1 |
1
물리 보안장치 또는 IT 보안장비로부터 발생하는 보안 이벤트를 수신하여 연관성 분석이 필요한 이벤트인지를 검사하는 규칙 관리부와,상기 보안 이벤트를 분석하여 사용자별 이벤트 메모리를 삭제하거나 생성하는 이벤트 관리부와,상기 규칙 관리부로부터 연관 분석 대상인 보안 이벤트를 수신하는 경우 상기 보안 이벤트내 사용자 ID에 대한 규칙 DB의 연관 이벤트와 사용자 이벤트 리스트의 매칭 여부를 분석하여 연관성 분석 결과를 출력하는 연관성 처리부를 포함하되,상기 이벤트 관리부는, 상기 보안 이벤트에 대한 사용자 이벤트 메모리를 생성시키는 사용자 이벤트 메모리 생성부와, 상기 보안 이벤트가 해당 사용자의 이벤트 메모리를 삭제 요청하는 이벤트인 경우 상기 사용자의 사용자 이벤트 메모리를 삭제시키는 사용자 이벤트 메모리 삭제부와, 상기 보안 이벤트의 수신 시 해당 사용자의 사용자 이벤트 메모리에 대한 관리를 수행하는 이벤트 메모리 관리부를 포함하며,상기 규칙 관리부는, 상기 보안 이벤트를 규칙 분석 이벤트 리스트내 각 분석 이벤트와 매칭시켜 매칭되는 분석 이벤트가 존재하는 경우, 상기 보안 이벤트를 연관성 분석이 필요한 보안 이벤트로 판단하는 것을 특징으로 하는 규칙 기반 보안 이벤트 연관성 분석 장치
|
2 |
2
삭제
|
3 |
3
제 1 항에 있어서,상기 장치는,상기 규칙 분석 이벤트 리스트를 저장하는 규칙 DB를 더 포함하는 규칙 기반 보안 이벤트 연관성 분석 장치
|
4 |
4
제 3 항에 있어서,상기 규칙 관리부는,상기 규칙 DB의 버전 변경 여부를 확인하는 규칙 DB 버전 체크부와,상기 규칙 DB에서 규칙 분석 이벤트 리스트를 읽어 들이는 규칙 DB 분석 이벤트 수집부와,상기 보안 이벤트의 RULE ID를 이용하여 상기 보안 이벤트가 규칙 분석 이벤트에 해당하는 이벤트인지를 확인하는 이벤트 필터부를 포함하는 규칙 기반 보안 이벤트 연관성 분석 장치
|
5 |
5
삭제
|
6 |
6
제 1 항에 있어서,상기 이벤트 메모리 관리부는,상기 보안 이벤트가 메모리에 존재하지 않는 새로운 사용자의 이벤트인 경우에는 상기 사용자 이벤트 메모리 생성부로 사용자 이벤트 메모리의 생성을 요청하는 규칙 기반 보안 이벤트 연관성 분석 장치
|
7 |
7
제 3 항에 있어서,상기 연관성 처리부는,상기 보안 이벤트에 해당되는 RULE ID와 사용자 ID를 전달받고, 해당 RULE ID에 대한 규칙 분석 이벤트를 조회하는 규칙 DB 분석 이벤트 조회부와,상기 보안 이벤트와 상기 규칙 분석 이벤트가 매칭되는지 여부를 검사하는 규칙 DB 연관 이벤트 조회부와,상기 보안 이벤트와 규칙 분석 이벤트가 매칭되는 경우 상기 사용자 ID에 대한 연관 이벤트를 조회하는 사용자 이벤트 메모리 요청부와,상기 사용자 ID에 대한 사용자 이벤트 리스트와 상기 연관 이벤트의 매칭 여부를 분석하여 연관성 분석을 수행하는 연관성 검사부와,상기 연관성 검사부로부터 연관성 분석 결과를 수신하여 출력시키는 탐지 전달부를 포함하는 규칙 기반 보안 이벤트 연관성 분석 장치
|
8 |
8
제 7 항에 있어서,상기 규칙 DB 분석 이벤트 조회부는,상기 보안 이벤트와 규칙 분석 이벤트가 매칭되는 경우 상기 사용자 이벤트 메모리 요청부로 상기 보안 이벤트의 해당 사용자 ID를 전송하고, 상기 규칙 DB 연관 이벤트 조회부로 매칭된 RULE ID를 전송하는 규칙 기반 보안 이벤트 연관성 분석 장치
|
9 |
9
제 7 항에 있어서,상기 규칙 DB 연관 이벤트 조회부는,상기 이벤트 관리부로 상기 보안 이벤트의 해당 사용자 이벤트 리스트를 요청하고, 상기 사용자 이벤트 리스트를 수신하여 상기 연관성 검사부로 제공하는 규칙 기반 보안 이벤트 연관성 분석 장치
|
10 |
10
규칙 관리부와 이벤트 관리부와 연관성 처리부를 포함하는 연관성 분석장치에서 규칙 기반 보안 이벤트 연관성 분석방법으로서,상기 규칙 관리부에서 물리 보안장치 또는 IT 보안장비로부터 발생하는 보안 이벤트를 수신하여 연관성 분석이 필요한 이벤트인지를 검사하는 단계와,상기 연관성 처리부에서 상기 규칙 관리부로부터 상기 연관성 분석이 필요한 보안 이벤트를 수신하는 경우 상기 보안 이벤트와 규칙 분석 이벤트가 매칭되는지 검사하는 단계와,상기 매칭이 되는 경우 상기 연관성 처리부에서 상기 보안 이벤트의 해당 사용자 ID에 대한 연관 이벤트를 조회하는 단계와,상기 매칭이 되는 경우 상기 연관성 처리부에서 상기 보안 이벤트의 해당 사용자의 사용자 이벤트 리스트를 조회하는 단계와,상기 연관성 처리부에서 상기 연관 이벤트와 사용자 이벤트 리스트의 매칭 여부를 분석하여 연관성 분석 결과를 출력하는 단계를 포함하되,상기 연관성 분석이 필요한 이벤트인지를 검사하는 단계는, 상기 규칙 관리부에서 상기 보안 이벤트를 규칙 분석 이벤트 리스트내 각 분석 이벤트와 매칭시키는 단계와, 상기 보안 이벤트와 매칭되는 분석 이벤트가 존재하는 경우, 상기 규칙 관리부에서 상기 보안 이벤트를 연관성 분석이 필요한 보안 이벤트로 판단하는 단계를 포함하는 규칙 기반 보안 이벤트 연관성 분석방법
|
11 |
11
삭제
|
12 |
12
제 10 항에 있어서,상기 연관 이벤트를 조회하는 단계에서,상기 연관성 처리부는 상기 보안 이벤트의 사용자 ID에 저장된 연관 이벤트를 조회하는 규칙 기반 보안 이벤트 연관성 분석방법
|
13 |
13
제 10 항에 있어서,상기 사용자 이벤트 리스트를 조회하는 단계에서,상기 연관성 처리부는 상기 보안 이벤트의 RULE ID를 이용하여 상기 보안 이벤트의 해당 사용자 이벤트 리스트를 조회하는 규칙 기반 보안 이벤트 연관성 분석방법
|