네트워크 관리자가 침입 탐지 시스템, 방화벽 등의 보안 장비에서 발생하는 경보 메시지를 통하여 네트워크에서 이상 현상이 발생하였는지를 인지하고, 이상 현상이 실제 네트워크 보안 위협인지를 판단하기 위해서는 경보 메시지와 관련된 트래픽을 검색하고 분석하는 등의 일련의 작업이 필요하다. 하지만 보안 장비에서 발생되는 경보 메시지의 양이 많을 뿐만 아니라, 네트워크 관리자가 관련 트래픽을 검색하고 분석하는데 많은 시간이 소요되는 등의 문제점이 있다. 따라서 본 논문에서는 보안 이벤트 시각화 기술을 사용하여 네트워크의 보안 상황을 보다 빠르고 효과적으로 분석 할 수 있는 방법을 제안한다. 제안된 방법의 경우 전체 IP주소 공간에서 트래픽의 흐름을 표현하기 때문에 네트워크 관리자가 현재 네트워크에서 발생되는 보안 위협을 보다 빠르게 판단할 수 있도록 도와준다.
네트워크 관리자가 침입 탐지 시스템, 방화벽 등의 보안 장비에서 발생하는 경보 메시지를 통하여 네트워크에서 이상 현상이 발생하였는지를 인지하고, 이상 현상이 실제 네트워크 보안 위협인지를 판단하기 위해서는 경보 메시지와 관련된 트래픽을 검색하고 분석하는 등의 일련의 작업이 필요하다. 하지만 보안 장비에서 발생되는 경보 메시지의 양이 많을 뿐만 아니라, 네트워크 관리자가 관련 트래픽을 검색하고 분석하는데 많은 시간이 소요되는 등의 문제점이 있다. 따라서 본 논문에서는 보안 이벤트 시각화 기술을 사용하여 네트워크의 보안 상황을 보다 빠르고 효과적으로 분석 할 수 있는 방법을 제안한다. 제안된 방법의 경우 전체 IP주소 공간에서 트래픽의 흐름을 표현하기 때문에 네트워크 관리자가 현재 네트워크에서 발생되는 보안 위협을 보다 빠르게 판단할 수 있도록 도와준다.
Network administrator recognizes the abnormal phenomenon in the managed network by using the alert messages generated in the security devices including the intrusion detection system, intrusion prevention system, firewall, and etc. And then the series of task, which searches for the traffic related ...
Network administrator recognizes the abnormal phenomenon in the managed network by using the alert messages generated in the security devices including the intrusion detection system, intrusion prevention system, firewall, and etc. And then the series of task, which searches for the traffic related to the alert message and analyzes the traffic data, are required to determine where the abnormal phenomenon is the real network security threat or not. There are many alert messages to have to inspect in order to determine the network security situation. Also the much times are needed so that the network administrator can analyze the security condition using existing methods. Therefore, in this paper, we proposed an efficient method for analyzing network security situation using visualization. The proposed method monitors anomalies occurred in the entire IP address's space and displays the detail information of a security event. In addition, it represents the physical locations of the attackers or victims by linking GIS information and IP address. Therefore, it is helpful for network administrator to rapidly analyze the security status of managed network.
Network administrator recognizes the abnormal phenomenon in the managed network by using the alert messages generated in the security devices including the intrusion detection system, intrusion prevention system, firewall, and etc. And then the series of task, which searches for the traffic related to the alert message and analyzes the traffic data, are required to determine where the abnormal phenomenon is the real network security threat or not. There are many alert messages to have to inspect in order to determine the network security situation. Also the much times are needed so that the network administrator can analyze the security condition using existing methods. Therefore, in this paper, we proposed an efficient method for analyzing network security situation using visualization. The proposed method monitors anomalies occurred in the entire IP address's space and displays the detail information of a security event. In addition, it represents the physical locations of the attackers or victims by linking GIS information and IP address. Therefore, it is helpful for network administrator to rapidly analyze the security status of managed network.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
또한 5-tuple의 모든 정보를 한 화면에 표현하는 경우 화면의 복잡해져 오히려 네트워크 관리자의 직관적인 인지력을 저하시키는 경우도 있다. 따라서 본 논문에서는 5-tuple의 정보와 IP 정보로부터 추출한 부가 정보를 효과적으로 시각화하여 다양한 네트워크 공격을 직관적으로 인지 할 수 있는 방법을 제안한다.
그리고 호스트 스캔과 같이 호스트 별로 소량의 트래픽을 생성되는 공격을 인지 할 수 없는 단점이 있었다. 따라서 본 논문에서는 근원지와 목적지의 전체 IP 주소 공간에서 트래픽 흐름을 감시하여 네트워크의 이상 현상을 보다 신속하게 분석할 수 있는 VisCat/IPGrid를 제안하였다. 제안된 방법은 근원지와 목적지의 전체 IP 주소 공간에서 발생흐}는 트래퍽의 흐름을 시각화하여 호스트 스캔, 네트워크 스캔 등의 공격을 직관적으로 인지 할 수 있다.
하지만 기존의 보안 이벤트 시각화 기술은 숫자로 구성된 IP 주소만을 화면에 표현하였기 때문에 네트워크 관리자가 이상 현상이 발생한 물리적 지점 및 논리적 지점을 파악하기가 어려웠다. 따라서 본 논문에서는 두 단계의 계층적인 지리 정보를 통해 호스트의 물리적인 위치를 표현함으로써 이상 현상이 발생한 호스트의 물리적 위치와 논리적 위치를 직관적으로 인지 할 수 있는 VisCat/Center를 제안하였다.
또한 보안 이벤트 시각화 기술을 사용하면 서비스 거부 공격 (DoS: Denial of Service), 분산 서비스 거부 공격①Dos: Distributed Dos), 인터넷 웜, 호스트 스캔 등의 네트워크 공격에 대한 패턴을 잘 표현할 수 있기 때문에 네트워크 공격을 직관적으로 인지 할 수 있다. 따라서 본 논문에서는 시각화 기반의 효율적인 네트워크 보안 상황 분석 방법을 제안한다.
등의 일련의 작업이 필요하다. 본 논문에서는 네트워크 관리자가 트래픽을 검색하고 분석하여 네트워크의 보안 상황을 분석하는데 소요되는 시간을 줄일 수 있는 시각화 기반의 효율적인 네트워크 보안 상황 분석 방법을 제안하였다. 제안된 방법은 전체 IP 주소 공간을 감시하는 VisNet/IPGrid와 지리 정보와 연계해 관리 호스트의 물리적 위치까지 표현하는 VisNet/Center로 구성되어 있으며, 기존의 방법들과 달리 보안 이벤트를 구성하는 5-tuple의 정보를 IP 주소를 표현하는 IP 그리드와 프로토콜 및 포트 번호 별 빈도수를 표현하는 프로토콜 큐브를 사용하여 한 화면상에 표현함으로써 네트워크 관리자가 보안 상황을 분석하는데 있어 필요한 모든 정보를 제공해 준다.
제안된 방법은 전체 IP 주소 공간에서 발생하는 보안 이벤트를 한 화면에서 감시함으로써 , 호스트 스캔, B클래스 네트워크 스캔 등의 공격을 직관적으로 인지하고, 해당 보안 이벤트의 근원지 IP, 소속 국가, 소속 기관 및 사용되는 포트 등의 공격과 관련된 상세 정보들을 신속하고 정확하게 인지 할 수 있다. 본 논문에서는 다양한 프로토콜에서 발생하는 포트 별 이벤트를 모두 감시하기 위하여 다수의 프로토콜 평면으로 구성된 프로토콜 큐브를 제안하였으며 ,[그림 4]와 같다.[그림 4(a)]의 프로토콜 평면에서 세로축은 포트 번호를 의미하고 가로축은 해당 포트 번호에서 발생한 보안 이벤트의 수를 의미한다.
트래픽 정보를 사용하여 보안 이벤트를 시각화 하는 방법은 NVisionIP〔3〕을 비롯하여 많은 연구〔2-9〕가 진행되고 있으며, 경보 메시지를 시각화하는 방법은 SnortView〔10〕를 포함하여 다양한 방법U0T3〕들이 연구되고 있다. 본 논문에서는 보안 이벤트를 네트워크 상의 트래픽 정보로 한정하여 보안 이벤트 시각화 기술을 다룰 것이다. 또한 네트워크 공격의 의미를 트래픽 정보를 통하여 인지할 수 있는 분산 서비스 거부 공격, 서비스 거부 공격, 인터넷 웜 호스트 스캔, 포트 스캔으로 한정하여 사용할 것이다.
제안 방법
표현되는 이벤트의 관리는 원형 큐를 사용하여 큐의 저장공간이 부족할 때는 제일 먼저 입력되는 데이터가 삭제 되도록 하였다. VisCat/ TPGrid와 VisCat/Center에서 화면의 갱신은 사용자가 설정한 갱신 시간과 이벤트의 수를 사용하여 갱신 시간이 초과되거나 설정된 수만큼의 이벤트가 입력되면 화면이 갱신되도록 하였으며, VisCat/IPGrid 와 VisCat/Center에 대해서는 다음 장에서 자세히 살펴 볼 것이다.
이는 일반적인 네트워크 관리자의 경우에는 이상 현상을 유발한 공격자 보다 네트워크 공격으로부터 관리 도메인의 피해를 줄이기 위해서 관리 도메인 내의 피해 호스트에 더 관심을 갖기 때문이다. VisCat/Center에서 근원지와 목적지의 포트 정보를 표현하기 위해 VisCat/IPGrid 에서 사용한 프로토콜 큐브를 사용하였으며 , 목적지의 IP 주소를 표현하기 위 해서 IP 그리드를 사용하였다. 따라서 VisCat/IPGrid에서 탐지 할 수 있었던 호스트 스캔, 포트 스캔 등의 다양한 네트워크 공격을 네트워크 관리자가 직관적으로 인지 할 수 있다.
IP 정보 저장소의 경우 일반적으로 국외의 GeoIP[14L IP2Location[15] 등의 데이터베이스가 많이 사용되고 있지만, 국내 IP 대역의 정보는 정확하지 못한 단점이 있다. 따라서 제안된 방법은 국내의 경우 자체 제작한 고정밀 데이터베이스〔16〕를 사용하며 IP정보와 지리 정보를 매핑하였으며, 국외의 경우 GeoIP 데이터베이스를 사용하여 지리 정보와 매핑하였다. 5-tuple 정보와 지리 정보를 비롯한 IP 의 부가적인 정보는 정규화 되어 보안 이벤트 시각화기로 전달된다.
양을 표현하는 화면을 제공한다〔5〕. 또한 화면에서 특정 시간의 특정 포트에 대한 트래픽의 통계 정보 (세션의 수, 유일한 근원지의 수. 유일한 목적지의 수, 유일한 근원지와 목적지 쌍의 수. 유일한 근원지 국가의 수)를 선택하여 시간에 따른 흐름을 보여주는 화면을 제공함으로써. 네트워크의 비정상적인 현상을 쉽게 검출 할 수 있다.
본 논문에서 제안하는 방법은 보안 이벤트를 구성하는 5-tuple 정보를 추출하여 보안 이벤트의 흐름을 한 화면에 시각화함으로써, 네트워크 관리자가 이상 현상을 유발하는 트래픽을 직관적으로 인지하고 분석하여 네트워크의 보안 상황을 보다 빠르고 정확하게 판단 할 수 있도록 하는 것이다. 또한 5-tupie을 구성하는 IP 주소로부터 지리적 위치, 소속 기관, 소속국가 등의 부가 정보를 추출하여 트래픽 정보와 같이 표현함으로써 네트워크 관리자가 공격자 및 피해자의싱세 정보를 보다 삐르고 쉽게 인지 할 수 있도록 한다.
제안된 네트워크 보안 상황 분석 방법은 네트워크 장비 및 넷플로우 생성기로부터 트래픽 정보를 수집하여 부가 정보를 추출하는 보안 이벤트 수집기와 수집된 보안 이벤트의 5-tuple 정보와 부가 정보를 시각화하는 보안 이벤트 시각화기로 구성된다. 보안 이벤트 수집기는 UDP 통신을 통하여 넷플로우 정보를 수집하여 5-tuple 정보를 추출한 후, IP 정보와 IP 정보 저장소 저장되어 있는 IP 대역 정보를 매핑하여 관련된 정보를 추출하는 기능을 한다.
IP 대역의 ISP 등의 정보가 저장되어 있다. 제안된 방법은 IP 정보 저장소를 통하여 IP와 지리 정보를 매핑하게 된다. IP 정보 저장소의 경우 일반적으로 국외의 GeoIP[14L IP2Location[15] 등의 데이터베이스가 많이 사용되고 있지만, 국내 IP 대역의 정보는 정확하지 못한 단점이 있다.
따라서 본 논문에서는 근원지와 목적지의 전체 IP 주소 공간에서 트래픽 흐름을 감시하여 네트워크의 이상 현상을 보다 신속하게 분석할 수 있는 VisCat/IPGrid를 제안하였다. 제안된 방법은 근원지와 목적지의 전체 IP 주소 공간에서 발생흐}는 트래퍽의 흐름을 시각화하여 호스트 스캔, 네트워크 스캔 등의 공격을 직관적으로 인지 할 수 있다. 또한 IP 주소로부터 추출된 소속 국가, 소속 기관의 정보를 화면상에 표현함으로써 네트워크 공격의 공격자 및 피해자에 대한 상세 정보를 한 화면에서 인지 할 수 있는 장점이 있다.
제안된 방법은 네트워크 관리자가 현재 네트워크에서 발생하고 있는 이상 현상을 신속하게 인지하고 네트워크 공격 여부를 판단할 수 있도록 하기위하여 네트워크에서 발생하는 트래픽의 흐름을 직관적으로 인지할 수 있도록 시각화하였다. 또한 IP 정보 이외에 소속 기간, 소속 국가 및 물리적 위치를 화면상에 같이 표현하여 네트워크 관리자가 피해자의 정보를 빠르게 인지하고 네트워크 공격에 신속하게 대응함으로써 공격에 대한 피해를 최소화 시킬 수 있다.
본 논문에서는 네트워크 관리자가 트래픽을 검색하고 분석하여 네트워크의 보안 상황을 분석하는데 소요되는 시간을 줄일 수 있는 시각화 기반의 효율적인 네트워크 보안 상황 분석 방법을 제안하였다. 제안된 방법은 전체 IP 주소 공간을 감시하는 VisNet/IPGrid와 지리 정보와 연계해 관리 호스트의 물리적 위치까지 표현하는 VisNet/Center로 구성되어 있으며, 기존의 방법들과 달리 보안 이벤트를 구성하는 5-tuple의 정보를 IP 주소를 표현하는 IP 그리드와 프로토콜 및 포트 번호 별 빈도수를 표현하는 프로토콜 큐브를 사용하여 한 화면상에 표현함으로써 네트워크 관리자가 보안 상황을 분석하는데 있어 필요한 모든 정보를 제공해 준다. 또한 네트워크 관리자가 다양한 네트워크의 공격패턴을 직관적으로 인지 할 수 있도록 시각화하며 , 네트워크 공격의 공격자 및 피해자에 관련된 정보, 관리도 메인 내 존재하는 피해자의 물리적 위치 정보 등의 정보를 신속하게 파악 할 수 있는 장점이 있다.
모두 표현할 수 있다. 제안된 방법의 경우 근원지를 세계 지도에 매핑하여 어떤 국가에서 보안 이벤트가 발생되었는지를 표현하였다. 이는 일반적인 네트워크 관리자의 경우에는 이상 현상을 유발한 공격자 보다 네트워크 공격으로부터 관리 도메인의 피해를 줄이기 위해서 관리 도메인 내의 피해 호스트에 더 관심을 갖기 때문이다.
보안 이벤트 시각화기는 윈도우즈 환경에서 OpenGL을 사용하여 구현되었으며. 표현되는 이벤트의 관리는 원형 큐를 사용하여 큐의 저장공간이 부족할 때는 제일 먼저 입력되는 데이터가 삭제 되도록 하였다. VisCat/ TPGrid와 VisCat/Center에서 화면의 갱신은 사용자가 설정한 갱신 시간과 이벤트의 수를 사용하여 갱신 시간이 초과되거나 설정된 수만큼의 이벤트가 입력되면 화면이 갱신되도록 하였으며, VisCat/IPGrid 와 VisCat/Center에 대해서는 다음 장에서 자세히 살펴 볼 것이다.
네트워크 보안 장비에서 발생되는 경보 메시지의 경우 정상 트래픽을 네트워크 공격으로 잘못 판단하는 오탐(False positives)을 발생 시킬 수 있는 가능성이 있기 때문에 네트워크 관리자는 경보 메시지의 정보를 사용하여 대응을 하기 전에 실제 공격인지 여부를 판단 과정이 필요하다. 현재 네트워크 관리자는 공격 여부를 판단하기 위해서 경보 메시지와 관련된 트래픽을 검색한 후, 검색된 트래픽으로부터 근원지 IP의 분산도 및 각 IP별 트래픽의 집중도, 목적지 IP의 분산도 및 각 IP별 트래픽의 집중도, 근원지 및 목적지 포트 번호별 트래픽의 집중도 및 분산도 등을 분석한다. 또한 근원지와 목적지 IP의 정보를 조회하여 IP가 속한 국가, 기관 등의 정보를 추출하는 일련의 과정을 거쳐 최종적으로 공격 여부를 판단하고 대응하게 된다.
대상 데이터
시험에 사용된 데이터는 트래픽 미터링 데이터 인 Netflow(v5) 데이터로써 , 한국과학기술정보연구원의 Kreonet 망에서 각각 5분 동안 수집한 데이터이다.
성능/효과
이벤트 타입. 도메인 등을 선택하여 상세하게 분석할 수 있는 방법을 제공함으로써 네트워크의 보안 상황을 분석에 소요되는 시간을 줄일 수 있다.
따라서 VisCat/IPGrid에서 탐지 할 수 있었던 호스트 스캔, 포트 스캔 등의 다양한 네트워크 공격을 네트워크 관리자가 직관적으로 인지 할 수 있다. 또한 목적지 IP 주소의 물리적인 위치는 두 단계의 레벨로 위치를 표현하여, 레벨 1의 지도에서 전체 관리 도메인의 현황을 보여주고 레벨 2의 지도에서는 레벨 1에서 선택된 특별시 및 광역시도의 지역을 상세하게 보여줌으로써 호스트의 물리적 위치에 대한 네트워크 관리자의 직관적인 인지력을 향상 시킬 수 있었다. 또한 목적지 기관의 물리적 위치와 기관의 명칭을 화면상에 표현함으로써 , 네트워크 관리자는 이상 현상이 발생한 호스트의 물리적 위치를 보다 신속하고 정확하게 인지할 수 있다.
B클래스 네트워크를 나타내는 그리드 상의 한 점을 선택하거나, 호스트를 나타내는 그리드의 한 점을 선택하면 해당 B 클래스 네트워크의 트래픽만을 필터링하며 화면상에 표시한다. 제안된 방법은 전체 IP 주소 공간에서 발생하는 보안 이벤트를 한 화면에서 감시함으로써 , 호스트 스캔, B클래스 네트워크 스캔 등의 공격을 직관적으로 인지하고, 해당 보안 이벤트의 근원지 IP, 소속 국가, 소속 기관 및 사용되는 포트 등의 공격과 관련된 상세 정보들을 신속하고 정확하게 인지 할 수 있다. 본 논문에서는 다양한 프로토콜에서 발생하는 포트 별 이벤트를 모두 감시하기 위하여 다수의 프로토콜 평면으로 구성된 프로토콜 큐브를 제안하였으며 ,[그림 4]와 같다.
후속연구
대한 개선이 필요하다. 또한 보안 장비로부터 발생된 경보 데이터 중 5-tuple의 정보가 완전하지 않는 경우에도 경보 데이터를 시각화할 수 있는 방법에 대한 연구가 더 필요하다.
또한 네트워크 관리자가 다양한 네트워크의 공격패턴을 직관적으로 인지 할 수 있도록 시각화하며 , 네트워크 공격의 공격자 및 피해자에 관련된 정보, 관리도 메인 내 존재하는 피해자의 물리적 위치 정보 등의 정보를 신속하게 파악 할 수 있는 장점이 있다. 본 논문에서 제안된 방법을 사용하면 네트워크 관리자는 관리 네트워크에서 발생되는 보안 위협을 보다 빠르게 판단하여 공격에 대응하는 시간을 줄일 수 있을 것으로 기대된다.
본 논문에서 제안된 방법의 경우 보안 이벤트의 정보를 3D 화면상에서 선을 통하여 시각화하기 때문에 초당 처리할 수 있는 이벤트 수의 제약이 있으며, 이에 대한 개선이 필요하다. 또한 보안 장비로부터 발생된 경보 데이터 중 5-tuple의 정보가 완전하지 않는 경우에도 경보 데이터를 시각화할 수 있는 방법에 대한 연구가 더 필요하다.
참고문헌 (16)
G. Fink, R. Ball, N. Jawalkar, C. North, and R. Correa, "Network Eye: End-to-End Computer Security Visualization," Submitted for Consideration at ACM CCS Workshop on Visualization and Data Mining for Computer Security (VizSec/DMSec), Oct. 2004
장범환, 나중찬, 장종수, "보안 이벤트 시각화를 이용한 보안 상황 인지 기술," 정보보호학회지, 16(2), pp. 18-25, 2006년 4월
K. Lakkaraju, W. Yurcik, and A.J. Lee, "NVisionIP: Netflow Visualizations of System State for Security Situational Awareness," In Proc. of the 2004 ACM Workshop on Visualization and Data Mining for Computer Security, ACM Press, New York, NY, USA. pp. 65-72, Oct. 2004
X. Yin, W. Yurcik, and A. Slagell. "The Design of VisFlowConnect-IP: A Link
J. McPherson, K. Ma, P. Krystosek. T. Bartoletti, and M. Christensen, "PortVis:
S. Lau, "The Spinning Cube of Potential Doom," Communications of the ACM, vol. 47, no. 6, pp. 25-26, June 2004
※ AI-Helper는 부적절한 답변을 할 수 있습니다.