1 |
1
(a) 네트워크의 관리 도메인 상에서 발생하는 보안 관련 이벤트를 수집하는 단계;(b) 상기 수집된 이벤트로부터 그래프로 표현할 응용 포트별 발생 양, 원천지 주소와 목적지 주소간의 연결성 정도, 원천지 주소, 목적지 주소, 이벤트 유형을 포함하는 정보를 추출하는 단계; 및(c) 상기 추출된 정보를 원천지 주소, 목적지 주소 및 이벤트 유형간의 상호 연관성에 따라 그래프로 표시하는 단계;를 포함하는 것을 특징으로 하는 네트워크의 보안 관련 이벤트 정보를 표시하는 방법
|
2 |
2
제1항에 있어서, 상기 (c) 단계는,(c1) 각 응용 포트별로 발생하는 각 이벤트 양의 전체 관리 대상 네트워크에서 발생하는 이벤트 양에 대한 비율을 계산하는 단계; 및(c2) 상기 계산된 각 이벤트별 비율의 상대적 크기에 따라 각 응용 포트별로 면적을 할당하여 표시하는 단계;를 포함하는 것을 특징으로 하는 네트워크의 보안 관련 이벤트 정보를 표시하는 방법
|
3 |
3
제2항에 있어서,상기 (c2) 단계에서 각 응용 포트별 할당된 면적을 각 포트별로 고유한 색으로 표시하는 것을 특징으로 하는 네트워크의 보안 관련 이벤트 정보를 표시하는 방법
|
4 |
4
제2항에 있어서,(d) 상기 (c) 단계 후에 상기 표시된 그래프 패턴에 따라 관리 대상 도메인의 보안상 이상 상태를 판단하는 단계;를 더 포함하며,특정 포트의 이벤트가 증가함으로써 특정 포트에 대응하는 면적이 증가하여 전체 표시된 패턴이 변하는 경우 특정 응용 포트를 이용하는 인터넷 웜 공격을 포함하는 이상 상태가 발생한 것으로 판단하는 것을 특징으로 하는 네트워크의 보안 관련 이벤트 정보를 표시하는 방법
|
5 |
5
제1항 내지 제4항 중의 한 항에 있어서,소정의 양 또는 특정 비율 이상으로 이벤트가 발생한 포트만을 대상으로 하여 표시하는 것을 특징으로 하는 네트워크의 보안 관련 이벤트 정보를 표시하는 방법
|
6 |
6
제1항에 있어서, 상기 (c) 단계는,(c1) 원천지 주소 표시 평면에 각 원천지 주소별로 해당 원천지 주소에서 관리 도메인 상의 모든 목적지 주소로 발생한 이벤트 양의 전체 이벤트 양에 대한 비율에 따라 해당 원천지 주소 표시점의 크기를 달리 하여 원천지 주소를 표시하는 단계;(c2) 목적지 주소 평면에 각 목적지 주소별로 발생한 이벤트의 상대적 비율에 따라 목적지 주소 표시점의 크기를 달리 하여 목적지 주소를 표시하는 단계;(c3) 상기 표시된 원천치 주소와 목적지 주소들 사이에 발생한 이벤트의 상대적 비율에 따라 해당 원천지와 목적지의 연결을 표현하는 선의 굵기를 달리하여 원천지 주소와 목적지 주소간의 연결을 하는 단계;를 포함하는 것을 특징으로 하는 네트워크의 보안 관련 이벤트 정보를 표시하는 방법
|
7 |
7
제6항에 있어서,(d) 상기 (c) 단계 후에 상기 표시된 그래프 패턴에 따라 관리 대상 도메인의 보안상 이상 상태를 판단하는 단계;를 더 포함하며,다양한 원천지에서 특정 목적지로의 접근 시도가 급격히 증가되어 해당 목적지 표시점의 면적이 증가하게 되어 상기 표시된 패턴의 변화가 발생하는 경우 분산 서비스 거부 공격인 것으로 판단하는 것을 특징으로 하는 네트워크의 보안 관련 이벤트 정보를 표시하는 방법
|
8 |
8
제6항에 있어서,(d) 상기 (c) 단계 후에 상기 표시된 그래프 패턴에 따라 관리 대상 도메인의 보안상 이상 상태를 판단하는 단계;를 더 포함하며,특정 원천지에서 특정 목적지로의 접근 시도가 급격히 증가하여 해당 원천지 주소와 목적지 주소간 연결성을 나타내는 선의 굵기가 갑자기 굵어지게 되어 상기 표시된 패턴의 변화가 발생하는 경우 단순 서비스 거부 공격으로 판단하는 것을 특징으로 하는 네트워크의 보안 관련 이벤트 정보를 표시하는 방법
|
9 |
9
제1항, 제6항 내지 제8항 중의 한 항에 있어서,상기 (c) 단계에서 특정 비율 이상 또는 특정 접근 시도 회수 이상의 이벤트가 발생한 원천지 및 목적지만을 대상으로 하여 그래프로 표시하는 것을 특징으로 하는 네트워크의 보안 관련 이벤트 정보를 표시하는 방법
|
10 |
10
제1항에 있어서,상기 (b) 단계에서 목적지 주소를 기준으로 발생 이벤트 양, 해당 이벤트의 유형, 원천지 주소 정보를 추출하며,상기 (c) 단계는,(c1) 목적지 주소가 표시되는 평면, 이벤트 유형이 표시되는 평면, 원천지 주소가 표시되는 서로 구분되는 각 평면에 각 목적지 주소별로 발생한 이벤트 양을 나타내도록 표시하는 단계; 및(c2) 해당 이벤트들의 이벤트 유형, 원천지 주소 정보들간의 대응하는 정보들을 선으로 연결하여 세 속성간의 연관관계를 표시하는 단계;를 포함하는 것을 특징으로 하는 네트워크의 보안 관련 이벤트 정보를 표시하는 방법
|
11 |
11
제10항에 있어서, 상기 (c) 단계에서, 이벤트의 보안상 심각성의 정도, 최다 빈도별 또는 발생 이벤트 양을 포함하는 속성을 기준으로 각 목적지에서 발생한 이벤트들의 양을 나타내는 색을 다르게 표시하는 것을 특징으로 하는 네트워크의 보안 관련 이벤트 정보를 표시하는 방법
|
12 |
12
제10항에 있어서,상기 (c2) 단계의 연관성을 표현하기 위해 연결하는 상기 선의 색깔을 발생 이벤트 양의 정도에 따라 다르게 표시할 수 있는 것을 특징으로 네트워크의 보안 관련 이벤트 정보를 표시하는 방법
|
13 |
13
제10항 내지 제12항 중의 한 항에 있어서,상기 (c) 단계에서 특정 양 이상의 이벤트 만을 대상으로 그래프로 표시하는 것을 특징으로 하는 네트워크의 보안 관련 이벤트 정보를 표시하는 방법
|