• Proceedings of the Korean Information Science Society Conference
• /
• 2007.06d
• /
• pp.21-24
• /
• 2007

ESM 에서 보안이벤트 분석기술에는 실시간 보안이벤트 필터링 기술, 보안이벤트 상호연관분석기술, 보안이벤트 시각화 분석기술이 활용되고 있다. 기존 보안이벤트 분석기술에서 탐지하지 못하는 미탐을 감소시키고 침입 탐지율을 향상시키기 위하여 보안이벤트 프로파일링 기술을 접목한 침입추론 기술을 제안한다. 보안이벤트를 네트워크 분류, 호스트 분류, 웹 이벤트 분류로 유형을 구분하고 각각을 프로파일링 하여 네트워크 공격의 Anomaly와 웹 어플리케이션 공격을 탐지할 수 있다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2017.04a
• /
• pp.90-93
• /
• 2017

인터넷과 클라우드 서비스 사용이 증가하면서 패킷의 양과 사이버 위협이 증가하였다. 본 논문에서는 빅데이터를 처리하기 위해 사용되는 NoSQL을 보안이벤트의 신속한 처리를 위한 침입탐지시스템에 적용하였다. 다양한 데이터 모델 유형의 NoSQL 데이터베이스 중에서 빅데이터 보안이벤트를 처리하는데 가장 적합한 시스템을 찾기 위해 세 가지 유형의 Snort 룰 기반 보안이벤트 분산 처리 프로토타입 시스템들을 구축하였고 각 시스템의 성능을 평가하였다. 그 결과로 MongoDB 기반의 보안이벤트 분산 처리 시스템이 가장 속도가 빠른 것을 확인하였다.

• The Journal of the Korea Contents Association
• /
• v.14 no.11
• /
• pp.39-49
• /
• 2014

Cyber threats on the Internet are tremendously increasing and their techniques are also evolving constantly. Intrusion Detection System (IDS) is one of the powerful solutions for detecting and analyzing the cyber attacks in realtime. Most organizations deploy it into their networks and operate it for security monitoring and response service. However, IDS has a fatal problem in that it raises a large number of alerts and most of them are false positives. In order to cope with this problem, many approaches have been proposed for the purpose of automatically identifying whether the IDS alerts are caused by real attacks or not. In this paper, we present an alert verification method based on correlation analysis between vulnerability inspection results for real systems that should be protected and the IDS alerts. In addition, we carry out practical experiments to demonstrate the effectiveness of the proposed verification method using two types of real data, i.e., the IDS alerts and the vulnerability inspection results.

• Convergence Security Journal
• /
• v.20 no.5
• /
• pp.41-52
• /
• 2020

This paper implements a priority algorithm for active response to security event risk, and implements an event scheduler that performs efficient event processing based on this. According to the standards that have global standards such as CVE and CVSS, standards for scoring when security events are executed are prepared and standardized so that priorities can be more objectively set. So, based on this, we build a security event database and use it to perform scheduling. In addition, by developing and applying the security event scheduling priority algorithm according to the situation of security events in Korea, it will contribute to securing the reliability of information protection and industrial development of domestic or ganizations and companies.

• Electronics and Telecommunications Trends
• /
• v.22 no.1 s.103
• /
• pp.59-72
• /
• 2007

기존의 사이버 공격은 특정 호스트나 서버를 목표로 하여 정보의 탈취 및 변경 등에 집중되었으나, 현재는 직접 혹은 간접적으로 과다 트래픽을 유발하여 네트워크 서비스를 마비시키는 방향으로 그 경향이 변하고 있다. 이런 사이버 공격을 방지하여 네트워크의 안정적인 서비스의 제공을 위해서는 해당 공격에 대한 적절한 대응을 수행하여야하며 이를 위해서는 관리 도메인 상에서 발생하는 보안 이벤트들을 분석하여 현재의 보안 상황에 대한 파악이 필수적으로 이루어져야 한다. 본 논문에서는 보안상황 분석을 위해 보안이벤트간 연관성 분석 기술에 대한 일반적 동향과 이벤트 연관성 분석의 특정 분야로써 현재 활발이 연구가 진행중인 이벤트의 시각화를 통한 보안상황 분석에 대한 연구 동향을 다루도록 한다.

• Convergence Security Journal
• /
• v.18 no.5_1
• /
• pp.33-43
• /
• 2018

In this paper, we want to solve the problems that users want to search the progress of attack, continuity of attack, association between attackers and victims, blocking priority and countermeasures by using visualization interface with multi-rotational axis and radial axis structure. It is possible to effectively monitor and track security events by arranging a time series event based on a multi-rotational axis structured by an event generation order, a subject of an event, an event type, and an emission axis, which is an objective time indicating progress of individual events. The proposed interface is a practical visualization interface that can apply attack blocking and defense measures by providing the progress and progress of the whole attack, the details and continuity of individual attacks, and the relationship between attacker and victim in one screen.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.22 no.3
• /
• pp.553-564
• /
• 2012

Today's security initiatives tend to integrate the physical and information securities which have been run by completely separate departments. That is, the converged security management becomes the core in the security market trend. However, to the best of our knowledge, we cannot find any solutions how to combine these two security events for the converged security. In this paper, we propose an information security object-driven approach which utilizes the physical security events to enhance and improve the information security. For scalability, we also present a systematic method using the analytic hierarchy process finding the meaningful event combinations among the large number of physical security events. In particular, we show the whole implementation processes in detail where we consider the information security object 'illegal computing system access' combined with two physical security devices - access controller and CCTV+video analyzer system.

• Electronics and Telecommunications Trends
• /
• v.23 no.4
• /
• pp.61-71
• /
• 2008

최근 이루어지는 사이버 공격들의 형태가 점점 더 다양해지고 공격의 전파 속도가 빨라짐에 따라 기존의 침임 탐지 기법으로는 이러한 공격을 신속하게 탐지하고 차단하기에는 한계가 있다. 이와 같은 문제점을 해결하기 위해서 최근에 네트워크 보안 이벤트 시각화 기술에 대한 연구가 활발히 진행되고 있다. 네트워크 보안 이벤트 시각화 기술은 네트워크 상에서 발생되는 방대한 양의 이벤트를 실시간으로 시각화함으로써 네트워크 공격의 탐지, 알려지지 않은 공격 패턴 분류, 네트워크 이상 상태의 발견 등 네트워크 보안 상황을 관리자가 직관적으로 인지할 수 있도록 하는 기술이다. 본 고에서는 보안 이벤트 시각화 기술을 유선 네트워크와 무선 네트워크로 구분하여, 각각의 네트워크 환경에서 현재 개발되고 있는 기술의 동향과 앞으로의 발전 방향에 대해서 다루도록 한다.

• Review of KIISC
• /
• v.16 no.2
• /
• pp.18-25
• /
• 2006

네트워크 보안 상황인지 기술이란 현재 네트워크에서 보안과 관련하여 무슨 일이 발생하고 있는 지를 관리자에게 인지시켜 주는 기술이다. 이는 침입탐지시스템이나 방화벽에서 수행하는 잠재적인 공격자의 패킷을 필터링하거나 보고하는 것과는 달리 현재 네트워크에서 발생하고 있는 상황(침입 또는 공격 등)을 알려주는 것에 초점을 맞춘다. 네트워크 보안 상황인지 기술에는 데이터 선정 및 수집, 특성 인자 추출, 연관성 분석, 데이터마이닝, 패턴분석, 이벤트시각화 등과 같이 매우 다양한 세부 기술들이 있지만, 본 고에서는 이벤트 종류에 따른 시각화 기술들의 현황과 ETRI에서 개발한 Visual Scope에 대해 살펴보고자 한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.24 no.3
• /
• pp.507-522
• /
• 2014

Domestic CERTs are carrying out monitoring and response against cyber attacks using security devices(e.g., IDS, TMS, etc) based on signatures. Particularly, in case of public and research institutes, about 30 security monitoring and response centers are being operated under National Cyber Security Center(NCSC) of National Intelligence Service(NIS). They are mainly using Threat Management System(TMS) for providing security monitoring and response service. Since TMS raises a large amount of security events and most of them are not related to real cyber attacks, security analyst who carries out the security monitoring and response suffers from analyzing all the TMS events and finding out real cyber attacks from them. Also, since the security monitoring and response tasks depend on security analyst's know-how, there is a fatal problem in that they tend to focus on analyzing specific security events, so that it is unable to analyze and respond unknown cyber attacks. Therefore, we propose automated verification method of security events based on their empirical analysis to improve performance of security monitoring and response.