KR101137694B1 - 디도스 발생 탐지분석 및 표시를 위한 통합보안관리시스템 및 이에 의한 디도스 발생탐지분석 및 표시방법 - Google Patents

디도스 발생 탐지분석 및 표시를 위한 통합보안관리시스템 및 이에 의한 디도스 발생탐지분석 및 표시방법 Download PDF

Info

Publication number
KR101137694B1
KR101137694B1 KR1020100066879A KR20100066879A KR101137694B1 KR 101137694 B1 KR101137694 B1 KR 101137694B1 KR 1020100066879 A KR1020100066879 A KR 1020100066879A KR 20100066879 A KR20100066879 A KR 20100066879A KR 101137694 B1 KR101137694 B1 KR 101137694B1
Authority
KR
South Korea
Prior art keywords
event log
log information
network
information
display
Prior art date
Application number
KR1020100066879A
Other languages
English (en)
Other versions
KR20120006250A (ko
Inventor
박기담
Original Assignee
주식회사 윈스테크넷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스테크넷 filed Critical 주식회사 윈스테크넷
Priority to KR1020100066879A priority Critical patent/KR101137694B1/ko
Publication of KR20120006250A publication Critical patent/KR20120006250A/ko
Application granted granted Critical
Publication of KR101137694B1 publication Critical patent/KR101137694B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Abstract

본 발명은 통합보안관리시스템에 관한 것으로, 보다 상세하게는 침입 방지 시스템(IPS)이나 침입 탐지 시스템(IDS) 등과 같은 네트워크 장치(보안장비)의 수량이 대규모인 환경(네트워크망 또는 네트워크그룹 등)에서 개별 장비(보안장비, 또는 IP 장비 등)의 네트워크 대역폭(Bandwidth) 단위로 DDoS 발생 상황을 모니터링하고 그에 따른 이벤트로그정보를 수집함으로써, 만약에 DDoS 상황이 발생되면 동일 시간대에 대상IP를 공격한 전체 로그를 분석하여 네트워크 대역폭 (Bandwidth) 단위로 제공함으로써 DDoS 발생시 분석 시간을 초 단위로 단축할 수 있도록 하는 DDoS 발생 탐지분석 및 표시를 위한 통합보안관리시스템에 관한 것이다.
이와 같은 본 발명의 특징은 하나 또는 복수의 네트워크의 보안장비로부터 이벤트로그정보데이터를 전송받고, 전송된 이벤트로그정보데이터로부터 각 보안장비의 패킷임계치와 탐지된 패킷을 비교하여 패킷임계치를 초과하는 이벤트로그를 판별하며, DDoS 발생에 따른 각 보안장비에 대해 패킷임계치를 초과한 초과이벤트로그정보를 추출하고, 추출된 초과이벤트로그정보로부터 디스플레이장치에 표시되도록 하는 표시이벤트로그정보를 추출하며, 상기 초과이벤트로그정보는, 최대로 초과된 순서대로 하여 추출되도록 구비되고, 상기 디스플레이장치에는 네트워크망 정보, 보안장비 정보, 대상 IP 정보에 따른 이벤트로그 정보로 되는 표시이벤트로그정보가 표시되어지되, 패킷임계치를 초과하는 최대 초과패킷순서대로 이벤트로그 정보가 표시되도록 구비되는 것을 특징으로 한다.

Description

디도스 발생 탐지분석 및 표시를 위한 통합보안관리시스템 및 이에 의한 디도스 발생탐지분석 및 표시방법{TOTAL SECURITY MANAGEMENT SYSTEM FOR DDOS DETECTION-ANALYSIS AND DDOS DETECTION-DISPLAY METHOD USING TOTAL SECURITY MANAGEMENT SYSTEM}
본 발명은 통합보안관리시스템에 관한 것으로, 보다 상세하게는 침입 방지 시스템(IPS)이나 침입 탐지 시스템(IDS) 등과 같은 네트워크 장치(보안장비)의 수량이 대규모인 환경(네트워크망 또는 네트워크그룹 등)에서 개별 장비(보안장비, 또는 IP 장비 등)의 네트워크 대역폭(Bandwidth) 단위로 DDoS 발생 상황을 모니터링하고 그에 따른 이벤트로그정보를 수집함으로써, 만약에 DDoS 상황이 발생되면 동일 시간대에 대상IP를 공격한 전체 로그를 대상으로 하여 분석하여 보안장비 및 그룹 단위로 제공함으로써 DDoS 발생시 분석 시간을 초 단위로 단축할 수 있도록 하는 DDoS 발생 탐지분석 및 표시를 위한 통합보안관리시스템에 관한 것이다.
근래들어 초고속 인터넷 등 인터넷을 주로 이용하게 되는 환경이 형성되면서, 해킹, 바이러스침투, 인터넷 침해 등 인터넷망을 이용한 사고가 속출하고 있다. 특히 대형포탈사이트, 정부 또는 공공기관의 서버 등에 대하여, 네트워크 공격으로 인해 서버가 다운되거나 개인 정보 유출 등의 문제가 발생한다면, 상기 포탈 사이트를 운영하는 운영자에게 막대한 피해가 돌아갈 수 있다.
특히 분산 서비스 거부(Distributed Denial of Service, DDoS)의 경우에는 여러 대의 컴퓨터를 일제히 동작하게 하여 특정 사이트에 과도한 부하를 유발하여, 해당 공격받은 서버의 경우 운영이 불가능하게 되는 문제점이 발생되고 있다.
이처럼 특정 사이트를 공격하기 위해 해커가 DDoS 공격을 위한 도구가 되는 프로그램들을 여러 컴퓨터에 심어놓고 목표 사이트의 시스템이 처리할 수 없는 엄청난 분량의 패킷을 동시에 목표 IP(서비스 IP)로 전송함으로써, 해당 IP 운영 시스템이 과부하로 인한 네트워크의 기능을 하지 못하도록 함으로써 시스템 자체의 마비를 유발하는 것이다.
이러한 DDoS 공격을 방어하기 위한 종래기술들은 해당 대상자 IP / Port를 담당하고 있는 장치에서, 해당 IP/Port를 기준으로 침입탐지이벤트가 특정 건수 이상 발생하는 지를 체크하여 DDoS 발생 여부를 판단하였다. 이처럼 개별 네트워크 장비에서 해당 건수를 초과하는 침입탐지이벤트가 발생하는 것을 탐지하게 되면 DDoS 공격으로 간주하여 해당 네트워크장비의 이벤트 로그에서 공격자 IP, 대상자 IP를 개별적으로 검색하여 공격유형 및 공격대상을 분석하였다. 이처럼 개별 네트워크 장비에 의한 방법에는 네트워크 회선 용량 (Bandwidth)에 따른 임계치 산정이 누락되어 있고 해당 장비들이 다수인 경우 DDoS 공격 발생을 전체적으로 모니터링하기에는 한계가 있는 것이다.
특히 100M 회선의 개별 장비에서 볼 때 발생하는 이벤트로그용량이 10M 이벤트 로그로 발생할 경우와, 1G 네트워크회선의 개별 장비에서 10M 이벤트 로그로 발생할 때는 동일한 10M 이벤트 로그가 발생되더라도 그 비중이 서로 상이하여 동일한 이벤트 로그라 할지라도 회선에 따른 그 중요도가 다름을 분별하지 못하고 동일하게 체크되는 문제점이 있는 것이다. 즉 100M 회선의 장비에서의 10M 이벤트로그에 대한 중요도와, 1G 회선의 장비에서의 10M 이벤트로그에 대한 중요도가 서로 다르게 판별하여야 하나 일반적인 종래의 보안장비로는 모두 동일하게 취급하게 되므로, 같은 기준의 DDoS 판별 장비에 의하면 용량별, 장비별 DDoS 발생여부를 정확하게 분별하기가 곤란한 것이다.
뿐만 아니라, DDoS가 발생하였다고 인지를 하더라도, 1차 대응은 공격자 IP와 공격자 Port를 검색하고 난 후에라야, 검색 결과 로그를 바탕으로 하여 새로이 분석하는 과정을 거쳐야 하고, 또한 해당 공격자 IP가 거쳐온 네트워크 경로를 별도로 또 파악해 내야만 하는 등, 다수의 단계의 과정을 오랜 시간에 걸쳐서 분석해야하는 어려움이 있었다. 특히 DDoS와 같은 공격자IP가 다량인 경우 분석에만 수십 분 내지 수시간 이상이 소요되지만, 일반적으로 DDoS 공격에 있어서, 1차 공격후 빠르게는 수분 내에 2차 공격도 발생되기 때문에 재차 공격에 적극 방어하기가 곤란한 문제점이 있는 것이다. 이는 특히 전체적인 DDoS 통합관리의 부재로 인한 것이므로, 이처럼 통합관리 및 빠른 분석에 대한 요구가 절실한 것이다.
상기와 같은 문제점을 해소하기 위한 본 발명은 침입 방지 시스템(IPS)이나 침입 탐지 시스템(IDS) 등과 같은 네트워크 장치(보안장비)의 수량이 대규모인 환경(네트워크망 또는 네트워크그룹 등)에서 개별 장비(보안장비, 또는 IP 장비 등)의 네트워크 대역폭(Bandwidth) 단위로 DDoS 발생 상황을 모니터링하고 그에 따른 이벤트로그정보를 수집함으로써, 만약에 DDoS 상황이 발생되면 동일 시간대에 대상IP를 공격한 전체 로그를 분석하여 네트워크 대역폭 (Bandwidth) 단위로 제공함으로써 DDoS 발생시 분석 시간을 초 단위로 단축할 수 있도록 하는 목적이 있다.
그리고 DDoS 발생을 효과적으로 탐지할 뿐만 아니라, 관련성이 있는 네트워크 망, 그룹별, 해당 보안 장비별, 해당 개별 IP 장비별 등 다양한 단위로 하여 관련 로그 및 관련정보 등을 동시에 분석하여 제공함으로써 DDoS 발생 확인 및 분석까지 One-Point 판별탐지구성이 이루어지도록 하면서, 또한 아울러 One-Point View 모니터링이 가능하도록 하여 보다 효율적으로 DDoS 탐지분석의 편리성을 제공하도록 하는 것이다.
상기와 같은 목적을 달성하기 위한 본 발명은, 하나 또는 복수의 네트워크의 보안장비로부터 이벤트로그정보데이터를 전송받고, 전송된 이벤트로그정보데이터로부터 각 보안장비의 패킷임계치와 탐지된 패킷을 비교하여 패킷임계치를 초과하는 이벤트로그를 판별하며, DDoS 발생에 따른 각 보안장비에 대해 패킷임계치를 초과한 초과이벤트로그정보를 추출하고, 추출된 초과이벤트로그정보로부터 디스플레이장치에 표시되도록 하는 표시이벤트로그정보를 추출하며, 상기 초과이벤트로그정보는, 최대로 초과된 순서대로 하여 추출되도록 구비되고, 상기 디스플레이장치에는 네트워크망 정보, 보안장비 정보, 대상 IP 정보에 따른 이벤트로그 정보로 되는 표시이벤트로그정보가 표시되어지되, 패킷임계치를 초과하는 최대 초과패킷순서대로 이벤트로그 정보가 표시되도록 구비되는 것을 특징으로 하는 DDoS 발생 탐지분석 및 표시를 위한 통합보안관리시스템이 제공된다.
또한 본 발명은, 하나 또는 복수의 네트워크(11)의 보안장비(12)로부터 이벤트로그정보데이터를 전송받아 데이터저장부(20)의 이벤트로그정보저장부(21)에 저장되도록 하는 이벤트로그정보수집모듈(30); 상기 이벤트로그정보저장부(21)에 저장된 이벤트로그정보데이터로부터 각 보안장비(12) 별로 하여 패킷임계치와 탐지된 패킷을 비교하고, 각 보안장비(12) 별로 하여 패킷임계치를 초과하는 이벤트로그를 판별하며, 각 보안장비(12) 별로 하여 패킷임계치를 초과한 패킷에 대한 초과이벤트로그정보를 추출하여 데이터저장부에 저장되도록 하는 DDoS발생체크모듈(40); 상기 DDoS발생체크모듈(40)을 통하여 각 보안장비(12) 별로 패킷임계치를 초과한 패킷에 대한 초과이벤트로그정보로부터 디스플레이장치(100)에 표시되는 표시이벤트로그정보를 추출하여 데이터저장부에 저장되도록 하는 표시이벤트추출모듈(50); 상기 표시이벤트추출모듈(50)에 의해 추출되어 데이터저장부(20)에 저장된 표시이벤트로그정보가 디스플레이장치(100)에 표시되도록 데이터처리하는 클라이언트어플리케이션모듈(60); 상기 이벤트로그정보수집모듈(30)을 통하여 각 보안장비(12)에서 전송된 이벤트로그정보데이터가 저장되도록 하고, 각 보안장비(12)에 따른 패킷임계치 정보가 저장되도록 하며, 상기 DDoS발생체크모듈(40)을 통하여 각 보안장비(12) 단위별로 패킷임계치를 초과한 패킷에 대해 추출된 초과이벤트로그정보가 저장되도록 하고, 상기 표시이벤트추출모듈(50)에서 추출된 디스플레이장치(100)에 표시되는 표시이벤트로그정보가 저장되도록 하는 데이터저장부(20)가 포함되어 구비되는 것을 특징으로 하는 DDoS 발생 탐지분석 및 표시를 위한 통합보안관리시스템이 제공된다.
이에 상기 네트워크(11)로는 시스템구성, 멀티포인트연결구성, 교환망구성 중에서 어느 한가지 이상이 구비되고, 상기 보안장비(12)로는 침입탐지시스템(IDS), 침입방지시스템(IPS)이 구비되며, 상기 DDoS발생체크모듈(40)은, 각 보안장비(12) 별 패킷임계치를 초과한 초과이벤트로그정보 중에서, 최대로 초과한 최대초과이벤트로그정보를 순서대로 하는 Top N(N = 2 ~ 50)의 초과이벤트로그정보를 추출하여 저장되도록 구비될 수 있다.
또한 상기 디스플레이장치(100)는 네트워크(11)의 보안장비(12)에 대한 이벤트로그정보데이터가 표시되는 이벤트로그정보표시창(110)이 구비되어지되, 상기 이벤트로그정보표시창(110)은, 지구본 형상 이미지가 중앙에 표시되고, 주위로 다수의 네트워크의 망이 표시되는 네트워크망표시창(111); DDoS 발생이 탐지되어 상기 DDoS발생체크모듈(40)과 표시이벤트추출모듈(50)을 통하여 추출되어 디스플레이장치(100)에 표시되는 표시이벤트로그정보데이터가 표시되어지되, 네트워크망에 따른 보안장비 정보가 표시되는 망-장비표시창(112); DDoS 발생이 탐지되어 네트워크망에 대한 정보가 초과된 최대 패킷의 순차로 표시되어지되, 각 네트워크망에 따른 이벤트로그정보가 표시되도록 하는 네트워크망순차표시창(113); 선택된 장비정보에 해당하는 이벤트로그 정보가 초과된 최대 패킷의 순서대로 표시되는 장비정보-패킷순차표시창(114); 선택된 네트워크망에 해당하는 이벤트로그 정보가 초과된 최대 패킷의 순서대로 표시되는 네트워크-패킷순차표시창(115); 선택된 IP 정보에 해당하는 이벤트로그 정보가 초과된 최대 패킷의 순서대로 표시되는 IP-이벤트로그표시창(116)이 포함되어 구비될 수 있다.
그리고 본 발명은, 하나 또는 복수의 네트워크의 보안장비로부터 이벤트로그정보데이터를 이벤트로그정보수집모듈(30)을 통하여 전송받아 데이터저장부(20)에 저장되도록 하는 이벤트로그정보수집단계(S01); 상기 데이터저장부(20)에 저장된 각 보안장비에 대한 이벤트로그정보를 DDoS발생체크모듈(40)에서 리딩하여 각 보안장비의 패킷 임계치를 초과하는 초과이벤트로그정보를 추출하여 데이터저장부(20)에 저장되도록 하는 패킷임계치초과데이터추출단계(S02); 각 보안장비의 패킷 임계치를 초과하는 초과이벤트로그정보 중에서 최대치로 초과하는 이벤트정보인 최대초과이벤트로그정보를 추출하되, 최대로 초과된 순서로 하여 Top N(N = 2 ~ 50)의 순서로 추출되어 저장되도록 하는 최대초과이벤트로그정보 추출단계(S03); 표시이벤트추출모듈(50)에 의하여 최대초과이벤트로그정보에 대해 네트워크망 정보, 보안장비의 정보, 대상 IP 정보에 따른 이벤트로그정보가 분석되고 분류추출되어 표시이벤트로그정보로 추출되어 저장되도록 하는 이벤트로그정보분석추출단계(S04); 상기 이벤트로그정보분석추출단계(S04)에 의해 네트워크망 정보, 보안장비의 정보, 대상 IP 정보에 따라 분석되어 분류추출된 표시이벤트로그정보가 클라이언트어플리케이션모듈(60)을 통하여 디스플레이장치(100)로 전송되어 이벤트로그정보표시창(110)에 표시되도록 하는 이벤트로그정보표시단계(S05)가 포함되어 구비되는 것을 특징으로 하는 DDoS 발생 탐지분석 및 표시를 위한 통합보안관리시스템에 의한 DDoS 발생탐지분석 및 표시방법이 제공된다.
상기와 같이 구성되는 본 발명은 침입 방지 시스템(IPS)이나 침입 탐지 시스템(IDS) 등과 같은 네트워크 장치(보안장비)의 수량이 대규모인 환경(네트워크망 또는 네트워크그룹 등)에서 개별 장비(보안장비, 또는 IP 장비 등)의 네트워크 대역폭(Bandwidth) 단위로 DDoS 발생 상황을 모니터링하고 그에 따른 이벤트로그정보를 수집함으로써, 만약에 DDoS 상황이 발생되면 동일 시간대에 대상IP를 공격한 전체 로그를 분석하여 네트워크 대역폭 (Bandwidth) 단위로 제공함으로써 DDoS 발생시 분석 시간을 초 단위로 단축할 수 있도록 하는 탁월한 효과가 있다.
특히 DDoS 발생을 효과적으로 탐지할 뿐만 아니라, 관련성이 있는 네트워크 망, 그룹별, 해당 보안 장비별, 해당 개별 IP 장비별 등 다양한 단위로 하여 관련 로그 및 관련정보 등을 동시에 분석하여 제공함으로써 DDoS 발생 확인 및 분석까지 One-Point 판별탐지구성이 이루어지도록 하면서, 또한 아울러 One-Point View 모니터링이 가능하도록 하여 보다 효율적으로 DDoS 탐지분석의 편리성을 제공하는 효과가 있다.
특히 근래의 네트워크 망은 더욱 대형화되고 있고, 트래픽은 더욱 복잡해지고 있으며, 그에 따라 DDoS 발생시 개별 네트워크 내에서 발생된 것인지, 또는 연관된 타 네트워크에서 발생된 것인지, 아니면 외부에서 발생된 것인지 여부를 순차적으로 오랜 판별 시간을 소요해야만 알 수 있고, 이처럼 차례로 로그를 분석해야하는 복잡한 절차를 거쳐야 할 뿐만 아니라 분석에도 상당한 시간과 노력이 필요하게 되나, 본 발명에 의하면 DDoS 발생 범위, 목적지, 발생지, 공격명, 등 다양한 내용이 거의 동시에 짧은 시간으로 하여 탐지분석이 가능하게 되는 것이다.
도 1은 본 발명에 따른 통합보안관리시스템에 대한 개략적인 블럭 구성도.
도 2는 본 발명에 따른 통합보안관리시스템에 대한 개략적인 처리 순서도.
도 3은 본 발명에 따른 통합보안관리시스템에 대한 전체 제어 구성도.
도 4는 본 발명에 따른 통합보안관리시스템에 대한 처리 흐름도.
도 5는 본 발명에 따른 통합보안관리시스템이 적용된 통신망에 대한 개략적인 예시도.
도 6은 본 발명에 따른 통합보안관리시스템에 의한 처리 실시예시도.
도 7 내지 도 16은 본 발명에 따른 통합보안관리시스템에 의해 표시되는 내용의 일실시 예시도.
이하 첨부되는 도면을 참조하여 상세히 설명한다.
즉 본 발명에 따른 DDoS 발생 탐지분석 및 표시를 위한 통합보안관리시스템(10) 그리고 그 분석 및 표시방법은 도 1 내지 도 16 등에 도시된 바와 같이, 하나 또는 복수의 보안장비로부터 이벤트로그정보데이터를 전송받아 처리하는 과정에 의하여 DDoS 탐지 및 분석 데이터를 효과적으로 추출하고, 이에 따른 추출 데이터를 디스플레이장치(100)에 표시되도록 하는 것이다.
특히 본 발명에 따른 통합보안관리시스템(10)에서는 단일의 보안장비에 의한 DDoS 발생여부만 확인하도록 하는 것이 아니라, 다수의 보안장비들로부터 이벤트 정보를 제공받고 이러한 이벤트 정보를 기초로 하여 여러 보안장비들 사이에서 나타나는 DDoS 공격 추이를 통합적으로 살필 수 있도록 하는 것이다.
그리고 이러한 이벤트 정보를 이용하여 DDoS 공격 분석과 관련하여 해당 보안장비별로 이벤트의 한계 임계치가 대부분 정하여지는 바, 이러한 해당 보안장비에서의 임계치를 넘어서는 이벤트를 추출함으로써, DDoS 추이를 더욱 정확하면서 빠르게 분별할 수 있고 따라서 용이하게 추이를 분석할 수 있을 것이다.
또한 이처럼 분별된 보안장비별, 네트워크망별 분석 데이터는 발생된 이벤트 Top N의 순서에 따라 손쉽게 알아볼 수 있도록 최대 이벤트 정보(Top)를 추출하고, 추출된 최대 이벤트 정보의 순서로부터 일정 이벤트가 초과된 순서대로 수개(대략 3 ~ 50개 정도)를 순서대로 나열되어 표시되도록 하는 것이다. 따라서 관리자는 디스플레이장치(100)에 표시된 내용을 보고 쉽게 DDoS 관련 분석내용을 살필 수 있을 것이다.
이에 최대 이벤트정보 Top N의 수를 3개 이하일 경우에는 너무 한정된 이벤트 관련 정보만을 보여줄 수 있어, 다양한 공격에 대응하지 못할 수 있고, 반면 Top 50 이상일 경우에는 너무 많은 사례로 인하여 쉽게 수렴된 사항을 분별하기가 곤란할 수 있을 것이다. 이에 보다 바람직하게는 Top 3 내지 Top 20 정도로 함이 좋을 듯 하며, 보다 특정되어 살피고자 할 경우에는 Top 3 내지 Top 5 정도로 보여지도록 할 경우에는, 발생 IP 특정, 목표 IP 특정, 관련 장비 특정, 네트워크망 특정 등 주되게 특정된 주요 발생, 주요 원인 분석에 대해 일목요연하게 살필 수 있을 것이다.
특히 본 발명에 따른 통합보안관리시스템(10)에 의하여 디스플레이장치(100)에 보여지도록 하는 DDoS 관련 이벤트 정보의 내용으로는, 최대 이벤트 Top 에 대해서, 각각의 해당 네트워크망별(서울망, 대전망 등), 각각의 해당 보안장비(IPS, IDS 등), 공격자 IP, 목적지 IP, 해당 이벤트의 패킷수 등 다양한 형태의 이벤트 관련 정보가 보여지도록 하고, 최대 이벤트의 TOP N 정보, 해당 이벤트 정보별(네트워크망, 보안장비, 개별 IP, 패킷수 등)로 하는 TOP N 정보 등이 최대 순서대로 표시되도록 할 수 있다.
그리고 이처럼 이벤트 정보별로 하여 TOP N 정보가 보여지도록 하기 위하여, 개별 정보별로 데이터를 추출하도록 통합보안관리시스템(10)이 구성되는 것이다.
또한 다수의 네트워크망, 다수의 보안장비에 대해서 개별 IP 장비들에는 그 해당 장비별로 패킷의 임계치가 서로 다르게 된다. 즉 웹서버용 IP 장비, 개발서버용 IP 장비, 일반 사용자용 IP 장비 등 다양한 IP 장비들이 있으며, 이들 장비들은 인터넷 망 또는 내부 네트워크를 통하여 통신을 하게 될 것이다. 이에 이들 장비들은 각각 통신을 위한 패킷 용량이 상이할 수 있고, 또한 이들 장비는 각각 개별 방화벽이 설치된 보안장비와 함께 연결되어, 외부 인터넷망(또는 일부는 내부 네트워크에 대해서)과는 보안장비를 거쳐야만 해당 IP 장비들이 통신할 수 있도록 함으로써 접근이 가능하게 될 것이다.
특히 다양한 종류의 IP 장비들은 패킷의 임계치가 서로 상이하게 되고, 이에 따라 보안장비에서는 개별 보안장비와 연결된 IP 장비의 종류 및 이러한 IP 장비와 연결된 보안장비에 따라 설정되는 패킷 임계치가 서로 상이하게 될 것이다.
그리하여 통합보안관리시스템(10)에서는 개별 네트워크망에서 이용되는 개별 IP 장비들의 종류에 따라 이들에 할당되는 패킷 임계치를 산출하게 되는 것이다. 이러한 패킷 임계치는 개별 네트워크망의 보안장비 또는 해당 IP 장비들로부터 패킷 임계치 정보를 제공받을 수도 있고, 또는 보안장비 또는 해당 IP 장비들의 종류에 대한 정보만 제공받고 이러한 장비정보에 따라 미리 입력된 정보 데이터를 바탕으로 하여 해당 보안장비 또는 해당 IP 장비들에 대해 정해진 임계치를 산출하도록 함으로써 개별 장비들의 패킷 임계치를 정하도록 마련될 수도 있을 것이다. 물론 이러한 개별 보안장비 또는 개별 IP 장비에 따른 임계치 설정 예시 분류 데이터는 통합보안관리시스템(10)과 연결되는 데이터베이스에 미리 저장되어 운영될 수 있는 것으로, 웹서버용일 경우에는 대략 500 ~ 1000M bps, 개발서버의 경우에는 대략 500M bps, 일반 사용자일 경우에는 대략 10M bps 정도 등, 이용되는 네트워크 망의 사용에 따라 알맞게 하여 임계치를 설정할 수 있을 것이다.
따라서 개별 네트워크망 별로 해당 보안장비에서는 통합보안관리시스템(10) 측으로, 패킷 이벤트 정보를 제공하면서 해당 장비에 대한 정보도 함께 제공할 수 있을 것이다. 또한 해당 장비에 대한 패킷 임계치 정보도 함께 제공할 수도 있고, 해당 장비의 정보를 수신받은 통합보안관리시스템(10)에서 해당 장비의 종류에 따라 기 저장된 분류 데이터에 의하여 해당 장비의 패킷 임계치 정보가 설정되도록 마련될 수도 있을 것이다.
따라서 개별 네트워크망의 보안장비를 통하여 전송되는 이벤트 정보에 대해서, 개별 네트워크망의 보안장비로부터 해당 보안장비를 통하여 해당 IP 장치로 통신하게 되는 패킷의 이벤트 정보를 추출하는 단계, 이렇게 추출된 정보가 보안장비로부터 통합보안관리시스템(10)으로 전송되어 저장되도록 하는 단계, 해당 전송된 이벤트정보에 대하여 해당 보안장비 또는 해당 IP 장비에 대한 임계치를 초과하였는지 여부를 판별하는 단계, 필요한 경우 임계치를 초과한 개별 정보에 대한 Top N 정보 데이터를 추출하는 단계, 그리고 이렇게 추출된 각 분야의 Top N 추출 데이터가 표시되도록 하는 단계로 하여 진행되며, 이에 필요한 데이터는 사용자에 의하여 입력되어 정하여질 수 있고, 이에 표시되는 데이터의 형태나 종류도 또한 사용자에 의하여 입력되어 새로이 표시 방식이 정해지거나 기 입력된 데이터 표시 방식에 의하여 정하여질 수 있을 것이다.
이상에서와 같이 마련되는 본 발명에 따른 DDoS 발생 탐지분석 및 표시를 위한 통합보안관리시스템(10)에 있어서의 세부 구성을 살펴보면 아래와 같다.
우선 통합보안관리시스템(10)에서의 대체적인 작동과정을 살펴보면, 전송된 이벤트로그정보데이터로부터 각 보안장비의 패킷임계치와 탐지된 패킷을 비교하여 패킷임계치를 초과하는 이벤트로그를 판별하게 된다.
그리고 DDoS 발생에 따른 각 보안장비에 대해 해당 패킷임계치를 초과한 초과이벤트로그정보를 추출하게 된다.
또한 추출된 초과이벤트로그정보로부터 디스플레이장치에 표시되도록 하는 표시이벤트로그정보를 추출하게 된다.
이에 상기 초과이벤트로그정보는, 최대로 초과된 순서대로 Top N(N = 3 ~ 50)(바람직하게는 N = 3 ~ 20, 또는 N = 3 ~ 5로 실시될 수도 있음) 의 순서로 추출되도록 구비되는 것이다. 또한 상기의 추출된 데이터들을 바탕으로 하여, 초과이벤트로그정보에 대한 Top N 정보를 추출하도록 할 수도 있고, 기타 목적지 IP 정보의 Top N 정보, 패킷 데이터에 대한 Top N 정보, 장비 정보에 대한 Top N 정보, 보안장비 종류에 대한 Top N 정보, 네트워크 망에 대한 Top N 정보 등 다양한 정보에 있어서의 Top N 정보를 추출하여 제공될 수도 있으며, 이처럼 Top N 정보로 추출되어 보여지도록 하는 것은 해당 보안 내용 및 DDoS 공격 양태에 따라 정하여질 수도 있을 것이다.
그리고 상기 디스플레이장치에는 네트워크망 정보, 보안장비 정보, 대상 IP 정보에 따른 이벤트로그 정보로 되는 표시이벤트로그정보가 표시되어지되, 패킷임계치를 초과하는 최대 초과패킷순서대로 이벤트로그 정보가 표시되도록 구비되도록 하여 본 발명에 따른 DDoS 발생 탐지분석 및 표시를 위한 통합보안관리시스템(10)이 마련되는 것이다.
특히 디스플레이되는 해당 정보의 내용은 네트워크 내용, DDoS 공격 양태, 목적지 IP 정보, 보안장비 등에 따라 알맞게 선정되어 표시되도록 할 수 있을 것이다.
이를 위한 본 발명에 따른 DDoS 발생 탐지분석 및 표시를 위한 통합보안관리시스템(10)의 세부 구성을 살펴보면 다음과 같다.
우선 하나 또는 복수의 네트워크(11)의 보안장비(12)로부터 이벤트로그정보데이터를 전송받아 데이터저장부(20)의 이벤트로그정보저장부(21)에 저장되도록 하는 이벤트로그정보수집모듈(30)이 구비되는 것이다.
물론 각 보안장비(12)는 해당 네트워크(11)의 하나 또는 복수의 IP 장비와 연결되는 것으로 개별 IP 장비들로 전송되는 패킷 데이터는 해당 네트워크의 보안장비(12)를 거쳐서 개별 IP 장비들로 전송되게 되며, 이처럼 전송되는 패킷 데이터에 대한 이벤트 정보는 보안장비(12)에 의하여 이벤트로그정보가 수집되는 것이다. 그리고 이러한 보안장비에 의해 수집된 이벤트로그정보는 통합보안관리시스템(10) 측으로 전송되어 저장되는 것이다. 이와 함께 해당 네트워크망에 대한 정보, 해당 보안장비 및 해당 IP 장비에 대한 정보, 특히 해당 IP에 대한 패킷 임계치 정보, 또는 해당 보안장비에 대한 패킷 임계치 정보 등, 다양한 정보가 함께 수집되어 통합보안관리시스템 측으로 전송될 수 있을 것이다.
그리고 상기 이벤트로그정보저장부(21)에 저장된 이벤트로그정보데이터로부터 각 보안장비(12) 별로 하여 패킷임계치와 탐지된 패킷을 비교하고, 각 보안장비(12) 별로 하여 패킷임계치를 초과하는 이벤트로그를 판별하며, 각 보안장비(12) 별로 하여 패킷임계치를 초과한 패킷에 대한 초과이벤트로그정보를 추출하여 데이터저장부에 저장되도록 하는 DDoS발생체크모듈(40)이 구비된다.
이에 해당 보안장비(12) 별 패킷 임계치와 관련된 데이터는 해당 보안장비로부터 제공될 수도 있으며, 또는 해당 보안장비 혹은 해당 보안장비와 연결된 개별 IP 장비에 대한 정보를 토대로 하여 분류된 정보에 의해 패킷 임계치 기준데이터가 산출되도록 마련될 수도 있을 것이다. 물론 패킷 임계치 기준데이터의 산출은 미리 저장되어 운영될 수 있는 것으로, 그 예로 웹서버용 IP 장비일 경우에는 임계치를 500M bps에서 1000M bps로 하여 정하여질 수 있고, 개발서버용 IP 장비에 대해서는 임계치가 500M bps로 정하여질 수도 있으며, 또한 일반 사용자 유저에 대한 IP 장비일 경우에는 10M bps로 하여 패킷 임계치가 미리 산정되어 분류된 데이터가 저장되도록 마련될 수도 있을 것이다. 따라서 해당 네트워크망의 보안장비로부터 전송된 보안장비의 종류 또는 해당 보안장비와 연결되는 IP 장비에 대한 정보를 기초로 하여 분류된 패킷 임계치 정보를 산출하여 정하여질 수도 있을 것이다.
따라서 DDoS발생체크모듈(40)에서 해당 네트워크망의 보안장비로부터 제공된 패킷임계치 정보 또는 해당 보안장비에 따라 산출된 패킷임계치 정보를 바탕으로 하여, 해당 네트워크망의 보안장비에서 수집되어 전송된 해당 이벤트로그정보로부터 패킷임계치를 초과하는 초과이벤트로그정보를 추출하게 되는 것이다.
이처럼 해당 보안장비별로 하여 패킷임계치를 초과한 초과이벤트로그정보가 추출되는 경우에는 해당 보안장비 및 해당 IP 장비를 대상으로 하여 DDoS 공격이 우려되는 경우로 정하여질 것이다. 따라서 이처럼 패킷 임계치를 초과하는 네트워크망의 보안장비에 따른 관련정보를 산출하여야 할 것이다. 그리고 이와 연관되는 다른 정보들과 함께 비교할 수 있도록 함으로써, 진정한 DDoS 공격여부 및 DDoS 공격 추이 등을 용이하게 분석할 수 있어야 할 것이다.
이에 대하여 상기 DDoS발생체크모듈(40)을 통하여 각 보안장비(12) 별로 패킷임계치를 초과한 패킷에 대한 초과이벤트로그정보로부터 디스플레이장치(100)에 표시되는 표시이벤트로그정보를 추출하여 데이터저장부에 저장되도록 하는 표시이벤트추출모듈(50)이 구비될 수 있을 것이다.
이처럼 표시이벤트추출모듈(50)에 의하여 추출되는 표시이벤트로그정보는, 추출되기에 앞서, 사용자로부터 추출되게 되는 사항을 입력받거나 설정되어질 것이다. 즉 사용자는 디스플레이장치(100)를 통하여 보고 싶은 사항으로 하여, 초과이벤트로그정보를 중심으로 하여 다양한 정보표시 방식에 의하여 보여지도록 정할 수 있을 것이다. 그 예로, 도 5 내지 도 16 등에서와 같이, 단순히 네트워크망이 표시되도록 하거나, 또는 도 6에서와 같이 통합보안관리시스템(10)을 통하여 처리되는 데이터의 현황정보를 볼 수 있도록 정할 수도 있을 것이다.
특히 도 8 내지 도 16 등에서와 같이, DDoS 공격과 관련된 데이터가 표시되는 것으로, 보안장비(도 8 내지 도 16 등에서는 '센서'로 표기됨)를 중심으로 하여 표시되도록 하거나, 네트워크망별로 표시되도록 하거나, 패킷데이터 순차로 하여 표시되도록 하거나, 발생지IP 또는 목적지IP 순차로 하여 표시되도록 제한 명령을 입력할 수도 있을 것이다. 아울러 각 데이터들은 초과이벤트의 최대패킷으로부터 Top N의 범위를 사용자가 정해서 입력할 수 있는 것으로, 각각의 일 예로는 대략 네트워크망에 있어서의 Top N의 범위로는 대략 N = 1 ~ 5 정도로 할 수도 있고, 초과 최대 패킷에 대한 장비정보에 있어서 Top N의 범위로는 대략 N = 3 ~ 30 정도 또는 필요한 경우 그 이상으로 될 수도 있으며, 목적지 IP 또는 발생지 IP에 대한 Top N의 범위로는 대략 N = 2 ~ 20 정도 등으로 하여 보여지도록 설정될 수도 있을 것이다. 따라서 표시이벤트추출모듈(50)에서는 표시되게 되는 대상, 그리고 그 범위 등에 대한 정보가 사용자로부터 입력됨에 의하여 추출된 초과이벤트로그정보로부터 표시이벤트로그정보를 추출하게 되는 것이다. 그리고 상기의 Top N에서의 범위예에 대한 수치는 설명을 위하여 일 실시예로 들은 것으로, 이에 한정되는 것은 아니며, 네트워크망이라던가, 보안장비 또는 해당 DDoS 공격정보나 방식 등에 따라서 알맞게 정하여져 실시될 수 있을 것이다.
그리고 상기 표시이벤트추출모듈(50)에 의해 추출되어 데이터저장부(20)에 저장된 표시이벤트로그정보가 디스플레이장치(100)에 표시되도록 데이터처리하는 클라이언트어플리케이션모듈(60)(Client application module)이 구비된다.
이러한 클라이언트어플리케이션모듈(60)에 의하여, 추출된 표시이벤트로그정보의 데이터를 전송받아 디스플레이장치(100)로 전송되도록 데이터변환되고, 또한 변환된 데이터를 디스플레이장치(100)에 전송되어 결국 디스플레이장치(100)에 표시될 수 있는 것이다.
아울러 상기 이벤트로그정보수집모듈(30)을 통하여 각 보안장비(12)에서 전송된 이벤트로그정보데이터가 저장되도록 하고, 각 보안장비(12)에 따른 패킷임계치 정보가 저장되도록 하며, 상기 DDoS발생체크모듈(40)을 통하여 각 보안장비(12) 단위별로 패킷임계치를 초과한 패킷에 대해 추출된 초과이벤트로그정보가 저장되도록 하고, 상기 표시이벤트추출모듈(50)에서 추출된 디스플레이장치(100)에 표시되는 표시이벤트로그정보가 저장되도록 하는 데이터저장부(20)가 구비되는 것이다.
기타 데이터저장부(20)에는 전체 통합보안관리시스템(10)의 운영을 위한 데이터가 저장될 수 있고, 과거 DDoS 공격과 같은 외부 침입 또는 바이러스, 해킹과 관련된 정보 데이터가 저장되어, 급속하게 작용하는 DDoS 공격에 대한 발생탐지 및 분석 과정이 용이하도록 마련될 수 있을 것이다.
이에 상기 네트워크(11)로는 시스템구성, 멀티포인트연결구성, 교환망구성 등 다양한 종류의 네트워크 구성이 마련될 수 있을 것이다. 물론 이러한 네트워크망의 범위 또는 이러한 하나 또는 다수의 네트워크망과 연결되는 통합보안관리시스템(10) 등은 하나의 회사 내부의 시스템을 관리하도록 마련될 수도 있고, 대한민국과 같이 한 나라 전체 또는 나라의 일부 지역 전체, 또는 전국이나 전세계의 지점을 개설한 회사 또는 단체의 네트워크망 및 전체 관리시스템으로도 구성될 수도 있을 것이다. 나아가 전세계를 상대로 하여 각각 주요 거점 통합보안관리시스템으로 하는 네트워크망으로 설정하게 되고, 이들 주요 거점 통합보안관리시스템으로 하는 네트워크망들과 연결되도록 하여 전세계의 주요 망에 대한 점검을 할 수 있도록 하는 전체 통합형태의 전체 토탈의 통합보안관리시스템으로 하여 마련될 수도 있을 것이다. 이처럼 네트워크망 및 통합보안관리시스템의 구성 및 범위는 설치되어 운영되는 상황에 알맞게 정하여져 실시될 수 있을 것이다.
또한 상기 보안장비(12)로는 침입탐지시스템(IDS), 침입방지시스템(IPS)으로 하는 보안장비로 하여 구비될 수 있을 것이다. 물론 이러한 보안장비의 종류 및 형태는 IDS, IPS 이외에도 다수의 네트워크 사이를 통신하게 되는 이벤트 패킷의 용량을 수집할 수 있는 장비라면 그 종류 및 범위나 형태를 제한하지 않고 정하여져 실시될 수 있을 것이다.
그리고 상기 DDoS발생체크모듈(40)은, 각 보안장비(12) 별 패킷임계치를 초과한 초과이벤트로그정보 중에서, 최대로 초과한 최대초과이벤트로그정보를 순서대로 하는 Top N(N = 2 ~ 50, 보다 바람직하게는 N = 3 ~ 20 또는 5 등)의 초과이벤트로그정보를 추출하여 저장되도록 구비될 수 있을 것이다.
또한 상기 데이터저장부(20)에는 다양한 데이터가 저장되는 것으로 기본적으로 통합보안관리시스템(10)의 운영을 위한 데이터가 저장될 것이다.
그리고 상기 이벤트로그정보수집모듈(30)을 통하여 각 보안장비(12)에서 전송된 이벤트로그정보데이터가 저장되는 이벤트로그정보저장부(21)가 구비되는 것이다. 이에 이러한 이벤트로그정보저장부(21)에 저장되는 이벤트로그정보데이터와 함께 보안장비로부터 해당 보안장비 또는 해당 IP 장비에 대한 정보도 함께 수신받아 데이터저장부(20)에 저장될 것이다.
또한 상기 DDoS발생체크모듈(40)을 통하여 각 보안장비(12) 별로 패킷임계치를 초과한 패킷에 대해 추출된 초과이벤트로그정보 데이터가 저장되는 초과이벤트로그정보저장부(22)가 마련될 것이다.
그리고 상기 표시이벤트추출모듈(50)에서 추출되어 디스플레이장치(100)에 표시되는 표시이벤트로그정보 데이터가 저장되는 표시이벤트로그정보저장부(23)가 구비될 것이다. 이러한 표시이벤트로그정보저장부(23)에 저장되는 표시이벤트로그정보 데이터는, 앞서 추출된 초과이벤트로그정보 데이터에 관련되는 데이터로 사용자에 의하여 기 설정된 네트워크망을 중심으로 하는 표시데이터, 보안장비를 중심으로 하는 표시데이터, 초과 패킷에 관련된 데이터, 목적지 IP, 발생지 IP 등으로 하는 정보를 중심으로 하는 표시데이터 등 다양한 종류로 하여 표시되게 되는 표시이벤트로그정보데이터가 저장될 것이다.
이와 함께 사용자에게 추출된 데이터가 표시되도록 하는 상기 디스플레이장치(100)는 네트워크(11)의 보안장비(12)에 대한 이벤트로그정보데이터가 표시되는 이벤트로그정보표시창(110)이 구비되는 것이다.
이러한 디스플레이장치(100)의 이벤트로그정보표시창(110)을 이용하여 사용자(또는 관리자)가 각 네트워크망의 보안장비와 관련되어 수집된 이벤트로그정보 및 그와 관련된 정보를 확인할 수 있을 것이다.
우선 상기 이벤트로그정보표시창(110)에는, 도 7에서와 같이 지구본 형상 이미지가 중앙에 표시되고, 주위로 다수의 네트워크의 망이 표시되는 네트워크망표시창(111)이 구비되는 것이다. 여기서 지구본 형상의 이미지를 이용하여 네트워크망의 위치, 목적지 IP의 위치, 발생지 IP의 위치 등을 손쉽게 확인할 수 있을 것이다. 그리고 도 7의 배경에서 보여지는 지구 지도의 화면을 통해서도 네트워크망의 위치, 목적지 IP의 위치, 발생지 IP의 위치 등을 함께 확인할 수 있는 것으로, 이러한 네트워크망표시창(111)을 통하여 입체적으로 상기 위치들을 손쉽게 확인할 수 있을 것이다.
그리고 DDoS 발생이 탐지되어 상기 DDoS발생체크모듈(40)과 표시이벤트추출모듈(50)을 통하여 추출되어 디스플레이장치(100)에 표시되는 표시이벤트로그정보데이터가 표시되어지되, 네트워크망에 따른 보안장비 정보가 표시되는 망-장비표시창(112)이 구비된다. 즉 도 8 내지 도 11 등에서와 같이 이벤트로그정보표시창(110) 일측으로 표시되는 망-장비표시창(112)은 도 12에서와 같이, 망(예로 대전망, 서울망 등)에 대하여 장비명(보안장비), 해당 IP 장비의 수, 해당 보안장비에서의 패킷수, 그리고 이러한 보안장비 또는 관련된 IP 장비에서의 임계치 등이 표시될 수 있을 것이다.
또한 DDoS 발생이 탐지되어 네트워크망에 대한 정보가 초과된 최대 패킷의 순차로 표시되어지되, 각 네트워크망에 따른 이벤트로그정보가 표시되도록 하는 네트워크망순차표시창(113)이 구비될 것이다.
즉 도 8 내지 도 11 등에서와 같이, 이벤트로그정보표시창(110)의 타측으로 표시되는 네트워크망순차표시창(113)에는 도 13에서와 같이, 그룹명, 장비명, 해당 IP 장비의 임계치 등이 표시될 것이다.
그리고 선택된 장비정보에 해당하는 이벤트로그 정보가 초과된 최대 패킷의 순서대로 표시되는 장비정보-패킷순차표시창(114)이 구비된다. 즉 도 9 및 도 14에서와 같이, 이벤트로그정보표시창(110)에 표시되는 장비정보-패킷순차표시창(114)은 보안장비에서의 관련된 해당 IP 장비의 정보, 각 IP 장비별 패킷수, 그리고 해당 IP 장비별 패킷 임계치, 그리고 DDoS 공격시 해당 공격 정보 등, 해당 보안장비에서의 다양한 정보가 표시될 수 있을 것이다.
또한 선택된 네트워크망에 해당하는 이벤트로그 정보가 초과된 최대 패킷의 순서대로 표시되는 네트워크-패킷순차표시창(115)이 구비된다. 즉 도 10, 도 15 등에서와 같이 이벤트로그정보표시창(110)에 표시되는 네트워크-패킷순차표시창(115)에는, 개별 네트워크망과 관련된 장비명, 해당 IP 정보, 해당 장비별 패킷 수와 임계치, 그리고 공격 정보 등에 대한 다양한 데이터가 표시될 수 있을 것이다.
그리고 선택된 IP 정보에 해당하는 이벤트로그 정보가 초과된 최대 패킷의 순서대로 표시되는 IP-이벤트로그표시창(116)이 표시된다. 즉 도 11, 도 16 등에서와 같이 이벤트로그정보표시창(110)에 표시되는 IP-이벤트로그표시창(116)에는 해당 개별 IP 정보에 대하여, 접속되는 네트워크망 정보, 해당 장비명 정보, 패킷 수와 함께 패킷 임계치 정보, 그리고 공격 정보 등 개별 IP에 관련된 다양한 정보가 표시될 수 있을 것이다.
물론 이와 같이 네트워크망표시창(111), 망-장비표시창(112), 네트워크망순차표시창(114), 네트워크-패킷순차표시창(115), IP-이벤트로그표시창(116) 등에 있어서, 초과 패킷 이벤트로 하여, 최대로 초과된 순서로 하여 Top N(N = 2 ~ 50, 보다 바람직하게는 N = 3 ~ 20, 또는 N = 3 ~ 5 등 상황에 알맞게) 해당 표시사항이 표시되도록 마련될 수 있을 것이다.
따라서 사용자는 디스플레이장치(100)의 이벤트로그정보표시창(110)에 보여질 사항을 미리 정하고, 이에 따라 각 네트워크망의 보안장비로부터 전송되어 수집된 이벤트로그정보를 바탕으로 하여 추출된 각 정보를 손쉽게 디스플레이장치(100)를 통하여 확인할 수 있을 것이다. 그리하여 사용자는 어느 곳에서 DDoS 공격이 이루어지고 어느 곳을 목적지로 하여 공격하고 있는지 여부를 손쉽게 통합적으로 살필 수 있는 것이다. 따라서 DDoS 공격, 발생탐지 등을 손쉽게 확인함으로써 DDoS 공격에 대한 추이 및 이후의 과정 전개에 대하여 최적으로 조치를 취할 수 있는 것이다. 이 중에서도 특히 별도의 DDoS 장비를 사용하지 않고, 일반적인 방화벽이 설치된 보안장비 또는 장비 등을 이용하여 이벤트로그정보만 수집하여 이용하기 때문에, 별도의 개별시설이 갖추어지지 않아도 되고, 이에 더하여 전체적인 통합적인 관리가 가능하기 때문에 최적으로 DDoS 공격에 대응할 수 있을 것이다.
이와 같이 마련되는 본 발명에 따른 DDoS 발생 탐지 분석 및 표시를 위한 통합보안관리시스템(10)에 있어서의 제어방법을 살펴보면 다음과 같다.
우선 하나 또는 복수의 네트워크의 보안장비로부터 이벤트로그정보데이터를 이벤트로그정보수집모듈(30)을 통하여 전송받아 데이터저장부(20)에 저장되도록 하는 이벤트로그정보수집단계(S01)가 수행된다.
이와 같은 이벤트로그정보수집단계(S01)에 의하여 단순히 보안장비에서 송수신되는 패킷의 이벤트로그정보데이터만 이벤트로그정보수집모듈(30)로 전송되도록 마련될 수도 있고, 이러한 이벤트로그정보데이터와 함께 해당 네트워크망에 대한 정보, 보안장비에 대한 정보, 그리고 해당 보안장비와 관련된 IP 장비에 대한 정보 등도 함께 전송될 수 있으며, 아울러 보안장비 또는 해당 IP 장비별 임계치에 대한 정보도 함께 전송될 수도 있을 것이다.
그리고 상기 데이터저장부(20)에 저장된 각 보안장비에 대한 이벤트로그정보를 DDoS발생체크모듈(40)에서 리딩하여 각 보안장비의 패킷 임계치를 초과하는 초과이벤트로그정보를 추출하여 데이터저장부(20)에 저장되도록 하는 패킷임계치초과데이터추출단계(S02)가 수행된다.
이처럼 패킷임계치초과데이터추출단계(S02)에 의하여 추출된 초과이벤트로그정보를 바탕으로 하여 DDoS 공격 여부를 판별할 근거자료를 생성하게 된다. 물론 많은 경우에 해당 보안장비 및 관련된 특정 IP 장비에 대한 패킷 데이터가 집중되어 초과되는 경우에는 대부분 DDoS 공격으로 판별할 수 있을 것이다. 그러나 보다 정확하고 명확하게 DDoS 공격여부를 판별하기 위해서는 DDoS 공격 추이여부를 좀더 정확하게 판별할 필요가 있을 것이다. 따라서 단순히 임계치의 초과에 더불어 이렇게 초과된 패킷과 관련된 정보를 바탕으로 하여, 목적지, 발생지, 보안장비 등과 관련된 사항도 함께 살펴 판별할 수 있어야 할 것이다. 그리하여 이후의 절차에서는 다양한 부분의 데이터를 함께 추출하여 보여질 수 있도록 마련된다.
그리고 이러한 상기 패킷임계초과데이터추출단계(S02)는 세부적으로 다음과 같은 단계에 따른 과정으로 수행될 수 있을 것이다.
우선 각 보안장비의 종류를 판별하고 패킷 용량별로 분류하여 보안장비의 분류정보가 저장되도록 하는 보안장비용량분류단계(S021)가 수행된다.
일반적으로 해당 보안장비 또는 해당 보안장비와 관련된 해당 IP 장비의 종류와 분야에 따라 운영되는 패킷 송수신 정도가 상이하게 된다. 특히 IP 장비의 사용 용도에 따라 다르게 되는 것으로, 웹서버 IP 용일 경우에는 대략 500 ~ 1000 M bps 정도가 될 것이고, 개발서버 IP 용일 경우에는 대략 500 M bps 정도일 것이며, 또한 일반 사용자 유저일 경우에는 대략 10 ~ 50 M bps 정도가 되는 등, 해당 IP 장비의 용도가 무엇인가에 따라 다양하게 할당되어 적용될 수 있을 것이다. 따라서 이처럼 해당 IP 장비 및 해당 IP 장비들과 연결되는 보안장비에서는 송수신되는 패킷의 수가 적용되어 응용되는 기술적인 사항에 따라 서로 상이하게 될 것이다.
따라서 각 네트워크망의 보안장비로부터 전송되는 이벤트로그정보와 함께 해당 보안장비 및 해당 IP 장비의 종류, 용도 등, 기술적인 정보데이터도 함께 제공받아야 할 것이다. 그리고 이러한 보안장비, 해당 IP 장비의 기술적인 정보를 바탕으로 하여 해당 보안장비 또는 해당 IP 장비에서의 패킷 임계치 정보가 정하여져야 할 것이다.
다른 정보제공방법으로는, 통합보안관리시스템(10)에서 각 네트워크망의 보안장비로 이벤트로그정보의 데이터를 요청함과 함께 해당 보안장비 또는 관련된 해당 IP 장비의 정보데이터도 함께 요구할 수 있고, 또한 해당 보안장비 또는 해당 IP 장비에 할당된 패킷 임계치 정보데이터도 함께 요청하여 제공받을 수도 있을 것이다. 물론 이러한 경우에는 네트워크망의 각 장비에서 해당 보안장비 또는 해당 IP 장비별로 정하여진 패킷 임계치 정보데이터가 정하여진 경우에 해당 임계치 정보를 장비에서 통합보안관리시스템(10)의 이벤트로그정보수집모듈(30) 측으로 전송할 수 있을 것이다. 하지만 이처럼 해당 보안장비 또는 해당 IP 장비에 대한 임계치 정보가 정해지지 않는 경우에는, 단지 해당 보안장비 또는 해당 IP 장비의 종류 또는 용량, 또는 평균적인 패킷 송수신 시의 평균패킷 수 등에 대한 데이터가 전송되도록 마련될 수도 있을 것이다.
이처럼 각 네트워크망의 보안장비로부터 전송되는 데이터를 바탕으로 하여, 해당 보안장비 또는 해당 IP 장비에서의 패킷 임계치 정보를 제공받아 이에 따라 분류를 하게 될 것이다.
그러나 보안장비로부터 해당 보안장비 또는 해당 IP 장비에 대한 임계치 정보를 제공받지 못하는 경우에는, 보안장비용량분류단계(S021)에서 해당 보안장비 또는 해당 IP 장비별로 하여 패킷용량을 분류하게 될 것이다.
그리고 각 보안장비의 분류에 따라 각 보안장비에 해당하는 패킷 용량별 임계치정보를 부여하여 저장되도록 하는 임계치정보저장단계(S022)가 수행된다.
따라서 이러한 임계치정보저장단계(S022)를 수행함에 의하여 해당 보안장비 및 해당 IP 정보에 대하여 패킷 임계치 정보가 정하여 질 것이다. 즉 그 예로 앞서 예시된 바와 같이, 웹서버용 IP의 경우 대략 500 ~ 1000 Mbps 정도로, 개발서버용 IP의 경우 대략 500 Mbps 정도로, 그리고 일반 사용자 유저의 IP일 경우 대략 10 ~ 20 Mbps 정도로 하여 패킷 임계치가 정하여지도록 실시될 수도 있을 것이다. 또한 개별 보안장비에서는 이러한 개별 IP 장비들의 종류나 수 등에 의하여 보안장비를 통하여 송수신되는 패킷 임계치가 정하여질 것이다.
이에 더하여 상기 데이터저장부(20)에 저장된 각 보안장비에 대한 이벤트로그정보를 리딩하고 해당 보안장비의 이벤트로그정보의 패킷과 패킷 임계치와 비교하는 임계치비교판별단계(S023)가 수행될 것이다.
즉 임계치정보저장단계(S022)를 통하여 개별 보안장비 또는 해당 개별 IP 장비별로 정하여진 패킷 임계치를 기준으로 하여, 개별 보안장비로부터 전송된 이벤트로그정보데이터를 기초로 하여 임계치를 비교하게 될 것이다.
또한 해당 보안장비의 이벤트로그정보의 패킷이 패킷임계치를 초과하는 보안장비를 선별추출하여 추출된 데이터가 저장되도록 하는 초과임계치보안장비선별단계(S024)가 수행될 것이다.
즉 해당 보안장비 또는 보안장비와 관련된 해당 IP 장비에서의 임계치를 초과하는 이벤트로그정보데이터를 추출하여 개별 보안장비, 개별 IP 장비별로 하는 추출된 정보의 데이터를 저장하게 될 것이다.
이와 같은 패킷임계치초과데이터추출단계(S02)가 수행되고, 각 보안장비의 패킷 임계치를 초과하는 초과이벤트로그정보 중에서 최대치로 초과하는 이벤트정보인 최대초과이벤트로그정보를 추출하되, 최대로 초과된 순서로 하여 Top N(N = 2 ~ 50, 바람직하게는 대략 N = 3 ~ 20, 또는 N = 3 ~ 5 정도)의 순서로 추출되어 저장되도록 하는 최대초과이벤트로그정보 추출단계(S03)가 수행된다.
즉 임계치를 초과한 패킷 정보에 대하여 최대로 초과한 이벤트로부터 시작하여 차순으로 초과한 정보를 추출하게 되는 것이다. 이에 초과되는 순서에 대한 정보 내용으로는 특정 네트워크 망 전체적으로 볼 경우의 해당 임계치 초과의 순서로 네트워크망의 종류에 대한 정보가 추출될 수도 있을 것이다. 즉 어느 네트워크망이 초과되어 집중 공격을 받게 되는지 여부를 분별할 수 있을 것이다.
즉 이러한 네트워크 망 중에서는 웹서버 위주로 하여 망 구성이 될 수도 있는 것으로 이처럼 웹서버 위주로 하여 운영되는 네트워크망에서는 전체 임계치가 크게 정하여질 것이고, 반면 일반 사용자 유저로 이루어지는 네트워크 망일 경우에는 임계치가 작게 정하여질 수 있는 바, 이에 알맞도록 하여 초과임계치 정보를 적용하여 운영될 것이다.
그리고 특정 네트워크망 중에서 개별 보안장비 별로 하여 할당된 임계치를 초과하는 순서로 하여 개별 보안장비의 순서로 하는 정보가 추출될 수도 있을 것이다. 즉 개별 보안장비들 중에서 각각에 해당하는 임계치가 초과되는 보안장비를 추출함으로써, 해당 보안장비를 통하여 송수신되는 패킷 정보 및 이벤트 정보를 기초로 하여 추출될 것이다.
즉 이러한 보안장비 중에서는 웹서버가 주가 되는 보안장비일 경우에는 그 보안장비의 임계치가 크게 정하여 질 것이고, 반면 해당 보안장비가 대부분 일반 사용자 유저일 경우에는 임계치 크기가 작게 형성될 것이기 때문에, 해당 보안장비별로 정하여지는 임계치가 서로 상이할 것이고, 따라서 서로 상이한 보안장비의 임계치에 알맞게 각각 개별적으로 적용되는 임계치 정보에 따라 초과이벤트정보를 추출하게 될 것이다.
또한 각 IP 장비별로 하여 임계치 초과 정보데이터가 추출될 것이다. 물론 이러한 IP 장비에서는 웹서버용 IP 장비, 개발서버용 IP 장비, 또는 일반 사용자 유저용 IP 장비 등 다양한 종류의 IP 장비별로 하여 임계치가 정하여 질 것이고, 각각의 임계치에 따라 초과되는 정보를 추출하게 될 것이다.
그리고 이렇게 각각 개별적으로 알맞게 적용되어 운영되는 임계치 정보에 따라 알맞게 추출된 정보데이터를 기초로 하여, 최대초과이벤트로그정보추출단계(S03)에서는 최대 초과된 순서로 하여 TOP N 순서로 하는 최대초과이벤트로그정보를 추출하게 될 것이다.
그리고 표시이벤트추출모듈(50)에 의하여 최대초과이벤트로그정보에 대해 네트워크망 정보, 보안장비의 정보, 대상 IP 정보에 따른 이벤트로그정보가 분석되고 분류추출되어 표시이벤트로그정보로 추출되어 저장되도록 하는 이벤트로그정보분석추출단계(S04)가 수행되는 것이다.
물론 이벤트로그정보분석추출단계(S04)에 따른 표시이벤트로그정보의 추출에 앞서, 사용자로부터 표시되고자 하는 사항의 조건 데이터를 입력받게 될 것이다. 물론 사용자로부터 구체적인 조건을 하나하나 제시받아 입력되도록 할 수도 있고, 일정 패턴이 정하여지는 경우에는 그에 알맞은 해당 관련 내용이 함께 추출되도록 마련될 수도 있을 것이다.
예로 하면, 도 6 내지 도 16 등에서와 같이, 특정 정보들만 표시되도록 지정하는 경우, 즉 네트워크망의 정보, 장비명에 대한 정보, IP 수에 대한 정보, 개별 IP 주소관련 정보, 패킷 정보, 임계치 정보, 공격명 정보 등에 대하여, 사용자에 의하여 선택된 사항만 보여지도록 추출될 수 있을 것이다.
반면 도 12의 망-장비표시창의 내용에서와 같이, 개별 네트워크망을 중심으로 하여, 해당 네트워크망에 대한 장비명, IP수, 패킷 수, 임계치 등의 정보가 함께 표시되도록 하고, 또한 도 13의 네트워크망순차표시창에서와 같이, 일련의 네트워크망을 순차적으로 표시되도록 하되, 해당 개별 네트워크망 별로 하여 그룹명, 장비명, 임계치, IP 정보, 등이 표시되도록 추출될 수 있으며, 기타 다양한 방식의 패턴에 의하여 관련된 정보들이 함께 추출될 수 있을 것이다. 그리고 이후의 과정에 의하여 디스플레이장치(100)에 표시될 수 있을 것이다.
즉 상기 이벤트로그정보분석추출단계(S04)에 의해 네트워크망 정보, 보안장비의 장비정보, 대상 IP 정보에 따라 분석되어 분류추출된 표시이벤트로그정보가 클라이언트어플리케이션모듈(60)을 통하여 디스플레이장치(100)로 전송되어 이벤트로그정보표시창(110)에 표시되도록 하는 이벤트로그정보표시단계(S05)가 수행된다.
그리고 이러한 상기 이벤트로그정보표시단계(S05)에서는 우선 상기 이벤트로그정보표시창(110)에 대해서, 표시창 중앙에 지구본 형상의 이미지가 표시되고 주위로 다수의 네트워크의 망이 표시되는 네트워크망표시창(111)이 보여지도록 하는 네트워크망표시단계(S051)가 수행되는 것이다. 물론 이러한 지구본 형상의 이미지는 본 발명의 주요한 요소가 아니며 단지 지구본 형상으로 하여 지역적으로 이격되어 분포되어 있는 네트워크망의 지역을 표시하거나, 이격되어 있음을 실제 위치가 아닌 이미지상 이격된 느낌이 들도록 표시될 수도 있으며, 실제 위치에 대응되어 축소된 지구본의 해당 위치에 표시되도록 실시될 수도 있을 것이다. 물론 지구본의 경우 네트워크망이 전세계, 또는 적어도 아시아 국가를 대상으로 하여 지역 네트워크망이 표시될 수 있을 것이다. 이는 근래의 DDoS 공격이 굳이 1개국가 내부의 IP에서만 공격하는 것이 아니라, 전세계 어느 지점에서든 인터넷 망이 연결된 경우에는 DDoS 공격이 가능하기 때문에, 본 발명에 따른 통합보안관리시스템(10)에서는 전세계의 네트워크망을 대상으로 하여 이벤트로그 정보를 수집함으로써 보다 정확한 공격 패턴 및 분석이 가능할 것이다.
물론 상세 분석에 대해서, 보다 세밀한 지역의 확대된 지도로 해당 네트워크망이 표시되도록 마련될 수 있을 것이다. 즉 다수 국가에서 발생되는 정보에 대한 분석이 필요할 때에는 전체 지구가 보여질 수 있도록 지구본의 영상을 대상으로 하여 실시될 수 있으나, 대한민국의 서울에서 집중적으로 발생지 또는 목적지가 분포된 경우에는, 대한민국의 서울 지역에 대한 상세 지도가 표시되도록 하고, 이처럼 대한민국의 서울의 상세 지도를 바탕으로 하여 DDoS 공격 패턴에 대한 분석이 이루어져야 함이 바람직할 것이다. 따라서 상세 지도에 표시되는 각 네트워크망에 대한 보안장비가 표시되도록 하고, 이에 따른 DDoS 발생 탐지 판별과정이 수행되어야 할 것이다.
이처럼 네트워크망표시단계(S051)에 의하여 도 7에서와 같이 기본적으로 DDoS 발생과 관련된 기본 영상화면인 네트워크망표시창(111)이 디스플레이장치(100)의 이벤트로그정보표시창(110)에 표시되게 된다. 이후 각 네트워크망으로부터 수집된 이벤트로그정보데이터를 바탕으로 개별 보안장비 또는 해당 IP 장비 별로 정해진 임계치를 초과하는 데이터가 추출될 경우에는 이와 관련된 각종 데이터가 이벤트로그정보표시창(110)에 표시될 것이다. 물론 앞선 과정에 대한 설명에서와 같이 디스플레이장치(100)의 이벤트로그정보표시창(110)에 표시되는 각 데이터의 형태 또는 내용 등은 사용자의 선택에 의하여 알맞게 정하여져 표시되는 것으로, 해당 DDoS 공격 패턴, 목적지 또는 발생지에 대한 양태, 기타 보안장비 또는 해당 서버 등의 IP 장비의 특성 등에 따라서 알맞게 정하여져 표시되어야 할 것이다.
이에 상기 이벤트로그정보표시창(110)에 대해서, 네트워크망의 보안장비 정보에 따른 이벤트로그정보가 표시되는 망-장비표시창(112)이 보여지도록 하는 망-장비표시단계(S052)가 수행된다.
이처럼 망-장비표시창(112)은 도 8 내지 도 11 그리고 도 12에서와 같이, 기본적으로 네트워크망에 대한 정보를 기준으로 하여 해당 네트워크망에서의 장비명, IP수, 패킷수, 임계치 등에 대한 정보가 기본적으로 표시되도록 함으로써, 해당 네트워크망에서 수집된 정보가 간략하게 보여지도록 하여 사용자는 해당 네트워크망에 대한 개략적인 추이를 쉽게 볼 수 있을 것이다.
특히 다수의 네트워크망 중에서 해당 보안장비에 해당하는 개별 임계치 별로 초과되는 최대 초과 순서대로 하여 다수의 네트워크망들에 대한 정보가 순차적으로 표시될 수 있는 것이다. 이에 도 12에서와 같이 TOP N 이 2개인 경우로 하여 표시됨을 실시하고 있듯이 그리 많지 않은 개수로 하여 표시됨으로써, 주요 네트워크망에 대한 사항을 쉽게 그리고 빠르게 살필 수 있도록 하는 것이다.
그리고 상기 이벤트로그정보표시창(110)에 대해서, 개별 네트워크망에 따른 이벤트로그정보가 표시되도록 하는 네트워크망순차표시창(113)이 보여지도록 하는 네트워크망순차표시단계(S053)가 수행되는 것이다.
이러한 네트워크망순차표시단계(S053)에 의하여, 도 8 내지 도 11 및 도 13 등에서와 같이 디스플레이장치(100)의 이벤트로그정보표시창(110)에는 해당 개별 네트워크망에 대한 상세 내용으로 하여 네트워크망순차표시창(113)이 표시되는 것이다. 그리고 좀더 많은 수의 네트워크망이 표시될 수 있을 것이다.
특히 도 13에 표시된 내용에서 알 수 있듯이, 다수의 네트워크망이 단일의 그룹으로 형성된 경우에, 이러한 그룹별로 하여 관련 내용이 표시되도록 마련될 수도 있을 것이다. 따라서 그룹별로 DDoS 공격 패턴을 탐지할 수 있기 때문에 좀더 개략적인 추이를 살필 수 있을 것이다. 그리고 도 13에서 표시되는 네트워크망순차표시창(113)에 대한 일 실시예에서는 임계치의 최대 초과로 하여 TOP N이 5개로 하여 표시됨을 예로 하고 있다.
또한 상기 이벤트로그정보표시창(110)에 대해서, 선택된 장비정보에 해당하는 이벤트로그 정보가 초과된 최대 패킷의 순서대로 표시되는 장비정보-패킷순차표시창(114)이 보여지도록 하는 장비정보-패킷순차표시단계(S054)가 수행된다.
이러한 장비정보-패킷순차표시단계(S054)에 의하여, 도 9, 도 14 등에서와 같이, 디스플레이장치(100)의 이벤트로그정보표시창(110)에 장비정보-패킷순차표시창(114)이 표시되는 것으로, 이러한 장비정보-패킷순차표시창(114)에 의하면 보안장비의 개별 장비정보에 대해서 송수신되는 개별 IP 장치별로 하는 데이터가 표시될 수 있을 것이다. 즉 도 14에서 제시된 표시 실시 내용을 보면, 해당 장비정보에서 송수신되어 수집되는 관련 IP 장비의 IP 주소, 패킷수, 개별 IP 장비에서의 임계치, 그리고 해당 IP 장비별로 DDoS 공격되는 공격명 등이 함께 표시될 수 있을 것이다. 기타 해당 IP 장비에 있어서 보안장비에서 수집될 수 있는 다양한 정보가 더 표시될 수도 있을 것이다.
그리고 해당 보안장비에 관련된 IP 장비 중에서, 임계치를 최대로 초과된 순서로 하여 IP 장비에 대한 정보가 표시될 수 있는 것으로, 도 14에서 표시되는 IP 장비에 대해서는 개별 임계치를 최대 초과된 TOP N의 수가 5개로 하여 표시된 것을 예로 하고 있다.
그리고 상기 이벤트로그정보표시창(110)에 대해서, 선택된 네트워크망에 해당하는 이벤트로그 정보가 초과된 최대 패킷의 순서대로 표시되는 네트워크-패킷순차표시창(115)이 보여지도록 하는 네트워크-패킷순차표시단계(S055)가 수행될 수 있을 것이다.
이러한 네트워크-패킷순차표시단계(S055)에 의하면 도 10, 도 15 등에서와 같이, 디스플레이장치(100)의 이벤트로그정보표시창(110)에 네트워크-패킷순차표시창(115)이 표시되는 것으로, 이러한 네트워크-패킷순차표시창(115)에는 임계치를 최대로 초과된 순서로 하여 TOP N 이 6개로 하여 표시됨을 예로 하고 있다. 그리고 네트워크-패킷순차표시창(115)에서는 해당 네트워크망과 관련된 장비에 대해서 관련된 IP, 패킷수, 임계치 그리고 공격명 등이 표시됨을 예로 하고 있다.
다음으로 상기 이벤트로그정보표시창(110)에 대해서, 선택된 IP 정보에 해당하는 이벤트로그 정보가 초과된 최대 패킷의 순서대로 표시되는 IP-이벤트로그표시창(116)이 보여지도록 하는 IP-이벤트로그표시단계(S056)가 수행될 수 있을 것이다. 이러한 IP-이벤트로그표시단계(S056)에서는 도 11, 도 16 등에서와 같이, 디스플레이장치(100)의 이벤트로그정보표시창(110)에 IP-이벤트로그표시창(116)이 표시되는 것으로, 이러한 IP-이벤트로그표시창(116)에는 개별 IP 장비와 관련되는 네트워크망에 대한 정보가 표시되는 것으로, 순차적으로 TOP N 이 5개인 경우를 예로 하여 표시되고 있다.
그리고 이러한 IP-이벤트로그표시창(116)에는 해당 IP 장비와 관련된 네트워크망, 해당 네트워크망 중에서 관련된 장비명, 그리고 패킷수, 임계치, 그리고 공격명 등, 해당 IP 장비와 관련된 정보들이 좀더 다양하게 표시될 수 있을 것이다.
이외에도 디스플레이장치(100)의 이벤트로그정보표시창(110)에는 사용자에 의하여 정하여지는 내용으로 필요한 사항으로 하여 다양한 내용이 표시될 수 있으며, 이 경우 표시되는 해당 내용은 네트워크망의 형태, 웹서버, 개발서버, 이용자서버 등과 같이 IP 장비의 종류와 형태, 그리고 크기 용량 등에 대한 양태, 그리고 보안장비에 따른 특성 등 다양한 상황에 따라서 표시되는 내용이 알맞게 정하여질 수 있을 것이다.
이처럼 본 발명에 따른 통합보안관리시스템(10)에 의하면 접속되어 이벤트로그정보 데이터가 수집되는 네트워크망, 해당 보안장비 및 장비정보, 그리고 개별 해당 IP 장비 등과 관련된 각종 데이터를 수집하게 되고, 이에 관련되는 이벤트로그정보 및 패킷 수에 대한 정보를 전송받음으로써, 해당 장비들에 대한 DDoS 발생여부, 및 공격양태 등을 일괄적으로 살필 수 있으며, 특히 전세계 인터넷망에서 다양한 상황과 경로로 발생될 수 있는 DDoS 발생 현황을 일목요연하게 살필 수 있으면서도 세분화된 내용까지 상세하게 살필 수 있어, 보다 명확하면서도 빠르게 DDoS 관련 사항을 판별할 수 있는 장점이 있는 것이다.
이상으로 본 발명의 실시예에 대하여 상세히 설명하였으나, 이는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 일실시예를 기재한 것이므로, 상기 실시예의 기재에 의하여 본 발명의 기술적 사상이 제한적으로 해석되어서는 아니된다.
10 : 통합보안관리시스템 11 : 네트워크
12 : 보안장비 20 : 데이터저장부
21 : 이벤트로그정보저장부 22 : 초과이벤트로그정보저장부
23 : 표시이벤트로그정보저장부 30 : 이벤트로그정보수집모듈
40 : DDoS발생체크모듈 50 : 표시이벤트추출모듈
60 : 클라이언트어플리케이션모듈
100 : 디스플레이장치 110 : 이벤트로그정보표시창
111 : 네트워크망표시창 112 : 망-장비표시창
113 : 네트워크망순차표시창 114 : 장비정보-패킷순차표시창
115 : 네트워크-패킷순차표시창 116 : IP-이벤트로그표시창

Claims (5)

  1. 하나 또는 복수의 네트워크의 보안장비로부터 이벤트로그정보데이터를 전송받고,
    전송된 이벤트로그정보데이터로부터 각 보안장비의 패킷임계치와 탐지된 패킷을 비교하여 패킷임계치를 초과하는 이벤트로그를 판별하며,
    DDoS 발생에 따른 각 보안장비에 대해 패킷임계치를 초과한 초과이벤트로그정보를 추출하고,
    추출된 초과이벤트로그정보로부터 디스플레이장치(100)에 표시되도록 하는 표시이벤트로그정보를 추출하며,
    상기 초과이벤트로그정보는, 최대로 초과된 순서대로 하여 추출되도록 구비되고,
    상기 디스플레이장치(100)에는 네트워크망 정보, 보안장비 정보, 대상 IP 정보에 따른 이벤트로그 정보로 되는 표시이벤트로그정보가 표시되어지되, 패킷임계치를 초과하는 최대 초과패킷순서대로 이벤트로그 정보가 표시되도록 구비되는 통합보안관리시스템에 있어서,
    상기 디스플레이장치(100)는 네트워크(11)의 보안장비(12)에 대한 이벤트로그정보데이터가 표시되는 이벤트로그정보표시창(110)이 구비되어지되,
    상기 이벤트로그정보표시창(110)에는,
    상기 디스플레이장치(100)에 표시이벤트로그정보가 표시되어지되, 네트워크망에 따른 보안장비 정보가 표시되는 망-장비표시창(112);
    DDoS 발생이 탐지되어 네트워크망에 대한 정보가 초과된 최대 패킷의 순차로 표시되어지되, 각 네트워크망에 따른 이벤트로그정보가 표시되도록 하는 네트워크망순차표시창(113);
    선택된 장비정보에 해당하는 이벤트로그 정보가 초과된 최대 패킷의 순서대로 표시되는 장비정보-패킷순차표시창(114);
    선택된 네트워크망에 해당하는 이벤트로그 정보가 초과된 최대 패킷의 순서대로 표시되는 네트워크-패킷순차표시창(115);
    선택된 IP 정보에 해당하는 이벤트로그 정보가 초과된 최대 패킷의 순서대로 표시되는 IP-이벤트로그표시창(116);
    중 어느 하나 또는 복수 개의 표시창이 표시되도록 구비되는 것을 특징으로 하는 DDoS 발생 탐지분석 및 표시를 위한 통합보안관리시스템.
  2. 하나 또는 복수의 네트워크(11)의 보안장비(12)로부터 이벤트로그정보데이터를 전송받아 데이터저장부(20)의 이벤트로그정보저장부(21)에 저장되도록 하는 이벤트로그정보수집모듈(30);
    상기 이벤트로그정보저장부(21)에 저장된 이벤트로그정보데이터로부터 각 보안장비(12) 별로 하여 패킷임계치와 탐지된 패킷을 비교하고, 각 보안장비(12) 별로 하여 패킷임계치를 초과하는 이벤트로그를 판별하며, 각 보안장비(12) 별로 하여 패킷임계치를 초과한 패킷에 대한 초과이벤트로그정보를 추출하여 데이터저장부에 저장되도록 하는 DDoS발생체크모듈(40);
    상기 DDoS발생체크모듈(40)을 통하여 각 보안장비(12) 별로 패킷임계치를 초과한 패킷에 대한 초과이벤트로그정보로부터 디스플레이장치(100)에 표시되는 표시이벤트로그정보를 추출하여 데이터저장부에 저장되도록 하는 표시이벤트추출모듈(50);
    상기 표시이벤트추출모듈(50)에 의해 추출되어 데이터저장부(20)에 저장된 표시이벤트로그정보가 디스플레이장치(100)에 표시되도록 데이터처리하는 클라이언트어플리케이션모듈(60);
    상기 이벤트로그정보수집모듈(30)을 통하여 각 보안장비(12)에서 전송된 이벤트로그정보데이터가 저장되도록 하고, 각 보안장비(12)에 따른 패킷임계치 정보가 저장되도록 하며, 상기 DDoS발생체크모듈(40)을 통하여 각 보안장비(12) 단위별로 패킷임계치를 초과한 패킷에 대해 추출된 초과이벤트로그정보가 저장되도록 하고, 상기 표시이벤트추출모듈(50)에서 추출된 디스플레이장치(100)에 표시되는 표시이벤트로그정보가 저장되도록 하는 데이터저장부(20);
    가 포함되어 구비되는 통합보안관리시스템에 있어서,
    상기 디스플레이장치(100)는 네트워크(11)의 보안장비(12)에 대한 이벤트로그정보데이터가 표시되는 이벤트로그정보표시창(110)이 구비되어지되,
    상기 이벤트로그정보표시창(110)에는,
    지구본 형상 이미지가 중앙에 표시되고, 주위로 다수의 네트워크의 망이 표시되는 네트워크망표시창(111);
    DDoS 발생이 탐지되어 상기 DDoS발생체크모듈(40)과 표시이벤트추출모듈(50)을 통하여 추출되어 디스플레이장치(100)에 표시되는 표시이벤트로그정보데이터가 표시되어지되, 네트워크망에 따른 보안장비 정보가 표시되는 망-장비표시창(112);
    DDoS 발생이 탐지되어 네트워크망에 대한 정보가 초과된 최대 패킷의 순차로 표시되어지되, 각 네트워크망에 따른 이벤트로그정보가 표시되도록 하는 네트워크망순차표시창(113);
    선택된 장비정보에 해당하는 이벤트로그 정보가 초과된 최대 패킷의 순서대로 표시되는 장비정보-패킷순차표시창(114);
    선택된 네트워크망에 해당하는 이벤트로그 정보가 초과된 최대 패킷의 순서대로 표시되는 네트워크-패킷순차표시창(115);
    선택된 IP 정보에 해당하는 이벤트로그 정보가 초과된 최대 패킷의 순서대로 표시되는 IP-이벤트로그표시창(116);
    중 어느 하나 또는 복수 개의 표시창이 표시되도록 구비되는 것을 특징으로 하는 DDoS 발생 탐지분석 및 표시를 위한 통합보안관리시스템.
  3. 제 2항에 있어서,
    상기 네트워크(11)로는 시스템구성, 멀티포인트연결구성, 교환망구성 중에서 어느 한가지 이상이 구비되고,
    상기 보안장비(12)로는 침입탐지시스템(IDS), 침입방지시스템(IPS)이 구비되며,
    상기 DDoS발생체크모듈(40)은, 각 보안장비(12) 별 패킷임계치를 초과한 초과이벤트로그정보 중에서, 최대로 초과한 최대초과이벤트로그정보를 순서대로 하는 Top N(N = 2 ~ 50)의 초과이벤트로그정보를 추출하여 저장되도록 구비되는 것을 특징으로 하는 DDoS 발생 탐지분석 및 표시를 위한 통합보안관리시스템.
  4. 삭제
  5. 하나 또는 복수의 네트워크의 보안장비로부터 이벤트로그정보데이터를 이벤트로그정보수집모듈(30)을 통하여 전송받아 데이터저장부(20)에 저장되도록 하는 이벤트로그정보수집단계(S01);
    상기 데이터저장부(20)에 저장된 각 보안장비에 대한 이벤트로그정보를 DDoS발생체크모듈(40)에서 리딩하여 각 보안장비의 패킷 임계치를 초과하는 초과이벤트로그정보를 추출하여 데이터저장부(20)에 저장되도록 하는 패킷임계치초과데이터추출단계(S02);
    각 보안장비의 패킷 임계치를 초과하는 초과이벤트로그정보 중에서 최대치로 초과하는 이벤트정보인 최대초과이벤트로그정보를 추출하되, 최대로 초과된 순서로 하여 Top N(N = 2 ~ 50)의 순서로 추출되어 저장되도록 하는 최대초과이벤트로그정보 추출단계(S03);
    표시이벤트추출모듈(50)에 의하여 최대초과이벤트로그정보에 대해 네트워크망 정보, 보안장비의 정보, 대상 IP 정보에 따른 이벤트로그정보가 분석되고 분류추출되어 표시이벤트로그정보로 추출되어 저장되도록 하는 이벤트로그정보분석추출단계(S04);
    상기 이벤트로그정보분석추출단계(S04)에 의해 네트워크망 정보, 보안장비의 정보, 대상 IP 정보에 따라 분석되어 분류추출된 표시이벤트로그정보가 클라이언트어플리케이션모듈(60)을 통하여 디스플레이장치(100)로 전송되어 이벤트로그정보표시창(110)에 표시되도록 하는 이벤트로그정보표시단계(S05);
    가 포함되어 구비되는 탐지분석 및 표시방법에 있어서,
    상기 이벤트로그정보표시단계(S05))에 의하여, 상기 디스플레이장치(100)는 네트워크(11)의 보안장비(12)에 대한 이벤트로그정보데이터가 표시되는 이벤트로그정보표시창(110)이 구비되고, 상기 이벤트로그정보표시창(110)에는,
    지구본 형상 이미지가 중앙에 표시되고, 주위로 다수의 네트워크의 망이 표시되는 네트워크망표시창(111);
    DDoS 발생이 탐지되어 상기 DDoS발생체크모듈(40)과 표시이벤트추출모듈(50)을 통하여 추출되어 디스플레이장치(100)에 표시되는 표시이벤트로그정보데이터가 표시되어지되, 네트워크망에 따른 보안장비 정보가 표시되는 망-장비표시창(112);
    DDoS 발생이 탐지되어 네트워크망에 대한 정보가 초과된 최대 패킷의 순차로 표시되어지되, 각 네트워크망에 따른 이벤트로그정보가 표시되도록 하는 네트워크망순차표시창(113);
    선택된 장비정보에 해당하는 이벤트로그 정보가 초과된 최대 패킷의 순서대로 표시되는 장비정보-패킷순차표시창(114);
    선택된 네트워크망에 해당하는 이벤트로그 정보가 초과된 최대 패킷의 순서대로 표시되는 네트워크-패킷순차표시창(115);
    선택된 IP 정보에 해당하는 이벤트로그 정보가 초과된 최대 패킷의 순서대로 표시되는 IP-이벤트로그표시창(116);
    중 어느 하나 또는 복수 개의 표시창이 표시되는 것을 특징으로 하는 DDoS 발생 탐지분석 및 표시를 위한 통합보안관리시스템에 의한 DDoS 발생탐지분석 및 표시방법.
KR1020100066879A 2010-07-12 2010-07-12 디도스 발생 탐지분석 및 표시를 위한 통합보안관리시스템 및 이에 의한 디도스 발생탐지분석 및 표시방법 KR101137694B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100066879A KR101137694B1 (ko) 2010-07-12 2010-07-12 디도스 발생 탐지분석 및 표시를 위한 통합보안관리시스템 및 이에 의한 디도스 발생탐지분석 및 표시방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100066879A KR101137694B1 (ko) 2010-07-12 2010-07-12 디도스 발생 탐지분석 및 표시를 위한 통합보안관리시스템 및 이에 의한 디도스 발생탐지분석 및 표시방법

Publications (2)

Publication Number Publication Date
KR20120006250A KR20120006250A (ko) 2012-01-18
KR101137694B1 true KR101137694B1 (ko) 2012-04-25

Family

ID=45612032

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100066879A KR101137694B1 (ko) 2010-07-12 2010-07-12 디도스 발생 탐지분석 및 표시를 위한 통합보안관리시스템 및 이에 의한 디도스 발생탐지분석 및 표시방법

Country Status (1)

Country Link
KR (1) KR101137694B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101518233B1 (ko) * 2014-03-31 2015-05-12 순천향대학교 산학협력단 기업 내부 전산환경의 위협탐지를 위한 보안 장치
KR101942190B1 (ko) * 2017-08-03 2019-02-18 주식회사 시큐아이 데이터 표시 장치 및 방법
KR20190075495A (ko) 2017-12-21 2019-07-01 서강대학교산학협력단 블록체인상에서 발생하는 디도스 공격 방지 방법 및 디도스 공격 방지 가능한 블록체인 시스템

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060042788A (ko) * 2004-11-10 2006-05-15 한국전자통신연구원 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석방법 및 그 장치
KR100656352B1 (ko) * 2005-09-16 2006-12-11 한국전자통신연구원 네트워크의 보안 관련 이벤트 정보를 표시하는 방법
KR20080050919A (ko) * 2006-12-04 2008-06-10 한국전자통신연구원 네트워크 보안 상황 표시 장치 및 그 방법
KR20090100344A (ko) * 2006-12-28 2009-09-23 아크사이트, 인코퍼레이티드 컴퓨터 네트워크 보안을 보조하기 위한, 로그 데이터의 효과적인 저장과 질의의 지원

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060042788A (ko) * 2004-11-10 2006-05-15 한국전자통신연구원 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석방법 및 그 장치
KR100656352B1 (ko) * 2005-09-16 2006-12-11 한국전자통신연구원 네트워크의 보안 관련 이벤트 정보를 표시하는 방법
KR20080050919A (ko) * 2006-12-04 2008-06-10 한국전자통신연구원 네트워크 보안 상황 표시 장치 및 그 방법
KR20090100344A (ko) * 2006-12-28 2009-09-23 아크사이트, 인코퍼레이티드 컴퓨터 네트워크 보안을 보조하기 위한, 로그 데이터의 효과적인 저장과 질의의 지원

Also Published As

Publication number Publication date
KR20120006250A (ko) 2012-01-18

Similar Documents

Publication Publication Date Title
KR101890272B1 (ko) 보안이벤트 자동 검증 방법 및 장치
CN108289088B (zh) 基于业务模型的异常流量检测系统及方法
CN106411578B (zh) 一种适应于电力行业的网站监控系统及方法
KR101391781B1 (ko) 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법
CN105208037B (zh) 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法
CN103026345B (zh) 用于事件监测优先级的动态多维模式
CN107995162A (zh) 网络安全感知系统、方法及可读存储介质
US20120124666A1 (en) Method for detecting and preventing a ddos attack using cloud computing, and server
US20150256551A1 (en) Log analysis system and log analysis method for security system
CN111698260B (zh) 一种基于报文分析的dns劫持检测方法及系统
CN105812200B (zh) 异常行为检测方法及装置
CN106302450B (zh) 一种基于ddos攻击中恶意地址的检测方法及装置
CN109167794B (zh) 一种面向网络系统安全度量的攻击检测方法
CN104486320B (zh) 基于蜜网技术的内网敏感信息泄露取证系统及方法
CN109951419A (zh) 一种基于攻击链攻击规则挖掘的apt入侵检测方法
CN109257393A (zh) 基于机器学习的xss攻击防御方法及装置
CN102546641A (zh) 一种在应用安全系统中进行精确风险检测的方法及系统
CN107231360A (zh) 基于云网络的网络病毒防护方法、安全无线路由器和系统
CN112565300A (zh) 基于行业云黑客攻击识别与封堵方法、系统、装置及介质
KR101137694B1 (ko) 디도스 발생 탐지분석 및 표시를 위한 통합보안관리시스템 및 이에 의한 디도스 발생탐지분석 및 표시방법
CN107209834A (zh) 恶意通信模式提取装置、恶意通信模式提取系统、恶意通信模式提取方法及恶意通信模式提取程序
CN108040075B (zh) 一种apt攻击检测系统
CN106911665A (zh) 一种识别恶意代码弱口令入侵行为的方法及系统
KR101384618B1 (ko) 노드 분석 기법을 이용한 위험요소 추출 시스템
US20230156019A1 (en) Method and system for scoring severity of cyber attacks

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160411

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170323

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180412

Year of fee payment: 7