KR102038927B1 - 공격자 가시화 장치 및 공격자 가시화 장치의 동작 방법 - Google Patents

Abstract

본 발명은, 실제 공격을 유발하는 공격자(IP)를 직관적으로 탐지할 수 있도록 하는 수준, 장시간에 걸쳐 발생하는 사이버 공격을 탐지할 수 있도록 하는 수준까지 향상된, 공격자 가시화 기술을 실현함으로써, 보안관제 업무의 효율성을 향상시킬 수 있는 기술에 관한 것이다.

Description

공격자 가시화 장치 및 공격자 가시화 장치의 동작 방법{VISUALIZATION APPARATUS AND CONTROL METHOD THEREOF}

본 발명은, 보안관제 기술 분야에 관한 것으로, 더욱 상세하게는 공격자(IP)를 직관적으로 탐지할 수 있도록 하는 공격자 가시화 기술에 관한 것이다.

기존의 보안이벤트 가시화 기술은 보안이벤트에 포함된 기본정보(예: IP 주소, 포트, 프로토콜, 보안이벤트명) 만을 이용하여 보안이벤트를 가시화하는 것에 초점을 맞추고 있다.

이에, 기존의 가시화 기술에 따르면, 공격자/피해자, IP 발생 시간/순위, 공격자/피해자 국가 순위, 보안이벤트 발생 시간/순위 등, 보안이벤트에 대한 전체적인 동향/현황을 가시화/파악할 수 있도록 해주는 수준이다.

한편, 다수의 악성 봇(예: 좀비 PC)들을 이용하여 공격하는 DDoS공격들의 경우, 공격자들을 탐지하는 것보다는 이들을 조종하는 C&C서버를 탐지/대응하여 근본적인 원인을 차단하는 것이 매우 중요하다.

하지만, C&C서버는 공격에 직접적으로 가담하지 않으므로 피해 서버들과 직접적인 관계가 없기 때문에, 실제 공격을 유발하는 공격자 즉 C&C서버를 탐지하는 것이 매우 어렵다.

물론, 보안이벤트에 대한 전체적인 동향/현황을 가시화하는 수준의 기존 가시화 기술로도, 공격에 직접적으로 가담하지 않아 피해 서버와의 직접적 관련성이 낮은 성격을 갖는 공격자(IP, 예: C&C서버)를 탐지하기는 어려운 일이다.

또한, 기존의 가시화 기술 중 IP 간의 보안이벤트 발생량 기반의 분류알고리즘들을 사용하여 IP 간의 관계성을 나타내는 IP 상관관계 가시화 기술이 존재하지만, 이러한 가시화 기술의 경우 보안이벤트 발생량이 적지만 위험도가 높은 IP들의 관계를 찾는 것이 매우 어렵다.

예컨대, C&C서버는 다수의 악성 봇(예: 좀비 PC)들과의 통신 시 다량의 데이터를 송/수신하지는 않기 때문에, 기존 가시화 기술들로는 C&C서버를 찾는 것이 매우 어렵다.

결국, 기존의 보안이벤트 기반 가시화 기술은, 보안이벤트에 포함된 기본정보(예: IP 주소, 포트, 프로토콜, 보안이벤트명) 및 보안이벤트 발생량에만 의존하는 가시화 방식이기 때문에, 공격에 직접적으로 가담하지 않아 피해 서버와의 직접적 관련성이 낮거나 보안이벤트 발생량이 적지만 위험도가 높은 공격자(IP)를 직관적으로 탐지할 수 있도록 하는 수준에는 미치지 못하는 것이다.

또한, 기존의 가시화 기술에서는, 단시간에 발생한 보안이벤트에 대한 가시화에만 초점을 맞추고 있어 APT 공격과 같은 지속적/연속적으로 발생하는 사이버 공격을 탐지할 수 없는 한계를 갖는다.

이에, 본 발명에서는, 실제 공격을 유발하는 공격자(IP)를 직관적으로 탐지할 수 있도록 하는 수준, 장시간에 걸쳐 발생하는 사이버 공격을 탐지할 수 있도록 하는 수준까지 향상된, 공격자 가시화 기술을 제안하고자 한다.

본 발명은 상기한 사정을 감안하여 창출된 것으로서, 본 발명에서 도달하고자 하는 목적은, 실제 공격을 유발하는 공격자(IP)를 직관적으로 탐지할 수 있도록 하는 수준, 장시간에 걸쳐 발생하는 사이버 공격을 탐지할 수 있도록 하는 수준까지 향상된, 공격자 가시화 기술을 제공하는데 있다.

상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 공격자 가시화 장치는, 보안이벤트를 수집하는 수집모듈; 기 설정된 단위시간 별로, 단위시간에 속하는 보안이벤트를 이용하여 대상 IP 별로 통계정보를 생성하는 통계정보생성모듈; 상기 단위시간 별로 생성한 상기 대상 IP 별 통계정보를 근거로, 상기 대상 IP 각각에 대한 좌표정보를 생성하는 좌표정보생성모듈; 및 상기 대상 IP 각각에 대한 좌표정보를 기반으로 상기 대상 IP의 통계정보를 극좌표 공간에 가시화하는 가시화모듈을 포함한다.

구체적으로, 상기 통계정보는, 대상 IP의 IP 주소정보, 상기 통계정보 생성 시 이용된 단위시간의 보안이벤트에서 상기 대상 IP가 추출된 횟수 및 상기 대상 IP와 연결된 독립적인 IP 개수를 포함할 수 있다.

구체적으로, 상기 좌표정보생성모듈은, 상기 대상 IP의 IP 주소정보, 상기 대상 IP가 추출된 횟수, 상기 대상 IP와 연결된 IP 개수를 이용하여, 기 정의한 극좌표 계산식을 통해 3차원 좌표정보를 생성할 수 있다.

구체적으로, 대상 IP 별로 생성한 통계정보를 수집하는 수집 시점에, 상기 대상 IP 별로 이전 단위시간의 통계정보 대비 변화량을 계산하고, 상기 변화량을 기반으로 상기 대상 IP 중 통계정보의 추이변화를 가시화할 추이변화 가시화 대상 IP를 추천하는 IP추천모듈을 더 포함할 수 있다.

구체적으로, 상기 대상 IP 중 선택 또는 추천되는 추이변화 가시화 대상 IP에 대하여, 추이변화 가시화 시작 시점부터 매 단위시간 마다 생성되는 통계정보를 마지막 단위시간의 통계정보를 기준으로 정규화하는 정규화모듈을 더 포함할 수 있다.

구체적으로, 상기 좌표정보생성모듈은, 상기 추이변화 가시화 대상 IP에 대하여, 상기 정규화한 매 단위시간의 통계정보를 근거로 단위시간 별 좌표정보를 생성할 수 있다.

구체적으로, 상기 가시화모듈은, 상기 추이변화 가시화 대상 IP에 대한 단위시간 별 좌표정보를 기반으로 상기 추이변화 가시화 대상 IP의 통계정보 추이변화를 극좌표 공간에 가시화할 수 있다.

구체적으로, 상기 가시화모듈은, 상기 대상 IP의 통계정보 및 상기 추이변화 가시화 대상 IP의 통계정보 추이변화를 동시에 가시화하는 경우, 상기 추이변화 가시화 대상 IP의 객체가 상기 대상 IP의 객체와 구분되도록 가시화할 수 있다.

구체적으로, 상기 가시화모듈은, 상기 추이변화 가시화 대상 IP의 통계정보 추이변화를 극좌표 공간에 가시화하는 과정에서, 단위시간 변화에도 좌표정보가 중복되는 경우 중복 좌표정보에 표시되는 상기 추이변화 가시화 대상 IP의 객체에 대해서는 중복 여부 및 중복 횟수가 구분되도록 가시화할 수 있다.

상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 공격자 가시화 장치의 동작 방법은, 보안이벤트를 수집하는 수집단계; 기 설정된 단위시간 별로, 단위시간에 속하는 보안이벤트를 이용하여 대상 IP 별로 통계정보를 생성하는 통계정보생성단계; 상기 단위시간 별로 생성한 상기 대상 IP 별 통계정보를 근거로, 상기 대상 IP 각각에 대한 좌표정보를 생성하는 좌표정보생성단계; 및 상기 대상 IP 각각에 대한 좌표정보를 기반으로 상기 대상 IP의 통계정보를 극좌표 공간에 가시화하는 가시화단계를 포함한다.

구체적으로, 상기 통계정보는, 대상 IP의 IP 주소정보, 상기 통계정보 생성 시 이용된 단위시간의 보안이벤트에서 상기 대상 IP가 추출된 횟수 및 상기 대상 IP와 연결된 독립적인 IP 개수를 포함할 수 있다.

구체적으로, 상기 좌표정보생성단계는, 상기 대상 IP의 IP 주소정보, 상기 대상 IP가 추출된 횟수, 상기 대상 IP와 연결된 IP 개수를 이용하여, 기 정의한 극좌표 계산식을 통해 3차원 좌표정보를 생성할 수 있다.

구체적으로, 대상 IP 별로 생성한 통계정보를 수집하는 수집 시점에, 상기 대상 IP 별로 이전 단위시간의 통계정보 대비 변화량을 계산하고, 상기 변화량을 기반으로 상기 대상 IP 중 통계정보의 추이변화를 가시화할 추이변화 가시화 대상 IP를 추천하는 IP추천단계를 더 포함할 수 있다.

구체적으로, 상기 대상 IP 중 선택 또는 추천되는 추이변화 가시화 대상 IP에 대하여, 추이변화 가시화 시작 시점부터 매 단위시간 마다 생성되는 통계정보를 마지막 단위시간의 통계정보를 기준으로 정규화하는 정규화단계를 더 포함할 수 있다.

구체적으로, 상기 추이변화 가시화 대상 IP에 대하여, 상기 정규화한 매 단위시간의 통계정보를 근거로 단위시간 별 좌표정보를 생성하는 단계를 더 포함할 수 있다.

구체적으로, 상기 가시화단계는, 상기 추이변화 가시화 대상 IP에 대한 단위시간 별 좌표정보를 기반으로 상기 추이변화 가시화 대상 IP의 통계정보 추이변화를 극좌표 공간에 가시화할 수 있다.

구체적으로, 상기 가시화단계는, 상기 대상 IP의 통계정보 및 상기 추이변화 가시화 대상 IP의 통계정보 추이변화를 동시에 가시화하는 경우, 상기 추이변화 가시화 대상 IP의 객체가 상기 대상 IP의 객체와 구분되도록 가시화할 수 있다.

구체적으로, 상기 가시화단계는, 상기 추이변화 가시화 대상 IP의 통계정보 추이변화를 극좌표 공간에 가시화하는 과정에서, 단위시간 변화에도 좌표정보가 중복되는 경우 중복 좌표정보에 표시되는 상기 추이변화 가시화 대상 IP의 객체에 대해서는 중복 여부 및 중복 횟수가 구분되도록 가시화할 수 있다.

상기 목적을 달성하기 위한 본 발명의 제 3 관점에 따른 컴퓨터프로그램은, 하드웨어와 결합하여, 보안이벤트를 수집하는 수집단계; 기 설정된 단위시간 별로, 단위시간에 속하는 보안이벤트를 이용하여 대상 IP 별로 통계정보를 생성하는 통계정보생성단계; 상기 단위시간 별로 생성한 상기 대상 IP 별 통계정보를 근거로, 상기 대상 IP 각각에 대한 좌표정보를 생성하는 좌표정보생성단계; 및 상기 대상 IP 각각에 대한 좌표정보를 기반으로 상기 대상 IP의 통계정보를 극좌표 공간에 가시화하는 가시화단계를 실행시키기 위하여 매체에 저장된다.

구체적으로, 상기 대상 IP 중 선택 또는 추천되는 추이변화 가시화 대상 IP에 대하여, 추이변화 가시화 시작 시점부터 매 단위시간 마다 생성되는 통계정보를 마지막 단위시간의 통계정보를 기준으로 정규화하는 단계를 더 실행시킬 수 있다.

구체적으로, 상기 추이변화 가시화 대상 IP에 대하여, 상기 정규화한 매 단위시간의 통계정보를 근거로 단위시간 별 좌표정보를 생성하는 단계를 더 실행시킬 수 있다.

구체적으로, 상기 추이변화 가시화 대상 IP에 대한 단위시간 별 좌표정보를 기반으로 상기 추이변화 가시화 대상 IP의 통계정보 추이변화를 극좌표 공간에 가시화하는 단계를 더 실행시킬 수 있다.

이에, 본 발명에 따른 공격자 가시화 장치 및 공격자 가시화 장치의 동작 방법에 의하면, 보안이벤트에 포함된 기본정보(예: IP 주소, 포트, 프로토콜, 보안이벤트명) 및 보안이벤트 발생량에만 의존하던 기존 기술에서 벗어나, 단위시간 별로 개별 IP의 공격 행위에 대한 상세 분석 및 실제 공격을 유발한 IP에 대한 직접적인 가시화 결과물을 제시함으로써, 실제 공격을 유발하는 공격자(IP)를 직관적으로 탐지할 수 있도록 하는 수준, 장시간에 걸쳐 발생하는 사이버 공격을 탐지할 수 있도록 하는 수준까지 향상된, 공격자 가시화 기술을 실현할 수 있다.

이로 인해, 본 발명에 따르면, 별도의 알고리즘 없이도 악성 IP들의 직관적·효율적 탐지를 가능하게 하는 효과, 아울러 추가적인 분류 알고리즘 없이 가시화하기 때문에 데이터를 일정하게 표현할 수 있으며 데이터에 대한 왜곡이 없어 분석 결과의 신뢰성을 향상시키는 효과, 특히 실제 공격을 유발한 IP 주소를 직관적으로 탐지할 수 있도록 하여 보안관제 업무의 효율성을 향상시키는 효과를 기대할 수 있다.

도 1은 본 발명의 실시예에 따른 공격자 가시화 기술의 개념을 보여주는 개념도이다.
도 2는 본 발명의 실시예에 따른 공격자 가시화 장치의 구성을 보여주는 구성도이다.
도 3은 본 발명의 실시예에 따라, 각 단위시간 별로, 대상 IP 별 통계정보를 근거로 각도(θ), 반지름(r), 높이(h)를 표현(전처리)한 예를 보여주는 테이블이다.
도 4는 본 발명의 실시예에 따른 추이변화 가시화 대상 IP의 추이변화를 정규화하는 예를 보여주는 예시도이다.
도 5 및 도 6은 본 발명의 실시예에 따른 공격자 가시화 장치의 동작 방법을 보여주는 흐름도이다.

이하, 첨부된 도면을 참조하여 본 발명의 실시예에 대하여 설명한다.

기존의 보안이벤트 가시화 기술은 보안이벤트에 포함된 기본정보(예: IP 주소, 포트, 프로토콜, 보안이벤트명) 만을 이용하여 보안이벤트를 가시화하는 것에 초점을 맞추고 있다.

이에, 기존의 가시화 기술에 따르면, 공격자/피해자, IP 발생 시간/순위, 공격자/피해자 국가 순위, 보안이벤트 발생 시간/순위 등, 보안이벤트에 대한 전체적인 동향/현황을 가시화/파악할 수 있도록 해주는 수준이다.

이처럼 보안이벤트에 대한 전체적인 동향/현황을 가시화하는 수준의 기존 가시화 기술로도, 공격에 직접적으로 가담하지 않아 피해 서버와의 직접적 관련성이 낮은 성격을 갖는 공격자(IP, 예: C&C서버)를 탐지하기는 어려운 일이다.

또한, 기존의 가시화 기술 중 IP 간의 보안이벤트 발생량 기반의 분류알고리즘들을 사용하여 IP 간의 관계성을 나타내는 IP 상관관계 가시화 기술이 존재하지만, 이러한 가시화 기술의 경우 보안이벤트 발생량이 적지만 위험도가 높은 IP들의 관계를 찾는 것이 매우 어렵다.

결국, 기존의 보안이벤트 기반 가시화 기술은, 보안이벤트에 포함된 기본정보(예: IP 주소, 포트, 프로토콜, 보안이벤트명) 및 보안이벤트 발생량에만 의존하는 가시화 방식이기 때문에, 공격에 직접적으로 가담하지 않아 피해 서버와의 직접적 관련성이 낮거나 보안이벤트 발생량이 적지만 위험도가 높은 공격자(IP)를 직관적으로 탐지할 수 있도록 하는 수준에는 미치지 못하는 것이다.

또한, 기존의 가시화 기술에서는, 단시간에 발생한 보안이벤트에 대한 가시화에만 초점을 맞추고 있어 APT 공격과 같은 지속적/연속적으로 발생하는 사이버 공격을 탐지할 수 없는 한계를 갖는다.

이에, 본 발명에서는, 실제 공격을 유발하는 공격자(IP)를 직관적으로 탐지할 수 있도록 하는 수준, 장시간에 걸쳐 발생하는 사이버 공격을 탐지할 수 있도록 하는 수준까지 향상된, 공격자 가시화 기술을 제안하고자 한다.

도 1은 본 발명에서 제안하는 공격자 가시화 기술을 개념적으로 보여주고 있다.

도 1에 도시된 바와 같이, 본 발명에서 제안하는 공격자 가시화 기술은, 크게 다음의 5 단계 과정으로 설명할 수 있다.

먼저, 본 발명에서 제안하는 공격자 가시화 기술은, 가시화에 기초정보로서 사용될 보안이벤트를 수집하는 과정, 이처럼 수집한 보안이벤트를 이용하여 단위시간 마다 대상 IP 별로 통계정보를 생성하는 과정, 대상 IP 별로 통계정보를 근거로 대상 IP 각각에 대한 가시화 정보 즉 좌표정보를 생성하는 과정을 포함하며, 이러한 3 단계 과정을 토대로 과거부터 현재까지의 단위시간 별로 개별 대상 IP의 공격 행위에 대한 상세 분석을 직접적인 가시화 결과물로서 제공할 수 있게 된다.

아울러, 본 발명에서 제안하는 공격자 가시화 기술은, 전술의 3 단계 과정을 토대로 추이변화 가시화 대상 IP를 수동 선택 또는 자동 추천하는 과정, 추이변화 가시화 대상 IP에 대하여 단위시간 변화에 따른 통계정보의 추이변화를 가시화하는 과정을 포함하며, 이러한 과정을 토대로 실제 공격을 유발하는 개별 IP(또는 IP 그룹)에 대한 공격 시점과 변화에 대한 상세 분석을 직접적인 가시화 결과물로서 제공할 수 있게 된다.

이하에서는, 도 2를 참조하여 본 발명의 실시예에 공격자 가시화 장치의 구성에 대해 구체적으로 설명하겠다.

본 발명의 공격자 가시화 장치(100)는, 수집모듈(110), 통계정보생성모듈(120), 좌표정보생성모듈(130), 가시화모듈(140)을 포함할 수 있다.

더 나아가, 본 발명의 공격자 가시화 장치(100)는, IP추천모듈(150) 및 정규화모듈(160)을 더 포함할 수 있다.

이러한 공격자 가시화 장치(100)의 구성 전체 내지는 적어도 일부는 하드웨어 모듈 형태 또는 소프트웨어 모듈 형태로 구현되거나, 하드웨어 모듈과 소프트웨어 모듈이 조합된 형태로도 구현될 수 있다.

여기서, 소프트웨어 모듈이란, 예컨대, 공격자 가시화 장치(100) 내에서 연산을 제어하는 프로세서에 의해 실행되는 명령어로 이해될 수 있으며, 이러한 명령어는 공격자 가시화 장치(100) 내 메모리에 탑재된 형태를 가질 수 있을 것이다.

결국, 본 발명의 일 실시예에 따른 공격자 가시화 장치(100)는 전술한 구성을 통해, 본 발명에서 제안하는 기술 즉 실제 공격을 유발하는 공격자(IP)를 직관적/실시간으로 탐지할 수 있도록 하는 공격자 가시화 기술을 실현하며, 이하에서는 이를 실현하기 위한 공격자 가시화 장치(100) 내 각 구성에 대해 보다 구체적으로 설명하기로 한다.

수집모듈(110)은, 가시화에 기초정보로서 사용될 보안이벤트를 수집한다.

구체적으로, 수집모듈(110)은, 단일(또는 다수)의 침입탐지시스템(IDS)/침입차단시스템(IPS)로부터, 기 정의된 수집 주기마다 기 정의된 수집 방식에 따라서 보안이벤트를 수집할 수 있다.

이때의 수집 주기는, 예컨대 1분, 5분, 10분, 1시간 등 사용자에 의해 임의 설정이 가능하며, 후술에서 언급하는 단위시간과 동일한 개념일 수도 있고 별개의 개념일 수도 있다.

다만, 이하에서는 설명의 편의를 위해, 수집 주기 및 단위시간이 동일한 개념인 것으로 설명하겠다.

통계정보생성모듈(120)은, 기 설정된 단위시간 별로, 단위시간에 속하는 보안이벤트를 이용하여 대상 IP 별로 통계정보를 생성한다.

즉, 통계정보생성모듈(120)은, 수집모듈(110)에서 단위시간 별로 수집하는 보안이벤트를 이용하여, 단위시간 별로 대상 IP 별 통계정보를 생성하는 것이다.

일반적으로 보안이벤트에는, 기본정보로서 IP 주소(출발지/목적지 IP 주소정보), 포트(출발지/목적지 포트정보), 프로토콜, 보안이벤트명이 포함되어 있다.

이하에서는, 설명의 편의 상, 대상 IP 별 통계정보를 생성하는 단위시간을, 현재 시점을 "현재(0)", "-1", "-2",...와 같은 방식으로 인덱싱하여 지칭하겠다.

이에, -1 단위시간을 예로서 설명하면, 통계정보생성모듈(120)은, -1 단위시간 동안 수집한 보안이벤트를 이용하여, -1 단위시간의 대상 IP 별 통계정보를 생성할 수 있다.

이때, -1 단위시간의 대상 IP 별 통계정보는, -1 단위시간 동안 수집한 보안이벤트 전체에서 IP 주소(출발지/목적지 IP 주소정보) 내 존재하는 개별 IP 주소정보 각각을, 대상 IP로 한다.

즉, 통계정보생성모듈(120)은, -1 단위시간 동안 수집한 보안이벤트 전체에서 IP 주소(출발지/목적지 IP 주소정보) 내 존재하는 서로 다른 개별 IP 주소정보가 5만개인 경우, 각 5만 개의 대상 IP 각각에 대하여 통계정보를 생성하는 것이다.

여기서, 통계정보는, 대상 IP의 IP 주소정보, 통계정보 생성 시 이용된 단위시간의 보안이벤트에서 대상 IP가 추출된 횟수 및 대상 IP와 연결된 독립적인 IP 개수를 포함할 수 있다.

구체적으로, 대상 IP의 IP 주소정보는, 대상 IP의 IP 고유값을 의미한다.

대상 IP가 추출된 횟수는, 이벤트 발생량을 의미하며, 통계정보 생성 시 이용된 단위시간(예: -1 단위시간)의 보안이벤트 전체(출발지 IP 주소정보 및 목적지 IP 주소정보 중 어디에서든)에서 대상 IP의 IP 주소정보가 추출된 횟수를 의미한다.

예를 들어, 특정 대상 IP를 가정하면, 특정 대상 IP의 IP 주소정보가 -1 단위시간 동안 수집한 보안이벤트 전체에서 출발지 IP 주소정보로서 5회, 목적지 IP 주소정보로서 5회 추출된 경우라면, 특정 대상 IP의 이벤트 발생량은 10회로 카운트될 것이다.

대상 IP와 연결된 IP 개수는, IP간 연결횟수를 의미하며, 통계정보 생성 시 이용된 단위시간의 보안이벤트 전체에서 대상 IP와 연결된 IP 개수를 의미한다.

예를 들어, 특정 대상 IP를 가정하면, -1 단위시간 동안 수집한 보안이벤트 전체에서, 특정 대상 IP의 IP 주소정보가 출발지 IP 주소정보인 5개의 보안이벤트 내 목적지 IP 주소정보가 동일하고, 특정 대상 IP의 IP 주소정보가 목적지 IP 주소정보인 5개의 보안이벤트 내 출발지 IP 주소정보가 서로 다를 경우라면, 특정 대상 IP의 IP간 연결횟수는 6회로 카운트될 것이다.

통계정보생성모듈(120)은, 전술과 같이,-M...-4,-3,-2,-1,현재(0)의 단위시간 별로, 보안이벤트를 이용하여 대상 IP 별 통계정보를 생성할 수 있다.

좌표정보생성모듈(130)은, 단위시간 별로 생성한 대상 IP 별 통계정보를 근거로, 대상 IP 각각에 대한 좌표정보를 생성한다.

구체적으로, 좌표정보생성모듈(130)은, 대상 IP의 IP 주소정보, 대상 IP가 추출된 횟수(이하, 이벤트 발생량), 대상 IP와 연결된 IP 개수(이하, IP간 연결횟수)를 이용하여, 기 정의한 극좌표 계산식을 통해 3차원 좌표정보를 생성할 수 있다.

더 구체적으로 설명하면, 좌표정보생성모듈(130)은, 대상 IP의 IP 고유값, 이벤트 발생량, IP간 연결횟수를 이용하여, 각도(θ), 반지름(r), 높이(h)로 표현하기 위한 전처리를 수행한다.

이하에서는, 설명의 편의 상, -1 단위시간의 대상 IP 별 통계정보를, 예로서 언급하여 설명하겠다.

이 경우, 좌표정보생성모듈(130)은, -1 단위시간의 대상 IP 별 통계정보에서, 이벤트 발생량 최대값(Max Count)과 IP간 연결횟수 최대값(Max Connect IP)을 추출한다.

그리고, 좌표정보생성모듈(130)은, -1 단위시간의 대상 IP 별 통계정보를 근거로, 대상 IP 각각에 대하여, 다음의 수학식 1과 이벤트 발생량 최대값(Max Count)을 이용하여 반지름(r)을 계산하고, 다음의 수학식 2와 IP간 연결횟수 최대값(Max Connect IP)을 이용하여 높이(h)를 계산할 수 있다.

그리고, 좌표정보생성모듈(130)은, -1 단위시간의 대상 IP 별 통계정보를 근거로, 대상 IP 각각에 대하여, 다음의 수학식 3을 통해 각도(θ)를 계산할 수 있다.

이렇게 좌표정보생성모듈(130)은, -1 단위시간의 대상 IP 별 통계정보를 근거로, 대상 IP 각각에 대하여 IP 고유값, 이벤트 발생량, IP간 연결횟수를 각기 각도(θ), 반지름(r), 높이(h)로 표현한 후, 대상 IP 각각에 대한 각도(θ), 반지름(r), 높이(h)를 기 정의한 극좌표 계산식을 통해 3차원 좌표정보(x,y,z)로 생성할 수 있다.

여기서, 극좌표 계산식은 다음의 수학식 4로 정의할 수 있다.

이때, (r, θ, h)는, 한정된 공간 안에 모든 대상 IP 객체를 표현하기 위해, r≤V, 0< θ≤2π 범위의 값으로 한정될 수 있고, h의 경우, ±부호를 부여하여 가시화할 대상 IP 영역을 구분할 수도 있다.

예를 들어, - 부호를 사용자 선택 대상 IP 영역으로, + 부호를 사용자 선택 대상 IP 제외 영역으로 구분할 수 있다.

이 경우, 후술의 가시화모듈(140)에 의해 대상 IP 각각에 대한 좌표정보를 기반으로 대상 IP의 통계정보가 극좌표 공간에 가시화되면, xy 평면(원점평면)을 기준으로 위쪽 부분(h값 +부호)에 가시화되는 대상 IP들은 사용자가 선택하지 않은 IP들이고 아래쪽 부분(h값 -부호)에 가시화되는 대상 IP들은 사용자가 선택한IP들이 될 것이다.

도 3은, 각 단위시간 별로, 대상 IP 별 통계정보를 근거로 각도(θ), 반지름(r), 높이(h)를 표현(전처리)한 예를 보여주고 있다.

도 3에 도시된 바와 같이, 좌표정보생성모듈(130)은, -M...-4,-3,-2,-1,현재(0)의 단위시간 별로, 대상 IP(예: 1번 IP, 2번 IP, ... N번 IP) 별 통계정보를 근거로 대상 IP(예: 1번 IP, 2번 IP, ... N번 IP) 각각에 대하여 IP 고유값, 이벤트 발생량, IP간 연결횟수를 각기 각도(θ), 반지름(r), 높이(h)로 표현할 수 있다.

그리고, 좌표정보생성모듈(130)은, 전술과 같이, -M...-4,-3,-2,-1,현재(0)의 단위시간 별로, 대상 IP(예: 1번 IP, 2번 IP, ... N번 IP) 별 각도(θ), 반지름(r), 높이(h)를 근거로 대상 IP(예: 1번 IP, 2번 IP, ... N번 IP) 각각에 대한 좌표정보(x,y,z)를 생성할 수 있다.

가시화모듈(140)은, 대상 IP 각각에 대한 좌표정보를 기반으로 대상 IP의 통계정보를 극좌표 공간에 가시화하는 역할을 담당한다.

예를 들어, 다수의 단위시간 중 특정 단위시간(예: -1 단위시간)에 대한 가시화 요청이 발생하는 경우를 가정할 수 있다.

이 경우, 가시화모듈(140)은, 가시화 요청된 특정 단위시간(예: -1 단위시간)의 대상 IP(예: 1번 IP, 2번 IP, ... N번 IP) 별 좌표정보(x,y,z)를 좌표정보생성모듈(130)로부터 획득하고, 이를 기반으로 대상 IP(예: 1번 IP, 2번 IP, ... N번 IP) 각각의 객체를 해당 좌표정보(x,y,z)의 위치에 표시할 수 있다.

본 발명에서는, 대상 IP의 객체가 표시되는 좌표 즉 x축/y축/z축의 위치는, 좌표정보(x,y,z)가 각기 대상 IP의 각도(θ), 반지름(r), 높이(h)로 표현된 IP 고유값, 이벤트 발생량, IP간 연결횟수에 기인하므로, 대상 IP 별 좌표정보(x,y,z)에 따라 대상 IP 각각의 객체를 해당 좌표정보(x,y,z)의 위치에 표시함으로써, 대상 IP 각각의 객체 위치를 통해 대상 IP의 통계정보를 극좌표 공간에 가시화할 수 있다.

