| 1 |
1
독립적인 네트워크를 사용하는 기관별로 마련되며, 침입탐지 로그를 수집하는 침입탐지 로그수집 엔진과 트래픽 통계를 수집하는 트래픽 통계수집 엔진으로 구성된 관제에이전트; 및 상기 각 관제에이전트로부터 전달된 침입탐지 로그 및 트래픽 통계에 대해 개별 분석하거나 상호 연관성 분석하고, 상기 분석된 결과인 침입탐지 로그 정보와 트래픽 통계 정보를 통합적으로 분석하거나 상호 연관성을 분석하는 관리서버를 포함하는 것을 특징으로 하는 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 시스템
|
| 2 |
2
제1항에 있어서, 상기 침입탐지 로그수집 엔진은, 상기 침입탐지 로그를 수집하기 위해 침입탐지시스템에 접근하는 외부 인터페이스부; 상기 수집된 침입탐지 로그를 해당 시스템에서 사용하는 형식으로 변환하는 형식 변환부; 정해진 기간에 수집된 로그의 내용을 로그의 종류별로 축약을 수행하는 로그 축약부; 및 상기 축약된 로그를 관리서버로 전송하는 전송부로 이루어진 것을 특징으로 하는 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 시스템
|
| 3 |
3
제2항에 있어서, 상기 트래픽 통계수집 엔진은, 네트워크에 접속되는 네트워크 인터페이스; 상기 네트워크 인터페이스로부터 수집된 패킷의 헤더 정보를 분석하는 패킷 분석부; 일정 기간 동안 분석된 패킷 정보를 데이터베이스나 메모리에 저장, 관리하며, 해당 정보의 활용이 종료된 후에는 삭제하는 트래픽 정보 관리부; 정해진 주기마다 수집된 패킷 정보에 대한 통계 정보를 생성하는 통계정보 생성부; 및 상기 생성된 일정 기간의 통계 정보를 관리서버로 전송하는 전송부로 이루어진 것을 특징으로 하는 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 시스템
|
| 4 |
4
제3항에 있어서, 상기 통계 정보는 유입 및 유출되는 패킷의 수와 바이트 수, 포트별 트래픽 통계, 프로토콜별 트래픽 통계, 크기별 트래픽 통계, 소스 IP별 트래픽 통계, 목적지 IP별 트래픽 통계를 포함하는 것을 특징으로 하는 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 시스템
|
| 5 |
5
제3항에 있어서, 상기 관리서버는, 상기 각 관제에이전트로부터 전달된 침입탐지 로그 및 트래픽 통계에 대해 개별 분석하거나 상호 연관성 분석하는 다수의 관제중간관리서버; 및 상기 다수의 관제중간관리서버로부터 전달된 침입탐지 로그 정보와 트래픽 통계 정보를 통합적으로 분석하거나 상호 연관성을 분석하는 관제최상위관리서버로 이루어진 것을 특징으로 하는 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 시스템
|
| 6 |
6
제5항에 있어서, 상기 관제중간관리서버는, 상기 각 관제에이전트의 침입탐지 로그수집 엔진에서 수집한 침입탐지 정보를 개별 분석하고, 분석 결과 사용자 통보가 필요한 경우 관리콘솔을 통하여 통보를 수행하고, 연관분석이 필요한 경우 연관 분석부에 분석 수행을 통보하는 침입탐지 분석부; 상기 트래픽 통계수집 엔진에서 수집된 트래픽 통계 정보를 개별 분석하고, 분석결과 사용자 통보가 필요한 경우 관리콘솔을 통하여 통보를 수행하고, 연관분석이 필요한 경우 연관 분석부에 분석 수행을 통보하는 트래픽 분석부; 침입탐지 분석부와 트래픽 분석부에 의해서 통보된 연관 분석 수행에 대해서 침입탐지 로그 정보와 트래픽 통계 정보를 이용하여 상호 연관분석을 수행하는 연관 분석부; 및 침입탐지 분석부, 트래픽 분석부, 연관 분석부에 의한 사용자 통보 정보 및 정보의 다양한 시각화를 제공하는 관리콘솔로 이루어진 것을 특징으로 하는 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 시스템
|
| 7 |
7
제5항에 있어서, 상기 관제최상위관리서버는, 상기 각 관제중간관리서버에서 전달된 침입탐지 정보를 개별 분석하고, 분석 결과 사용자 통보가 필요한 경우 최상위 관리콘솔을 통하여 통보를 수행하고, 연관분석이 필요한 경우 연관 분석부에 분석 수행을 통보하는 침입탐지 분석부; 상기 각 관제중간관리서버에서 전달된 트래픽 통계 정보를 개별 분석하고, 분석결과 사용자 통보가 필요한 경우 최상위 관리콘솔을 통하여 통보를 수행하고, 연관분석이 필요한 경우 연관 분석부에 분석 수행을 통보하는 트래픽 분석부; 침입탐지 분석부와 트래픽 분석부에 의해서 통보된 연관 분석 수행에 대해서 침입탐지 로그정보와 트래픽 통계정보를 이용하여 상호 연관분석을 수행하는 연관 분석부; 침입탐지 분석부, 트래픽 분석부, 연관 분석부에 의한 사용자 통보 정보 및 정보의 다양한 시각화를 제공하는 최상위 관리콘솔; 및 관제최상위관리서버의 상위 분석 시스템과의 연결을 지원하는 확장 인터페이스로 이루어진 것을 특징으로 하는 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 시스템
|
| 8 |
8
각 관제에이전트별로, 침입탐지 로그수집 엔진에서 침입탐지 로그를 수집하고, 트래픽 통계수집 엔진에서 트래픽 통계를 수집하는 단계; 상기 침입탐지 로그와 트래픽 통계를 관제중간관리서버로 전달하여 상기 관제중간관리서버에서 개별 분석을 수행하고, 상호 연관성 분석이 필요한 경우 연관성 분석을 수행하는 단계; 및 상기 분석된 결과인 침입탐지 로그 정보와 트래픽 통계 정보를 관제최상위관리서버로 전달하여 상기 관제최상위관리서버에서 개별 분석을 포함한 통합 분석을 수행하고 상호 연관성 분석이 필요한 경우 연관성 분석을 수행하는 단계를 포함하는 것을 특징으로 하는 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 방법
|
| 9 |
9
제8항에 있어서, 상기 관제최상위관리서버에서 처리된 결과를 다른 관제관리서버로 전달하여 상기 다른 관제관리서버에서 침입탐지 로그 정보와 트래픽 통계 정보를 처리하는 것을 특징으로 하는 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 방법
|
| 10 |
10
제8항에 있어서, 상기 연관 분석은 침입탐지 로그 통계의 이상이 발견된 경우 해당 기간 동안의 로그 관련 IP를 포함하는 트래픽 통계 정보를 이용하여 연관분석을 수행하는 방법과, 트래픽 통계에 이상이 발견된 경우 해당 기간 동안의 침입탐지 로그 통계를 이용하여 연관분석을 수행하는 방법 중에서 어느 하나를 이용하는 것을 특징으로 하는 침입탐지 로그수집 엔진과 트래픽 통계수집 엔진을 이용한 다단계 통합보안 관리 방법
|
