KR101868893B1 - 네트워크 보안 상황 시각화 방법 및 그 장치 - Google Patents

네트워크 보안 상황 시각화 방법 및 그 장치 Download PDF

Info

Publication number
KR101868893B1
KR101868893B1 KR1020120074733A KR20120074733A KR101868893B1 KR 101868893 B1 KR101868893 B1 KR 101868893B1 KR 1020120074733 A KR1020120074733 A KR 1020120074733A KR 20120074733 A KR20120074733 A KR 20120074733A KR 101868893 B1 KR101868893 B1 KR 101868893B1
Authority
KR
South Korea
Prior art keywords
attack
information
visualization
network security
situation
Prior art date
Application number
KR1020120074733A
Other languages
English (en)
Other versions
KR20140007615A (ko
Inventor
이성원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020120074733A priority Critical patent/KR101868893B1/ko
Priority to US13/721,236 priority patent/US9130981B2/en
Publication of KR20140007615A publication Critical patent/KR20140007615A/ko
Application granted granted Critical
Publication of KR101868893B1 publication Critical patent/KR101868893B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/32Monitoring with visual or acoustical indication of the functioning of the machine
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity

Abstract

본 발명은 네트워크에 존재하는 보안 이벤트를 수집 및 분석하여 공격 상황 정보로 분류 축약한 후 3D 화면으로 시각화하여 표시 패널에 표시하는데 적합한 네트워크 보안 상황 시각화 기법에 관한 것으로, 이를 위하여, 본 발명은, 네트워크의 보안 이벤트를 IP관점에서 표현하는 전술한 종래 방식과는 달리, 네트워크 보안 장치로부터 수집된 보안 이벤트 정보를 정규화하고, 정규화된 보안 이벤트 정보를 분석하여 공격 상황 정보로 분류 축약한 후 시각화 대상 데이터로 추출하며, 추출된 시각화 대상 데이터를 3D 화면으로 시각화하여 표시 패널에 표시해 줌으로써, 네트워크 관리자가 자신의 기관 내의 부서별, 발생 지역별, 보안 장비별 등으로 세분되는 보안 상황을 실시간으로 쉽게 파악 및 대응할 수 있는 것이다.

Description

네트워크 보안 상황 시각화 방법 및 그 장치{METHOD AND APPARATUS FOR VISUALIZING NETWORK SECURITY STATE}
본 발명은 네트워크 보안 상황 시각화 기법에 관한 것으로, 더욱 상세하게는 네트워크에 존재하는 보안 이벤트를 수집 및 분석하여 공격 상황 정보로 분류 축약한 후 3D 화면으로 시각화하여 표시 패널에 표시하는데 적합한 네트워크 보안 상황 시각화 방법 및 그 장치에 관한 것이다.
잘 알려진 바와 같이, 다수의 컴퓨터 또는 컴퓨팅 장치들은 인터넷 등과 같은 다양한 네트워크들을 통해 상호 접속되기 때문에 네트워크 또는 정보 시스템을 통해 행해지는 공격 또는 침입에 노출될 수 있으며, 이로 인해 공격 또는 침입으로부터 컴퓨터를 보안하는 문제의 중요성이 더욱 커지고 있는 실정이다.
또한, 네트워크 또는 정보 시스템을 통한 공격 또는 침입으로는 컴퓨터 바이러스, 컴퓨터 웜, 시스템 컴포넌트 교체, 서비스 거부 공격, 혹은 합법적인 컴퓨터 시스템 특징의 오용/남용을 포함하여 많은 다른 형태로 나타날 수 있다.
이러한 네트워크 공격에 대하여 학계 및 보안업체에서는 방화벽(Firewall) 등과 같은 침입 차단 시스템, IDS(Intrusion Detection System), IPS(Intusion Prevention Service) 등과 같은 침입 탐지 시스템, 가상 사설망(VPN: Virtual Private Network) 등의 기술을 이용한 네트워크 보안 방법을 제안하고 있다.
일반적으로, 네트워크의 보안 상황을 파악하는 방법에는 네트워크에서 발생하는 트래픽 패턴을 바탕으로 하는 방법과 네트워크상에 설치된 보안장치들로부터 발생하는 보안 이벤트를 이용하는 방법이 있다.
그러나, 트래픽 패턴을 바탕으로 하는 경우에는 트래픽의 양을 기준으로 하여 일정치 이상을 초과하게 되면 네트워크 안정성에 영향을 미치는 것으로 파악하기 때문에, 발생되는 트래픽 속성간의 상호 연관관계를 파악하여 이상 상태를 분석하는 데는 현실적으로 한계가 있었다.
또한, 네트워크 보안 장치로부터 발생하는 보안 이벤트를 바탕으로 하는 경우, 종래에는 네트워크 보안 이벤트의 발신지IP, 사용포트, 프로토콜, 착신지IP 정보를 이용하여 하나의 선의 형태로 표현하기 때문에 전체 네트워크의 보안 이벤트가 IP관점에서 표현(표시)되었다.
이러한 IP 중심의 보안 시각화는 각각의 IP에 대하여 상세한 정보를 볼 수는 있으나, 관제 대상이 되는 기관의 위치별, 보안 장치별, 공격 목적지별 상황 등을 파악하기는 어렵다는 근본적인 문제가 있다. 또한, 보안 관리자가 보안상황에 대한 조치를 할 경우도 개별 IP에 대하여 각각 대응해야 함으로 그 대응이 효율적이지 못하다는 문제가 있다.
대한민국 공개특허 제2008-0050919호(공개일 : 2008. 06. 10.)
본 발명은, 네트워크 관제 또는 보안 장치로부터 전송되는 네트워크 이벤트를 수집하고 이를 공격의 내역을 표현하는 돔 구조와 공격 대상이 되는 지역별로 탐지 장비별, 사업자별 보안 상황을 3차원 지도를 이용하여 3차원 화면에 시각화함으로써 네트워크의 보안상황을 실시간으로 표현하는 기법을 제공할 수 있다.
본 발명은, 일 관점에 따라, 네트워크 보안 장치로부터 보안 이벤트 정보를 수집하는 과정과, 상기 수집된 보안 이벤트 정보를 분석하여 보안 이벤트 관련의 시각화 대상 데이터를 추출하는 과정과, 상기 추출된 시각화 대상 데이터를 3D 화면으로 시각화하여 표시 패널에 표시하는 과정을 포함하는 네트워크 보안 상황 시각화 방법을 제공한다.
여기에서, 상기 추출하는 과정은, 기 정의된 표준 포맷과 표준 코드를 이용하여 상기 수집된 보안 이벤트 정보를 정규화하는 과정과, 상기 정규화된 보안 이벤트 정보를 분석하고, 그 분석결과에 따라 공격 상황 정보로 분류 축약하여 상기 시각화 대상 데이터로 추출하는 과정을 포함할 수 있다.
또한, 상기 시각화 대상 데이터는 상기 공격 상황 정보와 공격 상황에 대한 부가 정보를 포함할 수 있고, 상기 부가 정보는 상기 공격 상황에 대한 상세 정보와 누계 정보를 포함할 수 있으며, 상기 누계 정보는 발생 지역별 및 탐지 장비별로 누계되고, 공격측과 피해측을 구분하여 막대그래프 형태로 표현될 수 있다.
또한, 상기 상세 정보는 상기 데이터 갱신 표시자의 움직임에 따라 새로 갱신되는 데이터의 내용이 텍스트 박스 형태로 표시될 수 있으며, 상기 상세 정보는 마우스 이벤트의 발생시에 팝업창의 형태로 표시될 수 있다.
또한, 상기 공격 상황 정보는 공격의 종류와 공격 대상 서비스 포트를 표현하는 구조물의 형태로 표시될 수 있고, 기 설정된 임계값을 적용하여 기 설정된 기준 값 이상일 때 분류 축약되도록 설정될 수 있으며, 공격 유형별, 공격 코드별, 공격 목적지별, 공격 주기별, 탐지 장비별, 발생 지역별, 서비스 포트별, 장비별 공격 회수, 패킷수, 공격 볼륨 중 적어도 어느 하나 이상을 포함할 수 있다.
본 발명은, 다른 관점에 따라, 네트워크 보안 장치로부터 보안 이벤트를 수집하는 보안 이벤트 수집 블록과, 기 정의된 표준 포맷과 표준 코드를 이용하여 상기 수집된 보안 이벤트 정보를 정규화하는 보안 이벤트 정규화 블록과, 상기 정규화된 보안 이벤트 정보를 분석하고, 그 분석결과에 따라 공격 상황 정보로 분류 축약하는 보안 이벤트 축약 블록과, 분류 축약된 시각화 대상 데이터를 추출하여 3D 화면으로 시각화한 후 표시 패널에 표시하는 시각화 실행 블록을 포함하는 네트워크 보안 상황 시각화 장치를 제공한다.
본 발명은, 네트워크 관제 또는 보안 장치로부터 전송되는 네트워크 이벤트를 수집하고 이를 공격의 내역을 표현하는 돔 구조와 공격 대상이 되는 지역별로 탐지 장비별, 사업자별 보안 상황을 3차원 화면으로 시각화하여 실시간으로 표현해 줌으로써, 네트워크 관리자(보안 관리자)는 자신의 기관 내의 부서별, 발생 지역별, 보안 장비별 등으로 세분되는 보안 상황을 실시간으로 쉽게 파악 및 대응할 수 있다.
도 1은 본 발명에 따른 네트워크 보안 상황 시각화 장치의 블록구성도,
도 2는 본 발명에 따라 보안 이벤트 정보를 수집 분석한 결과를 시각화하여 표시하는 주요 과정을 도시한 순서도,
도 3은 본 발명에 따라 구현한 시각화 화면의 예시도,
도 4는 공격정보 표시 영역의 화면 예시도.
본 발명의 기술요지는, 네트워크의 보안 이벤트를 IP관점에서 표현하는 전술한 종래 방식과는 달리, 네트워크 보안 장치로부터 수집된 보안 이벤트 정보를 정규화하고, 정규화된 보안 이벤트 정보를 분석하여 공격 상황 정보로 분류 축약한 후 시각화 대상 데이터로 추출하며, 추출된 시각화 대상 데이터를 3D 화면으로 시각화하여 표시 패널에 표시한다는 것으로, 본 발명은 이러한 기술적 수단을 통해 종래 방식에서의 문제점을 효과적으로 개선할 수 있다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예에 대하여 상세하게 설명한다.
아울러, 아래의 본 발명을 설명함에 있어서 공지 기능 또는 구성 등에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들인 것으로, 이는 사용자, 운용자 등의 의도 또는 관례 등에 따라 달라질 수 있음은 물론이다. 그러므로, 그 정의는 본 명세서의 전반에 걸쳐 기술되는 기술사상을 토대로 이루어져야 할 것이다.
도 1은 본 발명에 따른 네트워크 보안 상황 시각화 장치의 블록구성도로서, 본 발명의 네트워크 보안 상황 시각화 장치(120)는 보안 이벤트 수집 블록(121), 보안 이벤트 정규화 블록(123), 보안 이벤트 축약 블록(125), 시각화 실행 블록(127) 및 부가 정보 분류 블록(129) 등을 포함할 수 있다. 도 1에 있어서, 네트워크 보안 장치(110)는, 예컨대 IDS/IPS(112), DDoS 탐지 장치(114), 방화벽(116) 등을 포함할 수 있다.
도 1을 참조하면, 보안 이벤트 수집 블록(121)은 IDS/IPS(112), DDoS 탐지 장치(114), 방화벽(116) 등과 같은 네트워크 보안 장치(110)로부터 보안 이벤트 정보를 수집, 즉 도 1에 도시된 바와 같이 분산되어 있는 네트워크 보안 장치들의 보안 이벤트 로그를 실시간으로 모니터링하여 기 설정된 일정 주기마다 보안 이벤트 정보를 통합하여 수집하는 등의 기능을 제공할 수 있다.
다음에, 보안 이벤트 정규화 블록(123)은 기 정의된 표준 포맷과 표준 코드를 이용하여 보안 이벤트 수집 블록(121)을 통해 수집되는 보안 이벤트 정보, 예컨대 공격 유형, 공격 코드, 공격 목적지, 공격 주기, 탐지 장비의 종류, 발생 지역, 서비스 포트, 장비별 공격 회수, 패킷수, 공격 볼륨 등과 같은 보안 이벤트 정보를 기 정의된 표준 포맷과 표준 코드를 이용하여 정규화하는 등의 기능을 제공할 수 있다.
즉, 네트워크 보안 장치에서 생성되는 데이터의 포맷과 사용코드가 모두 다를 수 있는데, 예컨대 A사의 IDS에서는 SYNFlooding 공격을 1로 표현하지만 B사는 SF로 표현할 수 있다. 따라서, 본 발명에서는 이러한 서로 다른 표현을 하나의 통일된 코드를 정의하여 표현하는 정규화를 실행하는 것이다.
그리고, 보안 이벤트 축약 블록(125)은 보안 이벤트 정규화 블록(123)을 통해 정규화되어 메모리 영역(도시 생략)에 저장된 정규화된 보안 이벤트 정보를 분석하고, 그 분석결과에 따라 공격 상황 정보로 분류 축약하는 등의 기능을 제공할 수 있다.
즉, 보안 이벤트 축약 블록(125)은 정규화된 보안 이벤트 정보에 기 설정된 임계값을 적용하여 기 설정된 기준 값 이상일 때 공격 상황 정보로 분류 축약하는 기능을 제공할 수 있다. 여기에서, 정규화된 보안 이벤트 정보의 분류 축약은, 예컨대 공격 유형별, 공격 코드별, 공격 목적지별, 공격 주기별, 탐지 장비별, 발생 지역별, 서비스 포트별, 장비별 공격 회수, 패킷수, 공격 볼륨, 착발신 ID, 동일 시간대 등으로 구분되어 실행되는데, 이와 같이 분류 축약되는 각 정보들은 공격 상황 정보와 부가 정보로 누적되어 메모리 영역에 저장될 수 있으며, 부가 정보는 공격 상황에 대한 상세 정보와 누계 정보를 포함할 수 있다. 또한, 누계 정보는, 예컨대 발생 지역별 및 탐지 장비별로 누계될 수 있다.
이때, 보안 이벤트 정보를 축약하는 것은 수집되는 모든 보안 이벤트 정보를 모두 시각화할 경우 표현해야 할 데이터의 양이 너무 방대하게 되어 후술하는 과정에서의 시각화 속도에 문제(실시간성의 문제)가 야기될 수 있으며, 또한 시각화 화면이 너무 복잡하게 되어 오히려 보안 관리자가 시각적인 혼선을 초래할 수도 있기 때문이다.
이러한 점들을 고려하여, 예컨대 공격량이 시간당 1Gbps 이상인 것을 시각화 대상으로 한다거나 혹은 공격에 사용된 분당 패킷수가 10만건 이상인 것을 시각화 대상으로 할 수 있다.
다음에, 시각화 실행 블록(127)은, 예컨대 공격 유형별, 공격 코드별, 공격 목적지별, 공격 주기별, 탐지 장비별, 발생 지역별, 서비스 포트별, 장비별 공격 회수, 패킷수, 공격 볼륨, 착발신 ID, 동일 시간대 등으로 구분되어 분류 축약된 시각화 대상 데이터를 메모리 영역으로부터 추출하여 3D 화면으로 시각화한 후 표시 패널(도시 생략)에 표시하는 등의 기능을 제공할 수 있다.
그리고, 부가 정보 분류 블록(129)은 공격 상황 정보의 공격 이벤트에 대한 상세 정보와 누계 정보를 부가정보로서 분류하는 메모리 영역에 저장하고, 시각화가 실행될 때 이러한 부가 정보를 인출하여 시각화 실행 블록(127)으로 전달하는 등의 기능을 제공할 수 있다.
여기에서, 3D의 시각화 화면은, 일 예로서 도 3에 도시된 바와 같이, 공격 정보 표시 영역(302), 데이터 갱신 표시자(304), 전자지도 표시 영역(306), 부가 정보의 상세 정보 표시 영역(308), 부가 정보의 누계 정보 표시 영역(310) 등을 포함할 수 있다.
이때, 공격 정보 표시 영역(302)에 표시되는 공격 상황 정보는, 일 예로서 도 4에 도시된 바와 같이, 공격의 종류와 공격 대상 서비스 포트를 표현하는 돔 형태의 구조물로 표시될 수 있고, 예컨대 세로축에 공격의 종류를 표시하고 가로축에 공격 대상 서비스 포트를 표시하는 방식으로 표현될 수 있으며, 공격 정보 표시 영역(302)에서의 데이터 갱신은 공격 종류별 또는 서비스 포트별로 한 번에 진행될 수 있는데, 일 예로서 데이터 갱신 표시자(304)가 좌하에서 우상으로 이동하면서 해당 공격 상황 정보가 갱신 표시될 수 있으며, 새로운 데이터가 있거나 혹은 갱신되는 데이터가 있는 경우 해당 데이터를 공격 지역으로 움직이는 선의 형태로 연결 표시될 수 있다.
여기에서 데이터 갱신 표시자는 보통 레이더에서 스캔하는 듯한 움직임을 보이는 점을 나타내는 것으로, 보안 상황을 시각화하는 경우, 한 화면에 표시되는 데이터의 양이 많고, 보안 상황을 거의 실시간으로 화면에 반영하려면 데이터의 업데이트가 자주 일어나야 하는데, 빈번하고 많은 양의 데이터 업데이트는 시스템에 부하를 주어 성능에 영향을 미치게 된다. 따라서, 데이터 갱신 표시자는 레이더의 점처럼 돔 구조의 시작부터 끝을 주기적으로 스캔하면서 갱신된 데이터를 반영하는 역할을 수행하는데, 이것은 한번에 읽어와야 하는 데이터의 양을 줄이고 갱신된 데이터의 반영도 일정시간 이상 걸리지 않게 위해서이다. 즉, 본 발명에서는 이러한 기법을 통해 주기적으로 특정 공격과 포트에 대한 데이터를 갱신한다.
또한, 부가 정보의 상세 정보 표시 영역(308)에 표시되는 상세 정보는 데이터 갱신 표시자(304)의 움직임에 따라 새로 갱신되는 데이터의 내용이 텍스트 박스 형태로 표시될 수 있는데, 이러한 상세 정보는, 예컨대 보안 관리자에 의해 마우스 이벤트가 발생될 때 표시 패널 상에 팝업창의 형태로 표시될 수 있다.
그리고, 부가 정보의 누계 정보 표시 영역(310)에 표시되는 누계 정보는 발생 지역별 및 탐지 장비별로 누계되어 공격측과 피해측을 구분하여 표현하는 막대그래프 형태로 표시될 수 있다.
다음에, 상술한 바와 같은 구성을 갖는 본 발명의 네트워크 보안 상황 시각화 장치를 이용하여 네트워크 보안 상황에 대한 시각화 서비스를 제공하는 일련의 과정들에 대하여 설명한다.
도 2는 본 발명에 따라 보안 이벤트 정보를 수집 분석한 결과를 시각화하여 표시하는 주요 과정을 도시한 순서도이다.
도 2를 참조하면, 보안 이벤트 수집 블록(121)에서는 IDS/IPS(112), DDoS 탐지 장치(114), 방화벽(116) 등과 같은 네트워크 보안 장치(110)의 보안 이벤트 로그를 실시간으로 모니터링하여 기 설정된 일정 주기마다 보안 이벤트 정보를 통합 수집한다(단계 202).
다음에, 보안 이벤트 정규화 블록(123)에서는 수집된 보안 이벤트 정보, 예컨대 공격 유형, 공격 코드, 공격 목적지, 공격 주기, 탐지 장비의 종류, 발생 지역, 서비스 포트, 장비별 공격 회수, 패킷수, 공격 볼륨 등과 같은 보안 이벤트 정보를 기 정의된 표준 포맷과 표준 코드를 이용하여 정규화하여 도시 생략된 메모리 영역에 저장한다(단계 204).
이에 응답하여, 보안 이벤트 축약 블록(125)에서는 정규화된 보안 이벤트 정보를 분석하여 그 임계값이 기 설정된 기준 값 이상일 때 공격 상황 정보로 분류 축약, 예컨대 공격 유형별, 공격 코드별, 공격 목적지별, 공격 주기별, 탐지 장비별, 발생 지역별, 서비스 포트별, 장비별 공격 회수, 패킷수, 공격 볼륨, 착발신 ID, 동일 시간대 등으로 구분되어 분류 축약한다(단계 206). 여기에서, 분류 축약되는 각 정보들은 공격 상황 정보와 부가 정보로 누적될 수 있고, 부가 정보는 공격 상황에 대한 상세 정보와 누계 정보를 포함할 수 있으며, 누계 정보는, 예컨대 발생 지역별 및 탐지 장비별로 누계될 수 있다.
그리고, 시각화 실행 블록(127)에서는 분류 축약된 시각화 대상 데이터를 메모리 영역으로부터 추출하고(단계 208), 이 추출되는 시각화 대상 데이터들을 3D 화면으로 시각화하여 표시 패널을 통해 표시한다(단계 210). 여기에서, 표시 패널을 통해 표시되는 3D의 시각화 화면에는, 일예로서 도 3에 도시된 바와 같이, 돔 구조의 형태로 공격 상황 정보가 표시되는 공격 정보 표시 영역(302), 데이터 갱신 표시자(304), 전자지도 표시 영역(306), 공격 상황에 대한 상세 정보가 표시되는 부가 정보의 상세 정보 표시 영역(308), 발생 지역별 및 탐지 장비별로 누계되는 누계 정보가 표시되는 부가 정보의 누계 정보 표시 영역(310) 등이 포함될 수 있다.
따라서, 보안 관리자는, 표시 패널을 통해 3D 화면으로 표시되는 공격 상황 정보와 부가 정보를 통해 기관 내의 부서별, 발생 지역별, 보안 장비별 등으로 세분되는 보안 상황을 실시간으로 확실하게 파악 및 대응할 수 있을 것이다.
이상의 설명에서는 본 발명의 바람직한 실시 예들을 제시하여 설명하였으나 본 발명이 반드시 이에 한정되는 것은 아니며, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능함을 쉽게 알 수 있을 것이다.
121 : 보안 이벤트 수집 블록 123 : 보안 이벤트 정규화 블록
125 : 보안 이벤트 축약 블록 127 : 시각화 실행 블록
129 : 부가 정보 분류 블록

Claims (19)

  1. 네트워크 보안 장치로부터 보안 이벤트 정보를 수집하는 과정과,
    상기 수집된 보안 이벤트 정보를 분석하여 보안 이벤트 관련의 시각화 대상 데이터를 추출하는 과정과,
    상기 추출된 시각화 대상 데이터를 3D 화면으로 시각화하여 표시 패널에 표시하는 과정
    을 포함하고,
    상기 표시 패널에 표시하는 과정은,
    상기 3D 화면의 돔 구조의 형태로 공격 상황 정보가 표시되는 공격 정보 표시 영역에서, 데이터 갱신 표시자가 상기 돔 구조의 시작부터 끝을 주기적으로 스캔하면서 갱신된 데이터를 반영하고,
    상기 돔 구조 형태의 공격 정보 표시 영역의 세로축의 공격의 종류를 표시하고, 가로축에 공격 대상 서비스 포트를 표시하고, 상기 데이터 갱신 표시자가 상기 공격 정보 표시 영역의 좌하에서 우상으로 이동하면서 새로운 데이터 및 상기 갱신된 데이터를 선의 형태로 연결하여 표시하고,
    상기 3D 화면의 부가 정보의 상세 정보 표시 영역에, 상기 새로운 데이터 및 상기 갱신된 데이터의 내용을 텍스트 박스 형태로 표시하고, 마우스 이벤트가 발생하는 경우 상기 표시 패널에 팝업창 형태로 표시하고,
    상기 3D 화면의 부가 정보의 누계 정보 표시 영역에, 상기 새로운 데이터 및 상기 갱신된 데이터를 발생 지역별 및 탐지 장비별로 누계하여, 공격측과 피해측을 구분한 막대그래프를 표시하는 것을 특징으로 하는 네트워크 보안 상황 시각화 방법.
  2. 제 1 항에 있어서,
    상기 추출하는 과정은,
    기 정의된 표준 포맷과 표준 코드를 이용하여 상기 수집된 보안 이벤트 정보를 정규화하는 과정과,
    상기 정규화된 보안 이벤트 정보를 분석하고, 그 분석결과에 따라 공격 상황 정보로 분류 축약하여 상기 시각화 대상 데이터로 추출하는 과정
    을 포함하는 네트워크 보안 상황 시각화 방법.
  3. 제 2 항에 있어서,
    상기 시각화 대상 데이터는,
    상기 공격 상황 정보와 공격 상황에 대한 부가 정보를 포함하는
    네트워크 보안 상황 시각화 방법.
  4. 제 3 항에 있어서,
    상기 부가 정보는,
    상기 공격 상황에 대한 상세 정보와 누계 정보를 포함하는
    네트워크 보안 상황 시각화 방법.
  5. 제 4 항에 있어서,
    상기 누계 정보는,
    발생 지역별 및 탐지 장비별로 누계되고, 공격측과 피해측을 구분하여 막대그래프 형태로 표현되는
    네트워크 보안 상황 시각화 방법.
  6. 제 4 항에 있어서,
    상기 상세 정보는,
    상기 데이터 갱신 표시자의 움직임에 따라 새로 갱신되는 데이터의 내용이 텍스트 박스 형태로 표시되는
    네트워크 보안 상황 시각화 방법.
  7. 제 6 항에 있어서,
    상기 상세 정보는,
    마우스 이벤트의 발생시에 팝업창의 형태로 표시되는 네트워크 보안 상황 시각화 방법.
  8. 제 2 항에 있어서,
    상기 공격 상황 정보는,
    공격의 종류와 공격 대상 서비스 포트를 표현하는 구조물의 형태로 표시되는
    네트워크 보안 상황 시각화 방법.
  9. 제 2 항에 있어서,
    상기 공격 상황 정보는,
    기 설정된 임계값을 적용하여 기 설정된 기준 값 이상일 때 분류 축약되는
    네트워크 보안 상황 시각화 방법.
  10. 제 9 항에 있어서,
    상기 공격 상황 정보는,
    공격 유형별, 공격 코드별, 공격 목적지별, 공격 주기별, 탐지 장비별, 발생 지역별, 서비스 포트별, 장비별 공격 회수, 패킷수, 공격 볼륨 중 적어도 어느 하나 이상을 포함하는
    네트워크 보안 상황 시각화 방법.
  11. 네트워크 보안 장치로부터 보안 이벤트를 수집하는 보안 이벤트 수집 블록과,
    기 정의된 표준 포맷과 표준 코드를 이용하여 상기 수집된 보안 이벤트 정보를 정규화하는 보안 이벤트 정규화 블록과,
    상기 정규화된 보안 이벤트 정보를 분석하고, 그 분석결과에 따라 공격 상황 정보로 분류 축약하는 보안 이벤트 축약 블록과,
    분류 축약된 시각화 대상 데이터를 추출하여 3D 화면으로 시각화한 후 표시 패널에 표시하는 시각화 실행 블록
    을 포함하고,
    상기 시각화 실행 블록은,
    상기 3D 화면의 돔 구조의 형태로 공격 상황 정보가 표시되는 공격 정보 표시 영역에서, 데이터 갱신 표시자가 상기 돔 구조의 시작부터 끝을 주기적으로 스캔하면서 갱신된 데이터를 반영하고,
    상기 돔 구조 형태의 공격 정보 표시 영역의 세로축의 공격의 종류를 표시하고, 가로축에 공격 대상 서비스 포트를 표시하고, 상기 데이터 갱신 표시자가 상기 공격 정보 표시 영역의 좌하에서 우상으로 이동하면서 새로운 데이터 및 상기 갱신된 데이터를 선의 형태로 연결하여 표시하고,
    상기 3D 화면의 부가 정보의 상세 정보 표시 영역에, 상기 새로운 데이터 및 상기 갱신된 데이터의 내용을 텍스트 박스 형태로 표시하고, 마우스 이벤트가 발생하는 경우 상기 표시 패널에 팝업창 형태로 표시하고,
    상기 3D 화면의 부가 정보의 누계 정보 표시 영역에, 상기 새로운 데이터 및 상기 갱신된 데이터를 발생 지역별 및 탐지 장비별로 누계하여, 공격측과 피해측을 구분한 막대그래프를 표시하는 것을 특징으로 하는 네트워크 보안 상황 시각화 장치.
  12. 제 11 항에 있어서,
    상기 장치는,
    상기 공격 상황 정보의 공격 이벤트에 대한 상세 정보와 누계 정보를 부가정보로서 분류하는 부가정보 분류 블록
    을 더 포함하는 네트워크 보안 상황 시각화 장치.
  13. 제 11 항에 있어서,
    상기 보안 이벤트 축약 블록은,
    기 설정된 임계값을 적용하여 기 설정된 기준 값 이상일 때 상기 공격 상황 정보로 분류 축약하는
    네트워크 보안 상황 시각화 장치.
  14. 제 13 항에 있어서,
    상기 공격 상황 정보는,
    공격 유형별, 공격 코드별, 공격 목적지별, 공격 주기별, 탐지 장비별, 발생 지역별, 서비스 포트별, 장비별 공격 회수, 패킷수, 공격 볼륨 중 적어도 어느 하나 이상을 포함하는
    네트워크 보안 상황 시각화 장치.
  15. 제 11 항에 있어서,
    상기 시각화 실행 블록은,
    상기 공격 상황 정보를 공격의 종류와 공격 대상 서비스 포트를 표현하는 구조물의 형태로 상기 표시 패널에 표시하는
    네트워크 보안 상황 시각화 장치.
  16. 제 12 항에 있어서,
    상기 시각화 실행 블록은,
    발생 지역별 및 탐지 장비별로 누계된 상기 부가 정보를 공격측과 피해측을 구분하여 표현하는 막대그래프 형태로 상기 표시 패널에 표시하는
    네트워크 보안 상황 시각화 장치.
  17. 제 12 항에 있어서,
    상기 시각화 실행 블록은,
    데이터 갱신 표시자의 스캔 움직임에 따라 새로 갱신되는 데이터의 내용을 상기 상세 정보로서 텍스트 박스 형태로 표시하는
    네트워크 보안 상황 시각화 장치.
  18. 제 17 항에 있어서,
    상기 시각화 실행 블록은,
    마우스 이벤트가 발생될 때 상기 상세 정보를 팝업창의 형태로 상기 표시 패널에 표시하는
    네트워크 보안 상황 시각화 장치.
  19. 제 11 항에 있어서,
    상기 네트워크 보안 장치는,
    IDS(intrusion detection system), IPS(intrusion prevention service), DDoS 탐지 장치, 방화벽 중 적어도 어느 하나 이상을 포함하는
    네트워크 보안 상황 시각화 장치.
KR1020120074733A 2012-07-09 2012-07-09 네트워크 보안 상황 시각화 방법 및 그 장치 KR101868893B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020120074733A KR101868893B1 (ko) 2012-07-09 2012-07-09 네트워크 보안 상황 시각화 방법 및 그 장치
US13/721,236 US9130981B2 (en) 2012-07-09 2012-12-20 Method and apparatus for visualizing network security state

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120074733A KR101868893B1 (ko) 2012-07-09 2012-07-09 네트워크 보안 상황 시각화 방법 및 그 장치

Publications (2)

Publication Number Publication Date
KR20140007615A KR20140007615A (ko) 2014-01-20
KR101868893B1 true KR101868893B1 (ko) 2018-06-19

Family

ID=49879582

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120074733A KR101868893B1 (ko) 2012-07-09 2012-07-09 네트워크 보안 상황 시각화 방법 및 그 장치

Country Status (2)

Country Link
US (1) US9130981B2 (ko)
KR (1) KR101868893B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102239985B1 (ko) * 2020-10-14 2021-04-14 (주)시큐레이어 시스템에 위협이 될 수 있는 위협 이벤트를 최적화 ui 상에서 디스플레이함으로써 사용자가 상기 위협 이벤트를 용이하게 분석할 수 있도록 하는 위협 이벤트 리플레이 방법 및 장치
KR102505519B1 (ko) 2022-07-15 2023-03-03 주식회사 엔터테이크 차트축감지방법 및 장치

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10409980B2 (en) 2012-12-27 2019-09-10 Crowdstrike, Inc. Real-time representation of security-relevant system state
US9565079B1 (en) * 2013-01-10 2017-02-07 F5 Networks, Inc. Holographic statistics reporting
US10986136B1 (en) 2013-09-30 2021-04-20 F5 Networks, Inc. Methods for application management and monitoring and devices thereof
US9798882B2 (en) * 2014-06-06 2017-10-24 Crowdstrike, Inc. Real-time model of states of monitored devices
US10230742B2 (en) 2015-01-30 2019-03-12 Anomali Incorporated Space and time efficient threat detection
EP3332507A4 (en) 2015-08-03 2019-03-13 Ingalls Information Security IP, L.L.C. NETWORK SECURITY MONITORING AND CORRELATION SYSTEM AND METHOD OF USE THEREOF
US10491705B2 (en) 2015-09-08 2019-11-26 At&T Intellectual Property I, L.P. Visualization for network virtualization platform
US20170126727A1 (en) * 2015-11-03 2017-05-04 Juniper Networks, Inc. Integrated security system having threat visualization
KR101913339B1 (ko) * 2016-12-19 2019-01-14 (주)에이알씨엔에스 네트워크 보안상황 시각화 장치
US10397258B2 (en) * 2017-01-30 2019-08-27 Microsoft Technology Licensing, Llc Continuous learning for intrusion detection
CN110929187A (zh) * 2018-09-18 2020-03-27 北京数安鑫云信息技术有限公司 威胁事件可视化展现方法、装置、存储装置及计算机设备
US11354325B2 (en) 2018-10-25 2022-06-07 Bank Of America Corporation Methods and apparatus for a multi-graph search and merge engine
US10630726B1 (en) 2018-11-18 2020-04-21 Bank Of America Corporation Cybersecurity threat detection and mitigation system
KR101987031B1 (ko) * 2018-11-22 2019-06-10 (주)시큐레이어 네트워크 관제를 위한 정보의 시각화를 제공하는 방법 및 이를 이용한 장치
US10824676B2 (en) 2018-11-29 2020-11-03 Bank Of America Corporation Hybrid graph and relational database architecture
US11334626B1 (en) 2020-11-02 2022-05-17 Bank Of America Corporation Hybrid graph and relational database architecture
US11604515B2 (en) 2020-11-27 2023-03-14 At&T Intellectual Property I, L.P. Network virtualization platforms enhanced with non-visual sensory interactivity
US11374824B2 (en) 2020-11-27 2022-06-28 At&T Intellectual Property I, L.P. Time-based visualization for network virtualization platform
CN114978720B (zh) * 2022-05-26 2023-06-20 沈阳理工大学 一种分布式拒绝服务攻击可视化表征的智能检测方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7607169B1 (en) * 2002-12-02 2009-10-20 Arcsight, Inc. User interface for network security console
US20100162392A1 (en) * 2008-12-22 2010-06-24 Electronics And Telecommunications Research Institute Apparatus and method for monitoring security status of wireless network
KR100992066B1 (ko) * 2010-04-19 2010-11-05 주식회사 이글루시큐리티 3차원 화면을 이용한 통합보안관제시스템

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7047423B1 (en) 1998-07-21 2006-05-16 Computer Associates Think, Inc. Information security analysis system
JP4152108B2 (ja) * 2002-01-18 2008-09-17 株式会社コムスクエア 脆弱点監視方法及びシステム
KR100885293B1 (ko) * 2006-12-04 2009-02-23 한국전자통신연구원 네트워크 보안 상황 표시 장치 및 그 방법
KR100979200B1 (ko) * 2008-07-30 2010-08-31 한국전자통신연구원 Gis 기반의 네트워크 정보 표시장치
KR101107742B1 (ko) * 2008-12-16 2012-01-20 한국인터넷진흥원 에스아이피(sip) 기반 서비스의 보호를 위한 sip 침입 탐지 및 대응 시스템
US20120221589A1 (en) * 2009-08-25 2012-08-30 Yuval Shahar Method and system for selecting, retrieving, visualizing and exploring time-oriented data in multiple subject records
KR20120057066A (ko) 2010-11-26 2012-06-05 한국전자통신연구원 네트워크 보안관제 시스템 및 방법, 네트워크 보안관제를 위한 보안 이벤트 처리 장치 및 시각화 처리 장치

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7607169B1 (en) * 2002-12-02 2009-10-20 Arcsight, Inc. User interface for network security console
US20100162392A1 (en) * 2008-12-22 2010-06-24 Electronics And Telecommunications Research Institute Apparatus and method for monitoring security status of wireless network
KR100992066B1 (ko) * 2010-04-19 2010-11-05 주식회사 이글루시큐리티 3차원 화면을 이용한 통합보안관제시스템

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102239985B1 (ko) * 2020-10-14 2021-04-14 (주)시큐레이어 시스템에 위협이 될 수 있는 위협 이벤트를 최적화 ui 상에서 디스플레이함으로써 사용자가 상기 위협 이벤트를 용이하게 분석할 수 있도록 하는 위협 이벤트 리플레이 방법 및 장치
KR102505519B1 (ko) 2022-07-15 2023-03-03 주식회사 엔터테이크 차트축감지방법 및 장치

Also Published As

Publication number Publication date
KR20140007615A (ko) 2014-01-20
US9130981B2 (en) 2015-09-08
US20140013432A1 (en) 2014-01-09

Similar Documents

Publication Publication Date Title
KR101868893B1 (ko) 네트워크 보안 상황 시각화 방법 및 그 장치
EP3356985B1 (en) Detection of security incidents with low confidence security events
US8019865B2 (en) Method and apparatus for visualizing network security state
Koike et al. Visualizing cyber attacks using IP matrix
CN114679338A (zh) 一种基于网络安全态势感知的网络风险评估方法
CN105071985A (zh) 一种服务器网络行为描述方法
KR20150091775A (ko) 비정상 행위 탐지를 위한 네트워크 트래픽 분석 방법 및 시스템
CN111726342B (zh) 一种提升蜜罐系统告警输出精准性的方法及系统
CN114020735A (zh) 安全告警日志降噪方法、装置、设备及存储介质
KR101991737B1 (ko) 공격자 가시화 방법 및 장치
CN114640548A (zh) 一种基于大数据的网络安全感知和预警的方法及系统
US8775613B2 (en) Method and system for providing network monitoring, security event collection apparatus and service abnormality detection apparatus for network monitoring
KR100609707B1 (ko) 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석방법 및 그 장치
CN112650180B (zh) 安全告警方法、装置、终端设备及存储介质
Chang et al. An efficient network attack visualization using security quad and cube
KR100819049B1 (ko) 침입 상황 분석 및 대응 장치 그리고 그 장치가 공격탐지경보를 n차 분면 연관 그래프로 표현하는 방법
Ohnof et al. IPMatrix: An effective visualization framework for cyber threat monitoring
KR20190027122A (ko) 네트워크 공격 패턴 분석 및 방법
JP6067195B2 (ja) 情報処理装置及び情報処理方法及びプログラム
KR102127650B1 (ko) 네트워크 보안상황 와해성 시각화 장치
JP2013121008A (ja) 攻撃対策装置、攻撃対策方法及び攻撃対策プログラム
KR101991736B1 (ko) 공격자 상관정보 가시화 방법 및 장치
WO2006077666A1 (ja) 観測データ表示装置、観測データ表示方法、観測データ表示プログラムおよびそれを記録したコンピュータ読み取り可能な記録媒体
CN111404917B (zh) 一种基于工控仿真设备的威胁情报分析检测方法及系统
CN113971288A (zh) 一种基于大数据技术智慧校园安全管控平台

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant