KR20230071376A - An apparatus for network monitoring and method thereof - Google Patents
An apparatus for network monitoring and method thereof Download PDFInfo
- Publication number
- KR20230071376A KR20230071376A KR1020210157503A KR20210157503A KR20230071376A KR 20230071376 A KR20230071376 A KR 20230071376A KR 1020210157503 A KR1020210157503 A KR 1020210157503A KR 20210157503 A KR20210157503 A KR 20210157503A KR 20230071376 A KR20230071376 A KR 20230071376A
- Authority
- KR
- South Korea
- Prior art keywords
- terminal
- network
- monitoring
- packet
- authentication
- Prior art date
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 111
- 238000000034 method Methods 0.000 title claims abstract description 84
- 238000012806 monitoring device Methods 0.000 claims abstract description 48
- 230000002159 abnormal effect Effects 0.000 claims description 68
- 238000004891 communication Methods 0.000 claims description 47
- 230000005540 biological transmission Effects 0.000 claims description 30
- 238000001514 detection method Methods 0.000 claims description 14
- 238000013473 artificial intelligence Methods 0.000 claims description 11
- 238000010801 machine learning Methods 0.000 claims description 10
- 238000004364 calculation method Methods 0.000 claims description 9
- 230000005856 abnormality Effects 0.000 claims description 8
- 230000000903 blocking effect Effects 0.000 claims description 6
- 230000006870 function Effects 0.000 description 12
- 238000004458 analytical method Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 6
- 230000004044 response Effects 0.000 description 6
- 239000000284 extract Substances 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 238000010835 comparative analysis Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000001629 suppression Effects 0.000 description 1
- 208000024891 symptom Diseases 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Abstract
본 발명은 네트워크 보안 모니터링에 관한 것으로, 보다 상세하게는, 네트워크 보안 모니터링 장치가 네트워크의 보안을 모니터링하는 방법 및 이러한 방법에 의한 네트워크 보안 모니터링 장치에 관한 것이다. 본 발명에 따른 네트워크 보안 모니터링 방법은 네트워크에 연결된 단말들 중에서 집중 감시 대상으로 결정된 제1 단말에 관한 정보를 포함하는 집중 감시 리스트를 저장하는 단계, 상기 제1 단말이 상기 네트워크를 통해 송수신하는 제1 패킷을 미러링하는 단계, 집중 감시 대상으로 결정되지 않은 제2 단말이 상기 네트워크를 통해 송수신하는 제2 패킷을 미러링하는 단계, 및 상기 미러링된 제1 패킷 및 제2 패킷을 기반으로 상기 네트워크의 보안 모니터링을 수행하는 단계를 포함할 수 있다.The present invention relates to network security monitoring, and more particularly, to a method for a network security monitoring device to monitor network security, and to a network security monitoring device using the method. A method for monitoring network security according to the present invention includes the steps of storing a concentrated monitoring list including information about a first terminal determined to be subject to centralized monitoring among terminals connected to a network, and transmitting and receiving information transmitted and received by the first terminal through the network. Mirroring a packet, mirroring a second packet transmitted and received by a second terminal not determined as an intensive monitoring target through the network, and monitoring the security of the network based on the mirrored first and second packets It may include the step of performing.
Description
본 발명은 네트워크의 모니터링에 관한 것으로서, 보다 구체적으로는 네트워크상의 단말기를 집중 감시함으로써 네트워크 상의 이상 트래픽을 탐지하는 방법 및 장치에 관한 것이다. The present invention relates to network monitoring, and more particularly, to a method and apparatus for detecting abnormal traffic on a network by intensively monitoring terminals on the network.
네트워크는 통신 링크 및 통신 링크에 접속된 통신 능력을 갖춘 다양한 장치들로 구성될 수 있다. 여기서, 네트워크와 관련된 장치들은, 개인용 컴퓨터, 서버 컴퓨터, 노트북 컴퓨터, 태블릿 PC, 스마트폰, 및 이에 한정되지 않는 프로세서, 통신 인터페이스, 및 사용자 인터페이스를 구비하는 장치를 포함하며, 또한 카메라, 프린터, 스캐너, 센서, 라우터, 주변 장치, 저장 장치, 네트워크 중계 장치, 임베디드 정보처리 장치, 사물인터넷(IoT, Internet-of-things) 장치, 및 이에 한정되지 않는 프로세서와 통신 인터페이스를 구비하되 사용자 인터페이스는 구비하지 않는 장치를 포함할 수 있다.A network may consist of a variety of devices with communication links and communication capabilities connected to the communication links. Here, the devices related to the network include personal computers, server computers, notebook computers, tablet PCs, smart phones, and devices having processors, communication interfaces, and user interfaces that are not limited thereto, and also include cameras, printers, and scanners. , sensors, routers, peripheral devices, storage devices, network relay devices, embedded information processing devices, Internet-of-things (IoT) devices, and processors and communication interfaces, but not limited thereto, but not having user interfaces. Devices that do not include
한편, 네트워크에는 부적절한 통신을 시도하고자 하는 장치가 접속할 위험이 상존한다. 부적절한 통신에는 예를 들어, DDoS(Distributed Denial of Service)를 위한 공격 패킷을 전송하거나, 네트워크 상에 접속된 다른 장치를 해킹하거나, 네트워크의 중계 또는 보안 유지 장치를 해킹 또는 무력화하고자 하는 행위가 포함된다. 따라서 이러한 부적절한 통신을 감시하고 차단하기 위하여, 네트워크에는 다양한 보안 방법이 적용될 수 있다.On the other hand, there is always a risk that a device attempting inappropriate communication will access the network. Inappropriate communications include, for example, sending attack packets for Distributed Denial of Service (DDoS), hacking other devices connected on the network, or attempting to hack or disable relays or security devices on the network. . Therefore, in order to monitor and block such inappropriate communication, various security methods may be applied to the network.
다양한 보안 방법 중 하나로는 네트워크 접속 시에 사전 인증을 거치도록 하는 방법이 있다. 예를 들어, 네트워크에 접속하고자 하는 장치의 사용자에게 사용자 ID와 비밀번호를 부여하고, 이러한 ID와 비밀번호를 정상적으로 입력하는 경우에만 해당 장치가 네트워크에 접속하는 것을 허용하는 것과 같은 방법이다. 그러나 이러한 방법은 상술하였던 사용자 인터페이스를 구비하는 장치에는 유효한 보안 방법이지만, 이어 상술하였던 사용자 인터페이스를 구비하지 않는 장치에는 적용하기 힘들다는 문제가 있다. 이 같은 장치들은 ID와 비밀번호를 입력할 수단을 구비하지 않는 장치이기 때문이다.As one of various security methods, there is a method of requiring pre-authentication when accessing a network. For example, a method such as giving a user ID and password to a user of a device that wants to access a network and allowing the device to access the network only when the ID and password are normally input. However, although this method is an effective security method for a device having the aforementioned user interface, there is a problem in that it is difficult to apply to a device not having the aforementioned user interface. This is because such devices do not have means for inputting an ID and a password.
따라서, 상기와 같이 사용자 인터페이스를 구비하지 않는 장치를 위하여 네트워크 접속에 소정의 예외를 적용할 수 있다. 예를 들어, 사전에 지정된 MAC 주소를 가진 장비가 네트워크에 접속하는 경우 장치의 접속을 인증 절차 없이 예외적으로 허용할 수 있다. 그러나, 이러한 예외를 적용받는 장치들의 접속 경로는 악성 사용자에 의하여 쉽게 유용될 수 있다. 예를 들어, 접속이 허용된 장치의 MAC 주소를 입수한다면, 해당 MAC 주소를 악성 장치에 클론(Clone)할 수 있고, 이를 통해 네트워크에 인증 없이 접속하여 부적절한 통신을 시도할 수 있게 된다.Accordingly, a predetermined exception may be applied to network access for a device having no user interface as described above. For example, when a device with a pre-specified MAC address accesses the network, the device's access can be exceptionally allowed without an authentication procedure. However, access paths of devices subject to these exceptions can be easily misused by malicious users. For example, if the MAC address of a device that is allowed access is obtained, the MAC address can be cloned into a malicious device, and through this, improper communication can be attempted by accessing the network without authentication.
이처럼 인증 예외를 이용하여 부적절한 통신을 시도하는 악성 장치가 발생시키는 이상 트래픽을 차단하기 위하여, 종래의 기술에서는 모니터링 장치를 이용하여 통신 패킷을 감시하고, 이상 징후가 감지되는 경우 관리자가 이를 확인하여 장치를 차단하는 방법을 적용하였다. 그러나 IoT 기기의 보급 확대와 이로 인한 네트워크의 방대화에 따라, 관리자의 판단에 의존하는 종래의 방법에는 명백한 한계가 발생하고 있다.In order to block abnormal traffic generated by a malicious device attempting inappropriate communication using an authentication exception, in the prior art, a monitoring device is used to monitor communication packets, and when an abnormal symptom is detected, an administrator checks the device A blocking method was applied. However, with the spread of IoT devices and the consequent expansion of the network, there are obvious limitations to the conventional method that relies on the manager's judgment.
상술한 문제점을 해결하기 위한 본 발명의 일 실시예에 따른 목적은 인증 예외를 통해 접속하는 단말에 대하여 효율적이면서도 효과적인 집중 감시 정책을 적용하여 네트워크의 보안을 유지할 수 있는 네트워크 모니터링 방법 및 그러한 장치를 제공하는 것이다.An object according to an embodiment of the present invention to solve the above problems is to provide a network monitoring method and such a device capable of maintaining network security by applying an efficient and effective centralized monitoring policy to a terminal accessing through an authentication exception. is to do
상술한 문제점을 해결하기 위한 본 발명의 일 양태에 따른 네트워크 보안 모니터링 장치가 네트워크의 보안을 모니터링하는 방법은, 네트워크에 연결된 단말들 중에서 집중 감시 대상으로 결정된 제1 단말에 관한 정보를 포함하는 집중 감시 리스트를 저장하는 단계, 상기 제1 단말이 상기 네트워크를 통해 송수신하는 제1 패킷을 미러링하는 단계, 집중 감시 대상으로 결정되지 않은 제2 단말이 상기 네트워크를 통해 송수신하는 제2 패킷을 미러링하는 단계, 및 상기 미러링된 제1 패킷 및 제2 패킷을 기반으로 상기 네트워크의 보안 모니터링을 수행하는 단계를 포함할 수 있다.A method for monitoring the security of a network by a network security monitoring apparatus according to an aspect of the present invention for solving the above problems is an intensive monitoring including information about a first terminal determined to be an intensive monitoring target among terminals connected to a network Storing a list, mirroring a first packet transmitted and received by the first terminal through the network, mirroring a second packet transmitted and received by a second terminal not determined as an intensive monitoring target through the network, and performing security monitoring of the network based on the mirrored first and second packets.
상기 제1 단말에 관한 정보는, IP(Internet Protocol) 주소 또는 MAC(Media Access Control) 주소를 포함할 수 있다.The information on the first terminal may include an Internet Protocol (IP) address or a Media Access Control (MAC) address.
