+

KR100949805B1 - Apparatus and Method for Displaying Security Status of Administrative Domain Using Geographic Information - Google Patents

Apparatus and Method for Displaying Security Status of Administrative Domain Using Geographic Information Download PDF

Info

Publication number
KR100949805B1
KR100949805B1 KR1020070108789A KR20070108789A KR100949805B1 KR 100949805 B1 KR100949805 B1 KR 100949805B1 KR 1020070108789 A KR1020070108789 A KR 1020070108789A KR 20070108789 A KR20070108789 A KR 20070108789A KR 100949805 B1 KR100949805 B1 KR 100949805B1
Authority
KR
South Korea
Prior art keywords
security
security event
management domain
information
geographic information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
KR1020070108789A
Other languages
Korean (ko)
Other versions
KR20090043113A (en
Inventor
정치윤
장범환
손성경
김종현
김건량
유종호
나중찬
장종수
손승원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020070108789A priority Critical patent/KR100949805B1/en
Publication of KR20090043113A publication Critical patent/KR20090043113A/en
Application granted granted Critical
Publication of KR100949805B1 publication Critical patent/KR100949805B1/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0677Localisation of faults
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/29Geographical information databases
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Remote Sensing (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 지리 정보를 활용하여 관리 도메인으로 유입되는 보안 이벤트의 흐름을 지도상에 시각화하여 관리 도메인의 현재 보안 상황을 즉각적으로 판단할 수 있도록 한 지리 정보를 활용한 관리 도메인의 보안 상황 표시장치 및 방법에 관한 것이다. 본 발명은 네트워크 보안 장비로부터 전송되는 보안 이벤트중에서 관리 도메인으로 유입되는 보안 이벤트의 IP주소에 근거한 지리 정보를 추출하고, 추출된 지리 정보와 관리 도메인으로 유입되는 보안 이벤트의 특성 정보에 근거하여 지도상에 관리 도메인으로 유입되는 보안 이벤트의 흐름을 3차원적으로 시각화함으로써, 관리 도메인의 현재 보안 상황을 실시간으로 인지하고 네트워크 이상 현상이 발생한 물리적 위치를 직관적으로 파악할 수 있게 된다.The present invention utilizes geographic information to visualize the flow of security events flowing into the management domain on the map to display the security status of the management domain using geographic information to immediately determine the current security situation of the management domain and It is about a method. The present invention extracts geographic information based on the IP address of the security event flowing into the management domain from the security events transmitted from the network security equipment, and on the map based on the extracted geographic information and the characteristic information of the security event flowing into the management domain. By visualizing the flow of security events flowing into the management domain in three dimensions, the current security status of the management domain can be recognized in real time and the physical location of the network anomaly can be intuitively identified.

Description

지리 정보를 활용한 관리 도메인의 보안 상황 표시장치 및 방법{Apparatus and method for visualizing security state of managed domain by using geographic information}Apparatus and method for visualizing security state of managed domain by using geographic information}

본 발명은 네트워크 보안에 관한 것으로, 보다 상세하게는 관리 도메인으로 유입되는 보안 이벤트의 흐름을 시각화할 수 있도록 한 장치 및 방법에 관한 것이다.TECHNICAL FIELD The present invention relates to network security, and more particularly, to an apparatus and a method for visualizing a flow of security events flowing into a management domain.

본 발명은 정보통신부 및 정보통신연구진흥원의 IT성장동력기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제고유번호: 2007-S-022-01, 연구과제명: All-IP환경의 지능형 사이버 공격 감시 및 추적 시스템 개발].The present invention is derived from the research conducted as part of the IT growth engine technology development project of the Ministry of Information and Communication and the Ministry of Information and Telecommunication Research and Development. [Task No. 2007-S-022-01, Research Title: Intelligent of All-IP Environment Cyber attack monitoring and tracking system development].

종래의 네트워크 보안 분야에서는 네트워크상에 설치된 각종의 보안 장비로부터 발생하는 보안 이벤트를 이용하여 네트워크상의 보안 상황을 표시하는 방법을 종종 사용한다.In the conventional network security field, a method of displaying a security situation on a network is often used by using security events generated from various security devices installed on the network.

종래에는 보안 이벤트를 구성하는 근원지 IP주소, 목적지 IP주소, 프로토콜, 근원지 포트, 목적지 포트 등의 정보를 추출한다. 추출된 근원지 IP주소와 목적지 IP주소를 화면에 표현하고, 근원지 IP주소에서 특정 프로토콜의 근원지 포트를 사 용해서 발생한 보안 이벤트가 어떤 목적지 포트를 통하여 목적지 IP 주소에 도착하는지의 보안 이벤트의 흐름을 시각화한다. Conventionally, information such as a source IP address, a destination IP address, a protocol, a source port, and a destination port constituting a security event is extracted. Display the extracted source IP address and destination IP address on the screen, and visualize the flow of security events through which destination port the security event generated using the source port of a specific protocol from the source IP address arrives at the destination IP address. do.

이러한 종래의 보안 상황 표시방법은 대량으로 발생한 모든 보안 이벤트의 흐름을 시각화하기 때문에 하나의 화면에 표시할 데이터가 매우 많게 된다. 이로 인해, 화면이 매우 복잡해져서 인지력을 매우 저하시키는 문제점을 발생시킨다.Since the conventional security status display method visualizes the flow of all security events occurring in a large amount, there is a great amount of data to be displayed on one screen. As a result, the screen becomes very complicated, which causes a problem of significantly lowering cognitive power.

또한, 숫자로 표현되는 IP 주소를 변형하여 화면상에서 보안 이벤트의 근원지와 목적지를 표현하기 때문에 네트워크 관리자는 자신이 관리하는 도메인내에서 이상 현상이 발생한 지점을 직관적으로 인지하기 어렵다. In addition, since the source and destination of security events are represented on the screen by modifying the IP address represented by the number, it is difficult for the network administrator to intuitively recognize the point where the abnormality occurs in the domain managed by the user.

본 발명은 상기한 종래의 문제점을 해결하기 위해 제안된 것으로, 지리 정보를 활용하여 관리 도메인으로 유입되는 보안 이벤트의 흐름을 지도상에 시각화하여 관리 도메인의 현재 보안 상황을 즉각적으로 판단할 수 있도록 한 지리 정보를 활용한 관리 도메인의 보안 상황 표시장치 및 방법을 제공함에 그 목적이 있다.The present invention has been proposed to solve the above-mentioned problems, and by using the geographic information to visualize the flow of security events flowing into the management domain on a map to immediately determine the current security situation of the management domain It is an object of the present invention to provide an apparatus and method for displaying security status of an administrative domain using geographic information.

본 발명의 다른 목적은 관리 도메인으로 유입되는 보안 이벤트의 목적지를 계층적으로 상세히 표시할 수 있도록 한 지리 정보를 활용한 관리 도메인의 보안 상황 표시장치 및 방법을 제공함에 있다.Another object of the present invention is to provide an apparatus and method for displaying a security situation of a management domain using geographic information that can display in detail the hierarchical destination of a security event flowing into the management domain.

네트워크 보안 관리에서 관리 도메인으로 유입되는 트래픽이 중요하다. 관리 도메인으로 유입되는 보안 이벤트만을 지리 정보와 결합하여 화면상에 표시하면 네트워크 관리자는 자신이 관리하는 도메인에서 이상 현상이 발생한 곳을 직관적으로 인지하여 빠른 대응을 가능하게 할 수 있다. 본 발명은 이러한 내용을 근거로 과제를 해결하고자 한다.In network security management, traffic to the management domain is important. If only security events flowing into the management domain are combined with geographic information and displayed on the screen, network administrators can intuitively recognize where anomalies occur in the domains they manage and enable quick response. The present invention is to solve the problem based on the above content.

상기와 같은 목적을 달성하기 위하여 본 발명의 바람직한 실시예에 따른 지리 정보를 활용한 관리 도메인의 보안 상황 표시장치는, 외부로부터의 보안 이벤트중에서 관리 도메인으로 유입되는 보안 이벤트에 대한 특성 정보 및 상기 특성 정보중의 근원지 IP주소와 목적지 IP주소에 상응하는 지리 정보를 추출하는 보안 이벤트 처리부; 및 상기 보안 이벤트 처리부로부터 제공되는 보안 이벤트의 특성 정보 및 상기 IP주소에 상응하는 지리 정보에 근거하여 상기 관리 도메인으로 유입되는 프로토콜별 보안 이벤트의 흐름을 지도 형상을 포함하는 화면으로 표시하는 보안 이벤트 표시부;를 포함하고, 상기 보안 이벤트 표시부는, 프로토콜의 포트 번호를 표시하는 원 형상의 보안 레이더를 이용하여 각 목적지 포트로 유입되는 보안 이벤트의 흐름을 표시한다.In order to achieve the above object, the security status display apparatus of the management domain using geographic information according to the preferred embodiment of the present invention includes property information on the security event flowing into the management domain among security events from the outside and the property. A security event processor for extracting geographic information corresponding to a source IP address and a destination IP address of the information; And a security event display unit displaying a flow chart of a security event for each protocol flowing into the management domain based on the characteristic information of the security event provided from the security event processor and the geographic information corresponding to the IP address. And, wherein the security event display unit displays a flow of security events flowing into each destination port by using a circular security radar indicating a port number of a protocol.

