1 |
1
복수개의 통신노드들의 정상 동작 시에, 상기 복수개의 통신노드들 간에 송수신되는 패킷들을 수집하고, 상기 패킷들을 분석하여 화이트리스트를 생성하는 화이트리스트 생성부;상기 복수개의 통신노드들 간에 송수신되는 대상 패킷을 수신하고, 상기 대상 패킷에 대한 정보를 상기 화이트리스트와 비교 분석하며, 상기 대상 패킷에 대한 정보에 상기 화이트리스트에 정의되지 않은 정보가 포함되어 있는 경우, 상기 대상 패킷을 이상징후로 판단하는 감시부; 및상기 감시부에서 판단된 상기 이상징후의 정보를 사용자에게 통보하는 알람 생성부를 포함하되,상기 화이트리스트 생성부는,메시지를 전송한 통신노드의 전송 IP, 상기 메시지를 수신한 통신노드의 수신 IP 및 상기 메시지를 전송하기 위해 사용된 서비스 중의 적어도 하나를 분석하여, 상기 화이트리스트의 네트워크 계층을 생성하는 네트워크 계층 분석부;상기 메시지에서 사용된 명령어, 상기 메시지가 전송하는 데이터 객체들의 특성 및 상기 메시지의 전송에 소요된 전송시간 중의 적어도 하나를 분석하여, 상기 화이트리스트의 컨트롤 계층을 생성하는 컨트롤 계층 분석부;상기 메시지의 상관관계 정보를 분석하여, 상기 화이트리스트의 상관관계 계층을 생성하는 상관관계 계층 분석부; 및상기 네트워크 계층 분석부, 상기 컨트롤 계층 분석부 및 상기 상관관계 계층 분석부에서 분석된 상기 메시지에 대한 정보를 바탕으로 상기 화이트리스트를 생성하는 화이트리스트 정의부를 포함하는 것을 특징으로 하는 네트워크 감시 장치
|
2 |
2
청구항 1에 있어서,상기 메시지는,수집된 상기 패킷들을 이용하여 어플리케이션 레벨에서 전송된 메시지이며,상기 화이트리스트 생성부는,상기 메시지를 재조립하는 패킷 수집부를 더 포함하고, 상기 메시지를 분석하여 상기 화이트리스트를 생성하는 것을 특징으로 하는 네트워크 감시 장치
|
3 |
3
삭제
|
4 |
4
청구항 1에 있어서,상기 메시지의 상기 상관관계 정보는,상기 메시지의 순서 정보, 상기 메시지 간의 시간간격 정보 및 상기 메시지의 전송을 수신하는 통신노드의 상태 변화 정보 중의 적어도 하나의 정보를 포함하는 것을 특징으로 하는 네트워크 감시 장치
|
5 |
5
청구항 2에 있어서, 상기 감시부는 상기 복수개의 통신노드들 간에 송수신되는 상기 대상 패킷을 수신하고, 상기 대상 패킷을 상기 어플리케이션 레벨에서 전송된 대상 메시지로 재조립하는 대상 패킷 수신부를 더 포함하고, 상기 대상 메시지를 상기 화이트리스트와 비교 분석하여, 상기 대상 패킷의 상기 이상징후를 판단하는 것을 특징으로 하는 네트워크 감시 장치
|
6 |
6
청구항 5에 있어서,상기 감시부는,상기 화이트리스트의 상기 네트워크 계층과, 상기 대상 메시지를 전송한 통신노드의 전송 IP, 상기 대상 메시지를 수신한 통신노드의 수신 IP 및 상기 대상 메시지를 전송하기 위해 사용된 서비스 중의 적어도 하나를 비교하여, 상기 이상징후를 판단하는 네트워크 계층 감시부;상기 화이트리스트의 상기 컨트롤 계층과, 상기 대상 메시지에서 사용된 명령어, 상기 대상 메시지가 전송하는 데이터 객체들의 특성 및 상기 대상 메시지의 전송에 소요된 전송시간 중의 적어도 하나를 비교하여, 상기 이상징후를 판단하는 컨트롤 계층 감시부; 및상기 화이트리스트의 상기 상관관계 계층과, 상기 대상 메시지의 상관관계 정보를 비교하여, 상기 이상징후를 판단하는 상관관계 계층 감시부를 포함하는 것을 특징으로 하는 네트워크 감시 장치
|
7 |
7
청구항 6에 있어서,상기 감시부에서,상기 네트워크 계층 감시부, 상기 컨트롤 계층 감시부 및 상기 상관관계 계층 감시부는 순차적으로 동작하는 것을 특징으로 하는 네트워크 감시 장치
|
8 |
8
청구항 7에 있어서,상기 감시부는, 상기 네트워크 계층 감시부에서 상기 이상징후가 판단된 경우, 상기 컨트롤 계층 감시부 및 상기 상관관계 계층 감시부는 동작하지 않게 형성되며, 상기 컨트롤 계층 감시부에서 상기 이상징후가 판단된 경우, 상기 상관관계 계층 감시부는 동작하지 않도록 형성되는 것을 특징으로 하는 네트워크 감시 장치
|
9 |
9
청구항 7에 있어서,상기 네트워크 계층 감시부, 상기 컨트롤 계층 감시부 및 상기 상관관계 계층 감시부에서 상기 이상징후가 판단되지 않은 경우, 상기 대상 패킷을 정상 패킷으로 판단하는 정상 판단부를 더 포함하는 것을 특징으로 하는 네트워크 감시 장치
|
10 |
10
청구항 1에 있어서,상기 화이트 리스트 생성부는,상기 화이트리스트를 상기 사용자에게 가시화하고, 상기 사용자가 상기 화이트리스트를 수정할 수 있도록 형성되는 화이트리스트 피드백부를 더 포함하는 것을 특징으로 하는 네트워크 감시 장치
|
11 |
11
청구항 1에 있어서,상기 화이트리스트는 생성부는,상기 화이트리스트에 상기 복수개의 통신노드들 각각의 보안 정책을 반영되도록 상기 화이트리스트를 생성하는 것을 특징으로 하는 네트워크 감시 장치
|
12 |
12
복수개의 통신노드들의 정상 동작 시에, 상기 복수개의 통신노드들 간에 송수신되는 패킷들을 수집하는 단계;상기 패킷들을 분석하여 상기 복수개의 통신노드들이 정상 동작할 때의 화이트리스트를 생성하는 단계;상기 복수개의 통신노드들 간에 송수신되는 대상 패킷을 수신하는 단계;상기 대상 패킷에 대한 정보를 상기 화이트리스트와 비교 분석하는 단계;상기 대상 패킷에 대한 정보에 상기 화이트리스트에 정의되지 않은 정보가 포함되어 있는 경우, 상기 대상 패킷을 이상징후로 판단하는 단계; 및상기 이상징후를 사용자에게 통보하는 단계를 포함하되,상기 화이트리스트를 생성하는 단계는,메시지를 전송한 통신노드의 전송 IP, 상기 메시지를 수신한 통신노드의 수신 IP 및 상기 메시지를 전송하기 위해 사용된 서비스 중의 적어도 하나를 분석하여, 상기 화이트리스트의 네트워크 계층을 생성하는 단계;상기 메시지에서 사용된 명령어, 상기 메시지가 전송하는 데이터 객체들의 특성 및 상기 메시지 전송에 소요된 전송시간 중의 적어도 하나를 분석하여, 상기 화이트리스트의 컨트롤 계층을 생성하는 단계; 및상기 메시지의 상관관계 정보를 분석하여, 상기 화이트리스트의 상관관계 계층을 생성하는 단계를 포함하는 것을 특징으로 하는 네트워크 감시 방법
|
13 |
13
청구항 12에 있어서,상기 메시지는,수집된 상기 패킷들을 이용하여 어플리케이션 레벨에서 전송된 메시지이며,상기 화이트리스트를 생성하는 단계는,상기 메시지를 재조립하고, 상기 메시지를 분석하여 상기 화이트리스트를 생성하는 것을 특징으로 하는 네트워크 감시 방법
|
14 |
14
삭제
|
15 |
15
청구항 12에 있어서,상기 상관관계 정보는,상기 메시지의 순서 정보, 상기 메시지 간의 시간간격 정보 및 상기 메시지의 전송을 수신하는 통신노드의 상태 변화 정보 중의 적어도 하나의 정보를 포함하는 것을 특징으로 하는 네트워크 감시 방법
|
16 |
16
청구항 13에 있어서,상기 대상 패킷을 수신하는 단계는,상기 복수개의 통신노드들 간에 송수신되는 상기 대상 패킷을 수신하고, 상기 대상 패킷을 상기 어플리케이션 레벨에서 전송된 대상 메시지로 재조립하며,상기 비교 분석하는 단계는,상기 대상 메시지를 상기 화이트리스트와 비교 분석하는 것을 특징으로 하는 네트워크 감시 방법
|
17 |
17
청구항 16에 있어서,상기 비교 분석하는 단계는,상기 화이트리스트의 상기 네트워크 계층과, 상기 대상 메시지를 전송한 통신노드의 전송 IP, 상기 대상 메시지를 수신한 통신노드의 수신 IP 및 상기 대상 메시지를 전송하기 위해 사용된 서비스 중의 적어도 하나를 비교 분석하는, 네트워크 계층 비교 분석 단계;상기 화이트리스트의 상기 컨트롤 계층과, 상기 대상 메시지에서 사용된 명령어, 상기 대상 메시지가 전송하는 데이터 객체들의 특성 및 상기 대상 메시지의 전송에 소요된 전송시간 중의 적어도 하나를 비교 분석하는, 컨트롤 계층 비교 분석 단계; 및 상기 화이트리스트의 상기 상관관계 계층과, 상기 대상 메시지의 상관관계 정보를 비교 분석하는, 상관관계 계층 비교 분석 단계를 포함하는 것을 특징으로 하는 네트워크 감시 방법
|
18 |
18
청구항 17에 있어서,상기 네트워크 계층 비교 분석 단계, 상기 컨트롤 계층 비교 분석 단계 및 상기 상관관계 계층 비교 분석 단계는 순차적으로 진행되는 것을 특징으로 하는 네트워크 감시 방법
|
19 |
19
청구항 18에 있어서,상기 네트워크 계층 비교 분석 단계에서 상기 이상징후가 판단된 경우, 상기 컨트롤 계층 비교 분석 단계 및 상기 상관관계 계층 비교 분석 단계는 진행되지 않게 형성되며, 상기 컨트롤 계층 비교 분석 단계에서 상기 이상징후가 판단된 경우, 상기 상관관계 계층 비교 분석 단계는 진행되지 않도록 형성되는 것을 특징으로 하는 네트워크 감시 방법
|
20 |
20
청구항 18에 있어서,상기 네트워크 계층 비교 분석 단계, 상기 컨트롤 계층 비교 분석 단계 및 상기 상관관계 계층 비교 분석 단계에서 상기 이상징후가 판단되지 않은 경우, 상기 대상 패킷을 정상 패킷으로 판단하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 감시 방법
|
21 |
21
청구항 12에 있어서,상기 화이트리스트를 생성하는 단계는, 상기 화이트리스트를 상기 사용자에게 가시화하고, 상기 사용자가 상기 화이트리스트를 수정할 수 있도록 형성되는 화이트리스트 피드백 단계를 포함하는 것을 특징으로 하는 네트워크 감시 방법
|
22 |
22
청구항 12에 있어서,상기 화이트리스트를 생성하는 단계는, 상기 화이트리스트에 상기 복수개의 통신노드들 각각의 보안 정책을 반영되도록 상기 화이트리스트를 생성하는 것을 특징으로 하는 네트워크 감시 방법
|