KR20120057066A - 네트워크 보안관제 시스템 및 방법, 네트워크 보안관제를 위한 보안 이벤트 처리 장치 및 시각화 처리 장치 - Google Patents

네트워크 보안관제 시스템 및 방법, 네트워크 보안관제를 위한 보안 이벤트 처리 장치 및 시각화 처리 장치 Download PDF

Info

Publication number
KR20120057066A
KR20120057066A KR1020100118632A KR20100118632A KR20120057066A KR 20120057066 A KR20120057066 A KR 20120057066A KR 1020100118632 A KR1020100118632 A KR 1020100118632A KR 20100118632 A KR20100118632 A KR 20100118632A KR 20120057066 A KR20120057066 A KR 20120057066A
Authority
KR
South Korea
Prior art keywords
security
network
visualization
event
information
Prior art date
Application number
KR1020100118632A
Other languages
English (en)
Inventor
이성원
김기영
안개일
김종현
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020100118632A priority Critical patent/KR20120057066A/ko
Priority to US13/198,215 priority patent/US20120137361A1/en
Publication of KR20120057066A publication Critical patent/KR20120057066A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T11/002D [Two Dimensional] image generation
    • G06T11/20Drawing from basic elements, e.g. lines or circles
    • G06T11/206Drawing of charts or graphs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/021Services related to particular areas, e.g. point of interest [POI] services, venue services or geofences

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Human Computer Interaction (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

IP 중심의 보안 시각화는 각각의 IP 정보에 대한 상세한 정보는 제공할 수 있으나, 관리자 입장에서 ISP(Internet Service Provider) 또는 대상기관의 세부 조직별 보안 상황은 확인이 불가능하며, 관리자가 보안상황에 대한 조치를 하는 경우에도 개별 IP에 대하여 각각 대응해야 하기 때문에, 관리 측면상 비효율적이라는 문제가 있다. 이에 본 발명의 실시예에서는, 트래픽 모니터링 장비, 방화벽(firewall) 시스템, IDS(Intrusion Detection System)/IPS(Intrusion Preventing System), DDoS(Distribute Denial of Service) 탐지/대응 시스템 등의 네트워크 이벤트 발생부로부터 전송되는 네트워크 이벤트를 수집하고 이들의 위험도를 계산하여 단일의 3차원 시각화 정보, 예를 들어 다중 디스크(multi-disc) 구조의 3차원 시각화 정보를 화면에 디스플레이 처리함으로써, 네트워크의 보안상황을 각각의 기관정보, 예를 들어 ISP(Internet Service Provider) 기관정보, AS(Autonomous System) 기관정보 별로 실시간 제공할 수 있는 네트워크 보안관제 기술을 제안하고자 한다.

Description

네트워크 보안관제 시스템 및 방법, 네트워크 보안관제를 위한 보안 이벤트 처리 장치 및 시각화 처리 장치{METHOD AND SYSTEM FOR PROVIDING NETWORK SECURITY OPERATION SYSTEM, SECURITY EVENT PROCESSING APPARATUS AND VISUAL PROCESSING APPARATUS FOR NETWORK SECURITY OPERATION}
본 발명은 네트워크 보안관제 기술에 관한 것으로, 특히 보안장비로부터 수집한 보안데이터를 이용하여 관제 대상기관의 위험도를 계산하고, 이를 다중 디스크 구조의 3차원 시각화 정보로 디스플레이 처리하여 실시간으로 보안상황을 인지시키는데 적합한 네트워크 보안관제 시스템 및 방법, 네트워크 보안관제를 위한 보안 이벤트 처리 장치 및 시각화 처리 장치에 관한 것이다.
종래의 네트워크 보안관제 시스템에서는, 하나의 네트워크 보안 이벤트의 발신지 IP(Internet Protocol) 정보, 사용포트, 프로토콜, 착신지 IP 정보를 이용하여 하나의 선의 형태로 표현하였다. 따라서, 전체 네트워크의 보안 이벤트가 IP 관점에서 시각화 정보로 표현될 수 있다.
이러한 IP 중심의 보안 시각화는 각각의 IP 정보에 대한 상세한 정보는 제공할 수 있으나, 관리자 입장에서 ISP(Internet Service Provider) 또는 대상기관의 세부 조직별 보안 상황은 확인이 불가능하며, 관리자가 보안상황에 대한 조치를 하는 경우에도 개별 IP에 대하여 각각 대응해야 하기 때문에, 관리 측면상 비효율적이라는 문제가 있다.
이에 본 발명의 실시예에서는, 트래픽 모니터링 장비, 방화벽(firewall) 시스템, IDS(Intrusion Detection System)/IPS(Intrusion Preventing System), DDoS(Distribute Denial of Service) 탐지/대응 시스템 등의 네트워크 이벤트 발생부로부터 전송되는 네트워크 이벤트를 수집하고 이들의 위험도를 계산하여 단일의 3차원 시각화 정보, 예를 들어 다중 디스크(multi-disc) 구조의 3차원 시각화 정보를 화면에 디스플레이 처리함으로써, 네트워크의 보안상황을 각각의 기관정보, 예를 들어 ISP(Internet Service Provider) 기관정보, AS(Autonomous System) 기관정보 별로 실시간 제공할 수 있는 네트워크 보안관제 기술을 제안하고자 한다.
본 발명의 실시예에 따른 네트워크 보안관제 시스템은, 네트워크 이벤트를 발생하는 네트워크 이벤트 발생부와, 상기 네트워크 이벤트 발생부를 통해 발생되는 상기 네트워크 이벤트를 네트워크를 통해 수신하고, 수신되는 상기 네트워크 이벤트를 수집 및 가공하여 시각화 대상 데이터로 처리하는 보안 이벤트 처리 장치와, 상기 보안 이벤트 처리 장치에 의해 처리되는 상기 시각화 대상 데이터를 시각화 처리하여 보안상황을 기관정보 단위의 3차원 시각화 정보로 디스플레이 처리하는 시각화 처리 장치를 포함할 수 있다.
여기서, 상기 네트워크 이벤트 발생부는, 트래픽 모니터링 장비 또는 방화벽(firewall) 시스템 또는 IDS(Intrusion Detection System) 또는 IPS(Intrusion Preventing System) 또는 DDoS(Distribute Denial of Service) 탐지 시스템 중 적어도 하나를 포함할 수 있다.
또한, 상기 보안 이벤트 처리 장치는, 상기 네트워크 이벤트 발생부로부터 전송되는 상기 네트워크 이벤트를 보안 이벤트로 분류하고, 분류된 상기 보안 이벤트를 기반으로 기관정보를 검색하며, 분류된 상기 보안 이벤트에 대하여 시각화 대상 데이터를 선정하고, 선정되는 상기 시각화 대상 데이터를 상기 시각화 처리 장치로 전달할 수 있다.
또한, 상기 기관정보 단위는, ISP(Internet Service Provider) 기관정보 단위 또는 AS(Autonomous System) 기관정보 중 하나 이상일 수 있다.
또한, 상기 3차원 시각화 정보는, 3차원 다중 디스크 구조를 포함할 수 있다.
본 발명의 실시예에 따른 네트워크 보안관제를 위한 보안 이벤트 처리 장치는, 네트워크 이벤트 발생부로부터 전송되는 네트워크 이벤트를 좀비PC 로그와 보안 로그를 이용하여 보안 이벤트로 분류하는 보안 이벤트 분류부와, 상기 보안 이벤트 분류부를 통해 분류된 보안 이벤트를 기반으로 기관정보를 검색하는 기관정보 검색부와, 상기 기관정보 검색부에서 검색된 기관정보와, 상기 네트워크 이벤트를 분류할 때 이용된 상기 보안 로그에 대하여 보안 위협의 정도에 따라 시각화 대상 데이터를 선정하는 보안 이벤트 축약부를 포함할 수 있다.
여기서, 상기 기관정보 검색부는, 상기 보안 로그로 분류된 네트워크 이벤트에 포함된 IP(internet Protocol)에 대하여 소속 기관정보를 검색할 수 있다.
또한, 상기 소속 기관정보는, ISP 기관정보 또는 AS 기관정보 중 하나 이상을 포함할 수 있다.
또한, 상기 시각화 대상 데이터는, 다수의 공격 탐지 알고리즘과 속성을 이용하여 선정되는 것을 특징으로 할 수 있다.