보안 이벤트 처리부는, 외부로부터의 보안 이벤트를 수집하는 보안 이벤트 수집 모듈; 수집한 보안 이벤트중에서 관리 도메인으로 유입되는 보안 이벤트를 제 1데이터베이스의 정보에 근거하여 추출하고 추출한 보안 이벤트의 특성 정보를 추출하는 보안 이벤트 필터 모듈; 및 추출한 특성 정보내의 근원지 IP주소 및 목적지 IP주소에 매핑되는 지리 정보를 제 2데이터베이스의 정보에 근거하여 추출하는 지리 정보 추출 모듈을 포함한다.The security event processing unit includes a security event collection module for collecting a security event from the outside; A security event filter module for extracting security events flowing into the management domain from the collected security events based on information of the first database and extracting characteristic information of the extracted security events; And a geographic information extraction module for extracting geographic information mapped to the source IP address and the destination IP address in the extracted characteristic information based on the information of the second database.

보안 이벤트 필터 모듈은 제 1데이터베이스에 저장되어 있는 관리 도메인의 각 IP에 대한 위도와 경도, 해당 지역의 다단계 지도 파일을 포함하는 정보를 이용한다.The security event filter module uses information including latitude and longitude for each IP of the management domain stored in the first database and a multi-level map file of the corresponding region.

지리 정보 추출 모듈은 제 2데이터베이스에 저장되어 있는 각 IP에 대한 위도와 경도를 포함하는 정보를 이용한다.The geographic information extraction module uses information including latitude and longitude for each IP stored in the second database.

보안 이벤트 표시부는 근원지를 표시하는 제 1지도 표시영역, 목적지인 관리 도메인을 표시하는 제 2지도 표시영역, 및 근원지 또는 목적지의 포트 번호와 포트별 보안 이벤트의 개수를 표시하는 프로토콜 정보 표시영역을 표시하되, 관리 도메인으로 유입되는 보안 이벤트의 특성 정보를 이용하여 프로토콜 정보 표시영역을 통해 근원지와 목적지를 상호 연결시킨다. 여기서, 프로토콜 정보 표시영역은, 보안 레이더를 포함하되, 원의 둘레에는 해당 프로토콜의 포트 번호가 매핑되고, 원의 중심에서부터 포트 번호가 매핑된 둘레로의 거리에 의해 해당 포트 번호를 사용하고 있는 보안 이벤트의 개수를 나타낸다.The security event display unit displays a first map display area indicating a source location, a second map display area indicating a management domain as a destination, and a protocol information display area indicating a port number of the source or destination and the number of security events for each port. However, the source and destination are interconnected through the protocol information display area using the property information of the security event flowing into the management domain. Here, the protocol information display area includes a security radar, and the port number of the protocol is mapped to the perimeter of the circle, and the security is using the port number by the distance from the center of the circle to the perimeter to which the port number is mapped. Shows the number of events.

보안 이벤트 표시부는 보안 이벤트의 흐름을 포트 번호별로 서로 다른 색을 부여한다.The security event display unit assigns a different color to the flow of security events for each port number.

보안 이벤트 표시부는 요청신호에 근거하여 제 2지도 표시영역을 계층적으로 표시한다.The security event display unit hierarchically displays the second map display area based on the request signal.

보안 이벤트 표시부는 다수의 그리드 형태로 구성된 관리 도메인 맵을 통해 관리 도메인을 계층적으로 표시한다.The security event display unit hierarchically displays the management domains through a management domain map formed in a plurality of grids.

본 발명의 실시예에 따른 지리 정보를 활용한 관리 도메인의 보안 상황 표시방법은, 외부로부터의 보안 이벤트중에서 관리 도메인으로 유입되는 보안 이벤트에 대한 특성 정보 및 상기 특성 정보중의 근원지 IP주소와 목적지 IP주소에 상응하는 지리 정보를 추출하는 보안 이벤트 처리 과정; 및 상기 추출된 보안 이벤트의 특성 정보 및 상기 지리 정보에 근거하여 상기 관리 도메인으로 유입되는 프로토콜별 보안 이벤트의 흐름을 지도 형상을 포함하는 화면으로 표시하는 보안 이벤트 표시 과정;을 포함하고, 상기 보안 이벤트 표시 과정은, 프로토콜의 포트 번호를 표시하는 원 형상의 보안 레이더를 이용하여 각 목적지 포트로 유입되는 보안 이벤트의 흐름을 표시한다.Security situation display method of the management domain using geographic information according to an embodiment of the present invention, the characteristic information on the security event flowing into the management domain from the security event from the outside, the source IP address and destination IP in the characteristic information A security event processing step of extracting geographic information corresponding to the address; And a security event displaying process of displaying the flow of a security event for each protocol flowing into the management domain on a screen including a map shape based on the extracted security event characteristic information and the geographic information. The display process displays the flow of security events entering each destination port using a circular security radar indicating the port number of the protocol.

보안 이벤트 처리 과정은, 외부로부터의 보안 이벤트를 수집하는 제 1단계; 제 1단계에서 수집한 보안 이벤트중에서 관리 도메인으로 유입되는 보안 이벤트를 추출하는 제 2단계; 제 2단계에서 추출한 관리 도메인으로 유입되는 보안 이벤트의 특성 정보를 추출하는 제 3단계; 및 제 3단계에서 추출한 특성 정보내의 근원지 IP주소 및 목적지 IP주소에 매핑되는 지리 정보를 추출하는 제 4단계를 포함한다.Security event processing, the first step of collecting a security event from the outside; Extracting a security event flowing into the management domain from the security events collected in the first step; A third step of extracting property information of the security event flowing into the management domain extracted in the second step; And a fourth step of extracting geographic information mapped to the source IP address and the destination IP address in the feature information extracted in the third step.

보안 이벤트 표시 과정은 근원지를 표시하는 제 1지도 표시영역, 목적지인 관리 도메인을 표시하는 제 2지도 표시영역, 및 근원지 또는 목적지의 포트 번호와 포트별 보안 이벤트의 개수를 표시하는 프로토콜 정보 표시영역을 화면에 표시하되, 관리 도메인으로 유입되는 보안 이벤트의 특성 정보를 이용하여 프로토콜 정보 표시영역을 통해 근원지와 목적지를 상호 연결시킨다. 여기서, 상기 보안 이벤트 표시 과정은, 상기 프로토콜 정보 표시영역에 상기 보안 레이더를 표시하되, 원의 둘레에는 해당 프로토콜의 포트 번호를 매핑시키고, 원의 중심에서 포트 번호가 매핑된 둘레로의 거리에 의해 해당 포트 번호를 사용하고 있는 보안 이벤트의 개수를 나타낸다.The security event display process includes a first map display area indicating a source, a second map display area indicating a management domain as a destination, and a protocol information display area indicating a port number of the source or destination and the number of security events for each port. Displayed on the screen, the source and destination are interconnected through the protocol information display area using the property information of the security event flowing into the management domain. In the security event display process, the security radar is displayed on the protocol information display area, and a port number of a corresponding protocol is mapped to a circumference of a circle, and a distance from the center of the circle to the circumference of the port number is mapped. Shows the number of security events using the port number.

보안 이벤트 표시 과정은 요청신호에 근거하여 제 2지도 표시영역을 계층적으로 표시한다.The security event display process hierarchically displays the second map display area based on the request signal.

보안 이벤트 표시 과정은 다수의 그리드 형태로 구성된 관리 도메인 맵을 통해 관리 도메인을 계층적으로 표시한다.The security event display process hierarchically displays administrative domains through a management domain map composed of a plurality of grids.

이러한 구성의 본 발명에 따르면, 네트워크 보안 장비로부터 전송되는 보안 이벤트중에서 관리 도메인으로 유입되는 보안 이벤트의 IP주소에 근거한 지리 정보를 추출하고, 추출된 지리 정보와 관리 도메인으로 유입되는 보안 이벤트의 특성 정보에 근거하여 지도상에 관리 도메인으로 유입되는 보안 이벤트의 흐름을 3차원적으로 시각화함으로써 관리 도메인의 현재 보안 상황을 실시간으로 인지하고 네트워크 이상 현상이 발생한 물리적 위치를 직관적으로 파악할 수 있게 된다. According to the present invention having such a configuration, among the security events transmitted from the network security equipment, geographic information is extracted based on the IP address of the security event flowing into the management domain, and extracted geographic information and characteristic information of the security event flowing into the management domain. By visualizing the flow of security events flowing into the management domain on the map in three dimensions, the current security status of the management domain can be recognized in real time and the physical location of the network anomaly can be intuitively identified.

관리 도메인으로 유입되는 보안 이벤트의 목적지를 계층적으로 상세히 시각화함으로써 네트워크에서 이상 현상이 발생한 지점을 빠르고 정확하게 인지할 수 있게 된다.Hierarchical and detailed visualization of the destinations of security events entering the management domain enables quick and accurate identification of where an anomaly occurs in the network.

이하, 첨부된 도면을 참조하여 본 발명의 실시예에 따른 지리 정보를 활용한 관리 도메인의 보안 상황 표시장치와 방법에 대하여 설명하면 다음과 같다.Hereinafter, an apparatus and method for displaying a security situation of a management domain using geographic information according to an embodiment of the present invention will be described with reference to the accompanying drawings.

도 1은 본 발명에 따른 지리 정보를 활용한 관리 도메인의 보안 상황 표시장치의 일실시예를 나타낸 블록도로서, 보안 이벤트 처리부(110) 및 보안 이벤트 표시부(120)를 포함한다.1 is a block diagram illustrating an embodiment of a security status display device of a management domain using geographic information according to the present invention, and includes a security event processing unit 110 and a security event display unit 120.

보안 이벤트 처리부(110)는 방화벽, 침입 탐지 시스템, 라우터 등과 같은 네트워크 보안 장비(100)로부터의 보안 이벤트중에서 관리 도메인으로 유입되는 보안 이벤트를 추출한다. 보안 이벤트 처리부(110)는 추출한 보안 이벤트의 특성 정보중의 IP주소에 상응하는 지리 정보(예컨대, 위도와 경도)를 추출한다. 본 발명의 명세서에서 특성 정보는 근원지에서 목적지로 가는 네트워크 패킷이 가지고 있는 여러 특성중에서 네트워크의 이상 현상을 파악하기 위해 필요충분하다고 여겨지는 소수의 특징을 의미한다. 통상적으로, 네트워크 패킷은 근원지 IP주소, 목적지 IP주소, 프로토콜, 목적지 포트, 근원지 포트 이외에도 여러 속성을 가지고 있다. 예를 들어, 이하에서는 앞서 예시한 속성(즉, 근원지 IP주소, 목적지 IP주소, 프로토콜, 목적지 포트, 근원지 포트)을 특성 정보로 정의한다. 보안 이벤트 처리부(110)는 관리 도메인으로 유입되는 보안 이벤트 추출시 관리 도메인 지리 정보 데이터베이스(140)의 정보를 이용한다. 보안 이벤트 처리부(110)는 지리 정보 추출시 지리 정보 데이터베이스(130)의 정보를 이용한다. The security event processor 110 extracts a security event flowing into the management domain from among security events from the network security equipment 100 such as a firewall, an intrusion detection system, a router, and the like. The security event processor 110 extracts geographic information (eg, latitude and longitude) corresponding to the IP address in the extracted security event characteristic information. In the specification of the present invention, the characteristic information means a small number of features that are considered sufficient to grasp anomalies of a network among various characteristics of network packets going from a source to a destination. Typically, network packets have several attributes in addition to the source IP address, destination IP address, protocol, destination port, and source port. For example, hereinafter, the above-described attributes (ie, source IP address, destination IP address, protocol, destination port, source port) are defined as characteristic information. The security event processing unit 110 uses information of the management domain geographic information database 140 when extracting security events flowing into the management domain. The security event processor 110 uses information from the geographic information database 130 when extracting geographic information.

보안 이벤트 표시부(120)는 보안 이벤트 처리부(110)로부터 전송되어 오는 관리 도메인으로 유입되는 보안 이벤트의 특성 정보와 그에 상응하는 지리 정보를 매핑하여 3차원 화면으로 시각화한다. 보안 이벤트 표시부(120)는 관리 도메인 지리 정보 데이터베이스(140)와 사용자 인터페이스(도시 생략)를 통해 관리 도메인내의 보안 이벤트의 목적지를 보다 상세하게 계층적으로 시각화한다. 어느 정도 분량의 데이터를 하나의 화면상에 보여 줄 것인지에 따라 보안 이벤트 표시부(120)에 의해 화면표시되는 관리 도메인으로 유입되는 보안 이벤트의 흐름이 차이날 수도 있다. 예를 들어, 그동안 계속적으로 누계한 관리 도메인으로 유입된 보안 이벤트의 정보를 근거로 한다거나 소정 시간(예컨대, 10분 정도) 단위로 누계한 관리 도메인으로 유입되는 보안 이벤트의 정보를 근거로 할 수 있으므로 보안 이벤트 표시부(120)에 의해 화면표시되는 관리 도메인으로 유입되는 보안 이벤트의 흐름이 차이날 수 있다. 양자의 방법을 모두 이용할 수 있게 하여도 무방하다. The security event display unit 120 maps the characteristic information of the security event flowing into the management domain transmitted from the security event processing unit 110 and the corresponding geographic information and visualizes it on a 3D screen. The security event display unit 120 visually hierarchically visualizes the destination of the security event in the management domain through the management domain geographic information database 140 and a user interface (not shown). The flow of security events flowing into the management domain displayed by the security event display unit 120 may vary depending on how much data is displayed on one screen. For example, it may be based on information of security events flowing into the management domain accumulated continuously, or based on information of security events flowing into the management domain accumulated by predetermined time (for example, about 10 minutes). The flow of security events flowing into the management domain displayed by the security event display unit 120 may be different. Both methods may be used.

본 발명에서, 보안 이벤트의 흐름은 근원지에서 목적지로 가는 네트워크 패킷의 형태를 의미한다. 즉, 근원지 주소, 프로토콜, 목적지 포트, 목적지 주소를 선으로 연결한 형태를 보안 이벤트의 흐름이라고 할 수 있다.In the present invention, the flow of security events refers to the form of network packets from the source to the destination. In other words, the connection of the source address, the protocol, the destination port, and the destination address with a line can be referred to as the flow of security events.

지리 정보 데이터베이스(130)는 각 IP에 대한 위도와 경도, 국가, 도시, 기관 등의 정보를 저장하고 있다. The geographic information database 130 stores information such as latitude and longitude, country, city, and institution for each IP.

관리 도메인 지리 정보 데이터베이스(140)는 관리 도메인의 각 IP에 대한 위도와 경도, 주소, 전화번호 및 해당되는 지역의 다단계 지도 파일 등의 정보를 저장하고 있다.The management domain geographic information database 140 stores information such as latitude and longitude for each IP of the management domain, an address, a phone number, and a multi-level map file of a corresponding region.

지리 정보 데이터베이스(130)와 관리 도메인 지리 정보 데이터베이스(140)를 하나의 데이터베이스로 구현하여도 된다. 청구항 기재된 제 1데이터베이스는 관리 도메인 지리 정보 데이터베이스(140)를 의미하고, 제 2데이터베이스는 지리 정보 데이터베이스(130)를 의미한다.The geographic information database 130 and the management domain geographic information database 140 may be implemented as one database. The first database described in the claims refers to the management domain geographic information database 140, and the second database refers to the geographic information database 130.

도 2는 도 1의 보안 이벤트 처리부(110)의 내부 구성을 설명하기 위한 도면이다. 보안 이벤트 처리부(110)는 보안 이벤트 수집 모듈(210), 보안 이벤트 필터 모듈(220), 및 지리 정보 추출 모듈(230)을 구비한다.FIG. 2 is a diagram for describing an internal configuration of the security event processing unit 110 of FIG. 1. The security event processor 110 includes a security event collection module 210, a security event filter module 220, and a geographic information extraction module 230.

보안 이벤트 수집 모듈(210)은 네트워크 보안 장비(100)로부터 전송되어 오는 보안 이벤트를 수집한다. The security event collection module 210 collects security events coming from the network security equipment 100.

보안 이벤트 필터 모듈(220)은 수집된 보안 이벤트중에서 관리 도메인으로 유입되는 보안 이벤트만을 추출한다. 즉, 보안 이벤트 필터 모듈(220)은 수집된 보안 이벤트에서 보안 이벤트를 송신한 네트워크 보안 장비(100)의 IP주소, 보안 이벤트의 목적지 IP주소 등의 정보를 이용하여 관리 도메인으로 유입되는 보안 이벤트만을 추출한다. 그리고, 보안 이벤트 필터 모듈(220)은 추출한 보안 이벤트의 특성 정보를 추출한다.The security event filter module 220 extracts only security events flowing into the management domain from the collected security events. That is, the security event filter module 220 uses only the IP event of the network security equipment 100, which transmits the security event in the collected security event, and the security event flowing into the management domain using information such as a destination IP address of the security event. Extract. The security event filter module 220 extracts characteristic information of the extracted security event.

지리 정보 추출 모듈(230)은 보안 이벤트 필터 모듈(220)에서 추출된 특성 정보내의 근원지 IP주소 및 목적지 IP주소에 매핑되는 지리 정보(예컨대, 근원지의 위도와 경도, 목적지의 위도와 경도)를 지리 정보 데이터베이스(130)에서 추출한다.The geographic information extraction module 230 geographically maps geographic information (eg, latitude and longitude of the source, latitude and longitude of the destination) mapped to the source IP address and the destination IP address in the feature information extracted by the security event filter module 220. Extracted from information database 130.

결국, 보안 이벤트 처리부(110)는 관리 도메인으로 유입되는 보안 이벤트의 특성 정보를 출력함과 더불어 그 특성 정보내의 근원지 및 목적지의 IP주소에 매핑되는 지리 정보를 출력한다. As a result, the security event processing unit 110 outputs the characteristic information of the security event flowing into the management domain, and also outputs geographic information mapped to the IP address of the source and destination in the characteristic information.

상술한 설명에서는 지리 정보 데이터베이스(130) 및 관리 도메인 지리 정보 데이터베이스(140)를 보안 이벤트 처리부(110)와 별개로 구성시켰다. 필요에 따라서는 지리 정보 데이터베이스(130) 및 관리 도메인 지리 정보 데이터베이스(140)가 보안 이벤트 처리부(110)내에 갖추어지는 것으로 하여도 무방하다. 한편, 관리 도메인 지리 정보 데이터베이스(140)는 이하에 세부적으로 설명할 보안 이벤트 표시부(120)내에도 갖추어지는 것으로 하여도 무방하다.In the above description, the geographic information database 130 and the management domain geographic information database 140 are configured separately from the security event processing unit 110. If necessary, the geographic information database 130 and the management domain geographic information database 140 may be provided in the security event processing unit 110. In addition, the management domain geographic information database 140 may be provided in the security event display part 120 which is demonstrated in detail below.

도 3은 도 1의 보안 이벤트 표시부(120)의 내부 구성을 설명하기 위한 도면이다. 보안 이벤트 표시부(120)는 보안 이벤트 시각화 모듈(310), 사용자 인터페이스 모듈(320), 및 관리 도메인 지리 정보 추출 모듈(330)을 구비한다.FIG. 3 is a diagram for describing an internal configuration of the security event display unit 120 of FIG. 1. The security event display unit 120 includes a security event visualization module 310, a user interface module 320, and a management domain geographic information extraction module 330.

보안 이벤트 시각화 모듈(310)은 보안 이벤트 처리부(110)로부터의 지리 정보(즉, 추출된 보안 이벤트의 근원지 IP주소 및 목적지 IP주소에 매핑되는 정보임) 및 특성 정보내의 목적지 포트 정보, 프로토콜 정보를 사용하여 시각화한다. 보안 이벤트 시각화 모듈(310)은 근원지를 표시하기 위한 제 1지도 표시영역과 목적지인 관리 도메인을 표시하기 위한 제 2지도 표시영역 및 프로토콜의 정보(예컨대, 목적지 포트 번호 또는 근원지 포트 번호, 포트별 보안 이벤트의 개수 등)를 표시하기 위한 프로토콜 정보 표시영역을 하나의 화면에 나타낸다. 제 1지도 표시영역은 예를 들어 세계지도로 표시된다. 제 2지도 표시영역은 예를 들어 관리 도메인의 전국 지도를 표시된다. 보안 이벤트 시각화 모듈(310)은 프로토콜 정보 표시영역을 통해 제 1지도 표시영역내의 근원지와 제 2지도 표시영역내의 목적지를 선으로 상호 연결시킨다. The security event visualization module 310 stores geographic information (ie, information mapped to the source IP address and the destination IP address of the extracted security event) and the destination port information and the protocol information from the security event processor 110. To visualize. The security event visualization module 310 may include a first map display area for displaying a source and a second map display area and a protocol for displaying a management domain as a destination (for example, a destination port number or a source port number, and security for each port). The protocol information display area for displaying the number of events, etc.) is displayed on one screen. The first map display area is displayed on a world map, for example. The second map display area displays a national map of the management domain, for example. The security event visualization module 310 interconnects the source in the first map display area with the destination in the second map display area through a protocol information display area.

사용자 인터페이스 모듈(320)은 사용자의 마우스 또는 키보드 입력을 통해 제 2지도 표시영역에서 특정 영역을 선택할 수 있게 한다.The user interface module 320 allows a specific area to be selected on the second map display area through a user's mouse or keyboard input.

관리 도메인 지리 정보 추출 모듈(330)은 사용자 인터페이스 모듈(320)을 통한 제 2지도 표시영역에서의 특정 영역 선택신호에 따라 관리 도메인 지리 정보 데이터베이스(140)로부터 해당 특정 영역에 대한 상세 정보를 추출한다. 관리 도메인 지리 정보 추출 모듈(330)은 추출한 특정 영역에 대한 상세 정보를 보안 이벤트 시각화 모듈(310)로 전송한다. 그에 따라, 보안 이벤트 시각화 모듈(310)은 수신된 특정 영역에 대한 상세 정보에 근거하여 해당 특정 영역의 상세한 보안 이벤트의 목적지를 화면에 표시한다.The management domain geographic information extraction module 330 extracts detailed information about the specific area from the management domain geographic information database 140 according to a specific area selection signal in the second map display area through the user interface module 320. . The management domain geographic information extraction module 330 transmits detailed information on the extracted specific region to the security event visualization module 310. Accordingly, the security event visualization module 310 displays the destination of the detailed security event of the specific region on the screen based on the received detailed information about the specific region.

도 4는 보안 이벤트 표시부(120)에서 관리 도메인으로 유입되는 보안 이벤트를 지리 정보와 매핑하여 시각화시킨 예를 나타내는 도면이다. 근원지 IP주소의 국가를 표시하기 위한 세계지도(500), 목적지 IP주소의 국가를 표시하기 위한 관리 도메인 지도(510), 및 다수의 프로토콜(예컨대, UDP, TCP 등)의 목적지 포트를 표시하기 위한 보안 레이더(520, 530, 540)가 하나의 화면에 디스플레이된다. 청구범 위에 기재된 제 1지도 표시영역이 세계지도(500)가 위치한 영역이 된다. 청구범위에 기재된 제 2지도 표시영역이 관리 도메인 지도(510)가 위치한 영역이 된다. 청구범위에 기재된 프로토콜 정보 표시영역이 보안 레이더(520, 530, 540)가 위치한 영역이 된다. 세계지도(500)와 관리 도메인 지도(510)의 위치는 서로 바뀌어도 무방하다. 상황에 따라서는 제 1 및 제 2지도 표시영역을 지구본으로 표시하여도 된다. 보안 레이더의 수가 가감될 수 있음은 당연하다.4 is a diagram illustrating an example in which the security event flowing into the management domain from the security event display unit 120 is visualized by mapping it with geographic information. A world map 500 for indicating the country of the source IP address, an administrative domain map 510 for indicating the country of the destination IP address, and a destination port for displaying a plurality of protocols (eg, UDP, TCP, etc.) The security radars 520, 530, and 540 are displayed on one screen. The first map display area described above in the claims is the area where the world map 500 is located. The second map display region described in the claims becomes the region where the management domain map 510 is located. The protocol information display area described in the claims becomes the area where the security radars 520, 530, and 540 are located. The positions of the world map 500 and the administrative domain map 510 may be interchanged. Depending on the situation, the first and second map display areas may be displayed as a globe. Naturally, the number of security radars can be added or subtracted.

보안 이벤트 표시부(120)는 보안 이벤트 처리부(110)로부터 전달받은 보안 이벤트(즉, 관리 도메인으로 유입되는 보안 이벤트)의 특성 정보중에서 근원지 IP주소를 근거로 위도와 경도를 추출한다. 보안 이벤트 표시부(120)는 추출한 위도와 경도에 근거하여 해당하는 국가(즉, 근원지 국가)를 결정한다. 보안 이벤트 표시부(120)는 보안 이벤트 처리부(110)로부터 전달받은 지리 정보(위도와 경도)와 보안 이벤트의 특성 정보중에서 목적지 IP주소를 매핑시켜 목적지가 되는 지역을 결정한다. 보안 이벤트 표시부(120)는 결정된 근원지 국가와 목적지가 되는 지역을 선으로 연결시킨다. 이때, 보안 이벤트 표시부(120)는 보안 레이더(520, 530, 540)를 통해 세계지도(500)에서의 근원지 국가와 관리 도메인 지도(510)에서의 목적지 지역을 연결시킨다. The security event display unit 120 extracts latitude and longitude from the characteristic information of the security event (that is, the security event flowing into the management domain) received from the security event processing unit 110 based on the source IP address. The security event display unit 120 determines a corresponding country (ie, a source country) based on the extracted latitude and longitude. The security event display unit 120 maps a destination IP address among geographic information (latitude and longitude) received from the security event processing unit 110 and characteristic information of the security event to determine a region to be a destination. The security event display unit 120 connects the determined source country and the area of the destination by a line. At this time, the security event display unit 120 connects the source country on the world map 500 and the destination area on the management domain map 510 through the security radar 520, 530, 540.

도 4에서, 점선은 특정 국가에서 발생한 TCP 프로토콜의 목적지 포트 번호 3번을 이용하여 보안 이벤트가 관리 도메인의 특정 지역으로 유입되고 있는 것을 의미한다. 보안 이벤트 표시부(120)는 특정 포트번호마다 식별력을 가지는 색깔을 적용한다. 그에 따라, 특정 포트로의 집중 현상 등의 네트워크의 이상 현상을 관리자 가 보다 쉽게 직관적으로 인지할 수 있게 된다. In FIG. 4, a dotted line means that a security event is flowing into a specific region of the management domain by using the destination port number 3 of the TCP protocol generated in a specific country. The security event display unit 120 applies a color having identification for each specific port number. Accordingly, the administrator can easily and intuitively recognize network abnormalities such as concentration to a specific port.

도 5는 도 1의 보안 이벤트 표시부(120)에서 실제로 시각화한 예를 나타낸 도면이다. 도 5는 관리 도메인을 한국으로 설정하여 전세계 국가로부터 한국으로 유입되는 보안 이벤트를 시각화한 실제의 예를 나타낸 것이다. 목적지 포트 번호에 따라서 관리 도메인으로 유입되는 보안 이벤트의 흐름을 보다 쉽게 식별할 수 있도록 하기 위해 보안 이벤트를 서로 다른 색깔로 분류하였다. 근원지 IP주소로부터 위도와 경도의 지리 정보를 추출하여 세계지도(500)에 매핑하였다. 또한, TCP, UDP, 기타 프로토콜을 표현하기 위하여 세 개의 보안 레이더(520, 530, 540)를 사용하여 목적지 포트로 유입되는 보안 이벤트를 시각화하였다. IP 주소를 지리 정보와 매핑하고 보안 레이더(520, 530, 540)를 사용하여 목적지 포트를 표현하였다. 이로 인해, 한국내 특정 지역으로 보안 이벤트가 집중되고 있는 현상, 특정 목적지 포트 번호로 보안 이벤트가 집중되는 현상 등을 직관적으로 인지할 수 있다. 그리고, 특정 목적지 포트로 집중된 보안 이벤트가 어떤 지역으로 향하는지 등을 직관적으로 인지할 수 있다.5 is a diagram illustrating an example of actual visualization in the security event display unit 120 of FIG. 5 shows an actual example of visualizing security events flowing into Korea from countries around the world by setting an administrative domain in Korea. Security events are categorized in different colors to make it easier to identify the flow of security events into the management domain according to the destination port number. Geographic information of latitude and longitude was extracted from the source IP address and mapped to the world map 500. In addition, three security radars 520, 530, and 540 are used to represent TCP, UDP, and other protocols to visualize security events flowing into the destination port. IP addresses are mapped to geographic information and the destination ports are represented using security radars 520, 530, and 540. As a result, it is possible to intuitively recognize a phenomenon in which security events are concentrated in a specific region in Korea, and a phenomenon where security events are concentrated in a specific destination port number. In addition, it is possible to intuitively recognize which area the security event focused on a specific destination port is directed to.

도 6은 도 4 및 도 5의 프로토콜 정보 표시영역을 설명하기 위한 도면으로서, 보안 이벤트 표시부(120)에서 목적지 포트 번호를 표시하기 위해 사용하는 보안 레이더(520, 530, 540)의 도면이다. FIG. 6 is a diagram for describing the protocol information display area of FIGS. 4 and 5, and is a diagram of security radars 520, 530, and 540 used for displaying a destination port number in the security event display unit 120.

도 6의 (a) 및 (b)에 도시된 보안 레이더는 원 형상으로 이루어진다. 원의 둘레에는 해당 프로토콜의 포트 번호가 소정 각도로 매핑된다. 도 6의 (a)에서는 포트 번호를 로그 스케일로 증가하게 하였고, 도 6의 (b)에서는 포트 번호를 선형적으로 증가하게 하였다. 각각의 보안 레이더(520, 530, 540)의 중심에서부터 포트 번호가 매핑된 둘레로의 거리는 해당 포트 번호에서 현재 그 포트 번호를 사용하고 있는 보안 이벤트의 개수를 의미한다. 보안 레이더(520, 530, 540)에는 목적지 포트 번호 대신에 근원지 포트 번호를 표시하여도 된다.The security radar shown in Figs. 6A and 6B has a circular shape. Around the circle, the port number of the protocol is mapped at an angle. In FIG. 6A, the port number is increased on a log scale, and in FIG. 6B, the port number is linearly increased. The distance from the center of each of the security radars 520, 530, and 540 to the perimeter to which the port number is mapped represents the number of security events currently using the port number in the corresponding port number. The security radar 520, 530, 540 may display the source port number instead of the destination port number.

도 6에서는 보안 레이더의 형상을 원 형상으로 하였으나, 필요에 따라서 다른 형상으로 대체하여도 무방하다.In FIG. 6, the shape of the security radar is circular, but may be replaced with another shape as necessary.

도 7은 도 4 및 도 5의 제 2지도 표시영역을 계층적으로 표시하는 형태를 나타낸 도면으로서, 관리 도메인 지도(510)가 관리 도메인 지도 레벨 0(710), 관리 도메인 지도 레벨 1(720), 및 관리 도메인 지도 레벨 2(730)로 계층화될 수 있음을 보여준다. FIG. 7 is a diagram illustrating a hierarchical display of the second map display area of FIGS. 4 and 5, in which the management domain map 510 includes management domain map level 0 710 and management domain map level 1 720. , And admin domain map level 2 (730).

보안 이벤트 표시부(120)의 보안 이벤트 시각화 모듈(310)은 사용자의 개입이 없을 경우 관리 도메인 지도 레벨 0(710)에 해당하는 지도에 보안 이벤트의 목적지 IP 주소를 지리 정보와 매핑하여 표현한다. 사용자가 관리 도메인 지도 레벨 0(710)에서 특정 지역을 선택하면 관리 도메인 지리 정보 추출 모듈(330)은 관리 도메인 지리 정보 데이터베이스(140)에서 선택된 지역을 확대한 관리 도메인 지도 레벨 1(720)에 해당하는 지도를 가져온다. 보안 이벤트 시각화 모듈(310)은 보안 이벤트의 목적지 IP 주소와 관리 도메인 지리 정보 추출 모듈(330)로부터 가져온 정보를 사용하여 관리 도메인 지도 레벨 1(720)에 보안 이벤트의 흐름을 표시한다.The security event visualization module 310 of the security event display unit 120 maps the destination IP address of the security event to geographic information on a map corresponding to the management domain map level 0 710 when there is no user intervention. If the user selects a specific region in admin domain map level 0 710, the admin domain geographic information extraction module 330 corresponds to admin domain map level 1 720 which enlarges the selected region in admin domain geographic information database 140. Bring a map. The security event visualization module 310 displays the flow of the security event on management domain map level 1 720 using the destination IP address of the security event and the information obtained from the management domain geographic information extraction module 330.

만약, 사용자가 관리 도메인 지도 레벨 1(720)에서 특정 지역을 선택하게 되면 앞서 설명한 바와 같은 작업을 재차 수행하여 보다 상세한 관리 도메인 지도 레벨 2(730)에 보안 이벤트의 흐름을 표시한다. If the user selects a specific region in the management domain map level 1 720, the above-described operation is performed again to display the flow of the security event in the management domain map level 2 730 in more detail.

관리 도메인 지도 레벨 0(710)이 대한민국의 전국 지도를 나타낸다면 관리 도메인 지도 레벨 1(720)은 시·도별을 의미하고 관리 도메인 지도 레벨 2(730)은 구·동 등의 행정 구역을 의미한다고 할 수 있다. If administrative domain map level 0 (710) represents a national map of Korea, administrative domain map level 1 (720) means city and province, and administrative domain map level 2 (730) means administrative district such as Gu, Dong. can do.

이와 같은 관리 도메인 지도(510)를 계층적으로 구성함으로써 네트워크 관리자는 보안 이벤트의 이상 현상이 발생한 지역을 몇 번의 선택 과정을 통하여 빠르게 파악할 수 있다. By hierarchically configuring the management domain map 510, a network administrator can quickly identify a region where an abnormality of a security event occurs through several selection processes.

도 7에서는 관리 도메인 지도의 레벨을 3개(레벨 0, 레벨 1, 레벨 2)로 하였으나, 필요에 따라서는 가감되어도 된다.In FIG. 7, the management domain map has three levels (level 0, level 1, level 2), but may be added or subtracted as necessary.

한편, 보안 이벤트 표시부(120)는 도 8에서와 같이 관리 도메인을 관리 도메인 맵을 통하여 계층적으로 표시하기도 한다. 즉, 도 8과 같은 관리 도메인 맵은 사용자의 선택에 의해 보안 이벤트 표시부(120)에 별개로 표시된다. 도 7을 물리적 공간을 표현한 것이라고 하면 도 8은 논리적인 공간을 표현한 것으로 보면 된다. 관리 도메인 맵은 N × N 의 그리드 형태로 구성된다. 각각의 그리드는 다수 개의 네트워크 보안 장비로 이루어진 대표 네트워크를 의미한다. 관리 도메인 맵 레벨 0(810)에서 하나의 그리드가 선택되면 다시 다수의 그리드로 구성된 K × K 로 구 성된 관리 도메인 맵 레벨 1(820)로 표시된다. 관리 도메인 맵 레벨 1(820)에서 하나의 그리드가 선택되면 보다 상세하게 네트워크 보안 장비들을 표현하는 관리 도메인 맵 레벨 2(830)가 화면상에 표현된다. On the other hand, the security event display unit 120 also displays the management domain hierarchically through the management domain map as shown in FIG. That is, the management domain map as shown in FIG. 8 is separately displayed on the security event display unit 120 by the user's selection. When FIG. 7 represents a physical space, FIG. 8 may be regarded as representing a logical space. The management domain map is configured in a grid of N × N. Each grid represents a representative network of multiple network security devices. When one grid is selected in management domain map level 0 810, it is displayed as management domain map level 1 820 composed of K × K. When one grid is selected in management domain map level 1 820, management domain map level 2 830 representing network security devices in detail is displayed on the screen.

관리 도메인 맵 레벨 0(810)의 하나의 그리드가 여러 개의 라우터로 구성된 하나의 논리적인 네트워크라고 가정하였을 경우 관리 도메인 맵 레벨 1(820)에서 하나의 그리드는 하나의 라우터로 표현된다. 관리 도메인 맵 레벨 2(830)에서 하나의 그리드는 한 라우터에 연결되어 있는 서버 및 클라이언트 PC 등을 의미하게 된다. 관리 도메인 맵은 관리 도메인 지도와 같이 계층적으로 구성되어서 보안 이벤트 표시부(120)에서 사용자의 선택에 따라서 계층적으로 표현된다. 다시 말해서, 통상의 네트워크는 계층적으로 구성되어 있다. 예를 들어, "129.143.*.*"의 IP를 사용하는 기관이 있다고 가정하자. 이러한 가정하에서, 관리 도메인 맵 레벨 0(810)에서는 IP주소의 세번째 자리에 따라서 공간을 나눈다. 이때, "129.143.1.*"으로 향하는 보안 이벤트의 경우 한 사각형에 표시된다. 관리 도메인 맵 레벨 1(820)에서는 IP주소의 네번째 자리에 따라서 공간을 나눈다. 이때, "129.143.1.1"로 향하는 보안 이벤트의 경우 한 사각형에 표시된다. Assuming that one grid of management domain map level 0 810 is one logical network composed of multiple routers, one grid is represented as one router in management domain map level 1 820. In the management domain map level 2 830, one grid refers to a server and a client PC connected to one router. The management domain map is hierarchically configured like the management domain map, and is represented hierarchically according to the user's selection in the security event display unit 120. In other words, a typical network is hierarchically organized. For example, suppose an organization uses an IP of "129.143. *. *". Under this assumption, management domain map level 0 810 divides the space according to the third digit of the IP address. At this time, a security event directed to "129.143.1. *" Is displayed in one rectangle. In administrative domain map level 1 820, the space is divided according to the fourth digit of the IP address. At this time, a security event directed to "129.143.1.1" is displayed in one rectangle.

이와 같이 도 7을 사용하면 이상 현상이 발생한 지리적 위치를 쉽게 파악할 수 있게 되고, 도 8을 사용하면 이상 현상이 발생한 IP주소 네트워크 장비를 쉽게 파악할 수 있게 된다.As shown in FIG. 7, it is possible to easily identify the geographic location where the anomaly occurs, and by using FIG. 8, it is possible to easily identify the IP address network equipment where the anomaly occurs.

이상에서 설명한 본 발명은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽 을 수 있는 코드로서 구현하는 것이 가능하다. 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 의미한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있다. 또한, 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술 분야의 프로그래머들에 의해 용이하게 추론될 수 있다.The present invention described above can be embodied as computer readable codes on a computer readable recording medium. The recording medium refers to any type of recording device that stores data that can be read by a computer system. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disks, optical data storage devices, and the like. It also includes the implementation in the form of a carrier wave (for example, transmission over the Internet). The computer readable recording medium can be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion. Functional programs, code and code segments for implementing the present invention can be easily inferred by programmers in the art to which the present invention belongs.

이상에서 본 발명의 일실시예에 대해 설명하였으나, 본 발명은 상술한 일실시예로만 한정되는 것이 아니라 본 발명의 요지를 벗어나지 않는 범위내에서 수정 및 변형하여 실시할 수 있다. 그러한 수정 및 변형이 가해진 기술사상 역시 이하의 특허청구범위에 속하는 것으로 보아야 한다.Although one embodiment of the present invention has been described above, the present invention is not limited to the above-described embodiment, but may be modified and modified without departing from the scope of the present invention. The technical spirit in which such modifications and variations are applied should also be considered to be within the scope of the following claims.

도 1은 본 발명에 따른 지리 정보를 활용한 관리 도메인의 보안 상황 표시장치의 일실시예를 나타낸 블록도이다.1 is a block diagram illustrating an embodiment of an apparatus for displaying a security status of an administrative domain using geographic information according to the present invention.

도 2는 도 1의 보안 이벤트 처리부의 내부 구성을 설명하기 위한 도면이다.FIG. 2 is a diagram for describing an internal configuration of the security event processor of FIG. 1.

도 3은 도 1의 보안 이벤트 표시부의 내부 구성을 설명하기 위한 도면이다.FIG. 3 is a diagram for describing an internal configuration of the security event display unit of FIG. 1.

도 4는 도 1의 보안 이벤트 표시부에서 시각화하는 방법을 설명하기 위한 도면이다.FIG. 4 is a diagram for describing a method of visualizing in the security event display of FIG. 1.

도 5는 도 1의 보안 이벤트 표시부에서 실제로 시각화한 예를 나타낸 도면이다.FIG. 5 is a diagram illustrating an example of actual visualization in the security event display of FIG. 1.

도 6은 도 4 및 도 5의 프로토콜 정보 표시영역을 설명하기 위한 도면이다.FIG. 6 is a diagram for describing the protocol information display area of FIGS. 4 and 5.

도 7은 도 4 및 도 5의 제 2지도 표시영역을 계층적으로 표시하는 형태를 나타낸 도면이다.FIG. 7 is a diagram illustrating a hierarchical display of the second map display area of FIGS. 4 and 5.

도 8은 도 1의 보안 이벤트 표시부에서 관리 도메인을 관리 도메인 맵을 통하여 계층적으로 표시한 형상을 나타낸 도면이다.FIG. 8 is a diagram illustrating a configuration of hierarchically displaying a management domain through a management domain map in the security event display of FIG. 1.

Claims (15)

외부로부터의 보안 이벤트중에서 관리 도메인으로 유입되는 보안 이벤트에 대한 특성 정보 및 상기 특성 정보중의 근원지 IP주소와 목적지 IP주소에 상응하는 지리 정보를 추출하는 보안 이벤트 처리부; 및A security event processor extracting feature information on a security event flowing into a management domain from a security event from outside and geographic information corresponding to a source IP address and a destination IP address of the feature information; And 상기 보안 이벤트 처리부로부터 제공되는 보안 이벤트의 특성 정보 및 상기 IP주소에 상응하는 지리 정보에 근거하여 상기 관리 도메인으로 유입되는 프로토콜별 보안 이벤트의 흐름을 지도 형상을 포함하는 화면으로 표시하는 보안 이벤트 표시부;를 포함하고,A security event display unit displaying a flow chart of a security event for each protocol flowing into the management domain based on the characteristic information of the security event provided from the security event processor and the geographic information corresponding to the IP address; Including, 상기 보안 이벤트 표시부는, 프로토콜의 포트 번호를 표시하는 원 형상의 보안 레이더를 이용하여 각 목적지 포트로 유입되는 보안 이벤트의 흐름을 표시하는 것을 특징으로 하는 지리 정보를 활용한 관리 도메인의 보안 상황 표시장치.The security event display unit, the security status display device of the management domain using geographic information, characterized in that for displaying the flow of security events flowing into each destination port using a circular security radar indicating the port number of the protocol . 청구항 1에 있어서,The method according to claim 1, 상기 보안 이벤트 처리부는,The security event processing unit, 외부로부터의 보안 이벤트를 수집하는 보안 이벤트 수집 모듈; A security event collection module for collecting security events from the outside; 상기 수집한 보안 이벤트중에서 상기 관리 도메인으로 유입되는 보안 이벤트를 제 1데이터베이스의 정보에 근거하여 추출하고 상기 추출한 보안 이벤트의 특성 정보를 추출하는 보안 이벤트 필터 모듈; 및 A security event filter module for extracting security events flowing into the management domain from the collected security events based on information of a first database and extracting characteristic information of the extracted security events; And 상기 추출한 특성 정보내의 근원지 IP주소 및 목적지 IP주소에 매핑되는 지리 정보를 제 2데이터베이스의 정보에 근거하여 추출하는 지리 정보 추출 모듈을 포함하는 것을 특징으로 하는 지리 정보를 활용한 관리 도메인의 보안 상황 표시장치.And a geographic information extraction module for extracting geographic information mapped to the source IP address and the destination IP address in the extracted characteristic information based on information of the second database. Device. 청구항 2에 있어서,The method according to claim 2, 상기 보안 이벤트 필터 모듈은 상기 제 1데이터베이스에 저장되어 있는 관리 도메인의 각 IP에 대한 위도와 경도, 해당 지역의 다단계 지도 파일을 포함하는 정보를 이용하는 것을 특징으로 하는 지리 정보를 활용한 관리 도메인의 보안 상황 표시장치.The security event filter module uses the information including the latitude and longitude of each IP of the management domain stored in the first database and a multi-level map file of a corresponding region. Status display. 청구항 2에 있어서,The method according to claim 2, 상기 지리 정보 추출 모듈은 상기 제 2데이터베이스에 저장되어 있는 각 IP에 대한 위도와 경도를 포함하는 정보를 이용하는 것을 특징으로 하는 지리 정보를 활용한 관리 도메인의 보안 상황 표시장치.And the geographic information extraction module uses information including latitude and longitude for each IP stored in the second database. 청구항 1에 있어서,The method according to claim 1, 상기 보안 이벤트 표시부는 근원지를 표시하는 제 1지도 표시영역, 목적지인 관리 도메인을 표시하는 제 2지도 표시영역, 및 근원지 또는 목적지의 포트 번호와 포트별 보안 이벤트의 개수를 표시하는 프로토콜 정보 표시영역을 표시하되, The security event display unit may include a first map display area for displaying a source, a second map display area for displaying a management domain as a destination, and a protocol information display area for displaying a port number of the source or destination and the number of security events for each port. Mark it, 상기 관리 도메인으로 유입되는 보안 이벤트의 특성 정보를 이용하여 상기 프로토콜 정보 표시영역을 통해 상기 근원지와 목적지를 상호 연결시키는 것을 특징으로 하는 지리 정보를 활용한 관리 도메인의 보안 상황 표시장치.And the source and destination are interconnected through the protocol information display area using the characteristic information of the security event flowing into the management domain. 청구항 5에 있어서,The method according to claim 5, 상기 프로토콜 정보 표시영역은,The protocol information display area, 상기 보안 레이더를 포함하며, 상기 보안 레이더의 원의 둘레에는 해당 프로토콜의 포트 번호가 매핑되고, 상기 원의 중심에서부터 포트 번호가 매핑된 둘레로의 거리에 의해 해당 포트 번호를 사용하고 있는 보안 이벤트의 개수를 나타내는 것을 특징으로 하는 지리 정보를 활용한 관리 도메인의 보안 상황 표시장치.And a security radar, wherein a port number of a corresponding protocol is mapped to a circumference of the circle of the security radar, and a port of the security event using the port number by a distance from the center of the circle to the circumference of the port number is mapped. Security status display device of the management domain using geographic information, characterized in that indicating the number. 청구항 5에 있어서,The method according to claim 5, 상기 보안 이벤트 표시부는 상기 보안 이벤트의 흐름을 상기 포트 번호별로 서로 다른 색을 부여하는 것을 특징으로 하는 지리 정보를 활용한 관리 도메인의 보안 상황 표시장치.The security event display unit is a security status display device of the management domain using geographic information, characterized in that to assign a different color to the flow of the security event for each port number. 청구항 5에 있어서,The method according to claim 5, 상기 보안 이벤트 표시부는 요청신호에 근거하여 상기 제 2지도 표시영역을 계층적으로 표시하는 것을 특징으로 하는 지리 정보를 활용한 관리 도메인의 보안 상황 표시장치.And the security event display unit hierarchically displays the second map display area based on a request signal. 청구항 1에 있어서,The method according to claim 1, 상기 보안 이벤트 표시부는 다수의 그리드 형태로 구성된 관리 도메인 맵을 통해 상기 관리 도메인을 계층적으로 표시하는 것을 특징으로 하는 지리 정보를 활용한 관리 도메인의 보안 상황 표시장치.And the security event display unit hierarchically displays the management domains through a management domain map composed of a plurality of grids. 외부로부터의 보안 이벤트중에서 관리 도메인으로 유입되는 보안 이벤트에 대한 특성 정보 및 상기 특성 정보중의 근원지 IP주소와 목적지 IP주소에 상응하는 지리 정보를 추출하는 보안 이벤트 처리 과정; 및A security event processing step of extracting feature information on a security event flowing into a management domain from security events from outside and geographic information corresponding to a source IP address and a destination IP address in the feature information; And 상기 추출된 보안 이벤트의 특성 정보 및 상기 지리 정보에 근거하여 상기 관리 도메인으로 유입되는 프로토콜별 보안 이벤트의 흐름을 지도 형상을 포함하는 화면으로 표시하는 보안 이벤트 표시 과정;을 포함하고,And a security event displaying process of displaying the flow of security events for each protocol flowing into the management domain on a screen including a map shape based on the extracted security event property information and the geographic information. 상기 보안 이벤트 표시 과정은, 프로토콜의 포트 번호를 표시하는 원 형상의 보안 레이더를 이용하여 각 목적지 포트로 유입되는 보안 이벤트의 흐름을 표시하는 것을 특징으로 하는 지리 정보를 활용한 관리 도메인의 보안 상황 표시방법.The security event display process, the security status display of the management domain using geographic information to display the flow of security events flowing into each destination port using a circular security radar indicating the port number of the protocol Way. 청구항 10에 있어서,The method according to claim 10, 상기 보안 이벤트 처리 과정은,The security event processing process, 외부로부터의 보안 이벤트를 수집하는 제 1단계; Collecting a security event from the outside; 상기 제 1단계에서 수집한 보안 이벤트중에서 상기 관리 도메인으로 유입되는 보안 이벤트를 추출하는 제 2단계;Extracting a security event flowing into the management domain from the security events collected in the first step; 상기 제 2단계에서 추출한 관리 도메인으로 유입되는 보안 이벤트의 특성 정보를 추출하는 제 3단계; 및A third step of extracting property information of a security event flowing into the management domain extracted in the second step; And 상기 제 3단계에서 추출한 특성 정보내의 근원지 IP주소 및 목적지 IP주소에 매핑되는 지리 정보를 추출하는 제 4단계를 포함하는 것을 특징으로 하는 지리 정보를 활용한 관리 도메인의 보안 상황 표시방법.And a fourth step of extracting geographic information mapped to the source IP address and the destination IP address in the feature information extracted in the third step. 청구항 10에 있어서,The method according to claim 10, 상기 보안 이벤트 표시 과정은 근원지를 표시하는 제 1지도 표시영역, 목적지인 관리 도메인을 표시하는 제 2지도 표시영역, 및 근원지 또는 목적지의 포트 번호와 포트별 보안 이벤트의 개수를 표시하는 프로토콜 정보 표시영역을 화면에 표시하되, The security event display process includes a first map display area for displaying a source, a second map display area for displaying a management domain as a destination, and a protocol information display area for displaying a port number of the source or destination and the number of security events for each port. On your screen, 상기 관리 도메인으로 유입되는 보안 이벤트의 특성 정보를 이용하여 상기 프로토콜 정보 표시영역을 통해 상기 근원지와 목적지를 상호 연결시키는 것을 특징으로 하는 지리 정보를 활용한 관리 도메인의 보안 상황 표시방법.And using the geographic information to interconnect the source and destination through the protocol information display area by using the characteristic information of the security event flowing into the management domain. 청구항 12에 있어서,The method according to claim 12, 상기 보안 이벤트 표시 과정은, The security event display process, 상기 프로토콜 정보 표시영역에 상기 보안 레이더를 표시하되, 상기 원의 둘레에는 해당 프로토콜의 포트 번호를 매핑시키고, 상기 원의 중심에서 포트 번호가 매핑된 둘레로의 거리에 의해 해당 포트 번호를 사용하고 있는 보안 이벤트의 개수를 나타내게 하는 것을 특징으로 하는 지리 정보를 활용한 관리 도메인의 보안 상황 표시방법.The security radar is displayed on the protocol information display area, and the port number of the corresponding protocol is mapped to the perimeter of the circle, and the port number is used by the distance from the center of the circle to the perimeter to which the port number is mapped. Security status display method of the management domain using geographic information, characterized in that indicating the number of security events. 청구항 12에 있어서,The method according to claim 12, 상기 보안 이벤트 표시 과정은 요청신호에 근거하여 상기 제 2지도 표시영역을 계층적으로 표시하는 것을 특징으로 하는 지리 정보를 활용한 관리 도메인의 보안 상황 표시방법.The security event display process may include displaying the second map display area hierarchically based on a request signal. 청구항 10에 있어서,The method according to claim 10, 상기 보안 이벤트 표시 과정은 다수의 그리드 형태로 구성된 관리 도메인 맵을 통해 상기 관리 도메인을 계층적으로 표시하는 것을 특징으로 하는 지리 정보를 활용한 관리 도메인의 보안 상황 표시방법.The security event display process is a security status display method of the management domain using geographic information, characterized in that to display the management domain hierarchically through a management domain map consisting of a plurality of grid forms.
KR1020070108789A 2007-10-29 2007-10-29 Apparatus and Method for Displaying Security Status of Administrative Domain Using Geographic Information Expired - Fee Related KR100949805B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070108789A KR100949805B1 (en) 2007-10-29 2007-10-29 Apparatus and Method for Displaying Security Status of Administrative Domain Using Geographic Information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070108789A KR100949805B1 (en) 2007-10-29 2007-10-29 Apparatus and Method for Displaying Security Status of Administrative Domain Using Geographic Information

Publications (2)

Publication Number Publication Date
KR20090043113A KR20090043113A (en) 2009-05-06
KR100949805B1 true KR100949805B1 (en) 2010-03-30

Family

ID=40854002

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070108789A Expired - Fee Related KR100949805B1 (en) 2007-10-29 2007-10-29 Apparatus and Method for Displaying Security Status of Administrative Domain Using Geographic Information

Country Status (1)

Country Link
KR (1) KR100949805B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101737914B1 (en) 2014-06-03 2017-05-19 한국전자통신연구원 Apparatus for displaying network security and method thereof

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5497149A (en) 1993-09-02 1996-03-05 Fast; Ray Global security system
KR20050000125A (en) * 2003-06-23 2005-01-03 주식회사 케이티 System and method for controlling of alarm monitoring map
KR20050031215A (en) * 2003-09-29 2005-04-06 한국전자통신연구원 Security engine management apparatus and method in network nodes

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5497149A (en) 1993-09-02 1996-03-05 Fast; Ray Global security system
KR20050000125A (en) * 2003-06-23 2005-01-03 주식회사 케이티 System and method for controlling of alarm monitoring map
KR20050031215A (en) * 2003-09-29 2005-04-06 한국전자통신연구원 Security engine management apparatus and method in network nodes

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
논문1:정보보호학회지*

Also Published As

Publication number Publication date
KR20090043113A (en) 2009-05-06

Similar Documents

Publication Publication Date Title
KR100925176B1 (en) Network status display device and method using geographic information
US12067676B2 (en) Cyberspace map model creation method and device
US12199846B2 (en) Network security monitoring and correlation system and method of using
KR100885293B1 (en) Network security status display device and method
Keim et al. Monitoring network traffic with radial traffic analyzer
Hideshima et al. STARMINE: A visualization system for cyber attacks
KR101219538B1 (en) Apparatus for detecting network attack based on visual data analysis and its method thereof
KR100949803B1 (en) IP address splitting display device and method
KR20100013176A (en) Gis based network information monitoring system
CN114070760A (en) Network space asset mapping method and device, network space asset database and computer readable storage medium
CN113938401A (en) Naval vessel network security visualization system
Khanh Dang et al. A survey on security visualization techniques for web information systems
CN117236439A (en) A comprehensive analysis system and method for cyberspace geographical maps
CN111181978A (en) Abnormal network traffic detection method and device, electronic equipment and storage medium
Yurcik et al. Two visual computer network security monitoring tools incorporating operator interface requirements
Arvind et al. Network traffic virtualization using Wireshark and Google maps
US10756992B2 (en) Display of network activity data
Kolomeec et al. Methodological Primitives for Phased Construction of Data Visualization Models.
Alsaleh et al. Visualizing PHPIDS log files for better understanding of web server attacks
Erbacher et al. Designing visualization capabilities for IDS challenges
KR100949805B1 (en) Apparatus and Method for Displaying Security Status of Administrative Domain Using Geographic Information
KR20110058089A (en) Object and event management apparatus and method using vector based WIs
Ohnof et al. IPMatrix: An effective visualization framework for cyber threat monitoring
Li et al. The research on network security visualization key technology
Abad et al. Correlation between netflow system and network views for intrusion detection

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

St.27 status event code: A-0-1-A10-A12-nap-PA0109

PA0201 Request for examination

St.27 status event code: A-1-2-D10-D11-exm-PA0201

D13-X000 Search requested

St.27 status event code: A-1-2-D10-D13-srh-X000

D14-X000 Search report completed

St.27 status event code: A-1-2-D10-D14-srh-X000

PG1501 Laying open of application

St.27 status event code: A-1-1-Q10-Q12-nap-PG1501

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

St.27 status event code: A-1-2-D10-D21-exm-PE0902

PN2301 Change of applicant

St.27 status event code: A-3-3-R10-R13-asn-PN2301

St.27 status event code: A-3-3-R10-R11-asn-PN2301

P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000

P13-X000 Application amended

St.27 status event code: A-2-2-P10-P13-nap-X000

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

St.27 status event code: A-1-2-D10-D22-exm-PE0701

GRNT Written decision to grant
PR0701 Registration of establishment

St.27 status event code: A-2-4-F10-F11-exm-PR0701

PR1002 Payment of registration fee

St.27 status event code: A-2-2-U10-U11-oth-PR1002

Fee payment year number: 1

PG1601 Publication of registration

St.27 status event code: A-4-4-Q10-Q13-nap-PG1601

LAPS Lapse due to unpaid annual fee
PC1903 Unpaid annual fee

St.27 status event code: A-4-4-U10-U13-oth-PC1903

Not in force date: 20130320

Payment event data comment text: Termination Category : DEFAULT_OF_REGISTRATION_FEE

PC1903 Unpaid annual fee

St.27 status event code: N-4-6-H10-H13-oth-PC1903

Ip right cessation event data comment text: Termination Category : DEFAULT_OF_REGISTRATION_FEE

Not in force date: 20130320

PN2301 Change of applicant

St.27 status event code: A-5-5-R10-R13-asn-PN2301

St.27 status event code: A-5-5-R10-R11-asn-PN2301

P22-X000 Classification modified

St.27 status event code: A-4-4-P10-P22-nap-X000

P22-X000 Classification modified

St.27 status event code: A-4-4-P10-P22-nap-X000

点击 这是indexloc提供的php浏览器服务,不要输入任何密码和下载