KR20090030880A - 지리 정보를 이용한 네트워크 상태 표시장치 및 방법 - Google Patents

지리 정보를 이용한 네트워크 상태 표시장치 및 방법 Download PDF

Info

Publication number
KR20090030880A
KR20090030880A KR1020070096537A KR20070096537A KR20090030880A KR 20090030880 A KR20090030880 A KR 20090030880A KR 1020070096537 A KR1020070096537 A KR 1020070096537A KR 20070096537 A KR20070096537 A KR 20070096537A KR 20090030880 A KR20090030880 A KR 20090030880A
Authority
KR
South Korea
Prior art keywords
source
destination
protocol
globe
address
Prior art date
Application number
KR1020070096537A
Other languages
English (en)
Other versions
KR100925176B1 (ko
Inventor
손선경
장범환
정치윤
김건량
김종현
유종호
나중찬
장종수
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020070096537A priority Critical patent/KR100925176B1/ko
Priority to PCT/KR2007/005903 priority patent/WO2009038248A1/en
Priority to US12/679,294 priority patent/US8266278B2/en
Publication of KR20090030880A publication Critical patent/KR20090030880A/ko
Application granted granted Critical
Publication of KR100925176B1 publication Critical patent/KR100925176B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

보안 이벤트에 포함된 특성 데이터를 지리 정보와 연계하여 근원지와 목적지의 실제 지리적 위치를 글로브상에 표시함과 더불어 프로토콜별 보안 이벤트의 흐름을 함께 표시하여 네트워크 보안 상황을 직관적으로 인식할 수 있도록 한 지리 정보를 이용한 네트워크 상태 표시장치와 방법을 제시한다. 제시된 본 발명의 장치는 외부로부터의 보안 이벤트를 수집하는 보안 이벤트 수집부; 수집된 보안 이벤트의 특성 데이터내의 근원지 IP주소 및 목적지 IP주소를 지리 정보 데이터베이스에 근거하여 그에 상응하는 지리 정보로 변환하는 IP주소 변환부; 및 특성 데이터 및 IP주소 변환부로부터의 지리 정보에 근거하여 근원지와 목적지간의 프로토콜별 보안 이벤트의 흐름을 글로브 형상을 포함하는 3차원 화면으로 표시하는 네트워크 상태 표시부를 포함한다. 이러한 본 발명에 의하면, 근원지 및 목적지의 실제 위치를 글로브위에 표시함으로써 보안 이벤트가 발생한 곳을 즉각적으로 정확하게 파악하게 된다. 프로토콜 원을 사용하여 다수의 프로토콜 및 각 프로토콜의 포트별로 발생한 보안 이벤트의 개수를 글로브와 함께 하나의 화면에 시각화함으로써 관리자가 현재의 네트워크 상태를 쉽게 파악할 수 있게 한다.

Description

지리 정보를 이용한 네트워크 상태 표시장치 및 방법{Apparatus and method for visualizing network state by using geographic information}
본 발명은 네트워크 보안에 관한 것으로, 보다 상세하게는 근원지와 목적지간의 네트워크 상태를 표시해 주도록 한 장치와 방법 및 그 방법에 관한 것이다.
본 발명은 정보통신부의 IT신성장동력핵심기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제고유번호: 2007-S-022-01, 연구과제명: AII-IP환경의 지능형 사이버 공격 감시 및 추적 시스템 개발].
최근 네트워크의 이용이 증가함에 따라 네트워크를 통한 불법적인 접근이 증가하고 있다. 이에 따라, 불법적인 공격과 같은 네트워크의 이상 현상을 탐지하여 차단하기 위한 네트워크 보안 기술에 대한 중요도가 높아지고 있다.
종래에는 네트워크에서의 이상 상태(즉, 공격에 따른 비정상적인 상황)를 탐지하기 위하여 네트워크(또는 시스템) 주소, 프로토콜, 포트 번호, 패킷 개수 등과 같은 네트워크의 트래픽 정보중에서 어느 하나의 비율을 이용하여 해당 항목의 추이를 분석한다. 이와 다르게는, 네트워크를 통해 전달되는 데이터를 일정한 규칙에 따라 좌표 평면 또는 기하학적인 도형으로 표현하여 전체 네트워크 형태로 비정상 적인 상황을 표시한다(참고자료1; 한국특허출원번호 10-2003-0008826, 참고자료2; IEEE Network Vol.18 No.5 PP. 30-39 September/October 2004 Hyogon Kim, Inhye Kang, Saewoong Bahk, Real-Time Visualization of Network Attacks on High-Speed Links).
이러한 종래의 방법으로는 현재 네트워크 상태의 세부적인 내용을 하나의 화면에 표현하지 못한다. 이로 인해, 네트워크 보안상의 위협이 되는 근원지와 공격의 피해지를 직관적으로 판단하기 어려운 문제가 존재한다.
이와 같이 사용자 또는 관리자의 측면에서 현재의 보안 상황 인식 능력이 현저히 떨어지게 됨에 따라 네트워크에서의 이상 상태에 대한 대응 시간이 길어져서 피해가 크게 된다.
본 발명은 상기한 종래의 문제점을 해결하기 위해 제안된 것으로, 보안 이벤트에 포함된 특성 데이터를 지리 정보와 연계하여 근원지와 목적지의 실제 지리적 위치를 글로브(globe; 지구의)상에 표시함과 더불어 프로토콜별 보안 이벤트의 흐름을 함께 표시하여 네트워크 보안 상황을 직관적으로 인식할 수 있도록 한 지리 정보를 이용한 네트워크 상태 표시장치 및 방법을 제공함에 그 목적이 있다.
상기와 같은 목적을 달성하기 위하여 본 발명의 바람직한 실시예에 따른 지리 정보를 이용한 네트워크 상태 표시장치는, 외부로부터의 보안 이벤트를 수집하는 보안 이벤트 수집부; 수집된 보안 이벤트의 특성 데이터내의 근원지 IP주소 및 목적지 IP주소를 지리 정보 데이터베이스에 근거하여 그에 상응하는 지리 정보로 변환하는 IP주소 변환부; 및 특성 데이터 및 IP주소 변환부로부터의 지리 정보에 근거하여 근원지와 목적지간의 프로토콜별 보안 이벤트의 흐름을 글로브 형상을 포함하는 3차원 화면으로 표시하는 네트워크 상태 표시부를 포함한다.
IP주소 변환부는, 보안 이벤트 수집부에서 수집된 보안 이벤트에서 특성 데이터를 추출하는 특성 데이터 추출 모듈; 및 추출된 특성 데이터내의 근원지 IP주소에 상응하는 근원지의 실제 위치 및 목적지 IP주소에 상응하는 목적지의 실제 위치를 지리 정보 데이터베이스의 정보로부터 추출해 내는 근원지 및 목적지 위치 추출 모듈을 구비한다.
근원지 및 목적지 위치 추출 모듈은 지리 정보 데이터베이스내의 각 IP에 대한 위도와 경도를 포함하는 정보를 이용한다.
네트워크 상태 표시부는, 근원지 IP주소에 상응하는 근원지의 실제 위치를 표시하는 제 1글로브, 목적지 IP주소에 상응하는 목적지의 실제 위치를 표시하는 제 2글로브, 및 제 1 및 제 2글로브의 둘레에 하나 이상으로 배치되는 프로토콜 원을 표시한다.
프로토콜 원은 원주를 따라 해당 프로토콜의 포트 번호가 매핑된다.
네트워크 상태 표시부는 하나 이상의 프로토콜 원을 각기 다른 색깔로 표시한다.
네트워크 상태 표시부는 근원지의 실제 위치와 목적지의 실제 위치를 선으로 연결하되, 선을 제 1글로브의 프로토콜 원 및 제 2글로브의 프로토콜 원을 지나게 한다.
근원지의 실제 위치와 목적지의 실제 위치를 연결하는 선은 제 1글로브와 제 2글로브에서 동일한 프로토콜에 대응되는 프로토콜 원을 지난다.
네트워크 상태 표시부는 포트별 보안 이벤트의 개수를 소정 형상의 크기로 프로토콜 원에 표시한다.
네트워크 상태 표시부는 특정 포트 선택신호가 입력되면 해당 포트와 관련된 보안 이벤트의 흐름만을 표시한다.
네트워크 상태 표시부는, 근원지 IP주소에 상응하는 근원지의 실제 위치를 표시하기 위한 제 1글로브, 및 목적지 IP주소에 상응하는 목적지의 실제 위치를 표 시하기 위한 제 2글로브를 생성하는 글로브 생성 모듈; 제 1 및 제 2글로브의 둘레에 하나 이상으로 배치되는 프로토콜 원을 생성하는 프로토콜 원 생성 모듈; 및 근원지 및 목적지의 실제 위치를 선으로 서로 연결하되, 선이 제 1글로브의 프로토콜 원 및 제 2글로브의 프로토콜 원을 지나서 연결되게 하는 보안 이벤트 흐름 표시 모듈을 구비한다.
한편, 본 발명의 바람직한 실시예에 따른 지리 정보를 이용한 네트워크 상태 표시방법은, 외부로부터의 보안 이벤트를 수집하는 보안 이벤트 수집단계; 보안 이벤트 수집단계에서 수집된 보안 이벤트의 특성 데이터내의 근원지 IP주소 및 목적지 IP주소를 그에 상응하는 지리 정보로 변환하는 IP주소 변환단계; 및 특성 데이터 및 IP주소 변환단계에서 변환된 지리 정보에 근거하여 근원지와 목적지간의 프로토콜별 보안 이벤트의 흐름을 글로브 형상을 포함하는 3차원 화면으로 표시하는 네트워크 상태 표시단계를 포함한다.
IP주소 변환단계는, 보안 이벤트 수집단계에서 수집된 보안 이벤트에서 특성 데이터를 추출하는 특성 데이터 추출 단계; 및 특성 데이터 추출단계에서 추출된 특성 데이터내의 근원지 IP주소에 상응하는 근원지의 실제 위치 및 목적지 IP주소에 상응하는 목적지의 실제 위치를 지리 정보 데이터베이스의 정보로부터 추출해 내는 근원지 및 목적지 위치 추출단계를 포함한다.
네트워크 상태 표시단계는, 근원지 IP주소에 상응하는 근원지의 실제 위치를 표시하는 제 1글로브, 목적지 IP주소에 상응하는 목적지의 실제 위치를 표시하는 제 2글로브, 및 제 1 및 제 2글로브의 둘레에 하나 이상으로 배치되는 프로토콜 원을 표시한다.
프로토콜 원에, 원주를 따라 해당 프로토콜의 포트 번호를 매핑시킨다.
네트워크 상태 표시단계는 근원지의 실제 위치와 목적지의 실제 위치를 선으로 연결하되 선이 제 1글로브의 프로토콜 원 및 제 2글로브의 프로토콜 원을 지나서 연결되게 한다.
네트워크 상태 표시단계는 포트별 보안 이벤트의 개수를 소정 형상의 크기로 상기 프로토콜 원에 표시한다.
네트워크 상태 표시단계는 특정 포트 선택신호가 입력되면 해당 포트와 관련된 보안 이벤트의 흐름만을 표시한다.
이러한 구성의 본 발명에 따르면, 근원지 및 목적지의 실제 위치를 글로브(globe; 지구의) 위에 표시함으로써 보안 이벤트가 발생한 곳을 즉각적으로 정확하게 파악하게 된다. 즉, 누구나 쉽게 이해할 수 있는 글로브를 사용함으로써 보안 이벤트가 발생한 근원지 및 목적지의 실제 위치를 매우 쉽게 확인할 수 있게 된다.
프로토콜 원을 사용하여 다수의 프로토콜 및 각 프로토콜의 포트별로 발생한 보안 이벤트의 개수를 글로브와 함께 하나의 화면에 시각화함으로써 관리자가 현재의 네트워크 상태를 쉽게 파악할 수 있게 한다.
상술한 본 발명은 프로그램에 의해 자동화함으로써 관리자의 개입없이 네트워크의 이상 상태에 대한 빠른 대응을 가능하게 한다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예에 따른 지리 정보를 이용한 네트워크 상태 표시장치와 방법에 대하여 설명하면 다음과 같다.
도 1은 본 발명의 지리 정보를 이용한 네트워크 상태 표시장치의 일실시예를 나타낸 블록도로서, 보안 이벤트 수집부(110), IP주소 변환부(120), 지리 정보 데이터베이스(130), 및 네트워크 상태 표시부(140)를 포함한다.
보안 이벤트 수집부(110)는 방화벽, 침입 탐지 시스템, 라우터 등과 같은 네트워크 보안 장비(도시 생략)로부터 전송되어 오는 보안 이벤트를 수집한다.
IP주소 변환부(120)는 상기 수집된 보안 이벤트의 특성 데이터내의 근원지 IP주소 및 목적지 IP주소에 상응하는 지리 정보를 지리 정보 데이터베이스(130)로부터 추출해 낸다. 즉, IP주소 변환부(120)는 근원지 IP주소를 그에 상응하는 지리 정보인 경도와 위도로 변환하고, 목적지 IP주소를 그에 상응하는 지리 정보인 경도와 위도로 변환한다. 본 발명의 명세서에서 특성 데이터는 근원지에서 목적지로 가는 네트워크 패킷이 가지고 있는 여러 특성중에서 네트워크의 이상 현상을 파악하기 위해 필요충분하다고 여겨지는 소수의 특징을 의미한다. 통상적으로, 네트워크 패킷은 근원지 IP주소, 목적지 IP주소, 프로토콜, 목적지 포트, 근원지 포트 이외에도 여러 속성을 가지고 있다. 예를 들어, 이하에서는 앞서 예시한 속성(즉, 근원지 IP주소, 목적지 IP주소, 프로토콜, 목적지 포트, 근원지 포트)을 특성 데이터로 정의한다. IP주소는 예를 들어 "xxx.xxx.xxx.xxx"와 같은 형태를 갖는 통상의 인터 넷 주소이지만, 지리 정보를 식별하는데 문제가 없다면 예시한 형태와 다른 형태이어도 무방하다.
지리 정보 데이터베이스(130)는 각 IP에 대한 위도와 경도, 국가, 도시 등의 정보를 저장하고 있다.
네트워크 상태 표시부(140)는 특성 데이터 및 IP주소 변환부(120)로부터의 지리 정보에 근거하여 근원지와 목적지간의 프로토콜별 보안 이벤트의 흐름을 글로브(globe) 형상을 포함하는 3차원 화면으로 표시한다. 어느 정도 분량의 데이터를 하나의 화면상에 보여 줄 것인지에 따라 네트워크 상태 표시부(140)에 의해 화면표시되는 보안 이벤트의 흐름이 차이날 수도 있다. 예를 들어, IP주소 변환부(120)로부터 그동안 계속적으로 제공되어 온 정보를 근거로 보안 이벤트의 흐름을 표시하여도 된다. 한편으로는, 소정 시간(예컨대, 10분 정도) 단위로 IP주소 변환부(120)로부터의 정보를 근거로 보안 이벤트의 흐름을 표시할 수도 있다. 양자의 방법에 의한 보안 이벤트의 흐름을 모두 확인할 수 있게 하여도 무방하다. 보안 이벤트의 흐름은 근원지에서 목적지로 가는 네트워크 패킷의 형태를 의미한다. 즉, 후술할 도 4에서 근원지 주소, 근원지 포트, 프로토콜, 목적지 포트, 목적지 주소를 선으로 연결한 형태를 보안 이벤트의 흐름이라고 할 수 있다.
상술한 설명에서는 지리 정보 데이터베이스(130)를 IP주소 변환부(120)와 별개로 구성시켰다. 필요에 따라서는 지리 정보 데이터베이스(130)가 IP주소 변환부(120)내에 갖추어지는 것으로 하여도 무방하다.
도 2는 도 1의 IP주소 변환부(120)의 내부 구성을 나타낸 블록도이다. IP주소 변환부(120)는 특성 데이터 추출 모듈(122), 및 근원지 및 목적지 위치 추출 모듈(124)을 구비한다.
특성 데이터 추출 모듈(122)은 보안 이벤트 수집부(110)에서 수집된 보안 이벤트에서 특성 데이터(근원지 IP주소, 목적지 IP주소, 프로토콜, 목적지 포트, 근원지 포트)를 추출한다.
근원지 및 목적지 위치 추출 모듈(124)은 특성 데이터 추출 모듈(122)에 의해 추출된 특성 데이터내의 근원지 IP주소에 상응하는 근원지의 실제 위치 및 목적지 IP주소에 상응하는 목적지의 실제 위치를 지리 정보 데이터베이스(130)의 정보로부터 추출한다.
도 3은 도 1의 네트워크 상태 표시부(140)의 내부 구성을 나타낸 블록도이다. 네트워크 상태 표시부(140)는 글로브 생성 모듈(142), 프로토콜 원 생성 모듈(144), 사용자 인터페이스 모듈(146), 및 보안 이벤트 흐름 표시 모듈(148)을 구비한다.
글로브 생성 모듈(142)은 근원지 IP주소에 상응하는 근원지의 실제 위치를 표시하기 위한 제 1글로브, 및 목적지 IP주소에 상응하는 목적지의 실제 위치를 표시하기 위한 제 2글로브를 생성한다.
프로토콜 원 생성 모듈(144)은 입력되는 프로토콜에 근거하여 제 1 및 제 2글로브의 둘레에 적어도 하나 이상으로 배치되는 프로토콜 원을 생성한다. 여기서, 프로토콜 원은 근원지와 목적지간의 보안 이벤트 흐름에 채용된 프로토콜(예컨대, TCP, UDP, 기타 프로토콜)을 나타낸다. 프로토콜 원은 해당 프로토콜의 포트별 보안 이벤트 개수를 표시한다.
사용자 인터페이스 모듈(146)은 사용자의 마우스 또는 키보드 입력을 통해 특정 포트를 선택할 수 있게 한다.
보안 이벤트 흐름 표시 모듈(148)은 입력되는 특성 데이터와 목적지 및 근원지의 실제 위치에 근거하여 보안 이벤트의 흐름을 3차원적으로 표시한다. 즉, 보안 이벤트 흐름 표시 모듈(148)은 제 1글로브에 근원지의 실제 위치를 표시하고 제 2글로브에 목적지의 실제 위치를 표시한다. 보안 이벤트 흐름 표시 모듈(148)은 근원지의 실제 위치와 목적지의 실제 위치를 선으로 연결한다. 보다 상세하게, 근원지의 실제 위치와 목적지의 실제 위치는 제 1글로브의 프로토콜 원 및 제 2글로브의 프로토콜 원의 한 점을 지나서 서로 연결된다.
보안 이벤트 흐름 표시 모듈(148)은 사용자 인터페이스 모듈(146)을 통해 특정 포트가 선택된 신호를 수신하면 해당 포트와 관련된 보안 이벤트의 흐름만을 표시한다.
도 4는 도 1의 네트워크 상태 표시부(140)에 의해 표시되는 화면예이다. 근원지 IP주소에 상응하는 근원지의 실제 위치를 표시하는 제 1글로브(150), 목적지 IP주소에 상응하는 목적지의 실제 위치를 표시하는 제 2글로브(160), 및 제 1 및 제 2글로브(150, 160)의 둘레에 적어도 하나 이상으로 배치되어 해당 프로토콜의 포트별 보안 이벤트 개수를 표시하는 프로토콜 원(172, 174, 176)이 하나의 화면에 표시된다. 편의상 제 1 및 제 2글로브(150, 160)에 지도를 표시하지 않았지만, 지도가 제 1 및 제 2글로브(150, 160)에 표시되어 있는 것으로 보는 것이 바람직하다.
프로토콜 원(172, 174, 176)은 각기 다른 색깔로 표시된다. 그에 따라, 관리자 또는 사용자는 특정 프로토콜의 포트로의 집중 현상 등과 같은 네트워크의 이상 현상을 보다 쉽게 직관적으로 인지할 수 있게 된다.
근원지의 실제 위치와 목적지의 실제 위치를 연결하는 선(178)이 제 1글로브(150)의 프로토콜 원(172, 174, 176중의 어느 하나)의 한 점과 제 2글로브(160)의 프로토콜 원(172, 174, 176중의 어느 하나)의 한 점을 지난다. 근원지의 실제 위치와 목적지의 실제 위치를 연결하는 선(178)은 제 1글로브(150) 및 제 2글로브(160)에서 동일한 프로토콜에 대응되는 프로토콜 원(도 4에서는 176)을 지나게 된다.
도 4에는 편의상 선(178)을 하나만 도시하였다. 실제적으로는 다수의 선(178)이 표시된다. 하나의 선(178)은 하나의 보안 이벤트의 흐름을 지칭한다.
도 4에는 제 1 및 제 2글로브(150, 160)가 고정되어 있는 것처럼 보이지만, 회전되는 것으로 이해하는 것이 바람직하다. 도 4에서, 보안 이벤트의 흐름이 제 1 및 제 2글로브(150, 160)의 후면에서도 발생할 수 있기 때문이다. 이에 따라, 네트워크 상태 표시부(140)는 제 1 및 제 2글로브(150, 160)를 소정의 속도로 회전시키거나 소정 시간 주기로 소정 각도씩 회전시킨다. 물론, 네트워크 상태 표시부(140) 는 사용자 인터페이스 모듈(146)을 통해 수동 조작 명령이 입력되는 경우에도 제 1 및 제 2글로브(150, 160)를 회전시킨다. 이와 다르게, 네트워크 상태 표시부(140)는 도 4의 화면 자체를 좌측 방향 또는 우측 방향으로 회전시키거나 상측 방향 또는 하측 방향으로 회전시킬 수 있다.
한편, 도면으로 제시하지 않았지만, 네트워크 상태 표시부(140)는 비중이 높은 포트 목록(즉, 포트별 보안 이벤트의 개수가 많은 포트를 우선순위별로 기록한 목록)을 텍스트 형태로 표시하기도 한다. 이 경우, 사용자 또는 관리자가 어느 한 포트를 선택하면 네트워크 상태 표시부(140)는 해당 포트와 관련된 보안 이벤트 흐름만을 표시함으로써 사용자 또는 관리자의 편의성을 높여준다.
도 4에서는 제 1글로브(150) 및 제 2글로브(160)의 둘레에 배치되는 프로토콜 원의 수를 세 개로 예시하였으나, 그 프로토콜 원의 수는 가감될 수 있다.
도 5는 도 4의 프로토콜 원(172, 174, 176)을 예시적으로 설명하는 도면이다. 프로토콜 원(172, 174, 176)의 둘레에는 해당 프로토콜(예컨대, TCP, UDP, 기타 프로토콜)의 포트 번호가 매핑된다. 포트 번호는 "0"을 기점으로 반시계 반향으로 로그 스케일로 증가한다.
포트별로 발생되는 보안 이벤트의 개수는 해당 포트 번호를 중심으로 하는 소정 형상(예컨대, 사각형)(182)의 크기로 표시된다. 예를 들어, 보안 이벤트의 개수가 클수록 예시한 사각형상(182)의 크기가 커진다. 물론, 사각형상(182)내에 보안 이벤트의 개수를 표시하여도 된다. 다르게는, 해당 포트 번호를 중심으로 일정 크기의 사각형상(182)을 표시하고 그 사각형상(182)의 내부에 보안 이벤트의 개수를 표시하는 것으로 하여도 된다. 사각형상 대신에 원 형상 등과 같은 다른 형상을 채용하여도 된다.
보안 이벤트의 개수는 모든 포트 번호마다 표시될 수도 있으나, 상위 몇 개(예컨대, 3개 정도)의 포트 번호에서만 보안 이벤트의 개수가 표시되게 하여도 된다.
프로토콜 원(172, 174, 176)은 사용자 또는 관리자의 요구에 따라 추가되거나 삭제된다.
실제적으로, 도 4에는 다수의 보안 이벤트의 흐름에 상응하는 다수의 선(178)이 도시될 것이므로 도 5의 사각형상(182)까지는 도시하지 않았다. 예를 들어, 사용자 또는 관리자가 도 4에서 어느 한 프로토콜 원을 선택하게 되면 도 5와 같은 프로토콜 원이 화면상에 나타나는 것으로 한다.
이상에서 설명한 본 발명은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 의미한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있다. 또한, 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드 가 저장되고 실행될 수 있다. 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술 분야의 프로그래머들에 의해 용이하게 추론될 수 있다.
한편, 본 발명은 상술한 실시예로만 한정되는 것이 아니라 본 발명의 요지를 벗어나지 않는 범위내에서 수정 및 변형하여 실시할 수 있고, 그러한 수정 및 변형이 가해진 기술사상 역시 이하의 특허청구범위에 속하는 것으로 보아야 한다.
도 1은 본 발명의 지리 정보를 이용한 네트워크 상태 표시장치의 일실시예를 나타낸 블록도이다.
도 2는 도 1의 IP주소 변환부의 내부 구성을 나타낸 블록도이다.
도 3은 도 1의 네트워크 상태 표시부의 내부 구성을 나타낸 블록도이다.
도 4는 도 1의 네트워크 상태 표시부에 의해 표시되는 화면예이다.
도 5는 도 4의 프로토콜 원을 예시적으로 설명하는 도면이다.

Claims (18)

  1. 외부로부터의 보안 이벤트를 수집하는 보안 이벤트 수집부;
    상기 수집된 보안 이벤트의 특성 데이터내의 근원지 IP주소 및 목적지 IP주소를 지리 정보 데이터베이스에 근거하여 그에 상응하는 지리 정보로 변환하는 IP주소 변환부; 및
    상기 특성 데이터 및 상기 IP주소 변환부로부터의 지리 정보에 근거하여 근원지와 목적지간의 프로토콜별 보안 이벤트의 흐름을 글로브 형상을 포함하는 3차원 화면으로 표시하는 네트워크 상태 표시부를 포함하는 것을 특징으로 하는 지리 정보를 이용한 네트워크 상태 표시장치.
  2. 청구항 1에 있어서,
    상기 IP주소 변환부는,
    상기 보안 이벤트 수집부에서 수집된 보안 이벤트에서 특성 데이터를 추출하는 특성 데이터 추출 모듈; 및
    상기 추출된 특성 데이터내의 근원지 IP주소에 상응하는 근원지의 실제 위치 및 목적지 IP주소에 상응하는 목적지의 실제 위치를 상기 지리 정보 데이터베이스의 정보로부터 추출해 내는 근원지 및 목적지 위치 추출 모듈을 구비하는 것을 특징으로 하는 지리 정보를 이용한 네트워크 상태 표시장치.
  3. 청구항 2에 있어서,
    상기 근원지 및 목적지 위치 추출 모듈은 상기 지리 정보 데이터베이스내의 각 IP에 대한 위도와 경도를 포함하는 정보를 이용하는 것을 특징으로 하는 지리 정보를 이용한 네트워크 상태 표시장치.
  4. 청구항 1에 있어서,
    상기 네트워크 상태 표시부는, 상기 근원지 IP주소에 상응하는 근원지의 실제 위치를 표시하는 제 1글로브, 상기 목적지 IP주소에 상응하는 목적지의 실제 위치를 표시하는 제 2글로브, 및 상기 제 1 및 제 2글로브의 둘레에 하나 이상으로 배치되는 프로토콜 원을 표시하는 것을 특징으로 하는 지리 정보를 이용한 네트워크 상태 표시장치.
  5. 청구항 4에 있어서,
    상기 프로토콜 원은 원주를 따라 해당 프로토콜의 포트 번호가 매핑되는 것을 특징으로 하는 지리 정보를 이용한 네트워크 상태 표시장치.
  6. 청구항 4에 있어서,
    상기 네트워크 상태 표시부는 상기 하나 이상의 프로토콜 원을 각기 다른 색깔로 표시하는 것을 특징으로 하는 지리 정보를 이용한 네트워크 상태 표시장치.
  7. 청구항 4에 있어서,
    상기 네트워크 상태 표시부는 상기 근원지의 실제 위치와 상기 목적지의 실제 위치를 선으로 연결하되, 상기 선을 상기 제 1글로브의 프로토콜 원 및 상기 제 2글로브의 프로토콜 원을 지나게 하는 것을 특징으로 하는 지리 정보를 이용한 네트워크 상태 표시장치.
  8. 청구항 7에 있어서,
    상기 근원지의 실제 위치와 상기 목적지의 실제 위치를 연결하는 선은 상기 제 1글로브와 상기 제 2글로브에서 동일한 프로토콜에 대응되는 프로토콜 원을 지나는 것을 특징으로 하는 지리 정보를 이용한 네트워크 상태 표시장치.
  9. 청구항 4에 있어서,
    상기 네트워크 상태 표시부는 포트별 보안 이벤트의 개수를 소정 형상의 크기로 상기 프로토콜 원에 표시하는 것을 특징으로 하는 지리 정보를 이용한 네트워크 상태 표시장치.
  10. 청구항 4에 있어서,
    상기 네트워크 상태 표시부는 특정 포트 선택신호가 입력되면 해당 포트와 관련된 보안 이벤트의 흐름만을 표시하는 것을 특징으로 하는 지리 정보를 이용한 네트워크 상태 표시장치.
  11. 청구항 1에 있어서,
    상기 네트워크 상태 표시부는,
    상기 근원지 IP주소에 상응하는 근원지의 실제 위치를 표시하기 위한 제 1글로브, 및 상기 목적지 IP주소에 상응하는 목적지의 실제 위치를 표시하기 위한 제 2글로브를 생성하는 글로브 생성 모듈;
    상기 제 1 및 제 2글로브의 둘레에 하나 이상으로 배치되는 프로토콜 원을 생성하는 프로토콜 원 생성 모듈; 및
    상기 근원지 및 목적지의 실제 위치를 선으로 서로 연결하되, 상기 선이 상기 제 1글로브의 프로토콜 원 및 상기 제 2글로브의 프로토콜 원을 지나서 연결되게 하는 보안 이벤트 흐름 표시 모듈을 구비하는 것을 특징으로 하는 지리 정보를 이용한 네트워크 상태 표시장치.
  12. 외부로부터의 보안 이벤트를 수집하는 보안 이벤트 수집단계;
    상기 보안 이벤트 수집단계에서 수집된 보안 이벤트의 특성 데이터내의 근원지 IP주소 및 목적지 IP주소를 그에 상응하는 지리 정보로 변환하는 IP주소 변환단계; 및
    상기 특성 데이터 및 상기 IP주소 변환단계에서 변환된 지리 정보에 근거하여 근원지와 목적지간의 프로토콜별 보안 이벤트의 흐름을 글로브 형상을 포함하는 3차원 화면으로 표시하는 네트워크 상태 표시단계를 포함하는 것을 특징으로 하는 지리 정보를 이용한 네트워크 상태 표시방법.
  13. 청구항 12에 있어서,
    상기 IP주소 변환단계는,
    상기 보안 이벤트 수집단계에서 수집된 보안 이벤트에서 특성 데이터를 추출하는 특성 데이터 추출단계; 및
    상기 특성 데이터 추출단계에서 추출된 특성 데이터내의 근원지 IP주소에 상응하는 근원지의 실제 위치 및 목적지 IP주소에 상응하는 목적지의 실제 위치를 추출해 내는 근원지 및 목적지 위치 추출단계를 포함하는 것을 특징으로 하는 지리 정보를 이용한 네트워크 상태 표시방법.
  14. 청구항 12에 있어서,
    상기 네트워크 상태 표시단계는, 상기 근원지 IP주소에 상응하는 근원지의 실제 위치를 표시하는 제 1글로브, 상기 목적지 IP주소에 상응하는 목적지의 실제 위치를 표시하는 제 2글로브, 및 상기 제 1 및 제 2글로브의 둘레에 하나 이상으로 배치되는 프로토콜 원을 표시하는 것을 특징으로 하는 지리 정보를 이용한 네트워크 상태 표시방법.
  15. 청구항 14에 있어서,
    상기 프로토콜 원에, 원주를 따라 해당 프로토콜의 포트 번호를 매핑시키는 것을 특징으로 하는 지리 정보를 이용한 네트워크 상태 표시방법.
  16. 청구항 14에 있어서,
    상기 네트워크 상태 표시단계는 상기 근원지의 실제 위치와 상기 목적지의 실제 위치를 선으로 연결하되, 상기 선이 상기 제 1글로브의 프로토콜 원 및 상기 제 2글로브의 프로토콜 원을 지나서 연결되게 하는 것을 특징으로 하는 지리 정보를 이용한 네트워크 상태 표시방법.
  17. 청구항 14에 있어서,
    상기 네트워크 상태 표시단계는 포트별 보안 이벤트의 개수를 소정 형상의 크기로 상기 프로토콜 원에 표시하는 것을 특징으로 하는 지리 정보를 이용한 네트워크 상태 표시방법.
  18. 청구항 14에 있어서,
    상기 네트워크 상태 표시단계는 특정 포트 선택신호가 입력되면 해당 포트와 관련된 보안 이벤트 흐름만을 표시하는 것을 특징으로 하는 지리 정보를 이용한 네트워크 상태 표시방법.
KR1020070096537A 2007-09-21 2007-09-21 지리 정보를 이용한 네트워크 상태 표시장치 및 방법 KR100925176B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020070096537A KR100925176B1 (ko) 2007-09-21 2007-09-21 지리 정보를 이용한 네트워크 상태 표시장치 및 방법
PCT/KR2007/005903 WO2009038248A1 (en) 2007-09-21 2007-11-22 Apparatus and method for visualizing network state by using geographic information
US12/679,294 US8266278B2 (en) 2007-09-21 2007-11-22 Apparatus and method for visualizing network state by using geographic information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070096537A KR100925176B1 (ko) 2007-09-21 2007-09-21 지리 정보를 이용한 네트워크 상태 표시장치 및 방법

Publications (2)

Publication Number Publication Date
KR20090030880A true KR20090030880A (ko) 2009-03-25
KR100925176B1 KR100925176B1 (ko) 2009-11-05

Family

ID=40468043

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070096537A KR100925176B1 (ko) 2007-09-21 2007-09-21 지리 정보를 이용한 네트워크 상태 표시장치 및 방법

Country Status (3)

Country Link
US (1) US8266278B2 (ko)
KR (1) KR100925176B1 (ko)
WO (1) WO2009038248A1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101219538B1 (ko) * 2009-07-29 2013-01-08 한국전자통신연구원 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치 및 그 방법
US9871806B2 (en) 2014-06-03 2018-01-16 Electronics And Telecommunications Research Institute Apparatus and method of displaying network security situation
KR101987031B1 (ko) * 2018-11-22 2019-06-10 (주)시큐레이어 네트워크 관제를 위한 정보의 시각화를 제공하는 방법 및 이를 이용한 장치

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7801980B1 (en) 2003-05-12 2010-09-21 Sourcefire, Inc. Systems and methods for determining characteristics of a network
US8272055B2 (en) 2008-10-08 2012-09-18 Sourcefire, Inc. Target-based SMB and DCE/RPC processing for an intrusion detection system or intrusion prevention system
JP5809238B2 (ja) 2010-04-16 2015-11-10 シスコ テクノロジー,インコーポレイテッド 準リアルタイムネットワーク攻撃検出のためのシステムおよび方法、ならびに検出ルーティングによる統合検出のためのシステムおよび方法
US8433790B2 (en) 2010-06-11 2013-04-30 Sourcefire, Inc. System and method for assigning network blocks to sensors
US8671182B2 (en) 2010-06-22 2014-03-11 Sourcefire, Inc. System and method for resolving operating system or service identity conflicts
US8601034B2 (en) * 2011-03-11 2013-12-03 Sourcefire, Inc. System and method for real time data awareness
WO2013040076A1 (en) * 2011-09-12 2013-03-21 Fred Hutchinson Cancer Research Center Dynamics and control of state-dependent networks for probing genomic organization
US8973147B2 (en) 2011-12-29 2015-03-03 Mcafee, Inc. Geo-mapping system security events
CN103036905A (zh) * 2012-12-27 2013-04-10 北京神州绿盟信息安全科技股份有限公司 企业网络安全分析方法和装置
PT3035926T (pt) 2013-08-19 2020-09-01 Univ California Compostos e métodos para tratar um distúrbio epiléptico
CN103595732B (zh) * 2013-11-29 2017-09-15 北京奇虎科技有限公司 一种网络攻击取证的方法及装置
US20150304343A1 (en) 2014-04-18 2015-10-22 Intuit Inc. Method and system for providing self-monitoring, self-reporting, and self-repairing virtual assets in a cloud computing environment
US9866581B2 (en) * 2014-06-30 2018-01-09 Intuit Inc. Method and system for secure delivery of information to computing environments
US10757133B2 (en) 2014-02-21 2020-08-25 Intuit Inc. Method and system for creating and deploying virtual assets
US11294700B2 (en) 2014-04-18 2022-04-05 Intuit Inc. Method and system for enabling self-monitoring virtual assets to correlate external events with characteristic patterns associated with the virtual assets
US10102082B2 (en) 2014-07-31 2018-10-16 Intuit Inc. Method and system for providing automated self-healing virtual assets
WO2016122447A1 (en) * 2015-01-26 2016-08-04 Hewlett-Packard Development Company, L.P. Visually interactive and iteractive analysis of data patterns by a user
HRP20220822T1 (hr) 2015-02-25 2022-10-28 The Regents Of The University Of California 5ht agonisti za liječenje poremećaja epilepsije
US9825986B1 (en) * 2015-06-29 2017-11-21 Symantec Corporation Systems and methods for generating contextually meaningful animated visualizations of computer security events
CN105577669B (zh) * 2015-12-25 2018-09-21 北京神州绿盟信息安全科技股份有限公司 一种识别虚假源攻击的方法及装置
US10542060B2 (en) * 2016-09-19 2020-01-21 Ebay Inc. Interactive real-time visualization system for large-scale streaming data
CN108683663B (zh) * 2018-05-14 2021-04-20 中国科学院信息工程研究所 一种网络安全态势的评估方法及装置
US10992696B2 (en) * 2019-09-04 2021-04-27 Morgan Stanley Services Group Inc. Enterprise-level security method and system

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8621032B2 (en) * 1996-07-18 2013-12-31 Ca, Inc. Method and apparatus for intuitively administering networked computer systems
US7873985B2 (en) * 2002-01-08 2011-01-18 Verizon Services Corp. IP based security applications using location, port and/or device identifier information
US7100204B1 (en) 2002-04-05 2006-08-29 International Business Machines Corporation System and method for determining network users' physical locations
US7609257B2 (en) * 2004-03-29 2009-10-27 Oculus Info Inc. System and method for applying link analysis tools for visualizing connected temporal and spatial information on a user interface
US7546637B1 (en) * 2004-11-22 2009-06-09 Symantec Corproation Structures and methods for using geo-location in security detectors
US7593013B2 (en) * 2005-03-11 2009-09-22 University Of Utah Research Foundation Systems and methods for displaying and querying heterogeneous sets of data
US20070047438A1 (en) * 2005-08-20 2007-03-01 Malloy Patrick J Identifying a transaction of interest within a network
EP1987447A4 (en) * 2006-02-10 2013-01-09 Symantec Internat SYSTEM AND METHOD FOR NETWORK-BASED FRAUD AND AUTHENTICATION SERVICES
US7930256B2 (en) * 2006-05-23 2011-04-19 Charles River Analytics, Inc. Security system for and method of detecting and responding to cyber attacks on large network systems

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101219538B1 (ko) * 2009-07-29 2013-01-08 한국전자통신연구원 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치 및 그 방법
US9871806B2 (en) 2014-06-03 2018-01-16 Electronics And Telecommunications Research Institute Apparatus and method of displaying network security situation
KR101987031B1 (ko) * 2018-11-22 2019-06-10 (주)시큐레이어 네트워크 관제를 위한 정보의 시각화를 제공하는 방법 및 이를 이용한 장치

Also Published As

Publication number Publication date
US8266278B2 (en) 2012-09-11
US20100257267A1 (en) 2010-10-07
WO2009038248A1 (en) 2009-03-26
KR100925176B1 (ko) 2009-11-05

Similar Documents

Publication Publication Date Title
KR100925176B1 (ko) 지리 정보를 이용한 네트워크 상태 표시장치 및 방법
KR100885293B1 (ko) 네트워크 보안 상황 표시 장치 및 그 방법
CN109818985B (zh) 一种工控***漏洞趋势分析与预警方法及***
KR100949803B1 (ko) 아이피 주소 분할 표시 장치 및 방법
Hideshima et al. STARMINE: A visualization system for cyber attacks
KR101737914B1 (ko) 네트워크 보안 상황 표시 장치 및 그 방법
KR101003104B1 (ko) 무선 네트워크에서 보안 상황 감시 장치
Keim et al. Monitoring network traffic with radial traffic analyzer
Inoue et al. DAEDALUS-VIZ: novel real-time 3D visualization for darknet monitoring-based alert system
KR20120057066A (ko) 네트워크 보안관제 시스템 및 방법, 네트워크 보안관제를 위한 보안 이벤트 처리 장치 및 시각화 처리 장치
Taylor et al. NetBytes viewer: An entity-based netflow visualization utility for identifying intrusive behavior
KR100656352B1 (ko) 네트워크의 보안 관련 이벤트 정보를 표시하는 방법
Ohnof et al. IPMatrix: An effective visualization framework for cyber threat monitoring
Li et al. The research on network security visualization key technology
KR101384618B1 (ko) 노드 분석 기법을 이용한 위험요소 추출 시스템
JP4825979B2 (ja) 通信ログ視覚化装置、通信ログ視覚化方法及び通信ログ視覚化プログラム
Kaur et al. A methodical review on network traffic monitoring & analysis tools
Abad et al. Correlation between netflow system and network views for intrusion detection
CN115643096A (zh) 一种可进行态势感知安全威胁预警的联动分析***及方法
Ten et al. Study on advanced visualization tools in network monitoring platform
Peng Research of network intrusion detection system based on snort and NTOP
CN114244727A (zh) 一种电力物联网通信全景图即时生成方法及***
KR100949805B1 (ko) 지리 정보를 활용한 관리 도메인의 보안 상황 표시장치 및방법
KR101913339B1 (ko) 네트워크 보안상황 시각화 장치
WO2019123449A1 (en) A system and method for analyzing network traffic

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20121011

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20130923

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20140926

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20150925

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170927

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20181001

Year of fee payment: 10