KR101764678B1 - 프로세스 동작 추적을 통한 ap서버의 보안 게이트웨이 자동 전환 시스템과 전환 방법 - Google Patents

프로세스 동작 추적을 통한 ap서버의 보안 게이트웨이 자동 전환 시스템과 전환 방법 Download PDF

Info

Publication number
KR101764678B1
KR101764678B1 KR1020170007293A KR20170007293A KR101764678B1 KR 101764678 B1 KR101764678 B1 KR 101764678B1 KR 1020170007293 A KR1020170007293 A KR 1020170007293A KR 20170007293 A KR20170007293 A KR 20170007293A KR 101764678 B1 KR101764678 B1 KR 101764678B1
Authority
KR
South Korea
Prior art keywords
session
server
client
protected
jump
Prior art date
Application number
KR1020170007293A
Other languages
English (en)
Inventor
박천오
백순용
진선태
Original Assignee
주식회사 피앤피시큐어
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 피앤피시큐어 filed Critical 주식회사 피앤피시큐어
Priority to KR1020170007293A priority Critical patent/KR101764678B1/ko
Application granted granted Critical
Publication of KR101764678B1 publication Critical patent/KR101764678B1/ko
Priority to PCT/KR2017/014710 priority patent/WO2018131802A1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 보안 기능이 제한적인 AP서버에서 보호대상서버와 클라이언트 간에 접속 및 작업 내역을 모두 모니터링하고 통제할 수 있게 하는 프로세스 동작 추적을 통한 AP서버의 보안 게이트웨이 자동 전환 시스템과 전환 방법에 관한 것으로, 클라이언트의 접속세션에 따른 AP서버 화면의 출력 텍스트를 상기 접속세션별로 분류한 녹화데이터와 프로세스별로 분류한 PID 세션 데이터로 각각 생성하는 접속세션 녹화모듈;클라이언트의 접속세션에 따른 AP서버 화면의 출력 텍스트에서 상기 접속세션별로 분류한 녹화데이터를 생성하고, 프로세스별로 분류한 PID 세션 데이터를 생성하는 접속세션 녹화모듈; 상기 접속세션 데몬이 생성한 자식 프로세스의 세션을 모니터링하며, 상기 모니터링 중에 보호대상서버로의 점프세션을 발견하면, 상기 PID 세션 데이터에 상기 자식 프로세스의 추가 정보를 업데이트하는 점프세션 감시모듈; 상기 녹화데이터와 PID 세션 데이터를 비교 및 분석해서, 상기 점프세션은 상기 클라이언트와 보호대상서버 간의 점프세션 여부를 확인하는 세션정보 분석모듈;을 포함하는 것이다.

Description

프로세스 동작 추적을 통한 AP서버의 보안 게이트웨이 자동 전환 시스템과 전환 방법{SYSTEM AND METHOD FOR SECURITY GATEWAY AUTOMATIC CHANGEOVER OF AP SERVER BY TRACKING PROCESSING}
본 발명은 보안 기능이 제한적인 AP서버에서 보호대상서버와 클라이언트 간에 접속 및 작업 내역을 모두 모니터링하고 통제할 수 있게 하는 프로세스 동작 추적을 통한 AP서버의 보안 게이트웨이 자동 전환 시스템과 전환 방법에 관한 것이다.
종래 보안 환경에서 AP(Access Point)서버를 경유한 서버 작업에 대해서는 PC에서 AP서버로의 접속을 식별 및 통제하고, AP서버에서 보호대상서버로의 접속을 식별 및 통제하는 것을 각각 따로 처리할 수 밖에 없는 기술적 한계가 있었다. 이에 따라 보호대상서버 보안을 위한 종래 AP서버의 보안 정책은 AP서버로의 접속은 허용하되 AP서버를 통한 보호대상서버로의 접속은 제한하는 정도였다. 하지만, 이 경우에는 AP서버에 일시에 수많은 클라이언트가 접속할 수 있고, 이렇게 되면 수많은 클라이언트의 연산처리 및 통제가 제한적일 수밖에 없다는 문제가 있었다.
전술한 종래 문제를 극복하고자 보안 감사 기록의 연관분석이나 발생 트래픽 패턴의 관련성을 분석하여 원천지를 추적하는 기술이 제안되었다. 하지만, 이러한 종래 기술은 각 구간(PC, AP서버, 보호대상서버, 네트워크)에서 동작하는 정보를 종합적으로 분석해야 하는데, 다른 구간에서 수집된 정보는 잡음(오류나 기계적 특성으로 인한 정보 변경)이 있고, 정보의 분석 과정 또한 복잡하여 분석 신뢰성에 한계가 있을 수밖에 없었다.
도 1(종래 AP서버를 경유하는 클라이언트와 보호대상서버 간의 접속 작업 모습을 개략적으로 도시한 블록도)와 도 2(도 1에서 보인 보안기술 개념에서 AP서버를 거쳐 보호대상서버에서 작업을 해도 AP서버 로그만이 기록되는 모습을 보인 화면 이미지)에서 보인 바와 같이, 종래에는 실제 telnet 등의 프로그램을 통해 클라이언트에서 보호대상서버로 JUMP한 상황임에도 불구하고, 종래 보안 프로그램의 화면 창에 클라이언트2(IP: 10.77.161.79)에서 AP서버(IP: 192.168.3.77)에서만 작업한 것으로 확인됐다.
이를 보완하기 위해서 네트워크나 AP서버 및 보호대상서버 각각에 감사로그를 남기더라도 도 3(도 1에서 보인 보안기술 개념에서 보호대상서버 별로 원천지 식별을 확인하는 모습을 보인 화면 이미지)에서와 같이, 클라이언트가 AP서버에 접속하여 작업한 로그와 AP서버에서 보호대상서버1(IP:192.168.3.140)에 접속하여 작업한 로그가 중복적으로 남게 된다. 결국, 종래에는 보호대상서버에 대한 클라이언트의 식별 접속을 제어할 수 없는 한계가 있었다.
물론, 서버 간의 세션을 식별하고, 세션 간의 연관성을 분석을 하기 위한 분석 전문 보안 장비를 각 서버별로 구축할 수 있으나, 이 경우 보안 장비 구매비용과 유지 보수 비용이 증가하는 문제가 있었다. 특히 보안 장비 수의 증가에 따라 네트워크에 과부하가 유발되므로, 통신속도가 저하되거나 통신 안정성을 저해하는 원인이 될 수 있었다.
이외에도, 서로 다른 보안 장비나 다른 구간에서 수집된 정보들을 통해서 원천지를 식별하는 기술은, 소통되는 데이터 중간에 구간별로 삽입되는 잡음이나 기계적 특징 등을 이유로 정확도가 100% 보장될 수 없는 한계가 있었다. 예를 들어서 AP서버를 경유해 다른 보호대상서버에서 이루어지는 작업이 동일 시간 대에 여러 개가 있고 작업 패턴도 동일하면, 종래에는 낮은 신뢰도의 원천지 식별로 인해서 정확한 작업 프로세스 동작 추적을 하지 못하는 기술적 한계가 있었다.
선행기술문헌 1. 특허등록번호 제10-0479195호(2003.03.24 공고)
이에 본 발명은 상기와 같은 문제를 해소하기 위해 발명된 것으로서, AP서버에 접속한 클라이언트의 생성 프로세스 행위를 추적하여, AP서버를 통한 해당 세션과 보호대상서버 간의 접속 및 작업 간 연관성을 분석함으로써, 별도의 보안 장비를 구축하지 않고도 AP서버가 중계하는 클라이언트와 보호대상서버 간의 접속 및 작업을 정확하게 감시 및 통제할 수 있는 프로세스 동작 추적을 통한 AP서버의 보안 게이트웨이 자동 전환 시스템과 전환 방법의 제공을 해결하고자 하는 과제로 한다.
상기의 과제를 달성하기 위하여 본 발명은,
클라이언트의 접속세션에 따른 AP서버 화면의 출력 텍스트에서 상기 접속세션별로 분류한 녹화데이터를 생성하고, 프로세스별로 분류한 PID 세션 데이터를 생성하는 접속세션 녹화모듈;
상기 접속세션 데몬이 생성한 자식 프로세스의 세션을 모니터링하며, 상기 모니터링 중에 보호대상서버로의 점프세션을 발견하면, 상기 PID 세션 데이터에 상기 자식 프로세스의 추가 정보를 업데이트하는 점프세션 감시모듈; 및
상기 녹화데이터와 PID 세션 데이터를 비교 및 분석해서, 상기 점프세션은 상기 클라이언트와 보호대상서버 간의 점프세션 여부를 확인하는 세션정보 분석모듈;
을 포함프로세스 동작 추적을 통한 AP서버의 보안 게이트웨이 자동 전환 시스템이다.
상기의 다른 기술적 과제를 달성하기 위하여 본 발명은,
클라이언트의 AP서버 접속으로 발생한 접속세션별 텍스트와 발생 프로세스별 정보를 접속세션 녹화모듈이 확인해서 녹화데이터와 PID 세션 데이터로 각각 저장하는 제1단계;
상기 접속세션의 데몬이 생성한 자식 프로세스의 세션을 점프세션 감시모듈이 모니터링하는 제2단계;
상기 점프세션 감시모듈이 모니터링 중에 보호대상서버로의 점프세션을 발견하면, 상기 PID 세션 데이터에 상기 자식 프로세스의 추가 정보를 업데이트하는 제3단계; 및
세션정보 분석모듈 상기 녹화데이터와 PID 세션 데이터를 비교 및 분석해서, 상기 점프세션은 상기 클라이언트와 보호대상서버 간의 점프세션 여부를 확인하는 제4단계;
를 포함하는 프로세스 동작 추적을 통한 AP서버의 보안 게이트웨이 자동 전환 방법이다.
본 발명은, AP서버에 접속한 클라이언트의 생성 프로세스 행위를 추적하여, AP서버를 통한 해당 세션과 보호대상서버 간의 접속 및 작업 간 연관성을 분석함으로써, 별도의 보안 장비를 구축하지 않고도 AP서버가 중계하는 클라이언트와 보호대상서버 간의 접속 및 작업을 정확하게 감시 및 통제할 수 있는 효과가 있다.
또한, 클라이언트가 AP서버를 거쳐서 보호대상서버에 작업을 하여도 보호대상서버에서 누가 작업했는지 100% 정확한 식별이 가능한 효과가 있다.
또한, 클라이언트에 대한 정확한 식별기술을 기반으로 정확하고 심플한 보안정책 수립/적용이 가능하다.
또한, AP서버를 보안게이트웨이로 자동 변경시켜주기 위해서 별도의 보안장비를 구매하지 않아도 되므로, 사용자 입장에서 보다 경제적으로 강력한 보안 환경을 구축할 수 있는 효과가 있다.
도 1은 종래 AP서버를 경유하는 클라이언트와 보호대상서버 간의 접속 작업 모습을 개략적으로 도시한 블록도이고,
도 2는 도 1에서 보인 보안기술 개념에서 AP서버를 거쳐 보호대상서버에서 작업을 해도 AP서버 로그만이 기록되는 모습을 보인 화면 이미지이고,
도 3은 도 1에서 보인 보안기술 개념에서 보호대상서버 별로 원천지 식별을 확인하는 모습을 보인 화면 이미지이고,
도 4는 본 발명에 따른 전환 시스템이 클라이언트와 보호대상서버 간에 세션과 프로세스를 추적 및 분석해서 AP서버에 보안게이트웨이 기능을 자동 부가하는 모습을 개략적으로 도시한 블록도이고,
도 5는 본 발명에 따른 전환 방법을 순차로 보인 플로차트이고,
도 6은 AP서버와 연동하는 본 발명에 따른 전환 시스템의 구성 모습을 도시한 블록도이고,
도 7은 본 발명에 따른 전환 시스템에서 AP서버에 접속한 클라이언트의 화면이미지이고,
도 8은 본 발명에 따른 전환 시스템에서 AP서버에 보안게이트웨이 기능의 보안 모니터링 화면을 보인 이미지이다.
상술한 본 발명의 특징 및 효과는 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 분명해질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 본 발명은 다양한 변경을 가할 수 있고 여러 가지 형태를 가질 수 있는바, 특정 실시 예들을 도면에 예시하고 본문에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 개시형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 본 출원에서 사용한 용어는 단지 특정한 실시 예들을 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다.
이하, 본 발명을 구체적인 내용이 첨부된 도면에 의거하여 상세히 설명한다.
도 4는 본 발명에 따른 전환 시스템이 클라이언트와 보호대상서버 간에 세션과 프로세스를 추적 및 분석해서 AP서버에 보안게이트웨이 기능을 자동 부가하는 모습을 개략적으로 도시한 블록도이다.
일반적으로 클라이언트1,2(110, 120)가 AP서버(300)에 접속하면, AP서버(300)의 서버 프로그램(telnet, ssh, RDP 등)이 클라이언트1,2(110, 120)의 접속을 처리하고, 클라이언트1,2(110, 120)는 작업 콘솔 상태에서 보호대상서버1,2(210, 220)로 접속하는데, 본 실시의 전환 시스템에서 별도의 추적 데몬인 접속세션 녹화모듈(310)은 클라이언트1,2(110, 120)가 AP서버(300)에 접속한 직후 자동 실행하여 클라이언트1,2(110, 120)의 AP서버(300) 접속과 작업 내역을 식별, 분석 및 기록(이하 '녹화')한다. 이후, 클라이언트1,2(110, 120)가 보호대상서버1,2(210, 220)로의 접속을 시도할 경우 본 실시의 전환 시스템에서 별도의 추적 데몬인 점프세션 감시모듈(320)은 클라이언트1,2(110, 120) 세션이 붙어 있는 서버 데몬에서 새로운 네트워크 세션이 발생되는 것을 확인하고 이를 식별 및 감시(이하 '감시')한다.
계속해서, 본 실시의 전환 시스템에서 세션정보 분석모듈(330)은 클라이언1,2(110, 120)와 AP서버(300) 구간의 세션별 녹화데이터와, AP서버(300)와 보호대상서버1,2(210, 220) 구간의 PID 세션 데이터를 접속세션 녹화모듈(310) 및 점프세션 감시모듈(320)로부터 각각 수집하고, 세션별로 생성된 상기 녹화데이터와, 프로세스별로 생성된 PID 세션 데이터 간의 연관성을 추론하며, 이를 통해서 보호대상서버1,2(210, 220)에 접속한 실제 클라이언트의 IP주소를 추적 및 추출한다. 참고로 세션정보는 상기 녹화데이터와 클라이언트의 IP주소와 접속시간 등을 포함할 수 있다.
본 실시의 전환 시스템에 구성된 보안정책 수행모듈(340)은 상기 추출 정보를 기반으로 보안정책을 적용해서, 제한적인 보안 정책만 적용이 가능했던 AP서버(300)를 방화벽과 같은 완전한 보안게이트웨이로 자동 변환한다.
결국, 본 발명에 따른 전환 시스템은 AP서버(300)를 기준으로 클라이언트1,2와 AP서버(300) 간 세션과 AP서버(300)와 보호대상서버1,2(210, 220) 간 세션을 하나의 세션과 같이 연결할 수 있기 때문에, 관리자는 방화벽 정책을 수립하듯이 직관적으로 보호대상서버1,2(210, 220)에 접속하는 클라이언트1,2(110, 120)를 통제할 수 있다. 물론, 위와 같은 작업은 별도의 보안장비 없이도 AP서버 내의 세션 감시 및 프로세스 동작 추적으로도 실현 가능하다.
도 5는 본 발명에 따른 전환 방법을 순차로 보인 플로차트이고, 도 6은 AP서버와 연동하는 본 발명에 따른 전환 시스템의 구성 모습을 도시한 블록도이고, 도 7은 본 발명에 따른 전환 시스템에서 AP서버에 접속한 클라이언트의 화면이미지이고, 도 8은 본 발명에 따른 전환 시스템에서 AP서버에 보안게이트웨이 기능의 보안 모니터링 화면을 보인 이미지이다.
S10; 접속세션 녹화 단계
클라이언트(100)가 AP서버(300)로의 접속을 시도하면 AP서버(300)의 세션모듈(350)은 클라이언트(100)의 접속세션을 확인 및 처리한다. 이때, 본 실시의 접속세션 녹화모듈(310)은 세션모듈(350)의 접속세션 처리를 인식하고 AP서버(300)의 처리영상 출력모듈(360)에 출력되는 콘솔화면 또는 원격화면(telnet, ssh, rdp 등의 원격 접속툴 화면; 이하 '출력화면')에 텍스트를 녹화하면서, 후속 실행되는 모든 프로세스들의 출력 텍스트들을 식별, 분석 및 기록한다.
접속세션 녹화모듈(310)은 명령어 실행 시점을 접속세션 녹화 과정에서 확인하므로, 해당 시점에서 생성된 자식 프로세스와 각 프로세스에서 발생된 추가 세션의 연관성을 확인할 수 있다.
본 실시의 접속세션 녹화는 화면에 출력되는 텍스트를 수집하는 것이며, 접속세션의 식별과 분석과 기록은 각 텍스트를 확인해서 접속자인 클라이언트(100)의 IP와 피접속자인 보호대상서버(200)의 IP를 파악하고, 해당 정보를 저장하는 것이다.
AP서버(300)에 온라인으로 접속한 터미널은 클라이언트(100)의 입력 텍스트를 콘솔 장치인 프로세스 처리모듈(370)에 표준 입력으로 넣어주고, 해당 명령어에 대한 응답을 표준 출력이나 표준 에러로 처리영상 출력모듈(360)을 통해 화면이미지에 출력되도록 하는데, 접속세션 녹화모듈(310)은 입/출력 스트림(stream)과. 클라이언트(100) 터미널의 프로세스에 연결된 세션 정보와, 클라이언트(100) 실행 명령에 의해서 신규로 발생된 프로세스 정보 등의 각종 접속처리정보를 저장한다.
참고로, 특정 접속세션에 의한 프로세스 이후에 후속으로 실행되어 화면에 출력되는 프로세스 텍스트들은 프로세스 처리모듈(370)이 상기 특정 접속세션을 처리해 실행되는 자식 프로세스들이기 때문에, 상기 특정 접속세션의 후속적인 서버 접속에 대한 정확한 추적이 가능하다. 또한 자식 프로세스의 소멸을 확인해서 후속적인 접속 해제도 정확한 추적이 가능하다. 이를 위해 본 실시의 접속세션 녹화모듈(310)은 접속세션 녹화와 함께 자식 프로세스의 생성 및 소멸을 실시간으로 감시한다.
S20; 점프세션 감시 단계
점프세션 감시모듈(320)은 AP서버(300)에 접속세션의 데몬을 모니터링해서 보호대상서버(200)로의 점프세션을 감시한다.
이를 좀 더 구체적으로 설명하면, AP서버(300)로의 접속세션은 클라이언트(100)와 프로세스 처리모듈(370) 간 처리 과정에서 보호대상서버(200)로의 통신을 시도할 수 있다. 즉, 프로세스 처리모듈(370)의 동작에 따라 상기 접속세션의 콘솔 상태나 해당 접속세션을 처리하고 데몬 상태에서 다른 서버로의 통신을 시도하는 것이다. 이 경우에는 해당 세션을 처리 중인 데몬에서 자식 프로세스(Child process)를 생성하는데, 점프세션 감시모듈(320)은 상기 자식 프로세스에서 새로 시작되는 세션을 모두 모니터링한다.
한편, 점프세션 감시모듈(320)이 상기 모니터링 중에 보호대상서버(200)로의 점프세션을 발견하면, 프로세스별로 구분해 관리하는 세션발생 기록인 '프로세스별 세션 발생 기록(이하 'PID 세션 데이터')'에서 해당 프로세스에 추가된 정보를 업데이트한다.
본 실시에서 상기 업데이트 정보는 점프세션이 시작된 시각과 자식 프로세스의 ID, 보호대상서버(200)에 대한 점프세션 정보(AP서버의 IP주소, AP서버의 출발지 Port번호, 보호대상서버의 IP주소, 보호대상서버의 서비스 Port 번호)일 수 있다.
S30; 세션정보 분석 단계
세션정보 분석모듈(330)은 점프세션 감시모듈(320)이 업데이트한 PID 세션 데이터와 AP서버(200)로의 접속세션별 출력 텍스트를 녹화한 녹화데이터를 각각 비교해 분석해서, 클라이언트(100)의 IP인 192.168.2.102에서 보호대상서버의 IP인 192.168.1.12로의 신규 작업이 시작된 것을 확인한다.
결국, 점프세션 감시모듈(320)이 접속세션의 데몬을 감시 및 모니터링하면서 보안대상서버(200)로의 점프세션 발생을 확인하여 PID 세션 데이터를 업데이트하며, 세션정보 분석모듈(330)은 녹화데이터와 PID 세션 데이터를 서로 비교해 분석해서 점프세션의 주체인 클라이언트(100)를 확인한다. 즉, AP서버(300)를 경유한 클라이언트(100)와 보호대상서버(200) 간의 접속을 추적해 확인하는 것이다.
또한 세션정보 분석모듈(330)은 점프세션의 시점 시각과 종점 시각에 따라 해당 녹화데이터를 업데이트해서, 업데이트돼 출력된 녹화데이터로도 클라이언트(100)와 AP서버(300) 간의 통신이 AP서버(300)에 대한 작업에 의한 것인지, 아니면 AP서버(300)를 점프해 접속한 보호대상사버(200)에 대한 작업에 의한 것인지를 한눈에 파악할 수 있게 한다.
한편, 세션정보 분석모듈(330)은 보호대상서버(200)에 접속한 클라이언트(100)의 IP주소를 추적 및 추출한다. 일반적으로 IP주소는 서버 접속시 세션 정보에 포함되며, 통신라인을 통해 연결된 서버 간의 통신 과정에서 상호 통신프로그램이 상대 단말에 전달되므로, AP서버(200)는 클라이언트(100) 접속시 해당 클라이언트(100)의 IP주소를 파악한다. 참고로, 도 8에서 보인 대로, AP서버(200)는 접속한 클라이언트(100)의 IP주소를 확인해서 이를 출력할 수 있다.
결국, 세션정보 분석모듈(330)은 AP서버(200)를 통해 보안대상서버(200)에 접속한 클라이언트(100)의 IP주소를 정확히 확인하고, 보호대상서버(200)의 IP주소와 연계해서 감사로그데이터로 정확히 분류해 기록 및 관리할 수 있다.
S40; 보안정책 수행 단계
보안정책 수행모듈(340)은 세션정보 분석모듈(330)이 확인해서 업데이트한 녹화데이터에서 클라이언트(100)의 IP주소와 보안정책모듈(380)을 확인하고, 보호대상서버(200)로의 접속이 정책적으로 허용된 클라이언트(100)인지 여부 파악해서, 해당 클라이언트(100)의 후속 접속 진행 여부를 확인한다. 이외에도 보호대상서버(200)에 대한 클라이언트(100)의 불법적인 접속을 확인한다.
참고로, 보안정책 수행모듈(340)은 세션정보 분석모듈(330)에서 업데이트한 녹화데이터를 보안정책정보를 기준으로 검사하는데, 원천지는 클라이언트(100)의 IP주소이고, 타겟은 보호대상서버(200)의 IP주소를 기준으로 검사한다.
만약 상기 보안정책정보에서 현재 세션이 보호대상서버(200)로의 접속이 허용되지 않을 경우 보안정책모듈(380)은 자식 프로세스는 종료하여 점프를 차단하며, 해당 녹화데이터에 포함된 상기 자식 프로세스 관련 명령어는 현재 수집하고 있는 AP서버(300)에서 작업된 것으로 보지 않는다. 아울러, 보안정책모듈(380)은 상기 명령어를 보호대상서버(200)에서 작업하는 명령어로 분류하여 보호대상서버(200)로의 화면 입력을 취소함으로써 금지 명령이 실행되지 않게 하며, 클라이언트(100)에는 화면 출력 부분에 차단 메시지를 출력시켜서 클라이언트(100)가 AP서버(300) 내에서 통제를 받는 것이 아니라 보호대상서버(200) 자체에서 모니터링 되고 통제 되는 것으로 알게 한다.
전술한 바와 같이 보안정책모듈(380)은 보호대상서버(200)에 접속하는 클라이언트(100)에 대한 AP서버(300)의 보안 관리 기능 외에도, 접속 허용 대상 클라이언트(100)의 IP주소, ID 등의 보안정책정보를 저장할 수 있다. 이외에도 보안정책모듈(380)은 AP서버(200)에서 접속 서비스하는 서버 중 보호대상서버(200)의 IP주소, AP서버의 출발지 Port번호, 보호대상서버의 IP주소, 보호대상서버의 서비스 Port 번호, 접속 허용 대상 클라이언트(100)의 정보 등을 저장할 수도 있다.
한편, 보안정책 수행모듈(340)은 보호대상서버(200)에 접속을 시도하여 접속 또는 거부된 클라이언트(100)의 접속 이력 등의 감사로그데이터를 생성 및 업데이트할 수 있고, 관리자는 이를 근거로 보안정책에 대한 보완과 수정 등을 수행할 수 있다.
결국, AP서버(300)에만 본 실시의 전환 시스템을 설치하더라도 보호대상서버(200)에 대한 모니터링 및 감사 기록이 가능하며, 도 7에서 출력되는 프로세스 진행 내용을 도 8과 같이 클라이언트(100)가 AP서버(200)에 접속하여 작업한 내용과, AP서버(200)를 거쳐서 보호대상서버(200)에 접속하여 작업한 내용으로 각각 분리해 기록할 수 있다.
이를 통해서 AP서버(200)에서 실행된 한 명령어는 AP서버의 감사 로그 부분에만 기록하고, AP서버를 경유하여 보호대상 서버에 작업한 내용은 보호대상서버의 감사 로그 부분에만 기록함으로써, 감시 및 보안 정책 적용을 보다 분명하게 해 줄 수 있게 된다.
앞서 설명한 본 발명의 상세한 설명에서는 본 발명의 바람직한 실시 예들을 참조해 설명했지만, 해당 기술분야의 숙련된 당업자 또는 해당 기술분야에 통상의 지식을 갖는 자라면 후술될 특허청구범위에 기재된 본 발명의 사상 및 기술영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.

Claims (4)

  1. 클라이언트의 접속세션에 따른 AP서버 화면의 출력 텍스트에서 접속세션별로 분류한 녹화데이터를 생성하고, 보호대상서버에 접속한 AP서버의 프로세스별로 분류한 PID 세션 데이터를 생성하는 접속세션 녹화모듈;
    상기 접속세션의 데몬이 생성한 자식 프로세스의 세션을 모니터링하며, 상기 모니터링 중에 보호대상서버로의 점프세션을 발견하면, 상기 PID 세션 데이터에 상기 자식 프로세스의 추가 정보를 업데이트하는 점프세션 감시모듈; 및
    상기 녹화데이터와 PID 세션 데이터를 비교 및 분석해서, 상기 클라이언트와 보호대상서버 간의 점프세션 여부를 확인하는 세션정보 분석모듈;을 포함하되,
    상기 세션정보 분석모듈은 보호대상서버로의 클라이언트 점프세션 정보를 상기 녹화데이터에 업데이트하고;
    상기 업데이트된 녹화데이터를 확인해서 보호대상서버에 대한 접속세션의 원천 클라이언트의 접속 허용 여부를 확인하는 보안정책 수행모듈을 더 포함하는 것;
    을 특징으로 하는 프로세스 동작 추적을 통한 AP서버의 보안 게이트웨이 자동 전환 시스템.
  2. 삭제
  3. 삭제
  4. 삭제
KR1020170007293A 2017-01-16 2017-01-16 프로세스 동작 추적을 통한 ap서버의 보안 게이트웨이 자동 전환 시스템과 전환 방법 KR101764678B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020170007293A KR101764678B1 (ko) 2017-01-16 2017-01-16 프로세스 동작 추적을 통한 ap서버의 보안 게이트웨이 자동 전환 시스템과 전환 방법
PCT/KR2017/014710 WO2018131802A1 (ko) 2017-01-16 2017-12-14 프로세스 동작 추적을 통한 ap서버의 보안 게이트웨이 자동 전환 시스템과 전환 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170007293A KR101764678B1 (ko) 2017-01-16 2017-01-16 프로세스 동작 추적을 통한 ap서버의 보안 게이트웨이 자동 전환 시스템과 전환 방법

Publications (1)

Publication Number Publication Date
KR101764678B1 true KR101764678B1 (ko) 2017-08-14

Family

ID=60142239

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170007293A KR101764678B1 (ko) 2017-01-16 2017-01-16 프로세스 동작 추적을 통한 ap서버의 보안 게이트웨이 자동 전환 시스템과 전환 방법

Country Status (2)

Country Link
KR (1) KR101764678B1 (ko)
WO (1) WO2018131802A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112202640A (zh) * 2020-09-30 2021-01-08 中国工商银行股份有限公司 应用于容器云平台的监控方法和装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101395830B1 (ko) 2014-01-13 2014-05-16 주식회사 피앤피시큐어 프록시를 경유한 접속 세션정보 확인시스템과 이를 기반으로 한 세션정보 확인방법

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100823075B1 (ko) * 2007-11-29 2008-04-21 방용정 웹사이트 접속자 개개인별 실시간 로그 분석 시스템 및 그방법
KR101068839B1 (ko) * 2009-04-09 2011-09-29 티에스온넷(주) 사용자 세션 로그와 데이터베이스 쿼리 로그를 추적 연결하는 로그 통합 시스템 및 그 로그 통합 방법
KR101160219B1 (ko) * 2012-01-05 2012-06-27 주식회사 피앤피시큐어 네트워크 보안을 위한 접속 경로 추적시스템과 추적방법
KR101214613B1 (ko) * 2012-09-25 2012-12-21 주식회사 피앤피시큐어 접속자의 식별 신뢰도를 높인 프록시 기반의 서버 보안방법과 보안시스템

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101395830B1 (ko) 2014-01-13 2014-05-16 주식회사 피앤피시큐어 프록시를 경유한 접속 세션정보 확인시스템과 이를 기반으로 한 세션정보 확인방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112202640A (zh) * 2020-09-30 2021-01-08 中国工商银行股份有限公司 应用于容器云平台的监控方法和装置
CN112202640B (zh) * 2020-09-30 2022-02-22 中国工商银行股份有限公司 应用于容器云平台的监控方法和装置

Also Published As

Publication number Publication date
WO2018131802A1 (ko) 2018-07-19

Similar Documents

Publication Publication Date Title
CN108848067B (zh) 智能学习并预置只读白名单规则的opc协议安全防护方法
JP2018144800A (ja) 連携クラウド・エッジ車両異常検出
CN108351807B (zh) 维持对云计算环境中的受限数据的控制的事件管理
CN112398860A (zh) 一种安全控制的方法和装置
US8200606B2 (en) Alert management system and method
US20020147974A1 (en) Networked installation system for deploying systems management platforms
JPWO2020075800A1 (ja) 分析装置、分析システム、分析方法及びプログラム
CN105139139A (zh) 用于运维审计的数据处理方法和装置及***
CN104981784A (zh) 经由网络监视和控制计算机装置和虚拟机
US20190327125A1 (en) Remotely configurable routers with failover features, and methods and apparatus for reliable web-based administration of same
CN102663274A (zh) 一种检测远程入侵计算机行为的方法及***
US9866577B2 (en) Method for detecting intrusions on a set of virtual resources
CN113407949A (zh) 一种信息安全监控***、方法、设备及存储介质
CN112163198B (zh) 一种主机登录安全检测方法、***、装置及存储介质
KR101764678B1 (ko) 프로세스 동작 추적을 통한 ap서버의 보안 게이트웨이 자동 전환 시스템과 전환 방법
KR20160133677A (ko) 공간 크라우드소싱 데이터의 신뢰성 향상을 위한 프로그래밍 기반 동적 자동 검증 시스템
CN111801652A (zh) 记录和重新创建界面导航过程
WO2021059521A1 (ja) 分析システム、方法およびプログラム
US20050102505A1 (en) Method for dynamically changing intrusion detection rule in kernel level intrusion detection system
CN114006735B (zh) 一种数据保护方法、装置、计算机设备和存储介质
CN114338135A (zh) 一种远程登录行为处理方法、装置、计算设备和存储介质
CN113885425A (zh) 一种工业现场plc网络安全运维方法
WO2020195230A1 (ja) 分析システム、方法およびプログラム
WO2020195229A1 (ja) 分析システム、方法およびプログラム
Amin et al. Network policies in software defined internet of everything

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant