KR100949803B1 - 아이피 주소 분할 표시 장치 및 방법 - Google Patents

아이피 주소 분할 표시 장치 및 방법 Download PDF

Info

Publication number
KR100949803B1
KR100949803B1 KR1020070133083A KR20070133083A KR100949803B1 KR 100949803 B1 KR100949803 B1 KR 100949803B1 KR 1020070133083 A KR1020070133083 A KR 1020070133083A KR 20070133083 A KR20070133083 A KR 20070133083A KR 100949803 B1 KR100949803 B1 KR 100949803B1
Authority
KR
South Korea
Prior art keywords
address
event
grouped
circular
coordinates
Prior art date
Application number
KR1020070133083A
Other languages
English (en)
Other versions
KR20090065668A (ko
Inventor
장범환
정치윤
손선경
김건량
김종현
유종호
나중찬
장종수
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020070133083A priority Critical patent/KR100949803B1/ko
Priority to US12/808,890 priority patent/US20100262873A1/en
Priority to PCT/KR2008/005175 priority patent/WO2009078543A1/en
Publication of KR20090065668A publication Critical patent/KR20090065668A/ko
Application granted granted Critical
Publication of KR100949803B1 publication Critical patent/KR100949803B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/35Network arrangements, protocols or services for addressing or naming involving non-standard use of addresses for implementing network functionalities, e.g. coding subscription information within the address or functional addressing, i.e. assigning an address to a function
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Abstract

보안 이벤트의 중요 속성들에 대한 조합 결과를 표시함으로써 네트워크의 성능을 저하시키는 이상 및 유해 트래픽 등을 직관적으로 인식하고 보안 상황을 실시간으로 용이하게 판단할 수 있도록 한 아이피 주소 분할 표시 장치 및 방법을 개시한다. 개시된 본 발명은 수집된 보안 이벤트들에서 공통 특성 정보를 이용하여 군집화하고, 군집화된 이벤트들의 IP주소들을 병렬좌표 및/또는 원형좌표로 분할 표시한다.

Description

아이피 주소 분할 표시 장치 및 방법{Apparatus and Method for divided visualizing IP address}
본 발명은 아이피(IP) 주소 분할 표시 장치 및 방법에 관한 것으로, 보다 상세하게는 네트워크 공격 및 공격의 세부 유형을 분석할 수 있도록 한 아이피 주소 분할 표시 장치 및 방법에 관한 것이다.
본 발명은 정보통신부 및 정보통신연구진흥원의 IT성장동력기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2007-S-022-01, 과제명: All-IP환경의 지능형 사이버 공격 감시 및 추적 시스템 개발(The Development of Smart Monitoring and Tracing System against Cyber-attack in All-IP Network)].
최근 네트워크의 이용이 증가함에 따라 네트워크를 통한 불법적인 접근이 증가하고 있다. 이에 따라, 불법적인 공격과 같은 네트워크의 이상 현상을 탐지하여 차단하기 위한 네트워크 보안 기술에 대한 중요도가 높아지고 있다.
종래, 네트워크에서의 이상 상태(즉, 공격에 따른 비정상적인 상황)를 탐지하기 위하여, 네트워크(또는 시스템) 주소, 프로토콜, 포트 번호, 패킷 개수 등과 같은 네트워크의 트래픽 정보중에서 어느 하나의 비율을 이용하여 해당 항목의 추 이를 분석하였다. 다르게는, 네트워크를 통해 전달되는 데이터를 일정한 규칙에 따라 좌표 평면 또는 기하학적인 도형으로 표현하여 전체 네트워크 형태로 비정상적인 상황을 표시하는 경우가 대부분이었다.
이러한 종래의 방법으로는 특정 이상 현상 또는 특정 공격 형태에 따른 네트워크 현상을 정확히 구분 및 표현하기가 어렵다. 그로 인해, 새로운 공격에 따른 이상 형태를 탐지하기가 더욱 힘들다. 게다가 단일 공격이 아닌 복수 개의 공격이 진행될 경우에는 소수의 공격들은 묻혀 버리는 경우가 대부분이다.
또한, 표현되는 네트워크 상태 이미지 또는 그래프는 트래픽의 이상 유무 정도만 표현하고 있다. 즉, 정확하게 공격의 형태를 표시하지 못하기 때문에 이상 상태에 따른 대응 방법을 제시하기가 불가능하다. 그에 따라, 관리자는 이상 현상을 유발하는 유해 트래픽을 찾아내는데 걸리는 시간이 길어지게 되고, 대응하는데 까지의 소요시간도 길어져서 피해가 크게 된다.
본 발명은 상기한 종래의 문제점을 해결하기 위해 제안된 것으로, 보안 이벤트의 중요 속성들에 대한 조합 결과를 표시함으로써 네트워크의 성능을 저하시키는 이상 및 유해 트래픽 등을 직관적으로 인식하고 보안 상황을 실시간으로 용이하게 판단할 수 있도록 한 아이피 주소 분할 표시 장치 및 방법을 제공함에 그 목적이 있다.
상기와 같은 목적을 달성하기 위하여 본 발명의 바람직한 실시예에 따른 아이피 주소 분할 표시 장치는, 수집된 보안 이벤트의 특성 정보를 조합하여 그룹화된 이벤트를 생성하는 이벤트 특성 군집부; 및 그룹화된 이벤트의 아이피(IP) 주소를 인터넷 주소체계에 근거하여 분할하여 좌표 형태로 표시하는 분할 표시부를 포함한다.
이벤트 특성 군집부는, 보안 이벤트를 수집하는 보안 이벤트 수집부; 및 보안 이벤트 수집부로부터의 보안 이벤트의 특성 정보에 근거하여 프로토콜별로 트래픽을 정렬하고, 프로토콜별 보안 이벤트의 특성 정보를 조합하여 그룹화된 이벤트를 생성하는 이벤트 그룹부를 포함한다.
이벤트 그룹부는 프로토콜별 보안 이벤트의 특성 정보에서 한 개 또는 두 개의 요소를 선택하여 조합한다.
프로토콜별 보안 이벤트의 특성 정보는 근원지 IP주소, 목적지 IP주소, 목적 지 포트, 근원지 포트를 포함한다.
분할 표시부는 그룹화된 이벤트의 아이피 주소를 두 개 이상의 병렬 축을 갖는 병렬좌표로 표시한다. 이 경우, 분할 표시부는 그룹화된 이벤트의 아이피 주소를 두 개 이상의 서브-네트워크 값으로 분할하고, 분할한 두 개 이상의 서브-네트워크 값을 해당하는 병렬 축상에 점의 형태로 표시한다.
분할 표시부는 그룹화된 이벤트의 아이피 주소를 두 개 이상의 원형 축을 갖는 원형좌표로 표시한다. 이 경우, 분할 표시부는 그룹화된 이벤트의 아이피 주소를 두 개 이상의 서브-네트워크 값으로 분할하고, 분할한 두 개 이상의 서브-네트워크 값을 해당하는 원형 축상에 점의 형태로 표시한다.
분할 표시부는 그룹화된 이벤트의 아이피 주소를 두 개 이상의 병렬 축을 갖는 병렬좌표 및 두 개 이상의 원형 축을 갖는 원형좌표로 표시한다. 이 경우, 분할 표시부는 그룹화된 이벤트의 아이피 주소를 두 개 이상의 서브-네트워크 값으로 분할하고, 분할한 두 개 이상의 서브-네트워크 값을 해당하는 병렬 축 및 원형 축상에 점의 형태로 표시한다.
분할 표시부는 표시한 점을 서로 연결시킨다.
분할 표시부는 그룹화된 이벤트에서 조합에 참여하지 않은 아이피 주소의 분포를 좌표 형태로 표시하되, 설정치를 초과하는 그룹화된 이벤트의 아이피 주소의 분포를 표시한다.
본 발명의 실시예에 따른 아이피 주소 분할 표시 방법은, 이벤트 특성 군집 부가, 수집된 보안 이벤트의 특성 정보를 조합하여 그룹화된 이벤트를 생성하는 이벤트 그룹 생성 단계; 및 분할 표시부가, 이벤트 그룹 생성 단계에서 생성된 그룹화된 이벤트의 아이피(IP) 주소를 인터넷 주소체계에 근거하여 분할하여 좌표 형태로 표시하는 분할 표시 단계를 포함한다.
이벤트 그룹 생성 단계는, 보안 이벤트를 수집하는 제 1단계; 및 수집한 이벤트의 특성 정보에 근거하여 프로토콜별로 트래픽을 정렬하고, 프로토콜별 보안 이벤트의 특성 정보를 조합하여 그룹화된 이벤트를 생성하는 제 2단계를 포함한다.
제 2단계는 프로토콜별 보안 이벤트의 특성 정보에서 한 개 또는 두 개의 요소를 선택하여 조합한다.
프로토콜별 보안 이벤트의 특성 정보는 근원지 IP주소, 목적지 IP주소, 목적지 포트, 근원지 포트를 포함한다.
분할 표시 단계는 그룹화된 이벤트의 아이피 주소를 두 개 이상의 병렬 축을 갖는 병렬좌표로 표시한다. 이 경우, 분할 표시 단계는 그룹화된 이벤트의 아이피 주소를 두 개 이상의 서브-네트워크 값으로 분할하고, 분할한 두 개 이상의 서브-네트워크 값을 해당하는 병렬 축상에 점의 형태로 표시한다.
분할 표시 단계는 그룹화된 이벤트의 아이피 주소를 두 개 이상의 원형 축을 갖는 원형좌표로 표시한다. 이 경우, 분할 표시 단계는 그룹화된 이벤트의 아이피 주소를 두 개 이상의 서브-네트워크 값으로 분할하고, 분할한 두 개 이상의 서브-네트워크 값을 해당하는 원형 축상에 점의 형태로 표시한다.
분할 표시 단계는 그룹화된 이벤트의 아이피 주소를 두 개 이상의 병렬 축을 갖는 병렬좌표 및 두 개 이상의 원형 축을 갖는 원형좌표로 표시한다. 이 경우, 분할 표시 단계는 그룹화된 이벤트의 아이피 주소를 두 개 이상의 서브-네트워크 값으로 분할하고, 분할한 두 개 이상의 서브-네트워크 값을 해당하는 병렬 축 및 원형 축상에 점의 형태로 표시한다.
분할 표시 단계는 표시한 점을 서로 연결시킨다.
분할 표시 단계는 그룹화된 이벤트에서 조합에 참여하지 않은 아이피 주소의 분포를 좌표 형태로 표시하되, 설정치를 초과하는 그룹화된 이벤트의 아이피 주소의 분포를 표시한다.
이러한 구성의 본 발명에 따르면, 보안 이벤트(특히, 트래픽 관련 이벤트)의 주요 속성들의 조합결과에 따라 그룹화된 이벤트의 근원지 및 목적지 IP주소들의 분포를 병렬좌표 및/또는 원형좌표에 표시함으로써, 네트워크의 성능을 저하시키는 이상 또는 공격 상태를 쉽게 판별하고 검출할 수 있게 된다.
이러한 과정을 프로그램에 의해 자동화함으로써 관리자의 개입없이 빠르게 이상 상태에 대한 대응을 할 수 있게 된다.
이상 상태 발생여부 및 이를 유발하는 유해 트래픽 또는 비정상 트래픽 정보를 한 눈에 볼 수 있는 IP주소들의 병렬좌표 도면과 원형좌표 도면을 제공하므로, 관리자는 네트워크의 이상 상태를 빠르게 인식하고 대처할 수 있게 된다.
현재 트래픽의 주소와 목적지 호스트 현황을 쉽게 감지할 수 있게 되며, 특히 서비스를 제공하는 중요 서버들의 호스트 접근 현황과 스캐닝 공격, 인터넷-웜 공격 등을 용이하게 감시할 수 있게 된다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예에 따른 아이피 주소 분할 표시 장치 및 방법에 대하여 설명하면 다음과 같다.
도 1은 본 발명의 실시예에 따른 아이피 주소 분할 표시 장치의 구성을 나타낸 블럭도이다. 도 1의 아이피 주소 분할 표시 장치는 이벤트 특성 군집부(10), 분할 표시부(20), 이상 판단부(30), 및 이벤트 정보 저장부(40)를 포함한다.
이벤트 특성 군집부(10)는 수집한 보안 이벤트를 프로토콜별로 분류하고 분류된 프로토콜별 보안 이벤트에 대하여 특성 정보를 기초로 조합하여 그룹화한다. 본 발명의 명세서에서 특성 정보는 근원지에서 목적지로 가는 네트워크 패킷이 가지고 있는 여러 특성중에서 네트워크의 이상 현상을 파악하기 위해 필요충분하다고 여겨지는 소수의 특징을 의미한다. 통상적으로, 네트워크 패킷은 근원지 IP주소, 목적지 IP주소, 프로토콜, 목적지 포트, 근원지 포트 이외에도 여러 속성을 가지고 있다. 예를 들어, 이하에서는 앞서 예시한 속성(즉, 근원지 IP주소, 목적지 IP주소, 프로토콜, 목적지 포트, 근원지 포트)을 특성 정보로 정의한다.
이벤트 특성 군집부(10)는 보안 이벤트 수집부(12), 및 이벤트 그룹부(14)를 포함한다.
보안 이벤트 수집부(12)는 방화벽, 침입 탐지 시스템, 라우터 등과 같은 네 트워크 보안 장비(도시 생략)로부터 전송되어 오는 보안 이벤트를 수집한다.
이벤트 그룹부(14)는 보안 이벤트 수집부(12)에서 수집되는 보안 이벤트의 특성 정보에 근거하여 프로토콜별로 트래픽을 정렬하고, 프로토콜별 보안 이벤트의 특성 정보를 이용하여 그룹화된 이벤트를 생성한다. 이벤트 그룹부(14)는 그룹화한 이벤트를 이벤트 정보 저장부(40)에 저장시킨다. 물론, 도 1에서는 이벤트 특성 군집부(10)와 이벤트 정보 저장부(40)를 별개의 구성으로 도시하였으나, 이벤트 정보 저장부(40)가 이벤트 그룹부(14)에 포함되는 것으로 하여도 무방하다.
이벤트 그룹부(14)는 그룹화된 이벤트를 생성하기 위해, 프로토콜별 보안 이벤트의 특성 정보 즉, 근원지 IP주소, 목적지 IP주소, 목적지 포트, 근원지 포트중에서 한 개 또는 두 개의 요소를 선택하여 조합한다. 조합 결과, 이벤트 그룹부(14)는 "(근원지 IP주소), (목적지 IP주소), (목적지 포트), (근원지 포트), (근원지 IP주소, 목적지 IP주소), (근원지 IP주소, 목적지 포트), (근원지 IP주소, 근원지 포트), (목적지 IP주소, 목적지 포트), (목적지 IP주소, 근원지 포트), (목적지 포트, 근원지 포트)" 로 그룹화된 이벤트들을 추출한다. 물론, 세 개의 요소를 선택하여 조합하는 경우를 포함시킬 수도 있다.
예를 들어, 근원지 IP주소와 근원지 포트로 조합을 하였다고 가정하면, 근원지 IP주소와 근원지 포트가 동일한 보안 이벤트들이 그룹화된다. 동일 요소의 조합에 의해 생성된 이벤트 그룹(즉, 그룹화된 이벤트)은 조합에 참여하지 않은 다수의 목적지 포트와 다수의 목적지 IP주소를 갖는 이벤트들을 포함한다. 즉, 두 요소로 조합하였을 경우에는 그룹화된 이벤트에는 조합에 참여하지 않은 나머지 두 요소에 대한 분포가 발생하게 된다.
이벤트 정보 저장부(40)는 프로토콜별 보안 이벤트 뿐만 아니라 이벤트 그룹의 정보를 함께 저장한다.
분할 표시부(20)는 이벤트 그룹부(14)에서 제공되는 각각의 그룹화된 이벤트에서 조합에 참여하지 않은 근원지 IP주소 또는 목적지 IP주소를 IP주소체계에 의거하여 병렬좌표 및 원형좌표로 분할 표시한다. 분할 표시함에 있어서, 분할 표시부(20)는 특정 임계치(설정치)를 초과하는 이벤트 그룹의 IP주소를 병렬좌표와 원형좌표에 분할 표시하는 것이 바람직하다. 분할 표시부(20)는 이벤트 그룹부(14)에서 제공되는 그룹화된 이벤트의 수를 카운팅한다. 특정 임계치는 카운팅되는 수에서 일정 수를 의미한다. 예를 들어, 분석 대상 이벤트가 5분 동안 155M 네트워크 환경에서 넷플로우(Netfiow)를 사용할 경우 특정 임계치를 "50"으로 설정할 수 있다. 특정 임계치(설정치)는 사용자와 네트워크 환경에 따라 변경될 수 있다. 이는 프로토콜별로 발생되는 트래픽에 관련된 이벤트의 주요 속성을 조합한 결과에 따른 이벤트 그룹의 근원지 및 목적지 IP주소들의 분포가 설정치 이상인 것만 표시함으로써, 이상 상태 발생 및 비정상적인 트래픽 등을 쉽게 판단할 수 있도록 하기 위함이다.
분할 표시부(20)는 병렬좌표 분할 표시부(22), 및 원형좌표 분할 표시부(24)를 포함한다.
병렬좌표 분할 표시부(22)는 이벤트 그룹부(14)로부터의 이벤트 그룹(즉, 그룹화된 이벤트)을 입력받는다. 병렬좌표 분할 표시부(22)는 입력받은 각 이벤트 그룹에서 조합에 참여하지 않은 근원지 IP주소 또는 목적지 IP주소를 IP주소체계에 의거하여 분할하여 병렬좌표로 표시한다.
원형좌표 분할 표시부(24)는 이벤트 그룹부(14)로부터의 이벤트 그룹(즉, 그룹화된 이벤트)을 입력받는다. 원형좌표 분할 표시부(24)는 입력받은 각 이벤트 그룹에서 조합에 참여하지 않은 근원지 IP주소 또는 목적지 IP주소를 IP주소체계에 의거하여 분할하여 원형좌표로 표시한다.
분할 표시부(20)는 이벤트 그룹부(14) 이외로 외부의 다른 장비로부터 보안 이벤트 및 그룹화된 이벤트를 제공받을 수 있다.
병렬좌표 분할 표시부(22) 및 원형좌표 분할 표시부(24)는 이벤트 그룹부(14)로부터 이벤트 그룹에 관련된 정보를 수신하지 않고, 이벤트 그룹부(14)에서 이벤트 그룹핑이 완료되었음을 알리는 신호를 입력받으면 이벤트 정보 저장부(40)에 저장되어 있는 정보를 이용하여 병렬좌표 및 원형좌표로의 분할 표시를 행할 수도 있다.
이상 판단부(30)는 분할 표시부(20)에 표시되는 정보를 기초로 네트워크의 이상 유형을 판별한다. 또한, 이상 판단부(30)는 네트워크 이상을 유발하는 유해 트래픽 또는 비정상 트래픽의 유형을 검출하여 보고한다. 이상 판단부(30)는 병렬좌표 이상 판단부(32), 및 원형좌표 이상 판단부(34)를 포함한다.
병렬좌표 이상 판단부(32)는 병렬좌표 분할 표시부(22)에 표시되는 병렬좌표상에서의 네트워크 이상상태 여부를 탐지하여 분류한다. 병렬좌표 이상 판단부(32)는 분류한 네트워크 이상상태를 유발하는 유해 트래픽 또는 비정상 트래픽을 검출하여 관리자 또는 운영자 등에게 보고한다.
원형좌표 이상 판단부(34)는 원형좌표 분할 표시부(24)에 표시되는 원형좌표상에서의 네트워크 이상상태 여부를 탐지하여 분류한다. 원형좌표 이상 판단부(34)는 분류한 네트워크 이상상태를 유발하는 유해 트래픽 또는 비정상 트래픽을 검출하여 관리자 또는 운영자 등에게 보고한다.
병렬좌표 이상 판단부(32) 및 원형좌표 이상 판단부(34)에서의 보고형태는 프린터를 통한 출력에 의한 보고, 부저를 통한 경고음 발생에 의한 보고, 스피커를 통한 음성메시지 출력에 의한 보고, 모니터를 통한 문자 및 도형 등의 표시에 의한 보고 등과 같이 다양하다.
상술한 이상 판단부(30)에서 행해지는 네트워크의 이상여부 판단, 이상 유형 판별, 및 유해 트래픽 또는 비정상 트래픽을 검출하는 동작은 당업자라면 누구라도 주지의 기술로 분할 표시부(20)에 표시되는 정보를 근거로 충분히 파악할 수 있다.
도 2는 도 1의 병렬좌표 분할 표시부(22)에 의한 병렬좌표 도면의 일예이다.
병렬좌표 도면(200)에서, 참조부호 201은 IP주소의 속성(예컨대, 근원지 IP주소 또는 목적지 IP주소)을 나타내는 제목이다. 참조부호 202는 인터넷 주소체계에 의하여 표현되는 IP주소이다. IP주소(202)는 통상적으로 32비트 길이이고, "a.b.c.d"와 같이 4개의 속성 필드(각각 8비트)로 구성된다. IP주소(202)는 8비트씩 나뉘어진다. 나뉘어진 각각의 서브-네트워크(하나의 서브-네트워크는 하나의 속성 필드로 구성됨)의 값은 식별자 형태(즉, a, b, c, d)로 X축상에 각각의 병렬 축에 표시된다. 참조부호 203은 "a.b.c.d"로 이루어진 이벤트가 발생할 때마다 증가하는 이벤트 개수(cnt)이다. 이벤트 개수(203)는 X축상에 마지막 병렬 축으로 표시된다.
Y축에 표시된 수치("0", "26", "50", "100", "150", "200", "250")는 IP주소(202)의 범위 식별을 높이기 위해 표시된 값이다. IP주소(202)의 첫번째 속성 필드인 "a"의 값("26")은 Y축상에 표현됨으로써 식별력을 높인다. IP주소(202)의 나머지 속성 필드인 "b", "c", "d"의 값("100", "150", "50")은 Y축과 각각의 병렬 축이 만나는 지점에서 점(206)의 형태로 표시된다. 점(206)은 삼각형, 사각형 등과 같은 박스 형태이어도 무방하다. 물론, 이벤트 개수(203)도 점의 형태로 표시된다.
병렬좌표 분할 표시부(22)는 식별력을 높이기 위해, 병렬좌표 도면(200)의 각 점(206) 및 이벤트 개수(203)를 연결하여 선 그래프 형태로 나타낸다.
도 3은 도 1의 원형좌표 분할 표시부(24)에 의한 원형좌표 도면의 일예이다.
원형좌표 도면(300)에서, 참조부호 301은 IP주소의 속성(예컨대, 근원지 IP주소 또는 목적지 IP주소)을 나타내는 제목이다. 참조부호 302는 IP주소의 속성 필드를 분할한 원형축이다. 즉, IP주소는 통상적으로 32비트 길이이고, "a.b.c.d"와 같이 4개의 속성 필드(각각 8비트)로 구성된다. IP주소는 8비트씩 나뉘어진다. 나 뉘어진 각각의 서브-네트워크의 값은 각각의 원형 축에 표시된다. 원형 축(302)은 4개의 원형 축으로 구성된다. 도 3에서는 가장 내측의 원형 축을 속성 필드 "a"에 대한 축으로 하고, 그 다음부터 순서적으로 "b", "c", "d"에 대한 축으로 한다. 원형 축(302)에는 분할될 각각의 속성 필드의 값이 점(304)의 형태로 표현된다. 점(304)은 삼각형, 사각형 등과 같은 박스 형태이어도 무방하다.
각 점(304)들의 값을 식별하기 용이하도록, 제일 바깥쪽 원형 축(302)의 테두리에는 식별자(303)(예컨대, "50", "100", "150", "200", "255")를 표시한다.
상술한 설명에서는 병렬좌표 분할 표시부(22) 및 원형좌표 분할 표시부(24)가 IP주소를 분할하여 표시하는 것으로 설명하였으나, IP주소를 포트 범위로 대체할 수도 있다. 예를 들어, 각각의 병렬 축과 원형축은 인터넷할당번호관리기관(IANA: Internet Assigned Number Authority)에서 정의하고 있는 포트 범위 즉, 잘 알려진 포트 범위(Well Known ports: 0 ~ 1023), 등록된 포트 범위(Registered Ports: 1024 ~ 49151), 동적 및/또는 개인 포트 범위(Dynamic and/or Privaye Ports: 49152 ~ 65535)로 변형할 수도 있다.
상술한 도 2 및 도 3은 하나의 근원지 IP주소 또는 목적지 IP주소에 대해 발생한 트래픽 상황을 예시한 좌표 도면이다. 상황에 따라서는, 하나의 병렬좌표 도면 또는 원형좌표 도면에 두 개 이상의 근원지 IP주소 또는 목적지 IP주소에 대한 트래픽 상황을 각각 표시할 수도 있다. 이 경우, 병렬좌표 분할 표시부(22) 및 원 형좌표 분할 표시부(24)에 표시되는 점의 형태와 색깔은 프로토콜에 따라 식별력을 갖는 형태 및 색깔로 대응시켜도 무방하다. IP주소를 포트 범위로 대체하였을 경우에는 포트 번호에 따라 식별 가능한 색깔로 대응시켜도 된다.
또한, 본 발명에서는 IP주소의 주소체계를 "a.b.c.d"인 것으로 가정하였기 때문에 병렬 축 및 원형 축을 각각 4개로 하였다. 만약, IP주소의 주소체계가 달라진다면 병렬 축 및 원형 축의 개수는 그에 맞게 변경된다.
도 4는 도 1의 병렬좌표 분할 표시부(22)에 의해 표현되는 인터넷-웜 공격을 나타내는 병렬좌표 도면의 사진이고, 도 5는 도 1의 원형좌표 분할 표시부(24)에 의해 표현되는 인터넷-웜 공격을 나타내는 원형좌표 도면의 사진이다.
병렬좌표 도면이 표현된 사진(410) 및 원형좌표 도면이 표현된 사진(420)을 보면, 인터넷-웜 공격은 IP주소의 모든 대역에서 골고루 분포하는 특성을 갖는다. 예를 들어, IP주소가 "a.b.c.d"의 주소체계를 갖는다고 가정하였을 경우 "b, c, d"는 0 ~ 255 사이의 모든 값을 갖도록 분포한다.
이상 판단부(30)는 이러한 형태를 근거로 현재 인터넷-웜 공격이 진행되고 있음을 판단할 수 있고, 네트워크 이상을 유발시키는 유해 트래픽 또는 비정상 트래픽을 검출할 수 있게 된다.
도 6은 도 1의 병렬좌표 분할 표시부(22)에 의해 표현되는 호스트 스캐닝 공격을 나타내는 병렬좌표 도면의 사진이고, 도 7은 도 1의 원형좌표 분할 표시 부(24)에 의해 표현되는 호스트 스캐닝 공격을 나타낸 원형좌표 도면의 사진이다.
병렬좌표 도면이 표현된 사진(510) 및 원형좌표 도면이 표현된 사진(520)을 보면, 호스트 스캐닝 공격은 IP주소의 일정 대역을 연속해서 분포하는 특성을 갖는다. 예를 들어, IP주소가 "a.b.c.d"의 주소체계를 갖는다고 가정하였을 경우 "d"는 37 ~ 75 사이의 모든 값을 갖도록 분포한다.
이상 판단부(30)는 이러한 형태를 근거로 현재 호스트 스캐닝 공격이 진행되고 있음을 판단할 수 있고, 네트워크 이상을 유발시키는 유해 트래픽 또는 비정상 트래픽을 검출할 수 있게 된다.
도 8은 본 발명의 실시예에 따른 아이피 주소 분할 표시 방법을 설명하기 위한 플로우차트이다.
먼저, 보안 이벤트 수집부(12)가 방화벽, 침입 탐지 시스템, 라우터 등과 같은 네트워크 보안 장비(도시 생략)로부터 전송되어 오는 보안 이벤트를 수집한다(S10). 수집된 보안 이벤트는 이벤트 그룹부(14)로 전송된다.
이벤트 그룹부(14)는 입력받은 보안 이벤트의 특성 정보에 근거하여 프로토콜별로 트래픽을 정렬하고, 프로토콜별 보안 이벤트의 특성 정보에서 한 개 또는 두 개의 요소를 선택하여 조합한다. 이벤트 그룹부(14)에서의 조합에 의해 그룹화된 이벤트들이 추출된다(S12). 예를 들어, 근원지 IP주소와 근원지 포트로 조합을 하였다고 가정하면 근원지 IP주소와 근원지 포트가 동일한 보안 이벤트들이 그룹화된다. 그 결과, 이벤트 그룹부(14)에 의해 생성된 이벤트 그룹(즉, 그룹화된 이벤 트)은 조합에 참여하지 않은 다수의 목적지 포트와 다수의 목적지 IP주소를 갖는 이벤트들을 포함한다. 즉, 두 요소로 조합하였을 경우에는 이벤트 그룹내에는 조합에 참여하지 않은 나머지 두 요소에 대한 분포가 발생하게 된다.
이어, 분할 표시부(20)의 병렬좌표 분할 표시부(22)는 이벤트 그룹부(14)로부터 입력받은 각각의 그룹화된 이벤트에서 조합에 참여하지 않은 근원지 IP주소 또는 목적지 IP주소를 IP주소체계에 의거하여 도 2, 도 4, 도 6에서와 같은 병렬좌표로 분할 표시한다. 그리고, 분할 표시부(20)의 원형좌표 분할 표시부(24)는 이벤트 그룹부(14)로부터 입력받은 각각의 그룹화된 이벤트에서 조합에 참여하지 않은 근원지 IP주소 또는 목적지 IP주소를 IP주소체계에 의거하여 도 3, 도 5, 도 7에서와 같은 원형좌표로 분할 표시한다(S14).
이상 판단부(30)는 분할 표시부(20)에 표시되는 내용을 근거로 네트워크의 이상여부를 판단하고(S16), 이상 유형을 판별해 낸다(S18).
그 후, 이상 판단부(30)는 판별해 낸 이상 유형에 대해 이를 유발하는 유해 트래픽 또는 비정상 트래픽의 유형을 검출하여 보고한다(S20).
한편, 본 발명은 상술한 실시예로만 한정되는 것이 아니라 본 발명의 요지를 벗어나지 않는 범위내에서 수정 및 변형하여 실시할 수 있고, 그러한 수정 및 변형이 가해진 기술사상 역시 이하의 특허청구범위에 속하는 것으로 보아야 한다.
도 1은 본 발명의 실시예에 따른 아이피 주소 분할 표시 장치의 구성을 나타낸 블럭도이다.
도 2는 도 1의 병렬좌표 분할 표시부에 의한 병렬좌표 도면의 일예이다.
도 3은 도 1의 원형좌표 분할 표시부에 의한 원형좌표 도면의 일예이다.
도 4 및 도 5는 도 1의 분할 표시부에 의해 표현되는 인터넷-웜 공격을 나타내는 병렬좌표 도면 및 원형좌표 도면의 사진이다.
도 6 및 도 7은 도 1의 분할 표시부에 의해 표현되는 호스트 스캐닝 공격을 나타내는 병렬좌표 도면 및 원형좌표 도면의 사진이다.
도 8은 본 발명의 실시예에 따른 아이피 주소 분할 표시 방법을 설명하기 위한 플로우차트이다.

Claims (24)

  1. 수집된 보안 이벤트의 근원지 아이피(IP) 주소와 목적지 아이피(IP) 주소 및 프로토콜을 포함하는 특성 정보를 조합하여 그룹화된 이벤트를 생성하는 이벤트 특성 군집부; 및
    상기 그룹화된 이벤트의 아이피(IP) 주소를 인터넷 주소체계에 근거하여 분할하여 병렬 축을 갖는 병렬좌표 및 원형 축을 갖는 원형좌표중 하나 이상의 좌표의 형태로 표시하는 분할 표시부를 포함하는 것을 특징으로 하는 아이피 주소 분할 표시 장치.
  2. 청구항 1에 있어서,
    상기 이벤트 특성 군집부는, 보안 이벤트를 수집하는 보안 이벤트 수집부; 및 상기 보안 이벤트 수집부로부터의 보안 이벤트의 특성 정보에 근거하여 프로토콜별로 트래픽을 정렬하고, 프로토콜별 보안 이벤트의 특성 정보를 조합하여 그룹화된 이벤트를 생성하는 이벤트 그룹부를 포함하는 것을 특징으로 하는 아이피 주소 분할 표시 장치.
  3. 청구항 2에 있어서,
    상기 이벤트 그룹부는 상기 프로토콜별 보안 이벤트의 특성 정보에서 한 개 이상의 요소를 선택하여 조합하는 것을 특징으로 하는 아이피 주소 분할 표시 장치.
  4. 청구항 3에 있어서,
    상기 프로토콜별 보안 이벤트의 특성 정보는 근원지 IP주소, 목적지 IP주소, 목적지 포트, 근원지 포트를 포함하는 것을 특징으로 하는 아이피 주소 분할 표시 장치.
  5. 청구항 1에 있어서,
    상기 분할 표시부는 상기 그룹화된 이벤트의 아이피 주소를 두 개 이상의 병렬 축을 갖는 병렬좌표로 표시하는 것을 특징으로 하는 아이피 주소 분할 표시 장치.
  6. 청구항 5에 있어서,
    상기 분할 표시부는, 상기 그룹화된 이벤트의 아이피 주소를 두 개 이상의 서브-네트워크 값으로 분할하고, 분할한 두 개 이상의 서브-네트워크 값을 해당하는 병렬 축상에 점의 형태로 표시하는 것을 특징으로 하는 아이피 주소 분할 표시 장치.
  7. 청구항 1에 있어서,
    상기 분할 표시부는 상기 그룹화된 이벤트의 아이피 주소를 두 개 이상의 원형 축을 갖는 원형좌표로 표시하는 것을 특징으로 하는 아이피 주소 분할 표시 장치.
  8. 청구항 7에 있어서,
    상기 분할 표시부는, 상기 그룹화된 이벤트의 아이피 주소를 두 개 이상의 서브-네트워크 값으로 분할하고, 분할한 두 개 이상의 서브-네트워크 값을 해당하는 원형 축상에 점의 형태로 표시하는 것을 특징으로 하는 아이피 주소 분할 표시 장치.
  9. 청구항 1에 있어서,
    상기 분할 표시부는 상기 그룹화된 이벤트의 아이피 주소를 두 개 이상의 병렬 축을 갖는 병렬좌표 및 두 개 이상의 원형 축을 갖는 원형좌표로 표시하는 것을 특징으로 하는 아이피 주소 분할 표시 장치.
  10. 청구항 9에 있어서,
    상기 분할 표시부는, 상기 그룹화된 이벤트의 아이피 주소를 두 개 이상의 서브-네트워크 값으로 분할하고, 분할한 두 개 이상의 서브-네트워크 값을 해당하는 병렬 축 및 원형 축상에 점의 형태로 표시하는 것을 특징으로 하는 아이피 주소 분할 표시 장치.
  11. 청구항 6, 청구항 8, 및 청구항 10중의 어느 한 항에 있어서,
    상기 분할 표시부는 상기 표시한 점을 서로 연결시키는 것을 특징으로 하는 아이피 주소 분할 표시 장치.
  12. 청구항 1 내지 청구항 10중의 어느 한 항에 있어서,
    상기 분할 표시부는 상기 그룹화된 이벤트에서 조합에 참여하지 않은 아이피 주소의 분포를 상기 좌표의 형태로 표시하되, 설정치를 초과하는 상기 그룹화된 이벤트의 아이피 주소의 분포를 표시하는 것을 특징으로 하는 아이피 주소 분할 표시 장치.
  13. 이벤트 특성 군집부가, 수집된 보안 이벤트의 근원지 아이피(IP) 주소와 목적지 아이피(IP) 주소 및 프로토콜을 포함하는 특성 정보를 조합하여 그룹화된 이벤트를 생성하는 이벤트 그룹 생성 단계; 및
    분할 표시부가, 상기 이벤트 그룹 생성 단계에서 생성된 그룹화된 이벤트의 아이피(IP) 주소를 인터넷 주소체계에 근거하여 분할하여 병렬 축을 갖는 병렬좌표 및 원형 축을 갖는 원형좌표중 하나 이상의 좌표의 형태로 표시하는 분할 표시 단계를 포함하는 것을 특징으로 하는 아이피 주소 분할 표시 방법.
  14. 청구항 13에 있어서,
    상기 이벤트 그룹 생성 단계는, 보안 이벤트를 수집하는 제 1단계; 및 상기 수집한 이벤트의 특성 정보에 근거하여 프로토콜별로 트래픽을 정렬하고, 프로토콜별 보안 이벤트의 특성 정보를 조합하여 그룹화된 이벤트를 생성하는 제 2단계를 포함하는 것을 특징으로 하는 아이피 주소 분할 표시 방법.
  15. 청구항 14에 있어서,
    상기 제 2단계는 상기 프로토콜별 보안 이벤트의 특성 정보에서 한 개 이상의 요소를 선택하여 조합하는 것을 특징으로 하는 아이피 주소 분할 표시 방법.
  16. 청구항 15에 있어서,
    상기 프로토콜별 보안 이벤트의 특성 정보는 근원지 IP주소, 목적지 IP주소, 목적지 포트, 근원지 포트를 포함하는 것을 특징으로 하는 아이피 주소 분할 표시 방법.
  17. 청구항 13에 있어서,
    상기 분할 표시 단계는 상기 그룹화된 이벤트의 아이피 주소를 두 개 이상의 병렬 축을 갖는 병렬좌표로 표시하는 것을 특징으로 하는 아이피 주소 분할 표시 방법.
  18. 청구항 17에 있어서,
    상기 분할 표시 단계는, 상기 그룹화된 이벤트의 아이피 주소를 두 개 이상의 서브-네트워크 값으로 분할하고, 분할한 두 개 이상의 서브-네트워크 값을 해당하는 병렬 축상에 점의 형태로 표시하는 것을 특징으로 하는 아이피 주소 분할 표시 방법.
  19. 청구항 13에 있어서,
    상기 분할 표시 단계는 상기 그룹화된 이벤트의 아이피 주소를 두 개 이상의 원형 축을 갖는 원형좌표로 표시하는 것을 특징으로 하는 아이피 주소 분할 표시 방법.
  20. 청구항 19에 있어서,
    상기 분할 표시 단계는, 상기 그룹화된 이벤트의 아이피 주소를 두 개 이상의 서브-네트워크 값으로 분할하고, 분할한 두 개 이상의 서브-네트워크 값을 해당하는 원형 축상에 점의 형태로 표시하는 것을 특징으로 하는 아이피 주소 분할 표시 방법.
  21. 청구항 13에 있어서,
    상기 분할 표시 단계는 상기 그룹화된 이벤트의 아이피 주소를 두 개 이상의 병렬 축을 갖는 병렬좌표 및 두 개 이상의 원형 축을 갖는 원형좌표로 표시하는 것을 특징으로 하는 아이피 주소 분할 표시 방법.
  22. 청구항 21에 있어서,
    상기 분할 표시 단계는, 상기 그룹화된 이벤트의 아이피 주소를 두 개 이상의 서브-네트워크 값으로 분할하고, 분할한 두 개 이상의 서브-네트워크 값을 해당하는 병렬 축 및 원형 축상에 점의 형태로 표시하는 것을 특징으로 하는 아이피 주소 분할 표시 방법.
  23. 청구항 18, 청구항 20, 및 청구항 22중의 어느 한 항에 있어서,
    상기 분할 표시 단계는 상기 표시한 점을 서로 연결시키는 것을 특징으로 하는 아이피 주소 분할 표시 방법.
  24. 청구항 13 내지 청구항 22중의 어느 한 항에 있어서,
    상기 분할 표시 단계는 상기 그룹화된 이벤트에서 조합에 참여하지 않은 아이피 주소의 분포를 상기 좌표의 형태로 표시하되, 설정치를 초과하는 상기 그룹화된 이벤트의 아이피 주소의 분포를 표시하는 것을 특징으로 하는 아이피 주소 분할 표시 방법.
KR1020070133083A 2007-12-18 2007-12-18 아이피 주소 분할 표시 장치 및 방법 KR100949803B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020070133083A KR100949803B1 (ko) 2007-12-18 2007-12-18 아이피 주소 분할 표시 장치 및 방법
US12/808,890 US20100262873A1 (en) 2007-12-18 2008-09-03 Apparatus and method for dividing and displaying ip address
PCT/KR2008/005175 WO2009078543A1 (en) 2007-12-18 2008-09-03 Apparatus and method for dividing and displaying ip address

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070133083A KR100949803B1 (ko) 2007-12-18 2007-12-18 아이피 주소 분할 표시 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20090065668A KR20090065668A (ko) 2009-06-23
KR100949803B1 true KR100949803B1 (ko) 2010-03-30

Family

ID=40795648

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070133083A KR100949803B1 (ko) 2007-12-18 2007-12-18 아이피 주소 분할 표시 장치 및 방법

Country Status (3)

Country Link
US (1) US20100262873A1 (ko)
KR (1) KR100949803B1 (ko)
WO (1) WO2009078543A1 (ko)

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015128612A1 (en) 2014-02-28 2015-09-03 British Telecommunications Public Limited Company Malicious encrypted traffic inhibitor
US10891383B2 (en) 2015-02-11 2021-01-12 British Telecommunications Public Limited Company Validating computer resource usage
EP3329409A1 (en) 2015-07-31 2018-06-06 British Telecommunications public limited company Access control
EP3329440A1 (en) 2015-07-31 2018-06-06 British Telecommunications public limited company Controlled resource provisioning in distributed computing environments
WO2017021153A1 (en) 2015-07-31 2017-02-09 British Telecommunications Public Limited Company Expendable access control
EP3394784B1 (en) 2015-12-24 2020-10-07 British Telecommunications public limited company Malicious software identification
EP3394785B1 (en) 2015-12-24 2019-10-30 British Telecommunications public limited company Detecting malicious software
WO2017109129A1 (en) 2015-12-24 2017-06-29 British Telecommunications Public Limited Company Software security
US10891377B2 (en) 2015-12-24 2021-01-12 British Telecommunications Public Limited Company Malicious software identification
WO2017109135A1 (en) 2015-12-24 2017-06-29 British Telecommunications Public Limited Company Malicious network traffic identification
EP3437291B1 (en) * 2016-03-30 2022-06-01 British Telecommunications public limited company Network traffic threat identification
WO2017167548A1 (en) 2016-03-30 2017-10-05 British Telecommunications Public Limited Company Assured application services
WO2017167549A1 (en) 2016-03-30 2017-10-05 British Telecommunications Public Limited Company Untrusted code distribution
US11128647B2 (en) 2016-03-30 2021-09-21 British Telecommunications Public Limited Company Cryptocurrencies malware based detection
WO2017167544A1 (en) * 2016-03-30 2017-10-05 British Telecommunications Public Limited Company Detecting computer security threats
US11423144B2 (en) 2016-08-16 2022-08-23 British Telecommunications Public Limited Company Mitigating security attacks in virtualized computing environments
WO2018033350A1 (en) 2016-08-16 2018-02-22 British Telecommunications Public Limited Company Reconfigured virtual machine to mitigate attack
US10771483B2 (en) 2016-12-30 2020-09-08 British Telecommunications Public Limited Company Identifying an attacked computing device
WO2018178028A1 (en) 2017-03-28 2018-10-04 British Telecommunications Public Limited Company Initialisation vector identification for encrypted malware traffic detection
EP3382591B1 (en) 2017-03-30 2020-03-25 British Telecommunications public limited company Hierarchical temporal memory for expendable access control
WO2018178034A1 (en) 2017-03-30 2018-10-04 British Telecommunications Public Limited Company Anomaly detection for computer systems
EP3602380B1 (en) 2017-03-30 2022-02-23 British Telecommunications public limited company Hierarchical temporal memory for access control
WO2018206406A1 (en) 2017-05-08 2018-11-15 British Telecommunications Public Limited Company Adaptation of machine learning algorithms
US11823017B2 (en) 2017-05-08 2023-11-21 British Telecommunications Public Limited Company Interoperation of machine learning algorithms
WO2018206408A1 (en) 2017-05-08 2018-11-15 British Telecommunications Public Limited Company Management of interoperating machine leaning algorithms
EP3623982B1 (en) 2018-09-12 2021-05-19 British Telecommunications public limited company Ransomware remediation
EP3623980B1 (en) 2018-09-12 2021-04-28 British Telecommunications public limited company Ransomware encryption algorithm determination
US11153338B2 (en) * 2019-06-03 2021-10-19 International Business Machines Corporation Preventing network attacks
KR102562765B1 (ko) * 2021-10-13 2023-08-03 주식회사 이글루코퍼레이션 Ip 대역별 정보 추출 시스템 및 그 방법

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1241135C (zh) * 1999-10-21 2006-02-08 国际商业机器公司 用于排序分类属性以更好地可视化多维数据的系统和方法
WO2003090019A2 (en) * 2002-04-15 2003-10-30 Core Sdi, Incorporated Secure auditing of information systems
US7324108B2 (en) * 2003-03-12 2008-01-29 International Business Machines Corporation Monitoring events in a computer network
US20050275655A1 (en) * 2004-06-09 2005-12-15 International Business Machines Corporation Visualizing multivariate data
KR100609707B1 (ko) * 2004-11-10 2006-08-09 한국전자통신연구원 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석방법 및 그 장치
US7440406B2 (en) * 2004-12-29 2008-10-21 Korea University Industry & Academy Cooperation Foundation Apparatus for displaying network status
KR100651746B1 (ko) * 2005-11-17 2006-12-01 한국전자통신연구원 트래픽 플로우-레이더를 이용한 네트워크 상태 표시 장치및 그 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
논문 : IEEE

Also Published As

Publication number Publication date
KR20090065668A (ko) 2009-06-23
WO2009078543A1 (en) 2009-06-25
US20100262873A1 (en) 2010-10-14

Similar Documents

Publication Publication Date Title
KR100949803B1 (ko) 아이피 주소 분할 표시 장치 및 방법
KR100885293B1 (ko) 네트워크 보안 상황 표시 장치 및 그 방법
CN112651006B (zh) 一种电网安全态势感知系统
US10154053B2 (en) Method and apparatus for grouping features into bins with selected bin boundaries for use in anomaly detection
CN107683597B (zh) 用于异常检测的网络行为数据收集和分析
Lee et al. Visual firewall: real-time network security monitor
KR100716620B1 (ko) 평행 좌표계를 이용한 네트워크 감시 장치 및 방법
US20050021683A1 (en) Method and apparatus for correlating network activity through visualizing network data
US10218731B2 (en) Method and system for data breach and malware detection
JP4129207B2 (ja) 不正侵入分析装置
Boschetti et al. TVi: A visual querying system for network monitoring and anomaly detection
CA2416629A1 (en) Method and apparatus for permitting visualizing network data
Oline et al. Exploring three-dimensional visualization for intrusion detection
US11863584B2 (en) Infection spread attack detection device, attack origin specification method, and program
Wu et al. Research on visualization systems for DDoS attack detection
KR100609707B1 (ko) 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석방법 및 그 장치
KR20120043466A (ko) 위협 탐지 시스템으로부터 제공된 정보에 기반한 통합 보안 관리 방법 및 장치
KR100656352B1 (ko) 네트워크의 보안 관련 이벤트 정보를 표시하는 방법
TWI704782B (zh) 骨幹網路異常流量偵測方法和系統
Seo et al. Cylindrical Coordinates Security Visualization for multiple domain command and control botnet detection
Li et al. The research on network security visualization key technology
JP4825979B2 (ja) 通信ログ視覚化装置、通信ログ視覚化方法及び通信ログ視覚化プログラム
CN111901138B (zh) 一种工业网络非法接入的可视化审计方法
CN111147516B (zh) 基于sdn的安全设备动态互联与智能选路决策系统及方法
Abad et al. Correlation between netflow system and network views for intrusion detection

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130304

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140303

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20150226

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20160226

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170224

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20180226

Year of fee payment: 9