WO2018169294A1 - I2nsf network security function-facing interface yang data model - Google Patents

Abstract

The present invention relates to a method and an apparatus for providing a security service by a network operation management system in a security management system. The present invention may provide a method and an apparatus which receive a first security policy of a high level from an interface to network security function (I2NSF) user, generate a second security policy of a low level corresponding to the first security policy, and transmit a packet including the generated second security policy so as to configure the second security policy for each of multiple network security functions (NSFs), wherein the network operation management system is connected to each of the multiple NSFs through an I2NSF NSF-facing interface.

Description

I2NSF 네트워크 보안 능력에 직면한 인터페이스 YANG 데이터 모델Interface YANG Data Model Facing I2NSF Network Security Capability

본 발명은 데이터 모델에 관한 것으로서, 보다 상세하게 I2NSF(Interface to Network Security Functions)에서 네트워크 보안 능력(Network Security Functions: NSF)에 직면한 인터페이스를 위한 정보 모델과 보안 서비스를 위한 YANG 데이터 모델을 정의하기 위한 것이다.The present invention relates to a data model, in more detail defining an information model for an interface facing Network Security Functions (NSF) in I2NSF (Interface to Network Security Functions) and a YANG data model for security services. It is for.

네트워크를 전세계에 연결하면 지리적 거리에 관계없이 신속하게 정보에 액세스할 수 있다. 인터넷은 본질적으로 서로 다른 레벨들의 계층 구조가 서로 연결된 수많은 네트워크이다.Connecting the network around the world gives you quick access to information regardless of geographical distance. The Internet is essentially a number of networks with different levels of hierarchy interconnected.

인터넷은 IETF (Internet Engineering Task Force)에서 공표 한 TCP / IP (전송 제어 프로토콜/인터넷 프로토콜)에 따라 운영되며, TCP/IP는 RFC (Request For Comments) 703 및 IETF에서 발행 한 RFC 791에서 찾을 수 있다.The Internet operates in accordance with TCP / IP (Transmission Control Protocol / Internet Protocol) published by the Internet Engineering Task Force (IETF), which can be found in Request For Comments (RFC) 703 and RFC 791 issued by the IETF. .

본 발명의 목적은, I2NSF(Interface to Network Security Functions)에서 네트워크 보안 능력(Network Security Functions: NSF)에 직면한 인터페이스를 위한 정보 모델과 보안 서비스를 위한 YANG 데이터 모델을 설계하기 위한 방법을 제안한다.An object of the present invention is to propose a method for designing an information model for an interface facing Network Security Functions (NSF) in I2NSF and a YANG data model for security services.

또한, 본 발명은 네트워크 보안 제어, 콘텐츠 보안 제어 및 공격 완화 제어와 같은 세 가지 보안 능력(예: 네트워크 보안 능력)에 대한 특정 정보 모델 및 해당 데이터 모델을 설계하기 위한 방법을 제안한다.In addition, the present invention proposes a specific information model for three security capabilities (eg, network security capability) and a method for designing the corresponding data model, such as network security control, content security control, and attack mitigation control.

본 명세서에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The technical problems to be achieved in the present specification are not limited to the technical problems mentioned above, and other technical problems not mentioned above will be clearly understood by those skilled in the art from the following description. Could be.

상술한 기술적 과제를 해결하기 위하여, 본 발명의 실시 예에 따른 보안 관리 시스템에서 네트워크 운영 관리 시스템이 보안 서비스를 제공하기 위한 방법은 I2NSF(Interface to Network Security Function) 사용자로부터 상위 레벨(High-Level)의 제 1 보안 정책을 수신하는 단계; 상기 제 1 보안 정책에 대응되는 하위 레벨(Low-Level)의 제 2 보안 정책을 생성하는 단계; 및 상기 생성된 제 2 보안 정책을 복수의 NSF(Network Security Function) 각각에게 설정하기 위한 상기 제 2 보안 정책을 포함하는 패킷을 전송하는 단계 포함하되, 상기 네트워크 운영 관리 시스템과 상기 복수의 NSF 각각은 I2NSF NSF-직면 인터페이스로 연결된다.In order to solve the above technical problem, a method for providing a security service by the network operation management system in the security management system according to an embodiment of the present invention is a high-level (Inter-Level) from the I2NSF user Receiving a first security policy of the; Generating a low-level second security policy corresponding to the first security policy; And transmitting a packet including the second security policy for setting the generated second security policy to each of a plurality of NSFs, wherein the network operation management system and each of the plurality of NSFs include: I2NSF is connected to the NSF-face interface.

또한, 본 발명에서, 상기 제 2 보안 정책은 적용되는 정책 규칙, 및 일반적인 보안 기능을 위한 동작을 나타나내는 기본 동작 정보를 포함한다.In addition, in the present invention, the second security policy includes a policy rule to be applied, and basic operation information indicating an operation for a general security function.

또한, 본 발명에서, 상기 정책 규칙은 정책 정보 및 규칙 정보를 포함하며, 상기 정책 정보 및 상기 규칙 정보는 시스템의 변경을 나타내는 이벤트 절(Event Clause), 정책 규칙의 적용 조건을 나타내는 조건 절(Condition Clause), 및 상기 이벤트 절 및 상기 조건 절을 만족할 때 수행되는 보안 기능을 나타내는 동작 절(Action Clause)을 포함한다.Also, in the present invention, the policy rule includes policy information and rule information, wherein the policy information and the rule information include an event clause indicating a change of a system and a condition clause indicating an application condition of a policy rule. Clause), and an Action Clause representing a security function performed when the event clause and the condition clause are satisfied.

또한, 본 발명에서, 상기 정책 규칙은 상기 정책 규칙이 적용되는 시간을 나타내는 시간 정보를 더 포함한다.In addition, in the present invention, the policy rule further includes time information indicating a time when the policy rule is applied.

또한, 본 발명에서, 상기 시간 정보는 상기 정책 규칙이 적용되는 절대적인 시간을 나타내는 절대 시간 정보 또는 상기 정책 규칙이 적용되는 주기적인 시간을 나타내는 주기 정보 중 적어도 하나를 더 포함한다.In addition, in the present invention, the time information further includes at least one of absolute time information indicating an absolute time when the policy rule is applied or period information indicating a periodic time when the policy rule is applied.

또한, 본 발명에서, 상기 이벤트 절은 상기 조건 절을 평가할 수 있는지 여부를 결정하는데 사용된다.Also, in the present invention, the event clause is used to determine whether the condition clause can be evaluated.

또한, 본 발명에서, 상기 조건 절은 포트 번호와 관련된 룰의 설정을 위한 포트 번호 값을 포함한다.Also, in the present invention, the condition clause includes a port number value for setting a rule related to the port number.

또한, 본 발명에서, 상기 동작 절은 입력 동작(ingress action), 전송 동작(egress action) 및 적용 프로파일 동작(apply profile action)을 포함한다.In addition, in the present invention, the operation clause includes an ingress action, an egress action, and an apply profile action.

또한, 본 발명에서, 상기 프로파일 동작은 응용 프로그램 계층에 적용되는 보안 기능을 나타내는 컨텐츠 보안 제어, 및 네트워크 공격의 탐지 및 완화를 위한 공격 완화 제어를 포함한다.In addition, in the present invention, the profile operation includes content security control indicating a security function applied to an application program layer, and attack mitigation control for detecting and mitigating a network attack.

또한, 본 발명에서, 상기 조건 절(Condition Clause), 및 상기 동작 절(Action Clause)은 다중 조건의 적용을 위한 컨테이너 구조로 구성된다.Also, in the present invention, the Condition Clause and the Action Clause are configured in a container structure for application of multiple conditions.

또한, 본 발명은, 상위 레벨(High-Level)의 제 1 보안 정책을 생성하는 I2NSF(Interface to Network Security Function) 사용자; 상기 I2NSF 사용자로부터 상기 제 1 보안 정책을 수신하고, 상기 제 1 보안 정책에 대응되는 하위 레벨(Low-Level)의 제 2 보안 정책을 생성하며, 상기 생성된 제 2 보안 정책을 복수의 NSF(Network Security Function) 각각에게 설정하기 위한 상기 제 2 보안 정책을 포함하는 패킷을 전송하는 네트워크 운영 관리 시스템; 및 상기 보안 관리 시스템으로부터 상기 제 2 보안 정책을 수신하는 복수의 NSF(Network Security Function)을 포함하되, 상기 네트워크 운영 관리 시스템과 상기 복수의 NSF 각각은 I2NSF NSF-직면 인터페이스로 연결되어 있는 아키텍처를 제공한다.In addition, the present invention provides an I2NSF (Interface to Network Security Function) user for creating a high-level first security policy; Receiving the first security policy from the I2NSF user, generating a low-level second security policy corresponding to the first security policy, and generating the second security policy in a plurality of NSFs; Security function) a network operation management system for transmitting a packet including said second security policy for setting to each; And a plurality of NSFs (Network Security Function) for receiving the second security policy from the security management system, wherein each of the network operation management system and the plurality of NSFs is connected to an I2NSF NSF-direct interface. do.

본 발명의 실시 예에 따르면, I2NSF(Interface to Network Security Functions)에서 네트워크 보안 능력(Network Security Functions: NSF)에 직면한 인터페이스를 위한 정보 모델과 보안 서비스를 위한 YANG 데이터 모델을 설계할 수 있다.According to an embodiment of the present invention, an information model for an interface facing Network Security Functions (NSF) and an YANG data model for a security service may be designed in I2NSF (Interface to Network Security Functions).

또한, 본 발명의 실시 예에 따르면, 네트워크 보안 제어, 콘텐츠 보안 제어 및 공격 완화 제어와 같은 세 가지 보안 능력(예: 네트워크 보안 능력)에 대한 특정 정보 모델 및 해당 데이터 모델을 설계할 수 있다.In addition, according to an embodiment of the present invention, it is possible to design specific information models and corresponding data models for three security capabilities (eg, network security capability) such as network security control, content security control, and attack mitigation control.

또한, 본 발명의 실시 예에 따르면, I2NSF 컨트롤러는 NSF의 능력을 제어 할 수 있다.In addition, according to an embodiment of the present invention, the I2NSF controller may control the capability of the NSF.

본 명세서에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.Effects obtained in the present specification are not limited to the above-mentioned effects, and other effects not mentioned above may be clearly understood by those skilled in the art from the following description. will be.

본 발명에 관한 이해를 돕기 위해 상세한 설명의 일부로 포함되는, 첨부 도면은 본 발명에 대한 실시 예를 제공하고, 상세한 설명과 함께 본 발명의 기술적 특징을 설명한다.BRIEF DESCRIPTION OF THE DRAWINGS The accompanying drawings, which are included as part of the detailed description in order to provide a thorough understanding of the present invention, provide embodiments of the present invention and together with the description, describe the technical features of the present invention.

도 1은 본 발명의 일 실시 예에 따른 I2NSF(Interface to Network Security Functions) 시스템을 예시한다.1 illustrates an I2NSF (Interface to Network Security Functions) system according to an embodiment of the present invention.

도 2는 본 발명의 일 실시 예에 따른 I2NSF 시스템의 아키텍처를 예시한다.2 illustrates an architecture of an I2NSF system according to an embodiment of the present invention.

도 3은 본 발명이 적용될 수 있는 전체 I2NSF 정보 모델 디자인의 일 예를 나타낸다.3 shows an example of the overall I2NSF information model design to which the present invention can be applied.

도 4는 본 발명이 적용될 수 있는 네트워크 보안 정보 하위 모델 개요의 일 예를 나타낸다.4 shows an example of a network security information sub-model overview to which the present invention can be applied.

도 5은 본 발명이 적용될 수 있는 네트워크 보안 정보 하위 모델의 확장의 일 예를 나타낸다.5 shows an example of extension of a network security information submodel to which the present invention can be applied.

도 6는 본 발명이 적용될 수 있는 네트워크 보안 정보 하위 모델 이벤트 클래스의 확장의 일 예를 나타낸다.6 shows an example of extension of a network security information submodel event class to which the present invention can be applied.

도 7는 본 발명이 적용될 수 있는 네트워크 보안 정보 하위 모델 컨디션 클래스의 확장의 일 예를 나타낸다.7 illustrates an example of extension of a network security information sub-model condition class to which the present invention can be applied.

도 8은 본 발명이 적용될 수 있는 네트워크 보안 정보 하위 모델 액션의 확장의 일 예를 나타낸다.8 shows an example of extension of a network security information submodel action to which the present invention can be applied.

도 9은 본 발명이 적용될 수 있는 I2NSF 보안 기능의 상위 레벨 모델의 일 예를 나타낸다.9 shows an example of a high level model of I2NSF security function to which the present invention can be applied.

도 10은 본 발명이 적용될 수 있는 네트워크 보안 기능 정보 모델의 일 예를 나타낸다.10 shows an example of a network security function information model to which the present invention can be applied.

도 11는 본 발명이 적용될 수 있는 공격 완화 기능 정보 모델의 일 예를 나타낸다.11 shows an example of an attack mitigation function information model to which the present invention can be applied.

도 12a 및 도 12b는 본 발명의 일 실시 예에 따른 네트워크 보안 정책 식별을 위한 데이터 모델 구조를 예시한다.12A and 12B illustrate a data model structure for network security policy identification according to an embodiment of the present invention.

도 13은 본 발명의 일 실시 예에 따른 이벤트 규칙을 위한 데이터 모델 구조를 예시한다.13 illustrates a data model structure for an event rule according to an embodiment of the present invention.

도 14a 내지 도 14d는 본 발명의 일 실시 예에 따른 컨디션 규칙을 위한 데이터 모델 구조를 예시한다.14A to 14D illustrate a data model structure for a condition rule according to an embodiment of the present invention.

도 15a 및 도 15b는 본 발명의 일 실시 예에 따른 액션 규칙을 위한 데이터 모델 구조를 예시한다.15A and 15B illustrate a data model structure for an action rule according to an embodiment of the present invention.

도 16a 내지 도 18j는 본 발명의 일 실시 예에 따른 I2NSF NSF-Facing-Interface의 YANG 데이터 모듈을 예시한다.16A to 18J illustrate the YANG data module of the I2NSF NSF-Facing-Interface according to an embodiment of the present invention.

도 19a 내지 도 19j는 본 발명의 일 실시 예에 따른 NSF 모니터링을 위한 데이터 모델을 예시한다.19A through 19J illustrate a data model for NSF monitoring according to an embodiment of the present invention.

도 20a 내지 도 21i는 본 발명의 일 실시 예에 따른 모니터링을 위한 YANG 데이터 모델을 예시한다.20A-21I illustrate a YANG data model for monitoring according to one embodiment of the invention.

이하, 본 발명에 따른 바람직한 실시 형태를 첨부된 도면을 참조하여 상세하게 설명한다. 첨부된 도면과 함께 이하에 개시될 상세한 설명은 본 발명의 예시적인 실시형태를 설명하고자 하는 것이며, 본 발명이 실시될 수 있는 유일한 실시형태를 나타내고자 하는 것이 아니다. 이하의 상세한 설명은 본 발명의 완전한 이해를 제공하기 위해서 구체적 세부사항을 포함한다. 그러나, 당업자는 본 발명이 이러한 구체적 세부사항 없이도 실시될 수 있음을 안다. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. The detailed description, which will be given below with reference to the accompanying drawings, is intended to explain exemplary embodiments of the present invention and is not intended to represent the only embodiments in which the present invention may be practiced. The following detailed description includes specific details in order to provide a thorough understanding of the present invention. However, one of ordinary skill in the art appreciates that the present invention may be practiced without these specific details.

몇몇 경우, 본 발명의 개념이 모호해지는 것을 피하기 위하여 공지의 구조 및 장치는 생략되거나, 각 구조 및 장치의 핵심능력을 중심으로 한 블록도 형식으로 도시될 수 있다. In some instances, well-known structures and devices may be omitted or shown in block diagram form centering on the core capabilities of each structure and device in order to avoid obscuring the concepts of the present invention.

이하의 설명에서 사용되는 특정 용어들은 본 발명의 이해를 돕기 위해서 제공된 것이며, 이러한 특정 용어의 사용은 본 발명의 기술적 사상을 벗어나지 않는 범위에서 다른 형태로 변경될 수 있다.Specific terms used in the following description are provided to help the understanding of the present invention, and the use of such specific terms may be changed to other forms without departing from the technical spirit of the present invention.

최근에는, NFV-based security function을 위한 기본 표준 인터페이스가 I2NSF(Interface to Network Security Functions) 워킹 그룹에 의해 개발되고 있다. 이는 인터넷 엔지니어링 태스크 포스(IETF: Internet Engineering Task Force)로 불리는 국제 인터넷 표준 기구의 일부이다.Recently, a basic standard interface for NFV-based security functions has been developed by the Interface to Network Security Functions (I2NSF) working group. It is part of the International Internet Standards Organization called the Internet Engineering Task Force (IETF).

I2NSF의 목적은 다수의 보안 솔루션 벤더(security solution vendor)들에 의해 제공되는 이종의(heterogeneous) 네트워크 보안 능력(들)(NSF: network security function)을 위한 표준화된 인터페이스를 정의하기 위함이다.The purpose of the I2NSF is to define a standardized interface for heterogeneous network security function (NSF) provided by a number of security solution vendors.

I2NSF 아키텍처(architecture)에서, NSF(들)의 관리에 대하여 상세히 고려할 필요 없이(NSF의 관리는 결국 보안 정책의 시행(enforce)을 요구한다), 사용자는 사용자의 네트워크 시스템 내 네트워크 자원을 보호하기 위한 보호 정책을 정의할 수 있다. 또한, 다수의 vendor들로부터 NSF(들)로의 표준화된 인터페이스는 이종의 NSF(들)에 대한 태스크(task)의 설정 및 관리를 단순화할 수 있다.In the I2NSF architecture, without having to consider the management of the NSF (s) in detail (management of the NSF eventually requires enforcement of the security policy), the user is required to protect network resources in the user's network system. A protection policy can be defined. In addition, a standardized interface from multiple vendors to NSF (s) can simplify the setup and management of tasks for heterogeneous NSF (s).

도 1은 본 발명의 일 실시 예에 따른 I2NSF(Interface to Network Security Functions) 시스템을 예시한다.1 illustrates an I2NSF (Interface to Network Security Functions) system according to an embodiment of the present invention.

도 1을 참조하면, I2NSF 시스템은 I2NSF 사용자(user), 네트워크 운영 관리 시스템(Network Operator Management System), 개발자 관리 시스템(Developer’s Management System) 및/또는 적어도 하나의 NSF(Interface to Network Security Function)을 포함한다.Referring to FIG. 1, the I2NSF system includes an I2NSF user, a Network Operator Management System, a Developer's Management System, and / or at least one Interface to Network Security Function (NSF). do.

I2NSF 사용자는 I2NSF 소비자-직면 인터페이스(I2NSF Consumer-Facing Interface)를 통해 네트워크 운영 관리 시스템과 통신한다. 네트워크 운영 관리 시스템은 I2NSF NSF-직면 인터페이스(I2NSF NSF-Facing Interface)를 통해 NFC(들)과 통신한다. 개발자 관리 시스템은 I2NSF 등록 인터페이스(I2NSF Registration Interface)를 통해 네트워크 운영 관리 시스템과 통신한다. 이하에서는 I2NSF 시스템의 각 컴포넌트(I2NSF 컴포넌트) 및 각 인터페이스(I2NSF 인터페이스)에 설명한다.The I2NSF user communicates with the network operations management system via the I2NSF Consumer-Facing Interface. The network operations management system communicates with the NFC (s) via an I2NSF NSF-Facing Interface. The developer management system communicates with the network operations management system through the I2NSF Registration Interface. Hereinafter, each component (I2NSF component) and each interface (I2NSF interface) of the I2NSF system will be described.

I2NSFI2NSF 사용자 user

I2NSF 사용자는 다른 I2NSF 컴포넌트(예컨대, 네트워크 운영 관리 시스템)에서 정보를 요청하거나 및/또는 다른 I2NSF 컴포넌트(예컨대, 개발자 관리 시스템)에 의해 제공되는 서비스(예컨대, 네트워크 보안 서비스)를 사용하는 I2NSF 컴포넌트이다. 예를 들면, I2NSF 사용자는 오버레이 네트워크 관리 시스템, 기업 네트워크 관리자 시스템, 다른 네트워크 도메인 관리자 등일 수 있다.An I2NSF user is an I2NSF component that requests information from another I2NSF component (eg, a network operations management system) and / or uses a service (eg, a network security service) provided by another I2NSF component (eg, a developer management system). . For example, the I2NSF user may be an overlay network management system, an enterprise network administrator system, another network domain administrator, or the like.

이러한 I2NSF 사용자 컴포넌트에 할당된 역할을 수행하는 대상은 I2NSF 소비자로 지칭될 수 있다. I2NSF 소비자의 예로는, 일정 기간(time span) 동안 패킷의 특정 필드에 기초하여 흐름을 허용, 속도-제한(rate-limit), 또는 거부하기 위해 언더레이 네트워크(underlay network)에 동적으로 알릴 필요가 있는 화상 회의 네트워크 관리자(video-conference network manager), 특정 흐름에 대한 특정 I2NSF 정책을 시행(enforce)하기 위해 제공자 네트워크를 요청할 필요가 있는 기업 네트워크 관리자(Enterprise network administrators) 및 관리 시스템(management systems), 특정 조건의 세트와 일치하는 흐름을 차단하기 위해 언더레이 네트워크에 요청을 전송하는 IoT 관리 시스템(IoT management system)가 포함될 수 있다.The object performing the role assigned to this I2NSF user component may be referred to as an I2NSF consumer. An example of an I2NSF consumer is the need to dynamically inform an underlay network to allow, rate-limit, or reject flow based on a particular field of a packet over a time span. Video-conference network manager, enterprise network administrators and management systems that need to request provider networks to enforce specific I2NSF policies for specific flows, An IoT management system may be included that sends a request to the underlay network to block flows that match a set of specific conditions.

I2NSF 사용자는 고수준(high-level) 보안 정책(security policy)을 생성 및 배포할 수 있다. 구체적으로 설명하면, I2NSF 사용자는 다양한 악의적인(malicious) 공격으로부터 network 트래픽(traffic)을 보호하기 위하여 네트워크 보안 서비스(network security service)를 이용할 필요가 있다. 이 보안 서비스를 요청하기 위하여, I2NSF 사용자는 자신이 원하는 보안 서비스에 대한 고수준 보안 정책을 생성하고 네트워크 운영 관리 시스템에게 이를 알릴 수 있다.I2NSF users can create and deploy high-level security policies. Specifically, the I2NSF user needs to use a network security service to protect network traffic from various malicious attacks. To request this security service, the I2NSF user can create a high level security policy for the security service he wants and notify the network operations management system.

한편, 고수준 보안 정책을 준비하는 과정에서, I2NSF 사용자는 각 NSF(들)를 위한 보안 서비스 또는 보안 정책 규칙 구성(security policy rule configuration)을 실현하기 위하여 요구되는 NSF(들)의 타입에 대하여 고려하지 않을 수 있다.On the other hand, in preparing a high level security policy, I2NSF users do not consider the type of NSF (s) required to implement a security service or security policy rule configuration for each NSF (s). You may not.

또한, I2NSF 사용자는 네트워크 운영 관리 시스템에 의해 기본적인(underlying) NSF(들) 내에서 발생되는 보안 이벤트(들)(security event)를 통지 받을 수 있다. 이들의 보안 이벤트(들)을 분석함으로써, I2NSF 사용자는 새로운 공격을 식별하고, 새로운 공격에 대처하기 위한 고수준 보안 정책을 업데이트(또는 생성)할 수 있다. 이와 같이, I2NSF 사용자는 보안 정책을 정의, 관리 및 모니터링할 수 있다.In addition, the I2NSF user may be informed of security event (s) occurring in the underlying NSF (s) by the network operations management system. By analyzing their security event (s), I2NSF users can identify new attacks and update (or create) high level security policies to counter new attacks. As such, I2NSF users can define, manage, and monitor security policies.

네트워크 운영 관리 시스템 Network operations management system

네트워크 운영 관리 시스템은 보안 제공, 모니터링 및 기타 동작을 위한 수집(collection) 및 배포(distribution) 지점(point)의 역할을 수행하는 컴포넌트이다. 예를 들면, 네트워크 운영 관리 시스템은 보안 제어기(Security Controller)일 수 있다. 이러한 네트워크 운영 관리 시스템은 네트워크 보안 관리자에 의해 관리될 수 있고, I2NSF 관리 시스템으로 지칭될 수도 있다.A network operations management system is a component that acts as a collection and distribution point for providing security, monitoring, and other operations. For example, the network operations management system may be a security controller. Such a network operations management system may be managed by a network security manager and may be referred to as an I2NSF management system.

네트워크 운영 관리 시스템(또는 보안 제어기)의 주요한 역할 중 하나는 I2NSF 사용자로부터의 고수준 보안 정책(또는 정책 규칙)을 특정 NSF(들)을 위한 저수준(low-level) 보안 정책 규칙으로 번역(translate)하는 것이다. 네트워크 운영 관리 시스템(또는 보안 제어기)은 고수준 보안 정책을 I2NSF 사용자로부터 수신한 후, 우선 I2NSF 사용자에 의해 요구되는 정책을 시행하기 위하여 요구되는 NSF(들)의 타입을 결정할 수 있다. 그리고, 네트워크 운영 관리 시스템(또는 보안 제어기)은 요구되는 각 NSF(들)을 위한 저수준(low-level) 보안 정책을 생성할 수 있다. 결국, 네트워크 운영 관리 시스템(또는 보안 제어기)은 생성된 저수준 보안 정책을 각 NSF(들)에게 설정할 수 있다.One of the primary roles of network operations management systems (or security controllers) is to translate high-level security policies (or policy rules) from I2NSF users into low-level security policy rules for specific NSF (s). will be. The network operations management system (or security controller) may receive the high level security policy from the I2NSF user and then first determine the type of NSF (s) required to enforce the policy required by the I2NSF user. The network operations management system (or security controller) can then create a low-level security policy for each NSF (s) required. As a result, the network operations management system (or security controller) may set the generated low level security policy to each NSF (s).

또한, 네트워크 운영 관리 시스템(또는 보안 제어기)은 시스템 내 구동 중인 NSF(들)을 모니터링하고, 각 NSF(들)에 대한 다양한 정보(예를 들어, 네트워크 액세스(access) 정보 및 작업로드(workload) 상태 등)를 유지할 수 있다. 또한, 네트워크 운영 관리 시스템(또는 보안 제어기)은 개발자 관리 시스템의 도움을 받아 NSF 인스턴스의 동적인 수명시간(life-cycle) 관리를 통해 NSF 인스턴스(instance)의 풀(pool)을 동적으로 관리할 수 있다.In addition, the network operations management system (or security controller) monitors the NSF (s) running in the system and provides various information about each NSF (s) (e.g., network access information and workloads). State, etc.) can be maintained. In addition, network operations management systems (or security controllers) can dynamically manage pools of NSF instances through dynamic life-cycle management of NSF instances with the help of developer management systems. have.

NSFNSF

NSF는 보안 관련 서비스를 제공하는 논리적 엔티티(logical entity) 또는 소프트웨어 컴포넌트이다. 예를 들면, NFC는 저수준 보안정책을 수신하고, 이에 기초하여 악의적인 네트워크 트래픽을 감지하고, 이를 차단하거나 완화할 수 있다. 이를 통해, 네트워크 통신 스트림의 무결성(integrity) 및 기밀성(confidentiality)이 보장될 수 있다.NSF is a logical entity or software component that provides security related services. For example, NFC may receive a low level security policy and, based on it, detect malicious network traffic and block or mitigate it. In this way, the integrity and confidentiality of the network communication stream can be guaranteed.

개발자 관리 시스템Developer management system

개발자 관리 시스템은 다른 I2NSF 컴포넌트(예컨대, I2NSF 사용자, 네트워크 운영 관리 시스템)으로 정보를 보내거나, 및/또는 서비스(예컨대, 네트워크 보안 서비스)를 제공하는 I2NSF 컴포넌트이다. 개발자 관리 시스템은 벤더 관리 시스템(Vendor's Management System)으로 지칭될 수도 있다. 이러한 개발자 관리 시스템에 할당된 역할을 수행하는 대상은 I2NSF 생산자(producer)로 지칭될 수 있다.The developer management system is an I2NSF component that sends information to other I2NSF components (eg, I2NSF users, network operations management systems) and / or provides services (eg, network security services). The developer management system may be referred to as Vendor's Management System. An object performing a role assigned to such a developer management system may be referred to as an I2NSF producer.

개발자 관리 시스템은 네트워크 운영 관리 시스템에게 NSF(들)을 제공하는 제3자(third-party) 보안 벤더에 의해 관리될 수 있다. 다양한 보안 벤더의 다수의 개발자 관리 시스템(들)이 존재할 수 있다.The developer management system may be managed by a third-party security vendor that provides NSF (s) to the network operations management system. There may be multiple developer management system (s) from various security vendors.

I2NSF 소비자-직면 인터페이스(간단히, 소비자-직면 인터페이스(CFI))I2NSF consumer-facing interface (simply, consumer-facing interface (CFI))

CFI는 I2NSF 사용자와 네트워크 운영 관리 시스템 사이에 위치하는, 사용자의 I2NSF 시스템으로의 인터페이스이다. 이렇게 설계됨으로써, 하위(underlying) NSF(들)의 상세한 내용을 숨기고, 사용자에게 NSF(들)의 추상적인 시각(abstract view)만을 제공한다.The CFI is an interface to the user's I2NSF system, located between the I2NSF user and the network operations management system. This design hides the details of the underlying NSF (s) and gives the user only an abstract view of the NSF (s).

이 CFI는 주어진 I2NSF 시스템의 상이한 사용자가 관리 도메인 내의 특정 흐름(flow)에 대한 보안 정책을 정의, 관리 및 모니터링할 수 있게 하기 위해 사용될 수 있다. I2NSF 사용자에 의해 생성된 고수준 보안 정책(또는 정책 규칙)은 이 CFI를 통해 네트워크 운영 관리 시스템으로 전달될 수 있다.This CFI can be used to allow different users of a given I2NSF system to define, manage, and monitor security policies for specific flows in an administrative domain. High-level security policies (or policy rules) created by I2NSF users can be conveyed to the network operations management system via this CFI.

I2NSFI2NSF NSF-직면 인터페이스(간단히, NSF-직면 인터페이스( NSF-Face Interface (Simply, NSF-Face Interface) NFINFI ))))

NFI는 네트워크 운영 관리 시스템(또는 보안 제어기)과 NSF(들) 사이에 위치하는 인터페이스이다. NFI is an interface located between the network operations management system (or security controller) and the NSF (s).

이 NFI는 하나 이상의 NSF에 의해 시행되는 흐름-기반(flow-based) 보안 정책을 지정하고 모니터링하기 위해 사용될 수 있다. 예를 들면, I2NSF 시스템은 흐름-기반 NSF를 사용할 수 있다. 여기서, 흐름-기반 NSF는 보안 특성을 강화하기 위해 정책의 세트에 따라 네트워크 흐름을 검사하는 NSF이다. 이러한 흐름-기반 NSF에 의한 흐름-기반 보안은 수신된 순서대로 패킷들이 검사되고, 검사 프로세스에 따라 패킷에 대한 수정이 없는 것을 의미한다. 흐름-기반 NSF에 대한 인터페이스는 다음과 같이 분류될 수 있다:This NFI may be used to specify and monitor a flow-based security policy enforced by one or more NSFs. For example, an I2NSF system can use flow-based NSF. Here, flow-based NSF is an NSF that examines network flow according to a set of policies to enhance security characteristics. This flow-based security by flow-based NSF means that packets are examined in the order in which they are received, and there is no modification to the packets according to the inspection process. Interfaces for flow-based NSF can be classified as follows:

- NSF 운영 및 관리 인터페이스(NSF Operational and Administrative Interface): NSF의 운영 상태를 프로그래밍하기 위해 I2NSF 관리 시스템에 의해 사용되는 인터페이스 그룹; 이 인터페이스 그룹은 또한 관리 제어 능력을 포함한다. I2NSF 정책 규칙은 일관된 방식으로 이 인터페이스 그룹을 변경하는 한가지 방법을 나타낸다. 어플리케이션 및 I2NSF 컴포넌트가 그들이 송신 및 수신하는 트래픽의 동작을 동적으로 제어할 필요가 있기 때문에, I2NSF 노력(effort)의 대부분이 이 인터페이스 그룹에 집중된다.NSF Operational and Administrative Interface: group of interfaces used by the I2NSF management system to program the operational state of the NSF; This interface group also includes administrative control capabilities. I2NSF policy rules represent one way of changing this interface group in a consistent manner. Since applications and I2NSF components need to dynamically control the behavior of the traffic they send and receive, much of the I2NSF effort is concentrated in this group of interfaces.

- 모니터링 인터페이스(Monitoring Interface): 하나 이상의 선택된 NSF로부터의 모니터링 정보를 획득하기 위해 I2NSF 관리 시스템에 의해 시용되는 인터페이스 그룹; 이 인터페이스 그룹의 각 인터페이스는 쿼리 또는 리포트 기반 인터페이스일 수 있다. 둘 사이의 차이점은 쿼리 기반 인터페이스는 정보를 획득하기 위해 I2NSF 관리 시스템에 의해 사용되고, 이에 반하여 리포트 기반 인터페이스는 정보를 제공하기 위해 NSF에 의해 사용된다는 것이다. 이 인터페이스 그룹의 능력은 또한 SYSLOG 및 DOTS와 같은 다른 프로토콜에 의해 정의될 수 있다. I2NSF 관리 시스템은 정보의 수신에 기초하여 하나 이상의 동작(action)을 취할 수 있다. 이는 I2NSF 정책 규칙에 의해 지정되어야 한다. 이 인터페이스 그룹은 NSF의 운영 상태를 변경하지 않는다.Monitoring Interface: group of interfaces used by the I2NSF management system to obtain monitoring information from one or more selected NSFs; Each interface in this interface group can be a query or report based interface. The difference between the two is that the query based interface is used by the I2NSF management system to obtain the information, while the report based interface is used by the NSF to provide the information. The capabilities of this interface group can also be defined by other protocols such as SYSLOG and DOTS. The I2NSF management system may take one or more actions based on the receipt of the information. This should be specified by the I2NSF policy rule. This interface group does not change the operational state of the NSF.

이와 같이, NFI는 흐름-기반 패러다임을 사용하여 개발될 수 있다. 흐름-기반 NSF의 공동 특성(common trait)은 수신된 패킷의 콘텐츠(예컨대, 헤더/페이로드) 및/또는 컨텍스트(예컨대, 세션 상태 및 인증 상태)에 기초하여 패킷을 처리하는 것이다. 이 특징은 I2NSF 시스템의 동작을 정의하기 위한 요구사항(requirement) 중 하나이다.As such, NFI may be developed using a flow-based paradigm. A common trait of flow-based NSF is to process packets based on the content (eg header / payload) and / or context (eg session state and authentication state) of the received packet. This feature is one of the requirements for defining the behavior of an I2NSF system.

한편, I2NSF 관리 시스템은 주어진 NSF의 모든 능력들을 사용할 필요가 없으며, 모든 사용 가능한 NSF들을 사용할 필요도 없다. 따라서, 이 추상화(abstraction)는 NSF 특징(feature)을 NSF 시스템에 의해 빌딩 블록(building block)으로 취급될 수 있게 해준다. 그러므로, 개발자는 벤더 및 기술에 독립적인 NSF에 의해 정의되는 보안 능력을 자유롭게 사용할 수 있게 된다.On the other hand, the I2NSF management system does not need to use all the capabilities of a given NSF, nor need to use all available NSFs. Thus, this abstraction allows NSF features to be treated as building blocks by the NSF system. Therefore, developers are free to use the security capabilities defined by NSF, which is independent of vendor and technology.

I2NSFI2NSF 등록 인터페이스(간단히, 등록 인터페이스(RI)) Registration interface (simply, registration interface (RI))

RI는 네트워크 운영 관리 시스템 및 개발자 관리 시스템 사이에 위치하는 인터페이스이다. 상이한 벤더에 의해 제공되는 NSF는 상이한 능력(capability)을 가질 수 있다. 따라서, 상이한 벤더에 의해 제공되는 여러 유형의 보안 능력을 이용하는 프로세스를 자동화하기 위해, 벤더가 그들의 NSF의 능력을 정의하기 위한 전용 인터페이스를 가질 필요가 있다. 이러한 전용 인터페이스는 I2NSF 등록 인터페이스(RI)로 지칭될 수 있다.RI is an interface located between the network operations management system and the developer management system. NSFs provided by different vendors may have different capabilities. Thus, in order to automate the process using the different types of security capabilities offered by different vendors, vendors need to have a dedicated interface to define their NSF's capabilities. This dedicated interface may be referred to as an I2NSF Registration Interface (RI).

NSF의 능력은 미리 구성되거나 또는 I2NSF 등록 인터페이스를 통해 동적으로 검색될 수 있다. 만일 소비자에게 노출되는 새로운 능력이 NSF에 추가된다면, 관심 있는(interested) 관리 및 제어 엔티티가 그것들을 알 수 있도록, 그 새로운 능력의 capability가 I2NSF 등록 인터페이스를 통해 I2NSF 레지스트리(registry)에 등록될 필요가 있다.The NSF's capabilities can be preconfigured or dynamically retrieved through the I2NSF registration interface. If new capabilities exposed to consumers are added to the NSF, the capabilities of those new capabilities need to be registered in the I2NSF registry via the I2NSF registration interface so that interested management and control entities know them. have.

도 2는 본 발명의 일 실시예에 따른 I2NSF 시스템의 아키텍처를 예시한다. 도 2의 I2NSF 시스템은 도 1의 I2NSF 시스템에 비하여 I2NSF 사용자 및 네트워크 운영 관리 시스템의 구성을 더 구체적으로 나타낸다. 도 2에서는 도 1에서 상술한 설명과 중복된 설명은 생략한다.2 illustrates the architecture of an I2NSF system in accordance with an embodiment of the present invention. The I2NSF system of FIG. 2 illustrates the configuration of an I2NSF user and network operation management system more specifically than the I2NSF system of FIG. 1. In FIG. 2, descriptions overlapping with those described above in FIG. 1 will be omitted.

도 2를 참조하면, I2NSF 시스템은 I2NSF 사용자, 보안 관리 시스템(Security Management System), 및 NSF 인스턴스(instances) 계층을 포함한다. I2NSF 사용자 계층은 어플리케이션 로직(Application Logic), 정책 업데이터(Policy Updater), 및 이벤트 수집기(Event Collector)을 컴포넌트로서 포함한다. 보안 관리 시스템 계층은 보안 제어기 및 개발자 관리 시스템을 포함한다. 보안 관리 시스템 계층의 보안 제어기는 보안 정책 관리자(Security policy manager) 및 NSF 능력 관리자(NSF capability manager)를 컴포넌트로서 포함한다.Referring to FIG. 2, the I2NSF system includes an I2NSF user, a security management system, and an NSF instance layer. The I2NSF user layer includes Application Logic, Policy Updater, and Event Collector as components. The security management system layer includes a security controller and a developer management system. The security controller of the security management system layer includes a security policy manager and an NSF capability manager as components.

I2NSF 사용자 계층은 소비자-직면 인터페이스를 통해 보안 관리 시스템 계층과 통신한다. 예를 들면, I2NSF 사용자 계층의 정책 업데이터 및 이벤트 수집기는 소비자-직면 인터페이스를 통해 보안 관리 시스템 계층의 보안 제어기와 통신한다. 또한, 보안 관리 시스템 계층은 NSF-직면 인터페이스를 통해 NFC 인스턴스 계층과 통신한다. 예를 들면, 보안 관리 시스템 계층의 보안 제어기는 NSF-직면 인터페이스를 통해 NFC 인스턴스 계층의 NSF 인스턴스(들)과 통신한다. 또한, 보안 관리 시스템 계층의 개발자 관리 시스템은 등록 인터페이스를 통해 보안 관리 시스템 계층의 보안 제어기와 통신한다.The I2NSF user layer communicates with the security management system layer via a consumer-facing interface. For example, the policy updater and event collector of the I2NSF user layer communicate with the security controller of the security management system layer via a consumer-facing interface. The security management system layer also communicates with the NFC instance layer via the NSF-direct interface. For example, the security controller of the security management system layer communicates with the NSF instance (s) of the NFC instance layer via an NSF-direct interface. In addition, the developer management system of the security management system layer communicates with the security controller of the security management system layer through a registration interface.

도 2의 I2NSF 사용자 계층, 보안 관리 시스템 계층의 보안 제어기 컴포넌트, 보안 관리 시스템 계층의 개발자 관리 시스템 컴포넌트 및 NSF 인스턴스 계층은 각각 도 1의 I2NSF 사용자 컴포넌트, 네트워크 운영 관리 시스템 컴포넌트, 개발자 관리 시스템 컴포넌트 및 NSF 컴포넌트에 대응된다. 또한, 도 2의 소비자-직면 인터페이스, NSF-직면 인터페이스 및 등록 인터페이스는 도 1의 소비자-직면 인터페이스, NSF-직면 인터페이스 및 등록 인터페이스에 대응된다. 이하에서는, 각 계층에 포함된 새로 정의된 컴포넌트들에 대하여 설명한다.The I2NSF user layer, the security controller component of the security management system layer, the developer management system component of the security management system layer, and the NSF instance layer of FIG. Corresponds to the component. In addition, the consumer-facing interface, the NSF-facing interface and the registration interface of FIG. 2 correspond to the consumer-facing interface, the NSF-facing interface and the registration interface of FIG. 1. Hereinafter, newly defined components included in each layer will be described.

I2NSFI2NSF 사용자 user

상술한 것처럼, I2NSF 사용자 계층은 다음 3 개의 컴포넌트를 포함한다: 어플리케이션 로직(Application Logic), 정책 업데이터(Policy Updater), 및 이벤트 수집기(Event Collector). 각각의 역할 및 동작을 설명하면 다음과 같다.As mentioned above, the I2NSF user layer includes three components: Application Logic, Policy Updater, and Event Collector. Each role and operation are described as follows.

어플리케이션 로직은 고수준 보안 정책을 생성하는 컴포넌트이다. 이를 위해, 어플리케이션 로직은 이벤트 수집기로부터 고수준 정책을 업데이트(또는 생성)하기 위한 이벤트를 수신하고, 수집된 이벤트에 기초하여 고수준 정책을 업데이트(또는 생성)한다. 그 이후에, 고수준 정책은 보안 제어기로 배포하기 위해 정책 업데이터로 보내진다. 고수준 정책을 업데이트(또는 생성)하기 위해, 이벤트 수집기는 보안 수집기에 의해 보내진 이벤트를 수신하고, 그들을 어플리케이션 로직으로 보낸다. 이 피드백에 기초하여, 어플리케이션 로직은 고수준 보안 정책을 업데이트(또는 생성)할 수 있다.Application logic is the component that creates the high-level security policy. To this end, the application logic receives an event from the event collector to update (or create) a high level policy and updates (or creates) a high level policy based on the collected event. After that, the high level policy is sent to the policy updater for distribution to the security controller. To update (or create) a high level policy, the event collector receives the events sent by the security collector and sends them to the application logic. Based on this feedback, the application logic can update (or create) a high level security policy.

도 2에서는, 어플리케이션 로직, 정책 업데이터 및 이벤트 수집기를 각각 별도의 구성으로 도시하고 있으나, 본 발명의 이에 한정되지 않는다. 다시 말해, 각각은 논리적인 컴포넌트로서, I2NSF 시스템에서 하나 또는 2 개의 컴포넌트로 구현될 수도 있다.In FIG. 2, the application logic, the policy updater, and the event collector are shown in separate configurations, but are not limited thereto. In other words, each may be implemented as one or two components in the I2NSF system as logical components.

보안 관리 시스템Security management system

상술한 것처럼, 보안 관리 시스템 계층의 보안 제어기는 보안 정책 관리자(Security policy manager) 및 NSF 능력 관리자(NSF capability manager)와 같은 2개의 컴포넌트를 포함한다 As described above, the security controller of the security management system layer includes two components, a security policy manager and an NSF capability manager.

보안 정책 관리자는 CFI를 통해 정책 업데이터로부터 고수준 정책을 수신하고, 이 정책을 여러 저수준 정책으로 맵핑할 수 있다. 이 저수준 정책은 NSF 능력 관리자에 등록된 주어진 NSF 능력과 관련된다. 또한, 보안 정책 관리자는 이 정책을 NFI를 통해 NSF(들)로 전달할 수 있다.The security policy manager can receive high-level policies from the policy updater through CFI, and map these policies to multiple low-level policies. This low level policy relates to a given NSF capability registered with the NSF capability manager. In addition, the security policy manager may forward this policy to the NSF (s) via NFI.

NSF 능력 관리자는 주어진 NSF 능력과 관련된 저수준 정책을 생성하기 위해, 개발자 관리 시스템에 의해 등록된 NSF의 능력을 지정하고, 그것을 보안 정책 관리자와 공유할 수 있다. 새로운 NSF가 등록될 때마다, NSF 능력 관리자는 등록 인터페이스를 통해 NSF 능력 관리자의 관리 테이블에 NSF의 능력을 등록하도록 개발자 관리 시스템에 요청할 수 있다. 개발자 관리 시스템은 새로운 NSF의 능력을 NSF 능력 관리자로 등록하기 위한 보안 관리 시스템의 다른 부분에 해당한다.The NSF capability manager can specify the capabilities of the NSF registered by the developer management system and share it with the security policy manager to create a low level policy associated with a given NSF capability. Each time a new NSF is registered, the NSF capability manager may request the developer management system to register the NSF's capabilities in the management table of the NSF capability manager through the registration interface. The developer management system is another part of the security management system for registering new NSF capabilities as NSF capability managers.

도 2에서는, 보안 정책 관리자 및 NSF 능력 관리자를 각각 별도의 구성으로 도시하고 있으나, 본 발명의 이에 한정되지 않는다. 다시 말해, 각각은 논리적인 컴포넌트로서, I2NSF 시스템에서 하나의 컴포넌트로 구현될 수도 있다.In FIG. 2, the security policy manager and the NSF capability manager are illustrated in separate configurations, but are not limited thereto. In other words, each is a logical component, and may be implemented as one component in the I2NSF system.

NSF NSF 인스턴스Instance (NSF Instances)(NSF Instances)

도 2에 도시된 것처럼, NSF 인스턴스 계층은 NSF들을 포함한다. 이때, 모든 NSF들은 이 NSF 인스턴스 계층에 위치된다. 한편, 고수준 정책을 저수준 정책에 맵핑한 후에, 보안 정책 관리자는 NFI를 통해 정책을 NSF(들)로 전달한다. 이 경우, NFC는 수신된 저수준 보안 정책에 기초하여 악의적인 네트워크 트래픽을 감지하고, 이를 차단하거나 완화할 수 있다.As shown in FIG. 2, the NSF instance layer includes NSFs. At this time, all NSFs are located in this NSF instance layer. On the other hand, after mapping the high level policy to the low level policy, the security policy manager forwards the policy to the NSF (s) via the NFI. In this case, NFC can detect, block or mitigate malicious network traffic based on the received low level security policy.

가상화 시스템의 신속한 개발을 위해서는 다양한 시나리오에서 고급 보안 능력이 필요하다(예를 들면, 엔터프라이즈 네트워크의 네트워크 장치, 모바일 네트워크의 사용자 장비, 인터넷의 장치 또는 거주자 액세스 사용자 등).Rapid development of virtualization systems requires advanced security capabilities in various scenarios (for example, network devices in enterprise networks, user equipment on mobile networks, devices on the Internet, or resident access users).

여러 보안 업체에서 생산한 NSF는 고객에게 다양한 보안 능력을 제공할 수 있다. 즉, NSF는 물리적 또는 가상 능력으로 구현되었는지 여부와 관계없이 여러 NSF가 함께 결합되어 주어진 네트워크 트래픽에 대한 보안 서비스를 제공 할 수 있다.Produced by several security vendors, NSF can offer customers a variety of security capabilities. In other words, the NSF can be combined together to provide security services for a given network traffic, regardless of whether it is implemented with physical or virtual capabilities.

보안 능력은 보안 정책 시행 목적으로 사용할 수 있는 일련의 네트워크의 보안과 관련된 능력을 말한다. 보안 능력은 실제 구현되는 보안 제어 메커니즘과는 독립적이며, 모든 NSF는 NSF에서 제공할 수 있는 능력들의 세트가 등록되어 있다.Security capability refers to the security-related capabilities of a set of networks that can be used for security policy enforcement purposes. Security capabilities are independent of the security control mechanisms actually implemented, and every NSF has a registered set of capabilities that it can provide.

보안 능력은 특정 NSF가 제공하는 보안 능력을 모호하지 않게 설명함으로써 맞춤형 보안 보호를 정의 할 수 있는 방법을 제공하는 마켓 리더이다. 또한, 보안 능력을 통해 보안 능력의 공급 업체의 중립적인 방식으로 설명 할 수 있다. Security Capabilities are market leaders who provide a way to define custom security protection by unambiguously describing the security capabilities provided by a particular NSF. In addition, security capabilities can be described in a vendor-neutral way of security capabilities.

즉, 네트워크를 설계할 때 특정 제품을 언급할 필요가 없으며, 능력별로 특징이 고려될 수 있다.That is, when designing a network, there is no need to mention specific products, and features can be considered by capabilities.

앞에서 살펴본 바와 같이 보안 정책 제공에 사용될 수 있는 I2NSF 인터페이스는 아래와 같이 두 가지 유형이 존재할 수 있다.As discussed above, there are two types of I2NSF interfaces that can be used to provide security policies.

- I2NSF 사용자와 응용 프로그램 간의 인터페이스 및 보안 컨트롤러 (Consumer-Facing Interface): NSF 데이터 및 서비스 사용자와 네트워크 운영 관리시스템(또는 보안 제어기) 사이에 통신 채널을 제공하는 서비스 지향 인터페이스. I2NSF user-to-application interface and security controller (Consumer-Facing Interface): A service-oriented interface that provides a communication channel between NSF data and service users and the network operations management system (or security controller).

I2NSF Consumer-Facing Interface는 보안 정보가 다양한 애플리케이션(예를 들면: OpenStack 또는 다양한 BSS / OSS 구성 요소)과 보안 컨트롤러간의 교환에 사용될 수 있다. Consumer-Facing Interface의 설계 목표는 보안 서비스의 스펙을 구현과 분리하는데 있다.The I2NSF Consumer-Facing Interface can be used to exchange security information between various applications (such as OpenStack or various BSS / OSS components) and security controllers. The design goal of the Consumer-Facing Interface is to separate the specification of security services from the implementation.

- NSF 간의 인터페이스(예를 들면: 방화벽, 침입 방지 또는 안티 바이러스) 및 보안 컨트롤러 (NSF-Facing Interface): NSF-Facing Interface는 보안 관리 체계를 NSF 집합과 여러 가지 구현에서 분리하는 데 사용되며 NSF가 구현되는 방식(예를 들면: 가상 머신 또는 실제 appliances 등)에서 독립적이다.Interfaces between NSFs (for example: firewalls, intrusion prevention or antivirus) and security controllers (NSF-Facing Interfaces): NSF-Facing Interfaces are used to separate security management schemes from NSF sets and various implementations. It is independent of the way it is (for example: virtual machines or real appliances).

이하, 연관된 I2NSF 정책 객체와 함께 네트워크 보안, 콘텐츠 보안 및 공격 완화 능력에 대한 객체 지향 정보 모델에 대해 살펴보도록 한다.The following describes an object-oriented information model for network security, content security, and attack mitigation capability with associated I2NSF policy objects.

본 발명에서 정보 모델에 사용되는 용어는 다음과 같이 정의될 수 있다Terms used in the information model in the present invention may be defined as follows.

AAA: Access control, Authorization, AuthenticationAAA: Access control, Authorization, Authentication

ACL: Access Control ListACL: Access Control List

(D)DoD: (Distributed) Denial of Service (attack)(D) DoD: (Distributed) Denial of Service (attack)

ECA: Event-Condition-Action ECA: Event-Condition-Action

FMR: First Matching Rule (resolution strategy)FMR: First Matching Rule (resolution strategy)

FW: FirewallFW: Firewall

GNSF: Generic Network Security FunctionGNSF: Generic Network Security Function

HTTP: HyperText Transfer ProtocolHTTP: HyperText Transfer Protocol

I2NSF: Interface to Network Security FunctionsI2NSF: Interface to Network Security Functions

IPS: Intrusion Prevention SystemIPS: Intrusion Prevention System

LMR: Last Matching Rule (resolution strategy)LMR: Last Matching Rule (resolution strategy)

MIME: Multipurpose Internet Mail ExtensionsMIME: Multipurpose Internet Mail Extensions

NAT: Network Address TranslationNAT: Network Address Translation

NSF: Network Security FunctionNSF: Network Security Function

RPC: Remote Procedure CallRPC: Remote Procedure Call

SMA: String Matching AlgorithmSMA: String Matching Algorithm

URL: Uniform Resource LocatorURL: Uniform Resource Locator

VPN: Virtual Private NetworkVPN: Virtual Private Network

정보 모델 설계Information model design

능력 정보 모델(Capability Information Model)의 설계의 출발점은 보안 능력의 유형을 분류하는 것이다. 예를 들어, "IPS", "안티 바이러스" 및 "VPN 집중 장치"와 같은 보안 능력의 유형을 분류하는 것이다.The starting point for the design of the Capability Information Model is to classify the types of security capabilities. For example, to classify types of security capabilities such as "IPS", "anti-virus" and "VPN concentrator."

또는, "패킷 필터"는 다양한 조건(예를 들면: 발신 및 수신 IP 주소, 발신 및 수신 포트 및 IP 프로토콜 유형 필드 등)에 따라 패킷 전달을 허용하거나 거부 할 수 있는 저장 장치로 분류될 수 있다.Alternatively, a "packet filter" can be classified as a storage device that can allow or deny packet delivery according to various conditions (e.g., source and destination IP address, source and destination port and IP protocol type fields, etc.).

그러나, 상태 기반 방화벽이나 응용 프로그램 계층 필터와 같은 다른 장치의 경우 더 많은 정보가 필요하다. 이러한 장치는 패킷이나 통신을 필터링하지만 패킷과 통신들을 카테고리화하고 유지하는 상태에서 차이가 있다.However, other devices, such as stateful firewalls or application layer filters, require more information. Such a device filters packets or communications but differs in categorizing and maintaining packets and communications.

아날로그적 고려사항은 채널 보호 프로토콜들에서 고려될 수 있다. 여기서 채널 보호 프로토콜들은 비대칭 암호로 협상될 수 있는 대칭 알고리즘을 통해 패킷을 보호할 수 있으며, 서로 다른 계층에서 작동하고 서로 다른 알고리즘과 프로토콜을 지원할 수 있다.Analog considerations can be considered in channel protection protocols. Here, channel protection protocols can protect packets through symmetric algorithms that can be negotiated with asymmetric cryptography, and can operate at different layers and support different algorithms and protocols.

안전한 보호를 위해 이러한 프로토콜은 무결성, 선택적으로 기밀성, anti-reply 보호 및 피어 인증이 적용되어야 한다.For secure protection, these protocols require integrity, optionally confidentiality, anti-reply protection, and peer authentication.

능력 정보 모델 Ability information model 오버뷰Overview (Capability Information Model Overview)(Capability Information Model Overview)

능력 정보 모델은 NSF의 자동 관리를 위한 토대를 제공하는 보안 능력 모델을 정의한다. 능력 정보 모델은 보안 컨트롤러가 NSF를 적절하게 식별 및 관리 할 수 있도록 하고, NSF가 능력들을 올바른 방법으로 사용할 수 있도록 적절하게 선언하는 것을 허용하는 것도 포함한다.The capability information model defines a security capability model that provides the basis for automatic management of the NSF. The capability information model also allows the security controller to properly identify and manage the NSF, and to allow the NSF to properly declare the capabilities to use them in the right way.

보안을 위한 몇 가지 기본 설계 원칙 및 이를 관리해야 하는 시스템은 다음과 같다.Some basic design principles for security and the systems that need to be managed are:

- 독립성(Independence): 각 보안 능력은 다른 능력에 최소한의 중첩 또는 종속성을 갖는 독립적 인 능력이어야 한다. 이를 통해 각 보안 능력을 자유롭게 사용 및 조합 할 수 있다. 더 중요한 것은, 하나의 능력으로의 변경이 다른 능력에 영향을 미치지 않는다는 것이다.Independence: Each security capability must be an independent capability with minimal overlap or dependency on other capabilities. This allows you to freely use and combine each security capability. More importantly, the change to one ability does not affect the other.

이것은 Single Responsibility Principle [Martin] [OODSRP]을 따른다.This follows the Single Responsibility Principle [Martin] [OODSRP].

- 추상성(Abstraction): 각 능력은 벤더 독립적인 방식으로 정의되어야 하며 잘 알려진 인터페이스와 연결되어 처리 결과를 기술하고 보고할 수 있는 표준화 된 능력을 제공해야 한다. 따라서, 다중 공급 벤더와의 상호 운용성이 향상될 수 있다.Abstraction: Each capability must be defined in a vendor-independent manner and linked to a well-known interface to provide a standardized ability to describe and report the results of processing. Thus, interoperability with multiple supplier vendors can be improved.

- 자동화(Automation): 시스템은 보안 능력(즉, 사용자 개입없이)을 자동 검색, 자동 협상 및 자동 업데이트 할 수 있어야 한다. 이러한 자동화 능력은 다수의 NSF를 관리하는 데 특히 유용하다. Automation: The system should be able to auto-detect, auto-negotiate and auto-update security capabilities (ie without user intervention). This automation capability is particularly useful for managing multiple NSFs.

채택 된 보안 체계에 대한 스마트 서비스(예를 들면: 분석, 정제, 능력 추론 및 최적화)를 추가하는 것은 필수적이다. 이러한 능력은 Observer Pattern [OODOP], Mediator Pattern [OODMP] 및 Message Exchange Patterns [Hohpe]와 같은 많은 디자인 패턴에서 지원된다.It is essential to add smart services (e.g. analysis, refinement, capability inference and optimization) to the adopted security scheme. This capability is supported in many design patterns such as Observer Pattern [OODOP], Mediator Pattern [OODMP], and Message Exchange Patterns [Hohpe].

- 확장성: 관리 시스템에는 scale up/down 또는 scale in/out 능력이 있어야 한다. 따라서, 이러한 확장성으로 인하여 변경 가능한 네트워크 트래픽 또는 서비스 요청에서 파생된 다양한 성능 요구 사항을 충족 할 수 있다. 또한, 확장성의 영향을 받는 보안 능력은 보안 컨트롤러에 보고통계를 지원해야 스케일링을 호출해야 하는지 여부를 결정하는 데 도움이 될 수 있다.Scalability: The management system must have scale up / down or scale in / out capabilities. Thus, this scalability can meet various performance requirements derived from changeable network traffic or service requests. In addition, security capabilities that are affected by scalability can help determine whether scaling statistics should be invoked by supporting reporting statistics on the security controller.

위의 원칙에 따라 표준 인터페이스를 갖춘 추상 및 벤더 중립 능력 집합이 정의될 수 있다. 이것은 주어진 시간에 필요한 NSF 세트를 사용할 수 있게 해주는 Capability 모델과 사용된 NSF 세트에 의해 제공되는 보안의 모호하지 않도록 정의를 제공한다. Based on the above principles, a set of abstract and vendor-neutral capabilities with standard interfaces can be defined. This provides a definition of the Capability model that enables the use of the required NSF set at any given time and the ambiguity of the security provided by the NSF set used.

보안 컨트롤러는 사용자 및 응용 프로그램의 요구 사항을 현재 사용할 수 있는 능력 집합과 비교하여 해당 요구 사항을 충족하는데 필요한 NSF를 선택한다. The security controller compares the user and application requirements with the currently available set of capabilities and selects the NSF needed to meet those requirements.

또한, NSF에 의해 알려지지 않은 위협(예를 들어, zero-day exploits 및 unknown malware)이 보고 될 때, 새로운 능력이 생성될 수 있고 및/또는 기존의 능력이 업데이트 될 수 있다(예를 들어, 그의 서명 및 알고리즘을 업데이트함으로써). 그 결과 새로운 위협에 대처하기 위해 기존의 NSF를 강화(및/또는 새로운 NSF를 생성)하게 된다. In addition, when an unknown threat (eg, zero-day exploits and unknown malware) is reported by NSF, a new ability may be created and / or an existing ability may be updated (eg, By updating the signature and algorithm). As a result, existing NSFs will be enhanced (and / or created new NSFs) to address new threats.

새로운 능력은 중앙 리포지토리에 전송되어 저장되거나 벤더의 로컬 리포지토리에 개별적으로 저장 될 수 있다. 두 경우 모두 표준 인터페이스가 업데이트 프로세스가 용이하게 수행되도록 한다.New capabilities can be transferred to a central repository and stored, or individually stored in a vendor's local repository. In both cases the standard interface makes the update process easy.

ECAECA 정책 모델  Policy model 오버뷰Overview (( ECAECA Policy Model Overview) Policy Model Overview)

"Event-Condition-Action"(ECA) 정책 모델은 I2NSF 정책 규칙의 설계를 위한 기초로 사용된다. 이때, I2NSF 정책과 관련된 용어는 아래와 같이 정의될 수 있다([I-D.draft-ietf-i2nsf-terminology] 참조):The "Event-Condition-Action" (ECA) policy model is used as the basis for the design of I2NSF policy rules. In this case, terms related to I2NSF policy may be defined as follows (see [I-D.draft-ietf-i2nsf-terminology]):

- 이벤트: 이벤트는 관리되는 시스템이 변경될 때 및/또는 관리되는 시스템의 환경에서 중요한 시점에 발생한다. 이벤트는 I2NSF 정책 규칙의 컨텍스트에서 사용될 때 I2NSF 정책 규칙의 조건 절을 평가할 수 있는지 여부를 결정하는 데 사용될 수 있다. I2NSF 이벤트의 예로는 시간 및 사용자 동작(예를 들면: 로그온, 로그 오프 및 ACL을 위반하는 동작)이 있을 수 있다.Event: An event occurs when a managed system changes and / or at a critical point in the environment of the managed system. An event can be used to determine whether the condition clause of an I2NSF policy rule can be evaluated when used in the context of an I2NSF policy rule. Examples of I2NSF events may be time and user actions (eg, actions that violate logon, logoff, and ACLs).

- 조건(Condition): 조건은 알려진 속성, 특징 및/또는 값의 세트와 비교될 속성, 능력 및/또는 값의 집합으로 정의되어 그(명령형) I2NSF 정책 규칙을 실행하거나 실행하지 않을 수 있다. I2NSF 조건의 예에는 패킷 또는 흐름의 일치하는 속성과 NSF의 내부 상태를 원하는 상태와 비교하는 것이 포함될 수 있다.Condition: A condition is defined as a set of attributes, capabilities, and / or values to be compared to a set of known attributes, features, and / or values to enable or disable the (implicit) I2NSF policy rule. Examples of I2NSF conditions may include comparing the matched attribute of a packet or flow and the internal state of the NSF to the desired state.

- 동작(Action): 동작은 이벤트 및 조건 절이 충족될 때 흐름 기반 NSF의 측면을 제어하고 모니터링하는데 사용된다. NSF는 다양한 액션을 실행하여 보안 능력을 제공한다. I2NSF 작업의 예에는 침입 탐지 및 / 또는 보호, 웹 및 플로우 필터링, 패킷 및 플로우에 대한 심층 패킷 검사 제공이 포함될 수 있다.Action: Actions are used to control and monitor aspects of flow-based NSF when event and condition clauses are met. NSF implements various actions to provide security capabilities. Examples of I2NSF tasks may include intrusion detection and / or protection, web and flow filtering, and deep packet inspection of packets and flows.

I2NSF 정책 규칙은 Event 절, Condition 절 및 Action 절의 세 가지 Boolean 절로 구성된다. The I2NSF policy rule consists of three Boolean clauses: an event clause, a condition clause, and an action clause.

Boolean 절은 TRUE 또는 FALSE로 평가되는 논리문을 의미하며, 하나 이상의 용어로 구성 될 수 있습니다. A Boolean clause means a logical statement that evaluates to TRUE or FALSE and can consist of one or more terms.

두 개 이상의 용어가 있는 경우 Boolean 절은 논리 연결 요소(즉, AND, OR 및 NOT)를 사용하여 용어를 연결한다. 이때, 논리적 연결 요소는 아래의 표 1과 같은 의미를 가질 수 있다.If there is more than one term, the Boolean clause uses logical linking elements (that is, AND, OR, and NOT) to link the terms. In this case, the logical connection element may have the meaning as shown in Table 1 below.

기술적으로 "정책 규칙"은 실제로 메타 데이터뿐 아니라 앞에서 설명한 “이벤트”, “동작” 및 “조건”을 집계하는 컨테이너 역할을 수행할 수 있다.Technically, a "policy rule" can actually act as a container that aggregates not only the metadata but also the "events", "actions" and "conditions" described earlier.

앞에서 설명한 ECA 정책 모델은 매우 일반적이며 쉽게 확장 할 수 있으며 일반 보안 능력 구현을 제한 할 수 있는 잠재적 제약을 피할 수 있다.The ECA policy model described earlier is very generic and easily extensible and avoids potential constraints that can limit the implementation of general security capabilities.

외부 정보 모델과의 관계Relationship to external information model

도 3은 본 발명이 적용될 수 있는 전체 I2NSF 정보 모델 디자인의 일 예를 나타낸다.3 shows an example of the overall I2NSF information model design to which the present invention can be applied.

I2NSF NSF-Facing Interface는 NSF의 능력을 사용하여 NSF를 선택 및 관리하며, 이는 아래와 같은 접근법을 이용하여 수행된다.The I2NSF NSF-Facing Interface uses the capabilities of the NSF to select and manage the NSF, which is performed using the following approach.

1) 각 NSF는 "참여"할 때 관리 시스템에 능력을 등록하므로 관리 시스템에서 해당 능력을 사용할 수 있다.1) Each NSF registers its capabilities with the management system when it “participates” so that the management system can use that capability.

2) 보안 컨트롤러는 관리하는 모든 사용 가능한 NSF에서 보안 서비스의 요구 사항을 충족시키는 데 필요한 능력 집합을 선택한다.2) The security controller selects the set of capabilities necessary to meet the requirements of the security service from all available NSFs it manages.

3) 보안 컨트롤러는 Capability 정보 모델을 사용하여 선택한 능력을 공급 업체와 독립적인 NSF로 일치시킨다.3) The security controller uses the Capability Information Model to match selected capabilities to vendor-independent NSFs.

4) 보안 컨트롤러는 위의 정보를 가져 와서 능력 정보 모델의 하나 이상의 데이터 모델을 생성 또는 사용하여 NSF를 관리합니다.4) The security controller takes the above information and creates or uses one or more data models of the capability information model to manage the NSF.

5) 제어 및 모니터링을 시작할 수 있습니다.5) Control and monitoring can be started.

이러한 접근법은 외부 정보 모델이 ECA 정책 규칙 및 그 구성 요소(예를 들면: 이벤트, 조건 및 조치 객체 등)의 개념을 정의하는 데 사용된다고 가정할 수 있다. 이를 통해 외부 정보 모델로부터 I2NSF 정책 규칙을 하위 클래스로 분류 할 수 있다(I-D.draft-ietf-i2nsf-terminology 참조).This approach can assume that an external information model is used to define the concepts of an ECA policy rule and its components (eg, events, conditions and action objects, etc.). This allows subclasses of I2NSF policy rules from external information models (see I-D.draft-ietf-i2nsf-terminology).

본 발명에서 데이터 모델은 데이터의 저장소, 데이터 정의 언어, 쿼리 언어, 구현 언어 및 프로토콜에 의존하는 형식으로 환경에 대한 관심의 컨셉을 나타낸 것이다.In the present invention, the data model represents the concept of interest in the environment in a format that depends on the storage of the data, the data definition language, the query language, the implementation language and the protocol.

또한, 정보 모델은 데이터 저장소, 데이터 정의 언어, 쿼리 언어, 구현 언어 및 프로토콜과 독립적인 형태로 환경에 대한 관심 컨셉을 나타낸 것이다.The information model also represents the concept of interest in the environment in a form that is independent of the data store, data definition language, query language, implementation language, and protocol.

능력은 클래스(예를 들면: 공통된 특성 및 행동 집합을 나타내는 객체의 집합)로 정의될 수 있다(I-D.draft-ietf-supa-generic-policy-info-model 참조).Ability can be defined as a class (e.g., a set of objects representing a set of common characteristics and behaviors) (see I-D.draft-ietf-supa-generic-policy-info-model).

각 능력은 시스템의 다른 모든 객체와 구별되는 하나 이상의 모델 요소(예를 들면: 속성, 메소드 또는 관계)로 구성될 수 있다. 능력은 일반적으로 일종의 메타 데이터(즉, 객체의 행동을 설명 및 / 또는 처방하는 정보)이다. Each capability can consist of one or more model elements (eg: attributes, methods, or relationships) that distinguish it from all other objects in the system. A capability is usually some kind of metadata (ie information describing and / or prescribing an object's behavior).

따라서, 각 능력은 외부 정보 모델이 메타 데이터를 정의하는데 사용될 수 있다(클래스 계층 구조의 형태가 바람직함). 따라서, 능력들은 외부 메타 데이터 모델에서 하위 클래스로 분류될 수 있다.Thus, each capability can be used by an external information model to define metadata (preferably in the form of a class hierarchy). Thus, capabilities can be subclassed in an external metadata model.

능력 하위 모델은 NSF가 포함된 장치의 유형 및 공급 업체와 독립적인 특정 보안 능력 세트를 광고, 생성, 선택 및 관리하는데 사용된다.Capability submodels are used to advertise, create, select, and manage specific sets of security capabilities that are independent of the type and vendor of the NSF.

즉, NSF-Facing Interface의 사용자는 NFC가 가상화 되거나 호스팅되는지, NSF 공급 업체가 누구인지, NSF가 통신하는 엔티티 세트(예를 들면, 방화벽 또는 IPS)를 고려하지 않는다.That is, users of the NSF-Facing Interface do not consider whether NFC is virtualized or hosted, who the NSF provider is, or the set of entities with which the NSF communicates (for example, a firewall or IPS).

대신 사용자는 NSF가 가지고 있는 패킷 필터링이나 딥 패킷 검사와 같은 능력 세트만을 고려한다. Instead, the user only considers a set of capabilities such as packet filtering or deep packet inspection that the NSF has.

이러한 전체 ISNSF 정보 모델의 설계는 도 3과 같다.The design of the overall ISNSF information model is shown in FIG. 3.

도 3에 도시된 외부 모델은 모두 SUPA 정보 모델을 기반으로 할 수 있다(I-D.draft-ietf-supa-generic-policy-info-model 참조). 능력 하위 모델의 클래스는 외부 메타 데이터 정보 모델에서 메타 데이터 집계(AggregatesMetadata)의 집합을 이어받는다.All external models shown in FIG. 3 may be based on the SUPA information model (see I-D.draft-ietf-supa-generic-policy-info-model). The class of the capability submodel inherits a set of AggregatesMetadata from the external metadata information model.

도 3에 도시된 외부 ECA 정보 모델은 일반 ECA 정책 규칙을 나타내는 최소한의 클래스 집합과 일반 ECA 정책 규칙에 의해 집계 될 수 있는 이벤트, 조건 및 동작을 나타내는 클래스 집합을 제공한다. The external ECA information model shown in FIG. 3 provides a minimal set of classes representing general ECA policy rules and a set of classes representing events, conditions, and actions that can be aggregated by the general ECA policy rules.

이를 통해, I2NSF는 이러한 일반 모델을 다른 목적으로 재사용 할수 있을 뿐만 아니라 I2NSF 관련 개념을 표현하기 위해 새로운 하위 클래스를 생성하거나 속성 및 관계를 추가 할 수 있다.This allows I2NSF not only to reuse this generic model for other purposes, but also to create new subclasses or add attributes and relationships to represent I2NSF-related concepts.

본 발명에서 외부 ECA 정보 모델은 메타 데이터를 수집하는 능력을 가지고 있다고 가정한다. 능력들은 외부 메타 데이터 정보 모델의 적절한 클래스에서 하위 클래스로 분류될 수 있다. In the present invention, it is assumed that the external ECA information model has the capability of collecting metadata. Capabilities can be subclassed in the appropriate class of the external metadata information model.

이는 ECA 개체가 메타 데이터와 기존의 집계를 사용하여 메타 데이터를 적절한 ECA 개체에 추가할 수 있게 한다.This allows the ECA entity to add metadata to the appropriate ECA entity using metadata and existing aggregations.

이하 정보 모델의 각 부분에 대해서 살펴보도록 한다.Hereinafter, each part of the information model will be described.

I2NSF 능력 정보 모델: 운영 이론(I2NSF Capability Information Model: Theory of Operation)I2NSF Capability Information Model: Theory of Operation

능력은 일반적으로 호출할 수 있는 NSF 함수를 나타내는 데 사용된다. 능력은 객체이므로 I2NSF ECA 정책 규칙의 이벤트, 조건 및/또는 액션을 설명하는 절에서 사용할 수 있다.Capabilities are commonly used to represent NSF functions that can be called. Because capabilities are objects, they can be used in sections describing events, conditions, and / or actions of I2NSF ECA policy rules.

I2NSF 능력 정보 모델은 사전 정의된 메타 데이터 모델을 구체화한다. I2NSF 능력의 적용은 능력 집합을 사용, 관리 또는 조작하는 방법을 정의하는 사전 정의된 ECA 정책 규칙 정보 모델을 수정함으로써 수행될 수 있다. 이러한 접근법에서 I2NSF 정책 규칙은 이벤트 절, 조건 절 및 작업 절의 세 가지 절로 구성된 컨테이너 역할을 수행할 수 있다. The I2NSF capability information model embodies a predefined metadata model. Application of the I2NSF capability may be performed by modifying a predefined ECA policy rule information model that defines how to use, manage or manipulate the capability set. In this approach, I2NSF policy rules can act as containers consisting of three clauses: the event clause, the condition clause, and the action clause.

I2NSF 정책 엔진이 일련의 이벤트를 수신하면 해당 이벤트를 활성 ECA 정책 규칙의 이벤트와 일치시킨다. 이벤트가 일치하면 일치하는 I2NSF 정책 규칙의 조건절의 평가를 트리거한다. 조건 절이 평가되고, 이것이 일치하는 경우, 일치하는 I2NSF 정책 규칙에 있는 일련의 행동이 실행될 수 있다.When the I2NSF policy engine receives a series of events, it matches the events in the active ECA policy rule. If the event matches, it triggers the evaluation of the condition clause of the matching I2NSF policy rule. If the condition clause is evaluated and it matches, then a sequence of actions in the matching I2NSF policy rule can be executed.

초기 Early NSFsNSFs 능력 카테고리(Initial  Competency category (Initial NSFsNSFs Capability Categories) Capability Categories)

이하, 네트워크 보안, 콘텐츠 보안 및 공격 완화의 세 가지 일반적인 기능에 대해서 살펴본다. 본 발명에서 살펴보는 특정 카테고리 내의 카테고리 수와 기능 유형은 모두 확장될 수 있다.In the following, we will look at three general functions: network security, content security, and attack mitigation. The number of categories and the types of functions in a specific category as discussed in the present disclosure may all be extended.

네트워크 보안 능력(Network Security Capabilities)Network Security Capabilities

네트워크 보안은 미리 정의 된 보안 정책을 사용하여 네트워크 트래픽을 검사하고 처리하는 방법을 설명하기 위한 카테고리이다.Network security is a category for describing how to inspect and process network traffic using predefined security policies.

검사 부분은 직접적으로 또는 패킷이 연관된 흐름의 맥락에서 네트워크를 통과하는 패킷을 검사하는 패킷 처리 엔진일 수 있다. 패킷 처리의 관점에서 볼 때 구현할 수 있는 패킷 헤더 및/또는 페이로드의 깊이, 유지할 수 있는 다양한 흐름 및 컨텍스트 상태, 패킷 또는 흐름에 적용 할 수 있는 동작이 구현에 따라 달라질 수 있다.The inspection portion may be a packet processing engine that inspects packets passing through the network either directly or in the context of the flow with which the packets are associated. From the point of view of packet processing, the depth of the packet header and / or payload that can be implemented, the various flows and context states that can be maintained, and the actions applicable to the packet or flow may vary from implementation to implementation.

콘텐츠 보안 능력(Content Security Capabilities)Content Security Capabilities

콘텐츠 보안은 응용 프로그램 계층에 적용되는 보안 기능의 또 다른 카테고리이다. 예를 들어, 응용 프로그램 계층에서 전달되는 트래픽 내용을 분석하여 콘텐츠 보안 기능을 사용함으로써 필요한 다양한 보안 기능을 식별 할 수 있다. Content security is another category of security features that apply to the application layer. For example, by analyzing the content of traffic delivered at the application layer, you can identify the various security features required by using content security features.

여기에는 침입에 대한 방어, 바이러스 검사, 악의적 인 URL 또는 정크 메일 필터링, 불법적 인 웹 액세스 차단 또는 악의적인 데이터 검색 방지가 포함될 수 있다.This may include defending against intrusions, virus scanning, filtering of malicious URLs or junk mail, blocking illegal web access, or preventing malicious data retrieval.

일반적으로 콘텐츠 보안의 각 위협 유형에는 고유한 특성 집합이 있으며 해당 유형의 콘텐츠에 고유한 메서드 집합을 사용하여 처리해야 한다. 따라서 이러한 기능은 고유한 콘텐츠 별 보안 기능을 특징으로 한다.In general, each threat type in content security has its own set of characteristics and must be addressed using a set of methods that are unique to that type of content. Thus, these features feature unique content-specific security features.

공격 완화 능력(Attack Mitigation Capabilities)Attack Mitigation Capabilities

공격 완화 능력은 다양한 유형의 네트워크 공격을 탐지하고 완화하는데 사용된다. 오늘날 일반적인 네트워크 공격은 아래와 같이 정의될 수 있다.Attack mitigation capabilities are used to detect and mitigate various types of network attacks. A typical network attack today can be defined as

- DDoS 공격:DDoS attack:

네트워크 계층 DDoS 공격: SYN flood, UDP flood, ICMP flood, IP fragment flood, IPv6 routing header attack 및 IPv6 duplicate address detection 공격을 예로들 수 있다.       Network layer DDoS attacks include SYN flood, UDP flood, ICMP flood, IP fragment flood, IPv6 routing header attack, and IPv6 duplicate address detection attack.

응용 프로그램 계층 DDoS 공격: 예를 들어 HTTP flood, https flood, 캐시 우회 HTTP floods, WordPress XML RPC floods 및 ssl DDoS가 있습니다.       Application layer DDoS attacks: For example, HTTP flood, https flood, cache bypass HTTP floods, WordPress XML RPC floods, and ssl DDoS.

- 단일 패킷 공격:Single packet attack:

스캐닝 및 스니핑 공격: IP 스윕, 포트 스캐닝 등        Scanning and sniffing attacks: IP sweeps, port scanning, etc.

잘못된 패킷 공격: Ping of Death, Teardrop 등        Bad packet attack: ping of death, teardrop, etc.

특별 패킷 공격: 특대 ICMP, Tracert, IP 타임 스탬프 옵션 패킷 등        Special Packet Attacks: Oversize ICMP, Tracert, IP Timestamp Option Packets, etc.

각 유형의 네트워크 공격에는 고유한 네트워크 동작 및 패킷/흐름 특성이 있다. 따라서, 각 유형의 공격에는 탐지 및 완화를 위해 능력 집합으로 알리는 특수 보안 기능이 필요하다. 이러한 보안 범주의 구현 및 관리 공격 완화 제어 기능은 콘텐츠 보안 제어 범주와 매우 유사할 수 있다.Each type of network attack has its own network behavior and packet / flow characteristics. Thus, each type of attack requires special security features that inform the set of capabilities for detection and mitigation. Implementation and management of these security categories The attack mitigation controls can be very similar to the content security control categories.

네트워크 보안 기능을 위한 정보 하부 모델(Information Sub-Model for Network Security Capabilities)Information Sub-Model for Network Security Capabilities

능력 정보 하위 모델의 목적은 능력의 개념을 정의하고 능력들을 적절한 객체에 집계 할 수 있게 하는 것이다. 이하, 네트워크 보안, 콘텐츠 보안 및 공격 완화 기능 하위 모델에 대해 설명하도록 한다.The purpose of the competency information submodel is to define the notion of a competency and to aggregate capabilities into the appropriate objects. Hereinafter, the network security, content security, and attack mitigation submodels will be described.

네트워크 보안을 위한 정보 하위 모델(Information Sub-Model for Network Security)Information Sub-Model for Network Security

도 4는 본 발명이 적용될 수 있는 네트워크 보안 정보 하위 모델 개요의 일 예를 나타낸다.4 shows an example of a network security information sub-model overview to which the present invention can be applied.

네트워크 보안 정보 하위 모델의 목적은 네트워크 트래픽을 정의하는 방법을 정의하고 하나 이상의 네트워크 보안 기능을 트래픽에 적용해야 하는지 여부를 결정하기 위한 것이다.The purpose of the Network Security Information submodel is to define how network traffic is defined and to determine whether one or more network security features should be applied to the traffic.

도 4에서 ECA정책규칙은 이벤트, 조건 및 동작 객체와 함께 외부 ECA 정보 모델에 정의되어 있다. 네트워크 보안 하위 모델은 보안 관련 ECA 정책 규칙 및 (일반)이벤트, 조건 및 조치 개체에 대한 확장을 정의하기 위해 이러한 모든 개체를 확장할 수 있다.In FIG. 4, ECA policy rules are defined in an external ECA information model along with events, conditions, and action objects. The network security submodel can extend all these objects to define extensions to security-related ECA policy rules and (general) event, condition, and action objects.

I2NSF 정책 규칙은 이벤트 조건 동작 (ECA) 형식의 특수한 유형의 정책 규칙이다. 정책 규칙, 정책 규칙의 구성 요소(예를 들면: 이벤트, 조건, 작업 및 해결 정책, 기본 작업 및 외부 데이터와 같은 일부 확장자) 및 선택적으로 메타 데이터로 구성될 수 있으며, NSF를 통한 단방향 및 양방향 트래픽에 모두 적용될 수 있다.I2NSF policy rules are a special type of policy rule in the form of event condition actions (ECA). It can consist of policy rules, components of policy rules (for example: some extensions such as events, conditions, action and resolution policies, default actions, and external data), and optionally metadata, and one-way and two-way traffic through NSF. Can be applied to both.

네트워크 보안 정책 규칙 확장(Network Security Policy Rule Extensions)Network Security Policy Rule Extensions

도 5은 본 발명이 적용될 수 있는 네트워크 보안 정보 하위 모델의 확장의 일 예를 나타낸다.5 shows an example of extension of a network security information submodel to which the present invention can be applied.

도 5는 네트워크 보안 정보 하위 모델에 포함된 ECA 정책 규칙 하위 클래스의 보다 자세한 디자인의 일 예를 나타낸다. 이는 보다 구체적인 네트워크 보안 정책들이 SecurityECAPolicyRule 클래스에서 이전되고 확장되는 방법을 보여준다. 5 shows an example of a more detailed design of an ECA policy rule subclass included in the network security information submodel. This shows how more specific network security policies are migrated and extended in the SecurityECAPolicyRule class.

다음과 같은 패턴의 클래스 설계를 따르면 새로운 종류의 특정 네트워크 보안 정책을 생성 할 수 있다.You can create a new kind of specific network security policy by following this class design.

SecurityECAPolicyRule은 I2NSF ECA 정책 규칙 계층의 맨 위에 위치한다. 이 규칙은 (외부) 일반 ECA 정책 규칙에서 이전되며 보안 관련 ECA 정책 규칙을 추가하기 위한 이러한 일반 ECA 정책 규칙의 특수화를 나타낸다. The SecurityECAPolicyRule is located at the top of the I2NSF ECA policy rule hierarchy. This rule is migrated from (external) general ECA policy rules and represents the specialization of these general ECA policy rules for adding security-related ECA policy rules.

SecurityECAPolicyRule은 슈퍼 클래스에 정의된 모든 속성, 메소드 및 관계를 포함하며 네트워크 보안에 필요한 추가 개념을 추가한다.The SecurityECAPolicyRule contains all the attributes, methods, and relationships defined in the super class and adds additional concepts for network security.

6 개의 SecurityECAPolicyRule 서브 클래스는 SecurityECAPolicyRule 클래스를 확장하여 6 가지 유형의 Network Security ECA Policy Rules를 나타낸다. (외부) 일반 ECAPolicyRule 클래스는 설명 및 기타 필요한 정보뿐만 아니라 고유한 객체 ID와 같은 속성의 형태로 기본 정보를 정의할 수 있다.The six SecurityECAPolicyRule subclasses extend the SecurityECAPolicyRule class to represent six types of Network Security ECA Policy Rules. The generic (external) ECAPolicyRule class can define basic information in the form of attributes such as unique object IDs, as well as descriptions and other necessary information.

네트워크 보안 정책 규칙 동작(Network Security Policy Rule Operation)Network Security Policy Rule Operation

네트워크 보안 정책은 위에서 설명한 정보 모델로 구성된 하나 이상의 ECA 정책 규칙으로 구성된다. 이벤트 및 조건 절이 변경되지 않은 간단한 경우에는 한 정책 규칙의 작업이 다른 정책 규칙에서 추가 네트워크 보안 작업을 호출 할 수 있다. 네트워크 보안 정책은 다음과 같이 트래픽을 검사하고 기본 처리를 수행한다.A network security policy consists of one or more ECA policy rules, organized by the information model described above. In the simple case where the event and condition clauses have not changed, an action in one policy rule can invoke additional network security actions in another policy rule. The network security policy inspects traffic and performs basic processing as follows.

1. NSF는 주어진 SecurityECAPolicyRule의 이벤트 절을 평가한다(도 3에 도시된 바와 같이 보안에 일반적이거나 특정 일 수 있음). 보안 이벤트 객체를 사용하여 아래 설명할 평가의 전부 또는 일부를 수행 할 수 있다. 1. The NSF evaluates the event clause of a given SecurityECAPolicyRule (which may be generic or specific to security as shown in FIG. 3). Security event objects can be used to perform all or part of the evaluation described below.

Event 절이 TRUE로 평가되면이 SecurityECAPolicyRule의 조건 절이 평가된다. 그렇지 않으면 SecurityECAPolicyRule의 실행이 중지되고 다음 SecurityECAPolicyRule 이 평가될 수 있다.If the Event clause evaluates to TRUE, the condition clause of this SecurityECAPolicyRule is evaluated. Otherwise, the SecurityECAPolicyRule stops running and the next SecurityECAPolicyRule can be evaluated.

2. 이후, 조건 절이 평가될 수 있다. 보안 요구 사항 객체를 사용하여 아래에서 설명할 평가의 전부 또는 일부가 수행될 수 있다. 조건 절이 TRUE로 평가되면 SecurityECAPolicyRule과 "일치"하는 것으로 정의된다. 그렇지 않으면 SecurityECAPolicyRule의 실행이 중지되고 다음 SecurityECAPolicyRule이 평가될 수 있다.2. The conditional clause can then be evaluated. All or some of the evaluations described below can be performed using the Security Requirements object. If the condition clause evaluates to TRUE, it is defined as "matching" the SecurityECAPolicyRule. Otherwise, the SecurityECAPolicyRule stops running and the next SecurityECAPolicyRule can be evaluated.

3. 실행될 일련의 작업이 검색되고, 해결 전략이 실행 순서를 정의하는 데 사용된다. Step 3)에서 프로세스에는 SecurityECAPolicyRule과 관련된 선택적 외부 데이터 사용이 포함될 수 있다.3. A series of tasks to be executed is retrieved and a resolution strategy is used to define the order of execution. In Step 3), the process may include the use of optional external data related to the SecurityECAPolicyRule.

4. 실행은 다음 세 가지 형식 중 하나를 취합니다.4. Execution takes one of three forms:

a. 하나 이상의 행동이 선택되면, NSF는 해결 전략에 의해 정의 된 행동을 수행 할 수 있다. 예를 들어, 해결 전략은 단일 액션 (예를 들면: FMR 또는 LMR) 만 실행되도록 허용하거나 모든 액션이 실행되도록 허용 할 수 있다(선택적으로 또는 특정 순서로).       a. If more than one action is selected, the NSF can perform the actions defined by the resolution strategy. For example, the resolution strategy may allow only a single action (e.g., FMR or LMR) to be executed or allow all actions to be executed (optionally or in a particular order).

이러한 경우와 다른 경우 NSF 기능은 실행 방법을 명확하게 정의해야 한다.In other cases, the NSF function must clearly define how it is implemented.

보안 액션 객체를 사용하여 아래에서 설명하는 실행의 전부 또는 일부를 수행 할 수 있습니다. 기본 액션이 허가 또는 미러인 경우 NSF는 먼저 해당 기능을 수행 한 다음 특정 보안 기능이 규칙에서 참조되는지 여부를 확인한다. 만약 “Yes”인 경우, Step 5로 이동한다. No인 경우, 트래픽이 허용된다.You can use secure action objects to do all or part of the execution described below. If the default action is Grant or Mirror, the NSF first performs the function and then checks whether a specific security function is referenced in the rule. If yes, go to Step 5. If no, traffic is allowed.

b. 선택된 동작이 없고 기본 동작이 있는 경우, 기본 동작이 수행될 수 있다. 그렇지 않으면 아무 작업도 수행되지 않는다.     b. If there is no action selected and there is a default action, the default action may be performed. Otherwise no action is taken.

c. 그렇지 않으면 트래픽이 거부됩니다.   c. Otherwise, the traffic is denied.

5. SecurityECAPolicyRule의 동작 집합에서 다른 보안 기능(예를 들면: 바이러스 백신 또는 IPS 프로파일 NSF가 암시하는 조건 및 / 또는 동작)이 참조되는 경우 NSF는 참조 된 보안 기능을 사용하도록 구성 할 수 있다 (예를 들면: check 조건 또는 행동 집행).5. If other security features are referenced in the SecurityECAPolicyRule's action set (for example: conditions and / or actions implied by the antivirus or IPS profile NSF), the NSF can be configured to use the referenced security features (eg For example: check condition or action enforcement).

이후, 실행이 종료될 수 있다.Thereafter, execution may end.

네트워크 보안 이벤트 하위 서브 모델(Network Security Event Sub-Model)Network Security Event Sub-Model

도 6는 본 발명이 적용될 수 있는 네트워크 보안 정보 하위 모델 이벤트 클래스의 확장의 일 예를 나타낸다.6 shows an example of extension of a network security information submodel event class to which the present invention can be applied.

도 6은 네트워크 보안 정보 하위모델에 포함된 이벤트 하위 클래스의 디자인의 일 예를 나타낸다.6 illustrates an example of a design of an event subclass included in the network security information submodel.

도 6의 네 가지 Event 클래스는 (외부) 일반 Event 클래스를 확장하여 네트워크 보안에서 중요한 이벤트를 나타낸다. (외부) 일반 Event 클래스는 고유 이벤트 ID, 설명 및 이벤트가 발생한 날짜 및 시간과 같은 속성 양식의 기본 이벤트 정보를 정의한다고 가정할 수 있다.The four Event classes of FIG. 6 extend the (external) general Event class to represent important events in network security. It can be assumed that the (external) generic Event class defines basic event information in the form of attributes, such as a unique event ID, description, and the date and time the event occurred.

네트워크 보안 조건 하위 서브 모델(Network Security Condition Sub-Model)Network Security Condition Sub-Model

도 7는 본 발명이 적용될 수 있는 네트워크 보안 정보 하위 모델 조건 클래스의 확장의 일 예를 나타낸다.7 shows an example of extension of a network security information submodel condition class to which the present invention can be applied.

도 7은 네트워크 보안 정보 하위 모델에 포함된 조건 하위 클래스의 보다 상세한 디자인을 나타낸다.7 shows a more detailed design of the condition subclass included in the network security information submodel.

도 7에 표시된 여섯 가지 조건 클래스는 (외부) 일반 조건 클래스를 확장하여 네트워크 보안과 관련된 조건을 나타낸다. (외부) 일반 조건 클래스는 추상적이므로 데이터 모델 최적화가 정의 될 수 있다고 가정한다. The six condition classes shown in FIG. 7 extend the (external) general condition class to represent conditions related to network security. Since the (external) general conditional class is abstract, it is assumed that data model optimization can be defined.

일반 조건 클래스는 고유 한 객체 ID, 설명 및 0 개 이상의 메타 데이터 객체를 연결하는 메커니즘과 같은 속성의 형태로 기본 조건 정보를 정의한다고 가정한다. A generic condition class is assumed to define basic condition information in the form of attributes such as unique object ID, description, and a mechanism for associating zero or more metadata objects.

네트워크 보안 동작 서브 모델(Network Security Action Sub-Model)Network Security Action Sub-Model

도 8은 본 발명이 적용될 수 있는 네트워크 보안 정보 하위 모델 액션의 확장의 일 예를 나타낸다.8 shows an example of extension of a network security information submodel action to which the present invention can be applied.

도 8은 네트워크 보안 정보 하부 모델에 포함 된 조치 서브 클래스의 보다 자세한 설계를 나타낸다. 도 8의 네 가지 동작 클래스는 (외부)일반 동작 클래스를 확장하여 네트워크 보안 제어 기능을 수행하는 작업을 나타낸다.8 shows a more detailed design of the action subclass included in the network security information submodel. The four operation classes of FIG. 8 represent operations for extending the (external) general operation class to perform network security control functions.

도 8의 세 가지 동작 클래스는 (외부) 일반 동작 클래스를 확장하여 네트워크 보안과 관련된 작업을 나타낸다. (외부) Generic Action 클래스는 추상적이므로 데이터 모델 최적화가 정의 될 수 있다.The three operational classes in FIG. 8 extend the (external) general operational class to represent tasks related to network security. Since the (external) Generic Action class is abstract, data model optimization can be defined.

일반적인 동작 클래스는 고유 한 객체 ID, 설명 및 0 개 이상의 메타 데이터 객체를 첨부하는 메커니즘과 같은 속성 형식의 기본 동작 정보를 정의한다고 가정한다.A generic action class is assumed to define basic action information in the form of attributes, such as a unique object ID, description, and a mechanism for attaching zero or more metadata objects.

I2NSFI2NSF 능력을 위한 정보 모델(Information Model for  Information Model for Competence I2NSFI2NSF Capabilities) Capabilities)

도 9은 본 발명이 적용될 수 있는 I2NSF 보안 기능의 상위 레벨 모델의 일 예를 나타낸다.9 shows an example of a high level model of I2NSF security function to which the present invention can be applied.

도 9에 도시된 바와 같이 I2NSF 기능 모델은 다양한 콘텐츠 보안 및 공격 완화 기능을 나타내는 많은 기능으로 구성된다. 각 기능은 응용 프로그램 계층에서 특정 유형의 위협으로부터 보호한다. As shown in FIG. 9, the I2NSF functional model is composed of many functions representing various content security and attack mitigation functions. Each feature protects against certain types of threats at the application layer.

도 9는 SecurityCapability라고하는 일반적인 I2NSF 보안 기능 클래스를 도시한다. 이를 통해 외부 메타 데이터 정보 모델의 디자인에 영향을 주지 않으면 서이 클래스에 공통 속성, 관계 및 동작을 추가 할 수 있다. 모든 I2NSF 보안 기능은 SecuritCapability 클래스에서 서브 클래싱된다.9 illustrates a generic I2NSF security capability class called SecurityCapability. This allows you to add common properties, relationships, and behaviors to this class without affecting the design of the external metadata information model. All I2NSF security features are subclassed in the SecuritCapability class.

컨텐츠 보안 능력을 위한 정보 모델(Information Model for Content Security Capabilities)Information Model for Content Security Capabilities

도 10은 본 발명이 적용될 수 있는 네트워크 보안 기능 정보 모델의 일 예를 나타낸다.10 shows an example of a network security function information model to which the present invention can be applied.

도 10은 콘텐츠 보안 GNSF(Generic Network Security Function)의 예시적인 유형들을 도시한다.10 illustrates example types of content security Generic Network Security Function (GNSS).

도 10에 도시된 바와 같이 콘텐츠 보안은 여러 가지 고유 한 보안 기능으로 구성될 수 있다. 이러한 각 능력은 응용 프로그램 계층에서 특정 유형의 위협으로부터 콘텐츠를 보호할 수 있다. As shown in FIG. 10, content security may be configured with various unique security functions. Each of these capabilities can protect content from certain types of threats at the application layer.

콘텐츠 보안은 도 10에 도시된 바와 같이 GNSF (Generic Network Security Function) 유형일 수 있다.The content security may be a Generic Network Security Function (GNSS) type, as shown in FIG. 10.

공격완화 능력을 위한 정보 모델(Information Model for Attack Mitigation Capabilities)Information Model for Attack Mitigation Capabilities

도 11는 본 발명이 적용될 수 있는 공격 완화 기능 정보 모델의 일 예를 나타낸다.11 shows an example of an attack mitigation function information model to which the present invention can be applied.

도 11에 도시된 바와 같이 공격 완화는 여러 GNSF로 구성될 수 있다. 각각은 특정 유형의 네트워크 공격으로부터 컨텐츠를 보호합니다. 공격 완화 (Acknowledge mitigation) 보안은 잘 정의 된 보안 기능을 요약 한 GNSF 유형이다.As illustrated in FIG. 11, attack mitigation may be composed of several GNSFs. Each protects your content from certain types of network attacks. Acknowledge mitigation security is a type of GNSF that summarizes well-defined security features.

I2NSFI2NSF 보안 정책 규칙( Security policy rule ( I2NSFI2NSF Security Policy Rule) Security Policy Rule

I2NSF 보안 정책 규칙은 일반 네트워크 보안 기능에 대한 정책 규칙을 나타낸다. 정책 규칙의 객체는 정책 정보 및 규칙 정보로 정의될 수 있다. 여기에는 Event Clause Objects, Condition Clause Objects, Action Clause Objects, Resolution Strategy 및 Default Action과 같은 ECA 정책 규칙이 포함될 수 있다.I2NSF security policy rules represent policy rules for general network security functions. The object of the policy rule may be defined as policy information and rule information. This can include ECA policy rules such as Event Clause Objects, Condition Clause Objects, Action Clause Objects, Resolution Strategy, and Default Action.

Event ClauseEvent Clause

이벤트는 앞에서 살펴본 바와 같이 관리되는 시스템이 변경 될 때 및/또는 관리되는 시스템의 환경에서 중요한 시점에 발생할 수 있다.As discussed earlier, events can occur when a managed system changes and / or at a critical point in the environment of the managed system.

Event Clause Objects는 I2NSF 정책 규칙의 컨텍스트에서 사용될 때 I2NSF 정책 규칙의 조건 절을 평가할 수 있는지 여부를 결정하는 데 사용될 수 있다. 이벤트 절의 대상은 사용자 보안 이벤트, 장치 보안 이벤트, 시스템 보안 이벤트 및 시간 보안 이벤트로 정의될 수 있다. 이벤트 조항의 대상은 특정 공급 업체 이벤트 기능에 따라 확장될 수 있다.Event Clause Objects can be used to determine whether the condition clause of an I2NSF policy rule can be evaluated when used in the context of an I2NSF policy rule. The targets of the event clause can be defined as user security events, device security events, system security events, and time security events. The subject of the event clause can be extended according to specific vendor event capabilities.

Condition ClauseCondition Clause

조건은 앞에서 살펴본 바와 같이 알려진 속성, 특징 및/또는 값의 세트와 비교 될 속성, 기능 및/또는 값의 집합으로 정의되어 그 (명령형) I2NSF 정책 규칙을 실행하거나 실행하지 않을 수 있다. A condition is defined as a set of attributes, functions, and / or values to be compared to a set of known attributes, features, and / or values, as discussed above, to enable or disable the (implicit) I2NSF policy rule.

이러한 object는 패킷 보안 조건, 패킷 페이로드 보안 조건, 대상 보안 조건, 사용자 보안 조건, 컨텍스트 조건 및 일반 컨텍스트 조건으로 정의될 수 있다.Such objects may be defined as packet security conditions, packet payload security conditions, target security conditions, user security conditions, context conditions, and general context conditions.

Action 조항의 오브젝트는 특정 공급 업체 조건 기능에 따라 확장될 수 있다.Objects in the Action clause can be extended according to specific vendor condition capabilities.

Action ClauseAction clausee

동작은 이벤트 및 조건 절이 충족될 때 흐름 기반 NSF의 측면을 제어하고 모니터링 하는데 사용된다. NSF는 다양한 액션을 실행하여 보안 기능을 제공한다. 동작 절의 오브젝트는 입력 동작, 송신 동작 및 적용 프로파일 동작으로 정의될 수 있으며, 동작 절의 오브젝트는 특정 벤더 조치 기능에 따라 확장될 수 있다.Actions are used to control and monitor aspects of flow-based NSF when event and condition clauses are met. NSF implements various actions to provide security. The object of the action clause may be defined as an input action, a transmit action, and an application profile action, and the object of the action clause may be extended according to a specific vendor action function.

이하, 본 발명에서 제안하는 데이터 모델에 대해 살펴보도록 한다.Hereinafter, the data model proposed by the present invention will be described.

본 발명에서 제안하는 데이터 모델의 구조는 아래와 같은 사항이 고려되었다.The structure of the data model proposed in the present invention has been considered as follows.

- Event, Condition, Action 절 집계에 의한 ECA 정책 모델의 고찰-Consideration of ECA Policy Model by Aggregating Event, Condition, and Action Clauses

- 능력 대수의 고려.-Consideration of ability algebra.

- NSF 기능 카테고리 (예 : 네트워크 보안, 컨텐츠 보안 및 공격 완화 기능) 고려.-Consider NSF feature categories (e.g. network security, content security and attack mitigation).

- 네트워크 보안 이벤트 클래스, 네트워크 보안 조건 클래스 및 네트워크 보안 작업 클래스에 대한 정의.-Definition of network security event class, network security condition class, and network security work class.

도 12a 및 도 12b는 본 발명의 일 실시 예에 따른 네트워크 보안 정책 식별을 위한 데이터 모델 구조를 예시한다.12A and 12B illustrate a data model structure for network security policy identification according to an embodiment of the present invention.

네트워크 보안 정책을 식별하기 위한 데이터 모델은 도 12a 및 도 12b에 도시된 바와 같은 구조로 구성될 수 있다 The data model for identifying a network security policy may be configured in a structure as shown in FIGS. 12A and 12B.

네트워크 보안 정책을 식별하기 위한 데이터 모델은 보안 정책, 이벤트 절 컨테이너, 조건 절 컨테이너 및 동작 절 컨테이너로 구성될 수 있다.The data model for identifying a network security policy may consist of a security policy, an event clause container, a condition clause container, and an action clause container.

보안 정책필드는 정책 이름, 정책 규칙들, 해결 전략, 및 고정 동작으로 구성될 수 있다.The security policy field may consist of policy name, policy rules, resolution strategy, and fixed action.

정책 규칙은 규칙을 식별하기 위한 id, 규칙을 설명하기 위한 description, rev, priority, policy-event-clause-agg-ptr*, policy-condition-clause-agg-ptr*, policy-action-clause-agg-ptr* 및 time-zone으로 구성될 수 있다.Policy rules are id to identify the rule, description to describe the rule, rev, priority, policy-event-clause-agg-ptr *, policy-condition-clause-agg-ptr *, policy-action-clause-agg It can consist of -ptr * and time-zone.

이때, time-zone은 적용되는 룰을 절대적인 시간 외에 주기적인 시간으로 설정할 수 있도록 absolute-time-zone 및 periodic-time-zone을 포함할 수 있다.In this case, the time-zone may include an absolute-time-zone and a periodic-time-zone so that the applied rule may be set to a periodic time in addition to an absolute time.

absolute-time-zone는 룰이 적용되는 절대적인 시간 또는 날짜를 설정하기 위해서 시작 시간 및 종료 시간을 설정하기 위한 start-time?, end-time? 및 날짜를 설정하기 위한 absolute-date*를 포함할 수 있다.absolute-time-zone sets the start-time? and end-time? to set the start time and end time to set the absolute time or date the rule applies to. And absolute-date * for setting the date.

periodic-time-zone은 룰이 적용되는 주기적인 시간을 설정하기 위한 day 및 month를 포함할 수 있다.periodic-time-zone may include day and month for setting a periodic time to apply the rule.

resolution-strategy은 룰을 위한 해결 전략을 설정하기 위해서 전략의 타입을 설정하기 위한 (resolution-strategy-type)?, 첫 번째로 매칭되는 룰을 설정하기 위한 first-matching-rule? 및 마지막으로 매칭되는 룰을 설정하기 위한 last-matching-rule?을 포함할 수 있다.resolution-strategy is a resolution-strategy-type for setting the strategy type to set the resolution strategy for the rule, and a first-matching-rule for setting the first matching rule. And last-matching-rule? For setting the last matching rule.

Default-action은 선택된 동작이 없는 경우 수행될 수 있는 동작을 설정하기 위한 필드로써 동작의 타입을 설정할 수 있다.Default-action is a field for setting an action that can be performed when there is no selected action and can set an action type.

event-clause-container, condition-clause-container 및 action-clause-container는 정책 규칙이 “이벤트”, “동작” 및 “조건”을 집계하기 위해서 사용될 수 있다.The event-clause-container, condition-clause-container and action-clause-container can be used by policy rules to aggregate "events", "actions" and "conditions".

도 13은 본 발명의 일 실시 예에 따른 이벤트 규칙을 위한 데이터 모델 구조를 예시한다.13 illustrates a data model structure for an event rule according to an embodiment of the present invention.

이벤트는 앞에서 살펴본 바와 같이 관리되는 시스템이 변경될 때 및/또는 관리되는 시스템의 환경에서 중요한 시점에 발생하는 사건을 의미한다.As described above, an event refers to an event that occurs when a managed system changes and / or at a critical point in the environment of the managed system.

도 13에 도시된 이벤트 절을 위한 오브젝트들은 사용자 보안 이벤트, 장치 보안 이벤트, 시스템 보안 이벤트 및 시간 보안 이벤트로 정의될 수 있다. 이러한 개체는 특정 공급 업체 이벤트 기능에 따라 확장될 수 있으며, 보다 일반적인 네트워크 보안 기능을 위한 추가 이벤트 객체가 추가될 수 있다.The objects for the event clause shown in FIG. 13 may be defined as a user security event, a device security event, a system security event, and a time security event. These objects can be extended according to specific vendor event capabilities, and additional event objects can be added for more general network security features.

도 14a 내지 도 14d는 본 발명의 일 실시 예에 따른 컨디션 규칙을 위한 데이터 모델 구조를 예시한다.14A to 14D illustrate a data model structure for a condition rule according to an embodiment of the present invention.

조건은 앞에서 살펴본 바와 같이 알려진 속성, 특징 및/또는 값의 세트와 비교될 속성, 기능 및/또는 값의 집합으로 정의되어 그 (명령형) I2NSF 정책 규칙을 실행하거나 실행하지 않을 수 있다. A condition may be defined as a set of attributes, functions and / or values to be compared to a set of known attributes, features and / or values, as discussed above, to enable or disable the (implicit) I2NSF policy rule.

컨디션 규칙을 위한 객체는 패킷 보안 조건, 패킷 페이로드 보안 조건, 대상 보안 조건, 사용자 보안 조건, 컨텍스트 조건 및 일반 컨텍스트 조건으로 정의될 수 있다. The object for the condition rule may be defined as a packet security condition, a packet payload security condition, a target security condition, a user security condition, a context condition, and a general context condition.

이러한 컨디션 규칙을 위한 개체는 특정 공급 업체 조건 기능에 따라 확장 될 수 있으며, 보다 일반적인 네트워크 보안 기능을 위한 조건 개체를 추가 할 수 있다.Objects for these condition rules can be extended according to specific vendor condition functions, and condition objects for more general network security functions can be added.

또한, 도 14c에 도시된 바와 같이 컨디션 규칙을 위한 데이터 모델 구조는 pkt-sec-cond-tcp-src-port*, pkt-sec-cond-tcp-dest-port*, pkt-sec-cond-udp-src-port* 및 pkt-sec-cond-udp-dest-port*를 통해 포트 번호와 관련된 룰을 설정할 수 있다.In addition, as shown in FIG. 14C, the data model structure for the condition rule is pkt-sec-cond-tcp-src-port *, pkt-sec-cond-tcp-dest-port *, pkt-sec-cond-udp Rules related to port numbers can be set through -src-port * and pkt-sec-cond-udp-dest-port *.

도 15a 및 도 15b는 본 발명의 일 실시 예에 따른 액션 규칙을 위한 데이터 모델 구조를 예시한다.15A and 15B illustrate a data model structure for an action rule according to an embodiment of the present invention.

동작은 이벤트 및 조건 절이 충족될 때 흐름 기반 NSF의 측면을 제어하고 모니터링 하는데 사용된다.Actions are used to control and monitor aspects of flow-based NSF when event and condition clauses are met.

이러한 개체는 수신 동작, 송신 동작 및 적용 프로필 동작으로 정의될 수 있다. 이러한 개체는 특정 공급 업체 작업 기능에 따라 확장될 수 있으며, 보다 일반적인 네트워크 보안 기능을 위한 액션 객체를 추가 할 수 있다.Such entities may be defined as receive actions, transmit actions and application profile actions. These objects can be extended to specific vendor job functions, and you can add action objects for more general network security functions.

도 14a 내지 도 15b에 도시된 컨디션 규칙 및 액션 규칙을 위한 데이터 모델의 구조는 컨테이너 구조가 사용되기 때문에 다중의 컨디션을 적용할 수 있다.The structure of the data model for the condition rule and the action rule shown in Figs. 14A to 15B can apply multiple conditions because a container structure is used.

[규칙 제91조에 의한 정정 04.05.2018]　
도 16a 내지 도 18j는 본 발명의 일 실시 예에 따른 I2NSF NSF-Facing-Interface의 YANG 데이터 모듈을 예시한다.[Correction under Rule 91 04.05.2018]
16A to 18J illustrate the YANG data module of the I2NSF NSF-Facing-Interface according to an embodiment of the present invention.

[규칙 제91조에 의한 정정 04.05.2018]　
도 16a 내지 도 18j를 참조하면, 도 12a 내지 도 15b에서 설명한 데이터 모델을 이용하여 네트워크 보안 기능들의 정보 모델을 위한 YANG 데이터 모델을 설정할 수 있다.[Correction under Rule 91 04.05.2018]
16A through 18J, a YANG data model for an information model of network security functions may be set using the data model described with reference to FIGS. 12A through 15B.

[규칙 제91조에 의한 정정 04.05.2018]　
도 16a 내지 18j에 도시된 모듈은 네트워크 보안 기능들을 위한 양 데이터 모듈로 정의될 수 있다.[Correction under Rule 91 04.05.2018]
The modules shown in FIGS. 16A-18J may be defined as both data modules for network security functions.

이하, NSF 모니터링을 위한 정보 모델에 대해 살펴보도록 한다.Hereinafter, an information model for NSF monitoring will be described.

보안 기능을 구성하기 위해 관리 엔티티(예를 들면: NMS, 보안 컨트롤러)에 NSF(예를 들면: FW, IPS, Anti-DDOS 또는 Anti-Virus 기능)가 제공하는 인터페이스 NSF에서 모니터링하고 NSF를 모니터링하는 것을 "I2NSF NSF-Facing Interface"라고 한다(ID.ietf-i2nsf-terminology 참조).Interfaces provided by NSF (for example: FW, IPS, Anti-DDOS or Anti-Virus functions) to managed entities (for example: NMS, security controllers) to configure security functions. This is called the "I2NSF NSF-Facing Interface" (see ID.ietf-i2nsf-terminology).

모니터링 부분은 NSF에 관한 중요한 정보를 획득하는 것을 의미한다. 알림, 이벤트, 레코드, 카운터. 시의 적절하고 포괄적인 방식으로 수행되면 NSF 모니터링은 전반적인 보안 프레임 워크에서 매우 중요한 역할을 한다. NSF에 의해 생성된 모니터링 정보는 악의적인 활동 또는 비정상적인 행동 또는 서비스 거부 공격의 잠재적 징후의 조기 표시일 수 있다.The monitoring part means obtaining important information about the NSF. Notifications, events, records, counters. When performed in a timely and comprehensive manner, NSF monitoring plays an important role in the overall security framework. The monitoring information generated by the NSF may be an early indication of malicious activity or potential signs of abnormal behavior or denial of service attacks.

NSF 모니터링 데이터는 아래와 같은 상황에서 사용될 수 있다.NSF monitoring data can be used in the following situations:

위에서 설명한 바와 같이 모니터링은 전반적인 보안 프레임 워크에서 매우 중요한 역할을 한다. NSF를 모니터링하면 규정된 보안 상태를 유지하는 데 있어 보안 컨트롤러에 매우 중요한 정보가 제공된다. 이 외에도 아래와 같이 NSF를 모니터링 할 수 있는 다른 이유가 있다.As described above, monitoring plays a very important role in the overall security framework. Monitoring the NSF provides information critical to the security controller in maintaining a defined security posture. There are other reasons for monitoring NSF as well.

- 보안 관리자는 NSF 또는 네트워크에서 발생한 특정 이벤트에서 트리거 되는 정책을 구성할 수 있다. 보안 컨트롤러는 지정된 이벤트를 모니터링하고 이벤트가 발생하면 정책에 따라 추가 보안 기능을 구성한다.Security administrators can configure policies to trigger on specific events that occur on NSFs or networks. The security controller monitors specified events and configures additional security features based on the policy when the event occurs.

- 보안 정책 위반의 결과로 NSF에 의해 촉발된 사건은 의심스러운 활동을 탐지하기 위해 SIEM에 의해 사용될 수 있다.Events triggered by the NSF as a result of security policy violations can be used by SIEM to detect suspicious activity.

- NSF의 이벤트 및 활동 로그를 사용하여 동작 및 예측과 같은 고급 분석을 구축하여 보안 상태를 개선할 수 있다.NSF's event and activity logs can be used to build advanced analytics such as behavior and predictions to improve security posture.

- 보안 컨트롤러는 고 가용성을 달성하기 위해 NSF의 이벤트를 사용할 수 있다. 실패한 NSF 재시작, NSF 수평 확장 등의 수정 조치를 취할 수 있다.Security controllers can use events from NSF to achieve high availability. Corrective actions can be taken, such as restarting a failed NSF or scaling out an NSF.

- NSF의 이벤트 및 활동 로그는 운영 문제의 디버깅 및 근본 원인 분석에 도움이 될 수 있다.NSF's event and activity logs can be helpful for debugging operational issues and root cause analysis.

- NSF의 활동 기록은 운영 및 비즈니스상의 이유로 기록 데이터를 작성하는 데 사용될 수 있다.-NSF's activity records can be used to create record data for operational and business reasons.

NSF NSF 모니터링monitoring 데이터의 분류 Classification of data

강력한 보안 상태를 유지하려면 NSF 보안 정책을 구성 할뿐만 아니라 관찰 가능한 정보를 소비하여 NSF를 지속적으로 모니터링 해야 한다. 이를 통해 보안 관리자는 적시에 네트워크에서 어떤 일이 일어나고 있는지 평가할 수 있다. To maintain a strong security posture, you must not only configure your NSF security policy, but also consume observable information to continuously monitor your NSF. This allows security administrators to timely assess what is happening on the network.

정적 보안 상태에 기반하여 모든 내부 및 외부 위협을 차단하는 것은 불가능하다. 이 목표를 달성하려면 일정한 가시성을 가진 매우 역동적인 자세가 필요하다. 본 발명은 NSF에서 얻을 수 있고 모니터링 정보로 사용될 수 있는 일련의 정보 요소(및 그 범위)를 정의할 수 있다.It is impossible to block all internal and external threats based on static security posture. Achieving this goal requires a very dynamic attitude with constant visibility. The present invention may define a series of information elements (and ranges thereof) that can be obtained from NSF and used as monitoring information.

본질적으로 이러한 유형의 모니터링 정보는 여러 수준의 세밀성에 대한 지속적인 가시성을 지원하기 위해 활용 될 수 있으며 해당 기능에 의해 소비 될 수 있다   In essence, this type of monitoring information can be utilized to support continuous visibility into different levels of granularity and can be consumed by the function.

이하, 모든 모니터링 데이터를 위한 기본적인 정보 모델에 대해 살펴보도록 한다.Hereinafter, the basic information model for all monitoring data will be described.

모든 모니터링 데이터를 위한 기본적인 정보 모델(Basic Information Model for All Monitoring Data)Basic Information Model for All Monitoring Data

- message_version: 데이터 형식의 버전을 나타내며 01에서 시작하는 2 자리 10 진수.message_version: A two-digit decimal number starting with 01 indicating the version of the data type.

- message_type : 이벤트, 경고, 알람, 로그, 카운터 등message_type: event, warning, alarm, log, counter, etc.

- time_stamp: 메시지가 생성 된 시간을 나타냄.time_stamp: Indicates the time the message was created.

- vendor_name: NSF 공급 업체의 이름.vendor_name: The name of the NSF vendor.

- NSF_name: 메시지를 생성하는 NSF의 이름 (또는 IP).NSF_name: The name (or IP) of the NSF generating the message.

- Module_name: 메시지를 출력하는 모듈 이름Module_name: Module name to display the message

- Severity: 로그의 레벨을 나타냄. 총 8 개의 레벨 (0에서 7까지)이 존재하며, 숫자가 작을수록 심각도가 높다.Severity: indicates the level of the log. There are a total of eight levels (0 to 7), the smaller the number, the higher the severity.

모니터링 데이터를위한 확장 정보 모델(Extended Information Model for Monitoring Data)Extended Information Model for Monitoring Data

확장 정보 모델은 알람과 같은 구조화 된 데이터에만 사용됩니다. 구조화되지 않은 데이터는 기본 정보 모델로만 지정된다.The extended information model is only used for structured data such as alarms. Unstructured data is specified only in the basic information model.

시스템 알람(System Alarm)System Alarm

메모리 알람(Memory Alarm)Memory Alarm

다음 정보가 메모리 알람에 포함되어야 한다.The following information should be included in the memory alarm.

- event_name: 'MEM_USAGE_ALARM'event_name: "MEM_USAGE_ALARM"

- module_name:알람 생성을 담당하는 NSF 모듈을 나타냄.module_name: indicates the NSF module responsible for generating the alarm.

- usage: 사용 된 메모리 양을 지정함.usage: Specifies the amount of memory used.

- 임계 값: 경보를 트리거 하는 임계 값Threshold: the threshold that triggers the alarm

- 심각도: 위험 수준 (예를 들면: 위험 수준, 높음, 보통, 낮음)-Severity: risk level (e.g., risk level, high, medium, low)

- 메시지: '메모리 사용량이 임계 값을 초과했습니다.'와 같은 메시지를 출력함.-Message: Outputs a message such as 'Memory usage exceeded threshold'.

CPU 알람(CPU Alarm)CPU Alarm

다음과 같은 정보가 CPU 알람에 포함될 수 있다.The following information may be included in the CPU alarm.

- event_name: 'CPU_USAGE_ALARM'event_name: "CPU_USAGE_ALARM"

- usage: 사용 된 CPU의 양을 지정합니다.-usage: specifies the amount of CPU used.

- threshold: 이벤트를 트리거 하는 임계 값threshold: the threshold that triggers the event

- 심각도: 위험 수준 (예를 들면: 위험 수준, 높음, 보통, 낮음)-Severity: risk level (e.g., risk level, high, medium, low)

- 메시지: 'CPU 사용량이 임계 값을 초과했습니다.' 와 같은 메시지를 출력함.-Message: "CPU usage exceeded threshold" Prints a message such as

디스크 알람(Disk Alarm)Disk Alarm

다음과 같은 정보가 디스크 알람에 포함될 수 있다.The following information may be included in the disk alarm.

- event_name: 'DISK_USAGE_ALARM'event_name: "DISK_USAGE_ALARM"

- usage: 사용 된 디스크 공간의 양을 지정합니다.-usage: specifies the amount of disk space used.

- threshold: 이벤트를 트리거 하는 임계 값threshold: the threshold that triggers the event

- 심각도: 위험 수준 (예를 들면: 위험 수준, 높음, 보통, 낮음)-Severity: risk level (e.g., risk level, high, medium, low)

- 메시지: '디스크 사용량이 임계 값을 초과했습니다.' 와 같은 메시지를 출력함.-Message: 'Disk usage exceeded threshold' Prints a message such as

하드웨어 알람(Hardware Alarm)Hardware Alarm

다음과 같은 정보가 하드웨어 알람에 포함될 수 있다.The following information may be included in the hardware alarm.

- event_name: 'HW_FAILURE_ALARM'event_name: "HW_FAILURE_ALARM"

- component_name:이 알람을 생성하는 HW 구성 요소를 나타냅니다.component_name: Indicates the HW component generating this alarm.

- 임계 값: 경보를 트리거 하는 임계 값Threshold: the threshold that triggers the alarm

- 심각도: 위험 수준 (예를 들면: 위험 수준, 높음, 보통, 낮음)-Severity: risk level (e.g., risk level, high, medium, low)

- 메시지: '하드웨어 구성 요소가 고장 났거나 성능이 저하되었습니다.'와 같은 메시지를 출력함.-Message: Outputs a message such as 'The hardware component has failed or has degraded.'

인터페이스 알람(Interface Alarm)Interface Alarm

다음과 같은 정보가 인터페이스 알람에 포함될 수 있다.The following information may be included in the interface alarm.

- event_name: 'IFNET_STATE_ALARM'event_name: "IFNET_STATE_ALARM"

- interface_Name: 인터페이스 이름interface_Name: the interface name

- interface_state: 'UP', 'DOWN', 'CONGESTED'interface_state: 'UP', 'DOWN', 'CONGESTED'

- threshold: 이벤트를 트리거 하는 임계 값threshold: the threshold that triggers the event

- 심각도: 위험 수준 (예를 들면: 위험 수준, 높음, 보통, 낮음)-Severity: risk level (e.g., risk level, high, medium, low)

- 메시지: '현재 인터페이스 상태'를 출력함.Message: Outputs 'current interface status'.

시스템 이벤트(System Events)System Events

액세스 위반(Access Violation)Access Violation

다음과 같은 정보가 이벤트에 포함될 수 있다.The following information may be included in the event.

- event_name: 'ACCESS_DENIED'event_name: "ACCESS_DENIED"

- user: 사용자 이름user: user name

- group: 사용자가 속한 그룹group: the group to which the user belongs

- login_ip_address: 사용자의 로그인 IP 주소login_ip_address: The user's login IP address

- authentication_mode: 사용자 인증 모드. 예를 들면: 로컬 인증, 제 3 자 서버 인증, 인증 면제, SSO 인증authentication_mode: User authentication mode. For example: local authentication, third party server authentication, certificate exemption, SSO authentication

- 메시지: '액세스가 거부되었습니다.' 와 같은 메시지를 출력함.-Message: "Access is denied" Prints a message such as

구성 변경(Configuration Change)Configuration change

다음과 같은 정보가 이벤트에 포함될 수 있다.The following information may be included in the event.

- event_name: 'CONFIG_CHANGE'event_name: "CONFIG_CHANGE"

- user: 사용자 이름user: user name

- group: 사용자가 속한 그룹group: the group to which the user belongs

- login_ip_address: 사용자의 로그인 IP 주소login_ip_address: The user's login IP address

- authentication_mode: 사용자 인증 모드. 예를 들면: 로컬 인증, 제 3 자 서버 인증, 인증 면제, SSO 인증authentication_mode: User authentication mode. For example: local authentication, third party server authentication, certificate exemption, SSO authentication

- 메시지: '구성이 수정되었습니다' 와 같은 메시지를 출력함.-Message: prints a message like 'Configuration modified.'

시스템 로그(System Log)System Log

접속 로그(Access Logs)Access Logs

액세스 로그는 관리자의 로그인, 로그 아웃 및 장치 작동을 기록하고, 이를 분석하여 보안 취약성을 식별 할 수 있다. 운영 보고서에는 아래와 같은 정보가 포함될 수 있다.The access log records the administrator's login, logout, and device activity, and analyzes them to identify security vulnerabilities. Operational reports may include the following information:

- 관리자: 장치에서 작동하는 관리자-Manager: Manager who works on the device

- login_ip_address : 관리자가 로그인 할 때 사용하는 IP 주소login_ip_address: IP address used by the administrator to log in

- login_mode : 관리자 로그인 모드를 지정합니다.(예를 들면: 뿌리, 사용자)login_mode: Specifies the administrator login mode (for example: root, user).

- operation_type : 관리자가 수행하는 조작 유형(예를 들면: 로그인, 로그 아웃, 구성 등)operation_type-The type of operation the administrator performs (eg, login, logout, configuration, etc.)

- 결과: 명령 실행 결과-Result: command execution result

- content: 로그인 후 관리자가 수행 한 작업.-content: the action taken by the administrator after login.

자원 사용률 로그(Resource Utilization Logs)Resource Utilization Logs

실행중인 보고서는 장치 시스템의 실행 상태를 기록하며 이는 장치 모니터링에 유용하다. 실행 보고서는 다음과 같은 정보를 포함할 수 있다.Running reports record the running status of the device system, which is useful for device monitoring. The performance report may include the following information:

- system_status: 현재 시스템의 실행 상태system_status: the current running state of the system

- CPU_usage: CPU 사용량을 지정합니다.-CPU_usage: Specify CPU usage.

- memory_usage: 메모리 사용량을 지정합니다.memory_usage: Specifies memory usage.

- disk_usage: 디스크 사용량을 지정합니다.-disk_usage: Specify disk usage.

- disk_left: 사용 가능한 디스크 공간을 지정합니다.-disk_left: Specifies the disk space available.

- session_number: 총 동시 세션 수를 지정합니다.-session_number: Specifies the total number of concurrent sessions.

- process_number: 총 시스템 프로세스 수를 지정합니다.-process_number: Specifies the total number of system processes.

- in_traffic_rate: 총 인바운드 트래픽 속도 (pps)in_traffic_rate: Total inbound traffic rate (pps)

- out_traffic_rate: 총 아웃 바운드 트래픽 속도 (pps)out_traffic_rate: Total outbound traffic rate (pps)

- in_traffic_speed: 총 인바운드 트래픽 속도 (bps)in_traffic_speed: Total inbound traffic speed (bps)

- out_traffic_speed: 총 아웃 바운드 트래픽 속도 (bps)out_traffic_speed: Total outbound traffic speed (bps)

사용자 활동 로그(User Activity Logs)User Activity Logs

사용자 활동 기록은 사용자의 온라인 기록 (로그인 시간, 온라인 / 잠금 기간 및 로그인 IP 주소)과 사용자가 수행하는 작업에 대한 가시성을 제공한다. 사용자 활동 보고서는 사용자 로그인 및 네트워크 액세스 활동 중 예외를 식별하는 데 유용하다.User activity records provide visibility into the user's online history (login time, online / lockout period and login IP address) and the tasks that the user performs. User activity reports are useful for identifying exceptions during user login and network access activity.

- group: 사용자가 속한 그룹group: the group to which the user belongs

- login_ip_address: 사용자의 로그인 IP 주소login_ip_address: The user's login IP address

- authentication_mode: 사용자 인증 모드. 예를 들면: 로컬 인증, 제 3 자 서버 인증, 인증 면제, SSO 인증authentication_mode: User authentication mode. For example: local authentication, third party server authentication, certificate exemption, SSO authentication

- access_mode: 사용자 액세스 모드. 예를 들면: PPP, SVN, LOCALaccess_mode: the user access mode. For example: PPP, SVN, LOCAL

- online_duration: 온라인 기간-online_duration: online period

- lockout_duration: 잠금 기간lockout_duration: lockout duration

- 유형: 사용자 활동. 성공한 사용자 로그인, 실패한 로그인 시도, 사용자 로그 아웃, 성공한 사용자 비밀번호 변경, 실패한 사용자 비밀번호 변경, 사용자 잠금, 사용자 잠금 해제, 알 수 없음-Type: user activity. Successful user login, failed login attempt, user logout, successful user password change, failed user password change, user lockout, user unlock, unknown

- 원인: 사용자 작업에 실패했습니다.-Cause: User operation failed.

시스템 카운터(System Counter)System Counter

인터페이스 카운터(Interface counters)Interface counters

인터페이스 카운터는 NSF로 들어오고 나가는 트래픽, 대역폭 사용에 대한 가시성을 제공한다.Interface counters provide visibility into traffic and bandwidth usage to and from the NSF.

- interface_name : NSF에서 구성된 네트워크 인터페이스 이름interface_name: Network interface name configured in the NSF

- in_total_traffic_pkts : 전체 인바운드 패킷in_total_traffic_pkts: Total inbound packets

- out_total_traffic_pkts : 총 아웃 바운드 패킷out_total_traffic_pkts: Total outbound packets

- in_total_traffic_bytes : 총 인바운드 바이트in_total_traffic_bytes: Total inbound bytes

- out_total_traffic_bytes : 총 아웃 바운드 바이트out_total_traffic_bytes: Total outbound bytes

- in_drop_traffic_pkts : 총 인바운드 드롭 패킷in_drop_traffic_pkts: Total inbound drop packets

- out_drop_traffic_pkts : 총 아웃 바운드 드롭 패킷out_drop_traffic_pkts: Total outbound drop packets

- in_drop_traffic_bytes : 총 인바운드 드롭 바이트in_drop_traffic_bytes: Total inbound drop bytes

- out_drop_traffic_bytes : 총 아웃 바운드 삭제 바이트out_drop_traffic_bytes: Total outbound drop bytes

- in_traffic_ave_rate : 인바운드 트래픽 평균 요금 (pps)in_traffic_ave_rate: Average rate for inbound traffic (pps)

- in_traffic_peak_rate : 인바운드 트래픽 피크 속도 (pps)in_traffic_peak_rate: Inbound traffic peak rate (pps)

- in_traffic_ave_speed : 인바운드 트래픽 평균 속도 (bps)in_traffic_ave_speed: Inbound traffic average speed (bps)

- in_traffic_peak_speed : 인바운드 트래픽 최고 속도 (bps)in_traffic_peak_speed: Inbound traffic peak speed (bps)

- out_traffic_ave_rate : 아웃 바운드 트래픽 평균 요금 (pps)out_traffic_ave_rate: Average rate for outbound traffic (pps)

- out_traffic_peak_rate : 아웃 바운드 트래픽 피크 속도 (pps)out_traffic_peak_rate: Outbound traffic peak rate (pps)

- out_traffic_ave_speed : 아웃 바운드 트래픽 평균 속도 (bps)out_traffic_ave_speed: Outbound traffic average speed (bps)

- out_traffic_peak_speed : 아웃 바운드 트래픽 최고 속도 (bps)out_traffic_peak_speed: Outbound traffic maximum speed (bps)

NSF 이벤트(NSF Events)NSF Events

DDos 이벤트는 다음과 같은 정보를 포함할 수 있다.The DDos event may include the following information.

- event_name : 'SEC_EVENT_DDoS'event_name: 'SEC_EVENT_DDoS'

- sub_attack_type : Syn flood, ACK flood, SYN-ACK flood, FIN / RST flood, TCP 연결 flood, UDP flood, Icmp flood, HTTPS flood, HTTP flood, DNS query flood, DNS reply flood, SIP flood 등sub_attack_type: Syn flood, ACK flood, SYN-ACK flood, FIN / RST flood, TCP connection flood, UDP flood, Icmp flood, HTTPS flood, HTTP flood, DNS query flood, DNS reply flood, SIP flood, etc.

- dst_ip: 공격 받고있는 victum의 IP 주소dst_ip: IP address of the victum under attack

- dst_port: 트래픽을 목표로 삼고있는 포트 번호.dst_port: The port number for which traffic is targeted.

- start_time: 공격이 시작된 시간을 나타내는 타임 스탬프start_time: a timestamp indicating when the attack started

- end_time: 공격이 종료 된 시간을 나타내는 타임 스탬프. 경보를 전송할 때 공격이 계속 발생하면이 필드는 비어있을 수 있습니다.end_time: A timestamp indicating when the attack ended. If the attack continues to occur when sending an alert, this field may be empty.

- attack_rate: 공격 트래픽의 PPSattack_rate: PPS of attack traffic

- attack_speed: 공격 트래픽의 bpsattack_speed: bps of attack traffic

- rule_id: 트리거되는 규칙의 ID입니다.rule_id: The ID of the rule that is triggered.

- rule_name: 트리거되는 규칙의 이름rule_name: The name of the rule to be triggered

- 프로필: 트래픽이 일치하는 보안 프로필입니다.-Profile: The security profile that the traffic matches.

세션 테이블 이벤트(session Table Event)Session table event

아래와 같은 정보가 세션 테이블 이벤트에 포함될 수 있다.The following information may be included in the session table event.

- event_name: 'SESSION_USAGE_HIGH'event_name: "SESSION_USAGE_HIGH"

- current: 동시 세션 수current: number of concurrent sessions

- max: 세션 테이블이 지원할 수있는 최대 세션 수max: the maximum number of sessions that the session table can support

- threshold: 이벤트를 트리거하는 임계 값threshold: the threshold that triggers the event

- 메시지: '세션 테이블의 수가 임계 값을 초과했습니다.'-Message: 'The number of session tables has exceeded the threshold.'

바이러스 이벤트(Virus Event)Virus Event

아래와 같은 정보가 바이러스 이벤트에 포함될 수 있다.The following information may be included in the virus event.

- event_Name : 'SEC_EVENT_VIRUS'event_Name: 'SEC_EVENT_VIRUS'

- virus_type : 바이러스 유형 (예 : 트로이 목마, 웜, 매크로) 바이러스 유형, 바이러스 이름-virus_type: virus type (eg trojan, worm, macro) virus type, virus name

- dst_ip : 바이러스가 발견 된 패킷의 대상 IP 주소dst_ip: destination IP address of the packet where the virus was found

- src_ip : 바이러스가 발견 된 패킷의 소스 IP 주소src_ip: Source IP address of the packet where the virus was found

- src_port : 바이러스가 발견 된 패킷의 소스 포트src_port: the source port of the packet where the virus was found

- dst_port : 바이러스가 발견 된 패킷의 대상 포트dst_port: the destination port of the packet where the virus was found

- src_zone : 바이러스가 발견 된 패킷의 소스 보안 영역src_zone: Source security zone of the packet where the virus was found

- dst_zone : 바이러스가 발견 된 패킷의 대상 보안 영역dst_zone: The target security zone of the packet where the virus was found

- file_type : 바이러스가 숨겨진 파일의 유형-file_type: The type of file the virus is hidden

- file_name : 바이러스가 숨겨진 파일의 이름file_name: The name of the file where the virus is hidden

- virus_info : 바이러스의 간단한 소개-virus_info: A brief introduction of viruses

- raw_info : 이벤트를 트리거하는 패킷을 설명하는 정보.raw_info: Information describing the packet that triggers the event.

- rule_id : 트리거되는 규칙의 ID입니다.rule_id: The ID of the rule being triggered.

- rule_name : 트리거되는 규칙의 이름rule_name: The name of the rule to be triggered

- 프로필 : 트래픽이 일치하는 보안 프로필입니다.-Profile: The security profile that the traffic matches.

침입 이벤트(Intrusion Event)Intrusion Event

- Intrustion Event에는 다음 정보가 포함되어야합니다.-Intrustion Event should contain the following information:

- event_name: 이벤트 이름 : 'SEC_EVENT_Intrusion'event_name: Event Name: 'SEC_EVENT_Intrusion'

- sub_attack_type: 공격 유형, 예 : 잔인한 힘, 버퍼 오버 플로우sub_attack_type: attack type, eg brutal force, buffer overflow

- src_ip: 패킷의 소스 IP 주소src_ip: the source IP address of the packet

- dst_ip: 패킷의 목적지 IP 주소dst_ip: the destination IP address of the packet

- src_port: 패킷의 소스 포트 번호src_port: the source port number of the packet

- dst_port : 패킷의 목적지 포트 번호dst_port: the destination port number of the packet

- src_zone: 패킷의 소스 보안 영역src_zone: the packet's source security zone

- dst_zone: 패킷의 대상 보안 영역dst_zone: the target security zone of the packet

- 프로토콜: 사용 된 전송 계층 프로토콜, 예를 들어, TCP, UDPProtocol: Transport layer protocol used, e.g. TCP, UDP

- app: 채용 된 애플리케이션 계층 프로토콜 (예를 들면: HTTP, FTP)app: adopted application layer protocol (e.g. HTTP, FTP)

- rule_id: 트리거 되는 규칙의 ID입니다.rule_id: The ID of the rule being triggered.

- rule_name: 트리거 되는 규칙의 이름rule_name: the name of the rule to be triggered

- 프로필: 트래픽이 일치하는 보안 프로필-Profile: security profile with matching traffic

- intrusion_info: 침입에 대한 간단한 설명intrusion_info: A brief description of the intrusion

- raw_info: 이벤트를 트리거 하는 패킷을 설명하는 정보.raw_info: Information describing the packet that triggers the event.

봇넷Botnet 이벤트( event( BotnetBotnet Event) Event)

아래와 같은 정보는 봇넷 이벤트에 포함될 수 있다.The following information may be included in the botnet event.

- event_name : 이벤트 이름 : 'SEC_EVENT_Botnet'event_name: Event Name: 'SEC_EVENT_Botnet'

- botnet_name : 탐지 된 봇넷의 이름botnet_name: The name of the detected botnet

- src_ip : 패킷의 소스 IP 주소src_ip: Packet's source IP address

- dst_ip : 패킷의 목적지 IP 주소dst_ip: Destination IP address of the packet

- src_port : 패킷의 소스 포트 번호src_port: the source port number of the packet

- dst_port : 패킷의 목적지 포트 번호dst_port: the destination port number of the packet

- src_zone : 패킷의 소스 보안 영역src_zone: the packet's source security zone

- dst_zone : 패킷의 대상 보안 영역dst_zone: the target security zone of the packet

- 프로토콜 : 사용 된 전송 계층 프로토콜, 예를 들어, TCP, UDPProtocol: Transport layer protocol used, e.g. TCP, UDP

- app : 채용 된 애플리케이션 계층 프로토콜 (예 : HTTP, FTP)app: adopted application layer protocol (e.g. HTTP, FTP)

- 역할 : 봇넷 내 통신 당사자의 역할 :Role: The role of the communicating party in the botnet:

1. 좀비 호스트에서 공격자까지의 패킷  1. Packets from the zombie host to the attacker

2. 공격자에서 좀비 호스트로 가는 패킷  2. Packets from attacker to zombie host

3. IRC / WEB 서버에서 좀비 호스트로 가는 패킷  3. Packets from the IRC / WEB server to the zombie host

4. 좀비 호스트에서 IRC / WEB 서버로 보내는 패킷  4. Packets sent from the zombie host to the IRC / WEB server

5. 공격자에서 IRC / WEB 서버로 보낸 패킷  5. Packets sent from the attacker to the IRC / WEB server

6. IRC / WEB 서버에서 공격자로 가는 패킷  6. Packets from the IRC / WEB server to the attacker

7. 좀비 호스트에서 희생자까지의 패킷  7. Packets from the zombie host to the victim

- botnet_info : Botnet에 대한 간단한 설명-botnet_info: Short description of Botnet

- rule_id : 트리거 되는 규칙의 ID입니다.rule_id: The ID of the rule to be triggered.

- rule_name : 트리거 되는 규칙의 이름rule_name: The name of the rule to trigger

- 프로필: 트래픽이 일치하는 보안 프로필-Profile: security profile with matching traffic

- raw_info : 이벤트를 트리거 하는 패킷을 설명하는 정보raw_info: information describing the packet that triggers the event

웹 공격 이벤트(Web Attack Event)Web attack event

아래와 같은 정보가 웹 공격 이벤트에 포함될 수 있다.The following information may be included in the web attack event.

- event_name : 이벤트 이름 : 'SEC_EVENT_WebAttack'event_name: Event Name: 'SEC_EVENT_WebAttack'

- sub_attack_type : 구체적인 웹 공격 유형 (예 : sql injection, command injection, XSS, CSRF)sub_attack_type: Specific web attack type (e.g. sql injection, command injection, XSS, CSRF)

- src_ip : 패킷의 소스 IP 주소src_ip: Packet's source IP address

- dst_ip : 패킷의 목적지 IP 주소dst_ip: Destination IP address of the packet

- src_port : 패킷의 소스 포트 번호src_port: the source port number of the packet

- dst_port : 패킷의 목적지 포트 번호dst_port: the destination port number of the packet

- src_zone : 패킷의 소스 보안 영역src_zone: the packet's source security zone

- dst_zone : 패킷의 대상 보안 영역dst_zone: the target security zone of the packet

- req_method : 요구 사항의 방법. 예를 들어 HTTP에서 'PUT'또는 'GET'req_method: The method of requirement. E.g. 'PUT' or 'GET' in HTTP

- req_url : 요청 된 URLreq_url: requested URL

- url_category : 일치하는 URL 카테고리-url_category: the matching URL category

- filtering_type : 블랙리스트, 허용 목록, 사용자 정의, 미리 정의된, 악의적인 카테고리, 알 수없는 URL 필터링 유형filtering_type: blacklist, whitelist, custom, predefined, malicious category, unknown URL filtering type

- rule_id : 트리거되는 규칙의 ID입니다.rule_id: The ID of the rule being triggered.

- rule_name : 트리거되는 규칙의 이름rule_name: The name of the rule to be triggered

- 프로필 : 트래픽이 일치하는 보안 프로필입니다.-Profile: The security profile that the traffic matches.

NSF 로그(NSF Logs)NSF Logs

DDoSDDoS 로그( Log( DDoSDDoS Logs) Logs)

DDoS 경보의 필드 외에도 필드 외에도 아래와 같은 정보가 DDoS 로그에 포 함될 수 있다.In addition to the fields of the DDoS alert, the following information can be included in the DDoS log.

- 공격 유형 : DDoSAttack Type: DDoS

- attack_ave_rate : 기록 된 시간 내에 공격 트래픽의 평균 ppsattack_ave_rate: average pps of attack traffic within recorded time

- attack_ave_speed : 기록 된 시간 내에 공격 트래픽의 평균 bpsattack_ave_speed: Average bps of attack traffic within recorded time

- attack_pkt_num : 기록 된 시간 내의 공격 패킷 수attack_pkt_num: the number of attack packets within the recorded time

- attack_src_ip : 공격 트래픽의 소스 IP 주소입니다. 많은 양의 IP 주소가 있는 경우 다른 규칙에 따라 특정 수의 자원을 선택.attack_src_ip: Source IP address of the attack traffic. If you have a large number of IP addresses, choose a specific number of resources according to different rules.

- 액션 : DDoS 공격 (예를 들면: 허용, 경고, 차단, 폐기, 선언, 차단 IP, 차단 서비스)에 대한 작업.Action: Actions on DDoS attacks (e.g., allow, warn, block, discard, declare, block IP, block service).

바이러스 로그(Virus Logs)Virus Logs

바이러스 경보의 필드 외에도 아래와 같은 정보가 바이러스 로그에 포함될 수 있다,In addition to the fields of the virus alert, the following information may be included in the virus log:

- 공격 유형 : 바이러스Attack Type: Virus

- 프로토콜 : 전송 계층 프로토콜Protocol: Transport Layer Protocol

- app : 응용 프로그램 계층 프로토콜의 이름app: The name of the application layer protocol

- times : 바이러스 탐지 시간times: Virus detection time

- 액션 : 바이러스를 다루는 액션 (예 : 경고, 차단)Action: Actions dealing with viruses (e.g. warnings, blocking)

- os : 바이러스가 영향을 미치는 OS (예 : all, android, ios, unix, windows).-os: OS on which the virus is affected (e.g. all, android, ios, unix, windows).

침입 로그(Intrusion Logs)Intrusion Logs

침입 경보의 필드 외에도 아래와 같은 정보가 침입 로그에 포함도리 수 있다.In addition to the intrusion alert field, the following information can be included in the intrusion log:

- 공격 유형 : 침입Attack Type: Intrusion

- 시간 : 기록된 시간에 침입 시간이 발생했습니다.-Time: An intrusion time occurred at the recorded time.

- os : 침입에 영향을 주는 OS입니다 (예 : all, android, ios, unix, windows).os: OS that affects intrusions (e.g. all, android, ios, unix, windows)

- 액션 : 침입을 다루는 액션들, 예를 들어 허용, 경고, 차단, 폐기, 선언, 차단 -IP, 차단 - 서비스Actions: Actions dealing with intrusions, eg allow, warn, block, discard, declare, block-IP, block-services

- attack_rate : 공격 트래픽의 pps NUMattack_rate: pps NUM of the attack traffic

- attack_speed : NUM 공격 트래픽의 bpsattack_speed: bps of NUM attack traffic

봇넷 로그(Botnet Logs)Botnet Logs

Botnet Alarm의 필드 외에도 아래와 같은 정보가 봇넷 로그에 포함될 수 있다.In addition to the fields of the Botnet Alarm, the following information may be included in the botnet log:

- attack_type : 봇넷attack_type: Botnet

- botnet_pkt_num : 탐지된 봇넷으로 보내거나 받은 패킷 수-botnet_pkt_num: Number of packets sent or received to the detected botnet

- 액션 : 탐지된 패킷을 처리하는 액션 (예 : 허용, 경고, 차단, 폐기, 선언, 차단 IP, 차단 서비스, 기타Actions: Actions that process detected packets (e.g., allow, warn, block, discard, declare, block IP, block service, etc.)

- os : 공격 대상인 모든 OS, 예를 들어, android, ios, unix, windows 등os: all OSs being attacked, e.g. android, ios, unix, windows, etc.

DPI 로그(DPI Logs)DPI Logs

DPI 로그는 업로드 및 다운로드 된 파일 및 데이터, 전송 및 수신 된 전자 메일에 대한 통계를 제공하고 웹 사이트에 기록을 경고하고 차단할 수 있다. DPI logs can provide statistics about uploaded and downloaded files and data, sent and received emails, and alert and block records on the website.

- 유형 : DPI 작업 유형. 예 : 파일 차단, 데이터 필터링, 애플리케이션 동작 제어 -Type: DPI operation type. E.g. file blocking, data filtering, application behavior control

- file_name : 파일 이름file_name: File name

- file_type : 파일 형식file_type: the file type

- src_zone : 트래픽 소스 보안 영역src_zone: Traffic source security zone

- dst_zone : 트래픽의 대상 보안 영역dst_zone: the target security zone of the traffic

- src_region : 트래픽 소스 영역src_region: Traffic source region

- dst_region : 트래픽의 대상 영역dst_region: the destination region of the traffic

- src_ip : 트래픽 소스 IP 주소src_ip: Traffic source IP address

- src_user : 트래픽을 생성 한 사용자src_user: the user who generated the traffic

- dst_ip : 트래픽의 대상 IP 주소dst_ip: Destination IP address of traffic

- src_port : 트래픽 소스 포트src_port: Traffic source port

- dst_port : 트래픽의 대상 포트dst_port: the destination port of the traffic

- 프로토콜 : 트래픽의 프로토콜 유형Protocol: Protocol type of traffic

- 앱 : 트래픽의 애플리케이션 유형-App: Application type of traffic

- policy_id : 트래픽이 일치하는 보안 정책 IDpolicy_id: The security policy ID that the traffic matches

- policy_name : 트래픽이 일치하는 보안 정책 이름policy_name: The security policy name that the traffic matches

- 동작 : 트래픽이 일치하는 파일 차단 규칙, 데이터 필터링 규칙 또는 응용 프로그램 동작 제어 규칙에 정의된 작업이다.-Action: The action defined in the file blocking rule, data filtering rule, or application action control rule that the traffic matches.

Vulnerabillity 검색 로그Vulnerabillity search log

취약점 검색 로그에는 피해 호스트 및 관련 취약점 정보가 기록되어야 한다. 다음 정보가 보고서에 포함 되어야 합니다.Vulnerability search log should record the victim host and related vulnerability information. The following information should be included in the report.

- victim_ip : 취약성이 있는 희생 된 호스트의 IP 주소victim_ip: IP address of the victimized host with the vulnerability

- 취약점 ID : 취약점 IDVulnerability ID: Vulnerability ID

- vulnerability_level : 취약점 수준. 예 : 높음, 낮음, 낮음vulnerability_level: The vulnerability level. E.g. high, low, low

- 운영 체제 : 대상 호스트의 운영 체제Operating system: Operating system of the target host

- 서비스 : 피해자 호스트에 취약성이 있는 서비스-Service: Service that is vulnerable to victim host

- protocol : 프로토콜 유형. 예 : TCP, UDPprotocol: The protocol type. E.g. TCP, UDP

- port : 포트 번호port: Port number

- vulnerability_info : 취약점에 대한 정보vulnerability_info: Information about the vulnerability

- fix_suggestion : 취약점에 대한 수정 제안.fix_suggestion: A fix proposal for the vulnerability.

- 8.6.7. 웹 공격 로그-8.6.7. Web attack log

- 웹 공격 경보의 필드 외에도 다음 정보가 웹 공격 보고서에 포함되어야 한다.-In addition to the fields of web attack alerts, the following information should be included in the web attack report:

- attack_type : 웹 공격attack_type: web attack

- rsp_code : 응답 코드rsp_code: response code

- req_clientapp : 클라이언트 응용 프로그램req_clientapp: client application

- req_cookies : 쿠키req_cookies

- req_host : 요청한 호스트의 도메인 이름req_host: The domain name of the requesting host

- raw_info : 이벤트를 트리거 하는 패킷을 설명하는 정보.raw_info: Information describing the packet that triggers the event.

NSF 카운터(NSF Counter)NSF Counter

방화벽 카운터(Firewall counters ( FirewallFirewall Counters) Counters)

방화벽 카운터는 트래픽 서명, 대역폭 사용 및 구성된 보안 및 대역폭 정책이 어떻게 적용되었는지에 대한 가시성을 제공합니다.Firewall counters provide visibility into traffic signing, bandwidth usage, and how configured security and bandwidth policies are applied.

- src_zone : 트래픽 소스 보안 영역src_zone: Traffic source security zone

- dst_zone : 트래픽의 대상 보안 영역dst_zone: the target security zone of the traffic

- src_region : 트래픽 소스 영역src_region: Traffic source region

- dst_region : 트래픽의 대상 영역dst_region: the destination region of the traffic

- src_ip : 트래픽 소스 IP 주소src_ip: Traffic source IP address

- src_user : 트래픽을 생성 한 사용자src_user: the user who generated the traffic

- dst_ip : 트래픽의 대상 IP 주소dst_ip: Destination IP address of traffic

- src_port : 트래픽 소스 포트src_port: Traffic source port

- dst_port : 트래픽의 대상 포트dst_port: the destination port of the traffic

- 프로토콜 : 트래픽의 프로토콜 유형Protocol: Protocol type of traffic

- 앱 : 트래픽의 애플리케이션 유형-App: Application type of traffic

- policy_id : 트래픽이 일치하는 보안 정책 IDpolicy_id: The security policy ID that the traffic matches

- policy_name : 트래픽이 일치하는 보안 정책 이름policy_name: The security policy name that the traffic matches

- in_interface : 트래픽의 인바운드 인터페이스in_interface: Inbound interface of traffic

- out_interface : 트래픽의 아웃 바운드 인터페이스out_interface: Outbound interface of traffic

- total_traffic : 총 트래픽 양total_traffic: Total traffic volume

- in_traffic_ave_rate : 인바운드 트래픽 평균 요금 (pps)in_traffic_ave_rate: Average rate for inbound traffic (pps)

- in_traffic_peak_rate : 인바운드 트래픽 피크 속도 (pps)in_traffic_peak_rate: Inbound traffic peak rate (pps)

- in_traffic_ave_speed : 인바운드 트래픽 평균 속도 (bps)in_traffic_ave_speed: Inbound traffic average speed (bps)

- in_traffic_peak_speed : 인바운드 트래픽 최고 속도 (bps)in_traffic_peak_speed: Inbound traffic peak speed (bps)

- out_traffic_ave_rate : 아웃 바운드 트래픽 평균 요금 (pps)out_traffic_ave_rate: Average rate for outbound traffic (pps)

- out_traffic_peak_rate : 아웃 바운드 트래픽 피크 속도 (pps)out_traffic_peak_rate: Outbound traffic peak rate (pps)

- out_traffic_ave_speed : 아웃 바운드 트래픽 평균 속도 (bps)out_traffic_ave_speed: Outbound traffic average speed (bps)

정책 방문 횟수 카운터(Policy Hit Counters)Policy Hit Counters

정책 적중 카운터는 트래픽이 일치하는 보안 정책과 적중 횟수를 기록합니다. 정책 구성이 올바른지 확인할 수 있습니다. The policy hit counter records the security policy and the number of hits that the traffic matches. You can verify that the policy configuration is correct.

- src_zone : 트래픽 소스 보안 영역src_zone: Traffic source security zone

- dst_zone : 트래픽의 대상 보안 영역dst_zone: the target security zone of the traffic

- src_region : 트래픽 소스 영역src_region: Traffic source region

- dst_region : 트래픽의 대상 영역dst_region: the destination region of the traffic

- src_ip : 트래픽 소스 IP 주소src_ip: Traffic source IP address

- src_user : 트래픽을 생성 한 사용자src_user: the user who generated the traffic

- dst_ip : 트래픽의 대상 IP 주소dst_ip: Destination IP address of traffic

- src_port : 트래픽 소스 포트src_port: Traffic source port

- dst_port : 트래픽의 대상 포트dst_port: the destination port of the traffic

- 프로토콜 : 트래픽의 프로토콜 유형Protocol: Protocol type of traffic

- 앱 : 트래픽의 애플리케이션 유형-App: Application type of traffic

- policy_id : 트래픽이 일치하는 보안 정책 IDpolicy_id: The security policy ID that the traffic matches

- policy_name : 트래픽이 일치하는 보안 정책 이름policy_name: The security policy name that the traffic matches

- hit_times: 보안 정책이 지정된 트래픽과 일치하는 횟수.hit_times: The number of times the security policy matches the specified traffic.

[규칙 제91조에 의한 정정 04.05.2018]　
도 19a 내지 도 19j는 본 발명의 일 실시 예에 따른 NSF 모니터링을 위한 데이터 모델을 예시한다.[Correction under Rule 91 04.05.2018]
19A through 19J illustrate a data model for NSF monitoring according to an embodiment of the present invention.

[규칙 제91조에 의한 정정 04.05.2018]　
도 19a 내지 도 19j를 참조하면, 앞에서 살펴본 NSF를 모니터링하기 위한 정보 모델을 이용하여 데이터 모델을 설계할 수 있다.[Correction under Rule 91 04.05.2018]
19A to 19J, a data model may be designed using the information model for monitoring the NSF described above.

[규칙 제91조에 의한 정정 04.05.2018]　
도 20a 내지 도 21i는 본 발명의 일 실시 예에 따른 모니터링을 위한 YANG 데이터 모델을 예시한다.[Correction under Rule 91 04.05.2018]
20A-21I illustrate a YANG data model for monitoring according to one embodiment of the invention.

NSF 모니터링이 포괄적인 방법으로 수행되는 경우, 악의적인 활동, 비정상적인 행동 또는 잠재적 인 서비스 거부 공격의 징후를 적시에 감지 할 수 있다. 이러한 모니터링 기능은 앞에서 살펴본 NSF가 생성한 모니터링 정보를 기반으로 합니다. When NSF monitoring is carried out in a comprehensive way, timely detection of malicious activity, abnormal behavior or potential denial of service attacks can be detected. This monitoring feature is based on the monitoring information generated by the NSF discussed earlier.

따라서, 본 발명은 NSF 모니터링을 위한 정보 모델을 지정하는 데이터 모델 구조 트리뿐만 아니라 NSF 모니터링을 위한 해당 YANG 데이터 모델을 설계하는 방법을 제안한다.Accordingly, the present invention proposes a method of designing a corresponding YANG data model for NSF monitoring as well as a data model structure tree specifying an information model for NSF monitoring.

[규칙 제91조에 의한 정정 04.05.2018]　
도 20a 내지 도 21i를 참조하면 앞에서 살펴본 NSF 모니터링을 위한 정보 모델 및 데이터 모델을 이용하여 해당 YANG 데이터 모델을 설계할 수 있다.[Correction under Rule 91 04.05.2018]
20A to 21I, a corresponding YANG data model may be designed using the information model and data model for NSF monitoring described above.

[규칙 제91조에 의한 정정 04.05.2018]　
도 1 내지 도 21i에서 설명한 정보 모델, 데이터 모델 및 YANG 데이터 모델은 선택적으로 조합되어 사용될 수 있다.[Correction under Rule 91 04.05.2018]
The information model, data model, and YANG data model described with reference to FIGS. 1 to 21i may be selectively used in combination.

이상에서 설명된 실시 예들은 본 발명의 구성요소들과 특징들이 소정 형태로 결합된 것들이다. 각 구성요소 또는 특징은 별도의 명시적 언급이 없는 한 선택적인 것으로 고려되어야 한다. 각 구성요소 또는 특징은 다른 구성요소나 특징과 결합되지 않은 형태로 실시될 수 있다. 또한, 일부 구성요소들 및/또는 특징들을 결합하여 본 발명의 실시 예를 구성하는 것도 가능하다. 본 발명의 실시 예들에서 설명되는 동작들의 순서는 변경될 수 있다. 어느 실시예의 일부 구성이나 특징은 다른 실시 예에 포함될 수 있고, 또는 다른 실시예의 대응하는 구성 또는 특징과 교체될 수 있다. 특허청구범위에서 명시적인 인용 관계가 있지 않은 청구항들을 결합하여 실시 예를 구성하거나 출원 후의 보정에 의해 새로운 청구항으로 포함시킬 수 있음은 자명하다.The embodiments described above are the components and features of the present invention are combined in a predetermined form. Each component or feature is to be considered optional unless stated otherwise. Each component or feature may be embodied in a form that is not combined with other components or features. In addition, it is also possible to configure the embodiments of the present invention by combining some components and / or features. The order of the operations described in the embodiments of the present invention may be changed. Some components or features of one embodiment may be included in another embodiment, or may be replaced with corresponding components or features of another embodiment. It is obvious that the embodiments can be combined to form a new claim by combining claims which are not expressly cited in the claims or by post-application correction.

본 발명에 따른 실시 예는 다양한 수단, 예를 들어, 하드웨어, 펌웨어(firmware), 소프트웨어 또는 그것들의 결합 등에 의해 구현될 수 있다. 하드웨어에 의한 구현의 경우, 본 발명의 일 실시 예는 하나 또는 그 이상의 ASICs(application specific integrated circuits), DSPs(digital signal processors), DSPDs(digital signal processing devices), PLDs(programmable logic devices), FPGAs(field programmable gate arrays), 프로세서, 콘트롤러, 마이크로 콘트롤러, 마이크로 프로세서 등에 의해 구현될 수 있다.Embodiments according to the present invention may be implemented by various means, for example, hardware, firmware, software, or a combination thereof. In the case of a hardware implementation, an embodiment of the present invention may include one or more application specific integrated circuits (ASICs), digital signal processors (DSPs), digital signal processing devices (DSPDs), programmable logic devices (PLDs), and FPGAs ( field programmable gate arrays), processors, controllers, microcontrollers, microprocessors, and the like.

펌웨어나 소프트웨어에 의한 구현의 경우, 본 발명의 일 실시 예는 이상에서 설명된 능력 또는 동작들을 수행하는 모듈, 절차, 함수 등의 형태로 구현될 수 있다. 소프트웨어 코드는 메모리에 저장되어 프로세서에 의해 구동될 수 있다. 상기 메모리는 상기 프로세서 내부 또는 외부에 위치하여, 이미 공지된 다양한 수단에 의해 상기 프로세서와 데이터를 주고 받을 수 있다.In the case of an implementation by firmware or software, an embodiment of the present invention may be implemented in the form of a module, procedure, function, etc. that performs the above-described functions or operations. The software code may be stored in memory and driven by the processor. The memory may be located inside or outside the processor, and may exchange data with the processor by various known means.

본 발명은 본 발명의 필수적 특징을 벗어나지 않는 범위에서 다른 특정한 형태로 구체화될 수 있음은 당업자에게 자명하다. 따라서, 상술한 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니 되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.It will be apparent to those skilled in the art that the present invention may be embodied in other specific forms without departing from the essential features of the present invention. Accordingly, the above detailed description should not be construed as limiting in all aspects and should be considered as illustrative. The scope of the invention should be determined by reasonable interpretation of the appended claims, and all changes within the equivalent scope of the invention are included in the scope of the invention.

본 발명은 다양한 보안 관리 시스템에 적용될 수 있다.The present invention can be applied to various security management systems.

Claims (20)

1. 보안 관리 시스템에서 네트워크 운영 관리 시스템이 보안 서비스를 제공하기 위한 방법에 있어서,In the security management system in a network operation management system for providing a security service,

   I2NSF(Interface to Network Security Function) 사용자로부터 상위 레벨(High-Level)의 제 1 보안 정책을 수신하는 단계;Receiving a high-level first security policy from an I2NSF (Interface to Network Security Function) user;

   상기 제 1 보안 정책에 대응되는 하위 레벨(Low-Level)의 제 2 보안 정책을 생성하는 단계; 및 Generating a low-level second security policy corresponding to the first security policy; And

   상기 생성된 제 2 보안 정책을 복수의 NSF(Network Security Function) 각각에게 설정하기 위한 상기 제 2 보안 정책을 포함하는 패킷을 전송하는 단계 포함하되,Transmitting a packet including the second security policy for setting the generated second security policy to each of a plurality of NSFs,

   상기 네트워크 운영 관리 시스템과 상기 복수의 NSF 각각은 I2NSF NSF-직면 인터페이스로 연결되어 있는 방법.The network operations management system and each of the plurality of NSFs are connected by an I2NSF NSF-direct interface.
2. 제 1 항에 있어서,The method of claim 1,

   상기 제 2 보안 정책은 적용되는 정책 규칙, 및 일반적인 보안 기능을 위한 동작을 나타나내는 기본 동작 정보를 포함하는 방법.The second security policy includes a policy rule applied and basic action information indicating an action for a general security function.
3. 제 2 항에 있어서,The method of claim 2,

   상기 정책 규칙은 정책 정보 및 규칙 정보를 포함하며,The policy rule includes policy information and rule information.

   상기 정책 정보 및 상기 규칙 정보는 시스템의 변경을 나타내는 이벤트 절(Event Clause), 정책 규칙의 적용 조건을 나타내는 조건 절(Condition Clause), 및 상기 이벤트 절 및 상기 조건 절을 만족할 때 수행되는 보안 기능을 나타내는 동작 절(Action Clause)을 포함하는 방법.The policy information and the rule information may include an event clause indicating a change of a system, a condition clause indicating a condition of applying a policy rule, and a security function performed when the event clause and the condition clause are satisfied. A method comprising an action clause that indicates.
4. 제 3 항에 있어서,The method of claim 3, wherein

   상기 정책 규칙은 상기 정책 규칙이 적용되는 시간을 나타내는 시간 정보를 더 포함하는 방법.The policy rule further includes time information indicating a time when the policy rule is applied.
5. 제 4 항에 있어서,The method of claim 4, wherein

   상기 시간 정보는 상기 정책 규칙이 적용되는 절대적인 시간을 나타내는 절대 시간 정보 또는 상기 정책 규칙이 적용되는 주기적인 시간을 나타내는 주기 정보 중 적어도 하나를 더 포함하는 방법.The time information further includes at least one of absolute time information indicating an absolute time when the policy rule is applied or period information indicating a periodic time when the policy rule is applied.
6. 제 3 항에 있어서,The method of claim 3, wherein

   상기 이벤트 절은 상기 조건 절을 평가할 수 있는지 여부를 결정하는데 사용되는 방법.The event clause is used to determine whether the condition clause can be evaluated.
7. 제 3 항에 있어서,The method of claim 3, wherein

   상기 조건 절은 포트 번호와 관련된 룰의 설정을 위한 포트 번호 값을 포함하는 방법.The condition clause includes a port number value for setting of a rule related to a port number.
8. 제 3 항에 있어서,The method of claim 3, wherein

   상기 동작 절은 입력 동작(ingress action), 전송 동작(egress action) 및 적용 프로파일 동작(apply profile action)을 포함하는 방법.The action clause includes an ingress action, an egress action, and an apply profile action.
9. 제 8 항에 있어서,The method of claim 8,

   상기 프로파일 동작은 응용 프로그램 계층에 적용되는 보안 기능을 나타내는 컨텐츠 보안 제어, 및 네트워크 공격의 탐지 및 완화를 위한 공격 완화 제어를 포함하는 방법.The profile action includes content security controls indicative of security functions applied to an application layer, and attack mitigation controls for detection and mitigation of network attacks.
10. 제 3 항에 있어서,The method of claim 3, wherein

    상기 조건 절(Condition Clause), 및 상기 동작 절(Action Clause)은 다중 조건의 적용을 위한 컨테이너 구조로 구성되는 방법.The Condition Clause and the Action Clause are configured in a container structure for the application of multiple conditions.
11. 보안 서비스를 제공하기 위한 보안 관리 시스템에 있어서,In the security management system for providing a security service,

    상위 레벨(High-Level)의 제 1 보안 정책을 생성하는 I2NSF(Interface to Network Security Function) 사용자;An Interface to Network Security Function (I2NSF) user for creating a high-level first security policy;

    상기 I2NSF 사용자로부터 상기 제 1 보안 정책을 수신하고, 상기 제 1 보안 정책에 대응되는 하위 레벨(Low-Level)의 제 2 보안 정책을 생성하며, 상기 생성된 제 2 보안 정책을 복수의 NSF(Network Security Function) 각각에게 설정하기 위한 상기 제 2 보안 정책을 포함하는 패킷을 전송하는 네트워크 운영 관리 시스템; 및Receiving the first security policy from the I2NSF user, generating a low-level second security policy corresponding to the first security policy, and generating the second security policy in a plurality of NSFs; Security function) a network operation management system for transmitting a packet including said second security policy for setting to each; And

    상기 보안 관리 시스템으로부터 상기 제 2 보안 정책을 수신하는 복수의 NSF(Network Security Function)을 포함하되,A plurality of NSF (Network Security Function) for receiving the second security policy from the security management system,

    상기 네트워크 운영 관리 시스템과 상기 복수의 NSF 각각은 I2NSF NSF-직면 인터페이스로 연결되어 있는 보안 관리 시스템.And said network operations management system and each of said plurality of NSFs are connected by an I2NSF NSF-direct interface.
12. 제 11 항에 있어서,The method of claim 11,

    상기 제 2 보안 정책은 적용되는 정책 규칙, 및 일반적인 보안 기능을 위한 동작을 나타나내는 기본 동작 정보를 포함하는 보안 관리 시스템.The second security policy includes a policy rule to be applied, and basic action information indicating an action for a general security function.
13. 제 12 항에 있어서,The method of claim 12,

    상기 정책 규칙은 정책 정보 및 규칙 정보를 포함하며,The policy rule includes policy information and rule information.

    상기 정책 정보 및 상기 규칙 정보는 시스템의 변경을 나타내는 이벤트 절(Event Clause), 정책 규칙의 적용 조건을 나타내는 조건 절(Condition Clause), 및 상기 이벤트 절 및 상기 조건 절을 만족할 때 수행되는 보안 기능을 나타내는 동작 절(Action Clause)을 포함하는 보안 관리 시스템.The policy information and the rule information may include an event clause indicating a change of a system, a condition clause indicating a condition of applying a policy rule, and a security function performed when the event clause and the condition clause are satisfied. A security management system containing an action clause that represents.
14. 제 13 항에 있어서,The method of claim 13,

    상기 정책 규칙은 상기 정책 규칙이 적용되는 시간을 나타내는 시간 정보를 더 포함하는 보안 관리 시스템.The policy rule further includes time information indicating a time when the policy rule is applied.
15. 제 14 항에 있어서,The method of claim 14,

    상기 시간 정보는 상기 정책 규칙이 적용되는 절대적인 시간을 나타내는 절대 시간 정보 또는 상기 정책 규칙이 적용되는 주기적인 시간을 나타내는 주기 정보 중 적어도 하나를 더 포함하는 보안 관리 시스템.The time information further includes at least one of absolute time information indicating an absolute time when the policy rule is applied or period information indicating a periodic time when the policy rule is applied.
16. 제 13 항에 있어서,The method of claim 13,

    상기 이벤트 절은 상기 조건 절을 평가할 수 있는지 여부를 결정하는데 사용되는 보안 관리 시스템.The event clause is used to determine whether the condition clause can be evaluated.
17. 제 13 항에 있어서,The method of claim 13,

    상기 조건 절은 포트 번호와 관련된 룰의 설정을 위한 포트 번호 값을 포함하는 보안 관리 시스템.The condition clause includes a port number value for setting a rule related to the port number.
18. 제 13 항에 있어서,The method of claim 13,

    상기 동작 절은 입력 동작(ingress action), 전송 동작(egress action) 및 적용 프로파일 동작(apply profile action)을 포함하는 보안 관리 시스템.The action clause includes an ingress action, an egress action, and an apply profile action.
19. 제 18 항에 있어서,The method of claim 18,

    상기 프로파일 동작은 응용 프로그램 계층에 적용되는 보안 기능을 나타내는 컨텐츠 보안 제어, 및 네트워크 공격의 탐지 및 완화를 위한 공격 완화 제어를 포함하는 보안 관리 시스템.The profile operation includes content security controls representing security functions applied to an application layer, and attack mitigation controls for detection and mitigation of network attacks.
20. 제 13 항에 있어서,The method of claim 13,

    상기 조건 절(Condition Clause), 및 상기 동작 절(Action Clause)은 다중 조건의 적용을 위한 컨테이너 구조로 구성되는 보안 관리 시스템.The Condition Clause and the Action Clause comprise a container structure for application of multiple conditions.

Images