KR102726481B1 - Ip 대역의 서버 환경 변경 감지 및 보안 관리 방법, 장치 및 컴퓨터-판독가능 기록매체 - Google Patents
Ip 대역의 서버 환경 변경 감지 및 보안 관리 방법, 장치 및 컴퓨터-판독가능 기록매체 Download PDFInfo
- Publication number
- KR102726481B1 KR102726481B1 KR1020230157847A KR20230157847A KR102726481B1 KR 102726481 B1 KR102726481 B1 KR 102726481B1 KR 1020230157847 A KR1020230157847 A KR 1020230157847A KR 20230157847 A KR20230157847 A KR 20230157847A KR 102726481 B1 KR102726481 B1 KR 102726481B1
- Authority
- KR
- South Korea
- Prior art keywords
- information
- server
- event
- band
- event trigger
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 81
- 230000008859 change Effects 0.000 title claims abstract description 41
- 238000001514 detection method Methods 0.000 title claims abstract description 24
- 238000009795 derivation Methods 0.000 claims abstract description 29
- 238000012217 deletion Methods 0.000 claims abstract description 17
- 230000037430 deletion Effects 0.000 claims abstract description 17
- 230000009471 action Effects 0.000 claims description 78
- 230000008569 process Effects 0.000 claims description 41
- 238000012545 processing Methods 0.000 claims description 20
- 238000003058 natural language processing Methods 0.000 claims description 18
- 230000015654 memory Effects 0.000 claims description 11
- 230000000737 periodic effect Effects 0.000 claims description 7
- 230000006399 behavior Effects 0.000 claims description 5
- 238000012423 maintenance Methods 0.000 claims description 5
- 239000000284 extract Substances 0.000 claims description 2
- 238000007726 management method Methods 0.000 description 22
- 238000007792 addition Methods 0.000 description 18
- 230000006870 function Effects 0.000 description 16
- 238000004891 communication Methods 0.000 description 10
- 230000002093 peripheral effect Effects 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 9
- 230000002457 bidirectional effect Effects 0.000 description 7
- 102100033814 Alanine aminotransferase 2 Human genes 0.000 description 6
- 101710096000 Alanine aminotransferase 2 Proteins 0.000 description 6
- 238000012986 modification Methods 0.000 description 6
- 230000004048 modification Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000012549 training Methods 0.000 description 5
- 102100036475 Alanine aminotransferase 1 Human genes 0.000 description 3
- 101710096214 Alanine aminotransferase 1 Proteins 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 238000013135 deep learning Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000000877 morphologic effect Effects 0.000 description 2
- 238000002360 preparation method Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 239000013598 vector Substances 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000013136 deep learning model Methods 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000007670 refining Methods 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
- 238000013526 transfer learning Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
클라우드 서버 내에서 이벤트 트리거가 발생하는 경우, 이벤트 트리거가 발생한 IP를 분석하여 이벤트 트리거가 발생한 IP 대역을 이용 대역으로 할당받은 유저를 확인하고, 이를 이용하여 이벤트 트리거가 인가된 행위인지에 대한 여부를 판단하여 유저의 서버 보안 유지가 가능하게 하기 위하여, 본 발명의 일 실시예에 따른 IP 대역의 서버 환경 변경 감지 및 보안 관리 방법은, 기존의 클라우드 서버 내에서 새로운 서버의 신규 추가, 기존 서버의 변경 또는 기존 서버의 삭제를 포함하는 IP 대역의 서버 환경 변경에 관한 이벤트 트리거를 탐지하는 이벤트 탐지 단계; 상기 이벤트 트리거가 발생한 IP를 분석한 뒤 분석한 IP가 속하는 IP 대역에 대한 정보를 이용하여, 이벤트 트리거가 발생한 IP가 속하는 IP 대역을 이용 대역으로 할당받은 유저를 확인하는 IP 대역 도출 단계; 및 상기 IP 대역 도출 단계에 의하여 확인된 상기 유저의 작업 정보를 이용하여, 상기 이벤트 트리거에 대응되는 행위가 인가된 행위인지 여부를 판단하는 이벤트 적합 판단 단계;를 포함하는 것을 특징으로 한다.
Description
본 발명은 인가되지 않은 이벤트로부터 서버를 보호하기 위한 기술에 관한 것으로, 구체적으로는 특정 서버의 추가, 변경 또는 삭제 이벤트가 발생할 시, 해당 이벤트가 일어난 IP를 분석하여 IP 대역으로 구분 가능한 유저 중 어떤 유저의 사용 구역에 해당하는 IP 대역에서 서버에 대한 이벤트가 발생하였는지를 판단하고, 이에 대하여 서버에 대해 발생한 이벤트와 해당 유저의 작업 계획서를 비교하여 발생한 이벤트가 인가된 행위인지 비인가된 행위인지 판단하여 비인가된 행위에 해당하는 이벤트에 대하여 대응함으로써, 클라우드 서버를 보호하고 서버를 원활하게 관리하기 위한 기술에 관한 것이다.
4차 산업 혁명의 중심에 있는 인공지능, IoT 등의 기술 발전으로 인해서 데이터의 양은 점점 기하급수적으로 증가하고 있으며, 전 세계에서 점점 더 많은 사람들이 다양한 인터넷 네트워크 서비스를 즐기고 있다. 이렇게 기술의 발달과 인터넷 이용자가 많아질수록 방대한 데이터를 저장하고 처리할 인프라 또한 중요해지고 있으며 클라우드가 그 중심 역할을 하고 있다.
클라우드 컴퓨팅이란 인터넷을 통해 액세스 할 수 있는 서버와 이러한 서버에서 작동하는 소프트웨어와 데이터베이스를 의미한다. 직접 물리적인 서버를 보유하고 관리할 필요 없이 대부분의 장치에서 시간과 공간의 제약없이 파일 및 어플리케이션에 접근할 수 있도록 해주는 기술이다.
클라우드 서비스가 4차 산업 혁명 시대에서 더욱 주목받는 이유는 예측이 빗나가거나 갑작스럽게 기업의 규모가 성장하는 경우에도 실시간으로 이용할 인프라의 규모를 변경할 수 있어 비용 측면에서도 합리적이며, 예상치 못하게 트래픽이 급증하는 상황에서도 자동으로 트래픽을 증감할 수 있어 빠른 대응이 가능해 서비스의 중단이 발생할 확률이 줄어들기 때문이다.
이러한 특징으로 인해서 2023년 1분기 클라우드 인프라 서비스에 대한 전 세계 기업의 지출 또한 전년 동기보다 100억 달러 이상 증가하여 630억 달러 이상을 기록한 것으로 나타났다.
그러나 클라우드 환경이 증가로 인해 클라우드 환경을 노린 해킹 또한 증가하고 있어 데이터 보안의 우려로 인해 클라우드 성장에 걸림돌이 되고 있다. 클라우드는 다수의 정보를 인터넷을 통해 연결하여 사용하는 특성 때문에 기존의 물리 서버 환경보다 더 보안에 취약할 뿐만 아니라 액세스 관리, 데이터 손실 방지, 보안 정보 및 이벤트 관리, 재해 복구 등과 같은 다양한 측면에서 보안에 대한 솔루션을 고려해야 한다는 점에서 어려움이 있다.
이에 따라서, 예를 들어 한국 등록특허 제10-1874081호(2018년 6월 27일) 등에서는, 한층 진화된 클라우드 서비스 보안 기능을 지원하기 위하여 트러스티드 플랫폼을 이용하여 컴퓨팅 환경에서 암호화 키를 저장할 수 있는 보안 암호 장치를 통해 클라우드 서비스를 안전하게 이용할 수 있도록 하는 기술을 개시하고 있다.
그러나 이러한 기술들은 여러 인증 과정을 거친 단말기를 지녀야 하는 불편함이 있을 뿐만 아니라, 인증 과정 이후에 해킹이 되는 경우에는 대응할 수 없으며, 클라우드 서버 내에 일어난 이벤트가 유저의 사전 계획에 의한 것인지 또는 외부의 해킹에 의해 일어난 이벤트인지 구분이 힘들다는 문제가 있다.
이에 본 발명은 구체적으로 기존의 클라우드 서버 내에서 서버의 변화인 이벤트 트리거가 발생하는 경우, 이벤트 트리거가 발생한 IP를 분석하여 이벤트 트리거가 발생한 IP 대역을 이용 대역으로 할당받은 유저를 확인하고, 유저의 작업 정보와 이벤트 트리거에 해당되는 행위를 비교하여 발생한 이벤트 트리거가 인가된 행위인지에 대한 여부 판단이 가능하도록 함으로써, IP 대역 중 다수의 서버 환경 내에서 일어난 서버 변경을 감지하고, 이에 대해 빠르게 대처하여 보안을 유지하기 위한 기술을 제공하는 데 그 목적이 있다.
상기 목적을 달성하기 위하여, 본 발명의 일 실시 예에 따른 IP 대역의 서버 환경 변경 감지 및 보안 관리 방법은, 기존의 클라우드 서버 내에서 새로운 서버의 신규 추가, 기존 서버의 변경 또는 기존 서버의 삭제를 포함하는 IP 대역의 서버 환경 변경에 관한 이벤트 트리거를 탐지하는 이벤트 탐지 단계; 상기 이벤트 트리거가 발생한 IP를 분석한 뒤 분석한 IP가 속하는 IP 대역에 대한 정보를 이용하여, 이벤트 트리거가 발생한 IP가 속하는 IP 대역을 이용 대역으로 할당받은 유저를 확인하는 IP 대역 도출 단계; 및 상기 IP 대역 도출 단계에 의하여 확인된 상기 유저의 작업 정보를 이용하여, 상기 이벤트 트리거에 대응되는 행위가 인가된 행위인지 여부를 판단하는 이벤트 적합 판단 단계;를 포함하는 것을 특징으로 한다.
상기 이벤트 적합 판단 단계는, 상기 IP 대역 도출 단계에서 확인한 상기 유저의 계정으로부터 작업 종류 및 예상 작업 일정에 대한 정보를 포함하는 작업 계획서를 수신하고 수신한 작업 계획서를 이용하여 상기 작업 정보를 도출하는 것이 가능하다.
상기 이벤트 적합 판단 단계는, 상기 작업 계획서에 포함된 텍스트 데이터를 자연어 처리 알고리즘을 이용하여 업무 데이터로 가공한 결과로서 상기 작업 정보를 도출하고, 상기 작업 정보에 대응되는 행위 중 상기 이벤트 트리거에 대응되는 행위가 포함되는지 여부를 기준으로, 상기 이벤트 트리거에 대응되는 행위가 인가된 행위인지 여부를 판단하는 것이 바람직하다.
상기 이벤트 적합 판단 단계는, 상기 작업 계획서에 포함된 텍스트 데이터에 자연어 처리 알고리즘을 적용하여 작업 계획서에 대한 핵심 키워드를 추출한 뒤, 추출한 핵심 키워드에 포함된 서버의 식별 정보, 서버에 예정된 작업 행위에 대한 키워드와 이벤트 트리거에 대응되는 행위에 포함된 대상 서버 및 작업 행위가 서로 일치하는지 여부를 기준으로 상기 이벤트 트리거에 대응되는 행위가 인가된 행위인지 여부를 판단하는 것이 가능하다.
상기 이벤트 적합 판단 단계의 수행 후, 이벤트 트리거에 해당하는 행위 중에서 상기 작업 계획서와 일치하지 않는 이벤트가 존재하는 경우, 상기 IP 대역 도출 단계에 의하여 확인된 유저의 계정에 상기 이벤트 트리거에 대응되는 행위에 대한 알림을 제공하는 보안 프로세스 실행 단계;를 더 포함하는 것이 바람직하다.
상기 보안 프로세스 실행 단계는, 비 인가 이벤트 트리거와 관련된 서버의 속성 정보를 자동으로 수집하여 상기 유저 계정에 전송하며, 상기 속성 정보는 적어도 비 인가 이벤트 트리거가 발생한 서버의 용량, 종류, 목적, 변경 및 추가 시간, 및 IP 주소를 포함하는 것이 가능하다.
상기 보안 프로세스 실행 단계는, 비 인가 이벤트 트리거의 발생 정보 및 서버의 보안을 유지하기 위한 정보를 포함하는 종합 리포트를 생성하여 상기 유저에게 제공하는 것이 바람직하다.
상기 종합 리포트는, 비 인가 이벤트 행위와 관련된 서버의 속성 정보를 통해서 도출될 수 있는 결과로서, 비 인가 이벤트 트리거 발생이 기 설정된 주기별 임계 수치보다 큰 IP 구간, 및 타 서버 대비 비 인가 이벤트 트리거 발생 비율에 대한 정보를 포함하는 것이 가능하다.
한편, 본 발명의 일 실시 예에 따른 IP 대역의 서버 환경 변경 감지 및 보안 관리 장치는, 기존의 클라우드 서버 내에서 새로운 서버의 신규 추가, 기존 서버의 변경 또는 기존 서버의 삭제를 포함하는 IP 대역의 서버 환경 변경에 관한 이벤트 트리거를 탐지하는 이벤트 탐지부; 상기 이벤트 트리거가 발생한 IP를 분석한 뒤 분석한 IP가 속하는 IP 대역에 대한 정보를 이용하여, 이벤트 트리거가 발생한 IP가 속하는 IP 대역을 이용 대역으로 할당받은 유저를 확인하는 IP 대역 도출부; 및 상기 IP 대역 도출부에 의하여 확인된 상기 유저의 작업 정보를 이용하여, 상기 이벤트 트리거에 대응되는 행위가 인가된 행위인지 여부를 판단하는 이벤트 적합 판단부;를 포함하는 것을 특징으로 한다.
본 발명에 의하면, 기존의 클라우드 서버 내에서 새로운 서버의 신규 추가, 기존 서버의 변경 또는 기존 서버의 삭제를 포함하는 IP 대역의 서버 환경 변경에 관한 이벤트 트리거를 탐지함으로써 개인 또는 기업과 같은 유저가 다수 개의 서버를 이용하고 있더라도 서버 이벤트 트리거를 빠르고 쉽게 인지할 수 있다는 효과를 제공할 수 있다.
또한, 발생한 이벤트 트리거에 대한 행위를 유저의 작업 정보를 이용하여 인가된 행위인지 여부를 빠르게 판단함으로써 클라우드 서버 내에서 발생한 이벤트 트리거에 대한 조치가 필요한지에 대한 판단을 도와줄 수 있다는 효과를 제공할 수 있다.
도 1 내지 2는 본 발명의 각 실시 예에 따른 IP 대역의 서버 환경 변경 감지 및 보안 관리 방법의 플로우차트.
도 3은 본 발명의 각 실시 예에 따른 IP 대역의 서버 환경 변경 감지 및 보안 관리 방법에서 관리 서버를 이용하여 클라우드 서버 내에서 발생하는 이벤트 트리거를 모니터링 기능을 설명하기 위한 도면.
도 4는 본 발명의 각 실시 예에 따른 IP 대역의 서버 환경 변경 감지 및 보안 관리 방법에서 인가된 이벤트 트리거인지에 대한 여부를 판단하는 과정을 설명하기 위한 도면.
도 5는 본 발명의 각 실시 예에 따른 IP 대역의 서버 환경 변경 감지 및 보안 관리 방법에서 SGIM 인터페이스 화면의 일 예.
도 6은 본 발명의 각 실시 예에 따른 IP 대역의 서버 환경 변경 감지 및 보안 관리 장치의 구성 블록도.
도 7은 본 발명의 일 실시 예에 따른 컴퓨팅 장치의 내부 구성의 일 예.
도 3은 본 발명의 각 실시 예에 따른 IP 대역의 서버 환경 변경 감지 및 보안 관리 방법에서 관리 서버를 이용하여 클라우드 서버 내에서 발생하는 이벤트 트리거를 모니터링 기능을 설명하기 위한 도면.
도 4는 본 발명의 각 실시 예에 따른 IP 대역의 서버 환경 변경 감지 및 보안 관리 방법에서 인가된 이벤트 트리거인지에 대한 여부를 판단하는 과정을 설명하기 위한 도면.
도 5는 본 발명의 각 실시 예에 따른 IP 대역의 서버 환경 변경 감지 및 보안 관리 방법에서 SGIM 인터페이스 화면의 일 예.
도 6은 본 발명의 각 실시 예에 따른 IP 대역의 서버 환경 변경 감지 및 보안 관리 장치의 구성 블록도.
도 7은 본 발명의 일 실시 예에 따른 컴퓨팅 장치의 내부 구성의 일 예.
이하에서는, 다양한 실시 예들 및/또는 양상들이 이제 도면들을 참조하여 개시된다. 하기 설명에서는 설명을 목적으로, 하나이상의 양상들의 전반적 이해를 돕기 위해 다수의 구체적인 세부사항들이 개시된다. 그러나, 이러한 양상(들)은 이러한 구체적인 세부사항들 없이도 실행될 수 있다는 점 또한 본 발명의 기술 분야에서 통상의 지식을 가진 자에게 인식될 수 있을 것이다. 이후의 기재 및 첨부된 도면들은 하나 이상의 양상들의 특정한 예시적인 양상들을 상세하게 기술한다. 하지만, 이러한 양상들은 예시적인 것이고 다양한 양상들의 원리들에서의 다양한 방법들 중 일부가 이용될 수 있으며, 기술되는 설명들은 그러한 양상들 및 그들의 균등물들을 모두 포함하고자 하는 의도이다.
본 명세서에서 사용되는 "실시 예", "예", "양상", "예시" 등은 기술되는 임의의 양상 또는 설계가 다른 양상 또는 설계들보다 양호하다거나, 이점이 있는 것으로 해석되지 않을 수도 있다.
또한, "포함한다" 및/또는 "포함하는"이라는 용어는, 해당 특징 및/또는 구성요소가 존재함을 의미하지만, 하나이상의 다른 특징, 구성요소 및/또는 이들의 그룹의 존재 또는 추가를 배제하지 않는 것으로 이해되어야 한다.
또한, 제 1, 제 2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제 1 구성요소는 제 2 구성요소로 명명될 수 있고, 유사하게 제 2 구성요소도 제 1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
또한, 본 발명의 실시 예들에서, 별도로 다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 발명의 실시 예에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
도 1 내지 2는 본 발명의 각 실시 예에 따른 IP 대역의 서버 환경 변경 감지 및 보안 관리 방법의 플로우차트, 도 3은 본 발명의 각 실시 예에 따른 IP 대역의 서버 환경 변경 감지 및 보안 관리 방법에서 관리 서버를 이용하여 클라우드 서버 내에서 발생하는 이벤트 트리거를 모니터링 기능을 설명하기 위한 도면, 도 4는 본 발명의 각 실시 예에 따른 IP 대역의 서버 환경 변경 감지 및 보안 관리 방법에서 인가된 이벤트 트리거인지에 대한 여부를 판단하는 과정의 예, 도 5는 본 발명의 각 실시 예에 따른 IP 대역의 서버 환경 변경 감지 및 보안 관리 방법에서 SGIM 인터페이스 화면의 일 예, 도 6은 본 발명의 각 실시 예에 따른 IP 대역의 서버 환경 변경 감지 및 보안 관리 장치의 구성 블록도이다. 이하의 설명에 있어서 본 발명의 다양한 실시예, 세부 구성 요소 및 기술적 특징에 대한 설명을 위해서, 다수의 도면이 함께 참조되어 설명될 것이다.
또한, 본 발명의 일 실시 예에 따른 IP 대역의 서버 환경 변경 감지 및 보안 관리 방법은, 후술하는 도 6에 도시된 IP 대역의 서버 환경 변경 감지 및 보안 관리 장치(10, 이하 '본 발명의 장치'라 함) 및 그 세부 구성 요소 및 도 7에 도시된 바와 같은 컴퓨팅 장치에 의하여 수행될 수 있다. 즉, 본 발명의 장치(10)는 도 7의 컴퓨팅 장치로 구현될 수 있다.
상기 내용을 기반으로 설명하면, 도 1, 3, 및 6을 참조하면, 본 발명의 일 실시 예에 따른 IP 대역의 서버 환경 변경 감지 및 보안 관리 장치는 200에서 클라우드 서버 내의 이벤트 트리거를 탐지하는 과정에 대한 과정에 나타나 있듯이, 먼저 유저가 이용중인 기존의 클라우드 서버(21) 내에서 새로운 서버의 신규 추가, 기존 서버의 변경 또는 기존 서버의 삭제를 포함하는 IP 대역의 서버 환경 변경에 관한 이벤트 트리거를 탐지(22)하는 이벤트 탐지 단계(S100)를 수행한다. 또한, 이때 클라우드 서버(21)에서는 유저(16)의 개인 단말(23)을 통해 접속이 가능하며, 이러한 클라우드 서버는 24의 다양한 클라우드 서비스 공급자(CSP)에 의해서 제공될 수 있다.
본 발명의 일 실시 예에 있어서, 클라우드 서비스를 공급하는 CSP는 Cloud Service Provider의 약자로서 기업이 온프레미스 환경에서 클라우드 환경으로 전환하고자 할 때 클라우드 인프라와 플랫폼을 제공하는 기업으로, 고객이 원할 때 클라우드 서비스를 이용할 수 있도록 자체 데이터 센터를 구축해 다수의 물리 자원을 가상화해 제공하며 네트워크, 스토리지, 전력 등 서버 운영에 필요한 모든 것을 제공하고 있다.
본 발명의 일 실시 예에 따르면 본 발명에서 언급하는 클라우드 서버는 물리 서버와 반대되는 개념으로서, 일반적으로 네트워크를 통해 호스팅 및 제공되며 여러 사용자가 온디맨드로 액세스할 수 있는 서버이다. 클라우드 서버는 처리 성능, 저장공간, 애플리케이션 제공 등 기존의 물리 서버와 동일한 기능을 수행할 수 있으며 특히 어디에든 위치할 수 있어 컴퓨팅 환경을 통해 네트워크만 접속된다면 원격으로 시간과 장소에 구애받지 않고 서비스를 제공할 수 있다는 특징을 가지고 있다.
사내에서 보유하고 있는 정보, 즉 사내 자원을 안전하고 효율적으로 관리하기 위하여 클라우드 서버(15)를 이용할 수 있는데 클라우드 서버 제공자는 유저(16)에게 클라우드 서버와 저장 공간에 접근할 수 있는 IP 주소를 할당할 수 있다. 따라서 클라우드 서버는 네트워크 접속을 통해 접근할 수 있는 서버이므로 서버 내에서 신규 서버가 추가, 변경 또는 삭제와 같은 이벤트가 발생하는 경우 기존의 물리적 서버에서와는 다른 방법을 통해서 확인이 가능하다.
본 발명의 일 실시 예에 따르면 상술한 신규 서버가 추가되는 것은 기존에 이용중인 서버 이외에 추가로 신규 서버가 포함되어 서버가 증대되는 것을 의미하는 것이고, 서버가 변경되는 것은 기존에 이용 중인 복수 개의 서버 중에서 하나 이상의 서버가 변경되는 것을 의미하는 것이고, 이때 서버가 변경되는 것은 예를 들어, 서버의 특성, 식별 정보, 저장 용량, 목적 등과 같은 서버의 속성 정보가 변경되는 것을 의미할 수 있다. 또한 서버가 삭제되는 것은 기존에 이용 중인 복수 개의 서버 중에서 하나 이상의 서버가 삭제되어 더 이상 이용할 수 없게 되는 것을 의미할 수 있다.
또한, 본 발명의 일 실시 예에 따르면 클라우드 서버의 특성상 다수의 이용자가 이용할 수 있으며, 이벤트 트리거를 탐지하는 것은 기본적으로 기존 유저가 클라우드 서버를 사용 중이어야 하고, 따라서 유저가 사용중인 클라우드 서버 내에서 탐지하는 것이 전제 조건으로 존재할 수 있을 것이다.
본 발명의 일 실시 예에 따르면 본 발명의 컴퓨팅 장치는 이벤트 트리거가 발생한 IP를 분석한 뒤 분석한 IP가 속하는 IP 대역에 대한 정보를 이용하여, 이벤트 트리거가 발생한 IP가 속하는 IP 대역을 이용 대역으로 할당받은 유저를 확인하는 IP 대역 도출 단계(S200)를 수행할 수 있다.
본 발명의 일 실시 예에 따르면, 본 발명의 컴퓨팅 장치가 이벤트 트리거가 발생한 IP를 분석하기 위해서 기존의 클라우드 서버 내에서 이벤트 트리거가 발생하는 경우, 기존의 클라우드 서버가 추가, 변경, 또는 삭제가 수행되는데, 클라우드 서버 내에 포함된 복수 개의 서버에 각각 이에 접속하기 위한 IP 주소가 할당되어 있으므로 서버에 할당된 IP, 변경 및 삭제된 서버에 할당되거나 할당되었던 IP를 확인하는 과정을 수행할 수 있다.
본 발명의 일 실시 예에 따르면 이벤트 트리거가 발생한 IP 주소를 확인하기 위해서 클라우드 서버 내에서 서버 등의 추가, 변경, 및 삭제 등의 이벤트 트리거가 발생할 때, 추가된 서버에 할당된 IP, 변경 및 삭제된 서버에 할당되거나 할당되었던 IP를 확인하는 과정을 수행할 수 있다.
본 발명의 일 실시 예에 따르면, 서버에 할당된 IP를 통해 분석하는 것 이외에도, SGIM 서버에는 이벤트 트리거에 의해 변경된 서버의 IP 주소가 로그에 기록될 수 있으므로 이 로그를 분석함으로써 IP를 분석할 수 있다.
본 발명의 일 실시 예에 따르면 상술한 SGIM은 SecureGuard IM로 시스템 내에서 종합적인 관리를 수행할 수 있는 솔루션이다. 따라서 유저 및 관리자 등이 서버에 대한 종합적인 관리를 수행할 수 있으며 감사 정보의 수집 및 보관, 모니터링 시스템, 중요 위반 사항 알람, 정보 취합 통보 등의 기능을 제공할 수 있다.
본 발명의 일 실시 예에 따르면 상술한 유저는 상기 클라우드 서버 및 클라우드 관리 서버인 SGIM 서버 이용자로서, 개인, 기업, 단체 등을 포함할 수 있으며 본 발명은 이에 제한하지 않는다.
따라서 본 발명의 일 실시 예에 따르면 이벤트 트리거가 발생한 IP가 속하는 IP 대역을 할당받은 유저를 확인할 수 있는 것은 SGIM 서버 내에 어느 IP 대역 또는 주소를 어떤 유저에게 할당했는지에 대한 정보가 저장되어 있으므로 IP 대역을 확인함으로써 어느 유저에게 할당된 IP 대역에서 이벤트 트리거가 발생했는지 또한 확인할 수 있다. 또한 SGIM 관리 서버에는 각 유저별로 할당된 IP 대역 정보, 서버 사용 목적, 주요 접속 패턴, 최근 접속 시간, 유저 세부 정보 등이 포함되어 저장될 수 있다.
본 발명의 일 실시 예에 따르면 본 발명의 컴퓨팅 장치는 상기 IP 대역 도출 단계(S200)에 의하여 확인된 상기 유저의 작업 정보를 이용하여, 상기 이벤트 트리거에 대응되는 행위가 인가된 행위인지 여부를 판단하는 이벤트 적합 판단 단계(S300)를 수행할 수 있다.
본 발명의 일 실시 예에 있어서, 상기 이벤트 트리거에 대응되는 행위가 인가된 행위인지 여부를 판단하는 과정에 대해서는 후술할 것이다.
본 발명의 일 실시 예에 있어서, 상기 이벤트 적합 판단 단계(S300)는 상기 IP 대역 도출 단계(S200)에서 확인한 상기 유저의 계정으로부터 작업 종류 및 예상 일정에 대한 정보를 포함하는 작업 계획서를 수신하고 수신한 작업 계획서를 이용하여 상기 작업 정보를 도출할 수 있다.
본 발명의 일 실시 예에 따르면 작업 계획서는 상술한 바와 같이 상기 유저의 계정으로부터 작업 종류 및 예상 일정에 대한 정보를 포함하는 것과 더불어 상기 유저의 클라우드 서버 내에서 진행할 예정에 있는 작업에 대한 주요 정보를 포함하고 있는 것을 의미한다. 작업 계획서는 개인 또는 기업이 개인 작업 및 사내 작업과 같이 클라우드 서버 사용자가 직접 입력 및 작성할 수 있을 뿐만 아니라 클라우드 서버를 직접 사용하는 유저 외에도 외부에서 작성이 가능할 수 있다.
또한, 본 발명의 일 실시 예에 따르면 상기 작업 계획서는 유저 또는 기업 관리자가 설정한 템플릿으로 작성될 수 있으며, 이때 ITSM 에셋 매니지먼트에 의해 기 설정된 작업 정보가 포함되도록 하는 것이 바람직하고 만약 외부에서 작성되는 작업 계획서가 템플릿과 불일치하는 경우, 추가 작성 또는 수정에 의하여 작업 계획서의 내용이 변경될 수 있다.
본 발명의 일 실시 예에 따르면 상술한 ITSM 에셋 매니지먼트는 작업 계획서와 관련된 정보를 관리하는 시스템으로, 이벤트 트리거와 관련하여 수행되는 작업을 관리할 수 있다.
본 발명의 일 실시 예에 따르면 상술한 기 설정된 작업 정보에는 작업 배경 또는 개요, 작업 대상, 사전 작업 내용, 작업 세부 내용, 작업 절차 및 작업 시간, 작업자, 기타 안내 사항 등에 대한 정보가 포함될 수 있으며 유저 및 ITSM 에셋 매니지먼트의 상호 협의 또는 ITSM 에셋 매니지먼트의 설정에 의하여 작업 정보에 포함되는 정보는 변경될 수 있다.
본 발명의 일 실시 예에 따르면 상술한 작업 배경 또는 개요는 작업을 수행하게 된 원인이나 작업을 개략적으로 설명하는 내용에 대한 정보를 포함할 수 있으며, 작업 대상은 작업을 수행할 서버명, 서버군 명칭, 프로토콜, 포트 등에 대한 정보를 포함할 수 있으며, 사전 작업 내용은 현재 계획 중인 작업과 연계된 이전 수행 작업에 대한 내용이 포함될 수 있다. 또한, 작업 세부 내용은 각 서버별로 작업을 수행할 내용에 대한 정보로서 예를 들어 서버 패치, 업그레이드, 파일 백업 및 복사, 서비스 확인, 기능 변경 및 추가, 시스템 및 권한 변경 등의 내용이 해당될 수 있으며 본 발명은 이에 제한하지 않는다. 또한 상술한 작업 절차 및 작업 시간은 작업 절차별로 작업 진행 시간에 대한 정보를 포함할 수 있으며, 작업자는 작업을 수행하는 주체의 이름, 서버 접속 호스트명, 클라우드 서버 이용자가 기업인 경우 또는 작업 수임인이 속한 업체가 있는 경우에는 작업 수행 주체의 직책 및 기업명 등에 대한 정보를 포함할 수 있으며, 기타 사항에는 비상 시 수행 절차 등에 대한 정보를 포함할 수 있으며 본 발명은 이에 제한하지 않는다.
본 발명의 일 실시 예에 따르면, 상기 작업 계획서는 상기 유저가 ITSM 에셋 매니지먼트 서버로 전송되어 관리될 수 있으며 작업 일시 이전에 수신하여 관리할 수 있도록 하는 것이 바람직하며 관리 규모 및 작업 규모가 증가함에 따라서 기 설정된 수신 시간보다 더 이전 시각으로 변동될 수 있다.
따라서 본 발명의 일 실시 예에 따르면, 수신한 작업 계획서에서 상기 작업 정보의 도출이 가능한 것이다.
본 발명의 일 실시 예에 따르면, 상기 이벤트 적합 판단 단계(S300)는 상기 작업 계획서에 포함된 텍스트 데이터를 자연어 처리 알고리즘을 이용하여 업무 데이터로 가공한 결과로서 상기 작업 정보를 도출하고, 상기 작업 정보에 대응되는 행위 중 상기 이벤트 트리거에 대응되는 행위가 포함되는지 여부를 기준으로, 상기 이벤트 트리거에 대응되는 행위가 인가된 행위인지 여부를 판단할 수 있다.
본 발명의 일 실시 예에 따르면, 도 4를 참조하면, 300은 인가된 이벤트 트리거인지에 대한 여부를 판단하는 과정을 설명하기 위한 도면으로 기존의 클라우드 서버 새로운 서버가 추가(31)되는 이벤트 트리거가 발생하는 경우에 이벤트 트리거에 대응되는 행위가 작업 계획서(32)에서 도출된 작업 정보에 대응되는 행위에 포함되는지를 텍스트 데이터를 비교(33)함으로써 판단할 수 있다. 이때 포함되는 경우에는 인가된 이벤트 트리거라고 판단할 수 있으며, 포함되지 않는 경우에는 인가되지 않는 이벤트 트리거(34)라고 판단할 수 있다.
본 발명의 일 실시 예에 따르면, 상기 작업 계획서에 포함된 텍스트 데이터는 자연어로 이루어진 것으로서 상기 작업 정보를 도출하고 업무 데이터로 가공하기 위해서는 자연어 처리 알고리즘을 이용하는 과정이 요구된다.
본 발명의 일 실시 예에 따르면, 상기 업무 데이터는 상기 클라우드 서버 내에서 행해지는 작업에 대한 내용을 포함하는 데이터로서, 상기 유저의 작업 관리 서버에 저장되거나 상기 ITSM 에셋 매니지먼트 서버 상에 저장되어 작업 정보에 대한 데이터를 생성하여 관리할 수 있어 작업 내용을 항목별로 체계화하여 관리할 수 있다.
본 발명의 일 실시 예에 따르면 상기 자연어 처리 (Natural Language Processing, NLP) 알고리즘에서 자연어 (natural language)는 일반 사회에서 자연히 발생하여 사람이 의사소통에 사용하는 언어로, 자연어 외에 다른 종류의 언어로는 컴퓨터 언어 (computer language), 수화 (sign language), 몸짓 언어 (body language) 등이 있으며 그 중에서 인공어 (constructed language)는 컴퓨터에서 사용하는 프로그래밍 언어와 같이 사람이 의도적으로 만든 언어로서 자연어와 대비되는 개념이다. 자연어 처리 기술은 인공지능의 한 분야로서 컴퓨터가 인간이 사용하는 언어인 자연어의 의미를 분석하여 컴퓨터가 처리할 수 있도록 만들어주는 기술을 의미하는 것으로 컴퓨터에게 인간과 매우 유사한 방식으로 텍스트 및 음성 언어를 이해하는 능력을 부여하는 것과 관련된 것으로서 비정형 데이터 형식으로 들어오는 음성 및 텍스트 데이터의 입력값을 형태소 분석기와 구문 분석기를 활용하여 분석이 가능한 형태로 변환하는 과정을 수행한다.
이러한 과정을 수행하기 위해서는 전처리 과정 (preprocessing)이 필수적이며, 이는 데이터를 사용자의 용도에 맞춰 데이터를 정제하는 과정으로 하나의 문장을 의미의 최소 단위로 분절하거나 불필요한 단어들을 삭제하고 의미가 유사한 단어들을 통합하는 과정을 의미한다. 이후 토큰화 및 형태소 분석 과정, 구문 분석 과정을 통해서 자연어로부터 데이터를 추출할 수 있으며, 최근에는 딥러닝 기반의 자연어 처리 모델이 가장 각광받고 있는 모델 중 하나이다.
전이 학습 (transfer learning) 모델인 구글의 BERT, GPT 등은 최고의 성능을 내는 파라미터에 빠르고 손쉽게 달성할 수 있게 함으로써 자연어 처리의 상당 부문에서 활용되고 있다.
BERT (Bidirectional Encoder Representations from Trasformers)는 구글에서 2018년에 공개한 딥러닝 모델로서 자연어를 이해하기 위한 양방향 학습을 모두 지원하는 알고리즘이다. 또한 Pre-training 방식으로서, BERT 등장 이전에 사용되던 임베딩 방식인 Word2Vec, GloVe, Fasttext 보다도 좋은 성능을 내며 최근의 언어 처리 모델에 있어서 적합하다고 여겨지고 있다.
BERT를 이용함으로써 특정 과제를 수행하기 위해서는 세부적인 과제를 수행하도록 파인튜닝 (fine-tuning) 작업이 필요하다. BERT은 사전 학습된 언어모델로서 파인튜닝을 통해, 원하는 작업을 수행할 수 있다. 사전 학습된 언어모델을 이용하여 다운스트림 작업 (down-stream tasks)을 수행할 수 있는 방법에는 feature-based와 파인튜닝 (fine-tuning) 방식이 있다. feature-based 접근법에는 Word2Vec, GloVe, ELMo와 같은 방식이 있으며, 파인튜닝 (fine-tuning) 방식에는 대표적으로 GPT 모델이 있다.
BERT와 GPT-2의 두 모델 모두 파인튜닝 (fine-tuning) 방식을 사용하지만, GPT-2는 단방향 (unidirectional) 언어 모델인 반면, BERT는 양방향 (bidirectional) 언어 모델이라는 차이가 있으며 GPT를 개발한 OpenAI에서는 BERT처럼 양방향 언어 모델인 GPT-3를 출시했다.
양방향 언어 모델의 장점은 fill-in-the-blanks와 같이 앞뒤 문맥에 맞게 빈칸에 알맞은 단어를 추측하는 작업에 아주 높은 성능을 보여주고 있다. BERT 모델은 선행학습 (pre-training)과 파인튜닝 (fine-tuning) 두 가지 과정을 거친다. 선행학습 과정에서는 라벨이 부여되지 않은 데이터 (unlabeled data)를 가지고 선행학습 작업을 통해 모델이 학습된다. 이후 파인튜닝 과정에서, BERT 모델은 선행학습된 파라미터로 시작하여, 라벨이 부여된 데이터 (labeled data)를 사용하여 파인튜닝 작업을 진행하게 된다.
GPT 모델은 일론 머스크와 샘 알트만이 설립한 OpenAI에서 개발한 자연어 처리 모델이다. GPT-1, GPT-2, GPT-3 순으로 공개되었는데, GPT-2는 단방향 (unidirectional) 언어 모델로서, 입력 프롬프트 다음에 나오는 단어를 예측하도록 훈련이 되어 있다. 이는 양방향 (bidirectional) 언어 모델인 BERT에 비해 단점이 뚜렷하다는 지적을 받았다. 하지만, GPT-2는 인공지능을 이용한 텍스트 생성 작업에 있어서 단방향 모델이 양방향 모델보다 뛰어난 성능을 보여주었다. GPT-1은 1억 1천 7백만개의 파라미터를 가지고 있고, GPT-2는 GPT-1보다 약 12.8배 많은 15억 4천 2백만개의 파라미터를 가지고 있고, 약 800만 개의 문서, 40GB 용량의 데이터셋을 학습시킨 모델이다.
따라서 본 발명의 일 실시 예에 따르면, 다양한 자연어 처리 모델을 이용하는 알고리즘을 이용함으로써, 단어 또는 형태소의 위치, 단어와 품사 사이의 관계 등에 의해서 상술한 BERT 모델의 처리 방법과 같이 작업 계획서를 수신하여 작업 계획서에 포함된 텍스트 데이터에서 상기 유저 또는 ITSM 에셋 매니지먼트에 의해 기 설정된 템플릿을 기반으로 하여 파인 튜닝 과정을 거침으로써 업무 데이터로 가공함으로써 작업 정보를 도출할 수 있다.
본 발명의 일 실시 예에 따르면 상기 업무데이터를 통해 도출된 작업 정보에 상기 이벤트 트리거에 대응되는 행위가 포함되어 있는 행위인지에 대한 여부를 확인함으로써 클라우드 서버 내에서 발생한 이벤트 트리거가 인가된 행위인지, 인가되지 않은 행위인지를 판단할 수 있다. 예를 들어, 도출된 작업 정보 내에 클라우드 서버 내에서 발생한 이벤트 트리거에 대한 정보와 일치하는 정보가 존재하는 경우에는 이를 인가된 행위라고 판단할 수 있으며, 도출된 작업 정보 내에 클라우드 서버 내에서 발생한 이벤트 트리거에 대한 정보와 일치하는 정보가 존재하지 않는 경우에는 이를 인가되지 않은 행위라고 판단할 수 있다.
본 발명의 일 실시 예에 따르면 상기 작업 정보에 대응되는 행위와 이벤트 트리거에 대응되는 행위가 포함되는지에 대해 비교하는 작업 정보의 항목으로는 작업 대상, 작업 세부 내용, 작업 절차 등이 포함될 수 있으며 상술한 항목들이 포함하는 정보를 비교함으로써 인가된 행위인지 판단할 수 있도록 할 수 있다.
한편, 본 발명의 다른 실시 예에 있어서, 상기 작업 정보에 대응되는 행위 중에서 상기 이벤트 트리거에 대응되는 행위가 포함되는지 여부를 판단하는 과정은 상술한 바와 같이 도출된 작업 정보를 이용하여 자동으로 판단하는 방법 이외에도 상기 유저에게 도출된 작업 정보와 상기 이벤트 트리거에 대응되는 행위에 포함된 정보를 전송함으로써 상기 유저가 직접 비교할 수 있도록 하는 것 또한 가능할 수 있다.
본 발명의 일 실시 예에 따르면, 자연어 처리 알고리즘 수행 후 자동으로 판단하는 절차가 기 설정되어 있으며, 유저가 확인함으로써 판단하는 절차는 작업 계획서에 입력된 작업에 추가, 수정, 삭제 등을 포함하는 변동 사항이 존재하는 경우 또는 유저의 사전 신청에 의해서 수행될 수 있다. 이는 작업 계획서에 기재된 내용이 반드시 실행되지 않을 수 있는 경우의 수를 대비한 것으로서, 작업 계획서에 기재된 내용에 변동이 발생하는 경우에도 원활하게 이벤트 트리거에 대응되는 행위가 인가된 행위인지 여부를 판단할 수 있다.
본 발명의 일 실시 예에 따르면, 상기 이벤트 적합 판단 단계(S300)는 상기 작업 계획서에 포함된 텍스트 데이터에 자연어 처리 알고리즘을 적용하여 작업 계획서에 대한 핵심 키워드를 추출한 뒤, 추출한 핵심 키워드에 포함된 서버의 식별 정보, 서버에 예정된 작업 행위에 대한 키워드와 이벤트 트리거에 대응되는 행위에 포함된 대상 서버 및 작업 행위가 서로 일치하는지 여부를 기준으로 상기 이벤트 트리거에 대응되는 행위가 인가된 행위인지 여부를 판단할 수 있다.
본 발명의 일 실시 예에 따르면 작업 계획서에 포함된 텍스트 데이터에 핵심 키워드를 추출하기 위해서는 자연어 처리 알고리즘을 이용할 수 있는데, 이때 딥러닝 기반의 자연어 처리 훈련 모델인 BERT를 적용한 KeyBERT를 사용할 수 있다. KeyBERT는 BERT를 적용한 오픈 소스 파이썬 모듈로서, BERT를 이용하여 문서 레벨 (document-level)에서의 주제 (representation)를 파악하도록 하고, N-gram을 위해 단어를 임베딩 한 후, 코사인 유사도를 계산하여 어떤 N-gram 단어 또는 구가 문서와 가장 유사한지 찾아낼 수 있으며 가장 유사한 단어들은 문서를 가장 잘 설명할 수 있는 키워드로 분류한다. 또한, KeyBERT의 성능을 파악하기 위하여 기존에 단어의 중요도를 파악하던 TF-IDF와 비교할 수 있는데 TF-IDF는 정보 검색과 텍스트 마이닝에서 이용하는 가중치로서, 여러 문서로 이루어진 문서군이 있을 때 어떤 단어가 특정 문서 내에서 얼마나 중요한 것인지를 나타내는 통계적 수치를 의미한다.
이때 상술한 코사인 유사도는 두 벡터 간의 코사인 각도를 이용하여 구할 수 있는 두 벡터의 유사도를 의미하고 -1 이상 1 이하의 값을 가지며 값이 1에 가까울수록 유사도가 높다고 판단할 수 있다.
따라서 본 발명의 일 실시 예에 따르면, 자연어 처리 알고리즘을 통해서 작업 계획서의 내용에 대한 핵심 키워드가 추출됨으로써 클라우드 서버 내에서 발생한 이벤트 트리거에 대응되는 행위에 대한 정보와 비교할 수 있다.
본 발명의 일 실시 예에 따르면, 도 5를 참조하면 51에 포함된 바와 같이 상기 서버의 식별 정보는 서버명, 서버군 명칭, 서버 접속 호스트명, 프로토콜, 포트 등에 대한 정보를 포함할 수 있으며 본 발명은 이에 제한하지 않는다. 또한, 상술한 작업 정보 내의 정보를 포함하는 키워드와 일치하는 부분이 존재할 수 있다.
또한, 본 발명의 일 실시 예에 따르면 서버에 예정된 작업 행위에 대한 키워드는 서버별로 작업을 수행할 구체적인 내용에 대한 정보로서, 상술한 바와 같이 서버 패치 및 변경, 서버 업그레이드, 파일 백업 및 복사, 서비스 확인, 기능 변경 및 추가, 시스템 및 권한 변경 등과 같이 작업 내용에 대한 키워드와, 작업 절차별로 예상되는 작업 시간에 대한 키워드, 작업 주체에 대한 정보를 포함하는 키워드 등이 포함될 수 있다.
따라서 본 발명의 일 실시 예에 따라서 상기 이벤트 적합 판단 단계(S300)는 추출한 핵심 키워드에 포함된 정보와 이벤트 트리거에 대응되는 행위에 포함된 대상 서버 및 작업 행위가 서로 일치하는지 여부를 비교함으로써 인가된 행위인지 여부를 판단할 수 있다.
한편, 본 발명의 다른 실시 예에 있어서, 핵심 키워드가 일치하는지 여부를 판단하는 과정은 상술한 바와 같이 텍스트의 일치 여부 비교에 의해서 자동으로 판단하는 방법 이외에도 상기 유저에게 추출된 핵심 키워드와 상기 이벤트 트리거에 대응되는 행위에 포함된 정보를 전송함으로써 상기 유저가 직접 비교할 수 있도록 하는 것 또한 가능할 수 있다.
본 발명의 일 실시 예에 따르면, 핵심 키워드 추출 후 자동으로 판단하는 절차가 기 설정되어 있으며, 유저가 확인함으로써 판단하는 절차는 작업 계획서에 입력된 작업에 추가, 수정, 삭제 등을 포함하는 변동 사항이 존재하는 경우 또는 유저의 사전 신청에 의해서 수행될 수 있다. 이는 작업 계획서에 기재된 내용이 반드시 실행되지 않을 수 있는 경우의 수를 대비한 것으로서, 작업 계획서에 기재된 내용에 변동이 발생하는 경우에도 원활하게 이벤트 트리거에 대응되는 행위가 인가된 행위인지 여부를 판단할 수 있다.
본 발명의 일 실시 예에 있어서, 도 2를 참조하면, 본 발명의 IP 대역의 서버 환경 변경 감지 및 보안 관리 장치는, 상기 이벤트 적합 판단 단계(S300)의 수행 후, 이벤트 트리거에 해당하는 행위 중에서 상기 작업 계획서와 일치하지 않는 이벤트가 존재하는 경우, 상기 IP 대역 도출 단계(S200)에 의하여 확인된 유저의 계정에 상기 이벤트 트리거에 대응되는 행위에 대한 알림을 제공하는 보안 프로세스 실행 단계(S400)를 더 포함할 수 있다.
본 발명의 일 실시 예에 따르면, 상기 작업 계획서와 일치하지 않는 이벤트는 인가되지 않은 이벤트 트리거 행위를 의미하는 것으로서, 작업 계획서에 기재된 내용 이외의 이벤트가 발생한 상황이라고 이해할 수 있을 것이다.
본 발명의 일 실시 예에 따르면, 도 5를 참조하면, 도 5에는 유저 계정으로 PC를 통해 SGIM 서버에 접속하였을 때 표시되는 웹 인터페이스 화면이 도시되어 있는데, 52에 상기 유저 계정이 확인해야 할 알림이 포함되어 표시될 수 있으며, 이때 상기 유저의 클라우드 서버 내에서 인가되지 않은 이벤트 트리거가 발생한 상황 등으로 인하여 유저 계정에서 빠른 확인이 필요한 경우에는 52의 알림 아이콘의 형태와 색깔이 변경되어 유저가 빠르게 인식하여 확인할 수 있도록 인터페이스가 변동될 수 있다.
또한, 본 발명의 일 실시 예에 따르면 상기 IP 대역 도출 단계(S200)에 의하여 확인된 유저의 계정에 상기 이벤트 트리거에 대응되는 행위에 대한 알림을 제공하는 것은 상술한 바와 같이 SGIM 서버 상에서의 알림으로 제공할 수 있을 뿐만 아니라, 유저 계정으로 연동되어 접속 가능한 SGIM 어플리케이션의 알림, 계정에 포함된 메일 주소로 전송되는 메일링 알림, 계정에 포함된 연락처를 통한 메시지 알림 등을 통해서 상기 유저에게 알림을 제공할 수 있으며 본 발명은 이에 제한하지 않는다. 이때, 유저 계정을 통해서 SGIM 서버에 접속되어 있는 것이 확인되는 경우에는 웹 서버와 어플리케이션을 통해 알림을 제공하는 것이 가장 높은 우선순위에 위치할 수 있으며 그 다음으로 메시지 알림과 메일링 알림이 다음 우선순위로 위치하는 것으로 이해할 수 있을 것이다.
본 발명의 일 실시 예에 있어서, 상기 보안 프로세스 실행 단계(S400)는, 비 인가 이벤트 트리거와 관련된 서버의 속성 정보를 자동으로 수집하여 상기 유저 계정에 전송하며, 상기 속성 정보는 적어도 비 인가 이벤트 트리거가 발생한 서버의 용량, 종류, 목적, 변경 및 추가 시간, 및 IP 주소를 포함할 수 있다.
본 발명의 일 실시 예에 따르면, 상술한 바와 같이 서버의 속성 정보는 인가되지 않은 이벤트 트리거가 발생한 서버의 스펙에 대한 정보를 포함하는 것으로서, 서버의 용량, 종류, 목적, 서버의 변경 시간, 서버의 IP 주소, 결과, 호스트명, 히스토리 ID 등을 포함할 수 있다.
본 발명의 일 실시 예에 따르면, 상술한 서버의 용량은 서버가 가지고 있는 전체 총 용량을 의미하고, 서버의 종류는 크게 애플리케이션 서버, 웹 서버, 프록시 서버, 메일 서버, 데이터베이스 서버 등이 존재할 수 있으며, 서버의 목적은 서버의 종류에 따른 사용 용도(예: 데이터 저장)를 의미할 수 있다. 서버의 변경 시간은 도 5의 51 내에 포함된 바와 같이 이벤트 트리거가 발생한 서버의 추가, 수정, 삭제를 포함하는 서버가 변경된 시간을 의미하는 것으로서, 시작 시간, 종료 시간 등에 대한 정보를 함께 포함하여 제공할 수 있으며, 서버의 IP 주소는 클라우드 서버가 신규로 추가된 경우, 클라우드 서버에 새로 할당된 IP 주소에 대한 정보를 의미할 수 있으며 서버가 변경되거나 삭제된 경우에는, 클라우드 서버에 할당되었던 IP 주소에 대한 정보를 포함할 수 있다. 서버 결과는 서버가 이벤트 트리거의 발생으로 인해 어떤 상태가 되었는지에 대한 정보로서, 서버의 추가, 변경, 및 삭제 중에서 어떤 항목에 해당되는지에 대한 정보를 포함할 수 있으며 본 발명은 이에 제한하지 않는다.
본 발명의 일 실시 예에 따르면, 상술한 서버의 속성 정보는 SGIM 서버에 의하여 자동으로 수집되어 상술한 바와 같은 방법으로 상기 유저 계정에 알림과 함께 전송될 수 있다.
본 발명의 일 실시 예에 따르면, 상기 비 인가된 이벤트 트리거가 발생하는 경우, 이벤트 트리거에 대한 정보를 포함하여 유저에게 알림을 전송함과 동시에, SGIM 서버가 자동으로 비 인가된 이벤트 트리거를 무효화 또는 차단을 수행할 수 있다. 이때, 상기 클라우드 서버의 보안을 위하여, 비 인가된 이벤트로 판단됨에 따라 실시간으로 이벤트 트리거로 인해 발생한 서버 등록, 변경, 및 삭제를 무효화하는 것이 바람직한 것으로 이해될 수 있을 것이다.
또한, 본 발명의 일 실시 예에 따르면, 비 인가된 이벤트의 판단이 늦어짐에 따라 이미 서버에 대한 추가 및 변경이 이루어지거나 이미 이루어진 경우에는, 추가되거나 변경된 IP 주소의 접근을 차단함으로서 추후 해당 서버가 클라우드 서버에 접근하는 행위 자체를 차단할 수 있다. 이는 서버에 대한 이벤트 트리거의 명령이 이미 실행된 경우에 상술한 IP 주소로부터 실행되는 모든 행위를 차단할 수 있어 사후 대처가 가능할 수 있다.
본 발명의 일 실시 예에 있어서, 상기 보안 프로세스 실행 단계(S400)는 비 인가 이벤트 트리거의 발생 정보 및 서버의 보안을 유지하기 위한 정보를 포함하는 종합 리포트를 생성하여 상기 유저에게 제공할 수 있다.
따라서 본 발명의 일 실시 예에 따르면, 단순히 이미 발생한 이벤트 트리거에 대한 정보뿐 아니라 유저에게 이벤트 트리거가 어떤 양상으로 발생이 됨에 따라 유저가 이용중인 서버의 보안을 유지하기 위한 정보를 포함하여 제공함으로써 유저가 추후 서버를 안전하게 이용하기 위해서 어떤 대처를 취할 수 있는지 계획함으로써 앞으로 일어날 수 있는 이벤트 트리거의 발생을 최소화할 수 있다는 효과를 얻을 수 있다.
본 발명의 일 실시 예에 있어서, 상기 종합 리포트는, 비 인가 이벤트 행위와 관련된 서버의 속성 정보를 통해서 도출될 수 있는 결과로서, 비 인가 이벤트 트리거 발생이 기 설정된 주기별 임계 수치보다 큰 IP 구간, 및 타 서버 대비 비 인가 이벤트 트리거 발생 비율에 대한 정보를 포함하는 리포트인 것을 특징으로 한다.
본 발명의 일 실시 예에 따르면, 상기 종합 리포트에는 상술한 정보에 더하여 비 인가 이벤트 트리거 발생으로 인한 피해액이 기 설정된 금액 이상인 경우 이에 대한 정보, 인가된 이벤트 트리거 대비 인가되지 않은 이벤트 트리거의 발생 비율에 대한 정보, 악성 코드 탐지 통계 및 유형별 비율 정보, 악성 코드 동향 정보, 보안 유지 정보 등을 추가로 제공할 수 있다.
본 발명의 일 실시 예에 따르면, 비 인가 이벤트 트리거 발생이 기 설정된 주기별 임계 수치보다 큰 IP 구간이란, 상기 클라우드 서버 내에 존재하는 IP 대역 중에서 비 인가 이벤트 트리거의 발생이 기 설정된 주기별 임계 수치(예: 3개월 간 5건)보다 큰 수치의 IP 구간에 대한 정보를 의미할 수 있으며, 이를 통해서 상기 유저의 서버에 해킹 시도가 많이 발생하고 있음을 알릴 수 있다. 또한, 타 서버 대비 비 인가 이벤트 트리거 발생 비율에 대한 정보는 유저의 서버에서 발생하는 비 인가 이벤트 트리거 발생 비율과 이 비율을 타 서버와 비교한 결과에 대한 정보를 함께 제공하여 타 유저의 서버보다 높은 경우 이에 대해 보안에 대한 경고를 함께 표시할 수 있으며, 비 인가 이벤트 트리거 발생으로 인한 피해액이 기 설정된 금액 이상인 경우에도 마찬가지로 보안에 대해 경고할 수 있다. 또한, 인가된 이벤트 트리거 대비 인가되지 않은 이벤트 트리거의 발생 비율에 대한 정보를 제공함으로써 작업 계획서의 정확도와 서버의 안전성을 함께 파악할 수 있도록 할 수 있으며, 악성 코드 탐지 통계 및 유형별 비율 정보에 기 설정된 기간(예: 한달) 동안 탐지된 악성 코드의 통계에 따른 그래프와 악성 코드의 유형별로 탐지가 많이 된 코드 순으로 유저에게 정보를 제공할 수 있다. 또한, 악성 코드 동향 정보 및 보안 유지 정보를 통해서 최근 기 설정된 기간(예: 한달) 동안 유의해야하는 악성 코드와 그에 따른 보안을 유지할 수 있는 방법 등을 제공함으로써 유저가 서버의 보안을 유지하기 위한 도움을 제공할 수 있다.
본 발명의 일 실시 예에 있어서, 도 6을 참조하여 보면, 본 발명의 장치(10)는 이벤트 탐지부(11), IP 대역 도출부(12), 이벤트 적합 판단부(13)를 포함하는 것을 특징으로 하고, 추가적으로 보안 프로세스 실행부(14)가 포함될 수 있다.
이벤트 탐지부(11)는 상술한 S100 단계에 대한 설명에서 언급된 모든 기능을 수행하는 구성으로서, 기존의 클라우드 서버 내에서 새로운 서버의 신규 추가, 기존 서버의 변경 또는 기존 서버의 삭제를 포함하는 IP 대역의 서버 환경 변경에 관한 이벤트 트리거를 탐지하는 기능을 수행한다.
IP 대역 도출부(12)는 상술한 S200 단계에 대한 설명에서 언급된 모든 기능을 수행하는 구성으로서, 상기 이벤트 트리거가 발생한 IP를 분석한 뒤 분석한 IP가 속하는 IP 대역에 대한 정보를 이용하여, 이벤트 트리거가 발생한 IP가 속하는 IP 대역을 이용 대역으로 할당받은 유저를 확인하는 기능을 수행한다.
이벤트 적합 판단부(13)는 상술한 S300 단계에 대한 설명에서 언급된 모든 기능을 수행하는 구성으로서, 상기 IP 대역 도출부(12)에 의하여 확인된 상기 유저의 작업 정보를 이용하여, 상기 이벤트 트리거에 대응되는 행위가 인가된 행위인지 여부를 판단하는 기능을 수행한다.
한편, 보안 프로세스 실행부(14)는 상술한 S400 단계에 대한 설명에서 언급된 모든 기능을 수행하는 구성으로서, 이벤트 트리거에 해당하는 행위 중에서 상기 작업 계획서와 일치하지 않는 이벤트가 존재하는 경우, 상기 IP 대역 도출부(12)에 의하여 확인된 유저의 계정에 상기 이벤트 트리거에 대응되는 행위에 대한 알림을 제공하는 기능을 수행한다.
도 7은 본 발명의 일 실시 예에 따른 컴퓨팅 장치의 내부 구성의 일 예를 도시하였으며, 이하의 설명에 있어서, 상술한 도 1 내지 6에 대한 설명과 중복되는 불필요한 실시 예에 대한 설명은 생략하기로 한다.
도 7에 도시한 바와 같이, 컴퓨팅 장치(10000)은 적어도 하나의 프로세서(processor)(11100), 메모리(memory)(11200), 주변장치 인터페이스(peripheral interface)(11300), 입/출력 서브시스템(I/O subsystem)(11400), 전력 회로(11500) 및 통신 회로(11600)를 적어도 포함할 수 있다. 이때, 컴퓨팅 장치(10000)은 촉각 인터페이스 장치에 연결된 유저 단말이기(A) 혹은 전술한 컴퓨팅 장치(B)에 해당될 수 있다.
메모리(11200)는, 일례로 고속 랜덤 액세스 메모리(high-speed random access memory), 자기 디스크, 에스램(SRAM), 디램(DRAM), 롬(ROM), 플래시 메모리 또는 비휘발성 메모리를 포함할 수 있다. 메모리(11200)는 컴퓨팅 장치(10000)의 동작에 필요한 소프트웨어 모듈, 명령어 집합 또는 그밖에 다양한 데이터를 포함할 수 있다.
이때, 프로세서(11100)나 주변장치 인터페이스(11300) 등의 다른 컴포넌트에서 메모리(11200)에 액세스하는 것은 프로세서(11100)에 의해 제어될 수 있다.
주변장치 인터페이스(11300)는 컴퓨팅 장치(10000)의 입력 및/또는 출력 주변장치를 프로세서(11100) 및 메모리 (11200)에 결합시킬 수 있다. 프로세서(11100)는 메모리(11200)에 저장된 소프트웨어 모듈 또는 명령어 집합을 실행하여 컴퓨팅 장치(10000)을 위한 다양한 기능을 수행하고 데이터를 처리할 수 있다.
입/출력 서브시스템(11400)은 다양한 입/출력 주변장치들을 주변장치 인터페이스(11300)에 결합시킬 수 있다. 예를 들어, 입/출력 서브시스템(11400)은 모니터나 키보드, 마우스, 프린터 또는 필요에 따라 터치스크린이나 센서 등의 주변장치를 주변장치 인터페이스(11300)에 결합시키기 위한 컨트롤러를 포함할 수 있다. 다른 측면에 따르면, 입/출력 주변장치들은 입/출력 서브시스템(11400)을 거치지 않고 주변장치 인터페이스(11300)에 결합될 수도 있다.
전력 회로(11500)는 단말기의 컴포넌트의 전부 또는 일부로 전력을 공급할 수 있다. 예를 들어 전력 회로(11500)는 전력 관리 시스템, 배터리나 교류(AC) 등과 같은 하나 이상의 전원, 충전 시스템, 전력 실패 감지 회로(power failure detection circuit), 전력 변환기나 인버터, 전력 상태 표시자 또는 전력 생성, 관리, 분배를 위한 임의의 다른 컴포넌트들을 포함할 수 있다.
통신 회로(11600)는 적어도 하나의 외부 포트를 이용하여 다른 컴퓨팅 장치와 통신을 가능하게 할 수 있다.
또는 상술한 바와 같이 필요에 따라 통신 회로(11600)는 RF 회로를 포함하여 전자기 신호(electromagnetic signal)라고도 알려진 RF 신호를 송수신함으로써, 다른 컴퓨팅 장치와 통신을 가능하게 할 수도 있다.
이러한 도 7의 실시 예는, 컴퓨팅 장치(10000)의 일례일 뿐이고, 컴퓨팅 장치(11000)은 도 7에 도시된 일부 컴포넌트가 생략되거나, 도 7에 도시되지 않은 추가의 컴포넌트를 더 구비하거나, 2개 이상의 컴포넌트를 결합시키는 구성 또는 배치를 가질 수 있다. 예를 들어, 모바일 환경의 통신 단말을 위한 컴퓨팅 장치는 도 7에도시된 컴포넌트들 외에도, 터치스크린이나 센서 등을 더 포함할 수도 있으며, 통신 회로(1160)에 다양한 통신방식(WiFi, 3G, LTE, Bluetooth, NFC, Zigbee 등)의 RF 통신을 위한 회로가 포함될 수도 있다. 컴퓨팅 장치(10000)에 포함 가능한 컴포넌트들은 하나 이상의 신호 처리 또는 어플리케이션에 특화된 집적 회로를 포함하는 하드웨어, 소프트웨어, 또는 하드웨어 및 소프트웨어 양자의 조합으로 구현될 수 있다.
본 발명의 실시 예에 따른 방법들은 다양한 컴퓨팅 장치를 통하여 수행될 수 있는 프로그램 명령(instruction) 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 특히, 본 실시 예에 따른 프로그램은 PC 기반의 프로그램 또는 모바일 단말 전용의 어플리케이션으로 구성될 수 있다. 본 발명이 적용되는 애플리케이션은 파일 배포 시스템이 제공하는 파일을 통해 이용자 단말에 설치될 수 있다. 일 예로, 파일 배포 시스템은 이용자 단말이기의 요청에 따라 상기 파일을 전송하는 파일 전송부(미도시)를 포함할 수 있다.
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시 예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술 분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로 (collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상장치(virtual equipment), 컴퓨터 저장 매체 또는 장치에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨팅 장치상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시 예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시 예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광 기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시 예들이 비록 한정된 실시 예와 도면에 의해 설명되었으나, 해당 기술 분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다. 그러므로, 다른 구현들, 다른 실시 예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.
Claims (10)
- 하나 이상의 프로세서 및 상기 프로세서에서 수행 가능한 명령들을 저장하는 하나 이상의 메모리를 포함하는 컴퓨팅 장치로 구현되는 IP 대역의 서버 환경 변경 감지 및 보안 관리 방법으로서,
기존의 클라우드 서버 내에서 새로운 서버의 신규 추가, 기존 서버의 변경 또는 기존 서버의 삭제를 포함하는 IP 대역의 서버 환경 변경에 관한 이벤트 트리거를 탐지하는 이벤트 탐지 단계;
상기 이벤트 트리거가 발생한 IP를 분석한 뒤 분석한 IP가 속하는 IP 대역에 대한 정보를 이용하여, 이벤트 트리거가 발생한 IP가 속하는 IP 대역을 이용 대역으로 할당받은 유저를 확인하는 IP 대역 도출 단계; 및
상기 IP 대역 도출 단계에 의하여 확인된 상기 유저의 작업 정보를 이용하여, 상기 이벤트 트리거에 대응되는 행위가 인가된 행위인지 여부를 판단하는 이벤트 적합 판단 단계;를 포함하되,
상기 이벤트 적합 판단 단계는,
상기 IP 대역 도출 단계에서 확인한 상기 유저의 계정으로부터 작업 종류 및 예상 작업 일정에 대한 정보를 포함하는 작업 계획서를 수신하고 수신한 작업 계획서를 이용하여 상기 작업 정보를 도출하고,
상기 이벤트 적합 판단 단계의 수행 후,
이벤트 트리거에 해당하는 행위 중에서 상기 작업 계획서와 일치하지 않는 이벤트가 존재하는 경우, 상기 IP 대역 도출 단계에 의하여 확인된 유저의 계정에 상기 이벤트 트리거에 대응되는 행위에 대한 알림을 제공하는 보안 프로세스 실행 단계;를 더 포함하되,
상기 보안 프로세스 실행 단계는,
비 인가 이벤트 트리거의 발생 정보 및 서버의 보안을 유지하기 위한 정보를 포함하는 종합 리포트를 생성하여 상기 유저에게 제공하고,
상기 종합 리포트는,
비 인가 이벤트 행위와 관련된 서버의 속성 정보를 통해서 도출될 수 있는 결과로서, 비 인가 이벤트 트리거 발생이 기 설정된 주기별 임계 수치보다 큰 IP 구간, 타 서버 대비 비 인가 이벤트 트리거 발생 비율에 대한 정보, 비 인가 이벤트 트리거 발생으로 인한 피해액이 기 설정된 금액 이상인 경우에 대한 정보, 인가된 이벤트 트리거 대비 인가되지 않은 이벤트 트리거의 발생 비율에 대한 정보, 악성 코드 탐지 통계 및 유형별 비율 정보, 악성 코드 동향 정보 및 보안 유지 정보를 포함하는 것을 특징으로 하는 IP 대역의 서버 환경 변경 감지 및 보안 관리 방법.
- 삭제
- 제1항에 있어서,
상기 이벤트 적합 판단 단계는,
상기 작업 계획서에 포함된 텍스트 데이터를 자연어 처리 알고리즘을 이용하여 업무 데이터로 가공한 결과로서 상기 작업 정보를 도출하고, 상기 작업 정보에 대응되는 행위 중 상기 이벤트 트리거에 대응되는 행위가 포함되는지 여부를 기준으로, 상기 이벤트 트리거에 대응되는 행위가 인가된 행위인지 여부를 판단하는 것을 특징으로 하는 IP 대역의 서버 환경 변경 감지 및 보안 관리 방법.
- 제1항에 있어서,
상기 이벤트 적합 판단 단계는,
상기 작업 계획서에 포함된 텍스트 데이터에 자연어 처리 알고리즘을 적용하여 작업 계획서에 대한 핵심 키워드를 추출한 뒤, 추출한 핵심 키워드에 포함된 서버의 식별 정보, 서버에 예정된 작업 행위에 대한 키워드와 이벤트 트리거에 대응되는 행위에 포함된 대상 서버 및 작업 행위가 서로 일치하는지 여부를 기준으로 상기 이벤트 트리거에 대응되는 행위가 인가된 행위인지 여부를 판단하는 것을 특징으로 하는 IP 대역의 서버 환경 변경 감지 및 보안 관리 방법.
- 삭제
- 제1항에 있어서,
상기 보안 프로세스 실행 단계는,
비 인가 이벤트 트리거와 관련된 서버의 속성 정보를 자동으로 수집하여 상기 유저의 계정에 전송하며,
상기 속성 정보는 적어도 비 인가 이벤트 트리거가 발생한 서버의 용량, 종류, 목적, 변경 및 추가 시간, 및 IP 주소를 포함하는 것을 특징으로 하는 IP 대역의 서버 환경 변경 감지 및 보안 관리 방법.
- 삭제
- 삭제
- 하나 이상의 프로세서 및 상기 프로세서에서 수행 가능한 명령들을 저장하는 하나 이상의 메모리를 포함하는 컴퓨팅 장치로 구현되는 IP 대역의 서버 환경 변경 감지 및 보안 관리 장치로서,
기존의 클라우드 서버 내에서 새로운 서버의 신규 추가, 기존 서버의 변경 또는 기존 서버의 삭제를 포함하는 IP 대역의 서버 환경 변경에 관한 이벤트 트리거를 탐지하는 이벤트 탐지부;
상기 이벤트 트리거가 발생한 IP를 분석한 뒤 분석한 IP가 속하는 IP 대역에 대한 정보를 이용하여, 이벤트 트리거가 발생한 IP가 속하는 IP 대역을 이용 대역으로 할당받은 유저를 확인하는 IP 대역 도출부; 및
상기 IP 대역 도출부에 의하여 확인된 상기 유저의 작업 정보를 이용하여, 상기 이벤트 트리거에 대응되는 행위가 인가된 행위인지 여부를 판단하는 이벤트 적합 판단부;를 포함하되,
상기 이벤트 적합 판단부는,
상기 IP 대역 도출부에서 확인한 상기 유저의 계정으로부터 작업 종류 및 예상 작업 일정에 대한 정보를 포함하는 작업 계획서를 수신하고 수신한 작업 계획서를 이용하여 상기 작업 정보를 도출하되,
상기 이벤트 트리거에 해당하는 행위 중에서 상기 작업 계획서와 일치하지 않는 이벤트가 존재하는 경우, 상기 IP 대역 도출부에 의하여 확인된 유저의 계정에 상기 이벤트 트리거에 대응되는 행위에 대한 알림을 제공하는 보안 프로세스 실행부;를 더 포함하고,
상기 보안 프로세스 실행부는,
비 인가 이벤트 트리거의 발생 정보 및 서버의 보안을 유지하기 위한 정보를 포함하는 종합 리포트를 생성하여 상기 유저에게 제공하고,
상기 종합 리포트는,
비 인가 이벤트 행위와 관련된 서버의 속성 정보를 통해서 도출될 수 있는 결과로서, 비 인가 이벤트 트리거 발생이 기 설정된 주기별 임계 수치보다 큰 IP 구간, 타 서버 대비 비 인가 이벤트 트리거 발생 비율에 대한 정보, 비 인가 이벤트 트리거 발생으로 인한 피해액이 기 설정된 금액 이상인 경우에 대한 정보, 인가된 이벤트 트리거 대비 인가되지 않은 이벤트 트리거의 발생 비율에 대한 정보, 악성 코드 탐지 통계 및 유형별 비율 정보, 악성 코드 동향 정보 및 보안 유지 정보를 포함하는 것을 특징으로 하는 IP 대역의 서버 환경 변경 감지 및 보안 관리 장치.
- 컴퓨터-판독가능 기록매체로서,
상기 컴퓨터-판독가능 기록매체는, 컴퓨팅 장치로 하여금 이하의 단계들을 수행하도록 하는 명령들을 저장하며, 상기 단계들은:
기존의 클라우드 서버 내에서 새로운 서버의 신규 추가, 기존 서버의 변경 또는 기존 서버의 삭제를 포함하는 IP 대역의 서버 환경 변경에 관한 이벤트 트리거를 탐지하는 이벤트 탐지 단계;
상기 이벤트 트리거가 발생한 IP를 분석한 뒤 분석한 IP가 속하는 IP 대역에 대한 정보를 이용하여, 이벤트 트리거가 발생한 IP가 속하는 IP 대역을 이용 대역으로 할당받은 유저를 확인하는 IP 대역 도출 단계; 및
상기 IP 대역 도출 단계에 의하여 확인된 상기 유저의 작업 정보를 이용하여, 상기 이벤트 트리거에 대응되는 행위가 인가된 행위인지 여부를 판단하는 이벤트 적합 판단 단계;를 포함하되,
상기 이벤트 적합 판단 단계는,
상기 IP 대역 도출 단계에서 확인한 상기 유저의 계정으로부터 작업 종류 및 예상 작업 일정에 대한 정보를 포함하는 작업 계획서를 수신하고 수신한 작업 계획서를 이용하여 상기 작업 정보를 도출하고,
상기 이벤트 적합 판단 단계의 수행 후,
이벤트 트리거에 해당하는 행위 중에서 상기 작업 계획서와 일치하지 않는 이벤트가 존재하는 경우, 상기 IP 대역 도출 단계에 의하여 확인된 유저의 계정에 상기 이벤트 트리거에 대응되는 행위에 대한 알림을 제공하는 보안 프로세스 실행 단계;를 더 포함하되,
상기 보안 프로세스 실행 단계는,
비 인가 이벤트 트리거의 발생 정보 및 서버의 보안을 유지하기 위한 정보를 포함하는 종합 리포트를 생성하여 상기 유저에게 제공하고,
상기 종합 리포트는,
비 인가 이벤트 행위와 관련된 서버의 속성 정보를 통해서 도출될 수 있는 결과로서, 비 인가 이벤트 트리거 발생이 기 설정된 주기별 임계 수치보다 큰 IP 구간, 타 서버 대비 비 인가 이벤트 트리거 발생 비율에 대한 정보, 비 인가 이벤트 트리거 발생으로 인한 피해액이 기 설정된 금액 이상인 경우에 대한 정보, 인가된 이벤트 트리거 대비 인가되지 않은 이벤트 트리거의 발생 비율에 대한 정보, 악성 코드 탐지 통계 및 유형별 비율 정보, 악성 코드 동향 정보 및 보안 유지 정보를 포함하는 것을 특징으로 하는 컴퓨터-판독가능 기록매체.
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR102726481B1 true KR102726481B1 (ko) | 2024-11-05 |
Family
ID=
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190007454A1 (en) * | 2017-06-29 | 2019-01-03 | Juniper Networks, Inc. | Dynamic implementation of a security rule |
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190007454A1 (en) * | 2017-06-29 | 2019-01-03 | Juniper Networks, Inc. | Dynamic implementation of a security rule |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101777062B (zh) | 场境感知的实时计算机保护系统和方法 | |
| CN103262088B (zh) | 评估应用代码中的降级器代码的方法和装置 | |
| WO2017065070A1 (ja) | 不審行動検知システム、情報処理装置、方法およびプログラム | |
| US10079835B1 (en) | Systems and methods for data loss prevention of unidentifiable and unsupported object types | |
| CN104956376A (zh) | 虚拟化环境中应用和设备控制的方法和技术 | |
| US10135830B2 (en) | Utilizing transport layer security (TLS) fingerprints to determine agents and operating systems | |
| CN112000992B (zh) | 数据防泄漏保护方法、装置、计算机可读介质及电子设备 | |
| CN103530106A (zh) | 用于职责分离的上下文相关的事务性管理的方法和系统 | |
| CN103544204A (zh) | 用于表示为树的分级的并基于索引的水印的系统和方法 | |
| KR20200025043A (ko) | 인공 지능 기반의 통합 로그 관리 방법 및 그 시스템 | |
| CN103309937A (zh) | 一种云平台内容监管的方法 | |
| Abidi et al. | A web service security governance approach based on dedicated micro-services | |
| CN106339629A (zh) | 一种应用程序管理方法及装置 | |
| Kang et al. | Automated permission model generation for securing SDN control-plane | |
| JP7486579B2 (ja) | 仮想マシンのコンテンツに基づくクラスタ・セキュリティ | |
| Fang et al. | Pbdt: Python backdoor detection model based on combined features | |
| KR102726481B1 (ko) | Ip 대역의 서버 환경 변경 감지 및 보안 관리 방법, 장치 및 컴퓨터-판독가능 기록매체 | |
| CN110365642B (zh) | 监控信息操作的方法、装置、计算机设备及存储介质 | |
| CN117931953A (zh) | 一种异构数据库数据同步的方法及系统 | |
| CN115809466B (zh) | 基于stride模型的安全需求生成方法、装置、电子设备及介质 | |
| CN117407893A (zh) | 基于api配置的数据权限管理方法、装置、设备和介质 | |
| CN117009832A (zh) | 异常命令的检测方法、装置、电子设备及存储介质 | |
| CN114328119A (zh) | 一种数据库监控方法、系统以及服务器 | |
| CN114626084A (zh) | 用于控制对数据的访问的安全智能容器 | |
| Wang et al. | SPRT: Automatically Adjusting SELinux Policy for Vulnerability Mitigation |