1 |
1
인터넷망(110)에 연결되는 게이트웨이(120);상기 게이트웨이(120)로부터의 접속 정보를 저장하여 방화벽 로그를 생성하는 방화벽(130); 및상기 방화벽 로그를 이용하여 보안 위협 탐지 여부를 결정하는 처리부(140);를 포함하는 것을 특징으로 하는 방화벽 로그를 이용한 보안 위협 탐지 시스템
|
2 |
2
제 1 항에 있어서,상기 처리부(140)는,상기 방화벽 로그를 수집하는 로그 수집 모듈(210);상기 방화벽 로그를 미리 설정되는 시간 단위로 묶어서 다수의 매트릭스 형태로 구성하여 정상 상태 히트맵 또는 실시간 추적 히트맵을 작성하는 로그 가공 모듈(220);상기 정상 상태 히트맵을 기준으로 딥러닝 모델을 통해 공격 유형별 히트맵을 생성하는 기계 학습 모듈(230); 및 상기 실시간 추적 히트맵과 상기 공격 유형별 히트맵을 비교하여 상기 보안 위협 탐지 여부를 결정하는 분석 모듈(240);을 포함하는 것을 특징으로 하는 방화벽 로그를 이용한 보안 위협 탐지 시스템
|
3 |
3
제 2 항에 있어서,상기 시간 단위는 n분(여기서, n은 0보다 큰 정수)인 것을 특징으로 하는 방화벽 로그를 이용한 보안 위협 탐지 시스템
|
4 |
4
제 2 항에 있어서,상기 공격 유형별 히트맵은 미리 수동으로 작성되는 공격 시나리오 히트맵을 상기 정상 상태 히트맵과 비교를 반복함으로써 생성되는 것을 특징으로 하는 방화벽 로그를 이용한 보안 위협 탐지 시스템
|
5 |
5
제 4 항에 있어서,상기 비교는 색깔의 형태간 비교인 것을 특징으로 하는 방화벽 로그를 이용한 보안 위협 탐지 시스템
|
6 |
6
제 2 항에 있어서,상기 정상 상태 히트맵은 상기 방화벽 로그 중 정상 로그 정보만을 이용하여 생성되는 것을 특징으로 하는 방화벽 로그를 이용한 보안 위협 탐지 시스템
|
7 |
7
제 2 항에 있어서,상기 방화벽 로그는 목적지 IP(Destination Internet protocol) 정보, 목적지 포트(Destination Port) 정보를 포함하는 것을 특징으로 하는 방화벽 로그를 이용한 보안 위협 탐지 시스템
|
8 |
8
제 7 항에 있어서,다수의 상기 매트릭스 형태는 Y축에 상기 목적지 IP(Destination Internet protocol) 정보가 배치되고, X축에 상기 목적지 포트(Destination Port) 정보가 배치되는 것을 특징으로 하는 방화벽 로그를 이용한 보안 위협 탐지 시스템
|
9 |
9
제 2 항에 있어서,상기 딥러닝 모델은 CNN(Convolutional Neural Network)인 것을 특징으로 하는 방화벽 로그를 이용한 보안 위협 탐지 시스템
|
10 |
10
제 2 항에 있어서,상기 공격 유형별 히트맵은 싱크플러딩 공격을 기반으로 하는 싱크플러딩(SynFlooding) 히트맵, DDos(Distributed Denial of Service) 공격을 기반으로 하는 DDos 히트맵, 서버 다운 공격을 기반으로 하는 서버 다운 히트맵, 및 웜감염 공격을 기반으로 하는 웜감염 히트맵 중 어느 하나인 것을 특징으로 하는 방화벽 로그를 이용한 보안 위협 탐지 시스템
|
11 |
11
자원 사용 로그를 이용한 보안 위협 탐지 시스템에 있어서,자원 사용 로그를 수집하는 로그 수집 모듈(210);상기 자원 사용 로그를 미리 설정되는 시간 단위로 묶어서 다수의 매트릭스 형태로 구성하여 정상 상태 히트맵 또는 실시간 추적 히트맵을 작성하는 로그 가공 모듈(220);상기 정상 상태 히트맵을 기준으로 딥러닝 모델을 통해 공격 유형별 히트맵을 생성하는 기계 학습 모듈(230); 및 상기 실시간 추적 히트맵과 상기 공격 유형별 히트맵을 비교하여 상기 보안 위협 탐지 여부를 결정하는 분석 모듈(240);을 포함하는 것을 특징으로 하는 자원 사용 로그를 이용한 보안 위협 탐지 시스템
|
12 |
12
제 11 항에 있어서,상기 자원 사용 로그는 CPU(central processing unit) 사용률, 메모리 점유율, 및 프로세스 가동율 중 어느 하나인 것을 특징으로 하는 자원 사용 로그를 이용한 보안 위협 탐지 시스템
|
13 |
13
(a) 방화벽(130)이 인터넷망(110)에 연결되는 게이트웨이(120)로부터의 접속 정보를 저장하여 방화벽 로그를 생성하는 단계; 및(b) 처리부(140)가 상기 방화벽 로그를 이용하여 보안 위협 탐지 여부를 결정하는 단계;를 포함하는 것을 특징으로 하는 방화벽 로그를 이용한 보안 위협 탐지 방법
|
14 |
14
제 13 항에 있어서,상기 (b) 단계는,(b-1) 로그 수집 모듈(210)이 상기 방화벽 로그를 수집하는 단계;(b-2) 로그 가공 모듈(220)이 상기 방화벽 로그를 미리 설정되는 시간 단위로 묶어서 다수의 매트릭스 형태로 구성하여 정상 상태 히트맵 또는 실시간 추적 히트맵을 작성하는 단계;(b-3) 기계 학습 모듈(230)이 상기 정상 상태 히트맵을 기준으로 딥러닝 모델을 통해 공격 유형별 히트맵을 생성하는 단계; 및 (b-4) 분석 모듈(240)이 상기 실시간 추적 히트맵과 상기 공격 유형별 히트맵을 비교하여 상기 보안 위협 탐지 여부를 결정하는 단계;를 포함하는 것을 특징으로 하는 방화벽 로그를 이용한 보안 위협 탐지 방법
|
15 |
15
제 14 항에 있어서,상기 공격 유형별 히트맵은 미리 수동으로 작성되는 공격 시나리오 히트맵을 상기 정상 상태 히트맵과 비교를 반복함으로써 생성되는 것을 특징으로 하는 방화벽 로그를 이용한 보안 위협 탐지 방법
|
16 |
16
제 15 항에 있어서,상기 비교는 색깔의 형태간 비교인 것을 특징으로 하는 방화벽 로그를 이용한 보안 위협 탐지 방법
|
17 |
17
제 14 항에 있어서,상기 (b-4) 단계는, 상기 분석 모듈(240)이 상기 보안 위협 탐지 여부를 출력부(250)에 알람 정보로 출력하는 단계;를 포함하는 것을 특징으로 하는 방화벽 로그를 이용한 보안 위협 탐지 방법
|
18 |
18
제 17 항에 있어서,상기 알람 정보는 음성, 문자, 및 그래픽의 조합인 것을 특징으로 하는 방화벽 로그를 이용한 보안 위협 탐지 방법
|
19 |
19
자원 사용 로그를 이용한 보안 위협 탐지 방법에 있어서,(a) 로그 수집 모듈(210)이 자원 사용 로그를 수집하는 단계;(b) 로그 가공 모듈(220)이 상기 자원 사용 로그를 미리 설정되는 시간 단위로 묶어서 다수의 매트릭스 형태로 구성하여 정상 상태 히트맵 또는 실시간 추적 히트맵을 작성하는 단계;(c) 기계 학습 모듈(230)이 상기 정상 상태 히트맵을 기준으로 딥러닝 모델을 통해 공격 유형별 히트맵을 생성하는 단계; 및 (d) 분석 모듈(240)이 상기 실시간 추적 히트맵과 상기 공격 유형별 히트맵을 비교하여 상기 보안 위협 탐지 여부를 결정하는 단계;를 포함하는 것을 특징으로 하는 자원 사용 로그를 이용한 보안 위협 탐지 방법
|