KR20050075950A - Apparatus for optimizing log of intrusion detection system with consideration of the vulnerability of the network devices - Google Patents

Apparatus for optimizing log of intrusion detection system with consideration of the vulnerability of the network devices Download PDF

Info

Publication number
KR20050075950A
KR20050075950A KR1020040003691A KR20040003691A KR20050075950A KR 20050075950 A KR20050075950 A KR 20050075950A KR 1020040003691 A KR1020040003691 A KR 1020040003691A KR 20040003691 A KR20040003691 A KR 20040003691A KR 20050075950 A KR20050075950 A KR 20050075950A
Authority
KR
South Korea
Prior art keywords
vulnerability
intrusion detection
log
intrusion
network
Prior art date
Application number
KR1020040003691A
Other languages
Korean (ko)
Other versions
KR101022167B1 (en
Inventor
문호건
이종필
최진기
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020040003691A priority Critical patent/KR101022167B1/en
Publication of KR20050075950A publication Critical patent/KR20050075950A/en
Application granted granted Critical
Publication of KR101022167B1 publication Critical patent/KR101022167B1/en

Links

Classifications

    • AHUMAN NECESSITIES
    • A01AGRICULTURE; FORESTRY; ANIMAL HUSBANDRY; HUNTING; TRAPPING; FISHING
    • A01KANIMAL HUSBANDRY; AVICULTURE; APICULTURE; PISCICULTURE; FISHING; REARING OR BREEDING ANIMALS, NOT OTHERWISE PROVIDED FOR; NEW BREEDS OF ANIMALS
    • A01K97/00Accessories for angling
    • A01K97/10Supports for rods
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S269/00Work holders
    • Y10S269/907Work holder for fishing flies
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S81/00Tools
    • Y10S81/01Tool-support adjuncts

Landscapes

  • Life Sciences & Earth Sciences (AREA)
  • Environmental Sciences (AREA)
  • Animal Husbandry (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 네트워크상의 각종 사이버 위협 또는 공격행위를 탐지하는 침입탐지 시스템에서 네트워크 자산의 취약성과 직접적인 관계가 없는 위협 및 경보 정보를 필터링하여 침입탐지시스템에서 실시간으로 발생하는 모든 공격 중 자산의 취약성에 영향을 주는 위협 및 경보에 대해서 효과적으로 대응할 수 있도록 하는 기술에 관한 것이다.The present invention affects the vulnerability of assets among all attacks occurring in real time in the intrusion detection system by filtering threat and alarm information not directly related to the vulnerability of network assets in the intrusion detection system that detects various cyber threats or attack behaviors on the network. The present invention relates to a technology that can effectively respond to threats and alerts.

이를 위해, 본 발명은 특정 시스템에 대한 보안을 행할 경우, 상기 시스템이 포함된 네트워크에 발생된 침입 중 상기 시스템의 취약점과 직접적으로 연관성을 갖는 취약점에서 발생한 침입에 대해서만 알람을 발생하여 오탐 확률을 낮춤으로써, 보안관리자가 사이버 공격에 대해 효율적으로 대응할 수 있도록 하는데 기술적 특징이 있다.To this end, the present invention lowers the probability of false positives by generating an alarm only for intrusions caused by vulnerabilities that are directly related to vulnerabilities of the system among intrusions occurring in the network including the system when the security for a specific system is performed. As a result, there is a technical feature to enable the security manager to effectively respond to cyber attacks.

Description

네트워크 자산의 취약성을 고려한 침입탐지시스템의 로그최적화 장치{Apparatus for optimizing log of intrusion detection system with consideration of the vulnerability of the network devices} Apparatus for optimizing log of intrusion detection system with consideration of the vulnerability of the network devices}

본 발명은 네트워크 자산의 취약성을 고려한 침입탐지시스템의 로그최적화 장치에 관한 것으로, 보다 상세하게는 네트워크상의 각종 사이버 위협 또는 공격행위를 탐지하는 침입탐지 시스템에서 네트워크 자산의 취약성과 직접적인 관계가 없는 위협 및 경보 정보를 필터링하여 침입탐지시스템에서 실시간으로 발생하는 모든 공격 중 자산의 취약성에 영향을 주는 위협 및 경보에 대해서 효과적으로 대응할 수 있도록 하는 기술에 관한 것이다.The present invention relates to a log optimization device of an intrusion detection system considering a vulnerability of a network asset, and more particularly, a threat that does not have a direct relationship with a vulnerability of a network asset in an intrusion detection system that detects various cyber threats or attack behaviors on a network. The present invention relates to a technology for filtering alert information to effectively respond to threats and alerts that affect the vulnerability of assets among all attacks occurring in real time in the intrusion detection system.

종래 침입탐지 시스템은, 네크워크 자산에 대한 공격시 네트워크를 구성하는 개별 자산이 가진 취약성(Vulnerability)과는 무관하게 침입탐지 시스템(Instrusion Detection System: IDS)에서 관리하는 위협(Threat) 및 공격(Attack) 정보, 사용자가 지정한 해당 공격의 위험 정보를 바탕으로 특정 공격 발생시의 침입여부를 판별한다. 이 때문에, 관리중인 네트워크 자산과 관련이 없거나 이미 자산에 위협이 되지 못하는(이미 해당 공격에 대해 패치나 업그레이드가 되어 있는 경우 등) 침입시도에 대한 알람(alarm)이나 로그를 상당수 생성하게 된다.Conventional intrusion detection systems manage threats and attacks managed by the Instrusion Detection System (IDS) regardless of the vulnerability of individual assets that make up the network when attacking network assets. Based on the information and the risk information of the attack specified by the user, it is determined whether an intrusion occurs when a specific attack occurs. As a result, a large number of alarms or logs are generated for intrusion attempts that are not related to the network asset being managed or that are not already a threat to the asset (already patched or upgraded for the attack).

