KR20190064944A - 보안 장비, 보안 위협 분석 장치 및 방법 - Google Patents
보안 장비, 보안 위협 분석 장치 및 방법 Download PDFInfo
- Publication number
- KR20190064944A KR20190064944A KR1020170164302A KR20170164302A KR20190064944A KR 20190064944 A KR20190064944 A KR 20190064944A KR 1020170164302 A KR1020170164302 A KR 1020170164302A KR 20170164302 A KR20170164302 A KR 20170164302A KR 20190064944 A KR20190064944 A KR 20190064944A
- Authority
- KR
- South Korea
- Prior art keywords
- security
- threat
- information
- data
- stix
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
보안 장비, 보안 위협 분석 장치 및 방법이 개시된다. 본 발명에 따른 보안 위협 분석 장치는, 하나 이상의 보안 장비로부터 보안 이벤트를 수집하는 보안 이벤트 수집부, 수집된 상기 보안 이벤트에 대해 빅데이터 기반의 연관성 분석 결과를 기반으로, 대응 정책을 생성하는 대응 정책 생성부, 생성된 상기 대응 정책을 위협 정보 교환 포맷(STIX)으로 변환하는 STIX 변환부, 그리고 실시간 자동 전송 프로토콜(TAXII)을 통해, 변환된 상기 대응 정책을 상기 보안 장비로 전송하는 대응 정책 전송부를 포함한다.
Description
본 발명은 보안 위협을 분석하는 기술에 관한 것으로, 특히 다양한 보안 솔루션 장비로부터 수집된 보안 이벤트를 분석하고, 종합 위협 정보 및 대응 정책을 생성하여 실시간 자동 전송 프로토콜(TAXII)을 통해 외부로 전송하는 기술에 관한 것이다.
종래 기술에 따른 사이버 공격 대응 기술은, 탐지 룰 또는 특정 보안 이벤트 분석 위주로 사이버 공격에 대응하므로, 사이버 공격에 대한 신속한 원인 파악 및 사후 대응에 한계가 있다.
최근에는, 지능형 지속 위협(APT) 공격 등 사이버 공격이 지능화됨에 따라, 침해사고의 원인 분석에 수 개월 이상이 소요되고 있다. 또한, 대부분의 공격이 기존 보안 장비로 탐지하기 어려워지고 있으며, 침해 사고에 대한 종합적인 분석이 쉽지 않다.
따라서, 사이버 침해 사고 발생 시 신속하게 사고의 원인을 분석하고, 사이버 침해 사고에 대한 종합적인 분석을 수행하며, 기존 보안 장비를 통해 탐지되지 않은 공격 징후들을 수집하기 위한 기술의 개발이 필요하다. 그리고 해킹 정보 등의 사이버 침해 사고 관련 정보를 신속하게 공유하기 위한 기술의 개발이 필요한 실정이다.
본 발명의 목적은 구조화된 사이버 위협 정보를 실시간으로 공유하기 위한 전송 프로토콜을 통해, 진화하는 사이버 공격에 효과적으로 대응할 수 있는 보안 솔루션 위협 정보 분석 기술을 제공하는 것이다.
또한, 본 발명의 목적은 지능화되고 장기간 지속되는 침해 공격의 신속한 원인 분석 및 대응을 가능하게 하는 것이다.
또한, 본 발명의 목적은 구조화된 위협 정보 교환 포맷(STIX)으로 변환된 보안 데이터를 실시간 자동 전송 프로토콜(TAXII)을 통해 외부의 통합 관제 시스템 또는 보안 장비로 전송하는 것이다.
또한, 본 발명의 목적은 기존의 단일 보안 장비에 의해 탐지되지 않은 공격 징후를 탐지하고 분석할 수 있도록 하는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따른 보안 위협 분석 장치는 하나 이상의 보안 장비로부터 보안 이벤트를 수집하는 보안 이벤트 수집부, 수집된 상기 보안 이벤트에 대해 빅데이터 기반의 연관성 분석 결과를 기반으로, 대응 정책을 생성하는 대응 정책 생성부, 생성된 상기 대응 정책을 위협 정보 교환 포맷(STIX)으로 변환하는 STIX 변환부, 그리고 실시간 자동 전송 프로토콜(TAXII)을 통해, 변환된 상기 대응 정책을 상기 보안 장비로 전송하는 대응 정책 전송부를 포함한다.
이때, 상기 STIX 변환부는, 상기 대응 정책으로부터 전송 대상이 되는 데이터 필드를 추출하고, 추출된 이기종의 상기 데이터 필드에 대한 정규화를 수행하며, 상기 위협 정보 교환 포맷(STIX) 데이터 모델을 이용하여 STIX 데이터를 생성할 수 있다.
이때, 상기 보안 이벤트 수집부는, 상기 보안 장비로부터 데이터 전송 규격에 상응하는 이벤트 경보 정보 및 보안 로그 중 적어도 어느 하나를 포함하는 상기 보안 이벤트를 수집할 수 있다.
이때, 상기 보안 이벤트 수집부는, 상기 보안 장비로부터 데이터 전송 규격 정보를 요청받으면, 상기 보안 장비로 상기 데이터 전송 규격 정보를 전송하고, 상기 보안 장비로부터 상기 데이터 전송 규격에 상응하는 상기 보안 이벤트를 수신할 수 있다.
이때, 상기 대응 정책 전송부는, 상기 보안 장비로부터 대응 정책을 요청받으면, 상기 보안 장비로 상기 위협 정보 교환 포맷(STIX)으로 변환된 상기 대응 정책을 전송할 수 있다.
이때, 통합 관제 시스템으로부터 위협 정보를 수신하는 위협 정보 수신부를 더 포함할 수 있다.
이때, 상기 위협 정보 수신부는, 상기 통합 관제 시스템으로부터 데이터 전송 규격 정보를 요청받으면, 상기 통합 관제 시스템으로 상기 데이터 전송 규격 정보를 전송하고, 상기 통합 관제 시스템으로부터 상기 데이터 전송 규격에 상응하는 상기 위협 정보를 수신할 수 있다.
이때, 상기 보안 장비로부터 수신한 이벤트 경보 정보 및 보안 위협 분석 장치와 상호 연동된 통합 관제 시스템으로부터 수신한 위협 정보 중 적어도 어느 하나를 저장하는 데이터베이스를 더 포함할 수 있다.
이때, 저장된 상기 이벤트 경보 정보 및 상기 위협 정보 중 적어도 어느 하나를 기반으로, 위협 상황 모니터링을 수행하는 위협 상황 모니터링부를 더 포함할 수 있다.
