| 1 |
1
침입 탐지 시스템을 통해, 설정된 주기 마다 네트워크 로그를 수집하는 단계;상기 네트워크 로그로부터 공격 탐지 요소로서 1)소스 아이피(Source IP), 2)데스티네이션 아이피(Destination IP), 및 3)데스티네이션 포트(Destination Port)를 추출하고, 상기 공격 탐지 요소를 이용하여, 네트워크 공격 패턴을 분석하는 단계; 및상기 분석 결과를 그래프 형태로 출력하는 단계를 포함하고,상기 네트워크 공격 패턴을 분석하는 단계는,임의의 시점에서, 상기 공격 탐지 요소로서, 2)데스티네이션 아이피를 추출하는 단계; 및설정된 평균 사용 데스티네이션 아이피의 수에 대한 상기 추출된 2)데스티네이션 아이피의 수의 비율이, 설정치를 초과하는 동시에, 상기 추출된 2)데스티네이션 아이피의 수가, 설정된 수를 초과하는 경우,상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 호스트 스캐닝(Host Scanning) 공격으로 분석하는 단계를 포함하고,상기 분석 결과를 그래프 형태로 출력하는 단계는,상기 1)소스 아이피 또는 상기 2)데스티네이션 아이피에 비해, 3)데스티네이션 포트의 발생 횟수와 전체 횟수가 증가하는, 꺾은선 그래프를 출력하는 단계를 포함하는 네트워크 공격 패턴 분석 방법
|
| 2 |
2
제1항에 있어서,상기 네트워크 로그를 수집하는 단계는,상기 침입 탐지 시스템으로부터 기설정된 룰(rule)에 기초하여 공격이 탐지된, 상기 네트워크 로그를 수집하는 단계를 포함하는 네트워크 공격 패턴 분석 방법
|
| 3 |
3
제1항에 있어서,상기 임의의 시점에서, 상기 공격 탐지 요소로서, 3)데스티네이션 포트가 추출되는 경우,상기 네트워크 공격 패턴을 분석하는 단계는,설정된 평균 사용 데스티네이션 포트의 수에 대한 상기 추출된 3)데스티네이션 포트의 수의 비율이 설정치를 초과하는지를 확인하는 단계; 및상기 확인 결과, 상기 비율이 상기 설정치를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 포트 스캐닝(Port Scanning) 공격으로 분석하는 단계를 더 포함하는 네트워크 공격 패턴 분석 방법
|
| 4 |
4
삭제
|
| 5 |
5
제1항에 있어서,상기 임의의 시점에서, 상기 공격 탐지 요소로서, 1)소스 아이피 및 2)데스티네이션 아이피가 추출되는 경우,상기 네트워크 공격 패턴을 분석하는 단계는,설정된 평균 네트워크 로그의 양에 대한 상기 네트워크 로그의 양의 비율이, 제1 설정치를 초과하는지를 확인하는 단계;상기 추출된 2)데스티네이션 아이피의 수에 대한 상기 추출된 1)소스 아이피의 수의 비율이, 제2 설정치를 초과하는지를 확인하는 단계; 및상기 확인 결과, 상기 비율 각각이 상기 제1 설정치 및 상기 제2 설정치를 모두 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 디도스(DDoS: Distribute Denial of Service) 공격으로 분석하는 단계를 더 포함하는 네트워크 공격 패턴 분석 방법
|
| 6 |
6
제1항에 있어서,상기 임의의 시점에서, 상기 공격 탐지 요소로서, 1)소스 아이피가 추출되는 경우,상기 네트워크 공격 패턴을 분석하는 단계는,설정된 평균 사용 소스 아이피의 수에 대한 상기 추출된 1)소스 아이피의 수의 비율이, 설정치를 초과하는지를 확인하는 단계; 및상기 확인 결과, 상기 비율이 상기 설정치를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 웜(Worm) 또는 바이러스(Virus) 공격으로 분석하는 단계를 더 포함하는 네트워크 공격 패턴 분석 방법
|
| 7 |
7
제1항에 있어서,상기 네트워크 공격 패턴을 분석하는 단계는,임의의 제1 시점에서, 설정된 평균 네트워크 로그의 양에 대한 상기 네트워크 로그의 양의 비율이, 제1 설정치를 초과하는지를 확인하는 단계;상기 제1 시점에서의 상기 네트워크 로그의 양에 대한 제2 시점에서의 상기 네트워크 로그의 양의 비율이, 제2 설정치 미만인지를 확인하는 단계 -제2 시점은, 제1 시점에서 설정된 주기가 경과된 시점에 해당함-; 및상기 확인 결과, 상기 비율 각각이 상기 제1 설정치 및 상기 제2 설정치를 모두 초과하는 경우, 상기 제2 시점에 대한 상기 네트워크 공격 패턴을, 네트워크 장애 발생으로 분석하는 단계를 더 포함하는 네트워크 공격 패턴 분석 방법
|
| 8 |
8
침입 탐지 시스템을 통해, 설정된 주기 마다 네트워크 로그를 수집하는 인터페이스부;상기 네트워크 로그로부터 공격 탐지 요소로서 1)소스 아이피, 2)데스티네이션 아이피, 및 3)데스티네이션 포트를 추출하고, 상기 공격 탐지 요소를 이용하여, 네트워크 공격 패턴을 분석하는 프로세서; 및상기 분석 결과를 그래프 형태로 출력하는 디스플레이부를 포함하고,상기 프로세서는,임의의 시점에서, 상기 공격 탐지 요소로서, 2)데스티네이션 아이피를 추출하고, 설정된 평균 사용 데스티네이션 아이피의 수에 대한 상기 추출된 2)데스티네이션 아이피의 수의 비율이, 설정치를 초과하는 동시에, 상기 추출된 2)데스티네이션 아이피의 수가, 설정된 수를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 호스트 스캐닝(Host Scanning) 공격으로 분석하며,상기 디스플레이부는,상기 1)소스 아이피 또는 상기 2)데스티네이션 아이피에 비해, 3)데스티네이션 포트의 발생 횟수와 전체 횟수가 증가하는, 꺾은선 그래프를 출력하는네트워크 공격 패턴 분석 장치
|
| 9 |
9
제8항에 있어서,상기 인터페이스부는,상기 침입 탐지 시스템으로부터 기설정된 룰에 기초하여 공격이 탐지된, 상기 네트워크 로그를 수집하는네트워크 공격 패턴 분석 장치
|
| 10 |
10
제8항에 있어서,상기 임의의 시점에서, 상기 공격 탐지 요소로서, 3)데스티네이션 포트가 추출되는 경우,상기 프로세서는,설정된 평균 사용 데스티네이션 포트의 수에 대한 상기 추출된 3)데스티네이션 포트의 수의 비율이 설정치를 초과하는지를 확인하며, 상기 확인 결과, 상기 비율이 상기 설정치를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 포트 스캐닝 공격으로 분석하는네트워크 공격 패턴 분석 장치
|
| 11 |
11
삭제
|
| 12 |
12
제8항에 있어서,상기 임의의 시점에서, 상기 공격 탐지 요소로서, 1)소스 아이피 및 2)데스티네이션 아이피가 추출되는 경우,상기 프로세서는,설정된 평균 네트워크 로그의 양에 대한 상기 네트워크 로그의 양의 비율이, 제1 설정치를 초과하는지를 확인하고, 상기 추출된 2)데스티네이션 아이피의 수에 대한 상기 추출된 1)소스 아이피의 수의 비율이, 제2 설정치를 초과하는지를 확인하며, 상기 확인 결과, 상기 비율 각각이 상기 제1 설정치 및 상기 제2 설정치를 모두 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 디도스 공격으로 분석하는네트워크 공격 패턴 분석 장치
|
| 13 |
13
제8항에 있어서,상기 임의의 시점에서, 상기 공격 탐지 요소로서, 1)소스 아이피가 추출되는 경우,상기 프로세서는,설정된 평균 사용 소스 아이피의 수에 대한 상기 추출된 1)소스 아이피의 수의 비율이, 설정치를 초과하는지를 확인하며, 상기 확인 결과, 상기 비율이 상기 설정치를 초과하는 경우, 상기 임의의 시점에 대한 상기 네트워크 공격 패턴을, 웜 또는 바이러스 공격으로 분석하는네트워크 공격 패턴 분석 장치
|
| 14 |
14
제8항에 있어서,상기 프로세서는,임의의 제1 시점에서, 설정된 평균 네트워크 로그의 양에 대한 상기 네트워크 로그의 양의 비율이, 제1 설정치를 초과하는지를 확인하고,상기 제1 시점에서의 상기 네트워크 로그의 양에 대한 제2 시점에서의 상기 네트워크 로그의 양의 비율이, 제2 설정치 미만인지를 확인하며, -제2 시점은, 제1 시점에서 설정된 주기가 경과된 시점에 해당함-상기 확인 결과, 상기 비율 각각이 상기 제1 설정치 및 상기 제2 설정치를 모두 초과하는 경우, 상기 제2 시점에 대한 상기 네트워크 공격 패턴을, 네트워크 장애 발생으로 분석하는네트워크 공격 패턴 분석 장치
|
