KR100885293B1 - 네트워크 보안 상황 표시 장치 및 그 방법 - Google Patents

네트워크 보안 상황 표시 장치 및 그 방법 Download PDF

Info

Publication number
KR100885293B1
KR100885293B1 KR1020060121829A KR20060121829A KR100885293B1 KR 100885293 B1 KR100885293 B1 KR 100885293B1 KR 1020060121829 A KR1020060121829 A KR 1020060121829A KR 20060121829 A KR20060121829 A KR 20060121829A KR 100885293 B1 KR100885293 B1 KR 100885293B1
Authority
KR
South Korea
Prior art keywords
security event
address
security
protocol
information
Prior art date
Application number
KR1020060121829A
Other languages
English (en)
Other versions
KR20080050919A (ko
Inventor
장범환
정치윤
손선경
이수형
방효찬
김건량
김현주
박원주
유종호
김종현
나중찬
장종수
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020060121829A priority Critical patent/KR100885293B1/ko
Priority to US12/517,091 priority patent/US8019865B2/en
Priority to PCT/KR2007/005258 priority patent/WO2008069442A1/en
Publication of KR20080050919A publication Critical patent/KR20080050919A/ko
Application granted granted Critical
Publication of KR100885293B1 publication Critical patent/KR100885293B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols

Abstract

본 발명은 현재 상기 네트워크의 보안 상황을 실시간으로 용이하게 판단할 수 있게 해주는 네트워크 보안 상황 표시 장치 및 그 방법에 관한 것으로서, 네트워크 보안 장치들로부터 원시 보안 이벤트 정보를 수집하는 보안 이벤트 수집부, 상기 보안 이벤트 수집부에 의하여 수집된 원시 보안 이벤트 정보를 분석하여 보안 이벤트에 해당하는 특성 데이터를 추출하는 보안 이벤트 분석부 및 상기 보안 이벤트 분석부에서 추출된 보안 이벤트 특성 데이터들 사이의 상관관계를 디스플레이할 수 있도록, 상기 추출된 보안 이벤트의 아이피 주소 정보를 아이피 주소 맵상으로 매핑하고, 상기 추출된 보안 이벤트의 근원지 포트, 목적지 포트 및 프로토콜 정보를 프로토콜 큐브 상에 매핑하여 3차원 화면으로 시각화하는 3D 시각화 표시부를 포함하여 구성된다.
네트워크, 보안 이벤트, 3D 시각화, 특성 데이터

Description

네트워크 보안 상황 표시 장치 및 그 방법{Method and Apparatus for visualizing network security state}
도 1은 본 발명의 바람직한 일 실시예에 따른 네트워크 보안 상황 표시 장치의 구성을 나타낸 블럭도,
도 2는 본 발명의 또 다른 실시예에 따른 3D 시각화 표시부에 의하여 보안 이벤트의 근원지 아이피 주소 및 목적지 아이피 주소 정보가 매핑되는 아이피 주소 맵의 바람직한 일 예를 나타낸 도면,
도 3은 본 발명의 또 다른 실시예에 따른 3D 시각화 표시부에 의하여 보안 이벤트의 근원지 포트, 목적지 포트 및 프로토콜 정보가 매핑되는 프로토콜 큐브의 바람직한 일 예를 나타낸 도면,
도 4는 본 발명의 또 다른 실시예에 따른 3D 시각화 표시부에서 보안 이벤트정보를 아이피 주소 맵과 프로토콜 큐브를 사용하여 시각화하는 방법의 바람직한 일 예를 나타낸 도면,
도 5는 본 발명의 또 다른 실시예에 따른 네트워크 보안 상황 표시 장치에 의하여 시각화되어 표시되는 보안 이벤트를 나타낸 도면, 그리고
도 6은 본 발명의 또 다른 실시예에 따른 네트워크 보안 상황 표시 방법을 나타내기 위한 블럭 흐름도이다.
본 발명은 네트워크 보안에 관한 것으로, 특히, 수집된 보안 이벤트를 분석하여 네트워크에 존재하는 보안 위협을 시각화함으로써 현재 상기 네트워크의 보안 상황을 실시간으로 용이하게 판단할 수 있게 해주는 네트워크 보안 상황 표시 장치 및 그 방법에 관한 것이다.
많은 컴퓨터들 또는 그 밖의 컴퓨팅 장치들이 인터넷과 같은 다양한 네트워크들을 통하여 상호 접속됨에 따라, 네트워크 또는 정보 시스템을 통하여 행해지는 침입 또는 공격으로부터의 컴퓨터를 보안하는 문제가 점점 더 중요해지고 있다. 이러한 침입 또는 공격으로는 컴퓨터 바이러스, 컴퓨터 웜, 시스템 컴포넌트 교체, 서비스 거부 공격, 심지어 합법적인 컴퓨터 시스템 특징의 오용/남용을 포함하여 많은 다른 형태로 나타날 수 있다.
이러한 네트워크 공격에 대하여 학계 및 보안업체에서는 방화벽(Firewall) 등과 같은 침입 차단 시스템, IDS(Intrusion Detection System), IPS(Intusion Prevention Service) 등과 같은 침입 탐지 시스템, 가상 사설망(VPN: Virtual Private Network) 등의 기술을 이용한 네트워크 보안 방법을 제안하고 있다.
일반적으로 네트워크의 보안 상황을 파악하는 방법에는 네트워크에서 발생하는 트래픽 패턴을 바탕으로 하는 방법과 네트워크상에 설치된 보안장치들로부터 발생하는 보안 이벤트를 이용하는 방법이 있다. 그러나, 트래픽 패턴을 바탕으로 하 는 경우에는 트래픽의 양을 기준으로 하여 일정치 이상을 초과하게 되면 네트워크 안정성에 영향을 미치는 것으로 파악하기 때문에, 발생되는 트래픽 속성간의 상호 연관관계를 파악하여 이상 상태를 분석하는 데는 한계가 있었다.
보안장치로부터 발생하는 보안 이벤트를 바탕으로 하는 경우, 종래에는 보안 이벤트를 구성하는 네트워크 주소, 프로토콜, 포트 번호, 패킷 개수 등의 특성 정보 중 하나의 비율을 화면상에 표시하여 해당 항목의 추이를 분석하거나, 특성 정보 중 일부 또는 특성 정보를 축약시킨 값을 이용하여 보안 상황을 시각화하였다. 따라서 종래에는 현재 보안 상황의 세부적인 내용을 한 화면에 표현하지 못하였으며, 현재 보안 상황을 판단하기 위해서는 다른 부가 정보가 필요하였기 때문에 관리자가 시각화된 보안 상황만으로 네트워크에 위협이 되는 보안 이벤트를 직관적으로 인식하기 어려웠다. 따라서 기존의 보안 상황 표시 장치로는 관리자가 현재 네트워크의 이상 상태를 인지하고 대응하는 데 까지 소요되는 시간이 많아져서 그 피해가 늘어나게 된다는 문제가 있었다.
이에 보안 이벤트의 중요 속성들을 하나의 화면에 효과적으로 시각화함으로써 현재 네트워크 보안 상황을 직관적으로 인식할 수 있는 보안 상황 표시 장치 및 방법에 대한 요구가 높아지고 있는 실정이다
상기와 같은 문제점을 해결하기 위한 본 발명의 제 1목적은, 트래픽, 방화벽, 침입 탐지 시스템 등과 같은 네트워크 보안 장비들로부터 제공되는 보안 이벤트의 중요 속성 정보들을 한 화면에 효과적으로 시각화함으로써 현재 네트워크 보 안 상황을 직관적으로 인식할 수 있는 네트워크 보안 상황 표시 장치 및 방법을 제공하는 데 있다.
또한 본 발명의 제 2목적은, 보안 이벤트의 근원지 주소, 목적지 주소, 근원지 포트, 목적지 포트 및 프로토콜 정보들과 같이 보안 이벤트를 구성하는 특정 정보들 사이의 관계를 3차원 화면에 효과적으로 시각화할 수 있는 네트워크 보안 상황 표시 장치 및 방법을 제공하는 데 있다.
상기와 같은 본 발명의 목적을 달성하기 위하여, 네트워크 보안 상황 표시 장치는,
네트워크 보안 장치들로부터 원시 보안 이벤트 정보를 수집하는 보안 이벤트 수집부;
상기 보안 이벤트 수집부에 의하여 수집된 원시 보안 이벤트 정보를 분석하여 보안 이벤트에 해당하는 특성 데이터를 추출하는 보안 이벤트 분석부; 및
상기 보안 이벤트 분석부에서 추출된 보안 이벤트 특성 데이터들 사이의 상관관계를 디스플레이할 수 있도록, 상기 추출된 보안 이벤트의 아이피 주소 정보를 28×28로 이루어진 메트릭스인 아이피 주소 맵상으로 매핑하고, 상기 추출된 보안 이벤트의 근원지 포트, 목적지 포트 및 프로토콜 정보를 프로토콜 큐브 상에 매핑하여 3차원 화면으로 시각화하는 3D 시각화 표시부를 포함하여 구성되며,
상기 보안 이벤트 분석부에서 추출하는 상기 보안 이벤트의 특성 데이터는 해당 보안 이벤트의 근원지 아이피 주소, 목적지 아이피 주소, 근원지 포트, 목적지 포트 및 프로토콜 정보 중에서 선택되는 어느 하나 이상을 포함한다.
상기와 같은 본 발명의 목적을 달성하기 위하여, 네트워크 보안 상황 표시 방법은,
네트워크 보안 장치들로부터 원시 보안 이벤트 정보를 수집하는 단계;
상기 수집된 원시 보안 이벤트 정보를 분석하여 특정 보안 이벤트에 대한 특성 데이터를 추출하는 단계;
상기 추출된 상기 보안 이벤트의 아이피 주소 정보를 28×28로 이루어진 메트릭스인 아이피 주소 맵상으로 매핑하는 단계; 및
상기 추출된 상기 보안 이벤트의 근원지 포트, 목적지 포트 및 프로토콜 정보를 특정 프로토콜의 포트 번호 및 상기 프로토콜의 해당 포트에서 발생한 이벤트의 수 정보에 해당하는 2차원 정보를 갖는 복수개의 프로토콜 평면으로 구성된 3차원 공간인 프로토콜 큐브상에 매핑하는 단계를 포함하여 구성된다.
이하 첨부된 도면을 참조하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있는 바람직한 실시예를 상세히 설명한다. 다만, 본 발명의 바람직한 실시예에 대한 동작 원리를 상세하게 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다. 도면 전체에 걸쳐 유사한 기능 및 작용을 하는 부분에 대해서는 동일한 도면 부호를 사용한다.
도 1은 본 발명의 바람직한 일 실시예에 따른 네트워크 보안 상황 표시 장치의 구성을 나타낸 블럭도이다.
도 1을 참조하면, 상기 네트워크 보안 상황 표시 장치(100)는 보안 이벤트 수집부(110), 보안 이벤트 분석부(120) 및 3D 시각화 표시부(130)를 포함하여 구성된다.
상기 보안 이벤트 수집부(110)는 네트워크 보안 장치들로부터 원시 보안 이벤트 정보를 수집한다. 이를 위하여 상기 보안 이벤트 수집부(110)는 도 1에 나타낸 바와 같이 분산되어 있는 각각의 네트워크 보안 장치들(IDS, IPS, Firewall 등)의 보안 이벤트(security event) 로그를 실시간으로 모니터링 하고, 일정 시간마다 주기적으로 원시 보안 이벤트 정보를 통합하여 수집한다.
상기 보안 이벤트 분석부(120)는 상기 보안 이벤트 수집부(110)에 의하여 수집된 원시 보안 이벤트 정보를 분석하여 특정 보안 이벤트에 해당하는 특성 데이터를 추출한다. 본 발명에 적용할 수 있는 바람직한 실시예에서 상기 보안 이벤트의 특성 데이터는 해당 보안 이벤트의 근원지 아이피 주소, 목적지 아이피 주소, 근원지 포트, 목적지 포트 및 프로토콜 정보 중에서 선택되는 어느 하나 이상의 정보를 포함할 수 있다.
상기 3D 시각화 표시부(130)는 보안 이벤트 분석부(120)에서 추출된 보안 이벤트 특성 데이터들 사이의 상관관계를 디스플레이 장치(미도시)로 출력할 수 있도록 3차원 화면으로 시각화한다. 이때, 상기 보안 이벤트 분석부(120)에서 추출된 보안 이벤트 특성 데이터들 중에서 상기 보안 이벤트의 아이피 주소 정보는 28×28로 이루어진 매트릭스(이하, '아이피 주소 맵'이라 한다)상으로 매핑되고, 상기 보안 이벤트의 근원지 포트, 목적지 포트 및 프로토콜 정보는 특정 프로토콜의 포트 번호 및 상기 프로토콜의 해당 포트에서 발생한 이벤트의 수 정보에 해당하는 2차원 정보를 갖는 복수개의 프로토콜 평면으로 구성된 3차원 공간(이하, '프로토콜 큐브'라 한다)상에 각각 매핑된다.
도 2는 본 발명의 또 다른 실시예에 따른 3D 시각화 표시부에 의하여 보안 이벤트의 근원지 아이피 주소 및 목적지 아이피 주소 정보가 매핑되는 아이피 주소 맵의 바람직한 일 예를 나타낸 도면이다. 이때 상기 3D 시각화 표시부는 근원지 아이피 주소 및 목적지 아이피 주소 각각을 2개의 서로 다른 아이피 주소 맵에 각각 매핑할 수 있다.
도 2를 참조하면 상기 아이피 주소 맵은 각각 0 ~ 255의 값을 갖는 a축(210)과 b축(220)으로 구성되어 있다. 이때 특정 보안 이벤트의 아이피 주소 정보는 상기 아이피 주소 맵상에서 상기 아이피 주소의 첫번째 자리 및 두번째 자리에 해당하는 위치로 매핑된다. 이때, 해당 보안 이벤트의 근원지 아이피 주소는 근원지 아이피 주소 맵에, 목적지 아이피 주소는 목적지 아이피 주소 맵에 각각 매핑될 수 있다.
예를 들어 특정 보안 이벤트의 근원지 아이피 주소가 "aaa.bbb.ccc.ddd(이때, 0 ≤ aaa, bbb, ccc, ddd ≤ 255)" 였다고 한다면, 상기 근원지 아이피 주소 정보는 근원지 아이피 주소 맵상의 (aaa, bbb) 상으로 매핑된다. 따라서, 서로 다른 보안 이벤트의 근원지 아이피 주소가 “aaa.bbb.0.0”에서부터 “aaa.bbb.255.255”중에서 어느 하나의 주소에 해당한다면, 상기 보안 이벤트들의 근원지 아이피 주소 정보는 모두 근원지 아이피 주소 맵상의 동일한 위치에 매핑 된다.
본 발명에 적용할 수 있는 바람직한 실시예에서, 근원지 아이피 맵상에 보안 이벤트에 대한 근원지 아이피 주소 정보를 매핑하는 방법은 상기 보안 이벤트에 대한 목적지 아이피 주소 정보를 목적지 아이피 맵상에 매핑하는 방법과 동일하다.
도 3은 본 발명의 또 다른 실시예에 따른 3D 시각화 표시부에 의하여 보안 이벤트의 근원지 포트, 목적지 포트 및 프로토콜 정보가 매핑되는 프로토콜 큐브의 바람직한 일 예를 나타낸 도면이다.
도 3을 참조하면, 상기 프로토콜 큐브는 복수개의 근원지 프로토콜 평면(320, 330, 340)과 복수개의 목적지 프로토콜 평면(350, 360, 370)으로 구성되어 있다. 상기 복수개의 프로토콜 평면은 상기 프로토콜 큐브상에 평행하게 구성되어 있는데, 근원지 프로토콜 평면들과 목적지 프로토콜 평면들은 서로 구별되어 존재할 수 있다. 이때 상기 프로토콜 평면은 사용자의 요구에 따라서 추가하거나 삭제할 수 있다.
본 발명에 적용할 수 있는 바람직한 실시예에서, 상기 프로토콜 큐브상에 존재하는 프로토콜 평면은 Y축(380) 및 Z축(310)에 정보를 저장할 수 있는데, Z축(310)은 해당 보안 이벤트에 대한 프로토콜의 포트 번호를 나타내는 것으로 0에서 65535의 값을 가질 수 있고, Y축(380)은 상기 프로토콜의 해당 포트에서 발생한 이벤트의 수를 나타내는 것으로 0에서 10000의 값을 가질 수 있다. 이때, 상기 특 정 프로토콜 평면의 각 축이 가지는 최소, 최대값은 사용자의 설정에 따라서 변경될 수 있으며, 설정에 따라서 하나의 특정 포트 또는 하나의 특정 프로토콜만을 표시할 수 있다.
도 4는 본 발명의 또 다른 실시예에 따른 3D 시각화 표시부에서 보안 이벤트정보를 아이피 주소 맵과 프로토콜 큐브를 사용하여 시각화하는 방법의 바람직한 일 예를 나타낸 도면이다.
먼저 보안 이벤트 분석부에서 추출한 정보에 따르면 3D 시각화 표시부를 통하여 시각화하고자 하는 보안 이벤트는 100.0.0.1에서 x포트를 통하여 150.255.255.255 의 x'포트로 가는 ICMP 프로토콜로서, x포트를 사용하는 보안 이벤트가 y개 만큼 발생하고 x' 포트를 사용하는 보안 이벤트가 현재 y'개 만큼 발생하였다고 가정한다.
상기 보안 이벤트의 근원지 아이피 주소 정보(100.0.0.1)는 근원지 아이피 주소 맵의 (100, 0)상으로 매핑되고, 목적지 아이피 주소 정보(150.255.255.255)는 목적지 아이피 주소 맵의 (150, 255)상으로 매핑된다.
또한, 보안 이벤트의 근원지 포트 정보인 사용된 포트번호 x, 상기 x포트에서 상기 보안 이벤트가 발생한 횟수 y및 상기 보안 이벤트의 프로토콜 정보(ICMP 프로토콜)는 근원지 ICMP 평면의 (x, y)상으로 매핑되고, 보안 이벤트의 목적지 포트 정보인 사용된 포트번호 x', 상기 x'포트에서 상기 보안 이벤트가 발생한 횟수 y'및 상기 보안 이벤트의 프로토콜 정보(ICMP 프로토콜)는 목적지 ICMP 평면의 (x', y')상으로 매핑된다.
이때, 역으로 본 발명에 따른 3D 시각화 표시부에서 특정 보안 이벤트가 상기 도 4에서와 같이 시각화 되었다면, 100.0.ccc.ddd(이때, 0 ≤ ccc, ddd ≤ 255)인 근원지 아이피 주소에서 x포트를 통하여 150.255.ccc'.ddd'(이때, 0 ≤ ccc', ddd' ≤255)인 목적지 아이피 주소의 x' 포트로 가는 ICMP 프로토콜을 사용하는 보안 이벤트가 발생하였으며, 이때 x포트를 사용하는 보안 이벤트가 현재 y개 만큼 발생하고 있고 x'포트를 사용하는 보안 이벤트가 현재 y'개 만큼 발생하고 있다는 것을 확인할 수 있다.
도 5는 본 발명의 또 다른 실시예에 따른 네트워크 보안 상황 표시 장치에 의하여 시각화되어 표시되는 보안 이벤트를 나타낸 도면이다.
도 5는 네트워크 보안 장치들로부터 제공되는 보안 이벤트를 근원지 아이피 주소 맵, 목적지 아이피 주소 맵 및 프로토콜 큐브를 식별력을 가지는 색깔로 각각 연결하여 3차원 화면에 표시한 것이다. 이때 본 발명에 적용할 수 있는 바람직한 실시예에서, 상기 보안 이벤트들은 상기 프로토콜 큐브를 구성하는 각 프로토콜 평면들이 식별력을 가지는 색깔을 가지도록 시각화될 수 있다. 또한 현재 가장 많은 비중을 차지하는 보안 이벤트에 특정 색깔을 부여하여 보안 상황에 이상이 발생한 부분을 쉽게 식별할 수 있도록 시각화될 수 있으며, 부가적으로 현재 보안 이벤트에서 가장 많은 비중을 차지하는 포트들의 정보를 텍스트 형태로 표시하도록 시각 화될 수 있다.
도 6은 본 발명의 또 다른 실시예에 따른 네트워크 보안 상황 표시 방법을 나타내기 위한 블럭 흐름도이다.
도 6을 참조하면, 먼저 네트워크 보안 장치들로부터 원시 보안 이벤트 정보를 수집한다(S101). 이를 위하여 상기 분산되어 있는 각각의 네트워크 보안 장치들의 보안 이벤트(security event) 로그를 실시간으로 모니터링 하고, 일정 시간마다 주기적으로 원시 보안 이벤트 정보를 통합하여 수집할 수 있다.
상기 S101단계를 통하여 수집된 원시 보안 이벤트 정보를 분석하여 특정 보안 이벤트에 대한 특성 데이터를 추출한다(S102). 본 발명에 적용할 수 있는 바람직한 실시예에서 상기 보안 이벤트에 대한 특성 데이터로는 해당 보안 이벤트의 근원지 아이피 주소, 목적지 아이피 주소, 근원지 포트, 목적지 포트 및 프로토콜 정보 중에서 선택되는 어느 하나 이상의 정보를 포함할 수 있다.
다음으로, 상기 S102단계를 통하여 추출된 상기 보안 이벤트의 아이피 주소 정보를 28×28로 이루어진 메트릭스인 아이피 주소 맵상으로 매핑한다(S103). 본 발명에 적용할 수 있는 바람직한 실시예에서, 근원지 아이피 주소와 목적지 아이피 주소는 각각 서로 다른 아이피 주소 맵상에 매핑할 수 있다. 이때, 상기 S103단계아이피 주소 정보는 상기 아이피 주소 중에서 첫번째 자리 및 두번째 자리값에 해당하는 아이피 주소 맵상의 2차원 좌표상으로 매핑되는 것이 바람직하다.
다음으로, 상기 S102단계를 통하여 추출된 상기 보안 이벤트의 근원지 포트, 목적지 포트 및 프로토콜 정보는, 특정 프로토콜의 포트 번호 및 상기 프로토콜의 해당 포트에서 발생한 이벤트의 수 정보에 해당하는 2차원 정보를 갖는 복수개의 프로토콜 평면으로 구성된 3차원 공간인 프로토콜 큐브상에 매핑한다(S104).
상기 S103단계 및 S104단계를 통하여 특정 보안 이벤트에 대한 아이피 주소 맵 및 프로토콜 큐브가 완성되면, 네트워크 보안 상황을 시각화한다(S105). 상기 네트워크 보안 상황 시각화 작업은 해당 보안 이벤트에 대한 아이피 주소 맵 및 프로토콜 큐브상의 점을 각각 연결하여 3차원 화면에 표시하는 과정을 통하여 수행되는데, 이를 식별력을 가지는 색깔로 각각 연결하여 3차원 화면에 표시할 수 있다. 또한, 상기 프로토콜 큐브를 구성하는 각 프로토콜 평면들은 식별력을 가지는 색깔을 갖도록 표시할 수 있고, 현재 가장 많은 비중을 차지하는 보안 이벤트에 특정 색깔을 부여하여 보안 상황에 이상이 발생한 부분을 쉽게 식별할 수 있도록 할 수 있으며, 또한 부가적으로 현재 보안 이벤트에서 가장 많은 비중을 차지하는 포트들의 정보를 텍스트 형태로 표시할 수 있다.
이상에서 설명한 본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 당업자에게 있어 명백할 것이다.
상술한 바와 같이, 본 발명에 따른 아이피 주소 맵과 프로토콜 큐브를 이용한 네트워크 보안 상황 표시 장치 및 방법은 보안 이벤트의 중요 속성 들을 한 화면에 3차원으로 시각화하여 표현하기 때문에, 네트워크 보안 관리자에게 현재 네트워크의 보안 상황을 쉽게 인지시킬 수 있다.
또한 아이피 주소 맵을 사용하여 보안 이벤트의 근원지와 목적지를 표시함으로써 보안 이벤트가 발생되는 곳을 보다 정확하게 표현할 수 있고, 프로토콜 큐브를 사용하여 다수의 프로토콜 및 각 프로토콜의 포트를 한 화면에서 관찰할 수 있게 하기 때문에 네트워크 보안 관리자가 현재 네트워크 보안 상황의 이상 여부를 빠르게 인식하고 대처할 수 있다.

Claims (19)

  1. 삭제
  2. 삭제
  3. 삭제
  4. 삭제
  5. 네트워크 보안 장치들로부터 원시 보안 이벤트 정보를 수집하는 보안 이벤트 수집부;
    상기 보안 이벤트 수집부에 의하여 수집된 원시 보안 이벤트 정보를 분석하여 보안 이벤트에 해당하는 특성 데이터를 추출하는 보안 이벤트 분석부; 및
    상기 보안 이벤트 분석부에서 추출된 보안 이벤트 특성 데이터들 사이의 상관관계를 디스플레이할 수 있도록, 상기 추출된 보안 이벤트의 아이피 주소 정보를 28×28로 이루어진 메트릭스인 아이피 주소 맵상으로 매핑하고, 상기 추출된 보안 이벤트의 근원지 포트, 목적지 포트 및 프로토콜 정보를 프로토콜 큐브 상에 매핑하여 3차원 화면으로 시각화하는 3D 시각화 표시부를 포함하여 구성되며,
    상기 보안 이벤트 분석부에서 추출하는 상기 보안 이벤트의 특성 데이터는 해당 보안 이벤트의 근원지 아이피 주소, 목적지 아이피 주소, 근원지 포트, 목적지 포트 및 프로토콜 정보 중에서 선택되는 어느 하나 이상을 포함하는 것을 특징으로 하는 네트워크 보안 상황 표시 장치.
  6. 제 5항에 있어서,
    상기 아이피 주소 맵은 각각 0 ~ 255의 값을 갖는 a축과 b축으로 구성되는 것을 특징으로 하는 네트워크 보안 상황 표시 장치.
  7. 제 5항 또는 제6항에 있어서,
    보안 이벤트의 아이피 주소 정보는 상기 아이피 주소 맵상에서 상기 아이피 주소의 첫번째 자리 및 두번째 자리에 해당하는 위치로 매핑되는 것을 특징으로 하 는 네트워크 보안 상황 표시 장치.
  8. 제 5항에 있어서,
    보안 이벤트의 근원지 아이피 주소는 근원지 아이피 주소 맵에, 목적지 아이피 주소는 목적지 아이피 주소 맵에 각각 매핑되는 것을 특징으로 하는 네트워크 보안 상황 표시 장치.
  9. 삭제
  10. 삭제
  11. 삭제
  12. 네트워크 보안 장치들로부터 원시 보안 이벤트 정보를 수집하는 제 1단계;
    상기 수집된 원시 보안 이벤트 정보를 분석하여 특정 보안 이벤트에 대한 특성 데이터를 추출하는 제 2단계;
    상기 추출된 상기 보안 이벤트의 아이피 주소 정보를 28×28로 이루어진 메트릭스인 아이피 주소 맵상으로 매핑하는 제 3단계; 및
    상기 추출된 상기 보안 이벤트의 근원지 포트, 목적지 포트 및 프로토콜 정보를 특정 프로토콜의 포트 번호 및 상기 프로토콜의 해당 포트에서 발생한 이벤트의 수 정보에 해당하는 2차원 정보를 갖는 복수개의 프로토콜 평면으로 구성된 3차원 공간인 프로토콜 큐브상에 매핑하는 제 4단계를 포함하여 구성되는 네트워크 보안 상황 표시 방법.
  13. 제 12항에 있어서,
    상기 제 3단계 및 제 4단계가 종료하고 나서 해당 보안 이벤트에 대한 아이피 주소 맵 및 프로토콜 큐브상의 점을 각각 연결하여 3차원 화면에 표시하는 네트 워크 보안 상황 시각화 단계를 더 포함하는 것을 특징으로 하는 네트워크 보안 상황 표시 방법.
  14. 제 13항에 있어서,
    해당 보안 이벤트에 대한 아이피 주소 맵 및 프로토콜 큐브상의 점을 각각 연결할 때 보안 이벤트의 비중에 따라 서로 다른 색깔을 부여하는 것을 특징으로 하는 네트워크 보안 상황 표시 방법.
  15. 제 13항에 있어서,
    상기 시각화 단계에서 상기 프로토콜 큐브를 구성하는 각 프로토콜 평면들은 식별력을 가지는 색깔을 갖도록 표시하는 것을 특징으로 하는 네트워크 보안 상황 표시 방법.
  16. 제 12항에 있어서,
    상기 제 1단계는 네트워크 보안 장치들의 보안 이벤트 로그를 실시간으로 모니터링 하고, 일정 시간마다 주기적으로 원시 보안 이벤트 정보를 통합하여 수집하는 과정을 통하여 수행되는 것을 특징으로 하는 것을 특징으로 하는 네트워크 보안 상황 표시 방법.
  17. 제 12항에 있어서,
    상기 제 2단계에서 추출되는 상기 보안 이벤트에 대한 특성 데이터로는 해당 보안 이벤트의 근원지 아이피 주소, 목적지 아이피 주소, 근원지 포트, 목적지 포트 및 프로토콜 정보 중에서 선택되는 어느 하나 이상의 정보를 포함하는 것을 특징으로 하는 네트워크 보안 상황 표시 방법.
  18. 제 12항에 있어서,
    상기 제 3단계는 근원지 아이피 주소와 목적지 아이피 주소는 각각 서로 다른 아이피 주소 맵상에 매핑하는 과정을 통하여 수행되는 것을 특징으로 하는 네트워크 보안 상황 표시 방법.
  19. 제 12항에 있어서,
    상기 제 3단계는 상기 아이피 주소 중에서 첫번째 자리 및 두번째 자리값에 해당하는 아이피 주소 맵상의 2차원 좌표상으로 매핑하는 과정을 통하여 수행되는 것을 특징으로 하는 네트워크 보안 상황 표시 방법.
KR1020060121829A 2006-12-04 2006-12-04 네트워크 보안 상황 표시 장치 및 그 방법 KR100885293B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020060121829A KR100885293B1 (ko) 2006-12-04 2006-12-04 네트워크 보안 상황 표시 장치 및 그 방법
US12/517,091 US8019865B2 (en) 2006-12-04 2007-10-24 Method and apparatus for visualizing network security state
PCT/KR2007/005258 WO2008069442A1 (en) 2006-12-04 2007-10-24 Method and apparatus for visualizing network security state

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060121829A KR100885293B1 (ko) 2006-12-04 2006-12-04 네트워크 보안 상황 표시 장치 및 그 방법

Publications (2)

Publication Number Publication Date
KR20080050919A KR20080050919A (ko) 2008-06-10
KR100885293B1 true KR100885293B1 (ko) 2009-02-23

Family

ID=39492274

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060121829A KR100885293B1 (ko) 2006-12-04 2006-12-04 네트워크 보안 상황 표시 장치 및 그 방법

Country Status (3)

Country Link
US (1) US8019865B2 (ko)
KR (1) KR100885293B1 (ko)
WO (1) WO2008069442A1 (ko)

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009085280A2 (en) * 2007-12-20 2009-07-09 I.D. Rank Security, Inc. Systems and methods for monitoring and management of network security systems
US8448221B2 (en) * 2010-03-12 2013-05-21 Mcafee, Inc. System, method, and computer program product for displaying network events in terms of objects managed by a security appliance and/or a routing device
KR101137694B1 (ko) * 2010-07-12 2012-04-25 주식회사 윈스테크넷 디도스 발생 탐지분석 및 표시를 위한 통합보안관리시스템 및 이에 의한 디도스 발생탐지분석 및 표시방법
JP5803463B2 (ja) * 2011-09-13 2015-11-04 日本電気株式会社 セキュリティイベント監視装置、方法およびプログラム
KR20130039175A (ko) * 2011-10-11 2013-04-19 한국전자통신연구원 내부자 위협 탐지 장치 및 방법
KR101868893B1 (ko) 2012-07-09 2018-06-19 한국전자통신연구원 네트워크 보안 상황 시각화 방법 및 그 장치
KR101429212B1 (ko) 2012-09-13 2014-08-13 한국전자통신연구원 이동체의 군집 주행 서비스 인증 방법 및 그 장치
KR20140075068A (ko) * 2012-12-10 2014-06-19 한국전자통신연구원 화상 통화 영상 변조 장치 및 그 방법
US10409980B2 (en) 2012-12-27 2019-09-10 Crowdstrike, Inc. Real-time representation of security-relevant system state
KR101499116B1 (ko) * 2013-11-28 2015-03-06 한국과학기술정보연구원 보안이벤트 판별 방법 및 이에 적용되는 장치
KR101737914B1 (ko) 2014-06-03 2017-05-19 한국전자통신연구원 네트워크 보안 상황 표시 장치 및 그 방법
US9798882B2 (en) * 2014-06-06 2017-10-24 Crowdstrike, Inc. Real-time model of states of monitored devices
EP3125147B1 (en) * 2015-07-27 2020-06-03 Swisscom AG System and method for identifying a phishing website
WO2017024058A1 (en) 2015-08-03 2017-02-09 Ingalls Information Security Ip, L.L.C. Network security monitoring and correlation system and method of using same
US10491705B2 (en) 2015-09-08 2019-11-26 At&T Intellectual Property I, L.P. Visualization for network virtualization platform
KR101991736B1 (ko) * 2017-09-08 2019-06-24 한국과학기술정보연구원 공격자 상관정보 가시화 방법 및 장치
KR101991737B1 (ko) * 2017-09-08 2019-06-24 한국과학기술정보연구원 공격자 가시화 방법 및 장치
US10432539B2 (en) 2017-12-13 2019-10-01 Micro Focus Llc Network traffic data summarization
US10756992B2 (en) 2017-12-13 2020-08-25 Micro Focus Llc Display of network activity data
KR102127650B1 (ko) * 2018-06-12 2020-06-30 (주)에이알씨엔에스 네트워크 보안상황 와해성 시각화 장치
CN109308576A (zh) * 2018-09-10 2019-02-05 北京唐冠天朗科技开发有限公司 一种城市安全信息管理系统和方法
KR102177998B1 (ko) * 2019-11-28 2020-11-12 (주)시큐레이어 기계 학습 모델에 기반하여 SYN Flood 공격을 탐지하기 위한 학습 방법, 전처리 방법 및 이를 이용한 학습 장치, 전처리 장치
KR102563059B1 (ko) * 2020-11-25 2023-08-04 서울과학기술대학교 산학협력단 사이버 위협 탐지를 위한 그래프 기반 학습 데이터 생성 장치
US11374824B2 (en) 2020-11-27 2022-06-28 At&T Intellectual Property I, L.P. Time-based visualization for network virtualization platform
US11604515B2 (en) 2020-11-27 2023-03-14 At&T Intellectual Property I, L.P. Network virtualization platforms enhanced with non-visual sensory interactivity
KR20230010329A (ko) 2021-07-12 2023-01-19 주식회사 보아스에스이 웹서버와 클라이언트 구성되는 네트워크 시스템의 네트워크 가시화 방법
US20230083443A1 (en) * 2021-09-16 2023-03-16 Evgeny Saveliev Detecting anomalies in physical access event streams by computing probability density functions and cumulative probability density functions for current and future events using plurality of small scale machine learning models and historical context of events obtained from stored event stream history via transformations of the history into a time series of event counts or via augmenting the event stream records with delay/lag information

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040036228A (ko) * 2002-10-24 2004-04-30 한국전자통신연구원 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법
KR20040041980A (ko) * 2002-11-12 2004-05-20 한국전자통신연구원 네트워크에서의 트래픽 행렬 산출 시스템 및 그 방법
KR20040072365A (ko) * 2003-02-12 2004-08-18 박세웅 네트워크 상태 표시 장치 및 그 방법
KR20060042788A (ko) * 2004-11-10 2006-05-15 한국전자통신연구원 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석방법 및 그 장치

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5309564A (en) * 1992-03-19 1994-05-03 Bradley Graham C Apparatus for networking computers for multimedia applications
US5568471A (en) 1995-09-06 1996-10-22 International Business Machines Corporation System and method for a workstation monitoring and control of multiple networks having different protocols
US6282546B1 (en) * 1998-06-30 2001-08-28 Cisco Technology, Inc. System and method for real-time insertion of data into a multi-dimensional database for network intrusion detection and vulnerability assessment
KR100331218B1 (ko) 1999-08-24 2002-04-06 함영호, 유현순 네트워크 품질 분석 시스템 및 이를 이용한 네트워크 품질 분석 방법
US6400766B1 (en) 1999-12-30 2002-06-04 Quikcat.Com, Inc. Method and apparatus for digital video compression using three-dimensional cellular automata transforms
US20020066034A1 (en) 2000-10-24 2002-05-30 Schlossberg Barry J. Distributed network security deception system
KR20030003981A (ko) 2001-07-04 2003-01-14 주식회사 인티 망 관리장치 및 그 방법
KR100638480B1 (ko) 2004-08-06 2006-10-25 학교법인 포항공과대학교 침입 탐지 경고 메시지의 연관성을 이용한 침입 탐지시각화 방법
KR100582555B1 (ko) 2004-11-10 2006-05-23 한국전자통신연구원 네트워크 트래픽 이상 상태 검출/표시 장치 및 그 방법
US7440406B2 (en) 2004-12-29 2008-10-21 Korea University Industry & Academy Cooperation Foundation Apparatus for displaying network status
KR20060076337A (ko) 2004-12-29 2006-07-04 주식회사 팬택 에프티에이를 이용한 불량 데이터 관리 시스템

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040036228A (ko) * 2002-10-24 2004-04-30 한국전자통신연구원 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법
KR20040041980A (ko) * 2002-11-12 2004-05-20 한국전자통신연구원 네트워크에서의 트래픽 행렬 산출 시스템 및 그 방법
KR20040072365A (ko) * 2003-02-12 2004-08-18 박세웅 네트워크 상태 표시 장치 및 그 방법
KR20060042788A (ko) * 2004-11-10 2006-05-15 한국전자통신연구원 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석방법 및 그 장치

Also Published As

Publication number Publication date
US20100100619A1 (en) 2010-04-22
US8019865B2 (en) 2011-09-13
KR20080050919A (ko) 2008-06-10
WO2008069442A1 (en) 2008-06-12

Similar Documents

Publication Publication Date Title
KR100885293B1 (ko) 네트워크 보안 상황 표시 장치 및 그 방법
KR100949803B1 (ko) 아이피 주소 분할 표시 장치 및 방법
KR100925176B1 (ko) 지리 정보를 이용한 네트워크 상태 표시장치 및 방법
Lakkaraju et al. NVisionIP: netflow visualizations of system state for security situational awareness
EP1665011B1 (en) Method and system for displaying network security incidents
Koike et al. Visualizing cyber attacks using IP matrix
EP1742416A1 (en) Methods, computer readable medium and system for analyzing and management of application traffic on networks
JP6441725B2 (ja) ネットワーク情報出力システム及びネットワーク情報出力方法
Fink et al. Visual correlation of host processes and network traffic
D'Amico et al. Information assurance visualizations for specific stages of situational awareness and intended uses: lessons learned
Oline et al. Exploring three-dimensional visualization for intrusion detection
KR100609707B1 (ko) 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석방법 및 그 장치
KR100656352B1 (ko) 네트워크의 보안 관련 이벤트 정보를 표시하는 방법
Lakkaraju et al. NVisionIP: an interactive network flow visualization tool for security
Ohnof et al. IPMatrix: An effective visualization framework for cyber threat monitoring
JP4825979B2 (ja) 通信ログ視覚化装置、通信ログ視覚化方法及び通信ログ視覚化プログラム
Li et al. The research on network security visualization key technology
CN215300664U (zh) 一种基于分布式蜜罐的入侵检测系统
Abad et al. Correlation between netflow system and network views for intrusion detection
Glatz Visualizing host traffic through graphs
JP6691592B2 (ja) ネットワーク情報出力システム及びネットワーク情報出力方法
Fligg et al. Network security visualization
WO2019123449A1 (en) A system and method for analyzing network traffic
Song et al. Visualization of intrusion detection alarms collected from multiple networks
WO2019070216A2 (en) FIREWALL EFFECTIVENESS MEASUREMENT WITH MULTIPORT INTRUSION DETECTION SYSTEM

Legal Events

Date Code Title Description
A201 Request for examination
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
J201 Request for trial against refusal decision
B701 Decision to grant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130205

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20140123

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20150126

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20160127

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20170124

Year of fee payment: 9

LAPS Lapse due to unpaid annual fee