상기 제1 단말은, 단말에서 사용자 인증이 가능한지의 여부에 기반하여 집중 감시 대상으로 결정될 수 있다.The first terminal may be determined as an intensive monitoring target based on whether user authentication is possible in the terminal.
상기 제1 단말은 네트워크 보안 관리 장치에 의해 집중 감시 대상으로 결정될 수 있다.The first terminal may be determined as an intensive monitoring target by the network security management device.
상기 제1 단말을 집중 감시 대상으로 결정하는 방법은, 적어도 하나의 사용자 단말에 대하여, 상기 사용자 단말에서 사용자 인증이 가능한 경우 상기 사용자 단말을 집중 감시 대상으로 결정하지 않고, 상기 사용자 단말에서 사용자 인증이 불가능하거나 상기 사용자 단말이 사용자 인증의 예외를 요청하는 경우 상기 사용자 단말을 집중 감시 대상으로 결정하는 것일 수 있다.The method for determining the first terminal as the subject of centralized monitoring may include, for at least one user terminal, if user authentication is possible in the user terminal, the user terminal is not determined as the subject of centralized monitoring, and user authentication is performed in the user terminal. If it is impossible or if the user terminal requests an exception to user authentication, the user terminal may be determined as an intensive monitoring target.
상기 사용자 인증은, IP 주소에 의한 인증, MAC 주소에 의한 인증, 사용자 ID를 이용한 인증, 사용자 비밀번호를 이용한 인증, 암호화 통신을 이용한 인증, 단말기에 설치된 인증 프로그램에 의한 인증 중 적어도 하나의 방법에 의해 이루어지는 것일 수 있다.The user authentication is performed by at least one of IP address authentication, MAC address authentication, user ID authentication, user password authentication, encryption communication authentication, and authentication by an authentication program installed in the terminal. may be done
상기 보안 모니터링은, 상기 제1 단말에 대한 제1 이상 트래픽을 감지하는 단계, 및 상기 제2 단말에 대한 제2 이상 트래픽을 감지하는 단계를 포함하고, 상기 제1 이상 트래픽 감지와 제2 이상 트래픽 감지는 서로 다른 방식일 수 있다.The security monitoring includes detecting a first abnormal traffic for the first terminal and detecting a second abnormal traffic for the second terminal, wherein the detection of the first abnormal traffic and the second abnormal traffic Sensing can be in different ways.
상기 제1 이상 트래픽을 감지하는 단계는, 상기 미러링된 제1 패킷을 시계열에 따라 수집하여 송수신 패킷 패턴을 생성하는 단계, 상기 송수신 패킷 패턴과 정상 패턴 간의 일치율을 계산하는 단계, 및 상기 일치율이 정상 수준에 미달하는 경우 이상 트래픽으로 판단하는 단계를 포함할 수 있다.The detecting of the first abnormal traffic may include generating a transmission/reception packet pattern by collecting the mirrored first packets according to time series, calculating a matching rate between the transmission/reception packet pattern and a normal pattern, and the matching rate being normal. If the level is not reached, determining that the traffic is abnormal may be included.
상기 정상 패턴은, 상기 제1 단말과 동일한 유형의 단말이 정상 상태에서 송수신하는 적어도 하나의 정상 상태 패킷에 기반할 수 있다.The normal pattern may be based on at least one normal state packet transmitted and received by a terminal of the same type as the first terminal in a normal state.
상기 정상 패턴은, 상기 네트워크 보안 모니터링 장치가 이상을 감지하지 않은 상태에서 상기 제1 단말이 송수신하는 적어도 하나의 정상 상태 패킷에 기반할 수 있다.The normal pattern may be based on at least one normal state packet transmitted and received by the first terminal in a state in which the network security monitoring device does not detect an abnormality.
상기 정상 패턴은, 적어도 하나의 정상 상태 패킷을 기계 학습 인공지능에 학습시킴으로써 획득될 수 있다.The normal pattern may be obtained by learning at least one normal state packet through machine learning artificial intelligence.
상기 일치율을 계산하는 단계는, 상기 기계 학습 인공지능에 의해 시계열에 따른 예상 패킷 패턴을 생성하고, 상기 송수신 패킷 패턴과 상기 예상 패킷 패턴을 비교하고, 패킷 패턴을 구성하는 개별 패킷의 일치 여부를 비교하는 단계를 포함할 수 있다.The step of calculating the matching rate may include generating an expected packet pattern according to time series by the machine learning artificial intelligence, comparing the transmitted/received packet pattern with the expected packet pattern, and comparing whether individual packets constituting the packet pattern match each other. steps may be included.
상기 일치율을 계산하는 단계는, 상기 송수신 패킷 패턴과 상기 예상 패킷 패턴에 포함된 개별 패킷의 수 중 큰 수를 분모로 하고, 상기 송수신 패킷 패턴과 상기 예상 패킷 패턴 간 일치하는 것으로 판단된 패킷의 수를 분자로 하여 계산될 수 있다.The step of calculating the match rate may include the number of packets determined to match between the transmitted/receive packet pattern and the expected packet pattern, with a larger number as a denominator among the number of individual packets included in the transmitted/received packet pattern and the expected packet pattern. It can be calculated as a numerator.
상기 네트워크의 보안을 모니터링하는 방법은, 상기 네트워크 보안에 이상이 감지된 경우, 상기 제1 단말의 네트워크 접속을 차단하는 단계를 더 포함할 수 있다.The method of monitoring network security may further include blocking network access of the first terminal when an abnormality in network security is detected.
네트워크의 보안을 모니터링하는 방법은, 상기 네트워크 보안에 이상이 감지된 경우, 상기 제1 단말에 이상 트래픽이 발생하였다는 메시지를 네트워크 보안 관리 장치에 통지하는 단계를 더 포함할 수 있다.The method for monitoring network security may further include notifying a network security management device of a message indicating that abnormal traffic has occurred in the first terminal when an abnormality in network security is detected.
본 발명의 일 양태에 따른 네트워크 보안 모니터링 장치는, 네트워크에 연결된 단말들 중에서 집중 감시 대상으로 결정된 제1 단말에 관한 정보를 포함하는 집중 감시 리스트를 저장하는 감시 대상 관리부, 상기 제1 단말이 상기 네트워크를 통해 송수신하는 제1 패킷을 미러링하여 수신하고, 집중 감시 대상으로 결정되지 않은 제2 단말이 상기 네트워크를 통해 송수신하는 제2 패킷을 미러링하여 수신하도록 구성되는 미러링 패킷 수신부, 및 상기 미러링된 제1 패킷 및 제2 패킷을 기반으로 상기 네트워크의 보안 모니터링을 수행하는 트래픽 감시부를 포함할 수 있다.An apparatus for monitoring network security according to an aspect of the present invention includes: a monitoring target management unit for storing a centralized monitoring list including information about a first terminal determined to be an intensive monitoring target among terminals connected to a network; A mirroring packet reception unit configured to mirror and receive a first packet transmitted and received through the network, and mirror and receive a second packet transmitted and received through the network by a second terminal not determined as an intensive monitoring target, and the mirrored first packet It may include a traffic monitoring unit that performs security monitoring of the network based on the packet and the second packet.
상기 제1 단말은, 단말에서 사용자 인증이 가능한지의 여부에 기반하여 결정될 수 있다.The first terminal may be determined based on whether user authentication is possible in the terminal.
상기 트래픽 감시부는, 상기 미러링된 제1 패킷을 시계열에 따라 수집하여 송수신 패킷 패턴을 생성하는 패턴 생성부, 상기 송수신 패킷 패턴과 상기 정상 패턴 간의 일치율을 계산하는 연산부, 및 상기 일치율이 정상 수준에 미달하는 경우 이상 트래픽으로 판단하는 이상 판단부를 포함할 수 있다.The traffic monitoring unit includes a pattern generation unit generating a transmission/reception packet pattern by collecting the mirrored first packets according to a time series, a calculation unit calculating a matching rate between the transmission/reception packet pattern and the normal pattern, and the matching rate falling short of a normal level. In this case, it may include an abnormality determination unit that determines that the traffic is abnormal.
상기 정상 패턴은, 적어도 하나의 정상 상태 패킷을 기계 학습 인공지능에 학습시킴으로써 획득될 수 있다.The normal pattern may be obtained by learning at least one normal state packet through machine learning artificial intelligence.
상기 트래픽 감시 판단부는, 이상 트래픽이 감지된 경우, 상기 집중 감시 대상 단말의 네트워크 접속을 차단하도록 구성될 수 있다.The traffic monitoring determination unit may be configured to block network access of the terminal subject to centralized monitoring when abnormal traffic is detected.
본 발명의 일 실시예에 따른 네트워크 보안 모니터링 방법 또는 네트워크 모니터링 장치에 따르면, 종래에 사용하던 네트워크 감시 기술과 병행하여 부적절한 통신에 대하여 집중 감시가 가능한 네트워크 모니터링 기능을 제공하면서도, 지나친 컴퓨팅 자원이 소요되는 것을 억제하여 효과적인 관리가 가능해진다.According to a network security monitoring method or network monitoring device according to an embodiment of the present invention, while providing a network monitoring function capable of intensively monitoring inappropriate communications in parallel with conventional network monitoring technology, excessive computing resources are required. suppression to enable effective management.
도 1은 본 발명의 일 실시예에 의한 네트워크 보안 모니터링 절차를 설명하기 위한 개념도,
도 2a는 본 발명의 일 실시예에 의한 제1 단말의 보안 모니터링 방법을 설명하기 위한 통신 흐름도,
도 2b는 본 발명의 일 실시예에 의한 제2 단말의 보안 모니터링 방법을 설명하기 위한 통신 흐름도,
도 3은 본 발명의 일 실시예에 의해 제1 단말 또는 제2 단말이 지정되는 과정을 나타내는 개념도,
도 4는 본 발명의 일 실시예에 의한 네트워크 보안 모니터링 장치의 구조를 나타내는 블록도이다.1 is a conceptual diagram for explaining a network security monitoring procedure according to an embodiment of the present invention;
2A is a communication flowchart for explaining a security monitoring method of a first terminal according to an embodiment of the present invention;
2B is a communication flowchart for explaining a security monitoring method of a second terminal according to an embodiment of the present invention;
3 is a conceptual diagram illustrating a process of designating a first terminal or a second terminal according to an embodiment of the present invention;
4 is a block diagram showing the structure of a network security monitoring device according to an embodiment of the present invention.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다.Since the present invention can make various changes and have various embodiments, specific embodiments are illustrated in the drawings and described in detail.
그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.However, this is not intended to limit the present invention to specific embodiments, and should be understood to include all modifications, equivalents, and substitutes included in the spirit and scope of the present invention.
제 1, 제 2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제 1 구성요소는 제 2 구성요소로 명명될 수 있고, 유사하게 제 2 구성요소도 제 1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.Terms such as first and second may be used to describe various components, but the components should not be limited by the terms. These terms are only used for the purpose of distinguishing one component from another. For example, a first element may be termed a second element, and similarly, a second element may be termed a first element, without departing from the scope of the present invention. The terms and/or include any combination of a plurality of related recited items or any of a plurality of related recited items.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.It is understood that when an element is referred to as being "connected" or "connected" to another element, it may be directly connected or connected to the other element, but other elements may exist in the middle. It should be. On the other hand, when an element is referred to as “directly connected” or “directly connected” to another element, it should be understood that no other element exists in the middle.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Terms used in this application are only used to describe specific embodiments, and are not intended to limit the present invention. Singular expressions include plural expressions unless the context clearly dictates otherwise. In this application, the terms "include" or "have" are intended to designate that there is a feature, number, step, operation, component, part, or combination thereof described in the specification, but one or more other features It should be understood that the presence or addition of numbers, steps, operations, components, parts, or combinations thereof is not precluded.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which the present invention belongs. Terms such as those defined in commonly used dictionaries should be interpreted as having a meaning consistent with the meaning in the context of the related art, and unless explicitly defined in the present application, they should not be interpreted in an ideal or excessively formal meaning. don't
본 출원에서 발명을 설명함에 있어 "장치"라는 용어를 사용하는 경우, 이는 장치로서 구현될 수 있는 본 발명의 어떠한 기능을 설명하기 위한 실시예를 설명하기 위한 것이며, 반드시 해당 장치의 기능이 독립적인 단일 장치로서 구현되어야 함을 의미하지 않는다. 통신 네트워크의 기능적 특성에 따라, 하나의 장치는 동일한 기능을 수행하는 복수의 장치로 구현될 수도 있으며, 반대로 복수의 장치 기능을 동시에 수행하기 위한 하나의 장치가 설치될 수도 있다. 어떤 장치의 기능은 소프트웨어적 수단을 통해 다른 장치에 의해 또는 일반적 컴퓨터 및 정보처리 장치에 의해서 구현될 수 있다. 또한 복수의 장치가 사용되는 경우 각각의 장치는 통신 네트워크로만 연결되고 물리적 공간에서는 이격되어 있을 수 있다. 이는 동일한 기술적 사상을 구현하기 위하여 통신 네트워크 기술 분야에 익숙한 통상의 기술자가 취할 수 있는 다양한 실시예의 영역이므로, 여하의 상세한 구현 방법은 모두 본 출원상 발명의 기술적 사상 영역에 포함되는 것으로 해석되어야 한다.When the term "device" is used in describing the invention in this application, it is intended to describe an embodiment for explaining any function of the present invention that can be implemented as a device, and the function of the device must be independent. It is not meant to be implemented as a single device. Depending on the functional characteristics of the communication network, one device may be implemented with a plurality of devices performing the same function, or conversely, one device may be installed to simultaneously perform the functions of a plurality of devices. Functions of a certain device may be implemented by other devices through software means or by general computers and information processing devices. In addition, when a plurality of devices are used, each device may be connected only to a communication network and may be separated from each other in a physical space. Since this is an area of various embodiments that can be taken by a person skilled in the art in the communication network technology field to implement the same technical idea, any detailed implementation method should be construed as being included in the technical idea area of the present invention.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.Hereinafter, with reference to the accompanying drawings, preferred embodiments of the present invention will be described in more detail. In order to facilitate overall understanding in the description of the present invention, the same reference numerals are used for the same components in the drawings, and redundant descriptions of the same components are omitted.
네트워크 모니터링 구조의 개요Overview of network monitoring architecture
도 1은 본 발명의 일 실시예에 의한 네트워크 보안 모니터링 절차를 설명하기 위한 개념도이다. 도 1에 도시된 바와 같이, 본 발명의 일 실시예에 의한 네트워크 보안 모니터링 절차(100)는 사용자 단말(110), 네트워크 중계 장치(120), 네트워크 보안 모니터링 장치(130), 네트워크 보안 관리 장치(140), 네트워크(150), 및 네트워크 중계 시스템(160)에 의하여 설명될 수 있다.1 is a conceptual diagram for explaining a network security monitoring procedure according to an embodiment of the present invention. As shown in FIG. 1, the network
도 1을 참조하면, 사용자 단말(110)은 네트워크(150)를 경유해 소정의 네트워크 통신을 수행하기 위하여 네트워크 중계 시스템(160)을 이용해 접속을 시도하는 단말기일 수 있다. 사용자 단말(110)는 클라이언트 단말기이거나 사물 인터넷(IoT, Internet-of-things) 디바이스일 수 있다. 사용자 단말(110)은 반드시 사용자에 의하여 조작될 필요는 없으며, 개인 또는 조직으로서의 사용자가 소정의 목적을 달성하기 위해 가동 상태로 설치한 단말기 장치라면 무엇이든 무방하다.Referring to FIG. 1 , a
사용자 단말(110)이 네트워크(150)를 통한 통신을 수행하기 위해서는 통신망을 구성하는 네트워크 중계 시스템(160)에 의하여 중계를 받아야 한다. 보다 구체적으로, 사용자 단말(110)은 중계 시스템(160)에 속한 네트워크 중계 장치(120)에 네트워크에 대한 접속과 그에 따른 절차를 요청할 수 있다. 상기 절차에는 IP(Internet Protocol) 주소의 발급 및 통신 채널 설정이 포함될 수 있다.In order for the
네트워크 중계 장치(120)는 사용자 단말(110)에서 송신한 통신 패킷(Packet)을 수신하여 네트워크(150)로 전달하고, 네트워크(150)가 사용자 단말(110)을 향해 전송하는 패킷을 수신하여 사용자 단말(110)로 전달하는 중계 기능을 수행할 수 있다.The
본 발명의 일 실시예에 따르면, 네트워크 중계 장치(120)는 네트워크(150)를 향해 사용자 단말로부터 전송된 패킷의 위치 및 수신처를 추출하여, 그 위치에 대한 최적의 경로를 지정하며, 이 경로를 따라 데이터 패킷을 네트워크(150)로 포워딩함으로써 패킷을 중계하도록 구성될 수 있다. 이러한 동작을 위하여 네트워크 중계 장치(120)에는 라우터 및 스위치가 포함되어 구성될 수 있다. 상기 스위치는 OSI 2 계층, OSI 3계층, OSI 4계층 및/또는 다른 계층(예컨대, OSI 7계층)의 역할을 하는 스위치를 포함할 수 있으며, 예컨대, 네트워크 상에서 패킷의 경로를 설정하는 기능을 수행할 수 있다. 또한, 로드밸런싱이나 포트포워딩, QoS 등의 기능을 수행할 수도 있다. 스위치(324)는 네트워크 스위치, 스위칭 허브, 포트 스위칭 허브 등으로 불릴 수 있다.According to an embodiment of the present invention, the
네트워크 중계 장치(120)는 상기 중계 기능을 수행하기에 앞서, 사용자 단말(110)이 해당 네트워크에 접속할 권한이 있는 단말기인지를 판단하기 위해 사용자 단말 인증 절차를 수행할 수 있다. 상기 사용자 단말 인증 절차는 IP 주소에 의한 인증, MAC 주소에 의한 인증, 사용자 ID를 이용한 인증, 사용자 비밀번호를 이용한 인증, 암호화 통신을 이용한 인증, 단말기에 설치된 인증 프로그램에 의한 인증 중 적어도 하나의 방법에 의해 이루어질 수 있다. 그러나, 상기와 같은 인증 절차 중 일부는 사용자 단말(110)의 유형에 따라 제한될 수 있다. 예를 들어, 사용자 ID를 이용한 인증 방법은 사용자 ID를 입력할 수단이 구비되지 않은 사용자 단말(110)인 경우 사용할 수 없다. 이러한 경우 사용자 인증 절차에 대한 예외를 적용하여 단말기의 접속을 허가할 수 있다.Prior to performing the relay function, the
사용자 단말(110)이 접속되는 경우, 사용자 단말(110)과 네트워크(150)간의 통신 패킷은 보안 관리를 위하여 관찰될 수 있다. 이를 위하여 네트워크 중계 장치(120)는 사용자 단말이 송수신하는 패킷을 복제(미러링, Mirroring)하여 미러링 패킷을 생성하고, 상기 미러링 패킷을 네트워크 보안 모니터링 장치(130)에 전달하도록 구성될 수 있다.When the
상기 네트워크 중계 장치(120)는 단일 장치로 구현될 수 있으나, 복수의 장치의 집합체로서 구현될 수도 있다. 예를 들어, 상기 네트워크 중계 장치(120)는 사용자 단말 인증 장치, 라우터, 스위치, 패킷 미러링 장치로 구성된 장치군으로서 구현될 수도 있다. 그러나 본 발명의 네트워크 중계 장치(120)와 동일한 기능을 수행하는 장치 또는 장치군을 어떠한 기능 단위로 분리하여 구현하더라도 본 발명의 기술적 사상이 구현되는 한 본 발명의 권리범위 내에 속할 것임은 자명하다.The
본 발명의 일 실시예에 따르면, 네트워크 중계 장치(120)에 속한 패킷 미러링 장치는 스위치와 연결되어 스위치를 통해 네트워크(150)로 제공되는 거의 모든 패킷을 미러링하여 획득하도록 구성될 수 있다. 패킷 미러링은, 즉, 패킷의 복제 또는 캡처(capture)는, 본 발명의 일 실시예에 따르면 스위치에서 수행될 수 있으며, 또 다른 실시예에 따르면 패킷 미러링 장치에서 수행될 수 있다. 스위치는 네트워크(150)로 제공되는 패킷을 복제한 후, 패킷 미러링 장치와 연결된 포트를 목적지 포트(destination port)로 설정하여 패킷 미러링 장치로 제공할 수 있다.According to an embodiment of the present invention, the packet mirroring device belonging to the
네트워크 보안 모니터링 장치(130)는 네트워크 중계 장치(120)로부터 미러링 패킷을 전달받아 분석함으로써 사용자 단말(110)이 부적절한 통신을 시도하는지 여부를 감시하기 위한 이상 트래픽 감지를 실시할 수 있다. 이상 트래픽이란, 예를 들어, DDoS(Distributed Denial of Service)를 위한 공격 패킷을 전송하거나, 네트워크 상에 접속된 다른 장치를 해킹하거나, 네트워크의 중계 또는 보안 유지 장치를 해킹 또는 무력화하고자 하는 행위로 인해 발생하는 패킷의 송수신 행위를 포함할 수 있다. 이 때, 네트워크 보안 모니터링 장치(130)는 서로 다른 두 종류의 사용자 단말(110)에 대하여 상이한 방법으로 이상 트래픽 감지를 실행할 수 있다.The network
사용자 단말(110)가운데 인증 절차를 수행할 수 없는 단말기를 편의상 제1 단말이라 하고, 인증 절차를 수행할 수 있는 단말기를 제2 단말이라 한다. 제1 단말의 경우 네트워크 접속 시 인증을 수행하는 데 있어 예외를 적용받기 때문에, 상기의 예외를 악용하여 이상 트래픽을 발생시킬 우려가 있다. 이를테면, 제1 단말기는 정상적 절차에 의해 예외를 인정받아 네트워크에 접속한 후, 접속 목적과 달리 이상 트래픽을 발생시킬 수 있다. 또는, 제1 단말기는 본래 소정의 인증 예외를 통해 접속하는 정상적 단말을 가장하여 네트워크에 접속하는 부정한 단말기로, 정상적 단말이 인증 예외를 요청하기 위해 사용하는 절차를 위조하여 네트워크에 참여한 뒤 정상적 단말을 가장하여 이상 트래픽을 발생시킬 수 있다. 예를 들어, 인증 절차를 수행할 수 없는 정당한 단말은 단말이 구비한 네트워크 통신부의 MAC 주소를 이용하여 화이트리스트(Whitelist) 방식으로 인증 없는 네트워크 접속이 허용될 수 있는데, 부정한 단말기는 상기 화이트리스트에 속하는 MAC 주소를 입수하여 복제함으로써 상기 정당한 단말을 가장하여 네트워크에 참여할 수 있다.Among the
따라서, 상기 제1 단말에 속하는 단말에 대해서는, 네트워크 보안 모니터링 장치(130)에 의한 집중 감시가 이루어지는 것이 바람직하다. 제1 단말에 대한 집중 감시의 절차에 관하여서는 보다 상세히 후술한다.Therefore, it is preferable that centralized monitoring by the network
한편, 상기 제1 단말에 속하지 않고, 보안 성능이 우수한 인증 절차를 정상적으로 수행할 수 있는 사용자 단말(110)은 제2 단말로 칭한다. 제2 단말에 대하여서는 종래기술에서 사용하는 일반적 감시를 실시하여도 무방하다. 예를 들어, 패킷을 분석하여 패킷으로부터 성능지표를 생성하고, 상기 성능지표 데이터를 네트워크 보안 관리 장치(140)에 전송하여, 네트워크 보안 관리 장치(140)로부터 이상 트래픽에 대한 차단 지시가 있는 경우 네트워크 중계 장치(120)로 하여금 이상 트래픽을 차단하도록 지시하도록 구성될 수 있다. 제2 단말에 대한 일반적 감시의 절차에 관하여서는 보다 상세히 후술한다.Meanwhile, a
즉, 상기 제1 단말을 집중 감시 대상으로 결정하는 것은 단말에서 사용자 인증이 가능한지의 여부에 기반하여 결정되며, 상기 사용자 단말에서 사용자 인증이 가능한 경우 상기 사용자 단말을 집중 감시 대상으로 결정하지 않고, 상기 사용자 단말에서 사용자 인증이 불가능하거나 상기 사용자 단말이 사용자 인증의 예외를 요청하는 경우 상기 사용자 단말을 집중 감시 대상으로 결정하는 것으로 요약할 수 있다.That is, the determination of the first terminal as the subject of intensive monitoring is determined based on whether user authentication is possible in the terminal, and when user authentication is possible in the user terminal, the user terminal is not determined as the subject of intensive monitoring, and the It can be summarized as determining the user terminal as an intensive monitoring target when the user terminal cannot perform user authentication or the user terminal requests an exception to user authentication.
제1 단말에 대한 집중 모니터링 절차Intensive monitoring procedure for the first terminal
도 2a는 본 발명의 일 실시예에 의한 제1 단말의 보안 모니터링 방법을 설명하기 위한 통신 흐름도이다. 이하 도 2a를 참조하여, 제1 단말에 대해 집중 감시를 실시하는 절차에 대하여 상세히 설명한다.2A is a communication flowchart illustrating a security monitoring method of a first terminal according to an embodiment of the present invention. Referring to FIG. 2A, a procedure for performing intensive monitoring on the first terminal will be described in detail.
사용자 단말이 중계 시스템(160)을 통해 네트워크에 접속을 시도하는 경우, 사용자 단말은 인증 예외에 의한 접속을 요청(220)할 수 있다. 이와 같이 인증 예외에 의한 접속이 이루어진 사용자 단말은 제1 단말(110-1)로 구분되고, 그렇지 않은 단말은 제2 단말로 구분된다.When the user terminal attempts to access the network through the
도 3은 본 발명의 일 실시예에 의해 제1 단말 또는 제2 단말이 지정되는 과정을 나타내는 개념도이다. 이하 도 3을 참조하여 인증 예외에 의한 접속 요청의 처리 과정과 그에 따른 제1 단말 지정 과정을 실시예를 통해 설명한다.3 is a conceptual diagram illustrating a process of designating a first terminal or a second terminal according to an embodiment of the present invention. Referring to FIG. 3, a process of processing an access request due to an authentication exception and a process of designating a first terminal according thereto will be described through an embodiment.
본 발명의 일 실시예에 따르면, 사용자 단말은 네트워크 접속 과정에서 사전에 지정된 IP로 사전에 식별된 MAC 주소를 가진 네트워크 통신 수단을 이용하여 접속을 요청하는 메시지를 전송할 수 있다. 이 요청은 네트워크 중계 장치(120)에 의해 수신(S300)되어 네트워크 접속의 허용 여부를 결정하게 된다. 이 때 네트워크 중계 장치(120)는 화이트리스트 방식을 이용하여 이러한 예외 접속 요청을 처리할 수 있다. 본 발명의 일 실시예에 따르면, 네트워크 중계 장치(120)는 접속을 허용할 수 있는 IP 주소와 MAC 주소의 쌍을 저장한 데이터베이스를 저장하고 있음으로써, 특정 IP 주소의 할당을 요청하는 장치가 인증 예외 처리된 특정 MAC 주소를 보유하고 있는지 여부를 검증할 수 있다(S310). 이 때 예외 처리된 MAC 주소에 해당하는 사용자 단말로 확인되는 경우, 해당 사용자 단말을 제1 단말로 지정(S320)하고 접속 요청을 수락(S370)할 수 있다. 제2 단말 지정 과정에 대하여서는 별도로 후술한다.According to an embodiment of the present invention, a user terminal may transmit a message requesting access by using a network communication means having a MAC address identified in advance with a pre-specified IP during a network access process. This request is received by the network relay device 120 (S300) and determines whether to allow network access. At this time, the
다시 도 2a를 참조하면, 상기와 같이 인증 예외에 의한 접속 요청(220)이 발생하는 경우, 이 단말과의 통신은 잠재적으로 이상 트래픽을 발생시킬 수 있는 부정 접속 단말의 통신에 유용될 취약성이 있다. 따라서, 네트워크 중계 장치(120)는 네트워크 보안 모니터링 장치(130)에 해당 제1 단말(110-1)의 정보를 전달함으로써 집중 감시 리스트에 등록(221)한다. 상기 전달되는 정보는 제1 단말(110-1)의 IP 주소 또는 MAC 주소 중 적어도 하나를 포함할 수 있다. 상기 정보는 네트워크 모니터링 장치(130)에 의해 저장되며, 향후 네트워크 중계 장치(120)를 통해 제1 단말(110-1)이 송수신하는 모든 패킷은 네트워크 모니터링 장치(130)에 의한 집중 감시의 대상이 된다.Referring back to FIG. 2A , when the
제1 단말(110-1)이 네트워크로 패킷을 송신(203)하면, 해당 패킷은 네트워크 중계 장치(120)에 의해 미러링되어 미러링 패킷이 생성된다. 미러링 패킷은 네트워크 보안 모니터링 장치(130)로 전달되어(204) 이상 트래픽인지 여부가 분석된다. 한편, 미러링되기 전의 원본 패킷은 정상적인 중계 경로에 따라 네트워크로 송신(205)된다. 네트워크로부터 제1 단말(110-1)을 수신자로 하는 패킷이 수신되는 경우(206)에도, 해당 패킷은 네트워크 중계 장치(120)에 의해 미러링되어 미러링 패킷이 생성되며, 해당 미러링 패킷은 네트워크 보안 모니터링 장치(130)로 전달되어(207) 분석된다. 현재 제1 단말(110-1)의 접속이 허용된 상태이므로, 미러링되기 전의 원본 패킷은 정상적인 중계 경로에 따라 제1 단말에 수신(208)된다. 이처럼 제1 단말(110-1)로부터 송수신되는 일체의 패킷을 편의상 제1 패킷으로 통칭한다.When the first terminal 110-1 transmits a packet to the network (203), the corresponding packet is mirrored by the
네트워크 보안 모니터링 장치(130)는 미러링된 제1 패킷이 이상 트래픽에 속하는지 여부를 판단하기 위하여 상기 미러링된 제1 패킷을 시계열에 따라 수집할 수 있다. 본 발명의 일 실시예에 따르면, 시계열에 따른 패킷의 수집은 미러링된 제1 패킷으로부터 패킷 헤더의 정보 구성, 페이로드의 용량, 목적지 IP 주소, 단위 시간당 패킷 전송량을 포함하는 정보를 추출하고, 이를 시간의 흐름에 따라 누적하는 방법으로 이루어질 수 있다.The network
상기와 같이 미러링된 제1 패킷을 수집한 결과로 네트워크 보안 모니터링 장치(130)는 송수신 패킷 패턴을 생성할 수 있다. 상기 송수신 패킷 패턴은 사용자 단말(110-1)이 현재 어떠한 양태로 네트워크에 패킷을 송수신하고 있는지를 파악하기 위한 자료로, 네트워크 보안 모니터링 장치(130)에서 정상 패턴과 비교되는 방법으로 이상 트래픽 감지에 사용될 수 있다. 이 때 정상 패턴은 상기 제1 단말이 정상 상태에서 송수신할 것으로 예상되는 패킷의 패턴이 시계열에 의해 배치된 자료일 수 있다.As a result of collecting the mirrored first packets as described above, the network
본 발명의 일 실시예에 따르면, 상기 정상 패턴은, 상기 제1 단말과 동일한 유형의 단말이 정상 상태에서 송수신하는 적어도 하나의 정상 상태 패킷에 기반한 자료일 수 있다. 예를 들어, 제1 단말이 카메라 장치인 경우, 제1 단말기와 동일한 규격의 카메라 장치가 일반적으로 송수신하는 패킷의 패턴을 시계열에 따라 수집한 자료일 수 있다.According to an embodiment of the present invention, the normal pattern may be data based on at least one normal state packet transmitted and received by a terminal of the same type as the first terminal in a normal state. For example, when the first terminal is a camera device, it may be data collected according to time series of packet patterns generally transmitted and received by a camera device having the same standard as the first terminal.
본 발명의 다른 실시예에 따르면, 상기 정상 패턴은, 상기 네트워크 보안 모니터링 장치가 이상을 감지하지 않은 상태에서 상기 제1 단말이 송수신하는 적어도 하나의 정상 상태 패킷에 기반하는 자료일 수 있다. 예를 들어, 제1 단말이 이전에도 해당 네트워크 중계 장치(120)에 접속한 적 있었던 경우, 과거 제1 단말이 정상 동작하는 과정에서 시계열에 따라 수집된 송수신 패킷 패턴을 별도로 저장하여, 이후 제1 단말의 집중 감시 과정에서 분석의 기준점으로 사용할 수도 있다.According to another embodiment of the present invention, the normal pattern may be data based on at least one normal state packet transmitted and received by the first terminal in a state in which the network security monitoring apparatus does not detect an abnormality. For example, if the first terminal has accessed the corresponding
네트워크 보안 모니터링 장치(130)는 상기 정상 패턴을 획득하기 위하여 적어도 하나의 정상 상태 패킷을 기계 학습 인공지능에 학습시킬 수 있다. 본 발명의 일 실시예에 따르면, 상기 기계 학습 인공지능은 입력된 패킷 패턴을 학습함으로써 다음 순서의 패킷 발생 유형을 예측할 수 있도록 구성될 수 있다. 즉, 해당 인공지능에 정상 상태 패킷을 학습시킴으로써, 송수신 패킷이 정상 범주에 속하는 경우 다음 단계에 어떠한 패킷이 출현할 것인지를 예측하도록 구성될 수 있다.The network
네트워크 보안 모니터링 장치(130)는 상기 송수신 패킷 패턴을 상기 정상 패턴과 비교하여 일치율을 계산할 수 있다. 예상되는 정상 패턴으로부터 실제의 송수신 패킷 패턴이 일치하는 정도가 낮아지는 것을 기준으로 하여 이상 트래픽의 발생 여부를 탐지할 수 있다. 본 발명의 일 실시예에 따르면, 상기 일치율의 계산은 단위 시간 간격으로 수집한 송수신 패킷 패턴과 정상 패턴의 모든 패킷을 순차적으로 상호 대조하여 일치하는 정도를 계산하는 방법으로 계산될 수 있다. 본 발명의 다른 실시예에 따르면, 상기 일치율의 계산은 상기 실시예로서 설명하였던 기계 학습 인공지능에 의해 시계열에 따른 예상 패킷 패턴을 생성하고, 상기 송수신 패킷 패턴과 상기 예상 패킷 패턴을 비교하고, 패킷 패턴을 구성하는 개별 패킷의 일치 여부를 비교하는 방법으로 계산될 수 있으며, 보다 구체적으로는, 각각의 개별 패킷이 페이로드 용량의 범위, 사용하는 서비스의 유형, 목적지 IP 주소, 사용 포트를 포함하는 속성 정보에 의해 동일한 패킷의 범주에 속하는지 비교하고, 상기 비교를 패킷 패턴 간의 비교가 완료될 때까지 반복적으로 실행하는 방법으로 계산될 수 있다.The network
상기 일치율 계산은 소정 단위 시간 동안의 패킷을 묶어서 실시될 수 있다. 또한, 상기 일치율 계산은 연속적으로 반복하여 실행될 수도 있고, 주기적으로 실행될 수도 있다. 예를 들어, 송수신되는 모든 제1 패킷을 미러링하여 상기 송수신 패킷 패턴을 생성할 수도 있고, 매 5초의 주기로 1초 분량의 제1 패킷을 미러링을 통해 수집하여 상기 송수신 패킷 패턴을 생성할 수도 있다. 송수신 패킷의 생성 주기는 네트워크 보안 모니터링 장치(130)의 성능적 설계 요건에 의하여 통상의 기술자가 임의의 소정 단위 시간 및/또는 실행 주기를 설정하여 실행되어도 무방하며, 이는 모두 본 발명의 기술적 취지에서 벗어나지 않는다.The matching rate calculation may be performed by grouping packets for a predetermined unit of time. In addition, the coincidence rate calculation may be continuously and repeatedly performed or may be periodically performed. For example, the transmission/reception packet pattern may be generated by mirroring all transmitted/received first packets, or the transmitted/receive packet pattern may be generated by collecting first packets for 1 second through mirroring at intervals of every 5 seconds. The generation period of the transmission and reception packets may be executed by setting any predetermined unit time and/or execution period by a person skilled in the art according to the performance design requirements of the network
상기 일치율 계산의 결과는 상기 송수신 패킷 패턴과 상기 예상 패킷 패턴에 포함된 개별 패킷의 수 중 큰 수를 분모로 하고, 상기 송수신 패킷 패턴과 상기 예상 패킷 패턴 간 일치하는 것으로 판단된 패킷의 수를 분자로 하는 분수의 형태로 도출될 수 있다.The result of the matching rate calculation is the denominator of the larger number of individual packets included in the transmitted/received packet pattern and the expected packet pattern, and the number of packets determined to match between the transmitted/received packet pattern and the expected packet pattern as the numerator. It can be derived in the form of a fraction with
상기 일치율 계산의 결과는 네트워크 보안 모니터링 장치(130)로부터 네트워크 보안 관리 장치(140)로 통지(222)될 수 있다. 네트워크 보안 관리 장치(140)는 모니터링의 결과를 통해 보안 정책의 적용 여부를 판단하는 장치일 수 있다. 또한, 네트워크 보안 관리 장치(140)는 네트워크의 보안 정책을 설정하고 그 적용 여부를 결정하기 위하여 네트워크 보안 관리자에 의해 조작되는 장치일 수 있다.A result of the matching rate calculation may be notified from the network
네트워크 보안 관리 장치(140)는 통지된 일치율을 기반으로 하여 현재 제1 단말로부터 발생되고 있는 트래픽이 이상 트래픽의 범주에 속하는지를 판단하는 주체일 수 있다. 본 발명의 일 실시예에 따르면, 송수신 패킷 패턴과 정상 패턴 간의 일치율이 정상 수준에 미달하는 경우 정상 패턴으로부터 중대하게 벗어난 이상 트래픽으로 판단할 수 있다. 상기 정상 수준 일치율은 본 발명의 일 실시예에서는 35%로 설정되나, 반드시 해당 값으로 정의될 필요는 없으며, 네트워크 보안 관리 장치(140)를 조작하는 관리자가 현장의 환경에 맞추어 수정할 수 있다. 상기와 같이 제1 단말로부터 제1 패킷을 통하여 발생하는 이상 트래픽을 편의상 제1 이상 트래픽으로 칭한다.The network
네트워크 보안 관리 장치(140)는 상기의 절차에 의해 제1 이상 트래픽을 감지하는 경우 상기 제1 이상 트래픽을 차단하도록 네트워크 보안 모니터링 장치(130)에 지시(223)할 수 있다. 네트워크 보안 모니터링 장치는 상기 지시를 수신하는 즉시 네트워크 중계 장치(120)에 이를 전달하여 지시(212)할 수 있다. 네트워크 중계 장치(12)는 이에 따라 이상 트래픽을 발생시키는 제1 단말(110-1)이 발생시키는 트래픽이 네트워크로 전달되지 못하도록 그 전송을 차단하고, 상기 제1 단말(110-1)의 네트워크로의 접속 또한 차단하도록(213)하도록 구성될 수 있다.The network
네트워크 보안 관리 장치(140)는 또한, 본 발명의 일 실시예에 의하면, 상기 제1 이상 트래픽을 감지한 경우 그 사실을 네트워크 보안 관리 장치(140)를 사용하는 네트워크 보안 관리자에게 통지하도록 구성될 수 있다. 상기 통지의 수단은 통상의 기술자가 적용할 수 있는 어떠한 수단이라도 무방하며, 네트워크 보안 관리 장치(140)에 부속된 디스플레이 상에 표시, 네트워크 보안 관리 장치(140)가 소프트웨어적으로 실행되고 있는 범용 컴퓨팅 장치에서의 이벤트 발생, 네트워크 보안 관리 장치(140)와 네트워크를 통해 연결된 다른 장치로의 통신 메시지 송신이 그 방법에 포함될 수 있다. 상기 통신 메시지 송신 방법에는 SMS 문자 메시지 송신, 메신저 문자 메시지 송신, 또는 E-Mail 송신이 포함될 수 있다.The network
상기 도 2a를 참조하여 서술한 이상 트래픽 감지 방법은 제1 단말에 대하여 적용되는 것으로, 이를 제1 이상 트래픽 감지 방법으로 칭할 수 있으며, 이를 통하여 하기 서술할 제2 이상 트래픽 감지 방법과 구분된다.The abnormal traffic detection method described with reference to FIG. 2A is applied to the first terminal, and may be referred to as the first abnormal traffic detection method, and thus is distinguished from the second abnormal traffic detection method described below.
제2 단말에 대한 일반적 모니터링 절차General monitoring procedure for the second terminal
도 2b는 본 발명의 일 실시예에 의한 제2 단말의 보안 모니터링 방법을 설명하기 위한 통신 흐름도이다. 본 발명의 특징 중 하나는, 상술한 바와 같이 집중 감시가 필요한 제1 단말의 패킷 패턴에 대하여 일치율에 기반한 제1 이상 트래픽 감지 방법을 적용하는 한편으로, 집중 감시가 불필요한 제2 단말에 대하여서는 고도의 컴퓨팅 자원이 소요되는 집중 감시 대신 통상의 네트워크 모니터링 방법에 의한 제2 이상 트래픽 감지 방법을 병용함으로써 효율적인 네트워크 모니터링 및 이상 트래픽 감시를 구현하는 데 있다. 이하 도 2b를 참조하여, 제2 단말에 대해 통상적 이상 트래픽 감시를 실시하는 절차에 대하여 상세히 설명한다.2B is a communication flowchart illustrating a security monitoring method of a second terminal according to an embodiment of the present invention. As described above, one of the characteristics of the present invention is to apply the first abnormal traffic detection method based on the matching rate to the packet pattern of the first terminal requiring intensive monitoring, while the second terminal requiring intensive monitoring is highly sophisticated. It is to implement efficient network monitoring and abnormal traffic monitoring by using a second abnormal traffic detection method in combination with a conventional network monitoring method instead of centralized monitoring that requires computing resources. Referring to FIG. 2B, a procedure for monitoring normal abnormal traffic for the second terminal will be described in detail.
사용자 단말이 네트워크에 접속을 시도하는 경우, 제2 단말은 중계 시스템(160)을 통한 네트워크 접속을 위해 규정된 소정의 절차에 의하여 네트워크 접속 인증을 요청(201)할 수 있다. 상기 인증 요청은 IP 주소에 의한 인증, MAC 주소에 의한 인증, 사용자 ID를 이용한 인증, 사용자 비밀번호를 이용한 인증, 암호화 통신을 이용한 인증, 단말기에 설치된 인증 프로그램에 의한 인증 중 적어도 하나의 방법에 의해 이루어질 수 있다. 인증 요청이 정당한 것으로 판단되면 네트워크 중계 장치(120)는 해당 사용자 단말의 네트워크 접속을 허가하고, 해당 사용자 단말을 제2 단말(110-2)로 지정하고, 인증 승인 사실을 제2 단말(110-2)에 통지(202)할 수 있다.When the user terminal attempts to access the network, the second terminal may request network access authentication (201) according to a prescribed procedure for network access through the
본 발명의 바람직한 실시예에 따르면, 상기 인증 요청은 네트워크 접속 인증 프로그램을 실행하는 방식으로 동작하며, 상기 인증 프로그램을 상기 제2 단말에서 실행하고, 상기 제2 단말(110-2)의 사용자로부터 사용자 ID와 사용자 비밀번호를 입력받고, 상기 ID와 비밀번호를 상기 제2 단말(110-2)로부터 네트워크 중계 장치(120)로 전달하고, 상기 네트워크 중계 장치(120)가 상기 사용자 ID와 사용자 비밀번호를 검증하여, 정당한 조합인 경우 인증을 승인하는 방법으로 구현될 수 있다. 본 발명의 다른 실시예에 따르면, 상기에 서술한 인증 요청에서 네트워크 접속 인증 프로그램은 네트워크 중계 장치(120)에 내장된 가상 서버에 의해 공급되는 웹 페이지를 통해 웹 기반으로 실행될 수 있다. 이 경우 상기 제2 단말(110-2)은 웹 브라우저를 통해 인증을 위한 웹 페이지를 열람해 표시하고, 상기 웹 페이지를 통해 상기 제2 단말(110-2)의 사용자로부터 사용자로부터 사용자 ID와 사용자 비밀번호를 입력받도록 구성될 수 있다.According to a preferred embodiment of the present invention, the authentication request operates in a manner of executing a network access authentication program, the authentication program is executed in the second terminal, and the user of the second terminal 110-2 receives the user. Receives an ID and a user password, transmits the ID and password from the second terminal 110-2 to the
다시 도 3을 참조하면, 사용자 단말의 네트워크 접속 요청은 네트워크 중계 장치(120)에 의해 수신(S300)된다. 상술하였던 바와 같이 네트워크 중계 장치(120)는 화이트리스트 방식을 이용하여 예외 접속을 허용할 대상인지를 구별(S310)할 수 있다. 본 발명의 일 실시예에 따르면, 예외 접속 대상이 아닌 경우 네트워크 중계 장치(120)는 사용자 단말에 대하여 사용자 ID를 인증하도록 요구하는 응답을 송신(S330)할 수 있다. 해당 응답을 받은 사용자 단말로부터 ID 인증에 관련한 통신을 수신하여 해당 인증이 성공적인지를 판단하고(S340), 인증이 성공적인 경우 해당 사용자 단말을 제2 단말로 지정하며(S350) 접속을 수락(S370)하게 된다. 인증에 실패하는 경우 해당 사용자 단말의 접속을 거부(S360)하게 됨은 자명하다.Referring back to FIG. 3 , the network access request of the user terminal is received by the network relay device 120 (S300). As described above, the
다시 도 2b를 참조하면, 제2 단말(110-2)이 네트워크로 패킷을 송신(203)하면, 해당 패킷은 네트워크 중계 장치(120)에 의해 미러링되어 미러링 패킷이 생성된다. 미러링 패킷은 네트워크 보안 모니터링 장치(130)로 전달되어(204) 분석된다. 한편, 미러링되기 전의 원본 패킷은 정상적인 중계 경로에 따라 네트워크로 송신(205)된다. 네트워크로부터 제2 단말(110-2)을 수신자로 하는 패킷이 수신되는 경우(206)에도, 해당 패킷은 네트워크 중계 장치(120)에 의해 미러링되어 미러링 패킷이 생성되며, 해당 미러링 패킷은 네트워크 보안 모니터링 장치(130)로 전달되어(207) 분석된다. 현재 제2 단말(110-2)의 접속이 허용된 상태이므로, 미러링되기 전의 원본 패킷은 정상적인 중계 경로에 따라 제2 단말에 수신(208)된다. 이처럼 제2 단말(110-2)로부터 송수신되는 일체의 패킷을 편의상 제2 패킷으로 통칭한다.Referring back to FIG. 2B , when the second terminal 110 - 2 transmits a packet to the network (203 ), the corresponding packet is mirrored by the
네트워크 보안 모니터링 장치(130)는 미러링된 제2 패킷이 이상 트래픽에 속하는지 여부를 판단하기 위하여 상기 미러링된 제2 패킷의 통계적 특성을 분석할 수 있다. 본 발명의 일 실시예에 따르면, 네트워크 보안 모니터링 장치(130)는 상기 미러링된 제2 패킷을 분석하여 제2 패킷에 대한 각종 통계 수치를 도출할 수 있다.The network
예를 들어, 네트워크 보안 모니터링 장치(130)는 미러링된 제2 패킷의 헤더 분석을 통해 제2 패킷이 어떠한 프로토콜과 연관된 패킷인지, 구체적으로는, HTTP패킷인지, DB와 연관된 패킷인지, TCP와 연관된 패킷인지를 구분할 수 있다. 또한 이를 통해 한다. 이를 통해 "GET/웹 주소/HTTP/1.1"과 같은 요청 정보를 어떤 서버로 전송했는지 확인할 수 있다. 이러한 패킷 헤더 정보는 파싱하여 구문 해석될 수 있다.. "GET"은 요청 메시지가 되고, "웹 주소"는 요청과 연관된 웹 주소를 나타낸다. 그리고, "HTTP/1.1"은 HTTP 1.1 버전인 것을 의미하며, 이외에 패킷과 연관된 언어 정보(예컨대, ko-kr)도 확인하여 저장할 수 있다. 요청 매소드는 GET 외에도, POST, HEAD, PUT, DELETE 등이 상황에 따라 전송될 수 있고, 네트워크 보안 모니터링 장치(130)는 이러한 정보를 시간정보, 관련 IP와 함께 확보할 수 있다.For example, the network
네트워크 보안 모니터링 장치(130)는 또한 각각의 미러링된 제2 패킷에 인덱스를 부여하고, 부여된 인덱스를 기반으로, 어떤 패킷인지, 해당 패킷인 HTTP 기반의 요청 패킷인지, 그에 대한 응답 패킷인지를 확인한다. 이때, 과거 수신했던 패킷들로부터 획득한 정보와의 비교분석도 수행된다. 이를테면, 제2 단말(110-2)이 앞서 송신한 요청 패킷에 대하여 네트워크(150)로부터 수신된 응답 패킷이 존재할 수 있으며, 이처럼 시계열적으로 적어도 둘 이상의 패킷을 조합하여 세션 또는 트랜잭션 단위의 흐름을 확인할 수 있다.The network
네트워크 보안 모니터링 장치(130)는 또한 미러링된 제2 패킷의 분석을 통해 제2 단말(110-2)이 어떤 브라우저를 사용했는지, HOST와 연관된 정보, 이전 URL 주소 정보, 브라우저 지원 언어 정보를 확인할 수 있다. 이때, 헤더가 어떤 종류의 헤더(general header인인지, request header인지, entity header인지)인지를 분석할 수 있고, 헤더와 페이로드의 경계선을 나타내는 정보를 파싱할 수 있다. 또한 미러링된 제2 패킷의 URL(Uniform Resource Locator)(또는 URI(uniform resource identifier)), 소스 IP(Source_ip), 목적지 IP(Dest_ip) 및 시간정보를 분석할 수 있다. 여기서, URL 값을 확인해 보면, "https://www.google.co.kr/?gws_rd=ssl"와 같이, 어떤 주소로 리디렉트(redirect)시켜주는 패킷인지 확인할 수 있다. 또한, 소스 IP는 클라이언트 단말의 IP 주소를, 목적지 IP는 요청의 최종 목적지 사이트와 연관된 서버의 IP를 나타낼 수 있다. 응답 패킷의 경우 반대의 정보를 나타낼 수 있다. 시간정보는 타임스탬프 형식으로 제공될 수 있다. 이외에 전체 패킷의 길이 정보(length)도 확인할 수 있다.The network
네트워크 보안 모니터링 장치(130)는 미러링된 제2 패킷의 분석을 위하여 각각의 프로토콜, 예컨대, HTTP, IP, UDP, TCP, DNS 등 다양한 프로토콜에 대응한 패킷 분석 알고리즘을 포함하고 있고, 각 프로토콜에 맞게 적응적으로 패킷으로부터 URL, 소스 IP, 목적지 IP 및 시간정보를 추출하여 분석에 이용할 수 있다.The network
네트워크 보안 모니터링 장치(130)는 상술한 바와 같이 분석되어 도출된 미러링된 제2 패킷의 분석 자료를 시계열에 따라 누적 저장한 뒤, 이를 기반으로 통계를 도출할 수 있다. 상기 통계는 네트워크 보안 관리 장치(140)로 통지(210)되어, 네트워크 보안 관리 장치(140)에서 처리되거나 표시될 수 있다. 본 발명의 일 실시예에 따르면, 상기 통계는 미리 설정된 미리 설정된 다양한 형태의 시각화 툴을 이용하여 네트워크 보안 관리 장치(140)를 사용하는 보안 관리자가 직관적으로 현재 네트워크 상의 이상 트래픽 존재 여부를 파악할 수 있도록 시각화 처리될 수 있다. 즉, 특정 매개와 연관된 통계 지표를 취합하여 의미있는 형태의 그래프 또는 테이블을 생성할 수 있다. 예컨대, 특정 제2 단말(110-2)에 의해 특정 시간대에 생성된 세션들의 리스트를 생성한다거나, 그때 발생된 데이터베이스 쿼리에 대한 테이블을 생성하는 등의 작업을 수행한다. 즉, 네트워크 서비스와 연관된 상기 성능 관련 지표들은 해당 패킷의 시간 정보(타임스탬프 정보)와 함께 저장되므로, 특정 시간대의 패킷 흐름을 네트워크 관계 속에서 이해할 수 있도록 플로우 맵(flow map)을 생성할 수도 있다.The network
본 발명의 일 실시예에 의하면, 네트워크 보안 관리 장치(140)는 상기 통계 및/또는 상기 시각화된 통계를 네트워크 보안 관리 장치(140)를 사용하는 네트워크 보안 관리자에게 통지하도록 구성될 수 있다. 상기 통지의 수단은 통상의 기술자가 적용할 수 있는 어떠한 수단이라도 무방하며, 네트워크 보안 관리 장치(140)에 부속된 디스플레이 상에 표시, 네트워크 보안 관리 장치(140)가 소프트웨어적으로 실행되고 있는 범용 컴퓨팅 장치에서의 이벤트 발생, 네트워크 보안 관리 장치(140)와 네트워크를 통해 연결된 다른 장치로의 통신 메시지 송신이 그 방법에 포함될 수 있다. 상기 통신 메시지 송신 방법에는 SMS 문자 메시지 송신, 메신저 문자 메시지 송신, 또는 E-Mail 송신이 포함될 수 있다.According to an embodiment of the present invention, the network
또한 본 발명의 일 실시예에 의하면, 네트워크 보안 관리 장치(140)는 상기 통계 및/또는 상기 시각화된 통계에 기반하여 제2 단말로부터 발생하는 제2 이상 트래픽을 감지하는 기능을 수행할 수 있다. 상기 감지는 상기 통계 지표의 수치가 사전에 지정된 위험 수준에 도달하였을 경우 자동으로 실시되도록 구현될 수 있고, 상기 네트워크 보안 관리 장치(140)에 대한 네트워크 보안 관리자의 입력을 받는 수동 조작의 형태로 구현될 수도 있다. 상기와 같이 제2 단말로부터 제2 패킷을 통하여 발생하는 이상 트래픽을 편의상 제2 이상 트래픽으로 칭한다.In addition, according to an embodiment of the present invention, the network
네트워크 보안 관리 장치(140)는 상기의 절차에 의해 제2 이상 트래픽을 감지하는 경우 상기 제2 이상 트래픽을 차단하도록 네트워크 보안 모니터링 장치(130)에 지시(211)할 수 있다. 네트워크 보안 모니터링 장치는 상기 지시를 수신하는 즉시 네트워크 중계 장치(120)에 이를 전달하여 지시(212)할 수 있다. 네트워크 중계 장치(12)는 이에 따라 이상 트래픽을 발생시키는 제1 단말(110-1)이 발생시키는 트래픽이 네트워크로 전달되지 못하도록 그 전송을 차단하고, 상기 제1 단말(110-1)의 네트워크로의 접속 또한 차단하도록(213)하도록 구성될 수 있다.The network
상술하였듯, 상기 도 2b를 참조하여 서술한 이상 트래픽 감지 방법은 제2 단말에 대하여 적용되는 것으로, 이를 제2 이상 트래픽 감지 방법으로 칭할 수 있으며, 이는 상술하였던 제1 이상 트래픽 감지 방법과 구분되며, 동일한 네트워크 상에서 병용될 수 있다.As described above, the abnormal traffic detection method described with reference to FIG. 2B is applied to the second terminal, and may be referred to as the second abnormal traffic detection method, which is different from the first abnormal traffic detection method described above. , can be used concurrently on the same network.
네트워크 보안 모니터링 장치network security monitoring device
도 4는 본 발명의 일 실시예에 의한 네트워크 보안 모니터링 장치의 구조를 나타내는 블록도이다. 상술하였던 제1 이상 트래픽 감지 방법과 제2 이상 트래픽 감지 방법은 도 4에 나타난 바와 같은 네트워크 보안 모니터링 장치에 의하여 구현될 수 있다. 이하 도 4를 참조하여 본 발명의 일 실시예에 따른 네트워크 보안 모니터링 장치의 구성에 대하여 설명한다.4 is a block diagram showing the structure of a network security monitoring device according to an embodiment of the present invention. The above-described first method for detecting abnormal traffic and the method for detecting second abnormal traffic may be implemented by a network security monitoring device as shown in FIG. 4 . A configuration of a network security monitoring apparatus according to an embodiment of the present invention will be described with reference to FIG. 4 .
네트워크 보안 모니터링 장치(460)는 네트워크 중계 시스템(400)에 속한 장치이다. 네트워크 중계 시스템(400)은 외부 네트워크(미도시)와 사용자 단말(미도시) 간의 통신 일체를 중계하기 위해 설치된 시스템이다.The network
네트워크 보안 모니터링 장치(460)는 네트워크 중계 장치(440)및 네트워크 보안 관리 장치(450)와 서로 통신하도록 설정될 수 있다. 상기 통신은 동일한 소프트웨어 프로그램 내에서의 통신, 동일한 물리적 컴퓨팅 장치 내에서의 통신, 동시 또는 시차를 두고 실행되는 복수의 소프트웨어 프로그램 간 통신, 상호 이격된 물리적 컴퓨팅 장치 간의 네트워크 통신 등 통상의 기술자가 적용할 수 있는 여하의 통신 수단에 의해 구현되어도 무방하다.The network
네트워크 보안 모니터링 장치(460)는 네트워크 중계 장치(440)로부터 집중 감시의 대상인 제1 단말의 정보를 전달받도록 구성될 수 있다. 상기 정보는 제1 단말의 IP 주소 또는 MAC 주소 중 적어도 하나를 포함할 수 있다. 상기 정보는 감시 대상 관리부(410)로 공급되어 제1 단말에 관한 정보를 포함하는 집중 감시 리스트의 형태로 저장된다.The network
네트워크 보안 모니터링 장치(460)는 네트워크 중계 장치(440)로부터 미러링된 패킷을 받아 처리하도록 구성될 수 있다. 상기 미러링된 패킷은 미러링 패킷 수신부(420)로 공급되어, 패킷의 출처가 제1 단말인 경우 제1 이상 트래픽 감시부(430)로, 패킷의 출처가 제2 단말인 경우 제2 이상 트래픽 감시부(438)로 입력된다.The network
제1 이상 트래픽 감시부는 미러링된 제1 패킷을 시계열에 따라 수집하여 송수신 패킷 패턴을 생성하는 패턴 생성부(432), 상기 송수신 패킷 패턴과 상기 정상 패턴 간의 일치율을 계산하는 연산부(434), 및 상기 일치율이 위험 수준을 초과하는 경우 이상 트래픽으로 판단하는 이상 판단부(436)를 포함하도록 구성될 수 있다. 상기 각각의 부는 앞서 도 2a를 참조하여 설명하였던 제1 이상 트래픽 감지 방법을 구현하는 데 활용될 수 있다. 본 발명의 일 실시예에 따르면, 상기 패턴 생성부(432)는 송수신 패킷 패턴의 수집 및 정상 패턴의 생성을 위하여, 상기 연산부(434)는 송수신 패킷 패턴과 정상 패턴 간의 일치율을 연산하기 위하여 기계 학습 인공지능(미도시)와 연결되거나 또는 통신하면서 동작하도록 구현될 수 있다.The first abnormal traffic monitoring unit includes a
이상 판단부(436)는 일치율이 정상 수준에 미달하는 것으로 판단되어 제1 이상 트래픽이 감지되는 경우, 이상 트래픽의 발생 사실이 네트워크 보안 관리 장치(450)로 통지되도록 구성될 수 있으며, 네트워크 중계 장치(440)에 제1 이상 트래픽을 차단하는 지시를 보내도록 구성될 수 있다.The
제2 이상 트래픽 감시부(438)는 미러링된 제2 패킷을 분석하도록 구성되로, 앞서 도 2b를 참조하여 설명하였던 제2 이상 트래픽 감지 방법을 구현하도록 구현될 수 있다. 제2 이상 트래픽 감시부(438)는 패킷 통계를 네트워크 보안 관리 장치(450)에 통지하도록 구성될 수 있다.The second abnormal traffic monitoring unit 438 is configured to analyze the mirrored second packet, and may be implemented to implement the second abnormal traffic detection method described above with reference to FIG. 2B. The second abnormal traffic monitor 438 may be configured to notify the network security management device 450 of packet statistics.
본 발명의 일 실시예에 의하면, 네트워크 보안 모니터링 장치(460)는 네트워크 보안 관리 장치(450)로부터 전달된 특정 트래픽에 대한 차단 지시를, 바람직하게는, 제2 이상 트래픽에 대한 차단 지시를, 네트워크 중계 장치(440)로 전달하도록 구성될 수 있다.According to an embodiment of the present invention, the network
이상 도면 및 실시예를 참조하여 설명하였지만, 본 발명의 보호범위가 상기 도면 또는 실시예에 의해 한정되는 것을 의미하지는 않으며 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although it has been described with reference to the drawings and examples, it does not mean that the scope of protection of the present invention is limited by the drawings or examples, and those skilled in the art can understand the spirit of the present invention described in the following claims. And it will be understood that the present invention can be variously modified and changed without departing from the scope.
Claims (21)
네트워크에 연결된 단말들 중에서 집중 감시 대상으로 결정된 제1 단말에 관한 정보를 포함하는 집중 감시 리스트를 저장하는 단계;
상기 제1 단말이 상기 네트워크를 통해 송수신하는 제1 패킷을 미러링하는 단계;
집중 감시 대상으로 결정되지 않은 제2 단말이 상기 네트워크를 통해 송수신하는 제2 패킷을 미러링하는 단계; 및
상기 미러링된 제1 패킷 및 제2 패킷을 기반으로 상기 네트워크의 보안 모니터링을 수행하는 단계를 포함하는, 네트워크의 보안을 모니터링하는 방법.
A method for a network security monitoring device to monitor security of a network,
Storing a concentrated monitoring list including information about a first terminal determined to be an intensive monitoring target among terminals connected to the network;
mirroring a first packet transmitted and received by the first terminal through the network;
mirroring a second packet transmitted and received by a second terminal not determined as an intensive monitoring target through the network; and
and performing security monitoring of the network based on the mirrored first and second packets.
상기 제1 단말에 관한 정보는, IP(Internet Protocol) 주소 또는 MAC(Media Access Control) 주소를 포함하는, 네트워크의 보안을 모니터링하는 방법.
According to claim 1,
The information about the first terminal includes an Internet Protocol (IP) address or a Media Access Control (MAC) address.
상기 제1 단말은, 단말에서 사용자 인증이 가능한지의 여부에 기반하여 집중 감시 대상으로 결정되는, 네트워크의 보안을 모니터링하는 방법.
According to claim 1,
The method of monitoring network security, wherein the first terminal is determined as an intensive monitoring target based on whether user authentication is possible in the terminal.
상기 제1 단말은 네트워크 보안 관리 장치에 의해 집중 감시 대상으로 결정되는, 네트워크의 보안을 모니터링하는 방법.
According to claim 3,
The method of monitoring the security of the network, wherein the first terminal is determined as an intensive monitoring target by the network security management device.
상기 제1 단말을 집중 감시 대상으로 결정하는 방법은, 적어도 하나의 사용자 단말에 대하여, 상기 사용자 단말에서 사용자 인증이 가능한 경우 상기 사용자 단말을 집중 감시 대상으로 결정하지 않고, 상기 사용자 단말에서 사용자 인증이 불가능하거나 상기 사용자 단말이 사용자 인증의 예외를 요청하는 경우 상기 사용자 단말을 집중 감시 대상으로 결정하는 것인, 네트워크의 보안을 모니터링하는 방법.
According to claim 3,
The method for determining the first terminal as the subject of centralized monitoring may include, for at least one user terminal, if user authentication is possible in the user terminal, the user terminal is not determined as the subject of centralized monitoring, and user authentication is performed in the user terminal. If it is impossible or the user terminal requests an exception for user authentication, determining the user terminal as an intensive monitoring target.
상기 사용자 인증은, IP 주소에 의한 인증, MAC 주소에 의한 인증, 사용자 ID를 이용한 인증, 사용자 비밀번호를 이용한 인증, 암호화 통신을 이용한 인증, 단말기에 설치된 인증 프로그램에 의한 인증 중 적어도 하나의 방법에 의해 이루어지는 것인, 네트워크의 보안을 모니터링하는 방법.
According to claim 5,
The user authentication is performed by at least one of IP address authentication, MAC address authentication, user ID authentication, user password authentication, encryption communication authentication, and authentication by an authentication program installed in the terminal. A method of monitoring the security of a network, which is accomplished.
상기 보안 모니터링은, 상기 제1 단말에 대한 제1 이상 트래픽을 감지하는 단계; 및 상기 제2 단말에 대한 제2 이상 트래픽을 감지하는 단계를 포함하고,
상기 제1 이상 트래픽 감지와 제2 이상 트래픽 감지는 서로 다른 방식인, 네트워크의 보안을 모니터링하는 방법.
According to claim 1,
The security monitoring may include detecting a first abnormal traffic for the first terminal; and detecting second abnormal traffic for the second terminal,
The method of monitoring the security of the network, wherein the first abnormal traffic detection and the second abnormal traffic detection are different from each other.
상기 제1 이상 트래픽을 감지하는 단계는,
상기 미러링된 제1 패킷을 시계열에 따라 수집하여 송수신 패킷 패턴을 생성하는 단계;
상기 송수신 패킷 패턴과 정상 패턴 간의 일치율을 계산하는 단계; 및
상기 일치율이 정상 수준에 미달하는 경우 이상 트래픽으로 판단하는 단계를 포함하는, 네트워크의 보안을 모니터링하는 방법.
According to claim 7,
The step of detecting the first abnormal traffic,
generating a transmission/reception packet pattern by collecting the mirrored first packets according to time series;
calculating a matching rate between the transmitted/received packet pattern and the normal pattern; and
A method for monitoring security of a network comprising determining that traffic is abnormal when the matching rate is less than a normal level.
상기 정상 패턴은, 상기 제1 단말과 동일한 유형의 단말이 정상 상태에서 송수신하는 적어도 하나의 정상 상태 패킷에 기반하는, 네트워크의 보안을 모니터링하는 방법.
According to claim 8,
The normal pattern is based on at least one normal state packet transmitted and received by a terminal of the same type as the first terminal in a normal state.
상기 정상 패턴은, 상기 네트워크 보안 모니터링 장치가 이상을 감지하지 않은 상태에서 상기 제1 단말이 송수신하는 적어도 하나의 정상 상태 패킷에 기반하는, 네트워크의 보안을 모니터링하는 방법.
According to claim 8,
The normal pattern is based on at least one normal state packet transmitted and received by the first terminal in a state in which the network security monitoring device does not detect an abnormality.
상기 정상 패턴은, 적어도 하나의 정상 상태 패킷을 기계 학습 인공지능에 학습시킴으로써 획득되는, 네트워크의 보안을 모니터링하는 방법.
According to claim 8,
The method of claim 1 , wherein the normal pattern is obtained by learning at least one steady state packet with machine learning artificial intelligence.
상기 일치율을 계산하는 단계는, 상기 기계 학습 인공지능에 의해 시계열에 따른 예상 패킷 패턴을 생성하고, 상기 송수신 패킷 패턴과 상기 예상 패킷 패턴을 비교하고, 패킷 패턴을 구성하는 개별 패킷의 일치 여부를 비교하는 단계를 포함하는, 네트워크의 보안을 모니터링하는 방법.
According to claim 11,
The step of calculating the matching rate may include generating an expected packet pattern according to time series by the machine learning artificial intelligence, comparing the transmitted/received packet pattern with the expected packet pattern, and comparing whether individual packets constituting the packet pattern match each other. A method for monitoring the security of a network, comprising the steps of:
상기 일치율을 계산하는 단계는,
상기 송수신 패킷 패턴과 상기 예상 패킷 패턴에 포함된 개별 패킷의 수 중 큰 수를 분모로 하고, 상기 송수신 패킷 패턴과 상기 예상 패킷 패턴 간 일치하는 것으로 판단된 패킷의 수를 분자로 하여 계산되는, 네트워크의 보안을 모니터링하는 방법.
According to claim 12,
The step of calculating the coincidence rate is,
The larger number of the transmitted/received packet pattern and the number of individual packets included in the expected packet pattern is used as the denominator, and the number of packets determined to match between the transmitted/received packet pattern and the expected packet pattern is calculated as the numerator. How to monitor your security.
상기 네트워크 보안에 이상이 감지된 경우, 상기 제1 단말의 네트워크 접속을 차단하는 단계를 더 포함하는, 네트워크의 보안을 모니터링하는 방법
According to claim 1,
A method for monitoring network security, further comprising blocking the network access of the first terminal when an abnormality is detected in the network security.
상기 네트워크 보안에 이상이 감지된 경우, 상기 제1 단말에 이상 트래픽이 발생하였다는 메시지를 네트워크 보안 관리 장치에 통지하는 단계를 더 포함하는, 네트워크의 보안을 모니터링하는 방법
According to claim 1,
When an abnormality in the network security is detected, a method for monitoring network security further comprising notifying a network security management device of a message indicating that abnormal traffic has occurred in the first terminal.
네트워크에 연결된 단말들 중에서 집중 감시 대상으로 결정된 제1 단말에 관한 정보를 포함하는 집중 감시 리스트를 저장하는 감시 대상 관리부;
상기 제1 단말이 상기 네트워크를 통해 송수신하는 제1 패킷을 미러링하여 수신하고, 집중 감시 대상으로 결정되지 않은 제2 단말이 상기 네트워크를 통해 송수신하는 제2 패킷을 미러링하여 수신하도록 구성되는 미러링 패킷 수신부; 및
상기 미러링된 제1 패킷 및 제2 패킷을 기반으로 상기 네트워크의 보안 모니터링을 수행하는 트래픽 감시부를 포함하는, 네트워크 보안 모니터링 장치.
In the network security monitoring device,
a monitoring target management unit that stores a centralized monitoring list including information about a first terminal determined to be a centralized monitoring target among terminals connected to the network;
A mirroring packet receiving unit configured to mirror and receive a first packet transmitted and received by the first terminal through the network and to mirror and receive a second packet transmitted and received by a second terminal not determined as an intensive monitoring target through the network ; and
Network security monitoring apparatus comprising a traffic monitoring unit for performing security monitoring of the network based on the mirrored first packet and second packet.
상기 제1 단말은, 단말에서 사용자 인증이 가능한지의 여부에 기반하여 결정되는, 네트워크 보안 모니터링 장치.
17. The method of claim 16,
The first terminal is determined based on whether user authentication is possible in the terminal, network security monitoring device.
상기 트래픽 감시부는,
상기 미러링된 제1 패킷을 시계열에 따라 수집하여 송수신 패킷 패턴을 생성하는 패턴 생성부;
상기 송수신 패킷 패턴과 상기 정상 패턴 간의 일치율을 계산하는 연산부; 및
상기 일치율이 정상 수준에 미달하는 경우 이상 트래픽으로 판단하는 이상 판단부를 포함하도록 구성되는, 네트워크 보안 모니터링 장치.
17. The method of claim 16,
The traffic monitoring unit,
a pattern generation unit generating a transmission/reception packet pattern by collecting the mirrored first packets according to time series;
a calculation unit calculating a coincidence rate between the transmitted/received packet pattern and the normal pattern; and
Network security monitoring device configured to include an anomaly determination unit that determines that the traffic is abnormal when the matching rate is less than a normal level.
상기 정상 패턴은, 적어도 하나의 정상 상태 패킷을 기계 학습 인공지능에 학습시킴으로써 획득되는, 네트워크 보안 모니터링 장치.
According to claim 18,
The network security monitoring device, wherein the normal pattern is obtained by learning at least one normal state packet with machine learning artificial intelligence.
상기 트래픽 감시 판단부는, 이상 트래픽이 감지된 경우, 상기 집중 감시 대상 단말의 네트워크 접속을 차단하도록 구성되는, 네트워크 보안 모니터링 장치.
17. The method of claim 16,
The network security monitoring apparatus of claim 1 , wherein the traffic monitoring determination unit is configured to block network access of the terminal to be monitored intensively when abnormal traffic is detected.
상기 제2 단말에 대한 인증을 수행하며;
상기 제1 단말에 관한 정보를 포함하는 집중 감시 리스트를 생성하여 네트워크 보안 모니터링 장치에 전송하고; 그리고
트래픽 차단 지시에 기반하여 제1 단말 또는 제2 단말의 트래픽을 차단하도록 구성되는, 네트워크 중계 장치.
determining a first terminal subject to centralized monitoring and a second terminal not subject to centralized monitoring based on whether user authentication is possible among terminals connected to the network;
perform authentication for the second terminal;
generating a centralized monitoring list including information about the first terminal and transmitting the centralized monitoring list to a network security monitoring device; and
A network relay device configured to block traffic of a first terminal or a second terminal based on a traffic blocking instruction.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210157503A KR102599524B1 (en) | 2021-11-16 | 2021-11-16 | An apparatus for network monitoring and method thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210157503A KR102599524B1 (en) | 2021-11-16 | 2021-11-16 | An apparatus for network monitoring and method thereof |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20230071376A true KR20230071376A (en) | 2023-05-23 |
KR102599524B1 KR102599524B1 (en) | 2023-11-08 |
Family
ID=86544699
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020210157503A KR102599524B1 (en) | 2021-11-16 | 2021-11-16 | An apparatus for network monitoring and method thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102599524B1 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20130047257A (en) * | 2011-10-31 | 2013-05-08 | 자바정보기술 주식회사 | System and method for user authentication |
KR101538709B1 (en) * | 2014-06-25 | 2015-07-29 | 아주대학교산학협력단 | Anomaly detection system and method for industrial control network |
KR20200033090A (en) * | 2018-09-19 | 2020-03-27 | 주식회사맥데이타 | An apparatus for network monitoring and method thereof, and system |
-
2021
- 2021-11-16 KR KR1020210157503A patent/KR102599524B1/en active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20130047257A (en) * | 2011-10-31 | 2013-05-08 | 자바정보기술 주식회사 | System and method for user authentication |
KR101538709B1 (en) * | 2014-06-25 | 2015-07-29 | 아주대학교산학협력단 | Anomaly detection system and method for industrial control network |
KR20200033090A (en) * | 2018-09-19 | 2020-03-27 | 주식회사맥데이타 | An apparatus for network monitoring and method thereof, and system |
Also Published As
Publication number | Publication date |
---|---|
KR102599524B1 (en) | 2023-11-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11924170B2 (en) | Methods and systems for API deception environment and API traffic control and security | |
US7373524B2 (en) | Methods, systems and computer program products for monitoring user behavior for a server application | |
US7823204B2 (en) | Method and apparatus for detecting intrusions on a computer system | |
EP1806888B1 (en) | Denial-of-service attack detecting system, and denial-of-service attack detecting method | |
US7539857B2 (en) | Cooperative processing and escalation in a multi-node application-layer security system and method | |
US20050188080A1 (en) | Methods, systems and computer program products for monitoring user access for a server application | |
US20050188221A1 (en) | Methods, systems and computer program products for monitoring a server application | |
US20050188079A1 (en) | Methods, systems and computer program products for monitoring usage of a server application | |
US20050188222A1 (en) | Methods, systems and computer program products for monitoring user login activity for a server application | |
US20050187934A1 (en) | Methods, systems and computer program products for geography and time monitoring of a server application user | |
US20050198099A1 (en) | Methods, systems and computer program products for monitoring protocol responses for a server application | |
US8347383B2 (en) | Network monitoring apparatus, network monitoring method, and network monitoring program | |
US20150089566A1 (en) | Escalation security method for use in software defined networks | |
GB2563497A (en) | Data filtering | |
Wang et al. | Software defined network security framework for IoT based smart home and city applications | |
Cherian et al. | Mitigation of DDOS and MiTM Attacks using Belief Based Secure Correlation Approach in SDN-Based IoT Networks. | |
KR102599524B1 (en) | An apparatus for network monitoring and method thereof | |
CN116319028A (en) | Rebound shell attack interception method and device | |
CN113411296B (en) | Situation awareness virtual link defense method, device and system | |
Huang et al. | Detecting Malicious Users Behind Circuit-Based Anonymity Networks | |
Cherukuri et al. | Integrity of IoT network flow records in encrypted traffic analytics | |
Holik | Protecting IoT Devices with Software-Defined Networks | |
KR102491738B1 (en) | Mitigating method for DoS Attacks employing data distribution in SDN | |
KR101045332B1 (en) | System for sharing information and method of irc and http botnet | |
Mahapatra et al. | Real Time Intelligent Intrusion Identification in Wireless Adhoc Networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right |