KR20210059542A - 사이버 보안관제의 실시간 모니터링 시스템 및 방법 - Google Patents

사이버 보안관제의 실시간 모니터링 시스템 및 방법 Download PDF

Info

Publication number
KR20210059542A
KR20210059542A KR1020190147124A KR20190147124A KR20210059542A KR 20210059542 A KR20210059542 A KR 20210059542A KR 1020190147124 A KR1020190147124 A KR 1020190147124A KR 20190147124 A KR20190147124 A KR 20190147124A KR 20210059542 A KR20210059542 A KR 20210059542A
Authority
KR
South Korea
Prior art keywords
processing unit
log
information
log collection
payload
Prior art date
Application number
KR1020190147124A
Other languages
English (en)
Other versions
KR102295947B1 (ko
Inventor
이종진
이태윤
장인석
김성철
Original Assignee
한전케이디엔주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한전케이디엔주식회사 filed Critical 한전케이디엔주식회사
Priority to KR1020190147124A priority Critical patent/KR102295947B1/ko
Publication of KR20210059542A publication Critical patent/KR20210059542A/ko
Application granted granted Critical
Publication of KR102295947B1 publication Critical patent/KR102295947B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명에 따른 사이버 보안관제의 실시간 모니터링 방법은 (a) 로그 수집&가공부가 방화벽으로부터 탐지시간, 출발지, 목적지에 해당하는 로그정보와 또는 보안장비로부터 탐지시간, 출발지, 목적지, 탐지명에 해당하는 로그정보를 수신하는 단계; (b) 상기 로그 수집&가공부가 상기 (a)단계에서 수신한 로그정보를 그대로 저장하여 수집하는 단계; (c) 상기 로그 수집&가공부가 상기 로그정보를 가지고 분석가공하는 단계; 및 (d) 상기 로그 수집&가공부가 시각화 표시부를 통해 분석가공된 위협정보를 시각화하여 표시하는 단계;를 포함하여 보안관제 모니터링시 위협정보의 위협수준이 단순 공격인지, 실제 피해가 있는지 여부를 평가할 수 있는 효과가 있고, 공격받은 시스템 또는 컴퓨터의 실시간 공격상황을 효과적으로 볼 수 있는 효과가 있다.

Description

사이버 보안관제의 실시간 모니터링 시스템 및 방법{SYSTEM AND METHOD FOR REAL TIME MONITORING OF CYBER SECURE MANAGEMENT}
본 발명은 사이버 보안관제의 실시간 모니터링 시스템 및 방법에 관한 것으로써, 더욱 상세하게는 보안탐지시스템 로그와 방화벽 페이로드 데이터를 연계 알고리즘을 적용하고 빅데이터 시스템을 활용하여 위험판단정보와 시각정보를 제공함으로써 실시간으로 침해대응을 통하여 보안관제업무의 효율성을 향상시킬 수 있는 사이버 보안관제의 실시간 모니터링 시스템 및 방법에 관한 것이다.
일반적 보안장비의 경우 많은 보안로그와 탐지정보의 오탐율이 높은 문제점이 있고, 보안장비별 로그를 수작업으로 연관성 분석이 이루어져 대응이 느린 문제점이 있다.
다양한 보안장비의 사용으로 효과적인 사이버위협정보를 시각적으로 보여주지 못하는 문제점이 있고, 개별 장비별 위협정보를 보여주기 때문에 실제 위협여부 판단이 어려운 문제점이 있다.
또한, 탐지 위협정보의 위험도 판단 기준을 정하기 위한 데이터의 정의 방법이 없어 효과적으로 보안관제 모니터링이 어려운 문제점 있다.
대한민국 공개특허공보 제10-2009-0001609호(2001.01.09)
상술한 문제점들을 해결하기 위해, 본 발명은 보안탐지시스템 로그와 방화벽 페이로드 데이터를 연계 알고리즘을 적용하고 빅데이터 시스템을 활용하여 위험판단정보와 시각정보를 제공함으로써 실시간으로 침해대응을 통하여 보안관제업무의 효율성을 향상시킬 수 있는 사이버 보안관제의 실시간 모니터링 시스템 및 방법을 제공하는데 목적이 있다.
상술한 목적을 달성하기 위한 본 발명에 따른 사이버 보안관제의 실시간 모니터링 방법은 (a) 로그 수집&가공부가 방화벽으로부터 탐지시간, 출발지, 목적지에 해당하는 로그정보와 또는 보안장비로부터 탐지시간, 출발지, 목적지, 탐지명에 해당하는 로그정보를 수신하는 단계; (b) 상기 로그 수집&가공부가 상기 (a)단계에서 수신한 로그정보를 그대로 저장하여 수집하는 단계; (c) 상기 로그 수집&가공부가 상기 로그정보를 가지고 분석가공하는 단계; 및 (d) 상기 로그 수집&가공부가 시각화 표시부를 통해 분석 가공된 위협정보를 시각화하여 표시하는 단계;를 포함하는 것을 특징으로 한다.
바람직하게 상술한 목적을 달성하기 위한 본 발명에 따른 사이버 보안관제의 실시간 모니터링 방법의 (c)단계는 (c-1) 상기 로그 수집&가공부가 수집한 로그정보가 방화벽 로그정보인지 판단하는 단계; (c-2) 상기 로그 수집&가공부가 상기 (c-1)단계에서 수집한 로그정보가 방화벽 로그정보인 경우 페이로드 DB를 생성하는 단계; (c-3) 상기 로그 수집&가공부가 상기 보안장비에 대한 보안장비 위협정보를 탐지하는 단계; (c-4) 상기 로그 수집&가공부가 탐지한 상기 보안장비 위협정보와 상기 페이로드 DB에 저장된 정보가 일치하는지 판단하는 단계; 및 (c-5) 상기 로그 수집&가공부가 상기 (c-4) 단계에서 보안장비 위협정보와 상기 페이로드 DB에 저장된 정보가 일치하는 경우 위협정보 DB를 생성하는 단계;를 포함하는 것을 특징으로 한다.
더욱 바람직하게 상술한 목적을 달성하기 위한 본 발명에 따른 사이버 보안관제의 실시간 모니터링 방법의 (c-2)단계는 (c-2-1) 상기 로그 수집&가공부가 상기 방화벽 로그정보를 정규화하는 단계; (c-2-2) 상기 로그 수집&가공부가 정규화된 방화벽 로그정보에서 실제 데이터 유출량인 페이로드(Payload)를 추출하는 단계; 및 (c-2-3) 상기 로그 수집&가공부가 추출한 페이로드(Payload)를 상기 탐지시간, 출발지, 목적지에 추가하여 페이로드 DB를 생성하는 단계;를 포함하는 것을 특징으로 하고, (c-5)단계는 (c-5-1) 상기 로그 수집&가공부가 보안장비 위협정보에 상기 페이로드 DB의 페이로드(Payload)를 부가하여 위협평가 DB를 생성하는 단계; (c-5-2) 상기 로그 수집&가공부가 부가한 페이로드 값을 기준으로 위험평가 등급을 분류하는 단계; 및 (c-5-3) 상기 로그 수집&가공부가 분류된 각 등급과 해당 등급과 대응되는 위협정보를 매칭시켜 저장하는 단계;를 포함하는 것을 특징으로 한다.
본 발명에 따른 사이버 보안관제의 실시간 모니터링 시스템 및 방법은 보안관제 모니터링시 위협정보의 위협수준이 단순 공격인지, 실제 피해가 있는지 여부를 평가할 수 있는 효과가 있고, 공격받은 시스템 또는 컴퓨터의 실시간 공격상황을 효과적으로 볼 수 있는 효과가 있다.
도 1은 본 발명에 따른 사이버 보안관제의 실시간 모니터링 시스템 블록도이다.
도 2는 본 발명에 따른 사이버 보안관제의 실시간 모니터링 시스템의 로그 수집&가공부에 의한 수집 보안로그 정의 및 양식을 도시한 도면이다.
도 3은 본 발명에 따른 사이버 보안관제의 실시간 모니터링 방법의 절차도면이다.
도 4는 본 발명에 따른 사이버 보안관제의 실시간 모니터링 시스템의 로그 수집&가공부에 의해 생성된 페이로드 및 위협 등급이 추가된 DB의 형태를 도시한 도면이다.
도 5는 본 발명에 다른 사이버 보안관제의 실시간 모니터링 방법의 분석가공단계의 플로우차트이다.
도 6은 본 발명에 다른 사이버 보안관제의 실시간 모니터링 방법의 페이로드 값에 따른 등급과 해당 등급에 따른 위협정보 및 시각화표시를 도시한 도면이다.
본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정하여 해석되어서는 아니 되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여, 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다.
따라서, 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가 장 바람직한 일 실시예에 불과할 뿐이고 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다.
이하 첨부된 도면을 참조하여 본 발명에 따른 사이버 보안관제의 실시간 모니터링 시스템 및 방법에 대해 설명한다.
본 발명에 따른 사이버 보안관제의 실시간 모니터링 시스템은 통신망(100) 방화벽(200), 로그 수집&가공부(300), 보안장비(400), 시각화 표시부(500), 및 운영 시스템(600)을 포함한다.
상기 통신망(100)은 컴퓨터와 같은 단말기기가 접속하여 외부 기기 또는 서버와 연결될 수 있도록 네트워크 환경을 제공 한다.
상기 방화벽(200)은 기업이나 조직의 모든 정보가 컴퓨터와 같은 단말기기에 저장되면서, 해당 단말기의 정보 보안을 위해 외부에서 내부 내부에서 외부의 정보통신망에 불법으로 접근하는 것을 차단하는 구성이다.
즉, 상기 방화벽(200)은 사내외 망간 분리를 통하여 보안규칙에 기반한 네트워크 트랙픽을 모니터링하고 제어한다.
상기 로그 수집&가공부(300)는 보안장비의 경우 침입탐지차단시스템, 웹방화벽, 지능형 공격 탐지 시스템, 웹셀 탐지시스템, 백신관리시스템 등이 해당할 수 있다.
한편, 상기 로그 수집&가공부(300)가 수집하는 수집정보는 시간, 탐지명, 출발지 주소, 목적지 주소, 포트, 기타 장비에 따라 패킷 등 설비 특성에 맞는 정보에 해당한다.
상기 로그 수집&가공부(300)가 상기 방화벽(200), 침입 탐지부(400), 및 운영 시스템(600)로부터 수집하는 수집 보안로그 정의 및 양식은 도 2에 도시된 바와 같다.
