KR20080079767A - 대형 네트워크에서 실시간 사이버 침입에 대한 이벤트유형의 정형화 시스템 및 방법 - Google Patents

대형 네트워크에서 실시간 사이버 침입에 대한 이벤트유형의 정형화 시스템 및 방법 Download PDF

Info

Publication number
KR20080079767A
KR20080079767A KR1020070020154A KR20070020154A KR20080079767A KR 20080079767 A KR20080079767 A KR 20080079767A KR 1020070020154 A KR1020070020154 A KR 1020070020154A KR 20070020154 A KR20070020154 A KR 20070020154A KR 20080079767 A KR20080079767 A KR 20080079767A
Authority
KR
South Korea
Prior art keywords
information
event
hoids
threat
cyber
Prior art date
Application number
KR1020070020154A
Other languages
English (en)
Inventor
이동춘
이동휘
Original Assignee
학교법인 대전기독학원
이동춘
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 학교법인 대전기독학원, 이동춘 filed Critical 학교법인 대전기독학원
Priority to KR1020070020154A priority Critical patent/KR20080079767A/ko
Publication of KR20080079767A publication Critical patent/KR20080079767A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • G06Q10/107Computer-aided management of electronic mailing [e-mailing]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Human Resources & Organizations (AREA)
  • Strategic Management (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Health & Medical Sciences (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 대형 네트워크에서 실시간 사이버 위협의 이벤트 유형 정형화 방법에 관한 것으로, 상세하게는 중대형 네트워크의 사이버위협 대처능력 강화를 위해 허니넷 기반의 예· 경보시스템(Early Alert System)을 구성하여 기존의 탐지기법을 향상시키고, RIS(라우팅 정보 시스템) 상관관계 기법을 적용하여 악성바이러스 및 변종바이러스를 조기에 탐지하여 대처하는 최적의 시스템을 제공하고, 예 · 경보를 위해서 실시간 보안 이벤트와 기존의 오프라인 사이버위협관련 이벤트를 사이버위협 예측요소로 정의하고 위협관리시스템 등의 보안장비 이벤트를 정형화하는 방법에 관한 것이다.
HOIDS, RIS, 침입, 정형화

Description

대형 네트워크에서 실시간 사이버 침입에 대한 이벤트 유형의 정형화 시스템 및 방법{A Standardization System and Method of Event Types in Real Time Cyber Threat with Large Networks}
도 1은 종래의 보안관제 서비스를 제공하기 위해 구축되어 운영되고 있는 시스템 구성도.
도 2는 본 발명에 따른 HOIDS의 시스템 구성도.
도 3은 RIS의 구성도.
도 4는 본 발명에 따른 시스템의 구성도.
도 5는 본 발명에 따른 실시간 침입에 대한 이벤트 유형의 정형화 방법의 흐름도.
** 도면의 주요 부분에 대한 부호의 설명 **
100...HOIDS 200...RIS
220...RIS 사용자 인터페이스
310...NFIG 320...RCEG
330...FITM 340...EWVIM
본 발명은 대형 네트워크에서 실시간 사이버 위협의 이벤트 유형 정형화 방법에 관한 것으로, 상세하게는 중대형 네트워크의 사이버위협 대처능력 강화를 위해 허니넷 기반의 예· 경보시스템(Early Alert System)을 설계하며 기존의 탐지기법을 향상시키고, RIS(라우팅 정보 시스템) 상관관계 기법을 적용하여 악성바이러스 및 변종바이러스를 조기에 탐지하여 대처하는 최적의 시스템을 제공하고, 예 · 경보를 위해서 실시간 보안 이벤트와 기존의 오프라인 사이버위협관련 이벤트를 사이버위협 예측요소로 정의하고 위협관리시스템 등의 보안장비 이벤트를 정형화하는 방법에 관한 것이다.
과기부 산하 각급 연구기관들에서는 정보보호 수준을 제고하고자 다양한 형태의 정보보호 시스템을 구축 및 운영하고 있다.
그러나, 표준화된 이벤트의 부재로 인하여 호환성 및 일관성 문제가 발생하고 있다. 예컨대, 침입탐지시스템, 침입차단시스템 및 통합보안관리시스템 등의 정보보호 시스템들에서 수집되고 분석되는 로그 및 보안사고 관련 패턴의 명칭과 탐지 근거 등에 대한 설명이 매우 상이하다.
따라서, 현재 과학기술정보보호센터에서 운영되는 TESS나 ActiveTSM과 같은 통합보안관리시스템에서 각급 정보보호 대상기관에 대한 세부적인 네트워크 관련 정보를 수집 및 분석하는데 많은 애로사항이 존재하고 있다. 즉, ActiveTSM과 TESS 시스템 사이의 이벤트 정보 및 해당 이벤트의 탐지 방법이 상이하기 때문에 TESS에서 탐지된 위협 이벤트에 대한 상관분석을 수행하고자 ActiveTSM 상에서 탐지된 이벤트 및 로그 기록들을 조회하고자 할 때 일치되는 정보를 탐지하기가 매우 어려우며, 따라서 공격자 IP나 대상 IP에 대한 기록들을 일일이 살펴보아야 하는 문제가 발생되고 있다.
현재 보안관제실에서 정보보호 대상기관 및 원내에 대하여 보안관제 서비스를 제공하기 위해 구축되어 운영되고 있는 시스템 구성은 도 1과 같다. 상기의 도 1에서는 보안관제의 정확성을 높이기 위한 상관분석 수행시에 원내 패킷 정보에 대한 ActiveTSM과 TESS 콘솔 상의 이벤트를 비교한다고 가정한 상황을 도식화하고 있다.
그러나, 현재 운영중인 보안관제 시스템은 다음과 같은 문제점이 있다.
우선, 상관분석을 수행하기 위하여 TESS 콘솔상에서 탐지된 공격 형태 이벤트와 ESM인 ActiveTSM에서 수집한 각종 정보보호 제품들(침입차단시스템, 침입탐지시스템 등)의 공격 형태 이벤트 사이에 용어 등의 차이로 인하여 정확한 상관분석이 어렵다. 따라서, 현재는 단순히 해당 이벤트를 발생시킨 공격자 IP에 대한 Allow/Deny 여부만을 확인하고 있는 실정이다. 즉, TESS 콘솔 기반의 ActiveTSM 보다 정확한 상관분석이 불가능한 실정이다.
다음으로, 현재는 상관분석을 실시하지 못하고 있는 정보보호 대상기관에 대하여, 향후 지속적으로 대상기관이 추가되면서 상관관계 분석을 통한 보안관제 업무의 정확성 향상이 필수적으로 요구되어진다. 따라서, 정보보호 대상기관의 ESM를 통해 종합적으로 상관분석을 수행하거나 또는 개별적인 정보보호 제품을 통해 상관관계를 분석하여야 하지만 현재 원내와 마찬가지로 공격 형태 이벤트 사이의 용어 등의 차이로 인하여 동일한 문제점이 발생될 것으로 예상된다. 즉, 정보보호 대상기관에 대한 상관분석의 수행은 보안관제 업무의 정확성과 신뢰도 향상을 위해 필수적이지만, 보안 패턴의 탐지 및 작성 방법의 상이성 등으로 인하여 매우 어려운 실정이다.
또한, 신규로 발생되는 공격 패턴에 대해서는 탐지가 불가능하다. 따라서 해당 정보보호 제품의 개발업체를 통해 업데이트를 받아야만 최신의 이벤트 정보를 유지할 수 있다는 단점이 있다. 즉, 신규 발생한 공격 패턴에 대한 신속한 대응 및 업그레이드가 어렵기 때문에 자동적으로 신규 공격 패턴에 대한 자동생성 및 매핑 기술에 대한 연구가 필요하다.
마지막으로, 이벤트에 대한 자체정의 기능을 통해 완전히 개별적인 이벤트가 사용되기도 하기 때문에 사용자 또는 사용 기관마다 혼동을 야기한다. 예컨대, 국정원의 사이버안전센터와 같은 경우 자체 정의한 이벤트에 의해 특정 공격 유형이 탐지되면 과학기술정보보호센터의 보안관제실로 처리를 요구하지만 해당 이벤트에 대한 정보를 과학기술정보연구원에서는 보유하고 있지 않기 때문에 확인이 매우 어렵다. 즉, 근본적으로 현재 운영되고 있는 공격 패턴 관련 이벤트에 대한 표준화되고 정형화된 모델이 요구된다.
따라서 본 발명은 상기의 문제점을 해결하고자 안출된 것으로, 통합관제 시스템을 운영함에 있어서 각종 정보보호 제품들에 공격 형태 이벤트 사이의 용어차이를 정형화하여 보안 패턴 분석 및 탐지 기법의 정형화하는 방법의 제공을 목적으로 하는 것으로, 트래픽과 이벤트 그리고 시간별, 이벤트별 임계치에 관련된 정보를 통합하여 표준화를 적용하고 통계기법을 응용하여 상관 분석 할 수 있는 방법을 제공하고자 하는 것이다.
또한 조기 예 · 경보체계 개발을 위해 범세계적인 뉴스 이벤트 자료들을 수집 · 가공하여 세계 각국의 정치, 경제적 위기수준 및 안정도를 자동으로 경보해주는 VRA KM(Virtual Research Associates Knowledge Management) 시스템의 사건평가 프로토콜을 응용한 개념 적용 및 분석방법들을 적용하여 사이버 위협의 위기수준을 가공해낼 수 있는 맞춤형 데이터 생산 가능성을 제공하는데 그 목적이 있다.
본 발명은 실시간 사이버 위협에서의 이벤트 유형의 정형화 방법에 관한 것으로, 상세하게는 중대형 네트워크의 사이버위협 대처능력 강화를 위해 허니넷 기반의 예· 경보시스템(Early Alert System)을 구성하여 기존의 탐지기법을 향상시키고, RIS(라우팅 정보 시스템) 상관관계 기법을 적용하여 악성바이러스 및 변종바이러스를 조기에 탐지하여 대처하는 최적의 시스템으로 구성하고, 예· 경보를 위해서 실시간 보안 이벤트와 기존의 오프라인 사이버위협관련 이벤트를 사이버위협 예측요소로 정의하고 위협 관리시스템 등의 보안장비 이벤트를 정형화하는 방법에 관한 것이다.
본 발명에 있어서 새로운 위협에 대한 대응의 가장 중요한 요소는 공격에 대한 조기탐지 및 이에 따른 분석 기법 그리고 각 대응방법 및 메커니즘이 유기적으로 연계되도록 하는 통합된 조기 예· 경보시스템의 대응모델 및 메커니즘에 관한 구성이라 할 수 있다.
따라서 본 발명의 전체적인 구성은 중대형 네트워크의 사이버위협 대처능력 강화를 위해 허니넷 기반의 예· 경보시스템(Early Alert System)을 설계하여 기존의 탐지기법을 향상시키는 방법으로 단계적이며 효율적인 탐지기법으로 구성하는데 그 목적이 있는 것으로, 먼저 위협을 사전에 예측·판단 가능케 하는 HOIDS(Honeynet IDS, 허니넷 기반의 조기 탐지용 침입탐지시스템)를 운용하고, RIS와 연동되는 IDS에 수집된 이벤트 데이터를 통합 DB에 적재하여 다양한 이벤트들의 상관관계를 분석, 위협차단 하는 등의 보안대책을 수행하게 한다.
그리고 상기의 HOIDS 시스템과 RIS(라우팅 정보 시스템) 상관관계를 적용하여 악성바이러스 및 변종바이러스를 조기에 탐지하여 대처하는 시스템으로 구성된다.
상기 두 시스템은 조기에 탐지하는 상관관계에 치중하고 있으며, 예· 경보를 위해서 실시간 보안 이벤트와 기존의 오프라인 사이버위협관련 이벤트를 사이버위협 예측요소로 정의하고 위협관리시스템 등의 보안장비 이벤트를 정형화하는 구성으로 이루어진다.
본 발명의 구성에 따른 각각의 침입탐지 시스템을 살펴본다.
먼저 HOIDS에 대해서 살펴본다.
상기의 HOIDS(Honeynet IDS)는 허니넷 기반의 조기 탐지용 침입탐지시스템으로, 허니넷 시스템의 구성은 허니넷(Honey net)과 허니팟(Honey Pot) 시스템으로 나눌 수가 있다.
본 발명에서는 조기탐지용 허니넷 시스템으로 구성을 단순화 하여 적용한다. 먼저 전체시스템의 특정구간의 IP를 허니넷 시스템으로 전송하고 특정 IP의 탐지를 전담하고, 기존 침입탐지시스템에서의 탐지보다는 유해트래픽을 우선 적용하며, 새로운 위협에 관련하여 각 단서마다 의미를 부여한다. 각 단서에서 포착된 결과를 허니팟 시스템에 적용하고 각 보안장비별로 탐지 패턴을 입력하게 된다.
본 발명에 따른 HOIDS 시스템의 구성은 인터넷으로부터 firewall구간, server구간, client구간으로 3단계로 계층화된 구조에 Web traffic, inter-network traffic filtering을 위한 gateway구간과 내부 네트워크 Gateway구간을 추가하여 구성된 것으로 도 2에 나타내었다.
첨부된 도 2에서 Gateway구간을 추가하는 이유는 각 구역별로 정상이나 비정상 Traffic이 급증하는 과정에서 virus유입 또한 크게 증가함으로서 일반적인 수준의 방역으로는 소기의 차단효과를 얻을 수 없기 때문이며 inter-network traffic filtering은 알려지지 않아서 탐지되지 않는 악성트래픽을 검출하여 gateway구간으로 재설정 network 진입 전에 차단할 필요가 있다.
검출하는 방법으로는 HOIDS센서를 초기 유입구간과 각 Gateway구간에서 수집한다. Gateway의 각 IPS는 일단 침투된 악성이벤트의 내부유통을 차단하는 기능으로 새로운 방역층과 검출 구간으로 설정한다.
상기 HOIDS의 동작은 네트워크 대역에서 각 불용 IP대역의 이벤트에 대해서 사이버 위협요소를 분석하여 수집한다. 수집한 정보는 각 보안장비의 이벤트 패턴과 비교 분석하여 잠재취약요소를 판단한다. 허니팟(HoneyPot)에서 악성이벤트 확산 및 증식방법을 최종 분석하여 각 보안 장비에 탐지 방법을 개선하게 된다.
종래의 HOIDS의 구조는 수직 구조로 1번의 검출과 1번의 차단구조로 구성된다. 그러나 최근 악성이벤트는 대부분 검출되지 않는 변종으로 이루어져 있고, 내부 망이 심각한 감염 상태에서 보안장비에 인식되고 있는 실정이다.
따라서 본 발명의 HOIDS구조(100)에서는 3단계 차단/검출 구조로 구성된다. 1단계에서는 알려진 이벤트와 내부 보안정책으로 차단하며, 2단계에서는 HOIDS를 적용하여 기존에 알려지지 않는 악성이벤트를 찾아내는 역할을 하고, 3단계에서는 상기 1,2단계의 단계별 정책과 HOIDS의 정책을 실시간 적용하여 차단하는 구조이다. 따라서 상기 3단계에서는 바이러스 백신, 바이러스 월, IPS등이 차단 대상 보안장비가 된다.
다음으로 RIS(Routing Information System)에 대해서 살펴본다.
도 3은 RIS의 구성도를 나타낸 것이다.
Router 정보는 휘발성이기 때문에 네트워크에서 RIS서버와 각 LOCAL서버로 Router 정보를 저장한다. 라우팅 정보를 저장하기 위한 라우팅 DB에 정보를 저장하고 삭제하는 일련의 과정을 처리하는 부분(210)과 라우팅 레지스트리에 저장된 라우팅 정보를 사용자가 검색할 수 있도록 하는 사용자 인터페이스(220)로 구성되었다. 따라서 전송되고 있는 데이터에 대한 실시간 정보수집과 분석이 이루어진다.
본 발명의 주된 구성은 상기 HOIDS 시스템과 RIS 시스템에 결합되어 상호 보완하는 구성으로 이루어지는 것으로, 상기 RIS에서 LOCAL IP를 찾아내거나 악성바이러스 이벤트의 확산 패턴을 분석하여 검출한다.
상세하게는 HOIDS에서 조기탐지된 정보 즉 특정 포트, 아이피 확산 패턴, 패킷 정보 등을 기존 보안시스템과 비교하여 비 매칭 패턴을 집중 검출하여 검출된 정보를 RIS에서 상관관계분석을 통해 변종이벤트에 대해 분석하여 각 보안장비에서 차단하게 된다.
도 4는 본 발명에 따른 시스템의 구성도를 나타낸 것이다.
본 발명에 따른 시스템의 구성은 이벤트의 데이터를 수집하는 NFIG(310, News Find Input Gateway), RCEG(320, Real Critical Event Gateway), FITM(330, First Input Threat Module)과 상기 조기 경보를 다양한 형태의 시각적, 수치정보를 디스플레이하는 EWVIM(340, Early Warning Visual Information Module)의 모듈로 구성된다.
상기의 데이터 수집은 세 부분으로 분리되어 수행되는데, 실시간 글로벌 사이버 뉴스와 정보를 수집하여 정형화하는 NFIG모듈(310)과 내부 사이버위협정보를 각 보안장비와 위협이벤트로부터 수집하여 정형화하는 RCEG모듈(320), 그리고 잠재취약정보를 탐지하여 디스플레이 하는 FITM(330)으로 구성된다.
상기의 각 수준의 비교 값을 만들기 위해 임계치를 전문가그룹제어를 통해 구성한다. 상기와 같은 방법으로 수집된 오프라인 사이버위협정보와 내부 온라인 사이버위협정보를 DataBase에 실시간 저장하여 임계치 분석을 통한 그룹핑을 실시한다. 상기의 그룹핑 된 데이터는 위기경보 지표엔진으로 분석되어 관리자의 요구에 따라 다양한 초기 판단정보를 제공하고 최종적으로 상기의 EWVIM 모듈에서 위기경보지수를 출력하게 되며 해당 데이터를 다양한 형태의 그래픽 시각, 또는 수치정보로 구현하여 제공해준다.
상기 FITM(330, First Input Threat Module)은 조기 예· 경보 요소 중 가장 중요한 역할을 한다. 먼저 NFIG에서 자동으로 산출되는 취약성 정보를 취합하여 데이터베이스를 구축하고 취약성 자료와 익스프로잇으로 구분된 자료의 중요도를 전문가 그룹의 제어를 통해서 잠재위협요소가 될 수 있는 취약성 정보를 취합한다.
상기 취합된 데이터는 내· 외부 HOIDS 및 RIS정보를 기본으로 VMS(Virus Management System), 그리고 TMS(IDS) 패턴으로 저장되어 검출되게 되고, 2차적으로 내외부망의 HOIDS를 이용 검출되지 않는 패턴에 대한 분석을 실시한다. 3단계에서 검출된 이벤트는 HoneyPot 시스템을 통해 대응방법을 분석하여 초기 대응정보를 디스플레이 하게 된다.
상기의 NFIG(310, News Find Input Gateway)는 관련 뉴스 및 사건사고로 데이터베이스를 구축하고, 상기의 데이터베이스에서 사이버위기와 관련된 신뢰성 있는 정보만을 추출, 상기를 기반으로 사이버위협을 사전에 파악하게 해주는 체계이다.
즉, 상기의 NFIG는 사회, 경제공학의 위기관리예측 메커니즘에서 착안된 것으로, 내부 사이버자산의 취약도, 또는 내부위험도의 평가와 함께 오프라인 정보를 함께 취합함으로써 사이버위협의 조기 예· 경보의 판단 기능을 강화해 주는데 그 차이가 있다. 따라서 NFIG의 기능을 통해 전 세계의 사이버위협관련 뉴스, 해킹그룹의 정보, 취약점 정보, 수집첩보, 로컬위협정보 등을 데이터베이스에 실시간 저장한 후, 내장 되어 있는 분석모델을 활용하여 KMIM(Knowledge Management Integration Module)으로 정보를 제공해주는 자동화된 정보시스템이다.
이를 위해 초기부터 글로벌 사이버위협정보를 원-소스로부터 공급받아 보관 하고, 지속적으로 축적해 나갈 수 있는 대용량 D/B가 필요하다. 이후 D/B에 축적된 자료를 정리하고 자료의 가치를 판단하여 가공정보로 추출하기 위해서는 Find 및 Read 판독작업을 거치게 된다. 이 과정에서 두 가지 핵심 S/W가 활용이 되는데, 첫 번째는 자료의 내용을 인식하고, 컴퓨터가 이해할 수 있는 형태의 정보로 처리해 주기 위한 정보판독기(parser)다. 두 번째는 인식된 자료를 각 주제별, 행위별, 사건별 정보로 재분류, 정리해주는 사건규약집(protocol)이다. 특히 사건 규약집은 내장 언어사전을 통해 원 소스로부터 인물, 사건, 사건 발생일시 등을 고유명사, 동사 등으로 구분해 정리하게 도와줘 의미 있는 사건정보로 개선시켜주는 역할을 한다. 원 소스 자료는 상기의 과정을 통해, 다음 단계인 Evaluate 과정을 거치기 위한 지식화된 정보로 진화하게 된다.
상기의 EWTMS에서 사용하는 분석방법은 기본적으로 통계학적 회귀분석 방식의 시계열 및 빈도분석 모델로서 사건발생 빈도를 내용과 분류별로 축적해 종합적인 위기상황 발생가능성 여부를 판단하게 된다. 그러나 각 사건의 의미나 영향력이 다르기 때문에 특정행위의 중요성에 대해 가중치를 부여하는 등 제한적 가중치분석 기능을 추가하여 단순 통계학적 모델의 한계를 보완함이 바람직하다.
상기의 RCEG(320, Real Critical Event Gateway)는 내부 네트워크의 위협 정도를 평가하기 위해서 보안장비 이벤트 샘플을 실시간으로 입력받아 임계치를 설정하고, 설정된 임계치를 각 보안장비의 보안 이벤트 정보를 입력받아 시간데이터를 이용, 요일 및 시간별 임계치를 설정하고 내부자산취약정도 및 웜바이러스의 활동범위, 변종의 범위, 글로벌 위협, 내부위협 분석 등을 통한 가중치 요소를 설정하여 지식관리 분석기법을 통해 정형화한다.
상기의 EWTMS는 제어를 통한 지표산출 값과 조기의사결정 Data를 가지고 최종결과를 출력하는 것으로, 해당 데이터를 다양한 형태의 그래픽 시각, 또는 수치정보로 구현하여 제공해준다.
상기의 구성에 따라 실시간 침입에 대한 이벤트 유형의 정형화 방법을 흐름도로 설명한다.
도 5는 본 발명에 따른 실시간 침입에 대한 이벤트 유형의 정형화 방법을 흐름도로 나타낸 것이다.
허니넷 기반의 조기 탐지용 침입탐지시스템인 HOIDS(Honeynet IDS)와 라우팅정보시스템 기반의 검출방법인 RIS로 구성되고,
상기 HOIDS의 네트워크에서 불용IP탐지 구역을 구분하여 각 허니넷 Sensor에서 Gateway별로 이벤트를 수집하는 단계(S_10);
상기 수집된 이벤트 중에서 악성이벤트는 매칭 이벤트와 비 매칭 이벤트를 구분하여 각각의 위험요소를 평가 분석하는 단계(S_20);
상기 RIS의 네트워크의 라우터(Router) 정보를 저장하는 단계(S_30);
상기 저장된 라우터 정보와 상기 HOIDS의 비 매칭 이벤트와 상호 연관성에 대해서 분석하는 단계(S_40);
상기의 저장된 라우터 정보와 상기 HOIDS의 비 매칭 이벤트와 상호 연관성이 없으면 수집된 이벤트 및 정보를 HOIDS DataBase에 저장하는 단계(S_50);
상기 저장된 라우터 정보와 상기 HOIDS의 비 매칭 이벤트와 상호 연관성이 있으면 내부 네트워크 및 자산의 취약정도와 현재 웜· 바이러스의 확산 및 분포도 그리고 각 바이러스별 변종의 범위 그리고 내·외부의 위협 정보를 단계별 위협 정도로 평가하는 단계(S_60);
상기 단계(S_20)에서 수집된 악성 이벤트 중에서 매칭되는 이벤트와 상기 단계(S_60)에서 단계별 위협 정도로 평가된 이벤트에 대해서 적합한 방법에 따라 대응하여 각 보안장비로 위협정보를 전송하여 차단하는 단계(S_70);
상기 단계(S_60)에서 평가된 정보를 DataBase로 전송하여 저장하고 각 시간대별로 지표화하는 단계(S_80);
로 이루어진다.
상기의 지표화된 정보는 누적되어 종합평가시 평가 값으로 정의되어 더욱 정확한 평가를 내릴 수 있다.
상기의 위험요소를 평가 분석하는 단계(S_20)에서 비 매칭 이벤트를 탐지 하는 이유는 변종 악성 이벤트에 대해서 조기에 검출하기 위해서이다.
이상 설명한 내용을 통해 당업자라면 본 발명의 기술 사상을 일탈하지 아니하는 범위에서 다양한 변경 및 수정이 가능함을 알 수 있을 것이다.
따라서, 본 발명의 기술적 범위는 실시예에 기재된 내용으로 한정하는 것이
아니라 특허청구의 범위에 의하여 정해져야 한다.
본 발명에 따르면 HOIDS기반에 악성이벤트 검출기법적용으로 먼저 허니넷과 IDS의 상관관계기법으로 변종 사이버 위협요소를 탐지 할 수 있으며, 상기 HOIDS와 RIS시스템을 매칭하여 조기 탐지한 정보에 대한 검증과 악성위협요소를 탐지 및 분석하여 EWTMS에서는 상기 두 가지 기반의 탐지분석방법을 기초로 FITM를 설계할 수 있으며, 사이버위협 정보와 뉴스로 위협도를 평가하는 NFIG, 실시간 보안장비의 이벤트를 표준화 및 정형화하는 RCEG는 각각의 임계치 정보와 평가를 통해 수치화하여 실시간 사이버 침입에 대한 이벤트를 탐지 할 수 있다.
또한 사이버위협이 갖는 다면성과 다양한 공격에 대한 신속한 식별 및 조기판단과 대응을 가능케 해주는 동 시스템은 이벤트데이터를 활용한 자동 정보 분석 프로그램에 위험분석과 대안분석의 기능을 가진 지식관리 기법의 모델을 활용하여 실제 대형 네트워크에서 적용 가능한 시스템으로 활용될 수 있다.
그리고 본 발명은 향후 취약점 및 보안관련 데이터베이스를 구축하고 지속적인 연구가 수행된다면 국가의 안전을 위협할 수 있는 각종 악의적 사이버공격을 사전에 예측하여 보다 정확한 예· 경보 판단을 내려 국가사이버안전을 강화하는데 사용될 수 있다.

Claims (3)

  1. 허니넷 기반의 조기 탐지용 침입탐지시스템인 HOIDS(Honeynet IDS)와 라우팅정보시스템 기반의 검출방법인 RIS로 구성되되,
    상기의 HOIDS는 실시간 글로벌 사이버 뉴스와 정보를 수집하여 정형화하는 NFIG(News Find Input Gateway)모듈과 내부 사이버위협정보를 각 보안장비와 위협이벤트로부터 수집하여 정형화하는 RCEG(Real Critical Event Gateway), 잠재취약정보를 탐지하여 디스플레이 하는 FITM(First Input Threat Module), 조기 경보를 다양한 형태의 시각적, 수치정보로 디스플레이하는 EWVIM(Early Warning Visual Information Module)로 구성됨을 특징으로 하는 대형 네트워크에서 실시간 사이버 침입에 대한 이벤트 유형의 정형화 시스템.
  2. 청구항 제 1항에 있어서,
    상기의 NFIG(News Find Input Gateway)는 관련 뉴스 및 사건사고로 데이터베이스를 구축하고, 동 데이터베이스에서 사이버위기와 관련된 신뢰성 있는 정보만을 추출, 상기를 기반으로 사이버위협을 사전에 파악하여 정형화하고,
    상기의 RCEG(Real Critical Event Gateway)는 내부 네트워크의 위협 정도를 평가하기 위해서 4종류의 보안장비 이벤트 샘플을 실시간으로 입력받아 임계치를 설정하고, 설정된 임계치를 각 보안장비의 보안 이벤트 정보를 입력받아 시간데이터를 이용, 요일 및 시간별 임계치를 설정하고 내부자산취약정도 및 웜바이러스의 활동범위, 변종의 범위, 글로벌 위협, 내부위협 분석 등을 통한 가중치 요소를 설정하여 지식관리 분석기법을 통해 정형화하고,
    상기 FITM(First Input Threat Module)은 조기 예·경보 요소 중 가장 중요한 역할을 한다. 먼저 NFIG에서 자동으로 산출되는 취약성 정보를 취합하여 데이터베이스를 구축하고, 취약성 자료와 익스프로잇으로 구분된 자료의 중요도를 전문가 그룹의 제어를 통해서 잠재위협요소가 될 수 있는 취약성 정보를 취합하고, 상기 취합된 데이터는 내· 외부 HOIDS 및 RIS정보를 기본으로 VMS(Virus Management System)와 TMS(IDS) 패턴으로 저장되어 검출되게 되고, 2차적으로 내외부망의 HOIDS를 이용 검출되지 않는 패턴에 대한 분석하여 잠재취약정보를 탐지하여 디스플레이 하는 것을 특징으로 하는 대형 네트워크에서 실시간 사이버 침입에 대한 이벤트 유형의 정형화 시스템.
  3. 허니넷 기반의 조기 탐지용 침입탐지시스템인 HOIDS(Honeynet IDS)와 라우팅정보시스템 기반의 검출방법인 RIS로 구성되고,
    상기 HOIDS의 네트워크에서 불용IP탐지 구역을 구분하여 각 허니넷 Sensor에서 Gateway별로 이벤트를 수집하는 단계(S_10);
    상기 수집된 이벤트 중에서 악성이벤트는 매칭 이벤트와 비 매칭 이벤트를 구분하여 각각의 위험요소를 평가 분석하는 단계(S_20);
    상기 RIS의 네트워크의 라우터(Router) 정보를 저장하는 단계(S_30);
    상기 저장된 라우터 정보와 상기 HOIDS의 비 매칭 이벤트와 상호 연관성에 대해서 분석하는 단계(S_40);
    상기의 저장된 라우터 정보와 상기 HOIDS의 비 매칭 이벤트와 상호 연관성이 없으면 수집된 이벤트 및 정보를 HOIDS DataBase에 저장하는 단계(S_50);
    상기 저장된 라우터 정보와 상기 HOIDS의 비 매칭 이벤트와 상호 연관성이 있으면 내부 네트워크 및 자산의 취약정도와 현재 웜· 바이러스의 확산 및 분포도 그리고 각 바이러스별 변종의 범위 그리고 내·외부의 위협 정보를 단계별 위협 정도로 평가하는 단계(S_60);
    상기 단계(S_20)에서 수집된 악성 이벤트 중에서 매칭되는 이벤트와 상기 단계(S_60)에서 단계별 위협 정도로 평가된 이벤트에 대해서 적합한 방법에 따라 대응하여 각 보안장비로 위협정보를 전송하여 차단하는 단계(S_70);
    상기 단계(S_60)에서 평가된 정보를 DataBase로 전송하여 저장하고 각 시간대별로 지표화하는 단계(S_80);
    으로 이루어짐을 특징으로 하는 대형 네트워크에서 실시간 사이버 침입에 대한 이벤트 유형의 정형화 방법.
KR1020070020154A 2007-02-28 2007-02-28 대형 네트워크에서 실시간 사이버 침입에 대한 이벤트유형의 정형화 시스템 및 방법 KR20080079767A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070020154A KR20080079767A (ko) 2007-02-28 2007-02-28 대형 네트워크에서 실시간 사이버 침입에 대한 이벤트유형의 정형화 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070020154A KR20080079767A (ko) 2007-02-28 2007-02-28 대형 네트워크에서 실시간 사이버 침입에 대한 이벤트유형의 정형화 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR20080079767A true KR20080079767A (ko) 2008-09-02

Family

ID=40020557

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070020154A KR20080079767A (ko) 2007-02-28 2007-02-28 대형 네트워크에서 실시간 사이버 침입에 대한 이벤트유형의 정형화 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR20080079767A (ko)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140147026A (ko) 2013-06-18 2014-12-29 삼성전자주식회사 의류 건조기
US9258321B2 (en) 2012-08-23 2016-02-09 Raytheon Foreground Security, Inc. Automated internet threat detection and mitigation system and associated methods
US9392003B2 (en) 2012-08-23 2016-07-12 Raytheon Foreground Security, Inc. Internet security cyber threat reporting system and method
KR20170135495A (ko) * 2016-05-31 2017-12-08 주식회사 씨티아이랩 보안 위협 정보 분석 및 관리 시스템
KR101969572B1 (ko) * 2018-06-22 2019-04-16 주식회사 에프원시큐리티 악성코드 탐지 장치 및 방법
KR102272018B1 (ko) * 2020-01-07 2021-07-02 (주)유엠로직스 딥웹 환경에서의 네트워크 트래픽 상관도 분석을 이용한 악성코드 분석 시스템 및 그 방법
US11470098B2 (en) 2019-12-23 2022-10-11 Samsung Electronics Co., Ltd. Terminal device and controlling method thereof
CN116232695A (zh) * 2023-02-02 2023-06-06 深圳市网安信科技有限公司 一种网络安全运维关联分析系统

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9258321B2 (en) 2012-08-23 2016-02-09 Raytheon Foreground Security, Inc. Automated internet threat detection and mitigation system and associated methods
US9392003B2 (en) 2012-08-23 2016-07-12 Raytheon Foreground Security, Inc. Internet security cyber threat reporting system and method
KR20140147026A (ko) 2013-06-18 2014-12-29 삼성전자주식회사 의류 건조기
KR20170135495A (ko) * 2016-05-31 2017-12-08 주식회사 씨티아이랩 보안 위협 정보 분석 및 관리 시스템
KR101969572B1 (ko) * 2018-06-22 2019-04-16 주식회사 에프원시큐리티 악성코드 탐지 장치 및 방법
WO2019245107A1 (ko) * 2018-06-22 2019-12-26 주식회사 에프원시큐리티 악성코드 탐지 장치 및 방법
US11470098B2 (en) 2019-12-23 2022-10-11 Samsung Electronics Co., Ltd. Terminal device and controlling method thereof
KR102272018B1 (ko) * 2020-01-07 2021-07-02 (주)유엠로직스 딥웹 환경에서의 네트워크 트래픽 상관도 분석을 이용한 악성코드 분석 시스템 및 그 방법
CN116232695A (zh) * 2023-02-02 2023-06-06 深圳市网安信科技有限公司 一种网络安全运维关联分析系统

Similar Documents

Publication Publication Date Title
CN110620759B (zh) 基于多维关联的网络安全事件危害指数评估方法及其系统
CN107239707B (zh) 一种用于信息系统的威胁数据处理方法
CN102340485B (zh) 基于信息关联的网络安全态势感知系统及其方法
CN114584405B (zh) 一种电力终端安全防护方法及系统
KR20080079767A (ko) 대형 네트워크에서 실시간 사이버 침입에 대한 이벤트유형의 정형화 시스템 및 방법
CN101459537A (zh) 基于多层次多角度分析的网络安全态势感知系统及方法
CN111083126A (zh) 一种基于专家知识库的渗透测试风险评估方法以及模型
Xiao et al. From patching delays to infection symptoms: Using risk profiles for an early discovery of vulnerabilities exploited in the wild
CN112491779B (zh) 一种异常行为检测方法及装置、电子设备
CN110020687B (zh) 基于操作人员态势感知画像的异常行为分析方法及装置
CN112039862A (zh) 一种面向多维立体网络的安全事件预警方法
CN108092985B (zh) 网络安全态势分析方法、装置、设备及计算机存储介质
KR101692982B1 (ko) 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템
CN114640548A (zh) 一种基于大数据的网络安全感知和预警的方法及系统
KR101444250B1 (ko) 개인정보 접근감시 시스템 및 그 방법
CN117478433B (zh) 一种网络与信息安全动态预警系统
Cinque et al. Entropy-based security analytics: Measurements from a critical information system
CN112596984B (zh) 业务弱隔离环境下的数据安全态势感知系统
Mathew et al. Understanding multistage attacks by attack-track based visualization of heterogeneous event streams
Ehis Optimization of security information and event management (SIEM) infrastructures, and events correlation/regression analysis for optimal cyber security posture
CN113709170A (zh) 资产安全运营系统、方法和装置
CN117375985A (zh) 安全风险指数的确定方法及装置、存储介质、电子装置
CN112801359A (zh) 工业互联网安全态势预测方法、装置、电子设备及介质
Pavlov et al. Analysis of IDS alert correlation techniques for attacker group recognition in distributed systems
CN107623677B (zh) 数据安全性的确定方法和装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application