KR101499116B1 - Method for discriminating securty events, and apparatus applied to the same - Google Patents
Method for discriminating securty events, and apparatus applied to the same Download PDFInfo
- Publication number
- KR101499116B1 KR101499116B1 KR20130146603A KR20130146603A KR101499116B1 KR 101499116 B1 KR101499116 B1 KR 101499116B1 KR 20130146603 A KR20130146603 A KR 20130146603A KR 20130146603 A KR20130146603 A KR 20130146603A KR 101499116 B1 KR101499116 B1 KR 101499116B1
- Authority
- KR
- South Korea
- Prior art keywords
- traffic
- destination
- plane
- coordinates
- port
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
- H04L43/045—Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
Abstract
Description
본 발명은 대상기관과 관련하여 수집되는 네트워크 트래픽으로부터 상기 대상기관을 목적지로 하여 수신되는 수신트래픽 및 상기 대상기관을 출발지로 하여 전송되는 전송트래픽을 식별하여 3차원 공간상에 가시화하여 표시함으로써, 수신트래픽 및 전송트래픽이 3차원 공간상에서 표시되고 있는 형태로부터 보안이벤트를 효과적으로 판별하기 위한 방안에 관한 것이다.The present invention identifies received traffic received from the network traffic collected in relation to a target organization and destination traffic received from the target organization and transmission traffic transmitted from the target organization, and visually displays the received traffic in a three- The present invention relates to a method for effectively discriminating security events from a form in which traffic and transmission traffic are displayed on a three-dimensional space.
급변하는 사이버 위협상황에서 이에 대한 신속하고도 정확한 보안관제 및 침해대응을 수행하기 위해서는, 침해위협정보에 대한 효과적인 관제 및 대응이 요구된다.Effective control and countermeasures against infringement threat information are required in order to perform prompt and accurate security control and countermeasures in response to rapidly changing cyber threat situations.
이를 위한, 침해위협분석시스템(TMS: Threat Management System)의 경우, 관제하고자 하는 대상기관의 네트워크 단에 센서를 설치하여 네트워크 트래픽을 수집하고, 수집된 네트워크 트래픽으로부터 보안이벤트를 실시간으로 관제할 수 있는 사용자 인터페이스를 제공하는 것이 일반적이다.For this purpose, in the case of the Threat Management System (TMS), a sensor is installed at the network side of the target organization to collect network traffic, and the security event can be controlled in real time from the collected network traffic It is common to provide a user interface.
이처럼, 침해위협분석시스템에서 관제할 수 있는 보안이벤트의 경우, 관제하는 대상기관이 증가할수록, 또한 인터넷의 사용 증가에 따른 사이버 위협이 증가할수록 큰 폭으로 증가하는 추세이다.In this way, the security events that can be controlled by the intrusion threat analysis system are increasing as the number of institutions to be controlled and the cyber threats caused by the increase of the Internet usage increase.
헌데, 전술한 침해위협분석시스템에서 제공하는 사용자 인터페이스의 경우 텍스트(Text) 기반으로서 제공되게 되며, 이에, 방대한 분량의 보안이벤트에 대한 직관적 분석이 어렵고, 뿐만 아니라 관제요원의 과중한 업무 부하를 초래한다는 문제점이 존재하게 된다.However, the user interface provided by the above-described infringement threat analysis system is provided as a text based, which makes it difficult to intuitively analyze an enormous amount of security events, and also causes a heavy workload of the control personnel Problems exist.
본 발명은 상기한 사정을 감안하여 창출된 것으로서, 본 발명에서 도달하고자 하는 목적은, 대상기관과 관련하여 수집되는 네트워크 트래픽으로부터 상기 대상기관을 목적지로 하여 수신되는 수신트래픽 및 상기 대상기관을 출발지로 하여 전송되는 전송트래픽을 식별하여 3차원 공간상에 가시화하여 표시하고, 수신트래픽 및 전송트래픽이 3차원 공간상에 표시되고 있는 형태로부터 보안이벤트를 판별함으로써, 대량으로 발생하는 사이버 위협을 신속하고도 정확하게 파악할 수 있도록 하는데 있다.SUMMARY OF THE INVENTION The present invention has been made in view of the above circumstances, and an object to be achieved by the present invention is to provide a method and apparatus for receiving traffic from a network traffic collected in association with a target organization, And identifies the security events from the form in which the received traffic and the transmitted traffic are displayed on the three-dimensional space. Thus, cyber threats occurring in a large amount can be rapidly So that they can grasp accurately.
상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 보안이벤트판별장치는, 대상기관과 관련하여 수집되는 네트워크 트래픽으로부터 상기 대상기관을 목적지로 하여 수신되는 수신트래픽 및 상기 대상기관을 출발지로 하여 전송되는 전송트래픽을 식별하는 식별부; 상기 수신트래픽과 상기 전송트래픽 모두를 3차원 공간상에 가시화하여 표시하는 표시부; 및 상기 3차원 공간상에 표시되고 있는 상기 수신트래픽 및 상기 전송트래픽 중 적어도 하나로부터 상기 대상기관과 관련하여 발생하고 있는 보안이벤트를 판별하는 판별부를 포함하는 것을 특징으로 한다.According to a first aspect of the present invention, there is provided a security event determination apparatus comprising: a reception traffic receiving unit configured to receive, from a network traffic collected in association with a target organization, An identification unit for identifying transmission traffic to be transmitted; A display unit for visualizing both the received traffic and the transmission traffic in a three-dimensional space and displaying the three-dimensional space; And a determination unit for determining a security event occurring in relation to the target organization from at least one of the reception traffic and the transmission traffic displayed on the three-dimensional space.
보다 구체적으로, 상기 3차원 공간에는, 수평면을 형성하는 X축 Y축, 및 상기 수평면에 대하여 수직면을 형성하는 Z축으로 이루어진 직각 좌표계에서, 동일한 모양과 크기를 갖는 제1직각육면체 및 제2직각육면체가 상기 X축 방향으로 서로의 수직면이 인접하도록 연속하여 위치하며, 상기 표시부는, 상기 3차원 공간에서 서로의 수직면이 인접하도록 위치하고 있는 상기 제1직각육면체 및 상기 제2직각육면체 상에서 상기 수신트래픽과 상기 전송트래픽 모두를 가시화하여 표시하는 것을 특징으로 한다.More specifically, in the three-dimensional space, in a rectangular coordinate system consisting of an X-axis Y-axis forming a horizontal plane and a Z-axis forming a vertical plane with respect to the horizontal plane, the first rectangular hexahedron having the same shape and size, Wherein the display unit is configured to continuously display the received traffic on the first rectangular hexahedron and the second rectangular hexahedron where the vertical surfaces of the cubes are adjacent to each other in the three- And the transmission traffic are visualized and displayed.
보다 구체적으로, 상기 제1직각육면체 및 상기 제2직각육면체 상에는, 상기 대상기관에 해당하는 대상기관평면, 상기 수신트래픽의 출발지에 해당하는 공격지평면, 및 상기 전송트래픽의 목적지에 해당하는 피해지평면 중 적어도 하나가 지정되며, 상기 표시부는, 상기 제1직각육면체와 상기 제2직각육면체가 서로 인접하고 있는 수직평면을 상기 대상기관평면으로서 지정하고, 상기 제1직각육면체에서 상기 대상기관평면으로 지정된 수직평면의 맞은편에 위치하는 수직평면을 상기 공격지평면으로서 지정하며, 상기 제2직각육면체에서 상기 대상기관평면으로 지정된 수직평면의 맞은편에 위치하는 수직평면을 상기 피해지평면으로서 지정하여 상기 수신트래픽과 상기 전송트래픽 모두를 가시화하여 표시하는 것을 특징으로 한다.More specifically, on the first right-angle hexahedron and the second right-angled hexahedron, a target engine plane corresponding to the target organization, an attack terrain plane corresponding to a source of the received traffic, and a damaged ground plane corresponding to a destination of the transmission traffic And the display unit designates a vertical plane in which the first rectangular hexahedron and the second rectangular hexahedron are adjacent to each other as the target engine plane, and the vertical plane designated by the target organ plane at the first rectangular hexahedron Designating a vertical plane located on the opposite side of the plane as the attack horizon plane and designating a vertical plane located opposite to the vertical plane designated as the target engine plane in the second rectangular hexahedron as the damaged horizon plane, And displays all of the transmission traffic in a visualized form.
보다 구체적으로, 상기 대상기관이 2 이상인 경우, 상기 표시부는, 상기 대상기관평면을 상기 2 이상의 대상기관의 개수에 대응하는 직각셀(Cell)로서 분할하여, 상기 분할된 직각셀 각각에 대하여 상기 수신트래픽과 상기 전송트래픽 모두를 가시화하여 표시하는 것을 특징으로 한다.More specifically, when the target organ number is two or more, the display unit divides the target engine plane into rectangular cells (Cells) corresponding to the number of the two or more target organs, Both the traffic and the transmission traffic are visualized and displayed.
보다 구체적으로, 상기 수신트래픽 및 상기 전송트래픽 각각에는, 출발지 주소(IP), 출발지 포트(Port), 목적지 주소, 및 목적지 포트가 포함되며, 상기 표시부는, 상기 수신트래픽의 출발지 주소 및 출발지 포트의 경우 상기 공격지평면 상의 좌표로서 가시화하여 표시하며, 또한 상기 수신트래픽의 목적지 주소 및 목적지 포트, 내지는 상기 전송트래픽의 출발지 주소 및 출발지 포트의 경우, 상기 대상기관평면 상의 좌표로서 가시화하여 표시하며, 아울러 상기 전송트래픽의 목적지 주소 및 목적지 포트의 경우, 상기 피해지평면 상의 좌표로서 가시화하여 표시하는 것을 특징으로 한다.More specifically, each of the reception traffic and the transmission traffic includes a source address (IP), a source port, a destination address, and a destination port, and the display unit displays the source address and the source port The destination address and the destination port of the received traffic or the source port and the source port of the transmission traffic are visualized and displayed as coordinates on the target engine plane, In the case of the destination address and the destination port of the transmission traffic, visualized as coordinates on the damaged ground plane and displayed.
보다 구체적으로, 상기 표시부는, 상기 공격지평면에서의 상기 Y축을 상기 수신트래픽의 출발지 주소의 좌표로서 가시화하여 표시하고, 상기 공격지평면에서의 상기 Z축을 상기 수신트래픽의 출발지 포트의 좌표로서 가시화하여 표시하며, 또한 상기 대상기관평면에서의 상기 Y축을 상기 수신트래픽의 목적지 주소 또는 상기 전송트래픽의 출발지 주소의 좌표로서 가시화하여 표시하고, 상기 대상기관평면에서의 상기 Z축을 상기 수신트래픽에서의 목적지 포트 또는 상기 전송트래픽에서의 출발지 포트의 좌표로서 가시화하여 표시하며, 아울러 상기 피해지평면에서의 상기 Y축을 상기 전송트래픽의 목적지 주소의 좌표로서 가시화하여 표시하고, 상기 피해지평면에서의 상기 Z축을 상기 전송트래픽의 출발지 포트의 좌표로서 가시화하여 표시하는 것을 특징으로 한다.More specifically, the display unit displays the Y axis on the attacking horizon plane as coordinates of a source address of the received traffic, displays the Z axis on the attack horizon plane as coordinates of a source port of the received traffic, And visually displaying the Y axis in the target organ plane as coordinates of a destination address of the received traffic or a source address of the transmission traffic and displaying the Z axis in the target organ plane as a destination port Visualizing the Y axis as a coordinate of a source port in the transmission traffic and displaying the Y axis on the damaged ground plane as coordinates of a destination address of the transmission traffic and displaying the Z axis on the damaged ground plane as a coordinate Displayed as coordinates of the source port and visualized It characterized.
