KR100935861B1 - 네트워크 보안 위험도 예측 방법 및 장치 - Google Patents

네트워크 보안 위험도 예측 방법 및 장치 Download PDF

Info

Publication number
KR100935861B1
KR100935861B1 KR1020070115084A KR20070115084A KR100935861B1 KR 100935861 B1 KR100935861 B1 KR 100935861B1 KR 1020070115084 A KR1020070115084 A KR 1020070115084A KR 20070115084 A KR20070115084 A KR 20070115084A KR 100935861 B1 KR100935861 B1 KR 100935861B1
Authority
KR
South Korea
Prior art keywords
network
security
information
management network
prediction
Prior art date
Application number
KR1020070115084A
Other languages
English (en)
Other versions
KR20090048955A (ko
Inventor
윤주범
백승현
박인성
이은영
손기욱
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020070115084A priority Critical patent/KR100935861B1/ko
Priority to US12/103,069 priority patent/US8839440B2/en
Publication of KR20090048955A publication Critical patent/KR20090048955A/ko
Application granted granted Critical
Publication of KR100935861B1 publication Critical patent/KR100935861B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 외부 네트워크로부터 관리 네트워크로 전송되는 트래픽 정보 및 침입 탐지 정보를 수집하는 보안 정보 수집부, 보안업체 네트워크로부터 전송되는 악성 코드 정보를 수집하는 악성 코드 정보 수집부, 보안 정보 수집부에 수집된 정보를 시계열 데이터로 변환하는 시계열 데이터 변환부, 보안 정보 수집부에 수집된 정보를 이용하여 관리 네트워크의 트래픽 분포를 파악하는 네트워크 트래픽 분석부 및 시계열 데이터 변환부 및 네트워크 트래픽 분석부에서 분석된 정보와 악성 코드 정보 수집부에서 수집된 정보를 이용하여 관리 네트워크의 보안 정보를 예측하는 보안 예측 엔진을 포함하는 네트워크 보안 위험도 예측 장치를 제공할 수 있다.
보안 위험도, 악성 코드, 예측, 예보

Description

네트워크 보안 위험도 예측 방법 및 장치{Apparatus and Method for forecasting security threat level of network}
본 발명은 네트워크 보안 위험도 예측 방법 및 장치에 관한 것이다. 특히 본 발명은 관리하는 네트웍에서 발생하는 트래픽 정보 및 외부에서 발생된 악성코드 정보를 수집하여 일기예보와 같이 관리하는 네트워크에 예상되는 보안 위험도를 예보하는 방법 및 장치에 관한 것이다.
최근 인터넷 등 정보통신 기술의 빠른 성장으로 컴퓨터 해킹, 바이러스, 웜 그리고 트로이 목마 등의 사이버위협이 커지고 있다. 이와 같은 사이버위협에 대해 침입탐지시스템(IPS: Intrusion Detection System), 침입차단시스템(IDS: Intrusion Prevention System), 관제시스템, 통합보안관리시스템(ESM : Enterprise Security Management) 등이 존재하지만, 이러한 것들은 현재의 공격을 탐지하거나 현재의 네트워크 상태 정보만을 제공하고 있는 수준이었다. 그러나 이러한 정보는 사후의 정보이기 때문에 사고를 미연에 방지하거나 관리자나 사용자로 하여금 충분 히 대처할 수 있도록 하는데 어려움이 있었다. 또한, 상기의 사이버위협에 관한 정보들은 기상 특보와 같은 상황만을 전달하여 실제 컴퓨터 사용자들이 궁금해 하는 네트워크 속도라든지, 네트워크 공격 위험도에 대한 내용은 담고 있지 않았다.
이에 대하여 기상 예보와 같이 가까운 미래에 대하여 악성코드(웜·바이러스) 위험도, 네트워크 속도(네트워크 트래픽 양), 침입시도 근원지, 침입탐지이벤트 건수, 네트워크 공격 발생 확률 등에 관한 정보를 컴퓨터 및 네트워크 사용자에게 미리 알려준다면 사용자가 대비하고 조치하는데 도움이 될 것이다. 그러나 현재 네트워크의 침입탐지 및 침입방지, 네트워크 관제, 통합보안관리, 사이버위협 조기경보 등의 기술은 있지만 사이버위협에 대해서 예측하여 미리 예보하는 기술은 아직까지 존재하고 있지 않다.
본 발명은 상기한 종래의 문제를 해결하기 위한 것으로서, 본 발명의 목적은 관리하는 네트워크 지점에서의 네트워크 공격 발생 확률을 예측하여 사용자에게 정보를 제공하여 사전에 대비할 수 있는 네트워크 보안 위험도 예측 방법 및 장치를 제공하는 것이다.
상술한 목적들을 달성하기 위하여, 본 발명의 일 측면에 따르면 인외부 네트워크로부터 관리 네트워크로 전송되는 트래픽 정보 및 침입 탐지 정보를 수집하는 보안 정보 수집부, 보안업체 네트워크로부터 전송되는 악성 코드 정보를 수집하는 악성 코드 정보 수집부, 상기 보안 정보 수집부에 수집된 정보를 시계열 데이터로 변환하는 시계열 데이터 변환부, 상기 보안 정보 수집부에 수집된 정보를 이용하여 상기 관리 네트워크의 트래픽 분포를 파악하는 네트워크 트래픽 분석부 및 상기 시계열 데이터 변환부 및 상기 네트워크 트래픽 분석부에서 분석된 정보와 상기 악성 코드 정보 수집부에서 수집된 정보를 이용하여 관리 네트워크의 보안 정보를 예측하는 보안 예측 엔진를 포함하는 네트워크 보안 위험도 예측 장치를 제공할 수 있다.
바람직한 실시예에 있어서, 상기 보안 예측 엔진은 상기 관리 네트워크에서 악성코드가 발생할 위험도를 예측하는 악성코드 위험도 예측부, 상기 관리 네트워 크가 공격을 받을 위험도를 예측하는 공격 확률 예측부, 상기 관리 네트워크의 트래픽 양 및 전송 속도를 예측하는 트래픽 예측부, 상기 관리 네트워크에 침입할 수 있는 근원지를 예측하는 근원지 예측부 및 상기 관리 네트워크에 침입 시도 횟수를 예측하는 침입 탐지 횟수 예측부를 포함할 수 있다. 또한, 상기 보안 예측 엔진은 시계열 예측 모델 및 마코브(Markov) 체인 모델 중 어느 한 모델을 이용하는 것을 특징으로 할 수 있다. 또한, 상기 보안 예측 엔진에서 예측된 결과를 표시하는 표시부를 더 포함할 수 있다.
또한, 상기 보안 예측 엔진의 예측 결과, 상기 시계열 데이터 변환부의 변환 결과, 상기 네트워크 트래픽 분석부의 분석 결과, 상기 악성 코드 정보 수집부의 수집 결과 및 상기 보안 정보 수집부의 수집 결과를 모두 저장하는 데이터베이스를 더 포함할 수 있다.
본 발명의 다른 일 측면을 참조하면, 외부 네트워크로부터 관리 네트워크로 전송되는 트래픽 정보 및 침입 탐지 정보를 수집하고, 보안업체 네트워크로부터 전송되는 악성 코드 정보를 수집하는 단계, 상기 수신된 트래픽 정보를 시계열 데이터로 변환하고, 상기 트래픽 정보를 이용하여 상기 관리 네트워크의 트래픽 분포를 파악하는 단계, 미리 결정된 데이터 분석 유형에 상응하여 상기 시계열 데이터 및 상기 관리 네트워크 트래픽 분포 데이터의 분석 유형을 결정하는 단계, 상기 결정된 분석 유형에 상응하여 시계열 예측 알고리즘 또는 마코브 체인 예측 알고리즘을 수행하는 단계 및 상기 수행된 시계열 예측 알고리즘 또는 마코브 체인 예측 알고 리즘의 결과를 분석하여 관리 네트워크의 보안 취약점에 대한 공격을 예측하는 단계를 포함할 수 있다. 또한, 상기 악성 코드 정보는 웹 로봇을 이용하여 수집하는 것을 특징으로 할 수 있다.
