KR101384618B1 - 노드 분석 기법을 이용한 위험요소 추출 시스템 - Google Patents

노드 분석 기법을 이용한 위험요소 추출 시스템 Download PDF

Info

Publication number
KR101384618B1
KR101384618B1 KR1020130130416A KR20130130416A KR101384618B1 KR 101384618 B1 KR101384618 B1 KR 101384618B1 KR 1020130130416 A KR1020130130416 A KR 1020130130416A KR 20130130416 A KR20130130416 A KR 20130130416A KR 101384618 B1 KR101384618 B1 KR 101384618B1
Authority
KR
South Korea
Prior art keywords
data
node
elements
unit
information
Prior art date
Application number
KR1020130130416A
Other languages
English (en)
Inventor
고석준
임창혁
이석형
Original Assignee
주식회사 이글루시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=50657490&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=KR101384618(B1) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by 주식회사 이글루시큐리티 filed Critical 주식회사 이글루시큐리티
Priority to KR1020130130416A priority Critical patent/KR101384618B1/ko
Application granted granted Critical
Publication of KR101384618B1 publication Critical patent/KR101384618B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 위험요소 추출 시스템에 대한 것으로, 더욱 상세하게는 네트워크의 보안장비들로부터 보안사고 데이터를 수집하는 데이터수집부와 상기 데이터수집부에서 수집된 보안사고 데이터를 XML로 정규화하는 데이터편집부와 상기 데이터편집부에서 XML로 정규화된 데이터를 분석하여 정규화 데이터의 요소들을 노드화하고 노드별 연결로 요소들의 연관성을 나타내는 경고화면을 디스플레이하는 데이터분석부를 포함하여, 보안사고 데이터들의 다수의 집합들을 노드분석을 통해 필요한 데이터를 빠르게 추출하여 사고 대응 및 조치를 신속하게 할 수 있도록 하는 노드 분석 기법을 이용한 위험요소 추출 시스템에 대한 것이다.

Description

노드 분석 기법을 이용한 위험요소 추출 시스템{A system for analyzing dangerous situation using node analysis}
본 발명은 위험요소 추출 시스템에 대한 것으로, 더욱 상세하게는 네트워크의 보안장비들로부터 보안사고 데이터를 수집하는 데이터수집부와 상기 데이터수집부에서 수집된 보안사고 데이터를 XML로 정규화하는 데이터편집부와 상기 데이터편집부에서 XML로 정규화된 데이터를 분석하여 정규화 데이터의 요소들을 노드화하고 노드별 연결로 요소들의 연관성을 나타내는 경고화면을 디스플레이하는 데이터분석부를 포함하여, 보안사고 데이터들의 다수의 집합들을 노드분석을 통해 필요한 데이터를 빠르게 추출하여 사고 대응 및 조치를 신속하게 할 수 있도록 하는 노드 분석 기법을 이용한 위험요소 추출 시스템에 대한 것이다.
기업이나 조직의 모든 정보가 컴퓨터에 저장되고 컴퓨터 환경 또한 다양하고 복잡해지면서, 기업이나 조직의 네트워크와 인터넷 간에 정보보안 대책이 날로 중요해지고 있다. 네트워크의 불법적인 접근은 다양한 국가에서 다양한 유해 아이피와 포트를 통해 일어나고 있으며, 이메일, 피싱, 파밍 등의 다양한 공격 방법에 의해 선량한 내부사용자가 악의적인 공격의 주체(좀비PC, 봇넷)가 되는 경우도 빈번하게 발생하여, 이 같은 환경에서 외부로부터 행해지는 공격과, 내부로부터 이루어지는 악의적 행위(유해 IP로의 접속)가 모두 확인되어야 할 필요가 있다. 따라서, 아래 특허문헌 등과 같은 방화벽, 침입탐지시스템(IDS), 침입차단시스템(IPS) 등의 정보보안 시스템에 의해 네트워크와 인터넷 간의 정보보안이 이루어지게 된다.
(특허문헌)
공개특허공보 10-2009-038683(2009. 04. 21. 공개) "자동 취약점 진단 웹 방화벽 및 이를 이용한 취약점 진단방법"
하지만, 상기 방화벽 등의 정보보안 시스템이 네트워크에 불법적인 침입 등의 보안사고에 대한 데이터를 근거로 남긴다 할지라도, 상기 데이터의 양이 많아서 분석에 어려움이 있으며 특정 보안사고에 해당하는 데이터를 찾아내기 위해 많은 시간을 필요로 하게 된다. 구체적으로 A, B라는 보안장비가 존재한다고 가정시 기존에는 A 장비에서 데이터 로그를 텍스트로 확인하고 해당 장비와 관련 있는 B 장비에서 똑같은 방법으로 데이터 로그를 텍스트로 확인을 하여야 하여, 해당 데이터 로그가 연관성이 있다고 판단하기까지는 수많은 데이터를 수작업으로 일일이 확인해야 하는 문제가 있다. 한편, 보안사고의 데이터가 저장된 데이터베이스가 존재한다고 할지라고 데이터베이스에서 쿼리로 처리하는 것은 텍스트 베이스이기 때문에 해당 데이터 로그의 요소가 얼마나 분포되어있는지 확인하기 어려운 문제가 있다.
본 발명은 상기와 같은 문제점을 해결하기 위해 안출된 것으로,
본 발명은 보안사고 데이터들의 다수의 집합들을 노드분석을 통해 필요한 데이터를 빠르게 추출하여 사고 대응 및 조치를 신속하게 할 수 있도록 하는 노드 분석 기법을 이용한 위험요소 추출 시스템을 제공하는데 그 목적이 있다.
또한, 본 발명은 수많은 보안사고 데이터들의 연관관계를 축약하여 시각화하여 표출하여 사용자가 빠르게 위험요소를 파악할 수 있는 노드 분석 기법을 이용한 위험요소 추출 시스템을 제공하는데 그 목적이 있다.
또한, 본 발명은 보안사고 데이터를 정규화하여 상기 데이터를 구성하는 요소들의 연관관계를 용이하게 추출할 수 있는 노드 분석 기법을 이용한 위험요소 추출 시스템을 제공하는데 그 목적이 있다.
또한, 본 발명은 보안사고 데이터의 요소들을 노드화하고 노드별 연결로 요소들의 연관성을 시각적으로 표출하여, 보안사고의 직관적인 파악이 가능하도록 하는 노드 분석 기법을 이용한 위험요소 추출 시스템을 제공하는데 그 목적이 있다.
또한, 본 발명은 연관된 노드의 개수에 따라 노드의 크기를 조절하고, 연관되지 않은 노드 및 단일 노드 등을 제거하여 표출하므로, 보안사고 데이터의 분석을 용이하게 할 수 있는 노드 분석 기법을 이용한 위험요소 추출 시스템을 제공하는데 그 목적이 있다.
본 발명은 앞서 본 목적을 달성하기 위해서 다음과 같은 구성을 가진 실시예에 의해서 구현된다.
본 발명의 일 실시예에 따르면, 본 발명에 따른 노드 분석 기법을 이용한 위험요소 추출 시스템은 네트워크의 보안장비들로부터 보안사고 데이터를 수집하는 데이터수집부와; 상기 데이터수집부에서 수집된 보안사고 데이터를 XML로 정규화하는 데이터편집부와; 상기 데이터편집부에서 XML로 정규화된 데이터를 분석하여, 정규화 데이터의 요소들을 노드화하고 노드별 연결로 요소들의 연관성을 나타내는 경고화면을 디스플레이하는 데이터분석부;를 포함하는 것을 한다.
본 발명의 다른 실시예에 따르면, 본 발명에 따른 노드 분석 기법을 이용한 위험요소 추출 시스템에 있어서 상기 데이터분석부는 상기 데이터편집부에서 출력된 정규화 데이터의 요소들을 매핑하여 기준요소와 나머지 요소들의 연관관계를 분석하여 요소분석결과를 출력하는 데이터 매핑모듈을 가지는 데이터매핑부를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 노드 분석 기법을 이용한 위험요소 추출 시스템에 있어서 상기 데이터매핑부는 상기 정규화 데이터의 요소들과 데이터베이스부에 저장된 설정보안정보의 요소들을 매핑하여, 상기 정규화 데이터의 요소들과 설정보안정보의 요소들과의 연결관계를 분석하여 요소정보분석결과를 출력하는 정보 매핑모듈을 추가로 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 노드 분석 기법을 이용한 위험요소 추출 시스템에 있어서 상기 데이터분석부는 상기 데이터매핑부에서 출력된 분석결과에 따라 정규화 데이터의 요소들을 각각 노드화하고 노드별 연결로 요소들의 연관성을 나타내는 경고화면을 디스플레이하는 시각화부를 추가로 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 노드 분석 기법을 이용한 위험요소 추출 시스템에 있어서 상기 시각화부는 상기 데이터매핑부에서 출력된 분석결과에 포함된 정규화 데이터의 요소들 각각에 대응하는 노드를 생성하는 노드생성모듈과, 상기 데이터매핑부에서 출력된 분석결과에 따라 상기 노드생성모듈에서 생성된 노드들을 연결선을 사용하여 기준 노드와 나머지 노드들의 연결관계를 도식화하는 노드연결모듈을 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 노드 분석 기법을 이용한 위험요소 추출 시스템에 있어서 상기 시각화부는 상기 노드연결모듈을 통해 노드들의 연결관계가 도식화된 후 보안사고의 위험 가능성이 낮은 불필요한 노드를 제거하는 노드정리모듈과, 상기 노드정리모듈을 통해 불필요한 노드들이 제거된 후 기준노드에 연결된 노드들의 개수가 많을수록 상기 기준노드의 크기를 크게 하여 생성된 경고화면을 표출하는 노드크기조절모듈과, 상기 노드크기조절모듈을 통해 표출된 경고화면에서 상기 노드들이 가지는 정보를 표시하는 정보표시화면을 출력하는 정보표시모듈을 추가로 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 노드 분석 기법을 이용한 위험요소 추출 시스템에 있어서 상기 데이터베이스부는 블랙IP에 대한 정보를 저장하는 블랙리스트DB와, IP의 자산에 대한 정보를 저장하는 자산정보DB와, 기존의 보안사고에 대한 정보를 저장하는 사고정보DB를 포함하며, 상기 데이터분석부는 상기 데이터매핑부에서 출력된 분석결과에 따라 정규화 데이터의 요소, 설정보안정보의 요소 등을 노드화하고 노드별 연결로 요소들의 연관성을 나타내는 경고화면을 디스플레이하는 시각화부를 추가로 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 노드 분석 기법을 이용한 위험요소 추출 시스템에 있어서 상기 데이터편집부에 정규화된 데이터는 출발지 IP, 목적지 IP, 서비스 포트, 시그니쳐라는 요소명을 가지는 요소들로 이루어지며, 상기 시그니쳐는 이미 발견되고 정립된 공격 패턴을 의미하는 것을 특징으로 한다.
본 발명은 앞서 본 실시예와 하기에 설명할 구성과 결합, 사용관계에 의해 다음과 같은 효과를 얻을 수 있다.
본 발명은 보안사고 데이터들의 다수의 집합들을 노드분석을 통해 필요한 데이터를 빠르게 추출하여 사고 대응 및 조치를 신속하게 할 수 있도록 하는 효과가 있다.
또한, 본 발명은 수많은 보안사고 데이터들의 연관관계를 축약하여 시각화하여 표출하여 사용자가 빠르게 위험요소를 파악할 수 있는 효과가 있다.
또한, 본 발명은 보안사고 데이터를 정규화하여 상기 데이터를 구성하는 요소들의 연관관계를 용이하게 추출할 수 있는 효과가 있다.
또한, 본 발명은 보안사고 데이터의 요소들을 노드화하고 노드별 연결로 요소들의 연관성을 시각적으로 표출하여, 보안사고의 직관적인 파악이 가능한 효과가 있다.
또한, 본 발명은 연관된 노드의 개수에 따라 노드의 크기를 조절하고, 연관되지 않은 노드 및 단일 노드 등을 제거하여 표출하므로, 보안사고 데이터의 분석을 용이하게 할 수 있는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 위험요소 추출 시스템에 의한 모니터링 대상이 되는 네트워크를 설명하기 위한 참고도.
도 2는 본 발명의 일 실시예에 따른 위험요소 추출 시스템의 블럭도.
도 3 내지 7은 본 발명의 일 실시예에 따른 위험요소 추출 시스템의 작동과정을 설명하기 위함 참고도.
이하에서는 본 발명에 따른 노드 분석 기법을 이용한 위험요소 추출 시스템의 바람직한 실시예들을 첨부된 도면을 참조하여 상세히 설명한다. 하기에서 본 발명을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하도록 한다. 명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미하며, 또한 명세서에 기재된 "...부", "...모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
도 1은 본 발명의 일 실시예에 따른 위험요소 추출 시스템에 의한 모니터링 대상이 되는 네트워크를 설명하기 위한 참고도이며, 도 2는 본 발명의 일 실시예에 따른 위험요소 추출 시스템의 블럭도이고, 도 3 내지 7은 본 발명의 일 실시예에 따른 위험요소 추출 시스템의 작동과정을 설명하기 위함 참고도이다.
본 발명의 일 실시예에 따른 노드 분석 기법을 이용한 위험요소 추출 시스템을 도 1 내지 7을 참조하여 설명하면, 상기 위험요소 추출 시스템은 네트워크의 보안장비들로부터 보안사고 데이터를 수집하는 데이터수집부(1)와; 상기 데이터수집부(1)에서 수집된 보안사고 데이터를 XML로 정규화하는 데이터편집부(2)와; 상기 데이터편집부(2)에서 XML로 정규화된 데이터를 분석하여, 정규화 데이터의 요소들을 노드화하고 노드별 연결로 요소들의 연관성을 나타내는 경고화면을 디스플레이부(5)에 표시하는 데이터분석부(3)와; 블랙IP, 자산정보, 기존의 사고정보 등의 설정보안정보를 저장하는 데이터베이스부(4)와, 상기 위험요소 추출 시스템의 전체적인 작동을 제어하는 제어부(6) 등을 포함한다.
상기 위험요소 추출 시스템을 설명하기에 앞서 상기 위험요소 추출 시스템의 모니터링 대상이 되는 네트워크를 간략히 살펴보면, 도 1에 도시된 바와 같이 네트워크는 방화벽(firewall), 침입탐지시스템(IDS), 침입차단시스템(IPS) 등의 보안장비를 통해 인터넷과의 정보보안이 이루어지게 된다. 이 같은 환경에서 외부로부터 행해지는 공격과, 내부로부터 이루어지는 악의적 행위(유해 IP로의 접속) 등의 보안사고에 대한 데이터(보안사고 데이터)는 상기 보안장비에 기록되게 된다. 예컨대, 상기 보안사고 데이터는 출발지(sourece) IP, 서비스 포트, 목적지(destination) IP, 시그니쳐(signature) 등을 포함할 수 있다. 구체적으로 IP 1.1.1.1을 통해 패킷이 유입되어 TCP 8080을 통해 IP 2.2.2.2에 도달하였고 상기 공격의 패턴이 특정 디도스에 해당한다고 가정시, IP 1.1.1.1은 출발지 IP에 해당하고 TCP 8080은 서비스 포트에 해당하며 IP 2.2.2.2는 목적지 IP에 해당하고, 상기 특정 디도스에 대하여 signature 1로 이미 정의되었다면 위 예에서 시그니쳐는 signature 1에 해당하게 된다. 상기 시그니쳐는 이미 발견되고 정립된 공격 패턴을 의미하며, 예컨대 A 디도스 공격패턴이 singiture 1, B 웜바이러스 공격패턴이 signature 2 등으로 이미 정의되었는데, 상기 보안장비에서 탐지된 트래픽이 A 디도스 공격패턴과 동일하면 signature 1에 해당하는 악성행위가 발생한 것으로 파악하여 상기 보안장비에 signature 1이 기록되게 된다.
상기 데이터수집부(1)는 네트워크의 보안장비들로부터 보안사고 데이터를 수집한다. 앞서 살펴본 바와 같이, 상기 보안장비는 방화벽, IDS, IPS 등을 포함하며, 상기 보안장비들은 서로 연동하여 작동되고, 상기 보안장비들에는 외부의 악성행위, 내부의 악성행위에 대한 보안사고 데이터를 기록하게 된다.
상기 데이터편집부(2)는 상기 데이터수집부(1)에서 수집된 보안사고 데이터를 XML로 정규화한다. XML은 eXtensible MarkUp Language의 약자로 확장가능한 마크업 언어라는 의미의 용어이며, XML은 데이터를 구조화시켜 포장하는 방법을 제시한다. 예컨대, 상기 데이터편집부(2)를 통해 정규화된 데이터는 각각 출발지 IP, 목적지 IP, 서비스 포트, 시그니쳐라는 요소명을 가지는 요소들로 이루어지며, 각각의 요소는 요소명, 요소데이터, 요소연관데이터로 구성될 수 있다. 상기 요소데이터는 상기 요소명에 해당하는 데이터의 값을 의미하며, 상기 요소연관데이터는 특정 요소명을 가지는 요소와 연관된 요소가 가지는 데이터의 값을 의미한다. 예컨대, IP 1.1.1.1을 통해 패킷이 유입되어 TCP 8080을 통해 IP 2.2.2.2에 도달하였고 상기 공격의 패턴이 기설정된 signature 1에 해당하는 특정 디도스에 해당한다고 가정시, 정규화된 데이터는 하기의 표 1과 같다.
요소명 요소데이터 요소연관데이터
source IP 1111 TCP 8080
destination IP 2222 TCP 8080
service port TCP 8080 1111, 2222
signature signature 1 1111, 2222, TCP 8080
상기 네트워크는 복수 개의 보안장비들이 사용되며, 어떤 장비에서는 출발지 IP, 목적지 IP, 서비스 포트, 시그니쳐라는 요소명을 가지는 요소들을 모두 포함할 수도 있고, 반면 어떤 장비에서는 상기 요소들 중에서 일부의 요소만을 포함할 수도 있다.
상기 데이터베이스부(3)는 기설정된 보안정보(설정보안정보)를 저장하는 구성으로, 블랙IP에 대한 정보를 저장하는 블랙리스트DB(31)와, IP의 자산에 대한 정보(자산정보)를 저장하는 자산정보DB(32)와, 기존의 보안사고에 대한 정보(사고정보)를 저장하는 사고정보DB(33) 등을 포함한다. 상기 블랙IP라 함은 이미 악성 행위에 사용된 특정 IP를 의미하며, 상기 블랙리스트DB(31)에는 블랙IP의 리스트뿐만 아니라 블랙IP의 내용(예컨대, 중국발생 블랙IP 등)도 저장되게 된다. 상기 IP의 자산정보라 함은 특정 IP가 수행하는 업무에 따라 부여된 자산의 가치에 대한 내용을 의미하며, 예컨대, 네트워크가 금융기관에 대한 것일 경우 계좌정보와 관련된 IP의 가치는 부가정보와 관련된 IP에 대한 가치보다 높게 평가될 수 있다. 상기 사고정보는 이미 발생하여 분석된 사고의 유형에 대한 정보를 의미하며, 예컨대, "특정사고 A는 출발지 IP를 1.1.1.1로 하는 signature 5에 해당하는 악성행위로 B의 방법에 의해 문제가 해결되었다"와 같은 정보를 가질 수 있다. 상기 데이터베이스부(3)에 저장된 설정보안정보는 후술할 정보분석부(4)의해 정규화 데이터의 요소들과 매핑될 수 있도록 XML로 정규화된 데이터 형태로 존재하게 되며, 예컨대, 블랙리스트DB에 저장되는 블랙IP에 대한 정보의 요소(블랙IP요소)에 있어 요소연관데이터는 출발지 또는 목적지 IP의 값을 가지며, 자산정보DB에 저장된 IP의 자산에 대한 정보의 요소(자산IP요소)에 있어 요소연관데이터는 출발지 또는 목적지 IP의 값을 가지고, 사고정보DB에 저장되는 사고정보의 요소(사고정보요소)에 있어 요소연관데이터는 출발지 또는 목적지 IP, 서비스 포트, 시그니쳐 등의 값을 가질 수 있다.
상기 데이터분석부(4)는 상기 데이터편집부(2)에서 출력된 정규화 데이터를 분석하여, 정규화 데이터의 요소들을 노드화하고 노드별 연결로 요소들의 연관성을 나타내는 경고화면을 디스플레이부(5)에 표시하는 구성으로, 데이터매핑부(41), 시각화부(42) 등을 포함한다.
상기 데이터매핑부(41)는 상기 데이터편집부(2)에서 출력된 정규화 데이터의 요소들을 연관관계 및 상기 요소들과 데이터베이스부(3)에 저장된 설정보안정보의 요소와의 연관관계를 분석하여 분석결과를 출력하는 구성으로, 데이터 매핑모듈(411), 정보 매핑모듈(412) 등을 포함한다. 상기 분석결과에는 정규화 데이터 및 설정보안정보가 포함하는 요소 및 상기 요소들의 연관관계가 표시되게 된다.
상기 데이터 매핑모듈(411)은 상기 데이터편집부(2)에서 출력된 정규화 데이터의 요소들을 매핑하여 기준으로 하고자 하는 요소(기준 요소)와 나머지 요소들의 연관관계를 분석하여 요소분석결과를 출력하는 구성이다. 상기 네트워크는 복수 개의 보안장비를 포함하고 각각의 보안장비는 보안사고 데이터를 기록하는 방식이 다를 수 있는데, 상기 데이터편집부(2)가 XML를 통해 상기 보안사고 데이터를 정의된 요소들로 정규화하므로, 상기 데이터 매핑모듈(411)을 통해 기록하는 방식이 다른 보안장비에서 출력된 보안사고 데이터를 매핑하는 것이 가능하게 된다. 예컨대, IP(출발지, 목적지 IP 포함)를 기준 요소로 한 경우, IP와 나머지 요소들인 서비스 포트, signature 등과의 연관관계가 분석되게 된다.
상기 정보 매핑모듈(412)은 상기 정규화 데이터의 요소들과 데이터베이스부(3)에 저장된 설정보안정보의 요소들을 매핑하여, 상기 정규화 데이터의 요소들과 설정보안정보의 요소들과의 연결관계를 분석하여 요소정보분석결과를 출력하는 구성이다. 예컨대, 상기 블랙리스트DB에 저장된 블랙IP는 상기 정규화 데이터의 특정 IP와 일치하고, 자산정보DB에 저장된 특정 자산정보를 가지는 자산IP는 상기 정규화 데이터의 특정 IP와 일치하며, 상기 사고정보DB에 저장된 사고정보는 상기 정규화 데이터의 특정 IP와 시그니쳐 등과 일치함을 상기 정보 매핑모듈(412)의 분석을 통해 확인할 수 있다.
상기 시각화부(42)는 상기 데이터매핑부(41)에서 출력된 분석결과에 따라 정규화 데이터의 요소, 설정보안정보의 요소 등을 노드화하고 노드별 연결로 요소들의 연관성을 나타내는 경고화면을 디스플레이부(5)에 표시하는 구성으로, 노드생성모듈(421), 노드연결모듈(422), 노드정리모듈(423), 노드크기조절모듈(424), 정보표시모듈(425) 등을 포함한다.
상기 노드생성모듈(421)은 상기 데이터매핑부(41)에서 출력된 분석결과에 포함된 정규화 데이터 및 설정보안정보의 요소들 각각에 대응하는 노드를 생성(노드화)하는 구성으로, 상기 노드는 요소명에 따라 각각 다른 형상을 가지는 것이 바람직하다. 도 3은 상기 노드생성모듈(421)에 의해서 생성된 노드들을 일 예를 나타내는데, 도 3을 보면 상기 데이터매핑부(41)에 출력된 분석결과에 포함된 요소들은 IP 7개, 서비스포트 2개, 시그니쳐 10개, 블랙IP 1개, 자산IP 1개, 사고정보 1개를 포함함을 알 수 있다.
상기 노드연결모듈(422)은 상기 데이터매핑부(41)에서 출력된 분석결과(요소들의 매핑에 따라 확인된 요소들의 연결관계를 나타내는 결과)에 따라, 상기 노드생성모듈(421)에서 생성된 노드들을 연결선을 사용하여, 기준 노드(요소)와 나머지 노드(요소)들의 연결관계를 도식화하는 구성이다. 도 4는 IP를 기준 노드(요소)로 하여 나머지 노드(요소)들의 연결관계를 도식화한 일 예를 나타내는데, 도 4를 보면 IP 1.1.1.1은 서비스 포트 TCP 8080 및 시그니쳐 1 내지 5 및 블랙IP 1에 연결되며, 사고정보 1은 IP 1.1.1.1 및 시그니쳐 5에 연결됨을 알 수 있다.
상기 노드정리모듈(423)은 상기 노드연결모듈(422)을 통해 노드들의 연결관계가 도식화된 후 불필요한 노드(예컨대, 다른 노드와 연결되지 않거나 하나의 노드(단일노드)에 연결된 기준노드)를 제거하는 구성이다. 도 5는 다른 노드와 연결되지 않거나 단일노드에 연결된 기준노드를 제거한 일 예를 나타내는데, 도 5에는 도 4와 대비하여 연결되지 않은 IP 7.7.7.7 및 단일노드와 연결된 IP 5.5.5.5 및 6.6.6.6이 제거되어 있다. 다른 노드와 연결되지 않거나 단일노드에 연결된 기준 노드를 통한 보안사고의 가능성은 거의 없기 때문에 불필요한 상기 기준 노드를 제거하여 보안사고의 직관적인 파악이 더욱 용이하도록 할 수 있다.
상기 노드크기조절모듈(424)은 상기 노드정리모듈(423)을 통해 불필요한 노드들이 제거된 후, 기준노드에 연결된 노드들의 개수가 많을수록 상기 기준노드의 크기를 크게 하여 생성된 경고화면을 표출하는 구성이다. 도 6은 노드의 연결 개수가 많을수록 기준노드의 크기를 크게 한 일 예를 나타내는데, 도 6에서 IP 1.1.1.1은 7개의 다른 노드와 연결되는데 반해 IP 4.4.4.4는 2개의 다른 노드와 연결되므로 상기 IP 1.1.1.1을 나타내는 노드의 크기가 IP 4.4.4.4를 나타내는 노드보다 크게 된다. 상기 노드크기조절모듈(424)은 상기 노드정리모듈(423)이 작동하기 전에 작동하고, 그 후에 상기 노드정리모듈(423)이 작동하는 것도 가능하다. 다른 노드들에 많이 연결되면 될수록 보안 사고의 위험성이 커지므로 상기 기준 노드의 크기를 조절하여 보안사고의 직관적인 파악이 더욱 용이하도록 할 수 있다.
상기 정보표시모듈(425)은 상기 노드크기조절모듈(424)를 통해 표출된 경고화면에서 상기 노드들이 가지는 정보를 표시하는 정보표시화면(100)을 출력하는 구성으로, 도 7은 노드들이 가지는 정보를 표시한 일 예를 나타내는데, 도 6에 도시된 경고화면에서 특정 노드를 클릭하면 상기 노드가 가지는 정보표시화면(100)이 표시된다. 예컨대, IP 1.1.1.1의 노드를 클릭하면 IP 1.1.1.1과 관련된 정보, 즉 IP 1.1.1.1은 출발지 및 목적지 IP이고, IP 1.1.1.1을 출발지로 하여 유입된 패킷이 서비스포트 TCP 8080을 통해 IP 2.2.2.2에 도달한 악성행위가 있었으며, IP 4.4.4.4를 출발지로 하여 패킷이 IP 1.1.1.1에 도달한 악성행위가 있었고, IP 1.1.1.1은 중국발 블랙IP임을 알 수 있다. 블랙IP 및 자산IP 요소는 노드로 생성되지 않고, 도 6 및 7에 도시된 바와 같이 정보표시화면에 직접 그 내용이 기재되는 것도 가능하다. 상기에서는 IP를 기준요소로 한 예시를 예로 들어 설명하였으나, 다른 요소들을 기준으로 하는 것도 가능하다. 상기 위험요소 추출 시스템은 보안사고 데이터들의 다수의 집합들을 노드분석을 통해 필요한 데이터를 빠르게 추출하여 사고 대응 및 조치를 신속하게 할 수 있도록 하는 특징이 있다. 또한, 상기 위험요소 추출 시스템은 연관관계를 파악하기 어려운 수많은 보안사고 데이터들의 연관관계를 축약하여 시각화하여 표출하여 사용자가 빠르게 위험요소를 파악할 수 있는 특징이 있다. 또한, 상기 위험요소 추출 시스템은 보안사고 데이터를 정규화하여 상기 보안사고 데이터를 구성하는 요소 및 요소들의 연관관계를 파악하고 상기 요소들을 노드화하고 노드별 연결로 요소들의 연관성을 시각적으로 표출하여, 보안사고의 직관적인 파악이 가능하도록 하는 특징이 있다. 또한, 연관된 노드의 개수에 따라 노드의 크기를 조절하고, 불필요한 노드를 제거하여 표출하므로, 보안사고 데이터의 분석을 용이하게 할 수 있는 특징이 있다.
이상에서, 출원인은 본 발명의 바람직한 실시예들을 설명하였지만, 이와 같은 실시예들은 본 발명의 기술적 사상을 구현하는 일 실시예일 뿐이며 본 발명의 기술적 사상을 구현하는 한 어떠한 변경예 또는 수정예도 본 발명의 범위에 속하는 것으로 해석되어야 한다.
1: 데이터수집부 2: 데이터편집부 3: 데이터베이스부
4: 데이터분석부 5: 디스플레이부 6: 제어부
31: 블랙리스트DB 32: 자산정보DB 33: 사고정보DB
41: 데이터매핑부 42: 시각화부

Claims (8)

  1. 삭제
  2. 네트워크의 보안장비들로부터 보안사고 데이터를 수집하는 데이터수집부와;
    상기 데이터수집부에서 수집된 보안사고 데이터를 정규화하는 데이터편집부와;
    상기 데이터편집부에서 정규화된 데이터를 분석하여, 정규화 데이터의 요소들을 노드화하고 노드별 연결로 요소들의 연관성을 나타내는 경고화면을 디스플레이하는 데이터분석부;를 포함하며,
    상기 데이터분석부는 상기 데이터편집부에서 출력된 정규화 데이터의 요소들을 매핑하여 기준요소와 나머지 요소들의 연관관계를 분석하여 요소분석결과를 출력하는 데이터 매핑모듈을 가지는 데이터매핑부를 포함하는 것을 특징으로 하는 노드 분석 기법을 이용한 위험요소 추출 시스템.
  3. 제2항에 있어서, 상기 데이터매핑부는
    상기 정규화 데이터의 요소들과 데이터베이스부에 저장된 설정보안정보의 요소들을 매핑하여, 상기 정규화 데이터의 요소들과 설정보안정보의 요소들과의 연결관계를 분석하여 요소정보분석결과를 출력하는 정보 매핑모듈을 추가로 포함하는 것을 특징으로 하는 노드 분석 기법을 이용한 위험요소 추출 시스템.
  4. 제2항에 있어서, 상기 데이터분석부는
    상기 데이터매핑부에서 출력된 분석결과에 따라 정규화 데이터의 요소들을 각각 노드화하고 노드별 연결로 요소들의 연관성을 나타내는 경고화면을 디스플레이하는 시각화부를 추가로 포함하는 것을 특징으로 하는 노드 분석 기법을 이용한 위험요소 추출 시스템.
  5. 제4항에 있어서, 상기 시각화부는
    상기 데이터매핑부에서 출력된 분석결과에 포함된 정규화 데이터의 요소들 각각에 대응하는 노드를 생성하는 노드생성모듈과, 상기 데이터매핑부에서 출력된 분석결과에 따라 상기 노드생성모듈에서 생성된 노드들을 연결선을 사용하여 기준 노드와 나머지 노드들의 연결관계를 도식화하는 노드연결모듈을 포함하는 것을 특징으로 하는 노드 분석 기법을 이용한 위험요소 추출 시스템.
  6. 제5항에 있어서, 상기 시각화부는
    상기 노드연결모듈을 통해 노드들의 연결관계가 도식화된 후 보안사고의 위험 가능성이 낮은 불필요한 노드를 제거하는 노드정리모듈과, 상기 노드정리모듈을 통해 불필요한 노드들이 제거된 후 기준노드에 연결된 노드들의 개수가 많을수록 상기 기준노드의 크기를 크게 하여 생성된 경고화면을 표출하는 노드크기조절모듈과, 상기 노드크기조절모듈을 통해 표출된 경고화면에서 상기 노드들이 가지는 정보를 표시하는 정보표시화면을 출력하는 정보표시모듈을 추가로 포함하는 것을 특징으로 하는 노드 분석 기법을 이용한 위험요소 추출 시스템.
  7. 제3항에 있어서,
    상기 데이터베이스부는 블랙IP에 대한 정보를 저장하는 블랙리스트DB와, IP의 자산에 대한 정보를 저장하는 자산정보DB와, 기존의 보안사고에 대한 정보를 저장하는 사고정보DB를 포함하며,
    상기 데이터분석부는 상기 데이터매핑부에서 출력된 분석결과에 따라 정규화 데이터의 요소, 설정보안정보의 요소 등을 노드화하고 노드별 연결로 요소들의 연관성을 나타내는 경고화면을 디스플레이하는 시각화부를 추가로 포함하는 것을 특징으로 하는 노드 분석 기법을 이용한 위험요소 추출 시스템.
  8. 제2항 내지 제7항 중 어느 한 항에 있어서,
    상기 데이터편집부에 정규화된 데이터는 출발지 IP, 목적지 IP, 서비스 포트, 시그니쳐라는 요소명을 가지는 요소들로 이루어지며, 상기 시그니쳐는 이미 발견되고 정립된 공격 패턴을 의미하는 것을 특징으로 하는 노드 분석 기법을 이용한 위험요소 추출 시스템.
KR1020130130416A 2013-10-30 2013-10-30 노드 분석 기법을 이용한 위험요소 추출 시스템 KR101384618B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130130416A KR101384618B1 (ko) 2013-10-30 2013-10-30 노드 분석 기법을 이용한 위험요소 추출 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130130416A KR101384618B1 (ko) 2013-10-30 2013-10-30 노드 분석 기법을 이용한 위험요소 추출 시스템

Publications (1)

Publication Number Publication Date
KR101384618B1 true KR101384618B1 (ko) 2014-04-11

Family

ID=50657490

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130130416A KR101384618B1 (ko) 2013-10-30 2013-10-30 노드 분석 기법을 이용한 위험요소 추출 시스템

Country Status (1)

Country Link
KR (1) KR101384618B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108650251A (zh) * 2018-04-27 2018-10-12 北京奇安信科技有限公司 一种网络安全综合态势感知数据的显示处理方法及装置
KR102061833B1 (ko) * 2015-01-20 2020-01-02 한국전자통신연구원 사이버 침해 사고 조사 장치 및 방법
KR20210085739A (ko) * 2019-12-31 2021-07-08 주식회사 안랩 악성코드 탐지장치 및 방법, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100656352B1 (ko) 2005-09-16 2006-12-11 한국전자통신연구원 네트워크의 보안 관련 이벤트 정보를 표시하는 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100656352B1 (ko) 2005-09-16 2006-12-11 한국전자통신연구원 네트워크의 보안 관련 이벤트 정보를 표시하는 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102061833B1 (ko) * 2015-01-20 2020-01-02 한국전자통신연구원 사이버 침해 사고 조사 장치 및 방법
CN108650251A (zh) * 2018-04-27 2018-10-12 北京奇安信科技有限公司 一种网络安全综合态势感知数据的显示处理方法及装置
KR20210085739A (ko) * 2019-12-31 2021-07-08 주식회사 안랩 악성코드 탐지장치 및 방법, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램
KR102336466B1 (ko) 2019-12-31 2021-12-07 주식회사 안랩 악성코드 탐지장치 및 방법, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램

Similar Documents

Publication Publication Date Title
CN104937886B (zh) 日志分析装置、信息处理方法
CN112995196B (zh) 网络安全等级保护中态势感知信息的处理方法及系统
CN104811447B (zh) 一种基于攻击关联的安全检测方法和系统
Pilli et al. Network forensic frameworks: Survey and research challenges
CN103428196B (zh) 一种基于url白名单的web应用入侵检测方法
Mualfah et al. Network forensics for detecting flooding attack on web server
CN102594825A (zh) 一种内网木马的检测方法和装置
CN108270716A (zh) 一种基于云计算的信息安全审计方法
CN107347047A (zh) 攻击防护方法和装置
Kaushik et al. Network forensic system for port scanning attack
CN111181978B (zh) 异常网络流量的检测方法、装置、电子设备及存储介质
CN109474568A (zh) 针对利用域前置技术实现恶意攻击的检测方法及系统
CN105959290A (zh) 攻击报文的检测方法及装置
CN104486320B (zh) 基于蜜网技术的内网敏感信息泄露取证系统及方法
KR101384618B1 (ko) 노드 분석 기법을 이용한 위험요소 추출 시스템
Saputra et al. Network forensics analysis of man in the middle attack using live forensics method
Chhabra et al. Distributed network forensics framework: A systematic review
KR102057459B1 (ko) 네트워크 트래픽 플로우를 이용한 보안상황 종합 분석 및 인지 시스템
JP2006295232A (ja) セキュリティ監視装置、セキュリティ監視方法、及びプログラム
CN106878338B (zh) 远动设备网关防火墙一体机系统
Li et al. The research on network security visualization key technology
KR101137694B1 (ko) 디도스 발생 탐지분석 및 표시를 위한 통합보안관리시스템 및 이에 의한 디도스 발생탐지분석 및 표시방법
JP4825979B2 (ja) 通信ログ視覚化装置、通信ログ視覚化方法及び通信ログ視覚化プログラム
Alsharabi et al. Detecting Unusual Activities in Local Network Using Snort and Wireshark Tools
CN102446227A (zh) 一种交互式半自动化安全事故追溯方法与系统

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170404

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180409

Year of fee payment: 5

J204 Invalidation trial for patent
J121 Written withdrawal of request for trial
FPAY Annual fee payment

Payment date: 20190409

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20200122

Year of fee payment: 7