KR100748246B1 - 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한다단계 통합보안 관리 시스템 및 방법 - Google Patents

침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한다단계 통합보안 관리 시스템 및 방법 Download PDF

Info

Publication number
KR100748246B1
KR100748246B1 KR1020060028232A KR20060028232A KR100748246B1 KR 100748246 B1 KR100748246 B1 KR 100748246B1 KR 1020060028232 A KR1020060028232 A KR 1020060028232A KR 20060028232 A KR20060028232 A KR 20060028232A KR 100748246 B1 KR100748246 B1 KR 100748246B1
Authority
KR
South Korea
Prior art keywords
intrusion detection
traffic statistics
analysis
information
collection engine
Prior art date
Application number
KR1020060028232A
Other languages
English (en)
Inventor
김우년
이은영
이상훈
남동수
윤주범
이종문
주미리
이도훈
박응기
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020060028232A priority Critical patent/KR100748246B1/ko
Priority to US11/453,497 priority patent/US20070234425A1/en
Application granted granted Critical
Publication of KR100748246B1 publication Critical patent/KR100748246B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 시스템 및 방법에 관한 것으로서, 다양한 침입탐지 엔진이 발생하는 로그를 수집할 수 있는 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 함께 적용하여 분석 데이터를 수집하여 관제중간관리서버로 전송하고, 관제중간관리서버는 침입탐지 로그와 트래픽 통계 정보에 대해서 상호 연관성을 분석함으로써 보다 정확한 침입탐지를 수행함과 아울러 각각의 관제중간관리서버로부터 전송된 침입탐지 로그와 트래픽 통계 정보에 대해 관제최상위관리서버에서 통합적으로 연관성을 분석하여 대규모 관제 대상 그룹에 대한 통합보안 관리를 수행함으로써 대규모 통합보안 관리를 효율적으로 지원할 수 있다.
침입탐지 로그수집 엔진, 트래픽 통계수집 엔진, 다단계 통합보안

Description

침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 시스템 및 방법{MULTI-STEP INTEGRATED SECURITY MONITORING SYSTEM AND METHOD USING INTRUSION DETECTION SYSTEM LOG COLLECTION ENGINE AND TRAFFIC STATISTIC GENERATION ENGINE}
도 1은 본 발명의 실시 예에 따른 실시간 통합보안 관리를 위한 시스템의 전체 구성도,
도 2는 본 발명의 실시 예에 따른 침입탐지 로그수집 엔진의 내부 구성도,
도 3은 본 발명의 실시 예에 따른 트래픽 통계수집 엔진의 내부 구성도,
도 4는 본 발명의 실시 예에 따른 관제중간관리서버와 관제최상위관리서버의 침입탐지 분석부와 트래픽 분석부에서 수행하는 동작 과정을 나타낸 흐름도,
도 5는 본 발명의 실시 예에 따른 관제중간관리서버와 관제최상위관리서버의 연관 분석부에서 수행하는 동작 과정을 나타낸 흐름도이다.
<도면의 주요 부분에 대한 부호의 설명>
100 : 관제에이전트 101 : 침입탐지 로그수집 엔진
102 : 트래픽 통계수집 엔진 200 : 관제중간관리서버
201 : 침입탐지 분석부 202 : 트래픽 분석부
203 : 연관 분석부 204 : 관리콘솔
300 : 관제최상위관리서버 301 : 침입탐지 분석부
302 : 트래픽 분석부 303 : 연관 분석부
304 : 최상위 관리콘솔 305 : 확장 인터페이스
본 발명은 보안 관리 시스템 및 방법에 관한 것으로, 더욱 상세하게는 침입탐지 시스템의 로그를 수집하는 침입탐지 로그수집 엔진과, 트래픽 통계 정보를 생성하는 트래픽 통계수집 엔진을 이용하여 수집된 침입탐지 로그 정보와 트래픽 통계 정보를 연관 분석하여 외부의 침입을 모니터링함과 아울러 대규모 관제를 위한 다단계 구조를 지원하는 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 시스템 및 방법에 관한 것이다.
인터넷의 급속한 성장으로 다양한 이점을 제공하고 있으나, 동시에 인터넷은 많은 문제점을 포함하고 있다. 이중 가장 큰 문제 영역으로 보안 영역이 대두되고 있는 추세이다. 현재 많은 시스템들이 공격의 대상이 되고 있으며, 이러한 침입 행위(intrusion behavior)는 오용 침입(misuse intrusion)과 비정상적인 침입(abnormal intrusion)으로, 침입 모델의 유형에 따라 분류되고 있다. 이에 많은 침입탐지 기법들이 소개되고 이들을 탑재한 침입탐지 시스템(IDS: Intrusion Detection System)들이 상용화되고 있지만, 대부분이 패턴 탐지를 하고 있으며 또한 오탐율이 매우 높은 실정이다. 이와 같이, 침입탐지 정보만을 이용하여 실제 관제를 수행하기에는 높은 오탐율로 인하여 실제적으로 적용하는데 문제가 있다.
즉, 현재까지의 침입탐지 로그 정보를 이용하는 관제시스템은 수많은 오탐지 때문에 실제 침입 정보를 확인하기 어렵다. 따라서 수집된 침입탐지 로그의 수나 탐지된 공격명 별로 수집된 로그의 수 등으로 침입을 탐지하거나, 데이터 마이닝 기법을 이용하여 실제 공격을 찾는 시도를 하고 있다. 그러나 여전히 공격을 탐지하기에는 어려움이 있다.
한편, 통계적 기법을 이용하여 외부의 침입을 탐지하기 위한 시도로서 트래픽 통계를 활용한 방법들이 제시되고 있다. 트래픽 통계를 활용한 방법의 경우에는 트래픽 통계 정보의 시계열 분석을 통하여 평상시보다 트래픽 양이 급속히 증가하거나 특정 포트의 트래픽 양이 증가하는 경우 등에 대한 이상 탐지를 수행하게 된다. 그러나, 이 방법 역시 많은 트래픽을 유발하는 정상 사용에 대해서 공격으로 판단할 수 있으며, 소규모 트래픽을 유발하는 침입 시도에 대해서는 탐지할 수 없는 문제가 있다.
즉, 트래픽 통계 정보를 이용하는 관제시스템은 침입탐지 시스템과 달리 특정 패턴을 활용하지 않음으로서 비정상 트래픽을 탐지할 수 있는 방안을 제공한다. 일반적으로 트래픽 통계 정보를 이용하는 방법은 트래픽의 통계치에 대한 정상 상태의 트래픽 양과 현재 수집된 트래픽 통계 정보의 양을 비교하여 정상상태인지 비 정상상태인지를 판단한다. 이 방법 역시 트래픽의 통계 정보만을 이용하여 판단하므로 공격에 대한 오탐율이 높고 트래픽 양이 적은 공격의 경우에는 공격을 탐지할 수 없는 어려움이 있다.
그리고, 많은 관제 시스템은 관제서버와 에이전트의 2단계 구조로서, 독립적인 다수의 기관들을 상호 연동하여 보안 관제를 수행하기에는 적합하지 않은 구조를 가지고 있다.
따라서, 본 발명은 상기한 종래 기술의 문제점을 해결하기 위해 이루어진 것으로서, 본 발명의 목적은 침입탐지 로그와 트래픽 양을 연관 분석함으로써 미리 정의된 패턴 방식에 의해 공격을 탐지하는 침입탐지 방식의 단점인 높은 오탐율 및 알려지지 않은 비정상 공격 탐지의 어려움과 트래픽 통계를 활용하는 비정상 탐지 방법의 단점인 트래픽 양의 변화가 적은 공격 탐지의 어려움 및 통계적 방안의 오탐율을 줄일 수 있도록 하였다. 또한 다단계 계층 구조로 관리 서버를 구성할 수 있도록 함으로써 대규모의 독립적인 여러 기관을 함께 관제할 수 있도록 하는 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 시스템 및 방법을 제공하는데 있다.
상기와 같은 목적을 달성하기 위한 본 발명의 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 시스템은, 독립적인 네트워크를 사용하는 기관별로 마련되며, 침입탐지 로그를 수집하는 침입탐지 로그수집 엔진과 트래픽 통계를 수집하는 트래픽 통계수집 엔진으로 구성된 관제에이전트; 및 상기 각 관제에이전트로부터 전달된 침입탐지 로그 및 트래픽 통계에 대해 개별 분석하거나 상호 연관성 분석하고, 상기 분석된 결과인 침입탐지 로그 정보와 트래픽 통계 정보를 통합적으로 분석하거나 상호 연관성을 분석하는 관리서버를 포함하는 것을 특징으로 한다.
한편, 본 발명의 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 방법은, 각 관제에이전트별로, 침입탐지 로그수집 엔진에서 침입탐지 로그를 수집하고, 트래픽 통계수집 엔진에서 트래픽 통계를 수집하는 단계; 상기 침입탐지 로그와 트래픽 통계를 관제중간관리서버로 전달하여 상기 관제중간관리서버에서 개별 분석을 수행하고, 상호 연관성 분석이 필요한 경우 연관성 분석을 수행하는 단계; 및 상기 분석된 결과인 침입탐지 로그 정보와 트래픽 통계 정보를 관제최상위관리서버로 전달하여 상기 관제최상위관리서버에서 개별 분석을 포함한 통합 분석을 수행하고 상호 연관성 분석이 필요한 경우 연관성 분석을 수행하는 단계를 포함하는 것을 특징으로 한다.
이하, 본 발명의 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 시스템 및 방법에 대하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.
도 1은 본 발명의 실시 예에 따른 실시간 통합보안 관리를 위한 시스템의 전체 구성도이다.
도 1에 도시된 바와 같이, 본 발명의 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 시스템은, 관제에이전트(100), 관제중간관리서버(200), 관제최상위관리서버(300)로 구성이 되며, 네트워크로 상호 연결되어 있다.
관제에이전트(100)는 독립적인 네트워크를 사용하는 기관의 가장 앞단에 위치하며, 스위치의 미러링이나 탭 장비에 의해 모든 네트워크 트래픽을 관찰할 수 있는 위치에 존재해야하며, 독립적인 네트워크를 사용하는 기관별로 하나의 에이전트가 필요하다. 관제에이전트는 침입탐지 로그를 수집하기 위한 침입탐지 로그수집 엔진(101)과 트래픽 통계를 수집하는 트래픽 통계수집 엔진(102)으로 구성되며, 하나의 시스템에 두 엔진이 함께 구성되거나, 별도의 시스템에 각각의 엔진으로 구성이 가능하다.
관제중간관리서버(200)는 여러 관제에이전트(100)의 침입탐지 로그수집 엔진(101)에서 수집한 정보를 개별 분석하는 침입탐지 분석부(201)와 트래픽 통계수집 엔진(102)에서 수집된 정보를 개별 분석하는 트래픽 분석부(202), 침입탐지 정보와 트래픽 통계를 상호 연관성 분석을 수행하는 연관 분석부(203), 분석된 결과를 관리자에게 제공하기 위한 관리콘솔(204)로 구성된다. 관제중간관리서버(200)는 여러 관제에이전트(100)로부터 침입탐지 정보와 트래픽 통계정보를 수신하여 관리할 수 있으며, 분석된 정보는 관리자에게 제공하며, 관제에이전트(100)로부터 수집된 정보는 관제최상위관리서버(300)로 전송하여 최상위 단계에서 분석이 가능하도록 한다.
관제최상위관리서버(300)는 여러 관제중간관리서버(200)로부터 전송된 정보를 수신한 후, 침입탐지 정보는 침입탐지 분석부(301)에서 개별 분석을 수행하고, 트래픽 통계 정보는 트래픽 분석부(302)에서 개별 분석을 수행하며, 침입탐지 정보와 트래픽 통계 정보의 연관 분석은 연관 분석부(303)에서 수행하게 되며, 분석된 정보는 최상위 관리콘솔(304)을 통해서 최상위 관리자에게 제공된다. 또한, 관제최상위관리서버는 상위의 또 다른 관리서버와의 연결을 위해서 확장 인터페이스(305)를 제공하며, 이 인터페이스를 통해서 수집된 모든 정보가 또 다른 관리서버로 전송될 수 있다.
도 2는 본 발명의 실시 예에 따른 침입탐지 로그수집 엔진의 내부 구성도이다.
도 2에 도시된 바와 같이, 침입탐지 로그수집 엔진(101)에서 침입탐지 로그를 수집하는 단계가 도시되어 있으며, 외부 인터페이스부(S202), 형식 변환부(S203), 로그 축약부(S204), 전송부(S205)로 구성되어 있다.
외부 인터페이스부(S202)는 다양한 IDS(Intrusion Detection System)(S201)으로부터 로그 수집이 가능하도록 하기 위해서 제공하는 인터페이스이며, 상기의 인터페이스를 통해서 침입탐지 로그를 접근하게 된다.
형식 변환부(S203)는 다양한 시스템으로부터 수집된 침입탐지 로그를 상기 시스템에서 사용하는 형식으로 변환하는 역할을 수행한다.
로그 축약부(S204)는 정해진 기간에 수집된 로그의 내용을 로그의 종류별로 축약을 수행하며, 로그 축약을 통하여 전송부(S205)에서 전송할 데이터의 양을 줄이는 역할을 수행한다.
전송부(S205)는 수집되어 변환되고, 축약된 침입탐지 로그를 관제중간관리서버로 전송하는 역할을 수행하며, 정해진 주기마다 축약되고 형식이 변환된 침입탐지 로그 정보를 전송하게 된다.
도 3은 본 발명의 실시 예에 따른 트래픽 통계수집 엔진의 내부 구성도이다.
도 3에 도시된 바와 같이, 트래픽 통계수집 엔진(102)에서 트래픽 통계정보를 생성하고 전송하는 단계가 도시되어 있으며, 네트워크 인터페이스(S301)로부터 전달된 패킷을 분석하는 패킷 분석부(S302), 트래픽 정보 관리부(S303), 통계정보 생성부(S304), 전송부(S305)로 구성되어 있다.
패킷 분석부(S302)는 네트워크 인터페이스(S301)로부터 수집된 패킷의 헤더 정보를 분석하는 역할을 수행한다.
트래픽 정보 관리부(S303)는 일정 기간 동안 분석된 패킷 정보를 데이터베이스나 메모리에 저장, 관리하는 역할을 수행하며 해당 정보의 활용이 종료된 후에는 삭제하는 역할을 수행한다. 패킷 분석부(S302)와 트래픽 정보 관리부(S303)는 네트 워크 인터페이스(S301)로부터 패킷이 캡쳐될 때마다 수행하게 된다.
통계 정보 생성부(S304)는 정해진 주기마다 수집된 패킷 정보에 대한 통계 정보를 생성한다. 통계 정보에는 유입 및 유출되는 패킷의 수와 바이트 수, 포트별 트래픽 통계, 프로토콜별 트래픽 통계, 크기별 트래픽 통계, 소스 IP별 트래픽 통계, 목적지 IP별 트래픽 통계 등의 정보를 생성한다.
전송부(S305)는 통계 정보 생성부(S304)에서 생성된 일정 기간의 통계 정보를 관제중간관리서버로 전송하는 역할을 수행한다.
도 4는 본 발명의 실시 예에 따른 관제중간관리서버와 관제최상위관리서버의 침입탐지 분석부와 트래픽 분석부에서 수행하는 동작 과정을 나타낸 흐름도이다.
도 4에 도시된 바와 같이, 관제중간관리서버(200)와 관제최상위관리서버(300)의 침입탐지 분석부(201, 301)와 트래픽 분석부(202, 302)에서 수행하는 분석 과정을 나타내고 있다.
관제중간관리서버와 관제최상위관리서버의 침입탐지 분석부와 트래픽 분석부에서 수행하는 분석 과정은 임계치 기반의 등급 판정과정이다. 침입탐지 분석부는 수집된 침입탐지 로그 정보를 이용하여 분석을 수행하며, 트래픽 분석부는 수집된 트래픽 통계 정보를 이용하여 분석을 수행한다.
분석부는 정해진 주기마다 수집된 정보에 대한 통계 정보를 생성(S401)하며, 생성된 통계 정보는 본 발명의 초기 운영과정에서 생성된 임계치와 비교(S402)를 수행한다. 임계치는 위험의 등급별로 다양하게 설정되며 관리자에 의해서 수동 조 정이 가능하게 된다. 등급별 임계치 비교를 통해서 생성된 통계가 속하는 등급을 판정(S403)하며, 판정 등급이 사용자통보가 필요한 경우(S404) 개별 분석의 결과로 관리 콘솔이나 최상위 관리콘솔을 통해서 관리자에게 통보(S405)를 수행한다. 또한 연관 분석이 필요한 등급으로 판정된 경우(S406) 연관 분석부에게 연관 분석이 필요함을 통보(S407)하여 연관분석이 수행되도록 한다. 사용자에게 통보가 필요하지 않은 경우는 다음 분석 시점까지 대기하게 된다.
도 5는 본 발명의 실시 예에 따른 관제중간관리서버와 관제최상위관리서버의 연관 분석부에서 수행하는 동작 과정을 나타낸 흐름도이다.
도 5에 도시된 바와 같이, 관제중간관리서버와 관제최상위관리서버의 연관 분석부에서 수행하는 연관분석 과정에 대한 순서도이다.
연관 분석부는 침입탐지 분석부나 트래픽 분석부에서 연관분석이 필요하다고 통보된 경우에 동작하며, 침입탐지 통계 정보의 이상인지 트래픽 통계 정보의 이상인지를 판단(S501)하게 된다. 침입탐지 통계 정보의 이상인 경우는 관련된 IP의 트래픽 통계 정보를 생성(S502)하고 연관 트래픽 임계치와 비교(S503)를 통하여 침입탐지 통계-트래픽 통계의 연관분석 등급을 판정(S504)한다. 트래픽 통계 정보의 이상인 경우는 트래픽 통계의 이상을 유발한 관련된 IP가 포함된 침입탐지 로그 통계 정보를 생성(S505)하고, 연관 침입탐지 임계치와 비교(S506)를 통하여 트래픽 통계-침입탐지 통계의 연관분석 등급을 판정(S507)한다. 판정된 등급이 사용자에게 통보가 필요(S508)한 경우 관리콘솔이나 최상위 관리콘솔을 통하여 사용자에게 통 보(S509)하게 된다.
이와 같이, 본 발명의 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 시스템 및 방법은, 침입탐지 로그수집 엔진에 의해 수집된 침입탐지 로그 정보와 트래픽 통계수집 엔진에 의해서 수집된 트래픽 통계 정보를 개별적으로 분석하여 위험 정도를 판단하고, 실제 연관 분석이 필요한 경우에는 침입탐지 로그 정보와 트래픽 통계 정보에 대한 연관 분석을 통해서 침입에 대한 판단을 하게 된다. 또한 관리서버를 다단계로 계층적으로 구성함으로써 독립적인 조직의 대규모 집합에 대해서 적용이 가능하도록 한다.
이상에서 몇 가지 실시예를 들어 본 발명을 더욱 상세하게 설명하였으나, 본 발명은 반드시 이러한 실시예로 국한되는 것이 아니고 본 발명의 기술사상을 벗어나지 않는 범위 내에서 다양하게 변형실시될 수 있다.
상술한 바와 같이, 본 발명에 의한 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 시스템 및 방법은, 침입탐지 로그를 이용한 관제와 트래픽 통계 정보만을 이용하는 관제에 있어서 높은 오탐율과 침입탐지의 패턴에 의한 새로운 유형의 공격에 대한 탐지의 한계와 트래픽의 변화가 거의 없는 공격에 대한 탐지의 한계로 인하여 관제 효과의 실효성을 거두지 못하는 현실 에서 침입탐지 로그수집 엔진에 의한 침입탐지 정보와 트래픽 통계수집 엔진에 의한 트래픽 통계를 연관 분석함으로써 관리자에게 의미 있는 침입 이벤트에 대해서 통보할 수 있도록 하는 효과가 있다. 특히 침입탐지 시스템이 가지는 장점인 패턴에 의한 탐지는 트래픽 통계에 의해서 탐지할 수 없는 공격을 탐지할 수 있으며, 트래픽 통계에 의한 탐지는 침입탐지 시스템의 단점인 패턴에 의한 탐지의 한계를 극복할 수 있도록 한다. 따라서 침입탐지 시스템의 패턴에 의한 탐지의 장점과 트래픽 통계에 의한 비패턴에 의한 탐지의 장점을 함께 적용함으로서 관제시스템의 오탐율을 줄이고 실제 의미 있는 정보를 관리자에게 효과적으로 정보를 제공할 수 있다.
또한, 본 발명에 의한 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 시스템 및 방법은, 다단계로 계층적 구성을 할 수 있도록 지원함으로써 대규모 독립조직의 정보를 수집하여 관제 수행에 효과적인 구조를 제공할 수 있다.

Claims (10)

  1. 독립적인 네트워크를 사용하는 기관별로 마련되며, 침입탐지 로그를 수집하는 침입탐지 로그수집 엔진과 트래픽 통계를 수집하는 트래픽 통계수집 엔진으로 구성된 관제에이전트; 및
    상기 각 관제에이전트로부터 전달된 침입탐지 로그 및 트래픽 통계에 대해 개별 분석하거나 상호 연관성 분석하고, 상기 분석된 결과인 침입탐지 로그 정보와 트래픽 통계 정보를 통합적으로 분석하거나 상호 연관성을 분석하는 관리서버
    를 포함하는 것을 특징으로 하는 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 시스템.
  2. 제1항에 있어서, 상기 침입탐지 로그수집 엔진은,
    상기 침입탐지 로그를 수집하기 위해 침입탐지시스템에 접근하는 외부 인터페이스부;
    상기 수집된 침입탐지 로그를 해당 시스템에서 사용하는 형식으로 변환하는 형식 변환부;
    정해진 기간에 수집된 로그의 내용을 로그의 종류별로 축약을 수행하는 로그 축약부; 및
    상기 축약된 로그를 관리서버로 전송하는 전송부
    로 이루어진 것을 특징으로 하는 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 시스템.
  3. 제2항에 있어서, 상기 트래픽 통계수집 엔진은,
    네트워크에 접속되는 네트워크 인터페이스;
    상기 네트워크 인터페이스로부터 수집된 패킷의 헤더 정보를 분석하는 패킷 분석부;
    일정 기간 동안 분석된 패킷 정보를 데이터베이스나 메모리에 저장, 관리하며, 해당 정보의 활용이 종료된 후에는 삭제하는 트래픽 정보 관리부;
    정해진 주기마다 수집된 패킷 정보에 대한 통계 정보를 생성하는 통계정보 생성부; 및
    상기 생성된 일정 기간의 통계 정보를 관리서버로 전송하는 전송부
    로 이루어진 것을 특징으로 하는 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 시스템.
  4. 제3항에 있어서, 상기 통계 정보는 유입 및 유출되는 패킷의 수와 바이트 수, 포트별 트래픽 통계, 프로토콜별 트래픽 통계, 크기별 트래픽 통계, 소스 IP별 트래픽 통계, 목적지 IP별 트래픽 통계를 포함하는 것을 특징으로 하는 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 시스템.
  5. 제3항에 있어서, 상기 관리서버는,
    상기 각 관제에이전트로부터 전달된 침입탐지 로그 및 트래픽 통계에 대해 개별 분석하거나 상호 연관성 분석하는 다수의 관제중간관리서버; 및
    상기 다수의 관제중간관리서버로부터 전달된 침입탐지 로그 정보와 트래픽 통계 정보를 통합적으로 분석하거나 상호 연관성을 분석하는 관제최상위관리서버
    로 이루어진 것을 특징으로 하는 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 시스템.
  6. 제5항에 있어서, 상기 관제중간관리서버는,
    상기 각 관제에이전트의 침입탐지 로그수집 엔진에서 수집한 침입탐지 정보를 개별 분석하고, 분석 결과 사용자 통보가 필요한 경우 관리콘솔을 통하여 통보를 수행하고, 연관분석이 필요한 경우 연관 분석부에 분석 수행을 통보하는 침입탐지 분석부;
    상기 트래픽 통계수집 엔진에서 수집된 트래픽 통계 정보를 개별 분석하고, 분석결과 사용자 통보가 필요한 경우 관리콘솔을 통하여 통보를 수행하고, 연관분석이 필요한 경우 연관 분석부에 분석 수행을 통보하는 트래픽 분석부;
    침입탐지 분석부와 트래픽 분석부에 의해서 통보된 연관 분석 수행에 대해서 침입탐지 로그 정보와 트래픽 통계 정보를 이용하여 상호 연관분석을 수행하는 연관 분석부; 및
    침입탐지 분석부, 트래픽 분석부, 연관 분석부에 의한 사용자 통보 정보 및 정보의 다양한 시각화를 제공하는 관리콘솔
    로 이루어진 것을 특징으로 하는 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 시스템.
  7. 제5항에 있어서, 상기 관제최상위관리서버는,
    상기 각 관제중간관리서버에서 전달된 침입탐지 정보를 개별 분석하고, 분석 결과 사용자 통보가 필요한 경우 최상위 관리콘솔을 통하여 통보를 수행하고, 연관분석이 필요한 경우 연관 분석부에 분석 수행을 통보하는 침입탐지 분석부;
    상기 각 관제중간관리서버에서 전달된 트래픽 통계 정보를 개별 분석하고, 분석결과 사용자 통보가 필요한 경우 최상위 관리콘솔을 통하여 통보를 수행하고, 연관분석이 필요한 경우 연관 분석부에 분석 수행을 통보하는 트래픽 분석부;
    침입탐지 분석부와 트래픽 분석부에 의해서 통보된 연관 분석 수행에 대해서 침입탐지 로그정보와 트래픽 통계정보를 이용하여 상호 연관분석을 수행하는 연관 분석부;
    침입탐지 분석부, 트래픽 분석부, 연관 분석부에 의한 사용자 통보 정보 및 정보의 다양한 시각화를 제공하는 최상위 관리콘솔; 및
    관제최상위관리서버의 상위 분석 시스템과의 연결을 지원하는 확장 인터페이스
    로 이루어진 것을 특징으로 하는 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 시스템.
  8. 각 관제에이전트별로, 침입탐지 로그수집 엔진에서 침입탐지 로그를 수집하고, 트래픽 통계수집 엔진에서 트래픽 통계를 수집하는 단계;
    상기 침입탐지 로그와 트래픽 통계를 관제중간관리서버로 전달하여 상기 관제중간관리서버에서 개별 분석을 수행하고, 상호 연관성 분석이 필요한 경우 연관성 분석을 수행하는 단계; 및
    상기 분석된 결과인 침입탐지 로그 정보와 트래픽 통계 정보를 관제최상위관리서버로 전달하여 상기 관제최상위관리서버에서 개별 분석을 포함한 통합 분석을 수행하고 상호 연관성 분석이 필요한 경우 연관성 분석을 수행하는 단계
    를 포함하는 것을 특징으로 하는 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 방법.
  9. 제8항에 있어서, 상기 관제최상위관리서버에서 처리된 결과를 다른 관제관리서버로 전달하여 상기 다른 관제관리서버에서 침입탐지 로그 정보와 트래픽 통계 정보를 처리하는 것을 특징으로 하는 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 방법.
  10. 제8항에 있어서, 상기 연관 분석은 침입탐지 로그 통계의 이상이 발견된 경우 해당 기간 동안의 로그 관련 IP를 포함하는 트래픽 통계 정보를 이용하여 연관분석을 수행하는 방법과, 트래픽 통계에 이상이 발견된 경우 해당 기간 동안의 침입탐지 로그 통계를 이용하여 연관분석을 수행하는 방법 중에서 어느 하나를 이용하는 것을 특징으로 하는 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 방법.
KR1020060028232A 2006-03-29 2006-03-29 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한다단계 통합보안 관리 시스템 및 방법 KR100748246B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020060028232A KR100748246B1 (ko) 2006-03-29 2006-03-29 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한다단계 통합보안 관리 시스템 및 방법
US11/453,497 US20070234425A1 (en) 2006-03-29 2006-06-15 Multistep integrated security management system and method using intrusion detection log collection engine and traffic statistic generation engine

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060028232A KR100748246B1 (ko) 2006-03-29 2006-03-29 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한다단계 통합보안 관리 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR100748246B1 true KR100748246B1 (ko) 2007-08-10

Family

ID=38561113

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060028232A KR100748246B1 (ko) 2006-03-29 2006-03-29 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한다단계 통합보안 관리 시스템 및 방법

Country Status (2)

Country Link
US (1) US20070234425A1 (ko)
KR (1) KR100748246B1 (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100825257B1 (ko) 2007-09-05 2008-04-25 주식회사 나우콤 비정상트래픽의 로그데이타 상세 처리 방법
KR100937020B1 (ko) * 2007-12-04 2010-01-15 (주)모니터랩 웹-데이터베이스 공격 탐지 로그 데이터 상관관계 추적에의한 통합 보안 시스템 및 방법
KR101010302B1 (ko) 2008-12-24 2011-01-25 한국인터넷진흥원 Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법
KR101038048B1 (ko) 2009-12-21 2011-06-01 한국인터넷진흥원 봇넷 악성행위 실시간 분석 시스템
KR101224994B1 (ko) 2010-12-24 2013-01-22 한국인터넷진흥원 봇넷 탐지 정보의 분석 시스템 및 방법
KR20140107914A (ko) 2013-02-28 2014-09-05 한국전자통신연구원 비행자료 보호 장치 및 비행자료 보호 방법
WO2021118029A1 (ko) * 2019-12-12 2021-06-17 한국과학기술정보연구원 보안 정보 가시화 장치, 보안 정보 가시화 방법 및 보안 정보를 가시화 하는 프로그램을 저장하는 저장매체

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7574740B1 (en) * 2000-04-28 2009-08-11 International Business Machines Corporation Method and system for intrusion detection in a computer network
US9354960B2 (en) 2010-12-27 2016-05-31 Red Hat, Inc. Assigning virtual machines to business application service groups based on ranking of the virtual machines
US9678803B2 (en) 2007-06-22 2017-06-13 Red Hat, Inc. Migration of network entities to a cloud infrastructure
US8429748B2 (en) * 2007-06-22 2013-04-23 Red Hat, Inc. Network traffic analysis using a dynamically updating ontological network description
WO2012016327A1 (en) * 2010-08-06 2012-02-09 Neuralitic Systems A method and system for generating metrics representative of ip data traffic from ip data records
CN103384242B (zh) * 2013-03-15 2016-12-28 中标软件有限公司 基于Nginx代理服务器的入侵检测方法及系统
JP5640166B1 (ja) 2014-03-31 2014-12-10 株式会社ラック ログ分析システム
JP5640167B1 (ja) * 2014-03-31 2014-12-10 株式会社ラック ログ分析システム

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002000400A (ja) * 2000-06-20 2002-01-08 Koichi Tanigawa 合成樹脂ボールを利用したマット
KR20020097291A (ko) * 2001-06-20 2002-12-31 (주)엔토시스 무선 인터넷 로그 분석 방법
JP2003001000A (ja) * 2001-06-19 2003-01-07 Naomoto Kogyo Kk オールスチームアイロン
KR20030023048A (ko) * 2001-09-11 2003-03-19 주식회사 이글루시큐리티 실시간 보안 감사 방법
KR20030061666A (ko) * 2002-01-15 2003-07-22 주식회사 아론통신기술 트래픽 수집/분석 시스템 및 방법
KR20040079515A (ko) * 2003-03-07 2004-09-16 주식회사 지모컴 침입탐지시스템용 임베디드 보드 및 이를 포함하는침입탐지시스템

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6088804A (en) * 1998-01-12 2000-07-11 Motorola, Inc. Adaptive system and method for responding to computer network security attacks
US20020032871A1 (en) * 2000-09-08 2002-03-14 The Regents Of The University Of Michigan Method and system for detecting, tracking and blocking denial of service attacks over a computer network
KR100437169B1 (ko) * 2001-05-04 2004-06-25 이재형 네트워크 트래픽 흐름 제어 시스템
US7062783B1 (en) * 2001-12-21 2006-06-13 Mcafee, Inc. Comprehensive enterprise network analyzer, scanner and intrusion detection framework
US7076803B2 (en) * 2002-01-28 2006-07-11 International Business Machines Corporation Integrated intrusion detection services
US7174566B2 (en) * 2002-02-01 2007-02-06 Intel Corporation Integrated network intrusion detection
US7363656B2 (en) * 2002-11-04 2008-04-22 Mazu Networks, Inc. Event detection/anomaly correlation heuristics
US7607169B1 (en) * 2002-12-02 2009-10-20 Arcsight, Inc. User interface for network security console

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002000400A (ja) * 2000-06-20 2002-01-08 Koichi Tanigawa 合成樹脂ボールを利用したマット
JP2003001000A (ja) * 2001-06-19 2003-01-07 Naomoto Kogyo Kk オールスチームアイロン
KR20020097291A (ko) * 2001-06-20 2002-12-31 (주)엔토시스 무선 인터넷 로그 분석 방법
KR20030023048A (ko) * 2001-09-11 2003-03-19 주식회사 이글루시큐리티 실시간 보안 감사 방법
KR20030061666A (ko) * 2002-01-15 2003-07-22 주식회사 아론통신기술 트래픽 수집/분석 시스템 및 방법
KR20040079515A (ko) * 2003-03-07 2004-09-16 주식회사 지모컴 침입탐지시스템용 임베디드 보드 및 이를 포함하는침입탐지시스템

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
논문(2002.04.00)
논문(2003.10.00)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100825257B1 (ko) 2007-09-05 2008-04-25 주식회사 나우콤 비정상트래픽의 로그데이타 상세 처리 방법
KR100937020B1 (ko) * 2007-12-04 2010-01-15 (주)모니터랩 웹-데이터베이스 공격 탐지 로그 데이터 상관관계 추적에의한 통합 보안 시스템 및 방법
KR101010302B1 (ko) 2008-12-24 2011-01-25 한국인터넷진흥원 Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법
KR101038048B1 (ko) 2009-12-21 2011-06-01 한국인터넷진흥원 봇넷 악성행위 실시간 분석 시스템
KR101224994B1 (ko) 2010-12-24 2013-01-22 한국인터넷진흥원 봇넷 탐지 정보의 분석 시스템 및 방법
KR20140107914A (ko) 2013-02-28 2014-09-05 한국전자통신연구원 비행자료 보호 장치 및 비행자료 보호 방법
WO2021118029A1 (ko) * 2019-12-12 2021-06-17 한국과학기술정보연구원 보안 정보 가시화 장치, 보안 정보 가시화 방법 및 보안 정보를 가시화 하는 프로그램을 저장하는 저장매체
US11876820B2 (en) 2019-12-12 2024-01-16 Korea Institute Of Science & Technology Information Security information visualization device, security information visualization method, and storage medium for storing program for visualizing security information

Also Published As

Publication number Publication date
US20070234425A1 (en) 2007-10-04

Similar Documents

Publication Publication Date Title
KR100748246B1 (ko) 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한다단계 통합보안 관리 시스템 및 방법
US9848004B2 (en) Methods and systems for internet protocol (IP) packet header collection and storage
CN105959144B (zh) 面向工业控制网络的安全数据采集与异常检测方法与系统
KR100561628B1 (ko) 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽감지 방법
US7903566B2 (en) Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data
CN101924757B (zh) 追溯僵尸网络的方法和系统
US7804787B2 (en) Methods and apparatus for analyzing and management of application traffic on networks
US8726382B2 (en) Methods and systems for automated detection and tracking of network attacks
US7995496B2 (en) Methods and systems for internet protocol (IP) traffic conversation detection and storage
EP2800024B1 (en) System and methods for identifying applications in mobile networks
US8762515B2 (en) Methods and systems for collection, tracking, and display of near real time multicast data
CN109587179A (zh) 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法
KR20110044036A (ko) 웹 서비스 대상 응용계층 디도스 공격 탐지 및 대응 장치
KR20010085057A (ko) 네트워크 흐름 분석에 의한 침입 탐지 장치
KR101602189B1 (ko) 10기가급 패킷 캡쳐링에 의한 트래픽 분석 및 망 감시 시스템
CN104219091A (zh) 一种网络运行故障检测系统及其方法
KR20120087393A (ko) Dns 패킷을 이용한 실시간 비정상 행위 탐지 방법
CN102447707A (zh) 一种基于映射请求的DDoS检测与响应方法
CN112422554A (zh) 一种检测异常流量外连的方法、装置、设备及存储介质
CN106452941A (zh) 网络异常的检测方法及装置
KR20030056652A (ko) 정책기반 네트워크 보안제어시스템에서의 블랙리스트관리장치 및 관리방법
CN113672912A (zh) 基于计算机硬件指征和行为分析的网络安全监控系统
JP2005236862A (ja) ログ分析装置、ログ分析プログラムおよび記録媒体
CN109462617A (zh) 一种局域网中设备通讯行为检测方法及装置
CN109309679A (zh) 一种基于tcp流状态的网络扫描检测方法及检测系统

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130710

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20140703

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20150703

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20160630

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20170703

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20180625

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20190701

Year of fee payment: 13