KR20230095351A - Apparatus, method and computer program for scheduling security event - Google Patents

Apparatus, method and computer program for scheduling security event Download PDF

Info

Publication number
KR20230095351A
KR20230095351A KR1020210184739A KR20210184739A KR20230095351A KR 20230095351 A KR20230095351 A KR 20230095351A KR 1020210184739 A KR1020210184739 A KR 1020210184739A KR 20210184739 A KR20210184739 A KR 20210184739A KR 20230095351 A KR20230095351 A KR 20230095351A
Authority
KR
South Korea
Prior art keywords
security
scheduling
security events
risk score
event
Prior art date
Application number
KR1020210184739A
Other languages
Korean (ko)
Inventor
김점구
Original Assignee
남서울대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 남서울대학교 산학협력단 filed Critical 남서울대학교 산학협력단
Priority to KR1020210184739A priority Critical patent/KR20230095351A/en
Publication of KR20230095351A publication Critical patent/KR20230095351A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

A device for scheduling a security event comprises: a detection unit that detects a plurality of security events occurring in a detection target network through monitoring; a risk score deriving unit that derives a risk score for each of the plurality of detected security events; and a scheduling unit that schedules a processing order of the plurality of security events by using either one of a static priority method or a dynamic priority method based on the derived risk score.

Description

보안 이벤트를 스케줄링하는 장치, 방법 및 컴퓨터 프로그램{APPARATUS, METHOD AND COMPUTER PROGRAM FOR SCHEDULING SECURITY EVENT}Device, method and computer program for scheduling security events {APPARATUS, METHOD AND COMPUTER PROGRAM FOR SCHEDULING SECURITY EVENT}

본 발명은 보안 이벤트를 스케줄링하는 장치, 방법 및 컴퓨터 프로그램에 관한 것이다.The present invention relates to an apparatus, method and computer program for scheduling security events.

최근 네트워크에 대한 공격이 다양한 방식으로 발생하고 있으며, 새로운 형태의 정교하고 복잡한 공격들이 등장하고 있다. 네트워크가 공격을 받음에 따라 네트워크의 구성이 파괴되거나, 정상적인 동작이 지연 또는 방해되거나, 정보가 유출되는 등 네트워크 사용자가 의도하지 않은 피해가 발생하고 있다. Recently, attacks on networks occur in various ways, and new types of sophisticated and complex attacks are emerging. As the network is attacked, network users may experience damage unintentionally, such as destruction of the network configuration, delay or interruption of normal operations, and leakage of information.

특히, 공공기관이나 기업의 네트워크를 타켓으로 하는 공격의 발생 빈도가 점차 증가하고 있으며, 이로 인한 시간적, 경제적 피해의 규모도 증가하고 있다.In particular, the frequency of attacks targeting networks of public institutions or companies is gradually increasing, and the scale of time and economic damage is also increasing.

종래의 통합보안관리 시스템(Enterprise Security Management, ESM)은 여러 보안 장비로부터 보안 이벤트를 수집하고 수집한 정보를 관리자에게 단순히 제공할 뿐, 각 네트워크의 구성과 상황에 따른 보안 이벤트의 위험성을 개별적으로 고려하지 못하였다.The conventional integrated security management system (Enterprise Security Management, ESM) collects security events from various security devices and simply provides the collected information to the administrator, and considers the risk of security events individually according to each network configuration and situation. Couldn't.

따라서, 여러 보안 이벤트가 동시 다발적으로 발생하는 경우에 효과적으로 대응할 수 있도록 하는 우선순위 알고리즘을 구현하고 이를 활용하는 보안 이벤트 스케줄러의 개발이 필요하였다.Therefore, it was necessary to develop a security event scheduler that implements a priority algorithm that can effectively respond to the case where multiple security events occur simultaneously and utilizes it.

일본공개특허공보 제 2021-034807호 (2021.03.01. 공개)Japanese Unexamined Patent Publication No. 2021-034807 (published on March 1, 2021)

본 발명은 전술한 종래 기술의 문제점을 해결하기 위한 것으로서, 모니터링을 통해 탐지 대상 네트워크에 발생하는 복수의 보안 이벤트를 탐지하고, 탐지된 복수의 보안 이벤트 각각에 대한 위험 점수를 도출하고, 도출된 위험 점수에 기초하여 정적 우선순위 방법 및 동적 우선순위 방법 중 어느 하나를 이용하여 복수의 보안 이벤트의 처리 순서를 스케줄링하고자 한다.The present invention is to solve the problems of the prior art described above, and detects a plurality of security events occurring in a detection target network through monitoring, derives a risk score for each of the plurality of detected security events, and derives a risk score. It is intended to schedule the processing order of a plurality of security events using either a static priority method or a dynamic priority method based on scores.

보안 이벤트의 위험 정도에 따라 능동적으로 대응하고 복수의 보안 이벤트를 효율적으로 처리할 수 있는 보안 이벤트 스케줄링 장치, 방법 및 컴퓨터 프로그램을 제공하고자 한다.An object of the present invention is to provide a security event scheduling device, method, and computer program capable of actively responding to the risk level of a security event and efficiently processing a plurality of security events.

다만, 본 실시예가 이루고자 하는 기술적 과제는 상기된 바와 같은 기술적 과제들로 한정되지 않으며, 또 다른 기술적 과제들이 존재할 수 있다.However, the technical problem to be achieved by the present embodiment is not limited to the technical problems described above, and other technical problems may exist.

상술한 기술적 과제를 달성하기 위한 수단으로서, 본 발명의 일 실시예는, 보안 이벤트를 스케줄링하는 장치에 있어서, 모니터링을 통해 탐지 대상 네트워크에 발생하는 복수의 보안 이벤트를 탐지하는 탐지부, 상기 탐지된 복수의 보안 이벤트 각각에 대한 위험 점수를 도출하는 위험 점수 도출부 및 상기 도출된 위험 점수에 기초하여 정적 우선순위 방법 및 동적 우선순위 방법 중 어느 하나를 이용하여 상기 복수의 보안 이벤트의 처리 순서를 스케줄링하는 스케줄링부를 포함할 수 있다.As a means for achieving the above-mentioned technical problem, an embodiment of the present invention, in an apparatus for scheduling security events, a detection unit for detecting a plurality of security events occurring in a detection target network through monitoring, the detected Scheduling the processing order of the plurality of security events using a risk score derivation unit for deriving a risk score for each of a plurality of security events, and using any one of a static priority method and a dynamic priority method based on the derived risk score It may include a scheduling unit that does.

일 실시예에서, 상기 탐지부는 상기 복수의 보안 이벤트를 네트워크 유형, 호스트 유형 및 웹 이벤트 유형 중 어느 하나로 분류할 수 있다.In one embodiment, the detection unit may classify the plurality of security events as one of a network type, a host type, and a web event type.

일 실시예에서, 상기 탐지부는 상기 복수의 보안 이벤트의 정보를 각 유형별로 프로파일화하고, 새로운 보안 이벤트가 발생하는 경우 상기 프로파일화된 정보에 기초하여 침입 행위에 해당하는지 여부를 판단할 수 있다.In one embodiment, the detection unit may profile the information of the plurality of security events for each type, and when a new security event occurs, determine whether it corresponds to an intrusion based on the profiled information.

일 실시예에서, 상기 위험 점수 도출부는 CVE 분석 및 CVSS 분석을 이용하여 상기 위험 점수를 도출할 수 있다.In one embodiment, the risk score derivation unit may derive the risk score using CVE analysis and CVSS analysis.

일 실시예에서, 상기 위험 점수 도출부는 기본 메트릭 그룹, 임시 메트릭 그룹 및 환경 메트릭 그룹에 기초하여 보안 이벤트의 위험성을 판단함으로써 상기 CVSS 분석을 수행할 수 있다.In an embodiment, the risk score derivation unit may perform the CVSS analysis by determining the risk of a security event based on a basic metric group, a temporary metric group, and an environmental metric group.

일 실시예에서, 상기 스케줄링부는 컴파일시에 상기 복수의 보안 이벤트의 우선순위를 결정하는 상기 정적 우선순위 방법에 기초하여 상기 처리 순서를 스케줄링할 수 있다.In one embodiment, the scheduling unit may schedule the processing sequence based on the static prioritization method for determining priorities of the plurality of security events at compile time.

일 실시예에서, 상기 스케줄링부는 응용프로그램의 실행 중에 상기 복수의 보안 이벤트의 우선순위를 변경하는 상기 동적 우선순위 방법에 기초하여 상기 처리 순서를 스케줄링할 수 있다.In an embodiment, the scheduling unit may schedule the processing sequence based on the dynamic priority method of changing priorities of the plurality of security events while an application program is running.

본 발명의 다른 실시예는, 보안 이벤트를 스케줄링하는 방법에 있어서, 모니터링을 통해 탐지 대상 네트워크에 발생하는 복수의 보안 이벤트를 탐지하는 단계, 상기 탐지된 복수의 보안 이벤트 각각에 대한 위험 점수를 도출하는 단계 및 상기 도출된 위험 점수에 기초하여 정적 우선순위 방법 및 동적 우선순위 방법 중 어느 하나를 이용하여 상기 복수의 보안 이벤트의 처리 순서를 스케줄링하는 단계를 포함할 수 있다.Another embodiment of the present invention is a method for scheduling security events, comprising: detecting a plurality of security events occurring in a detection target network through monitoring; and deriving a risk score for each of the plurality of detected security events. and scheduling a processing sequence of the plurality of security events using one of a static priority method and a dynamic priority method based on the derived risk score.

본 발명의 또 다른 실시예는, 보안 이벤트를 스케줄링하는 명령어들의 시퀀스를 포함하는 컴퓨터 판독가능 기록매체에 저장된 컴퓨터 프로그램에 있어서, 상기 컴퓨터 프로그램은 컴퓨팅 장치에 의해 실행될 경우, 모니터링을 통해 탐지 대상 네트워크에 발생하는 복수의 보안 이벤트를 탐지하고, 상기 탐지된 복수의 보안 이벤트 각각에 대한 위험 점수를 도출하고, 상기 도출된 위험 점수에 기초하여 정적 우선순위 방법 및 동적 우선순위 방법 중 어느 하나를 이용하여 상기 복수의 보안 이벤트의 처리 순서를 스케줄링하도록 하는 명령어들의 시퀀스를 포함할 수 있다.Another embodiment of the present invention is a computer program stored in a computer readable recording medium including a sequence of instructions for scheduling a security event, wherein the computer program, when executed by a computing device, detects a target network through monitoring. A plurality of security events that occur are detected, a risk score is derived for each of the plurality of detected security events, and a static priority method or a dynamic priority method is used based on the derived risk score. It may include a sequence of instructions to schedule the processing order of a plurality of security events.

상술한 과제 해결 수단은 단지 예시적인 것으로서, 본 발명을 제한하려는 의도로 해석되지 않아야 한다. 상술한 예시적인 실시예 외에도, 도면 및 발명의 상세한 설명에 기재된 추가적인 실시예가 존재할 수 있다.The above-described means for solving the problems is only illustrative and should not be construed as limiting the present invention. In addition to the exemplary embodiments described above, there may be additional embodiments described in the drawings and detailed description.

전술한 본 발명의 과제 해결 수단 중 어느 하나에 의하면, 본 발명은 모니터링을 통해 탐지 대상 네트워크에 발생하는 복수의 보안 이벤트를 탐지하고, 탐지된 복수의 보안 이벤트 각각에 대한 위험 점수를 도출하고, 도출된 위험 점수에 기초하여 정적 우선순위 방법 및 동적 우선순위 방법 중 어느 하나를 이용하여 복수의 보안 이벤트의 처리 순서를 스케줄링할 수 있다.According to any one of the above-described problem solving means of the present invention, the present invention detects a plurality of security events occurring in the detection target network through monitoring, derives a risk score for each of the plurality of detected security events, and derives Based on the determined risk score, a processing sequence of a plurality of security events may be scheduled using any one of a static priority method and a dynamic priority method.

보안 이벤트의 위험 정도에 따라 능동적으로 대응하고 복수의 보안 이벤트를 효율적으로 처리할 수 있다.It can actively respond according to the degree of risk of security events and efficiently process multiple security events.

도 1은 본 발명의 일 실시예에 따른 보안 이벤트 스케줄링 장치의 구성도이다.
도 2는 CVSS 분석을 설명하기 위한 도면이다.
도 3은 본 발명의 일 실시예에 따라 보안 이벤트를 스케줄링하는 방법을 설명하기 위한 예시적인 도면이다.
도 4는 본 발명의 일 실시예에 따른 보안 이벤트 스케줄링 방법의 순서도이다.1 is a block diagram of a security event scheduling device according to an embodiment of the present invention.
2 is a diagram for explaining CVSS analysis.
3 is an exemplary diagram for explaining a method of scheduling a security event according to an embodiment of the present invention.
4 is a flowchart of a security event scheduling method according to an embodiment of the present invention.

아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, embodiments of the present invention will be described in detail so that those skilled in the art can easily practice the present invention with reference to the accompanying drawings. However, the present invention may be embodied in many different forms and is not limited to the embodiments described herein. And in order to clearly explain the present invention in the drawings, parts irrelevant to the description are omitted, and similar reference numerals are attached to similar parts throughout the specification.

명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미하며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Throughout the specification, when a part is said to be "connected" to another part, this includes not only the case where it is "directly connected" but also the case where it is "electrically connected" with another element interposed therebetween. . In addition, when a part "includes" a certain component, this means that it may further include other components, not excluding other components, unless otherwise stated, and one or more other characteristics. However, it should be understood that it does not preclude the possibility of existence or addition of numbers, steps, operations, components, parts, or combinations thereof.

본 명세서에 있어서 '부(部)'란, 하드웨어에 의해 실현되는 유닛(unit), 소프트웨어에 의해 실현되는 유닛, 양방을 이용하여 실현되는 유닛을 포함한다. 또한, 1 개의 유닛이 2 개 이상의 하드웨어를 이용하여 실현되어도 되고, 2 개 이상의 유닛이 1 개의 하드웨어에 의해 실현되어도 된다. 한편, '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니며, '~부'는 어드레싱 할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 작업 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.In this specification, a "unit" includes a unit realized by hardware, a unit realized by software, and a unit realized using both. Further, one unit may be realized using two or more hardware, and two or more units may be realized by one hardware. On the other hand, '~ unit' is not limited to software or hardware, and '~ unit' may be configured to be in an addressable storage medium or configured to reproduce one or more processors. Therefore, as an example, '~unit' refers to components such as software components, object-oriented software components, class components, and task components, processes, functions, properties, and procedures. , subroutines, segments of program code, drivers, firmware, microcode, circuitry, data, databases, data structures, tables, arrays and variables. Functions provided within components and '~units' may be combined into smaller numbers of components and '~units' or further separated into additional components and '~units'. In addition, components and '~units' may be implemented to play one or more CPUs in a device or a secure multimedia card.

이하에서 언급되는 "네트워크"는 단말들 및 서버들과 같은 각각의 노드 상호 간에 정보 교환이 가능한 연결 구조를 의미하는 것으로, 근거리 통신망(LAN: Local Area Network), 광역 통신망(WAN: Wide Area Network), 인터넷 (WWW: World Wide Web), 유무선 데이터 통신망, 전화망, 유무선 텔레비전 통신망 등을 포함한다. 무선 데이터 통신망의 일례에는 3G, 4G, 5G, 3GPP(3rd Generation Partnership Project), LTE(Long Term Evolution), WIMAX(World Interoperability for Microwave Access), 와이파이(Wi-Fi), 블루투스 통신, 적외선 통신, 초음파 통신, 가시광 통신(VLC: Visible Light Communication), 라이파이(LiFi) 등이 포함되나 이에 한정되지는 않는다.The "network" referred to below refers to a connection structure capable of exchanging information between nodes such as terminals and servers, such as a local area network (LAN) and a wide area network (WAN). , the Internet (WWW: World Wide Web), wired and wireless data communications networks, telephone networks, and wired and wireless television communications networks. Examples of wireless data communication networks include 3G, 4G, 5G, 3rd Generation Partnership Project (3GPP), Long Term Evolution (LTE), World Interoperability for Microwave Access (WIMAX), Wi-Fi, Bluetooth communication, infrared communication, ultrasonic communication, visible light communication (VLC: Visible Light Communication), LiFi, and the like, but are not limited thereto.

본 명세서에 있어서 단말 또는 디바이스가 수행하는 것으로 기술된 동작이나 기능 중 일부는 해당 단말 또는 디바이스와 연결된 서버에서 대신 수행될 수도 있다. 이와 마찬가지로, 서버가 수행하는 것으로 기술된 동작이나 기능 중 일부도 해당 서버와 연결된 단말 또는 디바이스에서 수행될 수도 있다.In this specification, some of the operations or functions described as being performed by a terminal or device may be performed instead by a server connected to the terminal or device. Likewise, some of the operations or functions described as being performed by the server may also be performed in a terminal or device connected to the corresponding server.

이하 첨부된 도면을 참고하여 본 발명의 일 실시예를 상세히 설명하기로 한다.Hereinafter, an embodiment of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일 실시예에 따른 보안 이벤트 스케줄링 장치의 구성도이다. 도 1을 참조하면, 보안 이벤트 스케줄링 장치(100)는 탐지부(110), 위험 점수 도출부(120) 및 스케줄링부(130)를 포함할 수 있다.1 is a block diagram of a security event scheduling device according to an embodiment of the present invention. Referring to FIG. 1 , a security event scheduling device 100 may include a detection unit 110 , a risk score derivation unit 120 and a scheduling unit 130 .

보안 이벤트 스케줄링 장치(100)는 예를 들어, 보안 이벤트의 위험성을 고려하여 보안 이벤트에 능동적으로 대응하는 방법을 제공할 수 있다. 또한, 보안 이벤트 스케줄링 장치(100)는 복수의 보안 이벤트를 처리하는 순서를 우선순위 알고리즘에 따라 스케줄링함으로써 보안 이벤트를 효율적으로 처리할 수 있다.For example, the security event scheduling apparatus 100 may provide a method of actively responding to a security event by considering the risk of the security event. Also, the security event scheduling apparatus 100 can efficiently process security events by scheduling the order of processing a plurality of security events according to a priority algorithm.

탐지부(110)는 모니터링을 통해 탐지 대상 네트워크에 발생하는 복수의 보안 이벤트를 탐지할 수 있다.The detection unit 110 may detect a plurality of security events occurring in the detection target network through monitoring.

탐지부(110)는 탐지 대상 네트워크에 발생하는 복수의 보안 이벤트를 정규화할 수 있다. 예를 들어, 탐지부(110)는 복수의 보안 이벤트를 네트워크 유형, 호스트 유형 및 웹 이벤트 유형 중 어느 하나로 분류할 수 있다.The detection unit 110 may normalize a plurality of security events occurring in the detection target network. For example, the detection unit 110 may classify a plurality of security events into one of a network type, a host type, and a web event type.

네트워크 유형의 보안 이벤트는 예를 들어, 침입 차단 시스템, 침입 탐지 시스템 또는 안티 바이러스 제품에 대하여 발생할 수 있다.Network-type security events can occur, for example, against intrusion prevention systems, intrusion detection systems, or anti-virus products.

침입 차단 시스템에 대해 발생한 보안 이벤트의 내용은 발생시간, 발생장비, 근원지 IP, 근원지 포트, 목적지 IP, 목적지 포트, 프로토콜, 이벤트종류(Accept, Drop, Reject, Error, Close 등), 중요도, 제품명, 발생횟수에 관한 정보를 포함할 수 있다.The contents of the security event that occurred for the intrusion prevention system include time of occurrence, device, source IP, source port, destination IP, destination port, protocol, event type (Accept, Drop, Reject, Error, Close, etc.), importance, product name, Information about the number of occurrences may be included.

침입 탐지 시스템에 대해 발생한 보안 이벤트의 내용은 발생시간, 발생장비, 근원지 IP, 근원지 포트, 목적지 IP, 목적지 포트, 프로토콜, 위험도, 공격종류, 공격명, 패킷의 크기, 제품명, 조치내역, CVE 코드값, 발생횟수에 관한 정보를 포함할 수 있다.The contents of the security event that occurred for the intrusion detection system are time of occurrence, device, source IP, source port, destination IP, destination port, protocol, risk level, attack type, attack name, packet size, product name, action details, and CVE code. It can include information about the value and the number of occurrences.

안티 바이러스 제품에 대해 발생한 보안 이벤트의 내용은 발생시간, 발생장비, 근원지 IP, 목적지 IP, 검사한 파일, 검사한 파일 위치, 바이러스명, 조치결과, 제품명에 관한 정보를 포함할 수 있다.The contents of the security event generated for the anti-virus product may include information about occurrence time, generating device, source IP, destination IP, scanned file, scanned file location, virus name, action result, and product name.

호스트 유형의 보안 이벤트는 예를 들어, 메일 보안 시스템, 서버 보안 시스템 또는 문서 보안 시스템에 대하여 발생할 수 있다.Security events of the host type may occur, for example, against a mail security system, a server security system, or a document security system.

메일 보안 시스템에 대해 발생한 보안 이벤트의 내용은 발생시간, 발생장비, 근원지 IP, 목적지 IP, 수신자 메일주소, 메일제목, 이벤트 처리내용 (Accept, Drop, Info 등), 첨부파일명, 제품명, 발생횟수에 관한 정보를 포함할 수 있다.The contents of the security event that occurred for the mail security system are the time of occurrence, the device that occurred, the source IP, the destination IP, the recipient's e-mail address, the e-mail subject, the contents of the event (Accept, Drop, Info, etc.), the attached file name, the product name, and the number of occurrences. information may be included.

서버 보안 시스템에 대해 발생한 보안 이벤트의 내용은 발생시간, 발생장비, 발생 이벤트 처리내용, 근원지 IP, 근원지 포트, 목적지 IP, 목적지 포트, 프로토콜, 패킷크기, 제품명, 이벤트 발생규칙, 발생횟수에 관한 정보를 포함할 수 있다.The content of the security event that occurred for the server security system is information about the occurrence time, occurrence device, occurrence event processing content, source IP, source port, destination IP, destination port, protocol, packet size, product name, event occurrence rule, and number of occurrences. can include

문서 보안 시스템에 대해 발생한 보안 이벤트의 내용은 발생시간, 발생장비, 사용자(IP주소), 접근대상, 이벤트 종류(폴더설정, 삭제 등), 접근한 결과, 제품명, 발생횟수에 관한 정보를 포함할 수 있다.The content of the security event that occurred for the document security system may include information about the time of occurrence, the device that occurred, the user (IP address), the access target, the type of event (folder setting, deletion, etc.), the result of access, the product name, and the number of occurrences. can

웹 이벤트 유형의 보안 이벤트는 예를 들어, 웹 로그에 대하여 발생할 수 있다. 웹 로그에 대해 발생한 보안 이벤트의 내용은 발생시간, 발생장비, 근원지 IP, 결과코드, 메소드, 쿼리값, 쿠키값, 발생횟수에 관한 정보를 포함할 수 있다.A security event of the web event type may occur for example for a web log. Contents of the security event generated in the web log may include information about occurrence time, generating device, source IP, result code, method, query value, cookie value, and number of occurrences.

프로파일링 기반의 침입 탐지 기법은 공격 행위가 정상 행위와 다른 양상을 가진다고 가정한다. 프로파일링 기반의 침입 탐지 기법에는 예를 들어, 네트워크 트래픽에 대한 데이터 마이닝, 감사 데이터 분석을 통한 통계적 분석, 그리고 운영체제 시스템 호출을 이용한 시퀀스 분석 등이 있다.Profiling-based intrusion detection techniques assume that attack behavior has a different aspect from normal behavior. Intrusion detection techniques based on profiling include, for example, data mining for network traffic, statistical analysis through audit data analysis, and sequence analysis using operating system system calls.

탐지부(110)는 복수의 보안 이벤트의 정보를 각 유형별로 프로파일화할 수 있다. 예를 들어, 탐지부(110)는 감사 데이터 분석을 통한 통계적 분석 기법을 이용하여 네트워크 유형, 호스트 유형 및 웹 이벤트 유형별로 해당하는 보안 이벤트의 정보를 프로파일화할 수 있다.The detection unit 110 may profile information of a plurality of security events for each type. For example, the detection unit 110 may profile corresponding security event information for each network type, host type, and web event type using a statistical analysis technique through audit data analysis.

네트워크 유형의 보안 이벤트의 프로파일 내용은 근원지 IP, 목적지 IP, 목적지 Port, 프로토콜 근원지 IP, 목적지 IP, 공격명(바이러스명)에 관한 정보를 포함할 수 있다.The profile content of the network type security event may include information about source IP, destination IP, destination port, protocol source IP, destination IP, and attack name (virus name).

호스트 유형의 보안 이벤트의 프로파일 내용은 목적지 IP, 발생이벤트(첨부파일명, 메일제목 등)에 관한 정보를 포함할 수 있다.The profile content of the host type security event may include information about the destination IP and occurrence event (name of attached file, mail subject, etc.).

웹 이벤트 유형의 보안 이벤트의 프로파일 내용은 프로파일 IP, 파라미터, 변수(파라미터별 허용 가능한 문자열을 정의)에 관한 정보를 포함할 수 있다.The profile contents of the security event of the web event type may include information about the profile IP, parameters, and variables (defining permissible strings for each parameter).

탐지부(110)는 새로운 보안 이벤트가 발생하는 경우 프로파일화된 정보에 기초하여 침입 행위에 해당하는지 여부를 판단할 수 있다.The detection unit 110 may determine whether a new security event corresponds to an intrusion based on profiled information when a new security event occurs.

탐지부(110)는 새로운 보안 이벤트가 프로파일 값에서 벗어나는 경우에 비정상 행위로 간주할 수 있다. 예를 들어, 시간대별 및 일별로 프로파일화한 통계값에 기초하여, 새로운 보안 이벤트가 정의한 임계치에서 벗어나는 경우에 이를 비정상 행위로 간주하고 침입으로 탐지할 수 있다.The detection unit 110 may regard a new security event as an abnormal behavior when it deviates from the profile value. For example, if a new security event deviates from a defined threshold based on statistical values profiled by time and by day, it may be regarded as an abnormal behavior and detected as an intrusion.

위험 점수 도출부(120)는 탐지된 복수의 보안 이벤트 각각에 대한 위험 점수를 도출할 수 있다.The risk score derivation unit 120 may derive a risk score for each of a plurality of detected security events.

위험 점수 도출부(120)는 예를 들어, CVE(Common Vulnerabilities and Exposures) 분석 및 CVSS(Common Vulnerability Scoring System) 분석을 이용하여 복수의 보안 이벤트 각각에 대한 위험 점수를 도출할 수 있다.The risk score derivation unit 120 may derive risk scores for each of a plurality of security events by using, for example, Common Vulnerabilities and Exposures (CVE) analysis and Common Vulnerability Scoring System (CVSS) analysis.

CVE 분석은 공개적으로 알려진 각 취약점에 대응하는 표준 이름을 제공하는 리스트에 기초하여 보안 이벤트의 위험성을 판단할 수 있다. CVE 분석은 데이터베이스보다는 사전에 가까운 형식으로, 정보를 인터넷에서 바로 조회하거나 다운로드할 수 있는 이점이 있다.CVE analysis can determine the risk of a security event based on a list that provides a standard name corresponding to each publicly known vulnerability. CVE analysis is in a format closer to a dictionary than a database, and has the advantage of being able to search or download information directly from the Internet.

위험 점수 도출부(120)는 기본 메트릭 그룹(Base Metric Group), 임시 메트릭 그룹(Temporal Metric Group) 및 환경 메트릭 그룹(Environmental Metric Group)에 기초하여 보안 이벤트의 위험성을 판단함으로써 CVSS 분석을 수행할 수 있다.The risk score derivation unit 120 may perform CVSS analysis by determining the risk of a security event based on a base metric group, a temporary metric group, and an environmental metric group. there is.

도 2는 CVSS 분석을 설명하기 위한 도면이다. 도 2를 참조하면, CVSS 분석의 기본 메트릭 그룹, 임시 메트릭 그룹 및 환경 메트릭 그룹에 각각 포함되는 요소가 도시된다.2 is a diagram for explaining CVSS analysis. Referring to FIG. 2 , elements included in the basic metric group, temporary metric group, and environmental metric group of the CVSS analysis are shown.

기본 메트릭 그룹은 공격 수행위치(Access Vector), 공격 복잡도(Access Complexity), 인증 필요여부(Authentication), 기밀성 영향 정도(Confidentiality Impact), 무결성 영향 정도(Integrity Impact), 가용성 영향 정도(Availability Impact)을 포함할 수 있다.The basic metric groups include attack location (Access Vector), attack complexity (Access Complexity), authentication requirement (Authentication), confidentiality impact (Confidentiality Impact), integrity impact (Integrity Impact), and availability impact (Availability Impact). can include

위험 점수 도출부(120)는 기본 메트릭 그룹의 기본 메트릭 포뮬라에 의해 기본 메트릭 위험도를 계산할 수 있다.The risk score derivation unit 120 may calculate the basic metric risk by using the basic metric formula of the basic metric group.

임시 메트릭 그룹은 실현 복잡도(Exploitability), 취약점 복구 방법의 수준(Remediatio Level), 취약점을 발표한 주체에 대한 신뢰 수준(Report Confidenc)을 포함할 수 있다.The temporary metric group may include the realization complexity (Exploitability), the level of the vulnerability recovery method (Remediation Level), and the confidence level of the subject who released the vulnerability (Report Confidenc).

위험 점수 도출부(120)는 임시 메트릭 그룹의 임시 메트릭 포뮬라에 의해 임시 메트릭 위험도를 계산할 수 있다.The risk score derivation unit 120 may calculate the temporary metric risk by using the temporary metric formula of the temporary metric group.

환경 메트릭 그룹은 발생 가능한 실제 피해의 수준(Collateral Damage Potential), 목표시스템의 규모(Target Distribution), 기밀성 요구 사항(Confidentiality Requirement), 무결성 요구 사항(Integrity Requirement), 가용성 요구 사항(Availability Requirement)을 포함할 수 있다.Environmental metric groups include Collateral Damage Potential, Target Distribution, Confidentiality Requirement, Integrity Requirement, and Availability Requirement. can do.

위험 점수 도출부(120)는 환경 메트릭 그룹의 환경 메트릭 포뮬라에 의해 환경 메트릭 위험도를 계산할 수 있다.The risk score derivation unit 120 may calculate the environmental metric risk by using the environmental metric formula of the environmental metric group.

위험 점수 도출부(120)는 기본 메트릭 위험도, 임시 메트릭 위험도 및 환경 메트릭 위험도에 기초하여 보안 이벤트의 위험 점수를 도출할 수 있다.The risk score derivation unit 120 may derive a risk score of a security event based on the basic risk metric, the temporal risk metric, and the environmental metric risk.

스케줄링부(130)는 도출된 위험 점수에 기초하여 복수의 보안 이벤트의 처리 순서를 스케줄링할 수 있다.The scheduling unit 130 may schedule a processing sequence of a plurality of security events based on the derived risk score.

스케줄링부(130)는 정적 우선순위 방법 및 동적 우선순위 방법 중 어느 하나를 이용하여 복수의 보안 이벤트의 처리 순서를 스케줄링할 수 있다.The scheduling unit 130 may schedule a processing sequence of a plurality of security events using any one of a static priority method and a dynamic priority method.

정적 우선순위 방법은 예를 들어, 컴파일시에 복수의 보안 이벤트의 우선순위를 결정하는 것일 수 있다. 정적 우선순위 방법은 구현이 쉽고 시스템 오버헤드가 적다는 장점이 있다.A static prioritization method may be, for example, determining the priority of a plurality of security events at compile time. The static priority method has the advantage of easy implementation and low system overhead.

스케줄링부(130)는 정적 우선순위 방법으로 생성 주기가 짧은 작업일수록 높은 우선 순위로 고정하는 Rate Monotonic(RM), 또는 데드라인이 짧은 작업일수록 높은 우선 순위로 고정하는 Deadline Monotonic(DM) 중 어느 하나를 이용할 수 있다.The scheduling unit 130 uses a static priority method, either Rate Monotonic (RM), which fixes a task with a shorter generation period to a higher priority, or Deadline Monotonic (DM), which fixes a task with a shorter deadline to a higher priority. is available.

동적 우선순위 방법은 예를 들어, 응용프로그램의 실행 중에 복수의 보안 이벤트의 우선 순위를 변경할 수 있다. 동적 우선순위 방법은 상황 변화에 대한 적응이 가능하며, 시스템의 응답속도를 증가시켜 보다 효율적으로 대응할 수 있다는 장점이 있다.The dynamic priority method may change priorities of a plurality of security events during execution of an application program, for example. The dynamic priority method has the advantage of being able to adapt to changing situations and responding more efficiently by increasing the response speed of the system.

스케줄링부(130)는 동적 우선순위 방법으로 Earliest DeadLine Firest(EDF), Time Driven Scheduler(TDS), Least Laxity First(LLF), Shortest Remaining Time(SRT) 중 어느 하나를 이용할 수 있다.The scheduling unit 130 may use any one of Earliest DeadLine Firest (EDF), Time Driven Scheduler (TDS), Least Laxity First (LLF), and Shortest Remaining Time (SRT) as a dynamic priority method.

EDF는 데드라인이 짧은 작업일수록 높은 우선 순위를 가지며, 새로운 작업이 발생할 때마다 우선 순위를 조정하는 방식이다. EDF는 프로세서의 활용도가 100%에 이르는 효율적인 알고리즘이지만, 구현하기 어렵다는 단점이 있다.EDF is a method in which a task with a shorter deadline has a higher priority, and the priority is adjusted whenever a new task occurs. EDF is an efficient algorithm with 100% utilization of the processor, but it has a disadvantage that it is difficult to implement.

TDS는 EDF와 유사하게 작업의 데드라인에 따라 스케줄링을 수행하지만, 과부하 상태를 컨트롤할 수 있는 방식이다. TDS는 과부하 상태가 발생하는 경우 작업을 중지하고, 오버로드 상태가 지속되면 비중이 낮은 작업을 제거한다. Similar to EDF, TDS performs scheduling according to task deadlines, but it is a method that can control overload conditions. TDS stops work when an overload condition occurs, and removes tasks with a low proportion if the overload condition persists.

LLF는 여유시간이 짧은 작업일수록 높은 우선순위를 부여하는 방식이다. 여기서, 여유시간은 데드라인까지 남아있는 프로세싱 타임을 의미한다.LLF is a method of assigning higher priority to tasks with less free time. Here, the slack time means the processing time remaining until the deadline.

SRT는 어떤 프로세스를 실행하고 있다가, 새로운 프로세스가 들어오면 둘 중 남은 CPU 요구 시간을 비교하여 더 짧은 CPU 시간을 가지는 프로세스를 러닝 시키는 방법이다.SRT is a method of running a process that has a shorter CPU time by comparing the remaining CPU demand time of the two processes when a new process is running while it is running.

도 3은 본 발명의 일 실시예에 따라 보안 이벤트를 스케줄링하는 방법을 설명하기 위한 예시적인 도면이다.3 is an exemplary diagram for explaining a method of scheduling a security event according to an embodiment of the present invention.

도 3의 (a)는 정적 우선순위 방법의 하나인 RM에 의해 작업을 스케줄링하는 방법을 예시적으로 나타낸다. RM에 의하면 컴파일시에 모든 대상에 우선순위를 부여하되, 최초 생성 주기가 짧은 작업일수록 높은 우선 순위가 부여된다.(a) of FIG. 3 exemplarily shows a method of scheduling a task by RM, which is one of the static priority methods. According to RM, priorities are given to all targets at compile time, but higher priority is given to tasks with shorter initial creation cycles.

도 3의 (b)는 또다른 정적 우선순위 방법인 DM에 의해 작업을 스케줄링하는 방법을 예시적으로 나타낸다. DM에 의하면 컴파일시에 모든 대상에 우선순위를 부여하되, 데드라인이 짧은 작업일수록 높은 우선 순위가 부여된다.3(b) exemplarily shows a method of scheduling tasks by DM, which is another static priority method. According to the DM, priority is given to all targets at compile time, but the shorter the deadline, the higher priority is given.

도 3의 (c)는 동적 우선순위 방법의 하나인 EDF에 의해 작업을 스케줄링하는 방법을 예시적으로 나타낸다. EDF에 의하면 새로운 작업이 발생할 때마다 우선 순위를 조정하며, 데드라인이 짧은 작업일수록 높은 우선 순위가 부여된다.(c) of FIG. 3 exemplarily shows a method of scheduling a task by EDF, which is one of the dynamic priority methods. According to EDF, priority is adjusted whenever a new task occurs, and a task with a shorter deadline is given a higher priority.

도 4는 본 발명의 일 실시예에 따른 보안 이벤트를 스케줄링하는 방법의 순서도이다. 도 4에 도시된 보안 이벤트 스케줄링 장치(100)에서 수행되는 보안 이벤트를 스케줄링하는 방법(400)은 도 1에 도시된 실시예에 따라 보안 이벤트 스케줄링 장치(100)에 의해 시계열적으로 처리되는 단계들을 포함한다. 따라서, 이하 생략된 내용이라고 하더라도 도 1에 도시된 실시예에 따라 보안 이벤트 스케줄링 장치(100)에서 수행되는 악성 코드를 판단하는 방법에도 적용된다.4 is a flowchart of a method for scheduling security events according to an embodiment of the present invention. The security event scheduling method 400 performed by the security event scheduling apparatus 100 shown in FIG. 4 includes steps processed time-sequentially by the security event scheduling apparatus 100 according to the embodiment shown in FIG. include Therefore, even if the content is omitted below, it is also applied to the method for determining malicious code performed in the security event scheduling apparatus 100 according to the embodiment shown in FIG. 1 .

단계 S410에서 보안 이벤트 스케줄링 장치(100)는 모니터링을 통해 탐지 대상 네트워크에 발생하는 복수의 보안 이벤트를 탐지할 수 있다.In step S410, the security event scheduling apparatus 100 may detect a plurality of security events occurring in the detection target network through monitoring.

단계 S420에서 보안 이벤트 스케줄링 장치(100)는 탐지된 복수의 보안 이벤트 각각에 대한 위험 점수를 도출할 수 있다.In step S420, the security event scheduling apparatus 100 may derive a risk score for each of a plurality of detected security events.

단계 S430에서 보안 이벤트 스케줄링 장치(100)는 도출된 위험 점수에 기초하여 정적 우선순위 방법 및 동적 우선순위 방법 중 어느 하나를 이용하여 복수의 보안 이벤트의 처리 순서를 스케줄링할 수 있다.In step S430, the security event scheduling apparatus 100 may schedule a processing sequence of a plurality of security events using any one of a static priority method and a dynamic priority method based on the derived risk score.

상술한 설명에서, 단계 S410 내지 S430은 본 발명의 구현예에 따라서, 추가적인 단계들로 더 분할되거나, 더 적은 단계들로 조합될 수 있다. 또한, 일부 단계는 필요에 따라 생략될 수도 있고, 단계 간의 순서가 전환될 수도 있다.In the foregoing description, steps S410 to S430 may be further divided into additional steps or combined into fewer steps, depending on the implementation of the present invention. Also, some steps may be omitted as needed, and the order of steps may be switched.

도 1 내지 도 4를 통해 설명된 보안 이벤트 스케줄링 장치에서 안 이벤트를 스케줄링하는 방법은 컴퓨터에 의해 실행되는 매체에 저장된 컴퓨터 프로그램 또는 컴퓨터에 의해 실행 가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다.The method of scheduling security events in the security event scheduling apparatus described with reference to FIGS. 1 to 4 may be implemented in the form of a computer program stored in a medium executed by a computer or a recording medium including instructions executable by a computer. there is.

컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체를 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다.Computer readable media can be any available media that can be accessed by a computer and includes both volatile and nonvolatile media, removable and non-removable media. Also, computer readable media may include computer storage media. Computer storage media includes both volatile and nonvolatile, removable and non-removable media implemented in any method or technology for storage of information such as computer readable instructions, data structures, program modules or other data.

전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.The above description of the present invention is for illustrative purposes, and those skilled in the art can understand that it can be easily modified into other specific forms without changing the technical spirit or essential features of the present invention. will be. Therefore, the embodiments described above should be understood as illustrative in all respects and not limiting. For example, each component described as a single type may be implemented in a distributed manner, and similarly, components described as distributed may be implemented in a combined form.

본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.The scope of the present invention is indicated by the following claims rather than the detailed description above, and all changes or modifications derived from the meaning and scope of the claims and equivalent concepts should be construed as being included in the scope of the present invention. do.

100: 보안 이벤트 스케줄링 장치
110: 탐지부
120: 위험 점수 도출부
130: 스케줄링부100: security event scheduling device
110: detection unit
120: risk score derivation unit
130: scheduling unit

Claims (15)

보안 이벤트를 스케줄링하는 장치에 있어서,
모니터링을 통해 탐지 대상 네트워크에 발생하는 복수의 보안 이벤트를 탐지하는 탐지부;
상기 탐지된 복수의 보안 이벤트 각각에 대한 위험 점수를 도출하는 위험 점수 도출부; 및
상기 도출된 위험 점수에 기초하여 정적 우선순위 방법 및 동적 우선순위 방법 중 어느 하나를 이용하여 상기 복수의 보안 이벤트의 처리 순서를 스케줄링하는 스케줄링부
를 포함하는 것인, 보안 이벤트 스케줄링 장치.
An apparatus for scheduling security events,
a detection unit that detects a plurality of security events occurring in a detection target network through monitoring;
a risk score derivation unit deriving a risk score for each of the plurality of detected security events; and
A scheduling unit to schedule a processing sequence of the plurality of security events using any one of a static priority method and a dynamic priority method based on the derived risk score.
To include, a security event scheduling device.
 제 1 항에 있어서,
상기 탐지부는 상기 복수의 보안 이벤트를 네트워크 유형, 호스트 유형 및 웹 이벤트 유형 중 어느 하나로 분류하는 것인, 보안 이벤트 스케줄링 장치.
According to claim 1,
The detection unit classifies the plurality of security events into one of a network type, a host type, and a web event type.
 제 2 항에 있어서,
상기 탐지부는 상기 복수의 보안 이벤트의 정보를 각 유형별로 프로파일화하고, 새로운 보안 이벤트가 발생하는 경우 상기 프로파일화된 정보에 기초하여 침입 행위에 해당하는지 여부를 판단하는 것인, 보안 이벤트 스케줄링 장치.
According to claim 2,
The security event scheduling apparatus of claim 1 , wherein the detection unit profiles information of the plurality of security events for each type, and determines whether a new security event corresponds to an intrusion based on the profiled information when a new security event occurs.
 제 1 항에 있어서,
상기 위험 점수 도출부는 CVE 분석 및 CVSS 분석을 이용하여 상기 위험 점수를 도출하는 것인, 보안 이벤트 스케줄링 장치.
According to claim 1,
Wherein the risk score derivation unit derives the risk score using CVE analysis and CVSS analysis.
 제 4 항에 있어서,
상기 위험 점수 도출부는 기본 메트릭 그룹, 임시 메트릭 그룹 및 환경 메트릭 그룹에 기초하여 보안 이벤트의 위험성을 판단함으로써 상기 CVSS 분석을 수행하는 것인, 보안 이벤트 스케줄링 장치.
According to claim 4,
wherein the risk score derivation unit performs the CVSS analysis by determining a risk of a security event based on a basic metric group, a temporary metric group, and an environmental metric group.
 제 1 항에 있어서,
상기 스케줄링부는 컴파일시에 상기 복수의 보안 이벤트의 우선순위를 결정하는 상기 정적 우선순위 방법에 기초하여 상기 처리 순서를 스케줄링하는 것인, 보안 이벤트 스케줄링 장치.
According to claim 1,
wherein the scheduling unit schedules the processing sequence based on the static prioritization method for determining priorities of the plurality of security events at compile time.
 제 1 항에 있어서,
상기 스케줄링부는 응용프로그램의 실행 중에 상기 복수의 보안 이벤트의 우선순위를 변경하는 상기 동적 우선순위 방법에 기초하여 상기 처리 순서를 스케줄링하는 것인, 보안 이벤트 스케줄링 장치.
According to claim 1,
wherein the scheduling unit schedules the processing sequence based on the dynamic priority method of changing priorities of the plurality of security events while an application program is running.
 보안 이벤트를 스케줄링하는 방법에 있어서,
모니터링을 통해 탐지 대상 네트워크에 발생하는 복수의 보안 이벤트를 탐지하는 단계;
상기 탐지된 복수의 보안 이벤트 각각에 대한 위험 점수를 도출하는 단계; 및
상기 도출된 위험 점수에 기초하여 정적 우선순위 방법 및 동적 우선순위 방법 중 어느 하나를 이용하여 상기 복수의 보안 이벤트의 처리 순서를 스케줄링하는 단계
를 포함하는 것인, 보안 이벤트 스케줄링 방법.
A method for scheduling security events,
Detecting a plurality of security events occurring in the detection target network through monitoring;
deriving a risk score for each of the plurality of detected security events; and
Scheduling a processing sequence of the plurality of security events using any one of a static priority method and a dynamic priority method based on the derived risk score.
Which includes, security event scheduling method.
 제 8 항에 있어서,
상기 복수의 보안 이벤트를 네트워크 유형, 호스트 유형 및 웹 이벤트 유형 중 어느 하나로 분류하는 단계를 더 포함하는 것인, 보안 이벤트 스케줄링 방법.
According to claim 8,
The security event scheduling method further comprising classifying the plurality of security events as one of a network type, a host type, and a web event type.
 제 9 항에 있어서,
상기 복수의 보안 이벤트의 정보를 각 유형별로 프로파일화하는 단계; 및
새로운 보안 이벤트가 발생하는 경우 상기 프로파일화된 정보에 기초하여 침입 행위에 해당하는지 여부를 판단하는 단계
를 더 포함하는 것인, 보안 이벤트 스케줄링 방법.
According to claim 9,
profiling the information of the plurality of security events for each type; and
Determining whether a new security event corresponds to an intrusion based on the profiled information when a new security event occurs
Further comprising, security event scheduling method.
 제 8 항에 있어서,
상기 위험 점수를 도출하는 단계는 CVE 분석 및 CVSS 분석을 이용하여 상기 위험 점수를 도출하는 것인, 보안 이벤트 스케줄링 방법.
According to claim 8,
Wherein the step of deriving the risk score derives the risk score using CVE analysis and CVSS analysis.
 제 11 항에 있어서,
상기 위험 점수를 도출하는 단계는 기본 메트릭 그룹, 임시 메트릭 그룹 및 환경 메트릭 그룹에 기초하여 보안 이벤트의 위험성을 판단함으로써 상기 CVSS 분석을 수행하는 것인, 보안 이벤트 스케줄링 방법.
According to claim 11,
wherein the step of deriving the risk score performs the CVSS analysis by determining a risk of a security event based on a basic metric group, an ad hoc metric group, and an environmental metric group.
 제 8 항에 있어서,
상기 처리 순서를 스케줄링하는 단계는 컴파일시에 상기 복수의 보안 이벤트의 우선순위를 결정하는 상기 정적 우선순위 방법에 기초하여 상기 처리 순서를 스케줄링하는 것인, 보안 이벤트 스케줄링 방법.
According to claim 8,
wherein the step of scheduling the processing order schedules the processing order based on the static prioritization method for prioritizing the plurality of security events at compile time.
 제 8 항에 있어서,
상기 처리 순서를 스케줄링하는 단계는 응용프로그램의 실행 중에 상기 복수의 보안 이벤트의 우선순위를 변경하는 상기 동적 우선순위 방법에 기초하여 상기 처리 순서를 스케줄링하는 것인, 보안 이벤트 스케줄링 방법.
According to claim 8,
wherein the scheduling of the processing sequence schedules the processing sequence based on the dynamic prioritization method of changing priorities of the plurality of security events during execution of an application program.
 보안 이벤트를 스케줄링하는 명령어들의 시퀀스를 포함하는 컴퓨터 판독가능 기록매체에 저장된 컴퓨터 프로그램에 있어서,
상기 컴퓨터 프로그램은 컴퓨팅 장치에 의해 실행될 경우,
모니터링을 통해 탐지 대상 네트워크에 발생하는 복수의 보안 이벤트를 탐지하고,
상기 탐지된 복수의 보안 이벤트 각각에 대한 위험 점수를 도출하고,
상기 도출된 위험 점수에 기초하여 정적 우선순위 방법 및 동적 우선순위 방법 중 어느 하나를 이용하여 상기 복수의 보안 이벤트의 처리 순서를 스케줄링하도록 하는 명령어들의 시퀀스를 포함하는, 컴퓨터 판독가능 기록매체에 저장된 컴퓨터 프로그램.A computer program stored on a computer readable recording medium comprising a sequence of instructions for scheduling a security event,
When the computer program is executed by a computing device,
Detect multiple security events that occur in the detection target network through monitoring,
Derive a risk score for each of the plurality of detected security events;
A computer stored on a computer-readable recording medium comprising a sequence of instructions for scheduling a processing sequence of the plurality of security events using any one of a static priority method and a dynamic priority method based on the derived risk score. program.
KR1020210184739A 2021-12-22 2021-12-22 Apparatus, method and computer program for scheduling security event KR20230095351A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210184739A KR20230095351A (en) 2021-12-22 2021-12-22 Apparatus, method and computer program for scheduling security event

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210184739A KR20230095351A (en) 2021-12-22 2021-12-22 Apparatus, method and computer program for scheduling security event

Publications (1)

Publication Number Publication Date
KR20230095351A true KR20230095351A (en) 2023-06-29

Family

ID=86946084

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210184739A KR20230095351A (en) 2021-12-22 2021-12-22 Apparatus, method and computer program for scheduling security event

Country Status (1)

Country Link
KR (1) KR20230095351A (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021034807A (en) 2019-08-21 2021-03-01 株式会社日立製作所 Network monitoring device, network monitoring method, and network monitoring program

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021034807A (en) 2019-08-21 2021-03-01 株式会社日立製作所 Network monitoring device, network monitoring method, and network monitoring program

Similar Documents

Publication Publication Date Title
Nguyen et al. Search: A collaborative and intelligent nids architecture for sdn-based cloud iot networks
US11102223B2 (en) Multi-host threat tracking
US20210248230A1 (en) Detecting Irregularities on a Device
US10432650B2 (en) System and method to protect a webserver against application exploits and attacks
AU2012217181B2 (en) Methods and apparatus for dealing with malware
US8839435B1 (en) Event-based attack detection
US20170093902A1 (en) Detection of security incidents with low confidence security events
Inayat et al. Cloud-based intrusion detection and response system: open research issues, and solutions
Chiba et al. A survey of intrusion detection systems for cloud computing environment
US10944720B2 (en) Methods and systems for network security
US11165803B2 (en) Systems and methods to show detailed structure in a security events graph
US20160232349A1 (en) Mobile malware detection and user notification
US10757029B2 (en) Network traffic pattern based machine readable instruction identification
US11647035B2 (en) Fidelity of anomaly alerts using control plane and data plane information
CN117319077B (en) Network security emergency linkage system and method
AU2023202044B2 (en) Network vulnerability assessment
Liang et al. Collaborative intrusion detection as a service in cloud computing environment
US20230056101A1 (en) Systems and methods for detecting anomalous behaviors based on temporal profile
KR20230095351A (en) Apparatus, method and computer program for scheduling security event
Kamatchi et al. An efficient security framework to detect intrusions at virtual network layer of cloud computing
US11425092B2 (en) System and method for analytics based WAF service configuration
Singaravelan et al. Inner interruption discovery and defense system by using data mining
JP2021514501A (en) Context profiling for malware detection
US12058150B2 (en) Massive vulnerable surface protection
KR100785446B1 (en) Policy control method of network system and network policy control system