IP추천모듈(150)은, 대상 IP 별로 생성한 통계정보를 수집하는 수집 시점에 대상 IP 별로 이전 단위시간의 통계정보 대비 변화량을 계산하고, 변화량을 기반으로 대상 IP 중 통계정보의 추이변화를 가시화할 추이변화 가시화 대상 IP를 추천할 수 있다.

통계정보생성모듈(120)에서 대상 IP 별로 통계정보를 생성하면 대상 IP 별로 통계정보는 좌표정보생성모듈(130)으로 전달되며, 이 시점을 좌표정보생성모듈(130) 측에서 대상 IP 별로 통계정보를 수집하는 수집 시점이라고 할 수 있다.

이에, IP추천모듈(150)은, 매 수집 시점 마다, 금번 대상 IP 별 통계정보 및 이전 단위시간의 대상 IP 별 통계정보를 비교하여, 대상 IP 별로 이전 단위시간의 통계정보 대비 변화량을 계산할 수 있다.

IP추천모듈(150)은, 매 수집 시점 마다 대상 IP 별로 계산하는 변화량을 기반으로, 대상 IP 중 통계정보의 추이변화를 가시화할 추이변화 가시화 대상 IP를 추천할 수 있다.

예를 들면, IP추천모듈(150)은, 대상 IP 중 변화량이 가장 큰 상위 N개의 대상 IP를, 추이변화 가시화 대상 IP로서 추천할 수 있다. 이때, N개는 사용자에 의해 설정/변경이 가능하다.

또는, IP추천모듈(150)은, 대상 IP 중 변화량이 기 설정된 임계 변화량 이상인 대상 IP를, 추이변화 가시화 대상 IP로서 추천할 수 있다.

추이변화 가시화 대상 IP를 추천하는 방식은, 별도의 팝업 형태로 추이변화 가시화 대상 IP를 표시하여 추천할 수 있고, 그 외에도 다양한 방식으로 추이변화 가시화 대상 IP를 표시하여 추천할 수 있다.

이렇게 되면, 본 발명의 공격자 가시화 장치(100)에서는, 추천되는 추이변화 가시화 대상 IP를 인지한 사용자가, 최종 선택하는 대상 IP를 추이변화 가시화 대상 IP로 지정할 수 있다.

물론, 본 발명의 공격자 가시화 장치(100)는, 대상 IP 중 사용자에 의해 수동으로 선택되는 대상 IP를, 추이변화 가시화 대상 IP로 지정할 수도 있다.

이때, 지정되는 추이변화 가시화 대상 IP는, 하나일 수도 있고 다수 개일 수도 있다.

정규화모듈(160)은, 대상 IP 중 선택 또는 추천되는 추이변화 가시화 대상 IP에 대하여, 추이변화 가시화 시작 시점부터 매 단위시간 마다 생성되는 통계정보를 마지막 단위시간의 통계정보를 기준으로 정규화한다.

예를 들어, 단위시간은 1시간으로 설정되며, 11시에 추이변화 가시화 요청이 발생하는 경우를 가정할 수 있다. 그리고, 현재는 13시를 경과한 상황이라고 가정할 수 있다.

이 경우, 통계정보생성모듈(120)에서는 전술한 바와 같이 단위시간 별로 대상 IP 별 통계정보를 생성하고 있을 것이므로, 정규화모듈(160)은, 대상 IP 중 추이변화 가시화 대상 IP에 대하여, 추이변화 가시화 시작 시점 즉 11시부터 매 단위시간 즉 -2 단위시간(11시), -1 단위시간(12시), 현재(0) 단위시간(13시) 마다 생성된 통계정보를 통계정보생성모듈(120)로부터 획득할 수 있다.

그리고, 정규화모듈(160)은, 추이변화 가시화 대상 IP에 대하여, 매 단위시간 즉 -2,-1,현재(0) 단위시간 별로 획득한 통계정보를 마지막 단위시간 즉 현재(0) 단위시간(13시)의 통계정보를 기준으로 정규화한다.

구체적으로 설명하면, 전술의 수학식 1,2를 보면 알 수 있듯이, 좌표정보생성모듈(130)이 수행하는 전처리 과정에서, 통계정보 즉 이벤트 발생량, IP간 연결횟수를 이용하여 반지름(r), 높이(h)를 계산하는데 있어서 해당 단위시간 내 이벤트 발생량 최대값(Max Count), IP간 연결횟수 최대값(Max Connect IP)을 기준으로 정규화를 수행하게 된다.

헌데, 매 단위시간 마다 이벤트 발생량 최대값(Max Count), IP간 연결횟수 최대값(Max Connect IP)은 달라질 수 있다는 점을 감안하면, 추이변화 가시화 대상 IP에 대하여 단위시간 경과에 따른 유의미한 추이변화를 가시화하기 위해서는 단위시간 간의 정규화 과정이 필요할 것이다.

이에, 본 발명 특히 정규화모듈(160)은, 추이변화 가시화 대상 IP에 대하여, 매 단위시간 즉 -2,-1,현재(0) 단위시간 별로 획득한 통계정보를 마지막 단위시간 즉 현재(0) 단위시간(13시)의 통계정보를 기준으로 정규화할 수 있다.

구체적으로, 정규화모듈(160)은, 추이변화 가시화 대상 IP에 대하여, -2,-1,현재(0) 단위시간 별로 획득한 통계정보 특히 이벤트 발생량, IP간 연결횟수를 이용하여 -2,-1,현재(0) 단위시간 별로 반지름(r), 높이(h)를 계산하는데 있어서, 해당 단위시간 내 이벤트 발생량 최대값(Max Count), IP간 연결횟수 최대값(Max Connect IP)이 대신, 현재(0) 단위시간의 통계정보 즉 현재(0) 단위시간 내 이벤트 발생량 최대값(Max Count), IP간 연결횟수 최대값(Max Connect IP)을 기준으로 동일하게 이용하여 정규화를 수행할 수 있다.

도 4는, 추이변화 가시화 대상 IP의 추이변화를 정규화하는 예를 보여주고 있다.

설명의 편의를 위해, IP 고유값이 AAAA인 대상 IP를 언급하여 설명하겠다.

도 4에 도시된 바와 같이, -1 단위시간에 생성된 대상 IP(IP 고유값_AAAA)의 통계정보(IP 고유값_AAAA, 이벤트 발생량_10, IP간 연결횟수_5)를 가정하면, 대상 IP(IP 고유값_AAAA)의 반지름(r), 높이(h)는 해당 -1 단위시간 내 이벤트 발생량 최대값(Max Count) 50, IP간 연결횟수 최대값(Max Connect IP) 20을 기준으로 정규화된 후, 대상 IP(IP 고유값_AAAA)의 (r, θ, h)를 근거로 생성되는 좌표정보(x,y,z)에 따른 극좌표 공간 상 좌표 위치에 대상 IP(AAAA)의 객체(-1)가 표시/가시화될 것이다(도 4의 왼쪽).

하지만, 대상 IP(IP 고유값_AAAA)가 추이변화 가시화 대상 IP로 지정된 경우를 가정하고 현재(0) 단위시간에 대상 IP(IP 고유값_AAAA)의 추이변화를 가시화한다고 가정하면, -1 단위시간에 생성된 추이변화 가시화 대상 IP(IP 고유값_AAAA)의 통계정보(IP 고유값_AAAA, 이벤트 발생량_10, IP간 연결횟수_5)에 따른 반지름(r), 높이(h)는 해당 -1 단위시간이 아닌 현재(0) 단위시간 내 이벤트 발생량 최대값(Max Count) 200, IP간 연결횟수 최대값(Max Connect IP) 150을 기준으로 정규화된다.

이후, 추이변화 가시화 대상 IP(IP 고유값_AAAA)의 (r, θ, h)를 근거로 생성되는 좌표정보(x,y,z)에 따른 극좌표 공간 상 좌표 위치에 추이변화 가시화 대상 IP(AAAA)의 객체(-1)가 표시/가시화될 것이다(도 4의 오른쪽).

물론, 현재(0) 단위시간에 생성된 추이변화 가시화 대상 IP(IP 고유값_AAAA)의 통계정보(IP 고유값_AAAA, 이벤트 발생량_15, IP간 연결횟수_6)에 따른 반지름(r), 높이(h) 역시 현재(0) 단위시간 내 이벤트 발생량 최대값(Max Count) 200, IP간 연결횟수 최대값(Max Connect IP) 150을 기준으로 정규화된 후, 추이변화 가시화 대상 IP(IP 고유값_AAAA)의 (r, θ, h)를 근거로 생성되는 좌표정보(x,y,z)에 따른 극좌표 공간 상 좌표 위치에 추이변화 가시화 대상 IP(AAAA)의 객체(0)가 표시/가시화될 것이다(도 4의 오른쪽).

이러한 정규화모듈(160)은, 좌표정보생성모듈(130)와는 별개의 구성일 수도 있고, 전술과 같이 좌표정보생성모듈(130)에서 통계정보 즉 IP 고유값, 이벤트 발생량, IP간 연결횟수를 각기 각도(θ), 반지름(r), 높이(h)로 표현하기 위해 수행하는 전처리 과정에 개입하므로, 좌표정보생성모듈(130)와 동일 또는 좌표정보생성모듈(130)에 포함되는 구성일 수도 있다.

좌표정보생성모듈(130)은, 추이변화 가시화 대상 IP에 대하여, 정규화모듈(160)에서 정규화한 매 단위시간의 통계정보, 보다 구체적으로는 전처리 수행된 각도(θ), 반지름(r), 높이(h)를 근거로 단위시간 별 좌표정보를 생성한다.

즉, 추이변화 가시화 대상 IP(IP 고유값_AAAA)를 가정하면, 좌표정보생성모듈(130)은, 단위시간(예: -2,-1,현재(0)) 별로 동일한 기준(현재(0) 단위시간 내 Max Count, Max Connect IP)을 이용하여 정규화(전처리)된 단위시간(예: -2,-1,현재(0)) 별 각도(θ), 반지름(r), 높이(h)를 근거로 단위시간(예: -2,-1,현재(0)) 별 대한 좌표정보(x,y,z)를 생성할 수 있다.

그리고, 가시화모듈(140)은, 추이변화 가시화 대상 IP에 대한 단위시간 별 좌표정보를 기반으로 추이변화 가시화 대상 IP의 통계정보 추이변화를 극좌표 공간에 가시화한다.

전술과 같이, -2,-1,현재(0) 단위시간 별로 추이변화 가시화 대상 IP(IP 고유값_AAAA)의 추이변화를 가시화하는 경우를 가정하면, 가시화모듈(140)은, 추이변화 가시화 대상 IP(IP 고유값_AAAA)에 대한 -2,-1,현재(0) 단위시간 별 좌표정보(x,y,z)를 좌표정보생성모듈(130)로부터 획득하고, 이를 기반으로 추이변화 가시화 대상 IP(IP 고유값_AAAA)의 -2,-1,현재(0) 단위시간 별 객체를 해당 좌표정보(x,y,z)의 위치에 표시할 수 있다.

본 발명에서는, 대상 IP의 객체가 표시되는 좌표 즉 x축/y축/z축의 위치는, 좌표정보(x,y,z)가 각기 대상 IP의 각도(θ), 반지름(r), 높이(h)로 표현된 IP 고유값, 이벤트 발생량, IP간 연결횟수에 기인하므로, 추이변화 가시화 대상 IP의 단위시간 별 좌표정보(x,y,z)에 따라 각 객체를 해당 좌표정보(x,y,z)의 위치에 표시함으로써, 추이변화 가시화 대상 IP의 단위시간 별 객체 위치를 통해 추이변화 가시화 대상 IP의 통계정보 추이변화를 극좌표 공간에 가시화할 수 있다.

한편, 본 발명의 공격자 가시화 장치(100)에서는, 전술과 같이 추이변화 가시화 대상 IP의 통계정보 추이변화(즉, 단위시간 별 통계정보 기반의 단위시간 별 객체)와 추이변화 가시화 대상이 아닌 일반적인 대상 IP의 통계정보(즉, 단일 단위시간의 통계정보 기반 객체)를 동시에 가시화하는 경우가 발생할 수 있다.

예컨대, 특정 단위시간(예: -1 단위시간)의 대상 IP(예: 1번 IP, 2번 IP, ... N번 IP) 별 좌표정보(x,y,z)를 기반으로 대상 IP(예: 1번 IP, 2번 IP, ... N번 IP) 각각의 객체를 해당 좌표정보(x,y,z)의 위치에 표시하면서, 동시에 추이변화 가시화 대상 IP(IP 고유값_AAAA)에 대한 -2,-1,현재(0) 단위시간 별 좌표정보(x,y,z)를 기반으로 추이변화 가시화 대상 IP(IP 고유값_AAAA)의 -2,-1,현재(0) 단위시간 별 객체를 해당 좌표정보(x,y,z)의 위치에 표시하는 경우가 이에 해당될 수 있다.

이에, 가시화모듈(140)은, 일반 대상 IP의 통계정보 및 추이변화 가시화 대상 IP의 통계정보 추이변화를 동시에 가시화하는 경우, 추이변화 가시화 대상 IP의 객체가 일반 대상 IP의 객체와 구분되도록 가시화하는 것이 바람직하다.

예를 들면, 가시화모듈(140)은, 일반 대상 IP의 통계정보 및 추이변화 가시화 대상 IP의 통계정보 추이변화를 동시에 가시화하는 경우, 추이변화 가시화 대상 IP의 객체와 일반 대상 IP의 객체를 서로 다른 색으로 표시하여 구분되도록 할 수 있다.

또는, 가시화모듈(140)은, 일반 대상 IP의 통계정보 및 추이변화 가시화 대상 IP의 통계정보 추이변화를 동시에 가시화하는 경우, 추이변화 가시화 대상 IP의 객체와 일반 대상 IP의 객체를 서로 다른 크기로 표시하여 구분되도록 할 수 있다.

전술의 방식 외에도, 가시화모듈(140)은, 추이변화 가시화 대상 IP의 객체가 일반 대상 IP의 객체와 구분되도록 하기 위한 다양한 표시 방식을 채택할 수 있다.

또한, 가시화모듈(140)은, 추이변화 가시화 대상 IP의 통계정보 추이변화를 극좌표 공간에 가시화하는 과정에서, 단위시간 변화에도 좌표정보가 중복되는 경우 중복 좌표정보에 표시되는 추이변화 가시화 대상 IP의 객체에 대해서는 중복 여부 및 중복 횟수가 구분되도록 가시화할 수도 있다.

예를 들면, 추이변화 가시화 대상 IP(IP 고유값_AAAA)에 대한 -2,-1,현재(0) 단위시간 별 좌표정보(x,y,z)를 기반으로 추이변화 가시화 대상 IP(IP 고유값_AAAA)의 -2,-1,현재(0) 단위시간 별 객체를 해당 좌표정보(x,y,z)의 위치에 표시하는 경우, -2, -1 단위시간의 좌표정보(x,y,z)가 동일하게 중복될 수 있다.

가시화모듈(140)은, 전술과 같이 단위시간 변화에도 좌표정보(x,y,z)가 중복되는 경우, 중복 좌표정보에 표시되는 추이변화 가시화 대상 IP의 객체에 대해서는 중복 여부 및 중복 횟수가 구분되도록 가시화할 수 있다.

예를 들면, -2, -1 단위시간의 좌표정보(x,y,z)가 동일하게 중복되는 경우로 가정할 때, 가시화모듈(140)은, 중복 좌표정보 즉 -2, -1 단위시간의 좌표정보(x,y,z)에 표시되는 추이변화 가시화 대상 IP의 객체에 대해서, 중복 횟수가 증가할 때마다 단계적으로 객체의 색상을 진하게 또는 그라데이션을 진하게 표시하여 중복 여부 및 중복 횟수가 구분되도록 할 수 있다.

또는 가시화모듈(140)은, 중복 좌표정보 즉 -2, -1 단위시간의 좌표정보(x,y,z)에 표시되는 추이변화 가시화 대상 IP의 객체에 대해서, 중복 횟수가 증가할 때마다 단계적으로 객체의 크기를 크게 표시하여 중복 여부 및 중복 횟수가 구분되도록 할 수 있다.

또는 가시화모듈(140)은, 중복 좌표정보 즉 -2, -1 단위시간의 좌표정보(x,y,z)에 표시되는 추이변화 가시화 대상 IP의 객체에 대해서, 중복 횟수가 증가할 때마다 단계적으로 객체의 테두리에 모양(예: 나이테)을 하나씩 추가/표시하여 중복 여부 및 중복 횟수가 구분되도록 할 수 있다.

전술의 방식 외에도, 가시화모듈(140)은, 다양한 표시 방식을 채택하여, 단위시간 변화에도 동일하게 중복되는 중복 좌표정보에 표시되는 추이변화 가시화 대상 IP의 객체에 대해, 중복 여부 및 중복 횟수가 구분되도록 할 수 있다.

이상에서 설명한 바와 같이, 본 발명에 따른 공격자 가시화 장치에 의하면, 보안이벤트에 포함된 기본정보 및 보안이벤트 발생량에만 의존하던 기존 기술에서 벗어나, 과거부터 현재까지의 단위시간 별로 개별 대상 IP의 공격 행위에 대한 상세 분석 및 실제 공격을 유발한 IP에 대한 직접적인 가시화 결과물을 제시할 뿐 아니라, 더 나아가 실제 공격을 유발하는 개별 IP(또는 IP 그룹)에 대한 공격 시점과 변화에 대한 상세 분석을 직접적인 가시화 결과물로서 제공할 수 있다.

이로 인해, 본 발명에 따르면, 실제 공격을 유발하는 공격자(IP)를 직관적으로 탐지할 수 있도록 하는 수준, 장시간에 걸쳐 발생하는 사이버 공격을 탐지할 수 있도록 하는 수준까지 향상된, 공격자 가시화 기술을 실현하고 있다.

이렇게 되면, 본 발명에서는, 별도의 알고리즘 없이도 악성 IP들의 직관적·효율적 탐지를 가능하게 하는 효과, 아울러 추가적인 분류 알고리즘 없이 가시화하기 때문에 데이터를 일정하게 표현할 수 있으며 데이터에 대한 왜곡이 없어 분석 결과의 신뢰성을 향상시키는 효과, 특히 실제 공격을 유발한 IP 주소를 직관적으로 탐지할 수 있도록 하여 보안관제 업무의 효율성을 향상시키는 효과를 기대할 수 있다.

이하에서는, 도 5 및 도 6을 참조하여, 본 발명의 일 실시예에 따른 공격자 가시화 장치의 동작 방법에 대하여 설명하겠다.

먼저, 도 5를 참조하여, 본 발명에 따른 공격자 가시화 장치의 동작 방법을 설명하겠다.

본 발명에 따른 공격자 가시화 장치의 동작 방법에서 공격자 가시화 장치(100)는, 가시화에 기초정보로서 사용될 보안이벤트를 수집한다(S10).

구체적으로, 공격자 가시화 장치(100)는, 단일(또는 다수)의 침입탐지시스템(IDS)/침입차단시스템(IPS)로부터, 기 정의된 수집 주기마다 기 정의된 수집 방식에 따라서 보안이벤트를 수집할 수 있다.

이때의 수집 주기는, 예컨대 1분, 5분, 10분, 1시간 등 사용자에 의해 임의 설정이 가능하며, 후술에서 언급하는 단위시간과 동일한 개념일 수도 있고 별개의 개념일 수도 있다.

다만, 이하에서는 설명의 편의를 위해, 수집 주기 및 단위시간이 동일한 개념인 것으로 설명하겠다.

본 발명에 따른 공격자 가시화 장치의 동작 방법에서 공격자 가시화 장치(100)는, 기 설정된 단위시간 별로, 단위시간에 속하는 보안이벤트를 이용하여 대상 IP 별로 통계정보를 생성한다(S20).

일반적으로 보안이벤트에는, 기본정보로서 IP 주소(출발지/목적지 IP 주소정보), 포트(출발지/목적지 포트정보), 프로토콜, 보안이벤트명이 포함되어 있다.

이하에서는, 설명의 편의 상, 대상 IP 별 통계정보를 생성하는 단위시간을, 현재 시점을 "현재(0)", "-1", "-2",...와 같은 방식으로 인덱싱하여 지칭하겠다.

이에, -1 단위시간을 예로서 설명하면, 공격자 가시화 장치(100)는, -1 단위시간 동안 수집한 보안이벤트를 이용하여, -1 단위시간의 대상 IP 별 통계정보를 생성할 수 있다.

이때, -1 단위시간의 대상 IP 별 통계정보는, -1 단위시간 동안 수집한 보안이벤트 전체에서 IP 주소(출발지/목적지 IP 주소정보) 내 존재하는 개별 IP 주소정보 각각을, 대상 IP로 한다.

즉, 공격자 가시화 장치(100)는, -1 단위시간 동안 수집한 보안이벤트 전체에서 IP 주소(출발지/목적지 IP 주소정보) 내 존재하는 서로 다른 개별 IP 주소정보가 5만개인 경우, 각 5만 개의 대상 IP 각각에 대하여 통계정보를 생성하는 것이다.

여기서, 통계정보는, 대상 IP의 IP 주소정보, 통계정보 생성 시 이용된 단위시간의 보안이벤트에서 대상 IP가 추출된 횟수 및 대상 IP와 연결된 독립적인 IP 개수를 포함할 수 있다.

구체적으로, 대상 IP의 IP 주소정보는, 대상 IP의 IP 고유값을 의미한다.

대상 IP가 추출된 횟수는, 이벤트 발생량을 의미하며, 통계정보 생성 시 이용된 단위시간(예: -1 단위시간)의 보안이벤트 전체(출발지 IP 주소정보 및 목적지 IP 주소정보 중 어디에서든)에서 대상 IP의 IP 주소정보가 추출된 횟수를 의미한다.

예를 들어, 특정 대상 IP를 가정하면, 특정 대상 IP의 IP 주소정보가 -1 단위시간 동안 수집한 보안이벤트 전체에서 출발지 IP 주소정보로서 5회, 목적지 IP 주소정보로서 5회 추출된 경우라면, 특정 대상 IP의 이벤트 발생량은 10회로 카운트될 것이다.

대상 IP와 연결된 IP 개수는, IP간 연결횟수를 의미하며, 통계정보 생성 시 이용된 단위시간의 보안이벤트 전체에서 대상 IP와 연결된 IP 개수를 의미한다.

예를 들어, 특정 대상 IP를 가정하면, -1 단위시간 동안 수집한 보안이벤트 전체에서, 특정 대상 IP의 IP 주소정보가 출발지 IP 주소정보인 5개의 보안이벤트 내 목적지 IP 주소정보가 동일하고, 특정 대상 IP의 IP 주소정보가 목적지 IP 주소정보인 5개의 보안이벤트 내 출발지 IP 주소정보가 서로 다를 경우라면, 특정 대상 IP의 IP간 연결횟수는 6회로 카운트될 것이다.

공격자 가시화 장치(100)는, 전술과 같이,-M...-4,-3,-2,-1,현재(0)의 단위시간 별로, 보안이벤트를 이용하여 대상 IP 별 통계정보를 생성할 수 있다.

본 발명에 따른 공격자 가시화 장치의 동작 방법에서 공격자 가시화 장치(100)는, 단위시간 별로 생성한 대상 IP 별 통계정보를 근거로, 대상 IP 각각에 대한 좌표정보를 생성한다(S30).

구체적으로 설명하면, 공격자 가시화 장치(100)는, 대상 IP의 IP 고유값, 이벤트 발생량, IP간 연결횟수를 각기 각도(θ), 반지름(r), 높이(h)로 표현하기 위한 전처리를 수행한다.

이하에서는, 설명의 편의 상, -1 단위시간의 대상 IP 별 통계정보를, 예로서 언급하여 설명하겠다.

이 경우, 공격자 가시화 장치(100)는, -1 단위시간의 대상 IP 별 통계정보에서, 이벤트 발생량 최대값(Max Count)과 IP간 연결횟수 최대값(Max Connect IP)을 추출한다.

그리고, 공격자 가시화 장치(100)는, -1 단위시간의 대상 IP 별 통계정보를 근거로, 대상 IP 각각에 대하여, 전술의 수학식 1과 이벤트 발생량 최대값(Max Count)을 이용하여 반지름(r)을 계산하고, 전술의 수학식 2와 IP간 연결횟수 최대값(Max Connect IP)을 이용하여 높이(h)를 계산할 수 있다.

그리고, 공격자 가시화 장치(100)는, -1 단위시간의 대상 IP 별 통계정보를 근거로, 대상 IP 각각에 대하여, 전술의 수학식 3을 통해 각도(θ)를 계산할 수 있다.

이렇게 공격자 가시화 장치(100)는, -1 단위시간의 대상 IP 별 통계정보를 근거로, 대상 IP 각각에 대하여 IP 고유값, 이벤트 발생량, IP간 연결횟수를 각기 각도(θ), 반지름(r), 높이(h)로 표현한 후, 대상 IP 각각에 대한 각도(θ), 반지름(r), 높이(h)를 기 정의한 극좌표 계산식 예컨대 전술의 수학식 4를 통해 3차원 좌표정보(x,y,z)로 생성할 수 있다.

본 발명에 따른 공격자 가시화 장치의 동작 방법에서 공격자 가시화 장치(100)는, 대상 IP 각각에 대한 좌표정보를 기반으로 대상 IP의 통계정보를 극좌표 공간에 가시화를 수행할 수 있다(S40).

예를 들어, 다수의 단위시간 중 특정 단위시간(예: -1 단위시간)에 대한 가시화 요청이 발생하는 경우를 가정할 수 있다.

이 경우, 공격자 가시화 장치(100)는, 가시화 요청된 특정 단위시간(예: -1 단위시간)의 대상 IP(예: 1번 IP, 2번 IP, ... N번 IP) 별 좌표정보(x,y,z)를 획득하고, 이를 기반으로 대상 IP(예: 1번 IP, 2번 IP, ... N번 IP) 각각의 객체를 해당 좌표정보(x,y,z)의 위치에 표시할 수 있다.

본 발명에서는, 대상 IP의 객체가 표시되는 좌표 즉 x축/y축/z축의 위치는, 좌표정보(x,y,z)가 각기 대상 IP의 각도(θ), 반지름(r), 높이(h)로 표현된 IP 고유값, 이벤트 발생량, IP간 연결횟수에 기인하므로, 대상 IP 별 좌표정보(x,y,z)에 따라 대상 IP 각각의 객체를 해당 좌표정보(x,y,z)의 위치에 표시함으로써, 대상 IP 각각의 객체 위치를 통해 대상 IP의 통계정보를 극좌표 공간에 가시화할 수 있다.

이상, 본 발명에 따른 공격자 가시화 장치의 동작 방법에 따르면, 단위시간 별로 대상 IP 각각의 객체를 표시하여 가시화함으로써, 과거부터 현재까지의 단위시간 별로 개별 대상 IP의 공격 행위에 대한 상세 분석 및 실제 공격을 유발한 IP에 대한 직접적인 가시화 결과물을 제시할 수 있다.

이하에서는 도 6을 참조하여, 본 발명에 따른 공격자 가시화 장치의 동작 방법, 특히 추이변화 가시화 과정에 대하여 구체적으로 설명하겠다.

본 발명에 따른 공격자 가시화 장치의 동작 방법에서 공격자 가시화 장치(100)는, 대상 IP 별로 생성한 통계정보를 수집하는 수집 시점에 대상 IP 별로 이전 단위시간의 통계정보 대비 변화량을 계산한다(S100).

공격자 가시화 장치(100) 내 통계정보생성모듈(120)에서 대상 IP 별로 통계정보를 생성하면 대상 IP 별로 통계정보는 좌표정보생성모듈(130)으로 전달되며, 이 시점을 좌표정보생성모듈(130) 측에서 대상 IP 별로 통계정보를 수집하는 수집 시점이라고 할 수 있다.

이에, 공격자 가시화 장치(100)는, 매 수집 시점 마다, 금번 대상 IP 별 통계정보 및 이전 단위시간의 대상 IP 별 통계정보를 비교하여, 대상 IP 별로 이전 단위시간의 통계정보 대비 변화량을 계산할 수 있다.

본 발명에 따른 공격자 가시화 장치의 동작 방법에서 공격자 가시화 장치(100)는, 매 수집 시점 마다 대상 IP 별로 계산하는 변화량을 기반으로, 대상 IP 중 통계정보의 추이변화를 가시화할 추이변화 가시화 대상 IP를 추천할 수 있다(S110).

예를 들면, 공격자 가시화 장치(100)는, 대상 IP 중 변화량이 가장 큰 상위 N개의 대상 IP를, 추이변화 가시화 대상 IP로서 추천할 수 있다. 이때, N개는 사용자에 의해 설정/변경이 가능하다.

이렇게 되면, 본 발명의 공격자 가시화 장치(100)에서는, 추천되는 추이변화 가시화 대상 IP를 인지한 사용자가, 최종 선택하는 대상 IP를 추이변화 가시화 대상 IP로 지정할 수 있다.

물론, 본 발명의 공격자 가시화 장치(100)는, 대상 IP 중 사용자에 의해 수동으로 선택되는 대상 IP를, 추이변화 가시화 대상 IP로 지정할 수도 있다.

이때, 지정되는 추이변화 가시화 대상 IP는, 하나일 수도 있고 다수 개일 수도 있다.

본 발명에 따른 공격자 가시화 장치의 동작 방법에서 공격자 가시화 장치(100)는, 추이변화 가시화 대상 IP가 선택(추천)되는 시점 또는 선택(추천)된 추이변화 가시화 대상 IP에 대한 추이변화 가시화 요청이 발생하는 시점을, 추이변화 가시화 시작 시점으로 정의하고 추이변화 가시화를 시작할 수 있다(S120).

본 발명에 따른 공격자 가시화 장치의 동작 방법에서 공격자 가시화 장치(100)는, 추이변화 가시화 대상 IP에 대하여, 추이변화 가시화 시작 시점부터 매 단위시간 마다 생성되는 통계정보를 마지막 단위시간의 통계정보를 기준으로 정규화한다(S130).

예를 들어, 단위시간은 1시간으로 설정되며, 11시에 추이변화 가시화 요청이 발생하는 경우를 가정할 수 있다. 그리고, 현재는 13시를 경과한 상황이라고 가정할 수 있다.

이 경우, 공격자 가시화 장치(100)는, 전술한 바와 같이 단위시간 별로 대상 IP 별 통계정보를 생성하고 있을 것이므로, 대상 IP 중 추이변화 가시화 대상 IP에 대하여, 추이변화 가시화 시작 시점 즉 11시부터 매 단위시간 즉 -2 단위시간(11시), -1 단위시간(12시), 현재(0) 단위시간(13시) 마다 생성된 통계정보를 획득할 수 있다.

그리고, 공격자 가시화 장치(100)는, 추이변화 가시화 대상 IP에 대하여, 매 단위시간 즉 -2,-1,현재(0) 단위시간 별로 획득한 통계정보를 마지막 단위시간 즉 현재(0) 단위시간(13시)의 통계정보를 기준으로 정규화한다.

구체적으로, 공격자 가시화 장치(100)는, 추이변화 가시화 대상 IP에 대하여, -2,-1,현재(0) 단위시간 별로 획득한 통계정보 특히 이벤트 발생량, IP간 연결횟수를 이용하여 -2,-1,현재(0) 단위시간 별로 반지름(r), 높이(h)를 계산하는데 있어서, 해당 단위시간 내 이벤트 발생량 최대값(Max Count), IP간 연결횟수 최대값(Max Connect IP)이 대신, 현재(0) 단위시간의 통계정보 즉 현재(0) 단위시간 내 이벤트 발생량 최대값(Max Count), IP간 연결횟수 최대값(Max Connect IP)을 기준으로 동일하게 이용하여 정규화를 수행할 수 있다.

그리고 본 발명에 따른 공격자 가시화 장치의 동작 방법에서 공격자 가시화 장치(100)는, 추이변화 가시화 대상 IP에 대하여, 앞서 정규화한 매 단위시간의 통계정보, 보다 구체적으로는 전처리 수행된 각도(θ), 반지름(r), 높이(h)를 근거로, 단위시간 별 좌표정보를 생성한다(S140).

즉, 추이변화 가시화 대상 IP(IP 고유값_AAAA)를 가정하면, 공격자 가시화 장치(100)는, 단위시간(예: -2,-1,현재(0)) 별로 동일한 기준(현재(0) 단위시간 내 Max Count, Max Connect IP)을 이용하여 정규화(전처리)된 단위시간(예: -2,-1,현재(0)) 별 각도(θ), 반지름(r), 높이(h)를 근거로 단위시간(예: -2,-1,현재(0)) 별 대한 좌표정보(x,y,z)를 생성할 수 있다.

그리고 본 발명에 따른 공격자 가시화 장치의 동작 방법에서 공격자 가시화 장치(100)는, 추이변화 가시화 대상 IP에 대한 단위시간 별 좌표정보를 기반으로 추이변화 가시화 대상 IP의 통계정보 추이변화를 극좌표 공간에 가시화한다(S150).

전술과 같이, -2,-1,현재(0) 단위시간 별로 추이변화 가시화 대상 IP(IP 고유값_AAAA)의 추이변화를 가시화하는 경우를 가정하면, 공격자 가시화 장치(100)는, 추이변화 가시화 대상 IP(IP 고유값_AAAA)에 대한 -2,-1,현재(0) 단위시간 별 좌표정보(x,y,z)를 기반으로 추이변화 가시화 대상 IP(IP 고유값_AAAA)의 -2,-1,현재(0) 단위시간 별 객체를 해당 좌표정보(x,y,z)의 위치에 표시할 수 있다.

본 발명에서는, 대상 IP의 객체가 표시되는 좌표 즉 x축/y축/z축의 위치는, 좌표정보(x,y,z)가 각기 대상 IP의 각도(θ), 반지름(r), 높이(h)로 표현된 IP 고유값, 이벤트 발생량, IP간 연결횟수에 기인하므로, 추이변화 가시화 대상 IP의 단위시간 별 좌표정보(x,y,z)에 따라 각 객체를 해당 좌표정보(x,y,z)의 위치에 표시함으로써, 추이변화 가시화 대상 IP의 단위시간 별 객체 위치를 통해 추이변화 가시화 대상 IP의 통계정보 추이변화를 극좌표 공간에 가시화할 수 있다.

한편, 본 발명의 공격자 가시화 장치(100)에서는, 전술과 같이 추이변화 가시화 대상 IP의 통계정보 추이변화(즉, 단위시간 별 통계정보 기반의 단위시간 별 객체)와 추이변화 가시화 대상이 아닌 일반적인 대상 IP의 통계정보(즉, 단일 단위시간의 통계정보 기반 객체)를 동시에 가시화하는 경우가 발생할 수 있다.

이에, 공격자 가시화 장치(100)는, S150단계에서 일반 대상 IP의 통계정보 및 추이변화 가시화 대상 IP의 통계정보 추이변화를 동시에 가시화하는 경우, 추이변화 가시화 대상 IP의 객체가 일반 대상 IP의 객체와 구분되도록 가시화할 수 있다.

또한, 공격자 가시화 장치(100)는, S150단계에서 단위시간 변화에도 좌표정보가 중복되는 경우 중복 좌표정보에 표시되는 추이변화 가시화 대상 IP의 객체에 대해서는 중복 여부 및 중복 횟수가 구분되도록 가시화할 수 있다.

이상, 본 발명의 공격자 가시화 장치의 동작 방법에 따르면, 추이변화 가시화 대상 IP에 대하여 단위시간 별로 유의미한 통계정보 추이변화를 각 객체로서 표시하여 가시화함으로써, 실제 공격을 유발하는 개별 IP(또는 IP 그룹)에 대한 공격 시점과 변화에 대한 상세 분석을 직접적인 가시화 결과물을 제시할 수 있다.

이상에서 설명한 바와 같이, 본 발명에 따르면, 실제 공격을 유발하는 공격자(IP)를 직관적으로 탐지할 수 있도록 하는 수준, 장시간에 걸쳐 발생하는 사이버 공격을 탐지할 수 있도록 하는 수준까지 향상된, 공격자 가시화 기술을 실현하고 있다.

이로 인해 본 발명에서는, 별도의 알고리즘 없이도 악성 IP들의 직관적·효율적 탐지를 가능하게 하는 효과, 아울러 추가적인 분류 알고리즘 없이 가시화하기 때문에 데이터를 일정하게 표현할 수 있으며 데이터에 대한 왜곡이 없어 분석 결과의 신뢰성을 향상시키는 효과, 특히 실제 공격을 유발한 IP 주소를 직관적으로 탐지할 수 있도록 하여 보안관제 업무의 효율성을 향상시키는 효과를 기대할 수 있다.

위 설명한 본 발명의 일 실시예에 따른 공격자 가시화 장치의 동작 방법은, 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.

지금까지 본 발명을 바람직한 실시 예를 참조하여 상세히 설명하였지만, 본 발명이 상기한 실시 예에 한정되는 것은 아니며, 이하의 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 또는 수정이 가능한 범위까지 본 발명의 기술적 사상이 미친다 할 것이다.

본 발명의 공격자 가시화 장치 및 공격자 가시화 장치의 동작 방법에 따르면, 실제 공격을 유발하는 공격자(IP)를 직관적으로 탐지할 수 있도록 하는 수준, 장시간에 걸쳐 발생하는 사이버 공격을 탐지할 수 있도록 하는 수준까지 향상된, 공격자 가시화 기술을 실현하는 점에서, 기존 기술의 한계를 뛰어 넘음에 따라 관련 기술에 대한 이용만이 아닌 적용되는 장치의 시판 또는 영업의 가능성이 충분할 뿐만 아니라 현실적으로 명백하게 실시할 수 있는 정도이므로 산업상 이용가능성이 있는 발명이다.

100 : 공격자 가시화 장치
110 : 수집모듈 120 : 통계정보생성모듈
130 : 좌표정보생성모듈 140 : 가시화모듈
150 : IP추천모듈 160 : 정규화모듈

Claims (22)

1. 보안이벤트를 수집하는 수집모듈;
   기 설정된 단위시간 별로, 단위시간에 속하는 보안이벤트를 이용하여 대상 IP 별로 통계정보를 생성하는 통계정보생성모듈;
   상기 단위시간 별로 생성한 상기 대상 IP 별 통계정보를 근거로, 상기 대상 IP 각각에 대한 좌표정보를 생성하는 좌표정보생성모듈; 및
   상기 대상 IP 각각에 대한 좌표정보를 기반으로 상기 대상 IP의 통계정보를 극좌표 공간에 가시화하는 가시화모듈을 포함하며,
   상기 좌표정보생성모듈은,
   상기 대상 IP 별 통계정보로부터 상기 대상 IP 각각에 대한 IP 고유값, 이벤트 발생량 및 IP간 연결횟수를 확인하여 상기 대상 IP 각각에 대하여 극좌표 공간의 3차원 좌표정보인 각도(θ), 반지름(r), 높이(h)를 생성하며,
   상기 좌표정보생성모듈은,
   특정 단위시간에서의 대상 IP 별 통계정보로부터 이벤트 발생량 최대값과 IP간 연결횟수 최대값을 추출하며,
   특정 단위시간에서의 특정 대상 IP에 대한 반지름(r)은 이벤트 발생량 최대값에 대한 특정 대상 IP의 이벤트 발생량의 비율로 결정되고,
   특정 단위시간에서의 특정 대상 IP에 대한 높이(h)는 IP간 연결횟수 최대값에 대한 특정 대상 IP의 IP간 연결횟수의 비율로 결정되고,
   특정 단위시간에서의 특정 대상 IP에 대한 각도(θ)는 특정 대상 IP의 IP 고유값을 이용하여 결정되는 것을 특징으로 하는 공격자 가시화 장치.
2. 제 1 항에 있어서,
   상기 통계정보는,
   대상 IP의 IP 주소정보, 상기 통계정보 생성 시 이용된 단위시간의 보안이벤트에서 상기 대상 IP가 추출된 횟수 및 상기 대상 IP와 연결된 독립적인 IP 개수를 포함하는 것을 특징으로 하는 공격자 가시화 장치.
3. 삭제
4. 제 1 항에 있어서,
   대상 IP 별로 생성한 통계정보를 수집하는 수집 시점에, 상기 대상 IP 별로 이전 단위시간의 통계정보 대비 변화량을 계산하고, 상기 변화량을 기반으로 상기 대상 IP 중 통계정보의 추이변화를 가시화할 추이변화 가시화 대상 IP를 추천하는 IP추천모듈을 더 포함하는 것을 특징으로 하는 공격자 가시화 장치.
5. 제 1 항에 있어서,
   상기 대상 IP 중 선택 또는 추천되는 추이변화 가시화 대상 IP에 대하여, 추이변화 가시화 시작 시점부터 매 단위시간 마다 생성되는 통계정보를 마지막 단위시간의 통계정보를 기준으로 정규화하는 정규화모듈을 더 포함하는 것을 특징으로 하는 공격자 가시화 장치.
6. 제 5 항에 있어서,
   상기 좌표정보생성모듈은,
   상기 추이변화 가시화 대상 IP에 대하여, 상기 정규화한 매 단위시간의 통계정보를 근거로 단위시간 별 좌표정보를 생성하는 것을 특징으로 하는 공격자 가시화 장치.
7. 제 6 항에 있어서,
   상기 가시화모듈은,
   상기 추이변화 가시화 대상 IP에 대한 단위시간 별 좌표정보를 기반으로 상기 추이변화 가시화 대상 IP의 통계정보 추이변화를 극좌표 공간에 가시화하는 것을 특징으로 하는 공격자 가시화 장치.
8. 제 7 항에 있어서,
   상기 가시화모듈은,
   상기 대상 IP의 통계정보 및 상기 추이변화 가시화 대상 IP의 통계정보 추이변화를 동시에 가시화하는 경우, 상기 추이변화 가시화 대상 IP의 객체가 상기 대상 IP의 객체와 구분되도록 가시화하는 것을 특징으로 하는 공격자 가시화 장치.
9. 제 7 항에 있어서,
   상기 가시화모듈은,
   상기 추이변화 가시화 대상 IP의 통계정보 추이변화를 극좌표 공간에 가시화하는 과정에서, 단위시간 변화에도 좌표정보가 중복되는 경우 중복 좌표정보에 표시되는 상기 추이변화 가시화 대상 IP의 객체에 대해서는 중복 여부 및 중복 횟수가 구분되도록 가시화하는 것을 특징으로 하는 공격자 가시화 장치.
10. 보안이벤트를 수집하는 수집단계;
    기 설정된 단위시간 별로, 단위시간에 속하는 보안이벤트를 이용하여 대상 IP 별로 통계정보를 생성하는 통계정보생성단계;
    상기 단위시간 별로 생성한 상기 대상 IP 별 통계정보를 근거로, 상기 대상 IP 각각에 대한 좌표정보를 생성하는 좌표정보생성단계; 및
    상기 대상 IP 각각에 대한 좌표정보를 기반으로 상기 대상 IP의 통계정보를 극좌표 공간에 가시화하는 가시화단계를 포함하며,
    상기 좌표정보생성단계는,
    상기 대상 IP 별 통계정보로부터 상기 대상 IP 각각에 대한 IP 고유값, 이벤트 발생량 및 IP간 연결횟수를 확인하여 상기 대상 IP 각각에 대하여 극좌표 공간의 3차원 좌표정보인 각도(θ), 반지름(r), 높이(h)를 생성하며,
    상기 좌표정보생성단계는,
    특정 단위시간에서의 대상 IP 별 통계정보로부터 이벤트 발생량 최대값과 IP간 연결횟수 최대값을 추출하며,
    특정 단위시간에서의 특정 대상 IP에 대한 반지름(r)은 이벤트 발생량 최대값에 대한 특정 대상 IP의 이벤트 발생량의 비율로 결정되고,
    특정 단위시간에서의 특정 대상 IP에 대한 높이(h)는 IP간 연결횟수 최대값에 대한 특정 대상 IP의 IP간 연결횟수의 비율로 결정되고,
    특정 단위시간에서의 특정 대상 IP에 대한 각도(θ)는 특정 대상 IP의 IP 고유값을 이용하여 결정되는 것을 특징으로 하는 공격자 가시화 장치의 동작 방법.
11. 제 10 항에 있어서,
    상기 통계정보는,
    대상 IP의 IP 주소정보, 상기 통계정보 생성 시 이용된 단위시간의 보안이벤트에서 상기 대상 IP가 추출된 횟수 및 상기 대상 IP와 연결된 독립적인 IP 개수를 포함하는 것을 특징으로 하는 공격자 가시화 장치의 동작 방법.
12. 삭제
13. 제 10 항에 있어서,
    대상 IP 별로 생성한 통계정보를 수집하는 수집 시점에, 상기 대상 IP 별로 이전 단위시간의 통계정보 대비 변화량을 계산하고, 상기 변화량을 기반으로 상기 대상 IP 중 통계정보의 추이변화를 가시화할 추이변화 가시화 대상 IP를 추천하는 IP추천단계를 더 포함하는 것을 특징으로 하는 공격자 가시화 장치의 동작 방법.
14. 제 10 항에 있어서,
    상기 대상 IP 중 선택 또는 추천되는 추이변화 가시화 대상 IP에 대하여, 추이변화 가시화 시작 시점부터 매 단위시간 마다 생성되는 통계정보를 마지막 단위시간의 통계정보를 기준으로 정규화하는 정규화단계를 더 포함하는 것을 특징으로 하는 공격자 가시화 장치의 동작 방법.
15. 제 14 항에 있어서,
    상기 추이변화 가시화 대상 IP에 대하여, 상기 정규화한 매 단위시간의 통계정보를 근거로 단위시간 별 좌표정보를 생성하는 단계를 더 포함하는 것을 특징으로 하는 공격자 가시화 장치의 동작 방법.
16. 제 15 항에 있어서,
    상기 가시화단계는,
    상기 추이변화 가시화 대상 IP에 대한 단위시간 별 좌표정보를 기반으로 상기 추이변화 가시화 대상 IP의 통계정보 추이변화를 극좌표 공간에 가시화하는 것을 특징으로 하는 공격자 가시화 장치의 동작 방법.
17. 제 16 항에 있어서,
    상기 가시화단계는,
    상기 대상 IP의 통계정보 및 상기 추이변화 가시화 대상 IP의 통계정보 추이변화를 동시에 가시화하는 경우, 상기 추이변화 가시화 대상 IP의 객체가 상기 대상 IP의 객체와 구분되도록 가시화하는 것을 특징으로 하는 공격자 가시화 장치의 동작 방법.
18. 제 16 항에 있어서,
    상기 가시화단계는,
    상기 추이변화 가시화 대상 IP의 통계정보 추이변화를 극좌표 공간에 가시화하는 과정에서, 단위시간 변화에도 좌표정보가 중복되는 경우 중복 좌표정보에 표시되는 상기 추이변화 가시화 대상 IP의 객체에 대해서는 중복 여부 및 중복 횟수가 구분되도록 가시화하는 것을 특징으로 하는 공격자 가시화 장치의 동작 방법.
19. 하드웨어와 결합하여, 보안이벤트를 수집하는 수집단계;
    기 설정된 단위시간 별로, 단위시간에 속하는 보안이벤트를 이용하여 대상 IP 별로 통계정보를 생성하는 통계정보생성단계;
    상기 단위시간 별로 생성한 상기 대상 IP 별 통계정보를 근거로, 상기 대상 IP 각각에 대한 좌표정보를 생성하는 좌표정보생성단계; 및
    상기 대상 IP 각각에 대한 좌표정보를 기반으로 상기 대상 IP의 통계정보를 극좌표 공간에 가시화하는 가시화단계를 실행시키며,
    상기 좌표정보생성단계는,
    상기 대상 IP 별 통계정보로부터 상기 대상 IP 각각에 대한 IP 고유값, 이벤트 발생량 및 IP간 연결횟수를 확인하여 상기 대상 IP 각각에 대하여 극좌표 공간의 3차원 좌표정보인 각도(θ), 반지름(r), 높이(h)를 생성하며,
    상기 좌표정보생성단계는,
    특정 단위시간에서의 대상 IP 별 통계정보로부터 이벤트 발생량 최대값과 IP간 연결횟수 최대값을 추출하며,
    특정 단위시간에서의 특정 대상 IP에 대한 반지름(r)은 이벤트 발생량 최대값에 대한 특정 대상 IP의 이벤트 발생량의 비율로 결정되고,
    특정 단위시간에서의 특정 대상 IP에 대한 높이(h)는 IP간 연결횟수 최대값에 대한 특정 대상 IP의 IP간 연결횟수의 비율로 결정되고,
    특정 단위시간에서의 특정 대상 IP에 대한 각도(θ)는 특정 대상 IP의 IP 고유값을 이용하여 결정되는 것을 실행시키기 위하여 매체에 저장된 컴퓨터프로그램.
20. 제 19 항에 있어서,
    상기 대상 IP 중 선택 또는 추천되는 추이변화 가시화 대상 IP에 대하여, 추이변화 가시화 시작 시점부터 매 단위시간 마다 생성되는 통계정보를 마지막 단위시간의 통계정보를 기준으로 정규화하는 단계를 더 실행시키기 위하여 매체에 저장된 컴퓨터프로그램.
21. 제 20 항에 있어서,
    상기 추이변화 가시화 대상 IP에 대하여, 상기 정규화한 매 단위시간의 통계정보를 근거로 단위시간 별 좌표정보를 생성하는 단계를 더 실행시키기 위하여 매체에 저장된 컴퓨터프로그램.
22. 제 21 항에 있어서,
    상기 추이변화 가시화 대상 IP에 대한 단위시간 별 좌표정보를 기반으로 상기 추이변화 가시화 대상 IP의 통계정보 추이변화를 극좌표 공간에 가시화하는 단계를 더 실행시키기 위하여 매체에 저장된 컴퓨터프로그램.

Images