KR101566363B1 - 규칙 기반 보안 이벤트 연관성 분석장치 및 방법 - Google Patents

규칙 기반 보안 이벤트 연관성 분석장치 및 방법 Download PDF

Info

Publication number
KR101566363B1
KR101566363B1 KR1020110136122A KR20110136122A KR101566363B1 KR 101566363 B1 KR101566363 B1 KR 101566363B1 KR 1020110136122 A KR1020110136122 A KR 1020110136122A KR 20110136122 A KR20110136122 A KR 20110136122A KR 101566363 B1 KR101566363 B1 KR 101566363B1
Authority
KR
South Korea
Prior art keywords
event
rule
security
association
user
Prior art date
Application number
KR1020110136122A
Other languages
English (en)
Other versions
KR20130068769A (ko
Inventor
강동호
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020110136122A priority Critical patent/KR101566363B1/ko
Priority to US13/714,362 priority patent/US9158894B2/en
Publication of KR20130068769A publication Critical patent/KR20130068769A/ko
Application granted granted Critical
Publication of KR101566363B1 publication Critical patent/KR101566363B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명에서는 물리/IT 보안 장비에서 전송되는 보안 이벤트에 대한 연관 분석을 수행하는 방법에 있어서, 데이터베이스에 저장된 형태로 보안 이벤트의 연관 분석을 수행하지 않고, 사용자 이벤트 메모리를 생성하여 연관 분석을 수행함으로써 신속한 탐지가 가능하고, 사용자 기반 연관 분석을 통해 물리 보안장비와 IT 보안 장비간 연관 분석을 용이하도록 한다.

