KR101478227B1 - Central management device processing event logs having different types and operating method thereof - Google Patents

Central management device processing event logs having different types and operating method thereof Download PDF

Info

Publication number
KR101478227B1
KR101478227B1 KR1020130133437A KR20130133437A KR101478227B1 KR 101478227 B1 KR101478227 B1 KR 101478227B1 KR 1020130133437 A KR1020130133437 A KR 1020130133437A KR 20130133437 A KR20130133437 A KR 20130133437A KR 101478227 B1 KR101478227 B1 KR 101478227B1
Authority
KR
South Korea
Prior art keywords
type
ips
event logs
risks
different types
Prior art date
Application number
KR1020130133437A
Other languages
Korean (ko)
Inventor
정호근
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020130133437A priority Critical patent/KR101478227B1/en
Application granted granted Critical
Publication of KR101478227B1 publication Critical patent/KR101478227B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to security devices connected to a network and an integrated management apparatus for managing the same. The integrated management apparatus according to an embodiment of the present invention includes: a receiving unit to receive different type event logs through a network from at least one security device; an IP analyzing unit to extract a plurality of IPs from the event logs to determine an extraction number of each type of IPs; a normalization unit to calculate the extraction number and a corresponding type of each type of the IPs, to determine a degree of risk of each type of the IPs, and add the degree of risk corresponding to the same IPs among different type of IPs to calculate a comprehensive degree of risk for IPs.

Description

상이한 타입들의 이벤트 로그들을 처리하는 통합 관리 장치 및 그것의 동작 방법{CENTRAL MANAGEMENT DEVICE PROCESSING EVENT LOGS HAVING DIFFERENT TYPES AND OPERATING METHOD THEREOF}TECHNICAL FIELD [0001] The present invention relates to an integrated management apparatus for processing different types of event logs, and an operation method thereof. [0002]

본 발명은 전자 장치에 관한 것으로서, 좀 더 구체적으로는 네트워크 망에 연결된 보안 장치들 및 그것을 관리하는 통합 관리 장치에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an electronic apparatus, and more particularly, to security apparatuses connected to a network and an integrated management apparatus for managing the same.

네트워크 망에 연결되어 있는 자원으로부터 악성 코드가 유입되거나 보안이 요구되는 정보를 담은 파일이 외부로 유출되는 등의 네트워크 보안 문제는 중요한 사회 문제로 부각되고 있다. 예를 들면, 정보 통신 기술이 급속도로 발전함에 따라 많은 사람들이 회사 내에서 업무를 하면서 메신저 및 메일 프로그램 등을 이용하여 자료를 주고받을 수 있고, 위 프로그램들이 보안이 요구되는 파일을 불법 유출하거나 악성 코드가 유입되는 도구로 활용될 수 있다.Network security problems such as the infiltration of malicious code from resources connected to a network or leakage of files containing information requiring security are becoming important social problems. For example, as the information and communication technology develops rapidly, many people can work in the company and send and receive data using messenger and mail programs, and the above programs illegally leak security- It can be used as a tool to import code.

네트워크 망에 연결된 보안 장비는 네트워크 망을 통해 통신되는 데이터 패킷들을 처리하고 이벤트 로그들을 생성하고 저장한다. 이러한 이벤트 로그는 네트워크 망에 연결된 자원, 네트워크 망을 통해 통신되는 데이터 패킷을 감시하는 데에 이용될 수 있다. 예를 들면 파일의 불법유출 등의 문제가 발생한 경우 관리자는 저장된 이벤트 로그들을 분석하여 유출된 파일 및 파일 유출자를 검색하고, 사고 원인을 규명할 수 있다.Security devices connected to the network process data packets communicated over the network and generate and store event logs. These event logs can be used to monitor data packets communicated through the network network and resources connected to the network. For example, if a problem such as illegal file leaks occurs, the administrator can analyze the stored event logs, search for leaked files and file leakers, and identify the cause of the accident.

한편, 최근 다양한 방식의 보안 처리들이 수행되고 있다. 예를 들면 방화벽(Firewall), 침입 차단 시스템(Intrusion Prevention System; IPS), 웹 애플리케이션 방화벽(Web Application Firewall), 안티 바이러스(Anti-Virus), 안티 스팸(Anti-Spam), 애플리케이션 제어, DDoS 차단 등의 방식을 이용하여 보안 처리들이 수행될 수 있다. 예를 들면, 위 방식들 중 적어도 2 이상의 방식들의 보안 처리들을 수행할 수 있는 보안 장치가 이용될 수 있다. 특히 높은 보안이 요구되는 은행 서버와 같은 경우, 다수의 방식들로 네트워크 망에 대한 보안 처리들을 수행할 것이다.Meanwhile, various types of security processes have been performed recently. For example, firewall, Intrusion Prevention System (IPS), Web Application Firewall, Anti-Virus, Anti-Spam, Application Control, The security processes can be performed. For example, a security device capable of performing security processes of at least two of the above schemes may be used. In particular, in the case of a bank server requiring high security, it will perform security processing for the network in a number of ways.

이처럼 다수의 방식들의 보안 처리들이 수행되는 경우 상이한 타입들의 이벤트 로그들이 발생된다. 즉 제 1 방식의 보안 처리가 수행될 때 제 1 타입의 이벤트 로그들이 발생되고, 제 2 방식의 보안 처리가 수행될 때 제 2 타입의 이벤트 로그들이 발생된다. 특정 타입의 이벤트 로그들의 발생 횟수가 특정 기준을 초과하거나 특정 시간 동안 집중적으로 발생되는 등 일정한 조건들에 부합할 때 관리자에게 알람 정보가 제공될 수 있다. 그러나 공격자가 여러 가지 복합적인 공격을 시도하여 다수의 타입들의 이벤트 로그들이 발생하는 경우 각 타입의 이벤트 로그들의 발생 횟수가 임계치를 초과하지 않는 등의 이유로 알람 정보가 제공되지 않을 수 있다. 이러한 경우 관리자는 보안 위협 또는 보안 위협의 가능성을 인지하기 어렵다.Different types of event logs are generated when the security processes of the multiple schemes are thus performed. That is, a first type of event logs are generated when the first type of security processing is performed, and a second type of event logs are generated when the second type of security processing is performed. Alarm information may be provided to an administrator when certain conditions such as the number of occurrences of a particular type of event logs exceed a certain criterion or occur intensively during a particular period of time. However, if an attacker attempts to perform various types of multiple attacks to generate multiple types of event logs, the alarm information may not be provided because the number of occurrences of each type of event logs does not exceed a threshold value. In this case, it is difficult for the administrator to recognize the possibility of a security threat or a security threat.

본 발명은 상이한 타입들의 이벤트 로그들이 발생 및 네트워크 망을 통해 통합 관리 장치에 수신될 때 보안 위협을 감지하기 위한 것이다.The present invention is for detecting security threats when different types of event logs are generated and received by an integrated management device over a network.

본 발명의 실시 예에 따른 통합 관리 장치는 적어도 하나의 보안 장치로부터 네트워크 망을 통해 상이한 타입들의 이벤트 로그들을 수신하도록 구성되는 수신부; 상기 이벤트 로그들로부터 복수의 아이피들을 추출하여, 타입 별 아이피들 각각의 추출 횟수를 판별하도록 구성되는 아이피 분석부; 상기 타입 별 아이피들 각각의 추출 횟수와 해당 타입의 기준값을 연산하여 타입 별 아이피 위험도을 결정하고, 상기 상이한 타입들 중 동일한 아이피에 해당하는 타입 별 아이피 위험도들을 합산하여 종합 아이피 위험도를 산출하도록 구성되는 정규화부; 및 상기 종합 아이피 위험도를 임계값과 비교하여 알람 정보를 제공하도록 구성되는 감지부를 포함한다.An integrated management apparatus according to an exemplary embodiment of the present invention includes a receiving unit configured to receive different types of event logs from at least one security device through a network; An IP analysis unit configured to extract a plurality of IPs from the event logs and determine an extraction frequency of each type of IPs; A normalized IP risk is calculated by calculating the number of times of extraction of each type of IPs and the reference value of the type to determine the IP risk for each type and summing the IP risks for each type corresponding to the same IP among the different types, part; And a sensing unit configured to compare the comprehensive IP risk with a threshold to provide alarm information.

실시 예로서, 상기 통합 관리 장치는 상기 상이한 타입들 각각의 기준값을 저장하는 기준값 설정부를 더 포함할 수 있다.In an embodiment, the integrated management apparatus may further include a reference value setting unit that stores a reference value of each of the different types.

실시 예로서, 상기 통합 관리 장치는 상기 이벤트 로그들을 저장하도록 구성되는 메모리를 더 포함할 수 있다.In an embodiment, the integrated management device may further comprise a memory configured to store the event logs.

실시 예로서, 상기 이벤트 로그들 각각은 어떤 방식으로 보안 처리가 수행됨에 따라 해당 이벤트 로그가 발생된 것인지 여부를 나타내는 데이터를 포함할 수 있다. 이때 상기 아이피 분석부는 상기 어떤 방식으로 보안 처리가 수행됨에 따라 해당 이벤트 로그가 발생된 것인지 여부를 나타내는 데이터를 참조하여 상기 이벤트 로그들 각각의 타입을 판별하는 로그 타입 판별 모듈을 포함할 수 있다.As an embodiment, each of the event logs may include data indicating whether the corresponding event log is generated as security processing is performed in some manner. In this case, the IP analysis unit may include a log type determination module for determining the type of each of the event logs by referring to data indicating whether the corresponding event log is generated as the security processing is performed in some manner.

실시 예로서, 상기 정규화부는 상기 타입 별 아이피들 각각의 추출 횟수에서 해당 타입의 기준값을 나누어 상기 타입 별 아이피 위험도를 연산하도록 구성되는 타입 별 아이피 위험도 연산 모듈을 포함할 수 있다. 또한 상기 정규화부는 상기 상이한 타입들 중 동일한 아이피에 해당하는 타입 별 아이피 위험도들을 합산하여 상기 복수의 아이피들 각각에 대한 종합 아이피 위험도들을 연산하도록 구성되는 종합 아이피 위험도 연산 모듈을 포함할 수 있다.As an embodiment, the normalization unit may include a type-specific IP risk calculation module configured to calculate the type-A IP risk by dividing a reference value of the type in the extraction frequency of each type-based IP. Also, the normalizing unit may include a general IP risk calculation module configured to calculate a total IP risk for each of the plurality of IPs by summing IP risks for each type corresponding to the same IP among the different types.

실시 예로서, 상기 통합 관리 장치는 상기 타입 별 아이피 위험도 및 상기 종합 아이피 위험도를 저장하는 메모리를 더 포함할 수 있다.In an embodiment, the integrated management apparatus may further include a memory for storing the IP risk and the integrated IP risk according to the type.

본 발명의 다른 일면은 통합 관리 장치의 동작 방법에 관한 것이다. 본 발명의 실시 예에 따른 통합 관리 장치는의 동작 방법 네트워크 망을 통해 상이한 타입들의 이벤트 로그들을 수신하는 단계; 상기 이벤트 로그들로부터 복수의 아이피들을 추출하여 타입 별 아이피들 각각의 추출 횟수를 판별하는 단계; 상기 타입 별 아이피들 각각의 추출 횟수와 해당 타입의 기준값을 연산하여 타입 별 아이피 위험도을 결정하는 단계; 상기 상이한 타입들 중 동일한 아이피에 해당하는 타입 별 아이피 위험도들을 합산하여 종합 아이피 위험도를 산출하는 단계; 및 상기 종합 아이피 위험도를 임계값과 비교하여 알람 정보를 제공하는 단계를 포함한다.Another aspect of the present invention relates to a method of operating an integrated management apparatus. An integrated management device according to an embodiment of the present invention includes: receiving different types of event logs through a network; Extracting a plurality of IPs from the event logs and determining an extraction frequency of each type of IPs; Determining an IP risk for each type by calculating an extraction frequency of each type of IP and a reference value of the type; Calculating a total IP risk by summing IP risks of each type corresponding to the same IP among the different types; And comparing the integrated IP risk with a threshold value to provide alarm information.

실시 예로서, 상기 동작 방법은 상기 상이한 타입들에 각각 대응하는 기준값들을 설정하는 단계를 더 포함할 수 있다.As an embodiment, the method of operation may further comprise setting reference values respectively corresponding to the different types.

실시 예로서, 상기 타입 별 아이피들 각각의 추출 횟수를 판별하는 단계는 상기 이벤트 로그들 각각의 타입을 판별하는 단계를 포함할 수 있다.In an embodiment, the step of determining the number of times of extraction of each type of IP may include determining the type of each of the event logs.

실시 예로서, 상기 복수의 타입들의 이벤트 로그들은 상기 적어도 하나의 보안 장치에서 복수의 방식들로 보안 처리들을 수행함에 따라 생성되고, 상기 네트워크 망을 통해 상기 통합 관리 장치에 전달된다.In an embodiment, the plurality of types of event logs are generated by performing security processes in a plurality of ways in the at least one security device, and are transmitted to the integrated management device via the network.

본 발명의 다른 일면은 복수의 프로그램 코드들을 저장하는 저장 매체에 관한 것이다. 본 발명의 실시 예에 따른 저장 매체는 네트워크 망에 연결된 컴퓨팅 장치로 판독 가능한 복수의 프로그램 코드들을 저장하되, 상기 복수의 프로그램 코드들은, 적어도 하나의 보안 장치로부터 상기 네트워크 망을 통해 상이한 타입들의 이벤트 로그들이 수신되면, 상기 이벤트 로그들로부터 복수의 아이피들을 추출하여 타입 별 아이피들 각각의 추출 횟수를 판별하는 제 1 프로그램 코드; 상기 타입 별 아이피들 각각의 추출 횟수와 해당 타입의 기준값을 연산하여 타입 별 아이피 위험도을 결정하는 제 2 프로그램 코드; 상기 상이한 타입들 중 동일한 아이피에 해당하는 타입 별 아이피 위험도들을 합산하여 종합 아이피 위험도를 산출하는 제 3 프로그램 코드; 및 상기 종합 아이피 위험도를 임계값과 비교하여 알람 정보를 제공하는 제 4 프로그램 코드를 포함한다.Another aspect of the present invention relates to a storage medium storing a plurality of program codes. A storage medium according to an exemplary embodiment of the present invention stores a plurality of program codes readable by a computing device connected to a network, wherein the plurality of program codes are transmitted from at least one security device to different types of event logs A first program code for extracting a plurality of IPs from the event logs and determining an extraction frequency of each type of IPs; A second program code for calculating the number of times of extraction of each type of IPs and a reference value of the type to determine the IP risk for each type; A third program code for calculating a total IP risk by summing the IP risks for each type corresponding to the same IP among the different types; And a fourth program code for providing the alarm information by comparing the comprehensive IP risk with a threshold value.

본 발명의 실시 예에 따르면 상이한 타입들의 이벤트 로그들이 네트워크 망을 통해 통합 관리 장치에 수신되더라도 보안 위협이 효율적으로 감지된다.According to the embodiment of the present invention, security threats are efficiently detected even when different types of event logs are received by the integrated management device through the network.

도 1은 네트워크 시스템을 보여주는 개념도이다.
도 2는 도 1의 통합 관리 장치의 실시 예를 보여주는 블록도이다.
도 3 내지 5는 통합 관리 장치에서 계산되는 타입 별 아이피 위험도들을 설명하기 위한 테이블이다.
도 6은 통합 관리 장치에서 계산되는 종합 아이피 위험도들을 설명하기 위한 테이블이다.
도 7은 본 발명의 실시 예에 따른 통합 관리 장치의 동작 방법을 보여주는 순서도이다.
도 8은 도 2의 통합 관리 장치를 구현하기 위한 일 실시 예를 보여주는 블록도이다.1 is a conceptual diagram showing a network system.
2 is a block diagram showing an embodiment of the integrated management apparatus of FIG.
3 to 5 are tables for explaining IP risks according to types calculated in the integrated management apparatus.
6 is a table for explaining comprehensive IP risks calculated in the integrated management apparatus.
7 is a flowchart illustrating an operation method of an integrated management apparatus according to an embodiment of the present invention.
FIG. 8 is a block diagram showing an embodiment for implementing the integrated management apparatus of FIG. 2. FIG.

본 발명의 이점 및 특징, 그리고 그것을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 통해 설명될 것이다. 그러나 본 발명은 여기에서 설명되는 실시 예들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 단지, 본 실시 예들은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 본 발명의 기술적 사상을 용이하게 실시할 수 있을 정도로 상세히 설명하기 위하여 제공되는 것이다.BRIEF DESCRIPTION OF THE DRAWINGS The advantages and features of the present invention, and how to accomplish it, will be described with reference to the embodiments described in detail below with reference to the accompanying drawings. However, the present invention is not limited to the embodiments described herein but may be embodied in other forms. The embodiments are provided so that those skilled in the art can easily carry out the technical idea of the present invention to those skilled in the art.

명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "간접적으로 연결"되어 있는 경우도 포함한다. 명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
Throughout the specification, when a part is referred to as being "connected" to another part, it includes not only "directly connected" but also "indirectly connected" . Throughout the specification, when an element is referred to as "comprising ", it means that it can include other elements as well, without excluding other elements unless specifically stated otherwise.

도 1은 네트워크 시스템(100)을 보여주는 개념도이다.FIG. 1 is a conceptual diagram showing a network system 100. FIG.

도 1을 참조하면, 네트워크 시스템은 웹 서버(110), 제 1 내지 제 n 보안 장치들(121~12n), 통합 관리 장치(130), 복수의 PC들(141~14k) 및 네트워크 망(150)을 포함한다.1, the network system includes a web server 110, first to nth security devices 121 to 12n, an integrated management device 130, a plurality of PCs 141 to 14k, and a network 150 ).

웹 서버(110)는 제 1 내지 제 n 보안 장치들(121~12n)을 통해 네트워크 망(150)에 연결된다. 웹 서버(110)는 네트워크 망(150)을 통해 복수의 PC들(141~14k)에 연결되며, 복수의 PC들(141~14k)에 특정 서비스를 지원한다. 웹 서버(110)는 네트워크 망(150)을 통해 복수의 PC들(141~14k)과 데이터 패킷을 주고 받을 것이다.The web server 110 is connected to the network 150 through the first to nth security devices 121 to 12n. The web server 110 is connected to the plurality of PCs 141 to 14k through the network 150 and supports a specific service to the plurality of PCs 141 to 14k. The web server 110 will exchange data packets with the plurality of PCs 141 to 14k through the network 150. [

제 1 내지 제 n 보안 장치들(121~12n)은 네트워크 망(150)과 웹 서버(110) 사이에 연결된다. 제 1 내지 제 n 보안 장치들(121~12n)은 네트워크 망(150)과 웹 서버(110) 사이에서 통신되는 데이터 패킷들을 관리하도록 구성된다. The first to nth security devices 121 to 12n are connected between the network 150 and the web server 110. The first to nth security devices 121 to 12n are configured to manage data packets communicated between the network 150 and the web server 110.

제 1 내지 제 n 보안 장치들(121~12n)은 다양한 방식들로 보안 처리들을 수행한다. 예를 들면 제 1 내지 제 n 보안 장치들(121~12n)은 각각 방화벽(Firewall), 침입 차단 시스템(Intrusion Prevention System; IPS), 안티 바이러스(Anti-Virus), 안티 스팸(Anti-Spam), DDoS, 웹 서버에 설치된 애플리케이션 제어 관련 기능 등을 수행할 수 있다. 예를 들면, 제 1 내지 제 n 보안 장치들(121~12n)은 통합보안관리(Unified Threat Management; UTM) 장비, 방화벽(Firewall) 장비, 침입 차단 시스템(Intrusion Prevention System; IPS) 장비, WAF(Web Application Firewall) 장비, 애플리케이션 제어 장비, DDoS 장비 중 적어도 하나 이상의 조합일 수 있다.The first to nth security devices 121 to 12n perform security processes in various manners. For example, each of the first to nth security devices 121 to 12n may include a firewall, an Intrusion Prevention System (IPS), an anti-virus, an anti-spam, DDoS, and application control functions installed on the Web server. For example, the first to n-th security devices 121 to 12n may be a Unified Threat Management (UTM) device, a Firewall device, an Intrusion Prevention System (IPS) device, a WAF Web Application Firewall) equipment, application control equipment, and DDoS equipment.

제 1 내지 제 n 보안 장치들(121~12n)은 상이한 타입들의 이벤트 로그들을 발생한다. 즉 상이한 타입들의 이벤트 로그들은 상이한 방식들로 보안 처리들이 수행될 때 나타난다. 예를 들면 제 1 및 제 2 보안 장치들(121,122)이 각각 방화벽 및 침입 차단 시스템의 방식으로 동작하는 경우, 제 1 및 제 2 보안 장치들(121,122)은 각각 방화벽 로그 및 IPS 로그를 발생한다. 예를 들면 제 1 보안 장치(121)가 통합보안관리((Unified Threat Management; UTM) 장비인 경우 제 1 보안 장치(121)는 2 이상의 방식들로 보안 처리들을 수행하면서 상이한 타입들의 이벤트 로그들을 발생할 수 있다.The first to nth security devices 121 to 12n generate different types of event logs. That is, different types of event logs appear when security processes are performed in different ways. For example, when the first and second security devices 121 and 122 operate in the manner of a firewall and an intrusion blocking system, respectively, the first and second security devices 121 and 122 generate a firewall log and an IPS log, respectively. For example, if the first security device 121 is a Unified Threat Management (UTM) device, the first security device 121 may perform security processes in two or more ways while generating different types of event logs .

이렇게 발생한 이벤트 로그들은 네트워크 망(150)을 통해 통합 관리 장치(130)에 전달된다. 다른 예로서, 이벤트 로그들은 네트워크 망(150)을 통해 로그 수집 서버(미도시)에 전달 및 저장되고, 통합 관리 장치(130)는 로그 수집 서버로부터 네트워크 망(150)을 통해 수집된 이벤트 로그들을 제공받을 수 있다.The generated event logs are transmitted to the integrated management device 130 through the network 150. As another example, the event logs are transmitted to and stored in a log collection server (not shown) through the network 150, and the integrated management device 130 collects event logs collected through the network 150 from the log collection server Can be provided.

통합 관리 장치(130)는 네트워크 망(150)을 통하여 제 1 내지 제 n 보안 장치들(121~12n)에 연결된다. 통합 관리 장치(130)는 수신받은 다양한 타입들의 이벤트 로그들을 정규화하여 사용자에게 보안 위협을 통보하도록 구성된다.
The integrated management device 130 is connected to the first to nth security devices 121 to 12n through the network 150. [ The integrated management device 130 is configured to notify the user of security threats by normalizing received event logs of various types.

도 2는 도 1의 통합 관리 장치(130)의 실시 예(200)를 보여주는 블록도이다. 도 3 내지 5는 통합 관리 장치(200)에서 계산되는 타입 별 아이피 위험도들을 설명하기 위한 테이블이다. 도 6은 통합 관리 장치(200)에서 계산되는 종합 아이피 위험도들을 설명하기 위한 테이블이다.2 is a block diagram illustrating an embodiment 200 of the integrated management device 130 of FIG. FIGS. 3 to 5 are tables for explaining IP risks according to types calculated in the integrated management apparatus 200. FIG. 6 is a table for explaining comprehensive IP risks calculated in the integrated management apparatus 200. As shown in FIG.

먼저 도 1 및 도 2를 참조하면, 통합 관리 장치(200)는 보안 장치들(121~12n) 중 적어도 하나로부터 네트워크 망(150)을 통해 상이한 타입들의 이벤트 로그들을 수신하도록 구성되는 수신부(210), 수신된 이벤트 로그들을 저장하는 메모리(220), 이벤트 로그들로부터 복수의 아이피들을 추출하여, 타입 별 아이피들 각각의 추출 횟수를 판별하도록 구성되는 아이피 분석부(230), 타입 별 아이피들 각각의 추출 횟수와 해당 타입의 기준값을 연산하여 타입 별 아이피 위험도을 결정하고, 상이한 타입들 중 동일한 아이피에 해당하는 타입 별 아이피 위험도들을 합산하여 종합 아이피 위험도를 산출하도록 구성되는 정규화부(240), 산출된 종합 아이피 위험도를 임계값과 비교하여 알람 정보를 생성하도록 구성되는 감지부(250), 그리고 각 타입의 기준값을 저장 및 정규화부(240)에 제공하도록 구성되는 기준값 설정부(260)를 포함한다.1 and 2, the integrated management device 200 includes a receiving unit 210 configured to receive different types of event logs from at least one of the security devices 121 through 12n through the network 150, An IP analyzer 230 configured to extract a plurality of IPs from event logs and to determine the number of times of extraction of each type of IPs, a memory 220 for storing received event logs, A normalizing unit 240 configured to calculate the total IP risk by summing the IP risks for each type corresponding to the same IP among different types by calculating the number of times of extraction and the reference value of the type to determine the IP risk for each type, A detection unit 250 configured to compare the IP risk with a threshold value to generate alarm information, and to store and normalize each type of reference value And a reference value setting unit (260) configured to provide the reference value to the unit (240).

수신부(210)는 네트워크 망(150)에 연결되어 보안 장치들(121~12n)에서 발생한 이벤트 로그들을 수신한다. 이 이벤트 로그들은 앞서 설명된 바와 같이 상이한 타입들의 이벤트 로그들이다.The receiving unit 210 is connected to the network 150 and receives event logs generated from the security devices 121 to 12n. These event logs are different types of event logs as described above.

메모리(220)는 수신부(210)를 통해 수신된 이벤트 로그들을 저장한다.The memory 220 stores event logs received through the receiving unit 210. [

아이피 분석부(230)는 메모리(220)와 연결된다. 아이피 분석부(230)는 로그 타입 판별 모듈(235)을 포함한다. The IP analysis unit 230 is connected to the memory 220. The IP analysis unit 230 includes a log type determination module 235.

각 이벤트 로그는 그것이 어떤 방식으로 보안 처리가 수행됨에 따라 발생된 것인지 여부를 나타내는 데이터를 포함한다. 로그 타입 판별 모듈(235)은 이러한 데이터에 기초하여 각 이벤트 로그의 타입을 구별한다.Each event log contains data indicating whether or not it occurred as a result of the security processing being performed. The log type determination module 235 identifies the type of each event log based on this data.

아이피 분석부(230)는 이벤트 로그들로부터 아이피들을 추출하여 각 타입 별로 아이피들 각각이 추출된 횟수를 결정한다. 이벤트 로그로부터 아이피를 추출하는 것이므로, 위 추출 횟수는 해당 아이피(예를 들면, 도 1의 141의 아이피)와 웹 서버(110) 사이의 트래픽을 처리하면서 보안 장치들(121~12n) 중 하나가 이벤트 로그들을 발생한 횟수를 의미할 것이다. 각 타입 별로 아이피들 각각의 추출 횟수가 결정되면 해당 정보는 메모리(220)에 저장된다.The IP analysis unit 230 extracts IPs from the event logs and determines the number of times each of the IPs is extracted for each type. The number of times of extracting the upper part of one of the security devices 121 to 12n while processing the traffic between the corresponding IP (for example, the IP of 141 in FIG. 1) and the web server 110 It will mean the number of times event logs are generated. When the number of extraction times of each of the IPs is determined for each type, the corresponding information is stored in the memory 220.

도 3 내지 도 5에 도시된 테이블들은 각 타입 별로 아이피들 각각의 추출 횟수를 기준으로 내림차순으로 정렬된 테이블들이다. 도 3을 참조하면, 제 1 타입의 보안 처리가 수행되면서(예를 들면 121이 보안 처리를 수행하면서) 제 1 내지 제 5 아이피들(IP1~IP5)이 각각 600번, 480번, 300번, 260번 및 100번 추출되었다. 도 4를 참조하면, 제 2 타입의 보안 처리가 수행되면서(예를 들면 122가 보안 처리를 수행하면서) 제 5, 제 1, 제 4, 제 3 및 제 2 아이피들(IP5, IP1, IP4, IP3, IP2)이 각각 250번, 220번, 190번, 110번 및 90번 추출되었다. 도 5를 참조하면 제 3 타입의 보안 처리가 수행되면서(예를 들면 12n이 보안 처리를 수행하면서) 제 1, 제 5, 제 3, 제 2 및 제 4 아이피들(IP1, IP5, IP3, IP2, IP4)이 각각 550번, 420번, 310번, 220번, 110번 추출되었다.The tables shown in FIGS. 3 to 5 are tables arranged in descending order based on the extraction frequency of each of the IPs. 3, the first to fifth IPs IP1 to IP5 are respectively allocated to 600, 480, 300, and 300, respectively, while the first type of security processing is performed (for example, 260 and 100 times. 4, the second type of security processing is performed (e.g., 122 performs security processing), and the fifth, first, fourth, third and second IPs IP5, IP1, IP4, IP3 and IP2 were extracted 250, 220, 190, 110 and 90, respectively. 5, a third type of security processing is performed (e.g., 12n performs security processing), and the first, fifth, third, second and fourth IPs IP1, IP5, IP3, IP2 , IP4) were extracted 550, 420, 310, 220 and 110, respectively.

제 2 타입의 보안 처리는 제 1 타입 및 제 3 타입보다 상대적으로 적은 횟수로 이벤트 로그들을 발생함을 알 수 있다.It can be seen that the second type of security processing generates event logs relatively fewer times than the first type and the third type.

다시 도 2를 참조하면, 정규화부(240)는 메모리(220)에 연결된다. 정규화부(240)는 타입 별 아이피 위험도 연산 모듈(241) 및 종합 아이피 위험도 연산 모듈(242)을 포함한다.Referring again to FIG. 2, the normalization unit 240 is connected to the memory 220. The normalization unit 240 includes a type-specific IP risk calculation module 241 and a general IP risk calculation module 242.

타입 별 아이피 위험도 연산 모듈(241)은 타입 별 아이피들 각각의 추출 횟수와 해당 타입의 기준값을 연산하여 타입 별 아이피 위험도를 계산하도록 구성된다. 계산된 타입 별 아이피 위험도는 메모리(220)에 저장된다.The type-based IP risk calculation module 241 is configured to calculate the IP risk for each type by calculating the extraction frequency of each type of IP and the reference value of the corresponding type. The computed type-specific IP risk is stored in the memory 220.

일 실시 예로서, 타입 별 아이피들 각각의 추출 횟수를 해당 타입의 기준값으로 나누어 타입 별 아이피 위험도가 계산될 수 있다. 이러한 경우, 예를 들면 상대적으로 높은 횟수로 이벤트 로그들이 발생하는 보안 처리 방식(예를 들면 제 1 타입에 대응하는 보안 처리 방식)은 큰 기준값에 대응하고, 상대적으로 낮은 횟수로 이벤트 로그들이 발생하는 보안 처리 방식(예를 들면 제 2 타입에 대응하는 보안 처리 방식)은 적은 기준값에 대응할 수 있다. 보안 처리 방식마다 상이한 기준값을 적용함으로써 타입 별 아이피 위험도는 정규화될 수 있다.In one embodiment, the IP risk for each type can be calculated by dividing the number of times of extraction of each type of IP by the reference value of the corresponding type. In this case, for example, a security processing method (for example, a security processing method corresponding to the first type) in which event logs are generated at a relatively high frequency corresponds to a large reference value, and event logs are generated at a relatively low frequency The security processing method (for example, the security processing method corresponding to the second type) can correspond to a small reference value. The IP risk per type can be normalized by applying different reference values for each security processing method.

도 3을 참조하면 제 1 타입에 해당하는 기준값은 1000이다. 추출 횟수에서 기준값을 나누면, 제 1 내지 제 5 아이피들(IP1~IP5)에 해당하는 타입 별 아이피 위험도는 각각 0.6, 0.48, 0.3 0.26 및 0.1이다. 도 4를 참조하면 제 2 타입에 해당하는 기준값은, 제 2 타입에 해당하는 보안 처리가 상대적으로 적은 횟수로 이벤트 로그들을 발생시키는 특성을 고려하여 500이다. 추출 횟수에서 기준값을 나누면, 제 5, 제 1, 제 4, 제 3 및 제 2 아이피들(IP5, IP1, IP4, IP3, IP2)에 해당하는 타입 별 아이피 위험도는 각각 0.5, 0.44, 0.38, 0.22 및 0.18이다. 도 5를 참조하면 제 3 타입에 해당하는 기준값은 900이다. 추출 횟수에서 기준값을 나누면, 제 1, 제 5, 제 3, 제 2 및 제 4 아이피들(IP1, IP5, IP3, IP2, IP4)에 해당하는 타입 별 아이피 위험도는 각각 0.61, 0.47, 0.34, 0.24 및 0.12이다.Referring to FIG. 3, the reference value corresponding to the first type is 1000. When the reference value is divided by the number of times of extraction, the IP risk per type corresponding to the first to fifth IPs IP1 to IP5 is 0.6, 0.48, 0.3 0.26 and 0.1, respectively. Referring to FIG. 4, the reference value corresponding to the second type is 500 considering the characteristic that the security processing corresponding to the second type generates the event logs with a relatively small number of times. The IP risk per type corresponding to the fifth, first, fourth, third and second IPs IP5, IP1, IP4, IP3 and IP2 is 0.5, 0.44, 0.38, 0.22 And 0.18. Referring to FIG. 5, the reference value corresponding to the third type is 900. The IP risk for each type corresponding to the first, fifth, third, second and fourth IPs IP1, IP5, IP3, IP2 and IP4 is 0.61, 0.47, 0.34, 0.24 And 0.12.

다른 실시 예로서, 기준값 뿐만 아니라 도 3 내지 도 5의 테이블에 기재된 순위까지 고려하여 아래와 같이 계산될 수도 있다.As another embodiment, not only the reference value but also the ranking described in the table of FIG. 3 to FIG. 5 may be considered as follows.

Figure 112013100682364-pat00001
Figure 112013100682364-pat00001

수학식 1을 참조하면, 타입 별 아이피 위험도(RDtype)은 해당 아이피의 순위값에 0.5를 곱한 값과, 해당 아이피의 추출 횟수에 해당 타입의 기준값을 나누고 0.5를 곱한 값을 더함으로써 계산된다.Referring to Equation (1), the RD risk for each type is calculated by multiplying the rank value of the corresponding IP by 0.5, adding the reference value of the corresponding type to the number of times of extracting the relevant IP, and multiplying the value by 0.5.

이 밖에도 타입 별 아이피 위험도는 다양한 방법으로 계산될 수 있음이 이해될 것이다.In addition, it will be understood that the type of IP risk can be calculated in various ways.

다시 도 2를 참조하면 종합 아이피 위험도 연산 모듈(242)은 복수의 타입들 중 동일한 아이피에 해당하는 타입 별 아이피 위험도들을 합산하여 종합 아이피 위험도를 산출한다. 산출된 종합 아이피 위험도는 메모리(220)에 저장된다.Referring again to FIG. 2, the integrated IP risk calculation module 242 calculates a total IP risk by summing IP risks for each type corresponding to the same IP among a plurality of types. The calculated total IP risk is stored in the memory 220.

도 3 내지 도 5를 참조하면, 제 1 아이피(IP1)의 타입 별 아이피 위험도들은 제 1 내지 제 3 타입들에서 각각 0.6, 0.44 및 0.61이며, 이들을 합산한 종합 아이피 위험도는 도 6에 표시된 바와 같이 1.65이다. 제 2 아이피(IP2)의 타입 별 아이피 위험도들은 제 1 내지 제 3 타입들에서 각각 0.48, 0.18, 0.24이며, 이들을 합산한 종합 아이피 위험도는 도 6에 표시된 바와 같이 0.9이다. 제 3 아이피(IP3)의 타입 별 아이피 위험도들은 0.3, 0.22, 0.34이며, 이들을 합산한 종합 아이피 위험도는 도 6에 도시된 바와 같이 0.86이다. 제 4 아이피(IP4)의 타입 별 아이피 위험도들은 0.26, 0.38, 0.12이며, 이들을 합산한 종합 아이피 위험도는 도 6에 도시된 바와 같이 0.76이다. 제 5 아이피(IP5)의 타입 별 아이피 위험도들은 0.1, 0.5, 0.47이며 이들을 합산한 종합 아이피 위험도는 도 6에 표시된 바와 같이 1.07이다. 여기에서, 제 5 아이피(IP5)는 제 1 타입에서 상당히 적게(100번) 추출되었음에도 불구하고 기준값이 낮은 제 2 타입에서 다수(250번) 추출되었기 때문에 종합 아이피 위험도는 1보다 커지게 됨을 알 수 있다.3 to 5, the IP risks for each type of the first IP IP1 are 0.6, 0.44, and 0.61 in the first to third types, respectively. 1.65. The IP risks for each type of the second IP (IP2) are 0.48, 0.18, and 0.24 in the first to third types, respectively, and the total IP risk by adding them is 0.9 as shown in FIG. The IP risk per type of the third IP (IP3) is 0.3, 0.22, and 0.34, and the total IP risk sum by adding them is 0.86 as shown in FIG. The IP risk per type of the fourth IP (IP4) is 0.26, 0.38, and 0.12, and the total IP risk by adding them is 0.76 as shown in FIG. The IP risk per type of the fifth IP (IP5) is 0.1, 0.5, and 0.47, and the total IP risk by adding them is 1.07 as shown in FIG. Here, although the fifth IP (IP5) is extracted from the first type considerably (100 times), since the reference value is extracted from the second type having a low reference number (250 times), the comprehensive IP risk becomes larger than 1 have.

다시 도 2를 참조하면, 감지부(250)는 메모리(220)에 연결된다. 감지부(250)는 아이피들에 각각 대응하는 종합 아이피 위험도들을 임계값과 비교하고 알람 정보를 제공한다. 예를 들면, 임계값이 1인 경우, 도 6에서 제 1 및 제 5 아이피들(IP1, IP5)에 대응하는 종합 아이피 위험도들이 1보다 크다. 감지부(250)는 제 1 및 제 5 아이피들(IP1, IP5)이 임계값보다 높음을 알리는 알람 정보를 제공할 것이다. 이에 따라 관리자는 제 1 및 제 5 아이피들(IP1, IP5)로부터 보안 위협이 발생되거나 발생될 가능성이 있음을 인지하고 보안 정책을 설정할 수 있다.Referring again to FIG. 2, the sensing unit 250 is connected to the memory 220. The detection unit 250 compares the integrated IP risks corresponding to the respective IPs with a threshold value and provides alarm information. For example, when the threshold value is 1, the composite IP risks corresponding to the first and fifth IPs IP1 and IP5 in FIG. 6 are larger than one. The detection unit 250 may provide alarm information indicating that the first and fifth IPs IP1 and IP5 are higher than the threshold value. Accordingly, the administrator can recognize that there is a possibility that a security threat is generated or generated from the first and fifth IPs IP1 and IP5 and set a security policy.

기준값 설정부(260)는 타입들 각각의 기준값을 저장한다. 일 실시 예로서, 이러한 기준값은 미리 설정될 수 있고, 관리자에 의해 변경될 수 있다.The reference value setting unit 260 stores reference values of the respective types. In one embodiment, this reference value may be preset and may be changed by the administrator.

본 발명의 실시 예에 따르면 통합 관리 장치(130)는 다양한 타입의 이벤트 로그들을 정규화하여 사용자에게 보안 위협을 통보한다. 따라서 다양한 타입들의 이벤트 로그들이 존재하더라도 종합적인 위험도를 산출함으로써 효율적으로 보안 위협이 감지될 수 있다.
According to an embodiment of the present invention, the integrated management device 130 notifies the user of security threats by normalizing various types of event logs. Therefore, even if there are various types of event logs, security threats can be efficiently detected by calculating a comprehensive risk level.

도 7은 본 발명의 실시 예에 따른 통합 관리 장치(130)의 동작 방법을 보여주는 순서도이다.7 is a flowchart illustrating an operation method of the integrated management device 130 according to an embodiment of the present invention.

도 1 및 도 7을 참조하면, S110단계에서, 네트워크 망(150)을 통해 통합 관리 장치(130)에 상이한 타입들의 이벤트 로그들이 수신된다.Referring to FIGS. 1 and 7, in step S110, different types of event logs are received in the integrated management device 130 through the network 150. FIG.

S120단계에서, 상이한 타입들의 이벤트 로그들로부터 아이피들을 추출하여, 타입 별로 아이피들 각각의 추출 횟수가 판별된다. S130단계에서, 타입 별로 아이피들 각각의 추출 횟수와 해당 타입의 기준값을 연산하여 타입 별 아이피 위험도가 결정된다. 예를 들면, S120단계와 S130단계를 통해 도 3 내지 도 5와 같은 테이블이 생성될 수 있다.In step S120, IPs are extracted from different types of event logs, and the number of times of extraction of each of the IPs is determined for each type. In step S130, the extraction frequency of each of the IPs and the reference value of the corresponding type are calculated for each type to determine the IP risk for each type. For example, the tables shown in FIGS. 3 to 5 may be generated through steps S120 and S130.

S140단계에서, 상이한 타입들 중 동일한 아이피에 해당하는 타입 별 아이피 위험도들을 합산하여 종합 아이피 위험도가 산출된다. 종합 아이피 위험도를 통해, 아이피들 각각에 관련된 이벤트 로그들의 발생 횟수가 정규화되며 보안 위협의 정도가 판별된다. 예를 들면 S140단계를 통해 도 6과 같은 테이블이 생성될 수 있다.In step S140, the overall IP risk is calculated by summing the IP risks per type corresponding to the same IP among the different types. Through the comprehensive IP risk, the frequency of occurrence of event logs related to each IP is normalized and the degree of security threat is determined. For example, the table as shown in FIG. 6 may be generated through step S140.

S150단계에서, 종합 아이피 위험도가 임계값보다 큰지 여부가 판별된다. 만약 종합 아이피 위험도가 임계값보다 크다면 S160단계에서 해당 아이피에서 보안 위협이 발생되거나 발생될 가능성이 있음을 알리기 위한 알람 정보를 발생한다.
In step S150, it is determined whether or not the comprehensive IP risk is greater than a threshold value. If the total IP risk is greater than the threshold value, in step S160, alarm information is generated to inform that there is a possibility that a security threat may occur or occur in the corresponding IP.

도 8은 도 2의 통합 관리 장치(200)를 구현하기 위한 일 실시 예(1000)를 보여주는 블록도이다.FIG. 8 is a block diagram illustrating an embodiment 1000 for implementing the integrated management device 200 of FIG.

도 8을 참조하면 통합 관리 장치(1000)는 중앙 처리 유닛(1100, Central Proccessing Unit, CPU), 램(1200, Random Access Memory, RAM), 사용자 인터페이스(1300), 불휘발성 저장 매체(1400), 전원(1500), 송수신기(1600) 및 시스템 버스(1700)를 포함한다.8, the integrated management apparatus 1000 includes a central processing unit (CPU) 1100, a random access memory (RAM) 1200, a user interface 1300, a nonvolatile storage medium 1400, A power supply 1500, a transceiver 1600, and a system bus 1700.

실시 예로서, 중앙 처리 유닛(1100) 및 램(1200)은 도 2를 참조하여 설명된 아이피 분석부(230), 정규화부(240) 및 감지부(250)의 기능을 수행할 수 있다. 예를 들면 아이피 분석부(230), 정규화부(240) 및 감지부(250)의 기능을 수행하기 위한 프로그램 코드들은 불휘발성 저장 매체(1400)에 저장되고, 그러한 프로그램 코드들이 램(1200)에 로드되고, 중앙 처리 유닛(1100)은 램(1200)에 로드된 프로그램 코드들을 각각 실행하여 아이피 분석부(230), 정규화부(240) 및 감지부(250)의 기능을 수행할 수 있다.The central processing unit 1100 and the RAM 1200 may perform functions of the IP analysis unit 230, the normalization unit 240 and the sensing unit 250 described with reference to FIG. For example, the program codes for performing the functions of the IP analysis unit 230, the normalization unit 240, and the sensing unit 250 are stored in the nonvolatile storage medium 1400, and the program codes are stored in the RAM 1200 And the central processing unit 1100 executes the program codes loaded on the RAM 1200 to perform the functions of the IP analysis unit 230, the normalization unit 240, and the sensing unit 250, respectively.

실시 예로서, 아이피 분석부(230), 정규화부(240) 및 감지부(250)의 기능을 수행하기 위한, 그리고 중앙 처리 유닛(1100)에 의해 판독 가능한 프로그램 코드들을 저장하는 이동식 저장 매체가 제공되고, 이동식 저장 매체에 저장된 프로그램 코드들이 통합 관리 장치(1000)에 실장된 불휘발성 저장 매체(1400)에 복사될 수 있다.As an embodiment, there is provided a removable storage medium for performing the functions of the IP analysis unit 230, the normalization unit 240 and the sensing unit 250, and for storing program codes readable by the central processing unit 1100 And the program codes stored in the removable storage medium can be copied to the nonvolatile storage medium 1400 mounted in the integrated management apparatus 1000. [

램(1200)은 도 2를 참조하여 설명된 메모리(220)의 기능을 수행할 수 있다. The RAM 1200 may perform the functions of the memory 220 described with reference to FIG.

송수신기(1600)는 도 2를 참조하여 설명된 수신부(210)의 기능을 수행할 수 있다.The transceiver 1600 may perform the functions of the receiver 210 described with reference to FIG.

도 8은 통합 관리 장치(200)의 일 실시 예에 불과하며, 도 2의 통합 관리 장치(200)는 다양한 방법들로 구현될 수 있음이 이해될 것이다.It is to be understood that FIG. 8 is merely an embodiment of the integrated management device 200, and that the integrated management device 200 of FIG. 2 may be implemented in various ways.

본 발명의 실시 예에 따르면, 다양한 타입의 이벤트 로그들이 수신되더라도 이를 정규화하여 사용자에게 특정 아이피에 대한 보안 위협을 통보할 수 있다. 따라서 다양한 타입들의 이벤트 로그들이 존재하더라도 효율적으로 보안 위협이 감지될 수 있다.
According to the embodiment of the present invention, even if various types of event logs are received, they can be normalized to notify a user of a security threat to a specific IP. Therefore, security threats can be efficiently detected even if there are various types of event logs.

본 발명의 상세한 설명에서는 구체적인 실시 예에 관하여 설명하였으나, 본 발명의 범위와 기술적 사상에서 벗어나지 않는 한도 내에서 다양한 변경이 가능하다. 그러므로 본 발명의 범위는 상술한 실시 예에 국한되어 정해져서는 안되며 후술하는 특허청구범위뿐만 아니라 이 발명의 특허청구범위와 균등한 것들에 의해 정해져야 한다.While the invention has been shown and described with reference to certain preferred embodiments thereof, it will be understood by those skilled in the art that various changes and modifications may be made without departing from the spirit and scope of the invention. Therefore, the scope of the present invention should not be limited to the above-described embodiments, but should be determined by the equivalents of the claims of the present invention as well as the claims of the following.

110: 웹 서버
121~12n: 제 1 내지 제 n 보안 장치
130, 200: 통합 관리 장치
140: 제 1 내지 제 k PC들
150: 네트워크 망
210: 수신부
220: 메모리
230: 아이피 분석부
240: 정규화부
250: 감지부
260: 기준값 설정부110: Web server
121 to 12n: first to nth security devices
130, 200: Integrated management device
140: First to k < th > PCs
150: Network
210:
220: Memory
230: IP analysis section
240: normalization unit
250:
260: Reference value setting section

Claims (13)

복수의 방식들로 보안 처리들을 수행함에 따라 복수의 타입들의 이벤트 로그들을 발생시키는 적어도 하나의 보안 장치와 네트워크 망를 통해 연결된 통합 관리 장치에 있어서;
상기 적어도 하나의 보안 장치로부터 상기 네트워크 망을 통해 상이한 타입들의 이벤트 로그들을 수신하도록 구성되는 수신부;
상기 이벤트 로그들로부터 복수의 아이피들을 추출하여, 타입 별 아이피들 각각의 추출 횟수를 판별하도록 구성되는 아이피 분석부;
상기 타입 별 아이피들 각각의 추출 횟수와 해당 타입의 기준값을 연산하여 상기 타입 별 아이피들의 타입 별 아이피 위험도들을 결정하고, 상기 상이한 타입들 중 동일한 아이피에 해당하는 타입 별 아이피 위험도들을 합산하여 상기 복수의 아이피들에 각각 대응하는 종합 아이피 위험도들을 산출하도록 구성되는 정규화부; 및
상기 종합 아이피 위험도들을 임계값과 비교하여 알람 정보를 제공하도록 구성되는 감지부를 포함하는 통합 관리 장치.There is provided an integrated management apparatus connected through a network to at least one security device for generating a plurality of types of event logs by performing security processes in a plurality of manners;
A receiving unit configured to receive different types of event logs from the at least one security device through the network;
An IP analysis unit configured to extract a plurality of IPs from the event logs and determine an extraction frequency of each type of IPs;
Determining a type of IP risk for each type of IP by calculating an extraction frequency of each type of IP and a reference value of the type, summing IP risks for each type corresponding to the same IP among the different types, A normalizing unit configured to calculate comprehensive IP risks corresponding to IP addresses; And
And a sensing unit configured to compare the combined IP risks with a threshold to provide alarm information. 제 1 항에 있어서,
상기 상이한 타입들 각각의 기준값을 저장하는 기준값 설정부를 더 포함하는 통합 관리 장치.The method according to claim 1,
And a reference value setting unit that stores a reference value of each of the different types. 제 1 항에 있어서,
상기 이벤트 로그들을 저장하도록 구성되는 메모리를 더 포함하는 통합 관리 장치.The method according to claim 1,
And a memory configured to store the event logs. 제 1 항에 있어서,
상기 이벤트 로그들 각각은 어떤 방식으로 보안 처리가 수행됨에 따라 해당 이벤트 로그가 발생된 것인지 여부를 나타내는 데이터를 포함하는 통합 관리 장치.The method according to claim 1,
Wherein each of the event logs includes data indicating whether a corresponding event log has been generated as a result of the security process being performed. 제 4 항에 있어서,
상기 아이피 분석부는 상기 어떤 방식으로 보안 처리가 수행됨에 따라 해당 이벤트 로그가 발생된 것인지 여부를 나타내는 데이터를 참조하여 상기 이벤트 로그들 각각의 타입을 판별하는 로그 타입 판별 모듈을 포함하는 통합 관리 장치.5. The method of claim 4,
Wherein the IP analysis unit determines a type of each of the event logs by referring to data indicating whether the corresponding event log is generated as the security process is performed in the certain manner. 제 1 항에 있어서,
상기 정규화부는 상기 타입 별 아이피들 각각의 추출 횟수에서 해당 타입의 기준값을 나누어 상기 타입 별 아이피들의 상기 타입 별 아이피 위험도들을 연산하도록 구성되는 타입 별 아이피 위험도 연산 모듈을 포함하는 통합 관리 장치.The method according to claim 1,
Wherein the normalizing unit divides the reference value of the corresponding type by the number of times of extraction of each of the type-specific IPs to calculate the IP risks according to the type of IPs of each type. 삭제delete 제 1 항에 있어서,
상기 타입 별 아이피들의 상기 타입 별 아이피 위험도들, 그리고 상기 종합 아이피 위험도들을 저장하는 메모리를 더 포함하는 통합 관리 장치.The method according to claim 1,
The IP risks for each type of IPs, and the integrated IP risks. 적어도 하나의 보안 장치와 네트워크 망을 통해 연결된 통합 관리 장치의 동작 방법에 있어서;
상기 네트워크 망을 통해 상이한 타입들의 이벤트 로그들을 수신하는 단계;
상기 이벤트 로그들로부터 복수의 아이피들을 추출하여 타입 별 아이피들 각각의 추출 횟수를 판별하는 단계;
상기 타입 별 아이피들 각각의 추출 횟수와 해당 타입의 기준값을 연산하여 상기 타입 별 아이피들의 타입 별 아이피 위험도들을 결정하는 단계;
상기 상이한 타입들 중 동일한 아이피에 해당하는 타입 별 아이피 위험도들을 합산하여 상기 복수의 아이피들에 각각 대응하는 종합 아이피 위험도들을 산출하는 단계; 및
상기 종합 아이피 위험도들을 임계값과 비교하여 알람 정보를 제공하는 단계를 포함하는 동작 방법.A method for operating an integrated management device connected to at least one security device through a network, the method comprising:
Receiving different types of event logs through the network;
Extracting a plurality of IPs from the event logs and determining an extraction frequency of each type of IPs;
Determining IP risks for each type of IP by calculating an extraction frequency of each type of IP and a reference value of the type;
Calculating total IP risks corresponding to the plurality of IPs by summing IP risks for each type corresponding to the same IP among the different types; And
And comparing the composite IP risks with a threshold value to provide alarm information. 제 9 항에 있어서,
상기 상이한 타입들에 각각 대응하는 기준값들을 설정하는 단계를 더 포함하는 동작 방법.10. The method of claim 9,
And setting reference values corresponding to the different types, respectively. 제 9 항에 있어서,
상기 타입 별 아이피들 각각의 추출 횟수를 판별하는 단계는 상기 이벤트 로그들 각각의 타입을 판별하는 단계를 포함하는 동작 방법.10. The method of claim 9,
Wherein the step of determining the number of times of extraction of each type of IP includes determining the type of each of the event logs. 제 9 항에 있어서,
상기 복수의 타입들의 이벤트 로그들은 상기 적어도 하나의 보안 장치에서 복수의 방식들로 보안 처리들을 수행함에 따라 생성되고, 상기 네트워크 망을 통해 상기 통합 관리 장치에 전달되는 동작 방법.10. The method of claim 9,
Wherein the plurality of types of event logs are generated as the security processes are performed in a plurality of ways in the at least one security device and are delivered to the integrated management device via the network. 네트워크 망에 연결된 컴퓨팅 장치로 판독 가능한 복수의 프로그램 코드들을 저장하는 저장 매체에 있어서:
상기 복수의 프로그램 코드들은,
적어도 하나의 보안 장치로부터 상기 네트워크 망을 통해 상이한 타입들의 이벤트 로그들이 수신되면, 상기 이벤트 로그들로부터 복수의 아이피들을 추출하여 타입 별 아이피들 각각의 추출 횟수를 판별하는 제 1 프로그램 코드;
상기 타입 별 아이피들 각각의 추출 횟수와 해당 타입의 기준값을 연산하여 상기 타입 별 아이피들의 타입 별 아이피 위험도들을 결정하는 제 2 프로그램 코드;
상기 상이한 타입들 중 동일한 아이피에 해당하는 타입 별 아이피 위험도들을 합산하여 상기 복수의 아이피들에 각각 대응하는 종합 아이피 위험도들을 산출하는 제 3 프로그램 코드; 및
상기 종합 아이피 위험도들을 임계값과 비교하여 알람 정보를 제공하는 제 4 프로그램 코드를 포함하는 저장 매체.
1. A storage medium storing a plurality of program codes readable by a computing device connected to a network, comprising:
The plurality of program codes may include:
A first program code for extracting a plurality of IPs from the event logs and determining an extraction frequency of each type of IPs when different types of event logs are received from the at least one security device through the network;
A second program code for computing the number of times of extraction of each type of IP and a reference value of the type to determine IP risks for each type of IP by type;
Third program code for calculating a total IP risks corresponding to the plurality of IPs by summing up IP risks for each type corresponding to the same IP among the different types; And
And fourth program code for comparing the composite IP risks with a threshold value to provide alarm information.
KR1020130133437A 2013-11-05 2013-11-05 Central management device processing event logs having different types and operating method thereof KR101478227B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130133437A KR101478227B1 (en) 2013-11-05 2013-11-05 Central management device processing event logs having different types and operating method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130133437A KR101478227B1 (en) 2013-11-05 2013-11-05 Central management device processing event logs having different types and operating method thereof

Publications (1)

Publication Number Publication Date
KR101478227B1 true KR101478227B1 (en) 2014-12-31

Family

ID=52680372

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130133437A KR101478227B1 (en) 2013-11-05 2013-11-05 Central management device processing event logs having different types and operating method thereof

Country Status (1)

Country Link
KR (1) KR101478227B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113778711A (en) * 2021-09-09 2021-12-10 恒安嘉新(北京)科技股份公司 Event processing method and device, electronic equipment and storage medium

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100838799B1 (en) * 2007-03-09 2008-06-17 에스케이 텔레콤주식회사 System and operating method of detecting hacking happening for complementary security management system

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100838799B1 (en) * 2007-03-09 2008-06-17 에스케이 텔레콤주식회사 System and operating method of detecting hacking happening for complementary security management system

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113778711A (en) * 2021-09-09 2021-12-10 恒安嘉新(北京)科技股份公司 Event processing method and device, electronic equipment and storage medium
CN113778711B (en) * 2021-09-09 2024-04-16 恒安嘉新(北京)科技股份公司 Event processing method and device, electronic equipment and storage medium

Similar Documents

Publication Publication Date Title
KR100942456B1 (en) Method for detecting and protecting ddos attack by using cloud computing and server thereof
US8997231B2 (en) Preventive intrusion device and method for mobile devices
CN108353079B (en) Detection of cyber threats against cloud-based applications
US9836600B2 (en) Method and apparatus for detecting a multi-stage event
US20160019388A1 (en) Event correlation based on confidence factor
CN106790023A (en) Network security Alliance Defense method and apparatus
CN112926048B (en) Abnormal information detection method and device
CN114598525A (en) IP automatic blocking method and device for network attack
CN110868403B (en) Method and equipment for identifying advanced persistent Attack (APT)
CN105359156A (en) Unauthorized-access detection system and unauthorized-access detection method
US20160110544A1 (en) Disabling and initiating nodes based on security issue
CN111756702A (en) Data security protection method, device, equipment and storage medium
Mangrulkar et al. Network attacks and their detection mechanisms: A review
CN108345795A (en) System and method for the Malware that detects and classify
CN108712365B (en) DDoS attack event detection method and system based on flow log
CN108429746B (en) Privacy data protection method and system for cloud tenants
KR101478227B1 (en) Central management device processing event logs having different types and operating method thereof
KR101551537B1 (en) Information spill prevention apparatus
Sharma et al. A detection algorithm for DoS attack in the cloud environment
US20230156019A1 (en) Method and system for scoring severity of cyber attacks
KR20130033161A (en) Intrusion detection system for cloud computing service
Schneidewind Metrics for mitigating cybersecurity threats to networks
KR102377784B1 (en) Network security system that provides security optimization function of internal network
US20210058414A1 (en) Security management method and security management apparatus
Aparicio-Navarro et al. An automatic and self-adaptive multi-layer data fusion system for WiFi attack detection

Legal Events

Date Code Title Description
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20181204

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20191202

Year of fee payment: 6