KR100819049B1 - Apparatus for detecting and analyzing alert of intrusion and method for displaying it by graph in n-dimensions using the same - Google Patents
Apparatus for detecting and analyzing alert of intrusion and method for displaying it by graph in n-dimensions using the same Download PDFInfo
- Publication number
- KR100819049B1 KR100819049B1 KR1020060123413A KR20060123413A KR100819049B1 KR 100819049 B1 KR100819049 B1 KR 100819049B1 KR 1020060123413 A KR1020060123413 A KR 1020060123413A KR 20060123413 A KR20060123413 A KR 20060123413A KR 100819049 B1 KR100819049 B1 KR 100819049B1
- Authority
- KR
- South Korea
- Prior art keywords
- attack
- alert
- graph
- dimensional
- analysis
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
- H04L43/045—Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
Landscapes
- Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
도 1은 본 발명에 따른 침입 상황 분석 및 대응 장치, 그리고 연동되는 장치들과의 연결 관계를 보여주는 블록도이다.1 is a block diagram illustrating a connection relationship between an intrusion situation analysis and response device and interworking devices according to the present invention.
도 2a는 도 1에 도시된 제1분석부(107)의 상세 구성을 보여주는 블록도이다.FIG. 2A is a block diagram illustrating a detailed configuration of the
도 2b는 도 1에 도시된 제2분석부(109)의 상세 구성을 보여주는 블록도이다.FIG. 2B is a block diagram illustrating a detailed configuration of the
도 3은 도 1에 도시된 제1분석부(107)에서 단계 및 상황별로 공격을 분류하고 N-차 분면으로 표현하는 과정을 보여주는 흐름도이다.FIG. 3 is a flowchart illustrating a process of classifying an attack according to stages and situations and expressing the N-difference in the
도 4는 도 1에 도시된 제2분석부(109)에서 수행하는 과정을 보여주는 흐름도이다.4 is a flowchart illustrating a process performed by the
도 5a는 N-차 분면으로 구분하는 예를 보여주는 도면이다.5A is a diagram illustrating an example of dividing into N-order quadrants.
도 5b는 단계/상황별 공격경보를 분류할 때나 공격단계 분류 데이터베이스에 저장할 때 사용하는 정보에 대한 공격의 단계 및 상황의 예를 보여주는 도면이다.FIG. 5B is a diagram illustrating an example of an attack stage and situation for information used when classifying an attack alert for each stage / situation or storing it in an attack stage classification database.
도 6은 도 5의 N-차 분면 표현중 4-차 분면에 속하는 경보의 3차원 그래프를 보여주는 도면이다.FIG. 6 is a diagram illustrating a three-dimensional graph of alarms belonging to the fourth-order quadrant of the N-th order quadrant of FIG. 5.
도 7 내지 도 8은 도 6의 3차원 그래프를 2차원으로 투영하는 예를 보여주는 도면이다.7 to 8 are diagrams showing an example of projecting the three-dimensional graph of FIG. 6 in two dimensions.
도 9는 경보들간의 상호 연관 관계를 보여주기 위하여 표현되는 결과를 보여주는 도면이다.9 is a view showing the results expressed to show the correlation between the alarms.
본 발명은 침입 상황분석 및 대응을 위한 장치 및 그 장치가 공격탐지 경보를 N차 분면 연관 그래프로 표현하는 방법에 관한 것으로서, 보다 상세하게는 네트워크상의 각 탐지 시스템에서 발생한 공격탐지 경보들을 수집하여 공격상황 및 고수준의 연관성을 분석하고 그래프로 표현하여 관리자에게 직관적인 침입 상황분석과 적시에 대응하도록 도움을 주는 장치 및 그 방법에 관한 것이다.The present invention provides a device for analyzing and responding to an intrusion situation, and the device provides an N-order quadrant for attack detection alert. As a method of expressing as an associative graph, more specifically, it collects attack detection alerts generated by each detection system on the network, analyzes the attack situation and the high level of correlation, and displays the graph as an intuitive intrusion analysis and timely analysis for the administrator. An apparatus and a method for helping to cope with the same.
최근 초고속 인터넷 환경을 기반으로 한 네트워크 기술의 발전과 그에 상응하는 공격 형태들은 대형화되고 다양해지고 있으며 복잡해지고 있는 추세로 이를 효과적으로 탐지하고 대응하기가 점점 어려워지고 있다. 내·외부 네트워크 환경에서 이상트래픽을 유발시키는 주 요인인 서비스 거부(DoS)나 분산 서비스 거부(DDoS), 웜(worm), 봇(bot), 바이러스(virus) 등의 공격들로 인하여 그 피해 규모가 커져가고 있어 이에 대한 방화벽, 가상 사설망, 취약성 분석, 안티바이러스 백신, 침입 탐지 및 방지 시스템 등의 탐지 및 방지 기술들이 도입되고 있다.Recently, the development of network technology based on the high-speed Internet environment and the corresponding attack forms are becoming larger, more diverse, and more complex, and it is becoming increasingly difficult to detect and respond effectively to them. The scale of damage caused by attacks such as denial of service (DoS), distributed denial of service (DDoS), worm, bot, and virus, which are the main causes of abnormal traffic in internal and external network environments The increasing number of detection and prevention technologies such as firewalls, virtual private networks, vulnerability analysis, antivirus vaccines, and intrusion detection and prevention systems are being introduced.
네트워크상에서 발생하는 침입탐지 경보들을 3차원의 직각 좌표계에 선의 형 태로 표현하여 이벤트간의 상관관계를 파악하고 이를 바탕으로 해당 네트워크상에서 현재의 보안 상황을 분석하고 이해하는 기술들이 개발되어 왔다. 기존 분석 기술들은 주로 네트워크 트래픽 정보 수집과 탐지경보 수집을 위한 보안 장비와의 연동, 이를 바탕으로 하여 3차원으로 표현하는 그래프 기술 등이 사용되었다. 트래픽 양을 기준으로 일정치 이상을 초과하는 경우 네트워크의 안정성 영향 파악과 트래픽 속성간의 상호 연관 관계를 파악하여 이상 상태를 분석하는 데는 한계가 있었다. 그리고 보안 시스템으로부터 발생하는 경보를 바탕으로 하는 경우 공격을 구성하는 특정 패턴을 바탕으로 분석함으로써 오탐율이 높고, 발생한 탐지경보간의 상호 연관관계를 분석하고 동일한 이벤트가 다수 개 발생할 경우 이에 대한 보안 상황 관점에서의 처리가 미흡하였고, 탐지 경보들의 연관성만 분석하는 수준에서 그쳐 향후 공격의 진행 방향에 대한 정보 분석이 미흡하였다. Intrusion detection alerts that occur on the network are represented in the form of lines in the three-dimensional rectangular coordinate system to identify the correlation between events, and based on this, techniques for analyzing and understanding the current security situation on the network have been developed. Existing analysis techniques mainly used the network technology to collect the information and the linkage with the security equipment for detection alarm collection, and the graph technology to express in three dimensions based on this. In case of exceeding a certain value based on the traffic volume, there was a limit in analyzing the abnormal state by identifying the stability effect of the network and the correlation between the traffic attributes. And based on alarms from security system, it analyzes based on specific patterns that constitute attack, analyzes false positive rate and correlates between detected alarms. Insufficient processing in Esau, and only analysis of correlation of detection alerts, insufficient information analysis on the direction of future attack.
본 발명이 이루고자 하는 기술적 과제는 상기의 문제점을 해결하기 위해 안출된 것으로, 네트워크상의 각 탐지 시스템에서 발생한 공격탐지 경보들에 대해 공격 상황 및 고수준의 연관성을 분석하고 그래프로 표현하여 관리자에게 직관적인 침입 상황분석과 적시에 대응할 수 있는 수단을 제공하는 침입 상황 분석 및 대응 장치 및 그 장치가 공격탐지 경보를 N차 분면 연관 그래프로 표현하는 방법을 제공하는데 있다.The technical problem to be solved by the present invention was devised to solve the above problems, and analyzes the attack situation and the high level correlation with the attack detection alerts generated by each detection system on the network, and graphically expresses the intrusion to the administrator. The present invention provides an intrusion situation analysis and response device that provides a means for responding to situation analysis and timely, and a device expressing an attack detection alert in an N-order quadrant correlation graph.
상기의 기술적 과제를 이루기 위하여 본 발명에 의한 침입 상황 분석 및 대 응 장치는 네트워크 경보장치들로부터 공격 탐지 경보를 수집하여 분류하고 그 결과를 3차원 그래프로 표현하는 제1분석부; 및 상기 결과를 입력받아 상기 3차원 그래프를 2차원으로 투영하는 벡터변환을 수행한 후 공격들의 연관을 분석하는 제2분석부;를 포함하는 것을 특징으로 한다.In order to achieve the above technical problem, the intrusion situation analysis and response apparatus according to the present invention comprises: a first analysis unit for collecting and classifying attack detection alerts from network alerting apparatuses and expressing the results in a three-dimensional graph; And a second analysis unit which receives the result and performs a vector transformation for projecting the 3D graph in 2D and analyzes the association of the attacks.
상기의 기술적 과제를 이루기 위하여 본 발명에 의한 침입 상황 분석 및 대응 장치는 상기 제1분석부가 상기 공격 탐지 경보를 수집하는 공격탐지경보수집부; 수집된 공격 탐지 경보를 적어도 하나 이상의 공격 단계 및 그 공격 단계의 상황별로 구별하는 분류부; 및 상기 분류된 공격 단계를, 공격 단계별로 할당된 N개의 분면중에서 해당하는 분면의 3차원 그래프로 출력하는 N차 표현분석부;를 포함하는 것이 바람직하다.In order to achieve the above technical problem, the intrusion situation analysis and response apparatus according to the present invention comprises: an attack detection and maintenance unit for collecting the attack detection alert by the first analysis unit; A classification unit for distinguishing the collected attack detection alerts according to at least one attack step and the situation of the attack step; And an N-th order representation analysis unit outputting the classified attack stage as a three-dimensional graph of the corresponding quadrant among the N quadrants allocated according to the attack stage.
상기의 기술적 과제를 이루기 위하여 본 발명에 의한 침입 상황 분석 및 대응 장치는 상기 제2분석부가 상기 N차분면중 하나의 분면에서 3차원으로 표현된 상기 공격 경보를 소정의 벡터변환을 수행하여 2차원으로 투영하는 2차원평면투영분석부; 및 상기 2차원으로 투영된 상기 공격 경보로 이루어지는 집합에 대하여 상호 연결가능성을 판단하여 연관된 관계들을 형성하는 공격 경보를 하나로 연결되는 선으로 표현하는 변환및연관분석부;를 포함하는 것이 바람직하다.In order to achieve the above technical problem, the intrusion situation analysis and response apparatus according to the present invention performs a predetermined vector conversion on the attack alert expressed in three dimensions in one of the Nth-order quadrants by performing a predetermined vector conversion. 2D plane projection analysis unit for projecting; And a conversion and association analysis unit for determining the interconnection possibility of the set of the attack alerts projected in the 2D and expressing the attack alerts that form related relations as a single line.
상기의 기술적 과제를 이루기 위하여 본 발명에 의한 침입 상황 분석 및 대응 장치가 침입 경보를 N차 분면 연관 그래프로 표현하는 방법은 침입 상황분석 및 대응을 위한 장치에서 공격탐지 경보를 N차 분면 연관 그래프로 표현하는 방법에 있어서, 공격 상황과 공격 단계를 분류할 수 있는 기준을 설정하여 공격 단계를 위 험도 순으로 분류하여 판단기준을 설정하는 단계; 네트워크 경보장치들로부터 공격 탐지 경보를 수집한 후 상기 판단기준에 적용하여 그 결과를 3차원 그래프로 생성하는 단계; 및 상기 결과를 입력받아 상기 3차원 그래프를 2차원으로 투영하는 벡터변환을 수행한 후 공격들의 연관을 분석하는 단계;를 포함하는 것을 특징으로 한다.In order to achieve the above technical problem, a method of expressing an intrusion alert as an N-order quadrant association graph by the intrusion situation analysis and response apparatus according to the present invention includes an attack detection alert as an N-order quadrant association graph in the device for intrusion situation analysis and response. A method of expression, comprising: setting a criterion for classifying an attack situation and an attack stage, and classifying the attack stage in order of risk, and setting a criterion for determining the attack stage; Collecting attack detection alerts from network alerting apparatuses and applying the criteria to the criteria to generate a three-dimensional graph of the results; And analyzing the association of the attacks after receiving the result and performing a vector transformation that projects the three-dimensional graph in two dimensions.
상기의 기술적 과제를 이루기 위하여 본 발명에 의한 침입 상황 분석 및 대응 장치가 침입 경보를 N차 분면 연관 그래프로 표현하는 방법은 상기 그 결과를 3차원 그래프로 생성하는 단계가 상기 공격 탐지 경보를 수집하는 단계; 상기 경보 수집 단계에서 수집된 공격 탐지 경보를 적어도 하나 이상의 공격 단계 및 그 공격 단계의 상황별로 구별하는 단계; 및 상기 분류된 공격 단계를 공격 단계별로 할당된 N개의 분면중에서 해당하는 분면의 3차원 그래프로 출력하는 단계;를 포함하는 것이 바람직하다.In order to achieve the above technical problem, the intrusion situation analysis and response device according to the present invention expresses the intrusion alert in the N-order quadrant correlation graph, the step of generating the result as a three-dimensional graph collecting the attack detection alert step; Distinguishing the attack detection alert collected in the alert collection step according to at least one attack stage and the situation of the attack stage; And outputting the classified attack step as a three-dimensional graph of the corresponding quadrant among the N quadrants assigned to each of the attack stages.
상기의 기술적 과제를 이루기 위하여 본 발명에 의한 침입 상황 분석 및 대응 장치가 침입 경보를 N차 분면 연관 그래프로 표현하는 방법 상기 공격들의 연관을 분석하는 단계는 상기 N차분면상에 3차원으로 표현된 상기 공격 경보를 소정의 벡터변환을 수행하여 2차원으로 투영하는 단계; 및 상기 2차원으로 투영된 상기 공격 경보로 이루어지는 집합에 대하여 상호 연결가능성을 판단하여 연관된 관계들을 형성하는 공격 경보를 하나로 연결되는 선으로 표현하는 단계;를 포함하는 것이 바람직하다.In order to achieve the above technical problem, the intrusion situation analysis and response apparatus according to the present invention expresses an intrusion alert in an N-order quadrant association graph. The step of analyzing the association of the attacks is expressed in three dimensions on the N-order quadrant. Projecting the attack alert in two dimensions by performing a predetermined vector transformation; And judging interconnectability with respect to the set of the attack alerts projected in the two-dimensional manner, and expressing attack alerts that form related relations as one connected line.
이하, 첨부된 도면을 참조하면서 본 발명의 바람직한 일 실시예를 상세하게 설명하도록 한다. 설명의 편의와 이해의 용이함을 위하여 장치와 방법을 함께 서술하도록 한다. 도 1은 본 발명에 따른 침입 상황 분석 및 대응 장치, 그리고 연동되는 장치들과의 연결 관계를 보여주는 블록도이다. 도 2a는 도 1에 도시된 제1분석부(107)의 상세 구성을 보여주는 블록도이며, 도 2b는 도 1에 도시된 제2분석부(109)의 상세 구성을 보여주는 블록도이다. 도 3은 도 1에 도시된 제1분석부(107)에서 단계 및 상황별로 공격을 분류하고 N-차 분면으로 표현하는 과정을 보여주는 흐름도이고, 도 4는 도 1에 도시된 제2분석부(109)에서 수행하는 과정을 보여주는 흐름도이다. 한편 도 5a는 N-차 분면으로 구분하는 예를 보여주는 도면이고, 도 5b는 단계/상황별 공격경보를 분류할 때나 공격단계 분류 데이터베이스에 저장할 때 사용하는 정보에 대한 공격의 단계 및 상황의 예를 보여주는 도면이다. 그리고 도 6은 도 5의 N-차 분면 표현중 4-차 분면에 속하는 경보의 3차원 그래프를 보여주는 도면이며, 도 7 내지 도 8은 도 6의 3차원 그래프를 2차원으로 투영하는 예를 보여주는 도면이다. 마지막으로 도 9는 경보들간의 상호 연관 관계를 보여주기 위하여 표현되는 결과를 보여주는 도면이다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. For ease of explanation and ease of understanding, the device and method are described together. 1 is a block diagram illustrating a connection relationship between an intrusion situation analysis and response device and interworking devices according to the present invention. 2A is a block diagram illustrating a detailed configuration of the
먼저 도 1을 참조한다. 상기 결과를 입력받아 상기 3차원 그래프를 2차원으로 투영하는 벡터변환을 수행한 후 공격들의 연관을 분석하는 제2분석부제1분석부(107)는 호스트 IPS(101), 네트워크 IPS(102), 안티바이러스 서비스 제공자(103), 방화벽(104), 기타 보안장치(105)들로부터 각종 공격 탐지 경보를 수집하게 된다. 그리고 제2분석부(110)는 제1분석부(107)가 위의 네트워크 경보장치들로부터 공격 탐지 경보를 수집하여 분류하고 그 결과를 3차원 그래프로 표현한 것을 입력받아 상기 3차원 그래프를 2차원으로 투영하는 벡터변환을 수행한 후 공격들의 연관을 분석한다. 도 1에서 제1분석부는 시각화장치 #1(106)으로, 제2분석부는 시각화장치 #2(110)로 출력하는 것으로 도시되어 있으나, 이는 이해의 용이함을 위한 것으로 실제 각각의 디스플레이 장치가 될 수도 있고, 혹은 하나의 디스플레이 장치에서 선택에 의하여 결과를 출력하는 모습이 될 수도 있다. 한편 공격 단계 분류 DB(108)는 제1분석부와 연동하여 그 결과를 저장하고 있다가 요청에 의하여 제공하고 또 업데이트하는 기능을 수행한다.Reference is first made to FIG. 1. After receiving the result and performing a vector transformation for projecting the 3D graph in two dimensions, the second analysis unit first analyzing
이제, 도 2a 이하 도면을 참조하면서 좀 더 상세한 구성을 설명하도록 한다. 먼저 도 2a 와 도 3을 참조하면서 제1분석부의 기능을 살펴본다. 공격탐지경보수집부(201)는 네트워크 보안 장비들로부터 공격 탐지 경보를 수집한다(S301단계). 분류부(203)는 이렇게 수집된 공격 탐지 경보를 적어도 하나 이상의 공격 단계 및 그 공격 단계의 상황별로 구별하게 된다. 이를 위하여 각 공격에 대해 수집된 탐지경보들이 분류기준에 속하는 키워드 등이 존재하는지로 판단하여 탐지경보들이 분류기준에 속하는지 검사(S303단계)하고, 분류기준이 있는 경우에는 공격단계 분류 데이터베이스에서 검색하여 단계/상황별 공격경보를 분류(S305단계)하고, 분류 기준이 없는 경우에는 아래에서 설명할 적합한 단계로 분류한 후(S309단계)공격단계 분류 데이터베이스(108)에 저장한다(S311단계). 분류된 공격경보는 N-차 분면 표현 분석부(205)로 전달된다.2A, a more detailed configuration will now be described with reference to the drawings. First, the functions of the first analyzer are described with reference to FIGS. 2A and 3. Attack detection and
도 5b는 단계/상황별 공격경보를 분류할 때나 공격단계 분류 데이터베이스에 저장할 때 사용하는 정보에 대한 공격의 단계 및 상황을 설명하기 위해 도시한 도 면으로서, 단계는 공격이 이루어지는 순차적인 흐름을 정의한 것이고 상황은 그 단계에 일어날 수 있는 공격의 유형을 정의한 것이다. 예를 들어, 1단계에서는 어느 네트워크에서 어떤 서비스를 하고 있는지 정보를 수집하는 상황을 정의한 것으로 어떤 네트워크내의 임의의 IP 주소나 서비스 포트를 스캔하여 정보를 수집하는 행위를 말한다. 발생한 경보들을 각 단계별로 분류하기 위해 도 5b의 분류 키워드 예시와 같은 사용자가 정의한 키워드와 비교하여 일치하는 경우에는 해당 단계로 분류하고, 일치하지 않는 경우에는 경보 내용의 용어에 대해 유사도를 비교하는 Support Vector Machine 같은 기계학습 기반의 알고리즘 등을 사용하여 기존 단계와 비교하여 가장 유사한 단계로 분류한다. 이와 같이 새롭게 분류된 키워드는 해당 단계의 키워드와 함께 그 분류 기준으로 사용된다.FIG. 5B is a diagram illustrating a stage and a situation of an attack on information used when classifying an attack alert for each stage / situation or storing it in an attack stage classification database. The stage defines a sequential flow of an attack. The situation defines the type of attack that can occur at that stage. For example, step 1 defines the situation of collecting information on which service is being used in which network, and refers to the act of collecting information by scanning any IP address or service port in a network. In order to classify the alarms generated by each step, it compares with the user-defined keyword such as the classification keyword example of FIG. Machine learning-based algorithms, such as Vector Machine, are used to classify them into the most similar stages. The newly classified keywords are used as the classification criteria together with the keywords of the corresponding stage.
N차 표현분석부(205)는 위에서 설명한 바와 같이 분류된 공격 단계를, 각 공격 단계별로 할당된 N개의 분면(도 5a 참조)중에서 해당하는 분면의 3차원 그래프로 출력하게 된다(S307단계). 이 때 각 분면은 도 5b에 예시된 바와 같은 공격 단계중 하나의 단계에 대응되고, 차수가 높은 분면일수록 공격 단계가 심한 것을 표현하게 된다. The Nth order
도 5a와 도 6을 참조하면, 보다 이해가 용이할 것이다. 도4는 N-차 표현 분석부(205)의 기능을 설명하기 위한 실시예로 6-차 분면의 평면도, 즉 도 6과 같이 3차원적으로 나타나는 그래프의 위치를 알기 쉽도록 위에서 바라본 것을 도시한 도면으로서, 오른쪽부터 반시계 방향으로 1차분면, 2차분면, 3차분면, 4차분면, 5차분면, 6차분면으로 나눈다. 이와 같이 N-차 분면의 평면도는 N차분면으로 나눌 수 있으며, 각 분면은 공격의 단계를 의미한다. 즉, 1차분면은 사전 공격을 위해 정보를 수집하는 단계를 의미하고, 2차분면은 좀더 상세하게 정보를 수집하는 단계를 의미한다. 이와 같은 방식으로 3차분면, 4차분면, 5차분면은 도3과 같은 단계를 따르며 마지막 6차분면은 데이터 파괴 같은 심각한 행위나 사후 공격을 위한 위험 활동 단계를 의미한다.5A and 6, it will be easier to understand. FIG. 4 is a view for explaining the function of the N-order
도 6은 도 5의 4-차 분면에 속하는 경보의 흐름을 표현한 것으로서, 경보를 3차원 좌표계에 표현하고 각 화살표는 공격 탐지경보를 벡터 형식으로 변환시켜 표현한 것이다. 여기서, 각 좌표축의 IPa와 IPb는 근원지 및 목적지의 IP 주소를 의미하고, Port는 포트를 의미한다. 벡터는 크기와 방향을 가지고 있는 것으로 이 좌표계에서 크기는 근원지와 목적지 IP 주소간의 관계를 선으로 표현한 것이고 화살표는 근원지와 목적지간의 공격 방향을 의미한다.FIG. 6 illustrates the flow of the alarm belonging to the quadratic quadrant of FIG. 5, in which the alarm is expressed in a three-dimensional coordinate system, and each arrow is expressed by converting the attack detection alarm into a vector format. Here, IPa and IPb of each coordinate axis mean IP addresses of the source and destination, and Port means a port. The vector has a magnitude and direction, in which the magnitude represents the relationship between the source and destination IP addresses as a line and the arrow represents the direction of attack between the source and destination.
이제, 관련 도면(도 2b, 도 4, 도 7내지 도 9)을 참조하면서 제2분석부(109)의 기능을 살펴본다. 2차원평면투영분석부(207)은 도 5a와 같은 N-차 분면중 하나의 분면에서 3차원으로 표현된 상기 공격 경보(예를 들면 도 6)를 소정의 벡터변환을 수행하여 2차원으로 투영한다. 그리고 변환및연관분석부(209)는 상기 2차원으로 투영된 공격 경보들로 이루어지는 집합에 대하여 각 공격 경보들의 상호 연결가능성을 판단하여 연관된 관계들을 형성하는 공격 경보를 도 9와 같이 하나로 연결되는 선으로 표현한다. 이하 구체적으로 설명한다.Now, the function of the
먼저 2차원평면분석부(207)는 공격 경보를 도 7과 도 8처럼 2차원 평면으로 투영시켜 집합을 형성한다(S401단계). 이것은 발생한 많은 경보들 중에서 공격 단 계가 연결되는지를 알아보기 위해 2차원 평면으로 투영시키는 것이다. 도 8은 투영시키기 위한 벡터변환 방식을 나타낸 것으로, 벡터 V를 X축과 Y축으로 이루어진 2차원 평면으로 투영시켜 벡터 V"가 되었을 때 Y축과 이루는 각 θ로의 벡터 변환은 하지 않고, 벡터 V를 Z축의 원점으로 평행 이동시켜 벡터 V'가 되었을 때 X축과 Y축의 2차원 평면과 Z축과 이루어진 각 θ’로의 벡터 변환만 한다. 이것은 공격의 방향만을 고려한 기본 단위 변환으로써 다른 단계들도 이와 같은 방식으로 변환하여 연결시키면 공격의 흐름 정보를 보여줄 수 있다. 예를 들어, 도 7에서 1사분면의 변환 벡터와 2사분면의 변환 벡터의 경우를 연결시키면 공격의 진행단계를 표현할 수 있다. 여기서, 1사분면의 IPa와 IPb는 각각 근원지와 목적지의 IP 주소를 나타낸 것이고, 2사분면에서는 IPb가 근원지 IP 주소가 되며 (-)IPa는 목적지 IP 주소가 된다(여기서 (-)는 IPa의 2사분면과 3사분면의 경계축을 의미한다). 이와 같은 방식으로 3사분면과 4사분면의 관계, 4사분면과 1사분면의 관계를 연관지을 수 있다.First, the 2D
변환및연관분석부(209)는 도 9와 같은 결과를 도출하는 기능을 결과적으로 수행한다. 이를 위하여 경계 축내에서 공격 경보들끼리 근원지 IP 주소와 목적지 IP 주소가 일치하는지 여부로 상호 연결이 가능한지를 판단하는데(S403단계), 그 결과 같으면 2차원 평면에 투영된 공격 경보들의 집합에 대해 서로 연결 가능한 경우로서, 연관된 단계들을 하나의 연결로 표현한다(S405단계). 연결할 정보가 더 있을 경우에는 이와 같은 과정을 반복하고(S407단계), 중간 단계가 연결되지 않더라도 모든 단계를 연결하여 향후 공격 단계 및 상황 정보를 시각화하여 관리자에게 알려준다. 즉 도 9에 도시된 것처럼 시각화하는데, 도 9는 6-차 분면에 대해 공격들을 연관시켜 추론한 결과를 예시한 것으로, 실선으로 표현된 화살표는 발생한 경보들을 연관시킨 것을 나타낸 것이고 점선으로 표현된 화살표는 발생한 경보들에서 나타나지 않았지만 전체 흐름상 진행되었을 가능성이 큰 공격상황을 나타낸 것이다. 실시 예에서 보는 바와 같이 1단계와 2단계에서 공격자에 의한 정보 수집이 이루어져 4단계의 취약성 공격이 성공하였고, 5단계의 관리자 권한을 획득하여 활동했다는 분석 결과를 도출할 수 있다. The transformation and
대응결정부(211)는 이러한 공격 상황에서 공격자가 향후 시스템의 데이터에 피해를 줄 수 있음을 관리자에게 시각화장치(106,110)등을 통하여 알리고, 그에 합당한 조치를 관리자가 지시하면 그에 따라 시스템 점검 및 차단 등 상응하는 대응을 결정할 수 있게 된다(S409단계).The
본 발명에 의한 침입 상황 분석 및 대응 장치가 공격탐지 경보를 N차 분면 연관 그래프로 표현하는 방법은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 플래쉬 메모리, 광 데이타 저장장치 등이 있으며, 또한 캐리어 웨이브(예를들면 인터넷을 통한 전송)의 형태로 구현되는 것도 포함된다. 또한 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다. 또한 본 발명에 의한 폰트 롬 데이터구조도 컴퓨터로 읽을 수 있는 ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 플래쉬 메모리, 광 데이타 저장장치등과 같은 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다.The method of the intrusion situation analysis and response device according to the present invention expressing the attack detection alert in the N-order quadrant correlation graph may also be embodied as computer readable code on a computer readable recording medium. The computer-readable recording medium includes all kinds of recording devices in which data that can be read by a computer system is stored. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, hard disk, floppy disk, flash memory, optical data storage device, and also carrier waves (eg transmission over the Internet). It is also included to be implemented in the form of. The computer readable recording medium can also be distributed over computer systems connected over a computer network so that the computer readable code is stored and executed in a distributed fashion. Also, the font ROM data structure according to the present invention can be read by a computer on a recording medium such as a computer readable ROM, RAM, CD-ROM, magnetic tape, hard disk, floppy disk, flash memory, optical data storage device, and the like. It can be implemented as code.
이상과 같이 본 발명은 양호한 실시예에 근거하여 설명하였지만, 이러한 실시예는 이 발명을 제한하려는 것이 아니라 예시하려는 것으로, 본 발명이 속하는 기술분야의 숙련자라면 이 발명의 기술사상을 벗어남이 없이 위 실시예에 대한 다양한 변화나 변경 또는 조절이 가능함이 자명할 것이다. 그러므로, 이 발명의 보호범위는 첨부된 청구범위에 의해서만 한정될 것이며, 위와 같은 변화예나 변경예 또는 조절예를 모두 포함하는 것으로 해석되어야 할 것이다.As described above, the present invention has been described based on the preferred embodiments, but these embodiments are intended to illustrate the present invention, not to limit the present invention, and those skilled in the art to which the present invention pertains should be practiced without departing from the spirit of the present invention. It will be apparent that various changes, modifications, or adjustments to the examples are possible. Therefore, the protection scope of the present invention will be limited only by the appended claims, and should be construed as including all such changes, modifications or adjustments.
이상에서 설명한 바와 같이, 본 발명에 의한 침입 상황 분석 및 대응 장치 및 그 장치가 공격탐지 경보를 N차 분면 연관 그래프로 표현하는 방법은 네트워크상의 각 탐지시스템에서 발생한 공격 탐지경보들에 대해 공격유형을 자동으로 분류하고 그 기준을 제시해 주어 알려지지 않은 공격조합을 제시해 줄 수 있는 효과가 있다.As described above, the intrusion situation analysis and response device according to the present invention, and the method in which the device expresses the attack detection alert in the N-order quadrant association graph, the attack type for the attack detection alerts generated by each detection system on the network are described. By automatically classifying and presenting the criteria, there is an effect that can present an unknown attack combination.
그리고 관리자에게 분석된 공격의 상황 및 단계와 연관된 공격들을 3차원 또는 2차원 그래프로 표현해 줌으로써 직관적으로 침입상황을 판단하게 하고 대응할 수 있도록 하여 잘못된 대응을 최소화할 수 있게 하는 효과도 있다. In addition, by expressing attacks related to the analyzed situation and stage of attack in 3D or 2D graphs, the administrator can intuitively determine the intrusion situation and respond to it, minimizing false responses.
또한, 향후 공격의 진행 단계 및 방향을 예측할 수 있도록 하여 사전에 대응 할 수 있도록 하는 효과가 있다. In addition, it is possible to predict the progress and direction of the future attack to be able to respond in advance.
Claims (15)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060123413A KR100819049B1 (en) | 2006-12-06 | 2006-12-06 | Apparatus for detecting and analyzing alert of intrusion and method for displaying it by graph in n-dimensions using the same |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060123413A KR100819049B1 (en) | 2006-12-06 | 2006-12-06 | Apparatus for detecting and analyzing alert of intrusion and method for displaying it by graph in n-dimensions using the same |
Publications (1)
Publication Number | Publication Date |
---|---|
KR100819049B1 true KR100819049B1 (en) | 2008-04-02 |
Family
ID=39533623
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020060123413A KR100819049B1 (en) | 2006-12-06 | 2006-12-06 | Apparatus for detecting and analyzing alert of intrusion and method for displaying it by graph in n-dimensions using the same |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100819049B1 (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101088849B1 (en) | 2009-12-03 | 2011-12-06 | 한국인터넷진흥원 | Visualization system for security information of network and method for visualizing the information |
WO2016014021A1 (en) * | 2014-07-21 | 2016-01-28 | Hewlett-Packard Development Company, L.P. | Security indicator linkage determination |
KR101697189B1 (en) | 2015-08-28 | 2017-01-17 | 국방과학연구소 | System and Method for Cyber Attack History Tracking based on Scenario |
KR101812732B1 (en) * | 2015-12-30 | 2017-12-27 | 주식회사 시큐아이 | Security device and operating method thereof |
WO2024187155A1 (en) * | 2023-03-09 | 2024-09-12 | Salem Cyber | Knowledge and wisdom extraction and codification for machine learning applications |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030052512A (en) * | 2001-12-21 | 2003-06-27 | 한국전자통신연구원 | method and recorded media for attack correlation analysis |
KR20040072365A (en) * | 2003-02-12 | 2004-08-18 | 박세웅 | Apparatus and method for displaying states of the network |
KR20060042788A (en) * | 2004-11-10 | 2006-05-15 | 한국전자통신연구원 | Method for analyzing security condition by representing network events in graphs and apparatus thereof |
KR20060046812A (en) * | 2004-11-10 | 2006-05-18 | 한국전자통신연구원 | Apparatus for detectiong and visualizing anomalies of network traffic and method therof |
KR100656352B1 (en) | 2005-09-16 | 2006-12-11 | 한국전자통신연구원 | Method for displaying event information of network security |
-
2006
- 2006-12-06 KR KR1020060123413A patent/KR100819049B1/en not_active IP Right Cessation
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030052512A (en) * | 2001-12-21 | 2003-06-27 | 한국전자통신연구원 | method and recorded media for attack correlation analysis |
KR20040072365A (en) * | 2003-02-12 | 2004-08-18 | 박세웅 | Apparatus and method for displaying states of the network |
KR20060042788A (en) * | 2004-11-10 | 2006-05-15 | 한국전자통신연구원 | Method for analyzing security condition by representing network events in graphs and apparatus thereof |
KR20060046812A (en) * | 2004-11-10 | 2006-05-18 | 한국전자통신연구원 | Apparatus for detectiong and visualizing anomalies of network traffic and method therof |
KR100656352B1 (en) | 2005-09-16 | 2006-12-11 | 한국전자통신연구원 | Method for displaying event information of network security |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101088849B1 (en) | 2009-12-03 | 2011-12-06 | 한국인터넷진흥원 | Visualization system for security information of network and method for visualizing the information |
WO2016014021A1 (en) * | 2014-07-21 | 2016-01-28 | Hewlett-Packard Development Company, L.P. | Security indicator linkage determination |
EP3172691A4 (en) * | 2014-07-21 | 2018-04-11 | Hewlett-Packard Enterprise Development LP | Security indicator linkage determination |
US10356109B2 (en) | 2014-07-21 | 2019-07-16 | Entit Software Llc | Security indicator linkage determination |
KR101697189B1 (en) | 2015-08-28 | 2017-01-17 | 국방과학연구소 | System and Method for Cyber Attack History Tracking based on Scenario |
KR101812732B1 (en) * | 2015-12-30 | 2017-12-27 | 주식회사 시큐아이 | Security device and operating method thereof |
WO2024187155A1 (en) * | 2023-03-09 | 2024-09-12 | Salem Cyber | Knowledge and wisdom extraction and codification for machine learning applications |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112953933B (en) | Abnormal attack behavior detection method, device, equipment and storage medium | |
US20140013432A1 (en) | Method and apparatus for visualizing network security state | |
CN114679338A (en) | Network risk assessment method based on network security situation awareness | |
JP6201614B2 (en) | Log analysis apparatus, method and program | |
US8019865B2 (en) | Method and apparatus for visualizing network security state | |
KR100949803B1 (en) | Apparatus and Method for divided visualizing IP address | |
CN115996146B (en) | Numerical control system security situation sensing and analyzing system, method, equipment and terminal | |
US11956208B2 (en) | Graphical representation of security threats in a network | |
US20150172302A1 (en) | Interface for analysis of malicious activity on a network | |
JP2007013343A (en) | Worm detection parameter setting program and worm detection parameter setting device | |
KR100819049B1 (en) | Apparatus for detecting and analyzing alert of intrusion and method for displaying it by graph in n-dimensions using the same | |
CN114640548A (en) | Network security sensing and early warning method and system based on big data | |
US8775613B2 (en) | Method and system for providing network monitoring, security event collection apparatus and service abnormality detection apparatus for network monitoring | |
KR100609707B1 (en) | Method for analyzing security condition by representing network events in graphs and apparatus thereof | |
CN112596984A (en) | Data security situation sensing system under weak isolation environment of service | |
EP4258147A1 (en) | Network vulnerability assessment | |
JP7396371B2 (en) | Analytical equipment, analytical methods and analytical programs | |
JP7081695B2 (en) | Priority determination device, priority determination method, and control program | |
TW201710943A (en) | System and method for high frequency heuristic data acquisition and analytics of information security events | |
JP2020024650A (en) | Security information processing device, program, and method | |
WO2006077666A1 (en) | Observation data display device, observation data display method, observation data display program, and computer-readable recording medium containing the program | |
KR20060013120A (en) | Method of visualizing intrusion detection using correlation of intrusion detection alert message | |
CN113824730A (en) | Attack analysis method, device, equipment and storage medium | |
Haggerty et al. | Visualization of system log files for post-incident analysis and response | |
JP2008193302A (en) | Communication log visualization apparatus, communication log visualization method and communication log visualization program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20120228 Year of fee payment: 5 |
|
LAPS | Lapse due to unpaid annual fee |