또한, 상기 시계열 예측 알고리즘은 상기 시계열 데이터를 수신하는 단계, 상기 수신된 시계열 데이터에 상응하여 시계열 예측 모델을 형성하는 단계, 상기 형성된 시계열 예측 모델을 이용하여 네트워크 보안 위험도를 분석 예측하는 단계, 상기 분석 예측 결과와 실제 데이터의 오차값을 분석하는 단계, 상기 오차값이 기준 범위 이내이면 상기 시계열 데이터를 이용하여 상기 시계열 예측 모델을 실제로 적용하는 단계를 포함할 수 있다. 또한, 상기 마코브 체인 예측 알고리즘은 수신된 시계열 데이터의 상태를 정의하는 단계, 상기 정의된 상태에 상응하는 전이 확률을 생성하는 단계, 상기 생성된 전이 확률에 상응하여 전이 행렬을 생성하는 단계, 상기 생성된 전이 행렬 및 가장 최근의 상태에 상응하여 미래 상태를 예측하는 단계 및 상기 예측된 미래 상태를 분석하여 유의미한 값으로 결정하는 단계를 포함할 수 있다.
또한, 상기 시계열 예측 모델은 아리마(ARIMA) 모델 및 홀트-윈터(Holt-Winter's) 모델인 것을 특징으로 할 수 있다. 또한, 상기 네트워크의 보안 취약점에 대한 공격 예측은 관리하는 네트워크가 공격을 받을 위험도, 관리하는 네트워크의 트래픽 양 및 전송 속도, 관리하는 네트워크에 침입 할 수 있는 근원지 및 관리하는 네트워크에 침입 시도 횟수를 예측하는 것 중 어느 하나 인 것을 특징으로 할 수 있다.
본 발명은 관리하는 네트워크 지점에서의 네트워크 공격 발생 확률을 예측하여 사용자에게 정보를 제공하여 사전에 대비할 수 있는 네트워크 보안 위험도 예측 방법 및 장치를 제공할 수 있다.
이하 첨부된 도면을 참조하여 본 발명에 따른 네트워크 보안 위험도 예측 방법 및 장치에 대하여 상세히 설명한다.
도 1은 본 발명이 적용되는 네트워크 보안 위험도 예측 장치의 구성을 나타낸 도면이다.
도 1을 참조하면 본 발명에 따른 네트워크 보안 위험도 예측 장치(100)는 보안 예측 엔진(101), 표시부(103), 시계열 데이터 변환부(105), 네트워크 트래픽 분석부(107), 데이터베이스(109), 악성코드 정보 수집부(111) 및 보안 정보 수집부(113)를 포함한다.
보안 예측 엔진(101)은 본 발명의 핵심적인 부분으로 데이터베이스에 저장된 네트워크 트래픽 분석값 및 시계열 데이터 변환 값을 이용하여, 관리하는 네트워크(110)의 보안 위험도나 공격 상황을 예측하는 기능을 담당한다. 이러한 보안 예측 엔진(101)은 시계열 예측 알고리즘이나 마코브(Markov) 체인 예측 알고리즘을 이용할 수 있다.
표시부(103)는 상기 보안 예측 엔진(101)에서 예측된 결과를 관리 네트워크(110)의 요청에 따라서 표시하는 역할을 담당한다. 이러한 표시부(103)는 예측된 결과를 그래프나 도표 등을 이용하여 표시하여, 마치 일기 예보와 같이 직관적으로 보안 위험도 예측을 인식할 수 있도록 한다.
시계열 데이터 변환부(105)는 데이터베이스(109)에 저장된 관리 네트워크 트래픽 정보와 침입 탐지 정보를 시계열적인 순서로 정렬하여 변환하는 역할을 담당한다. 이렇게 변환된 데이터는 데이터베이스(109)에 다시 저장되며, 상기 저장된 데이터는 보안 예측 엔진(101)에서 보안 예측을 할 때 다시 사용된다.
네트워크 트래픽 분석부(107)는 데이터베이스(109)에 저장된 관리 네트워크 트래픽 정보와 침입 탐지 정보를 분석하여 인터넷 네트워크의 트래픽 분포 추이를 파악하는 역할을 담당한다. 이렇게 파악된 데이터도 보안 예측 엔진(101)에서 보안 예측을 할 때 다시 사용된다.
데이터베이스(109)는 본 발명에 따른 장치의 각 부분에서 추출하고 수집하고 도출해낸 결과를 모두 저장하는 부분이다.
악성코드 정보 수집부(111)는 외부에 존재하는 보안 업체의 네트워크(130)를 검색하여 새로운 악성코드나 보안 취약점이 발견되었는지를 검색하여 수집하는 부분이다. 이러한 악성 코드 정보 수집부(111)는 일반적으로 보안 업체의 네트워크 게시판 등에서 공지되는 신규 바이러스 출현, 신규 취약점 출현 정보를 웹 로봇을 이용하여 검색하고, 그 결과를 데이터베이스(109)에 저장한다.
보안 정보 수집부(113)는 관리 네트워크의 주요 지점으로부터 네트워크 트래 픽 정보와 침입 탐지 정보를 검색하여 수집하는 부분이다. 이러한 보안 정보 수집부(113)는 관리 네트워크(110)의 보안 관련된 주요 정보를 수집하는 역할을 담당한다.
도 2는 본 발명에 따른 보안 예측 엔진의 내부 구성을 나타내는 도면이다.
도 2를 참조하면, 본 발명에 따른 보안 예측 엔진은 악성 코드 위험도 예측부(201), 침입 시도 근원지 예측부(203), 침입 탐지 횟수 예측부(205), 네트워크 트래픽 예측부(207) 및 네트워크 공격 확률 예측부(209)를 포함한다.
악성 코드 위험도 예측부(201)는 수집된 악성 코드 정보를 바탕으로 시계열 예측 모델 및 마코브 체인 모델 중 어느 한 모델을 선택적으로 사용하여 관리하는 네트워크에 악성 코드가 미칠 수 있는 위험도를 예측하는 부분이다. 이러한 악성 코드의 위험도는 발생 빈도, 악성 코드에 감염되었을 경우의 위험도 등을 몇 가지 단계로 나눠서 예측할 수 있다.
침입 시도 근원지 예측부(203)는 수집된 침입 탐지 데이터를 이용하여 침입한 근원지의 IP를 분석하여 국가별, 지역별로 분석하고, 미래에 관리 네트워크에 침입할 확률이 높은 근원지를 분석하여 예측하는 역할을 담당한다. 즉, 관리하는 네트워크에 특정 지역이나 국가로부터의 침입 시도 횟수를 IP를 기반으로 분석하여 미래에 침입시도 할 지역이나 국가를 예측하는 방식이다.
침입 탐지 횟수 예측부(205)는 수집된 침입 탐지 데이터를 바탕으로 시계열 예측 모델 및 마코브 체인 모델 중 어느 한 모델을 선택적으로 사용하여 관리 네트 워크에 공격이 예상되는 경우 침입될 횟수를 예측하는 역할을 담당한다.
네트워크 트래픽 예측부(207)는 분석된 관리 네트워크의 트래픽 정보를 바탕으로 시계열 예측 모델 및 마코브 체인 모델 중 어느 한 모델을 선택적으로 사용하여 관리 네트워크의 트래픽 속도를 예측하는 역할을 담당한다.
네트워크 공격 확률 예측부(209)는 분석된 관리 네트워크의 트래픽 정보를 바탕으로 시계열 예측 모델 및 마코브 체인 모델 중 어느 한 모델을 선택적으로 사용하여 관리 네트워크에서 보안 취약점을 공격받을 확률을 예측하는 역할을 담당한다. 즉 과거의 시계열 공격 확률을 바탕으로 미래의 공격 가능성을 확률로서 구하는 것이다.
이러한 악성 코드 위험도 예측부(201), 침입 시도 근원지 예측부(203), 침입 탐지 횟수 예측부(205), 네트워크 트래픽 예측부(207) 및 네트워크 공격 확률 예측부(209)에서 예측된 값들을 이용하면, 관리 네트워크의 사용자가 일반적으로 궁금해 하는 보안 위험도의 정보를 마치 일기예보와 같이 예측 하여 예보할 수 있다.
도 3은 본 발명의 보안 예측 엔진에서 보안 위험도 정보를 예측하는 방법을 나타내는 도면이다.
도 3을 참조하면, 우선 데이터베이스로부터 필요한 데이터를 입력받는다(단계 301). 이러한 데이터는 보안 정보 수집부, 악성코드 정보 수집부, 시계열 데이터 변환부 및 네트워크 트래픽 분석부에서 저장된 정보들로서, 보안 예측 엔진에서 예측할 예측 대상에 따라 필요한 정보를 선택적으로 입력받을 수 있다.
그런 다음, 상기 입력받은 데이터를 분석할 때 어떠한 분석 모델을 사용할지를 입력받는다(단계 303). 상기 도면 2의 설명에서 확인할 수 있는 바와 같이 보안 예측 엔진에 속하는 각종 예측부에서 예측을 위해 사용하는 모델은 시계열 예측 모델이나 마코브 체인 모델 중 어느 한 모델을 선택적으로 사용하므로 예측부에서 사용할 모델의 유형을 무엇으로 할지 그 결정을 입력받게 된다.
그 후, 분석 유형이 결정되었는지 확인하여(단계305), 만약 시계열 예측 알고리즘이 선택되었다면 시계열 예측 모델을 이용한 시계열 예측 알고리즘을 수행(단계 309)하고, 마코브 체인 예측 알고리즘이 선택되었다면 마코브 체인 예측 모델을 이용한 예측을 수행한다(단계 307).
상기의 시계열 예측 알고리즘의 순서 및 마코브 체인 예측 알고리즘의 순서는 도 5 및 도 6에서 더 자세하게 설명하도록 한다.
그런 다음, 선택된 알고리즘을 수행한 결과를 데이터베이스에 저장하고(단계 311), 그 결과를 관리 네트워크의 사용자의 요청에 따라 도표나 그림을 포함하여 출력한다(단계 313).
도 4는 본 발명에 따른 네트워크 보안 위험도 예측 방법을 전체적으로 설명하는 도면이다.
도 4를 참조하면, 우선 관리하는 네트워크 관련 데이터 및 악성 코드 정보를 수집한다(단계 401).
상기 단계에서 수집하는 네트워크 관련 데이터는 관리 네트워크의 주요 지점 에서 검색한 네트워크 트래픽 정보, 침입 탐지 정보 등을 포함하며, 악성 코드 정보는 인터넷 보안 업체 네트워크로부터 검색된 신규 악성 코드 발생 정보 등을 포함한다.
그런 다음 상기 검색된 네트워크 데이터와 악성 코드 정보에 상응하여 시계열 데이터 변환 및 네트워크 트래픽을 분석한다(단계 403). 여기서 시계열 데이터 변환은 검색된 네트워크 데이터의 트래픽 정보나 침입 탐지정보 등을 시간 순서로 재정열하여 변형하는 것을 의미하며 네트워크 트래픽 분석은 검색된 네트워크 데이터의 트래픽 정보를 분석하여 네트워크의 트래픽 추이를 분석하는 것을 말한다.
그 후, 변환된 데이터를 분석하고(단계405), 보안 위험도를 예상하기에 적당한 예측 모델을 결정한다(단계 407). 본 발명의 예시에서 사용되는 예측 모델은 마코브 체인 예측 모델과 시계열 예측 모델이 사용된다. 보안 위험도를 예상하기 위해서는 여러 가지 예측이 필요하고 그 예측은 각각 서로 다른 모델을 사용할 수 있어 각 예측에 적당한 모델을 결정하여 그 모델에 의하여 보안 위험도를 예상한다.
결정된 예측 모델에 따라 마코브 모델에 의하여 데이터를 분석하거나(단계409), 혹은 시계열 모델에 따라 데이터를 분석한다(단계411).
그런 다음 각 모델에 따른 결과를 분석하여 보안 위험도를 예측하고(단계 413), 그 결과를 데이터베이스에 저장한다(단계 415).
그런 다음 관리 네트워크의 사용자가 예측결과를 요청하면(단계417), 그 결과를 데이터베이스로부터 추출하여 사용자에게 표시한다(단계 419).
도 5는 본 발명에서 적용되는 시계열 예측 모델에 의하여 보안 위험도를 예측하는 방법을 나타내는 도면이다.
도 5를 참조하면, 우선 데이터베이스에 저장된 시계열 데이터를 수신한다(단계 501). 이러한 시계열 데이터는 시계열 데이터 변환부에서 변환하여 저장한 것이다. 그런 다음, 상기 수신된 시계열 데이터를 이용하여 시계열 분석 기법을 이용하여 시계열 예측 모델을 생성한다(단계 503).
그런 다음 상기 생성된 시계열 예측 모델에 수신된 데이터 값을 대입하여 값을 예측한다(단계 505). 그 결과를 이미 가지고 있는 실제 데이터 값과 비교하여 분석한다(단계 507). 이럴 경우 예를 들어 예측 모델에 적용한 시계열 데이터는 이미 결과가 결정된 과거의 값일 수 있다.
그 후, 실제 데이터 값과의 오차가 미리 설정된 오차 범위 이내라면 (단계 509). 상기 예측 모델을 실제 데이터에 적용한다(단계511). 그러면 실제 데이터를 적용한 예측 모델에서 예측 값이 출력되고 그 결과를 데이터베이스에 저장한다(단계 513). 그런 다음 사용자가 예측 값을 보기를 종료하면(단계515), 프로세스를 모두 종료한다(단계 517). 한 편 오차가 기준값 이상이거나, 사용자가 프로세스를 종료시키지 않으면 미리 설정된 주기 동안 예측 프로세스를 진행시키지 않고 휴면 한 다음 다시 처음부터 단계를 진행한다(단계519).
도 6은 본 발명에 적용되는 마코브 체인 예측 모델을 이용하여 보안 위험도를 예측하는 방법을 나타내는 도면이다.
도 6을 참조하면, 우선 데이터베이스로부터 입력된 시계열 데이터를 적당한 구간으로 나누어 상태(state)를 설정하고 설정된 상태로 데이터를 변환한다(단계601). 이러한 경우 예를 들어 1 내지 100의 값이 존재한다면 1내지 33은 제1 상태 , 34내지 66은 제2 상태, 67 내지 100은 제3 상태로 정의하는 것이다.
그런 다음 상기에서 생성된 상태 데이터를 이용하여 전이 확률을 생성한다(단계603). 그런 다음 생성된 전이 확률을 이용하여 전이 행렬을 생성한다(단계605).
이렇게 전이 행렬이 구해지면 구해진 전이 행렬과 가장 최근의 상태를 바탕으로 하여 미래 상태를 예측한다(단계 607). 그런 다음 미래 상태의 예측이 완료되면 예측된 상태를 해석하여 의미 있는 값을 구한다. 예를 들어 예측된 상태가 상태 3이 나왔다면, 제3 상태의 값은 67 내지 100의 값이므로, 그 중간 값인 83.5 정도로 그 상태를 해석할 수 있다.
본 발명은 상기 실시예에 한정되지 않으며, 많은 변형이 본 발명의 사상 내에서 당 분야에서 통상의 지식을 가진 자에 의하여 가능함은 물론이다.
도 1은 본 발명이 적용되는 네트워크 보안 위험도 예측 장치의 구성을 나타낸 도면.
도 2는 본 발명에 따른 보안 예측 엔진의 내부 구성을 나타내는 도면.
도 3은 본 발명의 보안 예측 엔진에서 보안 위험도 관련 정보를 예측하는 방법을 나타내는 도면.
도 4는 본 발명에 따른 네트워크 보안 위험도 예측 방법을 전체적으로 설명하는 도면.
도 5는 본 발명에서 적용되는 시계열 예측 모델에 의하여 보안 위험도를 예측하는 방법을 나타내는 도면.
도 6은 본 발명에 적용되는 마코브 체인 예측 모델을 이용하여 보안 위험도를 예측하는 방법을 나타내는 도면.
<도면의 주요 부분에 대한 부호의 설명>
100 : 보안 위험도 예측 장치 101 : 보안 예측 엔진
103 : 표시부 105 : 시계열 데이터 변환부
107 : 네트워크 트래픽 분석부 109 : 데이터베이스
111 : 악성코드 정보 수집부 113 : 보안 정보 수집부

Claims (11)

  1. 외부 네트워크로부터 관리 네트워크로 전송되는 트래픽 정보 및 침입 탐지 정보를 수집하는 보안 정보 수집부;
    보안업체 네트워크로부터 전송되는 악성 코드 정보를 수집하는 악성 코드 정보 수집부;
    상기 보안 정보 수집부에 수집된 정보를 시계열 데이터로 변환하는 시계열 데이터 변환부;
    상기 보안 정보 수집부에 수집된 정보를 이용하여 상기 관리 네트워크의 트래픽 분포를 파악하는 네트워크 트래픽 분석부 및
    상기 시계열 데이터 변환부 및 상기 네트워크 트래픽 분석부에서 분석된 정보와 상기 악성 코드 정보 수집부에서 수집된 정보를 이용하여 관리 네트워크의 보안 정보를 예측하는 보안 예측 엔진을 포함하되,
    상기 관리 네트워크의 보안 정보는 상기 관리 네트워크에서 악성코드가 발생할 위험도, 상기 관리 네트워크가 공격을 받을 위험도, 상기 관리 네트워크의 트래픽 양 및 전송 속도, 상기 관리 네트워크에 침입할 수 있는 근원지 정보, 상기 관리 네트워크에 침입 시도 횟수를 포함하고,
    상기 보안 예측 엔진은 상기 관리 네트워크의 보안 정보를 예측하는데 마코브(Markov)체인 모델을 사용하는 것을 특징으로 하는 네트워크 보안 위험도 예측 장치.
  2. 제1항에 있어서, 상기 보안 예측 엔진은
    상기 관리 네트워크에서 악성코드가 발생할 위험도를 예측하는 악성코드 위험도 예측부;
    상기 관리 네트워크가 공격을 받을 위험도를 예측하는 네트워크 공격 확률 예측부;
    상기 관리 네트워크의 트래픽 양 및 전송 속도를 예측하는 네트워크 트래픽 예측부;
    상기 관리 네트워크에 침입할 수 있는 근원지를 예측하는 침입 시도 근원지 예측부 및
    상기 관리 네트워크에 침입 시도 횟수를 예측하는 침입 탐지 횟수 예측부
    를 포함하는 네트워크 보안 위험도 예측 장치.
  3. 삭제
  4. 제1항에 있어서, 상기 보안 예측 엔진에서 예측된 결과를 표시하는 표시부를 더 포함하는 네트워크 보안 위험도 예측 장치.
  5. 제1항에 있어서,
    상기 보안 예측 엔진의 예측 결과, 상기 시계열 데이터 변환부의 변환 결과, 상기 네트워크 트래픽 분석부의 분석 결과, 상기 악성 코드 정보 수집부의 수집 결과 및 상기 보안 정보 수집부의 수집 결과를 모두 저장하는 데이터베이스를 더 포함하는 네트워크 보안 위험도 예측 장치.
  6. 외부 네트워크로부터 관리 네트워크로 전송되는 트래픽 정보 및 침입 탐지 정보를 수집하고, 보안업체 네트워크로부터 전송되는 악성 코드 정보를 수집하는 단계;
    상기 수신된 트래픽 정보를 시계열 데이터로 변환하고, 상기 트래픽 정보를 이용하여 상기 관리 네트워크의 트래픽 분포를 파악하는 단계;
    상기 관리 네트워크 트래픽 분포 데이터 및 상기 수집된 악성 코드 정보를 마코브 체인 예측 알고리즘에 따라 분석하여 관리 네트워크의 보안 정보를 예측하는 단계를 포함하되,
    상기 관리 네트워크의 보안 정보는 상기 관리 네트워크에서 악성코드가 발생할 위험도, 상기 관리 네트워크가 공격 받을 위험도, 상기 관리 네트워크의 트래픽 양 및 전송 속도, 상기 관리 네트워크에 침입할 수 있는 근원지 정보, 상기 관리 네트워크에 침입 시도 횟수를 포함하는 상기 관리 네트워크의 보안 취약점에 대한 공격을 예측하는 단계
    를 포함하는 네트워크 보안 위험도 예측 방법.
  7. 제6항에 있어서,
    상기 악성 코드 정보는 웹 로봇을 이용하여 수집하는 것을 특징으로 하는 네트워크 보안 위험도 예측 방법.
  8. 삭제
  9. 제6항에 있어서,
    상기 마코브 체인 예측 알고리즘은
    수신된 시계열 데이터의 상태를 정의하는 단계;
    상기 정의된 상태에 상응하는 전이 확률을 생성하는 단계;
    상기 생성된 전이 확률에 상응하여 전이 행렬을 생성하는 단계;
    상기 생성된 전이 행렬 및 가장 최근의 상태에 상응하여 미래 상태를 예측하는 단계 및
    상기 예측된 미래 상태를 분석하여 유의미한 값으로 결정하는 단계
    를 포함하는 네트워크 보안 위험도 예측 방법.
  10. 삭제
  11. 삭제
KR1020070115084A 2007-11-12 2007-11-12 네트워크 보안 위험도 예측 방법 및 장치 KR100935861B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020070115084A KR100935861B1 (ko) 2007-11-12 2007-11-12 네트워크 보안 위험도 예측 방법 및 장치
US12/103,069 US8839440B2 (en) 2007-11-12 2008-04-15 Apparatus and method for forecasting security threat level of network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070115084A KR100935861B1 (ko) 2007-11-12 2007-11-12 네트워크 보안 위험도 예측 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20090048955A KR20090048955A (ko) 2009-05-15
KR100935861B1 true KR100935861B1 (ko) 2010-01-07

Family

ID=40625037

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070115084A KR100935861B1 (ko) 2007-11-12 2007-11-12 네트워크 보안 위험도 예측 방법 및 장치

Country Status (2)

Country Link
US (1) US8839440B2 (ko)
KR (1) KR100935861B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102589096B1 (ko) * 2023-04-19 2023-10-16 한화시스템(주) 사이버 지휘통제 의사결정 지원 장치 및 방법

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8959624B2 (en) * 2007-10-31 2015-02-17 Bank Of America Corporation Executable download tracking system
KR100981128B1 (ko) * 2008-06-11 2010-09-10 포항공과대학교 산학협력단 사용 패턴에 기반한 이동 통신 단말기의 배터리 사용 가능시간 예측 방법
US8472328B2 (en) * 2008-07-31 2013-06-25 Riverbed Technology, Inc. Impact scoring and reducing false positives
GB0909079D0 (en) * 2009-05-27 2009-07-01 Quantar Llp Assessing threat to at least one computer network
KR101039717B1 (ko) 2009-07-07 2011-06-09 한국전자통신연구원 사이버위협을 예측하기 위한 사이버위협 예측 엔진 시스템 및 상기 시스템을 이용한 사이버위협 예측 방법
US8793789B2 (en) 2010-07-22 2014-07-29 Bank Of America Corporation Insider threat correlation tool
US9038187B2 (en) * 2010-01-26 2015-05-19 Bank Of America Corporation Insider threat correlation tool
US8782209B2 (en) * 2010-01-26 2014-07-15 Bank Of America Corporation Insider threat correlation tool
US8800034B2 (en) 2010-01-26 2014-08-05 Bank Of America Corporation Insider threat correlation tool
US8782794B2 (en) 2010-04-16 2014-07-15 Bank Of America Corporation Detecting secure or encrypted tunneling in a computer network
US8544100B2 (en) 2010-04-16 2013-09-24 Bank Of America Corporation Detecting secure or encrypted tunneling in a computer network
US9762605B2 (en) 2011-12-22 2017-09-12 Phillip King-Wilson Apparatus and method for assessing financial loss from cyber threats capable of affecting at least one computer network
US9060269B2 (en) 2010-12-15 2015-06-16 At&T Intellectual Property I, L.P. Optimization of cellular network architecture based on device type-specific traffic dynamics
US8839404B2 (en) * 2011-05-26 2014-09-16 Blue Coat Systems, Inc. System and method for building intelligent and distributed L2-L7 unified threat management infrastructure for IPv4 and IPv6 environments
US8346774B1 (en) 2011-08-08 2013-01-01 International Business Machines Corporation Protecting network entity data while preserving network properties
US20130117867A1 (en) * 2011-11-06 2013-05-09 Hei Tao Fung Theft Prevention for Networked Robot
US8930800B2 (en) * 2012-08-14 2015-01-06 GM Global Technology Operations LLC Method and apparatus of triple-decoding for IEEE 802.11p physical layer mechanism
EP2947595A4 (en) * 2013-01-21 2016-06-08 Mitsubishi Electric Corp ATTACK ANALYSIS SYSTEM, COORDINATION DEVICE, ATTACK ANALYSIS COORDINATION PROCEDURE AND PROGRAM
US9043922B1 (en) * 2013-04-19 2015-05-26 Symantec Corporation Systems and methods for determining malicious-attack exposure levels based on field-data analysis
EP3100197A4 (en) * 2014-01-29 2017-08-30 Hewlett-Packard Enterprise Development LP Predictive analytics utilizing real time events
US9680855B2 (en) * 2014-06-30 2017-06-13 Neo Prime, LLC Probabilistic model for cyber risk forecasting
US9225738B1 (en) * 2014-06-30 2015-12-29 Emc Corporation Markov behavior scoring
US9356969B2 (en) * 2014-09-23 2016-05-31 Intel Corporation Technologies for multi-factor security analysis and runtime control
US10057283B2 (en) 2015-02-17 2018-08-21 Accenture Global Solutions Limited Volumetric event forecasting tool
US10104106B2 (en) * 2015-03-31 2018-10-16 Juniper Networks, Inc. Determining internet-based object information using public internet search
US10148678B2 (en) * 2015-10-01 2018-12-04 The Boeing Company Cybersecurity system with differentiated capacity to deal with complex cyber attacks
US10609079B2 (en) * 2015-10-28 2020-03-31 Qomplx, Inc. Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management
US9471778B1 (en) 2015-11-30 2016-10-18 International Business Machines Corporation Automatic baselining of anomalous event activity in time series data
US9860268B2 (en) * 2016-02-09 2018-01-02 International Business Machines Corporation Detecting and predicting cyber-attack phases in data processing environment regions
US9866580B2 (en) * 2016-02-09 2018-01-09 International Business Machines Corporation Forecasting and classifying cyber-attacks using neural embeddings
US10333968B2 (en) * 2016-02-10 2019-06-25 Verisign, Inc. Techniques for detecting attacks in a publish-subscribe network
US10264009B2 (en) * 2016-07-26 2019-04-16 Booz Allen Hamilton Inc. Automated machine learning scheme for software exploit prediction
US10558767B1 (en) * 2017-03-16 2020-02-11 Amazon Technologies, Inc. Analytical derivative-based ARMA model estimation
US9930062B1 (en) 2017-06-26 2018-03-27 Factory Mutual Insurance Company Systems and methods for cyber security risk assessment
KR101872406B1 (ko) * 2017-08-18 2018-06-28 국방과학연구소 악성코드들의 위험도를 정량적으로 결정하는 장치 및 방법
CN109936545B (zh) * 2017-12-18 2020-07-24 华为技术有限公司 暴力破解攻击的检测方法和相关装置
US11252046B2 (en) * 2018-12-14 2022-02-15 Juniper Networks, Inc. System for identifying and assisting in the creation and implementation of a network service configuration using Hidden Markov Models (HMMs)
US10546135B1 (en) * 2019-03-06 2020-01-28 SecurityScorecard, Inc. Inquiry response mapping for determining a cybersecurity risk level of an entity
US11632386B2 (en) * 2019-07-19 2023-04-18 Rochester Institute Of Technology Cyberattack forecasting using predictive information
US11790082B2 (en) * 2021-05-25 2023-10-17 International Business Machines Corporation Reasoning based workflow management
KR102384542B1 (ko) 2021-11-09 2022-04-08 주식회사 이글루시큐리티 위험도 분포의 상세 분석을 통한 종합 위험도 분석 방법, 장치 및 프로그램
KR102584160B1 (ko) * 2023-06-28 2023-10-05 주식회사 이글루코퍼레이션 마이터 어택 프레임워크를 활용한 네트워크 보안 선제적자동 대응 서버, 방법 및 프로그램

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006238043A (ja) * 2005-02-24 2006-09-07 Mitsubishi Electric Corp ネットワーク異常検出装置
KR100625096B1 (ko) * 2006-03-27 2006-09-15 주식회사 윈스테크넷 트래픽 변화량과 해킹 위협률의 상호 연관성 분석에 기초한예경보 방법 및 그 시스템

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE191112T1 (de) * 1995-02-02 2000-04-15 Cabletron Systems Inc Verfahren und anordnung zum lernen von verhaltentrends von netzwerken und vorhersagen des zukünftigen verhaltens von datenübertagungsnetzwerken
US20070118899A1 (en) * 2002-05-17 2007-05-24 Satyam Computer Services Limited Of Mayfair Centre System and method for automated safe reprogramming of software radios
US6952779B1 (en) * 2002-10-01 2005-10-04 Gideon Cohen System and method for risk detection and analysis in a computer network
US7681235B2 (en) * 2003-05-19 2010-03-16 Radware Ltd. Dynamic network protection
US7751325B2 (en) * 2003-08-14 2010-07-06 At&T Intellectual Property Ii, L.P. Method and apparatus for sketch-based detection of changes in network traffic
TWI234974B (en) * 2003-12-22 2005-06-21 Inst Information Industry Methodology of predicting distributed denial of service based on gray theory
US20050234920A1 (en) * 2004-04-05 2005-10-20 Lee Rhodes System, computer-usable medium and method for monitoring network activity
US9160755B2 (en) * 2004-12-21 2015-10-13 Mcafee, Inc. Trusted communication network
US7624447B1 (en) * 2005-09-08 2009-11-24 Cisco Technology, Inc. Using threshold lists for worm detection
US7685271B1 (en) * 2006-03-30 2010-03-23 Symantec Corporation Distributed platform for testing filtering rules

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006238043A (ja) * 2005-02-24 2006-09-07 Mitsubishi Electric Corp ネットワーク異常検出装置
KR100625096B1 (ko) * 2006-03-27 2006-09-15 주식회사 윈스테크넷 트래픽 변화량과 해킹 위협률의 상호 연관성 분석에 기초한예경보 방법 및 그 시스템

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"시계열 분석을 이용한 실시간 네트워크 트래픽 예측 시스템의 설계",한국정보처리학회 2001년 추계학술대회, 제8권 제2호, pp.1323-1326 (2001.10.31.) 1부.*

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102589096B1 (ko) * 2023-04-19 2023-10-16 한화시스템(주) 사이버 지휘통제 의사결정 지원 장치 및 방법

Also Published As

Publication number Publication date
KR20090048955A (ko) 2009-05-15
US20090126023A1 (en) 2009-05-14
US8839440B2 (en) 2014-09-16

Similar Documents

Publication Publication Date Title
KR100935861B1 (ko) 네트워크 보안 위험도 예측 방법 및 장치
KR100892415B1 (ko) 사이버위협 예보 시스템 및 방법
Holgado et al. Real-time multistep attack prediction based on hidden markov models
CN110620759B (zh) 基于多维关联的网络安全事件危害指数评估方法及其系统
US20220150266A1 (en) Network anomaly detection and profiling
EP3356985B1 (en) Detection of security incidents with low confidence security events
US8191149B2 (en) System and method for predicting cyber threat
US10902114B1 (en) Automated cybersecurity threat detection with aggregation and analysis
US6742128B1 (en) Threat assessment orchestrator system and method
Fava et al. Projecting cyberattacks through variable-length markov models
EP4060939B1 (en) Cyber defence system
Hu et al. Quantitative method for network security situation based on attack prediction
KR102079687B1 (ko) 공격 그래프 기반의 사이버 위협 예측 시스템 및 그 방법
CN111786950A (zh) 基于态势感知的网络安全监控方法、装置、设备及介质
JP2007164465A (ja) クライアントセキュリティ管理システム
Mathew et al. Insider abuse comprehension through capability acquisition graphs
CN115632884B (zh) 基于事件分析的网络安全态势感知方法与系统
Shan et al. An approach for internal network security metric based on attack probability
KR101518233B1 (ko) 기업 내부 전산환경의 위협탐지를 위한 보안 장치
AU2021101364A4 (en) An artificial intelligence based network security system
AU2020104405A4 (en) An artificial intelligence based system for proactive network security
Chakir et al. Risk Assessment and Alert Prioritization for Intrusion Detection Systems
Reyes et al. An Environment-Specific Prioritization Model for Information-Security Vulnerabilities Based on Risk Factor Analysis. Electronics 2022, 11, 1334
JP2005234849A (ja) 監視装置及び監視方法及びプログラム
JP2019159383A (ja) ホワイトリスト管理システム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
J201 Request for trial against refusal decision
B701 Decision to grant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121130

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20130930

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20140916

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20161118

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20180102

Year of fee payment: 9

LAPS Lapse due to unpaid annual fee