KR102384672B1 - 보안 장비, 보안 위협 분석 장치 및 방법 - Google Patents

보안 장비, 보안 위협 분석 장치 및 방법 Download PDF

Info

Publication number
KR102384672B1
KR102384672B1 KR1020170164302A KR20170164302A KR102384672B1 KR 102384672 B1 KR102384672 B1 KR 102384672B1 KR 1020170164302 A KR1020170164302 A KR 1020170164302A KR 20170164302 A KR20170164302 A KR 20170164302A KR 102384672 B1 KR102384672 B1 KR 102384672B1
Authority
KR
South Korea
Prior art keywords
security
threat
information
data
stix
Prior art date
Application number
KR1020170164302A
Other languages
English (en)
Other versions
KR20190064944A (ko
Inventor
김종현
김영수
김익균
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020170164302A priority Critical patent/KR102384672B1/ko
Publication of KR20190064944A publication Critical patent/KR20190064944A/ko
Application granted granted Critical
Publication of KR102384672B1 publication Critical patent/KR102384672B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

보안 장비, 보안 위협 분석 장치 및 방법이 개시된다. 본 발명에 따른 보안 위협 분석 장치는, 하나 이상의 보안 장비로부터 보안 이벤트를 수집하는 보안 이벤트 수집부, 수집된 상기 보안 이벤트에 대해 빅데이터 기반의 연관성 분석 결과를 기반으로, 대응 정책을 생성하는 대응 정책 생성부, 생성된 상기 대응 정책을 위협 정보 교환 포맷(STIX)으로 변환하는 STIX 변환부, 그리고 실시간 자동 전송 프로토콜(TAXII)을 통해, 변환된 상기 대응 정책을 상기 보안 장비로 전송하는 대응 정책 전송부를 포함한다.

Description

보안 장비, 보안 위협 분석 장치 및 방법{SECURITY EQUIPMENT, APPARATUS AND METHOD FOR ANALYZING OF SECURITY THREAT}
본 발명은 보안 위협을 분석하는 기술에 관한 것으로, 특히 다양한 보안 솔루션 장비로부터 수집된 보안 이벤트를 분석하고, 종합 위협 정보 및 대응 정책을 생성하여 실시간 자동 전송 프로토콜(TAXII)을 통해 외부로 전송하는 기술에 관한 것이다.
종래 기술에 따른 사이버 공격 대응 기술은, 탐지 룰 또는 특정 보안 이벤트 분석 위주로 사이버 공격에 대응하므로, 사이버 공격에 대한 신속한 원인 파악 및 사후 대응에 한계가 있다.
최근에는, 지능형 지속 위협(APT) 공격 등 사이버 공격이 지능화됨에 따라, 침해사고의 원인 분석에 수 개월 이상이 소요되고 있다. 또한, 대부분의 공격이 기존 보안 장비로 탐지하기 어려워지고 있으며, 침해 사고에 대한 종합적인 분석이 쉽지 않다.
따라서, 사이버 침해 사고 발생 시 신속하게 사고의 원인을 분석하고, 사이버 침해 사고에 대한 종합적인 분석을 수행하며, 기존 보안 장비를 통해 탐지되지 않은 공격 징후들을 수집하기 위한 기술의 개발이 필요하다. 그리고 해킹 정보 등의 사이버 침해 사고 관련 정보를 신속하게 공유하기 위한 기술의 개발이 필요한 실정이다.
한국 등록 특허 제10-1575282호, 2015년 12월 09일 공고(명칭: 보안관리 도메인들 간에 익명 식별자 기반의 보안정보를 공유하기 위한 에이전트 장치 및 방법)
본 발명의 목적은 구조화된 사이버 위협 정보를 실시간으로 공유하기 위한 전송 프로토콜을 통해, 진화하는 사이버 공격에 효과적으로 대응할 수 있는 보안 솔루션 위협 정보 분석 기술을 제공하는 것이다.
또한, 본 발명의 목적은 지능화되고 장기간 지속되는 침해 공격의 신속한 원인 분석 및 대응을 가능하게 하는 것이다.
또한, 본 발명의 목적은 구조화된 위협 정보 교환 포맷(STIX)으로 변환된 보안 데이터를 실시간 자동 전송 프로토콜(TAXII)을 통해 외부의 통합 관제 시스템 또는 보안 장비로 전송하는 것이다.
또한, 본 발명의 목적은 기존의 단일 보안 장비에 의해 탐지되지 않은 공격 징후를 탐지하고 분석할 수 있도록 하는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따른 보안 위협 분석 장치는 하나 이상의 보안 장비로부터 보안 이벤트를 수집하는 보안 이벤트 수집부, 수집된 상기 보안 이벤트에 대해 빅데이터 기반의 연관성 분석 결과를 기반으로, 대응 정책을 생성하는 대응 정책 생성부, 생성된 상기 대응 정책을 위협 정보 교환 포맷(STIX)으로 변환하는 STIX 변환부, 그리고 실시간 자동 전송 프로토콜(TAXII)을 통해, 변환된 상기 대응 정책을 상기 보안 장비로 전송하는 대응 정책 전송부를 포함한다.
이때, 상기 STIX 변환부는, 상기 대응 정책으로부터 전송 대상이 되는 데이터 필드를 추출하고, 추출된 이기종의 상기 데이터 필드에 대한 정규화를 수행하며, 상기 위협 정보 교환 포맷(STIX) 데이터 모델을 이용하여 STIX 데이터를 생성할 수 있다.
이때, 상기 보안 이벤트 수집부는, 상기 보안 장비로부터 데이터 전송 규격에 상응하는 이벤트 경보 정보 및 보안 로그 중 적어도 어느 하나를 포함하는 상기 보안 이벤트를 수집할 수 있다.
이때, 상기 보안 이벤트 수집부는, 상기 보안 장비로부터 데이터 전송 규격 정보를 요청받으면, 상기 보안 장비로 상기 데이터 전송 규격 정보를 전송하고, 상기 보안 장비로부터 상기 데이터 전송 규격에 상응하는 상기 보안 이벤트를 수신할 수 있다.
이때, 상기 대응 정책 전송부는, 상기 보안 장비로부터 대응 정책을 요청받으면, 상기 보안 장비로 상기 위협 정보 교환 포맷(STIX)으로 변환된 상기 대응 정책을 전송할 수 있다.
이때, 통합 관제 시스템으로부터 위협 정보를 수신하는 위협 정보 수신부를 더 포함할 수 있다.
이때, 상기 위협 정보 수신부는, 상기 통합 관제 시스템으로부터 데이터 전송 규격 정보를 요청받으면, 상기 통합 관제 시스템으로 상기 데이터 전송 규격 정보를 전송하고, 상기 통합 관제 시스템으로부터 상기 데이터 전송 규격에 상응하는 상기 위협 정보를 수신할 수 있다.
이때, 상기 보안 장비로부터 수신한 이벤트 경보 정보 및 보안 위협 분석 장치와 상호 연동된 통합 관제 시스템으로부터 수신한 위협 정보 중 적어도 어느 하나를 저장하는 데이터베이스를 더 포함할 수 있다.
이때, 저장된 상기 이벤트 경보 정보 및 상기 위협 정보 중 적어도 어느 하나를 기반으로, 위협 상황 모니터링을 수행하는 위협 상황 모니터링부를 더 포함할 수 있다.
또한, 본 발명의 일실시예에 따른 보안 위협 분석 장치에 의해 수행되는 보안 위협 분석 방법은 하나 이상의 보안 장비로부터 보안 이벤트를 수집하는 단계, 수집된 상기 보안 이벤트에 대해 빅데이터 기반의 연관성 분석 결과를 기반으로, 대응 정책을 생성하는 단계, 생성된 상기 대응 정책을 위협 정보 교환 포맷(STIX)으로 변환하는 단계, 그리고 실시간 자동 전송 프로토콜(TAXII)을 통해, 변환된 상기 대응 정책을 상기 보안 장비로 전송하는 단계를 포함한다.
이때, 상기 위협 정보 교환 포맷(STIX)으로 변환하는 단계는, 상기 대응 정책으로부터 전송 대상이 되는 데이터 필드를 추출하는 단계, 추출된 이기종의 상기 데이터 필드에 대한 정규화를 수행하는 단계, 그리고 상기 위협 정보 교환 포맷(STIX) 데이터 모델을 이용하여, STIX 데이터를 생성하는 단계를 포함할 수 있다.
이때, 상기 보안 이벤트를 수집하는 단계는, 상기 보안 장비로부터 데이터 전송 규격에 상응하는 이벤트 경보 정보 및 보안 로그 중 적어도 어느 하나를 포함하는 상기 보안 이벤트를 수집할 수 있다.
이때, 상기 보안 이벤트를 수집하는 단계는, 상기 보안 장비로부터 데이터 전송 규격 정보를 요청받는 단계, 상기 보안 장비로 상기 데이터 전송 규격 정보를 전송하는 단계, 그리고 상기 보안 장비로부터 상기 데이터 전송 규격에 상응하는 상기 보안 이벤트를 수신하는 단계를 포함할 수 있다.
이때, 상기 대응 정책을 상기 보안 장비로 전송하는 단계는, 상기 보안 장비로부터 대응 정책을 요청받는 단계, 그리고 상기 보안 장비로 상기 위협 정보 교환 포맷(STIX)으로 변환된 상기 대응 정책을 전송하는 단계를 포함할 수 있다.
이때, 통합 관제 시스템으로부터 위협 정보를 수신하는 단계를 더 포함할 수 있다.
이때, 상기 통합 관제 시스템으로부터 위협 정보를 수신하는 단계는, 상기 통합 관제 시스템으로부터 데이터 전송 규격 정보를 요청받는 단계, 상기 통합 관제 시스템으로 상기 데이터 전송 규격 정보를 전송하는 단계, 그리고 상기 통합 관제 시스템으로부터 상기 데이터 전송 규격에 상응하는 상기 위협 정보를 수신하는 단계를 포함할 수 있다.
이때, 상기 보안 장비로부터 이벤트 경보 정보를 수신하여 저장하는 단계, 상기 보안 위협 분석 장치와 연동된 통합 관제 시스템으로부터 위협 정보를 수신하여 저장하는 단계를 더 포함할 수 있다.
이때, 저장된 상기 이벤트 경보 정보 및 상기 위협 정보 중 적어도 어느 하나를 기반으로, 위협 상황 모니터링을 수행하는 단계를 더 포함할 수 있다.
또한, 본 발명의 일실시예에 따른 보안 장비는, 보안 위협 분석 장치로부터 데이터 전송 규격을 수신하는 데이터 전송 규격 수신부, 보안 이벤트 및 로그 중 적어도 어느 하나를 상기 데이터 전송 규격에 상응하도록 변환하는 데이터 변환부, 변환된 상기 보안 이벤트 및 상기 로그 중 적어도 어느 하나를 상기 보안 위협 분석 장치로 전송하는 데이터 전송부, 그리고 상기 보안 위협 분석 장치로부터 대응 정책 및 명령 제어 중 적어도 어느 하나를 수신하여 처리하는 대응 정책 수신부를 포함한다.
이때, 상기 데이터 변환부는, 상기 보안 이벤트 및 상기 로그 중에서 상기 보안 위협 분석 장치로 전송할 데이터 필드를 추출하고, 추출된 상기 데이터 필드에 대한 정규화를 수행하며, 위협 정보 교환 포맷(STIX) 데이터 모델을 이용하여 상기 보안 위협 분석 장치로 전송할 데이터를 생성할 수 있다.
본 발명에 따르면, 구조화된 사이버 위협 정보를 실시간으로 공유하기 위한 전송 프로토콜을 통해, 진화하는 사이버 공격에 효과적으로 대응할 수 있는 보안 솔루션 위협 정보 분석 기술을 제공 할 수 있다.
또한 본 발명에 따르면, 지능화되고 장기간 지속되는 침해 공격의 신속한 원인 분석 및 대응을 가능하게 할 수 있다.
또한 본 발명에 따르면, 구조화된 위협 정보 교환 포맷(STIX)으로 변환된 보안 데이터를 실시간 자동 전송 프로토콜(TAXII)을 통해 외부의 통합 관제 시스템 또는 보안 장비로 전송할 수 있다.
또한 본 발명에 따르면, 기존의 단일 보안 장비에 의해 탐지되지 않은 공격 징후를 탐지하고 분석할 수 있다.
도 1은 본 발명의 일실시예에 따른 보안 위협 분석 장치가 적용되는 환경을 개략적으로 나타낸 도면이다.
도 2는 본 발명의 일실시예에 따른 보안 위협 분석 장치의 구성을 나타낸 블록도이다.
도 3은 본 발명의 일실시예에 따른 보안 장비의 구성을 나타낸 블록도이다.
도 4는 본 발명의 일실시예에 따른 보안 위협 분석 방법을 설명하기 위한 순서도이다.
도 5는 본 발명의 일실시예에 따른 실시간 자동 전송 프로토콜(TAXII)을 통해 보안 위협 분석을 위한 데이터를 송수신하는 과정을 설명하기 위한 도면이다.
도 6은 본 발명의 일실시예에 따른 위협 정보 교환 포맷(STIX)으로 변환을 수행하는 과정을 설명하기 위한 도면이다.
도 7은 본 발명의 일실시예에 따른 보안 위협 분석 시스템의 구성을 나타낸 예시도이다.
도 8은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세하게 설명하고자 한다.
그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
도 1은 본 발명의 일실시예에 따른 보안 위협 분석 장치가 적용되는 환경을 개략적으로 나타낸 도면이다.
보안 장비(100)는 단일 기업이나 기관에 설치되어 보안 이벤트를 수집하고, 수집된 보안 이벤트를 저장한다.
여기서, 보안 장비(100)는 방화벽(Fire wall, FW), 침입 방지 시스템(Intrusion Protection System, IPS), 침입 탐지 시스템(Intrusion Detection System, IDS), 통합 위협 관리 보안 시스템(Unified Threat Management, UTM) 및 웹 방화벽(Web Application Firewall, WAF) 중 적어도 어느 하나일 수 있으며, 보안 장비(100)의 종류는 이에 한정되지 않는다.
다음으로 보안 위협 분석 장치(200)는 보안 이벤트를 수집하고, 빅데이터 기반 위협 정보 연관성 분석을 수행하며, 상위 통합 관제 시스템(300)과 연동할 수 있다. 그리고 보안 위협 분석 장치(200)는 위협 상황을 모니터링하고, 대응 정책을 생성하여 배포할 수 있다.
또한, 보안 위협 분석 장치(200)는 수집된 보안 이벤트, 위협 정보 및 대응 정책 등을 구조화된 위협 정보 교환 포맷(STIX)으로 변환하고, 변환된 데이터를 실시간 자동 전송 프로토콜(TAXII)을 통해 외부의 보안 장비(100) 또는 통합 관제 시스템(300)으로 전송할 수 있다.
그리고 통합 관제 시스템(300)은 침해사고 대응 센터 및 통합 보안관제 센터 등의 보안 시스템을 의미할 수 있다.
보안 위협 분석 장치(200)는 하나 이상의 보안 장비(100)로부터 보안 이벤트를 수집한다. 또한, 보안 위협 분석 장치(200)는 통합 관제 시스템(300)으로부터 위협 정보를 수신할 수 있다.
그리고 보안 위협 분석 장치(200)는 수집된 보안 이벤트에 대해 빅데이터 기반의 연관성 분석을 수행하여, 종합적인 위협 정보 및 대응 정책 중 적어도 어느 하나를 생성할 수 있다.
또한, 보안 위협 분석 장치(200)는 생성된 종합적인 위협 정보 및 대응 정책을 구조화된 위협 정보 교환 포맷(STIX)으로 변환하고, 실시간 자동 전송 프로토콜(TAXII)을 통해 외부의 보안 장비(100) 및 통합 관제 시스템(300) 중 적어도 어느 하나로 전송할 수 있다.
이를 통하여, 보안 위협 분석 장치(200)는 단일 보안 장비(100)에 의해서는 탐지되지 않은 공격 징후들을 탐지하고 분석할 수 있다. 그리고 보안 위협 분석 장치(200)는 최근 지능화되고, 장기간 지속되는 사이버 공격에 대한 심층 분석을 수행할 수 있으며, 이에 신속하게 대응할 수 있다.
이하에서는 도 2 및 도 3을 통하여 본 발명의 일실시예에 따른 보안 위협 분석 장치 및 보안 장비의 구성에 대하여 더욱 상세하게 설명한다.
도 2는 본 발명의 일실시예에 따른 보안 위협 분석 장치의 구성을 나타낸 블록도이다.
도 2에 도시한 바와 같이, 보안 위협 분석 장치(200)는 보안 이벤트 수집부(210), 위협 정보 수신부(220), 대응 정책 생성부(230), 데이터베이스(240), STIX 변환부(250), 대응 정책 전송부(260) 및 위협 상황 모니터링부(270)를 포함한다.
먼저, 보안 이벤트 수집부(210)는 하나 이상의 보안 장비(100)로부터 보안 이벤트를 수집한다.
보안 이벤트 수집부(210)는 보안 장비(100)로부터 데이터 전송 규격에 상응하는 이벤트 경보 정보 및 보안 로그 중 적어도 어느 하나를 포함하는 보안 이벤트를 수집할 수 있다.
이때, 보안 이벤트 수집부(210)는 보안 장비(100)로부터 데이터 전송 규격 정보를 요청받으면, 보안 장비(100)로 데이터 전송 규격 정보를 전송한다. 그리고 보안 이벤트 수집부(210)는 보안 장비(100)로부터 데이터 전송 규격에 상응하는 보안 이벤트를 수신할 수 있다.
여기서, 보안 장비(100)는 STIX 모듈 및 TAXII 모듈을 이용하여 보안 이벤트 수집부(210)로 이벤트 경보 정보를 전송하고, 보안 이벤트 수집부(210)는 TAXII 모듈을 이용하여 보안 장비(100)로부터 이벤트 경보 정보를 수신할 수 있다.
다음으로 위협 정보 수신부(220)는 통합 관제 시스템(300)으로부터 위협 정보를 수신한다. 이때, 위협 정보 수신부(220)는 STIX 모듈 및 TAXII 모듈을 이용하여 통합 관제 시스템(300)으로부터 위협 정보를 수신할 수 있다.
위협 정보 수신부(220)는 통합 관제 시스템(300)으로부터 데이터 전송 규격 정보를 요청받으면, 통합 관제 시스템(300)으로 데이터 전송 규격 정보를 전송하고, 통합 관제 시스템(300)으로부터 데이터 전송 규격에 상응하는 위협 정보를 수신할 수 있다.
그리고 대응 정책 생성부(230)는 보안 이벤트에 대한 연관성 수행 분석의 결과, 통합 관제 시스템(300)으로부터 수신한 위협 정보 및 위협 상황 모니터링 정보 중 적어도 어느 하나를 기반으로, 대응 정책을 생성할 수 있다. 이때, 대응 정책 생성부(230)는 후술할 데이터베이스(240)에 저장된 연관성 수행 분석의 결과, 위협 정보 및 위협 상황 모니터링 정보 중 적어도 어느 하나를 이용하여 대응 정책을 생성할 수 있다.
대응 정책 생성부(230)는 대응 정책을 생성하기 이전에, 수집된 보안 이벤트에 대한 연관성 분석을 수행할 수 있다. 이때, 대응 정책 생성부(230)는 빅데이터 기반의 연관성 분석을 수행할 수 있으며, 대응 정책 생성부(230)가 수행하는 연관성 분석 방법의 종류는 이에 한정되지 않는다.
데이터베이스(240)는 보안 장비(100)로부터 수신한 보안 이벤트 정보, 통합 관제 시스템(300)으로부터 수신한 위협 정보를 저장할 수 있다. 그리고 데이터베이스(240)는 보안 이벤트에 대한 연관성 분석 수행 결과 및 위협 상황 모니터링 정보 중 적어도 어느 하나를 저장할 수 있다.
다음으로 STIX 변환부(250)는 생성된 대응 정책을 위협 정보 교환 포맷(STIX)으로 변환한다.
이때, STIX 변환부(250)는 대응 정책으로부터 전송 대상이 되는 데이터 필드를 추출하고, 추출된 이기종의 데이터 필드에 대한 정규화를 수행할 수 있다. 그리고 STIX 변환부(250)는 정규화된 데이터 필드를 위협 정보 교환 포맷(STIX) 데이터 모델에 적용하여, STIX 데이터를 생성할 수 있다.
그리고 대응 정책 전송부(260)는 보안 장비(100)로부터 대응 정책을 요청받으면, 보안 장비(100)로 위협 정보 교환 포맷으로 변환된 대응 정책을 전송한다. 특히, 대응 정책 전송부(260)는 실시간 자동 전송 프로토콜(TAXII)을 통해, 변환된 대응 정책인 STIX 데이터를 보안 장비(100)로 전송할 수 있다.
마지막으로, 위협 상황 모니터링부(270)는 저장된 이벤트 경보 정보 및 위협 정보 중 적어도 어느 하나를 기반으로, 위협 상황 모니터링을 수행한다. 그리고 위협 상황 모니터링부(270)의 모니터링 결과는 보안 관리자의 단말기로 전송되어 보안 관리자에게 제공될 수 있다.
도 3은 본 발명의 일실시예에 따른 보안 장비의 구성을 나타낸 블록도이다.
도 3과 같이, 보안 장비(100)는 데이터 전송 규격 수신부(110), 데이터 변환부(120), 데이터 전송부(140) 및 대응 정책 수신부(140)를 포함한다.
먼저, 데이터 전송 규격 수신부(110)는 보안 위협 분석 장치(200)로부터 데이터 전송 규격을 수신한다.
그리고 데이터 변환부(120)는 보안 이벤트 및 로그 중 적어도 어느 하나를 데이터 전송 규격에 상응하도록 변환한다.
데이터 변환부(120)는 보안 이벤트 및 로그 중에서 보안 위협 분석 장치(200)로 전송할 데이터 필드를 추출하고, 추출된 데이터 필드에 대한 정규화를 수행할 수 있다. 또한 데이터 변환부(120)는 위협 정보 교환 포맷(STIX) 데이터 모델을 이용하여 보안 위협 분석 장치(200)로 전송할 데이터를 생성할 수 있다.
다음으로 데이터 전송부(130)는 변환된 보안 이벤트 및 로그 중 적어도 어느 하나를 보안 위협 분석 장치(200)로 전송한다.
또한, 대응 정책 수신부(140)는 보안 위협 분석 장치(200)로부터 대응 정책 및 명령 제어 중 적어도 어느 하나를 수신하여 처리할 수 있다.
보안 장비(100)는 STIX 모듈 및 TAXII 모듈을 이용하여 보안 위협 분석 장치(200)로 이벤트 경보 정보를 전송하고, 보안 위협 분석 장치(200)로부터 위협 정보, 대응 정책 및 제어 정보 중 적어도 어느 하나를 수신할 수 있다. 그리고 도 2에서 데이터 변환부(120)는 STIX 모듈 형태로 구현될 수 있고, 데이터 전송부(130)는 TAXII 모듈 형태로 구현될 수 있다.
이하에서는 도 4를 통하여 본 발명의 일실시예에 따른 보안 위협 분석 장치에 의해 수행되는 보안 위협 분석 방법에 대하여 더욱 상세하게 설명한다.
도 4는 본 발명의 일실시예에 따른 보안 위협 분석 방법을 설명하기 위한 순서도이다.
먼저, 보안 위협 분석 장치(200)는 보안 장비(100)로부터 보안 이벤트를 수집한다(S410).
보안 위협 분석 장치(200)는 하나 이상의 보안 장비(100)로부터 보안 로그 및 이벤트 경보 정보 중 적어도 어느 하나를 포함하는 보안 이벤트를 수신할 수 있다.
이때, 보안 위협 분석 장치(200)는 보안 장비(100)로부터 위협 정보 교환 포맷(STIX)으로 변환된 형태의 보안 이벤트를 수신할 수 있으며, S410 단계를 통해 보안 이벤트를 수신하기 이전에 보안 위협 분석 장치(200)는 보안 장비(100)로 데이터 전송 규격 정보를 전송하는 과정을 수행할 수 있다.
그리고 보안 위협 분석 장치(200)는 빅데이터 기반의 연관성 분석을 수행한다(S420).
보안 위협 분석 장치(200)는 보안 장비(100)로부터 수신한 보안 이벤트에 대한 빅데이터 기반의 연관성 분석을 수행하고, 수행 결과를 데이터베이스에 저장할 수 있다.
또한, 보안 위협 분석 장치(200)는 통합 관제 시스템(300)으로부터 위협 정보를 수신한다(S430).
보안 위협 분석 장치(200)는 연동된 통합 관제 시스템(300)으로부터 위협 정보를 수신하여, 데이터베이스에 저장할 수 있다.
그리고 보안 위협 분석 장치(200)는 대응 정책을 생성하고, 생성한 대응 정책을 STIX로 변환한다(S440).
보안 위협 분석 장치(200)는 데이터베이스에 저장된 연관성 분석의 수행 결과, 위협 정보 및 보안 이벤트 중 적어도 어느 하나를 기반으로 대응 정책을 생성할 수 있다. 또한, 보안 위협 분석 장치(200)가 위협 상황 모니터링을 수행하는 경우, 보안 위협 분석 장치(200)는 위협 상황 모니터링의 결과를 데이터베이스에 저장하고, 위협 상황 모니터링의 결과를 반영하여 대응 정책을 생성할 수 있다.
대응 정책을 생성한 보안 위협 분석 장치(200)는 보안 장비(100)로 대응 정책을 전송하기 위하여, 대응 정책을 위협 정보 교환 포맷(STIX)으로 변환한다.
마지막으로, 보안 위협 분석 장치(200)는 TAXII를 통해 대응 정책을 전송한다(S450).
보안 위협 분석 장치(200)는 S440 단계에서 위협 정보 교환 포맷(STIX)으로 변환된 대응 정책을 실시간 자동 전송 프로토콜(TAXII)을 이용하여, 하나 이상의 보안 장비(100)로 전송할 수 있다.
이와 같이, 본 발명의 일실시예에 따른 보안 위협 분석 장치(200)는 하나 이상의 보안 장비(100)로부터 보안 이벤트 경보 정보 및 로그를 구조화된 위협 정보 교환 포맷()으로 변환하여, 실시간 자동 전송 프로토콜()을 통해 외부의 통합 관제 시스템(300) 또는 보안 장비(100)로 전송할 수 있다.
이를 통하여 본 발명의 일실시예에 따른 보안 위협 분석 장치(200)는 사이버 침해 사고가 발생할 경우, 신속하게 사고의 원인을 분석할 수 있고, 기존의 보안 장비를 통해 탐지되지 않은 공격 징후들을 수집하여 보안 솔루션 위협 정보를 분석할 수 있다.
이하에서는 도 5 및 도 6을 통하여 본 발명의 일실시예에 따른 실시간 자동 전송 프로토콜(TAXII) 및 위협 정보 교환 포맷(STIX)에 대하여 더욱 상세하게 설명한다.
도 5는 본 발명의 일실시예에 따른 실시간 자동 전송 프로토콜(TAXII)을 통해 보안 위협 분석을 위한 데이터를 송수신하는 과정을 설명하기 위한 도면이다.
도 5에 도시한 바와 같이, TAXII 모듈은 TAXII 에이전트(400) 및 TAXII 서버(500)로 구성될 수 있다. 그리고 TAXII 에이전트(400)는 보안 이벤트/로그 수집부(410), STIX 변환부(420), 대응 정책/명령 제어 처리부(430) 및 TAXII 연동부(440)를 포함할 수 있다. 그리고 TAXII 서버(500)는 대응 정책/명령 제어 생성부(510), STIX 변환부(520), 위협 정보 저장 및 처리부(530) 및 TAXII 연동부(540)를 포함할 수 있다.
그리고 TAXII 에이전트(400) 및 TAXII 서버(500)의 STIX 변환부(420, 520)는 전송 대상이 되는 데이터를 구조화된 위협정보 교환 포맷으로 변환하며, STIX 변환부(420, 520)에 대해서는 후술할 도 6을 통하여 더욱 상세하게 설명한다.
TAXII 에이전트(400)는 데이터를 전송하기 위하여, TAXII 서버(500)로 데이터 전송 규격을 요청하고, TAXII 서버(500)로부터 데이터 전송 규격을 수신할 수 있다. 그리고 TAXII 에이전트(400)는 전송하고자 하는 데이터(보안 이벤트, 위협 정보 등)를 데이터 전송 규격에 맞게 변환하여, TAXII 서버(500)로 전송하며, 데이터를 수신한 TAXII 서버(500)는 TAXII 에이전트(400)로 확인 정보(응답)을 전송한다.
TAXII 에이전트(400)는 TAXII 서버(500)로 대응 정책 및 명령 제어 정보를 요청하고, TAXII 서버(500)로부터 요청에 상응하는 대응 정책 및 명령 제어 정보를 수신할 수 있다.
도 6은 본 발명의 일실시예에 따른 위협 정보 교환 포맷(STIX)으로 변환을 수행하는 과정을 설명하기 위한 도면이다.
도 6과 같이, STIX 변환부(600)는 데이터 필드 추출 모듈(610), 정규화 모듈(620), STIX 데이터 모델 생성 모듈(630) 및 STIX 데이터 생성 모듈(640)을 포함할 수 있다.
데이터 필드 추출 모듈(610)은 수집된 다양한 보안 이벤트 또는 생성된 대응 정책으로부터, 전송할 데이터 필드를 추출한다. 그리고 정규화 모듈(620)은 추출된 이기종의 데이터 필드에 대한 정규화를 수행한다. 또한, STIX 데이터 모델 생성 모듈(630)은 STIX 데이터 모델을 생성하고, STIX 데이터 생성 모듈(640)은 생성된 STIX 데이터 모델에 정규화된 데이터 필드를 적용하여, XML 형태의 STIX 데이터를 생성할 수 있다.
이하에서는 도 7을 통하여 본 발명의 일실시예에 따른 보안 위협 분석 시스템에 대하여 더욱 상세하게 설명한다.
도 7은 본 발명의 일실시예에 따른 보안 위협 분석 시스템의 구성을 나타낸 예시도이다.
도 7에 도시한 바와 같이, 보안 위협 분석 시스템은 하나 이상의 보안 장비(700), 보안 솔루션 위협정보 분석 시스템(800) 및 통합 관제 시스템(900)를 포함하며, 필요에 따라 보안 관리자의 관리자 단말기(1000)를 더 포함할 수 있다.
보안 장비(700)는 도 1의 보안 장비(100)와 실질적으로 동일하고, 통합 관제 시스템(900)은 도 1의 통합 관제 시스템(300)과 실질적으로 동일할 수 있다.
보안 솔루션 위협 정보 분석 시스템(800)은 방화벽(Fire wall, FW), 침입 방지 시스템(Intrusion Protection System, IPS), 침입 탐지 시스템(Intrusion Detection System, IDS), 통합 위협 관리 보안 시스템(Unified Threat Management, UTM) 및 웹 방화벽(Web Application Firewall, WAF) 등의 보안 장비(100)로부터 원본 로그 및 이벤트 경보 정보를 수신할 수 있다.
이때, 보안 솔루션 위협 정보 분석 시스템(800)의 이벤트/경보 수집부(810)는 Syslog를 이용하여 보안 장비(700)로부터 원본 로그를 수집하고, TAXII 및 STIX 기능을 통해 이벤트 경보 정보를 수집할 수 있다.
보안 솔루션 위협 정보 분석 시스템(800)의 빅데이터 기반 위협 정보 연관성 분석부(820)는 수집된 데이터에 대해 빅데이터 기반의 위협 정보 연관선 분석을 수행하여 경보를 생성하고, 생성된 경보를 위협 정보/경보 저장 데이터베이스(830)에 저장할 수 있다.
또한, 보안 솔루션 위협 정보 분석 시스템(800)의 통합 관제 시스템 연동부(840)는 통합 관제 시스템(900)으로부터 TAXII 및 STIX 기능을 통해 위협 정보를 수신하고, 수신한 위협 정보를 위협 정보/경보 저장 데이터베이스(830)에 저장할 수 있다.
그리고 보안 솔루션 위협 정보 분석 시스템(800)의 위협 상황 모니터링부(860)는 위협 상황을 모니터링하고, 모니터링 결과를 위협 정보/경보 저장 데이터베이스(830)에 저장하거나 관리자 단말기(1000)로 전송할 수 있다.
대응 정책 생성/배포부(850)는 위협 정보/경보 저장 데이터베이스에 저장된 경보, 위협 정보, 모니터링 결과 중 적어도 어느 하나를 기반으로 대응 정책 및 제어 정보 중 적어도 어느 하나를 생성한다.
그리고 대응 정책 생성/배포부(850)는 TAXII 및 STIX 기능을 통해 생성된 대응 정책 및 제어 정보를 보안 장비(700)로 전송할 수 있다. 또한, 대응 정책 생성/배포부(850)는 TAXII 및 STIX 기능을 통해 통합 관제 시스템(900)으로부터 수신한 위협 정보를 보안 장비(700)로 전송할 수 있다.
도 8은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.
도 8을 참조하면, 본 발명의 실시예는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템(1100)에서 구현될 수 있다. 도 8에 도시된 바와 같이, 컴퓨터 시스템(1100)은 버스(1120)를 통하여 서로 통신하는 하나 이상의 프로세서(1110), 메모리(1130), 사용자 인터페이스 입력 장치(1140), 사용자 인터페이스 출력 장치(1150) 및 스토리지(1160)를 포함할 수 있다. 또한, 컴퓨터 시스템(1100)은 네트워크(1180)에 연결되는 네트워크 인터페이스(1170)를 더 포함할 수 있다. 프로세서(1110)는 중앙 처리 장치 또는 메모리(1130)나 스토리지(1160)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(1130) 및 스토리지(1160)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리는 ROM(1131)이나 RAM(1132)을 포함할 수 있다.
따라서, 본 발명의 실시예는 컴퓨터로 구현된 방법이나 컴퓨터에서 실행 가능한 명령어들이 기록된 비일시적인 컴퓨터에서 읽을 수 있는 매체로 구현될 수 있다. 컴퓨터에서 읽을 수 있는 명령어들이 프로세서에 의해서 수행될 때, 컴퓨터에서 읽을 수 있는 명령어들은 본 발명의 적어도 한 가지 태양에 따른 방법을 수행할 수 있다.
이상에서와 같이 본 발명에 따른 보안 장비, 보안 위협 분석 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
100: 보안 장비 110: 데이터 전송 규격 수신부
120: 데이터 변환부 130: 데이터 전송부
140: 대응 정책 수신부 200: 보안 위협 분석 장치
210: 보안 이벤트 수집부 220: 위협 정보 수신부
230: 대응 정책 생성부 240: 데이터베이스
250: STIX 변환부 260: 대응 정책 전송부
270: 위협 상황 모니터링부 300: 통합 관제 시스템
400: TAXII 에이전트 410: 보안 이벤트/로그 수집부
420: STIX 변환부 430: 대응 정책/명령 제어 처리부
440: TAXII 연동부 500: TAXII 서버
510: 대응 정책/명령 제어 생성부
520: STIX 변환부 530: 위협 정보 저장 및 처리부
540: TAXII 연동부 600: STIX 변환부
610: 데이터 필드 추출 모듈
620: 정규화 모듈
630: STIX 데이터 모델 생성 모듈
640: STIX 데이터 생성 모듈
700: 보안 장비
800: 보안 솔루션 위협 정보 분석 시스템
810: 이벤트/경보 수집부
820: 빅데이터 기반 위협 정보 연관성 분석부
830: 위협 정보/경보 저장 데이터베이스
840: 통합 관제 시스템 연동부 850: 대응 정책 생성/배포부
860: 위협 상황 모니터링부 900: 통합 관제 시스템
1000: 관리자 단말기 1100: 컴퓨터 시스템
1110: 프로세서 1120: 버스
1130: 메모리 1131: 롬
1132: 램
1140: 사용자 인터페이스 입력 장치
1150: 사용자 인터페이스 출력 장치
1160: 스토리지 1170: 네트워크 인터페이스
1180: 네트워크

Claims (20)

  1. 하나 이상의 보안 장비로부터 보안 이벤트를 수집하는 보안 이벤트 수집부, 수집된 상기 보안 이벤트에 대해 빅데이터 기반의 연관성 분석 결과를 기반으로, 대응 정책을 생성하는 대응 정책 생성부,
    생성된 상기 대응 정책으로부터 전송 대상이 되는 데이터 필드를 추출하고, 추출된 이기종의 상기 데이터 필드에 대한 정규화를 수행한 후, 위협 정보 교환 포맷(STIX)으로 변환하는 STIX 변환부, 그리고
    실시간 자동 전송 프로토콜(TAXII)을 통해, 변환된 상기 대응 정책을 상기 보안 장비로 전송하는 대응 정책 전송부를 포함하되,
    상기 보안 장비로부터 수신한 이벤트 경보 정보 및 보안 위협 분석 장치와 상호 연동된 통합 관제 시스템으로부터 수신한 위협 정보 중 적어도 어느 하나를 저장하는 데이터베이스; 및
    저장된 상기 이벤트 경보 정보 및 상기 위협 정보 중 적어도 어느 하나를 기반으로, 위협 상황 모니터링을 수행하는 위협 상황 모니터링부를 더 포함하되,
    대응 정책 생성부는,
    위협 정보 및 위협 상황 모니터링 정보 중 적어도 어느 하나를 이용하여 대응 정책을 생성하는, 보안 위협 분석 장치.
  2. 제1항에 있어서,
    상기 STIX 변환부는,
    상기 대응 정책으로부터 전송 대상이 되는 데이터 필드를 추출하고, 추출된 이기종의 상기 데이터 필드에 대한 정규화를 수행하며, 상기 위협 정보 교환 포맷(STIX) 데이터 모델을 이용하여 STIX 데이터를 생성하는 것을 특징으로 하는 보안 위협 분석 장치.
  3. 제1항에 있어서,
    상기 보안 이벤트 수집부는,
    상기 보안 장비로부터 데이터 전송 규격에 상응하는 이벤트 경보 정보 및 보안 로그 중 적어도 어느 하나를 포함하는 상기 보안 이벤트를 수집하는 것을 특징으로 하는 보안 위협 분석 장치.
  4. 제3항에 있어서,
    상기 보안 이벤트 수집부는,
    상기 보안 장비로부터 데이터 전송 규격 정보를 요청받으면, 상기 보안 장비로 상기 데이터 전송 규격 정보를 전송하고, 상기 보안 장비로부터 상기 데이터 전송 규격에 상응하는 상기 보안 이벤트를 수신하는 것을 특징으로 하는 보안 위협 분석 장치.
  5. 제4항에 있어서,
    상기 대응 정책 전송부는,
    상기 보안 장비로부터 대응 정책을 요청받으면, 상기 보안 장비로 상기 위협 정보 교환 포맷(STIX)으로 변환된 상기 대응 정책을 전송하는 것을 특징으로 하는 보안 위협 분석 장치.
  6. 제1항에 있어서,
    통합 관제 시스템으로부터 위협 정보를 수신하는 위협 정보 수신부를 더 포함하는 것을 특징으로 하는 보안 위협 분석 장치.
  7. 제6항에 있어서,
    상기 위협 정보 수신부는,
    상기 통합 관제 시스템으로부터 데이터 전송 규격 정보를 요청받으면, 상기 통합 관제 시스템으로 상기 데이터 전송 규격 정보를 전송하고, 상기 통합 관제 시스템으로부터 상기 데이터 전송 규격에 상응하는 상기 위협 정보를 수신하는 것을 특징으로 하는 보안 위협 분석 장치.
  8. 삭제
  9. 삭제
  10. 보안 위협 분석 장치에 의해 수행되는 보안 위협 분석 방법에 있어서,
    하나 이상의 보안 장비로부터 보안 이벤트를 수집하는 단계,
    수집된 상기 보안 이벤트에 대해 빅데이터 기반의 연관성 분석 결과를 기반으로, 대응 정책을 생성하는 단계,
    생성된 상기 대응 정책으로부터 전송 대상이 되는 데이터 필드를 추출하고, 추출된 이기종의 상기 데이터 필드에 대한 정규화를 수행한 후, 위협 정보 교환 포맷(STIX)으로 변환하는 단계, 그리고
    실시간 자동 전송 프로토콜(TAXII)을 통해, 변환된 상기 대응 정책을 상기 보안 장비로 전송하는 단계를 포함하되,
    상기 보안 장비로부터 이벤트 경보 정보를 수신하여 저장하는 단계,
    상기 보안 위협 분석 장치와 연동된 통합 관제 시스템으로부터 위협 정보를 수신하여 저장하는 단계; 및
    저장된 상기 이벤트 경보 정보 및 상기 위협 정보 중 적어도 어느 하나를 기반으로, 위협 상황 모니터링을 수행하는 단계를 더 포함하되,
    대응 정책을 생성하는 단계는,
    위협 정보 및 위협 상황 모니터링 정보 중 적어도 어느 하나를 이용하여 대응 정책을 생성하는, 보안 위협 분석 방법.
  11. 제10항에 있어서,
    상기 위협 정보 교환 포맷(STIX)으로 변환하는 단계는,
    상기 대응 정책으로부터 전송 대상이 되는 데이터 필드를 추출하는 단계,
    추출된 이기종의 상기 데이터 필드에 대한 정규화를 수행하는 단계, 그리고
    상기 위협 정보 교환 포맷(STIX) 데이터 모델을 이용하여, STIX 데이터를 생성하는 단계를 포함하는 것을 특징으로 하는 보안 위협 분석 방법.
  12. 제10항에 있어서,
    상기 보안 이벤트를 수집하는 단계는,
    상기 보안 장비로부터 데이터 전송 규격에 상응하는 이벤트 경보 정보 및 보안 로그 중 적어도 어느 하나를 포함하는 상기 보안 이벤트를 수집하는 것을 특징으로 하는 보안 위협 분석 방법.
  13. 제12항에 있어서,
    상기 보안 이벤트를 수집하는 단계는,
    상기 보안 장비로부터 데이터 전송 규격 정보를 요청받는 단계,
    상기 보안 장비로 상기 데이터 전송 규격 정보를 전송하는 단계, 그리고
    상기 보안 장비로부터 상기 데이터 전송 규격에 상응하는 상기 보안 이벤트를 수신하는 단계를 포함하는 것을 특징으로 하는 보안 위협 분석 방법.
  14. 제13항에 있어서,
    상기 대응 정책을 상기 보안 장비로 전송하는 단계는,
    상기 보안 장비로부터 대응 정책을 요청받는 단계, 그리고
    상기 보안 장비로 상기 위협 정보 교환 포맷(STIX)으로 변환된 상기 대응 정책을 전송하는 단계를 포함하는 것을 특징으로 하는 보안 위협 분석 방법.
  15. 제10항에 있어서,
    통합 관제 시스템으로부터 위협 정보를 수신하는 단계를 더 포함하는 것을 특징으로 하는 보안 위협 분석 방법.
  16. 제15항에 있어서,
    상기 통합 관제 시스템으로부터 위협 정보를 수신하는 단계는,
    상기 통합 관제 시스템으로부터 데이터 전송 규격 정보를 요청받는 단계,
    상기 통합 관제 시스템으로 상기 데이터 전송 규격 정보를 전송하는 단계, 그리고
    상기 통합 관제 시스템으로부터 상기 데이터 전송 규격에 상응하는 상기 위협 정보를 수신하는 단계를 포함하는 것을 특징으로 하는 보안 위협 분석 방법.
  17. 삭제
  18. 삭제
  19. 보안 위협 분석 장치로부터 데이터 전송 규격을 수신하는 데이터 전송 규격 수신부,
    보안 이벤트 및 로그 중 적어도 어느 하나를 상기 데이터 전송 규격에 상응하도록 변환하는 데이터 변환부,
    변환된 상기 보안 이벤트 및 상기 로그 중 적어도 어느 하나를 상기 보안 위협 분석 장치로 전송하는 데이터 전송부, 그리고
    상기 보안 위협 분석 장치로부터 대응 정책 및 명령 제어 중 적어도 어느 하나를 수신하여 처리하는 대응 정책 수신부
    를 포함하되,
    대응 정책은,
    보안 장비가 전송한 이벤트 경보 정보 및 상기 보안 위협 분석 장치와 연동된 통합 관제 시스템으로부터 전송된 위협 정보 중 적어도 어느 하나를 기반으로 수행된 위협 상황 모니터링 정보를 이용하여 생성된 것이고,
    전송 대상이 되는 데이터 필드가 이기종의 상기 데이터 필드에 대한 정규화된 후, 위협 정보 교환 포맷(STIX)으로 변환되어 전송된 것인, 것을 특징으로 하는 보안 장비.
  20. 제19항에 있어서,
    상기 데이터 변환부는,
    상기 보안 이벤트 및 상기 로그 중에서 상기 보안 위협 분석 장치로 전송할 데이터 필드를 추출하고, 추출된 상기 데이터 필드에 대한 정규화를 수행하며, 위협 정보 교환 포맷(STIX) 데이터 모델을 이용하여 상기 보안 위협 분석 장치로 전송할 데이터를 생성하는 것을 특징으로 하는 보안 장비.
    .
KR1020170164302A 2017-12-01 2017-12-01 보안 장비, 보안 위협 분석 장치 및 방법 KR102384672B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170164302A KR102384672B1 (ko) 2017-12-01 2017-12-01 보안 장비, 보안 위협 분석 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170164302A KR102384672B1 (ko) 2017-12-01 2017-12-01 보안 장비, 보안 위협 분석 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20190064944A KR20190064944A (ko) 2019-06-11
KR102384672B1 true KR102384672B1 (ko) 2022-04-11

Family

ID=66847235

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170164302A KR102384672B1 (ko) 2017-12-01 2017-12-01 보안 장비, 보안 위협 분석 장치 및 방법

Country Status (1)

Country Link
KR (1) KR102384672B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102400182B1 (ko) * 2020-06-09 2022-05-23 한국전자통신연구원 이기종 시스템 보안이벤트의 중점 모니터링 대상 선별 장치 및 방법
CN114095204B (zh) * 2021-10-14 2024-03-15 北京天融信网络安全技术有限公司 基于订阅机制的情报设备联动方法、防护中心及安全设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160366174A1 (en) * 2015-04-17 2016-12-15 Soltra Solutions, Llc Computerized system and method for securely distributing and exchanging cyber-threat information in a standardized format
US20170171235A1 (en) * 2015-12-09 2017-06-15 Accenture Global Solutions Limited Connected security system

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100456634B1 (ko) * 2002-10-31 2004-11-10 한국전자통신연구원 정책기반 침입 탐지 및 대응을 위한 경보 전달 장치 및 방법
KR101575282B1 (ko) 2011-11-28 2015-12-09 한국전자통신연구원 보안관리 도메인들 간에 익명 식별자 기반의 보안정보를 공유하기 위한 에이전트 장치 및 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160366174A1 (en) * 2015-04-17 2016-12-15 Soltra Solutions, Llc Computerized system and method for securely distributing and exchanging cyber-threat information in a standardized format
US20170171235A1 (en) * 2015-12-09 2017-06-15 Accenture Global Solutions Limited Connected security system

Also Published As

Publication number Publication date
KR20190064944A (ko) 2019-06-11

Similar Documents

Publication Publication Date Title
KR101327317B1 (ko) Sap 응용 트래픽 분석 및 모니터링 장치 및 방법, 이를 이용한 정보 보호 시스템
CN101350745B (zh) 一种入侵检测方法及装置
CN108270716A (zh) 一种基于云计算的信息安全审计方法
US20200106790A1 (en) Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic
CN103795735B (zh) 安全设备、服务器及服务器信息安全实现方法
CN104036000B (zh) 一种数据库审计方法、装置及系统
CN103428186A (zh) 一种检测钓鱼网站的方法及装置
CN103746992B (zh) 基于逆向的入侵检测系统及其方法
CN103701783A (zh) 一种预处理单元、由其构成的数据处理系统以及处理方法
Wang et al. A centralized HIDS framework for private cloud
KR102384672B1 (ko) 보안 장비, 보안 위협 분석 장치 및 방법
Pichan et al. A logging model for enabling digital forensics in iot, in an inter-connected iot, cloud eco-systems
Frye et al. An ontology-based system to identify complex network attacks
KR20180086919A (ko) 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치, 보안 정책 관리 장치 및 보안 정책 관리 방법
KR100846835B1 (ko) 문맥 언어 기반의 보안이벤트 상관분석 장치 및 방법
EP4046331B1 (en) Endpoint network sensor and related cybersecurity infrastructure
Vast et al. Artificial intelligence based security orchestration, automation and response system
Hwoij et al. SIEM architecture for the Internet of Things and smart city
US20220182403A1 (en) Endpoint Network Sensor and Related Cybersecurity Infrastructure
CN107659584A (zh) 一种食品加工厂网络安全管理系统
CN114374530A (zh) 基于实时网络流量进行监测分析的ids系统和检测方法
CN106878338B (zh) 远动设备网关防火墙一体机系统
KR101384618B1 (ko) 노드 분석 기법을 이용한 위험요소 추출 시스템
Wang et al. Network security situation evaluation based on modified DS evidence theory
KR102444922B1 (ko) 스마트그리드에서 보안상황 인식을 위한 지능형 접근제어 장치

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant