KR102678970B1 - Cyber Threat Detection Device and Method thereof based on Security Risk Score and Parallel Coordinates Visualization - Google Patents

Cyber Threat Detection Device and Method thereof based on Security Risk Score and Parallel Coordinates Visualization Download PDF

Info

Publication number
KR102678970B1
KR102678970B1 KR1020220093168A KR20220093168A KR102678970B1 KR 102678970 B1 KR102678970 B1 KR 102678970B1 KR 1020220093168 A KR1020220093168 A KR 1020220093168A KR 20220093168 A KR20220093168 A KR 20220093168A KR 102678970 B1 KR102678970 B1 KR 102678970B1
Authority
KR
South Korea
Prior art keywords
security
devices
dashboard
security risk
risk
Prior art date
Application number
KR1020220093168A
Other languages
Korean (ko)
Other versions
KR20240015381A (en
Inventor
지병걸
Original Assignee
한국서부발전 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국서부발전 주식회사 filed Critical 한국서부발전 주식회사
Priority to KR1020220093168A priority Critical patent/KR102678970B1/en
Publication of KR20240015381A publication Critical patent/KR20240015381A/en
Application granted granted Critical
Publication of KR102678970B1 publication Critical patent/KR102678970B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 개시는 보안 위험 지수 및 평행 좌표 시각화 기반 사이버 위협 탐지 장치 및 그 방법을 제공한다. 일례로, 본 개시는 인터넷 및 인트라넷으로부터 비정상 트래픽을 수집하는 다수의 이종 보안 디바이스; 다수의 이종 보안 디바이스로부터 이벤트 로그를 수신하여 보안 위험도 및 평행 좌표 다이어그램을 동시에 갖는 대시보드로 시각화하는 컴퓨터 디바이스; 및 보안 위험도 및 평행 좌표 다이어그램을 갖는 대시보드를 표시하는 표시 디바이스를 포함하는, 사이버 위협 탐지 장치를 제공한다.This disclosure provides a cyber threat detection device and method based on security risk index and parallel coordinate visualization. As an example, the present disclosure includes a plurality of heterogeneous security devices that collect abnormal traffic from the Internet and intranet; A computer device that receives event logs from multiple heterogeneous security devices and visualizes them in a dashboard with simultaneous security risk and parallel coordinate diagrams; and a display device that displays a dashboard with security risk and parallel coordinate diagrams.

Description

보안 위험 지수 및 평행 좌표 시각화 기반 사이버 위협 탐지 장치 및 그 방법{Cyber Threat Detection Device and Method thereof based on Security Risk Score and Parallel Coordinates Visualization}Cyber Threat Detection Device and Method its based on Security Risk Score and Parallel Coordinates Visualization}

본 개시(disclosure)는 보안 위험 지수 및 평행 좌표 시각화 기반 사이버 위협 탐지 장치 및 그 방법에 관한 것이다.This disclosure relates to a cyber threat detection device and method based on security risk index and parallel coordinate visualization.

보안 관제 업무는 각종 정보 보호 시스템에서 발생한 보안 이벤트로부터 사이버 위협 이벤트를 탐지하고 분석하여 대응하는 것이다. 보안 관제 활동에서 위협 이벤트를 선별하고 신속하게 대응하는 것은 매우 중요하다.Security control work involves detecting, analyzing, and responding to cyber threat events from security events occurring in various information protection systems. In security control activities, it is very important to select threat events and respond quickly.

그런데 과거와는 달리 현재의 기업 네트워크 환경은 점점 대규모화되고 복잡해지고 있다. 한 대의 보안 디바이스에서 하루 발생하는 트래픽이 수십~수백 기가바이트에 이르기도 한다. 방화벽, IDS(Intrusion Detection System), IPS(Intrusion Prevention System) 등의 텍스트 로그를 일일이 분석하여 이상(비정상) 정보를 탐지하기는 쉽지 않다.However, unlike the past, the current corporate network environment is becoming increasingly large-scale and complex. The traffic generated from one security device per day can reach tens to hundreds of gigabytes. It is not easy to detect abnormal information by individually analyzing text logs from firewalls, IDS (Intrusion Detection System), IPS (Intrusion Prevention System), etc.

분석가의 신속하고 효율적인 네트워크 분석을 위해 분석 시스템을 자동화해야 한다. 또한, 분석가는 주요 네트워크 시나리오를 완벽하게 인지하고 있어야 한다. 하지만 이를 위해서는 분석을 돕는 도구가 필수적이다. 이 도구는 보안 디바이스의 방대한 이벤트로부터 이상 트래픽을 신속하게 탐지하도록 도와준다. 정보 시각화는 고차원 데이터에 대한 효율적인 분석 방법을 제시한다. 인간의 두뇌는 텍스트보다 이미지를 처리하는 능력이 더 우수하기 때문이다. 특히, 보안 시각화(Security Visualization)는 많은 양의 보안 데이터 중 위협 이벤트를 직관적으로 확인하는데 큰 도움이 된다.Analysis systems must be automated to enable analysts to analyze networks quickly and efficiently. Additionally, analysts must be fully aware of key network scenarios. However, for this, tools to help with analysis are essential. This tool helps you quickly detect anomalous traffic from a vast array of events from security devices. Information visualization presents an efficient analysis method for high-dimensional data. This is because the human brain has a better ability to process images than text. In particular, security visualization is very helpful in intuitively identifying threat events among large amounts of security data.

이러한 발명의 배경이 되는 기술에 개시된 상술한 정보는 본 발명의 배경에 대한 이해도를 향상시키기 위한 것뿐이며, 따라서 종래 기술을 구성하지 않는 정보를 포함할 수도 있다.The above-described information disclosed in the background technology of this invention is only for improving understanding of the background of the present invention, and therefore may include information that does not constitute prior art.

