KR101533961B1 - 네트워크 및 시스템 로그의 기간별 분포에 기반한 통계 분석 장치 및 방법 - Google Patents

네트워크 및 시스템 로그의 기간별 분포에 기반한 통계 분석 장치 및 방법 Download PDF

Info

Publication number
KR101533961B1
KR101533961B1 KR1020140028084A KR20140028084A KR101533961B1 KR 101533961 B1 KR101533961 B1 KR 101533961B1 KR 1020140028084 A KR1020140028084 A KR 1020140028084A KR 20140028084 A KR20140028084 A KR 20140028084A KR 101533961 B1 KR101533961 B1 KR 101533961B1
Authority
KR
South Korea
Prior art keywords
analysis
analysis target
risk
module
period
Prior art date
Application number
KR1020140028084A
Other languages
English (en)
Inventor
황보성
Original Assignee
주식회사 윈스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 윈스 filed Critical 주식회사 윈스
Priority to KR1020140028084A priority Critical patent/KR101533961B1/ko
Application granted granted Critical
Publication of KR101533961B1 publication Critical patent/KR101533961B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/022Capturing of monitoring data by sampling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mathematical Physics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Algebra (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

네트워크 및 시스템 로그의 기간별 분포에 기반한 통계 분석 장치 및 방법이 개시된다. 사용자의 입력에 따라 분석 대상 장비 및 해당 분석 대상 장비의 분석 기간을 설정하는 분석대상장비/분석기간 설정 모듈; 상기 분석대상장비/분석기간 설정 모듈에 의해 설정된 분석 대상 장비에 대해 상기 설정된 분석 기간 내의 분석 팩터(factor)를 샘플링 주기별로 카운트하는 분석 팩터(factor) 카운트 모듈; 상기 분석대상장비/분석기간 설정 모듈에 의해 설정된 분석 기간 내 샘플링 개수 n과 상기 샘플링 주기별로 카운트된 분석 팩터의 합 nT1을 이용하여 표준 편차를 계산하고, 계산된 표준 편차를 상기 nT1의 평균값으로 나누어 편중도를 산출하는 편중도 산출 모듈; 상기 편중도 산출 모듈에 의해 산출된 편중도를 이용하여 분석 대상 장비별로 위험을 감지하는 위험 감지 모듈을 구성한다. 상기와 네트워크 및 시스템 로그의 기간별 분포에 기반한 통계 분석 장치 및 방법에 의하면, 시스템이나 네트워크 장비의 로그나 미리 정해진 차단 정책이나 장비 행위 등의 기간별 패턴을 분석하고 그러한 패턴에 변화가 생겨 편중도가 심화되는지 분석함으로써, 데이터의 단순한 수치와는 별도로 네트워크나 시스템의 위험 상황과 위협을 보다 정확하고 빠르게 감지하고 분석할 수 있는 효과가 있다.

Description

네트워크 및 시스템 로그의 기간별 분포에 기반한 통계 분석 장치 및 방법{APPARATUS AND METHOD FOR ANALYZING STATS BASED ON PERIODIC DISTRIBUTION OF NETWORK AND SYSTEM LOG}
본 발명은 네트워크 및 시스템 로그에 관한 것으로서, 좀 더 구체적으로는 네트워크 및 시스템 로그의 기간별 분포에 기반한 통계 분석 장치 및 방법에 관한 것이다.
종래의 보안 시스템은 주로 네트워크 및 시스템 로그를 분석하여 위험을 감지하고 조치를 취하도록 구성되어 있다.
종전에는 주로 데이터의 수치를 기준으로 로그 시도가 많아지는지 또는 트래픽 양이 어느 정도되는지 등을 이용하여 위험을 감지하였다.
그런데, 이러한 단순한 수치의 크기나 합을 이용한 위험 감지는 위협이나 위험 상황을 정확하게 판단하기에는 다소 낮은 수준의 보안 감지율을 보이고 있다.
시스템 로그, 네트워크 장비의 탐지나 트래픽 양 등에 있어서 보여지는 꾸준히 보여지는 어떤 패턴을 분석/감지하여 패턴별로 위험이나 위협을 감지할 필요가 있다.
이러한 패턴은 시스템 로그나 그 외 다양한 분석 요소에 있어서 패턴의 변화가 보여 편중된 성향을 보이는지 감시할 필요가 있다.
종전의 방식에 의해서는 이와 같은 편중 패턴이나 이상 패턴을 감지하거나 이를 통한 위험의 감지가 이루어지지 않고 있다.
본 발명의 목적은 네트워크 및 시스템 로그의 기간별 분포에 기반한 통계 분석 장치를 제공하는 데 있다.
본 발명의 다른 목적은 화 네트워크 및 시스템 로그의 기간별 분포에 기반한 통계 분석 방법을 제공하는 데 있다.
상술한 본 발명의 목적에 따른 네트워크 및 시스템 로그의 기간별 분포에 기반한 통계 분석 장치는, 사용자의 입력에 따라 분석 대상 장비 및 해당 분석 대상 장비의 분석 기간을 설정하는 분석대상장비/분석기간 설정 모듈; 상기 분석대상장비/분석기간 설정 모듈에 의해 설정된 분석 대상 장비에 대해 상기 설정된 분석 기간 내의 분석 팩터(factor)를 샘플링 주기별로 카운트하는 분석 팩터(factor) 카운트 모듈; 상기 분석대상장비/분석기간 설정 모듈에 의해 설정된 분석 기간 내 샘플링 개수 n과 상기 샘플링 주기별로 카운트된 분석 팩터의 합 nT1을 이용하여 표준 편차를 계산하고, 계산된 표준 편차를 상기 nT1의 평균값으로 나누어 편중도를 산출하는 편중도 산출 모듈; 상기 편중도 산출 모듈에 의해 산출된 편중도를 이용하여 분석 대상 장비별로 위험을 감지하는 위험 감지 모듈을 포함하도록 구성될 수 있다.
여기에서, 상기 위험 감지 모듈은, 상기 편중도 산출 모듈에서 산출된 편중도가 소정 임계치보다 크고 100보다 작은 경우, 해당 분석 대상 장비에 대해 위험이 감지되는 것으로 판단하도록 구성될 수 있다.
그리고 상기 위험 감지 모듈은, 상기 편중도 산출 모듈에서 산출된 편중도의 크기가 큰 순서대로 상기 분석 대상 장비의 순위를 산출하고, 산출된 순위가 소정 임계 순위보다 높은 분석 대상 장비에 위험이 감지되는 것으로 판단하도록 구성될 수 있다.
그리고 상기 분석 팩터는, 소정 시스템 장비의 로그 분류 코드, 로그 발생 위치, 침입 차단 장비의 발생 위치, 미리 분류된 장비 행위, 미리 분류된 차단 정책, IP(internet protocol), 포트(port), 프로토콜(protocol), 내/외부 패킷 방향, 침입 탐지/방지 장비의 발생 위치, 탐지 시그너쳐(signature), 미리 분류된 차단 정책, IP(internet protocol), 포트(port), 프로토콜(protocol), 내/외부 패킷 방향, 트래픽 수집이 가능한 분석 대상 장비의 프로토콜, IP, 포트, 세션, 단말 보안 장비의 보안 이벤트, 로그, 타입 중 적어도 하나 이상으로 구성될 수 있다.
상술한 본 발명의 다른 목적에 따른 네트워크 및 시스템 로그의 기간별 분포에 기반한 통계 분석 방법은, 분석대상장비/분석기간 설정 모듈이 사용자의 입력에 따라 분석 대상 장비 및 해당 분석 대상 장비의 분석 기간을 설정하는 단계; 분석 팩터(factor) 카운트 모듈이 상기 분석대상장비/분석기간 설정 모듈에 의해 설정된 분석 대상 장비에 대해 상기 설정된 분석 기간 내의 분석 팩터(factor)를 샘플링 주기별로 카운트하는 단계; 편중도 산출 모듈이 상기 분석대상장비/분석기간 설정 모듈에 의해 설정된 분석 기간 내 샘플링 개수 n과 상기 샘플링 주기별로 카운트된 분석 팩터의 합 nT1을 이용하여 표준 편차를 계산하고, 계산된 표준 편차를 상기 nT1의 평균값으로 나누어 편중도를 산출하는 단계; 위험 감지 모듈이 상기 편중도 산출 모듈에 의해 산출된 편중도를 이용하여 분석 대상 장비별로 위험을 감지하는 단계를 포함하도록 구성될 수 있다.
이때, 상기 위험 감지 모듈이 상기 편중도 산출 모듈에 의해 산출된 편중도를 이용하여 분석 대상 장비별로 위험을 감지하는 단계는, 상기 위험 감지 모듈이 상기 편중도 산출 모듈에서 산출된 편중도가 소정 임계치보다 크고 100보다 작은 경우, 해당 분석 대상 장비에 대해 위험이 감지되는 것으로 판단하도록 구성될 수 있다.
그리고 상기 위험 감지 모듈이 상기 편중도 산출 모듈에 의해 산출된 편중도를 이용하여 분석 대상 장비별로 위험을 감지하는 단계는, 상기 위험 감지 모듈이 상기 편중도 산출 모듈에서 산출된 편중도의 크기가 큰 순서대로 상기 분석 대상 장비의 순위를 산출하고, 산출된 순위가 소정 임계 순위보다 높은 분석 대상 장비에 위험이 감지되는 것으로 판단하도록 구성될 수 있다.
그리고 상기 분석 팩터는, 소정 시스템 장비의 로그 분류 코드, 로그 발생 위치, 침입 차단 장비의 발생 위치, 미리 분류된 장비 행위, 미리 분류된 차단 정책, IP(internet protocol), 포트(port), 프로토콜(protocol), 내/외부 패킷 방향, 침입 탐지/방지 장비의 발생 위치, 탐지 시그너쳐(signature), 미리 분류된 차단 정책, IP(internet protocol), 포트(port), 프로토콜(protocol), 내/외부 패킷 방향, 트래픽 수집이 가능한 분석 대상 장비의 프로토콜, IP, 포트, 세션, 단말 보안 장비의 보안 이벤트, 로그, 타입 중 적어도 하나 이상으로 구성될 수 있다.
상기와 네트워크 및 시스템 로그의 기간별 분포에 기반한 통계 분석 장치 및 방법에 의하면, 시스템이나 네트워크 장비의 로그나 미리 정해진 차단 정책이나 장비 행위 등의 기간별 패턴을 분석하고 그러한 패턴에 변화가 생겨 편중도가 심화되는지 분석함으로써, 데이터의 단순한 수치와는 별도로 네트워크나 시스템의 위험 상황과 위협을 보다 정확하고 빠르게 감지하고 분석할 수 있는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 네트워크 및 시스템 로그의 기간별 분포에 기반한 통계 분석 장치의 블록 구성도이다.
도 2a 및 도 2b는 본 발명에 따른 편중도의 그래프이다.
도 3은 본 발명의 일 실시예에 따른 네트워크 및 시스템 로그의 기간별 분포에 기반한 통계 분석 방법의 흐름도이다.
본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 설명한다.
도 1은 본 발명의 일 실시예에 따른 네트워크 및 시스템 로그의 기간별 분포에 기반한 통계 분석 장치의 블록 구성도이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 네트워크 및 시스템 로그의 기간별 분포에 기반한 통계 분석 장치(이하, '통계 분석 장치'라 함)(100)는 분석대상장비/분석기간 설정 모듈(110), 분석 팩터(factor) 카운트 모듈(120), 편중도 산출 모듈(130), 위험 감지 모듈(140)을 포함하도록 구성될 수 있다.
통계 분석 장치(100)는 기간별로 시스템이나 네트워크 장비의 로그나 다양한 분석 팩터를 카운트하고, 그러한 카운트된 분석 팩터의 편중도를 산출하도록 구성된다.
시스템이나 네트워크 장비에서 평시에 꾸준히 보이는 패턴에 변화가 생겨 통계 분석 장치(100)에 의해 산출된 편중도가 심화되는지 분석하여 심화되면 위험이 있는 것으로 판단한다.
이하, 세부적인 구성에 대하여 설명한다.
분석대상장비/분석기간 설정 모듈(110)은 사용자의 입력에 따라 분석 대상 장비 및 해당 분석 대상 장비의 분석 기간을 설정하도록 구성될 수 있다.
그리고 여기에서 좀 더 세부적으로는, 분석 대상 장비별로 분석 팩터를 더 설정하도록 구성될 수 있다.
분석 팩터는 장비별로 다르게 설정될 수 있다.
분석 팩터로서는 소정 시스템 장비의 로그 분류 코드, 로그 발생 위치, 침입 차단 장비의 발생 위치, 미리 분류된 장비 행위, 미리 분류된 차단 정책, IP(internet protocol), 포트(port), 프로토콜(protocol), 내/외부 패킷 방향, 침입 탐지/방지 장비의 발생 위치, 탐지 시그너쳐(signature), 미리 분류된 차단 정책, IP(internet protocol), 포트(port), 프로토콜(protocol), 내/외부 패킷 방향, 트래픽 수집이 가능한 분석 대상 장비의 프로토콜, IP, 포트, 세션, 단말 보안 장비의 보안 이벤트, 로그, 타입 중 적어도 하나 이상으로 구성될 수 있다.
분석 팩터 카운트 모듈(120)은 분석대상장비/분석기간 설정 모듈(110)에 의해 설정된 분석 대상 장비에 대해 앞서 설정된 분석 기간 내의 분석 팩터(factor)를 샘플링 주기별로 카운트하도록 구성될 수 있다.
여기에서, 샘플링 주기는 5분, 10분, 15분, 30분, 1시간 등으로 설정될 수 있다.
편중도 산출 모듈(130)은 분석대상장비/분석기간 설정 모듈(110)에 의해 설정된 분석 기간 내 샘플링 개수 n과 샘플링 주기별로 카운트된 분석 팩터의 합 nT1을 이용하여 표준 편차를 계산하도록 구성될 수 있다.
여기에서, n과 T1의 개수는 일치한다.
한편, 편중도 산출 모듈(130)은 앞서 계산된 표준 편차를 nT1의 평균값으로 나누어 편중도를 산출하도록 구성될 수 있다.
편중도는 기존에 보이던 평상시의 분석 팩터의 패턴에 변화가 생기는 정도를 의미한다. 편중도는 0보다 크고 100보다 작은 값을 가지는데, 0에 가까울수록 분석 팩터의 분포가 균일하고 100에 가까울수록 분석 팩터의 분포가 산발적으로 발생하여 기간적으로 편중되는 특성을 보인다.
위험 감지 모듈(140)은 편중도 산출 모듈(130)에 의해 산출된 편중도를 이용하여 분석 대상 장비별로 위험을 감지하도록 구성될 수 있다.
위험 감지 모듈(140)은 편중도 산출 모듈(130)에서 산출된 편중도가 소정 임계치보다 크고 100보다 작은 경우, 해당 분석 대상 장비에 대해 위험이 감지되는 것으로 판단하도록 구성될 수 있다.
여기서, 임계치는 100에 가까운 값이며 임의로 설정이 변경될 수 있다.
한편, 위험 감지 모듈(140)은 편중도 산출 모듈(130)에서 산출된 편중도의 크기가 큰 순서대로 분석 대상 장비의 순위를 산출하도록 구성될 수 있다. 그리고 분석 대상 장비 중에서 그 산출된 순위가 소정 임계 순위보다 높은 분석 대상 장비에 위험이 감지되는 것으로 판단하도록 구성될 수 있다. 이러한 임계 순위 역시 임의로 설정이 변경될 수 있다.
그 순위가 상위에 있는 분석 대상 장비 즉 그 패턴의 편중이 다른 분석 대상 장비에 비해 심한 분석 대상 장비가 위험이 있는 것으로 판단될 수 있다.
편중도가 소정 임계치보다 큰 분석 대상 장비를 위험 장비로 감지하는 것은 절대적 기준에 의해 감지하는 방식이며, 편중도가 소정 순위 내에 있는 분석 대상 장비를 위험 장비로 감지하는 것은 상대적인 방식에 의해 감지하는 방식이라 볼 수 있다.
도 2a 및 도 2b는 본 발명에 따른 편중도의 그래프이다.
도 2a 및 도 2b는 시간의 변화에 따른 편중도를 나타낸다.
도 2a에서는 편중도가 시간의 경과에 따라 비교적 균일한 분포를 갖는 것으로 예시되어 있다. 즉, 편중도의 변화가 거의 없어 꾸준한 패턴을 나타내고 있다. 이러한 경우에는 위험이 없는 것으로 판단될 수 있다.
반면, 도 2b에서는 편중도가 시간의 경과에 따라 심한 변화를 나타낸다. 시간대별로 본다면 그 크기가 매우 산발적으로 나타나며 편중도가 심하다. 이러한 경우에는 위험이 있는 것으로 판단될 수 있다.
도 3은 본 발명의 일 실시예에 따른 네트워크 및 시스템 로그의 기간별 분포에 기반한 통계 분석 방법의 흐름도이다.
도 3을 참조하면, 먼저 분석대상장비/분석기간 설정 모듈(110)이 사용자의 입력에 따라 분석 대상 장비 및 해당 분석 대상 장비의 분석 기간을 설정한다(S101).
분석 팩터(factor) 카운트 모듈(120)이 분석대상장비/분석기간 설정 모듈(110)에 의해 설정된 분석 대상 장비에 대해 앞서 설정된 분석 기간 내의 분석 팩터(factor)를 샘플링 주기별로 카운트한다(S102).
여기에서, 분석 팩터는 소정 시스템 장비의 로그 분류 코드, 로그 발생 위치, 침입 차단 장비의 발생 위치, 미리 분류된 장비 행위, 미리 분류된 차단 정책, IP(internet protocol), 포트(port), 프로토콜(protocol), 내/외부 패킷 방향, 침입 탐지/방지 장비의 발생 위치, 탐지 시그너쳐(signature), 미리 분류된 차단 정책, IP(internet protocol), 포트(port), 프로토콜(protocol), 내/외부 패킷 방향, 트래픽 수집이 가능한 분석 대상 장비의 프로토콜, IP, 포트, 세션, 단말 보안 장비의 보안 이벤트, 로그, 타입 중 적어도 하나 이상으로 구성될 수 있다.
다음으로, 편중도 산출 모듈(130)이 분석대상장비/분석기간 설정 모듈(110)에 의해 설정된 분석 기간 내 샘플링 개수 n과 샘플링 주기별로 카운트된 분석 팩터의 합 nT1을 이용하여 표준 편차를 계산하고, 계산된 표준 편차를 nT1의 평균값으로 나누어 편중도를 산출한다(S103).
다음으로, 위험 감지 모듈(140)이 편중도 산출 모듈(130)에 의해 산출된 편중도를 이용하여 분석 대상 장비별로 위험을 감지한다(S104).
이때, 위험 감지 모듈(140)이 편중도 산출 모듈(130)에서 산출된 편중도가 소정 임계치보다 크고 100보다 작은 경우, 해당 분석 대상 장비에 대해 위험이 감지되는 것으로 판단하도록 구성될 수 있다.
한편, 위험 감지 모듈(140)이 편중도 산출 모듈(130)에서 산출된 편중도의 크기가 큰 순서대로 분석 대상 장비의 순위를 산출하고, 산출된 순위가 소정 임계 순위보다 높은 분석 대상 장비에 위험이 감지되는 것으로 판단하도록 구성될 수도 있다.
이상 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변환시킬 수 있음을 이해할 수 있을 것이다.

Claims (8)

  1. 사용자의 입력에 따라 분석 대상 장비 및 해당 분석 대상 장비의 분석 기간을 설정하는 분석대상장비/분석기간 설정 모듈;
    상기 분석대상장비/분석기간 설정 모듈에 의해 설정된 분석 대상 장비에 대해 상기 설정된 분석 기간 내의 분석 팩터(factor)를 샘플링 주기별로 카운트하는 분석 팩터(factor) 카운트 모듈;
    상기 분석대상장비/분석기간 설정 모듈에 의해 설정된 분석 기간 내 샘플링 개수 n과 상기 샘플링 주기별로 카운트된 분석 팩터의 합 nT1을 이용하여 표준 편차를 계산하고, 계산된 표준 편차를 상기 nT1의 평균값으로 나누어 편중도를 산출하는 편중도 산출 모듈;
    상기 편중도 산출 모듈에 의해 산출된 편중도를 이용하여 분석 대상 장비별로 위험을 감지하는 위험 감지 모듈을 포함하고,
    상기 위험 감지 모듈은,
    상기 편중도 산출 모듈에서 산출된 편중도의 크기가 큰 순서대로 상기 분석 대상 장비의 순위를 산출하고, 산출된 순위가 소정 임계 순위보다 높은 분석 대상 장비에 위험이 감지되는 것으로 판단하도록 구성되고,
    상기 분석 팩터는,
    소정 시스템 장비의 로그 분류 코드, 로그 발생 위치, 침입 차단 장비의 발생 위치, 미리 분류된 장비 행위, 미리 분류된 차단 정책, IP(internet protocol), 포트(port), 프로토콜(protocol), 내/외부 패킷 방향, 침입 탐지/방지 장비의 발생 위치, 탐지 시그너쳐(signature), 미리 분류된 차단 정책, IP(internet protocol), 포트(port), 프로토콜(protocol), 내/외부 패킷 방향, 트래픽 수집이 가능한 분석 대상 장비의 프로토콜, IP, 포트, 세션, 단말 보안 장비의 보안 이벤트, 로그, 타입으로 구성되는 것을 특징으로 하는 네트워크 및 시스템 로그의 기간별 분포에 기반한 통계 분석 장치.
  2. 제1항에 있어서, 상기 위험 감지 모듈은,
    상기 편중도 산출 모듈에서 산출된 편중도가 소정 임계치보다 크고 100보다 작은 경우, 해당 분석 대상 장비에 대해 위험이 감지되는 것으로 판단하는 것을 특징으로 하는 네트워크 및 시스템 로그의 기간별 분포에 기반한 통계 분석 장치.
  3. 삭제
  4. 삭제
  5. 분석대상장비/분석기간 설정 모듈이 사용자의 입력에 따라 분석 대상 장비 및 해당 분석 대상 장비의 분석 기간을 설정하는 단계;
    분석 팩터(factor) 카운트 모듈이 상기 분석대상장비/분석기간 설정 모듈에 의해 설정된 분석 대상 장비에 대해 상기 설정된 분석 기간 내의 분석 팩터(factor)를 샘플링 주기별로 카운트하는 단계;
    편중도 산출 모듈이 상기 분석대상장비/분석기간 설정 모듈에 의해 설정된 분석 기간 내 샘플링 개수 n과 상기 샘플링 주기별로 카운트된 분석 팩터의 합 nT1을 이용하여 표준 편차를 계산하고, 계산된 표준 편차를 상기 nT1의 평균값으로 나누어 편중도를 산출하는 단계;
    위험 감지 모듈이 상기 편중도 산출 모듈에 의해 산출된 편중도를 이용하여 분석 대상 장비별로 위험을 감지하는 단계를 포함하고,
    상기 위험 감지 모듈이 상기 편중도 산출 모듈에 의해 산출된 편중도를 이용하여 분석 대상 장비별로 위험을 감지하는 단계는,
    상기 위험 감지 모듈이 상기 편중도 산출 모듈에서 산출된 편중도의 크기가 큰 순서대로 상기 분석 대상 장비의 순위를 산출하고, 산출된 순위가 소정 임계 순위보다 높은 분석 대상 장비에 위험이 감지되는 것으로 판단하도록 구성되고,
    상기 분석 팩터는,
    소정 시스템 장비의 로그 분류 코드, 로그 발생 위치, 침입 차단 장비의 발생 위치, 미리 분류된 장비 행위, 미리 분류된 차단 정책, IP(internet protocol), 포트(port), 프로토콜(protocol), 내/외부 패킷 방향, 침입 탐지/방지 장비의 발생 위치, 탐지 시그너쳐(signature), 미리 분류된 차단 정책, IP(internet protocol), 포트(port), 프로토콜(protocol), 내/외부 패킷 방향, 트래픽 수집이 가능한 분석 대상 장비의 프로토콜, IP, 포트, 세션, 단말 보안 장비의 보안 이벤트, 로그, 타입으로 구성되는 것을 특징으로 하는 네트워크 및 시스템 로그의 기간별 분포에 기반한 통계 분석 방법.
  6. 제5항에 있어서, 상기 위험 감지 모듈이 상기 편중도 산출 모듈에 의해 산출된 편중도를 이용하여 분석 대상 장비별로 위험을 감지하는 단계는,
    상기 위험 감지 모듈이 상기 편중도 산출 모듈에서 산출된 편중도가 소정 임계치보다 크고 100보다 작은 경우, 해당 분석 대상 장비에 대해 위험이 감지되는 것으로 판단하는 것을 특징으로 하는 네트워크 및 시스템 로그의 기간별 분포에 기반한 통계 분석 방법.
  7. 삭제
  8. 삭제
KR1020140028084A 2014-03-11 2014-03-11 네트워크 및 시스템 로그의 기간별 분포에 기반한 통계 분석 장치 및 방법 KR101533961B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140028084A KR101533961B1 (ko) 2014-03-11 2014-03-11 네트워크 및 시스템 로그의 기간별 분포에 기반한 통계 분석 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140028084A KR101533961B1 (ko) 2014-03-11 2014-03-11 네트워크 및 시스템 로그의 기간별 분포에 기반한 통계 분석 장치 및 방법

Publications (1)

Publication Number Publication Date
KR101533961B1 true KR101533961B1 (ko) 2015-07-06

Family

ID=53789157

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140028084A KR101533961B1 (ko) 2014-03-11 2014-03-11 네트워크 및 시스템 로그의 기간별 분포에 기반한 통계 분석 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101533961B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170019302A (ko) * 2015-08-11 2017-02-21 한국전자통신연구원 스마트그리드 기기의 침해사고 탐지 장치 및 방법
CN108777644A (zh) * 2018-08-20 2018-11-09 中国联合网络通信集团有限公司 一种离网可能性的预测方法、装置和网络系统
CN116112381A (zh) * 2023-01-03 2023-05-12 中国联合网络通信集团有限公司 维系渠道的确定方法、装置及计算机可读存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005236863A (ja) * 2004-02-23 2005-09-02 Kddi Corp ログ分析装置、ログ分析プログラムおよび記録媒体
KR20110071801A (ko) * 2009-12-21 2011-06-29 한국전자통신연구원 단말 원격 모니터링 장치 및 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005236863A (ja) * 2004-02-23 2005-09-02 Kddi Corp ログ分析装置、ログ分析プログラムおよび記録媒体
KR20110071801A (ko) * 2009-12-21 2011-06-29 한국전자통신연구원 단말 원격 모니터링 장치 및 방법

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170019302A (ko) * 2015-08-11 2017-02-21 한국전자통신연구원 스마트그리드 기기의 침해사고 탐지 장치 및 방법
KR101719698B1 (ko) * 2015-08-11 2017-03-24 한국전자통신연구원 스마트그리드 기기의 침해사고 탐지 장치 및 방법
CN108777644A (zh) * 2018-08-20 2018-11-09 中国联合网络通信集团有限公司 一种离网可能性的预测方法、装置和网络系统
CN108777644B (zh) * 2018-08-20 2021-07-13 中国联合网络通信集团有限公司 一种离网可能性的预测方法、装置和网络系统
CN116112381A (zh) * 2023-01-03 2023-05-12 中国联合网络通信集团有限公司 维系渠道的确定方法、装置及计算机可读存储介质

Similar Documents

Publication Publication Date Title
JP6574332B2 (ja) データ分析システム
US20160352759A1 (en) Utilizing Big Data Analytics to Optimize Information Security Monitoring And Controls
CN107968791B (zh) 一种攻击报文的检测方法及装置
Fernandes Jr et al. Autonomous profile-based anomaly detection system using principal component analysis and flow analysis
KR101533961B1 (ko) 네트워크 및 시스템 로그의 기간별 분포에 기반한 통계 분석 장치 및 방법
CN108965055A (zh) 一种基于历史时间取点法的网络流量异常检测方法
Gómez et al. Design of a snort-based hybrid intrusion detection system
Avalappampatty Sivasamy et al. A dynamic intrusion detection system based on multivariate Hotelling’s T2 statistics approach for network environments
Waskita et al. A simple statistical analysis approach for intrusion detection system
Soniya et al. Detection of randomized bot command and control traffic on an end-point host
WO2015186155A1 (ja) ログ分析装置、及びログ分析方法
Kuznetsov et al. Variance analysis of networks traffic for intrusion detection in smart grids
CN114189361A (zh) 防御威胁的态势感知方法、装置及系统
Callegari et al. Detecting anomalies in backbone network traffic: a performance comparison among several change detection methods
Li et al. Covert timing channel detection method based on random forest algorithm
CN106790211B (zh) 一种预测恶意软件感染的统计预测系统和方法
CN105493096A (zh) 分布式模式发现
Prakash et al. Attack detection based on statistical analysis of smartphone resource utilization
Kim et al. Hybrid intrusion forecasting framework for early warning system
KR20150088047A (ko) 접속시간 기준 평판생성 방법, 그리고 이를 이용한 DDoS 방어 방법 및 시스템
KR101229012B1 (ko) 시그니처 탐지 장치 및 방법
KR101701310B1 (ko) DDoS 공격 탐지 장치 및 방법
Wang et al. A new anomaly detection method based on igte and igfe
RU2728763C1 (ru) Адаптивная система мониторинга информационно-технических воздействий
KR101593109B1 (ko) 이상 트래픽 탐지 장치 및 이상 트래픽 탐지 방법

Legal Events

Date Code Title Description
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180702

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190701

Year of fee payment: 5