또한, 본 발명의 일실시예에 따른 보안 위협 분석 장치에 의해 수행되는 보안 위협 분석 방법은 하나 이상의 보안 장비로부터 보안 이벤트를 수집하는 단계, 수집된 상기 보안 이벤트에 대해 빅데이터 기반의 연관성 분석 결과를 기반으로, 대응 정책을 생성하는 단계, 생성된 상기 대응 정책을 위협 정보 교환 포맷(STIX)으로 변환하는 단계, 그리고 실시간 자동 전송 프로토콜(TAXII)을 통해, 변환된 상기 대응 정책을 상기 보안 장비로 전송하는 단계를 포함한다.
이때, 상기 위협 정보 교환 포맷(STIX)으로 변환하는 단계는, 상기 대응 정책으로부터 전송 대상이 되는 데이터 필드를 추출하는 단계, 추출된 이기종의 상기 데이터 필드에 대한 정규화를 수행하는 단계, 그리고 상기 위협 정보 교환 포맷(STIX) 데이터 모델을 이용하여, STIX 데이터를 생성하는 단계를 포함할 수 있다.
이때, 상기 보안 이벤트를 수집하는 단계는, 상기 보안 장비로부터 데이터 전송 규격에 상응하는 이벤트 경보 정보 및 보안 로그 중 적어도 어느 하나를 포함하는 상기 보안 이벤트를 수집할 수 있다.
이때, 상기 보안 이벤트를 수집하는 단계는, 상기 보안 장비로부터 데이터 전송 규격 정보를 요청받는 단계, 상기 보안 장비로 상기 데이터 전송 규격 정보를 전송하는 단계, 그리고 상기 보안 장비로부터 상기 데이터 전송 규격에 상응하는 상기 보안 이벤트를 수신하는 단계를 포함할 수 있다.
이때, 상기 대응 정책을 상기 보안 장비로 전송하는 단계는, 상기 보안 장비로부터 대응 정책을 요청받는 단계, 그리고 상기 보안 장비로 상기 위협 정보 교환 포맷(STIX)으로 변환된 상기 대응 정책을 전송하는 단계를 포함할 수 있다.
이때, 통합 관제 시스템으로부터 위협 정보를 수신하는 단계를 더 포함할 수 있다.
이때, 상기 통합 관제 시스템으로부터 위협 정보를 수신하는 단계는, 상기 통합 관제 시스템으로부터 데이터 전송 규격 정보를 요청받는 단계, 상기 통합 관제 시스템으로 상기 데이터 전송 규격 정보를 전송하는 단계, 그리고 상기 통합 관제 시스템으로부터 상기 데이터 전송 규격에 상응하는 상기 위협 정보를 수신하는 단계를 포함할 수 있다.
이때, 상기 보안 장비로부터 이벤트 경보 정보를 수신하여 저장하는 단계, 상기 보안 위협 분석 장치와 연동된 통합 관제 시스템으로부터 위협 정보를 수신하여 저장하는 단계를 더 포함할 수 있다.
이때, 저장된 상기 이벤트 경보 정보 및 상기 위협 정보 중 적어도 어느 하나를 기반으로, 위협 상황 모니터링을 수행하는 단계를 더 포함할 수 있다.
또한, 본 발명의 일실시예에 따른 보안 장비는, 보안 위협 분석 장치로부터 데이터 전송 규격을 수신하는 데이터 전송 규격 수신부, 보안 이벤트 및 로그 중 적어도 어느 하나를 상기 데이터 전송 규격에 상응하도록 변환하는 데이터 변환부, 변환된 상기 보안 이벤트 및 상기 로그 중 적어도 어느 하나를 상기 보안 위협 분석 장치로 전송하는 데이터 전송부, 그리고 상기 보안 위협 분석 장치로부터 대응 정책 및 명령 제어 중 적어도 어느 하나를 수신하여 처리하는 대응 정책 수신부를 포함한다.
이때, 상기 데이터 변환부는, 상기 보안 이벤트 및 상기 로그 중에서 상기 보안 위협 분석 장치로 전송할 데이터 필드를 추출하고, 추출된 상기 데이터 필드에 대한 정규화를 수행하며, 위협 정보 교환 포맷(STIX) 데이터 모델을 이용하여 상기 보안 위협 분석 장치로 전송할 데이터를 생성할 수 있다.
본 발명에 따르면, 구조화된 사이버 위협 정보를 실시간으로 공유하기 위한 전송 프로토콜을 통해, 진화하는 사이버 공격에 효과적으로 대응할 수 있는 보안 솔루션 위협 정보 분석 기술을 제공 할 수 있다.
또한 본 발명에 따르면, 지능화되고 장기간 지속되는 침해 공격의 신속한 원인 분석 및 대응을 가능하게 할 수 있다.
또한 본 발명에 따르면, 구조화된 위협 정보 교환 포맷(STIX)으로 변환된 보안 데이터를 실시간 자동 전송 프로토콜(TAXII)을 통해 외부의 통합 관제 시스템 또는 보안 장비로 전송할 수 있다.
또한 본 발명에 따르면, 기존의 단일 보안 장비에 의해 탐지되지 않은 공격 징후를 탐지하고 분석할 수 있다.
도 1은 본 발명의 일실시예에 따른 보안 위협 분석 장치가 적용되는 환경을 개략적으로 나타낸 도면이다.
도 2는 본 발명의 일실시예에 따른 보안 위협 분석 장치의 구성을 나타낸 블록도이다.
도 3은 본 발명의 일실시예에 따른 보안 장비의 구성을 나타낸 블록도이다.
도 4는 본 발명의 일실시예에 따른 보안 위협 분석 방법을 설명하기 위한 순서도이다.
도 5는 본 발명의 일실시예에 따른 실시간 자동 전송 프로토콜(TAXII)을 통해 보안 위협 분석을 위한 데이터를 송수신하는 과정을 설명하기 위한 도면이다.
도 6은 본 발명의 일실시예에 따른 위협 정보 교환 포맷(STIX)으로 변환을 수행하는 과정을 설명하기 위한 도면이다.
도 7은 본 발명의 일실시예에 따른 보안 위협 분석 시스템의 구성을 나타낸 예시도이다.
도 8은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.
도 2는 본 발명의 일실시예에 따른 보안 위협 분석 장치의 구성을 나타낸 블록도이다.
도 3은 본 발명의 일실시예에 따른 보안 장비의 구성을 나타낸 블록도이다.
도 4는 본 발명의 일실시예에 따른 보안 위협 분석 방법을 설명하기 위한 순서도이다.
