KR100838799B1 - 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법 - Google Patents

해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법 Download PDF

Info

Publication number
KR100838799B1
KR100838799B1 KR1020070023424A KR20070023424A KR100838799B1 KR 100838799 B1 KR100838799 B1 KR 100838799B1 KR 1020070023424 A KR1020070023424 A KR 1020070023424A KR 20070023424 A KR20070023424 A KR 20070023424A KR 100838799 B1 KR100838799 B1 KR 100838799B1
Authority
KR
South Korea
Prior art keywords
information
infringement
unit
security
risk
Prior art date
Application number
KR1020070023424A
Other languages
English (en)
Inventor
이상훈
Original Assignee
에스케이 텔레콤주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이 텔레콤주식회사 filed Critical 에스케이 텔레콤주식회사
Priority to KR1020070023424A priority Critical patent/KR100838799B1/ko
Application granted granted Critical
Publication of KR100838799B1 publication Critical patent/KR100838799B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 IT 인프라에서 발생하는 데이터 침해사고를 예방하고 대응하며 경고하는 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법에 관한 것으로, 데이터 정보자산을 기록 관리하고 허용된 접속자에게 검색과 게재를 허용하는 IT 인프라로부터 발생하는 침해를 예방하고 대응하는 솔루션부; 로그인 정보와 보안 이벤트와 위협정보와 유해정보를 수집하여 제공하는 로그수집부; 수집된 보안이벤트와 위협정보와 유해정보로부터 위험정보와 침해정보를 분석하는 보안관리부; 위험정보와 침해정보로부터 빈도분석과 교차분석과 상관분석으로 위험과 침해를 분석하여 최적의 대응방안을 제시하고 외부의 침해사고 접수와 이력과 현황정보를 관리하는 침해사고 대응부; 및 위험과 침해발생 현황을 포함하는 전반적인 보안현황을 파악할 수 있도록 이력관리와 보고서를 생성하는 종합상황부; 가 포함되는 구성을 특징으로 하여, 다수 솔루션의 상관관계 분석으로 서버의 정보자산 환경에 적합한 최적 대응방법을 자동으로 제공하여 해킹의 침해사고에 신속하게 대처하는 효과가 있다.
이동통신, 보안, 침해, 유해, 위협

Description

해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법{SYSTEM AND OPERATING METHOD OF DETECTING HACKING HAPPENING FOR COMPLEMENTARY SECURITY MANAGEMENT SYSTEM}
도 1 은 본 발명의 일 예에 의한 데이터 서버의 해킹 종합보안관리 시스템 기능구성도,
도 2 는 본 발명의 일 예에 의한 데이터 서버의 해킹 종합보안관리 시스템 상세 기능구성도,
도 3 은 본 발명의 일 예에 의한 보안관리모듈의 상세 기능구성도,
도 4 는 본 발명의 일 예에 의한 위험관리 모듈의 상세 기능구성도,
도 5 는 본 발명의 일 예에 의한 사이버 안전지원 모듈의 상세 기능구성도,
도 6 은 본 발명의 일 예에 의한 침해사고 대응모듈의 상세 기능구성도,
도 7 은 본 발명의 일 예에 의한 종합상황모듈의 상세 기능설명도,
도 8 은 본 발명의 일 예에 의한 데이터 서버의 해킹 종합보안관리 시스템 운용방법 순서도,
도 9 는 본 발명의 일 예에 의한 데이터 서버의 해킹 종합보안관리 시스템 신호흐름도.
**도면의 주요부분에 대한 부호의 설명**
10 : 솔루션부 20 : 로그수집부
30 : 보안관리부 32 : 위험관리 모듈
34 : 보안관리모듈 40 : 침해사고 대응부
42 : 침해사고 대응모듈 44 : 사이버 안전지원 모듈
50 : 종합상황부
본 발명은 IT 인프라에서 발생하는 데이터 침해사고를 예방하고 대응하기 위한 것으로, 특히, 다수의 솔루션을 구동하여 해킹에 의한 침해사고를 방지하는 시스템에서 솔루션을 최적상태로 구동하고 침해사고를 자동으로 정확하게 예측하며 경고하는 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법에 관한 것이다.
통신시스템의 디지털화에 의하여 대량의 정보를 데이터로 송수신 가능하게 발전되었으며, 특히, 인터넷의 발달 등에 의하여 언제 어디서나 필요한 정보를 즉시 검색하거나 게재할 수 있게 되었다. 또한, 정보를 제공하거나 보관하기 위하여 데이터 서버(SERVER)를 사용하며, 이러한 서버 또는 IT(INFORMATION TECHNOLOGY) 인프라(INFRASTRUCTURE)는 인터넷 상에서 사이트(SITE)로 불리고, 누구나 접속할 수 있도록 하거나, 패스워드(PASSWORD)와 아이디(ID)를 입력하여 허용된 경우에만 접속하도록 제한하는 것이 일반적이다.
타인의 접속을 제한하는 서버 또는 IT 인프라의 경우, 회사나 조직의 경영에 중요한 정보가 기록 관리되거나 타인에게 알려지면 곤란한 사생활 정보 등이 기록 및 관리되며, 이러한 IT 정보 자산이 부당하게 유출되는 것을 차단하기 위하여 서버의 접속을 보안 처리한다. 보안된 서버에 허용되지 않은 상태로 접속하여 데이터를 검색 및 삭제 하거나 쓸모 없는 정보의 게재 행위를 일반적으로 해킹(HACKING) 또는 침입(INTRUSION) 이라고 한다.
이러한 해킹 또는 침입을 방지하기 위하여 다양한 솔루션(SOLUTION)이 제시되고 있으며, 일 예로, 가상사설망(VIRTUAL PRIVATE NET: VPN), 방화벽(FIREWALL), 침입탐지시스템(INTRUSION DETECTION SYSTEM: IDS), 침입방지시스템(INTRUSION PREVENTION SYSTEM: IPS), 웹 방화벽, 바이러스 백신 등이 제시되고 있다. 각 솔루션 별로 해킹을 차단하는 특징 또는 특성이 다르므로, 서버의 IT 정보 자산을 안전하게 보호하는 시스템에는 최소 2개 이상으로부터 많으면 수십 개의 솔루션을 구축하여 동시 운용하는 것이 일반적이다.
이러한 방화벽은 외부로부터 내부망을 보호하기 위한 기술이고, 외부의 불법침입으로부터 내부의 정보자산을 보호하며, 외부로부터 위협정보와 유해정보 유입을 차단하기 위한 정책과 이를 지원하는 하드웨어 및 소프트웨어를 총칭한다. 그러나 방화벽은 통상 인터넷과 내부망의 경계부분에 존재하여 정보의 흐름을 통제하는 기능을 하며, 네트워크 트래픽의 흐름을 가로막아 트래픽의 속도를 지연시킨다.
또한 침입탐지시스템(IDS)은, 내부망이나 호스트(HOST)에 위치하고 침입의 패턴 데이터베이스와 전문가 시스템을 사용해 실시간 모니터링하므로 침입을 탐지하는 기술이다. 그러므로 방화벽과 침입탐지시스템을 동시 사용하는 경우, 침입차단에 실패하더라도 침입상태를 감시하여 정보자산 도용 및 파손에 의한 피해를 최소화하고 적절히 대응할 수 있다. 그러나 침입탐지시스템은 소프트웨어로 구현되어 네트워크로 전달되는 패킷을 모두 캐취하지 못하므로 탐지 성능이 떨어진다.
이와 같이 각 솔루션은 운용 특성이 있으므로, 완벽한 침입 차단을 위하여서는, 다수의 솔루션을 동시 운용하는 것이 바람직하지만, 솔루션이 늘어날수록 침입 차단 및 방지를 위하여 관리하여야 되는 포인트도 함께 증가하고, 부하(LOAD)가 증가하여 서버의 데이터 처리 성능이 저하되는 등의 문제가 있다.
또한 이러한 방화벽, 침입탐지시스템, 침입차단시스템, 취약점분석시스템, 안티바이러스시스템, 서버보안시스템, 가상사설망 등의 다수 보안 솔루션을 하나로 모은 통합보안관리 시스템(ENTERPRISE SECURITY MANAGEMENT: ESM)이 있으나, 로그서버와 분석서버를 구비하여, 단순히 로그 이벤트 취합에 그치고, 결정을 위한 분석 등은 관리자가 직접 하여야 하는 경우가 많아 종합적인 관리 솔루션으로서의 역할을 못하는 문제가 있다.
본 발명은 각 솔루션에 의하여 데이터 서버에서 발생하는 로그 이벤트와 트래픽 정보를 효과적으로 수집 및 분석하고 각 서버에서 관리하는 정보자산의 취약점 정보 연계를 통하여 보다 정확하게 침해와 위험 예측이 가능한 것으로, 특히, 각 솔루션의 연동방안에 의한 상관관계 분석으로 서버의 IT 정보자산 환경에 적합한 솔루션을 최적 상태로 취사선택하는 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법을 제공하는 것이 그 목적이다.
또한, 서버의 보안을 위한 최적의 솔루션 선택에 의하여 외부의 위험과 침해를 효과적으로 차단하므로 보안시스템의 신뢰성을 높이고, 기록된 데이터를 안전하게 관리하는 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법을 제공하는 것이 그 목적이다.
상기와 같은 목적을 달성하기 위하여 안출한 본 발명은, 데이터 정보자산을 기록 관리하고 허용된 접속자에게 검색과 게재를 허용하는 IT 인프라로부터 발생하는 침해를 예방하고 대응하는 솔루션부; 솔루션부에서 발생하는 로그인 정보와 보안 이벤트와 위협정보와 유해정보를 수집하여 제공하는 로그수집부; 로그수집부에 의하여 수집된 보안이벤트와 위협정보와 유해정보로부터 위험정보와 침해정보를 분석하는 보안관리부; 보안관리부가 제공하는 위험정보와 침해정보로부터 빈도분석과 교차분석과 상관분석으로 위험과 침해를 분석하여 최적의 대응방안을 제시하고 외부의 침해사고 접수와 이력과 현황정보를 관리하는 침해사고 대응부; 및 침해사고 대응부가 분석한 위험과 침해발생 현황을 포함하는 전반적인 보안현황을 파악할 수 있도록 이력관리와 보고서를 생성하는 종합상황부; 가 포함되는 구성을 제시한다.
또한, 상기와 같은 목적을 달성하기 위하여 안출한 본 발명은, 솔루션부와 로그수집부와 보안관리부와 침해사고 대응부와 종합상황부로 구성되는 시스템에서 무단 침해를 다수 솔루션으로 종합보안 관리하는 방법에 있어서, 보안관리부에 의하여 서버의 침해와 위험을 종합보안 관리하는 것으로 확인되면 서버에서 발생되는 보안 이벤트와 위협정보와 유해정보를 로그수집부를 통하여 수집하고 축약과 활용 가능한 데이터로 변환하는 과정; 보안관리부에 의하여 보안 이벤트와 위협정보와 유해정보를 분석하고 발생 가능하거나 발생된 위험의 대책을 분석하여 업데이트하며 침해사고 대응부에 통보하는 과정; 침해사고 대응부에 의하여 유해정보와 위협정보 발생 현황과 보안패치, 안티바이러스 설치현황을 확인하여 제공하고 빈도분석, 교차분석, 상관분석으로 침해와 위험수준을 확인하고 경고하는 과정; 종합상황부에 의하여 침해사고 탐지와 접수와 현황정보의 이력과 보고서를 관리하고 표시하는 과정; 이 포함되는 구성을 제시한다.
또한, 상기와 같은 목적을 달성하기 위하여 안출한 본 발명은, 솔루션부와 로그수집부와 보안관리부와 침해사고 대응부와 종합상황부로 구성되는 시스템에서 무단 침해를 다수 솔루션으로 종합보안 관리하는 방법에 있어서, 보안관리부에 의하여 로그수집부에 유해정보와 위협정보 수집을 요청하고, 로그수집부에 의하여 솔루션부로부터 접근통제 보안 이벤트, 유해정보, 위협정보와 보안패치, 안티바이러스의 설치 정보를 수집하고 보안관리부에 제공하는 과정; 보안관리부에 의하여 수집된 정보를 설정된 단위 별로 축약하고 활용 가능한 데이터로 변환하여 유해정보와 위협정보를 검출하고 대책을 분석하여 침해사고 대응부에 전달하는 과정; 침해 사고 대응부에 의하여 침해사고 정보의 탐지, 접수와 공지사항을 수집하고, 유해와 위협 현황을 확인하며 빈도분석, 교차분석, 상관분석으로 침해와 위험 수준을 확인하고 최적의 대응방안을 제시하며 종합상황부에 통보하는 과정; 종합상황부에 의하여 침해의 접수, 탐지, 현황정보의 이력과 보고서를 관리하고 표시하는 과정; 이 포함되는 구성을 제시한다.
이하, 상기와 같은 구성의 본 발명에 의한 것으로, 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법을 일 예에 의하여 첨부된 도면 참조로 상세히 설명한다.
본 발명을 설명하기 위하여 첨부된 것으로, 도 1 은 본 발명의 일 예에 의한 데이터 서버의 해킹 종합보안관리 시스템 기능구성도 이고, 도 2 는 본 발명의 일 예에 의한 데이터 서버의 해킹종합보안관리 시스템 상세 기능구성도 이며, 도 3 은 본 발명의 일 예에 의한 보안관리 모듈의 상세 기능구성도 이고, 도 4 는 본 발명의 일 예에 의한 위험관리 모듈의 상세 기능구성도 이며, 도 5 는 본 발명의 일 예에 의한 사이버 안전지원 모듈의 상세 기능구성도 이고, 도 6 은 본 발명의 일 예에 의한 침해사고 대응모듈의 상세 기능구성도 이며, 도 7 은 본 발명의 일 예에 의한 종합상황 모듈의 상세 기능설명도 이고, 도 8 은 본 발명의 일 예에 의한 데이터 서버의 해킹 종합보안관리 시스템 운용방법 순서도 이며, 도 9 는 본 발명의 일 예에 의한 데이터 서버의 해킹 종합보안관리 시스템 신호흐름도 이다.
본 발명의 실시 예를 설명함에 있어서, 본 발명과 직접적으로 관련 없고, 잘 알려져 있는 기술 내용에 대하여서는 설명을 생략하므로, 본 발명의 요지를 흐리지 않고 명확하게 전달한다.
도 1 내지 도 7 을 참조하여 본 발명의 일 예에 의한 것으로, 데이터 서버의 해킹 종합 보안관리 시스템을 설명하면, 허용된 접속자에게 관리되는 IT 데이터 정보자산의 검색과 게재를 허용하는 솔루션부(10); 솔루션부의 로그인 정보와 보안 이벤트 정보와 트래픽 정보를 수집하는 로그수집부(20); 로그수집부가 제공하는 정보로부터 접근통제, 위협정보, 유해 정보, 패치정보, 안티바이러스 통계정보 수집 및 분석하는 보안관리부(30); 수집과 분석된 정보로부터 빈도분석, 교차분석, 상관분석으로 위험을 분석하고, 침해사고 접수와 이력을 관리하는 침해사고 대응부(40); 침해사고 대응부가 분석하고 접수와 관리하는 이력으로부터 전반적인 보안현황을 파악할 수 있도록 편집하여 제공하는 종합상황부(50); 가 포함되는 구성이다.
이러한 보안관리부(30)는, 정보자산에 위험(RISK)을 주는 위협(THREAT)정보와 유해(HARMFULNESS)정보를 수집 및 분석하고 침해(INFRINGEMENT)의 영향을 확인하여 위험수준(RISK LEVEL)을 주기적으로 업데이트(UPDATE)하는 위험관리모듈(32)과; 보안 이벤트와 위협정보와 유해 트래픽 정보를 수집하고 소정 시간 단위로 축약하여 활용 가능하게 변환하는 보안관리모듈(34); 을 포함하는 구성이다.
위험관리 모듈(32)은, 인프라관리부와, 위험취약점 관리부와, 위험관리부를 포함하는 구성이고; 보안관리모듈(34)은, 이벤트 관리부와, 트래픽 관리부와, 운영관리부와, 정보수집부를 포함하는 구성이다.
또한, 침해사고 대응부(40)는, 위험정보로부터 빈도분석, 교차분석, 상관분석으로 침해시도와 위협발생 현황, 보안패치와 안티바이러스 설치 현황 정보를 검출하는 침해사고 대응모듈(42)과; 외부로부터의 침해사고 신고와 보안현황 정보를 수집하고 침해사고 탐지와 대응을 분석하고 이력을 관리하는 사이버 안전지원 모듈(44): 을 포함하는 구성이다.
침해사고 대응모듈(42)은 실시간 예보부와, 실시간 경보부와, 운영관리부를 포함하는 구성이고, 사이버 안전지원 모듈(44)은 사이버 안전지원 관리부와, 사이버 안전지원 운용관리부와, 헬프 데스크부와, 정보관리부를 포함하는 구성이다.
유해(HARMFULNESS) 정보는 비정상적인 트래픽 정보로서 분석 불가능한 정보를 표시하고, 위협(THREAT) 정보는 해킹을 시도하거나 대량의 SESSION을 발생 시키거나 웹사이트의 정보를 변조하거나 웜(WORM) 바이러스를 배포하는 상태 정보를 표시한다.
보안 이벤트는, 유해정보와 위협정보 등에 의하여 발생되는 침입시도를 표시하고, 정보자산은 활용 가치가 있는 정보를 표시한다.
위험(RISK) 정보는 유해정보와 위협정보에 의하여 피해가 발생될 가능성 있는 정보를 표시하고, 침해(INFRINGEMENT) 정보는 해킹 시도 행위가 발생될 가능성 있는 정보를 표시한다.
솔루션부(10)는 활용가능성 있는 다양한 IP 정보를 기록 및 갱신 관리하는 것으로 인터넷으로 접속할 수 있는 웹 사이트이고, 패스워드와 ID 에 의하여 접속이 허용된 대상자에 의하여 검색 및 게재되는 서버 또는 IT 인프라에서 발생하는 침해를 예방하고 대응하는 보안 시스템이다.
웹사이트에 접속이 허용된 대상자를 정상대상자로 하고, 접속이 허용되지 않은 대상자를 부당대상자로 설명한다.
솔루션부(10)는 서버 또는 IT 인프라에서 관리되는 정보자산이 부당대상자로부터 해킹이 시도 되거나, 대량의 로그인 또는 SESSION 발생에 의한 TRAFFIC을 폭주시켜 정상대상자의 접속을 원활하지 못하도록 방해하거나, 웜 바이러스를 배포시키는 등의 위협 행위와, 비정상적이고 분석이 불가능한 트래픽 정보에 의한 유해행위에 의하여, 파괴되거나 정상적인 기능을 수행하지 못하게 되는 침해를 예방하고 필요한 대응을 한다.
로그수집부(20)는 방화벽, 침입탐지시스템, 침입방지시스템, 바이러스 백신, 보안패치 등과 같은 다수의 솔루션에 의하여 솔루션부에서 발행하는 위협정보와 유해정보와 보안이벤트를 수집한다.
보안관리부(30)는 로그수집부(20)가 수집한 보안이벤트와 유해정보와 위협정보 등으로부터, 접근이 통제된 부당대상자의 접속 시도 정보와 보안패치의 설치정보와 안티바이러스가 설치된 통계정보를 수집하고, 피해발생 가능성이 있는 위험정보와 해킹시도 행위의 가능성이 있는 침해 정보를 분석하여 최적의 대응방안을 제시한다.
이러한 보안관리부(30)는, 위험관리모듈(32)과 보안관리모듈(34)로 구성된다.
위험관리모듈(32)은 H/W, S/W, N/W 등으로 이루어지고, 자산을 등록하며, 자산의 가치를 평가하는 자산관리 기능, 정보자산을 그룹핑하고 정보자산 그룹을 관리하며 정보 자산의 유형을 관리하는 자산분류 기능을 수행하는 인프라관리부와; 위협 카테고리를 관리하는 위협유형관리기능, 위협 발생빈도와 영향도를 분석하고, 취약성 분석 시스템에 연계되는 위험분석 기능, 카테고리 별 취약성 분석하고 HISTORY를 관리하는 취약점 관리 기능을 수행하는 위협/취약점 관리부와; 평가기준을 관리하고 대책을 적용하며 잔존 위험을 관리하는 위험관리 기능, 정보자산 그룹별 위험을 분석하고 위협카테고리별 위험을 분석하는 위험분석 기능, 조직별 위험현황과 정보자산 그룹별 위험현황과 위험카테고리별 위험현황을 분석하는 통계기능을 포함하여 수행하는 위험관리부; 가 포함되는 구성이다.
또한, 보안관리모듈(34)은, 구성(MAP)을 관리하고 보안이벤트의 발생을 실시간 모니터링하며 보안성능을 실시간 모니터링하는 실시간 관리기능, 정보를 상관분석하고 추이분석하며 로그정보를 검색하고 통계를 보고하는 정보분석 기능을 수행하는 이벤트 관리부와; 침해의 글로벌 위협수준을 탐지하고 로컬 위협수준을 탐지하며 이상 징후를 탐지하는 위협탐지 기능, 공격 유형별 탐지하여 분석하고 서비스별로 탐지하고 분석하며 공격자 IP 별로 탐지하고 분석하며 피해자 IP 별로 탐지하고 분석하는 공격탐지 기능, 전체 트래픽과 위협 트래픽을 분석하고 서비스별 트래픽을 분석하며 기관별 트래픽을 분석하는 트래픽 분석기능을 수행하고 최적의 대응 방안을 제시하는 트래픽 관리부와; 정보자산을 관리하고 사용자를 관리하며 보안환경 설정을 관리하고 보안이벤트 이력을 관리하는 운영관리기능, 정보수집 대상관리 기능, 보안이벤트를 수집하고 시스템 로그 정보를 수집하며 기타 정보를 수집하는 정보수집 유형관리 기능, 정보수집 방법과 연동 관리하는 기능, 보안이벤트를 표준화 관리하고 보안이벤트를 필터링하며 보안이벤트를 설정된 소정 시간단위로 축약하는 정보처리 방법 관리 기능을 포함하여 수행하는 정보수집부; 가 포함되는 구성이다.
침해사고 대응부(40)는 보안관리부(30)가 분석한 위험정보와 침해정보를 이용하여 빈도분석과 교차분석과 상관분석으로 침해와 위험의 수준을 분석하고, 외부로부터 침해사고 접수하고, 탐지하며, 글로벌 보안현황 정보를 수집하며 이력을 관리한다.
이러한 침해사고 대응부(40)는 침해사고 대응모듈(42)과 사이버안전 지원모듈(44)로 구성된다.
침해사고 대응모듈(42)은 글로벌 침해 예보를 설정하고 관리하며 침해 예보를 전파하는 글로벌 예보 기능, 로컬 위협과 취약성을 상관분석하고 로컬 위험을 상세 분석하는 로컬예보기능을 수행하는 실시간 예보부와; 침해를 모니터링하고 검색하며 침해의 실시간 위험 평가를 설정 관리하는 실시간 위험평가기능, 침해를 모니터링하고 검색하며 경보를 설정하고 관리하는 경보기능, 보안이벤트를 통합하고 평가를 설정 관리하며 보안이벤트를 모니터링하고 검색하는 이벤트 통합/평가 기능을 수행하는 실시간 경보부와; 침해 위협을 프로파일링하고 프로그램의 환경을 설 정하며 코드를 관리하는 환경관리 기능, 사용자를 관리하고 그룹을 관리하며 권한을 관리하는 사용자 관리기능을 포함하여 수행하는 운영관리부; 가 포함되는 구성이다.
또한, 사이버안전 지원모듈(44)은 각종 보고서를 생성하고 작성된 보고서를 조회하며 작성된 보고서를 검색하는 보고서 기능, 침해에 대응하는 지식을 등록하고 발생된 장애를 처리하며 정보를 교환하는 게시판을 운영하는 대응관리 기능, IP를 분석하고 경보 탐지의 유형을 조회하며 개인정보를 관리하는 알림기능을 수행하는 운영자에 의한 사이버 안전지원 관리부와; 테이블 사용량을 관리하고 시스템 운용 상태를 관리하며 감사하고 조회하는 사이버안전지원 운영관리 기능, 침해 유형을 관리하고 계정별과 기관 또는 그룹별로 관리하며 공지사항을 관리하고 메일 발송을 관리하는 사이버 안전지원 관리 기능을 수행하는 사이버 안전지원 운영관리부와; 공지사항을 관리하고 정보관리의 정보공유 데이터를 연계하여 공지하는 보안현황 공지 기능, 사고접수와 진행상황을 관리하고 접수되어 관리되는 사고를 검색하는 사고접수 기능을 수행하는 헬프 데스크부와; 사고 현황판을 관리하고 뉴스그룹을 관리하는 정보공유 기능, 보고서를 생성하고 KM(KNOWLEDGE MANAGEMENT)을 관리하며 침해사고에 대응처리하고 침해사고 접수, 분석, 대응, 완료에 대한 위험 및 취약성을 교정 관리하는 침해사고 대응관리 기능을 포함하여 수행하는 정보관리부; 가 포함되는 구성이다.
종합상황부(50)는 침해사고 대응부(40)가 분석한 위험과 침해 발생현황을 포함하여 전반적인 보안현황을 간단하게 파악할 수 있도록 이력을 관리하고 해당 보 고 정보를 생성하여 제공한다.
이러한 종합상황부(50)가 제공하는 정보에는, 글로벌 예보와 대비하여 로컬로 발생 가능성의 예상이며, 침해접속 포트, OS 취약점, 바이러스 등에 해당하는 정보자산 목록으로 도출하는 것으로, 사고발생 이전의 사고발생 가능성에 대한 지표와, 글로벌 예보에 대한 위험도이며 글로벌 예보의 위험 등급과 발생 가능을 예상하는 것으로 예상사고 발생률에 대한 위험도를 표시하는 침해예방 정보가 있다. 이러한 침해예방 정보는 기관별, 네트워크별, 서비스별로 전체 예보 현황 정보이다.
또한, 공격시도 유형 경고 통계에 의한 것으로, IDS 기준 공격시도 유형의 보안이벤트 발생에 대한 통계이며, 사고 발생 이전의 공격시도로 판단되는 경고 지표와, 장애에 대하여 정의된 장애허용 지수(DEGREE OF ACCEPTANCE: DOA) 값을 초과하는 시스템 통계로서, 성능장애와 서버 트래픽 장애에 대하여 사전에 정의한 시스템 통계의 장애허용 지수(DOA)를 생성하는 것으로, 사고발생 이전의 장애 발생 가능성을 지표를 각각 표시하는 침해시도 정보가 있다. 이러한 침해시도 정보는 기관별, 네트워크별, 서비스별로 전체 공격시도의 현황 정보이다.
또한, 전체 실시간 경보 통계로서, 실제로 발생한 침해사고에 의해 생성된 보안이벤트의 전체 지표를 나타내는 전체 실시간 경보 발생 통계값과, 발생된 경보를 OS 별로 분류하는 것으로, Scr IP를 정보자산의 OS와 비교하여 생성하는 OS 별 침해사고율과, 발생된 경보를 유형별로 분류하는 것으로 트래픽과 웜 바이러스, 홈페이지의 위변조, 경유지 악용, 데이터베이스에 허가 받지 않고 접근하는 비인가 접근 별 통계 등에 의한 유형별 사고율과, 발생된 경보를 정의된 레이어 별로 분류하는 것으로 자원(RESOURCES), 제어(CONTROL), PERIMETER, EX-PERIMETER 별 통계 등에 의한 레이어별 사고율을 각각 표시하는 침해발생 정보가 있다. 이러한 침해발생 정보는 기관별, 네트워크별, 서비스별로 전체 INCIDENT 발생 현황 정보이다.
또한, 장애가 발생된 전체 시스템의 통계를 현황정보 상의 장애통계로 활용하는 것으로, 실제 발생된 장애율을 표시하는 장애발생 정보가 있다. 이러한 장애발생 정보는 기관별, 네트워크별, 서비스별로 발생하는 현황 정보이다.
또한, 백신에 의한 치료의 통계와 경보에 대한 접수 및 분석 및 대응완료 통계로서 백신 보안이벤트의 통계와 완료된 접수 건에 대한 통계 등에 대한 것으로 발생된 사고에 대한 대응율과, 사전에 적용한 대응 업무별 통계로서 안티바이러스 백신과 보안패치의 설치율, 방화벽 정책 설정에 따라 차단된 유해정보의 통계 및 전원 대비 정책 변경율, BLACK LIST 발생 통계 등에 대한 것으로 사전에 처리한 대응율을 표시하는 침해대응 정보가 있다. 이러한 침해대응 정보는 기관별, 네트워크별, 서비스별로 보안패치 및 안티바이러스 백신의 적용현황 정보이다.
종합상황부(50)에서 제공하는 정보에는, 이러한 침해예방 정보와 침해시도 정보와 침해발생 정보와 장애발생 정보와 침해대응 정보 이외에도, 공격 유형별 임계값, 공격 유형별 TOP N, 공격유형별 상관분석, 공격유형별 트랜드를 표시하는 공격정보가 포함된다.
또한, 트래픽 임계값, 트래픽 유형별 TOP N, 트래픽 상관분석, 트래픽 트랜드를 표시하는 트래픽 정보와; 시스템 자원 임계값, 시스템 자원 TOP N, 시스템 자 원 상관분석, 시스템 자원 트랜드를 표시하는 성능정보와; 장애통계, 웹 프로세서 현황, 보안패치 설치 현황, 글로벌 위협 현황, 안티 바이러스 설치현황, 로컬 취약점 현황, 웹 위조와 변조 현황, 위협 트래픽 현황을 표시하는 현황정보가 포함된다.
도 8 을 참조하여 본 발명의 일 예에 의한 것으로, 데이터 서버의 해킹 종합 보안관리 시스템 운용방법을 설명하면, 솔루션부에서 발생하는 보안 이벤트와 위협정보와 유해정보를 로그수집부를 통하여 수집 및 축약하여 활용가능 데이터로 변환하는 과정; 보안 이벤트와 위협정보와 유해정보를 분석하고 위험의 대책을 분석 및 업데이트하는 과정; 유해정보와 위협정보 발생 현황 및 보안패치와 안티바이러스 설치현황을 확인하여 제공하며, 빈도분석, 교차분석, 상관분석으로 침해 위험수준을 확인 및 경고하는 과정; 종합상황부에 의하여 침해사고 탐지와 접수와 현황정보의 이력과 보고서를 관리하고 표시하는 과정; 으로 구성된다.
이하, 도 1 내지 도 8을 참조하여, 본 발명의 일 예에 의한 것으로, 데이터 서버의 해킹 종합 보안관리 시스템 운용방법을 상세히 설명하면, 보안관리부에 의하여 솔루션부(10)에 의하여 서버에서 관리하는 정보자산을 방화벽, 침입탐지시스템, 침입차단시스템, 취약점분석시스템, 안티바이러스시스템, 서버보안시스템, 가상사설망 등이 포함되는 다수의 솔루션을 이용하여 종합보안 관리하는지 확인한다(S100).
보안관리부(30)에 의하여, 솔루션부(10)가 IT 정보자산을 종합보안 관리하는 것으로 판단하는 경우, 로그수집부(20)가 축약상태, 일 예로, 1분 단위로 축약하여 수집한 것으로, 로그 형태로 발생하는 보안이벤트, 비정상적이며 분석 불가능한 트래픽 및 정보에 의한 유해정보, 대량의 SESSION 발생이거나 웹 사이트를 위조 및 변조하거나 웜 바이러스를 배포 하는 등의 위협정보를 수집한다(S110). 이와 같이 수집된 정보에는 접근통제 정보와 보안패치 설치정보와 안티바이러스 설치 정보 등이 포함된다.
이와 같이 수집된 정보는 보안관리부(30)에 의하여 설정된 시간 단위, 일 예로, 5 분 단위로 다시 축약되고, 활용 가능한 데이터로 변환하며, 이와 같은 정보로부터 유해정보와 위협정보를 검출한다(S120). 이러한 보안관리부(30)는 대내외로부터 수집되는 것으로, 앞으로 발생 가능하거나 과거 발생되었던 유해정보와 위협정보를 분석하여 발생될 영향과 대책을 수립하고, 정보자산의 위협 카테고리별 분석을 통하여 확인된 위험과 침해 수준을 주기적으로 업데이트하여 관리하고 통보한다(S130).
침해사고 대응부(40)는 침해사고 대응모듈(42)을 통하여 보안관리부(30)가 제공하는 정보로부터 침해시도 현황과 위험상황, 유해와 위협 트래픽 정보의 발생현황, 보안패치와 안티바이러스 프로그램의 설치현황 등의 정보를 제공하고, 이러한 정보로부터 위험분석과 침해분석을 통하여 도출된 수준에 따라 관련 담당자에게 경고(ALERT)성 안내 메시지를 전달한다. 이러한 침해사고 대응부(40)는 사이버 안전지원 모듈(44)을 통하여, 보안을 집중 관제하고, 망(NETWORK)과 헬프 데스크 담 당 인력이 침해사고의 탐지, 신고접수, 보안현황 정보제공을 할 수 있도록 하며, 침해사고 대응 관련된 분석 및 대응을 시스템과 연계상태로 진행하고, 침해사고의 이력관리와 보고서를 관리한다(S140).
또한, 침해사고 대응부(40)의 침해사고 대응모듈(42)은 빈도분석, 교차분석, 상관분석을 통하여 유해수준과 위험수준을 확인하고, 이와 같이 확인된 수준과 최적의 대응 방안을 해당 담당자에게 경고성 메시지로 통보한다(S150).
빈도분석은, 보안이벤트 발생과 유해 트래픽 정보 및 위험 트래픽 정보가 발생하는 임계값을 설정하고, 설정된 임계값 이상으로 발생하는 경우를 분석하여 경보로 설정하는 것이다.
교차분석은, 각 단위 솔루션 사이에서 검출된 보안이벤트를 통합하고 연관관계를 분석하여 정확도를 높이고자 하는 것이다.
상관분석은, 각 정보자산과 그룹별 위험수준과 침해수준을 실시간으로 분석하여 산출하고 보안이벤트, 유해 트래픽, 위협 트래픽, 보안 성능 및 발생된 장애의 심각성 정보 등을 각각의 중요성에 의하여 비교하여 최대값을 선택하는 분석방식이다.
또한, 침해사고 대응부(40)는 사이버 안전지원 모듈(44)을 통하여, 침해와 위험 사고를 탐지하고, 신고를 접수하며, 보안현황 정보를 요청에 의하여 제공하고, 해당 모든 이력 관리 및 보고서를 관리하며, 종합상황부(50)에 제공하여, 침해예방, 침해시도, 침해발생, 장애발생, 침해대응 및 공격정보, 트래픽 정보, 성능정보, 현황정보 등과 같이 주요정보를 전반적으로 쉽게 파악하도록 제공한다(S160).
따라서 본 발명은, 다수 솔루션에 의하여 침해사고를 분석하고, 최적의 대응방안을 제시하여 적용되도록 하는 장점이 있다.
도 9 를 참조하여 본 발명의 일 예에 의한 것으로, 데이터 서버의 해킹 종합 보안관리 시스템 신호흐름을 설명하면, 접근통제 보안 이벤트, 유해정보, 위협정보, 보안패치와 안티바이러스 설치 정보를 수집하여 제공하는 과정; 수집된 정보를 단위 별로 축약하고 활용가능 데이터로 변환하여 유해정보와 위협정보를 검출하고 대책을 분석하여 전달하는 과정; 침해정보 탐지, 접수하고 유해와 위협 현황을 확인하여 빈도분석, 교차분석, 상관분석으로 침해와 위험수준을 확인하고 최적의 대응방안을 제시 및 통보하는 과정; 침해의 접수, 탐지, 현황정보의 이력과 보고서를 관리하고 표시하는 과정; 으로 구성된다.
이러한 도 9를 참조하여, 본 발명 데이터 서버의 해킹 종합 보안관리 시스템 신호흐름을 상세히 설명하면, 보안관리부(30)가 로그수집부(20)를 제어하여 솔루션부(10)로부터 유해정보와 위협정보의 수집을 요청하면(S200), 로그수집부(20)는 솔루션부(10)와 접속하고 접근통제, 보안이벤트와 유해 트래픽 정보, 위협 트래픽 정보를 수집한다(S210). 또한, 이와 같은 로그수집부(20)는 솔루션부(10)로부터, 설치된 보안패치 정보와 안티바이러스 정보를 수집하고(S220), 이와 같이 수집된 모든 정보를 보안관리부(30)에 제공한다(S230).
보안관리부(30)는 로그수집부(20)가 제공한 정보를 설정된 시간 단위 별로 축약하고 활용 가능한 데이터로 변환한다(S240). 또한, 유해정보와 위협정보를 검 출하고 대책을 분석하며(S250), 이와 같이 분석된 결과를 침해사고 대응부(40)에 전달한다(S260).
침해사고 대응부(40)는 침해사고를 탐지하고 신고를 접수하며 침해사고 관련된 공지사항을 수집한다(S270). 또한, 침해사고의 현황을 확인하고, 빈도분석과 교차분석과 상관분석으로 침해수준과 위험수준을 확인하며, 최적의 대응방법을 제시한다(S280). 이와 같이 확인되고 분석된 결과는 종합상황부(50)에 통보된다(S290).
이러한 종합상황부는 침해의 접수와 탐지와 수집된 현황정보 등의 이력과 보고서를 관리하고, 다양한 형식으로, 일 예로, 침해예방, 침해시도, 침해발생, 장애발생, 침해대응 및 공격정보, 트래픽 정보, 성능정보, 현황정보 등으로 표시 및 제공한다(S300).
이상과 같은 실시 예로 본 발명을 설명하였으나, 본 발명은 반드시 이러한 실시 예에 국한되는 것이 아니고, 본 발명의 기술사상을 벗어나지 않는 범위 내에서 다양하게 변형 실시될 수 있다. 따라서 본 발명에 개시된 실시 예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시 예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 한다.
상기와 같은 구성의 본 발명은, 다수 솔루션의 상관관계 분석으로 서버의 해킹 침해 여부를 실시간으로 모니터링하고 정보자산 환경에 적합한 최적 대응방법을 자동으로 제공하여 해킹 침해사고에 신속하게 대처하고 경고하는 산업적 이용효과가 있다.
또한, 다수 솔루션을 이용하여 서버에서 관리하는 정보자산을 해킹의 침해사고로부터 최적의 방법으로 안전하게 대응하고 관리하며 보호하는 사용상 편리한 효과가 있다.

Claims (18)

  1. 데이터 정보자산을 기록 관리하고 허용된 접속자에게 검색과 게재를 허용하는 IT 인프라로부터 발생하는 침해를 예방하고 대응하는 솔루션부;
    상기 솔루션부에서 발생하는 로그인 정보와 보안 이벤트와 위협정보와 유해정보를 수집하여 제공하는 로그수집부;
    상기 로그수집부에 의하여 수집된 보안이벤트와 위협정보와 유해정보로부터 위험정보와 침해정보를 분석하는 보안관리부;
    상기 보안관리부가 제공하는 위험정보와 침해정보로부터 빈도분석과 교차분석과 상관분석으로 위험과 침해를 분석하여 최적의 대응방안을 제시하고 외부의 침해사고 접수와 이력과 현황정보를 관리하는 침해사고 대응부; 및
    상기 침해사고 대응부가 분석한 위험과 침해발생 현황을 포함하는 전반적인 보안현황을 파악할 수 있도록 이력관리와 보고서를 생성하는 종합상황부를 포함하되,
    상기 보안 관리부는, 정보자산의 침해 이벤트를 성능 모니터링과 이벤트 모니터링과 구성에 의하여 실시간 관리하고 로그정보 검색과 추이분석과 상관에 의한 정보를 분석하는 이벤트관리부;
    정보자산의 침해 이벤트를 글로벌 위험수준과 로컬 위험수준과 이상 징후에 의한 위험을 탐지하고, 공격유형과 서비스와 공격자 IP와 피해자 IP별로 분석하여 공격을 탐지하며, 전체 위험 트래픽과 서비스별 트래픽과 기관별 트래픽을 분석하고 최적의 대응방안을 제시하는 트래픽 관리부;
    솔루션부의 정보자산과 사용자를 관리하고 침해 환경과 이력을 관리 운영하는 운영관리부; 및
    정보수집 대상을 관리하고 보안이벤트와 시스템 로그와 기타 정보를 수집하여 유형을 관리하며, 정보수집 방법을 연동관리하고, 이벤트의 표준화와 필터링과 축약의 정보처리방법을 관리하는 정보수집부; 를 포함하여 구성되는 데이터 서버의 해킹 종합보안관리 시스템.
  2. 삭제
  3. 제 1 항에 있어서, 상기 침해사고 대응부는,
    상기 보안관리부가 수집하고 분석한 위험정보로부터 빈도분석과 교차분석과 상관분석을 하여 침해시도 현황과 위협 발생현황과 보안패치와 안티바이러스 설치 현황 정보를 검출하고 최적의 대응방안을 제시하는 침해사고 대응모듈; 및
    외부로부터 침해사고 신고 정보와 보안현황 정보를 수집하고 침해사고를 탐지하며 침해사고 대응 분석과 이력을 관리하는 사이버 안전지원 모듈; 을 포함하는 구성으로 이루어지는 것을 특징으로 하는 데이터 서버의 해킹 종합보안관리 시스템.
  4. 삭제
  5. 제 1 항에 있어서, 상기 보안 관리부는,
    정보자산을 등록하고 가치를 평가하는 자산관리와 정보자산을 그룹핑하고 그룹과 유형을 관리하여 자산을 분류하는 인프라관리부;
    정보자산을 위협하는 카테고리를 관리하는 위험유형관리와 위험발생 빈도와 영향을 분석하고, 취약성 분석 시스템에 연계하여 위험을 분석하며, 위험카테고리별 참고자료를 관리하고 카테고리별 취약성 분석과 히스토리를 관리하여 취약점을 관리하는 위험취약점 관리부; 및
    정보자산 침해의 평가 기준 관리와 대책 적용과 잔존위협 관리에 의한 위험을 관리하고, 정보자산 그룹과 위험카테고리별로 위험을 분석하며, 조직별 위험현황과 정보자산 그룹별 위험현황과 위험카테고리별 위험현황을 통계하는 위험관리부; 를 더 포함하는 구성으로 이루어지는 것을 특징으로 하는 데이터 서버의 해킹 종합보안관리 시스템.
  6. 제 3 항에 있어서, 상기 침해사고 대응모듈은,
    상기 보안관리부가 제공하는 위험정보를 분석하여 침해예보를 설정 관리하고 침해예보를 전파하여 글로벌 예보하며, 침해의 위협과 취약성을 상관분석하고 위험을 상세 분석하는 로컬 예보하는 실시간예보부;
    상기 위험정보의 모니터링과 검색과 위험평가를 실시간 설정 관리하고, 모니터링과 검색과 경보를 설정관리를 하며, 보안 이벤트의 통합과 평가를 설정관리하고, 보안 이벤트를 모니터링과 검색하는 실시간경보부; 및
    상기 위험정보의 프로파일링과 프로그램 환경설정과 코드 관리하는 환경관리와 사용자와 그룹과 권한으로 사용자 관리하는 운용관리부; 를 포함하는 구성으로 이루어지는 것을 특징으로 하는 데이터 서버의 해킹 종합보안관리 시스템.
  7. 제 3 항에 있어서, 상기 사이버 안전지원 모듈은,
    침해 보고서의 생성과 조회와 검색, 침해의 대응 지식 등록과 장애처리와 운 영게시판 관리, IP 분석과 탐지유형조회와 개인정보 관리하는 사이버 안전지원 관리부;
    침해관련 테이블의 사용량과 시스템 상태와 감사결과를 조회하는 사이버안전지원 운영관리와, 침해 유형과 계정과 그룹과 공지사항과 메일방송을 관리하는 사이버 안전지원을 관리하는 사이버안전지원 운영관리부;
    침해관련 공지사항과 정보관리의 공유 데이터를 연계하는 보안현환공지와, 침해사고 접수와 진행상황과 사고를 검색하는 헬프 데스크부; 및
    침해사고 현황판과 뉴스그룹의 정보공유와, 보고서 생성과 정보관리와 침해사고 대응처리와 위험, 취약성 교정관리를 접수와 분석과 대응을 관리하는 정보관리부; 를 포함하는 구성으로 이루어지는 것을 특징으로 하는 데이터 서버의 해킹 종합보안관리 시스템.
  8. 제 1 항 또는 제 3 항에 있어서, 상기 빈도분석은,
    상기 침해사고 대응모듈에 의하여 각 솔루션별로 보안 이벤트의 발생빈도, 유해 트래픽 정보와 위협 트래픽 정보의 발생빈도에 대한 임계값을 각각 설정하고, 설정된 임계값 이상으로 발생하는 경우를 분석하는 것을 특징으로 하는 데이터 서버의 해킹 종합보안관리 시스템.
  9. 제 1 항 또는 제 3 항에 있어서, 상기 교차분석은,
    상기 침해사고 대응모듈에 의하여 단위 솔루션 사이에서의 보안이벤트 통합과 연관관계 분석을 통하여 침해 검출의 정확도를 높이는 것을 특징으로 하는 데이터 서버의 해킹 종합보안관리 시스템.
  10. 제 1 항 또는 제 3 항에 있어서, 상기 상관분석은,
    상기 침해사고 대응모듈에 의하여 침해수준과 위험수준을 각 정보자산과 각 그룹별로 실시간 분석 산출하며, 보안이벤트와 유해트래픽과 위협트래픽과 해당 성능과 장애의 심각성을 각각의 중요성에 따라 비교하고 최대값을 선택하는 것을 특징으로 하는 데이터 서버의 해킹 종합보안관리 시스템.
  11. 제 1 항에 있어서, 상기 종합상황부는,
    글로벌 침해 예보 대비 로컬 발생 가능 예상값과 위험도의 현황을 나타내는 침해예방 상황;
    침해시도 유형 경고의 통계와 장애가 정의된 허용지수 값을 초과하는 시스템의 현황을 나타내는 침해시도 상황;
    전체 침해의 실시간 경보 통계와 발생된 경보의 OS별 유형별 정의된 레이어 별로 분류된 통계현황을 나타내는 침해발생 상황;
    전체 침해 장애가 발생된 시스템 통계현황을 나타내는 장애발생; 및
    침해의 백신치료 통계와 경보의 접수 분석 대응 통계와 사전에 적용한 통계 현황을 나타내는 침해대응 상황; 을 표시하는 구성으로 이루어지는 것을 특징으로 하는 데이터 서버의 해킹 종합보안관리 시스템.
  12. 솔루션부와 로그수집부와 보안관리부와 침해사고 대응부와 종합상황부로 구성되는 시스템에서 무단 침해를 다수 솔루션으로 종합보안 관리하는 방법에 있어서,
    상기 보안관리부에 의하여 솔루션부에서 발생되는 유해와 위협을 종합보안관리 할 것인지 확인하는 과정;
    상기 보안관리부에서 종합보안 관리하는 경우, 로그수집부의 다수 솔루션으로 솔루션부에서 발생하는 보안이벤트와 위협 트래픽 정보를 수집하는 과정;
    상기 보안관리부에서 상기 수집된 정보를 축약하고 활용 가능한 데이터로 변환하여 유해정보와 위협정보를 검출하는 과정;
    상기 보안관리부에 의하여 보안 이벤트와 위협정보와 유해정보를 분석하고 발생 가능하거나 발생된 위험의 대책을 분석하여 업데이트하며 침해사고 대응부에 통보하는 과정;
    상기 침해사고 대응부에 의하여 유해정보와 위협정보 발생 현황과 보안패치, 안티바이러스 설치현황을 확인하여 제공하고 빈도분석, 교차분석, 상관분석으로 침해와 위험수준을 확인하고 경고하는 과정; 및
    상기 종합상황부에 의하여 침해사고 탐지와 접수와 현황정보의 이력과 보고서를 관리하고 표시하는 과정; 을 포함하여 구성되는 데이터 서버의 해킹 종합보안관리 시스템 운용방법.
  13. 삭제
  14. 제 12 항에 있어서, 상기 경고과정은,
    상기 침해사고 대응부에 의하여 솔루션부에서 유해정보와 위협정보의 발생 현황과 보안패치 설치현황과 안티바이러스 설치현황 정보를 확인하여 경고성 안내하는 과정;
    상기 침해사고 대응부에 의하여 침해사고의 접수와 탐지와 공지사항을 수집하는 과정; 및
    상기 확인된 현황정보로부터 빈도분석과 교차분석과 상관분석으로 침해와 위 협수준을 확인하여 경고하는 과정; 이 포함되는 것을 특징으로 하는 데이터 서버의 해킹 종합보안관리 시스템 운용방법.
  15. 솔루션부와 로그수집부와 보안관리부와 침해사고 대응부와 종합상황부로 구성되는 시스템에서 무단 침해를 다수 솔루션으로 종합보안 관리하는 방법에 있어서,
    상기 보안관리부에 의하여 솔루션부의 유해정보와 위협정보 수집을 로그수집부에 요청하는 과정;
    상기 로그수집부에 의하여 솔루션부와 접속하고 접근통제를 위반하는 보안 이벤트 정보와 비정상적으로 발생하는 유해 트래픽 정보를 수집하고, 솔루션부에 설치된 보안패치와 안티바이러스 프로그램의 정보를 수집하는 과정;
    상기 로그수집부에 의하여 솔루션부로부터 수집된 모든 정보를 보안관리부에 제공하는 과정;
    상기 보안관리부에 의하여 상기 로그수집부로부터 제공된 정보를 설정된 단위별로 축약하고 활용 가능한 데이터로 변환하여 유해정보와 위협정보를 검출하고 대책을 분석하여 침해사고 대응부에 전달하는 과정;
    상기 침해사고 대응부에 의하여 침해사고 정보의 탐지, 접수와 공지사항을 수집하고, 유해와 위협 현황을 확인하며 빈도분석, 교차분석, 상관분석으로 침해와 위험 수준을 확인하고 최적의 대응방안을 제시하며 종합상황부에 통보하는 과정; 및
    상기 종합상황부에 의하여 침해의 접수, 탐지, 현황정보의 이력과 보고서를 관리하고 표시하는 과정; 을 포함하여 구성되는 데이터 서버의 해킹 종합보안관리 시스템 운용방법.
  16. 삭제
  17. 제 15 항에 있어서, 상기 전달과정은,
    상기 보안관리부에 의하여 로그수집부로부터 제공된 정보를 설정된 단위별로 축약하여 활용 가능한 데이터로 변환하는 과정;
    상기 로그수집부가 제공한 정보로부터 유해정보와 위협정보를 검출하고 대책을 분석하는 과정; 및
    상기 검출하고 분석된 결과를 침해사고 대응부에 전달하는 과정; 이 포함되는 것을 특징으로 하는 데이터 서버의 해킹 종합보안관리 시스템 운용방법.
  18. 제 15 항에 있어서, 상기 통보과정은,
    상기 침해사고 대응부에 의하여 외부로부터 침해사고 발생정보를 탐지, 접수하고 공지사항을 수집하는 과정;
    상기 보안관리부로부터 전달된 분석결과로부터 유해와 위협의 현황을 확인하고 빈도분석, 교차분석, 상관분석으로 침해와 위험의 수준을 확인하는 과정; 및
    상기 침해사고 대응부에 의하여 확인된 결과를 종합상황부에 통보하는 과정; 이 포함되어 구성되는 데이터 서버의 해킹 종합보안관리 시스템 운용방법.
KR1020070023424A 2007-03-09 2007-03-09 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법 KR100838799B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070023424A KR100838799B1 (ko) 2007-03-09 2007-03-09 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070023424A KR100838799B1 (ko) 2007-03-09 2007-03-09 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법

Publications (1)

Publication Number Publication Date
KR100838799B1 true KR100838799B1 (ko) 2008-06-17

Family

ID=39771588

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070023424A KR100838799B1 (ko) 2007-03-09 2007-03-09 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법

Country Status (1)

Country Link
KR (1) KR100838799B1 (ko)

Cited By (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100918272B1 (ko) 2008-09-18 2009-09-21 주식회사 이글루시큐리티 단일사용자 식별을 통한 보안관제시스템 및 그 방법
KR101010302B1 (ko) 2008-12-24 2011-01-25 한국인터넷진흥원 Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법
KR101025502B1 (ko) 2008-12-24 2011-04-06 한국인터넷진흥원 네트워크 기반의 irc와 http 봇넷을 탐지하여 대응하는 시스템과 그 방법
KR101113615B1 (ko) * 2010-03-08 2012-02-13 주식회사 제이컴정보 네트워크 위험도 종합 분석 시스템 및 그 방법
KR101156011B1 (ko) 2010-12-24 2012-06-18 고려대학교 산학협력단 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템 및 그 방법
WO2012081814A1 (ko) * 2010-12-13 2012-06-21 (주)휴빌론 모바일 보안 시스템 및 그 제어방법
KR101201629B1 (ko) * 2010-08-17 2012-11-14 삼성에스디에스 주식회사 멀티테넌시 환경에서 테넌트 별 보안 관제를 위한 클라우드 컴퓨팅 시스템 및 그 방법
KR101292640B1 (ko) * 2011-06-03 2013-08-23 주식회사 제이컴정보 통합인증시스템과 연계된 웹 기반 위험관리시스템을 이용한 위험관리방법
KR101361243B1 (ko) 2011-11-30 2014-02-12 삼성에스디에스 주식회사 멀티 테넌시 환경에서 테넌트의 보안관제를 위한 장치 및 그 방법
KR101378057B1 (ko) * 2012-10-22 2014-03-27 한국원자력연구원 원자력발전소 내의 디지털계측제어 시스템의 사이버 보안 요건 분석 장치 및 그 방법
KR101454838B1 (ko) 2013-04-25 2014-10-28 한국인터넷진흥원 하이퍼바이저 기반 가상화 네트워크 및 호스트 침입방지 시스템과 연동하는 클라우드 통합 보안 관제 시스템
KR101478227B1 (ko) * 2013-11-05 2014-12-31 주식회사 시큐아이 상이한 타입들의 이벤트 로그들을 처리하는 통합 관리 장치 및 그것의 동작 방법
KR101484186B1 (ko) * 2013-08-30 2015-01-21 한국전자통신연구원 보안 관제 데이터의 검색을 위한 인덱싱 장치 및 방법
KR20150139659A (ko) * 2014-06-03 2015-12-14 박영성 회원제 인터넷 사이트 불법 이용 방지 시스템
KR20170135495A (ko) * 2016-05-31 2017-12-08 주식회사 씨티아이랩 보안 위협 정보 분석 및 관리 시스템
KR101891240B1 (ko) * 2016-12-15 2018-08-24 주식회사 진앤현시큐리티서비스 통합보안업무 관리시스템
KR101986738B1 (ko) * 2018-11-28 2019-06-07 (주)시큐레이어 네트워크 관제 서비스를 위한 정보의 시각화를 제공하는 방법 및 이를 이용한 장치
US10523697B2 (en) 2017-01-04 2019-12-31 Electronics And Telecommunications Research Institute Method and apparatus for detecting cyberthreats through correlation analysis
KR102267101B1 (ko) * 2020-04-02 2021-06-18 한충희 해외 사이버위협에 대응하기 위한 보안관제시스템 및 그 방법
US11290479B2 (en) * 2018-08-11 2022-03-29 Rapid7, Inc. Determining insights in an electronic environment
CN116915507A (zh) * 2023-09-12 2023-10-20 奇安星城网络安全运营服务(长沙)有限公司 基于安全信号匹配的计算机网络安全分析系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5974149A (en) 1996-08-01 1999-10-26 Harris Corporation Integrated network security access control system
KR20030035142A (ko) * 2001-10-30 2003-05-09 주식회사 이글루시큐리티 통합보안관리 서비스 방법
KR20040035572A (ko) * 2002-10-22 2004-04-29 최운호 정보 인프라에서의 종합 침해사고 대응시스템 및 그운영방법
KR100446816B1 (ko) 2003-12-29 2004-09-01 주식회사데이콤 네트워크 기반의 통합 보안 관리 서비스망
KR20050055996A (ko) * 2003-12-09 2005-06-14 주식회사데이콤 종합 보안 상황 관리 시스템

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5974149A (en) 1996-08-01 1999-10-26 Harris Corporation Integrated network security access control system
KR20030035142A (ko) * 2001-10-30 2003-05-09 주식회사 이글루시큐리티 통합보안관리 서비스 방법
KR20040035572A (ko) * 2002-10-22 2004-04-29 최운호 정보 인프라에서의 종합 침해사고 대응시스템 및 그운영방법
KR20050055996A (ko) * 2003-12-09 2005-06-14 주식회사데이콤 종합 보안 상황 관리 시스템
KR100446816B1 (ko) 2003-12-29 2004-09-01 주식회사데이콤 네트워크 기반의 통합 보안 관리 서비스망

Cited By (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100918272B1 (ko) 2008-09-18 2009-09-21 주식회사 이글루시큐리티 단일사용자 식별을 통한 보안관제시스템 및 그 방법
KR101010302B1 (ko) 2008-12-24 2011-01-25 한국인터넷진흥원 Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법
KR101025502B1 (ko) 2008-12-24 2011-04-06 한국인터넷진흥원 네트워크 기반의 irc와 http 봇넷을 탐지하여 대응하는 시스템과 그 방법
KR101113615B1 (ko) * 2010-03-08 2012-02-13 주식회사 제이컴정보 네트워크 위험도 종합 분석 시스템 및 그 방법
KR101201629B1 (ko) * 2010-08-17 2012-11-14 삼성에스디에스 주식회사 멀티테넌시 환경에서 테넌트 별 보안 관제를 위한 클라우드 컴퓨팅 시스템 및 그 방법
WO2012081814A1 (ko) * 2010-12-13 2012-06-21 (주)휴빌론 모바일 보안 시스템 및 그 제어방법
KR101169287B1 (ko) 2010-12-13 2012-08-02 (주)휴빌론 모바일 보안 시스템 및 그 제어방법
KR101156011B1 (ko) 2010-12-24 2012-06-18 고려대학교 산학협력단 네트워크 트래픽 분석을 통한 봇넷 위험도 산정 시스템 및 그 방법
KR101292640B1 (ko) * 2011-06-03 2013-08-23 주식회사 제이컴정보 통합인증시스템과 연계된 웹 기반 위험관리시스템을 이용한 위험관리방법
KR101361243B1 (ko) 2011-11-30 2014-02-12 삼성에스디에스 주식회사 멀티 테넌시 환경에서 테넌트의 보안관제를 위한 장치 및 그 방법
KR101378057B1 (ko) * 2012-10-22 2014-03-27 한국원자력연구원 원자력발전소 내의 디지털계측제어 시스템의 사이버 보안 요건 분석 장치 및 그 방법
KR101454838B1 (ko) 2013-04-25 2014-10-28 한국인터넷진흥원 하이퍼바이저 기반 가상화 네트워크 및 호스트 침입방지 시스템과 연동하는 클라우드 통합 보안 관제 시스템
US10223529B2 (en) 2013-08-30 2019-03-05 Electronics And Telecommunications Research Institute Indexing apparatus and method for search of security monitoring data
KR101484186B1 (ko) * 2013-08-30 2015-01-21 한국전자통신연구원 보안 관제 데이터의 검색을 위한 인덱싱 장치 및 방법
KR101478227B1 (ko) * 2013-11-05 2014-12-31 주식회사 시큐아이 상이한 타입들의 이벤트 로그들을 처리하는 통합 관리 장치 및 그것의 동작 방법
KR20150139659A (ko) * 2014-06-03 2015-12-14 박영성 회원제 인터넷 사이트 불법 이용 방지 시스템
KR101592475B1 (ko) 2014-06-03 2016-02-11 박영성 회원제 인터넷 사이트 불법 이용 방지 시스템
KR20170135495A (ko) * 2016-05-31 2017-12-08 주식회사 씨티아이랩 보안 위협 정보 분석 및 관리 시스템
KR101891240B1 (ko) * 2016-12-15 2018-08-24 주식회사 진앤현시큐리티서비스 통합보안업무 관리시스템
US10523697B2 (en) 2017-01-04 2019-12-31 Electronics And Telecommunications Research Institute Method and apparatus for detecting cyberthreats through correlation analysis
US11290479B2 (en) * 2018-08-11 2022-03-29 Rapid7, Inc. Determining insights in an electronic environment
KR101986738B1 (ko) * 2018-11-28 2019-06-07 (주)시큐레이어 네트워크 관제 서비스를 위한 정보의 시각화를 제공하는 방법 및 이를 이용한 장치
KR102267101B1 (ko) * 2020-04-02 2021-06-18 한충희 해외 사이버위협에 대응하기 위한 보안관제시스템 및 그 방법
CN116915507A (zh) * 2023-09-12 2023-10-20 奇安星城网络安全运营服务(长沙)有限公司 基于安全信号匹配的计算机网络安全分析系统
CN116915507B (zh) * 2023-09-12 2023-12-05 奇安星城网络安全运营服务(长沙)有限公司 基于安全信号匹配的计算机网络安全分析系统

Similar Documents

Publication Publication Date Title
KR100838799B1 (ko) 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법
US20060031938A1 (en) Integrated emergency response system in information infrastructure and operating method therefor
CN113839935B (zh) 网络态势感知方法、装置及系统
CN116827675A (zh) 一种网络信息安全分析系统
KR102433928B1 (ko) 자율 운항 선박의 사이버 보안 관리 시스템
CN116094817A (zh) 一种网络安全检测系统和方法
CN117155625A (zh) 一种计算机网络监控系统
KR101113615B1 (ko) 네트워크 위험도 종합 분석 시스템 및 그 방법
CN115277490A (zh) 一种网络靶场评估方法、系统、设备及存储介质
CN115766235A (zh) 一种网络安全预警系统及预警方法
KR20110110431A (ko) 정보보안 장치 및 방법
KR101767591B1 (ko) 침입탐지 오탐 개선을 위한 시스템 및 방법
CN110086812B (zh) 一种安全可控的内网安全巡警系统及方法
KR100607110B1 (ko) 종합 보안 상황 관리 시스템
CN115632884B (zh) 基于事件分析的网络安全态势感知方法与系统
CN116668166A (zh) 一种软硬件协同的数据安全监控系统
KR20130033161A (ko) 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템
JP4437410B2 (ja) セキュリティ管理装置及びプログラム
CN113949539A (zh) 一种核电厂kns系统网络安全的保护方法及kns系统
KR101646329B1 (ko) 지역 기반 사이버 침해 대응 분석 시스템 및 그 방법
CN113132389A (zh) 一种网络安全监测系统
Tafazzoli et al. Security operation center implementation on OpenStack
KR20200054495A (ko) 보안관제 서비스 방법 및 그를 위한 장치
KR102259557B1 (ko) 개인정보 비정상접속 행위를 차단할 수 있는 파르고스 플랫폼을 구비한 개인정보 보호 시스템
US20240232367A9 (en) Monitoring and remediation of cybersecurity risk based on calculation of cyber-risk domain scores

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130403

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20140522

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20150521

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20160527

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20170525

Year of fee payment: 10

LAPS Lapse due to unpaid annual fee