KR100656352B1 - 네트워크의 보안 관련 이벤트 정보를 표시하는 방법 - Google Patents

네트워크의 보안 관련 이벤트 정보를 표시하는 방법 Download PDF

Info

Publication number
KR100656352B1
KR100656352B1 KR1020050087024A KR20050087024A KR100656352B1 KR 100656352 B1 KR100656352 B1 KR 100656352B1 KR 1020050087024 A KR1020050087024 A KR 1020050087024A KR 20050087024 A KR20050087024 A KR 20050087024A KR 100656352 B1 KR100656352 B1 KR 100656352B1
Authority
KR
South Korea
Prior art keywords
event
security
displaying
destination
network
Prior art date
Application number
KR1020050087024A
Other languages
English (en)
Inventor
이수형
장범환
김진오
방효찬
김건량
손선경
김동영
김현주
나중찬
장종수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020050087024A priority Critical patent/KR100656352B1/ko
Application granted granted Critical
Publication of KR100656352B1 publication Critical patent/KR100656352B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 네트워크의 보안 관련 이벤트 정보를 표시하는 방법을 개시한다.
본 발명에 의하면, 네트워크의 관리 도메인 상에서 발생하는 보안 관련 이벤트를 수집하고, 수집된 이벤트로부터 그래프로 표현할 응용 포트별 발생 양, 원천지 주소와 목적지 주소간의 연결성 정도, 원천지 주소, 목적지 주소, 이벤트 유형을 포함하는 정보를 추출하며, 추출된 정보를 원천지 주소, 목적지 주소 및 이벤트 유형간의 상호 연관성에 따라 그래프로 표시하여, 단순히 각 이벤트별 개별 정보를 사용자에게 전달하는 수준에서 이를 3차원 상에 다양한 형태의 그래프로 표현함으로써 관리 대상 도메인 상에서 발생하는 보안상 이상 상태에 대한 신속한 탐지가 가능하고, 이벤트를 구성하는 다양한 속성간의 관계를 하나의 그래프 상에 표시함으로써 다량으로 발생한 이벤트들의 상호 연관 관계에 대한 직관적 분석이 용이하다. 따라서 관리 대상 도메인 상에 발생하는 이상 상태의 패턴 및 이상 상태의 심각도와 그 주된 목적지, 원천지, 응용 포트에 대한 파악이 용이하게 하며, 또한 다량의 보안 이벤트를 하나의 3차원 그래프 상에 표현함으로써 각 목적지별 발생 보안 이벤트 양과 그에 관련된 보안 이벤트 유형, 원천지 주소와 최상위 이벤트유형/목적지/원천지 등에 대한 상호 연관 관계의 파악을 통한 보안상 중점적 관리 대상을 선정하여 대처할 수 있게 한다.

Description

네트워크의 보안 관련 이벤트 정보를 표시하는 방법 {Method for displaying event information of network security}
도 1은 본 발명에 따라 네트워커의 보안 상황을 파악할 수 있는 표시 방법을 이용하여 보안에 대처하는 흐름의 일 예이다.
도 2는 본 발명에 따라 작성된 보안 관련 그래프의 일 예이다.
도 3은 다량의 이벤트 발생 시 본 발명에 따라 이벤트 간의 연관성을 고려하여 표시한 결과의 일 예를 도시한 것이다.
본 발명은 네트워크 보안에 관한 것으로서, 네트워크 상에서 발생하는 보안 관련 이벤트를 직관적으로 파악할 수 있도록 표시하는 방법 및 그 장치에 관한 것이다.
본 발명은, 네트워크 상에서 발생하는 보안관련 이벤트 정보를 3차원 그래프로 표현함으로써 현재의 네트워크 보안 상황을 파악할 수 있도록 하기 위한 것임.
종래의 보안 시스템은 대량으로 발생하는 이벤트를 텍스트 기반이나 간단한 그래프로 표현한다. 즉, 기존 시스템의 경우 보안 관련 이벤트가 발생할 경우 이에 대한 처리는 이벤트에 속성 중 관심 대상이 되는 속성을 위주로 하여 발생 이벤트를 화면상에 텍스트 기반으로 사용자에게 보여 주거나, 특정 속성을 기준으로 해당 속성에서 발생한 보안 이벤트의 양을 단순 그래프 형태로 보여 주는 것이 일반적인 방법이다.
따라서 보완 관련 이벤트 발생 시 종래의 텍스트 기반 혹은 간단한 그래프를 통해 표시된 결과 표시를 통해 사용자가 개별 이벤트의 의미 및 각 이벤트간의 상호 연관성을 파악하는데 어려움이 크며, 그 결과 사용자 혹은 관리자의 입장에서는 현재의 보안 상황 인식(situation awareness) 능력이 현저히 떨어질 수 있다는 문제가 있다.
본 발명이 이루고자 하는 기술적인 과제는, 상기의 문제점들을 해결하기 위해, 네트워크의 보안 관련 이벤트 중 특정 속성의 이벤트 양과 연결성의 정도의 변화를 사용자의 시각적 분석 능력을 통해 판단할 수 있으며, 현재의 보안 상황에 대한 직관적 인식을 가능하도록 하는 네트워크의 보안 관련 이벤트 정보를 표시하는 방법을 제공하는 데 있다.
상기 기술적 과제를 해결하기 위한 본 발명에 의한, 네트워크의 보안 관련 이벤트 정보를 표시하는 방법은, (a) 네트워크의 관리 도메인 상에서 발생하는 보안 관련 이벤트를 수집하는 단계; (b) 상기 수집된 이벤트로부터 그래프로 표현할 응용 포트별 발생 양, 원천지 주소와 목적지 주소간의 연결성 정도, 원천지 주소, 목적지 주소, 이벤트 유형을 포함하는 정보를 추출하는 단계; 및 (c) 상기 추출된 정보를 원천지 주소, 목적지 주소 및 이벤트 유형간의 상호 연관성에 따라 그래프로 표시하는 단계;를 포함하는 것을 특징으로 한다.
이때에 상기 (c) 단계는, (c1) 각 응용 포트별로 발생하는 각 이벤트 양의 전체 관리 대상 네트워크에서 발생하는 이벤트 양에 대한 비율을 계산하는 단계; 및 (c2) 상기 계산된 각 이벤트별 비율의 상대적 크기에 따라 각 응용 포트별로 면적을 할당하여 표시하는 단계;를 포함하는 것이 바람직하며, 이때에 상기 (c2) 단계에서 각 응용 포트별 할당된 면적을 각 포트별로 고유한 색으로 표시하는 것이 바람직하다.
그리고 상기 방법은, (d) 상기 (c) 단계 후에 상기 표시된 그래프 패턴에 따라 관리 대상 도메인의 보안상 이상 상태를 판단하는 단계;를 더 포함하며, 특정 포트의 이벤트가 증가함으로써 특정 포트에 대응하는 면적이 증가하여 전체 표시된 패턴이 변하는 경우 특정 응용 포트를 이용하는 인터넷 웜 공격을 포함하는 이상 상태가 발생한 것으로 판단하는 것이 바람직하다.
상기에서 소정의 양 또는 특정 비율 이상으로 이벤트가 발생한 포트만을 대상으로 하여 표시하는 것이 바람직하다.
상기 (c) 단계는, (c1) 원천지 주소 표시 평면에 각 원천지 주소별로 해당 원천지 주소에서 관리 도메인 상의 모든 목적지 주소로 발생한 이벤트 양의 전체 이벤트 양에 대한 비율에 따라 해당 원천지 주소 표시점의 크기를 달리 하여 원천지 주소를 표시하는 단계; (c2) 목적지 주소 평면에 각 목적지 주소별로 발생한 이 벤트의 상대적 비율에 따라 목적지 주소 표시점의 크기를 달리 하여 목적지 주소를 표시하는 단계; 및 (c3) 상기 표시된 원천치 주소와 목적지 주소들 사이에 발생한 이벤트의 상대적 비율에 따라 해당 원천지와 목적지의 연결을 표현하는 선의 굵기를 달리하여 원천지 주소와 목적지 주소간의 연결을 하는 단계;를 포함하는 것이 바람직하다.
그리고 상기 방법은, (d) 상기 (c) 단계 후에 상기 표시된 그래프 패턴에 따라 관리 대상 도메인의 보안상 이상 상태를 판단하는 단계;를 더 포함하며, 다양한 원천지에서 특정 목적지로의 접근 시도가 급격히 증가되어 해당 목적지 표시점의 면적이 증가하게 되어 상기 표시된 패턴의 변화가 발생하는 경우 분산 서비스 거부 공격인 것으로 판단하는 것이 바람직하다.
또는 상기 방법은 (d) 상기 (c) 단계 후에 상기 표시된 그래프 패턴에 따라 관리 대상 도메인의 보안상 이상 상태를 판단하는 단계;를 더 포함하며, 특정 원천지에서 특정 목적지로의 접근 시도가 급격히 증가하여 해당 원천지 주소와 목적지 주소간 연결성을 나타내는 선의 굵기가 갑자기 굵어지게 되어 상기 표시된 패턴의 변화가 발생하는 경우 단순 서비스 거부 공격으로 판단하는 것이 바람직하다.
또한 상기 (c) 단계에서 특정 비율 이상 또는 특정 접근 시도 회수 이상의 이벤트가 발생한 원천지 및 목적지만을 대상으로 하여 그래프로 표시하는 것이 바람직하다.
상기 (b) 단계에서 목적지 주소를 기준으로 발생 이벤트 양, 해당 이벤트의 유형, 원천지 주소 정보를 추출하며, 상기 (c) 단계는, (c1) 목적지 주소가 표시되 는 평면, 이벤트 유형이 표시되는 평면, 원천지 주소가 표시되는 서로 구분되는 각 평면에 각 목적지 주소별로 발생한 이벤트 양을 나타내도록 표시하는 단계; 및 (c2) 해당 이벤트들의 이벤트 유형, 원천지 주소 정보들간의 대응하는 정보들을 선으로 연결하여 세 속성간의 연관관계를 표시하는 단계;를 포함하는 것이 바람직하다.
이때에 상기 (c) 단계에서, 이벤트의 보안상 심각성의 정도, 최다 빈도별 또는 발생 이벤트 양을 포함하는 속성을 기준으로 각 목적지에서 발생한 이벤트들의 양을 나타내는 색을 다르게 표시하는 것이 바람직하다.
그리고 상기 (c2) 단계의 연관성을 표현하기 위해 연결하는 상기 선의 색깔을 발생 이벤트 양의 정도에 따라 다르게 표시할 수 있는 것이 바람직하다.
또한 상기 (c) 단계에서 특정 양 이상의 이벤트 만을 대상으로 그래프로 표시하는 것이 바람직하다.
이하에서 첨부된 도면을 참조하여 본 발명의 바람직한 일 실시예를 상세히 설명한다.
도 1은 본 발명에 따라 네트워커의 보안 상황을 파악할 수 있는 표시 방법을 이용하여 보안에 대처하는 흐름의 일 예이다.
관리 도메인 상에서 발생하는 보안 관련 이벤트 정보를 수집한다(110 단계). 이와 같은 이벤트 정보 수집은 관리 대상 도메인의 네트워크에 연결된 보안 관련 장치, 이벤트 관련 장치 등과 같은 기존의 장비들을 통해 이루어질 수 있다.
일정한 시간 주기로 수집한 이벤트 정보를 분석하고, 분석 주기 경과 여부에 따라(120 단계), 계속 110 단계에서 보안 관련 이벤트 정보를 수집하거나 혹은 대상되는 주기 갱신을 한다(130 단계).
요구 분석 방법에 따라 스펙트럼 분석 또는 연관성 분석으로 분기한다(140 단계). 이는 표시되는 방법에 따라 구분되어 나누어지는 것이며, 어느 경우에도 본 발명의 범위 내에서 실행된다.
스펙트럼 분석의 경우 이벤트를 대상으로 포트별 발생 이벤트 양과 원천지 주소별, 목적지 주소별, 원천지-목적지간 발생 이벤트양을 기반으로 한 연결성 정도를 계산한 후(151 단계), 이를 도 2와 같은 상대적 양에 따른 스펙트럼 형태로 표현한다(152 단계). 표현된 스펙트럼 패턴을 분석한 후(153 단계) 이를 바탕으로 이상 상태 유무를 판단하게 된다(170 단계).
연관성 분석의 경우 목적지 주소를 기준으로 발생 이벤트 양, 해당 이벤트의 유형, 원천지 주소 정보를 추출하고(161 단계), 이를 도 3과 같이 이벤트 유형, 목적지 주소, 원천지 주소 등 3개의 평면으로 이루어진 그래프 상에 상호 연결 관계를 표현한다(162 단계).
표현된 그래프를 바탕으로 비정상적인 패턴의 발생 유무를 분석하고(163 단계) 이를 바탕으로 이상 상태 유무를 판단하게 된다(170 단계). 이상 상태 발생 시 이에 대한 적절한 대응을 수행함으로써 관리 도메인의 보안 상황을 안정적인 상태로 유지하게 된다(180 단계).
도 2는 본 발명에 따라 작성된 보안 관련 그래프의 일 예이다. 도 2는 스펙 트럼 분석이라고 언급되며, 이 스펙트럼 분석은 포트 스펙트럼(210)과 연결성 스펙트럼(220)으로 나누어질 수 있다.
포트 스펙트럼(210)의 경우 각 응용 포트별 발생 이벤트 양의 전체 이벤트양에 대한 비율을 구한 후 그 비율의 상대적 크기에 따라 면적을 달리하여(211, 212) 스펙트럼 형태로 표현하게 된다. 이 때 각 포트별 식별성을 높이기 위한 방법으로 각 포트별로 고유한 색깔을 할당하고 해당 포트를 할당된 색깔로 표현할 수 있다.
이 경우 정상상태에서는 매 분석 주기마다 각 포트의 점유율에 따른 스펙트럼의 패턴은 거의 비슷한 형태를 유지하나, 특정 응용 포트를 이용하는 인터넷 웜 공격 시와 같이 이상 상태가 발생하면 특정 포트의 이벤트가 증가함으로써 특정 포트의 면적이 증가하게 되고 결과적으로 전체 스펙트럼 패턴의 변화가 생기게 된다.
모든 포트를 대상으로 할 경우 너무 많은 포트가 스펙트럼 상에 표현되어 식별력이 떨어지는 경우에는 특정 양 또는 특정 비율 이상 발생 포트만을 그 대상으로 할 수 있다.
이와 같이 포트 스펙트럼을 이용하여 특정 응용 포트를 이용하는 공격으로 인한 이상 상태의 발생을 쉽게 탐지할 수 있게 된다.
연결성 스펙트럼(220)은 원천지 주소 표시 평면(221)과 목적지 주소 표시 평면(224)을 서로 구분되도록 배치하고 해당 분석 주기 내 발생한 전체 이벤트들을 대상으로 이들 이벤트의 원천지 주소와 목적지 주소 사이의 연결 정도를 그래프로 표현한다.
각 원천지 주소별로 해당 원천지 주소에서 관리 도메인 상의 모든 목적지 주 소로 발생한 이벤트 양의 전체 이벤트 양에 대한 비율을 구한 후 그 비율의 상대적 크기에 따라 해당 원천지 주소 표시점의 크기를 달리 하여(222) 원천지 주소 평면(221)의 스펙트럼을 구성한다.
마찬가지로 각 목적지 주소별로 발생한 이벤트의 상대적 비율에 따라 목적지 주소 표시점의 크기를 달리 함으로써(225) 목적지 주소 평면(224)의 스펙트럼을 구성한다.
또한 특정 원천지 주소와 목적지 주소 쌍간에 발생한 이벤트의 상대적 비율에 따라 해당 원천지와 목적지의 연결을 표현하는 선의 굵기를 달리함으로써(223) 원천지-목적지 간의 연결성을 표현한다.
이 경우에도 정상적인 상태에서는 전체 그래프의 패턴이 매 분석 주기마다 거의 비슷한 형태로 유지된다. 하지만 포트 스캐닝 또는 호스트 스캐닝과 같이 특정 원천지에서 관리 도메인 상으로 접근 시도가 많이 발생하는 공격의 경우 특정 원천지 주소를 가지는 이벤트 수의 급격한 증가를 가지고 오고 이는 원천지 주소 표시 평면에서 해당 원천지 주소 표시점의 면적이 커지게 되며 결과적으로 스펙트럼의 전체적 패턴이 달라지게 된다.
마찬가지로 분산 서비스 거부 공격과 같이 다양한 원천지에서 특정 목적지로의 접근 시도가 급격히 증가하는 공격의 경우에는 해당 목적지 표시점의 면적이 증가하게 되어 스펙트럼의 패턴의 변화가 발생하게 된다.
또한 단순한 서비스 거부 공격과 같이 특정 원천지에서 특정 목적지로의 접근 시도가 급격히 증가하는 공격의 경우 해당 원천지-목적지간 연결성을 나타내는 선의 굵기가 갑자기 굵어지게 되어 전체 스펙트럼의 변화가 발생하게 된다.
전체 원천지/목적지 연결 정보를 표현하면 너무 많은 정보가 그래프 상에 표현되어 식별력이 떨어질 경우 특정 비율 이상 또는 특정 접근 시도 회수 이상만을 대상으로 하여 그래프 상에 표현할 수 있다.
결과적으로 연결성 스펙트럼을 이용하면 원천지/목적지별 또는 원천지-목적지간 접근 시도의 변화를 유발하는 공격으로 인한 이상 상태의 탐지가 용이하고, 이상 상태를 유발한 원천지 또는 공격의 대상이 되는 목적지의 식별도 가능하다.
도 3은 다량의 이벤트 발생 시 본 발명에 따라 이벤트 간의 연관성을 고려하여 표시한 결과의 일 예를 도시한 것이다.
현재와 같이 다량의 보안 이벤트가 발생할 경우에 관리 도메인의 보안 상황을 신속히 파악하여 대응하기 위해서는 도메인 상의 각 목적지별로 발생한 이벤트의 양도 중요할 뿐만 아니라 해당 이벤트들의 이벤트 유형, 해당 이벤트들을 발생시키게 된 원천지 주소 정보 등 관련 정보의 연관 관계를 한 눈에 파악하는 것이 필요하다.
이를 위해 목적지 주소 평면(320), 이벤트 유형 표시 평면(310), 원천지 주소 평면(320)을 서로 구분되도록 배치하여 각 목적지 주소별로 발생한 이벤트 양을 막대의 높이로 표현하고(321) 해당 이벤트들의 소속 이벤트 유형, 발생 원천지 주소 정보를 선으로 연결하여 표현함으로써(340), 세 속성간의 연관관계를 하나의 그래프 상에 나타내게 된다.
또한 이벤트 유형별, 목적지 주소별, 원천지 주소별로 가장 많이 발생한 최 상위 이벤트 유형, 목적지/원천지 주소 정보를 각각의 평면에 표현(311)함으로써 이에 대한 분석이 가능하게끔 한다. 도면에는 이벤트 유형 평면에만 참조 번호가 기재되어 있다.
또한 이벤트의 특정 속성(예를 들어 심각도)을 기준으로 각 목적지에서 발생한 이벤트들의 대표값을 해당 목적지에서의 막대의 색깔로써 표현(321)함으로써 해당 목적지의 보안 상황 파악이 용이하도록 한다. 이 경우 최다 빈도별 또는 발생 이벤트의 양에 대한 속성이 같이 표현되게 된다.
또한 연관성을 표현하기 위해 연결하는 선의 색깔을 발생 이벤트 양의 정도에 따라 달리 표현함(340)으로써 연관관계에 있는 둘 사이의 발생 이벤트 양에 대한 파악이 용이하도록 한다.
필요한 경우 원천지 주소 평면의 특정 부분을 확대(331)하여 도시해서 표시할 수도 있다.
상기와 같은 본 발명은 보안하려는 대상인 네트워크에 연결된 서버에서 적절한 프로그램을 통해 구현될 수 있으며, 여러 가지 응용되는 모습으로 예를 들면 네트워크 보안 시스템, 보안 관리 시스템 또는 네트워크 관리 시스템 등의 형태로 구현될 수 있다.
본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 본 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 상기의 설명에 포함된 예들은 본 발명에 대한 이해를 위해 도입된 것이며, 이 예들은 본 발명의 사상과 범위를 한정하지 않는다. 상기의 예들 외에도 본 발명에 따른 다양한 실시 태양이 가능하다는 것은, 본 발명이 속한 기술 분야에 통상의 지식을 가진 사람에게는 자명할 것이다. 본 발명의 범위는 전술한 설명이 아니라 청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
또한 본 발명에 따른 상기의 각 단계는 일반적인 프로그래밍 기법을 이용하여 소프트웨어적으로 또는 하드웨어적으로 다양하게 구현할 수 있다는 것은 이 분야에 통상의 기술을 가진 자라면 용이하게 알 수 있는 것이다.
그리고 본 발명의 일부 단계들은, 또한, 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다.
본 발명에 의하면, 네트워크의 관리 도메인 상에서 발생하는 보안 관련 이벤트를 수집하고, 수집된 이벤트로부터 그래프로 표현할 응용 포트별 발생 양, 원천지 주소와 목적지 주소간의 연결성 정도, 원천지 주소, 목적지 주소, 이벤트 유형을 포함하는 정보를 추출하며, 추출된 정보를 원천지 주소, 목적지 주소 및 이벤트 유형간의 상호 연관성에 따라 그래프로 표시하여, 단순히 각 이벤트별 개별 정보를 사용자에게 전달하는 수준에서 이를 3차원 상에 다양한 형태의 그래프로 표현함으로써 관리 대상 도메인 상에서 발생하는 보안상 이상 상태에 대한 신속한 탐지가 가능하고, 이벤트를 구성하는 다양한 속성간의 관계를 하나의 그래프 상에 표시함으로써 다량으로 발생한 이벤트들의 상호 연관 관계에 대한 직관적 분석이 용이하다. 따라서 관리 대상 도메인 상에 발생하는 이상 상태의 패턴 및 이상 상태의 심각도와 그 주된 목적지, 원천지, 응용 포트에 대한 파악이 용이하게 하며, 또한 다량의 보안 이벤트를 하나의 3차원 그래프 상에 표현함으로써 각 목적지별 발생 보안 이벤트 양과 그에 관련된 보안 이벤트 유형, 원천지 주소와 최상위 이벤트유형/목적지/원천지 등에 대한 상호 연관 관계의 파악을 통한 보안상 중점적 관리 대상을 선정하여 대처할 수 있게 한다.
결과적으로 보안 관리 대상 도메인의 현재 보안 상황에 대한 분석과 그 중점 관리 대상 객체에 대한 파악을 용이하게 함으로써 이 후 신속하고 효과적인 대응을 통한 해당 도메인의 보안 능력을 극대화할 수 있다.

Claims (13)

  1. (a) 네트워크의 관리 도메인 상에서 발생하는 보안 관련 이벤트를 수집하는 단계;
    (b) 상기 수집된 이벤트로부터 그래프로 표현할 응용 포트별 발생 양, 원천지 주소와 목적지 주소간의 연결성 정도, 원천지 주소, 목적지 주소, 이벤트 유형을 포함하는 정보를 추출하는 단계; 및
    (c) 상기 추출된 정보를 원천지 주소, 목적지 주소 및 이벤트 유형간의 상호 연관성에 따라 그래프로 표시하는 단계;를 포함하는 것을 특징으로 하는 네트워크의 보안 관련 이벤트 정보를 표시하는 방법.
  2. 제1항에 있어서, 상기 (c) 단계는,
    (c1) 각 응용 포트별로 발생하는 각 이벤트 양의 전체 관리 대상 네트워크에서 발생하는 이벤트 양에 대한 비율을 계산하는 단계; 및
    (c2) 상기 계산된 각 이벤트별 비율의 상대적 크기에 따라 각 응용 포트별로 면적을 할당하여 표시하는 단계;를 포함하는 것을 특징으로 하는 네트워크의 보안 관련 이벤트 정보를 표시하는 방법.
  3. 제2항에 있어서,
    상기 (c2) 단계에서 각 응용 포트별 할당된 면적을 각 포트별로 고유한 색으 로 표시하는 것을 특징으로 하는 네트워크의 보안 관련 이벤트 정보를 표시하는 방법.
  4. 제2항에 있어서,
    (d) 상기 (c) 단계 후에 상기 표시된 그래프 패턴에 따라 관리 대상 도메인의 보안상 이상 상태를 판단하는 단계;를 더 포함하며,
    특정 포트의 이벤트가 증가함으로써 특정 포트에 대응하는 면적이 증가하여 전체 표시된 패턴이 변하는 경우 특정 응용 포트를 이용하는 인터넷 웜 공격을 포함하는 이상 상태가 발생한 것으로 판단하는 것을 특징으로 하는 네트워크의 보안 관련 이벤트 정보를 표시하는 방법.
  5. 제1항 내지 제4항 중의 한 항에 있어서,
    소정의 양 또는 특정 비율 이상으로 이벤트가 발생한 포트만을 대상으로 하여 표시하는 것을 특징으로 하는 네트워크의 보안 관련 이벤트 정보를 표시하는 방법.
  6. 제1항에 있어서, 상기 (c) 단계는,
    (c1) 원천지 주소 표시 평면에 각 원천지 주소별로 해당 원천지 주소에서 관리 도메인 상의 모든 목적지 주소로 발생한 이벤트 양의 전체 이벤트 양에 대한 비율에 따라 해당 원천지 주소 표시점의 크기를 달리 하여 원천지 주소를 표시하는 단계;
    (c2) 목적지 주소 평면에 각 목적지 주소별로 발생한 이벤트의 상대적 비율에 따라 목적지 주소 표시점의 크기를 달리 하여 목적지 주소를 표시하는 단계;
    (c3) 상기 표시된 원천치 주소와 목적지 주소들 사이에 발생한 이벤트의 상대적 비율에 따라 해당 원천지와 목적지의 연결을 표현하는 선의 굵기를 달리하여 원천지 주소와 목적지 주소간의 연결을 하는 단계;를 포함하는 것을 특징으로 하는 네트워크의 보안 관련 이벤트 정보를 표시하는 방법.
  7. 제6항에 있어서,
    (d) 상기 (c) 단계 후에 상기 표시된 그래프 패턴에 따라 관리 대상 도메인의 보안상 이상 상태를 판단하는 단계;를 더 포함하며,
    다양한 원천지에서 특정 목적지로의 접근 시도가 급격히 증가되어 해당 목적지 표시점의 면적이 증가하게 되어 상기 표시된 패턴의 변화가 발생하는 경우 분산 서비스 거부 공격인 것으로 판단하는 것을 특징으로 하는 네트워크의 보안 관련 이벤트 정보를 표시하는 방법.
  8. 제6항에 있어서,
    (d) 상기 (c) 단계 후에 상기 표시된 그래프 패턴에 따라 관리 대상 도메인의 보안상 이상 상태를 판단하는 단계;를 더 포함하며,
    특정 원천지에서 특정 목적지로의 접근 시도가 급격히 증가하여 해당 원천지 주소와 목적지 주소간 연결성을 나타내는 선의 굵기가 갑자기 굵어지게 되어 상기 표시된 패턴의 변화가 발생하는 경우 단순 서비스 거부 공격으로 판단하는 것을 특징으로 하는 네트워크의 보안 관련 이벤트 정보를 표시하는 방법.
  9. 제1항, 제6항 내지 제8항 중의 한 항에 있어서,
    상기 (c) 단계에서 특정 비율 이상 또는 특정 접근 시도 회수 이상의 이벤트가 발생한 원천지 및 목적지만을 대상으로 하여 그래프로 표시하는 것을 특징으로 하는 네트워크의 보안 관련 이벤트 정보를 표시하는 방법.
  10. 제1항에 있어서,
    상기 (b) 단계에서 목적지 주소를 기준으로 발생 이벤트 양, 해당 이벤트의 유형, 원천지 주소 정보를 추출하며,
    상기 (c) 단계는,
    (c1) 목적지 주소가 표시되는 평면, 이벤트 유형이 표시되는 평면, 원천지 주소가 표시되는 서로 구분되는 각 평면에 각 목적지 주소별로 발생한 이벤트 양을 나타내도록 표시하는 단계; 및
    (c2) 해당 이벤트들의 이벤트 유형, 원천지 주소 정보들간의 대응하는 정보들을 선으로 연결하여 세 속성간의 연관관계를 표시하는 단계;를 포함하는 것을 특징으로 하는 네트워크의 보안 관련 이벤트 정보를 표시하는 방법.
  11. 제10항에 있어서,
    상기 (c) 단계에서, 이벤트의 보안상 심각성의 정도, 최다 빈도별 또는 발생 이벤트 양을 포함하는 속성을 기준으로 각 목적지에서 발생한 이벤트들의 양을 나타내는 색을 다르게 표시하는 것을 특징으로 하는 네트워크의 보안 관련 이벤트 정보를 표시하는 방법.
  12. 제10항에 있어서,
    상기 (c2) 단계의 연관성을 표현하기 위해 연결하는 상기 선의 색깔을 발생 이벤트 양의 정도에 따라 다르게 표시할 수 있는 것을 특징으로 네트워크의 보안 관련 이벤트 정보를 표시하는 방법.
  13. 제10항 내지 제12항 중의 한 항에 있어서,
    상기 (c) 단계에서 특정 양 이상의 이벤트 만을 대상으로 그래프로 표시하는 것을 특징으로 하는 네트워크의 보안 관련 이벤트 정보를 표시하는 방법.
KR1020050087024A 2005-09-16 2005-09-16 네트워크의 보안 관련 이벤트 정보를 표시하는 방법 KR100656352B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050087024A KR100656352B1 (ko) 2005-09-16 2005-09-16 네트워크의 보안 관련 이벤트 정보를 표시하는 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050087024A KR100656352B1 (ko) 2005-09-16 2005-09-16 네트워크의 보안 관련 이벤트 정보를 표시하는 방법

Publications (1)

Publication Number Publication Date
KR100656352B1 true KR100656352B1 (ko) 2006-12-11

Family

ID=37732898

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050087024A KR100656352B1 (ko) 2005-09-16 2005-09-16 네트워크의 보안 관련 이벤트 정보를 표시하는 방법

Country Status (1)

Country Link
KR (1) KR100656352B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100819049B1 (ko) 2006-12-06 2008-04-02 한국전자통신연구원 침입 상황 분석 및 대응 장치 그리고 그 장치가 공격탐지경보를 n차 분면 연관 그래프로 표현하는 방법
KR101137694B1 (ko) * 2010-07-12 2012-04-25 주식회사 윈스테크넷 디도스 발생 탐지분석 및 표시를 위한 통합보안관리시스템 및 이에 의한 디도스 발생탐지분석 및 표시방법
KR101384618B1 (ko) 2013-10-30 2014-04-11 주식회사 이글루시큐리티 노드 분석 기법을 이용한 위험요소 추출 시스템
KR101499116B1 (ko) * 2013-11-28 2015-03-06 한국과학기술정보연구원 보안이벤트 판별 방법 및 이에 적용되는 장치
US9158894B2 (en) 2011-12-16 2015-10-13 Electronics And Telecommunications Research Institute Apparatus and method for analyzing rule-based security event association

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100819049B1 (ko) 2006-12-06 2008-04-02 한국전자통신연구원 침입 상황 분석 및 대응 장치 그리고 그 장치가 공격탐지경보를 n차 분면 연관 그래프로 표현하는 방법
KR101137694B1 (ko) * 2010-07-12 2012-04-25 주식회사 윈스테크넷 디도스 발생 탐지분석 및 표시를 위한 통합보안관리시스템 및 이에 의한 디도스 발생탐지분석 및 표시방법
US9158894B2 (en) 2011-12-16 2015-10-13 Electronics And Telecommunications Research Institute Apparatus and method for analyzing rule-based security event association
KR101384618B1 (ko) 2013-10-30 2014-04-11 주식회사 이글루시큐리티 노드 분석 기법을 이용한 위험요소 추출 시스템
KR101499116B1 (ko) * 2013-11-28 2015-03-06 한국과학기술정보연구원 보안이벤트 판별 방법 및 이에 적용되는 장치

Similar Documents

Publication Publication Date Title
Abdullah et al. IDS RainStorm: Visualizing IDS Alarms.
KR100885293B1 (ko) 네트워크 보안 상황 표시 장치 및 그 방법
KR100949803B1 (ko) 아이피 주소 분할 표시 장치 및 방법
US20080065765A1 (en) Monitoring events in a computer network
US7930752B2 (en) Method for the detection and visualization of anomalous behaviors in a computer network
US7516114B2 (en) Visual structuring of multivariable data
CN108074030A (zh) 一种资产信息的安全分析和可视化管理系统及方法
CN103765432A (zh) 视觉组件和下钻映射
KR20140007615A (ko) 네트워크 보안 상황 시각화 방법 및 그 장치
KR100656352B1 (ko) 네트워크의 보안 관련 이벤트 정보를 표시하는 방법
Fink et al. Visual correlation of host processes and network traffic
Conti et al. Countering security information overload through alert and packet visualization
KR100609707B1 (ko) 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석방법 및 그 장치
Erbacher et al. Visualization in detection of intrusions and misuse in large scale networks
CN108923954A (zh) 一种网络数据可视化分析及展示系统
KR101976395B1 (ko) 네트워크의 비정상행위 시각화 방법 및 장치
Chang et al. An efficient network attack visualization using security quad and cube
CN114567498B (zh) 用于网络行为可视化的元数据提取和处理方法及系统
WO2018211835A1 (ja) 評価プログラム、評価方法および情報処理装置
Musa et al. Visualising communication network security attacks
Ulmer et al. Towards Visual Cyber Security Analytics for the Masses.
JP4825979B2 (ja) 通信ログ視覚化装置、通信ログ視覚化方法及び通信ログ視覚化プログラム
Li et al. The research on network security visualization key technology
KR20190140554A (ko) 네트워크 보안상황 와해성 시각화 장치
JP2008257482A (ja) 計算機操作の可視化方法

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee