KR101425107B1 - 네트워크 도메인간 보안정보 공유 장치 및 방법 - Google Patents

네트워크 도메인간 보안정보 공유 장치 및 방법 Download PDF

Info

Publication number
KR101425107B1
KR101425107B1 KR1020100107238A KR20100107238A KR101425107B1 KR 101425107 B1 KR101425107 B1 KR 101425107B1 KR 1020100107238 A KR1020100107238 A KR 1020100107238A KR 20100107238 A KR20100107238 A KR 20100107238A KR 101425107 B1 KR101425107 B1 KR 101425107B1
Authority
KR
South Korea
Prior art keywords
information
security
policy
sharing
shared
Prior art date
Application number
KR1020100107238A
Other languages
English (en)
Other versions
KR20120046891A (ko
Inventor
안개일
이성원
김기영
김종현
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020100107238A priority Critical patent/KR101425107B1/ko
Priority to US13/182,972 priority patent/US20120110633A1/en
Publication of KR20120046891A publication Critical patent/KR20120046891A/ko
Application granted granted Critical
Publication of KR101425107B1 publication Critical patent/KR101425107B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 네트워크 도메인간 보안정보를 공유할 수 있는 보안정보 공유장치 및 방법을 제공한다. 본 발명의 보안정보공유 장치는 다른 네트워크 도메인과 공유할 원시보안정보가 저장되는 원시보안정보 저장부, 공유할 정보에 대한 정보공유정책이 저장되는 정보 공유정책 저장부, 다른 네트워크 도메인에 공개하지 않을 정보에 대한 정보 마스킹 정책이 저장되는 정보 마스킹정책 저장부, 공유 보안정보를 수신할 다른 네트워크 도메인을 선택하는 도메인 선택부, 원시보안정보에 대하여 정보 공유정책을 적용하여 선택된 네트워크 도메인에 대한 공유보안 정보를 생성하는 공유 보안정보 생성부, 생성된 공유 보안정보를 정보 마스킹 정책에 따라 공개하지 않을 정보를 마스킹하는 정보 마스킹부, 정보 마스킹 과정을 거친 공유 보안정보에 대하여 송신하기 위한 프로토콜 메시지를 생성하는 프로토콜 메시지 생성부와 상기 프로토콜 메시지를 선택된 다른 네트워크 도메인으로 송신하는 프로토콜 메시지 송신부를 포함하여 구성된다.

Description

네트워크 도메인간 보안정보 공유 장치 및 방법{APPARATUS FOR SHARING SECURITY INFORMATION AMONG NETWORK DOMAINS AND METHOD FOR THE SAME}
본 발명은 네트워크 도메인간의 보안정보 공유 장치 및 방법에 관한 것으로, 네트워크 도메인간에 다양한 보안정보를 공유할 수 있는 네트워크 도메인간 보안정보 공유 장치 및 방법에 관한 것이다.
통신 및 네트워크 기술의 발달과 함께 스팸, 바이러스, 서비스 거부 공격/분산서비스 거부공격 등 네트워크를 통한 사이버 공격은 다양한 기법이 사용되고 있고, 전파속도가 단축되면서 더욱 치명적인 형태로 진화하고 있다. 따라서 이러한 사이버 공격으로부터 네트워크 인프라를 보호하기 위하여 많은 기법들이 제안되어 왔지만, 사이버 공격기법도 점점 더 지능화되고 고도화됨에 따라 보안문제는 여전히 이슈가 되고 있다.
이에 따라, 사이버공격을 효과적으로 방어하기 위하여 보안정보들을 서로 공유함으로써 전체 네트워크 차원에서 체계적이고 종합적인 대응을 가능하게 하는 연구가 진행되어 왔다. 특히 정부, 금융, ISP, 기업 등 공공의 인터넷 환경에서 다양한 보안 정보들을 상호 공유하고 관리하여 사이버 보안 위협들에 대해 빠르게 대응하기 위한 체계가 필요하게 되었다. 또한 지금처럼 복합적이고 다양한 형태의 변형되거나 신규로 생성된 위협 및 공격들이 자동으로 전파되어 급속도로 발생하고 있는 추세에서는 다양한 보안정보를 신속하고 효과적으로 공유할 수 있어야 한다.
보안정보를 공유하기 위한 종래의 기술로서 IODEF(Incident Object Description and Exchange Format)기반의 보안정보 공유 방법과 IDMEF(Intrusion Detection Message Exchange Format) 기반의 보안정보 공유 방법이 있다. IODEF 기반의 보안정보 공유 방법은 침해사고 정보만을 공유하는 것을 목적으로 하고, IDMEF 기반의 보안정보 공유 방법은 보안 로그 정보만을 공유하는 것을 목적으로 한다.
이와 같은 종래의 보안정보공유 방법은 단일 보안정보의 공유만을 제공하기 때문에, 네트워크 도메인간에 다양한 종류의 보안정보 공유를 위한 기술로 사용하기 어려운 문제가 있다. 또한 보안 로그 정보를 공유하는 경우에 사이버 공격의 강도와 크기에 따라서 공유되는 정보의 양이 엄청나게 커질 수 있다. 이와 같이 엄청난 규모의 보안정보를 수신하는 네트워크 도메인은 성능 문제를 겪을 수 있는데, 종래의 기술로는 이러한 문제를 효과적으로 해결하기 어렵다.
따라서 각 네트워크 도메인간의 요구사항을 즉각적으로 반영하고 다양한 종류의 보안정보를 공유할 수 있는 보안정보 공유 방법이 요구된다.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, 네트워크 도메인간에 다양한 보안정보를 공유할 수 있고, 다량의 공유정보의 송수신으로 인한 네트워크 과부하를 방지할 수 있는 네트워크 도메인간 보안정보 공유장치를 제공하는 것이다.
상기와 같은 문제점을 해결하기 위한 본 발명의 다른 목적은, 네트워크 도메인간에 다양한 보안정보를 공유할 수 있고, 다량의 공유정보의 송수신으로 인한 네트워크 과부하를 방지할 수 있는 네트워크 도메인간 보안정보 공유방법을 제공하는 것이다.
상기 목적을 달성하기 위하여 본 발명은 다른 네트워크 도메인과 공유할 원시보안정보가 저장되는 원시보안정보 저장부, 다른 네트워크 도메인과 공유할 정보에 대한 정보공유정책이 저장되는 정보 공유정책 저장부, 다른 네트워크 도메인에 공개하지 않을 정보에 대한 정보 마스킹 정책이 저장되는 정보 마스킹정책 저장부, 공유 보안정보를 수신할 다른 네트워크 도메인을 선택하는 도메인 선택부, 상기 원시보안정보에 대하여 상기 정보 공유정책을 적용하여 상기 선택된 다른 네트워크 도메인에 대한 공유 보안정보를 생성하는 공유 보안정보 생성부, 상기 공유 보안정보 생성부에서 생성된 상기 공유 보안정보를 상기 정보 마스킹 정책 저장부에 저장된 정보 마스킹 정책에 따라 공개하지 않을 정보를 마스킹하는 정보 마스킹부, 상기 정보 마스킹 과정을 거친 상기 공유 보안정보에 대하여 상기 선택된 다른 네트워크 도메인으로 송신하기 위한 프로토콜 메시지를 생성하는 프로토콜 메시지 생성부 및 상기 프로토콜 메시지를 상기 선택된 다른 네트워크 도메인으로 송신하는 프로토콜 메시지 송신부를 포함하는 보안정보 공유장치를 제공한다.
여기에서 상기 원시 보안정보 저장부는 사이버 공격 탐지정보가 포함되는 보안 로그정보와 네트워크 도메인의 현재상황을 보여주는 보안 상황정보가 포함되다.
여기에서 상기 정보공유정책 저장부에 저장되는 정보 공유정책은 각 다른 네트워크 도메인별로 설정되고, 상기 정보 공유정책은, 상기 원시 보안정보 저장부에 저장된 보안 로그정보에 대한 통계정보를 생성하기 위한 보안 로그 통계정책, 상기 원시 보안정보 저장부에 저장된 보안 로그정보를 필터링하여 최종 보안 로그정보를 생성하기 위한 보안 로그 필터링정책 및 상기 원시 보안정보 저장부에 저장된 보안상황 정보를 조립하여 보안상황 정보를 생성하기 위한 보안 상황 조립정책을 포함하는 것을 특징으로 한다.
또한 여기에서 상기 공유보안 정보 생성부는 상기 보안 로그 통계정책에 따라서 상기 원시 보안정보 저장부에 저장된 보안 로그정보에 대한 통계정보를 생성하는 보안 로그정보 통계부, 상기 보안 로그 필터링정책에 따라서 상기 원시 보안 로그정보 저장부에 저장된 보안 로그정보를 필터링하여 상기 최종 보안 로그정보를 생성하는 보안 로그정보 필터링부 및 상기 보안 상황 조립정책에 따라서 상기 원시 보안 로그정보 저장부에 저장된 보안상황 정보를 조립하여 최종 보안상황 정보를 생성하는 보안 상황 조립부를 포함하는 것을 특징으로 한다.
여기에서 상기 보안 정보 공유장치는 정보공유정책 에이전트부를 더 포함하고, 상기 정보공유 정책 에이전트 부는 다른 네트워크 도메인의 요구에 따라서 상기 다른 네트워크 도메인이 수신할 정보에 대한 정보공유정책을 설정하여 정보공유정책 저장부에 저장하는 것을 특징으로 하며, 상기 정보 공유 정책 에이전트 부는 같은 네트워크 도메인의 요구에 따라서 다른 네트워크 도메인으로 송신할 정보에 대한 정보 마스킹 정책을 설정하여 정보 마스킹정책 저장부에 저장하는 것을 특징으로 한다.
여기에서 상기 보안 로그정보에는 탐지시간, 공격명, 공격강도, 공격시스템의 IP 주소와 포트번호, 공격대상 시스템의 IP 주소와 포트번호, 프로토콜 번호가 포함되고, 상기 보안 상황정보에는 블랙리스트 정보, 봇네트 정보, 침해사고정보, 네트워크 트래픽정보가 포함되는 것을 특징으로 한다.
여기에서 상기 정보 공유 정책과 정보 마스킹 정책은 모두 하나 이상의 규칙으로 구성되며, 각 규칙은 조건과 조건성취에 따른 액션으로 구성되고, 상기 보안로그 통계정책은, 조건에 도메인 명, 계산주기, 전송할 최소순위, 기준필드 명이 포함되며, 액션에는 출력 필드명과 발생횟수를 포함되어 구성되고, 상기 보안로그 필터링 정책은, 조건에 도메인 명, 계산주기, 전송할 최소순위, 기준필드명이 포함되며, 액션에는 보안 로그가 포함되어 구성되고, 상기 보안상황 조립정책은, 조건에 도메인 명, 계산주기가 포함되며, 액션에는 출력 정보명이 포함되어 구성되고, 상기 정보 마스킹 정책은, 조건에 도메인 명, 타겟 필드명이 포함되고, 액션에는 마스킹 값이 포함되어 구성되는 것을 특징으로 한다.
상기 다른 목적을 달성하기 위하여 본 발명은 다른 네트워크 도메인과 공유할 원시보안정보를 저장하는 단계, 다른 네트워크 도메인과 공유할 정보에 대한 정보공유정책을 수립하여 저장하는 정보공유정책 수립단계, 다른 네트워크 도메인에 공개하지 않을 정보에 대한 정보 마스킹 정책을 수립하여 저장하는 마스킹 정책 수립단계, 공유 보안정보를 수신할 다른 네트워크 도메인을 선택하는 도메인 선택단계, 상기 원시보안정보에 대하여 상기 정보 공유정책을 적용하여 상기 선택된 다른 네트워크 도메인에 대한 공유 보안정보를 생성하는 공유 보안정보 생성단계, 상기 공유 보안정보 생성부에서 생성된 상기 공유 보안정보를 상기 정보 마스킹 정책 저장부에 저장된 정보 마스킹 정책에 따라 공개하지 않을 정보를 마스킹하는 정보 마스킹단계, 상기 정보 마스킹 과정을 거친 상기 공유 보안정보에 대하여 상기 선택된 다른 네트워크 도메인에 송신하기 위한 프로토콜 메시지를 생성하는 프로토콜 메시지 생성단계 및 상기 프로토콜 메시지를 상기 선택된 다른 네트워크 도메인으로 송신하는 프로토콜 메시지 송신단계를 포함하는 보안정보 공유방법을 제공한다.
여기에서, 원시 보안정보 저장단계의 원시 보안정보는 사이버 공격 탐지정보가 포함되는 보안 로그정보와 네트워크 도메인의 현재상황을 보여주는 보안 상황정보가 포함되는 것을 특징으로 한다.
또한 여기에서, 상기 정보공유정책은, 상기 보안 로그정보에 대한 통계정보를 생성하기 위한 보안 로그 통계정책, 보안 로그정보를 필터링하여 최종 보안 로그정보를 생성하기 위한 보안 로그 필터링정책, 상기 보안상황 정보를 조립하여 보안상황 정보를 생성하기 위한 보안 상황 조립정책을 포함하여 구성되고, 상기 공유 보안정보 생성단계는, 상기 보안 로그 통계정책에 따라서 보안 로그정보에 대한 통계정보를 생성하는 통계정보 생성단계, 상기 보안 로그 필터링정책에 따라서 상기 보안 로그정보를 필터링하여 상기 최종 보안 로그정보를 생성하는 보안 로그정보 필터링단계 및 상기 보안 상황 조립정책에 따라서 상기 보안상황 정보를 조립하여 최종 보안상황 정보를 생성하는 보안 상황 조립단계를 포함하는 것을 특징으로 한다.
여기에서, 상기 정보공유정책은 다른 네트워크 도메인의 요구에 따라서 상기 다른 네트워크 도메인이 수신할 정보에 대한 정보공유정책을 설정하여 정보공유정책 저장부에 저장하는 것을 특징으로 한다.
또한 여기에서, 상기 정보 마스킹정책은 같은 네트워크 도메인의 요구에 따라서 다른 네트워크 도메인으로 송신할 정보에 대한 정보 마스킹 정책을 설정하여 정보 마스킹정책 저장부에 저장하는 것을 특징으로 한다.
상기와 같은 본 발명에 따른 네트워크 도메인간 보안정보 공유 장치 및 방법을 이용하면, 각 네트워크 도메인이 공유될 보안정보에 대한 정책을 개별적으로 수립하도록 함으로써, 각 도메인 별로 원하는 정보 및 정보의 양을 조절할 수 있어서 다량의 공유정보의 송수신으로 인한 네트워크 과부하를 방지하면서도 네트워크 도메인간에 다양한 보안정보를 공유할 수 있다.
또한, 본 발명에 따른 네트워크 도메인간 보안정보 공유 장치 및 방법을 이용하면 보안정보를 수신하는 네트워크 도메인이 필요로 하는 보안정보를 직접 구성할 수 있고, 보안정보를 송신하는 네트워크 도메인이 공개하지 않을 정보를 숨길 수 있어서 각 도메인의 다양한 정보 공유 요구사항을 반영할 수 있다.
도 1은 네트워크 도메인간에 각각의 보안정보 공유장치를 통해 보안정보를 공유하는 관계를 보여주는 개념도이다.
도 2는 본 발명에 따른 보안정보 공유장치의 구성요소와 각 구성요소간의 관계를 보여주는 블록도이다.
도 3은 본 발명에 따른 원시보안정보 저장부에 저장되는 데이터의 구성과 예를 보여주는 개념도이다.
도 4는 본 발명의 실시예에 따른 정보공유 정책 저장부 및 정보 마스킹 정책 저장부의 구성과 예를 보여주는 개념도이다.
도 5는 본 발명에 따른 네트워크 도메인간에 보안정보를 공유하는 과정을 설명하는 시퀀스차트이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 본 발명에 따른 바람직한 실시예를 첨부한 도면들을 참조하여 상세하게 설명한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
본 발명에서 정의하는 보안정보를 공유하는 네트워크 도메인들은 개별적으로 분리된 독립적인 네트워크 도메인들일 수 있고, 특정 네트워크 도메인으로부터 일정한 네트워크 서비스를 제공받는 네트워크 도메인들일 수 있다. 또한 특정 그룹에 소속되어 일관된 보안정책을 제공받는 네트워크 도메인들일 수 있다. 본 발명에 따른 보안정보 공유장치의 네트워크 도메인은 한정되지 않는다.
도 1은 네트워크 도메인간에 각각의 보안정보 공유장치를 통해 보안정보를 공유하는 관계를 보여주는 개념도이다.
도 1을 참조하면, 각 네트워크 도메인 A(101), B(103), C(105)가 각각 자신의 보안정보 공유 장치(102,104,106)를 통하여 자신의 네트워크에서 수집한 보안관련 정보를 다른 네트워크 도메인들(101,103,105)과 공유하는 관계를 보여준다.
각 네트워크 도메인간에 공유되는 보안 정보는 사이버공격으로부터 입은 피해와 관련된 침해사고 정보(107), 사이버공격의 탐지 시 작성되는 보안 로그정보(108), 빈번하게 발견되는 공격주범에 대한 블랙 리스트 정보(109) 등과 같은 다양한 보안관련 정보를 공유하게 된다.
다만 각 네트워크 도메인에서 발생하는 모든 보안관련 정보를 공유하는 경우, 공유할 보안정보의 양과 종류가 많아지게 된다. 따라서 본 발명에서는 각 도메인 별로 필요로 하는 정보만을 정의하여 공유하는 장치와 방법, 즉 각 네트워크 도메인들의 다양한 요구사항을 개별적으로 반영할 수 있는 장치 및 방법이 개시된다.
이하에서는, 본 발명의 일 측면에 따른 네트워크 도메인간 보안정보 공유장치의 구성과 바람직한 보안정보 정책, 그리고 본 발명에 따른 보안정보 공유장치와 보안정보 정책을 적용하여 네트워크 도메인간 보안정보를 공유하는 방법을 살펴보기로 한다.
본 발명에 따른 보안정보 공유장치의 구성
이하는 본 발명의 일 측면에 따른 네트워크 도메인간 보안정보를 공유하기 위한 보안정보 공유장치의 구성을 살펴보기로 한다.
도 2는 본 발명의 실시예에 따른 보안정보 공유장치의 구성요소와 각 구성요소간의 관계를 보여주는 블록도이다.
도 2를 참조하면, 본 발명의 실시예에 따른 보안정보 공유장치(200)는 원시보안정보 저장부(210), 정보공유정책 저장부(220), 정보마스킹정책 저장부(230), 도메인 선택부(240), 공유보안정보 생성부(250), 정보 마스킹부(260), 프로토콜 메시지 생성부(270) 및 정보공유 정책 에이전트부(280)를 포함하여 구성된다.
이하 보안정보 공유장치(200)의 각 구성요소와 그 역할에 대하여 살펴보기로 한다.
상기 원시보안정보 저장부(210) 각 네트워크 도메인간에 공유할 원시 보안정보가 저장되는 부분이다. 일반적으로 보안관련 로그정보 및 침해사고정보 등이 저장된다. 상기 원시보안정보 저장부에 대한 좀 더 상세한 설명은 후술하기로 한다.
상기 정보 공유정책 저장부(220)는 다른 네트워크 도메인과 공유할 정보에 대한 정보공유정책, 즉 각각의 다른 네트워크 도메인에 대하여 어떤 정보를 어떤 형태로 공유할지에 대한 정책이 규정되어 저장되는 부분이다. 정보공유 정책은 보안 로그 통계정책, 보안 로그 필터링정책, 보안상황 조립정책으로 분류될 수 있는데, 상기 정보공유 정책 저장부의 구성 및 각 정보공유 정책에 대한 상세한 설명은 후술하기로 한다.
상기 정보 마스킹정책 저장부(230)는 다른 네트워크 도메인에 공개하지 않을 정보를 마스킹하는 정책을 설정하여 저장하는 부분으로, 상기 정보 마스킹정책 저장부의 구성 및 정보 마스킹정책에 대한 상세한 설명은 후술하기로 한다.
상기 도메인 선택부(240)는 상기 원시보안 정보저장부(210)를 참조하여 공유 보안정보를 수신할 네트워크 도메인을 선택하는 부분이다. 즉 각 네트워크 도메인으로 공유보안정보를 송신하기 위해서는 정보를 수신할 대상 도메인을 선택해야 하는데, 이러한 역할을 하는 부분이 도메인 선택부이다.
공유 보안정보 생성부(250)는 상기 원시보안정보에 대하여 상기 정보공유정책 저장부(220)에 저장된 정보공유정책을 적용하여, 상기 도메인 선택부(240)에서 선택된 도메인으로 송신할 보안정보를 생성하는 부분이다. 상기 공유 보안정보 생성부(250)는 적용하는 정보공유정책에 따라서 보안 로그정보 통계부(251), 보안 로그정보 필터링부(253) 및 보안상황정보 조립부(255)로 나누어진다.
보안 로그정보 통계부(251)는 보안 로그 통계정책에 따라서 상기 도메인 선택부(240)에서 선택된 도메인으로 송신할 보안 로그정보에 대한 통계정보를 생성하는 부분이다.
보안 로그정보 필터링부(253)는 보안 로그 필터링정책에 따라서 원시 보안 로그정보를 필터링하여 상기 도메인 선택부(240)에서 선택된 도메인으로 송신할 최종 보안 로그정보를 생성하는 부분이다.
보안상황정보 조립부(255)는 보안상황 조립정책에 따라서 개별적인 보안상황정보를 조립하여 상기 도메인 선택부(240)에서 선택된 도메인으로 송신할 최종 보안상황정보를 생성하는 부분이다.
정보 마스킹부(260)는 상기 정보마스킹 정책 저장부(230)에 저장된 정보마스킹 정책에 따라서 상기 보안 로그정보 통계부(251)에서 생성한 통계정보, 상기 보안 로그정보 필터링부(253)에서 생성한 최종 보안로그정보 및 상기 보안상황정보 조립부(255)에서 생성한 최종 보안상황정보에 대하여 공개하지 않을 정보를 마스킹하는 부분이다.
프로토콜 메시지 생성부(270)는 상기 도메인 선택부(240)에서 선택된 도메인으로 상기 마스킹된 보안정보를 송신하는 경우, 상기 정보 마스킹부(260)를 거친 상기 통계정보, 최종 보안로그정보, 최종 보안상황정보에 대한 프로토콜 메시지를 생성하는 부분이다.
정보공유 정책 에이전트부(280)는 같은 네트워크 도메인의 공유정책 관리자(203)와 다른 네트워크 도메인에 있는 보안정보공유장치(204)의 요구에 따라서 정보공유 정책 저장부(220) 및 정보마스킹 정책 저장부(230)의 정책을 새로이 설정하거나 변경하는 역할을 하는 부분이다.
특히 본 발명에 따른 보안정보공유장치(200)의 정보공유정책 에이전트 부(280)는 공유하는 보안정보를 수신하는 네트워크 도메인에 있는 보안정보 공유 장치(204)가 정보를 송신하는 도메인의 정보공유 정책부(220)의 보안 로그통계 정책, 보안로그 필터링 정책, 보안상황 조립정책을 직접 설정하게 함으로써 수신하는 도메인이 필요로 하는 보안정보를 직접 구성할 수 있도록 하고, 같은 도메인에 있는 공유정책 관리자(203)만이 정보 마스킹 정책부(230)의 정보 마스킹 정책을 직접 설정하게 함으로써 여러 네트워크 도메인들의 보안요구사항을 직접 반영하도록 한다.
이하는 상기 원시 보안정보 저장부의 구성에 대해서 설명하기로 한다.
도 3은 본 발명의 실시예에 따른 원시보안정보 저장부에 저장되는 데이터의 구성과 예를 보여주는 개념도이다.
도 3을 참조하면 원시보안정보 저장부(210)는 타 네트워크 도메인과 공유할 보안정보를 저장하는 부분이며, 여기에는 탐지한 사이버공격 등에 상세한 기록인 보안 로그정보(310)와 보안관련 사건들에 대한 분석정보인 보안상황정보(320)가 포함된다.
상기 보안 로그정보(310)에는 탐지시간, 공격 명, 공격강도(severity), 공격 소스시스템의 IP 주소와 포트 번호, 공격 대상시스템의 IP 주소와 포트 번호, 프로토콜 등의 정보를 포함할 수 있다.
상기 보안 로그정보(320)는 침입탐지시스템(IDS: Intrusion Detection System), 침입방어시스템(IPS: Intrusion Prevention System), 방화벽과 같은 사이버공격 방어시스템 및 위협관리 시스템(TMS: Threat Management System), 전사보안관리 시스템(ESM: Enterprise Security Management system)과 같은 보안관리 시스템으로부터 수집된 공격탐지정보로서, 보안 로그정보는 일반적으로 많은 수의 보안 관리 시스템들로부터 수집된다. 더욱이 하나의 보안 관리 시스템이 초당 1000개 정도의 보안 로그를 생성할 정도이기 때문에 일반적으로 원시보안정보 저장부에 저장되는 보안 로그의 양은 매우 많다.
상기 보안 상황정보(320)는 네트워크 도메인의 현재 보안상황을 보여주는 정보이다. 보안 상황정보(320)에는 현재 공격 주범으로 확실시되는 시스템의 IP 주소 목록이 포함된 블랙리스트 정보(321), 봇네트 C&C(Botnet Control and Command) 공격서버 IP 주소, 바이러스에 감염된 좀비 PC의 IP 주소 등 봇네트 탐지정보를 포함하고 있는 봇네트 정보(323)를 포함할 수 있다.
또한 사이버공격으로부터 피해를 입은 경우에, 사고 발생 일시, 공격명, 공격기간, 피해상황, 공격대응방법 등 침해사고 정보를 포함하고 있는 침해 사고정보(325), 네트워크 도메인에서 트래픽의 BPS(Bit/Second) 및 PPS(Packet/Second) 등 네트워크 트래픽 상황정보를 포함하고 있는 네트워크 트래픽 정보(327) 등이 보안상황 정보(320)에 포함될 수 있다.
이하는 상기 정보공유 정책 저장부 및 정보 마스킹 정책 저장부의 구성 및 정책설정의 실시예를 설명하기로 한다.
도 4는 본 발명의 실시예에 따른 정보공유 정책 저장부 및 정보 마스킹 정책 저장부의 구성과 예를 보여주는 개념도이다.
도 4를 참조하면 정보공유정책 저장부(220)에는 보안 로그통계정책(410), 보안로그 필터링정책(420), 보안상황조립정책(430)을 포함하여 크게 세 종류의 정책이 저장된다. 상기 각 정책은 하나 이상의 규칙(rule)으로 구성되며 각 규칙은 조건과 그 조건이 만족 될 때 수행되는 액션(action)으로 구성된다.
상기 보안 로그통계정책(410)은 원시보안정보 저장부(210)에 저장된 보안 로그정보(310)에 대한 통계정보를 생성하는 정책이며, 통계정보를 생성하는 조건(condition)(411)으로 도메인 명(Domain Name), 계산주기(period), 전송할 최소순위(top N), 기준필드 명(criteria field name)을 포함하여 구성되며, 조건에 따른 액션(413)은 출력필드 명(output filed name)과 발생횟수(occurrence count)를 포함하여 구성된다.
도 4의 예를 참조하면, 보안 로그통계정책(410)의 규칙으로, 조건은 [Domain Name: "ISP A", Period: "10분", Top N: "100", Criteria Field Name: source IP"](411)이고 조건에 따른 액션은 [Output Field Name: "source IP", Occurrence Count](413)로 구성되어 있다. 이는, 전송할 도메인이 "ISP A" 이면 원시보안 저장부(210)에 저장된 보안로그 데이터를 10분마다 Source IP 주소를 기준으로 정렬하여 순위 100위안에 드는 source IP 주소와 그 주소의 발생횟수를 생성하라는 규칙을 의미한다.
보안 로그 필터링정책(420)은 원시보안정보 저장부(210)에 저장된 보안로그정보(310)를 필터링하여 다른 도메인에게 전달하는 최종적인 보안 로그정보를 생성하는 정책이며, 필터링 조건(421)은 도메인 명(Domain Name), 계산주기(period), 전송할 최소순위(top N), 기준필드 명(criteria field name)을 포함하여 구성되며, 액션(423)은 보안 로그(security log)를 포함하여 구성된다.
도 4의 예를 참조하면, 보안 로그 필터링정책(420)의 규칙으로, 조건은 [Domain Name: "ISP A, ISP B", Period: "10분", Top N: "50", Criteria Field Name: "destination IP"](421)이고 조건에 따른 액션은 [Security log](423)이다. 이는 전송할 도메인이 "ISP A"이거나 "ISP B"이면 원시보안 저장부(210)에 저장된 보안 로그 데이터를 10분마다 Destination IP 주소를 기준으로 정렬하여 순위 50위안에 드는 보안 로그정보를 생성하라는 것을 의미한다.
보안상황 조립정책(430)은 원시보안정보 저장부(210)에 저장된 개별적인 보안상황정보를 조립하여 다른 도메인으로 전달할 최종적인 보안상황정보를 생성하는 정책이다. 보안상황을 조립의 조건(431)에는 도메인 명(Domain Name), 계산주기(period)가 포함되며, 액션(433)은 출력정보 명(output information name)을 포함하여 구성된다.
도 4의 예를 참조하면, 보안상황 조립정책(430)의 규칙으로, 조건은 [Domain Name: "ISP A", Period: "60분"](431)이고 액션은 [Output Information Name: ["blacklist, botnet"](433)로 구성되어 있다. 이는 전송할 도메인이 "ISP A"이면 원시보안 저장부(210)에서 60분마다 블랙리스트 정보와 봇네트 정보를 생성하라는 규칙이다.
또한 도 4를 참조하면 정보 마스킹정책 저장부(230)에는 정보 마스킹 정책(450)이 저장된다. 상기 정보 마스킹 정책 역시 하나 이상의 규칙(rule)으로 구성되며 각 규칙은 조건과 그 조건이 만족 될 때 수행되는 액션(action)으로 구성된다.
상기 정보 마스킹 정책(450)은 공유할 보안정보 중에서 공개하지 않을 정보를 숨기기 위해 마스킹하는 정책이며, 마스킹 조건(451)은 도메인 명(Domain Name), 타겟필드명(target field name)을 포함하여 구성되며, 조건에 따른 액션(453)은 마스킹 값(masking value)을 포함하여 구성된다.
도 4의 예를 참조하면, 정보 마스킹 정책(450)의 규칙으로, 조건은 [Domain Name: "all", Target Field Name: "Source IP"](451)이고 조건에 따른 액션이 [Masking Value: "24 4bit Mask"](452)로 구성되어 있는데, 이것은 전송할 도메인이 누군지에 상관없이 공유할 보안정보 중에 "source IP"가 포함되어 있다면 이 정보를 24비트로 마스킹하라는 의미이다.
본 발명에 따른 바람직한 보안정책의 구성
이하는 본 발명에 따른 다양한 네트워크 도메인의 보안 정보공유 요구사항을 충족하고 과다한 공유정보의 송수신으로 발생할 수 있는 네트워크 부하를 해결하기 위한 바람직한 보안정책의 구성의 실시예를 설명하기로 한다.
즉 본 발명의 보안정보 공유장치와 방법에서 적용 가능한 보안 정책인 수신하는 네트워크 도메인에서 수신할 정보와 정보의 양을 결정하고 송신하는 네트워크 도메인에서 숨기고자 하는 정보를 결정하는 부분에 대하여 예를 들어서 설명하기로 한다.
도 4를 참조하면, 본 발명의 실시예에 따른 네트워크 도메인간의 보안정보 공유장치는, 정보를 수신하는 네트워크 도메인(즉 다른 네트워크 도메인)(204)의 요구에 의해서 공유되는 보안정보를 동적으로 결정할 수 있도록, 정보공유정책 에이전트부(280)가 정보를 수신하는 네트워크 도메인의 요구를 보안로그 통계정책(410), 보안로그 필터링정책(420) 및 보안상황 조립정책(430)에 적용한다.
또한 정보를 송신하는 네트워크 도메인(즉, 같은 네트워크 도메인)에 있는 보안 정보공유 장치(200)의 요구에 따라서 공개하지 않을 보안정보를 숨길 수 있도록 정보 마스킹 정책(450)을 설정하도록 구성되어 있다.
예를 들어, 한 네트워크 도메인이 너무 많은 보안정보를 수신함으로써 성능에 문제가 발생하였을 경우에는 송신 도메인의 보안 로그 필터링 정책의 조건(408)을 [Top N: "50"]에서 [Top N: "10"]로 변경함으로써 상위 10위안에 드는 핵심적인 보안정보만 공유할 수 있으며, 만약 더 많은 보안정보를 수신하여 자세히 분석하고 싶은 경우에는 송신 도메인의 보안로그 필터링 정책의 조건(408)을 [Top N: "50"]에서 [Top N: "100"]로 변경함으로써 가능하다.
정보 마스킹의 경우에는, 한 네트워크 도메인이 보안 로그정보는 공유하지만 source IP 주소는 공개하지 말아야 하는 요구사항이 있는 경우에, 보안 로그정보를 송신하는 도메인은 정보 마스킹 정책의 조건을 [target Field Name: "source IP"]로 하고, 이에 대한 액션으로 [Masking Value: "4bit masking"]를 등록함으로써 가능하다.
따라서, 도 4에 도시된 것과 같이, 같은 네트워크 도메인에 있는 보안정보 공유장치(200)의 정보공유정책 에이전트 부(280)는 공유하는 보안정보를 수신하는 다른 네트워크 도메인에 있는 보안정보 공유장치(204)가 정보를 송신하는 도메인의 정보공유 정책부(220)에 저장되는 보안로그통계 정책(410), 보안로그 필터링 정책(420), 보안상황 조립정책(430)을 직접 설정하게 함으로써 수신하는 도메인이 필요로 하는 보안정보를 직접 구성할 수 있도록 하는 것이 바람직하다.
또한, 같은 네트워크 도메인에 있는 보안정보 공유장치(200)의 정보공유정책 에이전트 부(280)는 같은 네트워크 도메인에 있는 공유정책 관리자(203)만이 정보 마스킹 정책 저장부(230)에 저장되는 정보 마스킹 정책(450)을 직접 설정하게 함으로써 여러 네트워크 도메인의 다양한 요구사항을 각 도메인이 직접 반영할 수 있도록 허용하는 것이 바람직할 것이다.
본 발명에 따른 네트워크 도메인간 보안정보 공유방법
이하는 상기 본 발명의 다른 측면인 네트워크 도메인간 보안정보를 공유하는 방법과 관련하여, 상기 보안정보 공유 장치(200)를 이용하여 보안정보를 공유하는 과정에 대하여 상세하게 설명하고자 한다.
특히 본 실시예에서는 해당 네트워크 도메인과 보안 정보를 공유하기로 되어있는 전체 네트워크 도메인들에 대해서, 보안 정책에 따른 공유할 보안정보를 다른 네트워크 도메인 별로 각각 생성하여 상기 다른 네트워크 도메인으로 송신하는 과정을 설명하기로 한다.
도 5는 본 발명에 따른 네트워크 도메인간에 보안정보를 공유하는 과정을 설명하는 시퀀스차트이다.
도 5를 참조하면 본 발명에 따른 네트워크 도메인간 보안정보를 공유하는 과정은 네트워크 도메인 검색단계(S510), 정보를 수신할 도메인 선택단계(S520), 정보공유 정책 검색단계(S530), 보안 로그통계정보 생성단계(S540), 보안 로그 필터링단계(S550), 보안상황정보 생성단계(S560), 정보 마스킹정책 검색단계(S570), 보안정보 마스킹단계(S575). 보안정보에 대한 프로토콜 메시지 생성단계(S580), 프로토콜 메시지 송신단계(S590)를 포함하여 구성된다.
네트워크 도메인 검색단계(S510)에서는, 상기 도메인 선택부(240)에서 상기 보안정보 공유장치(200)의 정보공유 정책 저장부(220)에 등록된 보안정보를 공유하는 네트워크 도메인을 모두 검색한다.
다음으로, 정보를 수신할 도메인 선택단계(S520)에서는, 상기 단계에서 검색된 네트워크 도메인 리스트 중에서 정보공유정책을 반영하기 위한 하나의 도메인을 선택한다. 이는 일반적으로 특정한 순서 또는 임의의 순서에 의하여 정렬된 도메인 중 하나를 선택하게 될 것이다. 또는 특정 검색조건이 주어진 경우라면, 조건에 만족하는 도메인이 선택될 수도 있다. 지금의 실시예는 정보공유정책에 등록된 모든 네트워크 도메인을 검색하여 순차적으로 공유정보를 송신하는 과정을 보여주고자 한다.
정보공유 정책 검색단계(S530)는 상기 단계에서 선택된 도메인에 대하여 정보공유 정책 저장부(220)를 검색하여 보안로그 통계정책, 보안로그 필터링 정책, 보안상황 조립정책이 존재하는지 여부를 파악하여 어떤 공유정보를 생성할지를 결정한다.
만일, 상기 선택된 도메인에 대한 보안 로그 통계정책이 정보공유 정책 저장부(220)에 존재한다면(S531), 원시보안정보 저장부(210)에 저장된 보안 로그정보에 대하여 상기 보안 로그 통계정책을 적용하여 통계정보를 생성한다(S540).
또한, 상기 선택된 도메인에 대한 보안 로그 필터링정책이 정보공유 정책 저장부(220)에 존재한다면(S533), 원시보안정보 저장부(210)에 저장된 보안 로그정보를 상기 필터링정책에 따라 필터링하여 최종적으로 공유할 보안 로그정보를 생성한다(S550).
또한, 상기 선택된 도메인에 대한 보안 상황 조립정책이 정보공유 정책 저장부(220)에 존재한다면(S535), 원시보안정보 저장부(210)에 저장된 개별적인 보안상황 정보를 조립하여 최종적으로 공유할 보안 상황정보를 생성한다(S560).
정보 마스킹 정책 검색단계(S570)는 상기 단계에서 선택된 도메인에 대하여 정보 마스킹 정책 저장부(230)를 검색하여 정보 마스킹정책이 존재하는지 여부를 파악한다.
만일 상기 선택된 도메인과 관련된 정보 마스킹 정책이 정보 마스킹 정책 저장부(230)에 존재한다면(S571), 상기 단계(S540~S560)에서 생성된 보안정보인, 보안 로그통계정보, 필터링된 보안 로그정보, 보안상황정보에 대하여 상기 마스킹 정책을 적용하여 마스킹한다(S575).
다음으로 보안정보에 대한 프로토콜 메시지 생성단계(S580)에서는 상기 마스킹 단계를 거친 공유보안정보에 대한 프로토콜 메시지를 생성하고 이어 상기 선택된 도메인으로 상기 생성된 포로토콜 메시시를 전달(S590)한다.
상기의 보안정보를 공유하는 과정(S520 내지 S590)은 정보공유정책 저장부에 등록된 모든 도메인에 대하여 반복적으로 수행된다.
상기와 같이 공유되는 보안정보를 타 도메인으로의 송신하는 경우, 모든 도메인에 대하여 특정시점에 일괄적으로 송신할 수도 있고, 특정 도메인의 요청에 따라, 요청도메인에 대해서만 보안정보를 생성하여 송신할 수도 있을 것이다. 보안정보를 생성하여 송신하는 방법(일괄, 개별)이나 시점은 한정되지 않는다.
이상 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.

Claims (15)

  1. 사이버(cyber) 공격 탐지 정보를 포함한 보안 로그(log) 정보 및 네트워크 도메인의 보안 상황을 나타내는 보안 상황 정보를 포함하는 원시 보안 정보를 저장하는 정보 저장부;
    다른 네트워크 도메인(network domain)과 공유할 공유 보안 정보를 생성하기 위해 사용되는 공유 정책 및 상기 다른 네트워크 도메인에 공개하지 않을 비-공개 정보를 마스킹(masking)하기 위해 사용되는 마스킹 정책을 저장하는 정책 저장부; 및
    상기 공유 정책을 상기 원시 보안 정보에 적용하여 상기 공유 보안 정보를 생성하고, 상기 마스킹 정책을 기반으로 상기 공유 보안 정보에 포함된 상기 비-공개 정보를 마스킹하는 처리부를 포함하는 보안 정보 공유 장치.
  2. 청구항 1에 있어서,
    상기 처리부는,
    마스킹 처리된 공유 보안 정보를 전송하기 위해 프로토콜 메시지(protocol message)를 생성하는 것을 특징으로 하는 보안 정보 공유 장치.
  3. 청구항 2에 있어서,
    상기 처리부는,
    상기 프로토콜 메시지를 상기 다른 네트워크 도메인에 전송하는 것을 특징으로 하는 보안 정보 공유 장치.
  4. 삭제
  5. 청구항 1에 있어서,
    상기 보안 상황 정보는 사고 정보 및 블랙 리스트(black list) 정보를 포함하는 것을 특징으로 하는 보안 정보 공유 장치.
  6. 청구항 1에 있어서,
    상기 공유 정책은 적어도 하나의 조건 및 상기 조건을 만족하는 경우에 수행되는 액션(action)을 포함하는 것을 특징으로 하는 보안 정보 공유 장치.
  7. 청구항 1에 있어서,
    상기 공유 정책은,
    상기 원시 보안 정보에 포함된 비-공유 정보를 필터링(filtering)하기 위한 필터링 정책을 포함하는 것을 특징으로 하는 보안 정보 공유 장치.
  8. 청구항 1에 있어서,
    상기 공유 정책은 상기 원시 보안 정보에 대한 통계 정보를 생성하기 위한 통계 정책을 포함하는 것을 특징으로 하는 보안 정보 공유 장치.
  9. 보안 정보 공유 장치에서 수행되는 보안 정보 공유 방법으로서,
    사이버(cyber) 공격 탐지 정보를 포함한 보안 로그(log) 정보 및 네트워크 도메인의 보안 상황을 나타내는 보안 상황 정보를 포함하는 원시 보안 정보에 공유 정책을 적용하여 공유 보안 정보를 생성하는 단계; 및
    마스킹(masking) 정책을 기반으로 상기 공유 보안 정보에 포함된 비-공개 정보를 마스킹하는 단계를 포함하되,
    상기 공유 정책은 다른 네트워크 도메인(network domain)과 공유할 상기 공유 보안 정보를 생성하기 위해 사용되고, 상기 마스킹 정책은 상기 비-공개 정보를 마스킹하기 위해 사용되고, 상기 비-공개 정보는 상기 다른 네트워크 도메인에 공개하지 않을 정보인, 보안 정보 공유 방법.
  10. 청구항 9에 있어서,
    상기 보안 정보 공유 방법은,
    마스킹 처리된 공유 보안 정보를 전송하기 위해 프로토콜 메시지(protocol message)를 생성하는 단계를 더 포함하는 것을 특징으로 하는 보안 정보 공유 방법.
  11. 청구항 10에 있어서,
    상기 보안 정보 공유 방법은,
    상기 프로토콜 메시지를 상기 다른 네트워크 도메인에 전송하는 단계를 더 포함하는 것을 특징으로 하는 보안 정보 공유 방법.
  12. 삭제
  13. 청구항 9에 있어서,
    상기 보안 상황 정보는 사고 정보 및 블랙 리스트(black list) 정보를 포함하는 것을 특징으로 하는 보안 정보 공유 방법.
  14. 청구항 9에 있어서,
    상기 공유 정책은,
    상기 원시 보안 정보에 포함된 비-공유 정보를 필터링(filtering)하기 위한 필터링 정책을 포함하는 것을 특징으로 하는 보안 정보 공유 방법.
  15. 청구항 9에 있어서,
    상기 공유 정책은 상기 원시 보안 정보에 대한 통계 정보를 생성하기 위한 통계 정책을 포함하는 것을 특징으로 하는 보안 정보 공유 방법.
KR1020100107238A 2010-10-29 2010-10-29 네트워크 도메인간 보안정보 공유 장치 및 방법 KR101425107B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020100107238A KR101425107B1 (ko) 2010-10-29 2010-10-29 네트워크 도메인간 보안정보 공유 장치 및 방법
US13/182,972 US20120110633A1 (en) 2010-10-29 2011-07-14 Apparatus for sharing security information among network domains and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100107238A KR101425107B1 (ko) 2010-10-29 2010-10-29 네트워크 도메인간 보안정보 공유 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20120046891A KR20120046891A (ko) 2012-05-11
KR101425107B1 true KR101425107B1 (ko) 2014-08-01

Family

ID=45998143

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100107238A KR101425107B1 (ko) 2010-10-29 2010-10-29 네트워크 도메인간 보안정보 공유 장치 및 방법

Country Status (2)

Country Link
US (1) US20120110633A1 (ko)
KR (1) KR101425107B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180029900A (ko) * 2016-09-13 2018-03-21 암, 리미티드 전자 시스템들에서의 로그 데이터의 관리

Families Citing this family (61)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8515912B2 (en) 2010-07-15 2013-08-20 Palantir Technologies, Inc. Sharing and deconflicting data changes in a multimaster database system
US9781148B2 (en) * 2008-10-21 2017-10-03 Lookout, Inc. Methods and systems for sharing risk responses between collections of mobile communications devices
US9955352B2 (en) 2009-02-17 2018-04-24 Lookout, Inc. Methods and systems for addressing mobile communications devices that are lost or stolen but not yet reported as such
US9426169B2 (en) 2012-02-29 2016-08-23 Cytegic Ltd. System and method for cyber attacks analysis and decision support
GB2502254B (en) * 2012-04-20 2014-06-04 F Secure Corp Discovery of suspect IP addresses
US9088606B2 (en) * 2012-07-05 2015-07-21 Tenable Network Security, Inc. System and method for strategic anti-malware monitoring
US9081975B2 (en) 2012-10-22 2015-07-14 Palantir Technologies, Inc. Sharing information between nexuses that use different classification schemes for information access control
US9501761B2 (en) 2012-11-05 2016-11-22 Palantir Technologies, Inc. System and method for sharing investigation results
US9965937B2 (en) 2013-03-15 2018-05-08 Palantir Technologies Inc. External malware data item clustering and analysis
US8818892B1 (en) 2013-03-15 2014-08-26 Palantir Technologies, Inc. Prioritizing data clusters with customizable scoring strategies
US9335897B2 (en) 2013-08-08 2016-05-10 Palantir Technologies Inc. Long click display of a context menu
US10122747B2 (en) 2013-12-06 2018-11-06 Lookout, Inc. Response generation after distributed monitoring and evaluation of multiple devices
US9753796B2 (en) 2013-12-06 2017-09-05 Lookout, Inc. Distributed monitoring, evaluation, and response for multiple devices
US9338013B2 (en) 2013-12-30 2016-05-10 Palantir Technologies Inc. Verifiable redactable audit log
US8832832B1 (en) 2014-01-03 2014-09-09 Palantir Technologies Inc. IP reputation
US9009827B1 (en) 2014-02-20 2015-04-14 Palantir Technologies Inc. Security sharing system
US9021260B1 (en) 2014-07-03 2015-04-28 Palantir Technologies Inc. Malware data item analysis
US10572496B1 (en) 2014-07-03 2020-02-25 Palantir Technologies Inc. Distributed workflow system and database with access controls for city resiliency
US9785773B2 (en) 2014-07-03 2017-10-10 Palantir Technologies Inc. Malware data item analysis
US9202249B1 (en) 2014-07-03 2015-12-01 Palantir Technologies Inc. Data item clustering and analysis
WO2016014029A1 (en) * 2014-07-22 2016-01-28 Hewlett-Packard Development Company, L.P. Conditional security indicator sharing
WO2016014030A1 (en) * 2014-07-22 2016-01-28 Hewlett-Packard Development Company, L.P. Security indicator access determination
US9419992B2 (en) 2014-08-13 2016-08-16 Palantir Technologies Inc. Unwanted tunneling alert system
US9043894B1 (en) 2014-11-06 2015-05-26 Palantir Technologies Inc. Malicious software detection in a computing system
US9367872B1 (en) 2014-12-22 2016-06-14 Palantir Technologies Inc. Systems and user interfaces for dynamic and interactive investigation of bad actor behavior based on automatic clustering of related data in various data structures
US9648036B2 (en) 2014-12-29 2017-05-09 Palantir Technologies Inc. Systems for network risk assessment including processing of user access rights associated with a network of devices
US9467455B2 (en) 2014-12-29 2016-10-11 Palantir Technologies Inc. Systems for network risk assessment including processing of user access rights associated with a network of devices
US10372879B2 (en) 2014-12-31 2019-08-06 Palantir Technologies Inc. Medical claims lead summary report generation
WO2016209288A1 (en) 2015-06-26 2016-12-29 Hewlett Packard Enterprise Development Lp Sharing of community-based security information
US9407652B1 (en) 2015-06-26 2016-08-02 Palantir Technologies Inc. Network anomaly detection
WO2016209291A1 (en) * 2015-06-26 2016-12-29 Hewlett Packard Enterprise Development Lp Alerts for communities of a security information sharing platform
US9456000B1 (en) 2015-08-06 2016-09-27 Palantir Technologies Inc. Systems, methods, user interfaces, and computer-readable media for investigating potential malicious communications
US10489391B1 (en) 2015-08-17 2019-11-26 Palantir Technologies Inc. Systems and methods for grouping and enriching data items accessed from one or more databases for presentation in a user interface
US10102369B2 (en) 2015-08-19 2018-10-16 Palantir Technologies Inc. Checkout system executable code monitoring, and user account compromise determination system
US9537880B1 (en) 2015-08-19 2017-01-03 Palantir Technologies Inc. Anomalous network monitoring, user behavior detection and database system
EP3342121B1 (en) 2015-08-27 2023-06-28 DRNC Holdings, Inc. Trustworthy cloud-based smart space rating with distributed data collection
US10764329B2 (en) 2015-09-25 2020-09-01 Micro Focus Llc Associations among data records in a security information sharing platform
WO2017062038A1 (en) 2015-10-09 2017-04-13 Hewlett Packard Enterprise Development Lp Privacy preservation
WO2017062037A1 (en) 2015-10-09 2017-04-13 Hewlett Packard Enterprise Development Lp Performance tracking in a security information sharing platform
US10044745B1 (en) 2015-10-12 2018-08-07 Palantir Technologies, Inc. Systems for computer network security risk assessment including user compromise analysis associated with a network of devices
US9916465B1 (en) 2015-12-29 2018-03-13 Palantir Technologies Inc. Systems and methods for automatic and customizable data minimization of electronic data stores
US10956565B2 (en) * 2016-02-12 2021-03-23 Micro Focus Llc Visualization of associations among data records in a security information sharing platform
US10498711B1 (en) 2016-05-20 2019-12-03 Palantir Technologies Inc. Providing a booting key to a remote system
US10084802B1 (en) 2016-06-21 2018-09-25 Palantir Technologies Inc. Supervisory control and data acquisition
US10291637B1 (en) 2016-07-05 2019-05-14 Palantir Technologies Inc. Network anomaly detection and profiling
US10698927B1 (en) 2016-08-30 2020-06-30 Palantir Technologies Inc. Multiple sensor session and log information compression and correlation system
US10728262B1 (en) 2016-12-21 2020-07-28 Palantir Technologies Inc. Context-aware network-based malicious activity warning systems
US10754872B2 (en) 2016-12-28 2020-08-25 Palantir Technologies Inc. Automatically executing tasks and configuring access control lists in a data transformation system
US10721262B2 (en) 2016-12-28 2020-07-21 Palantir Technologies Inc. Resource-centric network cyber attack warning system
US10963465B1 (en) 2017-08-25 2021-03-30 Palantir Technologies Inc. Rapid importation of data including temporally tracked object recognition
US10984427B1 (en) 2017-09-13 2021-04-20 Palantir Technologies Inc. Approaches for analyzing entity relationships
US10079832B1 (en) 2017-10-18 2018-09-18 Palantir Technologies Inc. Controlling user creation of data resources on a data processing platform
GB201716170D0 (en) 2017-10-04 2017-11-15 Palantir Technologies Inc Controlling user creation of data resources on a data processing platform
US10250401B1 (en) 2017-11-29 2019-04-02 Palantir Technologies Inc. Systems and methods for providing category-sensitive chat channels
US11133925B2 (en) 2017-12-07 2021-09-28 Palantir Technologies Inc. Selective access to encrypted logs
US10878051B1 (en) 2018-03-30 2020-12-29 Palantir Technologies Inc. Mapping device identifiers
KR101964592B1 (ko) * 2018-04-25 2019-04-02 한국전자통신연구원 보안위협 정보 공유 장치 및 방법
US10949400B2 (en) 2018-05-09 2021-03-16 Palantir Technologies Inc. Systems and methods for tamper-resistant activity logging
EP3694173B1 (en) 2019-02-08 2022-09-21 Palantir Technologies Inc. Isolating applications associated with multiple tenants within a computing platform
EP3796165A1 (en) 2019-09-18 2021-03-24 Palantir Technologies Inc. Systems and methods for autoscaling instance groups of computing platforms
KR102480222B1 (ko) * 2022-03-31 2022-12-23 주식회사 오픈텔 룰메이커 인터페이스 제공 시스템 및 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100270146B1 (ko) * 1995-11-29 2000-10-16 가나이 쓰도무 정보 액세스 방법
KR20100053407A (ko) * 2008-11-12 2010-05-20 엘지전자 주식회사 보안정보 공유방법

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8065725B2 (en) * 2003-05-30 2011-11-22 Yuliang Zheng Systems and methods for enhanced network security
US8533819B2 (en) * 2006-09-29 2013-09-10 At&T Intellectual Property Ii, L.P. Method and apparatus for detecting compromised host computers
US8959568B2 (en) * 2007-03-14 2015-02-17 Microsoft Corporation Enterprise security assessment sharing
CN101335692B (zh) * 2007-06-27 2013-03-13 华为技术有限公司 协商pcc和pce之间安全能力的方法及其网络***
FR2921779B1 (fr) * 2007-09-28 2011-02-18 Alcatel Lucent Communication d'une information de risque dans un reseau multi-domaine
US8955107B2 (en) * 2008-09-12 2015-02-10 Juniper Networks, Inc. Hierarchical application of security services within a computer network

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100270146B1 (ko) * 1995-11-29 2000-10-16 가나이 쓰도무 정보 액세스 방법
KR20100053407A (ko) * 2008-11-12 2010-05-20 엘지전자 주식회사 보안정보 공유방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180029900A (ko) * 2016-09-13 2018-03-21 암, 리미티드 전자 시스템들에서의 로그 데이터의 관리
KR102328938B1 (ko) * 2016-09-13 2021-11-22 암, 리미티드 전자 시스템들에서의 로그 데이터의 관리

Also Published As

Publication number Publication date
US20120110633A1 (en) 2012-05-03
KR20120046891A (ko) 2012-05-11

Similar Documents

Publication Publication Date Title
KR101425107B1 (ko) 네트워크 도메인간 보안정보 공유 장치 및 방법
US11159546B1 (en) Methods and systems for efficient threat context-aware packet filtering for network protection
JP6080910B2 (ja) 悪意のあるソフトウェアに対するネットワーク・レベル保護をするシステム及び方法
EP2837131B1 (en) System and method for determining and using local reputations of users and hosts to protect information in a network environment
EP2139199B1 (en) Dynamic policy provisioning within network security devices
US7934253B2 (en) System and method of securing web applications across an enterprise
US20080034424A1 (en) System and method of preventing web applications threats
US20110154492A1 (en) Malicious traffic isolation system and method using botnet information
US9253153B2 (en) Anti-cyber hacking defense system
Arukonda et al. The innocent perpetrators: reflectors and reflection attacks
WO2008011576A2 (en) System and method of securing web applications across an enterprise
Shaar et al. DDoS attacks and impacts on various cloud computing components
CA3108494A1 (en) System and method for generating and refining cyber threat intelligence data
EP4080822B1 (en) Methods and systems for efficient threat context-aware packet filtering for network protection
Richardson The development of a database taxonomy of vulnerabilities to support the study of denial of service attacks
Chia SPAR: An autonomous SDN intrusion response framework using combinatorial optimization over a probabilistic attack graph
WO2022225951A1 (en) Methods and systems for efficient threat context-aware packet filtering for network protection
Kaemarungsi et al. Botnet statistical analysis tool for limited resource computer emergency response team

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170627

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180627

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190625

Year of fee payment: 6