KR101542534B1 - Unusual action decision system - Google Patents

Unusual action decision system Download PDF

Info

Publication number
KR101542534B1
KR101542534B1 KR1020130134805A KR20130134805A KR101542534B1 KR 101542534 B1 KR101542534 B1 KR 101542534B1 KR 1020130134805 A KR1020130134805 A KR 1020130134805A KR 20130134805 A KR20130134805 A KR 20130134805A KR 101542534 B1 KR101542534 B1 KR 101542534B1
Authority
KR
South Korea
Prior art keywords
log
original
analysis
real
information
Prior art date
Application number
KR1020130134805A
Other languages
Korean (ko)
Other versions
KR20150053070A (en
Inventor
이상준
손민기
이진택
Original Assignee
유넷시스템주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 유넷시스템주식회사 filed Critical 유넷시스템주식회사
Priority to KR1020130134805A priority Critical patent/KR101542534B1/en
Publication of KR20150053070A publication Critical patent/KR20150053070A/en
Application granted granted Critical
Publication of KR101542534B1 publication Critical patent/KR101542534B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment

Abstract

본 발명은 이상 행위 판단 시스템에 관한 것으로서, 계정계 시스템과 상기 계정계 시스템에 연동되는 하나 이상의 관련 시스템을 포함하는 로그제공시스템; 및 상기 로그제공시스템으로부터 로그인 관련 원본로그를 전송받아 기 저장된 위반리스트와 비교하여 해당 원본로그의 정상유무를 분석하는 로그분석시스템;을 포함하며, 상기 로그분석시스템은 분석된 해당 원본로그의 정상유무에 대한 분석 결과를 상기 계정계 시스템으로 전송하는 것을 특징으로 한다.
이에 의해, 로그분석시스템에서 특정 시스템으로부터 수집한 로그를 분석하고, 분석 결과를 해당 시스템으로 전송하여 공유하는 인터랙티브한 양방향 분석 기술을 구현할 수 있으며, 로그분석시스템에서 로그분석을 실시간으로 수행하여 비이상 정보를 실시간으로 파악함과 동시에 설정된 주기 동안 전송된 원본로그를 비실시간적으로 분석하여 비이상 정보가 저장되는 위반정보모듈에 누적 업데이트시킴으로써, 이상 행위 판단의 신뢰도를 향상시킬 수 있다.The present invention relates to an abnormal behavior judging system, comprising: a log providing system including an accounting system and at least one related system interlocked with the accounting system; And a log analysis system for receiving an original log-related log from the log providing system and comparing the original log-related log with a pre-stored violation list to analyze whether the original log is normal or not, wherein the log analysis system determines whether the original log And transmits the analysis result to the accounting system.
This enables the log analysis system to analyze logs collected from a specific system and to transfer the analysis results to the relevant system for sharing and to implement an interactive bi-directional analysis technology. In the log analysis system, log analysis is performed in real time, Information can be grasped in real time, and the original log transmitted during a set period can be analyzed in a non-real time manner, and cumulative update is performed in the violation information module in which the non-abnormal information is stored, thereby improving the reliability of the abnormal behavior judgment.

Figure R1020130134805
Figure R1020130134805

Description

이상 행위 판단 시스템{UNUSUAL ACTION DECISION SYSTEM}{UNUSUAL ACTION DECISION SYSTEM}

본 발명은 이상 행위 판단 시스템에 관한 것이다.The present invention relates to an abnormal behavior judgment system.

일반적으로, 통신을 통한 시스템 연계는 여러 기관의 주요 활동과 경쟁력에 큰 영향을 미치는 중요한 기반 기술로 인정받고있으며, 통신 활용의 증가에 따른 통신 시스템에 대한 침해 사고 또한 급증하고 있는 추세이며, 통신 시스템에 공격기법은 점점 더 복잡해지고 새로워지고 있다.In general, system linkage through communication is recognized as an important infrastructure technology that greatly affects major activities and competitiveness of various organizations. Infringement accidents on communication system due to increase in communication utilization are also increasing rapidly, Attack techniques are becoming increasingly complex and new.

이러한 침해 사고를 예방하기 위해 각종 보안 대책이 적용되고 있으며, 대표적으로는 계정계 시스템으로 접속하는 사용자 로그인 정보(원본로그)를 분석하여 비정상 정보를 취합하는 로그분석시스템이 적용되고 있으며, 관련 종래기술로는 대한민국 등록특허공보 제10-0894331호가 있었다.In order to prevent such an infringement accident, various security measures are applied. As a typical example, a log analysis system for analyzing user login information (original log) accessing to an account system and collecting abnormal information is applied. Korean Patent Registration No. 10-0894331.

그러나, 상기 종래기술은 로그분석시스템에서 특정 시스템(계정계 시스템 또는 계정계 시스템과 연동하는 관련 시스템)으로부터 수집한 로그를 분석하고, 분석 결과를 해당 시스템과 공유하지 않는 수동적인 일방향 분석 및 대응 방법이라는 문제점이 있었다.However, the above-mentioned prior arts have a problem of analyzing logs collected from a specific system (an accounting system or an associated system linked with an accounting system) in the log analysis system, and a passive one-way analysis and countermeasures .

본 발명은 상기 문제점을 개선하기 위하여 창작된 것으로써, 본 발명의 목적은, 로그분석시스템에서 특정 시스템(계정계 시스템 또는 계정계 시스템과 연동하는 관련 시스템)으로부터 수집한 로그를 분석하고, 분석 결과를 해당 시스템으로 전송하여 공유하는 인터랙티브한 양방향 분석 기술을 제공하는 데 있다.SUMMARY OF THE INVENTION The present invention has been made in order to solve the above problem, and it is an object of the present invention to analyze a log collected from a specific system (an accounting system or an associated system linked with an accounting system) in a log analysis system, Interactive analytical technology that is transmitted to and shared by a system.

본 발명의 또 다른 목적은, 로그분석시스템에서 로그분석을 실시간으로 수행하여 비이상 정보를 실시간으로 파악함과 동시에 설정된 주기 동안 전송된 원본로그를 비실시간적으로 분석하여 비이상 정보가 저장되는 위반정보모듈에 누적 업데이트시킴으로써, 이상 행위 판단의 신뢰도를 향상시킬 수 있는 기술을 제공하는 데 있다.It is still another object of the present invention to provide a method and system for analyzing non-abnormal information in real time by performing log analysis in real time in a log analyzing system and at the same time analyzing an original log transmitted during a set period in a non- The present invention provides a technique for improving the reliability of abnormal behavior judgment by cumulatively updating the module.

상기 목적은, 본 발명에 따라, 계정계 시스템과 상기 계정계 시스템에 연동되는 하나 이상의 관련 시스템을 포함하는 로그제공시스템; 및 상기 로그제공시스템으로부터 로그인 관련 원본로그를 전송받아 기 저장된 위반리스트와 비교하여 해당 원본로그의 정상유무를 분석하는 로그분석시스템;을 포함하며, 상기 로그분석시스템은 분석된 해당 원본로그의 정상유무에 대한 분석 결과를 상기 계정계 시스템으로 전송하는 이상 행위 판단 시스템에 의해 달성될 수 있다.This object is achieved according to the invention by a log providing system comprising an accounting system and one or more related systems associated with the accounting system; And a log analysis system for receiving an original log-related log from the log providing system and comparing the original log-related log with a pre-stored violation list to analyze whether the original log is normal or not, wherein the log analysis system determines whether the original log And transmitting the analysis result to the accounting system.

상기 로그분석시스템은, 상기 계정계 시스템 및 관련 시스템으로부터 전송되는 원본로그를 저장하는 저장모듈; 상기 저장모듈로 저장되는 원본로그의 분석을 실시간적으로 수행하는 실시간 분석부; 상기 저장모듈로 저장되는 원본로그의 분석을 사전에 설정된 주기별로 수행하는 비실시간 분석부; 및 기 설정된 정책 위반 정보 및 상기 비실시간 분석부로로부터 분석된 비정상 로그인 정보를 포함하는 위반정보모듈;을 포함한다.Wherein the log analysis system comprises: a storage module for storing an original log transmitted from the accounting system and the related system; A real-time analyzer for analyzing an original log stored in the storage module in real time; A non-real-time analysis unit for analyzing an original log stored in the storage module in a preset cycle; And a violation information module including predetermined policy violation information and abnormal login information analyzed from the non-real-time analysis unit.

여기서, 상기 실시간 분석부는 실시간으로 수집되는 원본로그 정보와 상기 위반정보모듈에 저장된 정보를 비교하여 원본로그 정보가 위반정보모듈에 저장된 정보에 포함되었는지의 여부를 판단하여 해당 결과를 특정 통신 프로토콜을 사용하여 상기 계정계 시스템으로 전송하도록 마련된다.Here, the real-time analyzer compares the original log information collected in real time with the information stored in the violation information module to determine whether the original log information is included in the information stored in the violation information module, and transmits the result to a specific communication protocol To the accounting system.

또한, 상기 비실시간 분석부는 사전에 설정된 주기를 기준으로 해당 주기동안 수집된 원본로그에 대한 분석을 통해 해당 원본로그의 비정상 로그인 정보를 상기 위반정보모듈에 업데이트시키도록 마련된다.Also, the non-real-time analyzing unit is configured to update the abnormal log-in information of the original log to the violation information module through the analysis of the original log collected during the period based on the predetermined period.

한편, 상기 위반정보모듈은 관리단말과 연동되며, 상기 관리단말은 정책 변화에 따른 정보 변동 사항을 위반정보모듈에 반영하도록 마련될 수 있다.Meanwhile, the violation information module is interlocked with the management terminal, and the management terminal can be arranged to reflect the information change according to the policy change in the violation information module.

본 발명에 의해, 로그분석시스템에서 특정 시스템으로부터 수집한 로그를 분석하고, 분석 결과를 해당 시스템으로 전송하여 공유하는 인터랙티브한 양방향 분석 시스템을 구현할 수 있다.According to the present invention, it is possible to implement an interactive bi-directional analysis system in which logs collected from a specific system are analyzed in a log analysis system, and the analysis results are transmitted to the corresponding system and shared.

또한, 로그분석시스템에서 로그분석을 실시간으로 수행하여 비이상 정보를 실시간으로 파악함과 동시에 설정된 주기 동안 전송된 원본로그를 비실시간적으로 분석하여 비이상 정보가 저장되는 위반정보모듈에 누적 업데이트시킴으로써, 이상 행위 판단의 신뢰도를 향상시킬 수 있다.In addition, the log analysis system performs log analysis in real time to grasp the non-abnormal information in real time, simultaneously analyzes the original log transmitted during the set period, and cumulatively updates the non-abnormal information module to the non-abnormal information module, The reliability of the abnormal behavior judgment can be improved.

첨부의 하기 도면들은, 전술한 발명의 상세한 설명과 함께 본 발명의 기술적 사상을 이해시키기 위한 것이므로, 본 발명은 하기 도면에 도시된 사항에 한정 해석되어서는 아니 된다.
도 1 은 본 발명에 따른 이상 행위 판단 시스템의 블럭도이다.BRIEF DESCRIPTION OF THE DRAWINGS The accompanying drawings, which are included to provide a further understanding of the invention and are incorporated in and constitute a part of this specification, illustrate embodiments of the invention and, together with the description, serve to explain the principles of the invention.
1 is a block diagram of an abnormal behavior judgment system according to the present invention.

이하, 첨부된 도면을 참조하여 본 발명의 구성을 상세히 설명하기로 한다. Hereinafter, the configuration of the present invention will be described in detail with reference to the accompanying drawings.

이에 앞서, 본 명세서 및 청구범위에 사용된 용어는 사전적인 의미로 한정 해석되어서는 아니되며, 발명자는 자신의 발명을 최선의 방법으로 설명하기 위해 용어의 개념을 적절히 정의할 수 있다는 원칙에 입각하여, 본 발명의 기술적 사상에 부합되는 의미와 개념으로 해석되어야 한다.Prior to this, the terms used in the specification and claims should not be construed in a dictionary sense, and the inventor may, on the principle that the concept of a term can be properly defined in order to explain its invention in the best way And should be construed in light of the meanings and concepts consistent with the technical idea of the present invention.

따라서, 본 명세서에 기재된 실시예 및 도면에 도시된 구성은 본 발명의 바람직한 실시예에 불과할 뿐이고, 본 발명의 기술적 사상을 모두 표현하는 것은 아니므로, 본 출원 시점에 있어 이들을 대체할 수 있는 다양한 균등물과 변형예들이 존재할 수 있음을 이해하여야 한다.
Therefore, the embodiments shown in the present specification and the drawings are only exemplary embodiments of the present invention, and not all of the technical ideas of the present invention are presented. Therefore, various equivalents It should be understood that water and variations may exist.

도 1 은 본 발명에 따른 이상 행위 판단 시스템의 블럭도이다.1 is a block diagram of an abnormal behavior judgment system according to the present invention.

도 1 을 참조하면, 본 발명에 따른 이상 행위 판단 시스템은, 로그제공시스템(100)과 로그분석시스템(200)을 포함한다.Referring to FIG. 1, the abnormal behavior determination system according to the present invention includes a log providing system 100 and a log analysis system 200.

여기서, 로그제공시스템(100)은 계정계 시스템(110)과 본 계정계 시스템(110)과 연동되는 하나 이상의 관련 시스템(120)으로 마련되며, 사용자 로그인 정보에 대한 원본로그를 로그분석시스템(200)으로 전송하여 분석을 요청하도록 마련된다.Here, the log providing system 100 is provided with an account system 110 and one or more related systems 120 interlocked with the account system 110, and an original log of user login information is provided to the log analysis system 200 To request analysis.

또한, 로그분석시스템(200)은 로그제공시스템(100)으로부터 로그인 관련 원본로그를 전송받아 기 저장된 위반리스트(정책적 위반 정보, 비인가 정보 등이 반영됨)와 비교하여 해당 원본로그의 정상유무를 분석하는 역할을 수행하며, 분석된 결과를 계정계 시스템(110)으로 전송하도록 마련된다.In addition, the log analysis system 200 analyzes the normal log of the log by comparing the log-related original log from the log log system 100 with a previously stored breach list (reflecting policy violation information, unauthorized information, etc.) And transmits the analyzed result to the accounting system 110. [0050]

여기서, 로그분석시스템(200)은, 저장모듈(210)과 실시간 분석부(222)와 비실시간 분석부(224) 및 위반정보모듈(230)을 포함한다.Here, the log analysis system 200 includes a storage module 210, a real-time analysis unit 222, a non-real-time analysis unit 224, and a violation information module 230.

저장모듈(210)은 계정계 시스템(110) 및 관련 시스템(120)으로부터 전송되는 원본로그를 저장하는 역할을 수행하며, 저장된 원본로그에 대한 분석을 위해 대상 원본로그를 실시간 또는 비실시간적으로 실시간 분석부(222) 또는 비실시간 분석부(224)로 전달한다.The storage module 210 stores an original log transmitted from the accounting system 110 and the related system 120. In order to analyze the original log stored in the storage module 210, Real-time analyzer unit 222 or the non-real-

위반정보모듈(230)은 기 설정된 정책 위반 정보 및 실시간 분석부(222) 또는 비실시간 분석부(224)로부터 분석된 비정상 로그인 정보를 수집하여 저장 및 반영한다.The violation information module 230 collects, stores, and reflects predetermined policy violation information and abnormal login information analyzed by the real-time analysis unit 222 or the non-real-time analysis unit 224. [

여기서, 실시간 분석부(222)는 저장모듈(210)로 저장되는 원본로그의 분석을 실시간적으로 수행하며, 비실시간 분석부(224)는 저장모듈(210)로 저장되는 원본로그의 분석을 사전에 설정된 주기별로 수행한다.Here, the real-time analyzer 222 analyzes the original log stored in the storage module 210 in real time, and the non-real-time analyzer 224 analyzes the original log stored in the storage module 210 in advance As shown in FIG.

실시간 분석부(222)와 비실시간 분석부(224)는 시스템의 설계에 따라 통합 또는 분리되어 구축될 수 있으며, 실시간분석부(222)와 비실시간 분석부(224)가 통합 설치될 수도 있으며, 도 1 에서와 같이, 실시간 분석부(222)와 비실시간 분석부(224)가 독립적으로 배치되어 각각의 역할을 수행하도록 마련될 수도 있다.The real-time analyzer 222 and the non-real-time analyzer 224 may be integrated or separated according to the design of the system, and the real-time analyzer 222 and the non- As shown in FIG. 1, the real-time analysis unit 222 and the non-real-time analysis unit 224 may be independently arranged and perform their respective roles.

구체적으로는, 실시간 분석부(222)는 실시간으로 수집되는 원본로그 정보와 위반정보모듈(230)에 저장된 정보를 비교하여 원본로그 정보가 위반정보모듈(230)에 저장된 정보에 포함되었는지의 여부를 판단하여 해당 결과를 특정 통신 프로토콜(syslog 등)을 사용하여 계정계 시스템(110)으로 전송하도록 마련된다.Specifically, the real-time analyzer 222 compares the original log information collected in real time with the information stored in the violation information module 230 to determine whether the original log information is included in the information stored in the violation information module 230 And send the result to the accounting system 110 using a specific communication protocol (such as syslog).

또한, 분석 결과를 전송받은 계정계 시스템(110)은 전송된 결과를 바탕으로 해당 사용자의 로그인의 허용 및 차단 등의 처리를 수행하도록 마련된다.In addition, the accounting system 110 having received the analysis result is configured to perform processing such as allowing and blocking login of the corresponding user based on the transmitted result.

한편, 비실시간 분석부(224)는 사전에 설정된 주기를 기준으로 해당 주기동안 수집된 원본로그에 대한 분석을 통해 해당 원본로그의 비정상 로그인 정보를 상기 위반정보모듈(230)에 업데이트시키도록 마련된다.Meanwhile, the non-real-time analyzer 224 is configured to update the abnormal log-in information of the original log to the violation information module 230 through analysis of the original log collected during the period based on the predetermined period .

예를 들면, 설정된 주기가 9시 기준으로 30분 간격일 경우, 9:00~9:30까지 수집된 원본로그가 10개이고 9:30~10:00까지 수집된 원본로그가 15개이면, 비실시간 분석부(224)는 각 주기별로 수집된 원본로그를 전수 분석(10개, 15개)하여 이를 위반정보모듈(230)로 전달하도록 마련되는 것이다.For example, if the set interval is at 30-minute intervals based on 9:00, 10 original logs collected from 9:00 to 9:30, and 15 original logs collected from 9:30 to 10:00, The real-time analyzer 224 analyzes the original log collected for each cycle (10, 15), and transmits the analysis result to the violation information module 230.

또한, 비실시간 분석부(224)의 경우, 이상 행위 판단의 신뢰도를 향상시키기 위하여 계정계 시스템(110) 뿐만 아니라 계정계 시스템(110)에 연동되는 하나 이상의 관련 시스템(120)으로부터 원본로그를 수집하여 지속적으로 비실시간 분석을 통해 위반정보모듈(230)를 업데이트 시키도록 마련된다.In the case of the non-real-time analysis unit 224, the original log is collected from one or more related systems 120 linked to the accounting system 110 as well as the accounting system 110 in order to improve the reliability of the determination of the abnormal behavior, To update the violation information module 230 through non-real-time analysis.

여기서, 위반정보모듈(230)은 관리단말(MT)과 연동되며, 관리단말(MT)은 정책 변화에 따른 정보 변동 사항을 위반정보모듈(230)에 반영하도록 마련될 수 있다.Here, the violation information module 230 is interlocked with the management terminal MT, and the management terminal MT can be provided to reflect the information change according to the policy change in the violation information module 230.

즉, 본 발명에 따른 이상 행위 판단 시스템은, 주기적이며 비실시간적인 원본로그 분석을 통해 이상 행위 또는 비정상 접속에 대한 정보를 위반정보모듈(230)에 점차 누적시켜 시스템 신뢰도를 향상시킴과 동시에 실시간적인 원본로그와 위반정보모듈(230)에 누적된 정보를 비교하여 분석 결과를 계정계 시스템(110)으로 전송함으로써, 이상 행위로 판단되는 로그인 시도를 실시간 차단시킬 수 있는 것이다.
That is, the abnormal behavior determination system according to the present invention improves system reliability by gradually accumulating information on abnormal behavior or abnormal access in the violation information module 230 through periodic and non-real-time original log analysis, The original log and the information accumulated in the violation information module 230 are compared with each other and the analysis result is transmitted to the accounting system 110 so that the login attempt judged as an abnormal behavior can be blocked in real time.

전술한 바와 같이, 본 발명에 따른 이상 행위 판단 시스템은, 로그분석시스템에서 특정 시스템으로부터 수집한 로그를 분석하고, 분석 결과를 해당 시스템으로 전송하여 공유하는 인터랙티브한 양방향 분석 기술을 구현할 수 있으며, 로그분석시스템에서 로그분석을 실시간으로 수행하여 비이상 정보를 실시간으로 파악함과 동시에 설정된 주기 동안 전송된 원본로그를 비실시간적으로 분석하여 비이상 정보가 저장되는 위반정보모듈에 누적 업데이트시킴으로써, 이상 행위 판단의 신뢰도를 향상시킬 수 있다.
As described above, the abnormal behavior determination system according to the present invention can implement an interactive bi-directional analysis technology that analyzes logs collected from a specific system in a log analysis system, transmits the analysis results to the corresponding system and shares the same, The analysis system realizes the log analysis in real time to grasp the non-abnormal information in real time. At the same time, the original log transmitted during the set period is analyzed in a non-real time manner, and the abnormal information is cumulatively updated in the error information module It is possible to improve the reliability.

이상, 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명의 기술적 사상은 이러한 것에 한정되지 않으며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해, 본 발명의 기술적 사상과 하기 될 특허청구범위의 균등범위 내에서 다양한 수정 및 변형 실시가 가능할 것이다.While the present invention has been described with reference to the exemplary embodiments and the drawings, it is to be understood that the technical scope of the present invention is not limited to these embodiments and that various changes and modifications will be apparent to those skilled in the art. Various modifications and variations may be made without departing from the scope of the appended claims.

*도면의 주요부분에 대한 부호의 설명*
100 : 로그제공시스템
110 : 계정계 시스템
120 : 관련 시스템
200 : 로그분석시스템
210 : 저장모듈
222 : 실시간 분석부
224 : 비실시간 분석부
230 : 위반정보모듈
MT : 관리단말Description of the Related Art [0002]
100: log providing system
110: Account System
120: Related Systems
200: log analysis system
210: storage module
222: Real-
224: Non-real-
230: violation information module
MT: management terminal

Claims (5)

계정계 시스템과 상기 계정계 시스템에 연동되는 하나 이상의 관련 시스템을 포함하는 로그제공시스템; 및
상기 로그제공시스템으로부터 로그인 관련 원본로그를 전송받아 기 저장된 위반리스트와 비교하여 해당 원본로그의 정상유무를 분석하는 로그분석시스템;을 포함하며,
상기 로그분석시스템은 분석된 해당 원본로그의 정상유무에 대한 분석 결과를 상기 계정계 시스템으로 전송하도록 마련되며,
상기 로그분석시스템은,
상기 계정계 시스템 및 관련 시스템으로부터 전송되는 원본로그를 저장하는 저장모듈;
상기 저장모듈로 저장되는 원본로그의 분석을 실시간적으로 수행하는 실시간 분석부;
상기 저장모듈로 저장되는 원본로그의 분석을 사전에 설정된 주기별로 수행하는 비실시간 분석부; 및,
기 설정된 정책 위반 정보 및 상기 비실시간 분석부로로부터 분석된 비정상 로그인 정보를 포함하는 위반정보모듈;을 포함하고,
상기 비실시간 분석부는 사전에 설정된 주기를 기준으로 해당 주기동안 수집된 모든 원본로그에 대한 전수 분석을 통해 해당 원본로그의 비정상 로그인 정보를 상기 위반정보모듈에 업데이트시키며,
상기 비실시간 분석부는, 상기 계정계 시스템으로부터 전송된 원본로그와 상기 계정계 시스템과 연동되는 하나 이상의 관련 시스템으로부터 전송된 상기 원본로그에 대응되는 원본로그를 동시에 분석하여 상기 위반정보모듈을 업데이트시키는 것을 특징으로 하는
이상 행위 판단 시스템.A log providing system including an account system and one or more related systems associated with the account system; And
And a log analysis system for comparing the log-related original logs received from the log providing system with the previously stored violation logs and analyzing whether the original logs are normal or not,
Wherein the log analysis system is configured to transmit an analysis result of the normal presence / absence of the analyzed original log to the accounting system,
Wherein the log analysis system comprises:
A storage module for storing an original log transmitted from the accounting system and the related system;
A real-time analyzer for analyzing an original log stored in the storage module in real time;
A non-real-time analysis unit for analyzing an original log stored in the storage module in a preset cycle; And
And a violation information module including predetermined policy violation information and abnormal login information analyzed from the non-real-time analysis unit,
Wherein the non-real-time analyzing unit updates the abnormal log-in information of the original log to the violation information module through all-number analysis of all the original logs collected during the period based on the preset period,
Wherein the non-real-time analysis unit simultaneously analyzes the original log transmitted from the accounting system and the original log corresponding to the original log transmitted from at least one related system interlocked with the accounting system, and updates the violation information module doing
Abnormal behavior judgment system. 삭제delete 제1항에 있어서,
상기 실시간 분석부는 실시간으로 수집되는 원본로그 정보와 상기 위반정보모듈에 저장된 정보를 비교하여 원본로그 정보가 위반정보모듈에 저장된 정보에 포함되었는지의 여부를 판단하여 해당 결과를 특정 통신 프로토콜을 사용하여 상기 계정계 시스템으로 전송하는 것을 특징으로 하는
이상 행위 판단 시스템.The method according to claim 1,
The real-time analyzer compares the original log information collected in real time with the information stored in the violation information module to determine whether original log information is included in the information stored in the violation information module, To an accounting system
Abnormal behavior judgment system. 삭제delete 제1항에 있어서,
상기 위반정보모듈은 관리단말과 연동되며, 상기 관리단말은 정책 변화에 따른 정보 변동 사항을 위반정보모듈에 반영하도록 마련되는 것을 특징으로 하는
이상 행위 판단 시스템.The method according to claim 1,
The violation information module is interlocked with the management terminal, and the management terminal is arranged to reflect the information change according to the policy change to the violation information module
Abnormal behavior judgment system.
KR1020130134805A 2013-11-07 2013-11-07 Unusual action decision system KR101542534B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130134805A KR101542534B1 (en) 2013-11-07 2013-11-07 Unusual action decision system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130134805A KR101542534B1 (en) 2013-11-07 2013-11-07 Unusual action decision system

Publications (2)

Publication Number Publication Date
KR20150053070A KR20150053070A (en) 2015-05-15
KR101542534B1 true KR101542534B1 (en) 2015-08-06

Family

ID=53389755

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130134805A KR101542534B1 (en) 2013-11-07 2013-11-07 Unusual action decision system

Country Status (1)

Country Link
KR (1) KR101542534B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101663585B1 (en) * 2016-02-24 2016-10-10 서원대학교산학협력단 Access management system for enterprise informtaion system using Big-data analysis based on work action and method thereof
KR102018348B1 (en) * 2019-03-06 2019-09-05 엘에스웨어(주) User behavior analysis based target account exploit detection apparatus

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100736540B1 (en) * 2006-02-20 2007-07-06 에스케이 텔레콤주식회사 Web defacement checker and checking method thereof
KR100894331B1 (en) * 2006-11-15 2009-04-24 한국전자통신연구원 Anomaly Detection System and Method of Web Application Attacks using Web Log Correlation

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100736540B1 (en) * 2006-02-20 2007-07-06 에스케이 텔레콤주식회사 Web defacement checker and checking method thereof
KR100894331B1 (en) * 2006-11-15 2009-04-24 한국전자통신연구원 Anomaly Detection System and Method of Web Application Attacks using Web Log Correlation

Also Published As

Publication number Publication date
KR20150053070A (en) 2015-05-15

Similar Documents

Publication Publication Date Title
US11184401B2 (en) AI-driven defensive cybersecurity strategy analysis and recommendation system
US20220201042A1 (en) Ai-driven defensive penetration test analysis and recommendation system
US10355949B2 (en) Behavioral network intelligence system and method thereof
US9130983B2 (en) Apparatus and method for detecting abnormality sign in control system
CN101309180B (en) Security network invasion detection system suitable for virtual machine environment
KR101236822B1 (en) Method for detecting arp spoofing attack by using arp locking function and recordable medium which program for executing method is recorded
KR101013996B1 (en) A method for detecting a judgement whether or not a client use NATNetwork Address Translation, and the number of terminals sharing
US20220224723A1 (en) Ai-driven defensive cybersecurity strategy analysis and recommendation system
US10409705B2 (en) Automated code verification and machine learning in software defined networks
CN104115463A (en) A streaming method and system for processing network metadata
CN106778260A (en) Attack detection method and device
CN107276983A (en) A kind of the traffic security control method and system synchronous with cloud based on DPI
KR101964148B1 (en) Wire and wireless access point for analyzing abnormal action based on machine learning and method thereof
CN103581203A (en) Trusted network connection method based on trusted computing
CN103178969B (en) A kind of service authentication method and system
CN111277422B (en) Method, device and system for processing microservice and computer readable storage medium
KR101542534B1 (en) Unusual action decision system
CN105207842B (en) The method and system of the plug-in feature detection of Android
CN110099041A (en) A kind of Internet of Things means of defence and equipment, system
KR101160219B1 (en) Tracking system and method of connecting route for the network security
KR101429178B1 (en) System and method of wireless network security
CN107124390B (en) Security defense and implementation method, device and system of computing equipment
CN107070861B (en) Method and system for discovering worm victim nodes of Internet of things equipment under sampling flow
US11451396B2 (en) False positive reduction in electronic token forgery detection
KR102508418B1 (en) Method and system for providing in-house security management solution

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
FPAY Annual fee payment

Payment date: 20180731

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190731

Year of fee payment: 5