1 |
1
보안이벤트를 수집하는 수집모듈;기 설정된 단위시간 별로, 단위시간에 속하는 보안이벤트를 이용하여 대상 IP 별로 통계정보를 생성하는 통계정보생성모듈;상기 단위시간 별로 생성한 상기 대상 IP 별 통계정보를 근거로, 상기 대상 IP 각각에 대한 좌표정보를 생성하는 좌표정보생성모듈; 및상기 대상 IP 각각에 대한 좌표정보를 기반으로 상기 대상 IP의 통계정보를 극좌표 공간에 가시화하는 가시화모듈을 포함하며,상기 좌표정보생성모듈은,상기 대상 IP 별 통계정보로부터 상기 대상 IP 각각에 대한 IP 고유값, 이벤트 발생량 및 IP간 연결횟수를 확인하여 상기 대상 IP 각각에 대하여 극좌표 공간의 3차원 좌표정보인 각도(θ), 반지름(r), 높이(h)를 생성하며,상기 좌표정보생성모듈은,특정 단위시간에서의 대상 IP 별 통계정보로부터 이벤트 발생량 최대값과 IP간 연결횟수 최대값을 추출하며,특정 단위시간에서의 특정 대상 IP에 대한 반지름(r)은 이벤트 발생량 최대값에 대한 특정 대상 IP의 이벤트 발생량의 비율로 결정되고,특정 단위시간에서의 특정 대상 IP에 대한 높이(h)는 IP간 연결횟수 최대값에 대한 특정 대상 IP의 IP간 연결횟수의 비율로 결정되고,특정 단위시간에서의 특정 대상 IP에 대한 각도(θ)는 특정 대상 IP의 IP 고유값을 이용하여 결정되는 것을 특징으로 하는 공격자 가시화 장치
|
2 |
2
제 1 항에 있어서,상기 통계정보는,대상 IP의 IP 주소정보, 상기 통계정보 생성 시 이용된 단위시간의 보안이벤트에서 상기 대상 IP가 추출된 횟수 및 상기 대상 IP와 연결된 독립적인 IP 개수를 포함하는 것을 특징으로 하는 공격자 가시화 장치
|
3 |
3
삭제
|
4 |
4
제 1 항에 있어서,대상 IP 별로 생성한 통계정보를 수집하는 수집 시점에, 상기 대상 IP 별로 이전 단위시간의 통계정보 대비 변화량을 계산하고, 상기 변화량을 기반으로 상기 대상 IP 중 통계정보의 추이변화를 가시화할 추이변화 가시화 대상 IP를 추천하는 IP추천모듈을 더 포함하는 것을 특징으로 하는 공격자 가시화 장치
|
5 |
5
제 1 항에 있어서,상기 대상 IP 중 선택 또는 추천되는 추이변화 가시화 대상 IP에 대하여, 추이변화 가시화 시작 시점부터 매 단위시간 마다 생성되는 통계정보를 마지막 단위시간의 통계정보를 기준으로 정규화하는 정규화모듈을 더 포함하는 것을 특징으로 하는 공격자 가시화 장치
|
6 |
6
제 5 항에 있어서,상기 좌표정보생성모듈은,상기 추이변화 가시화 대상 IP에 대하여, 상기 정규화한 매 단위시간의 통계정보를 근거로 단위시간 별 좌표정보를 생성하는 것을 특징으로 하는 공격자 가시화 장치
|
7 |
7
제 6 항에 있어서,상기 가시화모듈은,상기 추이변화 가시화 대상 IP에 대한 단위시간 별 좌표정보를 기반으로 상기 추이변화 가시화 대상 IP의 통계정보 추이변화를 극좌표 공간에 가시화하는 것을 특징으로 하는 공격자 가시화 장치
|
8 |
8
제 7 항에 있어서,상기 가시화모듈은,상기 대상 IP의 통계정보 및 상기 추이변화 가시화 대상 IP의 통계정보 추이변화를 동시에 가시화하는 경우, 상기 추이변화 가시화 대상 IP의 객체가 상기 대상 IP의 객체와 구분되도록 가시화하는 것을 특징으로 하는 공격자 가시화 장치
|
9 |
9
제 7 항에 있어서,상기 가시화모듈은,상기 추이변화 가시화 대상 IP의 통계정보 추이변화를 극좌표 공간에 가시화하는 과정에서, 단위시간 변화에도 좌표정보가 중복되는 경우 중복 좌표정보에 표시되는 상기 추이변화 가시화 대상 IP의 객체에 대해서는 중복 여부 및 중복 횟수가 구분되도록 가시화하는 것을 특징으로 하는 공격자 가시화 장치
|
10 |
10
보안이벤트를 수집하는 수집단계;기 설정된 단위시간 별로, 단위시간에 속하는 보안이벤트를 이용하여 대상 IP 별로 통계정보를 생성하는 통계정보생성단계;상기 단위시간 별로 생성한 상기 대상 IP 별 통계정보를 근거로, 상기 대상 IP 각각에 대한 좌표정보를 생성하는 좌표정보생성단계; 및상기 대상 IP 각각에 대한 좌표정보를 기반으로 상기 대상 IP의 통계정보를 극좌표 공간에 가시화하는 가시화단계를 포함하며,상기 좌표정보생성단계는,상기 대상 IP 별 통계정보로부터 상기 대상 IP 각각에 대한 IP 고유값, 이벤트 발생량 및 IP간 연결횟수를 확인하여 상기 대상 IP 각각에 대하여 극좌표 공간의 3차원 좌표정보인 각도(θ), 반지름(r), 높이(h)를 생성하며,상기 좌표정보생성단계는,특정 단위시간에서의 대상 IP 별 통계정보로부터 이벤트 발생량 최대값과 IP간 연결횟수 최대값을 추출하며,특정 단위시간에서의 특정 대상 IP에 대한 반지름(r)은 이벤트 발생량 최대값에 대한 특정 대상 IP의 이벤트 발생량의 비율로 결정되고,특정 단위시간에서의 특정 대상 IP에 대한 높이(h)는 IP간 연결횟수 최대값에 대한 특정 대상 IP의 IP간 연결횟수의 비율로 결정되고,특정 단위시간에서의 특정 대상 IP에 대한 각도(θ)는 특정 대상 IP의 IP 고유값을 이용하여 결정되는 것을 특징으로 하는 공격자 가시화 장치의 동작 방법
|
11 |
11
제 10 항에 있어서,상기 통계정보는,대상 IP의 IP 주소정보, 상기 통계정보 생성 시 이용된 단위시간의 보안이벤트에서 상기 대상 IP가 추출된 횟수 및 상기 대상 IP와 연결된 독립적인 IP 개수를 포함하는 것을 특징으로 하는 공격자 가시화 장치의 동작 방법
|
12 |
12
삭제
|
13 |
13
제 10 항에 있어서,대상 IP 별로 생성한 통계정보를 수집하는 수집 시점에, 상기 대상 IP 별로 이전 단위시간의 통계정보 대비 변화량을 계산하고, 상기 변화량을 기반으로 상기 대상 IP 중 통계정보의 추이변화를 가시화할 추이변화 가시화 대상 IP를 추천하는 IP추천단계를 더 포함하는 것을 특징으로 하는 공격자 가시화 장치의 동작 방법
|
14 |
14
제 10 항에 있어서,상기 대상 IP 중 선택 또는 추천되는 추이변화 가시화 대상 IP에 대하여, 추이변화 가시화 시작 시점부터 매 단위시간 마다 생성되는 통계정보를 마지막 단위시간의 통계정보를 기준으로 정규화하는 정규화단계를 더 포함하는 것을 특징으로 하는 공격자 가시화 장치의 동작 방법
|
15 |
15
제 14 항에 있어서,상기 추이변화 가시화 대상 IP에 대하여, 상기 정규화한 매 단위시간의 통계정보를 근거로 단위시간 별 좌표정보를 생성하는 단계를 더 포함하는 것을 특징으로 하는 공격자 가시화 장치의 동작 방법
|
16 |
16
제 15 항에 있어서,상기 가시화단계는,상기 추이변화 가시화 대상 IP에 대한 단위시간 별 좌표정보를 기반으로 상기 추이변화 가시화 대상 IP의 통계정보 추이변화를 극좌표 공간에 가시화하는 것을 특징으로 하는 공격자 가시화 장치의 동작 방법
|
17 |
17
제 16 항에 있어서,상기 가시화단계는,상기 대상 IP의 통계정보 및 상기 추이변화 가시화 대상 IP의 통계정보 추이변화를 동시에 가시화하는 경우, 상기 추이변화 가시화 대상 IP의 객체가 상기 대상 IP의 객체와 구분되도록 가시화하는 것을 특징으로 하는 공격자 가시화 장치의 동작 방법
|
18 |
18
제 16 항에 있어서,상기 가시화단계는,상기 추이변화 가시화 대상 IP의 통계정보 추이변화를 극좌표 공간에 가시화하는 과정에서, 단위시간 변화에도 좌표정보가 중복되는 경우 중복 좌표정보에 표시되는 상기 추이변화 가시화 대상 IP의 객체에 대해서는 중복 여부 및 중복 횟수가 구분되도록 가시화하는 것을 특징으로 하는 공격자 가시화 장치의 동작 방법
|
19 |
19
하드웨어와 결합하여, 보안이벤트를 수집하는 수집단계;기 설정된 단위시간 별로, 단위시간에 속하는 보안이벤트를 이용하여 대상 IP 별로 통계정보를 생성하는 통계정보생성단계;상기 단위시간 별로 생성한 상기 대상 IP 별 통계정보를 근거로, 상기 대상 IP 각각에 대한 좌표정보를 생성하는 좌표정보생성단계; 및상기 대상 IP 각각에 대한 좌표정보를 기반으로 상기 대상 IP의 통계정보를 극좌표 공간에 가시화하는 가시화단계를 실행시키며, 상기 좌표정보생성단계는,상기 대상 IP 별 통계정보로부터 상기 대상 IP 각각에 대한 IP 고유값, 이벤트 발생량 및 IP간 연결횟수를 확인하여 상기 대상 IP 각각에 대하여 극좌표 공간의 3차원 좌표정보인 각도(θ), 반지름(r), 높이(h)를 생성하며,상기 좌표정보생성단계는,특정 단위시간에서의 대상 IP 별 통계정보로부터 이벤트 발생량 최대값과 IP간 연결횟수 최대값을 추출하며,특정 단위시간에서의 특정 대상 IP에 대한 반지름(r)은 이벤트 발생량 최대값에 대한 특정 대상 IP의 이벤트 발생량의 비율로 결정되고,특정 단위시간에서의 특정 대상 IP에 대한 높이(h)는 IP간 연결횟수 최대값에 대한 특정 대상 IP의 IP간 연결횟수의 비율로 결정되고,특정 단위시간에서의 특정 대상 IP에 대한 각도(θ)는 특정 대상 IP의 IP 고유값을 이용하여 결정되는 것을 실행시키기 위하여 매체에 저장된 컴퓨터프로그램
|
20 |
20
제 19 항에 있어서,상기 대상 IP 중 선택 또는 추천되는 추이변화 가시화 대상 IP에 대하여, 추이변화 가시화 시작 시점부터 매 단위시간 마다 생성되는 통계정보를 마지막 단위시간의 통계정보를 기준으로 정규화하는 단계를 더 실행시키기 위하여 매체에 저장된 컴퓨터프로그램
|
21 |
21
제 20 항에 있어서,상기 추이변화 가시화 대상 IP에 대하여, 상기 정규화한 매 단위시간의 통계정보를 근거로 단위시간 별 좌표정보를 생성하는 단계를 더 실행시키기 위하여 매체에 저장된 컴퓨터프로그램
|
22 |
22
제 21 항에 있어서,상기 추이변화 가시화 대상 IP에 대한 단위시간 별 좌표정보를 기반으로 상기 추이변화 가시화 대상 IP의 통계정보 추이변화를 극좌표 공간에 가시화하는 단계를 더 실행시키기 위하여 매체에 저장된 컴퓨터프로그램
|