Nothing Special   »   [go: up one dir, main page]

KR101315686B1 - Control method for posterior auditing of computer network - Google Patents

Control method for posterior auditing of computer network Download PDF

Info

Publication number
KR101315686B1
KR101315686B1 KR1020130085069A KR20130085069A KR101315686B1 KR 101315686 B1 KR101315686 B1 KR 101315686B1 KR 1020130085069 A KR1020130085069 A KR 1020130085069A KR 20130085069 A KR20130085069 A KR 20130085069A KR 101315686 B1 KR101315686 B1 KR 101315686B1
Authority
KR
South Korea
Prior art keywords
packet
service
audit
access
providing server
Prior art date
Application number
KR1020130085069A
Other languages
Korean (ko)
Inventor
서정철
Original Assignee
이니텍(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이니텍(주) filed Critical 이니텍(주)
Priority to KR1020130085069A priority Critical patent/KR101315686B1/en
Application granted granted Critical
Publication of KR101315686B1 publication Critical patent/KR101315686B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PURPOSE: A post audit control method is provided to extract and store audit data through service packet analysis. CONSTITUTION: An object server information unit determines whether a service providing server is a management object server or not (S210). In case the service providing server is the management object server, an access policy information unit determines access control according to a predetermined access control policy (S220). If the service providing server is accessible, the access policy information unit analyzes a packet according to a service protocol (S230). The access policy information unit extracts audit data from the packet and stores the audit data (S235). The audit data includes service connection information, a user log and a service providing server log. The access policy information unit transmits the packet to a receiver (S240). [Reference numerals] (200) Photo-based packet filtering; (205) Analyze information about a transmitter and a receiver; (210) Check a system for management; (215) By-pass to a receiver; (220) Determine an access control; (225) Deny access; (230) Analyze a packet according to a service protocol; (235) Extract audit data; (240) Transmit the packet to a receiver; (AA) Start; (BB) Service information unit; (CC) Object server information unit; (DD) Access policy information unit; (EE) Allow; (FF) Deny; (GG) Store access information data; (HH) Unit for managing an audit log; (II) Store audit log data; (JJ) End

Description

사후 감사 제어 방법{Control Method for Posterior Auditing of Computer Network}Post Control Method for Posterior Auditing of Computer Network

본 발명은 네트워크 환경에서의 사후 감사 제어 방법에 관한 것이다.
The present invention relates to a post audit control method in a network environment.

네트워크 환경에서 사용자 감사를 위해서 클라이언트측에 감사를 위한 에이전트를 설치하여 소정의 시간 간격에 따라서 동작화면을 이미지 캡쳐 방식으로 저장하거나 또는 사용자의 이벤트 발생 및 그에 따른 서버측의 처리 결과 이벤트 정보를 감사 데이터로 저장하는 방식 등이 사용되고 있다.Auditing agent is installed on the client side for user auditing in the network environment, and the operation screen is saved by image capture method at predetermined time intervals, or audit data is generated for user's event occurrence and server-side processing result event information. The storage method is used.

이와 같은 종래 기술에 의하면 사용자 단말기에 로그 감사를 위한 에이전트 설치 비용이 소요되며, 이벤트 방식의 경우 서로 다른 시스템은 서로 다른 방식으로 동작하기 때문에 모든 종류의 시스템에 적용하기 어려운 단점이 있다. 그리고 사용자 단말기에 표시되는 화상을 스냅샷으로 저장하거나 영상으로 저장하는 방법은 사용자 단말기의 시스템에 부담이 되며 많은 저장 공간을 필요로 하는 단점이 있다.According to the prior art as described above, an agent installation cost for log auditing is required on a user terminal, and in case of an event method, since different systems operate in different ways, it is difficult to apply to all kinds of systems. In addition, a method of storing an image displayed on a user terminal as a snapshot or an image is a burden on the system of the user terminal and requires a lot of storage space.

종래 기술에 의한 사후 감사 제어 방법의 일례로서 2004년 12월 3일에 등록공고된 한국특허 제10-0458816호에 개시된 기술이 있는데, 이 기술은 네트워크 환경하에서 사후 감사를 위해 침입탐지 시스템으로부터 사용자의 출발지/목적지 주소와 접속시간 정보 또는 패킷의 허용 여부, 침입차단 시스템의 주소, 시스템의 사용시간 및 프로그램 등의 정보를 포함하는 이벤트 로그를 미리 정의된 로그 그룹과 연계 분석하여 제공한다. 그러나 이 선행특허에 개시된 방법은 이벤트에 따른 제한적인 감사 로그를 제공할 뿐이라는 한계가 있다.
An example of a post-audit control method according to the prior art is a technique disclosed in Korean Patent No. 10-0458816, published on December 3, 2004, which provides a user with an intrusion detection system for post-audit in a network environment. Provides event log including source / destination address and access time information or packet acceptance, intrusion prevention system address, system usage time and program in association with predefined log group. However, the method disclosed in this prior patent has a limitation that it provides only a limited audit log according to the event.

본 발명은 이러한 종래 기술의 문제점을 해결함으로써 네트워크 환경에서 사후 감사의 대상이 되는 서비스 제공 서버에 독립적인 사후 감사 제어 방법을 제공하는 것을 목적으로 한다.
An object of the present invention is to provide a post-audit control method independent of the service providing server to be subject to post-audit in the network environment by solving the problems of the prior art.

본 발명에 의한 사후 감사 제어 방법은, 사용자 단말기와, 서비스 제공 서버와, 상기 사용자 단말기 및 서비스 제공 서버와 통신이 가능한 사후 감사 제어 장치를 포함하는 환경에서 상기 사후 감사 제어 장치에 의해서 수행된다. 상기 방법은, (1) 상기 사용자 단말기 또는 상기 서비스 제공 서버로부터의 패킷을 필터링하는 제1 단계와, (2) 상기 필터링된 패킷으로부터 송신자와 수신자 정보를 분석하는 제2 단계와, (3) 상기 서비스 제공 서버가 관리 대상 서버인지 여부를 판단하는 제3 단계와, (4) 상기 제3 단계에서 서비스 제공 서버가 관리 대상 서버인 경우 미리 결정되어 있는 접근 제어 정책에 따라 접근 제어를 판단하는 제4 단계와, (5) 상기 제4 단계에서 접근 가능한 것으로 판단되면 서비스 프로토콜에 따라 패킷을 분석하는 제5 단계와, (6) 상기 분석된 패킷으로부터 서비스 접속 정보, 사용자 로그 및 서비스 제공 서버 로그를 포함하는 감사 데이터를 추출하여 저장하는 제6 단계와, (7) 상기 패킷을 수신자에게 전송하는 제7 단계를 포함한다.
The post audit control method according to the present invention is performed by the post audit control device in an environment including a user terminal, a service providing server, and a post audit control device capable of communicating with the user terminal and the service providing server. The method comprises (1) a first step of filtering a packet from the user terminal or the service providing server, (2) a second step of analyzing sender and receiver information from the filtered packet, and (3) the A third step of determining whether the service providing server is a managed server; and (4) a fourth step of determining access control according to a predetermined access control policy when the service providing server is a managed server in the third step. (5) analyzing the packet according to the service protocol if it is determined that the access is possible in the fourth step; and (6) service access information, a user log, and a service providing server log from the analyzed packet. A sixth step of extracting and storing the audit data; and (7) a seventh step of transmitting the packet to the receiver.

본 발명에 의하면 서비스 패킷 분석을 통해 감사 데이터를 추출하고 저장할 수 있기 때문에 서로 다른 서버 등의 다양한 서비스를 감사할 수 있고 추가적인 개발 비용 내지 시간, 그리고 감사 데이터의 관리 비용 등을 절감할 수 있는 효과가 제공된다.
According to the present invention, since audit data can be extracted and stored through service packet analysis, various services such as different servers can be audited, and additional development cost, time, and management cost of audit data can be reduced. Is provided.

도 1은 본 발명에 의한 사후 감사 제어 방법이 수행되는 환경을 도시한 도면.
도 2는 본 발명에 의한 사후 감사 제어 방법의 순서도.
도 3은 본 발명에 의한 사후 감사 제어 방법이 적용된 윈도우 원격제어 방법의 순서도.
1 is a diagram illustrating an environment in which a post audit control method according to the present invention is performed.
2 is a flowchart of a post audit control method according to the present invention;
Figure 3 is a flow chart of a window remote control method applied post-audit control method according to the present invention.

이하에서는 첨부 도면을 참조하여 본 발명에 대해서 자세하게 설명한다. 이하에서 설명되는 모든 구성요소들은 예시적이고 비제한적인 의미로 해석되어야 하며 특정 실시예 및/또는 도면의 설명과 관련되어 열거되는 구성요소들이 배타적으로 본 발명의 권리범위를 구성하는 것으로 해석되어서는 아니된다.Hereinafter, the present invention will be described in detail with reference to the accompanying drawings. All components described below are to be interpreted in an illustrative and non-limiting sense, and the components listed in connection with the description of specific embodiments and / or drawings are not to be construed exclusively as constituting the scope of the present invention. do.

도 1에는 본 발명에 의한 사후 감사 제어 방법이 적용되는 환경이 도시되어 있다.1 shows an environment to which the post audit control method according to the present invention is applied.

도 1에 도시되어 있는 바와 같이, 본 환경은 사용자 단말기(10)와, 통신 인터페이스(20)와, 서비스 제공 서버(80)와, 사후 감사 제어 장치(90)로 구성되어 있다.As shown in Fig. 1, the present environment comprises a user terminal 10, a communication interface 20, a service providing server 80, and a post audit control device 90.

사후 감사 제어 장치(90)는, 패킷 추출부(30)와, 패킷 전송부(40)와, 접근제어 관리부(50)와, 감사 로그 관리부(60)와, 패킷 처리부(70)를 포함한다.The post audit control device 90 includes a packet extracting unit 30, a packet transmitting unit 40, an access control managing unit 50, an audit log managing unit 60, and a packet processing unit 70.

패킷 추출부(30)는 통신 인터페이스(20)를 통해 수신되는 패킷을 필터링하여 추출한 후 패킷 처리부(70)로 전달한다. 패킷 처리부(70)는 필터링된 패킷을 서비스 프로토콜에 따라서 분석하고 처리한다.The packet extracting unit 30 filters and extracts a packet received through the communication interface 20 and transmits the extracted packet to the packet processing unit 70. The packet processor 70 analyzes and processes the filtered packet according to the service protocol.

접근제어 관리부(50)는, 관리대상 서버 정보부(51)와, 서비스 정보부(52)와, 접근제어정책부(53)를 포함한다. 관리대상 서버 정보부(51)에는 본 발명에 의한 사후 감사 제어 방법이 적용되는 서비스 제공 서버들의 서버 IP, 서버명, 서버타입과 같은 정보가 기록되고 관리된다. 서비스 정보부(52)에는, 관리대상 서버가 제공하는 서비스의 종류를 식별하기 위한 서비스 형태 정보와, 서비스를 제공하기 위해 네트워크 상에서 사용되는 포트 정보인 서비스 포트 정보가 기록되고 관리된다. 접근제어정책부(53)에는, 날짜를 기반으로 사용자의 접근을 제어하는 기간제한정책, 시간을 기반으로 사용자의 접근을 제어하는 시간제한정책, 요일을 기반으로 사용자의 접근을 제어하는 요일제한정책, 서비스 제공 서버 IP를 기반으로 사용자의 접근을 제어하는 IP 제한정책, 사용자의 ID를 기반으로 사용자의 접근을 제어하는 사용자제한정책 등이 기록되고 관리된다.The access control management unit 50 includes a management target server information unit 51, a service information unit 52, and an access control policy unit 53. The management target server information unit 51 records and manages information such as server IP, server name, and server type of the service providing servers to which the post audit control method according to the present invention is applied. The service information unit 52 records and manages service type information for identifying the type of service provided by the management target server and service port information, which is port information used on a network for providing a service. In the access control policy unit 53, a time limit policy for controlling a user's access based on a date, a time limit policy for controlling a user's access based on a time, and a day restriction policy for controlling a user's access based on a day of the week For example, the IP restriction policy that controls the user's access based on the service providing server IP and the user restriction policy that controls the user's access based on the user's ID are recorded and managed.

감사로그 관리부(60)는, 접속정보부(61)와 감사로그부(62)를 포함한다.The audit log management unit 60 includes a connection information unit 61 and an audit log unit 62.

접속 정보부(61)에는, 서비스를 이용하기 위해 인증된 식별자 정보와 접속 클라이언트 네트워크 정보인 사용자 정보와, 관리대상 서버인 서비스 제공 서버(80)의 서비스 정보와, 서비스 이용 시간 정보가 기록되고 관리된다.The connection information unit 61 records and manages identifier information authenticated to use the service, user information which is access client network information, service information of the service providing server 80 which is a management target server, and service use time information. .

감사로그부(62)에는, 필터링된 패킷을 분석하여 추출된 서비스의 환경설정정보와, 사용자 단말기(10)에서 서비스 제공 서버(80)로 전송되는 이벤트 및 요청 데이터인 사용자 로그데이터와, 사용자의 이벤트 또는 요청에 따른 응답데이터인 서비스 제공 서버의 로그 데이터와, 이러한 정보가 추출된 시간인 타임스탬프 정보가 기록되고 관리된다.The audit log 62 includes environment setting information of the service extracted by analyzing the filtered packet, user log data which is event and request data transmitted from the user terminal 10 to the service providing server 80, and Log data of the service providing server, which is response data according to an event or request, and time stamp information, which is a time at which such information is extracted, are recorded and managed.

서비스의 환경설정정보는, 서비스 제공 서버(80)가 제공하는 서비스를 이용하기 위해 서비스 제공 서버(80)에 접속하는 사용자 단말기(클라이언트)의 인증정보 또는 서비스 제공 서버(80)의 네트워크 정보인 접속정보와, 서비스 제공 서버(80) 또는 사용자 단말기(10)의 환경 설정 정보인 설정정보를 포함한다.The environment setting information of the service is an access which is authentication information of a user terminal (client) or network information of the service providing server 80 connected to the service providing server 80 in order to use the service provided by the service providing server 80. Information and setting information which is environment setting information of the service providing server 80 or the user terminal 10.

사용자 로그데이터는, 서비스 제공시 사용자 단말기(10)로부터 서비스 제공 서버(80)로 전송되는 입력장치(예를 들어 마우스 및/또는 키보드) 이벤트 정보와, 요청로그 정보를 포함한다.The user log data includes input device (eg, mouse and / or keyboard) event information and request log information transmitted from the user terminal 10 to the service providing server 80 when providing a service.

서비스 제공 서버의 로그 데이터는, 사용자의 이벤트 또는 요청에 따라 처리된 이미지 데이터와, 응답 로그를 포함한다.The log data of the service providing server includes image data processed according to an event or a request of a user, and a response log.

도 2에는 본 발명에 의한 사후 감사 제어 방법의 순서도가 도시되어 있다.2 is a flowchart of a post audit control method according to the present invention.

사용자 단말기(10)를 통해 사용자가 서비스 제공 서버(80)로의 서비스 이용 요청시 사후 감사 제어 장치(90)는 접근제어 관리부(50)의 서비스 정보부(52)에 정의된 서비스 형태 정보와 포트 정보에 기초하여 서비스 패킷을 필터링한다.(200) 다음으로 단계(205)에서 송신자와 수신자 정보를 분석하고, 단계(210)에서 서비스 제공 서버(80)가 본 발명에 의한 사후 감시 제어 방법이 적용되는 관리대상 시스템인지 여부를 확인한다. 이 확인은 접근제어 관리부(50)의 서비스 정보부(52)에 등록된 서비스 제공 서버인지 여부를 확인함으로써 수행된다. 서비스 제공 서버(80)가 관리대상 서버가 아닌 경우에는 수신자에게 바이패스시키고(215), 관리대상 서버인 경우에는 접근제어 판단을 수행한다(220). 접근제어 판단은, 접근제어 관리부(50)의 접근제어 정책부(53)를 참조하여 수행된다. 접속 정보 데이터는 감사로그 관리부(60)의 접속정보부(61)에 저장된다.When the user requests to use the service to the service providing server 80 through the user terminal 10, the post audit control device 90 is based on the service type information and port information defined in the service information unit 52 of the access control management unit 50. The service packet is filtered based on 200. Next, in step 205, the sender and the receiver information are analyzed, and in step 210, the service providing server 80 applies the post-monitoring control method according to the present invention. Check whether it is the target system. This confirmation is performed by checking whether or not it is a service providing server registered in the service information unit 52 of the access control management unit 50. If the service providing server 80 is not the management target server, the service is bypassed to the receiver (215), and in the case of the management target server, the access control determination is performed (220). The access control determination is performed by referring to the access control policy unit 53 of the access control management unit 50. The connection information data is stored in the connection information unit 61 of the audit log management unit 60.

접근제어 판단 결과, 접근이 허용되는 경우에는 서비스 정보부(52)의 정보를 이용하여 서비스에 적용된 프로토콜에 따라서 패킷을 분석한다(230). 패킷 분석에 의해서 추출되는 감사데이터 예를 들어, 서비스 접속 정보, 사용자 로그, 서비스 제공 서버의 서버 로그 등을 감사로그 관리부(60)의 감사로그부(62)에 저장한다. 다음으로, 단계(240)으로 이행하여 해당 패킷을 수신자에게 전송하여 사용자 단말기(10)와 서비스 제공 서버(80)간의 통신을 제공한다.As a result of the access control determination, when access is allowed, the packet is analyzed according to the protocol applied to the service by using the information of the service information unit 52 (230). Audit data extracted by packet analysis, for example, service access information, a user log, a server log of a service providing server, and the like are stored in the audit log unit 62 of the audit log manager 60. Next, the process proceeds to step 240 and transmits the packet to the receiver to provide communication between the user terminal 10 and the service providing server 80.

도 3에는 본 발명에 의한 사후 감사 제어 방법을 윈도우 원격제어서비스(Remote Desktop Protocol; RDP)에 적용하는 실시예의 순서도가 도시되어 있다.3 is a flowchart of an embodiment in which the post audit control method according to the present invention is applied to a Windows Remote Desktop Protocol (RDP).

윈도우 원격제어 서비스 요청이 있으면, 서비스 정보부(52)를 참조하여 서비스 패킷을 필터링하고(300), 송신자와 수신자 정보를 분석한다(305). 패킷이 사용자 패킷인 경우와 서버 패킷인 경우로 나누어서 설명한다.If there is a window remote control service request, the service packet is filtered with reference to the service information unit 52 (300), and the sender and receiver information is analyzed (305). The packet is divided into a case of a user packet and a case of a server packet.

[패킷이 사용자 패킷인 경우][Packet is user packet]

이 경우 먼저 패킷의 수신자 네트워크 정보를 참조하여 본 발명에 의한 사후 감사 제어 방법이 적용되는 관리대상 서버인지 여부를 확인한다(310). 이 확인은 접근제어 관리부(50)의 대상서버 정보부(51)를 참조하여 수행된다. 관리대상 서버가 아닌 경우에는 패킷을 서버로 전송한다(350). 관리대상 서버인 경우에는 접근제어 정책부(53)를 참조하여 접근제어 여부를 결정한다(320). 접속 정보와 사용자 정보는 접속 정보부(61)에 저장된다.In this case, it is first checked whether the management target server to which the post-audit control method according to the present invention is applied is referred to the receiver network information of the packet (310). This confirmation is performed with reference to the target server information unit 51 of the access control management unit 50. If it is not the management target server transmits the packet to the server (350). In the case of the management target server, the access control policy unit 53 determines whether to access control (320). The connection information and the user information are stored in the connection information unit 61.

접근이 승인되는 경우에는 서비스 형태를 확인하고(330), 사용자 패킷을 분석한다(335). 사용자 패킷을 분석하여 추출되는 사용자 감사 데이터를 감사로그 관리부(62)에 저장한다. 사용자 감사 데이터는 사용자 정보, 서비스 정보, 사용자 로그 등을 포함한다. 그리고 단계(345)에서 사용자 패킷을 재조합하고, 패킷이 전송될 수신자인 서버로 패킷을 전송한다(350).If the access is granted, the service type is checked (330), and the user packet is analyzed (335). The user audit data extracted by analyzing the user packet is stored in the audit log manager 62. User audit data includes user information, service information, user logs, and the like. In step 345, the user packet is reassembled, and the packet is transmitted to the server which is the receiver of the packet (350).

[패킷이 서버 패킷인 경우]If the packet is a server packet

단계(355)에서 서비스 형태를 확인하고 서비스 정보를 접속정보부(61)에 저장한다. 다음으로 서버 패킷을 분석하고(360), 추출된 서버 감사 데이터를 감사로그 관리부(62)에 저장한다(365). 그리고 서버 패킷을 재조합하여(370), 클라이언트(사용자 단말기)로 전송한다(375).In step 355, the service type is confirmed, and the service information is stored in the access information unit 61. Next, the server packet is analyzed (360) and the extracted server audit data is stored in the audit log manager 62 (365). The server packet is recombined (370) and transmitted to the client (user terminal) (375).

이상 첨부 도면을 참고하여 본 발명에 대해서 설명하였지만 본 발명의 권리범위는 후술하는 특허청구범위에 의해 결정되며 전술한 실시예 및/또는 도면에 제한되는 것으로 해석되어서는 아니된다. 그리고 특허청구범위에 기재된 발명의, 당업자에게 자명한 개량, 변경 및 수정도 본 발명의 권리범위에 포함된다는 점이 명백하게 이해되어야 한다.
While the invention has been described above with reference to the accompanying drawings, the scope of the invention is determined by the claims that follow, and should not be construed as limited to the embodiments and / or drawings described above. It is to be expressly understood that improvements, changes and modifications that are obvious to those skilled in the art are also within the scope of the present invention as set forth in the claims.

10: 사용자 단말기
20: 통신 인터페이스
80: 서비스 제공 서버
90" 사후 감사 제어 장치
10: User terminal
20: communication interface
80: service delivery server
90 "post audit control unit

Claims (1)

사용자 단말기와, 서비스 제공 서버와, 상기 사용자 단말기 및 서비스 제공 서버와 통신이 가능한 사후 감사 제어 장치를 포함하는 환경에서 상기 사후 감사 제어 장치가 수행하는 사후 감사 제어 방법에 있어서,
상기 사용자 단말기 또는 상기 서비스 제공 서버로부터의 패킷을 필터링하는 제1 단계와,
상기 필터링된 패킷으로부터 송신자와 수신자 정보를 분석하는 제2 단계와,
상기 서비스 제공 서버가 관리 대상 서버인지 여부를 판단하는 제3 단계와,
상기 제3 단계에서 서비스 제공 서버가 관리 대상 서버인 경우 미리 결정되어 있는 접근 제어 정책에 따라 접근 제어를 판단하는 제4 단계와,
상기 제4 단계에서 접근 가능한 것으로 판단되면 서비스 프로토콜에 따라 패킷을 분석하는 제5 단계와,
상기 분석된 패킷으로부터 서비스 접속 정보, 사용자 로그 및 서비스 제공 서버 로그를 포함하는 감사 데이터를 추출하여 저장하는 제6 단계와,
상기 패킷을 수신자에게 전송하는 제7 단계를 포함하는,
사후 감사 제어 방법.
A post audit control method performed by a post audit control device in an environment including a user terminal, a service providing server, and a post audit control device capable of communicating with the user terminal and a service providing server,
A first step of filtering a packet from the user terminal or the service providing server;
Analyzing sender and receiver information from the filtered packet;
Determining whether the service providing server is a server to be managed;
A fourth step of determining access control according to a predetermined access control policy when the service providing server is a management target server in the third step;
A fifth step of analyzing a packet according to a service protocol if it is determined that the access is possible in the fourth step;
A sixth step of extracting and storing audit data including service access information, a user log, and a service providing server log from the analyzed packet;
A seventh step of transmitting the packet to a receiver;
Post audit control method.
KR1020130085069A 2013-07-19 2013-07-19 Control method for posterior auditing of computer network KR101315686B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130085069A KR101315686B1 (en) 2013-07-19 2013-07-19 Control method for posterior auditing of computer network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130085069A KR101315686B1 (en) 2013-07-19 2013-07-19 Control method for posterior auditing of computer network

Publications (1)

Publication Number Publication Date
KR101315686B1 true KR101315686B1 (en) 2013-10-08

Family

ID=49637908

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130085069A KR101315686B1 (en) 2013-07-19 2013-07-19 Control method for posterior auditing of computer network

Country Status (1)

Country Link
KR (1) KR101315686B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105357166A (en) * 2014-08-18 2016-02-24 中国移动通信集团公司 Next-generation firewall system and packet detection method thereof
CN108629557A (en) * 2018-03-22 2018-10-09 平安信托有限责任公司 Business witnesses method, apparatus, computer equipment and storage medium

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000072707A (en) * 2000-09-20 2000-12-05 홍기융 The Method of Intrusion Detection and Automatical Hacking Prevention
KR20070050727A (en) * 2005-11-12 2007-05-16 한국전자통신연구원 Method for blocking network attacks using the information in packet and apparatus thereof
KR101186873B1 (en) 2011-12-16 2012-10-02 주식회사 정보보호기술 Wireless intrusion protecting system based on signature
KR101282297B1 (en) 2012-03-20 2013-07-10 박상현 The apparatus and method of unity security with transaction pattern analysis and monitoring in network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000072707A (en) * 2000-09-20 2000-12-05 홍기융 The Method of Intrusion Detection and Automatical Hacking Prevention
KR20070050727A (en) * 2005-11-12 2007-05-16 한국전자통신연구원 Method for blocking network attacks using the information in packet and apparatus thereof
KR101186873B1 (en) 2011-12-16 2012-10-02 주식회사 정보보호기술 Wireless intrusion protecting system based on signature
KR101282297B1 (en) 2012-03-20 2013-07-10 박상현 The apparatus and method of unity security with transaction pattern analysis and monitoring in network

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105357166A (en) * 2014-08-18 2016-02-24 中国移动通信集团公司 Next-generation firewall system and packet detection method thereof
CN108629557A (en) * 2018-03-22 2018-10-09 平安信托有限责任公司 Business witnesses method, apparatus, computer equipment and storage medium

Similar Documents

Publication Publication Date Title
US10609046B2 (en) Unwanted tunneling alert system
US9875353B2 (en) Log information generation apparatus and recording medium, and log information extraction apparatus and recording medium
US20160149863A1 (en) Method and system for managing a host-based firewall
US20120216133A1 (en) Secure cloud computing system and method
US10218717B1 (en) System and method for detecting a malicious activity in a computing environment
WO2016048418A1 (en) Proxy servers within computer subnetworks
US9059987B1 (en) Methods and systems of using single sign-on for identification for a web server not integrated with an enterprise network
CN107370719B (en) Abnormal login identification method, device and system
CN110225031B (en) Dynamic permission vulnerability detection method, system and device and readable storage medium
EP2810405B1 (en) Determination of spoofing of a unique machine identifier
US10305913B2 (en) Authentication control device and authentication control method
JP6277494B2 (en) Application control system and application control method
US10728267B2 (en) Security system using transaction information collected from web application server or web server
JP2019536158A (en) Method and system for verifying whether detection result is valid or not
US9965624B2 (en) Log analysis device, unauthorized access auditing system, computer readable medium storing log analysis program, and log analysis method
KR102354058B1 (en) Method for monitoring server, apparatus and system for executing the method
CN111371889B (en) Message processing method and device, internet of things system and storage medium
KR101315686B1 (en) Control method for posterior auditing of computer network
KR101395830B1 (en) Session checking system via proxy and checkhing method thereof
CN110839027B (en) User authentication method, device, proxy server and network service system
KR101641306B1 (en) Apparatus and method of monitoring server
CN113709136B (en) Access request verification method and device
CN113194088B (en) Access interception method, device, log server and computer readable storage medium
US8949979B1 (en) Protecting local users from remote applications
KR101394542B1 (en) System and method for collection and management of ssl/tls domain name

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20171010

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180921

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190930

Year of fee payment: 7