KR20180045363A - Apparatus and Method for Determining Priority for Event Integrated Management of Heterogeneous Systems - Google Patents

Apparatus and Method for Determining Priority for Event Integrated Management of Heterogeneous Systems Download PDF

Info

Publication number
KR20180045363A
KR20180045363A KR1020160139372A KR20160139372A KR20180045363A KR 20180045363 A KR20180045363 A KR 20180045363A KR 1020160139372 A KR1020160139372 A KR 1020160139372A KR 20160139372 A KR20160139372 A KR 20160139372A KR 20180045363 A KR20180045363 A KR 20180045363A
Authority
KR
South Korea
Prior art keywords
equipment
risk
event
value
calculating
Prior art date
Application number
KR1020160139372A
Other languages
Korean (ko)
Inventor
한은섭
Original Assignee
(주)케이사인
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)케이사인 filed Critical (주)케이사인
Priority to KR1020160139372A priority Critical patent/KR20180045363A/en
Publication of KR20180045363A publication Critical patent/KR20180045363A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5003Managing SLA; Interaction between SLA and QoS
    • H04L41/5019Ensuring fulfilment of SLA
    • H04L41/5022Ensuring fulfilment of SLA by giving priorities, e.g. assigning classes of service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0817Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Environmental & Geological Engineering (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

The present invention relates to an apparatus and method for determining a priority for the event integrated management of heterogeneous systems, capable of quickly and efficiently responding to a large amount of continuous events generated by an integrated system. The apparatus for determining a priority for the event integrated management of heterogeneous systems includes: first to N^th management target systems in an event management region; and an event integrated management server for classifying and transmitting events generated in the first to N^th management target systems, operating the generated event by applying an asset value of equipment and a network acceptance risk in a point of view of the equipment, determining the risk ranking of the equipment based on the risk acceptance value of a network and the risk value of each equipment which are operated, and determining the processing priority of each equipment.

Description

이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 장치 및 방법{Apparatus and Method for Determining Priority for Event Integrated Management of Heterogeneous Systems}Technical Field [0001] The present invention relates to an apparatus and method for prioritizing events of heterogeneous systems,

본 발명은 이기종 시스템들의 이벤트 처리에 관한 것으로, 구체적으로 통합 시스템에 의해 발생하는 지속적인 다량의 이벤트에 대하여 신속하고 효율적인 대응이 가능하도록 한 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 장치 및 방법에 관한 것이다.The present invention relates to event handling of heterogeneous systems, and more particularly, to an apparatus and method for prioritizing event integrated management of heterogeneous systems that enable quick and efficient response to a large number of continuous events generated by an integrated system will be.

일반적으로, 보안 및 관제 시스템은 수집된 중요 이벤트를 다수의 전달 대상까지 안전하게 보내 인지시키고, 대응 판단을 이끌어 내는 기능이 핵심 요소 중 하나이다.In general, the security and control system is one of the key elements to securely send collected important events to a large number of delivery destinations, and to draw out response judgments.

따라서, 다양한 관제 대상 디바이스(Device)로부터 수집된 수많은 이벤트를 거의 실시간에 근접하여 모니터링 및 제어하는 컨버전스 시스템(Convergence System)에서는 이벤트를 자동 처리하는 프로세스 및 전달 대상에 따른 다양한 푸쉬(Push) 방안이 활용되고 있다.Therefore, in a convergence system that closely monitors and controls a large number of events collected from various target devices, a process for automatically processing events and a variety of push methods according to destinations are utilized .

이와 같은 다양한 종류의 IT 서비스 관련 감시시스템들이 IT와 컨텐츠 서비스 발전에 따라 많이 사용되고 있다.Such various types of IT service-related surveillance systems are widely used in accordance with the development of IT and content services.

특히, IT의 기반이 되는 네트워크 장비들과 서비스와 컨텐츠와 관련된 장비, 웹서버 등이 주요 수익 분야가 되면서 장비들의 운용상의 문제인 장애 및 자원 감시가 필수적인 것이 되었고, 그로 인해 자원 및 장애를 감시하는 시스템들이 많이 사용되고 있다.In particular, as network equipment that is the basis of IT, equipment related to services and contents, and web server become main revenue fields, it is essential to observe obstacles and resources, which are the operational problems of equipment, Are widely used.

또한, IT 산업의 발전에 따라 쉽게 주요한 정보를 빼앗기는 통로가 열려 각각의 정보를 지킬 수 있는 보안관련 감시 시스템들도 많이 사용되고 있다.In addition, as the IT industry develops, there are a lot of security-related surveillance systems that are able to easily take away important information and keep each information.

이러한 모니터링 또는 보안감시 시스템들은 장애나 위험 상황들을 이벤트 형식으로 알람을 주게 되었는데, 이러한 이벤트들이 각각의 연관성을 지니게 되어 종합적으로 이벤트를 수집하고 연관분석을 할 수 있는 시스템이 필요하게 되었다.These monitoring or security surveillance systems have provided alarms in the form of events in the event of a failure or a dangerous situation, and these events have their respective associations, thus requiring a system capable of collectively collecting events and performing association analysis.

따라서, 이기종의 모든 이벤트를 통합 관리할 수 있는 시스템들이 사용되고 있다.Therefore, systems capable of managing all kinds of different events are being used.

이러한 장비들로는 크게 ESM(Enterprise Security Management), SIEM(Security Information & Event Management), EMS(Enterprise Management System)를 예를 들수 있는데, 이러한 장비들을 설치하고 운영하면서 또 하나의 큰 문제가 발생하게 된다. These include Enterprise Security Management (ESM), Security Information & Event Management (SIEM), and Enterprise Management System (EMS). Another major problem arises when installing and operating these devices.

즉, 이기종의 단위 시스템(보안 관리 시스템 또는 장애관리 시스템)을 한 시스템으로 통합하여 보다 보니 너무 많은 이벤트가 한꺼번에 수집되는 것이다.That is, integrating a heterogeneous system (a security management system or a fault management system) into one system results in the collection of too many events at once.

따라서, 어떤 이벤트를 어떤 순서로 처리하게 될지에 대한 문제가 대두 되었고, 이를 해결하기 위하여 이벤트들의 연관도를 따지고 실탐, 오탐 등을 판단하여 수집된 이벤트를 줄이려는 노력을 하였으나, 지속적으로 인터넷 환경이 변화하고 수행되는 서비스도 늘어가고 네트워크 환경이 커져 가는 것에 의해 이벤트가 자꾸 늘어나고 있어 한계에 다다르고 있는 실정이다.In order to solve this problem, we tried to reduce the number of collected events by judging the relation of events and determining the number of events and false positives. However, As the number of services to be changed and the number of services to be performed are increasing, and the network environment is becoming larger, the number of events is increasing and the limit is reached.

도 1은 종래 기술의 이벤트 모니터링 및 관리 시스템의 화면 구성도이다.1 is a screen configuration diagram of a prior art event monitoring and management system.

도 1에서와 같이 종래 기술에서는 이벤트 모니터링 & 관리 제품들은 이벤트를 위주로 이벤트 관점에서만 관제 네트워크 및 장비의 장애 정보와 보안정보를 표현하고 있다.As shown in FIG. 1, in the prior art, event monitoring & management products represent failure information and security information of a control network and equipment only from an event point of view.

이와 같이 IT 장비의 보안과 운영을 담당하는 관리자가 종래 기술의 리스트 방식의 이벤트 관점 처리 방식으로는 현 시점 어떤 장비가 보안 위험에 빠지는지를 즉시 인지하여 처리할 수 없는 이벤트의 양이라 통계 또는 레포팅에 의존하여 보안 위협을 인지하기 때문에 늦은 대응 또는 사후 대응 위주로 하고 있다.In this way, the administrator responsible for the security and operation of the IT equipment immediately recognizes what kind of equipment is in the security risk at the present time, It relies on recognition of security threats, so it focuses on late response or reactive response.

이러한 한계를 극복하기 위한 이벤트 처리 우선순위를 결정할 수 있는 새로운 기술의 개발이 요구되고 있다.To overcome these limitations, it is required to develop a new technology capable of determining the event processing priority.

대한민국 등록특허 제10-1416280호Korean Patent No. 10-1416280 대한민국 공개특허 제10-2015-0001894호Korean Patent Publication No. 10-2015-0001894

본 발명은 이와 같은 종래 기술의 통합 시스템에서의 이벤트 대응의 문제를 해결하기 위한 것으로, 이기종 시스템들의 통합 시스템에 의해 발생하는 지속적인 다량의 이벤트에 대하여 신속하고 효율적인 대응이 가능하도록 한 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 장치 및 방법을 제공하는데 그 목적이 있다.The present invention solves the problem of event handling in the integrated system of the related art, and it is an object of the present invention to provide an event integration system for heterogeneous systems capable of quickly and efficiently responding to a large number of events, And to provide a priority determining apparatus and method for management.

본 발명은 IT 환경의 발전에 따른 통합 감시 모니터링 시스템, 통합 보안 시스템에서 발생하는 많이 이벤트를 효율적이고 효과적으로 대응할 수 있게 이벤트의 처리 우선순위를 결정하는 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 장치 및 방법을 제공하는데 그 목적이 있다.The present invention relates to an integrated monitoring and monitoring system according to the development of an IT environment, a prioritization apparatus for event-integrated management of heterogeneous systems that determine priorities of events to efficiently and efficiently respond to events occurring in an integrated security system, The purpose of the method is to provide.

본 발명은 통합 시스템에 의해 발생하는 지속적인 다량의 이벤트를 이벤트 관점이 아닌 보호 대상 또는 운영 자산인 장비 관점으로 바꾸어 장비의 위험 수치를 연산하여 위험한 장비를 판단하여 신속하고 효율적인 대응이 가능하도록 한 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 장치 및 방법을 제공하는데 그 목적이 있다.The present invention relates to a heterogeneous system capable of quickly and efficiently responding to a large number of events generated by an integrated system by changing the viewpoint of an apparatus, which is a protected object or an operational asset, not an event, The present invention provides a priority determining apparatus and method for event unified management of a plurality of events.

본 발명은 발생되는 이벤트에 대하여 네트워크 환경에 대한 환경요소와 이벤트가 향하는 목적지인 장비의 자산가치 등을 함께 고려하여 어떤 장비가 가장위험하고 그 장비에 어떤 이벤트가 가장 위협을 주고 있는지에 관한 정보를 제공하여 IT 환경의 안전하고 효율적인 운영을 할 수 있도록 한 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 장치 및 방법을 제공하는데 그 목적이 있다.The present invention considers the environmental factors of the network environment and the asset value of the equipment, which is the destination to which the event is directed, together with the information about the event in which the equipment is most dangerous and which event poses the greatest threat to the event The present invention provides an apparatus and method for prioritizing event management of heterogeneous systems that can provide secure and efficient operation of an IT environment.

본 발명의 목적들은 이상에서 언급한 목적들로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.The objects of the present invention are not limited to the above-mentioned objects, and other objects not mentioned can be clearly understood by those skilled in the art from the following description.

이와 같은 목적을 달성하기 위한 본 발명에 따른 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 장치는 이벤트 관리 영역에 있는 제 1,2,..N 관리 대상 시스템;제 1,2,..N 관리 대상 시스템에서 발생하는 이벤트들을 분류하여 전송하고, 발생한 이벤트를 장비 관점으로 장비의 자산가치와 네트워크 수용위험을 적용하여 연산하고, 연산된 각 장비들의 위험 수치와 네트워크의 위험 수용 수치를 기준으로 장비의 위험 순위를 결정하고 각 장비의 처리 우선순위를 결정하는 이벤트 통합 관리 서버;를 포함하는 것을 특징으로 한다.In order to accomplish the above object, according to the present invention, there is provided an apparatus for prioritizing event integrated management of heterogeneous systems, comprising: In this paper, we propose a new method for analyzing and analyzing the events of the target system by analyzing the event values of the equipment and the network acceptance risk. And an event integration management server for determining a risk ranking and determining a processing priority of each of the devices.

여기서, 상기 이벤트 통합 관리 서버는, 연산된 각 장비들의 위험 수치와 위협 수용 수치를 기준으로 장비를 시각화하여 각 노드로 표현하고, 노드의 크기로 장비의 위험 수치를 표현하여 관리자가 시각적으로 인지할 수 있도록 하는 것을 특징으로 한다.Herein, the event integrated management server visualizes the equipment based on the calculated risk value and threat acceptance value of each equipment, expresses the equipment in each node, expresses the risk value of the equipment by the size of the node, So as to be able to be used.

그리고 상기 이벤트 통합 관리 서버는, 수집된 이벤트를 이벤트의 목적지로 분류하여 전송하는 이벤트 분류 및 전송부와,장비 자산 가치와 네트워크 수용 위험 가치를 판단하고, 장비의 현재 누적 위험도와 현재 이벤트 위험도를 합산하여 장비 위험도를 산출하는 이벤트 위험도 연산부와,이벤트의 위험도와 장비의 자산 가치를 연산하고, 이벤트의 위험도와 네트워크 수용 위험 가치를 연산하는 장비 위험도 연산부를 포함하는 것을 특징으로 한다.The event unified management server includes an event classification and transmission unit for classifying collected events as destinations of events and transmitting the collected events to the event collecting and transmitting unit, And an equipment risk calculator for calculating the risk value of the event and the asset value of the equipment and calculating the risk value of the event and the risk value of the network acceptance.

그리고 이벤트 분류 및 전송부는, 목적지가 하나의 장비인 이벤트는 하나로만 전송하고, 목적지가 여러 장비 또는 IP 대역인 이벤트는 각각의 IP로 장비를 검색하여 각 장비로 전송하는 것을 특징으로 한다.In addition, the event classification and transmission unit transmits only one event, which is a destination device, to one device, and transmits an event having a destination of several devices or an IP band to each device by searching for each IP by each IP.

그리고 이벤트 분류 및 전송부는, 수집된 이벤트를 이벤트의 목적지로 분류하기 위하여 입력하는 이벤트 입력부와,상기 이벤트 입력부를 통하여 입력된 이벤트 목적지를 판별하여 분류하는 이벤트 목적지 판별부와,상기 이벤트 목적지 판별부에서 목적지를 기준으로 분류된 이벤트를 전송하는 이벤트 전송부를 포함하는 것을 특징으로 한다.The event classification and transmission unit includes an event input unit for inputting the collected events to classify the collected events as destinations of events, an event destination determination unit for determining and classifying the event destinations input through the event input unit, And an event transmission unit for transmitting an event classified on the basis of the destination.

그리고 이벤트 위험도 연산부는, 장비 자산 가치를 판단하는 장비 자산 가치 판단부와,네트워크 수용 위험 가치를 판단하는 네트워크 수용 위험 가치 판단부와,장비의 현재 누적 위험도와 현재 이벤트 위험도를 합산하여 장비 위험도를 산출하는 장비 위험도 산출부를 포함하는 것을 특징으로 한다.The event risk calculation unit includes an equipment asset value determination unit for determining the equipment asset value, a network acceptance risk value determination unit for determining the network acceptance risk value, and a device risk evaluation unit for summing the present cumulative risk of the equipment and the current event risk And an equipment risk calculating unit for calculating the equipment risk.

그리고 장비 위험도 연산부는, 입력되는 이벤트의 위험도와 장비의 자산 가치를 연산하는 제 1 장비 위험도 연산부와, 입력되는 이벤트의 위험도와 네트워크 수용 위험 가치를 연산하는 제 2 장비 위험도 연산부를 포함하는 것을 특징으로 한다.The equipment risk calculator includes a first equipment risk calculator for calculating the risk of the input event and the asset value of the equipment and a second equipment risk calculator for calculating the risk of the input event and the network acceptance risk value do.

다른 목적을 달성하기 위한 본 발명에 따른 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 방법은 입력된 이벤트 목적지를 판별하여 분류하여 장비별 이벤트 위험도 연산부로 전송하는 단계;장비별 이벤트 위험도 연산부로 이벤트가 입력되면, 장비의 자산가치가 있는지를 판단하는 단계;장비의 자산가치가 있는 것으로 판단되면 이벤트 위험도와 장비의 자산 가치를 연산하여 제 1 장비 위험도 연산을 하는 단계;해당 장비의 네트워크 수용 위험 가치가 있는 지를 판단하고 이벤트 위험도와 네트워크 수용 위험 가치를 연산하여 제 2 장비 위험도 연산을 하는 단계;장비의 현재 누적 위험도와 현재 이벤트 위험도를 합산하여 장비 위험도를 산출하는 단계;를 포함하는 것을 특징으로 한다.According to another aspect of the present invention, there is provided a method for prioritizing events for integrated management of heterogeneous systems, comprising the steps of: identifying input event destinations, classifying them, and transmitting the event destinations to an event risk calculator for each device; Determining whether there is an asset value of the equipment when it is inputted, calculating the first equipment risk value by calculating the event risk and the asset value of the equipment if it is determined that the asset value of the equipment is present, Calculating a second equipment risk value by calculating an event risk value and a network acceptance risk value, and calculating the equipment risk by summing the present cumulative risk of the equipment and the current event risk.

여기서, 장비의 현재 누적 위험도와 현재 이벤트 위험도를 합산하여 장비 위험도를 산출하여, 각 장비들의 위험 수치와 위협 수용 수치를 기준으로 장비를 시각화하여 각 노드로 표현하고, 노드의 크기로 장비의 위험 수치를 표현하여 관리자가 시각적으로 인지할 수 있도록 하는 것을 특징으로 한다.Here, the equipment risk is calculated by summing the present cumulative risk of the equipment and the current event risk, and the equipment is visualized based on the risk value of each equipment and the threat acceptance value, expressed by each node, So that the manager can visually recognize the image.

이와 같은 본 발명에 따른 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 장치 및 방법은 다음과 같은 효과를 갖는다.The apparatus and method for prioritizing event integrated management of heterogeneous systems according to the present invention have the following effects.

첫째, 이기종 시스템들의 통합 시스템에 의해 발생하는 지속적인 다량의 이벤트에 대하여 신속하고 효율적인 대응이 가능하다.First, it is possible to respond quickly and efficiently to a large number of continuous events caused by the integrated system of heterogeneous systems.

둘째, IT 환경의 발전에 따른 통합 감시 모니터링 시스템, 통합 보안 시스템에서 발생하는 많이 이벤트를 효율적이고 효과적으로 대응할 수 있게 이벤트의 처리 우선순위를 결정할 수 있다.Second, it can determine the event processing priority so that many events occurring in the integrated monitoring monitoring system and the integrated security system can be efficiently and effectively responded to the development of the IT environment.

셋째, 통합 시스템에 의해 지속적이고 다량으로 발생하는 이벤트를 이벤트 관점이 아닌 보호 대상 또는 운영 자산인 장비 관점으로 바꾸어 장비의 위험 수치를 연산하여 위험한 장비를 판단하여 신속하고 효율적인 대응이 가능하다.Third, it is possible to respond rapidly and effectively by determining the dangerous equipments by calculating the risk values of the equipment by converting the continuous and massive events generated by the integrated system into the viewpoint of the object of protection or operation asset instead of the event.

넷째, 발생되는 이벤트에 대하여 네트워크 환경에 대한 환경요소와 이벤트가 향하는 목적지인 장비의 자산가치 등을 함께 고려하여 어떤 장비가 가장위험하고 그 장비에 어떤 이벤트가 가장 위협을 주고 있는지에 관한 정보를 제공하여 IT 환경의 안전하고 효율적인 운영을 할 수 있도록 한다.Fourth, considering the environmental factors of the network environment and the asset value of the equipment, which is the destination to which the event is directed, together with information about the event, which is the most dangerous and which event is most threatening to the equipment So that the IT environment can be operated safely and efficiently.

도 1은 종래 기술의 이벤트 모니터링 및 관리 시스템의 화면 구성도
도 2a는 본 발명의 일 실시 예에 따른 위험 장비 표시 방법을 나타낸 화면 구성도
도 2b는 본 발명의 일 실시 예에 따른 장비와 연관된 이벤트 표시 방법을 나타낸 화면 구성도
도 3은 본 발명에 따른 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 장치의 구성도
도 4는 본 발명에 따른 이벤트 통합 관리 서버의 상세 구성도
도 5a내지 도 5c는 본 발명에 따른 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 방법을 나타낸 플로우 차트1 is a diagram showing a screen configuration of an event monitoring and management system according to the prior art;
FIG. 2A is a schematic diagram illustrating a method of displaying a dangerous apparatus according to an exemplary embodiment of the present invention
FIG. 2B is a screen configuration diagram illustrating an event display method associated with an apparatus according to an exemplary embodiment of the present invention.
3 is a block diagram of a prioritization apparatus for event-integrated management of heterogeneous systems according to the present invention
4 is a detailed configuration diagram of an event integration management server according to the present invention.
5A to 5C are flow charts illustrating a prioritization method for event-integrated management of heterogeneous systems according to the present invention.

이하, 본 발명에 따른 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 장치 및 방법의 바람직한 실시 예에 관하여 상세히 설명하면 다음과 같다.Hereinafter, a preferred embodiment of an apparatus and method for prioritizing events for heterogeneous systems according to the present invention will be described in detail.

본 발명에 따른 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 장치 및 방법의 특징 및 이점들은 이하에서의 각 실시 예에 대한 상세한 설명을 통해 명백해질 것이다.The features and advantages of the apparatus and method for prioritizing events for heterogeneous systems according to the present invention will be apparent from the following detailed description of each embodiment.

도 2a는 본 발명의 일 실시 예에 따른 위험 장비 표시 방법을 나타낸 화면 구성도이고, 도 2b는 본 발명의 일 실시 예에 따른 장비와 연관된 이벤트 표시 방법을 나타낸 화면 구성도이다.FIG. 2A is a screen configuration diagram illustrating a method of displaying a hazardous apparatus according to an exemplary embodiment of the present invention, and FIG. 2B is a screen configuration diagram illustrating an event display method associated with an apparatus according to an exemplary embodiment of the present invention.

본 발명은 현재 발생한 이벤트를 장비 관점으로 자산가치와 네트워크 수용위험을 적용하여 연산하여 현재 관리되는 장비중에 어떤 장비가 가장 위험 한지 또 어떤 장비와 관련된 이벤트를 먼저 처리해야 하는지를 결정하고, 시각적 방법으로 즉시 인지시켜 빠른 대응 및 즉시 대응, 선제 대응이 가능하도록 한 것이다.The present invention calculates the presently occurring event by applying the asset value and the risk of network acceptance from the viewpoint of equipment to determine which of the currently managed equipment is the most dangerous and which event related to the equipment should be processed first, So that quick response, immediate response, and preemption response are possible.

이를 위한 본 발명에 따른 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 장치 및 방법은 통합 시스템에 의해 발생하는 지속적이 다량의 이벤트를 이벤트 관점이 아닌 보호 대상 또는 운영 자산인 장비 관점으로 바꾸어 장비의 위험 수치를 연산하여 위험한 장비를 판단하고 위험한 장비와 연관된 이벤트부터 처리할 수 있게 관리자에 알려주는 구성을 포함한다.For this purpose, an apparatus and method for prioritizing events for integrated management of heterogeneous systems according to the present invention is characterized in that a continuous large amount of events generated by an integrated system is changed from a viewpoint of an event, not a viewpoint of an event, It includes a configuration that calculates the number to determine the hazardous equipment and informs the manager to handle the event associated with the hazardous equipment.

또한, 장비의 위험 수치를 연산하기 위해 각 장비의 자산 가치를 판단하고 입력받아 저장하고 네트워크 상황도의 보안 네트워크 장비에 따라 네트워크의 위험 수용 가치를 단계로 분리하여 각각의 장비에 이벤트와 같이 연산하는 구성을 포함한다.In order to calculate the risk value of the equipment, it is necessary to determine the asset value of each equipment, to input and store the information, and to divide the risk acceptance value of the network into stages according to the security network equipment in the network situation diagram, .

그리고 이와 같이 연산된 각 장비들의 위험 수치와 위협 수용 수치를 기준으로 장비를 시각화하여 각 노드로 표현하고 노드의 크기로 장비의 위협 수치를 표현하여 관리자가 시각적으로 즉시 인지할 수 있게 한다.And visualize the equipment based on the risk values and threat acceptance values of each of the devices thus calculated, and express the threat value of the equipment with the size of the node so that the manager can visually recognize immediately.

본 발명에 따른 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 장치에 관하여 구체적으로 설명하면 다음과 같다.The priority determination apparatus for event-integrated management of heterogeneous systems according to the present invention will be described in detail as follows.

도 3은 본 발명에 따른 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 장치의 구성도이고, 도 4는 본 발명에 따른 이벤트 통합 관리 서버의 상세 구성도이다.FIG. 3 is a block diagram of a prioritization apparatus for event-integrated management of heterogeneous systems according to the present invention, and FIG. 4 is a detailed configuration diagram of an event-integrated management server according to the present invention.

이하의 설명에서 '이벤트'는 침입탐지 시스템, 침입차단 시스템, 웹 방화벽 등의 보안 장비에서 관리하는 영역에서 발생한 보안에 위배 또는 위협이 되는 알람 및 경보를 의미한다.In the following description, an 'event' means an alarm or an alarm that is a violation or threat to security generated in an area managed by security equipment such as an intrusion detection system, an intrusion blocking system, and a web firewall.

여기서, 회사의 내부 네트워크와 같은 시스템이 관리하는 영역에 설치된 침입탐지 장비(IDS)가 침입을 감지하였을 때 발생시키는 알람 및 경보는 '침입탐지 경보'이다.Here, an alarm and an alarm to be generated when an intrusion detection device (IDS) installed in an area managed by a system such as a company internal network detects an intrusion is an 'intrusion detection alarm'.

그리고 네트워크관리 시스템(NMS), 서버 관리 시스템(SMS), DB모니터링 장비등과 같은 모니터링 장비 즉, 관리 대상에서 발생한 알람 및 경보는 '자원 임계치 사용 알람'으로, CPU, 메모리, HDD 등의 자원이 사용되는 양에 대한 임계치( 예: 사용률 90%이상)를 초과하였을 때 발생한 알람 및 경보이다.The alarms and alarms generated by the monitoring equipment such as the network management system (NMS), the server management system (SMS), and the DB monitoring equipment, that is, Alarms and alarms that occur when a threshold for the amount used (for example, 90% or more utilization) is exceeded.

그리고 '장비의 자산 가치'는 관리 영역에 있는 각각의 장비의 가치를 의미하는 것으로, 장비의 가치는 사용자가 장비가 가지는 중요도, 운영되는 서비스의 영향도, 장비에 보관되는 정보의 가치 등을 내용을 종합하여 판단하며, 회사 지침 또는 공공 표준 지침에 따라 정의한다. In addition, the 'asset value of the equipment' refers to the value of each equipment in the management area. The value of the equipment includes the importance of the equipment, the influence of the operated service, and the value of the information stored in the equipment And shall be defined in accordance with company guidelines or public standard guidelines.

본 발명에 따른 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 장치 및 방법에서는 각 장비의 자산 가치를 사용자의 설정에 의해 단계를 설정하고, 입력할 수 있게 한다.In an apparatus and method for prioritizing events for integrated management of heterogeneous systems according to the present invention, the asset value of each equipment can be set and inputted according to user's setting.

그리고 '네트워크의 위험 수용 수치'는 관리 영역 중 전체 네트워크 중에서 외부에서 접근하기 쉬운 곳( 예: DMZ )과 접근하기 어려운 곳( 예: 연구소 정보 저장 서버)을 구분하여 장비의 자산 가치처럼 각 네트워크 영역에 위험 수치를 작성한다.In addition, the 'risk acceptance level of network' is divided into the areas where it is easy to access from outside (DMZ for example) and places where it is difficult to access (for example, laboratory information storage server) Create a risk figure on the.

각 네트워크 부분 중 방화벽이나 보안 장비를 거쳐서 인증하고 검증되어 들어가야 하는 네트워크 영역은 네트워크 위험 수용 수치가 높게 설정된다.For each network part, the network area that has to be authenticated and verified via a firewall or security equipment is set to a high number of network risk acceptance values.

본 발명의 실시 예에서는 네트워크 위험 수용 수치를 기본 5단계로 나누고 각 영역에 단계 설정은 사용자의 판단으로 정해지는데, 이로 한정되지는 않는다.In the embodiment of the present invention, the network risk acceptance value is divided into five basic steps, and the step setting in each area is determined by the judgment of the user, but is not limited thereto.

본 발명에 따른 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 장치는 도 3에서와 같이, 관리 영역에 있는 제 1,2,..N 관리 대상 시스템(100)과, 제 1,2,..N 관리 대상 시스템(100)에서 발생하는 이벤트들을 분류하여 전송하고, 발생한 이벤트를 장비 관점으로 장비의 자산가치와 네트워크 수용위험을 적용하여 연산하고, 연산된 각 장비들의 위험 수치와 네트워크의 위험 수용 수치를 기준으로 장비의 위험 순위를 결정하고 각 장비의 처리 우선순위를 결정하는 이벤트 통합 관리 서버(200)를 포함한다.As shown in FIG. 3, the prioritization apparatus for event-integrated management of heterogeneous systems according to the present invention includes a first, .., N managed system 100 in a management area, N classifies and transmits the events occurring in the managed system 100 and calculates the events generated by applying the asset value of the equipment and the risk of network acceptance from the viewpoint of the equipment and calculates the risk values of each of the calculated devices and the risk acceptance values of the network And an event integration management server 200 that determines a risk ranking of the equipment based on the priority of the equipment and determines a processing priority of each equipment.

여기서, 이벤트 통합 관리 서버(200)는 연산된 각 장비들의 위험 수치와 위협 수용 수치를 기준으로 장비를 시각화하여 각 노드로 표현하고, 노드의 크기로 장비의 위험 수치를 표현하여 관리자가 시각적으로 즉시 인지할 수 있도록 한다.Here, the event integrated management server 200 visualizes the equipment based on the calculated risk values and threat acceptance values, expresses the equipment in each node, expresses the risk value of the equipment in the size of the node, To be able to recognize.

그리고 이벤트 통합 관리 서버(200)는 수집된 이벤트를 이벤트의 목적지로 분류하여 전송하고, 목적지가 하나의 장비인 이벤트는 하나로만 전송하고 목적지가 여러 장비 또는 IP 대역인 이벤트는 각각의 IP로 장비를 검색하여 각 장비로 전송하는 이벤트 분류 및 전송부(10)와, 장비 자산 가치와 네트워크 수용 위험 가치를 판단하고, 장비의 현재 누적 위험도와 현재 이벤트 위험도를 합산하여 장비 위험도를 산출하는 이벤트 위험도 연산부(20)와, 이벤트의 위험도와 장비의 자산 가치를 연산하고, 이벤트의 위험도와 네트워크 수용 위험 가치를 연산하는 장비 위험도 연산부(30)를 포함한다.Then, the event integrated management server 200 classifies the collected events as destinations of the event, transmits the events, and transmits the event, which is the destination of one device, to only one device. In the event that the destination is the device or the IP band, An event classification unit 10 for searching and transmitting to each equipment an event classification unit 10 for determining an equipment asset value and a network acceptance risk value and calculating an equipment risk by summing a present cumulative risk of the equipment and a current event risk 20, an equipment risk calculator 30 for calculating the risk of the event and the asset value of the equipment, and calculating the risk of the event and the risk value of the network acceptance.

여기서, 합산된 장비의 위험도가 추 후 전체 관제 장비들에서 위험도 우선순위를 결정하는 요소가 된다.Here, the risk of the summed equipment becomes the factor that prioritizes risk in all control equipment after the addition.

그리고 이벤트 분류 및 전송부(10)는 도 4에서와 같이, 수집된 이벤트를 이벤트의 목적지로 분류하기 위하여 입력하는 이벤트 입력부(11)와, 이벤트 입력부(11)를 통하여 입력된 이벤트 목적지를 판별하여 분류하는 이벤트 목적지 판별부(12)와, 이벤트 목적지 판별부(12)에서 목적지를 기준으로 분류된 이벤트를 전송하는 이벤트 전송부(13)를 포함한다.4, the event classification and transmission unit 10 includes an event input unit 11 for inputting an event to classify the collected event into a destination of the event, And an event transmission unit 13 for transmitting an event classified on the basis of a destination in the event destination discrimination unit 12. [

그리고 이벤트 위험도 연산부(20)는 도 4에서와 같이, 장비 자산 가치를 판단하는 장비 자산 가치 판단부(21)와, 네트워크 수용 위험 가치를 판단하는 네트워크 수용 위험 가치 판단부(22)와, 장비의 현재 누적 위험도와 현재 이벤트 위험도를 합산하여 장비 위험도를 산출하는 장비 위험도 산출부(23)를 포함한다.4, the event risk calculator 20 includes an equipment asset value determiner 21 for determining an equipment asset value, a network acceptance risk value determiner 22 for determining a network acceptance risk value, And a equipment risk calculation unit 23 for calculating the equipment risk by summing the current cumulative risk and the current event risk.

그리고 장비 위험도 연산부(30)는 도 4에서와 같이, 입력되는 이벤트의 위험도와 장비의 자산 가치를 연산하는 제 1 장비 위험도 연산부(31)와, 입력되는 이벤트의 위험도와 네트워크 수용 위험 가치를 연산하는 제 2 장비 위험도 연산부(32)를 포함한다.As shown in FIG. 4, the equipment risk calculator 30 includes a first equipment risk calculator 31 for calculating the risk of the input event and the asset value of the equipment, And a second equipment risk calculator 32.

본 발명에 따른 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 방법을 구체적으로 설명하면 다음과 같다.The priority determination method for event unification management of heterogeneous systems according to the present invention will be described in detail as follows.

도 5a내지 도 5c는 본 발명에 따른 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 방법을 나타낸 플로우 차트이다.5A to 5C are flowcharts illustrating a priority determination method for event unified management of heterogeneous systems according to the present invention.

본 발명은 도 2a와 도 2b에서와 같이, 통합 시스템에 의해 발생하는 지속적이 다량의 이벤트를 이벤트 관점이 아닌 보호 대상 또는 운영 자산인 장비 관점으로 바꾸어 장비의 위험 수치를 연산하여 위험한 장비를 판단하고 위험한 장비와 연관된 이벤트부터 처리할 수 있게 관리자에 알려주는 것이다.As shown in FIGS. 2A and 2B, according to the present invention, a continuous large amount of events generated by the integrated system is changed from a viewpoint of an event, not a viewpoint of an event, to a viewpoint of a device being a protected object or an operational asset. It tells the manager to handle events associated with dangerous equipment.

이를 위한 본 발명에 따른 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 방법은 크게, 장비의 위험 수치를 연산하기 위해 각 장비의 자산 가치를 판단하고 입력 받아 저장하고 네트워크 상황도의 보안 네트워크 장비에 따라 네트워크의 위험 수용 가치를 단계로 분리하여 각각의 장비에 이벤트와 같이 연산하는 단계와, 연산된 각 장비들의 위험 수치와 위협 수용 수치를 기준으로 장비의 위험 순위를 결정하고 각 장비의 처리 우선순위를 결정하는 단계와, 이렇게 결정된 우선순위를 통해 장비를 시각화하여 각 노드로 표현하고 노드의 크기로 장비의 위험 순위를 표시하여 관리자가 시각적으로 즉시 인지할 수 있게 하는 단계를 포함한다.The priority determination method for event integrated management of heterogeneous systems according to the present invention includes determining and inputting and storing the asset value of each equipment in order to calculate the risk value of the equipment, The risk acceptance value of each device is divided into stages and the events are computed in the respective equipments, and the risk ranking of the equipment is determined based on the calculated risk values and threat acceptance values of each equipment, and the priority of each equipment is determined Visualizing the equipment through the determined priority, expressing the equipment in each node, and displaying the risk ranking of the equipment by the size of the node, so that the manager can visually recognize immediately.

구체적으로, 도 5a에서와 같이, 수집된 이벤트를 이벤트의 목적지로 분류하기 위하여 입력하고(S501), 입력된 이벤트 목적지를 판별하여 분류하여 장비별 이벤트 위험도 연산부로 전송한다.(S502)Specifically, as shown in FIG. 5A, the collected events are input in order to classify the collected events as the destinations of the events (S501), and the inputted event destinations are discriminated and classified to be transmitted to the event risk calculator according to the equipment (S502)

그리고 도 5b에서와 같이, 장비별 이벤트 위험도 연산부로 이벤트가 입력되면(S503), 장비의 자산가치가 있는지를 판단한다.(S504)As shown in FIG. 5B, when an event is inputted to the event risk calculator according to the equipment (S503), it is determined whether there is an asset value of the equipment (S504)

장비의 자산가치가 있는 것으로 판단되면 도 5c에서와 같이 이벤트 위험도와 장비의 자산 가치를 연산하여 제 1 장비 위험도 연산을 한다.(S506)If it is determined that the equipment has an asset value, the first equipment risk calculation is performed by calculating the event risk and the asset value of the equipment as shown in FIG. 5C (S506)

그리고 해당 장비의 네트워크 수용 위험 가치가 있는 지를 판단하여(S505) 네트워크 수용 위험 가치가 있는 것으로 판단되면 도 5c에서와 같이 이벤트 위험도와 네트워크 수용 위험 가치를 연산하여 제 2 장비 위험도 연산을 한다.(S507)If it is determined that there is a network acceptance risk value (S505), if it is determined that there is a network acceptance risk value, a second equipment risk value is calculated by calculating an event risk value and a network acceptance risk value as shown in FIG. 5C (S507 )

그리고 장비의 현재 누적 위험도와 현재 이벤트 위험도를 합산하여 장비 위험도를 산출한다.(S508)The equipment risk is calculated by summing the present cumulative risk of the equipment and the current event risk (S508).

이상에서 설명한 본 발명에 따른 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 장치 및 방법은 통합 시스템에 의해 발생하는 지속적이 다량의 이벤트를 이벤트 관점이 아닌 보호 대상 또는 운영 자산인 장비 관점으로 바꾸어 장비의 위험 수치를 연산하여 위험한 장비를 판단하고 위험한 장비와 연관된 이벤트부터 처리할 수 있게 관리자에 알려주는 것으로, 발생되는 이벤트에 대하여 네트워크 환경에 대한 환경요소와 이벤트가 향하는 목적지인 장비의 자산가치 등을 함께 고려하여 어떤 장비가 가장위험하고 그 장비에 어떤 이벤트가 가장 위협을 주고 있는지에 관한 정보를 제공하여 IT 환경의 안전하고 효율적인 운영을 할 수 있도록 한다.The apparatus and method for prioritizing event management of heterogeneous systems according to the present invention can be implemented by changing the continuous large amount of events generated by the integrated system from the point of view of the event, It calculates the risk value to determine the dangerous equipment and informs the manager to deal with the event associated with the dangerous equipment. It also provides the environmental factors for the network environment and the asset value of the equipment, To provide information about which equipment is the most dangerous and which event is most threatening to the equipment so that the IT environment can operate safely and efficiently.

이상에서의 설명에서와 같이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 본 발명이 구현되어 있음을 이해할 수 있을 것이다.As described above, it will be understood that the present invention is implemented in a modified form without departing from the essential characteristics of the present invention.

그러므로 명시된 실시 예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 하고, 본 발명의 범위는 전술한 설명이 아니라 특허청구 범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.It is therefore to be understood that the specified embodiments are to be considered in an illustrative rather than a restrictive sense and that the scope of the invention is indicated by the appended claims rather than by the foregoing description and that all such differences falling within the scope of equivalents thereof are intended to be embraced therein It should be interpreted.

100. 관리 대상 시스템 200. 이벤트 통합 관리 서버100. Managed system 200. Event integrated management server

Claims (9)

이벤트 관리 영역에 있는 제 1,2,..N 관리 대상 시스템;
제 1,2,..N 관리 대상 시스템에서 발생하는 이벤트들을 분류하여 전송하고, 발생한 이벤트를 장비 관점으로 장비의 자산가치와 네트워크 수용위험을 적용하여 연산하고, 연산된 각 장비들의 위험 수치와 네트워크의 위험 수용 수치를 기준으로 장비의 위험 순위를 결정하고 각 장비의 처리 우선순위를 결정하는 이벤트 통합 관리 서버;를 포함하는 것을 특징으로 하는 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 장치.The first, .., N managed systems in the event management area.
The first, second, .., and N managed events are categorized and transmitted, and the generated events are calculated from the equipment perspective by applying the asset value of the equipment and the network acceptance risk, And an event integration management server for determining a risk ranking of the equipment based on the risk acceptance value of the equipment and determining the processing priority of each equipment. 제 1 항에 있어서, 상기 이벤트 통합 관리 서버는,
연산된 각 장비들의 위험 수치와 위협 수용 수치를 기준으로 장비를 시각화하여 각 노드로 표현하고, 노드의 크기로 장비의 위험 수치를 표현하여 관리자가 시각적으로 인지할 수 있도록 하는 것을 특징으로 하는 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 장치.The event management system according to claim 1,
Visualizing the equipment based on the calculated risk value and the accepted threat value, expressing the equipment in each node, expressing the risk value of the equipment by the size of the node, and visually recognizing the equipment by the manager Priority determination device for integrated management of events. 제 1 항에 있어서, 상기 이벤트 통합 관리 서버는,
수집된 이벤트를 이벤트의 목적지로 분류하여 전송하는 이벤트 분류 및 전송부와,
장비 자산 가치와 네트워크 수용 위험 가치를 판단하고, 장비의 현재 누적 위험도와 현재 이벤트 위험도를 합산하여 장비 위험도를 산출하는 이벤트 위험도 연산부와,
이벤트의 위험도와 장비의 자산 가치를 연산하고, 이벤트의 위험도와 네트워크 수용 위험 가치를 연산하는 장비 위험도 연산부를 포함하는 것을 특징으로 하는 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 장치.The event management system according to claim 1,
An event classification and transmission unit for classifying the collected events as destinations of events,
An event risk calculator for determining the equipment asset value and the network acceptance risk value and calculating the equipment risk by summing the current cumulative risk of the equipment and the current event risk,
And an equipment risk calculator for calculating the risk of the event and the asset value of the equipment and calculating the risk of the event and the risk value of the network acceptance. 제 3 항에 있어서, 이벤트 분류 및 전송부는,
목적지가 하나의 장비인 이벤트는 하나로만 전송하고, 목적지가 여러 장비 또는 IP 대역인 이벤트는 각각의 IP로 장비를 검색하여 각 장비로 전송하는 것을 특징으로 하는 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 장치.The apparatus of claim 3,
The event is transmitted as one device only to one destination, and the destination is a device or an event having an IP band is searched for each IP and transmitted to each device. Priority for event integrated management of heterogeneous systems Crystal device. 제 3 항에 있어서, 이벤트 분류 및 전송부는,
수집된 이벤트를 이벤트의 목적지로 분류하기 위하여 입력하는 이벤트 입력부와,
상기 이벤트 입력부를 통하여 입력된 이벤트 목적지를 판별하여 분류하는 이벤트 목적지 판별부와,
상기 이벤트 목적지 판별부에서 목적지를 기준으로 분류된 이벤트를 전송하는 이벤트 전송부를 포함하는 것을 특징으로 하는 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 장치.The apparatus of claim 3,
An event input unit for inputting the collected events to classify them as destinations of events,
An event destination discrimination unit for discriminating and classifying the event destinations inputted through the event input unit;
And an event transmission unit for transmitting an event classified on the basis of a destination in the event destination determination unit. 제 3 항에 있어서, 이벤트 위험도 연산부는,
장비 자산 가치를 판단하는 장비 자산 가치 판단부와,
네트워크 수용 위험 가치를 판단하는 네트워크 수용 위험 가치 판단부와,
장비의 현재 누적 위험도와 현재 이벤트 위험도를 합산하여 장비 위험도를 산출하는 장비 위험도 산출부를 포함하는 것을 특징으로 하는 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 장치.4. The system according to claim 3, wherein the event-
An equipment asset value judging unit for judging the equipment asset value,
A network acceptance risk value judging unit for judging a network acceptance risk value,
And an equipment risk calculation unit for calculating a equipment risk value by summing up the present cumulative risk of the equipment and the current event risk. 제 3 항에 있어서, 장비 위험도 연산부는,
입력되는 이벤트의 위험도와 장비의 자산 가치를 연산하는 제 1 장비 위험도 연산부와,
입력되는 이벤트의 위험도와 네트워크 수용 위험 가치를 연산하는 제 2 장비 위험도 연산부를 포함하는 것을 특징으로 하는 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 장치.The apparatus according to claim 3,
A first equipment risk calculator for calculating a risk of an input event and an asset value of the equipment,
And a second equipment risk calculator for calculating a risk of an input event and a network acceptance risk value. 입력된 이벤트 목적지를 판별하여 분류하여 장비별 이벤트 위험도 연산부로 전송하는 단계;
장비별 이벤트 위험도 연산부로 이벤트가 입력되면, 장비의 자산가치가 있는지를 판단하는 단계;
장비의 자산가치가 있는 것으로 판단되면 이벤트 위험도와 장비의 자산 가치를 연산하여 제 1 장비 위험도 연산을 하는 단계;
해당 장비의 네트워크 수용 위험 가치가 있는 지를 판단하고 이벤트 위험도와 네트워크 수용 위험 가치를 연산하여 제 2 장비 위험도 연산을 하는 단계;
장비의 현재 누적 위험도와 현재 이벤트 위험도를 합산하여 장비 위험도를 산출하는 단계;를 포함하는 것을 특징으로 하는 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 방법.Classifying the inputted event destinations, classifying them, and transmitting them to an event risk calculator for each equipment;
Determining whether there is an asset value of the equipment when an event is input to the equipment-specific event risk calculator;
Calculating the first equipment risk by calculating the event risk and the asset value of the equipment if it is determined that the equipment has an asset value;
Determining whether the equipment has a network acceptance risk value, calculating a second equipment risk value by calculating an event risk value and a network acceptance risk value;
And calculating the equipment risk by summing the current cumulative risk of the equipment and the current event risk. 제 8 항에 있어서, 장비의 현재 누적 위험도와 현재 이벤트 위험도를 합산하여 장비 위험도를 산출하여,
각 장비들의 위험 수치와 위협 수용 수치를 기준으로 장비를 시각화하여 각 노드로 표현하고, 노드의 크기로 장비의 위험 수치를 표현하여 관리자가 시각적으로 인지할 수 있도록 하는 것을 특징으로 하는 이기종 시스템들의 이벤트 통합 관리를 위한 우선순위 결정 방법.

9. The method of claim 8, wherein the equipment risk is calculated by summing the present cumulative risk of the equipment and the current event risk,
Visualizing the equipment based on the risk value of each equipment and the threat acceptance value, expressing the equipment in each node, and expressing the risk value of the equipment by the size of the node so that the manager can visually recognize the event Prioritization method for integrated management.

KR1020160139372A 2016-10-25 2016-10-25 Apparatus and Method for Determining Priority for Event Integrated Management of Heterogeneous Systems KR20180045363A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160139372A KR20180045363A (en) 2016-10-25 2016-10-25 Apparatus and Method for Determining Priority for Event Integrated Management of Heterogeneous Systems

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160139372A KR20180045363A (en) 2016-10-25 2016-10-25 Apparatus and Method for Determining Priority for Event Integrated Management of Heterogeneous Systems

Publications (1)

Publication Number Publication Date
KR20180045363A true KR20180045363A (en) 2018-05-04

Family

ID=62199264

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160139372A KR20180045363A (en) 2016-10-25 2016-10-25 Apparatus and Method for Determining Priority for Event Integrated Management of Heterogeneous Systems

Country Status (1)

Country Link
KR (1) KR20180045363A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022149637A1 (en) * 2021-01-06 2022-07-14 주식회사 아이티스테이션 User terminal event-associated malicious file determination method and system using same

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022149637A1 (en) * 2021-01-06 2022-07-14 주식회사 아이티스테이션 User terminal event-associated malicious file determination method and system using same

Similar Documents

Publication Publication Date Title
KR101814368B1 (en) Information security network integrated management system using big data and artificial intelligence, and a method thereof
CN100511159C (en) Method and system for addressing intrusion attacks on a computer system
US7930752B2 (en) Method for the detection and visualization of anomalous behaviors in a computer network
CN105516130B (en) Data processing method and device
CN103441982A (en) Intrusion alarm analyzing method based on relative entropy
KR102088310B1 (en) Risk Index Correction System Based on Attack Frequency, Asset Importance, and Severity
EP2936772B1 (en) Network security management
US11899790B2 (en) Cross-network security evaluation
KR101563511B1 (en) Security incident anomalous event detection system and method using trend analytic technique of a support vector based on time series
US10673886B1 (en) Assigning and representing security risks on a computer network
KR20210109292A (en) Big Data Server System for Managing Industrial Field Facilities through Multifunctional Measuring Instruments
CN115766068A (en) Network security event grade classification method, device, equipment and medium
CN108280997A (en) A kind of judgment method and device of vehicle abnormality focusing
CN114640548A (en) Network security sensing and early warning method and system based on big data
JP2023550974A (en) Image-based malicious code detection method and device and artificial intelligence-based endpoint threat detection and response system using the same
Lee et al. A study on efficient log visualization using d3 component against apt: How to visualize security logs efficiently?
CN114186227A (en) Method, device and storage medium for converting safety alarm into safety event
CN112596984B (en) Data security situation awareness system in business weak isolation environment
KR20180045363A (en) Apparatus and Method for Determining Priority for Event Integrated Management of Heterogeneous Systems
KR101113615B1 (en) Total analysis system of network risk and method thereof
KR101081875B1 (en) Prealarm system and method for danger of information system
KR100819049B1 (en) Apparatus for detecting and analyzing alert of intrusion and method for displaying it by graph in n-dimensions using the same
KR101646329B1 (en) Cyber attack response and analysis system and method thereof
JP7081953B2 (en) Alert notification device and alert notification method
CN112367190A (en) Network space security situation real-time detection method and system

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E601 Decision to refuse application