KR102394702B1 - Fast Detection Device and method of Abnormal Network Traffic on Sankey and Parallel Coordinates Security Visualization - Google Patents

Fast Detection Device and method of Abnormal Network Traffic on Sankey and Parallel Coordinates Security Visualization Download PDF

Info

Publication number
KR102394702B1
KR102394702B1 KR1020200123135A KR20200123135A KR102394702B1 KR 102394702 B1 KR102394702 B1 KR 102394702B1 KR 1020200123135 A KR1020200123135 A KR 1020200123135A KR 20200123135 A KR20200123135 A KR 20200123135A KR 102394702 B1 KR102394702 B1 KR 102394702B1
Authority
KR
South Korea
Prior art keywords
area
selection area
destination
security
source
Prior art date
Application number
KR1020200123135A
Other languages
Korean (ko)
Other versions
KR20220040206A (en
Inventor
한기훈
한만권
이성수
Original Assignee
한국서부발전 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국서부발전 주식회사 filed Critical 한국서부발전 주식회사
Priority to KR1020200123135A priority Critical patent/KR102394702B1/en
Publication of KR20220040206A publication Critical patent/KR20220040206A/en
Application granted granted Critical
Publication of KR102394702B1 publication Critical patent/KR102394702B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0894Packet rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명의 실시예는 생키 및 패러렐 코디네이트 보안 시각화를 이용한 신속한 이상 트래픽 탐지 장치 및 방법에 관한 것다. 일례로, 본 발명은 인터넷 및 인트라넷으로부터 비정상 트래픽을 수집하는 보안 디바이스; 보안 디바이스로부터 이벤트 로그를 수신하여 생키 다이어그램 및 패러렐 코디네이트 다이어그램을 동시에 갖는 대시보드로 시각화하는 컴퓨터 디바이스; 및 생키 다이어그램 및 패러렐 코디네이트 다이어그램을 갖는 대시보드를 표시하는 표시 디바이스를 포함하는, 이상 트래픽 탐지 장치를 개시(開示)한다.An embodiment of the present invention relates to a rapid abnormal traffic detection apparatus and method using raw key and parallel coordinate security visualization. In one example, the present invention provides a security device for collecting abnormal traffic from the Internet and intranets; a computer device that receives the event log from the security device and visualizes it as a dashboard having a raw key diagram and a parallel coordinate diagram at the same time; and a display device for displaying a dashboard having a raw key diagram and a parallel coordinate diagram.

Description

생키 및 패러렐 코디네이트 보안 시각화를 이용한 신속한 이상 트래픽 탐지 장치 및 방법{Fast Detection Device and method of Abnormal Network Traffic on Sankey and Parallel Coordinates Security Visualization}Fast Detection Device and method of Abnormal Network Traffic on Sankey and Parallel Coordinates Security Visualization

본 발명의 실시예는 생키 및 패러렐 코디네이트 보안 시각화를 이용한 신속한 이상 트래픽 탐지 장치 및 방법에 관한 것이다.An embodiment of the present invention relates to a rapid abnormal traffic detection apparatus and method using raw key and parallel coordinate security visualization.

과거와는 달리 현재의 기업 네트워크 환경은 점점 대규모화되고 복잡해지고 있다. 한 대의 보안장비에서 하루 발생하는 트래픽이 수십~수백 기가바이트에 이르기도 한다. 방화벽, IDS, IPS 등의 텍스트 로그를 일일이 분석하여 이상(비정상) 정보를 탐지하기는 쉽지 않다.Unlike the past, the current corporate network environment is getting larger and more complex. A single security device can generate tens to hundreds of gigabytes of traffic per day. It is not easy to detect abnormal (abnormal) information by analyzing text logs such as firewall, IDS, and IPS one by one.

분석가의 신속하고 효율적인 네트워크 분석을 위해 분석시스템을 자동화해야 한다. 또한, 분석가는 주요 네트워크 시나리오를 완벽하게 인지하고 있어야 한다. 하지만 이를 위해서는 분석을 돕는 도구가 필수적이다. 이 도구는 보안장비의 방대한 이벤트로부터 이상 트래픽을 신속하게 탐지하도록 도와준다. 정보 시각화는 고차원 데이터에 대한 효율적인 분석 방법을 제시한다. 인간의 두뇌는 텍스트보다 이미지를 처리하는 능력이 더 우수하기 때문이다.The analysis system should be automated for the analyst to analyze the network quickly and efficiently. In addition, analysts must be fully aware of the key network scenarios. But for this to happen, tools to aid analysis are essential. This tool helps to quickly detect anomalous traffic from massive events of security equipment. Information visualization presents an efficient analysis method for high-dimensional data. This is because the human brain has a better ability to process images than text.

이러한 발명의 배경이 되는 기술에 개시된 상술한 정보는 본 발명의 배경에 대한 이해도를 향상시키기 위한 것뿐이며, 따라서 종래 기술을 구성하지 않는 정보를 포함할 수도 있다.The above-described information disclosed in the background technology of the present invention is only for improving the understanding of the background of the present invention, and thus may include information that does not constitute the prior art.

본 발명의 실시예에 따른 해결하고자 하는 과제는 수많은 이기종 장비에서 발생한 보안 이벤트를 가지고 생키 다이어그램(Sankey Diagram)과 패러렐 코디네이트 다이어그램(Parallel Coordinates Diagram)을 이용하여 이상 트래픽을 신속하게 탐지할 수 있는 생키 및 패러렐 코디네이트 보안 시각화를 이용한 신속한 이상 트래픽 탐지 장치 및 방법을 제공하는데 있다.The problem to be solved according to an embodiment of the present invention is to use a Sankey Diagram and Parallel Coordinates Diagram with security events that occur in numerous heterogeneous devices to quickly detect abnormal traffic using a Sankey and An object of the present invention is to provide a rapid abnormal traffic detection apparatus and method using parallel coordinate security visualization.

또한, 본 발명의 실시예에 따른 해결하고자 하는 과제는 네트워크 공격뿐만 아니라 네트워크 장비의 오류에 의한 트래픽 발생 등도 신속하게 판단할 수 있는 생키 및 패러렐 코디네이트 보안 시각화를 이용한 신속한 이상 트래픽 탐지 장치 및 방법을 제공하는데 있다.In addition, the problem to be solved according to the embodiment of the present invention is to provide a rapid abnormal traffic detection apparatus and method using raw key and parallel coordinate security visualization that can quickly determine not only network attacks but also traffic generation due to errors in network equipment. is doing

또한, 본 발명의 실시예에 따른 해결하고자 하는 과제는 생키 다이어그램이 네트워크 장비에서 발생한 보안 이벤트 수와 트래픽량을 동시에 표출함으로써 신속한 이상트래픽 탐지가 가능한 생키 및 패러렐 코디네이트 보안 시각화를 이용한 신속한 이상 트래픽 탐지 장치 및 방법을 제공하는데 있다.In addition, the problem to be solved according to the embodiment of the present invention is a rapid abnormal traffic detection device using raw key and parallel coordinate security visualization, which enables rapid abnormal traffic detection by simultaneously expressing the number of security events and traffic volume generated by the raw key diagram in the network equipment and to provide a method.

또한, 본 발명의 실시예에 따른 해결하고자 하는 과제는 패러렐 코디네이트 다이어그램이 보안장비에서 발생하는 이벤트인 액션(action) 부문을 통하여 오탐(False Positive)를 크게 줄일 수 있는 생키 및 패러렐 코디네이트 보안 시각화를 이용한 신속한 이상 트래픽 탐지 장치 및 방법을 제공하는데 있다.In addition, the problem to be solved according to the embodiment of the present invention is to use the raw key and parallel coordinate security visualization that can greatly reduce false positives through the action section, which is an event that a parallel coordinate diagram occurs in security equipment. An object of the present invention is to provide an apparatus and method for detecting abnormal traffic quickly.

본 발명의 실시예에 따른 생키 및 패러렐 코디네이트 보안 시각화를 이용한 신속한 이상 트래픽 탐지 장치는 인터넷 및 인트라넷으로부터 비정상 트래픽을 수집하는 보안 디바이스; 보안 디바이스로부터 이벤트 로그를 수신하여 생키 다이어그램 및 패러렐 코디네이트 다이어그램을 동시에 갖는 대시보드로 시각화하는 컴퓨터 디바이스; 및 생키 다이어그램 및 패러렐 코디네이트 다이어그램을 갖는 대시보드를 표시하는 표시 디바이스를 포함할 수 있다.A rapid abnormal traffic detection apparatus using a raw key and parallel coordinate security visualization according to an embodiment of the present invention includes: a security device for collecting abnormal traffic from the Internet and intranet; a computer device that receives the event log from the security device and visualizes it as a dashboard having a raw key diagram and a parallel coordinate diagram at the same time; and a display device for displaying a dashboard having a raw key diagram and a parallel coordinate diagram.

컴퓨터 디바이스에 의해 시각화된 생키 다이어그램은 출발지 IP, 목적지 IP, 탐지 이벤트 건수 및 네트워크 트래픽량을 포함할 수 있다.The raw key diagram visualized by the computer device may include a source IP, a destination IP, a number of detection events, and an amount of network traffic.

컴퓨터 디바이스에 의해 시각화된 패러렐 코디네이트 다이어그램은 출발지 IP, 목적지 IP, 목적지 포트, 패킷크기 및 액션(패킷의 허용/탐지 판별)을 포함할 수 있다.The parallel coordinate diagram visualized by the computer device may include a source IP, a destination IP, a destination port, a packet size, and an action (acceptance/detection determination of a packet).

대시보드는 특정 포트, 특정 IP 및 액션(패킷의 허용/탐지 판별)을 검색 가능하게 제공할 수 있다.The dashboard can provide searchable specific ports, specific IPs and actions (determining allow/detection of packets).

본 발명의 실시예에 따른 생키 및 패러렐 코디네이트 보안 시각화를 이용한 신속한 이상 트래픽 탐지 장치는 보안 디바이스에 의해 인터넷 및 인트라넷으로부터 비정상 트래픽을 수집하는 단계; 컴퓨터 디바이스에 의해 보안 디바이스로부터 이벤트 로그를 수신하여 생키 다이어그램 및 패러렐 코디네이트 다이어그램을 동시에 갖는 대시보드로 시각화하는 단계; 및 표시 디바이스에 의해 생키 다이어그램 및 패러렐 코디네이트 다이어그램을 갖는 대시보드를 표시하는 단계를 포함할 수 있다.A rapid abnormal traffic detection apparatus using a raw key and parallel coordinate security visualization according to an embodiment of the present invention includes: collecting abnormal traffic from the Internet and intranet by a security device; receiving the event log from the secure device by the computer device and visualizing it as a dashboard having a raw key diagram and a parallel coordinate diagram at the same time; and displaying the dashboard having the sankey diagram and the parallel coordinate diagram by the display device.

컴퓨터 디바이스에 의해 시각화된 생키 다이어그램은 출발지 IP, 목적지 IP, 탐지 이벤트 건수 및 네트워크 트래픽량을 포함할 수 있다.The raw key diagram visualized by the computer device may include a source IP, a destination IP, a number of detection events, and an amount of network traffic.

컴퓨터 디바이스에 의해 시각화된 패러렐 코디네이트 다이어그램은 출발지 IP, 목적지 IP, 목적지 포트, 패킷크기 및 액션(패킷의 허용/탐지 판별)을 포함할 수 있다.The parallel coordinate diagram visualized by the computer device may include a source IP, a destination IP, a destination port, a packet size, and an action (acceptance/detection determination of a packet).

대시보드는 특정 포트, 특정 IP 및 액션(패킷의 허용/탐지 판별)을 검색 가능하게 제공할 수 있다.The dashboard can provide searchable specific ports, specific IPs and actions (determining allow/detection of packets).

본 발명의 실시예는 수많은 이기종 장비에서 발생한 보안 이벤트를 가지고 생키 다이어그램(Sankey Diagram)과 패러렐 코디네이트 다이어그램(Parallel Coordinates Diagram)을 이용하여 이상 트래픽을 신속하게 탐지할 수 있는 생키 및 패러렐 코디네이트 보안 시각화를 이용한 신속한 이상 트래픽 탐지 장치 및 방법을 제공한다.An embodiment of the present invention uses a Sankey Diagram and Parallel Coordinates Diagram to quickly detect abnormal traffic with security events occurring in numerous heterogeneous devices using Sankey and Parallel Coordinates Security Visualization A rapid abnormal traffic detection apparatus and method are provided.

또한, 본 발명의 실시예는 네트워크 공격뿐만 아니라 네트워크 장비의 오류에 의한 트래픽 발생 등도 신속하게 판단할 수 있는 생키 및 패러렐 코디네이트 보안 시각화를 이용한 신속한 이상 트래픽 탐지 장치 및 방법을 제공한다.In addition, an embodiment of the present invention provides an apparatus and method for quickly detecting abnormal traffic using a raw key and parallel coordinate security visualization that can quickly determine not only a network attack but also a traffic occurrence due to an error of a network equipment.

또한, 본 발명의 실시예는 생키 다이어그램이 네트워크 장비에서 발생한 보안 이벤트 수와 트래픽량을 동시에 표출함으로써 신속한 이상트래픽 탐지가 가능한 생키 및 패러렐 코디네이트 보안 시각화를 이용한 신속한 이상 트래픽 탐지 장치 및 방법을 제공한다.In addition, an embodiment of the present invention provides an apparatus and method for rapid abnormal traffic detection using raw key and parallel coordinate security visualization, which enables rapid abnormal traffic detection by simultaneously expressing the number of security events and traffic volume generated by the raw key diagram in network equipment.

또한, 본 발명의 실시예는 패러렐 코디네이트 다이어그램이 보안장비에서 발생하는 이벤트인 액션(action) 부문을 통하여 오탐(False Positive)를 크게 줄일 수 있는 생키 및 패러렐 코디네이트 보안 시각화를 이용한 신속한 이상 트래픽 탐지 장치 및 방법을 제공한다.In addition, an embodiment of the present invention provides a rapid abnormal traffic detection device using a raw key and parallel coordinate security visualization that can greatly reduce false positives through the action section, where the parallel coordinate diagram is an event that occurs in security equipment, and provide a way

도 1은 빅데이터 기반 SIEM(SPLUNK)을 이용한 데이터 프로세싱 및 시각화를 위한 장치 구성을 도시한 도면이다.
도 2는 FDANT-PCSV(Fast Detection of Abnormal Network Traffic using Parallel Coordinates and Sankey Visualization) 시각화 시스템의 구성을 도시한 도면이다.
도 3은 생키 및 패러렐 코디네이트 시각화를 이용한 신속한 네트워크 이상 트래픽 탐지 방법을 도시한 도면이다.
도 4는 생키 및 패러렐 코디네이트 시각화를 이용한 신속한 네트워크 이상 트래픽 탐지 대시보드를 도시한 도면이다.1 is a diagram illustrating a device configuration for data processing and visualization using a big data-based SIEM (SPLUNK).
2 is a diagram illustrating the configuration of an FDANT-PCSV (Fast Detection of Abnormal Network Traffic using Parallel Coordinates and Sankey Visualization) visualization system.
3 is a diagram illustrating a method for rapidly detecting network anomaly traffic using a raw key and parallel coordinate visualization.
4 is a diagram illustrating a rapid network anomaly traffic detection dashboard using raw key and parallel coordinate visualization.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하기로 한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.

본 발명의 실시예들은 당해 기술 분야에서 통상의 지식을 가진 자에게 본 발명을 더욱 완전하게 설명하기 위하여 제공되는 것이며, 하기 실시예는 여러 가지 다른 형태로 변형될 수 있으며, 본 발명의 범위가 하기 실시예에 한정되는 것은 아니다. 오히려, 이들 실시예는 본 개시를 더욱 충실하고 완전하게 하고, 당업자에게 본 발명의 사상을 완전하게 전달하기 위하여 제공되는 것이다.Examples of the present invention are provided to more completely explain the present invention to those of ordinary skill in the art, and the following examples may be modified in various other forms, and the scope of the present invention is as follows It is not limited to an Example. Rather, these examples are provided so that this disclosure will be more thorough and complete, and will fully convey the spirit of the invention to those skilled in the art.

또한, 본 발명에 따른 장치 및/또는 다른 관련 기기 또는 부품은 임의의 적절한 하드웨어, 펌웨어(예를 들어, 주문형 반도체), 소프트웨어, 또는 소프트웨어, 펌웨어 및 하드웨어의 적절한 조합을 이용하여 구현될 수 있다. 예를 들어, 본 발명에 따른 장치 및/또는 다른 관련 기기 또는 부품의 다양한 구성 요소들은 하나의 집적회로 칩 상에, 또는 별개의 집적회로 칩 상에 형성될 수 있다. 또한, 장치의 다양한 구성 요소는 가요성 인쇄 회로 필름 상에 구현 될 수 있고, 테이프 캐리어 패키지, 인쇄 회로 기판, 또는 장치와 동일한 서브스트레이트 상에 형성될 수 있다. 또한, 장치의 다양한 구성 요소는, 하나 이상의 컴퓨팅 장치에서, 하나 이상의 프로세서에서 실행되는 프로세스 또는 쓰레드(thread)일 수 있고, 이는 이하에서 언급되는 다양한 기능들을 수행하기 위해 컴퓨터 프로그램 명령들을 실행하고 다른 구성 요소들과 상호 작용할 수 있다. 컴퓨터 프로그램 명령은, 예를 들어, 랜덤 액세스 메모리와 같은 표준 메모리 디바이스를 이용한 컴퓨팅 장치에서 실행될 수 있는 메모리에 저장된다. 컴퓨터 프로그램 명령은 또한 예를 들어, CD-ROM, 플래시 드라이브 등과 같은 다른 비-일시적 컴퓨터 판독 가능 매체(non-transitory computer readable media)에 저장될 수 있다. 또한, 본 발명에 관련된 당업자는 다양한 컴퓨팅 장치의 기능이 상호간 결합되거나, 하나의 컴퓨팅 장치로 통합되거나, 또는 특정 컴퓨팅 장치의 기능이, 본 발명의 예시적인 실시예를 벗어나지 않고, 하나 이상의 다른 컴퓨팅 장치들에 분산될 수 될 수 있다는 것을 인식해야 한다.Further, an apparatus and/or other related device or component according to the present invention may be implemented using any suitable hardware, firmware (eg, application specific semiconductor), software, or any suitable combination of software, firmware and hardware. For example, the various components of an apparatus and/or other related apparatus or component according to the present invention may be formed on one integrated circuit chip or on separate integrated circuit chips. In addition, the various components of the device may be implemented on a flexible printed circuit film, formed on a tape carrier package, a printed circuit board, or on the same substrate as the device. In addition, various components of the apparatus, in one or more computing devices, may be processes or threads executing on one or more processors, which execute computer program instructions and other components to perform various functions mentioned below. elements can be interacted with. The computer program instructions are stored in a memory that can be executed in a computing device using a standard memory device, such as, for example, a random access memory. The computer program instructions may also be stored in other non-transitory computer readable media such as, for example, a CD-ROM, flash drive, and the like. In addition, those skilled in the art related to the present invention are skilled in the art that functions of various computing devices are combined with each other, integrated into one computing device, or functions of a specific computing device are one or more other computing devices without departing from the exemplary embodiments of the present invention. It should be recognized that they can be distributed among

일례로, 본 발명에 따른 장치는 중앙처리장치, 하드디스크 또는 고체상태디스크와 같은 대용량 저장 장치, 휘발성 메모리 장치, 키보드 또는 마우스와 같은 입력 장치, 모니터 또는 프린터와 같은 출력 장치로 이루어진 통상의 상용 컴퓨터에서 운영될 수 있다. For example, the device according to the present invention is a typical commercial computer comprising a central processing unit, a mass storage device such as a hard disk or a solid state disk, a volatile memory device, an input device such as a keyboard or mouse, and an output device such as a monitor or printer. can be operated in

도 1은 빅데이터 기반 SIEM(SPLUNK)을 이용한 데이터 프로세싱 및 시각화를 위한 장치 구성을 도시한 도면이다. 여기서, SIEM(Security Information and Event Managemen)(SPLUNK)은 빅데이터를 실시간으로 처리 및 이용할 수 있고 적절한 시각화 도구를 제공하여, 대규모 네트워크에서 발생하는 이상 트래픽을 효율적으로 탐지하도록 하는 시스템이다.1 is a diagram illustrating a device configuration for data processing and visualization using big data-based SIEM (SPLUNK). Here, SIEM (Security Information and Event Management) (SPLUNK) is a system that can process and use big data in real time and provide an appropriate visualization tool to efficiently detect abnormal traffic occurring in a large-scale network.

도 1에 도시된 바와 같이, 본 발명의 실시예에 따른 이상 트래픽 탐지 장치는 인터넷 및/또는 인트라넷으로부터 비정상 트래픽(abnormal traffic)을 수집하는 보안 디바이스(security device)와, 보안 디바이스로부터 이벤트 로그를 수신하여 생키 다이어그램 및 패러렐 코디네이트 다이어그램을 동시에 갖는 대시보드로 시각화하는 컴퓨터 디바이스와, 생키 다이어그램 및 패러렐 코디네이트 다이어그램을 갖는 대시보드를 표시하는 표시 디바이스를 포함할 수 있다. 1, the abnormal traffic detection apparatus according to an embodiment of the present invention receives a security device that collects abnormal traffic from the Internet and/or an intranet, and an event log from the security device Thus, it may include a computer device that visualizes a dashboard having a raw key diagram and a parallel coordinate diagram at the same time, and a display device that displays a dashboard having a raw key diagram and a parallel coordinate diagram.

일부 예들에서, 보안 디바이스의 이벤트 로그는 시스로그(syslog) 형태 등으로 컴퓨터 디바이스에 실시간 전송될 수 있다. 또한, 일부 예들에서, 컴퓨터 디바이스는 상술한 바와 같이 빅데이터 기반 SIEM(SPLUNK) 시스템을 포함할 수 있다.In some examples, the event log of the secure device may be transmitted in real time to the computer device in the form of a syslog or the like. Also, in some examples, the computer device may include a big data based SIEM (SPLUNK) system as described above.

도 2는 FDANT-PCSV(Fast Detection of Abnormal Network Traffic using Parallel Coordinates and Sankey Visualization) 시각화 시스템의 구성을 도시한 도면이다.FIG. 2 is a diagram illustrating the configuration of an FDANT-PCSV (Fast Detection of Abnormal Network Traffic using Parallel Coordinates and Sankey Visualization) visualization system.

도 2에 도시된 바와 같이, 본 발명의 실시예에 따른 이상 트래픽 탐지 장치는 FDANT-PCSV 시각화 시스템을 포함하며, 이는 보안 디바이스로부터 입력 데이터로서 방화벽, IPS, IDS, DDoS의 이벤트를 사용한다. 일부 예들에서, SIEM은 실시간 보안 디바이스의 이벤트를 구문분석(parsing)하여 변환된 정보를 디스크에 저장한다. 일부 예들에서, FDANT-PCSV는 구문분석 이벤트로부터 의미 있는 매개변수(출발지 IP, 목적지 IP, 목적지 포트, 패킷 길이, 허용 및 차단 여부, 이벤트 수)를 추출하고 실시간으로 생키 다이어그램 및 패러렐 코디네이트 다이어그램으로 시각화한다.As shown in FIG. 2 , the abnormal traffic detection apparatus according to an embodiment of the present invention includes an FDANT-PCSV visualization system, which uses events of a firewall, IPS, IDS, and DDoS as input data from a security device. In some examples, the SIEM parses the event of the real-time secure device and stores the transformed information to disk. In some examples, FDANT-PCSV extracts meaningful parameters (source IP, destination IP, destination port, packet length, allowed and blocked, number of events) from parsing events and visualized in real-time as raw key diagram and parallel coordinate diagram do.

도 3은 생키 및 패러렐 코디네이트 시각화를 이용한 신속한 네트워크 이상 트래픽 탐지 방법을 도시한 도면이다.3 is a diagram illustrating a method for rapidly detecting network anomaly traffic using a raw key and parallel coordinate visualization.

도 3에서 ①은 SP-시각화 네트워크 이상 트래픽 탐지 대시보드, ②는 네트워크 이상트래픽 탐지용 생키 다이어그램, ③은 네트워크 이상트래픽 탐지용 패러렐 코디네이트 다이어그램, ④는 출발지 IP(Source IP), ⑤는 목적지 IP(Destination IP), ⑥은 탐지 이벤트 건수, ⑦은 네트워크 트래픽량, ⑧은 패러렐 코디네이트 다이어그램의 5-인자(5-tuple)인 출발지 IP, 목적지 IP, 목적지 포트, 패킷크기, 액션(탐지유형)을 나타낸다.In FIG. 3, ① is an SP-visualized network anomaly traffic detection dashboard, ② is a raw key diagram for network anomaly detection, ③ is a parallel coordinate diagram for network anomaly traffic detection, ④ is a source IP (Source IP), and ⑤ is a destination IP ( Destination IP), ⑥ is the number of detection events, ⑦ is the amount of network traffic, and ⑧ is the 5-tuple of the parallel coordinate diagram: source IP, destination IP, destination port, packet size, and action (detection type). .

도 3에 도시된 바와 같이, 생키 다이어그램은 패러렐 코디네이트 다이어그램에서 패턴을 형성하지 않더라도 해당 보안 이벤트수와 트래픽량이 표출되므로 신속한 이상트래픽을 탐지하도록 한다. 생키 다이어그램은 보안 이벤트수가 많으면 두께가 두꺼워진다. 또한 보안 이벤트 수에 따라 위에서부터 순차적으로 생키 플로우(Sankey Flows)를 그려준다. 생키 플로우 안에는 해당 트래픽에 대한 발생 보안 이벤트수와 보안 트래픽량을 실시간 표출되도록 한다.As shown in Fig. 3, the raw key diagram detects abnormal traffic quickly because the corresponding number of security events and traffic volume are expressed even if a pattern is not formed in the parallel coordinate diagram. The raw key diagram becomes thicker when the number of security events is large. Also, according to the number of security events, Sankey Flows are drawn sequentially from the top. In the raw key flow, the number of security events and the amount of security traffic for the corresponding traffic are displayed in real time.

또한, 도 3에 도시된 바와 같이, 패러렐 코디네이트 다이어그램은 네트워크 트래픽이 특정 패턴을 형성하면서 해당 이벤트가 허용되거나 차단되는 것을 액션(Action)에서 표시되면 이상 트래픽을 신속하게 탐지할 수 있도록 한다. 본 발명의 실시예에서 패러렐 코디네이트 다이어그램은 아래와 같은 5가지 인자(5-tuple)를 기본으로 사용한다. 5가지 인자(5-tuple)의 배열 순서는 다음과 같다. In addition, as shown in FIG. 3 , the parallel coordinate diagram makes it possible to quickly detect abnormal traffic when network traffic forms a specific pattern and the corresponding event is allowed or blocked in Action. In the embodiment of the present invention, the parallel coordinate diagram uses the following five factors (5-tuple) as a basis. The arrangement order of the five factors (5-tuple) is as follows.

- Src IP(출발지 주소)- Src IP (source address)

- Dst IP(목적지 IP)- Dst IP (Destination IP)

- Dst Port(목적지 포트)- Dst Port

- Pkt Len(패킷 길이)- Pkt Len (packet length)

- Actions(패킷의 허용/탐지 등 판별)- Actions (determining acceptance/detection of packets, etc.)

이와 같이 하여, 본 발명의 실시예는 생키 다이어그램 및 개선된 패러렐 코디네이트 다이어그램을 시각화하여 표시한다. 또한, 두가지 다이어그램은 하나의 대시보드(Dashboard)에 표출한다.In this way, the embodiment of the present invention visualizes and displays the Sankey diagram and the improved parallel coordinate diagram. Also, the two diagrams are displayed on one dashboard.

도 4는 생키 및 패러렐 코디네이트 시각화를 이용한 신속한 네트워크 이상 트래픽 탐지 대시보드를 도시한 도면이다.4 is a diagram illustrating a rapid network anomaly traffic detection dashboard using raw key and parallel coordinate visualization.

도 4에서 ①은 보안 이벤트 시간범위 선택, ②는 화면 표출 타입 선택, ③은 인덱스 선택: 보안장비 선택, ④는 화면표시기준: 화면에 표시될 출발지-목적지IP 쌍 개수 선택, ⑤는 소스 IP 선택: 외부, 내부, 전체 IP 대역 선택, ⑥은 타켓 IP 선택: 외부, 내부, 전체 IP대역 선택, ⑦은 검색 액션: 보안장비에서 허용, 차단 현황, ⑧은 검색 소스 IP, ⑨는 검색 목적지 IP, ⑩은 포트 범위-시작, ⑪은 포트 범위-끝, ⑫는 생키 다이어그램, ⑬은 패러렐 코디네이트 다이어그램을 나타낸다.In Fig. 4, ① is a selection of a security event time range, ② is a screen display type selection, ③ is an index selection: a security equipment selection, ④ is a screen display criterion: selects the number of source-destination IP pairs to be displayed on the screen, ⑤ is a source IP selection : External, internal, all IP band selection, ⑥ Target IP selection: External, internal, all IP band selection, ⑦ Search action: Allowed by security equipment, blocking status, ⑧ Search source IP, ⑨ Search destination IP, ⑩ indicates port range-start, ⑪ indicates port range-end, ⑫ indicates sankey diagram, and ⑬ indicates parallel coordinate diagram.

도 4에 도시된 바와 같이, 대시보드는 검색 소스 IP, 검색 목적지 IP, 검색 액션, 타겟 IP와 소스 IP의 선택범위(내부, 외부, 전체), 화면표시 기준, 검색 시간 범위 선택, 포트 범위(시작, 끝)에 대한 다양한 입력정보를 기반으로 실시간 이상트래픽 탐지가 가능하도록 구성될 수 있다. 일부 예들에서, 실시간 탐지된 상황을 보다 자세히 탐지하고자 할 경우, 특정 IP, 특정 포트에 대한 정보를 입력하여 이상트래픽 정보를 신속히 탐지하고 분석할 수 있도록 한다.As shown in Fig. 4, the dashboard displays the search source IP, search destination IP, search action, target IP and source IP selection range (internal, external, full), display criteria, search time range selection, port range ( It can be configured to enable real-time anomaly traffic detection based on various input information for start and end). In some examples, when a real-time detection situation is to be detected in more detail, information on a specific IP and a specific port is input so that abnormal traffic information can be quickly detected and analyzed.

이와 같이 하여, 본 발명의 실시예는 많은 수의 정보보호시스템을 운영하는 환경에서 소규모 보안관제 인력 운영 시 이기종 보안장비의 수많은 보안이벤트로부터 이상트래픽을 신속하게 탐지할 수 있도록 한다. 일례로, 종래에는 네트워크 보안이벤트에서 제공하는 정보를 가지고 패러렐 코디네이트 다이어그램상 특정 패턴 매칭시에만 네트워크 공격을 판별할 수 있었으나 발명에 제안된 패러렐 코디네이트 다이어그램(5-인자 사용)와 생키 다이어그램을 이용하여 패러렐 코디네이트 다이어그램에서 특정패턴을 형성하지 않는 이상 트래픽에 대한 신속한 탐지가 가능하다. 이에 따라 적은 보안관제 인원으로도 수많은 보안이벤트 중 이상트래픽을 신속하게 탐지할 수 있다. 더욱이, 보안관제 운영시 인력을 늘리지 않고도 이상트래픽을 신속하게 탐지할 수 있고, 보안관제 운용비용도 줄일 수 있다.In this way, the embodiment of the present invention makes it possible to quickly detect abnormal traffic from numerous security events of heterogeneous security equipment when operating a small-scale security control manpower in an environment in which a large number of information protection systems are operated. For example, in the prior art, a network attack could be determined only when a specific pattern was matched on a parallel coordinate diagram with information provided by a network security event. As long as a specific pattern is not formed in the coordinate diagram, it is possible to quickly detect traffic. Accordingly, even with a small number of security control personnel, it is possible to quickly detect abnormal traffic among numerous security events. Moreover, it is possible to quickly detect abnormal traffic without increasing manpower during security control operation, and it is possible to reduce the security control operation cost.

이상에서 설명한 것은 본 발명에 따른 생키 및 패러렐 코디네이트 보안 시각화를 이용한 신속한 이상 트래픽 탐지 장치 및 방법을 실시하기 위한 하나의 실시예에 불과한 것으로서, 본 발명은 상기한 실시예에 한정되지 않고, 이하의 특허청구범위에서 청구하는 바와 같이 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변경 실시가 가능한 범위까지 본 발명의 기술적 정신이 있다고 할 것이다.What has been described above is only one embodiment for implementing the apparatus and method for rapid abnormal traffic detection using raw key and parallel coordinate security visualization according to the present invention, and the present invention is not limited to the above embodiment, and the following patent As claimed in the claims, without departing from the gist of the present invention, it will be said that the technical spirit of the present invention exists to the extent that various modifications can be made by anyone with ordinary knowledge in the field to which the invention pertains.

Claims (8)

인터넷 및 인트라넷으로부터 비정상 트래픽을 수집하는 보안 디바이스;
보안 디바이스로부터 이벤트 로그를 수신하여 생키 다이어그램 및 패러렐 코디네이트 다이어그램을 동시에 갖는 대시보드로 시각화하는 컴퓨터 디바이스; 및
생키 다이어그램 및 패러렐 코디네이트 다이어그램을 갖는 대시보드를 표시하는 표시 디바이스를 포함하되,
컴퓨터 디바이스에 의해 시각화된 생키 다이어그램은 출발지 IP, 목적지 IP, 탐지 이벤트 건수 및 네트워크 트래픽량을 포함하고,
컴퓨터 디바이스에 의해 시각화된 패러렐 코디네이트 다이어그램은 출발지 IP, 목적지 IP, 목적지 포트, 패킷크기 및 액션(패킷의 허용/탐지 판별)을 포함하며,
대시보드는 보안 이벤트 시간범위 선택 영역, 화면 표출 타입 선택 영역, 인덱스 선택 영역(보안장비 선택 영역), 화면표시기준 영역(화면에 표시될 출발지-목적지IP 쌍 개수 선택 영역), 소스 IP 선택 영역(외부, 내부, 전체 IP 대역 선택 영역), 타켓 IP 선택 영역(외부, 내부, 전체 IP대역 선택 영역), 검색 액션 영역(보안장비에서 허용, 차단 현황 영역), 검색 소스 IP 영역, 검색 목적지 IP 영역, 포트 범위-시작 영역, 포트 범위-끝 영역을 제공하여, 특정 포트, 특정 IP 및 액션(패킷의 허용/탐지 판별)을 검색 가능하게 제공하는, 이상 트래픽 탐지 장치.a security device that collects anomalous traffic from the Internet and intranets;
a computer device that receives the event log from the security device and visualizes it as a dashboard having a raw key diagram and a parallel coordinate diagram at the same time; and
A display device for displaying a dashboard having a raw key diagram and a parallel coordinate diagram;
The raw key diagram visualized by the computer device includes source IP, destination IP, number of detection events and network traffic volume,
Parallel coordinate diagram visualized by computer device includes source IP, destination IP, destination port, packet size and action (determining allow/detection of packets),
The dashboard includes the security event time range selection area, screen display type selection area, index selection area (security equipment selection area), screen display standard area (selection area for the number of source-destination IP pairs to be displayed on the screen), source IP selection area ( External, internal, all IP band selection area), target IP selection area (external, internal, all IP band selection area), search action area (allowed by security equipment, blocked status area), search source IP area, search destination IP area , Anomaly traffic detection device that provides a specific port, a specific IP, and an action (permission/detection determination of a packet) in a searchable manner by providing a port range-start area and a port range-end area. 삭제delete 삭제delete 삭제delete 보안 디바이스에 의해 인터넷 및 인트라넷으로부터 비정상 트래픽을 수집하는 단계;
컴퓨터 디바이스에 의해 보안 디바이스로부터 이벤트 로그를 수신하여 생키 다이어그램 및 패러렐 코디네이트 다이어그램을 동시에 갖는 대시보드로 시각화하는 단계; 및
표시 디바이스에 의해 생키 다이어그램 및 패러렐 코디네이트 다이어그램을 갖는 대시보드를 표시하는 단계를 포함하되,
컴퓨터 디바이스에 의해 시각화된 생키 다이어그램은 출발지 IP, 목적지 IP, 탐지 이벤트 건수 및 네트워크 트래픽량을 포함하고,
컴퓨터 디바이스에 의해 시각화된 패러렐 코디네이트 다이어그램은 출발지 IP, 목적지 IP, 목적지 포트, 패킷크기 및 액션(패킷의 허용/탐지 판별)을 포함하며,
대시보드는 보안 이벤트 시간범위 선택 영역, 화면 표출 타입 선택 영역, 인덱스 선택 영역(보안장비 선택 영역), 화면표시기준 영역(화면에 표시될 출발지-목적지IP 쌍 개수 선택 영역), 소스 IP 선택 영역(외부, 내부, 전체 IP 대역 선택 영역), 타켓 IP 선택 영역(외부, 내부, 전체 IP대역 선택 영역), 검색 액션 영역(보안장비에서 허용, 차단 현황 영역), 검색 소스 IP 영역, 검색 목적지 IP 영역, 포트 범위-시작 영역, 포트 범위-끝 영역을 제공하여, 특정 포트, 특정 IP 및 액션(패킷의 허용/탐지 판별)을 검색 가능하게 제공하는, 이상 트래픽 탐지 방법.collecting anomalous traffic from the Internet and intranets by the secure device;
receiving the event log from the secure device by the computer device and visualizing it as a dashboard having a raw key diagram and a parallel coordinate diagram at the same time; and
Displaying a dashboard having a raw key diagram and a parallel coordinate diagram by a display device,
The raw key diagram visualized by the computer device includes source IP, destination IP, number of detection events and network traffic volume,
Parallel coordinate diagram visualized by computer device includes source IP, destination IP, destination port, packet size and action (determining allow/detection of packets),
The dashboard includes the security event time range selection area, screen display type selection area, index selection area (security equipment selection area), screen display standard area (selection area for the number of source-destination IP pairs to be displayed on the screen), source IP selection area ( External, internal, all IP band selection area), target IP selection area (external, internal, all IP band selection area), search action area (allowed by security equipment, blocked status area), search source IP area, search destination IP area , anomaly traffic detection method that provides a specific port, a specific IP, and an action (permission/detection determination of a packet) to be searchable by providing a port range-start zone and a port range-end zone. 삭제delete 삭제delete 삭제delete
KR1020200123135A 2020-09-23 2020-09-23 Fast Detection Device and method of Abnormal Network Traffic on Sankey and Parallel Coordinates Security Visualization KR102394702B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200123135A KR102394702B1 (en) 2020-09-23 2020-09-23 Fast Detection Device and method of Abnormal Network Traffic on Sankey and Parallel Coordinates Security Visualization

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200123135A KR102394702B1 (en) 2020-09-23 2020-09-23 Fast Detection Device and method of Abnormal Network Traffic on Sankey and Parallel Coordinates Security Visualization

Publications (2)

Publication Number Publication Date
KR20220040206A KR20220040206A (en) 2022-03-30
KR102394702B1 true KR102394702B1 (en) 2022-05-06

Family

ID=80948288

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200123135A KR102394702B1 (en) 2020-09-23 2020-09-23 Fast Detection Device and method of Abnormal Network Traffic on Sankey and Parallel Coordinates Security Visualization

Country Status (1)

Country Link
KR (1) KR102394702B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117675622A (en) * 2024-01-15 2024-03-08 广东云百智联科技有限公司 Visual display system of thing networking equipment flow

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170171235A1 (en) * 2015-12-09 2017-06-15 Accenture Global Solutions Limited Connected security system
US20200019549A1 (en) * 2016-07-31 2020-01-16 Splunk Inc. Interactive parallel coordinates visualizations

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170171235A1 (en) * 2015-12-09 2017-06-15 Accenture Global Solutions Limited Connected security system
US20200019549A1 (en) * 2016-07-31 2020-01-16 Splunk Inc. Interactive parallel coordinates visualizations

Also Published As

Publication number Publication date
KR20220040206A (en) 2022-03-30

Similar Documents

Publication Publication Date Title
Xu et al. Attacking the brain: Races in the {SDN} control plane
US10728264B2 (en) Characterizing behavior anomaly analysis performance based on threat intelligence
EP2953298B1 (en) Log analysis device, information processing method and program
KR101239401B1 (en) Log analysys system of the security system and method thereof
US9584533B2 (en) Performance enhancements for finding top traffic patterns
Wu et al. Alert correlation for cyber-manufacturing intrusion detection
US20150172302A1 (en) Interface for analysis of malicious activity on a network
KR102394702B1 (en) Fast Detection Device and method of Abnormal Network Traffic on Sankey and Parallel Coordinates Security Visualization
CN114531283B (en) Method, system, storage medium and terminal for measuring robustness of intrusion detection model
Chang et al. An efficient network attack visualization using security quad and cube
JP2017147558A (en) Aggression detector, aggression detection system and aggression detection method
Bada et al. Comparative analysis of the performance of network intrusion detection systems: Snort suricata and bro intrusion detection systems in perspective
Jaber et al. Methods for preventing distributed denial of service attacks in cloud computing
Rastogi et al. Network anomalies detection using statistical technique: a chi-square approach
JP2006350543A (en) Log analyzing apparatus
CN115865494A (en) Safety test system and method
Thang et al. Detecting Malicious Middleboxes In Service Function Chaining.
Li et al. The research on network security visualization key technology
Dhangar et al. Analysis of proposed intrusion detection system
Bolzoni et al. Situational Awareness Network for the electric power system: The architecture and testing metrics
KR102678970B1 (en) Cyber Threat Detection Device and Method thereof based on Security Risk Score and Parallel Coordinates Visualization
Haggerty et al. Visualization of system log files for post-incident analysis and response
Freet et al. A statistical comparison of security visualization efficiency compared to manual analysis of IDS log data
CN112887303A (en) Serial threat access control system and method
KR20120038882A (en) Method and system for providing network monitoring, security event collection apparatus and service abnormality detection apparatus for network monitoring

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant