[go: up one dir, main page]

KR102430988B1 - 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법, 장치 및 시스템 - Google Patents

인공지능 기반 호스트 방화벽의 정책 설정 제어 방법, 장치 및 시스템 Download PDF

Info

Publication number
KR102430988B1
KR102430988B1 KR1020220017343A KR20220017343A KR102430988B1 KR 102430988 B1 KR102430988 B1 KR 102430988B1 KR 1020220017343 A KR1020220017343 A KR 1020220017343A KR 20220017343 A KR20220017343 A KR 20220017343A KR 102430988 B1 KR102430988 B1 KR 102430988B1
Authority
KR
South Korea
Prior art keywords
server
policy
firewall
list
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020220017343A
Other languages
English (en)
Inventor
김동일
이건우
최인범
Original Assignee
(주)제너럴데이타
김동일
이건우
최인범
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)제너럴데이타, 김동일, 이건우, 최인범 filed Critical (주)제너럴데이타
Priority to KR1020220017343A priority Critical patent/KR102430988B1/ko
Application granted granted Critical
Publication of KR102430988B1 publication Critical patent/KR102430988B1/ko
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Biomedical Technology (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Health & Medical Sciences (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

일실시예에 따르면, 중앙 서버에 의해 수행되는, 인공지능을 기반으로 호스트 방화벽의 정책 설정을 제어하는 방법에 있어서, 상기 중앙 서버와 내부망을 통해 연결된 복수의 서버 중 어느 하나인 제1 서버로부터, 상기 제1 서버의 운영체제 정보 및 상기 제1 서버의 네트워크 설정 정보를 수신하는 단계; 상기 제1 서버의 운영체제 정보 및 상기 제1 서버의 네트워크 설정 정보를 기초로, 상기 제1 서버의 네트워크 연결 상태를 분석하는 단계; 상기 제1 서버의 네트워크 연결 상태에 대한 분석 결과를 상기 중앙 서버 내의 제1 인공 신경망에 적용하여, 상기 제1 인공 신경망의 출력을 기초로, 상기 제1 서버에게 적합한 방화벽 정책을 선정하는 단계; 상기 제1 서버에게 적합한 방화벽 정책으로 제1 정책이 선정되면, 상기 제1 서버의 방화벽 정책에 상기 제1 정책이 포함되어 있는지 여부를 확인하는 단계; 상기 제1 서버의 방화벽 정책에 상기 제1 정책이 포함되어 있지 않은 것으로 확인되면, 상기 제1 서버의 방화벽 정책에 상기 제1 정책을 추가하여 등록하는 단계; 및 상기 제1 서버의 방화벽 정책에 상기 제1 정책이 추가로 등록되면, 상기 제1 서버의 방화벽 정책에 대한 설정 변경 명령을 상기 제1 서버로 전송하여, 상기 제1 정책이 상기 제1 서버의 방화벽 정책으로 설정되도록 제어하는 단계를 포함하는, 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법이 제공된다.

Description

인공지능 기반 호스트 방화벽의 정책 설정 제어 방법, 장치 및 시스템 {METHOD, DEVICE AND SYSTEM FOR CONTROLLING POLICY SETTING OF HOST FIREWALL BASED ON ARTIFICIAL INTELLIGENCE}
아래 실시예들은 인공지능을 기반으로 호스트 방화벽의 정책 설정을 제어하기 위한 기술에 관한 것이다.
방화벽은 네트워크 방화벽, 호스트 방화벽으로 구분될 수 있으며, 보통 대다수 기업들이 사용하는 것은 네트워크 방화벽이다. 네트워크 방화벽은 메인 스위치 상단에 메인 방화벽을 구성하여, 네트워크 게이트웨이 방식 또는 브릿지 방식으로 구성될 수 있다. 즉, 방화벽 장비를 기준으로 내부망과 외부망이 구분되어 관리될 수 있다.
네트워크 방화벽을 사용하는데 있어, 네트워크 방화벽을 기준으로 내부망에는 복수의 서버들이 내부망을 통해 연결될 수 있으며, 내부망을 통해 연결되어 있는 복수의 서버 간의 통신은 방화벽을 거치지 않으므로, 별도로 차단되지 않는 상태이다. 이에 따라, 내부망을 통해 연결되어 있는 복수의 서버 간의 통신에 대한 방화벽을 위해서는 호스트 방화벽의 구성이 필요하다.
일반적인 호스트 방화벽은 각 운영체제에서 로컬 PC 또는 서버로 접속하여 개별 설정을 진행해야만 하며, 호스트 방화벽의 구성은 각 운영체제에서 제공하는 방화벽 기능을 통해 설정되기 때문에, 통합 관리가 불가능하여 관리가 어려운 문제가 있다. 이에 따라, 네트워크 방화벽과 동일하게 하나의 방화벽 매니저를 통하여 관리를 진행하고자 하는 요구가 증대되고 있으며, 능동적인 정책 구성이 필요한 상황이다.
또한, 운영하는 복수의 서버가 수백대인 경우, 일일이 수백대의 방화벽 정책을 관리하기는 불가능하며, 방화벽 정책을 적용하기 위해서는 방화벽에 대한 기술을 습득하여야만 방화벽의 구성이 가능하다. 예를 들어, 리눅스 또는 유닉스의 경우, 서버 방화벽을 구성하기 위한 명령어의 구조가 복잡하여, 전문 지식을 습득한 고급 엔지니어만 방화벽의 구성이 가능할 수 있다. 이에 따라, 서버 개별로 정책 관리가 불가능하여 운영체제의 방화벽을 제거 또는 서비스를 정지하여 운영하고 있는 상황이다.
또한, 일반적으로 IDC 데이터 센터의 단독서버 임대 또는 코로케이션 서버를 관리하는 중소업체는 전문적인 방화벽 지식을 습득하지 못한 경우, 무방비로 관리되고 있는 상황이다. IDC 데이터 센터는 모든 고객의 방화벽 정책 관리가 불가능하며, 고객은 전문 지식을 습득한 인력을 보유하고 있지 않아, 랜섬웨어, 해커 등의 공격으로 좀비 서버가 되어 DDOS 공격의 좀비 서버로 활용되어도 능동적으로 대응할 수 없는 상황이다. 이외에도, 대량의 내부 불필요한 트래픽의 차단이 안되어 네트워크 장비에 과다한 리소스가 사용되고 있는 문제가 있다.
따라서, 상술한 문제점을 해결하고, 호스트 방화벽을 능동적이고 편리하게 설정하여, 통합 호스트 방화벽 매니저 서비스를 제공하고자 하는 요구가 증대되고 있어, 이와 관련된 기술에 대한 연구가 요구된다.
한국등록특허 제10-2333028호 한국등록특허 제10-2312019호 한국등록특허 제10-2280774호 한국등록특허 제10-1415850호
일실시예에 따르면, 서버의 네트워크 연결 상태에 따라 서버에게 적합한 방화벽 정책을 선정하여, 선정된 정책을 서버의 방화벽 정책으로 설정하는, 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법, 장치 및 시스템을 제공하기 위한 것을 그 목적으로 한다.
본 발명의 목적은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 명확하게 이해될 수 있을 것이다.
일실시예에 따르면, 중앙 서버에 의해 수행되는, 인공지능을 기반으로 호스트 방화벽의 정책 설정을 제어하는 방법에 있어서, 상기 중앙 서버와 내부망을 통해 연결된 복수의 서버 중 어느 하나인 제1 서버로부터, 상기 제1 서버의 운영체제 정보 및 상기 제1 서버의 네트워크 설정 정보를 수신하는 단계; 상기 제1 서버의 운영체제 정보 및 상기 제1 서버의 네트워크 설정 정보를 기초로, 상기 제1 서버의 네트워크 연결 상태를 분석하는 단계; 상기 제1 서버의 네트워크 연결 상태에 대한 분석 결과를 상기 중앙 서버 내의 제1 인공 신경망에 적용하여, 상기 제1 인공 신경망의 출력을 기초로, 상기 제1 서버에게 적합한 방화벽 정책을 선정하는 단계; 상기 제1 서버에게 적합한 방화벽 정책으로 제1 정책이 선정되면, 상기 제1 서버의 방화벽 정책에 상기 제1 정책이 포함되어 있는지 여부를 확인하는 단계; 상기 제1 서버의 방화벽 정책에 상기 제1 정책이 포함되어 있지 않은 것으로 확인되면, 상기 제1 서버의 방화벽 정책에 상기 제1 정책을 추가하여 등록하는 단계; 및 상기 제1 서버의 방화벽 정책에 상기 제1 정책이 추가로 등록되면, 상기 제1 서버의 방화벽 정책에 대한 설정 변경 명령을 상기 제1 서버로 전송하여, 상기 제1 정책이 상기 제1 서버의 방화벽 정책으로 설정되도록 제어하는 단계를 포함하는, 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법이 제공된다.
상기 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법은, 상기 제1 정책이 상기 제1 서버의 방화벽 정책으로 설정되도록 제어하는 단계 이후, 상기 복수의 서버 중 제1 운영체제의 환경으로 운영되는 서버들을 제1 그룹으로 분류하는 단계; 상기 제1 그룹으로 분류된 서버 중 제1 포트로 연결되어 통신을 수행하는 서버들을 제1-1 그룹으로 분류하는 단계; 상기 제1 서버 및 제2 서버가 상기 제1-1 그룹으로 분류된 경우, 상기 제2 서버의 방화벽 정책에 상기 제1 정책이 포함되어 있는지 여부를 확인하는 단계; 상기 제2 서버의 방화벽 정책에 상기 제1 정책이 포함되어 있지 않은 것으로 확인되면, 상기 제2 서버의 방화벽 정책에 상기 제1 정책을 추가하여 등록하는 단계; 및 상기 제2 서버의 방화벽 정책에 상기 제1 정책이 추가로 등록되면, 상기 제2 서버의 방화벽 정책에 대한 설정 변경 명령을 상기 제2 서버로 전송하여, 상기 제1 정책이 상기 제2 서버의 방화벽 정책으로 설정되도록 제어하는 단계를 더 포함할 수 있다.
상기 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법은, 상기 제1 정책이 상기 제1 서버의 방화벽 정책으로 설정되도록 제어하는 단계 이후, 상기 제1 서버로부터 상기 제1 서버의 네트워크 트래픽에 대한 모니터링 정보를 수신하는 단계; 상기 제1 서버의 네트워크 트래픽에 대한 모니터링 정보를 상기 중앙 서버 내의 제2 인공 신경망에 적용하여, 상기 제2 인공 신경망의 출력을 기초로, 상기 제1 서버에 공격으로 추정되는 접근이 감지되었는지 여부를 검출하는 단계; 미리 설정된 기준 기간 동안 상기 제1 서버에 공격으로 추정되는 접근이 몇 번 감지되었는지 확인하여, 상기 제1 서버가 상기 기준 기간 동안 공격받은 횟수인 제1 공격 횟수를 산출하는 단계; 상기 제1 공격 횟수가 미리 설정된 제1 기준 횟수 보다 적은지 여부를 확인하는 단계; 상기 제1 공격 횟수가 상기 제1 기준 횟수 보다 적은 것으로 확인되면, 상기 제1 서버의 상태를 정상 상태로 판단하는 단계; 상기 제1 공격 횟수가 상기 제1 기준 횟수 보다 많은 것으로 확인되면, 상기 제1 공격 횟수가 미리 설정된 제2 기준 횟수 보다 적은지 여부를 확인하는 단계; 상기 제1 공격 횟수가 상기 제2 기준 횟수 보다 적은 것으로 확인되면, 상기 제1 서버의 상태를 경고 상태로 판단하는 단계; 상기 제1 공격 횟수가 상기 제2 기준 횟수 보다 많은 것으로 확인되면, 상기 제1 서버의 상태를 위험 상태로 판단하는 단계; 상기 제1 서버의 상태가 경고 상태로 판단되면, 상기 제1 서버의 공격을 경고하는 알림 메시지를 상기 제1 서버의 관리자로 등록되어 있는 제1 관리자 단말로 전송하는 단계; 및 상기 제1 서버의 상태가 위험 상태로 판단되면, 상기 제1 정책을 통해 연결이 허용되어 있는 제1 포트의 연결 차단 명령을 상기 제1 서버로 전송하여, 상기 제1 서버에서 상기 제1 포트를 통한 연결이 차단되도록 제어하는 단계를 더 포함할 수 있다.
상기 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법은, 상기 제1 정책이 상기 제1 서버의 방화벽 정책으로 설정되도록 제어하는 단계 이후, 상기 제1 서버의 방화벽 정책에 상기 제1 정책 및 제2 정책이 등록되어 있는 경우, 상기 제1 정책을 통해 연결이 허용되어 있는 IP 주소의 리스트인 제1 리스트와 상기 제2 정책을 통해 연결이 허용되어 있는 IP 주소의 리스트인 제2 리스트를 확인하는 단계; 상기 제1 리스트 및 상기 제2 리스트를 비교한 결과, 상기 제1 리스트가 상기 제2 리스트 보다 허용 범위가 넓은 것으로 확인되면, 상기 제1 정책의 우선순위를 1순위로 설정하고, 상기 제2 정책의 우선순위를 2순위로 설정하는 단계; 상기 제1 리스트 및 상기 제2 리스트를 비교한 결과, 상기 제1 리스트가 상기 제2 리스트 보다 허용 범위가 좁은 것으로 확인되면, 상기 제1 정책의 우선순위를 2순위로 설정하고, 상기 제2 정책의 우선순위를 1순위로 설정하는 단계; 상기 제1 리스트 및 상기 제2 리스트를 비교한 결과, 상기 제1 리스트 및 상기 제2 리스트의 허용 범위가 동일한 것으로 확인되면, 상기 제1 정책을 통해 연결이 차단되어 있는 IP 주소의 리스트인 제3 리스트와 상기 제2 정책을 통해 연결이 차단되어 있는 IP 주소의 리스트인 제4 리스트를 확인하는 단계; 상기 제3 리스트 및 상기 제4 리스트를 비교한 결과, 상기 제3 리스트가 상기 제4 리스트 보다 차단 범위가 좁은 것으로 확인되면, 상기 제1 정책의 우선순위를 1순위로 설정하고, 상기 제2 정책의 우선순위를 2순위로 설정하는 단계; 및 상기 제3 리스트 및 상기 제4 리스트를 비교한 결과, 상기 제3 리스트가 상기 제4 리스트 보다 차단 범위가 넓은 것으로 확인되면, 상기 제1 정책의 우선순위를 2순위로 설정하고, 상기 제2 정책의 우선순위를 1순위로 설정하는 단계를 더 포함할 수 있다.
다른 실시예에 따르면, 제1 서버에 설치된 제1 에이전트에 의해 수행되는, 인공지능을 기반으로 호스트 방화벽의 정책 설정을 제어하는 방법에 있어서, 상기 제1 서버의 운영체제 정보 및 상기 제1 서버의 네트워크 설정 정보를 획득하는 단계; 상기 제1 서버의 운영체제 정보 및 상기 제1 서버의 네트워크 설정 정보를 기초로, 상기 제1 서버의 네트워크 연결 상태를 분석하는 단계; 상기 제1 서버의 네트워크 연결 상태에 대한 분석 결과를 상기 제1 서버 내의 제1 인공 신경망에 적용하여, 상기 제1 인공 신경망의 출력을 기초로, 상기 제1 서버에게 적합한 방화벽 정책을 선정하는 단계; 상기 제1 서버에게 적합한 방화벽 정책으로 제1 정책이 선정되면, 상기 제1 서버의 방화벽 정책에 상기 제1 정책이 포함되어 있는지 여부를 확인하는 단계; 상기 제1 서버의 방화벽 정책에 상기 제1 정책이 포함되어 있지 않은 것으로 확인되면, 상기 제1 서버의 방화벽 정책에 상기 제1 정책을 추가하여 설정하는 단계; 및 상기 제1 서버의 방화벽 정책에 상기 제1 정책이 추가로 등록되면, 상기 제1 서버의 방화벽 정책에 대한 설정 변경 알림 메시지를 중앙 서버로 전송하는 단계를 포함하는, 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법이 제공된다.
일실시예에 따르면, 인공지능을 기반으로 호스트 방화벽의 정책 설정을 제어함으로써, 호스트 방화벽을 능동적이고 편리하게 설정하여, 통합 호스트 방화벽 매니저 서비스를 제공할 수 있는 효과가 있다.
한편, 실시예들에 따른 효과들은 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 해당 기술 분야의 통상의 지식을 가진 자에게 명확히 이해될 수 있을 것이다.
도 1은 일실시예에 따른 시스템의 구성을 개략적으로 나타낸 도면이다.
도 2는 일실시예에 따른 중앙 서버에 의해 수행되는, 인공지능을 기반으로 호스트 방화벽의 정책 설정을 제어하는 과정을 설명하기 위한 순서도이다.
도 3은 일실시예에 따른 제1 서버에 설치된 제1 에이전트에 의해 수행되는, 인공지능을 기반으로 호스트 방화벽의 정책 설정을 제어하는 과정을 설명하기 위한 순서도이다.
도 4는 일실시예에 따른 서버 별로 연동하여 방화벽 정책을 설정하는 과정을 설명하기 위한 순서도이다.
도 5는 일실시예에 따른 공격으로 추정되는 접근을 감지하여, 공격 횟수에 따라 대응 방안을 제공하는 과정을 설명하기 위한 순서도이다.
도 6은 일실시예에 따른 IP 주소 허용 범위에 따라 방화벽 정책의 우선순위를 설정하는 과정을 설명하기 위한 순서도이다.
도 7은 일실시예에 따른 IP 주소 차단 범위에 따라 방화벽 정책의 우선순위를 설정하는 과정을 설명하기 위한 순서도이다.
도 8은 일실시예에 따른 제1 인공 신경망의 학습을 설명하기 위한 도면이다.
도 9는 일실시예에 따른 제2 인공 신경망의 학습을 설명하기 위한 도면이다.
도 10은 일실시예에 따른 장치의 구성의 예시도이다.
이하에서, 첨부된 도면을 참조하여 실시예들을 상세하게 설명한다. 그러나, 실시예들에는 다양한 변경이 가해질 수 있어서 특허출원의 권리 범위가 이러한 실시예들에 의해 제한되거나 한정되는 것은 아니다. 실시예들에 대한 모든 변경, 균등물 내지 대체물이 권리 범위에 포함되는 것으로 이해되어야 한다.
실시예들에 대한 특정한 구조적 또는 기능적 설명들은 단지 예시를 위한 목적으로 개시된 것으로서, 다양한 형태로 변경되어 실시될 수 있다. 따라서, 실시예들은 특정한 개시형태로 한정되는 것이 아니며, 본 명세서의 범위는 기술적 사상에 포함되는 변경, 균등물, 또는 대체물을 포함한다.
제1 또는 제2 등의 용어를 다양한 구성요소들을 설명하는데 사용될 수 있지만, 이런 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 해석되어야 한다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소는 제1 구성요소로도 명명될 수 있다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다.
실시예에서 사용한 용어는 단지 설명을 목적으로 사용된 것으로, 한정하려는 의도로 해석되어서는 안된다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
또한, 첨부 도면을 참조하여 설명함에 있어, 도면 부호에 관계없이 동일한 구성 요소는 동일한 참조부호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 실시예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 실시예의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
실시예들은 퍼스널 컴퓨터, 랩톱 컴퓨터, 태블릿 컴퓨터, 스마트 폰, 텔레비전, 스마트 가전 기기, 지능형 자동차, 키오스크, 웨어러블 장치 등 다양한 형태의 제품으로 구현될 수 있다.
인공지능(Artificial Intelligence, AI) 시스템은 인간 수준의 지능을 구현하는 컴퓨터 시스템이며, 기존 규칙(Rule) 기반의 스마트 시스템과 달리 기계가 스스로 학습하고 판단하는 시스템이다. 인공지능 시스템은 사용할수록 인식률이 향상되고 사용자 취향을 보다 정확하게 이해할 수 있게 되어, 기존 규칙 기반의 스마트 시스템은 점차 심층 학습(Deep Learning) 기반 인공지능 시스템으로 대체되고 있다.
인공지능 기술은 기계 학습 및 기계 학습을 활용한 요소기술들로 구성된다. 기계 학습은 입력 데이터들의 특징을 스스로 분류/학습하는 알고리즘 기술이며, 요소기술은 심층 학습 등의 기계 학습 알고리즘을 활용하여 인간 두뇌의 인지, 판단 등의 기능을 모사하는 기술로서, 언어적 이해, 시각적 이해, 추론/예측, 지식 표현, 동작 제어 등의 기술 분야로 구성된다.
인공지능 기술이 응용되는 다양한 분야는 다음과 같다. 언어적 이해는 인간의 언어/문자를 인식하고 응용/처리하는 기술로서, 자연어 처리, 기계 번역, 대화시스템, 질의 응답, 음성 인식/합성 등을 포함한다. 시각적 이해는 사물을 인간의 시각처럼 인식하여 처리하는 기술로서, 객체 인식, 객체 추적, 영상 검색, 사람 인식, 장면 이해, 공간 이해, 영상 개선 등을 포함한다. 추론 예측은 정보를 판단하여 논리적으로 추론하고 예측하는 기술로서, 지식/확률 기반 추론, 최적화 예측, 선호 기반 계획, 추천 등을 포함한다. 지식 표현은 인간의 경험정보를 지식데이터로 자동화 처리하는 기술로서, 지식 구축(데이터 생성/분류), 지식 관리(데이터 활용) 등을 포함한다. 동작 제어는 차량의 자율 주행, 로봇의 움직임을 제어하는 기술로서, 움직임 제어(항법, 충돌, 주행), 조작 제어(행동 제어) 등을 포함한다.
일반적으로 기계 학습 알고리즘을 실생활에 적용하기 위해서는 기계 학습의 기본 방법론의 특성상 Trial and Error 방식으로 학습을 수행하게 된다. 특히, 심층 학습의 경우 수십만 번의 반복 실행을 필요로 한다. 이를 실제 물리적인 외부 환경에서 실행하기는 불가능하여 대신 실제 물리적인 외부 환경을 컴퓨터상에서 가상으로 구현하여 시뮬레이션을 통해 학습을 수행한다.
도 1은 일실시예에 따른 시스템의 구성을 개략적으로 나타낸 도면이다.
도 1을 참조하면, 일실시예에 따른 시스템은 복수의 서버(100) 및 중앙 서버(200)를 포함할 수 있다. 도 1에 도시된 바와 같이, 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법은 복수의 서버(100) 및 중앙 서버(200)를 포함하는 시스템에서 수행될 수 있다. 여기서, 시스템은 복수의 단독 서버 또는 클라우드 서버가 운영되는 분산 환경으로 구현될 수 있다.
복수의 서버(100)는 제1 서버(110), 제2 서버(120) 등을 포함할 수 있으며, 복수의 서버(100) 각각은 내부망을 통해 중앙 서버(200)와 연결되어 있는 호스트일 수 있다.
복수의 서버(100) 각각은 내부망으로 연결된 네트워크를 통해 중앙 서버(200)와 데이터를 송수신할 수 있다.
복수의 서버(100) 각각에는 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법이 구현된 명령어를 포함하는 에이전트가 설치될 수 있다.
복수의 서버(100) 각각은 시스템 데이터(CPU, 메모리, 디스크, 디스크 입/출력, 및 네트워크 트래픽)와 시스템 로그 데이터를 생성할 수 있다.
중앙 서버(200)는 내부망으로 연결된 네트워크를 통해 복수의 서버(100)와 데이터를 송수신하여, 복수의 서버(100) 각각의 전체적인 동작을 제어할 수 있다.
중앙 서버(200)에는 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법이 구현된 명령어를 포함하는 에이전트가 설치될 수 있다. 따라서, 시스템은 중앙 서버(200)에 설치된 에이전트를 통해 호스트 방화벽의 정책을 설정하거나, 복수의 서버(100) 각각에 설치된 에이전트를 통해 호스트 방화벽의 정책을 설정할 수 있다.
즉, 복수의 서버(100)는 내부망을 통해 서로 연결된 호스트이고, 중앙 서버(200)는 복수의 서버(100)와 내부망을 통해 연결되면서 외부망을 통해 외부와 연결된 메인 서버로 각 호스트의 운영을 제어할 수 있다. 이때, 내부망을 통해 연결된 호스트에는 호스트 방화벽이 구성되어 있고, 외부망을 통해 연결된 중앙 서버(200)에는 네트워크 방화벽이 구성되어 있다.
일실시예에 따르면, 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법을 통해, 기본적으로 구성되어 관리되어야 하는 호스트 방화벽 기능을 능동적이며 편리하게 사용할 수 있도록, 통합적인 호스트 방화벽 매니저 서비스를 제공할 수 있다.
구체적으로, 시스템은 네트워크 방화벽과 같이, 통합 호스트 방화벽 매니저를 제공할 수 있다. 또한, 방화벽 정책은 위부터 아래로 적용되는 구조이기 때문에, 정책의 우선순위를 자동으로 감지하여 적용되도록 처리할 수 있다. 또한, 복수의 서버(100) 각각에 에이전트 프로그램을 설치하면, 호스트 방화벽 매니저 기능을 사용할 수 있도록, 서비스를 제공할 수 있다. 또한, 에이전트가 설치된 복수의 서버(100) 각각에 허용 상태인 네트워크 포트를 감지하여, 호스트 방화벽의 기본 구성 가이드를 사용자에게 제공할 수 있다. 또한, 임계치 이상의 이상 트래픽이 감지된 경우, 과다 트래픽이 발생되고 있는 서버의 네트워크 포트 정보를 통보하여, 호스트 방화벽 구성을 변경하도록 구성 가이드를 제공할 수 있다. 또한, 인공지능의 딥러닝을 연동하여, 네트워크 트래픽 과다 및 특정 네트워크 포트로 과다 접속이 이루어지는 것을 자동으로 감지하여, 호스트 방화벽 구성이 변경되도록 구성 가이드를 제공할 수 있다.
즉, 시스템은 네트워크의 유형(TCP 포트 등)에 따라 방화벽 정책을 복수의 서버(100) 별로 구성할 수 있도록, 가이드를 제공할 수 있다. 이때, 방화벽 정책을 설정하기 위한 템플릿이 자동으로 제공되고, 방화벽 정책에 대한 디폴트 값이 설정되어 있는 상태일 수 있다.
또한, 시스템은 인공지능의 딥러닝 기반으로 공격으로 추정되는 접근을 감지해서, 차단 정책을 권장하거나 가이드를 제공할 수 있다. 이와 관련된 자세한 설명은 도 5를 참조하여 후술하기로 한다.
또한, 시스템은 하나의 서버에 방화벽 정책이 복수로 설정되어 있는 경우, 정책의 우선순위를 자동으로 감지하여 설정할 수 있다. 이와 관련된 자세한 설명은 도 6 및 도 7을 참조하여 후술하기로 한다.
중앙 서버(200)는 복수의 서버(100) 각각에 설정되어 있는 방화벽 정책에 대한 정보를 데이터베이스에 저장하여 관리할 수 있으며, 복수의 서버(100) 중 어느 하나가 재부팅되거나 방화벽 정책에 대한 정보가 필요할 때 불러올 수 있도록, 방화벽 정책에 대한 정보를 복수의 서버(100) 별로 구분하여 저장할 수 있다. 이때, 방화벽 정책에 대한 정보는 해커가 방화벽 정책에 대한 정보를 해킹하더라도 확인하지 못하도록, 암호화해서 저장될 수 있다. 또한, 중앙 서버(200)는 복수의 서버(100) 별로 방화벽 정책을 주기적으로 갱신하여, 방화벽 정책에 대한 정보를 지속적으로 업데이트 할 수 있다.
일실시예에 따르면, 방화벽 정책은 정책명, 포워딩 타입, 프로토콜, 외부 허용 IP 주소 리스트, 외부 차단 IP 주소 리스트, 가상 포트, 운영 포트 등이 각각 설정되어 구성될 수 있다.
한편, 복수의 서버(100)와 중앙 서버(200)는 기계 학습 알고리즘의 수행을 위하여 미리 학습된 다수의 인공 신경망을 포함할 수 있다.
본 발명에서, 인공지능(Artificial Intelligence, AI)은 인간의 학습능력, 추론능력, 지각능력 등을 모방하고, 이를 컴퓨터로 구현하는 기술을 의미하고, 기계 학습, 심볼릭 로직(Symbolic Logic) 등의 개념을 포함할 수 있다. 기계 학습(Machine Learning, ML)은 입력 데이터들의 특징을 스스로 분류 또는 학습하는 알고리즘 기술이다. 인공지능의 기술은 기계 학습의 알고리즘으로써 입력 데이터를 분석하고, 그 분석의 결과를 학습하며, 그 학습의 결과에 기초하여 판단이나 예측을 할 수 있다. 또한, 기계 학습의 알고리즘을 활용하여 인간 두뇌의 인지, 판단 등의 기능을 모사하는 기술들 역시 인공지능의 범주로 이해될 수 있다. 예를 들어, 언어적 이해, 시각적 이해, 추론/예측, 지식 표현, 동작 제어 등의 기술 분야가 포함될 수 있다.
기계 학습은 데이터를 처리한 경험을 이용해 신경망 모델을 훈련시키는 처리를 의미할 수 있다. 기계 학습을 통해 컴퓨터 소프트웨어는 스스로 데이터 처리 능력을 향상시키는 것을 의미할 수 있다. 신경망 모델은 데이터 사이의 상관 관계를 모델링하여 구축된 것으로서, 그 상관 관계는 복수의 파라미터에 의해 표현될 수 있다. 신경망 모델은 주어진 데이터로부터 특징들을 추출하고 분석하여 데이터 간의 상관 관계를 도출하는데, 이러한 과정을 반복하여 신경망 모델의 파라미터를 최적화해 나가는 것이 기계 학습이라고 할 수 있다. 예를 들어, 신경망 모델은 입출력 쌍으로 주어지는 데이터에 대하여, 입력과 출력 사이의 매핑(상관 관계)을 학습할 수 있다. 또는, 신경망 모델은 입력 데이터만 주어지는 경우에도 주어진 데이터 사이의 규칙성을 도출하여 그 관계를 학습할 수도 있다.
인공지능 학습모델 또는 신경망 모델은 인간의 뇌 구조를 컴퓨터 상에서 구현하도록 설계될 수 있으며, 인간의 신경망의 뉴런(neuron)을 모의하며 가중치를 가지는 복수의 네트워크 노드들을 포함할 수 있다. 복수의 네트워크 노드들은 뉴런이 시냅스(synapse)를 통하여 신호를 주고받는 뉴런의 시냅틱(synaptic) 활동을 모의하여, 서로 간의 연결 관계를 가질 수 있다. 인공지능 학습모델에서 복수의 네트워크 노드들은 서로 다른 깊이의 레이어에 위치하면서 컨볼루션(convolution) 연결 관계에 따라 데이터를 주고받을 수 있다. 인공지능 학습모델은, 예를 들어, 인공 신경망 모델(Artificial Neural Network), 컨볼루션 신경망 모델(Convolution Neural Network: CNN) 등일 수 있다. 일 실시예로서, 인공지능 학습모델은, 지도학습(Supervised Learning), 비지도 학습(Unsupervised Learning), 강화 학습(Reinforcement Learning) 등의 방식에 따라 기계 학습될 수 있다. 기계 학습을 수행하기 위한 기계 학습 알고리즘에는, 의사결정트리(Decision Tree), 베이지안 망(Bayesian Network), 서포트 벡터 머신(Support Vector Machine), 인공 신경망(Artificial Neural Network), 에이다부스트(Ada-boost), 퍼셉트론(Perceptron), 유전자 프로그래밍(Genetic Programming), 군집화(Clustering) 등이 사용될 수 있다.
이중, CNN은 최소한의 전처리(preprocess)를 사용하도록 설계된 다계층 퍼셉트론(multilayer perceptrons)의 한 종류이다. CNN은 하나 또는 여러 개의 합성곱 계층과 그 위에 올려진 일반적인 인공 신경망 계층들로 이루어져 있으며, 가중치와 통합 계층(pooling layer)들을 추가로 활용한다. 이러한 구조 덕분에 CNN은 2차원 구조의 입력 데이터를 충분히 활용할 수 있다. 다른 딥러닝 구조들과 비교해서, CNN은 영상, 음성 분야 모두에서 좋은 성능을 보여준다. CNN은 또한 표준 역전달을 통해 훈련될 수 있다. CNN은 다른 피드포워드 인공신경망 기법들보다 쉽게 훈련되는 편이고 적은 수의 매개변수를 사용한다는 이점이 있다.
컨볼루션 네트워크는 묶인 파라미터들을 가지는 노드들의 집합들을 포함하는 신경 네트워크들이다. 사용 가능한 트레이닝 데이터의 크기 증가와 연산 능력의 가용성이, 구분적 선형 단위 및 드롭아웃 트레이닝과 같은 알고리즘 발전과 결합되어, 많은 컴퓨터 비전 작업들이 크게 개선되었다. 오늘날 많은 작업에 사용할 수 있는 데이터 세트들과 같은 엄청난 양의 데이터 세트에서는 초과 맞춤(outfitting)이 중요하지 않으며, 네트워크의 크기를 늘리면 테스트 정확도가 향상된다. 컴퓨팅 리소스들의 최적 사용은 제한 요소가 된다. 이를 위해, 심층 신경 네트워크들의 분산된, 확장 가능한 구현예가 사용될 수 있다.
이상에서 설명된 실시예들은 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치, 방법 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
도 2는 일실시예에 따른 중앙 서버에 의해 수행되는, 인공지능을 기반으로 호스트 방화벽의 정책 설정을 제어하는 과정을 설명하기 위한 순서도이다.
도 2에 도시된 모든 과정은 중앙 서버(200) 자체적으로 수행할 수 있으나, 이에 제한되지 않으며, 중앙 서버(200)에 설치된 에이전트를 통해 도 2에 도시된 모든 과정이 수행될 수도 있다.
도 2를 참조하면, 먼저, S201 단계에서, 중앙 서버(200)는 제1 서버(110)로부터 제1 서버(110)의 운영체제 정보 및 제1 서버(110)의 네트워크 설정 정보를 수신할 수 있다. 여기서, 제1 서버(110)의 운영체제 정보는 제1 서버(110)에 설치되어 운영되고 있는 운영체제의 종류, 버전 등을 식별하기 위한 정보를 포함할 수 있고, 제1 서버(110)의 네트워크 설정 정보는 제1 서버(110)의 네트워크 설정 상태를 나타내는 정보를 포함할 수 있다.
S202 단계에서, 중앙 서버(200)는 제1 서버(110)의 운영체제 정보 및 제1 서버(110)의 네트워크 설정 정보를 기초로, 제1 서버(110)의 네트워크 연결 상태를 분석할 수 있다. 이때, 중앙 서버(200)는 제1 서버(110)의 네트워크 연결 상태를 분석하여, 제1 서버(110)의 네트워크 연결 상태에 대한 분석 결과를 생성할 수 있다. 여기서, 제1 서버(110)의 네트워크 연결 상태에 대한 분석 결과는 제1 서버(110)가 어느 운영체제로 운영되고 있으며, 제1 서버(110)가 어느 네트워크 포트를 통해 연결되어 있는 상태인지를 분석한 결과를 포함할 수 있다.
S203 단계에서, 중앙 서버(200)는 제1 서버(110)의 네트워크 연결 상태에 대한 분석 결과를 중앙 서버(200) 내에서 미리 학습된 제1 인공 신경망에 적용할 수 있다.
일실시예에 따르면, 제1 인공 신경망은 서버의 네트워크 연결 상태에 대한 분석 결과를 입력 받은 후, 서버에게 적합한 방화벽 정책을 분석하여 출력하는 알고리즘일 수 있다.
S204 단계에서, 중앙 서버(200)는 제1 인공 신경망의 출력을 기초로, 제1 서버(110)에게 적합한 방화벽 정책을 선정할 수 있다.
예를 들어, 중앙 서버(200)는 제1 서버(110)의 네트워크 연결 상태에 대한 분석 결과를 제1 인공 신경망에 적용하여, 제1 인공 신경망의 출력을 확인한 결과, 출력값이 “0”으로 확인되면, 제1 서버(110)에게 적합한 방화벽 정책을 제1 정책으로 선정하고, 출력값이 “1”로 확인되면, 제1 서버(110)에게 적합한 방화벽 정책을 제2 정책으로 선정할 수 있다.
제1 인공 신경망은 서버의 네트워크 연결 상태에 대한 분석 결과를 통해, 서버에게 적합한 방화벽 정책을 분석하도록 학습될 수 있다. 제1 인공 신경망은 도 8을 참조하여 후술되는 방법을 통해 학습될 수 있다. 이를 통해, 제1 인공 신경망은 서버의 네트워크 연결 상태를 고려하여, 서버에게 적합한 방화벽 정책을 분석하여 출력할 수 있다.
S205 단계에서, 중앙 서버(200)는 S204 단계에서 선정된 정책이 제1 서버(110)의 방화벽 정책에 포함되어 있는지 여부를 확인할 수 있다. 예를 들어, 제1 서버(110)에게 적합한 방화벽 정책으로 제1 정책이 선정되면, 중앙 서버(200)는 제1 정책이 제1 서버(110)의 방화벽 정책에 포함되어 있는지 여부를 확인할 수 있다.
이를 위해, 중앙 서버(200)의 데이터베이스에는 복수의 서버(100) 각각에 설정되어 있는 방화벽 정책에 대한 정보가 서버 별로 구분되어 저장될 수 있다. 방화벽 정책에 대한 정보는 서버에 설정되어 있는 방화벽 정책에 따라 수가 상이할 수 있으며, 하나의 서버에 복수의 방화벽 정책이 설정되어 있는 경우, 복수의 방화벽 정책 각각에 대한 우선순위가 설정되어 있을 수 있다.
S205 단계에서 제1 정책이 제1 서버(110)의 방화벽 정책에 포함되어 있는 것으로 확인되면, S206 단계에서, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책에 대한 변경이 필요하지 않은 것으로 판단할 수 있다.
즉, 제1 서버(110)에게 적합한 방화벽 정책으로 선정된 제1 정책이 제1 서버(110)에 이미 설정되어 있으므로, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책에 대한 유지가 필요한 것으로 판단할 수 있다.
S206 단계 이후, 일정 기간이 지나면, S201 단계로 되돌아가, 중앙 서버(200)는 제1 서버(110)로부터 제1 서버(110)의 운영체제 정보 및 제1 서버(110)의 네트워크 설정 정보를 다시 수신하여, 제1 서버(110)에게 적합한 방화벽 정책을 다시 선정할 수 있다.
한편, S205 단계에서 제1 정책이 제1 서버(110)의 방화벽 정책에 포함되어 있지 않은 것으로 확인되면, S207 단계에서, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책에 대한 변경이 필요한 것으로 판단할 수 있다.
즉, 제1 서버(110)에게 적합한 방화벽 정책으로 선정된 제1 정책이 제1 서버(110)에 설정되어 있지 않으므로, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책에 대한 변경이 필요한 것으로 판단할 수 있다.
S208 단계에서, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책에 선정된 정책을 추가하여 등록할 수 있다. 예를 들어, 제1 서버(110)에게 적합한 방화벽 정책으로 제1 정책이 선정되면, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책에 제1 정책을 추가하여 등록할 수 있다. 이때, 제1 서버(110)의 방화벽 정책에 제2 정책이 이미 등록되어 있는 상태인 경우, 제1 서버(110)의 방화벽 정책에 제1 정책이 추가로 등록될 수 있다. 이를 통해, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책에 복수의 정책이 등록되어 있는 경우, 복수의 정책 각각에 대한 우선순위를 설정할 수 있다. 이와 관련된 자세한 설명은 도 6 및 도 7을 참조하여 후술하기로 한다.
제1 서버(110)의 방화벽 정책에 제1 정책을 추가하여 등록하는 과정은 중앙 서버(200)의 데이터베이스에 저장되어 있는 제1 서버(110)의 방화벽 정책에 대한 정보에 제1 정책을 추가하여 갱신하는 것으로, 방화벽 정책에 대한 설정은 S209 단계를 통해 수행될 수 있다.
S209 단계에서, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책에 제1 정책이 추가로 등록되면, 제1 서버(110)의 방화벽 정책에 대한 설정 변경 명령을 제1 서버(110)로 전송하여, 제1 정책이 제1 서버(110)의 방화벽 정책으로 설정되도록 제어할 수 있다. 여기서, 제1 서버(110)의 방화벽 정책에 대한 설정 변경 명령은 제1 서버(110)의 방화벽 정책에 제1 정책을 추가하여 설정하기 위한 명령이고, 제1 서버(110)는 제1 서버(110)의 방화벽 정책에 대한 설정 변경 명령을 통해, 제1 정책을 제1 서버(110)의 방화벽 정책으로 추가하여 설정할 수 있다.
S209 단계 이후, 일정 기간이 지나면, S201 단계로 되돌아가, 중앙 서버(200)는 제1 서버(110)로부터 제1 서버(110)의 운영체제 정보 및 제1 서버(110)의 네트워크 설정 정보를 다시 수신하여, 제1 서버(110)에게 적합한 방화벽 정책을 다시 선정할 수 있다.
도 3은 일실시예에 따른 제1 서버에 설치된 제1 에이전트에 의해 수행되는, 인공지능을 기반으로 호스트 방화벽의 정책 설정을 제어하는 과정을 설명하기 위한 순서도이다.
도 3에 도시된 모든 과정은 제1 서버(110)에 설치된 제1 에이전트를 통해 수행될 수 있으나, 이에 제한되지 않으며, 제1 서버(110) 자체적으로 도 3에 도시된 모든 과정을 수행할 수도 있다.
도 3을 참조하면, 먼저, S301 단계에서, 제1 서버(110)는 제1 서버(110)의 운영체제 정보 및 제1 서버(110)의 네트워크 설정 정보를 획득할 수 있다. 이를 위해, 제1 서버(110)의 데이터베이스에는 제1 서버(110)의 실시간 상태가 반영되어 있는 제1 서버(110)의 운영체제 정보 및 제1 서버(110)의 네트워크 설정 정보가 저장되어 있으며, 제1 서버(110)는 데이터베이스로부터 제1 서버(110)의 운영체제 정보 및 제1 서버(110)의 네트워크 설정 정보를 획득할 수 있다.
S302 단계에서, 제1 서버(110)는 제1 서버(110)의 운영체제 정보 및 제1 서버(110)의 네트워크 설정 정보를 기초로, 제1 서버(110)의 네트워크 연결 상태를 분석할 수 있다. 이때, 제1 서버(110)는 제1 서버(110)의 네트워크 연결 상태를 분석하여, 제1 서버(110)의 네트워크 연결 상태에 대한 분석 결과를 생성할 수 있다.
S303 단계에서, 제1 서버(110)는 제1 서버(110)의 네트워크 연결 상태에 대한 분석 결과를 제1 서버(110) 내에서 미리 학습된 제1 인공 신경망에 적용할 수 있다.
S304 단계에서, 제1 서버(110)는 제1 인공 신경망의 출력을 기초로, 제1 서버(110)에게 적합한 방화벽 정책을 선정할 수 있다.
S305 단계에서, 제1 서버(110)는 S304 단계에서 선정된 정책이 제1 서버(110)의 방화벽 정책에 포함되어 있는지 여부를 확인할 수 있다. 예를 들어, 제1 서버(110)에게 적합한 방화벽 정책으로 제1 정책이 선정되면, 제1 서버(110)는 제1 정책이 제1 서버(110)의 방화벽 정책에 포함되어 있는지 여부를 확인할 수 있다.
이를 위해, 제1 서버(110)의 데이터베이스에는 제1 서버(110)에 설정되어 있는 방화벽 정책에 대한 정보가 저장되어 있으며, 제1 서버(110)는 데이터베이스에 저장된 방화벽 정책에 대한 정보를 조회하여, 제1 서버(110)에 설정되어 있는 방화벽 정책을 확인할 수 있다.
S305 단계에서 제1 정책이 제1 서버(110)의 방화벽 정책에 포함되어 있는 것으로 확인되면, S306 단계에서, 제1 서버(110)는 제1 서버(110)의 방화벽 정책에 대한 변경이 필요하지 않은 것으로 판단할 수 있다.
S306 단계 이후, 일정 기간이 지나면, S301 단계로 되돌아가, 제1 서버(110)는 제1 서버(110)의 운영체제 정보 및 제1 서버(110)의 네트워크 설정 정보를 다시 획득하여, 제1 서버(110)에게 적합한 방화벽 정책을 다시 선정할 수 있다.
한편, S305 단계에서 제1 정책이 제1 서버(110)의 방화벽 정책에 포함되어 있지 않은 것으로 확인되면, S307 단계에서, 제1 서버(110)는 제1 서버(110)의 방화벽 정책에 대한 변경이 필요한 것으로 판단할 수 있다.
S308 단계에서, 제1 서버(110)는 제1 서버(110)의 방화벽 정책에 선정된 정책을 추가하여 설정할 수 있다. 예를 들어, 제1 서버(110)에게 적합한 방화벽 정책으로 제1 정책이 선정되면, 제1 서버(110)는 제1 서버(110)의 방화벽 정책에 제1 정책을 추가하여 설정할 수 있다.
S309 단계에서, 제1 서버(110)는 제1 서버(110)의 방화벽 정책에 제1 정책이 추가로 등록되면, 제1 서버(110)의 방화벽 정책에 대한 설정 변경 알림 메시지를 중앙 서버(200)로 전송할 수 있다. 여기서, 제1 서버(110)의 방화벽 정책에 대한 설정 변경 알림 메시지는 제1 서버(110)의 방화벽 정책에 제1 정책이 추가되어 설정된 것을 통보하기 위한 알림 메시지이고, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책에 대한 설정 변경 알림 메시지를 통해, 제1 정책을 제1 서버(110)의 방화벽 정책으로 추가하여 등록할 수 있다.
S309 단계 이후, 일정 기간이 지나면, S301 단계로 되돌아가, 제1 서버(110)는 제1 서버(110)의 운영체제 정보 및 제1 서버(110)의 네트워크 설정 정보를 다시 획득하여, 제1 서버(110)에게 적합한 방화벽 정책을 다시 선정할 수 있다.
도 4는 일실시예에 따른 서버 별로 연동하여 방화벽 정책을 설정하는 과정을 설명하기 위한 순서도이다.
도 4를 참조하면, 먼저, S401 단계에서, 중앙 서버(200)는 제1 정책이 제1 서버(110)의 방화벽 정책으로 설정된 이후, 복수의 서버(100) 중 제1 운영체제의 환경으로 운영되는 서버들을 제1 그룹으로 분류할 수 있다.
예를 들어, 중앙 서버(200)는 복수의 서버(100) 중에서, 제1 운영체제의 환경으로 운영되는 서버들을 제1 그룹으로 분류하고, 제2 운영체제의 환경으로 운영되는 서버들을 제2 그룹으로 분류할 수 있다.
S402 단계에서, 중앙 서버(200)는 제1 그룹으로 분류된 서버 중 제1 포트로 연결되어 통신을 수행하는 서버들을 제1-1 그룹으로 분류할 수 있다.
예를 들어, 중앙 서버(200)는 제1 그룹으로 분류된 서버 중에서, 제1 포트로 연결되어 통신을 수행하는 서버들을 제1-1 그룹으로 분류하고, 제1 포트로 연결되어 통신을 수행하는 서버들을 제1-2 그룹으로 분류할 수 있다.
S403 단계에서, 중앙 서버(200)는 제1 서버(110) 및 제2 서버(120)가 제1-1 그룹으로 분류된 것을 확인할 수 있다.
S404 단계에서, 중앙 서버(200)는 제1 서버(110) 및 제2 서버(120)가 제1-1 그룹으로 분류된 경우, 제1 정책이 제2 서버(120)의 방화벽 정책에 포함되어 있는지 여부를 확인할 수 있다.
S404 단계에서 제1 정책이 제2 서버(120)의 방화벽 정책에 포함되어 있는 것으로 확인되면, S405 단계에서, 중앙 서버(200)는 제2 서버(120)의 방화벽 정책에 대한 변경이 필요하지 않은 것으로 판단할 수 있다.
즉, 제1 서버(110) 및 제2 서버(120)가 운영체제와 운영 포트가 동일한 경우, 제1 서버(110)에게 적합한 방화벽 정책으로 선정된 제1 정책이 제1 서버(110) 뿐만 아니라 제2 서버(120)에도 이미 설정되어 있으면, 중앙 서버(200)는 제2 서버(120)의 방화벽 정책에 대한 유지가 필요한 것으로 판단할 수 있다.
S404 단계에서 제1 정책이 제2 서버(120)의 방화벽 정책에 포함되어 있지 않은 것으로 확인되면, S406 단계에서, 중앙 서버(200)는 제2 서버(120)의 방화벽 정책에 대한 변경이 필요한 것으로 판단할 수 있다.
즉, 제1 서버(110) 및 제2 서버(120)가 운영체제와 운영 포트가 동일한 경우, 제1 서버(110)에게 적합한 방화벽 정책으로 선정된 제1 정책이 제1 서버(110)에만 설정되어 있고 제2 서버(120)에는 설정되어 있지 않으면, 중앙 서버(200)는 제2 서버(120)의 방화벽 정책에 대한 변경이 필요한 것으로 판단할 수 있다.
S407 단계에서, 중앙 서버(200)는 제2 서버(120)의 방화벽 정책에 제1 정책을 추가하여 등록할 수 있다.
S408 단계에서, 중앙 서버(200)는 제2 서버(120)의 방화벽 정책에 제1 정책이 추가로 등록되면, 제2 서버(120)의 방화벽 정책에 대한 설정 변경 명령을 제2 서버(120)로 전송하여, 제1 정책이 제2 서버(120)의 방화벽 정책으로 설정되도록 제어할 수 있다. 여기서, 제2 서버(120)의 방화벽 정책에 대한 설정 변경 명령은 제2 서버(120)의 방화벽 정책에 제1 정책을 추가하여 설정하기 위한 명령이고, 제2 서버(120)는 제2 서버(120)의 방화벽 정책에 대한 설정 변경 명령을 통해, 제1 정책을 제2 서버(120)의 방화벽 정책으로 추가하여 설정할 수 있다.
도 5는 일실시예에 따른 공격으로 추정되는 접근을 감지하여, 공격 횟수에 따라 대응 방안을 제공하는 과정을 설명하기 위한 순서도이다.
도 5를 참조하면, 먼저, S501 단계에서, 중앙 서버(200)는 제1 서버(110)로부터 제1 서버(110)의 네트워크 트래픽에 대한 모니터링 정보를 수신할 수 있다. 여기서, 제1 서버(110)의 네트워크 트래픽에 대한 모니터링 정보는 제1 서버(110)에서 어느 포트로 접속이 이루어져 트래픽이 발생하였는지에 대한 모니터링 정보, 제1 서버(110)에 접속한 IP 주소 별로 시간당 얼마만큼의 트래픽을 발생시켰는지에 대한 모니터링 정보 등을 포함할 수 있다.
S502 단계에서, 중앙 서버(200)는 제1 서버(110)의 네트워크 트래픽에 대한 모니터링 정보를 중앙 서버(200) 내에서 미리 학습된 제2 인공 신경망에 적용할 수 있다.
일실시예에 따르면, 제2 인공 신경망은 서버의 네트워크 트래픽에 대한 모니터링 정보를 입력 받은 후, 서버에 공격으로 추정되는 접근이 감지되었는지 여부에 대한 검출 결과를 출력하는 알고리즘일 수 있다.
S503 단계에서, 중앙 서버(200)는 제2 인공 신경망의 출력을 기초로, 제1 서버(110)에 공격으로 추정되는 접근이 감지되었는지 여부를 검출할 수 있다.
예를 들어, 중앙 서버(200)는 제1 서버(110)의 네트워크 트래픽에 대한 모니터링 정보를 제2 인공 신경망에 적용하여, 제2 인공 신경망의 출력을 확인한 결과, 출력값이 “0”으로 확인되면, 제1 서버(110)에 공격으로 추정되는 접근이 감지되지 않은 것으로 검출하고, 출력값이 “1”로 확인되면, 제1 서버(110)에 공격으로 추정되는 접근이 감지된 것으로 검출할 수 있다.
제2 인공 신경망은 서버의 네트워크 트래픽에 대한 모니터링 정보를 통해, 서버에 공격으로 추정되는 접근이 감지되었는지 분석하도록 학습될 수 있다. 제2 인공 신경망은 도 9를 참조하여 후술되는 방법을 통해 학습될 수 있다. 이를 통해, 제2 인공 신경망은 서버의 네트워크 트래픽에 대한 변동 상태를 고려하여, 서버에 공격으로 추정되는 접근이 감지되었는지를 분석하여 출력할 수 있다.
S504 단계에서, 중앙 서버(200)는 기준 기간 동안 제1 서버(110)에 공격으로 추정되는 접근이 몇 번 감지되었는지 확인하여, 제1 서버(110)가 기준 기간 동안 공격받은 횟수인 제1 공격 횟수를 산출할 수 있다. 여기서, 기준 기간은 실시예에 따라 상이하게 설정될 수 있으며, 기준 기간 동안 S501 단계부터 S503 단계까지의 과정이 반복 수행될 수 있다. 이를 통해, 중앙 서버(200)는 기준 기간 동안 제1 서버(110)에 공격으로 추정되는 접근이 몇 번 감지되었는지 확인하여, 제1 공격 횟수를 산출할 수 있다.
S505 단계에서, 중앙 서버(200)는 제1 공격 횟수가 제1 기준 횟수 보다 적은지 여부를 확인할 수 있다. 여기서, 제1 기준 횟수는 기준 기간의 길이에 비례하여 상이하게 설정될 수 있다.
S505 단계에서 제1 공격 횟수가 제1 기준 횟수 보다 적은 것으로 확인되면, S507 단계에서, 중앙 서버(200)는 제1 서버(110)의 상태를 정상 상태로 판단할 수 있다.
S507 단계 이후, 일정 기간이 지나면, S501 단계로 되돌아가, 중앙 서버(200)는 제1 서버(110)로부터 제1 서버(110)의 네트워크 트래픽에 대한 모니터링 정보를 다시 수신하여, 제1 공격 횟수를 다시 산출할 수 있다.
S505 단계에서 제1 공격 횟수가 제1 기준 횟수 보다 많은 것으로 확인되면, S506 단계에서, 중앙 서버(200)는 제1 공격 횟수가 제2 기준 횟수 보다 적은지 여부를 확인할 수 있다. 여기서, 제2 기준 횟수는 제1 기준 횟수 보다 많은 값으로 설정될 수 있다.
S506 단계에서 제1 공격 횟수가 제2 기준 횟수 보다 적은 것으로 확인되면, S508 단계에서, 중앙 서버(200)는 제1 서버(110)의 상태를 경고 상태로 판단할 수 있다.
S506 단계에서 제1 공격 횟수가 제2 기준 횟수 보다 많은 것으로 확인되면, S509 단계에서, 중앙 서버(200)는 제1 서버(110)의 상태를 위험 상태로 판단할 수 있다.
S510 단계에서, 중앙 서버(200)는 제1 서버(110)의 상태가 경고 상태로 판단되면, 제1 서버(110)의 공격을 경고하는 알림 메시지를 제1 관리자 단말로 전송할 수 있다. 여기서, 제1 관리자 단말은 제1 서버(110)의 관리자로 등록되어 있는 제1 관리자가 사용하는 단말을 의미하며, 중앙 서버(200)의 데이터베이스에는 제1 관리자 단말의 연락처 정보가 저장되어 있어, 이를 통해, 중앙 서버(200)는 제1 관리자 단말로 알림 메시지를 전송할 수 있다.
S511 단계에서, 중앙 서버(200)는 제1 서버(110)의 상태가 위험 상태로 판단되면, 제1 정책을 통해 연결이 허용되어 있는 제1 포트의 연결 차단 명령을 제1 서버(110)로 전송하여, 제1 서버(110)에서 제1 포트를 통한 연결이 차단되도록 제어할 수 있다.
즉, 제1 서버(110)에는 제1 정책이 방화벽 정책으로 설정되어 있고, 제1 정책은 제1 포트를 통해 연결을 허용하는 설정을 포함하고 있어, 제1 서버(110)의 네트워크 연결 상태는 제1 포트를 통한 연결을 허용하고 있는 상태로, 제1 포트를 통해 트래픽이 발생되고 있는데, 제1 포트를 통한 공격받은 횟수가 너무 많은 경우, 중앙 서버(200)는 제1 포트의 연결 차단 명령을 제1 서버(110)로 전송하여, 제1 서버(110)에서 제1 포트를 통한 연결이 차단되도록 제어할 수 있다. 이때, 제1 서버(110)는 제1 포트의 연결 차단 명령을 통해 제1 포트의 연결을 차단시켜, 제1 포트를 통해 트래픽이 발생하지 않도록 처리할 수 있다.
도 6은 일실시예에 따른 IP 주소 허용 범위에 따라 방화벽 정책의 우선순위를 설정하는 과정을 설명하기 위한 순서도이다.
도 6을 참조하면, 먼저, S601 단계에서, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책에 제1 정책 및 제2 정책이 등록되어 있는 것을 확인할 수 있다. 이때, 중앙 서버(200)는 데이터베이스로부터 제1 서버(110)의 방화벽 정책에 대한 정보를 획득하여, 제1 서버(110)의 방화벽 정책에 대한 정보를 기초로, 제1 서버(110)의 방화벽 정책에 어느 정책이 등록되어 있는지를 확인할 수 있다.
S602 단계에서, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책 중 제1 정책의 설정 정보를 확인하여, 제1 정책을 통해 연결이 허용되어 있는 IP 주소의 리스트인 제1 리스트를 확인할 수 있다. 이를 위해, 중앙 서버(200)의 데이터베이스에는 정책 별로 설정 정보가 구분되어 저장되어 있으며, 정책의 설정 정보는 어느 IP 주소를 허용하고 있는지를 나타내는 허용 IP 주소의 리스트 정보를 포함할 수 있다.
S603 단계에서, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책 중 제2 정책의 설정 정보를 확인하여, 제2 정책을 통해 연결이 허용되어 있는 IP 주소의 리스트인 제2 리스트를 확인할 수 있다.
S604 단계에서, 중앙 서버(200)는 제1 리스트 및 제2 리스트를 비교할 수 있다.
S605 단계에서, 중앙 서버(200)는 제1 리스트 및 제2 리스트를 비교한 결과, 제1 리스트의 허용 범위와 제2 리스트의 허용 범위가 동일한지 여부를 확인할 수 있다.
S605 단계에서 제1 리스트의 허용 범위와 제2 리스트의 허용 범위가 동일한 것으로 확인되면, S701 단계가 수행될 수 있으며, 이와 관련된 자세한 설명은 도 7을 참조하여 후술하기로 한다.
S605 단계에서 제1 리스트의 허용 범위와 제2 리스트의 허용 범위가 동일하지 않은 것으로 확인되면, S606 단계에서, 중앙 서버(200)는 제1 리스트 및 제2 리스트를 비교한 결과, 제1 리스트의 허용 범위가 제2 리스트의 허용 범위 보다 넓은지 여부를 확인할 수 있다.
S606 단계에서 제1 리스트의 허용 범위가 제2 리스트의 허용 범위 보다 넓은 것으로 확인되면, S607 단계에서, 중앙 서버(200)는 제1 정책의 우선순위를 1순위로 설정하고, 제2 정책의 우선순위를 2순위로 설정할 수 있다.
즉, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책으로 제1 정책 및 제2 정책이 등록되어 있는 상태에서, 제1 정책을 통한 연결 허용 범위가 제2 정책을 통한 연결 허용 범위 보다 넓은 경우, 제1 정책의 우선순위를 1순위로 설정하고, 제2 정책의 우선순위를 2순위로 설정할 수 있다.
S606 단계에서 제1 리스트의 허용 범위가 제2 리스트의 허용 범위 보다 좁은 것으로 확인되면, S608 단계에서, 중앙 서버(200)는 제1 정책의 우선순위를 2순위로 설정하고, 제2 정책의 우선순위를 1순위로 설정할 수 있다.
즉, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책으로 제1 정책 및 제2 정책이 등록되어 있는 상태에서, 제2 정책을 통한 연결 허용 범위가 제1 정책을 통한 연결 허용 범위 보다 넓은 경우, 제2 정책의 우선순위를 1순위로 설정하고, 제1 정책의 우선순위를 2순위로 설정할 수 있다.
도 7은 일실시예에 따른 IP 주소 차단 범위에 따라 방화벽 정책의 우선순위를 설정하는 과정을 설명하기 위한 순서도이다.
도 7을 참조하면, 먼저, S701 단계에서, 중앙 서버(200)는 제1 리스트 및 제2 리스트의 허용 범위가 동일한 것으로 확인할 수 있다. 예를 들어, 제1 리스트에 포함되어 있는 IP 주소의 수가 3개이고, 제2 리스트에 포함되어 있는 IP 주소의 수도 3개인 경우, 제1 리스트 및 제2 리스트의 허용 범위는 동일한 것으로 확인될 수 있다.
S702 단계에서, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책 중 제1 정책의 설정 정보를 확인하여, 제1 정책을 통해 연결이 차단되어 있는 IP 주소의 리스트인 제3 리스트를 확인할 수 있다. 이를 위해, 중앙 서버(200)의 데이터베이스에는 정책 별로 설정 정보가 구분되어 저장되어 있으며, 정책의 설정 정보는 어느 IP 주소를 차단하고 있는지를 나타내는 차단 IP 주소의 리스트 정보를 포함할 수 있다.
S703 단계에서, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책 중 제2 정책의 설정 정보를 확인하여, 제2 정책을 통해 연결이 차단되어 있는 IP 주소의 리스트인 제4 리스트를 확인할 수 있다.
S704 단계에서, 중앙 서버(200)는 제3 리스트 및 제4 리스트를 비교할 수 있다.
S705 단계에서, 중앙 서버(200)는 제3 리스트 및 제4 리스트를 비교한 결과, 제3 리스트의 차단 범위와 제4 리스트의 차단 범위가 동일한지 여부를 확인할 수 있다.
S705 단계에서 제3 리스트의 차단 범위와 제4 리스트의 차단 범위가 동일한 것으로 확인되면, S707 단계에서, 중앙 서버(200)는 제1 정책 및 제2 정책 중 먼저 설정된 정책의 우선순위를 1순위로 설정할 수 있다.
즉, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책으로 제1 정책 및 제2 정책이 등록되어 있는 상태에서, 제1 정책을 통한 연결 허용 범위와 제2 정책을 통한 연결 허용 범위가 동일하면서, 제1 정책을 통한 연결 차단 범위와 제2 정책을 통한 연결 차단 범위가 동일한 경우, 제1 정책 및 제2 정책 중 먼저 제1 서버(110)의 방화벽 정책으로 설정된 정책의 우선순위를 1순위로 설정하고, 늦게 제1 서버(110)의 방화벽 정책으로 설정된 정책의 우선순위를 2순위로 설정할 수 있다.
S705 단계에서 제3 리스트의 차단 범위와 제4 리스트의 차단 범위가 동일하지 않은 것으로 확인되면, S706 단계에서, 중앙 서버(200)는 제3 리스트 및 제4 리스트를 비교한 결과, 제3 리스트의 차단 범위가 제4 리스트의 차단 범위 보다 좁은지 여부를 확인할 수 있다.
S706 단계에서 제3 리스트의 차단 범위가 제4 리스트의 차단 범위 보다 좁은 것으로 확인되면, S708 단계에서, 중앙 서버(200)는 제1 정책의 우선순위를 1순위로 설정하고, 제2 정책의 우선순위를 2순위로 설정할 수 있다.
즉, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책으로 제1 정책 및 제2 정책이 등록되어 있는 상태에서, 제1 정책을 통한 연결 허용 범위와 제2 정책을 통한 연결 허용 범위가 동일하면서, 제1 정책을 통한 연결 차단 범위가 제2 정책을 통한 연결 차단 범위 보다 좁은 경우, 제1 정책의 우선순위를 1순위로 설정하고, 제2 정책의 우선순위를 2순위로 설정할 수 있다.
S706 단계에서 제3 리스트의 차단 범위가 제4 리스트의 차단 범위 보다 넓은 것으로 확인되면, S709 단계에서, 중앙 서버(200)는 제1 정책의 우선순위를 2순위로 설정하고, 제2 정책의 우선순위를 1순위로 설정할 수 있다.
즉, 중앙 서버(200)는 제1 서버(110)의 방화벽 정책으로 제1 정책 및 제2 정책이 등록되어 있는 상태에서, 제1 정책을 통한 연결 허용 범위와 제2 정책을 통한 연결 허용 범위가 동일하면서, 제2 정책을 통한 연결 차단 범위가 제1 정책을 통한 연결 차단 범위 보다 좁은 경우, 제2 정책의 우선순위를 1순위로 설정하고, 제1 정책의 우선순위를 2순위로 설정할 수 있다.
한편, 일실시예에 따른 시스템은 복수의 서버(100) 및 중앙 서버(200) 이외에, 클라우드 스토리지 및 복수의 병렬 서버를 더 포함할 수 있다.
복수의 서버(100) 각각에는 로그 봇의 기능을 수행하는 에이전트가 설치되어 있다. 즉, 제1 서버(110)에는 제1 에이전트가 설치되어 있고, 제2 서버(120)에는 제2 에이전트가 설치되어 있다.
복수의 에이전트는 복수의 서버(100) 각각에 포함되어 있는 데이터베이스의 로그를 관리하는 봇으로, 데이터베이스의 접근 제어 솔루션(데이터베이스 접근 툴, 프로그램 등)을 통해 복수의 서버(100) 각각에 포함되어 있는 데이터베이스에 접근하여 데이터베이스에 저장된 정보를 변경하는 과정을 감시하고, 정보 변경 시 이에 대한 로그 데이터를 생성하여 기록할 수 있다. 여기서, 로그 데이터는 정보 변경 시 사용된 쿼리, 정보 변경을 요청한 IP 주소 등에 대한 정보를 포함할 수 있다.
예를 들어, 제1 서버(110)와 제1 사용자 단말은 연결되어 있고, 제1 사용자 단말에 데이터베이스 접근 프로그램이 설치되어 있는 경우, 제1 사용자 단말로부터 전달된 제1 쿼리에 의해 제1 서버(110)의 데이터베이스에 저장된 정보가 변경되면, 제1 에이전트는 제1 쿼리 및 제1 사용자 단말의 IP 주소를 기초로, 데이터베이스 변경에 대한 로그 데이터를 생성하여 기록할 수 있다.
일실시예에 따르면, 중앙 서버(200)는 클라우드 스토리지, 복수의 병렬 서버 및 중앙 서버(200)의 데이터베이스를 포함하여 구성될 수 있다.
클라우드 스토리지는 어디서나 원하는 양의 데이터를 저장하고 검색할 수 있도록 구축된 객체 스토리지로 구현될 수 있다. 클라우드 스토리지는 S3(Simple Storage Service)를 제공할 수 있으며, S3는 업계 최고의 확장성, 데이터 가용성 및 보안과 성능을 제공하는 객체 스토리지 서비스를 의미할 수 있다. 즉, 규모와 업종에 상관없이 고객사가 이 서비스를 이용하여 데이터 레이크, 웹사이트, 모바일 애플리케이션, 백업 및 복원, 아카이브, 엔터프라이즈 애플리케이션, IoT 디바이스, 빅 데이터 분석과 같은 다양한 사용 사례에서 원하는 만큼의 데이터를 저장하고 보호할 수 있다. S3는 사용하기 쉬운 관리 기능을 제공하므로 특정 비즈니스, 조직 및 규정 준수 요구 사항에 따라 데이터를 조직화하고 세부적인 액세스 제어를 구성할 수 있다.
중앙 서버(200)는 중앙 서버(200)를 이용하여 서비스를 제공하는 자 내지 단체가 보유한 자체 서버일수도 있고, 클라우드 서버일 수도 있고, 분산된 노드(node)들의 p2p(peer-to-peer) 집합일 수도 있다. 중앙 서버(200)는 통상의 컴퓨터가 가지는 연산 기능, 저장/참조 기능, 입출력 기능 및 제어 기능을 전부 또는 일부 수행하도록 구성될 수 있다.
중앙 서버(200)는 복수의 서버(100)에 설치된 복수의 에이전트, 클라우드 스토리지, 복수의 병렬 서버 및 중앙 서버(200)의 데이터베이스 각각의 동작을 제어하여, 시스템의 전체적인 동작을 제어할 수 있다.
복수의 병렬 서버는 오토 스케일링 그룹(Auto Scaling Group)을 구성하는 복수의 서버로, 제1 병렬 서버, 제2 병렬 서버 등을 포함할 수 있다.
복수의 병렬 서버에는 오토 스케일링(Auto Scaling)을 통해 자동 조절 정책(Auto-Scaling Policy)이 설정될 수 있다. 자동 조절 정책은 서버들의 묶음 단위인 오토 스케일링 그룹(Auto Scaling Group)에 연결하여 서비스가 유휴 상태일 때는 서버의 개수를 최소로 유지하고 부하가 발생하면 최대로 늘려 안정적이고 유연한 서비스를 구현할 수 있다.
중앙 서버(200)의 데이터베이스는 로그 데이터를 저장하는 데이터베이스로 중앙 서버(200)의 데이터베이스 기능을 수행할 수 있다.
일실시예에 따르면, 복수의 서버(100)에 설치된 복수의 에이전트는 중앙 서버(200)의 제어에 의해, 복수의 서버(100) 별로 로그 데이터를 추출할 수 있다. 여기서, 로그 데이터는 쿼리 및 IP 주소에 대한 정보를 포함할 수 있다.
즉, 중앙 서버(200)는 복수의 서버(100) 각각에 설치된 복수의 에이전트를 통해, 복수의 서버(100) 별로 로그 데이터가 추출되도록 처리할 수 있다.
예를 들어, 제1 서버(110)에 설치된 제1 에이전트는 제1 서버(110)의 데이터베이스에 저장된 정보 변경으로 제1 서버(110)에서 생성된 로그 데이터를 추출하고, 제2 서버(120)에 설치된 제2 에이전트는 제2 서버(120)의 데이터베이스에 저장된 정보 변경으로 제2 서버(120)에서 생성된 로그 데이터를 추출할 수 있다.
제1 에이전트 및 제2 에이전트는 중앙 서버(200)의 제어에 의해 동작될 수 있으며, 데이터베이스에 저장된 정보 변경으로 로그 데이터가 새로 기록될 때마다 로그 데이터를 추출할 수 있고, 미리 설정된 기간마다 일괄적으로 로그 데이터를 추출할 수도 있다.
이후, 복수의 서버(100)에 설치된 복수의 에이전트는 중앙 서버(200)의 제어에 의해, 추출된 로그 데이터를 패킷으로 복제할 수 있다.
즉, 중앙 서버(200)는 복수의 서버(100) 각각에 설치된 복수의 에이전트를 통해, 추출된 로그 데이터가 패킷으로 복제되도록 처리할 수 있다.
예를 들어, 제1 서버(110)에 설치된 제1 에이전트는 제1 서버(110)에서 추출된 로그 데이터를 패킷으로 복제하고, 제2 서버(120)에 설치된 제2 에이전트는 제2 서버(120)에서 추출된 로그 데이터를 패킷으로 복제할 수 있다.
제1 에이전트 및 제2 에이전트는 중앙 서버(200)의 제어에 의해 동작될 수 있으며, 로그 데이터가 추출될 때마다 추출된 로그 데이터를 패킷으로 복제할 수 있고, 미리 설정된 기간마다 일괄적으로 추출된 로그 데이터를 패킷으로 복제할 수 있다.
이후, 복수의 서버(100)에 설치된 복수의 에이전트는 복제된 로그 데이터를 중앙 서버(200)로 전달할 수 있다.
구체적으로, 복수의 서버(100)에 설치된 복수의 에이전트는 복제된 로그 데이터를 클라우드 스토리지로 전달할 수 있으며, 복제된 로그 데이터가 복수의 에이전트로부터 클라우드 스토리지로 전달되면, 전달된 로그 데이터가 클라우드 스토리지에 저장될 수 있다. 이후, 중앙 서버(200)는 클라우드 스토리지에 저장된 로그 데이터를 획득할 수 있다.
이후, 중앙 서버(200)는 복제된 로그 데이터가 전달되면, 전달된 로그 데이터의 복호화를 병렬로 처리할 수 있다. 이때, 중앙 서버(200)는 중앙 서버(200)와 연결된 오토 스케일링 그룹(Auto Scaling Group)을 통해, 획득된 로그 데이터의 복호화를 병렬로 처리할 수 있다.
예를 들어, 오토 스케일링 그룹(Auto Scaling Group)이 5개의 서버로 구성되어 있고, 로그 데이터를 복호화 하기 위해 처리해야 하는 일의 수가 10,000개인 경우, 중앙 서버(200)는 처리해야 하는 일을 2,000개씩으로 분배하여, 분배된 일을 5개의 병렬 서버로 전달하여 처리하게 함으로써, 로그 데이터의 복호화를 복수의 병렬 서버를 통해 병렬로 처리할 수 있다.
이후, 중앙 서버(200)는 복호화된 로그 데이터를 중앙 서버(200)와 연결된 중앙 서버(200)의 데이터베이스에 저장하도록, 복수의 병렬 서버 및 중앙 서버(200)의 데이터베이스의 동작을 제어할 수 있다.
예를 들어, 제1 병렬 서버 및 제2 병렬 서버를 통해 로그 데이터의 복호화가 병렬로 처리된 경우, 중앙 서버(200)는 제1 병렬 서버를 통해 복호화된 로그 데이터와 제2 병렬 서버를 통해 복호화된 로그 데이터가 결합되어, 중앙 서버(200)의 데이터베이스에 저장되도록 처리할 수 있다.
즉, 상술한 바와 같이, 로그 데이터의 패킷이 복제되어 중앙 서버(200)로 전달되면, 중앙 서버(200)는 전달된 로그 데이터를 획득하여, 이로부터 쿼리를 뽑아내는 과정을 수행할 수 있다. 이때, 중앙 서버(200)는 쿼리를 뽑아내기 위해 필요한 복호화를 복수의 병렬 서버를 통해 분산 처리되도록 제어하여, 복호화를 분산시켜 병렬로 처리할 수 있다.
일실시예에 따르면, 중앙 서버(200)는 클라우드 스토리지에 저장되어 있는 로그 데이터의 파일 중 처리해야 하는 로그 데이터의 파일 리스트를 획득할 수 있다. 즉, 클라우드 스토리지에 저장되어 있는 파일 중 처리해야 할 파일 리스트를 획득할 수 있다.
예를 들어, 클라우드 스토리지에 제1 로그 데이터, 제2 로그 데이터 및 제3 로그 데이터에 대한 파일이 저장되어 있는 경우, 중앙 서버(200)는 제1 로그 데이터, 제2 로그 데이터 및 제3 로그 데이터를 포함하는 파일 리스트를 획득할 수 있다.
중앙 서버(200)는 클라우드 스토리지에 저장되어 있는 모든 로그 데이터의 파일을 처리해야 하는 로그 데이터의 파일 리스트로 획득할 수 있으며, 미리 설정된 기간 이내에 저장된 로그 데이터의 파일만 처리해야 하는 로그 데이터의 파일 리스트로 획득할 수도 있다.
중앙 서버(200)는 클라우드 스토리지의 저장 용량이 기준 용량 이하로 남아있는 것으로 확인되면, 클라우드 스토리지로부터 처리해야 하는 로그 데이터의 파일 리스트를 획득할 수 있고, 미리 설정된 기간마다 클라우드 스토리지로부터 처리해야 하는 로그 데이터의 파일 리스트를 획득할 수 있다.
이후, 중앙 서버(200)는 획득된 파일 리스트를 이용하여 처리해야 하는 일의 목록을 생성할 수 있다. 즉, 중앙 서버(200)는 복수의 병렬 서버를 통해 처리해야 할 일의 목록을 생성할 수 있다.
예를 들어, 파일 리스트에 10,000개의 로그 데이터가 포함되어 있는 경우, 중앙 서버(200)는 10,000개의 로그 데이터에 대한 복호화가 필요하기 때문에, 10,000개의 로그 데이터에 대응하는 10,000개의 일의 목록을 생성할 수 있다.
이후, 중앙 서버(200)는 생성된 일의 목록에 포함된 일을 분배하여, 오토 스케일링 그룹을 구성하는 복수의 병렬 서버로, 분배된 일에 대한 처리 요청을 각각 전송할 수 있다. 이때, 오토 스케일링 그룹의 인스턴스가 중앙 서버(200)에 처리해야 하는 일의 목록을 요청할 수 있다. 일의 목록에는 처리해야 하는 파일 리스트와 그 파일들을 복호화 할 때 필요한 키 파일이 저장되어 있어, 중앙 서버(200)는 처리해야 하는 파일 리스트와 키 파일을 분배하여, 복수의 병렬 서버로 전송할 수 있다.
예를 들어, 1번부터 6,000까지 번호가 설정된 일의 목록이 생성된 경우, 중앙 서버(200)는 1번부터 2,000번까지 일을 제1 작업으로 분배하고, 2,001번부터 4,000번까지 일을 제2 작업으로 분배하고, 4,001번부터 6,000번까지 일을 제3 작업으로 분배할 수 있다. 이후, 중앙 서버(200)는 제1 작업에 대한 처리 요청을 제1 병렬 서버로 전송하고, 제2 작업에 대한 처리 요청을 제2 병렬 서버로 전송하고, 제3 작업에 대한 처리 요청을 제3 서버로 전송할 수 있다.
이후, 중앙 서버(200)는 분배된 일의 처리에 필요한 로그 데이터의 파일과 키 파일이 클라우드 스토리지로부터 복수의 병렬 서버로 각각 전달되도록 처리하고, 복수의 병렬 서버로 전달된 로그 데이터의 파일과 키 파일을 기초로, 로그 데이터의 복호화 및 패킷 분석이 진행되도록 처리할 수 있다. 즉, 오토 스케일링 그룹의 인스턴스가 일 목록에 명시된 파일과 처리에 필요한 키 파일을 클라우드 스토리지로부터 다운로드 하고, 복수의 병렬 서버는 복호화 및 패킷 분석을 진행할 수 있다. 이때, 패킷 분석은 Wireshark의 Terminal 버전인 Tshark를 사용하여 진행될 수 있다.
예를 들어, 1번부터 2,000번까지 일이 제1 작업으로 분배되고, 2,001번부터 4,000번까지 일을 제2 작업으로 분배되고, 4,001번부터 6,000번까지 일을 제3 작업으로 분배되어, 제1 작업에 대한 처리가 제1 병렬 서버로 요청되고, 제2 작업에 대한 처리가 제2 병렬 서버로 요청되고, 제3 작업에 대한 처리가 제3 서버로 요청된 경우, 제1 병렬 서버는 제1 작업을 처리하기 위해, 클라우드 스토리지로부터 1번부터 2,000번까지의 로그 데이터 파일 및 키 파일을 획득하여, 1번부터 2,000번까지의 로그 데이터에 대한 복호화 및 패킷 분석을 진행하고, 제2 병렬 서버는 제2 작업을 처리하기 위해, 클라우드 스토리지로부터 2,001번부터 4,000번까지의 로그 데이터 및 키 파일을 획득하여, 2,001번부터 4,000번까지의 로그 데이터에 대한 복호화 및 패킷 분석을 진행하고, 제3 서버는 제3 작업을 처리하기 위해, 클라우드 스토리지로부터 4,001번부터 6,000번까지의 로그 데이터 및 키 파일을 획득하여, 4,001번부터 6,000번까지의 로그 데이터에 대한 복호화 및 패킷 분석을 진행할 수 있다.
이후, 중앙 서버(200)는 복수의 병렬 서버를 통해 로그 데이터의 복호화 및 패킷 분석이 진행되면, 로그 데이터의 복호화 및 패킷 분석을 통해 추출된 분석 결과를 중앙 서버(200)의 데이터베이스에 저장할 수 있다. 즉, 분석 결과를 중앙 서버(200)의 데이터베이스에 저장할 수 있다.
이후, 중앙 서버(200)는 중앙 서버(200)의 데이터베이스에 저장된 분석 결과를 통해 처리 완료 파일을 확인하고, 클라우드 스토리지에서 처리 완료 파일이 삭제되도록 처리할 수 있다. 즉, 처리 완료된 파일을 클라우드 스토리지에서 삭제할 수 있다.
예를 들어, 1번부터 6,000번까지의 로그 데이터에 대한 복호화 및 패킷 분석이 완료되어, 1번부터 6,000번까지의 로그 데이터에 대한 분석 결과가 중앙 서버(200)의 데이터베이스에 저장되면, 클라우드 스토리지에 저장되어 있는 1번부터 6,000번까지의 로그 데이터 파일은 삭제 처리될 수 있다.
일실시예에 따르면, 제1 서버(110)와 연결된 외부 단말에 설치되어 있는 접근 프로그램은 제1 서버(110)의 데이터베이스로 DB 변경 요청을 전송할 수 있다. 즉, ERP, 토드 프로그램, DB Log Manager 등 다양한 접근 프로그램들이 복수의 서버(100) 각각으로 요청을 보낼 수 있다.
이후, 중앙 서버(200)는 접근 프로그램이 제1 서버(110)로 DB 변경 요청을 전송한 경우, 제1 서버(110)에 설치된 제1 에이전트를 통해, 제1 포트로 전송되는 변경 요청만 필터링하여, 로그 데이터가 패킷으로 캡처되어 파일로 저장되도록 처리할 수 있다. 여기서, 제1 포트는 제1 정책을 통해 연결이 허용되어 있는 포트를 의미할 수 있다.
즉, ERP, 토드 프로그램, DB Log Manager 등 다양한 접근 프로그램들이 복수의 서버(100) 각각으로 요청을 보내는 경우, DB 에이전트가 복수의 서버(100) 각각으로 들어오는 모든 패킷을 스니핑(Sniffing) 방식으로 지켜보면서, 데이터베이스 전용 통신 포트(예를 들면, 3306)로 들어오는 요청만을 필터링해서 저장할 수 있다. 이때, DB 에이전트는 Gopacket을 사용하여 패킷의 캡쳐 및 저장을 수행할 수 있으며, 캡처한 패킷을 10,000개씩 pcap 파일 형태로 저장할 수 있다.
이후, 중앙 서버(200)는 패킷으로 캡처되어 파일로 저장된 로그 데이터가 제1 에이전트로부터 클라우드 스토리지로 전달되도록 처리할 수 있다. 즉, DB 에이전트가 저장한 pcap 파일을 클라우드 스토리지에 전송할 수 있다.
일실시예에 따르면, 제1 서버(110)의 데이터베이스는 외부와의 통신 과정에서 사용할 보안 프로토콜(TLS)을 사전에 DB Log에서 사용하는 방식에 맞춰서 프로토콜을 설정해주어야 한다.
DB Log는 데이터베이스 서버의 private key를 사용하여 외부에서 복호화 하는 과정을 필요로 하기 때문에, Diffie-Hellman 방식의 키 교환 방식을 사용하는 암호화 프로토콜은 사용할 수 없다.
Diffie-Hellman 방식은 key가 통신 과정에서 동적으로 생성되기 때문에 외부에서는 복호화 할 수 없는 방식으로, 따라서, “ECDHE” 또는 “DHE”가 들어가는 방식을 제외한 Cipher Suites만 사용되도록 설정해 주는 과정이 필요하다.
도 8은 일실시예에 따른 제1 인공 신경망의 학습을 설명하기 위한 도면이다.
일실시예에 따르면, 제1 인공 신경망은 중앙 서버(200) 및 제1 서버(110) 각각에 포함되어 별도로 구성될 수 있고, 하나로 통합되어 구성될 수도 있다.
제1 인공 신경망은 서버의 네트워크 연결 상태에 대한 분석 결과를 입력 받은 후, 서버에게 적합한 방화벽 정책을 분석하여 출력하는 알고리즘일 수 있다. 제1 인공 신경망의 학습이 이루어지는 장치는 학습된 제1 인공 신경망을 이용하여 서버에게 적합한 방화벽 정책이 어느 정책인지 분석하는 중앙 서버(200) 또는 제1 서버(110)와 동일한 장치일 수 있고, 별개의 장치일 수도 있다. 이하에서는 제1 인공 신경망이 학습되는 과정을 설명한다.
먼저, S801 단계에서, 중앙 서버(200) 또는 제1 서버(110)는 서버의 네트워크 연결 상태에 대한 분석 결과를 기초로 입력을 생성할 수 있다.
구체적으로, 중앙 서버(200) 또는 제1 서버(110)는 서버의 네트워크 연결 상태에 대한 분석 결과에 대해 전처리하는 과정을 수행할 수 있다. 전처리가 수행된 네트워크 연결 상태에 대한 분석 결과를 제1 인공 신경망의 입력으로 그대로 사용하거나, 불필요한 정보를 제거하는 통상의 처리를 거쳐 입력을 생성할 수 있다.
S802 단계에서, 중앙 서버(200) 또는 제1 서버(110)는 제1 인공 신경망에 입력을 적용할 수 있다. 제1 인공 신경망은 강화 학습(reinforcement learning)에 따라 학습되는 인공 신경망일 수 있다. 제1 인공 신경망은 강화 학습을 통해 추상적 추론을 출력하는데 적합한 Q-Network, DQN(Depp Q-Network), 또는 관계형 네트워크(relation network, RL) 구조일 수 있다.
강화 학습에 따라 학습되는 제1 인공 신경망은 다양한 보상에 평가를 반영하여 갱신 및 최적화될 수 있다. 예를 들어, 제1 보상은 서버의 네트워크 연결 상태를 고려하여 서버에게 적합한 방화벽 정책을 선정할수록 높아질 수 있으며, 제2 보상은 서버의 네트워크 연결 상태를 고려하여 서버에게 적합하지 않은 방화벽 정책을 선정하지 않을수록 높아질 수 있다.
S803 단계에서, 중앙 서버(200) 또는 제1 서버(110)는 제1 인공 신경망으로부터 출력을 획득할 수 있다. 제1 인공 신경망의 출력은 서버에게 적합한 방화벽 정책에 대한 정보일 수 있다. 이때, 제1 인공 신경망은 서버의 네트워크 연결 상태를 고려하여 서버에게 적합한 방화벽 정책을 선정하여, 서버에게 가장 적합한 방화벽 정책에 대한 정보를 출력할 수 있다.
S804 단계에서, 중앙 서버(200) 또는 제1 서버(110)는 제1 인공 신경망의 출력을 평가하여 보상을 지급할 수 있다. 이때, 출력의 평가는 제1 보상, 제2 보상 등으로 나뉠 수 있다.
구체적으로, 중앙 서버(200) 또는 제1 서버(110)는 서버의 네트워크 연결 상태를 고려하여 서버에게 적합한 방화벽 정책을 선정할수록 제1 보상을 많이 수여하고, 서버의 네트워크 연결 상태를 고려하여 서버에게 적합하지 않은 방화벽 정책을 선정하지 않을수록 제2 보상을 많이 수여할 수 있다.
S805 단계에서, 중앙 서버(200) 또는 제1 서버(110)는 평가를 기초로 제1 인공 신경망을 갱신할 수 있다.
구체적으로, 중앙 서버(200) 또는 제1 서버(110)는 제1 인공 신경망이 서버에게 가장 적합한 방화벽 정책을 분석하는 환경(environment)에서, 보상값(reward)들의 합의 기대값(expectation)이 최대화되도록, 특정한 상태(state)들에서 취할 행동(action)들을 결정하는 정책(policy)을 최적화하는 과정을 통해 제1 인공 신경망을 갱신할 수 있다.
예를 들어, 중앙 서버(200) 또는 제1 서버(110)는 제1 서버(110)에게 적합한 방화벽 정책으로 제2 정책을 선정한 것에 대해 문제가 있는 경우, 제2 정책을 선정한 것에 대해 문제가 있음을 나타내는 정보를 포함하는 제1 학습 데이터를 생성하고, 제1 학습 데이터를 제1 인공 신경망에 적용하여, 제1 서버(110)와 유사한 형태를 가지는 다른 서버에게 적합한 방화벽 정책으로 제2 정책이 선정되지 않도록, 제1 인공 신경망을 학습시키는 과정을 통해, 제1 인공 신경망을 갱신할 수 있다.
한편, 정책을 최적화하는 과정은 보상들의 합의 기대값의 최대값 또는 Q-함수의 최대값을 추정하거나, Q-함수의 손실 함수(loss function)의 최소값을 추정하는 과정을 통해 이루어질 수 있다. 손실함수의 최소값의 추정은 확률적 경사하강법(stochastic gradient descent, SGD) 등을 통해 이루어질 수 있다. 정책을 최적화하는 과정은 이에 제한되는 것은 아니며, 강화 학습에서 사용하는 다양한 최적화 알고리즘들이 이용될 수 있다.
중앙 서버(200) 또는 제1 서버(110)는 상기와 같은 제1 인공 신경망의 학습 과정을 반복함으로써, 제1 인공 신경망을 점진적으로 갱신시킬 수 있다.
구체적으로, 중앙 서버(200) 또는 제1 서버(110)는 서버에게 적합한 방화벽 정책을 선정하는데 있어, 포워딩 타입, 프로토콜, 외부 허용 IP 주소, 외부 차단 IP 주소, 가상 포트, 운영 포트 등의 항목을 모두 고려하여, 서버에게 가장 적합한 방화벽 정책을 선정한 후, 선정된 방화벽 정책에 대한 정보를 출력하는 제1 인공 신경망을 학습시킬 수 있다.
이를 통해, 중앙 서버(200) 또는 제1 서버(110)는 서버의 네트워크 연결 상태에 대한 분석 결과를 입력 받은 후, 서버에게 적합한 방화벽 정책을 분석하여 출력하는 제1 인공 신경망을 학습시킬 수 있다.
즉, 중앙 서버(200) 또는 제1 서버(110)는 서버의 네트워크 연결 상태에 대한 분석 결과를 통해, 서버에게 적합한 방화벽 정책을 분석할 때, 제1 보상, 제2 보상 등을 통한 강화 학습을 반영하여, 분석 기준을 조정함으로써, 제1 인공 신경망을 학습시킬 수 있다.
도 9는 일실시예에 따른 제2 인공 신경망의 학습을 설명하기 위한 도면이다.
일실시예에 따르면, 제2 인공 신경망은 서버의 네트워크 트래픽에 대한 모니터링 정보를 입력 받은 후, 서버에 공격으로 추정되는 접근이 감지되었는지 여부에 대한 검출 결과를 출력하는 알고리즘일 수 있다. 제2 인공 신경망의 학습이 이루어지는 장치는 학습된 제2 인공 신경망을 이용하여 서버가 공격을 받았는지 여부를 분석하는 중앙 서버(200)와 동일한 장치일 수 있고, 별개의 장치일 수도 있다. 이하에서는 제2 인공 신경망이 학습되는 과정을 설명한다.
먼저, S901 단계에서, 중앙 서버(200)는 서버의 네트워크 트래픽에 대한 모니터링 정보를 기초로 입력을 생성할 수 있다.
구체적으로, 중앙 서버(200)는 서버의 네트워크 트래픽에 대한 모니터링 정보를 전처리하는 과정을 수행할 수 있다. 전처리가 수행된 서버의 네트워크 트래픽에 대한 모니터링 정보를 제2 인공 신경망의 입력으로 그대로 사용하거나, 불필요한 정보를 제거하는 통상의 처리를 거쳐 입력을 생성할 수 있다.
S902 단계에서, 중앙 서버(200)는 제2 인공 신경망에 입력을 적용할 수 있다. 제2 인공 신경망은 강화 학습(reinforcement learning)에 따라 학습되는 인공 신경망일 수 있다. 제2 인공 신경망은 강화 학습을 통해 추상적 추론을 출력하는데 적합한 Q-Network, DQN(Depp Q-Network), 또는 관계형 네트워크(relation network, RL) 구조일 수 있다.
강화 학습에 따라 학습되는 제2 인공 신경망은 다양한 보상에 평가를 반영하여 갱신 및 최적화될 수 있다. 예를 들어, 제1 보상은 서버의 네트워크 트래픽이 과다하게 발생할수록 서버에 공격으로 추정되는 접근이 감지된 것으로 검출하면 보상값이 높아질 수 있으며, 제2 보상은 동일한 IP 주소로 과다한 접속이 이루어질수록 서버에 공격으로 추정되는 접근이 감지된 것으로 검출하면 보상값이 높아질 수 있다.
S903 단계에서, 중앙 서버(200)는 제2 인공 신경망으로부터 출력을 획득할 수 있다. 제2 인공 신경망의 출력은 서버에 공격으로 추정되는 접근이 감지되었는지 여부에 대한 검출 결과이다.
제2 인공 신경망은 서버의 네트워크 트래픽에 대한 모니터링 정보를 통해, 서버에 공격으로 추정되는 접근이 감지되었는지 분석하여, 서버에 공격으로 추정되는 접근이 감지되었는지 여부에 대한 검출 결과를 출력할 수 있다.
S904 단계에서, 중앙 서버(200)는 제2 인공 신경망의 출력을 평가하여 보상을 지급할 수 있다. 이때, 출력의 평가는 제1 보상, 제2 보상 등으로 나뉠 수 있다.
구체적으로, 중앙 서버(200)는 서버의 네트워크 트래픽이 과다하게 발생할수록 서버에 공격으로 추정되는 접근이 감지된 것으로 검출하면 제1 보상을 많이 수여하고, 동일한 IP 주소로 과다한 접속이 이루어질수록 서버에 공격으로 추정되는 접근이 감지된 것으로 검출하면 제2 보상을 많이 수여할 수 있다.
S905 단계에서, 중앙 서버(200)는 평가를 기초로 제2 인공 신경망을 갱신할 수 있다.
구체적으로, 중앙 서버(200)는 제2 인공 신경망이 서버의 네트워크 트래픽에 대한 모니터링 정보를 통해 서버에 공격으로 추정되는 접근이 감지되었는지 여부를 분석하는 환경(environment)에서, 보상값(reward)들의 합의 기대값(expectation)이 최대화되도록, 특정한 상태(state)들에서 취할 행동(action)들을 결정하는 정책(policy)을 최적화하는 과정을 통해 제2 인공 신경망을 갱신할 수 있다.
한편, 정책을 최적화하는 과정은 보상들의 합의 기대값의 최대값 또는 Q-함수의 최대값을 추정하거나, Q-함수의 손실 함수(loss function)의 최소값을 추정하는 과정을 통해 이루어질 수 있다. 손실함수의 최소값의 추정은 확률적 경사하강법(stochastic gradient descent, SGD) 등을 통해 이루어질 수 있다. 정책을 최적화하는 과정은 이에 제한되는 것은 아니며, 강화 학습에서 사용하는 다양한 최적화 알고리즘들이 이용될 수 있다.
중앙 서버(200)는 상기와 같은 제2 인공 신경망의 학습 과정을 반복함으로써, 제2 인공 신경망을 점진적으로 갱신시킬 수 있다. 이를 통해, 중앙 서버(200)는 서버의 네트워크 트래픽에 대한 모니터링 정보를 통해, 서버에 공격으로 추정되는 접근이 감지되었는지 여부에 대한 검출 결과를 출력하는 제2 인공 신경망을 학습시킬 수 있다.
즉, 중앙 서버(200)는 서버의 네트워크 트래픽에 대한 모니터링 정보를 통해 서버에 공격으로 추정되는 접근이 감지되었는지 여부에 대해 분석할 때, 제1 보상, 제2 보상 등을 통한 강화 학습을 반영하여, 분석 기준을 조정함으로써, 제2 인공 신경망을 학습시킬 수 있다.
도 10은 일실시예에 따른 장치의 구성의 예시도이다.
일실시예에 따른 장치(1000)는 프로세서(1001) 및 메모리(1002)를 포함한다. 프로세서(1001)는 도 1 내지 도 9를 참조하여 전술된 적어도 하나의 장치들을 포함하거나, 도 1 내지 도 9를 참조하여 전술된 적어도 하나의 방법을 수행할 수 있다. 구체적으로, 장치(1000)는 서버, 사용자 단말, 또는 인공 신경망의 학습 장치 등일 수 있다. 장치(1000)를 이용하는 자 또는 단체는 도 1 내지 도 9를 참조하여 전술된 방법들 일부 또는 전부와 관련된 서비스를 제공할 수 있다.
메모리(1002)는 전술된 방법들과 관련된 정보를 저장하거나 후술되는 방법들이 구현된 프로그램을 저장할 수 있다. 메모리(1002)는 휘발성 메모리 또는 비휘발성 메모리일 수 있다.
프로세서(1001)는 프로그램을 실행하고, 장치(1000)를 제어할 수 있다. 프로세서(1001)에 의하여 실행되는 프로그램의 코드는 메모리(1002)에 저장될 수 있다. 장치(1000)는 입출력 장치(도면 미 표시)를 통하여 외부 장치(예를 들어, 퍼스널 컴퓨터 또는 네트워크)에 연결되고, 유무선 통신을 통해 데이터를 교환할 수 있다.
장치(1000)는 인공 신경망을 학습시키거나, 학습된 인공 신경망을 이용하는데 사용될 수 있다. 메모리(1002)는 학습 중인 또는 학습된 인공 신경망을 포함할 수 있다. 프로세서(1001)는 메모리(1002)에 저장된 인공 신경망 알고리즘을 학습시키거나 실행시킬 수 있다. 인공 신경망을 학습시키는 장치(1000)와 학습된 인공 신경망을 이용하는 장치(1000)는 동일할 수도 있고 개별적일 수도 있다.
이상에서 설명된 실시예들은 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치, 방법 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
이상과 같이 실시예들이 비록 한정된 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기를 기초로 다양한 기술적 수정 및 변형을 적용할 수 있다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 청구범위의 범위에 속한다.

Claims (5)

  1. 중앙 서버에 의해 수행되는, 인공지능을 기반으로 호스트 방화벽의 정책 설정을 제어하는 방법에 있어서,
    상기 중앙 서버와 내부망을 통해 연결된 복수의 서버 중 어느 하나인 제1 서버로부터, 상기 제1 서버의 운영체제 정보 및 상기 제1 서버의 네트워크 설정 정보를 수신하는 단계;
    상기 제1 서버의 운영체제 정보 및 상기 제1 서버의 네트워크 설정 정보를 기초로, 상기 제1 서버의 네트워크 연결 상태를 분석하는 단계;
    상기 제1 서버의 네트워크 연결 상태에 대한 분석 결과를 상기 중앙 서버 내의 제1 인공 신경망에 적용하여, 상기 제1 인공 신경망의 출력을 기초로, 상기 제1 서버에게 적합한 방화벽 정책을 선정하는 단계;
    상기 제1 서버에게 적합한 방화벽 정책으로 제1 정책이 선정되면, 상기 제1 서버의 방화벽 정책에 상기 제1 정책이 포함되어 있는지 여부를 확인하는 단계;
    상기 제1 서버의 방화벽 정책에 상기 제1 정책이 포함되어 있지 않은 것으로 확인되면, 상기 제1 서버의 방화벽 정책에 상기 제1 정책을 추가하여 등록하는 단계;
    상기 제1 서버의 방화벽 정책에 상기 제1 정책이 추가로 등록되면, 상기 제1 서버의 방화벽 정책에 대한 설정 변경 명령을 상기 제1 서버로 전송하여, 상기 제1 정책이 상기 제1 서버의 방화벽 정책으로 설정되도록 제어하는 단계;
    상기 제1 서버로부터 상기 제1 서버의 네트워크 트래픽에 대한 모니터링 정보를 수신하는 단계;
    상기 제1 서버의 네트워크 트래픽에 대한 모니터링 정보를 상기 중앙 서버 내의 제2 인공 신경망에 적용하여, 상기 제2 인공 신경망의 출력을 기초로, 상기 제1 서버에 공격으로 추정되는 접근이 감지되었는지 여부를 검출하는 단계;
    미리 설정된 기준 기간 동안 상기 제1 서버에 공격으로 추정되는 접근이 몇 번 감지되었는지 확인하여, 상기 제1 서버가 상기 기준 기간 동안 공격받은 횟수인 제1 공격 횟수를 산출하는 단계;
    상기 제1 공격 횟수가 미리 설정된 제1 기준 횟수 보다 적은지 여부를 확인하는 단계;
    상기 제1 공격 횟수가 상기 제1 기준 횟수 보다 적은 것으로 확인되면, 상기 제1 서버의 상태를 정상 상태로 판단하는 단계;
    상기 제1 공격 횟수가 상기 제1 기준 횟수 보다 많은 것으로 확인되면, 상기 제1 공격 횟수가 미리 설정된 제2 기준 횟수 보다 적은지 여부를 확인하는 단계;
    상기 제1 공격 횟수가 상기 제2 기준 횟수 보다 적은 것으로 확인되면, 상기 제1 서버의 상태를 경고 상태로 판단하는 단계;
    상기 제1 공격 횟수가 상기 제2 기준 횟수 보다 많은 것으로 확인되면, 상기 제1 서버의 상태를 위험 상태로 판단하는 단계;
    상기 제1 서버의 상태가 경고 상태로 판단되면, 상기 제1 서버의 공격을 경고하는 알림 메시지를 상기 제1 서버의 관리자로 등록되어 있는 제1 관리자 단말로 전송하는 단계; 및
    상기 제1 서버의 상태가 위험 상태로 판단되면, 상기 제1 정책을 통해 연결이 허용되어 있는 제1 포트의 연결 차단 명령을 상기 제1 서버로 전송하여, 상기 제1 서버에서 상기 제1 포트를 통한 연결이 차단되도록 제어하는 단계를 포함하는,
    인공지능 기반 호스트 방화벽의 정책 설정 제어 방법.
  2. 제1항에 있어서,
    상기 제1 정책이 상기 제1 서버의 방화벽 정책으로 설정되도록 제어하는 단계 이후,
    상기 복수의 서버 중 제1 운영체제의 환경으로 운영되는 서버들을 제1 그룹으로 분류하는 단계;
    상기 제1 그룹으로 분류된 서버 중 제1 포트로 연결되어 통신을 수행하는 서버들을 제1-1 그룹으로 분류하는 단계;
    상기 제1 서버 및 제2 서버가 상기 제1-1 그룹으로 분류된 경우, 상기 제2 서버의 방화벽 정책에 상기 제1 정책이 포함되어 있는지 여부를 확인하는 단계;
    상기 제2 서버의 방화벽 정책에 상기 제1 정책이 포함되어 있지 않은 것으로 확인되면, 상기 제2 서버의 방화벽 정책에 상기 제1 정책을 추가하여 등록하는 단계; 및
    상기 제2 서버의 방화벽 정책에 상기 제1 정책이 추가로 등록되면, 상기 제2 서버의 방화벽 정책에 대한 설정 변경 명령을 상기 제2 서버로 전송하여, 상기 제1 정책이 상기 제2 서버의 방화벽 정책으로 설정되도록 제어하는 단계를 더 포함하는,
    인공지능 기반 호스트 방화벽의 정책 설정 제어 방법.
  3. 삭제
  4. 제1항에 있어서,
    상기 제1 정책이 상기 제1 서버의 방화벽 정책으로 설정되도록 제어하는 단계 이후,
    상기 제1 서버의 방화벽 정책에 상기 제1 정책 및 제2 정책이 등록되어 있는 경우, 상기 제1 정책을 통해 연결이 허용되어 있는 IP 주소의 리스트인 제1 리스트와 상기 제2 정책을 통해 연결이 허용되어 있는 IP 주소의 리스트인 제2 리스트를 확인하는 단계;
    상기 제1 리스트 및 상기 제2 리스트를 비교한 결과, 상기 제1 리스트가 상기 제2 리스트 보다 허용 범위가 넓은 것으로 확인되면, 상기 제1 정책의 우선순위를 1순위로 설정하고, 상기 제2 정책의 우선순위를 2순위로 설정하는 단계;
    상기 제1 리스트 및 상기 제2 리스트를 비교한 결과, 상기 제1 리스트가 상기 제2 리스트 보다 허용 범위가 좁은 것으로 확인되면, 상기 제1 정책의 우선순위를 2순위로 설정하고, 상기 제2 정책의 우선순위를 1순위로 설정하는 단계;
    상기 제1 리스트 및 상기 제2 리스트를 비교한 결과, 상기 제1 리스트 및 상기 제2 리스트의 허용 범위가 동일한 것으로 확인되면, 상기 제1 정책을 통해 연결이 차단되어 있는 IP 주소의 리스트인 제3 리스트와 상기 제2 정책을 통해 연결이 차단되어 있는 IP 주소의 리스트인 제4 리스트를 확인하는 단계;
    상기 제3 리스트 및 상기 제4 리스트를 비교한 결과, 상기 제3 리스트가 상기 제4 리스트 보다 차단 범위가 좁은 것으로 확인되면, 상기 제1 정책의 우선순위를 1순위로 설정하고, 상기 제2 정책의 우선순위를 2순위로 설정하는 단계; 및
    상기 제3 리스트 및 상기 제4 리스트를 비교한 결과, 상기 제3 리스트가 상기 제4 리스트 보다 차단 범위가 넓은 것으로 확인되면, 상기 제1 정책의 우선순위를 2순위로 설정하고, 상기 제2 정책의 우선순위를 1순위로 설정하는 단계를 더 포함하는,
    인공지능 기반 호스트 방화벽의 정책 설정 제어 방법.
  5. 삭제
KR1020220017343A 2022-02-10 2022-02-10 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법, 장치 및 시스템 Active KR102430988B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220017343A KR102430988B1 (ko) 2022-02-10 2022-02-10 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법, 장치 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220017343A KR102430988B1 (ko) 2022-02-10 2022-02-10 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법, 장치 및 시스템

Publications (1)

Publication Number Publication Date
KR102430988B1 true KR102430988B1 (ko) 2022-08-11

Family

ID=82803477

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220017343A Active KR102430988B1 (ko) 2022-02-10 2022-02-10 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법, 장치 및 시스템

Country Status (1)

Country Link
KR (1) KR102430988B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116016185A (zh) * 2022-12-27 2023-04-25 重庆富民银行股份有限公司 一种防火墙策略自动下发方法
KR102570245B1 (ko) * 2022-10-19 2023-08-24 한국전자기술연구원 Ai 기반 정보 인프라 자율제어 방법 및 시스템

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101415850B1 (ko) 2012-11-30 2014-07-09 한국전자통신연구원 방화벽 정책 점검 장치 및 방법
KR20210068968A (ko) * 2019-12-02 2021-06-10 (주)아스트론시큐리티 보안 os 이미지 관리 방법 및 이 방법을 이용하는 인터넷 서버
KR102280774B1 (ko) 2019-12-27 2021-07-22 (주)모니터랩 프로파일링 로그 분석을 통한 자동화된 웹 방화벽 정책 수립 장치 및 방법
KR20210106896A (ko) * 2020-02-21 2021-08-31 주식회사 에이치엠아이(HMI Inc.) 보안 통제 관리 시스템 및 그 방법
KR102312019B1 (ko) 2020-10-20 2021-10-12 현대오토에버 주식회사 방화벽 제어 장치 및 이를 포함하는 방화벽 정책 관리 시스템
KR102333028B1 (ko) 2017-10-19 2021-11-29 삼성에스디에스 주식회사 방화벽 정책 제어 장치 및 방법

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101415850B1 (ko) 2012-11-30 2014-07-09 한국전자통신연구원 방화벽 정책 점검 장치 및 방법
KR102333028B1 (ko) 2017-10-19 2021-11-29 삼성에스디에스 주식회사 방화벽 정책 제어 장치 및 방법
KR20210068968A (ko) * 2019-12-02 2021-06-10 (주)아스트론시큐리티 보안 os 이미지 관리 방법 및 이 방법을 이용하는 인터넷 서버
KR102280774B1 (ko) 2019-12-27 2021-07-22 (주)모니터랩 프로파일링 로그 분석을 통한 자동화된 웹 방화벽 정책 수립 장치 및 방법
KR20210106896A (ko) * 2020-02-21 2021-08-31 주식회사 에이치엠아이(HMI Inc.) 보안 통제 관리 시스템 및 그 방법
KR102312019B1 (ko) 2020-10-20 2021-10-12 현대오토에버 주식회사 방화벽 제어 장치 및 이를 포함하는 방화벽 정책 관리 시스템

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102570245B1 (ko) * 2022-10-19 2023-08-24 한국전자기술연구원 Ai 기반 정보 인프라 자율제어 방법 및 시스템
CN116016185A (zh) * 2022-12-27 2023-04-25 重庆富民银行股份有限公司 一种防火墙策略自动下发方法

Similar Documents

Publication Publication Date Title
US10095552B2 (en) Automated transfer of objects among federated areas
US10346211B2 (en) Automated transition from non-neuromorphic to neuromorphic processing
EP3757843B1 (en) Security monitoring platform for managing access rights associated with cloud applications
US10338993B1 (en) Analysis of failures in combinatorial test suite
US10157086B2 (en) Federated device support for generation of directed acyclic graphs
US20180241764A1 (en) Computer system to identify anomalies based on computer- generated results
US20180103052A1 (en) System and methods for automated detection, reasoning and recommendations for resilient cyber systems
KR102472800B1 (ko) 인공지능 기반 기업 등급 평가 방법, 장치 및 시스템
US11176508B2 (en) Minimizing compliance risk using machine learning techniques
US20230259654A1 (en) Privacy-preserving computing on subject data used to develop artificial intelligence tools
KR102430988B1 (ko) 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법, 장치 및 시스템
Murthy et al. Resource Allocation for Generative AI Workloads: Advanced Cloud Resource Management Strategies for Optimized Model Performance
KR102451127B1 (ko) 기업의 급여명세서 정보를 기반으로 기업의 경영 전략을 제공하는 방법, 장치 및 시스템
Sacco et al. An architecture for adaptive task planning in support of IoT-based machine learning applications for disaster scenarios
CN117692174A (zh) 一种基于人工智能的零信任动态身份验证和授权方法
Zegzhda et al. Approaches to modeling the security of cyberphysical systems
US12079066B1 (en) Method to estimate time to failure from sectional survival probabilities
KR102398085B1 (ko) 인공지능 기반 기업 정보 자동 처리 및 생성 방법, 장치 및 시스템
Nijim et al. Secure-stor: A novel hybrid storage system architecture to enhance security and performance in edge computing
KR102429832B1 (ko) 네트워크 환경 분석 기반 원격 접속 서비스 제공 방법
KR102453919B1 (ko) 인공지능 기반 문화 콘텐츠 관련 가이드 음원의 검증 방법, 장치 및 시스템
Radhakrishnan et al. Research Article Trusted Virtual Machine Allocation in Cloud Computing IaaS Service
Bedi et al. Trust-based access control for collaborative systems
KR102500172B1 (ko) 장치 간의 메모리 동기화 방법, 제어 장치 및 시스템
KR102739197B1 (ko) 기업의 it 인프라 환경 분석에 따른 보안 솔루션 구축 및 유지 보수를 위한 플랫폼 서비스 제공 방법

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20220210

PA0201 Request for examination
PA0302 Request for accelerated examination

Patent event date: 20220210

Patent event code: PA03022R01D

Comment text: Request for Accelerated Examination

PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20220413

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20220801

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20220804

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20220804

End annual number: 3

Start annual number: 1

PG1601 Publication of registration