[논문]대규모 네트워크 환경에서의 보안관리를 위한 보안평가 시스템 설계

이재승; 김상춘

문제 정의

.침입자가 시스템에 침투한 흔적을 찾아내며 중요한 파일에 변화가 있었는지를 검사한다.
보안성을 평가한다. 각 호스트 및 서브 네트워크의취약점 및 이들의 상관관계를 분석하여 이들 취약점으로 인해 발생할 수 있는 침입 가능성을 찾아내고 이를막기 위한 보안관리 의사결정을 보안 관리자에게 제시해 주고 보안상 문제가 발견된 호스트의 관리자에게도이에 대한 조치를 취하도록 메일을 발송한다. 발견된 취약점 및 이에 대한 보안관리 의사결정을 보안관리 시스템이나 침입탐지 시스템에 통보하여 적절한 방어 , 조치를 취하도록 해준다.
본 논문에서는 다양한 요소로 구성된 대규모 네트워크 환경에서의 네트워크의 보안성 평가를 자동화하고침해사고 예방을 위해 보안관리 의사결정을 도와주는보안평가 시스템에 대한 요구 사항을 분석하고 이를 반영한 보안평가 시스템을 설계하였다.
이 논문에서는 시스템 및 네트워크의 보안평가 방법 및 취약성 분석 도구에 대해 분석하고 보안평가 시스템에 대한 요구 사항을 도출하며 이를 수용한 보안 평가시스템을 설계한다.
이 절에서는 시스템 및 네트워크의 보안성을 평가하기 위한 보안평가 방법에 대해 알아본다.

가설 설정

. 취약한 패스워드 조사, 파일 시스템 점검 둥을 네트워크 스캐너보다 효율적으로 수행한디-.
.보안 관리 서버와의 연동을 통한 취약점 복구 기능, 전체 네트워크 보안수준 향상을 위한 보안관리 의사결정 지원 둥을 제공하여야 한다.

제안 방법

. 침입자가 네트워크를 통해 원격지의 시스템에 침입하는 기법을 사용해 네트워크의 취약점을 평가한다.
또한 네트워크해킹 시뮬레이터를 사용하여 네트워크를 구성하는 리모트 호스트에 대한 취약성을 검사해보며, 이때는 반드시 해당 시스템에 로그가 남도록 하여 실제 해킹 시도와 구별되도록 한다. 네트워크 서비스 및 데몬 둥의 보안성을 분석하고 에이전트 보고서 분석기 (Agent Report Analyzer) 를 이용해 해당 서브넷에 속해 있는 에이전트들의 호스트 보안성 분석 결과 보고서를 분석하여 서브넷을 구성하는 각 호스트의 보안성 평가를 종합하고 분산 환경을 구성하는 다수의 호스트에 걸쳐 존재하는 보안상 취약점을 분석해낸다. 이때 해당 네트워크 도메인의 보안정책 충족 여부도 함께 분석된다.
액세스 할 수 있다. 네트워크 스캐너는 네트워크를 통한 침입자의 관점에서 시스템의 보안상태를 분석하지만, 호스트 스캐너는 특정 호스트에 로컬 계정을 가지고 있는 사용자의 관점에서 시스템의 보안 상태를 분석한다. 호스트 스캐너의 특징은 다음과 같다[10, 11].
도메인 분석기는 각 에이전트 및 서브넷 분석기의 보안성 평가 결과를 토대로 대규모 네트워크 도메인 전체의 보안성을 평가한다. 각 호스트 및 서브 네트워크의취약점 및 이들의 상관관계를 분석하여 이들 취약점으로 인해 발생할 수 있는 침입 가능성을 찾아내고 이를막기 위한 보안관리 의사결정을 보안 관리자에게 제시해 주고 보안상 문제가 발견된 호스트의 관리자에게도이에 대한 조치를 취하도록 메일을 발송한다.
서브넷 검사 엔진(Subnet Check Engine)은 서브넷맞춤 규칙을 바탕으로 해당 서브넷의 보안성을 평가하며, 이때 다른 서브넷에 관한 정보가 필요할 때 해당 서브넷 분석기와 정보를 교환하기도 한다. 또한 네트워크해킹 시뮬레이터를 사용하여 네트워크를 구성하는 리모트 호스트에 대한 취약성을 검사해보며, 이때는 반드시 해당 시스템에 로그가 남도록 하여 실제 해킹 시도와 구별되도록 한다. 네트워크 서비스 및 데몬 둥의 보안성을 분석하고 에이전트 보고서 분석기 (Agent Report Analyzer) 를 이용해 해당 서브넷에 속해 있는 에이전트들의 호스트 보안성 분석 결과 보고서를 분석하여 서브넷을 구성하는 각 호스트의 보안성 평가를 종합하고 분산 환경을 구성하는 다수의 호스트에 걸쳐 존재하는 보안상 취약점을 분석해낸다.
이때 보안평가가 에이전트, 서브넷 분석기, 도메인 분석기를 단계적으로 거쳐 수행되게 함으로써 매니저 역할을 하는 모듈에 걸리는 부하를 적게 하였고 네트워크 도메인 내부의 호스트 수가 증가하더라도 에이전트와 서브넷 분석기의 개수를 늘리면 시스템의 성능이 저하되지 않는 확장성을 갖도록 설계하였다. 또한 시스템을 조사한 결과가 모두 도메인 분석기에게 전달되지 않고 에이전트 및 서브넷 분석기에서 보안상 문제가 되는 것만 걸러내어 보내주므로 네트워크 트래픽이 비교적 적고 도메인 분석기의 데이타 처리량이 대폭 줄어들어 대규모의 네트워크 환경에 적합하도록 설계하였다. 보안평가 규칙 데이타베이스 및 보안정책 데이타베이스로부터 특정 시스템에 맞도록 최적화된 맞춤 규칙을 생성하여 사용함으로써 보안성 분석 시의 처리효율을 높이도록 하였으며 보안평가 시스템은 보안정책을 참조하여 보안평가를 하므로 네트워크 도메인 전체가 보안 정책을 어느 정도 준수하고 있는지 쉽게 파악할 수 있다.
또한 호스트 해킹 시뮬레이터(Host Hacking Simu- lator)를 사용하여 로컬 호스트에 대한 취약성을 검사해보며, 이때는 반드시 시스템에 로그를 남겨 실제 해킹 시도와 구별되도록 한다. 이 과정에서 시스템 설정 상태, 버그 패치 여부, 해커 침입 흔적, 바이러스나 트로이목마, 스니퍼의 존재 여부, 해당 호스트의 보안정책 충족 여부 둥이 조사된다.
결과를 출력한다. 보안 정책 관리 모듈 (Security Policy Management Module)을 통해 보안정책 서버의 보안 정책을 수정하거나 추가하고, 보고서 조회 모듈(Report View Module)을 통하여 결과 보고서를 다양한 형태로 변환하여 출력한다 또한 보안 평가규칙 관리 모듈(Security Evaluation Rule Manage ment Module)을 통해 보안관리 규칙 관리자(Security Evaluation Rule Manager) 의 규칙을 추가하거나 삭제한다. 시스템 설정 및 로그 조회 모듈(System Confi guration & Log View Module)을 사용해 각 구성요소의 시스템 설정을 하거나 로그를 출력할 수도 있다.
보안관리 의사결정 엔진 (Security Management Decision Engine) 은 도메인 맞춤 규칙 (Customized Domain Rule) 및 각 서브넷 및 호스트의 보안성 평가결과를 바탕으로 전체 네트워크의 보안성을 평가하여취약점으로 인해 발생 가능한 침입을 분석하고 이를 예방하기 위한 보안관리 의사결정을 내린다 이를 위해 서브넷 보고서 분석기 (Subnet Report Analyzer)> 이용하여 해당 도메인에 속해 있는 서브넷 분석기의 서브넷보안성 분석 결과 보고서를 통합 분석하여 전체 네트워크의 보안성을 분석해 내고 다수의 서브넷 및 호스트에 걸쳐 존재할 수 있는 보안상 취약점을 추가로 분석하며 각 에이전트 및 서브넷 분석기의 분석결과중 중복된 항목을 합치고 잘못 분석된 항목을 제거한다.
본 논문에서 제시하는 보안평가 시스템은 현재 시점에서의 대규모 네트워크의 보안성을 평가하여 이에 대한 정보 및 보안상 취약점을 제거하기 위한 보안관리의사결정을 제시해주며, 보안평가 시스템의 각 분석 모듈 (에이전트, 서브넷 분석기, 도메인 분석기)에서의 보안성 분석은 보안평가 규칙 관리자에 의해 관리되는 보안평가 규칙을 바탕으로 이루어진다. 새로운 취약점이알려질 경우에도 모듈 자체를 수정할 필요 없이 보안평가 규칙만 추가하면 되기 때문에 기능 확장이 용이하다.
서브넷 분석기는 특정 서브넷의 네트워크 관점에서의 보안성을 평가한다. 취약한 네트워크 서비스 및 데몬 등을 분석하며, 해당 서브넷에 속해 있는 각 에이전트로부터 받은 호스트 보안성 평가 결과 보고서를 분석하여, 분산 환경을 구성하는 다수의 호스트에 관한 정보가 있어야 분석할 수 있는 보안상 취약점을 찾아낸다.
에이전트는 특정한 호스트 내부에서 수행되어 해당호스트의 보안성을 하위 레벨의 상세한 사항까지 분석한다. 잘못된 시스템 설정, 해커의 침입 흔적, 시스템 파일의 무결성, 바이러스나 트로이 목마 존재 여부 둥을분석하여 호스트 보안성 평가 결과 보고서를 생성하고이를 서브넷 분석기에 보낸다.
이 절에서는 단순한 취약점 검색이 아닌 다양한 요소로 구성된 대규모 네트워크 전체의 보안평가를 수행하고 불법적인 침입을 미리 막을 수 있도록 보안 관리에 필요한 의사결정을 지원하며 확장성을 갖는 보안 평가시스템에 대한 요구 사항을 분석하고 이를 반영한 보안 평가 시스템을 설계한다.
이 시스템은 대규모 네트워크를 구성하는 각 호스트 및 서브넷의 보안성 분석 결과를 종합하여 전체 네트워크 도메인의 보안 수준을 평가하고 보안상 취약점을 해결하기 위한 보안관리 의사결정을 지원해 준다. 이때 보안평가가 에이전트, 서브넷 분석기, 도메인 분석기를 단계적으로 거쳐 수행되게 함으로써 매니저 역할을 하는 모듈에 걸리는 부하를 적게 하였고 네트워크 도메인 내부의 호스트 수가 증가하더라도 에이전트와 서브넷 분석기의 개수를 늘리면 시스템의 성능이 저하되지 않는 확장성을 갖도록 설계하였다. 또한 시스템을 조사한 결과가 모두 도메인 분석기에게 전달되지 않고 에이전트 및 서브넷 분석기에서 보안상 문제가 되는 것만 걸러내어 보내주므로 네트워크 트래픽이 비교적 적고 도메인 분석기의 데이타 처리량이 대폭 줄어들어 대규모의 네트워크 환경에 적합하도록 설계하였다.
여부도 분석하여야 한다. 이를 위해 먼저 보안평가규칙 데이타베이스 및 보안정책 데이타베이스에서 분석대상인 특정 호스트 혹은 네트워크와 관련된 항목만을골라내어 이를 맞춤 규칙 데이타베이스(Customized Rule DB) 에 저장하고 이 맞춤 규칙 (Customized Rule) 을 사용하여 보안성 평가를 수행한다. 만약 이전에 동일한 시스템 환경 및 동일한 보안평가 규칙, 동일한 보안정책으로부터 생성된 맞춤 규칙이 있으면 규칙 데이타베이스 및 보안정책 데이타베이스로부터 새로 규칙을액세스하지 않고 이미 생성되어 있는 맞춤 규칙을 사용하여 데이타베이스 액세스 시간 및 검색 시간을 줄인다.
평가한다. 취약한 네트워크 서비스 및 데몬 등을 분석하며, 해당 서브넷에 속해 있는 각 에이전트로부터 받은 호스트 보안성 평가 결과 보고서를 분석하여, 분산 환경을 구성하는 다수의 호스트에 관한 정보가 있어야 분석할 수 있는 보안상 취약점을 찾아낸다. 서브넷의 보안성 평가 결과는 도메인 분석기에 보내진다.
특히 시스템의 설정과 직접적으로 연관되어 있는 시스템 파일, 운영체제 및 주요 소프트웨어의 버그패치 상황 등을 집중적으로 분석하게 된다.

성능/효과

본 논문에서 제안한 보안평가 시스템은 호스트 기반보안성 분석 도구와 네트워크 기반 보안성 분석 도구의 장점을 모두 가지고 있어 네트워크를 이용해서는 분석할 수 없는 특정 호스트의 취약성을 정확히 분석할 수 있고 대규모의 네트워크에서도 네트워크 전체의 보안성 분석을 쉽게 수행할 수 있다.
본 논문에서 제안한 시스템에서는 에이전트는 호스트기반 취약점 분석을 수행하고, 서브넷 분석기와 도메인분석기는 네트워크 기반 취약점 분석을 수행하고 각 에이전트의 보안성 분석 결과를 수집함으로써 각 호스트내부의 취약성까지 정확히 분석할 수 있으면서 중앙에서 전체 네트워크의 보안성을 파악할 수 있다. 즉, 호스트 기반 보안성 분석과 네트워크 기반 보안성 분석의장점을 모두 가지고 있다.
제안된 보안평가 시스템은 디렉토리 서비스로부터 새로운 취약점 정보를 수시로 얻어와 보안평가 규칙에 반영할 수 있도록 하여 새로운 취약점에 대해 신속하게 대처할 수 있도록 설계되었다. 이 시스템은 대규모 네트워크를 구성하는 각 호스트 및 서브넷의 보안성 분석 결과를 종합하여 전체 네트워크 도메인의 보안 수준을 평가하고 보안상 취약점을 해결하기 위한 보안관리 의사결정을 지원해 준다.
기존의 네트워크 기반 취약점 분석 도구나 에이전트/ 매니저 구조로 되어 있는 취약점 분석 시스템은 네트워크 상의 호스트 수가 많아질 경우 매니저에 많은 부하가 걸리게 되는 문제가 발생한다. 하지만 본 논문에서제시된 보안평가 시스템은 보안성 평가를 하나의 분석모듈에서 수행하지 않고 에이전트, 서브넷 분석기, 도메인 분석기를 단계적으로 거쳐 수행함으로써 특정 모듈에 걸리는 부하를 최소화하고 네트워크 도메인의 호스트 수가 증가하더라도 에이전트와 서브넷 분석기의 개수를 늘리면 시스템의 성능이 별로 저하되지 않는 확장성을 갖는다 또한 시스템을 조사한 결과가 모두 도메인분석기에 전달되지 않고 에이전트 및 서브넷 분석기에서 보안상 문제가 되는 것만 걸러내어 보내주므로 상대적으로 네트워크 트래픽이 적어지고 매니저에 해당하는도메인 분석기의 데이타 처리량이 줄어들게 되어 대규모 네트워크 환경에 적합하다.

후속연구

문제가 발생할 수 있다. 하지만 본 논문의 설계에서는 보안평가 규칙 관리자에 의해 관리되는 보안평가규칙을 기반으로 보안성 평가를 하기 때문에 각 호스트에 설치된 에이전트를 수정할 필요 없이 보안평가 관리자가 새로운 보안평가 규칙을 추가하기만 하면 새로운취약점 분석을 수행할 수 있다. 이러한 특징은 특히 규모.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

대규모 네트워크 환경에서의 보안관리를 위한 보안평가 시스템 설계
Design of the Security Evaluation System for Decision Support in the Enterprise Network Security Management 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약
AI-Helper

문제 정의

가설 설정

제안 방법

성능/효과

후속연구

참고문헌 (16)

이 논문을 인용한 문헌

저자의 다른 논문 :

연구과제 타임라인

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

대규모 네트워크 환경에서의 보안관리를 위한 보안평가 시스템 설계 Design of the Security Evaluation System for Decision Support in the Enterprise Network Security Management 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

가설 설정

제안 방법

성능/효과

후속연구

참고문헌 (16)

이 논문을 인용한 문헌

저자의 다른 논문 :

이재승 (8)

연구과제 타임라인

전체(0) 논문(0) 특허(0) 보고서(0)

전체(0) 논문(0) 특허(0) 보고서(0)

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

대규모 네트워크 환경에서의 보안관리를 위한 보안평가 시스템 설계
Design of the Security Evaluation System for Decision Support in the Enterprise Network Security Management 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper