KR100466214B1 - method and recorded media for security grade to measure the network security condition - Google Patents

method and recorded media for security grade to measure the network security condition Download PDF

Info

Publication number
KR100466214B1
KR100466214B1 KR10-2001-0082497A KR20010082497A KR100466214B1 KR 100466214 B1 KR100466214 B1 KR 100466214B1 KR 20010082497 A KR20010082497 A KR 20010082497A KR 100466214 B1 KR100466214 B1 KR 100466214B1
Authority
KR
South Korea
Prior art keywords
security level
security
attack
intrusion
situation
Prior art date
Application number
KR10-2001-0082497A
Other languages
Korean (ko)
Other versions
KR20030052511A (en
Inventor
김진오
방효찬
김기영
장종수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2001-0082497A priority Critical patent/KR100466214B1/en
Publication of KR20030052511A publication Critical patent/KR20030052511A/en
Application granted granted Critical
Publication of KR100466214B1 publication Critical patent/KR100466214B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명에 따른 가변적인 보안 상황을 반영하는 보안 등급 설정방법은 네트워크를 통하여 침입 또는 공격 탐지 데이터가 수신되는 경우, 침입 또는 공격 주체의 위험도, 공격 대상의 중요도, 침입 데이터의 트래픽 양 및 트래픽 빈도, 침입 데이터의 심각도에 대하여 기설정된 판단분석 기준에 의해 분석하는 단계와, 그 분석 결과에 대하여 기설정된 보안등급 테이블에 의거하여 보안등급을 설정하는 단계와, 가변적인 보안 상황에 따라 그 설정된 보안등급에 대하여 유지여부를 판단하여 보안등급을 재조정하는 단계를 수행한다.Security level setting method reflecting the variable security situation according to the present invention, when intrusion or attack detection data is received through the network, the risk of intrusion or attack subjects, the importance of the attack target, the traffic amount and traffic frequency of the intrusion data, Analyzing the severity of the intrusion data by the predetermined judgment analysis criteria, setting the security level based on the security level table predetermined for the analysis result, and according to the security level set according to the variable security situation The security level is determined and the security level is readjusted.

본 발명에 의하면, 탐지된 침입 데이터와 시스템 관리 데이터 등을 분석 가공하여 현재의 네트워크 상황을 평가 가능한 보안등급으로 계량화하고, 이에 대한 보안등급의 상태 천이 모델을 운용함으로서 유동적인 네트워크 상황을 고려한 대응 전략의 수립과 수행이 가능하도록 한다According to the present invention, the intrusion data and system management data are analyzed and processed to quantify the current network status to an evaluable security level, and to respond to the flexible network situation by operating a state transition model of security level. To enable the establishment and implementation of

Description

가변적인 보안 상황을 반영하는 보안 등급 설정방법 및 이를 위한 기록 매체{method and recorded media for security grade to measure the network security condition}Method and recorded media for security grade to measure the network security condition}

본 발명은 가변적인 보안상황을 반영하는 보안 등급 설정방법 및 이를 위한 기록 매체에 관한 것으로, 상세하게는 보안상황을 반영하기 위한 지표로서 보안등급 0부터 보안등급 4까지로 정의하고, 침입 탐지 데이터의 발생에 대한 임계치 분석 등을 통해 이를 보안등급으로 계량화함으로써, 수시로 변경되는 네트워크의 보안상황에 맞추어 보안등급을 변경하여 가변적인 보안상황을 반영하는 보안 등급 설정방법 및 이를 위한 기록 매체에 관한 것이다.The present invention relates to a security level setting method and a recording medium for reflecting a variable security situation, and in detail, as an index for reflecting the security situation defined as security level 0 to security level 4, the intrusion detection data The security level setting method and recording medium for reflecting the variable security situation by changing the security level in accordance with the security situation of the network that changes from time to time by quantifying this to the security level through the threshold analysis of the occurrence, and the like.

현재와 같이 누구에게나 네트워크의 사용이 자유로운 상황에서 자신의 지식과 서비스를 보호하는 것은 너무도 당연하며, 필연적인 과제이다. 그러나, 네트워크 방어에 있어서 제약만이 해결책이 되는 것은 아니다.Protecting your knowledge and services in a situation where everyone is free to use the network today is a natural and necessary task. However, constraints are not the only solution in network defense.

네트워크 방어의 주된 과제는 특정 침입이나 공격에 대해서만 제약을 가함으로써 선량한 사용자에게는 자유로운 네트워크의 이용의 길이 열려 있어야 한다.The main challenge of network defense is to open the way for free users to good users by restricting only certain intrusions or attacks.

그러나, 현재까지 네트워크 보안을 위한 침입 탐지 및 대응은 특정 공격에 대해 미리 정의된 대응 방식을 취하는데 그치고 있다. 네트워크의 보안상황은 시간적으로 매우 유동적이다. 따라서, 네트워크 보안을 위한 대응에 있어서 실시간적으로 현재의 보안상황을 고려하여 이에 대한 적절한 대응을 하는 것이 효과적이다. 즉, 현재의 네트워크 상황을 고려하지 않은 채 수행하는 획일적인 대응은 네트워크의 사용에 대한 통제의 의미만이 부각될 뿐이며, 좀 더 유연한 네트워크 상황에 대한 대처는 결여되는 것이다.However, to date, intrusion detection and response for network security has only taken a predefined response to specific attacks. The security situation of the network is very flexible in time. Therefore, in response to network security, it is effective to consider the current security situation in real time and take appropriate response thereto. In other words, the uniform response that is performed without considering the current network situation is only the meaning of the control over the use of the network, and the lack of a more flexible network situation.

본 발명은 이러한 종래의 문제점을 해결하기 위한 것으로, 다양한 사용자에 의한 네트워크 상황의 유동성을 고려하지 않는 획일적 대응을 벗어나, 좀 더 유연한 네트워크 이용을 위해 수집된 침입탐지 데이터에 대한 다양한 임계치 적용과 분석을 통해 현재 네트워크의 보안상황을 보안등급으로 계량화할 수 있는 가변적인 보안상황을 반영하는 보안 등급 설정방법 및 이를 위한 기록 매체를 제공하는데 그 목적이 있다.The present invention is to solve this conventional problem, and beyond the uniform response that does not take into account the fluidity of the network situation by various users, the application of various thresholds to the intrusion detection data collected for more flexible network use and analysis The purpose is to provide a security level setting method that reflects a variable security situation that can quantify the security situation of the current network to a security level, and a recording medium therefor.

상기 목적을 달성하기 위한 본 발명에 따른 가변적인 보안상황을 반영하는 보안 등급 설정방법에 의하면, 네트워크를 통하여 침입 또는 공격 탐지 데이터가 수신되는 경우, 침입 또는 공격 주체의 위험도, 공격 대상의 중요도, 침입 데이터의 트래픽 양 및 트래픽 빈도, 침입 데이터의 심각도에 대하여 기설정된 판단분석 기준에 의해 분석하는 단계;, 그 분석 결과에 대하여 기설정된 보안등급 테이블에 의거하여 보안등급을 설정하는 단계; 및 가변적인 보안상황에 따라 그 설정된 보안등급에 대하여 유지여부를 판단하여 보안등급을 재조정하는 단계를 수행한다.According to the security level setting method reflecting the variable security situation according to the present invention for achieving the above object, when intrusion or attack detection data is received through the network, the risk of intrusion or attack subject, the importance of the attack target, intrusion Analyzing the traffic amount and traffic frequency of the data and the severity of the intrusion data by predetermined decision analysis criteria, and setting a security level based on a predetermined security rating table for the analysis result; And re-adjusting the security level by determining whether to maintain the set security level according to the variable security situation.

또한, 본 발명에 따른 가변적인 보안상황을 반영하는 보안 등급 설정방법을 수행하기 위한 기록매체에 의하면, 가변적인 보안상황을 반영하기 위한 보안 등급 설정 프로그램이 저장된 데이터 기록매체에 있어서, 네트워크를 통하여 침입 또는 공격 탐지 데이터가 수신되는 경우, 침입 또는 공격 주체의 위험도, 공격 대상의중요도, 침입 데이터의 트래픽 양 및 트래픽 빈도, 침입 데이터의 심각도에 대하여 기설정된 판단분석 기준에 의해 분석하는 단계; 상기 분석 결과에 대하여 기설정된 보안등급 테이블에 의거하여 보안등급을 설정하는 단계; 및 그 설정된 보안등급에 대하여 유지여부를 판단하여 보안등급을 재조정하는 단계;를 수행하는 프로그램에 의해 상기 가변적인 보안상황에 따라 보안등급을 설정할 수 있다.In addition, according to the recording medium for performing the security level setting method reflecting the variable security situation according to the present invention, in the data recording medium storing the security level setting program for reflecting the variable security situation, intrusion through the network Or when attack detection data is received, analyzing the risk of intrusion or attack subject, the importance of the target of attack, the amount and frequency of traffic of the intrusion data, and the severity of the intrusion data by predetermined judgment analysis criteria; Setting a security level based on a preset security level table for the analysis result; And re-adjusting the security level by determining whether the security level is maintained with respect to the set security level. The security level may be set according to the variable security situation by the executing program.

또한 본 발명에서는 네트워크의 보안상황을 분석하고 이를 계량화하기 위하여 침입탐지 데이터의 발생 빈도에 대한 정량적 임계치 분석과 침입의 심각성에 대한 심각도 임계치 분석 및 침입 주체의 위험도 및 공격 대상의 중요도 분석 등을 수행하여 현재의 네트워크 보안상황을 보안등급 0 부터 보안등급4까지 계량화 함으로써 네트워크 취약성을 반영하며, 이러한 보안상황의 분석 결과는 침입에 대한 대응 전략의 수립과 결정에 반영될 수 있다.In addition, in the present invention, in order to analyze and quantify the security situation of the network, the quantitative threshold analysis on the frequency of intrusion detection data, the severity threshold analysis on the severity of the intrusion, the risk of the intruder and the importance of the attack target are performed. Network vulnerability is quantified by quantifying the current network security status from security level 0 to security level 4, and the analysis result of this security situation can be reflected in the establishment and determination of response strategy for intrusion.

본 발명에서는 보안상황을 평가하기 위한 지표로서 보안등급의 정의 및 보안등급의 상태 천이 다이어그램을 정의하고, 침입탐지 데이터의 임계치 분석 등을 통하여 보안 등급을 설정하고 있다.In the present invention, the security level is defined as an index for evaluating the security situation, and the state transition diagram of the security level is defined, and the security level is set through threshold analysis of intrusion detection data.

이와 같이, 본 발명에서는 유동적인 네트워크 상황을 반영함으로써, 보다 효과적인 상황 대응이 가능하게 한다. 종래에 보안등급의 설정은 주로 컴퓨터 시스템이나 네트워크 장비에 대한 접근 제어나 권한 제어 수준의 보안등급을 의미하나, 본 발명에서는 이를 네트워크 상황을 반영하는 평가 단위로 이용하여 현재의 네트워크의 보안상황을 반영하는 척도로 사용한다.As described above, in the present invention, a fluid network situation is reflected, thereby enabling a more effective situation response. Conventionally, the setting of security level mainly means security level of access control or authority control level for computer system or network equipment, but in the present invention, it is used as an evaluation unit reflecting the network situation to reflect the current security situation of the network. Use it to measure

아울러, 본 발명에서는 보안상황을 평가하기 위한 지표로서 보안등급과 보안등급의 상태 천이 모델을 정의하며 이를 수행하기 위한 침입 데이터의 임계치 분석 기능과 방법 등을 포함한다.In addition, the present invention defines a security level and a state transition model of the security level as an index for evaluating a security situation, and includes a function and a method for analyzing the threshold value of the intrusion data for performing this.

네트워크 침입탐지는 네트워크 상의 패킷을 모니터링하고, 해당 패킷이 적법한지 그렇지 않은지를 판단하여 적법하지 않은 경우, 이를 침입 또는 공격이라고 판단한다.Network intrusion detection monitors the packets on the network and determines whether the packets are legitimate or not, and determines that the packets are intrusion or attack if they are not legal.

도 1은 본 발명에 따른 보안상황 분석기와 침입탐지 센서로 이루어지는 네트워크 보안 시스템의 개략적인 구성 블록도,1 is a schematic block diagram of a network security system comprising a security condition analyzer and an intrusion detection sensor according to the present invention;

도 2는 도 1의 보안상황 분석기에 대한 입출력 데이터를 설명하기 위한 개념도,2 is a conceptual diagram illustrating input and output data for the security situation analyzer of FIG.

도 3은 본 발명에 따른 보안상황 분석기에 의한 보안등급의 상태 천이 다이아그램도,3 is a state transition diagram of the security level by the security status analyzer according to the present invention,

도 4는 본 발명에 따른 보안상황 분석기에서 정의하는 보안등급을 위한 임계치를 설명하는 도면,4 is a diagram illustrating a threshold for a security level defined in the security condition analyzer according to the present invention;

도 5는 본 발명에 따른 보안상황 분석기에서 정의하는 보안등급을 설명하는 도면.5 is a view for explaining the security level defined in the security status analyzer according to the present invention.

*도면의 주요부분에 대한 부호의 설명** Description of the symbols for the main parts of the drawings *

1;침입탐지 센서 2;보안상황 분석기1; Intrusion Detection Sensor 2; Security Status Analyzer

이하, 본 발명의 바람직한 실시예를 첨부된 도면을 통해 설명한다. 도 1은 본 발명에 따른 보안상황 분석기와 침입탐지 센서로 이루어지는 네트워크 보안 시스템의 개략적인 구성 블록도이다.Hereinafter, preferred embodiments of the present invention will be described with reference to the accompanying drawings. 1 is a schematic block diagram of a network security system including a security condition analyzer and an intrusion detection sensor according to the present invention.

도면을 참조하면, 본 발명의 침입탐지 센서(1)는 네트워크로부터의 패킷에 대해 공격 패턴과 비교하여 침입 여부를 판단하는 기능을 수행하며, 침입이라고 판단하는 경우, 침입탐지 데이터를 보안상황 분석기(2)에게 전달한다.Referring to the drawings, the intrusion detection sensor 1 of the present invention performs a function of determining whether or not to invade the packet from the network compared to the attack pattern, and if it is determined that the intrusion, the intrusion detection data security status analyzer ( To 2).

기본적으로 보안상황 분석기(2)는 하나 또는 그 이상의 침입탐지 센서(1)로부터 침입탐지 데이터를 전달받는다. 보안상황 분석기(2)와 침입탐지 센서(1)는 단일 시스템에 탑재될 수도 있고, 별도의 시스템에 존재할 수 도 있다. 이러한 경우 상호 간의 연결 방식에 대해서는 본 발명에서 그 설명을 생략하기로 한다.Basically, the security situation analyzer 2 receives intrusion detection data from one or more intrusion detection sensors 1. The security condition analyzer 2 and the intrusion detection sensor 1 may be mounted in a single system or may exist in separate systems. In this case, a description thereof will be omitted in the present invention with respect to the mutual connection method.

도 2는 도 1의 보안상황 분석기를 입출력 데이터를 설명하기 위한 개념도로서, 도면을 참조하면, 보안상황 분석기(2)는 네트워크 내의 침입 및 공격에 대한 데이터와 시스템 관리 데이터를 입력으로 하여 궁극적으로 현재의 보안상황을 계량화하는 것이 주된 기능이다.FIG. 2 is a conceptual diagram illustrating input and output data of the security situation analyzer of FIG. 1. Referring to the drawing, the security situation analyzer 2 inputs data on system intrusion and attack and ultimately system management data. The main function is to quantify the security situation.

이러한 계량화 작업을 위해 보안상황 분석기(2)에 임계치를 지정할 수 있다. 그 지정된 임계치를 바탕으로 보안상황 분석기(2)는 네트워크 침입 데이터의 공격 주체의 위험도와 공격 대상의 중요도 분석과 함께 침입 데이터의 트래픽 양과 심각도에 대한 임계치 분석을 수행하며, 또한 시스템 관리 데이터에 의한 분석을 수행함으로서 보안상황을 설정할 수 있다.The threshold can be assigned to the security condition analyzer 2 for this quantification. Based on the specified threshold, the security situation analyzer 2 performs a threshold analysis on the traffic volume and severity of the intrusion data along with the analysis of the risk of the attack subject and the importance of the target of the network intrusion data, and the analysis by the system management data. You can set the security situation by executing.

본 발명에서는 보안상황의 평가하고 또한 이를 계량화를 위해 다음과 같은 다섯 단계의 보안등급을 정의한다.In the present invention, the following five levels of security level are defined for evaluating the security situation and quantifying it.

보안등급 0: 보안상황 감시 불가 상태Security Level 0: Inability to Monitor Security Status

보안등급 1: 위험 보안상황Security Level 1: Risk Security Situation

보안등급 2: 준위험 보안상황Security level 2: Semi-hazardous security situation

보안등급 3: 경계 보안상황Security level 3: boundary security situation

보안등급 4: 안전 보안상황Security level 4: safe security situation

보안등급 0은 보안상황을 판단할 수 없는 상태를 의미한다. 이는 보안상황 분석기 자체의 문제 또는 보안상황 분석기의 시스템 환경과 관련된 문제이거나 또는 침입탐지 센서와의 인터페이스 문제 등의 다양한 고장이나 장애에 의해 발생될 수 있다. 즉 어떠한 경우이든 보안상황 분석기가 더 이상 보안상황에 대한 감시 및 분석이 불가능하다고 판단되는 경우 보안등급 0으로 지정된다.A security level of 0 means that the security situation cannot be determined. This may be caused by various failures or failures such as a problem of the security condition analyzer itself or a problem related to the system environment of the security condition analyzer or an interface problem with an intrusion detection sensor. In other words, if it is determined that the security situation analyzer can no longer monitor and analyze the security situation, it is assigned to security level 0.

보안등급 1부터 4는 정상적인 감시 및 분석이 가능한 경우이며, 보안상황이 얼마나 심각한가를 알려주는 지표이다. 보안등급 4는 현재 안전하다고 진단한 상황이다. 보안등급 3은 네트워크로의 점검이 빈번히 발생하는 등의 이유로 인해 경계가 요구되는 상황으로 지속적인 감시가 요구되는 상황이며, 보안등급 2는 네트워크 상에 다수의 공격이 진행되고 있다고 판단되어 이에 대한 대응이 요구되는 상태를 의미한다. 보안등급 1은 매우 심각한 보안상황으로 더 이상 대응을 지체할 수 없는 상황을 의미한다.Security levels 1 to 4 are cases where normal monitoring and analysis are possible and are indicators of how serious the security situation is. Security level 4 is currently diagnosed as safe. Security level 3 is a situation where a boundary is required due to frequent checks to the network, and continuous monitoring is required. Security level 2 determines that a number of attacks are in progress on the network. It means the required state. Security level 1 is a very serious security situation and means that the response can no longer be delayed.

도 3은 본 발명에 따른 보안상황 분석기에 의한 보안등급간의 상태 천이 다이아그램도이다.3 is a state transition diagram between security levels by the security status analyzer according to the present invention.

보안등급간에는 도시된 바와 같은 상태천이 다이어그램과 같이 보안등급의 상향 조정, 즉 보안등급이 심각해지는 상황은 분석의 결과에 따라 직접적인 천이가 이루어진다.As shown in the state transition diagram, the security level is raised, that is, the situation in which the security level is serious is directly transitioned according to the results of the analysis.

예를 들어 보안등급 4에서도 보안등급 1의 조건이 발생하면, 즉시 보안등급 1로 조정된다. 보안등급의 하향 조정, 즉 해제는 임의의 시간동안 더 이상 해당 보안등급에 상응하는 이벤트가 발생하지 않는 경우이며, 이러한 경우에는 보안등급이 순차적으로 낮춰지게 된다. 즉 지속적인 해제 조건의 발생은 결국 보안등급 4로의 천이로 귀결된다.For example, if a security level 1 condition occurs in security level 4, the security level 1 is immediately adjusted. Lowering, or releasing, the security level is a case in which an event corresponding to the security level no longer occurs for a certain time, in which case the security level is lowered sequentially. In other words, the occurrence of the continuous release condition results in the transition to security level 4.

이러한 보안등급의 설정을 위해 보안상황 분석기는 네트워크 침입데이터에 대한 침입 정보의 분석 및 임계치 분석을 수행한다. 그러나 이런 분석의 결과는 보안등급 1부터 보안등급 4까지의 상태 천이에 대한 이벤트로 이용되지만 보안등급 0에 대한 이벤트로는 적용되지 않는다. 즉 보안등급 0의 설정 및 보안등급 0의 해제는 시스템 고장이나 장애 정보에 의해 상태 천이를 수행하게 된다.In order to set the security level, the security condition analyzer analyzes intrusion information and threshold analysis for network intrusion data. However, the results of this analysis are used as events for state transitions from security level 1 to security level 4, but not as events for security level 0. That is, setting security level 0 and releasing security level 0 perform state transition by system failure or failure information.

침입 정보의 분석은 침입 주체의 위험도와 공격 대상의 중요도 등을 수행한다. 침입 주체의 위험도는 각각 일반, 예비 블랙리스트 및 블랙리스트로 구분한다. 예비 블랙리스트와 블랙리스트의 구분은 시스템 구성이나 또는 분석을 통해 가능하며, 이는 본 발명에서 논의하는 범위 외의 사항이다.The analysis of the intrusion information performs the risk of the intruder and the importance of the attack target. The risk of intrusion subjects is divided into general, preliminary blacklist and blacklist, respectively. The distinction between the preliminary blacklist and the blacklist is possible through system configuration or analysis, which is outside the scope discussed in the present invention.

공격 대상의 중요도 분석은 공격 대상에 대해 각각 일반, 중요 및 매우 중요의 세 단계로 구분한다. 이에 대한 구분 방법 역시 본 발명의 범위는 아니며 이는 시스템 데이터를 통해 얻어질 수 있다고 가정한다. 이러한 구분은 동일한 공격에 대해서도 침입 주체 및 대상에 따라 서로 다른 분석이 가능할 수 있음을 시사한다.The criticality analysis of the attack target is divided into three stages of general, important, and very important for the target. The classification method for this is also not the scope of the present invention, it is assumed that it can be obtained through the system data. This distinction suggests that different analyzes may be possible for the same attack depending on the attacking subject and target.

또한 침입 및 공격에 대한 임계치 분석을 위해 두 단계의 임계값이 유지된다. 이를 각각 하위임계치와 상위임계치로 구분한다. 임계치의 운용은 일정한 기간 동안 해당 임계치에 상응하는 이벤트가 발생하였는가에 대한 분석을 의미한다. 즉 임계치의 설정은 기간을 의미하는 시간 값과 빈도 수를 측정하는 값의 쌍으로 구성된다.In addition, two levels of thresholds are maintained for threshold analysis for intrusions and attacks. These are divided into lower threshold and upper threshold, respectively. Operation of a threshold means an analysis of whether an event corresponding to the threshold has occurred for a certain period of time. That is, the setting of the threshold is composed of a pair of time values representing a period and a value measuring a frequency.

침입탐지 데이터에 대한 트래픽 임계치는 수집된 침입 데이터의 전체 빈도 수에 의한 임계치 유지를 의미한다.The traffic threshold for intrusion detection data means to maintain the threshold by the total frequency of collected intrusion data.

또한 침입탐지 데이터의 심각도 분석을 위해 보안상황 분석기는 각각의 공격 패턴에 대해 다음과 같은 다섯 등급의 심각도로 구분한다.In addition, to analyze the severity of intrusion detection data, the Security Situation Analyzer classifies each attack pattern into five severities.

심각도 1: 심각성 판단 유보 (Indeterminate)Severity 1: Indeterminate

심각도 2: 저수준 보안상태 점검 행위 (Warning)Severity 2: Low Level Security Check (Warning)

심각도 3: 고수준 보안상태 점검 행위 (Minor)Severity 3: High Level Security Check (Minor)

심각도 4: 저수준 공격 행위 (Major)Severity 4: Low Level Attack Behavior

심각도 5: 고수준 공격 행위 (Critical)Severity 5: Critical Attack Behavior

도 4는 보안상황 분석기에서 유지하는 임계치의 종류들이며, 도 5는 이러한 임계치를 이용하여 보안등급을 설정하는 과정을 도시하고 있다.4 illustrates types of thresholds maintained by the security condition analyzer, and FIG. 5 illustrates a process of setting a security level using these thresholds.

도 4를 참조하면, AlertTrafficThreshold는 침입탐지 데이터 트래픽 빈도 임계치를 나타내는 것으로, 상위 임계치와 하위 임계치가 있다.Referring to FIG. 4, AlertTrafficThreshold represents an intrusion detection data traffic frequency threshold, and has an upper threshold and a lower threshold.

IndeterminateAttackThreshold는 침입탐지 데이터의 심각도1 빈도에 대한 임계치를 나타내고, WarningAttackThreshold는 침입탐지 데이터의 심각도2 빈도에 대한 임계치를 나타내고, MinorAttackThreshold는 침입탐지 데이터의 심각도3 빈도에 대한 임계치를 나타내고, MajorAttackThreshold는 침입탐지 데이터의 심각도4 빈도에 대한 임계치를 나타내고, CriticalAttackThreshold는 침입탐지 데이터의 심각도5 빈도에 대한 임계치를 나타낸다.IndeterminateAttackThreshold represents the threshold for the severity 1 frequency of intrusion detection data, WarningAttackThreshold represents the threshold for the severity 2 frequency of intrusion detection data, MinorAttackThreshold represents the threshold for the severity 3 frequency of intrusion detection data, and MajorAttackThreshold is the intrusion detection data The threshold for the severity 4 frequency of is shown, and CriticalAttackThreshold is the threshold for the severity 5 frequency of intrusion detection data.

이하, 임계치를 이용한 보안등급을 도 5를 참조하여 설명하면, 본 발명에서 예시하고 있는 보안 등급 0의 상태는 판단할 수 없는 상태로서, 전원, 하드웨어 등의 시스템 장애, 데이터베이스 등의 소프트웨어 장애, 보안상황 분석기 장애, 침입탐지 센서와의 통신 세션 장애시의 보안등급이다.Hereinafter, the security level using the threshold value will be described with reference to FIG. 5. The state of the security level 0 illustrated in the present invention cannot be determined, system failures such as power and hardware, software failures such as a database, and security. This is the security level in case of situation analyzer failure or communication session failure with intrusion detection sensor.

보안 등급 1의 상태는 매우 심각하다고 판단하는 상태로서, Alert Traffic High Threshold 초과가 연속된 상태로 임의의 시간 경과, Critical Attack High Threshold 초과, "중요" 자원들에 대한 Critical Attack Low Threshold 초과, "매우 중요" 자원들에 대한 Critical Attack Low Threshold 또는 Major Attack High Threshold 초과, "예비 블랙리스트" 멤버들에 대한 Critical Attack Low Threshold 초과, "블랙리스트" 멤버들에 대한 Critical Attack Low Threshold 또는 Major Attack High Threshold 초과시의 등급이다.The level of security level 1 is considered to be very serious, with the Alert Traffic High Threshold exceeded for a continuous period of time, the Critical Attack High Threshold exceeded, the Critical Attack Low Threshold exceeded for the "critical" resources, and "very Critical Attack Low Threshold or Major Attack High Threshold exceeded for "Major" resources, Critical Attack Low Threshold exceeded for "Preliminary Blacklist" members, Critical Attack Low Threshold or Major Attack High Threshold exceeded for "Blacklist" members Is the rating.

보안등급 2는 심각하다고 판단하는 상태로서, Alert Traffic High Threshold 초과, Critical Attack Low Threshold 초과, Major Attack High Threshold 초과, "중요" 자원들에 대한 Major Attack Low Threshold 초과, "매우 중요" 자원들에 대한 Major Attack Low Threshold 또는 Minor Attack High Threshold 초과, "예비 블랙리스트" 멤버들에 대한 Major Attack Low Threshold 초과, "블랙리스트" 멤버들에 대한 Major Attack Low Threshold 또는 Minor Attack High Threshold 초과시의 등급이다.A security level of 2 is considered critical and includes: Alert Traffic High Threshold Exceeded, Critical Attack Low Threshold Exceeded, Major Attack High Threshold Exceeded, Major Attack Low Threshold Exceeded for "Important" Resources, and "Very Important" Major Attack Low Threshold or Minor Attack High Threshold Exceeded, Major Attack Low Threshold Exceeded for "Preliminary Blacklist" Members, Major Attack Low Threshold for "Blacklist" Members Exceeded Major Attack Low Threshold or Minor Attack High Threshold Exceeded.

보안등급 3은 경계가 요구되는 상태로서, Alert Traffic Low Threshold 초과, Major Attack Low Threshold 초과, Minor Attack High Threshold 초과, "중요" 자원들에 대한 Minor Attack Low Threshold 초과, "매우 중요" 자원들에 대한 Minor Attack Low Threshold 또는 Warning Attack High Threshold 초과, "예비 블랙리스트" 멤버들에 대한 Minor Attack Low Threshold 초과, "블랙리스트" 멤버들에 대한 Minor Attack Low Threshold 또는 Warning Attack High Threshold 초과시의 보안 등급이다.Security Level 3 is a boundary condition that requires Alert Traffic Low Threshold, Major Attack Low Threshold, Minor Attack High Threshold, Minor Attack Low Threshold for "Important" resources, and "Very Critical" resources for Minor Attack Low Threshold or Warning Attack High Threshold Exceeded, Minor Attack Low Threshold Exceeded for "Preliminary Blacklist" Members, Minor Attack Low Threshold for "Blacklist" Members Exceeded Security Level.

보안등급 4는 안전하다고 판단되는 상태로서 위의 현상이 발생되지 않는다.아울러, 이외의 임계치는 통계용으로 사용한다.Security level 4 is considered to be safe and the above phenomenon does not occur. In addition, other thresholds are used for statistics.

실제로 이러한 임계치의 분석과는 달리 적용은 응용 범위나 목적에 따라 다르게 수행할 수 있다. 즉 심각도 5의 하위 임계치 위반 시에 도 5와 같이 보안등급 2로 설정할 수도 있으나, 이는 임계치 분석을 적용하는 영역에 따라 다르게 적용할 수 있다는 의미이다In practice, unlike the analysis of these thresholds, the application can be performed differently depending on the application range or purpose. In other words, when the lower threshold of severity 5 is violated, it may be set as security level 2 as shown in FIG.

이상에서 설명한 바와 같이, 네트워크 보안은 상당히 유동적인 네트워크 상황을 고려하여야 한다. 즉 특정 공격에 대해 미리 정의된 대응만을 가지고는 유동적이고, 유기적으로 활동하는 네트워크 상황을 적절히 반영하여 최선의 대응을 수행하는 것이 사실상 어렵다.As described above, network security must consider a fairly flexible network situation. In other words, with a predefined response to a specific attack, it is virtually difficult to perform the best response by properly reflecting a fluid, organically active network situation.

본 발명에 의하면, 탐지된 침입 데이터와 시스템 관리 데이터 등을 분석 가공하여 현재의 네트워크 상황을 평가 가능한 보안등급으로 계량화하고, 이에 대한 보안등급의 상태 천이 모델을 운용함으로서 유동적인 네트워크 상황을 고려한 대응 전략의 수립과 수행이 가능하다.According to the present invention, the intrusion data and system management data are analyzed and processed to quantify the current network status to an evaluable security level, and to respond to the flexible network situation by operating a state transition model of security level. Can be established and implemented.

Claims (9)

네트워크를 통하여 침입 또는 공격 탐지 데이터가 수신되는 경우, 침입 또는 공격 주체의 위험도, 공격 대상의 중요도, 침입 데이터의 트래픽 양 및 트래픽 빈도, 침입 데이터의 심각도에 대하여 기설정된 판단분석 기준에 의해 분석하는 단계;When intrusion or attack detection data is received through the network, analyzing the risks of the intrusion or attack subject, the importance of the attack target, the traffic volume and traffic frequency of the intrusion data, and the severity of the intrusion data by predetermined judgment analysis criteria. ; 상기 분석 결과에 대하여 기설정된 보안등급 테이블에 의거하여 보안등급을 설정하는 단계; 및Setting a security level based on a preset security level table for the analysis result; And 가변적인 보안상황에 따라 그 설정된 보안등급에 대하여 유지여부를 판단하여 보안등급을 재조정하는 단계;를 수행하는 가변적인 보안상황을 반영하는 보안 등급 설정방법.And re-adjusting the security level by determining whether to maintain the set security level according to the variable security condition. The security level setting method reflecting the variable security situation. 제 1항에 있어서, 상기 기설정된 분석 기준에 의해 분석하는 단계에서,The method of claim 1, wherein in the analyzing using the predetermined analysis criteria, 상기 공격 주체의 위험도는, 기설정된 공격자 위험 리스트중 해당 공격 주체가 속하는 단계에 따라 분석하는 가변적인 보안상황을 반영하는 보안 등급 설정방법.And a risk level of the attack subject reflects a variable security situation analyzed according to a stage to which the attack subject belongs in a preset attacker risk list. 제 1항에 있어서, 상기 기설정된 분석 기준에 의해 분석하는 단계에서,The method of claim 1, wherein in the analyzing using the predetermined analysis criteria, 상기 공격 대상의 중요도는, 기설정된 대상 중요 리스트중 해당 공격 대상이 속하는 단계에 따라 분석하는 가변적인 보안상황을 반영하는 보안 등급 설정방법.The importance level of the attack target, security level setting method that reflects a variable security situation to be analyzed according to the stage of the attack target of the predetermined target important list. 제 1항에 있어서, 상기 기설정된 분석 기준에 의해 분석하는 단계에서,The method of claim 1, wherein in the analyzing using the predetermined analysis criteria, 상기 침입 데이터의 트래픽양 및 트래픽 빈도는, 기설정된 트래픽 양 및 빈도 분석기준에 해당하는 이벤트가 발생했는지의 여부로 분석하는 가변적인 보안상황을 반영하는 보안 등급 설정방법.The amount of traffic and the frequency of the intrusion data security level setting method reflects a variable security situation that analyzes whether the event corresponding to the predetermined traffic amount and frequency analysis criteria has occurred. 제 1항에 있어서, 상기 기설정된 분석 기준에 의해 분석하는 단계에서,The method of claim 1, wherein in the analyzing using the predetermined analysis criteria, 상기 침입 데이터의 심각도는, 기설정된 침입 데이터 심각도 분석기준에 해당하는 이벤트가 발생했는지의 여부로 분석하는 가변적인 보안상황을 반영하는 보안 등급 설정방법.The severity of the intrusion data is a security level setting method that reflects a variable security situation that analyzes whether or not an event corresponding to a predetermined intrusion data severity analysis criteria has occurred. 제 1항에 있어서, 상기 보안등급을 설정하는 단계에서,The method of claim 1, wherein in setting the security level, 상기 보안등급 테이블은, 상기 침입 또는 공격 주체의 위험도, 공격 대상의 중요도, 침입 데이터의 트래픽 양 및 트래픽 빈도, 침입 데이터의 심각도를 종합한결과에 의해 하나 이상의 보안등급을 갖는 가변적인 보안상황을 반영하는 보안 등급 설정방법.The security level table reflects a variable security situation having one or more security levels as a result of combining the risk of the intrusion or the subject of attack, the importance of the target of attack, the amount and frequency of traffic of the intrusion data, and the severity of the intrusion data. How to set security level. 제 1항에 있어서, 상기 보안등급을 재조정하는 단계에서,The method of claim 1, wherein in the step of readjusting the security level, 보안 등급의 상향조정은 해당되는 보안 등급으로 직접 상향 조정되며,Increasing the security level directly raises it to the appropriate security level. 보안 등급의 하향조정은 보안등급 단계별로 순차적으로 하향 조정되는 가변적인 보안상황을 반영하는 보안 등급 설정방법.Downgrade of security level is a security level setting method that reflects a variable security situation that is sequentially lowered by security level step by step. 제 7항에 있어서,The method of claim 7, wherein 상기 보안등급의 하향 조정은, 임의의 시간동안 더 이상 해당 보안등급에 상응하는 이벤트가 발생하지 않는 경우에 이루어지는 가변적인 보안상황을 반영하는 보안 등급 설정방법.The downward adjustment of the security level is a security level setting method that reflects a variable security situation that occurs when an event corresponding to the security level no longer occurs for a certain time. 제 1항 내지 제 8항중 어느 한 항에 기재된 가변적인 보안상황을 반영하는 보안 등급 설정방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.A computer-readable recording medium having recorded thereon a program for executing the security level setting method reflecting the variable security situation according to any one of claims 1 to 8 on a computer.
KR10-2001-0082497A 2001-12-21 2001-12-21 method and recorded media for security grade to measure the network security condition KR100466214B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0082497A KR100466214B1 (en) 2001-12-21 2001-12-21 method and recorded media for security grade to measure the network security condition

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0082497A KR100466214B1 (en) 2001-12-21 2001-12-21 method and recorded media for security grade to measure the network security condition

Publications (2)

Publication Number Publication Date
KR20030052511A KR20030052511A (en) 2003-06-27
KR100466214B1 true KR100466214B1 (en) 2005-01-14

Family

ID=29577271

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0082497A KR100466214B1 (en) 2001-12-21 2001-12-21 method and recorded media for security grade to measure the network security condition

Country Status (1)

Country Link
KR (1) KR100466214B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101498647B1 (en) * 2014-01-21 2015-03-11 (주)우산씨앤씨 Security Management System And Security Management Method Using The Same
KR20160127508A (en) * 2015-04-27 2016-11-04 한국과학기술원 Hardware based security apparatus and securiy method using the same
KR101801547B1 (en) * 2015-08-25 2017-11-27 한국과학기술원 Hardware-based security device with physical and permanent destruction, and security method using the same

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030056652A (en) * 2001-12-28 2003-07-04 한국전자통신연구원 Blacklist management apparatus in a policy-based network security management system and its proceeding method
KR100471636B1 (en) * 2002-04-08 2005-03-08 씨에이치케이한강 주식회사 system for processing a packet on a network of computer systems using a multi-bridge mode
KR100456637B1 (en) * 2002-12-12 2004-11-10 한국전자통신연구원 Network security service system including a classifier based on blacklist
KR100623552B1 (en) * 2003-12-29 2006-09-18 한국정보보호진흥원 Method of risk analysis in automatic intrusion response system
KR100614757B1 (en) * 2004-07-14 2006-08-21 엘지엔시스(주) Apparatus and method for searching and cutting off abnormal traffic by packet header analysis
KR100687736B1 (en) * 2004-12-14 2007-02-27 한국전자통신연구원 Apparatus for recognizing abnormal and destructive traffic in network and Method thereof
US8516583B2 (en) * 2005-03-31 2013-08-20 Microsoft Corporation Aggregating the knowledge base of computer systems to proactively protect a computer from malware
KR100602920B1 (en) * 2005-12-15 2006-07-24 주식회사 정보보호기술 A software method for automatic selection of detection measures to be used to detect the bots and worms in the computer network
KR100798923B1 (en) * 2006-09-29 2008-01-29 한국전자통신연구원 An attack taxonomy for computer and network security and storage media for recording program using the same
US8749343B2 (en) 2007-03-14 2014-06-10 Seth Cirker Selectively enabled threat based information system
US9135807B2 (en) 2007-03-14 2015-09-15 Seth Cirker Mobile wireless device with location-dependent capability
US7874744B2 (en) 2007-09-21 2011-01-25 Seth Cirker Privacy ensuring camera enclosure
US8123419B2 (en) 2007-09-21 2012-02-28 Seth Cirker Privacy ensuring covert camera
EP2235883A4 (en) * 2007-12-18 2014-10-01 Seth Cirker Threat based adaptable network and physical security system
KR101147251B1 (en) * 2010-07-13 2012-05-18 (주)트리니티소프트 Apparatus for security web server
KR101613572B1 (en) * 2014-12-03 2016-04-29 조선대학교산학협력단 Variable encryption algorithm management apparatus and method based on the security environment changes
KR101869265B1 (en) * 2016-06-22 2018-06-20 숭실대학교산학협력단 Unsupervised controlling system for detecting and defencing sybil attack
KR102565784B1 (en) * 2021-05-27 2023-08-10 주식회사 엔씨소프트 Method and apparatus for user account authentication
CN115174420A (en) * 2022-07-05 2022-10-11 中信百信银行股份有限公司 Safe operation method, system, terminal device and storage medium based on index measurement

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000054521A (en) * 2000-06-09 2000-09-05 김상돈 System and method for blocking an attack from hacking robot program
JP2001094602A (en) * 1999-09-24 2001-04-06 Mitsubishi Electric Corp Illegal access detector
KR20010038113A (en) * 1999-10-22 2001-05-15 박성범 Method For Searching Of Hacking And Auditing Trail In Computer Network
KR20010081692A (en) * 2000-02-18 2001-08-29 신영현 Method for hacking detection and warning
KR20010103201A (en) * 2000-05-06 2001-11-23 조용학 The checking system against infiltration of hacking and virus
KR20010112633A (en) * 2000-06-12 2001-12-20 김광택 Integrated security apparatus and operating method thereof

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001094602A (en) * 1999-09-24 2001-04-06 Mitsubishi Electric Corp Illegal access detector
KR20010038113A (en) * 1999-10-22 2001-05-15 박성범 Method For Searching Of Hacking And Auditing Trail In Computer Network
KR20010081692A (en) * 2000-02-18 2001-08-29 신영현 Method for hacking detection and warning
KR20010103201A (en) * 2000-05-06 2001-11-23 조용학 The checking system against infiltration of hacking and virus
KR20000054521A (en) * 2000-06-09 2000-09-05 김상돈 System and method for blocking an attack from hacking robot program
KR20010112633A (en) * 2000-06-12 2001-12-20 김광택 Integrated security apparatus and operating method thereof

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101498647B1 (en) * 2014-01-21 2015-03-11 (주)우산씨앤씨 Security Management System And Security Management Method Using The Same
KR20160127508A (en) * 2015-04-27 2016-11-04 한국과학기술원 Hardware based security apparatus and securiy method using the same
KR101678619B1 (en) * 2015-04-27 2016-11-22 한국과학기술원 Hardware based security apparatus and securiy method using the same
KR101801547B1 (en) * 2015-08-25 2017-11-27 한국과학기술원 Hardware-based security device with physical and permanent destruction, and security method using the same

Also Published As

Publication number Publication date
KR20030052511A (en) 2003-06-27

Similar Documents

Publication Publication Date Title
KR100466214B1 (en) method and recorded media for security grade to measure the network security condition
KR100609710B1 (en) Network simulation apparatus and method for abnormal traffic analysis
Bai et al. Intrusion detection systems: technology and development
KR100617310B1 (en) Apparatus for detecting abnormality of traffic in network and method thereof
KR100561628B1 (en) Method for detecting abnormal traffic in network level using statistical analysis
US20050182950A1 (en) Network security system and method
US7594014B2 (en) Abnormality detection system, abnormality management apparatus, abnormality management method, probe and program
Stolfo et al. Anomaly detection in computer security and an application to file system accesses
CA2543291A1 (en) Method and system for addressing intrusion attacks on a computer system
US20070150955A1 (en) Event detection system, management terminal and program, and event detection method
CN113839935B (en) Network situation awareness method, device and system
CN117155625A (en) Computer network monitoring system
US20210367958A1 (en) Autonomic incident response system
KR100625096B1 (en) Method and system of predicting and alarming based on correlation analysis between traffic change amount and hacking threat rate
KR101214616B1 (en) System and method of forensics evidence collection at the time of infringement occurrence
JP2009048317A (en) Security evaluation method, security evaluation apparatus
Mixia et al. Network security situation assessment based on data fusion
KR100432421B1 (en) method and recorded media for attack correlation analysis
JP4328679B2 (en) Computer network operation monitoring method, apparatus, and program
KR101256671B1 (en) Methofd for testing detection performance of intrusion detection system and the media thereof
CN117390707B (en) Data security detection system and detection method based on data storage equipment
TWI835113B (en) System for executing task based on an analysis result of records for achieving device joint defense and method thereof
Cisar et al. Intrusion detection-one of the security methods
CN117729030A (en) Network scanning detection method and system based on self-adaptive sliding window
TWM652740U (en) computer protection device

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20091231

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee