TOTAL SECURITY SYSTEM IN ADVANCED PERSISTENT THREAT

TOTAL SECURITY SYSTEM IN ADVANCED PERSISTENT THREAT

The present invention provides a security system which can control harmful sites, block malware, enhance security of administrator mode access, and tighten control over non-network use. To this end, a security system according to an embodiment of the present invention, in a security system including...

Ausführliche Beschreibung

Gespeichert in:
Bibliographische Detailangaben
Hauptverfasser: JOUN, SUG GY, SO, JUN YOUNG
Format: Patent
Sprache:eng ; kor
Schlagworte:
ELECTRIC COMMUNICATION TECHNIQUE
ELECTRICITY
TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHICCOMMUNICATION
Online-Zugang:Volltext bestellen
Tags: Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
Beschreibung
Zusammenfassung:The present invention provides a security system which can control harmful sites, block malware, enhance security of administrator mode access, and tighten control over non-network use. To this end, a security system according to an embodiment of the present invention, in a security system including a server, a user terminal, and a security device performing security tasks between the server and the user terminal, includes: a log collection unit for collecting blocking log information of the security device; an IP collection unit for collecting Internet protocols (IP) of system users and extracting and collecting IPs of actual users; a first determination unit for determining whether the number of times of generating the blocking log information for each IP of the IP collection unit exceeds a first threshold value and extracting a corresponding log and a corresponding IP (monitored IP); a monitoring unit for monitoring whether the user terminal communicates with the monitored IP; a second determination unit for primarily determining existence of malware; a third determination unit for finally determining existence of malware; a malware monitoring server for determining existence of malware by comparing malware of the blocking log with a malware database stored in advance; and a mirroring database unit for storing information on a related IP to which the malware is applied, a file downloaded by the user terminal, and a URL thereof as a mirroring data. Through the configuration as described above, a more systematic security system can be constructed by detecting an IP of each user using an NAT IP and a router IP that have not been used in existing security equipment. 본 발명은 유해 사이트를 통제하고, 악성 소프트웨어를 차단하고, 관리자 모드 접근에 대한 보안을 강화하며 네트워크 외 사용에 대한 통제를 강화할 수 있는 보안 시스템을 제공하고자 한다. 이를 위해 본 발명의 실시예에 따른 보안 시스템은, 서버와 사용자 단말 및 상기 서버와 사용자 단말 사이에서 보안을 수행하는 보안 장치를 포함하는 보안 시스템에 있어서, 서버는, 보안 장치의 차단 로그 정보를 수집하는 로그 수집부, 시스템 사용자의 인터넷 프로토콜(IP)을 수집하고 통신망 주소 변환기(NAT)를 통해 변환된 IP에서 실제 사용자 IP를 추출하여 수집하는 IP 수집부, 차단 로그 정보의 IP 수집부의 IP별 발생 횟수가 소정의 임계값인 제1 임계값을 초과하는지 판단하고 해당 로그 및 해당 IP(감시 IP)를 추출하는 제1 판단부, 제1 판단부가 제1 임계값을 초과하는 것으로 판단한 경우 상기 사용자 단말이 상기 감시 IP와 통신하는지 여부를 감지하는 감시부, 감시부를 통해 감시 IP와 사용자 단말이 통신하는 경우 차단 로그의 악성소프트웨어(MalWare)의 해쉬(hash)값을 기준 해쉬값과 비교한 후 1차적 악성소프트웨어 여부를 판단하는 제2 판단부, 제2 판단부를 통해 1차적 악성소프트웨어라고 판단한 경우에는 사용자 단말이 다운로드한 파일 및 URL을 기초로 최종적으로 악성소프트웨어 여부를 판단하는 제3 판단부, 제2 판단부를 통해 1차적 악성소프트웨어가 아니라고 판단된 경우에는 차단 로그의 악성소프트웨어를 기저장된 악성소프트웨어 데이터베이스와 비교하여 판단하는 악성소프트웨어 감시 서버, 제3 판단부 및 악성소프트웨어 감