KR102175950B1 - 이기종 시스템의 보안정보 정규화 장치 및 방법 - Google Patents

이기종 시스템의 보안정보 정규화 장치 및 방법 Download PDF

Info

Publication number
KR102175950B1
KR102175950B1 KR1020180158286A KR20180158286A KR102175950B1 KR 102175950 B1 KR102175950 B1 KR 102175950B1 KR 1020180158286 A KR1020180158286 A KR 1020180158286A KR 20180158286 A KR20180158286 A KR 20180158286A KR 102175950 B1 KR102175950 B1 KR 102175950B1
Authority
KR
South Korea
Prior art keywords
field
security information
individual
type
information
Prior art date
Application number
KR1020180158286A
Other languages
English (en)
Other versions
KR20200070775A (ko
Inventor
최승오
김예솔
김형관
최종원
윤정한
민병길
김신규
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020180158286A priority Critical patent/KR102175950B1/ko
Publication of KR20200070775A publication Critical patent/KR20200070775A/ko
Application granted granted Critical
Publication of KR102175950B1 publication Critical patent/KR102175950B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/22Indexing; Data structures therefor; Storage structures
    • G06F16/2228Indexing structures
    • G06F16/2272Management thereof
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/22Indexing; Data structures therefor; Storage structures
    • G06F16/2282Tablespace storage structures; Management thereof
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/31Indexing; Data structures therefor; Storage structures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

이기종 시스템에서 생성되는 다양한 정형 또는 비정형 보안정보를 일괄 정규화함으로써 다양한 분석에 효율적으로 활용이 가능토록 하는 이기종 시스템의 보안정보 정규화 기술이 개시된다. 이를 위해, 본 발명의 일 실시예에 따른 이기종 시스템의 보안정보 정규화 장치는 적어도 하나의 보안정보 제공 시스템으로부터 보안정보를 수신받고, 기 정의된 구분자에 기초하여 보안정보를 개별 필드의 단위로 분리하는 보안정보 입력부, 보안정보의 각 개별 필드의 필드내용을 분석하여, 각 개별 필드의 필드내용 유형을 분류하는 필드내용 유형 분류부, 보안정보의 각 개별 필드의 필드명을 확인 후 기 정의된 사용자 정의 데이터베이스의 유사 키워드 정보를 통해 필드명 유사도를 추출하는 필드명 유사도 추출부, 각 개별 필드의 필드내용 유형 및 필드명 유사도를 기초로 기 정의된 사용자 정의 필드 중 가장 유사도가 높은 필드를 판단하여 매핑하는 필드 매핑부 및 필드 매핑부에서 매핑된 필드에 대하여 기 정의된 필드 형태에 대응하게 각 개별 필드의 내용을 변환하는 필드정보 변환부를 포함한다.

Description

이기종 시스템의 보안정보 정규화 장치 및 방법{APPARATUS AND METHOD FOR NORMALIZING SECURITY INFORMATION OF HETEROGENEOUS SYSTEMS}
본 발명은 이기종 시스템의 보안정보 정규화 장치 및 방법에 관한 것으로, 특히 이기종 시스템에서 생성되는 다양한 정형 또는 비정형 보안정보를 일괄 정규화함으로써 다양한 분석에 효율적으로 활용이 가능토록 하는 이기종 시스템의 보안정보 정규화 장치 및 방법에 관한 것이다.
보안정보는 보안관련 내용을 포함한 정형화된 또는 비정형화된 데이터로써 시스템 운영환경의 안전성과 추적성을 포함하는 정보이다. 보안정보를 통해 이상징후를 사전에 탐지하거나 보안사고가 발생 후 그 원인을 분석하고 그에 따른 적절한 대응을 마련하는데 유용히 활용할 수 있다. 또한, 다양한 시스템으로부터 수집한 충분한 양의 보안정보는 빅 데이터 기반 보안 기술 개발에도 활용할 수 있다.
보안정보는 그 시스템에 종속된 특성과 그 시스템의 운영환경에 종속된 특성에 따라 달라질 수 있다. 구체적으로, 시스템에 종속된 특성은 제조사, 그 제조사가 제공하는 시스템 종류, 그 시스템의 버전 등을 포함한다. 시스템의 운영환경에 종속된 특성은 그 시스템을 설치 후 운영하는 주체가 적용한 자체 설정, 보안 정책 또는 기타 제약사항 및 조건 등을 포함한다. 비록 실제 개별 시스템의 보안정보는 정형화되어 있다 하더라도, 이기종 시스템은 다음과 같이 서로 다른 형태로 정형화된 보안정보를 포함할 수 있다. 첫째, 시스템에 따라 제공하는 정보 정밀도가 다를 수 있다. 정보 정밀도는 시간(년월일시분초), 숫자(소수점표기), 텍스트(문자열 길이) 등이 이에 해당할 수 있다. 정보 정밀도 수준(높은 정보 정밀도 또는 낮은 정보 정밀도)을 선택하여 보안정보 중 시간 정보에 대해 공통된 형태 변환이 필요하다. 둘째, 정형화된 보안정보 형태의 유형에 따라 그 의미가 달라질 수 있다. 예를 들어, 공격 심각도를 나타내기 위해 숫자형태로 표현하면 1, 5, 10 등으로 수치화되지만 텍스트 형태로 표현하면 주의, 심각, 매우 심각 등으로 의미화된다. 즉, 두 정보를 분석해야 할 경우 보안정보의 필드 유형에 따라 형태를 통일하고 그 형태에 맞는 보안정보 변환이 필요하다.
이러한 문제점을 극복하기 위해 이기종 시스템에서 수집 가능한 보안정보가 포함하는 필드의 유형(이름, 의미, 형태)을 분석하여 그 유형을 판단하고 그 결과를 보안정보를 변환에 반영하여 정규화하는 작업이 필수적이다. 또한, 다양한 보안정보에 대한 보안정보 정규화를 수동 또는 수작업으로 직접 수행하는 것은 고비용(시간, 인적자원 등)이 소요되며, 새로운 시스템이 출시되거나 기존 시스템이 업그레이드(펌웨어 등)로 인해 보안정보의 형태가 달라질 경우 해당 작업을 매번 다시 수행해야 하므로 비효율적이다.
하지만, 종래의 기술은 상기 언급한 보안정보를 구성하는 필드의 유형을 고려치 않고, 특정 시스템 또는 특정 환경만을 대상으로 한 정보 정규화 방법을 포함하거나, 그 방법의 편리성, 사용성을 고려한 사용자 인터페이스를 제안하고 있기 때문에, 이기종 시스템의 다양한 보안정보를 대상으로 보안정보를 처리하기 위한 수단 및 방법을 포함하고 있지 않으며 그 결과 보안정보의 필드 유형 기반으로 형태 및 내용 변환을 고려한 정규화 수행이 불가능하다.
관련하여 한국등록특허 제10-1888860호는 "로그 생성기 및 그를 포함하는 빅데이터 분석 전처리 시스템"을 개시한다.
본 발명의 목적은 이기종 시스템에서 생성되는 다양한 형태의 보안정보를 필드 유형과 그 특성을 통해 정규화하는 것이다. 구체적으로, 본 발명은 이기종 시스템(방화벽, 침입탐지시스템, 침입차단시스템 등)에서 생성되는 다양한 정형 또는 비정형 보안정보(알람, 이벤트로그 등)의 필드 유형 분류, 필드명 추출, 필드 매핑, 필드 변환이 가능한 정규화 기술을 제공하는 것을 목적으로 한다.
그리고, 본 발명의 목적은은 정보보호시스템 제조사 및 그 시스템, 운영 주체에 따라 다양한 형태를 갖는 보안정보를 일괄 정규화함으로써 해당 보안정보를 통합, 상관, 연관 등 다양한 분석에 활용하는 것이다.
또한, 본 발명의 목적은 자동 보안정보 정규화를 통해 정규화 진행을 수동 또는 수작업으로 작성하는데 요구되는 고비용(시간, 인적자원 등) 문제를 해결하는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따른 이기종 시스템의 보안정보 정규화 장치는 적어도 하나의 보안정보 제공 시스템으로부터 보안정보를 수신받고, 기 정의된 구분자에 기초하여 상기 보안정보를 개별 필드의 단위로 분리하는 보안정보 입력부; 상기 보안정보의 각 개별 필드의 필드내용을 분석하여, 상기 각 개별 필드의 필드내용 유형을 분류하는 필드내용 유형 분류부; 상기 보안정보의 각 개별 필드의 필드명을 확인 후 기 정의된 사용자 정의 데이터베이스의 유사 키워드 정보를 통해 필드명 유사도를 추출하는 필드명 유사도 추출부; 상기 각 개별 필드의 필드내용 유형 및 상기 필드명 유사도를 기초로 기 정의된 사용자 정의 필드 중 가장 유사도가 높은 필드를 판단하여 매핑하는 필드 매핑부; 및 상기 필드 매핑부에서 매핑된 필드에 대하여 기 정의된 필드 형태에 대응하게 상기 각 개별 필드의 내용을 변환하는 필드정보 변환부를 포함한다.
이 때, 상기 보안정보 입력부는, 상기 보안정보에 복수개의 구분자가 포함된 경우, 빈도수가 낮은 구분자를 우선적으로 기준하여 상기 보안정보의 필드를 구분하여, 상기 보안정보를 상기 개별 필드의 단위로 구분할 수 있다.
이 때, 상기 필드내용 유형은 시각, 범위, 개수, 범주(카테고리), 이름, 정보(설명), 고정키 및 주소 유형 중 적어도 하나를 포함할 수 있다.
이 때, 상기 필드내용 유형 분류부는, 기 정의된 사용자 정의 데이터베이스 또는 네트워크상 사전 수집된 정보를 기초로 상기 보안정보의 각 개별 필드의 필드내용을 분석할 수 있다.
이 때, 상기 필드내용 유형 분류부는, 상기 보안정보의 각 개별 필드의 필드내용의 형태 또는 특성을 분석하여, 상기 각 개별 필드의 필드내용 유형을 분류할 수 있다.
이 때, 상기 필드명 유사도 추출부는, 상기 보안정보의 각 개별 필드에 필드명이 존재하는 경우 상기 각 개별필드의 필드명을 상기 기 정의된 사용자 정의 데이터베이스에 정의되어 있는 필드들과의 유사도를 판단하고, 상기 보안정보의 각 개별 필드에 필드명이 존재하지 않는 경우 상기 필드내용 유형 분류부에서 분류된 필드내용 유형과 상기 필드내용의 특성을 분석하여 상기 기 정의된 사용자 정의 데이터베이스 중 가장 유사도가 높은 필드명을 추출할 수 있다.
이 때, 상기 필드정보 변환부는, 절사, 패딩, 범위 조정, 치환, 분리, 결합 및 복합 중 적어도 하나의 방법을 활용하여 상기 필드 매핑부에서 매핑된 필드에 대하여 기 정의된 필드 형태에 대응하게 상기 각 개별 필드의 내용을 변환할 수 있다.
또한, 상기한 목적을 달성하기 위한 본 발명에 따른 이기종 시스템의 보안정보 정규화 방법은 적어도 하나의 보안정보 제공 시스템으로부터 보안정보를 수신받고, 기 정의된 구분자에 기초하여 상기 보안정보를 개별 필드의 단위로 분리하는 단계; 상기 보안정보의 각 개별 필드의 필드내용을 분석하여, 상기 각 개별 필드의 필드내용 유형을 분류하는 단계; 상기 보안정보의 각 개별 필드의 필드명을 확인 후 기 정의된 사용자 정의 데이터베이스의 유사 키워드 정보를 통해 필드명 유사도를 추출하는 단계; 상기 각 개별 필드의 필드내용 유형 및 상기 필드명 유사도를 기초로 기 정의된 사용자 정의 필드 중 가장 유사도가 높은 필드를 판단하여 매핑하는 단계; 및 상기 매핑하는 단계에서 매핑된 필드에 대하여 기 정의된 필드 형태에 대응하게 상기 각 개별 필드의 내용을 변환할 수 있다.
이 때, 상기 보안정보를 개별 필드의 단위로 분리하는 단계에서는, 상기 보안정보에 복수개의 구분자가 포함된 경우, 빈도수가 낮은 구분자를 우선적으로 기준하여 상기 보안정보의 필드를 구분하여, 상기 보안정보를 상기 개별 필드의 단위로 구분할 수 있다.
이 때, 상기 필드내용 유형은 시각, 범위, 개수, 범주(카테고리), 이름, 정보(설명), 고정키 및 주소 유형 중 적어도 하나를 포함할 수 있다.
이 때, 상기 각 개별 필드의 필드내용 유형을 분류하는 단계에서는, 기 정의된 사용자 정의 데이터베이스 또는 네트워크상 사전 수집된 정보를 기초로 상기 보안정보의 각 개별 필드의 필드내용을 분석할 수 있다.
이 때, 상기 각 개별 필드의 필드내용 유형을 분류하는 단계에서는, 상기 보안정보의 각 개별 필드의 필드내용의 형태 또는 특성을 분석하여, 상기 각 개별 필드의 필드내용 유형을 분류할 수 있다.
이 때, 상기 필드명 유사도를 추출하는 단계에서는, 상기 보안정보의 각 개별 필드에 필드명이 존재하는 경우 상기 각 개별필드의 필드명을 상기 기 정의된 사용자 정의 데이터베이스에 정의되어 있는 필드들과의 유사도를 판단하고, 상기 보안정보의 각 개별 필드에 필드명이 존재하지 않는 경우 상기 필드내용 유형과 상기 필드내용의 특성을 분석하여 상기 기 정의된 사용자 정의 데이터베이스 중 가장 유사도가 높은 필드명을 추출할 수 있다.
이 때, 상기 각 개별 필드의 내용을 변환하는 단계에서는, 절사, 패딩, 범위 조정, 치환, 분리, 결합 및 복합 중 적어도 하나의 방법을 활용하여 상기 매핑하는 단계에서 매핑된 필드에 대하여 기 정의된 필드 형태에 대응하게 상기 각 개별 필드의 내용을 변환할 수 있다.
본 발명에 따르면, 이기종 시스템에서 생성되는 다양한 형태의 보안정보를 필드 유형과 그 특성을 통해 정규화할 수 있다. 구체적으로, 본 발명에 따르면 이기종 시스템(방화벽, 침입탐지시스템, 침입차단시스템 등)에서 생성되는 다양한 정형 또는 비정형 보안정보(알람, 이벤트로그 등)의 필드 유형 분류, 필드명 추출, 필드 매핑, 필드 변환이 가능한 정규화 기술을 제공할 수 있다.
그리고, 본 발명은 정보보호시스템 제조사 및 그 시스템, 운영 주체에 따라 다양한 형태를 갖는 보안정보를 일괄 정규화함으로써 해당 보안정보를 통합, 상관, 연관 등 다양한 분석에 활용이 가능하다.
또한, 본 발명은 자동 보안정보 정규화를 통해 정규화 진행을 수동 또는 수작업으로 작성하는데 요구되는 고비용(시간, 인적자원 등) 문제를 해결 할 수 있다.
도 1은 본 발명의 일 실시예에 따른 이기종 시스템의 보안정보 정규화 장치를 설명하기 위한 블록도이다.
도 2는 본 발명의 일 실시예에 따라 정의된 보안정보의 필드내용의 유형을 나타낸 것이다.
도 3은 본 발명의 일 실시예에 따른 이기종 시스템의 보안정보 정규화 방법을 설명하기 위한 동작흐름도이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일 실시예에 따른 이기종 시스템의 보안정보 정규화 장치를 설명하기 위한 블록도이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 이기종 시스템의 보안정보 정규화 장치(100)는 보안정보 입력부(110), 필드내용 유형 분류부(120), 필드명 유사도 추출부(130), 필드 매핑부(140) 및 필드정보 변환부(150)를 포함하여 형성된다.
보안정보 입력부(110)는 적어도 하나의 보안정보 제공 시스템으로부터 보안정보를 수신받고, 기 정의된 구분자에 기초하여 상기 보안정보를 개별 필드의 단위로 분리한다. 즉, 보안정보 입력부(110)는 보안정보 제공부1(1), 보안정보 제공부2(2) 및 보안정보 제공부3(3)으로부터 보안정보를 수신받을 수 있다. 본 발명의 일 실시예에 따른 이기종 시스템의 보안정보 정규화 장치(100)는 제조사, 그 제조사가 제공하는 시스템 종류, 그 시스템의 버전 등 시스템에 종속된 특성과 시스템을 설치 후 운영하는 주체가 적용한 자체 설정, 보안 정책 또는 기타 제약사항 및 조건 등 시스템의 운영환경에 종속된 특성에 따라 달라지는 모든 형태의 보안정보를 대상으로 한다. 그리고 보안정보 제공부1(1), 보안정보 제공부2(2) 및 보안정보 제공부3(3)는 이기종의 시스템일 수 있다. 이러한, 보안정보 입력부(110)는 보안정보에 복수개의 구분자가 포함된 경우, 빈도수가 낮은 구분자를 우선적으로 기준하여 상기 보안정보의 필드를 구분하여, 상기 보안정보를 상기 개별 필드의 단위로 구분한다.
이와 같이, 보안정보 입력부(110)는 단독 또는 다수의 보안정보 제공부로부터 보안정보를 제공받아 보안정보를 구성하는 개별 필드로 구분하는 기능을 수행한다. 제공된 보안정보를 개별 필드로 구분하기 위해 보안정보에서 사용하는 구분자를 확인해야 한다. 구분자는 보안정보를 구성하는 각각의 필드가 구분될 수 있도록 사용된다. 일반적으로 보안정보의 구분자는 그 보안정보를 구성하는 각 필드의 내용에서 사용 가능한 문자를 제외하도록 정의하며 구두점은 구분자의 대표적 예이다. 본 발명에서는 보안정보에서 사용하는 구분자를 구두점 또는 사용자로부터 입력 받은 값을 통해 정의하고, 해당 구분자로 보안정보를 개별 필드로 구분한 후 각각의 개별필드가 단독 필드인지 확인한다. 만약, 구분한 필드가 단독 필드가 아닐 경우 각각의 개별필드에서 사용하는 구분자를 통해 다시 필드를 구분해야 한다. 즉, 보안정보에서 사용하는 구분자가 복수개 이상일 수 있다. 예를 들어, 보안정보의 형태가 {key1:value1},{key2:value2},{key3:value3}일 경우, 구분자는 총 2개(콜론과 콤마)이다. 이 때, 구분자 중 빈도수가 낮은 문자를 우선적으로 선택하여 필드를 1차적으로 구분할 수 있다. 예를 들어, 보안정보의 형태가 {key1:value1},{key2:value2}, {key3:value3}일 경우, 구분자 콜론보다 빈도수가 낮은 콤마가 우선시 해야 한다. 이 기준은 복수개 이상의 구분자를 사용하는 유사한 보안정보에도 동일하게 적용해야 필드를 올바르게 구분할 수 있다. 또한, 복수개 이상의 구분자를 갖는 보안정보의 경우 각 필드의 순서와 무관하게 정보 구성이 가능하므로 필드명으로 유추 가능한 Key값이 사용될 수 있다. 이 Key값은 이후 이어지는 정규화 과정 중 보안정보 필드명 유사도 추출에 활용될 수 있다.
필드내용 유형 분류부(120)는 보안정보의 각 개별 필드의 필드내용을 분석하여, 상기 각 개별 필드의 필드내용 유형을 분류한다. 이 때, 필드내용 유형은 시각, 범위, 개수, 범주(카테고리), 이름, 정보(설명), 고정키 및 주소 유형 중 적어도 하나를 포함할 수 있다. 그리고 필드내용 유형 분류부(120)는 기 정의된 사용자 정의 데이터베이스 또는 네트워크상 사전 수집된 정보를 기초로 상기 보안정보의 각 개별 필드의 필드내용을 분석할 수 있다. 또한, 필드내용 유형 분류부(120)는 보안정보의 각 개별 필드의 필드내용의 형태 또는 특성을 분석하여, 각 개별 필드의 필드내용 유형을 분류할 수 있다. 도 2는 본 발명의 일 실시예에 따라 정의된 보안정보의 필드내용의 유형을 나타낸 것이다. 도 2와 함께 참조하면, 보안정보는 보안 위배상황과 관련된 공격 발생 시각, 공격 설명, 공격 범주, 공격 관련 수치, 공격 주체 등의 정보, 또는 시스템 운영 정보 내용 등이 포함될 수 있다. 필드내용 유형 분류부(120)는 사용자 정의 데이터베이스(10) 또는 인터넷으로부터 수집된 사전 정보를 통해 보안정보 필드내용의 유형을 분류한다. 필드내용에 대한 유형의 분류는 시각, 범위, 개수(수/양), 범주(카테고리), 이름, 정보(설명), 고정키, 주소 유형이 포함될 수 있다.
첫째, 시각 유형은 날짜, 시간 정보를 포함하며 그 형태는 연, 월, 일, 시, 분, 초, 밀리초 등을 포함한 형태를 갖고 있다. 시각 유형은 시계열 특성상 점진적으로 값이 증가하는 특성을 갖고 있다.
둘째, 범위 유형은 숫자 정보를 포함하며 그 형태도 숫자이다. 범위 유형은 특정 범위의 숫자만 발견되는 필드로써 최소값과 최대값 사이의 숫자로 표현되는 특성이 있다. 일반적으로, 사전 정해진 규약(백분율, 서브넷 마스크, 공격 위험점수 등)을 준수할 경우 범위 유형의 필드에 포함될 수 있다.
셋째, 범주 유형은 숫자, 단어, 알파벳 형태로 표현된다. 범주 유형은 범주 유형은 유한한 범주를 표현하기 위해 주로 사용되므로 특정 숫자, 단어, 알파벳이 반복적으로 사용되는 특성이 있다.
넷째, 이름은 단일 단어 형태로 이뤄지며 특정 단어가 반복적으로 사용되는 특성이 있다. 특히, 동종 장비 또는 동일 장비에서 발생하는 보안정보의 경우 그 장비의 이름과 적용된 정책명 및 그룹이 유사하거나 동일하기 때문에 그 특성을 명확하게 확인할 수 있다.
다섯째, 정보(설명) 유형은 여러 개의 단어 또는 문장, 사전 정의된 형태(포맷 스트링)를 갖고 있다. 이 유형은 구체적인 설명을 위해 핵심적인 키워드를 포함하거나 부가적인 내용을 표현하기 위한 필드 내 서브 필드를 갖는 특성이 있다.
여섯째, 고정키는 단일 단어의 형태를 갖고 있으며 중복되지 않는 유일성을 갖고 있어야 하기 때문에 특수문자, 숫자, 알파벳 등을 모두 포함할 수 있고 의미가 이해하기 어렵거나 매우 다양한 종류가 등장하는 특성이 있다.
마지막으로, 주소 유형은 호스트, 서비스, 그룹과 같이 자산, 통신 등의 정보를 포함하며, IP 주소, MAC 주소, Port 주소, 서비스명, 그룹명 등의 형태를 갖고 있다. 주소 유형은 Private과 Public 영역, 내부와 외부 영역, 인가와 비인가 영역 등의 기준으로 구분할 수 있다. 또한 사전 정의된 정보를 바탕으로 부가적인 정보를 획득할 수 있다. 예를 들어, IP 주소를 통한 위치(국가) 정보, MAC 주소를 통한 가상의 주소(VLAN, Broadcast 등) 또는 실제 시스템, Port 주소를 통한 서비스 정보 등을 확인할 수 있는 특성이 있다.
보안정보의 필드내용 유형은 필드내용의 형태를 통해 판단할 수 있다. 예를 들어, 1970-01-01 또는 00:00:00의 경우 시각 유형으로 판단할 수 있고, 192.168.0.1의 경우 주소 유형으로 판단할 수 있다. 하지만, 보안정보의 필드내용 형태만으로 유형을 판단하기 어려울 경우, 그 필드내용의 특성도 함께 확인해야 한다. 예를 들어, 숫자 형태의 필드내용의 경우 다음과 같은 특성을 통해 필드내용의 유형을 판단할 수 있다. 우선, 숫자가 일정 범위 내에서 다양하게 발견되는 특성이 있을 경우 범위 유형의 필드내용으로 판단할 수 있다. 이 때, 특정 숫자만 반복적으로 발견되는 특성이 있을 경우 범주(카테고리) 유형의 필드내용으로 판단할 수 있다. 이러한 필드내용에 따른 유형과 그 유형의 특성을 통해 판단한 필드별 유형을 필드명 유사도 추출부(130)로 전달한다.
필드명 유사도 추출부(130)는 보안정보의 각 개별 필드의 필드명을 확인 후 기 정의된 사용자 정의 데이터베이스의 유사 키워드 정보를 통해 필드명 유사도를 추출한다. 그리고, 필드명 유사도 추출부(130)는 보안정보의 각 개별 필드에 필드명이 존재하는 경우 각 개별필드의 필드명을 기 정의된 사용자 정의 데이터베이스에 정의되어 있는 필드들과의 유사도를 판단하고, 보안정보의 각 개별 필드에 필드명이 존재하지 않는 경우 필드내용 유형 분류부에서 분류된 필드내용 유형과 필드내용의 특성을 분석하여 기 정의된 사용자 정의 데이터베이스 중 가장 유사도가 높은 필드명을 추출할 수 있다.
이러한 필드명 유사도 추출부(130)는 사용자 정의 데이터베이스 또는 인터넷으로부터 수집된 유사 키워드 정보를 통해 필드명 유사도를 추출한다. 유사 키워드 정보는 필드명 의미상 같은 정보로 판단할 수 있는 키워드의 집합이다. 예를 들어, 필드명의 키워드 집합은 출발지 주소 집합 {Src, Source, Src IP, Source IP}, 목적지 주소 집합 {Dst, Destination, Dst IP, Destination IP), Action 집합 {Deny, Detect, Allow, Block}, 공격명 집합 {Flood, DoS, Hijacking, Scanning} 등이 될 수 있다. 필드명 유사도는 각 보안정보 제공부로부터 수집한 보안정보에 대해 필드명이 포함된 경우 적용되며, 각 보안정보의 필드마다 유사 키워드를 매칭시켜 계산된다. 예를 들어, 제1보안정보 제공부의 보안정보 중 필드명이 Src, 제2보안정보 제공부의 보안정보 중 필드명이 Source, 제3보안정보 제공부의 보안정보 중 필드명이 Source IP인 것은 출발지 주소 집합에 모두 포함되므로 매우 높은 유사도를 갖는 필드로 간주될 수 있다. 만약, 추출은 각 보안정보 제공부(1,2,3)로부터 수집한 보안정보에 대해 필드명이 포함되지 않은 경우, 필드내용 유형 분류기의 결과 또는 보안정보의 다른 필드의 내용을 토대로 필드명을 판단할 수 있다. 예를 들어, 필드내용 유형 분류기의 결과가 범위 유형이고 그 값이 1-5 범위를 갖는 특징이 있고 공격명, 공격 설명 등을 나타내는 필드내용과 상관관계가 있을 경우 해당 필드명을 공격 심각도와 유사하다고 판단할 수 있다. 필드명 유사도 추출부(130)의 결과로써 필드명 유사도는 필드 매핑부(140)로 전달한다.
필드 매핑부(140)는 각 개별 필드의 필드내용 유형 및 필드명 유사도를 기초로 기 정의된 사용자 정의 필드 중 가장 유사도가 높은 필드를 판단하여 매핑한다. 이러한, 필드 매핑부(140)는 필드 매핑부는 필드명 유사도 추출부의 출력인 필드명 유사도 정보와 필드내용 유형 분류기의 출력인 필드내용 유형과 필드내용 유형의 특성 정보를 통해 사용자가 정의한 필드에 가장 유사한 필드를 판단하여 매핑할 수 있다.
첫째, 보안정보의 필드내용 유형, 필드명을 사용자가 정의한 필드내용 유형, 필드명과 비교하여 일치하는 필드가 있다면 해당 필드를 사용자가 정의한 필드와 가장 유사한 것으로 판단하여 매핑할 수 있다.
둘째, 필드내용 유형, 특성, 또는 필드명이 완벽히 일치하지 않을 경우 필드내용 유형, 특성, 필드명 등을 종합적으로 비교하여 가장 유사한 필드를 매핑할 수 있다. 예를 들어, 사용자가 정의한 필드 중 Attacker IP 필드명을 갖는 주소유형이 있을 경우, 보안정보 중 필드명 유사도 결과가 Source IP로 나타나고 필드내용이 주소 유형이며 외부 IP 범위 특성을 갖고 있다면 비록 필드명이 Source IP로 다르지만 필드내용 유형과 특성을 통해 Attacker IP 필드와 가장 유사한 필드로 판단하고 매칭시킬 수 있다.
셋째, 보안정보 각 필드내용의 의미를 활용하여 사용자가 정의한 필드와 가장 유사한 것으로 판단하여 매핑할 수 있다. 예를 들어, 보안정보의 필드내용이 정보(설명) 유형의 공격 설명 필드명을 갖는 필드가 있을 때, 공격 설명 필드의 내용 중 Scanning 또는 탐색과 같은 키워드가 발견될 경우 해당 공격내용의 의미를 활용하여 단일 IP 주소가 연속된 다수의 포트 주소로 연결을 요청하는 특성을 보이는 필드를 탐색하여 사용자가 정의한 필드 중 주소 유형의 Attacker IP, Attacker Port 이름을 갖는 필드와 각각 유사하다고 판단하고 매칭시킬 수 있다.
필드정보 변환부(150)는 필드 매핑부(140)에서 매핑된 필드에 대하여 기 정의된 필드 형태에 대응하게 상기 각 개별 필드의 내용을 변환한다. 그리고, 필드정보 변환부(150)는 절사, 패딩, 범위 조정, 치환, 분리, 결합 및 복합 중 적어도 하나의 방법을 활용하여 필드 매핑부에서 매핑된 필드에 대하여 기 정의된 필드 형태에 대응하게 각 개별 필드의 내용을 변환할 수 있다.
구체적으로 필드정보 변환부(150)는 매핑된 필드내용의 유형을 사용자가 정의한 필드 형태에 맞게 가공하는 기능을 제공한다. 즉, 이기종 시스템 보안정보 중 서로 다른 형태를 갖는 필드 유형을 사용자가 정의한 필드 형태에 맞게 가공하여 정보 정밀도와 정보의미 등을 일치시키는 역할을 한다. 정보 정밀도란 시각 유형에서 연월일시분초, 숫자 형태의 범위, 개수(수/양), 범주 유형에서 소수점 표기, 정보(설명) 유형의 문자열 길이가 이에 해당할 수 있다. 정보의미 일치화란 같은 범위 또는 범주 유형의 필드일 경우 공격 심각도를 숫자를 이용하면 심각도가 수치(1, 5, 10 등)로 표현되지만 텍스트를 이용하면 주의, 심각, 매우심각 등으로 표현되는 것이 그 예라 할 수 있다.
필드정보 변환부(150)에서는 필드내용의 변환을 판단하는 기준으로써 기존 필드내용의 유형과 형태가 사용자가 정의한 필드내용의 유형과 형태와 동일한지 확인하고 만약 다를 경우 그 유형 또는 형태에 따라 가공 유형이 달라질 수 있다. 예를 들어, 사용자가 정의한 개수(수/양) 유형의 필드내용은 소수점을 표기하지 않지만, 보안정보의 개수(수/양) 유형의 필드내용이 소수점 둘째자리까지 표기한다면 소수점 이하 숫자에 대한 절사 가공이 필요할 수 있다. 반대로, 사용자가 정의한 개수(수/양) 유형의 필드내용은 소수점 이하 숫자를 표기하지 않지만, 보안정보의 개수(수/양) 유형의 필드내용이 소수점 이하 숫자를 표기하지 않는다면 대한 패딩 가공이 필요할 수 있다. 보안정보의 필드내용의 유형과 형태에 따른 필드내용의 가공 유형은 다음과 같이 분류할 수 있다.
1) 절사: 내용 중 일부 삭제
2) 패딩: 내용 중 일부를 추가하지만 의미상 변화 없음
3) 조정: 수치데이터 범위 조정
4) 치환: 내용 A를 내용 B로 전체 변경
5) 분리: 내용 A를 내용 A1과 내용 A2로 분리
6) 결합: 내용 A와 내용 B를 합침
7) 복합: 복수개 이상의 가공 유형을 동시에 사용
8) 그 밖의 가공
첫째, 필드내용 중 일부를 삭제하는 절사 가공 유형이 있다. 절사는 각 필드내용의 유형에서 정보 정밀도를 낮은 정밀도로 일치시킬 때 높은 정밀도에 해당하는 내용을 제거한다. 예를 들어, 시각 유형의 필드내용의 경우 시간, 분, 초까지 표기된 hh:mm:ss 내용을 hh:mm로 일치시킬 경우 초 단위 ss를 절사하여 hh:mm가 될 수 있다. 숫자 형태를 포함한 범위, 개수, 범주 유형의 경우 소수점 이하 둘째짜리까지 표기된 ##.## 내용을 ##로 일치 시킬 경우, 소수점 아래 ##를 절사하여 ##로 가공될 수 있다.
둘째, 필드내용 중 일부를 추가하지만 의미상 변화가 없는 패딩 가공 유형이 있다. 패딩은 필드내용의 정보 정밀도를 높은 정밀도로 일치시킬 때 높은 정밀도에 해당하는 내용을 의미 변화가 없는 임의의 값으로 채운다. 예를 들어, 시각 유형의 필드내용의 경우 시간, 분까지 표기된 hh:mm를 hh:mm:ss로 일치시킬 경우 초 단위에 임의의 값(임의의 값 예: 0)을 추가하여 hh:mm:00이 될 수 있다. 숫자 형태를 포함한 범위, 개수, 범주 유형의 경우 소수점 미표기된 ## 내용을 ##.##로 일치 시킬 경우 소수점 아래 둘째자리까지 임의의 값 (임의의 값 예: 0)을 추가하여 ##.00로 가공될 수 있다.
셋째, 필드내용이 내용의 정해진 범위에 따라 변경되는 조정 가공 유형이 있다. 조정은 필드내용 형태의 특징 중 범위 특징을 지닌 범위, 범주 유형의 필드에서 적용될 수 있다. 예를 들어, 공격 심각도를 1, 2, 3 총 3단계의 수치로 표현하는 보안정보를 제공하는 시스템 A와 1, 2, 3, 4, 5 총 5단계의 수치로 표현하는 보안정보를 제공하는 시스템 B의 경우 정보 정밀도가 높은 쪽으로 변환 시 시스템 A의 1~3 범위가 1~5로 조정되어 그 필드내용은 1이 1, 2가 3, 3이 5로 조정될 수 있다.
넷째, 필드내용을 정해진 규칙에 따라 변경하는 치환 유형이 있다. 치환은 필드내용의 형태가 서로 다를 경우 사용할 수 있다. 예를 들어, 소문자로 형태인 필드내용 'tcp'를 전체 대문자 'TCP'로 변경해야 하거나 수치 형태인 필드내용 '3'을 문자열 형태인 필드내용 '심각'으로 치환하여 가공될 수 있다.
다섯째, 필드내용을 구분하여 분리하는 분리 가공 유형이 있다. 분리는 필드내용의 정보가 복합적인 내용으로 구성되었을 때 사용할 수 있다. 예를 들어, 사용자 정의 필드가 일자와 시간이 구분되어 있지만 보안정보 시각 유형의 필드내용이 일자와 시간을 같이 표현할 경우 각각 구분하여 가공될 수 있다. 또한, 사용자 정의 필드가 IP 주소와 Port 주소가 구분되어 있지만 보안정보 주소 유형의 필드내용이 IP 주소와 Port 주소가 같이 표현되어 있을 경우 각각을 분리하여 가공될 수 있다.
여섯째, 복수개 이상의 필드내용을 통합하는 결합 가공 유형이 있다. 결합은 분리와 상반되는 성격을 지닌 가공으로써 사용자 정의 필드 형태가 복합적인 내용을 개별 필드가 아닌 하나의 필드로 표현 시 사용할 수 있다. 예를 들어, 사용자 정의 필드가 일자와 시간을 같이 표현할 경우 일자와 시간이 결합하여 가공될 수 있다.
일곱째, 상기 다수의 가공 유형을 동시에 사용하는 복합 가공 유형이 있다. 예를 들어, 공격 심각도를 주의, 경계, 심각 총 3단계의 문자열로 표현하는 필드가 1, 2, 3, 4, 5 총 5단계의 수치로 표현하는 사용자 정의 필드 형태로 가공할 경우 치환 가공을 통해 정해진 규칙에 따라 문자열을 숫자로 치환하고 정밀도가 높은 쪽으로 조정 시 3단계 심각도 정보는 1에서 1, 2에서 3, 3에서 5로 가공될 수 있다.
마지막으로, 필드내용을 수정할 수 있는 그 밖에 가공 유형이 있을 수 있다.
이렇게 필드정보 변환부(150)를 통해 보안정보의 필드내용은 사용자가 정의한 형태로 변환되어 최종적으로 보안정보 저장부(20)에 저장될 수 있다.
도 3은 본 발명의 일 실시예에 따른 이기종 시스템의 보안정보 정규화 방법을 설명하기 위한 동작흐름도이다.
도 3을 참조하면, 본 발명의 일 실시예에 따른 이기종 시스템의 보안정보 정규화 방법은 먼저, 적어도 하나의 보안정보 제공 시스템으로부터 보안정보를 수신받고, 기 정의된 구분자에 기초하여 상기 보안정보를 개별 필드의 단위로 분리한다(S310). 이 때, S310 단계에서는, 보안정보에 복수개의 구분자가 포함된 경우, 빈도수가 낮은 구분자를 우선적으로 기준하여 보안정보의 필드를 구분하여, 보안정보를 개별 필드의 단위로 구분할 수 있다.
그리고, 보안정보의 각 개별 필드의 필드내용을 분석하여, 각 개별 필드의 필드내용 유형을 분류한다(S320). 이 때, 필드내용 유형은 시각, 범위, 개수, 범주(카테고리), 이름, 정보(설명), 고정키 및 주소 유형 중 적어도 하나를 포함할 수 있다. S320 단계에서는 기 정의된 사용자 정의 데이터베이스 또는 네트워크상 사전 수집된 정보를 기초로 보안정보의 각 개별 필드의 필드내용을 분석할 수 있다. 그리고 S320 단계에서는 보안정보의 각 개별 필드의 필드내용의 형태 또는 특성을 분석하여, 상기 각 개별 필드의 필드내용 유형을 분류할 수 있다.
이 후 보안정보의 각 개별 필드의 필드명을 확인 후 기 정의된 사용자 정의 데이터베이스의 유사 키워드 정보를 통해 필드명 유사도를 추출한다(S330). 그리고 S330 단계에서는 보안정보의 각 개별 필드에 필드명이 존재하는 경우 각 개별필드의 필드명을 기 정의된 사용자 정의 데이터베이스에 정의되어 있는 필드들과의 유사도를 판단하고, 보안정보의 각 개별 필드에 필드명이 존재하지 않는 경우 필드내용 유형과 필드내용의 특성을 분석하여 기 정의된 사용자 정의 데이터베이스 중 가장 유사도가 높은 필드명을 추출할 수 있다.
또한 각 개별 필드의 필드내용 유형 및 필드명 유사도를 기초로 기 정의된 사용자 정의 필드 중 가장 유사도가 높은 필드를 판단하여 매핑한다(S340).
그리고, S340 단계에서 매핑된 필드에 대하여 기 정의된 필드 형태에 대응하게 상기 각 개별 필드의 내용을 변환한다(S350). 이 때, S350 단계에서는 절사, 패딩, 범위 조정, 치환, 분리, 결합 및 복합 중 적어도 하나의 방법을 활용하여 S340 단계에서 매핑된 필드에 대하여 기 정의된 필드 형태에 대응하게 상기 각 개별 필드의 내용을 변환할 수 있다.
이상에서와 같이 본 발명에 따른 이기종 시스템의 보안정보 정규화 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
100; 이기종 시스템의 보안정보 정규화 장치
110; 보안정보 입력부
120; 필드내용 유형 분류부
130; 필드명 유사도 추출부
140; 필드 매핑부
150; 필드정보 변환부

Claims (14)

  1. 적어도 하나의 보안정보 제공 시스템으로부터 보안정보를 수신받고, 기 정의된 구분자에 기초하여 상기 보안정보를 개별 필드의 단위로 분리하는 보안정보 입력부;
    상기 보안정보의 각 개별 필드의 필드내용을 분석하여, 상기 각 개별 필드의 필드내용 유형을 분류하는 필드내용 유형 분류부;
    상기 보안정보의 각 개별 필드의 필드명을 확인 후 기 정의된 사용자 정의 데이터베이스의 유사 키워드 정보를 통해 필드명 유사도를 추출하는 필드명 유사도 추출부;
    상기 각 개별 필드의 필드내용 유형 및 상기 필드명 유사도를 기초로 기 정의된 사용자 정의 필드 중 가장 유사도가 높은 필드를 판단하여 매핑하는 필드 매핑부; 및
    상기 필드 매핑부에서 매핑된 필드에 대하여 기 정의된 필드 형태에 대응하게 상기 각 개별 필드의 내용을 변환하는 필드정보 변환부를 포함하고,
    상기 필드정보 변환부는,
    절사, 패딩, 범위 조정, 치환, 분리, 결합 및 복합 중 적어도 하나의 방법을 활용하여 상기 필드 매핑부에서 매핑된 필드에 대하여 기 정의된 필드 형태에 대응하게 상기 각 개별 필드의 내용을 변환하고,
    상기 절사, 패딩 범위 조정 중 적어도 하나를 이용하여 상기 필드 매핑부에서 매핑된 필드에 대하여 기 정의된 필드 형태에 대응하게 상기 각 개별 필드의 내용의 시각 유형 및 숫자 유형 에 관한 정보 정밀도 일치화를 수행하고
    상기 치환, 분리, 결합 및 복합 중 적어도 하나를 이용하여 상기 필드 매핑부에서 매핑된 필드에 대하여 기 정의된 필드 형태에 대응하게 상기 각 개별 필드의 내용의 숫자 유형 및 텍스트 유형의 정보의미 일치화를 수행하는 것을 특징으로 하는 이기종 시스템의 보안정보 정규화 장치.
  2. 청구항 1에 있어서,
    상기 보안정보 입력부는,
    상기 보안정보에 복수개의 구분자가 포함된 경우, 빈도수가 낮은 구분자를 우선적으로 기준하여 상기 보안정보의 필드를 구분하여, 상기 보안정보를 상기 개별 필드의 단위로 구분하는 것을 특징으로 하는 이기종 시스템의 보안정보 정규화 장치.
  3. 청구항 1에 있어서,
    상기 필드내용 유형은 시각, 범위, 개수, 범주(카테고리), 이름, 정보(설명), 고정키 및 주소 유형 중 적어도 하나를 포함하는 것을 특징으로 하는 이기종 시스템의 보안정보 정규화 장치.
  4. 청구항 1에 있어서,
    상기 필드내용 유형 분류부는,
    기 정의된 사용자 정의 데이터베이스 또는 네트워크상 사전 수집된 정보를 기초로 상기 보안정보의 각 개별 필드의 필드내용을 분석하는 것을 특징으로 하는 이기종 시스템의 보안정보 정규화 장치.
  5. 청구항 1에 있어서,
    상기 필드내용 유형 분류부는,
    상기 보안정보의 각 개별 필드의 필드내용의 형태 또는 특성을 분석하여, 상기 각 개별 필드의 필드내용 유형을 분류하는 것을 특징으로 하는 이기종 시스템의 보안정보 정규화 장치.
  6. 청구항 1에 있어서,
    상기 필드명 유사도 추출부는,
    상기 보안정보의 각 개별 필드에 필드명이 존재하는 경우 상기 각 개별필드의 필드명을 상기 기 정의된 사용자 정의 데이터베이스에 정의되어 있는 필드들과의 유사도를 판단하고, 상기 보안정보의 각 개별 필드에 필드명이 존재하지 않는 경우 상기 필드내용 유형 분류부에서 분류된 필드내용 유형과 상기 필드내용의 특성을 분석하여 상기 기 정의된 사용자 정의 데이터베이스 중 가장 유사도가 높은 필드명을 추출하는 것을 특징으로 하는 이기종 시스템의 보안정보 정규화 장치.
  7. 삭제
  8. 적어도 하나의 보안정보 제공 시스템으로부터 보안정보를 수신받고, 기 정의된 구분자에 기초하여 상기 보안정보를 개별 필드의 단위로 분리하는 단계;
    상기 보안정보의 각 개별 필드의 필드내용을 분석하여, 상기 각 개별 필드의 필드내용 유형을 분류하는 단계;
    상기 보안정보의 각 개별 필드의 필드명을 확인 후 기 정의된 사용자 정의 데이터베이스의 유사 키워드 정보를 통해 필드명 유사도를 추출하는 단계;
    상기 각 개별 필드의 필드내용 유형 및 상기 필드명 유사도를 기초로 기 정의된 사용자 정의 필드 중 가장 유사도가 높은 필드를 판단하여 매핑하는 단계; 및
    상기 매핑하는 단계에서 매핑된 필드에 대하여 기 정의된 필드 형태에 대응하게 상기 각 개별 필드의 내용을 변환하는 단계를 포함하고,
    상기 각 개별 필드의 내용을 변환하는 단계에서는,
    절사, 패딩, 범위 조정, 치환, 분리, 결합 및 복합 중 적어도 하나의 방법을 활용하여 상기 매핑하는 단계에서 매핑된 필드에 대하여 기 정의된 필드 형태에 대응하게 상기 각 개별 필드의 내용을 변환하고,
    상기 절사, 패딩 범위 조정 중 적어도 하나를 이용하여 상기 매핑하는 단계에서 매핑된 필드에 대하여 기 정의된 필드 형태에 대응하게 상기 각 개별 필드의 내용의 시각 유형 및 숫자 유형 에 관한 정보 정밀도 일치화를 수행하고
    상기 치환, 분리, 결합 및 복합 중 적어도 하나를 이용하여 상기 매핑하는 단계에서 매핑된 필드에 대하여 기 정의된 필드 형태에 대응하게 상기 각 개별 필드의 내용의 숫자 유형 및 텍스트 유형의 정보의미 일치화를 수행하는 것을 특징으로 하는 이기종 시스템의 보안정보 정규화 방법.
  9. 청구항 8에 있어서,
    상기 보안정보를 개별 필드의 단위로 분리하는 단계에서는,
    상기 보안정보에 복수개의 구분자가 포함된 경우, 빈도수가 낮은 구분자를 우선적으로 기준하여 상기 보안정보의 필드를 구분하여, 상기 보안정보를 상기 개별 필드의 단위로 구분하는 것을 특징으로 하는 이기종 시스템의 보안정보 정규화 방법.
  10. 청구항 8에 있어서,
    상기 필드내용 유형은 시각, 범위, 개수, 범주(카테고리), 이름, 정보(설명), 고정키 및 주소 유형 중 적어도 하나를 포함하는 것을 특징으로 하는 이기종 시스템의 보안정보 정규화 방법.
  11. 청구항 8에 있어서,
    상기 각 개별 필드의 필드내용 유형을 분류하는 단계에서는,
    기 정의된 사용자 정의 데이터베이스 또는 네트워크상 사전 수집된 정보를 기초로 상기 보안정보의 각 개별 필드의 필드내용을 분석하는 것을 특징으로 하는 이기종 시스템의 보안정보 정규화 방법.
  12. 청구항 8에 있어서,
    상기 각 개별 필드의 필드내용 유형을 분류하는 단계에서는,
    상기 보안정보의 각 개별 필드의 필드내용의 형태 또는 특성을 분석하여, 상기 각 개별 필드의 필드내용 유형을 분류하는 것을 특징으로 하는 이기종 시스템의 보안정보 정규화 방법.
  13. 청구항 8에 있어서,
    상기 필드명 유사도를 추출하는 단계에서는,
    상기 보안정보의 각 개별 필드에 필드명이 존재하는 경우 상기 각 개별필드의 필드명을 상기 기 정의된 사용자 정의 데이터베이스에 정의되어 있는 필드들과의 유사도를 판단하고, 상기 보안정보의 각 개별 필드에 필드명이 존재하지 않는 경우 상기 필드내용 유형과 상기 필드내용의 특성을 분석하여 상기 기 정의된 사용자 정의 데이터베이스 중 가장 유사도가 높은 필드명을 추출하는 것을 특징으로 하는 이기종 시스템의 보안정보 정규화 방법.
  14. 삭제
KR1020180158286A 2018-12-10 2018-12-10 이기종 시스템의 보안정보 정규화 장치 및 방법 KR102175950B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180158286A KR102175950B1 (ko) 2018-12-10 2018-12-10 이기종 시스템의 보안정보 정규화 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180158286A KR102175950B1 (ko) 2018-12-10 2018-12-10 이기종 시스템의 보안정보 정규화 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20200070775A KR20200070775A (ko) 2020-06-18
KR102175950B1 true KR102175950B1 (ko) 2020-11-09

Family

ID=71143113

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180158286A KR102175950B1 (ko) 2018-12-10 2018-12-10 이기종 시스템의 보안정보 정규화 장치 및 방법

Country Status (1)

Country Link
KR (1) KR102175950B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112233746B (zh) * 2020-11-05 2023-09-01 克拉玛依市中心医院 一种医疗数据自动标准化的方法
CN113569005B (zh) * 2021-06-17 2024-02-20 国家电网有限公司 一种基于数据内容的大规模数据特征智能化提取方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004537075A (ja) 2000-04-28 2004-12-09 インターネット セキュリティ システムズ インコーポレーテッド コンピュータのセキュリティ情報を管理するための方法およびシステム
JP2008197976A (ja) 2007-02-14 2008-08-28 Fujitsu Ltd 連結情報生成プログラム及び連結情報生成方法
KR101684442B1 (ko) * 2015-08-20 2016-12-08 한국과학기술정보연구원 정보분석 장치 및 방법
JP2018506808A (ja) * 2014-11-21 2018-03-08 ブルヴェクター, インコーポレーテッドBluvector, Inc. ネットワークデータ特性評価のシステムと方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120120696A (ko) * 2011-04-25 2012-11-02 에스케이텔레콤 주식회사 보안 정보를 변환하여 제공하는 보안 정보 제공 장치 및 이를 이용한 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004537075A (ja) 2000-04-28 2004-12-09 インターネット セキュリティ システムズ インコーポレーテッド コンピュータのセキュリティ情報を管理するための方法およびシステム
JP2008197976A (ja) 2007-02-14 2008-08-28 Fujitsu Ltd 連結情報生成プログラム及び連結情報生成方法
JP2018506808A (ja) * 2014-11-21 2018-03-08 ブルヴェクター, インコーポレーテッドBluvector, Inc. ネットワークデータ特性評価のシステムと方法
KR101684442B1 (ko) * 2015-08-20 2016-12-08 한국과학기술정보연구원 정보분석 장치 및 방법

Also Published As

Publication number Publication date
KR20200070775A (ko) 2020-06-18

Similar Documents

Publication Publication Date Title
KR101666177B1 (ko) 악성 도메인 클러스터 탐지 장치 및 방법
CN110233849B (zh) 网络安全态势分析的方法及系统
US9781139B2 (en) Identifying malware communications with DGA generated domains by discriminative learning
KR101538305B1 (ko) 특정 데이터 조합 보호 방법 및 장치
US20190065744A1 (en) Computer security system with malicious script document identification
US20170149830A1 (en) Apparatus and method for automatically generating detection rule
CN109639744A (zh) 一种dns隧道的检测方法及相关设备
CN107733834B (zh) 一种数据泄露防护方法及装置
US10505986B1 (en) Sensor based rules for responding to malicious activity
KR102175950B1 (ko) 이기종 시스템의 보안정보 정규화 장치 및 방법
KR102293773B1 (ko) 인공지능을 사용한 네트워크 트래픽 분석 장치 및 방법
US11544575B2 (en) Machine-learning based approach for malware sample clustering
EP3242240B1 (en) Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program
CN106713067A (zh) 一种基于dpi的敏感文件流转监控方法
WO2019228158A1 (zh) 通过文本信息检测危险信息的方法、装置、介质及设备
KR102295488B1 (ko) 위험 분석을 위한 보안요소 지수화 시스템 및 방법
CN112769823A (zh) 一种基于信息管理的安全网络审计方法及系统
KR20180013270A (ko) 효율적인 침해사고 대응을 위한 침해지표 자동 생성 방법 및 시스템
JP2017167695A (ja) 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム
KR101712462B1 (ko) Ip 위험군 탐지 시스템
CN109324985A (zh) 一种基于机器学习的自动适应场景的sql注入识别方法
CN114579636A (zh) 数据安全风险预测方法、装置、计算机设备和介质
CN114285639A (zh) 一种网站安全防护方法及装置
CN114372497A (zh) 多模态安全数据分类方法和分类系统
KR20180050163A (ko) 머신 러닝 기반의 취약점 정보를 분류하는 방법 및 장치

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant