KR101416927B1 - Detection server and method for detecting abnormal sign of the same - Google Patents

Detection server and method for detecting abnormal sign of the same Download PDF

Info

Publication number
KR101416927B1
KR101416927B1 KR20120121456A KR20120121456A KR101416927B1 KR 101416927 B1 KR101416927 B1 KR 101416927B1 KR 20120121456 A KR20120121456 A KR 20120121456A KR 20120121456 A KR20120121456 A KR 20120121456A KR 101416927 B1 KR101416927 B1 KR 101416927B1
Authority
KR
Grant status
Grant
Patent type
Prior art keywords
log
server
terminal
information
access
Prior art date
Application number
KR20120121456A
Other languages
Korean (ko)
Other versions
KR20140055103A (en )
Inventor
우덕제
송주영
강대권
Original Assignee
한전케이디엔주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Grant date

Links

Images

Abstract

본 발명의 한 실시예에 따른 이상 징후를 탐지하는 탐지 서버는 적어도 하나의 관리자 단말로부터 단말 로그 정보를 수집하고, 적어도 하나의 서버로부터 서버 로그 정보를 수집하는 로그 수집부, 인터넷 프로토콜(Internet Protocol, IP) 주소와 시간에 기초하여 상기 단말 로그 정보와 상기 서버 로그 정보를 연결하는 로그 연결부, 그리고 상기 연결을 분석하여 권한 도용 또는 이상 징후를 탐지하는 연결 분석부를 포함한다. Detection of detecting the abnormality in accordance with one embodiment of the invention the server from at least one administrator terminal collects the terminal log information, the log collecting unit that collects server log information from at least one server, the Internet protocol (Internet Protocol, It includes IP) address and on the basis of time logs connection connecting the terminal log information, the log server information, and the connection parts of analysis for detecting the theft or rights abnormality by analyzing the connection.

Description

탐지 서버 및 그의 이상 징후 탐지 방법{DETECTION SERVER AND METHOD FOR DETECTING ABNORMAL SIGN OF THE SAME} Detection server and its abnormality detection method {DETECTION SERVER AND METHOD FOR DETECTING ABNORMAL SIGN OF THE SAME}

본 발명은 탐지 서버 및 그의 이상 징후 탐지 방법에 관한 것으로, 보다 상세하게는 관리자 단말과 서버에 저장된 로그를 이용하는 탐지 서버 및 그의 이상 징후 탐지 방법에 관한 것이다. The present invention relates to a detection server, and relates to its abnormality detection method, more particularly to a detection server and its abnormality detection method using a log stored on the server and the administrator terminal.

일반적으로 전산 망에 장애 또는 사고가 발생한 경우, 서버에 저장된 로그 정보를 분석하여 서버에 접근한 단말을 찾아내고, 해당 단말의 현황을 분석하여 장애 또는 사고의 원인을 분석하고 있다. If you usually failures or accidents that occurred in the computerized network, out to analyze the log information stored in the server, find the terminal to access the server, and analysis to analyze the cause of a failure or accident on the status of the terminal. 이러한 방법에 따르면, 장애 또는 사고가 관리자의 행위에 의하여 유발된 것인지, 악성 코드에 의하여 유발된 것인지를 정확하게 추적할 수 없다. According to this method, whether the failure is caused by an accident or an act of an administrator, it can not track exactly whether caused by malicious code.

한편, 통합 보안 관리(Enterprise Security Management, ESM) 시스템은 방화벽(firewall), 침입탐지 시스템(Intrusion Detection System, IDS), 가상 사설 네트워크(Virtual Private Network, VPN) 등의 보안 솔루션을 하나로 모은 시스템이다. On the other hand, integrated security management (Enterprise Security Management, ESM) system is a system, a collection of security solutions, such as firewall (firewall), intrusion detection system (Intrusion Detection System, IDS), virtual private network (Virtual Private Network, VPN) into one. ESM 시스템은 여러 시스템으로부터 로그 정보를 수집하지만, 시스템 별, 로그 종류 별로 저장하고 관리할 뿐 이기종 시스템의 로그 정보를 연계하지는 않고 있다. ESM system does not link the log information as a heterogeneous system to collect log information from multiple systems, storage systems by the stars, and manage log type.

본 발명이 이루고자 하는 기술적 과제는 관리자 단말과 서버에 각각 저장된 로그를 연계하는 탐지 서버 및 그의 이상 징후 탐지 방법을 제공하는 데 있다. The present invention also provides a detection server and its abnormality detection method for linking each log stored on the server and the administrator terminal.

본 발명의 한 실시예에 따른 이상 징후를 탐지하는 탐지 서버는 적어도 하나의 관리자 단말로부터 단말 로그 정보를 수집하고, 적어도 하나의 서버로부터 서버 로그 정보를 수집하는 로그 수집부, 인터넷 프로토콜(Internet Protocol, IP) 주소와 시간에 기초하여 상기 단말 로그 정보와 상기 서버 로그 정보를 연결하는 로그 연결부, 그리고 상기 연결을 분석하여 권한 도용 또는 이상 징후를 탐지하는 연결 분석부를 포함한다. Detection of detecting the abnormality in accordance with one embodiment of the invention the server from at least one administrator terminal collects the terminal log information, the log collecting unit that collects server log information from at least one server, the Internet protocol (Internet Protocol, It includes IP) address and on the basis of time logs connection connecting the terminal log information, the log server information, and the connection parts of analysis for detecting the theft or rights abnormality by analyzing the connection.

상기 단말 로그 정보는 세션 ID(Session Idenification)로 연결된 접속 로그, 화면 캡쳐 로그 및 키스트로크(keystroke) 로그 중 적어도 두 개를 포함하고, 상기 서버 로그 정보는 세션 ID로 연결된 접근 로그 및 사용자 행위 로그를 포함할 수 있다. The terminal log information comprises at least two of the connection log, to capture the log and keystrokes (keystroke) log associated with the session ID (Session Idenification), and the server log information, the access log and the behavior log associated with the session ID It can be included.

상기 로그 연결부는 상기 서버 로그 정보에 포함된 상기 IP 주소와 상기 시간에 기초하여 상기 서버에 접근한 관리자 단말을 추적하며, 추적한 관리자 단말로부터 수집한 단말 로그 정보를 상기 서버 로그 정보와 연결할 수 있다. The log connections and track the administrator terminal accesses the server based on the IP address and the time included in the server log information, it is possible for the terminal log information collected from an administrator terminal tracks connect to the server log information .

상기 연결 분석부는 연결된 상기 단말 로그 정보와 상기 서버 로그 정보 중 상기 접속 로그와 상기 접근 로그를 분석하여 권한 도용 여부를 탐지하는 탐지할 수 있다. The analyzing unit analyzes the connection terminal connected to the log information, the log server information, the access log as the log of the access can be detected to detect whether or not compromised permissions.

상기 연결 분석부는 연결된 상기 단말 로그 정보의 상기 화면 캡쳐 로그 및 상기 키스트로크 로그 중 적어도 하나와 상기 서버 로그 정보의 상기 사용자 행위 로그를 분석하여 이상 징후를 탐지할 수 있다. The connection analysis section may analyze the user activity log of the terminal log information, the log and to capture the at least one server, and the log information of the log of the associated keystroke to detect any abnormality.

본 발명의 다른 실시예에 따른 이상 징후를 탐지하는 탐지 방법은 적어도 하나의 관리자 단말로부터 단말 로그 정보를 수집하고, 적어도 하나의 서버로부터 서버 로그 정보를 수집하는 단계, 인터넷 프로토콜(Internet Protocol, IP) 주소와 시간에 기초하여 상기 단말 로그 정보와 상기 서버 로그 정보를 연결하는 단계, 그리고 상기 연결을 분석하여 권한 도용 또는 이상 징후를 탐지하는 단계를 포함한다. Detection method for detecting abnormalities in accordance with another embodiment of the present invention comprises at least the steps of from one of the administrator terminal collects the terminal log information and collect server log information from at least one server, the Internet protocol (Internet Protocol, IP) determining, based on the address and time of connecting the terminal log information, the log server information, and includes the steps of analyzing to detect the connection permission theft or anomalies.

상기 연결하는 단계는, 상기 서버 로그 정보에 포함된 상기 IP 주소와 상기 시간에 기초하여 상기 서버에 접근한 관리자 단말을 추적하며, 추적한 관리자 단말로부터 수집한 단말 로그 정보를 상기 서버 로그 정보와 연결하는 단계를 포함할 수 있다. Wherein the connection is, the above IP address and on the basis of the time, and keep track of the administrator terminal access to the server, connected to the terminal log information collected from an administrator terminal trace to the server log information included in the server log information It can include.

상기 탐지하는 단계는, 연결된 상기 단말 로그 정보와 상기 서버 로그 정보 중 상기 접속 로그와 상기 접근 로그를 분석하여 권한 도용 여부를 탐지하는 단계를 포함할 수 있다. Wherein the detection, it is possible to analyze the terminal log information, the log server information, the access log and the access log of the attached comprise the step of detecting whether or not compromised permissions.

상기 탐지하는 단계는, 연결된 상기 단말 로그 정보의 상기 화면 캡쳐 로그 및 상기 키스트로크 로그 중 적어도 하나와 상기 서버 로그 정보의 상기 사용자 행위 로그를 분석하여 이상 징후를 탐지하는 단계를 포함할 수 있다. Wherein the detection may include detecting a terminal connected to the log information, the screen capture logs and more than by analyzing the user behavior of at least one log and the log server information of the sign of the keystroke logs.

본 발명의 실시예에 따르면, 관리자 단말과 서버에 각각 저장된 로그를 연계하여 권한 도용 또는 이상 징후를 탐지할 수 있다. According to an embodiment of the invention, in conjunction to each log stored in the administrator terminal, and the server can detect a compromised permissions or anomalies. 이에 따라, 장애 또는 사고가 관리자의 행위에 의하여 유발된 것인지, 악성 코드에 의하여 유발된 것인지를 정확하게 추적할 수 있으며, 침해 사고를 조기에 탐지하고, 이에 대처할 수 있다. Accordingly, whether the failure is caused by an accident or an act of a manager can track exactly whether caused by malware, it can detect the incident early on, and thus cope.

도 1은 본 발명의 한 실시예에 따른 이상 징후 탐지 방법을 적용하는 네트워크 환경을 나타내는 도면이다. 1 is a view showing a network environment for applying the abnormality detection method in accordance with one embodiment of the present invention.
도 2는 본 발명의 한 실시예에 따른 관리자 단말의 블록도이다. Figure 2 is a block diagram of the administrator terminal according to one embodiment of the invention.
도 3은 본 발명의 한 실시예에 따른 서버의 블록도이다. 3 is a block diagram of a server in accordance with one embodiment of the present invention.
도 4는 본 발명의 한 실시예에 따른 탐지 서버의 블록도이다. 4 is a block diagram of a detection server according to one embodiment of the invention.
도 5는 본 발명의 한 실시예에 따른 이상 징후 탐지 방법을 나타내는 흐름도이다. Figure 5 is a flow chart showing the abnormality detecting process according to an embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 설명하고자 한다. The present invention is intended to illustrate and explain the bar, reference to specific embodiments which may have a variety of embodiments and that various changes can be added. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. This, however, is by no means to restrict the invention to the specific embodiments, it is to be understood as embracing all included in the spirit and scope of the present invention changes, equivalents and substitutes.

제2, 제1 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. Second, can be used in describing various components, the term including the ordinal number such as first, the components shall not be restricted to the above terms. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. These terms are only used to distinguish one element from the other. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제2 구성요소는 제1 구성요소로 명명될 수 있고, 유사하게 제1 구성요소도 제2 구성요소로 명명될 수 있다. For example, without departing from the scope of the present invention of claim 2 includes a first component may be named as a component, similar to the first component may be named as a second component. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다. And / or the term includes any item of the items described concerning the combination or plurality of the plurality of related items disclosed.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. It understood that when one element is described as being "connected" or "coupled" to another element, but may be directly connected or coupled to the other components, may be other element in between It should be. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. In contrast, when an element is referred to there being "directly connected" to another element or "directly connected", it should be understood that other components in the middle that does not exist.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. The terms used in the present specification are merely used to describe particular embodiments, and are not intended to limit the present invention. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. Expression in the singular number include a plural forms unless the context clearly indicates otherwise. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다. In this application, the terms "inclusive" or "gajida" terms, such as is that which you want to specify that the features, numbers, steps, actions, components, parts, or one that exists combinations thereof described in the specification, the one or more other features , numbers, steps, actions, components, parts, or the presence or possibility of combinations thereof and are not intended to preclude.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. Unless otherwise defined, including technical and scientific terms, all terms used herein have the same meaning as commonly understood by one of ordinary skill in the art. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다. Any term that is defined in a general dictionary used shall be construed to have the same meaning in the context of the relevant art, unless expressly defined in this application, it not is interpreted to have an idealistic or excessively formalistic meaning no.

이하, 첨부된 도면을 참조하여 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 대응하는 구성 요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. But will be described in detail for embodiments with reference to the accompanying drawings, the description the same or corresponding components regardless of reference numerals and the same reference numerals overlapping thereof will be omitted.

도 1은 본 발명의 한 실시예에 따른 이상 징후 탐지 방법을 적용하는 네트워크 환경을 나타내는 도면이다. 1 is a view showing a network environment for applying the abnormality detection method in accordance with one embodiment of the present invention.

도 1을 참조하면, 관리자는 관리자 단말(100-1, 100-2)을 통하여 서버(200-1, 200-2)를 관리한다. 1, the administrator manages the server (200-1, 200-2) through the administrator terminal (100-1, 100-2). 여기서, 서버(200-1, 200-2)는 관리자 단말(100-1, 100-2)과 MMI(Man to Machine Interface)에 의하여 연결될 수 있다. Here, the server (200-1, 200-2) may be connected by an administrator terminal (100-1, 100-2) and MMI (Man to Machine Interface).

각 관리자 단말(100-1, 100-2)은 단말 로그 정보를 생성하여 탐지 서버(300)에게 전송한다. Each administrator terminal (100-1, 100-2) by generating the log information terminal transmits to the detection server 300. 그리고, 각 서버(200-1, 200-2)는 서버 로그 정보를 생성하여 탐지 서버(300)에게 전송한다. And, each of the servers (200-1, 200-2) by generating a log server information is sent to the detection server 300.

탐지 서버(300)는 각 관리자 단말(100-1, 100-2)로부터 수집한 단말 로그 정보 및 각 서버(200-1, 200-2)로부터 수집한 서버 로그 정보를 연계하여 권한 도용 또는 악성 코드에 의한 감염 등의 이상 징후를 탐지한다. Detection server 300 for each administrator terminal (100-1, 100-2), the terminal log information, and each of the servers (200-1, 200-2), the server log information to the rights theft or infection linked collected from the collected from detect anomalies, such as infections caused by.

도 2는 본 발명의 한 실시예에 따른 관리자 단말의 블록도이다. Figure 2 is a block diagram of the administrator terminal according to one embodiment of the invention.

도 2를 참조하면, 관리자 단말(100)은 사용자 접속 로깅부(110), 화면 캡쳐 로깅부(120), 키스트로크 로깅부(130), 접속 로그 저장부(140), 화면 캡쳐 로그 저장부(150), 키스트로크 로그 저장부(160) 및 로그 수집부(170)를 포함한다. 2, the administrator terminal 100 is the user access log 110, to capture the logging unit 120, a keystroke-logging unit 130, a connection log storage unit 140, to capture the log storage unit ( 150), and a key stroke log storage unit 160 and the log acquisition unit 170.

사용자 접속 로깅부(110)는 사용자(예, 관리자)가 관리자 단말(100)에 접속할 때 접속 로그를 생성한다. User access logging unit 110 generates an access log to connect to the user (e.g., administrator), the administrator terminal 100. 접속 로그는, 예를 들면 사용자 ID, 비밀번호, 인증 정보, 접속 시간 등이다. Access log is, for example, user ID, password, authentication information, access time and so on. 사용자 접속 로깅부(110)는 생성한 접속 로그를 접속 로그 저장부(140)에 저장한다. User access logging unit 110 stores the generated log connected to the connection log storage unit 140.

화면 캡쳐 로깅부(120)는 사용자가 관리자 단말(1000에 접속하여 화면이 바뀌는 경우, 화면 캡쳐 로그를 생성한다. 화면 캡쳐 로그는, 예를 들면 화면 캡쳐 시간 등을 포함할 수 있다. 화면 캡쳐 로깅부(120)는 생성한 화면 캡쳐 로그를 화면 캡쳐 로그 저장부(150)에 저장한다. Capture Logging unit 120 when a user screen is changed to connection to the administrator terminal (1000, it generates a screen capture logs to capture the log, and the like, for example, to capture the time to capture the log section 120 stores the generated log to the screen capture to capture the log storage unit 150.

키스트로크(keystroke) 로깅부(130)는 사용자가 관리자 단말(100)에 접속하여 키를 입력하는 경우, 키스트로크 로그를 생성한다. Keystrokes (keystroke) logging unit 130 generates, keystroke logs, if a user inputs a key to connect to the administrator terminal 100. 키스트로크 로그는, 예를 들면 키 입력 정보, 키 입력 시간 등을 포함할 수 있다. Log keystrokes, for example, it may include a key entry information, the key input time. 키스트로크 로깅부(130)는 생성한 키스트로크 로그를 키스트로크 로크 저장부(160)에 저장한다. Keystroke logging unit 130 stores the generated log keystrokes in the keystroke lock storage unit 160.

로그 수집부(170)는 접속 로그 저장부(140)에 저장된 접속 로그, 화면 캡쳐 로그 저장부(150)에 저장된 화면 캡쳐 로그 및 키스트로크 로그 저장부(160)에 저장된 키스트로크 로그를 수집한다. Log collecting unit 170 collects the stored access log, the keystroke logs stored in the screen capture logs and keystroke log storage unit 160 stored in the screen capture the log storage unit 150 to access the log storage unit 140. 그리고, 로그 수집부(170)는 세션 ID(Session Identification)가 동일한 사용자 접속 로그, 화면 캡쳐 로그 및 키스트로크 로그를 연결한다. Then, the log collecting unit 170 is connected to the same user access log, to capture the log and log keystrokes session (Session Identification) ID.

도 3은 본 발명의 한 실시예에 따른 서버의 블록도이다. 3 is a block diagram of a server in accordance with one embodiment of the present invention.

도 3을 참조하면, 서버(200)는 사용자 접근 로깅부(210), 사용자 행위 로깅부(220), 접근 로그 저장부(230), 사용자 행위 로그 저장부(240) 및 로그 수집부(250)를 포함한다. 3, the server 200 includes a user access log 210, user activity log 220, the access log storage unit 230, user behavior log storage unit 240 and the log acquisition unit 250 It includes.

사용자 접근 로깅부(210)는 단말이 서버(200)에 접근할 때 접근 로그를 생성한다. User access logging unit 210 generates the access log when the terminal has access to the server 200. 접근 로그는, 예를 들면 접근한 단말의 인터넷 프로토콜(Internet Protocol, IP) 주소 및 접근 시간을 포함할 수 있다. Access logs, for example, one approach may include the Internet protocol (Internet Protocol, IP) address, and the access time of the terminal. 사용자 접근 로깅부(210)는 생성한 접근 로그를 접근 로그 저장부(230)에 저장한다. User access logging unit 210 stores the generated access log in the access log storage unit 230.

사용자 행위 로깅부(220)는 단말이 서버(200)에 접근하여 사용자 행위(action)를 취하는 경우, 사용자 행위 로그를 생성한다. User actions logging unit 220, generates a user behavior log if the terminal has access to the server 200 takes the user behavior (action). 사용자 행위 로그는, 예를 들면 사용자 행위의 내용 및 시간을 포함할 수 있다. User behavior log, for example, may include information and time behavior of the user. 사용자 행위 로깅부(220)는 생성한 사용자 행위 로그를 사용자 행위 로그 저장부(240)에 저장한다. User actions logging unit 220 stores the generated user activity log in user behavior log storage unit 240. The

로그 수집부(250)는 접근 로그 저장부(230)에 저장된 접근 로그 및 행위 로그 저장부(240)에 저장된 행위 로그를 수집한다. Log collecting unit 250 collects the behavior log stored in the access log and performing log storage unit 240 stored in the access log storage unit 230. 그리고, 로그 수집부(250)는 세션 ID(Session Identification)가 동일한 접근 로그 및 행위 로그를 연결한다. Then, the log collecting unit 250 is connected to the same access log and performing log session (Session Identification) ID.

도 4는 본 발명의 한 실시예에 따른 탐지 서버의 블록도이다. 4 is a block diagram of a detection server according to one embodiment of the invention.

도 4를 참조하면, 탐지 서버(300)는 로그 수집부(310), 로그 연결부(320) 및 연결 분석부(330)를 포함한다. 4, the detection server 300 includes a log acquisition unit 310, a connection log 320 and connected analysis unit 330.

로그 수집부(310)는 복수의 관리자 단말(100-1, 100-2)로부터 단말 로그 정보를 수집하고, 복수의 서버(200-1, 200-2)로부터 서버 로그 정보를 수집한다. Log collecting unit 310 collects log information from a plurality terminals of the administrator terminal (100-1, 100-2), and collecting server log information from a plurality of servers (200-1, 200-2). 여기서, 단말 로그 정보는 동일한 세션 ID로 연결된 접속 로그, 화면 캡쳐 로그 및 키스트로크 로그이다. Here, the terminal log information is a connection log, to capture the log and log keystrokes associated with the same session ID. 그리고, 서버 로그 정보는 동일한 세션 ID로 연결된 접근 로그 및 사용자 행위 로그이다. The server log information is an access log and user activity logs associated with the same session ID.

로그 연결부(320)는 인터넷 프로토콜(Internet Protocol, IP) 주소 및 시간에 기초하여 단말 로그 정보와 서버 로그 정보를 연결한다. Connection log 320 is based on the Internet protocol (Internet Protocol, IP) address and the time to connect the terminal log information and log server information. 여기서, IP 주소는 서버(200)에 접근한 단말의 IP 주소이고, 시간은 접근 시간이며, IP 주소 및 시간은 서버(200)로부터 수집한 서버 로그 정보(즉, 접근 로그)에 포함될 수 있다. Here, the IP address is the IP address of a terminal for connection 200, the time is the access time, IP address, and time may be included in the server logs the information gathered from the server 200 (that is, the access log).

즉, 로그 연결부(320)는 서버 로그 정보에 포함된 IP 주소 및 시간에 기초하여 서버(200)에 접근한 단말을 추적하며, 추적한 단말로부터 수집한 단말 로그 정보를 해당 서버 로그 정보와 연결한다. That is, the log connection 320 tracks a terminal access to the server 200 on the basis of the IP address and the time in the server log information, connects to the terminal log information collected from the tracking station and the server, log information .

연결 분석부(330)는 연결된 단말 로그 정보와 서버 로그 정보를 분석하여 권한 도용 또는 이상 징후를 탐지한다. Connection analysis unit 330 analyzes the log information, and a server connected to the terminal log information, detects the authorization theft or anomalies. 즉, 연결 분석부(330)는 연결된 단말 로그 정보와 서버 로그 정보의 접속 로그 및 접근 로그를 비교하여, 권한이 도용되거나 오/남용되었는지를 탐지한다. That is, the connection analysis unit 330 compares the access log and access log of the terminal log information and log server information attached, to detect whether the authorization has been compromised, or O / abuse. 그리고, 연결 분석부(330)는 연결된 단말 로그 정보의 화면 캡쳐 로그 및 키스트로크 로그와 서버 로그 정보의 사용자 행위 로그를 비교하여, 이상 징후를 탐지한다. Then, the connectivity analysis unit 330 compares the user activity log of the log, and to capture the keystroke logs and log server information of the terminal log information attached, to detect the abnormality.

도 5는 본 발명의 한 실시예에 따른 이상 징후 탐지 방법을 나타내는 흐름도이다. Figure 5 is a flow chart showing the abnormality detecting process according to an embodiment of the present invention.

도 5를 참조하면, 서버(200)는 접근 로그 및 사용자 행위 로그를 생성한다(S500). 5, the server 200 generates an access log and the behavior log (S500). 단말이 서버(200)에 접근하는 경우, 서버(200)는 접근한 단말의 IP 주소 및 접근 시간을 포함하는 접근 로그를 생성한다. When the terminal has access to the server 200, the server 200 generates an access log that contains the IP address and the access time of the terminal access. 그리고, 단말이 서버(200)에 접근하여 사용자 행위(action)를 취하는 경우, 서버(200)는 사용자 행위의 내용 및 사용자 행위의 시간을 포함하는 사용자 행위 로그를 생성한다. Then, when the terminal accesses the server 200 takes the user behavior (action), the server 200 generates the user behavior log including time information, and the user behavior of a user action.

서버(200)는 동일한 세션 ID 를 가지는 접근 로그 및 사용자 행위 로그를 연결한다(S510). Server 200 is connected to the access log and the behavior log with the same session ID (S510). 동일한 세션 ID 에 의하여 연결된 접근 로그 및 사용자 행위 로그를 서버 로그 정보라 한다. Access logs and logs user activity connected by the same session ID is called server log information.

한편, 관리자 단말(100)은 접속 로그, 화면 캡쳐 로그 및 키스트로크 로그를 생성한다(S520). On the other hand, the administrator terminal 100 generates an access log, and to capture the log keystrokes log (S520). 사용자가 관리자 단말(100)에 접속하는 경우, 관리자 단말(100)은 사용자의 ID, 비밀번호 및 접속 시간을 포함하는 접속 로그를 생성한다. If the user is connected to the manager terminal 100, the administrator terminal 100 generates a connection log that includes the user's ID, password, and access time. 그리고, 사용자가 관리자 단말(100)에 접속하여 취하는 행위(action)에 따라 화면 캡쳐 로그 및 키스트로크 로그를 생성한다. And generates a screen capture logs and log keystrokes in accordance with the actions taken by the user and connected to the administrator terminal (100) (action).

관리자 단말(100)은 동일한 세션 ID 를 가지는 접속 로그, 화면 캡쳐 로그 및 키스트로크 로그를 연결한다(S530). The administrator terminal 100 is connected to a connection log, to capture the log and log keystrokes that have the same session ID (S530). 동일한 세션 ID에 의하여 연결된 접속 로그, 화면 캡쳐 로그 및 키스트로크 로그를 단말 로그 정보라 한다. A connection log, to capture the log and log keystrokes connected by the same session ID is referred to as the terminal log information.

탐지 서버(300)는 복수의 서버(200-1, 200-2)로부터 서버 로그 정보를 수집하고(S540), 복수의 관리자 단말(100-1, 100-2)로부터 단말 로그 정보를 수집한다(S550). Detection server 300 collects log information from the server a plurality of servers (200-1, 200-2) and collects log information from the terminal (S540), a plurality of administrator terminals (100-1, 100-2) ( S550).

탐지 서버(300)는 서버 로그 정보에 포함된 접근 로그로부터 IP 주소 및 시간을 추출하고, 추출한 IP 주소 및 시간에 기초하여 서버 로그 정보와 단말 로그 정보를 연결한다(S560). Detection server 300 extracts the IP address and the time from the access log in the server log information, and log information connecting the server and the terminal log information based on the extracted IP address and the time (S560). 표 1은 서버 로그 정보에 포함된 접근 로그로부터 추출한 IP 주소 및 시간의 일 예이고, 표 2는 단말 로그 정보를 전송한 단말의 IP 주소 및 접속 시간의 일 예이다. Table 1 is an IP address, and an example of time extracted from the access log in the server log information, Table 2 is an example of an IP address and connection time of transmitting the terminal log information terminal.

서버 로그 정보 List Server log information List 접근 로그에 포함된 IP 주소 The IP address included in the access log 접근 로그에 포함된 접근 시간 The access time includes in the access log
서버 로그 정보 1 Server log information 1 IP A IP A 12/10/22 16:10:22 12/10/22 16:10:22
서버 로그 정보 2 Server log information 2 IP A IP A 12/10/22 19:22:33 12/10/22 19:22:33
서버 로그 정보 3 Server log information 3 IP B IP B 12/10/22 19:23:34 12/10/22 19:23:34

단말 로그 정보 List Terminal log information List 전송한 단말의 IP 주소 Transmitting the IP address of the terminal 접속 로그에 포함된 접속 시간 The connection time included in the access log
단말 로그 정보 1 Terminal log information 1 IP A IP A 12/10/22 16:10:22 12/10/22 16:10:22
단말 로그 정보 2 Terminal log information 2 IP A IP A 12/10/22 19:22:33 12/10/22 19:22:33
단말 로그 정보 3 Terminal log information 3 IP B IP B 12/10/22 19:23:34 12/10/22 19:23:34

표 1 및 표 2를 참조하면, 서버 로그 정보 1에 포함된 접근 로그로부터 추출한 IP 주소는 A이므로, 서버 로그 정보 1은 A가 전송한 단말 로그 정보 1 또는 2와 연결할 수 있다. Referring to Table 1 and Table 2, since the IP address A is extracted from the access log in the server 1, the log information, the log information server 1 can be connected to one and the terminal A is transmitted log information 1 or 2; 그리고, 서버 로그 정보 1과 일치하는 시간 정보를 가지는 단말 로그 정보 1을 서버 로그 정보 1과 연결할 수 있다. And, the log server information terminal 1. log information 1 with the time information matching can be connected to the server log information 1.

탐지 서버(300)는 연결된 단말 로그 정보와 서버 로그 정보를 비교하여, 권한이 도용되거나 오/남용되었는지를 탐지한다(S570). Detection server 300 detects a connected terminal by comparing the log information and log server information, that the authority has been compromised, or O / abuse (S570). 예를 들어, 단말 로그 정보 1과 서버 로그 정보 1이 연결된 경우, 탐지 서버(300)는 단말 로그 정보 1에 포함된 접속 로그와 서버 로그 정보 1에 포함된 접근 로그를 분석하여 권한이 도용되었거나 오/남용되었는지를 탐지할 수 있다. For example, if the terminal log information 1 and server log information 1 is connected, the detection server 300 is O or a compromised permissions to analyze the access log contained in the access log to the server log information 1 contained in the terminal log information 1 It can detect if / abuse. 즉, 접속 로그와 접근 로그의 사용자가 동일한지 또는 정당한 권한이 있는지 등에 따라 권한의 도용을 탐지할 수 있다. In other words, user access logs and access logs can detect the theft of rights depending on whether the same or legitimate authority.

탐지 서버(300)는 연결된 단말 로그 정보와 서버 로그 정보를 비교하여, 이상 징후를 탐지한다(S580). Detection server 300 to compare the connected terminal log information and log server information, detects the abnormality (S580). 여기서, 이상 징후는 악성 코드에 의한 감염 또는 분산 공격 등일 수 있다. Here, the abnormality may be an infection or distributed attacks by malware. 예를 들어, 단말 로그 정보 1과 서버 로그 정보 1이 연결된 경우, 탐지 서버는 단말 로그 정보 1에 포함된 화면 캡쳐 로그 및 키스트로크 로그와 서버 로그 정보 1에 포함된 사용자 행위 로그를 분석하여 이상 징후를 탐지할 수 있다. For example, the terminal log information if the first and server log information 1 are connected, detects the server signs over analyzes user activity log contained in the screen capture logs and keystroke logs and server log information 1 contained in the terminal log information 1 the can be detected. 즉, 서버에서 사용자 행위는 발생하였으나, 동일 시간에 키 입력이 없거나 화면이 변화지 않는 경우, 즉 서버 로그 정보 1의 사용자 행위 로그와 단말 로그 정보 1의 화면 캡쳐 로그 또는 키스트로크 로그가 일치하지 않는 경우, 이상 징후인 것으로 탐지될 수 있다. That is, the user acts on the server, but occurs, or no key input at the same time, the screen does not change, that is, user behavior log and to capture the log or keystroke log of the terminal log information 1 in the server log information 1 does not match instances, it may be detected as an abnormality.

이와 같이, 탐지 서버(300)는 이기종 시스템, 즉 관리자 단말과 서버로부터 로그 정보를 통합 수집하고 연계하여 연결 로그를 생성하고, 이를 분석하여 권한 도용이나 이상 징후를 탐지할 수 있다. Thus, the detection server 300 can detect the different types of systems, that is, the administrator terminal and to the log information collected and integrated from a server linked to create a connection log, analyze them privileges theft or anomalies. 즉, 이기종 시스템에서 동일 사용자의 연관된 행위를 분석하여 이상 징후를 탐지함으로써, 침해 사고에 빠르게 대처할 수 있다. That is, by detecting anomalies by analyzing the behavior associated with the same user in a heterogeneous system can quickly respond to incidents.

그리고, 서버의 사용자 행위와 단말의 사용자 행위를 추적함으로써, 실제 운영자가 수행한 작업인지 악성 코드 등에 의한 작업인지를 확인할 수 있어, 침해 사고의 추적이 용이하다. And, by tracking user behavior and user behavior of a terminal server, that the actual operator can determine whether the work performed by operations such as malicious code, it is easy to keep track of incidents.

상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다. Wherein in a preferred embodiment it has been with reference to describe, to vary the invention within the scope not departing from the spirit and scope of the invention as set forth in the claims below are those skilled in the art modifications and variations of the present invention it will be appreciated that it can be.

100: 관리자 단말 200: 서버 100: administrator terminal 200: a server
300: 탐지 서버 310: 로그 수집부 300: detection server 310: The log collection unit
320: 로그 연결부 330: 연결 분석부 320: connection log 330: connection analyzer

Claims (10)

  1. 이상 징후를 탐지하는 탐지 서버에 있어서, In the detection server to detect any abnormality,
    적어도 하나의 관리자 단말로부터 접속 로그, 화면 캡쳐 로그 및 키스트로크(keystroke) 로그 중 적어도 하나를 포함하는 단말 로그 정보를 수집하고, 적어도 하나의 서버로부터 서버에 접근하는 단말의 접근 로그 및 사용자 행위 로그를 포함하는 서버 로그 정보를 수집하는 로그 수집부, A connection log, the access log and the action log of the terminal to access the screen capture logs and keystrokes (keystroke) collecting terminal log information which includes at least one of log, and the server from at least one server from at least one administrator terminal log collection unit that collects server log information including,
    상기 접근 로그에 포함되는 인터넷 프로토콜(Internet Protocol, IP) 주소와 접근 시간에 기초하여 상기 단말 로그 정보와 상기 서버 로그 정보를 연결하는 로그 연결부, 그리고 Log connection for connecting the terminal log information, the log server information based on the Internet protocol (Internet Protocol, IP) address and access time included in the access log, and
    상기 연결을 분석하여 권한 도용 또는 이상 징후를 탐지하는 연결 분석부 Connection for analyzing to detect the permission theft or any abnormality of the connected analysis unit
    를 포함하는 탐지 서버. Detection server containing.
  2. 제1항에 있어서, According to claim 1,
    상기 단말 로그 정보에 포함되는 접속 로그, 화면 캡쳐 로그 및 키스트로크(keystroke) 로그는 동일한 세션 ID(Session Identification)로 연결되고, The connection log, and to capture the log keystrokes (keystroke) logs contained in the log information terminal is connected to the same session ID (Identification Session),
    상기 서버 로그 정보에 포함되는 접근 로그 및 사용자 행위 로그는 동일한 세션 ID로 연결되는 탐지 서버. The access log and the behavior log included in a server log information detection servers that point to the same session ID.
  3. 제2항에 있어서, 3. The method of claim 2,
    상기 로그 연결부는 상기 서버 로그 정보에 포함된 상기 IP 주소와 상기 접근 시간에 기초하여 상기 서버에 접근한 관리자 단말을 추적하며, 추적한 관리자 단말로부터 수집한 단말 로그 정보를 상기 서버 로그 정보와 연결하는 탐지 서버. The log connection is based on the access time and the IP address included in the server, log information, and tracking the administrator terminal access to the server, for connecting the terminal log information collected from an administrator terminal trace to the server log information detection server.
  4. 제3항에 있어서, 4. The method of claim 3,
    상기 연결 분석부는 연결된 상기 단말 로그 정보와 상기 서버 로그 정보 중 상기 접속 로그와 상기 접근 로그를 분석하여 권한 도용 여부를 탐지하는 탐지 서버. The connecting analyzing unit connected to the terminal log information, the log server information of the server detected to detect whether or not permission compromised by analyzing the access log and the access log.
  5. 제3항에 있어서, 4. The method of claim 3,
    상기 연결 분석부는 연결된 상기 단말 로그 정보의 상기 화면 캡쳐 로그 및 상기 키스트로크 로그 중 적어도 하나와 상기 서버 로그 정보의 상기 사용자 행위 로그를 분석하여 이상 징후를 탐지하는 탐지 서버. The connecting analyzing unit connected to the terminal log information, the log screen capture and detection server to detect any abnormality by analyzing the user behavior of at least one log to the server log information of the log of the keystroke.
  6. 탐지 서버가 이상 징후를 탐지하는 탐지 방법에 있어서, In the detection method of the detection server detects an abnormality,
    적어도 하나의 관리자 단말로부터 접속 로그, 화면 캡쳐 로그 및 키스트로크(keystroke) 로그 중 적어도 하나를 포함하는 단말 로그 정보를 수집하고, 적어도 하나의 서버로부터 서버에 접근하는 단말의 접근 로그 및 사용자 행위 로그를 포함하는 서버 로그 정보를 수집하는 단계, A connection log, the access log and the action log of the terminal to access the screen capture logs and keystrokes (keystroke) collecting terminal log information which includes at least one of log, and the server from at least one server from at least one administrator terminal steps to collect server log information including,
    상기 접근 로그에 포함되는 인터넷 프로토콜(Internet Protocol, IP) 주소와 시간에 기초하여 상기 단말 로그 정보와 상기 서버 로그 정보를 연결하는 단계, 그리고 The method comprising connecting the terminal log information, the log server information based on the Internet protocol (Internet Protocol, IP) address and time included in the access log, and
    상기 연결을 분석하여 권한 도용 또는 이상 징후를 탐지하는 단계 Analyzing to detect the connection permission theft or anomalies
    를 포함하는 탐지 방법. Detection methods, including the.
  7. 제6항에 있어서, 7. The method of claim 6,
    상기 단말 로그 정보에 포함되는 접속 로그, 화면 캡쳐 로그 및 키스트로크(keystroke) 로그는 동일한 세션 ID로 연결되고, Connection log, screen capture and log keystrokes (keystroke) logs contained in the log information terminal is connected to the same session ID,
    상기 서버 로그 정보에 포함되는 접근 로그 및 사용자 행위 로그는 동일한 세션 ID로 연결되는 탐지 방법. The access log and the behavior log included in a server log information detection methods that lead to the same session ID.
  8. 제7항에 있어서, The method of claim 7,
    상기 연결하는 단계는, Wherein the connection is,
    상기 서버 로그 정보에 포함된 상기 IP 주소와 상기 접근 시간에 기초하여 상기 서버에 접근한 관리자 단말을 추적하며, 추적한 관리자 단말로부터 수집한 단말 로그 정보를 상기 서버 로그 정보와 연결하는 단계 A step of tracking the administrator terminal access to the server, and connecting the one terminal log information collected from the administrator terminal with the server tracking log information based on the access time and the IP address of the server included in the log information
    를 포함하는 탐지 방법. Detection methods, including the.
  9. 제8항에 있어서, The method of claim 8,
    상기 탐지하는 단계는, Wherein the detection,
    연결된 상기 단말 로그 정보와 상기 서버 로그 정보 중 상기 접속 로그와 상기 접근 로그를 분석하여 권한 도용 여부를 탐지하는 단계 It analyzes the log information associated with the terminal and the server, log information, the access log and the access log of detecting whether or not compromised permissions
    를 포함하는 탐지 방법. Detection methods, including the.
  10. 제8항에 있어서, The method of claim 8,
    상기 탐지하는 단계는, Wherein the detection,
    연결된 상기 단말 로그 정보의 상기 화면 캡쳐 로그 및 상기 키스트로크 로그 중 적어도 하나와 상기 서버 로그 정보의 상기 사용자 행위 로그를 분석하여 이상 징후를 탐지하는 단계 Connected to the screen of the terminal log information capture log and detecting an abnormality by analyzing the user behavior of at least one log to the server log information of the log keystrokes
    를 포함하는 탐지 방법. Detection methods, including the.
KR20120121456A 2012-10-30 2012-10-30 Detection server and method for detecting abnormal sign of the same KR101416927B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR20120121456A KR101416927B1 (en) 2012-10-30 2012-10-30 Detection server and method for detecting abnormal sign of the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20120121456A KR101416927B1 (en) 2012-10-30 2012-10-30 Detection server and method for detecting abnormal sign of the same

Publications (2)

Publication Number Publication Date
KR20140055103A true KR20140055103A (en) 2014-05-09
KR101416927B1 true KR101416927B1 (en) 2014-07-08

Family

ID=50886830

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20120121456A KR101416927B1 (en) 2012-10-30 2012-10-30 Detection server and method for detecting abnormal sign of the same

Country Status (1)

Country Link
KR (1) KR101416927B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101666791B1 (en) * 2016-07-07 2016-10-18 (주)유니스소프트 System and method of illegal usage prediction and security for private information

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006279636A (en) * 2005-03-30 2006-10-12 Hitachi Ltd Consistency guarantee management system for inter-client communication log
US20080275951A1 (en) * 2007-05-04 2008-11-06 International Business Machines Corporation Integrated logging for remote script execution

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006279636A (en) * 2005-03-30 2006-10-12 Hitachi Ltd Consistency guarantee management system for inter-client communication log
US20080275951A1 (en) * 2007-05-04 2008-11-06 International Business Machines Corporation Integrated logging for remote script execution

Also Published As

Publication number Publication date Type
KR20140055103A (en) 2014-05-09 application

Similar Documents

Publication Publication Date Title
McHugh Intrusion and intrusion detection
US20060161816A1 (en) System and method for managing events
US20030101260A1 (en) Method, computer program element and system for processing alarms triggered by a monitoring system
US20140165207A1 (en) Method for detecting anomaly action within a computer network
US20030196123A1 (en) Method and system for analyzing and addressing alarms from network intrusion detection systems
US20110277019A1 (en) System and method for secure access of a remote system
US20050182950A1 (en) Network security system and method
US20050060579A1 (en) Secure network system and associated method of use
US20030084319A1 (en) Node, method and computer readable medium for inserting an intrusion prevention system into a network stack
US20070192867A1 (en) Security appliances
US20030084321A1 (en) Node and mobile device for a mobile telecommunications network providing intrusion detection
US7197762B2 (en) Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits
US20070162954A1 (en) Network security system based on physical location
US20050216955A1 (en) Security attack detection and defense
US20090178139A1 (en) Systems and Methods of Network Security and Threat Management
US20070118534A1 (en) Auditing database end user activity in one to multi-tier web application and local environments
Wang et al. Security analysis of SITAR intrusion tolerance system
US20120260307A1 (en) Secure display system for prevention of information copying from any display screen system
Le et al. Doubleguard: Detecting intrusions in multitier web applications
US20080127346A1 (en) System and method of detecting anomaly malicious code by using process behavior prediction technique
US20100199345A1 (en) Method and System for Providing Remote Protection of Web Servers
US20090113074A1 (en) Variable DNS responses based on client identity
US20070124806A1 (en) Techniques for tracking actual users in web application security systems
US20110239300A1 (en) Web based remote malware detection
Asaka et al. The implementation of IDA: An intrusion detection agent system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170629

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180703

Year of fee payment: 5