KR101180092B1 - 보안이벤트 분석방법 및 분석시스템, 그 기록매체 - Google Patents

보안이벤트 분석방법 및 분석시스템, 그 기록매체 Download PDF

Info

Publication number
KR101180092B1
KR101180092B1 KR1020120022493A KR20120022493A KR101180092B1 KR 101180092 B1 KR101180092 B1 KR 101180092B1 KR 1020120022493 A KR1020120022493 A KR 1020120022493A KR 20120022493 A KR20120022493 A KR 20120022493A KR 101180092 B1 KR101180092 B1 KR 101180092B1
Authority
KR
South Korea
Prior art keywords
security
event
unit
log data
solution
Prior art date
Application number
KR1020120022493A
Other languages
English (en)
Inventor
지상훈
Original Assignee
워치아이시스템주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 워치아이시스템주식회사 filed Critical 워치아이시스템주식회사
Priority to KR1020120022493A priority Critical patent/KR101180092B1/ko
Application granted granted Critical
Publication of KR101180092B1 publication Critical patent/KR101180092B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

본 발명은 이벤트의 생성 건수뿐만 아니라 단위보안 솔루션의 특성에 따라 부여된 해당 단위보안 솔루션의 위험도지수, 이벤트의 특성에 따라 부여된 해당 이벤트의 위험도 지수를 이용하여 보안위험지수를 산출하고, 이렇게 산출된 보안위험지수에 따라 보안위험상황의 생성유무를 판단함에 따라, 개별 이벤트 관점에서 더욱 나아가 단위보안 솔루션의 관점까지 고려된 보안관리기능을 제공할 수 있는 보안이벤트 분석방법 및 분석시스템, 그 기록매체에 관한 것이다.
이를 위한 본 발명의 보안이벤트 분석방법은, (a) 각 단위보안 솔루션으로부터 로그 데이터를 수집하여 로그 데이터 DB에 저장하는 로그 데이터 수집단계; (b) 상기 로그 데이터 DB에 저장된 로그 데이터에 대해 기설정된 이벤트 생성 기준에 해당하는 로그 데이터를 주기적으로 추출하여 각 단위보안 솔루션별 보안이벤트를 생성하는 보안이벤트 생성단계; (c) 각 단위보안 솔루션별로 상기 보안이벤트의 종류별 생성 건수와 보안이벤트 종류 건수를 각각 산출하는 건수 산출단계; (d) 하기 수학식1에 의해 각 단위보안 솔루션별 보안위험지수(SRI)를 산출하는 보안위험지수 산출단계; 및 (e) 상기 각 단위보안 솔루션별 보안위험지수(SRI)가 소정임계값 이상인 경우에 보안위험상황으로 판단하여 보안경보를 생성하는 보안경보 생성단계;를 포함하여 구성된다.

Description

보안이벤트 분석방법 및 분석시스템, 그 기록매체{Method and system for analyzing security event, and recording medium thereof}
본 발명은 보안이벤트 분석방법 및 분석시스템, 그 기록매체에 관한 것으로서, 더욱 상세하게는, 이벤트의 생성 건수뿐만 아니라 단위보안 솔루션의 특성에 따라 부여된 해당 단위보안 솔루션의 위험도지수, 이벤트의 특성에 따라 부여된 해당 이벤트의 위험도 지수를 이용하여 보안위험지수를 산출하고, 이렇게 산출된 보안위험지수에 따라 보안위험상황의 생성유무를 판단함에 따라, 개별 이벤트 관점에서 더욱 나아가 단위보안 솔루션의 관점까지 고려된 보안관리기능을 제공할 수 있는 보안이벤트 분석방법 및 분석시스템, 그 기록매체에 관한 것이다.
인터넷 환경이 발달함에 따라 대부분의 기업 업무가 컴퓨터 시스템을 이용한 IT(information technology)를 기반으로 이뤄지고 있으며, 정보 공유성을 극대화하기 위해 인터넷 환경을 매개로 하는 개방형 네트워크 컴퓨팅 환경이 일반화되고 있다.
상술한 바와 같이, 점차 개방형 네트워크 컴퓨팅 환경이 일반화되어 감에 따라 정보자산을 보호하는 일이 더욱 중요해지고 있으며, 이를 위해 대부분의 기업들은 정보자산을 보호하기 위하여 다양한 보안 솔루션을 순차적으로 도입하여 왔다.
여기서 '정보자산'이라 함은, 해당 조직에서 중요한 가치를 가지는 모든 요소를 말한다.
구체적으로 정보자산에는, 방제시설, 모니터링 시스템, 출입통제 시스템 등과 같은 물리적 자산, 라우터, 스위치, 방화벽, IDS(Intrusion Detection System:침입탐지시스템)와 같은 네트워크 자산, 서버, 메인프레임 등과 같은 시스템 자산, 웹서버/미들웨어, DBMS(Data Base Management System: 데이터베이스 관리 시스템), 개발프로그램 등과 같은 응용시스템 자산, PC, 노트북 등과 같은 PC 및 기타 자산, 그리고 데이터, 문서 등과 같은 데이터 자산 등이 포함될 수 있다.
최근에는, IT기술의 발달로 인하여 정보자산의 수집, 교환 및 전송 등이 용이해지면서 정보자산의 유출을 방지하기 위한 다양한 보안 솔루션을 체계적이고 통합적으로 관리하기 위한 시스템이 요구되고 있다.
통합보안관리시스템의 일예로서, 방화벽(Firewall), 웹 방화벽(Web Application Firewall), 침입방지 시스템(IPS, Intrusion Prevention System), 침입탐지 시스템(IDS, Intrusion Detection System), 가상사설망(VPN, Virtual Private Network) 등과 같이 다양한 보안 솔루션 및 서버, 라우터 등과 같은 네트워크 장비 등을 통합적으로 관리하여 정보자산을 보호하는 ESM(Enterprise Security Management)이 있다.
상기 ESM은 네트워크를 통해 수집되는 모든 위험요소들을 총체적으로 분석하여 미리 사전에 예방할 수 있도록 운영자에게 알려주는 시스템으로서, 네트워크 운영자 및 서버시스템 운영자는 ESM을 통하여 얻어온 위험 정보를 바탕으로 네트워크에 생성할 수 있는 문제를 미리 파악하고 대처할 수 있도록 하여 정보자산을 보호할 수 있도록 한다.
상기 ESM은, 예를 들어, 에이전트, 수집 서버, 데이터베이스 서버, 분석 서버를 포함하여 구성될 수 있다.
상기 에이전트는 방화벽, 웹 방화벽, 침입방지 시스템, 침입탐지 시스템, 가상사설망 등과 같이 다양한 보안 솔루션 및 서버, 라우터 등과 같은 네트워크 장비에서 로그 데이터를 수집하여 실시간으로 수집 서버로 전송한다.
상기 수집 서버는 각 보안 솔루션과 장비에 탑재되어 있는 에이전트로부터 전송받은 로그 데이터를 수집 및 정리하여 데이터베이스 서버 및 분석 서버에 전송한다.
상기 데이터베이스 서버는 상기 수집 서버에서 정리된 로그 데이터를 데이터베이스에 저장한다.
상기 분석 서버는 상기 에이전트에서 상기 수집 서버로 전송된 로그 데이터 및 데이터베이스에 저장된 로그 데이터를 바탕으로 네트워크의 상태 및 위기 상황을 분석하고 정리하여 그 결과를 UI(user interface)를 통해 보안관리자에게 알려주고 현상 및 결과 등의 정보를 상기 데이터베이스 서버로 전송하여 상기 데이터베이스에 저장되도록 한다.
상기 수집 서버, 상기 데이터베이스 서버, 상기 분석 서버는 설명의 편의를 위해 구분하였을 뿐, 물리적 관점으로 구분한 것은 아니다.
한편, 네트워크의 상태 및 위기 상황을 분석을 위한 방법으로서, 종래에는, 상기 에이전트에 의해 수집된 로그 데이터 중 경보 생성 판단 기준에 근거하여 이벤트 데이터(정보자산을 위협할 수 있는 로그 데이터)를 분류하고, 이러한 이벤트 데이터의 생성 건수가 기설정된 임계건수를 초과 시 경보가 생성되도록 하며, UI를 통해 보안관리자가 생성한 경보를 확인할 수 있도록 하였다.
그러나, 상술한 바와 같은 종래의 분석 방법은, 각 이벤트 데이터의 중요도를 고려하지 않고 이벤트 데이터의 생성 건수만을 기설정된 임계건수와 비교하여 경보를 생성하므로 각 이벤트 데이터의 중요도가 반영되어 있지 않아 경보의 중요도에 대한 변별력이 떨어지는 문제점이 있었다.
예를 들어, 임계건수가 10건으로 설정된 경우에, 중요도가 낮은 이벤트 데이터가 11건이 생성한 상황과 중요도가 높은 이벤트 데이터가 11건이 생성한 경우 모두 이벤트 데이터 생성 건수가 11건으로 임계건수를 초과하므로 경보가 생성하게 되지만, 두 경보에 대한 상대적인 중요도 판단은 이뤄지지 않게 되는 것이다.
또한, 상대적으로 중요도가 낮은 이벤트 데이터에 의해서도 경보가 생성할 수 있게 됨에 따라 보안 경보가 과도하게 생성하게 되어 보안관리자의 경보에 대한 중요성 인식이 저하되며, 이에 따라 보안관리자의 경보 생성에 대한 대처 능력이 떨어져 효율적인 관리가 어려운 문제점이 있었다.
상기 종래 기술에 따른 문제점을 해결하기 위한 본 발명의 목적은, 이벤트의 생성 건수뿐만 아니라 단위보안 솔루션의 특성에 따라 부여된 해당 단위보안 솔루션의 위험도지수, 이벤트의 특성에 따라 부여된 해당 이벤트의 위험도 지수를 이용하여 보안위험지수를 산출하고, 이렇게 산출된 보안위험지수에 따라 보안위험상황의 생성유무를 판단함에 따라, 개별 이벤트 관점에서 더욱 나아가 단위보안 솔루션의 관점까지 고려된 보안관리기능을 제공할 수 있는 보안이벤트 분석방법 및 분석시스템, 그 기록매체를 제공함에 있다.
상기 기술적 과제를 해결하기 위한 본 발명의 제1측면은, 네트워크를 통해 연결된 적어도 하나의 단위보안 솔루션으로부터 수집되는 정보에 근거하여 보안위험상황시 보안경보를 생성하기 위한 보안이벤트 분석방법으로서, (a) 각 단위보안 솔루션으로부터 로그 데이터를 수집하여 로그 데이터 DB에 저장하는 로그 데이터 수집단계; (b) 상기 로그 데이터 DB에 저장된 로그 데이터에 대해 기설정된 이벤트 생성 기준에 해당하는 로그 데이터를 주기적으로 추출하여 각 단위보안 솔루션별 보안이벤트를 생성하는 보안이벤트 생성단계; (c) 각 단위보안 솔루션별로 상기 보안이벤트의 종류별 생성 건수와 보안이벤트 종류 건수를 각각 산출하는 건수 산출단계; (d) 하기 수학식1에 의해 각 단위보안 솔루션별 보안위험지수(SRI)를 산출하는 보안위험지수 산출단계; 및 (e) 상기 각 단위보안 솔루션별 보안위험지수(SRI)가 소정임계값 이상인 경우에 보안위험상황으로 판단하여 보안경보를 생성하는 보안경보 생성단계;를 포함한다.
[수학식1]
Figure 112012017894837-pat00001
(단, SRI:보안위험지수, EC:단위보안 솔루션의 해당 이벤트 생성 건수, ER:해당 이벤트의 위험도지수, E:해당 단위보안 솔루션의 이벤트 종류 건수, SR:해당 단위보안 솔루션의 위험도지수)
바람직하게, 상기 (e) 단계 이후에, 상기 생성된 보안경보에 관한 정보를 보안경보 DB에 저장하여 보안관리자에게 제공될 수 있도록 유지하는 보안경보 저장단계;를 더 포함할 수 있다.
바람직하게, 상기 (a) 단계 이전에, 상기 이벤트 생성 기준, 각 이벤트의 위험도지수, 각 단위보안 솔루션의 위험도지수 중 적어도 어느 하나를 설정하기 위한 보안정책 설정단계;를 더 포함할 수 있다.
상기 기술적 과제를 해결하기 위한 본 발명의 제2측면은, 상술한 바와 같이 이뤄진 보안이벤트 분석방법의 각 단계를 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
상기 기술적 과제를 해결하기 위한 본 발명의 제3측면은, 네트워크를 통해 연결된 적어도 하나의 단위보안 솔루션으로부터 수집되는 정보에 근거하여 보안위험상황시 보안경보를 생성하기 위한 보안이벤트 분석시스템으로서, 각 단위보안 솔루션으로부터 로그 데이터를 수집하여 로그 데이터 DB에 저장하는 로그 데이터 수집모듈; 상기 로그 데이터 DB에 저장된 로그 데이터에 대해 기설정된 이벤트 생성 기준에 해당하는 로그 데이터를 주기적으로 추출하여 각 단위보안 솔루션별 보안이벤트로 생성하는 보안이벤트 생성모듈; 각 단위보안 솔루션별로 상기 보안이벤트의 종류별 생성 건수와 보안이벤트 종류 건수를 각각 산출하는 건수 산출모듈; 하기 수학식1에 의해 각 단위보안 솔루션별 보안위험지수를 산출하는 보안위험지수 산출모듈; 및 상기 각 단위보안 솔루션별 보안위험지수가 소정임계값 이상인 경우에 보안위험상황으로 판단하여 보안경보를 생성하는 보안경보 생성모듈;을 포함한다.
[수학식1]
Figure 112012017894837-pat00002
(단, SRI:보안위험지수, EC:단위보안 솔루션의 해당 이벤트 생성 건수, ER:해당 이벤트의 위험도지수, E:해당 단위보안 솔루션의 이벤트 종류 건수, SR:해당 단위보안 솔루션의 위험도지수)
바람직하게, 상기 생성된 보안경보에 관한 정보를 보안경보 DB에 저장하여 보안관리자에게 제공될 수 있도록 유지하는 보안경보 저장모듈;을 더 포함할 수 있다.
바람직하게, 상기 이벤트 생성 기준, 각 이벤트의 위험도지수, 각 단위보안 솔루션의 위험도지수 중 적어도 어느 하나를 설정하기 위한 보안정책 설정모듈;을 더 포함할 수 있다.
상술한 바와 같은 본 발명은, 이벤트의 생성 건수뿐만 아니라 단위보안 솔루션의 특성에 따라 부여된 해당 단위보안 솔루션의 위험도지수, 이벤트의 특성에 따라 부여된 해당 이벤트의 위험도 지수를 이용하여 보안위험지수를 산출하고, 이렇게 산출된 보안위험지수에 따라 보안위험상황의 생성유무를 판단함에 따라, 개별 이벤트 관점에서 더욱 나아가 단위보안 솔루션의 관점까지 고려된 보안관리기능을 제공할 수 있다는 이점이 있다.
도 1은 본 발명의 일실시예에 따른 보안이벤트 분석시스템을 포함한 전체시스템의 구성을 도시한 구성도.
도 2는 본 발명의 일실시예에 따른 보안이벤트 분석시스템의 내부구성을 도시한 블록도.
도 3은 본 발명의 일실시예에 따른 보안이벤트 생성 및 분석방법의 흐름을 도시한 흐름도.
본 발명은 그 기술적 사상 또는 주요한 특징으로부터 벗어남이 없이 다른 여러가지 형태로 실시될 수 있다. 따라서, 본 발명의 실시예들은 모든 점에서 단순한 예시에 지나지 않으며 한정적으로 해석되어서는 안된다.
제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "구비하다", "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 대응하는 구성 요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
도 1은 본 발명의 일실시예에 따른 보안이벤트 분석시스템을 포함한 전체시스템의 구성을 도시한 구성도이고, 도 2는 본 발명의 일실시예에 따른 보안이벤트 분석시스템의 내부구성을 도시한 블록도이며, 이를 참조하여 본 실시예의 보안이벤트 분석시스템에 대하여 설명하도록 한다.
도 1에 도시된 바와 같이, 전체시스템의 구성은 네트워크(1)를 통해 연결된 사내정보시스템(10), 단위보안 솔루션(10a), 보안이벤트 분석시스템(100), 보안관리자 단말(200)을 포함한다.
여기서, 네트워크(1)를 통한 연결이란, 반드시 물리적 관점에서 별도의 시스템으로 구성되어 연결된다는 의미는 아니며, 논리적 관점에서 각 시스템 간에 필요한 데이터를 상호 송수신할 수 있다는 의미로 해석될 수 있다.
상기 사내정보시스템(10)은, 예를 들어, IT(information technology)를 기반으로 하여 기업 업무를 위한 컴퓨터 시스템이 될 수 있고, 상기 사내정보시스템(10)에는 기업의 각종 정보자산이 생성 또는 저장된다.
상기 단위보안 솔루션(10a)은, 상기 사내정보시스템(10)에서 생성 또는 저장된 각종 정보자산을 보호하기 위한 솔루션으로서, 예를 들어, 방화벽(Firewall), 웹 방화벽(Web Application Firewall), 침입방지 시스템(IPS, Intrusion Prevention System), 침입탐지 시스템(IDS, Intrusion Detection System), 가상사설망(VPN, Virtual Private Network) 등과 같이 다양한 보안 솔루션 및 서버, 라우터 등과 같은 네트워크 장비 등이 될 수 있다.
상기 보안이벤트 분석시스템(100)은 상기 단위보안 솔루션(10a)으로부터 수집되는 정보에 근거하여 보안위험상황시 보안경보를 생성하기 위한 시스템이다.
상기 보안이벤트 분석시스템(100)은, 예를 들어, 기업보안관리시스템(Enterprise Security Management: ESM)이나, 시스템자원관리시스템(System Management System: SMS), 네트워크관리시스템(Network Management System) 등에 적용될 수 있다.
상기 보안관리자 단말(200)은 상기 보안이벤트 분석시스템(100)과 연동하여 상기 보안이벤트 분석시스템(100)의 각종 설정을 위한 제어정보를 입력하거나 상기 보안이벤트 분석시스템(100)에서 생성된 보안경보를 출력하는 단말이다.
한편, 도 2에 도시된 바와 같이, 상기 보안이벤트 분석시스템(100)은, 보안정책 설정모듈(102), 로그 데이터 수집모듈(104), 보안이벤트 생성모듈(106), 건수 산출모듈(108), 보안위험지수 산출모듈(110), 보안경보 생성모듈(112), 보안경보 저장모듈(114), 보안정책설정 DB(116), 로그 데이터 DB(118), 보안경보 DB(120)를 포함하여 구성된다.
상기 보안정책 설정모듈(102)은, 예를 들어, 이벤트 생성 기준, 각 이벤트의 위험도지수(ER, Event Risk), 각 단위보안 솔루션(10a)의 위험도지수(SR, Solution Risk) 등과 같은 각종 설정에 관한 정보를 입력받아 보안정책설정 DB(116)에 저장한다.
한편, 상기 이벤트 생성 기준, 각 이벤트의 위험도지수(ER, Event Risk), 각 단위보안 솔루션(10a)의 위험도지수(SR, Solution Risk) 등은 보안이벤트 분석시스템(100)의 구축시 함께 저장될 수도 있고, 보안이벤트 분석시스템(100)의 구축 이후에 상기 보안관리자 단말(200)로부터 입력되어 저장 또는 수정될 수도 있다.
상기 로그 데이터 수집모듈(104)은, 각 단위보안 솔루션(10a)으로부터 로그 데이터를 수집하여 로그 데이터 DB(118)에 저장한다.
예를 들어, 상기 로그 데이터 수집모듈(104)은 각 단위보안 솔루션(10a)에 탑재된 에이전트로부터 각 단위보안 솔루션(10a)에서 수집된 로그 데이터를 전송받음에 따라 각 단위보안 솔루션(10a)의 로그 데이터를 수집할 수 있으며, 수집된 로그 데이터를 로그 데이터 DB(118)에 저장한다.
상기 에이전트는 각 단위보안 솔루션(10a)에서 로그 데이터를 수집하여 상기 로그 데이터 수집모듈(104)로 보내주는 기능을 하며, 전송량으로 인한 트래픽 부하를 줄이기 위하여 수집된 로그 데이터를 축약 및 필터링하는 기능, 각 단위보안 솔루션별로 서로 다른 형식의 로그 데이터를 하나의 표준 형식으로 표준화하는 기능 등을 더 포함할 수도 있다.
상기 보안이벤트 생성모듈(106)은, 상기 로그 데이터 DB(118)에 저장된 로그 데이터에 대해 상기 보안정책설정 DB(116)에 저장된 이벤트 생성 기준에 해당하는 로그 데이터를 주기적(매 수초마다 또는 매 수분마다)으로 추출하여 각 단위보안 솔루션별 보안이벤트로 생성한다.
상기 이벤트 생성 기준은 네트워크 보안 운영 방침을 기준으로 보안관리자 측에서 정한 보안정책에 의거하여 정해지며, 예를 들어, 방화벽 침입에 관한 로그 데이터, 웹방화벽 침입에 관한 로그 데이터 등이 상기 보안이벤트 생성모듈(106)에 의해 보안이벤트로 생성될 수 있다.
상기 보안이벤트 생성모듈(106)에 의해 생성된 보안이벤트는, 예를 들어, 방화벽에 관한 보안이벤트, 웹 방화벽에 관한 보안이벤트, 침입방지 시스템에 관한 보안이벤트, 침입탐지 시스템에 관한 보안이벤트, 가상사설망에 관한 보안이벤트와 같이 각 단위보안 솔루션별로 생성될 수 있다.
상기 건수 산출모듈(108)은, 각 단위보안 솔루션별로 상기 보안이벤트의 종류별 생성 건수(EC, Event Count)와 보안이벤트 종류 건수(E, Event)를 각각 산출한다.
예를 들어, 방화벽에 관한 보안이벤트의 구성이 표1과 같은 경우에, 제1시나리오에 관한 보안이벤트 3건, 제2시나리오에 관한 보안이벤트 5건, 제3시나리오에 관한 보안이벤트 10건, 제4시나리오에 관한 보안이벤트 4건을 방화벽에 관한 보안이벤트의 종류별 생성 건수로서 산출하고, 보안이벤트 종류 건수 4건으로 산출한다.
(방화벽(솔루션 위험도지수(SR) 1.0)에 관한 보안이벤트 구성)
종류 건수(EC) 위험도지수(ER)
제1시나리오 3 2
제2시나리오 5 3
제3시나리오 10 1
제4시나리오 4 5
또한, 예를 들어, 웹방화벽에 관한 보안이벤트의 구성이 표2와 같은 경우에, 제5시나리오에 관한 보안이벤트 1건, 제6시나리오에 관한 보안이벤트 3건, 제7시나리오에 관한 보안이벤트 4건, 제8시나리오에 관한 보안이벤트 5건, 제9시나리오에 관한 보안이벤트 7건을 웹방화벽에 관한 보안이벤트의 종류별 생성 건수로서 산출하고, 보안이벤트 종류 건수 5건으로 산출한다.
(웹방화벽(솔루션 위험도지수(SR) 0.8)에 관한 보안이벤트 구성)
종류 건수(EC) 위험도지수(ER)
제5시나리오 1 2
제6시나리오 3 3
제7시나리오 4 1
제8시나리오 5 5
제9시나리오 7 2
상기 보안위험지수 산출모듈(110)은, 하기 수학식1에 의해 각 단위보안 솔루션별 보안위험지수(SRI, Security Risk Index)를 산출한다.
[수학식1]
Figure 112012017894837-pat00003
(단, SRI:보안위험지수, EC:단위보안 솔루션의 해당 이벤트 생성 건수, ER:해당 이벤트의 위험도지수, E:해당 단위보안 솔루션의 이벤트 종류 건수, SR:해당 단위보안 솔루션의 위험도지수)
상기 수학식1에 의한 보안위험지수의 산출에 대해 방화벽과 웹방화벽의 경우를 예로 들어 설명한다.
예를 들어, 상기 표1과 같이 방화벽에 관한 보안이벤트가 구성된 경우에, 상기 보안위험지수는 아래와 같이 “12.75”로 구해진다.
Figure 112012017894837-pat00004
한편, 예를 들어, 상기 방화벽의 이벤트 생성건수와 이벤트의 위험도지수가 동일한 보안이벤트가 웹 방화벽에 생성된 경우에, 표3과 같이 방화벽에 관한 보안이벤트가 구성될 수 있으며, 상기 보안위험지수는 아래와 같이 “10.2”로 구해진다.
Figure 112012017894837-pat00005
(웹방화벽(솔루션 위험도지수(SR) 0.8)에 관한 보안이벤트 구성)
종류 건수(EC) 위험도지수(ER)
제10시나리오 3 2
제11시나리오 5 3
제12시나리오 10 1
제13시나리오 4 5
상기 보안경보 생성모듈(112)은, 상술한 바와 같이 구해진 각 단위보안 솔루션별 보안위험지수가 소정임계값 이상인 경우에 보안위험상황으로 판단하여 보안경보를 생성한다.
예를 들어, 소정임계값이 11로 설정된 경우에, 상기 표1과 같이 방화벽에 관한 보안이벤트가 구성된 경우의 보안위험지수는 “12.75”로서 상기 소정임계값 이상이 되므로 보안위험상황으로 판단하여 보안경보를 생성한다.
한편, 예를 들어, 상기 표3과 같이 웹방화벽에 관한 보안이벤트가 구성된 경우의 보안위험지수는 “10.2”로서, 상기 방화벽의 경우와 동일한 이벤트 생성건수와 이벤트의 위험도지수가 동일한 보안이벤트가 생성되지만, 해당 솔루션의 위험도지수가 낮아 최종 보안위험지수가 소정임계값보다 작아 보안경보를 생성하지 않는다.
즉, 방화벽과 웹방화벽에서 이벤트 생성건수와 이벤트의 위험도지수가 동일한 보안이벤트가 생성된다 하더라도, 해당 단위보안 솔루션(10a)의 위험도지수에 따라 보안경보의 생성 유무가 달라질 수 있는 것이다.
한편, 상기에서는 상기 방화벽과 웹방화벽의 소정임계값이 동일하게 설정된 경우에 대해 설명하였지만, 상기 소정임계값은 각 단위보안 솔루션(10a)마다 서로 상이하도록 이뤄질 수도 있음은 물론이다.
상기 보안경보 저장모듈(114)은, 상기 생성된 보안경보에 관한 정보를 보안경보 DB(120)에 저장하여 보안관리자에게 제공될 수 있도록 유지한다.
예를 들어, 상기 보안경보 DB(120)에 저장된 보안경보에 관한 정보는 디스플레이 화면이나 스피커를 통해 보안관리자에게 제공될 수 있다.
도 3은 본 발명의 일실시예에 따른 보안이벤트 분석방법의 흐름을 도시한 흐름도이며, 이를 참조하여 본 실시예의 보안이벤트 분석방법에 대하여 설명하도록 한다.
먼저, 네트워크 보안 운영 방침을 기준으로 보안관리자 측에서 정한 보안정책에 의거하여 이벤트 생성 기준, 각 이벤트의 위험도지수, 각 단위보안 솔루션(10a)의 위험도지수 중 적어도 어느 하나를 보안정책설정 DB(116)에 저장하여 보안정책설정이 되도록 한다.(S100)
예를 들어, 상기 이벤트 생성 기준, 각 이벤트의 위험도지수, 각 단위보안 솔루션(10a)의 위험도지수는 네트워크(1)를 통해 연결된 보안관리자 단말(200)로부터 입력받을 수 있다.
다음으로, 각 단위보안 솔루션(10a)으로부터 로그 데이터를 수집하여 로그 데이터 DB(118)에 저장한다.(S200)
예를 들어, 상기 로그 데이터의 수집은 각 단위보안 솔루션(10a)에 탑재된 에이전트가 수집한 정보를 전송받음에 따라 이뤄질 수 있고, 전송된 로그 데이터가 로그 데이터 DB(118)에 저장된다.
한편, 로그 데이터를 수집하는 과정에서 전송량으로 인한 트래픽 부하를 줄이기 위하여 로그 데이터의 축약 및 필터링, 각 단위보안 솔루션별로 서로 다른 형식을 가지고 있는 로그 데이터를 표준 형식으로 표준화 등이 이뤄질 수도 있음은 물론이다.
다음으로, 상기 로그 데이터 DB(118)에 저장된 로그 데이터에 대해 상기 보안정책설정 DB(116)에 저장되어 설정된 이벤트 생성 기준에 해당하는 로그 데이터를 주기적으로 추출하여 각 단위보안 솔루션별 보안이벤트로 생성한다.(S300)
상기 이벤트 생성 기준은 상술한 바와 같이 네트워크 보안 운영 방침을 기준으로 보안관리자 측에서 정한 보안정책에 의거하여 정해지며, 예를 들어, 방화벽 침입에 관한 로그 데이터, 웹방화벽 침입에 관한 로그 데이터 등이 상기 보안이벤트 생성모듈(106)에 의해 보안이벤트로 생성될 수 있다.
다음으로, 각 단위보안 솔루션별로 상기 보안이벤트 생성 건수와 보안이벤트 종류 건수를 각각 산출한다.(S400)
예를 들어, 방화벽에 관한 보안이벤트 생성 건수와 보안이벤트 종류 건수, 웹방화벽에 관한 보안이벤트 생성 건수와 보안이벤트 종류 건수 등을 각각 산출한다.
다음으로, 하기 수학식1에 의해 각 단위보안 솔루션별 보안위험지수를 산출한다.(S500)
[수학식1]
Figure 112012017894837-pat00006
(단, SRI:보안위험지수, EC:단위보안 솔루션의 해당 이벤트 생성 건수, ER:해당 이벤트의 위험도지수, E:해당 단위보안 솔루션의 이벤트 종류 건수, SR:해당 단위보안 솔루션의 위험도지수)
예를 들어, 방화벽에 관한 보안위험지수, 웹방화벽에 관한 보안위험지수 등을 각각 산출한다.
다음으로, 상기 각 단위보안 솔루션별 보안위험지수가 소정임계값 이상인 경우에 보안위험상황으로 판단하여 보안경보를 생성한다.(S600)
예를 들어, 방화벽에 관한 보안위험지수, 웹방화벽에 관한 보안위험지수 등을 소정임계값과 개별적으로 각각 비교하여, 소정임계값 이상인 보안위험지수에 해당하는 단위보안 솔루션(10a)에 대한 보안경보를 생성한다.
이때, 상기 소정임계값은 각 단위보안 솔루션(10a)마다 서로 상이하도록 설정될 수 있다.
다음으로, 상기 생성된 보안경보에 관한 정보를 보안경보 DB(120)에 저장하여 보안관리자에게 제공될 수 있도록 유지한다.(S700)
예를 들어, 상기 보안경보 DB(120)에 저장된 보안경보에 관한 정보는 디스플레이 화면이나 스피커를 통해 보안관리자에게 제공될 수 있으며, 상기 보안경보 DB(120)에 저장된 보안경보를 분석하여 추후 보안을 더욱 강화하기 위한 자료로서 활용할 수 있다.
본 발명의 실시예 들은 다양한 컴퓨터로 구현되는 동작을 수행하기 위한 프로그램 명령을 포함하는 컴퓨터 판독가능 매체를 포함한다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크와 같은 자기-광 매체, 및 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 상기 매체는 프로그램 명령, 데이터 구조 등을 지정하는 신호를 전송하는 반송파를 포함하는 광 또는 금속선, 도파관 등의 전송 매체일 수도 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.
본 발명은 첨부된 도면을 참조하여 바람직한 실시예를 중심으로 기술되었지만 당업자라면 이러한 기재로부터 본 발명의 범주를 벗어남이 없이 많은 다양하고 자명한 변형이 가능하다는 것은 명백하다. 따라서 본 발명의 범주는 이러한 많은 변형예들을 포함하도록 기술된 특허청구범위에 의해서 해석돼야 한다.
1:네트워크
10:사내정보시스템
10a:단위보안 솔루션
100:보안이벤트 분석시스템
102:보안정책 설정모듈
104:로그 데이터 수집모듈
106:보안이벤트 생성모듈
108:건수 산출모듈
110:보안위험지수 산출모듈
112:보안경보 생성모듈
114:보안경보 저장모듈
116:보안정책설정 DB
118:로그 데이터 DB
120:보안경보 DB
200:보안관리자 단말

Claims (7)

  1. 보안정책 설정모듈, 로그 데이터 수집모듈, 보안이벤트 생성모듈, 건수 산출모듈, 보안위험지수 산출모듈, 보안경보 생성모듈을 구비한 보안이벤트 분석시스템에서 실행되며, 네트워크를 통해 연결된 적어도 하나의 단위보안 솔루션으로부터 수집되는 정보에 근거하여 보안위험상황시 보안경보를 생성하기 위한 보안이벤트 분석방법으로서,
    (a0) 이벤트 생성 기준, 각 이벤트의 위험도지수, 각 단위보안 솔루션의 위험도지수 중 적어도 어느 하나를 설정하기 위한 보안정책 설정단계;
    (a) 각 단위보안 솔루션으로부터 로그 데이터를 수집하여 로그 데이터 DB에 저장하는 로그 데이터 수집단계;
    (b) 상기 로그 데이터 DB에 저장된 로그 데이터에 대해 기설정된 이벤트 생성 기준에 해당하는 로그 데이터를 주기적으로 추출하여 각 단위보안 솔루션별 보안이벤트를 생성하는 보안이벤트 생성단계;
    (c) 각 단위보안 솔루션별로 상기 보안이벤트의 종류별 생성 건수와 보안이벤트 종류 건수를 각각 산출하는 건수 산출단계;
    (d) 하기 수학식1에 의해 각 단위보안 솔루션별 보안위험지수(SRI)를 산출하는 보안위험지수 산출단계; 및
    [수학식1]
    Figure 112012048811414-pat00007

    (단, SRI:보안위험지수, EC:단위보안 솔루션의 해당 이벤트 생성 건수, ER:해당 이벤트의 위험도지수, E:해당 단위보안 솔루션의 이벤트 종류 건수, SR:해당 단위보안 솔루션의 위험도지수)
    (e) 상기 각 단위보안 솔루션별 보안위험지수(SRI)가 소정임계값 이상인 경우에 보안위험상황으로 판단하여 보안경보를 생성하는 보안경보 생성단계;를 포함하는 것을 특징으로 하는 보안이벤트 분석방법.
  2. 제1항에 있어서,
    상기 (e) 단계 이후에,
    상기 생성된 보안경보에 관한 정보를 보안경보 DB에 저장하여 보안관리자에게 제공될 수 있도록 유지하는 보안경보 저장단계;를 더 포함하는 것을 특징으로 하는 보안이벤트 분석방법.
  3. 삭제
  4. 제1항 또는 제2항에 기재된 방법의 각 단계를 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  5. 네트워크를 통해 연결된 적어도 하나의 단위보안 솔루션으로부터 수집되는 정보에 근거하여 보안위험상황시 보안경보를 생성하기 위한 보안이벤트 분석시스템으로서,
    이벤트 생성 기준, 각 이벤트의 위험도지수, 각 단위보안 솔루션의 위험도지수 중 적어도 어느 하나를 설정하기 위한 보안정책 설정모듈;
    각 단위보안 솔루션으로부터 로그 데이터를 수집하여 로그 데이터 DB에 저장하는 로그 데이터 수집모듈;
    상기 로그 데이터 DB에 저장된 로그 데이터에 대해 기설정된 이벤트 생성 기준에 해당하는 로그 데이터를 주기적으로 추출하여 각 단위보안 솔루션별 보안이벤트로 생성하는 보안이벤트 생성모듈;
    각 단위보안 솔루션별로 상기 보안이벤트의 종류별 생성 건수와 보안이벤트 종류 건수를 각각 산출하는 건수 산출모듈;
    하기 수학식1에 의해 각 단위보안 솔루션별 보안위험지수를 산출하는 보안위험지수 산출모듈; 및
    [수학식1]
    Figure 112012048811414-pat00008

    (단, SRI:보안위험지수, EC:단위보안 솔루션의 해당 이벤트 생성 건수, ER:해당 이벤트의 위험도지수, E:해당 단위보안 솔루션의 이벤트 종류 건수, SR:해당 단위보안 솔루션의 위험도지수)
    상기 각 단위보안 솔루션별 보안위험지수가 소정임계값 이상인 경우에 보안위험상황으로 판단하여 보안경보를 생성하는 보안경보 생성모듈;을 포함하는 것을 특징으로 하는 보안이벤트 분석시스템.
  6. 제5항에 있어서,
    상기 생성된 보안경보에 관한 정보를 보안경보 DB에 저장하여 보안관리자에게 제공될 수 있도록 유지하는 보안경보 저장모듈;을 더 포함하는 것을 특징으로 하는 보안이벤트 분석시스템.
  7. 삭제
KR1020120022493A 2012-03-05 2012-03-05 보안이벤트 분석방법 및 분석시스템, 그 기록매체 KR101180092B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120022493A KR101180092B1 (ko) 2012-03-05 2012-03-05 보안이벤트 분석방법 및 분석시스템, 그 기록매체

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120022493A KR101180092B1 (ko) 2012-03-05 2012-03-05 보안이벤트 분석방법 및 분석시스템, 그 기록매체

Publications (1)

Publication Number Publication Date
KR101180092B1 true KR101180092B1 (ko) 2012-09-05

Family

ID=47073855

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120022493A KR101180092B1 (ko) 2012-03-05 2012-03-05 보안이벤트 분석방법 및 분석시스템, 그 기록매체

Country Status (1)

Country Link
KR (1) KR101180092B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180047079A (ko) 2016-10-31 2018-05-10 삼성에스디에스 주식회사 모니터링 결과의 이벤트 등급 결정 방법 및 장치
KR101929528B1 (ko) * 2017-11-15 2018-12-17 주식회사 이글루시큐리티 위험지수 자동 보정 장치 및 방법
KR20210059542A (ko) * 2019-11-15 2021-05-25 한전케이디엔주식회사 사이버 보안관제의 실시간 모니터링 시스템 및 방법
KR102384542B1 (ko) * 2021-11-09 2022-04-08 주식회사 이글루시큐리티 위험도 분포의 상세 분석을 통한 종합 위험도 분석 방법, 장치 및 프로그램
CN116668062A (zh) * 2023-04-11 2023-08-29 丰辰网络科技(无锡)有限公司 一种基于数据分析的网络安全运维管理平台

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180047079A (ko) 2016-10-31 2018-05-10 삼성에스디에스 주식회사 모니터링 결과의 이벤트 등급 결정 방법 및 장치
KR101929528B1 (ko) * 2017-11-15 2018-12-17 주식회사 이글루시큐리티 위험지수 자동 보정 장치 및 방법
KR20210059542A (ko) * 2019-11-15 2021-05-25 한전케이디엔주식회사 사이버 보안관제의 실시간 모니터링 시스템 및 방법
KR102295947B1 (ko) * 2019-11-15 2021-08-30 한전케이디엔주식회사 사이버 보안관제의 실시간 모니터링 시스템 및 방법
KR102384542B1 (ko) * 2021-11-09 2022-04-08 주식회사 이글루시큐리티 위험도 분포의 상세 분석을 통한 종합 위험도 분석 방법, 장치 및 프로그램
CN116668062A (zh) * 2023-04-11 2023-08-29 丰辰网络科技(无锡)有限公司 一种基于数据分析的网络安全运维管理平台
CN116668062B (zh) * 2023-04-11 2024-01-05 丰辰网络科技(无锡)有限公司 一种基于数据分析的网络安全运维管理平台

Similar Documents

Publication Publication Date Title
US11503064B1 (en) Alert systems and methods for attack-related events
RU2477929C2 (ru) Система и способ предотвращения инцидентов безопасности на основании рейтингов опасности пользователей
US9736173B2 (en) Differential dependency tracking for attack forensics
CN112187792A (zh) 一种基于互联网的网络信息安全防护系统
EP2835948B1 (en) Method for processing a signature rule, server and intrusion prevention system
US10915626B2 (en) Graph model for alert interpretation in enterprise security system
KR101180092B1 (ko) 보안이벤트 분석방법 및 분석시스템, 그 기록매체
JP2005526311A (ja) データベースシステムを監視するための方法および装置
CN111327601B (zh) 异常数据响应方法、系统、装置、计算机设备和存储介质
Anastasov et al. SIEM implementation for global and distributed environments
US11444974B1 (en) Systems and methods for cyber-physical threat modeling
KR101166568B1 (ko) 보안 위험도 산정방법 및 산정시스템, 그 기록매체
CN113411302B (zh) 局域网设备网络安全预警方法及装置
KR20140035146A (ko) 정보보안 장치 및 방법
CN113516337A (zh) 数据安全运营的监控方法及装置
CN114640548A (zh) 一种基于大数据的网络安全感知和预警的方法及系统
RU2481633C2 (ru) Система и способ автоматического расследования инцидентов безопасности
JP4092666B1 (ja) 管理システム,管理サーバおよび管理プログラム
CN113132393A (zh) 异常检测方法、装置、电子设备以及存储介质
CN110460558B (zh) 一种基于可视化的攻击模型发现的方法及系统
KR20140081071A (ko) 실시간 보안수준 측정 관리 방법 및 시스템
KR100241361B1 (ko) 감사 자료의 실시간 분석기 및 분석방법
JP4175574B1 (ja) 管理システム,管理サーバおよび管理プログラム
Hakkoymaz Classifying Database Users for Intrusion Prediction and Detection in Data Security
JP4041846B1 (ja) 管理システム,管理サーバおよび管理プログラム

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150708

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160830

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170821

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee