KR101113615B1 - 네트워크 위험도 종합 분석 시스템 및 그 방법 - Google Patents

네트워크 위험도 종합 분석 시스템 및 그 방법 Download PDF

Info

Publication number
KR101113615B1
KR101113615B1 KR1020100020431A KR20100020431A KR101113615B1 KR 101113615 B1 KR101113615 B1 KR 101113615B1 KR 1020100020431 A KR1020100020431 A KR 1020100020431A KR 20100020431 A KR20100020431 A KR 20100020431A KR 101113615 B1 KR101113615 B1 KR 101113615B1
Authority
KR
South Korea
Prior art keywords
risk
security
network
log file
destination
Prior art date
Application number
KR1020100020431A
Other languages
English (en)
Other versions
KR20110101436A (ko
Inventor
문재웅
조성규
Original Assignee
주식회사 제이컴정보
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 제이컴정보 filed Critical 주식회사 제이컴정보
Priority to KR1020100020431A priority Critical patent/KR101113615B1/ko
Publication of KR20110101436A publication Critical patent/KR20110101436A/ko
Application granted granted Critical
Publication of KR101113615B1 publication Critical patent/KR101113615B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Abstract

본 발명은 네트워크 위험도 종합 분석 시스템 및 그 방법에 관한 것으로, 각각이 담당하는 네트워크에서 발생하는 각종 보안 이벤트들을 실시간으로 수집하는 네트워크 관리시스템(예컨대, 통합보안관리시스템(ESM), 위험관리시스템(RMS), 위협관리시스템(TMS), 방화벽(Firewall), 침입탐지시스템(IDS), 침입방지시스템(IPS) 등)의 보안관리장비(예컨대, 서버, 라우터, 게이트웨이 등)과 같은 다수의 탐지센서가 수집한 보안 이벤트들의 개별 위험도가 미리 정한 위험도 이상이면 실시간으로 알람을 발생하고, 수집한 보안 이벤트 전체 중에 네트워크 보안 운영 방침에 따라 알람 발생을 필요로 하는 조건을 정의한 관제룰을 만족하는 보안 이벤트들이 정해진 횟수 이상 탐지되면 해당 보안 이벤트들에 대응하는 위험도를 산정하고 산정된 위험도가 미리 정한 위험도 이상이면 실시간으로 알람을 발생한다.
본 발명은 네트워크에서 발생하는 보안 침해와 관련한 보안 이벤트 각각 혹은 전체에 대한 위험도를 산정한 결과에 따라 실시간으로 알람을 발생하므로 다종 다수의 보안 이벤트가 발생하더라도 네트워크 관리자가 중요한 보안 침해와 관련한 보안 이벤트를 간과하는 오탐지를 예방하여 보안 침해 경보에 대한 신뢰도를 향상시킬 수 있을 뿐만 아니라 네트워크 관리자가 네트워크에 대한 보안 침해에 대하여 즉각적으로 대응하여 관리 대상 네트워크의 IT 자산을 신속하게 보호할 수 있다.

