KR20230031802A - I2nsf 분석 인터페이스 yang 데이터 모델에 기초한 보안 관리 방법 및 장치 - Google Patents
I2nsf 분석 인터페이스 yang 데이터 모델에 기초한 보안 관리 방법 및 장치 Download PDFInfo
- Publication number
- KR20230031802A KR20230031802A KR1020220107819A KR20220107819A KR20230031802A KR 20230031802 A KR20230031802 A KR 20230031802A KR 1020220107819 A KR1020220107819 A KR 1020220107819A KR 20220107819 A KR20220107819 A KR 20220107819A KR 20230031802 A KR20230031802 A KR 20230031802A
- Authority
- KR
- South Korea
- Prior art keywords
- security
- nsf
- i2nsf
- feedback information
- interface
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 38
- 238000007726 management method Methods 0.000 title abstract description 129
- 238000013499 data model Methods 0.000 title abstract description 16
- 238000012544 monitoring process Methods 0.000 claims abstract description 96
- 238000004458 analytical method Methods 0.000 claims abstract description 40
- 230000006870 function Effects 0.000 claims abstract description 34
- 230000009471 action Effects 0.000 claims description 14
- 238000010801 machine learning Methods 0.000 claims description 9
- 230000008569 process Effects 0.000 description 7
- 238000001514 detection method Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 230000004224 protection Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000003416 augmentation Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000001151 other effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000013341 scale-up Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Artificial Intelligence (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 명세서는 보안 관리 시스템에서 I2NSF(Interface to Network Security Functions) 분석기와 보안 제어기 간의 분석 인터페이스를 위한 데이터 모델에 관한 것으로, I2NSF 분석기가 보안 관리를 수행하는 방법은, 보안 서비스를 제공하는 적어도 하나의 NSF(Network Security Function)로부터 모니터링 데이터를 수신하고, 수신된 모니터링 데이터를 분석하여 새로운 보안 정책 또는 피드백 정보를 생성하며, 생성된 새로운 보안 정책 또는 피드백 정보를 보안 제어기에 제공한다.
Description
본 명세서는 데이터 모델에 관한 것으로, 보다 상세하게는 보안 관리 시스템에서 I2NSF(Interface to Network Security Functions) 분석기와 보안 제어기 간의 분석 인터페이스를 위한 YANG 데이터 모델을 정의하고 이를 통해 보안 관리를 수행하는 기술에 관한 것이다.
네트워크를 전세계에 연결하면 지리적 거리에 관계없이 신속하게 정보에 액세스할 수 있다. 인터넷은 본질적으로 서로 다른 레벨들의 계층 구조가 서로 연결된 수많은 네트워크이다.
인터넷은 IETF (Internet Engineering Task Force)에서 공표한 TCP/IP (전송 제어 프로토콜/인터넷 프로토콜)에 따라 운영되며, TCP/IP는 RFC (Request For Comments) 703 및 IETF에서 발행 한 RFC 791에서 찾을 수 있다.
본 명세서의 실시예들이 해결하고자 하는 기술적 과제는, 네트워크 보안 기능(Network Functions Virtualization, NFV) 환경의 I2NSF(Interface to Network Security Functions) 시스템에서 I2NSF 분석기(Analyzer)와 보안 제어기(Security Controller) 사이의 분석 인터페이스에 적합한 데이터 모델이 제시되지 못하였던 문제를 해결하고, 보안 서비스를 제공하는 NSF(Network Security Function)를 모니터링하여 발견된 문제에 적절히 대응하지 못하는 약점을 극복하고자 한다.
본 명세서에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 명세서가 속하는 기술 분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
상기 기술적 과제를 해결하기 위하여, 본 명세서의 일 실시예에 따른 보안 관리 시스템에서 I2NSF(Interface to Network Security Functions) 분석기가 보안 관리를 수행하는 방법은, 보안 서비스를 제공하는 적어도 하나의 NSF(Network Security Function)로부터 모니터링 데이터를 수신하는 단계; 수신된 상기 모니터링 데이터를 분석하여 새로운 보안 정책 또는 피드백 정보를 생성하는 단계; 및 생성된 상기 새로운 보안 정책 또는 상기 피드백 정보를 보안 제어기에 제공하는 단계;를 포함할 수 있다.
일 실시예에 따른 보안 관리를 수행하는 방법에서, 상기 모니터링 데이터를 수신하는 단계는, 상기 NSF로부터 수집된 모니터링 데이터를 모니터링 인터페이스(Monitoring Interface)를 통해 전달받을 수 있다.
일 실시예에 따른 보안 관리를 수행하는 방법에서, 상기 모니터링 데이터를 수신하는 단계는, 상기 I2NSF 분석기의 요청에 의한 쿼리(query)를 이용하여 상기 NSF로부터 상기 모니터링 데이터를 획득하거나, 또는 상기 NSF에 의해 자동으로 전송되는 리포트(report)를 이용하여 상기 모니터링 데이터를 획득할 수 있다.
일 실시예에 따른 보안 관리를 수행하는 방법에서, 상기 새로운 보안 정책 또는 상기 피드백 정보를 생성하는 단계는, 수신된 상기 모니터링 데이터를 기계 학습(machine learning)을 이용하여 분석하는 단계; 및 분석 결과에 기초하여 네트워크에서 감지된 문제를 해결하기 위해 보안 정책 규칙이 재구성된 새로운 보안 정책을 생성하는 단계;를 포함할 수 있다. 또한, 상기 새로운 보안 정책은, NSF의 이름 또는 주소 중 적어도 하나; NSF에서 나타나는 문제(Problem); 및 상기 문제를 해결하기 위한 해결 방법(Solution);을 포함할 수 있다.
일 실시예에 따른 보안 관리를 수행하는 방법에서, 상기 새로운 보안 정책 또는 상기 피드백 정보를 생성하는 단계는, 수신된 상기 모니터링 데이터에 기초하여 보안 서비스를 위한 NSF의 문제에 대한 피드백 정보를 획득하는 단계;를 포함할 수 있다. 또한, 상기 피드백 정보는, 문제를 감지한 NSF의 이름 또는 주소 중 적어도 하나; NSF에서 나타나는 문제; 상기 문제를 해결하기 위한 해결 방법; 피드백 정보를 전달한 시간(Time); 및 상기 해결 방법에 포함된 텍스트에 사용되는 언어(Language);를 포함할 수 있다.
일 실시예에 따른 보안 관리를 수행하는 방법에서, 상기 새로운 보안 정책 또는 상기 피드백 정보를 보안 제어기에 제공하는 단계는, 생성된 상기 새로운 보안 정책 또는 상기 피드백 정보를 분석 인터페이스(Analytics Interface)를 통해 상기 보안 제어기에 전송할 수 있다.
또한, 상기 보안 제어기에 전송된 상기 새로운 보안 정책은 NSF-직면 인터페이스(NSF-Facing Interface)를 통해 상기 새로운 보안 정책에 따른 보안 서비스를 제공하기 위한 NSF에 전달될 수 있다.
또한, 상기 보안 제어기에 전송된 상기 피드백 정보에 의해 상기 보안 제어기에서 보고된 문제를 해결하기 위한 동작(action)이 수행되고, 상기 동작은, I2NSF 사용자(User)에 대한 리포트 및 개발자 관리 시스템(Developer's Management System, DMS)에 대한 관련 NSF의 시스템 자원 관리 쿼리를 포함할 수 있다.
또한, 상기 분석 인터페이스는 NSF에서 강화할 규칙 목록으로 구성되는 보안 정책 목록을 보유하되, 상기 I2NSF 분석기 및 상기 보안 제어기 간에 상기 보안 정책 목록의 동기화가 수행될 수 있다.
상기 기술적 과제를 해결하기 위하여, 본 명세서의 다른 실시예에 따른 보안 관리 시스템은, 보안 관리를 수행하는 I2NSF(Interface to Network Security Functions) 분석기;를 포함하고, 상기 I2NSF 분석기는, 보안 서비스를 제공하는 적어도 하나의 NSF(Network Security Function)로부터 모니터링 데이터를 수신하고, 수신된 상기 모니터링 데이터를 분석하여 새로운 보안 정책 또는 피드백 정보를 생성하며, 생성된 상기 새로운 보안 정책 또는 상기 피드백 정보를 보안 제어기에 제공할 수 있다.
다른 실시예에 따른 보안 관리 시스템에서, 상기 I2NSF 분석기는, 상기 NSF로부터 수집된 모니터링 데이터를 모니터링 인터페이스(Monitoring Interface)를 통해 전달받을 수 있다.
다른 실시예에 따른 보안 관리 시스템에서, 상기 I2NSF 분석기는, 상기 I2NSF 분석기의 요청에 의한 쿼리(query)를 이용하여 상기 NSF로부터 상기 모니터링 데이터를 획득하거나, 또는 상기 NSF에 의해 자동으로 전송되는 리포트(report)를 이용하여 상기 모니터링 데이터를 획득할 수 있다.
다른 실시예에 따른 보안 관리 시스템에서, 상기 I2NSF 분석기는, 수신된 상기 모니터링 데이터를 기계 학습(machine learning)을 이용하여 분석하고, 분석 결과에 기초하여 네트워크에서 감지된 문제를 해결하기 위해 보안 정책 규칙이 재구성된 새로운 보안 정책을 생성하며, 생성된 상기 새로운 보안 정책을 분석 인터페이스(Analytics Interface)를 통해 상기 보안 제어기에 전송할 수 있다. 상기 새로운 보안 정책은, NSF의 이름 또는 주소 중 적어도 하나; NSF에서 나타나는 문제(Problem); 및 상기 문제를 해결하기 위한 해결 방법(Solution);을 포함할 수 있다. 또한, 상기 보안 제어기에 전송된 상기 새로운 보안 정책은 NSF-직면 인터페이스(NSF-Facing Interface)를 통해 상기 새로운 보안 정책에 따른 보안 서비스를 제공하기 위한 NSF에 전달될 수 있다.
다른 실시예에 따른 보안 관리 시스템에서, 상기 I2NSF 분석기는, 수신된 상기 모니터링 데이터에 기초하여 보안 서비스를 위한 NSF의 문제에 대한 피드백 정보를 획득하고, 획득된 상기 피드백 정보를 분석 인터페이스를 통해 상기 보안 제어기에 전송할 수 있다. 상기 피드백 정보는, 문제를 감지한 NSF의 이름 또는 주소 중 적어도 하나; NSF에서 나타나는 문제; 상기 문제를 해결하기 위한 해결 방법; 피드백 정보를 전달한 시간(Time); 및 상기 해결 방법에 포함된 텍스트에 사용되는 언어(Language);를 포함할 수 있다. 또한, 상기 보안 제어기에 전송된 상기 피드백 정보에 의해 상기 보안 제어기에서 보고된 문제를 해결하기 위한 동작(action)이 수행되고, 상기 동작은, I2NSF 사용자(User)에 대한 리포트 및 개발자 관리 시스템(Developer's Management System, DMS)에 대한 관련 NSF의 시스템 자원 관리 쿼리를 포함할 수 있다.
본 명세서의 실시예들은, 보안 관리 시스템에서 I2NSF(Interface to Network Security Functions) 분석기와 보안 제어기 간의 분석 인터페이스를 위한 YANG 데이터 모델을 정의할 수 있다.
또한, 본 명세서의 실시예들은, 보안 서비스를 제공하는 NSF(Network Security Function)를 모니터링하여 발견된 문제에 대응할 수 있는 보안 정책 또는 피드백 정보를 분석 인터페이스를 통해 보안 제어기에 적시에 제공함으로써 자동화된 보안 관리를 달성할 수 있으며, 나아가 NSF를 통해 향상된 보안 서비스를 제공할 수 있다.
본 명세서에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 명세서가 속하는 기술 분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 명세서에 관한 이해를 돕기 위해 상세한 설명의 일부로 포함되는, 첨부 도면은 본 명세서에 대한 실시예를 제공하고, 상세한 설명과 함께 본 명세서의 기술적 특징을 설명한다.
도 1은 본 명세서의 실시예들이 적용될 수 있는 보안 관리 자동화(Security Management Automation, SMA)를 위한 I2NSF(Interface to Network Security Functions) 프레임워크를 도시하였다.
도 2는 본 명세서의 일 실시예에 따른 I2NSF 시스템의 아키텍쳐를 예시한다.
도 3은 본 명세서의 실시예들이 적용될 수 있는 보안 관리 시스템에서 I2NSF 분석기가 보안 관리를 수행하는 방법을 도시한 흐름도이다.
도 4는 본 명세서의 실시예들이 적용될 수 있는 분석 인터페이스(Analytics Interface)의 정보 모델을 도시하였다.
도 5는 본 명세서의 일 실시예에 따른 보안 관리 자동화를 위한 폐쇄 루프 보안 시스템을 도시하였다.
도 6은 본 명세서의 일 실시예에 따른 보안 관리 시스템에서 보안 관리를 수행하는 도 3의 방법을 정책 재구성(Policy Reconfiguration)을 중심으로 보다 구체적으로 도시한 흐름도이다.
도 7은 정책 재구성을 위한 YANG 트리 구조(Tree Structure)를 예시한 도면이다.
도 8은 본 명세서의 일 실시예에 따른 보안 관리 시스템에서 피드백 정보(Feedback Information)의 처리를 도시하였다.
도 9는 본 명세서의 일 실시예에 따른 보안 관리 시스템에서 보안 관리를 수행하는 도 3의 방법을 피드백 정보를 중심으로 보다 구체적으로 도시한 흐름도이다.
도 10은 피드백 정보를 위한 YANG 트리 구조를 예시한 도면이다.
도 11a 내지 도 11m은 본 명세서의 실시예들이 적용될 수 있는 분석 인터페이스의 YANG 모듈을 예시하였다.
도 12는 DDoS 공격 시나리오를 예시하였다.
도 13은 도 12의 시나리오에 따라 탐지된 DDoS 공격을 예시하였다.
도 14는 도 13의 탐지된 DDoS 공격을 위한 정책 재구성을 예시하였다.
도 15는 도 12의 시나리오에 따라 과부하된 NSF의 모니터링 데이터를 예시하였다.
도 16은 도 15의 과부하된 NSF를 위한 피드백 정보를 예시하였다.
도 1은 본 명세서의 실시예들이 적용될 수 있는 보안 관리 자동화(Security Management Automation, SMA)를 위한 I2NSF(Interface to Network Security Functions) 프레임워크를 도시하였다.
도 2는 본 명세서의 일 실시예에 따른 I2NSF 시스템의 아키텍쳐를 예시한다.
도 3은 본 명세서의 실시예들이 적용될 수 있는 보안 관리 시스템에서 I2NSF 분석기가 보안 관리를 수행하는 방법을 도시한 흐름도이다.
도 4는 본 명세서의 실시예들이 적용될 수 있는 분석 인터페이스(Analytics Interface)의 정보 모델을 도시하였다.
도 5는 본 명세서의 일 실시예에 따른 보안 관리 자동화를 위한 폐쇄 루프 보안 시스템을 도시하였다.
도 6은 본 명세서의 일 실시예에 따른 보안 관리 시스템에서 보안 관리를 수행하는 도 3의 방법을 정책 재구성(Policy Reconfiguration)을 중심으로 보다 구체적으로 도시한 흐름도이다.
도 7은 정책 재구성을 위한 YANG 트리 구조(Tree Structure)를 예시한 도면이다.
도 8은 본 명세서의 일 실시예에 따른 보안 관리 시스템에서 피드백 정보(Feedback Information)의 처리를 도시하였다.
도 9는 본 명세서의 일 실시예에 따른 보안 관리 시스템에서 보안 관리를 수행하는 도 3의 방법을 피드백 정보를 중심으로 보다 구체적으로 도시한 흐름도이다.
도 10은 피드백 정보를 위한 YANG 트리 구조를 예시한 도면이다.
도 11a 내지 도 11m은 본 명세서의 실시예들이 적용될 수 있는 분석 인터페이스의 YANG 모듈을 예시하였다.
도 12는 DDoS 공격 시나리오를 예시하였다.
도 13은 도 12의 시나리오에 따라 탐지된 DDoS 공격을 예시하였다.
도 14는 도 13의 탐지된 DDoS 공격을 위한 정책 재구성을 예시하였다.
도 15는 도 12의 시나리오에 따라 과부하된 NSF의 모니터링 데이터를 예시하였다.
도 16은 도 15의 과부하된 NSF를 위한 피드백 정보를 예시하였다.
이하에서는 도면을 참조하여 본 명세서의 실시예들을 구체적으로 설명하도록 한다. 다만, 하기의 설명 및 첨부된 도면에서 실시예들의 요지를 흐릴 수 있는 공지 기능 또는 구성에 대한 상세한 설명은 생략한다. 덧붙여, 명세서 전체에서, 어떤 구성 요소를 '포함'한다는 것은, 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라, 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
본 명세서에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 명세서를 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "구비하다" 등의 용어는 설시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
특별히 다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 명세서가 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미이다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미인 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
최근에는, NFV-based security function을 위한 기본 표준 인터페이스가 I2NSF(Interface to Network Security Functions) 워킹 그룹에 의해 개발되고 있다. 이는 인터넷 엔지니어링 태스크 포스(IETF: Internet Engineering Task Force)로 불리는 국제 인터넷 표준 기구의 일부이다.
I2NSF의 목적은 다수의 보안 솔루션 벤더(security solution vendor)들에 의해 제공되는 이종의 (heterogeneous) 네트워크 보안 능력(들)(NSF: network security function)을 위한 표준화된 인터페이스를 정의하기 위함이다.
I2NSF 아키텍처(architecture)에서, NSF(들)의 관리에 대하여 상세히 고려할 필요 없이(NSF의 관리는 결국 보안 정책의 시행(enforce)을 요구한다), 사용자는 사용자의 네트워크 시스템 내 네트워크 자원을 보호하기 위한 보호 정책을 정의할 수 있다. 또한, 다수의 vendor들로부터 NSF(들)로의 표준화된 인터페이스는 이종의 NSF(들)에 대한 태스크(task)의 설정 및 관리를 단순화할 수 있다.
도 1은 본 명세서의 실시예들이 적용될 수 있는 보안 관리 자동화(Security Management Automation, SMA)를 위한 I2NSF(Interface to Network Security Functions) 프레임워크를 도시하였다.
I2NSF에 대한 인터페이스에서, 모니터링 인터페이스(Monitoring Interface)는 NSF로부터 모니터링 데이터(예를 들어, 네트워크 통계 및 리소스)를 수집하는 인터페이스로 정의된다. 이 데이터는 쿼리(query) 또는 리포트(report)에 의해 수신될 수 있다. 쿼리 기반 방식에서, 상기 데이터는 클라이언트(예를 들어, I2NSF 분석기)의 요청에 의해 획득될 수 있다. 그러나, 리포트 기반 방식에서, 이벤트에 의해 알림이나 경보가 발생하면, 상기 데이터가 서버(예를 들어, NSF)에 의해 I2NSF 분석기에 제공된다. 이 모델에서는 클라우드 기반 보안 서비스를 위한 정보 관리 자동화(Security Management Automation, SMA)를 구현하기 위해 리포트 기반 방식이 I2NSF 시스템에 사용될 수 있다. 따라서 모니터링 데이터는 NSF에서 자동으로 I2NSF 분석기로 전송된다. 도 1은 보안 관리 자동화를 위한 I2NSF 프레임워크를 보여준다.
도 1을 참조하면, I2NSF 시스템은 I2NSF 사용자(user), 보안 제어기(Security Controller), 개발자 관리 시스템(Developer's Management System), I2NSF 분석기(Analyzer) 및/또는 적어도 하나의 NSF를 포함한다.
I2NSF 사용자는 소비자-직면 인터페이스(Consumer-Facing Interface)를 통해 보안 제어기와 통신한다. 보안 제어기는 NSF-직면 인터페이스(NSF-Facing Interface)를 통해 NSF(들)과 통신한다. I2NSF 분석기는 모니터링 인터페이스(Monitoring Interface)를 통해 NSF(들)과 통신한다. 또한, I2NSF 분석기는 분석 인터페이스(Analytics Interface)를 통해 보안 제어기와 통신한다. 개발자 관리 시스템은 등록 인터페이스(Registration Interface)를 통해 보안 제어기와 통신한다.
I2NSF 사용자
I2NSF 사용자는 다른 I2NSF 컴포넌트(예컨대, 보안 제어기)에서 정보를 요청하거나 및/또는 다른 I2NSF 컴포넌트(예컨대, 개발자 관리 시스템)에 의해 제공되는 서비스(예컨대, 네트워크 보안 서비스)를 사용하는 I2NSF 컴포넌트이다. 예를 들면, I2NSF 사용자는 오버레이 네트워크 관리 시스템, 기업 네트워크 관리자 시스템, 다른 네트워크 도메인 관리자 등일 수 있다.
이러한 I2NSF 사용자 컴포넌트에 할당된 역할을 수행하는 대상은 I2NSF 소비자로 지칭될 수 있다. I2NSF 소비자의 예로는, 일정 기간(time span) 동안 패킷의 특정 필드에 기초하여 흐름을 허용, 속도-제한(rate-limit), 또는 거부하기 위해 언더레이 네트워크(underlay network)에 동적으로 알릴 필요가 있는 화상 회의 네트워크 관리자(video-conference network manager), 특정 흐름에 대한 특정 I2NSF 정책을 시행(enforce)하기 위해 제공자 네트워크를 요청할 필요가 있는 기업 네트워크 관리자(Enterprise network administrators) 및 관리 시스템(management systems), 특정 조건의 세트와 일치하는 흐름을 차단하기 위해 언더레이 네트워크에 요청을 전송하는 IoT 관리 시스템(IoT management system)가 포함될 수 있다.
I2NSF 사용자는 상위 레벨(high-level) 보안 정책(security policy)을 생성 및 배포할 수 있다. 구체적으로 설명하면, I2NSF 사용자는 다양한 악의적인(malicious) 공격으로부터 네트워크 트래픽(traffic)을 보호하기 위하여 네트워크 보안 서비스(network security service)를 이용할 필요가 있다. 이 보안 서비스를 요청하기 위하여, I2NSF 사용자는 자신이 원하는 보안 서비스에 대한 상위 레벨 보안 정책을 생성하고 네트워크 운영 관리 시스템에게 이를 알릴 수 있다.
한편, 상위 레벨 보안 정책을 준비하는 과정에서, I2NSF 사용자는 각 NSF(들)를 위한 보안 서비스 또는 보안 정책 규칙 구성(security policy rule configuration)을 실현하기 위하여 요구되는 NSF(들)의 타입에 대하여 고려하지 않을 수 있다.
또한, I2NSF 사용자는 네트워크 운영 관리 시스템에 의해 기본적인(underlying) NSF(들) 내에서 발생되는 보안 이벤트(들)(security event)를 통지 받을 수 있다. 이들의 보안 이벤트(들)을 분석함으로써, I2NSF 사용자는 새로운 공격을 식별하고, 새로운 공격에 대처하기 위한 상위 레벨 보안 정책을 업데이트(또는 생성)할 수 있다. 이와 같이, I2NSF 사용자는 보안 정책을 정의, 관리 및 모니터링할 수 있다.
보안 제어기
보안 제어기는 보안 제공, 모니터링 및 기타 동작을 위한 수집(collection) 및 배포(distribution) 지점(point)의 역할을 수행하는 컴포넌트이다. 이러한 보안 제어기는 네트워크 보안 관리자에 의해 관리될 수 있고, 네트워크 운영 관리 시스템 또는 I2NSF 관리 시스템으로 지칭될 수도 있다.
보안 제어기의 주요한 역할 중 하나는 I2NSF 사용자로부터의 상위 레벨 보안 정책(또는 정책 규칙)을 특정 NSF(들)을 위한 하위 레벨(low-level) 보안 정책 규칙으로 번역(translate)하는 것이다. 보안 제어기(또는 네트워크 운영 관리 시스템)는 상위 레벨 보안 정책을 I2NSF 사용자로부터 수신한 후, 우선 I2NSF 사용자에 의해 요구되는 정책을 시행하기 위하여 요구되는 NSF(들)의 타입을 결정할 수 있다. 그리고, 보안 제어기(또는 네트워크 운영 관리 시스템)는 요구되는 각 NSF(들)을 위한 하위 레벨(low-level) 보안 정책을 생성할 수 있다. 결국, 보안 제어기(또는 네트워크 운영 관리 시스템)는 생성된 하위 레벨 보안 정책을 각 NSF(들)에게 설정할 수 있다.
또한, 보안 제어기(또는 네트워크 운영 관리 시스템)는 시스템 내 구동 중인 NSF(들)을 모니터링하고, 각 NSF(들)에 대한 다양한 정보(예를 들어, 네트워크 액세스(access) 정보 및 작업로드(workload) 상태 등)를 유지할 수 있다. 또한, 보안 제어기(또는 네트워크 운영 관리 시스템)는 개발자 관리 시스템의 도움을 받아 NSF 인스턴스의 동적인 수명시간(life-cycle) 관리를 통해 NSF 인스턴스(instance)의 풀(pool)을 동적으로 관리할 수 있다.
NSF
NSF는 보안 관련 서비스를 제공하는 논리적 엔티티(logical entity) 또는 소프트웨어 컴포넌트이다. 예를 들면, NSF는 하위 레벨 보안정책을 수신하고, 이에 기초하여 악의적인 네트워크 트래픽을 감지하고, 이를 차단하거나 완화할 수 있다. 이를 통해, 네트워크 통신 스트림의 무결성(integrity) 및 기밀성(confidentiality)이 보장될 수 있다.
개발자 관리 시스템
개발자 관리 시스템은 다른 I2NSF 컴포넌트(예컨대, I2NSF 사용자, 보안 제어기)로 정보를 보내거나, 및/또는 서비스(예컨대, 네트워크 보안 서비스)를 제공하는 I2NSF 컴포넌트이다. 개발자 관리 시스템은 벤더 관리 시스템(Vendor's Management System)으로 지칭될 수도 있다. 이러한 개발자 관리 시스템에 할당된 역할을 수행하는 대상은 I2NSF 생산자(producer)로 지칭될 수 있다.
개발자 관리 시스템은 보안 제어기에게 NSF(들)을 제공하는 제3자(third-party) 보안 벤더에 의해 관리될 수 있다. 다양한 보안 벤더의 다수의 개발자 관리 시스템(들)이 존재할 수 있다.
I2NSF 분석기(Analyzer)
I2NSF 프레임워크는 클라우드 기반 환경에서 보안 서비스를 제공하는 NSF(들)을 모니터링하여 NSF에 대한 보안 공격, 타켓 네트워크 보안 공격, NSF의 성능 및 상태에 따라 기존의 보안 정책을 갱신하거나 새로운 보안 정책을 생성할 필요가 있다. 이를 위해, I2NSF 분석기는 모니터링 인터페이스를 통해 자동적으로 전달되는 NSF들의 모니터링 데이터를 수신하여 분석하고, 분석된 정보를 활용하여 네트워크의 보안을 더욱 강화하기 위해 새로운 보안 정책을 생산할 수 있다.
NSF에 의한 모니터링 데이터의 자동 리포트는 분석할 단일 인스턴스(즉, I2NSF 분석기)에서 수집된다. I2NSF 분석기는 모니터링 데이터를 분석하여 새로운 보안 정책을 생성하여 네트워크 보안을 더욱 강화할 수 있다. 좀 더 정확하고 효율적으로 자동화된 시스템을 구축하려면, 모니터링 데이터의 분석이 기계 학습(machine learning)의 도움으로 자동으로 수행되어야 한다.
새로운 보안 정책은 I2NSF 분석기에서 보안 제어기로 전달되어야 새 정책이 올바르게 나열되고 모니터링될 수 있다. 즉, 새로운 보안 정책 생성 또는 기존의 보안 정책 갱신을 위한 피드백 정보가 I2NSF 분석기로부터 보안 제어기로 제공되어야 하는데, I2NSF 분석기와 보안 제어기 사이의 중개자로서 분석 인터페이스를 제안한다. 그런 다음, 새로운 정책은 NSF-직면 인터페이스를 통해 보안 제어기에 의해 적절한 NSF에 직접 전달되어야 한다.
분석 인터페이스
I2NSF 분석기가 기존의 보안 정책을 갱신하거나 새로운 보안 정책을 생성하면, 이를 보안 제어기에 제공하기 위한 인터페이스가 필요하다.
본 명세서에서는 분석 인터페이스라고 하는 I2NSF 프레임워크에서 피드백 인터페이스에 대한 표준을 제공하고, 제공된 분석 인터페이스를 통해 보안 관리 자동화(Security Management Automation, SMA)를 달성하고자 한다.
또한, 본 명세서에서는 NFV(Network Functions Virtualization) 환경의 I2NSF 시스템에서 I2NSF 분석기와 보안 제어기 간의 분석 인터페이스에 대한 정보 모델 및 YANG 데이터 모델에 대해 설명한다. YANG 데이터 모델은 NSF에서 수신한 모니터링 데이터에 기반한 분석 정보를 전달할 수 있도록 하는 I2NSF NSF-직면 인터페이스 및 I2NSF 모니터링 인터페이스를 기반으로 할 수 있다.
소비자-직면 인터페이스(간단히, CFI)
CFI는 I2NSF 사용자와 보안 제어기 사이에 위치하는, 사용자의 I2NSF 시스템으로의 인터페이스이다. 이렇게 설계됨으로써, 하위(underlying) NSF(들)의 상세한 내용을 숨기고, 사용자에게 NSF(들)의 추상적인 시각(abstract view)만을 제공한다.
이 CFI는 주어진 I2NSF 시스템의 상이한 사용자가 관리 도메인 내의 특정 흐름(flow)에 대한 보안 정책을 정의, 관리 및 모니터링할 수 있게 하기 위해 사용될 수 있다. I2NSF 사용자에 의해 생성된 상위 레벨 보안 정책(또는 정책 규칙)은 이 CFI를 통해 네트워크 운영 관리 시스템으로 전달될 수 있다.
NSF-직면 인터페이스(간단히, NFI)
NFI는 보안 제어기(또는 네트워크 운영 관리 시스템)와 NSF(들) 사이에 위치하는 인터페이스이다.
NFI는 하나 이상의 NSF에 의해 시행되는 흐름-기반(flow-based) 보안 정책을 지정하고 모니터링하기 위해 사용될 수 있다. 예를 들면, I2NSF 시스템은 흐름-기반 NSF를 사용할 수 있다. 여기서, 흐름-기반 NSF는 보안 특성을 강화하기 위해 정책의 세트에 따라 네트워크 흐름을 검사하는 NSF이다. 이러한 흐름-기반 NSF에 의한 흐름-기반 보안은 수신된 순서대로 패킷들이 검사되고, 검사 프로세스에 따라 패킷에 대한 수정이 없는 것을 의미한다. 흐름-기반 NSF에 대한 인터페이스는 다음과 같이 분류될 수 있다:
- NSF 운영 및 관리 인터페이스(NSF Operational and Administrative Interface): NSF의 운영 상태를 프로그래밍하기 위해 I2NSF 관리 시스템에 의해 사용되는 인터페이스 그룹; 이 인터페이스 그룹은 또한 관리 제어 능력을 포함한다. I2NSF 정책 규칙은 일관된 방식으로 이 인터페이스 그룹을 변경하는 한가지 방법을 나타낸다. 애플리케이션 및 I2NSF 컴포넌트가 그들이 송신 및 수신하는 트래픽의 동작을 동적으로 제어할 필요가 있기 때문에, I2NSF 노력(effort)의 대부분이 이 인터페이스 그룹에 집중된다.
- 모니터링 인터페이스(Monitoring Interface): 하나 이상의 선택된 NSF로부터의 모니터링 데이터를 획득하기 위해 I2NSF 관리 시스템에 의해 사용되는 인터페이스 그룹; 이 인터페이스 그룹의 각 인터페이스는 쿼리 또는 리포트 기반 인터페이스일 수 있다. 둘 사이의 차이점은 쿼리 기반 인터페이스는 정보를 획득하기 위해 I2NSF 관리 시스템에 의해 사용되고, 이에 반하여 리포트 기반 인터페이스는 정보를 제공하기 위해 NSF에 의해 사용된다는 것이다. 이 인터페이스 그룹의 능력은 또한 SYSLOG[RFC5424] 및 DOTS(DDoS Open Threat Signaling)[RFC8612]와 같은 다른 프로토콜에 의해 정의될 수 있다. I2NSF 관리 시스템은 정보의 수신에 기초하여 하나 이상의 동작(action)을 취할 수 있다. 이는 I2NSF 정책 규칙에 의해 지정되어야 한다. 이 인터페이스 그룹은 NSF의 운영 상태를 변경하지 않는다.
이와 같이, NFI는 흐름-기반 패러다임을 사용하여 개발될 수 있다. 흐름-기반 NSF의 공동 특성(common trait)은 수신된 패킷의 콘텐츠(예컨대, 헤더/페이로드) 및/또는 컨텍스트(예컨대, 세션 상태 및 인증 상태)에 기초하여 패킷을 처리하는 것이다. 이 특징은 I2NSF 시스템의 동작을 정의하기 위한 요구사항(requirement) 중 하나이다.
한편, I2NSF 관리 시스템은 주어진 NSF의 모든 능력들을 사용할 필요가 없으며, 모든 사용 가능한 NSF들을 사용할 필요도 없다. 따라서, 이 추상화(abstraction)는 NSF 특징(feature)을 NSF 시스템에 의해 빌딩 블록(building block)으로 취급될 수 있게 해준다. 그러므로, 개발자는 벤더 및 기술에 독립적인 NSF에 의해 정의되는 보안 능력을 자유롭게 사용할 수 있게 된다.
등록 인터페이스(간단히, RI)
RI는 보안 제어기 및 개발자 관리 시스템 사이에 위치하는 인터페이스이다. 상이한 벤더에 의해 제공되는 NSF는 상이한 능력(capability)을 가질 수 있다. 따라서, 상이한 벤더에 의해 제공되는 여러 유형의 보안 능력을 이용하는 프로세스를 자동화하기 위해, 벤더가 그들의 NSF의 능력을 정의하기 위한 전용 인터페이스를 가질 필요가 있다. 이러한 전용 인터페이스는 I2NSF 등록 인터페이스(RI)로 지칭될 수 있다.
NSF의 능력은 미리 구성되거나 또는 I2NSF 등록 인터페이스를 통해 동적으로 검색될 수 있다. 만일 소비자에게 노출되는 새로운 능력이 NSF에 추가된다면, 관심 있는(interested) 관리 및 제어 엔티티가 그것들을 알 수 있도록, 그 새로운 능력의 capability가 I2NSF 등록 인터페이스를 통해 I2NSF 레지스트리(registry)에 등록될 필요가 있다.
도 2는 본 명세서의 일 실시예에 따른 I2NSF 시스템의 아키텍쳐를 예시한 것으로, 이상에서 기술한 I2NSF 프레임워크를 기반으로 시스템을 구현하였다. 따라서, 여기서는 보안 관리를 수행하는 I2NSF 분석기(21) 및 보안 제어기(23)의 동작 및 기능을 중심으로 각 구성을 기술하되, 도 1과 중복되는 설명은 생략한다.
도 2를 참조하면, I2NSF 시스템은 I2NSF 사용자(10), 보안 관리 시스템(Security Management System)(20), 및 NSF 인스턴스(instances)(30) 계층을 포함한다. 보안 관리 시스템(20) 계층은 I2NSF 분석기(21), 보안 제어기(23) 및 개발자 관리 시스템을 포함한다.
I2NSF 사용자(10) 계층은 소비자-직면 인터페이스를 통해 보안 관리 시스템(20) 계층과 통신한다. 예를 들면, I2NSF 사용자(10) 계층은 소비자-직면 인터페이스를 통해 보안 관리 시스템(20) 계층의 보안 제어기(23)와 통신한다. 또한, 보안 관리 시스템(20) 계층은 NSF-직면 인터페이스를 통해 NSF 인스턴스(30) 계층과 통신한다. 예를 들면, 보안 관리 시스템(20) 계층의 보안 제어기는 NSF-직면 인터페이스를 통해 NSF 인스턴스(30) 계층의 NSF 인스턴스(들)과 통신한다. 또한, 보안 관리 시스템(20) 계층의 개발자 관리 시스템은 등록 인터페이스를 통해 보안 관리 시스템(20) 계층의 보안 제어기(23)와 통신한다.
도 2의 I2NSF 사용자(10) 계층, 보안 관리 시스템(20) 계층의 보안 제어기(23) 컴포넌트, 보안 관리 시스템(20) 계층의 개발자 관리 시스템 컴포넌트 및 NSF 인스턴스(30) 계층은 각각 도 1의 I2NSF 사용자 컴포넌트, 보안 제어기 컴포넌트, 개발자 관리 시스템 컴포넌트 및 NSF 컴포넌트에 대응된다. 또한, 도 2의 소비자-직면 인터페이스, NSF-직면 인터페이스 및 등록 인터페이스는 도 1의 소비자-직면 인터페이스, NSF-직면 인터페이스 및 등록 인터페이스에 대응된다.
보안 관리 시스템
보안 관리 시스템(20) 계층의 보안 제어기(23)는 보안 정책 관리자(Security policy manager) 및 NSF 능력 관리자(NSF capability manager)와 같은 2개의 컴포넌트를 포함할 수 있다.
보안 정책 관리자(미도시)는 CFI를 통해 정책 업데이터로부터 상위 레벨 정책을 수신하고, 이 정책을 여러 하위 레벨 정책으로 매핑할 수 있다. 이 하위 레벨 정책은 NSF 능력 관리자에 등록된 주어진 NSF 능력과 관련된다. 또한, 보안 정책 관리자는 이 정책을 NFI를 통해 NSF(들)로 전달할 수 있다.
NSF 능력 관리자(미도시)는 주어진 NSF 능력과 관련된 하위 레벨 정책을 생성하기 위해, 개발자 관리 시스템에 의해 등록된 NSF의 능력을 지정하고, 그것을 보안 정책 관리자와 공유할 수 있다. 새로운 NSF가 등록될 때마다, NSF 능력 관리자는 등록 인터페이스를 통해 NSF 능력 관리자의 관리 테이블에 NSF의 능력을 등록하도록 개발자 관리 시스템에 요청할 수 있다. 개발자 관리 시스템은 새로운 NSF의 능력을 NSF 능력 관리자로 등록하기 위한 보안 관리 시스템(20)의 다른 부분에 해당한다.
도 2를 참조하면, I2NSF 분석기(21)는 모니터링 인터페이스를 통해 수집된 NSF(들)의 모니터링 데이터를 기계 학습을 통해 분석하여 NSF 또는 타켓 네트워크에 대한 보안 공격 및 NSF의 하드웨어 또는 시스템의 문제를 적시에 발견하고, 이러한 보안 공격 및 NSF의 문제에 대응할 수 있는 정책 재구성 또는 피드백 정보를 분석 인터페이스를 통해 보안 제어기(23)에 제공할 수 있다.
그런 다음, 보안 제어기(23)는 전달된 정책 재구성 또는 피드백 정보에 기초하여 탐지된 문제를 처리하기 위한 조치를 취한다. 정책 재구성의 경우, 보안 제어기(23)는 새로운 보안 정책에 따른 보안 서비스를 제공하기 위한 NSF에 보안 정책 규칙을 전달함으로써 NSF로 하여금 향상된 보안 서비스를 제공하도록 유도한다. 한편, 피드백 정보의 경우, 보안 제어기(23)는 피드백 정보에 의해 보고된 문제를 해결하기 위한 동작(action)을 수행할 수 있다.
NSF 인스턴스(NSF Instances)
도 2에 도시된 것처럼, NSF 인스턴스(30) 계층은 NSF들을 포함한다. 이때, 모든 NSF들은 이 NSF 인스턴스 계층에 위치된다. 한편, 상위 레벨 정책을 하위 레벨 정책에 매핑한 후에, 보안 제어기(보다 구체적으로, 보안 정책 관리자)는 NFI를 통해 정책을 NSF(들)로 전달한다. 이 경우, NSF는 수신된 하위 레벨 보안 정책에 기초하여 악의적인 네트워크 트래픽을 감지하고, 이를 차단하거나 완화할 수 있다.
가상화 시스템의 신속한 개발을 위해서는 다양한 시나리오에서 고급 보안 능력이 필요하다(예를 들면, 엔터프라이즈 네트워크의 네트워크 장치, 모바일 네트워크의 사용자 장비, 인터넷의 장치 또는 거주자 액세스 사용자 등). 여러 보안 업체에서 생산한 NSF는 고객에게 다양한 보안 능력을 제공할 수 있다. 즉, NSF는 물리적 또는 가상 능력으로 구현되었는지 여부와 관계없이 여러 NSF가 함께 결합되어 주어진 네트워크 트래픽에 대한 보안 서비스를 제공할 수 있다. 보안 능력은 보안 정책 시행 목적으로 사용할 수 있는 일련의 네트워크의 보안과 관련된 능력을 말한다. 보안 능력은 실제 구현되는 보안 제어 메커니즘과는 독립적이며, 모든 NSF는 NSF에서 제공할 수 있는 능력들의 세트가 등록되어 있다. 보안 능력은 특정 NSF가 제공하는 보안 능력을 모호하지 않게 설명함으로써 맞춤형 보안 보호를 정의할 수 있는 방법을 제공하는 마켓 리더이다. 또한, 보안 능력을 통해 보안 능력의 공급 업체의 중립적인 방식으로 설명할 수 있다. 즉, 네트워크를 설계할 때 특정 제품을 언급할 필요가 없으며, 능력별로 특징이 고려될 수 있다.
앞에서 살펴본 바와 같이 보안 정책 제공에 사용될 수 있는 I2NSF 인터페이스는 아래와 같이 두 가지 유형이 존재할 수 있다.
- I2NSF 사용자와 응용 프로그램 간의 인터페이스 및 보안 컨트롤러 (Consumer-Facing Interface): NSF 데이터 및 서비스 사용자와 네트워크 운영 관리시스템(또는 보안 제어기) 사이에 통신 채널을 제공하는 서비스 지향 인터페이스.
I2NSF Consumer-Facing Interface는 보안 정보가 다양한 애플리케이션(예를 들면: OpenStack 또는 다양한 BSS(Business Support System) / OSS(Operations Support System) 구성 요소)과 보안 컨트롤러 간의 교환에 사용될 수 있다. Consumer-Facing Interface의 설계 목표는 보안 서비스의 스펙을 구현과 분리하는데 있다.
- NSF 간의 인터페이스(예를 들면: 방화벽, 침입 방지 또는 안티 바이러스) 및 보안 컨트롤러 (NSF-Facing Interface): NSF-Facing Interface는 보안 관리 체계를 NSF 집합과 여러 가지 구현에서 분리하는 데 사용되며 NSF가 구현되는 방식(예를 들면: 가상 머신 또는 실제 appliances 등)에서 독립적이다.
도 3은 본 명세서의 실시예들이 적용될 수 있는 보안 관리 시스템에서 I2NSF 분석기가 보안 관리를 수행하는 방법을 도시한 흐름도이다.
S310 단계에서, I2NSF 분석기는, 보안 서비스를 제공하는 적어도 하나의 NSF(Network Security Function)로부터 모니터링 데이터를 수신한다. 이때, 상기 NSF로부터 수집된 모니터링 데이터를 모니터링 인터페이스(Monitoring Interface)를 통해 전달받을 수 있다. 또한, 모니터링 데이터를 수신하는 과정은, 상기 I2NSF 분석기의 요청에 의한 쿼리(query)를 이용하여 상기 NSF로부터 상기 모니터링 데이터를 획득하거나, 또는 상기 NSF에 의해 자동으로 전송되는 리포트(report)를 이용하여 상기 모니터링 데이터를 획득함으로써 달성될 수 있다.
S330 단계에서, I2NSF 분석기는, S310 단계를 통해 수신된 상기 모니터링 데이터를 분석하여 새로운 보안 정책 또는 피드백 정보를 생성한다. I2NSF 분석기는 크게 두 가지 유형의 정보를 생성할 수 있는데, 이후 도면을 참조하여 구체적인 동작을 기술하도록 한다.
S350 단계에서, I2NSF 분석기는, S330 단계를 통해 생성된 상기 새로운 보안 정책 또는 상기 피드백 정보를 보안 제어기에 제공한다. 본 명세서의 실시예들은 I2NSF 분석기에 의해 생성된 보안 정책 규칙의 증강 또는 생성 리포트를 보안 제어기에 전달하기 위한 인터페이스로 분석 인터페이스(Analytics Interface)를 제안한다. 보안 제어기는 분석 인터페이스를 이용하여 보안 정책 관리를 수행함으로써 네트워크를 능동적으로 강화할 수 있다. 이를 위해, 분석 인터페이스는 NSF에서 강화할 규칙 목록으로 구성되는 보안 정책 목록을 보유하되, I2NSF 분석기 및 보안 제어기 간에 보안 정책 목록의 동기화가 수행될 수 있다. 한편, 전달된 정보의 두 가지 유형에 따른 보안 제어기의 구체적인 처리 과정은 이후 도면을 참조하여 기술하도록 한다.
도 4는 본 명세서의 실시예들이 적용될 수 있는 분석 인터페이스(Analytics Interface)의 정보 모델을 도시한 것으로, 분석 정보(즉, 정책 재구성 및 피드백 정보)를 보안 제어기에 전달하기 위한 분석 인터페이스의 상위 수준 개념을 보여준다. 정책 재구성 및 피드백 정보는 양자 모두 다음과 같은 상위 수준 추상화를 제공한다.
- NSF 이름(NSF Name): 문제가 있는 NSF를 식별하기 위한 NSF의 이름 또는 IP 주소이다. 이름은 전체 도메인 이름(Fully Qualified Domain Name, FQDN)을 포함하여 NSF를 식별하는 고유한 문자열이 될 수 있다.
- 문제(Problem): 처리해야 하는 NSF의 문제를 설명한다.
- 해결 방법(Solution): 문제에 대한 가능한 해결 방법을 지정한다.
정책 재구성(Policy Reconfiguration)을 위한 정보 모델
정책 재구성은 보안 정책을 기존의 보안 정책과 다른 형태 또는 조합으로 재배치하여 네트워크의 보안 서비스를 강화하는 것이다. NSF로부터 NSF 이벤트의 모니터링 데이터를 수신 및 분석한 후 I2NSF 분석기에 의해 정책 재구성이 생성된다.
정책 재구성은 I2NSF 프레임워크에 대해 정의된 3개의 I2NSF 인터페이스(NSF-직면 인터페이스, NSF 모니터링 인터페이스, 분석 인터페이스)와 함께 작동하여 네트워크 보안 강화를 위한 폐쇄 루프 보안 시스템을 생성할 수 있다.
도 5는 본 명세서의 일 실시예에 따른 보안 관리 자동화를 위해 I2NSF 프레임워크에 대한 폐쇄 루프 보안 시스템을 도시하였으며, 보안 제어기, NSF 및 I2NSF 분석기 간의 폐쇄 루프 보안 시스템을 보여준다.
보안 제어기는 NSF-직면 인터페이스를 통해 적절한 NSF에 보안 정책을 전달한다. NSF는 주어진 구성에 따라 보안 서비스를 준비하고 네트워크에 대한 보안 서비스를 제공한다. NSF는 또한 분석할 모니터링 데이터(예를 들어, NSF 이벤트 및 시스템 경보)를 제공해야 한다. 이 모니터링 데이터는 모니터링 인터페이스를 통해 NSF에 의해 I2NSF 분석기로 전달될 수 있다. 그런 다음, I2NSF 분석기는 기존 보안 정책의 재구성, 새로운 보안 정책 생성, 보안 시스템 관리를 위한 피드백(예를 들어, NSF 관련 리소스의 Scale-up 또는 scaling-down)에 대한 모니터링 데이터를 분석한다. 폐쇄 루프 보안 시스템을 완전히 자동화하려면 I2NSF 분석기가 머신 러닝 기술(예를 들어, 딥 러닝(Deep-Learning))을 사용하여 모니터링 데이터를 자동으로 분석해야 한다. 분석 결과는 기존 보안 정책의 재구성 또는 네트워크 보안 강화를 위한 새로운 보안 정책 생성을 유발할 수 있다. 재구성 또는 구성 요청은 분석 인터페이스를 통해 I2NSF 분석기에서 보안 제어기로 전달된다.
폐쇄 루프 시스템을 구현하려면 분석 인터페이스가 I2NSF 프레임워크에 대한 유사한 지침을 적절하게 따라야 한다. 분석 인터페이스는 NSF-직면 인터페이스를 참조하여 NSF의 기존 보안 정책을 재구성하거나 새로운 보안 정책을 생성하기 위한 보안 정책을 생성할 수 있다.
분석 인터페이스는 보안 정책의 (재)구성 및 피드백 정보를 보안 제어기에 제공할 수 있도록 보안 정책 목록을 보유할 수 있다. 여기서, 각 정책은 NSF에서 강화할 규칙 목록으로 구성된다. 보안 정책 목록의 동기화는 보안 제어기와 I2NSF 분석기 간에 수행되어야 한다. (재)구성된 보안 정책 규칙은 가까운 장래에 네트워크에 발생할 수 있는 공격이나 장애에 대처할 수 있어야 한다. 이러한 규칙은 네트워크에서 감지된 문제를 해결하기 위해 I2NSF 분석기에 의해 재구성되거나 생성될 수 있다. I2NSF 능력(capability) 데이터 모델에서 제시된 내용을 참고하여 ECA(Event-Condition-Action) 모델을 I2NSF 정책(재)구성의 설계 기반으로 사용할 수 있다.
정책(재)구성의 예는 DDoS 완화기(Mitigator)에 의해 탐지된 DDoS 공격이다. DDoS 완화기는 모니터링 데이터를 생성하여 I2NSF 분석기에 전달한다. I2NSF 분석기는 정보를 분석하고 DDoS 공격 소스에서 모든 패킷을 삭제하는 방화벽 규칙과 같은 DDoS 공격을 처리하기 위한 새로운 정책을 생성할 수 있다.
도 6은 본 명세서의 일 실시예에 따른 보안 관리 시스템에서 보안 관리를 수행하는 도 3의 방법을 정책 재구성(Policy Reconfiguration)을 중심으로 보다 구체적으로 도시한 흐름도이다. 여기서는, 새로운 보안 정책 또는 피드백 정보를 생성하는 S330 단계 및 이를 보안 제어기에 제공하는 S350 단계에 집중하여 각 단계를 기술하도록 한다.
S330 단계에서, I2NSF 분석기는 모니터링 인터페이스를 통해 수신된 상기 모니터링 데이터를 기계 학습(machine learning)을 이용하여 분석하고(S331 단계), 분석 결과에 기초하여 네트워크에서 감지된 문제를 해결하기 위해 보안 정책 규칙이 재구성된 새로운 보안 정책을 생성할 수 있다(S333 단계).
S350 단계에서, I2NSF 분석기는 앞서 생성된 상기 새로운 보안 정책을 분석 인터페이스(Analytics Interface)를 통해 보안 제어기에 전송할 수 있다(S351 단계). 그런 다음, 보안 제어기에 전송된 상기 새로운 보안 정책은 NSF-직면 인터페이스(NSF-Facing Interface)를 통해 상기 새로운 보안 정책에 따른 보안 서비스를 제공하기 위한 NSF에 전달될 수 있다(S353 단계).
도 7은 정책 재구성을 위한 YANG 트리 구조(Tree Structure)를 예시한 도면으로, NSF-직면 인터페이스 YANG 모듈(Module)의 확장을 통해 제공될 수 있다. 정책 재구성에는 다음 정보가 포함되어야 한다.
- NSF 이름: 설정할 NSF의 이름 또는 IP 주소(IPv4 또는 IPv6)이다. 지정된 nsf-name이 IP 주소가 아닌 경우 이름은 전체 도메인 이름(Fully Qualified Domain Name, FQDN)을 포함한 임의의 문자열일 수 있다.
- 문제: I2NSF 모니터링 인터페이스를 통해 NSF에서 나타나는 문제이다. 정책 구성 문제에는 DDoS 탐지, 바이러스 탐지, 침입 탐지, 웹 공격 탐지, VoIP(Voice over Internet Protocol) 또는 VoCN(Voice over Cellular Network) 위반 탐지와 같은 NSF 모니터링 인터페이스 YANG 데이터 모델에 설명된 NSF 이벤트가 포함될 수 있다.
- 해결 방법: 정책(재)구성을 위한 해결 방법은 탐지된 공격을 해결하기 위해 재구성되거나 생성되는 보안 정책이다. NSF-직면 인터페이스 YANG 데이터 모델을 사용하여 보안 정책을 구성할 수 있다.
요약하건대, 본 실시예의 정책 재구성을 통해 생성되는 새로운 보안 정책은 NSF의 이름 또는 주소 중 적어도 하나, NSF에서 나타나는 문제(Problem) 및 상기 문제를 해결하기 위한 해결 방법(Solution)을 포함할 수 있다.
피드백 정보(Feedback Information)를 위한 정보 모델
피드백 정보는 시스템 자원의 과사용 또는 오작동과 같은 보안 서비스를 위한 NSF의 문제점에 대한 정보이다. 이 문제는 새로운 정책을 생성하여 처리할 수 없다. 정책 재구성과 유사한 방식으로, 피드백 정보는 I2NSF 분석기에 의해 보고된 문제를 처리할 수 있는 보안 제어기로 전달되어야 한다.
도 8은 본 명세서의 일 실시예에 따른 보안 관리 시스템에서 피드백 정보(Feedback Information)의 처리를 도시하였다. 피드백 정보의 경우, 제공된 피드백은 보안 정책이 아니므로 보안 제어기는 보고된 문제를 처리하기 위한 동작(action)을 취해야 한다. 동작에는 I2NSF 사용자에 대한 리포트와 개발자 관리 시스템(Developer's Management System, DMS)에 대한 관련 NSF의 시스템 리소스 관리 쿼리가 포함될 수 있다. 개발자 관리 시스템은 NFV(Network Functions Virtualization) 프레임워크의 MANO(Management and Orchestration) 유닛과 통신하여 관련 NSF의 시스템 관리 문제를 처리할 수 있다.
도 9는 본 명세서의 일 실시예에 따른 보안 관리 시스템에서 보안 관리를 수행하는 도 3의 방법을 피드백 정보를 중심으로 보다 구체적으로 도시한 흐름도이다. 여기서는, 새로운 보안 정책 또는 피드백 정보를 생성하는 S330 단계 및 이를 보안 제어기에 제공하는 S350 단계에 집중하여 각 단계를 기술하도록 한다.
S330 단계에서, I2NSF 분석기는 모니터링 인터페이스를 통해 수신된 모니터링 데이터에 기초하여 보안 서비스를 위한 NSF의 문제에 대한 피드백 정보를 획득할 수 있다(S335 단계).
S350 단계에서, I2NSF 분석기는 상기 피드백 정보를 분석 인터페이스(Analytics Interface)를 통해 보안 제어기에 전송할 수 있다(S355 단계). 그런 다음, 보안 제어기에 전송된 상기 피드백 정보에 의해 상기 보안 제어기에서 보고된 문제를 해결하기 위한 동작(action)이 수행될 수 있다(S357 단계). 이때, 상기 동작은, I2NSF 사용자(User)에 대한 리포트 및 개발자 관리 시스템(Developer's Management System, DMS)에 대한 관련 NSF의 시스템 자원 관리 쿼리를 포함할 수 있다.
도 10은 피드백 정보를 위한 YANG 트리 구조를 예시한 도면으로, NSF 모니터링 인터페이스 YANG 모듈을 사용하여 제공될 수 있다. 도 10은 피드백 정보의 상위 수준 추상화를 보여주며, 피드백 정보에는 다음이 포함되어야 한다.
- NSF 이름: 문제를 감지한 NSF의 이름 또는 IP 주소(IPv4 또는 IPv6)이다. 지정된 nsf-name이 IP 주소가 아닌 경우 이름은 전체 도메인 이름(Fully Qualified Domain Name, FQDN)을 포함한 임의의 문자열일 수 있다.
- 시간: 피드백 정보를 전달한 시간이다.
- 언어: "message" 및 "solution" 속성에 포함된 자연어 텍스트에 사용되는 언어 태그이다. 언어 필드는 특정 규칙에 따라 인코딩될 수 있다.
- 문제: I2NSF 모니터링 인터페이스를 통해 NSF에서 나타나는 문제이다. 피드백 정보에 대한 문제는 메모리 알람, CPU 알람, 디스크 알람, 하드웨어 알람 및 인터페이스 알람과 같은 NSF 모니터링 인터페이스 YANG 데이터 모델에 설명된 시스템 알람을 포함할 수 있다.
- 해결 방법: 피드백으로 제공되는 가능한 해결 방법은 자유 형식 문자열(예를 들어, 상위 수준 명령)의 형태가 될 수 있다.
요약하건대, 본 실시예의 피드백 정보는, 문제를 감지한 NSF의 이름 또는 주소 중 적어도 하나, NSF에서 나타나는 문제, 상기 문제를 해결하기 위한 해결 방법, 피드백 정보를 전달한 시간(Time) 및 상기 해결 방법에 포함된 텍스트에 사용되는 언어(Language)를 포함할 수 있다.
분석 인터페이스의 YANG 데이터 모델
도 11a 내지 도 11m은 본 명세서의 실시예들이 적용될 수 있는 분석 인터페이스의 YANG 모듈을 예시하였다. 예시된 도면들을 참조하면, 보안 관리 시스템에서 I2NSF(Interface to Network Security Functions) 분석기와 보안 제어기 간의 분석 인터페이스를 위한 YANG 데이터 모델을 정의할 수 있다.
이상에서, 보안 관리 시스템에서 I2NSF 분석기가 보안 관리를 수행하는 구체적인 방법들을 기술하였다. 일련의 처리 과정을 도 2에 예시된 I2NSF 시스템의 아키텍쳐를 참조하여 장치 구성의 관점에서 기술하면 다음과 같다.
보안 관리 시스템은 보안 관리를 수행하는 I2NSF(Interface to Network Security Functions) 분석기를 포함하되, 상기 I2NSF 분석기는, 보안 서비스를 제공하는 적어도 하나의 NSF(Network Security Function)로부터 모니터링 데이터를 수신하고, 수신된 상기 모니터링 데이터를 분석하여 새로운 보안 정책 또는 피드백 정보를 생성하며, 생성된 상기 새로운 보안 정책 또는 상기 피드백 정보를 보안 제어기에 제공한다.
I2NSF 분석기는, 상기 NSF로부터 수집된 모니터링 데이터를 모니터링 인터페이스(Monitoring Interface)를 통해 전달받을 수 있다. 여기서, 상기 I2NSF 분석기는, 상기 I2NSF 분석기의 요청에 의한 쿼리(query)를 이용하여 상기 NSF로부터 상기 모니터링 데이터를 획득하거나, 또는 상기 NSF에 의해 자동으로 전송되는 리포트(report)를 이용하여 상기 모니터링 데이터를 획득할 수 있다.
한편, I2NSF 분석기는, 수신된 상기 모니터링 데이터를 기계 학습(machine learning)을 이용하여 분석하고, 분석 결과에 기초하여 네트워크에서 감지된 문제를 해결하기 위해 보안 정책 규칙이 재구성된 새로운 보안 정책을 생성하며, 생성된 상기 새로운 보안 정책을 분석 인터페이스(Analytics Interface)를 통해 상기 보안 제어기에 전송할 수 있다. 그런 다음, 상기 보안 제어기에 전송된 상기 새로운 보안 정책은 NSF-직면 인터페이스(NSF-Facing Interface)를 통해 상기 새로운 보안 정책에 따른 보안 서비스를 제공하기 위한 NSF에 전달될 수 있다.
다른 한편, I2NSF 분석기는, 수신된 상기 모니터링 데이터에 기초하여 보안 서비스를 위한 NSF의 문제에 대한 피드백 정보를 획득하고, 획득된 상기 피드백 정보를 분석 인터페이스를 통해 상기 보안 제어기에 전송할 수 있다. 그런 다음, 상기 보안 제어기에 전송된 상기 피드백 정보에 의해 상기 보안 제어기에서 보고된 문제를 해결하기 위한 동작(action)이 수행될 수 있다. 여기서, 상기 동작은, I2NSF 사용자(User)에 대한 리포트 및 개발자 관리 시스템(Developer's Management System, DMS)에 대한 관련 NSF의 시스템 자원 관리 쿼리를 포함할 수 있다.
분석 정보(Analytics Information)의 XML 구성 예
이하에서는 I2NSF 분석기가 모니터링 데이터를 분석한 후 I2NSF 분석기에서 분석 인터페이스를 통해 보안 제어기로 전달되는 피드백 정책 규칙을 포함한 분석 정보의 XML 구성 예를 소개한다.
(1) DDoS 탐지를 위해 피드백 정책
도 12는 DDoS 공격 시나리오를 예시하였고, 도 13은 도 12의 시나리오에 따라 탐지된 DDoS 공격을 예시하였다. 이 시나리오에서 DDoS 완화기(Mitigator)는 DDoS 공격을 탐지하고 도 13과 같이 I2NSF 분석기에 알림을 보낼 수 있다.
도 13에 표시된 시나리오에서 XML 예제에 대한 설명은 다음과 같다.
1.
2021년 8월 27일 오전 9시에 DDoS 공격이 탐지되었다.
2.
공격 소스는 192.0.2.8, 192.0.2.9, 192.0.2.10이다.
3.
공격 대상은 203.0.113.0/24이다.
I2NSF 분석기는 모니터링 데이터를 수신한 후 데이터를 분석하고 새로운 피드백 정책을 생성하여 네트워크 보안을 강화할 수 있다. 도 14는 도 13의 탐지된 DDoS 공격을 위한 정책 재구성을 예시한 것으로, I2NSF 분석기는 도 14와 같이 보안 제어기에 피드백 정책을 전달할 수 있다.
도 14에서 정책 재구성은 다음을 의미한다.
1.
피드백 정책의 이름은 "feedback_policy_for_ddos_attack"이다.
2.
규칙의 이름은 "deny_ddos_attack"이다.
3.
규칙은 2021년 8월 24일 오전 09:00부터 시작된다. 규칙의 조건은 192.0.2.8, 192.0.2.9 및 192.0.2.10의 IP 주소 소스로부터 가져온다.
4.
필요한 조치는 악의적인 것으로 식별된 IP 주소로부터의 모든 액세스를 "삭제"하는 것이다.
5.
구성할 NSF의 이름은 "방화벽(Firewall)"이다.
6.
피드백 생성을 촉발한 문제는 192.0.2.8, 192.0.2.9, 192.0.2.10의 IP 주소 소스로부터 203.0.113.0/24의 보호된 네트워크로의 DDoS 공격이다.
(2) 과부하된 NSF(Overloaded NSF)를 위한 피드백 정보
도 15는 도 12의 시나리오에 따라 과부하된 NSF의 모니터링 데이터를 예시하였다. 이 시나리오에서 NSF는 과부하되어 도 15와 같이 I2NSF 분석기에 알림을 보낼 수 있다.
도 15에 표시된 시나리오에서 XML 예제에 대한 설명은 다음과 같다.
1.
모니터링 데이터를 보내는 NSF의 이름은 "방화벽"이다.
2.
NSF의 메모리 사용량으로 인해 경보가 발생했다.
3.
NSF의 메모리 사용량은 98%이다.
4.
알람을 트리거하는 메모리 임계값은 80%이다.
5.
이벤트는 2021-08-27T07:43:52.181088+00:00에 전달된다.
I2NSF 분석기는 모니터링 데이터를 수신한 후 데이터를 분석하고 NSF에서 감지된 문제를 해결하기 위해 새로운 피드백 정책을 생성한다. 도 16은 도 15의 과부하된 NSF를 위한 피드백 정보를 예시한 것으로, I2NSF 분석기는 도 16과 같이 보안 제어기에 피드백 정보를 전달할 수 있다.
도 16의 피드백 정보는 다음을 의미한다.
1.
처리해야 하는 NSF의 이름을 "방화벽"이라고 한다.
2.
피드백 정보는 2021-08-27T08:43:52.000000+00:00에 전달된다.
3.
문제는 메모리 사용량이 평균 메모리 사용량이 95인 임계값을 초과했다는 것이다.
4.
문제는 수정 없이 3,600초(1시간) 동안 지속된다.
5.
문제에 대해 제안된 해결 방법은 NSF에 하드웨어의 메모리 용량을 더 추가하거나 동일한 보안 서비스로 새로운 NSF를 생성하는 것이다.
본 명세서에서 명시하는 YANG 모듈은 NETCONF [RFC6241] 또는 RESTCONF [RFC8040]와 같은 네트워크 관리 프로토콜을 통해 접근하도록 설계된 데이터 스키마를 정의한다. 가장 낮은 NETCONF 계층은 보안 전송 계층이며 필요한 보안 전송은 SSH(Secure Shell)[RFC6242]이다. 가장 낮은 RESTCONF 계층은 HTTPS이고 필요한 보안 전송은 TLS[RFC8446]이다.
NETCONF 액세스 제어 모델 [RFC8341]은 특정 NETCONF 또는 RESTCONF 사용자에 대한 액세스를 사용 가능한 모든 NETCONF 또는 RESTCONF 프로토콜 작업 및 콘텐츠의 미리 구성된 하위 집합으로 제한하는 수단을 제공한다.
상기된 본 명세서의 실시예들에 따르면, 보안 관리 시스템에서 I2NSF(Interface to Network Security Functions) 분석기와 보안 제어기 간의 분석 인터페이스를 위한 YANG 데이터 모델을 정의할 수 있고, 보안 서비스를 제공하는 NSF(Network Security Function)를 모니터링하여 발견된 문제에 대응할 수 있는 보안 정책 또는 피드백 정보를 분석 인터페이스를 통해 보안 제어기에 적시에 제공함으로써 자동화된 보안 관리를 달성할 수 있으며, NSF를 통해 향상된 보안 서비스를 제공할 수 있다.
본 명세서에 따른 실시예는 다양한 수단, 예를 들어, 하드웨어, 펌웨어(firmware), 소프트웨어 또는 그것들의 결합 등에 의해 구현될 수 있다. 하드웨어에 의한 구현의 경우, 본 명세서의 일 실시예는 하나 또는 그 이상의 ASICs(application specific integrated circuits), DSPs(digital signal processors), DSPDs(digital signal processing devices), PLDs(programmable logic devices), FPGAs(field programmable gate arrays), 프로세서, 콘트롤러, 마이크로 콘트롤러, 마이크로 프로세서 등에 의해 구현될 수 있다. 펌웨어나 소프트웨어에 의한 구현의 경우, 본 명세서의 일 실시예는 이상에서 설명된 능력 또는 동작들을 수행하는 모듈, 절차, 함수 등의 형태로 구현될 수 있다. 소프트웨어 코드는 메모리에 저장되어 프로세서에 의해 구동될 수 있다. 상기 메모리는 상기 프로세서 내부 또는 외부에 위치하여, 이미 공지된 다양한 수단에 의해 상기 프로세서와 데이터를 주고 받을 수 있다.
한편, 본 명세서의 실시예들은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등을 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고 실시예들을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 명세서가 속하는 기술 분야의 프로그래머들에 의하여 용이하게 추론될 수 있다.
이상에서 본 명세서에 대하여 그 다양한 실시예들을 중심으로 살펴보았다. 본 명세서에 속하는 기술 분야에서 통상의 지식을 가진 자는 다양한 실시예들이 본 명세서의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 명세서의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 명세서에 포함된 것으로 해석되어야 할 것이다.
본 명세서의 실시예들은 다양한 보안 관리 시스템에 적용될 수 있다.
10: I2NSF 사용자
20: 보안 관리 시스템
21: I2NSF 분석기 23: 보안 제어기
30: NSF 인스턴스
20: 보안 관리 시스템
21: I2NSF 분석기 23: 보안 제어기
30: NSF 인스턴스
Claims (20)
- 보안 관리 시스템에서 I2NSF(Interface to Network Security Functions) 분석기가 보안 관리를 수행하는 방법에 있어서,
보안 서비스를 제공하는 적어도 하나의 NSF(Network Security Function)로부터 모니터링 데이터를 수신하는 단계;
수신된 상기 모니터링 데이터를 분석하여 새로운 보안 정책 또는 피드백 정보를 생성하는 단계; 및
생성된 상기 새로운 보안 정책 또는 상기 피드백 정보를 보안 제어기에 제공하는 단계;를 포함하는, 방법. - 제 1 항에 있어서,
상기 모니터링 데이터를 수신하는 단계는,
상기 NSF로부터 수집된 모니터링 데이터를 모니터링 인터페이스(Monitoring Interface)를 통해 전달받는, 방법. - 제 1 항에 있어서,
상기 모니터링 데이터를 수신하는 단계는,
상기 I2NSF 분석기의 요청에 의한 쿼리(query)를 이용하여 상기 NSF로부터 상기 모니터링 데이터를 획득하거나, 또는
상기 NSF에 의해 자동으로 전송되는 리포트(report)를 이용하여 상기 모니터링 데이터를 획득하는, 방법. - 제 1 항에 있어서,
상기 새로운 보안 정책 또는 상기 피드백 정보를 생성하는 단계는,
수신된 상기 모니터링 데이터를 기계 학습(machine learning)을 이용하여 분석하는 단계; 및
분석 결과에 기초하여 네트워크에서 감지된 문제를 해결하기 위해 보안 정책 규칙이 재구성된 새로운 보안 정책을 생성하는 단계;를 포함하는, 방법. - 제 4 항에 있어서,
상기 새로운 보안 정책은,
NSF의 이름 또는 주소 중 적어도 하나;
NSF에서 나타나는 문제(Problem); 및
상기 문제를 해결하기 위한 해결 방법(Solution);을 포함하는, 방법. - 제 1 항에 있어서,
상기 새로운 보안 정책 또는 상기 피드백 정보를 생성하는 단계는,
수신된 상기 모니터링 데이터에 기초하여 보안 서비스를 위한 NSF의 문제에 대한 피드백 정보를 획득하는 단계;를 포함하는, 방법. - 제 6 항에 있어서,
상기 피드백 정보는,
문제를 감지한 NSF의 이름 또는 주소 중 적어도 하나;
NSF에서 나타나는 문제;
상기 문제를 해결하기 위한 해결 방법;
피드백 정보를 전달한 시간(Time); 및
상기 해결 방법에 포함된 텍스트에 사용되는 언어(Language);를 포함하는, 방법. - 제 1 항에 있어서,
상기 새로운 보안 정책 또는 상기 피드백 정보를 보안 제어기에 제공하는 단계는,
생성된 상기 새로운 보안 정책 또는 상기 피드백 정보를 분석 인터페이스(Analytics Interface)를 통해 상기 보안 제어기에 전송하는, 방법. - 제 8 항에 있어서,
상기 보안 제어기에 전송된 상기 새로운 보안 정책은 NSF-직면 인터페이스(NSF-Facing Interface)를 통해 상기 새로운 보안 정책에 따른 보안 서비스를 제공하기 위한 NSF에 전달되는, 방법. - 제 8 항에 있어서,
상기 보안 제어기에 전송된 상기 피드백 정보에 의해 상기 보안 제어기에서 보고된 문제를 해결하기 위한 동작(action)이 수행되고,
상기 동작은, I2NSF 사용자(User)에 대한 리포트 및 개발자 관리 시스템(Developer's Management System, DMS)에 대한 관련 NSF의 시스템 자원 관리 쿼리를 포함하는, 방법. - 제 8 항에 있어서,
상기 분석 인터페이스는 NSF에서 강화할 규칙 목록으로 구성되는 보안 정책 목록을 보유하되,
상기 I2NSF 분석기 및 상기 보안 제어기 간에 상기 보안 정책 목록의 동기화가 수행되는, 방법. - 보안 관리를 수행하는 I2NSF(Interface to Network Security Functions) 분석기;를 포함하고,
상기 I2NSF 분석기는,
보안 서비스를 제공하는 적어도 하나의 NSF(Network Security Function)로부터 모니터링 데이터를 수신하고,
수신된 상기 모니터링 데이터를 분석하여 새로운 보안 정책 또는 피드백 정보를 생성하며,
생성된 상기 새로운 보안 정책 또는 상기 피드백 정보를 보안 제어기에 제공하는, 보안 관리 시스템. - 제 12 항에 있어서,
상기 I2NSF 분석기는,
상기 NSF로부터 수집된 모니터링 데이터를 모니터링 인터페이스(Monitoring Interface)를 통해 전달받는, 보안 관리 시스템. - 제 13 항에 있어서,
상기 I2NSF 분석기는,
상기 I2NSF 분석기의 요청에 의한 쿼리(query)를 이용하여 상기 NSF로부터 상기 모니터링 데이터를 획득하거나, 또는
상기 NSF에 의해 자동으로 전송되는 리포트(report)를 이용하여 상기 모니터링 데이터를 획득하는, 보안 관리 시스템. - 제 12 항에 있어서,
상기 I2NSF 분석기는,
수신된 상기 모니터링 데이터를 기계 학습(machine learning)을 이용하여 분석하고,
분석 결과에 기초하여 네트워크에서 감지된 문제를 해결하기 위해 보안 정책 규칙이 재구성된 새로운 보안 정책을 생성하며,
생성된 상기 새로운 보안 정책을 분석 인터페이스(Analytics Interface)를 통해 상기 보안 제어기에 전송하는, 보안 관리 시스템. - 제 15 항에 있어서,
상기 새로운 보안 정책은,
NSF의 이름 또는 주소 중 적어도 하나;
NSF에서 나타나는 문제(Problem); 및
상기 문제를 해결하기 위한 해결 방법(Solution);을 포함하는, 보안 관리 시스템. - 제 15 항에 있어서,
상기 보안 제어기에 전송된 상기 새로운 보안 정책은 NSF-직면 인터페이스(NSF-Facing Interface)를 통해 상기 새로운 보안 정책에 따른 보안 서비스를 제공하기 위한 NSF에 전달되는, 보안 관리 시스템. - 제 12 항에 있어서,
상기 I2NSF 분석기는,
수신된 상기 모니터링 데이터에 기초하여 보안 서비스를 위한 NSF의 문제에 대한 피드백 정보를 획득하고,
획득된 상기 피드백 정보를 분석 인터페이스를 통해 상기 보안 제어기에 전송하는, 보안 관리 시스템. - 제 18 항에 있어서,
상기 피드백 정보는,
문제를 감지한 NSF의 이름 또는 주소 중 적어도 하나;
NSF에서 나타나는 문제;
상기 문제를 해결하기 위한 해결 방법;
피드백 정보를 전달한 시간(Time); 및
상기 해결 방법에 포함된 텍스트에 사용되는 언어(Language);를 포함하는, 보안 관리 시스템. - 제 18 항에 있어서,
상기 보안 제어기에 전송된 상기 피드백 정보에 의해 상기 보안 제어기에서 보고된 문제를 해결하기 위한 동작(action)이 수행되고,
상기 동작은, I2NSF 사용자(User)에 대한 리포트 및 개발자 관리 시스템(Developer's Management System, DMS)에 대한 관련 NSF의 시스템 자원 관리 쿼리를 포함하는, 보안 관리 시스템.
Applications Claiming Priority (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020210114112 | 2021-08-27 | ||
| KR20210114112 | 2021-08-27 | ||
| KR20220052915 | 2022-04-28 | ||
| KR1020220052915 | 2022-04-28 | ||
| KR20220092087 | 2022-07-25 | ||
| KR1020220092087 | 2022-07-25 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20230031802A true KR20230031802A (ko) | 2023-03-07 |
Family
ID=85513248
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020220107819A KR20230031802A (ko) | 2021-08-27 | 2022-08-26 | I2nsf 분석 인터페이스 yang 데이터 모델에 기초한 보안 관리 방법 및 장치 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20230103979A1 (ko) |
| KR (1) | KR20230031802A (ko) |
-
2022
- 2022-08-26 US US17/896,553 patent/US20230103979A1/en active Pending
- 2022-08-26 KR KR1020220107819A patent/KR20230031802A/ko not_active Application Discontinuation
Also Published As
| Publication number | Publication date |
|---|---|
| US20230103979A1 (en) | 2023-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8819762B2 (en) | System and method for auditing a security policy | |
| US8949931B2 (en) | System and method for monitoring application security in a network environment | |
| Basile et al. | Adding support for automatic enforcement of security policies in NFV networks | |
| da Costa Cordeiro et al. | Data plane programmability beyond openflow: Opportunities and challenges for network and service operations and management | |
| US11463482B2 (en) | Adaptive access control management | |
| US7894478B2 (en) | Method and system for network management providing access to application bandwidth usage calculations | |
| US20030097588A1 (en) | Method and system for modeling, analysis and display of network security events | |
| US11388197B2 (en) | I2NSF NSF monitoring YANG data model | |
| Ranathunga et al. | Verifiable policy-defined networking using metagraphs | |
| US20020174362A1 (en) | Method and system for network management capable of identifying sources of small packets | |
| KR102184114B1 (ko) | 네트워크 보안 서비스를 제공하기 위한 방법 및 이를 위한 장치 | |
| Manzanares‐Lopez et al. | A virtualized infrastructure to offer network mapping functionality in SDN networks | |
| US20220141256A1 (en) | Method and system for performing security management automation in cloud-based security services | |
| KR20230031802A (ko) | I2nsf 분석 인터페이스 yang 데이터 모델에 기초한 보안 관리 방법 및 장치 | |
| Tudosi et al. | Design and implementation of a distributed firewall management system for improved security | |
| KR102250147B1 (ko) | 네트워크 보안 기능 인터페이스를 위한 보안 정책 번역 | |
| KR102256641B1 (ko) | I2nsf 네트워크 보안 기능에 직면한 인터페이스 yang 데이터 모델 | |
| KR102590288B1 (ko) | 클라우드 기반 보안 서비스에서 보안 관리 자동화를 수행하는 방법 및 시스템 | |
| US11637865B2 (en) | I2NSF registration interface yang data model | |
| US20210029168A1 (en) | I2nsf consumer-facing interface yang data model | |
| US11516258B2 (en) | I2NSF capability YANG data model | |
| KR102174421B1 (ko) | 효과적인 디도스 공격 완화를 위한 소프트웨어 정의 네트워킹 기반의 네트워크 보안 기능 | |
| Bösch | Intrusion detection parameterization exchange data model | |
| KR20210012902A (ko) | I2nsf 등록 인터페이스 yang 데이터 모델 | |
| Kolcu | FCTaaS: Federated cybersecurity testbed as a service |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E902 | Notification of reason for refusal |