[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

KR20080030130A - System for managing risk of customer on-demand and method thereof - Google Patents

System for managing risk of customer on-demand and method thereof Download PDF

Info

Publication number
KR20080030130A
KR20080030130A KR1020060095783A KR20060095783A KR20080030130A KR 20080030130 A KR20080030130 A KR 20080030130A KR 1020060095783 A KR1020060095783 A KR 1020060095783A KR 20060095783 A KR20060095783 A KR 20060095783A KR 20080030130 A KR20080030130 A KR 20080030130A
Authority
KR
South Korea
Prior art keywords
customer
vulnerability
risk
network
threat
Prior art date
Application number
KR1020060095783A
Other languages
Korean (ko)
Other versions
KR101310487B1 (en
Inventor
조유희
이호송
이현식
김이한
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020060095783A priority Critical patent/KR101310487B1/en
Publication of KR20080030130A publication Critical patent/KR20080030130A/en
Application granted granted Critical
Publication of KR101310487B1 publication Critical patent/KR101310487B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

A system and a method for managing risk in response to customer demand are provided to evaluate risk of all assets by enabling a telecommunication provider server to perform vulnerability/risk level evaluation of network equipments and server systems placed in an internal network or a DMZ(Demilitarized Zone), and provide a result to a customer in response to customer demand. A vulnerability analyzing module(101) evaluates a vulnerability level by collecting and using vulnerability of a customer network(800) by receiving a request from a customer through an internet network(200), a router(300), a security device(400) and an aggregation switch(500). A threat analyzing module(102) evaluates a threat level by receiving event log information, which is generated by detecting and blocking harmful traffic inputted/output from the customer network. A risk level analyzing module(103) analyzes a risk level by evaluating asset value of the customer network, and using vulnerability/risk level evaluation results and an asset vale analysis result. The vulnerability analyzing module evaluates the vulnerability by connecting to a DMZ(600) directly through the Internet without passing security equipment(400) and enables the customer to check a risk analysis result in the web.

Description

고객 요구형 위험 관리 시스템 및 그 방법{SYSTEM FOR MANAGING RISK OF CUSTOMER ON-DEMAND AND METHOD THEREOF}Customer-Demand Risk Management System and its Method {SYSTEM FOR MANAGING RISK OF CUSTOMER ON-DEMAND AND METHOD THEREOF}

도 1은 본 발명의 실시예에 따른 고객 요구(on-demand)형 위험 관리 시스템의 구성도.1 is a block diagram of a customer on-demand risk management system according to an embodiment of the present invention.

도 2는 본 발명의 실시예에 따른 고객 요구형 위험 관리 방법을 나타내는 순서도.2 is a flow chart illustrating a customer demand risk management method according to an embodiment of the present invention.

도 3은 본 발명의 실시에에 따른 위험평가보고서를 나타내는 도면.3 illustrates a risk assessment report in accordance with the practice of the present invention.

< 도면의 주요 부분에 대한 부호의 설명 ><Description of Symbols for Main Parts of Drawings>

100 : 위험 관리 서버 101 : 취약성 분석모듈100: risk management server 101: vulnerability analysis module

102 : 위협 분석 모듈 200 : 위험도 분석 모듈102: threat analysis module 200: risk analysis module

200 : 인터넷망 300 : 라우터200: Internet 300: Router

400 : 보안장비 500 : 집선스위치400: security equipment 500: aggregation switch

600 : DMZ 700 : 방화벽600: DMZ 700: Firewall

800 : 고객망 810 : 서버 또는 PC800: customer network 810: server or PC

811 : 장비811: Equipment

본 발명은 고객 요구형 위험 관리 시스템 및 그 방법에 관한 것으로서, 보다 상세하게는 통신사업자측 서버에서 고객 내부망 또는 DMZ(demilitarized zone)에 위치한 네트워크 장비나 서버 시스템들을 대상으로 고객의 요구에 따라 취약성 분석 및 위협 레벨을 평가하여 총체적인 자산의 위험도를 평가하여 고객에게 제공하는 기술이다. The present invention relates to a customer demand risk management system and a method thereof, and more particularly, to a network equipment or server systems located in a customer internal network or a demilitarized zone (DMZ) in a server of a service provider. It is a technology that evaluates the overall risk of assets by analyzing and evaluating threat levels and provides them to customers.

일반적으로, 취약성 분석이란 라우터 및 스위치와 같은 네트워크 장비나 웹서버, DB서버, 메일서버 등과 같은 서버시스템, 망관리시스템(NMS;Network Management Station), 보안장비 등을 대상으로 취약성 분석 툴(tool)을 이용하여 포트 스캐닝 및 어플리케이션레벨(application level)의 취약성 점검을 수행하고, 그 결과를 이용하여 각 장비의 OS취약성, 개방된 포트, 어플리케이션(application) 취약성, 백도어(backdoor) 감염여부를 체크하는 것을 의미한다.In general, vulnerability analysis is a vulnerability analysis tool for network devices such as routers and switches, server systems such as web servers, DB servers, mail servers, network management stations (NMSs), and security devices. Port scanning and application level vulnerability check using the results, and using the results to check the OS vulnerability, open ports, application vulnerability, backdoor infection of each device it means.

위협관리는 시스템의 취약성을 도용한 외부로부터의 각종 해킹, DoS(denial of service) 공격, 웜, 바이러스 등의 위협요인을 파악하고, 위협레벨에 대한 평가 및 위협정보에 대한 주기적인 관리를 하는 것을 의미한다. 대부분의 위협정보는 이벤트 로그 시스템 등에서 수집된 자료를 토대로 파악되며, 대표적인 예로 IDS(intrusion detection system)들에 발생한 이벤트 로그를 토대로 위협의 유형, 위협의 빈도, 위협의 발생지, 위협의 타겟시스템, 및 위협레벨을 파악할 수 있다.Threat management is to identify threat factors such as various hacking, denial of service (DoS) attacks, worms, viruses, etc. from the outside using the system's vulnerability, and evaluate the threat level and periodically manage the threat information. it means. Most threat information is identified based on data collected from event log systems, etc. Typical examples are based on event logs generated by intrusion detection systems (IDS), the type of threat, frequency of threat, source of threat, target system of threat, and Understand the threat level.

이와같이, 위협관리는 취약성 분석과 더불어 특정시스템(고객자산)의 위험분석을 수행하기 위해 꼭 필요하다.As such, threat management is indispensable to conduct vulnerability analysis on specific systems (customer assets) in addition to vulnerability analysis.

그러나, 이러한 취약성 분석 및 위협관리 각각에 대한 단일 기술들은 이미 잘 알려진 기술이나, 이를 통합적으로 활용하여 통신사업자측에서 시스템의 보안서비스의 일부분으로서 고객의 수시적인 요청을 받아 DMZ 영역이나 고객 내부망의 보안레벨을 진단하고 웹 상에서 주기적으로 관리하는 부가서비스는 아직까지 없었다. However, the single technologies for each of these vulnerability analysis and threat management are well-known technologies, but by integrating them, the telecommunication service provider can receive a request from the customer as a part of the system's security service. There is no additional service that diagnoses security level and manages it regularly on the web.

따라서, 상술된 문제를 해결하기 위한 본 발명은 통신사업자측의 원격의 서비스 플랫폼상의 서버에서 고객의 수시적인 요청에 의하여 고객망 또는 DMZ에 위치한 주요 네트워크 장비 및 시스템을 대상으로 위험 관리를 하고 웹을 통해 그 위험 관리 결과를 제공하는데 있다.Therefore, the present invention for solving the above-described problem is to manage the risk on the network or the main network equipment and systems located in the DMZ by the customer's occasional request from the server on the remote service platform of the carrier side The risk management results.

위와 같은 목적을 달성하기 위한 본 발명의 실시예에 따른 고객 요구형 위험 관리 시스템은, 고객으로부터 요청을 받으면 해당 고객망의 취약성 정보를 수집하고 상기 취약성 정보를 이용하여 취약성 레벨을 평가하는 취약성 분석 모듈과, 상기 고객망으로부터 유출입되는 유해트래픽의 탐지 및 차단을 통한 이벤트 로그 정보를 전송받아 위협 레벨을 평가하는 위협 분석 모듈과, 고객망의 자산 가치를 평가하고, 상기 취약성 레벨 및 상기 위협 레벨 평가 결과와 상기 자산 가치 평가 결과를 이용하여 상기 고객망의 위험도를 분석하는 위험도 분석 모듈을 포함하여 구성함을 특징으로 한다.According to an embodiment of the present invention for achieving the above object, the risk management system for a customer demand type collects vulnerability information of a corresponding customer network when a request from a customer is received, and evaluates a vulnerability level using the vulnerability information. And a threat analysis module for evaluating threat levels by receiving event log information through detection and blocking of harmful traffic flowing into and out of the customer network, evaluating asset values of the customer network, and evaluating the vulnerability level and the threat level evaluation result. And a risk analysis module for analyzing the risk of the customer network using the result of the asset valuation.

또한, 본 발명에 따른 고객 요구형 위험 관리 방법은, 고객망에 대한 자산 가치를 평가하여 저장하는 제 1 과정과, 고객으로부터 위험도 평가 요청을 받으면, 상기 고객망에 대해 취약성 정보를 수집하고, 상기 취약성 정보를 이용하여 취약성 레벨을 평가하는 제 2 과정과, 보안장비로부터 상기 고객망으로 유출입되는 유해 트래픽의 탐지 및 차단을 통한 이벤트 로그 정보를 수신하여 위협 레벨을 평가하는 제 3 과정과, 상기 취약성 레벨 및 위협 레벨 평가 결과와 상기 자산가치 평가 결과를 이용하여 상기 고객망의 위험도를 평가하는 제 4 과정을 포함함을 특징으로 한다.In addition, the customer-demand risk management method according to the present invention, the first process of evaluating and storing the asset value for the customer network, and when receiving a risk evaluation request from the customer, collects vulnerability information for the customer network, A second process of evaluating a vulnerability level using vulnerability information, a third process of evaluating a threat level by receiving event log information through detection and blocking of harmful traffic flowing into and out of the customer network from a security device, and the vulnerability And a fourth process of evaluating the risk of the customer network using the level and threat level evaluation result and the asset value evaluation result.

이하, 첨부된 도면들을 참조하여 본 발명의 바람직한 실시예를 보다 상세하게 설명한다.Hereinafter, with reference to the accompanying drawings will be described in detail a preferred embodiment of the present invention.

도 1은 본 발명의 실시예에 따른 고객 요구(on-demand)형 위험 관리 시스템의 구성도이다.1 is a block diagram of an on-demand risk management system according to an embodiment of the present invention.

본 발명의 위험 관리 시스템은 위험 관리 서버(100), 라우터(300), 보안장비(400), 집선스위치(500), 방화벽(700), DMZ(600), 및 고객망(800)을 포함하여 구성한다.The risk management system of the present invention includes a risk management server 100, router 300, security equipment 400, aggregation switch 500, firewall 700, DMZ 600, and customer network 800 Configure.

먼저, 위험 관리 서버(100)는 인터넷망(200)을 통해 고객망(800) 또는 DMZ(600)에 위치한 주요 네트워크 장비 및 시스템 등을 대상으로 취약성 분석 및 위협 관리 서비스를 제공한다. 이때, 위험 관리 서버(100)는 DMZ(600)에 대해서는 보안장비(400)를 거치지 않고 인터넷망(200)을 통해 직접 연결되어 그 위험도를 평가하고, 고객망(800)에 대해서는 고객망(800)내의 고객으로부터 서버 또는 PC(810)에 미리 설치된 취약성 분석 에이전트를 통해 위험도 평가를 요청받으면 취약성 분석 및 위협 레벨을 평가하여 해당 고객망(800)의 잠재된 위험도를 평가한다. 또한, 위험 관리 서버(100)는 취약성 및 위협 분석을 통해 해당서버나 PC의 위험분석을 수행하고, 그 결과에 대한 이력관리도 수행하는 것이 바람직하다.First, the risk management server 100 provides vulnerability analysis and threat management services to major network equipment and systems located in the customer network 800 or the DMZ 600 through the Internet network 200. At this time, the risk management server 100 is connected directly through the Internet network 200 without passing through the security equipment 400 for the DMZ 600, and evaluates the risk, the customer network 800 for the customer network (800) When a customer is requested to evaluate a risk through a vulnerability analysis agent pre-installed on a server or a PC 810 from a customer, the vulnerability analysis and the threat level are evaluated to evaluate the potential risk of the corresponding customer network 800. In addition, the risk management server 100 preferably performs risk analysis of the corresponding server or PC through vulnerability and threat analysis, and also performs history management on the result.

이를 위해, 위험 관리 서버(100)는 취약성 분석 모듈(101), 위협 분석 모듈(102), 및 위험도 분석 모듈(103)을 구비한다. 취약성 분석 모듈(101)은 IP를 사용하는 라우터, 스위치와 같은 네트워크 장비나 웹서버, DB서버, 메일서버 등과 같은 서버시스템, 망관리시스템(NMS), 보안장비 등을 대상으로 포트 스캐닝 정보를 수집하고 그 정보를 이용하여 취약성 분석을 수행하며, 그 결과를 도 3과 같은 보고서 형태로 작성하여 고객 또는 운용자에게 보고하는 기능을 수행한다. To this end, the risk management server 100 includes a vulnerability analysis module 101, a threat analysis module 102, and a risk analysis module 103. The vulnerability analysis module 101 collects port scanning information for network devices such as routers and switches using IP, server systems such as web servers, DB servers, mail servers, network management systems (NMS), and security devices. Performs vulnerability analysis using the information, and writes the result in the form of a report as shown in FIG. 3 and reports the result to a customer or an operator.

이때, 취약성 분석 모듈(101)은 독립형(standalone)으로 동작할 수도 있고, 웹을 통해 액티브X(ActiveX) 형태의 취약성분석 툴을 다운로드받아 설치하여 원하는 서버나 PC(810)상에서 동작할 수 있도록 한다. 즉, 방화벽(700) 등의 내부 보호망이 설치되어 있지 않은 DMZ(600)의 취약성 분석시에는 방화벽(700)을 거치지 않고 인터넷망(200)을 통해 직접 연결되어 취약성 정보를 가져와 분석하는 독립형 방식을 적용하고, 방화벽(700) 등의 내부망 보안장비가 설치되어 있어 외부에서 접근이 불가능한 고객망(800)에 대하여 취약성 분석을 하고자 하는 경우에는 고객망(800) 내의 서버 또는 PC(810)에서 웹을 통해 액티브X 형태로 구현된 취약성 에이전트(취약성 분석 툴)을 다운로드 받아 설치한 후 취약성 분석모듈(101)에 대해 취약성 분석을 요청한다.At this time, the vulnerability analysis module 101 may operate as a standalone, or download and install an vulnerability analysis tool in the form of ActiveX through the web so that the vulnerability analysis module 101 can operate on a desired server or PC 810. . That is, when analyzing the vulnerability of the DMZ 600 without the internal protection network such as the firewall 700, a standalone method of directly connecting through the Internet network 200 without the firewall 700 to obtain and analyze the vulnerability information. If you want to analyze the vulnerability of the customer network 800 that is not accessible from the outside because the internal network security equipment such as the firewall 700 is installed, the web in the server or PC 810 in the customer network 800 After downloading and installing the vulnerability agent (vulnerability analysis tool) implemented in the ActiveX form through the vulnerability analysis module 101 to request a vulnerability analysis.

이와같은 취약성 분석모듈(101)은 포트 스캐닝 및 어플리케이션 레벨(application level)의 취약성 점검을 통하여 각 장비의 OS 취약성, 개방된 포 트, 어플리케이션(application) 취약성, 백도어(backdoor) 감염여부를 체크할 수 있고, 결과에 대한 분석보고서를 제공한다.The vulnerability analysis module 101 may check whether the OS vulnerability, open port, application vulnerability, and backdoor infection of each device through port scanning and application level vulnerability checking. It provides an analysis report on the results.

한편, 위협 분석 모듈(102)은 보안장비(IDS/IPS탑재)(400)로부터 전달받은 이벤트(event) 로그정보를 기반으로 위협 레벨을 평가하는 기능을 수행한다. 즉, 위협 분석 모듈(102)은 공격에 대한 실시간 로그정보(공격자, 공격유형, 공격건수, 발생시각, 타겟시스템 등)를 토대로 위협의 레벨를 평가한다.Meanwhile, the threat analysis module 102 performs a function of evaluating a threat level based on event log information received from the security device (IDS / IPS deployment) 400. That is, the threat analysis module 102 evaluates the level of the threat based on real-time log information (attack, attack type, attack count, occurrence time, target system, etc.) of the attack.

위험도 분석 모듈(103)은 취약성 분석 모듈(101)과 위협 분석 모듈(102)을 통해 평가된 취약성 및 위협 레벨 결과를 조합하여 위험도를 평가한다. 또한, 위험도 분석 모듈(103)은 고객망(800) 및 DMZ(600)의 내부 장비들에 대한 자산 가치를 평가하여 그 결과를 저장하고, 추후 위험도 평가 시에 상기 자산가치 평가 결과를 적용한다.The risk analysis module 103 combines the vulnerability and threat level results evaluated by the vulnerability analysis module 101 and the threat analysis module 102 to evaluate the risk. In addition, the risk analysis module 103 evaluates the asset value of the internal equipment of the customer network 800 and the DMZ 600, stores the result, and applies the result of the asset value evaluation at a later risk assessment.

라우터(300)는 인터넷망(200)과 보안장비(400) 사이에 연결되어 통신 경로를 결정하며, 보안장비(400)는 라우터(300)와 집선스위치(500) 사이에 위치하고, 실시간으로 고객망(800)에 유출입되는 트래픽 중 유해 트래픽에 대한 탐지 및 차단을 실시하고 그 로그정보를 실시간으로 위협 분석 모듈(102)로 전송한다. The router 300 is connected between the Internet network 200 and the security equipment 400 to determine the communication path, the security equipment 400 is located between the router 300 and the aggregation switch 500, the customer network in real time Detection and blocking of harmful traffic among the traffic flowing into and out of 800 are performed and the log information is transmitted to the threat analysis module 102 in real time.

DMZ(600)은 외부망과 내부망사이의 완충지대로서 방화벽(700)의 설정에 의해 분리되며 외부에서 접속이 잦은 서버들을 이곳에 두어 이러한 서버들에 생긴 보안상의 취약성으로 인해 고객망(800)에 직접적인 피해가 되지 않도록 하는 것이 바람직하다.The DMZ 600 is a buffer zone between the external network and the internal network, and is separated by the setting of the firewall 700. The DMZ 600 is located in the customer network 800 due to security vulnerabilities caused by these servers by placing servers frequently accessed from the outside. It is desirable to avoid direct damage.

고객망(800)은 방화벽(700)을 통해 집선스위치(500)에 연결되며, 내부에 서버 또는 PC(810) 및 복수의 장비(811)를 포함한다. 이때, 고객망(800)의 앞단은 대부분 방화벽(700)이 설치되어 있어서, 외부에서 취약성 분석툴을 실행하여 취약성 분석을 위한 IP스캐닝이나 포트 스캐닝을 실시할 수 없도록 한다. The customer network 800 is connected to the aggregation switch 500 through the firewall 700, and includes a server or PC 810 and a plurality of equipment 811 therein. At this time, most of the front end of the customer network 800 is installed with a firewall 700, so that it is not possible to execute a vulnerability analysis tool from the outside to perform IP scanning or port scanning for vulnerability analysis.

여기서, 고객망(800) 내의 서버 또는 PC(810)는 취약성 에이전트가 설치되어, 고객망(800) 내부의 모든 장비(811)를 스캐닝하고 그 결과를 취약성분석모듈(101)로 전송한다. 취약성분석 모듈(101)의 취약성 분석의 예를들면, "취약성레벨:high 호스트:221.x.x.x, 서비스:RPC, 점검항목:rpc/cmsd/running, 포트:811/tcp, 설명:cmsd, RPC 서비스 가동중임 등"의 항목을 나타낸다. 이때, 하나의 서버에 대해서 여러 개의 취약성 결과가 나올 수 있다.Here, the server or PC 810 in the customer network 800 is installed a vulnerability agent, scans all the equipment 811 in the customer network 800 and transmits the result to the vulnerability analysis module 101. For example, the vulnerability analysis of the vulnerability analysis module 101 includes "vulnerability level: high host: 221.xxx, service: RPC, check items: rpm / cmsd / running, port: 811 / tcp, description: cmsd, RPC service. "In operation" and so on. At this time, multiple vulnerability results may be generated for one server.

이하, 도 2를 참조하여, 본 발명의 실시예에 따른 고객 요구형 위험 관리 방법을 구체적으로 설명하기로 한다.Hereinafter, a customer demand risk management method according to an embodiment of the present invention will be described in detail with reference to FIG. 2.

먼저, 위험도 분석 모듈(103)은 수집된 정보를 이용하여 고객망(800) 및 DMZ(600) 내부의 장비들의 자산에 대한 가치를 평가하여 저장한다(S100). 즉, 분석의 대상이 되는 자산들(IP를 사용하는 라우터, 스위치와 같은 네트워크 장비, 웹서버, DB서버, 메일서버 등과 같은 서버시스템, 망관리시스템(NMS), 보안장비 등)에 대한 자산가치를 평가한다. 이때, 자산가치는 역할, 중요도, 가격, 위치, 용량 등에 따라 가중치를 부여하여 차별화되어 내부적으로 수치화 될 수 있다. First, the risk analysis module 103 uses the collected information to evaluate and store the value of the assets of the equipment in the customer network 800 and the DMZ 600 (S100). In other words, the asset value of the assets to be analyzed (network equipment such as routers and switches using IP, server systems such as web servers, DB servers, mail servers, network management systems (NMS), security equipment, etc.). Evaluate. At this time, the asset value may be differentiated internally by assigning weights according to role, importance, price, location, capacity, and the like.

예를 들면, 고객망(800)내의 메일서버(미도시)와 DNS서버(미도시)에 대한 자산가치를 평가한다면, 메일서버(미도시)는 보안사고 발생시 메일서비스에 대해서만 서비스가 중지되지만, DNS서버(미도시)는 보안사고 발생시 아예 인터넷 사용을 전 혀 할 수 없게 된다. 따라서 자산가치를 수치화할 경우 메일서버(미도시)보다 DNS서버(미도시)에게 상대적으로 높은 가중치를 부여한다.For example, if the asset value of the mail server (not shown) and the DNS server (not shown) in the customer network 800 is evaluated, the mail server (not shown) is stopped only for the mail service when a security incident occurs. DNS server (not shown) will not be able to use the Internet at all in the event of a security accident. Therefore, when the value of the asset is quantified, the weight is given to the DNS server (not shown) rather than the mail server (not shown).

그 후, 고객으로부터 위험도 평가 요청을 받으면, 취약성 분석 모듈(101)은 인터넷망(200), 라우터(300), 보안장비(400), 집선 스위치(500)를 통해 고객망(700) 또는 DMZ(600)을 대상으로 스캐닝하여 취약성 분석을 위한 정보를 수집한다(S200).Then, when receiving a risk assessment request from the customer, the vulnerability analysis module 101 is the customer network 700 or DMZ (through the Internet network 200, router 300, security equipment 400, aggregation switch 500) 600 to collect information for vulnerability analysis by scanning (S200).

이에, 취약성 분석 모듈(101)은 수집된 취약성 정보를 이용하여 취약성 레벨을 평가한다(S300). 즉, 취약성 분석 모듈(101)은 취약성 분석결과를 토대로 취약성 레벨을 평가하며, 한 장비에 해당하는 취약성들을 조합하여 취약성 레벨을 결정할 수 있다. 예를 들어, 특정서버의 OS에 보안패치가 제대로 실행되지 않아, 핑오브데쓰공격(ping of death attack)에 취약한 취약성을 가지고 있다면, 이는 65535bytes이상을 초과하는 핑(ping)패킷을 무작위로 해당서버에 보내는 경우 해당 서버가 다운(DOWN)되는 것을 의미하며, 취약성의 레벨이 높은 경우라고 볼 수 있다. 취약성 평가의 산정 방법은 아래 표 1과 같다.Accordingly, the vulnerability analysis module 101 evaluates the vulnerability level using the collected vulnerability information (S300). That is, the vulnerability analysis module 101 evaluates the vulnerability level based on the vulnerability analysis result, and may determine the vulnerability level by combining vulnerabilities corresponding to one device. For example, if you have a vulnerability that is vulnerable to a ping of death attack because the security patch does not run properly on a particular server's operating system, it randomly picks a ping packet that exceeds 65535 bytes. If you send it to the server, it means that the server is down, and the level of vulnerability is high. The method of calculating the vulnerability assessment is shown in Table 1 below.

자산번호Asset number 0000000000000000 자산명Asset Name A시스템A system 자산 IPAsset IP 10.10.10.1010.10.10.10 취약성정보Vulnerability Information 취약성 i (Vi) Vulnerability i (Vi) 취약성 j (Vj)Vulnerability j (Vj) 취약성 k (Vk)Vulnerability k (Vk) 의미meaning cmsd RPC 서비스 가동중임cmsd RPC service is running 시스템 계정취약성System Account Vulnerability 모든서버에서 Telnet접근 가능Telnet access from any server 취약성 레벨Vulnerability level 고(high)High 고(high)High 중(medium)Medium 취약성 평가 (Rv)Vulnerability Assessment (Rv)

Figure 112006071551773-PAT00001
Rv: result of total vulnerabilities assessment of an asset Vi,Vj,Vk: level of each vulnerability
Figure 112006071551773-PAT00001
Rv: result of total vulnerabilities assessment of an asset Vi, Vj, Vk: level of each vulnerability

상기 표 1에서는 자산 A 시스템에 대해 3가지(Vi ,Vj,Vk )의 결과를 연산하여 최종 취약성 평가(Rv)를 한 경우를 개시하고 있다.Table 1 discloses a case where the final vulnerability evaluation (Rv) is performed by calculating three (Vi, Vj, Vk) results for the asset A system.

이어서, 위협 분석 모듈(102)은 보안장비(400)를 통해 수신한 유해트래픽 탐지 및 차단 로그정보를 실시간으로 수집하고, 수집된 결과를 이용하여 고객망(800) 의 위협 레벨을 평가한다(S400). 이때, 보안장비(400)는 침입탐지 기능과 침입차단 기능을 갖춘 장비로 실시간으로 고객망(800)에 유출입되는 유해트래픽을 탐지 및 차단하고, 해당 로그정보를 위협 분석 모듈(102)로 전송한다. 여기서, 보안장비(400)에서 탐지된 위협로그정보는 공격자, 공격유형(DoS, backdoor, worm, virus, buffer overflow, cgi-vulnerability 등), 발생시각, 공격트래픽양, 공격패킷수, 타겟시스템, 공격강도 등을 포함하며, 인터넷을 경유하여 위협관리 모듈(102)로 전송된다. 이에, 위협 분석 모듈(102)은 전송받은 이벤트 로그정보를 토대로 위협의 레벨을 아래 표 2와 같이 평가할 수 있으며, 상기와 같이 산정된 위협레벨을 통해 정성적 또는 정량적인 결과값를 얻어낼 수 있다. Subsequently, the threat analysis module 102 collects harmful traffic detection and blocking log information received through the security device 400 in real time, and evaluates the threat level of the customer network 800 using the collected results (S400). ). At this time, the security equipment 400 detects and blocks harmful traffic flowing into and out of the customer network 800 in real time with equipment having an intrusion detection function and an intrusion blocking function, and transmits corresponding log information to the threat analysis module 102. . Here, the threat log information detected by the security device 400 includes an attacker, an attack type (DoS, backdoor, worm, virus, buffer overflow, cgi-vulnerability, etc.), occurrence time, attack traffic amount, attack packet number, target system, Attack intensity, etc., and is transmitted to the threat management module 102 via the Internet. Accordingly, the threat analysis module 102 may evaluate the threat level based on the received event log information as shown in Table 2 below, and may obtain a qualitative or quantitative result through the threat level calculated as described above.

T = f(severity, frequency, newness) T: 위협레벨 파라미터(threat assessment value) severity: 공격의 위험성, CERT(Cyber Emergency Response Team) 에서 객관적으로 평가한 위협레벨(상,중,하) frequency: 공격의 빈도, 빈도에 많은 공격일수록 위협레벨이 높음 newness: 새로 발생한 공격일수록 위협레벨이 높음 f: 위 세가지 요소(severity, frequency, newness)를 조합하여 위협레벨을 결정하는 함수  T = s (severity, frequency, newness) T: threat assessment value severity: risk of attack, threat level (up, medium, low) assessed objectively by Cyber Emergency Response Team (CERT) frequency: attack The higher the threat, the higher the threat level. The higher the threat level. Newness: The higher the threat level, the higher the threat level. F: A function that determines the threat level by combining the three factors (severity, frequency, and newness).

이때, 위협 분석 모듈(102)은 자산(고객망(800) 내의 장비 등)이 가진 모든 위협들을 종합적으로 산정하여 자산의 위협레벨을 결정한다. 상기 표 2에 의해 각 위협들의 위험도를 산정하고, 모든 위협들의 레벨을 조합하여 특정 자산에 대한 전체 위협 레벨을 아래 표 3와 같이 산정할 수 있다.At this time, the threat analysis module 102 determines the threat level of the asset by comprehensively calculating all the threats of the asset (equipment in the customer network 800, etc.). According to Table 2, the risk of each threat may be calculated, and the total threat level for a specific asset may be calculated as shown in Table 3 below by combining the levels of all threats.

자산번호Asset number 0000000000000000 자산명Asset Name A시스템A system 자산 IPAsset IP 10.10.10.1010.10.10.10 위협정보Threat information 위협 i (Ti) Threat i (Ti) 위협 j (Tj)Threat j (Tj) 위협 k (Tk)Threat k (Tk) 의미meaning targa2: TCP/IP 스택에 대한 취약성을 이용한 서비스거부공격(DoS) 임targa2: denial of service attack using a vulnerability in the TCP / IP stack CGI Bionet 백도어를 이용한 연결형태가 탐지되었음Connection type detected using CGI Bionet backdoor CodeRed.F(3) 바이러스CodeRed.F (3) virus 위협 레벨Threat level 고(high)High (medium)(medium) highhigh 위협 평가 (Rv)Threat Assessment (Rv)

Figure 112006071551773-PAT00002
Rt: result of total threats assessment of an asset Ti, Tj, Tk: level of each threat
Figure 112006071551773-PAT00002
Rt: result of total threats assessment of an asset Ti, Tj, Tk: level of each threat

상기 표 3에서와 같이, 자산 A시스템의 위협 평가는 상기 3가지(Ti ,Tj ,Tk) 결과를 연산하여 계산한 값이다.As shown in Table 3, the threat assessment of the asset A system is calculated by calculating the three (Ti, Tj, Tk) results.

그 후, 위험도 분석 모듈(103)는 상기 과정 S300, S400을 통해 평가된 취약성 레벨 및 위협 레벨 평가 정보를 이용하여 아래 표 4와 같은 알고리즘으로 고객망(800) 또는 DMZ(600)에 대한 위험도를 평가한다(S500).Thereafter, the risk analysis module 103 uses the vulnerability level and the threat level evaluation information evaluated through the processes S300 and S400 to calculate the risk level for the customer network 800 or the DMZ 600 using an algorithm as shown in Table 4 below. Evaluate (S500).

Figure 112006071551773-PAT00003
R: result of risk assessment Wi: asset value Rv: result of vulnerability assessment Rt: result of threat assessment
Figure 112006071551773-PAT00003
R: result of risk assessment Wi: asset value Rv: result of vulnerability assessment Rt: result of threat assessment

표 4에 따르면, 종합적인 위험평가 방법은 취약성 레벨과 위협레벨들을 연산하여 위험분석을 수행하고,그 결과는 정량적 또는 정성적으로 자산의 잠재적 위험 수치를 아래 표 5와 같이 산정할 수 있다.According to Table 4, the comprehensive risk assessment method calculates vulnerability levels and threat levels to perform risk analysis, and the result can be used to calculate the potential risk value of an asset quantitatively or qualitatively as shown in Table 5 below.

자산 AAsset A 자산 BAsset B 자산 CAsset C 자산 DAsset D 자산 평가 10: 중요도 높음 1: 중요도 낮음Asset Valuation 10: High Importance 1: Low Importance WaWa WbWb WcWc WdWd 취약성 평가Vulnerability Assessment Rv(a)Rv (a) Rv(b)Rv (b) Rv(c)Rv (c) Rv(d)Rv (d) 위협 평가Threat assessment Rt(a)Rt (a) Rt(b)Rt (b) Rt(c)Rt (c) Rt(d)Rt (d) 위험 분석 결과 R Risk Analysis Result R RaRa RbRb RcRc RdRd

표 5와 같은 자산에 대한 위험평가 결과를 통해 고객망(800) 내의 서버나 PC들(810)의 위험 수치를 어느정도는 객관적으로 평가하여 도 3과 같이 그 결과를 보고서로 작성하여 운영자에게 보고하고 위험수치가 높은 장비순으로 보안 솔루션 설치나 보안패치 작업을 권고할 수 있다. Objectively assess the risk level of the servers or PCs 810 in the customer network 800 through the risk assessment results for assets as shown in Table 5, and report the results to the operator as shown in FIG. We recommend that you install security solutions or patch patches in order of high risk.

다만, 취약성 분석결과가 자칫 불필요한 정보를 제공할 수 있기 때문에 실제로 중요한 정보를 제공할 수 있도록 정보의 정제(filtering)과정을 수행하는 것이 바람직하다. However, since the vulnerability analysis result can provide unnecessary information, it is desirable to perform the filtering process of information so that it can provide important information.

또한, 위협 로그의 경우에도 위협수준에 관계없이 방대한 로그정보를 생성함으로써 정보의 활용성을 떨어뜨리는 면을 감안하여 꼭 필요한 위협정보만을 선별하여 추출하는 것이 바람직하다. In addition, in the case of the threat log, it is preferable to select and extract only the essential threat information in consideration of the fact that the log information reduces the usefulness of the information by generating massive log information regardless of the threat level.

또한, 도 3과 같이 리포트된 결과를 사용자가 웹 접속을 통해 고객이 언제든지 확인할 수 있도록 하는 것이 바람직하다.In addition, it is desirable to allow the user to check the reported results as shown in FIG.

상술한 바와 같이, 본 발명은 기존의 획일적이고 일회성의 취약성 분석 및 위협관리서비스와는 달리 고객의 필요에 의해 취약성 레벨 및 위협레벨을 평가하고 제공함으로써, 고객이 손쉽게 자사망의 보안점검을 주기적으로 수행할 수 있고 서버나 PC등의 보안패치 수행여부를 정기적으로 확인할 수 있어 고객의 편의성을 증대시키는 효과가 있다.As described above, the present invention, unlike the existing uniform one-time vulnerability analysis and threat management service, by evaluating and providing the vulnerability level and the threat level according to the needs of the customer, the customer easily checks the security of the own network periodically. It can carry out the security patch of the server or PC can be checked on a regular basis to increase the convenience of the customer.

또한, 본 발명은 취약성 평가 및 위협평가의 결과를 조합하여 자산의 잠재된 위험평가를 실시함으로써, 그 결과를 이용하여 고객의 자산을 체계적이고 편리하게 관리할 수 있는 효과가 있다.In addition, the present invention combines the results of vulnerability assessment and threat assessment to conduct potential risk assessment of the asset, and thus, there is an effect of systematically and conveniently managing the customer's asset by using the result.

아울러 본 발명 바람직한 실시예는 예시의 목적을 위한 것으로, 당업자라면 첨부된 특허 청구범위의 기술적 사상과 범위를 통해 다양한 수정, 변경, 대체 및 부가가 가능할 것이며, 이러한 수정 변경 등은 이하의 특허 청구범위에 속하는 것으로 보아야 할 것이다.In addition, the preferred embodiment of the present invention for the purpose of illustration, those skilled in the art will be able to various modifications, changes, replacements and additions through the spirit and scope of the appended claims, such modifications and changes are the following claims Should be seen as belonging to.

Claims (17)

고객으로부터 요청을 받으면 해당 고객망의 취약성 정보를 수집하고 상기 취약성 정보를 이용하여 취약성 레벨을 평가하는 취약성 분석 모듈;A vulnerability analysis module that collects vulnerability information of a corresponding customer network and evaluates a vulnerability level using the vulnerability information when a request from a customer is received; 상기 고객망으로부터 유출입되는 유해트래픽의 탐지 및 차단을 통한 이벤트 로그 정보를 전송받아 위협 레벨을 평가하는 위협 분석 모듈; 및A threat analysis module for evaluating a threat level by receiving event log information through detection and blocking of harmful traffic flowing in and out of the customer network; And 고객망의 자산 가치를 평가하고, 상기 취약성 레벨 및 상기 위협 레벨 평가 결과와 상기 자산 가치 평가 결과를 이용하여 상기 고객망의 위험도를 분석하는 위험도 분석 모듈을 포함하여 구성함을 특징으로 하는 고객 요구형 위험 관리 시스템.A customer demand type comprising a risk analysis module for evaluating asset value of a customer network and analyzing the risk of the customer network using the vulnerability level and the threat level evaluation result and the asset value evaluation result. Risk management system. 제 1항에 있어서, 상기 취약성 분석 모듈은,The method of claim 1, wherein the vulnerability analysis module, DMZ에 대해 보안장비를 거치지 않고 인터넷망을 통해 직접 연결되어 그 취약성을 평가하는 것을 특징으로 하는 고객 요구형 위험 관리 시스템.A customer-specific risk management system, characterized in that the DMZ is directly connected through an internet network without evaluating security equipment and evaluating its vulnerability. 제 1항에 있어서, 상기 취약성 분석 모듈은,The method of claim 1, wherein the vulnerability analysis module, 방화벽을 구비하는 고객망에 대해, 취약성 분석 툴을 웹을 통해 다운로드 받도록 액티브X 형태로 제공하는 것을 특징으로 하는 고객 요구형 위험 관리 시스템.A customer-specific risk management system, which provides a vulnerability analysis tool in the form of ActiveX for downloading through the web for a customer network equipped with a firewall. 제 2항 또는 제 3항에 있어서, 상기 취약성 분석 모듈은,According to claim 2 or 3, wherein the vulnerability analysis module, 포트 스캐닝 및 어플리케이션 레벨(application level)의 취약성 점검을 통하여 각 장비의 OS 취약성, 개방된 포트, 어플리케이션(application) 취약성, 백도어(backdoor) 감염여부를 체크할 수 있고 결과에 대한 분석보고서를 제공하는 것을 특징으로 하는 고객 요구형 위험 관리 시스템.Through port scanning and application level vulnerability checking, it is possible to check the OS vulnerabilities, open ports, application vulnerabilities, and backdoor infections of each device, and provide an analysis report on the results. Customer demand risk management system. 제 1항에 있어서, 상기 위협 분석 모듈은,The method of claim 1, wherein the threat analysis module, 상기 고객망에 유출입되는 유해트래픽을 탐지 및 차단하는 보안장비로부터 수신한 실시간 로그정보(공격자, 공격유형, 공격건수, 발생시각, 타겟시스템 정보)를 이용하여 상기 고객망의 위협 레벨을 평가하는 것을 특징으로 하는 고객 요구형 위험 관리 시스템.Evaluating the threat level of the customer network using real-time log information (attack, attack type, attack count, occurrence time, target system information) received from security equipment that detects and blocks harmful traffic flowing into the customer network. Customer demand risk management system. 제 1항에 있어서, 상기 위험도 분석 모듈은,The method of claim 1, wherein the risk analysis module, 상기 고객이 상기 위험도 분석 결과를 웹상에서 확인할 수 있도록 제공하는 것을 특징으로 하는 고객 요구형 위험 관리 시스템.Customer-customized risk management system, characterized in that for providing the customer to check the risk analysis results on the web. 제 1항 또는 제 6항에 있어서, 상기 위험도 분석 모듈은,The method of claim 1 or 6, wherein the risk analysis module, 상기 위험도 분석을 수행하고, 그 결과에 대한 이력관리를 수행하는 것을 특징으로 하는 고객 요구형 위험 관리 시스템.Customer risk management system characterized in that for performing the risk analysis, the history management for the results. 제 1항 또는 제 6항에 있어서, 상기 위험도 분석 모듈은,The method of claim 1 or 6, wherein the risk analysis module, 상기 위험도 분석 결과에 따라, 고객에게 보안 솔류선 설치나 보안패치작업을 권고하는 것을 특징으로 하는 고객 요구형 위험 관리 시스템.According to the results of the risk analysis, customer-specific risk management system, characterized in that the customer recommended to install a security solution or security patch work. 고객망에 대한 자산 가치를 평가하여 저장하는 제 1 과정;A first step of evaluating and storing asset values for the customer network; 고객으로부터 위험도 평가 요청을 받으면, 상기 고객망에 대해 취약성 정보를 수집하고, 상기 취약성 정보를 이용하여 취약성 레벨을 평가하는 제 2 과정;A second step of, upon receiving a risk assessment request from a customer, collecting vulnerability information about the customer network and evaluating a vulnerability level using the vulnerability information; 보안장비로부터 상기 고객망으로 유출입되는 유해 트래픽의 탐지 및 차단을 통한 이벤트 로그 정보를 수신하여 위협 레벨을 평가하는 제 3 과정; 및A third step of evaluating a threat level by receiving event log information through detection and blocking of harmful traffic flowing into and out of the customer network from a security device; And 상기 취약성 레벨 및 위협 레벨 평가 결과와 상기 자산가치 평가 결과를 이용하여 상기 고객망의 위험도를 평가하는 제 4 과정을 포함함을 특징으로 하는 고객 요구형 위험 관리 방법.And a fourth process of evaluating the risk of the customer network using the vulnerability level and threat level evaluation result and the asset value evaluation result. 제 9항에 있어서,The method of claim 9, 상기 위험도 평가에 따른 보안 대책을 상기 고객에게 제공하는 제 5 과정을 더 포함하는 것을 특징으로 하는 고객 요구형 위험 관리 방법.And a fifth step of providing the customer with a security measure according to the risk assessment. 제 9항에 있어서, 상기 제 2 과정은,The method of claim 9, wherein the second process, DMZ(demilitarized zone)에 대해 보안장비를 거치지 않고 인터넷망을 통해 직접 연결되어 그 취약성을 평가하는 것을 특징으로 하는 고객 요구형 위험 관리 방법.A customer-specific risk management method characterized by directly assessing the vulnerability of the DMZ (demilitarized zone) through the Internet without going through security equipment. 제 9항에 있어서, 상기 제 2과정은,The method of claim 9, wherein the second process, 방화벽을 구비하는 고객망에 대해, 취약성 분석 툴을 웹을 통해 다운로드 받도록 액티브X(ActiveX) 형태로 제공하는 것을 특징으로 하는 고객 요구형 위험 관리 방법.A customer-specific risk management method for a customer network equipped with a firewall, the vulnerability analysis tool is provided in the form of ActiveX to download through the web. 제 9항에 있어서, 상기 제 2 과정은,The method of claim 9, wherein the second process, 포트 스캐닝 및 어플리케이션 레벨(application level)의 취약성 점검을 통하여 각 장비의 OS 취약성, 개방된 포트, 어플리케이션(application) 취약성, 백도어(backdoor) 감염여부를 체크할 수 있고 결과에 대한 분석보고서를 제공하는 것을 특징으로 하는 고객 요구형 위험 관리 방법.Through port scanning and application level vulnerability checking, it is possible to check the OS vulnerabilities, open ports, application vulnerabilities, and backdoor infections of each device, and provide an analysis report on the results. Featured customer risk management methods. 제 9항에 있어서, 상기 3과정은,The method of claim 9, wherein the three steps, 상기 고객망에 유출입되는 유해트래픽을 탐지 및 차단하는 보안장비로부터 수신한 실시간 로그정보(공격자, 공격유형, 공격건수, 발생시각, 타겟시스템 정보)를 이용하여 상기 고객망의 위협 레벨을 평가하는 것을 특징으로 하는 고객 요구형 위험 관리 방법.Evaluating the threat level of the customer network using real-time log information (attack, attack type, attack count, occurrence time, target system information) received from security equipment that detects and blocks harmful traffic flowing into the customer network. Featured customer risk management methods. 제 9항에 있어서, 상기 제 4과정은,The method of claim 9, wherein the fourth process, 상기 고객이 상기 위험도 분석 결과를 웹상에서 확인할 수 있도록 제공하는 것을 특징으로 하는 고객 요구형 위험 관리 방법.Customer-customized risk management method, characterized in that provided to the customer to check the risk analysis results on the web. 제 9항에 있어서, 상기 제 4과정은,The method of claim 9, wherein the fourth process, 상기 위험도 분석을 수행하고, 그 결과에 대한 이력관리를 수행하는 것을 특징으로 하는 고객 요구형 위험 관리 방법.And performing a risk analysis and performing a history management on the results. 제 9항에 있어서, 상기 제 5과정은,The method of claim 9, wherein the fifth process, 상기 위험도 분석 결과에 따라, 고객에게 보안 솔류선 설치나 보안패치작업을 권고하는 것을 특징으로 하는 고객 요구형 위험 관리 방법.According to the results of the risk analysis, customer-specific risk management method characterized in that the customer recommends the installation of a security solution or security patch work.
KR1020060095783A 2006-09-29 2006-09-29 System for managing risk of customer on-demand and method thereof KR101310487B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060095783A KR101310487B1 (en) 2006-09-29 2006-09-29 System for managing risk of customer on-demand and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060095783A KR101310487B1 (en) 2006-09-29 2006-09-29 System for managing risk of customer on-demand and method thereof

Publications (2)

Publication Number Publication Date
KR20080030130A true KR20080030130A (en) 2008-04-04
KR101310487B1 KR101310487B1 (en) 2013-09-24

Family

ID=39532329

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060095783A KR101310487B1 (en) 2006-09-29 2006-09-29 System for managing risk of customer on-demand and method thereof

Country Status (1)

Country Link
KR (1) KR101310487B1 (en)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101041997B1 (en) * 2009-09-11 2011-06-16 주식회사 엘림넷 System for counterplaning web firewall using conative detection?interception and method therefor
WO2011149773A3 (en) * 2010-05-25 2012-02-23 Hewlett-Packard Development Company, L.P. Security threat detection associated with security events and an actor category model
US9069954B2 (en) 2010-05-25 2015-06-30 Hewlett-Packard Development Company, L.P. Security threat detection associated with security events and an actor category model
CN106021252A (en) * 2015-03-31 2016-10-12 瞻博网络公司 Determining internet-based object information using public internet search
CN110147998A (en) * 2019-04-16 2019-08-20 深圳壹账通智能科技有限公司 Client's networking processing method, device, computer equipment and storage medium
CN114157493A (en) * 2021-12-06 2022-03-08 中国船级社 Industrial control system network security simulation test platform and computer equipment
US11412386B2 (en) 2020-12-30 2022-08-09 T-Mobile Usa, Inc. Cybersecurity system for inbound roaming in a wireless telecommunications network
US11641585B2 (en) 2020-12-30 2023-05-02 T-Mobile Usa, Inc. Cybersecurity system for outbound roaming in a wireless telecommunications network
US11683334B2 (en) 2020-12-30 2023-06-20 T-Mobile Usa, Inc. Cybersecurity system for services of interworking wireless telecommunications networks

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11431746B1 (en) 2021-01-21 2022-08-30 T-Mobile Usa, Inc. Cybersecurity system for common interface of service-based architecture of a wireless telecommunications network
US11546767B1 (en) 2021-01-21 2023-01-03 T-Mobile Usa, Inc. Cybersecurity system for edge protection of a wireless telecommunications network

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030094921A (en) * 2002-06-10 2003-12-18 주식회사데이콤 System and method for Security Information Management and Vulnerability Analysis
KR100977124B1 (en) * 2003-06-27 2010-08-23 주식회사 케이티 A customer network management service System and Method by monitoring traffic of the customer's network and controlling illegal or abnormal traffic
KR20060058186A (en) * 2004-11-24 2006-05-29 이형원 Information technology risk management system and method the same
KR100639997B1 (en) * 2004-12-14 2006-11-01 한국전자통신연구원 Method for evaluation of network security level of customer network and apparatus thereof

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101041997B1 (en) * 2009-09-11 2011-06-16 주식회사 엘림넷 System for counterplaning web firewall using conative detection?interception and method therefor
WO2011149773A3 (en) * 2010-05-25 2012-02-23 Hewlett-Packard Development Company, L.P. Security threat detection associated with security events and an actor category model
US9069954B2 (en) 2010-05-25 2015-06-30 Hewlett-Packard Development Company, L.P. Security threat detection associated with security events and an actor category model
CN106021252A (en) * 2015-03-31 2016-10-12 瞻博网络公司 Determining internet-based object information using public internet search
CN110147998A (en) * 2019-04-16 2019-08-20 深圳壹账通智能科技有限公司 Client's networking processing method, device, computer equipment and storage medium
US11412386B2 (en) 2020-12-30 2022-08-09 T-Mobile Usa, Inc. Cybersecurity system for inbound roaming in a wireless telecommunications network
US11641585B2 (en) 2020-12-30 2023-05-02 T-Mobile Usa, Inc. Cybersecurity system for outbound roaming in a wireless telecommunications network
US11683334B2 (en) 2020-12-30 2023-06-20 T-Mobile Usa, Inc. Cybersecurity system for services of interworking wireless telecommunications networks
US12113825B2 (en) 2020-12-30 2024-10-08 T-Mobile Usa, Inc. Cybersecurity system for services of interworking wireless telecommunications networks
CN114157493A (en) * 2021-12-06 2022-03-08 中国船级社 Industrial control system network security simulation test platform and computer equipment

Also Published As

Publication number Publication date
KR101310487B1 (en) 2013-09-24

Similar Documents

Publication Publication Date Title
KR101310487B1 (en) System for managing risk of customer on-demand and method thereof
US10616258B2 (en) Security information and event management
US10230761B1 (en) Method and system for detecting network compromise
KR100942456B1 (en) Method for detecting and protecting ddos attack by using cloud computing and server thereof
CN108289088B (en) Abnormal flow detection system and method based on business model
AU2004282937B2 (en) Policy-based network security management
US8087085B2 (en) Wireless intrusion prevention system and method
US7752665B1 (en) Detecting probes and scans over high-bandwidth, long-term, incomplete network traffic information using limited memory
US20030084349A1 (en) Early warning system for network attacks
US20030188189A1 (en) Multi-level and multi-platform intrusion detection and response system
CN107809433B (en) Asset management method and device
US20100020700A1 (en) Global Network Monitoring
US20030037141A1 (en) Heuristic profiler software features
US7917957B2 (en) Method and system for counting new destination addresses
US20200274902A1 (en) Methods, systems, and computer readable media for dynamically remediating a security system entity
Alqahtani et al. An intelligent intrusion detection system for cloud computing (SIDSCC)
CN110417709B (en) Early warning method for Lesso software attack, server and computer readable storage medium
KR100625096B1 (en) Method and system of predicting and alarming based on correlation analysis between traffic change amount and hacking threat rate
KR20220081145A (en) AI-based mysterious symptom intrusion detection and system
CN112787985B (en) Vulnerability processing method, management equipment and gateway equipment
KR100607110B1 (en) Security information management and vulnerability analysis system
Jonker et al. DDoS Mitigation: A measurement-based approach
Faizal et al. Threshold verification technique for network intrusion detection system
JP4161989B2 (en) Network monitoring system
Brignoli et al. Combining exposure indicators and predictive analytics for threats detection in real industrial IoT sensor networks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160906

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170904

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180903

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190807

Year of fee payment: 7