이를 False positive라 하는데, 이러한 False positive들이 많음으로 인하여 해당 네트워크를 운용하는 인력의 부담을 가중시키며, 또한 보안사고대처에 많은 지장을 초래한다. 또한, 종래 침입탐지시스템은 네트워크 자산의 가치가 고려되지 않은 채 알람이 생성되어 다양한 침입시도 발생시 대응 우선순위를 결정하는데 혼선을 초래한다는 문제점이 있었다.This is called a false positive, and the increase in the number of false positives adds to the burden on the people who operate the network and also causes a lot of problems for security incidents. In addition, the conventional intrusion detection system has a problem that the alarm is generated without considering the value of the network assets, causing confusion in determining the response priority when various intrusion attempts occur.

한편, 종래 침입탐지 시스템은 CVE 리스트(Common Vulnerabilities and Express List) 등에서 제공하는 취약성 리스트와 CERT 등에서 제공하는 취약성과 관련된 위협 리스트를 기반으로 위협 패턴에 대한 DB를 구축한 후, 네트워크를 통과하는 트래픽을 감청하여 위협 패턴에 해당하는 트래픽이 발생하면 경고 및 알람을 발생시켜 위협을 알려주는 역할을 한다. Meanwhile, the conventional intrusion detection system builds a DB of threat patterns based on a list of vulnerabilities provided by the CVE list (Common Vulnerabilities and Express List), and a list of threats related to vulnerabilities provided by the CERT, etc. When the traffic generated corresponding to the threat pattern is intercepted, the alarm and alarm are triggered to inform the threat.

참고로, 네트워크상의 정보자산은 알려진 또는 알려지지 않은(Known/Unknown) 소프트웨어 취약점을 가지고 있으며, 이들 취약점은 대표적으로 미국 NIST(National Institute of Security Technology)에서 ICAT란 Meta DB의 형태로 관리하며, 이들 DB는 다시 CVE(Common Vulnerability and Exposure) ID가 부여한 정제된 형태의 DB로 가공되며, N(Network)-IDS나 VAS업체는 이들 DB와 알려진 다양한 취약점 정보들을 이용하여 관련 시스템의 DB를 구축한다. 침입탐지시스템은 상기 DB를 이용하여 사이버 공격을 탐지한다.For reference, information assets on the network have known or unknown software vulnerabilities. These vulnerabilities are managed in the form of Meta DB, which is called ICAT, at the National Institute of Security Technology (NIST). It is processed into a refined DB given by CVE (Common Vulnerability and Exposure) ID, and N (Network) -IDS or VAS company builds DB of related system using these DB and various known vulnerability information. Intrusion detection system detects cyber attacks using the DB.

이러한 침입탐지 시스템은, 얼마나 많은 침입을 탐지할 수 있는가 내지는 얼마나 정확하게 침입을 탐지할 수 있는가 등으로 성능이 결정되기 때문에, 위협 리스트와 취약성 리스트의 증가에 따라 오탐(잘못된 탐지)하는 확률이 높아진다는 문제점이 있다.The performance of these intrusion detection systems is determined by how many intrusions can be detected or how accurately they can be detected. Therefore, the probability of false positives increases with increasing threat and vulnerability lists. There is a problem.

상기 문제점으로 인해, 인터넷 통신 서비스 사업자의 네트워크 등에서는 침입탐지시스템에서 탐지해 낸 결과가 너무 많아서 분석을 못하거나 잘못된 탐지와 정확한 탐지의 구분이 곤란하여 침입탐지시스템의 운용에 어려움이 많다.Due to the above problems, in the network of the Internet communication service provider, the results of detection by the intrusion detection system are too many to analyze, or it is difficult to distinguish between the incorrect detection and the accurate detection, and there are many difficulties in operating the intrusion detection system.

또한, 기존의 침입탐지시스템은 네크워크 자산의 취약성과 전혀 관련이 없는 모든 침입을 탐지해내는 방식을 사용하기 때문에 오탐 확률이 매우 높다. 이로 인해, 침입탐지시스템의 탐지결과를 바탕으로 어떤 자산이 공격을 받고 있는지, 어느 정도의 위험이 발생되었는지를 정확하게 분석하기가 곤란하다는 문제점이 있다.In addition, the existing intrusion detection system has a high probability of false positives because it uses a method of detecting all intrusions that have nothing to do with the vulnerability of network assets. As a result, it is difficult to accurately analyze which assets are under attack and how much risks are generated based on the detection result of the intrusion detection system.

따라서, 본 발명은 상술한 종래의 문제점을 해결하기 위해 이루어진 것으로, 그 목적은 특정 자산의 취약성과 관련을 갖는 위협만을 고려하여 최적화된 로그를 생성함으로써 False positive를 감소시켜 효율적으로 사이버 공격에 대응하는 것을 목적으로 한다.Accordingly, the present invention has been made to solve the above-mentioned conventional problems, and its object is to generate an optimized log considering only the threats related to the vulnerability of a specific asset, thereby reducing false positives to effectively respond to cyber attacks. For the purpose of

또한, 본 발명은 자산의 중요도를 고려하여 다중 위협이 존재할 때 우선순위를 부여하여 효율적으로 사이버 공격에 대응할 수 있도록 하는 것을 또 다른 목적으로 한다.In addition, the present invention is another object to prioritize when there are multiple threats in consideration of the importance of the assets to efficiently respond to cyber attacks.

