KR101490649B1 - 네트워크 보안 장치의 이상 징후 판단 시스템 및 방법 - Google Patents

네트워크 보안 장치의 이상 징후 판단 시스템 및 방법 Download PDF

Info

Publication number
KR101490649B1
KR101490649B1 KR20140007985A KR20140007985A KR101490649B1 KR 101490649 B1 KR101490649 B1 KR 101490649B1 KR 20140007985 A KR20140007985 A KR 20140007985A KR 20140007985 A KR20140007985 A KR 20140007985A KR 101490649 B1 KR101490649 B1 KR 101490649B1
Authority
KR
South Korea
Prior art keywords
statistical data
address
packet
network address
option
Prior art date
Application number
KR20140007985A
Other languages
English (en)
Inventor
김봉준
김광태
Original Assignee
주식회사 퓨쳐시스템
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 퓨쳐시스템 filed Critical 주식회사 퓨쳐시스템
Priority to KR20140007985A priority Critical patent/KR101490649B1/ko
Application granted granted Critical
Publication of KR101490649B1 publication Critical patent/KR101490649B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

네트워크 보안 장치의 이상 징후 판단 시스템 및 방법이 개시된다. 일실시예에 따른, 이상 징후 판단 방법은, 네트워크 주소에서의 패킷에 대한 누적 사용량에 관한 통계 데이터를 생성하는 단계와, 상기 생성된 통계 데이터를 스프레드시트(spread sheet) 형식으로 배열하여 표시하는 단계, 및 상기 배열된 통계 데이터 중에서, 포커싱되는 이상 통계 데이터를 식별하고, 상기 식별된 이상 통계 데이터와 관련한 네트워크 주소에 대해 이상 징후를 판단하는 단계를 포함하여 구성할 수 있다.

Description

네트워크 보안 장치의 이상 징후 판단 시스템 및 방법{SYSTEM AND METHOD FOR DECIDING SYMPTOM OF NETWORK SECURITY DEVICE}
본 발명의 실시예들은 네트워크에서의 패킷 사용에 관한 히트맵 스타일의 통계 데이터를 생성하고, 통계 데이터에서 이상 징후가 발견되면, 이상 징후를 판단하는 이상 징후 판단 시스템 및 방법에 관한 것이다. 특히, 본 발명의 실시예는, 지능형 지속 공격(APT: Advanced Persistent Threat)을 방어하는 솔루션일 수 있는 Anti-APT 관련의 네트워크 보안 장치에 대해 이상 징후를 판단 함으로써, 네트워크 보안이 최적하게 이루어지도록 하는 것을 특징으로 하고 있다.
지능형 지속 공격(APT: Advanced Persistent Threat)은 현재 세계 보안업계에서 관심 분야가 되고 있다.
APT는 표적형, 장기적인 작전을 통한 활동, 성공률을 높이기 위해서 다중 스킬 체인(skill chain)을 포함하며, 탐지를 우회하기 위한 기법을 사용 함에 따라, 방화벽과 같은 보안 장비에서 탐지하기가 힘들다.
방화벽과 같은 보안 장비의 로그는 하나의 패킷이나 또는 하나의 세션에 대한 단순한 정보를 표현하고 있다. 또한, 로그 시스템에서는 이러한 정보를 일률적으로 나열할 뿐이어서, 상기 정보를 이용하여 네트워크 상에서의 이상 징후를 판단하는 것은 어렵다.
본 발명은 네트워크 주소에서의 패킷 사용에 관한 히트맵 스타일의 통계 데이터를 생성하고, 통계 데이터에서 이상 징후가 발견되면, 관련한 네트워크 주소에 대해 이상 징후를 판단 함으로써, 이상 징후가 발생한 네트워크 위치를 용이하게 확인할 수 있게 하는 것을 목적으로 한다.
즉, 본 발명은 보안 장비의 로그를 활용해 얻을 수 있는 패킷에 대한 누적 사용량에 관한 정보를 히트맵 스타일의 그래프로 표현하여 네트워크 전반에 걸쳐 발생한 패킷에 대해 시간의 추이에 따른 수치와 그 변화량을 관리자가 쉽게 파악 할 수 있도록 하여, 관리자로 하여금, Anti-APT 이상 징후를 신속하게 발견할 수 있도록 하는 것으로 목적으로 한다.
또한, 본 발명은 복수의 옵션 아이콘을 포함하는 사용자 인터페이스를 제공하고, 사용자 인터페이스를 통해 옵션 아이콘을 선택받으면, 선택된 옵션 아이콘에 의해 지정되는 카테고리(예컨대, 패킷이 송신되는 출발지 주소, 패킷이 수신되는 목적지 주소, 패킷과 연관된 서비스, 방화벽 정책 번호, 국가별 주소, 시간대 정보)에 속하는, 네트워크 주소에 대한 통계 데이터를 생성하여 표시 함으로써, 사용자가 선택한 카테고리 기준으로 생성된 통계 데이터를 제공하는 것을 목적으로 한다.
또한, 본 발명은 통계 데이터로서 패킷에 대한 누적 사용량이 생성되면, 상기 누적 사용량의 크기에 따라 색상이 변화하는 히트맵을, 시간의 흐름에 기초하여 배열하여 표시 함으로써, 사용자가 누적 사용량에 기초하여 이상 징후를 직관적으로 파악할 수 있게 하는 것을 목적으로 한다.
상기의 목적을 이루기 위한 이상 징후 판단 방법은, 네트워크 주소에서의 패킷에 대한 누적 사용량에 관한 통계 데이터를 생성하는 단계와, 상기 생성된 통계 데이터를 스프레드시트(spread sheet) 형식으로 배열하여 표시하는 단계, 및 상기 배열된 통계 데이터 중에서, 포커싱되는 이상 통계 데이터를 식별하고, 상기 식별된 이상 통계 데이터와 관련한 네트워크 주소에 대해 이상 징후를 판단하는 단계를 포함하여 구성될 수 있다.
상기의 목적을 이루기 위한 이상 징후 판단 시스템은, 네트워크 주소에서의 패킷에 대한 누적 사용량에 관한 통계 데이터를 생성하는 생성부와, 상기 생성된 통계 데이터를 스프레드시트 형식으로 배열하여 표시하는 표시부, 및 상기 배열된 통계 데이터 중에서, 포커싱되는 이상 통계 데이터를 식별하고, 상기 식별된 이상 통계 데이터와 관련한 네트워크 주소에 대해 이상 징후를 판단하는 프로세서를 포함할 수 있다.
본 발명의 실시예에 따르면, 네트워크 주소에서의 패킷 사용에 관한 히트맵 스타일의 통계 데이터를 생성하고, 통계 데이터에서 이상 징후가 발견되면, 관련한 네트워크 주소에 대해 이상 징후를 판단 함으로써, 이상 징후가 발생한 네트워크 위치를 용이하게 확인할 수 있게 한다.
또한, 본 발명에 따르면, 보안 장비의 로그를 활용해 얻을 수 있는 패킷에 대한 누적 사용량에 관한 정보를 히트맵 스타일의 그래프로 표현하여 네트워크 전반에 걸쳐 발생한 패킷에 대해 시간의 추이에 따른 수치와 그 변화량을 관리자가 쉽게 파악 할 수 있도록 하여, 관리자로 하여금, Anti-APT 이상 징후를 신속하게 발견할 수 있도록 할 수 있다.
또한, 본 발명에 의해서는, 관리자에게 출발지 주소, 목적지 주소, 프로토콜, 서비스 항목에 대한 누적 패킷, 누적 사용량, 누적 세션의 통계 정보를 시간의 흐름에 따라 히트맵 스타일의 그래프로 보여 줌으로써 네트워크 변화의 추이 파악이 용이할 수 있다.
또한, 본 발명에 의해서는, 출발지 주소, 목적지 주소, 프로토콜, 서비스에 대해 관리자가 원하는 항목을 기준으로 히트맵 스타일의 그래프를 표시할 수 있으므로, APT와 같은 지능적 지속적 공격에 대한 추이 파악이 가능할 수 있다.
또한, 본 발명의 실시예에 따르면, 복수의 옵션 아이콘을 포함하는 사용자 인터페이스를 제공하고, 사용자 인터페이스를 통해 옵션 아이콘을 선택받으면, 선택된 옵션 아이콘에 의해 지정되는 카테고리(예컨대, 패킷이 송신되는 출발지 주소, 패킷이 수신되는 목적지 주소, 패킷과 연관된 서비스, 방화벽 정책 번호, 국가별 주소, 시간대 정보)에 속하는, 네트워크 주소에 대한 통계 데이터를 생성하여 표시 함으로써, 사용자가 선택한 카테고리 기준으로 생성된 통계 데이터를 제공할 수 있다.
또한, 본 발명의 실시예에 따르면, 통계 데이터로서 패킷에 대한 누적 사용량이 생성되면, 누적 사용량의 크기에 따라 색상의 밝기가 변화하는 히트맵을, 시간의 흐름에 기초하여 배열하여 표시 함으로써, 사용자가 누적 사용량에 기초하여 이상 징후를 직관적으로 파악할 수 있게 한다.
도 1은 본 발명의 이상 징후 판단 시스템을 포함하는 네트워크의 구성 일례를 도시한 도면이다.
도 2는 본 발명의 일실시예에 따른 이상 징후 판단 시스템의 구성을 도시한 도면이다.
도 3은 본 발명의 일실시예에 따른 이상 징후 판단 시스템에서의 사용자 인터페이스 제공 일례를 도시한 도면이다.
도 4는 본 발명의 일실시예에 따른 이상 징후 판단 시스템에서의 통계 데이터 제공에 대한 일례를 도시한 도면이다.
도 5는 본 발명의 일실시예에 따른 이상 징후 판단 시스템에서의 통계 데이터 제공에 대한 다른 일례를 도시한 도면이다.
도 6은 본 발명의 일실시예에 따른 이상 징후 판단 방법을 나타내는 흐름도이다.
이하, 첨부된 도면들을 참조하여 본 발명의 일실시예에 따른 이상 징후 판단 시스템 및 방법에 대해 상세히 설명한다. 본 발명의 이상 징후 판단 시스템 및 방법은, Anti-APT를 구현하는 네트워크 보안 장치를 대상으로, 이상 징후를 판단하는 모델일 수 있다. 이하에서는 네트워크 보안 장치에 대한 이상 징후를 판단하는 구체 구성에 대해 설명하겠으나, 이는 설명의 편의를 위한 것일 뿐이고, 상기 네트워크 보안 장치 이외에 네트워크 보안과 관련 공지의 모든 장비를 대상으로, 본 발명의 이상 징후 판단 시스템 및 방법이 적용될 수 있음은 자명한 사실이다.
도 1은 본 발명의 이상 징후 판단 시스템을 포함하는 네트워크의 구성 일례를 도시한 도면이다.
도 1을 참조하면, 네트워크(100)는 복수의 노드(node)(101) 및 이상 징후 판단 시스템(103)을 포함할 수 있다.
복수의 노드(101)는 예컨대 메쉬 구조로 연결되어, 서로 간에 패킷을 송수신할 수 있다.
이상 징후 판단 시스템(103)은 네트워크(100)에서의 패킷 사용에 관한 히트맵 스타일의 통계 데이터를 생성하고, 통계 데이터를 배열하여 표시할 수 있다. 이때, 이상 징후 판단 시스템(103)은 상기 통계 데이터를 스프레드시트 형식으로 배열할 수 있고, 색상이 선정된 밝기값을 만족하여 어두워지는 히트맵의 통계 데이터에 대해 이상을 식별할 수 있다. 통계 데이터에서 이상이 식별되면, 해당 통계 데이터와 관련한 네트워크 주소에 대해 이상 징후를 판단 함으로써, 이상 징후가 발생한 네트워크 위치를 용이하게 확인할 수 있게 한다.
여기서, 스프레드시트는, 가로행과 세로행이 교차하면서 만든 셀이라는 공간에 여러 가지 정보를 저장하여 도표 형태로 표시하고 각종 계산 작업을 편리하게 할 수 있도록 만든 프로그램 일 수 있다. 본 발명의 이상 징후 판단 시스템(103)은 패킷에 대한 누적 사용량에 관한 통계 데이터를, 가로 세로의 표 모양으로 배열하여 표시할 수 있다.
또한, 이상 징후 판단 시스템(103)은 복수의 옵션 아이콘을 포함하는 사용자 인터페이스를 제공하고, 사용자 인터페이스를 통해 옵션 아이콘을 선택받으면, 선택된 옵션 아이콘에 의해 지정되는 카테고리(예컨대, 패킷이 송신되는 출발지 주소, 패킷이 수신되는 목적지 주소, 패킷과 연관된 서비스, 방화벽 정책 번호, 국가별 주소, 시간대 정보)에 속하는, 네트워크 주소에 대한 통계 데이터를 생성하여 표시 함으로써, 사용자가 선택한 카테고리 기준으로 실시간으로 생성되어지는 통계 데이터를 제공할 수 있다.
한편, 이상 징후 판단 시스템(103)은 통계 데이터로서 패킷에 대한 누적 사용량이 생성되면, 누적 사용량의 크기에 따라 색상이 변화하는 히트맵을, 시간의 흐름에 기초하여 배열하여 표시 함으로써, 사용자가 누적 사용량에 기초하여 이상 징후를 직관적으로 파악할 수 있게 한다.
도 2는 본 발명의 일실시예에 따른 이상 징후 판단 시스템의 구성을 도시한 도면이다.
도 2를 참조하면, 본 발명의 일실시예에 따른 이상 징후 판단 시스템(200)은 생성부(201), 표시부(203), 및 프로세서(207)를 포함하여 구성할 수 있다. 또한, 이상 징후 판단 시스템(200)은 실시예에 따라, 제공부(205)를 더 포함하여 구성할 수 있다.
우선, 생성부(201)는 네트워크 주소에서의 패킷 사용에 관한 통계 데이터를 생성할 수 있다. 이때, 생성부(201)는 네트워크에서 송수신되는 패킷에 대한 정보를 이용하여, 패킷에 대한 누적 사용량에 관한 통계 데이터를 생성할 수 있다. 여기서, 패킷에 대한 정보는 예컨대, 패킷에 대한 출발지 주소, 목적지 주소, 프로토콜, 출발지 포트, 목적지 포트, 패킷의 크기 등일 수 있다. 또한, 통계 데이터는 상술의 패킷에 대한 누적 사용량(byte, 패킷들의 크기를 합산한 결과) 이외에 누적 패킷의 수(count), 누적 세션의 수(count) 등일 수 있다.
일실시예에서, 생성부(201)는 제공부(205)에서 제공하는 사용자 인터페이스를 통해, 제1 옵션 아이콘을 선택받으면, 상기 제1 옵션 아이콘에 의해 지정되는 카테고리에 속하는, 상위 네트워크 주소에 대한 통계 데이터를 생성할 수 있다. 여기서, 옵션 아이콘에 의해 지정되는 카테고리는 패킷이 송신되는 출발지 주소, 패킷이 수신되는 목적지 주소, 패킷과 연관된 서비스, 방화벽 정책 번호, 국가별 주소 및 시간대 정보 중 하나일 수 있다.
예컨대, 생성부(201)는 사용자 인터페이스를 통해, 출발지 주소에 대응하는 제1 옵션 아이콘을 선택받으면, 상기 제1 옵션 아이콘에 의해 지정되는 출발지 주소의 카테고리에 속하는, 네트워크 주소에 대한 통계 데이터를 생성할 수 있다. 또한, 생성부(201)는 목적지 주소에 대응하는 제1 옵션 아이콘을 선택받으면, 상기 제1 옵션 아이콘에 의해 지정되는 목적지 주소의 카테고리에 속하는, 네트워크 주소에 대한 통계 데이터를 생성할 수 있다.
또한, 생성부(201)는 제공부(205)에서 제공하는 사용자 인터페이스를 통해, 제2 옵션 아이콘을 선택받으면, 상기 상위 네트워크 주소와 연관되며 또한 상기 제2 옵션 아이콘에 의해 지정되는 카테고리에 속하는, 하위 네트워크 주소에 대한 통계 데이터를 생성할 수 있다.
예컨대, 생성부(201)는 출발지 주소에 대응하는 제1 옵션 아이콘을 선택받은 후, 사용자 인터페이스를 통해, 목적지 주소에 대응하는 제2 옵션 아이콘을 선택받으면, 상기 출발지 주소의 카테고리에 속하는 네트워크 주소와 연관되며 또한 상기 제2 옵션 아이콘에 의해 지정되는 목적지 주소의 카테고리에 속하는, 네트워크 주소에 대한 통계 데이터를 생성할 수 있다.
다른 실시예로서, 생성부(201)는 출발지 주소에서의 패킷 사용에 관한 제1 통계 데이터와 관련하여 입력이 발생하면, 상기 출발지 주소에서 송신되는 패킷을 수신하는 도착지 주소에서의 패킷 사용에 관한 제2 통계 데이터를 생성할 수 있다. 이때, 표시부(203)는 상기 제2 통계 데이터를, 상기 출발지 주소 및 상기 도착지 주소와 연관하여 표시할 수 있다.
표시부(203)는 생성부(201)에 의해 생성된 통계 데이터를, 스프레드시트 형식으로 배열하여 표시할 수 있다. 여기서, 표시부(203)는 상기 통계 데이터로서의 패킷에 대한 누적 사용량을 표시할 때, 상기 누적 사용량의 크기에 따라 색상이 변화하는 히트맵을, 시간의 흐름에 기초하여, 상기 스프레드시트 상에 배열하여 표시 함으로써, 누적 사용량에 기초하여 이상 징후를 직관적으로 파악할 수 있게 한다.
이때, 표시부(203)는 누적 사용량의 크기가 클수록 상기 히트맵에서 색상의 밝기를 어둡게(또는, 진하게) 표시할 수 있다. 여기서, 표시부(203)는 히트맵에서 색상의 밝기를 표시할 때, 색상의 밝기를 예컨대, 24단계로 설정하고, 24단계 중 누적 사용량의 크기에 대응되는 어느 하나로 표시할 수 있다.
제공부(205)는 복수의 옵션 아이콘을 포함하는 사용자 인터페이스를 제공 함으로써, 원하는 카테고리에 연관된 통계 데이터를 확인할 수 있게 하는 환경을 제공한다.
또한, 제공부(205)는 복수의 옵션 아이콘 중 제1 옵션 아이콘이 선택된 경우, 복수의 옵션 아이콘에서 상기 제1 옵션 아이콘을 제외한 후, 사용자 인터페이스를 제공할 수 있다.
프로세서(207)는 상기 배열된 통계 데이터 중에서, 포커싱되는 이상 통계 데이터를 식별하고, 상기 식별된 이상 통계 데이터와 관련한 네트워크 주소에 대해 이상 징후를 판단 할 수 있다.
구체적으로, 프로세서(207)는 색상이 선정된 밝기값을 만족하여 어두워지는 히트맵을, 상기 포커싱되는 이상 통계 데이터로서 식별하고, 해당 이상 통계 데이터와 관련한 네트워크 주소에 대해 이상 징후를 판단할 수 있다. 이때, 프로세서(207)는 설정된 수치를 초과하는 누적 사용량을 확인하고, 상기 확인된 누적 사용량과 관련한 네트워크 주소를, 초과되지 않은 누적 사용량과 관련한 네트워크 주소와 구분할 수 있다.
여기서 포커싱은 통계 데이터 중에서, 이상이 의심되는 이상 통계 데이터에 대해, 사용자가 이를 용이하게 확인할 수 있도록 하는 기법일 수 있고, 예컨대 시각적 효과를 유도하여 특정의 통계 데이터에 대해 주목되도록 하는 것일 수 있다.
이에 따라, 프로세서(207)는 설정치 수치를 초과하는 누적 사용량과 관련한 네트워크 주소를, 초과되지 않은 누적 사용량과 관련한 네트워크 주소와 구분하여 표시하도록 표시부(203)를 제어할 수 있다. 예컨대, 프로세서(207)는 설정치 수치를 초과하는 누적 사용량과 관련한 네트워크 주소를, 초과되지 않은 누적 사용량과 관련한 네트워크 주소와 상이한 색상(예컨대, 적색)으로 표시하도록 하거나, 또는 설정치 수치를 초과하는 누적 사용량과 관련한 네트워크 주소를 깜박거리게 표시하도록 표시부(203)를 제어할 수 있다.
본 발명의 일실시예에 따른 이상 징후 판단 시스템(200)은 출발지 주소, 목적지 주소, 프로토콜, 서비스의 5가지 항목 대한 통계 정보를 임의의 시간(관리자가 원하는 시간) 간격으로 생성하고, 생성된 통계 정보를 관리자가 원하는 항목을 기준으로 시간의 흐름에 따라 히트맵 스타일의 그래프로 보여줄 수 있다.
또한, 본 발명의 일실시예에 따른 이상 징후 판단 시스템(200)에 의해 구현되는 히트맵 스타일의 그래프에서는, 누적 패킷, 누적 사용량, 누적 세션 개수 등의 많고 적음을, 색상의 연하기와 진하기로 표시할 수 있다.
또한, 본 발명의 일실시예에 따른 이상 징후 판단 시스템(200)은 히트맵 그래프의 색상 단계를 사용자가 원하는 만큼의 단계로 표현할 수 있게 한다. 이때, 히트맵의 색상이 진할 수록 데이터 량이 많거나, 또는 데이터의 개수가 많음을 의미할 수 있다.
도 3은 본 발명의 일실시예에 따른 이상 징후 판단 시스템에서의 사용자 인터페이스 제공 일례를 도시한 도면이다.
도 3을 참조하면, 이상 징후 판단 시스템은 네트워크 주소에서의 패킷 사용에 관한 통계 데이터를 생성하고, 상기 생성된 통계 데이터를 배열하여 표시할 수 있다.
이상 징후 판단 시스템은 설정된 기간(예컨대, 2013년 10월 24일) 동안, 네트워크 주소에서의 패킷 사용에 관한 통계 데이터를 생성하여 표시할 수 있다. 이때, 이상 징후 판단 시스템은 복수의 옵션 아이콘을 포함하는 사용자 인터페이스를 제공할 수 있다.
복수의 옵션 아이콘은 예컨대, 6개의 옵션 아이콘으로서, 옵션 아이콘_#1(←)(301), 옵션 아이콘_#2(→)(303), 옵션 아이콘_#3(S)(305), 옵션 아이콘_#4(U)(307), 옵션 아이콘_#5(C)(309), 옵션 아이콘_#6(T)(311)을 포함할 수 있다.
여기서, 옵션 아이콘_#1(←)(301)은 패킷이 송신되는 출발지 주소의 카테고리에 대응하고, 옵션 아이콘_#2(→)(303)는 패킷이 수신되는 목적지 주소의 카테고리에 대응하며, 옵션 아이콘_#3(S)(305)은 패킷과 연관된 서비스의 카테고리에 대응할 수 있다. 또한, 옵션 아이콘_#4(U)(307)는 패킷과 연관된 방화벽 정책 번호의 카테고리에 대응하고, 옵션 아이콘_#5(C)(309)는 패킷과 연관된 국가별 주소의 카테고리에 대응하며, 옵션 아이콘_#6(T)(311)은 패킷과 연관된 시간대 정보의 카테고리에 대응할 수 있다.
도 4는 본 발명의 일실시예에 따른 이상 징후 판단 시스템에서의 통계 데이터 제공에 대한 일례를 도시한 도면이다.
이상 징후 판단 시스템은 사용자 인터페이스를 통해 복수의 옵션 아이콘 중에서 제1 옵션 아이콘을 선택받으면, 상기 제1 옵션 아이콘에 의해 지정되는 카테고리에 속하는, 상위 네트워크 주소에 대한 통계 데이터를 생성하여 표시할 수 있다.
도 4를 참조하면, 예컨대, 이상 징후 판단 시스템은 복수의 옵션 아이콘 중에서 출발지 주소의 카테고리에 대응하는 옵션 아이콘_#1(←)(401)을 선택받으면, 옵션 아이콘_#1(←)(401)에 의해 지정되는 출발지 주소의 카테고리에 속하는, 네트워크 주소(10.110.1.11, 10.110.2.11, …)에서의 패킷에 대한 누적 사용량을 생성할 수 있다.
이상 징후 판단 시스템은 누적 사용량의 크기에 따라 색상이 변화하는 히트맵을, 시간의 흐름에 기초하여 배열하여 표시할 수 있다. 이때, 이상 징후 판단 시스템은 설정된 시간격(예컨대, 1 시간)에 기초하여, 누적 사용량이 표시되도록 히트맵을 작성할 수 있으며, 사용자의 선택에 따라 상기 시간격을 조정할 수 있게 한다.
여기서, 이상 징후 판단 시스템은 누적 사용량의 크기가 클수록 상기 히트맵에서 색상의 밝기를 어둡게 표시할 수 있다. 따라서, 이상 징후 판단 시스템은 갑자기 패킷에 대한 누적 사용량이 증가하는 경우, 주변 색상보다 어두운 색상이 표시됨에 따라, 어두운 색상의 구간과 연관된 네트워크 주소(예컨대, 특정 출발지 주소)에서 상기 구간에 대응하는 시간에, 발생할 수 있는 이상 징후를 용이하게 인지할 수 있게 한다.
예컨대, 도 4에서, 이상 징후 판단 시스템은 출발지 주소의 카테고리에 속하는 네트워크 주소 '10.31.61.11'에서의 '12~13' 시간의 패킷에 대한 누적 사용량(403), 및 네트워크 주소 '10.71.100.8'에서의 '11~12' 시간의 패킷에 대한 누적 사용량(405)이 주변 색상보다 상대적으로 어두운 색상으로 표시됨에 따라, 상기 네트워크 주소 '10.31.61.11' 및 상기 네트워크 주소 '10.71.100.8'에서 해당 시간에, 이상 징후가 발생할 가능성이 있음을 용이하게 전달할 수 있다.
한편, 이상 징후 판단 시스템은 복수의 옵션 아이콘 중 제1 옵션 아이콘이 선택된 경우, 복수의 옵션 아이콘에서 상기 제1 옵션 아이콘을 제외한 후, 사용자 인터페이스를 제공할 수 있다.
도 4에서는 출발지 주소의 카테고리에 대응하는 옵션 아이콘_#1(←)(401)이 선택된 상태에서, 상기 옵션 아이콘_#1(←)(401)를 제외한, 목적지 주소의 카테고리에 대응하는 옵션 아이콘_#2(→)와, 패킷과 연관된 서비스의 카테고리에 대응하는 옵션 아이콘_#3(S)이 사용자 인터페이스로 제공되는 것을 예시하고 있다.
도 5는 본 발명의 일실시예에 따른 이상 징후 판단 시스템에서의 통계 데이터 제공에 대한 다른 일례를 도시한 도면이다.
이상 징후 판단 시스템은 복수의 옵션 아이콘 중 제1 옵션 아이콘이 선택 됨에 따라, 제1 옵션 아이콘을 제외한 복수의 옵션 아이콘을 포함하는 사용자 인터페이스를 제공한 상태에서, 제2 옵션 아이콘을 선택받으면, 제1 옵션 아이콘에 의해 지정되는 카테고리에 속하는 상위 네트워크 주소와 연관되며 또한 제2 옵션 아이콘에 의해 지정되는 카테고리에 속하는, 하위 네트워크 주소에 대한 통계 데이터를 생성할 수 있다.
도 5를 참조하면, 예컨대, 이상 징후 판단 시스템은 복수의 옵션 아이콘 중에서 출발지 주소의 카테고리에 대응하는 옵션 아이콘_#1(←)(501)과 목적지 주소의 카테고리에 대응하는 옵션 아이콘_#2(→)(503)를 선택받으면, 옵션 아이콘_#1(←)(501)에 의해 지정되는 출발지 주소의 카테고리에 속하는 네트워크 주소(예컨대, 10.71.151.11)와 연관되며 또한 옵션 아이콘_#2(503)에 의해 지정되는 목적지 주소의 카테고리에 속하는, 네트워크 주소(220.78.235.9, 69.254.224.113, …)에서의 패킷에 대한 누적 사용량을 생성할 수 있다.
이상 징후 판단 시스템은 누적 사용량의 크기에 따라 색상이 변화하는 히트맵을, 시간의 흐름에 기초하여 배열하여 표시할 수 있다. 이때, 이상 징후 판단 시스템은 설정된 시간격(예컨대, 1 시간)에 기초하여, 누적 사용량이 표시되도록 히트맵을 작성할 수 있으며, 사용자의 선택에 따라 상기 시간격을 조정할 수 있게 한다.
여기서, 이상 징후 판단 시스템은 누적 사용량의 크기가 클수록 상기 히트맵에서 색상의 밝기를 어둡게 표시할 수 있다. 따라서, 이상 징후 판단 시스템은 갑자기 패킷에 대한 누적 사용량이 증가하는 경우, 주변 색상보다 어두운 색상이 표시됨에 따라, 어두운 색상의 구간과 연관된 네트워크 주소(예컨대, 특정 출발지 주소와 연관된 특정 목적지 주소)에서 상기 구간에 대응하는 시간에, 발생할 수 있는 이상 징후를 용이하게 인지할 수 있게 한다.
예컨대, 도 5에서, 이상 징후 판단 시스템은 출발지의 네트워크 주소 '10.71.151.11'을 공통으로 갖는 목적지의 네트워크 주소 중에서, 네트워크 주소 '118.172.92.165'에서의 '12~13' 시간의 패킷에 대한 누적 사용량(505), 및 네트워크 주소 '183.111.23.51'에서의 '11~12' 시간의 패킷에 대한 누적 사용량(507)이 주변 색상보다 상대적으로 어두운 색상으로 표시됨에 따라, 상기 네트워크 주소 '118.172.92.165' 및 상기 네트워크 주소 '183.111.23.51'에서 해당 시간에, 이상 징후가 발생할 가능성이 있음을 용이하게 전달할 수 있다.
도 6은 본 발명의 일실시예에 따른 이상 징후 판단 방법을 나타내는 흐름도이다.
도 6을 참조하면, 단계 601에서, 이상 징후 판단 시스템은 네트워크 주소에서의 패킷에 대한 누적 사용량에 관한 통계 데이터를 생성할 수 있다.
이때, 이상 징후 판단 시스템은 복수의 옵션 아이콘을 포함하는 사용자 인터페이스를 제공할 수 있다. 이상 징후 판단 시스템은 상기 사용자 인터페이스를 통해 제1 옵션 아이콘을 선택받고, 상기 제1 옵션 아이콘에 의해 지정되는 카테고리에 속하는, 상위 네트워크 주소에 대한 통계 데이터를 생성할 수 있다.
또한, 이상 징후 판단 시스템은 복수의 옵션 아이콘 중 제1 옵션 아이콘이 선택된 경우, 상기 복수의 옵션 아이콘에서 상기 제1 옵션 아이콘을 제외한 후, 상기 사용자 인터페이스를 제공할 수 있다. 이상 징후 판단 시스템은 상기 사용자 인터페이스를 통해 제2 옵션 아이콘을 선택받고, 상기 상위 네트워크 주소와 연관되며 또한 상기 제2 옵션 아이콘에 의해 지정되는 카테고리에 속하는, 하위 네트워크 주소에 대한 통계 데이터를 생성할 수 있다.
상기 옵션 아이콘에 의해 지정되는 카테고리는 패킷이 송신되는 출발지 주소, 패킷이 수신되는 목적지 주소, 패킷과 연관된 서비스, 방화벽 정책 번호, 국가별 주소 및 시간대 정보 중 하나일 수 있다.
다른 일례로서, 이상 징후 판단 시스템은 출발지 주소에서의 패킷 사용에 관한 제1 통계 데이터와 관련하여 입력이 발생하면, 상기 출발지 주소에서 송신되는 패킷을 수신하는 도착지 주소에서의 패킷 사용에 관한 제2 통계 데이터를 생성할 수 있다. 이때, 이상 징후 판단 시스템은 상기 제2 통계 데이터를 표시할 때, 상기 출발지 주소 및 상기 도착지 주소와 연관되도록 한다.
단계 603에서, 이상 징후 판단 시스템은 생성된 통계 데이터를 스프레드시트 형식으로 배열하여 표시할 수 있다. 이상 징후 판단 시스템은 상기 통계 데이터로서의 패킷에 대한 누적 사용량을 표시할 때, 상기 누적 사용량의 크기에 따라 색상이 변화하는 히트맵을, 시간의 흐름에 기초하여, 상기 스프레드시트 상에 배열하여 표시 함으로써, 누적 사용량에 기초하여 이상 징후를 직관적으로 파악할 수 있게 한다.
이때, 이상 징후 판단 시스템은 누적 사용량의 크기가 클수록 상기 히트맵에서 색상의 밝기를 어둡게(또는, 진하게) 표시할 수 있다.
단계 605에서, 이상 징후 판단 시스템은 상기 배열된 통계 데이터 중에서, 포커싱되는 이상 통계 데이터를 식별할 수 있다. 예컨대, 이상 징후 판단 시스템은 색상이 선정된 밝기값을 만족하여 어두워지는 히트맵을, 상기 포커싱되는 이상 통계 데이터로서 식별할 수 있다. 여기서 포커싱은 통계 데이터 중에서, 이상이 의심되는 이상 통계 데이터에 대해, 사용자가 이를 용이하게 확인할 수 있도록 하는 기법일 수 있고, 예컨대 시각적 효과를 유도하여 특정의 통계 데이터에 대해 주목되도록 하는 것일 수 있다.
단계 607에서, 이상 징후 판단 시스템은 해당 이상 통계 데이터와 관련한 네트워크 주소에 대해 이상 징후를 판단할 수 있다.
이상 징후 판단 시스템은 이상 징후를 판단하는 일례로서, 설정된 수치를 초과하는 누적 사용량을 확인하고, 상기 확인된 누적 사용량과 관련한 네트워크 주소를, 초과되지 않은 누적 사용량과 관련한 네트워크 주소와 구분하여 표시할 수 있다.
이에 따라, 이상 징후 판단 시스템은 설정치 수치를 초과하는 누적 사용량과 관련한 네트워크 주소를, 초과되지 않은 누적 사용량과 관련한 네트워크 주소와 구분하여 표시하도록 제어할 수 있다. 예컨대, 이상 징후 판단 시스템은 설정치 수치를 초과하는 누적 사용량과 관련한 네트워크 주소를, 초과되지 않은 누적 사용량과 관련한 네트워크 주소와 상이한 색상(예컨대, 적색)으로 표시하도록 하거나, 또는 설정치 수치를 초과하는 누적 사용량과 관련한 네트워크 주소를 깜박거리게 표시하도록 제어할 수 있다.
본 발명의 실시예에 따르면, 네트워크 주소에서의 패킷 사용에 관한 히트맵 스타일의 통계 데이터를 생성하고, 통계 데이터에서 이상 징후가 발견되면, 관련한 네트워크 주소에 대해 이상 징후를 판단 함으로써, 이상 징후가 발생한 네트워크 위치를 용이하게 확인할 수 있게 한다.
또한, 본 발명에 따르면, 보안 장비의 로그를 활용해 얻을 수 있는 패킷에 대한 누적 사용량에 관한 정보를 히트맵 스타일의 그래프로 표현하여 네트워크 전반에 걸쳐 발생한 패킷에 대해 시간의 추이에 따른 수치와 그 변화량을 관리자가 쉽게 파악 할 수 있도록 하여, 관리자로 하여금, Anti-APT 이상 징후를 신속하게 발견할 수 있도록 할 수 있다.
또한, 본 발명에 의해서는, 관리자에게 출발지 주소, 목적지 주소, 프로토콜, 서비스 항목에 대한 누적 패킷, 누적 사용량, 누적 세션의 통계 정보를 시간의 흐름에 따라 히트맵 스타일의 그래프로 보여 줌으로써 네트워크 변화의 추이 파악이 용이할 수 있다.
또한, 본 발명에 의해서는, 출발지 주소, 목적지 주소, 프로토콜, 서비스에 대해 관리자가 원하는 항목을 기준으로 히트맵 스타일의 그래프를 표시할 수 있으므로, APT와 같은 지능적 지속적 공격에 대한 추이 파악이 가능할 수 있다.
또한, 본 발명의 실시예에 따르면, 복수의 옵션 아이콘을 포함하는 사용자 인터페이스를 제공하고, 사용자 인터페이스를 통해 옵션 아이콘을 선택받으면, 선택된 옵션 아이콘에 의해 지정되는 카테고리(예컨대, 패킷이 송신되는 출발지 주소, 패킷이 수신되는 목적지 주소, 패킷과 연관된 서비스, 방화벽 정책 번호, 국가별 주소, 시간대 정보)에 속하는, 네트워크 주소에 대한 통계 데이터를 생성하여 표시 함으로써, 사용자가 선택한 카테고리 기준으로 생성된 통계 데이터를 제공할 수 있다.
또한, 본 발명의 실시예에 따르면, 통계 데이터로서 패킷에 대한 누적 사용량이 생성되면, 누적 사용량의 크기에 따라 색상의 밝기가 변화하는 히트맵을, 시간의 흐름에 기초하여 배열하여 표시 함으로써, 사용자가 누적 사용량에 기초하여 이상 징후를 직관적으로 파악할 수 있게 한다.
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPA(field programmable array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media) 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.
200: 이상 징후 판단 시스템
201: 생성부
203: 표시부
205: 제공부
207: 프로세서

Claims (15)

  1. 네트워크 주소에서의 패킷에 대한 누적 사용량에 관한 통계 데이터를 생성하는 단계;
    상기 생성된 통계 데이터를, 상기 누적 사용량의 크기에 따라 색상이 변화하는 히트맵으로, 시간의 흐름에 기초하여 스프레드시트(spread sheet) 상에 배열하여 표시하는 단계;
    상기 배열된 통계 데이터 중에서, 상기 색상이 선정된 밝기값을 만족하여 어두워지는 히트맵을, 포커싱되는 이상 통계 데이터로 식별하는 단계; 및
    상기 식별된 이상 통계 데이터와 관련한 네트워크 주소 중에서, 설정된 수치를 초과하는 누적 사용량과 관련한 네트워크 주소를, 상기 수치를 초과하지 않은 누적 사용량과 관련한 네트워크 주소와 구분하는 단계
    를 포함하는 네트워크 보안 장치의 이상 징후 판단 방법.
  2. 삭제
  3. 삭제
  4. 제1항에 있어서,
    복수의 옵션 아이콘을 포함하는 사용자 인터페이스를 제공하는 단계
    를 더 포함하고,
    상기 통계 데이터를 생성하는 단계는,
    상기 사용자 인터페이스를 통해 제1 옵션 아이콘을 선택받는 단계; 및
    상기 제1 옵션 아이콘에 의해 지정되는 카테고리에 속하는, 상위 네트워크 주소에 대한 통계 데이터를 생성하는 단계
    를 포함하는 네트워크 보안 장치의 이상 징후 판단 방법.
  5. 제4항에 있어서,
    상기 이상 징후 판단 방법은,
    상기 복수의 옵션 아이콘에서 상기 제1 옵션 아이콘을 제외한 후, 상기 사용자 인터페이스를 제공하는 단계
    를 더 포함하고,
    상기 통계 데이터를 생성하는 단계는,
    상기 사용자 인터페이스를 통해 제2 옵션 아이콘을 선택받는 단계; 및
    상기 상위 네트워크 주소와 연관되며 또한 상기 제2 옵션 아이콘에 의해 지정되는 카테고리에 속하는, 하위 네트워크 주소에 대한 통계 데이터를 생성하는 단계
    를 더 포함하는 네트워크 보안 장치의 이상 징후 판단 방법.
  6. 제4항에 있어서,
    상기 옵션 아이콘에 의해 지정되는 카테고리는,
    패킷이 송신되는 출발지 주소, 패킷이 수신되는 목적지 주소, 패킷과 연관된 서비스, 방화벽 정책 번호, 국가별 주소 및 시간대 정보 중 하나인
    네트워크 보안 장치의 이상 징후 판단 방법.
  7. 삭제
  8. 제1항에 있어서,
    출발지 주소에서의 패킷 사용에 관한 제1 통계 데이터와 관련하여 입력이 발생하면,
    상기 출발지 주소에서 송신되는 패킷을 수신하는 도착지 주소에서의 패킷 사용에 관한 제2 통계 데이터를 생성하는 단계;
    상기 제2 통계 데이터를, 상기 출발지 주소 및 상기 도착지 주소와 연관하여 표시하는 단계
    를 더 포함하는 네트워크 보안 장치의 이상 징후 판단 방법.
  9. 네트워크 주소에서의 패킷에 대한 누적 사용량에 관한 통계 데이터를 생성하는 생성부;
    상기 생성된 통계 데이터를, 상기 누적 사용량의 크기에 따라 색상이 변화하는 히트맵으로, 시간의 흐름에 기초하여 스프레드시트 상에 배열하여 표시하는 표시부; 및
    상기 배열된 통계 데이터 중에서, 상기 색상이 선정된 밝기값을 만족하여 어두워지는 히트맵을, 포커싱되는 이상 통계 데이터로 식별하고, 상기 식별된 이상 통계 데이터와 관련한 네트워크 주소 중에서, 설정된 수치를 초과하는 누적 사용량과 관련한 네트워크 주소를, 상기 수치를 초과하지 않은 누적 사용량과 관련한 네트워크 주소와 구분하는 프로세서
    를 포함하는 네트워크 보안 장치의 이상 징후 판단 시스템.
  10. 삭제
  11. 삭제
  12. 제9항에 있어서,
    복수의 옵션 아이콘을 포함하는 사용자 인터페이스를 제공하는 제공부
    를 더 포함하고,
    상기 생성부는,
    상기 사용자 인터페이스를 통해 제1 옵션 아이콘을 선택받으면, 상기 제1 옵션 아이콘에 의해 지정되는 카테고리에 속하는, 상위 네트워크 주소에 대한 통계 데이터를 생성하는
    네트워크 보안 장치의 이상 징후 판단 시스템.
  13. 제12항에 있어서,
    상기 제공부는,
    상기 복수의 옵션 아이콘에서 상기 제1 옵션 아이콘을 제외한 후, 상기 사용자 인터페이스를 제공하고,
    상기 생성부는,
    상기 사용자 인터페이스를 통해 제2 옵션 아이콘을 선택받으면, 상기 상위 네트워크 주소와 연관되며 또한 상기 제2 옵션 아이콘에 의해 지정되는 카테고리에 속하는, 하위 네트워크 주소에 대한 통계 데이터를 생성하는
    네트워크 보안 장치의 이상 징후 판단 시스템.
  14. 삭제
  15. 제9항에 있어서,
    출발지 주소에서의 패킷 사용에 관한 제1 통계 데이터와 관련하여 입력이 발생하면,
    상기 생성부는,
    상기 출발지 주소에서 송신되는 패킷을 수신하는 도착지 주소에서의 패킷 사용에 관한 제2 통계 데이터를 생성하고,
    상기 표시부는,
    상기 제2 통계 데이터를, 상기 출발지 주소 및 상기 도착지 주소와 연관하여 표시하는
    네트워크 보안 장치의 이상 징후 판단 시스템.
KR20140007985A 2014-01-22 2014-01-22 네트워크 보안 장치의 이상 징후 판단 시스템 및 방법 KR101490649B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR20140007985A KR101490649B1 (ko) 2014-01-22 2014-01-22 네트워크 보안 장치의 이상 징후 판단 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20140007985A KR101490649B1 (ko) 2014-01-22 2014-01-22 네트워크 보안 장치의 이상 징후 판단 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR101490649B1 true KR101490649B1 (ko) 2015-02-06

Family

ID=52591451

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20140007985A KR101490649B1 (ko) 2014-01-22 2014-01-22 네트워크 보안 장치의 이상 징후 판단 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101490649B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101794746B1 (ko) * 2015-12-30 2017-11-08 주식회사 시큐아이 네트워크의 침입을 탐지하는 방법, 방화벽 시스템 및 컴퓨터 판독 가능한 기록 매체
KR20180118869A (ko) 2017-04-24 2018-11-01 주식회사 피너스 통합 보안 이상징후 모니터링 시스템

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100651754B1 (ko) 2005-09-28 2006-12-01 한국전자통신연구원 트래픽 패턴-맵을 이용한 네트워크 상태 표시 장치 및 그방법
KR100814546B1 (ko) 1998-11-24 2008-03-17 닉썬, 인크. 통신 데이터를 수집하여 분석하는 장치 및 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100814546B1 (ko) 1998-11-24 2008-03-17 닉썬, 인크. 통신 데이터를 수집하여 분석하는 장치 및 방법
KR100651754B1 (ko) 2005-09-28 2006-12-01 한국전자통신연구원 트래픽 패턴-맵을 이용한 네트워크 상태 표시 장치 및 그방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101794746B1 (ko) * 2015-12-30 2017-11-08 주식회사 시큐아이 네트워크의 침입을 탐지하는 방법, 방화벽 시스템 및 컴퓨터 판독 가능한 기록 매체
KR20180118869A (ko) 2017-04-24 2018-11-01 주식회사 피너스 통합 보안 이상징후 모니터링 시스템

Similar Documents

Publication Publication Date Title
US10693902B1 (en) Assessing security control quality and state in an information technology infrastructure
EP3772005B1 (en) Visualization and control of remotely monitored hosts
US9935854B2 (en) Infrastructure performance monitoring
CN103999091B (zh) 地理映射系统安全事件
RU2017111215A (ru) Системы и способы анализа сети и обеспечения отчетов
US9961106B2 (en) Filtering legitimate traffic elements from a DoS alert
KR20170095852A (ko) 네트워크 종점들의 보안 보호와 원격 관리를 위한 사용자 인터페이스
US9083678B2 (en) Firewall policy inspection apparatus and method
EP3390972B1 (en) System and method for inferring or prompting hvac actions based on large data standard deviation based metric
KR101490649B1 (ko) 네트워크 보안 장치의 이상 징후 판단 시스템 및 방법
US20170054752A1 (en) Method for analyzing suspicious activity on an aircraft network
JP7017163B2 (ja) ネットワーク制御装置およびネットワーク制御方法
US20150248119A1 (en) System and program for managing management target system
KR101940512B1 (ko) 공격특성 dna 분석 장치 및 그 방법
Mittelstaedt et al. Visual analytics for critical infrastructures
US10621947B2 (en) Display control apparatus, display control method, and recording medium on which display control program is recorded
JP4825979B2 (ja) 通信ログ視覚化装置、通信ログ視覚化方法及び通信ログ視覚化プログラム
KR101485732B1 (ko) 네트워크 보안 장치의 이슈 추적 시스템 및 방법
Nicholls et al. NetVis: a Visualization Tool Enabling Multiple Perspectives of Network Traffic Data.
US20200264962A1 (en) Display control apparatus, display control method, and recording medium on which display control program is recorded
KR20120038882A (ko) 네트워크 모니터링 시스템 및 방법, 네트워크 모니터링을 위한 보안이벤트 수집 장치 및 서비스 이상상황 탐지 장치
JP6306972B2 (ja) 画面表示装置
KR101942190B1 (ko) 데이터 표시 장치 및 방법
IL256464A (en) System and method for analyzing network traffic
US11528188B2 (en) Graphically managing a networking device configuration

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190117

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20200114

Year of fee payment: 6