KR101913339B1 - Apparatus for visualizing network security state - Google Patents

Apparatus for visualizing network security state Download PDF

Info

Publication number
KR101913339B1
KR101913339B1 KR1020160173439A KR20160173439A KR101913339B1 KR 101913339 B1 KR101913339 B1 KR 101913339B1 KR 1020160173439 A KR1020160173439 A KR 1020160173439A KR 20160173439 A KR20160173439 A KR 20160173439A KR 101913339 B1 KR101913339 B1 KR 101913339B1
Authority
KR
South Korea
Prior art keywords
security
attack
analysis
display
event
Prior art date
Application number
KR1020160173439A
Other languages
Korean (ko)
Other versions
KR20180070890A (en
Inventor
장범환
김병수
김정환
Original Assignee
(주)에이알씨엔에스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)에이알씨엔에스 filed Critical (주)에이알씨엔에스
Priority to KR1020160173439A priority Critical patent/KR101913339B1/en
Publication of KR20180070890A publication Critical patent/KR20180070890A/en
Application granted granted Critical
Publication of KR101913339B1 publication Critical patent/KR101913339B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명의 일 실시예에 따른 네트워크 보안상황 시각화 장치는 외부로부터 전달받은 보안 경보 이벤트 정보 및 네트워크 트래픽 정보 중 적어도 하나에 기초하여 상기 보안 경보 이벤트 특성을 추출하는 보안경보 이벤트 수집/추출부; 상기 보안경보 이벤트 수집/추출부에서 추출한 상기 보안 경보 이벤트 특성에 기초하여 현재의 보안상황을 디스플레이에 출력하는 보안상황 분석/표시부;를 포함하고, 상기 보안 경보 이벤트 특성은 공격자 정보, 피해자 정보, 공격자와 피해자간의 연관관계, 공격의 종류 및 공격의 횟수 중 적어도 하나를 포함한다.The network security situation visualization apparatus according to an embodiment of the present invention includes a security alarm event collection / extraction unit that extracts the security alarm event characteristics based on at least one of security alarm event information and network traffic information transmitted from the outside; And outputting a current security status to the display based on the security alarm event characteristic extracted by the security alarm event collecting / extracting unit, wherein the security alarm event characteristic includes attacker information, victim information, And the victim, the type of attack, and the number of attacks.

Description

네트워크 보안상황 시각화 장치{APPARATUS FOR VISUALIZING NETWORK SECURITY STATE}[0001] APPARATUS FOR VISUALIZING NETWORK SECURITY STATE [0002]

본 발명은 네트워크 보안상황 시각화 장치에 관한 것으로, 구체적으로 보안 경보 이벤트의 중요 속성값을 이용하여 네트워크의 보안상황을 효율적으로 인지할 수 있는 네트워크 보안상황 시각화 장치에 관한 것이다. The present invention relates to a network security situation visualization apparatus, and more particularly, to a network security situation visualization apparatus capable of efficiently recognizing a security situation of a network by using an important attribute value of a security alarm event.

종래의 보안경보 이벤트를 이용한 네트워크 보안상황 시각화 기술은 이벤트의 속성(공격유형, IP주소, 국가)별 빈도수에 따라 해당 속성의 상위 개체(TOP-N) 분석을 독립적으로 수행 및 표시하는 경우가 대부분이다. The network security situation visualization technology using the conventional security alarm event is often performed by independently performing and displaying the TOP-N analysis of the property according to the frequency of each event (attack type, IP address, country) to be.

예를 들면, 보안경보 이벤트가 발생하면 2차원 또는 3차원 지도 상에 공격자와 피해자를 점 좌표로 생성하여 연결선으로 표시하고, 공격유형별 발생빈도가 높은 상위 IP주소 또는 국가들을 추출하여 통계적인 내용을 표현함으로써 보안상황 정보를 제공한다.For example, when a security alert event occurs, an attacker and a victim are generated as point coordinates on a two-dimensional or three-dimensional map, and displayed as a connection line. Extracting a top IP address or countries having high occurrence frequency by attack type, To provide security situation information.

하지만, 이와 같은 방법은 다수의 보안경보 이벤트가 발생되는 상황에서는 연결선들이 상호 겹쳐지게 되므로 개별 보안경보 이벤트의 고유 의미를 해석하기가 불가능하고, 공격의 연속성이라든가 전체 공격유형 및 연관관계를 하나의 화면을 통해 파악하기가 불가능하다. However, such a method can not interpret the unique meaning of the individual security alarm event because the connection lines overlap each other in a situation where a plurality of security alarm events occur, and it is impossible to analyze the inherent meaning of the individual security alarm event, It is impossible to grasp it.

또한 이벤트 속성에 따라 독립적으로 수행되는 상위 개체(TOP-N) 분석은 공격-피해 간의 2차, 3차, 4차 등의 연관 관계성을 탐구하기에는 추가적인 질의 또는 분석이 요구되며 많은 시간을 필요로 한다. In addition, the TOP-N analysis, which is performed independently according to the event attributes, requires additional query or analysis in order to investigate the relationship between attack and damage, such as secondary, tertiary and quaternary. do.

아울러, 동일한 화면 내에서 확장된 연관관계를 표현하기 어렵기 때문에 화면을 갱신하거나 또는 부가적인 화면을 생성하여 표시한다. In addition, since it is difficult to express the extended relationship within the same screen, the screen is updated or an additional screen is generated and displayed.

따라서, 사용자는 확장 연관관계의 이전 상황에 대한 기억을 유지해야 하고 계속적으로 확장되는 관계들을 연계시켜야 하므로 보안상황을 인지하는데 어려움이 많이 발생한다.Therefore, the user has to keep a memory of the previous situation of the extended association and to associate the extended relationships continuously, so that it is difficult to recognize the security situation.

한편, 하기 선행기술문헌에는 네트워크 환경에서 네트워크 노드들의 서비스 이용과 리소스 사용 등의 네트워크 운용을 안전하고 효율적으로 운용할 수 있도록 하는 웹 서비스 보안 기반의 네트워크 보안정책 관리 시스템 및 그 방법에 관한 내용이 개시되어 있으며, 본 발명의 기술적 요지를 개시하고 있지 않다. On the other hand, the following prior art document discloses a network security policy management system based on a web service security and a method thereof, which enable safe and efficient operation of network operations such as service utilization and resource use of network nodes in a network environment And does not disclose the technical gist of the present invention.

대한민국 등록특허공보 제10-1067686호Korean Patent Publication No. 10-1067686

본 발명의 일 실시예에 따른 네트워크 보안상황 시각화 장치는 전술한 문제점을 해결하기 위하여 다음과 같은 해결과제를 목적으로 한다.The network security situation visualization apparatus according to an embodiment of the present invention aims to solve the above-described problems by solving the following problems.

