KR20180044658A - 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치 - Google Patents

이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치 Download PDF

Info

Publication number
KR20180044658A
KR20180044658A KR1020160138448A KR20160138448A KR20180044658A KR 20180044658 A KR20180044658 A KR 20180044658A KR 1020160138448 A KR1020160138448 A KR 1020160138448A KR 20160138448 A KR20160138448 A KR 20160138448A KR 20180044658 A KR20180044658 A KR 20180044658A
Authority
KR
South Korea
Prior art keywords
area
category
module
management module
policy
Prior art date
Application number
KR1020160138448A
Other languages
English (en)
Inventor
손동식
조용수
한철규
Original Assignee
주식회사 윈스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스 filed Critical 주식회사 윈스
Priority to KR1020160138448A priority Critical patent/KR20180044658A/ko
Publication of KR20180044658A publication Critical patent/KR20180044658A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0604Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
    • H04L41/0613Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time based on the type or category of the network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치에 관한 것으로, 특히 이기종 보안 장비에서 수집한 탐지 이벤트들을 공격 유형별로 카테고리화하여, 동시 다발적인 공격에 대한 탐지 및 대응을 고도화하는 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치에 관한 것이다.
또한, 본 발명에 따르면, 이기종 보안 장비에서 탐지한 이벤트 로그들을 수집하는 이벤트 수집 모듈; 상기 이벤트 수집 모듈에서 수집된 탐지 이벤트 로그들을 분석하여 영역별로 공격 유형에 따라 카테고리화하여 관리하고, 영역별로 다수의 카테고리에 대한 정책들을 설정하여 관리하는 카테고리화 관리 모듈; 및 이기종 보안 장비들과 영역을 관리하며, 상기 카테고리화 관리 모듈에 영역 정보와 이기종 보안 장비 정보를 제공하는 핸들러 모듈을 포함하는 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치가 제공된다.

Description

이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치{High level detector for event between different kinds of security devices}
본 발명은 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치에 관한 것으로, 특히 이기종 보안 장비에서 수집한 탐지 이벤트들을 공격 유형별로 카테고리화하여, 동시 다발적인 공격에 대한 탐지 및 대응을 고도화하는 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치에 관한 것이다.
통합 관제 센터에서 이기종 장비들의 수천만 건 혹은 그 이상의 이벤트 로그를 실시간으로 감시를 하거나 네트워크 공격에 대한 실시간 증적 수집 및 빠른 대응이 쉽지 않다.
이러한 통합 관제의 광범위한 감시범위의 영역을 나누어서 감시가 이루어지면 보다 효율적인 통합관제가 가능해질 것이다.
또한 수천만 건의 탐지 이벤트들에 대해 식별할 수 있는 카테고리가 있다면 공격에 대한 대비 및 대응이 신속하게 이루어질 것이다.
국내등록번호 10-0819049호 국내 공개번호 10-2013-0052077호
본 발명은 상기와 같은 필요성을 충족시키기 위하여, 이기종 보안 장비에서 수집한 탐지 이벤트들을 공격 유형별로 카테고리화하여, 동시 다발적인 공격에 대한 탐지 및 대응을 고도화하는 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치를 제공하는 데 있다.
본 발명의 일 측면은 이기종 보안 장비에서 탐지한 이벤트 로그들을 수집하는 이벤트 수집 모듈; 상기 이벤트 수집 모듈에서 수집된 탐지 이벤트 로그들을 분석하여 영역별로 공격 유형에 따라 카테고리화하여 관리하고, 영역별로 다수의 카테고리에 대한 정책들을 설정하여 관리하는 카테고리화 관리 모듈; 및 이기종 보안 장비들과 영역을 관리하며, 상기 카테고리화 관리 모듈에 영역 정보와 이기종 보안 장비 정보를 제공하는 핸들러 모듈을 포함한다.
또한, 본 발명의 일 측면의 상기 카테고리화 관리 모듈은 영역별로 공격 유형에 따라 카테고리화된 데이터를 이용하여 이벤트별 카테고리를 분석하고, 영역별로 다수의 카테고리의 정책 데이터를 이용하여 영역별 카테고리 분석을 수행한다.
또한, 본 발명의 일 측면의 상기 카테고리화 관리 모듈은 영역별로 공격 유형에 따라 카테고리화하여 관리하는 카테고리 관리 모듈; 상기 이벤트 수집 모듈에서 수집된 탐지 이벤트 로그들을 분석하여 상기 카테고리 관리 모듈에 공격 유형별로 영역에 따라 카테고리화하여 관리하도록 요청하는 카테고리화 모듈; 상기 카테고리 관리 모듈의 카테고리화된 데이터를 참조하여, 영역별로 다수의 카테고리에 대한 정책들을 설정하여 관리하는 정책 관리 모듈; 및 상기 카테고리 관리 모듈의 영역별로 공격 유형에 따라 카테고리화된 데이터를 이용하여 이벤트별 카테고리를 분석하고, 상기 정책 관리 모듈의 영역별로 다수의 카테고리의 정책 데이터를 이용하여 영역별 카테고리 분석을 수행하는 탐지 분석 모듈을 포함한다.
또한, 본 발명의 일 측면의 상기 카테고리화 관리 모듈은 상기 탐지 분석 모듈에서 분석된 이벤트별 카테고리 분석 결과와 영역별 카테고리 분석 결과를 저장하여 관리하는 분석 결과 모듈을 더 포함한다.
또한, 본 발명의 일 측면의 상기 카테고리 관리 모듈은 상기 카테고리화 모듈의 카테고리 생성 요청에 대응하여 카테고리 식별자, 카테고리 이름 및 카운트로 이루어진 카테고리를 생성하는 카테고리 생성부; 카운트의 증가가 일정 시간 없는 경우에 해당 카테고리를 삭제하는 카테고리 삭제부; 상기 카테고리화 모듈의 카테고리 탐색 요청에 대응하여 생성된 카테고리에 탐색이 요청된 카테고리 이름이 있는지를 탐색하는 카테고리 탐색부; 및 상기 카테고리화 모듈의 카운트 요청에 대응하여 해당하는 카테고리의 카운트를 증가시키는 카운트부를 포함한다.
또한, 본 발명의 일 측면의 상기 카테고리화 모듈은 상기 이벤트 수집 모듈에서 수집된 탐지 이벤트 로그들을 분석하여 공격 유형을 알아내는 이벤트 분석부; 및 상기 이벤트 분석부에서 알아낸 공격 유형에 해당하는 카테고리를 생성하도록 카테고리 관리 모듈에 요청하는 카테고리화부를 포함한다.
또한, 본 발명의 일 측면의 상기 탐지 분석 모듈은 상기 카테고리 관리 모듈에 생성되어 있는 카테고리 식별자, 카테고리 이름, 카운트수를 분석하여 이벤트별로 카테고리 분석을 수행하는 이벤트별 카테고리 분석부; 및 상기 정책 관리 모듈에 생성되어 있는 정책 식별자, 영역 식별자, 카테고리 정책 리스트를 분석하여 영역별로 발생한 카테고리들을 획득하여 해당하는 정책 유형을 분석하는 영역별 카테고리 분석부를 포함한다.
또한, 본 발명의 일 측면의 상기 정책 관리 모듈은 상기 핸들러 모듈에 영역이 추가되면 해당하는 영역에 대한 장비 정보를 읽어와서 정책 식별자를 생성하고 생성된 정책 식별자에 해당하는 영역 식별자를 연계하여 저장하며, 상기 카테고리화 관리 모듈을 참조하여 해당하는 영역에 대한 카테고리를 수집하여 카테고리별 정책을 생성하여 저장하여 관리하는 정책 생성부; 외부에서 일정 기간 동안 정책 탐색 요청이 없는 영역의 정책 식별자를 삭제하는 정책 삭제부; 관리자의 요청에 대응하여 정책 식별자를 수정하는 정책 수정부; 및 정책 탐색 요청에 대응하여 정책을 탐색하여 결과를 알려주는 정책 탐색부를 포함한다.
또한, 본 발명의 일 측면의 상기 핸들러 모듈은 영역 등록 요청에 대응하여 영역 식별자를 생성하고, 장비 등록 요청에 대응하여 영역 식별자와 연결하여 해당 영역의 장비들을 등록하며, 영역 삭제 요청에 대응하여 생성되어 있는 영역을 삭제하고, 장비 삭제 요청에 대응하여 영역 식별자와 연결하여 등록된 장비들을 삭제하며, 영역 탐색 요청에 대응하여 생성되어 있는 영역을 탐색하여 그 결과를 알려주고, 장비 탐색 요청에 대응하여 영역 식별자와 연결하여 등록된 장비들을 탐색하여 탐색 결과를 알려주는 영역 관리 모듈; 상기 영역 관리 모듈에 새로운 영역의 등록을 요청하고, 해당 영역의 삭제를 요청하며, 해당 영역의 탐색을 요청하는 영역 제어 모듈; 및 상기 영역 관리 모듈에 새로운 장비의 등록을 요청하고, 해당 장비의 삭제를 요청하며, 해당 장비의 탐색을 요청하는 장비 제어 모듈을 포함한다.
또한, 본 발명의 일 측면의 상기 영역 관리 모듈은 상기 영역 제어 모듈의 영역 등록 요청에 대응하여 영역 식별자를 생성하고, 장비 제어 모듈의 장비 등록 요청에 대응하여 영역 식별자와 연결하여 해당 영역의 장비들을 등록하는 영역 생성부; 상기 영역 제어 모듈의 영역 삭제 요청에 대응하여 생성되어 있는 영역을 삭제하고, 장비 제어 모듈의 장비 삭제 요청에 대응하여 영역 식별자와 연결하여 등록된 장비들을 삭제하는 영역 삭제부; 및 상기 영역 제어 모듈의 영역 탐색 요청에 대응하여 생성되어 있는 영역을 탐색하여 그 결과를 알려주고, 장비 제어 모듈의 장비 탐색 요청에 대응하여 영역 식별자와 연결하여 등록된 장비들을 탐색하여 탐색 결과를 알려주는 영역 탐색부를 포함한다.
또한, 본 발명의 일 측면의 상기 영역 제어 모듈은 관리자의 새로운 영역 등록 요청에 대응하여 새로운 영역의 등록을 영역 관리 모듈에 요청하는 영역 등록부; 관리자의 새로운 영역 탐색 요청에 대응하여 새로운 영역의 탐색을 영역 관리 모듈에 요청하는 영역 탐색부; 및 관리자의 영역 삭제 요청에 대응하여 영역의 삭제를 영역 관리 모듈에 요청하는 영역 삭제부를 포함한다.
또한, 본 발명의 일 측면의 상기 장비 제어 모듈은 관리자의 새로운 장비 등록 요청에 대응하여 새로운 장비의 등록을 영역 관리 모듈에 요청하는 장비 등록부; 관리자의 새로운 장비 탐색 요청에 대응하여 새로운 장비의 탐색을 영역 관리 모듈에 요청하는 장비 탐색부; 및 관리자의 장비 삭제 요청에 대응하여 장비의 삭제를 영역 관리 모듈에 요청하는 장비 삭제부를 포함한다.
본 발명은 다수의 이기종 보안 장비에 대한 광범위한 감시범위를 특정 영역으로 구성하여 영역별로 공격행위를 감시할 수 있다.
이는 관제의 목적에 맞게 영역을 구성할 수 있고, 영역별 공격유형을 신속하게 파악할 수 있어 효율적인 통합 관제를 수행할 수 있다.
또한 실시간으로 이기종 보안 장비에서 수집한 이벤트들을 공격 유형별로 카테고리화를 함으로써 영역별 공격 변화에 대해 신속한 탐지/대응이 가능하고, 이 카테고리화된 정보를 활용하여 공격 트랜드 변화의 감지와 이에 따른 맞춤형 대응을 기대할 수 있다.
또한, 본 발명은 광범위한 감시범위에 대한 기존 통합관제의 감시 효율성을 향상시키고, 다양한 탐지 이벤트의 카테고리화 정보를 활용하여 공격에 대한 유형분석, 공격탐지, 공격 트랜드 변화를 실시간으로 감지 및 대응할 수 있고, 더 나아가 공격의 예측도 기대해 볼 수 있다.
도 1은 본 발명의 일 실시예에 따른 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지의 개념을 설명하기 위한 예시도이다.
도 2는 본 발명의 일 실시예에 따른 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지의 개념에서 영역 설정을 설명하기 위한 예시도이다.
도 3은 본 발명의 일 실시예에 따른 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치의 구성도이다.
본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 설명하기 위하여 이하에서는 본 발명의 바람직한 실시예를 예시하고 이를 참조하여 살펴본다.
먼저, 본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로서, 본 발명을 한정하려는 의도가 아니며, 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함할 수 있다. 또한 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
본 발명을 설명함에 있어서, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
도 1은 본 발명의 일 실시예에 따른 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지의 개념을 설명하기 위한 예시도이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지는 이기종 보안 장비들을 관제의 목적에 맞게 영역을 설정하고(영역 1~영역 n으로 표시됨), 이벤트 수집 모듈을 통하여 탐지 이벤트를 수집하여 카테고리화 관리 모듈을 통하여 공격 유형별로 카테고리화하여 각 영역별 침입 탐지 및 대응을 한다.
영역 설정은 통합관제를 효율적으로 운영하도록 한다. 이는 광범위하게 분포되어있는 이기종 보안장비들에서 수집되는 수천만 건의 이벤트 중에 공격이 탐지된 이벤트에 대해 어떤 보안 장비에서 탐지가 되었는지에 대한 추적이 용이하고 해당 영역안에서의 공격 활동을 감시할 수 있다.
또한, 영역별로 감시가 가능하여 보안 담당자의 감시 범위를 좁히고 신속한 대응을 할 수 있다.
네트워크 이기종 보안 장비들에서 실시간으로 수집한 이벤트들을 카테고리화 하여 감시망에서의 공격에 대한 유형을 식별하고 카테고리화 정보를 활용하여 공격 유형 분석하고, 탐지하며 대응하도록 한다.
이러한 영역 설정을 고객사의 관점에서 보면 도 2에 도시된 바와 같이 고객사 1과 고객사2를 묶어 영역1로 할 수 있는데, 이때 고객사 1과 고객사 2는 지역적인 구분보다는 트래픽 유형이 유사한 고객사들이다. 이처럼 트래픽 유형을 근거로 영역을 구분할 수 있다.
도 3은 본 발명의 일 실시예에 따른 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치의 구성도이다.
도 3을 참조하면, 본 발명의 일 실시예에 따른 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치는 이벤트 수집 모듈(100), 카테고리화 관리 모듈(200) 및 핸들러 모듈(300)을 포함하고 있다.
상기 이벤트 수집 모듈(100)은 이기종 보안장비들에서 탐지한 이벤트 로그들을 수집한다. 수집한 이벤트 로그들을 카테고리화 관리 모듈(200)의 카테고리화 모듈(210)과 탐지 분석 모듈(220)에 각각 전송한다.
다음으로, 카테고리화 관리 모듈(200)은 이벤트 수집 모듈(100)에서 수집된 탐지 이벤트 로그들을 분석하여 카테고리화하고 관리하며, 이벤트별로 카테고리를 분석하고, 영역별로 카테고리를 분석하며, 영역별 카테고리에 대한 정책을 설정하고, 설정된 영역별 카테고리에 대한 정책을 배포한다.
이러한 카테고리화 관리 모듈(200)은 카테고리화 모듈(210), 탐지 분석 모듈(220), 카테고리 관리 모듈(230), 정책 관리 모듈(240) 및 분석 결과 모듈(250)을 포함한다.
상기 카테고리화 모듈(210)은 탐지 이벤트의 유형을 분석하여, 분석한 데이터를 카테고리화 시킨다.
이러한 카테고리화 모듈(210)은 이벤트 수집 모듈(100)에서 수집된 탐지 이벤트 로그들을 분석하여 공격 유형을 알아내는 이벤트 분석부(211)와, 상기 이벤트 분석부(210)에서 알아낸 공격 유형에 해당하는 카테고리를 생성하도록 카테고리 관리 모듈(230)에 요청하는 카테고리화부(212)를 포함한다.
일예로, 영역 1의 고객사 1에 대하여 사용장비가 IPS인 경우에 IPS 에서의 탐지 이벤트 내용은 exploit 공격이고, 사용장비가 WAF인 경우에 WAF 에서의 탐지이벤트 내용은 malware 공격일 수 있다.
또한, 영역2의 고객사 3에서 사용장비가 IPS인 경우에 IPS 에서의 탐지 이벤트 내용은 scan/sweep 공격이며, 사용장비가 DDOS인 경우에 DDOS 에서의 탐지내용 bruteforce 공격일 수 있다.
이벤트 분석부(211)는 이벤트 수집 모듈(100)에서 수집된 탐지 이벤트 로그들을 분석하여 위와 같은 공격 유형을 알아낸다.
일예로, 영역 1의 고객사 1에 대하여 사용장비가 IPS인 경우에 IPS 에서의 탐지 이벤트 내용은 exploit 공격이고, 사용장비가 WAF인 경우에 WAF 에서의 탐지이벤트 내용은 malware 공격인 경우에 이벤트 분석부(211)는 영역 1에서 APT 공격이 발생하였다고 공격 유형을 알아낸다.
그리고, 카테고리화부(212)는 영역1에 대하여 APT 공격 카테고리를 생성하거나 이미 생성되어 있는 경우에 카운트 수를 증가하도록 한다.
일예로, 카테고리화부(212)는 카테고리 id 1 : APT 공격(카테고리 이름): exploit.., malware..(상세 이벤트), count 1으로 카테고리화할 수 있다.
또한, 영역2의 고객사 3에서 사용장비가 IPS인 경우에 IPS 에서의 탐지 이벤트 내용은 scan/sweep 공격이며, 사용장비가 DDOS인 경우에 DDOS 에서의 탐지내용 bruteforce 공격인 경우에 이벤트 분석부(211)는 영역 2에서 영역2에서 망내 취약점 공격이 발생한 것으로 공격 유형을 알아낸다.
그리고, 카테고리화부(212)는 영역2에 대하여 망내 취약점 공격 카테고리를 생성하거나 이미 생성되어 있는 경우에 카운트 수를 증가하도록 한다.
일예로, 카테고리화부(212)는 카테고리 id 2 : 망내 취약점 공격(카테고리 이름): scan/sweep.., bruteforce..(상세 이벤트), count 1으로 카테고리화할 수 있다.
상기 카테고리화부(212)는 카테고리 관리 모듈(230)에 카테고리 생성 요청을 하기 전에 이벤트 분석부(211)에서 분석된 공격 유형에 해당하는 카테고리가 해당 영역에 대하여 생성되어 있는지를 탐색 요청하여 해당 영역에 대하여 생성되어 있지 않은 경우에 카테고리를 생성하도록 요청한다.
이때, 이미 카테고리 관리 모듈(230)에 해당 공격 유형에 대응되는 카테고리가 형성되어 있으면 카테고리화부(212)는 카테고리 관리 모듈(230)에 해당 카테고리의 카운트를 증가시키도록 요청한다.
다음으로, 탐지 분석 모듈(220)는 카테고리 관리 모듈(230)과 정책 관리 모듈(240)에서 관리되는 데이터를 기반으로 이벤트별 카테고리를 분석하고, 영역별 카테고리를 분석한다.
이러한 탐지 분석 모듈(220)은 카테고리 관리 모듈(230)에 생성되어 있는 카테고리 식별자, 카테고리 이름, 카운트수등을 분석하여 이벤트별로 카테고리 분석을 수행하는 이벤트별 카테고리 분석부(221)를 포함한다.
이와 같은 상기 이벤트별 카테고리 분석부(221)는 카테고리 관리 모듈(230)에 생성되어 있는 카테고리 식별자, 카테고리 이름, 카운트 수 등을 분석하여 다수의 영역에 걸쳐 특정 공격 유형에 해당하는 동일 카테고리의 카운트 수 등을 확인하여 여러 영역에 걸쳐 동일한 공격 유형이 어느 정도 빈번하게 발생하였는지 분석할 수 있다.
또한, 탐지 분석 모듈(220)은 정책 관리 모듈(240)에 생성되어 있는 정책 식별자, 영역 식별자, 카테고리 정책 리스트 등을 분석하여 영역별로 발생한 카테고리들을 획득하여 해당하는 정책 유형을 분석하는 영역별 카테고리 분석부(222)를 포함하고 있다.
다음으로, 상기 카테고리 관리 모듈(230)은 새로운 카테고리 데이터의 생성하고, 생성된 카테고리 데이터를 삭제하며, 생성된 카테고리 데이터를 탐색한다.
이와 같은 카테고리 관리 모듈(230)이 관리하는 데이터 형식은 카테고리 식별자 ID, 카테고리 이름, 카테고리 누적 개수인 카운트이다.
상기 카테고리 관리 모듈(230)은 카테고리화 모듈(210)의 카테고리 생성 요청에 대응하여 해당하는 카테고리를 생성하는 카테고리 생성부(231)를 포함한다.
상기 카테고리 생성부(231)는 카테고리화 모듈(210)의 카테고리 생성 요청에 대응하여 카테고리 식별자, 카테고리 이름, 카운트로 이루어진 카테고리를 생성한다.
또한, 상기 카테고리 관리 모듈(230)은 카운트의 증가가 일정 시간 없는 경우에 해당 카테고리를 삭제하는 카테고리 삭제부(232)를 포함한다.
또한, 상기 카테고리 관리 모듈(230)은 카테고리화 모듈(210)의 카테고리 탐색 요청에 대응하여 생성된 카테고리에 탐색이 요청된 카테고리 이름이 있는지를 탐색하는 카테고리 탐색부(233)를 포함한다.
또한, 상기 카테고리 관리 모듈(230)은 카테고리화 모듈(210)의 카운트 요청에 대응하여 해당하는 카테고리의 카운트를 증가시키는 카운트부(234)를 포함한다.
다음으로, 정책 관리 모듈(240)은 카테고리 내용을 활용하여 카테고리 정책을 관리한다.
이와 같은 정책 관리 모듈(240)은 핸들러 모듈(300)의 영역 관리 모듈(310)에서 영역이 추가되면 해당하는 영역에 대한 장비 정보를 읽어와서 정책 식별자를 생성하고 생성된 정책 식별자에 해당하는 영역 식별자를 연계하여 저장하며, 카테고리 관리 모듈(230)을 참조하여 해당하는 영역에 대한 카테고리를 수집하여 카테고리별 정책을 생성하여 저장하여 관리한다.
이러한 정책 관리 모듈(240)은 관리자가 해당하는 정책 식별자의 카테고리에 정책을 설정하면 설정된 정책을 해당 정책 식별자의 카테고리와 연계하여 저장한다.
또한, 이와 같은 정책 관리 모듈(240)은 새로운 정책의 식별자를 생성할 뿐만 아니라, 외부에서 일정 기간 동안 정책 탐색 요청이 없는 영역의 정책 식별자를 삭제하며, 정책 식별자등을 수정하고, 정책 탐색 요청에 대응하여 정책을 탐색하여 결과를 알려준다.
이때, 정책 관리 모듈(240)의 데이터 형식은 정책 식별자, 영역 식별자, 카테고리 정책 리스트를 포함한다.
이러한 정책 관리 모듈(240)은 핸들러 모듈(300)의 영역 관리 모듈(310)에서 영역이 추가되면 해당하는 영역에 대한 장비 정보를 읽어와서 정책 식별자를 생성하고 생성된 정책 식별자에 해당하는 영역 식별자를 연계하여 저장하며, 카테고리 관리 모듈(230)을 참조하여 해당하는 영역에 대한 카테고리를 수집하여 카테고리별 정책을 생성하여 저장하여 관리하는 정책 생성부(241)를 포함한다.
또한, 정책 관리 모듈(240)은 외부에서 일정 기간 동안 정책 탐색 요청이 없는 영역의 정책 식별자를 삭제하는 정책 삭제부(242)와, 정책 식별자등을 수정하는 정책 수정부(243)와, 정책 탐색 요청에 대응하여 정책을 탐색하여 결과를 알려주는 정책 탐색부(244)를 포함한다.
다음으로, 분석 결과 모듈(250)은 상기 탐지 분석 모듈(220)에서 분석된 이벤트별 카테고리 분석 결과와 영역별 카테고리 분석 결과를 저장하여 관리한다.
이러한 분석 결과 모듈(250)은 탐지 분석 모듈(220)에서 분석 결과를 저장하고 공격 여부를 확인한다. 공격이 확인되면 탐지된 카테고리 정보, 영역 정보, 장비 정보 등을 알람으로 알린다.
한편, 핸들러 모듈(300)은 이기종 장비들과 영역을 관리한다.
이러한 핸들러 모듈(300)은 영역 관리 모듈(310), 영역 제어 모듈(320) 및 장비 제어 모듈(330)을 포함한다.
상기 영역 관리 모듈(310)은 영역 식별자를 생성하고, 영역 식별자를 삭제하며, 영역 식별자를 수정하고, 영역 식별자를 탐색한다.
이러한 영역 관리 모듈(310)에서 사용하는 데이터 형식은 영역 식별자, 등록된 장비 식별자를 포함한다.
이와 같은 영역 관리 모듈(310)은 영역 제어 모듈(320)의 영역 등록부(321)의 영역 등록 요청에 대응하여 영역 식별자를 생성하고, 장비 제어 모듈(330)의 장비 등록부(331)의 장비 등록 요청에 대응하여 영역 식별자와 연결하여 해당 영역의 장비들을 등록하는 영역 생성부(311)를 포함한다.
또한, 이와 같은 영역 관리 모듈(310)은 영역 제어 모듈(320)의 영역 삭제부(323)의 영역 삭제 요청에 대응하여 생성되어 있는 영역을 삭제하고, 장비 제어 모듈(330)의 장비 삭제부(333)의 장비 삭제 요청에 대응하여 영역 식별자와 연결하여 등록된 장비들을 삭제하는 영역 삭제부(312)를 포함한다.
또한, 이와 같은 영역 관리 모듈(310)은 영역 식별자와 이와 연계되어 저장되어 있는 장비 식별자등을 수정하는 영역 수정부(313)를 포함한다.
또한, 이와 같은 영역 관리 모듈(310)은 영역 제어 모듈(320)의 영역 탐색부(322)의 영역 탐색 요청에 대응하여 생성되어 있는 영역을 탐색하여 그 결과를 알려주고, 장비 제어 모듈(330)의 장비 탐색부(332)의 장비 탐색 요청에 대응하여 영역 식별자와 연결하여 등록된 장비들을 탐색하여 탐색 결과를 알려주는 영역 탐색부(314)를 포함한다.
다음으로, 상기 영역 제어 모듈(320)은 새로운 영역을 등록하고, 해당 영역을 삭제하며, 해당 영역을 탐색한다.
이러한, 영역 제어 모듈(320)은 관리자의 새로운 영역 등록 요청에 대응하여 새로운 영역의 등록을 영역 관리 모듈(310)의 영역 생성부(311)에 요청하는 영역 등록부(321)를 포함한다.
이러한, 영역 제어 모듈(320)은 관리자의 새로운 영역 등록 요청에 대응하여 새로운 영역의 등록을 영역 관리 모듈(310)의 영역 생성부(311)에 요청하는 영역 등록부(321)를 포함한다.
또한, 영역 제어 모듈(320)은 관리자의 새로운 영역 탐색 요청에 대응하여 새로운 영역의 탐색을 영역 관리 모듈(310)의 영역 탐색부(314)에 요청하는 영역 탐색부(322)를 포함한다.
또한, 영역 제어 모듈(320)은 관리자의 영역 삭제 요청에 대응하여 영역의 삭제를 영역 관리 모듈(310)의 영역 삭제부(312)에 요청하는 영역 삭제부(323)를 포함한다.
다음으로, 장비 제어 모듈(330)은 새로운 장비를 등록하고, 해당 장비를 삭제하며, 해당 장비를 탐색한다.
이러한, 영역 제어 모듈(320)은 관리자의 새로운 영역 등록 요청에 대응하여 새로운 영역의 등록을 영역 관리 모듈(310)의 영역 생성부(311)에 요청하는 영역 등록부(321)를 포함한다.
또한, 영역 제어 모듈(320)은 관리자의 새로운 영역 탐색 요청에 대응하여 새로운 영역의 탐색을 영역 관리 모듈(310)의 영역 탐색부(314)에 요청하는 영역 탐색부(322)를 포함한다.
또한, 영역 제어 모듈(320)은 관리자의 영역 삭제 요청에 대응하여 영역의 삭제를 영역 관리 모듈(310)의 영역 삭제부(312)에 요청하는 영역 삭제부(323)를 포함한다.
본 발명은 다수의 이기종 보안 장비에 대한 광범위한 감시범위를 특정 영역으로 구성하여 영역별로 공격행위를 감시할 수 있다.
이는 관제의 목적에 맞게 영역을 구성할 수 있고, 영역별 공격유형을 신속하게 파악할 수 있어 효율적인 통합 관제를 수행할 수 있다.
또한 실시간으로 이기종 보안 장비에서 수집한 이벤트들을 공격 유형별로 카테고리화를 함으로써 영역별 공격 변화에 대해 신속한 탐지/대응이 가능하고, 이 카테고리화된 정보를 활용하여 공격 트랜드 변화의 감지와 이에 따른 맞춤형 대응을 기대할 수 있다.
또한, 본 발명은 광범위한 감시범위에 대한 기존 통합관제의 감시 효율성을 향상시키고, 다양한 탐지 이벤트의 카테고리화 정보를 활용하여 공격에 대한 유형분석, 공격탐지, 공격 트랜드 변화를 실시간으로 감지 및 대응할 수 있고, 더 나아가 공격의 예측도 기대해 볼 수 있다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서 본 발명에 기재된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상이 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의해서 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100 : 이벤트 수집 모듈
200 : 카테고리화 관리 모듈
210 : 카테고리화 모듈
220 : 탐지 분석 모듈
230 : 카테고리 관리 모듈
240 : 정책 관리 모듈
250 : 분석 결과 모듈
300 : 핸들러 모듈
310 : 영역 관리 모듈
320 : 장비 제어 모듈
330 : 영역 제어 모듈

Claims (12)

  1. 이기종 보안 장비에서 탐지한 이벤트 로그들을 수집하는 이벤트 수집 모듈;
    상기 이벤트 수집 모듈에서 수집된 탐지 이벤트 로그들을 분석하여 영역별로 공격 유형에 따라 카테고리화하여 관리하고, 영역별로 다수의 카테고리에 대한 정책들을 설정하여 관리하는 카테고리화 관리 모듈; 및
    이기종 보안 장비들과 영역을 관리하며, 상기 카테고리화 관리 모듈에 영역 정보와 이기종 보안 장비 정보를 제공하는 핸들러 모듈을 포함하는 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치.
  2. 청구항 1항에 있어서,
    상기 카테고리화 관리 모듈은 영역별로 공격 유형에 따라 카테고리화된 데이터를 이용하여 이벤트별 카테고리를 분석하고, 영역별로 다수의 카테고리의 정책 데이터를 이용하여 영역별 카테고리 분석을 수행하는 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치.
  3. 청구항 2항에 있어서,
    상기 카테고리화 관리 모듈은
    영역별로 공격 유형에 따라 카테고리화하여 관리하는 카테고리 관리 모듈;
    상기 이벤트 수집 모듈에서 수집된 탐지 이벤트 로그들을 분석하여 상기 카테고리 관리 모듈에 공격 유형별로 영역에 따라 카테고리화하여 관리하도록 요청하는 카테고리화 모듈;
    상기 카테고리 관리 모듈의 카테고리화된 데이터를 참조하여, 영역별로 다수의 카테고리에 대한 정책들을 설정하여 관리하는 정책 관리 모듈; 및
    상기 카테고리 관리 모듈의 영역별로 공격 유형에 따라 카테고리화된 데이터를 이용하여 이벤트별 카테고리를 분석하고, 상기 정책 관리 모듈의 영역별로 다수의 카테고리의 정책 데이터를 이용하여 영역별 카테고리 분석을 수행하는 탐지 분석 모듈을 포함하는 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치.
  4. 청구항 3항에 있어서,
    상기 카테고리화 관리 모듈은
    상기 탐지 분석 모듈에서 분석된 이벤트별 카테고리 분석 결과와 영역별 카테고리 분석 결과를 저장하여 관리하는 분석 결과 모듈을 더 포함하는 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치.
  5. 청구항 4항에 있어서,
    상기 카테고리 관리 모듈은
    상기 카테고리화 모듈의 카테고리 생성 요청에 대응하여 카테고리 식별자, 카테고리 이름 및 카운트로 이루어진 카테고리를 생성하는 카테고리 생성부;
    카운트의 증가가 일정 시간 없는 경우에 해당 카테고리를 삭제하는 카테고리 삭제부;
    상기 카테고리화 모듈의 카테고리 탐색 요청에 대응하여 생성된 카테고리에 탐색이 요청된 카테고리 이름이 있는지를 탐색하는 카테고리 탐색부; 및
    상기 카테고리화 모듈의 카운트 요청에 대응하여 해당하는 카테고리의 카운트를 증가시키는 카운트부를 포함하는 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치.
  6. 청구항 4항에 있어서,
    상기 카테고리화 모듈은
    상기 이벤트 수집 모듈에서 수집된 탐지 이벤트 로그들을 분석하여 공격 유형을 알아내는 이벤트 분석부; 및
    상기 이벤트 분석부에서 알아낸 공격 유형에 해당하는 카테고리를 생성하도록 카테고리 관리 모듈에 요청하는 카테고리화부를 포함하는 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치.
  7. 청구항 4항에 있어서,
    상기 탐지 분석 모듈은
    상기 카테고리 관리 모듈에 생성되어 있는 카테고리 식별자, 카테고리 이름, 카운트수를 분석하여 이벤트별로 카테고리 분석을 수행하는 이벤트별 카테고리 분석부; 및
    상기 정책 관리 모듈에 생성되어 있는 정책 식별자, 영역 식별자, 카테고리 정책 리스트를 분석하여 영역별로 발생한 카테고리들을 획득하여 해당하는 정책 유형을 분석하는 영역별 카테고리 분석부를 포함하는 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치.
  8. 청구항 4항에 있어서,
    상기 정책 관리 모듈은
    상기 핸들러 모듈에 영역이 추가되면 해당하는 영역에 대한 장비 정보를 읽어와서 정책 식별자를 생성하고 생성된 정책 식별자에 해당하는 영역 식별자를 연계하여 저장하며, 상기 카테고리화 관리 모듈을 참조하여 해당하는 영역에 대한 카테고리를 수집하여 카테고리별 정책을 생성하여 저장하여 관리하는 정책 생성부;
    외부에서 일정 기간 동안 정책 탐색 요청이 없는 영역의 정책 식별자를 삭제하는 정책 삭제부;
    관리자의 요청에 대응하여 정책 식별자를 수정하는 정책 수정부; 및
    정책 탐색 요청에 대응하여 정책을 탐색하여 결과를 알려주는 정책 탐색부를 포함하는 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치.
  9. 청구항 1항에 있어서,
    상기 핸들러 모듈은
    영역 등록 요청에 대응하여 영역 식별자를 생성하고, 장비 등록 요청에 대응하여 영역 식별자와 연결하여 해당 영역의 장비들을 등록하며, 영역 삭제 요청에 대응하여 생성되어 있는 영역을 삭제하고, 장비 삭제 요청에 대응하여 영역 식별자와 연결하여 등록된 장비들을 삭제하며, 영역 탐색 요청에 대응하여 생성되어 있는 영역을 탐색하여 그 결과를 알려주고, 장비 탐색 요청에 대응하여 영역 식별자와 연결하여 등록된 장비들을 탐색하여 탐색 결과를 알려주는 영역 관리 모듈;
    상기 영역 관리 모듈에 새로운 영역의 등록을 요청하고, 해당 영역의 삭제를 요청하며, 해당 영역의 탐색을 요청하는 영역 제어 모듈; 및
    상기 영역 관리 모듈에 새로운 장비의 등록을 요청하고, 해당 장비의 삭제를 요청하며, 해당 장비의 탐색을 요청하는 장비 제어 모듈을 포함하는 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치.
  10. 청구항 9항에 있어서,
    상기 영역 관리 모듈은
    상기 영역 제어 모듈의 영역 등록 요청에 대응하여 영역 식별자를 생성하고, 장비 제어 모듈의 장비 등록 요청에 대응하여 영역 식별자와 연결하여 해당 영역의 장비들을 등록하는 영역 생성부;
    상기 영역 제어 모듈의 영역 삭제 요청에 대응하여 생성되어 있는 영역을 삭제하고, 장비 제어 모듈의 장비 삭제 요청에 대응하여 영역 식별자와 연결하여 등록된 장비들을 삭제하는 영역 삭제부; 및
    상기 영역 제어 모듈의 영역 탐색 요청에 대응하여 생성되어 있는 영역을 탐색하여 그 결과를 알려주고, 장비 제어 모듈의 장비 탐색 요청에 대응하여 영역 식별자와 연결하여 등록된 장비들을 탐색하여 탐색 결과를 알려주는 영역 탐색부를 포함하는 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치.
  11. 청구항 9항에 있어서,
    상기 영역 제어 모듈은
    관리자의 새로운 영역 등록 요청에 대응하여 새로운 영역의 등록을 영역 관리 모듈에 요청하는 영역 등록부;
    관리자의 새로운 영역 탐색 요청에 대응하여 새로운 영역의 탐색을 영역 관리 모듈에 요청하는 영역 탐색부; 및
    관리자의 영역 삭제 요청에 대응하여 영역의 삭제를 영역 관리 모듈에 요청하는 영역 삭제부를 포함하는 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치.
  12. 청구항 9항에 있어서,
    상기 장비 제어 모듈은
    관리자의 새로운 장비 등록 요청에 대응하여 새로운 장비의 등록을 영역 관리 모듈에 요청하는 장비 등록부;
    관리자의 새로운 장비 탐색 요청에 대응하여 새로운 장비의 탐색을 영역 관리 모듈에 요청하는 장비 탐색부; 및
    관리자의 장비 삭제 요청에 대응하여 장비의 삭제를 영역 관리 모듈에 요청하는 장비 삭제부를 포함하는 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치.
KR1020160138448A 2016-10-24 2016-10-24 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치 KR20180044658A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160138448A KR20180044658A (ko) 2016-10-24 2016-10-24 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160138448A KR20180044658A (ko) 2016-10-24 2016-10-24 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치

Publications (1)

Publication Number Publication Date
KR20180044658A true KR20180044658A (ko) 2018-05-03

Family

ID=62244802

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160138448A KR20180044658A (ko) 2016-10-24 2016-10-24 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치

Country Status (1)

Country Link
KR (1) KR20180044658A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102158784B1 (ko) 2020-05-14 2020-09-22 주식회사 쿼리시스템즈 이기종 보안 장비와 연동하는 보안위협 자동 차단 시스템

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100118422A (ko) * 2009-04-28 2010-11-05 에스케이 텔레콤주식회사 정보보안 증적 추적 시스템 및 방법
JP2013085124A (ja) * 2011-10-11 2013-05-09 Nippon Telegr & Teleph Corp <Ntt> 攻撃情報管理システム、攻撃情報管理装置、攻撃情報管理方法及びプログラム
KR20130138542A (ko) * 2012-06-11 2013-12-19 한국전자통신연구원 보안 침해 대응 프로세스 기반의 물리/it 보안장비 제어 장치 및 방법
KR20140126633A (ko) * 2013-04-23 2014-10-31 주식회사 안랩 악성 메시지 검사 방법 및 장치
US20160050225A1 (en) * 2014-08-13 2016-02-18 Honeywell International Inc. Analyzing cyber-security risks in an industrial control environment

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100118422A (ko) * 2009-04-28 2010-11-05 에스케이 텔레콤주식회사 정보보안 증적 추적 시스템 및 방법
JP2013085124A (ja) * 2011-10-11 2013-05-09 Nippon Telegr & Teleph Corp <Ntt> 攻撃情報管理システム、攻撃情報管理装置、攻撃情報管理方法及びプログラム
KR20130138542A (ko) * 2012-06-11 2013-12-19 한국전자통신연구원 보안 침해 대응 프로세스 기반의 물리/it 보안장비 제어 장치 및 방법
KR20140126633A (ko) * 2013-04-23 2014-10-31 주식회사 안랩 악성 메시지 검사 방법 및 장치
US20160050225A1 (en) * 2014-08-13 2016-02-18 Honeywell International Inc. Analyzing cyber-security risks in an industrial control environment

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102158784B1 (ko) 2020-05-14 2020-09-22 주식회사 쿼리시스템즈 이기종 보안 장비와 연동하는 보안위협 자동 차단 시스템

Similar Documents

Publication Publication Date Title
US8375120B2 (en) Domain name system security network
CN111600856B (zh) 数据中心运维的安全系统
KR100942456B1 (ko) 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
Ahmed et al. Novel approach for network traffic pattern analysis using clustering-based collective anomaly detection
KR101391781B1 (ko) 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법
US9838419B1 (en) Detection and remediation of watering hole attacks directed against an enterprise
KR101010302B1 (ko) Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법
US7904456B2 (en) Security monitoring tool for computer network
US8516586B1 (en) Classification of unknown computer network traffic
CA2562358C (en) Method and system for distinguishing relevant network security threats using comparison of refined intrusion detection audits and intelligent security analysis
JP2018530066A (ja) 低信頼度のセキュリティイベントによるセキュリティインシデントの検出
CN111510463B (zh) 异常行为识别系统
KR20170058140A (ko) 보안 이벤트로그 분석을 통한 보안침해 분석시스템 및 분석방법
Li et al. Operational security log analytics for enterprise breach detection
EP3647982B1 (en) Cyber attack evaluation method and cyber attack evaluation device
CN107426132A (zh) 网络攻击的检测方法和装置
KR101169014B1 (ko) 악성코드 경유-유포지 탐지 시스템
KR20180044658A (ko) 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치
Pavlov et al. Analysis of IDS alert correlation techniques for attacker group recognition in distributed systems
EP2991305B1 (en) Apparatus and method for identifying web page for industrial control system
Herold et al. Collaborative incident handling based on the blackboard-pattern
Azmi Bin Mustafa Sulaiman et al. SIEM Network Behaviour Monitoring Framework using Deep Learning Approach for Campus Network Infrastructure
Li et al. Discovering novel multistage attack strategies
Shin et al. Alert correlation analysis in intrusion detection
CN108769005A (zh) 一种网络空间漏洞归并平台web系统

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application