도 5는 본 발명의 일실시예에 따른 실시간 자동 전송 프로토콜(TAXII)을 통해 보안 위협 분석을 위한 데이터를 송수신하는 과정을 설명하기 위한 도면이다.
도 6은 본 발명의 일실시예에 따른 위협 정보 교환 포맷(STIX)으로 변환을 수행하는 과정을 설명하기 위한 도면이다.
도 7은 본 발명의 일실시예에 따른 보안 위협 분석 시스템의 구성을 나타낸 예시도이다.
도 8은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세하게 설명하고자 한다.
그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
도 1은 본 발명의 일실시예에 따른 보안 위협 분석 장치가 적용되는 환경을 개략적으로 나타낸 도면이다.
보안 장비(100)는 단일 기업이나 기관에 설치되어 보안 이벤트를 수집하고, 수집된 보안 이벤트를 저장한다.
여기서, 보안 장비(100)는 방화벽(Fire wall, FW), 침입 방지 시스템(Intrusion Protection System, IPS), 침입 탐지 시스템(Intrusion Detection System, IDS), 통합 위협 관리 보안 시스템(Unified Threat Management, UTM) 및 웹 방화벽(Web Application Firewall, WAF) 중 적어도 어느 하나일 수 있으며, 보안 장비(100)의 종류는 이에 한정되지 않는다.
다음으로 보안 위협 분석 장치(200)는 보안 이벤트를 수집하고, 빅데이터 기반 위협 정보 연관성 분석을 수행하며, 상위 통합 관제 시스템(300)과 연동할 수 있다. 그리고 보안 위협 분석 장치(200)는 위협 상황을 모니터링하고, 대응 정책을 생성하여 배포할 수 있다.
또한, 보안 위협 분석 장치(200)는 수집된 보안 이벤트, 위협 정보 및 대응 정책 등을 구조화된 위협 정보 교환 포맷(STIX)으로 변환하고, 변환된 데이터를 실시간 자동 전송 프로토콜(TAXII)을 통해 외부의 보안 장비(100) 또는 통합 관제 시스템(300)으로 전송할 수 있다.
그리고 통합 관제 시스템(300)은 침해사고 대응 센터 및 통합 보안관제 센터 등의 보안 시스템을 의미할 수 있다.
보안 위협 분석 장치(200)는 하나 이상의 보안 장비(100)로부터 보안 이벤트를 수집한다. 또한, 보안 위협 분석 장치(200)는 통합 관제 시스템(300)으로부터 위협 정보를 수신할 수 있다.
그리고 보안 위협 분석 장치(200)는 수집된 보안 이벤트에 대해 빅데이터 기반의 연관성 분석을 수행하여, 종합적인 위협 정보 및 대응 정책 중 적어도 어느 하나를 생성할 수 있다.
또한, 보안 위협 분석 장치(200)는 생성된 종합적인 위협 정보 및 대응 정책을 구조화된 위협 정보 교환 포맷(STIX)으로 변환하고, 실시간 자동 전송 프로토콜(TAXII)을 통해 외부의 보안 장비(100) 및 통합 관제 시스템(300) 중 적어도 어느 하나로 전송할 수 있다.
이를 통하여, 보안 위협 분석 장치(200)는 단일 보안 장비(100)에 의해서는 탐지되지 않은 공격 징후들을 탐지하고 분석할 수 있다. 그리고 보안 위협 분석 장치(200)는 최근 지능화되고, 장기간 지속되는 사이버 공격에 대한 심층 분석을 수행할 수 있으며, 이에 신속하게 대응할 수 있다.
이하에서는 도 2 및 도 3을 통하여 본 발명의 일실시예에 따른 보안 위협 분석 장치 및 보안 장비의 구성에 대하여 더욱 상세하게 설명한다.
도 2는 본 발명의 일실시예에 따른 보안 위협 분석 장치의 구성을 나타낸 블록도이다.
도 2에 도시한 바와 같이, 보안 위협 분석 장치(200)는 보안 이벤트 수집부(210), 위협 정보 수신부(220), 대응 정책 생성부(230), 데이터베이스(240), STIX 변환부(250), 대응 정책 전송부(260) 및 위협 상황 모니터링부(270)를 포함한다.
먼저, 보안 이벤트 수집부(210)는 하나 이상의 보안 장비(100)로부터 보안 이벤트를 수집한다.
보안 이벤트 수집부(210)는 보안 장비(100)로부터 데이터 전송 규격에 상응하는 이벤트 경보 정보 및 보안 로그 중 적어도 어느 하나를 포함하는 보안 이벤트를 수집할 수 있다.
이때, 보안 이벤트 수집부(210)는 보안 장비(100)로부터 데이터 전송 규격 정보를 요청받으면, 보안 장비(100)로 데이터 전송 규격 정보를 전송한다. 그리고 보안 이벤트 수집부(210)는 보안 장비(100)로부터 데이터 전송 규격에 상응하는 보안 이벤트를 수신할 수 있다.
여기서, 보안 장비(100)는 STIX 모듈 및 TAXII 모듈을 이용하여 보안 이벤트 수집부(210)로 이벤트 경보 정보를 전송하고, 보안 이벤트 수집부(210)는 TAXII 모듈을 이용하여 보안 장비(100)로부터 이벤트 경보 정보를 수신할 수 있다.
다음으로 위협 정보 수신부(220)는 통합 관제 시스템(300)으로부터 위협 정보를 수신한다. 이때, 위협 정보 수신부(220)는 STIX 모듈 및 TAXII 모듈을 이용하여 통합 관제 시스템(300)으로부터 위협 정보를 수신할 수 있다.
위협 정보 수신부(220)는 통합 관제 시스템(300)으로부터 데이터 전송 규격 정보를 요청받으면, 통합 관제 시스템(300)으로 데이터 전송 규격 정보를 전송하고, 통합 관제 시스템(300)으로부터 데이터 전송 규격에 상응하는 위협 정보를 수신할 수 있다.
그리고 대응 정책 생성부(230)는 보안 이벤트에 대한 연관성 수행 분석의 결과, 통합 관제 시스템(300)으로부터 수신한 위협 정보 및 위협 상황 모니터링 정보 중 적어도 어느 하나를 기반으로, 대응 정책을 생성할 수 있다. 이때, 대응 정책 생성부(230)는 후술할 데이터베이스(240)에 저장된 연관성 수행 분석의 결과, 위협 정보 및 위협 상황 모니터링 정보 중 적어도 어느 하나를 이용하여 대응 정책을 생성할 수 있다.
대응 정책 생성부(230)는 대응 정책을 생성하기 이전에, 수집된 보안 이벤트에 대한 연관성 분석을 수행할 수 있다. 이때, 대응 정책 생성부(230)는 빅데이터 기반의 연관성 분석을 수행할 수 있으며, 대응 정책 생성부(230)가 수행하는 연관성 분석 방법의 종류는 이에 한정되지 않는다.
데이터베이스(240)는 보안 장비(100)로부터 수신한 보안 이벤트 정보, 통합 관제 시스템(300)으로부터 수신한 위협 정보를 저장할 수 있다. 그리고 데이터베이스(240)는 보안 이벤트에 대한 연관성 분석 수행 결과 및 위협 상황 모니터링 정보 중 적어도 어느 하나를 저장할 수 있다.
다음으로 STIX 변환부(250)는 생성된 대응 정책을 위협 정보 교환 포맷(STIX)으로 변환한다.
이때, STIX 변환부(250)는 대응 정책으로부터 전송 대상이 되는 데이터 필드를 추출하고, 추출된 이기종의 데이터 필드에 대한 정규화를 수행할 수 있다. 그리고 STIX 변환부(250)는 정규화된 데이터 필드를 위협 정보 교환 포맷(STIX) 데이터 모델에 적용하여, STIX 데이터를 생성할 수 있다.
그리고 대응 정책 전송부(260)는 보안 장비(100)로부터 대응 정책을 요청받으면, 보안 장비(100)로 위협 정보 교환 포맷으로 변환된 대응 정책을 전송한다. 특히, 대응 정책 전송부(260)는 실시간 자동 전송 프로토콜(TAXII)을 통해, 변환된 대응 정책인 STIX 데이터를 보안 장비(100)로 전송할 수 있다.
마지막으로, 위협 상황 모니터링부(270)는 저장된 이벤트 경보 정보 및 위협 정보 중 적어도 어느 하나를 기반으로, 위협 상황 모니터링을 수행한다. 그리고 위협 상황 모니터링부(270)의 모니터링 결과는 보안 관리자의 단말기로 전송되어 보안 관리자에게 제공될 수 있다.
도 3은 본 발명의 일실시예에 따른 보안 장비의 구성을 나타낸 블록도이다.
도 3과 같이, 보안 장비(100)는 데이터 전송 규격 수신부(110), 데이터 변환부(120), 데이터 전송부(140) 및 대응 정책 수신부(140)를 포함한다.
먼저, 데이터 전송 규격 수신부(110)는 보안 위협 분석 장치(200)로부터 데이터 전송 규격을 수신한다.
그리고 데이터 변환부(120)는 보안 이벤트 및 로그 중 적어도 어느 하나를 데이터 전송 규격에 상응하도록 변환한다.
데이터 변환부(120)는 보안 이벤트 및 로그 중에서 보안 위협 분석 장치(200)로 전송할 데이터 필드를 추출하고, 추출된 데이터 필드에 대한 정규화를 수행할 수 있다. 또한 데이터 변환부(120)는 위협 정보 교환 포맷(STIX) 데이터 모델을 이용하여 보안 위협 분석 장치(200)로 전송할 데이터를 생성할 수 있다.
다음으로 데이터 전송부(130)는 변환된 보안 이벤트 및 로그 중 적어도 어느 하나를 보안 위협 분석 장치(200)로 전송한다.
또한, 대응 정책 수신부(140)는 보안 위협 분석 장치(200)로부터 대응 정책 및 명령 제어 중 적어도 어느 하나를 수신하여 처리할 수 있다.
보안 장비(100)는 STIX 모듈 및 TAXII 모듈을 이용하여 보안 위협 분석 장치(200)로 이벤트 경보 정보를 전송하고, 보안 위협 분석 장치(200)로부터 위협 정보, 대응 정책 및 제어 정보 중 적어도 어느 하나를 수신할 수 있다. 그리고 도 2에서 데이터 변환부(120)는 STIX 모듈 형태로 구현될 수 있고, 데이터 전송부(130)는 TAXII 모듈 형태로 구현될 수 있다.
이하에서는 도 4를 통하여 본 발명의 일실시예에 따른 보안 위협 분석 장치에 의해 수행되는 보안 위협 분석 방법에 대하여 더욱 상세하게 설명한다.
도 4는 본 발명의 일실시예에 따른 보안 위협 분석 방법을 설명하기 위한 순서도이다.
먼저, 보안 위협 분석 장치(200)는 보안 장비(100)로부터 보안 이벤트를 수집한다(S410).
보안 위협 분석 장치(200)는 하나 이상의 보안 장비(100)로부터 보안 로그 및 이벤트 경보 정보 중 적어도 어느 하나를 포함하는 보안 이벤트를 수신할 수 있다.
이때, 보안 위협 분석 장치(200)는 보안 장비(100)로부터 위협 정보 교환 포맷(STIX)으로 변환된 형태의 보안 이벤트를 수신할 수 있으며, S410 단계를 통해 보안 이벤트를 수신하기 이전에 보안 위협 분석 장치(200)는 보안 장비(100)로 데이터 전송 규격 정보를 전송하는 과정을 수행할 수 있다.
그리고 보안 위협 분석 장치(200)는 빅데이터 기반의 연관성 분석을 수행한다(S420).
보안 위협 분석 장치(200)는 보안 장비(100)로부터 수신한 보안 이벤트에 대한 빅데이터 기반의 연관성 분석을 수행하고, 수행 결과를 데이터베이스에 저장할 수 있다.
또한, 보안 위협 분석 장치(200)는 통합 관제 시스템(300)으로부터 위협 정보를 수신한다(S430).
보안 위협 분석 장치(200)는 연동된 통합 관제 시스템(300)으로부터 위협 정보를 수신하여, 데이터베이스에 저장할 수 있다.
그리고 보안 위협 분석 장치(200)는 대응 정책을 생성하고, 생성한 대응 정책을 STIX로 변환한다(S440).
보안 위협 분석 장치(200)는 데이터베이스에 저장된 연관성 분석의 수행 결과, 위협 정보 및 보안 이벤트 중 적어도 어느 하나를 기반으로 대응 정책을 생성할 수 있다. 또한, 보안 위협 분석 장치(200)가 위협 상황 모니터링을 수행하는 경우, 보안 위협 분석 장치(200)는 위협 상황 모니터링의 결과를 데이터베이스에 저장하고, 위협 상황 모니터링의 결과를 반영하여 대응 정책을 생성할 수 있다.
대응 정책을 생성한 보안 위협 분석 장치(200)는 보안 장비(100)로 대응 정책을 전송하기 위하여, 대응 정책을 위협 정보 교환 포맷(STIX)으로 변환한다.
마지막으로, 보안 위협 분석 장치(200)는 TAXII를 통해 대응 정책을 전송한다(S450).
보안 위협 분석 장치(200)는 S440 단계에서 위협 정보 교환 포맷(STIX)으로 변환된 대응 정책을 실시간 자동 전송 프로토콜(TAXII)을 이용하여, 하나 이상의 보안 장비(100)로 전송할 수 있다.
이와 같이, 본 발명의 일실시예에 따른 보안 위협 분석 장치(200)는 하나 이상의 보안 장비(100)로부터 보안 이벤트 경보 정보 및 로그를 구조화된 위협 정보 교환 포맷()으로 변환하여, 실시간 자동 전송 프로토콜()을 통해 외부의 통합 관제 시스템(300) 또는 보안 장비(100)로 전송할 수 있다.
이를 통하여 본 발명의 일실시예에 따른 보안 위협 분석 장치(200)는 사이버 침해 사고가 발생할 경우, 신속하게 사고의 원인을 분석할 수 있고, 기존의 보안 장비를 통해 탐지되지 않은 공격 징후들을 수집하여 보안 솔루션 위협 정보를 분석할 수 있다.
이하에서는 도 5 및 도 6을 통하여 본 발명의 일실시예에 따른 실시간 자동 전송 프로토콜(TAXII) 및 위협 정보 교환 포맷(STIX)에 대하여 더욱 상세하게 설명한다.
도 5는 본 발명의 일실시예에 따른 실시간 자동 전송 프로토콜(TAXII)을 통해 보안 위협 분석을 위한 데이터를 송수신하는 과정을 설명하기 위한 도면이다.
도 5에 도시한 바와 같이, TAXII 모듈은 TAXII 에이전트(400) 및 TAXII 서버(500)로 구성될 수 있다. 그리고 TAXII 에이전트(400)는 보안 이벤트/로그 수집부(410), STIX 변환부(420), 대응 정책/명령 제어 처리부(430) 및 TAXII 연동부(440)를 포함할 수 있다. 그리고 TAXII 서버(500)는 대응 정책/명령 제어 생성부(510), STIX 변환부(520), 위협 정보 저장 및 처리부(530) 및 TAXII 연동부(540)를 포함할 수 있다.
그리고 TAXII 에이전트(400) 및 TAXII 서버(500)의 STIX 변환부(420, 520)는 전송 대상이 되는 데이터를 구조화된 위협정보 교환 포맷으로 변환하며, STIX 변환부(420, 520)에 대해서는 후술할 도 6을 통하여 더욱 상세하게 설명한다.
TAXII 에이전트(400)는 데이터를 전송하기 위하여, TAXII 서버(500)로 데이터 전송 규격을 요청하고, TAXII 서버(500)로부터 데이터 전송 규격을 수신할 수 있다. 그리고 TAXII 에이전트(400)는 전송하고자 하는 데이터(보안 이벤트, 위협 정보 등)를 데이터 전송 규격에 맞게 변환하여, TAXII 서버(500)로 전송하며, 데이터를 수신한 TAXII 서버(500)는 TAXII 에이전트(400)로 확인 정보(응답)을 전송한다.
TAXII 에이전트(400)는 TAXII 서버(500)로 대응 정책 및 명령 제어 정보를 요청하고, TAXII 서버(500)로부터 요청에 상응하는 대응 정책 및 명령 제어 정보를 수신할 수 있다.
도 6은 본 발명의 일실시예에 따른 위협 정보 교환 포맷(STIX)으로 변환을 수행하는 과정을 설명하기 위한 도면이다.
도 6과 같이, STIX 변환부(600)는 데이터 필드 추출 모듈(610), 정규화 모듈(620), STIX 데이터 모델 생성 모듈(630) 및 STIX 데이터 생성 모듈(640)을 포함할 수 있다.
데이터 필드 추출 모듈(610)은 수집된 다양한 보안 이벤트 또는 생성된 대응 정책으로부터, 전송할 데이터 필드를 추출한다. 그리고 정규화 모듈(620)은 추출된 이기종의 데이터 필드에 대한 정규화를 수행한다. 또한, STIX 데이터 모델 생성 모듈(630)은 STIX 데이터 모델을 생성하고, STIX 데이터 생성 모듈(640)은 생성된 STIX 데이터 모델에 정규화된 데이터 필드를 적용하여, XML 형태의 STIX 데이터를 생성할 수 있다.
이하에서는 도 7을 통하여 본 발명의 일실시예에 따른 보안 위협 분석 시스템에 대하여 더욱 상세하게 설명한다.
도 7은 본 발명의 일실시예에 따른 보안 위협 분석 시스템의 구성을 나타낸 예시도이다.
도 7에 도시한 바와 같이, 보안 위협 분석 시스템은 하나 이상의 보안 장비(700), 보안 솔루션 위협정보 분석 시스템(800) 및 통합 관제 시스템(900)를 포함하며, 필요에 따라 보안 관리자의 관리자 단말기(1000)를 더 포함할 수 있다.
보안 장비(700)는 도 1의 보안 장비(100)와 실질적으로 동일하고, 통합 관제 시스템(900)은 도 1의 통합 관제 시스템(300)과 실질적으로 동일할 수 있다.
보안 솔루션 위협 정보 분석 시스템(800)은 방화벽(Fire wall, FW), 침입 방지 시스템(Intrusion Protection System, IPS), 침입 탐지 시스템(Intrusion Detection System, IDS), 통합 위협 관리 보안 시스템(Unified Threat Management, UTM) 및 웹 방화벽(Web Application Firewall, WAF) 등의 보안 장비(100)로부터 원본 로그 및 이벤트 경보 정보를 수신할 수 있다.
이때, 보안 솔루션 위협 정보 분석 시스템(800)의 이벤트/경보 수집부(810)는 Syslog를 이용하여 보안 장비(700)로부터 원본 로그를 수집하고, TAXII 및 STIX 기능을 통해 이벤트 경보 정보를 수집할 수 있다.
보안 솔루션 위협 정보 분석 시스템(800)의 빅데이터 기반 위협 정보 연관성 분석부(820)는 수집된 데이터에 대해 빅데이터 기반의 위협 정보 연관선 분석을 수행하여 경보를 생성하고, 생성된 경보를 위협 정보/경보 저장 데이터베이스(830)에 저장할 수 있다.
또한, 보안 솔루션 위협 정보 분석 시스템(800)의 통합 관제 시스템 연동부(840)는 통합 관제 시스템(900)으로부터 TAXII 및 STIX 기능을 통해 위협 정보를 수신하고, 수신한 위협 정보를 위협 정보/경보 저장 데이터베이스(830)에 저장할 수 있다.
그리고 보안 솔루션 위협 정보 분석 시스템(800)의 위협 상황 모니터링부(860)는 위협 상황을 모니터링하고, 모니터링 결과를 위협 정보/경보 저장 데이터베이스(830)에 저장하거나 관리자 단말기(1000)로 전송할 수 있다.
대응 정책 생성/배포부(850)는 위협 정보/경보 저장 데이터베이스에 저장된 경보, 위협 정보, 모니터링 결과 중 적어도 어느 하나를 기반으로 대응 정책 및 제어 정보 중 적어도 어느 하나를 생성한다.
그리고 대응 정책 생성/배포부(850)는 TAXII 및 STIX 기능을 통해 생성된 대응 정책 및 제어 정보를 보안 장비(700)로 전송할 수 있다. 또한, 대응 정책 생성/배포부(850)는 TAXII 및 STIX 기능을 통해 통합 관제 시스템(900)으로부터 수신한 위협 정보를 보안 장비(700)로 전송할 수 있다.
도 8은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.
도 8을 참조하면, 본 발명의 실시예는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템(1100)에서 구현될 수 있다. 도 8에 도시된 바와 같이, 컴퓨터 시스템(1100)은 버스(1120)를 통하여 서로 통신하는 하나 이상의 프로세서(1110), 메모리(1130), 사용자 인터페이스 입력 장치(1140), 사용자 인터페이스 출력 장치(1150) 및 스토리지(1160)를 포함할 수 있다. 또한, 컴퓨터 시스템(1100)은 네트워크(1180)에 연결되는 네트워크 인터페이스(1170)를 더 포함할 수 있다. 프로세서(1110)는 중앙 처리 장치 또는 메모리(1130)나 스토리지(1160)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(1130) 및 스토리지(1160)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리는 ROM(1131)이나 RAM(1132)을 포함할 수 있다.
따라서, 본 발명의 실시예는 컴퓨터로 구현된 방법이나 컴퓨터에서 실행 가능한 명령어들이 기록된 비일시적인 컴퓨터에서 읽을 수 있는 매체로 구현될 수 있다. 컴퓨터에서 읽을 수 있는 명령어들이 프로세서에 의해서 수행될 때, 컴퓨터에서 읽을 수 있는 명령어들은 본 발명의 적어도 한 가지 태양에 따른 방법을 수행할 수 있다.
이상에서와 같이 본 발명에 따른 보안 장비, 보안 위협 분석 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
100: 보안 장비
110: 데이터 전송 규격 수신부
120: 데이터 변환부 130: 데이터 전송부
140: 대응 정책 수신부 200: 보안 위협 분석 장치
210: 보안 이벤트 수집부 220: 위협 정보 수신부
230: 대응 정책 생성부 240: 데이터베이스
250: STIX 변환부 260: 대응 정책 전송부
270: 위협 상황 모니터링부 300: 통합 관제 시스템
400: TAXII 에이전트 410: 보안 이벤트/로그 수집부
420: STIX 변환부 430: 대응 정책/명령 제어 처리부
440: TAXII 연동부 500: TAXII 서버
510: 대응 정책/명령 제어 생성부
520: STIX 변환부 530: 위협 정보 저장 및 처리부
540: TAXII 연동부 600: STIX 변환부
610: 데이터 필드 추출 모듈
620: 정규화 모듈
630: STIX 데이터 모델 생성 모듈
640: STIX 데이터 생성 모듈
700: 보안 장비
800: 보안 솔루션 위협 정보 분석 시스템
810: 이벤트/경보 수집부
820: 빅데이터 기반 위협 정보 연관성 분석부
830: 위협 정보/경보 저장 데이터베이스
840: 통합 관제 시스템 연동부 850: 대응 정책 생성/배포부
860: 위협 상황 모니터링부 900: 통합 관제 시스템
1000: 관리자 단말기 1100: 컴퓨터 시스템
1110: 프로세서 1120: 버스
1130: 메모리 1131: 롬
1132: 램
1140: 사용자 인터페이스 입력 장치
1150: 사용자 인터페이스 출력 장치
1160: 스토리지 1170: 네트워크 인터페이스
1180: 네트워크
120: 데이터 변환부 130: 데이터 전송부
140: 대응 정책 수신부 200: 보안 위협 분석 장치
210: 보안 이벤트 수집부 220: 위협 정보 수신부
230: 대응 정책 생성부 240: 데이터베이스
250: STIX 변환부 260: 대응 정책 전송부
270: 위협 상황 모니터링부 300: 통합 관제 시스템
400: TAXII 에이전트 410: 보안 이벤트/로그 수집부
420: STIX 변환부 430: 대응 정책/명령 제어 처리부
440: TAXII 연동부 500: TAXII 서버
510: 대응 정책/명령 제어 생성부
520: STIX 변환부 530: 위협 정보 저장 및 처리부
540: TAXII 연동부 600: STIX 변환부
610: 데이터 필드 추출 모듈
620: 정규화 모듈
630: STIX 데이터 모델 생성 모듈
640: STIX 데이터 생성 모듈
700: 보안 장비
800: 보안 솔루션 위협 정보 분석 시스템
810: 이벤트/경보 수집부
820: 빅데이터 기반 위협 정보 연관성 분석부
830: 위협 정보/경보 저장 데이터베이스
840: 통합 관제 시스템 연동부 850: 대응 정책 생성/배포부
860: 위협 상황 모니터링부 900: 통합 관제 시스템
1000: 관리자 단말기 1100: 컴퓨터 시스템
1110: 프로세서 1120: 버스
1130: 메모리 1131: 롬
1132: 램
1140: 사용자 인터페이스 입력 장치
1150: 사용자 인터페이스 출력 장치
1160: 스토리지 1170: 네트워크 인터페이스
1180: 네트워크
Claims (20)
- 하나 이상의 보안 장비로부터 보안 이벤트를 수집하는 보안 이벤트 수집부,
수집된 상기 보안 이벤트에 대해 빅데이터 기반의 연관성 분석 결과를 기반으로, 대응 정책을 생성하는 대응 정책 생성부,
생성된 상기 대응 정책을 위협 정보 교환 포맷(STIX)으로 변환하는 STIX 변환부, 그리고
실시간 자동 전송 프로토콜(TAXII)을 통해, 변환된 상기 대응 정책을 상기 보안 장비로 전송하는 대응 정책 전송부를 포함하는 보안 위협 분석 장치. - 제1항에 있어서,
상기 STIX 변환부는,
상기 대응 정책으로부터 전송 대상이 되는 데이터 필드를 추출하고, 추출된 이기종의 상기 데이터 필드에 대한 정규화를 수행하며, 상기 위협 정보 교환 포맷(STIX) 데이터 모델을 이용하여 STIX 데이터를 생성하는 것을 특징으로 하는 보안 위협 분석 장치. - 제1항에 있어서,
상기 보안 이벤트 수집부는,
상기 보안 장비로부터 데이터 전송 규격에 상응하는 이벤트 경보 정보 및 보안 로그 중 적어도 어느 하나를 포함하는 상기 보안 이벤트를 수집하는 것을 특징으로 하는 보안 위협 분석 장치. - 제3항에 있어서,
상기 보안 이벤트 수집부는,
상기 보안 장비로부터 데이터 전송 규격 정보를 요청받으면, 상기 보안 장비로 상기 데이터 전송 규격 정보를 전송하고, 상기 보안 장비로부터 상기 데이터 전송 규격에 상응하는 상기 보안 이벤트를 수신하는 것을 특징으로 하는 보안 위협 분석 장치. - 제4항에 있어서,
상기 대응 정책 전송부는,
상기 보안 장비로부터 대응 정책을 요청받으면, 상기 보안 장비로 상기 위협 정보 교환 포맷(STIX)으로 변환된 상기 대응 정책을 전송하는 것을 특징으로 하는 보안 위협 분석 장치. - 제1항에 있어서,
통합 관제 시스템으로부터 위협 정보를 수신하는 위협 정보 수신부를 더 포함하는 것을 특징으로 하는 보안 위협 분석 장치. - 제6항에 있어서,
상기 위협 정보 수신부는,
상기 통합 관제 시스템으로부터 데이터 전송 규격 정보를 요청받으면, 상기 통합 관제 시스템으로 상기 데이터 전송 규격 정보를 전송하고, 상기 통합 관제 시스템으로부터 상기 데이터 전송 규격에 상응하는 상기 위협 정보를 수신하는 것을 특징으로 하는 보안 위협 분석 장치. - 제2항에 있어서,
상기 보안 장비로부터 수신한 이벤트 경보 정보 및 보안 위협 분석 장치와 상호 연동된 통합 관제 시스템으로부터 수신한 위협 정보 중 적어도 어느 하나를 저장하는 데이터베이스를 더 포함하는 것을 특징으로 하는 보안 위협 분석 장치. - 제8항에 있어서,
저장된 상기 이벤트 경보 정보 및 상기 위협 정보 중 적어도 어느 하나를 기반으로, 위협 상황 모니터링을 수행하는 위협 상황 모니터링부를 더 포함하는 것을 특징으로 하는 보안 위협 분석 장치. - 보안 위협 분석 장치에 의해 수행되는 보안 위협 분석 방법에 있어서,
하나 이상의 보안 장비로부터 보안 이벤트를 수집하는 단계,
수집된 상기 보안 이벤트에 대해 빅데이터 기반의 연관성 분석 결과를 기반으로, 대응 정책을 생성하는 단계,
생성된 상기 대응 정책을 위협 정보 교환 포맷(STIX)으로 변환하는 단계, 그리고
실시간 자동 전송 프로토콜(TAXII)을 통해, 변환된 상기 대응 정책을 상기 보안 장비로 전송하는 단계를 포함하는 보안 위협 분석 방법. - 제10항에 있어서,
상기 위협 정보 교환 포맷(STIX)으로 변환하는 단계는,
상기 대응 정책으로부터 전송 대상이 되는 데이터 필드를 추출하는 단계,
추출된 이기종의 상기 데이터 필드에 대한 정규화를 수행하는 단계, 그리고
상기 위협 정보 교환 포맷(STIX) 데이터 모델을 이용하여, STIX 데이터를 생성하는 단계를 포함하는 것을 특징으로 하는 보안 위협 분석 방법. - 제10항에 있어서,
상기 보안 이벤트를 수집하는 단계는,
상기 보안 장비로부터 데이터 전송 규격에 상응하는 이벤트 경보 정보 및 보안 로그 중 적어도 어느 하나를 포함하는 상기 보안 이벤트를 수집하는 것을 특징으로 하는 보안 위협 분석 방법. - 제12항에 있어서,
상기 보안 이벤트를 수집하는 단계는,
상기 보안 장비로부터 데이터 전송 규격 정보를 요청받는 단계,
상기 보안 장비로 상기 데이터 전송 규격 정보를 전송하는 단계, 그리고
상기 보안 장비로부터 상기 데이터 전송 규격에 상응하는 상기 보안 이벤트를 수신하는 단계를 포함하는 것을 특징으로 하는 보안 위협 분석 방법. - 제13항에 있어서,
상기 대응 정책을 상기 보안 장비로 전송하는 단계는,
상기 보안 장비로부터 대응 정책을 요청받는 단계, 그리고
상기 보안 장비로 상기 위협 정보 교환 포맷(STIX)으로 변환된 상기 대응 정책을 전송하는 단계를 포함하는 것을 특징으로 하는 보안 위협 분석 방법. - 제10항에 있어서,
통합 관제 시스템으로부터 위협 정보를 수신하는 단계를 더 포함하는 것을 특징으로 하는 보안 위협 분석 방법. - 제15항에 있어서,
상기 통합 관제 시스템으로부터 위협 정보를 수신하는 단계는,
상기 통합 관제 시스템으로부터 데이터 전송 규격 정보를 요청받는 단계,
상기 통합 관제 시스템으로 상기 데이터 전송 규격 정보를 전송하는 단계, 그리고
상기 통합 관제 시스템으로부터 상기 데이터 전송 규격에 상응하는 상기 위협 정보를 수신하는 단계를 포함하는 것을 특징으로 하는 보안 위협 분석 방법. - 제11항에 있어서,
상기 보안 장비로부터 이벤트 경보 정보를 수신하여 저장하는 단계,
상기 보안 위협 분석 장치와 연동된 통합 관제 시스템으로부터 위협 정보를 수신하여 저장하는 단계를 더 포함하는 것을 특징으로 하는 보안 위협 분석 방법. - 제17항에 있어서,
저장된 상기 이벤트 경보 정보 및 상기 위협 정보 중 적어도 어느 하나를 기반으로, 위협 상황 모니터링을 수행하는 단계를 더 포함하는 것을 특징으로 하는 보안 위협 분석 방법. - 보안 위협 분석 장치로부터 데이터 전송 규격을 수신하는 데이터 전송 규격 수신부,
보안 이벤트 및 로그 중 적어도 어느 하나를 상기 데이터 전송 규격에 상응하도록 변환하는 데이터 변환부,
변환된 상기 보안 이벤트 및 상기 로그 중 적어도 어느 하나를 상기 보안 위협 분석 장치로 전송하는 데이터 전송부, 그리고
상기 보안 위협 분석 장치로부터 대응 정책 및 명령 제어 중 적어도 어느 하나를 수신하여 처리하는 대응 정책 수신부
를 포함하는 것을 특징으로 하는 보안 장비. - 제19항에 있어서,
상기 데이터 변환부는,
상기 보안 이벤트 및 상기 로그 중에서 상기 보안 위협 분석 장치로 전송할 데이터 필드를 추출하고, 추출된 상기 데이터 필드에 대한 정규화를 수행하며, 위협 정보 교환 포맷(STIX) 데이터 모델을 이용하여 상기 보안 위협 분석 장치로 전송할 데이터를 생성하는 것을 특징으로 하는 보안 장비.
.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170164302A KR102384672B1 (ko) | 2017-12-01 | 2017-12-01 | 보안 장비, 보안 위협 분석 장치 및 방법 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170164302A KR102384672B1 (ko) | 2017-12-01 | 2017-12-01 | 보안 장비, 보안 위협 분석 장치 및 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20190064944A true KR20190064944A (ko) | 2019-06-11 |
KR102384672B1 KR102384672B1 (ko) | 2022-04-11 |
Family
ID=66847235
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020170164302A KR102384672B1 (ko) | 2017-12-01 | 2017-12-01 | 보안 장비, 보안 위협 분석 장치 및 방법 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102384672B1 (ko) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20210152817A (ko) * | 2020-06-09 | 2021-12-16 | 한국전자통신연구원 | 이기종 시스템 보안이벤트의 중점 모니터링 대상 선별 장치 및 방법 |
CN114095204A (zh) * | 2021-10-14 | 2022-02-25 | 北京天融信网络安全技术有限公司 | 基于订阅机制的情报设备联动方法、防护中心及安全设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20040038034A (ko) * | 2002-10-31 | 2004-05-08 | 한국전자통신연구원 | 정책기반 침입 탐지 및 대응을 위한 경보 전달 장치 및 방법 |
KR101575282B1 (ko) | 2011-11-28 | 2015-12-09 | 한국전자통신연구원 | 보안관리 도메인들 간에 익명 식별자 기반의 보안정보를 공유하기 위한 에이전트 장치 및 방법 |
US20160366174A1 (en) * | 2015-04-17 | 2016-12-15 | Soltra Solutions, Llc | Computerized system and method for securely distributing and exchanging cyber-threat information in a standardized format |
US20170171235A1 (en) * | 2015-12-09 | 2017-06-15 | Accenture Global Solutions Limited | Connected security system |
-
2017
- 2017-12-01 KR KR1020170164302A patent/KR102384672B1/ko active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20040038034A (ko) * | 2002-10-31 | 2004-05-08 | 한국전자통신연구원 | 정책기반 침입 탐지 및 대응을 위한 경보 전달 장치 및 방법 |
KR101575282B1 (ko) | 2011-11-28 | 2015-12-09 | 한국전자통신연구원 | 보안관리 도메인들 간에 익명 식별자 기반의 보안정보를 공유하기 위한 에이전트 장치 및 방법 |
US20160366174A1 (en) * | 2015-04-17 | 2016-12-15 | Soltra Solutions, Llc | Computerized system and method for securely distributing and exchanging cyber-threat information in a standardized format |
US20170171235A1 (en) * | 2015-12-09 | 2017-06-15 | Accenture Global Solutions Limited | Connected security system |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20210152817A (ko) * | 2020-06-09 | 2021-12-16 | 한국전자통신연구원 | 이기종 시스템 보안이벤트의 중점 모니터링 대상 선별 장치 및 방법 |
CN114095204A (zh) * | 2021-10-14 | 2022-02-25 | 北京天融信网络安全技术有限公司 | 基于订阅机制的情报设备联动方法、防护中心及安全设备 |
CN114095204B (zh) * | 2021-10-14 | 2024-03-15 | 北京天融信网络安全技术有限公司 | 基于订阅机制的情报设备联动方法、防护中心及安全设备 |
Also Published As
Publication number | Publication date |
---|---|
KR102384672B1 (ko) | 2022-04-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101883400B1 (ko) | 에이전트리스 방식의 보안취약점 점검 방법 및 시스템 | |
WO2023216641A1 (zh) | 一种电力终端安全防护方法及系统 | |
KR101327317B1 (ko) | Sap 응용 트래픽 분석 및 모니터링 장치 및 방법, 이를 이용한 정보 보호 시스템 | |
US20200302054A1 (en) | Method for detecting physical intrusion attack in industrial control system based on analysis of signals on serial communication bus | |
CN108270716A (zh) | 一种基于云计算的信息安全审计方法 | |
CN103701783A (zh) | 一种预处理单元、由其构成的数据处理系统以及处理方法 | |
US20180146002A1 (en) | Cyber Security System and Method Using Intelligent Agents | |
CN108259202A (zh) | 一种ca监测预警方法和ca监测预警系统 | |
WO2022257226A1 (zh) | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 | |
Wang et al. | A centralized HIDS framework for private cloud | |
KR20180086919A (ko) | 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치, 보안 정책 관리 장치 및 보안 정책 관리 방법 | |
Jaeger et al. | Multi-step attack pattern detection on normalized event logs | |
KR20160087187A (ko) | 사이버 블랙박스 시스템 및 그 방법 | |
KR20190064944A (ko) | 보안 장비, 보안 위협 분석 장치 및 방법 | |
CN114329450A (zh) | 数据安全处理方法、装置、设备及存储介质 | |
CN114374530A (zh) | 基于实时网络流量进行监测分析的ids系统和检测方法 | |
CN106096406A (zh) | 一种安全漏洞回溯分析方法及装置 | |
CN112134870B (zh) | 一种网络安全威胁阻断方法、装置、设备和存储介质 | |
CN112650180B (zh) | 安全告警方法、装置、终端设备及存储介质 | |
CN114760083B (zh) | 一种攻击检测文件的发布方法、装置及存储介质 | |
KR101650475B1 (ko) | 웹 서버로부터 수집된 트랜잭션 정보를 이용한 보안장치 | |
Wang et al. | Network security situation evaluation based on modified DS evidence theory | |
Peng | Research of network intrusion detection system based on snort and NTOP | |
KR20130033161A (ko) | 클라우드 컴퓨팅 서비스에서의 침입 탐지 시스템 | |
CN109981606A (zh) | 通用串行总线的硬件防火墙检测装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |