[go: up one dir, main page]

KR20030056652A - 정책기반 네트워크 보안제어시스템에서의 블랙리스트관리장치 및 관리방법 - Google Patents

정책기반 네트워크 보안제어시스템에서의 블랙리스트관리장치 및 관리방법 Download PDF

Info

Publication number
KR20030056652A
KR20030056652A KR1020010086926A KR20010086926A KR20030056652A KR 20030056652 A KR20030056652 A KR 20030056652A KR 1020010086926 A KR1020010086926 A KR 1020010086926A KR 20010086926 A KR20010086926 A KR 20010086926A KR 20030056652 A KR20030056652 A KR 20030056652A
Authority
KR
South Korea
Prior art keywords
blacklist
security
policy
address
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
KR1020010086926A
Other languages
English (en)
Inventor
방효찬
김명은
김기영
김진오
장종수
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020010086926A priority Critical patent/KR20030056652A/ko
Publication of KR20030056652A publication Critical patent/KR20030056652A/ko
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치 및 관리방법을 개시한다.
본 발명은 침입탐지 에이전트(보안게이트웨이)로부터 송신되는 네트워크침입 경보에 의거하여 네트워크 침입 근원지 주소 및 목적지 주소, 보안등급, 해킹유형 정보를 실시간으로 수집 및 분석하여 사전에 설정한 기준치를 초과하는 사용자 주소 및 호스트 주소에 대한 실시간 통보 및 관리자의 선택에 의해 해당 IP 주소에의 네트워크 패킷 차단 대응정책을 자동으로 생성시켜 관리 영역내의 보안장비에 적용시키는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치 및 관리방법에 관한 것이다.
이를 위하여 본 발명은, 광역 망의 접속 점에 위치하는 다수의 보안게이트웨이 장치에서 침입탐지 기능을 수행한 후 송신하는 네트워크침입탐지 경보 데이터를 실시간으로 수집하는 침입탐지경보 수집 수단; 수집된 경보데이터로부터 네트워크 침입 근원지 IP 주소와 목적지 IP 주소, 보안등급, 해킹유형 정보를 추출하여 잠재적 블랙리스트(potential blacklist)에 기록하는 불량 IP 주소 생성 수단; 추출된 침입 근원지 IP 주소 및 목적지 IP 주소로부터 네트워크 침입 행위가 사전에 정의된 임계 수치(threshold)를 초과하는 가를 비교 분석하는 블랙리스트 분석 수단; 블랙리스트 분석수단을 통해 임계 수치가 초과했음을 인지한 경우 이벤트를 생성시켜 요주의 블랙리스트(dangerous blacklist)에 이벤트로그를 기록하는 이벤트 생성수단; 발생한 이벤트를 네트워크를 통해 원격에 연결되어 있는 보안관리자에게 통보하는 블랙리스트 이벤트 통지 수단; 통보된 불량 IP 주소에 대한 네트워크 패킷 유입을 차단하도록 자동으로 차단대응정책을 생성하여 보안정책 DB에 저장한 후 보안게이트웨이로 차단대응정책을 송신하는 블랙리스트 대응정책 관리 수단을 포함한다.
따라서, 본 발명은, 대규모 네트워크에서 사이버 테러가 발생하였을 때, 불특정 다수의 공격자 및 피 공격자를 구조적으로 관리함으로써 네트워크 보안 침해 상황을 IP 주소 단위까지 구체적으로 파악하고 감시할 수 있으며, 각 네트워크의 보안환경에 적합한 블랙리스트 보안침해 임계수치(threshold)를 네트워크 보안위반 등급별로 세부적으로 운용함으로써 위험수위를 넘는 특정 IP 주소의 보안현황을 자동으로 분석하고 탐지할 수 있는 효과가 있다. 또한, 본 발명은 임계수치를 초과하는 불량 IP 주소를 자동 감지하여 원격의 보안관리자에게 실시간 통보하고, 관리자의 의사결정에 따라 차단대응정책을 자동으로 생성하여 광역 네트워크에 적용함으로써 이후의 해당 불량 IP 주소에 대한 유해 패킷을 차단시키는 네트워크침입 대응의 효과가 있다.

Description

정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치 및 관리방법{BLACKLIST MANAGEMENT APPARATUS IN A POLICY-BASED NETWORK SECURITY MANAGEMENT SYSTEM AND ITS PROCEEDING METHOD}
본 발명은 인터넷과 같은 정보통신망에서의 보안제어 기술에 관한 것으로, 특히, 다양한 네트워크 정보들을 실시간 수집 및 분석하여 기준치를 초과하는 사용자 주소 및 호스트 주소에 대한 실시간 통보 및 해당 IP 주소의 네트워크 패킷 차단 대응정책 생성을 구현하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치 및 관리방법에 관한 것이다.
네트워크 관련 기술의 발달과 함께, 그에 따른 보안제어 기술이 다방면에서 연구 개발되고 있는데, 특히, 해킹과 같은 네트워크 침해사고로부터 시스템을 보호하기 위하여 침입차단 시스템(Firewall), 침입탐지 시스템(IDS : Intrusion Detection System)과 같은 보안제어 기술이 널리 이용되고 있다.
여기서, 침입차단 시스템(Firewall)은 패킷 필터링(Packet Filtering)을 통해 IP(Internet Protocol) 주소 또는 특정 세션(session)을 기반으로 외부 네트워크로부터의 패킷 유입 및 접속을 차단하는 시스템을 의미하며, 침입탐지 시스템은 침입 패턴 DB와 침입판단 분석 엔진을 이용하여 네트워크의 사용 상황을 실시간으로 모니터링하고 유해한 패킷을 검출하는 기능을 수행하는 시스템을 일컫는다.
블랙리스트 관리 방안은 이러한 보안 장비에서 해킹 근원지 주소를 기준으로 DB에 로그를 남겨, 사후 해당 IP 주소로부터의 접속시도 및 패킷에 대해 사전에 지정된 조치를 취하기 위한 방안으로 제안되어 왔다.
그러나, 이들 보안 장비들은 제조 회사별로 보안기능 및 인터페이스가 서로 상이하기 때문에 주로 단일 장비 레벨의 단순한 불량 IP 주소 관리 정도의 역할만을 수행할 뿐, 광역 네트워크 차원에서의 보안기능 통합 및 운용관리의 일원화를 구현하기에는 여러 가지 제약이 따를 수밖에 없는 실정이다.
또한, 종래의 단일 장비 위주의 블랙리스트 관리로는 대규모 네트워크에서 사이버 테러가 발생하였을 때, 불특정 다수의 공격자 및 피 공격자를 구조적으로 관리할 수 없으며, 전체 네트워크 보안 침해 상황을 IP 주소 단위까지 구체적으로 파악하고 감시할 수 없다는 문제가 있다.
또한, 보안 장비별로 사전에 정의된 탐지 방법에 따라 운용되기 때문에 보안관리자가 원하는 각 네트워크의 보안환경에 적합한 유동적인 블랙리스트(blacklist) 운용관리가 불가능하다는 문제가 제기되었다.
본 발명은 상술한 문제를 해결하기 위해 안출한 것으로, 침입탐지 에이전트(보안게이트웨이)로부터 송신되는 네트워크 침입 경보로부터 네트워크 침입 근원지 주소 및 목적지 주소, 보안등급, 해킹유형 정보 등을 실시간으로 수집 및 분석하여 사전에 설정한 기준치를 초과하는 사용자 주소 및 호스트 주소 정보를 운용자에게 실시간 통보하도록 하고, 운용자의 선택에 의해 해당 IP 주소의 네트워크 패킷 차단 대응정책을 자동으로 생성시켜 관리 영역내의 보안장비에 적용하도록 한 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치 및 관리방법을 제공하는데 그 목적이 있다.
이러한 목적을 달성하기 위한 본 발명의 일 실시예에 따르면, 기간 망 내로 유입되는 네트워크 패킷 정보를 분석하여 네트워크 침입 여부를 판단하고 침입 행위에 대한 패킷 정보를 기반으로 네트워크 침입경보 데이터를 생성 및 송신하는 보안게이트웨이와 연동되며, 보안게이트웨이로부터 수신되는 네트워크 침입경보 데이터를 기반으로 불량 사용자 및 불량 호스트 정보를 추출하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치에 있어서, 보안게이트웨이로부터의 네트워크 침입경보 데이터를 실시간 수집하는 침입탐지 경보 수신 수단과; 수집되는 네트워크 침입경보 데이터로부터 블랙리스트 관련 정보를 추출하여 제 1 블랙리스트 DB에 기록하는 불량 IP 주소 생성 수단과; 추출되는 블랙리스트 관련 정보로부터 네트워크 침입 행위가 기설정된 임계수치(threshold)를 초과하는지를 비교 분석하는 블랙리스트 분석 수단과; 블랙리스트 분석 수단을 통해 임계수치가 초과된 것으로 판단되면, 이벤트 정보를 생성하여 제 2 블랙리스트 DB에 이벤트 로그를 기록하는 이벤트 생성 수단과; 이벤트 생성 수단에 의해 발생되는 이벤트 정보를 네트워크를 통해 연결된 원격 보안관리자에게 통보하는 블랙리스트 이벤트 감시 수단과; 이벤트 정보와 상기 이벤트 로그를 통해 특정 IP 주소에 대한 패킷유입 차단대응정책 데이터를 생성 및 송신하는 블랙리스트 차단대응정책 관리 수단을 포함하는 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치를 제공한다.
본 발명의 목적을 달성하기 위한 다른 실시예에 따르면, 다수의 보안게이트웨이로부터의 네트워크 침입경보 데이터를 실시간 수집하는 침입탐지경보 수신 수단을 구비하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법에 있어서, 침입탐지경보 수신 수단에 의해 수집되는 네트워크 침입경보 데이터를 경보 DB 스키마(schema) 데이터로 변형하는 제 1 단계와; 기설정된 저장 주기(Scheduled cycle time)가 도래되었는지를 판단하는 제 2 단계와; 제 2 단계의 판단 결과, 기설정된 저장 주기가 아니라고 판단되면 변형 경보데이터를 저장 매체에 저장하는 제 3 단계와; 제 2 단계의 판단 결과, 기설정된 저장 주기가 도래되었으면, 저장 매체에 저장된 변형 경보데이터를 독출하여 원격의 경보 DB에 송신함으로써, 변형 경보데이터를 저장토록 하는 제 4 단계를 포함하는 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법을 제공한다.
본 발명의 목적을 달성하기 위한 또 다른 실시예에 따르면, 불량 IP 주소 생성 수단, 블랙리스트 분석 수단, 블랙리스트 이벤트 생성 수단, 블랙리스트 이벤트 감시 수단을 각각 구비하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법에 있어서, 불량 IP 주소 생성 수단에서 임의의 저장매체에 저장되어 있는경보데이터를 검색하고, 검색 결과에 따른 블랙리스트 관련 정보를 추출하는 제 1 단계와; 불량 IP 주소 생성 수단에서 제 1 블랙리스트 DB 내에 해당 IP 주소가 존재하는지를 판단하는 제 2 단계와; 제 2 단계의 판단 결과, 해당 IP 주소가 존재하지 않는 것으로 판단되면, 추출된 정보를 데이터 스키마 형태로 DB화하여 신규 등록하는 제 3 단계와; 제 2 단계의 판단 결과, 제 1 블랙리스트 DB 내에 해당 IP 주소가 존재하는 것으로 판단되면, 해당 IP 주소의 각 필드 값을 증가시키고 제 1 블랙리스트 DB 내의 블랙리스트 정보를 현재의 정보로 수정하는 제 4 단계와; 블랙리스트 분석 수단에서 해당 IP 주소가 근원지 주소인지 목적지 주소인지를 판단하는 제 5 단계와; 제 5 단계의 판단 결과, 해당 IP 주소가 근원지 주소인 경우에는, 제 1 블랙리스트 DB 내의 불량 사용자 IP 주소의 전체 보안위반 횟수와 보안등급별 보안위반 횟수가 불량 사용자 보안위반 임계수치를 초과하는지를 판단하는 제 6 단계와; 제 5 단계의 판단 결과, 해당 IP 주소가 목적지 주소인 경우에는, 제 1 블랙리스트 DB 내의 불량 사용자 IP 주소의 전체 보안위반 횟수와 보안등급별 보안위반 횟수가 불량 사용자 보안위반 임계수치를 초과하는지를 각각 판단하는 제 7 단계와; 제 6 단계 및 제 7 단계의 판단 결과, 제 1 블랙리스트 DB 내의 불량 사용자 IP 주소의 전체 보안위반 횟수와 보안등급별 보안위반 횟수가 불량 사용자 보안위반 임계수치를 초과한 것으로 판단되면, 블랙리스트 이벤트 생성 수단에서 이벤트 정보를 생성한 후, 이벤트 정보를 제 2 블랙리스트 DB 내에 저장하는 제 8 단계와; 블랙리스트 이벤트 감시 수단을 통해 이벤트 정보를 보안관리자에게 통보하는 제 9 단계를 포함하는 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법을 제공한다.
본 발명의 목적을 달성하기 위한 또 다른 실시예에 따르면, 보안정책 전달 수단과 연동되며, 블랙리스트 차단대응정책 관리 수단을 구비하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법에 있어서, 보안관리자에 의해 불량 IP 주소가 선택되면, 블랙리스트 차단대응정책 관리 수단에서 해당 불량 IP 주소에 대한 차단대응정책이 기적용 중인지를 판단하는 제 1 단계와; 제 1 단계의 판단 결과, 해당 불량 IP 주소에 대한 차단대응정책이 기적용 중인 것으로 판단되면, 블랙리스트 차단대응정책 관리 수단에서 현재의 보안정책적용 현황을 보안관리자에게 통보하는 제 2 단계와; 제 1 단계의 판단 결과, 해당 불량 IP 주소에 대한 차단대응정책이 현재 적용되지 않는 것으로 판단되면, 블랙리스트 차단대응정책 관리 수단에서 새로운 차단대응정책을 생성하는 제 3 단계와; 새로운 차단대응정책이 생성되면 해당 불량 IP 주소에 적용되고 있는 타 보안정책의 정책충돌 유무를 판단하는 제 4 단계와; 제 4 단계의 판단 결과, 해당 불량 IP 주소에 적용되고 있는 타 보안정책의 정책충돌이 발생한 것으로 판단되면, 현재의 모든 보안정책적용 현황을 보안관리자에게 통보하는 제 5 단계와; 제 4 단계의 판단 결과, 해당 불량 IP 주소에 적용되고 있는 타 보안정책의 정책충돌이 발생하지 않은 것으로 판단되면, 생성된 차단대응정책을 보안정책 전달 수단으로 전달하는 제 6 단계와; 보안정책 전달 수단으로부터 정책적용 성공 메시지가 수신되면, 해당 차단대응정책을 DB화한 후, 제 1 블랙리스트 DB 및 제 2 블랙리스트 DB 내의 해당 불량 IP 주소의 정책적용 상태를 트루(true)로 변경하는 제 7 단계와; 보안정책 전달 수단으로부터 정책적용 실패 메시지가 수신되면, 차단대응정책 적용 실패 현황을 보안관리자에게 통보하는 제 8 단계를 포함하는 것을 특징으로 하는 네트워크 보안제어시스템에서의 블랙리스트 관리방법을 제공한다.
도 1은 본 발명에 따른 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치와 전체 보안 망과의 연동을 도시한 망 구성도,
도 2는 본 발명에 따른 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치와 보안게이트웨이와의 연동을 도시한 블록 구성도,
도 3은 본 발명에 따른 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치의 상세 블록 구성도,
도 4는 본 발명에 따른 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치내의 침입탐지경보 수신부의 동작 과정을 도시한 흐름도,
도 5는 본 발명에 따른 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치내의 불량 IP 주소 생성부, 블랙리스트 분석부, 블랙리스트 이벤트 생성부, 블랙리스트 이벤트 감시부의 동작 과정을 도시한 흐름도,
도 6은 본 발명에 따른 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치내의 블랙리스트 차단대응정책 관리부의 동작 과정을 도시한 흐름도,
도 7은 도 3의 블랙리스트 관리장치내에 DB화되는 경보데이터 테이블,
도 8은 도 3의 블랙리스트 관리장치내에 DB화되는 불량 사용자 및 불량 호스트 데이터 테이블,
도 9는 도 3의 블랙리스트 관리장치내에 DB화되는 불량 사용자 및 불량 호스트 보안 위반 임계수치 항목 테이블,
도 10은 도 3의 블랙리스트 관리장치내에 DB화되는 이벤트 로그 정보 테이블.
<도면의 주요부분에 대한 부호의 설명>
100 : 네트워크 보안제어시스템
102 : 기간 망
103 : 보안게이트웨이
104 : 망 접속 점
200 : 블랙리스트 관리장치
201 : 네트워크 침임 탐지부
202 : 네트워크 침입차단 대응부
301 : 침입탐지경보 수신부
302 : 불량 IP주소 생성부
303 : 블랙리스트 분석부
304 : 블랙리스트 이벤트 생성부
305 : 블랙리스트 이벤트 감시부
306 : 침입탐지경보 DB
307 : 잠재적 불량 사용자 및 불량 호스트 DB(potential blacklist DB)
308 : 블랙리스트 임계수치 DB
309 : 요주의 불량 사용자 및 불량 호스트 DB(dangerous blacklist DB)
310 : 블랙리스트 차단대응정책 관리부
311 : 보안정책 DB
312 : 블랙리스트 통계 및 검색부
313 : 보안정책 전달부
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 상세하게 설명한다.
도 1은 본 발명에 따른 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치와 전체 보안 망과의 연동을 도시한 망 구성도로서, 네트워크 보안제어시스템(100), 기간 망(102), 보안게이트웨이(103) 및 망 접속 점(104)을 포함한다.
도 1에 도시한 바와 같이, 망 접속 점(104)에 위치하는 보안게이트웨이(103)는 기간 망(102) 내로 유입되는 모든 네트워크 패킷 정보를 분석하여 네트워크 침입 여부를 판단하고 침입 행위에 대한 패킷 정보를 축약하는 기능을 수행한다.
이러한 침입 행위에 대한 패킷 정보를 기반으로 보안게이트웨이(103)는 도 7에 도시한 바와 같은 네트워크 침입경보 데이터를 생성한 후, 상위 관리 시스템인 네트워크 보안제어시스템(100)으로 침입경보 데이터를 송신한다.
도 2는 본 발명에 따른 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치(200)와 보안게이트웨이(103)와의 연동을 도시한 블록 구성도이다.
도 2에 도시한 바와 같이, 네트워크 보안제어시스템(100)내에 설치되는 본 발명에 따른 블랙리스트 관리장치(200)는 보안게이트웨이(103)로부터 수신되는 네트워크 침입경보 데이터(203)(도 7의 테이블)를 기반으로 불량 사용자 및 불량 호스트 정보를 추출하는 기능을 수행한다.
또한, 블랙리스트 관리장치(200)는 경보데이터 저장, 경보등급 및 해킹 유형 정보 추출, 임계수치(threshold) 비교 분석, 임계수치 초과 항목 통보 등의 일련의 과정을 통해 해당 불량 IP 주소로부터의 패킷 유입을 차단하기 위한 차단대응정책 데이터(204)를 생성하여 보안게이트웨이(103)로 전송하는 기능을 수행한다. 이러한 블랙리스트 관리장치(200)의 상세 구성 및 동작 과정은 하기의 도 3 내지 도 6의 도면을 참조하여 보다 상세히 기술하기로 한다.
한편, 차단대응정책 데이터(204)를 수신한 보안게이트웨이(103)내의 네트워크침입차단 대응부(202)는 불량 사용자 IP 주소(근원지 주소)로부터의 패킷 유입을 차단하거나, 불량 호스트 IP 주소(목적지 주소)로의 패킷 유출을 차단하는 기능을 수행한다.
도 3은 본 발명에 따른 정책기반 네트워크 보안제어시스템(100)에서의 블랙리스트 관리장치(200)의 상세 블록 구성도로서, 침입탐지경보 수신부(301), 불량 IP 주소 생성부(302), 블랙리스트 분석부(303), 블랙리스트 이벤트 생성부(304), 블랙리스트 이벤트 감시부(305), 침입탐지경보 DB(306), 잠재적 불량 사용자 및 불량 호스트 DB(potential blacklist DB)(307), 블랙리스트 임계수치 DB(308), 요주의 불량 사용자 및 불량 호스트 DB(dangerous blacklist DB)(309), 블랙리스트 차단대응정책 관리부(310), 보안정책 DB(311), 블랙리스트 통계 및 검색부(312) 및 보안정책 전달부(313)를 각각 포함하고 구성된다.
도 3에 도시한 바와 같이, 침입탐지경보 수신부(301)는 보안게이트웨이(103)로부터의 경보데이터를 실시간 수집하여 침입탐지경보 DB(306)에 저장하고, 불량 IP 주소 생성부(302)를 통해 수집된 경보 데이터로부터 근원지 IP 주소와 목적지 IP 주소, 보안 등급, 해킹 유형 정보를 추출하여 잠재적 불량 사용자 및 불량 호스트 DB(307)에 저장한다. 이때, 근원지 주소 관련정보는 잠재적 불량 사용자 및 불량 호스트 DB(307) 내의 불량 사용자 DB 영역에, 목적지 주소 관련정보는 불량 호스트 DB 영역에 각각 저장될 수 있으며, 정보 저장 시 이미 불량 IP 주소가 존재하는 경우에는 각 해당 필드의 카운트를 증가시키고 내용을 수정한다.
블랙리스트 분석부(303)는 잠재적 불량 사용자 및 불량 호스트 DB(307)에 기록된 불량 IP 주소에 대한 각 카운트 값이 블랙리스트 임계수치 DB(308)에 정의된 임계수치를 초과하는지를 주기적으로 비교 분석하는 기능을 수행한다. 만일, 해당 카운트 값이 임계수치를 초과하는 경우에는 블랙리스트 이벤트 생성부(304)를 통해 이벤트 데이터를 생성하여 블랙리스트 이벤트 감시부(305)에 실시간으로 통보하고, 요주의 불량 사용자 및 불량 호스트 DB(309)에 이벤트 로그를 기록한다.
블랙리스트 이벤트 감시부(305)는 네트워크 보안관리자로 하여금 블랙리스트 관리를 실시간 모니터링할 수 있도록 이벤트 데이터를 출력하는 기능을 수행한다.
블랙리스트 차단대응정책 관리부(310)는 이러한 이벤트 데이터와 요주의 불량 사용자 및 불량 호스트 DB(309)에 기록되는 이벤트 로그를 통해 특정 IP 주소에 대한 패킷유입 차단대응정책(204)을 자동 생성한다.
이러한 블랙리스트 차단대응정책 관리부(310)에 의해 생성되는 패킷유입 차단대응정책(204)은 보안정책 DB(311)에 기록되는 한편, 네트워크보안제어시스템(100)내의 보안정책 전달부(313)로 전달된다.
보안정책 전달부(313)는 이러한 패킷유입 차단대응정책(204)을 네트워크를 통해 보안게이트웨이(103)로 전송하는 기능을 수행한다.
이후, 보안게이트웨이(103)내의 네트워크 침입차단 대응부(202)는 전송된 패킷유입 차단대응정책(204)을 실시간으로 적용하여 후속되는 해당 IP 주소로부터의 모든 패킷 유입을 차단한다.
이하, 상술한 구성과 함께, 본 발명의 바람직한 실시예에 따른 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리 과정을 첨부한 도 4 내지 도 6의 흐름도를 참조하여 상세하게 설명한다.
먼저, 도 4는 본 발명의 일 실시예에 따른 블랙리스트 관리 방법으로서, 정책기반 네트워크 보안제어시스템(100)에서의 블랙리스트 관리장치(200)내의 침입탐지경보 수신부(301)의 동작 과정을 도시한 흐름도이다.
도 4에 도시한 바와 같이, 단계(S402)에서 네트워크 보안제어시스템(100)내의 침입탐지경보 수신부(301)는 다수의 보안게이트웨이(103)로부터 수신되는 경보데이터를 실시간으로 수집한다.
이때, 보안게이트웨이(103)로부터 송신되는 경보데이터는 일차적으로 네트워크 보안제어시스템(100) 내의 메시지 큐(도시 생략)에 순차적으로 쌓인다. 즉, 다수의 경보데이터를 매번 원격의 DB에 저장하는 방법은 비효율적이기 때문에 본 발명에 의한 침입탐지경보 수신부(301)에서는 메시지 큐로부터 지속적으로 경보데이터를 읽어들이는 것이다.
이후, 단계(S403)에서는 이러한 경보데이터를 도 7에 도시한 바와 같은 경보 DB 스키마(schema)로 데이터를 변형하고 단계(S404)로 진행한다.
단계(S404)에서는 기설정된 저장 주기(Scheduled cycle time)가 도래되었는지를 판단하고, 설정된 저장 주기가 아니라고 판단되면 침입탐지경보 수신부(301)는 단계(S406)로 진행하여 상술한 단계(S403)에서의 변형 경보데이터를 캐쉬 메모리(도시 생략)에 저장한다.
만일, 단계(S404)에서의 판단 결과, 기설정된 저장 주기가 도래되었으면, 침입탐지경보 수신부(301)는 단계(S405)로 진행하여 상술한 캐쉬 메모리에 저장된 변형 경보데이터를 독출하여 원격의 경보 DB에 송신함으로써, 이러한 경보데이터를 저장토록 한다.
도 5는 본 발명의 다른 실시예에 따른 블랙리스트 관리 방법으로서, 정책기반 네트워크 보안제어시스템(100)에서의 블랙리스트 관리장치(200)내의 불량 IP 주소 생성부(302), 블랙리스트 분석부(303), 블랙리스트 이벤트 생성부(304), 블랙리스트 이벤트 감시부(305)의 동작 과정을 도시한 흐름도이다.
도 5에 도시한 바와 같이, 단계(S500)(S501)에서 블랙리스트 관리장치(200)내의 불량 IP 주소 생성부(302)는 경보데이터 캐쉬 메모리내에 저장되어 있는 경보데이터를 검색하고, 검색 결과에 따른 근원지 주소, 목적지 주소, 경보의 보안등급, 해킹유형 정보 등을 추출한다.
이후, 단계(S502)에서 불량 IP 주소 생성부(302)는 잠재적 불량 사용자 및 불량 호스트 DB(307)내에 해당 IP 주소가 존재하는지를 판단한다.
단계(S502)에서의 판단 결과, 해당 IP 주소가 존재하지 않는 것으로 판단되면, 불량 IP 주소 생성부(302)는 단계(S503)로 진행하여 추출된 정보를 도 8에 도시한 바와 같은 불량 사용자 및 불량 호스트 데이터 스키마 형태로 DB화하여 신규 등록한다.
만일, 단계(S502)에서의 판단 결과, 잠재적 불량 사용자 및 불량 호스트 DB(307)내에 해당 IP 주소가 존재하는 것으로 판단되면, 불량 IP 주소 생성부(302)는 단계(S504)로 진행하여 해당 IP 주소의 각 필드 값을 증가시키고 '잠재적 블랙리스트(potential blacklist)' 정보를 현재의 정보로 수정하는 작업을 수행한다.
한편, 단계(S505)에서 블랙리스트 분석부(303)는 해당 IP 주소가 근원지 주소인지 목적지 주소인지를 판단한다.
단계(S505)에서의 판단 결과, 해당 IP 주소가 근원지 주소인 경우에는, 블랙리스트 분석부(303)는 단계(S506)로 진행하여 잠재적 불량 사용자 및 불량 호스트 DB(307)내의 불량 사용자 IP 주소의 전체 보안위반 횟수와 보안등급별 보안위반 횟수가 불량 사용자 보안위반 임계수치를 초과하는지를 판단하고, 단계(S507)에서의 판단 결과, 해당 IP 주소가 목적지 주소인 경우에는, 블랙리스트 분석부(303)는 단계(S508)로 진행하여 잠재적 불량 사용자 및 불량 호스트 DB(307)내의 불량 사용자 IP 주소의 전체 보안위반 횟수와 보안등급별 보안위반 횟수가 불량 사용자 보안위반 임계수치를 초과하는지를 각각 판단한다. 이러한 임계수치 데이터는 도 9에 도시한 '블랙리스트 임계수치 DB(blacklist threshold DB)'내에 테이블화되어 있다.
단계(S506)(S508)에서의 판단 결과, 잠재적 불량 사용자 및 불량 호스트DB(potential blacklist)(307)내의 불량 사용자 IP 주소의 전체 보안위반 횟수와 보안등급별 보안위반 횟수가 불량 사용자 보안위반 임계수치를 초과한 것으로 판단되면, 블랙리스트 이벤트 생성부(304)는 단계(S509)로 진행하여 도 10에 도시한 바와 같은 이벤트 정보를 생성한 후, 단계(S510)로 진행하여 요주의 불량 사용자 및 불량 호스트 DB(309)내에 이러한 이벤트 정보를 저장한다.
이후, 단계(S512)에서는 네트워크를 통해 원격으로 연결된 블랙리스트 이벤트 감시부(305)를 통해 이러한 이벤트 정보가 보안관리자에게 통보된다.
도 6은 본 발명의 또 다른 실시예에 따른 블랙리스트 관리 방법으로서, 정책기반 네트워크 보안제어시스템(100)에서의 블랙리스트 관리장치(200)내의 블랙리스트 차단대응정책 관리부(310)의 동작 과정을 도시한 흐름도이다.
도 6에 도시한 바와 같이 단계(S601)에서 블랙리스트 차단대응정책 관리부(310)는 상술한 블랙리스트 이벤트 감시부(305)를 통해 '요주의 블랙리스트(dangerous blacklist)' 이벤트 통지를 감시하는 보안관리자가 침입대응결정을 내린 불량 IP 주소를 화면상에서 선택하는지를 판단하고, 보안관리자에 의해 불량 IP 주소가 선택되면, 단계(S602)로 진행한다.
단계(S602)에서 블랙리스트 차단대응정책 관리부(310)는 해당 불량 IP 주소에 대한 차단대응정책이 이미 적용 중인지를 확인하는 판단 절차를 수행한다.
단계(S602)에서의 판단 결과, 이미 차단대응정책이 적용되고 있는 상태라면 블랙리스트 차단대응정책 관리부(310)는 단계(S609)로 진행하여 현재의 보안정책적용 현황을 보안관리자에게 통보하고, 단계(S602)의 판단 결과, 미 적용 상태라면블랙리스트 차단대응정책 관리부(310)는 단계(S603)로 진행하여 새로운 차단대응정책을 자동으로 생성한다.
단계(S603)에서와 같이 새로운 차단대응정책이 생성되면 블랙리스트 차단대응정책 관리부(310)는 단계(S604)로 진행하여 해당 불량 IP 주소에 적용되고 있는 타 보안정책의 정책충돌 유무를 판단한다.
단계(S604)에서의 판단 결과, 이상이 발견되는 경우에는 블랙리스트 차단대응정책 관리부(310)는 단계(S609)로 진행하여 현재의 모든 보안정책적용 현황을 보안관리자에게 통보하나, 이상이 발견되지 않는 경우에는 단계(S605)로 진행하여 생성된 차단대응정책을 네트워크 보안제어시스템(100)내의 보안정책 전달부(313)로 전달한다.
보안정책 전달부(313)로 전달된 차단대응정책은 네트워크를 통해 보안게이트웨이(103)내의 네트워크 침입차단 대응부(202)로 전달된다.
이후, 단계(S606)에서 블랙리스트 차단대응정책 관리부(310)는 상술한 보안정책 전달부(313)로부터 정책적용 성공 메시지가 수신되는지를 판단하고, 정책적용 성공 메시지가 수신되면 블랙리스트 차단대응정책 관리부(310)는 단계(S607) 및 단계(S608)로 진행하여 해당 차단대응정책을 보안정책 DB(311)에 저장한 후, 잠재적 블랙리스트 DB 및 요주의 블랙리스트 DB, 즉, 도 3의 도면부호 (307), (309) 내의 해당 불량 IP 주소의 정책적용 상태를 트루(true)로 변경한다.
단계(S606)에서의 판단 결과, 정책적용 실패 메시지가 수신된 경우에는 블랙리스트 차단대응정책 관리부(310)는 단계(S609)로 진행하여 차단대응정책 적용 실패 현황을 보안관리자에게 통보한다.
이상, 본 발명을 실시예에 근거하여 구체적으로 설명하였지만, 본 발명은 이러한 실시예에 한정되는 것이 아니라, 그 요지를 벗어나지 않는 범위내에서 여러 가지 변형, 예를 들어, PC(personal computer)를 통해 판독할 수 있는 형태로 프로그램화되어 기록매체(예컨대, 시디롬, 램, 롬, 하드디스크, 광자기디스크 등)에 저장되도록 구현 가능한 것은 물론이다.
이상 설명한 바와 같이 본 발명에 따르면, 대규모 네트워크에서 사이버 테러가 발생하였을 때, 불특정 다수의 공격자 및 피 공격자를 구조적으로 관리함으로써 네트워크 보안 침해 상황을 IP 주소 단위까지 구체적으로 파악하고 감시할 수 있으며, 각 네트워크의 보안환경에 적합한 블랙리스트 보안침해 임계수치(threshold)를 네트워크 보안위반 등급별로 세부적으로 운용함으로써 위험수위를 넘는 특정 IP 주소의 보안현황을 자동으로 분석하고 탐지할 수 있는 효과가 있다. 또한, 본 발명은 임계수치를 초과하는 불량 IP 주소를 자동 감지하여 원격의 보안관리자에게 실시간 통보하고, 관리자의 의사결정에 따라 차단대응정책을 자동으로 생성하여 광역 네트워크에 적용함으로써 이후의 해당 불량 IP 주소에 대한 유해 패킷을 차단시키는 네트워크침입 대응의 효과가 있다.

Claims (16)

  1. 기간 망 내로 유입되는 네트워크 패킷 정보를 분석하여 네트워크 침입 여부를 판단하고 침입 행위에 대한 패킷 정보를 기반으로 네트워크 침입경보 데이터를 생성 및 송신하는 보안게이트웨이와 연동되며, 상기 보안게이트웨이로부터 수신되는 네트워크 침입경보 데이터를 기반으로 불량 사용자 및 불량 호스트 정보를 추출하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치에 있어서,
    상기 보안게이트웨이로부터의 네트워크 침입경보 데이터를 실시간 수집하는 침입탐지 경보 수신 수단과;
    상기 수집되는 네트워크 침입경보 데이터로부터 블랙리스트 관련 정보를 추출하여 제 1 블랙리스트 DB에 기록하는 불량 IP 주소 생성 수단과;
    상기 추출되는 블랙리스트 관련 정보로부터 네트워크 침입 행위가 기설정된 임계수치(threshold)를 초과하는지를 비교 분석하는 블랙리스트 분석 수단과;
    상기 블랙리스트 분석 수단을 통해 임계수치가 초과된 것으로 판단되면, 이벤트 정보를 생성하여 제 2 블랙리스트 DB에 이벤트 로그를 기록하는 이벤트 생성 수단과;
    상기 이벤트 생성 수단에 의해 발생되는 이벤트 정보를 네트워크를 통해 연결된 원격 보안관리자에게 통보하는 블랙리스트 이벤트 감시 수단과;
    상기 이벤트 정보와 상기 이벤트 로그를 통해 특정 IP 주소에 대한 패킷유입 차단대응정책 데이터를 생성 및 송신하는 블랙리스트 차단대응정책 관리 수단을 포함하는 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치.
  2. 제 1 항에 있어서,
    상기 블랙리스트 관련 정보는
    네트워크 침입 근원지 IP 주소와 목적지 IP 주소, 보안등급, 해킹 유형 정보 중 적어도 하나 이상의 정보인 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치.
  3. 제 1 항에 있어서,
    상기 정책기반 네트워크 보안제어시스템은,
    상기 패킷유입 차단대응정책 데이터를 상기 네트워크를 통해 상기 보안게이트웨이로 전송하는 보안정책 전달 수단을 구비하는 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치.
  4. 제 1 항에 있어서,
    상기 제 1 블랙리스트 DB는 잠재적 불량 사용자 및 불량 호스트 DB(potential blacklist DB)인 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치.
  5. 제 1 항에 있어서,
    상기 제 2 블랙리스트 DB는 요주의 불량 사용자 및 불량 호스트 DB(dangerous blacklist DB)인 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치.
  6. 제 1 항에 있어서,
    상기 패킷유입 차단대응정책 데이터는 보안정책 DB에 기록되는 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치.
  7. 다수의 보안게이트웨이로부터의 네트워크 침입경보 데이터를 실시간 수집하는 침입탐지경보 수신 수단을 구비하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법에 있어서,
    상기 침입탐지경보 수신 수단에 의해 수집되는 네트워크 침입경보 데이터를 경보 DB 스키마(schema) 데이터로 변형하는 제 1 단계와;
    기설정된 저장 주기(Scheduled cycle time)가 도래되었는지를 판단하는 제 2 단계와;
    상기 제 2 단계의 판단 결과, 상기 기설정된 저장 주기가 아니라고 판단되면 상기 변형 경보데이터를 저장 매체에 저장하는 제 3 단계와;
    상기 제 2 단계의 판단 결과, 상기 기설정된 저장 주기가 도래되었으면, 상기 저장 매체에 저장된 변형 경보데이터를 독출하여 원격의 경보 DB에 송신함으로써, 상기 변형 경보데이터를 저장토록 하는 제 4 단계를 포함하는 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법.
  8. 제 7 항에 있어서,
    상기 보안게이트웨이로부터 송신되는 네트워크 침입경보 데이터는,
    상기 네트워크 보안제어시스템내의 메시지 큐에 순차적으로 저장되는 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법.
  9. 불량 IP 주소 생성 수단, 블랙리스트 분석 수단, 블랙리스트 이벤트 생성 수단, 블랙리스트 이벤트 감시 수단을 각각 구비하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법에 있어서,
    상기 불량 IP 주소 생성 수단에서 임의의 저장매체에 저장되어 있는 경보데이터를 검색하고, 검색 결과에 따른 블랙리스트 관련 정보를 추출하는 제 1 단계와;
    상기 불량 IP 주소 생성 수단에서 제 1 블랙리스트 DB 내에 해당 IP 주소가 존재하는지를 판단하는 제 2 단계와;
    상기 제 2 단계의 판단 결과, 해당 IP 주소가 존재하지 않는 것으로 판단되면, 상기 추출된 정보를 데이터 스키마 형태로 DB화하여 신규 등록하는 제 3 단계와;
    상기 제 2 단계의 판단 결과, 상기 제 1 블랙리스트 DB 내에 해당 IP 주소가존재하는 것으로 판단되면, 해당 IP 주소의 각 필드 값을 증가시키고 상기 제 1 블랙리스트 DB 내의 블랙리스트 정보를 현재의 정보로 수정하는 제 4 단계와;
    상기 블랙리스트 분석 수단에서 해당 IP 주소가 근원지 주소인지 목적지 주소인지를 판단하는 제 5 단계와;
    상기 제 5 단계의 판단 결과, 해당 IP 주소가 근원지 주소인 경우에는, 상기 제 1 블랙리스트 DB 내의 불량 사용자 IP 주소의 전체 보안위반 횟수와 보안등급별 보안위반 횟수가 불량 사용자 보안위반 임계수치를 초과하는지를 판단하는 제 6 단계와;
    상기 제 5 단계의 판단 결과, 해당 IP 주소가 목적지 주소인 경우에는, 상기 제 1 블랙리스트 DB 내의 불량 사용자 IP 주소의 전체 보안위반 횟수와 보안등급별 보안위반 횟수가 불량 사용자 보안위반 임계수치를 초과하는지를 각각 판단하는 제 7 단계와;
    상기 제 6 단계 및 제 7 단계의 판단 결과, 상기 제 1 블랙리스트 DB 내의 불량 사용자 IP 주소의 전체 보안위반 횟수와 보안등급별 보안위반 횟수가 불량 사용자 보안위반 임계수치를 초과한 것으로 판단되면, 상기 블랙리스트 이벤트 생성 수단에서 이벤트 정보를 생성한 후, 상기 이벤트 정보를 제 2 블랙리스트 DB 내에 저장하는 제 8 단계와;
    상기 블랙리스트 이벤트 감시 수단을 통해 상기 이벤트 정보를 보안관리자에게 통보하는 제 9 단계를 포함하는 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법.
  10. 제 9 항에 있어서,
    상기 블랙리스트 관련 정보는
    네트워크 침입 근원지 IP 주소와 목적지 IP 주소, 보안등급, 해킹 유형 정보 중 적어도 하나 이상의 정보인 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법.
  11. 제 9 항에 있어서,
    상기 제 1 블랙리스트 DB는 잠재적 불량 사용자 및 불량 호스트 DB인 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법.
  12. 제 9 항에 있어서,
    상기 제 2 블랙리스트 DB는 요주의 불량 사용자 및 불량 호스트 DB인 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법.
  13. 보안정책 전달 수단과 연동되며, 블랙리스트 차단대응정책 관리 수단을 구비하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법에 있어서,
    보안관리자에 의해 불량 IP 주소가 선택되면, 블랙리스트 차단대응정책 관리 수단에서 해당 불량 IP 주소에 대한 차단대응정책이 기적용 중인지를 판단하는 제 1 단계와;
    상기 제 1 단계의 판단 결과, 해당 불량 IP 주소에 대한 차단대응정책이 기적용 중인 것으로 판단되면, 상기 블랙리스트 차단대응정책 관리 수단에서 현재의 보안정책적용 현황을 상기 보안관리자에게 통보하는 제 2 단계와;
    상기 제 1 단계의 판단 결과, 해당 불량 IP 주소에 대한 차단대응정책이 현재 적용되지 않는 것으로 판단되면, 상기 블랙리스트 차단대응정책 관리 수단에서 새로운 차단대응정책을 생성하는 제 3 단계와;
    상기 새로운 차단대응정책이 생성되면 해당 불량 IP 주소에 적용되고 있는 타 보안정책의 정책충돌 유무를 판단하는 제 4 단계와;
    상기 제 4 단계의 판단 결과, 해당 불량 IP 주소에 적용되고 있는 타 보안정책의 정책충돌이 발생한 것으로 판단되면, 현재의 모든 보안정책적용 현황을 상기 보안관리자에게 통보하는 제 5 단계와;
    상기 제 4 단계의 판단 결과, 해당 불량 IP 주소에 적용되고 있는 타 보안정책의 정책충돌이 발생하지 않은 것으로 판단되면, 생성된 차단대응정책을 상기 보안정책 전달 수단으로 전달하는 제 6 단계와;
    상기 보안정책 전달 수단으로부터 정책적용 성공 메시지가 수신되면, 해당 차단대응정책을 DB화한 후, 제 1 블랙리스트 DB 및 제 2 블랙리스트 DB 내의 해당 불량 IP 주소의 정책적용 상태를 트루(true)로 변경하는 제 7 단계와;
    상기 보안정책 전달 수단으로부터 정책적용 실패 메시지가 수신되면, 차단대응정책 적용 실패 현황을 상기 보안관리자에게 통보하는 제 8 단계를 포함하는 것을 특징으로 하는 네트워크 보안제어시스템에서의 블랙리스트 관리방법.
  14. 제 13 항에 있어서,
    상기 보안정책 전달 수단으로 전달되는 차단대응정책은 네트워크를 통해 보안게이트웨이내의 네트워크 침입차단 대응 수단으로 전달되는 것을 특징으로 하는 네트워크 보안제어시스템에서의 블랙리스트 관리방법.
  15. 제 13 항에 있어서,
    상기 제 1 블랙리스트 DB는 잠재적 불량 사용자 및 불량 호스트 DB인 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법.
  16. 제 13 항에 있어서,
    상기 제 2 블랙리스트 DB는 요주의 불량 사용자 및 불량 호스트 DB인 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법.
KR1020010086926A 2001-12-28 2001-12-28 정책기반 네트워크 보안제어시스템에서의 블랙리스트관리장치 및 관리방법 Ceased KR20030056652A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020010086926A KR20030056652A (ko) 2001-12-28 2001-12-28 정책기반 네트워크 보안제어시스템에서의 블랙리스트관리장치 및 관리방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020010086926A KR20030056652A (ko) 2001-12-28 2001-12-28 정책기반 네트워크 보안제어시스템에서의 블랙리스트관리장치 및 관리방법

Publications (1)

Publication Number Publication Date
KR20030056652A true KR20030056652A (ko) 2003-07-04

Family

ID=32214832

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020010086926A Ceased KR20030056652A (ko) 2001-12-28 2001-12-28 정책기반 네트워크 보안제어시스템에서의 블랙리스트관리장치 및 관리방법

Country Status (1)

Country Link
KR (1) KR20030056652A (ko)

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100427448B1 (ko) * 2001-12-18 2004-04-14 한국전자통신연구원 라돈-보안게이트웨이 시스템 및 그 보안정책 설정방법과유해트래픽 탐지경보생성방법
KR100439177B1 (ko) * 2002-01-16 2004-07-05 한국전자통신연구원 네트워크 보안 정책의 표현,저장 및 편집 방법
KR100447896B1 (ko) * 2002-11-12 2004-09-10 학교법인 성균관대학 블랙보드기반의 네트워크 보안 시스템 및 이의 운용방법
KR100456637B1 (ko) * 2002-12-12 2004-11-10 한국전자통신연구원 블랙리스트 기반의 분류기를 포함하는 네트워크 보안서비스 시스템
KR100611741B1 (ko) * 2004-10-19 2006-08-11 한국전자통신연구원 네트워크 침입 탐지 및 방지 시스템 및 그 방법
KR100740656B1 (ko) * 2004-12-30 2007-07-18 주식회사 이너버스 로그 파일 분류 시스템
KR100817799B1 (ko) * 2006-10-13 2008-03-31 한국정보보호진흥원 다중 취약점 점검 도구를 활용한 네트워크 취약점 통합분석 시스템 및 방법
US7457949B2 (en) 2003-10-09 2008-11-25 Electronics And Telecommunications Research Instutute Network correction security system and method
KR100927074B1 (ko) * 2008-05-30 2009-11-13 엘지노텔 주식회사 이동 통신망에서 서비스거부 공격을 방지하기 위한 방법 및기지국 제어기
KR101028037B1 (ko) * 2008-10-10 2011-04-08 플러스기술주식회사 사용자 접속주소 감시를 통한 사용자 접속주소 강제유도 시스템 및 그 방법
KR101271449B1 (ko) * 2011-12-08 2013-06-05 (주)나루씨큐리티 Dns 강제우회 기반 악성트래픽 통제 및 정보유출탐지 서비스를 제공하는 방법, 서버 및 기록매체
KR101292501B1 (ko) * 2005-03-31 2013-08-01 마이크로소프트 코포레이션 멀웨어로부터 컴퓨터를 동적으로 보호하는 방법 및 컴퓨터 판독가능 매체
KR101339512B1 (ko) * 2011-03-16 2013-12-10 삼성에스디에스 주식회사 시스템 온 칩 기반의 패킷 필터링을 제공할 수 있는 디바이스 및 패킷 필터링 방법
KR101689296B1 (ko) * 2015-10-19 2016-12-23 한국과학기술정보연구원 보안이벤트 자동 검증 방법 및 장치
KR101695278B1 (ko) * 2016-04-26 2017-01-23 (주)시큐레이어 실시간성 이벤트를 탐지하는 방법 및 이를 이용한 서버
KR101896267B1 (ko) * 2017-09-28 2018-09-10 큐비트시큐리티 주식회사 실시간 로그 분석 기반의 공격 탐지 시스템 및 방법
CN112039871A (zh) * 2020-08-28 2020-12-04 绿盟科技集团股份有限公司 一种确定调用的网络防护设备的方法及装置
KR102267564B1 (ko) * 2020-11-16 2021-06-21 주식회사 케이사인 원격 단말기의 능동적 보안 위협 탐지 방법
CN115021999A (zh) * 2022-05-27 2022-09-06 武汉云月玲智科技有限公司 一种基于大数据管理的网络信息安全监控系统及方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000010253A (ko) * 1998-07-31 2000-02-15 최종욱 조정자 에이젼트를 이용한 침입 탐지 시스템 및 침입 탐지 시스템의 침입 탐지 모듈
KR20000054538A (ko) * 2000-06-10 2000-09-05 김주영 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체
KR20010105490A (ko) * 2000-05-10 2001-11-29 이영아 해커감지 및 추적시스템
KR20030052511A (ko) * 2001-12-21 2003-06-27 한국전자통신연구원 가변적인 보안 상황을 반영하는 보안 등급 설정방법 및이를 위한 기록 매체
KR20030054659A (ko) * 2001-12-26 2003-07-02 한국전자통신연구원 은닉형 침입 탐지 및 차단 제어 시스템 및 그 제어방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000010253A (ko) * 1998-07-31 2000-02-15 최종욱 조정자 에이젼트를 이용한 침입 탐지 시스템 및 침입 탐지 시스템의 침입 탐지 모듈
KR20010105490A (ko) * 2000-05-10 2001-11-29 이영아 해커감지 및 추적시스템
KR20000054538A (ko) * 2000-06-10 2000-09-05 김주영 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체
KR20030052511A (ko) * 2001-12-21 2003-06-27 한국전자통신연구원 가변적인 보안 상황을 반영하는 보안 등급 설정방법 및이를 위한 기록 매체
KR20030054659A (ko) * 2001-12-26 2003-07-02 한국전자통신연구원 은닉형 침입 탐지 및 차단 제어 시스템 및 그 제어방법

Cited By (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100427448B1 (ko) * 2001-12-18 2004-04-14 한국전자통신연구원 라돈-보안게이트웨이 시스템 및 그 보안정책 설정방법과유해트래픽 탐지경보생성방법
KR100439177B1 (ko) * 2002-01-16 2004-07-05 한국전자통신연구원 네트워크 보안 정책의 표현,저장 및 편집 방법
KR100447896B1 (ko) * 2002-11-12 2004-09-10 학교법인 성균관대학 블랙보드기반의 네트워크 보안 시스템 및 이의 운용방법
KR100456637B1 (ko) * 2002-12-12 2004-11-10 한국전자통신연구원 블랙리스트 기반의 분류기를 포함하는 네트워크 보안서비스 시스템
US7457949B2 (en) 2003-10-09 2008-11-25 Electronics And Telecommunications Research Instutute Network correction security system and method
USRE45381E1 (en) 2003-10-09 2015-02-17 Electronics And Telecommunications Research Institute Network correction security system and method
KR100611741B1 (ko) * 2004-10-19 2006-08-11 한국전자통신연구원 네트워크 침입 탐지 및 방지 시스템 및 그 방법
KR100740656B1 (ko) * 2004-12-30 2007-07-18 주식회사 이너버스 로그 파일 분류 시스템
KR101292501B1 (ko) * 2005-03-31 2013-08-01 마이크로소프트 코포레이션 멀웨어로부터 컴퓨터를 동적으로 보호하는 방법 및 컴퓨터 판독가능 매체
KR100817799B1 (ko) * 2006-10-13 2008-03-31 한국정보보호진흥원 다중 취약점 점검 도구를 활용한 네트워크 취약점 통합분석 시스템 및 방법
KR100927074B1 (ko) * 2008-05-30 2009-11-13 엘지노텔 주식회사 이동 통신망에서 서비스거부 공격을 방지하기 위한 방법 및기지국 제어기
KR101028037B1 (ko) * 2008-10-10 2011-04-08 플러스기술주식회사 사용자 접속주소 감시를 통한 사용자 접속주소 강제유도 시스템 및 그 방법
KR101339512B1 (ko) * 2011-03-16 2013-12-10 삼성에스디에스 주식회사 시스템 온 칩 기반의 패킷 필터링을 제공할 수 있는 디바이스 및 패킷 필터링 방법
KR101271449B1 (ko) * 2011-12-08 2013-06-05 (주)나루씨큐리티 Dns 강제우회 기반 악성트래픽 통제 및 정보유출탐지 서비스를 제공하는 방법, 서버 및 기록매체
KR101689296B1 (ko) * 2015-10-19 2016-12-23 한국과학기술정보연구원 보안이벤트 자동 검증 방법 및 장치
US10721245B2 (en) 2015-10-19 2020-07-21 Korea Institute Of Science And Technology Information Method and device for automatically verifying security event
KR101695278B1 (ko) * 2016-04-26 2017-01-23 (주)시큐레이어 실시간성 이벤트를 탐지하는 방법 및 이를 이용한 서버
WO2017188535A1 (ko) * 2016-04-26 2017-11-02 (주)시큐레이어 실시간성 이벤트를 탐지하는 방법 및 이를 이용한 서버
US10097570B2 (en) 2016-04-26 2018-10-09 Seculayer Co., Ltd. Method for detecting real-time event and server using the same
KR101896267B1 (ko) * 2017-09-28 2018-09-10 큐비트시큐리티 주식회사 실시간 로그 분석 기반의 공격 탐지 시스템 및 방법
CN112039871A (zh) * 2020-08-28 2020-12-04 绿盟科技集团股份有限公司 一种确定调用的网络防护设备的方法及装置
CN112039871B (zh) * 2020-08-28 2022-04-19 绿盟科技集团股份有限公司 一种确定调用的网络防护设备的方法及装置
KR102267564B1 (ko) * 2020-11-16 2021-06-21 주식회사 케이사인 원격 단말기의 능동적 보안 위협 탐지 방법
CN115021999A (zh) * 2022-05-27 2022-09-06 武汉云月玲智科技有限公司 一种基于大数据管理的网络信息安全监控系统及方法

Similar Documents

Publication Publication Date Title
KR20030056652A (ko) 정책기반 네트워크 보안제어시스템에서의 블랙리스트관리장치 및 관리방법
CN107454109B (zh) 一种基于http流量分析的网络窃密行为检测方法
Pilli et al. Network forensic frameworks: Survey and research challenges
US7752665B1 (en) Detecting probes and scans over high-bandwidth, long-term, incomplete network traffic information using limited memory
CN101548506B (zh) 用于确定安全性攻击的装置和安全性节点
US7788722B1 (en) Modular agent for network security intrusion detection system
US7832010B2 (en) Unauthorized access program monitoring method, unauthorized access program detecting apparatus, and unauthorized access program control apparatus
CN113839935B (zh) 网络态势感知方法、装置及系统
WO2015193647A1 (en) Ineffective network equipment identification
AU2002348415A2 (en) A method and system for modeling, analysis and display of network security events
CN114006723B (zh) 基于威胁情报的网络安全预测方法、装置及系统
KR20110070189A (ko) 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법
CN113660115B (zh) 基于告警的网络安全数据处理方法、装置及系统
KR100401088B1 (ko) 인터넷을 이용한 통합 보안 서비스 시스템
Tang et al. A simple framework for distributed forensics
CN117499155A (zh) 一种基于大数据的子网安全性评估方法及系统
KR100607110B1 (ko) 종합 보안 상황 관리 시스템
CN113794590B (zh) 处理网络安全态势感知信息的方法、装置及系统
KR101011223B1 (ko) 에스아이피(sip) 기반의 통합보안 관리시스템
CN114338189B (zh) 基于节点拓扑关系链的态势感知防御方法、装置及系统
CN114006719B (zh) 基于态势感知的ai验证方法、装置及系统
KR20040092314A (ko) 침입 탐지 장치 기반의 공격트래픽 실시간 모니터링 시스템
CN114172881A (zh) 基于预测的网络安全验证方法、装置及系统
CN114006720B (zh) 网络安全态势感知方法、装置及系统
TWI881506B (zh) 資安快篩系統

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20011228

PA0201 Request for examination
PG1501 Laying open of application
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20040429

Patent event code: PE09021S01D

E601 Decision to refuse application
PE0601 Decision on rejection of patent

Patent event date: 20041229

Comment text: Decision to Refuse Application

Patent event code: PE06012S01D

Patent event date: 20040429

Comment text: Notification of reason for refusal

Patent event code: PE06011S01I