KR20170094673A - 멀티 소스 데이터 가공 장치 및 방법 - Google Patents
멀티 소스 데이터 가공 장치 및 방법 Download PDFInfo
- Publication number
- KR20170094673A KR20170094673A KR1020160015739A KR20160015739A KR20170094673A KR 20170094673 A KR20170094673 A KR 20170094673A KR 1020160015739 A KR1020160015739 A KR 1020160015739A KR 20160015739 A KR20160015739 A KR 20160015739A KR 20170094673 A KR20170094673 A KR 20170094673A
- Authority
- KR
- South Korea
- Prior art keywords
- data
- analysis
- host
- network
- unit
- Prior art date
Links
Images
Classifications
-
- G06F17/30572—
-
- G06F17/30312—
-
- G06F17/30716—
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
멀티 소스 데이터 가공 장치 및 방법이 개시된다. 본 발명의 일실시예에 따른 멀티 소스 데이터 가공 장치는 네트워크 상의 데이터를 수집하는 데이터 수집부; 수집된 데이터 중 네트워크 데이터, 호스트 데이터 및 레거시 보안 장비 데이터 중 적어도 하나 이상을 추출하여 데이터 베이스에 가공 데이터로 저장하는 데이터 가공부; 상기 데이터 베이스에 저장된 가공 데이터의 종류에 기반하는 데이터 분석 엔진을 이용하여 분석한 결과를 상기 데이터 베이스에 분석 데이터로 저장하는 데이터 분석부 및 상기 가공 데이터 및 상기 분석 데이터를 화면상에 시각화하여 출력하는 데이터 시각화부를 포함한다.
Description
본 발명은 호스트, 네트워크, 레거시 보안 장비 등 다양한 소스로부터 발생하는 대용량 데이터를 수집 및 가공하여 이를 시각화함으로써, 사이버 공격 징후를 분석할 수 있는 방법에 관한 것이다.
최근의 사이버 공격은 제로데이 공격이나 루트킷(Rootkit) 등의 지능적인 보안 위협을 이용하여 공격 대상으로 정한 목표에 침투 후 중요한 정보를 수집하는 방식이다. 여기서, 제로데이 공격은 컴퓨터 소프트웨어의 취약점을 공격하는 기술적 위협으로, 해당 취약점에 대한 수정 소프트웨어가 나오지 않은 시점에서 이루어지는 공격을 의미한다. 루트킷은 루트 권한을 획득한 공격자가 심어놓은 프로그램을 숨기기 위한 목적으로 사용되는 프로그램을 의미한다. 또한, 사이버 공격의 성공을 위해, 공격 대상의 방어 체계에 발각되지 않도록 은밀하고 끈기 있게 오랜 기간에 걸쳐 공격이 진행된다. 기간은 짧게는 몇 달이 될 수도 있고, 길게는 몇 년이 될 수도 있지만, 목적 달성을 위해 치밀한 계획을 세우고 준비하는 기간까지 포함한다면 전체 공격 기간은 더욱 길어 질 수 있다. 사이버 공격의 목적도 예전처럼 해킹 능력 과시나 계좌 정보 유출 등과 같은 단순한 이유가 아니라 군사, 정치 또는 경제와 관련한 고급 정보를 수집하고 국가 기간 시설을 파괴하는 큰 목적을 가지고 수행된다. 이 때, 배후에는 풍부한 자금력을 갖춘 조직이나 특정 국가의 정보 조직이 관련되어 있을 가능성이 높다.
최근의 사이버 공격은 정찰, 준비, 표적화, 추가 접속, 데이터 수집, 그리고 유지 등의 단계를 통해 이루어진다.
정찰(Reconnaissance) 단계는 최선의 공격 방법을 찾기 위해 은밀하고 조용하게 공격 대상에 대한 정보를 모으는 과정이다. 공격 대상이 특정 회사라면, 해당 회사의 물리적 위치나 사내 컴퓨터들이 놓인 위치 정보, 회사가 사용하는 보안 기술들, 내부 통신 방법이나 고객사와의 통신 방법, 고용된 직원들의 신상 명세, 관심사나 접근 가능 포인트 및 인적 관계 등에 대한 조사 및 분석이 정찰 과정에 해당한다.
준비(Preparation) 단계는 공격에 필요한 도구와 기술을 개발하고 테스트하는 단계이다. 취약점들을 찾아내고, 악성 코드를 작성하고, 사회공학기법(Social Engineering)으로 활용할 이메일을 작성하고 보낼 사람 계정을 선정한다. 사회공학기법은 기술적인 방법이 아닌 사람들간의 신뢰에 기반한 악의적 행위로, 신뢰하는 사람이 악성코드를 첨부한 이메일을 보내면 받는 사람은 의심 없이 첨부 파일을 열어보는 것을 예로 들 수 있다.
표적화(Targeting) 단계는 공격을 시작하고 이로 인한 타겟의 이상 징후를 모니터링 한다. 공격자는 원격으로 서버에 접속하여 취약성이나 사회공학기법으로 이메일을 보내고, 타겟의 명령제어 메커니즘을 모니터링 하거나, 공격 당한 컴퓨터에 연결을 시도한다.
추가 접속 단계는 공격자가 컴퓨터 네트워크에 접속 권한을 얻는데 성공하면, 네트워크 상에서의 현재 위치를 파악하고 다른 컴퓨터의 중요 데이터에 접속하거나 추가적으로 백도어를 인스톨하기 위해 재접속(Further Access)이 필요하다. 공격에 필요한 도구와 악성코드, 접근 권한 제어, 네트워크 정보 등을 업로드하고 백도어를 심기 위해 취약한 호스트들을 파악한다. 패스워드 해쉬를 얻기 위해 접근 권한을 획득하고, 추적을 피하기 위해 로그를 변경하거나, 또는 데이터 수집을 위해 메일이나 파일 서버에 접속한다.
데이터 수집 단계는 중요한 정보들을 파악하고 나면, 공격자들은 이러한 정보들을 모아서 추출하는 데이터 수집(Data Gathering) 단계를 거친다. 발각되기 전에 중요 정보를 한번에 신속하게 빼내는 방법과 노출되지 않기 위해 상당히 긴 기간에 걸쳐 조금씩 정보를 빼내가는 방법 중 하나를 사용한다.
유지 단계는 데이터 수집을 위해 일단 네트워크 접근 권한을 획득하면, 공격자들은 이 권한이 유지(Maintenance) 되도록 다양한 시도를 한다. 노출되지 않기 위해 네트워크 상의 악의적 행위를 최소화하고, 주기적으로 백도어들과 통신하여 의도한 대로 진행되고 있는지를 체크한다. 만일, 자동화된 데이터 수집 도구들이 사용되고 있다면, 검색 단어나 유출 경로, 유출량, 유출 횟수 등을 지속적으로 변경한다. 만일, 접근 권한을 상실하게 되면, 공격자는 정찰이나 준비 단계로 돌아가 접근 권한을 다시 얻기 위한 시도를 계속한다.
기존의 보안 제품들이 활용하고 있는 패턴 기반의 공격 제어 기법들로는 탐지 및 대응이 어려운 최근의 사이버 공격에 대응하기 위해, 주요 IT 기반 시설의 네트워크, 시스템, 응용 서비스 등으로부터 발생하는 대용량의 데이터 및 보안 이벤트의 연관성을 분석하여 보안 지능을 향상하는 차세대 보안정보 분석 기술이 활발하게 연구되고 있다. 내부 네트워크의 다양한 특성 인자들 (시스템 프로세스, 활동성, 네트워크 트랜잭션 등)의 관계성 분석을 통하여 알려지지 않은 새로운 공격을 탐지하고자 하는 것이다.
한편, 한국공개특허 제 10-2015-0133368 호의 "지능형 지속 위협 탐지 방법 및 장치" 는 ISP 네트워크 사업자가 네트워크 상의 APT 공격 징후를 조기에 탐지하고 사고 발생 전에 조치를 할 수 있도록 조기 경보를 제공하는 장치 및 방법에 관하여 개시하고 있다.
그러나, 한국공개특허 제 10-2015-0133368 호는 네트워크 상의 다양한 특성 인자들의 관계성을 분석하여 시각화하는 방법 대해서는 침묵하고 있다.
본 발명은 다양한 소스로부터 발생하는 방대한 양의 데이터를 수집 및 저장하고 효율적으로 가공 및 분석하는 것을 목적으로 한다.
또한, 본 발명은 분석한 결과를 화면에 출력하는 자동화 플랫폼을 제공하여 사용자가 직관적으로 호스트들과 네트워크의 상태를 파악하는 것을 목적으로 한다.
또한, 본 발명은 사이버 공격의 징후를 신속하게 파악하고 공격의 다음 과정을 예측하여 미리 대비하는 것을 목적으로 한다.
상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 멀티 소스 데이터 가공 장치는 네트워크 상의 데이터를 수집하는 데이터 수집부; 수집된 데이터 중 네트워크 데이터, 호스트 데이터 및 레거시 보안 장비 데이터 중 적어도 하나 이상을 추출하여 데이터 베이스에 가공 데이터로 저장하는 데이터 가공부; 상기 데이터 베이스에 저장된 가공 데이터의 종류에 기반하는 데이터 분석 엔진을 이용하여 분석한 결과를 상기 데이터 베이스에 분석 데이터로 저장하는 데이터 분석부 및 상기 가공 데이터 및 상기 분석 데이터를 화면상에 시각화하여 출력하는 데이터 시각화부를 포함한다.
이 때, 상기 데이터 가공부는 상기 수집된 데이터 중 상기 네트워크 데이터를 추출하여 상기 데이터 베이스에 저장하고, 추출된 네트워크 데이터로부터 주기 별 데이터를 추출하여 상기 데이터 베이스에 저장하는 네트워크 데이터 가공부; 상기 수집된 데이터 중 상기 호스트 데이터를 추출하여 상기 데이터 베이스에 저장하고, 추출된 호스트 데이터로부터 특징 벡터 트리를 생성하여 상기 데이터 베이스에 저장하고, 상기 추출된 호스트 데이터로부터 갱신 특징 벡터를 추출하는 호스트 데이터 가공부 및 상기 수집된 데이터 중 상기 레거시 보안 장비 데이터를 추출하여 상기 데이터 베이스에 저장하고, 추출된 레거시 보안 장비 데이터로부터 주기 별 데이터를 추출하여 상기 데이터 베이스에 저장하는 레거시 보안 장비 데이터 가공부를 포함할 수 있다.
이 때, 상기 데이터 분석부는 상기 저장된 가공 데이터가 상기 호스트 데이터인 경우, 상기 데이터 베이스에 저장된 호스트 데이터 간의 연관성을 분석하고, 분석된 결과를 상기 데이터 베이스에 저장할 수 있다.
이 때, 상기 데이터 시각화부는 상기 데이터 베이스에 저장된 데이터에 기반하여 호스트들의 상태 정보, 호스트들 간의 연관 관계 및 악성 데이터 탐지 여부를 시각화하여 출력할 수 있다.
이 때, 상기 데이터 시각화부는 사이버 킬 체인의 단계의 상태 변화를 APT(ADVANCED PERSISTENT THREAT)의 공격 과정의 각 단계로 시각화하여 출력할 수 있다.
또한, 상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 멀티 소스 데이터 가공 방법은 멀티 소스 데이터 가공 장치를 이용하는 방법에 있어서, 네트워크 상의 데이터를 수집하는 단계; 수집된 데이터 중 네트워크 데이터, 호스트 데이터 및 레거시 보안 장비 데이터 중 적어도 하나 이상을 추출하여 데이터 베이스에 가공 데이터로 저장하는 단계; 상기 데이터 베이스에 저장된 가공 데이터의 종류에 기반하는 데이터 분석 엔진을 이용하여 분석한 결과를 상기 데이터 베이스에 분석 데이터로 저장하는 단계 및 상기 가공 데이터 및 상기 분석 데이터를 화면상에 시각화하여 출력하는 단계를 포함한다.
이 때, 가공 데이터로 저장하는 단계는 상기 수집된 데이터 중 상기 네트워크 데이터를 추출하여 상기 데이터 베이스에 저장하고, 추출된 네트워크 데이터로부터 주기 별 데이터를 추출하여 상기 데이터 베이스에 저장하는 단계; 상기 수집된 데이터 중 상기 호스트 데이터를 추출하여 상기 데이터 베이스에 저장하고, 추출된 호스트 데이터로부터 특징 벡터 트리를 생성하여 상기 데이터 베이스에 저장하고, 상기 추출된 호스트 데이터로부터 갱신 특징 벡터를 추출하는 단계 및 상기 수집된 데이터 중 상기 레거시 보안 장비 데이터를 추출하여 상기 데이터 베이스에 저장하고, 추출된 레거시 보안 장비 데이터로부터 주기 별 데이터를 추출하여 상기 데이터 베이스에 저장하는 단계를 포함할 수 있다.
이 때, 상기 분석 데이터로 저장하는 단계는 상기 저장된 가공 데이터가 상기 호스트 데이터인 경우, 상기 데이터 베이스에 저장된 호스트 데이터 간의 연관성을 분석하고, 분석된 결과를 상기 데이터 베이스에 저장할 수 있다.
이 때, 상기 출력하는 단계는 상기 데이터 베이스에 저장된 데이터에 기반하여 호스트들의 상태 정보, 호스트들 간의 연관 관계 및 악성 데이터 탐지 여부를 시각화하여 출력할 수 있다.
이 때, 출력하는 단계는 사이버 킬 체인의 단계의 상태 변화를 APT(ADVANCED PERSISTENT THREAT)의 공격 과정의 각 단계로 시각화하여 출력할 수 있다.
본 발명은 다양한 소스로부터 발생하는 방대한 양의 데이터를 수집 및 저장하고 효율적으로 가공 및 분석할 수 있다.
또한, 본 발명은 분석한 결과를 화면에 출력하는 자동화 플랫폼을 제공하여 사용자가 직관적으로 호스트들과 네트워크의 상태를 파악할 수 있다.
또한, 본 발명은 사이버 공격의 징후를 신속하게 파악하고 공격의 다음 과정을 예측하여 미리 대비할 수 있다.
도 1은 본 발명의 일실시예에 따른 멀티 소스 데이터 가공 장치를 나타낸 블록도이다.
도 2는 도 1에 도시된 데이터 수집부의 데이터 수집의 일 예를 나타낸 블록도이다.
도 3은 도 1에 도시된 데이터 가공부의 일 예를 세부적으로 나타낸 블록도이다.
도 4는 도 1에 도시된 데이터 분석부의 일 예를 세부적으로 나타낸 블록도이다.
도 5는 도 1에 도시된 데이터 시각화부의 일 예를 세부적으로 나타낸 블록도이다.
도 6은 본 발명의 일실시예에 따른 멀티 소스 데이터 가공 방법을 나타낸 동작 흐름도이다.
도 7은 본 발명의 일실시예에 따른 네트워크 데이터 시각화 과정을 나타낸 도면이다.
도 8은 본 발명의 일실시예에 따른 호스트 데이터 시각화 과정을 나타낸 도면이다.
도 9는 본 발명의 일실시예에 따른 레거시 보안 장비 데이터 시각화 과정을 나타낸 도면이다.
도 10은 본 발명의 일실시예에 따른 시각화 출력 화면을 나타낸 도면이다.
도 2는 도 1에 도시된 데이터 수집부의 데이터 수집의 일 예를 나타낸 블록도이다.
도 3은 도 1에 도시된 데이터 가공부의 일 예를 세부적으로 나타낸 블록도이다.
도 4는 도 1에 도시된 데이터 분석부의 일 예를 세부적으로 나타낸 블록도이다.
도 5는 도 1에 도시된 데이터 시각화부의 일 예를 세부적으로 나타낸 블록도이다.
도 6은 본 발명의 일실시예에 따른 멀티 소스 데이터 가공 방법을 나타낸 동작 흐름도이다.
도 7은 본 발명의 일실시예에 따른 네트워크 데이터 시각화 과정을 나타낸 도면이다.
도 8은 본 발명의 일실시예에 따른 호스트 데이터 시각화 과정을 나타낸 도면이다.
도 9는 본 발명의 일실시예에 따른 레거시 보안 장비 데이터 시각화 과정을 나타낸 도면이다.
도 10은 본 발명의 일실시예에 따른 시각화 출력 화면을 나타낸 도면이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일실시예에 따른 멀티 소스 데이터 가공 장치를 나타낸 블록도이다.
도 1을 참조하면, 본 발명의 일실시예에 따른 멀티 소스 데이터 가공 장치는 데이터 수집부(110), 데이터 가공부(120), 데이터 분석부(130), 데이터 시각화부(140) 및 데이터 베이스(150)을 포함한다.
데이터 수집부(110)는 다양한 형태로 생성되는 네트워크 상의 데이터를 수집할 수 있다.
이 때, 데이터 수집부(110)는 네트워크 데이터 수집기(111), 호스트 데이터 수집기(112), 레거시 보안 장비 데이터 수집기(113)로부터 데이터를 수집할 수 있다.
네트워크 데이터 수집기(111)는 네트워크 트래픽을 네트워크 데이터로 수집할 수 있다.
네트워크 데이터는 특정 세션의 시작 및 종료시간, 특정 세션의 소요 시간, 소스 IP 주소, 타겟 IP 주소, 소스 포트 번호, 타겟 포트 번호, TCP 플래그, 프로토콜명, 입력 패킷 개수, 출력 패킷 개수, 입력 패킷량, 출력 패킷량, 서비스명, 디바이스명, 서비스 제공자 및 상태 정보(정상/비정상) 등이 포함될 수 있다.
호스트 데이터 수집기(112)는 호스트 단말의 시스템 정보를 호스트 데이터로 수집할 수 있다.
호스트 데이터는 특정 이벤트의 시퀀스 번호와 시작 시간, 이벤트 사용자, 프로세스명, 프로세스 ID, 부모 프로세스 ID, 쓰레드 ID, 이벤트 번호, 이벤트명, 윈도우 API 명, 프로세스 경로 및 호출된 API 파라미터 등이 포함될 수 있다.
레거시 보안 장비 데이터 수집기(113)는 레거시 보안 장비의 데이터를 수집할 수 있다.
레거시 보안 장비 데이터는 각 보안 장비의 정책에 따라 달라질 수 있다.
이 때, 레거시 보안 장비 데이터는 해당 장비의 정책에 따라 발생하는 각종 로그 데이터 등일 수 있다.
네트워크 데이터 수집기(111)는 데이터 수집 서버에 네트워크 데이터를 송신할 수 있다.
호스트 데이터 수집기(112)는 데이터 수집 서버에 호스트 데이터를 송신할 수 있다.
레거시 보안 장비 데이터 수집기(113)는 데이터 수집 서버에 레거시 보안 장비 데이터를 송신할 수 있다.
데이터 수집부(110)는 데이터 수집 서버에 저장된 데이터를 수신할 수 있다.
데이터 가공부(120)는 네트워크 데이터 가공부(121), 호스트 데이터 가공부(122) 및 레거시 보안 장비 데이터 가공부(123)을 포함할 수 있다.
이 때, 데이터 가공부(120)는 수집된 데이터 중 네트워크 데이터, 호스트 데이터 및 레거시 보안 장비 데이터 중 적어도 하나 이상을 추출할 수 있다.
네트워크 데이터 가공부(121)는 네트워크 데이터 파싱 및 정보 추출, 네트워크 세션 합산 및 통계값 계산 기능, 주기 별 네트워크 데이터 추출 등을 수행할 수 있다.
호스트 데이터 가공부(122)는 호스트 데이터 파싱 및 특징 벡터 트리 생성 및 추출, 호스트 데이터 특징 벡터 별 합산, 갱신 특징 벡터 추출, 프로세스 행위 시퀀스 추출 및 프로세스 별 통계값 계산 기능 등을 수행할 수 있다.
레거시 보안 장비 데이터 가공부(123)는 레거시 데이터 파싱 및 정보 추출, 주기 별 레거시 보안 장비 데이터 추출 기능 등을 수행할 수 있다.
이 때, 데이터 가공부는(120)는 네트워크 데이터 가공부(121), 호스트 데이터 가공부(122) 및 레거시 보안 장비 데이터 가공부(123)를 포함하지 않은 경우에도, 각 가공부들의 모든 기능을 수행할 수 있다.
이 때, 데이터 가공부(120)는 추출된 데이터를 가공 데이터로 데이터 베이스(150)에 저장할 수 있다.
또한, 데이터 가공부(120)는 데이터 베이스(150)와 가공 데이터 송수신 및 최신 데이터 유지, 멀티 소스 데이터 필터링/정렬/분류/변환 등의 기능을 수행할 수 있다.
데이터 분석부(130)는 네트워크 데이터 분석 엔진(131), 호스트 데이터 분석 엔진(132), 레거시 보안 장비 데이터 분석 엔진(133) 및 연관성 데이터 분석 엔진(134)을 포함할 수 있다.
네트워크 데이터 분석 엔진(131)은 저장된 가공 데이터가 네트워크 데이터인 경우 분석을 수행할 수 있다.
호스트 데이터 분석 엔진(132)은 저장된 가공 데이터가 호스트 데이터인 경우 분석을 수행할 수 있다.
레거시 보안 장비 데이터 분석 엔진(133)은 저장된 가공 데이터가 레거시 보안 장비 데이터인 경우 분석을 수행할 수 있다.
연관성 데이터 분석 엔진(134)는 저장된 가공 데이터가 호스트 데이터인 경우 저장된 호스트 데이터 간의 연관성을 분석할 수 있다.
이 때, 데이터 분석부(130)의 모든 엔진은 데이터 베이스(150)에 저장된 가공 데이터를 참조할 수 있다.
이 때, 데이터 분석부(130)의 모든 엔진은 가공 데이터가 분석된 결과를 분석 데이터로 데이터 베이스(150)에 저장할 수 있다.
데이터 시각화부(140)는 단일 소스 분석부(141), 연관 분석부(142), 데이터 통계 추출부(143) 및 시각화 출력부(144)를 포함할 수 있다.
단일 소스 분석부(141)는 데이터 베이스(150)에 저장된 분석 데이터를 처리하여 결과 데이터를 생성할 수 있다.
연관 분석부(142)는 데이터 베이스(150)에 저장된 데이터 중 호스트들간의 연관성을 분석한 분석 데이터를 처리하여 결과 데이터로 생성할 수 있다.
데이터 통계 추출부(143)는 데이터 베이스(150)에 저장된 가공 데이터 및 분석 데이터의 발생 시점과 저장 시점으로부터 통계 데이터를 추출할 수 있다.
시각화 출력부(144)는 결과 데이터와 통계 데이터를 변환하여 시각화하여 출력할 수 있다.
데이터 시각화부(144)는 호스트들의 상태 정보, 호스트들간의 연관 관계 및 악성 데이터 탐지 여부를 시각화하여 출력 할 수 있다.
이 때, 데이터 시각화부(144)는 사이버 체인의 단계의 상태 변화를 APT(ADVANCED PERSISTENT THREAT)의 공격 과정의 각 단계로 시각화하여 출력할 수 있다.
이 때, 데이터 시각화부(144)는 각종 도형, 문자 및 색상 등을 이용하여 데이터를 시각화하여 출력할 수 있다,
이 때, 데이터 시각화부(144)는 통계 데이터에 기반하여 발생 시점에 따라 시각화하여 출력되는 데이터가 달라질 수 있다.
이 때, 데이터 시각화부(144)는 동영상 및 애니메이션 기능을 이용하여 데이터를 시각화하여 출력할 수 있다.
이 때, 데이터 시각화부(144)는 디스플레이 장치 등을 이용하여 시각화된 데이터를 출력할 수 있다.
도 2는 도 1에 도시된 데이터 수집부의 데이터 수집의 일 예를 나타낸 블록도이다.
도 2를 참조하면, 데이터 수집부(110)는 다양한 형태로 생성되는 네트워크 상의 데이터를 수집할 수 있다.
이 때, 데이터 수집부(110)는 네트워크 데이터 수집기(111), 호스트 데이터 수집기(112), 레거시 보안 장비 데이터 수집기(113)로부터 데이터를 수집할 수 있다.
네트워크 데이터 수집기(111)는 네트워크 트래픽을 네트워크 데이터로 수집할 수 있다.
네트워크 데이터는 특정 세션의 시작 및 종료시간, 특정 세션의 소요 시간, 소스 IP 주소, 타겟 IP 주소, 소스 포트 번호, 타겟 포트 번호, TCP 플래그, 프로토콜명, 입력 패킷 개수, 출력 패킷 개수, 입력 패킷량, 출력 패킷량, 서비스명, 디바이스명, 서비스 제공자 및 상태 정보(정상/비정상) 등이 포함될 수 있다.
호스트 데이터 수집기(112)는 호스트 단말의 시스템 정보를 호스트 데이터로 수집할 수 있다.
호스트 데이터는 특정 이벤트의 시퀀스 번호와 시작 시간, 이벤트 사용자, 프로세스명, 프로세스 ID, 부모 프로세스 ID, 쓰레드 ID, 이벤트 번호, 이벤트명, 윈도우 API 명, 프로세스 경로 및 호출된 API 파라미터 등이 포함될 수 있다.
레거시 보안 장비 데이터 수집기(113)는 레거시 보안 장비의 데이터를 수집할 수 있다.
레거시 보안 장비 데이터는 각 보안 장비의 정책에 따라 달라질 수 있다.
이 때, 레거시 보안 장비 데이터는 해당 장비의 정책에 따라 발생하는 각종 로그 데이터 등일 수 있다.
도 3은 도 1에 도시된 데이터 가공부의 일 예를 세부적으로 나타낸 블록도이다.
도 3을 참조하면, 데이터 가공부(120)는 네트워크 데이터 가공부(121), 호스트 데이터 가공부(122) 및 레거시 보안 장비 데이터 가공부(123)을 포함할 수 있다.
이 때, 데이터 가공부(120)는 수집된 데이터 중 네트워크 데이터, 호스트 데이터 및 레거시 보안 장비 데이터 중 적어도 하나 이상을 추출할 수 있다.
네트워크 데이터 가공부(121)는 네트워크 데이터 파싱 및 정보 추출, 네트워크 세션 합산 및 통계값 계산 기능, 주기 별 네트워크 데이터 추출 등을 수행할 수 있다.
호스트 데이터 가공부(122)는 호스트 데이터 파싱 및 특징 벡터 트리 생성 및 추출, 호스트 데이터 특징 벡터 별 합산, 갱신 특징 벡터 추출, 프로세스 행위 시퀀스 추출 및 프로세스 별 통계값 계산 기능 등을 수행할 수 있다.
레거시 보안 장비 데이터 가공부(123)는 레거시 데이터 파싱 및 정보 추출, 주기 별 레거시 보안 장비 데이터 추출 기능 등을 수행할 수 있다.
이 때, 데이터 가공부는(120)는 네트워크 데이터 가공부(121), 호스트 데이터 가공부(122) 및 레거시 보안 장비 데이터 가공부(123)를 포함하지 않은 경우에도, 각 가공부들의 모든 기능을 수행할 수 있다.
이 때, 데이터 가공부(120)는 추출된 데이터를 가공 데이터로 데이터 베이스(150)에 저장할 수 있다.
또한, 데이터 가공부(120)는 데이터 베이스(150)와 가공 데이터 송수신 및 최신 데이터 유지, 멀티 소스 데이터 필터링/정렬/분류/변환 등의 기능을 수행할 수 있다.
도 4는 도 1에 도시된 데이터 분석부의 일 예를 세부적으로 나타낸 블록도이다.
도 4를 참조하면, 데이터 분석부(130)는 네트워크 데이터 분석 엔진(131), 호스트 데이터 분석 엔진(132), 레거시 보안 장비 데이터 분석 엔진(133) 및 연관성 데이터 분석 엔진(134)을 포함할 수 있다.
네트워크 데이터 분석 엔진(131)은 저장된 가공 데이터가 네트워크 데이터인 경우 분석을 수행할 수 있다.
호스트 데이터 분석 엔진(132)은 저장된 가공 데이터가 호스트 데이터인 경우 분석을 수행할 수 있다.
레거시 보안 장비 데이터 분석 엔진(133)은 저장된 가공 데이터가 레거시 보안 장비 데이터인 경우 분석을 수행할 수 있다.
연관성 데이터 분석 엔진(134)는 저장된 가공 데이터가 호스트 데이터인 경우 저장된 호스트 데이터 간의 연관성을 분석할 수 있다.
이 때, 데이터 분석부(130)의 모든 엔진은 데이터 베이스(150)에 저장된 가공 데이터를 참조할 수 있다.
이 때, 데이터 분석부(130)의 모든 엔진은 가공 데이터가 분석된 결과를 분석 데이터로 데이터 베이스(150)에 저장할 수 있다.
도 5는 도 1에 도시된 데이터 시각화부의 일 예를 세부적으로 나타낸 블록도이다.
도 5를 참조하면, 데이터 시각화부(140)는 단일 소스 분석부(141), 연관 분석부(142), 데이터 통계 추출부(143) 및 시각화 출력부(144)를 포함할 수 있다.
단일 소스 분석부(141)는 데이터 베이스(150)에 저장된 분석 데이터를 처리하여 결과 데이터를 생성할 수 있다.
연관 분석부(142)는 데이터 베이스(150)에 저장된 데이터 중 호스트들간의 연관성을 분석한 분석 데이터를 처리하여 결과 데이터로 생성할 수 있다.
데이터 통계 추출부(143)는 데이터 베이스(150)에 저장된 가공 데이터 및 분석 데이터의 발생 시점과 저장 시점으로부터 통계 데이터를 추출할 수 있다.
시각화 출력부(144)는 결과 데이터와 통계 데이터를 변환하여 시각화하여 출력할 수 있다.
데이터 시각화부(144)는 호스트들의 상태 정보, 호스트들간의 연관 관계 및 악성 데이터 탐지 여부를 시각화하여 출력 할 수 있다.
이 때, 데이터 시각화부(144)는 사이버 체인의 단계의 상태 변화를 APT(ADVANCED PERSISTENT THREAT)의 공격 과정의 각 단계로 시각화하여 출력할 수 있다.
이 때, 데이터 시각화부(144)는 각종 도형, 문자 및 색상 등을 이용하여 데이터를 시각화하여 출력할 수 있다,
이 때, 데이터 시각화부(144)는 통계 데이터에 기반하여 발생 시점에 따라 시각화하여 출력되는 데이터가 달라질 수 있다.
이 때, 데이터 시각화부(144)는 동영상 및 애니메이션 기능을 이용하여 데이터를 시각화하여 출력할 수 있다.
이 때, 데이터 시각화부(144)는 디스플레이 장치 등을 이용하여 시각화된 데이터를 출력할 수 있다.
도 6은 본 발명의 일실시예에 따른 멀티 소스 데이터 가공 방법을 나타낸 동작 흐름도이다.
도 6을 참조하면, 본 발명의 일실시예에 따른 멀티 소스 데이터 가공 방법은 먼저 데이터를 수집한다(S210).
즉, 단계(210)는 다양한 형태로 생성되는 네트워크 상의 데이터를 수집할 수 있다.
이 때, 단계(210)는 네트워크 데이터 수집기(111), 호스트 데이터 수집기(112), 레거시 보안 장비 데이터 수집기(113)로부터 데이터를 수집할 수 있다.
이 때, 단계(S210)는 네트워크 트래픽을 네트워크 데이터로 수집할 수 있다.
네트워크 데이터는 특정 세션의 시작 및 종료시간, 특정 세션의 소요 시간, 소스 IP 주소, 타겟 IP 주소, 소스 포트 번호, 타겟 포트 번호, TCP 플래그, 프로토콜명, 입력 패킷 개수, 출력 패킷 개수, 입력 패킷량, 출력 패킷량, 서비스명, 디바이스명, 서비스 제공자 및 상태 정보(정상/비정상) 등이 포함될 수 있다.
이 때, 단계(S210)는 호스트 단말의 시스템 정보를 호스트 데이터로 수집할 수 있다.
호스트 데이터는 특정 이벤트의 시퀀스 번호와 시작 시간, 이벤트 사용자, 프로세스명, 프로세스 ID, 부모 프로세스 ID, 쓰레드 ID, 이벤트 번호, 이벤트명, 윈도우 API 명, 프로세스 경로 및 호출된 API 파라미터 등이 포함될 수 있다.
이 때, 단계(S210)는 레거시 보안 장비의 데이터를 수집할 수 있다.
레거시 보안 장비 데이터는 각 보안 장비의 정책에 따라 달라질 수 있다.
이 때, 레거시 보안 장비 데이터는 해당 장비의 정책에 따라 발생하는 각종 로그 데이터 등일 수 있다.
이 때, 단계(S210)는 데이터 수집 서버에 네트워크 데이터를 송신할 수 있다.
이 때, 단계(S210)는 데이터 수집 서버에 호스트 데이터를 송신할 수 있다.
이 때, 단계(S210)는 데이터 수집 서버에 레거시 보안 장비 데이터를 송신할 수 있다.
이 때, 단계(210)는 데이터 수집 서버에 저장된 데이터를 수신할 수 있다.
또한, 멀티 소스 데이터 가공 방법은 데이터를 추출할 수 있다(S220).
즉, 단계(S220)는 수집된 데이터 중 네트워크 데이터, 호스트 데이터 및 레거시 보안 장비 데이터 중 적어도 하나 이상을 추출할 수 있다.
이 때, 단계(S220)는 네트워크 데이터 파싱 및 정보 추출, 네트워크 세션 합산 및 통계값 계산 기능, 주기 별 네트워크 데이터 추출 등을 수행할 수 있다.
이 때, 단계(S220)는 호스트 데이터 파싱 및 특징 벡터 트리 생성 및 추출, 호스트 데이터 특징 벡터 별 합산, 갱신 특징 벡터 추출, 프로세스 행위 시퀀스 추출 및 프로세스 별 통계값 계산 기능 등을 수행할 수 있다.
이 때, 단계(S220)는 레거시 데이터 파싱 및 정보 추출, 주기 별 레거시 보안 장비 데이터 추출 기능 등을 수행할 수 있다.
이 때, 단계(S220)는 추출된 데이터를 가공 데이터로 데이터 베이스(150)에 저장할 수 있다.
이 때, 단계(S220)는 데이터 베이스(150)와 가공 데이터 송수신 및 최신 데이터 유지, 멀티 소스 데이터 필터링/정렬/분류/변환 등의 기능을 수행할 수 있다.
또한, 멀티 소스 데이터 가공 방법은 데이터를 분석할 수 있다(S230).
즉, 단계(S230)는 네트워크 데이터 분석 엔진(131), 호스트 데이터 분석 엔진(132), 레거시 보안 장비 데이터 분석 엔진(133) 및 연관성 데이터 분석 엔진(134)을 이용하여 데이터 베이스(150)에 저장된 가공 데이터를 분석할 수 있다.
이 때, 단계(S230)는 저장된 가공 데이터가 호스트 데이터인 경우 저장된 호스트 데이터 간의 연관성을 분석할 수 있다.
이 때, 단계(S230)는 모든 엔진은 데이터 베이스(150)에 저장된 가공 데이터를 참조할 수 있다.
이 때, 단계(S230)는 가공 데이터를 분석한 결과를 분석 데이터로 데이터 베이스(150)에 저장할 수 있다.
또한, 멀티 소스 데이터 가공 방법은 데이터를 시각화 할 수 있다(S240).
즉, 단계(S240)는 데이터 베이스(150)에 저장된 데이터를 변환하여 시각화 할 수 있다.
이 때, 단계(S240)는 데이터 베이스(150)에 저장된 분석 데이터를 처리하여 결과 데이터를 생성할 수 있다.
이 때, 단계(S240)는 데이터 베이스(150)에 저장된 데이터 중 호스트들간의 연관성을 분석한 분석 데이터를 처리하여 결과 데이터로 생성할 수 있다.
이 때, 단계(S240)는 데이터 베이스(150)에 저장된 가공 데이터 및 분석 데이터의 발생 시점과 저장 시점으로부터 통계 데이터를 추출할 수 있다.
이 때, 단계(S240)는 결과 데이터와 통계 데이터를 변환하여 시각화하여 출력할 수 있다.
이 때, 단계(S240)는 호스트들의 상태 정보, 호스트들간의 연관 관계 및 악성 데이터 탐지 여부를 시각화하여 출력 할 수 있다.
이 때, 단계(S240)는 사이버 체인의 단계의 상태 변화를 APT(ADVANCED PERSISTENT THREAT)의 공격 과정의 각 단계로 시각화하여 출력할 수 있다.
이 때, 단계(S240)는 각종 도형, 문자 및 색상 등을 이용하여 데이터를 시각화하여 출력할 수 있다,
이 때, 단계(S240)는 통계 데이터에 기반하여 발생 시점에 따라 시각화하여 출력되는 데이터가 달라질 수 있다.
이 때, 단계(S240)는 동영상 및 애니메이션 기능을 이용하여 데이터를 시각화하여 출력할 수 있다.
이 때, 단계(S240)는 디스플레이 장치 등을 이용하여 시각화된 데이터를 출력할 수 있다.
도 7은 본 발명의 일실시예에 따른 네트워크 데이터 시각화 과정을 나타낸 도면이다.
도 7을 참조하면, 네트워크 데이터 수집기(111)는 네트워크 데이터를 수집하여 데이터 수집 서버에 전송할 수 있다.
데이터 수집부(110)는 데이터 수집 서버로부터 네트워크 데이터를 수집할 수 있다.
데이터 가공부(120)는 수집된 데이터에서 데이터를 추출할 수 있다.
이 때, 데이터 가공부(120)는 네트워크 데이터 가공부(121)를 이용하여 네트워크 데이터를 추출할 수 있다.
네트워크 데이터 가공부(121)는 추출한 네트워크 데이터의 주기 별 데이터를 추출할 수 있다.
이 때, 네트워크 데이터 가공부(121)는 추출한 네트워크 데이터와 주기 별 데이터를 네트워크 가공 데이터로 데이터 베이스(150)에 저장할 수 있다.
데이터 분석부(130)는 데이터 베이스(150)에 저장된 가공 데이터를 분석할 수 있다.
이 때, 데이터 분석부(130)는 네트워크 데이터 분석 엔진(131)을 이용하여 저장된 네트워크 가공 데이터를 분석할 수 있다.
네트워크 데이터 분석 엔진(131)은 네트워크 분석 데이터를 데이터 베이스(150)에 저장할 수 있다.
데이터 시각화부(140)는 데이터 베이스(150)에 저장된 네트워크 가공 데이터와 네트워크 분석 데이터를 수신할 수 있다.
이 때, 데이터 시각화부(140)는 단일 소스 분석부(141)를 이용하여 네트워크 가공 데이터와 네트워크 분석 데이터 변환하여 시각화 할 수 있다.
이 때, 데이터 시각화부(140)는 시각화 출력부(144)를 이용하여 시각화된 데이터를 디스플레이 장치 등에 출력할 수 있다.
도 8은 본 발명의 일실시예에 따른 호스트 데이터 시각화 과정을 나타낸 도면이다.
호스트 데이터 수집기(112)는 호스트 데이터를 수집하여 데이터 수집 서버에 전송할 수 있다.
데이터 수집부(110)는 데이터 수집 서버로부터 호스트 데이터를 수집할 수 있다.
데이터 가공부(120)는 수집된 데이터에서 데이터를 추출할 수 있다.
이 때, 데이터 가공부(120)는 호스트 데이터 가공부(122)를 이용하여 호스트 데이터를 추출할 수 있다.
호스트 데이터 가공부(122)는 추출한 호스트 데이터의 특징 벡터 트리를 생성할 수 있다.
이 때, 호스트 데이터 가공부(122)는 생성된 특징 벡터 트리로부터 갱신특징 벡터를 추출할 수 있다.
이 때, 호스트 데이터 가공부(122)는 생성된 특징 벡터 트리를 호스트 가공 데이터로 데이터 베이스(150)에 저장할 수 있다.
데이터 분석부(130)는 데이터 베이스(150)에 저장된 가공 데이터를 분석할 수 있다.
이 때, 데이터 분석부(130)는 호스트 데이터 분석 엔진(132)을 이용하여 저장된 호스트 가공 데이터를 분석할 수 있다.
호스트 데이터 분석 엔진(132)은 호스트 가공 데이터를 분석한 호스트 분석 데이터를 데이터 베이스(150)에 저장할 수 있다.
이 때, 데이터 분석부(130)는 연관성 데이터 분석 엔진(134)을 이용하여 저장된 호스트 데이터의 연관성을 분석할 수 있다.
연관성 데이터 데이터 분석 엔진(134)은 호스트 데이터의 연관성을 분석한 연관성 분석 데이터를 데이터 베이스(150)에 저장할 수 있다.
데이터 시각화부(140)는 데이터 베이스(150)에 저장된 네트워크 가공 데이터와 네트워크 분석 데이터를 수신할 수 있다.
이 때, 데이터 시각화부(140)는 단일 소스 분석부(141)를 이용하여 호스트 가공 데이터, 호스트 분석 데이터 및 연관성 분석 데이터를 변환하여 시각화 할 수 있다.
이 때, 데이터 시각화부(140)는 시각화 출력부(144)를 이용하여 시각화된 데이터를 디스플레이 장치 등에 출력할 수 있다.
도 9는 본 발명의 일실시예에 따른 레거시 보안 장비 데이터 시각화 과정을 나타낸 도면이다.
레거시 보안 장비 데이터 수집기(113)는 레거시 보안 장비 데이터를 수집하여 데이터 수집 서버에 전송할 수 있다.
데이터 수집부(110)는 데이터 수집 서버로부터 레거시 보안 장비 데이터를 수집할 수 있다.
데이터 가공부(120)는 수집된 데이터에서 데이터를 추출할 수 있다.
이 때, 데이터 가공부(120)는 레거시 보안 장비 데이터 가공부(123)를 이용하여 레거시 보안 장비 데이터를 추출할 수 있다.
레거시 보안 장비 데이터 가공부(123)는 추출한 레거시 보안 장비 데이터의 주기 별 데이터를 추출할 수 있다.
이 때, 레거시 보안 장비 데이터 가공부(123)는 추출한 주기 별 데이터를 가공 데이터로 데이터 베이스(150)에 저장할 수 있다.
데이터 분석부(130)는 데이터 베이스(150)에 저장된 가공 데이터를 분석할 수 있다.
이 때, 데이터 분석부(130)는 레거시 보안 장비 데이터 분석 엔진(133)을 이용하여 저장된 레거시 보안 장비 가공 데이터를 분석할 수 있다.
레거시 보안 장비 데이터 분석 엔진(133)은 레거시 보안 장비 분석 데이터를 데이터 베이스(150)에 저장할 수 있다.
데이터 시각화부(140)는 데이터 베이스(150)에 저장된 레거시 보안 장비 가공 데이터와 레거시 보안 장비 분석 데이터를 수신할 수 있다.
이 때, 데이터 시각화부(140)는 단일 소스 분석부(141)를 이용하여 레거시 보안 장비 가공 데이터와 레거시 보안 장비 분석 데이터 변환하여 시각화 할 수 있다.
이 때, 데이터 시각화부(140)는 시각화 출력부(144)를 이용하여 시각화된 데이터를 디스플레이 장치 등에 출력할 수 있다.
도 10은 본 발명의 일실시예에 따른 시각화 출력 화면을 나타낸 도면이다.
도 10을 참조하면, 네트워크 상의 추출된 데이터가 변환되어 시각화된 것을 볼 수 있다.
시각화에 적용되는 데이터는 호스트 별로 수집되는 데이터 변화량(속도), 데이터량(길이), 호스트 별로 실행되는 프로세스 리스트 (시간대 별), 호스트 별로 접속되는 내부/외부 호스트 리스트, 네트워크 데이터는 네트워크 분석 결과, 호스트 분석 결과, 레거시 분석 결과, 분석 결과 연관 호스트 정보, 분석 결과 연관 프로세스 정보 등일 수 있다.
탐지 기간은 사이버 공격 징후 파악을 위해 분석할 데이터의 발생 기간을 나타낼 수 있다.
이 때, 탐지 기간은 한 시간을 Real Time, 하루를 Short Term 그리고 1개월을 Long Term으로 표시할 수 있다.
이 때, 탐지 기간은 사용자의 설정에 따라 달라질 수 있다.
NETWORK 탐지, HOST 탐지 및 Legacy 보안 장비 탐지 아이콘은 각 데이터들에 대한 분석 결과를 출력할 수 있다.
이 때, 탐지 아이콘은 분석결과가 악성인 경우, 청색에서 보라색 등으로 색상이 변경될 수 있다.
탐지 아이콘 우측 상단 소형 박스에는 숫자가 표시될 수 있다.
이 숫자는 분석 결과가 악성인 개수가 출력될 수 있다.
예를 들어, Host 탐지 아이콘의 우측 상단 소형 박스에 2라고 표시 된 경우, 두 개의 호스트에 대해서 호스트 데이터 분석 결과가 악성으로 분석된 것을 의미할 수 있다.
APT 분석의 다섯 개 원은 APT의 공격 과정을 표현한 사이버 킬 체인(Cyber Kill Chain)을 나타낸 것일 수 있다.
이 때, ART 분석은 감염(Delivery), 실행(Exploitation), 설치(Installation), 명령/제어(Command & Control, C2), 그리고 실행(Actions)으로 구분될 수 있다.
이 때, APT 분석 결과는 해당하는 징후가 사이버 킬 체인의 다섯 가지 단계 중 어느 단계에 속하는지 색상을 통해 출력될 수 있다.
우측 화면에서는 Host, Legacy System, Process, Internet, Ethernet 장비 들을 아이콘 형태로 출력할 수 있다.
우측 화면 중앙의 192.168.120.45 호스트를 중심으로 시각화된 것을 볼 수 있다.
또한, 사용자가 각 호스트를 선택하여 중앙에 확대하여 출력시킬 수 있다.
좌측 하단과 우측 하단에는 선택되지 않은 호스트는 간략하게 시각화되어 출력되는 것을 볼 수 있다.
호스트와 주변의 각 아이콘은 색상에 따라 상태 정보를 출력할 수 있다.
예를 들어, 아이콘이 백색인 경우는 호스트가 클린 한 상태일 수 있다.
아이콘이 연두색인 경우는 호스트에서 단일 소스 분석 결과가 악성으로 탐지된 것일 수 있다.
아이콘이 오렌지색인 경우는 경고 상태를 나타낸 것일 수 있다.
즉, 아이콘이 오렌지색인 경우는 호스트에서 단일 소스 분석 결과가 악성으로 탐지된 것에 대하여 관련된 연관 데이터가 존재한다는 의미일 수 있다.
또한, 아이콘이 적색인 경우는 경보 상태일 수 있다.
즉, 아이콘이 적색인 경우는 호스트에서 단일 소스 분석 결과가 악성으로 탐지된 것에 대하여 관련된 연관 데이터가 존재하고, 악성 분석 결과 간의 연관 관계가 발생하는 것일 수 있다.
호스트와 연계된 파일명 박스는 색상과 연결된 직선의 색상 또는 굵기에 따라 상태 정보를 출력할 수 있다.
예를 들어, 클린 한 파일인 경우 호스트와 직선으로 연결되지 않는다
즉, taskhost.exe 와 Explorer.exe 는 클린 한 파일이다.
호스트와 얇은 직선 또는 오렌지색 직선으로 연계된 파일명 박스는 단일소스 분석 결과가 악성으로 탐지된 것에 대하여 관련된 연관 데이터가 존재한다는 의미일 수 있다.
즉, desktop.ini, 320Virus1.exe, cmd.exe 는 연관 관계가 있을 수 있다.
또한 호스트와 굵은 직선 또는 적색 직선으로 연계된 파일명 박스는 단일 소스 분석 결과가 악성으로 탐지된 것에 대하여 관련된 연관 데이터가 존재하고, 악성 분석 결과 간의 연관 관계가 발생하는 것일 수 있다.
즉, 320Virus3.exe 는 악성으로 탐지된 파일일 수 있다.
우측 상단에서는 호스트들의 감염 상태를 확인할 수 있다.
총 3개의 호스트 데이터가 수집되어 있는 것을 볼 수 있다.
우측 상단의 호스트는 색상에 따라 상태 정보를 출력할 수 있다.
예를 들어, 우측 상단의 호스트는 흰색인 경우, 클린 한 것일 수 있다.
이 때, 우측 상단의 호스트는 오렌지색인 경우, 단일소스 분석 결과가 악성으로 탐지된 것에 대하여 관련된 연관 데이터가 존재한다는 의미일 수 있다.
이 때, 우측 상단의 호스트는 적색이거나 굵게 표시된 경우, 단일 소스 분석 결과가 악성으로 탐지된 것에 대하여 관련된 연관 데이터가 존재하고, 악성 분석 결과 간의 연관 관계가 발생하는 것일 수 있다.
즉, 192.168.120.46 호스트는 악성으로 탐지된 것일 수 있다.
이상에서와 같이 본 발명에 따른 멀티 소스 데이터 가공 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
110: 데이터 수집부
111: 네트워크 데이터 수집기
112: 호스트 데이터 수집기
113: 레거시 보안 장비 데이터 수집기
120: 데이터 가공부
121: 네트워크 데이터 가공부
122: 호스트 데이터 가공부
123: 레거시 보안 장비 데이터 가공부
130: 데이터 분석부
131: 네트워크 데이터 분석 엔진
132: 호스트 데이터 분석 엔진
133: 레거시 데이터 분석 엔진
134: 연관성 데이터 분석 엔진
140: 데이터 시각화부
141: 단일 소스 분석부
142: 연관 분석부
143: 데이터 통계 추출부
144: 시각화 출력부
111: 네트워크 데이터 수집기
112: 호스트 데이터 수집기
113: 레거시 보안 장비 데이터 수집기
120: 데이터 가공부
121: 네트워크 데이터 가공부
122: 호스트 데이터 가공부
123: 레거시 보안 장비 데이터 가공부
130: 데이터 분석부
131: 네트워크 데이터 분석 엔진
132: 호스트 데이터 분석 엔진
133: 레거시 데이터 분석 엔진
134: 연관성 데이터 분석 엔진
140: 데이터 시각화부
141: 단일 소스 분석부
142: 연관 분석부
143: 데이터 통계 추출부
144: 시각화 출력부
Claims (1)
- 네트워크 상의 데이터를 수집하는 데이터 수집부;
수집된 데이터 중 네트워크 데이터, 호스트 데이터 및 레거시 보안 장비 데이터 중 적어도 하나 이상을 추출하여 데이터 베이스에 가공 데이터로 저장하는 데이터 가공부;
상기 데이터 베이스에 저장된 가공 데이터의 종류에 기반하는 데이터 분석 엔진을 이용하여 분석한 결과를 상기 데이터 베이스에 분석 데이터로 저장하는 데이터 분석부; 및
상기 가공 데이터 및 상기 분석 데이터를 화면상에 시각화하여 출력하는 데이터 시각화부;
를 포함하는 것을 특징으로 하는 멀티 소스 데이터 가공 장치.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160015739A KR20170094673A (ko) | 2016-02-11 | 2016-02-11 | 멀티 소스 데이터 가공 장치 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160015739A KR20170094673A (ko) | 2016-02-11 | 2016-02-11 | 멀티 소스 데이터 가공 장치 및 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20170094673A true KR20170094673A (ko) | 2017-08-21 |
Family
ID=59757494
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020160015739A KR20170094673A (ko) | 2016-02-11 | 2016-02-11 | 멀티 소스 데이터 가공 장치 및 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20170094673A (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102225460B1 (ko) | 2019-10-16 | 2021-03-10 | 한국전자통신연구원 | 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치 |
-
2016
- 2016-02-11 KR KR1020160015739A patent/KR20170094673A/ko unknown
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102225460B1 (ko) | 2019-10-16 | 2021-03-10 | 한국전자통신연구원 | 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3528462B1 (en) | A method for sharing cybersecurity threat analysis and defensive measures amongst a community | |
| US11212306B2 (en) | Graph database analysis for network anomaly detection systems | |
| Hoque et al. | An implementation of intrusion detection system using genetic algorithm | |
| JP2023524619A (ja) | 関心度に基づいてデータ・フローを異なって取り扱うこと | |
| AU2011271157B2 (en) | System and method for identifying unauthorized activities on a computer system using a data structure model | |
| US20160127395A1 (en) | System and method for network intrusion detection of covert channels based on off-line network traffic | |
| CN114679338A (zh) | 一种基于网络安全态势感知的网络风险评估方法 | |
| CN111786950A (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
| US20230012220A1 (en) | Method for determining likely malicious behavior based on abnormal behavior pattern comparison | |
| Ko et al. | Management platform of threats information in IoT environment | |
| Suthar et al. | A signature-based botnet (emotet) detection mechanism | |
| CN117220994A (zh) | 一种基于网络安全服务的数据处理方法及系统 | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| US20150222648A1 (en) | Apparatus for analyzing the attack feature dna and method thereof | |
| Zhao et al. | Network security model based on active defense and passive defense hybrid strategy | |
| KR20170094673A (ko) | 멀티 소스 데이터 가공 장치 및 방법 | |
| KR101518233B1 (ko) | 기업 내부 전산환경의 위협탐지를 위한 보안 장치 | |
| Jain et al. | The role of decision tree technique for automating intrusion detection system | |
| Anwar et al. | Understanding internet of things malware by analyzing endpoints in their static artifacts | |
| Ramakrishnan et al. | Pandora: An IOT Based Intrusion Detection Honeypot with Real-time Monitoring | |
| Gavrilovic et al. | Snort IDS system visualization interface for alert analysis | |
| Subhan et al. | Unveiling Attack Patterns: A Study of Adversary Behavior from Honeypot Data | |
| Chaithanya et al. | Towards Detection of Network Attacks by Snort Analysis Using Machine Learning Techniques | |
| Tsochev et al. | Using Machine Learning Reacted with Honeypot Systems for Securing Network | |
| Aborujilah et al. | Critical review of intrusion detection systems in cloud computing environment |