스마트그리드 전력망의 NSM 기반 보안관리시스템 설계 및 구현

장범환 (사)디지털산업정보학회 2013 디지털산업정보학회논문지 Vol.9 No.3

In this paper, we designed the security management system based on IEC 62351-7 in the Smart Grid environment. The scope of IEC 62351-7 focuses on network and system management (NSM) of the information infrastructure as well as end-to-end security through abstract NSM data objects for the power system operational environment. However, it does not exist that security management system based on IEC 62351-7 manages the security of the power system in the Smart Grid environment, because power equipment or SNMP agents providing NSM data do not exist yet. Therefore, we implemented the security management system to manage the information infrastructure as reliably as the power system infrastructure is managed. We expect that this system can perform the security management of IEC 61850 based digital substation and can be a prototype of the security system for the Smart Grid in the future.

트래픽 세션의 포트 역할을 이용한 네트워크 공격 시각화

장범환,Chang, Beomhwan 디지털산업정보학회 2015 디지털산업정보학회논문지 Vol.11 No.4

In this paper, we propose a simple and useful method using a port role to visualize the network attacks. The port role defines the behavior of the port from the source and destination port number of network session. Based on the port role, the port provides the brief security features of each node as an attacker, a victim, a server, and a normal host. We have automatically classified and identified the type of node based on the port role and security features. We detected and visualized the network attacks using these features of the node by the port role. In addition, we are intended to solve the problems with existing visualization technologies which are the reflection problem caused an undirected network session and the problem caused decreasing of distinct appearance when occurs a large amount of the sessions. The proposed method monitors anomalies occurring in an entire network and displays detailed information of the attacker, victim, server, and hosts. In addition, by providing a categorized analysis of network attacks, this method can more precisely detect and distinguish them from normal sessions.

멀티 도메인 네트워크 토폴로지 시각화 연구

장범환 한국융합보안학회 2022 융합보안 논문지 Vol.22 No.4

In general, organizations operating multi-domain networks find it difficult to represent and manage multiple domain networks on a single screen space. Instead, most of them are managed with multiple screens visualizing network topology by domain or partitioning one screen area into multiple domains. We propose an efficient method to visualize the topology using only minimal connection information between domain-agnostic nodes in this work. This method visualizes the topology by utilizing centrality indices representing the influence of nodes in the network. Furthermore, the method dynamically segments the entire node's display area using virtual Root nodes to auto-separate domains and weights of child nodes and placing nodes in 3D space. Thus, although it is a straightforward method, the multi-domain network topology can be visualized with only minimal connection information between nodes. 도메인이 여러 개로 구성된 멀티 네트워크를 운영하는 조직에서는 단일 화면 상에 다수의 네트워크 토폴로지를 시각화하여 전체 노드들과 링크들을 감시할 수 있는 기능이 필요한데, 도메인간의 연결점이 없는 토폴로지를 단일 화면 상에 표시하는 것은 간단하지가 않다. 게다가, 다수의 네트워크 형상들을 단일 화면 상에 실제와 같은 물리적 모습으로 표시하는 것은 어렵기 때문에, 멀티 도메인 네트워크를 하나의 화면을 통해 관리하는데는 어려움이 있다. 본 연구에서는 멀티 도메인 환경에서 노드간의 최소 연결 정보만을 이용하여 토폴로지를 시각화하는 효율적인 방법을 제안한다. 이 방법은 네트워크를 구성하는 노드들의 중심성 지수를 활용하여 도메인별 중심 노드를 찾고, 자식 노드들과의 연결 정보를 재귀적으로 탐색하여 토폴로지를 생성한다. 화면 상의 도메인별 토폴로지 표시 영역은 자식 노드들의 가중치의 합으로 계산 및 동적 분할되고, 가상의 Root 노드를 활용하여 3D 공간 상에 전체 노드들을 배치함으로써 멀티 도메인 토폴로지를 시각화한다. 이 방법은 노드간의 최소 연결 정보만을 이용하는 단순한 방법이지만, 멀티 도메인 네트워크의 물리적 형상을 유지하면서 하나의 화면에 표시할 수 있는 효율적인 토폴로지 시각화 방법이다.

네트워크 보안 상황인지 기술

장범환,나중찬,장종수 한국정보과학회 정보통신 소사이어티 2005 정보통신 기술 Vol.19 No.2

네트워크 보안 상황인지 기층이란 현재 네트워크에서 보안과 관련하여 무슨 일이 발생하고 있는 지를 관리자에게 인지시켜 주는 기술이다. 이는 침입탐지시스템이나 방화벽에서 수행하는 잠재적인 공격자의 패킷을 필터링하거나 보고하는 것과는 달리 현재 네트워크에서 침입 또는 공격 상황이 발생하고 있는 지를 알려주는 것에 초점을 맞춘다. 네트워크 보안 상황인지 기술에는 데이터 선정 및 수집, 특성 인자 추출, 연관성 분석, 데이터마이닝, 패턴분석, 이벤트 시각화 룸과 같이 매우 다양한 기술들이 있지만 본 고에서는 관리자에게 보안상황을 가장 잘 인지시킬 수 있는 시각화 기술에 대해 살펴보고자 한다.

멀티 회전축 및 방사축 시각화 인터페이스를 이용한 시계열 보안이벤트의 감시 및 추적

장범환 한국융합보안학회 2018 융합보안 논문지 Vol.18 No.5

In this paper, we want to solve the problems that users want to search the progress of attack, continuity of attack, ass ociation between attackers and victims, blocking priority and countermeasures by using visualization interface with multi-r otational axis and radial axis structure. It is possible to effectively monitor and track security events by arranging a time series event based on a multi-rotational axis structured by an event generation order, a subject of an event, an event typ e, and an emission axis, which is an objective time indicating progress of individual events. The proposed interface is a pr actical visualization interface that can apply attack blocking and defense measures by providing the progress and progress of the whole attack, the details and continuity of individual attacks, and the relationship between attacker and victim in on e screen. 본 논문에서는 사용자들이 탐색하고 싶은 공격의 진행경과, 공격의 연속성, 공격과 피해간의 연관관계, 차단 우선순위와 방 어 대책 등의 문제들을 멀티 회전축과 방사축 구조를 갖는 시각화 인터페이스를 이용하여 해결하고자 한다. 이벤트의 발생 순 서, 이벤트의 주체, 이벤트의 종류로 구조화된 멀티 회전축과 개별 이벤트 주체들의 진행경과를 나타내는 객관적 시간인 방사 축을 기반으로 시계열 이벤트를 배치함으로써 보안이벤트를 효과적으로 감시 및 추적할 수 있게 한다. 제안하는 시각화 인터 페이스는 전체 공격의 추이와 진행상황, 개별 공격들의 세부 내용과 연속성, 공격자와 피해자간의 연관관계 등을 종합적으로 제공하여 공격 차단 및 방어 대책이 적용가능한 실용적인 시각화 인터페이스이다.

네트워크 공격 추이 및 공격 연관 정보 시각화

장범환 한국융합보안학회 2017 융합보안 논문지 Vol.17 No.5

보안경보 이벤트를 이용한 네트워크 보안상황 시각화 기술은 보안 장비들에서 발생하는 대량의 보안경보 이벤트들을 효율적으로 시각화하여 관리자에게 네트워크 내의 보안상황과 정보를 직관적으로 전달하는 기술이다. 하지만, 기존 대부분의 시각화 방법들은 시간 흐름에 중첩하여 이벤트를 표시하거나 또는 빈도수를 활용한 상위 개체 분석이 대부분이기 때문에 공격의 추이, 발생한 시점, 공격의 연속성, 그리고 보고된 공격 정보들 간의 연관 관계를 살펴보기 어려웠다. 본 논문에서는 시간 흐름에 따라 이벤트들을 나선형으로 배치하고 발생 시간들과 공격 유형을 함께 표시함으로써, 전체 공격의 추이와 개별 공격들의 연속성 및 지속성을 직관적으로 살펴 볼 수 있다. 또한 전체 공격자와 피해자간의 연관관계를 하나의 화면을 통해 제공함으로써 전체 공격상황 뿐만 아니라 공격 유형과 공격 지점 등을 종합적으로 인지할 수 있다. Network security visualization technique using security alerts provide the administrator with intuitive network security situation by efficiently visualizing a large number of security alerts occurring from the security devices. However, most of these visualization techniques represent events using overlap the timelines of the alerts or Top-N analysis by their frequencies resulting in failing to provide information such as the attack trend, the relationship between attacks, the point of occurrence of attack, and the continuity of the attack. In this paper, we propose an effective visualization technique which intuitively explains the transition of the whole attack and the continuity of individual attacks by arranging the events spirally according to timeline and marking occurrence point and attack type. Furthermore, the relationship between attackers and victims is provided through a single screen view, so that it is possible to comprehensively monitor not only the entire attack situation but also attack type and attack point.

시계열 방사축과 원통좌표계를 이용한네트워크 트래픽 공격 시각화

장범환,최윤성 한국융합학회 2019 한국융합학회논문지 Vol.10 No.12

Network attack analysis and visualization methods using network traffic session data detect network anomalies by visualizing the sender's and receiver's IP addresses and the relationship between them. The traffic flow is a critical feature in detecting anomalies, but simply visualizing the source and destination IP addresses symmetrically from up-down or left-right would become a problematic factor for the analysis. Also, there is a risk of losing timely security situation when designing a visualization interface without considering the temporal characteristics of time-series traffic sessions. In this paper, we propose a visualization interface and analysis method that visualizes time-series traffic data by using the radial axis, divide IP addresses into network and host portions which then projects on the cylindrical coordinate system that could effectively monitor network attacks. The proposed method has the advantage of intuitively recognizing network attacks and identifying attack activity over time. 네트워크 트래픽 세션 데이터를 이용한 공격 분석 및 시각화 방법들은 세션 데이터 내의 송신지 및 수신지 IP주소 및 연결관계를 시각화하여 네트워크 이상 현상들을 감시한다. 트래픽의 송수신 방향은 이상 현상을 탐지하는데 있어서 매우 중요한 특징이지만, 단순히 송신지와 수신지 IP주소를 좌ㆍ우 또는 상ㆍ하 대칭적으로 시각화하는 것은 분석을 난해하게 만드는 요소가 된다. 또한, 시계열적인 트래픽 세션들의 시간 특성을 고려하지 않고 시각화 인터페이스를 설계할 경우에는 시간별 보안 상황 정보가 손실되는 위험을 감수해야 한다. 본 논문에서는 방사축을 이용하여 시계열 트래픽 데이터를 시각화하고 IP주소를 네트워크 부분과 호스트 부분으로 분할 및 원통좌표계에 표출시켜 효과적으로 네트워크 공격을 감시할 수 있는 시각화 인터페이스와 분석 방법을 제안하고자 한다. 제안하는 방법은 네트워크 공격을 직관적으로 인지하고 공격 활동을 시간흐름에 따라 파악할 수 있는 장점을 가진다.

노드 중심성을 이용한 효율적 네트워크 토폴로지 시각화 연구

장범환,류제민,권구형 한국융합보안학회 2021 융합보안 논문지 Vol.21 No.2

그래프 시각화 이론에 근간을 둔 네트워크 토폴로지 시각화는 복잡한 네트워크의 전체 구조와 노드간의 상호작용을 보다 이해하기 쉽게 만든다. 네트워크 토폴로지를 시각화하는 도구는 과거부터 많이 개발되었지만, 일정 수준의 기능을 갖춘 도구 들은 도구마다 고유한 네트워크 구성 정보(노드의 식별자, 종류, 속성, 연결된 노드 등)를 입력으로 요구하기 때문에 범용적으 로 사용하기 어렵다. 반면에 최소한의 네트워크 구성 정보인 노드간의 연결만을 사용하는 도구들은 네트워크의 실제 연결 형 태를 표시하는 기능이 부족하다. 본 논문에서는 네트워크 노드간의 연결 정보만을 이용하여 토폴로지를 시각화하는 효율적인 방법을 제안한다. 이 방법은 네트워크에서 노드의 영향력을 나타내는 중심성 지수를 활용하여 중심노드를 찾고, 자식노드의 가중치를 이용하여 전체 노드들의 표시 영역을 동적 분할한 후 3D 공간 상에 노드들을 배치함으로써 토폴로지를 시각화한다. 매우 간단한 방법이지만 노드간의 연결 정보만으로 실제 네트워크 연결 형태를 시각화할 수 있다. Network topology visualization has been studied a lot since the past and developed with many tools. The network topology has strength in understanding the overall structure of a network physically and is useful for understanding data flow between nodes logically. Although there are existing tools, not many can be utilized efficiently while using the general network node data structure and express the topology similar to the actual network structure. In this paper, we propose an efficient method to visualize topology using only connection information of network nodes. The method finds the central node by using the centrality, the influence of nodes in the network, and visualizes the topology by dynamically segmenting all nodes and placing network nodes in 3D space using the weight of the child node. It is a straightforward method, yet it effectively visualizes in the form of an actual network structure.

플로우 시각화 기반의 네트워크 보안 상황 감시

장범환 한국융합보안학회 2016 융합보안 논문지 Vol.16 No.5

본 논문은 플로우 시각화 기반의 네트워크 보안 상황 감시 방법인 VisFlow를 제안하며, 기존 트래픽 플로우 시각화기술의 단점인 대량 트래픽 발생 시의 직관성 상실 문제, 대칭적 주소 공간에 의한 반사현상 문제, 종단간 연결 의미의상실 문제를 해결하고자 한다. VisFlow는 단순하고 효율적인 보안 시각화 인터페이스로써 플로우 시각화 기술을 활용하여 개별적인 트래픽 데이터들에서는 볼 수 없었던 다양한 네트워크 현상들을 패턴으로 형상화하고 관리 네트워크 내의 보안 상황을 실시간으로 분석 및 감시하는 방법이다. 트래픽 플로우의 포트 역할 분석 방법을 이용하여 노드 유형과중요 정보를 식별 분류하고, 분류된 정보는 중요도에 따라 2D/3D 공간 상에 단순화 및 강조하여 표시함으로써 직관성과 실용성을 높인다. 또한, IP주소값에 기반한 비대칭적 노드 배치를 통해 반사현상 문제를 해결하고 노드간의 연결선을 활용하여 종단간의 세션 의미를 유지함으로써 정보성은 높인다. 관리자는 VisFlow를 통해 방대한 트래픽 데이터를쉽게 탐색하고 전체 네트워크 상황을 직관적으로 파악함으로써 네트워크 보안 상황을 효과적으로 감시할 수 있다. In this paper we propose a new method of security visualization, VisFlow, using traffic flows to solve theproblems of existing traffic flows based visualization techniques that were a loss of end-to-end semantics ofcommunication, reflection problem by symmetrical address coordinates space, and intuitive loss problem in mass oftraffic. VisFlow, a simple and effective security visualization interface, can do a real-time analysis and monitoringthe situation in the managed network with visualizing a variety of network behavior not seen in the individualtraffic data that can be shaped into patterns. This is a way to increase the intuitiveness and usability by identifyingthe role of nodes and by visualizing the highlighted or simplified information based on their importance in 2D/3Dspace. In addition, it monitor the network security situation as a way to increase the informational effectively usingthe asymmetrical connecting line based on IP addresses between pairs of nodes. Administrator can do a real-timeanalysis and monitoring the situation in the managed network using VisFlow, it makes to effectively investigate themassive traffic data and is easy to intuitively understand the entire network situation.

액티브 네트워크에서의 연합을 통한 보안 관리

장범환(Beom-Hwan Chang),김동수(Dong-Su Kim),권윤주(Yoon-Ju Kwon),남택용(Taek-Yong Nam),정태명(Tai-Myoung Chung) 한국정보과학회 2003 정보과학회논문지 : 정보통신 Vol.30 No.1

인터넷은 개방 프로토콜의 영향으로 빠르게 성장하여 글로벌 네트워크 환경으로 진화하였지만, 많은 위협들로부터 자산을 보호해야하는 문제를 초래하게 되었다. 정보보호에 있어서, 조직 내 전체 보안시스템들을 완전 가동하여 사고 발생 이전에 침입을 차단하는 것은 최선책이지만, 사고 발생 이전 또는 새롭게 개발된 공격들을 차단하기는 대단히 어렵다. 보안연합은 신뢰할 수 있는 보안영역들간의 신속하고 정확한 보안 정보 교환과 긴밀한 상호 협력을 통해 잠재적인 공격들을 사전에 준비하여 대응할 수 있으며 새로운 보호 기능들을 능동적으로 갱신하여 보다 강력한 보안 기능과 신속하게 대응할 수 있는 구조이다. The Internet has evolved into the global computer network due to the openness of its protocol, but such evolution brings about new risks and threats. To protect computer networks safely, it is the best way that preventing an attacker from intruding beforehand. However, to provision against all attacks causes the degradation of network performance as well as to prevent unknown attacks is very hard. Secure Combination, the framework which establishes a mutual collaboration and cooperation between the trusted zones, could protect systems from the potential attacks. This framework can predict attacks by exchanging security information and cooperating with each zone. It is a dynamic and powerful security architecture that rapidly enables updating security policy and deploying response modules.