보안 시스템의 자동 관리를 위한 보안 네트워크 관리 구조의 설계 및 성능 분석

Design and Performance Analysis of Security Network Management Architecture for Auto-managing Security Systems

  • 안개일 (한국전자통신연구원 네트워크보안 연구부)
  • 발행 : 2005.08.01

초록

본 논문에서는 정책 기반의 네트워크 관리 구조를 확장하여, 보안 네트워크의 구성의 자동화를 지원할 수 있는 보안 네트워크 관리 구조와 방법을 제안한다. 제안하는 구조 및 방법은 보안 관리 서버가 보안 시스템의 역할과 능력 그리고 보안 정책의 역할과 시간 정보를 기반으로 하여 보안 시스템이 필요로 하는 최적의 보안 정책을 자동 결정하고 보안 정책 룰을 가장 효과적이고 효율적으로 실행할 수 있는 보안 시스템을 자동 결정할 수 있게 한다 본 논문에서는 기존의 네트워크 시스템과 보안 시스템을 통합 제어할 수 있는 SNMP 프로토콜기반의 보안 네트워크 토폴러지 맵 자동 생성기도 제안한다. 본 논문에서 제안된 구조와 방법의 우수성을 보여주기 위하여 공격에 대한 자동 대응 기능을 시뮬레이션하고 그 성능을 평가한다.

This paper proposes the architecture and the methods of security network management for auto-configuration of security systems by extending the existing policy-based network management architecture. The architecture and the methods proposed in this paper enable a security management sewer to automatically decide the best-suited security policy to apply to a security system and the most effective and efficient security system to perform security policy rule, based on the role and capability information of security systems and the role and time information of security policy. For integrated control of network system and security system, this paper also proposes SNMP protocol based security network topology map generator. To show the excellence of the proposed architecture and methods, we simulate and evaluate the automatic response against attacks.

키워드

참고문헌

  1. Check Point, 'Open Platform for Security,' Technical Note, 2000
  2. Cisco, 'Network Security - Embedded in the Network, Integrated in the Product', white paper, 2002
  3. R. Mahajan, S. M. Bellovin, S. Floyd, and et al., 'Controlling High Bandwidth Aggregates in the Network,' ACM SIGCOMM Computer Communications Review, Vol. 32, No. 3, pp. 62-73, July 2002 https://doi.org/10.1145/571697.571724
  4. D.K.Y. Yau, J.C.S. Lui, and Feng Liang, 'Defending against distributed denial-of-service attacks with max-min fair server-centric router throttles,' 10th IEEE International Workshop on Quality of Service, pp.35-44, May 2002
  5. Verma, Dinesh, 'Policy Based Networking,' New Riders, November 2000
  6. Raouf Boutaba, Salima Omari and Ajay Pal Singh Virk, 'SELFCON: An Architecture for Self-Configuration of Networks', IEEE Journal of communications and networks, VOL.3, NO.4, Dec. 2001
  7. R. Sahita, S. Hahn, K. Chan, and K. McCloghrie, 'Framework Policy Information Base,' IETF, RFC 3318, March, 2003
  8. J. Case, M. Fedor, M. Schoffstall, and J. Davin, 'A Simple Network Management Protocol(SNMP)', IETF, RFC 1157, May 1990
  9. William Stallings, 'SNMPv3: A Security Enhancement for SNMP,' IEEE Communications Surveys, Vol. 1 No. 1, Fourth Quarter 1998
  10. Y. Yaacovi, M. Wahl and T. Genovese, 'Lightweight directory access protocol(v3): Extensions for dynamic directory services,' IETF, RFC 2589, May 1999
  11. D. Durham, J. Boyle, R. Cohen, and et. al., 'The COPS (Common Open Policy Service) Protocol,' IETF, RFC 2748, Jan. 2000
  12. B. Moore, E. Ellesson, J. Strassner, and A. Westerinen, Strassner, 'Policy Core Information Model - Version 1 Specification,' IETF, RFC 3060, Feb. 2001
  13. K. Chan, J. Seligson, D. Durham, and et. al., 'COPS Usage for Policy Provisioning (COPS-PR),' IETF, RFC 3084, March 2001
  14. B. Feinstein, G. Matthews, and J. White, 'The Intrusion Detection Exchange Protocol (IDXP)', IETF, draft-ietf-idwg-beep-idxp-07, Oct. 2002
  15. UCB/LBNL/VINT, 'ns Notes and Documentation,' http://www.isi.edu/nsnam/ns
  16. X. Geng and A. B. Whinston, 'Defeating Distributed Denial of Service Attacks', IT Pro, pp 36-41, July 2000