Description

네트워크 위험도 종합 분석 시스템 및 그 방법{TOTAL ANALYSIS SYSTEM OF NETWORK RISK AND METHOD THEREOF}
본 발명은 네트워크 보안 기술에 관한 것이며, 더욱 상세히는 네트워크 위험도 종합 분석 시스템 및 그 방법에 관한 것이다.
일반적으로, 기업체나 국가기관 등에서는 네트워크에서 발생하는 보안 침해와 관련한 각종 이벤트(이하, 보안 이벤트라 함)에 대해 사전/사후 대응이 가능하게 위험 관리를 수행함으로써 네트워크의 다종 다수의 보안 솔루션에 대한 가용성, 무결성, 기밀성을 보장하기 위하여 통합보안관리시스템(ESM; Enterprise Security Management), 위험관리시스템(RMS; Risk Management System), 위협관리시스템(TMS; Threat Management System), 방화벽(Firewall), 침입탐지시스템(IDS;Intrusion Detection System), 침입방지시스템(IPS;Intrusion Protection System) 등과 같은 네트워크 보안관리시스템을 구축한다.
상기한 통합보안관리시스템(ESM)은 관리 대상 네트워크의 다종 다수의 보안 장비에서 발생하는 보안 이벤트를 실시간으로 수집 및 분석하여 보안 이벤트에 대해 사전/사후 대응이 가능하게 통합적인 위험 관리를 수행함으로써 관리 대상 네트워크의 다종 다수의 보안 장비에 대한 가용성, 무결성, 기밀성을 보장한다.
상기한 위험관리시스템(RMS)은 관리 대상 네트워크의 IT(Information Technology) 자산, 예컨대 각종 보안 장비 또는 네트워크 장비(예컨대, 서버, 라우터 등) 전체를 대상으로 보안 이벤트를 수집 및 분석하여 취약점과 위협을 미리 파악해 대응함으로써 사전에 보안사고를 예방하고 보안수준을 상시 안정되게 관리한다.
상기한 위협관리시스템(TMS)은 관리 대상 네트워크에서 발생하는 보안 이벤트를 수집 및 분석하여, 특히 네트워크 트래픽의 사이버 위협을 탐지 및 식별하고 종합적으로 분석해 조기 경보를 제공하는 기능을 수행한다.
상기한 방화벽(Firewall)은 라우터나 응용 게이트웨이 등을 설치하여 모든 정보의 흐름이 이들을 통해서만 이루어지게 함으로써, 기업이나 조직 내부의 네트워크와 인터넷 간에 전송되는 정보를 선별하여 수용, 거부, 수정한다.
상기한 침입탐지시스템(IDS)은 관리 대상 네트워크에서 발생하는 보안 이벤트를 수집 및 분석하여, 악의적인 네트워크 트래픽을 탐지하면 이 사실을 관리자에게 경보하는 기능을 수행한다.
상기한 침입방지시스템(IPS)은 관리 대상 네트워크에서 발생하는 보안 이벤트를 수집 및 분석하여, 악의적인 네트워크 트래픽을 탐지하면 이 사실을 관리자에게 경보하고, 또한 즉시 차단하는 기능을 수행한다.
상기와 같이 운용되는 통상의 네트워크 보안관리시스템은 네트워크의 보안 정책에 따라 보안 이벤트에 대응하는 위협 등급을 정한다.
예컨대, 군사정보 컴퓨터 보호를 위하여 개발된 '스노트(SNORT)'는 네트워크 침입을 검출하는 오픈 소스 소프트웨어로서, 이 스노트 오픈 소스 소프트웨어를 이용하는 네트워크 관리시스템은 통상 보안 이벤트에 대응하는 위협 등급을 4단계(Info, Low, Medium, High)로 구분한다. 또한, 대한민국 국가정보원에서 운영하는 국가사이버안전센터(NCSC; National Cyber Security Center)의 네트워크 관리시스템은 보안 이벤트에 대응하는 위협 등급을 4단계(심각, 경계, 주의, 관심)로 구분한다.
하지만, 상기한 바와 같이 운용되는 네트워크 관리시스템은 다종 다수의 보안 이벤트를 발생시키므로, 관리자가 다종 다수의 보안 이벤트를 확인하는 동안 중요한 보안 침해와 관련한 보안 이벤트를 간과하는 오탐지(False Positive)가 종종 발생하여 보안 침해 경보에 대한 신뢰도를 저하시키는 문제점이 있다.
본 발명은 상기한 바와 같은 종래의 문제점을 해결하기 위한 것으로, 본 발명의 목적은 각각이 담당하는 네트워크에서 발생하는 보안 이벤트들을 실시간으로 수집하는 네트워크 관리시스템(예컨대, 통합보안관리시스템(ESM), 위험관리시스템(RMS), 위협관리시스템(TMS), 방화벽(Firewall), 침입탐지시스템(IDS), 침입방지시스템(IPS) 등)의 보안관리장비(예컨대, 서버, 라우터, 게이트웨이 등)과 같은 다수의 탐지센서가 수집한 보안 이벤트들의 개별 위험도가 미리 정한 위험도 이상이면 실시간으로 알람을 발생하고, 수집한 보안 이벤트 전체 중에 네트워크 보안 운영 방침에 따라 알람 발생을 필요로 하는 조건을 정의한 관제룰을 만족하는 보안 이벤트들이 정해진 횟수 이상 탐지되면 해당 보안 이벤트들에 대응하는 위험도를 산정하고 산정된 위험도가 미리 정한 위험도 이상이면 실시간으로 알람을 발생하는 네트워크 위험도 종합 분석 시스템 및 그 방법을 제공하는 것이다.
상기한 바와 같은 본 발명의 목적을 달성하기 위하여, 본 발명에 따른 네트워크 위험도 종합 분석 시스템은, 각각이 담당하는 네트워크에서 발생하는 보안 이벤트들을 실시간으로 수집하여 해당 보안 이벤트의 목적지IP를 포함하는 로그 파일 형태로 DB에 저장하거나, 혹은 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 위험수준 및 신뢰도 연산식을 이용하여 수집한 보안 이벤트에 대한 위험수준과 신뢰도를 산정하고 산정한 위험수준과 신뢰도를 상기 로그 파일에 추가하여 해당 로그 파일을 DB에 저장하는 다수의 탐지센서와; 상기 각각의 탐지센서의 DB로부터 보안 이벤트의 로그 파일을 수집하여 각각의 보안 이벤트의 로그 파일을 네트워크 보안 운영 방침을 기준으로 관리자 측에서 설정한 정규화 정보를 포함하는 정규화 로그 파일 형태로 변환하는 로그 파일 정규화부; 상기 로그 파일 정규화부에 의해 정규화된 보안 이벤트의 정규화 로그 파일로부터 식별되는 