[go: up one dir, main page]

KR20060079714A - Optimal update method of harmful traffic determination information - Google Patents

Optimal update method of harmful traffic determination information Download PDF

Info

Publication number
KR20060079714A
KR20060079714A KR1020050000176A KR20050000176A KR20060079714A KR 20060079714 A KR20060079714 A KR 20060079714A KR 1020050000176 A KR1020050000176 A KR 1020050000176A KR 20050000176 A KR20050000176 A KR 20050000176A KR 20060079714 A KR20060079714 A KR 20060079714A
Authority
KR
South Korea
Prior art keywords
harmful traffic
information
harmful
discrimination information
policy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
KR1020050000176A
Other languages
Korean (ko)
Inventor
홍오영
Original Assignee
엘지엔시스(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지엔시스(주) filed Critical 엘지엔시스(주)
Priority to KR1020050000176A priority Critical patent/KR20060079714A/en
Publication of KR20060079714A publication Critical patent/KR20060079714A/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

유해 트래픽 판별 정보의 업데이트시 네트워크 보안 장비에서 지원 가능한 갯수에 맞춰 유해 트래픽 판별 정보를 최적화하는 방법이 개시된다. 관리 단말이 주기적으로 업데이트 서버에 접속하여 신규 유해 트래픽의 판별 정보를 다운받아 유해 트래픽 데이터베이스에 추가함에 있어서 유해 트래픽 판별 정보의 총 갯수가 소정의 수를 초과하는 경우 소정의 제 1 정책에 따라 유해 트래픽 탐지 비적용대상인 유해 트래픽 판별 정보를 선정하여 제외시키고, 그럼에도 불구하고 소정의 수를 여전히 초과하는 경우 소정의 제 2 정책 및 경우에 따라서는 제 3 정책에 따라 유해 트래픽 탐지 비적용대상 유해 트래픽 판별 정보를 추가로 선정하여 제외시킨 후, 나머지 유해 트래픽 판별 정보를 네트워크 보안 장비로 전송함으로써 보안 장비의 리소스 가용 범위 내에서 효율적인 유해 트래픽 판별이 가능해지도록 한다.
Disclosed is a method of optimizing harmful traffic determination information according to the number that can be supported by a network security device when updating harmful traffic determination information. When the management terminal periodically accesses the update server, downloads new harmful traffic identification information, and adds it to the harmful traffic database, the total number of harmful traffic identification information exceeds a predetermined number of harmful traffic according to the first predetermined policy. Select and exclude harmful traffic discrimination information that is not applicable to detection, and nevertheless, add harmful traffic detection non-applied harmful traffic information according to a predetermined second policy and in some cases, if the number is still exceeded. After selecting and excluding it, the remaining harmful traffic identification information is transmitted to the network security equipment to enable efficient harmful traffic determination within the resource available range of the security equipment.

유해 트래픽, 웜, IPS, IDS, 관리 단말, 네트워크 보안 장비Harmful Traffic, Worms, IPS, IDS, Management Terminal, Network Security Equipment

Description

유해 트래픽 판별 정보의 최적 업데이트 방법 {Optimum updating method of injurious traffic discriminating information} Optimal updating method of harmful traffic discrimination information {Optimum updating method of injurious traffic discriminating information}             

도 1은 본 발명에 의한 유해 트래픽 판별 정보의 최적화 방법이 적용되는 네트워크 시스템의 구성도.1 is a block diagram of a network system to which the optimization method of harmful traffic determination information according to the present invention is applied.

도 2는 본 발명이 적용되는 네트워크 시스템의 관리 단말에 구비되어 있는 유해 트래픽 데이터베이스의 필드 구조도.2 is a field structure diagram of a harmful traffic database provided in a management terminal of a network system to which the present invention is applied;

도 3은 본 발명에 의한 유해 트래픽 판별 정보의 최적화 방법이 구현되는 과정을 나타내는 흐름도.3 is a flowchart illustrating a process of optimizing the harmful traffic determination information according to the present invention.

도 4는 본 발명에 의한 유해 트래픽 판별 정보의 최적화 방법에 적용되는 제 1 정책의 조건 조합도.Figure 4 is a combination of conditions of the first policy applied to the optimization method of harmful traffic determination information according to the present invention.

도 5는 본 발명에 의한 유해 트래픽 판별 정보의 최적화 방법에 적용되는 제 2 정책의 조건 조합도.5 is a condition combination diagram of a second policy applied to the optimization method of harmful traffic discrimination information according to the present invention;

도 6은 본 발명에 의한 유해 트래픽 판별 정보의 최적화 방법에 적용되는 제 3 정책의 조건 조합도.
6 is a condition combination diagram of a third policy applied to the optimization method of harmful traffic discrimination information according to the present invention;

본 발명은 유해 트래픽 판별 정보의 업데이트시 네트워크 보안 장비에서 지원 가능한 갯수에 맞춰 유해 트래픽 판별 정보를 최적화하는 방법에 관한 것이다. 더욱 상세하게느 관리 단말이 주기적으로 업데이트 서버에 접속하여 신규 유해 트래픽의 판별 정보를 다운받아 유해 트래픽 데이터베이스에 추가함에 있어서 저장된 유해 트래픽 판별 정보의 총 갯수가 소정의 수를 초과하는 경우 소정의 제 1 정책에 따라 유해 트래픽 탐지 비적용대상인 유해 트래픽 판별 정보를 선정하여 제외시키고, 그럼에도 불구하고 소정의 수를 여전히 초과하는 경우 소정의 제 2 정책 및 경우에 따라서는 제 3 정책에 따라 유해 트래픽 탐지 비적용대상 유해 트래픽 판별 정보를 추가로 선정하여 제외시킨 후, 나머지 유해 트래픽 판별 정보를 네트워크 보안 장비로 전송함으로써, 보안 장비의 리소스 가용 범위 내에서 효율적인 유해 트래픽 판별이 가능해지도록 한다.The present invention relates to a method of optimizing harmful traffic identification information according to the number that can be supported by the network security equipment when the harmful traffic identification information is updated. More specifically, when the management terminal periodically connects to the update server, downloads the discrimination information of the new harmful traffic, and adds it to the harmful traffic database, when the total number of stored harmful traffic discrimination information exceeds a predetermined number, the predetermined first According to the policy, harmful traffic detection information that is not applicable to harmful traffic detection is selected and excluded. Nevertheless, if the number still exceeds the predetermined number, harmful traffic detection is not applicable according to the second and in some cases, the third policy. After further selecting and excluding the traffic discrimination information, the remaining harmful traffic discrimination information is transmitted to the network security device, thereby enabling efficient harmful traffic discrimination within the resource available range of the security device.

종래의 네트워크 시스테에서 유해 트래픽 판별 정보를 업데이트 받는 과정을 살펴보면 다음과 같다.Looking at the process of updating the harmful traffic determination information in the conventional network system as follows.

관리 단말은 업데이트 서버에 주기적으로 접속하여 신규 유해 트래픽 판별 정보를 검색한 후 이를 다운받아 자신의 유해 트래픽 데이터베이스에 저장하는데, 이때 데이터베이스에 저장된 유해 트래픽 판별 정보의 총 갯수가 문제될 수 있다.The management terminal periodically accesses the update server, retrieves new harmful traffic determination information, downloads it, and stores it in its harmful traffic database. In this case, the total number of harmful traffic determination information stored in the database may be problematic.

일반적으로 네트워크 시스템의 보안 장비는 외부망으로부터의 웜(Worm), 유디피 플러딩(UDP Flooding), 아이피 스푸핑(IP Spoofing) 등의 유해 트래픽을 차단 하여 내부망에 예기치 못한 피해가 발생하는 것을 방지하는 역할을 담당한다. 이러한 보안 장비는 자체적으로 위와 같은 각종 유해 트래픽의 유형 정보 즉, 유해 트래픽임을 판별하기 위한 정보들을 보유하고 있으며, 실시간으로 당해 보안 장비에 유입되는 트래픽을 캡쳐하여 이를 상기 유해 트래픽 판별 정보들과 대조해 봄으로써 유해 트래픽을 탐지하게 된다. In general, the security equipment of the network system blocks harmful traffic such as worms, UDP flooding, and IP spoofing from the external network to prevent unexpected damage to the internal network. Play a role. Such security equipment itself has various types of harmful traffic information as described above, that is, information for determining that the traffic is harmful, and captures traffic flowing into the security equipment in real time and compares it with the harmful traffic identification information. To detect harmful traffic.

다만, 보안 장비가 보유한 리소스(유해 트래픽 판별 정보를 저장하기 위한 메모리 공간 또는 프로세서가 처리할 수 있는 유해 트래픽 판별 정보 수)에 한계가 있으므로, 통상 보안 장비가 커버할 수 있는 유해 트래픽 판별 정보의 갯수는 일정하게 정해지게 된다.However, the number of harmful traffic discrimination information that the security equipment can usually cover is limited because the resource (memory space for storing harmful traffic discrimination information or the number of harmful traffic discrimination information that can be processed by the processor) is limited. Is determined to be constant.

따라서, 관리 단말의 업데이트 수행으로 인해 유해 트래픽 판별 정보의 갯수가 보안 장비의 처리 갯수를 초과하는 경우에는 그 초과된 판별 정보의 수만큼 특정 판별 정보는 유해 트래픽 탐지에 적용되지 않게 된다.Therefore, when the number of harmful traffic discrimination information exceeds the number of processing of the security equipment due to the update of the management terminal, the specific discrimination information is not applied to the harmful traffic detection by the number of the exceeded discrimination information.

다만, 종래의 네트워크 시스템에서는 위와 같이 판별 정보가 초과된 사실을 알기 위해서는 관리자가 관리 단말의 유해 트래픽 데이터베이스를 손수 조회해보거나, 보안 장비에 접속하여 소정의 로그 정보를 조회해보아야 하는 번거로움이 있었다. However, in the conventional network system, in order to know that the discrimination information has been exceeded as described above, the administrator has to inquire manually the harmful traffic database of the management terminal or access the security equipment to query predetermined log information. .

또한, 이와 같이 판별 정보의 수가 초과되는 경우 어떤 유해 트래픽 판별 정보를 탐지 적용 대상에서 제외할 것인지에 대한 정책에 있어서, 종래에는 자동화된 특정 정책을 구비하지 못하였기 때문에 오퍼레이팅 시스템의 기본 정책에 따라 특정 유해 트래픽 판단 정보를 제외할 수 밖에 없었고, 이로 인해 실제로는 출현 가 능성이 높은 유해 트래픽에 대한 판별 정보임에도 불구하고 제외되어야 하는 불합리한 면이 있었다.
In addition, when the number of discrimination information is exceeded as described above, in the policy regarding which harmful traffic discrimination information is to be excluded from the target of detection, the conventional policy does not have a specific automated policy, and thus the specific harmful traffic is determined according to the basic policy of the operating system. There was no choice but to exclude the traffic judgment information. As a result, it was unreasonable to be excluded despite the fact that it is discriminating information about harmful traffic that is likely to appear.

본 발명은 위와 같은 문제점을 해결하기 위해 제안된 것으로서, 유해 트래픽 판별 정보가 업데이트되어 기존의 정보에 추가된 결과 총 정보의 갯수가 보안 장비에서 지원하는 소정의 수를 초과하는 경우에 소정의 정책에 의해 유해 트래픽 탐지 비적용대상 유해 트래픽 판별 정보를 자동으로 선정하여 제외시킴으로써 보안 장비가 항상 최적의 유해 트래픽 방지 기능을 유지할 수 있도록 하는 데에 그 목적이 있다.The present invention has been proposed to solve the above problems, and when the harmful traffic determination information is updated and added to the existing information, the number of the total information as a result exceeds the predetermined policy when the number of information supported by the security equipment exceeds the predetermined number. By the purpose of automatically selecting and excluding harmful traffic detection information by harmful traffic detection, the purpose of the security equipment is to always maintain the optimal harmful traffic prevention function.

본 발명의 다른 목적은, 상기 소정의 정책에 의해 특정 정보를 선정하여 제외하였음에도 여전히 총 정보의 갯수가 소정의 수를 초과하는 경우에 소정의 제 2 정책에 의해 유해 트래픽 탐지 비적용대상 유해 트래픽 정보를 자동으로 추가 선정 및 제외시키는 방법을 제공하는 데 있다.According to another object of the present invention, even when the specific information is selected and excluded by the predetermined policy, the harmful traffic detection non-applied harmful traffic information is applied by the predetermined second policy when the total number of information still exceeds the predetermined number. It is to provide a method for automatic selection and exclusion.

본 발명의 다른 목적은, 상기 소정의 제 2 정책에 의해 특정 정보를 선정하여 제외하였음에도 여전히 총 정보의 갯수가 소정의 수를 초과하는 경우에 소정의 제 3 정책에 의해 유해 트래픽 탐지 비적용대상 유해 트래픽 정보를 자동으로 추가 선정 및 제외시키는 방법을 제공하는 데 있다.
It is another object of the present invention to detect harmful traffic by a predetermined third policy when the number of total information exceeds a predetermined number even though specific information is selected and excluded by the predetermined second policy. It is intended to provide a way to automatically select and exclude information.

위와 같은 목적을 달성하기 위한 본 발명은, 유해 트래픽 데이터베이스를 구비하는 관리 단말, 신규 유해 트래픽 판별 정보를 구비하는 업데이트 서버 및 유해 트래픽으로 판별된 트래픽을 차단하는 네트워크 보안 장비를 포함하여 구성되는 유해 트래픽 차단 시스템에서, 관리 단말이 유해 트래픽 판별 정보를 업데이트하는 방법에 있어서, 관리 단말이 주기적으로 업데이트 서버에 접속하여 신규 유해 트래픽의 판별 정보를 다운받은 후 유해 트래픽 데이터베이스에 추가하는 제 1 단계와, 상기 추가에 의해 유해 트래픽 판별 정보의 총 갯수가 소정의 수를 초과하는 경우 소정의 제 1 정책에 따라, 탐지 비적용대상으로서 제외시킬 유해 트래픽 판별 정보를 선정하는 제 2 단계와, 상기 탐지 비적용대상을 제외한 나머지 유해 트래픽 판별 정보를 네트워크 보안 장비로 전송하는 제 3 단계를 포함하여 이루어지는 것을 특징으로 한다.The present invention for achieving the above object, harmful traffic comprising a management terminal having a harmful traffic database, an update server having new harmful traffic identification information and network security equipment for blocking traffic determined as harmful traffic In the blocking system, in a method in which a management terminal updates harmful traffic determination information, the management terminal periodically accesses an update server to download new harmful traffic determination information and adds the harmful traffic to the harmful traffic database. Additionally, when the total number of harmful traffic discrimination information exceeds a predetermined number, a second step of selecting harmful traffic discrimination information to be excluded as non-detection target according to a predetermined first policy; and excluding the non-detection target. Network of remaining harmful traffic discrimination information And a third step of transmitting to the security device is characterized in that formed.

여기서, 상기 유해 트래픽 데이터베이스는, 유해 트래픽 식별자 필드, 유해 트래픽 판별 정보 생성일 필드, 유해 트래픽 판별 정보 업데이트일 필드, 최종 탐지일 필드, 소정 기간동안의 탐지 횟수 필드, 위험도 필드를 포함하여 이루어지며, 이때, 상기 소정 기간동안의 탐지 횟수는 30일 동안 탐지된 횟수를 지정할 수 있고, 상기 유해 트래픽 판별 정보 생성일은 해당 유해 트래픽 판별 정보가 최초 생성된 일자 또는 업데이트 서버로부터 다운로드 받은 일자 중 어느 하나로 지정할 수 있다.The harmful traffic database may include a harmful traffic identifier field, a harmful traffic identification information generation date field, a harmful traffic identification information update date field, a last detection date field, a detection frequency field for a predetermined period, and a risk field. In this case, the number of detections during the predetermined period may specify the number of times detected for 30 days, and the generation date of the harmful traffic identification information may be specified as one of a date when the harmful traffic identification information is first generated or a date downloaded from the update server. have.

여기서, 상기 제 1 정책은, 소정의 기간동안 탐지되지 않은 유해 트래픽의 판별 정보를 대상으로 하되, 그 소정 기간 내에 업데이트된 유해 트래픽 판별 정보 는 제외하는 것을 조건으로, 상기 유해 트래픽 데이터베이스로부터 위험도가 낮은 순서대로 탐지 비적용대상인 유해 트래픽 판별 정보를 선정하는 것일 수 있다.Here, the first policy is based on the determination of harmful traffic that has not been detected for a predetermined period of time, but excludes harmful traffic identification information updated within the predetermined period of time, and has a low risk from the harmful traffic database. In order, it may be to select harmful traffic discrimination information that is not applicable to detection.

이때, 위험도가 동일한 하나 이상의 유해 트래픽 판별 정보가 존재하는 경우라면 그 중 유해 트래픽 판별 정보의 생성일이 오래된 순서대로 탐지 비적용대상인 유해 트래픽 판별 정보를 선정한다.In this case, when one or more harmful traffic discrimination information having the same risk exists, the harmful traffic discrimination information, which is a non-detection target, is selected in order of generation date of the harmful traffic discrimination information.

다만, 상기 제 1 정책에 따른 탐지 비적용대상의 선정에도 불구하고 나머지 유해 트래픽 판별 정보의 총 갯수가 소정의 수를 여전히 초과하는 경우, 소정의 제 2 정책에 따라 유해 트래픽 탐지 비적용대상인 유해 트래픽 판별 정보를 추가로 선정하는 제 2-1 단계가 더 포함될 수 있다.However, when the total number of the remaining harmful traffic discrimination information still exceeds the predetermined number despite the selection of the non-detection target according to the first policy, the harmful traffic discrimination information that is not applicable to the harmful traffic detection according to the predetermined second policy. The step 2-1 of further selecting may be further included.

이 경우 상기 제 2 정책은, 소정의 기간동안 탐지된 유해 트래픽의 판별 정보를 대상으로 하되, 그 소정 기간 내에 업데이트된 유해 트래픽 판별 정보는 제외하는 것을 조건으로, 상기 유해 트래픽 데이터베이스로부터 최종 탐지일이 오래된 순서대로 탐지 비적용대상인 유해 트래픽 판별 정보를 선정하는 것일 수 있다.In this case, the second policy is based on the discrimination information of harmful traffic detected for a predetermined period, except that the harmful traffic identification information updated within the predetermined period is excluded. It may be to select harmful traffic discrimination information that is not applied to detection in the oldest order.

이때, 최종 탐지일이 동일한 하나 이상의 유해 트래픽 판별 정보가 존재하는 경우라면 그 중 위험도가 낮은 순서대로 탐지 비적용대상인 유해 트래픽 판별 정보를 선정하고, 위험도가 동일한 하나 이상의 유해 트래픽 판별 정보가 존재하는 경우라면 다시 그 중에서 유해 트래픽 판별 정보의 생성일이 오래된 순서대로 탐지 비적용대상인 유해 트래픽 판별 정보를 선정한다.At this time, if one or more harmful traffic discrimination information having the same last detection date exists, the harmful traffic discrimination information that is the non-detection target is selected in the order of low risk, and if there is one or more harmful traffic discrimination information having the same risk, Again, harmful traffic discrimination information that is not applied to detection is selected in order of generation date of harmful traffic discrimination information.

다만, 상기 제 2 정책에 따른 탐지 비적용대상의 선정에도 불구하고 적용대상인 유해 트래픽 판별 정보의 총 갯수가 소정의 수를 여전히 초과하는 경우, 소정 의 제 3 정책에 따라 탐지 비적용대상인 유해 트래픽 판별 정보를 추가로 선정하는 제 2-2 단계가 더 포함될 수 있다.However, if the total number of harmful traffic discrimination information to be applied still exceeds the predetermined number despite the selection of the non-detection target according to the second policy, harmful traffic discrimination information to be detected non-applied according to the third policy is applied. In addition, the step 2-2 of selecting may be further included.

이 경우, 상기 제 3 정책은, 전체 유해 트래픽 판별 정보를 대상으로 하여, 상기 유해 트래픽 데이터베이스로부터 위험도가 낮은 순서대로 탐지 비적용대상인 유해 트래픽 판별 정보를 선정하는 것일 수 있다.In this case, the third policy may be to select harmful traffic discrimination information, which is a non-detection target, in order of low risk from the harmful traffic database, for all harmful traffic discrimination information.

이때, 위험도가 동일한 하나 이상의 유해 트래픽 판별 정보가 존재하는 경우라면 그 중 최종 탐지일이 오래된 순서대로 탐지 비적용대상인 유해 트래픽 판별 정보를 선정하게 된다.
In this case, when one or more harmful traffic discrimination information having the same risk exists, the harmful traffic discrimination information that is the non-detection target is selected in order of the last detection date.

이하, 본 발명의 명세서에 첨부된 도면을 참고하여 바람직한 실시예에 대하여 상세히 살펴보기로 한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명에 의한 유해 트래픽 판별 정보의 최적화 방법이 적용되는 네트워크 시스템의 구성도이다.1 is a block diagram of a network system to which the optimization method of harmful traffic discrimination information according to the present invention is applied.

관리 단말(110)은 소정의 응용 프로그램(네트워크 관리 프로그램, NMS; Network Management System)을 구비하고 있으면서, 보안 장비(130)의 상태 정보를 실시간으로 파악하여 콘솔에 출력하고, 보안 장비의 각종 네트워크 관련 설정을 관리자의 임의대로 또는 소정의 정책에 따라 자동으로 수정 또는 갱신시킨다. 본 발명에서는 특히 업데이트 서버(140)에 주기적으로 접속하여 새롭게 등록된 유해 트래픽 판별 정보를 다운로드 받은 후 이를 유해 트래픽 데이터베이스에 추가 저장하고, 추가 저장된 유해 트래픽 판별 정보의 갯수가 보안 장비가 커버할 수 있는 갯 수를 넘어선 경우 유해 트래픽 데이터베이스에 소정의 정책을 적용하여 출현 가능성이 상대적으로 적은 유해 트래픽에 대한 판별 정보를 유해 트래픽 탐지 비적용대상으로 선정하여 제외시킨다.The management terminal 110 is provided with a predetermined application program (network management program, NMS; Network Management System), grasps the status information of the security equipment 130 in real time and outputs to the console, and associated with various networks of the security equipment Automatically modify or update the settings according to the administrator's discretion or according to a predetermined policy. In the present invention, in particular, by periodically connecting to the update server 140 to download the newly registered harmful traffic identification information and store it further in the harmful traffic database, the number of additional stored harmful traffic identification information can be covered by the security equipment If the number is exceeded, a predetermined policy is applied to the harmful traffic database to exclude identification information on harmful traffic, which is relatively unlikely, as a non-target for harmful traffic detection.

유해 트래픽 데이터베이스(120)는 각 유해 트래픽의 로그 정보 및 해당 유해 트래픽을 판별하기 위한 정보를 특히 포함하고 있으며, 도 2는 이러한 유해 트래픽 데이터베이스의 필드 구조를 도시하고 있다.The harmful traffic database 120 specifically includes log information of each harmful traffic and information for determining the corresponding harmful traffic, and FIG. 2 illustrates a field structure of such harmful traffic database.

유해 트래픽 데이터베이스는 하나 이상의 유해 트래픽에 대한 레코드를 구비하고 있으며, 각 레코드마다 각기 다른 유해 트래픽에 대한 정보를 저장하고 이들 각각을 구별하기 위하여 유해 트래픽 식별자 필드(201)를 구비한다. The harmful traffic database includes records for one or more harmful traffic, and each record includes a harmful traffic identifier field 201 for storing information on different harmful traffic and distinguishing each of them.

유해 트래픽 판별 정보 필드(202)는 특정 트래픽이 유해 트래픽인가를 판단하기 위한 정보를 포함하고 있으며, 일반적으로 유해 트래픽의 패턴 정보를 저장하게 된다. The harmful traffic determination information field 202 includes information for determining whether specific traffic is harmful traffic, and generally stores pattern information of harmful traffic.

유해 트래픽 판별 정보 생성일 필드(203)는 유해 트래픽 판별 정보의 실제 생성일 또는 실제 생성일이 불분명한 경우라면 업데이트 서버로부터 다운로드받은 일자를 기록한다.The harmful traffic determination information generation date field 203 records a date downloaded from the update server when the actual generation date or the actual generation date of the harmful traffic determination information is unclear.

유해 트래픽 판별 정보 업데이트일 필드(204)는 업데이트 서버로부터 해당 판별 정보를 다운로드 받은 일자를 기록한다.The harmful traffic determination information update date field 204 records the date of downloading the determination information from the update server.

최종 탐지일 필드(205)는 당해 유해 트래픽이 보안 장비에 의해 탐지된 가장 최근의 일자를 기록하며, 소정 기간 탐지 횟수 필드(206)는 미리 정해진 특정 기간, 이를테면 30일동안 탐지된 횟수를 누적 기록한다. The last detection date field 205 records the most recent date that the harmful traffic was detected by the security equipment, and the predetermined period detection count field 206 records the number of times of detection for a predetermined period of time, such as 30 days. do.                     

위험도 필드(207)는 당해 유해 트래픽이 네트워크 시스템에 미치는 영향을 정량적으로 기록하게 되며, 단순히 시스템을 잠시동안 비지(BUSY) 상태에 빠뜨린다든지 등과 같이 유해성이 경미한 경우에서부터 장시간 비지 상태로 빠뜨린다든지 시스템을 아예 정지시키거나 재부팅으로 초기화 시킨다든지 등과 같이 유해성이 심각한 경우를 사례별로 나누어 이를 등급화시켜 저장한다.The risk field 207 quantitatively records the impact of the harmful traffic on the network system, and simply causes the system to be busy for a long time from a minor hazard such as briefly leaving the system busy. Cases of serious hazards such as stopping or rebooting are classified by case and stored.

그 외에도, 유해 트래픽 탐지 비적용대상 필드(도면 미도시)가 더 구비될 수 있으며, 이는 유해 트래픽 판별 정보의 업데이트에 따라 전체 판별 정보의 갯수가 보안 장비의 적용가능 갯수를 초과하는 경우에 소정의 정책에 의해 탐지 비적용대상으로 선정되었음을 표시하기 위한 것이다.In addition, a harmful traffic detection non-applicable target field (not shown) may be further provided, which is a predetermined policy when the number of total discrimination information exceeds the applicable number of security equipment according to the update of the harmful traffic discrimination information. This is to indicate that the object has been selected by the non-detection target.

보안 장비(130) 및 업데이트 서버(140)은 상기 종래 기술에서 이미 기술한 바 있으므로 여기서는 그에 대한 설명을 생략하기로 한다.
Since the security equipment 130 and the update server 140 have already been described in the prior art, a description thereof will be omitted here.

도 3은 본 발명에 의한 유해 트래픽 판별 정보의 최적화 방법이 구현되는 과정을 나타내는 흐름도이다.3 is a flowchart illustrating a process of optimizing the harmful traffic determination information according to the present invention.

관리 단말은 주기적으로 업데이트 서버에 접속하여 업데이트 서버에 새롭게 등록된 유해 트래픽 판별 정보가 있는지를 파악한 후 새로운 판별 정보가 있을 경우 이를 다운로드받는다(S301). 이때, 관리 단말은 유해 트래픽 데이터베이스로부터 각 정보에 대한 식별자를 추출하여 파일로 저장한 후 이를 업데이트 서버에 전송하고, 업데이트 서버는 전송받은 파일을 분석하여 자신이 보유하고 있는 유해 트래픽 판별 정보들의 식별자와 비교함으로써, 관리 단말이 보유하고 있지 않은 새로 운 판별 정보를 더 보유하고 있다고 판단되면 자동으로 관리 단말에게 해당 판별 정보를 다운로드해 주거나, 관리 단말에게 업데이트할 판별 정보의 리스트가 포함된 업데이트 통지 메시지를 송신하여 관리 단말이 업데이트 서버에 다시 접속 및 해당 파일을 다운로드 해가도록 한다.The management terminal periodically accesses the update server, checks whether there is harmful traffic discrimination information newly registered in the update server, and downloads it if there is new discrimination information (S301). At this time, the management terminal extracts the identifier for each information from the harmful traffic database, stores it as a file and transmits it to the update server, and the update server analyzes the received file and identifies the identifiers of the harmful traffic identification information that it owns. By comparing, if it is determined that the management terminal has new discrimination information that is not held by the management terminal, it automatically downloads the determination information to the management terminal or sends an update notification message including a list of determination information to be updated to the management terminal. By transmitting, the management terminal reconnects to the update server and downloads the corresponding file.

업데이트된 유해 트래픽 판별 정보를 다운로드 받은 관리 단말은 이를 유해 트래픽 데이터베이스에 추가하여 저장한다(S303).The management terminal that has downloaded the updated harmful traffic determination information is added to the harmful traffic database and stored (S303).

이때, 상기 S303 단계의 추가 저장으로 인하여 상기 판별 정보 데이터베이스에 저장된 총 유해 트래픽 판별 정보의 갯수가 당해 관리 단말과 연결되어 있는 보안 장비가 처리할 수 있는 갯수 이하인 경우라면 곧바로 업데이트된 유해 트래픽 판별 정보를 보안 장비로 전송한다(S517). 그러나, 보안 장비의 처리 갯수를 초과하는 경우에는 소정의 제 1 정책을 상기 판별 정보 데이터베이스에 적용하여 그에 해당하는 유해 트래픽 판별 정보는 유해 트래픽 탐지 비적용대상으로 선정하여 비활성화시킨다(S307).At this time, if the total number of harmful traffic determination information stored in the determination information database is less than the number that can be handled by the security equipment connected to the management terminal due to the additional storage in step S303, the updated harmful traffic determination information is immediately updated. Transmission to the security equipment (S517). However, if the number of processes of security equipment is exceeded, a predetermined first policy is applied to the discrimination information database, and the corresponding harmful traffic discrimination information is selected and deactivated as harmful traffic detection non-application target (S307).

도 4는 본 발명에 의한 유해 트래픽 판별 정보의 최적화 방법에 적용되는 제 1 정책의 조건 조합도를 도시하고 있으며, 이를 구체적으로 살펴보면 다음과 같다.4 is a diagram illustrating a combination of conditions of a first policy applied to the method for optimizing harmful traffic discrimination information according to the present invention.

즉, 제 1 정책은 소정의 기간(이를테면 30일)동안 탐지되지 않은 유해 트래픽의 판별 정보 중에서 그 소정 기간 내에 업데이트된 유해 트래픽 판별 정보는 제외한 것을 대상(401)으로 한다. 소정 기간동안 탐지되지 않았던 유해 트래픽은 경험칙상 앞으로도 당분간을 출현할 가능성이 다른 유해 트래픽보다 상대적으로 작다는 것에 착안한 것이며, 소정 기간 이내에 업데이트된 판별 정보는 최근에 발견된 유해 트래픽에 대한 판별 정보이므로 확률적으로 유사한 시기에 다시 출현할 가능성이 있기에 이것은 유해 트래픽 탐지 비적용대상에서 제외시키도록 한다.That is, the first policy is to exclude the harmful traffic discrimination information updated within the predetermined time period from the harmful traffic detection information that has not been detected for a predetermined period (for example, 30 days). We have focused on the fact that harmful traffic that has not been detected for a certain period of time is relatively smaller than other harmful traffic in the future as a rule of thumb, and the updated discrimination information within a predetermined period is discrimination information about recently discovered harmful traffic. It is likely to reappear at probabilistic times, so it should be excluded from harmful traffic detection.

이제 위와 같은 대상 중에서 위험도가 낮은 순서대로 탐지 비적용대상인 유해 트래픽 판별 정보를 선정한다(우선순위 제 1 조건)(402). 특정 유해 트래픽이 칩입하여 네트워크 시스템이 다운된다거나 재부팅 및 초기화된다거나 마케팅에 현저한 영향을 끼칠 정도로 시스템의 정상적인 운영을 방해하는 등의 지대한 장애를 초래하게 되는 경우라면 이는 위험도가 상대적으로 높은 유해 트래픽이라고 보아야 할 것인 바, 이러한 유해 트래픽은 반드시 보안 장비에 의해 적용되어야 할 것이므로, 상대적으로 위험도가 낮은 유해 트래픽에 대한 판별 정보를 유해 트래픽 탐지 비적용대상으로 하는 것이다.Now, among the above objects, harmful traffic discrimination information, which is a non-detection target, is selected in the order of low risk (priority first condition) 402. If certain harmful traffic enters the network and causes significant disruption, such as a network system crashing, rebooting and resetting, or disrupting the normal operation of the system with a significant impact on marketing, this is a relatively high risk of harmful traffic. As it should be seen, such harmful traffic must be applied by the security equipment, and therefore, discrimination information on relatively low risk harmful traffic is not applied to harmful traffic detection.

만약 위험도가 동일한 판별 정보가 하나 이상 존재하는 경우라면 그 중 유해 트래픽 판별 정보의 생성일이 오래된 순서대로 탐지 비적용대상인 유해 트래픽 판별 정보를 선정한다(우선순위 제 2 조건)(403). 유해 트래픽 판별 정보의 생성일은 실제 생성일이 될 수도 있고, 이것이 불분명하다면 업데이트 서버로부터 다운로드받은 일자가 될 수도 있다. 상대적으로 오래 전에 생성되었거나 업데이트받은 지가 오래된 판별 정보라면 그만큼 시기적으로 오래전에 출현했던 유해 트래픽이므로 일반적으로 유해 트래픽이 트랜드(또는 유사한 시기에 유행)를 타는 경향이 있음을 비추어볼 때 상대적으로 현재 다시 출현할 가능성이 적다는 것을 의미하며, 따라서 이를 먼저 유해 트래픽 탐지 비적용대상으로 하는 것이다.If one or more pieces of discrimination information having the same risk exist, the harmful traffic discrimination information that is the non-detection target is selected in order of the generation date of the harmful traffic discrimination information (second priority condition) 403. The generation date of the harmful traffic determination information may be the actual generation date, or if it is unclear, the date downloaded from the update server. If it is old discrimination information that has been created or updated relatively long ago, it is harmful traffic that appeared long time ago, so it appears that relatively harmful traffic tends to follow trends (or similar trends). This means that it is less likely to do so, and therefore, it is first applied to harmful traffic detection.

만약, 상기 제 1 정책의 적용으로 유해 트래픽 탐지 비적용대상으로 선정된 유해 트래픽 판별 정보를 제외한 나머지 판별 정보의 갯수가 보안 장비의 처리 범위 갯수 이하라면 상기 S317 단계를 수행한다. If the number of the remaining discrimination information except the harmful traffic discrimination information selected as the non-hazardous traffic detection non-applicability target due to the application of the first policy is less than or equal to the processing range of the security equipment, step S317 is performed.

그러나, 제 1 정책의 적용에도 불구하고 보안 장치의 처리 범위 갯수를 여전히 초과한다면, 소정의 제 2 정책을 적용하여 유해 트래픽 탐지 비적용대상 판별 정보를 선정한다. 도 5는 본 발명에 의한 유해 트래픽 판별 정보의 최적화 방법에 적용되는 제 2 정책의 조건 조합도이며, 이를 참고로 제 2 정책의 각 우선순위조건을 설명하면 다음과 같다.However, if the number of processing ranges of the security device is still exceeded despite the application of the first policy, the predetermined second policy is applied to select harmful traffic detection non-application target identification information. FIG. 5 is a combination of conditions of a second policy applied to the optimization method of harmful traffic discrimination information according to the present invention. Referring to this, each priority condition of the second policy will be described as follows.

즉, 제 2 정책은 소정의 기간(이를테면 30일)동안 탐지된 바 있는 유해 트래픽의 판별 정보 중에서 그 소정 기간 내에 업데이트된 유해 트래픽 판별 정보는 제외한 것을 대상(501)으로 한다. 전자는 상기 제 1 정책에서 선정된 판별 정보 이외의 판별 정보 중에서 유해 트래픽 탐지 비적용대상을 더 선정하기 위한 것이며, 후자의 조건은 상기 제 1 정책에서 설명한 바와 동일한 목적으로 지정된다. 따라서, 제 2 정책에 의해 선정된 판별 정보는 제 1 정책을 통해 선정된 판별 정보와 중복되는 경우가 발생하지 않으면서, 추가적으로 선정되는 결과를 낳게 된다.That is, the second policy includes the target 501 excluding the harmful traffic discrimination information updated within the predetermined period of the harmful traffic discrimination information detected during the predetermined period (for example, 30 days). The former is for further selecting harmful traffic detection non-applicable targets from discrimination information other than the discrimination information selected in the first policy, and the latter condition is designated for the same purpose as described in the first policy. Therefore, the discrimination information selected by the second policy does not overlap with the discrimination information selected by the first policy, resulting in an additionally selected result.

이제 위와 같은 대상 중에서 소정의 기간동안 탐지된 횟수가 적은 순서대로 유해 트래픽 탐지 비적용대상을 선정한다(우선순위 제 1 조건)(502). 소정의 기간동안 탐지 횟수가 적다는 것은 유사한 시기에 다시 출현할 가능성이 상대적으로 적다는 것을 의미하기 때문이다.The harmful traffic detection non-application targets are selected from the above targets in the order of the smallest number of times detected during the predetermined period (priority first condition) 502. This is because the smaller the number of detections in a given period, the less likely it is to reappear at similar times.

우선순위 제 2 조건(503) 및 제 3 조건(504)은 상기 제 1 정책에서의 우선순위 제 1 조건(402) 및 제 2 조건(403)과 그 취지가 동일하므로 여기서는 그에 대한 설명은 생략한다.The priority second condition 503 and the third condition 504 have the same meaning as the priority first condition 402 and the second condition 403 in the first policy, and thus description thereof is omitted here. .

만약, 상기 제 1 정책 및 제 2 정책의 적용으로 유해 트래픽 탐지 비적용대상으로 선정된 유해 트래픽 판별 정보를 제외한 나머지 판별 정보의 갯수가 보안 장비의 처리 범위 갯수 이하라면 상기 S317 단계를 수행한다. If the number of the remaining discrimination information except the harmful traffic discrimination information selected as the non-harmful traffic detection target is not less than the processing range of the security equipment by applying the first policy and the second policy, step S317 is performed.

그러나, 제 1 정책 및 제 2 정책의 적용에도 불구하고 보안 장치의 처리 범위 갯수를 여전히 초과한다면, 소정의 제 3 정책을 더 적용하여 유해 트래픽 탐지 비적용대상 판별 정보를 추가로 선정한다. 도 6은 본 발명에 의한 유해 트래픽 판별 정보의 최적화 방법에 적용되는 제 3 정책의 조건 조합도이며, 이를 참고로 제 3 정책의 각 우선순위조건을 설명하면 다음과 같다.However, if the number of processing ranges of the security device is still exceeded despite the application of the first policy and the second policy, the predetermined third policy is further applied to further select harmful traffic detection non-application target identification information. 6 is a combination of conditions of a third policy applied to the method for optimizing harmful traffic discrimination information according to the present invention. Referring to this, each priority condition of the third policy will be described below.

즉, 제 2 정책은 모든 유해 트래픽 판별 정보를 그 선정 대상으로 한다(601). 상기 제 1 정책 및 제 2 정책을 통해 소정의 기간동안 실제로 출현한 사실 및 출현을 예정하는 업데이트 사실을 중심으로 출현 가능성이 적은 유해 트래픽을 한정한 것에 비해, 이에 얽매이지 않고 나머지 유해 트래픽들에 대하여도 유해 트래픽 탐지 비적용대상의 선정 가능성을 넓히자는 데에 그 취지가 있다. That is, the second policy makes all harmful traffic discrimination information the selection target (601). Compared with the first policy and the second policy, the harmful traffic that is unlikely to appear based on the facts that actually appeared for a predetermined period of time and the update facts that are expected to appear is not limited thereto, and the remaining harmful traffic is not bound thereto. The intention is to broaden the possibility of selecting non-hazardous traffic detection targets.

이후에 적용되는 제 3 정책의 우선순위 제 1 조건(602) 및 우선순위 제 3 조건(603)은 상기 제 1 정책에서의 우선순위 제 1 조건(402) 및 상기 제 2 정책에서의 우선순위 제 1 조건(502)과 그 취지가 동일하므로 역시 그에 대한 설명은 생략한다.The priority first condition 602 and the priority third condition 603 of the third policy to be applied later are the priority first condition 402 in the first policy and the priority priority in the second policy. Since the condition 1 and the purpose thereof are the same, the description thereof will be omitted.

이와 같은 제 1 정책, 제 2 정책, 제 3 정책을 적용에도 불구하고 보안 장치의 처리 범위 갯수를 여전히 초과한다면 종래의 방식대로 특정 유해 정보 트래픽 판별 정보가 임의적으로 유해 트래픽 탐지 비적용대상으로 선정되어 비활성화된다. 그러나, 3번의 정책 적용에 의해 대부분의 경우는 보안 장비의 처리 범위 갯수 이하로 유지될 것이므로 상기와 같은 경우는 거의 발생하지 않는다고 볼 수 있다.If the first, second, and third policies are still applied, the number of security device processing ranges is still exceeded. Therefore, specific harmful information traffic discrimination information is arbitrarily selected and deactivated for harmful traffic detection in the conventional manner. do. However, as the third policy is applied, most of the cases will be kept below the processing range number of the security equipment, so it can be said that such a case rarely occurs.

따라서, 위와 같은 정책들의 적용으로 보안 장비의 처리 범위 갯수 이하로 유해 트래픽 판별 정보의 총 갯수가 유지된 경우라면, 관리 단말은 유해 트래픽 탐지 비적용대상으로 선정된 유해 트래픽 판별 정보를 제외한 나머지 정보들을 보안 단말로 전송하여 보안 단말의 기존 유해 트래픽 판별 정보들을 갱신시키거나, 미리 보안 단말이 보유중인 유해 트래픽 판별 정보들의 리스트를 보유하고 있다가 상기 유해 트래픽 탐지 비적용대상으로 선정된 유해 트래픽 판별정보를 제외한 나머지 정보들의 리스트와 비교하여 이미 보유하고 있는 판별 정보들을 제외한 나머지 판별 정보들만을 전송한다(S317).
Therefore, if the total number of harmful traffic discrimination information is maintained below the processing range number of the security equipment by applying the above policies, the management terminal secures the remaining information except the harmful traffic discrimination information selected as the non-applicable harmful traffic detection target. It transmits to the terminal to update existing harmful traffic discrimination information of the security terminal, or has a list of harmful traffic discrimination information held by the security terminal in advance, and then removes the harmful traffic discrimination information selected as the non-applicable harmful traffic detection target. In comparison with the list of information, only the remaining discrimination information is transmitted except the discrimination information already held (S317).

한편 본 발명의 상세한 설명에서는 구체적인 실시예에 관해 설명하였으나, 본 발명의 범위에서 벗어나지 않는 한도 내에서 여러가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시예에 국한되지 않으며, 후술되는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 할 것이다.
Meanwhile, in the detailed description of the present invention, specific embodiments have been described, but various modifications may be made without departing from the scope of the present invention. Therefore, the scope of the present invention should not be limited to the described embodiments, but should be defined not only by the scope of the following claims, but also by those equivalent to the scope of the claims.

위와 같은 구성 단계를 구비하는 본 발명에 의하면, 유해 트래픽 판별 정보 가 업데이트되어 기존의 정보에 추가된 결과 총 정보의 갯수가 보안 장비에서 지원하는 소정의 수를 초과하는 경우에 소정의 정책에 의해 유해 트래픽 탐지 비적용대상 유해 트래픽 판별 정보를 자동으로 선정하여 제외시키고, 그럼에도 불구하고 여전히 총 정보의 갯수가 소정의 수를 초과하는 경우에 소정의 제 2 정책 및 제 3 정책이 보충적으로 더 적용되도록 함으로써, 관리자가 매번 유해 트래픽 데이터베이스를 검색하거나 보안 장비를 확인하여 그 초과 여부를 알아내야 하는 번거로움을 해소하고, 가장 적용 가능성이 적은 정보를 선정하여 제외시킴으로써, 보안 장비가 항상 최적의 운용 조건을 유지하도록 한다. According to the present invention having the above configuration steps, when harmful traffic determination information is updated and added to the existing information, the harmful information is determined by a predetermined policy when the total number of information exceeds a predetermined number supported by the security equipment. By automatically selecting and excluding harmful traffic discrimination information to which traffic detection is not applied, nevertheless, the predetermined second and third policies are further supplemented when the total number of information exceeds the predetermined number, Eliminate the need for administrators to search the harmful traffic database each time or check security devices to find out whether they have exceeded them, and by selecting and excluding the least applicable information, ensuring that security devices always maintain optimal operating conditions. do.

Claims (13)

유해 트래픽 데이터베이스를 구비하는 관리 단말, 신규 유해 트래픽 판별 정보를 구비하는 업데이트 서버 및 유해 트래픽으로 판별된 트래픽을 차단하는 네트워크 보안 장비를 포함하여 구성되는 유해 트래픽 차단 시스템에서, 관리 단말이 유해 트래픽 판별 정보를 업데이트하는 방법에 있어서,In a harmful traffic blocking system comprising a management terminal having a harmful traffic database, an update server having new harmful traffic discrimination information, and a network security device that blocks traffic determined as harmful traffic, the management terminal includes harmful traffic discrimination information. In the method of updating, 관리 단말이 주기적으로 업데이트 서버에 접속하여 신규 유해 트래픽의 판별 정보를 다운받은 후 유해 트래픽 데이터베이스에 추가하는 제 1 단계;A first step in which the management terminal periodically accesses the update server, downloads the discrimination information of the new harmful traffic, and adds it to the harmful traffic database; 상기 추가에 의해 유해 트래픽 판별 정보의 총 갯수가 소정의 수를 초과하는 경우 소정의 제 1 정책에 따라, 탐지 비적용대상으로서 제외시킬 유해 트래픽 판별 정보를 선정하는 제 2 단계;A second step of selecting harmful traffic discrimination information to be excluded as non-detection target according to a predetermined first policy when the total number of harmful traffic discrimination information by the addition exceeds a predetermined number; 상기 탐지 비적용대상을 제외한 나머지 유해 트래픽 판별 정보를 네트워크 보안 장비로 전송하는 제 3 단계;Transmitting harmful traffic discrimination information other than the non-detection target to a network security device; 를 포함하여 이루어지는 것을 특징으로 하는 유해 트래픽 판별 정보의 최적 업데이트 방법.Optimal update method of harmful traffic determination information, characterized in that comprises a. 제 1 항에 있어서,The method of claim 1, 상기 유해 트래픽 데이터베이스는,The harmful traffic database, 유해 트래픽 식별자 필드, 유해 트래픽 판별 정보 생성일 필드, 유해 트래픽 판별 정보 업데이트일 필드, 최종 탐지일 필드, 소정 기간동안의 탐지 횟수 필드, 위험도 필드를 포함하여 이루어지는 것을 특징으로 하는 유해 트래픽 판별 정보의 최적 업데이트 방법.Optimizing harmful traffic identification information, comprising: harmful traffic identifier field, harmful traffic identification information generation date field, harmful traffic identification information update date field, last detection date field, detection frequency field for a predetermined period, risk field How to update. 제 2 항에 있어서,The method of claim 2, 상기 소정 기간동안의 탐지 횟수는, 30일 동안 탐지된 횟수임을 특징으로 하는 유해 트래픽 판별 정보의 최적 업데이트 방법.And the number of detections during the predetermined period is the number of detections for 30 days. 제 2 항에 있어서,The method of claim 2, 상기 유해 트래픽 판별 정보 생성일은, 해당 유해 트래픽 판별 정보가 최초 생성된 일자 또는 업데이트 서버로부터 다운로드 받은 일자 중 어느 하나임을 특징으로 하는 유해 트래픽 판별 정보의 최적 업데이트 방법.The harmful traffic determination information generation date, the harmful traffic determination information optimal update method, characterized in that any one of the first generated date or the date downloaded from the update server. 제 2 항 내지 제 4 항 중 어느 일 항에 있어서,The method according to any one of claims 2 to 4, 상기 제 1 정책은,The first policy is, 소정의 기간동안 탐지되지 않은 유해 트래픽의 판별 정보를 대상으로 하되, 그 소정 기간 내에 업데이트된 유해 트래픽 판별 정보는 제외하는 것을 조건으로, 상기 유해 트래픽 데이터베이스로부터 위험도가 낮은 순서대로 탐지 비적용대상인 유해 트래픽 판별 정보를 선정하는 것임을 특징으로 하는 유해 트래픽 판별 정보의 최적 업데이트 방법.Determining harmful traffic that has not been detected for a predetermined period of time, except that harmful traffic identification information updated within the predetermined period of time is excluded. Optimal update method of harmful traffic identification information, characterized in that for selecting information. 제 5 항에 있어서,The method of claim 5, 위험도가 동일한 하나 이상의 유해 트래픽 판별 정보가 존재하는 경우,If one or more harmful traffic identification information with the same risk exists, 그 중 유해 트래픽 판별 정보의 생성일이 오래된 순서대로 탐지 비적용대상인 유해 트래픽 판별 정보를 선정하는 것을 특징으로 하는 유해 트래픽 판별 정보의 최적 업데이트 방법.Among them, harmful traffic discrimination information is selected in order of generation of harmful traffic discrimination information in the oldest order. 제 5 항에 있어서,The method of claim 5, 상기 제 1 정책에 따른 탐지 비적용대상의 선정에도 불구하고 나머지 유해 트래픽 판별 정보의 총 갯수가 소정의 수를 여전히 초과하는 경우, 소정의 제 2 정책에 따라 유해 트래픽 탐지 비적용대상인 유해 트래픽 판별 정보를 추가로 선정하는 제 2-1 단계가 더 포함되는 것을 특징으로 하는 유해 트래픽 판별 정보의 최적 업데이트 방법.If the total number of the remaining harmful traffic discrimination information still exceeds the predetermined number despite the selection of the non-detection target according to the first policy, the harmful traffic discrimination information that is not the harmful traffic detection target is added according to the second policy. The second-first step of selecting to further include the harmful traffic identification information, characterized in that the update method. 제 7 항에 있어서,The method of claim 7, wherein 상기 제 2 정책은, The second policy is, 소정의 기간동안 탐지된 유해 트래픽의 판별 정보를 대상으로 하되, 그 소정 기간 내에 업데이트된 유해 트래픽 판별 정보는 제외하는 것을 조건으로, 상기 유해 트래픽 데이터베이스로부터 최종 탐지일이 오래된 순서대로 탐지 비적용대상인 유해 트래픽 판별 정보를 선정하는 것임을 특징으로 하는 유해 트래픽 판별 정보의 최적 업데이트 방법.Harmful traffic that is targeted for detection of harmful traffic detected for a predetermined period of time, but excludes harmful traffic identification information updated within the predetermined period of time, from the harmful traffic database in order of the last detection date in the oldest order. Optimal update method of harmful traffic discrimination information, characterized in that for selecting the discrimination information. 제 8 항에 있어서,The method of claim 8, 최종 탐지일이 동일한 하나 이상의 유해 트래픽 판별 정보가 존재하는 경우,If one or more harmful traffic identification information with the same last detection date exists, 그 중 위험도가 낮은 순서대로 탐지 비적용대상인 유해 트래픽 판별 정보를 선정하는 것을 특징으로 하는 유해 트래픽 판별 정보의 최적 업데이트 방법.Among them, the harmful traffic discrimination information is selected in order of low risk, and the harmful traffic discrimination information is updated. 제 9 항에 있어서,The method of claim 9, 위험도가 동일한 하나 이상의 유해 트래픽 판별 정보가 존재하는 경우,If one or more harmful traffic identification information with the same risk exists, 그 중 유해 트래픽 판별 정보의 생성일이 오래된 순서대로 탐지 비적용대상인 유해 트래픽 판별 정보를 선정하는 것을 특징으로 하는 유해 트래픽 판별 정보의 최적 업데이트 방법.Among them, harmful traffic discrimination information is selected in order of generation of harmful traffic discrimination information in the oldest order. 제 7 항에 있어서,The method of claim 7, wherein 상기 제 2 정책에 따른 탐지 비적용대상의 선정에도 불구하고 적용대상인 유해 트래픽 판별 정보의 총 갯수가 소정의 수를 여전히 초과하는 경우, 소정의 제 3 정책에 따라 탐지 비적용대상인 유해 트래픽 판별 정보를 추가로 선정하는 제 2-2 단계가 더 포함되는 것을 특징으로 하는 유해 트래픽 판별 정보의 최적 업데이트 방법.If the total number of harmful traffic discrimination information to be applied still exceeds the predetermined number despite the selection of non-detection target according to the second policy, additional harmful traffic discrimination information to be detected non-applied according to the third policy is further added. Step 2-2 of selecting further comprising the optimal update method of harmful traffic identification information, characterized in that it further comprises. 제 11 항에 있어서,The method of claim 11, 상기 제 3 정책은, The third policy is, 전체 유해 트래픽 판별 정보를 대상으로 하여, 상기 유해 트래픽 데이터베이스로부터 위험도가 낮은 순서대로 탐지 비적용대상인 유해 트래픽 판별 정보를 선정하는 것임을 특징으로 하는 유해 트래픽 판별 정보의 최적 업데이트 방법.The harmful traffic discrimination information is selected from the harmful traffic database in order of low risk in order of all harmful traffic discrimination information. 제 12 항에 있어서,The method of claim 12, 위험도가 동일한 하나 이상의 유해 트래픽 판별 정보가 존재하는 경우,If one or more harmful traffic identification information with the same risk exists, 그 중 최종 탐지일이 오래된 순서대로 탐지 비적용대상인 유해 트래픽 판별 정보를 선정하는 것을 특징으로 하는 유해 트래픽 판별 정보의 최적 업데이트 방법.Among them, the harmful traffic discrimination information is selected in order of the last detection date in the oldest order.
KR1020050000176A 2005-01-03 2005-01-03 Optimal update method of harmful traffic determination information Withdrawn KR20060079714A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050000176A KR20060079714A (en) 2005-01-03 2005-01-03 Optimal update method of harmful traffic determination information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050000176A KR20060079714A (en) 2005-01-03 2005-01-03 Optimal update method of harmful traffic determination information

Publications (1)

Publication Number Publication Date
KR20060079714A true KR20060079714A (en) 2006-07-06

Family

ID=37171306

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050000176A Withdrawn KR20060079714A (en) 2005-01-03 2005-01-03 Optimal update method of harmful traffic determination information

Country Status (1)

Country Link
KR (1) KR20060079714A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009134906A3 (en) * 2008-04-30 2010-02-04 Viasat, Inc. Network security appliance
US8627060B2 (en) 2008-04-30 2014-01-07 Viasat, Inc. Trusted network interface

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009134906A3 (en) * 2008-04-30 2010-02-04 Viasat, Inc. Network security appliance
US8627060B2 (en) 2008-04-30 2014-01-07 Viasat, Inc. Trusted network interface

Similar Documents

Publication Publication Date Title
US9401924B2 (en) Monitoring operational activities in networks and detecting potential network intrusions and misuses
US10893068B1 (en) Ransomware file modification prevention technique
US10135864B2 (en) Latency-based policy activation
KR100942456B1 (en) Method for detecting and protecting ddos attack by using cloud computing and server thereof
EP4027604A1 (en) Security vulnerability defense method and device
US8302198B2 (en) System and method for enabling remote registry service security audits
US20190207966A1 (en) Platform and Method for Enhanced Cyber-Attack Detection and Response Employing a Global Data Store
KR101462311B1 (en) Method for preventing malicious code
WO2019133453A1 (en) Platform and method for retroactive reclassification employing a cybersecurity-based global data store
CN110417709B (en) Early warning method for Lesso software attack, server and computer readable storage medium
CN104917779A (en) Protection method of CC attack based on cloud, device thereof and system thereof
CN105183504A (en) Software server based process white-list updating method
JP5739034B1 (en) Attack detection system, attack detection device, attack detection method, and attack detection program
JP2016146114A (en) Management method of blacklist
US8819655B1 (en) Systems and methods for computer program update protection
CN110674496A (en) Method and system for program to counter invading terminal and computer equipment
CN111147491B (en) Vulnerability repairing method, device, equipment and storage medium
EP3331210B1 (en) Apparatus, method, and non-transitory computer-readable storage medium for network attack pattern determination
JP6106861B1 (en) Network security device, security system, network security method, and program
CN107770158A (en) Means of defence, apparatus and system based on automobile
CN112989350A (en) Method, device and system for processing malicious attack behaviors of Internet of things
KR20060079714A (en) Optimal update method of harmful traffic determination information
CN110086812B (en) A safe and controllable intranet security patrol system and method
KR101343693B1 (en) Network security system and method for process thereof
KR101375375B1 (en) Zombie pc detection and protection system based on gathering of zombie pc black list

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20050103

PG1501 Laying open of application
N231 Notification of change of applicant
PN2301 Change of applicant

Patent event date: 20071218

Comment text: Notification of Change of Applicant

Patent event code: PN23011R01D

PC1203 Withdrawal of no request for examination
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid