KR101610893B1 - 세션 로그 처리 방법 및 장치 - Google Patents

세션 로그 처리 방법 및 장치 Download PDF

Info

Publication number
KR101610893B1
KR101610893B1 KR1020140195591A KR20140195591A KR101610893B1 KR 101610893 B1 KR101610893 B1 KR 101610893B1 KR 1020140195591 A KR1020140195591 A KR 1020140195591A KR 20140195591 A KR20140195591 A KR 20140195591A KR 101610893 B1 KR101610893 B1 KR 101610893B1
Authority
KR
South Korea
Prior art keywords
session
log
function module
utm
nat
Prior art date
Application number
KR1020140195591A
Other languages
English (en)
Inventor
송민수
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020140195591A priority Critical patent/KR101610893B1/ko
Application granted granted Critical
Publication of KR101610893B1 publication Critical patent/KR101610893B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명은 통합 보안 장치에서 각 기능별 패킷 및 세션 처리 결과를 통합적으로 확인할 수 있도록 세션 로그를 생성하거나 조회하는 방법 및 장치를 개시한다.
본 발명에 따른 세션 로그 처리 방법은 세션이 UTM(Unified Threat Management)에 유입되는 단계, 유입된 세션에 대한 세션 ID를 발급하는 단계, UTM의 적어도 하나의 기능 모듈에서의 세션의 처리 결과를 세션 추적정보로서 저장하는 단계, UTM의 적어도 하나의 기능 모듈에서의 처리 결과를 수집하여 하나의 통합 세션 로그를 생성하는 단계를 포함한다.