본 발명의 실시예에 따른 네트워크 보안관제를 위한 시각화 처리 장치는, 네트워크 이벤트에 대한 보안상황을 나타내기 위한 다중 디스크 구조의 3차원 시각화 정보를 외부로 디스플레이 처리하는 3차원 보안상황 시각화부와, 상기 3차원 보안상황 시각화부를 통해 디스플레이 처리되는 대상을 나타내기 위한 시각화 정보를 외부로 디스플레이 처리하는 대상표시 처리부와, 상기 3차원 보안상황 시각화부에서 표현되는 대상기관에 대한 보안정보를 요약 표시하기 위한 부가정보 표시부를 포함할 수 있다.
여기서, 상기 3차원 시각화 정보는, 다수의 디스크를 쌓아놓고 그 중 일부를 자른 디스플레이 형태를 포함할 수 있다.
또한, 상기 다중 디스크 구조는, 좀비PC의 공격명 또는 공격방향 또는 공격량 또는 공격유형이 디스플레이 처리될 수 있다.
또한, 상기 다중 디스크 구조는, 상기 다중 디스크 구조의 지름 방향에 좀비PC의 공격유형이 표시되고, 상기 다중 디스크 구조의 호 방향에 공격명이 표시될 수 있다.
또한, 상기 대상표시 처리부는, 레이더 구조의 시각화 정보를 포함할 수 있다.
또한, 상기 레이더 구조의 시각화 정보는, 상기 3차원 보안상황 시각화부를 통해 표시되는 상기 대상기관을 표시하기 위한 레이더 바늘 형상을 통해 상기 대상기관을 부각시킬 수 있다.
또한, 상기 대상기관은, ISP 또는 AS 중 하나일 수 있다.
본 발명의 실시예에 다른 네트워크 보안관제 방법은, IP 정보를 포함하는 네트워크 이벤트가 발생되면, 발생되는 상기 네트워크 이벤트를 보안 이벤트로 분류하는 과정과, 분류되는 상기 보안 이벤트를 기반으로 기관정보를 검색하는 과정과, 검색되는 상기 기관정보와, 상기 네트워크 이벤트의 보안 로그에 대하여 보안 위협의 정도에 따라 시각화 대상 데이터를 선정하는 과정과, 선정되는 상기 시각화 대상 데이터를 다중 디스크 구조의 3차원 시각화 정보로 디스플레이 처리하는 과정을 포함할 수 있다.
여기서, 상기 보안 이벤트는, 상기 네트워크 이벤트를 좀비PC 로그와 상기 보안 로그를 이용하여 분류될 수 있다.
또한, 상기 다중 디스크 구조는, 좀비PC의 공격명 또는 공격방향 또는 공격량 또는 공격유형이 디스플레이 처리될 수 있다.
또한, 상기 기관정보는, ISP 기관정보 또는 AS 기관정보 중 하나일 수 있다.
본 발명에 의하면, IP 기반의 기존 네트워크 보안상황 인식이 아닌 ISP(Internet Service Provider)별 각 기관별 보안 상황을 3차원 화면으로 표현함으로써, 네트워크 보안 관리자로 하여금 ISP별, 기관별 보안상황을 보다 직관적으로 파악 및 대처할 수 있게 한다. 또한, 본 발명에서는 좀비PC, C&C서버의 분포현황과 네트워크 공격상황을 하나의 화면에 표현함으로써 좀비 PC와 공격이벤트의 연관성을 직관적으로 파악할 수 있게 한다. 또한, 본 발명에 사용되는 디스크 형태의 3차원 시각화 구조는 프로토콜, 포트번호뿐만 아니라, 공격유형, 공격명 등의 다양한 속성을 이용하여 공격을 표현함으로써, 보다 직접적이고 다양하게 공격의 특성을 나타낼 수 있다.
도 1은 본 발명의 실시예에 따른 네트워크 보안관제 시스템에 대한 구성 블록도,
도 2는 본 발명의 실시예에 따른 네트워크 보안관제를 위한 보안 이벤트 처리 장치, 예컨대 도 1의 보안 이벤트 처리 장치(300)의 상세 구성 블록도,
도 3은 본 발명의 실시예에 따른 네트워크 보안관제를 위한 시각화 처리 장치, 예컨대 도 1의 시각화 처리 장치(400)의 상세 구성 블록도,
도 4는 도 3의 대상표시 레이더부(402)를 통한 디스플레이 출력 형태를 예시한 도면,
도 5는 도 3의 부가정보 표시부(404)를 통한 디스플레이 출력 형태를 예시한 도면,
도 6은 도 3의 3차원 보안상황 시각화부(406)를 통한 3차원 시각화 구조의 디스플레이 출력 형태, 예를 들어 디스크 형태를 예시한 도면,
도 7은 도 6의 디스크 형태의 3차원 시각화 구조에서 공격유형과 공격명을 표현한 예시 도면.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 도면부호는 동일 구성 요소를 지칭한다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이하, 본 발명의 실시예에 대해 첨부된 도면을 참조하여 상세히 설명하기로 한다.
도 1은 본 발명의 실시예에 따른 네트워크 보안관제 시스템에 대한 구성 블록도로서, 네트워크 이벤트 발생부(100), 네트워크(200), 보안 이벤트 처리 장치(300), 시각화 처리 장치(400) 등을 포함할 수 있다.
도 1에 도시한 바와 같이, 네트워크 이벤트 발생부(100)는 네트워크 이벤트를 발생하여 네트워크(200)를 통해 보안 이벤트 처리 장치(300)로 전송하는 수단으로서, 예를 들면 트래픽 모니터링 장비, 방화벽(firewall) 시스템, IDS(Intrusion Detection System)/IPS(Intrusion Preventing System), DDoS(Distribute Denial of Service) 탐지/대응 시스템 등을 포함할 수 있다. 이러한 네트워크 이벤트에는 일반적인 IP 정보가 포함될 수 있다.
네트워크(200)는 광대역 통신망 및 근거리 통신망 등을 포함할 수 있으며, 네트워크 이벤트 발생부(100)에서 발생되는 네트워크 이벤트가 보안 이벤트 처리 장치(300)로 전송될 수 있게 하는 통신 환경을 제공한다.
여기서, 광대역 통신망은 광대역 무선 통신망과 광대역 유선 통신망을 포함할 수 있다.
광대역 무선 통신망은, 예를 들어 기지국 및 기지국 제어기를 포함하며 동기식 및 비동기식을 모두 지원하는 이동통신 시스템을 포함할 수 있다. 동기식인 경우에는 기지국은 BTS(Base Transceiver Station), 기지국 제어기는 BSC(Base Station Controller)가 될 것이고, 비동기식인 경우에는 기지국은 노드 B(Node B), 기지국 제어기는 RNC(Radio Network Controller)가 될 것이다. 물론, 광대역 무선 통신망은 이에 한정되는 것은 아니고, CDMA망이 아닌 GSM(Global System for Mobile Communication)망 및 향후 구현될 모든 이동통신 시스템의 접속망을 포함할 수 있을 것이다.
광대역 유선 통신망은, 예를 들어 인터넷(internet)으로서, TCP/IP 프로토콜 및 그 상위계층에 존재하는 여러 서비스, 즉 HTTP(Hyper Text Transfer Protocol), Telnet, FTP(File Transfer Protocol), DNS(Domain Name System), SMTP(Simple Mail Transfer Protocol), SNMP(Simple Network Management Protocol), NFS(Network File Service), NIS(Network Information Service)를 제공하는 전 세계적인 개방형 컴퓨터 네트워크 구조를 의미하며, 네트워크 이벤트 발생부(100)로부터 발생되는 보안 이벤트가 보안 이벤트 처리 장치(300)로 전송될 수 있게 하는 유선통신 환경을 제공할 수 있다.
네트워크(200) 내의 근거리 통신망은 근거리 유선 통신망과 근거리 무선 통신망을 포함할 수 있다.
근거리 유선 통신망은, 예를 들어 LAN(Local Area Network)으로서, 네트워크 이벤트 발생부(100)와 보안 이벤트 처리 장치(300) 간의 근거리 유선 통신 환경을 제공할 수 있다.
근거리 무선 통신망은, 네트워크 이벤트 발생부(100)와 보안 이벤트 처리 장치(300) 간의 근거리 무선 통신 환경을 제공하는 것으로, 예를 들어 와이파이(Wi-Fi) 등의 무선통신 환경을 포함할 수 있다.
본 발명의 실시예에 따른 보안 이벤트 처리 장치(300)는 네트워크 이벤트 발생부(100)로부터 전송되는 네트워크 이벤트를 수집 및 가공하여 시각화 처리 장치(400)로 전달할 수 있다.
구체적으로, 보안 이벤트 처리 장치(300)는 네트워크 이벤트 발생부(100)로부터 전송되는 네트워크 이벤트를 보안 이벤트로 분류하고, 분류된 보안 이벤트를 기반으로 기관정보를 검색하며, 분류된 보안 이벤트에 대하여 시각화 대상 데이터를 선정하고, 선정되는 시각화 대상 데이터를 시각화 처리 장치(400)로 전달하는 역할을 할 수 있다.
시각화 처리 장치(400)는 보안 이벤트 처리 장치(300)로부터 전달되는 시각화 대상 데이터를 시각화 처리하여 사용자에게 출력할 수 있는데, 예컨대 단일의 3차원 시각화 정보, 예를 들어 다중 디스크(multi-disc) 구조의 3차원 시각화 정보를 화면에 디스플레이 처리함으로써, 네트워크의 보안상황을 각각의 기관정보, 예를 들어 ISP(Internet Service Provider) 기관정보, AS(Autonomous System) 기관정보 별로 실시간 제공할 수 있다.
도 2는 도 1의 보안 이벤트 처리 장치(300)에 대한 상세 구성을 블록도로서, 보안 이벤트 분류부(302), 기관정보 검색부(304), 보안 이벤트 축약부(306) 등을 포함할 수 있다.
도 2에 도시한 바와 같이, 보안 이벤트 분류부(302)는 네트워크 이벤트 발생부(100)로부터 전송되는 네트워크 이벤트를 보안 이벤트로 분류할 수 있는데, 예를 들어 봇넷(botnet)에 의한 좀비(zombie) PC 로그와 그 밖의 보안 로그(일반적인 보안 로그)별로 네트워크 이벤트를 분류할 수 있다. 이때, 네트워크 이벤트에는 IP 정보가 포함될 수 있으며, 대부분의 일반 보안로그는 발신지 IP와 목적지 IP를 가지고, 좀비 PC 로그는 악성코드가 탐지되어 좀비화된 PC의 IP만을 가질 수 있기 때문에, 좀비 PC 로그와 일반 보안 로그로 네트워크 이벤트를 분류할 수 있다.
기관정보 검색부(304)는 보안 이벤트 분류부(302)를 통해 분류된 보안 이벤트를 기반으로 기관정보를 검색할 수 있다. 즉, 일반 보안로그로 분류된 네트워크 이벤트에 포함된 IP에 대하여 소속 기관정보를 검색할 수 있다. 기관정보 검색부(304)를 통해 검색되는 기관정보로는, 예를 들어 ISP 기관정보 및/또는 AS 기관정보 등이 포함될 수 있다.
보안 이벤트 축약부(306)는 기관정보 검색부(304)에서 검색된 기관정보와, 네트워크 이벤트를 분류할 때 이용된 일반 보안 로그에 대하여 보안 위협의 정도에 따라 시각화 대상 데이터를 선정할 수 있다. 시각화 대상 데이터의 선정에는 여러 가지 공격 탐지 알고리즘과 속성을 사용할 수 있는데, 예를 들어, 공격탐지 개수가 특정시간 내에 특정값 이상인 것을 대상으로 할 수 있고, 공격의 취약점 점수와 공격의 양을 모두 고려하여 대상을 선정할 수도 있다.
선정된 시각화 대상 데이터는, 보안 이벤트 축약부(306)를 통해 시각화 처리 장치(400)로 제공될 수 있다.
도 3은 도 1의 시각화 처리 장치(400)의 상세 구성을 나타낸 도면으로서, 대상표시 레이더부(402), 부가정보 표시부(404), 3차원 보안상황 시각화부(406) 등을 포함할 수 있다.
도 3에 도시한 바와 같이, 대상표시 레이더부(402)는 3차원 보안상황 시각화부(406)를 통해 디스플레이 처리되는 대상을 나타내기 위한 시각화 정보를 외부로 디스플레이 처리할 수 있다.
이와 같은 대상표시 레이더부(402)를 통해 제공되는 시각화 정보는, 도 4에 예시한 바와 같은 레이더(RADAR) 구조의 시각화 정보를 포함할 수 있다.
도 4에 도시한 바와 같이, 레이더 구조의 시각화 정보는 레이더를 나타내는 원(42)에 관제의 대상이 되는 모든 기관정보(44), 예를 들어 ISP 기관정보, AS 기관정보 등의 이름들을 표현하고, 3차원 보안상황 시각화부(406)를 통해 표시되는 대상을 레이더 바늘(46)로 표현할 수 있다. 레이더 바늘(46)은 일정속도로 회전할 수 있으며, 대상기관과 레이더 바늘(46)이 일치할 경우에 레이더 바늘(46)이 더 밝고 넓게 표시되도록 하여 현재 시각화되는 대상을 부각시킬 수 있다. 레이더 바늘(46)은 마우스의 터치 또는 터치인식 화면에서 특정 기관이 포인팅 될 경우에 해당 기관으로 이동될 수 있다.
부가정보 표시부(404)는 3차원 보안상황 시각화부(406)에서 표현되는 대상기관에 대한 보안정보를 요약해서 보여주는 기능을 수행할 수 있다. 이러한 부가정보 표시부(404)는, 예를 들어, 대상기관의 총 취약점 점수의 합, 탐지된 좀비PC의 수, 로그건수, 트래픽의 BPS(Byte Per Second) 정보, 트래픽의 PPS(Packet Per Second) 정보 등을 표시할 수 있다.
도 5는 로그건수, 선정된 대상 이벤트 건수(탐지건수), 좀비PC의 수, BPS 정보, PPS 정보 등을 방사형 그래프를 통해 예시적으로 표현한 도면이다.
3차원 보안상황 시각화부(406)는 보안상황을 나타내기 위한 3차원 시각화 정보를 외부로 디스플레이 처리할 수 있다.
이와 같은 3차원 보안상황 시각화부(406)를 통해 제공되는 3차원 시각화 정보는, 도 6에 예시한 바와 같은 다중 디스크(multi-disc) 구조의 3차원 시각화 정보를 포함할 수 있다.
도 6에 도시한 바와 같이, 3차원 보안상황 시각화부(406)의 3차원 시각화 정보는, 여러 개의 디스크를 쌓아놓고 그 중 일부를 자른 것과 같은 구조를 가질 수 있다. 도 6에서 도면부호 470의 디스크 상의 좌표를 웜(또는 Sasser 웜)이라고 가정하기로 한다.
도 6에서 디스크의 안쪽은 대상기관(관제 대상기관)이 표현될 수 있으며(410), 바깥쪽은 전체 기관과 해외의 경우 국가가 함께 표현될 수 있다(420). 예를 들어, 도 6의 도면부호 410은 관심대상이 F라는 ISP이고, 각 지역별 보안현황을 표현한 것이다. 이때, 원의 안쪽과 바깥쪽에는 해당 기관에서 탐지된 좀비PC의 수가 막대 그래프로 표현될 수 있다(430). 따라서, 각 기관에서 발생한 공격과 탐지된 좀비PC 사이의 관계를 파악할 수 있다.
3차원 보안상황 시각화부(406)를 통해 디스플레이 되는 3차원 디스크 구조는 보안상황의 속성별 특징을 표현하는데 사용될 수 있다. 예를 들어, 3차원 디스크 구조의 지름 방향에는 공격유형(450)을, 3차원 디스크 구조의 호 방향에는 공격명(460)을 표현하여 대상기관에서 발생한 보안상황을 공격유형별 공격명별로 직관적으로 파악할 수 있게 한다.
다만, 이러한 표현 방식은 본 발명의 실시예의 이해를 돕고자 한 것이며, 본 발명을 특징짓는 것은 아님을 주지할 필요가 있다. 예컨대, 3차원 보안상황 시각화부(406)는 도 7에 예시한 바와 같이, 목적지의 포트번호와 프로토콜을 사용하여 보안상황을 직관적으로 파악할 수 있게 구현할 수도 있다.
또한, 도 6에서 서로 다른 3차원 디스크 구조(440)는, 발생한 보안 이벤트의 양을 파악하는데 이용될 수 있다. 예컨대, 3차원 디스크 구조가 위로 향할수록 보안 이벤트가 많이 발생했음을 의미할 수 있다.
또한, 3차원 다중 디스크 구조에서의 공격상황은 화살표의 괘적(470), 즉 방향과 높이로 표현될 수 있다. 예를 들어, 도 6의 도면부호 470은 일본에서 이벤트가 발생하여 한국의 ISP F의 서울지역으로 공격이 발생했음을 의미할 수 있으며(공격방향), 공격은 분당 약 60회 발생하였고(공격량), 이 공격에는 Sasser 웜이 사용되었음을 알 수 있다(공격명).
이상 설명한 바와 같은 본 발명의 실시예에 의하면, 네트워크 이벤트를 수집하고 이들의 위험도를 계산하여 단일의 3차원 시각화 정보, 예를 들어 다중 디스크 구조의 3차원 시각화 정보를 화면에 디스플레이 처리함으로써, 네트워크의 보안상황을 각각의 기관정보, 예를 들어 ISP 기관정보, AS 기관정보 별로 실시간 제공할 수 있게 구현한 것이다.
100: 네트워크 이벤트 발생부
200: 네트워크
300: 보안 이벤트 처리 장치
302: 보안 이벤트 분류부
304: 기관정보 검색부
306: 보안 이벤트 축약부
400: 시각화 처리 장치
402: 대상표시 레이더부
404: 부가정보 표시부
406: 3차원 보안상황 시각화부

Claims (20)

  1. 네트워크 이벤트를 발생하는 네트워크 이벤트 발생부와,
    상기 네트워크 이벤트 발생부를 통해 발생되는 상기 네트워크 이벤트를 네트워크를 통해 수신하고, 수신되는 상기 네트워크 이벤트를 수집 및 가공하여 시각화 대상 데이터로 처리하는 보안 이벤트 처리 장치와,
    상기 보안 이벤트 처리 장치에 의해 처리되는 상기 시각화 대상 데이터를 시각화 처리하여 보안상황을 기관정보 단위의 3차원 시각화 정보로 디스플레이 처리하는 시각화 처리 장치를 포함하는
    네트워크 보안관제 시스템.
  2. 제 1 항에 있어서,
    상기 네트워크 이벤트 발생부는, 트래픽 모니터링 장비 또는 방화벽(firewall) 시스템 또는 IDS(Intrusion Detection System) 또는 IPS(Intrusion Preventing System) 또는 DDoS(Distribute Denial of Service) 탐지 시스템 중 적어도 하나를 포함하는
    네트워크 보안관제 시스템.
  3. 제 1 항에 있어서,
    상기 보안 이벤트 처리 장치는, 상기 네트워크 이벤트 발생부로부터 전송되는 상기 네트워크 이벤트를 보안 이벤트로 분류하고, 분류된 상기 보안 이벤트를 기반으로 기관정보를 검색하며, 분류된 상기 보안 이벤트에 대하여 시각화 대상 데이터를 선정하고, 선정되는 상기 시각화 대상 데이터를 상기 시각화 처리 장치로 전달하는
    네트워크 보안관제 시스템.
  4. 제 1 항에 있어서,
    상기 기관정보 단위는, ISP(Internet Service Provider) 기관정보 단위 또는 AS(Autonomous System) 기관정보 중 하나 이상인
    네트워크 보안관제 시스템.
  5. 제 1 항에 있어서,
    상기 3차원 시각화 정보는, 3차원 다중 디스크 구조를 포함하는
  6. 네트워크 이벤트 발생부로부터 전송되는 네트워크 이벤트를 좀비PC 로그와 보안 로그를 이용하여 보안 이벤트로 분류하는 보안 이벤트 분류부와,
    상기 보안 이벤트 분류부를 통해 분류된 보안 이벤트를 기반으로 기관정보를 검색하는 기관정보 검색부와,
    상기 기관정보 검색부에서 검색된 기관정보와, 상기 네트워크 이벤트를 분류할 때 이용된 상기 보안 로그에 대하여 보안 위협의 정도에 따라 시각화 대상 데이터를 선정하는 보안 이벤트 축약부를 포함하는
    네트워크 보안관제를 위한 보안 이벤트 처리 장치.
  7. 제 6 항에 있어서,
    상기 기관정보 검색부는, 상기 보안 로그로 분류된 네트워크 이벤트에 포함된 IP(internet Protocol)에 대하여 소속 기관정보를 검색하는
    네트워크 보안관제를 위한 보안 이벤트 처리 장치.
  8. 제 6 항에 있어서,
    상기 소속 기관정보는, ISP 기관정보 또는 AS 기관정보 중 하나 이상을 포함하는
    네트워크 보안관제를 위한 보안 이벤트 처리 장치.
  9. 제 6 항에 있어서,
    상기 시각화 대상 데이터는, 다수의 공격 탐지 알고리즘과 속성을 이용하여 선정되는 것을 특징으로 하는
    네트워크 보안관제를 위한 보안 이벤트 처리 장치.
  10. 네트워크 이벤트에 대한 보안상황을 나타내기 위한 다중 디스크 구조의 3차원 시각화 정보를 외부로 디스플레이 처리하는 3차원 보안상황 시각화부와,
    상기 3차원 보안상황 시각화부를 통해 디스플레이 처리되는 대상을 나타내기 위한 시각화 정보를 외부로 디스플레이 처리하는 대상표시 처리부와,
    상기 3차원 보안상황 시각화부에서 표현되는 대상기관에 대한 보안정보를 요약 표시하기 위한 부가정보 표시부를 포함하는
    네트워크 보안관제를 위한 시각화 처리 장치.
  11. 제 10 항에 있어서,
    상기 3차원 시각화 정보는, 다수의 디스크를 쌓아놓고 그 중 일부를 자른 디스플레이 형태를 포함하는
    네트워크 보안관제를 위한 시각화 처리 장치.
  12. 제 10 항에 있어서,
    상기 다중 디스크 구조는, 좀비PC의 공격명 또는 공격방향 또는 공격량 또는 공격유형이 디스플레이 처리되는
    네트워크 보안관제를 위한 시각화 처리 장치.
  13. 제 10 항에 있어서,
    상기 다중 디스크 구조는, 상기 다중 디스크 구조의 지름 방향에 좀비PC의 공격유형이 표시되고, 상기 다중 디스크 구조의 호 방향에 공격명이 표시되는
    네트워크 보안관제를 위한 시각화 처리 장치.
  14. 제 10 항에 있어서,
    상기 대상표시 처리부는, 레이더 구조의 시각화 정보를 포함하는
    네트워크 보안관제를 위한 시각화 처리 장치.
  15. 제 14 항에 있어서,
    상기 레이더 구조의 시각화 정보는,
    상기 3차원 보안상황 시각화부를 통해 표시되는 상기 대상기관을 표시하기 위한 레이더 바늘 형상을 통해 상기 대상기관을 부각시키는
    네트워크 보안관제를 위한 시각화 처리 장치.
  16. 제 10 항에 있어서,
    상기 대상기관은, ISP 또는 AS 중 하나인
    네트워크 보안관제를 위한 시각화 처리 장치.
  17. IP 정보를 포함하는 네트워크 이벤트가 발생되면, 발생되는 상기 네트워크 이벤트를 보안 이벤트로 분류하는 과정과,
    분류되는 상기 보안 이벤트를 기반으로 기관정보를 검색하는 과정과,
    검색되는 상기 기관정보와, 상기 네트워크 이벤트의 보안 로그에 대하여 보안 위협의 정도에 따라 시각화 대상 데이터를 선정하는 과정과,
    선정되는 상기 시각화 대상 데이터를 다중 디스크 구조의 3차원 시각화 정보로 디스플레이 처리하는 과정을 포함하는
    네트워크 보안관제 방법.
  18. 제 17 항에 있어서,
    상기 보안 이벤트는, 상기 네트워크 이벤트를 좀비PC 로그와 상기 보안 로그를 이용하여 분류되는
    네트워크 보안관제 방법.
  19. 제 17 항에 있어서,
    상기 다중 디스크 구조는, 좀비PC의 공격명 또는 공격방향 또는 공격량 또는 공격유형이 디스플레이 처리되는
    네트워크 보안관제 방법.
  20. 제 17 항에 있어서,
    상기 기관정보는, ISP 기관정보 또는 AS 기관정보 중 하나인
    네트워크 보안관제 방법.
KR1020100118632A 2010-11-26 2010-11-26 네트워크 보안관제 시스템 및 방법, 네트워크 보안관제를 위한 보안 이벤트 처리 장치 및 시각화 처리 장치 KR20120057066A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020100118632A KR20120057066A (ko) 2010-11-26 2010-11-26 네트워크 보안관제 시스템 및 방법, 네트워크 보안관제를 위한 보안 이벤트 처리 장치 및 시각화 처리 장치
US13/198,215 US20120137361A1 (en) 2010-11-26 2011-08-04 Network security control system and method, and security event processing apparatus and visualization processing apparatus for network security control

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100118632A KR20120057066A (ko) 2010-11-26 2010-11-26 네트워크 보안관제 시스템 및 방법, 네트워크 보안관제를 위한 보안 이벤트 처리 장치 및 시각화 처리 장치

Publications (1)

Publication Number Publication Date
KR20120057066A true KR20120057066A (ko) 2012-06-05

Family

ID=46127544

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100118632A KR20120057066A (ko) 2010-11-26 2010-11-26 네트워크 보안관제 시스템 및 방법, 네트워크 보안관제를 위한 보안 이벤트 처리 장치 및 시각화 처리 장치

Country Status (2)

Country Link
US (1) US20120137361A1 (ko)
KR (1) KR20120057066A (ko)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9130981B2 (en) 2012-07-09 2015-09-08 Electronics And Telecommunications Research Institute Method and apparatus for visualizing network security state
WO2016028067A3 (ko) * 2014-08-18 2016-04-07 주식회사 시큐그래프 시각화를 이용한 악성 코드 탐지 시스템과 방법
WO2017095380A1 (en) * 2015-11-30 2017-06-08 Hewlett-Packard Development Company, L.P Security mitigation action selection based on device usage
WO2019009497A1 (ko) * 2017-07-07 2019-01-10 광주과학기술원 클러스터 시각화 장치
KR102038927B1 (ko) * 2018-11-17 2019-10-31 한국과학기술정보연구원 공격자 가시화 장치 및 공격자 가시화 장치의 동작 방법
KR102038926B1 (ko) * 2018-11-17 2019-11-15 한국과학기술정보연구원 공격자 선정 장치 및 공격자 선정 장치의 동작 방법
KR20200082675A (ko) * 2018-12-31 2020-07-08 아토리서치(주) 네트워크 기능 가상화를 이용하는 네트워크 트래픽 추적 방법
KR102267101B1 (ko) 2020-04-02 2021-06-18 한충희 해외 사이버위협에 대응하기 위한 보안관제시스템 및 그 방법
WO2023145995A1 (ko) * 2022-01-27 2023-08-03 (주)기원테크 위협 요소의 정량 분석 기반 이메일 보안 진단 장치 및 그 동작 방법

Families Citing this family (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8595837B2 (en) * 2011-08-29 2013-11-26 Novell, Inc. Security event management apparatus, systems, and methods
US9286047B1 (en) 2013-02-13 2016-03-15 Cisco Technology, Inc. Deployment and upgrade of network devices in a network environment
KR101940512B1 (ko) * 2014-02-03 2019-01-21 한국전자통신연구원 공격특성 dna 분석 장치 및 그 방법
US10374904B2 (en) 2015-05-15 2019-08-06 Cisco Technology, Inc. Diagnostic network visualization
US9800497B2 (en) 2015-05-27 2017-10-24 Cisco Technology, Inc. Operations, administration and management (OAM) in overlay data center environments
US9967158B2 (en) 2015-06-05 2018-05-08 Cisco Technology, Inc. Interactive hierarchical network chord diagram for application dependency mapping
US10142353B2 (en) 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US10536357B2 (en) 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
US10171357B2 (en) 2016-05-27 2019-01-01 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US10931629B2 (en) 2016-05-27 2021-02-23 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US10289438B2 (en) 2016-06-16 2019-05-14 Cisco Technology, Inc. Techniques for coordination of application components deployed on distributed virtual machines
US10708183B2 (en) 2016-07-21 2020-07-07 Cisco Technology, Inc. System and method of providing segment routing as a service
US10972388B2 (en) 2016-11-22 2021-04-06 Cisco Technology, Inc. Federated microburst detection
US10708152B2 (en) 2017-03-23 2020-07-07 Cisco Technology, Inc. Predicting application and network performance
US10523512B2 (en) 2017-03-24 2019-12-31 Cisco Technology, Inc. Network agent for generating platform specific network policies
US10250446B2 (en) 2017-03-27 2019-04-02 Cisco Technology, Inc. Distributed policy store
US10594560B2 (en) 2017-03-27 2020-03-17 Cisco Technology, Inc. Intent driven network policy platform
US10764141B2 (en) 2017-03-27 2020-09-01 Cisco Technology, Inc. Network agent for reporting to a network policy system
US10873794B2 (en) 2017-03-28 2020-12-22 Cisco Technology, Inc. Flowlet resolution for application performance monitoring and management
US10680887B2 (en) 2017-07-21 2020-06-09 Cisco Technology, Inc. Remote device status audit and recovery
US10554501B2 (en) 2017-10-23 2020-02-04 Cisco Technology, Inc. Network migration assistant
US10523541B2 (en) 2017-10-25 2019-12-31 Cisco Technology, Inc. Federated network and application data analytics platform
US10594542B2 (en) 2017-10-27 2020-03-17 Cisco Technology, Inc. System and method for network root cause analysis
US11233821B2 (en) 2018-01-04 2022-01-25 Cisco Technology, Inc. Network intrusion counter-intelligence
US11212316B2 (en) * 2018-01-04 2021-12-28 Fortinet, Inc. Control maturity assessment in security operations environments
US11765046B1 (en) 2018-01-11 2023-09-19 Cisco Technology, Inc. Endpoint cluster assignment and query generation
US10999149B2 (en) 2018-01-25 2021-05-04 Cisco Technology, Inc. Automatic configuration discovery based on traffic flow data
US10917438B2 (en) 2018-01-25 2021-02-09 Cisco Technology, Inc. Secure publishing for policy updates
US10826803B2 (en) 2018-01-25 2020-11-03 Cisco Technology, Inc. Mechanism for facilitating efficient policy updates
US10798015B2 (en) 2018-01-25 2020-10-06 Cisco Technology, Inc. Discovery of middleboxes using traffic flow stitching
US10873593B2 (en) 2018-01-25 2020-12-22 Cisco Technology, Inc. Mechanism for identifying differences between network snapshots
US10574575B2 (en) 2018-01-25 2020-02-25 Cisco Technology, Inc. Network flow stitching using middle box flow stitching
US11128700B2 (en) 2018-01-26 2021-09-21 Cisco Technology, Inc. Load balancing configuration based on traffic flow telemetry
ES2913434T3 (es) 2018-12-03 2022-06-02 Siemens Ag Reconociendo desviaciones en el comportamiento de la seguridad de unidades automatizadas
CN111770085A (zh) * 2020-06-28 2020-10-13 杭州安恒信息技术股份有限公司 一种网络安保***、方法、设备及介质
CN112134897B (zh) * 2020-09-27 2023-04-18 奇安信科技集团股份有限公司 网络攻击数据的处理方法和装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7107619B2 (en) * 2001-08-31 2006-09-12 International Business Machines Corporation System and method for the detection of and reaction to denial of service attacks
GB0325504D0 (en) * 2003-10-31 2003-12-03 Leach John Security engineering: A process for developing accurate and reliable security systems
US8161548B1 (en) * 2005-08-15 2012-04-17 Trend Micro, Inc. Malware detection using pattern classification
CA2789243A1 (en) * 2009-03-13 2010-09-16 Rutgers, The State University Of New Jersey Systems and methods for the detection of malware
US9116897B2 (en) * 2009-07-20 2015-08-25 Schneider Electric It Corporation Techniques for power analysis
US8549650B2 (en) * 2010-05-06 2013-10-01 Tenable Network Security, Inc. System and method for three-dimensional visualization of vulnerability and asset data

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9130981B2 (en) 2012-07-09 2015-09-08 Electronics And Telecommunications Research Institute Method and apparatus for visualizing network security state
WO2016028067A3 (ko) * 2014-08-18 2016-04-07 주식회사 시큐그래프 시각화를 이용한 악성 코드 탐지 시스템과 방법
WO2017095380A1 (en) * 2015-11-30 2017-06-08 Hewlett-Packard Development Company, L.P Security mitigation action selection based on device usage
US10867037B2 (en) 2015-11-30 2020-12-15 Hewlett-Packard Development Company, L.P. Security mitigation action selection based on device usage
WO2019009497A1 (ko) * 2017-07-07 2019-01-10 광주과학기술원 클러스터 시각화 장치
KR20190005632A (ko) * 2017-07-07 2019-01-16 광주과학기술원 클러스터 시각화 장치
US11475234B2 (en) 2017-07-07 2022-10-18 Gwangju Institute Of Science And Technology Cluster visualization device
KR102038927B1 (ko) * 2018-11-17 2019-10-31 한국과학기술정보연구원 공격자 가시화 장치 및 공격자 가시화 장치의 동작 방법
KR102038926B1 (ko) * 2018-11-17 2019-11-15 한국과학기술정보연구원 공격자 선정 장치 및 공격자 선정 장치의 동작 방법
KR20200082675A (ko) * 2018-12-31 2020-07-08 아토리서치(주) 네트워크 기능 가상화를 이용하는 네트워크 트래픽 추적 방법
KR102267101B1 (ko) 2020-04-02 2021-06-18 한충희 해외 사이버위협에 대응하기 위한 보안관제시스템 및 그 방법
WO2023145995A1 (ko) * 2022-01-27 2023-08-03 (주)기원테크 위협 요소의 정량 분석 기반 이메일 보안 진단 장치 및 그 동작 방법

Also Published As

Publication number Publication date
US20120137361A1 (en) 2012-05-31

Similar Documents

Publication Publication Date Title
KR20120057066A (ko) 네트워크 보안관제 시스템 및 방법, 네트워크 보안관제를 위한 보안 이벤트 처리 장치 및 시각화 처리 장치
US10791141B2 (en) Anonymized network data collection and network threat assessment and monitoring systems and methods
Hideshima et al. STARMINE: A visualization system for cyber attacks
US20150326460A1 (en) Network Flow Monitoring
Fischer et al. Vistracer: a visual analytics tool to investigate routing anomalies in traceroutes
KR20090030880A (ko) 지리 정보를 이용한 네트워크 상태 표시장치 및 방법
Evesti et al. Cybersecurity situational awareness taxonomy
US20170099312A1 (en) Method and system for data breach and malware detection
CN105825094A (zh) 管理从网络数据流量中发现的身份数据的方法和装置
KR101991737B1 (ko) 공격자 가시화 방법 및 장치
CN109361573A (zh) 流量日志分析方法、***及计算机可读存储介质
D'Amico et al. Information assurance visualizations for specific stages of situational awareness and intended uses: lessons learned
Majeed et al. Near-miss situation based visual analysis of SIEM rules for real time network security monitoring
Oline et al. Exploring three-dimensional visualization for intrusion detection
Angelini et al. The goods, the bads and the uglies: Supporting decisions in malware detection through visual analytics
Bou-Harb et al. A time series approach for inferring orchestrated probing campaigns by analyzing darknet traffic
Oh et al. A survey on TLS-encrypted malware network traffic analysis applicable to security operations centers
Papadopoulos et al. Border gateway protocol graph: detecting and visualising internet routing anomalies
Freet et al. A virtual machine platform and methodology for network data analysis with IDS and security visualization
CN113239383A (zh) 文件流转的处理方法、装置、设备及存储介质
Mtsweni et al. Development of a semantic-enabled cybersecurity threat intelligence sharing model
KR101991736B1 (ko) 공격자 상관정보 가시화 방법 및 장치
Seo et al. Cylindrical Coordinates Security Visualization for multiple domain command and control botnet detection
Youn et al. Research on Cyber IPB Visualization Method based on BGP Archive Data for Cyber Situation Awareness.
Crooks et al. Operational security, threat intelligence & distributed computing: the WLCG Security Operations Center Working Group

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment