1 |
1
기간 망 내로 유입되는 네트워크 패킷 정보를 분석하여 네트워크 침입 여부를 판단하고 침입 행위에 대한 패킷 정보를 기반으로 네트워크 침입경보 데이터를 생성 및 송신하는 보안게이트웨이와 연동되며, 상기 보안게이트웨이로부터 수신되는 네트워크 침입경보 데이터를 기반으로 불량 사용자 및 불량 호스트 정보를 추출하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치에 있어서, 상기 보안게이트웨이로부터의 네트워크 침입경보 데이터를 실시간 수집하는 침입탐지 경보 수신 수단과; 상기 수집되는 네트워크 침입경보 데이터로부터 블랙리스트 관련 정보를 추출하여 제 1 블랙리스트 DB에 기록하는 불량 IP 주소 생성 수단과; 상기 추출되는 블랙리스트 관련 정보로부터 네트워크 침입 행위가 기설정된 임계수치(threshold)를 초과하는지를 비교 분석하는 블랙리스트 분석 수단과; 상기 블랙리스트 분석 수단을 통해 임계수치가 초과된 것으로 판단되면, 이벤트 정보를 생성하여 제 2 블랙리스트 DB에 이벤트 로그를 기록하는 이벤트 생성 수단과; 상기 이벤트 생성 수단에 의해 발생되는 이벤트 정보를 네트워크를 통해 연결된 원격 보안관리자에게 통보하는 블랙리스트 이벤트 감시 수단과; 상기 이벤트 정보와 상기 이벤트 로그를 통해 특정 IP 주소에 대한 패킷유입 차단대응정책 데이터를 생성 및 송신하는 블랙리스트 차단대응정책 관리 수단을 포함하는 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치
|
2 |
2
제 1 항에 있어서, 상기 블랙리스트 관련 정보는 네트워크 침입 근원지 IP 주소와 목적지 IP 주소, 보안등급, 해킹 유형 정보 중 적어도 하나 이상의 정보인 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치
|
3 |
3
제 1 항에 있어서, 상기 정책기반 네트워크 보안제어시스템은, 상기 패킷유입 차단대응정책 데이터를 상기 네트워크를 통해 상기 보안게이트웨이로 전송하는 보안정책 전달 수단을 구비하는 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치
|
4 |
4
제 1 항에 있어서, 상기 제 1 블랙리스트 DB는 잠재적 불량 사용자 및 불량 호스트 DB(potential blacklist DB)인 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치
|
5 |
5
제 1 항에 있어서, 상기 제 2 블랙리스트 DB는 요주의 불량 사용자 및 불량 호스트 DB(dangerous blacklist DB)인 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치
|
6 |
6
제 1 항에 있어서, 상기 패킷유입 차단대응정책 데이터는 보안정책 DB에 기록되는 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리장치
|
7 |
7
다수의 보안게이트웨이로부터의 네트워크 침입경보 데이터를 실시간 수집하는 침입탐지경보 수신 수단을 구비하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법에 있어서, 상기 침입탐지경보 수신 수단에 의해 수집되는 네트워크 침입경보 데이터를 경보 DB 스키마(schema) 데이터로 변형하는 제 1 단계와; 기설정된 저장 주기(Scheduled cycle time)가 도래되었는지를 판단하는 제 2 단계와; 상기 제 2 단계의 판단 결과, 상기 기설정된 저장 주기가 아니라고 판단되면 상기 변형 경보데이터를 저장 매체에 저장하는 제 3 단계와; 상기 제 2 단계의 판단 결과, 상기 기설정된 저장 주기가 도래되었으면, 상기 저장 매체에 저장된 변형 경보데이터를 독출하여 원격의 경보 DB에 송신함으로써, 상기 변형 경보데이터를 저장토록 하는 제 4 단계를 포함하는 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법
|
8 |
8
제 7 항에 있어서, 상기 보안게이트웨이로부터 송신되는 네트워크 침입경보 데이터는, 상기 네트워크 보안제어시스템내의 메시지 큐에 순차적으로 저장되는 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법
|
9 |
9
불량 IP 주소 생성 수단, 블랙리스트 분석 수단, 블랙리스트 이벤트 생성 수단, 블랙리스트 이벤트 감시 수단을 각각 구비하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법에 있어서, 상기 불량 IP 주소 생성 수단에서 임의의 저장매체에 저장되어 있는 경보데이터를 검색하고, 검색 결과에 따른 블랙리스트 관련 정보를 추출하는 제 1 단계와; 상기 불량 IP 주소 생성 수단에서 제 1 블랙리스트 DB 내에 해당 IP 주소가 존재하는지를 판단하는 제 2 단계와; 상기 제 2 단계의 판단 결과, 해당 IP 주소가 존재하지 않는 것으로 판단되면, 상기 추출된 정보를 데이터 스키마 형태로 DB화하여 신규 등록하는 제 3 단계와; 상기 제 2 단계의 판단 결과, 상기 제 1 블랙리스트 DB 내에 해당 IP 주소가 존재하는 것으로 판단되면, 해당 IP 주소의 각 필드 값을 증가시키고 상기 제 1 블랙리스트 DB 내의 블랙리스트 정보를 현재의 정보로 수정하는 제 4 단계와; 상기 블랙리스트 분석 수단에서 해당 IP 주소가 근원지 주소인지 목적지 주소인지를 판단하는 제 5 단계와; 상기 제 5 단계의 판단 결과, 해당 IP 주소가 근원지 주소인 경우에는, 상기 제 1 블랙리스트 DB 내의 불량 사용자 IP 주소의 전체 보안위반 횟수와 보안등급별 보안위반 횟수가 불량 사용자 보안위반 임계수치를 초과하는지를 판단하는 제 6 단계와; 상기 제 5 단계의 판단 결과, 해당 IP 주소가 목적지 주소인 경우에는, 상기 제 1 블랙리스트 DB 내의 불량 사용자 IP 주소의 전체 보안위반 횟수와 보안등급별 보안위반 횟수가 불량 사용자 보안위반 임계수치를 초과하는지를 각각 판단하는 제 7 단계와; 상기 제 6 단계 및 제 7 단계의 판단 결과, 상기 제 1 블랙리스트 DB 내의 불량 사용자 IP 주소의 전체 보안위반 횟수와 보안등급별 보안위반 횟수가 불량 사용자 보안위반 임계수치를 초과한 것으로 판단되면, 상기 블랙리스트 이벤트 생성 수단에서 이벤트 정보를 생성한 후, 상기 이벤트 정보를 제 2 블랙리스트 DB 내에 저장하는 제 8 단계와; 상기 블랙리스트 이벤트 감시 수단을 통해 상기 이벤트 정보를 보안관리자에게 통보하는 제 9 단계를 포함하는 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법
|
10 |
10
제 9 항에 있어서, 상기 블랙리스트 관련 정보는 네트워크 침입 근원지 IP 주소와 목적지 IP 주소, 보안등급, 해킹 유형 정보 중 적어도 하나 이상의 정보인 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법
|
11 |
11
제 9 항에 있어서, 상기 제 1 블랙리스트 DB는 잠재적 불량 사용자 및 불량 호스트 DB인 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법
|
12 |
12
제 9 항에 있어서, 상기 제 2 블랙리스트 DB는 요주의 불량 사용자 및 불량 호스트 DB인 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법
|
13 |
13
보안정책 전달 수단과 연동되며, 블랙리스트 차단대응정책 관리 수단을 구비하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법에 있어서, 보안관리자에 의해 불량 IP 주소가 선택되면, 블랙리스트 차단대응정책 관리 수단에서 해당 불량 IP 주소에 대한 차단대응정책이 기적용 중인지를 판단하는 제 1 단계와; 상기 제 1 단계의 판단 결과, 해당 불량 IP 주소에 대한 차단대응정책이 기적용 중인 것으로 판단되면, 상기 블랙리스트 차단대응정책 관리 수단에서 현재의 보안정책적용 현황을 상기 보안관리자에게 통보하는 제 2 단계와; 상기 제 1 단계의 판단 결과, 해당 불량 IP 주소에 대한 차단대응정책이 현재 적용되지 않는 것으로 판단되면, 상기 블랙리스트 차단대응정책 관리 수단에서 새로운 차단대응정책을 생성하는 제 3 단계와; 상기 새로운 차단대응정책이 생성되면 해당 불량 IP 주소에 적용되고 있는 타 보안정책의 정책충돌 유무를 판단하는 제 4 단계와; 상기 제 4 단계의 판단 결과, 해당 불량 IP 주소에 적용되고 있는 타 보안정책의 정책충돌이 발생한 것으로 판단되면, 현재의 모든 보안정책적용 현황을 상기 보안관리자에게 통보하는 제 5 단계와; 상기 제 4 단계의 판단 결과, 해당 불량 IP 주소에 적용되고 있는 타 보안정책의 정책충돌이 발생하지 않은 것으로 판단되면, 생성된 차단대응정책을 상기 보안정책 전달 수단으로 전달하는 제 6 단계와; 상기 보안정책 전달 수단으로부터 정책적용 성공 메시지가 수신되면, 해당 차단대응정책을 DB화한 후, 제 1 블랙리스트 DB 및 제 2 블랙리스트 DB 내의 해당 불량 IP 주소의 정책적용 상태를 트루(true)로 변경하는 제 7 단계와; 상기 보안정책 전달 수단으로부터 정책적용 실패 메시지가 수신되면, 차단대응정책 적용 실패 현황을 상기 보안관리자에게 통보하는 제 8 단계를 포함하는 것을 특징으로 하는 네트워크 보안제어시스템에서의 블랙리스트 관리방법
|
14 |
14
제 13 항에 있어서, 상기 보안정책 전달 수단으로 전달되는 차단대응정책은 네트워크를 통해 보안게이트웨이내의 네트워크 침입차단 대응 수단으로 전달되는 것을 특징으로 하는 네트워크 보안제어시스템에서의 블랙리스트 관리방법
|
15 |
15
제 13 항에 있어서, 상기 제 1 블랙리스트 DB는 잠재적 불량 사용자 및 불량 호스트 DB인 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법
|
16 |
16
제 13 항에 있어서, 상기 제 2 블랙리스트 DB는 요주의 불량 사용자 및 불량 호스트 DB인 것을 특징으로 하는 정책기반 네트워크 보안제어시스템에서의 블랙리스트 관리방법
|