[논문]방화벽 접근정책의 계층적 가시화 방법에 대한 연구

김태용; 권태웅; 이준; 이윤수; 송중석

doi:10.13089/jkiisc.2020.30.6.1087

[국내논문] 방화벽 접근정책의 계층적 가시화 방법에 대한 연구
A Study to Hierarchical Visualization of Firewall Access Control Policies 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.30 no.6, 2020년, pp.1087 - 1101

김태용 (한국과학기술정보연구원) , 권태웅 (한국과학기술정보연구원) , 이준 (한국과학기술정보연구원) , 이윤수 (한국과학기술정보연구원) , 송중석 (한국과학기술정보연구원)

초록
AI-Helper

빠르게 진화하는 다양한 사이버공격으로부터 내부 네트워크와 정보를 보호하기 위해 다양한 보안장비를 사용한다. 그 중 대표적으로 사용하는 보안장비는 방화벽이며, 방화벽은 접근정책이라는 텍스트 기반의 필터링 규칙을 사용해 내·외로부터 통신하는 접근을 허용하거나 차단하여 악의적인 공격을 사전에 방어할 수 있다. 내부의 정보를 보호하기 위해 수많은 접근정책들이 사용하며, 점차 증가하는 접근정책을 효율적으로 관리하기에 여러 가지 어려움이 발생한다. 그 이유는 텍스트 기반의 많은 정보를 분석하기 위해서는 많은 시간 소요와 잔존하는 취약한 정책을 보완하기에는 한계점이 있다. 이와 같은 문제점을 해결하기 위해, 본 논문에서는 직관적인 접근제어 정책 분석 및 관리를 위한 3D 기반의 계층적 가시화 방법을 제안한다. 특히, 계층적 가시화를 통한 드릴-다운 사용자 인터페이스를 제공함으로써, 복잡한 대규모 네트워크의 접근제어 정책을 세부적으로 분석을 지원한다. 제안된 가시화 방법론의 실용성 및 유효성 검증을 위해 시스템을 구현하고, 이를 실제 대규모 네트워크 방화벽 분석에 적용함으로써 성공적으로 제안된 가시화 방법의 적용이 가능함을 보인다.

Abstract ▼ AI-Helper

Various security devices are used to protect internal networks and valuable information from rapidly evolving cyber attacks. Firewall, which is the most commonly used security device, tries to prevent malicious attacks based on a text-based filtering rule (i.e., access control policy), by allowing or blocking access to communicate between inside and outside environments. However, in order to protect a valuable internal network from large networks, it has no choice but to increase the number of access control policy. Moreover, the text-based policy requires time-consuming and labor cost to analyze various types of vulnerabilities in firewall. To solve these problems, this paper proposes a 3D-based hierarchical visualization method, for intuitive analysis and management of access control policy. In particular, by providing a drill-down user interface through hierarchical architecture, Can support the access policy analysis for not only comprehensive understanding of large-scale networks, but also sophisticated investigation of anomalies. Finally, we implement the proposed system architecture's to verify the practicality and validity of the hierarchical visualization methodology, and then attempt to identify the applicability of firewall data analysis in the real-world network environment.

주제어

표/그림 (25)

표 Table 1. Case Example of Shadowing Anomaly
그림 Fig. 1. Text-based User Interface for Management Access Control Policy
그림 Fig. 2. Example of ACL Visualization from PolicyVis[4]
표 Table 2. Case Example of Redundancy Anomaly
표 Table 3. Case Example of Correlation Anomaly
표 Table 4. Case Example of Generalization Anomaly
그림 Fig. 3. ACL Visualization by Sunburst Method[8]
그림 Fig. 4. Communication Visualization from NViZ[6]
그림 Fig. 5. Conceptual Image of Hierarchical Visualization Methodology methodology
그림 Fig. 6. Visualization Methodology for Upper Layer Components
그림 Fig. 7. Conceptual Image of Visualization Methodology in Lower Layer
그림 Fig. 8. Horizontal Cross-section View of Lower Layer
그림 Fig. 9. Vertical Cross-section View of Lower Layer
그림 Fig. 10. Conceptual Image of Drill-down & Inverse Drill-down Interface
그림 Fig. 11. Visualization System Configuration Diagram
표 Table 5. Hardware & Software Detailed Specifications for Development of the Proposed System
그림 Fig. 12. Overall Display of Implemented System
그림 Fig. 13. User Convenience Function
그림 Fig. 14. Implementation of Upper Layer Components
그림 Fig. 15. Scenario of ACL Management based on Drill-Down Interface
그림 Fig. 16. Management ACL using Policy Connectivity
그림 Fig. 17. Analysis of access policy problems and providing results
그림 Fig. 18. Complex Anomaly Status on Real-world Situation
그림 Fig. 19. Security Condition after Revising Anomaly Policy
표 Table 6. Comparing Supported Functions between Proposed System and Conventional Systems

