KR100609707B1 - 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석방법 및 그 장치 - Google Patents

네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석방법 및 그 장치 Download PDF

Info

Publication number
KR100609707B1
KR100609707B1 KR1020040091574A KR20040091574A KR100609707B1 KR 100609707 B1 KR100609707 B1 KR 100609707B1 KR 1020040091574 A KR1020040091574 A KR 1020040091574A KR 20040091574 A KR20040091574 A KR 20040091574A KR 100609707 B1 KR100609707 B1 KR 100609707B1
Authority
KR
South Korea
Prior art keywords
security
information
network
traffic
characteristic information
Prior art date
Application number
KR1020040091574A
Other languages
English (en)
Other versions
KR20060042788A (ko
Inventor
이수형
김현주
장범환
김진오
나중찬
장종수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020040091574A priority Critical patent/KR100609707B1/ko
Publication of KR20060042788A publication Critical patent/KR20060042788A/ko
Application granted granted Critical
Publication of KR100609707B1 publication Critical patent/KR100609707B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명에 의한 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석 방법 및 그 장치는 네트워크 트래픽 정보와 보안 관련 이벤트 정보를 수집하는 단계; 상기 수집된 정보들로부터 보안관련 특성정보를 추출하는 단계; 상기 특성정보를 기초로 3차원 직각 좌표계에 상기 네트워크 트래픽 정보와 보안관련 이벤트정보들을 선으로 표현하는 단계; 및 상기 선의 조합에 따라 나타나는 패턴을 기초로 네트워크의 보안 이상 상태를 판정하는 단계;를 포함하는 것을 특징으로 를 포함하는 것을 특징으로 하며, 네트워크에서 발생하는 트래픽 데이터 및 보안 이벤트를 단순히 나열해서는 파악할 수 없는 네트워크 상의 보안 상황을 분석하고 정상 상태와 다른 이상 상황을 탐지할 수 있도록 해 주며, 또한 보안 장비로부터 발생하는 보안 이벤트에 적용할 경우 무수히 발생하는 보안 이벤트들 사이의 상호 연관 관계를 시각적으로 파악할 수 있게 해주며, 이를 통해 보안 이벤트의 통합을 통한 실제 보고 이벤트의 축약, 계속해서 발생하는 동일한 보안 이벤트(즉 공격)의 파악, 주로 감시해야 할 원천지 주소, 목적지 주소, 목적지 포트에 대한 정보를 획득할 수 있게 된다.
네트워크 보안, 시각화, 상호 연관성 분석, 트래픽 처리, 보안 이벤트

Description

네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석 방법 및 그 장치 {Method for analyzing security condition by representing network events in graphs and apparatus thereof}
도 1은 본 발명에 의한 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석 방법의 과정을 보인 흐름도이다.
도 2는 본 발명에 의한 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석 장치의 기능 블록도이다.
도 3은 본 발명에 의한 보안상황 파악 방법에 의하여 트래픽 플로우 및 보안관련 이벤트를 직각 좌표계에 삼차원으로 표현하였을 때 나타나게 되는 그래프의 예와 동일한 이벤트가 다수 발생하였을 경우의 표현 방법을 나타낸 예이다.
도 4는 본 발명에 의한 보안 상황 파악 방법에 의하여 이벤트를 표현하였을 경우 나타나는 보안 상황을 보여주는 예시도이다.
본 발명은 네트워크 상에서 발생하는 보안 상황을 분석하는 방법 및 그 장치에 관한 것으로서, 보다 자세하게는 네트워크 상의 보안 관련 이벤트간의 상관관계 를 쉽게 파악하고 이를 바탕으로 해당 네트워크 상에서의 현재의 보안 상황에 대한 분석 및 이해가 용이하도록 하기 위하여 보안 관련 이벤트를 3차원의 직각 좌표계에 선의 형태로 표현 방법 및 그 장치에 관한 것이다.
일반적으로 네트워크 상의 보안 상황을 파악하는 방법에는 네트워크 상에서 발생하는 트래픽 패턴을 바탕으로 하는 방법, 네트워크 상에 설치된 보안 장치로부터 발생하는 보안 이벤트를 이용하는 방법이 있다. 트래픽 패턴을 바탕으로 하는 경우 트래픽 양을 기준으로 하여 일정치 이상을 초과하게 되면 네트워크 안정성에 영향을 미치는 것으로 파악하여 발생되는 트래픽 속성간의 상호 연관 관계를 파악하여 이상 상태를 분석하는 데는 한계가 있었다. 또한 보안장치로부터 발생하는 이벤트를 바탕으로 하는 경우 공격을 구성하는 특정 패턴을 바탕으로 비교 분석함으로써 오탐율이 상당하고 발생 이벤트간의 상호 연관관계 분석, 동일한 이벤트가 다수개 발생할 경우 이에 대한 보안 상황 관점에서 처리가 미흡한 문제점이 발생한다.
본 발명이 이루고자 하는 기술적 과제는 상기의 문제점을 해결하기 위하여 안출된 것으로서, 네트워크 보안 상황을 판단함에 있어 트래픽이나 보안 이벤트의 속성 데이터에 해당하는 원천지 주소, 목적지 주소, 목적지 포트를 기준으로 3차원 공간에 도식함으로써 간의 상호 연관 관계를 파악하고 이를 통해 네트워크 상에서 발생하는 이상 상태를 분석하고 검출할 수 있는 방법 및 그 장치를 제공하는 데 있다.
상기의 기술적 과제를 달성하기 위하여 본 발명에 의한 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석 방법은, 네트워크 트래픽 정보와 보안 관련 이벤트 정보를 수집하는 단계; 상기 수집된 정보들로부터 보안관련 특성정보를 추출하는 단계; 상기 특성정보를 기초로 3차원 직각 좌표계에 상기 네트워크 트래픽 정보와 보안관련 이벤트정보들을 선으로 표현하는 단계; 및 상기 선의 조합에 따라 나타나는 패턴을 기초로 네트워크의 보안 이상 상태를 판정하는 단계;를 포함하는 것을 특징으로 한다.
상기의 기술적 과제를 달성하기 위하여 본 발명에 의한 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석 장치는 네트워크와 접속하여 트래픽 정보와 보안 관련 이벤트 정보를 트래픽 플로우 단위로 입력받는 정보수집부; 상기 정보수집부가 출력하는 트래픽 정보와 보완관련 이벤트 정보를 입력받아 보안관련 특성정보를 추출하는 정보추출부; 상기 특성정보를 입력받아 3차원 직각 좌표계에 상기 정보들을 선으로 표현하는 디스플레이부; 및 상기 선의 조합에 따라 나타나는 면 혹은 입방체의 모양을 가지는 패턴을 기초로 네트워크의 보안 이상 상태를 판정하는 판별부;를 포함하는 것을 특징으로 한다.
본 발명의 바람직한 일 실시예를 설명하기에 앞서 개요를 먼저 서술하도록 한다. 일반적으로 네트워크 상의 보안을 침해하는 공격이 기존에는 특정 호스트나 서버에 침입하여 정보의 취득 또는 변경에 초점이 맞추어져 있었으나 근래에 들어서는 다량의 트래픽 전송을 통하여 서비스의 제공을 방해하는 방향으로 그 중심을 옮겨가고 있다. 이런 공격의 경우 다수의 원천지 주소로부터 특정 목적지 주소로 트래픽이 집중되거나, 사전 공격으로 응용 포트나 호스트의 존재 여부를 판단하기 위한 공격의 경우 특정 원천지 주소에서 다중의 목적지 주소로 혹은 특정 원천지 주소에서 특정 목적지 주소에 대해 다수의 응용 포트로 트래픽이 전송되는 특징이 있다. 따라서 본 발명을 이용하면 트래픽 속성을 그래프 상에 표현함으로써 관리자가 네트워크 상에 이런 보안 상황이 발생하고 있음을 쉽게 파악할 수 있게 된다.
트래픽 정보의 경우 가장 기본 단위가 되는 패킷을 기준으로 할 경우 네트워크 용량에 커짐에 따라 그래프 상에 표현해야할 데이터가 급격히 증가하게 된다. 따라서 일정한 규칙에 따라 조합된 트래픽 그룹을 표현하는 트래픽 플로우를 그 대상으로 한다.
네트워크 상에 설치된 보안 장치로부터 발생하는 보안 관련 이벤트는 그 양이 너무 많고 동일한 이벤트가 중복해서 계속 발생하게 된다. 따라서 발생 이벤트들이 일반 텍스트로 표현되어서는 양이 많은 이벤트들 간의 상호 연관 관계에 대한 관리자의 분석은 어려워질 수 밖에 없다.
이를 극복하기 위해 본 발명은 이벤트를 3차원으로 도식하고 동일한 이벤트가 발생하면 해당 이벤트를 표현하는 선의 굵기를 달리 함으로써, 관리자가 위험한 목적지 시스템이나 공격을 지속적으로 수행하는 원천지 시스템에 대한 파악을 하거나, 계속되는 동일한 공격에 대하여 파악하는 것과 같이 현재의 보안 상태를 쉽게 파악할 수 있도록 한다.
또한 트래픽 정보나 보안 이벤트 정보를 3차원에 표현함에 있어 기존에 점으 로 표현되던 것을 주소 도메인을 분리하여 두 축에 배치시킴으로써 선으로 표현될 수 있도록 하여 상호 연관 관계가 면이나 입방체 형태로 나타나 그 식별이 훨씬 용이하도록 하였다.
이제 본 발명에 의한 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석 방법 및 그 장치의 바람직한 일 실시예를 첨부한 도면을 참조하면서 설명하도록 한다.
먼저 정보수집부(201)는 네트워크 장비로부터는 트래픽 정보를 그리고 보안 장비로부터는 보안 관련 이벤트 정보를 수집한다(S101). 이 경우 수집 대상이 되는 트래픽 데이터는 패킷 단위가 아니라 일정한 트래픽 특징에 따라 트래픽을 그룹화하여 정의한 트래픽 플로우를 대상으로 한다. 이는 패킷을 대상으로 할 경우 그래프로 표현해야 할 데이터량이 너무 많아져 전체 성능에 영향을 미치게 되고 트래픽 플로우 데이터만을 대상으로 하더라도 네트워크 보안 상태를 분석함에 있어 부족함이 없기 때문이다. 보안 관련 이벤트 정보는 예를 들어 네트워크에 설치된 침입탐지시스템과 같은 보안 시스템에서 생성하는 경보를 그 대상으로 한다.
추출부(202)는 수집된 원시 데이터로부터 원천지 주소, 목적지 주소, 목적지 포트 정보를 추출한다(S102). 이후 분석 주기가 되었으면(S103), 이후 과정을 수행하고 그렇지 않으면 이벤트 수집 단계(S102)로 돌아가게 된다. 분석 주기가 되었으면 화면에 표현 대상이 되는 시간 구간에 맞추어서 표시 데이터에 대한 시간 간격을 재조정한다(S104). 표현 대상 시간 인터벌은 전체 얼마 동안의 데이터를 화면에 보여 줄 것인가를 나타낸다. 예를 들어 만약 분석 주기가 1분이고 표현대상 시간 구간이 15분인 상태에서 새로운 1분 데이터가 들어오면 전체 15분 데이터 중 가장 오래된 1분 데이터는 버리고 새로운 1분 데이터를 추가한 15분 데이터를 그래프로 표현하게 된다.
디스플레이부(203)는 표현 대상 데이터가 재조정되었으면 각 데이터를 직각좌표계에 선으로 표시한다(S105, 그 결과는 도2에 도시됨). 일반적으로 인터넷 주소는 A.B.C.D와 같이 4개의 필드로 구성되고, 도 2에서처럼 주소를 둘로 나누어 (A/B, C/D) 각각의 축에 표현하면 원천지 주소, 목적지 주소, 목적지 포트로 구성되는 하나의 데이터는 한 개의 선으로 표시되게 된다. 이 때 동일한 원천지 주소, 목적지 주소, 목적지 포트를 가지는 이벤트 개수에 따라 예를 들어 선의 굵기를 달리하여 표현하면 그 발생빈도를 쉽게 파악할 수 있게 된다.
판별부(204)는 이와 같이 그래프가 구성되면 이를 바탕으로 네트워크 상에서 발생하는 보안상의 이상 상황을 분석하고 탐지하게 된다(S106, 그 결과는 도3에 도시됨). 만약 분산 서비스거부 공격처럼 여러 원천지 호스트가 하나의 목적지 호스트, 하나의 목적지 포트로 다량의 트래픽을 발생시키는 경우에, 그 각각을 선으로 표시하면 도 3의 면 D처럼 그 선들이 모여 하나의 평면을 구성하게 된다. 또한 포트 스캐닝 공격처럼 특정 원천지 호스트가 특정 목적지 호스트에 대해 여러 목적지 포트로 트래픽을 발생시키는 경우에, 그 각각을 선으로 표현하면 그 선들이 모여 도 3의 면 A(혹은 면 B나 면 C)처럼 하나의 평면으로 나타나게 된다. 또한 특정 목적지 호스트로 여러 원천지 호스트에서 여러 목적지 포트로 트래픽이 발생되어야 하는 공격인 경우에는 도 3의 면 A, 면 B. 면 C가 합쳐진 하나의 입방체 형태로 나 타날 것이다.
즉, 이와 같이 일반적으로 정상적인 상태이면 그래프로 표현되는 각각의 선들이 무작위로 나타나지만 특이한 보안상 이상상태가 되면 특정 패턴이 나타나게 된다. 이를 바탕으로 네트워크 상의 현재 보안 상태에 대한 분석과 특정 공격에 대한 탐지가 가능하다.
또한 보안 이벤트를 도식화하게 되면 동일한 공격이 계속 이루어질 경우 이로부터 많은 수의 동일한 이벤트가 발생하게 된다. 이를 그림으로 표현하면 도 2의 선 A, 선 B, 선 C처럼 각각 그 굵기가 다르로, 따라서 이를 통해 현재 네트워크 상에서 계속되는 공격의 원천지 또는 목적지 판단이 가능하게 되며 이와 더불어 우선적으로 대처해야할 공격에 대한 식별도 가능하게 된다.
상기의 과정을 통해 네트워크 상의 보안상 이상상태가 판정되면(S107), 그에 적절한 대응 단계(S108)로 진행하여 적합한 조치를 취하게 된다.
본 발명에 의한 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석 방법은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 플래쉬 메모리, 광 데이타 저장장치등이 있으며, 또한 캐리어 웨이브(예를들면 인터넷을 통한 전송)의 형태로 구현되는 것도 포함된다. 또한 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템에 분산되어, 분 산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다. 또한 본 발명에 의한 폰트 롬 데이터구조도 컴퓨터로 읽을 수 있는 ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 플래쉬 메모리, 광 데이타 저장장치등과 같은 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다.
상술한 상세한 설명 및 도면에 개시된 내용은 본 발명을 한정하는 것이 아니며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자에게는 본 발명의 정신을 벗어나지 않는 범위 내에서 다양한 수정 및 변경이 가능함은 명백한 것이다.
이상에서 설명한 바와 같이 본 발명에 의한 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석 방법 및 그 장치는 네트워크에서 발생하는 트래픽 데이터 및 보안 이벤트를 단순히 나열해서는 파악할 수 없는 네트워크 상의 보안 상황을 분석하고 정상 상태와 다른 이상 상황을 탐지할 수 있도록 해 주는 효과가 있다.
또한, 보안 장비로부터 발생하는 보안 이벤트에 적용할 경우 무수히 발생하는 보안 이벤트들 사이의 상호 연관 관계를 시각적으로 파악할 수 있게 해주며, 이를 통해 보안 이벤트의 통합을 통한 실제 보고 이벤트의 축약, 계속해서 발생하는 동일한 보안 이벤트(즉 공격)의 파악, 주로 감시해야 할 원천지 주소, 목적지 주소, 목적지 포트에 대한 정보를 획득할 수 있다.

Claims (11)

  1. (a) 네트워크 트래픽 정보와 보안 관련 이벤트 정보를 수집하는 단계;
    (b) 상기 수집된 정보들로부터 보안관련 특성정보를 추출하는 단계;
    (c) 상기 특성정보를 기초로 3차원 직각 좌표계에 상기 네트워크 트래픽 정보와 보안관련 이벤트정보들을 선으로 표현하는 단계; 및
    (d) 상기 선의 조합에 따라 나타나는 패턴을 기초로 네트워크의 보안 이상 상태를 판정하는 단계;를 포함하는 것을 특징으로 하는 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석 방법.
  2. 제 1 항에 있어서, 상기 (a) 단계는
    상기 트래픽 정보를 트래픽 성질에 따른 트래픽 플로우를 단위로 하여 수집하는 단계;를 포함하는 것을 특징으로 하는 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석 방법.
  3. 제1항에 있어서, 상기 (b) 단계는
    (b1) 상기 수집된 정보들로부터 원천지주소, 목적지 주소, 그리고 목적지 포트를 내용으로 하는 특성정보를 주기적으로 추출하는 단계;를 포함하는 것을 특징으로 하는 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석 방법.
  4. 제3항에 있어서, 상기 (b1) 단계는
    상기 특성정보를 디스플레이하고자 하는 시간 간격만큼 추출하고, 소정의 분석주기를 초과하는 시간이 경과하면 디스플레이된 특성정보중 상기 분석주기에 해 당하는 만큼의 가장 오래된 특성정보를 가장 최근의 분석주기에 해당하는 만큼의 특성정보로 교체하는 단계;를 포함하는 것을 특징으로 하는 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석 방법.
  5. 제1항에 있어서, 상기 (c)단계는
    (c1) 상기 3차원 직각 좌표계를 구성함에 있어 주소 영역을 두 부분으로 구분하는 단계;
    (c2) 상기 구분된 각 영역별로 하나의 축을 할당하고 포트를 또 다른 하나의 축으로 할당하는 단계; 및
    (c3) 원천지 주소와 목적지 주소 쌍, 그리고 원천지 주소와 목적지 포트 쌍으로 이루어지는 좌표값의 연결을 각각 선으로 표현하는 단계;를 포함하는 것을 특징으로 하는 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석 방법.
  6. 제5항에 있어서, 상기 (c3)단계는
    상기 연결이 중복해서 발생하는 네트워크 보안 이상 상황의 경우에는 단일 연결시의 표현과는 상이하게 표현하는 단계;를 더 포함하는 것을 특징으로 하는 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석 방법.
  7. 제1항에 있어서, 상기 (d)단계는
    상기 패턴은 상기 각 선들의 조합에 의하여 면 혹은 입방체의 형태를 가지도 록 표현되는 것을 특징으로 하는 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석 방법.
  8. 네트워크와 접속하여 트래픽 정보와 보안 관련 이벤트 정보를 트래픽 플로우 단위로 입력받는 정보수집부;
    상기 정보수집부가 출력하는 트래픽 정보와 보완관련 이벤트 정보를 입력받아 보안관련 특성정보를 추출하는 정보추출부;
    상기 특성정보를 입력받아 3차원 직각 좌표계에 상기 정보들을 선으로 표현하는 디스플레이부; 및
    상기 선의 조합에 따라 나타나는 면 혹은 입방체의 모양을 가지는 패턴을 기초로 네트워크의 보안 이상 상태를 판정하는 판별부;를 포함하는 것을 특징으로 하는 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석 장치.
  9. 제8항에 있어서, 상기 정보추출부는
    상기 정보수집부로부터 입력받는 데이터에서 원천지 주소, 목적지 주소, 목적지 포트를 추출하여 상기 특성정보로서 출력하는 것을 특징으로 하는 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석 장치.
  10. 제8항에 있어서, 상기 디스플레이부는
    상기 3차원 직각 좌표계를 구성함에 있어 주소 영역을 두 부분으로 구분하 후 각각 하나의 축을 할당하고 포트를 또 다른 하나의 축으로 할당한 후 원천지 주소와 목적지 주소 쌍, 그리고 원천지 주소와 목적지 포트 쌍으로 이루어지는 좌표값의 연결을 각각 선으로 표현하는 것을 특징으로 하는 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석 장치.
  11. 제10항에 있어서, 상기 디스플레이부는
    상기 연결이 중복해서 발생하는 네트워크 보안 이상 상황의 경우에는 단일 연결시의 표현과는 상이하게 더 표현하는 것을 특징으로 하는 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석 장치.
KR1020040091574A 2004-11-10 2004-11-10 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석방법 및 그 장치 KR100609707B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040091574A KR100609707B1 (ko) 2004-11-10 2004-11-10 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석방법 및 그 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040091574A KR100609707B1 (ko) 2004-11-10 2004-11-10 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석방법 및 그 장치

Publications (2)

Publication Number Publication Date
KR20060042788A KR20060042788A (ko) 2006-05-15
KR100609707B1 true KR100609707B1 (ko) 2006-08-09

Family

ID=37148600

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040091574A KR100609707B1 (ko) 2004-11-10 2004-11-10 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석방법 및 그 장치

Country Status (1)

Country Link
KR (1) KR100609707B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100979200B1 (ko) * 2008-07-30 2010-08-31 한국전자통신연구원 Gis 기반의 네트워크 정보 표시장치

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100758476B1 (ko) * 2005-12-26 2007-09-12 주식회사 포스코 공정제어시스템용 보안 로그 분석장치 및 방법
KR100826884B1 (ko) * 2006-11-27 2008-05-06 한국전자통신연구원 보안큐브를 이용한 네트워크 상태 표시장치 및 방법
KR100885293B1 (ko) * 2006-12-04 2009-02-23 한국전자통신연구원 네트워크 보안 상황 표시 장치 및 그 방법
KR100819049B1 (ko) * 2006-12-06 2008-04-02 한국전자통신연구원 침입 상황 분석 및 대응 장치 그리고 그 장치가 공격탐지경보를 n차 분면 연관 그래프로 표현하는 방법
KR100856924B1 (ko) * 2007-03-08 2008-09-05 한국전자통신연구원 네트워크 상태 표시 장치 및 방법
KR100901696B1 (ko) * 2007-07-04 2009-06-08 한국전자통신연구원 보안 이벤트의 컨텐츠에 기반한 보안 이벤트 샘플링 장치및 방법
KR100949803B1 (ko) * 2007-12-18 2010-03-30 한국전자통신연구원 아이피 주소 분할 표시 장치 및 방법
KR101137694B1 (ko) * 2010-07-12 2012-04-25 주식회사 윈스테크넷 디도스 발생 탐지분석 및 표시를 위한 통합보안관리시스템 및 이에 의한 디도스 발생탐지분석 및 표시방법
KR101499116B1 (ko) * 2013-11-28 2015-03-06 한국과학기술정보연구원 보안이벤트 판별 방법 및 이에 적용되는 장치
KR102057459B1 (ko) * 2017-11-27 2020-01-22 (주)에이알씨엔에스 네트워크 트래픽 플로우를 이용한 보안상황 종합 분석 및 인지 시스템
CN108494746B (zh) * 2018-03-07 2020-08-25 长安通信科技有限责任公司 一种网络端口流量异常检测方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6088804A (en) 1998-01-12 2000-07-11 Motorola, Inc. Adaptive system and method for responding to computer network security attacks
US20030108042A1 (en) 2000-07-14 2003-06-12 David Skillicorn Characterizing network traffic from packet parameters
US6769066B1 (en) 1999-10-25 2004-07-27 Visa International Service Association Method and apparatus for training a neural network model for use in computer network intrusion detection

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6088804A (en) 1998-01-12 2000-07-11 Motorola, Inc. Adaptive system and method for responding to computer network security attacks
US6769066B1 (en) 1999-10-25 2004-07-27 Visa International Service Association Method and apparatus for training a neural network model for use in computer network intrusion detection
US20030108042A1 (en) 2000-07-14 2003-06-12 David Skillicorn Characterizing network traffic from packet parameters

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100979200B1 (ko) * 2008-07-30 2010-08-31 한국전자통신연구원 Gis 기반의 네트워크 정보 표시장치

Also Published As

Publication number Publication date
KR20060042788A (ko) 2006-05-15

Similar Documents

Publication Publication Date Title
KR100885293B1 (ko) 네트워크 보안 상황 표시 장치 및 그 방법
KR100949803B1 (ko) 아이피 주소 분할 표시 장치 및 방법
CN110535702B (zh) 一种告警信息处理方法及装置
KR100609707B1 (ko) 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석방법 및 그 장치
CN103441982A (zh) 一种基于相对熵的入侵报警分析方法
KR101281456B1 (ko) 자기 유사성을 이용한 scada 네트워크의 이상증후를 탐지하는 장치 및 방법
US8775613B2 (en) Method and system for providing network monitoring, security event collection apparatus and service abnormality detection apparatus for network monitoring
KR100656352B1 (ko) 네트워크의 보안 관련 이벤트 정보를 표시하는 방법
CN110912933B (zh) 一种基于被动测量的设备识别方法
CN117375985A (zh) 安全风险指数的确定方法及装置、存储介质、电子装置
CN110493217B (zh) 一种分布式的态势感知方法和系统
Chang et al. An efficient network attack visualization using security quad and cube
JP7081695B2 (ja) 優先度判定装置、優先度判定方法、及び制御プログラム
KR100819049B1 (ko) 침입 상황 분석 및 대응 장치 그리고 그 장치가 공격탐지경보를 n차 분면 연관 그래프로 표현하는 방법
KR100638480B1 (ko) 침입 탐지 경고 메시지의 연관성을 이용한 침입 탐지시각화 방법
CN114006719B (zh) 基于态势感知的ai验证方法、装置及系统
CN115801307A (zh) 一种利用服务器日志进行端口扫描检测的方法和系统
JP4825979B2 (ja) 通信ログ視覚化装置、通信ログ視覚化方法及び通信ログ視覚化プログラム
WO2018138793A1 (ja) 攻撃・異常検知装置、攻撃・異常検知方法、および攻撃・異常検知プログラム
WO2006077666A1 (ja) 観測データ表示装置、観測データ表示方法、観測データ表示プログラムおよびそれを記録したコンピュータ読み取り可能な記録媒体
CN112637118A (zh) 基于内外网引流异常的流量分析实现方法
Kawakani et al. Discovering attackers past behavior to generate online hyper-alerts
WO2019123449A1 (en) A system and method for analyzing network traffic
CN115499245B (zh) 一种基于关联检测的事中实时告警方法和系统
KR20100041533A (ko) 네트워크 관리 방법

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee