KR101498647B1 - 보안관리 시스템 및 이를 이용한 보안 관리 방법 - Google Patents
보안관리 시스템 및 이를 이용한 보안 관리 방법 Download PDFInfo
- Publication number
- KR101498647B1 KR101498647B1 KR20140007063A KR20140007063A KR101498647B1 KR 101498647 B1 KR101498647 B1 KR 101498647B1 KR 20140007063 A KR20140007063 A KR 20140007063A KR 20140007063 A KR20140007063 A KR 20140007063A KR 101498647 B1 KR101498647 B1 KR 101498647B1
- Authority
- KR
- South Korea
- Prior art keywords
- data
- rule
- scenario
- event
- traffic
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/308—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명은 감시 대상 네트워크의 모든 트래픽으로부터 보안 대상을 검출하고, 룰 및 시나리오의 적용을 통해 정확하고, 적극적인 보안 위반 및 위반 예상 대상을 검출하고 이를 통해 빠른 방제가 가능하도록 한 보안 관리 시스템 및 이를 이용한 보안관리 방법에 관한 것이다.
본 발명에 따른 보안 관리 시스템은 본 발명에 따른 보안 관리 시스템은 하나 이상의 단말 또는 하나 이상의 중계장치 또는 하나 이상의 접속장치를 포함하는 네트워크의 트래픽을 수집하고, 상기 트래픽의 데이터를 추출하여, 상기 데이터가 미리 정해진 보안정보, 접속 프로세스, 데이터 처리 중 어느 하나 이상을 포함하는 이벤트에 해당하는지 미리 정해진 룰 또는 상기 룰이 복수로 구성되는 시나리오에 의해 판단하는 보안관리 장치를 포함한다.
본 발명에 따른 보안 관리 시스템은 본 발명에 따른 보안 관리 시스템은 하나 이상의 단말 또는 하나 이상의 중계장치 또는 하나 이상의 접속장치를 포함하는 네트워크의 트래픽을 수집하고, 상기 트래픽의 데이터를 추출하여, 상기 데이터가 미리 정해진 보안정보, 접속 프로세스, 데이터 처리 중 어느 하나 이상을 포함하는 이벤트에 해당하는지 미리 정해진 룰 또는 상기 룰이 복수로 구성되는 시나리오에 의해 판단하는 보안관리 장치를 포함한다.
Description
본 발명은 보안관리 시스템 이를 이용한 보안 관리 방법에 관한 것으로 특히, 감시 대상 네트워크의 모든 트래픽으로부터 보안 대상을 검출하고, 룰 및 시나리오의 적용을 통해 정확하고, 적극적인 보안 위반 및 위반 예상 대상을 검출하고 이를 통해 빠른 방제가 가능하도록 한 보안 관리 시스템 및 이를 이용한 보안관리 방법에 관한 것이다.
최근들어, 개인정보 및 기업정보의 보호에 대한 관심이 크게 높아졌다. 특히, 최근에는 개인 및 기업이 인터넷과 같은 웹 또는 네트워크를 이용하여 업무나 개인 용무를 처리하는 경우가 빈번하며, 이로 인해 개인정보 및 기업정보의 유출기회 및 가능성이 과거에 비해 크게 높아지고 있다. 특히, 네트워크를 이용하기 때문에 정보 유출을 목적으로 설치되는 악성코드, 미러 사이트, 해킹 툴, 각종 바이러스에 의한 정보 유출 가능성이 높아졌음은 물론이거니와 내부자에 의한 정보 유출도 빈번하게 일어나고 있다.
더욱이 이러한 정보유출이 회사의 직원 등에 의해 고의적으로 유출되는 경우뿐만 아니라, 단순히 업무처리에서의 정보 누적, 부주의한 정보 전달과 같이 고의적이지 않은 목적으로 유출되는 경우도 빈번하게 발생하고 있다. 때문에 일부 기업 또는 개인의 경우 보안이 필요한 네트워크를 이용하는 경우 해당 네트워크 이용한 SNS(social network Service), 포털 사이트, 금융서비스, 메일링 서비스와 같이 정보 유출 또는 정보 유출을 위한 악성 어플리케이션의 공급처가 될 수 있는 서비스의 이용을 하지 않도록 하는 방법을 이용하고 있다. 더불어, 이러한 서비스를 제공하기 위한 네트워크 포트를 차단하고, 네트워크 매니지먼트 시스템과 같은 네트워크 관리 시스템을 이용하여 네트워크의 보안 관리를 수행하는 등의 다양한 보안 방법을 이용하고 있다.
하지만, 종래의 보안 관리 수단 또는 보안 관리 방법은 네트워크를 통해 주요 정보가 유통되는 것을 빠르고 정확하게 탐지하지 못하며, 적극적인 정보 유출 방제가 이루어지지 않는 문제점이 있다. 일례로 종래의 보안 관리 수단 또는 보안 관리 방법은 중요 트래픽, 중요 장치에 보관되는 데이터의 접근, 메일과 같은 메시지에 포함된 특정 키워드의 추출하는 방법, 접속 포트의 차단, 접속 서브의 차단 등으로 제한되고 있다. 특히, 키워드 추출, 접속 시도가 발생하는 경우에도 이를 단순히 알람 형태로 관리자에게 통보하거나, 키워드를 포함하는 메시지 또는 트래픽의 전송 중지, 접속 차단과 같은 단순 처리가 수행되고 있다.
때문에 이러한 보안 관리를 회피하는 방법으로 이루어지는 정보 유출은 대응이 곤란하며, 정확하고 능동적인 대응이 이루어지지 않는 문제점이 있다.
따라서, 본 발명은 감시 대상 네트워크의 모든 트래픽으로부터 보안 대상을 검출하고, 룰 및 시나리오의 적용을 통해 정확하고, 적극적인 보안 위반 및 위반 예상 대상을 검출하고 이를 통해 빠른 방제가 가능하도록 한 보안 관리 시스템 및 이를 이용한 보안관리 방법을 제공하는 것이다.
상기 목적을 달성하기 위하여 본 발명에 따른 보안 관리 시스템은 본 발명에 따른 보안 관리 시스템은 하나 이상의 단말 또는 하나 이상의 중계장치 또는 하나 이상의 접속장치를 포함하는 네트워크의 트래픽을 수집하고, 상기 트래픽의 데이터를 추출하여, 상기 데이터가 미리 정해진 보안정보, 접속 프로세스, 데이터 처리 중 어느 하나 이상을 포함하는 이벤트에 해당하는지 미리 정해진 룰 또는 상기 룰이 복수로 구성되는 시나리오에 의해 판단하는 보안관리 장치를 포함한다.
상기 룰 또는 상기 시나리오를 복수로 구성되는 것을 특징으로 한다.
상기 트래픽은 상기 네트워크를 구성하는 상기 단말 또는 상기 중계장치 또는 상기 접속장치에서 처리되거나 또는 상기 단말 또는 상기 중계장치 또는 상기 접속장치를 경유하는 데이터 트래픽인 것을 특징으로 한다.
상기 데이터를 미리 정해진 양식에 따라 정형화하여 정형화데이터를 작성하는 것을 특징으로 한다.
상기 정형화데이터에 상기 룰을 적용시켜 상기 이벤트의 발생을 판단하고, 상기 이벤트의 발생 여부 및 적용된 상기 룰이 기재된 룰셋 데이터를 작성하는 것을 특징으로 한다.
상기 이벤트의 종류에 따라 미리 정해지는 위험도 또는 중요도를 상기 룰셋 데이터에 적용하여, 상기 룰셋 데이터의 이벤트를 상기 위험도 또는 상기 중요도에 따라 등급화하는 것을 특징으로 한다.
복수의 이벤트가 하나의 상기 시나리오를 구성하는 복수의 상기 룰에 모두 적용되는지 판단하는 것을 특징으로 한다.
또한, 본 발명에 따른 보안관리 방법은 룰 또는 상기 룰이 복수로 구성되는 시나리오를 구성하는 단계; 하나 이상의 단말 또는 하나 이상의 중계장치 또는 하나 이상의 접속장치를 포함하는 네트워크의 트래픽을 수집하는 단계; 상기 트래픽의 데이터를 추출하는 단계; 및 상기 데이터가 미리 정해진 보안정보, 접속 프로세스, 데이터 처리 중 어느 하나 이상을 포함하는 이벤트에 해당하는지 상기 룰 또는 상기 시나리오를 이용하여 판단하는 단계;를 포함하여 구성되는 것을 특징으로 한다.
상기 룰 또는 상기 시나리오는 복수로 구성되는 것을 특징으로 한다.
상기 트래픽 수집 단계는 상기 네트워크를 구성하는 상기 단말 또는 상기 중계장치 또는 상기 접속장치에서 처리되거나 또는 상기 단말 또는 상기 중계장치 또는 상기 접속장치를 경유하는 트래픽을 수집하는 것을 특징으로 한다.
상기 트래픽을 수집하는 단계 또는 상기 데이터를 추출하는 단계 또는 상기 판단하는 단계는
상기 데이터를 미리 정해진 양식에 따라 정형화하여 정형화 데이터를 작성하는 단계;를 포함하여 구성되는 것을 특징으로 한다.
상기 판단하는 단계는 상기 정형화데이터에 상기 룰을 적용시켜 상기 이벤트의 발생을 판단하는 단계; 상기 이벤트의 발생 여부 및 상기 이벤트 판단에 적용된 상기 룰이 기재된 룰셋 데이터를 작성하는 단계;를 포함하여 구성되는 것을 특징으로 한다.
상기 판단하는 단계는 상기 이벤트의 종류에 따라 미리 정해지는 위험도 또는 중요도를 상기 룰셋데이터에 적용하여, 상기 룰셋 데이터의 이벤트를 상기 위험도 또는 상기 중요도에 따라 등급화하는 단계;를 더 포함하여 구성되는 것을 특징으로 한다.
상기 판단하는 단계는 복수의 이벤트가 하나의 상기 시나리오를 구성하는 복수의 상기 룰에 모두 적용되는지 판단하는 것을 특징으로 한다.
본 발명에 따른 보안관리시스템 및 보안관리방법은 감시 대상 네트워크의 모든 트래픽으로부터 보안 대상을 검출하고, 룰 및 시나리오의 적용을 통해 정확하고, 적극적인 보안 위반 및 위반 예상 대상을 검출하고 이를 통해 빠른 방제가 가능하다.
도 1은 본 발명에 따른 보안 관리 시스템을 설명하기 위한 예시도이다.
도 2는 본안관리시스템의 세부 구성을 설명하기 위한 구성 예시도이다.
도 3은 룰 셋을 설명하기 위해 룰 셋의 예를 도시한 예시도이다.
도 4는 룰셋 적용데이터를 설명하기 위한 예시도이다.
도 5는 정보의 종류에 따른 중요도 책정을 설명하기 위한 예시도이다.
도 6은 중요도 분석을 설명하기 위한 예시도이다.
도 7은 취약수준 책정을 설명하기 위한 예시도이다.
도 8은 중요도와 취약수준 및 위험수준에 따른 위험도를 구분하는 예를 도시한 예시도이다.
도 9는 시나리오 판단을 위한 시나리오를 나타낸 예시도이다.
도 10은 본 발명에 따른 보안관리 방법을 설명하기 위한 순서도이다.
도 2는 본안관리시스템의 세부 구성을 설명하기 위한 구성 예시도이다.
도 3은 룰 셋을 설명하기 위해 룰 셋의 예를 도시한 예시도이다.
도 4는 룰셋 적용데이터를 설명하기 위한 예시도이다.
도 5는 정보의 종류에 따른 중요도 책정을 설명하기 위한 예시도이다.
도 6은 중요도 분석을 설명하기 위한 예시도이다.
도 7은 취약수준 책정을 설명하기 위한 예시도이다.
도 8은 중요도와 취약수준 및 위험수준에 따른 위험도를 구분하는 예를 도시한 예시도이다.
도 9는 시나리오 판단을 위한 시나리오를 나타낸 예시도이다.
도 10은 본 발명에 따른 보안관리 방법을 설명하기 위한 순서도이다.
이하, 본 발명의 바람직한 실시예를 첨부한 도면을 참조하여 당해 분양의 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 설명하기로 한다. 첨부된 도면들에서 구성에 표기된 도면번호는 다른 도면에서도 동일한 구성을 표기할 때에 가능한 한 동일한 도면번호를 사용하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어 관련된 공지의 기능 또는 공지의 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고 도면에 제시된 어떤 특징들은 설명의 용이함을 이해 확대 또는 축소 또는 단순화된 것이고, 도면 및 그 구성요소들이 반드시 적절한 비율로 도시되어 있지는 않다. 그러나 당업자라면 이러한 상세 사항들을 쉽게 이해할 것이다.
도 1은 본 발명에 따른 보안 관리 시스템을 설명하기 위한 예시도이다.
도 1을 참조하면, 본 발명의 보안관리 시스템은 도시된 바와 같이 감시 대상 네트워크(90)의 임의 장치 또는 장치와 장치간 연결을 위한 통신선로에 접속되어, 대상 장치를 통해 교환되는 트래픽을 감시하게 된다.
이러한 보안관리시스템(100)은 대상네트워크(90)에서 처리되는 트래픽으로부터 빅데이터를 추출하고, 이 빅데이터를 미리 정해지는 형태로 정형화하며, 정형화된 추출데이터를 룰셋에 적용하여 보안 기준의 위반 여부를 판별하게 된다. 이를 위해 대상네트워크(90)에서 처리되는 트래픽을 대상네트워크(90)를 구성하는 장치들로부터 제공받거나, 트래픽 미러링(mirroring)과 같은 방법을 이용하여 수집하게 된다. 보안관리시스템(100)은 수집된 트래픽과 이를 통해 추출된 빅데이터로부터 보안 기준의 위반이 발생하는 경우 이에 대한 중요도 또는 위험도를 산출하고, 이를 시나리오에 적용하여 긴급조치가 필요한지, 주의 확인이 필요한지를 판단하여 필요에 따라 적극적인 알람을 제공하게 된다.
도 1에서와 같이 보안관리시스템(100)은 복수의 단말(10 : 10a, 10b, 10c)과 단말(10)들의 연결을 중계하는 호스트장치(20), 방화벽(30), 접속장치(40)와 같은 다양한 장치로 구성되는 대상네트워크(90)를 관리할 수 있다. 여기서, 단말(10)들은 대상네트워크(90)의 어느 한 장치를 경유하여 인터넷(50)과 같은 네트워크 또는 네트워크 서비스에 연결되거나, 외부장치 또는 외부네트워크(이하에서 '외부장치'로 통칭하기로 함, 60 : 60a, 60b, 60c)에 접속되는 장치를 의미한다. 이러한 단말(10)은 개인용 컴퓨터, 노트북, 스마트폰, 스마트 패드, 태블릿과 같은 컴퓨터 또는 모바일기기를 의미할 수 있다.
여기서, 방화벽(30)은 일례로 제시된 것으로, 접속장치(40)와 호스트장치(20)의 사이에는 방화벽(30)과 함께 또는 방화벽(30)을 대신하여 DLP(Data Loss(or Leakage) Protection), WAS(Web Application Server)와 같은 장치 또는 시스템이 구성될 수 있다.
호스트장치(20)는 서버나 상위 단말과 같이 단말(10) 들에 대해 네트워크 접속을 제공하는 장치를 의미하며, 개인용 컴퓨터와 같은 장치일 수 있다.
접속장치(40)는 외부장치(60) 또는 다른 네트워크 또는 인터넷(50)과의 연결을 위한 장치로, 허브, 라우터, 게이트웨이와 같은 장치로 구성될 수 있다.
이러한 단말(10)들, 호스트장치(20), 접속장치(40)들은 자신을 통해 전송되는 트래픽을 보안관리시스템(100)에 전달할 수 있으며, 이를 위해 보안관리시스템(100)과 직접연결될 수 있으나, 이로써 본 발명을 한정하는 것은 아니다.
도 2는 본안관리시스템의 세부 구성을 설명하기 위한 구성 예시도이다.
도 2를 참조하면, 보안관리시스템(100)은 트래픽 수집부(110), 빅데이터 추출부(120), 빅데이터 정형화부(130), 룰셋 판단부(140), 시나리오 판단부(150) 및 리포트 생성부(160)를 포함하여 구성된다.
트래픽 수집부(110)는 전술한 바와 같이 대상 네트워크(90)은 각 장치를 통해 전송되는 트래픽을 수집하여 빅데이터 추출부(120)에 전달한다. 이 트래픽 수집부(110)는 트래픽 미러링과 같이 트래픽의 송수신에 영향을 주지 않는 형태로 트래픽을 수집하게 되며, 이를 위해 대상 네트워크(90)의 장치들과 직접 연결되어 트래픽을 수집하거나, 장치들을 연결하는 선로에 연결되어 트래픽을 수집하게 된다. 여기서, 트래픽은 장치의 사용 내역, 각 장치에 보조 장치의 연결 및 보조장치와의 데이터 송수신을 모두 포함한다.
빅데이터 추출부(120)는 트래픽 수집부(110)로부터 전달되는 트래픽으로부터 빅데이터를 추출하여, 빅데이터 정형화부(130)에 전달하게 된다. 이 빅데이터 추출부(120)는 대상 네트워크(90) 장치 간의 접속 시도, 접속 시도 횟수, 시간, 데이터 송수신량과 같은 정보뿐만 아니라, 대상 네트워크(90)에서 전송되는 트래픽의 데이터 내용을 추출하게 된다. 즉, 빅데이터 추출부(120)는 트래픽 전솔을 위한 각종 헤더, 오류 확인을 위한 코드 셋과 같은 보안과 무관한 데이터를 제거하는 한편, 정보 유출이 발생할 수 있거나, 이를 판단할 수 있는 모든 데이터를 트래픽으로부터 추출하게 된다. 구체적으로 제1단말(10a)이 호스트장치(20), 방화벽(30), 접속장치(40) 및 인터넷(50)을 통해 외부장치(60a)에 메일을 전송하는 경우, 빅데이터 추출부(120)는 메일의 발신 단말, 발신 시간, 메일의 크기, 메일의 전달 경로와 같은 정보뿐만 아니라, 메일의 내용 예를 들어, 수신인, 발신자, 첨부파일, 첨부파일의 내용, 메일의 내용을 모두 빅데이터로 수집하게 된다.
빅데이터 정형화부(130)는 빅데이터 추출부(120)에서 수집된 빅데이터를 룰셋 판단부(140)에서 처리가 가능한 형태로 정형화하게 된다. 빅데이터 추출부(120)에서 추출된 빅데이터는 데이터의 종류, 트래픽을 처리하는 장치에 따라 데이터의 형태, 규격, 종류, 압축방식등이 모두 상이하게 구성된다. 때문에 빅데이터 정형화부(130)에서는 빅데이터 추출부(120)를 통해 수집된 빅데이터에서 필요한 정보를 쉽게 선택할 수 있도록 미리 정해진 기준과 양식에 따라 정형화한 정형화데이터를 룰셋 판단부(140)에 전달하게 된다.
룰셋 판단부(140)는 빅데이터 정형화(130)부에 의해 정형화되어 전달되는 정형화데이를 미리 정해진 룰 셋에 적용하여 룰 분석을 수행하는 단계이다. 이 룰 셋 판단부(140)는 보안을 위해 하는 행위로 예상될 수 있는 사항을 추출하며, 이를 위해 룰 셋을 적용하게 된다. 좀 더 구체적으로, 단말(10) 중 어느 하나에서 승인되되지 않은 저장매체를 사용하는 경우를 감지하는 룰이 룰셋에 포함되어 있는 경우 룰셋 판단부(140)는 정형화 데이터로부터 해당 룰에 적용되는 사항이 잇는 판단하게 된다. 그리고, 룰셋 판단부(140)는 룰셋에 포함된 룰에 적용된 장치, 사용자, 내용, 건수와 같은 각종 정보를 정리하여 룰셋 적용 데이터를 작성하게 된다.
시나리오 판단부(150)는 룰셋 적용 데이터를 이용하여 미리 정해진 시나리오 룰을 적용하는 시나리오 분석을 수행한다. 이 시나리오 분석은 룰셋을 유기적으로 연결하여 일련의 행위 또는 일련의 과정을 정의한 것으로, 주요 위험 분석을 위해 이용된다. 예를 들어, 승인되지 않은 저장매체의 이용, 보안솔루션의 미설치, 승인 후 열람 가능한 데이터의 접근은 개별적인 룰로 작성되어 룰셋에 포함될 수 있다. 이들 각각의 행위는 보안 등급상 중요 위험으로 분석되지 않을 수 있으나, 이를 한 사용자 또는 하나의 단말(10)에서 실행하는 경우 중요한 보안 위협이 될 수 있다. 즉, 시나리오는 승인되지 않은 저장매체를 보안솔루션을 설치하지 않은 사용자가 사용하는 것 또는 승인되지 않은 저장매체를 이용하면서 승인 후 열람 가능한 데이터에 접근하는 경우와 같이 구성될 수 있다. 즉, 이를 통해 각각의 하나의 행위만을 두고 판단했을 때 묵인될 수 있는 룰 위반을 다른 룰 위반과 함께 판단하여 위험도를 분석하게 되며, 이를 시나리오 판단부(150)에서 수행하게 된다. 이를 위해 시나리오 판단부(150)는 복수의 룰을 단계적으로 조합하여 작성되는 시나리오가 작성되어 저장되며, 이 시나리오를 이용하여 룰셋 적용 데이터를 재분석하는 단계가 수행된다.
리포트 생성부(160)는 시나리오 분석 및 룰셋 분석에 따른 리포트를 작성하고, 이를 관리자에게 제공하는 단계이다. 특히 리포트 생성부(160)는 룰셋 적용 또는 시나리오 분석에 중요한 보안 위반이 발생되는 경우 미리 정해진 절차에 따라 관리자 또는 사용자에 대해 알람을 제공하는 한편, 미리 정해진 절차에 따라 장치 사용 제한, 사용자 접근 권한 제한과 같은 보호 과정을 수행할 수도 있다.
여기서, 본 발명에서 수집되는 트래픽과 빅데이터는 각종 개인정보, 각 장치에 대한 로그정보를 포함한다. 좀더 구체적으로 본 발명의 트래픽과 이로 부터 수집되는 빅데이터는 DRM(Digital Rights Management), N-DLP(Network Data Loss or Leakage Protection), E-DLP(EndPoint DLP), WAS(Web Application Server), 영상정보 관련정보일 수 있다. 사용일시, 복호화권한 소유자, 복호화 건수, 반출 건수를 포함하는 DRM의 로그나, 사용일시, 메일타입, 첨부화일개수, 보낸IP, 받는IP, 보낸계정, 받는계정, 참조인, 실수취인, 제목, 파일분석여부, 첨부화일명, 출발지포트정보, 도착지포트정보를 포함하는 N-DLP 로그나, 사용일시, 아이디, 파일 검사 로그 식별자, 검사로그 저장시간, 로그타입, 패턴종류, 패턴식별자, 패턴이름, 검출횟수, 기타 검출 타입, 기타 검출 내용, 파일이름, 파일사이즈, 파일 생서 일자, 파일 수정 일자, 파일 액세스 일자, 검사 종류, 파일 경로, 검출 내용, 해쉬코드, 파일 속성 플래그, 검출 위치, 보안 문서 식별자, 보안 문서 검출 내용, 암호화 종류 등을 포함하는 E-DLP의 로그나, 업무접속이력(사용일시, 사용자ID, 단위(업무)화면명, 파리미터 정보, 인스턴스아이디), VPN 연결 로그(접속시간, 세션ID, 접속IP, 사용자ID, 로그인 결과, 실패원인, 연결종료시간), SSO(Single Sign On) 정보(로그인 아이디, 사용자IP, 로그인한시간, 사내외구분, 직원번호, 성명, 부서 마지막 로그아웃시간)을 포함하는 WAS의 업무로그나, 사용자 ID, 사용자 IP, 로그인 일시, 로그아웃 일시, 열람 일시, 복사 일시, 저장 일시, 전송 일시, 파일명, Cameraid/명/IP, 복사 대상 매체, 전송 IP에대한 로그를 분석하여 개인영상정보의 과다 사용여부, 취급권한에 따른 사용여부를 포함하는 영상정보처리기기에 의하여 촬영 및 처리되는 영상정보를 포함할 수 있다.
하기에서는 룰셋, 시나리오 및 이를 이용한 위험 분석을 좀 더 상세히 설명하기로 한다.
도 3은 룰 셋을 설명하기 위해 룰 셋의 예를 도시한 예시도이고, 도 4는 룰셋 적용데이터를 설명하기 위한 예시도이다.
도 3 및 도 4를 참조하면, 룰셋은 보안 관리에 필요한 각종 사항들을 세부적인 항목과 함께 정형화된 데이터의 각 이벤트에 적용이 용이한 형태로 작성된다. 이러한 룰셋은 도 3에 도시된 바와 같이 항목의 번호(NO), 적용되는 보안 솔루션, 룰 명칭, 취약수준, 생명주기, 유출영역, 내용 및 목적과 같이 룰을 적용시키는 이유와 방향, 룰의 위반시 위험 수준, 해당 룰을 위반하는 주 대상을 선정하고, 이러한 룰을 복수개 선정하여 룰셋을 구성하게 된다.
좀 더 구체적으로 룰 셋은 보안솔루션 미설치자의 네트워크 이용, 승인되지 않은 저장매체의 사용, 동시 다중 인증자의 네트워크 이용, 메일 이용 위반, 외부접속과 같이 보안을 위협할 수 있는 사항들에 정해진다. 도 3에서는 다양한 항목이 선정되어 있으나, 이 중 적용되는 사항은 '내용' 부분에 기재된 사항의 적용을 통해 정형화 데이터를 분석하고, 룰셋 적용데이터를 생성하게 된다.
이와같이 작성된 룰셋을 정형화 데이터에 적용하면 도 4와 같은 룰셋 적용 데이터가 생성될 수 있다. 정형화 데이터는 대상 네트워크(90)를 이용하는 복수의 사용자에 대해 룰셋에 기재된 사항의 위반을 검출하여 데이터화하게 된다. 이때 룰셋의 적용를 통해 보안에 관계된 이벤트 즉, 보안로그가 산출된다. 즉, 보안로그는 룰셋의 각 룰에 해당하는 이벤트들이 검출되며, 도 3에서는 총 161건이 검출된 예가 도시되어 있다. 즉, 이 중에 개인정보와 같이 중요 정보를 포함하여 이에 해당하는 룰에 적용된 이벤트는 1-9항의 2건(괄호 안의 숫자), 4-3항의 3건, 5-2항의 4건과 같이 별도로 산출될 수 있다. 이러한 중요 정보를 포함하여 이에 해당하는 룰에 적용되는 이벤트는 적용된 룰의 위험도에 따라 산출될 수 있다. 즉, 이벤트가 단독으로도 충분한 위험도, 예를 들어 개인정보의 유출이 확실시되거나, 중요 정보의 고의적인 접근이 예상되는 것과 같은 위험도를 가질 수 있는 경우 이와 같이 룰에 적용된 이벤트와 별도로 산출될 수 있다.
특히, 룰셋이 적용된 이벤트들은 위험도와 취약정도에 따라 시나리오를 적용할 대상으로 분류되거나, 중요도에 따른 대응이 가능하도록 우선순위에 따라 분류될 수 있다.
이러한 예가 도 5 내지 도 9에 도시되어 있다.
도 5는 정보의 종류에 따른 중요도 책정을 설명하기 위한 예시도이고, 도 6은 중요도 분석을 설명하기 위한 예시도이다. 또한 도 7은 취약수준 책정을 설명하기 위한 예시도이고, 도 8은 중요도와 취약수준 및 위험수준에 따른 위험도를 구분하는 예를 도시한 예시도이다. 그리고 도 9는 시나리오 판단을 위한 시나리오를 나타낸 예시도이다.
도 5 내지 도 9를 참조하면, 본 발명은 룰셋 분석 및 시나리오 분석을 통해 로그 이벤트 즉, 트래픽 데이터 중 보안관련 이슈를 가지는 트래픽의 발생을 감지하고, 이벤트에 대한 중요도 또는 위험도 분석을 수행하게 된다. 이를 통해 본 발 정보의 이동, 접근, 사용과 같은 특정 행위뿐 아니라, 이들의 연속적인 실행에 의해 위험도 또는 중요도를 분석하여 정확한 보안 이벤트를 감지하고, 위험도에 따른 적극적인 대처가 가능하게 한다.
이를 위해 도 5에서와 같이 각 정보에 대해 중요도를 부여하고 이를 통해 발생된 이벤트의 중요도를 산출하게 된다. 즉, 트래픽에 포함된 정보가 주민번호인 경우 5점, 사업자번호인 경우 3 점과 같이 정보의 급에 따른 점수를 선정하고, 이를 이용하여 이벤트의 중요도를 분석하게 된다.
구체적 전술한 도 4에서 1-9의 이벤트 중 2건의 중요 이벤트를 분석하는 경우, 2건의 중요 이벤트가 개인정보를 직접적으로 포함하고 있어 룰1(R1)과 룰2(R2)에 해당하는 사항일 수 있다. 이중 룰1(R1)에 적용되는 1-9의 이벤트는 '성명'이 트래픽에 포함되어 있고, 룰2(R2)에 적용되는 1-9의 이벤트는 '성명'과 '고객ID'가 포함되어 있는 경우이다. 이 경우 도 5의 중요도값을 적용하면 룰1(R1) 적용 이벤트는 중요도 값이 '4'가 되고 룰2(R2) 적용 이벤트는 중요도 값이 '8'이 된다. 마찬가지로, 도 4에서 분석이 필요한 9건을 분석하면 도 6에서와 같은 중요도를 확인할 수 있다.
특히, 여기에 취약분석을 적용하면 더욱 이벤트의 위험도를 판단하기 수월해진다. 구체적으로 도 7에서와 같이 보안솔루션별 정보 보호 취약도가 선정될 수 있다. 즉, e-DRM과 NAC의 경우 취약수준이 '상'이고, CDTS의 경우 취약수준이 '중'일 수 있다. 다시 말하면 보안수준이 낮은 솔루션하에서 특정 작업(룰1, 룰2에 적용되는 이벤트들)이 이루어졌다면, 솔루션의 보안수준에 따라 위험도가 높아질 수도 있고 낮아질 수도 있게 된다. 때문에 1-9의 이벤트 2건은 보안솔루션의 보안수준이 낮은 즉, 취약수준이 높은 것으로 간주될 수 있다.
그리고, 이를 중요도와 취약수준을 모두 고려하는 형태로 판단하면, 도 8과 같이 나타낼 수 있다. 1-9의 이벤트 두건에 대해 각각 적용하면, 룰1(R1)에 해당하는 1-9의 이벤트는 중요도합이 '4", 취약수준이 '3'으로 결정되어 7의 값을 가지면 비교적 낮은 단계의 위험수준을 가지는 것으로 판단할 수 있다.
반면, 1-9의 이벤트 중 룰2(R2)에 해당하는 이벤트는 중요도합이 '8' 취약수준이 '3'으로 결정되어 11의 위험도를 가질 수 있으며, 이로 인해 룰1(R1)의 이벤트에 비해 높은 위험도 단계를 부여받게 된다.
특히, 이러한 높은 위험도 분석이 수행되면, 이 중 위험수준 1단계를 부여받은 이벤트 룰3(R3), 룰4(R4), 룰5(R5), 룰8(R8) 및 룰9(R9)에 해당되는 이벤트는 시나리오 분석 대상으로 선정될 수 있다. 여기서, 더 낮은 위험도를 가지는 룰에 대해서는 시나리오 분석이 이루어질 수 있으나, 본 발명에서 설명의 편의를 위해 높은 위험도를 가지는 이벤트에 대해서만 시나리오 분석이 이루어지는 것으로 가정하여 설명하기로 한다. 또한, 중요도와 위험도 분석을 하지 않고, 전술한 도 3 및 도 4에서 룰에 적용되는 161건 또는 괄호 안의 9건에 대해서 바로 시나리오 분석을 적용할 수 있으나, 이로써 본 발명을 한정하는 것은 아니다.
한편, 본 발명에서는 시나리오 분석을 통해 더욱 정확한 위험도와 중요도 분석을 수행할 수 있다.
이러한 내용이 도 9에 도시되어 있다. 시나리오는 복수의 룰에 적용되는 일련의 과정을 검색하기 위한 룰 조합으로 이해될 수 있다. 룰셋의 경우 각각의 룰을 미리 정해진 기준에 따라 분류한 것이며, 트래픽에 포함된 데이터 또는 트래픽의 용도 또는 목적이 룰셋에 포함된 룰 중 어느 하나 이상을 충족하면 이벤트가 발생한 것으로 인식하게 된다. 때문에 룰 자체의 우선순위가 지정되지 않는 경우 룰셋의 룰만을 적용하면, 특정 트래픽이 어는 룰에 적용이 되는지 즉 이벤트가 발생했는지의 여부만 판단하게 된다. 따라서, 우선순위와 위험도를 판단하기 위해 전술한 것과 같이 중요도 분석과 위험도 분석을 통해 발생된 이벤트의 위험수준을 판단하게 된다.
이와는 달리 시나리오는 시나리오 셋에 포함되는 복수의 시나리오로 구성되며, 하나의 시나리오는 일련의 과정에 적용되는 복수의 룰로 구성된다. 예를들어 "개인정보가 포함된 메일을 보안솔루션이 설치되지 않은 미인가 단말을 통해 전송"과 같은 행위가 특정 사용자에 의해서 발생됐다고 가정하고 이를 통해 설명을 진행하기로 한다. 이때 미리 설정된 룰에 의해 위의 행위가 개인정보 포함, 보안솔루션 미설치, 미인가 단말, 정보가 포함된 메일의 발송과 같이 각각 개별적인 룰에 적용될 수 있다. 반면 시나리오에서는 이를 종합하여 판단하게 된다. 즉 도 9의 제1시나리오(s1)을 통해 판단을 하면, "보안솔루션 미설치 장가 개인정보 키워드가 포함된 정보를 메일을 통해 전송"한 것에 해당되어 위의 행위는 제1시나리오에 부합하는 행위가 된다고 판단할 수 있게 된다. 즉, '솔루션 설치자가 개인정보관련 키워드가 포함된 정보를 메일을 통해 전송한 경우' 는 제1시나리오에 부합하는 행위는 아니고, 룰셋의 룰이 적용될 수 있는 행위로 간주되어 관리 될 수 있다.
다시 말하면, 시나리오는 중요한 일련의 과정이 순차적으로 발생하거나, 순서에 상관없이 모두 발생하는 경우 매우 위험한 보안 위협이라 판단할 수 있는 룰을 조합하여 구성된 판단 근거이다. 그리고, 이러한 시나리오에 적용되는 일련의 과정이 진행되면 보안관리시스템은 이를 중요위험으로 인식하고, 미리 정해진 절차에 따른 대응 예를들어 관리자에 대한 긴급 통보, 상기 과정을 진행한 장비 또는 사용자의 접근 및 프로세스 차단과 같은 과정을 수행하게 된다.
아울러, 시나리오의 위험도는 전술한 취약 정도와 중요도에 의해 산출될 수 있으며, 이를 통해 복수의 시나리오가 위험도에 따라 분류될 수 있으나, 이로써 본 발명을 한정하는 것은 아니다.
한편, 도 10은 본 발명에 따른 보안관리 방법을 설명하기 위한 순서도이다.
도 10을 참조하면, 본 발명에 따른 보안관리 방법은 룰/시나리오 구성단계(S10), 트래픽 수집단계(S20), 데이터 추출 단계(S30), 데이터 정형화 단계(S40), 이벤트 판단 단계(50)를 포함하여 구성된다.
룰/시나리오 구성단계(S10)는 전술한 바와 같이 대상네트워크(90)의 보안 감시를 위한 구체적인 사항을 룰과 룰이 복수로 적용되는 시나리오로 구성하는 단계이다. 이 룰/시나리오 구성단계(S10)에서는 룰 및 시나리오가 복수로 구성되는 룰셋과 시나리오 셋이 구성되며, 위험도와 중요도의 구분을 위한 기준이 마련된다. 전술한 바와 같이 룰 및 시나리오 구성단계(S10)에서 설정되는 룰 및 시나리오는 트래픽에서 추출한 데이터가 보안 이슈를 가지는 이벤트인지 판단하기 위한 기준이 된다. 특히, 시나리오는 중요한 보안 이슈 즉, 이벤트의 연속성, 연계성, 동시성과 같은 특징에 의해 파악될 수 있도록 관련도가 높거나 함께 적용될 경우 높은 보안 위협으로 판단되는 복수의 룰을 그룹화하여 판단기준으로 생성한 것이다.
트래픽 수집단계(S20)는 대상네트워크(90)를 구성하는 각 장치에서 처리되거나, 각 장치를 경유하는 트래픽을 수집하는 단계이다. 이때 수집되는 트래픽은 메일, 메시지와 같이 텍스트, 동영상과 같은 데이터일 수도 있지만, 각종 로그, 장치간 접속 요청을 위한 절차에서 파생되는 데이터와 다양한 데이터가 수집된다. 특히, 트래픽 수집단계(S20)에서는 각 장치의 프로세싱 또는 트래픽 처리에 따라 작성되는 로그가 수집된다.
데이터 추출 단계(S30)는 트래픽 수집단계(S20)에서 수집된 트래픽 중 이벤트 판단을 위한 데이터를 추출하는 단계이다.
데이터 정형화 단계(S40)는 추출된 데이터를 미리 정해진 양식에 따라 정형화하는 단계이다. 이 데이터 정형화 단계(S40)에서는 기재된 내용이 서로 다른 각종 데이터를 룰 및 시나리오에 적용이 용이하도록 하나의 형식으로 통일하여 기재사항을 정리하는 단계이다. 즉, 로그, 메일, 메시지와 같이 각각 사용 목적 및 내용이 상이한 데이터를 정리하여 하나의 형태로 통일하여 데이터를 정리하게 되며, 이를 통해 정형화 데이터를 작성하게 된다.
이벤트 판단 단계(S50)는 전술한 도 1 및 도 9의 과정을 통해 정형화 데이터에 룰 및 시나리오를 적용하여 이벤트 발생을 판단하고, 발생된 이벤트의 중요도 또는 위험도에 따라 알람과 같은 댕을 수행하는 단계이다. 이를 위해 이벤트 판단 단계(S50)는 룰셋 데이터 작성단계(S51)와 시나리오 판단단계(S52)를 포함하여 구성된다.
룰셋 데이터 작성단계(S51)는 정형화 데이터에 룰을 적용하여 이벤트 발생으로 판단된 데이터를 해당 룰과 함께 취합하는 단계이다. 특히, 이 룰셋 데이터 작성단계(S51)에서 작성되는 룰셋 데이터에는 위험도와 중요도 판정이 이루어질 수 있으며, 이를 통해 주요 이벤트를 추출할 수 있다. 특히, 주요 이벤트의 경우 시나리오 판단의 대상이 될 수 있으나, 시나리오 판단은 굳이 주요 이벤트가 아닌 경우에도 적용이 가능하다.
시나리오 판단 단계(S52)는 룰셋 데이터에서 위험도 또는 중요도 또는 이들을 함께 적용한 등급이 높은 위험 또는 높은 중요도의 이벤트에 대해 좀 더 세빌한 판단을 수행하는 단계이다. 이를 위해 시나리오 판단 단계(S52)에서는 특정 룰에 적용되는 이벤트가 다른 룰에 적용되는 이벤트와 함께 발생할 때 보안 위험이 큰 이벤트에 대한 복수의 룰을 하나의 시나리오로 구성하고, 이러한 시나리오를 복수개 구성한 시나리오 셋에 의해 이벤트를 판단하는 단계이다.
더불어 시나리오 판단 단계(S52)에서도 하나의 시나리오를 구성하는 룰들의 위험도 또는 중요도를 취합하여 해당 시나리오를 충족하는 이벤트들의 위험 등급을 산출할 수 있으며, 위험 등급에 따라 적극적인 대처의 필요여부를 판단할 수 있다. 또한, 판단 결과에 따라 미리 정해진 절차에 따른 방재 처리를 수행하거나, 관리자에 대한 긴급 알람을 발생시켜 대처하는 과정이 포함될 수 있다.
이상에서 본 발명의 기술적 사상을 예시하기 위해 구체적인 실시 예로 도시하고 설명하였으나, 본 발명은 상기와 같이 구체적인 실시 예와 동일한 구성 및 작용에만 국한되지 않고, 여러가지 변형이 본 발명의 범위를 벗어나지 않는 한도 내에서 실시될 수 있다. 따라서, 그와 같은 변형도 본 발명의 범위에 속하는 것으로 간주해야 하며, 본 발명의 범위는 후술하는 특허청구범위에 의해 결정되어야 한다.
10 : 단말
20 : 호스트장치
30 : 방화벽
40 : 접속장치
50 : 인터넷
60 : 외부장치
90 : 대상네트워크
100 : 보안관리시스템
20 : 호스트장치
30 : 방화벽
40 : 접속장치
50 : 인터넷
60 : 외부장치
90 : 대상네트워크
100 : 보안관리시스템
Claims (14)
- 하나 이상의 단말 또는 하나 이상의 중계장치 또는 하나 이상의 접속장치를 포함하는 네트워크에서 유출되는 데이터의 트래픽을 수집하고, 상기 트래픽의 데이터를 추출하여, 상기 데이터가 미리 정해진 보안정보, 접속 프로세스, 데이터 처리 중 어느 하나 이상을 포함하는 이벤트에 해당하는지를 판단하고자 항목의 번호(NO), 적용되는 보안 솔루션, 룰 명칭과 상기 룰 명칭을 분석한 취약수준, 생명주기, 유출영역, 내용 및 목적을 포함한 미리 정해진 룰을 복수개로 선정하여 룰셋을 구성하고,
상기 룰셋에 포함된 복수의 룰을 조합하여 상기 데이터에 대한 위험 정도를 파악하는 시나리오 룰을 추출하며,
상기 데이터를 미리 정해진 양식에 따라 정형화하여 정형화데이터를 작성하고,
상기 정형화데이터에 조합된 상기 복수의 룰을 적용시켜 상기 이벤트의 발생을 판단하고, 상기 이벤트의 발생 여부 및 적용된 상기 복수의 룰이 기재된 룰셋 데이터를 작성하며,
상기 이벤트의 종류에 따라 미리 정해지는 위험도 및 중요도를 상기 룰셋 데이터에 적용할 경우,
상기 시나리오 룰을 이용하여 상기 룰셋 데이터를 재분석함으로써, 상기 룰셋 데이터의 이벤트를 상기 위험도 및 중요도에 따라 등급화하는 것을 특징으로 하는 보안관리 시스템. - 제 1 항에 있어서,
상기 시나리오 룰을 복수로 구성하는 것을 특징으로 하는 보안관리 시스템. - 제 1 항에 있어서,
상기 트래픽은
상기 네트워크를 구성하는 상기 단말 또는 상기 중계장치 또는 상기 접속장치에서 처리되거나 또는
상기 단말 또는 상기 중계장치 또는 상기 접속장치를 경유하는 데이터 트래픽인 것을 특징으로 하는 보안관리 시스템. - 삭제
- 삭제
- 삭제
- 제 1 항에 있어서,
복수의 이벤트가 하나의 상기 시나리오 룰을 구성하는 복수의 상기 룰에 모두 적용되는지 판단하는 것을 특징으로 하는 보안관리 시스템. - 룰 또는 상기 룰이 복수로 구성되는 시나리오를 구성하는 단계;
하나 이상의 단말 또는 하나 이상의 중계장치 또는 하나 이상의 접속장치를 포함하는 네트워크에서 유출되는 데이터의 트래픽을 수집하는 단계;
상기 트래픽의 데이터를 추출하는 단계; 및
상기 데이터가 미리 정해진 보안정보, 접속 프로세스, 데이터 처리 중 어느 하나 이상을 포함하는 이벤트에 해당하는지 판단하고자 항목의 번호(NO), 적용되는 보안 솔루션, 룰 명칭과 상기 룰 명칭을 분석한 취약수준, 생명주기, 유출영역, 내용 및 목적을 포함한 미리 정해진 룰을 복수개로 선정하여 룰셋을 구성하고,
상기 룰셋에 포함된 복수의 룰을 조합하여 상기 데이터에 대한 위험 정도를 파악하는 시나리오 룰을 추출하며, 추출된 상기 시나리오 룰에 의해 상기 이벤트를 판단하는 단계;를 포함하고,
상기 트래픽을 수집하는 단계 또는 상기 데이터를 추출하는 단계 또는 상기 판단하는 단계는, 상기 데이터를 미리 정해진 양식에 따라 정형화하여 정형화 데이터를 작성하는 단계;를 포함하며,
상기 판단하는 단계는
상기 정형화데이터에 상기 룰을 적용시켜 상기 이벤트의 발생을 판단하는 단계; 상기 이벤트의 발생 여부 및 상기 이벤트 판단에 적용된 상기 룰이 기재된 룰셋 데이터를 작성하는 단계; 및
상기 이벤트의 종류에 따라 미리 정해지는 위험도 및 중요도를 상기 룰셋 데이터에 적용할 경우, 상기 시나리오 룰을 이용하여 상기 룰셋 데이터를 재분석함으로써, 상기 룰셋 데이터의 이벤트를 상기 위험도 및 중요도에 따라 등급화하는 단계;
를 포함하여 구성되는 것을 특징으로 하는 보안 관리 방법. - 제 8 항에 있어서,
상기 시나리오 룰은 복수로 구성되는 것을 특징으로 하는 보안 관리 방법. - 제 8 항에 있어서,
상기 트래픽 수집 단계는
상기 네트워크를 구성하는 상기 단말 또는 상기 중계장치 또는 상기 접속장치에서 처리되거나 또는
상기 단말 또는 상기 중계장치 또는 상기 접속장치를 경유하는 트래픽을 수집하는 것을 특징으로 하는 보안 관리 방법. - 삭제
- 삭제
- 삭제
- 제 8 항에 있어서,
상기 판단하는 단계는
복수의 이벤트가 하나의 상기 시나리오 룰을 구성하는 복수의 상기 룰에 모두 적용되는지 판단하는 것을 특징으로 하는 보안 관리 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20140007063A KR101498647B1 (ko) | 2014-01-21 | 2014-01-21 | 보안관리 시스템 및 이를 이용한 보안 관리 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20140007063A KR101498647B1 (ko) | 2014-01-21 | 2014-01-21 | 보안관리 시스템 및 이를 이용한 보안 관리 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101498647B1 true KR101498647B1 (ko) | 2015-03-11 |
Family
ID=53026247
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR20140007063A KR101498647B1 (ko) | 2014-01-21 | 2014-01-21 | 보안관리 시스템 및 이를 이용한 보안 관리 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101498647B1 (ko) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20210084884A (ko) * | 2019-12-30 | 2021-07-08 | 주식회사 에이디티캡스 | IoT 기반 융합보안 관제 서비스 제공 방법 및 시스템 |
| CN114612011A (zh) * | 2022-04-20 | 2022-06-10 | 京东科技控股股份有限公司 | 一种风险防控决策方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20020075319A (ko) * | 2002-07-19 | 2002-10-04 | 주식회사 싸이버텍홀딩스 | 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템 |
| KR100466214B1 (ko) * | 2001-12-21 | 2005-01-14 | 한국전자통신연구원 | 가변적인 보안 상황을 반영하는 보안 등급 설정방법 및이를 위한 기록 매체 |
| KR20120038882A (ko) * | 2010-10-14 | 2012-04-24 | 한국전자통신연구원 | 네트워크 모니터링 시스템 및 방법, 네트워크 모니터링을 위한 보안이벤트 수집 장치 및 서비스 이상상황 탐지 장치 |
-
2014
- 2014-01-21 KR KR20140007063A patent/KR101498647B1/ko active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100466214B1 (ko) * | 2001-12-21 | 2005-01-14 | 한국전자통신연구원 | 가변적인 보안 상황을 반영하는 보안 등급 설정방법 및이를 위한 기록 매체 |
| KR20020075319A (ko) * | 2002-07-19 | 2002-10-04 | 주식회사 싸이버텍홀딩스 | 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템 |
| KR20120038882A (ko) * | 2010-10-14 | 2012-04-24 | 한국전자통신연구원 | 네트워크 모니터링 시스템 및 방법, 네트워크 모니터링을 위한 보안이벤트 수집 장치 및 서비스 이상상황 탐지 장치 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20210084884A (ko) * | 2019-12-30 | 2021-07-08 | 주식회사 에이디티캡스 | IoT 기반 융합보안 관제 서비스 제공 방법 및 시스템 |
| KR102286719B1 (ko) * | 2019-12-30 | 2021-08-05 | 주식회사 에이디티캡스 | IoT 기반 융합보안 관제 서비스 제공 방법 및 시스템 |
| CN114612011A (zh) * | 2022-04-20 | 2022-06-10 | 京东科技控股股份有限公司 | 一种风险防控决策方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12047396B2 (en) | System and method for monitoring security attack chains | |
| Burger et al. | Taxonomy model for cyber threat intelligence information exchange technologies | |
| KR101689299B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| KR101327317B1 (ko) | Sap 응용 트래픽 분석 및 모니터링 장치 및 방법, 이를 이용한 정보 보호 시스템 | |
| US9791998B2 (en) | System, method, and computer program product for managing a plurality of applications via a single interface | |
| US8504681B1 (en) | Method, system, and storage medium for adaptive monitoring and filtering traffic to and from social networking sites | |
| Ahmed et al. | Securing business processes using security risk-oriented patterns | |
| KR20190028076A (ko) | 공격자 가시화 방법 및 장치 | |
| KR101768079B1 (ko) | 침입탐지 오탐 개선을 위한 시스템 및 방법 | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
| Lee et al. | A study on efficient log visualization using d3 component against apt: How to visualize security logs efficiently? | |
| Fry et al. | Security Monitoring: Proven Methods for Incident Detection on Enterprise Networks | |
| KR101498647B1 (ko) | 보안관리 시스템 및 이를 이용한 보안 관리 방법 | |
| KR101201629B1 (ko) | 멀티테넌시 환경에서 테넌트 별 보안 관제를 위한 클라우드 컴퓨팅 시스템 및 그 방법 | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| Friedberg et al. | Cyber situational awareness through network anomaly detection: state of the art and new approaches. | |
| KR101767591B1 (ko) | 침입탐지 오탐 개선을 위한 시스템 및 방법 | |
| EP2911362B1 (en) | Method and system for detecting intrusion in networks and systems based on business-process specification | |
| Dorigo | Security information and event management | |
| KR101551537B1 (ko) | 정보유출방지장치 | |
| CN111030997A (zh) | 内外网流量监控及过滤方法、装置、电子设备及存储介质 | |
| JP2006295232A (ja) | セキュリティ監視装置、セキュリティ監視方法、及びプログラム | |
| KR20170015178A (ko) | 소스 코드를 분석하여 보안 취약점과 웹쉘을 탐지하는 웹 서버 보안 시스템 및 그 방법 | |
| KR101044291B1 (ko) | 실시간 웹페이지 위변조 탐지 및 복구시스템 | |
| CN118214607B (zh) | 基于大数据的安全评价管理方法、系统、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| AMND | Amendment | ||
| E601 | Decision to refuse application | ||
| AMND | Amendment | ||
| X701 | Decision to grant (after re-examination) | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20180208 Year of fee payment: 4 |