Description

세션 로그 처리 방법 및 장치{METHOD AND APPARATUS FOR HANDLING OR CHECKING A SESSION LOG}
본 발명은 세션 로그를 처리하는 방법 및 장치에 관한 것으로서, 더욱 상세하게는 통합 보안 장치에서 각 기능별 패킷 및 세션 처리 결과를 통합적으로 확인할 수 있도록 세션 로그를 처리하는 방법 및 장치에 관한 것이다.
통합 보안 장치(Unified Threat Management, 이하 UTM)는 하나의 장비에서 여러 보안 기능을 통합적으로 제공하는 보안 시스템을 지칭한다. 이러한 UTM은 다양하고 복잡한 보안 위협에 대응하고 관리 편의성과 비용절감의 장점이 있어, 네트워크 보안 시장에서 점차 그 중요성을 더해가고 있다.
특히, 최근에는 DDos, 봇넷, 좀비PC 등을 이용한 공격, 파괴적이고 더욱 강력해진 컴퓨터 바이러스 공격, 또는 해커에 의한 정보유출사고 등 보안을 위협하는 요소들이 다양해지고 복잡해짐에 따라, 단일 보안 솔루션으로 이러한 보안 위협들을 해소하기가 어렵게 되었고 그에 따른 효과적인 보안 솔루션으로서 UTM이 각광받게 되었다.
UTM은 일반적으로 다양한 보안 기능을 수행하며, ASIC기반으로 고속 처리 가능가 가능하고, 단일 보안 장비 구성으로 네트워크를 심플하게 구성할 수 있으며, 모든 보안 기능을 단일 장비에서 수행하므로 관리에 걸리는 노력이 최소화되거, 장애 포인트를 최소화하여 장애 처리 시간 단축되는 등 다양한 장점을 갖는다.
이와 같이, UTM에는 다양한 효과 및 장점이 있기 때문에, 이러한 UTM을 효과적으로 활용하기 위해서는 그 기능 및 효율성을 향상시키 위한 다양한 솔루션들이 개발될 필요가 있다.
본 발명의 목적은 UTM의 각 기능 별 패킷 및 세션 처리 결과를 통합적으로 확인할 수 있게 하는, 세션 로그 처리 방법 및 장치를 제공하는 데 있다.
본 발명의 다른 목적은 통합 적인 세션 로그를 통해 한번에 전체 세션 처리 결과를 조회할 수 있도록 함으로써 UTM 장치의 사용자 편의성을 향상시키는, 세션 로그 처리 방법 및 장치를 제공하는 데 있다.
본 발명의 실시 예들에 따른 세션 로그 처리 방법은, 세션이 UTM(Unified Threat Management)에 유입되는 단계; 상기 유입된 세션에 대한 세션 ID를 발급하는 단계; 상기 UTM의 적어도 하나의 기능 모듈에서의 상기 세션의 처리 결과를 상기 세션의 세션 추적정보로서 저장하는 단계; 및 상기 UTM의 상기 적어도 하나의 기능 모듈에서의 상기 처리 결과를 수집하여 하나의 통합 세션 로그를 생성하는 단계를 포함한다.
실시 예로서, 상기 세션은, 상기 세션 ID가 저장되는 세션 ID 영역; 및 상기 세션 추적 정보가 저장되는 세션 추적정보 영역을 포함한다.
실시 예로서, 상기 세션 ID를 발급하는 단계는, pre-FW 단계의 NAT 또는 FW에서 수행되며, 상기 pre-FW 단계의 NAT에서 세션의 첫 패킷을 드랍하거나 세션이 생성될 때 발급된다.
실시 예로서, 상기 세션 ID를 발급하는 단계는, 상기 pre-FW 단계의 NAT에서 세션 ID가 발급되지 않은 경우, 상기 FW에서 세션이 생성될 때 발급된다.
실시 예로서, 상기 세션의 처리 결과는 허용, 탐지 또는 차단으로 표시되며, 상기 세션의 동적 규칙(Dynamic Rule, 이하 drule)을 참조하여 상기 세션의 세션 추적정보 처리 영역에 저장된다.
실시 예로서, 상기 통합 세션 로그는 세션 로그 파일로써 저장되고, 상기 세션 로그 파일은 각 기능 모듈별 처리 결과를 저장하는 기능별 로그 파일을 포함한다.
실시 예로서, 사용자 요청에 응답하여, 상기 통합 세션 로그에 기반한 상기 세션의 기능 모듈별 처리 결과를 사용자에게 표시하는 단계를 더 포함한다.
실시 예로서, 상기 사용자에게 표시하기 위한 사용자 인터페이스는, 상기 세션 로그 파일에 기반하여 구성되는 기본 정보 영역; 및 상기 기능별 로그 파일에 기반하여 구성되는 상세 정보 영역을 포함하고, 상기 기본 정보 영역에는 적어도 하나의 세션에 대해 각 기능 모듈에서의 처리 결과가 순차적으로 표시된다.
실시 예로서, 상기 기본 정보 영역에 표시되는 상기 각 기능 모듈에서의 처리 결과는, 허용, 탐지 또는 차단 여부에 따라 상이한 색으로 표시된다.
실시 예로서, 상기 상세 정보 영역에는 상기 적어도 하나의 세션 중에서 사용자 선택된 세션에 대해 각 기능 모듈별 추가 정보가 표시된다.
본 발명의 실시 예들에 따르면, 사용자는 UTM 장치에서 각 기능 별 패킷 및 세션 처리 결과를 통합적으로 조회 및 검색할 수 있게 된다.
또한, 사용자가 한번에 전체 세션 처리 결과를 조회할 수 있으므로, UTM의 사용자 편의성 및 UTM을 통한 작업 효율이 향상될 수 있다.
도 1은 본 발명의 일 실시 예에 따른 UTM 장치의 구성을 나타내는 블록도이다.
도 2는 일반적인 UTM 장치의 패킷 처리 흐름을 나타내는 블록도이다.
도 3은 본 발명의 일 실시 예에 따른 세션 로그 생성하거나 조회하는 방법 및 장치에 사용되는 세션 구조를 나타내는 개요도이다.
도 4는 본 발명의 일 실시 예에 따른 FW의 동작에 따른 세션 로그 처리 방법을 나타내는 순서도이다.
도 5는 본 발명의 일 실시 예에 따른 IPS, AppSec, VPN의 동작에 따른 세션 로그 처리 방법을 나타내는 순서도이다.
도 6은 본 발명의 일 실시 예에 따른 NAT의 동작에 따른 세션 로그 처리 방법을 나타내는 순서도이다.
도 7은 본 발명의 일 실시 예에 따른 UTM 장치의 세션 로그 처리 흐름을 나타내는 개요도이다.
도 8은 본 발명의 일 실시 예에 따른 세션 로그 통합 조회 화면을 나타내는 사용자 인터페이스이다.
본 명세서는 본 발명이 실시될 수 있는 특정 실시예를 도시하는 첨부 도면을 참조한다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없다. 예를 들어, 여기서 어떤 실시예에 관련하여 기재된 특정 형상, 구조 및 특성들은 본 발명의 사상 및 범위를 벗어나지 않으면서 다른 실시예에서도 동일하게 구현될 수 있다.
본 명세서에서 사용된 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로서, 본 발명을 한정하려는 의도를 내포하지 않는다. 사용된 용어들에서 단수의 표현은 문맥상 명백하게 다르게 지칭되지 않는 한, 복수의 표현을 포함한다.
각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 사상 및 범위를 벗어나지 않는 범위 내에서 다양하게 변경될 수 있다. 나아가, 도면에서의 각 구성요소들의 크기는 설명을 위하여 과장될 수 있으며, 실제로 적용되는 크기를 의미하는 것은 아니다. 유사한 참조부호가 도면들에서 사용되는 경우, 유사한 참조부호는 여러 실시예들에 대해서 동일하거나 유사한 기능을 지칭한다.
이하에서는, 첨부한 도면들을 참조하여, 구체적인 실시예를 통해 본 발명의 내용 및 사상을 설명한다.
도 1은 본 발명의 일 실시 예에 따른 UTM 장치의 구성을 나타내는 블록도이다. 도 1을 참조하면, UTM(10)은 세션(11)을 수신하여 내부의 기능 모듈들(12)을 통해 통합 세션 로그(13)를 생성하고, 생성된 통합 세션 로그(13)에 기반하여 기능 별 패킷 및 세션 처리 결과를 한번에 통합 조회 또는 검색이 가능하도록 사용자에게 표시한다.
세션(11)은 UTM(10) 내로 유입된 세션으로서 적어도 하나의 데이터 패킷을 포함할 수 있다.
UTM 내부의 기능 모듈들(12)은 각각 정해진 보안 기능을 수행하는 모듈들로서, 네트워크 주소 변환부(Network Address Translation, 이하 NAT), 가설사설망(Virtual Private Network, 이하 VPN), 방화벽(Firewall, 이하 FW), 침입방지시스템(Intrusion Prevention System, 이하 IPS) 및 어플리케이션 보안부(Application Security, 이하 AppSec)를 포함한다.
NAT, VPN, FW, IPS 및 AppSec의 상세 내용에 대해서는 당해 기술분야에 널리 알려져 있으므로, 여기서는 그에 대한 설명을 생략한다.
로그(13)는 세션(11)이 기능 모듈들(12) 내에서 처리된 결과를 한번에 보여줄 수 있도록 갈 기능별 처리 결과 정보를 포함하는 로그로서, 이후에 사용자에게 세션 통합 처리 결과를 표시하기 위해 참조된다.
한편, 세션(11)에 대한 통합 로그(13)가 생성 및 처리되는 구체적인 방법에 대해서는 도 2 내지 도 7에서 상세히 후술된다.
위와 같은 본 발명의 개념적 사상에 따르면, 사용자는 통합 로그를 이용하여 UTM 장치의 기능별 세션 처리 결과를 한번에 통합적으로 조회 및 검색할 수 있게 된다. 즉, 사용자는 UTM의 전체 세션 처리 결과를 한번에 조회할 수 있으므로 UTM의 사용자 편의성 및 UTM을 통한 작업 효율이 크게 향상될 수 있다.
도 2는 일반적인 UTM 장치의 패킷 처리 흐름을 나타내는 블록도(20)이다.
도 2에서, 세션(11)이 기능 모듈들에 유입되면, 먼저 세션은 NAT(21)에 제공된다. NAT(21)에서 처리된 세션은 FW(22, pre-FW)에 제공되고, FW(22)에서 세션은 제 1 VPN(23)으로 인바운드(inbound)되거나(a), 제 2 VPN(24)으로 아웃바운드(outbound)된다(b). 또는 FW(22)에 유입된 세션은 HA(25)를 통해 처리되거나, post-FW 단계에서 NAT(26)를 통해 처리될 수도 있다. 또는, FW(22)는 IPS(27) 또는 AppSec(28)와 인터페이스하여 세션 추적정보를 처리할 수 있다.
한편, 로컬 아웃(Local out, 2)된 세션은 FW(29, post-FW)에 유입되어 VPN(26)을 통해 처리될 수 있다.
도 2에 도시된 기능 모듈들의 동작 및 세션 또는 패킷 처리 흐름은 당해 기술분야에 널리 알려져 있는 일반적인 기술 사항이므로, 여기서는 그에 대한 상세한 설명은 생략한다.
도 3은 본 발명의 일 실시 예에 따른 세션 로그 생성하거나 조회하는 방법 및 장치에 사용되는 세션 구조를 나타내는 개요도이다. 도 3을 참조하면, 본 발명에서 사용되는 세션(11)은 세션 ID 영역(11a) 및 세션 추적정보 영역(11b)을 포함한다.
사용자가 UTM내 모든 기능 모듈의 처리를 한눈에 조회할 수 있도록 하기 위하여, 세션(11)은 고유한 ID인 세션 ID 영역(11a) 및 기능별 처리 결과인 세션 추적정보 영역(11b)을 포함하도록 구성된다.
세션 ID 영역(11a)은 세션(11)의 고유한 ID(identification, 식별자)로서, SKB와 동적 규칙(Dynamic Rule, 이하 drule)의 구조체 멤버이다. 여기서 SKB는 UTM 내에서 패킷과 패킷 처리 정보를 담고 있는 버퍼를 의미하며, drule은 기능 모듈의 세션 처리 정보를 담고 있는 구조체를 의미한다.
세션 ID 영역(11a)은 세션 ID를 저장하기 위한 적어도 8바이트로 구성되며, 유효값은 1부터 0xffffffffffffffff까지 1씩 순차 증가한다. 이러한 세션 ID 영역(11a)은 그 유효값이 상당히 긴 시간 동안 유일한 값을 보장할 수 있도록 충분히 큰 크기를 가져야 한다.
세션 ID 영역(11a)의 세션 ID는 NAT 또는 FW에서 발급된다. 구체적으로, FW 전의 NAT(즉, pre-FW 단계의 NAT)에서 세션의 첫 패킷을 드랍할 때 발급되거나, FW 전의 NAT나 FW에서 세션을 생성할 때 발급된다. 이때, NAT에서 세션 ID를 발급했다면, FW에서는 세션 ID를 발급하지 않는다.
세션 추적정보 영역(11b)는 각 기능 모듈별 세션 처리 결과를 포함하고 있으며, SKB와 방화벽 Dynamic Rule의 구조체 멤버이다. 세션 추적정보 영역(11b)에는 세션이 기능 모듈을 통과한 후 해당 기능 모듈의 ID 및 처리 결과(예를 들어, 허용, 탐지 또는 차단)이 저장된다.
세션 추적정보 영역(11b)는 기능 모듈별 세션 처리 결과를 저장하기 위한 적어도 8 바이트로 구성되며, 그중 기능 모듈별 세션 처리 결과를 저장하기 위해 2비트(K)가 할당되며, 최대 32개의 기능 모듈별 세션 추적 정보가 저장될 수 있다.
실시 예로서, 기능 모듈별 세션 처리 결과가 정상인 경우 1로, 비정상 알림인 경우 2로, 차단인 경우 3으로 그 결과값이 저장될 수 있으며, 초기값은 0으로 설정된다.
세션 추적정보 영역(11b)은 패킷 또는 세션을 처리 중인 기능 모듈이 비활성화 상태이거나 수행한 작업이 없는 경우, 세션 추적정보가 갱신되지 않는다. 예를 들어, NAT가 비활성화 상태이거나 NAT가 어떤 작업을 수행하지 않은 패킷 또는 세션인 경우, 세션 추적정보 영역(11b)에는 NAT의 처리 결과가 표시되지 않는다.
도 4는 본 발명의 일 실시 예에 따른 FW의 동작에 따른 세션 로그 처리 방법을 나타내는 순서도이다. 도 4를 참조하면, FW의 동작에 따른 세션 로그 처리 방법은 S110 단계 내지 S170 단계를 포함한다.
S110 단계에서, 세션 로그 처리 방법은 먼저 세션이 생성되는지 판단한다. 세션이 생성되었으면 세션 로그 처리 방법은 S120 단계로 진행한다. 그렇지 않으면, 세션 로그 처리 방법은 S130 단계로 진행한다.
S120 단계에서, FW에서 세션이 생성되었으므로, 세션 추적정보 영역(11b)에 FW에서 허용되었음을 표시한다. 표시가 완료되면 세션 로그 처리 방법은 S170 단계로 진행한다.
S130 단계에서, 세션 로그 처리 방법은 FW에서 패킷이 드랍되는지 판단한다. 패킷이 드랍되면, 세션 로그 처리 방법은 S140 단계로 진행한다. 그렇지 않으면, 세션 로그 처리 방법은 S150 단계로 진행한다.
S140 단계에서, FW에서 패킷이 드랍된 경우이므로, 세션 로그 처리 방법은 세션 추적정보 영역(11b)에 FW에서 차단되었음을 표시한다. 표시가 완료되면 세션 로그 처리 방법은 S170 단계로 진행한다.
S150 단계에서, 세션 로그 처리 방법은 FW에서 drule이 삭제되는지 판단한다. drule 삭제 되었으면, 세션 로그 처리 방법은 S140 단계로 진행한다. 그렇지 않으면, 세션 로그 처리 방법은 S170 단계로 진행한다.
S160 단계에서, drule이 삭제된 경우이므로, 세션 로그 처리 방법은 세션 추적정보 영역(11b)에 FW에서 drule이 삭제되었음을 표시한다. 표시가 완료되면 세션 로그 처리 방법은 S170 단계로 진행한다.
S170 단계에서, FW에서의 모든 기능이 완료되었는지 확인한다. 모든 기능이 완료되었으면, FW에서의 세션 로그 처리 방법은 종료한다. 그렇지 않으면, 세션 로그 처리 방법은 S110 단계로 복귀하여 이후의 동작을 반복한다.
한편, 위 순서도에는 표시되지 않았지만, 해당 FW에서의 정책 로그가 비활성화된 경우, 세션 추적정보 영역(11b)은 갱신되지 않고 그대로 유지된다. 단, 본 발명에 따른 세션 로그 처리 방법에서, 세션 통합 로그가 활성화된 경우에는 FW에서의 정책 로그는 반드시 허용/거부로 활성화되어야 하며 비활성화 될 수 없도록 구성된다.
상기와 같은 순서도의 구성에 따르면, FW에서의 세션 로그 처리 방법이 구체적으로 개시된다.
도 5는 본 발명의 일 실시 예에 따른 IPS, AppSec, VPN(단, post-FW) 및 NAT(단, post-FW)의 동작에 따른 세션 로그 처리 방법을 나타내는 순서도이다. 도 5를 참조하면, 해당 기능 모듈들(즉, IPS, AppSec, VPN, 또는 NAT)의 동작에 따른 세션 로그 처리 방법은 S210 단계 내지 S260 단계를 포함한다.
S210 단계에서, 세션 로그 처리 방법은 패킷이 허용되었는지 판단한다. 패킷이 허용되었으면, 세션 로그 처리 방법은 S220 단계로 진행한다. 그렇지 않으면, 세션 로그 처리 방법은 S230 단계로 진행한다.
S220 단계에서, 패킷이 허용된 경우이므로, 세션 로그 처리 방법은 허용된 패킷이 해당 세션의 첫 패킷인지 판단한다. 해당 세션의 첫 패킷인 경우, 해당 세션 ID 영역(11a)의 drule을 찾아 세션 추적정보 영역(11b)에 해당 기능 모듈(즉, IPS, AppSec, VPN, 또는 NAT)에서 허용되었음을 표시한다.
표시가 완료되면 세션 로그 처리 방법은 S250 단계로 진행한다.
S230 단계에서, 패킷이 허용되지 않은 경우이므로, 세션 로그 처리 방법은 해당 패킷이 탐지 또는 차단되었는지 판단한다. 해당 패킷이 탐지 또는 차단되었으면 세션 로그 처리 방법은 S240 단계로 진행한다. 그렇지 않으면, 세션 로그 처리 방법은 S260 단계로 진행한다.
S240 단계에서, 패킷이 탐지 또는 차단된 경우이므로, 세션 로그 처리 방법은 탐지 또는 차단된 패킷의 세션 ID 영역(11a)의 drule을 찾아 세션 추적정보 영역(11b)에 해당 기능 모듈(즉, IPS, AppSec, VPN, 또는 NAT)에서 탐지 또는 차단되었음을 표시한다.
표시가 완료되면 세션 로그 처리 방법은 S250 단계로 진행한다.
S250 단계에서, 세션 로그 처리 방법은 해당 기능 모듈의 로그 설정이 활성화되어 있는지 판단한다. 로그 설정이 활성화되어 있으면, 세션 로그 처리 방법은 S260 단계로 진행한다. 그렇지 않으면 세션 로그 처리 방법은 종료한다.
S260 단계에서, 세션 로그 처리 방법은 해당 기능 모듈의 로그 파일에 대응되는 로그(허용, 탐지 또는 차단)를 기록한다. 로그 기로깅 완료되면, 세션 로그 처리 방법은 종료한다.
상기와 같은 순서도의 구성에 따르면, IPS, AppSec, VPN(단, post-FW), NAT(단, post-FW)에서의 세션 로그 처리 방법이 구체적으로 개시된다.
도 6은 본 발명의 일 실시 예에 따른 NAT(단, pre-FW)의 동작에 따른 세션 로그 처리 방법을 나타내는 순서도이다. 도 6를 참조하면, NAT의 동작에 따른 세션 로그 처리 방법은 S310 단계 내지 S360 단계를 포함한다.
S310 단계에서, 세션 로그 처리 방법은 대상 패킷이 해당 세션의 첫 패킷인지 판단한다. 해당 세션의 첫 패킷인 경우, 세션 로그 처리 방법은 S320 단계로 진행한다. 그렇지 않으면, 세션 로그 처리 방법은 S350 단계로 진행한다.
S320 단계에서, 세션 로그 처리 방법은 패킷이 허용되었는지 판단한다. 패킷이 허용되었으면, 세션 로그 처리 방법은 S330 단계로 진행한다. 그렇지 않으면, 세션 로그 처리 방법은 S340 단계로 진행한다.
S330 단계에서, 패킷이 허용된 경우이므로, 세션 로그 처리 방법은 허용된 패킷이 해당 세션의 첫 패킷인지 판단한다. 해당 세션의 첫 패킷인 경우, 해당 세션 ID 영역(11a)의 drule을 찾아 세션 추적정보 영역(11b)에 NAT에서 허용되었음을 표시한다.
표시가 완료되면 세션 로그 처리 방법은 종료한다.
S340 단계에서, 패킷이 허용되지 않은 경우로서 드랍된 경우이므로, 세션 로그 처리 방법은 FW 거부 로그를 기록한다.
기록이 완료되면 세션 로그 처리 방법은 종료한다.
S350 단계에서, 세션 로그 처리 방법은 해당 패킷이 차단되었는지 판단한다. 해당 패킷이 차단되었으면 세션 로그 처리 방법은 S360 단계로 진행한다. 그렇지 않으면, 세션 로그 처리 방법은 종료한다.
S360 단계에서, 세션의 첫 패킷이 아닌 패킷이 차단된 경우이므로, 세션 로그 처리 방법은 차단된 패킷의 세션 ID 영역(11a)의 drule을 찾아 세션 추적정보 영역(11b)에 방화벽 거부 로그를 기록한다.
기록이 완료되면 세션 로그 처리 방법은 종료한다.
상기와 같은 순서도의 구성에 따르면, IPS, AppSec, VPN에서의 세션 로그 처리 방법이 구체적으로 개시된다.
한편, 본 발명에 따른 세션 로그 처리 방법은 VPN(단, pre-FW)에서 패킷이 드랍되는 경우에는 그에 대한 로그를 남기지 않는다. VPN(단, pre-FW)은 ESP 또는 AH 패킷을 디캡(decap)하는 기능 모듈로서 FW에서 그에 대한 drule을 생성하지 않는다. ESP, AH 헤더가 디캡된 후 NAT로 다시 들어오게 될 뿐이다.
도 7은 본 발명의 일 실시 예에 따른 UTM 장치의 세션 로그 처리 흐름을 나타내는 개요도이다. 도 7에서는 지금까지 설명한 각 기능 모듈들에서의 세션 로그 처리 방법에 대한 전체적인 흐름이 도시된다.
도 7에서 실선은 SKB의 데이터 흐름을 나타내고, 점선은 drule의 데이터 흐름을 나타낸다. 굵은 화살표선(L1, L2, L3)은 각 기능 모듈들에서 처리된 세션 로그 데이터의 흐름을 나타낸다.
도 7에서 도시된 바와 같이, 각 기능 모듈들에서 처리된 세션 로그 데이터는 하나로 합쳐저 통합 세션 로그(39)를 구성하게 되고, 통합 세션 로그(39)는 세션 로그 파일(39a)로 저장될 수 있다. 실시 예로서, 세션 로그 파일(39a)에는 NAT 로그 파일, IPS 로그 파일, VPN 로그 파일, 또는 AppSec 로그 파일 등 개별 기능 모듈들에 대한 개별 로그 파일이 포함될 수 있다.
생성된 통합 세션 로그 파일(39a)은 마스터 장비로 출력되어, 사용자가 세션 처리 결과를 한번에 통합 조회할 수 있도록 제공된다.
도 8은 본 발명의 일 실시 예에 따른 세션 로그 통합 조회 화면을 나타내는 사용자 인터페이스이다. 도 8을 참조하면, 세션 로그 통합 조회 화면을 나타내는 사용자 인터페이스(100)는 기본 정보 영역(110) 및 상세 정보 영역(120)을 포함한다.
기본 정보 영역(110)은 세션 로그 파일(39a)에 기반하여 구성되며, 시작 시간 탭, 종료 시간 탭, 발생 장비 탭, 출발지 주소 탭, 출발지 포트 탭, 목적지 주소 탭, 목적지 포트 탭, 프로토콜 탭 또는 세션 추적정보 탭을 포함할 수 있다.
기본 정보 영역(110)의 세션 추적정보 탭(130)에는 해당 패킷 또는 세션이 각 가능 모듈들에서 처리된 결과가 아이콘화되어 표시될 수 있다.
예를 들어, 첫 번째 세션 추적정보에는 NAT아이콘(131a), VPN아이콘(131b), FW아이콘(131c)이 차례로 도시되고, 이는 해당 세션이 NAT, VPN, FW 기능 모듈을 순차적으로 거치며 처리되었음을 나타낸다. 또한, 해당 아이콘들은 서로 다른 색으로 채색될 수 있는데, 이는 해당 기능 모듈에서의 세션 처리 결과를 나타낸다. 예를 들어, 제 1 색으로 채색된 NAT아이콘(131a)과 VPN아이콘(131b)은 NAT와 VPN에서 해당 세션이 허용되었음을 나타내고, 제 2 색으로 채색된 FW아이콘(131c)은 FW에서 해당 세션이 차단 또는 드랍되었음을 나타낼 수 있다.
유사하게, 다섯 번째 세션 추적정보에는 VPN아이콘(132a), FW아이콘(132b), IPS아이콘(132c), AC아이콘이 차례로 도시되고, 이는 해당 세션이 VPN, FW, IPS, AC 기능 모듈을 순차적으로 거치며 처리되었음을 나타낸다. 또한, 해당 아이콘들은 서로 다른 색으로 채색될 수 있는데, 이는 해당 기능 모듈에서의 세션 처리 결과를 나타낸다. 예를 들어, 제 1 색으로 채색된 VPN아이콘(132a)은 VPN에서 해당 세션이 허용되었음을 나타내고, 제 2 색으로 채색된 AC아이콘은 AC에서 해당 세션이 차단 또는 드랍되었음을 나타내고, 제 3 색으로 채색된 IPS아이콘(132c)은 IPS에서 해당 세션이 탐지 되었음을 나타낼 수 있다.
상세 정보 영역(120)은 기본 정보 영역(110)에서 선택된 세션에 대해 기능 모듈별 상세 처리 내역과 같은 추가 정보를 표시한다. 상세 정보 영역(120)은 각 기능별 로그 파일(예를 들어, NAT 로그 파일, IPS 로그 파일, VPN 로그 파일, AppSec 로그 파일 등)에 기반하여 구성되며, 각 기능 모듈별로 상세 로그 정보를 표시한다. 예를 들어, 상세 정보 영역(120) 중 일 영역(121)에는 VPN에 대한 로그 정보가 표시되고, 상세 정보 영역(120) 중 다른 영역(122)에는 FW에 대한 로그 정보가 표시되고, 상세 정보 영역(120) 중 또 다른 영역(123)에는 IPS 또는 AppSec에 대한 로그 정보가 표시될 수 있다.
지금까지 설명한, 본 발명의 세션 로그 처리 방법에 따르면, 사용자는 UTM 장치에서의 각 기능 별 패킷 및 세션 처리 결과를 통합적으로 조회 및 검색할 수 있게 되고, 그 결과 UTM 장치의 사용자 편의성 및 UTM 장치를 통한 작업 효율이 향상될 수 있다.
한편, 여기서는 세션 로그 처리 방법에 대해서만 설명하였지만, 본 발명의 사상은 세션 로그 처리 방법이 입력된 컴퓨터 판독가능한 명령들을 수행하는 컴퓨터 장치와 같은 장치 수단(즉, 세션 로그 처리 장치)로도 구현될 수 있음은 당업자에게 자명하다.
본 명세서의 상세한 설명에서는 구체적인 실시예를 들어 설명하였으나, 본 명세서의 범위에서 벗어나지 않는 한 각 실시예는 여러 가지 형태로 변형될 수 있다.
또한, 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 예시하기 위한 목적에서 사용된 것일 뿐, 의미 한정이나 본 발명의 범위를 제한하도록 의도된 것이 아니다. 그러므로 본 명세서의 범위는 상술한 실시예에 국한되어 정해져서는 안되며 후술하는 특허청구범위 및 그 균등물에 의해 정해져야 한다.

Claims (11)

  1. 세션이 UTM(Unified Threat Management)에 유입되는 단계;
    상기 유입된 세션에 대한 세션 ID를 발급하는 단계;
    상기 UTM의 적어도 하나의 기능 모듈에서의 상기 세션의 처리 결과를 상기 세션의 세션 추적정보로서 저장하는 단계; 및
    상기 UTM의 상기 적어도 하나의 기능 모듈에서의 상기 처리 결과를 수집하여 하나의 통합 세션 로그를 생성하는 단계를 포함하되,
    상기 세션 ID를 발급하는 단계는,
    상기 적어도 하나의 기능 모듈 중 방화벽(Firewall, 이하 FW) 기능 모듈 이전의 네트워크 주소 변환부(Network Address Translation, 이하 NAT) 기능 모듈 또는 상기 FW 기능 모듈에서 수행되는, 세션 로그 처리 방법.
  2. 제 1 항에 있어서,
    상기 세션은,
    상기 세션 ID가 저장되는 세션 ID 영역; 및
    상기 세션 추적 정보가 저장되는 세션 추적정보 영역을 포함하는, 세션 로그 처리 방법.
  3. 제 1 항에 있어서,
    상기 세션 ID를 발급하는 단계는,
    상기 FW 기능 모듈 이전의 NAT 기능 모듈에서 세션의 첫 패킷을 드랍하거나 세션이 생성될 때 발급되는, 세션 로그 처리 방법.
  4. 제 1 항에 있어서,
    상기 세션 ID를 발급하는 단계는,
    상기 FW 기능 모듈 이전의 NAT 기능 모듈에서 세션 ID가 발급되지 않은 경우, 상기 FW 기능 모듈에서 세션이 생성될 때 상기 세션 ID를 발급하는, 세션 로그 처리 방법.
  5. 제 1 항에 있어서,
    상기 세션의 처리 결과는 허용, 탐지 또는 차단으로 표시되며,
    상기 세션의 동적 규칙(Dynamic Rule, 이하 drule)을 참조하여 상기 세션의 세션 추적정보 처리 영역에 저장되는, 세션 로그 처리 방법.
  6. 제 1 항에 있어서,
    상기 통합 세션 로그는 세션 로그 파일로써 저장되고,
    상기 세션 로그 파일은 각 기능 모듈별 처리 결과를 저장하는 기능별 로그 파일을 포함하는, 세션 로그 처리 방법.
  7. 제 6 항에 있어서,
    사용자 요청에 응답하여, 상기 통합 세션 로그에 기반한 상기 세션의 기능 모듈별 처리 결과를 사용자에게 표시하는 단계를 더 포함하는, 세션 로그 처리 방법.
  8. 제 7 항에 있어서,
    상기 사용자에게 표시하기 위한 사용자 인터페이스는,
    상기 세션 로그 파일에 기반하여 구성되는 기본 정보 영역; 및
    상기 기능별 로그 파일에 기반하여 구성되는 상세 정보 영역을 포함하고,
    상기 기본 정보 영역에는 적어도 하나의 세션에 대해 각 기능 모듈에서의 처리 결과가 순차적으로 표시되는, 세션 로그 처리 방법.
  9. 제 8 항에 있어서,
    상기 기본 정보 영역에 표시되는 상기 각 기능 모듈에서의 처리 결과는, 허용, 탐지 또는 차단 여부에 따라 상이한 색으로 표시되는, 세션 로그 처리 방법.
  10. 제 8 항에 있어서,
    상기 상세 정보 영역에는 상기 적어도 하나의 세션 중에서 사용자 선택된 세션에 대해 각 기능 모듈별 추가 정보가 표시되는, 세션 로그 처리 방법.
  11. 제 1 항 내지 제 10 항 중 어느 한 항에 기재된 방법을 수행하기 위한 컴퓨터 판독가능한 명령들을 수행하는 프로세서; 및
    상기 프로세서의 수행 결과를 표시하는 표시부를 포함하는, 세션 로그 처리 장치.
KR1020140195591A 2014-12-31 2014-12-31 세션 로그 처리 방법 및 장치 KR101610893B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140195591A KR101610893B1 (ko) 2014-12-31 2014-12-31 세션 로그 처리 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140195591A KR101610893B1 (ko) 2014-12-31 2014-12-31 세션 로그 처리 방법 및 장치

Publications (1)

Publication Number Publication Date
KR101610893B1 true KR101610893B1 (ko) 2016-04-08

Family

ID=55908144

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140195591A KR101610893B1 (ko) 2014-12-31 2014-12-31 세션 로그 처리 방법 및 장치

Country Status (1)

Country Link
KR (1) KR101610893B1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002318734A (ja) * 2001-04-18 2002-10-31 Teamgia:Kk 通信ログ処理方法及びシステム
JP2014087811A (ja) * 2012-10-29 2014-05-15 Honda Foundry Co Ltd 中子除去装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002318734A (ja) * 2001-04-18 2002-10-31 Teamgia:Kk 通信ログ処理方法及びシステム
JP2014087811A (ja) * 2012-10-29 2014-05-15 Honda Foundry Co Ltd 中子除去装置

Similar Documents

Publication Publication Date Title
US11700273B2 (en) Rule-based network-threat detection
CN109067815B (zh) 攻击事件溯源分析方法、***、用户设备及存储介质
US10587637B2 (en) Processing network traffic to defend against attacks
US11747799B2 (en) Industrial control system and network security monitoring method therefor
US10334083B2 (en) Systems and methods for malicious code detection
EP3014813B1 (en) Rootkit detection by using hardware resources to detect inconsistencies in network traffic
US7703138B2 (en) Use of application signature to identify trusted traffic
US9398027B2 (en) Data detecting method and apparatus for firewall
US11171985B1 (en) System and method to detect lateral movement of ransomware by deploying a security appliance over a shared network to implement a default gateway with point-to-point links between endpoints
KR102451237B1 (ko) 컨테이너 네트워크를 위한 보안
US11303669B1 (en) System and method for tunneling endpoint traffic to the cloud for ransomware lateral movement protection
CN104519016A (zh) 防火墙自动防御分布式拒绝服务攻击的方法和装置
EP2854362B1 (en) Software network behavior analysis and identification system
US20190319923A1 (en) Network data control method, system and security protection device
JP2015095159A (ja) 評価方法及び評価装置
CN106302347B (zh) 一种网络攻击处理方法和装置
US20220174090A1 (en) Detection and mitigation of denial of service attacks in distributed networking environments
US20160205135A1 (en) Method and system to actively defend network infrastructure
CN106209867B (zh) 一种高级威胁防御方法及***
JP6067195B2 (ja) 情報処理装置及び情報処理方法及びプログラム
KR101610893B1 (ko) 세션 로그 처리 방법 및 장치
US9426174B2 (en) Protecting computing assets from segmented HTTP attacks
KR20110027907A (ko) 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템 및 그 방법
CN106657087B (zh) 一种实现Ethernet/Ip协议动态跟踪的工业防火墙的方法
CN113726799B (zh) 针对应用层攻击的处理方法、装置、***和设备

Legal Events

Date Code Title Description
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190402

Year of fee payment: 4