본 개시에 따른 해결하고자 하는 과제는 수많은 이기종 디바이스에서 발생하는 보안 이벤트를 가지고 보안 위험 지수 기반으로 이벤트를 선별하고 평행 좌표 시각화를 이용하여 사이버 위협 트래픽을 신속하게 탐지할 수 있는 보안 위험 지수 및 평행 좌표 시각화 기반 사이버 위협 탐지 장치 및 그 방법을 제공하는데 있다.The problem to be solved by this disclosure is to select events based on security risk index with security events occurring in numerous heterogeneous devices and to quickly detect cyber threat traffic using parallel coordinate visualization. The goal is to provide a visualization-based cyber threat detection device and method.

본 개시에 따른 예시적 보안 위험 지수 및 평행 좌표 시각화 기반 사이버 위협 탐지 장치는 인터넷 및 인트라넷으로부터 비정상 트래픽을 수집하는 다수의 이종 보안 디바이스; 다수의 이종 보안 디바이스로부터 이벤트 로그를 수신하여 보안 위험도 및 평행 좌표 다이어그램을 동시에 갖는 대시보드로 시각화하는 컴퓨터 디바이스; 및 보안 위험도 및 평행 좌표 다이어그램을 갖는 대시보드를 표시하는 표시 디바이스를 포함할 수 있다.An exemplary security risk index and parallel coordinate visualization-based cyber threat detection device according to the present disclosure includes a plurality of heterogeneous security devices that collect abnormal traffic from the Internet and intranet; A computer device that receives event logs from multiple heterogeneous security devices and visualizes them in a dashboard with simultaneous security risk and parallel coordinate diagrams; and a display device that displays a dashboard with a security risk level and a parallel coordinate diagram.

일부 예들에서, 다수의 이종 보안 디바이스는 방화벽 디바이스, DDoS(Distributed Denial of Service) 차단 디바이스, WAF(Web Applicaton Fire Wall) 디바이스 및 IPS(Intrusion Prevention System) 디바이스를 포함할 수 있다.In some examples, the multiple heterogeneous security devices may include a firewall device, a Distributed Denial of Service (DDoS) blocking device, a Web Application Fire Wall (WAF) device, and an Intrusion Prevention System (IPS) device.

일부 예들에서, 컴퓨터 디바이스는 다수의 이종 보안 디바이스로부터 수신된 이벤트 로그를 다수의 이종 보안 디바이스별로 미리 결정된 보안 위험 지수에 대입하여 보안 위험도를 점수화하여 선별할 수 있다.In some examples, the computer device may select event logs received from a plurality of heterogeneous security devices by scoring a security risk by substituting a predetermined security risk index for each of the plurality of heterogeneous security devices.

일부 예들에서, 컴퓨터 디바이스는 선별된 보안 위험도의 점수가 10점 내지 29점이면 위험도 하로 정의하여 초록색으로 대시보드에 시각화하고, 선별된 보안 위험도의 점수가 30점 내지 49점이면 위험도 중으로 정의하여 노랑색으로 대시보드에 시각화하고, 선별된 보안 위험도의 점수가 50점보다 높으면 위험도 상으로 정의하여 빨강색으로 대시보드에 시각화할 수 있다.In some examples, a computer device is defined as being at low risk if it has a screened security risk score of 10 to 29, visualized on the dashboard as green, and if it has a screened security risk score of 30 to 49, it is defined as being at medium risk and displayed in yellow. It can be visualized on the dashboard, and if the selected security risk score is higher than 50 points, it can be defined as high risk and visualized on the dashboard in red.

일부 예들에서, 컴퓨터 디바이스는 위협 IP 주소, 보안 디바이스별 탐지 이벤트 이름에 대응하는 탐지 내역, 이벤트별 보안 위험 점수 및 탐지를 수행한 보안 디바이스 이름을 대시보드에 시각화할 수 있다.In some examples, the computer device may visualize in a dashboard the threat IP address, detection history corresponding to the detection event name per security device, security risk score per event, and name of the security device that performed the detection.

일부 예들에서, 컴퓨터 디바이스는 소스 IP, 목적지 포트, 목적지 IP, 허가 또는 거절에 대응하는 액션 및 탐지된 보안 디바이스 이름을 이용하여 대시보드의 평행 좌표로 시각화할 수 있다.In some examples, a computer device can be visualized in parallel coordinates on a dashboard with a source IP, destination port, destination IP, action corresponding to grant or deny, and detected security device name.

본 개시에 따른 예시적 보안 위험 지수 및 평행 좌표 시각화 기반 사이버 위협 탐지 방법은 다수의 이종 보안 디바이스에 의해 인터넷 및 인트라넷으로부터 비정상 트래픽을 수집하는 단계; 컴퓨터 디바이스에 의해 다수의 이종 보안 디바이스로부터 이벤트 로그를 수신하여 보안 위험도 및 평행 좌표 다이어그램을 동시에 갖는 대시보드로 시각화하는 단계; 및 표시 디바이스에 의해 보안 위험도 및 평행 좌표 다이어그램을 갖는 대시보드를 표시하는 단계를 포함할 수 있다.An exemplary security risk index and parallel coordinate visualization-based cyber threat detection method according to the present disclosure includes collecting abnormal traffic from the Internet and intranet by a plurality of heterogeneous security devices; Receiving event logs from a plurality of heterogeneous security devices by a computer device and visualizing them into a dashboard having simultaneously a security risk level and a parallel coordinate diagram; and displaying a dashboard with the security risk level and the parallel coordinate diagram by a display device.

본 개시는 수많은 이기종 디바이스에서 발생하는 보안 이벤트를 가지고 보안 위험 지수 기반으로 이벤트를 선별하고 평행 좌표 시각화를 이용하여 사이버 위협 트래픽을 신속하게 탐지할 수 있는 보안 위험 지수 및 평행 좌표 시각화 기반 사이버 위협 탐지 장치 및 그 방법을 제공한다.This disclosure is a cyber threat detection device based on security risk index and parallel coordinate visualization that can select events based on security risk index with security events occurring from numerous heterogeneous devices and quickly detect cyber threat traffic using parallel coordinate visualization. and the method thereof are provided.

특히, 본 개시는 나날이 증가하는 사이버 위협에서 정보자산을 보호하기 위한 보안관제 활동에 있어 인력에 의존했던 위협 선별 및 초기 대응을 직관적 시각화를 통해 보완할 수 있도록 한다.In particular, this disclosure makes it possible to supplement threat screening and initial response, which depended on human resources, through intuitive visualization in security control activities to protect information assets from ever-increasing cyber threats.

즉, 일반적으로 보안이벤트를 가지고 생키 & 평행 좌표(Sankey & Parallel Coordinates) 시각화를 이용하여 이상 행위를 판별 하였으나 위험도에 따른 선별 및 최근 이기종 환경에는 적합하지 않았으며 이에 본 개시에서는 위험도에 따른 선별 및 어디에서 탐지되었는지 확인할 수 있는 인자를 추가함으로써 보안 관제에 적합한 장치 및 방법을 제공한다.In other words, in general, abnormal behavior was determined using security events and Sankey & Parallel Coordinates visualization, but screening according to risk and recent heterogeneous environments were not suitable. Therefore, in this disclosure, screening according to risk and where to identify abnormal behavior were not suitable. Provides a device and method suitable for security control by adding a factor that can confirm whether it has been detected.

이를 통해 보안 관제 수행 시 위험도에 따라 우선 대응 이벤트를 선별할 수 있고 직관적인 시각화를 통해 빠른 대응 및 판단이 가능하다.Through this, when performing security control, response events can be selected according to risk level, and quick response and judgment are possible through intuitive visualization.

도 1은 생키 & 평행 좌표(Sankey & Parallel Coordinates) 시각화를 이용한 신속한 네트워크 이상 트래픽 탐지 개념을 도시한 도면이다.
도 2는 보안 위험 지수 기반 대시보드 및 프로세스의 개념을 도시한 도면으로서, 도 2a는 보안 위험 지수 기반 대시보드를 도시한 도면이고, 도 2b는 보안 위험 지수 산정 프로세스를 도시한 도면이다.
도 3은 보안 위험 지수 및 평행 좌표 시각화 기반 사이버 위협 탐지 대시보드를 도시한 도면이다.Figure 1 is a diagram illustrating the concept of rapid network abnormal traffic detection using Sankey & Parallel Coordinates visualization.
FIG. 2 is a diagram illustrating the concept of a security risk index-based dashboard and process. FIG. 2A is a diagram illustrating a security risk index-based dashboard, and FIG. 2B is a diagram illustrating a security risk index calculation process.
Figure 3 is a diagram showing a cyber threat detection dashboard based on security risk index and parallel coordinate visualization.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하기로 한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the attached drawings.

본 발명의 실시예들은 당해 기술 분야에서 통상의 지식을 가진 자에게 본 발명을 더욱 완전하게 설명하기 위하여 제공되는 것이며, 하기 실시예는 여러 가지 다른 형태로 변형될 수 있으며, 본 발명의 범위가 하기 실시예에 한정되는 것은 아니다. 오히려, 이들 실시예는 본 개시를 더욱 충실하고 완전하게 하고, 당업자에게 본 발명의 사상을 완전하게 전달하기 위하여 제공되는 것이다.The embodiments of the present invention are provided to more completely explain the present invention to those skilled in the art, and the following examples may be modified into various other forms, and the scope of the present invention is as follows. It is not limited to the examples. Rather, these embodiments are provided to make the disclosure more faithful and complete, and to fully convey the spirit of the invention to those skilled in the art.

또한, 본 발명에 따른 디바이스 및/또는 다른 관련 기기 또는 부품은 임의의 적절한 하드웨어, 펌웨어(예를 들어, 주문형 반도체), 소프트웨어, 또는 소프트웨어, 펌웨어 및 하드웨어의 적절한 조합을 이용하여 구현될 수 있다. 예를 들어, 본 발명에 따른 디바이스 및/또는 다른 관련 기기 또는 부품의 다양한 구성 요소들은 하나의 집적회로 칩 상에, 또는 별개의 집적회로 칩 상에 형성될 수 있다. 또한, 장치의 다양한 구성 요소는 가요성 인쇄 회로 필름 상에 구현 될 수 있고, 테이프 캐리어 패키지, 인쇄 회로 기판, 또는 장치와 동일한 서브스트레이트 상에 형성될 수 있다. 또한, 장치의 다양한 구성 요소는, 하나 이상의 컴퓨팅 장치에서, 하나 이상의 프로세서에서 실행되는 프로세스 또는 쓰레드(thread)일 수 있고, 이는 이하에서 언급되는 다양한 기능들을 수행하기 위해 컴퓨터 프로그램 명령들을 실행하고 다른 구성 요소들과 상호 작용할 수 있다. 컴퓨터 프로그램 명령은, 예를 들어, 랜덤 액세스 메모리와 같은 표준 메모리 디바이스를 이용한 컴퓨팅 장치에서 실행될 수 있는 메모리에 저장된다. 컴퓨터 프로그램 명령은 또한 예를 들어, CD-ROM, 플래시 드라이브 등과 같은 다른 비-일시적 컴퓨터 판독 가능 매체(non-transitory computer readable media)에 저장될 수 있다. 또한, 본 발명에 관련된 당업자는 다양한 컴퓨팅 장치의 기능이 상호간 결합되거나, 하나의 컴퓨팅 장치로 통합되거나, 또는 특정 컴퓨팅 장치의 기능이, 본 발명의 예시적인 실시예를 벗어나지 않고, 하나 이상의 다른 컴퓨팅 장치들에 분산될 수 될 수 있다는 것을 인식해야 한다.Additionally, the device and/or other related devices or components according to the present invention may be implemented using any suitable hardware, firmware (e.g., custom semiconductor), software, or an appropriate combination of software, firmware, and hardware. For example, the various components of the device and/or other related devices or components according to the present invention may be formed on one integrated circuit chip or on separate integrated circuit chips. Additionally, the various components of the device may be implemented on a flexible printed circuit film, formed on a tape carrier package, a printed circuit board, or the same substrate as the device. Additionally, the various components of the device may, in one or more computing devices, be processes or threads running on one or more processors, which execute computer program instructions and other components to perform various functions mentioned below. You can interact with elements. Computer program instructions are stored in memory that can be executed on a computing device using standard memory devices, such as random access memory. Computer program instructions may also be stored on other non-transitory computer readable media, such as, for example, a CD-ROM, flash drive, etc. Additionally, those skilled in the art will understand that the functions of various computing devices can be combined with each other, integrated into a single computing device, or the functions of a particular computing device can be combined with one or more other computing devices without departing from the exemplary embodiments of the present invention. It must be recognized that it can be dispersed throughout the field.

일례로, 본 발명에 따른 디바이스는 중앙처리장치, 하드디스크 또는 고체상태디스크와 같은 대용량 저장 장치, 휘발성 메모리 장치, 키보드 또는 마우스와 같은 입력 장치, 모니터 또는 프린터와 같은 출력 장치로 이루어진 통상의 상용 컴퓨터에서 운영될 수 있다. For example, the device according to the present invention is a typical commercial computer consisting of a central processing unit, a mass storage device such as a hard disk or solid state disk, a volatile memory device, an input device such as a keyboard or mouse, and an output device such as a monitor or printer. can be operated in

도 1은 생키 & 평행 좌표(Sankey & Parallel Coordinates) 시각화를 이용한 신속한 네트워크 이상 트래픽 탐지 개념을 도시한 도면이다.Figure 1 is a diagram illustrating the concept of rapid network abnormal traffic detection using Sankey & Parallel Coordinates visualization.

도 1에 도시된 바와 같이, 한기훈은 “FDANT-PCSV: Parallel Coordinates 및 Sankey 시각화를 이용한 신속한 이상 트래픽 탐지 2020)”논문에서 보안 디바이스의 이벤트를 통해 신속하게 이상 트래픽을 탐지하는 기술을 발표하였다.As shown in Figure 1, Ki-Hoon Han presented a technology to quickly detect abnormal traffic through events from security devices in the paper “FDANT-PCSV: Rapid Abnormal Traffic Detection Using Parallel Coordinates and Sankey Visualization 2020)”.

도 1에 도시된 바와 같이, 일반적으로 보안 이벤트 중 탐지 이벤트 건수와 트래픽 량으로 생키 다이아그램(Sankey Diagram)을 이용하였으며 5가지 인자(5-tuple)을 이용하여 평행 좌표 다이아그램(Parallel Coordinates Diagram)을 사용하여 라우팅 오류, 느린 포트 스캔 등 다양한 이상 행위 및 공격을 탐지하였다.As shown in Figure 1, a Sankey diagram is generally used to calculate the number of detection events and traffic volume among security events, and a parallel coordinates diagram is created using 5 factors (5-tuple). was used to detect various abnormal behaviors and attacks such as routing errors and slow port scans.

하지만 인력에 의해 수행되는 보안 관제 특성상 모든 이벤트 및 시각화를 확인할 수 없으며 위험의 정도에 따라 이벤트 선별에 의한 대응이 필요하다.However, due to the nature of security control performed by personnel, all events and visualizations cannot be confirmed, and response by event selection is necessary depending on the degree of risk.

또한 최근 정보 시스템의 증가에 따라 대부분의 기업 환경에서는 이기종의 다양한 보안 디바이스 도입되어 정보 자산을 보호하고 있다. 도 1에 도시된 기술은 어디에서 이벤트가 발생하였는지 보여주지 못하고 있으며 이기종 환경에서 사용하는데 있어 몇 번의 단계를 거쳐야 하므로 효율적이지 못하다.Additionally, with the recent increase in information systems, a variety of heterogeneous security devices are being introduced in most corporate environments to protect information assets. The technology shown in Figure 1 does not show where an event occurred and is not efficient because it requires several steps to use in a heterogeneous environment.

즉, 생키 다이아그램(Sankey Diagram) 및 평행 좌표(Parallel Coordinates)의 패턴을 이용하여 이상 트래픽을 판별하고 있으나, 보안 관제 시 활용할 수 있는 위협 이벤트에 대한 선별 및 위험도에 대해 분별할 수 없었다. In other words, abnormal traffic was identified using the Sankey Diagram and Parallel Coordinates patterns, but it was not possible to select threat events that could be used during security control and discern the level of risk.

다르게 설명하면, 보안 이벤트 중 5가지 인자(Source IP, Destination IP, Destination Port, Packet Length, Action)를 사용하며 어디에서 발생한 위치를 보여주지 못하기 때문에 이기종 보안 디바이스 환경에서 사용하기에는 적합하지 않았다.To put it another way, it was not suitable for use in a heterogeneous security device environment because it used five factors (Source IP, Destination IP, Destination Port, Packet Length, Action) among security events and could not show where it occurred.

이에 본 개시에서는 위험도를 선별할 수 있는 보안 위험 지수를 추가하였으며 지수를 기반으로 위험도를 상, 중, 하로 구분하도록 하였다. 즉, 본 개시에서는 이러한 문제점에 대한 해결 방안으로 보안 위험 지수 및 평행 좌표 시각화 기반 사이버 위협 탐지 장치 및 방법을 제공한다.Accordingly, in this disclosure, a security risk index was added to select the risk level, and the risk level was classified into high, medium, and low based on the index. That is, the present disclosure provides a cyber threat detection device and method based on security risk index and parallel coordinate visualization as a solution to this problem.

구체적으로, 본 개시에서는 활용도가 낮은 패킷 길이(Packet Length) 인자 대신 디바이스(Device) 인자가 포함된 5가지(Source IP, Destination IP, Destination Port, Action, Device)를 사용함으로써 어디에서 이벤트가 발생하였는지 알 수 있다. 현재 정보 시스템에 따른 보안 환경에서 탐지 위치를 파악함으로써 신속한 대응에 큰 도움을 준다.Specifically, in this disclosure, by using five device factors (Source IP, Destination IP, Destination Port, Action, Device) instead of the underutilized Packet Length factor, it is possible to determine where the event occurred. Able to know. It greatly helps in rapid response by identifying the detection location in the security environment according to the current information system.

일례로, 본 개시에서는 보안 위험 지수를 이용하여 위험도를 색상(빨강, 노랑, 초록) 및 단계별(상, 중, 하)로 구분함으로써 보안 관제 수행중 사이버 위협 이벤트를 신속하게 선별할 수 있다.For example, in this disclosure, cyber threat events can be quickly selected during security control by classifying the risk level into color (red, yellow, green) and stage (high, medium, low) using the security risk index.

또한, 본 개시에서는 평행 좌표(Parallel Coordinates)에서 어디로부터 탐지되었는지 알 수 있는 디바이스(Device) 인자를 추가함으로써 최근 이기종 디바이스 환경에서의 보안 관제의 효율성을 향상시켰다.In addition, the present disclosure improves the efficiency of security control in the recent heterogeneous device environment by adding a device factor that allows you to know where the detection occurred in parallel coordinates.

도 2는 보안 위험 지수 기반 대시보드 및 프로세스의 개념을 도시한 도면으로서, 도 2a는 보안 위험 지수 기반 대시보드를 도시한 도면이고, 도 2b는 보안 위험 지수 산정 프로세스를 도시한 도면이고, 도 3은 보안 위험 지수 및 평행 좌표 시각화 기반 사이버 위협 탐지 대시보드를 도시한 도면이다.FIG. 2 is a diagram illustrating the concept of a security risk index-based dashboard and process. FIG. 2A is a diagram illustrating a security risk index-based dashboard, FIG. 2B is a diagram illustrating a security risk index calculation process, and FIG. 3 is a diagram showing a cyber threat detection dashboard based on security risk index and parallel coordinate visualization.

일례로, 본 개시에 따른 보안 위험 지수 및 평행 좌표 시각화 기반 사이버 위협 탐지 장치는 다수의 이종 보안 디바이스, 컴퓨터 디바이스, 및 표시 디바이스를 포함할 수 있다.For example, a cyber threat detection device based on security risk index and parallel coordinate visualization according to the present disclosure may include a plurality of heterogeneous security devices, computer devices, and display devices.

다수의 이종 보안 디바이스는 인터넷 및 인트라넷으로부터 비정상 트래픽을 수집할 수 있다. 일부 예들에서, 다수의 이종 보안 디바이스는 방화벽 디바이스, DDoS(Distributed Denial of Service) 차단 디바이스, WAF(Web Applicaton Fire Wall) 디바이스 및/또는 IPS(Intrusion Prevention System) 디바이스를 포함할 수 있다.Multiple heterogeneous security devices can collect abnormal traffic from the Internet and intranet. In some examples, the multiple heterogeneous security devices may include a firewall device, a Distributed Denial of Service (DDoS) blocking device, a Web Application Fire Wall (WAF) device, and/or an Intrusion Prevention System (IPS) device.

컴퓨터 디바이스는 다수의 이종 보안 디바이스로부터 이벤트 로그를 수신하여 보안 위험도 및 평행 좌표 다이어그램을 동시에 갖는 대시보드로 시각화할 수 있다.A computer device can receive event logs from multiple heterogeneous security devices and visualize them in a dashboard with simultaneous security risk and parallel coordinate diagrams.

표시 디바이스는 상술한 보안 위험도 및 평행 좌표 다이어그램을 갖는 대시보드를 표시할 수 있다.The display device can display a dashboard with the above-described security risk and parallel coordinate diagram.

일부 예들에서, 컴퓨터 디바이스는 다수의 이종 보안 디바이스로부터 수신된 이벤트 로그를 다수의 이종 보안 디바이스별로 미리 결정된 보안 위험 지수에 대입하여 보안 위험도를 점수화하여 선별할 수 있다.In some examples, the computer device may select event logs received from a plurality of heterogeneous security devices by scoring a security risk by substituting a predetermined security risk index for each of the plurality of heterogeneous security devices.

일부 예들에서, 컴퓨터 디바이스는 보안 디바이스의 데이터를 이용하여 보안위 험지수 기반으로 위험도를 구분함으로써, 위협 IP를 선별하여 대시보드에 시각화할 수 있다.In some examples, a computer device can select threat IPs and visualize them on a dashboard by classifying risk levels based on a security risk index using data from the security device.

일부 예들에서, 위험도는 상(빨강), 중(노랑), 하(초록)로 구별됨으로써 신속한 선별이 가능하다. In some instances, risk levels can be categorized as high (red), medium (yellow), or low (green) to allow for rapid screening.

일부 예들에서, 보안 위험 지수는 4가지 보안 디바이스의 이벤트를 사용하여 각 점수를 부여하며 일례로 다음과 같을 수 있다.In some examples, the security risk score uses events from four security devices to give each score, for example:

- 방화벽 디바이스(일별 TOP100 차단 IP): 점수 3점- Firewall device (TOP 100 blocked IPs per day): score 3 points

- DDOS 차단 디바이스(인별 TOP100 차단IP): 점수 4점- DDOS blocking device (TOP 100 blocked IPs by person): score 4 points

- WAF 디바이스(위험등급 이벤트 차단시): 점수 5점- WAF device (when blocking risk level events): score 5 points

- WAF 디바이스(보통등급 이벤트 차단시): 점수 5점- WAF device (when blocking a normal level event): score 5 points

- WAF 디바이스(낮은등급 이벤트 차단시): 점수 5점- WAF device (when blocking low-level events): score 5 points

- IPS 디바이스(Critical 등급 이벤트 차단시): 점수 5점- IPS device (when blocking critical level events): score 5 points

- IPS 디바이스(High 등급 이벤트 차단시): 점수 4점- IPS device (when blocking high-level events): score 4 points

- IPS(디바이스 Medium 등급 이벤트 차단시): 점수 3점- IPS (when blocking device Medium level events): score 3 points

- IPS(Low 등급 이벤트 차단시): 점수 2점- IPS (when blocking low-level events): score 2 points

- IPS(Very Low 등급 이벤트 차단시): 점수 1점- IPS (when blocking a Very Low level event): 1 point

일부 예들에서, 컴퓨터 디바이스는 선별된 보안 위험도의 점수가 10점 내지 29점이면 위험도 하로 정의하여 초록색으로 대시보드에 시각화하고, 선별된 보안 위험도의 점수가 30점 내지 49점이면 위험도 중으로 정의하여 노랑색으로 대시보드에 시각화하고, 선별된 보안 위험도의 점수가 50점보다 높으면 위험도 상으로 정의하여 빨강색으로 대시보드에 시각화할 수 있다.In some examples, a computer device is defined as being at low risk if it has a screened security risk score of 10 to 29, visualized on the dashboard as green, and if it has a screened security risk score of 30 to 49, it is defined as being at medium risk and displayed in yellow. It can be visualized on the dashboard, and if the selected security risk score is higher than 50 points, it can be defined as high risk and visualized on the dashboard in red.

즉, 이벤트 및 점수를 이용하여 위험도를 산정하고 색상을 정할 수 있는데, 일례로, 다음과 같을 수 있다.In other words, the risk level can be calculated and the color determined using events and scores. For example, it could be as follows.

- 위험도 상(50점이상): 빨강색- High risk (over 50 points): red

- 위험도 중(30점이상 50점미만): 노랑색- Medium risk (30 to 50 points): Yellow

- 위험도 하(10점이상 30점미만): 초록색- Low risk (10 to 30 points): Green

일부 예들에서, 컴퓨터 디바이스는 위협 IP 주소, 보안 디바이스별 탐지 이벤트 이름에 대응하는 탐지 내역, 이벤트별 보안 위험 점수 및/또는 탐지를 수행한 보안 디바이스 이름을 대시보드에 시각화할 수 있다.In some examples, the computer device may visualize in a dashboard the threat IP address, detection history corresponding to the detection event name per security device, security risk score per event, and/or name of the security device that performed the detection.

일부 예들에서, 컴퓨터 디바이스는 소스 IP, 목적지 포트, 목적지 IP, 허가 또는 거절에 대응하는 액션 및/또는 탐지된 보안 디바이스 이름을 이용하여 대시보드의 평행 좌표로 시각화할 수 있다.In some examples, a computer device may be visualized in parallel coordinates on a dashboard using a source IP, destination port, destination IP, action corresponding to grant or deny, and/or detected security device name.

일례로, 도 3에 도시된 바와 같이, 보안 위험 지수 및 평행 좌표 시각화 기반으로 제공한 대시보드는 보안 위험 지수 기반으로 위험도를 상, 중, 하로 구별하여 보안 관제 인원이 직관적으로 파악이 할 수 있도록 구성할 수 있으며, 대시보드의 하단에 위협 IP, 탐지내용(보안 디바이스별 탐지 이벤트 이름), 이벤트별 보안 위험 점수, 탐지된 디바이스의 정보를 보여 줌으로써, 위험도가 증가한 원인에 대해서 파악이 가능하도록 구성되었다.For example, as shown in Figure 3, the dashboard provided based on the security risk index and parallel coordinate visualization distinguishes the risk level into high, medium, and low based on the security risk index so that security control personnel can intuitively understand it. It can be configured to show the threat IP, detection content (detection event name for each security device), security risk score for each event, and information on detected devices at the bottom of the dashboard, allowing you to identify the cause of the increased risk. It has been done.

또한, 위협 IP 기반으로 5가지 인자(소스 IP, 목적지 포트, 목적지 IP, 액션(허가 또는 거절), 보안 디바이스) 인자를 이용하여 평행 좌표 시각화로 표준화함으로써 사이버 위협에 대한 초기 대응이 가능하도록 구현하였다.In addition, based on the threat IP, five factors (source IP, destination port, destination IP, action (permit or deny), security device) were used and standardized into parallel coordinate visualization to enable early response to cyber threats. .

이와 같이 하여, 본 개시는 나날이 증가하는 사이버 위협에서 정보자산을 보호하기 위한 보안관제 활동에 있어 인력에 의존했던 위협 선별 및 초기 대응을 직관적 시각화를 통해 보완할 수 있도록 한다.In this way, this disclosure makes it possible to supplement threat screening and initial response, which depended on human resources, through intuitive visualization in security control activities to protect information assets from ever-increasing cyber threats.

즉, 일반적으로 보안이벤트를 가지고 생키 및 평행 좌표 시각화를 이용하여 이상 행위를 판별 하였으나 위험도에 따른 선별 및 최근 이기종 환경에는 적합하지 않았으며 이에 본 개시에서는 위험도에 따른 선별 및 어디에서 탐지되었는지 확인할 수 있는 인자를 추가함으로써 보안관제에 적합한 장치 및 방법을 제공한다.In other words, in general, abnormal behavior was determined using security events and raw keys and parallel coordinate visualization, but it was not suitable for screening according to risk and recent heterogeneous environments. Therefore, in this disclosure, screening according to risk and confirming where it was detected was performed. By adding factors, devices and methods suitable for security control are provided.

이를 통해 보안관제 수행 시 위험도에 따라 우선 대응 이벤트를 선별할 수 있고 직관적인 시각화를 통해 빠른 대응 및 판단이 가능하다.Through this, when performing security control, priority response events can be selected according to risk, and quick response and judgment are possible through intuitive visualization.

본 개시에 따른 보안 위험 지수 및 평행 좌표 시각화 기반 사이버 위협 탐지 방법은 다수의 이종 보안 디바이스에 의해 인터넷 및 인트라넷으로부터 비정상 트래픽을 수집하는 단계와, 컴퓨터 디바이스에 의해 다수의 이종 보안 디바이스로부터 이벤트 로그를 수신하여 보안 위험도 및 평행 좌표 다이어그램을 동시에 갖는 대시보드로 시각화하는 단계와, 표시 디바이스에 의해 보안 위험도 및 평행 좌표 다이어그램을 갖는 대시보드를 표시하는 단계를 포함할 수 있다.A cyber threat detection method based on security risk index and parallel coordinate visualization according to the present disclosure includes collecting abnormal traffic from the Internet and intranet by a plurality of heterogeneous security devices, and receiving event logs from a plurality of heterogeneous security devices by a computer device. This may include a step of visualizing a dashboard having both a security risk and a parallel coordinate diagram, and a step of displaying the dashboard having the security risk and a parallel coordinate diagram by a display device.

이상에서 설명한 것은 본 개시에 따른 예시적 보안 위험 지수 및 평행 좌표 시각화 기반 사이버 위협 탐지 장치 및 그 방법을 실시하기 위한 하나의 실시예에 불과한 것으로서, 본 발명은 상기한 실시예에 한정되지 않고, 이하의 특허청구범위에서 청구하는 바와 같이 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변경 실시가 가능한 범위까지 본 발명의 기술적 정신이 있다고 할 것이다.What has been described above is only one embodiment for implementing the exemplary security risk index and parallel coordinate visualization-based cyber threat detection device and method according to the present disclosure, and the present invention is not limited to the above-described embodiments. As claimed in the patent claims, it will be said that the technical spirit of the present invention exists to the extent that anyone skilled in the art can make various changes and implementations without departing from the gist of the present invention.

Claims (12)

인터넷 및 인트라넷으로부터 비정상 트래픽을 수집하는 다수의 이종 보안 디바이스;
다수의 이종 보안 디바이스로부터 이벤트 로그를 수신하여 보안 위험도 및 평행 좌표 다이어그램을 동시에 갖는 대시보드로 시각화하는 컴퓨터 디바이스; 및
보안 위험도 및 평행 좌표 다이어그램을 갖는 대시보드를 표시하는 표시 디바이스를 포함하고,
컴퓨터 디바이스는 다수의 이종 보안 디바이스로부터 수신된 이벤트 로그를 다수의 이종 보안 디바이스별로 미리 결정된 보안 위험 지수에 대입하여 보안 위험도를 점수화하여 선별하되,
컴퓨터 디바이스는 선별된 보안 위험도의 점수가 10점 내지 29점이면 위험도 하로 정의하여 초록색으로 대시보드에 시각화하고, 선별된 보안 위험도의 점수가 30점 내지 49점이면 위험도 중으로 정의하여 노랑색으로 대시보드에 시각화하며, 선별된 보안 위험도의 점수가 50점보다 높으면 위험도 상으로 정의하여 빨강색으로 대시보드에 시각화하고,
컴퓨터 디바이스는 위협 IP 주소, 보안 디바이스별 탐지 이벤트 이름에 대응하는 탐지 내역, 이벤트별 보안 위험 점수 및 탐지를 수행한 보안 디바이스 이름을 대시보드에 시각화하며,
컴퓨터 디바이스는 소스 IP, 목적지 포트, 목적지 IP, 허가 또는 거절에 대응하는 액션 및 탐지된 보안 디바이스 이름을 이용하여 대시보드의 평행 좌표로 시각화하는, 사이버 위협 탐지 장치.Multiple heterogeneous security devices that collect abnormal traffic from the Internet and intranet;
A computer device that receives event logs from multiple heterogeneous security devices and visualizes them in a dashboard with simultaneous security risk and parallel coordinate diagrams; and
a display device that displays a dashboard with a security risk level and a parallel coordinate diagram;
The computer device is selected by scoring the security risk by substituting the event logs received from multiple heterogeneous security devices into the security risk index predetermined for each multiple heterogeneous security devices,
If the selected security risk score is 10 to 29 points, the computer device is defined as low risk and visualized on the dashboard in green, and if the selected security risk score is 30 to 49 points, it is defined as medium risk and displayed in yellow on the dashboard. If the selected security risk score is higher than 50 points, it is defined as high risk and visualized in red on the dashboard.
The computer device visualizes the threat IP address, detection history corresponding to the detection event name for each security device, security risk score for each event, and the name of the security device that performed the detection on the dashboard.
A cyber threat detection device that visualizes computer devices in parallel coordinates on a dashboard using source IP, destination port, destination IP, action corresponding to permission or denial, and detected security device name. 제 1 항에 있어서,
다수의 이종 보안 디바이스는 방화벽 디바이스, DDoS(Distributed Denial of Service) 차단 디바이스, WAF(Web Applicaton Fire Wall) 디바이스 및 IPS(Intrusion Prevention System) 디바이스를 포함하는, 사이버 위협 탐지 장치.According to claim 1,
A number of heterogeneous security devices include cyber threat detection devices, including firewall devices, Distributed Denial of Service (DDoS) blocking devices, Web Application Fire Wall (WAF) devices, and Intrusion Prevention System (IPS) devices. 삭제delete 삭제delete 삭제delete 삭제delete 다수의 이종 보안 디바이스에 의해 인터넷 및 인트라넷으로부터 비정상 트래픽을 수집하는 단계;
컴퓨터 디바이스에 의해 다수의 이종 보안 디바이스로부터 이벤트 로그를 수신하여 보안 위험도 및 평행 좌표 다이어그램을 동시에 갖는 대시보드로 시각화하는 단계; 및
표시 디바이스에 의해 보안 위험도 및 평행 좌표 다이어그램을 갖는 대시보드를 표시하는 단계를 포함하고,
컴퓨터 디바이스는 다수의 이종 보안 디바이스로부터 수신된 이벤트 로그를 다수의 이종 보안 디바이스별로 미리 결정된 보안 위험 지수에 대입하여 보안 위험도를 점수화하여 선별하되,
컴퓨터 디바이스는 선별된 보안 위험도의 점수가 10점 내지 29점이면 위험도 하로 정의하여 초록색으로 대시보드에 시각화하고, 선별된 보안 위험도의 점수가 30점 내지 49점이면 위험도 중으로 정의하여 노랑색으로 대시보드에 시각화하며, 선별된 보안 위험도의 점수가 50점보다 높으면 위험도 상으로 정의하여 빨강색으로 대시보드에 시각화하고,
컴퓨터 디바이스는 위협 IP 주소, 보안 디바이스별 탐지 이벤트 이름에 대응하는 탐지 내역, 이벤트별 보안 위험 점수 및 탐지를 수행한 보안 디바이스 이름을 대시보드에 시각화하며,
컴퓨터 디바이스는 소스 IP, 목적지 포트, 목적지 IP, 허가 또는 거절에 대응하는 액션 및 탐지된 보안 디바이스 이름을 이용하여 대시보드의 평행 좌표로 시각화하는, 사이버 위협 탐지 방법.Collecting abnormal traffic from the Internet and intranet by a plurality of heterogeneous security devices;
Receiving event logs from a plurality of heterogeneous security devices by a computer device and visualizing them into a dashboard having simultaneously a security risk level and a parallel coordinate diagram; and
comprising displaying a dashboard with a security risk level and a parallel coordinate diagram by a display device;
The computer device is selected by scoring the security risk by substituting the event logs received from multiple heterogeneous security devices into the security risk index predetermined for each multiple heterogeneous security devices,
If the selected security risk score is 10 to 29 points, the computer device is defined as low risk and visualized on the dashboard in green, and if the selected security risk score is 30 to 49 points, it is defined as medium risk and displayed in yellow on the dashboard. If the selected security risk score is higher than 50 points, it is defined as high risk and visualized in red on the dashboard.
The computer device visualizes the threat IP address, detection history corresponding to the detection event name for each security device, security risk score for each event, and the name of the security device that performed the detection on the dashboard.
A cyber threat detection method in which computer devices are visualized in parallel coordinates on a dashboard using source IP, destination port, destination IP, action corresponding to permission or denial, and detected security device name. 제 7 항에 있어서,
다수의 이종 보안 디바이스는 방화벽 디바이스, DDoS(Distributed Denial of Service) 차단 디바이스, WAF(Web Applicaton Fire Wall) 디바이스 및 IPS(Intrusion Prevention System) 디바이스를 포함하는, 사이버 위협 탐지 방법.

According to claim 7,
A method for detecting cyber threats, where multiple heterogeneous security devices include firewall devices, Distributed Denial of Service (DDoS) blocking devices, Web Application Fire Wall (WAF) devices, and Intrusion Prevention System (IPS) devices.

 삭제delete 삭제delete 삭제delete 삭제delete
KR1020220093168A 2022-07-27 2022-07-27 Cyber Threat Detection Device and Method thereof based on Security Risk Score and Parallel Coordinates Visualization KR102678970B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220093168A KR102678970B1 (en) 2022-07-27 2022-07-27 Cyber Threat Detection Device and Method thereof based on Security Risk Score and Parallel Coordinates Visualization

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220093168A KR102678970B1 (en) 2022-07-27 2022-07-27 Cyber Threat Detection Device and Method thereof based on Security Risk Score and Parallel Coordinates Visualization

Publications (2)

Publication Number Publication Date
KR20240015381A KR20240015381A (en) 2024-02-05
KR102678970B1 true KR102678970B1 (en) 2024-06-27

Family

ID=89904063

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220093168A KR102678970B1 (en) 2022-07-27 2022-07-27 Cyber Threat Detection Device and Method thereof based on Security Risk Score and Parallel Coordinates Visualization

Country Status (1)

Country Link
KR (1) KR102678970B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101113615B1 (en) * 2010-03-08 2012-02-13 주식회사 제이컴정보 Total analysis system of network risk and method thereof
KR101156011B1 (en) * 2010-12-24 2012-06-18 고려대학교 산학협력단 System and method for botnet risk analysis to network traffic analysis

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102394702B1 (en) * 2020-09-23 2022-05-06 한국서부발전 주식회사 Fast Detection Device and method of Abnormal Network Traffic on Sankey and Parallel Coordinates Security Visualization

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101113615B1 (en) * 2010-03-08 2012-02-13 주식회사 제이컴정보 Total analysis system of network risk and method thereof
KR101156011B1 (en) * 2010-12-24 2012-06-18 고려대학교 산학협력단 System and method for botnet risk analysis to network traffic analysis

Also Published As

Publication number Publication date
KR20240015381A (en) 2024-02-05

Similar Documents

Publication Publication Date Title
EP1665011B1 (en) Method and system for displaying network security incidents
JP6201614B2 (en) Log analysis apparatus, method and program
EP3021546A1 (en) Selection of countermeasures against cyber attacks
US11956208B2 (en) Graphical representation of security threats in a network
US11663500B2 (en) Visualizing cybersecurity incidents using knowledge graph data
CN111181918B (en) TTP-based high-risk asset discovery and network attack tracing method
Wu et al. Alert correlation for cyber-manufacturing intrusion detection
KR102394702B1 (en) Fast Detection Device and method of Abnormal Network Traffic on Sankey and Parallel Coordinates Security Visualization
Kim et al. Firewall ruleset visualization analysis tool based on segmentation
WO2019026310A1 (en) Information processing device, information processing method, and information processing program
US20150222648A1 (en) Apparatus for analyzing the attack feature dna and method thereof
Lee et al. HSViz: Hierarchy simplified visualizations for firewall policy analysis
US20230129114A1 (en) Analysis system, method, and program
CN111104670B (en) APT attack identification and protection method
KR102678970B1 (en) Cyber Threat Detection Device and Method thereof based on Security Risk Score and Parallel Coordinates Visualization
KR100819049B1 (en) Apparatus for detecting and analyzing alert of intrusion and method for displaying it by graph in n-dimensions using the same
KR101079442B1 (en) Apparatus and Method for Incident Response
Alharbi A qualitative study on security operations centers in saudi arabia: challenges and research directions
CN114900375A (en) Malicious threat detection method based on AI graph analysis
US20230024824A1 (en) Analysis apparatus, analysis method, and non-transitory computer readable mediumstoring analysis program
Yamagishi et al. HOUND: Log analysis support for threat hunting by log visualization
KR20060013120A (en) Method of visualizing intrusion detection using correlation of intrusion detection alert message
JP2006093832A (en) Intrusion detection system and program, intrusion detection information analyzing device and analysis program
KR102624124B1 (en) System and Method for detecting security threats using log information
Sani Improved Log Monitoring using Host-based Intrusion Detection System

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right