KR101557856B1 - Device for verifying log analysis system - Google Patents

Device for verifying log analysis system Download PDF

Info

Publication number
KR101557856B1
KR101557856B1 KR1020140028216A KR20140028216A KR101557856B1 KR 101557856 B1 KR101557856 B1 KR 101557856B1 KR 1020140028216 A KR1020140028216 A KR 1020140028216A KR 20140028216 A KR20140028216 A KR 20140028216A KR 101557856 B1 KR101557856 B1 KR 101557856B1
Authority
KR
South Korea
Prior art keywords
log
scenario
analysis system
log analysis
field value
Prior art date
Application number
KR1020140028216A
Other languages
Korean (ko)
Other versions
KR20150106117A (en
Inventor
이상준
Original Assignee
유넷시스템주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 유넷시스템주식회사 filed Critical 유넷시스템주식회사
Priority to KR1020140028216A priority Critical patent/KR101557856B1/en
Publication of KR20150106117A publication Critical patent/KR20150106117A/en
Application granted granted Critical
Publication of KR101557856B1 publication Critical patent/KR101557856B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Abstract

본 발명은 로그 분석 시스템 검증 장치에 관한 것으로, 로그 분석시스템에 적용될 수 있는 시나리오를 생성하는 시나리오 정의부; 상기 시나리오 정의부에서 생성된 시나리오에 대한 로그를 생성하는 로그 생성부; 상기 로그 생성부에서 생성된 로그를 상기 로그 분석 시스템에 전송하는 통신부; 및 상기 시나리오에 따른 로그 데이터와 상기 로그 분석 시스템에서 상기 통신부를 통해 전송된 로그를 분석한 분석 데이터를 비교하는 비교부;를 포함하며, 상기 시나리오 정의부는 로그에 대한 정상 및 비정상의 시나리오를 생성하고, 상기 시나리오 정의부는, 시나리오에 따른 장비의 종류를 결정하고 각 장비의 시간필드 값과 IP필드 값을 설정하여 시나리오를 생성하며, 상기 비정상 시나리오는, 시간필드 값에 대응하는 IP필드 값이 존재하지 않거나, IP필드 값은 존재하나 해당 IP필드에 대한 장비의 시간필드 값이 존재하지 않는 시나리오일 수 있다.
본 발명에 의하면, 시나리오에 따른 모의 네트워크 환경을 제공함으로써, 로그 분석 시스템의 검증을 위한 네트워크 환경 구축비용을 절감할 수 있고, 로그 분석 시스템의 시나리오 분석 기능을 시험 및 정상 동작 유무 확인이 가능하고, 다양한 시나리오의 개발이 가능하여 로그 분석 시스템을 보완할 수 있는 효과가 있다.The present invention relates to a log analysis system verification apparatus, including: a scenario definition unit for generating a scenario applicable to a log analysis system; A log generation unit for generating a log of the scenario generated by the scenario definition unit; A communication unit for transmitting the log generated by the log generation unit to the log analysis system; And a comparison unit comparing the log data according to the scenario with the analysis data analyzing the log transmitted through the communication unit in the log analysis system, wherein the scenario definition unit generates normal and abnormal scenarios for the log , The scenario defining unit determines a type of equipment according to a scenario and generates a scenario by setting a time field value and an IP field value of each equipment, and the abnormal scenario indicates that an IP field value corresponding to a time field value does not exist Or there may be scenarios where the IP field value is present but the time field value of the equipment for that IP field does not exist.
According to the present invention, by providing a simulated network environment according to the scenario, it is possible to reduce the cost of constructing the network environment for the verification of the log analysis system, to test the scenario analysis function of the log analysis system, It is possible to develop various scenarios, which can complement the log analysis system.

Description

로그 분석 시스템 검증장치 {DEVICE FOR VERIFYING LOG ANALYSIS SYSTEM}TECHNICAL FIELD [0001] The present invention relates to a log analysis system verification apparatus,

본 발명은 로그 분석 시스템 검증장치에 관한 것이다.
The present invention relates to a log analysis system verification apparatus.

최근 네트워크 환경을 구축한 기업의 서버에 침입하여 데이터베이스의 중요정보를 열람하거나 서버를 마비시키는 등, 사이버 위협은 날로 다양하고 정교해지고 있다. 일반적으로, 네트워크 환경에서 네트워크와 연결된 각종 IT 장비를 통한 접속이력은 각 장비가 생성하는 로그 파일에 기록되며, 로그 파일의 내용을 확인함으로써 이전에 발생된 공격 및 침입 방법을 유추할 수 있게 된다.Recently, cyber threats have been variously and sophisticated, such as breaking into a server of a company that has built a network environment and reading important information of a database or paralyzing a server. In general, the connection history through various IT devices connected to the network in the network environment is recorded in a log file generated by each device, and the contents of the log file can be verified, so that it is possible to deduce the attack and intrusion method that occurred before.

하지만, 단순히 로그를 확인하는 방법으로는 이후에 발생될 수 있는 공격 및 침입에 대비하기 어렵기 때문에, 각 장비에서 생성된 이전의 접속에 대한 로그를 분석하여 이후에 발생될 수 있는 공격 및 침입 방법을 예상하여 대비할 수 있는 로그 분석 방법과 분석 시스템에 대한 관심이 높아지고 있다.However, since it is difficult to prepare for attacks and intrusions that may occur in the future by simply checking the log, it is necessary to analyze the log of the previous connection generated in each device, There is a growing interest in log analysis methods and analysis systems that can anticipate and anticipate.

이를 위해, 대한민국 특허공보 등록번호 제10-0417654호(공고일 : 2004. 02. 14, 등록일: 2004. 01. 27, 이하, '종래기술'이라 칭함.)에서는 실제 네트워크에 불법적으로 침입한 침입자를 색출하고, 이상 징후를 감지할 수 있는 로그 분석 방법이 제시되었다.To this end, Korean Patent Registration No. 10-0417654 (public announcement date: 2004.02.14, registration date: 2004.01.27, hereinafter referred to as "prior art") discloses an intruder who illegally entered an actual network And a log analysis method that can detect abnormality is presented.

하지만, 종래기술은 실제로 구축된 네트워크 환경에서만 로그 분석이 가능하여 다양한 네트워크 환경에 따른 로그 분석이 제한적이고, 네트워크 환경에서 이미 발생한 이상 징후의 통계를 통해 로그 분석을 실시하기 때문에, 알려지지 않은 공격 및 침입에 대비하기 어려운 문제점이 있었다.
However, since the conventional technology can perform log analysis only in a network environment that is actually constructed, log analysis is limited according to various network environments, and log analysis is performed through statistics of abnormal symptoms already occurred in a network environment. Therefore, There is a problem that it is difficult to prepare.

본 발명은 상술한 문제점을 해결하기 위한 것으로, 정상 및 비정상 시나리오에 대한 각종 모의 네트워크 환경을 제공함으로써 다양한 네트워크 환경에 대한 로그 분석 시스템의 검증이 가능하며, 시나리오의 추가에 따라 로그 분석 시스템의 보완이 가능하여, 알려지지 않은 공격 및 침입 등에 대비할 수 있는 로그 분석 시스템 검증장치를 제공하는데 그 목적이 있다.
SUMMARY OF THE INVENTION The present invention has been made to solve the above-mentioned problems, and it is an object of the present invention to provide a log analysis system for various network environments by providing various simulated network environments for normal and abnormal scenarios, It is an object of the present invention to provide a log analysis system verification apparatus capable of preventing unknown attacks and intrusions.

이러한 목적을 달성하기 위하여 본 발명의 일 태양으로 로그 분석 시스템 검증 장치는 로그 분석시스템에 적용될 수 있는 시나리오를 생성하는 시나리오 정의부; 상기 시나리오 정의부에서 생성된 시나리오에 대한 로그를 생성하는 로그 생성부; 상기 로그 생성부에서 생성된 로그를 상기 로그 분석 시스템에 전송하는 통신부; 및 상기 시나리오에 따른 로그 데이터와 상기 로그 분석 시스템에서 상기 통신부를 통해 전송된 로그를 분석한 분석 데이터를 비교하는 비교부;를 포함하며, 상기 시나리오 정의부는 로그에 대한 정상 및 비정상의 시나리오를 생성하고, 상기 시나리오 정의부는, 시나리오에 따른 장비의 종류를 결정하고 각 장비의 시간필드 값과 IP필드 값을 설정하여 시나리오를 생성하며, 상기 비정상 시나리오는, 시간필드 값에 대응하는 IP필드 값이 존재하지 않거나, IP필드 값은 존재하나 해당 IP필드에 대한 장비의 시간필드 값이 존재하지 않는 시나리오일 수 있다.To achieve these and other advantages and in accordance with the purpose of the present invention, as embodied and broadly described herein, there is provided a log analysis system verification apparatus comprising: a scenario definition unit for generating a scenario applicable to a log analysis system; A log generation unit for generating a log of the scenario generated by the scenario definition unit; A communication unit for transmitting the log generated by the log generation unit to the log analysis system; And a comparison unit comparing the log data according to the scenario with the analysis data analyzing the log transmitted through the communication unit in the log analysis system, wherein the scenario definition unit generates normal and abnormal scenarios for the log , The scenario defining unit determines a type of equipment according to a scenario and generates a scenario by setting a time field value and an IP field value of each equipment, and the abnormal scenario indicates that an IP field value corresponding to a time field value does not exist Or there may be scenarios where the IP field value is present but the time field value of the equipment for that IP field does not exist.

삭제delete

또한, 상기 비교부는 비정상 시나리오에서 발생한 로그 데이터와 상기 로그 분석 시스템에서 분석한 분석 데이터를 비교하여, 상기 로그 분석 시스템의 비정상 시나리오에 대한 로그 분석을 검증할 수 있다.The comparing unit may compare the log data generated in the abnormal scenario with the analysis data analyzed by the log analysis system to verify the log analysis of the abnormal scenario of the log analysis system.

삭제delete

이상에서 설명한 바와 같이 본 발명에 의하면, 다음과 같은 효과가 있다.As described above, the present invention has the following effects.

첫째, 시나리오에 따른 모의 네트워크 환경을 제공함으로써, 로그 분석 시스템의 검증을 위한 네트워크 환경 구축비용을 절감할 수 있다.First, by providing a simulated network environment according to the scenario, it is possible to reduce the cost of constructing the network environment for verifying the log analysis system.

둘째, 다양한 시나리오의 개발에 따라 로그 분석 시스템의 보완이 가능하여, 알려지지 않은 공격 및 침입 등에 대비할 수 있다.Second, it is possible to supplement the log analysis system according to the development of various scenarios, so that it can prepare against unknown attacks and intrusions.

셋째, 로그 분석 시스템의 시나리오 분석 기능을 시험할 수 있으며, 정상 동작 여부의 검증이 가능하다.
Third, the scenario analysis function of the log analysis system can be tested and it can be verified whether or not it is normal operation.

도1은 본 발명의 일 실시예에 따른 로그 분석 시스템 검증 장치의 구성을 나타낸 블록도이다.1 is a block diagram showing a configuration of a log analysis system verification apparatus according to an embodiment of the present invention.

본 발명의 바람직한 실시예에 대하여 첨부된 도면을 참조하여 더 구체적으로 설명하되, 이미 주지되어진 기술적 부분에 대해서는 설명의 간결함을 위해 생략하거나 압축하기로 한다.The preferred embodiments of the present invention will be described in more detail with reference to the accompanying drawings, in which the technical parts already known will be omitted or compressed for simplicity of explanation.

도1은 본 발명의 일실시예에 따른 로그 분석 시스템 검증 장치의 구성을 나타낸 블록도이다.1 is a block diagram showing a configuration of a log analysis system verification apparatus according to an embodiment of the present invention.

본 발명의 일실시예에 따른 모의 로그를 이용한 로그 분석 시스템 검증 장치(100)는 시나리오 정의부(110), 로그 생성부(120), 통신부(130), 비교부(140)를 포함하며, 시나리오 정의부(110)는 로그에 대한 정상 및 비정상의 시나리오를 생성할 수 있다.The log analysis system verification apparatus 100 using a simulation log according to an embodiment of the present invention includes a scenario definition unit 110, a log generation unit 120, a communication unit 130, and a comparison unit 140, The definition unit 110 may generate normal and abnormal scenarios for the log.

시나리오 정의부(110)는 로그 분석 시스템(200)의 로그 분석을 검증하기 위한 시나리오를 생성할 수 있다.The scenario definition unit 110 may generate a scenario for verifying log analysis of the log analysis system 200. [

또한, 시나리오 정의부(110)는 시나리오의 이름을 설정할 수 있으며, 시나리오에서 사용될 장비를 설정할 수 있다.In addition, the scenario defining unit 110 can set the name of the scenario, and can set the equipment to be used in the scenario.

여기서, 시나리오 이름은 시나리오 정의부(110)에서 생성되는 시나리오를 분류하기 위해, 시나리오에서 사용되는 장비의 종류 및 정상 또는 비정상 시나리오임을 나타내는 고유의 이름으로 설정될 수 있다.Here, the scenario name may be set to a unique name indicating a type of equipment used in the scenario and a normal or abnormal scenario in order to classify the scenario generated in the scenario defining unit 110.

그리고, 시나리오에서 사용되는 장비의 종류로는 라우터, 스위치 등의 네트워크 장비와 방화벽, IPS, IDS, VMS 등의 보안장비 및 Windows계열, Linux계열 등의 서버장비가 사용될 수 있다.The types of equipment used in the scenario include network equipment such as routers and switches, security equipment such as firewalls, IPS, IDS, VMS, and server equipment such as Windows series and Linux series.

한편, 시나리오 정의부(110)는 각각의 장비에서 생성하는 로그의 필드명, 필드값 등을 설정하고, 각 장비의 연결 상태 및 작동 상태를 정의함으로써, 정상 및 비정상의 시나리오를 생성할 수 있다.On the other hand, the scenario defining unit 110 can set the field names, field values, and the like of logs generated in the respective devices, and define normal and abnormal scenarios by defining connection states and operational states of the respective devices.

로그 생성부(120)는 시나리오 정의부(110)에서 생성한 시나리오에 따른 로그를 생성할 수 있다.The log generation unit 120 may generate a log according to the scenario generated by the scenario definition unit 110.

여기서, 로그는 시나리오 정의부(110)에서 생성한 시나리오에 따라, 로그 분석 시스템(200)에 사용될 장비와 각 장비의 연결 상태 및 작동 상태를 나타내는 모의 로그일 수 있다.Here, the log may be a simulation log showing the equipment to be used in the log analysis system 200 and the connection state and the operation state of each device, according to the scenario generated by the scenario definition unit 110.

로그 분석 시스템(200)은 내부에 시나리오 검색 룰(rule)을 통해 로그를 분석하여 비정상의 시나리오에 대한 로그를 탐지할 수 있다.The log analysis system 200 can analyze logs through a scenario search rule and detect a log of abnormal scenarios.

통신부(130)는 로그 생성부(120)에서 생성한 로그를 로그 분석 시스템(200)에 송신하며, 로그 분석 시스템(200)에서 분석한 분석 데이터를 수신할 수 있다.The communication unit 130 may transmit the log generated by the log generation unit 120 to the log analysis system 200 and may receive the analyzed data analyzed by the log analysis system 200.

여기서, 분석 데이터는 통신부(130)에서 수신한 로그 중 로그 분석 시스템(200)이 탐지한 비정상 시나리오에 대한 로그와 해당 로그를 분석하여 도출한 시나리오를 포함할 수 있다.Here, the analysis data may include a log of abnormality scenarios detected by the log analysis system 200 among the logs received by the communication unit 130, and a scenario obtained by analyzing the corresponding logs.

비교부(140)는 시나리오 정의부(110)와 로그 생성부(120)에서 생성한 정상 시나리오와 비정상 시나리오에 따른 로그를 포함하는 로그 데이터와 로그 분석 시스템(200)에서 전송된 분석 데이터를 비교할 수 있다.The comparison unit 140 can compare the log data including the logs according to the normal scenario and the abnormal scenario generated by the scenario definition unit 110 and the log generation unit 120 with the analysis data transmitted from the log analysis system 200 have.

즉, 로그 분석 시스템(200)의 분석 기능을 검증하기 위해, 로그 분석 시스템 검증 장치(100)의 시나리오 정의부(110)는 시나리오에 사용될 장비의 종류와 각 장비의 연결 상태 및 작동 상태를 정의하여 정상 및 비정상의 시나리오를 생성하고, 로그 생성부(120)는 시나리오 정의부(110)에서 생성한 시나리오에 따라 로그를 생성하여 통신부(130)를 통해 로그 분석 시스템(200)에 송신한다.That is, in order to verify the analysis function of the log analysis system 200, the scenario definition unit 110 of the log analysis system verification apparatus 100 defines the types of equipment to be used in the scenario, The log generation unit 120 generates a log according to the scenario generated by the scenario definition unit 110 and transmits the log to the log analysis system 200 through the communication unit 130. [

이때, 시나리오 정의부(110)에서 생성한 비정상 시나리오와 로그 생성부(120)에서 생성한 비정상 시나리오에 따른 로그를 포함하는 로그 데이터는 비교부(140)에 전달된다.At this time, the log data including the abnormal scenario generated by the scenario definition unit 110 and the log based on the abnormal scenario generated by the log generation unit 120 is transmitted to the comparison unit 140. [

그리고, 로그 분석 시스템(200)은 로그 분석 시스템 검증 장치(100)의 통신부(130)를 통해 전달받은 로그를 분석하여, 해당 로그에 대한 분석 데이터를 로그 분석 시스템 검증 장치(100)의 통신부(130)에 송신한다.The log analysis system 200 analyzes the log received through the communication unit 130 of the log analysis system verification apparatus 100 and transmits analysis data of the log to the communication unit 130 of the log analysis system verification apparatus 100 .

이후, 비교부(140)는 시나리오 정의부(110)와 로그 생성부(120)에서 생성한 비정상 시나리오와 비정상 시나리오에 따른 로그를 포함하는 로그 데이터와 통신부(130)를 통해 전달받은 로그 분석 시스템(200)의 분석 데이터를 비교함으로써, 시나리오 정의부(110)에서 생성한 시나리오에 따른 로그를 통하여 로그 분석 시스템(200)의 분석을 검증하고 정상 작동 여부를 확인할 수 있게 된다.The comparing unit 140 compares the log data including the abnormal scenario and the abnormal scenario generated by the scenario defining unit 110 and the log generating unit 120 and the log analysis system 200), the analysis of the log analysis system 200 can be verified through the log according to the scenario generated by the scenario definition unit 110, and it is possible to confirm whether or not the normal operation is performed.

한편, 본 발명의 일실시예에 따른 로그 분석 시스템 검증 장치(100)의 시나리오 정의부(110)는 시나리오에 따른 장비의 종류를 결정하고 각 장비의 시간필드 값과 IP필드 값을 설정하여 시나리오를 생성할 수 있으며, 시간필드 값에 대응하는 IP필드 값이 존재하지 않거나, IP필드 값은 존재하나 해당 IP필드에 대한 장비의 시간필드 값이 존재하지 않는 비정상 시나리오를 생성할 수 있다.Meanwhile, the scenario definition unit 110 of the log analysis system verification apparatus 100 according to an embodiment of the present invention determines the type of equipment according to a scenario and sets a time field value and an IP field value of each device, And may generate an abnormal scenario in which the IP field value corresponding to the time field value does not exist or the IP field value exists but the time field value of the equipment for that IP field does not exist.

로그의 필드는 로그 생성시간, 장비의 ID, IP주소, 사용자 이름 등이 포함될 수 있으며, 로그 분석 시스템 검증 장치(100)의 시나리오 정의부(110)는 각 장비가 생성하는 로그의 필드 중, 각 장비의 접속 요청 시간을 나타내는 시간필드와 각 장비가 가지는 주소를 나타내는 IP필드의 연관관계에 따라 정상 시나리오 또는 비정상 시나리오를 생성한다.The field of the log may include a log generation time, an ID of an equipment, an IP address, a user name, and the like. The scenario defining unit 110 of the log analyzing system verifying apparatus 100 may include, The normal scenario or the abnormal scenario is generated according to the association of the time field indicating the connection request time of the equipment and the IP field indicating the address of each equipment.

여기서, 시나리오 정의부(110)는 각 장비에서 생성하는 로그 중, 각 장비의 접속 요청 시간과 각 장비가 가지는 주소를 나타내는 필드를 설정하고 각 필드의 연관성을 관계식으로 정의하여, 접속을 요청한 장비가 접속된 상태를 나타내는 정상 시나리오를 생성할 수 있으며, 접속을 요청하지 않은 장비의 접속이 이루어져 우회 접속 등이 의심되는 상태 또는 장비가 접속을 요청하였으나 접속되지 않아 장비의 작동 이상 또는 회선의 연결 이상 등이 의심되는 상태를 나타내는 비정상 시나리오를 생성할 수 있다.Here, the scenario defining unit 110 sets a field indicating the connection request time of each device and an address of each device among the logs generated by the devices, defines the association of each field as a relational expression, It is possible to create a normal scenario indicating the connected state, and a state in which a device that does not request a connection is connected and is suspected of bypass connection, or a device malfunction due to a connection request, An abnormal scenario indicating a suspected state can be generated.

예를 들어, 장비 A,B,C,D에서 생성되는 로그 중 A장비의 1번, B장비의 2번, C장비의 3번, D장비의 1번을 연관성을 가지는 시간필드로 설정하고, A장비의 2번, B장비의 1번, C장비의 2번, D장비의 2번을 연관성을 가지는 필드로 설정할 때, (A1=<B2=<C3=<D1) & (A2=B1=C2=D2)과 같은 관계식으로 정의된 시나리오는 시간필드에 대응하는 IP필드가 존재하고, 시간필드 값이 차례대로 증가하므로 사건의 발생시간을 유추할 수 있는 정상 시나리오가 될 수 있다.For example, one of the logs generated by the apparatuses A, B, C, and D is set as a time field having an association of 1 for the A equipment, 2 for the B equipment, 3 for the C equipment and 1 for the D equipment, (A1 = <B2 = <C3 = <D1) & (A2 = B1 = 1) when setting the fields A, B, C, C2 = D2), there is an IP field corresponding to the time field, and since the time field value increases in order, it can be a normal scenario in which the occurrence time of the event can be inferred.

또한, (A1=<C3=<D1) & (A2=B1=C2=D2)과 같은 관계식으로 정의된 시나리오는 모든 장비에서 IP필드가 정의되어 있으나, B장비에서 시간필드를 확인할 수 없으므로 우회 등의 문제가 있음을 유추할 수 있는 비정상 시나리오가 될 수 있다.In addition, the scenario defined by the relationship (A1 = <C3 = <D1) & (A2 = B1 = C2 = D2) defines the IP field in all devices, This can be an abnormal scenario that can be inferred from the problem of

한편, 본 발명의 일실시예에 따른 로그 분석 시스템 검증 장치(100)의 비교부(140)는 비정상 시나리오에서 발생한 로그 데이터와 로그 분석 시스템(200)에서 분석한 분석 데이터를 비교하여, 로그 분석 시스템(200)의 비정상 시나리오에 대한 로그 분석을 검증할 수 있다.Meanwhile, the comparison unit 140 of the log analysis system verification apparatus 100 according to an embodiment of the present invention compares the log data generated in the abnormal scenario with the analysis data analyzed in the log analysis system 200, The log analysis of the abnormal scenario of the server 200 can be verified.

비교부(140)는 로그 생성부(120)에서 생성한 비정상 시나리오에 따른 로그 중 로그 분석 시스템(200)에서 탐지한 로그 건수와 내용 등을 비교하여, 로그 분석 시스템(200)에서 탐지하지 못한 비정상 시나리오를 통신부(130)를 통해 로그 분석 시스템(200)에 송신할 수 있다.The comparison unit 140 compares the number of logs detected by the log analysis system 200 among the logs according to the abnormal scenarios generated by the log generation unit 120 with the contents and the like to determine abnormalities that are not detected by the log analysis system 200 The scenario can be transmitted to the log analysis system 200 through the communication unit 130. [

여기서, 로그 분석 시스템(200)이 탐지하지 못한 비정상 시나리오를 로그 분석 시스템(200)의 시나리오 검색 룰에 추가함으로써, 로그 분석 시스템(200)을 보완할 수 있게 된다.Here, the log analysis system 200 can be supplemented by adding an abnormal scenario that the log analysis system 200 can not detect to the scenario search rule of the log analysis system 200.

또한, 비교부(140)는 시나리오 정의부(110)에서 생성한 시나리오 및 로그 생성부(120)에서 생성한 로그를 포함하는 로그 데이터와 통신부(130)를 통해 전달받은 로그 분석 시스템(200)의 분석 데이터를 저장하기 위한 저장매체(미도시)가 더 포함될 수 있다.The comparison unit 140 compares the log data including the scenario generated by the scenario definition unit 110 and the log generated by the log generation unit 120 and the log data generated by the log analysis system 200 received through the communication unit 130 A storage medium (not shown) for storing analysis data may be further included.

결국, 본 발명은 모의 로그 이용하여 실제 네트워크 환경에서 생성하는 로그를 제공함으로써, 로그 분석 시스템을 검증하기 위한 네트워크 환경 구축비용을 절감할 수 있고, 로그 분석 시스템의 시나리오 분석 기능의 시험 및 정상 동작 유무 확인할 수 있으며, 다양한 시나리오의 개발이 가능하여 로그 분석 시스템을 보완할 수 있는 로그 분석 시스템 검증 장치를 제공한다.As a result, the present invention can reduce the cost of constructing the network environment for verifying the log analysis system by providing the log generated in the actual network environment using the simulated log, and can test the scenario analysis function of the log analysis system, And it is possible to develop various scenarios, thereby providing a log analysis system verification device that can complement the log analysis system.

위에서 설명한 바와 같이 본 발명에 대한 구체적인 설명은 첨부된 도면을 참조한 실시예에 의해서 이루어졌지만, 상술한 실시예는 본 발명의 바람직한 예를 들어 설명하였을 뿐이기 때문에, 본 발명이 상기의 실시예에만 국한되는 것으로 이해되어져서는 아니 되며, 본 발명의 권리범위는 후술하는 청구범위 및 그 등가개념으로 이해되어져야 할 것이다.
While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments. And the scope of the present invention should be understood as the following claims and their equivalents.

100 : 로그 분석 시스템 검증 장치
110 : 시나리오 정의부
120 : 로그 생성부
130 : 통신부
140 : 비교부
200 : 로그 분석 시스템100: Log analysis system verification device
110: Scenario definition section
120: log generation unit
130:
140:
200: log analysis system

Claims (4)

로그 분석시스템에 적용될 수 있는 시나리오를 생성하는 시나리오 정의부;
상기 시나리오 정의부에서 생성된 시나리오에 대한 로그를 생성하는 로그 생성부;
상기 로그 생성부에서 생성된 로그를 상기 로그 분석 시스템에 전송하는 통신부; 및
상기 시나리오에 따른 로그 데이터와 상기 로그 분석 시스템에서 상기 통신부를 통해 전송된 로그를 분석한 분석 데이터를 비교하는 비교부;를 포함하며,
상기 시나리오 정의부는 로그에 대한 정상 및 비정상의 시나리오를 생성하고,
상기 시나리오 정의부는, 시나리오에 따른 장비의 종류를 결정하고 각 장비의 시간필드 값과 IP필드 값을 설정하여 시나리오를 생성하며,
상기 비정상 시나리오는, 시간필드 값에 대응하는 IP필드 값이 존재하지 않거나, IP필드 값은 존재하나 해당 IP필드에 대한 장비의 시간필드 값이 존재하지 않는 시나리오인 것을 특징으로 하는
모의 로그를 이용한 로그 분석 시스템 검증 장치.
A scenario definition unit for generating a scenario applicable to the log analysis system;
A log generation unit for generating a log of the scenario generated by the scenario definition unit;
A communication unit for transmitting the log generated by the log generation unit to the log analysis system; And
And a comparison unit for comparing the log data according to the scenario with the analysis data analyzing the log transmitted through the communication unit in the log analysis system,
The scenario definition unit generates normal and abnormal scenarios for the log,
The scenario definition unit determines a type of equipment according to a scenario and generates a scenario by setting a time field value and an IP field value of each equipment,
The abnormal scenario is characterized in that the IP field value corresponding to the time field value does not exist or the IP field value exists but the time field value of the equipment for the IP field does not exist
A Log Analysis System Verification Device Using Simulated Logs.
삭제delete 제1항에 있어서,
상기 비교부는,
비정상 시나리오에서 발생한 로그 데이터와 상기 로그 분석 시스템에서 분석한 분석 데이터를 비교하여, 상기 로그 분석 시스템의 비정상 시나리오에 대한 로그 분석을 검증하는 것을 특징으로 하는
모의 로그를 이용한 로그 분석 시스템 검증 장치.
The method according to claim 1,
Wherein,
And comparing the log data generated in the abnormal scenario with the analysis data analyzed by the log analysis system to verify the log analysis of the abnormal scenario of the log analysis system
A Log Analysis System Verification Device Using Simulated Logs.
삭제delete
KR1020140028216A 2014-03-11 2014-03-11 Device for verifying log analysis system KR101557856B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140028216A KR101557856B1 (en) 2014-03-11 2014-03-11 Device for verifying log analysis system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140028216A KR101557856B1 (en) 2014-03-11 2014-03-11 Device for verifying log analysis system

Publications (2)

Publication Number Publication Date
KR20150106117A KR20150106117A (en) 2015-09-21
KR101557856B1 true KR101557856B1 (en) 2015-10-06

Family

ID=54245073

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140028216A KR101557856B1 (en) 2014-03-11 2014-03-11 Device for verifying log analysis system

Country Status (1)

Country Link
KR (1) KR101557856B1 (en)

Also Published As

Publication number Publication date
KR20150106117A (en) 2015-09-21

Similar Documents

Publication Publication Date Title
US10609079B2 (en) Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management
US10587647B1 (en) Technique for malware detection capability comparison of network security devices
US8418247B2 (en) Intrusion detection method and system
WO2017152742A1 (en) Risk assessment method and apparatus for network security device
US20150341389A1 (en) Log analyzing device, information processing method, and program
KR102225460B1 (en) Method of detecting threat based on threat hunting using multi sensor data and apparatus using the same
EP3566166B1 (en) Management of security vulnerabilities
CN112134877A (en) Network threat detection method, device, equipment and storage medium
US20220210202A1 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
Liu et al. Correlating multi-step attack and constructing attack scenarios based on attack pattern modeling
US10462170B1 (en) Systems and methods for log and snort synchronized threat detection
CN104363240A (en) Unknown threat comprehensive detection method based on information flow behavior validity detection
US11399036B2 (en) Systems and methods for correlating events to detect an information security incident
EP3767913A1 (en) Systems and methods for correlating events to detect an information security incident
US11405411B2 (en) Extraction apparatus, extraction method, computer readable medium
Suo et al. Research on the application of honeypot technology in intrusion detection system
KR101767591B1 (en) System and method for improvement invasion detection
CN116318783B (en) Network industrial control equipment safety monitoring method and device based on safety index
Lima et al. BP-IDS: Using business process specification to leverage intrusion detection in critical infrastructures
Dalimunthe et al. Intrusion detection system and modsecurity for handling sql injection attacks
KR101557856B1 (en) Device for verifying log analysis system
CN114006719B (en) AI verification method, device and system based on situation awareness
Xu et al. Identification of ICS security risks toward the analysis of packet interaction characteristics using state sequence matching based on SF-FSM
CN114301796A (en) Verification method, device and system for predicting situation awareness
KR20190020523A (en) Apparatus and method for detecting attack by using log analysis

Legal Events

Date Code Title Description
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20181001

Year of fee payment: 4