요약 |
본 발명은 기업 내부 전산환경의 위협탐지를 위한 보안 아키텍처에 관한 것으로서, 네트워크에 흐르는 모든 트래픽에 대한 정보를 수집하는 트래픽 정보 수집 센서와, 상기 네트워크에서 전송되는 모든 트래픽을 패킷 형태로 저장하는 RAW 패킷 수집 센서와, 네트워크 패킷에서 실행파일 내역을 재조합하여 분석하는 실행파일 분석기를 포함하는 정보 수집부; 상기 정보 수집부에서 수집되는 모든 로그를 통합하여 저장하는 로그 수집부와, 상기 로그 수집부에서 수집된 로그들 간의 연관성을 분석하는 로그 상관 분석기와, 상기 로그 상관 분석기에서 분석된 네트워크의 현재 상황을 보안 담당자에게 제공하는 통합 대시보드를 포함하는 정보 분석부; 및 기업 내부망의 악성 코드 감염 현황을 파악하는 악성 코드 감염 PC 현황 분석부와, 침해 사고에 대한 시작부터 종료까지의 대응 현황을 저장하는 침해 사고 대응 현황 관리부를 포함하는 침해 사고 관리부를 포함하여, 프로토콜 분석기를 이용하여 내부에서 외부로 향하는 모든 통신을 분석하고, 기업 내부망으로 유입되는 제로데이형 악성 코드를 탐지하기 위해 통신에서 모든 실행파일을 수집하여 행위 분석 기반의 분석을 실시함으로써, 특정 프로토콜에 종속적인 탐지, 특성 서비스에 종속적인 탐지, 우회가 손쉬운 시그니처 기반의 탐지, 네트워크 인프라에 대한 이상 징후 탐지 및 서비스망에 특화된 탐지 등 종래 기술이 지녔던 한계를 개선할 수 있다.
|