KR20030035142A - Method for Providing Enterprise Security Management Service - Google Patents

Method for Providing Enterprise Security Management Service Download PDF

Info

Publication number
KR20030035142A
KR20030035142A KR1020010067073A KR20010067073A KR20030035142A KR 20030035142 A KR20030035142 A KR 20030035142A KR 1020010067073 A KR1020010067073 A KR 1020010067073A KR 20010067073 A KR20010067073 A KR 20010067073A KR 20030035142 A KR20030035142 A KR 20030035142A
Authority
KR
South Korea
Prior art keywords
mapping
manager
event log
console
agent
Prior art date
Application number
KR1020010067073A
Other languages
Korean (ko)
Inventor
이용균
박규형
전법훈
차수길
박현태
주정호
Original Assignee
주식회사 이글루시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 이글루시큐리티 filed Critical 주식회사 이글루시큐리티
Priority to KR1020010067073A priority Critical patent/KR20030035142A/en
Publication of KR20030035142A publication Critical patent/KR20030035142A/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Abstract

PURPOSE: A unified security management service method is provided to normalize event logs, generated by various hacking detection systems, into mapping event logs, and to notify a manager of the normalized mapping event logs. CONSTITUTION: The method comprises several steps. A collector of an agent collects event logs from hacking detection systems(41). A controller of an agent compares the collected event logs with a mapping table stored at a memory for normalizing the event logs into mapping event logs(42, 43). A manager receives the normalized mapping event logs, analyzes them, generates corresponding messages according to an analysis result, and transmits the corresponding messages to a console(44-48). A controller of the console analyzes the corresponding messages, and outputs the analysis result(49-52). If the mapping event log has a low risk, the manager outputs a simple event message as the corresponding message, but if the mapping event log has a high risk, the manager outputs an alarm event message as the corresponding message.

Description

통합보안관리 서비스 방법{Method for Providing Enterprise Security Management Service }Method for Providing Enterprise Security Management Service}

본 발명은 보안관리서비스를 제공하는 방법에 관한 것으로, 특히 네트워크 침입탐지를 관리하는 통합보안관리 시스템을 이용하여 다양한 침입탐지시스템으로부터 발생되는 이벤트 로그를 매핑 이벤트 로그로 정규화하여 관리자에게 알려주는통합보안관리서비스를 제공하는 방법에 관한 것이다.The present invention relates to a method for providing a security management service, and in particular, using the integrated security management system for managing network intrusion detection, the normalized event log generated from various intrusion detection system to the mapping event log to inform the administrator It relates to a method of providing management services.

International이라는 단어와 Network라는 단어의 합성어인 인터넷은 1969년 미국 국방성의 지원으로 미국의 4개의 대학을 연결하기 위해 구축된 알파넷(ARPANET)에서 그 근원을 찾을 수 있다. 처음에는 군사적 목적으로 도입된 것이지만 최근들어 상용화의 물결에 힘입어 전세계의 수많은 사람들이 인터넷을 이용하고 있고 이를 근거로 전자우편(e-mail), 원격 컴퓨터 연결(telnet), 파일 전송(FTP), 유즈넷 뉴스(Usenet News), 인터넷 정보 검색(Gopher), 인터넷 대화와 토론(IRC), 전자 게시판(BBS), 하이퍼텍스트 정보 열람(WWW:World Wide Web), 온라인 게임, 동화상이나 음성 데이터를 실시간으로 방송하는 서비스나 비디오 회의 등 새로운 서비스가 차례로 개발되어 이용 가능하게 되었다. 이와 같이 인터넷의 상용화가 급속하게 퍼져나감에 따라 전세계가 하나의 인터넷망에 연결되고 인터넷에 의한 현대인들의 생활의 편의도 날로 높아져만 가고 있다. 그러나 이러한 인터넷의 이면에는 현대인들의 편리 이외의 정보 누설 등과 같은 위험요소들이 도사리고 있는데 일명 해커라고 지칭되는 범죄자들에 의한 정보 파괴, 정보 유출, 불법침입에 의한 시스템의 교란 및 파괴 등이 쉽게 이루어질 수 있는 문제점이 발생하게 되었다. 이러한 해킹을 방지하기 위해서 내부자 또는 외부자에 의한 허가되지 않은 침입을 사전에 탐지하여 사용자에게 알려 주는 침입탐지시스템이 사용되고 있다.The Internet, a combination of the word International and the word Network, can be found in the ARPANET, which was established in 1969 with the support of the US Department of Defense to link four universities in the United States. It was initially introduced for military purposes, but recently, thanks to the wave of commercialization, millions of people around the world are using the Internet, based on e-mail, remote computer connections, file transfers (FTP), Usenet News, Internet Information Search (Gopher), Internet Conversation and Discussion (IRC), Bulletin Board (BBS), Hypertext Information View (WWW: World Wide Web), Online Games, Movies, or Voice Data in Real Time New services, such as broadcasting services and video conferencing, were developed and available in turn. As the commercialization of the Internet spreads rapidly, the whole world is connected to one Internet network, and the convenience of modern people's life by the Internet is increasing day by day. However, there are risk factors such as information leakage other than the convenience of modern people on the other side of the Internet, which can be easily disrupted and destroyed by criminals called hackers, information leakage, and illegal intrusion. Problems have arisen. In order to prevent such hacking, an intrusion detection system that detects and informs users in advance of unauthorized intrusion by insiders or outsiders is used.

침입탐지시스템은 네트워크 환경에서 침입 또는 의심스러운 행위를 탐지하는 시스템으로서 탐지되는 패턴에 따라 위험도를 분류하여 탐지된 결과를 사용자에게 알려준다. 그러나 이러한 침입탐지시스템은 그 제조사별로 그 종류가 다양하고,나아가 각 제조사별로 탐지 패턴의 분류 방법, 위험도 정의 기준 등이 상이하다. 따라서 동일한 침입탐지 패턴에 대하여 각 제조사별로 침입탐지시스템은 전혀 상이한 결과를 사용자에게 알려주게 된다.Intrusion detection system is a system that detects intrusion or suspicious behavior in network environment and classifies risk according to detected pattern and informs user of detected result. However, these intrusion detection systems vary in their types, and, as a result, classification methods of detection patterns and risk definition criteria are different for each manufacturer. Therefore, the intrusion detection system for each manufacturer for the same intrusion detection pattern will inform the user of completely different results.

따라서, 대규모의 전사적 보안관리를 위하여 다양한 종류의 침입탐지시스템이 함께 사용될 경우, 동일한 침입패턴에 대하여 각 침입탐지시스템은 서로 상이한 결과를 보여주며, 이러한 로그를 분석하는 작업을 통해 보안관리를 수행하게 된다. 다양한 침입탐지시스템에서 생성된 로그의 분석은 먼저 로그별로 카테고리를 나누고 이에 따른 위험도를 재정의하여 정의된 위험도와 카테고리를 일일이 수작업으로 비교하는 과정을 통해 이루어진다. 그러나 짧은 시간에 수천 내지 수만개의 이벤트 로그가 발생되는 상황에서 이러한 작업을 수작업으로 하는 것은 거의 불가능하며, 나아가 신속성이 중요한 요소인 보안관리에 있어서 이러한 문제점은 더욱 심각하다. 따라서 이러한 문제점으로 인해 실질적으로 다양한 침입탐지시스템을 사용하여 일관된 위험관리를 행하고 통합적인 보안 관리를 수행하는 것은 사실상 불가능하며, 나아가 다양한 침입탐지시스템을 사용하는 다양한 고객을 상대로 통합보안관리 서비스를 제공하는 것 또한 불가능하다.Therefore, when various types of intrusion detection systems are used together for large-scale enterprise-wide security management, each intrusion detection system shows different results for the same intrusion pattern, and the security management is performed by analyzing these logs. do. The analysis of logs generated from various intrusion detection systems is performed by manually dividing the categories by logs and redefining the risks and manually comparing the defined risks and categories. However, it is almost impossible to do this manually in a situation where thousands or tens of thousands of event logs are generated in a short time, and this problem is more serious in security management, which is an important factor of speed. Therefore, due to these problems, it is virtually impossible to perform consistent risk management and comprehensive security management using various intrusion detection systems, and furthermore, to provide integrated security management services to various customers using various intrusion detection systems. It is also impossible.

본 발명은 상기한 보안 관리의 문제점을 해결하기 위하여 안출된 것으로, 본 발명의 목적은 다양한 침입탐지시스템을 사용하는 다양한 고객을 상대로 통합적인보안관리 서비스를 제공하는데 있다.The present invention has been made to solve the above problems of security management, an object of the present invention is to provide an integrated security management service for a variety of customers using a variety of intrusion detection system.

도1은 본 발명에 따른 통합보안관리서비스 방법을 구현하는 시스템의 개략도.1 is a schematic diagram of a system implementing the integrated security management service method according to the present invention.

도2는 본 발명에 따른 통합보안관리서비스 방법을 구현하는 시스템의 상세 블럭도.Figure 2 is a detailed block diagram of a system implementing the integrated security management service method according to the present invention.

도3는 본 발명에 따른 통합보안관리서비스 방법을 구현하는 통합보안관리 시스템에 탑재된 매핑테이블의 구조체 구조를 도시하는 도면.3 is a diagram showing the structure of a mapping table mounted in an integrated security management system implementing the integrated security management service method according to the present invention;

도4는 본 발명에 따른 통합보안관리서비스 방법을 도시하는 흐름도.4 is a flowchart showing a method for integrated security management service according to the present invention;

도5는 새로운 탐지유형을 추가하고 기존의 탐지유형을 변경하는 것을 특징으로 하는 본 발명에 따른 통합보안관리서비 방법을 도시하는 흐름도.Figure 5 is a flow chart illustrating a method of integrated security management services according to the present invention characterized by adding a new detection type and changing the existing detection type.

상기 본 발명의 목적을 달성하기 위하여 본 발명은 다음과 같은 구성을 가진 통합보안관리시스템을 사용한다.In order to achieve the object of the present invention, the present invention uses an integrated security management system having the following configuration.

본 발명의 서비스 방법을 구현하기 위한 통합보안관리시스템은 침입탐지시스템들로부터 상용 이벤트 로그를 수집하는 수집부와, 침입탐지시스템의 침입탐지 유형과 위험도를 재분류한 매핑테이블을 탑재한 저장부와, 상기 수집된 상용 이벤트 로그와 상기 저장부에 탑재된 매핑테이블을 비교하여 상기 상용 이벤트 로그를 매핑 이벤트 로그로 정규화하는 제어부를 포함하는 에이젼트와; 상기 에이젼트에 의해 정규화된 매핑 이벤트 로그를 전송받아 분석하고 분석결과에 따라 대응 메시지를 발생시키는 제어부를 포함하는 매니저와; 상기 매니저로부터 수신한 대응 메시지를 분석하는 제어부와, 상기 제어부에 의해 분석된 대응메시지를 표시하는 출력부와, 상기 에이전트의 저장부에 탑재된 매핑테이블의 탐지유형을 추가 및/또는 변경을 위한 입력부를 포함하여 사용자 인터페이스를 수행하는 콘솔로 구성된다.The integrated security management system for implementing the service method of the present invention includes a storage unit for collecting commercial event logs from intrusion detection systems, a storage unit equipped with a mapping table reclassifying the intrusion detection type and the risk of the intrusion detection system; An agent including a control unit for comparing the collected commercial event log with a mapping table mounted in the storage unit and normalizing the commercial event log to a mapping event log; A manager including a control unit receiving and analyzing a mapping event log normalized by the agent and generating a corresponding message according to an analysis result; Input for adding and / or changing a control unit for analyzing the corresponding message received from the manager, an output unit for displaying the corresponding message analyzed by the control unit, and a detection type of the mapping table mounted in the storage unit of the agent. It consists of a console that performs a user interface, including a section.

상기 통합보안관리시스템은 상기 매니저의 제어부가 상기 매핑 이벤트 로그를 분석하여 위험도가 낮다면 상기 대응 메시지로 이벤트 메시지를 발생시키고 위험도가 높다면 상기 대응 메시지로 경보 메시지를 발생시킬 수 있다.The integrated security management system may analyze the mapping event log by the controller of the manager to generate an event message with the corresponding message if the risk is low and generate an alarm message with the corresponding message if the risk is high.

또한 상기 통합보안관리시스템은 상기 에이전트의 저장부에 탑재된 매핑테이블의 탐지유형 추가 및/또는 변경이 상기 콘솔의 입력부에 의해 입력된 탐지유형의 추가 및/또는 변경 신호를 상기 에이전트 가 수신하여 저장부의 매핑테이블에 탐지유형을 추가 및/또는 변경함으로서 이루질 수 있다.In addition, the integrated security management system stores and receives the addition and / or change signal of the detection type of the detection type addition and / or change of the detection type of the mapping table mounted on the storage unit of the agent received by the agent This can be accomplished by adding and / or changing the detection type in the negative mapping table.

본 발명에 따른 통합보안관리서비스 방법은 에이전트와 매니저와 콘솔로 이루어진 통합보안관리시스템에서 통합보안관리 서비스를 제공하는 방법에 있어서, 상기 에이전트의 수집부가 침입탐지시스템들로부터 상용 이벤트 로그를 수집하는 제1단계와, 상기 에이전트의 제어부가 상기 수집된 상용 이벤트 로그와 상기 저장부에 탑재된 매핑테이블을 비교하여 상기 상용 이벤트 로그를 매핑 이벤트 로그로 정규화하는 제2단계와, 상기 매니저가 상기 에이젼트에 의해 형성된 매핑 이벤트 로그를 전송받아 분석하고 분석결과에 따라 대응 메시지를 생성하여 상기 콘솔로 전송하는 제3단계와, 상기 매니저로부터 수신한 대응 메시지를 상기 콘솔의 제어부가 분석하고 상기 제어부에 의해 분석된 대응메시지를 상기 콘솔의 출력부로 출력하는 제4단계를 포함한다.The integrated security management service method according to the present invention is a method for providing an integrated security management service in an integrated security management system comprising an agent, a manager, and a console, wherein the collection unit of the agent collects a commercial event log from intrusion detection systems. In step 1, the control unit of the agent compares the collected commercial event log and the mapping table mounted in the storage unit to normalize the commercial event log to the mapping event log, and the manager by the agent A third step of receiving and analyzing the formed mapping event log and generating a corresponding message according to the analysis result and transmitting the generated message to the console; and analyzing the corresponding message received from the manager by the controller of the console and analyzing the corresponding message. A fourth step of outputting a message to the output of the console It should.

또 다른 본 발명에 따른 통합보안관리서비스 방법의 상기 제3단계는 상기 매니저의 제어부가 상기 매핑 이벤트 로그를 분석하여 위험도가 낮다면 상기 대응 메시지로 단순 이벤트 메시지를 발생시키고 위험도가 높다면 상기 대응 메시지로 경보 메시지를 발생시키는 것을 특징으로 한다.In the third step of the integrated security management service method according to the present invention, if the risk is low by the controller of the manager analyzing the mapping event log, a simple event message is generated as the corresponding message if the risk is low, and the corresponding message if the risk is high. It is characterized by generating an alarm message.

또 다른 본 발명에 따른 통합보안관리서비스 방법은 상기 에이전트의 저장부에 탑재된 매핑테이블의 탐지유형 추가 및/또는 변경을 위하여, 상기 콘솔의 입력부를 통해 탐지유형의 추가 및/또는 변경 내용을 입력하는 제5단계와, 상기 탐지유형의 추가 및/또는 변경 내용을 상기 콘솔로부터 상기 매니저를 거쳐 상기 에이전트의 저장부에 탑재하는 제6단계를 추가로 포함할 수 있다.In another integrated security management service method according to the present invention, in order to add and / or change the detection type of the mapping table mounted in the storage unit of the agent, input of the detection type is added and / or changed through the input unit of the console. And a sixth step of loading the addition and / or change of the detection type from the console to the storage unit of the agent via the manager.

이하, 본 발명의 실시예를 첨부 도면을 참조하여 먼저 본 발명의 통합보안관리서비스 방법을 구현하게하는 시스템을 설명하고 이어서 그 시스템에 의하여 구현되는 본 발명의 서비스 방법을 상세하게 설명한다.Hereinafter, with reference to the accompanying drawings, an embodiment of the present invention will first be described a system for implementing the integrated security management service method of the present invention and then in detail the service method of the present invention implemented by the system.

도1은 본 발명의 통합보안관리서비스 방법을 구현하는 통합보안관리 시스템을 구성하는 에이전트, 매니저와 콘솔간의 연동관계를 도시하는 개략도이다. 도1에 도시된 바에 따르면, 상기 시스템은 다양한 침입탐지시스템(1,2,3)으로부터 침입탐지 이벤트 로그를 수집하는 에이전트(10)와 상기 에이전트(10)로부터 이벤트 로그를 전송받아 분석하는 매니저(20)와 상기 매니저로부터 전송받은 분석결과를 출력함으로서 사용자 인터페이스를 구현하는 콘솔(30)로 구성된다.1 is a schematic diagram illustrating an interworking relationship between an agent, a manager, and a console constituting an integrated security management system implementing the integrated security management service method of the present invention. As shown in FIG. 1, the system includes an agent 10 collecting intrusion detection event logs from various intrusion detection systems 1, 2, and 3 and a manager receiving and analyzing event logs from the agent 10 ( 20) and a console 30 for implementing a user interface by outputting the analysis result received from the manager.

도2는 본 발명에 따른 통합보안관리서비스 방법을 구현하는 시스템의 상세 블럭도이다. 도2에 도시된 바에 의하면, 상기 시스템의 에이전트(10)는 로그 수집부(11)와 저장부(12)와 제어부(13)를 포함한다.2 is a detailed block diagram of a system implementing the integrated security management service method according to the present invention. As shown in FIG. 2, the agent 10 of the system includes a log collector 11, a storage 12, and a controller 13.

상기 로그 수집부(11)는 다양한 침입탐지시스템(1,2,3)에 의해 탐지된 패턴을 네트워크 관리 프로토콜인 SNMP Trap을 이용해 전달받아서 각종 침입탐지 이벤트 로그를 수집한다(41).The log collecting unit 11 collects various intrusion detection event logs by receiving patterns detected by various intrusion detection systems 1, 2 and 3 using SNMP Trap which is a network management protocol (41).

상기 저장부(12)는 다양한 침입탐지시스템의 탐지 유형을 정형화된 유형으로 재분류한 구조체로 구성된 매핑테이블을 탑재하고 있다. 상기 매핑테이블을 구성하는 구조체는 도3에 도시된 바와 같이 대분류명(70)와 대분류에 대한 설명(71), 중분류(72)와 중분류에 대한 설명(73), 상용 침입탐지 시스템명(74)과 위험도 및 침입탐지 유형명(75)으로 구성되며, 이것은 본 발명의 기술적 사상을 구현하기 위한 단순한 실시예 중 하나이며 언제든지 그 구조의 변경이 가능하다. 매핑테이블에 탑재된 구조체를 규정하는 대분류,중분류 분류 기준과 이에 대한 설명은 표1 및 표2에 상술되어 있다. 이와 같이 대분류는 4가지 즉 '정보수집공격', '침입공격', '서비스거부 공격'과 '기타'로 분류되고, 중분류는 대분류명 '정보수집공격'에 대하여 '공격적 탐침'과 '의심스러운 행위', 대분류명 '침입공격'에 대하여 '백도어'와 '버퍼오버플로우'와 'IP스쿠핑'와 '프로토콜 분석시도'와 '인가되지 않은 접근시도', 대분류명 '서비스 공격'에 대하여 'DOS', 대분류명 '기타'에 대하여 '어플리케이션'과 '잘못된 사용'과 'web 정보'와 '기타 정보'로 분류된다. 물론 이러한 분류기준은 구조체의 일 예일 뿐이며 언제든지 변경가능하거나 추가하는 것이 가능하다.The storage unit 12 includes a mapping table composed of structures reclassifying the detection types of various intrusion detection systems into a standardized type. As shown in FIG. 3, the structure constituting the mapping table includes a major classification name 70, a description of the major classification (71), a middle classification (72), a description of the intermediate classification (73), and a commercial intrusion detection system name (74). And the risk and intrusion detection type name 75, which is one of the simple embodiments for implementing the technical idea of the present invention and its structure can be changed at any time. The classification criteria for classifying and classifying the structures mounted on the mapping table and their descriptions are detailed in Tables 1 and 2. As such, the major categories are classified into four categories: 'information collecting attack', 'intrusion attack', 'service denial attack' and 'other'. The middle category is 'aggressive probe' and 'suspicious' 'Door', 'Buffer Overflow', 'IP Scoping', 'Protocol Analysis Attempt', 'Unauthorized Access Attempt', and 'Category Attack' for Major Category 'Intrusion Attack' DOS, and the other classifications 'other' are classified into 'application' and 'misuse', 'web information' and 'other information'. Of course, these classifications are just examples of structures and can be changed or added at any time.

상기 제어부(13)는 상기 로그 수집부로부터 수집된 각종 상용 이벤트 로그와 상기 저장부에 탑재된 매핑테이블을 비교하여(42) 상기 상용 이벤트 로그를 매핑 이벤트 로그를 형성한다(43). 상기 매핑 이벤트 로그는 상기 상용 이벤트 로그 내용에 상기 대분류명 및 중분류명과 이에 관한 설명 내용들 추가함으로서 형성된다.The control unit 13 compares the various commercial event logs collected from the log collection unit with the mapping table mounted in the storage unit 42 to form the mapping event log with the commercial event log 43. The mapping event log is formed by adding the major classification name and the middle classification name and descriptions thereof to the commercial event log contents.

<표1:대분류 분류기준>Table 1: Major Classification Criteria

대분류 명Major Category 설명Explanation 정보수집공격Information collection attack Hacking이 이루어지기 전 단계로 Network 또는 System의 취약점을 수집하는 공격이다. 이 공격을 통하여 System의 OS나 열려진 Port별로 사용하는 Application의 Version을 알 수 있으며 이는 해킹으로 연결될 수 도 있는 공격유형이다.It is an attack that collects network or system vulnerabilities before hacking is performed. Through this attack, you can see the version of the application used by the OS of the system or open ports. This is the type of attack that can lead to hacking. 침입공격Intrusion attack 실제로 공격이 진행중인 공격유형이다. 이러한 유형에는 백도어와 같이 시스템 내부의 정보를 유출또는 불법적인 동작이 이루어지는 경우와 인가되지 않은 접근을 시도하는 경우, 포로토콜을 해석하여 메일이나 사용자 아이디/패스워드를 보고자 시도하는 경우, 버퍼오버플로우의 취약점을 이용하여 침입을 시도하는 경우 등 즉시 조치를 취해야 하는 공격 유형이다.In fact, the type of attack is underway. These types include buffer overflows when leaking or illegal operation of information inside the system such as backdoors, attempting to gain unauthorized access, attempting to interpret the protocol to view mail or user IDs / passwords, and so on. This type of attack requires immediate action, such as attempting an intrusion using a vulnerability. 서비스거부공격Denial of Service Attack 서비스 거부 공격은 특정 서버의 기능을 정지시킬 목적으로 엄청난 양의 네트워크 트래픽을 유발시키는 공격 유형이며, 내부의 정보가 유출되지는 않으나 기능의 장애로 인하여 업무에 치명적인 피해를 입을 수 있다.A denial of service attack is a type of attack that generates a huge amount of network traffic for the purpose of shutting down a particular server. It does not leak internal information, but it can be fatal to business due to a malfunction. 기타Etc Hacking의 패턴은 아니지만 주의가 요망되는 또는 관리적 통계에 필요한 분류 유형이며, 어플리케이션 (예를 들어 ICQ, IRC 등)에서 사용하는 경우와 업무와 관련없는 유해 사이트 접속 통계에 필요한 패턴 및 WEB 사용에 관련된 내용을 포함한다.Although not a pattern of hacking, this is a classification type that requires attention or is necessary for administrative statistics, and is used for applications (e.g. ICQ, IRC, etc.) It includes.

<표2: 중분류 분류 기준>Table 2: Criteria for Classification

대분류Main Category 중분류Category 설명Explanation 정보수집공격Information collection attack 공격전 탐침Aggression probe 인가받지 않은 접근(공격)을 시도하기 위한 사전 정보를 수집하기 위한 공격유형이며, 사탄을 이용한 스캔이나 포트, IP 스캔 등이 이 유형에 속한다.It is a type of attack that collects proactive information for attempting unauthorized access (attack), and this type includes scans using Satan, ports, and IP scans. 의심스러운행위Suspicious behavior 일반적으로 공격전 탐침 이후에 이루어지는 행위로 공격전 탐침보다는 좀 더 주의가 요망되는 단계이며, 열려진 포트 등을 이전 단계에서 확인하고 그 포트를 통한 더욱 세밀한 정보를 얻으려는 시도가 이루어진다.In general, the action is performed after the pre-attack probe, which requires more attention than the pre-attack probe, and an attempt is made to check open ports at the previous stage and to obtain more detailed information through the port. 침입공격Intrusion attack 백도어Backdoor 바이러스와 유사한 형태로 시스템 내부에 존재하여 외부로 각종 정보를 유출하는 것 부터 시스템의 통제를 외부에서 불법적으로 장악할 수 있는 것 까지 다양한 종류가 있고, 외부와 연결되는 통신 Port를 감시하여 그 Port를 사용하는 백도어를 삭제하여야 한다.It exists in the form of a virus, and there are various types from leaking various information to the outside to be able to illegally take control of the system from outside and monitor the communication port connected to the outside. The backdoor used must be deleted. 버퍼오버플로우Buffer overflow 시스템 및 응용프로그램 내부 코드에서 사용하는 버퍼가 오버플로우 될때 발생하는 취약점을 이용한 공격이며, 모든 프로그램이 작성될때 이와같은 위험요소를 고려하여 구현되어야 하나 그렇지 못한 경우에 주요 공격대상이 될 수 있다. 시스템 프로그램의 경우 알려진 취약점을 보완한 패치 프로그램을 설치하여 이에 대비하여야 한다.It is an attack that exploits a vulnerability that occurs when the buffer used by the system and application internal code overflows, and it must be implemented considering such risks when all programs are written, but it can be a major target if it does not. In the case of system programs, a patch program that fixes known vulnerabilities should be installed. IP 스푸핑IP spoofing IP Address를 기반으로 접근제어를 하는 방화벽을 속이기 위한 공격유형이며, 해킹을 시도하는 컴퓨터의 IP Address를 접근이 가능한 것으로 위장하여 침입하는 것으로 방화벽의 수동적인 보호방식을 이용한 공격이다. 사후에 로그를 분석하더라도 엉뚱한 결과로 분석될 수 있다.It is an attack type to deceive a firewall that controls access based on an IP address. It is an attack that uses the passive protection method of a firewall to infiltrate the IP address of a computer attempting hacking as accessible. Even after analyzing the log, it may be misleading. 프로토콜분석시도Protocol Analysis Attempt 네트워크 패킷을 가로채어 프로토콜을 분석하기 위한 시도이며, 각 패킷이 암호화되어 있지 않을 경우 사용자 아이디와 패스워드와 같은 중요한 정보가 노출될 수 있고, 주고 받는 메일의 내용이 외부로 유출될 수도 있는 공격 유형이다.It is an attempt to analyze a protocol by intercepting a network packet, and if each packet is not encrypted, it is a type of attack that may expose sensitive information such as a user ID and a password, and leak the contents of an exchanged mail. . 인가되지 않은접근시도Unauthorized access attempt 인가받지 않고 내부 네트워크 또는 시스템에 침입을 시도하거나 내부의 정보가 외부로 유출될 수도 있는 심각한 공격 유형이며, 이경우 즉시 조치가 이루어져야 피해를 최소화 할 수 있다.It is a serious type of attack that attempts to intrude into the internal network or system without authorization or the information inside can be leaked to the outside. In this case, immediate action must be taken to minimize the damage. 서비스거부공격Denial of Service Attack DOSDOS 서비스 거부 공격은 서버의 기능을 정지시킬 목적으로 엄청난 양의 네트워크 트래픽을 유발시키는 공격 유형이며, 곳에서 공격하거나 분산된 여러 곳에서 동시에 공격하는 패턴이 있다.A denial of service attack is a type of attack that generates a huge amount of network traffic for the purpose of shutting down a server. There are patterns of attacks from one location or from several distributed locations simultaneously. 기타Etc 어플리케이션application 사용되는 어플리케이션 패턴에 대한 정보이며, 이러한 어플리케이션에 대해 알려진 해킹공격에 따라 취약할 수도 있다. 특히 메신저 프로그램에 대한 경우는 주의가 요망된다.Information about the application patterns used, and may be vulnerable to known hacking attacks against these applications. In particular, attention should be paid to the messenger program. 잘못된 사용Misuse 업무와 무관하게 접속되는 잘못된 사용에 대한 정보를 탐지한 경우 로서, 내부 관리의 목적상 필요할 수도 있지만 해킹과는 무관한 정보들이며. 이러한 유형으로는 음란내용, 도박, 스포츠, 증권 등에 관련된 내용들이다.Detects information about misuse that is connected regardless of work, and may be necessary for internal management purposes but is not related to hacking. These types include pornography, gambling, sports, and securities. Web 정보Web information 외부에서 내부의 Web서버로 접속하여 사용되는 정보들에 대한 유형이며, 이중에는 Web Server의 종류와 버젼에 따라 주의가 요망되는 경우도 있다.This is a type of information used to connect to internal web server from outside, and some of them may require attention depending on the type and version of web server. 기타정보Other information 공격의 패턴으로 분류할 수는 없지만 침입탐지에서 감지된 기타 여러가지의 정보들을 나타낸다.Although it cannot be classified as an attack pattern, it shows various other information detected by intrusion detection.

또한 도2에 도시된 바에 따르면, 상기 매니저(20)는 상기 에이젼트에 의해 형성된 매핑 이벤트 로그를 전송받아 분석하고 분석결과에 따라 대응 메시지를 발생시키며 접속부(21)와 제어부(23)을 포함한다.In addition, as shown in FIG. 2, the manager 20 receives and analyzes the mapping event log generated by the agent, generates a corresponding message according to the analysis result, and includes a connection unit 21 and a control unit 23.

상기 접속부(21)는 상기 에이전트(10)와 연동되어 매핑 이벤트 로그를 수신하며, 상기 제어부(23)는 상기 접속부(21)에서 수신한 매핑 이벤트 로그의 위험도를 판단하여 높은 위험도를 가진 매핑 이벤트 로그에 대해서는 매핑 이벤트 로그에 경보메시지를 추가하며 대응 메시지를 생성하고 위험도가 낮은 매핑 이벤트 로그에 대해서는 매핑 이벤트 로그만으로 구성된 대응 메시지를 생성하여 상기 콘솔(30)로 전송한다.The connection unit 21 interworks with the agent 10 to receive a mapping event log, and the control unit 23 determines a risk of the mapping event log received from the connection unit 21, and has a mapping event log having a high risk. An alarm message is added to the mapping event log, and a corresponding message is generated. For the mapping event log having a low risk, a corresponding message consisting of only the mapping event log is generated and transmitted to the console 30.

도2에 도시된 바와 같이 상기 매니저(20)는 수신한 매핑 이벤트 로그를 저장하기 위하여 저장부(22)를 추가로 가질 수도 있다.As shown in FIG. 2, the manager 20 may further have a storage 22 to store the received mapping event log.

도2에 도시된 바에 의하면, 상기 콘솔(30)은 상기 매니저(20)로부터 수신한 대응 메시지를 분석하는 제어부(33)와, 상기 제어부(33)에 의해 분석된 대응메시지를 표시하는 출력부(33)와, 상기 에이전트(10)의 저장부(12)에 탑재된 매핑테이블의 탐지유형을 추가 및/또는 변경을 위한 입력부(34)를 포함하여 사용자 인터페이스를 수행한다.As shown in FIG. 2, the console 30 includes a control unit 33 for analyzing a corresponding message received from the manager 20 and an output unit for displaying a corresponding message analyzed by the control unit 33 ( 33) and an input unit 34 for adding and / or changing a detection type of the mapping table mounted in the storage unit 12 of the agent 10 to perform a user interface.

이하에서는 도3 내지 5를 참조하여, 매핑테이블를 구성하는 표3과 같은 구조체의 일례를 설정하고 본 발명에 따른 통합보안관리 서비스 방법을 설명한다.3 to 5, an example of the structure shown in Table 3 constituting the mapping table is set and the integrated security management service method according to the present invention will be described.

대분류: 정보수집공격, information gathering대분류 설명:해킹이 이루어지기 전 단계로 네트워크 또는 시스템의 취약점을 수집하는 공격이며, 이 공격을 통해 시스템의 OS나 Port 별로 사용하는application의 버젼을 알 수 있으며 이는 해킹으로 연결될 수도 있는공격유형이다.중분류: 공격전 탐침, pre-attack probes중분류 설명:인가받지 않은 접근(공격0을 시도하기 위한 사전 정보를 수집하기위한 공격유형이며, 사탄을 이용한 스캔이나 포트, ip 스캔 등이이 유형에 속한다.상용 침입탐지 시스템: Product=RealSecure3:Satan3:Port_Scan:Product=Dragon3:TCP-SCAN3:UDP-SCAN:Major classification: Information gathering attack, information gathering Description: An attack that collects vulnerabilities of a network or system before the hacking is performed. Through this attack, the version of the application used by the OS or port of the system can be known. Category: pre-attack probes, pre-attack probes Description: Type of attack to collect unauthorized information for attempting unauthorized access (scan, port, ip scan) Etc. Commercial Intrusion Detection System: Product = RealSecure3: Satan3: Port_Scan : Product = Dragon3: TCP-SCAN3: UDP-SCAN :

<표3 구조체의 일예>Table 3 Example of Structure

상기 에이전트(10)의 저장부(12)에는 표3과 같은 구조체로 구성된 매핑테이블이 적재되어 있다. 사탄(네트워크에 소속된 컴퓨터가 소프트웨어로 네트워크에 소속된 컴퓨터가 아닌 외부라인을 통해 해커와 똑같은 방식으로 시스템에 침입, 보안상의 약점을 찾아낼 수는 소프트웨어)을 이용한 스캔과 같은 침입시도 행위에 대하여 상품명 RealSecure라는 침입탐지시스템에서는 위험도가 3인 침입탐지 유형 Satan, 침입탐지 유형 Port_Scan, 상품명 Dragon이라는 침입탐지시스템에서는 위험도가 3인 침입탐지 유형 TCP-SCAN, 침입탐지 유형 UDP-SCAN로 각각 상이하게 규정하고 있다. 그러나 상기 구조체는 상기 침입탐지 유형을 모두 " 대분류명: 정보수집공격(70), 중분류명: 공격전 탐침(72)"으로 재분류하면서 "대분류명과 중분류명에 대한 설명(71,73)"을 추가하고 있기 때문에, 사용자는 침입탐지시스템의 종류와 무관하게 보안관리를 용이하게 수행할 수 있다.The storage unit 12 of the agent 10 is loaded with a mapping table composed of the structures shown in Table 3. For intrusion attempts such as scans using Satan (software that allows computers on the network to be intruded into the system in the same way as hackers through software and not on computers on the network). In the intrusion detection system named RealSecure, the intrusion detection type Satan has three risks, the intrusion detection type Port_Scan, and the intrusion detection system named Dragon, the intrusion detection type TCP-SCAN and the intrusion detection type UDP-SCAN. Doing. However, the structure reclassifies all of the intrusion detection types into "Category name: information gathering attack 70, and medium class name: pre-attack probe 72", and adds "Category name and description of subcategory name (71, 73)" Therefore, the user can easily perform security management regardless of the type of intrusion detection system.

따라서, 해커에 의한 네트워크 스캔시 RealSecure라는 침입탐지시스템은 침입 시도를 탐지하여 침입탐지 유형 Satan, Port_Scan에 대한 상용 이벤트 로그를 발생시키고, Dragon라는 침입탐지시스템은 침입탐지 유형 TCP-SCAN, UDP-SCAN에 대한 상용 이벤트 로그를 발생시킨다.Therefore, during the network scan by hacker, intrusion detection system called RealSecure detects intrusion attempt and generates commercial event log for intrusion detection type Satan, Port_Scan, and Dragon intrusion detection system TCP-SCAN, UDP-SCAN. Generate a commercial event log for.

그 후 상기 에이전트(10)는 로그 수집부(11)가 상기 상용 이벤트 로그를 각각 수집하여 제1단계를 수행하고(41), 상기 제어부(13)가 상기 저장부에 저장된 매핑테이블과 상기 이벤트 로그를 비교하여(42) 매핑테이블의 상기 표3의 구조체를 기초로 매핑 이벤트 로그를 생성함으로서(43) 이벤트 로그 수집 및 매핑 이벤트 로그 생성 작업을 수행하고 상기 매니저로 매핑 이벤트 로그를 전송하여(44) 제2단계를 수행한다. 이 때 상기 매핑 이벤트 로그는 상기 구조체의 내용을 포함하고 있기 때문에 상기 상용 이벤트 로그에 대한 내용 뿐만 아니라 표3의 구조체와 같은 대분류와 중분류에 대한 내용들(대분류명 및 중분류명, 대분류 및 중분류에 대한 설명)을 포함한다Thereafter, the agent 10 collects the commercial event log by the log collecting unit 11 and performs the first step (41), and the control unit 13 stores the mapping table and the event log stored in the storage unit. By comparing (42) and generating a mapping event log based on the structure of Table 3 of the mapping table (43), performing an event log collection and mapping event log generation operation and transmitting a mapping event log to the manager (44). Perform the second step. In this case, since the mapping event log includes the contents of the structure, the contents of the general and middle classifications as well as the contents of the commercial event log as well as the structures of Table 3 (the major and middle classification names, the major and middle classifications) Includes)

앞서 본 바와 같이, 상기 에이전트(10)에 의해 매핑 이벤트 로그가 발생되면 상기 매니저(20)는 상기 매핑 이벤트 로그를 전송받아(45) 위험도를 판단하며(46), 위험도가 높으면 매핑 이벤트 로그에 경보 메시지를 추가하여(47) 대응 메시지를 생성하고(48) 위험도가 낮다면 경보 메시지를 추가하지 않고 매핑 이벤트 로그만으로 대응 메시지를 생성하여 콘솔(30)로 전송하여(48, 49) 제3단계를 수행한다. 여기서 대응 메시지는 사용자가 상기 콘솔(30)을 통해 전달될 내용을 담고 있는 파일의 형태로 존재한다.As described above, when the mapping event log is generated by the agent 10, the manager 20 receives the mapping event log (45) to determine the risk (46) and alerts the mapping event log if the risk is high. If the message is added (47) to generate a response message (48) and the risk is low, the response message is generated using only the mapping event log without transmitting an alarm message and transmitted to the console 30 (48 and 49). Perform. In this case, the corresponding message exists in the form of a file containing contents to be transmitted by the user through the console 30.

그리고 상기 콘솔(30)은 그 제어부(33)가 상기 매니저(20)로부터 대응 메시지를 수신하여 경보 메시지가 첨부된 메시지인지 여부를 판단한 후 출력부(35)에 경보와 함께(51) 또는 경보 없이 대응메시지를 출력시켜(52) 제4단계를 수행한다.The console 30 receives the corresponding message from the manager 20 to determine whether the alarm message is an attached message, and then outputs the alarm to the output unit 35 with or without an alarm 51. The corresponding message is output (52) to perform the fourth step.

또한 본 발명의 다른 특징은 상기 매핑 테이블의 구조체를 추가하거나 변경할 수 있는 제5단계를 추가로 포함할 수 있다는 것이다. 도5에 도시된 바에 의하면, 상기 제5단계는 사용자가 상기 콘솔(30)의 입력부(34)를 이용해 탐지유형의 추가/변경 사항을 입력하면(61) 상기 콘솔의 제어부(33)가 상기 추가/변경 사항을 메니저(20)로 전송하고(62), 상기 매니저(20)가 콘솔로부터 수신한 추가/변경 사항을 상기 에이전트(10)로 전송하며, 상기 에이전트(10)가 그 저장부(12)에 추가/변경 사항을 저장함으로써 수행된다(64). 또한 상기 매니저(20)가 저장부를 구비하고 있어 그 저장부에 추가/변경 사항을 저장할 필요가 있다면 동일한 방식으로 언제든지 추가/변경이 가능하다.In addition, another feature of the present invention is that it may further include a fifth step of adding or changing the structure of the mapping table. As shown in FIG. 5, in the fifth step, when the user inputs an addition / change of the detection type using the input unit 34 of the console 30 (61), the control unit 33 of the console adds the change. Transmits / changes to the manager 20 (62), adds / changes received by the manager 20 from the console to the agent 10, and the agent 10 stores the storage 12 64 by adding / changing the changes. In addition, if the manager 20 has a storage unit and needs to store additions / changes in the storage unit, the manager 20 may add / change the same at any time.

상술한 실시예는 본 발명의 일예일 뿐이며, 본 발명의 기술적 사상을 변경하지 않는 범위내에서 다양한 변경이 가능하다.The above-described embodiments are merely examples of the present invention, and various modifications may be made without departing from the spirit of the present invention.

상기 본 발명의 구성에 따라 본 발명은 다음과 같은 효과를 도모할 수 있다.According to the configuration of the present invention, the present invention can achieve the following effects.

본 발명은 다양한 침입탐지시스템의 침입탐지 유형을 재분류한 구조체로 구성된 매핑테이블을 이용하여 매핑과정을 수행하기 때문에 다양한 침입탐지 시스템을 사용하더라도 일관되고 신속한 보안관리가 가능한 효과를 도모할 수 있다.According to the present invention, the mapping process is performed using a mapping table composed of structures reclassifying the intrusion detection types of various intrusion detection systems. Thus, even if various intrusion detection systems are used, a consistent and rapid security management can be achieved.

본 발명은 새로운 탐지유형의 추가/변경이 가능하기 때문에 새로운 탐지유형에 대한 신속한 보안관리를 가능하게 하는 효과를 도모할 수 있다.Since the present invention can add / change a new detection type, it is possible to achieve the effect of enabling rapid security management for the new detection type.

Claims (3)

에이전트와 매니저와 콘솔로 이루어진 통합보안관리시스템에서 통합보안관리 서비스를 제공하는 방법에 있어서,In the method of providing an integrated security management service in an integrated security management system consisting of an agent, a manager and a console, 상기 에이전트의 수집부가 침입탐지시스템들로부터 상용 이벤트 로그를 수집하는 제1단계와,A first step of collecting a commercial event log from intrusion detection systems by a collector of the agent; 상기 에이전트의 제어부가 상기 수집된 상용 이벤트 로그와 상기 저장부에 탑재된 매핑테이블을 비교하여 상기 상용 이벤트 로그를 매핑 이벤트 로그로 정규화하는 제2단계와,A second step of normalizing the commercial event log to a mapping event log by comparing the collected commercial event log with the mapping table mounted in the storage unit by the controller of the agent; 상기 매니저가 상기 에이젼트에 의해 형성된 매핑 이벤트 로그를 전송받아 분석하고 분석결과에 따라 대응 메시지를 생성하여 상기 콘솔로 전송하는 제3단계와,A third step in which the manager receives and analyzes the mapping event log formed by the agent, generates a corresponding message according to the analysis result, and transmits the corresponding message to the console; 상기 매니저로부터 수신한 대응 메시지를 상기 콘솔의 제어부가 분석하고 상기 제어부에 의해 분석된 대응메시지를 상기 콘솔의 출력부로 출력하는 제4단계를 포함하는 통합보안관리서비스 방법.And a fourth step of analyzing, by the controller of the console, the corresponding message received from the manager, and outputting the corresponding message analyzed by the controller to the output of the console. 제1항에 있어서, 상기 제3단계는 상기 매니저의 제어부가 상기 매핑 이벤트 로그를 분석하여 위험도가 낮다면 상기 대응 메시지로 단순 이벤트 메시지를 발생시키고 위험도가 높다면 상기 대응 메시지로 경보 메시지를 발생시키는 것을 특징으로 하는 통합보안관리서비스 방법.The method of claim 1, wherein the third step comprises the controller of the manager analyzes the mapping event log to generate a simple event message with the corresponding message if the risk is low and to generate an alert message with the corresponding message if the risk is high. Integrated security management service method, characterized in that. 제1항에 있어서, 상기 에이전트의 저장부에 탑재된 매핑테이블의 탐지유형 추가 및/또는 변경을 위하여, 상기 콘솔의 입력부를 통해 탐지유형의 추가 및/또는 변경 내용을 입력하는 제5단계와, 상기 탐지유형의 추가 및/또는 변경 내용을 상기 콘솔로부터 상기 매니저를 거쳐 상기 에이전트의 저장부에 탑재하는 제6단계를 추가로 포함하는 것을 특징으로 통합보안관리서비스 방법.The method of claim 1, further comprising: inputting the addition and / or modification of the detection type through an input unit of the console to add and / or change the detection type of the mapping table mounted in the storage unit of the agent; And a sixth step of loading the addition and / or change of the detection type from the console to the storage unit of the agent via the manager.
KR1020010067073A 2001-10-30 2001-10-30 Method for Providing Enterprise Security Management Service KR20030035142A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020010067073A KR20030035142A (en) 2001-10-30 2001-10-30 Method for Providing Enterprise Security Management Service

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020010067073A KR20030035142A (en) 2001-10-30 2001-10-30 Method for Providing Enterprise Security Management Service

Publications (1)

Publication Number Publication Date
KR20030035142A true KR20030035142A (en) 2003-05-09

Family

ID=29566997

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020010067073A KR20030035142A (en) 2001-10-30 2001-10-30 Method for Providing Enterprise Security Management Service

Country Status (1)

Country Link
KR (1) KR20030035142A (en)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004104854A1 (en) * 2003-05-23 2004-12-02 Young-Hee Lee The web-access managing system and the web-access managing method through packet checking interval
KR100758476B1 (en) * 2005-12-26 2007-09-12 주식회사 포스코 Apparatus and method for analyzing security log for process control system
KR100798755B1 (en) * 2006-05-17 2008-01-29 주식회사 제이컴정보 Threats management system and method thereof
US7376969B1 (en) * 2002-12-02 2008-05-20 Arcsight, Inc. Real time monitoring and analysis of events from multiple network security devices
KR100838799B1 (en) * 2007-03-09 2008-06-17 에스케이 텔레콤주식회사 System and operating method of detecting hacking happening for complementary security management system
KR100984282B1 (en) * 2010-03-04 2010-09-30 주식회사 이글루시큐리티 An enterprise security management system using an memory cache
CN101719914B (en) * 2009-11-10 2012-09-05 中国科学院计算技术研究所 Security event source integrated system and implementing method thereof
KR101231410B1 (en) * 2003-07-16 2013-02-07 마이크로소프트 코포레이션 Automatic detection and patching of vulnerable files
WO2017074732A1 (en) * 2015-10-27 2017-05-04 Xypro Technology Corporation Method and system for gathering and contextualizing multiple security events
KR20210084884A (en) * 2019-12-30 2021-07-08 주식회사 에이디티캡스 Method and system for providing convergence security control service based on Internet of Things

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5974149A (en) * 1996-08-01 1999-10-26 Harris Corporation Integrated network security access control system
JP2000004225A (en) * 1998-06-17 2000-01-07 Fujitsu Ltd Network system, transmission/reception method, transmitter, receiver and recording medium
KR20000012194A (en) * 1999-06-28 2000-03-06 김상배 System for integrating System Management System and Firewall system
KR20010104036A (en) * 2000-05-12 2001-11-24 오경수 Union security service system using internet
KR20020000225A (en) * 2000-05-20 2002-01-05 김활중 A system and method for performing remote security management of multiple computer systems

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5974149A (en) * 1996-08-01 1999-10-26 Harris Corporation Integrated network security access control system
JP2000004225A (en) * 1998-06-17 2000-01-07 Fujitsu Ltd Network system, transmission/reception method, transmitter, receiver and recording medium
KR20000012194A (en) * 1999-06-28 2000-03-06 김상배 System for integrating System Management System and Firewall system
KR20010104036A (en) * 2000-05-12 2001-11-24 오경수 Union security service system using internet
KR20020000225A (en) * 2000-05-20 2002-01-05 김활중 A system and method for performing remote security management of multiple computer systems

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7376969B1 (en) * 2002-12-02 2008-05-20 Arcsight, Inc. Real time monitoring and analysis of events from multiple network security devices
US8056130B1 (en) 2002-12-02 2011-11-08 Hewlett-Packard Development Company, L.P. Real time monitoring and analysis of events from multiple network security devices
WO2004104854A1 (en) * 2003-05-23 2004-12-02 Young-Hee Lee The web-access managing system and the web-access managing method through packet checking interval
KR101231410B1 (en) * 2003-07-16 2013-02-07 마이크로소프트 코포레이션 Automatic detection and patching of vulnerable files
KR100758476B1 (en) * 2005-12-26 2007-09-12 주식회사 포스코 Apparatus and method for analyzing security log for process control system
KR100798755B1 (en) * 2006-05-17 2008-01-29 주식회사 제이컴정보 Threats management system and method thereof
KR100838799B1 (en) * 2007-03-09 2008-06-17 에스케이 텔레콤주식회사 System and operating method of detecting hacking happening for complementary security management system
CN101719914B (en) * 2009-11-10 2012-09-05 中国科学院计算技术研究所 Security event source integrated system and implementing method thereof
KR100984282B1 (en) * 2010-03-04 2010-09-30 주식회사 이글루시큐리티 An enterprise security management system using an memory cache
WO2017074732A1 (en) * 2015-10-27 2017-05-04 Xypro Technology Corporation Method and system for gathering and contextualizing multiple security events
US9948678B2 (en) 2015-10-27 2018-04-17 Xypro Technology Corporation Method and system for gathering and contextualizing multiple events to identify potential security incidents
KR20210084884A (en) * 2019-12-30 2021-07-08 주식회사 에이디티캡스 Method and system for providing convergence security control service based on Internet of Things

Similar Documents

Publication Publication Date Title
US8108930B2 (en) Secure self-organizing and self-provisioning anomalous event detection systems
US8640234B2 (en) Method and apparatus for predictive and actual intrusion detection on a network
JP6086968B2 (en) System and method for local protection against malicious software
US6408391B1 (en) Dynamic system defense for information warfare
US8136155B2 (en) Security system with methodology for interprocess communication control
US7574740B1 (en) Method and system for intrusion detection in a computer network
US6944775B2 (en) Scanner API for executing multiple scanning engines
US7549166B2 (en) Defense mechanism for server farm
US7472421B2 (en) Computer model of security risks
US6907533B2 (en) System and method for computer security using multiple cages
Gula Correlating ids alerts with vulnerability information
US20060248590A1 (en) System and method for protecting an information server
Wu et al. A taxonomy of network and computer attacks based on responses
Sequeira Intrusion prevention systems: security's silver bullet?
KR20030035142A (en) Method for Providing Enterprise Security Management Service
Nasution et al. Analysis and implementation of honeyd as a low-interaction honeypot in enhancing security systems
KR20030035143A (en) Enterprise Security Management System
KR100578503B1 (en) Intrusion Detection System for Inferring Risk Level
KR100578506B1 (en) Intrusion Detection Method for Inferring Risk Level
Guelzim et al. Formal methods of attack modeling and detection
Arabo Distributed ids using agents: an agent-based detection system to detect passive and active threats to a network
Asarcıklı Firewall monitoring using intrusion detection systems
Ambika et al. Architecture for real time monitoring and modeling of network behavior for enhanced security
Mohammed Cybercafé Systems Security
Ko et al. Design of hybrid network discovery module for detecting client applications and ActiveX controls

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application