KR101239401B1 - 보안 시스템의 로그 분석 시스템 및 방법 - Google Patents
보안 시스템의 로그 분석 시스템 및 방법 Download PDFInfo
- Publication number
- KR101239401B1 KR101239401B1 KR1020120110947A KR20120110947A KR101239401B1 KR 101239401 B1 KR101239401 B1 KR 101239401B1 KR 1020120110947 A KR1020120110947 A KR 1020120110947A KR 20120110947 A KR20120110947 A KR 20120110947A KR 101239401 B1 KR101239401 B1 KR 101239401B1
- Authority
- KR
- South Korea
- Prior art keywords
- log
- attack
- rule
- log information
- text
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Mathematical Physics (AREA)
- Debugging And Monitoring (AREA)
Abstract
일반 시스템들간의 통신 내용에 대해 감시하는 보안시스템이 소정의 룰에 따라 생성하여 로그 데이터베이스에 저장한 로그를 분석하는 보안 시스템 및 그의 로그 분석 방법이 개시된다. 로그 분석부가 상기 로그 데이터베이스에 저장된 상기 로그정보에서 공격내용이 존재하는 로그정보가 있는지 판단하고, 공격내용이 존재하는 로그정보가 있는 경우, 공격명별로 상기 로그정보를 취합한다. 그리고 공격명별로 취합된 로그정보의 공격 내용 데이터가 웹요청 기반인지 판단하고, 공격 내용 데이터가 웹요청 기반이면, HTTP 지시자 기준으로 텍스트 정규화를 실시한다. HTTP 지시자 기준으로 텍스트 정규화를 실시되고 나서, 룰패턴 기준 텍스트 정규화를 한다. 이렇게 함으로써, 본 발명의 실시예에서는 해킹 공격이 발생해도 적시에 이를 운영자나 로그 분석자가 인지하도록 보안시스템 로그 분석 방법을 개선하여 분석량을 늘리고, 그 분석의 정확도를 높이며, 이를 통해 향후 룰 정확도를 개선할 수 있는 정량적 근거를 마련할 수 있다.
Description
본 발명은 보안시스템에 관한 것으로 특히, 보안 시스템의 로그 분석 시스템 및 방법에 관한 것이다.
일반적으로 기업, 관공서 등에서는 통상적으로 내부에 설치된 정보 시스템 또는 컴퓨터 등에 중요정보를 저장하고 있으며, 외부 또는 내부의 사용자들이 이러한 정보를 이용하기 위하여 접근하게 된다.
그런데 이러한 중요 정보는 보안상 중요하므로 기업이나 관공서 등에서 보안 시스템을 사용하여 모니터링을 하고 있다.
한편, 옥션, 현대 캐피탈, SK커뮤니케이션즈, 넥슨, EBS 등 다양한 회사들의 해킹 공격에 의한 정보유출 사고는 점점 증가하고 있으며, 이들 사고의 공통점은 모두 침입탐지나 침입방지, 웹방화벽 등의 보안시스템을 사용하고 있음에도 해킹 공격을 적시에 인지하지 못했다는 점이다.
보안시스템은 해킹 공격이나 의심스러운 행위를 의미하는 특정 패턴을 사전에 룰로 정의한 뒤, 이 룰 패턴과 트래픽 패턴을 비교하여 동일할 경우, 보안시스템의 성격에 따라 탐지 또는 차단 처리와 함께 로그를 발생시킨다.
그러나 공격과 정상 트래픽이 모두 동일한 범위의 패턴(알파벳 등의 문자나 숫자 등의 기호)으로 표현되는 한계 때문에 전체 의미가 다름에도 특정 패턴이 우연히 일치하여 부정확한 로그가 발생하게 된다.
이런 배경 때문에 발생한 로그의 해킹 진위를 확인하기 위해서는 로그의 구성 요소인 공격명과 공격 내용의 1:1 확인 작업이 필요한데, 이 작업에는 인간의 판단력이 필요한 관계로 로그가 대량 발생할 경우 인력 부족으로 인해 모든 로그를 검사하지 못하게 되며, 앞서 열거한 사고 사례처럼 해킹 공격이 발생해도 적시에 이를 운영자나 로그 분석자가 인지 및 차단하지 못하는 사례가 발생하게 되는 것이다.
참고로 룰의 유형은 일반적으로 아래 표 1과 같이 분류되며, 룰 개수는 보안시스템 제조 회사별로 다르지만 일반적으로 1,000 ~ 3,000개 사이이다.
본 발명이 해결하고자 하는 과제는 종래의 문제점을 해결하고자 하는 것으로, 해킹 공격이 발생해도 적시에 이를 운영자나 로그 분석자가 인지하도록 보안시스템 로그 분석 방법을 개선하여 분석량을 늘리고, 그 분석의 정확도를 높이며, 이를 통해 향후 룰 정확도를 개선할 수 있는 정량적 근거를 마련하는 보안 시스템의 로그 분석 시스템 및 방법을 제공하는 것이다.
이러한 과제를 해결하기 위한 본 발명의 특징에 따른 로그 분석 시스템은,
로그 정보를 저장하는 로그 데이터베이스;
외부의 일반 시스템들간의 통신 내용에 대해 감시하며, 보안에 관한 소정의 룰에 따라 상기 로그 정보를 생성하여 상기 로그 데이터베이스에 저장하는 보안 시스템;
상기 로그 데이터베이스에 저장된 상기 로그정보에서 공격내용이 존재하는 로그정보를 수집하여 공격명별로 취합한 후, 공격 내용 데이터가 웹 요청 기반인 경우 HTTP 지시자 기준으로 텍스트 정규화를 실시하고 나서, 룰패턴 기준 텍스트 정규화를 하는 로그 분석부;
운영자의 요청에 따라 상기 로그 분석부에서 정규화된 로그정보를 표시하는 로그 화면부를 포함한다.
상기 로그 분석부는 공격내용 데이터가 웹 요청 기반이 아닌 경우, 룰패턴 기준 텍스트 정규화를 하는 것을 특징으로 한다.
상기 로그 분석부는,
상기 로그 데이터베이스에 저장된 상기 로그정보에서 공격내용이 존재하는 로그정보를 수집하여 공격명별로 취합하는 로그 수집부;
공격 내용 데이터가 웹 요청 기반인 경우 HTTP 지시자 기준으로 텍스트 정규화를 실시하는 HTTP 지시자 기준 텍스트 정규화 처리부;
공격내용 데이터가 웹 요청 기반이 아닌 경우 또는 HTTP 지시자 기준으로 텍스트 정규화가 된 공격 내용 데이터의 경우에 룰패턴 기준으로 텍스트 정규화를 하는 룰 패턴 기준 텍스트 정규화 처리부를 포함한다.
이러한 과제를 해결하기 위한 본 발명의 특징에 따른 보안 시스템의 로그 분석 시스템은,
보안시스템이 소정의 룰에 따라 생성하여 로그 데이터베이스에 저장한 로그를 분석하는 보안 시스템의 로그 분석 시스템으로서,
상기 로그 데이터베이스에 저장된 상기 로그정보에서 공격내용이 존재하는 로그정보를 수집하여 공격명별로 취합한 후, 공격 내용 데이터가 웹 요청 기반인 경우 HTTP 지시자 기준으로 텍스트 정규화를 실시하고 나서, 룰패턴 기준 텍스트 정규화를 하는 로그 분석부;
운영자의 요청에 따라 상기 로그 분석부에서 정규화된 로그정보를 표시하는 로그 화면부를 포함한다.
이러한 과제를 해결하기 위한 본 발명의 특징에 따른 보안 시스템의 로그 분석 방법은,
일반 시스템들간의 통신 내용에 대해 감시하는 보안시스템이 소정의 룰에 따라 생성하여 로그 데이터베이스에 저장한 로그를 분석하는 보안 시스템의 로그 분석 방법으로서,
로그 분석부가 상기 로그 데이터베이스에 저장된 상기 로그정보에서 공격내용이 존재하는 로그정보가 있는지 판단하는 단계;
공격내용이 존재하는 로그정보가 있는 경우, 공격명별로 상기 로그정보를 취합하는 단계;
공격명별로 취합된 로그정보의 공격 내용 데이터가 웹요청 기반인지 판단하는 단계;
공격 내용 데이터가 웹요청 기반이면, HTTP 지시자 기준으로 텍스트 정규화를 실시하는 단계;
HTTP 지시자 기준으로 텍스트 정규화를 실시되고 나서, 룰패턴 기준 텍스트 정규화를 하는 단계를 포함한다.
상기 방법은,
운영자의 요청에 따라 로그화면부가 상기 로그 분석부에서 정규화된 로그정보를 표시하는 단계를 더 포함한다.
상기 방법은,
로그 분석부가 공격내용 데이터가 웹 요청 기반이 아닌 경우, 룰패턴 기준 텍스트 정규화를 하는 단계를 더 포함한다.
상기 공격 내용 데이터가 웹요청 기반이면, HTTP 지시자 기준으로 텍스트 정규화를 실시하는 단계에서,
상기 HTTP 지시자 기준으로 공격 내용 데이터가 URI, User-Agent, Referer, Host로 정규화되는 것을 특징으로 한다.
본 발명의 실시예에서는 해킹 공격이 발생해도 적시에 이를 운영자나 로그 분석자가 인지하도록 보안시스템 로그 분석 방법을 개선하여 분석량을 늘리고, 그 분석의 정확도를 높이며, 이를 통해 향후 룰 정확도를 개선할 수 있는 정량적 근거를 마련하는 보안 시스템의 로그 분석 시스템 및 방법을 제공할 수 있다.
도 1은 본 발명의 실시예에 따른 로그 분석 시스템의 구성도이다.
도 2는 보안시스템 로그의 구조와 그에 대응하는 네트워크 패킷의 구조도이다.
도 3은 본 발명의 실시 예에 따른 로그 분석 방법의 데이터 처리 흐름도이다.
도 4는 보안시스템 로그의 공격명과 공격 내용의 1:1 구조 개념도이다.
도 5는 보안시스템 로그의 공격명과 공격 내용의 1:N 구조 개념도이다.
도 6은 텍스트 정규화 전 공격 내용 텍스트의 개념도이다.
도 7은 텍스트 정규화 후 공격 내용 텍스트의 개념도이다.
도 8은 실시 예를 통한 공격명과 공격 내용의 1:N 구성도이다.
도 9는 실시 예를 통한 HTTP 지시자 기준의 공격 내용 텍스트 정규화 예시도이다.
도 10은 실시 예를 통한 HTTP 지시자 및 공격 패턴 기준의 최종 텍스트 정규화 예시도이다.
도 11은 웹요청 과정에서 발생하지 않은 로그에 대한 공격명과 공격 내용의 1:N 구성도이다.
도 12는 웹요청 과정에서 발생하지 않은 로그에 대한 공격 패턴 기준의 텍스트 정규화 예시도이다.
도 2는 보안시스템 로그의 구조와 그에 대응하는 네트워크 패킷의 구조도이다.
도 3은 본 발명의 실시 예에 따른 로그 분석 방법의 데이터 처리 흐름도이다.
도 4는 보안시스템 로그의 공격명과 공격 내용의 1:1 구조 개념도이다.
도 5는 보안시스템 로그의 공격명과 공격 내용의 1:N 구조 개념도이다.
도 6은 텍스트 정규화 전 공격 내용 텍스트의 개념도이다.
도 7은 텍스트 정규화 후 공격 내용 텍스트의 개념도이다.
도 8은 실시 예를 통한 공격명과 공격 내용의 1:N 구성도이다.
도 9는 실시 예를 통한 HTTP 지시자 기준의 공격 내용 텍스트 정규화 예시도이다.
도 10은 실시 예를 통한 HTTP 지시자 및 공격 패턴 기준의 최종 텍스트 정규화 예시도이다.
도 11은 웹요청 과정에서 발생하지 않은 로그에 대한 공격명과 공격 내용의 1:N 구성도이다.
도 12는 웹요청 과정에서 발생하지 않은 로그에 대한 공격 패턴 기준의 텍스트 정규화 예시도이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
도 1은 본 발명의 실시예에 따른 로그 분석 시스템의 구성도이다.
도 1을 참조하면, 본 발명의 실시예에 따른 로그 분석 시스템은,
로그 데이터베이스(4)는 로그 정보를 저장한다.
보안 시스템(3)은 외부의 일반 시스템(1)들간의 통신 내용에 대해 감시하며, 보안에 관한 소정의 룰에 따라 상기 로그 정보를 생성하여 상기 로그 데이터베이스에 저장한다.
로그 분석부(6)는 상기 로그 데이터베이스(4)에 저장된 상기 로그정보에서 공격내용이 존재하는 로그정보를 수집하여 공격명별로 취합한 후, 공격 내용 데이터가 웹 요청 기반인 경우 HTTP 지시자 기준으로 텍스트 정규화를 실시하고 나서, 룰패턴 기준 텍스트 정규화를 한다. 상기 로그 분석부(6)는 공격내용 데이터가 웹 요청 기반이 아닌 경우, 룰패턴 기준 텍스트 정규화를 한다.
상기 로그 분석부(6)는, 상기 로그 데이터베이스(4)에 저장된 상기 로그정보에서 공격내용이 존재하는 로그정보를 수집하여 공격명별로 취합하는 로그 수집부(61); 공격 내용 데이터가 웹 요청 기반인 경우 HTTP 지시자 기준으로 텍스트 정규화를 실시하는 HTTP 지시자 기준 텍스트 정규화 처리부(62); 공격내용 데이터가 웹 요청 기반이 아닌 경우 또는 HTTP 지시자 기준으로 텍스트 정규화가 된 공격 내용 데이터의 경우에 룰패턴 기준으로 텍스트 정규화를 하는 룰 패턴 기준 텍스트 정규화 처리부(63)를 포함한다.
참고로 보안시스템 룰패턴은 1개 이상의 필수 패턴 또는 1개 이상의 필수 패턴과 1개 이상의 보조 패턴으로 구성되는데 정규화 기준이 되는 룰 패턴은 1개 이상의 필수 패턴으로 제한하며 이는 필요에 따라 다양한 변형이 가능하다.
로그 화면부(5)는 로그를 조회하는 시스템으로서, 운영자의 요청에 따라 상기 로그 분석부(6)에서 정규화된 로그정보를 표시한다. 로그 화면부(5)는 관리자용 콘솔(console) 등이 될 수 있고, 로그의 열람 및 분석을 수행하는 수단으로 작용한다. 그리고 로그 분석부(6)와 로그 화면부(5)는 별도의 소프트웨어 및 시스템으로 구현할 수 있고, 종래의 보안시스템 및 로그 화면부와 통합할 수도 있다.
일반 시스템(1)은 PC, 서버, 라우터 등의 시스템으로서 서로간에 각종 정보를 송수신한다.
전산망(2)은 일반 시스템(1)을 연결하는 전산 네트워크이다.
로그 통합 보안 시스템(31)은 전산 네트워크를 흐르는 해킹 트래픽을 검사하는 여러 종류의 보안 시스템(3)의 로그를 통합 수집하며, 이러한 로그 통합 보안 시스템(31)은 선택적으로 존재한다.
참고로 해킹 로그의 구조는 도 2와 같다.
도 2를 참조하면, 일반 네트워크 패킷의 경우 MAC 헤더, IP 헤더, TCP/UDP 헤더, 데이터의 구조로 이루어지는데, 해킹로그의 경우에는 데이터 부분에 공격 내용(20)이 있다(공격명(10)은 보안시스템 룰 제작자가 공격 내용(20)의 특징을 나타내는 범위에서 임의로 작명한다).
이러한 구성을 가진 본 발명의 실시예에 따른 로그 분석 시스템의 동작을 상세히 설명하면 다음과 같다.
도 3은 본 발명의 실시 예에 따른 로그 분석을 위한 데이터 처리 흐름도이며, 공격명(10)별 공격 내용(20)을 취합한 후, 공격 내용(20)의 텍스트를 정규화 하는 과정을 나타낸 것이다.
도 3을 참조하면, 보안 시스템(3)은 일반시스템(1)간의 트래픽을 수집한다(S90).
그리고 나서, 수집한 트래픽이 소정의 룰과 일치하는지 판단한다(S91).
수집한 트래픽이 소정의 룰과 일치할 경우 보안 시스템(5)은 로그 데이터베이스(40)에 로그 정보를 생성하여 저장한다(S92).
필요에 따라서 로그 통합 보안 시스템(31)이 여러 보안 시스템(5)의 로그 정보를 취합하여 저장할 수도 있다.
이러한 상태에서 로그 분석부(6)의 로그 수집부(61)는 상기 로그 데이터베이스(4)에 저장된 상기 로그정보에서 공격내용이 존재하는지 판단한다(S100).
공격내용이 존재하면, 로그 수집부(61)가 동일 공격명별로 공격 내용을 취합한다(S101).
이러한 예를 도 4 및 도 5를 참조하여 설명한다.
도 4에는 로그 데이터베이스(4)에 저장된 공격명(10)과 공격 내용(20)의 1:1 분석 구조가 도시되어 있으며, 도 5에는 도 4에 도시된 로그의 공격명(10)과 공격 내용(20)의 1:1 구조를 공격명으로 취합한 1:N 구조가 도시되어 있다.
도 4에 도시된 바와 같이, 보안시스템(3)에서 발생한 로그는 1:1 구조이다. 이러한 구조의 로그를 분석하려면 공격명(10)과 공격 내용(20)을 하나하나 분석해야 하며, 로그 발생량의 제한이 없기 때문에 로그가 많이 발생할수록 분석하지 못하는 로그가 많아질 수 있다. 그러나 도 5에 도시된 바와 같이, 로그의 공격명(10)과 공격 내용(20)을 1:N 구조로 구성하면, 공격명(10)은 사전에 정의한 룰의 개수만큼의 제한이 있기 때문에 아무리 많은 로그가 발생해도 발생한 공격명(10)의 개수만큼만 분석하면 된다는 이점이 발생한다.
로그정보가 취합되고 나면, HTTP 지시자 기준 텍스트 정규화 처리부는 공격 내용 데이터가 웹 요청 기반인지 판단한다(S102).
공격 내용 데이터가 웹 요청 기반인 경우 HTTP 지시자 기준 텍스트 정규화 처리부는 HTTP 지시자 기준으로 텍스트 정규화를 실시한다(S103). 이는 대부분의 해킹이 해커가 웹서버에 데이터를 전송하는 과정, 즉 웹요청 과정(데이터가 GET, POST, PUT, DELETE 문자열로 시작)에서 발생하는 점을 이용하여, 하이퍼텍스트 전송 규약(HTTP)에 명시된 지시자를 기준으로 정규화하는 것이다. 이 때 기준이 되는 HTTP 지시자는 URI, Referer, Host, User-Agent 4가지이다. 지시자의 종류는 매우 다양하지만 상기한 4개의 지시자 정보만 확인되면 어떤 데이터(URI)를, 어떤 도구(User-Agent)를 이용해서, 어디에서(Referer), 어디로(Host) 전송했는지 확인할 수 있다.
이 과정을 상세히 설명한다.
도 6과 7은 무분별하게 분포되어 있는 공격 내용(20) 텍스트에 동일한 분류 규칙을 적용하는 텍스트 정규화의 개념을 도시화한 것이다.
도 6 도는 도 7을 참조하면, 공격명별로 공격 내용을 분할하여 해킹을 쉽게 찾아낼 수 있도록 하는 것이 기본 개념이다.
도 8은 '공격 내용 존재 로그 수집부(61)에서 로그 데이터베이스(4)에서 공격 내용이 존재하는 로그만을 선별(S100단계)한 후, 공격명(10)과 공격 내용(20)의 1:N 구성을 완료(S101단계)한 실시 예이다. 이 때 공격 내용이 존재하는 로그의 공격명(10)별 공격 내용(20) 취합 방법은 로그 데이터베이스(4)의 구조에 따라 다를 수 있으나 일반적으로 아래와 같은 데이터베이스 명령어를 실행한다(s100, s101단계).
select '공격 내용 컬럼', count('공격 내용 컬럼')
from '로그 테이블'
where '공격명 컬럼' = '공격명' and '공격 내용 컬럼' is not null
group by '공격 내용 컬럼'
공격명(10)별 공격 내용(20) 취합이 완료되면 공격 내용(20) 텍스트를 분류 기준에 의거하여 분류, 즉 텍스트 정규화를 실시한다.
도 9는 로그의 공격 내용(20) 데이터가 'GET' 문자열로 시작, 즉 웹요청 과정에서 발생했음을 확인(s102단계)한 후, HTTP 지시자 기준 텍스트 정규화 처리부(62)에서 HTTP 지시자(URI, User-Agent, Referer, Host)를 기준으로 공격 내용 텍스트를 전송 데이터부(21), 전송 도구부(22), 데이터 출발지부(23), 데이터 목적지부(24)로 정규화(s103단계)한 실시 예이다.
상기 정규화를 통해 공격 내용(20)의 전체 발생 양상, 즉 '어떤 데이터(URI)를, 어떤 도구(User-Agent)를 이용해서, 어디에서(Referer), 어디로(Host) 전송'했는지에 대한 일괄적인 확인이 가능하다. 또한 'GET' 등의 문자열은 '웹요청 메서드(method) 지시자'에 해당하나, 트래픽 성격을 파악하는데 중요한 역할을 하는 패턴이므로 텍스트 분류 시 'URI 지시자'에 해당하는 '전송 데이터부(21)'에 포함시킨다.
참고로 전송 데이터부(21)는 웹요청 과정에서 발생한 로그의 공격 내용 중 전송 데이터(URI)에 해당한다. 전송 도구부(22)는 웹요청 과정에서 발생한 로그의 공격 내용 중 전송 도구(User-Agent)에 해당한다. 데이터 출발지부(23)는 웹요청 과정에서 발생한 로그의 공격 내용 중 데이터 출발지(Referer)를 나타낸다. 그리고, 데이터 목적지부(24)는 웹요청 과정에서 발생한 로그의 공격 내용 중 데이터 목적지(Host)를 나타낸다.
그리고 나서, 룰 패턴 기준 텍스트 정규화 처리부(63)가 HTTP 지시자 기준으로 텍스트 정규화가 된 공격 내용 데이터를 룰패턴 기준으로 텍스트 정규화를 한다(s104). 이를 도 10에 나타내었다.
도 10은 도 9에 도시된, HTTP 지시자 기준으로 정규화된 공격 내용(20) 텍스트를 룰 패턴 기준 텍스트 정규화 처리부(63)에서 룰 패턴을 기준으로 룰 처리 전 패턴부(25), 룰 처리 패턴부(26), 룰 처리 후 패턴부(27)로 한번 더 정규화(제 104단계)한 실시 예이며, 운영자 또는 로그 분석자는 로그 화면부(5)를 통해 도 10과 같은 형식의 로그를 조회 및 분석하게 된다.
룰 처리 전 패턴부(25)는 공격 내용 텍스트 중 룰 처리 시작 전에 발생한 패턴이고, 룰 처리 패턴부(26)는 공격 내용 텍스트 중 룰이 비교 처리한 패턴이고, 룰 처리 후 패턴부(27)는 공격 내용 텍스트 중 룰 처리 종료 후 발생한 패턴이다.
참고로 실제의 해킹 정보의 예를 들어 설명하며, 이하 설명되는 기술중 일부는 운영자 또는 로그 분석자가 보안시스템 로그 분석에 사용하는 일반적인 기술이다.
도 10에 도시된 'sql injection'은 웹서버로 전송되는 데이터에 데이터베이스 명령어를 삽입하여 정보의 위/변조 및 유출 등을 시도하는 공격이다. 도시된 사례는 '%20and%20' 문자열이 룰 패턴으로 적용된 룰에 의해 발생한 로그의 사례인데, ① ~ ⑤번 로그는 공격 로그, ⑥ ~ ⑦번 로그는 공격이 아닌 로그이다.
참고로 '%20'은 '공백'을 뜻하는데 웹서버로 전송하는 데이터(URL 주소)에 공백이 포함되면 안된다는 규칙 때문에 'URL 인코딩'이라는 방식에 의해 문자가 변환된 경우이며, 웹서버와 웹브라우저는 데이터 송수신 시 한글이나 여러 특수 기호들을 '%숫자숫자' 형식으로 자동 변환시키며, 해커가 의도적으로 변환시킬 수도 있다.
먼저 룰 패턴을 기준으로 설명하면, 도 10에 도시된 ①번 공격 로그의 텍스트 정규화 전 공격 내용 원본은 아래와 같다.
운영자 또는 로그 분석자는 이러한 공격 내용의 텍스트를 처음부터 끝까지 읽어서 룰 패턴을 찾고, 그 패턴이 전체 텍스트에서 어떤 의미로 사용되었는지를 파악해야 한다.
아래는 ①번 로그의 공격 내용 원본을 도 10에 도시된 바와 같이 텍스트 정규화한 '텍스트 정규화된 로그 화면부(5)'이다.
웹서버로 전송되는 데이터는 'GET /경로/웹페이지?변수=변수값' 형식의 구조를 갖는데, 'sql injection' 공격은 '변수=변수값' 형식을 변조하여 데이터베이스 명령어를 삽입하는 형태로 진행되며, '1=1(참)'이나 '8=3(거짓)' 등 '참'과 '거짓'의 논리 연산을 이용하여 데이터베이스를 오동작하게 만드는 방법이 대표적이다.
상기 텍스트 정규화된 ①번 로그를 보면 'and' 문자열이 정상적인 'GET /경로/웹페이지?변수=변수값' 형식과 '1=1'이라는 논리 연산 명령어를 이어주는
GET /?cate=gblNxblist&target=luna&a2soi=GNB_Go' and 1=1 형식으로 변조된 공격 로그임을 알 수 있으며, 운영자 또는 로그 분석자는 공격 내용 텍스트에서 일일이 룰 패턴을 찾을 필요 없이, 룰 패턴이 전체 텍스트에서 어떤 의미로 사용되었는지만 파악하면 된다.
이번에는 공격이 아닌 ⑦번 로그를 설명한다. 도 10에 도시된 ⑦번 로그의 텍스트 정규화 전 공격 내용 원본은 아래와 같다.
상기 텍스트 정규화된 ⑦번 로그를 보면 'and' 문자열이 '변수값'으로 사용된 문자와 문자를 정상적으로 이어주는 Firefox and Netscape 형식에 사용되었다. 즉 공격이 아닌 로그이다.
이번에는 HTTP 지시자를 기준으로 설명한다. '전송 데이터부(21)'는 웹서버로 전송된 데이터(URI), '전송 도구부(22)'는 데이터를 전송하는데 사용된 도구(User-Agent), '데이터 출발지부(23)'는 전송되는 데이터의 출발지(Referer), '데이터 목적지부(24)'는 전송되는 데이터의 목적지(Host)를 의미하는 HTTP 지시자이다.
룰 패턴 기준의 상기 설명에서 공격으로 확인된 ① ~ ⑤ 로그는 모두 Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Havij란 '전송 도구부(22)'를 사용하고 있다. 즉 일반적인 웹브라우저(익스플로러, 파이어폭스, 크롬, 사파리 등) 도구를 이용하지 않고, 'Havij(웹취약점점검 도구이며 해킹 도구로도 사용됨)'란 도구를 사용해서 웹서버에 데이터를 전송했다. 또한 '데이터 출발지부(23)'가 모두 비어있다.
정리하면 ① ~ ⑤ 로그는 어떠한 '데이터 출발지부(23)'도 경유하지 않고, 해커가 직접 '데이터 목적지부(24)'를 향해, Havij란 '전송 도구부(22)'를 이용해서, '전송 데이터부(21)'를 전송했음을 알 수 있다. 해킹 공격의 공통적인 특징 확인이 가능하다.
반면 ⑥ ~ ⑦ 로그는 사용자가 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:10.0) Gecko/20100101 Firefox/10.0와 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.7 (KHTML, like Gecko) Chrome/16.0.912.75 Safari/535.7 CoolNovo/2.0.0.9란 '전송 도구부(22)'가 사용되었다. 즉 Firefox와 CoolNovo(익스플로러와 크롬을 동시 사용할 수 있는 다중 웹브라우저)라는 일반 웹브라우저 도구를 사용하여 '전송 데이터부(21)'를 전송했으며, '데이터 출발지부(23)'와 '데이터 목적지부(24)'가 모두 사용되었다.
정리하면 ⑥ ~ ⑦ 로그는 사용자가 일반 웹브라우저 도구를 이용하여 웹서핑을 하는 과정에서 발생한 트래픽의 문자열 패턴이 룰 패턴과 우연히 일치해서 발생한 것이다. 공격이 아닌 로그의 공통적인 특징 확인이 가능하다.
이와 같이 보안시스템 로그 분석 과정에서는 공격 내용(20) 텍스트의 전체 의미 파악이 중요한데, 본 발명의 실시예에서는 공격 내용을 이루는 문자열 패턴들을 텍스트 정규화를 통해 표 형태로 표시함으로써 운영자 또는 로그 분석자가 일일이 룰 패턴의 위치를 찾을 필요가 없기 때문에, 쉽고 빠르게 공격 내용(20) 텍스트의 전체 의미 파악을 할 수 있다는 이점이 발생한다.
한편, 공격내용 데이터가 웹 요청 기반이 아닌 경우, 룰패턴 기준 텍스트 정규화 처리부(63)가 정규화를 진행하는데(s104) 이는 해당 공격명을 발생시킨 룰에 정의된 패턴이다. 즉 룰 패턴을 기준으로 공격 내용 텍스트를 정규화하는 것이다. 이를 상세히 설명하면 다음과 같다.
도 11과 도 12는 로그가 웹요청 과정에서 발생하지 않았음을 확인(s102단계)한 후, HTTP 지시자 기준의 텍스트 정규화 과정(s103단계)을 거치지 않고, 바로 룰 패턴 기준으로 텍스트 정규화(s104단계)한 실시 예이다.
도 11 및 도 12를 참조하면, 룰 패턴 기준 텍스트 정규화 처리부(63)에서 룰 패턴을 기준으로 룰 처리 전 패턴부(25), 룰 처리 패턴부(26), 룰 처리 후 패턴부(27)로 정규화(제 104단계)하여 운영자 또는 로그 분석자는 로그 화면부(5)를 통해 도 12와 같은 형식의 로그를 조회 및 분석하게 된다.
상기 과정을 통해 도 10과 마찬가지로 특정 룰 패턴이 전체 공격 내용 텍스트에서 어떤 의미로 사용되었는지에 대한 일괄적인 확인이 가능하다.
이와 같이 상기 실시 예에 설명되고 있는 본 발명은 보안시스템(3)에서 발생한 로그에 대하여 공격명(10)별 공격 내용(20)의 텍스트를 일정한 규칙에 의해 분류, 즉 텍스트를 정규화함으로써 대량 발생한 보안시스템(3) 로그의 룰 패턴 사용 의미를 일괄적으로 분석할 수 있으며, 공격 로그의 공통적 발생 특징과, 공격이 아닌 로그의 공통적 발생 특징 확인을 통해 공격 로그와 공격이 아닌 로그의 직관적인 구분이 가능하다.
이상에서 설명한 바와 같이 본 발명의 공격명(10)별 공격 내용(20) 취합 및 공격 내용(20)의 텍스트 정규화를 이용한 로그 분석 방법에 따르면, 운영자 또는 로그 분석자가 종래의 로그를 하나씩 분석하는 방법에 비하여 분석량 및 분석 속도가 향상되는 효과가 있다.
또한, 해킹 패턴을 감시하는 룰의 정확도에 대한 정량적인 측정이 가능하기 때문에, 이를 근거로 룰 정확도를 향상시킬 수 있다(도 10에 도시된 로그 7개중 5개가 공격이므로 룰의 정확도는 71%, 부정확도는 29%라는 정량적인 룰 정확도 측정 자료가 확보된다).
이상에서 설명한 본 발명의 실시 예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시예의 기재로부터 본 발명이 속하는 기술 분야의 전문가라면 쉽게 구현할 수 있는 것이다.
이상에서 본 발명의 실시 예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.
Claims (8)
- 로그 정보를 저장하는 로그 데이터베이스;
외부의 일반 시스템들간의 통신 내용에 대해 감시하며, 보안에 관한 소정의 룰에 따라 상기 로그 정보를 생성하여 상기 로그 데이터베이스에 저장하는 보안 시스템;
상기 로그 데이터베이스에 저장된 상기 로그정보에서 공격내용이 존재하는 로그정보를 수집하여 공격명별로 취합한 후, 공격 내용 데이터가 웹 요청 기반인 경우 HTTP 지시자 기준으로 텍스트 정규화를 실시하고 나서, 룰패턴 기준 텍스트 정규화를 하는 로그 분석부;
운영자의 요청에 따라 상기 로그 분석부에서 정규화된 로그정보를 표시하는 로그 화면부를 포함하고,
상기 로그 분석부는 공격내용 데이터가 웹 요청 기반이 아닌 경우, 룰패턴 기준 텍스트 정규화를 하는 것을 특징으로 하는 로그 분석 시스템. - 삭제
- 제1항에 있어서,
상기 로그 분석부는,
상기 로그 데이터베이스에 저장된 상기 로그정보에서 공격내용이 존재하는 로그정보를 수집하여 공격명별로 취합하는 로그 수집부;
공격 내용 데이터가 웹 요청 기반인 경우 HTTP 지시자 기준으로 텍스트 정규화를 실시하는 HTTP 지시자 기준 텍스트 정규화 처리부;
공격내용 데이터가 웹 요청 기반이 아닌 경우 또는 HTTP 지시자 기준으로 텍스트 정규화가 된 공격 내용 데이터의 경우에 룰패턴 기준으로 텍스트 정규화를 하는 룰 패턴 기준 텍스트 정규화 처리부를 포함하는 로그 분석 시스템. - 보안시스템이 소정의 룰에 따라 생성하여 로그 데이터베이스에 저장한 로그정보를 분석하는 보안 시스템의 로그 분석 시스템으로서,
상기 로그 데이터베이스에 저장된 상기 로그정보에서 공격내용이 존재하는 로그정보를 수집하여 공격명별로 취합한 후, 공격 내용 데이터가 웹 요청 기반인 경우 HTTP 지시자 기준으로 텍스트 정규화를 실시하고 나서, 룰패턴 기준 텍스트 정규화를 하는 로그 분석부;
운영자의 요청에 따라 상기 로그 분석부에서 정규화된 로그정보를 표시하는 로그 화면부를 포함하고,
상기 로그 분석부는 공격내용 데이터가 웹 요청 기반이 아닌 경우, 룰패턴 기준 텍스트 정규화를 하는 것을 특징으로 하는 로그 분석 시스템. - 일반 시스템들간의 통신 내용에 대해 감시하는 보안시스템이 소정의 룰에 따라 생성하여 로그 데이터베이스에 저장한 로그정보를 분석하는 보안 시스템의 로그 분석 방법으로서,
로그 분석부가 상기 로그 데이터베이스에 저장된 상기 로그정보에서 공격내용이 존재하는 로그정보가 있는지 판단하는 단계;
공격내용이 존재하는 로그정보가 있는 경우, 공격명별로 상기 로그정보를 취합하는 단계;
공격명별로 취합된 로그정보의 공격 내용 데이터가 웹요청 기반인지 판단하는 단계;
공격 내용 데이터가 웹요청 기반이면, HTTP 지시자 기준으로 텍스트 정규화를 실시하는 단계;
HTTP 지시자 기준으로 텍스트 정규화를 실시되고 나서, 룰패턴 기준 텍스트 정규화를 하는 단계를 포함하고,
운영자의 요청에 따라 로그화면부가 상기 로그 분석부에서 정규화된 로그정보를 표시하는 단계를 더 포함하고,
상기 로그 분석부가 공격내용 데이터가 웹 요청 기반이 아닌 경우, 룰패턴 기준 텍스트 정규화를 하는 단계를 더 포함하는 로그 분석 방법. - 삭제
- 삭제
- 제5항에 있어서,
상기 공격 내용 데이터가 웹요청 기반이면, HTTP 지시자 기준으로 텍스트 정규화를 실시하는 단계에서,
상기 HTTP 지시자 기준으로 공격 내용 데이터가 URI, User-Agent, Referer, Host로 정규화되는 것을 특징으로 하는 로그 분석 방법.
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020120110947A KR101239401B1 (ko) | 2012-10-05 | 2012-10-05 | 보안 시스템의 로그 분석 시스템 및 방법 |
| US14/422,023 US20150256551A1 (en) | 2012-10-05 | 2013-08-22 | Log analysis system and log analysis method for security system |
| PCT/KR2013/007538 WO2014054854A1 (ko) | 2012-10-05 | 2013-08-22 | 보안 시스템의 로그 분석 시스템 및 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020120110947A KR101239401B1 (ko) | 2012-10-05 | 2012-10-05 | 보안 시스템의 로그 분석 시스템 및 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101239401B1 true KR101239401B1 (ko) | 2013-03-06 |
Family
ID=48181113
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020120110947A KR101239401B1 (ko) | 2012-10-05 | 2012-10-05 | 보안 시스템의 로그 분석 시스템 및 방법 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20150256551A1 (ko) |
| KR (1) | KR101239401B1 (ko) |
| WO (1) | WO2014054854A1 (ko) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110990839A (zh) * | 2019-11-22 | 2020-04-10 | 安徽三实信息技术服务有限公司 | 一种windows主机安全检查方法、装置和平台 |
| KR102089688B1 (ko) | 2019-04-12 | 2020-04-24 | 주식회사 이글루시큐리티 | 준지도학습을 통한 인공지능 기반 보안이벤트 분석시스템 및 그 방법 |
| CN111832260A (zh) * | 2020-05-26 | 2020-10-27 | 国电南瑞南京控制系统有限公司 | 一种syslog日志到电力系统通用告警日志的转换方法 |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101594701B1 (ko) * | 2014-10-20 | 2016-02-16 | 삼성에스디에스 주식회사 | 이상 접속 검출 장치 및 방법 |
| US9853940B2 (en) | 2015-09-24 | 2017-12-26 | Microsoft Technology Licensing, Llc | Passive web application firewall |
| CN105589786A (zh) * | 2015-12-10 | 2016-05-18 | 浪潮(北京)电子信息产业有限公司 | 一种Windows日志的管理方法及装置 |
| CN107104924B (zh) * | 2016-02-22 | 2020-10-09 | 阿里巴巴集团控股有限公司 | 网站后门文件的验证方法及装置 |
| CN107241296B (zh) * | 2016-03-28 | 2020-06-05 | 阿里巴巴集团控股有限公司 | 一种Webshell的检测方法及装置 |
| CN106250299A (zh) * | 2016-07-21 | 2016-12-21 | 柳州龙辉科技有限公司 | 一种Linux日志的处理方法 |
| US10366234B2 (en) * | 2016-09-16 | 2019-07-30 | Rapid7, Inc. | Identifying web shell applications through file analysis |
| CN108206802B (zh) * | 2016-12-16 | 2020-11-17 | 华为技术有限公司 | 检测网页后门的方法和装置 |
| US10855707B2 (en) * | 2017-03-20 | 2020-12-01 | Nec Corporation | Security system using automatic and scalable log pattern learning in security log analysis |
| CN107888571B (zh) * | 2017-10-26 | 2020-08-28 | 江苏省互联网行业管理服务中心 | 一种基于HTTP日志的多维度webshell入侵检测方法及检测系统 |
| JP6719492B2 (ja) * | 2018-02-26 | 2020-07-08 | 三菱電機株式会社 | ルール生成装置およびルール生成プログラム |
| CN108959923B (zh) * | 2018-05-31 | 2022-05-17 | 深圳壹账通智能科技有限公司 | 综合安全感知方法、装置、计算机设备和存储介质 |
| GB2574468B (en) * | 2018-06-08 | 2020-08-26 | F Secure Corp | Detecting a remote exploitation attack |
| CN109240922B (zh) * | 2018-08-30 | 2021-07-09 | 北京大学 | 基于RASP提取webshell软件基因进行webshell检测的方法 |
| US11297091B2 (en) * | 2019-09-24 | 2022-04-05 | Bank Of America Corporation | HTTP log integration to web application testing |
| CN110830483B (zh) * | 2019-11-13 | 2022-03-22 | 杭州安恒信息技术股份有限公司 | 网页日志攻击信息检测方法、系统、设备及可读存储介质 |
| CN113238912B (zh) * | 2021-05-08 | 2022-12-06 | 国家计算机网络与信息安全管理中心 | 一种网络安全日志数据的聚合处理方法 |
| CN114257403B (zh) * | 2021-11-16 | 2024-03-26 | 北京网宿科技有限公司 | 误报检测方法、设备及可读存储介质 |
| CN114285637A (zh) * | 2021-12-23 | 2022-04-05 | 北京思特奇信息技术股份有限公司 | 一种基于日志的自动化安全检查方法、存储介质及系统 |
| CN116094790A (zh) * | 2022-12-30 | 2023-05-09 | 四川新网银行股份有限公司 | 一种基于web攻击实现办公网侧自动防御的系统及方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20080029426A (ko) * | 2006-09-29 | 2008-04-03 | 구본현 | 웹 보안 시스템 및 방법 |
| KR20100118422A (ko) * | 2009-04-28 | 2010-11-05 | 에스케이 텔레콤주식회사 | 정보보안 증적 추적 시스템 및 방법 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7647411B1 (en) * | 2001-02-26 | 2010-01-12 | Symantec Corporation | System and method for controlling distribution of network communications |
| US20040193943A1 (en) * | 2003-02-13 | 2004-09-30 | Robert Angelino | Multiparameter network fault detection system using probabilistic and aggregation analysis |
| US8353011B2 (en) * | 2005-06-13 | 2013-01-08 | Nokia Corporation | Apparatus, method and computer program product providing mobile node identities in conjunction with authentication preferences in generic bootstrapping architecture (GBA) |
| KR20070032425A (ko) * | 2005-09-16 | 2007-03-22 | 주식회사 팬택 | 바이러스 침입 탐지 서비스를 제공하는 방법 및 시스템 |
| KR100907563B1 (ko) * | 2007-07-02 | 2009-07-14 | 라파앤컴퍼니(주) | 통합 모니터링 시스템 및 그 운용방법 |
| US20090049547A1 (en) * | 2007-08-13 | 2009-02-19 | Yuan Fan | System for real-time intrusion detection of SQL injection web attacks |
-
2012
- 2012-10-05 KR KR1020120110947A patent/KR101239401B1/ko active IP Right Grant
-
2013
- 2013-08-22 US US14/422,023 patent/US20150256551A1/en not_active Abandoned
- 2013-08-22 WO PCT/KR2013/007538 patent/WO2014054854A1/ko active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20080029426A (ko) * | 2006-09-29 | 2008-04-03 | 구본현 | 웹 보안 시스템 및 방법 |
| KR20100118422A (ko) * | 2009-04-28 | 2010-11-05 | 에스케이 텔레콤주식회사 | 정보보안 증적 추적 시스템 및 방법 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102089688B1 (ko) | 2019-04-12 | 2020-04-24 | 주식회사 이글루시큐리티 | 준지도학습을 통한 인공지능 기반 보안이벤트 분석시스템 및 그 방법 |
| CN110990839A (zh) * | 2019-11-22 | 2020-04-10 | 安徽三实信息技术服务有限公司 | 一种windows主机安全检查方法、装置和平台 |
| CN110990839B (zh) * | 2019-11-22 | 2023-06-02 | 安徽三实信息技术服务有限公司 | 一种windows主机安全检查方法、装置和平台 |
| CN111832260A (zh) * | 2020-05-26 | 2020-10-27 | 国电南瑞南京控制系统有限公司 | 一种syslog日志到电力系统通用告警日志的转换方法 |
| CN111832260B (zh) * | 2020-05-26 | 2024-03-26 | 国电南瑞南京控制系统有限公司 | 一种syslog日志到电力系统通用告警日志的转换方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2014054854A1 (ko) | 2014-04-10 |
| US20150256551A1 (en) | 2015-09-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101239401B1 (ko) | 보안 시스템의 로그 분석 시스템 및 방법 | |
| EP2244418B1 (en) | Database security monitoring method, device and system | |
| KR101327317B1 (ko) | Sap 응용 트래픽 분석 및 모니터링 장치 및 방법, 이를 이용한 정보 보호 시스템 | |
| CN103888490B (zh) | 一种全自动的web客户端人机识别的方法 | |
| US9081961B2 (en) | System and method for analyzing malicious code using a static analyzer | |
| US20030084318A1 (en) | System and method of graphically correlating data for an intrusion protection system | |
| CN110602029B (zh) | 一种用于识别网络攻击的方法和系统 | |
| US20030083847A1 (en) | User interface for presenting data for an intrusion protection system | |
| US20060083180A1 (en) | Packet analysis system | |
| KR101223931B1 (ko) | Dns 패킷을 이용한 실시간 비정상 행위 탐지 방법 | |
| CN112486708B (zh) | 页面操作数据的处理方法和处理系统 | |
| US20030084340A1 (en) | System and method of graphically displaying data for an intrusion protection system | |
| CN112905548B (zh) | 一种安全审计系统及方法 | |
| CN111767573A (zh) | 数据库安全管理方法、装置、电子设备及可读存储介质 | |
| CN115865525A (zh) | 日志数据处理方法、装置、电子设备和存储介质 | |
| CN111526109B (zh) | 自动检测web威胁识别防御系统的运行状态的方法及装置 | |
| CN111770097B (zh) | 一种基于白名单的内容锁防火墙方法及系统 | |
| CN105404796A (zh) | 一种JavaScript源文件保护的方法及装置 | |
| CN109190408B (zh) | 一种数据信息的安全处理方法及系统 | |
| CN112769739A (zh) | 数据库操作违规处理方法、装置及设备 | |
| AU2021105619A4 (en) | A method for identification of duplicate security vulnerabilities using machine learning | |
| KR20060079782A (ko) | 아이피버젼포와 아이피버젼식스 혼재 망에서의 상호 운용성향상을 위한 보안 시스템 | |
| CN112640392B (zh) | 一种木马检测方法、装置和设备 | |
| Peng | Research of network intrusion detection system based on snort and NTOP | |
| CN114969450A (zh) | 一种用户行为分析方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| A302 | Request for accelerated examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20170117 Year of fee payment: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20180122 Year of fee payment: 6 |
|
| FPAY | Annual fee payment |
Payment date: 20190211 Year of fee payment: 7 |
|
| FPAY | Annual fee payment |
Payment date: 20200225 Year of fee payment: 8 |