KR100798755B1 - Threats management system and method thereof - Google Patents
Threats management system and method thereof Download PDFInfo
- Publication number
- KR100798755B1 KR100798755B1 KR1020060044134A KR20060044134A KR100798755B1 KR 100798755 B1 KR100798755 B1 KR 100798755B1 KR 1020060044134 A KR1020060044134 A KR 1020060044134A KR 20060044134 A KR20060044134 A KR 20060044134A KR 100798755 B1 KR100798755 B1 KR 100798755B1
- Authority
- KR
- South Korea
- Prior art keywords
- local
- global
- event
- risk
- newly generated
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0604—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
- H04L41/0609—Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time based on severity or priority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
- H04L41/0636—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis based on a decision tree analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
본 발명은 위협 관리 시스템 및 그 방법에 관한 것으로, 전세계에서 현재 운용되고 있는 전체 네트워크(이하, 글로벌 네트워크라 함)로부터 발생하는 각종 위협 정보와 관련한 이벤트(이하, 글로벌 이벤트라 함) 및 일반 회사의 사내 혹은 지사를 포함하는 한정된 관리 대상 네트워크(이하, 로컬 네트워크라 함)로부터 발생하는 각종 위협 정보와 관련한 이벤트(이하, 로컬 이벤트라 함)를 실시간으로 수집 및 분석하여 산정한 위험도를 네트워크 관리자에게 제공한다.The present invention relates to a threat management system and a method thereof, and related to various threat information generated from the entire network (hereinafter referred to as global network) currently operating around the world (hereinafter referred to as global event) and general companies. Provides network administrators with the risks calculated and collected in real time by collecting and analyzing events (hereinafter referred to as local events) related to threat information generated from a limited managed network (hereinafter referred to as local network) including the company or branch offices. do.
본 발명에 의하면, 글로벌 이벤트와 로컬 이벤트를 실시간으로 수집 및 분석하여 산정한 위험도에 따라서 네트워크 관리자가 네트워크에 대한 각종 위협에 사전 대응함으로써 네트워크에 포함되는 내부 IT 자산(예컨대, 웹 서버, DB 서버 등)을 용이하게 보호할 수 있다.According to the present invention, internal IT assets (eg, web server, DB server, etc.) included in the network by the network administrator proactively respond to various threats to the network according to the risks calculated by collecting and analyzing global and local events in real time. ) Can be easily protected.
네트워크, 위협 관리 시스템, 위협 정보, 이벤트, 침해, IT Network, threat management system, threat information, events, breach, IT
Description
도 1은 본 발명에 따른 위협 관리 시스템을 나타낸 블록도.1 is a block diagram showing a threat management system according to the present invention.
도 2는 본 발명에 따른 위협 관리 방법을 나타낸 플로차트.2 is a flowchart illustrating a threat management method according to the present invention.
< 도면의 주요부분에 대한 부호의 설명 ><Description of Symbols for Major Parts of Drawings>
100: 위협 관리 시스템 110: 글로벌 DB100: threat management system 110: global DB
120: 로컬 DB 130: 자산 DB120: local DB 130: asset DB
140: 위협 관리부140: threat management
본 발명은 네트워크 관리 시스템에 관한 것이며, 더욱 상세히는 전세계에서 현재 운용되고 있는 전체 네트워크 및 일반 회사의 사내 혹은 지사를 포함하는 한정된 관리 대상 네트워크로부터 발생하는 각종 위협 정보를 실시간으로 수집 및 분석하여 산정한 위험도를 네트워크 관리자에게 제공하는 위협 관리 시스템 및 그 방 법에 관한 것이다.The present invention relates to a network management system, and more particularly, to collect and analyze in real time a variety of threat information generated from a limited managed network including a whole network currently operating in the world and a company or branch office of a general company. It relates to a threat management system and a method of providing a risk to a network administrator.
최근 들어, 전세계에서 현재 운용되고 있는 전체 네트워크를 통한 정보 보안 사고뿐만 아니라 일반 회사의 사내 혹은 지사를 포함하는 한정된 관리 대상 네트워크를 통한 정보 보안 사고가 급격하게 증가하고 있으며, 이로 인해 네트워크의 내부 IT 자산(예컨대, 웹 서버, DB 서버 등)에 대한 피해 복구 등과 관련한 손실이 증가하고 있다.In recent years, there has been a rapid increase in information security incidents through limited managed networks, including in-house or branch offices of general companies, as well as information security incidents across the entire network currently in operation worldwide. Losses related to disaster recovery (eg, web server, DB server, etc.) are increasing.
또한, 네트워크에 대한 침해 등의 사고 유형이 급변하면서 각종 위협 정보가 다양하고 복잡하게 복합적으로 발생할 뿐만 아니라 네트워크에 대한 공격 형태 역시 시스템의 취약점, 소프트웨어의 결함, 유해 트래픽, 콘텐츠 등을 공격 경로로 하는 다차원적인 형태로 진화하고 있으므로 네트워크 관리자가 이러한 각종 위협 정보들에 대한 위협 여부를 식별하고 우선 순위를 결정하여 대응책을 판단하기가 점점더 곤란해지고 있으며, 실제로 수적이나 질적으로 단기간 내에 기하급수적으로 증가하는 각종 위협 정보에 대한 대응 자체가 불가능한 경우도 있다.In addition, as the types of accidents such as invasion of the network change rapidly, various threat information is variously and complexly generated, and the attack form on the network is also based on system vulnerabilities, software defects, harmful traffic, and contents. As it is evolving into a multidimensional form, it is becoming increasingly difficult for network administrators to identify and prioritize threats against such threat information and to determine countermeasures. In some cases, it is impossible to respond to various threat information.
한편, 이와 같은 다양한 공격 형태에 각각 대응하기 위하여 다양한 단위 보안 솔루션이 도입되고 있으나, 이러한 단위 보안 솔루션을 운영하기 위해서는 다수의 보안 관리 인력이 필요하고, 이들 각각의 단위 보안 솔루션은 다른 단위 보안 솔루션에서 발생하는 이벤트를 중복하여 분석하기가 곤란할 뿐만 아니라 보안 경보에 대한 신뢰도 저하를 초래하는 오탐지(False Positive)가 발생하는 단점이 있다.On the other hand, various unit security solutions have been introduced to cope with such various types of attacks, but in order to operate such a unit security solution, a large number of security management personnel are required, and each of these unit security solutions is different from other unit security solutions. Not only is it difficult to duplicate an event that occurs, but there is a disadvantage that a false positive occurs that causes a decrease in the reliability of the security alert.
따라서, 본 출원인은 다양한 공격 형태의 각종 위협 정보들을 사전에 인지하여 최소한의 인력으로 신속한 대응을 수행할 수 있는 위협 관리 시스템 및 그 방법을 개발하게 되었다.Accordingly, the present applicant has developed a threat management system and method capable of promptly responding with minimum manpower by recognizing various threat information of various attack types in advance.
본 발명은 상기한 바와 같은 종래의 문제점을 해결하기 위한 것으로서, 본 발명의 목적은 전세계에서 현재 운용되고 있는 전체 네트워크(이하, 글로벌 네트워크라 함)로부터 발생하는 각종 위협 정보와 관련한 이벤트(이하, 글로벌 이벤트라 함) 및 일반 회사의 사내 혹은 지사를 포함하는 한정된 관리 대상 네트워크(이하, 로컬 네트워크라 함)로부터 발생하는 각종 위협 정보와 관련한 이벤트(이하, 로컬 이벤트라 함)를 실시간으로 수집 및 분석하여 산정한 위험도를 네트워크 관리자에게 제공하는 위협 관리 시스템 및 그 방법을 제공하는 것이다.The present invention is to solve the conventional problems as described above, an object of the present invention is to provide an event related to various threat information generated from the entire network (hereinafter referred to as global network) currently operating in the world (hereinafter referred to as global Events and related events (hereinafter referred to as local events) related to threat information generated from a limited managed network (hereinafter referred to as a local network) including a company or a branch of a general company in real time. It is to provide a threat management system and method for providing the calculated risk to the network administrator.
상기한 바와 같은 본 발명의 목적을 달성하기 위하여, 본 발명의 실시예에 따른 위협 관리 시스템은, 글로벌 네트워크로부터 발생하는 위협 정보와 관련한 공인코드와 위험도를 부여받은 글로벌 이벤트들과 현재 저장된 글로벌 이벤트들에 의한 글로벌 종합 위험도가 실시간으로 저장되는 글로벌 DB와; 로컬 네트워크로부터 발생하는 위협 정보와 관련한 공인코드와 위험도 및 대응하는 내부 IT 자산 IP를 부여받은 로컬 이벤트들과 현재 저장된 로컬 이벤트들에 의한 로컬 종합 위험도가 실시간으로 저장되는 로컬 DB; 상기 로컬 네트워크에 포함된 내부 IT 자산 IP와 각 내부 IT 자산의 위험도가 저장된 자산 DB; 및 외부의 정보 보안 공인 기관을 통하여 글로벌 네트워크로부터 발생하는 위협 정보와 관련한 이벤트를 실시간으로 수집 및 분석하여 대응하는 공인코드와 위험도를 부여하여 상기 글로벌 DB의 글로벌 이벤트로 저장하고, 로컬 네트워크에 설치된 내부의 정보 보안 공인 기관을 통하여 로컬 네트워크로부터 발생하는 위협 정보와 관련한 이벤트를 실시간으로 수집 및 분석하여 대응하는 공인코드와 위험도 및 대응하는 내부 IT 자산 IP를 부여하여 상기 로컬 DB의 로컬 이벤트로 저장하고, 상기 글로벌 이벤트를 실시간으로 수집 및 분석할 때 신규 발생한 글로벌 이벤트의 공인코드와 일치하는 공인코드를 부여받은 로컬 이벤트가 상기 로컬 DB에 있는지 여부 혹은 상기 로컬 이벤트를 실시간으로 수집 및 분석할 때 신규 발생한 로컬 이벤트의 공인코드와 일치하는 공인코드를 부여받은 글로벌 이벤트가 상기 글로벌 DB에 있는지 여부에 따라서 신규 발생한 글로벌 이벤트 혹은 신규 발생한 로컬 이벤트와 관련한 최종 위험도를 산정하여 네트워크 관리자에게 제공하는 위협 관리부;로 구성된다.In order to achieve the object of the present invention as described above, the threat management system according to an embodiment of the present invention, the global event and the currently stored global events given the authorization code and risk associated with the threat information generated from the global network A global DB in which the global comprehensive risk is stored in real time; A local DB storing local real-time risks from local events and currently stored local events that have been granted public codes and risks associated with threat information from local networks and corresponding internal IT asset IPs; An asset DB storing an internal IT asset IP included in the local network and a risk of each internal IT asset; And collects and analyzes events related to threat information generated from the global network in real time through external information security authorized agencies, assigns corresponding authorized codes and risks, stores them as global events of the global DB, and installs them on the local network. Collects and analyzes events related to threat information from local network in real time through the information security authorized organization of the company, assigns corresponding authorized codes, risks and corresponding internal IT asset IPs, and stores them as local events of the local DB. Whether or not the local event is given in the local DB that has been granted the official code matching the authorized code of the newly generated global event when collecting and analyzing the global event in real time, or when the local event is newly collected and analyzed in real time. The official code of the event And a threat management unit for calculating a final risk associated with a newly generated global event or a newly generated local event according to whether or not a global event having a matching authorized code exists in the global DB.
상기한 바와 같은 본 발명의 목적을 달성하기 위하여, 본 발명의 실시예에 따른 위협 관리 방법은, 글로벌 네트워크로부터 발생하는 위협 정보와 관련한 공인코드와 위험도를 부여받은 글로벌 이벤트들과 현재 저장된 글로벌 이벤트들에 의한 글로벌 종합 위험도를 글로벌 DB에 실시간으로 저장하면서 신규 발생한 글로벌 이벤트의 공인코드와 일치하는 공인코드를 부여받은 로컬 이벤트가 상기 로컬 DB에 있는지 여부를 판별하는 제1 과정과; 로컬 네트워크로부터 발생하는 위협 정보와 관련한 공인코드와 위험도 및 대응하는 내부 IT 자산 IP를 부여받은 로컬 이벤트들과 현재 저장된 로컬 이벤트들에 의한 로컬 종합 위험도를 로컬 DB에 실시간으로 저장하면서 신규 발생한 로컬 이벤트의 공인코드와 일치하는 공인코드를 부여받은 글로벌 이벤트가 상기 글로벌 DB에 있는지 여부를 판별하는 제2 과정; 상기 제1 과정에서 신규 발생한 글로벌 이벤트의 공인코드와 일치하는 공인코드를 부여받은 로컬 이벤트가 상기 로컬 DB에 없으면, 신규 발생한 글로벌 이벤트의 위험도와 상기 글로벌 종합 위험도의 평균값을 신규 발생한 글로벌 이벤트와 관련한 최종 위험도로 산정하는 제3 과정; 상기 제1 과정에서 신규 발생한 글로벌 이벤트의 공인코드와 일치하는 공인코드를 부여받은 로컬 이벤트가 상기 로컬 DB에 있으면, 신규 발생한 글로벌 이벤트의 위험도와 상기 로컬 이벤트의 위험도의 평균값을 구한 후, 이 평균값과 상기 글로벌 종합 위험도, 상기 로컬 종합 위험도, 및 상기 자산 DB에 저장된 상기 로컬 이벤트에 대응하는 내부 IT 자산의 위험도의 평균값을 신규 발생한 글로벌 이벤트와 관련한 최종 위험도로 산정하는 제4 과정; 상기 제2 과정에서 신규 발생한 로컬 이벤트의 공인코드와 일치하는 공인코드를 부여받은 글로벌 이벤트가 상기 글로벌 DB에 없으면, 신규 발생한 로컬 이벤트의 위험도와 상기 로컬 종합 위험도, 및 상기 자산 DB에 저장된 상기 로컬 이벤트에 대응하는 내부 IT 자산의 위험도의 평균값을 신규 발생한 로컬 이벤트와 관련한 최종 위험도로 산정하는 제5 과정; 상기 제2 과정에서 신규 발생한 로컬 이벤트의 공인코드와 일치하는 공인코드를 부여받은 글로벌 이벤트가 상기 글로벌 DB에 있으면, 신규 발생한 로컬 이벤트의 위험도와 상기 글로벌 이벤트의 위험도의 평균값을 구한 후, 이 평균값과 상기 글로벌 종합 위험도, 상기 로컬 종합 위험도, 및 상기 자산 DB에 저장된 상기 로컬 이벤트에 대응하는 내부 IT 자산의 위험도의 평균값을 신규 발생한 로컬 이벤트와 관련한 최종 위험도로 산정하는 제6 과정; 및 상기 제3 과정 내지 제6 과정에서 산정한 최종 위험도를 네트워크 관리자에게 제공하는 제7 과정;으로 이루어진다.In order to achieve the object of the present invention as described above, the threat management method according to an embodiment of the present invention, the global event and the currently stored global events given the authorization code and risk associated with the threat information generated from the global network A first step of determining whether a local event, which has received an official code corresponding to the official code of a newly generated global event, exists in the local DB while storing the global comprehensive risk level in real time in a global DB; Local events, which are given the authorized codes and risks related to threat information from the local network, and corresponding internal IT asset IPs, and local comprehensive risks from the currently stored local events are stored in the local DB in real time. A second step of determining whether a global event that has been granted an official code corresponding to an official code exists in the global DB; If there is no local event in the local DB that is assigned an official code that matches the official code of the newly generated global event in the first process, the average value of the risk of the newly generated global event and the global total risk is finalized in relation to the newly generated global event. A third process of calculating risk; If there is a local event in the local DB that is assigned an official code that matches the authorized code of the newly generated global event in the first step, the average value of the risk of the newly generated global event and the risk of the local event is obtained, and then A fourth process of calculating an average value of the global comprehensive risk, the local comprehensive risk, and a risk value of an internal IT asset corresponding to the local event stored in the asset DB as a final risk level associated with a newly generated global event; If there is no global event in the global DB that has been granted an official code that matches the official code of the newly generated local event in the second process, the risk and the local comprehensive risk of the newly generated local event, and the local event stored in the asset DB A fifth process of calculating an average value of risks of internal IT assets corresponding to the final risks related to the newly occurring local event; If there is a global event in the global DB that has been granted an official code that matches the authorized code of the newly generated local event in the second process, the average value of the risk of the newly generated local event and the risk of the global event is obtained, and then A sixth step of calculating a mean value of the global comprehensive risk, the local comprehensive risk, and a risk value of an internal IT asset corresponding to the local event stored in the asset DB as a final risk related to a newly generated local event; And a seventh process of providing the network administrator with the final risk calculated in the third to sixth processes.
이하, 본 발명의 실시예를 첨부된 도면을 참조하여 더욱 상세하게 설명한다.Hereinafter, with reference to the accompanying drawings an embodiment of the present invention will be described in more detail.
도 1은 참조하면, 글로벌 DB(110)에는 글로벌 네트워크로부터 발생하는 위협 정보와 관련한 공인코드와 위험도를 부여받은 글로벌 이벤트들과 현재 저장된 글로벌 이벤트들에 의한 글로벌 종합 위험도가 실시간으로 저장된다.Referring to FIG. 1, the global DB 110 stores a global comprehensive risk level due to global events and globally received global events that are given an official code and a risk associated with threat information generated from a global network.
상기 글로벌 이벤트 위험도는 상기 글로벌 네트워크로부터 현재 발생된 위협 정보에 따라 예측되는 네트워크의 취약성을 근거로 관리자가 부여한다.The global event risk is assigned by an administrator based on a vulnerability of a network predicted according to threat information currently generated from the global network.
상기 글로벌 이벤트는 정보공유분석센터(ISAC; Information Sharing & Analysis Center) 혹은 인터넷의 컴퓨터 비상 대응팀(CERT; Computer Emergency Response Team) 등과 같은 외부의 정보 보안 공인 기관에서 부여하는 공인코드와 위험도뿐만 아니라, 관리코드, 공격 유형, 공격 명, 공격 설명, 등록일 등을 포함한다.The global event is managed in addition to the official codes and risks given by external information security certification agencies such as the Information Sharing & Analysis Center (ISAC) or the Computer Emergency Response Team (CERT) on the Internet. Include code, attack type, attack name, attack description, registration date, and so on.
상기 글로벌 종합 위험도는 현재 글로벌 DB(110)에 저장된 글로벌 이벤트들에 따라 예측되는 네트워크의 취약성을 근거로 관리자가 부여한다.The global comprehensive risk is assigned by an administrator based on a vulnerability of a network currently predicted according to global events stored in the
상기 글로벌 종합 위험도는 위험도뿐만 아니라 등록자, 위험 사유, 발생일 등을 포함한다.The global comprehensive risk includes not only the risk but also the registrant, the reason for the occurrence, the date of occurrence, and the like.
로컬 DB(120)에는 로컬 네트워크로부터 발생하는 위협 정보와 관련한 공인코드와 위험도 및 대응하는 내부 IT 자산 IP를 부여받은 로컬 이벤트들과 현재 저장된 로컬 이벤트들에 의한 로컬 종합 위험도가 실시간으로 저장된다.The local DB 120 stores real-time local risks due to local events and currently stored local events that have been granted the authorized codes and risks associated with threat information from the local network and corresponding internal IT asset IPs.
상기 로컬 이벤트 위험도는 상기 로컬 네트워크로부터 현재 발생된 위협 정보에 따라 예측되는 네트워크의 취약성을 근거로 관리자가 부여한다.The local event risk is assigned by an administrator based on a vulnerability of a network predicted according to threat information currently generated from the local network.
상기 로컬 이벤트는 상기한 외부의 정보 보안 공인 기관과 동일하게 공인코드를 부여하는 내부 CERT 등과 같은 로컬 네트워크 내부의 정보 보안 공인 기관에서 부여하는 공인코드와 위험도 및 대응하는 내부 IT 자산 IP뿐만 아니라, 장비코드, 공격 유형, 공격 명, 공격 정보, 발생일, 대응책 등을 포함한다.The local event may include equipment, as well as authorized codes and risks and corresponding internal IT asset IPs, which are granted by an information security certification authority within a local network, such as an internal CERT which grants the same authentication code as an external information security certification authority. Include code, attack type, attack name, attack information, date of occurrence, countermeasures, etc.
상기 로컬 종합 위험도는 현재 로컬 DB(120)에 저장된 로컬 이벤트들에 따라 예측되는 네트워크의 취약성을 근거로 관리자가 부여한다.The local comprehensive risk is assigned by an administrator based on a vulnerability of a network currently predicted according to local events stored in the
상기 로컬 종합 위험도는 위험도뿐만 아니라 등록자, 위험 사유, 발생일 등을 포함한다.The local comprehensive risk includes not only the risk but also the registrant, the reason for the risk, the date of occurrence, and the like.
자산 DB(130)에는 상기 로컬 네트워크에 포함된 내부 IT 자산 IP와 각 내부 IT 자산의 위험도가 저장되어 있다.The
상기 각 내부 IT 자산의 위험도는 각 자산별 중요도에 따라서 관리자가 부여하며, 위험도뿐만 아니라 장비코드, IP정보, 용도, 관리자, 등록일시 등을 포함한다.The risk of each internal IT asset is given by the manager according to the importance of each asset, and includes not only the risk but also the equipment code, IP information, use, administrator, registration date and time.
본 발명에 있어서, 상기 각 위험도는 다음과 같이 5단계, 10등급으로 부여하 는 것이 바람직하다.In the present invention, each of the risk is preferably given in five stages, 10 grades as follows.
1. 정상 단계: 네트워크 상태 및 사용이 정상으로 위험도가 낮은 웜 바이러스 발생 및 해킹 기법, 취약점 발표 등의 이벤트가 발생한 경우에 적용1. Normal phase: Applied when events such as worm virus occurrence, hacking technique, and vulnerability disclosure occur due to normal network condition and usage.
- 등급: 0(저), 1(고)Ratings: 0 (low), 1 (high)
- 색상: 녹색(Green)Color: Green
2. 관심 단계: 위험도가 높은 취약점, 코드 등의 출현으로 네트워크 피해 가능성, 침해 사고 확산 가능성, 이상 트래픽 발생 가능성을 증대시키는 이벤트가 발생한 경우에 적용2. Level of interest: Applied when events that increase the possibility of network damage, the spread of infringement incidents, and the occurrence of abnormal traffic occur due to the appearance of high-risk vulnerabilities and codes.
- 등급: 2(저), 3(고)Grades: 2 (Low), 3 (High)
- 색상: 청색(Blue)Color: Blue
3. 주의 단계: 웜 바이러스, 해킹 등으로 국지적 피해를 발생시키거나 국지적 인터넷 소통 장애, 서비스 장애 발생 등과 같이 관리자의 긴급 대응 및 보안태세 강화를 필요로 하는 이벤트가 발생한 경우에 적용3. Caution Step: Applied when an event that requires administrator's emergency response and enhanced security posture occurs such as causing local damage due to worm virus, hacking, local internet communication failure, service failure, etc.
- 등급: 4(저), 5(고)Grade: 4 (low), 5 (high)
- 색상: 황색(Yellow)Color: Yellow
4. 경계 단계: 주요 정보통신 기반시설의 피해를 발생시키거나 민간 부분에 중대한 피해를 발생시켜 상황 해결을 위한 각 분야의 협조 및 공동 대응을 필요로 하는 이벤트가 발생한 경우에 적용4. Boundary stage: Applied when an event occurs that causes damage to major telecommunications infrastructure or causes serious damage to the private sector, requiring cooperation and cooperative response in each area to resolve the situation.
- 등급: 6(저), 7(고)Grades: 6 (low), 7 (high)
- 색상: 주황색(Orange)Color: Orange
5. 심각 단계: 국내 인터넷 전분야에 소통 장애를 발생시키거나 정보통신 기반시설의 피해로 인하여 서비스 장애가 발생하고 민간 부분 인터넷 사용이 불가능하여 국가적 차원의 공동 대응을 필요로 하는 이벤트가 발생한 경우에 적용5. Severe stage: Applied to cases where service failure occurs due to communication obstacles in all areas of the domestic Internet or damage to information and communication infrastructure, and events that require national cooperative response due to the impossibility of using the private Internet.
- 등급: 8(저), 9(고)Grades: 8 (Low), 9 (High)
- 색상: 적색(Red)Color: Red
위협 관리부(140)는 외부의 정보 보안 공인 기관, 예컨대 정보공유분석센터(ISAC; Information Sharing & Analysis Center) 혹은 인터넷의 컴퓨터 비상 대응팀(CERT; Computer Emergency Response Team) 등을 통하여 글로벌 네트워크로부터 발생하는 위협 정보와 관련한 이벤트를 실시간으로 수집 및 분석하여 대응하는 공인코드와 위험도를 부여하여 상기 글로벌 DB(110)의 글로벌 이벤트로 저장한다.The
상기 위협 관리부(140)는 로컬 네트워크에 설치된 내부의 정보 보안 공인 기관(예컨대, 로컬 네트워크 자체의 내부 CERT 등)을 통하여 로컬 네트워크로부터 발생하는 위협 정보와 관련한 이벤트를 실시간으로 수집 및 분석하여 대응하는 공인코드와 위험도 및 대응하는 내부 IT 자산 IP를 부여하여 상기 로컬 DB(120)의 로컬 이벤트로 저장한다.The
상기 위협 관리부(140)는 상기 글로벌 이벤트를 실시간으로 수집 및 분석할 때 신규 발생한 글로벌 이벤트의 공인코드와 일치하는 공인코드를 부여받은 로컬 이벤트가 상기 로컬 DB(120)에 있는지 여부 혹은 상기 로컬 이벤트를 실시간으로 수집 및 분석할 때 신규 발생한 로컬 이벤트의 공인코드와 일치하는 공인코드를 부여받은 글로벌 이벤트가 상기 글로벌 DB(110)에 있는지 여부에 따라서 신규 발생한 글로벌 이벤트 혹은 신규 발생한 로컬 이벤트와 관련한 최종 위험도를 산정하여 네트워크 관리자에게 제공한다.When the global event is collected and analyzed in real time, the
상기 위협 관리부(140)는 신규 발생한 글로벌 이벤트의 공인코드와 일치하는 공인코드를 부여받은 로컬 이벤트가 상기 로컬 DB(120)에 없으면, 신규 발생한 글로벌 이벤트의 위험도와 상기 글로벌 종합 위험도의 평균값을 신규 발생한 글로벌 이벤트와 관련한 최종 위험도로 산정한다.If there is no local event in the
상기 위협 관리부(140)는 신규 발생한 글로벌 이벤트의 공인코드와 일치하는 공인코드를 부여받은 로컬 이벤트가 상기 로컬 DB(120)에 있으면, 신규 발생한 글로벌 이벤트의 위험도와 상기 로컬 이벤트의 위험도의 평균값을 구한 후, 이 평균값과 상기 글로벌 종합 위험도, 상기 로컬 종합 위험도, 및 상기 자산 DB(130)에 저장된 상기 로컬 이벤트에 대응하는 내부 IT 자산의 위험도의 평균값을 신규 발생한 글로벌 이벤트와 관련한 최종 위험도로 산정한다.The
상기 위협 관리부(140)는 신규 발생한 로컬 이벤트의 공인코드와 일치하는 공인코드를 부여받은 글로벌 이벤트가 상기 글로벌 DB(110)에 없으면, 신규 발생한 로컬 이벤트의 위험도와 상기 로컬 종합 위험도, 및 상기 자산 DB(130)에 저장된 상기 로컬 이벤트에 대응하는 내부 IT 자산의 위험도의 평균값을 신규 발생한 로컬 이벤트와 관련한 최종 위험도로 산정한다.The
상기 위협 관리부(140)는 신규 발생한 로컬 이벤트의 공인코드와 일치하는 공인코드를 부여받은 글로벌 이벤트가 상기 글로벌 DB(110)에 있으면, 신규 발생한 로컬 이벤트의 위험도와 상기 글로벌 이벤트의 위험도의 평균값을 구한 후, 이 평 균값과 상기 글로벌 종합 위험도, 상기 로컬 종합 위험도, 및 상기 자산 DB(130)에 저장된 상기 로컬 이벤트에 대응하는 내부 IT 자산의 위험도의 평균값을 신규 발생한 로컬 이벤트와 관련한 최종 위험도로 산정한다.The
상기 위협 관리부(140)는 상기 최종 위험도를 네트워크 관리자 콘솔의 팝-업 화면, E-Mail, SMS, 스피커 중 어느 하나를 통하여 제공한다.The
상기와 같이 구성되는 본 발명의 실시예에 따른 위협 관리 시스템(100)은 도 2에 나타낸 방법에 의해 다음과 같이 작동한다.The
상기 위협 관리부(140)는 글로벌 네트워크로부터 발생하는 위협 정보와 관련한 공인코드와 위험도를 부여받은 글로벌 이벤트들과 현재 저장된 글로벌 이벤트들에 의한 글로벌 종합 위험도를 글로벌 DB(110)에 실시간으로 저장하면서(S100) 신규 발생한 글로벌 이벤트의 공인코드와 일치하는 공인코드를 부여받은 로컬 이벤트가 상기 로컬 DB(120)에 있는지 여부를 판별한다(S110).The
또한, 상기 위협 관리부(140)는 로컬 네트워크로부터 발생하는 위협 정보와 관련한 공인코드와 위험도 및 대응하는 내부 IT 자산 IP를 부여받은 로컬 이벤트들과 현재 저장된 로컬 이벤트들에 의한 로컬 종합 위험도를 로컬 DB(120)에 실시간으로 저장하면서(S120) 신규 발생한 로컬 이벤트의 공인코드와 일치하는 공인코드를 부여받은 글로벌 이벤트가 상기 글로벌 DB(110)에 있는지 여부를 판별한다(S130).In addition, the
상기 위협 관리부(140)에 의해 수행되는 S100 및 S110 과정과 S120 및 S130 과정은 상기 글로벌 이벤트와 로컬 이벤트 중 먼저 발생하는 이벤트에 따라서 처리 과정의 선후가 변경될 수 있다.Processes S100 and S110 and S120 and S130 performed by the
만약, 상기 글로벌 이벤트가 로컬 이벤트보다 먼저 발생하였다면, 상기 위협 관리부(140)는 상기 S100 및 S110 과정을 상기 S120 및 S130 과정보다 먼저 수행하여 다음의 S140, S150, S160 과정을 순차적으로 수행한다.If the global event occurs earlier than the local event, the
즉, 상기 S110 과정에서 신규 발생한 글로벌 이벤트의 공인코드와 일치하는 공인코드를 부여받은 로컬 이벤트가 상기 로컬 DB(120)에 없으면, 상기 위협 관리부(140)는 신규 발생한 글로벌 이벤트의 위험도와 상기 글로벌 종합 위험도의 평균값을 신규 발생한 글로벌 이벤트와 관련한 최종 위험도로 산정한다(S140).That is, if there is no local event in the
반면에, 상기 S110 과정에서 신규 발생한 글로벌 이벤트의 공인코드와 일치하는 공인코드를 부여받은 로컬 이벤트가 상기 로컬 DB(120)에 있으면, 상기 위협 관리부(140)는 신규 발생한 글로벌 이벤트의 위험도와 상기 로컬 이벤트의 위험도의 평균값을 구한 후(S150), 이 평균값과 상기 글로벌 종합 위험도, 상기 로컬 종합 위험도, 및 상기 자산 DB(130)에 저장된 상기 로컬 이벤트에 대응하는 내부 IT 자산의 위험도의 평균값을 신규 발생한 글로벌 이벤트와 관련한 최종 위험도로 산정한다(S160).On the other hand, if there is a local event in the
다른 한편, 만약, 상기 로컬 이벤트가 글로벌 이벤트보다 먼저 발생하였다면, 상기 위협 관리부(140)는 상기 S120 및 S130 과정을 상기 S100 및 S110 과정보다 먼저 수행하여 다음의 S170, S180, S190 과정을 순차적으로 수행한다.On the other hand, if the local event occurs before the global event, the
즉, 상기 S130 과정에서 신규 발생한 로컬 이벤트의 공인코드와 일치하는 공인코드를 부여받은 글로벌 이벤트가 상기 글로벌 DB(110)에 없으면, 상기 위협 관리부(140)는 신규 발생한 로컬 이벤트의 위험도와 상기 로컬 종합 위험도, 및 상기 자산 DB(130)에 저장된 상기 로컬 이벤트에 대응하는 내부 IT 자산의 위험도의 평균값을 신규 발생한 로컬 이벤트와 관련한 최종 위험도로 산정한다(S170).In other words, if there is no global event in the
반면에, 상기 S130 과정에서 신규 발생한 로컬 이벤트의 공인코드와 일치하는 공인코드를 부여받은 글로벌 이벤트가 상기 글로벌 DB(110)에 있으면, 상기 위협 관리부(140)는 신규 발생한 로컬 이벤트의 위험도와 상기 글로벌 이벤트의 위험도의 평균값을 구한 후(S180), 이 평균값과 상기 글로벌 종합 위험도, 상기 로컬 종합 위험도, 및 상기 자산 DB(130)에 저장된 상기 로컬 이벤트에 대응하는 내부 IT 자산의 위험도의 평균값을 신규 발생한 로컬 이벤트와 관련한 최종 위험도로 산정한다(S190).On the other hand, if there is a global event in the global DB (110) that has been granted the official code matching the official code of the newly generated local event in the step S130, the
상기와 같이 최종 위험도가 산정되면, 상기 위협 관리부(140)는 네트워크 관리자 콘솔의 팝-업 화면, E-Mail, SMS, 스피커 중 어느 하나를 통하여 네트워크 관리자에게 제공한다(S200).If the final risk is calculated as described above, the
이에 따라서, 상기 네트워크 관리자가 네트워크에 대한 각종 위협에 사전 대응함으로써 네트워크에 포함되는 내부 IT 자산(예컨대, 웹 서버, DB 서버 등)을 용이하게 보호할 수 있다.Accordingly, the network manager can proactively respond to various threats to the network to easily protect internal IT assets (eg, web server, DB server, etc.) included in the network.
이상에서 설명한 본 발명에 따른 위협 관리 시스템 및 그 방법은 상기한 실시예에 한정되지 않고, 이하의 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 누구든지 다양하게 변경하여 실시할 수 있는 범위까지 그 기술적 정신이 있다.The threat management system and method thereof according to the present invention described above are not limited to the above-described embodiments, and have a general knowledge in the field of the present invention without departing from the gist of the present invention as claimed in the following claims. Anyone who grows has the technical spirit to the extent that anyone can make various changes.
이상에서 설명한 바와 같은 본 발명에 의하면, 전세계에서 현재 운용되고 있는 전체 네트워크로부터 발생하는 각종 위협 정보와 관련한 이벤트 및 일반 회사의 사내 혹은 지사를 포함하는 한정된 관리 대상 네트워크로부터 발생하는 각종 위협 정보와 관련한 이벤트를 실시간으로 수집 및 분석하여 산정한 위험도에 따라서 네트워크 관리자가 네트워크에 대한 각종 위협에 사전 대응함으로써 네트워크에 포함되는 내부 IT 자산(예컨대, 웹 서버, DB 서버 등)을 용이하게 보호할 수 있다.According to the present invention as described above, the event related to the threat information generated from the entire network currently operating in the world and the event related to the threat information generated from the limited managed network including the company or branch of the general company According to the risks calculated and collected in real time, network administrators can proactively respond to various threats to the network to easily protect internal IT assets (eg, web server, DB server, etc.) included in the network.
Claims (8)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060044134A KR100798755B1 (en) | 2006-05-17 | 2006-05-17 | Threats management system and method thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060044134A KR100798755B1 (en) | 2006-05-17 | 2006-05-17 | Threats management system and method thereof |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20070111148A KR20070111148A (en) | 2007-11-21 |
KR100798755B1 true KR100798755B1 (en) | 2008-01-29 |
Family
ID=39090145
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020060044134A KR100798755B1 (en) | 2006-05-17 | 2006-05-17 | Threats management system and method thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100798755B1 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101013077B1 (en) * | 2007-07-30 | 2011-02-14 | 채문창 | Method and system for managing information technology risk based on safety index calculated |
CN115618353B (en) * | 2022-10-21 | 2024-01-23 | 北京珞安科技有限责任公司 | Industrial production safety identification system and method |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030023048A (en) * | 2001-09-11 | 2003-03-19 | 주식회사 이글루시큐리티 | Method for real-time auditing a Network |
KR20030035142A (en) * | 2001-10-30 | 2003-05-09 | 주식회사 이글루시큐리티 | Method for Providing Enterprise Security Management Service |
KR20040104853A (en) * | 2003-06-04 | 2004-12-13 | (주)인젠 | Risk analysis system for information assets |
KR20050048019A (en) * | 2003-11-18 | 2005-05-24 | 한국전자통신연구원 | Method for detecting abnormal traffic in network level using statistical analysis |
KR20050055996A (en) * | 2003-12-09 | 2005-06-14 | 주식회사데이콤 | Security information management and vulnerability analysis system |
KR20060012134A (en) * | 2004-08-02 | 2006-02-07 | 주식회사 케이티 | Realtime service management system for enterprise and a method thereof |
-
2006
- 2006-05-17 KR KR1020060044134A patent/KR100798755B1/en active IP Right Grant
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030023048A (en) * | 2001-09-11 | 2003-03-19 | 주식회사 이글루시큐리티 | Method for real-time auditing a Network |
KR20030035142A (en) * | 2001-10-30 | 2003-05-09 | 주식회사 이글루시큐리티 | Method for Providing Enterprise Security Management Service |
KR20040104853A (en) * | 2003-06-04 | 2004-12-13 | (주)인젠 | Risk analysis system for information assets |
KR20050048019A (en) * | 2003-11-18 | 2005-05-24 | 한국전자통신연구원 | Method for detecting abnormal traffic in network level using statistical analysis |
KR20050055996A (en) * | 2003-12-09 | 2005-06-14 | 주식회사데이콤 | Security information management and vulnerability analysis system |
KR20060012134A (en) * | 2004-08-02 | 2006-02-07 | 주식회사 케이티 | Realtime service management system for enterprise and a method thereof |
Also Published As
Publication number | Publication date |
---|---|
KR20070111148A (en) | 2007-11-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107819771B (en) | Information security risk assessment method and system based on asset dependency relationship | |
CN111800395A (en) | Threat information defense method and system | |
KR100838799B1 (en) | System and operating method of detecting hacking happening for complementary security management system | |
Ten et al. | Anomaly detection for cybersecurity of the substations | |
US9008617B2 (en) | Layered graphical event mapping | |
CN100511159C (en) | Method and system for addressing intrusion attacks on a computer system | |
KR100955281B1 (en) | Security Risk Evaluation Method for Threat Management | |
CN100435513C (en) | Method of linking network equipment and invading detection system | |
CN114372286A (en) | Data security management method and device, computer equipment and storage medium | |
KR20040035572A (en) | Integrated Emergency Response System in Information Infrastructure and Operating Method therefor | |
CN106713358A (en) | Attack detection method and device | |
US20090100077A1 (en) | Network risk analysis method using information hierarchy structure | |
CN116827675A (en) | Network information security analysis system | |
Panguluri et al. | Protecting water and wastewater infrastructure from cyber attacks | |
CN114553471A (en) | Tenant safety management system | |
KR101113615B1 (en) | Total analysis system of network risk and method thereof | |
Martins et al. | Specialized CSIRT for incident response management in smart grids | |
CN114339767A (en) | Signaling detection method and device, electronic equipment and storage medium | |
KR100798755B1 (en) | Threats management system and method thereof | |
CN117081864A (en) | Network information security defense detection method and system | |
KR20190083458A (en) | Network intrusion detection system and method thereof | |
CN115396885A (en) | Key safety management method and device, electronic equipment and storage medium | |
Koch et al. | Architecture for evaluating and correlating NIDS in real-World networks | |
Kim et al. | Hybrid intrusion forecasting framework for early warning system | |
CN112217791A (en) | Network security situation sensing system based on video monitoring data center |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
G170 | Publication of correction | ||
FPAY | Annual fee payment |
Payment date: 20130121 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20140121 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20150121 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20160222 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20170110 Year of fee payment: 10 |
|
FPAY | Annual fee payment |
Payment date: 20180122 Year of fee payment: 11 |
|
FPAY | Annual fee payment |
Payment date: 20190108 Year of fee payment: 12 |
|
FPAY | Annual fee payment |
Payment date: 20191226 Year of fee payment: 13 |