KR101973728B1 - Integration security anomaly symptom monitoring system - Google Patents

Integration security anomaly symptom monitoring system Download PDF

Info

Publication number
KR101973728B1
KR101973728B1 KR1020170052070A KR20170052070A KR101973728B1 KR 101973728 B1 KR101973728 B1 KR 101973728B1 KR 1020170052070 A KR1020170052070 A KR 1020170052070A KR 20170052070 A KR20170052070 A KR 20170052070A KR 101973728 B1 KR101973728 B1 KR 101973728B1
Authority
KR
South Korea
Prior art keywords
security
function
status
data
monitoring
Prior art date
Application number
KR1020170052070A
Other languages
Korean (ko)
Other versions
KR20180118869A (en
Inventor
박병선
Original Assignee
주식회사 피너스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 피너스 filed Critical 주식회사 피너스
Priority to KR1020170052070A priority Critical patent/KR101973728B1/en
Publication of KR20180118869A publication Critical patent/KR20180118869A/en
Application granted granted Critical
Publication of KR101973728B1 publication Critical patent/KR101973728B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management

Abstract

본 발명은 통합 보안 이상징후 모니터링 시스템에 관한 것으로, 본 발명은 빅데이터 분석엔진 서버부와 애플리케이션 서버부를 포함하여 구성되어 기 설정 후에 주기적으로 업그레이드 반영되는 시나리오를 기반으로 하여 보안 이상징후를 분석 및 모니터링하고 대응하는 일련의 단계로 동작함으로써 기업의 내부통제, 고객정보유출사고방지, 내부중요정보유출사고방지 및 내부보안관제 등에 대하여 기업에 최적화된 보안 이상징후의 모니터링이 가능하고, 단일의 통합 시스템으로 사용자가 보안 상태를 분석한 후에 사후 처리까지 진행할 수 있으며, 이를 통하여 보안사고에 대한 신속하고 정확한 대응으로 인한 대응 효율성을 확보할 수 있도록 함과 동시에 보안 상태 분석에 의한 사후처리를 통해 기업 내 조직원들의 경각심을 고취하여 보안사고 예방 효과를 더욱 향상시킬 수 있는 것이다.The present invention relates to an integrated security abnormality monitoring system, which comprises a big data analysis engine server unit and an application server unit, and analyzes and monitors a security abnormality symptom based on a scenario periodically updated after an initialization It is possible to monitor the security anomalies that are optimized for the company, such as internal control of the company, prevention of leakage of customer information, prevention of leakage of internal critical information, and internal security control. After analyzing the security status, the user can proceed to the post-processing. Through this, it is possible to secure the response efficiency due to the quick and accurate response to the security incident, and at the same time, Security awareness by raising awareness It can further improve the effect of the room.

Description

통합 보안 이상징후 모니터링 시스템{Integration security anomaly symptom monitoring system}Integrated security anomaly symptom monitoring system

본 발명은 통합 보안 이상징후 모니터링 시스템에 관한 것으로서, 더욱 상세하게는 빅데이터 분석엔진 서버부와 애플리케이션 서버부를 포함하여 구성하여 이를 통한 분석엔진을 기반으로 하되 다양한 분양(금융, 공공, 제조 등)에서 발생할 수 있는 내부정보 및 개인정보 유출을 기존의 사용자 및 시스템 패턴을 빅데이터의 정보를 기반으로 하여 패턴을 분석하여 이상흐름을 사전에 감지하고 담당자 및 관리자에게 경고를 통하여 사전에 보안사고를 방지하기 위하여 개발되었으며, 상기와 같은 빅데이터 분석엔진 서버부와 애플리케이션 서버부를 포함하여 구성되어 기 설정 후에 주기적으로 업그레이드 반영되는 시나리오를 기반으로 하여 보안 이상징후를 분석 및 모니터링하고 대응하는 일련의 단계로 동작함으로써 기업의 내부통제, 고객정보유출사고방지, 내부중요정보유출사고방지 및 내부보안관제 등에 대하여 기업에 최적화된 보안 이상징후의 모니터링이 가능하고, 단일의 통합 시스템으로 사용자가 보안 상태를 분석한 후에 사후 예방 및 처리까지 진행할 수 있으며, 이를 통하여 보안사고에 대한 신속하고 정확한 대응으로 인한 예방에 대한 대응 효율성을 확보할 수 있도록 함과 동시에 보안 상태 분석에 의한 사후처리를 통해 기업 내 조직원들의 경각심을 고취하여 보안사고 예방 효과를 더욱 향상시킬 수 있도록 한 통합 보안 이상징후 모니터링 시스템에 관한 것이다.The present invention relates to an integrated security abnormality monitoring system, and more particularly, to an integrated security abnormality monitoring system that includes a big data analysis engine server unit and an application server unit and is configured based on the analysis engine, Detect abnormal flow by analyzing patterns of internal information and personal information that may be generated by analyzing patterns of existing users and systems based on information of big data, and prevent security accidents in advance by warning them to managers and managers And operates in a series of steps including analyzing, monitoring, and responding to a security abnormality symptom based on a scenario that includes the big data analysis engine server unit and the application server unit and is periodically upgraded after the initial setting Internal control of the enterprise, customer information It is possible to monitor the security anomalies optimized for the company in case of accident prevention, internal information leakage prevention and internal security control, and it is possible to proceed with post-processing and processing after analyzing the security status by the user with a single integrated system, Through this, it is possible to secure the efficiency to respond to the prevention by the quick and accurate response to the security incident, and to enhance the prevention effect of the security accident by raising the awareness of the employees in the company through the post-processing by analyzing the security status The present invention relates to an integrated security abnormality monitoring system.

일반적으로, 보안사고는 다양한 응용환경에서 시스템 또는 특정 기능이 오동작 또는 동작하지 않거나 보안데이터가 외부로 정보가 유출되는 것을 의미하며, 이를 통해 개인정보유출로 인한 피해 및 자산손실 등의 문제가 발생한다.In general, a security incident means that a system or a specific function does not malfunction or operate in various application environments, or that security data leaks information to the outside, thereby causing problems such as damage due to personal information leakage and property loss .

이에 따라, 각종 시설 및 시스템을 운영하는 기관 및 기업에서는 이러한 보안사고를 예방하고나 방지하기 위하여, 다양한 보안시스템을 이용하여 보안사고, 보안사고의 징후를 탐지하고 있는 실정이다.Accordingly, organizations and companies operating various facilities and systems are using various security systems in order to prevent or prevent such security incidents, thereby detecting signs of security incidents and security incidents.

한편, 일반적인 정부기관, 기업, 연구소, 또는 학교 등(이하, "기업"이라 총칭하기로 함)에서는 인터넷, 무선망과 같은 유무선 통신망을 통해 접속되는 복수의 시스템 및 솔루션을 구축하고 있다.On the other hand, in a general government agency, a corporation, a research institute, a school, or the like (collectively referred to as an "enterprise" hereinafter), a plurality of systems and solutions are connected through a wired / wireless communication network such as the Internet and a wireless network.

이러한 시스템 및 솔루션 내에 각종 보안자료를 구비하고 있으며, 이러한 자료들은 유무선 통신망을 통해 퍼스널 컴퓨터 등으로 접속하여 기업 내부의 사용자가 활용 및 가공하여 사용하게 된다.Such systems and solutions are equipped with various security data. These data are accessed through personal computer through wired / wireless communication network, utilized and processed by the users in the enterprise.

상기와 같은 다양한 시스템 및 솔루션은 보안 시스템과 연결되어 있다.Such various systems and solutions are connected to a security system.

즉, 퍼스널 컴퓨터 보안, 메일 모니터링, 메신저 모니터링, 문서보안, 유해차단 시스템 또는 출입통제 시스템 등이 이에 포함된다.This includes personal computer security, mail monitoring, messenger monitoring, document security, harmful blocking systems, or access control systems.

상기와 같은 각각의 보안 시스템은 각 시스템 및 솔루션에 접속하는 로그 정보 등의 사용 정보를 바탕으로 정보 유출 및 사고 대응을 유도한다.Each of the above-described security systems induces information leakage and an incident response based on usage information such as log information connected to each system and solution.

그러나, 이러한 복수의 보안 시스템은 서로 연동하지 않고, 개별적인 보안 정책에 따라 유출 여부 등을 판단하므로 정확도가 떨어지고 신속한 사고 대응이 어려운 문제가 있었다.However, such a plurality of security systems do not cooperate with each other, and it is difficult to cope with an accident because the accuracy is low because it is determined whether or not the security system is leaked according to an individual security policy.

아울러, 상기와 같은 종래의 복수의 보안 시스템은 기업의 내부 정보보호활동에 도움이 되도록 해당 기업에 최적화된 보안에 대하여 이상징후 감지 등과 같은 사전예방차원의 모니터링이 어렵다는 문제가 있었다.In addition, there is a problem in that a plurality of security systems such as the above-described conventional security systems are difficult to monitor in advance, such as detection of abnormality signs, in security optimized for a company so as to help internal information protection activities of the enterprise.

그러므로, 기업의 내부통제, 고객정보유출사고방지, 내부중요정보유출사고방지 및 내부보안관제 등에 대하여 기업에 최적화된 시스템통합 보안 이상징후의 모니터링이 가능하고, 단일의 통합 시스템으로 사용자가 보안 상태를 분석한 후에 사후 처리까지 진행할 수 있으며, 이를 통하여 보안사고에 대한 신속하고 정확한 예방 및 대응으로 인한 정보유출에 대한 대응 효율성을 확보할 수 있도록 함과 동시에 보안 상태 분석에 의한 사후처리를 통해 기업 내 조직원들의 경각심을 고취하여 보안사고 예방 효과를 더욱 향상시킬 수 있도록 한 통합 보안 이상징후 모니터링 시스템에 대한 연구 및 개발이 요구되는 실정이다.Therefore, it is possible to monitor system integration security anomalies that are optimized for the company, such as corporate internal control, prevention of leakage of customer information, prevention of leakage of internal critical information, and internal security control. After analyzing, it is possible to proceed to post-processing. Through this, it is possible to secure the efficiency of responding to information leakage due to prompt and precise prevention and response to security accidents, and at the same time, Research and development of an integrated security abnormality monitoring system that can enhance the prevention effect of a security accident by raising the awareness of a security abnormality is required.

대한민국 공개특허 제2011-0037578호 2011.04.13.공개.Published Korean Patent No. 2011-0037578 April 14, 2011. Disclosure. 대한민국 등록특허 제1490649호 2015.01.30.등록.Korean Registered Patent No. 1490649 Registered on January 30, 2015. 대한민국 등록특허 제1563511호 2015.10.21.등록.Registered patent No. 1563511 of Korea Registered on October 21, 2015.

상기와 같은 문제점을 해결하기 위하여, 본 발명은 빅데이터 분석엔진 서버부와 애플리케이션 서버부를 포함하여 구성되어 기 설정 후에 주기적으로 업그레이드 반영되는 시나리오를 기반으로 하여 보안 이상징후를 분석 및 모니터링하고 대응하는 일련의 단계로 동작함으로써 기업의 내부통제, 고객정보유출사고방지, 내부중요정보유출사고방지 및 내부보안관제 등에 대하여 기업에 최적화된 보안 이상징후의 모니터링이 가능하고, 단일의 통합 시스템으로 사용자가 보안 상태를 분석한 후에 사후 처리까지 진행할 수 있도록 한 통합 보안 이상징후 모니터링 시스템을 제공하는 것을 목적으로 한다.In order to solve the above problems, the present invention provides a system for analyzing, monitoring, and responding to security anomalies based on scenarios including a big data analysis engine server unit and an application server unit, It is possible to monitor the security anomalies that are optimized for the company in terms of internal control of the company, prevention of leakage of customer information, prevention of leakage of internal critical information, and internal security control, and as a single integrated system, The present invention also provides a system for monitoring an integrated security abnormality in which a user can proceed to a post-process after analyzing the information.

아울러, 본 발명에 따른 기술은 빅데이터 분석엔진 서버부와 애플리케이션 서버부를 포함하여 구성되어 기 설정 후에 주기적으로 업그레이드 반영되는 시나리오를 기반으로 하여 보안 이상징후를 탐지, 분석 및 모니터링하고 경고 및 대응하는 일련의 단계로 동작함으로써 보안사고에 대한 신속하고 정확한 대응으로 인한 정보유출사고에 대하여 대응 효율성을 확보할 수 있도록 함과 동시에 보안 상태 분석에 의한 사후처리를 통해 기업 내 조직원들의 경각심을 고취하여 보안사고 예방 효과를 더욱 향상시킬 수 있도록 함에 그 목적이 있다.In addition, the technology according to the present invention includes a big data analysis engine server unit and an application server unit, and is configured to detect, analyze, monitor, alert, and respond to security anomalies based on scenarios that are periodically upgraded after being set up. , It is possible to secure the response efficiency against the information leakage accident caused by the quick and accurate response to the security incident, and to promote the awareness of the members of the company through the post-processing by the security status analysis, So that the effect can be further improved.

전술한 목적을 달성하기 위한 본 발명은 다음과 같다. 즉, 본 발명에 따른 통합 보안 이상징후 모니터링 시스템은 다수의 원천데이터를 가지는 애플리케이션 시스템, 퍼스널/단말 보안 시스템, 네트워크보안시스템, 서버/데이터베이스 보안시스템, 인사 데이터베이스 시스템, 전자결재 시스템, 메일 시스템의 대상 시스템을 포함하는 관리대상시스템부; 상기 관리대상시스템부의 각각의 대상 시스템에 대한 응용 프로그램 인터페이스(API)와 연동하여 상기 관리대상시스템부로부터 발생하는 보안 로그를 기 설정된 시나리오를 기반으로 통합수집하고, 수집된 데이터를 저장, 가공한 후에 현황관리를 진행하는 빅데이터 분석엔진 서버부; 및 상기 빅데이터 분석엔진 서버부를 통해 통합수집된 후에 현황관리된 자료를 토대로 하여 분석, 모니터링, 대응하는 애플리케이션 서버부를 포함한다.The present invention for achieving the above-mentioned objects is as follows. That is, the integrated security abnormality monitoring system according to the present invention can be applied to an application system having a plurality of source data, a personal / terminal security system, a network security system, a server / database security system, a personnel database system, A managed system part including a system; A security log generated from the management subject system unit in cooperation with an application program interface (API) for each target system of the management subject system unit is collectively collected based on a predetermined scenario, and the collected data is stored and processed A big data analysis engine server section for managing the current status; And an application server unit for analyzing, monitoring and responding to the large data analysis engine server unit on the basis of the status-managed data after being collectively collected.

여기서, 상기 빅데이터 분석엔진 서버부는 상기 관리대상시스템부로부터 발생하는 보안 로그를 기 설정된 시나리오를 기반으로 통합수집하는 수집과정과, 상기 수집과정을 통해 수집된 자료를 분석하여 저장, 가공하는 저장/가공과정 및 상기 저장/가공과정을 통해 분석하여 저장, 가공된 자료를 토대로 분석을 통한 차단 및 담당 매니저에게 송신하면서 현황을 관리하는 현황 관리과정을 포함하는 것이 바람직하다.Here, the big data analysis engine server unit may include a collecting process of collecting the security log generated from the management subject system unit on the basis of a predetermined scenario, a storing / analyzing process of analyzing the collected data through the collecting process, Processing through the processing and the storage / processing, blocking through analysis based on the stored and processed data, and managing the status while transmitting to the manager in charge.

이때, 상기 현황 관리과정 이전에 진행되는 상기 저장/가공과정에 앞서 진행되는 상기 수집과정은 상기 관리대상시스템부로부터 보안 로그에 해당하는 로우 데이터를 연계하는 연계과정 및 상기 연계과정을 통해 연계된 보안 로그에 해당하는 로우 데이터를 필터링하여 기 설정된 시나리오를 기반으로 정제하는 정제과정을 포함하는 것이 양호하다.Here, the collecting process performed prior to the storage / processing process prior to the status management process may include a linking process of linking the row data corresponding to the security log from the management subject system unit, It is preferable to include a refining process for refining the raw data corresponding to the log based on a predetermined scenario.

또한, 상기 현황 관리과정 이전에 진행되는 상기 저장/가공과정은 빅데이터 스토리지, 관계형 데이터베이스(RDB), 워크플로우 매니저, 스케줄 매니저, 관리자(Administrator)를 포함하여 구성되어 저장과 가공을 진행하는 한편, 빅데이터 스토리지, 관계형 데이터베이스(RDB), 워크플로우 매니저, 스케줄 매니저, 관리자(Administrator)에 의해 저장/가공된 시스템 상태정보를 상기 현황 관리과정으로 전송하는 것이 바람직하다.In addition, the storage / processing process prior to the current state management process includes storing and processing a big data storage, a relational database (RDB), a workflow manager, a schedule manager, and an administrator, It is preferable that the system status information stored / processed by the big data storage, the relational database, the workflow manager, the schedule manager, and the administrator is transmitted to the status management process.

더욱이, 상기 현황 관리과정은 상기 저장/가공과정을 통해 저장/가공된 시스템 상태정보를 수신한 후에 수집현황 모니터링, 배치현황 모니터링, 서버현황 모니터링 및 성능현황 모니터링을 통해 현황을 관리하는 것이 양호하다.Further, it is preferable that the status management process is to manage the status by monitoring status of collection status, monitoring status of servers, monitoring status of servers, and performance status after receiving system status information stored / processed through the storage / processing process.

한편, 상기 애플리케이션 서버부는 상기 빅데이터 분석엔진 서버부를 통해 통합수집된 후에 현황관리된 자료를 분석하는 분석과정과, 상기 분석과정을 통해 분석된 자료를 인계받아 모니터링 사용자인터페이스를 통해 모니터링하는 모니터링과정 및 상기 모니터링과정을 통해 모니터링된 자료를 수신하여, 수신된 자료를 토대로 대응하는 대응과정을 포함하는 것이 바람직하다.Meanwhile, the application server unit may include an analyzing process of analyzing the status-managed data after being integrally collected through the big data analysis engine server unit, a monitoring process of taking over the analyzed data through the monitoring user interface, It is preferable to receive the monitored data through the monitoring process and include corresponding processes corresponding to the received data.

이때, 상기 대응과정 이전에 진행되는 상기 모니터링과정에 앞서 진행되는 상기 분석과정은 시계열 통계분석과정, 피어 그룹(Peer group) 통계분석과정, 트렌드 분석과정, 단일 이상행위 패턴추출과정, 복합 이상행위 패턴추출과정, 상기 관리대상시스템부의 보안 로그에 해당하는 로우 데이터의 검색/조회과정을 포함하는 한편, 상기 모니터링과정으로 분석된 결과를 전달하는 것이 양호하다.Here, the analysis process that precedes the monitoring process before the corresponding process may include a time series statistical analysis process, a peer group statistical analysis process, a trend analysis process, a single abnormal behavior pattern extraction process, Extraction of the raw data corresponding to the security log of the management subject system unit, and retrieval / inquiry of the row data corresponding to the security log of the management subject system unit.

또한, 상기 대응과정에 이전에 진행되는 상기 모니터링과정은 상기 분석과정을 통해 수신된 분석결과를 토대로 하여 모니터링 한 후에 모니터링된 결과를 상기 대응과정으로 전달하는 한편, 통합 대시보드 기능, 사업/서비스별 현황 기능, 조직/인원별 현황 기능, 컴플라이언스별 현황 기능, 실시간 모니터링 기능, 시나리오별 현황 기능, 경보 기능, 알림 기능을 포함하는 것이 바람직하다.In addition, the monitoring process previously performed in the corresponding process may be performed based on the analysis result received through the analysis process, and then the monitored result may be transmitted to the corresponding process, while the integrated dashboard function, Status function, status function per organization / personnel, status function according to compliance, real-time monitoring function, status function according to scenario, alarm function, and notification function.

그리고 상기 대응과정은 상기 모니터링과정을 통해 모니터링된 사항을 토대로 하여 대응하는 과정으로서, 단순 처리 기능, 소명 처리 기능, 사고대응 기능, 사후 관리 기능을 포함하는 것이 양호하다.The corresponding process includes a simple process function, a call processing function, an incident response function, and a post-management function as corresponding processes on the basis of the items monitored through the monitoring process.

더욱이, 상기 대응과정을 포함하는 상기 애플리케이션 서버부는 상기 대응과정 이후에 진행되는 시나리오 관리과정을 더 포함하는 한편, 상기 시나리오 관리과정은 상기 대응과정을 통해 대응된 결과를 참고하는 단일 시나리오 등록관리 기능, 복합 시나리오 연쇄(Chaining) 기능 및 시뮬레이션 기능을 포함하여 구성되어, 단일 시나리오 등록관리 기능, 복합 시나리오 연쇄(Chaining) 기능 및 시뮬레이션 기능을 통해 기 설정된 시나리오를 업그레이드하는 과정으로 이루어지는 것이 바람직하다.Further, the application server unit including the corresponding process may further include a scenario management process performed after the corresponding process, while the scenario management process may include a single scenario registration management function for referring to a corresponding result through the corresponding process, It is desirable to include a process of upgrading a predetermined scenario through a single scenario registration management function, a multiple scenario scenario chaining function, and a simulation function, which are composed of a complex scenario chaining function and a simulation function.

본 발명에 따른 통합 보안 이상징후 모니터링 시스템의 효과를 설명하면 다음과 같다.The effect of the integrated security abnormality monitoring system according to the present invention will be described below.

첫째, 빅데이터 분석엔진 서버부와 애플리케이션 서버부를 포함하여 구성되어 기 설정 후에 주기적으로 업그레이드 반영되는 시나리오를 기반으로 하여 보안 이상징후를 탐지, 분석 및 모니터링하고 대응하는 일련의 단계로 동작함으로써 기업의 내부통제, 고객정보유출사고방지, 내부중요정보유출사고방지 및 내부보안관제 등에 대하여 기업에 최적화된 보안 이상징후의 모니터링이 가능하고, 단일의 통합 시스템으로 사용자가 보안 상태를 분석한 후에 사후 처리까지 진행할 수 있다.First, it consists of a big data analysis engine server part and an application server part, and operates as a series of steps of detecting, analyzing, monitoring and responding to security anomalies based on scenarios that are periodically upgraded after being set up. It is possible to monitor the security anomalies optimized for the company in terms of control, prevention of leakage of internal information, prevention of leakage of internal information, internal security control, and after analyzing the security status of users with a single integrated system, .

둘째, 빅데이터 분석엔진 서버부와 애플리케이션 서버부를 포함하여 구성되어 기 설정 후에 주기적으로 업그레이드 반영되는 시나리오를 기반으로 하여 보안 이상징후를 탐지, 분석 및 모니터링하고 대응하는 일련의 단계로 동작함으로써 보안사고에 대한 신속하고 정확한 대응으로 인한 대응 효율성을 확보할 수 있도록 함과 동시에 보안 상태 분석에 의한 사후처리를 통해 기업 내 조직원들의 경각심을 고취하여 보안사고 예방 효과를 더욱 향상시킬 수 있다.Second, it consists of a big data analysis engine server part and an application server part. It is operated as a series of steps to detect, analyze, monitor and respond to security anomalies based on scenarios that are periodically upgraded after initialization. It is possible to secure the response efficiency by prompt and accurate response and to improve the prevention effect of security accidents by raising the awareness of the members of the enterprise through the post-processing by analyzing the security status.

도 1은 본 발명에 따른 통합 보안 이상징후 모니터링 시스템을 나타낸 구성도.
도 2는 본 발명에 따른 통합 보안 이상징후 모니터링 시스템에서, 빅데이터 분석엔진 서버부의 작동 과정을 단계별로 나타낸 블록도.
도 3은 본 발명에 따른 통합 보안 이상징후 모니터링 시스템에서, 애플리케이션 서버부의 작동 과정을 단계별로 나타낸 블록도.
도 4는 본 발명에 따른 통합 보안 이상징후 모니터링 시스템에 따른 통합 보안 이상징후를 모니터링하는 과정을 나타낸 모식도.1 is a block diagram of a system for monitoring an integrated security abnormality indicator according to the present invention.
BACKGROUND OF THE INVENTION 1. Field of the Invention [0001] The present invention relates to an integrated security abnormality monitoring system, and more particularly,
FIG. 3 is a block diagram showing an operation process of the application server unit in a step-by-step manner in the integrated security abnormality monitoring system according to the present invention.
4 is a schematic diagram illustrating a process for monitoring an integrated security abnormal symptom according to the integrated security abnormal symptom monitoring system according to the present invention.

이하, 첨부된 도면을 참조하여 본 발명에 따른 통합 보안 이상징후 모니터링 시스템의 바람직한 실시예를 상세히 설명한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Reference will now be made in detail to the preferred embodiments of the present invention, examples of which are illustrated in the accompanying drawings.

도 1은 본 발명에 따른 통합 보안 이상징후 모니터링 시스템을 나타낸 구성도이고, 도 2는 본 발명에 따른 통합 보안 이상징후 모니터링 시스템에서, 빅데이터 분석엔진 서버부의 작동 과정을 단계별로 나타낸 블록도이며, 도 3은 본 발명에 따른 통합 보안 이상징후 모니터링 시스템에서, 애플리케이션 서버부의 작동 과정을 단계별로 나타낸 블록도이다.FIG. 1 is a block diagram illustrating a system for monitoring an integrated security abnormality symptom according to the present invention. FIG. 2 is a block diagram illustrating an operation process of a big data analysis engine server unit in a stepwise manner in an integrated security abnormality monitoring system according to the present invention, FIG. 3 is a block diagram illustrating an operation process of the application server unit in a stepwise manner in the integrated security abnormality monitoring system according to the present invention.

도 4는 본 발명에 따른 통합 보안 이상징후 모니터링 시스템에 따른 통합 보안 이상징후를 모니터링하는 과정을 나타낸 모식도이다.FIG. 4 is a schematic diagram illustrating a process of monitoring an integrated security abnormal symptom according to the integrated security abnormal symptom monitoring system according to the present invention.

도 1 내지 4에서 보는 바와 같이, 본 발명의 바람직한 실시예에 따른 통합 보안 이상징후 모니터링 시스템은 크게 분류하면, 관리대상시스템부(100), 빅데이터 분석엔진 서버부(200) 및 애플리케이션 서버부(300)를 포함하여 이루어진다.1 to 4, the integrated security abnormality symptom monitoring system according to the preferred embodiment of the present invention roughly includes a system management unit 100, a big data analysis engine server unit 200, and an application server unit 300).

구체적으로, 상기 관리대상시스템부(100)는 다수의 원천데이터를 가지는 애플리케이션 시스템, 퍼스널/단말 보안 시스템, 네트워크보안시스템, 서버/데이터베이스 보안시스템, 인사 데이터베이스 시스템, 전자결재 시스템, 메일 시스템의 대상 시스템을 포함하는 것이다.Specifically, the management subject system unit 100 includes an application system having a plurality of source data, a personal / terminal security system, a network security system, a server / database security system, a personnel database system, an electronic approval system, .

또한, 상기 빅데이터 분석엔진 서버부(200)는 상기 관리대상시스템부(100)의 각각의 대상 시스템에 대한 응용 프로그램 인터페이스(API)와 연동하여 상기 관리대상시스템부(100)로부터 발생하는 보안 로그를 기 설정된 시나리오를 기반으로 통합수집하고, 수집된 데이터를 저장, 가공한 후에 현황관리를 진행하는 것이다.The Big Data Analysis Engine server unit 200 may be configured to perform a security management function of the management server 100 in cooperation with an application program interface (API) of each target system of the management subject system unit 100, Based on a predetermined scenario, collects collected data, processes the collected data, and then manages the current status.

그리고 상기 애플리케이션 서버부(300)는 상기 빅데이터 분석엔진 서버부(200)를 통해 통합수집된 후에 현황관리된 자료를 토대로 하여 분석, 모니터링, 대응하는 것이다.The application server unit 300 analyzes, monitors, and responds to the collected data through the big data analysis engine server unit 200 based on the current status data.

전술한 바와 같은 본 발명에 따른 통합 보안 이상징후 모니터링 시스템에서, 특히 상기 빅데이터 분석엔진 서버부(200)는 수집과정(S210)과, 저장/가공과정(S220) 및 현황 관리과정(S230)을 포함한다.In the integrated security abnormality monitoring system according to the present invention as described above, the big data analysis engine server unit 200 collects the collected data in a collecting process (S210), a storing / processing process (S220), and a status management process (S230) .

이때, 상기 수집과정(S210)은 상기 관리대상시스템부(100)로부터 발생하는 보안 로그를 기 설정된 시나리오를 기반으로 통합수집하는 과정으로 이루어진다.At this time, the collecting process (S210) collects the security logs generated from the managed system unit 100 based on a predetermined scenario.

이러한 상기 현황 관리과정(S230) 이전에 진행되는 상기 저장/가공과정(S220)에 앞서 진행되는 상기 수집과정(S210)은 특히, 상기 관리대상시스템부(100)로부터 보안 로그에 해당하는 로우 데이터를 연계하는 연계과정 및 상기 연계과정을 통해 연계된 보안 로그에 해당하는 로우 데이터를 필터링하여 기 설정된 시나리오를 기반으로 정제하는 정제과정을 포함하는 것이 바람직한 것이다.The collecting process (S210) preceding the storing / processing process (S220) before the current status management process (S230) is performed by collecting row data corresponding to the security log from the management subject system unit (100) And filtering the raw data corresponding to the security log linked through the linking process and purifying the filtered data based on a predetermined scenario.

또한, 상기 저장/가공과정(S220)은 상기 수집과정(S210)을 통해 수집된 자료를 저장, 가공하는 과정으로 이루어진다.In addition, the storing / processing step (S220) comprises storing and processing the data collected through the collecting step (S210).

상기와 같은 상기 현황 관리과정(S230) 이전에 진행되는 상기 저장/가공과정(S220)은 빅데이터 스토리지, 관계형 데이터베이스(RDB), 워크플로우 매니저, 스케줄 매니저, 관리자(Administrator)를 포함하여 구성되어 저장과 가공을 진행하는 과정으로 이루어진다.The storage / processing step (S220) before the current state management process (S230) includes a big data storage, a relational database (RDB), a workflow manager, a schedule manager, and an administrator And a process of processing.

더욱이, 상기 저장/가공과정(S220)은 빅데이터 스토리지, 관계형 데이터베이스(RDB), 워크플로우 매니저, 스케줄 매니저, 관리자(Administrator)에 의해 저장/가공된 시스템 상태정보를 상기 현황 관리과정(S230)으로 전송하는 것이 바람직한 것이다.Further, the storage / processing step S220 may include the step of managing the system status information stored / processed by the big data storage, the relational database, the workflow manager, the schedule manager, and the administrator into the status management process S230 .

또한, 상기 현황 관리과정(S230)은 상기 저장/가공과정(S220)을 통해 분석하여 저장, 가공된 자료의 현황을 관리하는 과정으로 이루어진다.In addition, the status management process (S230) is performed through the storage / processing process (S220) and managing the status of the stored and processed data.

이러한 현황 관리과정(S230)은 특히, 상기 저장/가공과정(S220)을 통해 분석하여 저장/가공된 시스템 상태정보를 수신한 후에 저장/가공된 자료를 토대로 수집현황 모니터링, 배치현황 모니터링, 서버현황 모니터링 및 성능현황 모니터링을 통해, 자료를 토대로 한 분석을 통한 차단 및 담당 매니저에게 송신하면서 현황을 관리하는 것이 바람직하다.In particular, the current state management process (S230) analyzes the collected / processed state information (S220), and then stores / processes the stored / processed system state information. It is desirable to monitor and monitor the status of performance, block the analysis based on the data, and manage the status while sending it to the manager in charge.

전술한 바와 같은 본 발명에 따른 통합 보안 이상징후 모니터링 시스템에서, 특히 상기 애플리케이션 서버부(300)는 상기 빅데이터 분석엔진 서버부(200)를 통해 통합수집된 후에 현황관리된 자료를 분석하는 분석과정(S310)과, 상기 분석과정(S310)을 통해 분석된 자료를 인계받아 모니터링 사용자인터페이스를 통해 모니터링하는 모니터링과정(S320) 및 상기 모니터링과정(S320)을 통해 모니터링된 자료를 수신하여, 수신된 자료를 토대로 대응하는 대응과정(S330)을 포함한다.In the integrated security abnormality monitoring system according to the present invention as described above, in particular, the application server unit 300 performs an analysis process of analyzing the status-managed data after being integratedly collected through the big data analysis engine server unit 200 A monitoring step S320 of taking over the data analyzed through the analysis step S310 and monitoring the data through the monitoring user interface and the monitoring data S320, (Step S330).

여기서, 상기 대응과정(S330) 이전에 진행되는 상기 모니터링과정(S320)에 앞서 진행되는 상기 분석과정(S310)은 시계열 통계분석과정, 피어 그룹(Peer group) 통계분석과정, 트렌드 분석과정, 단일 이상행위 패턴추출과정, 복합 이상행위 패턴추출과정, 상기 관리대상시스템부(100)의 보안 로그에 해당하는 로우 데이터의 검색/조회과정을 포함한다.Here, the analysis step S310, which precedes the monitoring step S320 before the corresponding step S330, may include a time series statistical analysis process, a peer group statistical analysis process, a trend analysis process, A behavior pattern extraction process, a complex abnormal behavior pattern extraction process, and a search / retrieval process of row data corresponding to the security log of the management subject system unit 100.

상기와 같은 분석과정(S310)은 상기 모니터링과정(S320)으로 분석된 결과를 전달하는 것이 바람직한 것이다.The analysis process (S310) as described above preferably transmits the analyzed result to the monitoring process (S320).

또한, 상기 대응과정(S330)에 이전에 진행되는 상기 모니터링과정(S320)은 상기 분석과정(S310)을 통해 수신된 분석결과를 토대로 하여 모니터링 한 후에 모니터링된 결과를 상기 대응과정(S330)으로 전달하는 것이 바람직하다.In addition, the monitoring process (S320) before the corresponding process (S330) monitors the analysis result based on the analysis result received through the analysis process (S310) and transmits the monitored result to the corresponding process (S330) .

더욱이, 상기와 같은 모니터링과정(S320)은 통합 대시보드 기능, 사업/서비스별 현황 기능, 조직/인원별 현황 기능, 컴플라이언스별 현황 기능, 실시간 모니터링 기능, 시나리오별 현황 기능, 경보 기능, 알림 기능을 포함하는 것이 더욱 바람직한 것이다.The monitoring process S320 may include an integrated dashboard function, a status function per business / service, a status function per organization / person, a status function per compliance, a real time monitoring function, a status function per scenario, It is more preferable to include them.

그리고 상기 대응과정(S330)은 상기 모니터링과정(S320)을 통해 모니터링된 사항을 토대로 하여 대응하는 과정으로서, 단순 처리 기능, 소명 처리 기능, 사고대응 기능, 사후 관리 기능을 포함하는 것이 바람직하다.The corresponding process (S330) may include a simple process function, a call processing function, an incident response function, and a post-management function, based on the monitored items through the monitoring process (S320).

한편, 전술한 바와 같은 대응과정(S330)을 포함하는 상기 애플리케이션 서버부(300)는 상기 대응과정(S330) 이후에 진행되는 시나리오 관리과정(S340)을 더 포함하는 것이 더욱 바람직한 것이다.It is further preferable that the application server unit 300 including the corresponding process S330 as described above further includes a scenario management process S340 after the corresponding process S330.

이때, 상기 시나리오 관리과정(S340)은 상기 대응과정(S330)을 통해 대응된 결과를 참고하는 단일 시나리오 등록관리 기능, 복합 시나리오 연쇄(Chaining) 기능 및 시뮬레이션 기능을 포함하여 구성되어, 단일 시나리오 등록관리 기능, 복합 시나리오 연쇄(Chaining) 기능 및 시뮬레이션 기능을 통해 기 설정된 시나리오를 업그레이드하는 과정으로 이루어지는 것이 바람직하다.The scenario management process (S340) includes a single scenario registration management function, a combined scenario chaining function, and a simulation function for referring to corresponding results through the corresponding process (S330) And a process of upgrading a predetermined scenario through a hybrid scenario chaining function and a simulation function.

한편, 본 발명에 따른 통합 보안 이상징후 모니터링 시스템에 따른 통합 보안 이상징후를 모니터링하는 과정을 나타낸 모식도인 도 4를 참조하면, 본 발명에 따른 통합 보안 이상징후 모니터링 시스템에서는 개인정보처리시스템 및 개인정보보호솔루션 등의 대상 시스템인 응용프로그램 인터페이스(API)로부터 발생하는 보안 로그를 통합수집하여 분석한 후에, 수집, 분석된 자료를 차단 및 담당 매니저에게 송신하여 자료의 현황을 관리할 수 있다.4, which is a schematic diagram illustrating a process of monitoring an integrated security abnormality indication according to the integrated security abnormality monitoring system according to the present invention, in the integrated security abnormality monitoring system according to the present invention, And security solution generated by application program interface (API), which is a target system such as security solution, protection solution, etc., and then, collected and analyzed data can be blocked and transmitted to the manager to manage the status of data.

아울러, 상기와 같은 현황을 토대로 이상흐름을 사전에 감지하여 사전에 감지를 위한 담당 매니저나 관리자에게 경고를 통하여 사전에 보안사고를 방지할 수 있는 것이다.In addition, based on the above-described situation, it is possible to prevent a security accident in advance by warning a manager or an administrator in advance to detect an abnormal flow in advance and detect it in advance.

전술한 바와 같은 본 발명에 따른 통합 보안 이상징후 모니터링 시스템에 의하면, 빅데이터 분석엔진 서버부와 애플리케이션 서버부를 포함하여 구성되어 기 설정 후에 주기적으로 업그레이드 반영되는 시나리오를 기반으로 하여 보안 이상징후를 분석 및 모니터링하고 대응하는 일련의 단계로 동작함으로써 기업의 내부통제, 고객정보유출사고방지, 내부중요정보유출사고방지 및 내부보안관제 등에 대하여 기업에 최적화된 보안 이상징후의 모니터링이 가능하고, 단일의 통합 시스템으로 사용자가 보안 상태를 분석한 후에 사후 처리까지 진행할 수 있다.According to the integrated security abnormality monitoring system of the present invention as described above, it is possible to analyze and analyze security anomalies based on scenarios including a big data analysis engine server unit and an application server unit, Monitoring and responding to a series of steps, it is possible to monitor companies' security anomalies optimized for internal control, prevent leakage of customer information, prevent leakage of internal critical information, and manage internal security. The user can proceed to post-processing after analyzing the security status.

아울러, 빅데이터 분석엔진 서버부와 애플리케이션 서버부를 포함하여 구성되어 기 설정 후에 주기적으로 업그레이드 반영되는 시나리오를 기반으로 하여 보안 이상징후를 분석 및 모니터링하고 대응하는 일련의 단계로 동작함으로써 보안사고에 대한 신속하고 정확한 대응으로 인한 대응 효율성을 확보할 수 있도록 함과 동시에 보안 상태 분석에 의한 사후처리를 통해 기업 내 조직원들의 경각심을 고취하여 보안사고 예방 효과를 더욱 향상시킬 수 있게 된다.In addition, the system includes a big data analysis engine server unit and an application server unit, and operates in a series of steps of analyzing, monitoring, and responding to security anomalies based on scenarios that are periodically upgraded after the initial setting, In addition, it is possible to secure the response efficiency due to the correct response, and to further enhance the prevention effect of security accidents by raising the awareness of the members of the enterprise through the post-processing by analyzing the security status.

이상에서 본 발명의 구체적인 실시예를 상세히 설명하였으나, 본 발명은 이에 한정되는 것은 아니며, 본 발명은 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변형의 실시가 가능하며, 이러한 변형은 본 발명의 범위에 포함된다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, the invention is not limited thereto. Various modifications may be made by those skilled in the art. Are included in the scope of the present invention.

100: 관리대상시스템부
200: 빅데이터 분석엔진 서버부
300: 애플리케이션 서버부100: the managed system unit
200: Big data analysis engine server part
300: application server section

Claims (10)

다수의 원천데이터를 가지는 애플리케이션 시스템, 퍼스널/단말 보안 시스템, 네트워크보안시스템, 서버/데이터베이스 보안시스템, 인사 데이터베이스 시스템, 전자결재 시스템, 메일 시스템의 대상 시스템을 포함하는 관리대상시스템부(100);
상기 관리대상시스템부(100)의 각각의 대상 시스템에 대한 응용 프로그램 인터페이스(API)와 연동하여 상기 관리대상시스템부(100)로부터 발생하는 보안 로그를 기 설정된 시나리오를 기반으로 통합수집하고, 수집된 데이터를 저장, 가공한 후에 현황관리를 진행하는 빅데이터 분석엔진 서버부(200);
상기 빅데이터 분석엔진 서버부(200)를 통해 통합수집된 후에 현황관리된 자료를 토대로 하여 분석, 모니터링, 대응하는 애플리케이션 서버부(300);를 포함하고,
상기 빅데이터 분석엔진 서버부(200)는 상기 관리대상시스템부(100)로부터 발생하는 보안 로그를 기 설정된 시나리오를 기반으로 통합수집하는 수집과정(S210);
상기 수집과정(S210)을 통해 수집된 자료를 분석하여 저장, 가공하는 저장/가공과정(S220);
상기 저장/가공과정(S220)을 통해 분석하여 저장, 가공된 자료를 토대로 분석을 통한 차단 및 담당 매니저에게 송신하면서 현황을 관리하는 현황 관리과정(S230);을 포함하되,
상기 수집과정(S210)은 상기 관리대상시스템부(100)로부터 보안 로그에 해당하는 로우 데이터를 연계하는 연계과정; 상기 연계과정을 통해 연계된 보안 로그에 해당하는 로우 데이터를 필터링하여 기 설정된 시나리오를 기반으로 정제하는 정제과정;을 포함하고,
상기 저장/가공과정(S220)은 빅데이터 스토리지, 관계형 데이터베이스(RDB), 워크플로우 매니저, 스케줄 매니저, 관리자(Administrator)를 포함하여 구성되어 저장과 가공을 진행하는 한편, 빅데이터 스토리지, 관계형 데이터베이스(RDB), 워크플로우 매니저, 스케줄 매니저, 관리자(Administrator)에 의해 저장/가공된 시스템 상태정보를 상기 현황 관리과정(S230)으로 전송하고,
상기 현황 관리과정(S230)은 상기 저장/가공과정(S220)을 통해 저장/가공된 시스템 상태정보를 수신한 후에 수집현황 모니터링, 배치현황 모니터링, 서버현황 모니터링 및 성능현황 모니터링을 통해 현황을 관리하고,
상기 애플리케이션 서버부(300)는 상기 빅데이터 분석엔진 서버부(200)를 통해 통합수집된 후에 현황관리된 자료를 분석하는 분석과정(S310);
상기 분석과정(S310)을 통해 분석된 자료를 인계받아 모니터링 사용자인터페이스를 통해 모니터링하는 모니터링과정(S320):
상기 모니터링과정(S320)을 통해 모니터링된 자료를 수신하여, 수신된 자료를 토대로 대응하는 대응과정(S330);
상기 대응과정(S330) 이후에 진행되는 시나리오 관리과정(S340);을 포함하되,
상기 분석과정(S310)은 시계열 통계분석과정, 피어 그룹(Peer group) 통계분석과정, 트렌드 분석과정, 단일 이상행위 패턴추출과정, 복합 이상행위 패턴추출과정, 상기 관리대상시스템부의 보안 로그에 해당하는 로우 데이터의 검색/조회과정을 포함하는 한편, 상기 모니터링과정(S320)으로 분석된 결과를 전달하고,
상기 모니터링과정(S320)은 상기 분석과정(S310)을 통해 수신된 분석결과를 토대로 하여 모니터링 한 후에 모니터링된 결과를 상기 대응과정(S330)으로 전달하는 한편, 통합 대시보드 기능, 사업/서비스별 현황 기능, 조직/인원별 현황 기능, 컴플라이언스별 현황 기능, 실시간 모니터링 기능, 시나리오별 현황 기능, 경보 기능, 알림 기능을 포함하고,
상기 대응과정(S330)은 상기 모니터링과정(S320)을 통해 모니터링된 사항을 토대로 하여 대응하는 과정으로서, 단순 처리 기능, 소명 처리 기능, 사고대응 기능, 사후 관리 기능을 포함하고,
상기 시나리오 관리과정(S340)은 상기 대응과정(S330)을 통해 대응된 결과를 참고하는 단일 시나리오 등록관리 기능, 복합 시나리오 연쇄(Chaining) 기능 및 시뮬레이션 기능을 포함하여 구성되어, 단일 시나리오 등록관리 기능, 복합 시나리오 연쇄(Chaining) 기능 및 시뮬레이션 기능을 통해 기 설정된 시나리오를 업그레이드하는 과정으로 이루어지는 것을 특징으로 하는 통합 보안 이상징후 모니터링 시스템.A managed system unit 100 including an application system having a plurality of source data, a personal / terminal security system, a network security system, a server / database security system, a personnel database system, an electronic approval system, and a target system of a mail system;
The security log generated from the management subject system unit 100 in cooperation with an application program interface (API) for each target system of the management subject system unit 100 is collectively collected based on a predetermined scenario, A big data analysis engine server unit 200 for storing and processing data and then managing the current status;
And an application server unit 300 for analyzing, monitoring, and responding to the collected data based on the status-managed data after being integrated through the big data analysis engine server unit 200,
The big data analysis engine server unit 200 collects the security logs generated from the managed system unit 100 based on a predetermined scenario (S210).
A storage / processing step S220 for analyzing and storing and processing the data collected through the collecting step S210;
(S230) of analyzing through the storage / processing step (S220), blocking through analysis based on the stored and processed data, and managing the status while transmitting to the responsible manager (S230)
The collecting process (S210) is a process of linking the row data corresponding to the security log from the management subject system unit (100). And filtering the raw data corresponding to the associated security log through the linking process and refining the raw data based on a predetermined scenario,
The storage / processing process (S220) includes a big data storage, a relational database (RDB), a workflow manager, a schedule manager, an administrator and stores and processes the data, The system status information stored / processed by the RDB, the workflow manager, the schedule manager, and the administrator is transmitted to the status management process S230,
After receiving the stored / processed system status information through the storage / processing step (S220), the status management process (S230) manages the status by monitoring the status of collection, monitoring the status of the servers, ,
The application server unit 300 analyzes the status-managed data after being integrated through the big data analysis engine server unit 200 (S310).
A monitoring step (S320) of taking over the analyzed data through the analysis step (S310) and monitoring through the monitoring user interface;
Receiving the monitored data through the monitoring process (S320), and responding to the received data based on the received data (S330);
And a scenario management process (S340) performed after the corresponding process (S330)
The analysis process S310 may include a time series statistical analysis process, a peer group statistical analysis process, a trend analysis process, a single abnormal behavior pattern extraction process, a complex abnormal behavior pattern extraction process, And a search / inquiry process of the low data, while transmitting the analyzed result in the monitoring process (S320)
The monitoring process (S320) monitors based on the analysis result received through the analysis process (S310), and then transmits the monitored result to the corresponding process (S330), while the integrated dashboard function, Function, organization / personnel status function, compliance status function, real-time monitoring function, scenario-specific status function, alarm function, notification function,
The corresponding process (S330) includes a simple process function, a call processing function, an incident response function, and a post-management function corresponding to the items monitored through the monitoring process (S320)
The scenario management process (S340) includes a single scenario registration management function, a combined scenario chaining function, and a simulation function for referring to corresponding results through the corresponding process (S330). The single scenario registration management function, And a process of upgrading a predetermined scenario through a complex scenario chaining function and a simulation function. 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete
KR1020170052070A 2017-04-24 2017-04-24 Integration security anomaly symptom monitoring system KR101973728B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170052070A KR101973728B1 (en) 2017-04-24 2017-04-24 Integration security anomaly symptom monitoring system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170052070A KR101973728B1 (en) 2017-04-24 2017-04-24 Integration security anomaly symptom monitoring system

Publications (2)

Publication Number Publication Date
KR20180118869A KR20180118869A (en) 2018-11-01
KR101973728B1 true KR101973728B1 (en) 2019-04-29

Family

ID=64398334

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170052070A KR101973728B1 (en) 2017-04-24 2017-04-24 Integration security anomaly symptom monitoring system

Country Status (1)

Country Link
KR (1) KR101973728B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102314557B1 (en) * 2020-02-21 2021-10-20 주식회사 에이치엠아이(HMI Inc.) System for managing security control and method thereof
KR102125428B1 (en) 2020-03-25 2020-06-22 주식회사 이글루시큐리티 Method, device and program for providing the security device's dashboard to a mobile device

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110037578A (en) 2009-10-07 2011-04-13 (주)비에스시큐리티 The integration security monitoring system and method thereof
KR101490649B1 (en) 2014-01-22 2015-02-06 주식회사 퓨쳐시스템 System and method for deciding symptom of network security device
KR101623786B1 (en) * 2014-10-10 2016-05-24 주식회사 뉴젠씨앤아이 System and apparatus managing internal information
KR101563511B1 (en) 2015-07-10 2015-10-27 (주)유엠로직스 Security incident anomalous event detection system and method using trend analytic technique of a support vector based on time series

Also Published As

Publication number Publication date
KR20180118869A (en) 2018-11-01

Similar Documents

Publication Publication Date Title
US10339309B1 (en) System for identifying anomalies in an information system
US10057285B2 (en) System and method for auditing governance, risk, and compliance using a pluggable correlation architecture
US10078317B2 (en) Method, device and computer program for monitoring an industrial control system
CN103026345B (en) For the dynamic multidimensional pattern of event monitoring priority
CN111404909B (en) Safety detection system and method based on log analysis
US6347374B1 (en) Event detection
US10019677B2 (en) Active policy enforcement
US9838419B1 (en) Detection and remediation of watering hole attacks directed against an enterprise
US8769412B2 (en) Method and apparatus for risk visualization and remediation
US10027711B2 (en) Situational intelligence
US9961047B2 (en) Network security management
CN109669844A (en) Equipment obstacle management method, apparatus, equipment and storage medium
CN113516337A (en) Method and device for monitoring data security operation
CN111274276A (en) Operation auditing method and device, electronic equipment and computer-readable storage medium
CN109684863A (en) Data leakage prevention method, device, equipment and storage medium
KR101973728B1 (en) Integration security anomaly symptom monitoring system
KR101444250B1 (en) System for monitoring access to personal information and method therefor
CN111782481B (en) Universal data interface monitoring system and monitoring method
CN114050937A (en) Processing method and device for mailbox service unavailability, electronic equipment and storage medium
CN111126729A (en) Intelligent safety event closed-loop disposal system and method thereof
US9934543B2 (en) Secure traveler framework
CN113946822A (en) Security risk monitoring method, system, computer device and storage medium
CN113360354A (en) User operation behavior monitoring method, device, equipment and readable storage medium
Gao et al. SIEM: policy-based monitoring of SCADA systems
EP2911362A2 (en) Method and system for detecting intrusion in networks and systems based on business-process specification

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant