KR100798755B1 - Threats management system and method thereof - Google Patents

Threats management system and method thereof Download PDF

Info

Publication number
KR100798755B1
KR100798755B1 KR1020060044134A KR20060044134A KR100798755B1 KR 100798755 B1 KR100798755 B1 KR 100798755B1 KR 1020060044134 A KR1020060044134 A KR 1020060044134A KR 20060044134 A KR20060044134 A KR 20060044134A KR 100798755 B1 KR100798755 B1 KR 100798755B1
Authority
KR
South Korea
Prior art keywords
local
global
event
risk
newly generated
Prior art date
Application number
KR1020060044134A
Other languages
Korean (ko)
Other versions
KR20070111148A (en
Inventor
문재웅
민경원
Original Assignee
주식회사 제이컴정보
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 제이컴정보 filed Critical 주식회사 제이컴정보
Priority to KR1020060044134A priority Critical patent/KR100798755B1/en
Publication of KR20070111148A publication Critical patent/KR20070111148A/en
Application granted granted Critical
Publication of KR100798755B1 publication Critical patent/KR100798755B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0604Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
    • H04L41/0609Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time based on severity or priority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • H04L41/0636Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis based on a decision tree analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명은 위협 관리 시스템 및 그 방법에 관한 것으로, 전세계에서 현재 운용되고 있는 전체 네트워크(이하, 글로벌 네트워크라 함)로부터 발생하는 각종 위협 정보와 관련한 이벤트(이하, 글로벌 이벤트라 함) 및 일반 회사의 사내 혹은 지사를 포함하는 한정된 관리 대상 네트워크(이하, 로컬 네트워크라 함)로부터 발생하는 각종 위협 정보와 관련한 이벤트(이하, 로컬 이벤트라 함)를 실시간으로 수집 및 분석하여 산정한 위험도를 네트워크 관리자에게 제공한다.The present invention relates to a threat management system and a method thereof, and related to various threat information generated from the entire network (hereinafter referred to as global network) currently operating around the world (hereinafter referred to as global event) and general companies. Provides network administrators with the risks calculated and collected in real time by collecting and analyzing events (hereinafter referred to as local events) related to threat information generated from a limited managed network (hereinafter referred to as local network) including the company or branch offices. do.

본 발명에 의하면, 글로벌 이벤트와 로컬 이벤트를 실시간으로 수집 및 분석하여 산정한 위험도에 따라서 네트워크 관리자가 네트워크에 대한 각종 위협에 사전 대응함으로써 네트워크에 포함되는 내부 IT 자산(예컨대, 웹 서버, DB 서버 등)을 용이하게 보호할 수 있다.According to the present invention, internal IT assets (eg, web server, DB server, etc.) included in the network by the network administrator proactively respond to various threats to the network according to the risks calculated by collecting and analyzing global and local events in real time. ) Can be easily protected.

네트워크, 위협 관리 시스템, 위협 정보, 이벤트, 침해, IT Network, threat management system, threat information, events, breach, IT

Description

위협 관리 시스템 및 그 방법{THREATS MANAGEMENT SYSTEM AND METHOD THEREOF}THREATS MANAGEMENT SYSTEM AND METHOD THEREOF}

도 1은 본 발명에 따른 위협 관리 시스템을 나타낸 블록도.1 is a block diagram showing a threat management system according to the present invention.

도 2는 본 발명에 따른 위협 관리 방법을 나타낸 플로차트.2 is a flowchart illustrating a threat management method according to the present invention.

< 도면의 주요부분에 대한 부호의 설명 ><Description of Symbols for Major Parts of Drawings>

100: 위협 관리 시스템 110: 글로벌 DB100: threat management system 110: global DB

120: 로컬 DB 130: 자산 DB120: local DB 130: asset DB

140: 위협 관리부140: threat management

본 발명은 네트워크 관리 시스템에 관한 것이며, 더욱 상세히는 전세계에서 현재 운용되고 있는 전체 네트워크 및 일반 회사의 사내 혹은 지사를 포함하는 한정된 관리 대상 네트워크로부터 발생하는 각종 위협 정보를 실시간으로 수집 및 분석하여 산정한 위험도를 네트워크 관리자에게 제공하는 위협 관리 시스템 및 그 방 법에 관한 것이다.The present invention relates to a network management system, and more particularly, to collect and analyze in real time a variety of threat information generated from a limited managed network including a whole network currently operating in the world and a company or branch office of a general company. It relates to a threat management system and a method of providing a risk to a network administrator.

최근 들어, 전세계에서 현재 운용되고 있는 전체 네트워크를 통한 정보 보안 사고뿐만 아니라 일반 회사의 사내 혹은 지사를 포함하는 한정된 관리 대상 네트워크를 통한 정보 보안 사고가 급격하게 증가하고 있으며, 이로 인해 네트워크의 내부 IT 자산(예컨대, 웹 서버, DB 서버 등)에 대한 피해 복구 등과 관련한 손실이 증가하고 있다.In recent years, there has been a rapid increase in information security incidents through limited managed networks, including in-house or branch offices of general companies, as well as information security incidents across the entire network currently in operation worldwide. Losses related to disaster recovery (eg, web server, DB server, etc.) are increasing.

또한, 네트워크에 대한 침해 등의 사고 유형이 급변하면서 각종 위협 정보가 다양하고 복잡하게 복합적으로 발생할 뿐만 아니라 네트워크에 대한 공격 형태 역시 시스템의 취약점, 소프트웨어의 결함, 유해 트래픽, 콘텐츠 등을 공격 경로로 하는 다차원적인 형태로 진화하고 있으므로 네트워크 관리자가 이러한 각종 위협 정보들에 대한 위협 여부를 식별하고 우선 순위를 결정하여 대응책을 판단하기가 점점더 곤란해지고 있으며, 실제로 수적이나 질적으로 단기간 내에 기하급수적으로 증가하는 각종 위협 정보에 대한 대응 자체가 불가능한 경우도 있다.In addition, as the types of accidents such as invasion of the network change rapidly, various threat information is variously and complexly generated, and the attack form on the network is also based on system vulnerabilities, software defects, harmful traffic, and contents. As it is evolving into a multidimensional form, it is becoming increasingly difficult for network administrators to identify and prioritize threats against such threat information and to determine countermeasures. In some cases, it is impossible to respond to various threat information.

한편, 이와 같은 다양한 공격 형태에 각각 대응하기 위하여 다양한 단위 보안 솔루션이 도입되고 있으나, 이러한 단위 보안 솔루션을 운영하기 위해서는 다수의 보안 관리 인력이 필요하고, 이들 각각의 단위 보안 솔루션은 다른 단위 보안 솔루션에서 발생하는 이벤트를 중복하여 분석하기가 곤란할 뿐만 아니라 보안 경보에 대한 신뢰도 저하를 초래하는 오탐지(False Positive)가 발생하는 단점이 있다.On the other hand, various unit security solutions have been introduced to cope with such various types of attacks, but in order to operate such a unit security solution, a large number of security management personnel are required, and each of these unit security solutions is different from other unit security solutions. Not only is it difficult to duplicate an event that occurs, but there is a disadvantage that a false positive occurs that causes a decrease in the reliability of the security alert.

따라서, 본 출원인은 다양한 공격 형태의 각종 위협 정보들을 사전에 인지하여 최소한의 인력으로 신속한 대응을 수행할 수 있는 위협 관리 시스템 및 그 방법을 개발하게 되었다.Accordingly, the present applicant has developed a threat management system and method capable of promptly responding with minimum manpower by recognizing various threat information of various attack types in advance.

본 발명은 상기한 바와 같은 종래의 문제점을 해결하기 위한 것으로서, 본 발명의 목적은 전세계에서 현재 운용되고 있는 전체 네트워크(이하, 글로벌 네트워크라 함)로부터 발생하는 각종 위협 정보와 관련한 이벤트(이하, 글로벌 이벤트라 함) 및 일반 회사의 사내 혹은 지사를 포함하는 한정된 관리 대상 네트워크(이하, 로컬 네트워크라 함)로부터 발생하는 각종 위협 정보와 관련한 이벤트(이하, 로컬 이벤트라 함)를 실시간으로 수집 및 분석하여 산정한 위험도를 네트워크 관리자에게 제공하는 위협 관리 시스템 및 그 방법을 제공하는 것이다.The present invention is to solve the conventional problems as described above, an object of the present invention is to provide an event related to various threat information generated from the entire network (hereinafter referred to as global network) currently operating in the world (hereinafter referred to as global Events and related events (hereinafter referred to as local events) related to threat information generated from a limited managed network (hereinafter referred to as a local network) including a company or a branch of a general company in real time. It is to provide a threat management system and method for providing the calculated risk to the network administrator.

상기한 바와 같은 본 발명의 목적을 달성하기 위하여, 본 발명의 실시예에 따른 위협 관리 시스템은, 글로벌 네트워크로부터 발생하는 위협 정보와 관련한 공인코드와 위험도를 부여받은 글로벌 이벤트들과 현재 저장된 글로벌 이벤트들에 의한 글로벌 종합 위험도가 실시간으로 저장되는 글로벌 DB와; 로컬 네트워크로부터 발생하는 위협 정보와 관련한 공인코드와 위험도 및 대응하는 내부 IT 자산 IP를 부여받은 로컬 이벤트들과 현재 저장된 로컬 이벤트들에 의한 로컬 종합 위험도가 실시간으로 저장되는 로컬 DB; 상기 로컬 네트워크에 포함된 내부 IT 자산 IP와 각 내부 IT 자산의 위험도가 저장된 자산 DB; 및 외부의 정보 보안 공인 기관을 통하여 글로벌 네트워크로부터 발생하는 위협 정보와 관련한 이벤트를 실시간으로 수집 및 분석하여 대응하는 공인코드와 위험도를 부여하여 상기 글로벌 DB의 글로벌 이벤트로 저장하고, 로컬 네트워크에 설치된 내부의 정보 보안 공인 기관을 통하여 로컬 네트워크로부터 발생하는 위협 정보와 관련한 이벤트를 실시간으로 수집 및 분석하여 대응하는 공인코드와 위험도 및 대응하는 내부 IT 자산 IP를 부여하여 상기 로컬 DB의 로컬 이벤트로 저장하고, 상기 글로벌 이벤트를 실시간으로 수집 및 분석할 때 신규 발생한 글로벌 이벤트의 공인코드와 일치하는 공인코드를 부여받은 로컬 이벤트가 상기 로컬 DB에 있는지 여부 혹은 상기 로컬 이벤트를 실시간으로 수집 및 분석할 때 신규 발생한 로컬 이벤트의 공인코드와 일치하는 공인코드를 부여받은 글로벌 이벤트가 상기 글로벌 DB에 있는지 여부에 따라서 신규 발생한 글로벌 이벤트 혹은 신규 발생한 로컬 이벤트와 관련한 최종 위험도를 산정하여 네트워크 관리자에게 제공하는 위협 관리부;로 구성된다.In order to achieve the object of the present invention as described above, the threat management system according to an embodiment of the present invention, the global event and the currently stored global events given the authorization code and risk associated with the threat information generated from the global network A global DB in which the global comprehensive risk is stored in real time; A local DB storing local real-time risks from local events and currently stored local events that have been granted public codes and risks associated with threat information from local networks and corresponding internal IT asset IPs; An asset DB storing an internal IT asset IP included in the local network and a risk of each internal IT asset; And collects and analyzes events related to threat information generated from the global network in real time through external information security authorized agencies, assigns corresponding authorized codes and risks, stores them as global events of the global DB, and installs them on the local network. Collects and analyzes events related to threat information from local network in real time through the information security authorized organization of the company, assigns corresponding authorized codes, risks and corresponding internal IT asset IPs, and stores them as local events of the local DB. Whether or not the local event is given in the local DB that has been granted the official code matching the authorized code of the newly generated global event when collecting and analyzing the global event in real time, or when the local event is newly collected and analyzed in real time. The official code of the event And a threat management unit for calculating a final risk associated with a newly generated global event or a newly generated local event according to whether or not a global event having a matching authorized code exists in the global DB.

상기한 바와 같은 본 발명의 목적을 달성하기 위하여, 본 발명의 실시예에 따른 위협 관리 방법은, 글로벌 네트워크로부터 발생하는 위협 정보와 관련한 공인코드와 위험도를 부여받은 글로벌 이벤트들과 현재 저장된 글로벌 이벤트들에 의한 글로벌 종합 위험도를 글로벌 DB에 실시간으로 저장하면서 신규 발생한 글로벌 이벤트의 공인코드와 일치하는 공인코드를 부여받은 로컬 이벤트가 상기 로컬 DB에 있는지 여부를 판별하는 제1 과정과; 로컬 네트워크로부터 발생하는 위협 정보와 관련한 공인코드와 위험도 및 대응하는 내부 IT 자산 IP를 부여받은 로컬 이벤트들과 현재 저장된 로컬 이벤트들에 의한 로컬 종합 위험도를 로컬 DB에 실시간으로 저장하면서 신규 발생한 로컬 이벤트의 공인코드와 일치하는 공인코드를 부여받은 글로벌 이벤트가 상기 글로벌 DB에 있는지 여부를 판별하는 제2 과정; 상기 제1 과정에서 신규 발생한 글로벌 이벤트의 공인코드와 일치하는 공인코드를 부여받은 로컬 이벤트가 상기 로컬 DB에 없으면, 신규 발생한 글로벌 이벤트의 위험도와 상기 글로벌 종합 위험도의 평균값을 신규 발생한 글로벌 이벤트와 관련한 최종 위험도로 산정하는 제3 과정; 상기 제1 과정에서 신규 발생한 글로벌 이벤트의 공인코드와 일치하는 공인코드를 부여받은 로컬 이벤트가 상기 로컬 DB에 있으면, 신규 발생한 글로벌 이벤트의 위험도와 상기 로컬 이벤트의 위험도의 평균값을 구한 후, 이 평균값과 상기 글로벌 종합 위험도, 상기 로컬 종합 위험도, 및 상기 자산 DB에 저장된 상기 로컬 이벤트에 대응하는 내부 IT 자산의 위험도의 평균값을 신규 발생한 글로벌 이벤트와 관련한 최종 위험도로 산정하는 제4 과정; 상기 제2 과정에서 신규 발생한 로컬 이벤트의 공인코드와 일치하는 공인코드를 부여받은 글로벌 이벤트가 상기 글로벌 DB에 없으면, 신규 발생한 로컬 이벤트의 위험도와 상기 로컬 종합 위험도, 및 상기 자산 DB에 저장된 상기 로컬 이벤트에 대응하는 내부 IT 자산의 위험도의 평균값을 신규 발생한 로컬 이벤트와 관련한 최종 위험도로 산정하는 제5 과정; 상기 제2 과정에서 신규 발생한 로컬 이벤트의 공인코드와 일치하는 공인코드를 부여받은 글로벌 이벤트가 상기 글로벌 DB에 있으면, 신규 발생한 로컬 이벤트의 위험도와 상기 글로벌 이벤트의 위험도의 평균값을 구한 후, 이 평균값과 상기 글로벌 종합 위험도, 상기 로컬 종합 위험도, 및 상기 자산 DB에 저장된 상기 로컬 이벤트에 대응하는 내부 IT 자산의 위험도의 평균값을 신규 발생한 로컬 이벤트와 관련한 최종 위험도로 산정하는 제6 과정; 및 상기 제3 과정 내지 제6 과정에서 산정한 최종 위험도를 네트워크 관리자에게 제공하는 제7 과정;으로 이루어진다.In order to achieve the object of the present invention as described above, the threat management method according to an embodiment of the present invention, the global event and the currently stored global events given the authorization code and risk associated with the threat information generated from the global network A first step of determining whether a local event, which has received an official code corresponding to the official code of a newly generated global event, exists in the local DB while storing the global comprehensive risk level in real time in a global DB; Local events, which are given the authorized codes and risks related to threat information from the local network, and corresponding internal IT asset IPs, and local comprehensive risks from the currently stored local events are stored in the local DB in real time. A second step of determining whether a global event that has been granted an official code corresponding to an official code exists in the global DB; If there is no local event in the local DB that is assigned an official code that matches the official code of the newly generated global event in the first process, the average value of the risk of the newly generated global event and the global total risk is finalized in relation to the newly generated global event. A third process of calculating risk; If there is a local event in the local DB that is assigned an official code that matches the authorized code of the newly generated global event in the first step, the average value of the risk of the newly generated global event and the risk of the local event is obtained, and then A fourth process of calculating an average value of the global comprehensive risk, the local comprehensive risk, and a risk value of an internal IT asset corresponding to the local event stored in the asset DB as a final risk level associated with a newly generated global event; If there is no global event in the global DB that has been granted an official code that matches the official code of the newly generated local event in the second process, the risk and the local comprehensive risk of the newly generated local event, and the local event stored in the asset DB A fifth process of calculating an average value of risks of internal IT assets corresponding to the final risks related to the newly occurring local event; If there is a global event in the global DB that has been granted an official code that matches the authorized code of the newly generated local event in the second process, the average value of the risk of the newly generated local event and the risk of the global event is obtained, and then A sixth step of calculating a mean value of the global comprehensive risk, the local comprehensive risk, and a risk value of an internal IT asset corresponding to the local event stored in the asset DB as a final risk related to a newly generated local event; And a seventh process of providing the network administrator with the final risk calculated in the third to sixth processes.

이하, 본 발명의 실시예를 첨부된 도면을 참조하여 더욱 상세하게 설명한다.Hereinafter, with reference to the accompanying drawings an embodiment of the present invention will be described in more detail.

도 1은 참조하면, 글로벌 DB(110)에는 글로벌 네트워크로부터 발생하는 위협 정보와 관련한 공인코드와 위험도를 부여받은 글로벌 이벤트들과 현재 저장된 글로벌 이벤트들에 의한 글로벌 종합 위험도가 실시간으로 저장된다.Referring to FIG. 1, the global DB 110 stores a global comprehensive risk level due to global events and globally received global events that are given an official code and a risk associated with threat information generated from a global network.

상기 글로벌 이벤트 위험도는 상기 글로벌 네트워크로부터 현재 발생된 위협 정보에 따라 예측되는 네트워크의 취약성을 근거로 관리자가 부여한다.The global event risk is assigned by an administrator based on a vulnerability of a network predicted according to threat information currently generated from the global network.

상기 글로벌 이벤트는 정보공유분석센터(ISAC; Information Sharing & Analysis Center) 혹은 인터넷의 컴퓨터 비상 대응팀(CERT; Computer Emergency Response Team) 등과 같은 외부의 정보 보안 공인 기관에서 부여하는 공인코드와 위험도뿐만 아니라, 관리코드, 공격 유형, 공격 명, 공격 설명, 등록일 등을 포함한다.The global event is managed in addition to the official codes and risks given by external information security certification agencies such as the Information Sharing & Analysis Center (ISAC) or the Computer Emergency Response Team (CERT) on the Internet. Include code, attack type, attack name, attack description, registration date, and so on.

상기 글로벌 종합 위험도는 현재 글로벌 DB(110)에 저장된 글로벌 이벤트들에 따라 예측되는 네트워크의 취약성을 근거로 관리자가 부여한다.The global comprehensive risk is assigned by an administrator based on a vulnerability of a network currently predicted according to global events stored in the global DB 110.

상기 글로벌 종합 위험도는 위험도뿐만 아니라 등록자, 위험 사유, 발생일 등을 포함한다.The global comprehensive risk includes not only the risk but also the registrant, the reason for the occurrence, the date of occurrence, and the like.

로컬 DB(120)에는 로컬 네트워크로부터 발생하는 위협 정보와 관련한 공인코드와 위험도 및 대응하는 내부 IT 자산 IP를 부여받은 로컬 이벤트들과 현재 저장된 로컬 이벤트들에 의한 로컬 종합 위험도가 실시간으로 저장된다.The local DB 120 stores real-time local risks due to local events and currently stored local events that have been granted the authorized codes and risks associated with threat information from the local network and corresponding internal IT asset IPs.

상기 로컬 이벤트 위험도는 상기 로컬 네트워크로부터 현재 발생된 위협 정보에 따라 예측되는 네트워크의 취약성을 근거로 관리자가 부여한다.The local event risk is assigned by an administrator based on a vulnerability of a network predicted according to threat information currently generated from the local network.

상기 로컬 이벤트는 상기한 외부의 정보 보안 공인 기관과 동일하게 공인코드를 부여하는 내부 CERT 등과 같은 로컬 네트워크 내부의 정보 보안 공인 기관에서 부여하는 공인코드와 위험도 및 대응하는 내부 IT 자산 IP뿐만 아니라, 장비코드, 공격 유형, 공격 명, 공격 정보, 발생일, 대응책 등을 포함한다.The local event may include equipment, as well as authorized codes and risks and corresponding internal IT asset IPs, which are granted by an information security certification authority within a local network, such as an internal CERT which grants the same authentication code as an external information security certification authority. Include code, attack type, attack name, attack information, date of occurrence, countermeasures, etc.

상기 로컬 종합 위험도는 현재 로컬 DB(120)에 저장된 로컬 이벤트들에 따라 예측되는 네트워크의 취약성을 근거로 관리자가 부여한다.The local comprehensive risk is assigned by an administrator based on a vulnerability of a network currently predicted according to local events stored in the local DB 120.

상기 로컬 종합 위험도는 위험도뿐만 아니라 등록자, 위험 사유, 발생일 등을 포함한다.The local comprehensive risk includes not only the risk but also the registrant, the reason for the risk, the date of occurrence, and the like.

자산 DB(130)에는 상기 로컬 네트워크에 포함된 내부 IT 자산 IP와 각 내부 IT 자산의 위험도가 저장되어 있다.The asset DB 130 stores the internal IT asset IP included in the local network and the risk of each internal IT asset.

상기 각 내부 IT 자산의 위험도는 각 자산별 중요도에 따라서 관리자가 부여하며, 위험도뿐만 아니라 장비코드, IP정보, 용도, 관리자, 등록일시 등을 포함한다.The risk of each internal IT asset is given by the manager according to the importance of each asset, and includes not only the risk but also the equipment code, IP information, use, administrator, registration date and time.

본 발명에 있어서, 상기 각 위험도는 다음과 같이 5단계, 10등급으로 부여하 는 것이 바람직하다.In the present invention, each of the risk is preferably given in five stages, 10 grades as follows.

1. 정상 단계: 네트워크 상태 및 사용이 정상으로 위험도가 낮은 웜 바이러스 발생 및 해킹 기법, 취약점 발표 등의 이벤트가 발생한 경우에 적용1. Normal phase: Applied when events such as worm virus occurrence, hacking technique, and vulnerability disclosure occur due to normal network condition and usage.

- 등급: 0(저), 1(고)Ratings: 0 (low), 1 (high)

- 색상: 녹색(Green)Color: Green

2. 관심 단계: 위험도가 높은 취약점, 코드 등의 출현으로 네트워크 피해 가능성, 침해 사고 확산 가능성, 이상 트래픽 발생 가능성을 증대시키는 이벤트가 발생한 경우에 적용2. Level of interest: Applied when events that increase the possibility of network damage, the spread of infringement incidents, and the occurrence of abnormal traffic occur due to the appearance of high-risk vulnerabilities and codes.

- 등급: 2(저), 3(고)Grades: 2 (Low), 3 (High)

- 색상: 청색(Blue)Color: Blue

3. 주의 단계: 웜 바이러스, 해킹 등으로 국지적 피해를 발생시키거나 국지적 인터넷 소통 장애, 서비스 장애 발생 등과 같이 관리자의 긴급 대응 및 보안태세 강화를 필요로 하는 이벤트가 발생한 경우에 적용3. Caution Step: Applied when an event that requires administrator's emergency response and enhanced security posture occurs such as causing local damage due to worm virus, hacking, local internet communication failure, service failure, etc.

- 등급: 4(저), 5(고)Grade: 4 (low), 5 (high)

- 색상: 황색(Yellow)Color: Yellow

4. 경계 단계: 주요 정보통신 기반시설의 피해를 발생시키거나 민간 부분에 중대한 피해를 발생시켜 상황 해결을 위한 각 분야의 협조 및 공동 대응을 필요로 하는 이벤트가 발생한 경우에 적용4. Boundary stage: Applied when an event occurs that causes damage to major telecommunications infrastructure or causes serious damage to the private sector, requiring cooperation and cooperative response in each area to resolve the situation.

- 등급: 6(저), 7(고)Grades: 6 (low), 7 (high)

- 색상: 주황색(Orange)Color: Orange

5. 심각 단계: 국내 인터넷 전분야에 소통 장애를 발생시키거나 정보통신 기반시설의 피해로 인하여 서비스 장애가 발생하고 민간 부분 인터넷 사용이 불가능하여 국가적 차원의 공동 대응을 필요로 하는 이벤트가 발생한 경우에 적용5. Severe stage: Applied to cases where service failure occurs due to communication obstacles in all areas of the domestic Internet or damage to information and communication infrastructure, and events that require national cooperative response due to the impossibility of using the private Internet.

- 등급: 8(저), 9(고)Grades: 8 (Low), 9 (High)

- 색상: 적색(Red)Color: Red

위협 관리부(140)는 외부의 정보 보안 공인 기관, 예컨대 정보공유분석센터(ISAC; Information Sharing & Analysis Center) 혹은 인터넷의 컴퓨터 비상 대응팀(CERT; Computer Emergency Response Team) 등을 통하여 글로벌 네트워크로부터 발생하는 위협 정보와 관련한 이벤트를 실시간으로 수집 및 분석하여 대응하는 공인코드와 위험도를 부여하여 상기 글로벌 DB(110)의 글로벌 이벤트로 저장한다.The threat management unit 140 may be a threat generated from a global network through an external authorized information security agency such as an information sharing & analysis center (ISAC) or a computer emergency response team (CERT) on the Internet. Collecting and analyzing the event related to the information in real time to give a corresponding authorized code and risk to store as a global event of the global DB (110).

상기 위협 관리부(140)는 로컬 네트워크에 설치된 내부의 정보 보안 공인 기관(예컨대, 로컬 네트워크 자체의 내부 CERT 등)을 통하여 로컬 네트워크로부터 발생하는 위협 정보와 관련한 이벤트를 실시간으로 수집 및 분석하여 대응하는 공인코드와 위험도 및 대응하는 내부 IT 자산 IP를 부여하여 상기 로컬 DB(120)의 로컬 이벤트로 저장한다.The threat management unit 140 collects and analyzes events related to threat information generated from the local network in real time through an internal information security certification authority (for example, internal CERT of the local network itself) installed in the local network and responds to the authorized. A code, a risk, and a corresponding internal IT asset IP are assigned and stored as a local event of the local DB 120.

상기 위협 관리부(140)는 상기 글로벌 이벤트를 실시간으로 수집 및 분석할 때 신규 발생한 글로벌 이벤트의 공인코드와 일치하는 공인코드를 부여받은 로컬 이벤트가 상기 로컬 DB(120)에 있는지 여부 혹은 상기 로컬 이벤트를 실시간으로 수집 및 분석할 때 신규 발생한 로컬 이벤트의 공인코드와 일치하는 공인코드를 부여받은 글로벌 이벤트가 상기 글로벌 DB(110)에 있는지 여부에 따라서 신규 발생한 글로벌 이벤트 혹은 신규 발생한 로컬 이벤트와 관련한 최종 위험도를 산정하여 네트워크 관리자에게 제공한다.When the global event is collected and analyzed in real time, the threat management unit 140 checks whether or not the local event is given in the local DB 120 or the local event which has been granted an official code that matches the authorized code of a newly generated global event. When collecting and analyzing in real time, the final risk associated with a newly generated global event or a newly generated local event depends on whether or not a global event in which the official code matches the authorized code of a newly generated local event exists in the global DB 110. Calculate and provide to the network administrator

상기 위협 관리부(140)는 신규 발생한 글로벌 이벤트의 공인코드와 일치하는 공인코드를 부여받은 로컬 이벤트가 상기 로컬 DB(120)에 없으면, 신규 발생한 글로벌 이벤트의 위험도와 상기 글로벌 종합 위험도의 평균값을 신규 발생한 글로벌 이벤트와 관련한 최종 위험도로 산정한다.If there is no local event in the local DB 120, the threat management unit 140 generates a new average value of the risk of the newly generated global event and the average global risk. Calculate the final risk associated with a global event.

상기 위협 관리부(140)는 신규 발생한 글로벌 이벤트의 공인코드와 일치하는 공인코드를 부여받은 로컬 이벤트가 상기 로컬 DB(120)에 있으면, 신규 발생한 글로벌 이벤트의 위험도와 상기 로컬 이벤트의 위험도의 평균값을 구한 후, 이 평균값과 상기 글로벌 종합 위험도, 상기 로컬 종합 위험도, 및 상기 자산 DB(130)에 저장된 상기 로컬 이벤트에 대응하는 내부 IT 자산의 위험도의 평균값을 신규 발생한 글로벌 이벤트와 관련한 최종 위험도로 산정한다.The threat management unit 140 obtains an average value of the risk of the newly generated global event and the risk of the local event when the local event that has received the authorized code that matches the authorized code of the newly generated global event exists in the local DB 120. The average value of the average value and the global comprehensive risk, the local comprehensive risk, and the risk value of the internal IT asset corresponding to the local event stored in the asset DB 130 are calculated as the final risks related to the newly generated global event.

상기 위협 관리부(140)는 신규 발생한 로컬 이벤트의 공인코드와 일치하는 공인코드를 부여받은 글로벌 이벤트가 상기 글로벌 DB(110)에 없으면, 신규 발생한 로컬 이벤트의 위험도와 상기 로컬 종합 위험도, 및 상기 자산 DB(130)에 저장된 상기 로컬 이벤트에 대응하는 내부 IT 자산의 위험도의 평균값을 신규 발생한 로컬 이벤트와 관련한 최종 위험도로 산정한다.The threat management unit 140, if there is no global event in the global DB 110 that has received an official code that matches the official code of the newly generated local event, the risk and the local comprehensive risk of the newly generated local event, and the asset DB The average value of the risk of the internal IT asset corresponding to the local event stored at 130 is calculated as the final risk related to the newly occurring local event.

상기 위협 관리부(140)는 신규 발생한 로컬 이벤트의 공인코드와 일치하는 공인코드를 부여받은 글로벌 이벤트가 상기 글로벌 DB(110)에 있으면, 신규 발생한 로컬 이벤트의 위험도와 상기 글로벌 이벤트의 위험도의 평균값을 구한 후, 이 평 균값과 상기 글로벌 종합 위험도, 상기 로컬 종합 위험도, 및 상기 자산 DB(130)에 저장된 상기 로컬 이벤트에 대응하는 내부 IT 자산의 위험도의 평균값을 신규 발생한 로컬 이벤트와 관련한 최종 위험도로 산정한다.The threat management unit 140 calculates an average value of the risk of the newly generated local event and the risk of the global event when the global event that has received the authorized code that matches the authorized code of the newly generated local event exists in the global DB 110. Afterwards, the average value of the average value of the average IT risk corresponding to the local event stored in the global comprehensive risk, the local comprehensive risk, and the asset DB 130 is calculated as the final risk level associated with the newly generated local event. .

상기 위협 관리부(140)는 상기 최종 위험도를 네트워크 관리자 콘솔의 팝-업 화면, E-Mail, SMS, 스피커 중 어느 하나를 통하여 제공한다.The threat management unit 140 provides the final risk level through any one of a pop-up screen, an E-mail, an SMS, and a speaker of the network manager console.

상기와 같이 구성되는 본 발명의 실시예에 따른 위협 관리 시스템(100)은 도 2에 나타낸 방법에 의해 다음과 같이 작동한다.The threat management system 100 according to the embodiment of the present invention configured as described above operates as follows by the method shown in FIG.

상기 위협 관리부(140)는 글로벌 네트워크로부터 발생하는 위협 정보와 관련한 공인코드와 위험도를 부여받은 글로벌 이벤트들과 현재 저장된 글로벌 이벤트들에 의한 글로벌 종합 위험도를 글로벌 DB(110)에 실시간으로 저장하면서(S100) 신규 발생한 글로벌 이벤트의 공인코드와 일치하는 공인코드를 부여받은 로컬 이벤트가 상기 로컬 DB(120)에 있는지 여부를 판별한다(S110).The threat management unit 140 stores the global comprehensive risk due to the global events and the currently stored global events, which are granted the official code and the risk associated with the threat information generated from the global network, in real time in the global DB 110 (S100). In step S110, it is determined whether there is a local event in the local DB 120 that has received an official code that matches the official code of the newly generated global event.

또한, 상기 위협 관리부(140)는 로컬 네트워크로부터 발생하는 위협 정보와 관련한 공인코드와 위험도 및 대응하는 내부 IT 자산 IP를 부여받은 로컬 이벤트들과 현재 저장된 로컬 이벤트들에 의한 로컬 종합 위험도를 로컬 DB(120)에 실시간으로 저장하면서(S120) 신규 발생한 로컬 이벤트의 공인코드와 일치하는 공인코드를 부여받은 글로벌 이벤트가 상기 글로벌 DB(110)에 있는지 여부를 판별한다(S130).In addition, the threat management unit 140 displays a local DB (local risk) by the local events and the currently stored local events given the authorized code and the risk and the corresponding internal IT asset IP associated with the threat information generated from the local network (local DB ( While storing in real time (120) (S120) it is determined whether the global event that has been granted the official code matching the authorized code of the newly generated local event in the global DB (110) (S130).

상기 위협 관리부(140)에 의해 수행되는 S100 및 S110 과정과 S120 및 S130 과정은 상기 글로벌 이벤트와 로컬 이벤트 중 먼저 발생하는 이벤트에 따라서 처리 과정의 선후가 변경될 수 있다.Processes S100 and S110 and S120 and S130 performed by the threat management unit 140 may change the front and rear of the process according to an event occurring first among the global event and the local event.

만약, 상기 글로벌 이벤트가 로컬 이벤트보다 먼저 발생하였다면, 상기 위협 관리부(140)는 상기 S100 및 S110 과정을 상기 S120 및 S130 과정보다 먼저 수행하여 다음의 S140, S150, S160 과정을 순차적으로 수행한다.If the global event occurs earlier than the local event, the threat management unit 140 performs the steps S100 and S110 before the steps S120 and S130 to sequentially perform the following steps S140, S150, and S160.

즉, 상기 S110 과정에서 신규 발생한 글로벌 이벤트의 공인코드와 일치하는 공인코드를 부여받은 로컬 이벤트가 상기 로컬 DB(120)에 없으면, 상기 위협 관리부(140)는 신규 발생한 글로벌 이벤트의 위험도와 상기 글로벌 종합 위험도의 평균값을 신규 발생한 글로벌 이벤트와 관련한 최종 위험도로 산정한다(S140).That is, if there is no local event in the local DB 120 that has been granted an official code that matches the official code of the newly generated global event in step S110, the threat management unit 140 is the risk of the newly generated global event and the global synthesis. The average value of the risk is calculated as the final risk related to the newly occurring global event (S140).

반면에, 상기 S110 과정에서 신규 발생한 글로벌 이벤트의 공인코드와 일치하는 공인코드를 부여받은 로컬 이벤트가 상기 로컬 DB(120)에 있으면, 상기 위협 관리부(140)는 신규 발생한 글로벌 이벤트의 위험도와 상기 로컬 이벤트의 위험도의 평균값을 구한 후(S150), 이 평균값과 상기 글로벌 종합 위험도, 상기 로컬 종합 위험도, 및 상기 자산 DB(130)에 저장된 상기 로컬 이벤트에 대응하는 내부 IT 자산의 위험도의 평균값을 신규 발생한 글로벌 이벤트와 관련한 최종 위험도로 산정한다(S160).On the other hand, if there is a local event in the local DB 120 that has been granted the official code matching the authorized code of the global event newly generated in step S110, the threat management unit 140 is the risk of the newly generated global event and the local After calculating the average value of the risk of the event (S150), the average value of the average value of the internal IT asset corresponding to the local event stored in the asset and the global comprehensive risk, the local comprehensive risk, and the asset DB 130 is newly generated. The final risk associated with the global event is calculated (S160).

다른 한편, 만약, 상기 로컬 이벤트가 글로벌 이벤트보다 먼저 발생하였다면, 상기 위협 관리부(140)는 상기 S120 및 S130 과정을 상기 S100 및 S110 과정보다 먼저 수행하여 다음의 S170, S180, S190 과정을 순차적으로 수행한다.On the other hand, if the local event occurs before the global event, the threat management unit 140 performs the steps S120 and S130 before the steps S100 and S110 to sequentially perform the following steps S170, S180, and S190. do.

즉, 상기 S130 과정에서 신규 발생한 로컬 이벤트의 공인코드와 일치하는 공인코드를 부여받은 글로벌 이벤트가 상기 글로벌 DB(110)에 없으면, 상기 위협 관리부(140)는 신규 발생한 로컬 이벤트의 위험도와 상기 로컬 종합 위험도, 및 상기 자산 DB(130)에 저장된 상기 로컬 이벤트에 대응하는 내부 IT 자산의 위험도의 평균값을 신규 발생한 로컬 이벤트와 관련한 최종 위험도로 산정한다(S170).In other words, if there is no global event in the global DB 110 that has been granted an official code that matches the official code of the newly generated local event in step S130, the threat management unit 140 may determine the risk of the newly generated local event and the local synthesis. The average value of the risk and the risk value of the internal IT asset corresponding to the local event stored in the asset DB 130 is calculated as the final risk related to the newly generated local event (S170).

반면에, 상기 S130 과정에서 신규 발생한 로컬 이벤트의 공인코드와 일치하는 공인코드를 부여받은 글로벌 이벤트가 상기 글로벌 DB(110)에 있으면, 상기 위협 관리부(140)는 신규 발생한 로컬 이벤트의 위험도와 상기 글로벌 이벤트의 위험도의 평균값을 구한 후(S180), 이 평균값과 상기 글로벌 종합 위험도, 상기 로컬 종합 위험도, 및 상기 자산 DB(130)에 저장된 상기 로컬 이벤트에 대응하는 내부 IT 자산의 위험도의 평균값을 신규 발생한 로컬 이벤트와 관련한 최종 위험도로 산정한다(S190).On the other hand, if there is a global event in the global DB (110) that has been granted the official code matching the official code of the newly generated local event in the step S130, the threat management unit 140 is the risk of the newly generated local event and the global After calculating the average value of the risk of the event (S180), the newly generated average value of the average value and the global comprehensive risk, the local comprehensive risk, and the average value of the risk of the internal IT asset corresponding to the local event stored in the asset DB 130. The final risk associated with a local event is calculated (S190).

상기와 같이 최종 위험도가 산정되면, 상기 위협 관리부(140)는 네트워크 관리자 콘솔의 팝-업 화면, E-Mail, SMS, 스피커 중 어느 하나를 통하여 네트워크 관리자에게 제공한다(S200).If the final risk is calculated as described above, the threat management unit 140 provides to the network administrator through any one of the pop-up screen, E-Mail, SMS, speakers of the network manager console (S200).

이에 따라서, 상기 네트워크 관리자가 네트워크에 대한 각종 위협에 사전 대응함으로써 네트워크에 포함되는 내부 IT 자산(예컨대, 웹 서버, DB 서버 등)을 용이하게 보호할 수 있다.Accordingly, the network manager can proactively respond to various threats to the network to easily protect internal IT assets (eg, web server, DB server, etc.) included in the network.

이상에서 설명한 본 발명에 따른 위협 관리 시스템 및 그 방법은 상기한 실시예에 한정되지 않고, 이하의 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 누구든지 다양하게 변경하여 실시할 수 있는 범위까지 그 기술적 정신이 있다.The threat management system and method thereof according to the present invention described above are not limited to the above-described embodiments, and have a general knowledge in the field of the present invention without departing from the gist of the present invention as claimed in the following claims. Anyone who grows has the technical spirit to the extent that anyone can make various changes.

이상에서 설명한 바와 같은 본 발명에 의하면, 전세계에서 현재 운용되고 있는 전체 네트워크로부터 발생하는 각종 위협 정보와 관련한 이벤트 및 일반 회사의 사내 혹은 지사를 포함하는 한정된 관리 대상 네트워크로부터 발생하는 각종 위협 정보와 관련한 이벤트를 실시간으로 수집 및 분석하여 산정한 위험도에 따라서 네트워크 관리자가 네트워크에 대한 각종 위협에 사전 대응함으로써 네트워크에 포함되는 내부 IT 자산(예컨대, 웹 서버, DB 서버 등)을 용이하게 보호할 수 있다.According to the present invention as described above, the event related to the threat information generated from the entire network currently operating in the world and the event related to the threat information generated from the limited managed network including the company or branch of the general company According to the risks calculated and collected in real time, network administrators can proactively respond to various threats to the network to easily protect internal IT assets (eg, web server, DB server, etc.) included in the network.

Claims (8)

삭제delete 삭제delete 글로벌 네트워크로부터 발생하는 위협 정보와 관련한 공인코드와 위험도를 부여받은 글로벌 이벤트들과 현재 저장된 글로벌 이벤트들에 의한 글로벌 종합 위험도가 실시간으로 저장되는 글로벌 DB(110)와;A global DB 110 in which global events, which are given global codes and risks that are authorized with threat codes generated from global networks, and global comprehensive risks of currently stored global events, are stored in real time; 로컬 네트워크로부터 발생하는 위협 정보와 관련한 공인코드와 위험도 및 대응하는 내부 IT 자산 IP를 부여받은 로컬 이벤트들과 현재 저장된 로컬 이벤트들에 의한 로컬 종합 위험도가 실시간으로 저장되는 로컬 DB(120);A local DB 120 storing local real-time risks by local events and currently stored local events that have been granted public codes and risks associated with threat information originating from a local network and corresponding internal IT asset IPs; 상기 로컬 네트워크에 포함된 내부 IT 자산 IP와 각 내부 IT 자산의 위험도가 저장된 자산 DB(130); 및An asset DB 130 in which an internal IT asset IP included in the local network and a risk of each internal IT asset are stored; And 외부의 정보 보안 공인 기관을 통하여 글로벌 네트워크로부터 발생하는 위협 정보와 관련한 이벤트를 실시간으로 수집 및 분석하여 대응하는 공인코드와 위험도를 부여하여 상기 글로벌 DB(110)의 글로벌 이벤트로 저장하고, 로컬 네트워크에 설치된 내부의 정보 보안 공인 기관을 통하여 로컬 네트워크로부터 발생하는 위협 정보와 관련한 이벤트를 실시간으로 수집 및 분석하여 대응하는 공인코드와 위험도 및 대응하는 내부 IT 자산 IP를 부여하여 상기 로컬 DB(120)의 로컬 이벤트로 저장하고, 상기 글로벌 이벤트를 실시간으로 수집 및 분석할 때 신규 발생한 글로벌 이벤트의 공인코드와 일치하는 공인코드를 부여받은 로컬 이벤트가 상기 로컬 DB(120)에 있는지를 판별하여, 신규 발생한 글로벌 이벤트의 공인코드와 일치하는 공인코드를 부여받은 로컬 이벤트가 상기 로컬 DB(120)에 없으면, 신규 발생한 글로벌 이벤트의 위험도와 상기 글로벌 종합 위험도의 평균값을 신규 발생한 글로벌 이벤트와 관련한 최종 위험도로 산정하고, 신규 발생한 글로벌 이벤트의 공인코드와 일치하는 공인코드를 부여받은 로컬 이벤트가 상기 로컬 DB(120)에 있으면, 신규 발생한 글로벌 이벤트의 위험도와 상기 로컬 이벤트의 위험도의 평균값을 구한 후, 이 평균값과 상기 글로벌 종합 위험도, 상기 로컬 종합 위험도, 및 상기 자산 DB(130)에 저장된 상기 로컬 이벤트에 대응하는 내부 IT 자산의 위험도의 평균값을 신규 발생한 글로벌 이벤트와 관련한 최종 위험도로 산정하여 네트워크 관리자에게 제공하는 위협 관리부(140);Collects and analyzes events related to threat information generated from the global network in real time through external information security authorized agencies, assigns corresponding authorized codes and risks, stores them as global events of the global DB 110, and stores them in the local network. Collect and analyze events related to threat information from the local network in real time through the installed internal information security certification authority to assign corresponding authorized codes, risks, and corresponding internal IT asset IPs to the local DB 120 In the event of storing and analyzing the global event in real time, it is determined whether the local event that has received the official code that matches the official code of the newly generated global event exists in the local DB 120, and newly generated global event. Locally assigned an official code that matches the public code of If the vent does not exist in the local DB 120, the risk of the newly generated global event and the average value of the global comprehensive risk are calculated as the final risks related to the newly generated global event, and an official code that matches the official code of the newly generated global event is calculated. If the given local event exists in the local DB 120, the average value of the risk of the newly generated global event and the risk of the local event is obtained, and then the average value, the global comprehensive risk, the local comprehensive risk, and the asset DB ( A threat management unit (140) for calculating a mean value of risks of internal IT assets corresponding to the local events stored in the final event as final risks related to newly generated global events and providing them to the network administrator; 로 구성되는 것을 특징으로 하는 위협 관리 시스템.Threat management system, characterized in that consisting of. 삭제delete 글로벌 네트워크로부터 발생하는 위협 정보와 관련한 공인코드와 위험도를 부여받은 글로벌 이벤트들과 현재 저장된 글로벌 이벤트들에 의한 글로벌 종합 위험도가 실시간으로 저장되는 글로벌 DB(110)와;A global DB 110 in which global events, which are given global codes and risks that are authorized with threat codes generated from global networks, and global comprehensive risks of currently stored global events, are stored in real time; 로컬 네트워크로부터 발생하는 위협 정보와 관련한 공인코드와 위험도 및 대응하는 내부 IT 자산 IP를 부여받은 로컬 이벤트들과 현재 저장된 로컬 이벤트들에 의한 로컬 종합 위험도가 실시간으로 저장되는 로컬 DB(120);A local DB 120 storing local real-time risks by local events and currently stored local events that have been granted public codes and risks associated with threat information originating from a local network and corresponding internal IT asset IPs; 상기 로컬 네트워크에 포함된 내부 IT 자산 IP와 각 내부 IT 자산의 위험도가 저장된 자산 DB(130); 및An asset DB 130 in which an internal IT asset IP included in the local network and a risk of each internal IT asset are stored; And 외부의 정보 보안 공인 기관을 통하여 글로벌 네트워크로부터 발생하는 위협 정보와 관련한 이벤트를 실시간으로 수집 및 분석하여 대응하는 공인코드와 위험도를 부여하여 상기 글로벌 DB(110)의 글로벌 이벤트로 저장하고, 로컬 네트워크에 설치된 내부의 정보 보안 공인 기관을 통하여 로컬 네트워크로부터 발생하는 위협 정보와 관련한 이벤트를 실시간으로 수집 및 분석하여 대응하는 공인코드와 위험도 및 대응하는 내부 IT 자산 IP를 부여하여 상기 로컬 DB(120)의 로컬 이벤트로 저장하고, 상기 로컬 이벤트를 실시간으로 수집 및 분석할 때 신규 발생한 로컬 이벤트의 공인코드와 일치하는 공인코드를 부여받은 글로벌 이벤트가 상기 글로벌 DB(110)에 있는지를 판별하여, 신규 발생한 로컬 이벤트의 공인코드와 일치하는 공인코드를 부여받은 글로벌 이벤트가 상기 글로벌 DB(110)에 없으면, 신규 발생한 로컬 이벤트의 위험도와 상기 로컬 종합 위험도, 및 상기 자산 DB(130)에 저장된 상기 로컬 이벤트에 대응하는 내부 IT 자산의 위험도의 평균값을 신규 발생한 로컬 이벤트와 관련한 최종 위험도로 산정하고, 신규 발생한 로컬 이벤트의 공인코드와 일치하는 공인코드를 부여받은 글로벌 이벤트가 상기 글로벌 DB(110)에 있으면, 신규 발생한 로컬 이벤트의 위험도와 상기 글로벌 이벤트의 위험도의 평균값을 구한 후, 이 평균값과 상기 글로벌 종합 위험도, 상기 로컬 종합 위험도, 및 상기 자산 DB(130)에 저장된 상기 로컬 이벤트에 대응하는 내부 IT 자산의 위험도의 평균값을 신규 발생한 로컬 이벤트와 관련한 최종 위험도로 산정하여 네트워크 관리자에게 제공하는 위협 관리부(140);Collects and analyzes events related to threat information generated from the global network in real time through external information security authorized agencies, assigns corresponding authorized codes and risks, stores them as global events of the global DB 110, and stores them in the local network. Collect and analyze events related to threat information from the local network in real time through the installed internal information security certification authority to assign corresponding authorized codes, risks, and corresponding internal IT asset IPs to the local DB 120 In the event of storing and analyzing the local event in real time, it is determined whether a global event, which has received an official code that matches the official code of a newly generated local event, exists in the global DB 110, and newly generated local event. Globally assigned an official code that matches the official code of If the event is not present in the global DB 110, the newly generated local event may include an average value of a risk of the newly generated local event, the local comprehensive risk, and an average value of an internal IT asset corresponding to the local event stored in the asset DB 130. If the global event is calculated in the final risks associated with the global event, and the global event has been given the official code that matches the official code of the newly generated local event, the average value of the risk of the newly generated local event and the global event is calculated. After calculating, the average value and the average value of the global comprehensive risk, the local comprehensive risk, and the average value of the risk of the internal IT asset corresponding to the local event stored in the asset DB 130 are calculated as the final risks related to the newly generated local event. A threat management unit 140 provided to the network administrator; 로 구성되는 것을 특징으로 하는 위협 관리 시스템.Threat management system, characterized in that consisting of. 제 3 항 또는 제 5 항에 있어서, 상기 위협 관리부(140)는 상기 최종 위험도를 네트워크 관리자 콘솔의 팝-업 화면, E-Mail, SMS, 스피커 중 어느 하나를 통하여 제공하는 것을 특징으로 하는 위협 관리 시스템.The threat management unit of claim 3 or 5, wherein the threat management unit 140 provides the final risk level through any one of a pop-up screen, an E-mail, an SMS, and a speaker of a network manager console. system. 글로벌 네트워크로부터 발생하는 위협 정보와 관련한 공인코드와 위험도를 부여받은 글로벌 이벤트들과 현재 저장된 글로벌 이벤트들에 의한 글로벌 종합 위험도를 글로벌 DB(110)에 실시간으로 저장하면서(S100) 신규 발생한 글로벌 이벤트의 공인코드와 일치하는 공인코드를 부여받은 로컬 이벤트가 상기 로컬 DB(120)에 있는지 여부를 판별하는 제1 과정과(S110);Certified globally received risks from the global network, and the global comprehensive risks from the currently stored global events in real time in the global database (110) (S100) A first step (S110) of determining whether a local event that has been granted an official code corresponding to a code exists in the local DB 120; 로컬 네트워크로부터 발생하는 위협 정보와 관련한 공인코드와 위험도 및 대응하는 내부 IT 자산 IP를 부여받은 로컬 이벤트들과 현재 저장된 로컬 이벤트들에 의한 로컬 종합 위험도를 로컬 DB(120)에 실시간으로 저장하면서(S120) 신규 발생한 로컬 이벤트의 공인코드와 일치하는 공인코드를 부여받은 글로벌 이벤트가 상기 글로벌 DB(110)에 있는지 여부를 판별하는 제2 과정(S130);While storing the local comprehensive risk due to local events and currently stored local events that are granted the authorized code and risks associated with threat information from the local network and corresponding internal IT asset IP in real time (S120) A second step (S130) of determining whether a global event, which has been granted an official code corresponding to an official code of a newly generated local event, exists in the global DB 110; 상기 제1 과정에서 신규 발생한 글로벌 이벤트의 공인코드와 일치하는 공인코드를 부여받은 로컬 이벤트가 상기 로컬 DB(120)에 없으면, 신규 발생한 글로벌 이벤트의 위험도와 상기 글로벌 종합 위험도의 평균값을 신규 발생한 글로벌 이벤트와 관련한 최종 위험도로 산정하는 제3 과정(S140);If there is no local event in the local DB 120 that has received an official code that matches the official code of the newly generated global event in the first process, the global event newly generated the average value of the risk of the newly generated global event and the global total risk. A third step (S140) of calculating a final risk level associated with the risk; 상기 제1 과정에서 신규 발생한 글로벌 이벤트의 공인코드와 일치하는 공인코드를 부여받은 로컬 이벤트가 상기 로컬 DB(120)에 있으면, 신규 발생한 글로벌 이벤트의 위험도와 상기 로컬 이벤트의 위험도의 평균값을 구한 후(S150), 이 평균 값과 상기 글로벌 종합 위험도, 상기 로컬 종합 위험도, 및 상기 자산 DB(130)에 저장된 상기 로컬 이벤트에 대응하는 내부 IT 자산의 위험도의 평균값을 신규 발생한 글로벌 이벤트와 관련한 최종 위험도로 산정하는 제4 과정(S160);If there is a local event in the local DB 120 that has been granted an official code that matches the authorized code of the newly generated global event in the first process, after calculating the average value of the risk of the newly generated global event and the risk of the local event ( S150), the average value of this average value and the global total risk, the local total risk, and the average value of the risk of the internal IT asset corresponding to the local event stored in the asset DB 130 are calculated as the final risk level in relation to the newly generated global event. A fourth process (S160); 상기 제2 과정에서 신규 발생한 로컬 이벤트의 공인코드와 일치하는 공인코드를 부여받은 글로벌 이벤트가 상기 글로벌 DB(110)에 없으면, 신규 발생한 로컬 이벤트의 위험도와 상기 로컬 종합 위험도, 및 상기 자산 DB(130)에 저장된 상기 로컬 이벤트에 대응하는 내부 IT 자산의 위험도의 평균값을 신규 발생한 로컬 이벤트와 관련한 최종 위험도로 산정하는 제5 과정(S170);If there is no global event in the global DB 110 that receives an accreditation code corresponding to the accreditation code of the newly generated local event in the second process, the risk and the local comprehensive risk of the newly occurring local event, and the asset DB 130 A fifth step (S170) of calculating an average value of risks of internal IT assets corresponding to the local event stored in the final event as a final risk related to a newly generated local event; 상기 제2 과정에서 신규 발생한 로컬 이벤트의 공인코드와 일치하는 공인코드를 부여받은 글로벌 이벤트가 상기 글로벌 DB(110)에 있으면, 신규 발생한 로컬 이벤트의 위험도와 상기 글로벌 이벤트의 위험도의 평균값을 구한 후(S180), 이 평균값과 상기 글로벌 종합 위험도, 상기 로컬 종합 위험도, 및 상기 자산 DB(130)에 저장된 상기 로컬 이벤트에 대응하는 내부 IT 자산의 위험도의 평균값을 신규 발생한 로컬 이벤트와 관련한 최종 위험도로 산정하는 제6 과정(S190); 및In the second process, if the global event that has received the official code corresponding to the official code of the newly generated local event is present in the global DB 110, after calculating the average value of the risk of the newly generated local event and the risk of the global event ( S180), the average value of the average value of the global combined risk, the local combined risk, and the risk of the internal IT asset corresponding to the local event stored in the asset DB 130 is calculated as the final risk related to the newly generated local event. A sixth process (S190); And 상기 제3 과정 내지 제6 과정에서 산정한 최종 위험도를 네트워크 관리자에게 제공하는 제7 과정(S200);A seventh process (S200) of providing the network administrator with the final risk calculated in the third to sixth processes; 이루어지는 것을 특징으로 하는 위협 관리 방법.Threat management method, characterized in that made. 제 7 항에 있어서, 상기 제7 과정(S200)에서는 최종 위험도를 네트워크 관리 자 콘솔의 팝-업 화면, E-Mail, SMS, 스피커 중 어느 하나를 통하여 제공하는 것을 특징으로 하는 위협 관리 방법.8. The threat management method according to claim 7, wherein in the seventh step (S200), the final risk is provided through one of a pop-up screen, an E-mail, an SMS, and a speaker of a network manager console.
KR1020060044134A 2006-05-17 2006-05-17 Threats management system and method thereof KR100798755B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060044134A KR100798755B1 (en) 2006-05-17 2006-05-17 Threats management system and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060044134A KR100798755B1 (en) 2006-05-17 2006-05-17 Threats management system and method thereof

Publications (2)

Publication Number Publication Date
KR20070111148A KR20070111148A (en) 2007-11-21
KR100798755B1 true KR100798755B1 (en) 2008-01-29

Family

ID=39090145

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060044134A KR100798755B1 (en) 2006-05-17 2006-05-17 Threats management system and method thereof

Country Status (1)

Country Link
KR (1) KR100798755B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101013077B1 (en) * 2007-07-30 2011-02-14 채문창 Method and system for managing information technology risk based on safety index calculated
CN115618353B (en) * 2022-10-21 2024-01-23 北京珞安科技有限责任公司 Industrial production safety identification system and method

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030023048A (en) * 2001-09-11 2003-03-19 주식회사 이글루시큐리티 Method for real-time auditing a Network
KR20030035142A (en) * 2001-10-30 2003-05-09 주식회사 이글루시큐리티 Method for Providing Enterprise Security Management Service
KR20040104853A (en) * 2003-06-04 2004-12-13 (주)인젠 Risk analysis system for information assets
KR20050048019A (en) * 2003-11-18 2005-05-24 한국전자통신연구원 Method for detecting abnormal traffic in network level using statistical analysis
KR20050055996A (en) * 2003-12-09 2005-06-14 주식회사데이콤 Security information management and vulnerability analysis system
KR20060012134A (en) * 2004-08-02 2006-02-07 주식회사 케이티 Realtime service management system for enterprise and a method thereof

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030023048A (en) * 2001-09-11 2003-03-19 주식회사 이글루시큐리티 Method for real-time auditing a Network
KR20030035142A (en) * 2001-10-30 2003-05-09 주식회사 이글루시큐리티 Method for Providing Enterprise Security Management Service
KR20040104853A (en) * 2003-06-04 2004-12-13 (주)인젠 Risk analysis system for information assets
KR20050048019A (en) * 2003-11-18 2005-05-24 한국전자통신연구원 Method for detecting abnormal traffic in network level using statistical analysis
KR20050055996A (en) * 2003-12-09 2005-06-14 주식회사데이콤 Security information management and vulnerability analysis system
KR20060012134A (en) * 2004-08-02 2006-02-07 주식회사 케이티 Realtime service management system for enterprise and a method thereof

Also Published As

Publication number Publication date
KR20070111148A (en) 2007-11-21

Similar Documents

Publication Publication Date Title
CN107819771B (en) Information security risk assessment method and system based on asset dependency relationship
CN111800395A (en) Threat information defense method and system
KR100838799B1 (en) System and operating method of detecting hacking happening for complementary security management system
Ten et al. Anomaly detection for cybersecurity of the substations
US9008617B2 (en) Layered graphical event mapping
CN100511159C (en) Method and system for addressing intrusion attacks on a computer system
KR100955281B1 (en) Security Risk Evaluation Method for Threat Management
CN100435513C (en) Method of linking network equipment and invading detection system
CN114372286A (en) Data security management method and device, computer equipment and storage medium
KR20040035572A (en) Integrated Emergency Response System in Information Infrastructure and Operating Method therefor
CN106713358A (en) Attack detection method and device
US20090100077A1 (en) Network risk analysis method using information hierarchy structure
CN116827675A (en) Network information security analysis system
Panguluri et al. Protecting water and wastewater infrastructure from cyber attacks
CN114553471A (en) Tenant safety management system
KR101113615B1 (en) Total analysis system of network risk and method thereof
Martins et al. Specialized CSIRT for incident response management in smart grids
CN114339767A (en) Signaling detection method and device, electronic equipment and storage medium
KR100798755B1 (en) Threats management system and method thereof
CN117081864A (en) Network information security defense detection method and system
KR20190083458A (en) Network intrusion detection system and method thereof
CN115396885A (en) Key safety management method and device, electronic equipment and storage medium
Koch et al. Architecture for evaluating and correlating NIDS in real-World networks
Kim et al. Hybrid intrusion forecasting framework for early warning system
CN112217791A (en) Network security situation sensing system based on video monitoring data center

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
G170 Publication of correction
FPAY Annual fee payment

Payment date: 20130121

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20140121

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20150121

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20160222

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20170110

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20180122

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20190108

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20191226

Year of fee payment: 13