KR100599929B1 - 지능형통합보안관리시스템의 에이전트계층 데이터처리방법 - Google Patents

지능형통합보안관리시스템의 에이전트계층 데이터처리방법 Download PDF

Info

Publication number
KR100599929B1
KR100599929B1 KR1020040037477A KR20040037477A KR100599929B1 KR 100599929 B1 KR100599929 B1 KR 100599929B1 KR 1020040037477 A KR1020040037477 A KR 1020040037477A KR 20040037477 A KR20040037477 A KR 20040037477A KR 100599929 B1 KR100599929 B1 KR 100599929B1
Authority
KR
South Korea
Prior art keywords
agent
information
message
resource information
security management
Prior art date
Application number
KR1020040037477A
Other languages
English (en)
Other versions
KR20050112403A (ko
Inventor
문재웅
김성배
Original Assignee
주식회사 제이컴정보
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 제이컴정보 filed Critical 주식회사 제이컴정보
Priority to KR1020040037477A priority Critical patent/KR100599929B1/ko
Publication of KR20050112403A publication Critical patent/KR20050112403A/ko
Application granted granted Critical
Publication of KR100599929B1 publication Critical patent/KR100599929B1/ko

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B26HAND CUTTING TOOLS; CUTTING; SEVERING
    • B26BHAND-HELD CUTTING TOOLS NOT OTHERWISE PROVIDED FOR
    • B26B21/00Razors of the open or knife type; Safety razors or other shaving implements of the planing type; Hair-trimming devices involving a razor-blade; Equipment therefor
    • B26B21/08Razors of the open or knife type; Safety razors or other shaving implements of the planing type; Hair-trimming devices involving a razor-blade; Equipment therefor involving changeable blades
    • B26B21/10Safety razors with one or more blades arranged longitudinally to the handle
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B26HAND CUTTING TOOLS; CUTTING; SEVERING
    • B26BHAND-HELD CUTTING TOOLS NOT OTHERWISE PROVIDED FOR
    • B26B21/00Razors of the open or knife type; Safety razors or other shaving implements of the planing type; Hair-trimming devices involving a razor-blade; Equipment therefor
    • B26B21/40Details or accessories
    • B26B21/4012Housing details, e.g. for cartridges
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B26HAND CUTTING TOOLS; CUTTING; SEVERING
    • B26BHAND-HELD CUTTING TOOLS NOT OTHERWISE PROVIDED FOR
    • B26B21/00Razors of the open or knife type; Safety razors or other shaving implements of the planing type; Hair-trimming devices involving a razor-blade; Equipment therefor
    • B26B21/40Details or accessories
    • B26B21/4062Actuating members, e.g. switches or control knobs; Adjustments

Landscapes

  • Life Sciences & Earth Sciences (AREA)
  • Forests & Forestry (AREA)
  • Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 지능형통합보안관리시스템의 에이전트계층 데이터처리방법에 관한 것으로서, 그 목적은 개별적인 보안시스템 에이전트를 통해 자원정보수집, 로그정보 수집/변환/분석, 경보내역을 발생하여 매니저서버와 관리콘솔로 전송하여 모니터링하는 에이전트에 의한 통합정보 보안관리방법에 있어서, 각 시스템에 자원정보 에이전트 식별개체를 생성하는 과정, 자원정보 에이전트 전송객체를 생성하는 과정, 각 시스템의 자원 호출정보 설정 및 경보발령 정보를 설정하는 과정, 각 시스템으로부터의 전송된 메시지를 수신 대기하는 과정, 메시지 수신대기 중 소정의 시스템의 각 자원정보 객체를 생성 초기화하는 과정, 각 시스템의 전송객체에 의한 로그수집 메시지를 분석하여 매니저서버로 전송하는 과정, 각 시스템의 로그정보 메시지는 신규로그 구분정보를 생성하는 과정, 매니저서버에서 재설정 명령에 따라 변경된 자동실행 명령을 설정하는 과정을 포함하여 이루어진 것을 특징으로 한다.
ISM, 지능형통합보안관리시스템, 자원정보, 자동실행명령, 파일로그, 에이전트, 매니저서버,

Description

지능형통합보안관리시스템의 에이전트계층 데이터처리방법 {Method for Data Process of Agent Layer of ISM System}
도 1은 본 발명을 구현하기 위한 지능형통합보안관리시스템의 에이전트계층 데이터처리 시스템도이고,
도 2는 본 발명의 실시예에 따른 지능형통합보안관리시스템의 자원정보 에이전트 데이터처리 과정의 흐름도이고,
도 3은 본 발명의 실시예에 따른 지능형통합보안관리시스템의 자동실행명령 에이전트의 데이터처리 과정의 흐름도이고,
도 4는 본 발명의 실시예에 따른 지능형통합보안관리시스템의 파일로그 에이전트 데이터처리 과정의 흐름도이다.
< 도면의 주요부분에 대한 부호의 설명 >
101 : 방화벽시스템 102 : 공개보안도구시스템
103 : IDS시스템 110 : 에이전트계층
121, 122 : 라우터시스템 130 : 프록시에이전트서버
200 : 매니저서버
본 발명은 지능형통합보안관리(Intelligent Enterprise Security Management : 이하 'ISM'이라 약칭함)시스템에 관한 것으로서, 보다 상세하게는 하나의 모듈로 구성되어 각종 보안장비가 탑재되어 있는 시스템으로부터 시스템 자원정보, 사용현황 및 상태정보 및 보안소프트웨어가 발생시키는 로그를 수집하거나, 에이전트 모듈이 탑재되지 않는 라우터나 일체형 장비의 자원정보 및 보안 이벤트 로그를 수집 및 매니저(Manager)와 콘솔(Consol)로 전송하며, 로그수집, 필터, 축약, 경보, 시나리오룰(Rule)을 매니저로부터 전송받는 ISM시스템의 에이전트계층 데이터처리방법 및 장치에 관한 것이다.
일반적으로 방화벽, 침입탐지시스템, 가상 사설망 등의 보안 솔루션을 하나로 모은 통합 보안 관리 시스템. 최근 기업 보안 관리(ESM : Enterprise Security Management)는 통합 관리 수준에서 벗어나 시스템 자원 관리(SMS : System Management System), 망 관리 시스템(NMS : Network Management System) 등 기업 자원 관리 시스템까지 확대, 개발되고 있다. 상기 ESM은 기업들이 서로 다른 기종의 보안 솔루션 설치에 따른 중복 투자, 자원 낭비를 줄일 수 있으며, 솔루션 간 상호 연동을 통해 전체 정보 통신 시스템에 대한 보안 정책을 수립할 수 있다는 장점이 있다.
상기 보안 솔루션의 하나로 침입탐지시스템은 네트워크 환경에서 침입 또는 허락되지 않은 프로세스를 탐지하는 시스템으로서 탐지되는 패턴에 따라 위험도를 분류하여 탐지결과를 관리자에게 경보하게 된다.
그러나 이러한 침입탐지시스템은 그 제조사별로 탐지 패턴 또는 위험도 정의기준 탐지패턴의 분류 등의 종류가 다양하므로 관리자에게 보고된 탐지결과가 정확하지 않아 혼란을 초래하는 문제점이 있었다.
따라서, 대규모의 전사적 보안관리를 위하여 다양한 종류의 침입탐지시스템이 함께 사용될 경우, 동일한 침입패턴에 대하여 각 침입탐지시스템은 서로 상이한 결과를 보여주며, 이러한 로그를 분석하는 작업을 통해 보안관리를 수행하게 된다.
다양한 침입탐지시스템에서 생성된 로그의 분석은 먼저 로그별로 카테고리를 나누고 이에 따른 위험도를 재 정의하여 정의된 위험도와 카테고리를 일일이 수작업으로 비교하는 과정을 통해 이루어진다.
그러나 짧은 시간에 수 천 내지 수 만개의 이벤트 로그가 발생되는 상황에서 이러한 작업을 수작업으로 하는 것은 거의 불가능하며, 나아가 신속성이 중요한 요소인 보안관리에 있어서 이러한 문제점은 더욱 심각하다.
따라서 이러한 문제점으로 인해 실질적으로 다양한 침입탐지시스템을 사용하여 일관된 위험관리를 행하고 통합적인 보안 관리를 수행하는 것은 사실상 불가능하며, 나아가 다양한 고객을 상대로 통합보안관리 서비스를 제공하는 것 또한 불가능한 문제점이 있었다.
또한, 종래기술에 따른 ESM은 통합 보안관리를 위한 보안정책을 수립하고 수립된 보안정책에 따라 시스템을 구현하며, 이를 모니터링 하거나 신속하고 효과적인 조치를 위해 각종 경보 기능을 제공하는 등 일련의 워크플로우를 일관되게 지원하도록 한 것이다.
이와 같은 ESM은 침입차단시스템, 침입탐지시스템, 취약점분석시스템, 안티바이러스 시스템, 서버보안 시스템 등 개별적인 보안 장비들의 모니터링을 위해서 드는 자원 및 인력의 손실을 방지하기 위해, 중앙에서 통합하여 보안 현황을 모니터링 함으로써, 집중화 된 보안 관리를 구현하는 시스템으로, 그 기능은 단위 보안장비에 대한 보안관리, 보안위협에 대한 경보시스템, 3계층구조에 의한 처리 시스템 기능을 구현하게 된다.
그러나, 이와 같은 종래기술에 따른 ESM은 에이전트 관리시 단순상태관리만 가능하며, 멀티계층, 다중장비(MMD), 자산관리(ISMD) 등의 위협에 대응하는 기능을 지원하지 않으며, 침해에 대한 대응도 실시간으로 자동 대응하는 기능이 없고, 기술적, 관리적 조치사항도 지원하지 못하고 있다. 또한 장애관리(Fault Tolerance)에 대하여 기능을 지원하지 못하는 문제점이 있었다.
본 발명은 상기한 종래기술의 제반 문제점을 해결하기 위한 것으로, 그 목적은 하나의 모듈로 구성되어 각종 보안장비가 탑재되어 있는 시스템으로부터 시스템 자원정보, 사용현황 및 상태정보 및 보안소프트웨어가 발생시키는 로그를 수집하거나, 에이전트 모듈이 탑재되지 않는 라우터나 일체형 장비의 자원정보 및 보안 이벤트 로그를 수집 및 매니저(Manager)와 콘솔(Consol)로 전송하며, 로그수집, 필터, 축약, 경보, 시나리오룰(Rule)을 매니저로부터 전송받는 ISM시스템의 에이전트계층 데이터처리방법을 제공함에 있다.
본 발명의 목적을 달성하기 위한 본 발명에 따른 ISM시스템의 에이전트계층 데이터처리과정은 침입차단시스템, 침입탐지시스템, 취약점분석시스템, 안티바이러스 시스템, 서버보안시스템을 포함한 개별적인 보안시스템들로부터 에이전트를 통해 자원정보수집, 로그정보 수집/변환/분석, 경보내역을 발생하여 매니저서버와 관리콘솔로 전송하여 모니터링하는 에이전트에 의한 통합정보 보안관리방법에 있어서, 상기 각 시스템에 자원정보 에이전트 식별개체를 생성하는 제 1 과정과, 상기 자원정보 에이전트 전송객체를 생성하는 제 2 과정과, 상기 각 시스템의 자원 호출정보 설정 및 경보발령 정보를 설정하는 제 3 과정과, 상기 각 시스템으로부터의 전송된 메시지를 수신 대기하는 제 4 과정과, 상기 메시지 수신대기 중 소정의 시스템의 각 자원정보 객체를 생성 초기화하는 제 5 과정과, 상기 각 시스템의 전송객체에 의한 로그수집 메시지에서 자원정보를 추출하여 정규화한 후 정규화된 자원정보를 필터링하여 경보발령 정보를 추출하여 매니저서버로 전송하는 제 6 과정과, 상기 각 시스템의 로그정보 메시지는 신규로그 구분정보를 생성하는 제 7 과정과, 상기 매니저서버에서 재설정 명령에 따라 변경된 자동실행 명령을 설정하는 제 8 과정을 포함하여 이루어진 것을 특징으로 한다.
본 발명의 목적을 달성하기 위한 다른 방법은 침입차단시스템, 침입탐지시스템, 취약점분석시스템, 안티바이러스 시스템, 서버보안시스템을 포함한 개별적인 보안시스템들로부터 다양한 에이전트 모듈을 통해 자원정보수집, 로그정보 수집/변환/분석, 경보내역을 발생하여 매니저서버와 관리콘솔로 전송하여 모니터링하는 에이전트에 의한 통합정보 보안관리방법에 있어서, 상기 각 시스템에 에이전트를 식별하는 식별개체를 생성하는 제 1 과정과, 상기 매니저서버로부터 이벤트 발생시 각 시스템에 자동실행 명령 메시지를 저장하기 위한 저장객체를 생성하는 제 2 과정과, 상기 자동실행 명령 에이전트의 상태를 전송하는 제 3 과정과, 상기 매니저서버로부터의 메시지 수신 대기상태를 유지하는 제 4 과정과, 상기 메시지 수신대기상태에서 전송객체에 의해 자동실행 명령 변경 메시지를 수신함에 따라 이를 처리하는 제 5 과정과, 상기 메시지 수신대기상태에서 전송객체에 의해 자동실행 명령 메시지가 수신됨에 따라 자동 실행명령을 수행하는 제 6 과정과, 상기 제 5, 제 6 과정 처리 후 메시지 수신대기상태로 리턴하며 사용자에 의한 자동실행명령 에이전트 종료 명령이 입력되면 메모리에 저장된 분산객체 및 전송객체를 삭제한 후 종료하는 제 7과정을 포함하여 이루어진 것을 특징으로 한다.
본 발명의 목적을 달성하기 위한 또 다른 방법은 침입차단시스템, 침입탐지시스템, 취약점분석시스템, 안티바이러스 시스템, 서버보안시스템을 포함한 개별적인 보안시스템에 로그를 저장하고 있는 파일로부터 정보를 추출해서 매니저서버로 전송하는 파일에이전트를 이용한 통합정보 보안관리방법에 있어서, 상기 각 시스템에 파일 에이전트 식별개체를 생성하는 제 1 과정과, 상기 각 시스템에 파일 에이전트 전송객체를 생성하는 제 2 과정과, 상기 각 시스템의 파일에이전트 저장객체 생성 및 경보발령 정보를 설정하는 제 3 과정과, 상기 각 시스템으로부터의 메시지 수신을 대기하는 제 4 과정과, 상기 메시지 수신대기 중 전송객체 의한 파일에 신규로그가 있을 경우 메시지 정보로부터 메시지 발령시간을 추출하고, 정규화한 후 수집된 로그파일에서 데이터를 필터링하여 메시지 시나리오 경보정보를 추출한 후 메시지 미들웨어로 전송하는 제 5 과정과 상기 메시지 수신 대기 중 전송객체에 의한 신규 및 변경 요청 메시지가 입력되면 신규파일 메시지 설정 및 신규 자동실행명령 룰 설정을 수행하는 제 6 과정을 포함하여 이루어진 것을 특징으로 한다.
이와 같이 이루어진 본 발명의 실시예를 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다.
도 1은 본 발명의 일 실시 예에 따른 ISM시스템의 에이전트계층 데이터처리방법을 구현하기 위한 ISM시스템의 구조도로서, 방화벽시스템 에이전트(101), 공개보안도구 에이전트(102), IDS시스템 에이전트(103)를 포함한 보안시스템 에이전트를 통해 각 보안시스템의 자원정보 수집, 로그정보 수집/변환/분석, 경보내역을 발생하여 통신 미들웨어로 전송하는 에이전트계층(110)과, 라우터시스템(121)(122)을 통해 자원정보수집, 로그정보 수집/변환/분석, 경보내역을 발생하는 프록시에이전트서버(140)와, 상기 각 에이전트계층(110) 및 프록시에이전트서버(140)로부터 발생된 로그를 수집하여 저장 및 각 에이전트의 각종 룰 설정값을 해당 에이전트로 전송하는 매니저서버(200)로 구성된다.
여기서, 상기 보안시스템 에이전트(101∼103)는 OS(Operating System) 탑재형 에이전트로 각종 보안장비가 탑재되어 있는 시스템으로부터 시스템 자원정보, 사용현황 및 상태정보 및 보안 소프트웨어가 발생시키는 로그를 수집한다.
상기 프록시에이전트서버(140)는 에이전트 모듈이 탑재되지 않는 라우터나 일체형 장비의 자원정보 및 보안 이벤트 로그를 수집 및 매니저서버(200)로 전송한다.
이와 같이 구성된 본 발명 실시예에 따른 작용을 첨부된 도 1 내지 도 4를 참조하여 보다 상세히 설명하면 다음과 같다.
먼저, 본 발명에 따른 에이전트 계층은 보안시스템의 자원정보 수집, 로그정 보 수집/변환/분석, 경보내역을 발생하여 이를 매니저서버와 콘솔로 전송하는 계층으로, 형태는 일반 에이전트계층 형태와 프록시에이전트로 구분되며, 로그변환기, 자원정보수집, 'SYSLOG'모듈, 파일리드(Read)모듈, 'ASEN'모듈, 'OPSEC'모듈로 구성되어 있다. 특히, 에이전트모듈은 하나의 모듈로 되어 있으며, 관리콘솔에서 해당 에이전트의 설정에 따라 해당 부분만 작동한다.
도 2는 본 발명의 실시예에 따른 ISM시스템의 에이전트계층의 자원정보 에이전트 데이터 흐름도이다.
이에 도시된 바와 같이, 각 시스템(101∼103)에 자원정보 에이전트 식별개체를 생성하여 해당 에이전트를 식별할 수 있는 기능을 제공한다.(S102)
상기 자원정보 에이전트 전송객체를 생성한다.(S104)
상기 자원호출 정보 설정 및 경보발령 정보를 설정한다. 즉, 해당 단위 장비의 CPU, 디스크, 메모리, 프로세서 등의 자원을 호출할 수 있는 정보와 경보발령 정보 관리 기능을 제공한다.(S106)
통신 메시지 전송시스템에 의한 메시지 수신대기 상태를 유지하며, 전송객체에 의해 메시지를 수신하며, 자원정보 타이머에 의해서 실시간으로 CPU, 디스크, 메모리, 프로세서 등의 자원정보 객체를 생성하여 초기화한다.(S108∼S118)
여기서, 상기 자원정보 타이머는 전송되어 들어온 메시지의 정보를 분석하여 CPU, 디스크, 메모리, 프로세서의 객체생성을 할 수 있도록 분기해주는 기능을 수행한다.
상기 자원정보객체 생성의 초기화과정 후 메시지타이머에 의해 메시지 수신 대기단계(S108)로 리턴하며, 이때, 자원정보 경보시간을 동기화 시키므로 전체 자원정보의 경보 룰의 기준 시간을 현재 시간을 적용해서 초기화 해주는 기능을 수행한다.(S150)(S152)
상기 통신 메시지 전송시스템에 의한 메시지 수신대기 상태(S108)에서 로그 수집하며, 자원정보 메시지가 수신되었을 경우(S120) 자원정보를 추출하고,(S122), 추출된 자원정보를 구문분석 정보를 추출한다.(S124) 즉, 수집된 자원정보를 정규화하며, 정규화된 자원정보를 필터링하며,(S126) 상기 필터링된 자원정보에서 경보발령 정보를 추출하게 된다.(S128) 상기 추출된 경보발령 메시지는 상기 매니저서버(200)로 전송한다.(S129)
상기 통신 메시지 전송시스템에 의한 메시지 수신대기 상태에서 자원정보 추출 룰이 변경되었을 경우 매니저서버(200)로부터 로그정보 메시지가 신규 로그정보이면, 신규로그 정보를 생성한 후 다시 수신메시지 대기상태(S108)로 리턴하게 된다. (S130)(S132)
상기 통신 메시지 전송 시스템에 의한 메시지 수신단계(S108)에서 수신된 메시지가 매니저서버(200)로부터 소정의 에이전트에 내린 자동실행명령의 기본 설정값에 대한 변경 메시지가 수신되면, 해당 자동실행 명령에 대한 룰을 변경 설정하게 된다.(S140)(S142)
만약, 상기 매니저서버(200)로부터 사용자가 자원정보 에이전트를 종료하고자 할 경우 메시지타이머(S150)를 통해 분산객체를 삭제 및 전송객체를 삭제한 후 자원정보 에이전트를 종료하게 된다.(S150)(S154)
도 3은 본 발명의 실시예에 따른 ISM시스템의 자동실행명령 에이전트의 데이터처리 과정의 흐름도로서, 자동실행명령 에이전트는 시나리오 매니저로부터 이벤트가 발생했을 때 자동적으로 서버에서 해당 명령이 실행되도록 해주는 기능을 담당하는 에이전트이다.
도면에 도시된 바와 같이, 먼저 해당 에이전트를 식별할 수 있는 식별개체를 생성한다.(S202) 즉, 자동실행명령 에이전트가 어디에 설치되어있는지 식별할 수 있는 식별개체를 생성한 후 자동실행명령을 받을 수 있는 저장장소를 관리하는 저장객체를 생성한다.(S204)
자동실행명령 에이전트의 상태를 관리하며, 정상적인 대기 상태인지를 상기 매니저서버(200)로 전송한 후 통신 메시지전송 시스템에 의한 메시지 수신 대기상태를 유지한다.(S206)(S208)
상기 메시지 수신 대기상태(S208)에서 전송객체 의해 자동실행명령의 초기값에 대한 변경된 내용이 있을 경우 이를 상기 매니저서버(200)로부터 변경 메시지를 수신한다.(S210)
상기 매니저서버(200)로부터 자동실행명령 에이전트에 대한 기초정보를 요구한다.(S211)
상기 매니저서버(200)에 경보조건, 즉 어떤 시점에서 해당 명령을 실행시켜야하는지에 대한 정보를 요구하게 된다.(S213)
상기 매니저서버(200)에 수신 메시지에 대한 정규화, 필터링, 자동실행명령 정보를 요구한다.(S216)
상기 자동실행명령 변경 메시지를 처리한 후 메시지타이머에 의해 상기 메시지수신 대기상태(S208)로 리턴하게 된다.(S230)
만약, 상기 메시지수신 대기상태(S208)에서 전송객체에 의해 자동실행명령 메시지가 수신될 경우(S220) 메시지 미들웨어로부터 자동명령을 위한 타겟서버를 구별한다.(S221).
상기 수신된 자동실행명령 메시지에서 명령어를 조합하여 실행 명령어를 처리한다.(S223)
상기 실행명령어를 처리한 후 메시지타이머에 의해 다시 메시지 수신대기상태(S208)로 리턴한다.(S230)
만약, 사용자에 의해 상기 매니저서버(200)로부터 자동실행명령 에이전트 종료 명령이 내릴 경우에는 저정되어 있는 분산객체를 삭제 및 전송객체를 삭제한 후 종료한다.(S231)
도 4는 본 발명의 실시예에 따른 ISM시스템의 파일 에이전트 데이터처리과정의 흐름도로서, 각 시스템의 로그를 저장하고 있는 파일로그로부터 생성된 정보를 자동으로 수집하여 상기 매니저서버(200)로 전송하여 감시하고자 하는 프로그램의 상태를 실시간으로 감시할 수 있는 기능을 제공한다.
도 4에 도시된 바와 같이, 먼저 해당 에이전트를 식별할 수 있는 식별개체를 생성한다.(S302) 즉, 파일 에이전트가 어디에 설치되어있는지 식별할 수 있는 식별개체를 생성한 후 파일로그를 받을 수 있는 저장장소를 관리하는 저장객체를 생성한다.(S304)
상기 각 시스템에 파일 에이전트 정보 및 경보발령 정보를 설정한 후 통신 메시지 전송 시스템에 의한 메시지 수신 대기상태를 유지한다.(S306)(S308)
상기 메시지 수신대기상태(S308)에서 전송객체에 의해 수신된 파일로그에 신규로그가 있을 경우에는 메시지 정보를 추출하게 된다.(S312)
상기 추출된 메시지는 정규화, 필터링 한 후 필터링된 메시지에서 경보정보를 추출한 후 메시지타이머에 의하여 상기 메시지 수신단계로 리턴하게 된다.(S310)(S340)
이때, 로그파일에서 데이터 수집하고, 수집된 데이터를 필터링한 후 메시지를 상기 매니저서버(200)로 전송하게 된다.(S342∼S346)
만약, 신규 상기 메시지 수신대기상태(S308)에서 전송객체의 의해 신규경보 룰(Rule)을 추가하기 위한 경보 룰 변경요청이 있을 경우 신규 경보 룰 메시지를 수신한다.(S320)
상기 수신된 신규경보 메시지에 따라 신규파일 경보 룰, 신규 자원정보 룰, 신규로그 분석 룰, 신규 자동실행명령 룰을 설정한다.(S322∼S328)
또한, 저장객체 중에서 파일 에이전트 로그에 계속 저장해 놓는데, 이때 로그 타이머에 의해 일정 시간 간격으로 과거 로그정보를 삭제하여 메모리 풀(Full)을 방지하도록 한다.(S330)(S332)
만약, 사용자에 의해 상기 매니저서버(200)로부터 파일 에이전트 종료 명령이 내릴 경우에는 저정되어 있는 분산객체를 삭제 및 전송객체를 삭제한 후 종료한다.(S348)
이상에서 본 발명에 따른 바람직한 실시예에 대해 설명하였으나, 에이전트의 형태에 따라 다양한 방법으로 변형이 가능하며, 본 기술분야에서 통상의 지식을 가진자라면 본 발명의 특허청구범위를 벗어남이 없이 다양한 변형예 및 수정예를 실시할 수 있을 것으로 이해된다.
이상에서 설명한 바와 같이, 본 발명에 따른 ISM시스템의 에이전트계층 데이터처리방법은 각 단위 시스템을 자원정보, 파일로그 및 자동실행명령 에이전트를 이용하여 실시간으로 각 시스템을 모니터링 할 수 있으며, 그에 따라 장애 발생시 신속히 대응할 수 있는 효과가 있으며, 에이전트의 룰 설정을 자동으로 업데이트 관리할 수 있는 효과가 있고, 각 단위 보안 시스템(방화벽, IDS, IPS, VPN, 서버보안시스템)과 네트워크장비, 로그를 가진 응용프로그램, 응용서버들에 대한 통합관리 체계구축이 가능한 효과가 있다.

Claims (17)

  1. 침입차단시스템, 침입탐지시스템, 취약점분석시스템, 안티바이러스 시스템, 서버보안시스템을 포함한 개별적인 보안시스템들로부터 에이전트를 통해 자원정보수집, 로그정보 수집/변환/분석, 경보내역을 발생하여 매니저서버와 관리콘솔로 전송하여 모니터링하는 에이전트에 의한 통합정보 보안관리방법에 있어서,
    상기 각 시스템에 자원정보 에이전트 식별개체를 생성하는 제 1 과정;
    상기 자원정보 에이전트 전송객체를 생성하는 제 2 과정;
    상기 각 시스템의 자원 호출정보 설정 및 경보발령 정보를 설정하는 제 3 과정;
    상기 각 시스템으로부터의 전송된 메시지를 수신 대기하는 제 4 과정;
    상기 메시지 수신대기 중 소정의 시스템의 각 자원정보 객체를 생성 초기화하는 제 5 과정;
    상기 각 시스템의 전송객체에 의한 로그수집 메시지에서 자원정보를 추출하여 정규화한 후 정규화된 자원정보를 필터링하여 경보발령 정보를 추출하여 매니저서버로 전송하는 제 6 과정;
    상기 각 시스템의 로그정보 메시지는 신규로그 구분정보를 생성하는 제 7 과정; 및
    상기 매니저서버에서 재설정 명령에 따라 변경된 자동실행 명령을 설정하는 제 8 과정;을 포함하여 이루어진 것을 특징으로 하는 지능형통합보안관리시스템의 에이전트계층 데이터처리방법.
  2. 제 1 항에 있어서,
    상기 에이전트는 일반 OS(Operating System)탑재형 에이전트 및 프록시 에이전트 서버로 구분설정 하는 것을 특징으로 하는 지능형통합보안관리시스템의 에이전트계층 데이터처리방법.
  3. 제 1 항에 있어서,
    상기 제 5 과정에서 자원정보 객체는 중앙처리장치(CPU) 정보객체, 디스크 정보객체, 메모리 정보객체 및 프로세서 자원정보객체를 포함하여 생성 초기화하는 것을 특징으로 하는 지능형통합보안관리시스템의 에이전트계층 데이터처리방법.
  4. 삭제
  5. 제 1 항에 있어서,
    상기 자원정보 에이전트는 항상 대기상태를 유지시키며 사용자에 의하여 종료되면 분산객체 삭제 및 전송객체를 삭제하는 단계를 더 포함하여 이루어진 것을 특징으로 하는 지능형통합보안관리시스템의 에이전트계층 데이터처리방법.
  6. 제 1 항에 있어서,
    상기 자원정보의 실시간 수집을 위해 자원정보 타이머에 의해 시간 동기화 시키는 것을 특징으로 하는 지능형통합보안관리시스템의 에이전트계층 데이터처리방법.
  7. 침입차단시스템, 침입탐지시스템, 취약점분석시스템, 안티바이러스 시스템, 서버보안시스템을 포함한 개별적인 보안시스템들로부터 다양한 에이전트 모듈을 통해 자원정보수집, 로그정보 수집/변환/분석, 경보내역을 발생하여 매니저서버와 관리콘솔로 전송하여 모니터링하는 에이전트에 의한 통합정보 보안관리방법에 있어서,
    상기 각 시스템에 에이전트를 식별하는 식별개체를 생성하는 제 1 과정;
    상기 매니저서버로부터 이벤트 발생시 각 시스템에 자동실행 명령 메시지를 저장하기 위한 저장객체를 생성하는 제 2 과정;
    상기 자동실행 명령 에이전트의 상태를 전송하는 제 3 과정;
    상기 매니저서버로부터의 메시지 수신 대기상태를 유지하는 제 4 과정;
    상기 메시지 수신대기상태에서 전송객체에 의해 자동실행 명령 변경 메시지를 수신함에 따라 이를 처리하는 제 5 과정;
    상기 메시지 수신대기상태에서 전송객체에 의해 자동실행 명령 메시지가 수신됨에 따라 자동 실행명령을 수행하는 제 6 과정;및
    상기 제 5, 제 6 과정 처리 후 메시지 수신대기상태로 리턴하며 사용자에 의한 자동실행명령 에이전트 종료 명령이 입력되면 메모리에 저장된 분산객체 및 전송객체를 삭제한 후 종료하는 제 7과정;을 포함하여 이루어진 것을 특징으로 하는 지능형통합보안관리시스템의 에이전트계층 데이터처리방법.
  8. 제 7 항에 있어서,
    상기 에이전트는 일반 OS탑재형 에이전트 및 프록시 에이전트서버로 구분설정 하는 것을 특징으로 하는 지능형통합보안관리시스템의 에이전트계층 데이터처리방법.
  9. 제 7 항에 있어서,
    상기 제 5 과정은 상기 전송객체에 의해 자동실행 명령 변경메시지가 수신되면 상기 매니저서버에 에이전트에 대한 기초정보를 요구하는 하는 단계;
    상기 매니저서버에 경보조건을 요구하는 단계; 및
    상기 자동실행 명령 변경메시지의 정규화, 필터링, 축약/경보 단계;를 포함하여 이루어진 것을 특징으로 하는 지능형통합보안관리시스템의 에이전트계층 데이터처리방법.
  10. 제 7 항에 있어서,
    상기 제 6 과정은 상기 전송객체에 의해 자동실행 명령메시지가 수신되면 타 겟 서버의 명령을 추출하는 단계;
    상기 추출된 명령을 실행명령어로 조합하는 단계; 및
    상기 조합된 실행 명령을 처리하는 단계를 포함하여 이루어진 것을 특징으로 하는 지능형통합보안관리시스템의 에이전트계층 데이터처리방법.
  11. 삭제
  12. 침입차단시스템, 침입탐지시스템, 취약점분석시스템, 안티바이러스 시스템, 서버보안시스템을 포함한 개별적인 보안시스템에 로그를 저장하고 있는 파일로부터 정보를 추출해서 매니저서버로 전송하는 파일에이전트를 이용한 통합정보 보안관리방법에 있어서,
    상기 각 시스템에 파일 에이전트 식별개체를 생성하는 제 1 과정;
    상기 각 시스템에 파일 에이전트 전송객체를 생성하는 제 2 과정;
    상기 각 시스템의 파일에이전트 저장객체 생성 및 경보발령 정보를 설정하는 제 3 과정;
    상기 각 시스템으로부터의 메시지 수신을 대기하는 제 4 과정;
    상기 메시지 수신대기 중 전송객체 의한 파일에 신규로그가 있을 경우 메시지 정보로부터 메시지 발령시간을 추출하고, 정규화한 후 수집된 로그파일에서 데이터를 필터링하여 메시지 시나리오 경보정보를 추출한 후 메시지 미들웨어로 전송하는 제 5 과정; 및
    상기 메시지 수신 대기 중 전송객체에 의한 신규 및 변경 요청 메시지가 입력되면 신규파일 메시지 설정 및 신규 자동실행명령 룰 설정을 수행하는 제 6 과정;을 포함하여 이루어진 것을 특징으로 하는 지능형통합보안관리시스템의 에이전트계층 데이터처리방법.
  13. 제 12 항에 있어서,
    상기 에이전트는 일반 OS탑재형 에이전트 및 프록시 에이전트서버로 구분설정 하는 것을 특징으로 하는 지능형통합보안관리시스템의 에이전트계층 데이터처리방법.
  14. 삭제
  15. 제 12 항에 있어서,
    상기 제 6 과정은 신규 및 변경요청 메시지가 입력됨에 따라 신규파일 경보 룰을 설정하는 단계;
    신규 자원정보 룰을 설정하는 단계;
    신규 로그분석 룰을 설정하는 단계; 및
    신규 자동실행명령 룰을 설정하는 단계;를 포함하여 이루어진 것을 특징으로 하는 지능형통합보안관리시스템의 에이전트계층 데이터처리방법.
  16. 제 12 항에 있어서,
    상기 파일 로그정보는 설정된 시간을 넘는 데이터는 삭제하는 단계를 더 포함하여 이루어진 것을 특징으로 하는 지능형통합보안관리시스템의 에이전트계층 데이터처리방법.
  17. 제 12 항에 있어서,
    상기 파일 에이전트는 항상 대기상태를 유지시키며 사용자에 의하여 종료되면 분산객체 삭제 및 전송객체를 삭제하는 단계를 더 포함하여 이루어진 것을 특징으로 하는 지능형통합보안관리시스템의 에이전트계층 데이터처리방법.
KR1020040037477A 2004-05-25 2004-05-25 지능형통합보안관리시스템의 에이전트계층 데이터처리방법 KR100599929B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040037477A KR100599929B1 (ko) 2004-05-25 2004-05-25 지능형통합보안관리시스템의 에이전트계층 데이터처리방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040037477A KR100599929B1 (ko) 2004-05-25 2004-05-25 지능형통합보안관리시스템의 에이전트계층 데이터처리방법

Publications (2)

Publication Number Publication Date
KR20050112403A KR20050112403A (ko) 2005-11-30
KR100599929B1 true KR100599929B1 (ko) 2006-07-13

Family

ID=37287314

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040037477A KR100599929B1 (ko) 2004-05-25 2004-05-25 지능형통합보안관리시스템의 에이전트계층 데이터처리방법

Country Status (1)

Country Link
KR (1) KR100599929B1 (ko)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100604063B1 (ko) * 2004-05-31 2006-07-31 주식회사 제이컴정보 지능형 통합보안관리 시스템의 매니저계층 데이터처리방법
KR100984282B1 (ko) * 2010-03-04 2010-09-30 주식회사 이글루시큐리티 메모리캐쉬를 이용한 통합보안관리시스템
KR101237376B1 (ko) * 2011-07-14 2013-02-26 주식회사 제이컴정보 스마트폰 통합 보안 관제 시스템 및 방법
KR101869282B1 (ko) * 2016-10-31 2018-06-21 주식회사 윈스 대용량 데이터 수집 및 오버 플로우 이벤트 처리 시스템 및 방법
CN112364211A (zh) * 2020-10-27 2021-02-12 广东凌康科技有限公司 一种基于云平台的信息发布统计***及方法

Also Published As

Publication number Publication date
KR20050112403A (ko) 2005-11-30

Similar Documents

Publication Publication Date Title
Ganame et al. A global security architecture for intrusion detection on computer networks
EP1461927B1 (en) A method and system for modelling, analysis, and display of network security events
US20040117658A1 (en) Security monitoring and intrusion detection system
US20040205689A1 (en) System and method for managing a component-based system
JP2004021549A (ja) ネットワーク監視システムおよびプログラム
CN111212035A (zh) 一种主机失陷确认及自动修复方法及基于此的***
US20060143717A1 (en) Computer network monitoring method and device
KR20020000225A (ko) 컴퓨터 시스템의 통합적인 원격 보안 관리를 수행하는시스템 및 방법
KR100599929B1 (ko) 지능형통합보안관리시스템의 에이전트계층 데이터처리방법
CN108366077B (zh) 裂变式防攻击网络接入***
KR20020012855A (ko) 통합로그 분석 및 관리 시스템 및 그 방법
EP3205068B1 (fr) Procede d&#39;ajustement dynamique d&#39;un niveau de verbosite d&#39;un composant d&#39;un reseau de communications
WO2004017199A1 (en) Method for monitoring and managing an information system
Patil et al. Analysis of distributed intrusion detection systems using mobile agents
CN111049853A (zh) 一种基于计算机网络的安全认证***
KR20130033161A (ko) 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템
CN111258712B (zh) 一种虚拟平台网络隔离下保护虚拟机安全的方法及***
CN115208690A (zh) 一种基于数据分类分级的筛查处理***
KR100604063B1 (ko) 지능형 통합보안관리 시스템의 매니저계층 데이터처리방법
CN111259383A (zh) 一种安全管理中心***
KR20070008804A (ko) 호스트 기반의 보안 시스템 및 그를 이용한 보안 서비스제공 방법
CN108471428B (zh) 应用于CDN***内的DDoS攻击主动防御技术及装备
JP2006330926A (ja) ウィルス感染検知装置
CN116436668B (zh) 信息安全管控方法、装置,计算机设备,存储介质
Yongle et al. A cooperative intrusion detection system based on autonomous agents

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120705

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20130705

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20140804

Year of fee payment: 9

LAPS Lapse due to unpaid annual fee