보다 구체적으로, 상기 표시부는, 상기 수신트래픽의 출발지 주소 및 출발지 포트에 해당하는 상기 공격지평면 상의 좌표와, 상기 수신트래픽의 목적지 주소 및 출발지 포트에 해당하는 상기 대상기관평면상의 좌표 상호 간을 연결하는 직선으로서 상기 수신트래픽을 가시화하여 표시하며, 또한 상기 전송트래픽의 출발지 주소 및 출발지 포트에 해당하는 상기 대상기관평면 상의 좌표와, 상기 전송트래픽의 목적지 주소 및 출발지 포트에 해당하는 상기 피해지평면 상의 좌표 상호 간을 연결하는 직선으로서 상기 전송트래픽을 가시화하여 표시하는 것을 특징으로 한다.More specifically, the display unit connects the coordinates on the attack surface plane corresponding to the source address and the source port of the received traffic, and the coordinates on the target engine plane corresponding to the destination address and the source port of the received traffic The coordinates of the target engine plane corresponding to the source address and the source port of the transmission traffic and the coordinates of the coordinates on the damaged ground plane corresponding to the destination address and the source port of the transmission traffic, Wherein the transmission traffic is visualized as a straight line connecting the traffic.
보다 구체적으로, 상기 보안이벤트는, 상기 수신트래픽 및 상기 전송트래픽 각각의 목적지 주소 또는 목적지 포트를 기초로 판별되며, 상기 판별부는, 상기 수신트래픽 및 상기 전송트래픽 각각에서 동일한 출발지 주소 및 출발지 포트에 해당하는 하나의 좌표와, 목적지 포트는 동일하되 서로 상이한 목적지 주소에 해당하는 설정 개수 이상의 좌표들을 연결하는 직선들이 표시되거나, 내지는, 동일한 출발지 주소 및 출발지 포트에 해당하는 하나의 좌표와, 목적지 주소는 동일하되 서로 상이한 목적지 포트에 해당하는 설정 개수 이상의 좌표들을 연결하는 직선들이 표시되는 경우를 상기 보안이벤트로서 판별하는 것을 특징으로 한다.More specifically, the security event is discriminated on the basis of a destination address or a destination port of each of the reception traffic and the transmission traffic, and the determination unit determines whether or not the security event corresponds to the same source address and source port in each of the reception traffic and the transmission traffic And the coordinates of the destination port are the same, but the lines connecting the coordinates more than the set number corresponding to the different destination addresses are displayed, or one coordinate corresponding to the same source address and origin port and the destination address are the same And a line connecting the coordinates of the set number or more corresponding to the different destination ports is displayed as the security event.
보다 구체적으로, 상기 보안이벤트는, 상기 수신트래픽 및 상기 전송트래픽 각각의 출발지 포트를 기초로 판별되며, 상기 판별부는, 상기 수신트래픽 및 상기 전송트래픽 각각에서 출발지 주소는 동일하되 서로 상이한 출발지 포트에 해당하는 설정 개수 이상의 좌표들과, 동일한 목적지 주소 및 목적지 포트에 해당하는 하나의 좌표를 연결하는 직선들이 표시되는 경우를 상기 보안이벤트로서 판별하는 것을 특징으로 한다.More specifically, the security event is discriminated on the basis of a source port of each of the received traffic and the transmission traffic, and the determining unit determines that the source traffic is the same as the source port of the received traffic and the source traffic, And a line connecting one coordinate corresponding to the same destination address and the destination port are displayed as the security event.
보다 구체적으로, 상기 보안이벤트는, 상기 전송트래픽의 목적지 주소, 및 목적지 포트를 기초로 판별되며, 상기 판별부는, 상기 수신트래픽이 존재하지 않은 상태에서, 상기 전송트래픽의 목적지 주소 및 목적지 포트가 기 설정된 특정 대상기관에 해당하는 경우를 상기 보안이벤트로서 판별하는 것을 특징으로 한다.More specifically, the security event is determined on the basis of a destination address and a destination port of the transmission traffic, and the determination unit determines that the destination address and the destination port of the transmission traffic do not exist And determines a case corresponding to a specified target organization as the security event.
상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 보안이벤트판별장치의 동작 방법은, 대상기관과 관련하여 수집되는 네트워크 트래픽으로부터 상기 대상기관을 목적지로 하여 수신되는 수신트래픽 및 상기 대상기관을 출발지로 하여 전송되는 전송트래픽을 식별하는 식별단계; 상기 수신트래픽과 상기 전송트래픽 모두를 3차원 공간상에 가시화하여 표시하는 표시단계; 및 상기 3차원 공간상에 표시되고 있는 상기 수신트래픽 및 상기 전송트래픽 중 적어도 하나로부터 상기 대상기관과 관련하여 발생하고 있는 보안이벤트를 판별하는 판별단계를 포함하는 것을 특징으로 한다.According to a second aspect of the present invention, there is provided an operation method of a security event determination apparatus, comprising: receiving traffic received from a network traffic collected in association with a target organization with the target organization as a destination; An identification step of identifying a transmission traffic to be transmitted; A display step of visually displaying both the received traffic and the transmission traffic in a three-dimensional space; And a determination step of determining a security event occurring in relation to the target organization from at least one of the reception traffic and the transmission traffic displayed on the three-dimensional space.
보다 구체적으로, 상기 3차원 공간에는, 수평면을 형성하는 X축 Y축, 및 상기 수평면에 대하여 수직면을 형성하는 Z축으로 이루어진 직각 좌표계에서, 동일한 모양과 크기를 갖는 제1직각육면체 및 제2직각육면체가 상기 X축 방향으로 서로의 수직면이 인접하도록 연속하여 위치하며, 상기 표시단계는, 상기 3차원 공간에서 서로의 수직면이 인접하도록 위치하고 있는 상기 제1직각육면체 및 상기 제2직각육면체 상에서 상기 수신트래픽과 상기 전송트래픽 모두를 가시화하여 표시하는 것을 특징으로 한다.More specifically, in the three-dimensional space, in a rectangular coordinate system consisting of an X-axis Y-axis forming a horizontal plane and a Z-axis forming a vertical plane with respect to the horizontal plane, the first rectangular hexahedron having the same shape and size, Wherein the display step includes a step of displaying the first rectangular hexahedron and the second rectangular hexahedron which are located such that the vertical surfaces of the cubes are adjacent to each other in the three- Both the traffic and the transmission traffic are visualized and displayed.
보다 구체적으로, 상기 제1직각육면체 및 상기 제2직각육면체 상에는, 상기 대상기관에 해당하는 대상기관평면, 상기 수신트래픽의 출발지에 해당하는 공격지평면, 및 상기 전송트래픽의 목적지에 해당하는 피해지평면 중 적어도 하나가 지정되며, 상기 표시단계는, 상기 제1직각육면체와 상기 제2직각육면체가 서로 인접하고 있는 수직평면을 상기 대상기관평면으로서 지정하고, 또한 상기 제1직각육면체에서 상기 대상기관평면으로 지정된 수직평면의 맞은편에 위치하는 수직평면을 상기 공격지평면으로서 지정하며, 아울러 상기 제2직각육면체에서 상기 대상기관평면으로 지정된 수직평면의 맞은편에 위치하는 수직평면을 상기 피해지평면으로서 지정하여 상기 수신트래픽과 상기 전송트래픽 모두를 가시화하여 표시하는 것을 특징으로 한다.More specifically, on the first right-angle hexahedron and the second right-angled hexahedron, a target engine plane corresponding to the target organization, an attack terrain plane corresponding to a source of the received traffic, and a damaged ground plane corresponding to a destination of the transmission traffic Wherein at least one of the first rectangular hexahedron and the second rectangular hexahedron is specified as the target engine plane and a vertical plane in which the first rectangular hexahedron and the second rectangular hexahedron are adjacent to each other is designated as the target engine plane, Designating a vertical plane located on the opposite side of the specified vertical plane as the attacking horizon plane and designating a vertical plane located on the opposite side of the vertical plane designated as the target engine plane in the second rectangular hexahedron as the damaged horizon plane, Both the received traffic and the transmitted traffic are visualized and displayed.
보다 구체적으로, 상기 대상기관이 2 이상인 경우, 상기 표시단계는, 상기 대상기관평면을 상기 2 이상의 대상기관의 개수에 대응하는 직각셀(Cell)로서 분할하여, 상기 분할된 직각셀 각각에 대하여 상기 수신트래픽과 상기 전송트래픽 모두를 가시화하여 표시하는 것을 특징으로 한다.More specifically, when the target organ number is two or more, the displaying step divides the target organ plane as a rectangular cell corresponding to the number of the two or more target organs, Both the received traffic and the transmitted traffic are visualized and displayed.
보다 구체적으로, 상기 수신트래픽 및 상기 전송트래픽 각각에는, 출발지 주소(IP), 출발지 포트(Port), 목적지 주소, 및 목적지 포트가 포함되며, 상기 표시단계는, 상기 수신트래픽의 출발지 주소 및 출발지 포트의 경우 상기 공격지평면 상의 좌표로서 가시화하여 표시하며, 또한 상기 수신트래픽의 목적지 주소 및 목적지 포트, 내지는 상기 전송트래픽의 출발지 주소 및 출발지 포트의 경우, 상기 대상기관평면 상의 좌표로서 가시화하여 표시하며, 아울러 상기 전송트래픽의 목적지 주소 및 목적지 포트의 경우, 상기 피해지평면 상의 좌표로서 가시화하여 표시하는 것을 특징으로 한다.More specifically, each of the reception traffic and the transmission traffic includes a source address (IP), a source port, a destination address, and a destination port, and the displaying step includes: The destination address and the destination port of the received traffic or the source address and the source port of the transmission traffic are visualized and displayed as coordinates on the target engine plane, The destination address and the destination port of the transmission traffic are displayed as coordinates on the damaged floor plane and displayed.
보다 구체적으로, 상기 표시단계는, 상기 공격지평면에서의 상기 Y축을 상기 수신트래픽의 출발지 주소의 좌표로서 가시화하여 표시하고, 상기 공격지평면에서의 상기 Z축을 상기 수신트래픽의 출발지 포트의 좌표로서 가시화하여 표시하며, 또한 상기 대상기관평면에서의 상기 Y축을 상기 수신트래픽의 목적지 주소 또는 상기 전송트래픽의 출발지 주소의 좌표로서 가시화하여 표시하고, 상기 대상기관평면에서의 상기 Z축을 상기 수신트래픽에서의 목적지 포트 또는 상기 전송트래픽에서의 출발지 포트의 좌표로서 가시화하여 표시하며, 아울러 상기 피해지평면에서의 상기 Y축을 상기 전송트래픽의 목적지 주소의 좌표로서 가시화하여 표시하고, 상기 피해지평면에서의 상기 Z축을 상기 전송트래픽의 출발지 포트의 좌표로서 가시화하여 표시하는 것을 특징으로 한다.More specifically, the displaying includes visualizing and displaying the Y-axis on the attack plane as coordinates of a source address of the received traffic, and visualizing the Z-axis on the attack plane as coordinates of a source port of the received traffic And displays the Y axis in the target organ plane as coordinates of a destination address of the received traffic or a source address of the transmission traffic and displays the Z axis in the target engine plane in a destination port Or visualized as coordinates of a source port in the transmission traffic and displays the Y axis at the damaged ground plane as coordinates of a destination address of the transmission traffic and displays the Z axis at the damaged ground plane in the transmission traffic As the coordinates of the source port The features.
보다 구체적으로, 상기 표시단계는, 상기 수신트래픽의 출발지 주소 및 출발지 포트에 해당하는 상기 공격지평면 상의 좌표와, 상기 수신트래픽의 목적지 주소 및 출발지 포트에 해당하는 상기 대상기관평면상의 좌표 상호 간을 연결하는 직선으로서 상기 수신트래픽을 가시화하여 표시하며, 또한 상기 전송트래픽의 출발지 주소 및 출발지 포트에 해당하는 상기 대상기관평면 상의 좌표와, 상기 전송트래픽의 목적지 주소 및 출발지 포트에 해당하는 상기 피해지평면 상의 좌표 상호 간을 연결하는 직선으로서 상기 전송트래픽을 가시화하여 표시하는 것을 특징으로 한다.More specifically, the displaying step may include connecting the coordinates on the attack surface plane corresponding to the source address and the source port of the received traffic and the coordinates on the target engine plane corresponding to the destination address and the source port of the received traffic, The coordinates of the target engine plane corresponding to the source address and the source port of the transmission traffic and the coordinates on the destination ground plane corresponding to the destination address and the source port of the transmission traffic, And visualizing the transmission traffic as a straight line connecting the two.
보다 구체적으로, 상기 보안이벤트는, 상기 수신트래픽 및 상기 전송트래픽 각각의 목적지 주소 또는 목적지 포트를 기초로 판별되며, 상기 판별단계는, 상기 수신트래픽 및 상기 전송트래픽 각각에서 동일한 출발지 주소 및 출발지 포트에 해당하는 하나의 좌표와, 목적지 포트는 동일하되 서로 상이한 목적지 주소에 해당하는 설정 개수 이상의 좌표들을 연결하는 직선들이 표시되거나, 내지는, 동일한 출발지 주소 및 출발지 포트에 해당하는 하나의 좌표와, 목적지 주소는 동일하되 서로 상이한 목적지 포트에 해당하는 설정 개수 이상의 좌표들을 연결하는 직선들이 표시되는 경우를 상기 보안이벤트로서 판별하는 것을 특징으로 한다.More specifically, the security event is discriminated on the basis of a destination address or a destination port of each of the received traffic and the transmitted traffic, and the discriminating step discriminates, based on the received traffic and the transmitted traffic, One coordinate corresponding to the destination port is displayed, and straight lines connecting the coordinates of the same number with the destination address different from the destination port are displayed, or one coordinate corresponding to the same origin address and the origin port, and the destination address And determines as the security event that the lines connecting the coordinates of the same number of the same port but different from each other are displayed.
보다 구체적으로, 상기 보안이벤트는, 상기 수신트래픽 및 상기 전송트래픽 각각의 출발지 포트를 기초로 판별되며, 상기 판별단계는, 상기 수신트래픽 및 상기 전송트래픽 각각에서 출발지 주소는 동일하되 서로 상이한 출발지 포트에 해당하는 설정 개수 이상의 좌표들과, 동일한 목적지 주소 및 목적지 포트에 해당하는 하나의 좌표를 연결하는 직선들이 표시되는 경우를 상기 보안이벤트로서 판별하는 것을 특징으로 한다.More specifically, the security event is discriminated on the basis of a source port of each of the received traffic and the transmission traffic, and the determining step determines that the received traffic and the transmitted traffic have the same source address, As the security event, a case in which straight lines connecting coordinates having a number equal to or greater than the corresponding set number and one coordinate corresponding to the same destination address and destination port are displayed.
보다 구체적으로, 상기 보안이벤트는, 상기 전송트래픽의 목적지 주소, 및 목적지 포트를 기초로 판별되며, 상기 판별단계는, 상기 수신트래픽이 존재하지 않은 상태에서, 상기 전송트래픽의 목적지 주소 및 목적지 포트가 기 설정된 특정 대상기관에 해당하는 경우를 상기 보안이벤트로서 판별하는 것을 특징으로 한다.More specifically, the security event is determined on the basis of a destination address of the transmission traffic and a destination port, and the determining step determines that the destination address and the destination port of the transmission traffic do not exist And determines a case corresponding to a predetermined target organization as the security event.
상기 목적을 달성하기 위한 본 발명의 제 3 관점에 따른 컴퓨터 판독 가능 기록매체는, 대상기관과 관련하여 수집되는 네트워크 트래픽으로부터 상기 대상기관을 목적지로 하여 수신되는 수신트래픽 및 상기 대상기관을 출발지로 하여 전송되는 전송트래픽을 식별하는 식별단계; 상기 수신트래픽과 상기 전송트래픽 모두를 3차원 공간상에 가시화하여 표시하는 표시단계; 및 상기 3차원 공간상에 표시되고 있는 상기 수신트래픽 및 상기 전송트래픽 중 적어도 하나로부터 상기 대상기관과 관련하여 발생하고 있는 보안이벤트를 판별하는 판별단계를 수행하기 위한 명령들을 포함하는 것을 특징으로 한다.According to a third aspect of the present invention, there is provided a computer-readable recording medium having stored thereon a program for causing a computer to function as: receiving traffic received from a network traffic collected in association with a target organization, An identification step of identifying transmission traffic to be transmitted; A display step of visually displaying both the received traffic and the transmission traffic in a three-dimensional space; And a discrimination step of discriminating a security event occurring in relation to the target organization from at least one of the reception traffic and the transmission traffic being displayed on the three-dimensional space.
이에, 본 발명의 보안이벤트 판별 방법 및 이에 적용되는 장치에 의하면, 대상기관과 관련하여 수집되는 네트워크 트래픽으로부터 상기 대상기관을 목적지로 하여 수신되는 수신트래픽 및 상기 대상기관을 출발지로 하여 전송되는 전송트래픽을 식별하여 3차원 공간상에 가시화하여 표시하고, 수신트래픽 및 전송트래픽이 3차원 공간상에 표시되고 있는 형태로부터 보안이벤트를 판별함으로써, 대량으로 발생하는 사이버 위협을 신속하고도 정확하게 파악할 수 있다.According to the security event determination method and the apparatus to which the present invention is applied, the reception traffic received from the target organization as the destination from the network traffic collected in relation to the target organization, and the transmission traffic It is possible to quickly and accurately grasp cyber threats that occur in large quantities by identifying and displaying them on a three-dimensional space and displaying them, and discriminating security events from a form in which received traffic and transmission traffic are displayed on the three-dimensional space.
도 1은 본 발명의 일 실시예에 따른 보안이벤트판별장치의 개략적인 구성도.
도 2 및 3은 본 발명의 일 실시예에 따른 수신트래픽 및 전송트래픽이 3차원 공간상에 가시화하여 표시되는 형태를 설명하기 위한 도면.
도 4 및 도 5는 본 발명의 일 실시예에 따른 3차원 공간상에 표시되고 있는 수신트래픽 및 전송트래픽으로부터 판별되는 보안이벤트의 종류를 설명하기 위한 도면.
도 6은 본 발명의 일 실시예에 따른 보안이벤트판별장치에서의 동작 흐름을 설명하기 위한 순서도.1 is a schematic configuration diagram of a security event discrimination apparatus according to an embodiment of the present invention;
FIGS. 2 and 3 are diagrams for explaining a mode in which received traffic and transmission traffic are visualized and displayed in a three-dimensional space according to an embodiment of the present invention; FIG.
FIG. 4 and FIG. 5 illustrate types of security events identified from received traffic and transmission traffic displayed on a three-dimensional space according to an embodiment of the present invention; FIG.
FIG. 6 is a flowchart illustrating an operation flow in the security event determination device according to an embodiment of the present invention; FIG.
이하, 첨부된 도면을 참조하여 본 발명의 일 실시예에 대하여 설명한다.Hereinafter, an embodiment of the present invention will be described with reference to the accompanying drawings.
도 1은 본 발명의 일 실시예에 따른 보안이벤트판별장치를 도시한 도면이다.1 is a block diagram illustrating a security event determination apparatus according to an embodiment of the present invention.
도 1에 도시된 바와 같이, 본 발명의 일 실시예에 따른 보안이벤트판별장치는 실시간 관제가 요구되는 대상기관과 관련하여 수집되는 네트워크 트래픽으로부터 수신트래픽 및 전송트래픽을 식별하는 식별부(100), 식별된 수신트래픽 및 전송트래픽을 3차원 공간상에 가시화하여 표시하는 표시부(200), 및 3차원 공간상에 표시되고 있는 수신트래픽 및 전송트래픽으로부터 보안이벤트를 판별하는 판별부(300)를 포함하는 구성을 갖는다.As shown in FIG. 1, the security event determination apparatus according to an embodiment of the present invention includes an
또한, 본 발명의 일 실시예에 따른 보안이벤트판별장치는, 전술한 구성 이외에, 실시간 관제가 요구되는 대상기관의 네트워크 단에 설치된 센서로부터 네트워크 트래픽을 수집하는 수집부(도시안됨)을 더 포함하는 구성을 가질 수 있다.The security event determination apparatus according to an embodiment of the present invention may further include a collection unit (not shown) for collecting network traffic from a sensor installed at a network end of a target organization that requires real-time monitoring, in addition to the above- Configuration.
여기서, 식별부(100), 표시부(200), 판별부(300) 및 수집부(도시안됨)를 포함하는 본 발명의 일 실시예에 따른 보안이벤트판별장치의 전술한 구성 전체 내지는 그 일부는, 프로세서에 의해 실행되는 소프트웨어 모듈 형태로서 구현되거나, 내지는 하드웨어로서 구현될 수 있다.Here, all or a part of the above-described configuration of the security event determination apparatus according to an embodiment of the present invention including the
이러한, 보안이벤트판별장치는, 가시화되는 수신트래픽 및 전송트래픽을 표시할 수 있는 디스플레이패널을 구비하고 있는 다양한 기기를 일컫는다.The security event determination device refers to various devices having a display panel capable of displaying received traffic and transmission traffic to be visualized.
예를 들어, 보안이벤트판별장치는, PC, 테블릿 PC, 및 PDA, 등이 해당될 수 있으며, 이에 제한되는 것이 아닌, 가시화되는 수신트래픽 및 전송트래픽을 표시할 수 있는 디스플레이패널을 구비한 기기는 모두 포함될 수 있을 것이다.For example, the security event determination device may be a device having a display panel capable of displaying received traffic and transmission traffic that can be visualized, such as, but not limited to, a PC, a tablet PC, and a PDA May all be included.
한편, 본 발명의 일 실시예에 따르면, 실시간 관제가 요구되는 대상기관과 관련하여 수집되는 네트워크 트래픽으로부터 보안이벤트를 실시간으로 판별하기 사용자 인터페이스를 제공하게 된다.Meanwhile, according to an embodiment of the present invention, a user interface for discriminating security events in real time from network traffic collected in association with a target organization requiring real-time monitoring is provided.
이처럼, 보안이벤트를 판별하기 위해 제공되는 사용자인터페이스의 경우, 텍스트(Text) 기반으로서 제공되는 것이 일반적이었다.As such, in the case of a user interface provided for discrimination of security events, it is common to be provided as a text basis.
헌데, 보안이벤트의 경우 관제하는 대상기관이 증가할수록, 또한 인터넷의 사용 증가에 따른 사이버 위협이 증가할수록 큰 폭으로 증가하게 되나, 전술한 바와 같이 텍스트 기반의 사용자인터페이스를 제공하는 경우에는, 방대한 분량의 보안이벤트에 대한 직관적 분석이 어렵고, 뿐만 아니라 관제요원의 과중한 업무 부하를 초래하게 된다.However, in the case of security events, as the number of target institutions to be controlled increases, and as the cyber threat due to an increase in the use of the Internet increases, the number increases greatly. However, in the case of providing a text-based user interface as described above, Intuitive analysis of the security events of the control personnel is difficult, and also causes heavy workload of the control personnel.
이렇듯, 관제하는 대상기관 및 사이버 위협이 증가하는 환경에서, 방대한 분량의 보안이벤트를 신속하고도 정확하게 판별하기 위해서는, 이에 대한 효과적인 관제 및 대응을 위한 새로운 방안이 요구된다 할 것이다Thus, in order to quickly and accurately identify a large amount of security events in an environment where the target organization or cyber threats are controlled, a new scheme for effective control and response is required
이에, 본 발명의 일 실시예에서는, 관제가 요구되는 다수의 대상기관과 관련하여 수집되는 네트워크 트래픽으로부터 보안이벤트를 신속하고도 정확하게 판별하기 위한 새로운 방안을 제안하고자 하며, 이하에서는 이를 구체적으로 설명하기로 한다.Accordingly, in one embodiment of the present invention, a new method for quickly and accurately discriminating a security event from network traffic collected in association with a plurality of target entities requiring control is proposed. Hereinafter, .
우선, 식별부(100)는 대상기관과 관련하여 수집되는 네트워크 트래픽을 식별하는 기능을 수행한다.First, the
보다 구체적으로, 식별부(100)는 대상기관과 관련하여 수집되는 네트워크 트래픽으로부터 상기 대상기관을 목적지로 하여 수신되는 수신트래픽과, 반대로 상기 대상기관을 출발지로 하여 전송되는 전송트래픽을 식별한다.More specifically, the
이때, 식별부(100)는 네트워크 트래픽으로부터 상기 수신트래픽 및 상기 전송트래픽 각각에 대한 출발지 주소(IP)와 출발지 포트(Port), 목적지 주소와 목적지 포트를 식별하게 된다.At this time, the
또한, 식별부(100)는 상기 수신트래픽 및 전송트래픽 각각을 식별함에 있어서, 수신트래픽 및 전송트래픽 각각에 대하여 네트워크 프로토콜(예: TCP, UDP, ICMP), 식별시간(탐지시간), 및 패킷(Packets) 양(예: bps, Kbps, Mbps) 등을 추가로 식별할 수 있다.The
그리고, 표시부(200)는 수신트래픽과 전송트래픽을 가시화하여 표시하는 기능을 수행한다.The
보다 구체적으로, 표시부(200)는 대상기관에 대한 수신트래픽 및 전송트래픽이 식별부(100)에서 식별되면, 3차원 공간상에 서로 인접하도록 위치시킨 제1직각육면체 및 제2직각육면체 상에서 식별된 수신트래픽 및 전송트래픽 모두를 가시화하여 표시하게 된다.More specifically, when the receiving traffic and the transmission traffic for the target organization are identified in the identifying
이때, 표시부(200)는 도 2에 도시한 바와 같이 수평면을 형성하는 X축 Y축, 및 수평면에 대하여 수직면을 형성하는 Z축으로 이루어진 3차원 공간의 직각 좌표계에서, 동일한 모양과 크기를 갖는 제1직각육면체 및 제2직각육면체가 상기 X축 방향으로 서로의 수직면이 인접하도록 연속하여 위치시키게 된다.At this time, as shown in Fig. 2, the
여기서, 제1직각육면체 및 제2직각육면체 상에는, 대상기관에 해당하는 대상기관평면, 상기 수신트래픽의 출발지에 해당하는 공격지평면, 및 상기 전송트래픽의 목적지에 해당하는 피해지평면이 지정될 수 있다.Here, on the first right-angled hexahedron and the second right-angled hexahedron, damage plane planes corresponding to the target engine plane corresponding to the target organs, the attack horizon plane corresponding to the start point of the received traffic, and the destination of the transmission traffic may be designated.
이에, 표시부(200)는 제1직각육면체와 제2직각육면체가 서로 인접하고 있는 수직평면을 대상기관평면으로서 지정하고, 또한 상기 제1직각육면체에서 상기 대상기관평면으로 지정된 수직평면의 맞은편에 위치하는 수직평면을 상기 공격지평면으로서 지정하며, 아울러, 상기 제2직각육면체에서 상기 대상기관평면으로 지정된 수직평면의 맞은편에 위치하는 수직평면을 상기 피해지평면으로서 지정하게 된다.Thus, the
아울러, 표시부(200)는 전술한 바와 같이, 3차원 공간 상에 위치시킨 제1지각육면체 및 제2직각육면체 상에서 공격지평면, 대상기관평면, 및 피해지평면이 지정되는 경우, 우선 공격지평면과 대상기관평면 상에 수신트래픽을 가시화하여 표시함과 아울러 대상기관평면과, 피해지평면 상에 전송트래픽을 가시화하여 표시하게 된다.In addition, as described above, when the attack surface planes, the target engine planes, and the damaged horizon planes are designated on the first and second rectangular hexahedral bodies positioned on the three-dimensional space as described above, In addition to visualizing and displaying received traffic on a plane, transmission traffic is visualized on the target engine plane and the damaged ground plane.
여기서, 수신트래픽의 출발지 주소 및 출발지 포트의 경우, 공격지평면 상의 좌표로서 표시되고, 또한 수신트래픽의 목적지 주소 및 목적지 포트, 내지는 상기 전송트래픽의 출발지 주소 및 출발지 포트의 경우, 상기 대상기관평면 상의 좌표로서 가시화하여 표시되며, 아울러, 전송트래픽의 목적지 주소 및 목적지 포트의 경우, 피해지평면 상의 좌표로서 가시화하여 표시될 수 있다.Here, in the case of the source address and the source port of the received traffic, the destination address and the destination port of the received traffic, or the source address and the source port of the received traffic, are displayed as coordinates on the attack floor plane, And in the case of the destination address and the destination port of the transmission traffic, it can be visualized as coordinates on the damaged ground plane and displayed.
이에, 표시부(200)는 공격지평면에서의 Y축을 수신트래픽의 출발지 주소의 좌표로서 가시화하여 표시하고, 상기 공격지평면에서의 상기 Z축을 상기 수신트래픽의 출발지 포트의 좌표로서 가시화하여 표시하게 된다.Accordingly, the
또한, 표시부(200)는 대상기관평면에서의 Y축을 수신트래픽의 목적지 주소 또는 상기 전송트래픽의 출발지 주소의 좌표로서 가시화하여 표시하고, 대상기관평면에서의 Z축을 상기 수신트래픽에서의 목적지 포트 또는 상기 전송트래픽에서의 출발지 포트의 좌표로서 가시화하여 표시하게 된다.The
아울러, 표시부(200)는 피해지평면에서의 Y축을 상기 전송트래픽의 목적지 주소의 좌표로서 가시화하여 표시하고, 상기 피해지평면에서의 상기 Z축을 상기 전송트래픽의 출발지 포트의 좌표로서 가시화하여 표시하게 된다.In addition, the
한편, 전술한 바와 같이 공격지평면, 대상기관평면 및 피해지평면 각각에서 출발지 주소와 출발지 포트 내지는 목적지 주소와 목적지 포트를 좌표로서 표시함에 있어서, 다음과 같은 방식이 적용될 수 있다.On the other hand, as described above, the following method may be applied in displaying the source address, the source port, the destination address, and the destination port in the attack plane plane, the target engine plane, and the damaged plane plane as coordinates, respectively.
우선, 공격지평면에 표시되는 수신트래픽의 출발지 주소와, 대상기관평면에 표시되는 전송트래픽의 출발지 주소의 경우, 예컨대, 출발지 주소의 십진수 변환값을 선형적으로 나열하는 방식인 선형방식(Linear Method)이 적용될 수 있다.First, in the case of the source address of the received traffic displayed on the attack plane and the source address of the transmission traffic displayed on the target engine plane, for example, a linear method, which is a method of linearly rearranging the decimal converted value of the source address, Can be applied.
이에, 수신트래픽의 출발지 주소가 표시되는 공격지평면과, 전송트래픽의 출발지 주소가 표시되는 대상기관평면의 Y축의 경우 출발지 주소의 최소값(0.0.0.0)을 십진수로 변환한 값인 '0'부터 출발지 주소의 최대값(255.255.255.255)를 십진수로 변환한 값인 '4,294,967,295' 사이의 좌표를 갖게 된다.In this case, in case of attack plane plane where the source address of the received traffic is displayed and Y axis of the target engine plane in which the source address of the transmission traffic is displayed, the minimum value (0.0.0.0) of the source address is changed from '0' 4,294,967,295 ", which is a value obtained by converting the maximum value (255.255.255.255) of the pixel value to decimal value.
반대로, 대상기관평면에 표시되는 수신트래픽의 목적지 주소와, 피해지평면에 표시되는 전송트래픽의 목적지 주소의 경우, 예컨대, 목적지 주소를 뒤집은 후, 뒤집은 목적지 주소의 십진수 변환값을 선형적으로 나열하는 방식인 역변환방식(Reversed Octet Method)이 적용될 수 있다.Conversely, in the case of the destination address of the received traffic displayed on the target organ plane and the destination address of the transmission traffic displayed on the damaged horizon, for example, the destination address is inverted, and then the decimal conversion value of the inverted destination address is linearly listed The Reversed Octet Method can be applied.
이에, 수신트래픽의 목적지 주소가 표시되는 대상기관평면의 Y축과, 전송트래픽의 목적지 주소가 표시되는 피해지평면의 Y축의 경우, 출발지 주소의 최소값(0.0.0.0)을 십진수로 변환한 값인 '0'부터 출발지 주소의 최대값(255.255.255.255)를 십진수로 변환한 값인 '4,294,967,295' 사이의 좌표를 갖게 된다.In this case, when the Y axis of the target engine plane in which the destination address of the received traffic is displayed and the Y axis of the damaged plane in which the destination address of the transmission traffic is displayed, the minimum value (0.0.0.0) 4,294,967,295 'which is a value obtained by converting the maximum value (255.255.255.255) of the starting address to a decimal number.
예를 들어, 목적지 주소가 '192.168.0.5'인 경우에 전술한 역변환방식을 적용하면, 목적지 주소는 '5.0.168.192'가 되고, 이를 십진수 값으로 변환하면, '83,929,280'이 되어, 이는 대상기관평면 또는 피해지평면의 Z축에서 좌표값이 될 수 있다.For example, when the destination address is' 192.168.0.5 ', if the above-described inverse conversion method is applied, the destination address becomes' 5.0.168.192', and if it is converted into a decimal value, it becomes '83, 929,280 ' It can be the coordinate value in the Z-axis of the plane or the damage plane.
이처럼, 목적지 주소의 좌표값으로서 역변환방식을 적용하는 것은, 보안이벤트 중 하나로서 목적지 포트는 고정된 상태에서 목적지 주소를 변동하여 스캔하는 네트워크 스캔을 용이하게 식별하기 위함이다.Applying the inverse conversion method as the coordinate value of the destination address is one of security events to easily identify a network scan in which the destination port is scanned by changing the destination address in a fixed state.
즉, 수신트래픽 또는 전송트래픽의 목적지 주소가 1씩 증가하는 경우, 역변환방식에서의 실질적인 십진수 변환 값은, 1씩 증가하는 것이 아닌, 2^24(16,777,216)씩 증가하게 되므로, 그 식별이 용이하게 때문이다.That is, when the destination address of the received traffic or the transmitted traffic increases by 1, the actual decimal conversion value in the inverse conversion method is increased by 2 ^ 24 (16,777,216), not by 1, Because.
다음, 공격지평면에 표시되는 수신트래픽의 출발지 포트, 대상기관평면에 표시되는 수신트래픽의 목적지 포트와 전송트래픽의 출발지 포트, 그리고 피해지평면에 표시되는 전송트래픽의 목적지 포트의 경우, 예컨대, 포트 값을 상용로그 값으로 환산하는 상용로그방식(Common Logarithmic Method)이 적용될 수 있다.Next, in the case of the destination port of the received traffic displayed on the attack plane, the destination port of the received traffic and the destination port of the transmitted traffic displayed on the target engine plane, and the destination port of the transmitted traffic displayed on the damaged horizon, A common logarithmic method for converting the value into a commercial log value may be applied.
이에, 수신트래픽의 출발지 포트가 표시되는 공격지평면의 Z축, 수신트래픽의 목적지 포트와 전송트래픽의 출발지 포트가 표시되는 대상기관평면의 Z축, 전송트래픽의 목적지 포트가 표시되는 피해지평면의 Z축의 경우, 최소값인 '0'부터 출발지 포트의 최대값(65535)을 상용로그로 환산한 값인 '4.8164733038' 사이의 좌표를 갖게 된다.The Z axis of the attack plane showing the source port of the received traffic, the Z axis of the target engine plane in which the destination port of the received traffic and the source port of the transmitted traffic are displayed, and the Z axis of the damaged plane showing the destination port of the transmission traffic 4.8164733038 ', which is a value obtained by converting the maximum value (65535) of the source port to the common log from the minimum value' 0 '.
나아가, 표시부(200)는 전술한 바와 같이 공격지평면, 대상기관평면 및 피해지평면 각각에서 출발지 주소와 출발지 포트 내지는 목적지 주소와 목적지 포트를 좌표로서 표시되면, 공격지평면과 대상기관평면 사이를 연결하는 직선으로서 수신트래픽을 가시화하여 표시하며, 대상기관평면과 피해지평면 사이를 연결하는 직선으로서 전송트래픽을 가시화하여 표시하게 된다.Furthermore, as described above, when the originating address, the originating port, the destination address, and the destination port are displayed as coordinates on the attacking horizon plane, the target engine plane, and the damaged horizon plane, the
즉, 표시부(200)는 수신트래픽의 출발지 주소 및 출발지 포트에 해당하는 공격지평면 상의 좌표와, 수신트래픽의 목적지 주소 및 출발지 포트에 해당하는 대상기관평면상의 좌표 상호 간을 연결하는 직선으로서 수신트래픽을 가시화하여 표시하며, 또한 전송트래픽의 출발지 주소 및 출발지 포트에 해당하는 대상기관평면 상의 좌표와, 전송트래픽의 목적지 주소 및 출발지 포트에 해당하는 피해지평면 상의 좌표 상호 간을 연결하는 직선으로서 상기 전송트래픽을 가시화하여 표시한다.That is, the
한편, 대상기관평면에는 하나의 대상기관만이 아닌 다수의 대상기관이 표시될 수 있다.On the other hand, not only one target organ but also a plurality of target organs can be displayed on the target organ plane.
이에, 표시부(200)는 도 3(a)에 도시한 바와 같이, 대상기관평면을 관제가 요구되는 대상기관의 개수(예: 47개)에 대응하는 각각의 직각셀(Cell)로서 분할하고, 분할된 직각셀 각각에 대하여 수신트래픽과 상기 전송트래픽 모두를 개별적으로 가시화하여 표시하게 된다.3 (a), the
이때, 표시부(200)는 대상기관평면에 표시중인 특정 대상기관(예: KS)가 선택되는 경우에는, 도 3(b)에 도시한 바와 같이, 선택된 상기 특정 대상기관에 대해서만, 독립적으로 수신트래픽과 상기 전송트래픽를 개별적으로 가시화하여 표시할 수 있다.At this time, when a specific target organization (for example, KS) being displayed on the target organization plane is selected, the
덧붙여, 표시부(200)는 전술한 바와 같이 수신트래픽과 전송트래픽을 3차원공간에 가시화하여 표시함에 있어서, 수신트래픽과 전송트래픽을 네트워크 프로토콜(예: TCP, UDP, ICMP) 및 포트에 따른 그룹으로 분류하고, 분류된 그룹에 따른 명칭과 색상으로 가시화하여 표시할 수 있다.In addition, the
예를 들어, 네트워크 프로토콜이 TCP인 경우, HTTP와 관련된 포트[80(of HTTP), 8080(of Tomcat), 443(of HTTPS)], Remote Access와 관련된 포트[3389(of RDP), 22(of SSH)], NetBIOS와 관련된 포트[139(of NetBIOS)], e-mail과 관련된 포트[25(of SMTP), 110(of POP3), 143(of IMAP)], DB와 관련된 포트[1433(of MS-SQL), 1521(of Oracle), 3306(of My SQL)], 및 잘 알려진(well-known) 포트[0 ~ 1023 (위에서 언급한 포트는 제외) 등으로 분류될 수 있다.For example, if the network protocol is TCP, the port associated with HTTP [80 (of HTTP), 8080 (of Tomcat), 443 of HTTPS), the port associated with Remote Access [3389 (of RDP) SSH), NetBIOS related port [139 (of NetBIOS)], e-mail related port [25 (of SMTP), 110 (of POP3), 143 (of IMAP) MS-SQL), 1521 (of Oracle), 3306 (of My SQL), and well-known ports [0-1023 (except for the ports mentioned above).
또한, 네트워크 프로토콜이 UDP인 경우, DNS와 관련된 포트[53(of DNS), 잘 알려진(well-known) 포트[0 ~ 1023(위에서 언급한 포트는 제외)] 등으로 분류될 수 있다.In addition, if the network protocol is UDP, it can be classified into a DNS related port [53 (of DNS), a well-known port [0-1023 (except for the port mentioned above)] and the like.
아울러, 네트워크 프로토콜 IMCP인 경우에는 포트와 상관없이 한 개의 그룹의 분류될 수 있다.In addition, in the case of the network protocol IMCP, one group can be classified regardless of the port.
그 밖에, 표시부(200)는 3차원 공간에 직선의 형태로서 표시되고 있는 수신트래픽 또는 전송트래픽이 사용자에 의해 선택되는 경우에는, 예컨대, 네트워크 프로토콜, 출발지 주소(포트), 목적지 주소(포트), 식별 시간(탐지 시간), 패킷의 양, 대상기관명칭(국가) 등의 부가정보를 함께 표시할 수 있을 것이다.In addition, when receiving traffic or transmission traffic displayed as a straight line in a three-dimensional space is selected by the user, the
그리고, 판별부(300)는 보안이벤트를 판별하는 기능을 수행한다.Then, the
보다 구체적으로, 판별부(300)는 3차원 공간상에 표시되고 있는 수신트래픽 및 전송트래픽의 표시 형태로부터 대상기관과 관련하여 발생하고 있는 다양한 보안이벤트를 판별하게 된다.More specifically, the
여기서, 판별부(300)에서 판별되는 보안이벤트의 경우, 예컨대, 네트워크 스캔 이벤트, 포트 스캔 이벤트, 디도스(DDoS) 이벤트가 해당될 수 있다.Here, in the case of a security event discriminated by the
예를 들어, 판별부(300)는 도 4 (a)에 도시한 바와 같이, 수신트래픽 및 상기 전송트래픽 각각에서 동일한 출발지 주소 및 출발지 포트에 해당하는 하나의 좌표와, 목적지 포트는 동일하되 서로 상이한 목적지 주소에 해당하는 다수의 좌표들을 연결하는 직선들이 표시되는 경우, 이를 네트워크 스캔 이벤트로서 판별할 수 있다.For example, as shown in FIG. 4 (a), the
다른 예로서, 판별부(300)는 도 4 (b)에 도시한 바와 같이, 수신트래픽 및 상기 전송트래픽 각각에서 동일한 출발지 주소 및 출발지 포트에 해당하는 하나의 좌표와, 목적지 주소는 동일하되 서로 상이한 목적지 포트에 해당하는 다수의 좌표들을 연결하는 직선들이 표시되는 경우, 이를 포트 스캔 이벤트로서 판별할 수 있다.As another example, as shown in FIG. 4 (b), the
또 다른 예로서, 판별부(300)는 도 5 (a)에 도시한 바와 같이, 수신트래픽 및 전송트래픽 각각에서 출발지 주소는 동일하되 서로 상이한 출발지 포트에 해당하는 다수의 좌표들과, 동일한 목적지 주소 및 목적지 포트에 해당하는 하나의 좌표를 연결하는 직선들이 표시되는 경우, 이를 디도스 이벤트로서 판별할 수 있다.As another example, as shown in FIG. 5 (a), the
그 밖의 예로서, 판별부(300)는 도 5 (b)에 도시한 바와 같이, 수신트래픽이 존재하지 않은 상태에서, 전송트래픽의 목적지 주소 및 목적지 포트가 기 설정된 특정 대상기관에 해당하는 경우, 즉, 전송트래픽이 대상기관을 출발지로 하여 또 다른 대상기관을 목적지로 하는 경우에는 보안 이벤트로서 판별할 수 있다.5 (b), when the destination address and the destination port of the transmission traffic correspond to the predetermined specific target organization in the state where there is no received traffic, That is, if the transmission traffic is the destination of the target organization and another destination is the destination, it can be determined as a security event.
이상에서 살펴본 바와 같이, 본 발명의 일 실시예에 따른 보안이벤트판별장치에 따르면, 대상기관과 관련하여 수집되는 네트워크 트래픽으로부터 상기 대상기관을 목적지로 하여 수신되는 수신트래픽 및 상기 대상기관을 출발지로 하여 전송되는 전송트래픽을 식별하여 3차원 공간상에 가시화하여 표시하고, 수신트래픽 및 전송트래픽이 3차원 공간상에 표시되고 있는 형태로부터 보안이벤트를 판별함으로써, 대량으로 발생하는 사이버 위협을 신속하고도 정확하게 파악할 수 있다.As described above, according to the security event discrimination apparatus according to an embodiment of the present invention, the network traffic collected in relation to the target organization is used as a source of received traffic received from the target organization, By identifying the transmission traffic to be transmitted and visualizing it on a three-dimensional space, and by identifying the security event from the form in which the received traffic and the transmission traffic are displayed in the three-dimensional space, the cyber threat that occurs in large quantities can be quickly .
이하에서는 도 6을 참조하여, 본 발명의 일 실시예에 따른 보안이벤트판별장치의 동작 방법을 설명하도록 한다.Hereinafter, an operation method of the security event determination device according to an embodiment of the present invention will be described with reference to FIG.
여기서, 설명의 편의를 위해 전술한 도 1에 도시된 구성은 해당 참조번호를 언급하여 설명하겠다.Here, for convenience of description, the components shown in FIG. 1 will be described with reference to corresponding reference numerals.
먼저, 식별부(100)는 대상기관과 관련하여 수집되는 네트워크 트래픽으로부터 상기 대상기관을 목적지로 하여 수신되는 수신트래픽과, 반대로 상기 대상기관을 출발지로 하여 전송되는 전송트래픽을 식별한다(S100).First, the
이때, 식별부(100)는 네트워크 트래픽으로부터 상기 수신트래픽 및 상기 전송트래픽 각각에 대한 출발지 주소(IP)와 출발지 포트(Port), 목적지 주소와 목적지 포트를 식별하게 된다.At this time, the
또한, 식별부(100)는 상기 수신트래픽 및 전송트래픽 각각을 식별함에 있어서, 수신트래픽 및 전송트래픽 각각에 대하여 네트워크 프로토콜(예: TCP, UDP, ICMP), 식별시간(탐지시간), 및 패킷(Packets) 양(예: bps, Kbps, Mbps) 등을 추가로 식별할 수 있다.The
그런 다음, 표시부(200)는 대상기관에 대한 수신트래픽 및 전송트래픽이 식별부(100)에서 식별되면, 3차원 공간상에서 제1직각육면체 및 제2직각육면체를 서로 인접하도록 위치시킨다(S200).Then, when the receiving traffic and the transmission traffic for the target organ are identified in the identifying
이때, 표시부(200)는 수평면을 형성하는 X축 Y축, 및 수평면에 대하여 수직면을 형성하는 Z축으로 이루어진 3차원 공간의 직각 좌표계에서, 동일한 모양과 크기를 갖는 제1직각육면체 및 제2직각육면체가 상기 X축 방향으로 서로의 수직면이 인접하도록 연속하여 위치시키게 된다.At this time, in the rectangular coordinate system of the three-dimensional space formed by the X-axis Y-axis forming the horizontal plane and the Z-axis forming the vertical plane with respect to the horizontal plane, the
다음으로, 표시부(200)는 제1직각육면체와 제2직각육면체가 서로 인접하고 있는 수직평면을 대상기관평면으로서 지정하고, 또한 상기 제1직각육면체에서 상기 대상기관평면으로 지정된 수직평면의 맞은편에 위치하는 수직평면을 상기 공격지평면으로서 지정하며, 아울러, 상기 제2직각육면체에서 상기 대상기관평면으로 지정된 수직평면의 맞은편에 위치하는 수직평면을 상기 피해지평면으로서 지정한다(S300).Next, the
그리고 나서, 표시부(200)는 수신트래픽의 출발지 주소 및 출발지 포트를 공격지평면 상의 좌표로서 표시하고, 또한 수신트래픽의 목적지 주소 및 목적지 포트, 내지는 상기 전송트래픽의 출발지 주소 및 출발지 포트를 대상기관평면 상의 좌표로서 가시화하여 표시하며, 아울러, 전송트래픽의 목적지 주소 및 목적지 포트를 피해지평면 상의 좌표로서 가시화하여 표시한다(S400).Then, the
이때, 표시부(200)는 공격지평면에서의 Y축을 수신트래픽의 출발지 주소의 좌표로서 가시화하여 표시하고, 상기 공격지평면에서의 상기 Z축을 상기 수신트래픽의 출발지 포트의 좌표로서 가시화하여 표시하게 된다.At this time, the
또한, 표시부(200)는 대상기관평면에서의 Y축을 수신트래픽의 목적지 주소 또는 전송트래픽의 출발지 주소의 좌표로서 가시화하여 표시하고, 대상기관평면에서의 Z축을 상기 수신트래픽에서의 목적지 포트 또는 상기 전송트래픽에서의 출발지 포트의 좌표로서 가시화하여 표시하게 된다.The
아울러, 표시부(200)는 피해지평면에서의 Y축을 상기 전송트래픽의 목적지 주소의 좌표로서 가시화하여 표시하고, 상기 피해지평면에서의 상기 Z축을 상기 전송트래픽의 출발지 포트의 좌표로서 가시화하여 표시하게 된다.In addition, the
나아가, 표시부(200)는 전술한 바와 같이 공격지평면, 대상기관평면 및 피해지평면 각각에서 출발지 주소와 출발지 포트 내지는 목적지 주소와 목적지 포트를 좌표로서 표시되면, 공격지평면과 대상기관평면 사이를 연결하는 직선으로서 수신트래픽을 가시화하여 표시하며, 대상기관평면과 피해지평면 사이를 연결하는 직선으로서 전송트래픽을 가시화하여 표시한다(S500).Furthermore, as described above, when the originating address, the originating port, the destination address, and the destination port are displayed as coordinates on the attacking horizon plane, the target engine plane, and the damaged horizon plane, the
이때, 표시부(200)는 수신트래픽의 출발지 주소 및 출발지 포트에 해당하는 공격지평면 상의 좌표와, 수신트래픽의 목적지 주소 및 출발지 포트에 해당하는 대상기관평면상의 좌표 상호 간을 연결하는 직선으로서 수신트래픽을 가시화하여 표시하며, 또한 전송트래픽의 출발지 주소 및 출발지 포트에 해당하는 대상기관평면 상의 좌표와, 전송트래픽의 목적지 주소 및 출발지 포트에 해당하는 피해지평면 상의 좌표 상호 간을 연결하는 직선으로서 상기 전송트래픽을 가시화하여 표시한다.At this time, the
이후, 판별부(300)는 3차원 공간상에 표시되고 있는 수신트래픽 및 전송트래픽의 표시 형태로부터 대상기관과 관련하여 발생하고 있는 다양한 보안이벤트를 판별한다(S600).Thereafter, the
이때, 판별부(300)는 수신트래픽 및 상기 전송트래픽 각각에서 동일한 출발지 주소 및 출발지 포트에 해당하는 하나의 좌표와, 목적지 포트는 동일하되 서로 상이한 목적지 주소에 해당하는 다수의 좌표들을 연결하는 직선들이 표시되는 경우, 이를 네트워크 스캔 이벤트로서 판별하게 된다.At this time, the determining
또한, 판별부(300)는 수신트래픽 및 상기 전송트래픽 각각에서 동일한 출발지 주소 및 출발지 포트에 해당하는 하나의 좌표와, 목적지 주소는 동일하되 서로 상이한 목적지 포트에 해당하는 다수의 좌표들을 연결하는 직선들이 표시되는 경우, 이를 포트 스캔 이벤트로서 판별하게 된다.In addition, the determining
아울러, 판별부(300)는 수신트래픽 및 전송트래픽 각각에서 출발지 주소는 동일하되 서로 상이한 출발지 포트에 해당하는 다수의 좌표들과, 동일한 목적지 주소 및 목적지 포트에 해당하는 하나의 좌표를 연결하는 직선들이 표시되는 경우, 이를 디도스 이벤트로서 판별하게 된다.In addition, the determining
그 밖에, 판별부(300)는 수신트래픽이 존재하지 않은 상태에서, 전송트래픽의 목적지 주소 및 목적지 포트가 기 설정된 특정 대상기관에 해당하는 경우, 즉, 전송트래픽이 대상기관을 출발지로 하여 또 다른 대상기관을 목적지로 하는 경우에는 이를 보안 이벤트로서 판별하게 된다.In addition, when the destination address and the destination port of the transmission traffic correspond to the predetermined specific target organization, that is, when the transmission traffic is the destination, If the target institution is the destination, it will be identified as a security event.
이상에서 살펴본 바와 같이, 본 발명의 일 실시예에 따른 보안이벤트판별장치의 동작 방법에 따르면, 대상기관과 관련하여 수집되는 네트워크 트래픽으로부터 상기 대상기관을 목적지로 하여 수신되는 수신트래픽 및 상기 대상기관을 출발지로 하여 전송되는 전송트래픽을 식별하여 3차원 공간상에 가시화하여 표시하고, 수신트래픽 및 전송트래픽이 3차원 공간상에 표시되고 있는 형태로부터 보안이벤트를 판별함으로써, 대량으로 발생하는 사이버 위협을 신속하고도 정확하게 파악할 수 있다.As described above, according to the operation method of the security event determination device according to the embodiment of the present invention, the received traffic received from the target network and the target network from the network traffic collected with respect to the target network, It is possible to visually identify and display the transmission traffic transmitted from the origin as a three-dimensional space, identify the security events from the form in which the received traffic and the transmission traffic are displayed on the three-dimensional space, It is possible to grasp accurately.
한편, 여기에 제시된 실시예들과 관련하여 설명된 방법 또는 알고리즘의 단계들은 하드웨어로 직접 구현되거나, 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Meanwhile, the steps of a method or algorithm described in connection with the embodiments disclosed herein may be embodied directly in hardware, or may be embodied in a computer readable medium, in the form of a program instruction, which may be carried out through various computer means. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions recorded on the medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.
지금까지 본 발명을 바람직한 실시 예를 참조하여 상세히 설명하였지만, 본 발명이 상기한 실시 예에 한정되는 것은 아니며, 이하의 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 또는 수정이 가능한 범위까지 본 발명의 기술적 사상이 미친다 할 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, but, on the contrary, It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims.
본 발명의 보안이벤트 판별 방법 및 이에 적용되는 장치에 따르면, 대상기관과 관련하여 수집되는 네트워크 트래픽으로부터 상기 대상기관을 목적지로 하여 수신되는 수신트래픽 및 상기 대상기관을 출발지로 하여 전송되는 전송트래픽을 식별하여 3차원 공간상에 가시화하여 표시함으로써, 상기 3차원 공간상에 표시되고 있는 상기 수신트래픽 및 상기 전송트래픽으로부터 보안이벤트를 효과적으로 판별할 수 있다는 점에서, 기존 기술의 한계를 뛰어 넘음에 따라 관련 기술에 대한 이용만이 아닌 적용되는 장치의 시판 또는 영업의 가능성이 충분할 뿐만 아니라 현실적으로 명백하게 실시할 수 있는 정도이므로 산업상 이용가능성이 있는 발명이다.According to the security event determination method and apparatus applied therefor of the present invention, it is possible to identify the reception traffic received from the network traffic collected in relation to the target organization with the target organization as a destination and the transmission traffic transmitted from the target organization as a departure Dimensional space, it is possible to effectively determine a security event from the reception traffic and the transmission traffic displayed on the three-dimensional space. Thus, in overcoming the limitations of the prior art, The present invention is not limited to the use of the present invention, but merely has a possibility of commercialization or operation of the applied device, and is practically usable since it is practically possible to carry out clearly.
100: 식별부
200: 표시부
300: 판별부100:
200:
300:
Claims (21)
상기 수신트래픽과 상기 전송트래픽 모두를 3차원 공간상에 가시화하여 표시하는 표시부; 및
상기 3차원 공간상에 표시되고 있는 상기 수신트래픽 및 상기 전송트래픽 중 적어도 하나로부터 상기 대상기관과 관련하여 발생하고 있는 보안이벤트를 판별하는 판별부를 포함하며,
상기 3차원 공간에는,
상기 대상기관에 해당하는 대상기관평면, 상기 수신트래픽의 출발지에 해당하는 공격지평면, 및 상기 전송트래픽의 목적지에 해당하는 피해지평면이 포함되는 것을 특징으로 하는 보안이벤트판별장치.An identification unit for identifying received traffic received from the target network as a destination from network traffic collected in association with the target organization and transmission traffic transmitted from the target organization as a departure;
A display unit for visualizing both the received traffic and the transmission traffic in a three-dimensional space and displaying the three-dimensional space; And
And a determination unit for determining a security event occurring in relation to the target organization from at least one of the reception traffic and the transmission traffic displayed on the three-dimensional space,
In the three-dimensional space,
An attack plane corresponding to a source of the received traffic, and a damaged ground plane corresponding to a destination of the transmission traffic.
상기 3차원 공간에는,
수평면을 형성하는 X축 Y축, 및 상기 수평면에 대하여 수직면을 형성하는 Z축으로 이루어진 직각 좌표계에서, 동일한 모양과 크기를 갖는 제1직각육면체 및 제2직각육면체가 상기 X축 방향으로 서로의 수직면이 인접하도록 연속하여 위치하며,
상기 표시부는,
상기 3차원 공간에서 서로의 수직면이 인접하도록 위치하고 있는 상기 제1직각육면체 및 상기 제2직각육면체 상에서 상기 수신트래픽과 상기 전송트래픽 모두를 가시화하여 표시하는 것을 특징으로 하는 보안이벤트판별장치.The method according to claim 1,
In the three-dimensional space,
The first rectangular hexahedron having the same shape and size and the second rectangular hexahedron having the same shape and size are arranged in a direction perpendicular to the X-axis Y-axis and the Z-axis forming the vertical plane with respect to the horizontal plane, Are adjacent to each other,
The display unit includes:
And displays both the received traffic and the transmitted traffic on the first rectangular hexahedron and the second rectangular hexahedron which are positioned so that the vertical surfaces of the three rectangular spaces are adjacent to each other.
상기 제1직각육면체 및 상기 제2직각육면체 상에는,
상기 대상기관에 해당하는 대상기관평면, 상기 수신트래픽의 출발지에 해당하는 공격지평면, 및 상기 전송트래픽의 목적지에 해당하는 피해지평면 중 적어도 하나가 지정되며,
상기 표시부는,
상기 제1직각육면체와 상기 제2직각육면체가 서로 인접하고 있는 수직평면을 상기 대상기관평면으로서 지정하고, 상기 제1직각육면체에서 상기 대상기관평면으로 지정된 수직평면의 맞은편에 위치하는 수직평면을 상기 공격지평면으로서 지정하며, 상기 제2직각육면체에서 상기 대상기관평면으로 지정된 수직평면의 맞은편에 위치하는 수직평면을 상기 피해지평면으로서 지정하여 상기 수신트래픽과 상기 전송트래픽 모두를 가시화하여 표시하는 것을 특징으로 하는 보안이벤트판별장치.3. The method of claim 2,
On the first right-angled hexahedron and the second right-angled hexahedron,
At least one of a target engine plane corresponding to the target organization, an attack horizon corresponding to a source of the received traffic, and a damage horizon corresponding to a destination of the transmission traffic,
The display unit includes:
A vertical plane in which the first rectangular hexahedron and the second rectangular hexahedron are adjacent to each other is designated as the target engine plane and a vertical plane located on the opposite side of the vertical plane designated by the target engine plane in the first rectangular hexahedron is defined as Designating as the attack horizon plane a vertical plane located on the opposite side of the vertical plane designated to the target engine plane in the second rectangular hexahedron as the damaged horizon plane and visually displaying both the received traffic and the transmission traffic Wherein the security event determination device comprises:
상기 대상기관이 2 이상인 경우,
상기 표시부는,
상기 대상기관평면을 상기 2 이상의 대상기관의 개수에 대응하는 직각셀(Cell)로서 분할하여, 상기 분할된 직각셀 각각에 대하여 상기 수신트래픽과 상기 전송트래픽 모두를 가시화하여 표시하는 것을 특징으로 하는 보안이벤트판별장치. The method of claim 3,
When the target organ is two or more,
The display unit includes:
And displays the received traffic and the transmitted traffic for each of the divided right-angled cells in a visualized form. Event discriminator.
상기 수신트래픽 및 상기 전송트래픽 각각에는,
출발지 주소(IP), 출발지 포트(Port), 목적지 주소, 및 목적지 포트가 포함되며,
상기 표시부는,
상기 수신트래픽의 출발지 주소 및 출발지 포트의 경우 상기 공격지평면 상의 좌표로서 가시화하여 표시하며, 또한 상기 수신트래픽의 목적지 주소 및 목적지 포트, 내지는 상기 전송트래픽의 출발지 주소 및 출발지 포트의 경우, 상기 대상기관평면 상의 좌표로서 가시화하여 표시하며, 아울러 상기 전송트래픽의 목적지 주소 및 목적지 포트의 경우, 상기 피해지평면 상의 좌표로서 가시화하여 표시하는 것을 특징으로 하는 보안이벤트 판별장치.The method according to claim 3 or 4,
Each of the reception traffic and the transmission traffic includes:
A source address (IP), a source port, a destination address, and a destination port,
The display unit includes:
The destination address and the source port of the received traffic are displayed as coordinates on the attack plan surface in the case of the source address and the source port of the received traffic, and in the case of the destination address and the destination port of the received traffic, And displays the visualized traffic information as coordinates on the damaged ground plane in the case of the destination address and the destination port of the transmission traffic.
상기 표시부는,
상기 공격지평면에서의 상기 Y축을 상기 수신트래픽의 출발지 주소의 좌표로서 가시화하여 표시하고, 상기 공격지평면에서의 상기 Z축을 상기 수신트래픽의 출발지 포트의 좌표로서 가시화하여 표시하며, 또한 상기 대상기관평면에서의 상기 Y축을 상기 수신트래픽의 목적지 주소 또는 상기 전송트래픽의 출발지 주소의 좌표로서 가시화하여 표시하고, 상기 대상기관평면에서의 상기 Z축을 상기 수신트래픽에서의 목적지 포트 또는 상기 전송트래픽에서의 출발지 포트의 좌표로서 가시화하여 표시하며, 아울러 상기 피해지평면에서의 상기 Y축을 상기 전송트래픽의 목적지 주소의 좌표로서 가시화하여 표시하고, 상기 피해지평면에서의 상기 Z축을 상기 전송트래픽의 출발지 포트의 좌표로서 가시화하여 표시하는 것을 특징으로 하는 보안이벤트 판별장치.6. The method of claim 5,
The display unit includes:
Axis in the attack plane, and displaying the Y axis on the attack plane as coordinates of a source address of the received traffic, displaying the Z axis on the attack plane as coordinates of a source port of the received traffic, Axis in the target engine plane as coordinates of the destination address of the received traffic or the source address of the transmitted traffic and displays the Y axis of the target engine plane in the destination port in the destination traffic or the source port of the transmission traffic And displaying the Y axis on the damaged ground plane as coordinates of a destination address of the transmission traffic and displaying the Z axis on the damaged ground plane as coordinates of a source port of the transmission traffic A security event determination Value.
상기 표시부는,
상기 수신트래픽의 출발지 주소 및 출발지 포트에 해당하는 상기 공격지평면 상의 좌표와, 상기 수신트래픽의 목적지 주소 및 출발지 포트에 해당하는 상기 대상기관평면상의 좌표 상호 간을 연결하는 직선으로서 상기 수신트래픽을 가시화하여 표시하며, 또한 상기 전송트래픽의 출발지 주소 및 출발지 포트에 해당하는 상기 대상기관평면 상의 좌표와, 상기 전송트래픽의 목적지 주소 및 출발지 포트에 해당하는 상기 피해지평면 상의 좌표 상호 간을 연결하는 직선으로서 상기 전송트래픽을 가시화하여 표시하는 것을 특징으로 하는 보안이벤트판별장치.The method according to claim 6,
The display unit includes:
The received traffic is visualized as a straight line connecting the coordinates on the attack surface plane corresponding to the source address and the source port of the received traffic and the coordinates on the target engine plane corresponding to the destination address and the source port of the received traffic And a transmission line as a straight line connecting coordinates on the target engine plane corresponding to a source address and a source port of the transmission traffic and coordinates on the damaged ground plane corresponding to a destination address and a source port of the transmission traffic, And displays the visualized traffic.
상기 보안이벤트는,
상기 수신트래픽 및 상기 전송트래픽 각각의 목적지 주소 또는 목적지 포트를 기초로 판별되며,
상기 판별부는,
상기 수신트래픽 및 상기 전송트래픽 각각에서 동일한 출발지 주소 및 출발지 포트에 해당하는 하나의 좌표와, 목적지 포트는 동일하되 서로 상이한 목적지 주소에 해당하는 설정 개수 이상의 좌표들을 연결하는 직선들이 표시되거나, 내지는, 동일한 출발지 주소 및 출발지 포트에 해당하는 하나의 좌표와, 목적지 주소는 동일하되 서로 상이한 목적지 포트에 해당하는 설정 개수 이상의 좌표들을 연결하는 직선들이 표시되는 경우를 상기 보안이벤트로서 판별하는 것을 특징으로 하는 보안이벤트판별장치.8. The method of claim 7,
The security event includes:
The destination address or the destination port of each of the reception traffic and the transmission traffic,
Wherein,
One line corresponding to the same source address and source port in each of the reception traffic and the transmission traffic and lines connecting the coordinates of the same number that is the same as the destination port but different from the destination address are displayed, Wherein the security event determination unit identifies, as the security event, a case where a line connecting one coordinate corresponding to a source address and a source port and a destination line having coordinates equal to or greater than a set number corresponding to different destination ports is displayed, Discrimination device.
상기 보안이벤트는,
상기 수신트래픽 및 상기 전송트래픽 각각의 출발지 포트를 기초로 판별되며,
상기 판별부는,
상기 수신트래픽 및 상기 전송트래픽 각각에서 출발지 주소는 동일하되 서로 상이한 출발지 포트에 해당하는 설정 개수 이상의 좌표들과, 동일한 목적지 주소 및 목적지 포트에 해당하는 하나의 좌표를 연결하는 직선들이 표시되는 경우를 상기 보안이벤트로서 판별하는 것을 특징으로 하는 보안이벤트판별장치.8. The method of claim 7,
The security event includes:
And the source port of each of the reception traffic and the transmission traffic,
Wherein,
Wherein a line connecting the coordinates of the same number as the source port and the coordinates of the destination port that correspond to the source port and the destination port are displayed in the reception traffic and the transmission traffic, And determines the security event as a security event.
상기 보안이벤트는,
상기 전송트래픽의 목적지 주소, 및 목적지 포트를 기초로 판별되며,
상기 판별부는,
상기 수신트래픽이 존재하지 않은 상태에서, 상기 전송트래픽의 목적지 주소 및 목적지 포트가 기 설정된 특정 대상기관에 해당하는 경우를 상기 보안이벤트로서 판별하는 것을 특징으로 하는 보안이벤트판별장치.8. The method of claim 7,
The security event includes:
A destination address of the transmission traffic, and a destination port,
Wherein,
And judges, as the security event, a case where the destination address and the destination port of the transmission traffic correspond to a predetermined target entity in a state where the reception traffic does not exist.
상기 수신트래픽과 상기 전송트래픽 모두를 3차원 공간상에 가시화하여 표시하는 표시단계; 및
상기 3차원 공간상에 표시되고 있는 상기 수신트래픽 및 상기 전송트래픽 중 적어도 하나로부터 상기 대상기관과 관련하여 발생하고 있는 보안이벤트를 판별하는 판별단계를 포함하며,
상기 3차원 공간에는,
상기 대상기관에 해당하는 대상기관평면, 상기 수신트래픽의 출발지에 해당하는 공격지평면, 및 상기 전송트래픽의 목적지에 해당하는 피해지평면이 포함되는 것을 특징으로 하는 보안이벤트판별장치의 동작 방법.An identification step of identifying received traffic received from the target network as a destination from network traffic collected in relation to the target organization and transmission traffic transmitted from the target organization as a departure;
A display step of visually displaying both the received traffic and the transmission traffic in a three-dimensional space; And
And a determination step of determining a security event occurring in relation to the target organization from at least one of the reception traffic and the transmission traffic being displayed on the three-dimensional space,
In the three-dimensional space,
An attack plane corresponding to a source of the received traffic, and a damaged ground plane corresponding to a destination of the transmission traffic.
상기 3차원 공간에는,
수평면을 형성하는 X축 Y축, 및 상기 수평면에 대하여 수직면을 형성하는 Z축으로 이루어진 직각 좌표계에서, 동일한 모양과 크기를 갖는 제1직각육면체 및 제2직각육면체가 상기 X축 방향으로 서로의 수직면이 인접하도록 연속하여 위치하며,
상기 표시단계는,
상기 3차원 공간에서 서로의 수직면이 인접하도록 위치하고 있는 상기 제1직각육면체 및 상기 제2직각육면체 상에서 상기 수신트래픽과 상기 전송트래픽 모두를 가시화하여 표시하는 것을 특징으로 하는 보안이벤트판별장치의 동작 방법.12. The method of claim 11,
In the three-dimensional space,
The first rectangular hexahedron having the same shape and size and the second rectangular hexahedron having the same shape and size are arranged in a direction perpendicular to the X-axis Y-axis and the Z-axis forming the vertical plane with respect to the horizontal plane, Are adjacent to each other,
In the displaying step,
And displays both the received traffic and the transmitted traffic on the first rectangular hexahedron and the second rectangular hexahedron which are positioned so that their vertical surfaces are adjacent to each other in the three-dimensional space.
상기 제1직각육면체 및 상기 제2직각육면체 상에는,
상기 대상기관에 해당하는 대상기관평면, 상기 수신트래픽의 출발지에 해당하는 공격지평면, 및 상기 전송트래픽의 목적지에 해당하는 피해지평면 중 적어도 하나가 지정되며,
상기 표시단계는,
상기 제1직각육면체와 상기 제2직각육면체가 서로 인접하고 있는 수직평면을 상기 대상기관평면으로서 지정하고, 또한 상기 제1직각육면체에서 상기 대상기관평면으로 지정된 수직평면의 맞은편에 위치하는 수직평면을 상기 공격지평면으로서 지정하며, 아울러 상기 제2직각육면체에서 상기 대상기관평면으로 지정된 수직평면의 맞은편에 위치하는 수직평면을 상기 피해지평면으로서 지정하여 상기 수신트래픽과 상기 전송트래픽 모두를 가시화하여 표시하는 것을 특징으로 하는 보안이벤트판별장치의 동작 방법.13. The method of claim 12,
On the first right-angled hexahedron and the second right-angled hexahedron,
At least one of a target engine plane corresponding to the target organization, an attack horizon corresponding to a source of the received traffic, and a damage horizon corresponding to a destination of the transmission traffic,
In the displaying step,
A vertical plane in which the first rectangular hexahedron and the second rectangular hexahedron are adjacent to each other is designated as the target engine plane and a vertical plane located opposite the vertical plane designated by the target engine plane in the first rectangular hexahedron And designates a vertical plane located on the opposite side of a vertical plane designated by the target engine plane in the second rectangular hexahedron as the damaged horizontal plane to visualize both the received traffic and the transmitted traffic, The security event determination apparatus comprising:
상기 대상기관이 2 이상인 경우,
상기 표시단계는,
상기 대상기관평면을 상기 2 이상의 대상기관의 개수에 대응하는 직각셀(Cell)로서 분할하여, 상기 분할된 직각셀 각각에 대하여 상기 수신트래픽과 상기 전송트래픽 모두를 가시화하여 표시하는 것을 특징으로 하는 보안이벤트판별장치의 동작 방법. 14. The method of claim 13,
When the target organ is two or more,
In the displaying step,
And displays the received traffic and the transmitted traffic for each of the divided right-angled cells in a visualized form. And a method of operating the event discrimination device.
상기 수신트래픽 및 상기 전송트래픽 각각에는,
출발지 주소(IP), 출발지 포트(Port), 목적지 주소, 및 목적지 포트가 포함되며,
상기 표시단계는,
상기 수신트래픽의 출발지 주소 및 출발지 포트의 경우 상기 공격지평면 상의 좌표로서 가시화하여 표시하며, 또한 상기 수신트래픽의 목적지 주소 및 목적지 포트, 내지는 상기 전송트래픽의 출발지 주소 및 출발지 포트의 경우, 상기 대상기관평면 상의 좌표로서 가시화하여 표시하며, 아울러 상기 전송트래픽의 목적지 주소 및 목적지 포트의 경우, 상기 피해지평면 상의 좌표로서 가시화하여 표시하는 것을 특징으로 하는 보안이벤트 판별장치의 동작 방법.The method according to claim 13 or 14,
Each of the reception traffic and the transmission traffic includes:
A source address (IP), a source port, a destination address, and a destination port,
In the displaying step,
The destination address and the source port of the received traffic are displayed as coordinates on the attack plan surface in the case of the source address and the source port of the received traffic, and in the case of the destination address and the destination port of the received traffic, And displays, in the case of the destination address and the destination port of the transmission traffic, as visual coordinates as coordinates on the damaged ground plane.
상기 표시단계는,
상기 공격지평면에서의 상기 Y축을 상기 수신트래픽의 출발지 주소의 좌표로서 가시화하여 표시하고, 상기 공격지평면에서의 상기 Z축을 상기 수신트래픽의 출발지 포트의 좌표로서 가시화하여 표시하며, 또한 상기 대상기관평면에서의 상기 Y축을 상기 수신트래픽의 목적지 주소 또는 상기 전송트래픽의 출발지 주소의 좌표로서 가시화하여 표시하고, 상기 대상기관평면에서의 상기 Z축을 상기 수신트래픽에서의 목적지 포트 또는 상기 전송트래픽에서의 출발지 포트의 좌표로서 가시화하여 표시하며, 아울러 상기 피해지평면에서의 상기 Y축을 상기 전송트래픽의 목적지 주소의 좌표로서 가시화하여 표시하고, 상기 피해지평면에서의 상기 Z축을 상기 전송트래픽의 출발지 포트의 좌표로서 가시화하여 표시하는 것을 특징으로 하는 보안이벤트 판별장치의 동작 방법.16. The method of claim 15,
In the displaying step,
Axis in the attack plane, and displaying the Y axis on the attack plane as coordinates of a source address of the received traffic, displaying the Z axis on the attack plane as coordinates of a source port of the received traffic, Axis in the target engine plane as coordinates of the destination address of the received traffic or the source address of the transmitted traffic and displays the Y axis of the target engine plane in the destination port in the destination traffic or the source port of the transmission traffic And displaying the Y axis on the damaged ground plane as coordinates of a destination address of the transmission traffic and displaying the Z axis on the damaged ground plane as coordinates of a source port of the transmission traffic A security event determination How to value work.
상기 표시단계는,
상기 수신트래픽의 출발지 주소 및 출발지 포트에 해당하는 상기 공격지평면 상의 좌표와, 상기 수신트래픽의 목적지 주소 및 출발지 포트에 해당하는 상기 대상기관평면상의 좌표 상호 간을 연결하는 직선으로서 상기 수신트래픽을 가시화하여 표시하며, 또한 상기 전송트래픽의 출발지 주소 및 출발지 포트에 해당하는 상기 대상기관평면 상의 좌표와, 상기 전송트래픽의 목적지 주소 및 출발지 포트에 해당하는 상기 피해지평면 상의 좌표 상호 간을 연결하는 직선으로서 상기 전송트래픽을 가시화하여 표시하는 것을 특징으로 하는 보안이벤트판별장치의 동작 방법.17. The method of claim 16,
In the displaying step,
The received traffic is visualized as a straight line connecting the coordinates on the attack surface plane corresponding to the source address and the source port of the received traffic and the coordinates on the target engine plane corresponding to the destination address and the source port of the received traffic And a transmission line as a straight line connecting coordinates on the target engine plane corresponding to a source address and a source port of the transmission traffic and coordinates on the damaged ground plane corresponding to a destination address and a source port of the transmission traffic, And displays the visualized traffic and displays the visualized traffic.
상기 보안이벤트는,
상기 수신트래픽 및 상기 전송트래픽 각각의 목적지 주소 또는 목적지 포트를 기초로 판별되며,
상기 판별단계는,
상기 수신트래픽 및 상기 전송트래픽 각각에서 동일한 출발지 주소 및 출발지 포트에 해당하는 하나의 좌표와, 목적지 포트는 동일하되 서로 상이한 목적지 주소에 해당하는 설정 개수 이상의 좌표들을 연결하는 직선들이 표시되거나, 내지는, 동일한 출발지 주소 및 출발지 포트에 해당하는 하나의 좌표와, 목적지 주소는 동일하되 서로 상이한 목적지 포트에 해당하는 설정 개수 이상의 좌표들을 연결하는 직선들이 표시되는 경우를 상기 보안이벤트로서 판별하는 것을 특징으로 하는 보안이벤트판별장치의 동작 방법.18. The method of claim 17,
The security event includes:
The destination address or the destination port of each of the reception traffic and the transmission traffic,
Wherein,
One line corresponding to the same source address and source port in each of the reception traffic and the transmission traffic and lines connecting the coordinates of the same number that is the same as the destination port but different from the destination address are displayed, Wherein the security event determination unit identifies, as the security event, a case where a line connecting one coordinate corresponding to a source address and a source port and a destination line having coordinates equal to or greater than a set number corresponding to different destination ports is displayed, And an operation method of the discriminating device.
상기 보안이벤트는,
상기 수신트래픽 및 상기 전송트래픽 각각의 출발지 포트를 기초로 판별되며,
상기 판별단계는,
상기 수신트래픽 및 상기 전송트래픽 각각에서 출발지 주소는 동일하되 서로 상이한 출발지 포트에 해당하는 설정 개수 이상의 좌표들과, 동일한 목적지 주소 및 목적지 포트에 해당하는 하나의 좌표를 연결하는 직선들이 표시되는 경우를 상기 보안이벤트로서 판별하는 것을 특징으로 하는 보안이벤트판별장치의 동작 방법.18. The method of claim 17,
The security event includes:
And the source port of each of the reception traffic and the transmission traffic,
Wherein,
Wherein a line connecting the coordinates of the same number as the source port and the coordinates of the destination port that correspond to the source port and the destination port are displayed in the reception traffic and the transmission traffic, And determines that the security event is a security event.
상기 보안이벤트는,
상기 전송트래픽의 목적지 주소, 및 목적지 포트를 기초로 판별되며,
상기 판별단계는,
상기 수신트래픽이 존재하지 않은 상태에서, 상기 전송트래픽의 목적지 주소 및 목적지 포트가 기 설정된 특정 대상기관에 해당하는 경우를 상기 보안이벤트로서 판별하는 것을 특징으로 하는 보안이벤트판별장치의 동작 방법.18. The method of claim 17,
The security event includes:
A destination address of the transmission traffic, and a destination port,
Wherein,
And determines, as the security event, a case where the destination address and the destination port of the transmission traffic correspond to a predetermined target entity in a state where the reception traffic does not exist.
상기 수신트래픽과 상기 전송트래픽 모두를 3차원 공간상에 가시화하여 표시하는 표시단계; 및
상기 3차원 공간상에 표시되고 있는 상기 수신트래픽 및 상기 전송트래픽 중 적어도 하나로부터 상기 대상기관과 관련하여 발생하고 있는 보안이벤트를 판별하는 판별단계를 수행하기 위한 명령들을 포함하며,
상기 3차원 공간에는,
상기 대상기관에 해당하는 대상기관평면, 상기 수신트래픽의 출발지에 해당하는 공격지평면, 및 상기 전송트래픽의 목적지에 해당하는 피해지평면이 포함되는 것을 특징으로 하는 컴퓨터 판독 가능 기록매체.An identification step of identifying received traffic received from the target network as a destination from network traffic collected in relation to the target organization and transmission traffic transmitted from the target organization as a departure;
A display step of visually displaying both the received traffic and the transmission traffic in a three-dimensional space; And
And a determination step of determining a security event occurring in relation to the target organization from at least one of the reception traffic and the transmission traffic being displayed on the three-dimensional space,
In the three-dimensional space,
An attack plane corresponding to a source of the received traffic, and a damaged ground plane corresponding to a destination of the transmission traffic.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20130146603A KR101499116B1 (en) | 2013-11-28 | 2013-11-28 | Method for discriminating securty events, and apparatus applied to the same |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20130146603A KR101499116B1 (en) | 2013-11-28 | 2013-11-28 | Method for discriminating securty events, and apparatus applied to the same |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101499116B1 true KR101499116B1 (en) | 2015-03-06 |
Family
ID=53026412
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR20130146603A KR101499116B1 (en) | 2013-11-28 | 2013-11-28 | Method for discriminating securty events, and apparatus applied to the same |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101499116B1 (en) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101689298B1 (en) * | 2015-10-19 | 2016-12-23 | 한국과학기술정보연구원 | Automated verification method of security event and automated verification apparatus of security event |
| KR102038927B1 (en) * | 2018-11-17 | 2019-10-31 | 한국과학기술정보연구원 | Visualization apparatus and control method thereof |
| KR102038926B1 (en) * | 2018-11-17 | 2019-11-15 | 한국과학기술정보연구원 | Aggressor selecting device and control method thereof |
| KR20230087925A (en) * | 2021-12-10 | 2023-06-19 | 주식회사 코스콤 | Method for visualizing firewall policy and apparatus therefor |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060042788A (en) * | 2004-11-10 | 2006-05-15 | 한국전자통신연구원 | Method for analyzing security condition by representing network events in graphs and apparatus thereof |
| KR100656352B1 (en) * | 2005-09-16 | 2006-12-11 | 한국전자통신연구원 | Method for displaying event information of network security |
| KR100826884B1 (en) * | 2006-11-27 | 2008-05-06 | 한국전자통신연구원 | Apparatus and method for visualizing network situation using security cube |
| KR20080050919A (en) * | 2006-12-04 | 2008-06-10 | 한국전자통신연구원 | Method and apparatus for visualizing network security state |
-
2013
- 2013-11-28 KR KR20130146603A patent/KR101499116B1/en active IP Right Grant
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060042788A (en) * | 2004-11-10 | 2006-05-15 | 한국전자통신연구원 | Method for analyzing security condition by representing network events in graphs and apparatus thereof |
| KR100656352B1 (en) * | 2005-09-16 | 2006-12-11 | 한국전자통신연구원 | Method for displaying event information of network security |
| KR100826884B1 (en) * | 2006-11-27 | 2008-05-06 | 한국전자통신연구원 | Apparatus and method for visualizing network situation using security cube |
| KR20080050919A (en) * | 2006-12-04 | 2008-06-10 | 한국전자통신연구원 | Method and apparatus for visualizing network security state |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101689298B1 (en) * | 2015-10-19 | 2016-12-23 | 한국과학기술정보연구원 | Automated verification method of security event and automated verification apparatus of security event |
| US10721245B2 (en) | 2015-10-19 | 2020-07-21 | Korea Institute Of Science And Technology Information | Method and device for automatically verifying security event |
| KR102038927B1 (en) * | 2018-11-17 | 2019-10-31 | 한국과학기술정보연구원 | Visualization apparatus and control method thereof |
| KR102038926B1 (en) * | 2018-11-17 | 2019-11-15 | 한국과학기술정보연구원 | Aggressor selecting device and control method thereof |
| KR20230087925A (en) * | 2021-12-10 | 2023-06-19 | 주식회사 코스콤 | Method for visualizing firewall policy and apparatus therefor |
| KR102623276B1 (en) * | 2021-12-10 | 2024-01-11 | 주식회사 코스콤 | Method for visualizing firewall policy and apparatus therefor |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100925176B1 (en) | Apparatus and method for visualizing network state by using geographic information | |
| Hideshima et al. | STARMINE: A visualization system for cyber attacks | |
| KR100885293B1 (en) | Method and Apparatus for visualizing network security state | |
| US8803884B2 (en) | Event data visualization tool | |
| KR101499116B1 (en) | Method for discriminating securty events, and apparatus applied to the same | |
| JP4780413B2 (en) | Unauthorized access information collection system | |
| US20130335415A1 (en) | Converged security management system and method | |
| CN107579986B (en) | Network security detection method in complex network | |
| D'Amico et al. | Information assurance visualizations for specific stages of situational awareness and intended uses: lessons learned | |
| Majeed et al. | Near-miss situation based visual analysis of SIEM rules for real time network security monitoring | |
| Khan et al. | Towards an applicability of current network forensics for cloud networks: A SWOT analysis | |
| US8775613B2 (en) | Method and system for providing network monitoring, security event collection apparatus and service abnormality detection apparatus for network monitoring | |
| US20170279845A1 (en) | User Interface for Displaying and Comparing Attack Telemetry Resources | |
| Kim et al. | Image-based anomaly detection technique: algorithm, implementation and effectiveness | |
| Chang et al. | An efficient network attack visualization using security quad and cube | |
| CN109274551A (en) | A kind of accurate efficient industry control resource location method | |
| Ohnof et al. | IPMatrix: An effective visualization framework for cyber threat monitoring | |
| Seo et al. | Cylindrical Coordinates Security Visualization for multiple domain command and control botnet detection | |
| Jardosh et al. | Scuba: Focus and context for real-time mesh network health diagnosis | |
| Li et al. | The research on network security visualization key technology | |
| Onut et al. | A novel visualization technique for network anomaly detection. | |
| KR100819049B1 (en) | Apparatus for detecting and analyzing alert of intrusion and method for displaying it by graph in n-dimensions using the same | |
| JP4825979B2 (en) | Communication log visualization device, communication log visualization method, and communication log visualization program | |
| KR102260272B1 (en) | Apparatus for visualizling security information, method thereof, and storage medium storing a program visualizing security information | |
| IL256192A (en) | A mobile system and method for network traffic analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20180102 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20190130 Year of fee payment: 5 |