Description

규칙 기반 보안 이벤트 연관성 분석장치 및 방법{APPARATUS FOR ANALYZING CONNECTIONS ABOUT SECURITY EVENTS BASED ON RULE AND METHOD THEREOF}
본 발명은 보안 이벤트(security events)에 대한 연관성 분석에 관한 것으로, 특히 물리/IT 보안 장비에서 전송되는 보안 이벤트에 대한 연관 분석을 수행하는 방법에 있어서, 데이터베이스(data base)에 저장된 형태로 보안 이벤트의 연관 분석을 수행하지 않고, 사용자 이벤트 메모리(memory)를 생성하여 연관 분석을 수행함으로써 신속한 탐지가 가능하고, 사용자 기반 연관 분석을 통해 물리 보안장비와 IT 보안 장비간 연관 분석을 용이하도록 하는 규칙 기반 보안 이벤트 연관성 분석장치 및 방법에 관한 것이다.
일반적으로, 종래의 보안이벤트 연관분석 기술은 IT 보안장비(방화벽, 침입탐지시스템, 침입방지시스템, 안티바이러스 등)영역에만 한정되거나 IT 보안장비에 물리 보안 장비(출입통제시스템 등)를 부분적으로 적용하는 수준에 머물러 있다.
이와 같은 보안 장비에서 발생되는 보안 이벤트는 수집, 정규화 과정을 거쳐 데이터베이스에 저장되며, 데이터베이스에 저장된 보안 이벤트의 연관 분석을 통해 침해여부를 판단하게 된다.
그러나, 이들 종래 기술은 데이터베이스에 저장 후, 상관관계 분석을 수행하기 때문에 실시간 탐지 및 대응이 어렵다. 또한, IP 주소를 기반으로 보안 이벤트에 대한 연관 분석을 실시하기 때문에 IP 주소 중심의 IT 보안 이벤트와 사용자 ID 중심의 물리 보안 이벤트와의 연관분석에 어려움이 있다.
대한민국 등록특허번호 10-0978605호 등록일자 2010년 08월 23일에는 시스템 보안용 침해탐지방법 및 탐지기에 관한 기술이 개시되어 있다.
따라서, 본 발명은 물리/IT 보안 장비에서 전송되는 보안 이벤트에 대한 연관 분석을 수행하는 방법에 있어서, 데이터베이스에 저장된 형태로 보안 이벤트의 연관 분석을 수행하지 않고, 사용자 이벤트 메모리를 생성하여 연관 분석을 수행함으로써 신속한 탐지가 가능하고, 사용자 기반 연관 분석을 통해 물리 보안장비와 IT 보안 장비간 연관 분석을 용이하도록 하는 규칙 기반 보안 이벤트 연관성 분석장치 및 방법을 제공하고자 한다.
상술한 본 발명은 규칙 기반 보안 이벤트 연관성 분석 장치로서, 물리 보안장치 또는 IT 보안장비로부터 발생하는 보안 이벤트를 수신하여 연관성 분석이 필요한 이벤트인지를 검사하는 규칙 관리부와, 상기 보안 이벤트를 분석하여 사용자별 이벤트 메모리의 삭제하거나 생성하고, 또는 연관 분석 대상 이벤트인지를 검사하는 이벤트 관리부와, 상기 이벤트 관리부로부터 연관 분석 대상인 보안 이벤트를 수신하는 경우 상기 보안 이벤트내 사용자 ID에 대한 규칙 DB의 연관 이벤트와 사용자 이벤트 리스트의 매칭 여부를 분석하여 연관성 분석 결과를 출력하는 연관성 처리부를 포함한다.
또한, 상기 이벤트 관리부는, 상기 보안 이벤트를 규칙 분석 이벤트 리스트내 각 분석 이벤트와 매칭시켜 매칭되는 분석 이벤트가 존재하는 경우, 상기 보안 이벤트를 연관 분석 대상의 보안 이벤트로 판단하는 것을 특징으로 한다.
또한, 상기 장치는, 상기 규칙 분석 이벤트 리스트를 저장하는 규칙 DB를 더 포함하는 것을 특징으로 한다.
또한, 상기 규칙 관리부는, 상기 규칙 DB의 버전 변경 여부를 확인하는 규칙 DB 버전 체크부와, 상기 규칙 DB에서 규칙 분석 이벤트 리스트를 읽어 들이는 규칙 DB 분석 이벤트 수집부와, 상기 보안 이벤트의 RULE ID를 이용하여 상기 보안 이벤트가 규칙 분석 이벤트에 해당하는 이벤트인지를 확인하는 이벤트 필터부를 포함하는 것을 특징으로 한다.
또한, 상기 이벤트 관리부는, 상기 보안 이벤트에 대한 사용자 이벤트 메모리에 생성시키는 사용자 이벤트 메모리 생성부와, 상기 보안 이벤트가 해당 사용자의 이벤트 메모리를 삭제 요청하는 이벤트인 경우 상기 사용자의 사용자 이벤트 메모리를 삭제시키는 사용자 이벤트 메모리 삭제부와, 상기 보안 이벤트의 수신 시 해당 사용자의 사용자 이벤트 메모리에 대한 관리를 수행하는 이벤트 메모리 관리부를 포함하는 것을 특징으로 한다.
또한, 상기 이벤트 메모리 관리부는, 상기 보안 이벤트가 메모리에 존재하지 않는 새로운 사용자의 이벤트인 경우에는 상기 사용자 이벤트 메모리 생성부로 사용자 이벤트 메모리의 생성을 요청하는 것을 특징으로 한다.
또한, 상기 연관성 처리부는, 상기 보안 이벤트에 해당되는 RULE ID와 사용자 ID를 전달받고, 해당 RULE ID에 대한 규칙 분석 이벤트를 조회하는 규칙 DB 분석 이벤트 조회부와, 상기 보안 이벤트와 상기 규칙 분석 이벤트가 매칭되는지 여부를 검사하는 규칙 DB 연관 이벤트 조회부와, 상기 보안 이벤트와 규칙 분석 이벤트가 매칭되는 경우 상기 사용자 ID에 대한 연관 이벤트를 조회하는 사용자 이벤트 메모리 요청부와, 상기 사용자 ID에 대한 사용자 이벤트 리스트와 상기 연관 이벤트의 매칭 여부를 분석하여 연관성 분석을 수행하는 연관성 검사부와, 상기 연관성 검사부로부터 연관성 분석 결과를 수신하여 출력시키는 탐지 전달부를 포함하는 것을 특징으로 한다.
또한, 상기 규칙 DB 분석 이벤트 조회부는, 상기 보안 이벤트와 규칙 분석 이벤트가 매칭되는 경우 상기 사용자 이벤트 메모리 요청부로 상기 보안 이벤트의 해당 사용자 ID를 전송하고, 상기 규칙 DB 연관 이벤트 조회부로 매칭된 RULE ID를 전송하는 것을 특징으로 한다.
또한, 상기 규칙 DB 연관 이벤트 조회부는, 상기 이벤트 관리부로 상기 보안 이벤트의 해당 사용자 이벤트 리스트를 요청하고, 상기 사용자 이벤트 리스트를 수신하여 상기 연관성 검사부로 제공하는 것을 특징으로 한다.
또한, 본 발명은 규칙 기반 보안 이벤트 연관성 분석방법으로서, 물리 보안장치 또는 IT 보안장비로부터 발생하는 보안 이벤트를 수신하여 연관성 분석이 필요한 이벤트인지를 검사하는 단계와, 상기 연관 분석 대상인 보안 이벤트를 수신하는 경우 상기 보안 이벤트와 규칙 분석 이벤트가 매칭되는지 검사하는 단계와, 상기 매칭이 되는 경우 상기 보안 이벤트의 해당 사용자 ID에 대한 연관 이벤트를 조회하는 단계와, 상기 매칭이 되는 경우 상기 보안 이벤트의 해당 사용자의 사용자 이벤트 리스트를 조회하는 단계와, 상기 연관 이벤트와 사용자 이벤트 리스트의 매칭 여부를 분석하여 연관성 분석 결과를 출력하는 단계를 포함한다.
또한, 상기 연관성 분석이 필요한 이벤트인지를 검사하는 단계는, 상기 보안 이벤트를 규칙 분석 이벤트 리스트내 각 분석 이벤트와 매칭시키는 단계와, 상기 보안 이벤트와 매칭되는 분석 이벤트가 존재하는 경우, 상기 보안 이벤트를 연관 분석 대상의 보안 이벤트로 판단하는 단계를 포함하는 것을 특징으로 한다.
또한, 상기 연관 이벤트를 조회하는 단계에서, 상기 사용자 ID를 사용자 이벤트 메모리 요청부로 전송하여 상기 사용자 ID에 저장된 연관 이벤트를 조회하는 것을 특징으로 한다.
또한, 상기 사용자 이벤트 리스트를 조회하는 단계에서, 상기 보안 이벤트의 RULE ID를 규칙 DB 연관 이벤트 조회부로 전송하여 상기 매칭된 보안 이벤트의 해당 사용자 이벤트 리스트를 조회하는 것을 특징으로 한다.
본 발명은 물리/IT 보안 장비에서 전송되는 보안 이벤트에 대한 연관 분석을 수행하는 방법에 있어서, 데이터베이스에 저장된 형태로 보안 이벤트의 연관 분석을 수행하지 않고, 사용자 이벤트 메모리를 생성하여 연관 분석을 수행함으로써 신속한 탐지가 가능하고, 사용자 기반 연관 분석을 통해 물리 보안장비와 IT 보안 장비간 연관 분석을 용이하도록 하는 이점이 있다.
도 1은 본 발명의 실시예에 따른 규칙 기반 보안 이벤트에 대한 연관성 분석 시스템의 구성도,
도 2는 본 발명의 실시예에 따른 각 보안장비에서 생성되는 정규화 필드값 예시도,
도 3은 본 발명의 실시예에 따른 사용자 DB의 사용자 정보 테이블 예시도,
도 4는 본 발명의 실시예에 따른 사용자 DB의 시스템 자산 테이블 예시도,
도 5는 본 발명의 실시예에 따른 규칙 DB의 분석 이벤트 리스트의 데이터 구조 예시도,
도 6은 본 발명의 실시예에 따른 규칙 DB 관련 GUI 화면 예시도,
도 7은 본 발명의 실시예에 따른 이벤트 관리부와 연관성 처리부에서의 동작 개념도,
도 8은 본 발명의 실시예에 따른 연관성 처리부에서 규칙기반 보안 이벤트에 대한 연관성을 분석하는 신호 처리 흐름도.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
본 발명의 실시 예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시 예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시 예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
도 1은 본 발명의 실시 예에 따른 규칙기반 물리/IT 보안이벤트 연관성 분석 시스템의 구성을 도시한 것으로, 본 발명의 연관성 분석 시스템은 물리 보안장비(100), IT 보안 장비(200), 이벤트 수집기(300), 연관 분석기(400), 사용자 DB(500), 규칙 DB(600), GUI(graphic user interface)(700) 등을 포함한다.
물리 보안장비(100)와 IT 보안장비(200)는 보안 이벤트를 생성하여 이벤트 수집기(300)로 전송한다.
이벤트 수집기(300)는 물리 보안장비(100)와 IT 보안장비(200)로부터 보안 이벤트를 수집하고 정규화하여 연관 분석기(400)에 전송한다.
연관 분석기(400)는 이벤트 수집기(300)로부터 전송받은 보안 이벤트에 대해 보안 이벤트의 연관 분석을 수행한다.
사용자 DB(500)는 정규화에 필요한 정보가 저장되며, 해당 정보를 이벤트 수집기(300)로 제공한다.
규칙 DB(600)는 연관 분석기(400)에서 수행되는 연관분석에 필요한 규칙이 저장되며, 해당 규칙에 대한 정보를 연관 분석기(400)로 제공한다. GUI(700)는 연관 분석기(400)에서 수행된 탐지결과를 보여준다.
이하, 도 1의 연관성 분석 시스템의 각 구성요소의 동작을 보다 상세히 설명하기로 한다.
먼저, 물리보안장비(100)와 IT 보안장비(200)에서 생성된 보안이벤트를 이벤트 수집기(300)의 수집부(301)가 수신한다. 정규화부(302)에서는 사용자 DB(500) 의 사용자 정보 테이블과 시스템 자산 테이블을 통해 보안장비에서 발생되는 보안이벤트에 대해서 정규화 과정을 수행한다.
도 2는 각 보안 장비에서 생성되는 정규화 필드 값을 도시한 것이다. 또한 도 2와 같은 정규화를 위해 사용자 DB(500)의 사용자 정보 테이블과 시스템 자산 테이블은 각각 도 3과 도 4에 도시된 바와 같다.
도 2를 참조하면, IT 보안 장비(200)에서 발생되는 보안 이벤트의 IP 주소를 활용하여 정규화 필드의 WHO영역의 사용자 ID(user_id)와 WHERE 영역을 사용자 DB 테이블을 조회하여 입력하고, 나머지 영역은 보안이벤트의 구성 필드(field)로 채운다. 물리 보안 장비(100)에서 발생되는 보안 이벤트는 IP 주소를 활용하여 정규화 필드의 WHERE 영역을 사용자 DB 테이블을 조회하여 입력하고, 나머지 영역은 보안이벤트의 구성 필드로 채운다. 정규화부(302)를 통해 정규화된 이벤트는 전송부(303)를 통해 연관 분석기(400)에 전달된다.
다음으로, 연관 분석기(400)는 규칙관리부(410), 이벤트 관리부(420), 연관성 처리부(430)로 구성된다.
규칙관리부(410)는 규칙 DB버전 체크부(411), 규칙 DB 분석 이벤트 수집부(412), 이벤트 필터부(413)를 포함하며, 이벤트 수집기(300)로부터 보안 이벤트가 규칙 분석 이벤트에 포함된 경우 해당 이벤트를 연관성 분석을 위해 연관성 처리부(430)로 제공하고, 포함되지 않은 경우 이벤트 저장을 위해 해당 이벤트를 이벤트 관리부(420)로 제공한다.
규칙 DB 버전 체크부(411)는 연관 분석기(400)가 구동 시, 규칙 DB의 버전 변경여부를 확인한다. 버전이 변경되면 규칙 DB 분석 이벤트 수집부(412)는 규칙 분석 이벤트 테이블에서 규칙 분석 이벤트 리스트를 규칙 DB(600)에서 가져와 이벤트 필터부(413)에 전달한다.
이벤트 필터부(413)는 이벤트 수집기(300)의 전송부(303)에서 전달되는 이벤트의 정보 ID를 이용하여 규칙 분석 이벤트(RULESET_SRCEVT테이블의 ALERT ID)에 포함여부를 확인한다. 포함된 이벤트이면 해당 이벤트는 연관성 분석을 위해 연관성 처리부(430)에 전달하고 포함되지 않으면 이벤트 저장을 위해 이벤트 관리부(420)에 전달한다. 이벤트 필터부(413)는 규칙 DB(600)의 분석 이벤트 리스트를 도 5에서와 같은 구조로 메모리에 저장한다.
규칙 DB(600)는 GUI(700)를 통해 추가 또는 삭제 또는 변경되며 규칙 DB 관련 GUI(700)는 도 6에 도시된 바와 같다.
도 6을 참조하면, 규칙 DB(600)는 5개의 테이블(RULESET_VER, RULE_LIST, RULE_OPTION, RULE_SRCEVT, RULE_COREVT)로 구성되고 각 테이블의 필드는 아래와 같이 구성된다.
RULESET_VER : 규칙 DB의 버전 정보 테이블
RULESET_LIST: 규칙 집합 리스트 테이블
RULESET_LIST: 시간, 공간,사용자를 포함하는 규칙 옵션
RULESET_SRCEVT: 규칙 분석 이벤트 리스트 테이블
RULESET_COREVT: 규칙 연관 이벤트 리스트 테이블
Figure 112011100129717-pat00001

Figure 112011100129717-pat00002

Figure 112011100129717-pat00003

이벤트 관리부(420)는 사용자 이벤트 메모리 삭제부(423), 이벤트 메모리 관리부(422), 사용자 이벤트 메모리 생성부(421)를 포함하며, 규칙 관리부(410)로부터 전송되는 사용자 이벤트를 삭제하거나 생성하고, 연관성 분석을 위해 사용자 이벤트를 연관성 처리부(430)로 제공한다.
이벤트 메모리 관리부(422)는 메모리에 존재하지 않는 새로운 사용자의 이벤트가 발생되면 사용자 이벤트 메모리 생성부(421)로 사용자 이벤트 메모리 생성을 요청하거나, 메모리가 존재하는 사용자로부터 출입제어시스템을 통해 외부로 나가는 이벤트를 수신하게 되면 사용자 이벤트 메모리 삭제부(423)로 해당 메모리 삭제를 요청한다.
또한, 사용자 단위로 이벤트 메모리를 관리하면서 연관성 처리부(430)에 의해 특정 사용자의 이벤트 목록이 요청되면 이벤트 관리부(420)는 해당 사용자의 이벤트 메모리를 연관성 처리부(430)에 전달한다.
도 7은 본 발명의 실시예에 따른 이벤트 관리부와 연관성 처리부에서의 동작 개념을 도시한 것이다. 이하, 도 1 및 도 7을 참조하여 본 발명의 실시예를 상세히 설명하기로 한다.
규칙 관리부(410)로부터 보안 이벤트가 수신되는 경우(S700), 이벤트 관리부(420)는 해당 보안 이벤트를 분석하여 이벤트 메모리를 삭제, 생성 또는 연관분석을 수행한다.
즉, 예를 들어, 보안 이벤트로 메모리가 존재하는 사용자 A(user A)가 출입 제어 시스템을 통해 외부로 나가는 이벤트를 수신하는 경우, 이벤트 관리부(420)는 사용자 A에 대해 생성한 이벤트 메모리를 삭제시킨다(S702).
또한, 보안 이벤트로 메모리에 존재하는 않는 새로운 사용자 D(user D)의 이벤트를 수신하는 경우 사용자 D에 대한 이벤트 메모리를 생성한다(S704).
또한, 보안 이벤트가 연관성 분석이 설정된 이벤트인 경우 이벤트 메모리 관리부(422)에 저장된 사용자 C(user C)의 연관 이벤트 리스트를 연관성 처리부(430)로 전송한다(S706).
연관성 처리부(430)는 규칙 DB 분석 이벤트 조회부(431), 규칙 DB 연관 이벤트 조회부(434), 사용자 이벤트 메모리 요청부(432), 연관성 검사부(435), 탐지 전달부(433)를 포함하며, 사용자 이벤트 리스트와 규칙 DB(600)의 연관 이벤트의 매칭 여부를 분석하여 연관성 분석 결과를 전송한다.
규칙 DB 분석 이벤트 조회부(431)는 규칙 관리부(410)에서 전달된 보안 이벤트에 해당되는 RULE ID 해당 사용자 ID를 전달받고, 해당 RULE ID에 대한 규칙 DB 분석 이벤트를 가져온다. 가져온 규칙 DB 분석 이벤트와 전달 받은 보안 이벤트의 매칭검사를 실시한다. 매칭되면 해당 RULE ID를 규칙 DB 연관 이벤트 조회부(434)에 전달하여 관련 연관 이벤트 리스트를 가져온다. 또한 사용자 이벤트 메모리 요청부(432)에 매칭된 보안 이벤트를 전송한다.
연관성 검사부(435)는 전달받은 연관 보안 이벤트와 규칙 DB 연관이벤트와 매칭 검사를 실시하여 매칭되면 탐지 결과를 GUI(700)로 전송한다.
도 8은 본 발명의 실시예에 따른 연관성 처리부(430)에서 규칙기반 물리/IT 보안 이벤트에 대한 연관성을 분석하는 신호 처리 흐름을 도시한 것이다. 이하, 도 1 및 도 8을 참조하여 본 발명의 실시예를 상세히 설명하기로 한다.
이벤트 수집기(300)로부터 보안 이벤트가 수신되는 경우, 규칙 관리부(410)는 수신된 보안 이벤트를 연관성 처리부(430)로 전송하며, 보안 이벤트는 연관성 처리부(430)내 규칙 DB 분석 이벤트 조회부(431)로 인가된다(S800). 이때, 보안 이벤트에 해당되는 RULE ID와 사용자 ID도 규칙 DB 분석 이벤트 조회부(431)로 전송된다.
그러면, 규칙 DB 분석 이벤트 조회부(431)는 해당 RULE ID에 대한 규칙 DB의 분석 이벤트를 가져오고(S802), 가져온 규칙 DB 분석 이벤트와 전달받은 보안 이벤트가 매칭되는지 여부를 검사한다(S804).
이때, 보안 이벤트와 분석 이벤트가 매칭이 되는 경우 규칙 DB 분석 이벤트 조회부(431)는 사용자 이벤트 메모리 요청부(432)로 사용자 ID를 전송하고(S806), 규칙 DB 연관 이벤트 조회부(434)로는 매칭된 RULE ID를 전송한다(S808).
그러면, 사용자 이벤트 메모리 요청부(432)는 사용자 ID에 대한 규칙 DB의 연관 이벤트를 조회하고(S810), 조회된 규칙 DB의 연관 이벤트를 연관성 검사부(435)로 전송한다(S812).
한편, 규칙 DB 분석 이벤트 조회부(431)로부터 매칭된 RULE ID를 전송받은 규칙 DB 연관 이벤트 조회부(434)는 매칭된 보안 이벤트의 해당 사용자 이벤트 리스트를 이벤트 관리부(420)로 요청하여 수신하고(S814), 수신된 사용자 이벤트 리스트를 연관성 검사부(435)로 전송한다(S816).
그러면, 연관성 검사부(435)는 사용자 이벤트 리스트와 규칙 DB의 연관 이벤트 사이의 매칭 여부를 분석하고(S818), 연관성 분석 결과를 탐지 전달부(433)로 전송하게 되며(S820), 탐지 전달부(433)는 연관성 분석 결과를 GUI(700)를 통해 디스플레이하여 사용자가 분석 결과를 확인할 수 있도록 한다.
상기한 바와 같이, 본 발명에서는 물리/IT 보안 장비에서 전송되는 보안 이벤트에 대한 연관 분석을 수행하는 방법에 있어서, 데이터베이스에 저장된 형태로 보안 이벤트의 연관 분석을 수행하지 않고, 사용자 이벤트 메모리를 생성하여 연관 분석을 수행함으로써 신속한 탐지가 가능하고, 사용자 기반 연관 분석을 통해 물리 보안장비와 IT 보안 장비간 연관 분석을 용이하도록 한다.
한편 상술한 본 발명의 설명에서는 구체적인 실시예에 관해 설명하였으나, 여러 가지 변형이 본 발명의 범위에서 벗어나지 않고 실시될 수 있다. 따라서 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위에 의해 정하여져야 한다.
100 : 물리 보안 장치 200 : IT 보안장비
300 : 이벤트 수집기 301 : 수집부
302 : 정규화부 303 : 전송부
400 : 연관 분석기 410 : 규칙관리부
411 : 규칙 DB 버전 체크부 412 : 규칙 DB 분석 이벤트 수집부
413 : 이벤트 필터부 420 : 이벤트 관리부
421 : 사용자 이벤트 메모리 생성부 422 : 이벤트 메모리 관리부
423 : 사용자 이벤트 메모리 삭제부 430 : 연관성 처리부
431 : 규칙 DB 분석 이벤트 조회부 432 : 사용자 이벤트 메모리 요청부
433 : 탐지 전달부 434 : 규칙 DB 연관 이벤트 조회부
435 : 연관성 처리부

Claims (13)

  1. 물리 보안장치 또는 IT 보안장비로부터 발생하는 보안 이벤트를 수신하여 연관성 분석이 필요한 이벤트인지를 검사하는 규칙 관리부와,
    상기 보안 이벤트를 분석하여 사용자별 이벤트 메모리를 삭제하거나 생성하는 이벤트 관리부와,
    상기 규칙 관리부로부터 연관 분석 대상인 보안 이벤트를 수신하는 경우 상기 보안 이벤트내 사용자 ID에 대한 규칙 DB의 연관 이벤트와 사용자 이벤트 리스트의 매칭 여부를 분석하여 연관성 분석 결과를 출력하는 연관성 처리부를 포함하되,
    상기 이벤트 관리부는, 상기 보안 이벤트에 대한 사용자 이벤트 메모리를 생성시키는 사용자 이벤트 메모리 생성부와, 상기 보안 이벤트가 해당 사용자의 이벤트 메모리를 삭제 요청하는 이벤트인 경우 상기 사용자의 사용자 이벤트 메모리를 삭제시키는 사용자 이벤트 메모리 삭제부와, 상기 보안 이벤트의 수신 시 해당 사용자의 사용자 이벤트 메모리에 대한 관리를 수행하는 이벤트 메모리 관리부를 포함하며,
    상기 규칙 관리부는, 상기 보안 이벤트를 규칙 분석 이벤트 리스트내 각 분석 이벤트와 매칭시켜 매칭되는 분석 이벤트가 존재하는 경우, 상기 보안 이벤트를 연관성 분석이 필요한 보안 이벤트로 판단하는 것을 특징으로 하는 규칙 기반 보안 이벤트 연관성 분석 장치.
  2. 삭제
  3. 제 1 항에 있어서,
    상기 장치는,
    상기 규칙 분석 이벤트 리스트를 저장하는 규칙 DB를 더 포함하는 규칙 기반 보안 이벤트 연관성 분석 장치.
  4. 제 3 항에 있어서,
    상기 규칙 관리부는,
    상기 규칙 DB의 버전 변경 여부를 확인하는 규칙 DB 버전 체크부와,
    상기 규칙 DB에서 규칙 분석 이벤트 리스트를 읽어 들이는 규칙 DB 분석 이벤트 수집부와,
    상기 보안 이벤트의 RULE ID를 이용하여 상기 보안 이벤트가 규칙 분석 이벤트에 해당하는 이벤트인지를 확인하는 이벤트 필터부
    를 포함하는 규칙 기반 보안 이벤트 연관성 분석 장치.
  5. 삭제
  6. 제 1 항에 있어서,
    상기 이벤트 메모리 관리부는,
    상기 보안 이벤트가 메모리에 존재하지 않는 새로운 사용자의 이벤트인 경우에는 상기 사용자 이벤트 메모리 생성부로 사용자 이벤트 메모리의 생성을 요청하는 규칙 기반 보안 이벤트 연관성 분석 장치.
  7. 제 3 항에 있어서,
    상기 연관성 처리부는,
    상기 보안 이벤트에 해당되는 RULE ID와 사용자 ID를 전달받고, 해당 RULE ID에 대한 규칙 분석 이벤트를 조회하는 규칙 DB 분석 이벤트 조회부와,
    상기 보안 이벤트와 상기 규칙 분석 이벤트가 매칭되는지 여부를 검사하는 규칙 DB 연관 이벤트 조회부와,
    상기 보안 이벤트와 규칙 분석 이벤트가 매칭되는 경우 상기 사용자 ID에 대한 연관 이벤트를 조회하는 사용자 이벤트 메모리 요청부와,
    상기 사용자 ID에 대한 사용자 이벤트 리스트와 상기 연관 이벤트의 매칭 여부를 분석하여 연관성 분석을 수행하는 연관성 검사부와,
    상기 연관성 검사부로부터 연관성 분석 결과를 수신하여 출력시키는 탐지 전달부
    를 포함하는 규칙 기반 보안 이벤트 연관성 분석 장치.
  8. 제 7 항에 있어서,
    상기 규칙 DB 분석 이벤트 조회부는,
    상기 보안 이벤트와 규칙 분석 이벤트가 매칭되는 경우 상기 사용자 이벤트 메모리 요청부로 상기 보안 이벤트의 해당 사용자 ID를 전송하고, 상기 규칙 DB 연관 이벤트 조회부로 매칭된 RULE ID를 전송하는 규칙 기반 보안 이벤트 연관성 분석 장치.
  9. 제 7 항에 있어서,
    상기 규칙 DB 연관 이벤트 조회부는,
    상기 이벤트 관리부로 상기 보안 이벤트의 해당 사용자 이벤트 리스트를 요청하고, 상기 사용자 이벤트 리스트를 수신하여 상기 연관성 검사부로 제공하는 규칙 기반 보안 이벤트 연관성 분석 장치.
  10. 규칙 관리부와 이벤트 관리부와 연관성 처리부를 포함하는 연관성 분석장치에서 규칙 기반 보안 이벤트 연관성 분석방법으로서,
    상기 규칙 관리부에서 물리 보안장치 또는 IT 보안장비로부터 발생하는 보안 이벤트를 수신하여 연관성 분석이 필요한 이벤트인지를 검사하는 단계와,
    상기 연관성 처리부에서 상기 규칙 관리부로부터 상기 연관성 분석이 필요한 보안 이벤트를 수신하는 경우 상기 보안 이벤트와 규칙 분석 이벤트가 매칭되는지 검사하는 단계와,
    상기 매칭이 되는 경우 상기 연관성 처리부에서 상기 보안 이벤트의 해당 사용자 ID에 대한 연관 이벤트를 조회하는 단계와,
    상기 매칭이 되는 경우 상기 연관성 처리부에서 상기 보안 이벤트의 해당 사용자의 사용자 이벤트 리스트를 조회하는 단계와,
    상기 연관성 처리부에서 상기 연관 이벤트와 사용자 이벤트 리스트의 매칭 여부를 분석하여 연관성 분석 결과를 출력하는 단계를 포함하되,
    상기 연관성 분석이 필요한 이벤트인지를 검사하는 단계는, 상기 규칙 관리부에서 상기 보안 이벤트를 규칙 분석 이벤트 리스트내 각 분석 이벤트와 매칭시키는 단계와,
    상기 보안 이벤트와 매칭되는 분석 이벤트가 존재하는 경우, 상기 규칙 관리부에서 상기 보안 이벤트를 연관성 분석이 필요한 보안 이벤트로 판단하는 단계
    를 포함하는 규칙 기반 보안 이벤트 연관성 분석방법.
  11. 삭제
  12. 제 10 항에 있어서,
    상기 연관 이벤트를 조회하는 단계에서,
    상기 연관성 처리부는 상기 보안 이벤트의 사용자 ID에 저장된 연관 이벤트를 조회하는 규칙 기반 보안 이벤트 연관성 분석방법.
  13. 제 10 항에 있어서,
    상기 사용자 이벤트 리스트를 조회하는 단계에서,
    상기 연관성 처리부는 상기 보안 이벤트의 RULE ID를 이용하여 상기 보안 이벤트의 해당 사용자 이벤트 리스트를 조회하는 규칙 기반 보안 이벤트 연관성 분석방법.
KR1020110136122A 2011-12-16 2011-12-16 규칙 기반 보안 이벤트 연관성 분석장치 및 방법 KR101566363B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020110136122A KR101566363B1 (ko) 2011-12-16 2011-12-16 규칙 기반 보안 이벤트 연관성 분석장치 및 방법
US13/714,362 US9158894B2 (en) 2011-12-16 2012-12-13 Apparatus and method for analyzing rule-based security event association

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110136122A KR101566363B1 (ko) 2011-12-16 2011-12-16 규칙 기반 보안 이벤트 연관성 분석장치 및 방법

Publications (2)

Publication Number Publication Date
KR20130068769A KR20130068769A (ko) 2013-06-26
KR101566363B1 true KR101566363B1 (ko) 2015-11-06

Family

ID=48611654

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110136122A KR101566363B1 (ko) 2011-12-16 2011-12-16 규칙 기반 보안 이벤트 연관성 분석장치 및 방법

Country Status (2)

Country Link
US (1) US9158894B2 (ko)
KR (1) KR101566363B1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8849686B2 (en) * 2011-06-16 2014-09-30 At&T Intellectual Property I, L.P. Methods, devices, and computer program products for associating a tag with a recorded event
CN104779700A (zh) * 2015-03-26 2015-07-15 安徽波瑞电气有限公司 基于ipv6智能自由组网无线通讯的户外环网柜
CN105186350A (zh) * 2015-09-28 2015-12-23 波瑞电气有限公司 一种智能自组网无线通讯的开关柜
CN111431926B (zh) * 2020-04-02 2022-11-22 深信服科技股份有限公司 一种数据关联分析的方法、系统、设备及可读存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100419957B1 (ko) 2003-06-30 2004-02-25 주식회사 가드텍 출입 통제 시스템과 연동하는 정보 보안 시스템 및 그제어 방법

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6405318B1 (en) * 1999-03-12 2002-06-11 Psionic Software, Inc. Intrusion detection system
US7673335B1 (en) * 2004-07-01 2010-03-02 Novell, Inc. Computer-implemented method and system for security event correlation
JP4760101B2 (ja) * 2005-04-07 2011-08-31 ソニー株式会社 コンテンツ提供システム,コンテンツ再生装置,プログラム,およびコンテンツ再生方法
JP4523480B2 (ja) 2005-05-12 2010-08-11 株式会社日立製作所 ログ分析システム、分析方法及びログ分析装置
KR100656352B1 (ko) 2005-09-16 2006-12-11 한국전자통신연구원 네트워크의 보안 관련 이벤트 정보를 표시하는 방법
KR100846835B1 (ko) 2006-11-27 2008-07-16 (주)타임네트웍스 문맥 언어 기반의 보안이벤트 상관분석 장치 및 방법
KR100978605B1 (ko) 2008-01-31 2010-08-27 성균관대학교산학협력단 시스템 보안용 침해탐지방법 및 침해 탐지기
US20110213716A1 (en) * 2009-09-30 2011-09-01 Matthew Ocko Apparatuses, Methods and Systems for a Customer Service Request Evaluator
KR20110037578A (ko) 2009-10-07 2011-04-13 (주)비에스시큐리티 통합 보안 모니터링 시스템 및 통합 보안 모니터링 방법
GB201000021D0 (en) * 2010-01-04 2010-02-17 Plastic Logic Ltd Electronic document reading devices
KR101113615B1 (ko) 2010-03-08 2012-02-13 주식회사 제이컴정보 네트워크 위험도 종합 분석 시스템 및 그 방법
CN103765820B (zh) * 2011-09-09 2016-10-26 惠普发展公司,有限责任合伙企业 基于依照事件序列中时间位置的参考基线评估事件的系统和方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100419957B1 (ko) 2003-06-30 2004-02-25 주식회사 가드텍 출입 통제 시스템과 연동하는 정보 보안 시스템 및 그제어 방법

Also Published As

Publication number Publication date
KR20130068769A (ko) 2013-06-26
US20130160074A1 (en) 2013-06-20
US9158894B2 (en) 2015-10-13

Similar Documents

Publication Publication Date Title
CN113574838B (zh) 通过客户端指纹过滤互联网流量的系统和方法
CN108183895B (zh) 一种网络资产信息采集系统
US7176791B2 (en) Security verification method and device
JP6239215B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
US8850585B2 (en) Systems and methods for automated malware artifact retrieval and analysis
US8051484B2 (en) Method and security system for indentifying and blocking web attacks by enforcing read-only parameters
US20110282941A1 (en) Sharing form training result utilizing a social network
US10505986B1 (en) Sensor based rules for responding to malicious activity
CN105491053A (zh) 一种Web恶意代码检测方法及系统
JP5144488B2 (ja) 情報処理システムおよびプログラム
US11418534B2 (en) Threat analysis system and threat analysis method
KR101566363B1 (ko) 규칙 기반 보안 이벤트 연관성 분석장치 및 방법
JP6058246B2 (ja) 情報処理装置及び情報処理方法及びプログラム
KR102098064B1 (ko) 로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템
CN110149318B (zh) 邮件元数据的处理方法及装置、存储介质、电子装置
KR20150124020A (ko) 악성코드 식별 태그 설정 시스템 및 방법, 및 악성코드 식별 태그를 이용한 악성코드 검색 시스템
CN104735122A (zh) 基于邻近度的移动分析
JP2019536158A (ja) 検知結果が有効であるかないかを検証する方法およびシステム
WO2022147339A1 (en) Automated threat model generation
CN113098835A (zh) 基于区块链的蜜罐实现方法、蜜罐客户端和蜜罐系统
JP2006040196A (ja) ソフトウェア監視システムおよび監視方法
CN113918938A (zh) 一种持续免疫安全系统的用户实体行为分析方法及系统
CN113079157A (zh) 获取网络攻击者位置的方法、装置、电子设备
CN111625837A (zh) 识别系统漏洞的方法、装置和服务器
KR101161648B1 (ko) 데이터베이스 서버의 조작이력 생성 시스템 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
FPAY Annual fee payment

Payment date: 20181001

Year of fee payment: 4