상기 로그 수집&가공부(300)에 의해 수집된 보안장비에 대한 이벤트 로그는 상기 방화벽의 IP 주소와 매치하여 페이로드 데이터를 추가하여 빅데이터 시스템에 저장하고 페이로드량과 보안로그와의 상관관계를 정의하며, 위험도 및 시각화 정보를 데이터베이스화하여 저장한다.
참고로, 상기 페이로드는 컴퓨터 보안에서 멀웨어의 일부를 뜻하고, 웜, 바이러스, 트로이목마 같은 해로운 소프트웨어를 분석할 때 그 소프트웨어가 주는 피해를 뜻한다.
즉, 상기 페이로드는 방화벽에 실시간으로 기록되는 출발지IP와 목적지 IP간 통신데이터량을 의미한다.
예를 들어 페이로드에는 데이터 훼손, 스팸메일, 개인정보를 알아내기 위해 다수에게 보내는 이메일 등이 있다. 즉 페이로드는 전송 행위의 본래 의도를 뜻한다.
상기 보안장비(400)는 상기 방화벽(200)과 상기 운영 시스템(600) 사이에 배치되어 탐지시간, 출발지, 목적지 탐지, 탐지명에 해당하는 로그정보를 상기 로그 수집&가공부(300)에 제공한다.
상기 시각화 표시부(500)는 상기 로그 수집&가공부(300)가 상기 방화벽(200)과 보안장비들로부터 수집한 로그정보를 가지고 가공하여 생성한 위협정보를 시각화하여 표시한다.
상기 운영 시스템(600)은 상기 인터넷(100)의 네트워크 신호가 상기 방화벽(200)과 보안장비(400)를 거쳐 최종적으로 전달되는 사내 시스템 등이 해당된다.
상술한 바와 같은 구성을 갖는 사이버 보안관제의 실시간 모니터링 시스템에 의한 모니터링 방법은 다음과 같다.
상기 로그 수집&가공부(300)는 상기 방화벽(200)으로부터 탐지시간, 출발지, 목적지에 해당하는 방화벽 데이터를 수신하거나 또는 보안장비(400)로부터, 탐지시간, 출발지, 목적지 탐지, 탐지명, 제조사 제공 위험등급, 페이로드 정보에 해당하는 로그정보를 수신하는 단계를 수행한다(S100).
상기 로그 수집&가공부(300)는 상기 S100단계에서 수신한 로그정보를 그대로 저장하는 단계를 수행한다(S200).
다음으로, 상기 로그 수집&가공부(300)는 수집되어 저장된 상기 로그정보를 가지고 분석가공하는 단계를 수행한다(S300).
즉, 상기 로그 수집&가공부(300)는 상기 S300 단계에서 방화벽 가공 페이로드 DB와 보안장비 로그와 출발지 목적지가 같을 경우 페이로드 값을 추가하여 분석한 정보로 로그가공 DB를 생성한다.
즉, 상기 로그 수집&가공부(300)는 도 4(a)에 도시된 바와 같이 방화벽 페이로드 값을 추가하여 방화벽 DB를 생성하고, 해당 생성된 방화벽 DB, 보안장비 탐지로그 및 페이로드 값을 비교하여 로그가공DB를 생성한다.
상기 로그 수집&가공부(300)가 생성한 로그가공 DB의 형태는 상기 보안장비 로그 그 출발지 목적지, 시간 정보와 생성 방화벽 DB의 페이로드 값을 비교하여 위협등급을 도 4(b)에 도시된 바와 같이 5단계로 표현한 정보이다.
도 5를 참조하여 로그 수집&가공부(300)가 로그정보를 가지고 분석가공하는 단계에 대해 좀더 구체적으로 설명한다.
상기 로그 수집&가공부(300)는 수집한 보안로그 수집데이터가 방화벽 로그인지 판단하는 단계를 수행한다(310).
상기 S310단계에서 수집데이터가 방화벽 로그인 경우, 상기 로그 수집&가공부(300)는 페이로드 DB를 생성하는 단계를 수행한다(S320).
상기 페이로드 DB를 생성하는 단계는 상기 로그 수집&가공부(300)가 상기 방화벽 로그 데이터를 정규화하는 단계(S321)를 수행하고, 정규화된 방화벽 로그 데이터에서 출발지, 목적지, 페이로드(Payload)를 추출하는 단계(322) 수행 후, 페이로드 DB에 저장하여 페이로드 DB를 생성하는 단계(323)를 수행한다.
상기 S310단계에서 수집데이터가 방화벽 로그가 아닌 경우 상기 로그 수집&가공부(300)는 보안장비 위협정보를 탐지하는 단계를 수행한다(S330).
다음으로, 상기 로그 수집&가공부(300)는 보안장비 위협정보와 상기 페이로드 DB에 저장된 정보가 일치하는지 판단하는 단계를 수행한다(S340).
상기 S340 단계에서 보안장비 위협정보와 상기 페이로드 DB에 저장된 정보가 일치하는 경우 위협정보 DB를 생성하는 단계를 수행한다(S350).
상기 로그 수집&가공부(300)는 도 6(a)에 도시된 바와 같이 방화벽 탐지정보에 페이로드(Payload)를 부가하여 위협평가 DB를 생성하는 단계를 수행한다(S351).
이후, 상기 로그 수집&가공부(300)는 도 6(b)에 도시된 바와 같이 부가한 페이로드 값을 기준으로 위험평가 등급을 분류하는 단계를 수행한다(S352).
예를 들어, 도 6(b)에 도시된 바와 같이 상기 로그 수집&가공부(300)는 페이로드 값이 0이면 1등급, 0<페이로드 값<10이면 2등급, 10<페이로드 값<100이면 3등급, 100<페이로드 값<500이면 4등급, 페이로드 값이 500 이상이면, 위험평가 등급을 5등급으로 분류한다.
한편, 상기 로그 수집&가공부(300)는 분류된 각 등급과 해당 등급과 대응되는 위협정보를 매칭시켜 저장하는 단계(S353)를 포함하여 위협정보 DB를 생성하게 된다.
즉, 상기 로그 수집&가공부(300)는 상기 1등급을 보안장비가 공격명으로 탐지 정보에 실제 데이터 유출량이 전혀 없을 경우, 상기 2등급을 단순 질의에 의한 응답으로 판단되는 경우, 상기 3등급을 외부에서 질의 응답 데이터가 일부 있다고 판단되는 경우, 상기 4등급을 외부에서 질의 응답 데이터량 자료 유출이 상당히 의심되는 경우, 상기 5등급을 실제 서버의 주요 정보가 유출로 의심되는 경우로 대응되게 평가하여 저장함으로써 위협정보 DB를 생성하게 된다.
이후, 상기 로그 수집&가공부(300)는 위협정보 대상을 확인한 경우 상기 시각화 표시부(500)를 통해 상기 위협정보 DB를 출력하여, 아래와 같이 상기 시각화 표시부(500)가 도 6(c)에 도시된 바와 같이 위협정보 화면을 통해 표시하는 단계(S400)를 수행할 수 있도록 제공한다.
상기 로그 수집&가공부(300)는 위협정보 대상을 확인하지 못한 경우 위협 정보를 출력하지 않고 보안로그 실시간 모니터링을 종료한다.
상기 시각화 표시부(500)는 상기 로그 수집&가공부(300)가 생성한 로그가공 DB를 실시간 저장과 동시에 실시간 비교 정보를 화면에 가공된 위협정보 시각화 정보를 표시하는 단계를 수행한다(S400).
즉, 상기 시각화 표시부(500)는 도 6(c)의 상부에 도시된 바와 같이 관제 요원이 위험도를 확인하여 추가 보안조치를 취할 수 있도록 단순나열식으로 화면에 위험도를 표시하거나, 도 6(c)의 하부에 도시된 바와 같이 원으로 구성하여 대상이 운영 시스템(사내 시스템)으로 개별IP 단위로 표시하거나 대상 공간으로 표시하여 페이로드 데이터량에 따라 내부 피해여부를 알수 있도록 표시한다.
이상에서는 본 발명에 대한 기술사상을 첨부 도면과 함께 서술하였지만 이는 본 발명의 바람직한 실시 예를 예시적으로 설명한 것이지 본 발명을 한정하는 것은 아니다. 또한 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구나 본 발명의 기술적 사상의 범주를 이탈하지 않는 범위 내에서 다양한 변형 및 모방이 가능함은 명백한 사실이다.
100 : 통신망
200 : 방화벽
300 : 로그 수집&가공부
400 : 보안장비
500 : 시각화 표시부
600 : 운영 시스템

Claims (5)

  1. (a) 로그 수집&가공부가 방화벽으로부터 탐지시간, 출발지, 목적지에 해당하는 로그정보와 또는 보안장비로부터 탐지시간, 출발지, 목적지, 탐지명에 해당하는 로그정보를 수신하는 단계;
    (b) 상기 로그 수집&가공부가 상기 (a)단계에서 수신한 로그정보를 그대로 저장하여 수집하는 단계;
    (c) 상기 로그 수집&가공부가 상기 로그정보를 가지고 분석가공하는 단계; 및
    (d) 상기 로그 수집&가공부가 시각화 표시부를 통해 분석 가공된 위협정보를 시각화하여 표시하는 단계;를 포함하는 것을 특징으로 하는 사이버 보안관제의 실시간 모니터링 방법.
  2. 제 1항에 있어서,
    상기 (c)단계는
    (c-1) 상기 로그 수집&가공부가 수집한 로그정보가 방화벽 로그정보인지 판단하는 단계;
    (c-2) 상기 로그 수집&가공부가 상기 (c-1)단계에서 수집한 로그정보가 방화벽 로그정보인 경우 페이로드 DB를 생성하는 단계;
    (c-3) 상기 로그 수집&가공부가 상기 보안장비에 대한 보안장비 위협정보를 탐지하는 단계;
    (c-4) 상기 로그 수집&가공부가 탐지한 상기 보안장비 위협정보와 상기 페이로드 DB에 저장된 정보가 일치하는지 판단하는 단계; 및
    (c-5) 상기 로그 수집&가공부가 상기 (c-4) 단계에서 보안장비 위협정보와 상기 페이로드 DB에 저장된 정보가 일치하는 경우 위협정보 DB를 생성하는 단계;를 포함하는 것을 특징으로 하는 사이버 보안관제의 실시간 모니터링 방법.
  3. 제 2항에 있어서,
    상기 (c-2)단계는
    (c-2-1) 상기 로그 수집&가공부가 상기 방화벽 로그정보를 정규화하는 단계;
    (c-2-2) 상기 로그 수집&가공부가 정규화된 방화벽 로그정보에서 실제 데이터 유출량인 페이로드(Payload)를 추출하는 단계; 및
    (c-2-3) 상기 로그 수집&가공부가 추출한 페이로드(Payload)를 상기 탐지시간, 출발지, 목적지에 추가하여 페이로드 DB를 생성하는 단계;를 포함하는 것을 특징으로 한다.
  4. 제 2항에 있어서,
    상기 (c-5)단계는
    (c-5-1) 상기 로그 수집&가공부가 보안장비 위협정보에 상기 페이로드 DB의 페이로드(Payload)를 부가하여 위협평가 DB를 생성하는 단계;
    (c-5-2) 상기 로그 수집&가공부가 부가한 페이로드 값을 기준으로 위험평가 등급을 분류하는 단계; 및
    (c-5-3) 상기 로그 수집&가공부가 분류된 각 등급과 해당 등급과 대응되는 위협정보를 매칭시켜 저장하는 단계;를 포함하는 것을 특징으로 하는 사이버 보안관제의 실시간 모니터링 방법.
  5. 제 4항 있어서,
    상기 (c-5-2)에서
    상기 로그 수집&가공부는
    페이로드 값이 0이면 1등급, 0<페이로드 값<10이면 2등급, 10<페이로드 값<100이면 3등급, 100<페이로드 값<500이면 4등급, 페이로드 값이 500 이상이면, 위험평가 등급을 5등급으로 분류하는 것을 특징으로 하는 사이버 보안관제의 실시간 모니터링 방법.
KR1020190147124A 2019-11-15 2019-11-15 사이버 보안관제의 실시간 모니터링 시스템 및 방법 KR102295947B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190147124A KR102295947B1 (ko) 2019-11-15 2019-11-15 사이버 보안관제의 실시간 모니터링 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190147124A KR102295947B1 (ko) 2019-11-15 2019-11-15 사이버 보안관제의 실시간 모니터링 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20210059542A true KR20210059542A (ko) 2021-05-25
KR102295947B1 KR102295947B1 (ko) 2021-08-30

Family

ID=76145784

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190147124A KR102295947B1 (ko) 2019-11-15 2019-11-15 사이버 보안관제의 실시간 모니터링 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR102295947B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090001609A (ko) 2006-11-13 2009-01-09 한국전자통신연구원 사이버위협 예보 시스템 및 방법
KR20110009811A (ko) * 2009-07-23 2011-01-31 충남대학교산학협력단 감사자료 기반의 웹공격 이벤트 추출 시스템 및 방법
KR101180092B1 (ko) * 2012-03-05 2012-09-05 워치아이시스템주식회사 보안이벤트 분석방법 및 분석시스템, 그 기록매체
US20160014146A1 (en) * 2013-02-21 2016-01-14 Nippon Telegraph And Telephone Corporation Network monitoring apparatus, network monitoring method, and network monitoring program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090001609A (ko) 2006-11-13 2009-01-09 한국전자통신연구원 사이버위협 예보 시스템 및 방법
KR20110009811A (ko) * 2009-07-23 2011-01-31 충남대학교산학협력단 감사자료 기반의 웹공격 이벤트 추출 시스템 및 방법
KR101180092B1 (ko) * 2012-03-05 2012-09-05 워치아이시스템주식회사 보안이벤트 분석방법 및 분석시스템, 그 기록매체
US20160014146A1 (en) * 2013-02-21 2016-01-14 Nippon Telegraph And Telephone Corporation Network monitoring apparatus, network monitoring method, and network monitoring program

Also Published As

Publication number Publication date
KR102295947B1 (ko) 2021-08-30

Similar Documents

Publication Publication Date Title
CN104509034B (zh) 模式合并以识别恶意行为
Hoque et al. An implementation of intrusion detection system using genetic algorithm
CN106534195B (zh) 一种基于攻击图的网络攻击者行为分析方法
US9386036B2 (en) Method for detecting and preventing a DDoS attack using cloud computing, and server
EP2953298B1 (en) Log analysis device, information processing method and program
Modi et al. A novel framework for intrusion detection in cloud
CN103281177B (zh) 对Internet信息系统恶意攻击的检测方法及系统
CN104811447B (zh) 一种基于攻击关联的安全检测方法和系统
CN107070929A (zh) 一种工控网络蜜罐系统
CN108289088A (zh) 基于业务模型的异常流量检测系统及方法
CN111786950A (zh) 基于态势感知的网络安全监控方法、装置、设备及介质
CN106131023A (zh) 一种信息安全风险强力识别系统
CN108369542A (zh) 用于检测横向运动和数据泄漏的系统和方法
KR101113615B1 (ko) 네트워크 위험도 종합 분석 시스템 및 그 방법
KR20210109292A (ko) 다기능 측정기를 통해 산업현장 설비 관리하는 빅데이터 서버 시스템
CN104486320B (zh) 基于蜜网技术的内网敏感信息泄露取证系统及方法
CN113992386A (zh) 一种防御能力的评估方法、装置、存储介质及电子设备
KR20080079767A (ko) 대형 네트워크에서 실시간 사이버 침입에 대한 이벤트유형의 정형화 시스템 및 방법
CN117478433B (zh) 一种网络与信息安全动态预警系统
KR20150091713A (ko) 공격특성 dna 분석 장치 및 그 방법
CN113489703A (zh) 一种安全防护系统
KR102295947B1 (ko) 사이버 보안관제의 실시간 모니터링 시스템 및 방법
KR100772177B1 (ko) 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치
US20230156019A1 (en) Method and system for scoring severity of cyber attacks
KR101137694B1 (ko) 디도스 발생 탐지분석 및 표시를 위한 통합보안관리시스템 및 이에 의한 디도스 발생탐지분석 및 표시방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant