| 1 |
1
수집한 보안이벤트를 근거로, 대상 IP 별로 주요 성분정보를 생성하는 주요성분정보 생성모듈;상기 대상 IP 별로 생성되는 주요 성분정보 및 기 정의된 가중치를 근거로, 상기 대상 IP 별로 악성 의심수준을 결정하는 의심수준 결정모듈; 및상기 대상 IP 별로 결정한 악성 의심수준에 따라, 상기 대상 IP 중 집중 모니터링 대상을 선정하는 선정모듈을 포함하며,상기 주요 성분정보에 포함되는 단기분석 유형의 주요 성분정보는, 단기분석 유형에 기 설정된 시간 동안, 대상 IP에서 발생되는 보안이벤트의 발생 횟수, 대상 IP에서 접근한 목적지 IP의 개수 및 목적지 Port의 개수, 대상 IP에서 발생되는 보안이벤트의 발생 간격 평균을 포함하며,상기 의심수준 결정모듈은,특정 대상 IP에 대하여, 보안이벤트의 발생 횟수를 이용하여 결정되는 이벤트발생횟수유형, 목적지 IP의 개수를 이용하여 결정되는 목적지IP개수유형, 목적지 Port의 개수를 이용하여 결정되는 목적지Port개수유형 및 보안이벤트의 발생 간격 평균을 이용하여 결정되는 이벤트발생간격유형 중 적어도 하나를 이용하여 특정 대상 IP의 악성 의심수준을 결정하며,상기 이벤트발생횟수유형은,상기 단기분석 유형에 기 설정된 시간 동안 생성되는 전체 대상 IP 별 보안이벤트 발생 횟수 중 최대값을 분모로 하고 특정 대상 IP의 보안이벤트의 발생 횟수를 분자로 하여 결정되고,상기 목적지IP개수유형은,상기 단기분석 유형에 기 설정된 시간 동안 생성되는 전체 대상 IP 별 목적지 IP 개수 중 최대값을 분모로 하고 특정 대상 IP의 목적지 IP 개수를 분자로 하여 결정되고,상기 목적지Port개수유형은,상기 단기분석 유형에 기 설정된 시간 동안 생성되는 전체 대상 IP 별 목적지 Port 개수 중 최대값을 분모로 하고 특정 대상 IP의 목적지 Port 개수를 분자로 하여 결정되고,상기 이벤트발생간격유형은,상기 단기분석 유형에 기 설정된 시간 동안 생성되는 전체 대상 IP 별 보안이벤트 발생 간격 평균 중 최대값을 분모로 하고 특정 대상 IP의 보안이벤트 발생 간격 평균을 분자로 하여 결정되는 것을 특징으로 하는 공격자 선정 장치
|
| 2 |
2
제 1 항에 있어서,상기 주요성분정보 생성모듈은,공격 유형 및 단기간 이상 행위를 탐지하기 위해 정의된 단기분석 유형의 주요 성분정보와, 장기간 이상 행위를 탐지하기 위해 정의된 장기분석 유형의 주요 성분정보를 구분하여 생성하는 것을 특징으로 하는 공격자 선정 장치
|
| 3 |
3
삭제
|
| 4 |
4
제 2 항에 있어서,상기 장기분석 유형의 주요 성분정보는, 장기분석 유형에 기 설정된 시간 동안, 대상 IP 에서 발생되는 보안이벤트의 분(minute) 단위 발생 빈도 및 보안이벤트의 발생 간격 평균을 포함하는 것을 특징으로 하는 공격자 선정 장치
|
| 5 |
5
삭제
|
| 6 |
6
제 4 항에 있어서,상기 의심수준 결정모듈은,상기 대상 IP 별로 생성되는 장기분석 유형의 주요 성분정보 중 보안이벤트 분단위 발생 빈도 최대값, 보안이벤트 발생 간격 평균 최소값을 기준으로 이용하여,상기 대상 IP 별로, 장기분석 유형의 각 주요 성분정보 및 각 주요 성분정보에 정의된 가중치를 근거로 악성 의심수준 스코어링을 계산하는 것을 특징으로 하는 공격자 선정 장치
|
| 7 |
7
제 1 항에 있어서,상기 선정모듈은,상기 대상 IP 별로 결정한 악성 의심수준에 따라 상기 대상 IP를 정렬하여, 악성 의심수준이 가장 높은 상위 N개를 집중 모니터링 대상을 선정하는 것을 특징으로 하는 공격자 선정 장치
|
| 8 |
8
제 1 항에 있어서,집중 모니터링 대상으로 선정된 IP와 선정된 IP의 악성 의심수준을 나타내는 악성 의심수준 스코어링 정보를, 가시화하는 가시화모듈을 더 포함하는 것을 특징으로 하는 공격자 선정 장치
|
| 9 |
9
수집한 보안이벤트를 근거로, 대상 IP 별로 주요 성분정보를 생성하는 주요성분정보 생성단계;상기 대상 IP 별로 생성되는 주요 성분정보 및 기 정의된 가중치를 근거로, 상기 대상 IP 별로 악성 의심수준을 결정하는 의심수준 결정단계; 및상기 대상 IP 별로 결정한 악성 의심수준에 따라, 상기 대상 IP 중 집중 모니터링 대상을 선정하는 선정단계를 포함하며,상기 주요 성분정보에 포함되는 단기분석 유형의 주요 성분정보는, 단기분석 유형에 기 설정된 시간 동안, 대상 IP에서 발생되는 보안이벤트의 발생 횟수, 대상 IP에서 접근한 목적지 IP의 개수 및 목적지 Port의 개수, 대상 IP에서 발생되는 보안이벤트의 발생 간격 평균을 포함하며,상기 의심수준 결정단계는,특정 대상 IP에 대하여, 보안이벤트의 발생 횟수를 이용하여 결정되는 이벤트발생횟수유형, 목적지 IP의 개수를 이용하여 결정되는 목적지IP개수유형, 목적지 Port의 개수를 이용하여 결정되는 목적지Port개수유형 및 보안이벤트의 발생 간격 평균을 이용하여 결정되는 이벤트발생간격유형 중 적어도 하나를 이용하여 특정 대상 IP의 악성 의심수준을 결정하며,상기 이벤트발생횟수유형은,상기 단기분석 유형에 기 설정된 시간 동안 생성되는 전체 대상 IP 별 보안이벤트 발생 횟수 중 최대값을 분모로 하고 특정 대상 IP의 보안이벤트의 발생 횟수를 분자로 하여 결정되고,상기 목적지IP개수유형은,상기 단기분석 유형에 기 설정된 시간 동안 생성되는 전체 대상 IP 별 목적지 IP 개수 중 최대값을 분모로 하고 특정 대상 IP의 목적지 IP 개수를 분자로 하여 결정되고,상기 목적지Port개수유형은,상기 단기분석 유형에 기 설정된 시간 동안 생성되는 전체 대상 IP 별 목적지 Port 개수 중 최대값을 분모로 하고 특정 대상 IP의 목적지 Port 개수를 분자로 하여 결정되고,상기 이벤트발생간격유형은,상기 단기분석 유형에 기 설정된 시간 동안 생성되는 전체 대상 IP 별 보안이벤트 발생 간격 평균 중 최대값을 분모로 하고 특정 대상 IP의 보안이벤트 발생 간격 평균을 분자로 하여 결정되는 것을 특징으로 하는 공격자 선정 장치의 동작 방법
|
| 10 |
10
제 9 항에 있어서,상기 주요성분정보 생성단계는,공격 유형 및 단기간 이상 행위를 탐지하기 위해 정의된 단기분석 유형의 주요 성분정보와, 장기간 이상 행위를 탐지하기 위해 정의된 장기분석 유형의 주요 성분정보를 구분하여 생성하는 것을 특징으로 하는 공격자 선정 장치의 동작 방법
|
| 11 |
11
삭제
|
| 12 |
12
제 10 항에 있어서,장기분석 유형의 주요 성분정보는, 장기분석 유형에 기 설정된 시간 동안, 대상 IP 에서 발생되는 보안이벤트의 분(minute) 단위 발생 빈도 및 보안이벤트의 발생 간격 평균을 포함하는 것을 특징으로 하는 공격자 선정 장치의 동작 방법
|
| 13 |
13
삭제
|
| 14 |
14
제 12 항에 있어서,상기 의심수준 결정단계는,상기 대상 IP 별로 생성되는 장기분석 유형의 주요 성분정보 중 보안이벤트 분단위 발생 빈도 최대값, 보안이벤트 발생 간격 평균 최소값을 기준으로 이용하여,상기 대상 IP 별로, 장기분석 유형의 각 주요 성분정보 및 각 주요 성분정보에 정의된 가중치를 근거로 악성 의심수준 스코어링을 계산하는 것을 특징으로 하는 공격자 선정 장치의 동작 방법
|
| 15 |
15
제 9 항에 있어서,상기 선정단계는,상기 대상 IP 별로 결정한 악성 의심수준에 따라 상기 대상 IP를 정렬하여, 악성 의심수준이 가장 높은 상위 N개를 집중 모니터링 대상을 선정하는 것을 특징으로 하는 공격자 선정 장치의 동작 방법
|
| 16 |
16
하드웨어와 결합하여, 수집한 보안이벤트를 근거로 대상 IP 별로 주요 성분정보를 생성하는 주요성분정보 생성단계;상기 대상 IP 별로 생성되는 주요 성분정보 및 기 정의된 가중치를 근거로, 상기 대상 IP 별로 악성 의심수준을 결정하는 의심수준 결정단계; 및상기 대상 IP 별로 결정한 악성 의심수준에 따라, 상기 대상 IP 중 집중 모니터링 대상을 선정하는 선정단계를 실행시키며,상기 주요 성분정보에 포함되는 단기분석 유형의 주요 성분정보는, 단기분석 유형에 기 설정된 시간 동안, 대상 IP에서 발생되는 보안이벤트의 발생 횟수, 대상 IP에서 접근한 목적지 IP의 개수 및 목적지 Port의 개수, 대상 IP에서 발생되는 보안이벤트의 발생 간격 평균을 포함하며,상기 의심수준 결정단계는,특정 대상 IP에 대하여, 보안이벤트의 발생 횟수를 이용하여 결정되는 이벤트발생횟수유형, 목적지 IP의 개수를 이용하여 결정되는 목적지IP개수유형, 목적지 Port의 개수를 이용하여 결정되는 목적지Port개수유형 및 보안이벤트의 발생 간격 평균을 이용하여 결정되는 이벤트발생간격유형 중 적어도 하나를 이용하여 특정 대상 IP의 악성 의심수준을 결정하며,상기 이벤트발생횟수유형은,상기 단기분석 유형에 기 설정된 시간 동안 생성되는 전체 대상 IP 별 보안이벤트 발생 횟수 중 최대값을 분모로 하고 특정 대상 IP의 보안이벤트의 발생 횟수를 분자로 하여 결정되고,상기 목적지IP개수유형은,상기 단기분석 유형에 기 설정된 시간 동안 생성되는 전체 대상 IP 별 목적지 IP 개수 중 최대값을 분모로 하고 특정 대상 IP의 목적지 IP 개수를 분자로 하여 결정되고,상기 목적지Port개수유형은,상기 단기분석 유형에 기 설정된 시간 동안 생성되는 전체 대상 IP 별 목적지 Port 개수 중 최대값을 분모로 하고 특정 대상 IP의 목적지 Port 개수를 분자로 하여 결정되고,상기 이벤트발생간격유형은,상기 단기분석 유형에 기 설정된 시간 동안 생성되는 전체 대상 IP 별 보안이벤트 발생 간격 평균 중 최대값을 분모로 하고 특정 대상 IP의 보안이벤트 발생 간격 평균을 분자로 하여 결정되는 것을 실행시키기 위하여 매체에 저장된 컴퓨터프로그램
|
| 17 |
17
제 16 항에 있어서,상기 주요성분정보 생성단계는,공격 유형 및 단기간 이상 행위를 탐지하기 위해 정의된 단기분석 유형의 주요 성분정보와, 장기간 이상 행위를 탐지하기 위해 정의된 장기분석 유형의 주요 성분정보를 구분하여 생성하는 것을 실행시키기 위하여 매체에 저장된 컴퓨터프로그램
|