AI 본문요약
AI-Helper

문제 정의

본 논문에서 제안된 방법론의 실제 활용 측면의 유효성을 검증하기 위하여, 기존 시스템과의 인터페이스 비교 및 가시화 점검도구를 활용한 대규모 네트워크상에서의 접근 정책 취약점 보완과정에 대하여 알아본다.
본 논문에서는 보안상 취약점을 발생시킬 수 있는 방화벽 접근정책 간 관계 이상을 직관적으로 파악하고 보완할 수 있는 새로운 계층적 가시화 방법론을 제안하였다. 제안된 가시화 방법론은 상위계층과 하위계층으로 나뉘어 접근 정책 및 관계 이상에 대하여 각각 요약 및 세부 정보를 제공하며, 특히 사용자(관리자) 측면에서 친화적인 3D 기반 드릴 다운 인터페이스를 통 해 복잡한 대규모 네트워크의 직관적인 방화벽 접근정 책 관리를 가능하게 하였다.
이와 같은 문제점을 해결하고 관리자의 최적화된 방화벽 접근 정책 설정을 돕기 위하여, 본 논문에서는 대규모 접근정책의 계층적 구조가 시화 방법을 제안한다. 제안한 방법은 정책 현황(사용량, 연결성)과 정책 간 문제점을 분석하고, 정책의 요약정보 및 세부 정보를 직관적으로 파악할 수 있도록 시각화를 제공한다.

제안 방법

3.1절에서 설명한 방법론을 본 논문에서 제안하는 실제 구현된 시스템에 적용하여 접근 정책 간 문제점을 도출하고 그 결과를 시각화로 보여줌으로써, 정책 간 제안한 가시화 시스템의 유효성을 검증한다.
제안하는 가시화 방법론은 이러한 문제점들을 해결하기 위하여 고안되었다. 대규모의 복잡한 접근정 책을 한 화면에 계층적으로 표현하는 방법을 제안함으로써, 관리자에게 정책의 현황 및 정책간의 문제점 등을 쉽고 빠르게 파악할 수 있도록 도와준다. 특히 단일 접근정책 뿐만 아니라 정책 간 관계이상 판별을 통한 규칙 재 구성 등의 통합적인 관리가 필수적인 방화벽 접근 정책 관리에 있어서, 전체 현황 및 세부 정보를 한눈에 표현하는 3차원 시각화 및 드릴 다운 검색을 제공함으로써 관리자는 문제점을 쉽게 인지하고 보완이 가능하다.
본 논문에서 제안하는 방법론의 궁극적인 목표는 관계 이상을 발생시키는 원인을 파악하고 이를 제거함으로써 안정적인 방화벽 운영환경을 구축하는데 있다. 제안하는 방법론은 접근 정책 간의 요약 정보를 상위계층에 표현하고 이와 관련된 정책들을 하위계층에 표현 하여 연결(드릴-다운)함으로써 관리자가 신속히 접근 정책의 문제점을 파악할 수 있도록 구성하였다. 이와 반대로 접근정책을 선택하였을 경우에는 해당 접근정 책과 관련된 관계이상들과 연결(역(inverse)드릴-다 운)함으로써 선택된 정책이 얼마나 많은 관계 이상을 유발하고 있는지 확인할 수 있다.
이와 같은 문제점을 해결하고 관리자의 최적화된 방화벽 접근 정책 설정을 돕기 위하여, 본 논문에서는 대규모 접근정책의 계층적 구조가 시화 방법을 제안한다. 제안한 방법은 정책 현황(사용량, 연결성)과 정책 간 문제점을 분석하고, 정책의 요약정보 및 세부 정보를 직관적으로 파악할 수 있도록 시각화를 제공한다.

데이터처리

Table. 6은 논문에서 제안하는 시스템과 대표적으로 사용하는 방화벽 4개를 대상으로 관계이상 분석 결과를 그래프 및 표 등 다양한 시각화 기능을 제공하는지에 대해 비교하였다. 제안하는 시스템을 제외한 나머지 방화벽들은 접근 정책 중 중복된 정책에 대해서만 정책 수립 시 관리자에게 알람 기능을 제공하였다.
먼저 방화벽 정보를 수집하기 위해 시스템 로그(syslog)를 수집하고, 수집된 로그로부터 각 결측치 및 이상치 등으로 보정한 후 필드별로 분할하여 데 이터베이스에 저장한다. 그리고 2.2절에서 알아본 것과 같은 정책 간 관계이상 및 문제점들을 분석 엔진(Analyzer Engine)을 통해 분석 후, 가시화 엔 진(Visualization Engine)에서 3차원 가시화 및 인터렉티브 사용자 인터페이스를 적용하여 시각화를 수행한다.

성능/효과

본 논문에서 제안한 계층적 가시화 방법 및 드릴다운 인터페이스를 통하여 관리자는 효율적인 방화벽 접근 정책의 관리가 가능하다. Fig.
제안된 가시화 방법론은 상위계층과 하위계층으로 나뉘어 접근 정책 및 관계 이상에 대하여 각각 요약 및 세부 정보를 제공하며, 특히 사용자(관리자) 측면에서 친화적인 3D 기반 드릴 다운 인터페이스를 통 해 복잡한 대규모 네트워크의 직관적인 방화벽 접근정 책 관리를 가능하게 하였다. 뿐만 아니라, 제안한 방법론의 유효성을 검증하기 위하여 실제 기관에서 운용 중인 방화벽의 접근 정책 분석을 통한 특징과 문제점 파악과정을 기존 시스템과 비교하여 살펴보았으며, 특히 방화벽의 수많은 텍스트 기반 접근정책을 새로운 시각화 방법론을 통한 분석 및 결과를 제공하는 것만으로도, 기존의 정책을 관리하기 위한 방법들보다 더 효율적인 방법이 될 수 있음을 확인하였다.
1절에서 설명한 방법론을 적용하여 구현된 화면으로, 방화벽 접근 정책 100개를 분석하여 총 6개의 관계이상 결과를 시각화로 제공한 것을 볼 수 있다. 예로, 상위 요약정보 중 분석된 결과로 ACL 44번과 ACL 99번은 중복정책임을 보여주며, 상세정보를 통해 모든 규칙이 동일한 규칙임을 보여주며, 이 외에도 중첩, 그림자 이상, 일반화 이상 등본 논문에서 제안하는 정책의 관계이상 정보를 직관적으로 인지 및 관리할 수 있는 기능을 검증하였다.
본 논문에서는 보안상 취약점을 발생시킬 수 있는 방화벽 접근정책 간 관계 이상을 직관적으로 파악하고 보완할 수 있는 새로운 계층적 가시화 방법론을 제안하였다. 제안된 가시화 방법론은 상위계층과 하위계층으로 나뉘어 접근 정책 및 관계 이상에 대하여 각각 요약 및 세부 정보를 제공하며, 특히 사용자(관리자) 측면에서 친화적인 3D 기반 드릴 다운 인터페이스를 통 해 복잡한 대규모 네트워크의 직관적인 방화벽 접근정 책 관리를 가능하게 하였다. 뿐만 아니라, 제안한 방법론의 유효성을 검증하기 위하여 실제 기관에서 운용 중인 방화벽의 접근 정책 분석을 통한 특징과 문제점 파악과정을 기존 시스템과 비교하여 살펴보았으며, 특히 방화벽의 수많은 텍스트 기반 접근정책을 새로운 시각화 방법론을 통한 분석 및 결과를 제공하는 것만으로도, 기존의 정책을 관리하기 위한 방법들보다 더 효율적인 방법이 될 수 있음을 확인하였다.

후속연구

다만, 본 논문에서는 단일 방화벽의 분석을 위한 가시화 방법론을 제안하였으나 대규모 네트워크에서 일반적으로 활용되는 다중 방화벽 방식의 접근 정책 분석 및 관계이상 가시화 방법을 향후 추가적으로 진행할 예정이다. 또한 방화벽 보안관리에서 중요한 요소인 'ANY' 허용정책, 취약한 불필요 서비스(Port) 및 유해 IP관리 등과 같은 부분을 즉각적으로 인지 할 수 있는 가시화 표현을 통해 잔존하는 위험요소를 직관적으로 관리할 수 있는 연구를 지속적으로 진행할 예정이다.
또한 방화벽 보안관리에서 중요한 요소인 'ANY' 허용정책, 취약한 불필요 서비스(Port) 및 유해 IP관리 등과 같은 부분을 즉각적으로 인지 할 수 있는 가시화 표현을 통해 잔존하는 위험요소를 직관적으로 관리할 수 있는 연구를 지속적으로 진행할 예정이다.

참고문헌 (22)

Michael Cooney, "Network World 2020 State of the Network: SD-WAN, edge networking and security are hot", NetworkWorld, 14 Apr. 2020, IDG Communications, Inc. https://www.networkworld.com/article/3537559/state-of-the-network-sd-wan-edge-networking-and-security-issues-heat-things-up.html, Accessed 18 June 2020.
W. Stallings, "Network security essentials: applications and standards.", pp. 374-397, 2016.
E. S. Al-Shaer and H. H. Hamed, "Modeling and management of firewall policies." IEEE Transactions on network and service management 1.1, pp. 2-10, 2004.

상세보기
T. Tran and E. S. Al-Shaer, R. Boutaba, "PolicyVis: Firewall Security Policy Visualization and Inspection." LISA. Vol. 7. pp. 1-16, Nov. 2007.
E. S. Al-Shaer and H. H. Hamed, "Firewall policy advisor for anomaly discovery and rule editing." International Symposium on Integrated Network Management. Springer, Boston, pp. 17-30, Mar, 2003.
A. K. Meena and N. Hubballi, "NViZ: An Interactive Visualization of Network Security Systems Logs." 2020 International Conference on COMmunication Systems & NETworkS (COMSNETS). IEEE, pp. 685-687, Jan, 2020.
Ui-Hyong Kim and Jung-Min Kang, Jae-Sung Lee, Hyong-Shik Kim, Soon-Young Jung, "Practical firewall policy inspection using anomaly detection and its visualization." Multimedia tools and applications 71.2, pp. 627-641, 2014.

상세보기
F. Mansmann and T. Gobel, W. Cheswick, "Visual analysis of complex firewall configurations." Proceedings of the ninth international symposium on visualization for cyber security, pp. 1-8, 2012.
A. Wool, "Trends in firewall configuration errors: Measuring the holes in swiss cheese." IEEE Internet Computing 14.4, pp. 58-65, 2010.

상세보기
K. Ingham and S. Forrest, "A history and survey of network firewalls." University of New Mexico, Tech. Rep, 2002.
Y. Bartal and A. Mayer, K. Nissim, A. Wool, "Firmato: A novel firewall management toolkit." Proceedings of the 1999 IEEE Symposium on Security and Privacy (Cat. No. 99CB36344). IEEE, pp. 17-31, May, 1999.
Q. Duan, and E. S. Al-Shaer, "Traffic-aware dynamic firewall policy management: techniques and applications." IEEE Communications Magazine 51.7, pp. 73-79, 2013.

상세보기
H. Hu and G. J. Ahn, K. Kulkarni, "Detecting and resolving firewall policy anomalies." IEEE Transactions on dependable and secure computing 9.3, pp. 318-331, 2012.

상세보기
Paloalto Networks, PA-Series user manual, https://www.paloaltonetworks.co.kr/network-security/pa-series, Ac cessed 21 June 2020.
AhnLab, TrusGuard Firewalls, https://www.ahnlab.com/kr/site/product/productView.do?prodSeq10, Accessed 24 June 2020.
Apache Tomcat, Tomcat 7.0.104 Software, http://tomcat.apache.org/, Accessed 23 June 2020.
MariaDB Foundation, MariaDB 10.3, https://mariadb.org/, Accessed 23 June 2020.
Redislabs, redis 6.0, https://redis.io/, Accessed 23 June 2020.
Unity Techinologies, Unity Core Platform, https://unity.com/, Accessed 23 June 2020.
Likert, Rensis. "A technique for the measurement of attitudes." Archives of psychology (1932).
SECUI, SECUI MF2, https://www.secui.com/product/mf2/, Accessed 25 June 2020.
Wins, Sniper NGFW, http://www.wins21.co.kr/product/product_030101.html?num28/, Accessed 25 June 2020.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증