목적지IP에 대응하는 관리 대상 네트워크의 IT 자산의 자산가치를 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 자산가치 연산식을 이용하여 산정하는 자산가치 산정부; 상기 자산가치 산정부에서 보안 이벤트의 정규화 로그 파일에 대응하여 산정한 네트워크의 IT 자산의 자산가치와 해당 정규화 로그 파일로부터 식별되는 위험수준 및 신뢰도를 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 위험도 연산식에 대입하여 보안 이벤트들의 개별 위험도를 산정하고, 산정한 위험도가 미리 정한 위험도 이상이면 알람 발생 신호를 출력하는 개별 위험도 산정부; 상기 개별 위험도 산정부에서 개별 위험도를 산정한 보안 이벤트 전체의 정규화 로그 파일 중에 네트워크 보안 운영 방침에 따라 목적지IP에 대응한 알람 발생을 필요로 하는 조건을 정의한 관제룰을 만족하는 보안 이벤트들의 정규화 로그 파일이 정해진 횟수 이상 탐지되면 해당 관제룰로부터 식별되는 목적지IP에 대응하는 관리 대상 네트워크의 IT 자산의 자산가치를 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 자산가치 연산식을 이용하여 산정하고, 또한 산정한 네트워크의 IT 자산의 자산가치와 해당 관제룰로부터 식별되는 위험수준 및 신뢰도를 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 위험도 연산식에 대입하여 정해진 횟수 이상 탐지된 보안 이벤트들 전체에 대한 위험도를 산정하고, 산정한 위험도가 미리 정한 위험도 이상이면 알람 발생 신호를 출력하는 전체 위험도 산정부; 및 상기 개별 위험도 산정부의 알람 발생 신호 혹은 상기 전체 위험도 산정부의 알람 발생 신호를 전달받으면 실시간으로 알람을 발생하고 발생한 알람 리스트를 표시하는 알람 발생부;로 구성되는 것을 특징으로 한다.
상기한 바와 같은 본 발명의 목적을 달성하기 위하여, 본 발명에 따른 네트워크 위험도 종합 분석 방법은, 다수의 탐지센서에서 자신이 담당하는 네트워크에서 발생하는 보안 이벤트들을 실시간으로 수집하여 해당 보안 이벤트의 목적지IP를 포함하는 로그 파일 형태로 DB에 저장하거나, 혹은 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 위험수준 및 신뢰도 연산식을 이용하여 수집한 보안 이벤트에 대한 위험수준과 신뢰도를 산정하고 산정한 위험수준과 신뢰도를 상기 로그 파일에 추가하여 해당 로그 파일을 DB에 저장하는 제1과정과; 로그 파일 정규화부에서 상기 각각의 탐지센서의 DB로부터 보안 이벤트의 로그 파일을 수집하여 각각의 보안 이벤트의 로그 파일을 네트워크 보안 운영 방침을 기준으로 관리자 측에서 설정한 정규화 정보를 포함하는 정규화 로그 파일 형태로 변환하는 제2과정; 자산가치 산정부에서 상기 로그 파일 정규화부에 의해 정규화된 보안 이벤트의 정규화 로그 파일로부터 식별되는 목적지IP에 대응하는 관리 대상 네트워크의 IT 자산의 자산가치를 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 자산가치 연산식을 이용하여 산정하는 제3과정; 개별 위험도 산정부에서 상기 자산가치 산정부에서 보안 이벤트의 정규화 로그 파일에 대응하여 산정한 네트워크의 IT 자산의 자산가치와 해당 정규화 로그 파일로부터 식별되는 위험수준 및 신뢰도를 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 위험도 연산식에 대입하여 보안 이벤트들의 개별 위험도를 산정하는 제4과정; 상기 개별 위험도 산정부에서 산정한 위험도가 미리 정한 위험도 이상인지를 판별하는 제5과정; 상기 개별 위험도 산정부에서 산정한 위험도가 미리 정한 위험도 이상이면 알람 발생 신호를 출력하는 제6과정; 상기 개별 위험도 산정부에서 산정한 위험도가 미리 정한 위험도 이상이 아니면, 전체 위험도 산정부에서 상기 개별 위험도 산정부에서 개별 위험도를 산정한 보안 이벤트 전체의 정규화 로그 파일 중에 네트워크 보안 운영 방침에 따라 목적지IP에 대응한 알람 발생을 필요로 하는 조건을 정의한 관제룰을 만족하는 보안 이벤트들의 정규화 로그 파일이 정해진 횟수 이상 탐지되는지를 판별하는 제7과정; 상기 전체 위험도 산정부에서 상기 관제룰을 만족하는 보안 이벤트들의 정규화 로그 파일이 정해진 횟수 이상 탐지되면 해당 관제룰로부터 식별되는 목적지IP에 대응하는 관리 대상 네트워크의 IT 자산의 자산가치를 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 자산가치 연산식을 이용하여 산정하는 제8과정; 상기 전체 위험도 산정부에서 산정한 네트워크의 IT 자산의 자산가치와 해당 관제룰로부터 식별되는 위험수준 및 신뢰도를 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 위험도 연산식에 대입하여 정해진 횟수 이상 탐지된 보안 이벤트들 전체에 대한 위험도를 산정하는 제9과정; 상기 전체 위험도 산정부에서 정해진 횟수 이상 탐지된 보안 이벤트들 전체에 대하여 산정한 위험도가 미리 정한 위험도 이상인지를 판별하는 제10과정; 상기 전체 위험도 산정부에서 정해진 횟수 이상 탐지된 보안 이벤트들 전체에 대하여 산정한 위험도가 미리 정한 위험도 이상이면 알람 발생 신호를 출력하는 제11과정; 및 상기 알람 발생부에서 상기 제6과정에서 출력되는 상기 개별 위험도 산정부의 알람 발생 신호 혹은 상기 제11과정에서 출력되는 상기 전체 위험도 산정부의 알람 발생 신호를 전달받으면 실시간으로 알람을 발생하고 발생한 알람 리스트를 표시하는 제12과정;으로 이루어지는 것을 특징으로 한다.
본 발명은 네트워크에서 발생하는 보안 침해와 관련한 보안 이벤트 각각 혹은 전체에 대한 위험도를 산정한 결과에 따라 실시간으로 알람을 발생하므로 다종 다수의 보안 이벤트가 발생하더라도 네트워크 관리자가 중요한 보안 침해와 관련한 보안 이벤트를 간과하는 오탐지(False Positive)를 예방하여 보안 침해 경보에 대한 신뢰도를 향상시킬 수 있을 뿐만 아니라 네트워크 관리자가 네트워크에 대한 보안 침해에 대하여 즉각적으로 대응하여 관리 대상 네트워크의 IT 자산을 신속하게 보호할 수 있다.
도 1은 본 발명에 따른 네트워크 위험도 종합 분석 시스템을 나타낸 블록도.
도 2는 본 발명에 따른 네트워크 위험도 종합 분석 방법을 나타낸 플로차트.
이하, 본 발명의 실시예를 첨부된 도면을 참조하여 더욱 상세하게 설명한다.
도 1을 참조하면, 다수의 탐지센서(100)는 각각이 담당하는 네트워크에서 발생하는 보안 이벤트들을 실시간으로 수집하여 해당 보안 이벤트의 목적지IP를 포함하는 로그 파일 형태로 DB에 저장한다. 이 경우는 탐지센서(100)가 자체적으로 수집한 보안 이벤트들에 대해 위험수준과 신뢰도 값을 제공하여 주는 기능이 없는 경우이다.
상기 다수의 탐지센서(100)는 자체적으로 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 위험수준 및 신뢰도 연산식을 이용하여 수집한 보안 이벤트에 대한 위험수준과 신뢰도를 산정하고 산정한 위험수준과 신뢰도를 상기 로그 파일에 추가하여 해당 로그 파일을 DB에 저장한다. 이 경우는 탐지센서(100)가 자체적으로 수집한 보안 이벤트들에 대해 위험수준과 신뢰도 값을 제공하여 주는 기능이 있는 경우이다.
상기 탐지센서(100)는 네트워크에서 발생하는 보안 이벤트들을 실시간으로 수집하는 네트워크 관리시스템(예컨대, 통합보안관리시스템(ESM), 위험관리시스템(RMS), 위협관리시스템(TMS), 방화벽(Firewall), 침입탐지시스템(IDS), 침입방지시스템(IPS) 등)에 있어서 상기 로그 파일을 생성해서 DB에 저장하는 보안관리장비(예컨대, 서버, 라우터, 게이트웨이 등)이며, 동일한 네트워크 관리시스템에 포함되거나, 혹은 서로 다른 네트워크 관리시스템에 포함되는 하나 혹은 둘 이상의 보안관리장비가 될 수 있다.
상기 탐지센서(100)의 위험수준 및 신뢰도 연산식은 네트워크에서 발생하는 보안 이벤트들에 따라 예측되는 네트워크의 취약성, 관리자의 경험 등을 근거로 네트워크 보안 운영 방침에 따라 관리자가 다양한 방식으로 설정할 수 있다. 예컨대, 본 발명에 있어서, 위험수준은 5등급(예컨대, "정상/관심/주의/경계/심각"의 5등급, 혹은 최저 위험수준 1등급에서 최고 위험수준 5등급까지로 설정함), 신뢰도는 10등급(예컨대, 최저 신뢰도 1등급에서부터 최고 신뢰도 10등급까지 설정함)으로 부여하는 것이 바람직하다.
상기 탐지센서(100)가 네트워크에서 발생하는 보안 이벤트들을 실시간으로 수집하여 DB에 저장하는 로그 파일의 형태는 탐지센서(100)마다 서로 다를 수 있으나, 본 발명의 실시예에서는 "이벤트식별자(SID)/이벤트명/출발지IP/목적지IP/출발지PORT/목적지PORT/프로토콜/공격시간"을 포함하거나, 혹은 "이벤트식별자(SID)/이벤트명/출발지IP/목적지IP/출발지PORT/목적지PORT/프로토콜/공격시간/위험수준/신뢰도"를 포함하는 것이 바람직하다.
로그 파일 정규화부(110)는 상기 각각의 탐지센서(100)의 DB로부터 보안 이벤트의 로그 파일을 수집하여 각각의 보안 이벤트의 로그 파일을 네트워크 보안 운영 방침을 기준으로 관리자 측에서 설정한 정규화 정보를 포함하는 정규화 로그 파일 형태로 변환한다.
상기 로그 파일 정규화부(110)는 상기 각각의 탐지센서(100)의 DB로부터 수집한 보안 이벤트의 로그 파일을 "탐지센서명/이벤트식별자(SID)/이벤트명/출발지IP/목적지IP/출발지PORT/목적지PORT/프로토콜/발생시간/위험수준/신뢰도"를 정규화 정보로 포함하는 정규화 로그 파일 형태로 변환한다. 여기서, 정규화 정보 중 발생시간은 보안 이벤트의 로그 파일에 포함된 공격시간에 해당한다. 이때, 정규화 로그 파일에 포함되는 위험수준과 신뢰도 정보는 상기 탐지센서(100)의 위험수준 및 신뢰도를 그대로 적용하거나, 혹은 관리자가 네트워크에서 발생하는 보안 이벤트들에 따라 예측되는 네트워크의 취약성, 관리자의 경험 등을 근거로 네트워크 보안 운영 방침에 따라 다양한 방식으로 설정할 수 있다.
자산가치 산정부(120)는 상기 로그 파일 정규화부(110)에 의해 정규화된 보안 이벤트의 정규화 로그 파일로부터 식별되는 목적지IP에 대응하는 관리 대상 네트워크의 IT 자산의 자산가치를 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 자산가치 연산식을 이용하여 산정한다.
개별 위험도 산정부(130)는 상기 자산가치 산정부(120)에서 보안 이벤트의 정규화 로그 파일에 대응하여 산정한 네트워크의 IT 자산의 자산가치와 해당 정규화 로그 파일로부터 식별되는 위험수준 및 신뢰도를 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 위험도 연산식에 대입하여 보안 이벤트들의 개별 위험도를 산정하고, 산정한 위험도가 미리 정한 위험도 이상이면 알람 발생 신호를 출력한다.
전체 위험도 산정부(140)는 상기 개별 위험도 산정부(130)에서 개별 위험도를 산정한 보안 이벤트 전체의 정규화 로그 파일 중에 네트워크 보안 운영 방침에 따라 목적지IP에 대응한 알람 발생을 필요로 하는 조건을 정의한 관제룰을 만족하는 보안 이벤트들의 정규화 로그 파일이 정해진 횟수 이상 탐지되면 해당 관제룰로부터 식별되는 목적지IP에 대응하는 관리 대상 네트워크의 IT 자산의 자산가치를 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 자산가치 연산식을 이용하여 산정한다.
상기 전체 위험도 산정부(140)의 관제룰은 상기 개별 위험도 산정부(130)에서 개별 위험도를 산정한 보안 이벤트 전체의 정규화 로그 파일 중에 네트워크 보안 운영 방침에 따라 목적지IP에 대응한 알람 발생을 필요로 하는 조건으로 "룰명/탐지센서명/이벤트식별자(SID)/이벤트명/출발지IP/목적지IP/출발지PORT/목적지PORT/프로토콜/타임아웃/위험수준/신뢰도/발생횟수"를 정의한다. 여기서, 관제룰의 조건 정보 중 타임아웃은 해당 관제룰을 생성한 후 해당 관제룰에 해당하는 보안 이벤트가 발생하지 않을 경우 해당 관제룰을 자동으로 삭제하기 위한 시간에 해당한다.
상기 관제룰은 네트워크의 취약성, 관리자의 경험 등을 근거로 네트워크 보안 운영 방침에 따라 관리자가 다양한 방식으로 설정할 수 있으며, 다수의 관제룰을 정의한 관제룰 세트를 구현할 수도 있다.
상기 관제룰은 개별 위험도를 산정한 보안 이벤트들의 상관 관계를 식별하기 위한 조건이며, 하나의 관제룰은 보안 이벤트 전체와 대응하여 조건을 비교한다. 예컨대, 관리자가 룰명은 'Rare dest connection'이고, 탐지센서명은 'snort general alert', 이벤트식별자는 '10003', 목적지IP는 '192.168.1.1', 목적지PORT는 '80', 위험수준은 '3', 신뢰도는 '1', 발생횟수는 '50', 나머지 항목들(이벤트명/출발지IP/출발지PORT/프로토콜/타임아웃)은 설정하지 않은 관제룰을 설정하였다면, 상기 전체 위험도 산정부(140)는 개별 위험도를 산정한 보안 이벤트 전체를 각각 이 관제룰과 대응하여 조건을 비교하며, 해당 조건을 만족하는 보안 이벤트들이 50번 발생하면 해당 관제룰로부터 식별되는 목적지IP '192.168.1.1'에 대응하는 관리 대상 네트워크의 IT 자산의 자산가치를 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 자산가치 연산식을 이용하여 산정한다.
상기 전체 위험도 산정부(140)는 산정한 네트워크의 IT 자산의 자산가치와 해당 관제룰로부터 식별되는 위험수준 및 신뢰도를 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 위험도 연산식에 대입하여 정해진 횟수 이상 탐지된 보안 이벤트들 전체에 대한 위험도를 산정하고, 산정한 위험도가 미리 정한 위험도 이상이면 알람 발생 신호를 출력한다.
상기 전체 위험도 산정부(140)의 자산가치 연산식과 위험도 연산식은 네트워크에서 발생하는 보안 이벤트들에 따라 예측되는 네트워크의 취약성, 관리자의 경험 등을 근거로 네트워크 보안 운영 방침에 따라 관리자가 다양한 방식으로 설정할 수 있다. 예컨대, 본 발명에 있어서, 자산가치는 기본적으로 1~5등급으로 분류할 수 있으며, 관리자가 직관적으로 등급을 선정하는 방법과 자산평가항목(예컨대, 기밀성, 무결성, 가용성, 자산의 의존도, 대외 업무 연계 정도, 자산구매 비용 등) 각각에 대해 "높음/중간/낮음"으로 분류하여 각각의 가중치를 부여하고 합산한 값을 1~5등급으로 분류하는 방법 등으로 다양하게 산정할 수 있다. 또한, 위험도는 자산가치와 위험수준 및 신뢰도를 근거로 5등급(예컨대, "정상/관심/주의/경계/심각"의 5등급, 혹은 최저 위험도 1등급에서 최고 위험도 5등급까지로 설정함) 혹은 10등급(예컨대, 최저 위험도 1등급에서부터 최고 위험도 10등급까지 설정함) 등으로 다양하게 산정할 수 있다.
알람 발생부(150)는 상기 개별 위험도 산정부(130)의 알람 발생 신호 혹은 상기 전체 위험도 산정부(140)의 알람 발생 신호를 전달받으면 실시간으로 알람을 발생하고 발생한 알람 리스트를 표시한다.
상기 알람 발생부(150)는 관리자가 현재 표시 중인 알람 리스트 중 어느 하나의 알람을 선택하면 해당 알람 내용, 즉 해당 알람에 대응하는 보안 이벤트의 로그 파일 혹은 해당 알람에 대응하는 관제룰을 표시하여 알려준다.
상기와 같이 구성되는 본 발명에 따른 네트워크 위험도 종합 분석 시스템은 도 2에 나타낸 방법에 의해 다음과 같이 작동한다.
도 2를 참조하면, 먼저 다수의 탐지센서(100)는 자신이 담당하는 네트워크에서 발생하는 보안 이벤트들을 실시간으로 수집하여 해당 보안 이벤트의 목적지IP를 포함하는 로그 파일 형태로 DB에 저장하거나, 혹은 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 위험수준 및 신뢰도 연산식을 이용하여 수집한 보안 이벤트에 대한 위험수준과 신뢰도를 산정하고 산정한 위험수준과 신뢰도를 상기 로그 파일에 추가하여 해당 로그 파일을 DB에 저장한다(S10).
예컨대, 상기 탐지센서(100)는 네트워크에서 발생하는 보안 이벤트들을 실시간으로 수집하여 "이벤트식별자(SID)/이벤트명/출발지IP/목적지IP/출발지PORT/목적지PORT/프로토콜/공격시간"을 포함하거나, 혹은 "이벤트식별자(SID)/이벤트명/출발지IP/목적지IP/출발지PORT/목적지PORT/프로토콜/공격시간/위험수준/신뢰도"를 포함하는 로그 파일 형태로 DB에 저장한다.
상기와 같이 보안 이벤트의 로그 파일들이 DB에 저장되면, 로그 파일 정규화부(110)는 실시간으로 상기 각각의 탐지센서(100)의 DB로부터 보안 이벤트의 로그 파일을 수집하여 각각의 보안 이벤트의 로그 파일을 네트워크 보안 운영 방침을 기준으로 관리자 측에서 설정한 정규화 정보를 포함하는 정규화 로그 파일 형태로 변환하여 자산가치 산정부(120)로 전달한다(S15).
예컨대, 상기 로그 파일 정규화부(110)는 상기 각각의 탐지센서(100)의 DB로부터 수집한 보안 이벤트의 로그 파일을 "탐지센서명/이벤트식별자(SID)/이벤트명/출발지IP/목적지IP/출발지PORT/목적지PORT/프로토콜/발생시간/위험수준/신뢰도"를 정규화 정보로 포함하는 정규화 로그 파일 형태로 변환하여 자산가치 산정부(120)로 전달한다.
상기와 같이 자산가치 산정부(120)로 보안 이벤트의 정규화 로그 파일이 전달되면, 자산가치 산정부(120)는 상기 로그 파일 정규화부(110)에 의해 정규화된 각각의 보안 이벤트의 정규화 로그 파일로부터 식별되는 목적지IP에 대응하는 관리 대상 네트워크의 IT 자산의 자산가치를 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 자산가치 연산식을 이용하여 개별 위험도 산정부(130)로 전달한다(S20).
상기와 같이 개별 위험도 산정부(130)로 각각의 보안 이벤트의 정규화 로그 파일로부터 식별되는 목적지IP에 대응하는 관리 대상 네트워크의 IT 자산의 자산가치가 전달되면, 개별 위험도 산정부(130)는 이 네트워크의 IT 자산의 자산가치와 해당 보안 이벤트의 정규화 로그 파일로부터 식별되는 위험수준 및 신뢰도를 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 위험도 연산식에 대입하여 보안 이벤트들의 개별 위험도를 산정한다(S25).
이어서, 상기 개별 위험도 산정부(130)는 산정한 개별 위험도가 미리 정한 위험도 이상인지를 판별한다(S30).
이때, 만약 상기 개별 위험도 산정부(130)에서 산정한 위험도가 미리 정한 위험도 이상이면 상기 개별 위험도 산정부(130)는 알람 발생 신호를 출력한다(S35).
반면에, 상기 개별 위험도 산정부(130)에서 산정한 위험도가 미리 정한 위험도 이상이 아니면, 상기 개별 위험도 산정부(130)는 개별 위험도를 산정한 보안 이벤트 전체의 정규화 로그 파일을 전체 위험도 산정부(140)로 전달한다.
이에 따라서, 전체 위험도 산정부(140)는 상기 개별 위험도 산정부(130)에서 개별 위험도를 산정한 보안 이벤트 전체의 정규화 로그 파일 중에 네트워크 보안 운영 방침에 따라 목적지IP에 대응한 알람 발생을 필요로 하는 조건을 정의한 관제룰을 만족하는 보안 이벤트들의 정규화 로그 파일이 정해진 횟수 이상 탐지되는지를 판별한다(S40).
예컨대, 상기 전체 위험도 산정부(140)는 상기 개별 위험도 산정부(130)에서 개별 위험도를 산정한 보안 이벤트 전체의 정규화 로그 파일 중에 네트워크 보안 운영 방침에 따라 목적지IP에 대응한 알람 발생을 필요로 하는 조건으로 "룰명/탐지센서명/이벤트식별자(SID)/이벤트명/출발지IP/목적지IP/출발지PORT/목적지PORT/프로토콜/타임아웃/위험수준/신뢰도/발생횟수"를 정의한 관제룰을 만족하는 보안 이벤트들의 정규화 로그 파일이 정해진 횟수 이상 탐지되는지를 판별한다.
이때, 만약 관제룰을 만족하는 보안 이벤트들의 정규화 로그 파일이 정해진 횟수 이상 탐지되지 않으면 상기 전체 위험도 산정부(140)는 작동을 정지하고 상기한 S10과정 내지 S30과정을 다시 거친 보안 이벤트 전체의 정규화 로그 파일 중에 관제룰을 만족하는 보안 이벤트들의 정규화 로그 파일이 정해진 횟수 이상 탐지되는지를 다시 판별한다.
이때, 만약 상기 관제룰을 만족하는 보안 이벤트들의 정규화 로그 파일이 정해진 횟수 이상 탐지되면, 상기 전체 위험도 산정부(140)는 해당 관제룰로부터 식별되는 목적지IP에 대응하는 관리 대상 네트워크의 IT 자산의 자산가치를 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 자산가치 연산식을 이용하여 산정한 다음(S45), 이어서 산정한 네트워크의 IT 자산의 자산가치와 해당 관제룰로부터 식별되는 위험수준 및 신뢰도를 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 위험도 연산식에 대입하여 정해진 횟수 이상 탐지된 보안 이벤트들 전체에 대한 위험도를 산정한다(S50).
상기와 같이 정해진 횟수 이상 탐지된 보안 이벤트들 전체에 대한 위험도를 산정하고 나면, 이어서 전체 위험도 산정부(140)는 정해진 횟수 이상 탐지된 보안 이벤트들 전체에 대하여 산정한 위험도가 미리 정한 위험도 이상인지를 판별한다(S55).
이때, 만약 상기 전체 위험도 산정부(140)가 정해진 횟수 이상 탐지된 보안 이벤트들 전체에 대하여 산정한 위험도가 미리 정한 위험도 이상이 아니면, 상기 전체 위험도 산정부(140)는 작동을 정지하고 상기한 S10과정 내지 S50과정을 다시 거친 보안 이벤트 전체에 대하여 산정한 위험도가 미리 정한 위험도 이상인지를 다시 판별한다.
이때, 만약 상기 전체 위험도 산정부(140)가 정해진 횟수 이상 탐지된 보안 이벤트들 전체에 대하여 산정한 위험도가 미리 정한 위험도 이상이면, 상기 전체 위험도 산정부(140)는 알람 발생 신호를 출력한다(S60).
상기한 S35과정에서 개별 위험도 산정부(130)가 알람 발생 신호를 출력하거나, 혹은 상기한 S60과정에서 전체 위험도 산정부(140)가 알람 발생 신호를 출력하면, 상기 알람 발생부(150)는 실시간으로 알람을 발생하고 발생한 알람 리스트를 표시하여 관리자에게 알려준다(S65). 이에 따라서, 다종 다수의 보안 이벤트가 발생하더라도 네트워크 관리자가 중요한 보안 침해와 관련한 보안 이벤트를 간과하는 오탐지(False Positive)를 예방하여 보안 침해 경보에 대한 신뢰도를 향상시킬 수 있으며, 또한 네트워크 관리자가 네트워크에 대한 보안 침해에 대하여 즉각적으로 대응하여 관리 대상 네트워크의 IT 자산을 신속하게 보호할 수 있다.
이상에서 설명한 본 발명에 따른 네트워크 위험도 종합 분석 시스템 및 그 방법은 상기한 실시예에 한정되지 않고, 이하의 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 누구든지 다양하게 변경하여 실시할 수 있는 범위까지 그 기술적 정신이 있다.
<도면의 주요부분에 대한 부호의 설명>
100: 탐지센서 110: 로그 파일 정규화부
120: 자산가치 산정부 130: 개별 위험도 산정부
140: 전체 위험도 산정부 150: 알람 발생부

Claims (9)

  1. 통합보안관리시스템(ESM)에 있어서 로그 파일을 생성해서 DB에 저장하는 보안관리장비, 위험관리시스템(RMS)에 있어서 로그 파일을 생성해서 DB에 저장하는 보안관리장비, 위협관리시스템(TMS)에 있어서 로그 파일을 생성해서 DB에 저장하는 보안관리장비, 방화벽(Firewall)에 있어서 로그 파일을 생성해서 DB에 저장하는 보안관리장비, 침입탐지시스템(IDS)에 있어서 로그 파일을 생성해서 DB에 저장하는 보안관리장비, 침입방지시스템(IPS)에 있어서 로그 파일을 생성해서 DB에 저장하는 보안관리장비 중 어느 하나 혹은 둘 이상인 것을 특징으로 하며, 각각이 담당하는 네트워크에서 발생하는 보안 이벤트들을 실시간으로 수집하여 해당 보안 이벤트의 목적지IP를 포함하는 로그 파일 형태로 DB에 저장하거나, 혹은 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 위험수준 및 신뢰도 연산식을 이용하여 수집한 보안 이벤트에 대한 위험수준과 신뢰도를 산정하고 산정한 위험수준과 신뢰도를 상기 로그 파일에 추가하여 해당 로그 파일을 DB에 저장하는 다수의 탐지센서(100)와;
    상기 각각의 탐지센서(100)의 DB로부터 보안 이벤트의 로그 파일을 수집하여 각각의 보안 이벤트의 로그 파일을 네트워크 보안 운영 방침을 기준으로 관리자 측에서 설정한 정규화 정보를 포함하는 정규화 로그 파일 형태로 변환하는 로그 파일 정규화부(110);
    상기 로그 파일 정규화부(110)에 의해 정규화된 보안 이벤트의 정규화 로그 파일로부터 식별되는 목적지IP에 대응하는 관리 대상 네트워크의 IT 자산의 자산가치를 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 자산가치 연산식을 이용하여 산정하는 자산가치 산정부(120);
    상기 자산가치 산정부(120)에서 보안 이벤트의 정규화 로그 파일에 대응하여 산정한 네트워크의 IT 자산의 자산가치와 해당 정규화 로그 파일로부터 식별되는 위험수준 및 신뢰도를 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 위험도 연산식에 대입하여 보안 이벤트들의 개별 위험도를 산정하고, 산정한 위험도가 미리 정한 위험도 이상이면 알람 발생 신호를 출력하는 개별 위험도 산정부(130);
    상기 개별 위험도 산정부(130)에서 개별 위험도를 산정한 보안 이벤트 전체의 정규화 로그 파일 중에 네트워크 보안 운영 방침에 따라 목적지IP에 대응한 알람 발생을 필요로 하는 조건을 정의한 관제룰을 만족하는 보안 이벤트들의 정규화 로그 파일이 정해진 횟수 이상 탐지되면 해당 관제룰로부터 식별되는 목적지IP에 대응하는 관리 대상 네트워크의 IT 자산의 자산가치를 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 자산가치 연산식을 이용하여 산정하고, 또한 산정한 네트워크의 IT 자산의 자산가치와 해당 관제룰로부터 식별되는 위험수준 및 신뢰도를 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 위험도 연산식에 대입하여 정해진 횟수 이상 탐지된 보안 이벤트들 전체에 대한 위험도를 산정하고, 산정한 위험도가 미리 정한 위험도 이상이면 알람 발생 신호를 출력하는 전체 위험도 산정부(140); 및
    상기 개별 위험도 산정부(130)의 알람 발생 신호 혹은 상기 전체 위험도 산정부(140)의 알람 발생 신호를 전달받으면 실시간으로 알람을 발생하고 발생한 알람 리스트를 표시하는 알람 발생부(150);
    로 구성되는 것을 특징으로 하는 네트워크 위험도 종합 분석 시스템.
  2. 삭제
  3. 제 1 항에 있어서, 상기 탐지센서(100)는 네트워크에서 발생하는 보안 이벤트들을 실시간으로 수집하여 "이벤트식별자(SID)/이벤트명/출발지IP/목적지IP/출발지PORT/목적지PORT/프로토콜/공격시간"을 포함하거나, 혹은 "이벤트식별자(SID)/이벤트명/출발지IP/목적지IP/출발지PORT/목적지PORT/프로토콜/공격시간/위험수준/신뢰도"를 포함하는 로그 파일 형태로 DB에 저장하는 것을 특징으로 하는 네트워크 위험도 종합 분석 시스템.
  4. 제 1 항에 있어서, 상기 로그 파일 정규화부(110)는 상기 각각의 탐지센서(100)의 DB로부터 수집한 보안 이벤트의 로그 파일을 "탐지센서명/이벤트식별자(SID)/이벤트명/출발지IP/목적지IP/출발지PORT/목적지PORT/프로토콜/발생시간/위험수준/신뢰도"를 정규화 정보로 포함하는 정규화 로그 파일 형태로 변환하는 것을 특징으로 하는 네트워크 위험도 종합 분석 시스템.
  5. 제 1 항에 있어서, 상기 전체 위험도 산정부(140)는 상기 개별 위험도 산정부(130)에서 개별 위험도를 산정한 보안 이벤트 전체의 정규화 로그 파일 중에 네트워크 보안 운영 방침에 따라 목적지IP에 대응한 알람 발생을 필요로 하는 조건으로 "룰명/탐지센서명/이벤트식별자(SID)/이벤트명/출발지IP/목적지IP/출발지PORT/목적지PORT/프로토콜/타임아웃/위험수준/신뢰도/발생횟수"를 정의한 관제룰을 만족하는 보안 이벤트들의 정규화 로그 파일이 정해진 횟수 이상 탐지되면 해당 관제룰로부터 식별되는 목적지IP에 대응하는 관리 대상 네트워크의 IT 자산의 자산가치를 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 자산가치 연산식을 이용하여 산정하는 것을 특징으로 하는 네트워크 위험도 종합 분석 시스템.
  6. 다수의 탐지센서(100)에서 자신이 담당하는 네트워크에서 발생하는 보안 이벤트들을 실시간으로 수집하여 "이벤트식별자(SID)/이벤트명/출발지IP/목적지IP/출발지PORT/목적지PORT/프로토콜/공격시간"을 포함하는 로그 파일 형태로 DB에 저장하거나, 혹은 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 위험수준 및 신뢰도 연산식을 이용하여 수집한 보안 이벤트에 대한 위험수준과 신뢰도를 산정하고 산정한 위험수준과 신뢰도를 상기 로그 파일에 추가하여 "이벤트식별자(SID)/이벤트명/출발지IP/목적지IP/출발지PORT/목적지PORT/프로토콜/공격시간/위험수준/신뢰도"를 포함하는 로그 파일 형태로 DB에 저장하는 제1과정(S10)과;
    로그 파일 정규화부(110)에서 상기 각각의 탐지센서(100)의 DB로부터 보안 이벤트의 로그 파일을 수집하여 각각의 보안 이벤트의 로그 파일을 네트워크 보안 운영 방침을 기준으로 관리자 측에서 설정한 정규화 정보를 포함하는 정규화 로그 파일 형태로 변환하는 제2과정(S15);
    자산가치 산정부(120)에서 상기 로그 파일 정규화부(110)에 의해 정규화된 보안 이벤트의 정규화 로그 파일로부터 식별되는 목적지IP에 대응하는 관리 대상 네트워크의 IT 자산의 자산가치를 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 자산가치 연산식을 이용하여 산정하는 제3과정(S20);
    개별 위험도 산정부(130)에서 상기 자산가치 산정부(120)에서 보안 이벤트의 정규화 로그 파일에 대응하여 산정한 네트워크의 IT 자산의 자산가치와 해당 정규화 로그 파일로부터 식별되는 위험수준 및 신뢰도를 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 위험도 연산식에 대입하여 보안 이벤트들의 개별 위험도를 산정하는 제4과정(S25);
    상기 개별 위험도 산정부(130)에서 산정한 위험도가 미리 정한 위험도 이상인지를 판별하는 제5과정(S30);
    상기 개별 위험도 산정부(130)에서 산정한 위험도가 미리 정한 위험도 이상이면 알람 발생 신호를 출력하는 제6과정(S35);
    상기 개별 위험도 산정부(130)에서 산정한 위험도가 미리 정한 위험도 이상이 아니면, 전체 위험도 산정부(140)에서 상기 개별 위험도 산정부(130)에서 개별 위험도를 산정한 보안 이벤트 전체의 정규화 로그 파일 중에 네트워크 보안 운영 방침에 따라 목적지IP에 대응한 알람 발생을 필요로 하는 조건을 정의한 관제룰을 만족하는 보안 이벤트들의 정규화 로그 파일이 정해진 횟수 이상 탐지되는지를 판별하는 제7과정(S40);
    상기 전체 위험도 산정부(140)에서 상기 관제룰을 만족하는 보안 이벤트들의 정규화 로그 파일이 정해진 횟수 이상 탐지되면 해당 관제룰로부터 식별되는 목적지IP에 대응하는 관리 대상 네트워크의 IT 자산의 자산가치를 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 자산가치 연산식을 이용하여 산정하는 제8과정(S45);
    상기 전체 위험도 산정부(140)에서 산정한 네트워크의 IT 자산의 자산가치와 해당 관제룰로부터 식별되는 위험수준 및 신뢰도를 네트워크 보안 운영 방침을 기준으로 관리자 측에서 정한 위험도 연산식에 대입하여 정해진 횟수 이상 탐지된 보안 이벤트들 전체에 대한 위험도를 산정하는 제9과정(S50);
    상기 전체 위험도 산정부(140)에서 정해진 횟수 이상 탐지된 보안 이벤트들 전체에 대하여 산정한 위험도가 미리 정한 위험도 이상인지를 판별하는 제10과정(S55);
    상기 전체 위험도 산정부(140)에서 정해진 횟수 이상 탐지된 보안 이벤트들 전체에 대하여 산정한 위험도가 미리 정한 위험도 이상이면 알람 발생 신호를 출력하는 제11과정(S60); 및
    상기 알람 발생부(150)에서 상기 제6과정(S35)에서 출력되는 상기 개별 위험도 산정부(130)의 알람 발생 신호 혹은 상기 제11과정(S60)에서 출력되는 상기 전체 위험도 산정부(140)의 알람 발생 신호를 전달받으면 실시간으로 알람을 발생하고 발생한 알람 리스트를 표시하는 제12과정(S65);
    이루어지는 것을 특징으로 하는 네트워크 위험도 종합 분석 방법.
  7. 삭제
  8. 제 6 항에 있어서, 상기 제2과정(S15)에서는 상기 로그 파일 정규화부(110)에서 상기 각각의 탐지센서(100)의 DB로부터 수집한 보안 이벤트의 로그 파일을 "탐지센서명/이벤트식별자(SID)/이벤트명/출발지IP/목적지IP/출발지PORT/목적지PORT/프로토콜/발생시간/위험수준/신뢰도"를 정규화 정보로 포함하는 정규화 로그 파일 형태로 변환하는 것을 특징으로 하는 네트워크 위험도 종합 분석 방법.
  9. 제 6 항에 있어서, 상기 제7과정(S40)에서는 상기 전체 위험도 산정부(140)에서 상기 개별 위험도 산정부(130)에서 개별 위험도를 산정한 보안 이벤트 전체의 정규화 로그 파일 중에 네트워크 보안 운영 방침에 따라 목적지IP에 대응한 알람 발생을 필요로 하는 조건으로 "룰명/탐지센서명/이벤트식별자(SID)/이벤트명/출발지IP/목적지IP/출발지PORT/목적지PORT/프로토콜/타임아웃/위험수준/신뢰도/발생횟수"를 정의한 관제룰을 만족하는 보안 이벤트들의 정규화 로그 파일이 정해진 횟수 이상 탐지되는지를 판별하는 것을 특징으로 하는 네트워크 위험도 종합 분석 방법.
KR1020100020431A 2010-03-08 2010-03-08 네트워크 위험도 종합 분석 시스템 및 그 방법 KR101113615B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100020431A KR101113615B1 (ko) 2010-03-08 2010-03-08 네트워크 위험도 종합 분석 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100020431A KR101113615B1 (ko) 2010-03-08 2010-03-08 네트워크 위험도 종합 분석 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20110101436A KR20110101436A (ko) 2011-09-16
KR101113615B1 true KR101113615B1 (ko) 2012-02-13

Family

ID=44953452

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100020431A KR101113615B1 (ko) 2010-03-08 2010-03-08 네트워크 위험도 종합 분석 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR101113615B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10523697B2 (en) 2017-01-04 2019-12-31 Electronics And Telecommunications Research Institute Method and apparatus for detecting cyberthreats through correlation analysis

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101566363B1 (ko) 2011-12-16 2015-11-06 한국전자통신연구원 규칙 기반 보안 이벤트 연관성 분석장치 및 방법
WO2014116264A1 (en) * 2013-01-28 2014-07-31 Hewlett-Packard Development Company, L.P. Displaying real-time security events
KR101869282B1 (ko) 2016-10-31 2018-06-21 주식회사 윈스 대용량 데이터 수집 및 오버 플로우 이벤트 처리 시스템 및 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100838799B1 (ko) * 2007-03-09 2008-06-17 에스케이 텔레콤주식회사 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100838799B1 (ko) * 2007-03-09 2008-06-17 에스케이 텔레콤주식회사 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10523697B2 (en) 2017-01-04 2019-12-31 Electronics And Telecommunications Research Institute Method and apparatus for detecting cyberthreats through correlation analysis

Also Published As

Publication number Publication date
KR20110101436A (ko) 2011-09-16

Similar Documents

Publication Publication Date Title
KR101814368B1 (ko) 빅데이터 및 인공지능을 이용한 정보 보안 네트워크 통합 관리 시스템 및 그 방법
CN108040493B (zh) 基于低置信度安全事件来检测安全事故的方法和装置
US10749890B1 (en) Systems and methods for improving the ranking and prioritization of attack-related events
CN100511159C (zh) 用于解决对计算机系统的侵入攻击的方法和系统
KR100838799B1 (ko) 해킹 현상을 검출하는 종합보안관리 시스템 및 운용방법
EP2835948B1 (en) Method for processing a signature rule, server and intrusion prevention system
US20100268818A1 (en) Systems and methods for forensic analysis of network behavior
CN113839935B (zh) 网络态势感知方法、装置及系统
Ramaki et al. A survey of IT early warning systems: architectures, challenges, and solutions
Muhammad et al. Integrated security information and event management (siem) with intrusion detection system (ids) for live analysis based on machine learning
Anuar et al. Incident prioritisation using analytic hierarchy process (AHP): Risk Index Model (RIM)
Le et al. Security threat probability computation using markov chain and common vulnerability scoring system
KR20210109292A (ko) 다기능 측정기를 통해 산업현장 설비 관리하는 빅데이터 서버 시스템
KR101113615B1 (ko) 네트워크 위험도 종합 분석 시스템 및 그 방법
CN114640548A (zh) 一种基于大数据的网络安全感知和预警的方法及系统
KR100625096B1 (ko) 트래픽 변화량과 해킹 위협률의 상호 연관성 분석에 기초한예경보 방법 및 그 시스템
Lee et al. A study on efficient log visualization using d3 component against apt: How to visualize security logs efficiently?
Khan et al. Towards augmented proactive cyberthreat intelligence
CN115632884B (zh) 基于事件分析的网络安全态势感知方法与系统
US20230156019A1 (en) Method and system for scoring severity of cyber attacks
Le et al. A threat computation model using a Markov Chain and common vulnerability scoring system and its application to cloud security
Qassim et al. Strategy to Reduce False Alarms in Intrusion Detection and Prevention Systems.
Gonzalez-Granadillo et al. Enhancing information sharing and visualization capabilities in security data analytic platforms
Schneidewind Metrics for mitigating cybersecurity threats to networks
Masduki et al. Leverage intrusion detection system framework for cyber situational awareness system

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150203

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160201

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180201

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20190124

Year of fee payment: 8