상기한 목적을 달성하기 위해 본 발명의 바람직한 실시예에 따른 네트워크 자산의 취약성을 고려한 침입탐지시스템의 로그최적화 장치는, 보안대상이 되는 시스템의 자원정보를 이용하여 상기 시스템에 대한 취약점을 분석하는 취약점분석부; 상기 시스템이 포함된 네트워크의 침입을 탐지하는 침입탐지부; 상기 취약점분석부의 취약점분석결과에서 잔류취약점만을 추출하는 취약점필터링부; 상기 침입탐지부의 침입결과 중 상기 잔류취약점과 연관된 침입결과에 대해서만 로그정보를 생성하는 로그최적화부; 및 상기 로그정보를 근거로 침입탐지에 따른 알람을 발생하는 알람발생부를 구비한다.In order to achieve the above object, the log optimization apparatus of the intrusion detection system in consideration of the vulnerability of the network asset according to the preferred embodiment of the present invention, a vulnerability for analyzing the vulnerability of the system using the resource information of the system to be secured An analysis unit; An intrusion detection unit detecting an intrusion of a network including the system; Vulnerability filtering unit for extracting only the remaining vulnerability from the vulnerability analysis result of the vulnerability analysis unit; A log optimizer configured to generate log information only for an intrusion result associated with the residual weakness among the intrusion results of the intrusion detection unit; And an alarm generating unit generating an alarm according to the intrusion detection based on the log information.

본 발명에 의하면, 도 1과 같이 취약점이 구분될 수 있다.According to the present invention, the vulnerabilities can be classified as shown in FIG.

CVE 리스트 등에서 공개한 취약점들을 정리한 취약성 분석시스템 DB의 내용, 즉 알려진 취약점의 개수(V1)는 특정한 자산이 가진 취약점의 개수를 나타내는 것이 아니고 여러 가지 네트워크 자산들이 가질 수 있는 취약점들의 전체 리스트이다. 이때, 특정한 자산이 해당 자산의 취약성을 공격할 수 있는 위협에 대해 패치가 되어 있지 않을 경우 해당 자산은 복수개의 고유한 취약점(V2)을 가질 수 있으며, 통상적으로 V2의 개수는 V1보다 작거나 같게 된다. The contents of the vulnerability analysis system DB, which summarizes the vulnerabilities disclosed in the CVE list, that is, the number of known vulnerabilities (V1), are not an indication of the number of vulnerabilities of a particular asset, but a list of vulnerabilities that various network assets can have. At this time, if a specific asset is not patched against a threat that can attack the vulnerability of the asset, the asset may have a plurality of unique vulnerabilities (V2), and typically, the number of V2 is less than or equal to V1. do.

만일, 해당 자산에 대해 적극적인 패치를 수행할 경우 일부의 잔류 취약점만이 남게 되는데 남은 잔류 취약점의 개수를 V3라고 한다면, V1, V2, 및 V3는 <식 1>과 같은 관계를 갖는다.If an active patch is performed on the asset, only some of the remaining vulnerabilities remain. If the number of remaining vulnerabilities is V3, V1, V2, and V3 have a relationship as in <Equation 1>.

V1 ≥ V2 ≥ V3 <식 1>V1 ≥ V2 ≥ V3 <Equation 1>

이러한 관계를 이용하여 본 발명에서는 네트워크 자산에 대한 독립적인 취약점 분석 및 침입탐지를 지양하고 취약점 분석 결과를 바탕으로 관리 중인 자산들의 잔류 취약점들만 공격하는 침입 또는 위협에 대해서만 선별적인 탐재를 수행하여 최적화된 보안경보 시스템이 구현된다.Using this relationship, the present invention avoids independent vulnerability analysis and intrusion detection of network assets, and performs selective detection only on intrusions or threats that attack only the remaining vulnerabilities of assets under management based on the vulnerability analysis results. Security alarm system is implemented.

본 발명에서 자산(Asset)은, 네트워크가 제공하는 기본적인 서비스인 정보유통 기능을 제공하는 전송장비와 정보처리 기능을 제공하는 네트워크 상의 각종 시스템 예컨대, 각종 스위치, 라우터, 엑세스 장비 등으로 한정한다.In the present invention, the asset is limited to various systems on the network that provide information transmission functions and transmission equipment that provides information distribution functions, which are basic services provided by the network, for example, various switches, routers, access equipment, and the like.

취약점(Vulnerability)은 시스템이 비정상적인 동작을 수행하도록 하는데 악용될 수 있는 소프트웨어적 결함이라고 정희한다.Vulnerability is supposed to be a software flaw that can be exploited to get the system to perform abnormal behavior.

위협(Therat)은 정보자산에 바람직하지 않은 영향을 줄 수 있는 잠재적인 요인으로 정의할 수 있으며, 이 같은 위협이 현실적으로 발생하면 공격으로 인식한다.Threats can be defined as potential factors that can have undesirable effects on information assets, and if such threats occur in reality, they are recognized as attacks.

이하, 첨부된 도면을 참조하여 본 발명의 실시예를 보다 상세히 설명한다.Hereinafter, with reference to the accompanying drawings will be described an embodiment of the present invention in more detail.

도 2는 본 발명의 실시예에 따른 네트워크 자산의 취약성을 고려한 침입탐지시스템의 로그최적화 장치의 블럭 구성도이다.2 is a block diagram of a log optimization device of an intrusion detection system considering the vulnerability of network assets according to an embodiment of the present invention.

도 2에 도시된 바와 같이, 본 발명의 실시예에 따른 네트워크 자산의 취약성을 고려한 침입탐지시스템의 로그최적화 장치는, 자원관리부(130), 취약점분석부(140), 침입탐지부(150), 로그최적화부(160), 및 통계엔진(170)을 구비한다.As shown in Figure 2, the log optimization apparatus of the intrusion detection system in consideration of the vulnerability of the network assets according to an embodiment of the present invention, resource management unit 130, vulnerability analysis unit 140, intrusion detection unit 150, Log optimization unit 160, and the statistical engine 170 is provided.

자원관리부(130)는 보안관리자(또는 시스템운용자)에 의해 보안관리 대상이 되는 시스템(110)이 입력되면, 상기 시스템(110)에 대한 자산정보를 관리하는 기능을 수행한다. 본 발명에서 보안관리자는 상기 시스템(110)의 자산의 중요도가 고려될 수 있도록 상기 자산의 가치를 계량화된 수치로 입력한다. 자원관리부(130)는 보안관리자로부터 자원관리를 입력받기위한 자원관리 인터페이스(12)와, 상기 자산정보가 저장되는 자원DB(134)를 구비한다. 자원DB(134)에 저장되는 자원정보는 시스템OS, 시스템IP, 시스템명, 시스템관리자, 관리자연락처, E-mail 등이다.The resource manager 130 performs a function of managing asset information for the system 110 when a system 110 to be managed by a security manager (or a system operator) is input. In the present invention, the security manager inputs the value of the asset as a quantified value so that the importance of the asset of the system 110 can be considered. The resource manager 130 includes a resource management interface 12 for receiving resource management from a security manager and a resource DB 134 for storing the asset information. Resource information stored in the resource DB 134 is a system OS, a system IP, a system name, a system administrator, an administrator contact number, an e-mail, and the like.

취약점분석부(140)는 자산DB(134)에 저장된 자산정보에 해당하는 시스템(100)으로 CVE 리스트 등을 통해 공개된 취약점에 대응하는 취약점테스트메시지를 전송하여 그 응답여부에 근거로 시스템(110)의 취약점을 분석하고, 분석된 취약점분석결과를 DB(144)에 저장하는 기능을 수행한다. 취약점분석결과DB(144)에 저장되는 취약점에 대한 정보는 시스템OS, 시스템IP, 취약점 포트, 취약점 프로토콜, 취약점 명, CVE-ID, 위험도 등이다.The vulnerability analysis unit 140 transmits a vulnerability test message corresponding to the disclosed vulnerability through the CVE list to the system 100 corresponding to the asset information stored in the asset DB 134 and based on the response of the system 110. ) Vulnerability analysis, and stores the analyzed vulnerability analysis results in the DB (144). Information about the vulnerability stored in the vulnerability analysis result DB (144) is the system OS, system IP, vulnerability port, vulnerability protocol, vulnerability name, CVE-ID, risk.

침입탐지부(150)는 CVE 리스트 등에서 제공하는 취약성 리스트와 CERT, CVE 리스트 등에서 제공하는 취약성과 관련된 위협 리스트를 기반으로 구축된 위협 패턴 DB를 이용하여 시스템(110)이 포함된 네크워크상에 전송되는 트래픽을 감청하여 위협 패턴에 해당하는 트래픽이 발생하면, 상기 트래픽에 대한 침입탐지결과를 DB(154)에 저장하는 기능을 수행한다. 침입탐지결과DB(154)에 저장되는 침입탐지결과에 대한 정보는 공격 시작시간, 공격자 IP, 공격자 포트, 대상자 IP, 대상자 포트, 공격명, 공격 탐지/종료시간, 프로토콜, 위험도, CVE-ID 등이다. The intrusion detection unit 150 is transmitted on the network including the system 110 using a threat pattern DB built on the list of vulnerabilities provided by the CVE list and the threat list related to the vulnerabilities provided by the CERT and CVE lists. When the traffic corresponding to the threat pattern is generated by intercepting the traffic, the intrusion detection result for the traffic is stored in the DB 154. Information about the intrusion detection result stored in the intrusion detection result DB (154) includes attack start time, attacker IP, attacker port, target IP, target port, attack name, attack detection / end time, protocol, risk, CVE-ID, etc. to be.

로그최적화부(160)는 취약점분석결과DB(144)에 저장된 취약점분석결과와 침입탐지결과DB(154)에 저장된 침입탐지결과를 이용하여 시스템(110)의 잔류취약점에 대한 침입탐지결과를 생성하여 침입탐지에 따른 로그를 최적화시켜, 최적화로그DB(160)에 저장하는 기능을 수행한다.The log optimizer 160 generates an intrusion detection result for the remaining weak points of the system 110 by using the vulnerability analysis result stored in the vulnerability analysis result DB 144 and the intrusion detection result stored in the intrusion detection result DB 154. Optimize the log according to the intrusion detection, and performs the function of storing in the optimization log DB (160).

통계엔진(170)은 취약점분석결과DB(144)에 저장된 취약점분석결과, 침입탐지결과DB(154)에 저장된 침입탐지결과, 및 최적화로그DB(164)에 저장된 로그값에 대한 통계정보를 제공하는 기능을 수행한다.The statistical engine 170 provides statistical information about the vulnerability analysis result stored in the vulnerability analysis result DB 144, the intrusion detection result stored in the intrusion detection result DB 154, and log values stored in the optimization log DB 164. Perform the function.

알람엔진(180)은 최적화로그DB(164)에 저장된 로그값에 대한 알람정보를 생성하여 이를 보안관리자에게 전달하는 기능을 수행한다. 알람엔진(180)은 최적화DB(164)에 저장된 로그정보를 근거로 알람의 위험도 등을 표시함으로써, 보안관리자가 알람에 우선순위를 확인할 수 있도록 한다.The alarm engine 180 generates alarm information on the log value stored in the optimization log DB 164 and delivers it to the security manager. The alarm engine 180 displays a risk level of the alarm and the like based on the log information stored in the optimization DB 164, so that the security manager can check the priority of the alarm.

도 2에 도시된 각각의 시스템, 엔진, DB 등은 하나의 서버 및 PC에서 운영해도 되며 분산된 별도의 서버 또는 PC(Personal Computer) 상에 구축할 수 도 있다.Each system, engine, DB, etc. shown in FIG. 2 may be operated in one server and a PC, or may be built on a distributed server or personal computer (PC).

도 3은 도 2에 도시된 로그최적화부(160)의 세부 구성도이다.3 is a detailed configuration diagram of the log optimizer 160 shown in FIG. 2.

도 3에 도시된 바와 같이, 로그최적화부(160)는 취약점 점검 결과를 저장하는 DB(144)에서 잔류취약점에 해당하는 정보만을 필터링하는 취약점 필터링 엔진(210), 전달계층(120)을 통해 침입탐지결과를 전달받기 위한 인터페이스(220), 취약점 필터링 엔진(210)을 통하여 필터링된 취약점 데이터가 저장되는 취약점 요약 DB(230), 인터페이스(220)로부터 침입탐지결과를 전송받아 일정 단위로 분할하여 로그최적화기(250)로 공급하는 로그공급기(240), 취약점 요약 DB(230)에 저장된 잔류취약점과 침입탐지결과의 상관관계를 분석하여 최적화 로그정보를 생성하는 로그최적화기(250), 및 상기 최적화된 로그정보가 저장되는 최적화 로그 DB(260)로 구성된다. 로그최적화기(250)는 CVE ID, IP 주소, 서비스 포트 중 적어도 하나를 이용하여 상기 칩입탐지결과와 상기 잔류취약점간의 상관관계를 추적한다. 그리고, 로그최적화부(160)의 로그최적화엔진(162)의 인터페이스(220)는 IAP, IDEF, APSEC, ASEN, Socket 을 지원한다. As shown in FIG. 3, the log optimizer 160 intrudes through the vulnerability filtering engine 210 and the delivery layer 120 that filter only the information corresponding to the residual vulnerability in the DB 144 that stores the vulnerability check result. Interface 220 for receiving the detection result, vulnerability summary DB 230 through which the vulnerability data filtered through the vulnerability filtering engine 210 is stored, and the intrusion detection result is received from the interface 220 and divided into a predetermined unit to log. Log optimizer 250 for supplying to the optimizer 250, the log optimizer 250 for generating optimization log information by analyzing the correlation between the remaining vulnerability and intrusion detection results stored in the vulnerability summary DB 230, and the optimization It consists of an optimization log DB 260 is stored the log information. The log optimizer 250 tracks the correlation between the chip detection result and the residual weakness using at least one of a CVE ID, an IP address, and a service port. The interface 220 of the log optimization engine 162 of the log optimizer 160 supports IAP, IDEF, APSEC, ASEN, and Socket.

본 발명에서 잔류취약점은, 보안 패치(patch) 등을 통해 보안취약점이 개선되고 난 상태의 취약점을 의미하며, 대부분의 경우 취약점이 알려지고 관련 패치가 되기 전까지 남아있는 취약점이다. 잔류취약점은 도 1의 V3 영역에 해당하며, 일반적으로 고유취약점보다 같거나 작은 집합으로 나타낸다.Residual vulnerability in the present invention, It refers to a vulnerability in which a security vulnerability has been improved through a security patch. In most cases, the vulnerability remains until the vulnerability is known and related to the patch. The residual vulnerability corresponds to the region V3 of FIG. 1 and is generally represented by a set that is less than or equal to the inherent vulnerability.

상술되어진 구성과 도 4에 도시된 플로우차트를 참조하여 본 발명의 실시예에 따른 네트워크 자산의 취약성을 고려한 침입탐지시스템의 로그최적화 방법을 구체적으로 설명한다.With reference to the above-described configuration and the flowchart shown in Figure 4 will be described in detail the log optimization method of the intrusion detection system in consideration of the vulnerability of the network asset according to an embodiment of the present invention.

보안관리자가 자원관리부(130)의 자원관리 인터페이스(132)를 통해 보안관리대상이 되는 시스템의 정보를 입력하면(S2), 상기 시스템 정보는 자원DB(134)에 저장된다. 이때, 자원DB(134)에 저장되는 정보는 시스템 OS, 시스템 IP, 시스템명, 시스템 관리자, 관리자 연락처, E-Mail 등이다.When the security manager inputs information of a system to be a security management object through the resource management interface 132 of the resource manager 130 (S2), the system information is stored in the resource DB 134. At this time, the information stored in the resource DB 134 is a system OS, a system IP, a system name, a system administrator, an administrator contact number, and an E-Mail.

취약점 분석부(140)의 취약점분석시스템(142)은 전달계층(120)을 통해 시스템(110)으로 각종 취약점테스트메시지를 전달하고, 상기 취약점테스트메시지에 대한 응답여부를 근거로 시스템(110)에 대한 취약점을 분석한 후, 그 취약점 분석 결과를 DB(144)에 저장한다(S6). 취약점분석결과DB(144)에 저장되는 취약점분석결과는 시스템OS, 시스템IP, 취약점포트, 취약점프로토콜, 취약점명, CVE-ID, 위험도 등이고, 취약점분석시스템(142)에 의해 분석되는 취약점은 도 1의 V2영역에 해당한다.The vulnerability analysis system 142 of the vulnerability analysis unit 140 transmits various vulnerability test messages to the system 110 through the delivery layer 120, and transmits the system to the system 110 based on whether the vulnerability test message is answered. After analyzing the vulnerability, the vulnerability analysis result is stored in the DB 144 (S6). The vulnerability analysis results stored in the vulnerability analysis result DB 144 are system OS, system IP, vulnerability port, vulnerability protocol, vulnerability name, CVE-ID, risk, etc., and the vulnerability analyzed by the vulnerability analysis system 142 is shown in FIG. 1. It corresponds to V2 area of.

이어, 로그최적화부(160)의 로그최적화엔진(162)의 취약점필터링엔진(210)은 취약점분석결과DB(144)에 저장된 취약점분석결과에 대해 필터링을 수행하여 잔류취약점을 추출한 후, 추출된 잔류추출점정보를 취약점요약DB(230)에 저장한다(S6).Subsequently, the vulnerability filtering engine 210 of the log optimization engine 162 of the log optimizer 160 performs filtering on the vulnerability analysis result stored in the vulnerability analysis result DB 144 to extract the residual vulnerability, and then extract the remaining vulnerability. The extraction point information is stored in the vulnerability summary DB 230 (S6).

한편, 침입탐지시스템(152)은 보안관리 대상이 되는 시스템(110)이 포함된 네트워크상에 전송되는 트래픽을 통해 악의자의 침입을 탐지한다. 앞서 설명한 바와 같이, 침입탐지시스템(152)은 CVE 리스트를 참조하여, 특정 트래픽이 CVE 리스트에 속하면 상기 트래픽을 침입을 위한 트래픽으로 판단한다. On the other hand, the intrusion detection system 152 detects the intrusion of the malicious through the traffic transmitted on the network including the system 110 that is the security management target. As described above, the intrusion detection system 152 refers to the CVE list, and if the specific traffic belongs to the CVE list, the intrusion detection system 152 determines the traffic as traffic for intrusion.

침입탐지시스템(153)은 상기 침입탐지결과를 DB(154)에 저장하는데, 침입탐지결과DB(154)에 저장된 침입탐지결과는 로그최적화부(160)의 인터페이스(220)를 통해 로그공급기(240)로 전달되고, 로그공급기(240)는 상기 침입탐지결과를 로그최적화기(250)에서 용이하게 인식할 수 있도록 하기 위하여 인터페이스(220)를 통해 전송받은 침입탐지결과를 단위화하여 로그최적화기(260)로 전송한다. The intrusion detection system 153 stores the intrusion detection result in the DB 154. The intrusion detection result stored in the intrusion detection result DB 154 is a log supplier 240 through the interface 220 of the log optimization unit 160. The log supplier 240 unitizes the intrusion detection result transmitted through the interface 220 in order to easily recognize the intrusion detection result in the log optimizer 250. 260).

이에, 로그최적화엔진(162)의 로그 최적화기(162)는 취약점요약DB(230)에 저장된 잔류취약점과 로그공급기(204)로부터 전송받은 침입탐지결과를 이용하여 로그최적화를 수행한다(S38). 상기 로그최적화는 상기 침입탐지결과에 포함된 시스템 IP와 상기 잔류취약점정보에 포함된 시스템 IP를 근거로, 상기 침입탐지결과 중 상기 잔류취약점에 해당하는 침입탐지결과를 추출하고, 추출된 침입탐지결과에 해당하는 로그를 생성한 후, 상기 로그정보를 최적화로그DB(164)에 저장한다.Accordingly, the log optimizer 162 of the log optimization engine 162 performs log optimization by using the remaining vulnerability stored in the vulnerability summary DB 230 and the intrusion detection result received from the log supplier 204 (S38). The log optimization extracts an intrusion detection result corresponding to the residual vulnerability from the intrusion detection results based on the system IP included in the intrusion detection result and the system IP included in the residual vulnerability information. After generating a log corresponding to the, the log information is stored in the optimization log DB (164).

이후, 알람엔진(180)은 최적화로그DB(162)에 저장된 로그정보를 이용하여 침입탐지에 따른 알람을 발생하여 보안관리자에게 전송하고, 통계엔진(170)은 취약점분석결과DB(144), 침입탐지결과DB(154), 및 최적화로그DB(180)에 저장된 정보를 근거로 보안관리자에 요구에 부응하는 통계자료를 생성하여 관리한다. 이때, 발생되는 알람이 자원등록과정에서 입력된 자산의 중요도와 침입/취약성의 위험도를 고려하여 표시되기 때문에, 보안관리자가 침입대응 우선순위를 판단할 수 있도록 한다.Thereafter, the alarm engine 180 generates an alarm according to the intrusion detection using the log information stored in the optimization log DB 162 and transmits the alarm to the security manager. Based on the information stored in the detection result DB (154) and the optimization log DB (180) generates and manages statistical data in response to the request to the security manager. In this case, since the generated alarm is displayed in consideration of the importance of the assets input during the resource registration process and the risk of intrusion / fragility, the security manager can determine the intrusion response priority.

본 발명은, 상술되어진 바와 같이 보안 대상이 되는 시스템(100)과 연관성을 갖는 취약점에 대한 침입이 탐지된 경우에만 보안관리자측으로 알람이 발생됨으로써, 보안관리자가 오탐된 침입에 대응하는 부담을 최대한 줄여, 사이버 공격에 효율적으로 대응할 수 있게 된다.According to the present invention, an alarm is generated to the security manager only when an intrusion of a vulnerability associated with the system 100 to be secured is detected as described above, thereby reducing the burden on the security manager to respond to a false intrusion. This will enable them to respond effectively to cyber attacks.

이상 설명한 바와 같은 본 발명에 의하면, 취약점분석시스템과 침입탐지시스템을 서로 연동하여 보안대상이 되는 시스템과 연관성이 없는 알람 및 로그에 대해 필터링함으로써 로그 분석의 효율과 오탐율을 개선하여 보안관리자가 사이버 공격에 효율적으로 대응할 수 있도록 한다는 효과가 있다. According to the present invention as described above, by linking the vulnerability analysis system and intrusion detection system to each other and filtering for alarms and logs that are not associated with the system to be secured, the security manager can improve the efficiency and false positive rate of the log analysis. It is effective in effectively responding to attacks.

또한, 본 발명은 자산의 중요도를 고려하여 다중 위협이 존재할 때 자산의 중요도에 따라 대응할 수 있도록 하는 효과도 있다.In addition, the present invention has the effect of being able to respond to the importance of the asset when there are multiple threats in consideration of the importance of the asset.

한편, 본 발명은 상술한 실시예로만 한정되는 것이 아니라 본 발명의 요지를 벗어나지 않는 범위내에서 수정 및 변형하여 실시할 수 있고, 이러한 수정 및 변경 등은 이하의 특허 청구의 범위에 속하는 것으로 보아야 할 것이다.On the other hand, the present invention is not limited to the above-described embodiment, but can be modified and modified within the scope not departing from the gist of the present invention, such modifications and changes should be regarded as belonging to the following claims. will be.

도 1은 본 발명에 적용되는 취약점 분류도.1 is a classification of vulnerabilities applied to the present invention.

도 2는 본 발명의 실시예에 따른 침입탐지시스템의 로그최적화 장치의 블럭구성도.Figure 2 is a block diagram of a log optimization device of the intrusion detection system according to an embodiment of the present invention.

도 3은 도 2에 도시된 로그최적화부의 세부 구성도. 3 is a detailed configuration diagram of the log optimization unit shown in FIG. 2.

도 4는 본 발명의 실시예에 따른 침입탐지시스템의 로그최적화 방법을 설명하기 위한 플로우차트.4 is a flowchart illustrating a log optimization method of an intrusion detection system according to an embodiment of the present invention.

Claims (7)

보안대상이 되는 시스템의 자원정보를 이용하여 상기 시스템에 대한 취약점을 분석하는 취약점분석부;Vulnerability analysis unit for analyzing the vulnerability for the system using the resource information of the system to be a security target; 상기 시스템이 포함된 네트워크의 침입을 탐지하는 침입탐지부;An intrusion detection unit detecting an intrusion of a network including the system; 상기 취약점분석부의 취약점분석결과에서 잔류취약점만을 추출하는 취약점필터링부;Vulnerability filtering unit for extracting only the remaining vulnerability from the vulnerability analysis result of the vulnerability analysis unit; 상기 침입탐지부의 침입결과 중 상기 잔류취약점과 연관된 침입결과에 대해서만 로그정보를 생성하는 로그최적화부; 및A log optimizer configured to generate log information only for an intrusion result associated with the residual weakness among the intrusion results of the intrusion detection unit; And 상기 로그정보를 근거로 침입탐지에 따른 알람을 발생하는 알람발생부를 구비하여 구성된 것을 특징으로 하는 네트워크 자산의 취약성을 고려한 침입탐지시스템의 로그최적화 장치.And an alarm generator configured to generate an alarm according to the intrusion detection based on the log information. The log optimization apparatus of the intrusion detection system considering the vulnerability of the network asset. 제 1 항에 있어서, 상기 취약점필터링부는The method of claim 1, wherein the vulnerability filtering unit 상기 취약점분석결과에서 이미 개선된 취약점을 필터링하여 잔류취약점을 산출하는 것을 특징으로 하는 네트워크 자산의 취약성을 고려한 침입탐지시스템의 로그최적화 장치.Log optimization device of intrusion detection system in consideration of the vulnerability of network assets, characterized in that to calculate the residual vulnerability by filtering the weakness already improved in the vulnerability analysis result. 제 2 항에 있어서, 이미 개선된 취약점은 보안 패치가 행해진 취약점인 것을 특징으로 하는 네트워크 자산의 취약성을 고려한 침입탐지시스템의 로그최적화 장치.The apparatus of claim 2, wherein the vulnerabilities that have been improved are security vulnerabilities. 제 1 항에 있어서, 상기 침입탐지부는According to claim 1, wherein the intrusion detection unit 네트워크상에 전송되는 트래픽 중 CVE 리스트에 속하는 트래픽이 감지되면, 침입이 탐지된 것으로 간주하고, 공격시작시간, 공격자IP, 공격자포트, 대상자IP, 대상자포트, 공격명, 공격탐지종료시간, 프로토콜, 위험도, 및 CVE-ID를 포함하는 침입탐지결과정보를 관리하는 것을 특징으로 하는 네트워크 자산의 취약성을 고려한 침입탐지시스템의 로그최적화 장치. If traffic belonging to the CVE list is detected among the traffic transmitted on the network, the intrusion is considered to be detected, attack start time, attacker IP, attacker port, target IP, target port, attack name, attack detection end time, protocol, A device for optimizing logs of intrusion detection systems in consideration of vulnerability of network assets, which manages intrusion detection result information including risk and CVE-ID. 제 1 항에 있어서, 상기 취약점분석부는According to claim 1, wherein the vulnerability analysis unit 상기 시스템으로 취약점테스트메시지를 전송하여 상기 시스템으로부터 전송되는 응답결과를 근거로 취약점을 분석하고, 분석된 취약점에 대해 시스템OS, 시스템IP, 취약점포트, 취약점프로토콜, 취약점명, CVE-ID, 및 위험도를 포함하는 취약점분석결과를 관리하는 것을 특징으로 하는 네트워크 자산의 취약성을 고려한 침입탐지시스템의 로그최적화 장치.The vulnerability test message is sent to the system to analyze the vulnerability based on the response result sent from the system, and the system OS, system IP, vulnerability port, vulnerability protocol, vulnerability name, CVE-ID, and risk for the analyzed vulnerability Log optimization device of intrusion detection system considering the vulnerability of network assets, characterized in that for managing the vulnerability analysis results, including. 제 4 항 또는 제 5 항에 있어서, 상기 로그최적화부는The method of claim 4 or 5, wherein the log optimization unit 상기 침입탐지결과와 상기 취약점분석결과에서 시스템IP, CVE-ID, 및 포트번호 중 적어도 하나를 이용하여 상기 잔류취약점과 연관성을 갖는 침입결과를 추출하는 것을 특징으로 하는 네트워크 자산의 취약성을 고려한 침입탐지시스템의 로그최적화 장치.Intrusion detection that takes into account the vulnerability of the network asset, extracting an intrusion result associated with the residual vulnerability using at least one of a system IP, a CVE-ID, and a port number from the intrusion detection result and the vulnerability analysis result. Log optimizer for the system. 제 1 항에 있어서,The method of claim 1, 상기 침입탐지결과, 상기 로그정보, 및 상기 취약점분석결과를 근거로 소정 통계를 행하는 통계처리부를 추가로 구비함을 특징으로 하는 네트워크 자산의 취약성을 고려한 침입탐지시스템의 로그최적화 장치. And a statistical processing unit which performs predetermined statistics based on the intrusion detection result, the log information, and the vulnerability analysis result. 10. The log optimization apparatus of the intrusion detection system considering the vulnerability of the network asset.
KR1020040003691A 2004-01-19 2004-01-19 Apparatus for optimizing log of intrusion detection system with consideration of the vulnerability of the network devices KR101022167B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040003691A KR101022167B1 (en) 2004-01-19 2004-01-19 Apparatus for optimizing log of intrusion detection system with consideration of the vulnerability of the network devices

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040003691A KR101022167B1 (en) 2004-01-19 2004-01-19 Apparatus for optimizing log of intrusion detection system with consideration of the vulnerability of the network devices

Publications (2)

Publication Number Publication Date
KR20050075950A true KR20050075950A (en) 2005-07-26
KR101022167B1 KR101022167B1 (en) 2011-03-17

Family

ID=37263943

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040003691A KR101022167B1 (en) 2004-01-19 2004-01-19 Apparatus for optimizing log of intrusion detection system with consideration of the vulnerability of the network devices

Country Status (1)

Country Link
KR (1) KR101022167B1 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100651749B1 (en) * 2005-09-12 2006-12-01 한국전자통신연구원 Method for detection of unknown malicious traffic and apparatus thereof
KR100898867B1 (en) * 2007-08-03 2009-05-21 에스케이 텔레콤주식회사 System and method for enterprise it security management
KR100901776B1 (en) * 2007-10-24 2009-06-11 한국전자통신연구원 Device and Method for Inspecting Vulnerability of Network Equipments Using a Search Engine
US8353043B2 (en) 2007-10-16 2013-01-08 Electronics And Telecommunications Research Institute Web firewall and method for automatically checking web server for vulnerabilities
KR20160039994A (en) * 2014-10-02 2016-04-12 한국원자력연구원 Digital assets analysis method of instrumentation and control system in nuclear power plant and apparatus thereof
CN112651029A (en) * 2021-01-08 2021-04-13 长沙树根互联技术有限公司 Application system vulnerability detection system and method, storage medium and electronic equipment
CN113722479A (en) * 2021-08-10 2021-11-30 深圳开源互联网安全技术有限公司 Log detection method and device and storage medium

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101414176B1 (en) 2013-06-07 2014-07-02 한국전자통신연구원 Apparatus and method for analyzing vulnerability of zigbee network

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000072707A (en) * 2000-09-20 2000-12-05 홍기융 The Method of Intrusion Detection and Automatical Hacking Prevention
KR100351306B1 (en) * 2001-01-19 2002-09-05 주식회사 정보보호기술 Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof
KR100474155B1 (en) 2002-05-14 2005-03-08 한국전자통신연구원 System and method for analyzing vulnerability in distributed network environment
EP1512075A1 (en) * 2002-05-22 2005-03-09 Lucid Security Corporation Adaptive intrusion detection system

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100651749B1 (en) * 2005-09-12 2006-12-01 한국전자통신연구원 Method for detection of unknown malicious traffic and apparatus thereof
KR100898867B1 (en) * 2007-08-03 2009-05-21 에스케이 텔레콤주식회사 System and method for enterprise it security management
US8353043B2 (en) 2007-10-16 2013-01-08 Electronics And Telecommunications Research Institute Web firewall and method for automatically checking web server for vulnerabilities
KR100901776B1 (en) * 2007-10-24 2009-06-11 한국전자통신연구원 Device and Method for Inspecting Vulnerability of Network Equipments Using a Search Engine
KR20160039994A (en) * 2014-10-02 2016-04-12 한국원자력연구원 Digital assets analysis method of instrumentation and control system in nuclear power plant and apparatus thereof
CN112651029A (en) * 2021-01-08 2021-04-13 长沙树根互联技术有限公司 Application system vulnerability detection system and method, storage medium and electronic equipment
CN112651029B (en) * 2021-01-08 2024-04-02 长沙树根互联技术有限公司 System and method for detecting application system loopholes, storage medium and electronic equipment
CN113722479A (en) * 2021-08-10 2021-11-30 深圳开源互联网安全技术有限公司 Log detection method and device and storage medium
CN113722479B (en) * 2021-08-10 2023-12-05 深圳开源互联网安全技术有限公司 Log detection method, device and storage medium

Also Published As

Publication number Publication date
KR101022167B1 (en) 2011-03-17

Similar Documents

Publication Publication Date Title
CN109829310B (en) Similar attack defense method, device, system, storage medium and electronic device
US10893059B1 (en) Verification and enhancement using detection systems located at the network periphery and endpoint devices
KR100942456B1 (en) Method for detecting and protecting ddos attack by using cloud computing and server thereof
EP4027604A1 (en) Security vulnerability defense method and device
CN109302426B (en) Unknown vulnerability attack detection method, device, equipment and storage medium
US20160241574A1 (en) Systems and methods for determining trustworthiness of the signaling and data exchange between network systems
CN111131338A (en) Method and system for detecting safety of Internet of things at perception situation and storage medium
JP7204247B2 (en) Threat Response Automation Methods
CN112769833B (en) Method and device for detecting command injection attack, computer equipment and storage medium
KR102414334B1 (en) Method and apparatus for detecting threats of cooperative-intelligent transport road infrastructure
CN113364799B (en) Method and system for processing network threat behaviors
US10142360B2 (en) System and method for iteratively updating network attack mitigation countermeasures
KR101768079B1 (en) System and method for improvement invasion detection
CN113411297A (en) Situation awareness defense method and system based on attribute access control
KR101022167B1 (en) Apparatus for optimizing log of intrusion detection system with consideration of the vulnerability of the network devices
KR20120043466A (en) Method and apparatus for managing enterprise security based on information provided by intrusion detection system
CN113660222A (en) Situation awareness defense method and system based on mandatory access control
KR101767591B1 (en) System and method for improvement invasion detection
CN106209867B (en) Advanced threat defense method and system
KR100607110B1 (en) Security information management and vulnerability analysis system
CN110086812B (en) Safe and controllable internal network safety patrol system and method
CN116781380A (en) Campus network security risk terminal interception traceability system
CN113328976B (en) Security threat event identification method, device and equipment
CN109255243B (en) Method, system, device and storage medium for repairing potential threats in terminal
CN106993005A (en) The method for early warning and system of a kind of webserver

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140303

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150302

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160229

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170322

Year of fee payment: 7