KR20080047826A - 문맥 언어 기반의 보안이벤트 상관분석 장치 및 방법 - Google Patents
문맥 언어 기반의 보안이벤트 상관분석 장치 및 방법 Download PDFInfo
- Publication number
- KR20080047826A KR20080047826A KR1020060117746A KR20060117746A KR20080047826A KR 20080047826 A KR20080047826 A KR 20080047826A KR 1020060117746 A KR1020060117746 A KR 1020060117746A KR 20060117746 A KR20060117746 A KR 20060117746A KR 20080047826 A KR20080047826 A KR 20080047826A
- Authority
- KR
- South Korea
- Prior art keywords
- correlation analysis
- rule
- event
- language
- rdl
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/30—Creation or generation of source code
- G06F8/31—Programming languages or programming paradigms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/12—Messaging; Mailboxes; Announcements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
- Information Transfer Between Computers (AREA)
Abstract
Description
출발지IP=any, 출발지포트=1356, 목적지IP=any, 목적지포트=2101, action=any |
출발지IP=any, 출발지포트=1356, 목적지IP=any, 목적지포트=2101, action=any 출발지IP=any, 출발지포트=20, 목적지IP=any, 목적지포트=34568 |
Claims (9)
- 이벤트 로그가 발생하는 이기종 정보 보호설비(1); 상기 이기종 정보 보호설비(1)에서 발생한 이벤트 로그를 다양한 형식의 로그 전송프로토콜을 통하여 수집하는 이벤트 로그 수집부(2); 상기 이벤트 로그 수집부(2)에서 수집한 이벤트 로그를 정규화한 후에 표준화된 이벤트로 변환하여 DB에 저장하는 정규화 이벤트 DB(3); 사용자가 입력한 상관 분석 규칙을 RDL과 ADL로 나뉘어 해석하고 해석된 규칙을 상관 분석 처리부에 전달하는 상관분석 언어 해석부(4); 상기 상관분석 언어 해석부(4)로부터 해석된 규칙을 전달받아 상기 정규화 이벤트 DB에서 저장된 이벤트의 주요 값들을 참조하여 분석 및 통계를 수행하는 상관분석 처리부(5); 및 상기 상관분석 처리부(5)에서 분석된 결과를 사용자에게 알리는 결과보고부(6)로 이루어진 것을 특징으로 하는 문맥 언어 기반의 보안이벤트 상관분석 시스템.
- 제 1 항에 있어서,상기 상관분석 처리부(5)는 상관분석 규칙 스크립트를 통하여 정규화 이벤트를 불러들여 분석을 수행하고, 분석을 통하여 사용자에게 통지하기 위한 모든 과정이 상관분석 규칙 스크립트를 통하여 이루어지는 것을 특징으로 하는 문맥 언어 기반의 보안이벤트 상관분석 시스템.
- 사용자에 의해 상관분석 규칙 스크립트가 입력되는 제 1 단계(ST1); 상기 제 1 단계(ST1) 후 이벤트 상관 분석 처리를 위한 RDL과 분석결과를 처리하기 위한 규칙인 Action 규칙처리를 위한 ADL로 구성된 상관분석 규칙 스크립트를 읽어서 문장 분석하는 제 2 단계(ST2); 상기 제 2 단계(ST2) 후 Syntax Grammer와 Syntax Diagram을 참조하여 해당 상관분석 규칙 스크립트를 해석하는 제 3 단계(ST3); 상기 제 3 단계(ST3) 후 사용자가 입력한 상관분석 규칙 스크립트에 오류가 있는지 없는지 판별하는 제 4 단계(ST4); 상기 제 4 단계(ST4) 후 사용자가 입력한 상관분석 규칙 스크립트에 오류가 있다면 이를 보고하는 제 5 단계(ST5); 상기 제 4 단계(ST4) 후 사용자가 입력한 상관분석 규칙 스크립트에 오류가 없다면 RDL과 ADL로 구분하는 제 6 단계(ST6); 상기 제 6 단계(ST6) 후 RDL로 구분된 상관분석 규칙 스크립트를 이벤트 상관분석 처리하는 제 7 단계(ST7); 상기 제 7 단계(ST7) 후 상관분석 처리한 결과가 다음 규칙의 새로운 조건인지 판별하여 새로운 조건이 아닐 경우 그 결과와 상기 제 6 단계(ST6) 후 ADL로 구분된 상관분석 규칙 스크립트를 Action 규칙 처리한 후 그 결과를 사용자에게 알려주고 다시 문장분석을 위해 상기 제 2 단계(ST2)로 재전송하는 제 8 단계(ST8); 상기 제 7 단계(ST7) 후 상관분석 처리한 결과가 상기 제 8 단계에서 다음 규칙의 새로운 조건으로 판별될 경우, 새로운 문맥을 생성하여 다음 규칙에서 이를 조건으로 새로운 규칙을 적용할 수 있도록 하는, 즉, 하나의 RDL을 처리한 결과가 다음 규칙의 RDL에서 새로운 조건(Context)으로 처리될 수 있도록 하는 제 9 단계(ST9); 및 상기 8 단계(ST8) 후 사용자에게 휴대전화 단문메시지, GUI Popup 및 E-mail을 통하여 보고하는 제 10 단계(ST10)를 포함하여 수행하는 것을 특징으로 하는 문맥 언어 기반의 보안이벤트 상관분석 시스템.
- 제 3 항에 있어서,상기 RDL의 Syntax Diagram은, 상관분석언어를 통하여, 규칙을 생성하거나, 생성된 규칙을 갱신할 수 있으며, 생성된 규칙에 대한 규칙의 명칭 및 생성된 상관분석규칙이 속하는 대분류의 Class를 지정하고, 정규화된 이벤트를 정규화이벤트 DB로부터 참조하여 시간, 디바이스 ID, 네트워크 ID, 이벤트, 방화벽 규칙 ID, 침입탐지/침입차단 시스템의 Signature ID 등의 정보보호설비가 제공한 정보를 AND, OR의 연산자를 통한 조합으로 Context(문맥/조건)을 생성하는 것을 특징으로 하는 문맥 언어 기반의 보안이벤트 상관분석 시스템.
- 제 3 항에 있어서,상기 RDL의 Syntax Diagram은, 정의된 상관분석 규칙에 의해 생성된 문맥/조건(Context)을 참조하여 다수개의 문맥/조건을 그룹으로 하여 새로운 문맥/조건을 생성할 수 있는 것을 특징으로 하는 문맥 언어 기반의 보안이벤트 상관분석 시스템.
- 제 3 항에 있어서,상기 ADL의 Syntax Diagram은, RDL에 의해 출력된 상관분석의 결과에 따라 새로운 문맥/조건(Context)를 생성할 수 있으며, 이때 생성된 문맥명칭(Context Name)은 RDL에 의해 재사용이 가능한 것을 특징으로 하는 문맥 언어 기반의 보안 이벤트 상관분석 시스템.
- 제 3 항에 있어서,상기 ADL의 Syntax Diagram은, RDL에 의해 출력된 상관분석의 결과에 따라 RDL에 의해 출력된 상관분석의 결과를 사용자에게 알림에 있어서, 그 결과의 중요도를 지정할 수 있는 것을 특징으로 하는 문맥 언어 기반의 보안 이벤트 상관분석 시스템.
- 제 7 항에 있어서,상기 RDL의 결과를 사용자에게 알림에 있어서, 관리자를 지정할 수 있으며, 결과를 알려 주는 수단으로 휴대전화 단문메시지, GUI Popup 및 E-mail을 통한 전달 방법을 언어로 정의할 수 있는 것을 특징으로 하는 문맥 언어 기반의 보안 이벤트 상관분석 시스템.
- 제 3 항에 있어서,상기 상관분석 규칙 언어를 통한 문맥/조건(Context)의 생성 기능과 생성된 문맥/조건(Context)를 이용한 상세한 조건 검색 및 이벤트 추적 기능을 제공할 수 있는 것을 특징으로 하는 문맥 언어 기반의 보안이벤트 상관분석 시스템.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060117746A KR100846835B1 (ko) | 2006-11-27 | 2006-11-27 | 문맥 언어 기반의 보안이벤트 상관분석 장치 및 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060117746A KR100846835B1 (ko) | 2006-11-27 | 2006-11-27 | 문맥 언어 기반의 보안이벤트 상관분석 장치 및 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20080047826A true KR20080047826A (ko) | 2008-05-30 |
KR100846835B1 KR100846835B1 (ko) | 2008-07-16 |
Family
ID=39664146
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020060117746A KR100846835B1 (ko) | 2006-11-27 | 2006-11-27 | 문맥 언어 기반의 보안이벤트 상관분석 장치 및 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100846835B1 (ko) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100912794B1 (ko) * | 2008-11-18 | 2009-08-18 | 주식회사 나우콤 | 실시간 웹 서버 해킹 분석 및 홈페이지 위변조 감시를 위한 웹 위협관리 시스템 및 그 방법 |
KR100933986B1 (ko) * | 2007-10-22 | 2009-12-28 | 한국전자통신연구원 | 네트워크 공격의 통합 시그니처 관리 및 분배 시스템 및방법 |
US9158894B2 (en) | 2011-12-16 | 2015-10-13 | Electronics And Telecommunications Research Institute | Apparatus and method for analyzing rule-based security event association |
KR20160071167A (ko) * | 2014-12-11 | 2016-06-21 | 현대자동차주식회사 | 복수의 수집정책 처리 장치 및 그 방법 |
CN105701876A (zh) * | 2014-12-11 | 2016-06-22 | 现代自动车株式会社 | 用于处理多个记录策略的装置和方法 |
CN116232751A (zh) * | 2023-03-16 | 2023-06-06 | 中国华能集团有限公司北京招标分公司 | 一种安全告警分析方法 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101217457B1 (ko) * | 2012-06-01 | 2013-01-02 | 주식회사 윈스테크넷 | 네트워크 보안 최적화를 위한 통합 보안 장치 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20040048468A (ko) * | 2002-12-03 | 2004-06-10 | 노봉남 | 감사로그 상관관계 알고리즘을 통한 침입 탐지율 향상 방법 |
KR100506851B1 (ko) | 2003-03-04 | 2005-08-08 | 엘지엔시스(주) | 호스트 기반 고속 침입 탐지시스템 및 탐지방법 |
KR100559474B1 (ko) | 2004-09-21 | 2006-03-10 | 한국전자통신연구원 | 다양한 종류의 문자열 형태의 침입탐지경보에서 동일한형태의 정보를 얻는 방법 |
-
2006
- 2006-11-27 KR KR1020060117746A patent/KR100846835B1/ko active IP Right Grant
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100933986B1 (ko) * | 2007-10-22 | 2009-12-28 | 한국전자통신연구원 | 네트워크 공격의 통합 시그니처 관리 및 분배 시스템 및방법 |
KR100912794B1 (ko) * | 2008-11-18 | 2009-08-18 | 주식회사 나우콤 | 실시간 웹 서버 해킹 분석 및 홈페이지 위변조 감시를 위한 웹 위협관리 시스템 및 그 방법 |
US9158894B2 (en) | 2011-12-16 | 2015-10-13 | Electronics And Telecommunications Research Institute | Apparatus and method for analyzing rule-based security event association |
KR20160071167A (ko) * | 2014-12-11 | 2016-06-21 | 현대자동차주식회사 | 복수의 수집정책 처리 장치 및 그 방법 |
CN105701876A (zh) * | 2014-12-11 | 2016-06-22 | 现代自动车株式会社 | 用于处理多个记录策略的装置和方法 |
US9773360B2 (en) | 2014-12-11 | 2017-09-26 | Hyundai Motor Company | Apparatus for processing a plurality of logging policies and method thereof |
US9870655B2 (en) | 2014-12-11 | 2018-01-16 | Hyundai Motor Company | Apparatus and method for processing a plurality of logging policies |
CN105701876B (zh) * | 2014-12-11 | 2020-05-08 | 现代自动车株式会社 | 用于处理多个记录策略的装置和方法 |
CN116232751A (zh) * | 2023-03-16 | 2023-06-06 | 中国华能集团有限公司北京招标分公司 | 一种安全告警分析方法 |
Also Published As
Publication number | Publication date |
---|---|
KR100846835B1 (ko) | 2008-07-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100846835B1 (ko) | 문맥 언어 기반의 보안이벤트 상관분석 장치 및 방법 | |
CN103430504B (zh) | 用于保护指定数据组合的系统和方法 | |
CN107483438A (zh) | 一种基于大数据的网络安全态势感知预警系统和方法 | |
CN110324348A (zh) | 一种计算机网络信息安全监测系统 | |
CN108551449B (zh) | 防病毒管理系统及方法 | |
US9961047B2 (en) | Network security management | |
CN111614696A (zh) | 一种基于知识图谱的网络安全应急响应方法及其系统 | |
CN112039862A (zh) | 一种面向多维立体网络的安全事件预警方法 | |
CN114143064B (zh) | 一种多源网络安全告警事件溯源与自动处置方法及装置 | |
CN104091098A (zh) | 文档操作安全审计系统 | |
EP3343421A1 (en) | System to detect machine-initiated events in time series data | |
US20170142155A1 (en) | Advanced Local-Network Threat Response | |
CN114050937B (zh) | 邮箱服务不可用的处理方法、装置、电子设备及存储介质 | |
CN115941317A (zh) | 一种网络安全综合分析及态势感知平台 | |
CN106446720B (zh) | Ids规则的优化系统及优化方法 | |
CN105739408A (zh) | 一种电力调度系统用业务监控方法及系统 | |
KR102090757B1 (ko) | 침해사고 대응지시서에 기반한 보안장비 제어정책 자동 적용 시스템 및 그 방법 | |
KR101022167B1 (ko) | 네트워크 자산의 취약성을 고려한 침입탐지시스템의로그최적화 장치 | |
KR101973728B1 (ko) | 통합 보안 이상징후 모니터링 시스템 | |
KR102384672B1 (ko) | 보안 장비, 보안 위협 분석 장치 및 방법 | |
TWI670953B (zh) | 異常監控系統及異常監控方法 | |
JP2019175070A (ja) | アラート通知装置およびアラート通知方法 | |
CN112887288B (zh) | 基于互联网的电商平台入侵检测的前端计算机扫描系统 | |
CN116668062B (zh) | 一种基于数据分析的网络安全运维管理平台 | |
KR20100103126A (ko) | 클러스터링 기법을 이용한 통합보안관리시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130711 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20140711 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20150707 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20160711 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20170711 Year of fee payment: 10 |
|
FPAY | Annual fee payment |
Payment date: 20180710 Year of fee payment: 11 |
|
FPAY | Annual fee payment |
Payment date: 20190709 Year of fee payment: 12 |