보안경보 이벤트들의 중요 속성값을 이용하여 공격과 피해 상황을 시간 추이에 따라 공격/피해 유형, IP주소, 포트번호, 공격빈도수, 연속성, 공격-피해 간의 연관관계 등을 종합적으로 도시함으로써 단발성 공격과 연속적 공격을 구분하고, 공격과 피해간의 연관성을 쉽게 조사 및 확장함으로써 사용자가 보안상황을 효과적으로 인지하기 위한 네트워크 보안상황 시각화 장치를 제공하는 것이다.Using the important attribute values of security alarm events, the attack and damage situation can be collectively represented by attack / damage type, IP address, port number, attack frequency, continuity, It is to provide a network security situation visualization device to distinguish successive attacks and to easily recognize and extend the association between attack and damage, thereby effectively recognizing the security situation.

본 발명에 따라, 다수의 보안경보 이벤트가 동시에 발생되는 상황에서도 개개의 보안경보 이벤트는 고유한 의미를 유지하며 해당 공격 또는 피해의 시간 추이와 연속성을 동일한 화면 내에서 표시 및 인지할 수 있으며, 개별 공격에 따른 2차, 3차, 4차 등의 파급되는 정보(공격-피해 관계)를 추가적인 질의나 동작없이 동일한 화면 내에서 연속적으로 분석/표시함으로써, 사용자가 보안상황을 직관적으로 인지하는 장치 및 방법을 제공하는데 그 목적이 있다.According to the present invention, even in a situation where a plurality of security alert events are generated at the same time, each security alert event maintains its own meaning and can display and recognize the time transition and continuity of the attack or damage in the same screen, A device that intuitively recognizes a security situation by allowing the user to continuously analyze / display information (attack-damage relationship) such as secondary, tertiary, and quaternary due to an attack continuously in the same screen without additional query or action The purpose of the method is to provide.

본 발명의 해결과제는 이상에서 언급된 것들에 한정되지 않으며, 언급되지 아니한 다른 해결과제들은 아래의 기재로부터 당해 기술분야에 있어서의 통상의 지식을 가진 자에게 명확하게 이해되어 질 수 있을 것이다.The solution to the problem of the present invention is not limited to those mentioned above, and other solutions not mentioned can be clearly understood by those skilled in the art from the following description.

본 발명의 일 실시예에 따른 네트워크 보안상황 시각화 장치는 외부로부터 전달받은 보안 경보 이벤트 정보 및 네트워크 트래픽 정보 중 적어도 하나에 기초하여 상기 보안 경보 이벤트 특성을 추출하는 보안경보 이벤트 수집/추출부; 상기 보안경보 이벤트 수집/추출부에서 추출한 상기 보안 경보 이벤트 특성에 기초하여 현재의 보안상황을 디스플레이에 출력하는 보안상황 분석/표시부;를 포함하고, 상기 보안 경보 이벤트 특성은 공격자 정보, 피해자 정보, 공격자와 피해자 간의 연관관계, 공격의 종류 및 공격의 횟수 중 적어도 하나를 포함한다.The network security situation visualization apparatus according to an embodiment of the present invention includes a security alarm event collection / extraction unit that extracts the security alarm event characteristics based on at least one of security alarm event information and network traffic information transmitted from the outside; And outputting a current security status to the display based on the security alarm event characteristic extracted by the security alarm event collecting / extracting unit, wherein the security alarm event characteristic includes attacker information, victim information, And the victim, the type of attack, and the number of attacks.

상기 보안경보 이벤트 수집/추출부는, 상기 보안 경보 이벤트 정보를 수집한 후 이를 정규화하는 보안 경보 이벤트 수집/정규화 모듈; 및 상기 정규화된 보안 경보 이벤트로부터 주요 속성을 추출하고, 상기 주요 속성에 기초하여 보안경보 이벤트 특성을 추출하는 보안 경보 이벤트 특성 추출 모듈;을 포함하고, 상기 주요 속성은 프로토콜 번호, 송신지 IP주소, 송신지 포트번호, 수신지 IP주소, 공격 유형 중 적어도 하나를 포함하는 것이 바람직하다.The security alarm event collection / extraction unit may include a security alarm event collection / normalization module for collecting and normalizing the security alarm event information; And a security alert event feature extraction module extracting a main attribute from the normalized security alert event and extracting a security alarm event feature based on the main attribute, wherein the main attribute includes a protocol number, a destination IP address, Destination port number, destination IP address, and attack type.

상기 보안상황 분석/표시부는, 상기 보안 경보 이벤트 특성에 기초하여 네트워크 전체에 대한 보안 상황을 2차원 평면 좌표계상에 표시하는 전체 보안상황 분석/표시 모듈; 상기 전체 보안상황 분석/표시 모듈에 의하여 상기 2차원 평면 좌표계상에 표시된 공격자 또는 피해자의 개별적인 공격 또는 피해 상황을 2차원 평면 좌표계상에 표시하는 개별 공격/피해 분석/표시 모듈; 및 상기 전체 보안상황 분석/표시 모듈에서 표시된 전체 공격자 및 전체 피해자를 3차원 좌표계에 동시에 표시하되, 상기 전체 공격자 및 전체 피해자 사이의 연결관계를 표시하는 공격/피해 연관관계 분석/표시 모듈;을 포함하는 것이 바람직하다.The security situation analyzing / displaying unit may include an overall security situation analyzing / displaying module for displaying a security situation for the entire network based on the security alarm event characteristic on a two-dimensional plane coordinate system; An individual attack / damage analysis / display module for displaying an individual attack or damage situation of an attacker or victim displayed on the two-dimensional plane coordinate system on the two-dimensional plane coordinate system by the overall security situation analysis / display module; And an attack / damage relation analysis / display module that simultaneously displays all attackers and all victims displayed in the overall security situation analysis / display module in a three-dimensional coordinate system, and displays a connection relationship between the entire attacker and all victims .

상기 전체 보안상황 분석/표시 모듈(210)은 시간 추이에 따른 네트워크 상의 전체 공격자 또는 피해자를 상기 디스플레이에 2차원으로 구현된 제1 화면에 출력하고, 상기 제1 화면에는 동일한 중심을 갖고 각각 다른 반지름을 갖는 복수 개의 시간 참조원 및 상기 공격 또는 방어 이벤트를 나타내는 표시원을 포함하는 것이 바람직하다.The overall security situation analysis / display module 210 outputs all attackers or victims on the network according to a time transition on a first screen implemented in a two-dimensional manner on the display, And a display source indicating the attack or defense event.

상기 시간 참조원의 중심으로부터 수직 방향으로 연장되는 선을 기준선으로 정의되고, 상기 기준선 및 상기 중심과 상기 표시원 사이의 제1 선분과의 각도는 해당 표시원의 공격 또는 방어 이벤트의 최초 발생 시간 또는 해당 표시원의 공격 또는 방어자의 IP 주소로 정의되고, 상기 중심과 상기 표시원 사이의 거리는 해당 표시원의 공격 또는 방어 이벤트의 현시점까지의 최종 발생 시간으로 정의되는 것이 바람직하다.A line extending in a vertical direction from the center of the time reference circle is defined as a reference line, and an angle between the reference line and the first line segment between the center and the display circle is defined as an initial occurrence time of an attack or defense event And the distance between the center and the display source is defined as a final occurrence time up to the current point of the attack or defense event of the corresponding indicator.

상기 개별 공격/피해 분석/표시 모듈은 상기 제1 화면에 출력된 복수의 공격자 또는 피해자 중 어느 하나의 개별 공격자 또는 피해자에 대한 공격 또는 방어 이벤트를 2차원으로 구현된 제2 화면에 출력하고, 상기 제2 화면에는 동일한 중심을 갖고 각각 다른 반지름을 갖는 복수 개의 시간 참조원 및 상기 공격 또는 방어 이벤트를 나타내는 표시원을 포함하되, 상기 중심에는 개별 공격자 또는 개별 피해자가 표시되는 것이 바람직하다.The individual attack / damage analysis / display module outputs an attack or defense event to any one of a plurality of attackers or victims displayed on the first screen on a second screen implemented in a two-dimensional manner, The second screen may include a plurality of time reference sources having the same center and different radii, and a display source indicating the attack or defense event, wherein an individual attacker or individual victim is displayed at the center.

상기 공격/피해 연관관계 분석/표시 모듈은, 상기 전체 보안상황 분석/표시 모듈 및 상기 개별 공격/피해 분석/표시 모듈 중 적어도 하나가 분석 및 출력한 결과물에 기초하여 복수의 공격자, 복수의 피해자 상기 복수의 공격자와 피해자와의 연결관계를 3차원으로 구현된 제3 화면에 출력하는 것이 바람직하다.The attack / damage relationship analysis / display module may include a plurality of attackers, a plurality of victims, and a plurality of attackers based on the analysis result of at least one of the overall security situation analysis / display module and the individual attack / damage analysis / It is preferable to output the connection relationship between the plurality of attackers and the victim on the third screen which is implemented in the third screen.

상기 복수의 공격자 및 복수의 피해자 중 어느 하나를 선택하는 경우, 선택된 공격자 또는 피해자와 연관되는 연관 피해자 또는 연관 공격자 사이의 연결선이 상기 제3 화면에 표시되는 것이 바람직하다.In the case of selecting one of the plurality of attackers and the plurality of victims, a connection line between the selected attacker or an associated victim or an associated attacker associated with the victim is displayed on the third screen.

상기 전체 보안상황 분석/표시 모듈, 상기 개별 공격/피해 분석/표시 모듈 및 상기 공격/피해 연관관계 분석/표시 모듈이 각각 출력하는 화면은 하나의 화면에 디스플레이되는 것이 바람직하다.Preferably, the screens output by the overall security situation analysis / display module, the individual attack / damage analysis / display module, and the attack / damage relationship analysis / display module are displayed on one screen.

본 발명의 일 실시예에 따른 네트워크 보안상황 시각화 장치는, 보안경보 이벤트의 속성값만을 이용하여 네트워크의 보안상황을 직관적으로 분석/표시하여 신속히 그 상황 정보를 인지할 수 있으며, 다수의 보안경보 이벤트가 동시에 발생되는 상황에서도 개개의 보안경보 이벤트에 대한 고유 의미를 유지하여 표시하며 해당 공격 또는 피해의 시간 추이와 연속성을 표시 및 인지할 수 있는 효과가 있다.The network security situation visualization apparatus according to an embodiment of the present invention can intuitively analyze / display the security status of the network using only the security alarm event attribute value to quickly recognize the status information, It is possible to display and recognize the time transition and the continuity of the attack or damage by displaying the unique meaning of each security alarm event.

또한, 개별 공격에 따른 2차, 3차, 4차 등의 파급 공격 및 피해 정보와 관계를 추가적인 질의나 동작없이 동일한 화면 내에서 연속적으로 분석/표시함으로써, 사용자가 보안상황을 신속하게 인지하고 대처할 수 있는 효과가 있다.In addition, by analyzing / displaying the damage information and related information such as secondary, tertiary, and quaternary attacks according to individual attacks continuously in the same screen without additional query or action, the user can quickly recognize and cope with the security situation There is an effect that can be.

본 발명의 효과는 이상에서 언급된 것들에 한정되지 않으며, 언급되지 아니한 다른 효과들은 아래의 기재로부터 당해 기술분야에 있어서의 통상의 지식을 가진 자에게 명확하게 이해되어질 수 있을 것이다.The effects of the present invention are not limited to those mentioned above, and other effects not mentioned may be clearly understood by those skilled in the art from the following description.

도 1은 본 발명의 일 실시예에 따른 네트워크 보안상황 시각화 장치를 간략히 도시한 블록도이다.
도 2는 본 발명의 일 실시예에 따른 네트워크 보안상황 시각화 장치의 보안상황 분석/표시부의 기본적인 출력 화면을 설명하기 위한 도면이다.
도 3 및 도 4는 본 발명의 일 실시예에 따른 네트워크 보안상황 시각화 장치에서 전체 보안상황 분석/표시 모듈이 출력하는 화면의 여러 구현예이다.
도 5는 및 도 6은 본 발명의 일 실시예에 따른 네트워크 보안상황 시각화 장치에서 개별 공격/피해 분석/표시 모듈이 출력하는 화면의 여러 구현예이다.
도 7은 본 발명의 일 실시예에 따른 네트워크 보안상황 시각화 장치에서 공격/피해 연관관계 분석/표시 모듈이 출력하는 화면의 일 구현예이다.
도 8 및 도 9는 본 발명의 일 실시예에 따른 네트워크 보안상황 시각화 장치에서 상황 분석/표시부의 각 하위 구성들이 출력하는 화면을 하나의 디스플레이 상에 표시하는 여러 구현예이다.1 is a block diagram briefly illustrating an apparatus for visualizing a network security situation according to an embodiment of the present invention.
2 is a view for explaining a basic output screen of the security situation analysis / display unit of the network security situation visualization apparatus according to an embodiment of the present invention.
FIG. 3 and FIG. 4 are examples of various screens displayed by the overall security situation analysis / display module in the network security situation visualization apparatus according to the embodiment of the present invention.
FIG. 5 and FIG. 6 are various examples of screens displayed by the individual attack / damage analysis / display module in the network security situation visualization apparatus according to an embodiment of the present invention.
7 is an example of a screen displayed by the attack / damage relation analysis / display module in the network security situation visualization apparatus according to an embodiment of the present invention.
FIG. 8 and FIG. 9 are various examples of displaying a screen output from each sub-configuration of the situation analysis / display unit on a single display in the network security situation visualization apparatus according to an embodiment of the present invention.

첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성 요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Reference will now be made in detail to the preferred embodiments of the present invention, examples of which are illustrated in the accompanying drawings, wherein like reference numerals refer to the like elements throughout.

또한, 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 첨부된 도면은 본 발명의 사상을 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 발명의 사상이 제한되는 것으로 해석되어서는 아니 됨을 유의해야 한다.In the following description, well-known functions or constructions are not described in detail since they would obscure the invention in unnecessary detail. It is to be noted that the accompanying drawings are only for the purpose of facilitating understanding of the present invention, and should not be construed as limiting the scope of the present invention with reference to the accompanying drawings.

먼저, 도 1을 참조하여 본 발명의 일 실시예에 따른 네트워크 보안상황 시각화 장치에 대하여 설명하도록 한다.First, a network security situation visualization apparatus according to an embodiment of the present invention will be described with reference to FIG.

도 1은 본 발명의 일 실시예에 따른 네트워크 보안상황 시각화 장치를 간략히 도시한 블록도이다.1 is a block diagram briefly illustrating an apparatus for visualizing a network security situation according to an embodiment of the present invention.

본 발명의 일 실시예에 따른 네트워크 보안상황 시각화 장치는 도 1에 도시된 바와 같이 크게 보안경보 이벤트 수집/추출부(100) 및 보안상황 분석/표시부(200)를 포함한다.The network security situation visualization apparatus according to an embodiment of the present invention includes a security alarm event collecting / extracting unit 100 and a security situation analyzing / displaying unit 200 as shown in FIG.

보안경보 이벤트 수집/추출부(100)는 외부로부터 전달받은 보안 경보 이벤트 정보 및 네트워크 트래픽 정보 중 적어도 하나에 기초하여 보안 경보 이벤트 특성을 추출하는 구성이다. The security alarm event collecting / extracting unit 100 extracts a security alarm event characteristic based on at least one of security alarm event information and network traffic information transmitted from the outside.

이러한 보안경보 이벤트 수집/추출부(100)는 구체적으로 보안 경보 이벤트 수집/정규화 모듈(110) 및 보안 경보 이벤트 특성 추출 모듈(120)로 구성된다.The security alarm event collecting / extracting unit 100 is specifically configured with a security alarm event collection / normalization module 110 and a security alarm event characteristic extraction module 120.

보안 경보 이벤트 수집/추출부(100)는 보안 경보 이벤트 정보를 수집한 후 이를 정규화하는 구성이며, 이러한 보안 경보 이벤트의 정보는 방화벽, IDS(Intrusion Detection System) 또는 IPS(Intrusion Protection System) 등 외부의 보안경보 발생기(310)로부터 전달받을 수 있으며, 또는 외부의 보안경보 이벤트 로그 파일(320)이나 보안경보 이벤트 저장소(330)로부터 전달받을 수도 있다.The security alarm event collecting / extracting unit 100 collects the security alarm event information and normalizes it after collecting the security alarm event information. The information of the security alarm event may be transmitted to an external From the security alert generator 310 or from the external security alert event log file 320 or from the security alert event storage 330. [

보안 경보 이벤트 특성 추출 모듈(120)은 보안 경보 이벤트 수집/정규화 모듈(110)에서 정규화된 보안 경보 이벤트로부터 주요 속성을 추출하고, 추출된 주요 속성에 기초하여 보안경보 이벤트 특성을 추출하는 기능을 수행한다.The security alarm event characteristic extraction module 120 extracts main attributes from the normalized security alarm events in the security alarm event collection / normalization module 110 and extracts the security alarm event characteristics based on the extracted main attributes do.

여기에서 주요 속성이란 프로토콜 번호, 송신지 IP주소, 송신지 포트번호, 수신지 IP주소, 공격 유형 중 적어도 하나를 포함하는 속성이며, 아울러 보안경보 이벤트 특성은 공격자 정보, 피해자 정보, 공격자와 피해자 간의 연간관계, 공격의 종류 및 공격의 횟수 중 적어도 하나를 포함한다.Here, the main attributes are attributes including at least one of a protocol number, a destination IP address, a destination port number, a destination IP address, and an attack type. In addition, the security alert event characteristic includes an attacker information, victim information, Year relationship, type of attack, and number of attacks.

보안상황 분석/표시부(200)는 보안경보 이벤트 수집/추출부(100)에서 추출한 보안 경보 이벤트 특성에 기초하여 현재의 보안상황을 디스플레이에 출력하는 기능을 수행한다.The security situation analysis / display unit 200 outputs the current security status to the display based on the security alarm event characteristic extracted by the security alarm event collecting / extracting unit 100.

이러한 보안상황 분석/표시부(200)는 구체적으로 전체 보안상황 분석/표시 모듈(210), 개별 공격/피해 분석/표시 모듈(220) 및 공격/피해 연관관계 분석/표시 모듈(230)로 구분될 수 있으며, 이하 각 분석/표시 모듈(210, 220, 230)의 구체적인 내용에 대하여 도 2 내지 도 7을 참조하여 좀 더 구체적으로 설명하도록 한다. The security situation analysis / display unit 200 is divided into an overall security situation analysis / display module 210, an individual attack / damage analysis / display module 220 and an attack / damage relation analysis / display module 230 The specific contents of each of the analysis / display modules 210, 220 and 230 will be described in more detail with reference to FIG. 2 to FIG. 7. FIG.

도 2는 본 발명의 일 실시예에 따른 네트워크 보안상황 시각화 장치의 보안상황 분석/표시부의 기본적인 출력 화면을 설명하기 위한 도면이고, 도 3 및 도 4는 본 발명의 일 실시예에 따른 네트워크 보안상황 시각화 장치에서 전체 보안상황 분석/표시 모듈이 출력하는 화면의 여러 구현예이고, 도 5는 및 도 6은 본 발명의 일 실시예에 따른 네트워크 보안상황 시각화 장치에서 개별 공격/피해 분석/표시 모듈이 출력하는 화면의 여러 구현예이고, 도 7은 본 발명의 일 실시예에 따른 네트워크 보안상황 시각화 장치에서 공격/피해 연관관계 분석/표시 모듈이 출력하는 화면의 일 구현예이고, 도 8 및 도 9는 본 발명의 일 실시예에 따른 네트워크 보안상황 시각화 장치에서 상황 분석/표시부의 각 하위 구성들이 출력하는 화면을 하나의 디스플레이 상에 표시하는 여러 구현예이다.FIG. 2 is a view for explaining a basic output screen of the security situation analysis / display unit of the network security situation visualization apparatus according to an embodiment of the present invention. FIG. 3 and FIG. FIG. 5 and FIG. 6 show an individual attack / damage analysis / display module in the network security situation visualization apparatus according to an embodiment of the present invention. FIG. FIG. 7 is an example of a screen displayed by the attack / damage relation analysis / display module in the network security situation visualization apparatus according to an embodiment of the present invention, and FIGS. 8 and 9 In the network security situation visualization apparatus according to an embodiment of the present invention, the screen output from each sub configuration of the situation analysis / display unit is displayed on one display It is different embodiments.

먼저 보안상황 분석/표시부(200)는 전체 보안상황 분석/표시 모듈(210)을 기초로 기본적인 출력 화면을 설명해보면, 전체 보안상황 분석/표시 모듈(210)은 보안 경보 이벤트 특성에 기초하여 네트워크 전체에 대한 보안 상황을 2차원 평면 좌표계상에 표시하는 모듈이다.First, the security situation analysis / display unit 200 displays a basic output screen based on the overall security situation analysis / display module 210. The overall security situation analysis / display module 210 analyzes the entire security situation event / Is displayed on a two-dimensional plane coordinate system.

전체 보안상황 분석/표시 모듈(210)은 시간 추이 또는 IP 주소에 따른 네트워크 상의 전체 공격자 또는 피해자를 디스플레이에 2차원으로 구현된 제1 화면에 출력한다.The overall security situation analysis / display module 210 outputs the entire attacker or the victim on the network according to the time trend or the IP address on the first screen implemented two-dimensionally on the display.

이러한 제1 화면은 도 2에 도시된 바와 같이 동일한 중심(c)을 갖고 각각 다른 반지름을 갖는 복수 개의 시간 참조원(41, 42, 43, 44)이 나타나며, 또한 공격자 또는 방어자를 나타내는 표시원(31, 32, 33, 34, 35)들을 포함한다.This first screen shows a plurality of time reference sources 41, 42, 43, 44 having the same center c and different radii as shown in Fig. 2, and also an indicator 31, 32, 33, 34, 35).

시간 참조원(41, 42, 43, 44)의 중심(c)으로부터 수직 방향으로 연장되는 선을 기준선(10)이라고 정의하고, 중심(c)과 어느 표시원(31) 사이의 제1 선분과 기준선(10) 사이의 각도(θ)는 표시원(31)의 공격 또는 방어 이벤트의 최초 발생 시간 또는 IP 주소, 구체적으로 IP 주소를 2^32로 나눈 값으로 정의될 수 있다.A line extending in the vertical direction from the center c of the time reference circles 41, 42, 43 and 44 is defined as a reference line 10 and a line extending between the center c and any of the display circles 31 The angle [theta] between the reference lines 10 can be defined as the initial occurrence time or IP address of the attack or defense event of the display source 31, specifically, the IP address divided by 2 ^ 32.

또한, 중심(c)과 어느 표시원(31) 사이의 길이(r)는 해당 표시원(31)에 의한 공격 또는 방어 이벤트가 발생한 최종 시간값으로 정의될 수 있다.The length r between the center c and any of the display sources 31 may be defined as a final time value at which an attack or defense event by the corresponding display source 31 occurs.

아울러, 표시원(31, 32, 33, 34, 35)은 공격 이벤트를 의미하며, 입체적인 구 형상으로 표시될 수 있으며, 공격 유형, 포트 번호는 시간축 상에서 3차원의 원(32, 33, 34) 형태로 표시될 수 있다.In addition, the display sources 31, 32, 33, 34 and 35 represent attack events and can be displayed in a three-dimensional sphere shape. The attack type and the port number are represented by three-dimensional circles 32, . ≪ / RTI >

여기서, 공격/피해 누적 빈도 수에 따라 표시원의 면적이 결정되며, IP주소에 대한 위치(지역) 정보 변환을 통해 해당 국가의 국기로 표면이 표시될 수 있다.Here, the area of the display circle is determined according to the number of attack / damage accumulation frequencies, and the surface can be displayed with the flag of the corresponding country through the conversion of the location (area) information to the IP address.

공격유형 또는 포트번호는 사전에 설정된 색상에 따라 표시원 내에 할당하여 발생 연결시간 축 상에 발생시간별로 위치시킬 수 있으며, 예를 들면 하나의 공격자 또는 피해자를 나타내는 표시원(32, 33, 34, 35)를 공격 또는 피해가 발생한 최초 시간과 최종 시간을 연결한 연결선 상에 위치시킬 수 있다. The attack type or the port number can be allocated in the display circle according to the color set in advance and can be positioned on the generation connection time axis according to the occurrence time. For example, the display type can be set to one of the display sources 32, 33, 34, 35) may be located on the connecting link between the first time and the last time the attack or damage occurred.

이러한 연결선 상에 배치된 표시원들을 참조하여 현재 공격 또는 피해 양상의 확인이 가능하며, 구체적으로 도면부호 32의 표시원의 경우 해당 이벤트의 최초 발생 시점을 파악할 수 있으며, 도면부호 33의 표시원의 경우 일시적인 이벤트 발생이 있었음을 확인할 수 있으며, 아울러 도면부호 34의 표시원의 경우 일정 시간간격 동안(d) 또는 지속적으로 발생한 이벤트가 있었음을 확인할 수 있으며, 구체적으로 연속적인 이벤트의 경우 연속된 원들로 연결되므로 도 2와 같이 원기둥(34) 형태로 표시될 수 있다.Specifically, it is possible to identify the current attack or damage mode by referring to the display resources disposed on the connection line. Specifically, in case of the display source 32, it is possible to grasp the first occurrence time of the event. It is possible to confirm that a temporary event has occurred, and in the case of the display source of reference numeral 34, it can be confirmed that there is an event that occurred continuously (d) during a predetermined time interval, or in the case of a continuous event, It can be displayed in the form of a cylinder 34 as shown in FIG.

상술한 전체 보안상황 분석/표시 모듈(210)에 의하여 시간 추이에 따른 공격 상황이 표시된 제1 화면의 실제 구현예는 도 3 및 도 4와 같다. An actual implementation example of the first screen in which the attack status according to the time transition is displayed by the overall security situation analysis / display module 210 is shown in FIGS. 3 and 4. FIG.

도 3은 하루 동안 발생한 보안경보 이벤트를 수집하여 공격에 의한 전체 네트워크의 보안상황을 분석/표시한 화면으로, 하루(24시간)에 대한 4개의 시간 참조원을 통해 시간 추이에 따른 공격 상황을 감시할 수 있다.FIG. 3 is a screen for analyzing / displaying the security status of the entire network due to an attack by collecting security alarm events occurring during one day, and monitoring an attack situation according to a time transition through four time reference sources per day (24 hours) can do.

구체적으로, 도 3의 화면상에는 최초 공격(①), 지속적인 공격(②), 공격유형이 다른 공격(④), 미할당된 IP주소에 의한 공격(⑤), 특정 시간동안 연속적인 공격(⑥), 일회성 공격(⑦) 등이 쉽게 파악될 수 있도록 시각화되어 있으며, 각각의 속성별 해당 공격들을 필터링(⑧)하여 분석/표시함으로써 보안상황을 쉽게 인지할 수 있다.Specifically, on the screen of FIG. 3, there are a first attack (①), a continuous attack (②), an attack of a different attack type (④), an attack by an unassigned IP address (⑤) , And one-time attack (⑦) are easily visualized, and the security situation can be easily recognized by filtering (⑧) and analyzing / displaying corresponding attacks according to each property.

또한, 도 4는 동일한 보안경보 이벤트를 이용하여 전체 네트워크의 보안상황을 IP주소 대역별로 분할하여 분석/표시한 화면으로, 동일 서브 네트워크 내의 IP주소들은 유사한 θ값을 갖게 되므로 동일 네트워크에서 공격하거나 또는 피해를 받을 경우 그 상황을 빠르게 인지할 수 있게 된다.4 is a screen for analyzing / displaying the security status of the entire network by IP address bands using the same security alert event, and IP addresses in the same sub-network have a similar θ value. Therefore, If you get hurt, you will be able to quickly recognize the situation.

한편, 본 발명의 일 실시예에 따른 네트워크 보안상황 시각화 장치에서의 보안상황 분석/표시부(200)는 상술한 전체 보안상황 분석/표시 모듈(210) 이외에 개별 공격/피해 분석/표시 모듈(220)을 구비한다.In addition, the security situation analysis / display unit 200 in the network security situation visualization apparatus according to an embodiment of the present invention includes an individual attack / damage analysis / display module 220 in addition to the overall security situation analysis / display module 210, Respectively.

이러한 개별 공격/피해 분석/표시 모듈(220)은 상술한 전체 보안상황 분석/표시 모듈(210)에 의하여 2차원 평면 좌표계상에 표시된 공격자 또는 피해자의 개별적인 공격 또는 피해 상황을 2차원 평면 좌표계 상에 표시한다.The individual attack / damage analysis / display module 220 analyzes the individual attack or damage situation of the attacker or the victim displayed on the two-dimensional plane coordinate system by the overall security situation analysis / display module 210 on the two-dimensional plane coordinate system Display.

즉, 상술한 개별 공격/피해 분석/표시 모듈(220)은 상기 제1 화면에 출력된 복수의 공격자 또는 피해자 중 어느 하나의 개별 공격자 또는 피해자에 대한 공격 또는 방어 이벤트를 2차원으로 구현된 제2 화면에 출력하고, 상기 제2 화면에는 제1 화면과 같이 동일한 중심을 갖고 각각 다른 반지름을 갖는 복수 개의 시간 참조원 및 상기 공격 또는 방어 이벤트를 나타내는 표시원을 포함하되, 상기 중심에는 개별 공격자 또는 개별 피해자가 표시되도록 구성된다.In other words, the individual attack / damage analysis / display module 220 described above can detect an attack or defense event for any one of a plurality of attackers or victims displayed on the first screen, Wherein the second screen includes a plurality of time reference sources having the same center and different radii as the first screen and a display source indicating the attack or defense event, The victim is displayed.

이러한 개별 공격/피해 분석/표시 모듈(220)에 의하여 표시된 화면을 도 5 및 도 6을 참조하여 좀 더 구체적으로 설명하도록 한다. The screen displayed by the individual attack / damage analysis / display module 220 will be described in more detail with reference to FIGS. 5 and 6. FIG.

도 5에 도시된 바와 같이 상술한 개별 공격/피해 분석/표시 모듈(220)에 의하여 디스플레이되는 화면은 개별적인 원형의 공격/피해 상황 그래프로 표현된다.As shown in FIG. 5, the screen displayed by the individual attack / damage analysis / display module 220 is represented by an individual circular attack / damage situation graph.

앞서 설명한 도 3 또는 도 4에서 표시된 공격 또는 피해 점 좌표는 도 5에서의 중심원 노드가 되고, 해당 노드가 수행한 공격 또는 피해는 중심원과의 연결 관계로 표시된다. The attack or damage point coordinates shown in FIG. 3 or FIG. 4 described above become the center circle node in FIG. 5, and the attack or damage performed by the node is represented by the connection relationship with the center circle.

여기서, 외곽 원의 테두리(②)는 미리 설정된 국가 색상을 할당하고 공격 빈도수, 국가별, IP주소별, 공격유형별 정렬 기준(③)에 따라 화면 가운데를 중심으로 나선형(①)으로 정렬하여 표시하면 각각의 기준별로 정력 및 그룹화되어 보안상황을 보다 빠르게 인지할 수 있다.Here, the border (2) of the outline circle is allocated with a preset country color and displayed in a form of a spiral (①) centered on the center of the screen according to the attack frequency, the country, the IP address, and the sorting criterion (3) It can be energized and grouped by each criterion so that the security situation can be recognized more quickly.

일 예로 도 6은 전체 보안상황 분석/표시 모듈(210)에서 디스플레이한 화면인 도 3 중 어느 하나의 공격자인 개별 공격자 ⑨를 선택할 경우 공격-피해 간의 연관관계를 분석/표시한 내용이다. For example, FIG. 6 shows an analysis / display of the association between attack and damage when the individual attacker 9, which is an attacker in FIG. 3, is selected as the screen displayed by the overall security situation analysis / display module 210.

해당 노드는 5차례의 공격(①)을 수행했고 1번의 공격을 받은 것(②)으로 분석/표시되는데, 각각의 피해를 받은 노드들(③)은 동일 화면 상에서 공격유형과 공격시간대 그리고 공격연속성을 파악할 수 있으며 또한 다른 공격자들(④, ⑤)과의 관계를 용이하게 파악할 수 있다.The node is analyzed / displayed as 5 times attack (①) and 1 attack (②), and each damaged node (③) has attack type, attack time zone and attack continuity And can easily grasp the relationship with other attackers (④, ⑤).

한편, 본 발명의 일 실시예에 따른 네트워크 보안상황 시각화 장치에서의 보안상황 분석/표시부(200)는 공격/피해 연관관계 분석/표시 모듈(230)을 구비할 수 있다.Meanwhile, the security situation analysis / display unit 200 in the network security situation visualization apparatus according to an embodiment of the present invention may include an attack / damage relation analysis / display module 230.

공격/피해 연관관계 분석/표시 모듈(230)은 상술한 전체 보안상황 분석/표시 모듈에서 표시된 전체 공격자 및 전체 피해자를 3차원 좌표계에 동시에 표시하되, 전체 공격자 및 전체 피해자 사이의 연결 관계를 표시하는 기능을 수행한다.The attack / damage relation analysis / display module 230 simultaneously displays the entire attacker and the entire victim displayed in the above-described entire security situation analysis / display module in the three-dimensional coordinate system, and displays the connection relationship between the entire attacker and all victims Function.

구체적으로 이러한 공격/피해 연관관계 분석/표시 모듈(230)에 의하여 출력된 화면은 도 7에 도시된 바와 같이 공격자 노드들(①)과 피해자 노드들(②)을 3차원 좌표계에 동시에 분석/표시하여 공격-피해 간의 연결관계(③)를 하나의 화면에서 파악할 수 있도록 구성된다.Specifically, as shown in FIG. 7, the screen output by the attack / damage relation analysis / display module 230 simultaneously analyzes / displays attacker nodes (1) and victim nodes (2) in a three-dimensional coordinate system (③) between attack and damage can be grasped on a single screen.

특히, 개별 공격자(④)를 선택할 경우 해당 공격자와 연관있는 피해자들이 선택되어 연결 선으로 표시될 수 있도록 구성되는 것이 바람직하다. In particular, if an individual attacker (4) is selected, the victim associated with the attacker is preferably selected and displayed as a connection line.

또한, 최초 공격자(⑤)와 최근 공격자(⑥) 그리고 공격유형 및 연속성을 파악할 수 있다.In addition, the attacker (⑤), the attacker (⑥) and attack type and continuity can be grasped.

아울러, 본 발명의 일 실시예에 따른 네트워크 보안상황 시각화 장치는 도 8 및 도 9와 같이 상술한 전체 보안상황 분석/표시 모듈(210), 개별 공격/피해 분석/표시 모듈(220) 및 공격/피해 연관관계 분석/표시 모듈(230)이 각각 출력하는 화면을 하나의 화면에 디스플레이 되도록 구현할 수 있다. In addition, the network security situation visualization apparatus according to an embodiment of the present invention includes the overall security situation analysis / display module 210, the individual attack / damage analysis / display module 220, and the attack / The damage correlation analysis / display module 230 may display a screen to be displayed on one screen.

이를 통하여 보안상황을 빠르게 인지할 수 있으며, 특히 특정 시간 간격만을 선택 가능하도록 하여 해당 시간 구간 내에서의 보안경보 이벤트만을 분석/표시할 수 있는 세부 기능과 2차원과 3차원 좌표계를 이용하여 공격/피해 노드와 지리정보를 연계하여 분석/표시하는 기능을 포함할 수 있을 것이다.In particular, it is possible to recognize the security situation quickly. In particular, it is possible to select only a specific time interval, thereby enabling detailed analysis and display of security alarm events within the time interval, And may include a function of linking and analyzing / displaying the damaged node and the geographical information.

본 명세서에서 설명되는 실시예와 첨부된 도면은 본 발명에 포함되는 기술적 사상의 일부를 예시적으로 설명하는 것에 불과하다. 따라서 본 명세서에 개시된 실시예들은 본 발명의 기술적 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이므로, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것이 아님은 자명하다. 본 발명의 명세서 및 도면에 포함된 기술적 사상의 범위 내에서 당해 기술분야에 있어서의 통상의 지식을 가진 자가 용이하게 유추할 수 있는 변형 예와 구체적인 실시예는 모두 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다. The embodiments and the accompanying drawings described in the present specification are merely illustrative of some of the technical ideas included in the present invention. Therefore, it is to be understood that the embodiments disclosed herein are not intended to limit the scope of the present invention but to limit the scope of the present invention. It will be understood by those of ordinary skill in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims and their equivalents. It should be interpreted.

100: 보안경보 이벤트 수집/추출부
110: 보안경보 이벤트 수집/정규화 모듈
120: 이벤트 특성 추출 모듈
200: 보안상황 분석/표시부
210: 전체 보안상황 분석/표시 모듈
220: 개별 공격/피해 분석/표시 모듈
230: 공격/피해 연관관계 분석/표시 모듈
310: 보안경보 발생기
320: 보안경보 이벤트 로그 파일
330: 보안경보 이벤트 저장소100: security alarm event collecting / extracting unit
110: Security alarm event collection / normalization module
120: Event characteristic extraction module
200: Security situation analysis / display
210: Overall security situation analysis / display module
220: Individual Attack / Damage Analysis / Display Module
230: Attack / Damage Correlation Analysis / Display Module
310: Security alarm generator
320: Security alarm event log file
330: Security alert event storage

Claims (9)

외부로부터 전달받은 보안 경보 이벤트 정보 및 네트워크 트래픽 정보에 기초하여 보안 이벤트 특성을 추출하는 보안경보 이벤트 수집/추출부;
상기 보안경보 이벤트 수집/추출부에서 추출한 상기 보안 이벤트 특성에 기초하여 현재의 보안상황을 디스플레이에 출력하는 보안상황 분석/표시부;
를 포함하고,
상기 보안 이벤트 특성은 공격자 정보, 피해자 정보, 공격자와 피해자간의 연관관계, 공격의 종류 및 공격의 횟수 중 적어도 하나를 포함하고,
상기 보안상황 분석/표시부는, 상기 보안 이벤트 특성에 기초하여 네트워크 전체에 대한 보안 상황을 2차원 평면 좌표계상에 표시하는 전체 보안상황 분석/표시 모듈; 및 상기 전체 보안상황 분석/표시 모듈에 의하여 상기 2차원 평면 좌표계상에 표시된 공격자 또는 피해자의 개별적인 공격 또는 피해 상황을 2차원 평면 좌표계상에 표시하는 개별 공격/피해 분석/표시 모듈;을 포함하고,
상기 전체 보안상황 분석/표시 모듈은 시간 추이 또는 IP 주소에 따른 네트워크 상의 전체 공격자 또는 피해자를 상기 디스플레이에 2차원으로 구현된 제1 화면에 출력하고,
상기 제1 화면에는 동일한 중심을 갖고 각각 다른 반지름을 갖는 복수 개의 시간 참조원 및 상기 공격 또는 방어 이벤트를 나타내는 적어도 하나의 표시원을 포함하되, 상기 표시원은 상기 시간 참조원 상 또는 복수 개의 시간 참조원 사이에 배치되는 네트워크 보안상황 시각화 장치.
A security alarm event collecting / extracting unit for extracting security event characteristics based on security alarm event information and network traffic information received from the outside;
A security situation analysis / display unit for outputting a current security situation on a display based on the security event characteristic extracted by the security alarm event collection / extraction unit;
Lt; / RTI >
Wherein the security event characteristic includes at least one of attacker information, victim information, an association between an attacker and a victim, a type of an attack, and a number of attacks,
Wherein the security situation analysis / display unit comprises: a total security situation analysis / display module for displaying a security situation for the entire network on a two-dimensional plane coordinate system based on the security event characteristic; And an individual attack / damage analysis / display module for displaying, on the two-dimensional plane coordinate system, the individual attack or damage situation of the attacker or the victim displayed on the two-dimensional plane coordinate system by the overall security situation analysis / display module,
The overall security situation analysis / display module outputs all attackers or victims on the network according to a time transition or an IP address on a first screen implemented two-dimensionally on the display,
Wherein the first screen includes a plurality of time reference sources having the same center and different radii and at least one display source representing the attack or defense event, Network security situation visualization device placed between circles.
제1항에 있어서, 상기 보안경보 이벤트 수집/추출부는,
상기 보안 경보 이벤트 정보를 수집한 후 이를 정규화하는 보안경보 이벤트 수집/정규화 모듈; 및
상기 정규화된 보안 경보 이벤트로부터 주요 속성을 추출하고, 상기 주요 속성에 기초하여 보안 이벤트 특성을 추출하는 보안경보 이벤트 특성 추출 모듈;
을 포함하고,
상기 주요 속성은 프로토콜 번호, 송신지 IP주소, 송신지 포트번호, 수신지 IP주소, 공격 유형 중 적어도 하나를 포함하는 네트워크 보안상황 시각화 장치.
The security alarm system according to claim 1, wherein the security alarm event collecting /
A security alarm event collection / normalization module for collecting and normalizing the security alarm event information; And
A security alarm event feature extraction module for extracting a main attribute from the normalized security alarm event and extracting a security event feature based on the main attribute;
/ RTI >
Wherein the main attributes include at least one of a protocol number, a destination IP address, a destination port number, a destination IP address, and an attack type.
제1항에 있어서, 상기 보안상황 분석/표시부는,
상기 전체 보안상황 분석/표시 모듈에서 표시된 전체 공격자 및 전체 피해자를 3차원 좌표계에 동시에 표시하되, 상기 전체 공격자 및 전체 피해자 사이의 연결관계를 표시하는 공격/피해 연관관계 분석/표시 모듈;
을 더 포함하는 네트워크 보안상황 시각화 장치.
The security analyzer according to claim 1, wherein the security situation analyzing /
An attack / damage relation analysis / display module that simultaneously displays all attackers and all victims displayed in the overall security situation analysis / display module in a three-dimensional coordinate system, and displays a connection relationship between the entire attacker and all victims;
The network security context visualization device further comprising:
삭제delete 제1항에 있어서,
상기 시간 참조원의 중심으로부터 수직 방향으로 연장되는 선을 기준선으로 정의되고,
상기 기준선 및 상기 중심과 상기 표시원 사이의 제1 선분과의 각도는 해당 표시원의 공격 또는 방어 이벤트의 최초 발생 시간 또는 해당 표시원의 IP 주소로 정의되고,
상기 중심과 상기 표시원 사이의 거리는 해당 표시원의 공격 또는 방어 이벤트의 현시점까지의 최종 발생 시간으로 정의되는 네트워크 보안상황 시각화 장치.
The method according to claim 1,
A line extending in the vertical direction from the center of the time reference circle is defined as a reference line,
The angle between the reference line and the first line segment between the center and the display circle is defined as an initial occurrence time of an attack or defense event of the display source or an IP address of the display source,
Wherein the distance between the center and the display circle is defined as the last occurrence time to the present point of attack or defense event of the indicator.
제1항에 있어서,
상기 개별 공격/피해 분석/표시 모듈은 상기 제1 화면에 출력된 복수의 공격자 또는 피해자 중 어느 하나의 개별 공격자 또는 피해자에 대한 공격 또는 방어 이벤트를 2차원으로 구현된 제2 화면에 출력하고,
상기 제2 화면에는 동일한 중심을 갖고 각각 다른 반지름을 갖는 복수 개의 시간 참조원 및 상기 공격 또는 방어 이벤트를 나타내는 표시원을 포함하되, 상기 중심에는 개별 공격자 또는 개별 피해자가 표시되는 네트워크 보안상황 시각화 장치.
The method according to claim 1,
The individual attack / damage analysis / display module outputs an attack or defense event to an individual attacker or victim of a plurality of attackers or victims output on the first screen on a second screen implemented in two dimensions,
Wherein the second screen includes a plurality of time reference sources having the same center and different radii, and a display source indicating the attack or defense event, wherein individual attackers or individual victims are displayed at the center.
제3항에 있어서,
상기 공격/피해 연관관계 분석/표시 모듈은, 상기 전체 보안상황 분석/표시 모듈 및 상기 개별 공격/피해 분석/표시 모듈 중 적어도 하나가 분석 및 출력한 결과물에 기초하여 복수의 공격자, 복수의 피해자 상기 복수의 공격자와 피해자와의 연결관계를 3차원으로 구현된 제3 화면에 출력하는 네트워크 보안상황 시각화 장치.
The method of claim 3,
The attack / damage relationship analysis / display module may include a plurality of attackers, a plurality of victims, and a plurality of attackers based on the analysis result of at least one of the overall security situation analysis / display module and the individual attack / damage analysis / A network security situation visualization apparatus for outputting a connection relationship between a plurality of attackers and a victim on a third screen implemented in a three-dimensional manner.
제7항에 있어서,
상기 복수의 공격자 및 복수의 피해자 중 어느 하나를 선택하는 경우, 선택된 공격자 또는 피해자와 연관되는 연관 피해자 또는 연관 공격자 사이의 연결선이 상기 제3 화면에 표시되는 네트워크 보안상황 시각화 장치.
8. The method of claim 7,
Wherein when a plurality of attackers and a plurality of victims are selected, a connection line between the selected attacker or an associated victim or an associated attacker associated with the victim is displayed on the third screen.
제3항에 있어서,
상기 전체 보안상황 분석/표시 모듈, 상기 개별 공격/피해 분석/표시 모듈 및 상기 공격/피해 연관관계 분석/표시 모듈이 각각 출력하는 화면은 하나의 화면에 디스플레이되는 네트워크 보안상황 시각화 장치. The method of claim 3,
Wherein the screens output by the overall security situation analysis / display module, the individual attack / damage analysis / display module, and the attack / damage relationship analysis / display module are displayed on one screen.
KR1020160173439A 2016-12-19 2016-12-19 Apparatus for visualizing network security state KR101913339B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160173439A KR101913339B1 (en) 2016-12-19 2016-12-19 Apparatus for visualizing network security state

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160173439A KR101913339B1 (en) 2016-12-19 2016-12-19 Apparatus for visualizing network security state

Publications (2)

Publication Number Publication Date
KR20180070890A KR20180070890A (en) 2018-06-27
KR101913339B1 true KR101913339B1 (en) 2019-01-14

Family

ID=62789816

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160173439A KR101913339B1 (en) 2016-12-19 2016-12-19 Apparatus for visualizing network security state

Country Status (1)

Country Link
KR (1) KR101913339B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3680229B1 (en) 2018-06-20 2023-08-02 Lg Chem, Ltd. Modification polymerization initiator and method for preparing the same

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101088849B1 (en) * 2009-12-03 2011-12-06 한국인터넷진흥원 Visualization system for security information of network and method for visualizing the information
KR101067686B1 (en) 2010-03-23 2011-09-27 주식회사 에스티 System and method for network security policy management based on web services security
KR101868893B1 (en) * 2012-07-09 2018-06-19 한국전자통신연구원 Method and apparatus for visualizing network security state
KR101737914B1 (en) * 2014-06-03 2017-05-19 한국전자통신연구원 Apparatus for displaying network security and method thereof

Also Published As

Publication number Publication date
KR20180070890A (en) 2018-06-27

Similar Documents

Publication Publication Date Title
KR100949803B1 (en) Apparatus and Method for divided visualizing IP address
KR100885293B1 (en) Method and Apparatus for visualizing network security state
KR100925176B1 (en) Apparatus and method for visualizing network state by using geographic information
KR101868893B1 (en) Method and apparatus for visualizing network security state
KR101003104B1 (en) Apparatus for monitoring the security status in wireless network and method thereof
US9871806B2 (en) Apparatus and method of displaying network security situation
CN112100545A (en) Visualization method, device and equipment of network assets and readable storage medium
KR20120057066A (en) Method and system for providing network security operation system, security event processing apparatus and visual processing apparatus for network security operation
KR100992066B1 (en) An enterprise security management system using an 3d picture
KR102127650B1 (en) Apparatus for disruptive visualizing network security state
KR101913339B1 (en) Apparatus for visualizing network security state
KR20190061258A (en) System for analyzing and recognizing network security state using network traffic flow
CN105739408A (en) Business monitoring method used for power scheduling system and business monitoring system
KR20060042788A (en) Method for analyzing security condition by representing network events in graphs and apparatus thereof
KR101384618B1 (en) A system for analyzing dangerous situation using node analysis
Seo et al. Cylindrical Coordinates Security Visualization for multiple domain command and control botnet detection
Li et al. The research on network security visualization key technology
CN215300664U (en) Intrusion detection system based on distributed honeypots
KR100638480B1 (en) Method of visualizing intrusion detection using correlation of intrusion detection alert message
CN112769847B (en) Safety protection method, device, equipment and storage medium for Internet of things equipment
JP4825979B2 (en) Communication log visualization device, communication log visualization method, and communication log visualization program
KR20170106833A (en) A system for detecting of network anomaly and operation method thereof
WO2006077666A1 (en) Observation data display device, observation data display method, observation data display program, and computer-readable recording medium containing the program
CN114244727A (en) Instant generation method and system for power Internet of things communication panorama
WO2019123449A1 (en) A system and method for analyzing network traffic

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant