KR100819049B1 - Apparatus for detecting and analyzing alert of intrusion and method for displaying it by graph in n-dimensions using the same - Google Patents

Apparatus for detecting and analyzing alert of intrusion and method for displaying it by graph in n-dimensions using the same Download PDF

Info

Publication number
KR100819049B1
KR100819049B1 KR1020060123413A KR20060123413A KR100819049B1 KR 100819049 B1 KR100819049 B1 KR 100819049B1 KR 1020060123413 A KR1020060123413 A KR 1020060123413A KR 20060123413 A KR20060123413 A KR 20060123413A KR 100819049 B1 KR100819049 B1 KR 100819049B1
Authority
KR
South Korea
Prior art keywords
attack
alert
graph
dimensional
analysis
Prior art date
Application number
KR1020060123413A
Other languages
Korean (ko)
Inventor
남택용
장종수
정일안
허영준
오승희
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020060123413A priority Critical patent/KR100819049B1/en
Application granted granted Critical
Publication of KR100819049B1 publication Critical patent/KR100819049B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

An apparatus for analyzing and coping with an intrusion situation and a method for expressing attack detection alarms as an N-dimensional correlation graph are provided to enable a manager to intuitively recognize and cope with an intrusion situation by expressing an attack situation, its stages, and correlated attacks as a two or three-dimensional graph. An apparatus for analyzing and coping with an intrusion situation comprises the first analysis part(107) and the second analysis part(109). The first analysis part collects attack detection alarms from network alarm devices, classifies them, and expresses results as a three-dimensional graph. The second analysis part receives the results, executes vector conversion to project the three-dimensional graph onto a two-dimensional graph, and analyzes the correlations of attacks. The first analysis part comprises an attack detection alarm collection part, a classification part, and an N-dimensional express analysis part. The attack detection alarm collection part collects attack detection alarms. The classification part classifies the collected attack detection alarms according to attack stages and attack situations. The N-dimensional express analysis part outputs each classified attack stage as a three-dimensional graph.

Description

침입 상황 분석 및 대응 장치 그리고 그 장치가 공격탐지 경보를 N차 분면 연관 그래프로 표현하는 방법{Apparatus for detecting and analyzing alert of intrusion and method for displaying it by graph in N-dimensions using the same}Apparatus for detecting and analyzing alert of intrusion and method for displaying it by graph in N-dimensions using the same}

도 1은 본 발명에 따른 침입 상황 분석 및 대응 장치, 그리고 연동되는 장치들과의 연결 관계를 보여주는 블록도이다.1 is a block diagram illustrating a connection relationship between an intrusion situation analysis and response device and interworking devices according to the present invention.

도 2a는 도 1에 도시된 제1분석부(107)의 상세 구성을 보여주는 블록도이다.FIG. 2A is a block diagram illustrating a detailed configuration of the first analyzer 107 illustrated in FIG. 1.

도 2b는 도 1에 도시된 제2분석부(109)의 상세 구성을 보여주는 블록도이다.FIG. 2B is a block diagram illustrating a detailed configuration of the second analyzer 109 shown in FIG. 1.

도 3은 도 1에 도시된 제1분석부(107)에서 단계 및 상황별로 공격을 분류하고 N-차 분면으로 표현하는 과정을 보여주는 흐름도이다.FIG. 3 is a flowchart illustrating a process of classifying an attack according to stages and situations and expressing the N-difference in the first analysis unit 107 illustrated in FIG. 1.

도 4는 도 1에 도시된 제2분석부(109)에서 수행하는 과정을 보여주는 흐름도이다.4 is a flowchart illustrating a process performed by the second analyzer 109 shown in FIG. 1.

도 5a는 N-차 분면으로 구분하는 예를 보여주는 도면이다.5A is a diagram illustrating an example of dividing into N-order quadrants.

도 5b는 단계/상황별 공격경보를 분류할 때나 공격단계 분류 데이터베이스에 저장할 때 사용하는 정보에 대한 공격의 단계 및 상황의 예를 보여주는 도면이다.FIG. 5B is a diagram illustrating an example of an attack stage and situation for information used when classifying an attack alert for each stage / situation or storing it in an attack stage classification database.

도 6은 도 5의 N-차 분면 표현중 4-차 분면에 속하는 경보의 3차원 그래프를 보여주는 도면이다.FIG. 6 is a diagram illustrating a three-dimensional graph of alarms belonging to the fourth-order quadrant of the N-th order quadrant of FIG. 5.

도 7 내지 도 8은 도 6의 3차원 그래프를 2차원으로 투영하는 예를 보여주는 도면이다.7 to 8 are diagrams showing an example of projecting the three-dimensional graph of FIG. 6 in two dimensions.

도 9는 경보들간의 상호 연관 관계를 보여주기 위하여 표현되는 결과를 보여주는 도면이다.9 is a view showing the results expressed to show the correlation between the alarms.

본 발명은 침입 상황분석 및 대응을 위한 장치 및 그 장치가 공격탐지 경보를 N차 분면 연관 그래프로 표현하는 방법에 관한 것으로서, 보다 상세하게는 네트워크상의 각 탐지 시스템에서 발생한 공격탐지 경보들을 수집하여 공격상황 및 고수준의 연관성을 분석하고 그래프로 표현하여 관리자에게 직관적인 침입 상황분석과 적시에 대응하도록 도움을 주는 장치 및 그 방법에 관한 것이다.The present invention provides a device for analyzing and responding to an intrusion situation, and the device provides an N-order quadrant for attack detection alert. As a method of expressing as an associative graph, more specifically, it collects attack detection alerts generated by each detection system on the network, analyzes the attack situation and the high level of correlation, and displays the graph as an intuitive intrusion analysis and timely analysis for the administrator. An apparatus and a method for helping to cope with the same.

최근 초고속 인터넷 환경을 기반으로 한 네트워크 기술의 발전과 그에 상응하는 공격 형태들은 대형화되고 다양해지고 있으며 복잡해지고 있는 추세로 이를 효과적으로 탐지하고 대응하기가 점점 어려워지고 있다. 내·외부 네트워크 환경에서 이상트래픽을 유발시키는 주 요인인 서비스 거부(DoS)나 분산 서비스 거부(DDoS), 웜(worm), 봇(bot), 바이러스(virus) 등의 공격들로 인하여 그 피해 규모가 커져가고 있어 이에 대한 방화벽, 가상 사설망, 취약성 분석, 안티바이러스 백신, 침입 탐지 및 방지 시스템 등의 탐지 및 방지 기술들이 도입되고 있다.Recently, the development of network technology based on the high-speed Internet environment and the corresponding attack forms are becoming larger, more diverse, and more complex, and it is becoming increasingly difficult to detect and respond effectively to them. The scale of damage caused by attacks such as denial of service (DoS), distributed denial of service (DDoS), worm, bot, and virus, which are the main causes of abnormal traffic in internal and external network environments The increasing number of detection and prevention technologies such as firewalls, virtual private networks, vulnerability analysis, antivirus vaccines, and intrusion detection and prevention systems are being introduced.

네트워크상에서 발생하는 침입탐지 경보들을 3차원의 직각 좌표계에 선의 형 태로 표현하여 이벤트간의 상관관계를 파악하고 이를 바탕으로 해당 네트워크상에서 현재의 보안 상황을 분석하고 이해하는 기술들이 개발되어 왔다. 기존 분석 기술들은 주로 네트워크 트래픽 정보 수집과 탐지경보 수집을 위한 보안 장비와의 연동, 이를 바탕으로 하여 3차원으로 표현하는 그래프 기술 등이 사용되었다. 트래픽 양을 기준으로 일정치 이상을 초과하는 경우 네트워크의 안정성 영향 파악과 트래픽 속성간의 상호 연관 관계를 파악하여 이상 상태를 분석하는 데는 한계가 있었다. 그리고 보안 시스템으로부터 발생하는 경보를 바탕으로 하는 경우 공격을 구성하는 특정 패턴을 바탕으로 분석함으로써 오탐율이 높고, 발생한 탐지경보간의 상호 연관관계를 분석하고 동일한 이벤트가 다수 개 발생할 경우 이에 대한 보안 상황 관점에서의 처리가 미흡하였고, 탐지 경보들의 연관성만 분석하는 수준에서 그쳐 향후 공격의 진행 방향에 대한 정보 분석이 미흡하였다. Intrusion detection alerts that occur on the network are represented in the form of lines in the three-dimensional rectangular coordinate system to identify the correlation between events, and based on this, techniques for analyzing and understanding the current security situation on the network have been developed. Existing analysis techniques mainly used the network technology to collect the information and the linkage with the security equipment for detection alarm collection, and the graph technology to express in three dimensions based on this. In case of exceeding a certain value based on the traffic volume, there was a limit in analyzing the abnormal state by identifying the stability effect of the network and the correlation between the traffic attributes. And based on alarms from security system, it analyzes based on specific patterns that constitute attack, analyzes false positive rate and correlates between detected alarms. Insufficient processing in Esau, and only analysis of correlation of detection alerts, insufficient information analysis on the direction of future attack.

본 발명이 이루고자 하는 기술적 과제는 상기의 문제점을 해결하기 위해 안출된 것으로, 네트워크상의 각 탐지 시스템에서 발생한 공격탐지 경보들에 대해 공격 상황 및 고수준의 연관성을 분석하고 그래프로 표현하여 관리자에게 직관적인 침입 상황분석과 적시에 대응할 수 있는 수단을 제공하는 침입 상황 분석 및 대응 장치 및 그 장치가 공격탐지 경보를 N차 분면 연관 그래프로 표현하는 방법을 제공하는데 있다.The technical problem to be solved by the present invention was devised to solve the above problems, and analyzes the attack situation and the high level correlation with the attack detection alerts generated by each detection system on the network, and graphically expresses the intrusion to the administrator. The present invention provides an intrusion situation analysis and response device that provides a means for responding to situation analysis and timely, and a device expressing an attack detection alert in an N-order quadrant correlation graph.

상기의 기술적 과제를 이루기 위하여 본 발명에 의한 침입 상황 분석 및 대 응 장치는 네트워크 경보장치들로부터 공격 탐지 경보를 수집하여 분류하고 그 결과를 3차원 그래프로 표현하는 제1분석부; 및 상기 결과를 입력받아 상기 3차원 그래프를 2차원으로 투영하는 벡터변환을 수행한 후 공격들의 연관을 분석하는 제2분석부;를 포함하는 것을 특징으로 한다.In order to achieve the above technical problem, the intrusion situation analysis and response apparatus according to the present invention comprises: a first analysis unit for collecting and classifying attack detection alerts from network alerting apparatuses and expressing the results in a three-dimensional graph; And a second analysis unit which receives the result and performs a vector transformation for projecting the 3D graph in 2D and analyzes the association of the attacks.

상기의 기술적 과제를 이루기 위하여 본 발명에 의한 침입 상황 분석 및 대응 장치는 상기 제1분석부가 상기 공격 탐지 경보를 수집하는 공격탐지경보수집부; 수집된 공격 탐지 경보를 적어도 하나 이상의 공격 단계 및 그 공격 단계의 상황별로 구별하는 분류부; 및 상기 분류된 공격 단계를, 공격 단계별로 할당된 N개의 분면중에서 해당하는 분면의 3차원 그래프로 출력하는 N차 표현분석부;를 포함하는 것이 바람직하다.In order to achieve the above technical problem, the intrusion situation analysis and response apparatus according to the present invention comprises: an attack detection and maintenance unit for collecting the attack detection alert by the first analysis unit; A classification unit for distinguishing the collected attack detection alerts according to at least one attack step and the situation of the attack step; And an N-th order representation analysis unit outputting the classified attack stage as a three-dimensional graph of the corresponding quadrant among the N quadrants allocated according to the attack stage.

상기의 기술적 과제를 이루기 위하여 본 발명에 의한 침입 상황 분석 및 대응 장치는 상기 제2분석부가 상기 N차분면중 하나의 분면에서 3차원으로 표현된 상기 공격 경보를 소정의 벡터변환을 수행하여 2차원으로 투영하는 2차원평면투영분석부; 및 상기 2차원으로 투영된 상기 공격 경보로 이루어지는 집합에 대하여 상호 연결가능성을 판단하여 연관된 관계들을 형성하는 공격 경보를 하나로 연결되는 선으로 표현하는 변환및연관분석부;를 포함하는 것이 바람직하다.In order to achieve the above technical problem, the intrusion situation analysis and response apparatus according to the present invention performs a predetermined vector conversion on the attack alert expressed in three dimensions in one of the Nth-order quadrants by performing a predetermined vector conversion. 2D plane projection analysis unit for projecting; And a conversion and association analysis unit for determining the interconnection possibility of the set of the attack alerts projected in the 2D and expressing the attack alerts that form related relations as a single line.

상기의 기술적 과제를 이루기 위하여 본 발명에 의한 침입 상황 분석 및 대응 장치가 침입 경보를 N차 분면 연관 그래프로 표현하는 방법은 침입 상황분석 및 대응을 위한 장치에서 공격탐지 경보를 N차 분면 연관 그래프로 표현하는 방법에 있어서, 공격 상황과 공격 단계를 분류할 수 있는 기준을 설정하여 공격 단계를 위 험도 순으로 분류하여 판단기준을 설정하는 단계; 네트워크 경보장치들로부터 공격 탐지 경보를 수집한 후 상기 판단기준에 적용하여 그 결과를 3차원 그래프로 생성하는 단계; 및 상기 결과를 입력받아 상기 3차원 그래프를 2차원으로 투영하는 벡터변환을 수행한 후 공격들의 연관을 분석하는 단계;를 포함하는 것을 특징으로 한다.In order to achieve the above technical problem, a method of expressing an intrusion alert as an N-order quadrant association graph by the intrusion situation analysis and response apparatus according to the present invention includes an attack detection alert as an N-order quadrant association graph in the device for intrusion situation analysis and response. A method of expression, comprising: setting a criterion for classifying an attack situation and an attack stage, and classifying the attack stage in order of risk, and setting a criterion for determining the attack stage; Collecting attack detection alerts from network alerting apparatuses and applying the criteria to the criteria to generate a three-dimensional graph of the results; And analyzing the association of the attacks after receiving the result and performing a vector transformation that projects the three-dimensional graph in two dimensions.

상기의 기술적 과제를 이루기 위하여 본 발명에 의한 침입 상황 분석 및 대응 장치가 침입 경보를 N차 분면 연관 그래프로 표현하는 방법은 상기 그 결과를 3차원 그래프로 생성하는 단계가 상기 공격 탐지 경보를 수집하는 단계; 상기 경보 수집 단계에서 수집된 공격 탐지 경보를 적어도 하나 이상의 공격 단계 및 그 공격 단계의 상황별로 구별하는 단계; 및 상기 분류된 공격 단계를 공격 단계별로 할당된 N개의 분면중에서 해당하는 분면의 3차원 그래프로 출력하는 단계;를 포함하는 것이 바람직하다.In order to achieve the above technical problem, the intrusion situation analysis and response device according to the present invention expresses the intrusion alert in the N-order quadrant correlation graph, the step of generating the result as a three-dimensional graph collecting the attack detection alert step; Distinguishing the attack detection alert collected in the alert collection step according to at least one attack stage and the situation of the attack stage; And outputting the classified attack step as a three-dimensional graph of the corresponding quadrant among the N quadrants assigned to each of the attack stages.

상기의 기술적 과제를 이루기 위하여 본 발명에 의한 침입 상황 분석 및 대응 장치가 침입 경보를 N차 분면 연관 그래프로 표현하는 방법 상기 공격들의 연관을 분석하는 단계는 상기 N차분면상에 3차원으로 표현된 상기 공격 경보를 소정의 벡터변환을 수행하여 2차원으로 투영하는 단계; 및 상기 2차원으로 투영된 상기 공격 경보로 이루어지는 집합에 대하여 상호 연결가능성을 판단하여 연관된 관계들을 형성하는 공격 경보를 하나로 연결되는 선으로 표현하는 단계;를 포함하는 것이 바람직하다.In order to achieve the above technical problem, the intrusion situation analysis and response apparatus according to the present invention expresses an intrusion alert in an N-order quadrant association graph. The step of analyzing the association of the attacks is expressed in three dimensions on the N-order quadrant. Projecting the attack alert in two dimensions by performing a predetermined vector transformation; And judging interconnectability with respect to the set of the attack alerts projected in the two-dimensional manner, and expressing attack alerts that form related relations as one connected line.

이하, 첨부된 도면을 참조하면서 본 발명의 바람직한 일 실시예를 상세하게 설명하도록 한다. 설명의 편의와 이해의 용이함을 위하여 장치와 방법을 함께 서술하도록 한다. 도 1은 본 발명에 따른 침입 상황 분석 및 대응 장치, 그리고 연동되는 장치들과의 연결 관계를 보여주는 블록도이다. 도 2a는 도 1에 도시된 제1분석부(107)의 상세 구성을 보여주는 블록도이며, 도 2b는 도 1에 도시된 제2분석부(109)의 상세 구성을 보여주는 블록도이다. 도 3은 도 1에 도시된 제1분석부(107)에서 단계 및 상황별로 공격을 분류하고 N-차 분면으로 표현하는 과정을 보여주는 흐름도이고, 도 4는 도 1에 도시된 제2분석부(109)에서 수행하는 과정을 보여주는 흐름도이다. 한편 도 5a는 N-차 분면으로 구분하는 예를 보여주는 도면이고, 도 5b는 단계/상황별 공격경보를 분류할 때나 공격단계 분류 데이터베이스에 저장할 때 사용하는 정보에 대한 공격의 단계 및 상황의 예를 보여주는 도면이다. 그리고 도 6은 도 5의 N-차 분면 표현중 4-차 분면에 속하는 경보의 3차원 그래프를 보여주는 도면이며, 도 7 내지 도 8은 도 6의 3차원 그래프를 2차원으로 투영하는 예를 보여주는 도면이다. 마지막으로 도 9는 경보들간의 상호 연관 관계를 보여주기 위하여 표현되는 결과를 보여주는 도면이다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. For ease of explanation and ease of understanding, the device and method are described together. 1 is a block diagram illustrating a connection relationship between an intrusion situation analysis and response device and interworking devices according to the present invention. 2A is a block diagram illustrating a detailed configuration of the first analyzer 107 illustrated in FIG. 1, and FIG. 2B is a block diagram illustrating a detailed configuration of the second analyzer 109 illustrated in FIG. 1. FIG. 3 is a flowchart illustrating a process of classifying an attack according to stages and situations in the first analysis unit 107 illustrated in FIG. 1 and expressing it in an N-difference quadrature. FIG. 4 is a second analysis unit illustrated in FIG. 109) is a flowchart showing the process performed. Meanwhile, FIG. 5A is a diagram illustrating an example of dividing into N-order quadrants, and FIG. 5B is an example of an attack stage and situation for information used when classifying an attack alert for each stage / situation or storing it in an attack stage classification database. Figure showing. FIG. 6 is a diagram showing a three-dimensional graph of an alarm belonging to a fourth-order quadrant of the N-order quadrant of FIG. 5, and FIGS. 7 to 8 show examples of projecting the three-dimensional graph of FIG. 6 in two dimensions. Drawing. Finally, Figure 9 is a view showing the results expressed to show the correlation between the alarms.

먼저 도 1을 참조한다. 상기 결과를 입력받아 상기 3차원 그래프를 2차원으로 투영하는 벡터변환을 수행한 후 공격들의 연관을 분석하는 제2분석부제1분석부(107)는 호스트 IPS(101), 네트워크 IPS(102), 안티바이러스 서비스 제공자(103), 방화벽(104), 기타 보안장치(105)들로부터 각종 공격 탐지 경보를 수집하게 된다. 그리고 제2분석부(110)는 제1분석부(107)가 위의 네트워크 경보장치들로부터 공격 탐지 경보를 수집하여 분류하고 그 결과를 3차원 그래프로 표현한 것을 입력받아 상기 3차원 그래프를 2차원으로 투영하는 벡터변환을 수행한 후 공격들의 연관을 분석한다. 도 1에서 제1분석부는 시각화장치 #1(106)으로, 제2분석부는 시각화장치 #2(110)로 출력하는 것으로 도시되어 있으나, 이는 이해의 용이함을 위한 것으로 실제 각각의 디스플레이 장치가 될 수도 있고, 혹은 하나의 디스플레이 장치에서 선택에 의하여 결과를 출력하는 모습이 될 수도 있다. 한편 공격 단계 분류 DB(108)는 제1분석부와 연동하여 그 결과를 저장하고 있다가 요청에 의하여 제공하고 또 업데이트하는 기능을 수행한다.Reference is first made to FIG. 1. After receiving the result and performing a vector transformation for projecting the 3D graph in two dimensions, the second analysis unit first analyzing unit 107 for analyzing the association of the attacks is the host IPS 101, the network IPS 102, Various attack detection alerts are collected from antivirus service provider 103, firewall 104, and other security devices 105. The second analysis unit 110 receives the first analysis unit 107 collects and classifies attack detection alerts from the network alarm devices and expresses the result in a three-dimensional graph. After performing the vector transformation projecting to the target, we analyze the association of the attacks. In FIG. 1, the first analysis unit is output to the visualization device # 1 106 and the second analysis unit is output to the visualization device # 2 110, but this is for ease of understanding and may be actual display devices. Alternatively, the display may output a result by selection on one display device. On the other hand, the attack stage classification DB 108 stores the result in association with the first analysis unit and performs a function of providing and updating on request.

이제, 도 2a 이하 도면을 참조하면서 좀 더 상세한 구성을 설명하도록 한다. 먼저 도 2a 와 도 3을 참조하면서 제1분석부의 기능을 살펴본다. 공격탐지경보수집부(201)는 네트워크 보안 장비들로부터 공격 탐지 경보를 수집한다(S301단계). 분류부(203)는 이렇게 수집된 공격 탐지 경보를 적어도 하나 이상의 공격 단계 및 그 공격 단계의 상황별로 구별하게 된다. 이를 위하여 각 공격에 대해 수집된 탐지경보들이 분류기준에 속하는 키워드 등이 존재하는지로 판단하여 탐지경보들이 분류기준에 속하는지 검사(S303단계)하고, 분류기준이 있는 경우에는 공격단계 분류 데이터베이스에서 검색하여 단계/상황별 공격경보를 분류(S305단계)하고, 분류 기준이 없는 경우에는 아래에서 설명할 적합한 단계로 분류한 후(S309단계)공격단계 분류 데이터베이스(108)에 저장한다(S311단계). 분류된 공격경보는 N-차 분면 표현 분석부(205)로 전달된다.2A, a more detailed configuration will now be described with reference to the drawings. First, the functions of the first analyzer are described with reference to FIGS. 2A and 3. Attack detection and repair collection unit 201 collects an attack detection alert from the network security equipment (S301). The classification unit 203 distinguishes the collected attack detection alerts according to at least one attack step and the situation of the attack step. To this end, the detection alarms collected for each attack are judged by the presence of a keyword belonging to the classification criteria, and then the detection alarms are checked to see whether they belong to the classification criteria (step S303). By classifying the attack alert for each step / situation (step S305), and if there is no classification criteria are classified into suitable steps to be described below (step S309) and stored in the attack stage classification database 108 (step S311). The classified attack alarm is transmitted to the N-order quadrant expression analysis unit 205.

도 5b는 단계/상황별 공격경보를 분류할 때나 공격단계 분류 데이터베이스에 저장할 때 사용하는 정보에 대한 공격의 단계 및 상황을 설명하기 위해 도시한 도 면으로서, 단계는 공격이 이루어지는 순차적인 흐름을 정의한 것이고 상황은 그 단계에 일어날 수 있는 공격의 유형을 정의한 것이다. 예를 들어, 1단계에서는 어느 네트워크에서 어떤 서비스를 하고 있는지 정보를 수집하는 상황을 정의한 것으로 어떤 네트워크내의 임의의 IP 주소나 서비스 포트를 스캔하여 정보를 수집하는 행위를 말한다. 발생한 경보들을 각 단계별로 분류하기 위해 도 5b의 분류 키워드 예시와 같은 사용자가 정의한 키워드와 비교하여 일치하는 경우에는 해당 단계로 분류하고, 일치하지 않는 경우에는 경보 내용의 용어에 대해 유사도를 비교하는 Support Vector Machine 같은 기계학습 기반의 알고리즘 등을 사용하여 기존 단계와 비교하여 가장 유사한 단계로 분류한다. 이와 같이 새롭게 분류된 키워드는 해당 단계의 키워드와 함께 그 분류 기준으로 사용된다.FIG. 5B is a diagram illustrating a stage and a situation of an attack on information used when classifying an attack alert for each stage / situation or storing it in an attack stage classification database. The stage defines a sequential flow of an attack. The situation defines the type of attack that can occur at that stage. For example, step 1 defines the situation of collecting information on which service is being used in which network, and refers to the act of collecting information by scanning any IP address or service port in a network. In order to classify the alarms generated by each step, it compares with the user-defined keyword such as the classification keyword example of FIG. Machine learning-based algorithms, such as Vector Machine, are used to classify them into the most similar stages. The newly classified keywords are used as the classification criteria together with the keywords of the corresponding stage.

N차 표현분석부(205)는 위에서 설명한 바와 같이 분류된 공격 단계를, 각 공격 단계별로 할당된 N개의 분면(도 5a 참조)중에서 해당하는 분면의 3차원 그래프로 출력하게 된다(S307단계). 이 때 각 분면은 도 5b에 예시된 바와 같은 공격 단계중 하나의 단계에 대응되고, 차수가 높은 분면일수록 공격 단계가 심한 것을 표현하게 된다. The Nth order expression analyzing unit 205 outputs the attack stages classified as described above as a three-dimensional graph of the corresponding quadrants among the N quadrants (see FIG. 5A) allocated to each attack stage (step S307). At this time, each quadrant corresponds to one of the attack stages as illustrated in FIG. 5B, and the higher the quadrant, the more severe the attack stage.

도 5a와 도 6을 참조하면, 보다 이해가 용이할 것이다. 도4는 N-차 표현 분석부(205)의 기능을 설명하기 위한 실시예로 6-차 분면의 평면도, 즉 도 6과 같이 3차원적으로 나타나는 그래프의 위치를 알기 쉽도록 위에서 바라본 것을 도시한 도면으로서, 오른쪽부터 반시계 방향으로 1차분면, 2차분면, 3차분면, 4차분면, 5차분면, 6차분면으로 나눈다. 이와 같이 N-차 분면의 평면도는 N차분면으로 나눌 수 있으며, 각 분면은 공격의 단계를 의미한다. 즉, 1차분면은 사전 공격을 위해 정보를 수집하는 단계를 의미하고, 2차분면은 좀더 상세하게 정보를 수집하는 단계를 의미한다. 이와 같은 방식으로 3차분면, 4차분면, 5차분면은 도3과 같은 단계를 따르며 마지막 6차분면은 데이터 파괴 같은 심각한 행위나 사후 공격을 위한 위험 활동 단계를 의미한다.5A and 6, it will be easier to understand. FIG. 4 is a view for explaining the function of the N-order representation analyzing unit 205. The plan view of the sixth order quadrant, that is, the view of the graph shown in three dimensions as shown in FIG. As a figure, it divides into a 1st quadrant, a 2nd quadrant, a 3rd quadrant, a 4th quadrant, a 5th quadrant, and a 6th quadrant in the counterclockwise direction from the right side. As such, the plan view of the N-order quadrant can be divided into N-order quadrants, each of which represents a stage of attack. That is, the first quadrant means collecting information for a dictionary attack, and the second quadrant means collecting information in more detail. In this way, the third quadrant, the fourth quadrant, and the fifth quadrant follow the same steps as in FIG. 3, and the last sixth quadrant refers to a serious activity such as data destruction or a dangerous activity stage for post-attack.

도 6은 도 5의 4-차 분면에 속하는 경보의 흐름을 표현한 것으로서, 경보를 3차원 좌표계에 표현하고 각 화살표는 공격 탐지경보를 벡터 형식으로 변환시켜 표현한 것이다. 여기서, 각 좌표축의 IPa와 IPb는 근원지 및 목적지의 IP 주소를 의미하고, Port는 포트를 의미한다. 벡터는 크기와 방향을 가지고 있는 것으로 이 좌표계에서 크기는 근원지와 목적지 IP 주소간의 관계를 선으로 표현한 것이고 화살표는 근원지와 목적지간의 공격 방향을 의미한다.FIG. 6 illustrates the flow of the alarm belonging to the quadratic quadrant of FIG. 5, in which the alarm is expressed in a three-dimensional coordinate system, and each arrow is expressed by converting the attack detection alarm into a vector format. Here, IPa and IPb of each coordinate axis mean IP addresses of the source and destination, and Port means a port. The vector has a magnitude and direction, in which the magnitude represents the relationship between the source and destination IP addresses as a line and the arrow represents the direction of attack between the source and destination.

이제, 관련 도면(도 2b, 도 4, 도 7내지 도 9)을 참조하면서 제2분석부(109)의 기능을 살펴본다. 2차원평면투영분석부(207)은 도 5a와 같은 N-차 분면중 하나의 분면에서 3차원으로 표현된 상기 공격 경보(예를 들면 도 6)를 소정의 벡터변환을 수행하여 2차원으로 투영한다. 그리고 변환및연관분석부(209)는 상기 2차원으로 투영된 공격 경보들로 이루어지는 집합에 대하여 각 공격 경보들의 상호 연결가능성을 판단하여 연관된 관계들을 형성하는 공격 경보를 도 9와 같이 하나로 연결되는 선으로 표현한다. 이하 구체적으로 설명한다.Now, the function of the second analyzer 109 will be described with reference to the related drawings (FIGS. 2B, 4, 7, and 9). The two-dimensional plane projection analysis unit 207 projects the attack alert (eg, FIG. 6) expressed in three dimensions in one of the N-order quadrants as shown in FIG. 5A in two dimensions by performing a predetermined vector conversion. do. In addition, the transformation and association analysis unit 209 determines the interconnection of each of the attack alerts for the set of the two-dimensionally projected attack alerts, and connects the attack alerts that form related relationships as one as shown in FIG. 9. Express as It demonstrates concretely below.

먼저 2차원평면분석부(207)는 공격 경보를 도 7과 도 8처럼 2차원 평면으로 투영시켜 집합을 형성한다(S401단계). 이것은 발생한 많은 경보들 중에서 공격 단 계가 연결되는지를 알아보기 위해 2차원 평면으로 투영시키는 것이다. 도 8은 투영시키기 위한 벡터변환 방식을 나타낸 것으로, 벡터 V를 X축과 Y축으로 이루어진 2차원 평면으로 투영시켜 벡터 V"가 되었을 때 Y축과 이루는 각 θ로의 벡터 변환은 하지 않고, 벡터 V를 Z축의 원점으로 평행 이동시켜 벡터 V'가 되었을 때 X축과 Y축의 2차원 평면과 Z축과 이루어진 각 θ’로의 벡터 변환만 한다. 이것은 공격의 방향만을 고려한 기본 단위 변환으로써 다른 단계들도 이와 같은 방식으로 변환하여 연결시키면 공격의 흐름 정보를 보여줄 수 있다. 예를 들어, 도 7에서 1사분면의 변환 벡터와 2사분면의 변환 벡터의 경우를 연결시키면 공격의 진행단계를 표현할 수 있다. 여기서, 1사분면의 IPa와 IPb는 각각 근원지와 목적지의 IP 주소를 나타낸 것이고, 2사분면에서는 IPb가 근원지 IP 주소가 되며 (-)IPa는 목적지 IP 주소가 된다(여기서 (-)는 IPa의 2사분면과 3사분면의 경계축을 의미한다). 이와 같은 방식으로 3사분면과 4사분면의 관계, 4사분면과 1사분면의 관계를 연관지을 수 있다.First, the 2D plane analysis unit 207 forms a set by projecting the attack alert to a 2D plane as shown in FIGS. 7 and 8 (step S401). This is a projection of two-dimensional planes to see if the attack phase is linked among the many alerts that have occurred. 8 shows a vector conversion method for projecting a vector V. When the vector V is projected on a two-dimensional plane composed of the X-axis and the Y-axis to become the vector V ", the vector V is not converted to the angle θ formed by the Y-axis. Is translated to the origin of the Z axis and becomes the vector V ', it only converts the vector into the angle θ' consisting of the two-dimensional planes of the X and Y axes and the Z axis. In this way, the transformation and concatenation can show the flow information of the attack, for example, in Fig. 7, the progress vector of the attack can be expressed by concatenating the transformation vector of the first quadrant and the transformation vector of the second quadrant. In the first quadrant, IPa and IPb represent the source and destination IP addresses, and in the second quadrant, IPb is the source IP address and (-) IPa is the destination IP address (where (-) In this way, the relationship between the third and fourth quadrants and the fourth and first quadrants can be related.

변환및연관분석부(209)는 도 9와 같은 결과를 도출하는 기능을 결과적으로 수행한다. 이를 위하여 경계 축내에서 공격 경보들끼리 근원지 IP 주소와 목적지 IP 주소가 일치하는지 여부로 상호 연결이 가능한지를 판단하는데(S403단계), 그 결과 같으면 2차원 평면에 투영된 공격 경보들의 집합에 대해 서로 연결 가능한 경우로서, 연관된 단계들을 하나의 연결로 표현한다(S405단계). 연결할 정보가 더 있을 경우에는 이와 같은 과정을 반복하고(S407단계), 중간 단계가 연결되지 않더라도 모든 단계를 연결하여 향후 공격 단계 및 상황 정보를 시각화하여 관리자에게 알려준다. 즉 도 9에 도시된 것처럼 시각화하는데, 도 9는 6-차 분면에 대해 공격들을 연관시켜 추론한 결과를 예시한 것으로, 실선으로 표현된 화살표는 발생한 경보들을 연관시킨 것을 나타낸 것이고 점선으로 표현된 화살표는 발생한 경보들에서 나타나지 않았지만 전체 흐름상 진행되었을 가능성이 큰 공격상황을 나타낸 것이다. 실시 예에서 보는 바와 같이 1단계와 2단계에서 공격자에 의한 정보 수집이 이루어져 4단계의 취약성 공격이 성공하였고, 5단계의 관리자 권한을 획득하여 활동했다는 분석 결과를 도출할 수 있다. The transformation and association analysis unit 209 consequently performs a function of deriving a result as shown in FIG. 9. To this end, it is determined whether attack alerts can be interconnected based on whether the source IP address and the destination IP address match within the boundary axis (step S403). If the result is the same, the attack alerts are connected to each other for the set of attack alerts projected on the two-dimensional plane. If possible, the associated steps are represented by one connection (step S405). If there is more information to be connected, this process is repeated (step S407), and even if the intermediate step is not connected, all steps are connected to visualize future attack step and situation information and inform the administrator. In other words, it is visualized as shown in FIG. 9, which illustrates the result of inferring the attacks related to the sixth-order quadrant, in which the solid arrow indicates the association of the generated alarms and the dotted arrow. Does not appear in the alerts that have occurred, but it is an attack situation that is likely to have occurred throughout the flow. As shown in the embodiment, the information collected by the attacker was performed in the first and second stages, and thus the analysis result that the vulnerable attack in the fourth stage was successful, and the administrator authority in the fifth stage was acquired and performed.

대응결정부(211)는 이러한 공격 상황에서 공격자가 향후 시스템의 데이터에 피해를 줄 수 있음을 관리자에게 시각화장치(106,110)등을 통하여 알리고, 그에 합당한 조치를 관리자가 지시하면 그에 따라 시스템 점검 및 차단 등 상응하는 대응을 결정할 수 있게 된다(S409단계).The response determination unit 211 notifies the administrator that the attacker may damage the data of the system in such an attack situation through the visualization device 106, 110, etc., and if the administrator instructs the appropriate action, the system checks and blocks accordingly. The corresponding correspondence can be determined (step S409).

본 발명에 의한 침입 상황 분석 및 대응 장치가 공격탐지 경보를 N차 분면 연관 그래프로 표현하는 방법은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 플래쉬 메모리, 광 데이타 저장장치 등이 있으며, 또한 캐리어 웨이브(예를들면 인터넷을 통한 전송)의 형태로 구현되는 것도 포함된다. 또한 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다. 또한 본 발명에 의한 폰트 롬 데이터구조도 컴퓨터로 읽을 수 있는 ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 플래쉬 메모리, 광 데이타 저장장치등과 같은 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다.The method of the intrusion situation analysis and response device according to the present invention expressing the attack detection alert in the N-order quadrant correlation graph may also be embodied as computer readable code on a computer readable recording medium. The computer-readable recording medium includes all kinds of recording devices in which data that can be read by a computer system is stored. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, hard disk, floppy disk, flash memory, optical data storage device, and also carrier waves (eg transmission over the Internet). It is also included to be implemented in the form of. The computer readable recording medium can also be distributed over computer systems connected over a computer network so that the computer readable code is stored and executed in a distributed fashion. Also, the font ROM data structure according to the present invention can be read by a computer on a recording medium such as a computer readable ROM, RAM, CD-ROM, magnetic tape, hard disk, floppy disk, flash memory, optical data storage device, and the like. It can be implemented as code.

이상과 같이 본 발명은 양호한 실시예에 근거하여 설명하였지만, 이러한 실시예는 이 발명을 제한하려는 것이 아니라 예시하려는 것으로, 본 발명이 속하는 기술분야의 숙련자라면 이 발명의 기술사상을 벗어남이 없이 위 실시예에 대한 다양한 변화나 변경 또는 조절이 가능함이 자명할 것이다. 그러므로, 이 발명의 보호범위는 첨부된 청구범위에 의해서만 한정될 것이며, 위와 같은 변화예나 변경예 또는 조절예를 모두 포함하는 것으로 해석되어야 할 것이다.As described above, the present invention has been described based on the preferred embodiments, but these embodiments are intended to illustrate the present invention, not to limit the present invention, and those skilled in the art to which the present invention pertains should be practiced without departing from the spirit of the present invention. It will be apparent that various changes, modifications, or adjustments to the examples are possible. Therefore, the protection scope of the present invention will be limited only by the appended claims, and should be construed as including all such changes, modifications or adjustments.

이상에서 설명한 바와 같이, 본 발명에 의한 침입 상황 분석 및 대응 장치 및 그 장치가 공격탐지 경보를 N차 분면 연관 그래프로 표현하는 방법은 네트워크상의 각 탐지시스템에서 발생한 공격 탐지경보들에 대해 공격유형을 자동으로 분류하고 그 기준을 제시해 주어 알려지지 않은 공격조합을 제시해 줄 수 있는 효과가 있다.As described above, the intrusion situation analysis and response device according to the present invention, and the method in which the device expresses the attack detection alert in the N-order quadrant association graph, the attack type for the attack detection alerts generated by each detection system on the network are described. By automatically classifying and presenting the criteria, there is an effect that can present an unknown attack combination.

그리고 관리자에게 분석된 공격의 상황 및 단계와 연관된 공격들을 3차원 또는 2차원 그래프로 표현해 줌으로써 직관적으로 침입상황을 판단하게 하고 대응할 수 있도록 하여 잘못된 대응을 최소화할 수 있게 하는 효과도 있다. In addition, by expressing attacks related to the analyzed situation and stage of attack in 3D or 2D graphs, the administrator can intuitively determine the intrusion situation and respond to it, minimizing false responses.

또한, 향후 공격의 진행 단계 및 방향을 예측할 수 있도록 하여 사전에 대응 할 수 있도록 하는 효과가 있다. In addition, it is possible to predict the progress and direction of the future attack to be able to respond in advance.

Claims (15)

네트워크 경보장치들로부터 공격 탐지 경보를 수집하여 분류하고 그 결과를 3차원 그래프로 표현하는 제1분석부; 및A first analyzer configured to collect and classify attack detection alerts from the network alerters and to express the results in a three-dimensional graph; And 상기 결과를 입력받아 상기 3차원 그래프를 2차원으로 투영하는 벡터변환을 수행한 후 공격들의 연관을 분석하는 제2분석부;를 포함하며,And a second analysis unit which receives the result and performs a vector transformation for projecting the 3D graph in 2D and analyzes the association of the attacks. 상기 제1분석부는The first analysis unit 상기 공격 탐지 경보를 수집하는 공격탐지경보수집부;An attack detection warning maintenance unit for collecting the attack detection alarm; 수집된 공격 탐지 경보를 적어도 하나 이상의 공격 단계 및 그 공격 단계의 상황별로 구별하는 분류부; 및A classification unit for distinguishing the collected attack detection alerts according to at least one attack step and the situation of the attack step; And 상기 분류된 공격 단계를, 공격 단계별로 할당된 N개의 분면중에서 해당하는 분면의 3차원 그래프로 출력하는 N차 표현분석부;를 포함하고,And an N-th order representation analysis unit outputting the classified attack stages as a three-dimensional graph of the corresponding quadrants among the N quadrants assigned to each stage of the attack. 상기 분류부는The classification unit 상기 탐지 경보가 분류기준에 속하는 키워드가 있으면 그 분류기준이 속하는 공격단계로 분류하고, 없으면 기존 단계와 가장 가까운 공격단계로 분류하는 것을 특징으로 하는 침입 상황 분석 및 대응 장치.Intrusion situation analysis and response device, characterized in that if the detection alert is a keyword belonging to the classification criteria classified as the attack stage belonging to the classification criteria, if not the classification to the nearest attack stage. 삭제delete 삭제delete 제1항에 있어서, 상기 분류부는The method of claim 1, wherein the classification unit 상기 키워드가 없는 경우에 SVM(Support Vector Machine)을 포함하는 기계학습방법을 이용하여 가장 가까운 공격단계로 분류하는 것을 특징으로 하는 침입 상황 분석 및 대응 장치.In the absence of the keyword, intrusion situation analysis and response device, characterized in that to classify to the nearest attack stage using a machine learning method including a SVM (Support Vector Machine). 제1항에 있어서, 상기 N차 표현분석부는The method of claim 1, wherein the N-th representation analysis unit 상기 N개의 분면중 각 분면은 상기 공격 단계중 하나의 단계에 대응되고, 차수가 높은 분면일수록 공격 단계가 심한 것을 표현하는 것을 특징으로 하는 침입 상황 분석 및 대응 장치.Each quadrant of the N quadrants corresponds to one of the attack stages, and a higher order quadrant expresses a greater attack stage. 제5항에 있어서, 상기 N차 표현분석부는The method of claim 5, wherein the N-th representation analysis unit 상기 공격 경보의 근원지의 IP 주소, 목적지의 IP 주소, 포트를 각각 하나의 축으로 하고, 상기 탐지 경보를 벡터형식으로 표현하되, 크기는 근원지와 목적지의 IP 주소간의 관계를, 그리고 방향은 근원지와 목적지간의 공격 방향을 나타내도록 3차원 그래프로 표현하는 것을 특징으로 하는 침입 상황 분석 및 대응 장치.The IP address of the source of the attack alert, the IP address of the destination, and the port are each represented by one axis, and the detection alert is expressed in a vector format, wherein the magnitude represents the relationship between the source and destination IP addresses, and the direction is the source and the destination. An intrusion situation analysis and response device, characterized in that represented by a three-dimensional graph to indicate the direction of attack between the destination. 제1항에 있어서, 상기 제2분석부는The method of claim 1, wherein the second analysis unit 상기 N차분면중 하나의 분면에서 3차원으로 표현된 상기 공격 경보를 소정의 벡터변환을 수행하여 2차원으로 투영하는 2차원평면투영분석부; 및A two-dimensional plane projection analysis unit projecting the attack alert represented in three dimensions in one of the N-order quadrants to perform two-dimensional projection by performing a predetermined vector conversion; And 상기 2차원으로 투영된 상기 공격 경보로 이루어지는 집합에 대하여 상호 연결가능성을 판단하여 연관된 관계들을 형성하는 공격 경보를 하나로 연결되는 선으로 표현하는 변환및연관분석부;를 포함하는 것을 특징으로 하는 침입 상황 분석 및 대응 장치.Intrusion situation characterized in that it comprises a; and the transformation and association analysis unit for representing the attack alert to form a related relationship by determining the interconnectability of the set consisting of the attack alert projected in the two-dimensional as a connecting line; Analysis and response device. 제7항에 있어서, 상기 2차원평면분석부는The method of claim 7, wherein the two-dimensional plane analysis unit IP주소와 포트를 형성하는 각 X축과 Z축상에서 상기 공격 경보를 나타내는 직선이 이루는 각을 지시하도록 상기 벡터변환을 수행하여 공격의 방향을 나타내는 것을 특징으로 하는 침입 상황 분석 및 대응 장치.Intrusion situation analysis and response apparatus, characterized in that the direction of the attack by performing the vector conversion to indicate the angle formed by the straight line indicating the attack alert on each X axis and Z axis forming the IP address and port. 침입 상황분석 및 대응을 위한 장치에서 공격탐지 경보를 N차 분면 연관 그래프로 표현하는 방법에 있어서,In the method for representing the attack detection alarm in the N-order quadrant correlation graph in the device for intrusion situation analysis and response, (a) 공격 상황과 공격 단계를 분류할 수 있는 기준을 설정하여 공격 단계를 위험도 순으로 분류하여 판단기준을 설정하는 단계;(a) setting a criterion to classify the attack situation and the attack stage, and setting the criterion by classifying the attack stage in order of risk; (b) 네트워크 경보장치들로부터 공격 탐지 경보를 수집한 후 상기 판단기준에 적용하여 그 결과를 3차원 그래프로 생성하는 단계; 및(b) collecting attack detection alerts from network alerting apparatuses and applying the criteria to the criterion to generate a three-dimensional graph of the results; And (c) 상기 결과를 입력받아 상기 3차원 그래프를 2차원으로 투영하는 벡터변환을 수행한 후 공격들의 연관을 분석하는 단계;를 포함하며,(c) receiving the result and performing a vector transformation to project the three-dimensional graph in two dimensions, and then analyzing the association of the attacks; 상기 (b)단계는Step (b) is (b1) 상기 공격 탐지 경보를 수집하는 단계;(b1) collecting the attack detection alert; (b2) 상기 (b1)단계에서 수집된 공격 탐지 경보를 적어도 하나 이상의 공격 단계 및 그 공격 단계의 상황별로 구별하는 단계; 및(b2) distinguishing the attack detection alert collected in step (b1) according to at least one attack step and the situation of the attack step; And (b3) 상기 분류된 공격 단계를 공격 단계별로 할당된 N개의 분면중에서 해당하는 분면의 3차원 그래프로 출력하는 단계;를 포함하고,(b3) outputting the classified attack stages as a three-dimensional graph of the corresponding quadrants among the N quadrants assigned to the attack stages; 상기 (b2)단계는Step (b2) is 상기 공격 탐지 경보가 분류기준에 속하는 키워드를 포함하고 있으면 그 분류기준이 속하는 공격단계로 분류하고, 포함하고 있지 않으면 SVM을 포함하는 기계학습방법을 적용하여 기존 단계와 가장 가까운 공격단계로 분류하는 것을 특징으로 하는 침입 상황 분석 및 대응 장치의 공격탐지 경보를 N차 분면 연관 그래프로 표현하는 방법.If the attack detection alert includes a keyword belonging to a classification criteria, classify it as an attack stage to which the classification criteria belong. If not, classify the attack detection alert as the nearest attack stage by applying a machine learning method including an SVM. Method for representing the attack detection alarm of the intrusion situation analysis and the response device characterized by the N-order quadrant correlation graph. 삭제delete 삭제delete 제9항에 있어서,The method of claim 9, 상기 N개의 분면중 각 분면은 상기 공격 단계중 하나의 단계에 대응되고, 차수가 높은 분면일수록 공격 단계가 심하여 위험도가 높은 것을 표현하는 것을 특징으로 하는 침입 상황 분석 및 대응 장치의 공격탐지 경보를 N차 분면 연관 그래프로 표현하는 방법.Each of the N quadrants corresponds to one of the attack stages, and the higher the order of the quadrants, the more severe the attack stage is and the higher the risk is. How to represent the quadrant association graph. 제9항에 있어서, 상기 (b3)단계는The method of claim 9, wherein step (b3) 상기 공격 경보의 근원지의 IP 주소, 목적지의 IP 주소, 포트를 각각 하나의 축으로 하고, 상기 탐지 경보를 벡터형식으로 표현하되, 크기는 근원지와 목적지의 IP 주소간의 관계를, 그리고 방향은 근원지와 목적지간의 공격 방향을 나타내도록 3차원 그래프로 생성하는 것을 특징으로 하는 침입 상황 분석 및 대응 장치의 공격탐지 경보를 N차 분면 연관 그래프로 표현하는 방법.The IP address of the source of the attack alert, the IP address of the destination, and the port are each represented by one axis, and the detection alert is expressed in a vector format, wherein the magnitude represents the relationship between the source and destination IP addresses, and the direction is the source and the destination. An intrusion situation analysis and a method of expressing an attack detection alert of a corresponding device as an N-order quadrant association graph, characterized by generating a three-dimensional graph to indicate an attack direction between destinations. 제9항에 있어서, 상기 (c)단계는The method of claim 9, wherein step (c) (c1) 상기 N차분면상에 3차원으로 표현된 상기 공격 경보를 소정의 벡터변환을 수행하여 2차원으로 투영하는 단계; 및(c1) projecting the attack alert expressed in three dimensions on the Nth quadrature in two dimensions by performing a predetermined vector transformation; And (c2) 상기 2차원으로 투영된 상기 공격 경보로 이루어지는 집합에 대하여 상호 연결가능성을 판단하여 연관된 관계들을 형성하는 공격 경보를 하나로 연결되는 선으로 표현하는 단계;를 포함하는 것을 특징으로 하는 침입 상황 분석 및 대응 장치의 공격탐지 경보를 N차 분면 연관 그래프로 표현하는 방법.(c2) determining an interconnectability of the set of the attack alerts projected in the two-dimensional manner and expressing attack alerts that form related relations as a single connecting line; And expressing an attack detection alarm of the corresponding device in an N-order quadrant association graph. 제14항에 있어서, 상기 (c1)단계는The method of claim 14, wherein step (c1) IP주소와 포트를 형성하는 각 X축과 Z축상에서 상기 공격 경보를 나타내는 직선이 이루는 각으로의 상기 벡터변환을 수행하여 공격의 방향을 나타내는 것을 특징으로 하는 침입 상황 분석 및 대응 장치의 공격탐지 경보를 N차 분면 연관 그래프로 표현하는 방법.Attack detection alert of the intrusion situation analysis and corresponding device, characterized in that the direction of the attack by performing the vector conversion to the angle formed by the straight line representing the attack alert on each X axis and Z axis forming the IP address and port To represent an N-order quadrant association graph.
KR1020060123413A 2006-12-06 2006-12-06 Apparatus for detecting and analyzing alert of intrusion and method for displaying it by graph in n-dimensions using the same KR100819049B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060123413A KR100819049B1 (en) 2006-12-06 2006-12-06 Apparatus for detecting and analyzing alert of intrusion and method for displaying it by graph in n-dimensions using the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060123413A KR100819049B1 (en) 2006-12-06 2006-12-06 Apparatus for detecting and analyzing alert of intrusion and method for displaying it by graph in n-dimensions using the same

Publications (1)

Publication Number Publication Date
KR100819049B1 true KR100819049B1 (en) 2008-04-02

Family

ID=39533623

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060123413A KR100819049B1 (en) 2006-12-06 2006-12-06 Apparatus for detecting and analyzing alert of intrusion and method for displaying it by graph in n-dimensions using the same

Country Status (1)

Country Link
KR (1) KR100819049B1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101088849B1 (en) 2009-12-03 2011-12-06 한국인터넷진흥원 Visualization system for security information of network and method for visualizing the information
WO2016014021A1 (en) * 2014-07-21 2016-01-28 Hewlett-Packard Development Company, L.P. Security indicator linkage determination
KR101697189B1 (en) 2015-08-28 2017-01-17 국방과학연구소 System and Method for Cyber Attack History Tracking based on Scenario
KR101812732B1 (en) * 2015-12-30 2017-12-27 주식회사 시큐아이 Security device and operating method thereof
WO2024187155A1 (en) * 2023-03-09 2024-09-12 Salem Cyber Knowledge and wisdom extraction and codification for machine learning applications

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030052512A (en) * 2001-12-21 2003-06-27 한국전자통신연구원 method and recorded media for attack correlation analysis
KR20040072365A (en) * 2003-02-12 2004-08-18 박세웅 Apparatus and method for displaying states of the network
KR20060042788A (en) * 2004-11-10 2006-05-15 한국전자통신연구원 Method for analyzing security condition by representing network events in graphs and apparatus thereof
KR20060046812A (en) * 2004-11-10 2006-05-18 한국전자통신연구원 Apparatus for detectiong and visualizing anomalies of network traffic and method therof
KR100656352B1 (en) 2005-09-16 2006-12-11 한국전자통신연구원 Method for displaying event information of network security

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030052512A (en) * 2001-12-21 2003-06-27 한국전자통신연구원 method and recorded media for attack correlation analysis
KR20040072365A (en) * 2003-02-12 2004-08-18 박세웅 Apparatus and method for displaying states of the network
KR20060042788A (en) * 2004-11-10 2006-05-15 한국전자통신연구원 Method for analyzing security condition by representing network events in graphs and apparatus thereof
KR20060046812A (en) * 2004-11-10 2006-05-18 한국전자통신연구원 Apparatus for detectiong and visualizing anomalies of network traffic and method therof
KR100656352B1 (en) 2005-09-16 2006-12-11 한국전자통신연구원 Method for displaying event information of network security

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101088849B1 (en) 2009-12-03 2011-12-06 한국인터넷진흥원 Visualization system for security information of network and method for visualizing the information
WO2016014021A1 (en) * 2014-07-21 2016-01-28 Hewlett-Packard Development Company, L.P. Security indicator linkage determination
EP3172691A4 (en) * 2014-07-21 2018-04-11 Hewlett-Packard Enterprise Development LP Security indicator linkage determination
US10356109B2 (en) 2014-07-21 2019-07-16 Entit Software Llc Security indicator linkage determination
KR101697189B1 (en) 2015-08-28 2017-01-17 국방과학연구소 System and Method for Cyber Attack History Tracking based on Scenario
KR101812732B1 (en) * 2015-12-30 2017-12-27 주식회사 시큐아이 Security device and operating method thereof
WO2024187155A1 (en) * 2023-03-09 2024-09-12 Salem Cyber Knowledge and wisdom extraction and codification for machine learning applications

Similar Documents

Publication Publication Date Title
CN112953933B (en) Abnormal attack behavior detection method, device, equipment and storage medium
US20140013432A1 (en) Method and apparatus for visualizing network security state
CN114679338A (en) Network risk assessment method based on network security situation awareness
JP6201614B2 (en) Log analysis apparatus, method and program
US8019865B2 (en) Method and apparatus for visualizing network security state
KR100949803B1 (en) Apparatus and Method for divided visualizing IP address
CN115996146B (en) Numerical control system security situation sensing and analyzing system, method, equipment and terminal
US11956208B2 (en) Graphical representation of security threats in a network
US20150172302A1 (en) Interface for analysis of malicious activity on a network
JP2007013343A (en) Worm detection parameter setting program and worm detection parameter setting device
KR100819049B1 (en) Apparatus for detecting and analyzing alert of intrusion and method for displaying it by graph in n-dimensions using the same
CN114640548A (en) Network security sensing and early warning method and system based on big data
US8775613B2 (en) Method and system for providing network monitoring, security event collection apparatus and service abnormality detection apparatus for network monitoring
KR100609707B1 (en) Method for analyzing security condition by representing network events in graphs and apparatus thereof
CN112596984A (en) Data security situation sensing system under weak isolation environment of service
EP4258147A1 (en) Network vulnerability assessment
JP7396371B2 (en) Analytical equipment, analytical methods and analytical programs
JP7081695B2 (en) Priority determination device, priority determination method, and control program
TW201710943A (en) System and method for high frequency heuristic data acquisition and analytics of information security events
JP2020024650A (en) Security information processing device, program, and method
WO2006077666A1 (en) Observation data display device, observation data display method, observation data display program, and computer-readable recording medium containing the program
KR20060013120A (en) Method of visualizing intrusion detection using correlation of intrusion detection alert message
CN113824730A (en) Attack analysis method, device, equipment and storage medium
Haggerty et al. Visualization of system log files for post-incident analysis and response
JP2008193302A (en) Communication log visualization apparatus, communication log visualization method and communication log visualization program

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120228

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee