threat, 지능형 지속 위협) 공격이 급격히 증가하고 있어 사회적으로 큰 문제가 되고 있다. 특히, APT 공격은 조직의 중요정보를 불법적으로 갈취하기 위해 해커 또는 해킹 조직이 공격 대상 조직에 악성코드를 침투시킨 후, 지속적인 악성코드 업데이트를 통해, 중요정보 접근 권한자의 호스트를 악성코드로 감염시킴으로써, 중요정보를 유출시키는 공격 방법이다.Cyber attacks are organized and intelligent, and in particular, APT (Advanced Persistent Threat) attacks in which hacking organizations perform covert and continuous intelligent attacks targeting specific attack targets for economic purposes. It is growing rapidly and is becoming a major social problem. In particular, APT attacks infect the host of the person who has access to important information with malicious code through continuous malicious code updates after a hacker or hacking organization infiltrates the target organization with malicious code to illegally extort important information of the organization. , an attack method that leaks important information.

이에, 정보시스템 자산의 증가와 함께 다양한 환경의 운영체제(OS)나 모바일단말기용 응용 프로그램(APPLICATION), 보안 솔루션이 개발되어 사용되고 있다.Accordingly, with the increase of information system assets, operating systems (OS) in various environments, application programs for mobile terminals, and security solutions have been developed and used.

이와 같은 다양한 환경에서 기록되는 보안 이벤트 역시 다양한 형태로 저장되고, 그 용량도 빠른 속도로 커지고 있다.Security events recorded in such various environments are also stored in various forms, and their capacity is increasing rapidly.

다양한 종류의 로컬단말기에서 발생하는 보안 침해에 관련된 이벤트는 로컬단말기 또는 네트워크상의 감시장치에 의해 이벤트 로그로 기록된다.Events related to security breaches occurring in various types of local terminals are recorded as event logs by local terminals or monitoring devices on the network.

관리자는 생성된 이벤트 로그를 분석하여 보안 침해의 피해를 확인하고, 추가적인 침해를 예방할 수 있도록 조치를 취하게 된다.The administrator analyzes the generated event log to check the damage of the security breach and takes action to prevent further breaches.

'인용문헌 1'("윈도우 네트워크 감시를 통한 커널 백도어 탐지 시스템 및 방법", 이하 '인용문헌 1'이라 함.)에서는 윈도우 네트워크 구성요소 중에서 TDI(Transport Driver Interface) 계층과 NDIS(Network Driver Interface Specification) 계층을 통과하는 네트워크 패킷의 정보를 비교 분석하여 정상적인 네트워크 행위로부터 발생된 네트워크 패킷과 커널 백도어와 같은 악성 네트워크 행위로부터 발생된 네트워크 패킷을 서로 구분하여 커널 백도어를 탐지함과 아울러, 이러한 커널 백도어로부터 발생된 네트워크 패킷을 필터링하여 커널 백도어로 인한 침입을 방지할 수 있는 커널 백도어 탐지 시스템 및 방법을 개시하고 있다.In 'Citation 1' ("Kernel backdoor detection system and method through Windows network monitoring", hereinafter referred to as 'Citation 1'), TDI (Transport Driver Interface) layer and NDIS (Network Driver Interface Specification) among Windows network components ) by comparing and analyzing the information of network packets passing through the layer to detect a kernel backdoor by distinguishing between a network packet generated from a normal network behavior and a network packet generated from a malicious network behavior such as a kernel backdoor. Disclosed are a kernel backdoor detection system and method capable of preventing intrusion by a kernel backdoor by filtering generated network packets.

그러나 상기 '인용문헌 1'은 커널 백도어로 칩입을 방지하는 데 국한된 기술로, 시스템 서버 또는 내부 네트워크에 접속된 단말들을 통해 문서 유출 또는 해킹을 방지할 수 있는 기술이 개시되어 있지 않으며, 하위트래픽에서 발생된 유해트래픽을 차단할 수 있는 기술이 개시되어 있지 않다.However, the 'cited document 1' is a technology limited to preventing intrusion through a kernel backdoor, and a technology capable of preventing document leakage or hacking through terminals connected to a system server or an internal network is not disclosed, and in sub-traffic A technology that can block the generated harmful traffic is not disclosed.

또한, 종래기술에서는 생성된 네트워크 기반 보안 이벤트 로그를 분석하여 위험도를 측정하는데, 경우에 따라서는 서로 관련이 있는 다양한 보안 이벤트를 그룹화하여 분석하는 것이 효율적이다.In addition, in the prior art, the level of risk is measured by analyzing the generated network-based security event log. In some cases, it is efficient to group and analyze various security events that are related to each other.

또한, 네트워크 기반의 보안 이벤트로그를 분석하는 종래기술에서는 이와 같은 필요가 있어도 연관된 분석방법을 제공하지 못하기 때문에 효율적인 대처가 어려워지는 문제가 있었다.In addition, in the prior art of analyzing a network-based security event log, there is a problem in that it is difficult to effectively cope because it cannot provide a related analysis method even if there is such a need.

즉, 보안관제 서비스는 초창기에는 네트워크 보안 시스템을 운영하고 해당 장비에서 발생하는 다양한 이벤트를 모니터링에 국한되는 기초적인 서비스 수준이 주를 이루고 있는 것이 현실이다.In other words, in the early days of security control services, the reality is that the basic service level is mainly limited to operating the network security system and monitoring various events occurring in the equipment.

최근 많이 이용되고 있는 홈페이지 변조나 주요 정보 유출 등 해킹 기법은 시간이 지날수록 지능적이고 전문화, 고도화되고 있으며 여러 개인정보보호 유출사고를 겪으며 개인정보보호 또한 보안의 중요한 포인트로 인식되고 있지만 이러한 이슈들이 서비스에 반영되어 운영되지 않는다.Hacking techniques, such as homepage falsification and major information leakage, which have been widely used recently, are becoming more intelligent, specialized, and advanced as time goes by. is not reflected in the operation.

상기와 같은 문제를 해결하기 위해, 기업체나 국가기관 등에서는 네트워크에서 발생하는 보안 침해와 관련한 각종 이벤트(이하, 보안 이벤트라 함)에 대해 사전/사후 대응이 가능하게 위험 관리를 수행함으로써 네트워크의 다종 다수의 보안 솔루션에 대한 가용성, 무결성, 기밀성을 보장하기 위하여 통합보안관리시스템(ESM;Enterprise Security Management), 위험관리시스템(RMS; Risk Management System), 위협관리시스템(TMS;Threat Management System), 방화벽(Firewall), 침입탐지시스템(IDS;Intrusion Detection System), 침입방지시스템(IPS;Intrusion Protection System) 등과 같은 네트워크 보안관리시스템을 구축한다.In order to solve the above problems, corporations and national institutions perform risk management to enable pre/post responses to various events (hereinafter referred to as security events) related to security breaches occurring in the network, thereby providing a wide range of networks. To ensure availability, integrity, and confidentiality of multiple security solutions, an integrated security management system (ESM), a risk management system (RMS), a threat management system (TMS), a firewall (Firewall), Intrusion Detection System (IDS), Intrusion Prevention System (IPS; Intrusion Protection System), such as to build a network security management system.

상기 위험관리시스템(RMS)은 관리 대상 네트워크의 IT(Information Technology) 자산, 예컨대 각종 보안 장비 또는 네트워크 장비(예컨대, 서버, 라우터 등) 전체를 대상으로 보안 이벤트를 수집 및 분석하여 취약점과 위협을 미리 파악해 대응함으로써 사전에 보안사고를 예방하고 보안수준을 상시 안정되게 관리한다.The risk management system (RMS) collects and analyzes security events for all IT (Information Technology) assets of the managed network, for example, various security equipment or network equipment (eg, servers, routers, etc.) to prevent vulnerabilities and threats in advance. By identifying and responding to security incidents, we prevent security incidents in advance and manage the security level stably at all times.

상기 위협관리시스템(TMS)은 관리 대상 네트워크에서 발생하는 보안 이벤트를 수집 및 분석하여, 특히 네트워크 트래픽의 사이버 위협을 탐지 및 식별하고 종합적으로 분석해 조기 경보를 제공하는 기능을 수행한다.The threat management system (TMS) collects and analyzes security events that occur in the network to be managed, and in particular, detects and identifies cyber threats in network traffic and comprehensively analyzes them to provide early warning.

상기 방화벽(Firewall)은 라우터나 응용 게이트웨이 등을 설치하여 모든 정보의 흐름이 이들을 통해서만 이루어지게 함으로써, 기업이나 조직 내부의 네트워크와 인터넷 간에 전송되는 정보를 선별하여 수용, 거부, 수정한다.The firewall installs routers or application gateways so that all information flows only through them, so that information transmitted between a network and the Internet within a company or organization is selected and accepted, rejected, and modified.

상기 침입탐지시스템(IDS)은 관리 대상 네트워크에서 발생하는 보안 이벤트를 수집 및 분석하여, 악의적인 네트워크 트래픽을 탐지하면 이 사실을 관리자에게 경보하는 기능을 수행한다.The intrusion detection system (IDS) collects and analyzes security events occurring in the managed network, and when malicious network traffic is detected, it functions to alert the administrator of this fact.

상기 침입방지시스템(IPS)은 관리 대상 네트워크에서 발생하는 보안 이벤트를 수집 및 분석하여, 악의적인 네트워크 트래픽을 탐지하면 이 사실을 관리자에게 경보하고, 또한, 즉시 차단하는 기능을 수행한다.The intrusion prevention system (IPS) collects and analyzes security events occurring in the managed network, and when malicious network traffic is detected, alerts the administrator of this fact and also performs a function to block immediately.

상기와 같이 운용되는 통상의 네트워크 보안관리시스템은 네트워크의 보안 정책에 따라 보안 이벤트에 대응하는 위협 등급을 정한다.A typical network security management system operated as described above determines a threat level corresponding to a security event according to a network security policy.

그러나, 상기와 같은 네트워크 보안관리시스템은 통합적이고, 연관성 있는 분석 및 비정형 데이터에 대하여 고려하지 않는다.However, the network security management system as described above does not consider the integrated and relevant analysis and unstructured data.

또한, 인터넷의 급속한 성장으로 다양한 이점을 제공하고 있으나, 동시에 인터넷은 많은 문제점을 포함하고 있다.In addition, the rapid growth of the Internet provides various advantages, but at the same time, the Internet includes many problems.

이중 가장 큰 문제 영역으로 보안 영역이 대두되고 있는 추세이다.Among them, the security area is emerging as the biggest problem area.

현재 많은 시스템들이 공격의 대상이 되고 있으며, 이러한 침입 행위(intrusion behavior)는 오용 침입(misuse intrusion)과 비정상적인 침입(abnormal intrusion)으로, 침입 모델의 유형에 따라 분류되고 있다.Currently, many systems are being attacked, and these intrusion behaviors are classified into misuse intrusion and abnormal intrusion, depending on the type of intrusion model.

이에 많은 침입탐지 기법들이 소개되고 이들을 탑재한 침입탐지 시스템(IDS: Intrusion Detection System)들이 상용화되고 있지만, 대부분이 패턴 탐지를 하고 있으며, 또한, 오탐율이 매우 높은 실정이다.Accordingly, many intrusion detection techniques have been introduced and intrusion detection systems (IDS) equipped with them have been commercialized, but most of them are pattern detection, and the false positive rate is very high.

이와 같이, 침입탐지 정보만을 이용하여 실제 관제를 수행하기에는 높은 오탐율로 인하여 실제적으로 적용하는데 문제가 있다.As such, there is a problem in practical application due to a high false positive rate to perform actual control using only intrusion detection information.

즉, 현재까지의 침입탐지 로그 정보를 이용하는 관제시스템은 수많은 오탐지 때문에 실제 침입 정보를 확인하기 어렵다는 단점이 있다.That is, the control system using the intrusion detection log information up to now has a disadvantage in that it is difficult to check the actual intrusion information due to numerous false positives.

한편, 통계적 기법을 이용하여 외부의 침입을 탐지하기 위한 시도로서 트래픽 통계를 활용한 방법들이 제시되고 있다.Meanwhile, as an attempt to detect an external intrusion using a statistical technique, methods using traffic statistics have been proposed.

트래픽 통계를 활용한 방법의 경우에는 트래픽 통계 정보의 시계열 분석을 통하여 평상시보다 트래픽 양이 급속히 증가하거나 특정 포트의 트래픽 양이 증가하는 경우 등에 대한 이상 탐지를 수행하게 된다.In the case of the method using traffic statistics, anomaly detection is performed when the amount of traffic increases more rapidly than usual or when the amount of traffic on a specific port increases through time series analysis of traffic statistics information.

그러나, 이 방법 역시 많은 트래픽을 유발하는 정상 사용에 대해서 공격으로 판단할 수 있으며, 소규모 트래픽을 유발하는 침입 시도에 대해서는 탐지할 수 없는 문제가 있다.However, this method can also be judged as an attack for normal use that causes a lot of traffic, and there is a problem in that it cannot detect an intrusion attempt that causes a small amount of traffic.

즉, 트래픽 통계 정보를 이용하는 관제시스템은 침입탐지 시스템과 달리 특정 패턴을 활용하지 않음으로서 비정상 트래픽을 탐지할 수 있는 방안을 제공한다.That is, the control system using traffic statistics information provides a method for detecting abnormal traffic by not using a specific pattern unlike the intrusion detection system.

일반적으로 트래픽 통계 정보를 이용하는 방법은 트래픽의 통계치에 대한 정상 상태의 트래픽 양과 현재 수집된 트래픽 통계 정보의 양을 비교하여 정상상태인지 비정상상태인지를 판단한다.In general, a method of using traffic statistics information determines whether the traffic statistics are in a normal state or abnormal by comparing the amount of traffic in a normal state with the amount of currently collected traffic statistics.

이 방법 역시 트래픽의 통계 정보만을 이용하여 판단하므로 공격에 대한 오탐율이 높고 트래픽 양이 적은 공격의 경우에는 공격을 탐지할 수 없는 어려움이 있다.Since this method also judges only using statistical information of traffic, there is a difficulty in detecting an attack in the case of an attack with a high false positive rate and a small amount of traffic.

또한, 기존 네트워크 방화벽은 OSI7 Layer에서 네트워크 계층 수준에서 동작한다.In addition, the existing network firewall operates at the network layer level in the OSI7 layer.

기존 방화벽 장치는 방화벽에 등록된 정책에 따라 트래픽을 제어하기 때문에 방화벽 정책을 관리자가 직접 관리를 해야하는 불편함이 발생하게 되며, 내부망에 연결된 기기간의 통신은 제어가 어려운 문제점이 발생하였으며, 새로운 공격의 탐지 및 제어가 어려웠으며, 운영 체제에 설치되어 구동되는 방화벽 프로그램은 운영체제나 방화벽 프로그램이 바이러스 등에 감염될 경우, 정상적으로 기능을 수행하지 못하는 심각한 문제점이 발생하였다.Existing firewall devices control traffic according to the policies registered in the firewall, so it is inconvenient for administrators to directly manage the firewall policies, and communication between devices connected to the internal network is difficult to control. was difficult to detect and control, and the firewall program installed and running in the operating system had a serious problem in that it could not function normally when the operating system or firewall program was infected with a virus.

대한민국 등록특허공보 제10-0635130호(2006. 10. 10.)Republic of Korea Patent Publication No. 10-0635130 (October 10, 2006)

본 발명은 전술한 종래의 문제점을 해결하기 위해 안출된 것으로서,The present invention has been devised to solve the problems of the prior art,

외부망과 내부망에서 발생되는 트래픽에 대하여 유해성이 의심되는 트래픽을 분류하고, 분류된 트래픽의 시그너처를 분석하여 가상의 보안정책을 수립한 뒤, 발생된 전체의 트래픽을 이용해 가상의 보안정책을 시뮬레이션하여 정확도를 산출하고, 이를 기준으로 보안 정책을 자동으로 추가 및 수정하여 관리함으로써, 내부망과 외부망에서 발생하는 새로운 유해 트래픽을 자동으로 탐지 및 분석하여 효과적인 보안정책을 수행할 수 있는 네트워크 보안 시스템을 제공하는 것에 목적이 있다.Classify traffic that is suspected of being harmful to traffic generated from external and internal networks, analyze the signature of the classified traffic to establish a virtual security policy, and then simulate the virtual security policy using the entire generated traffic. A network security system that can perform effective security policies by automatically detecting and analyzing new harmful traffic that occurs in internal and external networks by calculating accuracy by calculating the accuracy and automatically adding and modifying security policies based on this. The purpose is to provide

상기 목적을 달성하기 위한 본 발명은,The present invention for achieving the above object,

서버(100)와 허브(200) 및 다수의 클라이언트(400)로 구성된 네트워크의 보안을 수행하는 네트워크 보안 시스템에 있어서,In a network security system for security of a network consisting of a server 100, a hub 200, and a plurality of clients 400,

외부망과 서버(100)와 허브(200) 간에 발생되는 상위 트래픽 파일을 패킷 데이터와 함께 수집하여 트래픽패킷정보를 생성하고 메모리모듈(150)에 저장하는 상위트래픽패킷정보수집부(111)를 포함하여 구성되는 상위트래픽처리모듈(110)과,Includes an upper traffic packet information collecting unit 111 that collects upper traffic files generated between the external network and the server 100 and the hub 200 together with packet data to generate traffic packet information and stores it in the memory module 150 The upper traffic processing module 110, which is configured by

관리자로부터 지지도, 신뢰도, 향상도 임계값 기준을 부여받아 임계기준정보를 생성하는 상위임계기준정보생성부(122),Upper threshold reference information generation unit 122 for generating threshold reference information by receiving support, reliability, and improvement threshold standards from the manager;

아프리오리 알고리즘을 기반으로 상기 트래픽패킷정보로부터 상기 임계기준정보에 부합하는 연관규칙을 추출하여 연관규칙정보를 생성하고 메모리모듈(150)에 저장하는 상위연관규칙정보생성부(123),An upper association rule information generating unit 123 that extracts association rules that match the threshold reference information from the traffic packet information based on the apriori algorithm, generates association rule information, and stores the association rule information in the memory module 150;

상기 연관규칙정보를 가상 또는 물리적 보안방식에서 읽기 가능하도록 보안방식의 특성에 적합한 형태로 변형하여 시그너처정보를 생성하고 메모리모듈(150)에 저장하는 상위시그너처생성부(124)를 포함하여 구성되는 상위시그너처생성모듈(120)과,An upper level comprising an upper signature generator 124 that generates signature information by transforming the association rule information into a form suitable for the characteristics of a security method so as to be readable in a virtual or physical security method, and stores it in the memory module 150 A signature generation module 120, and

상기 메모리모듈(150)에 신규 저장되는 시그너처정보를 보안시뮬레이션정책의 기준으로 설정하거나, 상기 메모리모듈(150)에 저장된 시그너처정보 중, 관리자에 의해 선택된 시그너처정보를 보안시뮬레이션정책의 기준으로 설정하여 보안시뮬레이션정책정보를 생성하는 보안시뮬레이션정책정보생성부(131),The signature information newly stored in the memory module 150 is set as the standard of the security simulation policy, or the signature information selected by the administrator among the signature information stored in the memory module 150 is set as the standard of the security simulation policy to secure Security simulation policy information generating unit 131 for generating simulation policy information,

메모리모듈(150)에 저장된 트래픽패킷정보를 활용하여 상기 보안시뮬레이션정책정보를 시뮬레이션 하기 위한 트래픽을 발생시키는 트래픽발생처리부(132),A traffic generation processing unit 132 that generates traffic for simulating the security simulation policy information by utilizing the traffic packet information stored in the memory module 150;

상기 트래픽발생처리부(132)에 의해 발생한 트래픽이 패턴매칭시뮬레이션부(134)를 향하도록 트래픽 목적지를 변경하는 목적지변경처리부(133),a destination change processing unit 133 for changing the traffic destination so that the traffic generated by the traffic generation processing unit 132 is directed toward the pattern matching simulation unit 134;

상기 트래픽발생처리부(132) 및 상기 목적지변경처리부(133)에 의해 유입되는 트래픽패킷정보와 상기 보안시뮬레이션정책정보의 패턴 매칭 여부를 분석하여 패턴이 매칭되는 트래픽패킷정보를 차단하면서 보안정책을 시뮬레이션 하고, 차단된 트래픽패킷정보를 패턴매칭정보로 생성하여 메모리모듈(150)에 저장하는 패턴매칭시뮬레이션부(134),By analyzing the pattern matching between the traffic packet information and the security simulation policy information flowing in by the traffic generation processing unit 132 and the destination change processing unit 133, the security policy is simulated while blocking the matching traffic packet information. , a pattern matching simulation unit 134 that generates the blocked traffic packet information as pattern matching information and stores it in the memory module 150;

상기 패턴매칭시뮬레이션부(134)에 의해 생성된 패턴매칭정보의 유효성을 분석하여 유효성정보를 생성하는 유효성정보생성부(135),A validity information generation unit 135 that generates validity information by analyzing the validity of the pattern matching information generated by the pattern matching simulation unit 134;

상기 유효성정보생성부(135)에 의해 유효성정보가 생성된 시그너처정보, 상기 패턴매칭시뮬레이션부(134)에 유입된 트래픽패킷정보, 보안시뮬레이션정책정보생성부(131)에서 생성된 보안시뮬레이션정책정보, 패턴매칭시뮬레이션부(134)에서 생성된 패턴매칭정보를 종합적으로 비교분석하여 보안시뮬레이션정책정보의 정확도를 산출하여 정확도산출정보를 생성하고 메모리모듈(150)에 저장하는 보안정책정확도산출부(136)를 포함하여 구성되는 시그너처검증모듈(130)과,관리자의 제어를 받아 상기 상위카테고리정보생성부(113)의 카테고리정보를 추가, 수정 및 삭제하는 카테고리관리부(143),Signature information generated by the validity information generated by the validity information generating unit 135, traffic packet information flowing into the pattern matching simulation unit 134, security simulation policy information generated by the security simulation policy information generating unit 131, A security policy accuracy calculation unit 136 that comprehensively compares and analyzes the pattern matching information generated by the pattern matching simulation unit 134 to calculate the accuracy of the security simulation policy information to generate the accuracy calculation information and store it in the memory module 150 . A signature verification module 130 configured to include, and a category management unit 143 for adding, modifying and deleting category information of the upper category information generation unit 113 under the control of an administrator;

관리자의 제어를 받아 상기 트래픽발생처리부(132)의 트래픽 발생을 제어하고, 시뮬레이션을 통해 검증된 시그너처정보 또는 관리자에 의해 보안정책으로 선택된 시그너처정보를 확정보안정책으로 승격시켜 확정보안정책정보를 생성하고 메모리모듈(150)에 저장하며, 생성한 확정보안정책정보를 서버(100)의 보안정책에 적용하거나 초소형 보안 게이트웨이 디바이스(300)에 전송하는 보안정책관리부(145)를 포함하여 구성되는 시그너처관리모듈(140)과,Controlling the traffic generation of the traffic generation processing unit 132 under the control of the administrator, and promoting the signature information verified through simulation or the signature information selected as the security policy by the administrator to the final security policy to generate the final security policy information, A signature management module configured to include a security policy management unit 145 that stores in the memory module 150 and applies the generated fixed security policy information to the security policy of the server 100 or transmits it to the micro security gateway device 300 . (140) and;

메모리모듈(150)을 포함하여 구성되는 서버(100)와;a server 100 configured to include a memory module 150;

네트워크를 상기 서버(100)로부터 다수의 노드로 분기하는 허브(200)와;a hub 200 for branching a network from the server 100 to a plurality of nodes;

상기 서버(100)의 상기 시그너처관리모듈(140)의 상기 보안정책관리부(145)에서 전송되는 확정보안정책정보를 수신받는 보안정책수신부(331),A security policy receiving unit 331 that receives the fixed security policy information transmitted from the security policy management unit 145 of the signature management module 140 of the server 100;

상기 보안정책수신부(331)에 수신된 확정보안정책정보를 초소형 보안 게이트웨이 디바이스(300)의 보안정책에 적용하는 보안정책적용부(332)를 포함하여 구성되는 보안정책어플리케이션모듈(330)과,A security policy application module 330 configured including a security policy application unit 332 for applying the determined security policy information received in the security policy receiving unit 331 to the security policy of the micro security gateway device 300;

확정보안정책정보를 저장하는 서브메모리(340)를 포함하여 구성되고, 상기 허브(200)에 의해 분기된 각각의 노드에 클라이언트(400)를 네트워크 접속시키기 위하여 설치되는 초소형 보안 게이트웨이 디바이스(300);를 포함하여 구성된다.a micro-security gateway device 300 configured to include a sub-memory 340 for storing fixed security policy information, and installed to connect the client 400 to a network connection to each node branched by the hub 200; is comprised of

따라서 본 발명은, 외부망과 내부망에서 발생되는 트래픽에 대하여 유해성이 의심되는 트래픽을 분류하고, 분류된 트래픽의 시그너처를 분석하여 가상의 보안정책을 수립한 뒤, 발생된 전체의 트래픽을 이용해 가상의 보안정책을 시뮬레이션하여 정확도를 산출하고, 이를 기준으로 보안 정책을 자동으로 추가 및 수정하여 관리함으로써, 내부망과 외부망에서 발생하는 새로운 유해 트래픽을 자동으로 탐지 및 분석하여 효과적인 보안정책을 수행할 수 있는 효과를 제공한다.Therefore, the present invention classifies traffic suspected of being harmful to traffic generated in the external network and the internal network, analyzes the signature of the classified traffic to establish a virtual security policy, and then uses the entire generated traffic to create a virtual It calculates the accuracy by simulating the security policy of provide possible effects.

도 1은 본 발명의 전체 구성을 나타내는 구조도이다.
도 2는 본 발명의 서버의 구성을 나타내는 블록도이다.
도 3은 본 발명의 상위 트래픽 처리모듈(110)의 구성을 나타내는 블록도이다.
도 4는 본 발명의 상위 시그너처 생성모듈(120)의 구성을 나타내는 블록도이다.
도 5는 본 발명의 시그너처 검증모듈(130)의 구성을 나타내는 블록도이다.
도 6은 본 발명의 시그너처 관리모듈(140)의 구성을 나타내는 블록도이다.
도 7은 본 발명의 초소형 보안 게이트웨이 디바이스(300)의 구성을 나타내는 블록도이다.
도 8은 본 발명의 하위 트래픽 처리모듈(310)의 구성을 나타내는 블록도이다.
도 9는 본 발명의 하위 시그너처 생성모듈(320)의 구성을 나타내는 블록도이다.
도 10 본 발명의 보안정책 어플리케이션모듈(330)의 구성을 나타내는 블록도이다.1 is a structural diagram showing the overall configuration of the present invention.
2 is a block diagram showing the configuration of a server according to the present invention.
3 is a block diagram showing the configuration of the upper traffic processing module 110 of the present invention.
4 is a block diagram showing the configuration of the upper signature generating module 120 of the present invention.
5 is a block diagram showing the configuration of the signature verification module 130 of the present invention.
6 is a block diagram showing the configuration of the signature management module 140 of the present invention.
7 is a block diagram showing the configuration of the micro-security gateway device 300 of the present invention.
8 is a block diagram showing the configuration of the lower traffic processing module 310 of the present invention.
9 is a block diagram showing the configuration of the sub-signature generating module 320 of the present invention.
10 is a block diagram showing the configuration of the security policy application module 330 of the present invention.

이하, 본 발명은 다양한 변환을 가할 수 있고, 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 실시 예들은 당해 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 본 발명을 더욱 상세하게 설명하기 위해서 제공되는 것이다. 따라서 도면에 나타난 각 요소의 형상은 보다 분명한 설명을 강조하기 위하여 과장될 수 있으며, 본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.Hereinafter, since the present invention can apply various transformations and can have various embodiments, specific embodiments are illustrated in the drawings and described in detail. However, this is not intended to limit the present invention to specific embodiments, and it should be understood to include all modifications, equivalents and substitutes included in the spirit and scope of the present invention. These embodiments are provided to explain the present invention in more detail to those of ordinary skill in the art to which the present invention pertains. Therefore, the shape of each element shown in the drawings may be exaggerated to emphasize a clearer description, and in describing the present invention, if it is determined that a detailed description of a related known technology may obscure the gist of the present invention, the detailed description thereof omit

제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 구성요소들은 용어들에 의해 한정되어서는 안 된다. 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.Terms such as first, second, etc. may be used to describe various elements, but the elements should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from another.

본 발명에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.Terms used in the present invention are only used to describe specific embodiments, and are not intended to limit the present invention. The singular expression includes the plural expression unless the context clearly dictates otherwise.

본 발명에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.In the present invention, terms such as "comprises" or "have" are intended to designate that the features, numbers, steps, operations, components, parts, or combinations thereof described in the specification exist, but one or more other features It should be understood that this does not preclude the existence or addition of numbers, steps, operations, components, parts, or combinations thereof.

이하, 본 발명의 바람직한 실시 예들을 첨부된 도면을 참고하여 더욱 상세히 설명한다.Hereinafter, preferred embodiments of the present invention will be described in more detail with reference to the accompanying drawings.

도 1을 참조하면, 일 실시예에 따른 본 발명은,1, the present invention according to an embodiment,

서버(100)와 네트워크를 상기 서버(100)로부터 다수의 노드로 분기하는 허브(200) 및 상기 허브(200)에 의해 분기된 각각의 노드에 다수의 클라이언트(400)를 네트워크 접속시키기 위하여 설치되는 초소형 보안 게이트웨이 디바이스(300)를 포함하여 구성된다.A hub 200 branching the server 100 and the network from the server 100 to a plurality of nodes, and a plurality of clients 400 to each node branched by the hub 200 are installed to connect the network It is configured to include a miniature security gateway device (300).

이때, 상기 클라이언트는 제1클라이언트부터 제n클라이언트까지 다수로 구성될 수 있고, 이 중 적어도 어느 하나 이상의 클라이언트가 허브와 무선 네트워크 통신하도록 구성될 수도 있다.In this case, the client may be configured in plurality from the first client to the n-th client, and at least one of the clients may be configured to communicate with the hub and wireless network.

일 실시예에 따르면, 본 발명은,According to one embodiment, the present invention

외부망과 서버(100)와 허브(200) 간에 발생되는 상위 트래픽 파일을 패킷 데이터와 함께 수집하여 트래픽패킷정보를 생성하고 메모리모듈(150)에 저장하는 상위트래픽패킷정보수집부(111)를 포함하여 구성되는 상위트래픽처리모듈(110)과,Includes an upper traffic packet information collecting unit 111 that collects upper traffic files generated between the external network and the server 100 and the hub 200 together with packet data to generate traffic packet information and stores it in the memory module 150 The upper traffic processing module 110, which is configured by

관리자로부터 지지도, 신뢰도, 향상도 임계값 기준을 부여받아 임계기준정보를 생성하는 상위임계기준정보생성부(122),Upper threshold reference information generation unit 122 for generating threshold reference information by receiving support, reliability, and improvement threshold standards from the manager;

아프리오리 알고리즘을 기반으로 상기 트래픽패킷정보로부터 상기 임계기준정보에 부합하는 연관규칙을 추출하여 연관규칙정보를 생성하고 메모리모듈(150)에 저장하는 상위연관규칙정보생성부(123),An upper association rule information generating unit 123 that extracts association rules that match the threshold reference information from the traffic packet information based on the apriori algorithm, generates association rule information, and stores the association rule information in the memory module 150;

상기 연관규칙정보를 가상 또는 물리적 보안방식에서 읽기 가능하도록 보안방식의 특성에 적합한 형태로 변형하여 시그너처정보를 생성하고 메모리모듈(150)에 저장하는 상위시그너처생성부(124)를 포함하여 구성되는 상위시그너처생성모듈(120)과,An upper level comprising an upper signature generator 124 that generates signature information by transforming the association rule information into a form suitable for the characteristics of a security method so as to be readable in a virtual or physical security method, and stores it in the memory module 150 A signature generation module 120, and

상기 메모리모듈(150)에 신규 저장되는 시그너처정보를 보안시뮬레이션정책의 기준으로 설정하거나, 상기 메모리모듈(150)에 저장된 시그너처정보 중, 관리자에 의해 선택된 시그너처정보를 보안시뮬레이션정책의 기준으로 설정하여 보안시뮬레이션정책정보를 생성하는 보안시뮬레이션정책정보생성부(131),The signature information newly stored in the memory module 150 is set as the standard of the security simulation policy, or the signature information selected by the administrator among the signature information stored in the memory module 150 is set as the standard of the security simulation policy to secure Security simulation policy information generating unit 131 for generating simulation policy information,

메모리모듈(150)에 저장된 트래픽패킷정보를 활용하여 상기 보안시뮬레이션정책정보를 시뮬레이션 하기 위한 트래픽을 발생시키는 트래픽발생처리부(132),A traffic generation processing unit 132 that generates traffic for simulating the security simulation policy information by utilizing the traffic packet information stored in the memory module 150;

상기 트래픽발생처리부(132)에 의해 발생한 트래픽이 패턴매칭시뮬레이션부(134)를 향하도록 트래픽 목적지를 변경하는 목적지변경처리부(133),a destination change processing unit 133 for changing the traffic destination so that the traffic generated by the traffic generation processing unit 132 is directed toward the pattern matching simulation unit 134;

상기 트래픽발생처리부(132) 및 상기 목적지변경처리부(133)에 의해 유입되는 트래픽패킷정보와 상기 보안시뮬레이션정책정보의 패턴 매칭 여부를 분석하여 패턴이 매칭되는 트래픽패킷정보를 차단하면서 보안정책을 시뮬레이션 하고, 차단된 트래픽패킷정보를 패턴매칭정보로 생성하여 메모리모듈(150)에 저장하는 패턴매칭시뮬레이션부(134),By analyzing the pattern matching between the traffic packet information and the security simulation policy information flowing in by the traffic generation processing unit 132 and the destination change processing unit 133, the security policy is simulated while blocking the matching traffic packet information. , a pattern matching simulation unit 134 that generates the blocked traffic packet information as pattern matching information and stores it in the memory module 150;

상기 패턴매칭시뮬레이션부(134)에 의해 생성된 패턴매칭정보의 유효성을 분석하여 유효성정보를 생성하는 유효성정보생성부(135),A validity information generation unit 135 that generates validity information by analyzing the validity of the pattern matching information generated by the pattern matching simulation unit 134;

상기 유효성정보생성부(135)에 의해 유효성정보가 생성된 시그너처정보, 상기 패턴매칭시뮬레이션부(134)에 유입된 트래픽패킷정보, 보안시뮬레이션정책정보생성부(131)에서 생성된 보안시뮬레이션정책정보, 패턴매칭시뮬레이션부(134)에서 생성된 패턴매칭정보를 종합적으로 비교분석하여 보안시뮬레이션정책정보의 정확도를 산출하여 정확도산출정보를 생성하고 메모리모듈(150)에 저장하는 보안정책정확도산출부(136)를 포함하여 구성되는 시그너처검증모듈(130)과,Signature information generated by the validity information generated by the validity information generating unit 135, traffic packet information flowing into the pattern matching simulation unit 134, security simulation policy information generated by the security simulation policy information generating unit 131, A security policy accuracy calculation unit 136 that comprehensively compares and analyzes the pattern matching information generated by the pattern matching simulation unit 134 to calculate the accuracy of the security simulation policy information to generate the accuracy calculation information and store it in the memory module 150 . A signature verification module 130 comprising a, and

관리자의 제어를 받아 상기 상위카테고리정보생성부(113)의 카테고리정보를 추가, 수정 및 삭제하는 카테고리관리부(143),Category management unit 143 for adding, modifying and deleting category information of the upper category information generation unit 113 under the control of the administrator;

관리자의 제어를 받아 상기 트래픽발생처리부(132)의 트래픽 발생을 제어하고, 시뮬레이션을 통해 검증된 시그너처정보 또는 관리자에 의해 보안정책으로 선택된 시그너처정보를 확정보안정책으로 승격시켜 확정보안정책정보를 생성하고 메모리모듈(150)에 저장하며, 생성한 확정보안정책정보를 서버(100)의 보안정책에 적용하거나 초소형 보안 게이트웨이 디바이스(300)에 전송하는 보안정책관리부(145)를 포함하여 구성되는 시그너처관리모듈(140)과,Controlling the traffic generation of the traffic generation processing unit 132 under the control of the administrator, and promoting the signature information verified through simulation or the signature information selected as the security policy by the administrator to the final security policy to generate the final security policy information, A signature management module configured to include a security policy management unit 145 that stores in the memory module 150 and applies the generated fixed security policy information to the security policy of the server 100 or transmits it to the micro security gateway device 300 . (140) and;

메모리모듈(150)을 포함하여 구성되는 서버(100)와,A server 100 comprising a memory module 150 and

네트워크를 상기 서버(100)로부터 다수의 노드로 분기하는 허브(200)와,a hub 200 for branching a network from the server 100 to a plurality of nodes;

상기 서버(100)의 상기 시그너처관리모듈(140)의 상기 보안정책관리부(145)에서 전송되는 확정보안정책정보를 수신받는 보안정책수신부(331),A security policy receiving unit 331 that receives the fixed security policy information transmitted from the security policy management unit 145 of the signature management module 140 of the server 100;

상기 보안정책수신부(331)에 수신된 확정보안정책정보를 초소형 보안 게이트웨이 디바이스(300)의 보안정책에 적용하는 보안정책적용부(332)를 포함하여 구성되는 보안정책어플리케이션모듈(330)과,A security policy application module 330 configured including a security policy application unit 332 for applying the determined security policy information received in the security policy receiving unit 331 to the security policy of the micro security gateway device 300;

확정보안정책정보를 저장하는 서브메모리(340)를 포함하여 구성되고, 상기 허브(200)에 의해 분기된 각각의 노드에 클라이언트(400)를 네트워크 접속시키기 위하여 설치되는 초소형 보안 게이트웨이 디바이스(300)를 포함하여 구성된다.A micro security gateway device 300 configured to include a sub-memory 340 for storing the finalized security policy information, and installed to network the client 400 to each node branched by the hub 200 . consists of including

상기 상위트래픽처리모듈(110)은, 상기 상위트래픽패킷정보수집부(111)에서 생성된 트래픽패킷정보로부터 보안을 옵티마이즈 하기 위한 로그소스를 추출하여 로그파일정보를 생성하고 메모리모듈(150)에 저장하는 상위로그파일정보생성부(112)를 더 포함하여 구성된다.The upper-level traffic processing module 110 extracts a log source for optimizing security from the traffic packet information generated by the upper-level traffic packet information collection unit 111 , generates log file information, and stores it in the memory module 150 . It is configured to further include an upper log file information generating unit 112 that

상기 상위트래픽처리모듈(110)은, 상기 상위로그파일정보생성부(112)에서 생성된 로그파일정보를 특성 유형별로 분류하여 분류에 따른 카테고리정보를 생성하고, 특성 유형별로 분류된 카테고리정보에 따른 로그파일정보를 메모리모듈(150)에 저장하는 상위카테고리정보생성부(113)를 더 포함하여 구성된다.The upper traffic processing module 110 classifies the log file information generated by the upper log file information generating unit 112 by characteristic type to generate category information according to the classification, and according to the category information classified by characteristic type It is configured to further include an upper category information generating unit 113 for storing log file information in the memory module 150 .

상기 상위트래픽처리모듈(110)은, 상기 상위로그파일정보생성부(112)로부터 생성된 로그파일정보와 상기 상위카테고리정보생성부(113)로부터 생성된 카테고리정보의 매치 여부를 감지하고, 상기 카테고리정보와 매치되지 않는 새로운 특성의 로그파일정보가 포함된 트래픽이 감지되면, 감지된 트래픽에 대한 로그파일정보를 분석대상으로 지정하는 상위이벤트로그파일발생감지부(114)를 더 포함하여 구성된다.The upper-level traffic processing module 110 detects whether the log file information generated by the upper-level log file information generating unit 112 matches the category information generated by the upper-level category information generating unit 113, and the category When traffic containing log file information of a new characteristic that does not match the information is detected, it further includes an upper event log file generation detection unit 114 for designating log file information for the detected traffic as an analysis target.

상기 상위트래픽처리모듈(110)은, 상기 상위이벤트로그파일발생감지부(114)로부터 분석대상으로 지정된 로그파일정보를 라벨링하여 라벨링정보를 생성하고 메모리모듈(150)에 저장하는 상위라벨링정보생성부(115)를 더 포함하여 구성된다.The upper level traffic processing module 110 generates labeling information by labeling the log file information designated as an analysis target from the upper event log file generation detection unit 114 and stores the labeling information in the memory module 150 . (115) is configured to further include.

상기 상위시그너처생성모듈(120)은, 상기 라벨링정보를 상위연관규칙정보생성부(123)가 읽기 가능한 형태의 데이터로 인코딩하여 인코딩정보를 생성하고 메모리모듈(150)에 저장하는 상위인코딩정보생성부(121)를 더 포함하여 구성된다.The higher-order signature generating module 120 encodes the labeling information into data in a form readable by the higher-order association rule information generating unit 123 to generate the encoding information and store the higher-order encoding information generating unit in the memory module 150 . (121) is further included.

상기 메모리부(150)는, 트래픽패킷정보, 로그파일정보, 카테고리정보, 라벨링정보, 인코딩정보, 임계기준정보, 연관규칙정보, 시그너처정보, 보안시뮬레이션정책정보, 트래픽 도착 목적지, 패턴매칭정보, 유효성정보, 정확도산출정보, 확정보안정책정보 중 적어도 어느 하나 이상의 정보를 저장하도록 구성된다.The memory unit 150, traffic packet information, log file information, category information, labeling information, encoding information, threshold reference information, related rule information, signature information, security simulation policy information, traffic arrival destination, pattern matching information, validity It is configured to store at least any one or more of information, accuracy calculation information, and definite security policy information.

이하에서는 도면을 참조하여 일 실시예에 따른 본 발명의 구성을 보다 상세히 설명하고자 한다.Hereinafter, the configuration of the present invention according to an embodiment will be described in more detail with reference to the drawings.

도 2 내지 도 6을 참조하면, 일 실시예에 따른 본 발명의 서버(100)는,2 to 6, the server 100 of the present invention according to an embodiment,

상위트래픽처리모듈(110), 상위시그너처생성모듈(120), 시그너처검증모듈(130), 시그너처관리모듈(140), 메모리모듈(150)을 포함하여 구성될 수 있다.It may be configured to include an upper traffic processing module 110 , an upper signature generating module 120 , a signature verification module 130 , a signature management module 140 , and a memory module 150 .

상기 상위트래픽처리모듈(110)은, 외부망과 서버(100)와 허브(200) 간에 발생되는 상위 트래픽 파일을 패킷 데이터와 함께 수집하여 트래픽패킷정보를 생성하고 메모리모듈(150)에 저장하는 상위트래픽패킷정보수집부(111)를 포함하여 구성될 수 있다.The upper level traffic processing module 110 collects upper traffic files generated between the external network and the server 100 and the hub 200 together with packet data, generates traffic packet information, and stores it in the memory module 150 . It may be configured to include a traffic packet information collection unit 111 .

상기 상위트래픽처리모듈(110)은, 상기 상위트래픽패킷정보수집부(111)에서 생성된 트래픽패킷정보로부터 보안을 옵티마이즈 하기 위한 로그소스를 추출하여 로그파일정보를 생성하고 메모리모듈(150)에 저장하는 상위로그파일정보생성부(112)를 포함하여 구성될 수 있다.The upper-level traffic processing module 110 extracts a log source for optimizing security from the traffic packet information generated by the upper-level traffic packet information collection unit 111 , generates log file information, and stores it in the memory module 150 . It may be configured to include an upper log file information generating unit 112 that is.

상기 상위트래픽처리모듈(110)은, 상기 상위로그파일정보생성부(112)에서 생성된 로그파일정보를 특성 유형별로 분류하여 분류에 따른 카테고리정보를 생성하고, 특성 유형별로 분류된 카테고리정보에 따른 로그파일정보를 메모리모듈(150)에 저장하는 상위카테고리정보생성부(113)를 포함하여 구성될 수 있다.The upper traffic processing module 110 classifies the log file information generated by the upper log file information generating unit 112 by characteristic type to generate category information according to the classification, and according to the category information classified by characteristic type It may be configured to include an upper category information generating unit 113 that stores log file information in the memory module 150 .

상기 상위트래픽처리모듈(110)은, 상기 상위로그파일정보생성부(112)로부터 생성된 로그파일정보와 상기 상위카테고리정보생성부(113)로부터 생성된 카테고리정보의 매치 여부를 감지하고, 상기 카테고리정보와 매치되지 않는 새로운 특성의 로그파일정보가 포함된 트래픽이 감지되면, 감지된 트래픽에 대한 로그파일정보를 분석대상으로 지정하는 상위이벤트로그파일발생감지부(114)를 포함하여 구성될 수 있다.The upper-level traffic processing module 110 detects whether the log file information generated by the upper-level log file information generating unit 112 matches the category information generated by the upper-level category information generating unit 113, and the category When traffic containing log file information of a new characteristic that does not match the information is detected, the upper event log file generation detection unit 114 for designating log file information for the detected traffic as an analysis target may be included. .

상기 상위트래픽처리모듈(110)은, 상기 상위이벤트로그파일발생감지부(114)로부터 분석대상으로 지정된 로그파일정보를 라벨링하여 라벨링정보를 생성하고 메모리모듈(150)에 저장하는 상위라벨링정보생성부(115)를 포함하여 구성될 수 있다.The upper level traffic processing module 110 generates labeling information by labeling the log file information designated as an analysis target from the upper event log file generation detection unit 114 and stores the labeling information in the memory module 150 . 115 may be included.

상기 상위시그너처생성모듈(120)은, 상기 라벨링정보를 상위연관규칙정보생성부(123)가 읽기 가능한 형태의 데이터로 인코딩하여 인코딩정보를 생성하고 메모리모듈(150)에 저장하는 상위인코딩정보생성부(121)를 포함하여 구성될 수 있다.The higher-order signature generating module 120 encodes the labeling information into data in a form readable by the higher-order association rule information generating unit 123 to generate the encoding information and store the higher-order encoding information generating unit in the memory module 150 . (121) may be configured to include.

상기 상위시그너처생성모듈(120)은, 관리자로부터 지지도, 신뢰도, 향상도 임계값 기준을 부여받아 임계기준정보를 생성하는 상위임계기준정보생성부(122)를 포함하여 구성될 수 있다.The upper signature generation module 120 may be configured to include an upper threshold reference information generation unit 122 that generates threshold reference information by receiving support, reliability, and improvement threshold values from an administrator.

상기 상위시그너처생성모듈(120)은, 아프리오리 알고리즘을 기반으로 상기 인코딩정보로부터 상기 임계기준정보에 부합하는 연관규칙을 추출하여 연관규칙정보를 생성하고 메모리모듈(150)에 저장하는 상위연관규칙정보생성부(123)를 포함하여 구성될 수 있다.The higher-order signature generating module 120 generates association rule information by extracting association rules that match the threshold reference information from the encoding information based on an apriori algorithm, and generates upper association rule information to be stored in the memory module 150 . It may be configured to include a unit 123 .

상기 상위시그너처생성모듈(120)은, 상기 연관규칙정보를 가상 또는 물리적 보안방식에서 읽기 가능하도록 보안방식의 특성에 적합한 형태로 변형하여 시그너처정보를 생성하고 메모리모듈(150)에 저장하는 상위시그너처생성부(124)를 포함하여 구성될 수 있다.The upper signature generation module 120 generates the signature information by transforming the association rule information into a form suitable for the characteristics of the security method so as to be readable in a virtual or physical security method, and stores the upper signature information in the memory module 150 . It may be configured to include a portion 124 .

상기 시그너처검증모듈(130)은, 상기 메모리모듈(150)에 신규 저장되는 시그너처정보를 보안시뮬레이션정책의 기준으로 설정하거나, 상기 메모리모듈(150)에 저장된 시그너처정보 중, 관리자에 의해 선택된 시그너처정보를 보안시뮬레이션정책의 기준으로 설정하여 보안시뮬레이션정책정보를 생성하는 보안시뮬레이션정책정보생성부(131)를 포함하여 구성될 수 있다.The signature verification module 130 sets the signature information newly stored in the memory module 150 as a standard of the security simulation policy, or selects the signature information selected by the administrator among the signature information stored in the memory module 150 It may be configured to include a security simulation policy information generating unit 131 that generates security simulation policy information by setting it as a standard of the security simulation policy.

상기 시그너처검증모듈(130)은, 메모리모듈(150)에 저장된 트래픽패킷정보를 활용하여 상기 보안시뮬레이션정책정보를 시뮬레이션 하기 위한 트래픽을 발생시키는 트래픽발생처리부(132)를 포함하여 구성될 수 있다.The signature verification module 130 may include a traffic generation processing unit 132 that generates traffic for simulating the security simulation policy information by utilizing the traffic packet information stored in the memory module 150 .

상기 시그너처검증모듈(130)은, 상기 트래픽발생처리부(132)에 의해 발생한 트래픽이 패턴매칭시뮬레이션부(134)를 향하도록 트래픽 목적지를 변경하는 목적지변경처리부(133)를 포함하여 구성될 수 있다.The signature verification module 130 may include a destination change processing unit 133 for changing the traffic destination so that the traffic generated by the traffic generation processing unit 132 is directed toward the pattern matching simulation unit 134 .

여기서 트래픽 발생이란, 상기 트래픽발생처리부(132)가 상기 메모리모듈(150)에 저장된 트래픽패킷정보를 상기 목적지변경처리부(133)에서 설정한 목적지인 패턴매칭시뮬레이션부(134)를 향해 전송함으로써 발생하는 트래픽으로 이해되는 것이 바람직하다.Here, the traffic generation means that the traffic generation processing unit 132 transmits the traffic packet information stored in the memory module 150 toward the pattern matching simulation unit 134, which is the destination set by the destination change processing unit 133. It is desirable to be understood as traffic.

상기 시그너처검증모듈(130)은, 상기 트래픽발생처리부(132) 및 상기 목적지변경처리부(133)에 의해 유입되는 트래픽패킷정보와 상기 보안시뮬레이션정책정보의 패턴 매칭 여부를 분석하여 패턴이 매칭되는 트래픽패킷정보를 차단하면서 보안정책을 시뮬레이션 하고, 차단된 트래픽패킷정보를 패턴매칭정보로 생성하여 메모리모듈(150)에 저장하는 패턴매칭시뮬레이션부(134)를 포함하여 구성될 수 있다.The signature verification module 130 analyzes whether the pattern matching between the traffic packet information flowing in by the traffic generation processing unit 132 and the destination change processing unit 133 and the security simulation policy information, and the pattern matching traffic packet It may be configured to include a pattern matching simulation unit 134 that simulates a security policy while blocking information, generates blocked traffic packet information as pattern matching information, and stores the information in the memory module 150 .

여기서 패턴매칭정보란, "1. 상기 보안시뮬레이션정책정보와의 시그너처정보 패턴이 매칭되는 트래픽패킷정보에 포함된 트래픽 파일 또는 트래픽 파일 내의 다수의 패킷 데이터 중에서 2. 상기 보안시뮬레이션정책정보와의 시그너처정보 패턴이 매칭되는 트래픽 파일 또는 패킷 데이터에 대한 차단을 수행하면서 보안정책을 시뮬레이션하고, 3. 차단된 트래픽 파일 또는 패킷 데이터를 패턴매칭정보로 지정하는 것"으로 이해되는 것이 바람직하다.Here, the pattern matching information means "1. Among a plurality of packet data in a traffic file or a traffic file included in the traffic packet information that matches the signature information pattern with the security simulation policy information, 2. Signature information with the security simulation policy information It is desirable to be understood as "to simulate a security policy while performing blocking on a traffic file or packet data matching a pattern, and 3. designating a blocked traffic file or packet data as pattern matching information".

상기 시그너처검증모듈(130)은, 상기 패턴매칭시뮬레이션부(134)에 의해 생성된 패턴매칭정보의 유효성을 분석하여 유효성정보를 생성하는 유효성정보생성부(135)를 포함하여 구성될 수 있다.The signature verification module 130 may include a validity information generation unit 135 that generates validity information by analyzing the validity of the pattern matching information generated by the pattern matching simulation unit 134 .

여기서 유효성 분석이란, 상기 패턴매칭시뮬레이션부(134)에 의해 생성된 패턴매칭정보가 포함하는 트래픽 파일 또는 패킷 데이터가 상기 보안시뮬레이션정책정보생성부(131)에 의해 생성된 보안시뮬레이션정책정보의 시그너처정보와 매칭되는 시그너처정보를 포함하는지의 여부를 분석하는 것으로 이해되는 것이 바람직하다.Here, the validity analysis means that the traffic file or packet data included in the pattern matching information generated by the pattern matching simulation unit 134 is the signature information of the security simulation policy information generated by the security simulation policy information generation unit 131 . It is preferable to be understood as analyzing whether or not the matching signature information is included.

이때, 분석결과가 매칭되는 시그너처정보를 포함하는 것으로 나타나면 패턴매칭정보가 유효한 것으로 판단하여 해당 보안시뮬레이션정책정보의 시그너처정보에 대한 유효성정보를 생성하고, 분석결과가 매칭되는 시그너처정보를 포함하지 않는 것으로 나타나면 패턴매칭정보가 무효한 것으로 판단하여 유효성정보를 생성하지 않는 것으로 이해되는 것이 바람직하다.At this time, if the analysis result is found to include matching signature information, it is determined that the pattern matching information is valid, and validity information for the signature information of the corresponding security simulation policy information is generated, and the analysis result does not include the matching signature information. If it appears, it is preferable to understand that the pattern matching information is judged to be invalid and does not generate validity information.

이때, 유효성정보가 생성된 시그너처정보는 하기의 보안정책관리부(145)에 의해 확정보안정책으로 승격되어 확정보안정책정보가 생성되고, 보안정책에 적용될 수 있는 검증된 시그너처정보로 이해되는 것이 바람직하다.At this time, the signature information for which the validity information is generated is promoted to the final security policy by the following security policy management unit 145 to generate the final security policy information, and it is preferable to be understood as verified signature information that can be applied to the security policy. .

상기 시그너처검증모듈(130)은, 상기 유효성정보생성부(135)에 의해 유효성정보가 생성된 시그너처정보, 상기 패턴매칭시뮬레이션부(134)에 유입된 트래픽패킷정보, 보안시뮬레이션정책정보생성부(131)에서 생성된 보안시뮬레이션정책정보, 패턴매칭시뮬레이션부(134)에서 생성된 패턴매칭정보를 종합적으로 비교분석하여 보안시뮬레이션정책정보의 정확도를 산출하여 정확도산출정보를 생성하고 메모리모듈(150)에 저장하는 보안정책정확도산출부(136)를 포함하여 구성될 수 있다.The signature verification module 130 includes the signature information generated by the validity information generation unit 135, the traffic packet information flowing into the pattern matching simulation unit 134, and the security simulation policy information generation unit 131. ), the security simulation policy information generated by the pattern matching simulation unit 134 is comprehensively compared and analyzed to calculate the accuracy of the security simulation policy information, and the accuracy calculation information is generated and stored in the memory module 150 It may be configured to include a security policy accuracy calculation unit (136).

여기서 정확도 산출이란, "A. 트래픽패킷정보를 B. 트래픽패킷정보로부터 추출된 시그너처정보를 활용하여 C. 시그너처정보를 보안시뮬레이션정책정보로 지정하고, D. 보안시뮬레이션정책정보를 활용하여 보안 시뮬레이션을 진행하였을 때, E. 보안시뮬레이션정책정보와 패턴이 매칭되어 차단된 패턴매칭정보가 F. 시그너처정보와 연관성 있는 트래픽 파일 또는 패킷 데이터를 G. 얼마만큼 포함하고 있는가" 를 종합적으로 분석하여 확률로 산출한 것으로서, "A=트래픽패킷정보, B=시그너처정보, C=보안시뮬레이션정책정보, E=F=G=패턴매칭정보, P=정확도, Q=아프리오리 알고리즘 분석법" 이라 하면, "

Figure pat00001
,
Figure pat00002
,
Figure pat00003
(%)" 의 방법에 의해 보안시뮬레이션정책정보의 정확도를 산출하는 것으로 이해될 수 있다.Accuracy calculation here means "A. Traffic packet information B. Using signature information extracted from traffic packet information C. Signature information is designated as security simulation policy information, and D. Security simulation is performed using security simulation policy information. In the process, E. The pattern matching information that was blocked by matching the pattern with the security simulation policy information F. How much traffic file or packet data related to the signature information G. How much does it contain” and calculate the probability As one thing, if "A=Traffic packet information, B=Signature information, C=Security simulation policy information, E=F=G=Pattern matching information, P=Accuracy, Q=Apriori algorithm analysis method", "
Figure pat00001
,
Figure pat00002
,
Figure pat00003
(%)" can be understood as calculating the accuracy of the security simulation policy information.

상기 시그너처관리모듈(140)은, 외부망과 서버(100)와 클라이언트(400) 간의 트래픽 발생량을 실시간 또는 관리자에 의해 설정된 주기마다 감지하여 그래프 형태로 출력하는 트래픽모니터링부(141)를 포함하여 구성될 수 있다.The signature management module 140 includes a traffic monitoring unit 141 that detects the amount of traffic generated between the external network and the server 100 and the client 400 in real time or at intervals set by the administrator and outputs it in a graph form. can be

상기 시그너처관리모듈(140)은, 로그파일정보, 카테고리정보, 상기 상위이벤트로그파일발생감지부(114)에 의해 분석대상으로 지정된 로그파일정보, 라벨링정보, 인코딩정보, 임계기준정보, 연관규칙정보, 시그너처정보, 보안시뮬레이션정책정보, 상기 목적지변경처리부(133)에 의해 변경된 트래픽 도착 목적지, 패턴매칭정보, 유효성정보, 상기 보안정책정확도산출부(136)에 의해 산출된 보안시뮬레이션정책정보의 정확도 수치 중 어느 하나 이상의 정보가 관리자에 의해 선택되면, 선택된 정보에 대한 로그 기록을 관리자가 확인 가능하도록 출력하는 로그파일관리부(142)를 포함하여 구성될 수 있다.The signature management module 140 includes log file information, category information, log file information designated as an analysis target by the upper event log file generation detection unit 114, labeling information, encoding information, threshold reference information, and related rule information. , signature information, security simulation policy information, traffic arrival destination changed by the destination change processing unit 133, pattern matching information, validity information, and the accuracy value of the security simulation policy information calculated by the security policy accuracy calculation unit 136 When any one or more of the information is selected by an administrator, the log file management unit 142 may be configured to output a log record for the selected information so that the administrator can check it.

상기 시그너처관리모듈(140)은, 관리자의 제어를 받아 상기 상위카테고리정보생성부(113)의 카테고리정보를 추가, 수정 및 삭제하는 카테고리관리부(143)를 포함하여 구성될 수 있다.The signature management module 140 may be configured to include a category management unit 143 for adding, modifying, and deleting category information of the upper category information generation unit 113 under the control of an administrator.

상기 시그너처관리모듈(140)은, 관리자의 제어를 받아 상기 상위임계기준정보생성부(122)에 임계값 기준을 부여하고, 초소형 보안 게이트웨이 디바이스(300)의 하위시그너처생성모듈(320)의 시그너처전송처리부(325)에서 전송되는 시그너처정보를 수신받아 메모리모듈(150)에 저장하는 시그너처관리부(144)를 포함하여 구성될 수 있다.The signature management module 140, under the control of the administrator, gives a threshold standard to the upper threshold reference information generation unit 122, and transmits the signature of the lower signature generation module 320 of the micro-security gateway device 300 It may be configured to include a signature management unit 144 that receives the signature information transmitted from the processing unit 325 and stores it in the memory module 150 .

이때, 상기 시그너처관리부(144)는, 관리자의 제어를 받아 초소형 보안 게이트웨이 디바이스(300)를 제어하여 하위트래픽처리모듈(310)과 하위시그너처생성모듈(320) 중 적어도 어느 하나 이상의 동작을 활성화 또는 비활성화하도록 구성될 수 있다.At this time, the signature management unit 144 controls the micro-security gateway device 300 under the control of the administrator to activate or deactivate at least one operation of the sub-traffic processing module 310 and the sub-signature generating module 320 . can be configured to

상기 시그너처관리모듈(140)은, 관리자의 제어를 받아 상기 트래픽발생처리부(132)의 트래픽 발생을 제어하고, 시뮬레이션을 통해 검증된 시그너처정보 또는 관리자에 의해 보안정책으로 선택된 시그너처정보를 확정보안정책으로 승격시켜 확정보안정책정보를 생성하고 메모리모듈(150)에 저장하며, 생성한 확정보안정책정보를 서버(100)의 보안정책에 적용하거나 초소형 보안 게이트웨이 디바이스(300)에 전송하는 보안정책관리부(145)를 포함하여 구성될 수 있다.The signature management module 140 controls the traffic generation of the traffic generation processing unit 132 under the control of the administrator, and converts the signature information verified through simulation or the signature information selected as the security policy by the administrator as the final security policy. A security policy management unit 145 that promotes, generates and stores the finalized security policy information in the memory module 150, and applies the generated finalized security policy information to the security policy of the server 100 or transmits it to the micro-security gateway device 300 ) may be included.

상기 시그너처관리모듈(140)은, 관리자로부터 임계값을 부여받고, 상기 트래픽모니터링부(141)에서 감지한 트래픽 발생량이 임계값 이하일 경우, 하위시그너처생성모듈(320)의 시그너처전송처리부(325)를 제어하여 상기 하위시그너처생성부(324)에서 생성된 시그너처정보를 전송받아 메모리모듈(150)에 저장하고, 상기 트래픽모니터링부(141)에서 감지한 트래픽 발생량이 임계값을 초과할 경우, 하위시그너처생성모듈(320)의 시그너처전송처리부(325)를 제어하여 상기 하위시그너처생성부(324)에서 생성된 시그너처정보의 전송을 차단하는 트래픽조건부동기화처리부(146)를 포함하여 구성될 수 있다.The signature management module 140 receives a threshold value from the manager, and when the amount of traffic detected by the traffic monitoring unit 141 is less than or equal to the threshold value, the signature transmission processing unit 325 of the lower signature generation module 320 is Control to receive the signature information generated by the sub-signature generator 324 and store it in the memory module 150. When the amount of traffic detected by the traffic monitoring unit 141 exceeds a threshold, the sub-signature is generated. A traffic conditional synchronization processing unit 146 for controlling the signature transmission processing unit 325 of the module 320 to block transmission of the signature information generated by the sub-signature generation unit 324 may be included.

상기 메모리모듈(150)은, 트래픽패킷정보, 로그파일정보, 카테고리정보, 라벨링정보, 인코딩정보, 임계기준정보, 연관규칙정보, 시그너처정보, 보안시뮬레이션정책정보, 트래픽 도착 목적지, 패턴매칭정보, 유효성정보, 정확도산출정보, 확정보안정책정보 중 적어도 어느 하나 이상의 정보를 저장하는 메모리모듈(150)을 포함하여 구성될 수 있다.The memory module 150, traffic packet information, log file information, category information, labeling information, encoding information, threshold reference information, related rule information, signature information, security simulation policy information, traffic arrival destination, pattern matching information, validity It may be configured to include a memory module 150 for storing at least one of information, accuracy calculation information, and fixed security policy information.

상기 허브(200)는, 네트워크를 상기 서버(100)로부터 다수의 노드로 분기하도록 구성된다.The hub 200 is configured to branch a network from the server 100 to a plurality of nodes.

한편, 도 7 내지 도 10을 참조하면, 일 실시예에 따른 본 발명의 초소형 보안 게이트웨이 디바이스(300)는, 하위트래픽처리모듈(310), 하위시그너처생성모듈(320), 보안정책어플리케이션모듈(330), 서브메모리(340)를 포함하여 구성되고, 상기 허브(200)에 의해 분기된 각각의 노드에 클라이언트(400)를 네트워크 접속시키기 위하여 설치되도록 구성될 수 있다.On the other hand, referring to FIGS. 7 to 10 , the micro-security gateway device 300 of the present invention according to an embodiment includes a sub-traffic processing module 310 , a sub-signature generating module 320 , and a security policy application module 330 . ) and a sub-memory 340 , and may be configured to be installed in order to network-connect the client 400 to each node branched by the hub 200 .

상기 하위트래픽처리모듈(310)은, 상기 허브(200)에 의해 분기된 다수의 노드 간에 발생되는 트래픽 파일을 패킷 데이터와 함께 수집하여 트래픽패킷정보를 생성하고 서브메모리(340)에 저장하는 하위트래픽패킷정보수집부(311)를 포함하여 구성될 수 있다.The sub-traffic processing module 310 collects the traffic files generated between a plurality of nodes branched by the hub 200 together with packet data, generates traffic packet information, and stores the sub-traffic information in the sub-memory 340 . It may be configured to include a packet information collection unit (311).

상기 하위트래픽처리모듈(310)은, 상기 하위트래픽패킷정보수집부(311)에서 생성된 트래픽패킷정보로부터 보안을 옵티마이즈 하기 위한 로그소스를 추출하여 로그파일정보를 생성하고 서브메모리(340)에 저장하는 하위로그파일정보생성부(312)를 포함하여 구성될 수 있다.The sub-traffic processing module 310 extracts a log source for optimizing security from the traffic packet information generated by the sub-traffic packet information collection unit 311, generates log file information, and stores it in the sub-memory 340 It may be configured to include a sub-log file information generating unit 312 that is.

상기 하위트래픽처리모듈(310)은, 상기 하위로그파일정보생성부(312)에서 생성된 로그파일정보를 특성 유형별로 분류하여 분류에 따른 카테고리정보를 생성하고, 특성 유형별로 분류된 카테고리정보에 따른 로그파일정보를 서브메모리(340)에 저장하는 하위카테고리정보생성부(313)를 포함하여 구성될 수 있다.The sub-traffic processing module 310 classifies the log file information generated by the sub-log file information generating unit 312 by characteristic type to generate category information according to the classification, and according to the category information classified for each characteristic type, It may be configured to include a sub-category information generating unit 313 that stores log file information in the sub-memory 340 .

상기 하위트래픽처리모듈(310)은, 상기 하위로그파일정보생성부(312)로부터 생성된 로그파일정보와 상기 하위카테고리정보생성부(313)로부터 생성된 카테고리정보의 매치 여부를 감지하고, 상기 카테고리정보와 매치되지 않는 새로운 특성의 로그파일정보가 포함된 트래픽이 감지되면, 감지된 트래픽에 대한 로그파일정보를 분석대상으로 지정하는 하위이벤트로그파일발생감지부(314)를 포함하여 구성될 수 있다.The sub-traffic processing module 310 detects whether the log file information generated by the sub-log file information generating unit 312 matches the category information generated by the sub-category information generating unit 313, and the category When traffic containing log file information of a new characteristic that does not match the information is detected, a sub-event log file generation detection unit 314 for designating log file information for the detected traffic as an analysis target may be included. .

상기 하위트래픽처리모듈(310)은, 상기 하위이벤트로그파일발생감지부(314)로부터 분석대상으로 지정된 로그파일정보를 라벨링하여 라벨링정보를 생성하고 서브메모리(340)에 저장하는 하위라벨링정보생성부(315)를 포함하여 구성될 수 있다.The sub-traffic processing module 310 generates labeling information by labeling the log file information designated as an analysis target from the sub-event log file generation detection unit 314, and stores the labeling information in the sub-memory 340. A sub-labeling information generating unit 315 may be included.

상기 하위시그너처생성모듈(320)은, 상기 라벨링정보를 하위연관규칙정보생성부(323)가 읽기 가능한 형태의 데이터로 인코딩하여 인코딩정보를 생성하고 서브메모리(340)에 저장하는 하위인코딩정보생성부(321)를 포함하여 구성될 수 있다.The sub-signature generating module 320 encodes the labeling information into data in a form readable by the sub-association rule information generating unit 323 to generate encoding information and to store the sub-memory 340 in the sub-memory 340. A sub-encoding information generating unit 321 may be included.

상기 하위시그너처생성모듈(320)은, 관리자로부터 지지도, 신뢰도, 향상도 임계값 기준을 부여받아 임계기준정보를 생성하는 하위임계기준정보생성부(322)를 포함하여 구성될 수 있다.The sub-signature generating module 320 may be configured to include a sub-threshold reference information generating unit 322 that generates threshold reference information by receiving support, reliability, and improvement threshold criteria from an administrator.

상기 하위시그너처생성모듈(320)은, 아프리오리 알고리즘을 기반으로 상기 인코딩정보로부터 상기 임계기준정보에 부합하는 연관규칙을 추출하여 연관규칙정보를 생성하고 서브메모리(340)에 저장하는 하위연관규칙정보생성부(323)를 포함하여 구성될 수 있다.The sub-signature generating module 320 generates association rule information by extracting an association rule that matches the threshold reference information from the encoding information based on the apriori algorithm, and generates lower association rule information to be stored in the sub-memory 340 . It may be configured to include a portion 323 .

상기 하위시그너처생성모듈(320)은, 상기 연관규칙정보를 가상 또는 물리적 보안방식에서 읽기 가능하도록 보안방식의 특성에 적합한 형태로 변형하여 시그너처정보를 생성하고 서브메모리(340)에 저장하는 하위시그너처생성부(324)를 포함하여 구성될 수 있다.The sub-signature generation module 320 generates the signature information by transforming the association rule information into a form suitable for the characteristics of the security method so as to be readable in a virtual or physical security method, and generates the sub-signature to be stored in the sub-memory 340 . A portion 324 may be included.

상기 하위시그너처생성모듈(320)은, 상기 트래픽조건부동기화처리부(146)의 제어를 받아 상기 하위시그너처생성부(324)에서 생성된 시그너처정보를 상기 서버(100)의 메모리모듈(150)에 전송하는 시그너처전송처리부(325)를 포함하여 구성될 수 있다.The sub-signature generating module 320 transmits the signature information generated by the sub-signature generating unit 324 to the memory module 150 of the server 100 under the control of the traffic conditional synchronization processing unit 146. It may be configured to include a signature transmission processing unit (325).

상기 보안정책어플리케이션모듈(330)은, 상기 서버(100)의 상기 시그너처관리모듈(140)의 상기 보안정책관리부(145)에서 전송되는 확정보안정책정보를 수신받는 보안정책수신부(331)를 포함하여 구성될 수 있다.The security policy application module 330 includes a security policy receiving unit 331 that receives the finalized security policy information transmitted from the security policy management unit 145 of the signature management module 140 of the server 100 . can be configured.

상기 보안정책어플리케이션모듈(330)은, 상기 보안정책수신부(331)에 수신된 확정보안정책정보를 초소형 보안 게이트웨이 디바이스(300)의 보안정책에 적용하는 보안정책적용부(332)를 포함하여 구성될 수 있다.The security policy application module 330 is configured to include a security policy application unit 332 for applying the determined security policy information received in the security policy receiving unit 331 to the security policy of the micro security gateway device 300 . can

상기 서브메모리(340)는, 트래픽패킷정보, 로그파일정보, 카테고리정보, 라벨링정보, 인코딩정보, 임계기준정보, 연관규칙정보, 시그너처정보, 확정보안정책정보 중 적어도 어느 하나 이상의 정보를 저장하도록 구성될 수 있다.The sub-memory 340 is configured to store at least one of traffic packet information, log file information, category information, labeling information, encoding information, threshold reference information, related rule information, signature information, and fixed security policy information. can be

따라서 본 발명은, 외부망과 내부망에서 발생되는 트래픽에 대하여 유해성이 의심되는 트래픽을 분류하고, 분류된 트래픽의 시그너처를 분석하여 가상의 보안정책을 수립한 뒤, 발생된 전체의 트래픽을 이용해 가상의 보안정책을 시뮬레이션하여 정확도를 산출하고, 이를 기준으로 보안 정책을 자동으로 추가 및 수정하여 관리함으로써, 내부망과 외부망에서 발생하는 새로운 유해 트래픽을 자동으로 탐지 및 분석하여 효과적인 보안정책을 수행할 수 있는 효과를 제공한다.Therefore, the present invention classifies traffic suspected of being harmful to traffic generated in the external network and the internal network, analyzes the signature of the classified traffic to establish a virtual security policy, and then uses the entire generated traffic to create a virtual It calculates the accuracy by simulating the security policy of provide possible effects.

즉, 종래의 보안 시스템이 내부망의 하위트래픽에서 발생하는 유해한 트래픽을 효과적으로 차단할 수 없었으나, 본 발명에 따르면, 외부망과 내부망, 상위트래픽 뿐만 아니라 하위트래픽에서 발생하는 유해한 트래픽까지 분석하여 보안정책으로 적용할 수 있게 되므로, 내부망에서만 발생될 수 있는 유해한 트래픽을 효과적으로 차단할 수 있는 보안 옵티마이즈 기능을 제공할 수 있게 되는 것이다.That is, the conventional security system could not effectively block harmful traffic generated from the lower traffic of the internal network. Since it can be applied as a policy, it is possible to provide a security optimization function that can effectively block harmful traffic that can only occur in the internal network.

또한, 내부망과 외부망에서의 유해한 트래픽에 대한 보안정책을 수립함에 있어서, 관리자가 직접 관리할 필요 없이 검증된 시그너처 기반의 보안정책이 자동으로 수립되어 보안에 적용됨에 따라 새로운 공격에 대한 탐지 및 보안정책이 신속하게 수립되고, 상위트래픽과 하위트래픽 모두에 대한 보안정책이 수립됨에 따라, 외부망 뿐만 아니라 내부망 간에 발생하는 유해한 트래픽에 대한 보안정책을 네트워크 환경에 맞게 최적화된 형태로 제공할 수 있게 된다.In addition, when establishing security policies for harmful traffic in internal and external networks, a verified signature-based security policy is automatically established and applied to security without the need for an administrator to directly manage and detect new attacks and As the security policy is quickly established and the security policy for both upper and lower traffic is established, it is possible to provide security policies for harmful traffic that occur between internal as well as external networks in an optimized form according to the network environment. there will be

이상에서 본 발명은 도면에 도시된 바를 바탕으로 설명되었으나 이는 예시적인 것에 불과하며, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시 예 및 도면에 한정되는 것은 아니다.In the above, the present invention has been described based on the bar shown in the drawings, but this is only exemplary, and various substitutions, modifications and changes are possible within the scope without departing from the technical spirit of the present invention, so it is limited to the above-described embodiments and drawings it's not going to be

100 : 서버
200 : 허브
300 : 초소형 보안 게이트웨이 디바이스
400 : 클라이언트100 : server
200 : Herb
300: ultra-small security gateway device
400 : client

Claims (7)

서버(100)와 허브(200) 및 다수의 클라이언트(400)로 구성된 네트워크의 보안을 수행하는 네트워크 보안 시스템에 있어서,
외부망과 서버(100)와 허브(200) 간에 발생되는 상위 트래픽 파일을 패킷 데이터와 함께 수집하여 트래픽패킷정보를 생성하고 메모리모듈(150)에 저장하는 상위트래픽패킷정보수집부(111)를 포함하여 구성되는 상위트래픽처리모듈(110)과,
관리자로부터 지지도, 신뢰도, 향상도 임계값 기준을 부여받아 임계기준정보를 생성하는 상위임계기준정보생성부(122),
아프리오리 알고리즘을 기반으로 상기 트래픽패킷정보로부터 상기 임계기준정보에 부합하는 연관규칙을 추출하여 연관규칙정보를 생성하고 메모리모듈(150)에 저장하는 상위연관규칙정보생성부(123),
상기 연관규칙정보를 가상 또는 물리적 보안방식에서 읽기 가능하도록 보안방식의 특성에 적합한 형태로 변형하여 시그너처정보를 생성하고 메모리모듈(150)에 저장하는 상위시그너처생성부(124)를 포함하여 구성되는 상위시그너처생성모듈(120)과,
상기 메모리모듈(150)에 신규 저장되는 시그너처정보를 보안시뮬레이션정책의 기준으로 설정하거나, 상기 메모리모듈(150)에 저장된 시그너처정보 중, 관리자에 의해 선택된 시그너처정보를 보안시뮬레이션정책의 기준으로 설정하여 보안시뮬레이션정책정보를 생성하는 보안시뮬레이션정책정보생성부(131),
메모리모듈(150)에 저장된 트래픽패킷정보를 활용하여 상기 보안시뮬레이션정책정보를 시뮬레이션 하기 위한 트래픽을 발생시키는 트래픽발생처리부(132),
상기 트래픽발생처리부(132)에 의해 발생한 트래픽이 패턴매칭시뮬레이션부(134)를 향하도록 트래픽 목적지를 변경하는 목적지변경처리부(133),
상기 트래픽발생처리부(132) 및 상기 목적지변경처리부(133)에 의해 유입되는 트래픽패킷정보와 상기 보안시뮬레이션정책정보의 패턴 매칭 여부를 분석하여 패턴이 매칭되는 트래픽패킷정보를 차단하면서 보안정책을 시뮬레이션 하고, 차단된 트래픽패킷정보를 패턴매칭정보로 생성하여 메모리모듈(150)에 저장하는 패턴매칭시뮬레이션부(134),
상기 패턴매칭시뮬레이션부(134)에 의해 생성된 패턴매칭정보의 유효성을 분석하여 유효성정보를 생성하는 유효성정보생성부(135),
상기 유효성정보생성부(135)에 의해 유효성정보가 생성된 시그너처정보, 상기 패턴매칭시뮬레이션부(134)에 유입된 트래픽패킷정보, 보안시뮬레이션정책정보생성부(131)에서 생성된 보안시뮬레이션정책정보, 패턴매칭시뮬레이션부(134)에서 생성된 패턴매칭정보를 종합적으로 비교분석하여 보안시뮬레이션정책정보의 정확도를 산출하여 정확도산출정보를 생성하고 메모리모듈(150)에 저장하는 보안정책정확도산출부(136)를 포함하여 구성되는 시그너처검증모듈(130)과,
관리자의 제어를 받아 상기 상위카테고리정보생성부(113)의 카테고리정보를 추가, 수정 및 삭제하는 카테고리관리부(143),
관리자의 제어를 받아 상기 트래픽발생처리부(132)의 트래픽 발생을 제어하고, 시뮬레이션을 통해 검증된 시그너처정보 또는 관리자에 의해 보안정책으로 선택된 시그너처정보를 확정보안정책으로 승격시켜 확정보안정책정보를 생성하고 메모리모듈(150)에 저장하며, 생성한 확정보안정책정보를 서버(100)의 보안정책에 적용하거나 초소형 보안 게이트웨이 디바이스(300)에 전송하는 보안정책관리부(145)를 포함하여 구성되는 시그너처관리모듈(140)과,
메모리모듈(150)을 포함하여 구성되는 서버(100)와;
네트워크를 상기 서버(100)로부터 다수의 노드로 분기하는 허브(200)와;
상기 서버(100)의 상기 시그너처관리모듈(140)의 상기 보안정책관리부(145)에서 전송되는 확정보안정책정보를 수신받는 보안정책수신부(331),
상기 보안정책수신부(331)에 수신된 확정보안정책정보를 초소형 보안 게이트웨이 디바이스(300)의 보안정책에 적용하는 보안정책적용부(332)를 포함하여 구성되는 보안정책어플리케이션모듈(330)과,
확정보안정책정보를 저장하는 서브메모리(340)를 포함하여 구성되고, 상기 허브(200)에 의해 분기된 각각의 노드에 클라이언트(400)를 네트워크 접속시키기 위하여 설치되는 초소형 보안 게이트웨이 디바이스(300);를 포함하여 구성되는 것을 특징으로 하는 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템.
In a network security system for security of a network consisting of a server 100, a hub 200, and a plurality of clients 400,
Includes an upper traffic packet information collecting unit 111 that collects upper traffic files generated between the external network and the server 100 and the hub 200 together with packet data to generate traffic packet information and stores it in the memory module 150 The upper traffic processing module 110, which is configured by
The upper threshold reference information generation unit 122 for generating threshold reference information by receiving support, reliability, and improvement threshold standards from the manager;
An upper association rule information generating unit 123 that extracts association rules that match the threshold reference information from the traffic packet information based on the apriori algorithm, generates association rule information, and stores the association rule information in the memory module 150;
An upper level comprising an upper signature generator 124 that generates signature information by transforming the association rule information into a form suitable for the characteristics of a security method so as to be readable in a virtual or physical security method, and stores it in the memory module 150 A signature generation module 120, and
The signature information newly stored in the memory module 150 is set as the standard of the security simulation policy, or the signature information selected by the administrator among the signature information stored in the memory module 150 is set as the standard of the security simulation policy to secure Security simulation policy information generating unit 131 for generating simulation policy information,
A traffic generation processing unit 132 that generates traffic for simulating the security simulation policy information by using the traffic packet information stored in the memory module 150;
a destination change processing unit 133 for changing the traffic destination so that the traffic generated by the traffic generation processing unit 132 is directed toward the pattern matching simulation unit 134;
By analyzing the pattern matching between the traffic packet information and the security simulation policy information flowing in by the traffic generation processing unit 132 and the destination change processing unit 133, the security policy is simulated while blocking the matching traffic packet information. , a pattern matching simulation unit 134 that generates the blocked traffic packet information as pattern matching information and stores it in the memory module 150;
A validity information generation unit 135 for generating validity information by analyzing the validity of the pattern matching information generated by the pattern matching simulation unit 134;
Signature information generated by the validity information generated by the validity information generating unit 135, traffic packet information flowing into the pattern matching simulation unit 134, security simulation policy information generated by the security simulation policy information generating unit 131, A security policy accuracy calculation unit 136 that comprehensively compares and analyzes the pattern matching information generated by the pattern matching simulation unit 134 to calculate the accuracy of the security simulation policy information to generate the accuracy calculation information and store it in the memory module 150 . A signature verification module 130 comprising a, and
Category management unit 143 for adding, modifying and deleting category information of the upper category information generation unit 113 under the control of the administrator;
Controls the traffic generation of the traffic generation processing unit 132 under the control of the administrator, and promotes the signature information verified through simulation or the signature information selected as the security policy by the administrator to the final security policy to generate the final security policy information, A signature management module configured to include a security policy management unit 145 that stores in the memory module 150 and applies the generated fixed security policy information to the security policy of the server 100 or transmits to the micro security gateway device 300 . (140) and;
a server 100 configured to include a memory module 150;
a hub 200 for branching a network from the server 100 to a plurality of nodes;
A security policy receiving unit 331 that receives the fixed security policy information transmitted from the security policy management unit 145 of the signature management module 140 of the server 100;
A security policy application module 330 configured including a security policy application unit 332 for applying the determined security policy information received in the security policy receiving unit 331 to the security policy of the micro security gateway device 300;
a micro-security gateway device 300 configured to include a sub-memory 340 for storing fixed security policy information, and installed to connect a client 400 to a network connection to each node branched by the hub 200; A network security system that provides a security optimization function of the internal network, characterized in that it comprises a.
 제 1항에 있어서,
상기 상위트래픽처리모듈(110)은,
상기 상위트래픽패킷정보수집부(111)에서 생성된 트래픽패킷정보로부터 보안을 옵티마이즈 하기 위한 로그소스를 추출하여 로그파일정보를 생성하고 메모리모듈(150)에 저장하는 상위로그파일정보생성부(112)를 더 포함하여 구성되는 것을 특징으로 하는 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템.
The method of claim 1,
The upper-level traffic processing module 110,
Upper log file information generating unit 112 that extracts a log source for optimizing security from the traffic packet information generated by the upper traffic packet information collection unit 111, generates log file information, and stores it in the memory module 150 A network security system that provides a security optimization function of the internal network, characterized in that it further comprises a.
 제 2항에 있어서,
상기 상위트래픽처리모듈(110)은,
상기 상위로그파일정보생성부(112)에서 생성된 로그파일정보를 특성 유형별로 분류하여 분류에 따른 카테고리정보를 생성하고, 특성 유형별로 분류된 카테고리정보에 따른 로그파일정보를 메모리모듈(150)에 저장하는 상위카테고리정보생성부(113)를 더 포함하여 구성되는 것을 특징으로 하는 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템.
3. The method of claim 2,
The upper-level traffic processing module 110,
The log file information generated by the upper log file information generating unit 112 is classified by characteristic type to generate category information according to the classification, and log file information according to the category information classified for each characteristic type is stored in the memory module 150 . A network security system providing a security optimization function of an internal network, characterized in that it further comprises a higher category information generation unit 113 to store.
 제 3항에 있어서,
상기 상위트래픽처리모듈(110)은,
상기 상위로그파일정보생성부(112)로부터 생성된 로그파일정보와 상기 상위카테고리정보생성부(113)로부터 생성된 카테고리정보의 매치 여부를 감지하고, 상기 카테고리정보와 매치되지 않는 새로운 특성의 로그파일정보가 포함된 트래픽이 감지되면, 감지된 트래픽에 대한 로그파일정보를 분석대상으로 지정하는 상위이벤트로그파일발생감지부(114)를 더 포함하여 구성되는 것을 특징으로 하는 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템.
4. The method of claim 3,
The upper-level traffic processing module 110,
Detects whether the log file information generated by the upper log file information generation unit 112 matches the category information generated by the upper category information generation unit 113, and a log file of a new characteristic that does not match the category information When traffic containing information is detected, the security optimization function of the internal network, characterized in that it further includes an upper event log file generation detection unit 114 for designating log file information for the detected traffic as an analysis target. Network security system provided.
 제 4항에 있어서,
상기 상위트래픽처리모듈(110)은,
상기 상위이벤트로그파일발생감지부(114)로부터 분석대상으로 지정된 로그파일정보를 라벨링하여 라벨링정보를 생성하고 메모리모듈(150)에 저장하는 상위라벨링정보생성부(115)를 더 포함하여 구성되는 것을 특징으로 하는 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템.
5. The method of claim 4,
The upper-level traffic processing module 110,
The upper event log file generation detection unit 114 labels the log file information designated as an analysis target to generate labeling information and to further include an upper labeling information generation unit 115 for storing the labeling information in the memory module 150 . A network security system that provides an internal network security optimization function.
 제 5항에 있어서,
상기 상위시그너처생성모듈(120)은,
상기 라벨링정보를 상위연관규칙정보생성부(123)가 읽기 가능한 형태의 데이터로 인코딩하여 인코딩정보를 생성하고 메모리모듈(150)에 저장하는 상위인코딩정보생성부(121)를 더 포함하여 구성되는 것을 특징으로 하는 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템.
6. The method of claim 5,
The upper signature generating module 120,
The higher-order association rule information generating unit 123 encodes the labeling information into readable data to generate the encoding information and further comprises a higher-order encoding information generating unit 121 for storing it in the memory module 150. A network security system that provides an internal network security optimization function.
 제 6항에 있어서,
상기 메모리부(150)는,
트래픽패킷정보, 로그파일정보, 카테고리정보, 라벨링정보, 인코딩정보, 임계기준정보, 연관규칙정보, 시그너처정보, 보안시뮬레이션정책정보, 트래픽 도착 목적지, 패턴매칭정보, 유효성정보, 정확도산출정보, 확정보안정책정보 중 적어도 어느 하나 이상의 정보를 저장하도록 구성되는 것을 특징으로 하는 내부망의 보안 옵티마이즈 기능을 제공하는 네트워크 보안 시스템.
7. The method of claim 6,
The memory unit 150,
Traffic packet information, log file information, category information, labeling information, encoding information, threshold reference information, related rule information, signature information, security simulation policy information, traffic arrival destination, pattern matching information, validity information, accuracy calculation information, fixed security A network security system that provides a security optimization function of an internal network, characterized in that it is configured to store at least any one or more of the policy information.
KR1020200058558A 2020-05-15 2020-05-15 Network security system that provides security optimization function of internal network KR102377784B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200058558A KR102377784B1 (en) 2020-05-15 2020-05-15 Network security system that provides security optimization function of internal network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200058558A KR102377784B1 (en) 2020-05-15 2020-05-15 Network security system that provides security optimization function of internal network

Publications (2)

Publication Number Publication Date
KR20210141198A true KR20210141198A (en) 2021-11-23
KR102377784B1 KR102377784B1 (en) 2022-03-22

Family

ID=78695202

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200058558A KR102377784B1 (en) 2020-05-15 2020-05-15 Network security system that provides security optimization function of internal network

Country Status (1)

Country Link
KR (1) KR102377784B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102519749B1 (en) * 2022-01-19 2023-04-10 국방과학연구소 Method, system and apparatus for managing technical information based on artificial intelligence

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100635130B1 (en) 2005-07-08 2006-10-17 한국전자통신연구원 System and method for detecting kernel backdoor by windows network inspection
KR20130126830A (en) * 2012-04-30 2013-11-21 (주) 시스메이트 System and method for creating real-time application signiture
KR101951208B1 (en) * 2018-09-28 2019-02-25 주식회사 루터스시스템 A firewall system for monitoring network traffic by using firewall agent

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100635130B1 (en) 2005-07-08 2006-10-17 한국전자통신연구원 System and method for detecting kernel backdoor by windows network inspection
KR20130126830A (en) * 2012-04-30 2013-11-21 (주) 시스메이트 System and method for creating real-time application signiture
KR101951208B1 (en) * 2018-09-28 2019-02-25 주식회사 루터스시스템 A firewall system for monitoring network traffic by using firewall agent

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102519749B1 (en) * 2022-01-19 2023-04-10 국방과학연구소 Method, system and apparatus for managing technical information based on artificial intelligence

Also Published As

Publication number Publication date
KR102377784B1 (en) 2022-03-22

Similar Documents

Publication Publication Date Title
US11212299B2 (en) System and method for monitoring security attack chains
Banerjee et al. A blockchain future for internet of things security: a position paper
JP6863969B2 (en) Detecting security incidents with unreliable security events
KR101689296B1 (en) Automated verification method of security event and automated verification apparatus of security event
Sandhu et al. A survey of intrusion detection & prevention techniques
CN107888607A (en) A kind of Cyberthreat detection method, device and network management device
Beigh et al. Intrusion Detection and Prevention System: Classification and Quick
CN113660224A (en) Situation awareness defense method, device and system based on network vulnerability scanning
CN110868403B (en) Method and equipment for identifying advanced persistent Attack (APT)
Mangrulkar et al. Network attacks and their detection mechanisms: A review
CN113411297A (en) Situation awareness defense method and system based on attribute access control
KR20170091989A (en) System and method for managing and evaluating security in industry control network
CN117478433B (en) Network and information security dynamic early warning system
KR20210109292A (en) Big Data Server System for Managing Industrial Field Facilities through Multifunctional Measuring Instruments
Beigh et al. Intrusion detection and prevention system: issues and challenges
CN113660222A (en) Situation awareness defense method and system based on mandatory access control
KR20210141198A (en) Network security system that provides security optimization function of internal network
CN116094817A (en) Network security detection system and method
Saini et al. Vulnerability and Attack Detection Techniques: Intrusion Detection System
KR100977827B1 (en) Apparatus and method detecting connection mailcious web server system
Gheorghică et al. A new framework for enhanced measurable cybersecurity in computer networks
CN111740976A (en) Network security discrimination and study system and method
CN112637217B (en) Active defense method and device of cloud computing system based on bait generation
Pandhurnekar et al. Proposed Method for Threat Detection Using User Behavior Analysis
Yashwant et al. Buckler: Intrusion Detection and Prevention using Honeypot

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant